加密货币分叉攻击概率和盈利能力的快速模型评估

467叉子多少钱？临时分叉期间的快速概率和Aljosha Judmayeraljosha.univie.ac.at维也纳大学和SBA研究菲利普·辛德勒pschindler@sba-research.orgSBA研究和维也纳大学摘要在评估流行加密货币的安全性和稳定性时，估计不同攻击的概率以及盈利能力至关重要。以前的经典链竞赛攻击的建模尝试有不同的缺点：它们要么专注于理论场景，如无限的攻击持续时间，不考虑已经贡献的块，假设诚实的受害者一旦落后就立即停止扩展他们的链，或者依赖于计算量大的方法，当需要快速决策时，这些方法不适合。 在本文中，我们提出了一个简单而实用的模型来计算有限攻击的成功概率，同时考虑已经贡献的区块和不易放弃的受害者。在此，我们介绍了不同参与者类型之间的更细粒度的区别，以及他们在攻击过程中采取的立场所提出的模型简化了在实际环境中评估分叉的盈利能力，同时还能够在某些情况下快速和更准确地估计经济安全受资助者通过在贿赂攻击的背景下应用和测试我们的模型，我们进一步强调攻击者补偿已经贡献的攻击链块的方法更好和更真实的攻击模型也有助于发现和解释在加密货币的实证分析中观察到的某些事件，或为未来的研究提供有价值的方向。 为了更好的可重复性和促进该领域的进一步研究，所有源代码，工件和计算都可以在GitHub上获得。CCS概念• 安全和隐私→安全和隐私的经济性;·网络→应用层协议;·计算方法学→建模和仿真。关键词加密货币，分叉，攻击概率，攻击盈利能力允许免费制作本作品的全部或部分的数字或硬拷贝，以供个人或课堂使用，前提是制作或分发副本的目的不是为了盈利或商业利益，并且副本的第一页上有本声明和完整的引用。必须尊重作者以外的其他人拥有的本作品组件的版权。允许使用学分进行摘要 以其他方式复制、重新发布、在服务器上发布或重新分发到列表，需要事先获得特定许可和/或付费。 请求权限请发邮件至permissions@acm.org。WWW©2022版权归所有者/作者所有。授权给ACM的出版权ACM ISBN 978-1-4503-9130-6/22/04。. . 十五块https://doi.org/10.1145/3487553.3524627尼古拉斯·斯蒂夫特nicholas. univie.ac.at维也纳大学和SBA研究Edgar Weippeledgar.univie.ac.at维也纳大学ACM参考格式：Aljosha Judmayer ， Nicholas Stifter ， Philipp Schindler 和 EdgarWeippel。2022. 叉子多少钱临时分叉期间的快速概率和盈利能力计算。在网络会议2022（WWW '22同伴）的同伴程序，2022年4月25日至29日，虚拟活 动 ， 里 昂 ， 法 国 。 ACM ， 美 国 纽 约 州 纽 约 市 ， 11 页 。https://doi.org/10.1145/3487553.35246271介绍每当一个矿工在一个无许可的工作量证明（PoW）加密货币中检测到一个分叉，这个矿工必须决定扩展哪个链，也就是说，在哪里最好地利用她的哈希率。作为一个以利润为导向的经济理性的矿工，她希望尽可能快地选择下一个区块的预期利润更高的链为了实现最大利润，除了下一个区块的区块奖励之外，还必须考虑其他收入机会，例如贿赂[1]，或者其他增加矿工可提取价值（MEV）的方式[2，3，12]。我们提出并应用了一个简单的模型，该模型是针对选择分叉的最有利可图的分支以及评估该分支成为规范分支的概率的问题而定制的从几个不同的角度对PoW加密货币的安全性进行了建模。Rosenfeld[13]的第一种方法强调，任何攻击者的哈希率都可能成功地进行双重支出（不需要多数），假设所有非攻击节点都是诚实的，并且一旦攻击链成为最长/最重的链，就接受攻击链。因此，从攻击者的角度来看，隐含地假设无限的攻击持续时间此外，参与者的潜在激励被忽视。 Liao和Katz [8]在鲸鱼交易激励的链叉背景下扩展了Rosenfeld [13]的分析，即， 收取高额费用的交易可被视为贿赂。他们的模型很简单，专门针对贿赂，但没有考虑到已经贡献的区块、有限攻击和不立即接受更长链的受害者。本文在Liao和Katz [8]的模型的基础上，将其推广到有限马尔可夫链。 在加密货币的背景下，马尔可夫链主要用于对自私挖掘进行建模[4，11]，然而，据我们所知，并不直接用于对双重支出或贿赂攻击进行建模。