攻击BTC只需要20%算力？自私挖矿作者提出BDoS新方法

写在前面：来自康奈尔大学和IC3的研究人员宣布，他们在中本聪共识协议的区块链上发现了一种拒绝服务攻击，并将其称为BDoS，这种攻击的威力远比以往的DoS攻击便宜得多（只有 20% 的算力）。 研究人员展示了攻击者如何诱使理性矿工停止挖矿并提出缓解措施。 这项研究也引起了加密社区对IPC区块链公链的关注。 以太坊的创始人 Vitalik 承认了这一点。 独立区块链安全审计员 Sergio Demian Lerner 表示，这项研究很有趣。 他提到 RSK 可以提供额外的激励来减少矿工问题（RSK 相当于提供叔块奖励），所以他们不受这次攻击的影响。 原论文作者：Michael Mirkin, Yan Ji, Jonathan Pang, Ariah Klages-Mundt, Ittay Eyal（自私挖矿的提出者），Ari Juels（康奈尔大学计算机科学教授） 原文链接：以下是一篇博客文章的简化翻译：自 Internet 诞生以来，拒绝服务 (DoS) 攻击一直是令人头疼的问题。 DoS 攻击者以各种服务为目标以获取乐趣和利润。 最常见的是，他们用请求淹没服务器，使服务器太忙而无法为普通用户提供服务。 对策通常是通过识别洪水的来源来防止这种类型的攻击。

因此，在所谓的分布式拒绝服务 (DDoS) 攻击中，攻击者必须协调来自多台计算机的泛洪。 有趣的事实：分布式源通常是普通用户的机器，形成僵尸网络或僵尸网络。 比特币等加密货币是 DoS 攻击的一个特别有利可图的目标。 从理论上讲，期货市场和保证金交易允许攻击者做空加密货币，压低货币价格以获取利润。 相互竞争的加密货币以及担心它们对金融主权影响的政府是其他潜在的攻击者。 然而，据我们所知，在实践中，还没有人对一种重要的加密货币进行过成功的拒绝服务攻击。 原因是区块链协议的去中心化性质。 在区块链中，没有可以被攻击的中央服务器。 运行区块链的机器被称为矿工，他们制作区块链数据的精确副本。 虽然已知会发生对个别机器的攻击，但完全关闭（或什至控制）几台机器对整体系统可用性的影响很小。 更有趣的事实：比特币的点对点网络是为了抵御攻击而建立的，吸取了僵尸网络的教训。 事实上，众所周知，针对比特币等区块链的 DoS 攻击代价非常高昂。 中本聪提出的比特币协议依靠工作量证明机制（PoW）来保证安全。 矿工只有证明他们已经在系统外花费了资源（即算力），才能创建区块。 只有当系统中的大部分计算能力表现得当时，才能维护区块链的安全性。

因此，为了进行 DoS 攻击，攻击者的计算能力必须大于所有其他参与者的总和，即 51% 攻击。 对于主要的加密货币，51% 的攻击对于大多数实体来说代价高得令人望而却步。 2018 年底，在 BiTCO in ABC 和比特币 SV 之间的“哈希战争”期间，曾尝试过这种类型的攻击，但收效有限。 BDoS 提案 我们发现 Nakamoto 协议的固有特性会使它暴露于成本低得多的 DoS 攻击，我们利用了区块链协议依赖安全激励这一事实。 在区块链中，参与者（矿工）因参与加密货币挖矿而获得奖励。 当这些激励措施不再促进良好行为时做空比特币用什么软件，系统就处于危险之中。 我们将这种攻击称为区块链 DoS (BDoS)，它利用了矿工的理性，使他们违反规则比遵守规则更有利可图。 为了完全有效，攻击者需要让矿工意识到这次攻击，并且这种行为会增加他们的利润。 而这种策略行为显然没有预先编程在挖矿软件中。 因此，我们认为这种攻击不会带来迫在眉睫的风险，因为矿工将不得不重新设计他们的挖矿设备以在面对攻击时最大化他们的利润。 这种攻击的存在，也许并不令人惊讶，确实是 Bryan Ford 和 Rainer Böhme 提出的理论的体现，他们认为从理性主体的角度分析系统的效用是有限的，因为外在激励与拜占庭行为无法区分。

