寫(xiě)在前面：歷史上區(qū)塊鏈?zhǔn)澜缭啻伟l(fā)生51%攻擊，而它們都發(fā)生在小幣種的身上，而據(jù)哈佛大學(xué)和MIT的研究者表示，他們?cè)谟^察到的40次重組攻擊中，還看到了可能的反攻擊案例，在2020年2月份，Bitcoin Gold區(qū)塊鏈上疑似出現(xiàn)了攻擊者與防御者的多輪對(duì)攻情況，對(duì)此，研究者提出了防御51%攻擊的反擊理論。

注：原論文作者 Daniel J. Moroz∗（哈佛大學(xué)），Daniel J. Aronof（MIT ）、Neha Narula（MIT Media Lab）以及David C. Parkes（哈佛大學(xué)）

[[318548]]

（圖片來(lái)自tuchong.com）

以下是譯文：

比特幣和其它工作量證明（PoW）加密貨幣的經(jīng)濟(jì)安全性，取決于重寫(xiě)區(qū)塊鏈的成本。如果51%攻擊在經(jīng)濟(jì)上是可行的，則攻擊者可以向受害者發(fā)送一筆交易，發(fā)起攻擊，然后雙花同一筆幣。中本聰（Satoshi Nakamoto）認(rèn)為這種情況是不會(huì)發(fā)生的，因?yàn)榇蠖鄶?shù)礦工會(huì)發(fā)現(xiàn)，誠(chéng)實(shí)地遵守協(xié)議要比攻擊區(qū)塊鏈更有利可圖。

而最近的研究表明，攻擊加密貨幣的成本差異是非常大的，這取決于諸如算力的流動(dòng)性，對(duì)幣價(jià)的影響以及重寫(xiě)區(qū)塊鏈所需時(shí)間等因素。在某些情況下，攻擊甚至可能是免費(fèi)的。 截至2020年3月，對(duì)于像比特幣這樣的區(qū)塊鏈，礦工們已經(jīng)在挖礦設(shè)備上進(jìn)行了大量的先期投資，并且他們不愿意把大比例算力拿出去出租，因此今天要對(duì)比特幣發(fā)起攻擊，其成本可能是非常高的 。 然而，其它一些幣種的情況則大為不同，市場(chǎng)上有足夠可租用的算力，可供發(fā)起經(jīng)濟(jì)而高效的51%攻擊，并且在現(xiàn)實(shí)當(dāng)中，我們已經(jīng)觀察到攻擊者對(duì)這些幣種發(fā)起的雙花攻擊。使用NiceHash這樣的算力市場(chǎng)，買賣雙方可以輕松地進(jìn)行對(duì)接。

現(xiàn)在，人們通常認(rèn)為，低算力的幣種（所屬PoW算法類別中算力較低的幣種），會(huì)因?yàn)樗懔ψ赓U市場(chǎng)的存在而容易遭受廉價(jià)的51%攻擊，并且它們是不安全的。

在最近發(fā)表的題為《 針對(duì)雙花攻擊的反擊 》這一論文中，我們討論了一種策略，以防止處于弱勢(shì)的PoW幣種遭受51%攻擊：受害者可以發(fā)起反擊。我們證明了受害者有能力在原始鏈上租用算力并進(jìn)行挖礦，在發(fā)生攻擊時(shí)趕超攻擊者鏈，在平衡狀態(tài)下這可以阻止攻擊的發(fā)生。研究結(jié)果在以下假設(shè)下成立：（1）受害者遭受了中等程度的聲譽(yù)損失，而攻擊者則沒(méi)有（例如，如果受到攻擊，交易所可能會(huì)遭受負(fù)面聲譽(yù)影響，而匿名攻擊者則沒(méi)有），以及（2）攻擊的凈成本隨著時(shí)間的推移而增加（例如算力的上升等）。雖然在我們撰寫(xiě)這篇論文時(shí)，并沒(méi)有證據(jù)能夠確定現(xiàn)實(shí)世界中存在針對(duì)雙花攻擊的反攻情況，但我們最近確實(shí)觀察到了這種可能。

(上圖顯示了反攻游戲的三個(gè)階段，綠色表示當(dāng)前最重的公共鏈（即規(guī)范鏈），白色表示較小的分支鏈。最上面的階段顯示了一次51%攻擊的開(kāi)始，其中攻擊者A向防御者D發(fā)送了一筆交易，但這筆交易是在一條替代鏈上，它的目的是使原始交易無(wú)效。第二個(gè)階段顯示了雙花交易的揭示，其中攻擊者鏈成為了最重鏈（規(guī)范鏈）。第三個(gè)階段顯示了防御者D反擊的結(jié)果，在此過(guò)程中，D是在原鏈上進(jìn)行的挖礦，并超過(guò)攻擊者A的區(qū)塊鏈。)