马尔可夫决策过程（MDP）在过去被成功地用于对PoW加密货币的某些安全方面进行建模，例如自私采矿[5，14]或双重支出[5，18]。[ 5 ]中的双支出MDP是相当通用的，并且结合了许多参数（例如陈旧块速率和网络连接）。468.I=WWW叉子多少钱？在不利的方面，它假设一旦敌对链领先于主链，就到达退出状态。但这一假设在实践中可能不成立，特别是在考虑经济上合理的受害者此外，调整现有的基于MDP的方法来考虑已经贡献给分叉/主链的关于盈利能力的区块并不是直截了当的，因为它需要对当前可用的MDP的设计进行实质性的改变。 我们避免了这个问题，通过使用马尔可夫链来计算所需的概率，并将这些概率嵌入到一个公式中，该公式考虑了每个链中已经贡献的区块。最后但并非最不重要的是，评估有限复杂的MDP并应用二叉搜索来找到最大奖励比评估有限马尔可夫链更耗时。 由于运行时间在很大程度上取决于所选择的模型和具体的参数化，如果底层模型不完全相同，则准确的比较当然是不可能的，但是为了给读者一些直觉，我们提供了一个近似值，假设当前的台式计算机作为底层硬件：在这种情况下，用于寻找最佳策略的广泛使用的MDP [5，18]具有多分钟范围内的运行时间，而我们的方法在毫秒内提供结果，针对大约6个块的实际分叉范围进行参数化。 即使参数化了数千个区块长的分叉，我们的方法仍然可以在几秒钟内提供结果。 这是可能的，因为所需的计算主要包括矩阵乘法和封闭形式的公式。总之，我们的方法补充了用于找到最佳策略的既定MDP，因为它不包含网络延迟或过时的块率，但它提供了一个面向实际且可快速计算的模型，该模型还考虑了经济上合理的受害者和已经贡献的块。因此，我们的方法提出了一种可行的替代方案，特别是对于MDP所施加的开销是不希望的或不可接受的情况。所有源代码以及所有生成的工件都可以在GitHub 1上找到。从实证分析的角度来看，对流行加密货币的攻击是有帮助的，因为它们可能为观察到的分叉模式提供解释，或者为未来的研究和测量提供有价值的方向，这些研究和测量旨在检测与矿工恶意活动相关的分叉模式1.1相关工作正如我们之前在本介绍开始时所讨论的那样，在加密货币的背景下，马尔可夫链主要用于对自私挖掘进行建模[4，11]。 更复杂的是，马尔可夫决策过程已被用于模拟自私挖掘[5，14]以及双重支出[5，18]。与我们的方法最接近的是罗森菲尔德[13]开始的关于双重支出分析的研究路线，廖和卡茨[8]将其扩展到包含贿赂/激励的基本概念这也是已经提出，并使用Gervais等人的MDP进行了简要说明。 [5]，导出证明分叉所需的最小MEV值和哈希率的阈值。我们的工作可以被看作是从不同角度对这个问题的扩展，没有前面提到的基于MDP的方法的缺点，同时考虑到已经贡献给分叉的块和经济上理性的受害者。1.2本文结构在本文中，我们的目标是从单个矿工的角度建模和分析一系列不同的攻击。这些攻击包括经典的最长链竞赛[13]，但也包括贿赂[1]和其他涉及额外收入的攻击，例如MEV机会[2，18]和算法激励操纵攻击[7]。在第2节中，我们首先扩展了Judmayer等人提供的系统模型[6，7]，例如允许受害者拥有哈希率。 在第3节中，我们建立并扩展了Liao和Katz [8]提出的计算方法。在第3.1节中，我们首先使用我们在第2节中新引入的符号描述他们的原始方法。 我们在第3.2节中考虑了已经贡献的区块，在第3.3节中考虑了经济上合理的受害者以及对参与者具有不同疼痛阈值的有限攻击，在第3.4节中考虑了具有努力相关补偿方法的经济激励攻击。2球员的角色、类型和阵容在这项工作中，我们分析的重点是矿工，然而，为了增加我们模型的可扩展性，并为进一步讨论提供定义，我们区分了两个玩家角色（矿工和用户）和三种玩家类型（利他主义，拜占庭和理性）。每个玩家必须有一个角色，同时属于三种类型的演员之一2。一般来说，角色定义了玩家的能力，而玩家类型定义了他们的整体战略行为。此外，在攻击过程中，理性参与者类型的行动者可以站在三个方面之一（提取者，受害者和中立者）。在进攻过程中，理性的球员会站在哪一边取决于各种因素，这些因素会影响各自球员的价值，例如已经贡献的盖帽一条链子。 所有参与者的集合记为P，参与者的数量为|P |. 所述多组图案以书法字母表示，例如，A，B，R，M，U，其中P=M<$U=A <$B <$R。2.1玩家角色角色定 义了玩家的 能力 如果参 与者 i 控制 了某 个 算 力 pi ，|P1|pi=1，他是矿工集合M的一部分，因此称为矿工。