Attack of 51% in cryptocurrency systems: essence, precedents, cost

Технология блокчейна впервые была реализована в рамках протокола биткойна в октябре 2008 г. Данная технология представляет собой цифровую базу данных, размещенную на компьютерах, объединенных в одноранговую децентрализованную сеть с переменным числом сетевых узлов. Формирование и обновление подобной базы данных осуществляется через определенные процедуры (формирование транзакций и блоков транзакций, достижение консенсуса сети по поводу включения блока транзакций в базу данных). Предусмотренные технологией блокчейн процедуры призваны обеспечить надежность и устойчивость базы данных к искажениям информации со стороны злоумышленников.

Основной процедурой, влияющей на процесс формирования базы данных в системе блокчейна, является достижение консенсуса узлов сети по поводу единичного обновления базы данных (добавления нового блока с транзакциями-записями в реестр). Транзакция-запись свидетельствует о перечислении ресурсов системы (биткойнов или иной криптовалюты) от одного участника к другому. Предложенные варианты достижения консенсуса узлов сети ориентированы на борьбу с проблемой «двойного расходования»: перечисления одного и того же ресурса сети с одного электронного кошелька разным получателям. В ряде алгоритмов блокчейна эта процедура реализуется через принцип доказательства работы (Proof of Work) или принцип доказательства доли субъектов сети (Proof of Stake). Принцип доказательства работы предполагает, что верификация вносимых обновлений в базу блокчейна и верификация включения в него новых блоков с транзакциями происходит на основе решения специальными участниками сети (майнерами) трудоемких математических задач в сфере криптографии (расчет хеша или хеш-суммы для блока). Решение задач осуществляется аппаратными мощностями участников сети с помощью машинных вычислений. Принцип доказательства доли ориентирован на то, что реализация обновлений базы блокчейна и верификация включения новых блоков в блокчейновую цепь осуществляется субъектами, владеющими преобладающей долей цифрового ресурса системы.

Надежность сети биткойна строится на основе реализации доказательства работы. Доказательство работы – базовый элемент консенсуса в сети биткойн, предложенный в научной статье за авторством таинственного Сатоши Накамото. Консенсус Накамото предполагает, что сеть биткойна будет стабильно работать, даже если половина майнеров предпримет попытки фальсифицировать распределенную базу данных с тем, чтобы осуществить двойное расходование. В случае, когда в системе оформится преобладающее большинство майнеров-фальсификаторов (атака 51%), они смогут, используя имеющиеся у них в распоряжении вычислительные мощности, обратить принцип доказательства работы в свою пользу и фальсифицировать реестр [1]. Ключевым фактором, способствующим или препятствующим подобным действиям, является совокупная вычислительная мощность сети, именуемая хешрейтом и необходимая для осуществления вычислений с целью верификации обновлений реестра.

В системе блокчейн транзакции, подписанные владельцем криптовалюты, помещаются в общий реестр, майнеры выбирают транзакции из списка и, используя свои вычислительные мощности, пытаются рассчитать хеш-сумму для блока транзакций. При этом в разных блоках, для которых разные участники одновременно пытаются вычислить хеш-сумму, могут содержаться одни и те же транзакции. Тот субъект (майнер, пул майнеров), который произведет расчет хеш-суммы блока раньше остальных, удостоится права включить свой блок в реестр блокчейна и получит награду в виде одного биткойна. Атака 51% – это атака, совершаемая майнером, группой майнеров (пулом) или объединением пулов в рамках аккумулирования достаточного количества вычислительных ресурсов для захвата преобладающей доли общего хешрейта сети. Атака 51% предоставляет майнеру или их группе ряд возможностей: 1) останавливать подтверждение транзакций; 2) приостанавливать майнинг основной цепи; 3) нивелировать деятельность других майнеров [2]; 4) перезаписать цепь блокчейна путем формирования дополнительной цепи с последующей ее верификацией.

Реализация перечисленных возможностей позволяет регулировать систему блокчейна, то есть обладание 51% вычислительных мощностей сети – это пример реализации регулятивного принуждения и управления. Но если целью данной атаки является фальсификация реестра с целью получения неправомерной выгоды через реализацию двойного списания, то результат подобных действий может быть плачевным для участников. Рассмотрим механизм фальсификации. Злоумышленник совершает расходную операцию своих криптовалютных активов, которая отражается в основной цепи. Параллельно он создает еще одну «невидимую» цепь, которая не будет переходить в общий реестр. В «невидимую» цепь он будет включать блоки без учета тех трат, которые совершил. Поскольку его цепь будет характеризоваться большим уровнем сложности (благодаря преобладающему объему вычислительных ресурсов) и будет включать большее количество транзакций, то при выводе ее в сеть система признает мнимую цепь в качестве основной. Так как в новой цепи расходных операций злоумышленника не будет, то он восстановит свои активы. Блоки, созданные другими майнерами, с момента траты будут признаны системой недействительными.

