Модель безопасности Биткоина в условиях снижающейся субсидии на блок
HCNАвторы: Hasu James Prestwich Brandon Curtis
В 2019 развернулась широкая дискуссия относительно безопасности протокола Биткоин при отсуствии субсидии майнерам. Её накал характеризует точка зрения Core разработчика Luke Dash Jr, который призывал к использованию legacy-адресов (начинаются с 1 по-простому) для того, чтобы формировать транзакции большего размера и более полно компенсировать майнеров. В конечном итоге, учитывая высокую адаптацию технологии отделения подписей транзакций (SegWit), и снижения их размера, он предлагал снизить нормативный “вес” блока для того, чтобы снизить стоимость поддержания узлов сети и повысить искусственным образом комиссии в сети. Этот “вес” в целом является искусственной величиной для перерасчёта удельных комиссий при транзакциях legacy и segwit кошельков.
Менее известными являются работы Paul Sztorc, в его блоге TruthCoin. Они относятся к периоду от 2017 года и старше, и связаны с дискуссией о безопасности Proof-of-Work и Proof-of-Stake моделей консенсуса децентрализованных протоколов. Настоящая работа Hasu, James Prestwich, Brandon Curtis содержит имя Пола в благодарностях, и отсылки к его блогу. Среди авторов James Prestwich является довольно известным разработчиком и основателем проекта Summa (их проект – это выпуск токенов, обеспеченных Биткоинами, но в блокчейне Ethereum), Hasu более знаменит публикациями на экономические темы.
Проблема
В рамках протокола Биткоин криптография не всесильна и в архитектуре Биткоина заложена определённая динамика, которая поддерживается балансом “сложности” – отстраиваемого параметра сети, и “хэшрейта” – характеристики мощности оборудования всех майнеров в совокупности. Обе характеристики вычисляются неявно из интервала генерации нового блока – если блоки генерируются чаще, “сложность” повышается по правилу протокола, если реже – снижается.
Кроме этого, существует правило “длинной цепочки” блоков. Некий майнер, используя временное преимущество большей мощности своего оборудования, может сгенерировать достаточно новых блоков, чтобы они были приняты узлами сети, при этом негласно пытаясь обмануть контагента в параллельной цепочке, в которой транзакция будет корректной, а в добытых скрытно блоках – нет. Это так называемая атака “двойной траты”, к которой могут прибегнуть майнеры, которые контролируют половину хэшрейта сети. Чем его больше, начиная от половины, тем больше блоков они могут добыть скрыто и тем больше времени они имеют в распоряжении, чтобы обмануть контрагентов или позволить сделать это кому-то ещё.
За десять лет работы Биткоина не наблюдалось описанных атак. Как предполагают многие, из-за высокой стоимости такой атаки: тот майнер, который её проведёт успешно, разрушит веру в протокол, и обратит свои капитальные инвестиции в оборудование в ноль. Пока субсидия на блок велика, существуют ощутимые альтернативные издержки атаки. Но каждый год субсидия сокращается вдвое, и, кроме этого, цена на Биткоин может как расти, так и падать, а издержки майнеров рассчитываются в долларах. Эта неустойчивость порождает обоснованную неуверенность в уязвимости Биткоина в перспективе следующего десятелетия при дальнейшем снижении эмиссии, особенно если рыночный курс будет недостаточно высок, чтобы покрывать издержки майнеров. Создатели Биткоина (Накамото и Финни) прежде всего имели в виду формирование “рынка комиссий” – совокупного бюджета комиссий, который покроет издержки майнеров, но только сейчас мы подходим к небольшому подобию этого рынка, поскольку субсидии по-прежнему велики и существенно превышают совокупные комиссии на блок.
Модель
Описываемая модель основывается на нескольких уравнениях. Сначала приведём три уравнения, описывающих баланс издержек и выручки майнеров в чистых единицах, то есть биткоинах:
EV(honest mining) – прибыль честного майнинга – ожидаемое количество биткоинов, которое будет получено в результате честной работы.
MR – выручка майнера, в вообще. В случае субсидии в 12.5 биткоинов она составит на 10 блоков 125 BTC.