P中的矿工数量表示为|M |. 如果一个计划者没有任何哈希表，他就是计划的一部分用户U的集合，因此项ed。阿乌塞河你的号码。P中的sers是我们在手头的文件中扩展的模型最近，一系列的工作经验分析和自动化的发现和可能的开发MEV的机会[2，16，19，20]。我们的工作与这一研究方向是正交的，最好通过详细说明是否加入/或启动区块链分叉来寻找错过的MEV机会来进行比较。在Zhou et al.[18]这个问题也1https://github.com/kernoelpanic/howmuchisthefork_artefacts表示|U|. 它认为我|=M1|pi=1，其中，我|=U1|pi=0。2.2球员类型不同的类型定义了参与者的一般策略行为对于我们的分析，我们唯一地将参与者i∈ P分配给三个相互不相交的参与者类型之一，s.t.P=A B R。[2]在这部作品中，演员和演员这个词可以互换使用469一BRIRE V I–EEVV我.Σ∈V∈E∈VA∈A∈E（）Ctotal hashrate s.t.pR=R（）∈I我|=R1|pRi成立。一个有理数的例子叉子多少钱快速概率和盈利能力计算在临时叉WWW '22同伴，2022年4月25日至29日，虚拟事件，里昂，法国。利他参与人（Altruistic players）：行为利他的参与人集合他们总是遵循协议的规则，因此不会偏离，即使这会提供更高的利润。这些参与者的累计哈希率由p A表示。拜占庭玩家（Byzantine players）：一组玩家或一个玩家，其行为拜占庭，从而以最具破坏性的方式进行，例如，通过实施攻击。这些玩家的累计哈希率由p B表示。理性参与者（Rationalplayers）：在经济考虑下采取理性行为的参与者集合他们遵循初始协议的规则，只要没有其他策略产生更高的利润。这些玩家的累计哈希率表示为pR = 1 −（p A +p B）。理性参与人的数量是表示为|R|，whe ee.每一个计划者都要承担一小部分方法。在这项工作中，我们通过p，s.t.，p=p+p+p。为了说明将经济上合理的行动者分成上述各方取决于观点，我们现在提供一个例子。2.4 示例：（未缩进）分叉当矿工Alice（A）没有及时收到来自矿工Bob（B）的最新区块bnB时，她继续尝试扩展旧区块bn1。如果现在爱丽丝发现一个块bn′并发布它，这导致了一个不缩进的分叉，其中Bob将在他的块bnB上建 立，而Alice将继续在她的块bn′A上挖掘，即使在接收到Bob的块相同高度之后。 尽管在正常协议操作期间可能会发生这种情况，但此时鲍勃和爱丽丝无法判断这是巧合还是演员：Rachel（R） 理性球员是唯一一种在进攻中可以进一步分为不同阵营的球员（见2.3节）。合理性总是取决于所讨论的某个优化标准，即， 通过合理的行为优化参数。 在本文中，合理的标准是短期资金最大化，假设汇率保持不变，类似于大多数分析方法[8]。所以理性玩家面临的问题是：也就是说，最赚钱的连锁店。2.3 玩家阵营在进攻过程中，一个理性的球员也可以根据她在各自的进攻中所采取的立场这只与理性的参与者有关，因为如果这能保证更高的利润，他们可能会改变策略，而利他主义的参与者则永远不会改变策略。 在任意点，R=E<$V<$I成立。Extractor（s）/Exploiter（s）（）：不遵守协议规定规则以获得财务优势的参与者集合。 他们寻求利用额外的价值提取机会，例如抢先交易、套利、审查、双重支出或任何其他攻击媒介，以增加他们的MEV，超过他们通过区块奖励和费用获得的价值。因此，他们可能愿意分享一些奖励，以贿赂其他矿工，以帮助他们的攻击。这组玩家的哈希值为p。他们加入（或被认为加入）攻击以获得利润。Victim（s）（）：如果所描述的攻击成功，将损失资金的玩家集合，例如，一个商人谁是双重消费的受害者这组玩家的哈希值为p。受害者肯定会对正在进行的攻击起作用，如果这在经济上是合理的，甚至可能发动反击冷漠（）：尽管攻击正在进行，但仍遵循协议规定规则的参与者集合。当攻击成功时，这一方既不获利也不损失这些参与者和利他主义矿工的区别在于，这些冷漠的理性矿工一旦受到攻击的正面或负面影响，就会改变策略。因此，只要它们的情况没有改变，它们也可以被建模为pA的一部分，这在以前的建模中是隐含的在较长的一段时间内，有可能检测到区块分布的倾斜和分叉的发生，这将表明恶意挖掘活动。