下面我们概述了这种 BDoS 攻击的机制。 但首先，对于那些不熟悉 Satoshi Land 的人，让我们从一些背景开始。 背景 绝大多数加密货币都使用中本聪为比特币提出的区块链协议。 在中本聪共识区块链中，系统中的所有交易都被放在区块中，形成一个不断增长的数据链。 矿工用由新交易组成的新区块扩展链条，并将它们发布给所有其他系统参与者。 通过要求矿工在他们的区块中包含工作量证明（密码难题的解决方案）来调节区块生产率。 （根据定义，没有 PoW 的区块是无效的。）为了补偿矿工的努力，区块的产生有一些固定的奖励（例如，目前比特币的固定区块奖励是 12.5 BTC）。 如果矿工诚实地开采，那么他们就会被激励去扩展区块链并获得相应的奖励。 由于矿工分布在世界各地，偶尔会有两个或更多矿工同时出块，而这些块具有相同的父块。 结果是分叉，即链条的多个分支。 判断哪条链是主链，中本聪提出的规则是：最长的链为主链，所有矿工都应该延长这条最长的链，脱离主链的区块及其奖励将被忽略。

为了避免失去奖励，矿工一收到区块头中的元数据就开始挖掘最新的区块。 这避免了在旧区块上浪费采矿资源，并增加了挖掘下一个区块的机会。 这通常不是好的做法，并引起了许多安全研究人员的注意。 这种基于头部的挖矿方法是在轻量级客户端使用简化支付验证（SPV）协议进行部分区块链验证后应用的，被称为SPV挖矿。

攻击 我们提出的 BDoS 攻击可以通过操纵对理性矿工的奖励来使区块链停止。 攻击者将使系统处于一种状态，对于理性矿工而言，最佳行动方案是停止挖矿。 为了诱导这种状态和相应的证明，攻击者生成一个块并仅发布其块头。 给定一个区块头，一个理性的矿工有三种可能的行动：它可以扩展主链并忽略区块头； 可以扩展区块头（SPV挖矿）； 不耗电停止挖矿，不中奖；

如果理性矿工遵循选项 1 并扩展主链，找到并广播一个新区块，那么攻击矿工将使用其相对较高的连接性（如自私挖矿）并传播与区块头 BA 片相对应的完整区块。 这将导致两组矿工之间形成一条竞争的 Ipc 公链，其中一组首先收到攻击者的区块数据，另一组首先收到理性矿工的区块。

在一定概率下，理性的矿工会输掉比赛，该区块 Bi 永远不会被纳入主链。 与“无攻击”情况相比，这降低了在最后一个完整区块上挖矿的预期回报。 如果理性矿工遵循选项 2 并成功扩展攻击者的区块头 BA，攻击者将不会发布完整的区块 BA。 这导致理性矿工的区块永远不会被包含在主链中，从而导致该区块的预期回报为零。 因此，如果“无攻击”设置下的原始盈利能力不是太高，那么在这两种情况下，攻击者都可以确保诚实的矿工最终赔钱。 因此，BDoS攻击者的威胁意味着诚实矿工与其选择挖矿不如放弃，也就是选择第三种选择。 正如电影《战争游戏》所言，“唯一的胜利之道就是不玩”。

