比特幣的時間戳安全性,和限制可接受時間戳窗口的一些簡單規則,在對抗環境中經受了 10 年的考驗,儘管它們存在着已知的缺陷。

原文標題:《Bitcoin Timestamp Security》
撰文:Jameson Lopp
編譯:幣信錢包

比特幣通常被稱爲一種安全的時間戳服務。我們從未獲得過一種帶有可信時間戳的全球性真實記錄,那麼這是怎麼產生的呢?這主要是得益於工作量證明與礦工必須遵守的一些簡單規則的結合。礦工的主要職能是:

  • 獲取無序的未確認交易並以特定順序對其進行排列
  • 將交易打包到有效容器(區塊)當中
  • 在可接受的時間範圍內爲區塊蓋上時間戳

比特幣的時間戳到底有多可靠?

最後一個屬性使得比特幣(Bitcoin)能夠控制比特幣(bitcoin)供應的釋放。否則,只要算力增加,比特幣就會受到快速通脹的影響。但事實證明,這個屬性爲比特幣協議賦予了相當多的實用性,也使得人們可以將比特幣用作其他服務的數據錨點。因爲我們有合理強度的保證,讓時間戳落在給定範圍內,並且我們有重寫區塊鏈歷史所需能量的數學保證,所以,比特幣爲數據的時間戳提供了一個可靠的錨點。但是,它有多可靠呢?

比特幣時間戳的彈性

爲了使區塊頭的時間字段被各個節點視爲有效,它必須滿足兩個標準:

  1. 小於你電腦的當前時間 + 2 小時
  2. 大於過去 11 個區塊的中位數時間戳

第一條規則是有道理的——我們顯然不希望任何人聲稱來自未來,並且,節點很容易拒絕這樣的聲明,因爲我們大家對當前時間是一致認可的。有多種方法可以檢查當前時間,而一種非常流行的計算機同步時鐘的方法,是通過網絡時間協議(Network Time Protocol)。

但是,確保時間不要在合理點之前太遠要難一些。這是因爲我們不能假設節點在區塊被最初創建的時間附近驗證區塊。節點需要能夠離開並重新加入網絡,這可以是出於任何原因或並無理由。如果必須在當前時間的幾個小時內創建區塊,那麼距離鏈頂端太遠的節點將開始拒絕歷史區塊。

節點可以隨意離開並重新加入網絡,接受工作量證明鏈作爲它們離開時發生的事情的證明。
—— 中本聰,《比特幣白皮書》

也許這很違背直覺,但並沒有規則要求區塊的時間戳必須在前一個塊的時間戳之後。如果你考慮一下,這樣一個規則可能會導致問題——如果一個礦工創建了一個時間戳接近未來 2 個小時的區塊,那麼下一個區塊也必須在未來很久以後——對其他礦工來說,自我糾正過去 11 個區塊的中位數時間就更難了。

此外,要記得,雖然預計約每 10 分鐘生產一個區塊,但並沒有真正的保證。區塊的時間間隔可以從幾毫秒到幾個小時不等。雖然過去 11 個區塊的預期中位時間應該是 1 小時前,但它可能早得多或者晚得多。

比特幣的時間戳到底有多可靠?來源:https://en.bitcoin.it/wiki/Confirmation

推動時間戳窗口

如果您考慮一下敵對礦工可能會如何嘗試擴展可接受的時間戳窗口,很明顯,無論他有多少算力,他都無法將時間戳推遲超過 2 小時。然而,一個擁有足夠算力的攻擊者,可能會通過只打包時間戳幾乎沒有效的區塊——過去 11 個塊的中值時間之後僅一秒——來對「比特幣時間」的累進施加一些拖拽。

是否存在激勵去這樣做?在極端情況下,「時間扭曲攻擊」會提供短期的財務激勵,我們將在稍後討論它們。對於只是將時間戳到處拖拽幾個小時,目前還不太清楚可能存在什麼樣的激勵。雖然考慮到其他協議可以構建在比特幣之上(例如閃電網絡)並且可能涉及時間鎖(timelocks),但未來也可能存在其他協議可能被減慢區塊鏈上的時間戳累進騙過去。