然而，对于单一事件，攻击和正常操作之间的这种区分是困难的。因此，从另一方的角度来看，爱丽丝和鲍勃也可以被视为敌对的从鲍勃的角度来看，爱丽丝将是侵略者，即，A，他是受害者B，因为如果bn′Abe是最长链的一部分，他将失去来自块b nB的奖励。来自同行如果是Alice，Bob将是攻击者，即，B ， 她是受害者A因为她会失去她的资金，如果bnB成为最长链的一部分。在两个区块中的交易是相等的假设下，所有其他理性矿工从两个角度都是无所谓的，因为他们对两个区块中的一个没有任何偏好，即，一B.如果现在Carol发现并发布了一个新的块bn+1，它建立在Alice（bn′A）的块上，情况再次发生变化，这取决于Bob是哪种类型的Actor。如果鲍勃是利他主义者（二））他切换到较长的链条，叉子就结束了。如果Bob是拜占庭的，那么他的行动可以被建模为最坏的反应，而不考虑他的个人损失或收益，即， 在这种情况下，继续在bnB顶部采矿。如果鲍勃在经济上是理性的，他选择采用哪条链将取决于他的预期利润，因此也取决于他的算力和赢得比赛的机会。此外，中立矿工的集合也发生了变化：Carol现在显然对保持包含她的区块的最长链感兴趣此外，所有其他矿工在最长链上获得奖励的机会比在较短链上获得奖励的机会更高，因此他们在最长链上的预期奖励也会更高。3概率和盈利能力计算在本节中，我们将重点讨论在分叉的情况下扩展哪个链的问题，即，下一个区块提供最大的预期利润。 我们从一个具有hahsrate p m的个体理性矿工m的角度来解决这个问题。因此，我们建立在Liao和Katz [8]的模型上，我们首先将其转换为本工作中使用的符号，然后对其进行扩展。因此，我们这是因为恶意活动。只有这种模式持续下去470.ΣVE我RE VI∞·（）对 于k没关系Σ.ΣpA+pV+pI/BBEz+1WWW叉子多少钱？考虑已经贡献的区块，有限的攻击持续时间和玩家的个体疼痛阈值，以及经济上合理的受害者。3.1计算预期利润的基本模型在有多个链的任何场景，计算下一个区块预期利润的内在要求可以扩展的是，将工作的总哈希率基于经济上合理的决策，即采矿通常可以获利。为了比较扩展两条不同链的预期利润，我们将奖励标准化为1（rblock=rblockreward+rfee = 1），并假设汇率以及块的价值收益保持不变。 然后，如果分叉/攻击失败，主链上一个新区块的预期奖励m由等式4给出。每个人都有自己的故事，就像在[8]中所做考虑到所有参与者在经济上都是理性的，ρmain1− P（成功弃权）·pmpA+pV+pI+pm（四）（p=1），矿工m必须估计p，p和p，以便计算下一个区块的预期收益因此，假设在攻击链上工作，并假设在主链上工作，因为这些链为他们提供更多的个人利润。中的玩家是无所谓的，因为他们既不会从攻击中损失也不会从中获利，因此总是在当前最长的链上工作。对这种情况的一个可能的解释（考虑到各方可获得的信息不完整）可能是，漠不关心的矿工还没有意识到正在进行有利可图的攻击另一种解释是，他们从攻击中获得的潜在收益正好抵消了他们在主链上的预期损失。在[10，13]中定义了攻击链或分叉在无限次尝试/区块（N =）的情况下追赶的概率，如果它落后z个区块，则由公式1给出。相反，如果分叉/攻击成功，则攻击链上一个新区块的预期奖励m由等式5给出。ρP（成功加入）·pm+1（5）pB+pE+pm等式5已经包含了一个潜在的贿赂金，它是在竞争攻击链中以每个区块为基础因此，也可以对参与贿赂[1]或算法激励操纵[7]攻击的矿工的预期利润进行建模。 如果应该对没有任何贿赂的无意分叉进行建模，则可以将设置为零。为了得到所需的贿赂回报，正如[8]中所做的那样，分叉/攻击链上的预期回报必须大于主链上这意味着等式5必须大于4，也就是说， ρf ork> ρmain. 重新排列这种不平等产生。P（成功）攻击）. 1 −。ppB+pEpz+1p+p+p>A+pV+pI+m分支链上的哈希率z+1主链上的哈希率0。5p≤ 0d和pz+11-p如果z≥=· BE布勒姆–如果z<0或p> 0，则为1。5（一）行贿者可以用这个公式来估计所需的金额，贿赂来说服其他经济上理性的矿工加入攻击。在分叉/攻击的情况下，矿工m有两个选择：要么m加入攻击并扩展分叉，要么m放弃攻击并扩展主链。 根据这个决定，攻击的成功概率随着pm被添加到在相应链上工作的哈希率而改变，从而反对另一个。在这两种情况下，fork的成功概率如下所示。P（成功加入）当分析无限攻击持续时间的情况时（即，等式1）可以进行关于该方法的伪像的有趣观察。 