反击51%攻击？理解哈佛和麻省理工学者提出的双花攻击反击理论

詹姆斯·洛夫乔伊、丹·莫罗兹、内哈·纳鲁拉

译者：洒脱

写在前面：历史上区块链世界发生过多次51%攻击，而且都发生在小币种身上。 据哈佛大学和麻省理工学院的研究人员称，他们观察了 40 次重组攻击，也看到了一个可能的反攻击案例。 2020年2月，比特黄金区块链出现多轮攻防双方攻击。 对此，研究人员提出了反击防御51%攻击的理论。

注：原论文作者为 Daniel J. Moroz*（哈佛大学）、Daniel J. Aronof（麻省理工学院）、Neha Narula（麻省理工学院媒体实验室）和 David C. Parkes（哈佛大学）

这是翻译：

比特币和其他工作量证明 (PoW) 加密货币的经济安全取决于重写区块链的成本。 如果 51% 攻击在经济上可行，攻击者可以向受害者发送交易，发起攻击，然后对同一枚硬币进行双花。 中本聪认为这不会发生，因为大多数矿工会发现诚实遵守协议比攻击区块链更有利可图。

然而，最近的研究表明，攻击加密货币的成本可能会有很大差异，这取决于计算能力的流动性、对货币价格的影响以及重写区块链所需的时间等因素。 在某些情况下，攻击甚至可能是免费的。 截至2020年3月，对于比特币这样的区块链，矿工已经在挖矿设备上进行了大量的前期投资，他们不愿意将自己的大部分算力出租出去，所以今天要对币种发起攻击，成本可能很高。 然而，对于其他一些币种情况就大不相同了，市场上有足够的可出租算力来发起具有成本效益的 51% 攻击，而在现实中，我们观察到攻击者对这些币种发起双花攻击。 使用像 NiceHash 这样的算力市场，买卖双方可以轻松连接。

现在普遍认为，低算力币（属于PoW算法类中算力较低的币）由于存在算力租赁市场，容易受到廉价的51%攻击，是不安全的。

在最近发表的题为“对抗双花攻击”的论文中，我们讨论了一种防止 51% 攻击弱 PoW 币的策略：受害者可以发起反击。 我们证明受害者有能力在原链上租用算力和挖矿，在发生攻击时超越攻击者的链，这在平衡中阻止了攻击的发生。 调查结果基于以下假设：(1) 受害者遭受中度声誉损害而攻击者没有（例如，如果受到攻击，交易所可能会遭受负面声誉影响，而匿名攻击者则不会），以及 (2) 攻击的净成本增加超过时间（如计算能力的提升等）。 虽然在撰写本文时，没有证据可以最终确定针对双花攻击的真实反击，但我们最近确实观察到了这种可能性。

（上图是逆袭博弈的三个阶段，绿色代表当前最重的公链（即规范链），白色代表较小的支链。最上面的阶段是51%攻击的开始，攻击者 A 向防御者 D 发送交易，但在备用链上，其目的是使原始交易无效。第二阶段显示双花交易的启示，攻击者链成为最重链（规范链）。第三阶段是防御者D反击的结果，D在原链上挖矿，超越攻击者A的区块链。）

2019 年 6 月，我们实施并运行了一个重组跟踪器，监控了当今最流行的 23 个工作量证明 (PoW) 区块链。 对于每种货币，跟踪器检测并保存所有链尖上的数据。 到目前为止，它已经在 Vertcoin、Litecoin Cash、Bitcoin Gold、Verge 和 Hanacoin 上观察到至少六个区块深度的 40 次重组攻击。

比特币黄金的重组攻击与反击

Bitcoin Gold（BTG），于2017年10月24日从比特币分叉出来，截至2020年3月10日市值为1.68亿美元。Bitcoin Gold没有使用比特币的SHA256算法，而是使用了ZHash抗ASIC算法，这意味着矿工可以使用 GPU 进行挖矿。 与 BTC 不同，BTG 会调整每个区块的难度。

然而，BTG 曾多次遭受双花攻击比特币51%攻击，其中最大的一次是 2018 年 5 月的 51% 攻击，当时有 388,000 BTG（当时约合 1800 万美元）被盗。 2020年1月和2月，BTG再次遭到双花攻击。 通过重组跟踪器，我们可以观察到2020年1月23日-2020年2月5日期间发生了8次BTG重组，其中4次涉及双花，涉及12,858个BTG（约合15万美元）。

2月份，我们注意到BTG链上似乎出现了逆袭。 一开始只是典型的重组攻击，一笔交易在一次双花中被逆转，但随后又一次双花被逆转，使得原来的交易再次有效。 2月8日，攻防双方在2.5小时内四次来回激战。 最终，原来的区块链被修复了，所以双花没有解决。 2 月 9 日和 2 月 11 日，我们观察到我们所谓的“一击”反击：攻击者进行重组，防御者只用一次反击就恢复到原来的区块链。

在 2 月 8 日发生的对抗游戏中，双方在争夺 757 和 d5f（译者注：tx 的缩写）两笔交易，攻击者将其替换为交易 50d 和 f38。 AbC 和 AYP（注：地址缩写）共计 4390 BTG（约合 44000 美元）被盗，这些币被发送到 GVe 和 GYz。 最终重组深度为 23，这将为矿工带来约 290 BTG（3000 美元）的区块奖励，约占双花总收入的 7%（更多详情请参见此处）。 请注意，在每对交易中，第二笔交易花费了第一笔交易的输出，即如果第一笔交易因双花而无效，则第二笔交易也将无效。 因此，我们可以将它们视为一个整体。 两个单元具有相同的输入但不同的输出，我们将其解释为被盗地址。