BDoS攻击在什么条件下可以成功我们现在解释BDoS攻击者成功的条件是什么。 具体来说，我们认为对于给定的理性矿工 i，无论其他参与者的行为如何，停止挖矿比继续挖矿更有利可图。 答案取决于三个因素：第一，如果攻击者拥有足够的算力，攻击就会成功； 第二，如果矿工i有足够的算力，他就会成功； 最后，如果矿工i一开始不是盈利高的，那么他就会成功； 矿工 i 的获利因素是在没有发生攻击的情况下，它在采矿作业中投资的每一美元的回报。 下图显示了不同攻击者规模（x 轴）和矿工规模（不同曲线）的成功攻击的最大回报。

在我们的分析中，我们使用了一个称为收益率的属性，它代表每投资一美元的回报。 这取决于采矿设备和电力的成本，以及相关加密货币的价格。 举个具体的例子，如果最大的矿工持有全网20%的算力做空比特币用什么软件，那么一个拥有全网20%算力的攻击者可以在收益系数低于以下时激励所有矿工停止挖矿1.37. 矿。 目前，对于比特币，在0.05美元/千瓦时的电价下，比特大陆S17 Pro矿机的收益率接近2，而S9的收益率接近1。如果币价大幅下跌，攻击者将能够激励现有矿工停止挖矿，导致比特币网络完全停止运行。 此外，比特币区块奖励预计将在 2020 年减半，这反过来又会降低矿工的盈利能力。 两个硬币模型 请注意，我们的模型是保守的，因为它低估了攻击者的机会。 到目前为止，我们假设矿工可以在利润为 0 时继续挖矿或停止挖矿。但是，加密货币矿工经常将他们的挖矿工作转移到第二种加密货币，即使是暂时的。 如果两种币的初始盈利能力（攻击前）相似，那么在攻击发生时切换到另一种币几乎是有利可图的。 这意味着在这种情况下，我们所说的双币模型攻击对Ipc区块链公链的威胁甚至比我们上面的分析所显示的还要高。 事实上，这两种币种模型更符合现实场景。

例如，有证据表明，矿工通常会根据盈利能力在 BTC 和 BCH 之间转换工作。 缓解措施和披露责任我们没有租用挖矿设备攻击IPC区块链公链，也没有做空比特币然后跑去躲藏，而是遵循了安全研究的最佳实践，经历了一段负责任的披露期。 我们提醒了受影响的主要加密货币的开发人员并讨论了缓解措施。 我们建议对共识规则进行小幅修改，以便矿工对标头比主体早于某个阈值时间（比如 1 分钟）的区块给予较低的优先级。 这将增加攻击者失去块传播竞赛的机会，从而降低 BDoS 攻击的有效性。 不幸的是，这种对策不是根本性的。 正如我们在关于 Ipc 区块链公链的论文中所解释的那样，攻击者可以使用智能合约或零知识 (ZK) 证明来证明他们找到了一个区块（而不是发布一个区块头）。 使用这些技术会使在区块传播竞赛中无法区分攻击者区块和理性矿工区块，从而使缓解技术无效。 BDoS 攻击的另一种可能解决方案是使用叔块奖励，就像以太坊中的情况一样。 叔块奖励机制将奖励挖出不在主链上（但直接连接到主链）的区块的矿工。 如果采用叔块奖励机制，理性矿工在BDoS攻击中停止挖矿的几率要低很多，因为即使输掉比赛，也会得到奖励（相当于以太坊全块奖励的7%） . /8).

然而，这是一种妥协，因为叔块降低了针对自私挖矿攻击的安全性。 结论 BDoS 是对 Nakamoto 共识区块链的威胁，因为它允许攻击者使用比以前的攻击少得多的计算能力来执行拒绝服务攻击。 我们已经展示了攻击者如何扭曲激励并诱使逐利的矿工停止挖矿。 我们提出的缓解措施很容易实施（不需要网络分叉），但只影响特定的 BDoS 攻击。 在没有更强的缓解措施的情况下，中本聪共识区块链的活跃度取决于矿工在面临收入损失时遵守协议的意愿，即利他主义。 完整的细节在我们的技术论文中。 感谢 IC3 社区经理 Sarah Allen 帮助我们撰写这篇博文。