如果攻击者的哈希值超过0。381966. . . 则在长度为1（z = 1）的分叉中，停留在分叉上的下一个区块的预期概率高于其在主链上的概率，即，在等效哈希率参与诚实挖掘的情况这个特定的哈希值已经在加密货币的背景下出现在一些出版物中[9，15]，但从未详细讨论过附录A没关系 pB+pE+pm<$z+1，若z≥0且p+p+p ≤ 0。第五章（二）Em概述了为什么存在正好为1/2的哈希率的边界，它来自哪里1，如果z <0或p B + p E +pm> 0。5P（成功弃权）我们现在将建立在Liao和Katz [8]的模型基础上，并通过考虑已贡献区块的影响来增强该模型好吧p+p1捷克共和国+1然后考虑有限的攻击持续时间和经济合理性pA+pB+pE+pm如果z ≥ 0且pB + pE ≤ 0.5受害者V如果z<或p+p> 0。5由于我们的目标是比较在相同加密货币的不同链上挖矿的盈利能力，因此无论哈希率是pm在哪个链上挖矿，挖矿的成本都是相同的。因此，如[8]所示，我们可以在计算中忽略挖矿的运营成本，因为它在所有链上都是相同的此外，我们的计算中不包括购买采矿硬件的成本3.2考虑已贡献的块据我们所知，以前所有计算攻击成功概率隐含地假设所有非攻击矿工一旦超过诚实链就立即切换到攻击链。这一假设在实践中不太可能成立，因为它忽略了那些矿工已经附加到竞争链上的区块因此，如果矿工应该被建模为经济上合理的，已经开采的区块必须pA+pV+pI+pmpB+pE+pmpA+pV+pI471BEEBBV我我AABEAI+叉子多少钱快速概率和盈利能力计算在临时叉WWW '22同伴，2022年4月25日至29日，虚拟事件，里昂，法国。被考虑在内。因此，我们从[8]中改进了所提出的模型，以考虑理性矿工和已经贡献的区块。作为第一步，我们扩展了[ 8 ]中的模型，并考虑了m已经贡献给相应链的区块。例如，如果m已经向主链贡献了两个区块，如果攻击成功，这将不会得到奖励，这表示为ηmain= 2。已经贡献给攻击链（如果有的话）的块的数量m由ηattack表示。 可能存在两个值（ηmain，ηattack）都大于0的情况，因此我们必须在计算中考虑到这一点。这可能发生在m首先在主链上工作，然后切换到攻击时。然后，当攻击仍在进行时，m评估从她的角度来看继续进行攻击是否有意义。因此，如果分叉/攻击失败，主链中一个新区块的预期奖励（归一化）数量由公式7给出。 由于空间原因，我们将P（成功弃权）改为P（弃权）。ρ主BL. ➟图1：给出下一个区块的预期奖励（ρ）.1 − P（弃权）·pm。p+p+p+p在y轴上，而在con下矿工的哈希率pm（七）A.VIm+不同挖矿场景的盈利能力分析相对于攻击链相反，如果攻击成功，则攻击链上的一个新区块的区块奖励数量（归一化为1）的奖励由等式8给出。 这假设贿赂是为攻击链上的每个贡献区块支付的，但其他变体也是可能的。为了评估一个无意的分叉而不贿赂，可以将“不贿赂”设置为零。 由于空间原因，我们再次将P（成功连接）替换为P（连接）。ρfork bl. ➟我们现在扩大模型以考虑理性受害者和有限攻击。3.3考虑经济理性受害者和有限攻击我们现在想为理性矿工建模，他们不会立即. P（join）·pm·（n+1）np. B + pE + pm（八）Σ一旦攻击链处于领先地位，就切换到攻击链，例如，因为他们已经为主链贡献了区块，在这种情况下他们会失去继续开采的矿工们+ηf ork·（n+1）·P（ join）+ηmain·（1 −P（ join））主链可以被视为具有哈希率pV的受害者（V），有了这些等式，理性矿工现在可以比较两条链上可实现的回报，并选择最有利可图的一条。通过这种方式，也可以捕获和比较矿工向两个或更多个链贡献区块的情况。图1显示了不同哈希率和已经贡献的区块的比较。可以观察到，一旦矿工已经向链贡献了一个区块，他在该链上的预期利润就会显著增加。 这使得在这种情况下，理性的玩家不太可能在攻击链领先时立即切换到攻击链。此外，可以观察到，如果存在另一个攻击者（p> 0），则加入攻击变得比更早地留在主链上更有利可图，即，具有较低的散列率PM。虽然，如果其他成功机会较低的人正在攻击链上工作，那么留在主链上的利润会稍微高一些，因为在这种情况下，较少的哈希率集中在主链上。在另一个方向上也是如此，但由于攻击链上的整体哈希率较低，潜在收益较高，因为它们必须在较少的玩家中分配。