算力時間拖拽

由於最早的有效區塊時間基於過去 11 個塊的中位數時間,一個敵對礦工需要生成大量區塊來在過去的中位數時間上引起任何明顯的拖拽。

我們假設一種情況,所有礦工都通過網絡時間協議大致同步,但有一個敵對礦工試圖儘可能地拖拽過去 11 個區塊的中位數時間。

有一點非常明確:中本聰使用過去 11 個區塊的中位數時間戳而非平均值是一個聰明的決定,因爲平均值會更易於操縱。另一種思考「過去的中位數時間」的方法是,如果所有時間戳都按順序排列,它簡單來說就意味着第 6 個最新塊的時間戳。如果不是,算法會對它們重新排序。因此,如果你希望對這個值產生不可忽略的影響,你需要算出過去 11 個塊中的 6 個。爲了維持這種攻擊,你需要 55%的算力,此時比特幣的熱力學安全性的一個主要假設就會破裂。但是運氣好,一個擁有較少算力的礦工有時候仍然可以實現這一目標。

在 11 個塊中挖出 6 個有多難?好吧,給定礦工算出下一個塊的可能性,基本上等同於其佔全網算力的百分比。因此,如果你只有 1%的算力(這仍然相當多),那麼你在任意 11 個連續塊中挖出 6 個的機會 = (0.01⁶_0.99⁵)_(11!/(5!* 6!))= 約 20 億分之一。如果你保持 1%的算力,那麼在你挖出 11 箇中的 6 個之前需要發生的預期塊數將超過 43000 年。

對於實現一次成功的時間拖拽攻擊的預期等待時間,一個更一般化的公式將是:

(1 / (462 * (算力百分比⁶ * (1 – 算力百分比)⁵))) / 144 區塊 / 天 = 天數

比特幣的時間戳到底有多可靠?

我們可以看到,對於想在任何有意義的時間尺度上進行此類攻擊的攻擊者來說,他們需要一個相當大的礦池,至少佔全網算力的 10%。

最大拖拽

然而,爲了在過去的中位數時間上引起最大拖拽,礦工必須連續算出 6 個塊。如果他們在過去 11 個區塊中的 6 個不是全部按順序挖的,那麼其他礦工創建的時間間隔將迫使該敵對礦工將其區塊的時間戳設置爲超過彼此一秒,因爲每個區塊的過去的中位數時間將顯著地跳向誠實礦工在其區塊上設置的更準確的時間戳。

連續挖出 6 個塊有多難?如果我們再次假設礦工擁有 1%的全網算力,那麼挖到任意連續 6 個塊的機會是 0.01⁶ = 大約萬億分之一。如果你保持 1%的算力,那麼在你挖出連續 6 個塊之前需要發生的預期塊數將近 200 萬年。

對於一次成功的時間拖拽攻擊的預期時間,更一般化版本的公式將是:

(1 / 算力百分比⁶ ) / 144 區塊 / 天 = 天數

比特幣的時間戳到底有多可靠?

這種攻擊更難以實現,需要更多的全網算力,比如 20%或 30%,才能在合理的時間範圍內發生。你可以想象,這很少發生,而當它發生時,人們會注意到。它最後一次發生,是在 2014 年 7 月的 GHash,GHash 有一段時間算力超過了 40%,甚至在短時間內觸及了 51%。再 9 個月前也發生了一次,當時 BTC Guild 有近一半的算力。如果你有 50%的算力,你連續挖出 6 個塊的機會是 0.5⁶ = 64 分之一。如果你保持 50%的算力,那麼你幾乎每 12 小時就能連續找到 6 個塊。

很明顯,在沒有大多數算力的情況下,不可能長期拖拽比特幣的過去的中位數時間,但是你可以在短時間內(一個塊左右)用運氣和耐心的正確組合拖動它幾個小時。如果你假設其他礦工的時間戳相當準確,那麼過去的中位數時間應該大約是 1 小時前,雖然由於挖出的區塊的波動性可能會多出幾個小時。如果您設法制作 6 個時間戳爲 1 小時前加 1 秒、2 秒、3 秒等的塊,那麼在第 6 個塊,過去的中位數時間就大約是 2 小時前。如果我們假設區塊間隔爲 1 小時的極端條件,則過去的中位數時間將是 6 小時前。