2019年6月份，我們實(shí)現(xiàn)并運(yùn)行了一個(gè)重組跟蹤程序，該跟蹤程序監(jiān)控了23個(gè)目前最受歡迎的工作量證明（PoW）區(qū)塊鏈。對(duì)于每一個(gè)幣種，跟蹤器都會(huì)檢測(cè)并保存所有鏈頂端（chaintip）上的數(shù)據(jù)。截至目前，它已在Vertcoin、Litecoin Cash、Bitcoin Gold、Verge以及Hanacoin這些幣種上觀察到了40次至少六個(gè)區(qū)塊深度的重組攻擊。

關(guān)于Bitcoin Gold的重組攻擊和反擊

Bitcoin Gold（BTG）是于2017年10月24日從比特幣分叉出來(lái)的，截至2020年3月10日，它的市值為1.68億美元。Bitcoin Gold并沒(méi)有使用比特幣的SHA256算法，而是采用了ZHash抗ASIC算法，這意味著礦工可以使用GPU進(jìn)行挖礦。與BTC不同，BTG每個(gè)區(qū)塊都會(huì)進(jìn)行難度調(diào)整。

然而，BTG遭受了多次雙花攻擊，其中最大規(guī)模的一次51%攻擊發(fā)生在2018年5月份，當(dāng)時(shí)有388,000 BTG（當(dāng)時(shí)約為1800萬(wàn)美元）被偷。而在2020年1月和2月份，BTG再次受到了雙花攻擊。通過(guò)重組跟蹤器，我們可以在2020年1月23日-2020年2月5日之間觀察到8次BTG重組。其中有4次是有雙花的，涉及到12,858 BTG（約合15萬(wàn)美元）。

在2月份，我們注意到，BTG鏈上似乎上演了一場(chǎng)了反擊游戲。一開(kāi)始，這只是一次典型的重組攻擊，其中一筆交易在一次雙花中被逆轉(zhuǎn)，但隨后又出現(xiàn)了雙花被逆轉(zhuǎn)的情況，這使得原始交易再次有效。2月8日，攻擊者和反擊者在2.5小時(shí)內(nèi)來(lái)回進(jìn)行了4次大戰(zhàn)。最終，原來(lái)的區(qū)塊鏈被修復(fù)，所以這筆雙花并沒(méi)有成功。2月9日和2月11日，我們觀察到了稱之為“one-shot”的反擊：攻擊者制造了一次重組，而防御者只進(jìn)行了一次反擊，就恢復(fù)了原來(lái)的區(qū)塊鏈。

在2月8日發(fā)生的反擊游戲中，雙方爭(zhēng)奪的是兩筆交易757 和d5f（譯者注：tx的縮寫(xiě)），攻擊者將它們替換為交易50d 和f38。AbC和AYP（注：地址的縮寫(xiě)）這兩個(gè)地址總共被偷了4390 BTG（約合44000美元），這些幣被發(fā)送到了GVe和GYz。最終的重組深度為23，這將為礦工帶來(lái)大約290 BTG（3000美元）的區(qū)塊獎(jiǎng)勵(lì)，約雙花總收入的7%。注意，在每一對(duì)交易中，第二筆交易花費(fèi)了第一筆交易的輸出，即如果第一筆交易由于雙花而無(wú)效，則第二筆交易也將無(wú)效。因此，我們可以把它們視為一個(gè)單元。兩個(gè)單元有相同的輸入，但有不同的輸出，我們將其解釋為被盜的地址。

接下來(lái)，我們將說(shuō)明2月8日發(fā)生的反擊游戲的挖礦動(dòng)態(tài)。你可以在這里看到來(lái)自兩條鏈的帶時(shí)間戳的區(qū)塊列表。 我們稱這些地址為“防御者”，當(dāng)原始鏈不是工作量最大的區(qū)塊鏈時(shí)，“防御者”將在原始鏈上獲得挖礦獎(jiǎng)勵(lì)。而那些一直跟隨工作量最多鏈（即從未在少數(shù)分支鏈上挖礦）的礦工，則被認(rèn)為是“旁觀者” 。