由于这种情况下的概率计算仍然隐含地假设受害者将在他们的链落后时立即切换，并且攻击者将无限长地坚持他们的链而一旦攻击链领先就切换到攻击链的矿工可以被视为具有散列率p的利他（），或者被视为具有散列率p的冷漠（）。开始在分叉/攻击链上工作的矿工可以被视为拜占庭（）与哈希率p，或者如果他们在经济上是合理的，则作为提取器（）与哈希率p。如果攻击链获胜，最后两组矿工将获利我们的攻击模型，这是不是立即结束，只要攻击链带头，使用有限马尔可夫链。 由于我们只对建模实际的有限攻击感兴趣，因此对于两个链相对于彼此增长的实际合理范围，使用有限马尔可夫链就足够了。因此，受害者（）的集合将抵抗攻击，即使他们的（前一个主）链已经落后。他们将只放弃如果一个可配置的铅（→−k），在块方面，是reached。与此相反，攻击者和可贿赂的理性矿工在fork的攻击链（）上工作。第三部分矿工由利他主义者和中立的理性矿工组成，他们要 么支持攻击，要么反对攻击，这取决于哪条链目前最 长（）。最后两组的区别在于，利他主义的矿工永远不会支持更短的链，ηmain·（1− P（ abstract））在x轴上给出了考虑。这些数字显示了一个COM-P（abstract）·ηfΣ472开始pB+pE+pB+pEpB+pEpB+pEpA+pIpB+pE+pA+pIS←−-k...S−1S0S1...S→−KpA+pIpA+pIpA+pIpV+pV+pV+pVpVVBEVBE..Σ1−qWWW叉子多少钱？1（放弃）失去赢得1（明确获胜）图2：用于建模有限攻击和持久受害者（p-V）的马尔可夫链而无关紧要的矿工的决定可能会根据他们的预期利润而改变。由于我们只对实际攻击感兴趣，因此它们具有一定的有限最大持续时间。这是假设分叉持续的块数（N），即，所涉各方可以提供资金的期限。在我们的模型中，这是马尔可夫链中采取的步骤数（见图2）。此外，两个对立方（反对方）中的每一方在区块链方面都有一定的痛苦阈值，他们的链可以落后，直到他们认为他们不太可能再次赶上。为 的这个号码块的项由→−k定义，其中该值的reas为<$k−。从攻击者的角度来看这种竞赛的获胜条件可以用两种方式定义Win：右侧状态的所有概率之和，其中攻击链是总共N个区块之后的最长链，即，马尔可夫链中的步骤全胜：攻击链优势为→−ks. t时全胜状态的成功概率，受害者就会放弃对于攻击者来说，其他任何状态都是失败的状态 开始状态由攻击者的初始劣势z定义。通常用于块排除（也称为审查）攻击，并错过图3：无限攻击成功概率与我们的有限马尔可夫链模型的比较，攻击持续时间N=→−k（x轴）。我们将其扩展到也考虑这样的攻击，其中贿赂者补偿参与的贿赂者以获得贡献的块，即使攻击作为一个整体并不成功。3.4贡献块的工作相关补偿以前的研究表明，即使整个攻击不成功，行贿也是一种可行的策略。在论文[17]中，作者描述了有效的交易审查攻击，这些攻击通过为自满的区块付费来操作 在文献[6]中描述了一种双重花费攻击，其中攻击者补偿已经贡献给攻击分支的块，即使攻击作为一个整体不成功。 为了评估整体攻击的成本，论文[6]的作者模拟了不同的场景，从而集中在贿赂者的角度。MEV机会，z=1，因此S-1是起始状态。在本文中，我们要说明的经济可行性，从受贿人个人的角度来看，也就是说，一个为了验证我们的方法，我们现在想使用马尔可夫链模型来近似经典无限攻击的成功概率4，其中防御者不是理性的，一旦落后就放弃。因此，我们必须配置我们的马尔可夫链模型如下：设置→−k=1，并将N与←k−一样增加到接近无限跑攻击的成功概率图3显示，随着N的增长，我们的马尔可夫模型接近无限运行攻击的最大成功概率。我们现在使用在我们的马尔可夫链的N次迭代之后的所有成功状态的概率，以利用经由马尔可夫链计算的攻击的成功概率来替换等式7和8中的概率计算，而不是使用无限成功概率计算。因此，我们也可以使用同样的公式，但现在用不同的概率计算。经济理性的矿工M.因此，我们以一种确保即使攻击不成功也能补偿已经贡献的区块的方式，增加了任何一条链上下一个区块的预期盈利能力计算。在这种情况下，为了计算主链上下一个区块的预期利润，公式7被扩展为还包括对贡献给分叉的区块的补偿。 乍一看，这似乎是违反直觉的，但这捕获了矿工m已经向分叉贡献区块并考虑切换回主链的情况。在这种情况下，即使主链获胜，m也会无条件地获得对已经贡献的攻击区块的补偿，如果分叉成功而主链失败，m还会获得对攻击区块的贿赂。ρ主压缩机➟在我们比较使用这个新模型的一些示例场景.1 − P（弃权）·pm。