Предполагая идеальную конкуренцию и свободный вход в майнинг мы будем ожидать, что все майнеры в целом потратят 125 BTC , компенсируя издержки майнера MC, чтобы заработать ту самую выручку.
MEV – потенциальная добыча майнера – количество BTC, которое майнер надеется выйграть в ходе атаки.
Рациональный майнер будет следовать протоколу, вместо атаки, до тех пор, пока EV(HM) > EV(AM).
Авторы также отмечают, что
… разница EV(HM) – EV(AM) будет описывать устойчивость Биткоина против иррационального (“византийского”) агрессора, который не озабочен прибыльностью атаки, но исходит из каких-либо произвольных причин.
При этом ожидаемый доход майнинга на самом деле зависит от рыночных цен, которые описываются уравнениями ниже:
Они зависят от относительной цены BTCUSD после атаки – p(postAttackPrice). В обновлённой версии MEV становится меньше, так как цена Биткоина будет падать в результате атаки, в то время как издержки MC будут постоянными. После атаки майнер не будет иметь меньше номинальных биткоинов, но так как они, например, потеряют 5% покупательной способности, майнеры могут обменять биткоины только на 95% биткоинов, которые у них были перед атакой.
После ввода рыночной цены, ожидаемый доход от атаки EV(attack mining) теперь неприбыльный до тех пор пока выручка честного майнинга MR(honest mining) перекрывает правую часть уравнения p(postAttackPrice) * (MEV + MR(attack mining) – MC).
Капитальные затраты майнеров
Все уравнения выше исходили из нереалистичного предположения, что всё, что нужно для майнинга может быть арендовано по запросу (взгляд, который доминирует среди академических исследователей безопасности протокола прим.авторов исследвания).
Добавляя характеристику цены пост-атаки и вовлечённости майнеров в экосистему, авторы приходят в выводу, что майнеры – это участники протокола с сильнейшей мотивацией в росте цены и, косвенно, сохранении устойчивости работы сети (вспоминаем случай Bitmain в 2017). Если в первом примере атаки (арендованное оборудование), было показано, что при цене постатаки p(postAttackPrice) в 95%, выручка майнеров страдает только в период атаки, который равен 8 блокам, то в случае учёта капитальных затрат, падение цены на 5% затрагивает весь год и выручка уходит в минус – 52 704 блока. 5% снижение уничтожит, в пересчёте, 32 940 BTC, добытых всеми майнерами.
Расчёт с учётом рынка и капитальных затрат:
EV(атака 60% хэшрейта) = 95% * (5 BTC + 8 * 12.5 BTC) - (8 * 12.5
BTC) - 5% * 395,280 BTC = -19.764 BTC
Для атакующего с 60% хэшрейта, ожидаемый доход (MEV), чтобы атака была доходной, должен быть ~21,000 BTC, or $187m в текущих ценах. Нечувствительность MEV показывает, что Биткоин в самом деле безопасен сегодня.
Учёт Консенсуса
В последнем уравнении авторы определяют величину p(followNC) как вероятность координации пользователей вне сети, для подавления консенсуса Накамото. С точки зрения атакующего, это впоследствии снижает полезный эффект атаки, в то же время затраты на атаку остаются прежними.
Так как эффект следования консенсусу Накамото пропорционален MEV и MR, но не капитальным затратам майнеров (MC), эта часть меньше влияет на защиту сети, по сравнению с прочими рыночными механизмами. Учёт консенсуса может быть очень полезен, и его роль может сильно возрасти, если пользователи сети решат совершить хард-форк и сменить алгоритм хэширования Proof-of-Work на какой-либо ещё, либо изменить механизм консенсуса в целом, “откатив” часть истории сети (транзакций).
Итог
Модель представлена в Google Spreadsheets и может быть скачана любым, кто заинтересован в исследовании безопасности протокола в перспективе нескольких лет. Описанные выше 7 уравнений это пожалуй наиболее полная модель из всех существовавших на текущий момент. Работа не содержит широкого исследования академических источников, но мы не считаем это её слабостью, поскольку данное требование является более-менее формальным, принимая во внимание особенную область исследований.