通過允許區塊時間戳存在合理的靈活性,然後採用最近區塊的中位數時間,我們最終得到一種非常難以愚弄的算法,但又不那麼脆弱,以至於對與真實時間不同步的礦工產生負面影響。

讓我們再做下時間扭曲

如果攻擊者確實擁有超過 50%的全網算力並且他們想減緩比特幣時間的流逝怎麼辦?他們可以做一些非常討厭的事。這樣的敵對礦工可以防止時間戳以每個新區塊超過 1 秒的速度前進。如果他們在足夠長的時間裏一直這麼做,並最終在難度調整間隔上創建了區塊,而時間戳使得它看起來像創建時間遠超 2 周的之前的 2016 個區塊,他們就可以操縱調整邏輯,讓每 2016 個區塊的難度減少高達 75%。最終,在難度足夠低的情況下,他們可以在給定的時間段內隨心所欲地產生區塊,從而獲得高於預期的挖礦獎勵。一次優化的時間扭曲攻擊可以在 18.7 天內挖出所有剩餘的比特幣。我們實際上已經看到類似的行爲發生在比特幣的測試網 3 上,因爲難度調整異常,現在測試網 3 在 8 年內挖出了 1482878 個區塊,約爲預期產量的 350%。

時間扭曲攻擊並不是什麼新鮮事。這種攻擊最初是在 2011 年針對一種名爲「Geist Geld」的幣進行的,這在 BitcoinTalk 上被討論爲 51%攻擊的變種。Geist Geld 想通過非常短的出塊時間來測試區塊生成速率的上限,以及具有(幾乎)穩定的生成速率且沒有供應上限或供應變化的加密貨幣的行爲。

白幣(Whitecoin)在 2014 年似乎也遭到了時間扭曲攻擊。

在 2018 年,Verge 受到了這樣的攻擊。然後在 6 周後再次被攻擊!

通常,對於給定類型的硬件(ASIC 或 GPU),算力小的加密貨幣容易受到時間扭曲攻擊,因爲它們本身容易受到 51%攻擊。

有趣的是,雖然時間扭曲通常被稱爲攻擊,因爲它會導致系統的意外行爲,但是有些人已經表明它可以被用於潛在的期望用途。 2015 年,Vitalik Buterin 描述了一種通過一次軟分叉加速區塊從而提高了鏈上容量的方法。在 2018 年,比特幣開發者馬克·弗裏鄧巴赫(Mark Friedenbach)提出了利用這種意外行爲的建議,以便爲比特幣添加新功能。在他的「前向區塊(Forward Blocks)」提案中,馬克闡述了他的方法,它可以將鏈上交易量擴容到當前水平的 3584 倍,以向後兼容的方式改變工作量證明算法,分片,一個可退回的費用市場用於共識費用檢測,平滑地終止礦工補貼,以及保密交易的先決協議,mimblewimble,不可鏈接的匿名支出和側鏈。

然而,這些提議是有爭議的,並可能會強迫那些依靠比特幣區塊頭的時間戳來構建的系統對該數據另尋出路。正如 GregMaxwell 在比特幣開發者郵件列表上所說的那樣,阻止這樣的改變也相當容易:

它可以通過一次進一步限制區塊時間戳的軟分叉來修復,並且沿着這個思路人們已經提出了一些提案。

結論

比特幣的時間戳安全性,和限制可接受時間戳窗口的一些簡單規則,在對抗環境中經受了 10 年的考驗,儘管它們存在着已知的缺陷。我們知道,51%的礦工可能會在網絡上造成嚴重破壞,至少在短時間內會如此,但這種情況從未發生過——可能是因爲激勵措施並不適合礦工這樣做。理性的礦工不會選擇短期收益而殺死長期的金鵝。

來源鏈接:medium.com