中文（简体）3对于分析结果，这两组（A和I）的结果相似。我pA+pV+pI++pmηmain·（1 −P（abstract））Σ如果不是这种情况，马尔可夫链可以被扩充。例如如果链处于领先地位，则可以对散列率p进行建模，以支持或对抗攻击对于足够大数量的块。其中q是攻击者的哈希值s.t.qz+1，如[10，13]中所定义+ηf ork+ηf ork··P（弃权）（十）··473V叉子多少钱快速概率和盈利能力计算在临时叉WWW '22同伴，2022年4月25日至29日，虚拟事件，里昂，法国。(a) 型号：Min. 对于ρf或k> ρmain，具有经典的无限概率(b) 型号：Min. 对于ρf或k> ρmain，使用马尔可夫概率(c) 型号：Min. 对于ρf或k> ρmain，使用马尔可夫概率(d) 型号：最小直径为ρforkbl。 >ρmainbl. ，其中概率来自Mark ov链Conf.： pV=0。25，z=1，→−k=3，<$k−=6，N=6，ηmain=1(e) 型号：Min. 用于ρ叉压缩机 > ρ主压缩机，其中概率来自Mark ov链Conf.： pV=0。25，z=1，→−k=3，<$k−=6，N=6，ηmain=1(f) 型号：Min. 用于ρ叉压缩机 > ρ主压缩机，其中概率来自Mark ov链Conf.： pV=0。25，z=1，→−k=3，←k−=6，N= 6(g) 型号：最小直径为ρforkbl。 > ρmainbl. ，概率来自（h）模型：最小。 用于ρ叉压缩机 > ρ主压缩机，概率来自标记链配置： pV=0。25，z=6，→−k=3，←k−10、η攻击 =3= 9，N=标记链配置： p=0。2 5，z=6，→−k=3，←k−=9，N=1 0，ηmain=3图4：针对不同模型和配置，以归一化区块奖励形式给出的每区块最小贿赂值。因此，λ从0（蓝色）达到10或更高（红色）。y轴表示pE，而x轴表示pm。 虚线标记pE+pm= 0。五、计算（公式6）。确认：z= 1，N= ∞链配置： pV=0，z=1，→−k=1，←k−=6，N=6链配置： pV=0。25，z=1，→−k=3，←k−=6，N=6474EEVE+ ηf ork+ηf ork·k·P（join）+ ηmain·（1− P（ join））叉子这是因为在这种情况下，不会为已经贡献的区块支付与努力相关的补偿。一旦与努力相关WWW叉子多少钱？在这种情况下，为了计算攻击链上下一个区块的预期利润，公式8被扩展为还包括对贡献给分叉的区块的补偿 在这种情况下，如果攻击不成功，还存在为下一个区块获得归一化区块奖励（不包括贿赂奖励）的概率。此外，即使攻击失败，所有已贡献的块也会得到补偿（每个块无需额外的补偿）。 在攻击成功的情况下，每个区块都要支付额外的贿赂金。ρ叉压缩➟补偿）。这种效应在图4f中被进一步放大，其中也使用了与努力相关的补偿，但在这种情况下，m没有向任何链贡献在这里，我们看到每个区块不需要额外的贿赂，因此延长攻击链比延长主链对m更有利可图。因此，将利用错过的MEV机会与补偿已开采区块的贿赂攻击相结合是有意义的，因为几乎不需要每个区块的任何额外贿赂来激励经济上合理的矿工参与。图4g显示了一个经典的双重花费场景，P（join）·pm·（1+n）+（ 1− P（ join））·pm（十一）攻击链在z=6个街区之后。在这种情况下，所需的贿赂是pB+pE+p。 mpB+p. E+pm非常高，尽管m已经贡献了η攻击=3个区块，3.5比较我们现在想比较不同的攻击场景，看看攻击所需的最低贿赂金额计算最小值。贿赂S.T. 与在主链上挖矿相比，切换到攻击链对m来说变得更有利可图，我们再次设置ρ fork> ρ main并求解。图4显示了所需的最小贿赂成本的彩色地图，使得将下一个区块贡献给攻击链对于具有哈希率pm（x轴）的矿工来说比扩展主链更y轴显示了其他经济理性攻击者的哈希率（p）黑色虚线标记pm +p> 0。5，在这一点上，攻击者将能够超越系统时，攻击无限长。所需的最小贿赂金额以0到10的范围内的归一化区块奖励命名，其中0是蓝色，并且10倍（或更多）归一化区块奖励的贿赂是红色。图4a至图4f显示了z=1情况下的 这类似于一个区块分叉的情况，因为它可能发生在某些交易应该被审查的时候，或者应该利用一个错过的MEV机会，尽管一个区块已经被挖掘出来。 图4a描绘了不对已经贡献给攻击链的区块进行补偿的情况（等式7和8用于不等式中）。