我們的節(jié)點(diǎn)在在UTC時(shí)間06:56開(kāi)始觀察到了4次重組。第一次重組將原區(qū)塊鏈的最后9個(gè)區(qū)塊替換為9個(gè)新區(qū)塊。在新的區(qū)塊鏈中，每個(gè)區(qū)塊中都有兩個(gè)攻擊者地址：GKGUq2p和Gh46Jw1，并且在分叉區(qū)塊（block 619935）之后的第一個(gè)新區(qū)塊中有雙花交易。然后，在UTC時(shí)間07:35，我們的節(jié)點(diǎn)觀察到了另一次重組，其在原始鏈上又挖了另外4個(gè)區(qū)塊（難度更大）。而防御者則是GbWi6y7和GSsjeTZ，雙方反復(fù)進(jìn)行了交戰(zhàn)，之后，攻擊者以放棄告終，并在UTC 時(shí)間08:58挖了最后一個(gè)區(qū)塊。根據(jù)區(qū)塊中的時(shí)間戳以及節(jié)點(diǎn)觀察到的重組世界，我們對(duì)時(shí)間軸的最佳猜測(cè)如下：

1. 4:04 ，攻擊者開(kāi)始從619934高度的區(qū)塊挖礦，并在高度619935挖取了一個(gè)區(qū)塊，并進(jìn)行了雙花；
2. 6：55，攻擊者挖了9個(gè)區(qū)塊，其所在鏈超過(guò)了現(xiàn)有鏈；
3. 6：56，我們的節(jié)點(diǎn)觀察到并重新定位到攻擊者的區(qū)塊鏈。“旁觀者”礦工切換至攻擊者的區(qū)塊鏈，并將其延長(zhǎng)了2個(gè)區(qū)塊；
4. 7：20 防御者開(kāi)始挖礦，并延長(zhǎng)原始鏈上未被攻擊的區(qū)塊（區(qū)塊高度619943）；
5. 7：33 防御者在挖到4個(gè)新區(qū)塊后超過(guò)攻擊者的區(qū)塊鏈；
6. 7：35 我們的節(jié)點(diǎn)觀察到并重新定位到防御鏈。“旁觀者”礦工切換到防守鏈；
7. 7：53 攻擊者再次開(kāi)始挖礦，擴(kuò)展自己的攻擊鏈，該鏈有兩個(gè)附加的“旁觀者”區(qū)塊；
8. 8：22 防御者在12個(gè)區(qū)塊之后停止挖礦；
9. 8：58 攻擊者在超過(guò)防御者11個(gè)區(qū)塊之后，也停止了挖礦；
10. 9：00 我們的節(jié)點(diǎn)觀察到并切換至攻擊者更深的重組鏈；
11. 9：14 防御者再次開(kāi)始挖礦；
12.  9：27 防御者在原始鏈超過(guò)攻擊者鏈后，繼續(xù)挖礦；
13.  9：28 我們的節(jié)點(diǎn)重新定位到防御者的重鏈上；
14.  10：20 防御者減少投入算力；
15.  12：15 防御者停止挖礦；

算力從何而來(lái)？

我們沒(méi)有確鑿的證據(jù)能夠證明觀察到的任何BTG重組，其算力是否來(lái)自于Nicehash。這種不確定性，是由于在沒(méi)有主動(dòng)攻擊的情況下，BTG上的出現(xiàn)的價(jià)格和可用算力的大幅波動(dòng)造成的。

這與我們最近在Vertcoin（VTC）雙花攻擊中觀察到的Lyra2REv3（從Nicehash市場(chǎng)租用了算力）形成了對(duì)比，在這次攻擊中，我們清楚地看到算力的價(jià)格在攻擊期間出現(xiàn)了飆升，而攻擊后又回到了基線。

算力可用性和價(jià)格的峰值頻率，使得我們很難將看到的峰值歸因于攻擊。然而，市場(chǎng)上有足夠的ZHash算力可被用于執(zhí)行BTG攻擊，并且存在與檢測(cè)到的重組事件一致的算力峰值。

檢測(cè)到的重組期間Nicehash ZHash市場(chǎng)總結(jié)，紅線表示重組事件的時(shí)間

攻擊理論

實(shí)際上，攻擊可通過(guò)在Bitcoin Core節(jié)點(diǎn)上調(diào)用一個(gè)命令來(lái)完成，因此攻擊者可能不需要編寫(xiě)任何新代碼。