Несмотря на всю теоретическую сложность реализации атаки 51%, история уже насчитывает несколько зафиксированных случаев подобного нападения на криптовалютные системы. Для того чтобы произвести атаку 51%, группа злоумышленников должна физически обладать необходимым объемом аппаратного оборудования, вычислительная мощность которого превышает 51% хешрейта сети. Достичь подобной ситуации возможно за счет того, что данные субъекты осуществили капиталовложения в приобретение и запуск данного оборудования либо арендовали уже имеющиеся аппаратные мощности. Стоимость приобретения или аренды аппаратного оборудования, мощности которого достаточно для установления контроля над сетью, называется стоимостью атаки 51%.

Первая известная атака была совершена в 2016 г. на форки Ethereum, криптовалюты Krypton и Shift. Пул мошенников 51Crew захватил более 50% хешрейта, совершив двойных трат общей суммой на 220 тыс. долл. [3] В 2018 г. произошло еще два нападения. Пострадавшими оказались криптовалюты ZenCash и Verge. В случае ZenCash двойные траты составили 550 тыс. долл. при инвестировании в атаку всего лишь 33 тыс. долл. Также в июне 2018 г. произошли нападения на BitcoinGold и Electroneum. При всех нападениях ни один майнер не был обворован, но увеличение объема криптовалюты привело к ее обесценению. Как видно из примеров, жертвами атаки 51% становились форки ключевых криптовалют с низким хешрейтом. Зависимость стоимости атаки 51% от уровня хешрейта сети прямо пропорциональная: чем выше значение хешрейта системы, тем выше затраты на аренду или приобретение высокопроизводительного аппаратного оборудования, необходимого для атаки.

Проведем анализ рисков реализации атаки 51% в популярных криптовалютах в случае недобросовестного поведения существующих майнинговых пулов. Для этого проанализируем долю хешрейта, приходящуюся на основные майнинговые пулы в системе Биткойн и Эфириум, на 09.10.2018 г.

На рис. 1 представлено распределение доли основных майнинговых пулов в совокупном хешрейте криптовалюты Биткойн [4].

Рис. 1. Ориентировочная оценка распределения количества переборов хэшей

между основными пулами для майнинга (доля пулов в общем хешрейте) в сети Биткойн

Наибольшую угрозу для биткойна составляют пулы: AntPool, F2Pool, BitFury. Вступив в картель, они вполне способны завладеть большей долей хешрейта, хотя вероятность наступления данного события ниже ввиду заинтересованности пулов в поддержании стабильной доходности биткойна (на данный момент времени). Не стоит исключать возможности переориентации мощностей основных майнинговых пулов биткойна на перспективные форки (реализующие идентичные алгоритмы хеширования) с целью совершения атаки 51%. С учетом того что общий хешрейт биткойн сейчас исчисляется в EНs (квинтиллион хешей в секунду), а хешрейт большинства форков не превышает величины GHs (миллиард хешей в секунду), можно утверждать, что абсолютно любой крупный пул биткойна способен в любой момент совершить нападение на второстепенные криптовалюты.

Рис. 2 иллюстрирует распределение хешрейта по основным майнинговым пулам в сети Эфириум [5].

Рис. 2. Ориентировочная оценка распределения количества переборов хэшей

между основными пулами для майнинга (доля пулов в общем хешрейте) в сети Эфириум

Общий хешрейт Эфириум в сравнении с биткойном в тысячи раз меньше, он составляет всего лишь 263,51 THs (триллионов хешей в секунду). В данном случае крупные пулы (Eth.nanopool.org, Ethpool.org) потенциально способны совершить нападение как на Эфириум, так и на его форки.

На следующем этапе исследования произведем расчет стоимости атаки 51%. Для этого смоделируем ситуацию нападения нескольких майнинговых пулов ключевой цифровой валюты (Биткойна или Эфириума) на некоторые ее форки, использующие идентичный алгоритм хеширования. За основу возьмем модель RINDEX V2.0, разработанную бразильским ученым Хуссамом Аббудом. Особенность данной модели состоит в том, что при расчете стоимости затрат на проведение атаки 51% предполагается аренда вычислительных мощностей, а не приобретение аппаратной инфраструктуры. Также в рамках данной модели не учитываются затраты на электроэнергию. При атаке выгоднее переплатить за лизинг, чем понести затраты на ферму. Стоимостным пределом для атаки 51% выступают альтернативные экономические затраты майнеров-злоумышленников. Альтернативными затратами при атаке 51% пула майнеров, первоначально осуществлявшего майнинг на базовой криптовалюте и атакующего форк с идентичным алгоритмом хеширования, будут недополученные доходы от майнинга по базовой криптовалюте.