此外，在图4a中，使用等式1的经典无限模型计算概率。相比之下，图4b使用我们的马尔可夫模型，攻击持续时间为N=6且d→−k=1的链，其中r=1一旦攻击链领先，攻击就结束的情况。在这两个数字中，没有对已经捐助的区块支付补偿可以观察到，在这种类似的情况下，马尔可夫链模型中所需的贿赂略高，因为在这种情况下，攻击不会无限长（尽管无限长的情况可以通过增加N来近似）。图4c显示了我们的马尔可夫链模型中的相同情况，但现在受害者的哈希率为p = 0。25.可以看出，在这种情况下，所需的贿赂当然更高，因为现在受害者正在对抗攻击，即使攻击链已经成为最长的链。 贿赂在图4d中进一步增加，因为现在m已经为主链贡献了一个区块。图4e突然不需要任何贿赂，因为现在使用了与努力相关的补偿的等式9和11在这种情况下，即使m已经向主链贡献了一个区块（ηmain=1），每个区块也没有额外的直接贿赂（当然，对贡献的区块支付补偿，所需的贿赂再次变为0，即使对于像那样的较长范围的分叉图4h示出了这样的情况，即使在m已经向主链贡献区块的情况下（ηmain=3）。即使在这种情况下，如果使用与努力相关的补偿，也不需要额外的贿赂来激励m在攻击链上挖矿 观察图4h，只要p m + p的哈希率足够高，就需要贿赂。其原因是，与攻击链相比，在主链上找到区块的概率更高此外，主链上的赌注更高，因为已经贡献了3个区块，如果主链失败，这些区块将丢失。4局限性和今后的工作未来工作的一个有趣方向是调查成功攻击的长期后果例如，汇率下降会降低攻击的盈利能力。经济上理性的矿工也必须考虑到这些因素。 如果汇率不是静态的，那么玩家目前持有的资金量也变得相关。5结论我们提出了一个改进的模型来计算链叉的概率和收益率，即，攻击，形成一个单独的矿工m.我们的模型考虑到，可配置的有限攻击持续时间，已经为相应的链贡献了块，以及受害者不会在攻击链领先时立即切换到攻击链。 我们已经应用该模型更准确地调查叉长度为1，这是相关的情况下，利用错过的MEV机会。 此外，我们还描述了一些方法，这些方法允许对贿赂攻击进行建模，这些攻击可以补偿矿工已经贡献的区块，即使整个攻击不成功。 我们已经证明，贿赂攻击可以合理地确保贿赂者贡献的区块得到补偿，几乎不需要每个区块额外的贿赂来激励经济上理性的矿工参与攻击。这进一步强调了这种贿赂攻击对底层系统的整体稳定性造成的风险，特别是对于短程分叉。475叉子多少钱快速概率和盈利能力计算在临时叉WWW '22同伴，2022年4月25日至29日，虚拟事件，里昂，法国。引用[1] 约瑟夫·博诺。2016年。为什么买的时候你可以租吗？对比特币共识的贿赂攻击在BITCOINhttp://fc16.ifca.ai/bitcoin/papers/Bon16b.pdf[2] Philip Daian ， Steven Goldfeder ， Tyler Kell ， Yunqi Li ， XueyuanZhao，Iddo Bentov，Lorenz Brewerbach，and Ari Juels.2020年。Flashboys 2.0：去中心化交易所的前沿，矿工可提取的价值，以及稳定性的共识 2020 年 IEEE 安 全 与 隐 私 研 讨 会 （ SP ） 。 IEEE ，910https://par.nsf.gov/servlets/purl/10159474[3] 沙扬·埃斯坎达里，赛义德·马赫萨·穆萨维，杰里米·克拉克。2019年。S o K ： 透 明 的 不 诚 实 ： 对区块链的 前 沿 攻 击 。 在 arXiv 预 印 本 arXiv ：1902.05164中。https://arxiv.org/pdf/1902.05164.pdf[4] Ittay Eyal和Emin Gün Sirer。2014年。多数是不够的：比特币挖矿是脆弱的。金融加密和数据安全。斯普林格，436http://arxiv.org/pdf/1311.0243[5] Arthur Gervais，Ghassan O Karame，Karl Wüst，Vasileios Glykantzis，Hubert Ritzdo rf，and Srdjan Capkun.2016年。 关于工作量证明区块链的安全性和性能。在2016年ACM SIGSAC的会议记录中。ACM，3http：//pdfs.semanticscholar.org/8b32/309a7730de87a02e3