接下来，我们将解释发生在 2 月 8 日的 counter game 的挖矿动态。您可以在此处查看来自两个链的带有时间戳的区块列表。 我们称这些地址为“捍卫者”，“捍卫者”在不是工作量最大的区块链时会在原链上获得挖矿奖励。 而那些一直跟随链工作最多的矿工（即从不在少数支链上挖矿）被认为是“旁观者”。

我们的节点观察到从 06:56 UTC 开始的 4 次重组。 第一次重组用 9 个新区块替换了原始区块链的最后 9 个区块。 在新区块链中，每个区块都有两个攻击者地址：GKGUq2p和Gh46Jw1，并且在分叉区块（区块619935）之后的第一个新区块中存在双花交易。 然后，在世界标准时间 07:35，我们的节点观察到另一次重组，在原始链上挖了另外 4 个区块（难度更大）。 防御者是 GbWi6y7 和 GSsjeTZ。 双方反复交战，之后攻击者放弃并在世界标准时间 08:58 挖出最后一个区块。 根据区块中的时间戳和节点观察到的重组世界，我们对时间线的最佳猜测如下：

算力从何而来？

我们没有确凿的证据证明观察到的任何 BTG 重组都是由 Nicehash 提供支持的。 这种不确定性是由于在没有主动攻击的情况下 BTG 上的价格和可用计算能力的大幅波动。

这与我们最近在使用 Lyra2REv3（从 Nicehash 市场租用哈希率）的 Vertcoin (VTC) 双花攻击中观察到的情况形成对比，我们清楚地看到攻击期间哈希率的价格上涨。 尖峰，并在攻击后返回基线。

哈希率可用性和价格飙升的频率使得我们很难将我们看到的峰值归因于攻击。 但是，市场上有足够的ZHash算力可以执行BTG攻击，并且出现了与检测到的重组事件一致的算力峰值。

Nicehash ZHash检测重组时的行情汇总，红线表示重组事件发生的时间

攻击理论

事实上，攻击是通过在比特币核心节点上调用单个命令来进行的，因此攻击者可能不需要编写任何新代码。

例如，攻击者可能会执行以下操作：

防御者可以简单地在包含双花交易的攻击者区块上调用invalidateblock，这将导致其节点继续在原链上挖矿，而不是重新定位到攻击者链上。

有可能在后两种情况下，攻击者看到受害者反击就停止了攻击。 也许攻击者知道，如果受害者可以反击，那么与受害者战斗就不值得了。 几乎在所有的block battle中，防御者的地址都是GSsjeTZ。 2月1日之前，该地址从未被使用过，反击后，也不再用于挖矿。

不过，这未必是一场有意为之的复仇游戏。 在这里我们讨论其他可能性。

可能性 1：测试

一种解释是，所谓的反击并不是真正的反击，而是被一个试图测试反击软件的实体模拟出来的。 可以想象，一个交易所、商家或者核心开发者写了一个基础设施，当深度重组发生时自动反击，他们想测试他们的软件是否能正常工作。 这可以解释为什么 2 月 6 日发生的反击没有任何双花。

可能性2：矿工战争

矿工们可能一直在互相反击，不是因为他们中的一个或两个有兴趣收回双花资金，而是为了窃取然后收回区块奖励。 同样，2 月 6 日的反击没有双花的事实也支持了这一理论。

可能性三：网络碎片化

这可能是比特币黄金中存在的一个短暂的、反复出现的网络分裂。 有可能与此同时，一些客户端钱包向分裂链的另一端广播了一笔交易，使花费的输出翻倍。 我们不知道有任何比特币黄金钱包软件可以做到这一点。 区块时间戳与此不一致比特币51%攻击，说明矿工在积极挖矿，然后停了好几次。 并且还存在可以伪造的时间戳。 攻击前后攻击者和防御者的地址再也没有被使用过。

可能性 4：软件漏洞

可能是参与挖矿的软件中存在某种错误，导致他们无法在最长的链上挖矿，或者他们不小心调用了 invalidateblock。

可能性五：机会

另一种可能是两个大矿工同时发现了这个区块，这种分裂的概率很低。 这似乎令人难以置信，因为时间戳没有反映这一点，而且最长的重组是 23 个区块；

综上所述

不断增长的计算能力市场可能会破坏工作量证明 (PoW) 加密货币的安全性。 然而，虽然流动哈希率市场的存在表明弱链是脆弱的，但受害者在平衡状态下反击的可能性很可能会阻止攻击。 如果这种力量平衡足以保护区块链，那么这就引出了一个问题，即需要多少工作才能防止攻击？

在这项研究工作中，我们只考虑一个理性的攻击者，如果有非理性的攻击者，他们可能不关心在 51% 攻击中损失的钱，这使他们比潜在的反击者更有优势。 对于此类破坏者，51% 攻击的成本可能仍然是一个重要的威慑力量，就像今天的比特币一样。

致谢：我们要感谢 Dan Aronoff 和 David Parkes，他们是 Counting Double Spend Attacks 论文的合著者。 还要感谢 Tadge Dryja、Madars Virza 和 Gert Jaap Glasbergen 对这项工作的有益反馈。