例如，攻擊者可能執(zhí)行了以下操作：

invalidateblock 

而防御者只需在包含雙花交易的攻擊者區(qū)塊上調(diào)用 invalidateblock，這將導(dǎo)致其節(jié)點(diǎn)繼續(xù)在原始鏈上挖礦，而不是重新定位到攻擊者鏈。

有可能在最后兩個(gè)案例中，攻擊者在看到受害者正在反擊時(shí)立即停止了攻擊。也許攻擊者知道，如果受害者能夠進(jìn)行反擊，就不值得去和他們對(duì)戰(zhàn)。在幾乎所有的區(qū)塊對(duì)戰(zhàn)中，防御者的地址都是GSsjeTZ。在2月1日之前，這個(gè)地址從未使用過(guò)，而在反擊戰(zhàn)發(fā)生后，其也沒(méi)有被用于挖礦。

然而，這可能不是一個(gè)故意的復(fù)仇游戲。在這里我們討論下其他的可能性。

可能性1 ：測(cè)試

一種解釋是，所謂的反擊實(shí)際并不是反擊，而是由一個(gè)試圖測(cè)試反擊軟件的實(shí)體模擬的。大家可以想象，一家交易所、商家或者有核心開(kāi)發(fā)者已經(jīng)編寫(xiě)了一個(gè)基礎(chǔ)設(shè)施，以便在發(fā)生深度重組時(shí)自動(dòng)反擊，他們希望測(cè)試自己的軟件是否能夠正常工作。這可以解釋為什么在2月6日發(fā)生的反擊沒(méi)有任何雙花。

可能性2 ：礦工之戰(zhàn)

礦工們可能一直在互相進(jìn)行反擊，這不是因?yàn)槠渲幸蝗嘶騼扇擞信d趣追回雙花的資金，而是為了偷竊，然后追回區(qū)塊獎(jiǎng)勵(lì)。再一次，2月6日的反擊沒(méi)有雙花的事實(shí)，也支持了這一理論。

可能性3 ：網(wǎng)絡(luò)分裂

這可能是Bitcoin Gold中存在的一個(gè)短暫、重復(fù)發(fā)生的網(wǎng)絡(luò)分裂。有可能在同一時(shí)間，某個(gè)客戶端錢包廣播了一筆交易，該交易將花費(fèi)的輸出加倍到分裂鏈的另一端。我們不知道是否有Bitcoin Gold錢包軟件能做到這一點(diǎn)。區(qū)塊時(shí)間戳與此是不一致的，這表明礦工是積極在挖礦的，然后停止了幾次。而時(shí)間戳也存在可能是偽造的。攻擊者和防御者的地址，在攻擊前后，都沒(méi)有再被使用過(guò)。

可能性4: 軟件漏洞

有可能是因?yàn)閰⑴c挖礦的軟件存在某種漏洞，導(dǎo)致他們無(wú)法在最長(zhǎng)鏈上挖礦，或者他們意外地調(diào)用了 invalidateblock 。

可能性5: 偶然的機(jī)會(huì)

另一種可能，則是兩個(gè)大型礦工恰好在同一時(shí)間發(fā)現(xiàn)了區(qū)塊，這種分裂的概率是很低的。這似乎不太可信，因?yàn)闀r(shí)間戳沒(méi)有反映這一點(diǎn)，并且最長(zhǎng)的重組是23個(gè)區(qū)塊；

結(jié)論

算力市場(chǎng)的日益發(fā)展，可能會(huì)破壞工作量證明（PoW）加密貨幣的安全性。然而，盡管流動(dòng)算力市場(chǎng)的存在表明一條弱鏈?zhǔn)侨菀资艿焦舻?，但受害者反擊的可能，在平衡狀態(tài)下有可能阻止攻擊。如果這種力量的平衡，足以保護(hù)區(qū)塊鏈，那么這就提出了一個(gè)問(wèn)題，即需要多少工作量才能防止攻擊？

在這項(xiàng)研究工作中，我們只考慮了一個(gè)理性的攻擊者，而如果存在非理性的攻擊者，其可能不在乎在51%攻擊中損失的金錢，這使得他們要比潛在的反擊者更具有優(yōu)勢(shì)。對(duì)于這樣的破壞者來(lái)說(shuō)，51%攻擊的成本可能仍然是重要的威懾力量，正如今天比特幣所擁有的那樣。

致謝：我們要感謝《針對(duì)雙花攻擊的反擊》論文的共同作者Dan Aronoff和David Parkes。也感謝Tadge Dryja、Madars Virza和Gert Jaap Glasbergen對(duì)這項(xiàng)工作的有益反饋。