Пусть А – величина хэшрейта сети до атаки, В – целевой хешрейт атакующего пула, который присоединяется к сети в момент атаки, А + B – совокупный хешрейт сети в момент атаки, тогда для достижения целей «Атаки 51%» должно выполняться условие B ≥ 0,51 × (A + B) или B ≥ 1,040816 × A. Поскольку атакующий майнинговый пул увеличивает хэшрейт атакуемой сети на величину собственного хешрейта, следовательно, вычислительные мощности майнеров-злоумышленников должны обеспечить хешрейт, превышающий 104,09% текущего хешрейта сети до реализации атаки. Иначе доля атакующего пула при подключении к сети будет меньше 51% от нового совокупного хешрейта.

Стоимость атаки будет равна произведению однодневного дохода от майнинга в базовой сети на 1 THs и целевого хешрейта атакующего пула. Однодневной доход от майнинга вычисляется посредством умножения трех множителей: объема базовой криптовалюты, получаемого за обработку одного блока; количества блоков, обработанных на отчетную дату за сутки; среднесуточного курса базовой криптовалюты по отношению к доллару США. В качестве базовых криптовалют рассматриваются Эфириум и Биткойн, а в качестве моделируемых объектов атаки – их форки, реализующие идентичные алгоритмы хеширования.

Смоделируем величину стоимости атаки на ключевые криптовалюты. На данный момент пулам и майнерам с высоким хешрейтом нет смысла проводить масштабные махинации, но при падении доходности цифровой валюты велика вероятность того, что инвесторы захотят компенсировать потери, в том числе мошенническим путем. В расчетах также применим алгоритм RINDEX V2.0, с той лишь разницей, что целевым хешрейтом станет мощность самой базовой криптовалюты. Все вычисления производились по данным [6] на 09.10.2018 г. Результаты расчетов представлены в табл. 1.

Таблица 1

Оценка стоимости атаки 51% на базовые криптовалюты

Исходя из полученных данных, можно заключить, что атака на ключевые криптовалюты – это дорогостоящее мероприятие, требующее больших денежных вливаний. Возникает вопрос: как злоумышленники смогут заработать на атаке, помимо реализации двойного расходования? Одним из вариантов заработка является открытие злоумышленниками до атаки коротких биржевых позиций на продажу в отношении атакуемой криптовалюты, используя возможности маржинальной торговли. Снижение стоимости атакуемой криптовалюты позволит закрыть эти торговые позиции с прибылью. В этом случае злоумышленники смогут заработать на резком снижении капитализации атакованной криптовалюты.

Оценка ориентировочных затрат на проведение атаки 51% в отношении двух популярных криптовалютных форков Ethereum Classic и Bitcoin Cash представлена в табл. 2. Из двух рассмотренных форков наиболее уязвимым можно считать валюту Ethereum Classic, поскольку хешрейт этой сети крайне мал и при вложении чуть более 287 тыс. долл. можно поставить под контроль данную блокчейновую систему.

Таблица 2

Оценка стоимости атаки 51% на форки базовых криптовалют

На завершающем этапе исследования необходимо определить наиболее вероятное значение стоимости атаки 51%. Для этого воспользуемся данными портала crypto51, занимающегося расчетами стоимости атаки [7]. Портал также формирует алгоритм модели исходя из аренды мощностей, но оперирует иными информационными источниками для расчетов. Поскольку концепции RINDEX V2.0 и crypto51 схожи, то полученные результаты должны быть близки по значению, а их средняя величина будет наиболее вероятным значением. Результаты расчета представлены в табл. 3.

Таблица 3

Среднее значение стоимости атаки 51%

Подводя итог, можно заключить, что существующие алгоритмы криптовалют, реализующие консенсусный механизм исключительно на принципе Proof of Work, не являются безопасными, так как в современных условиях атака 51% может обрушить курс данных инструментов и отпугнуть инвесторов. Вложения для проведения атаки несоизмеримо малы с возможными выгодами, что приводит к увеличению рисков субъектов, инвестирующих капитал в подобные криптовалюты. Появление криптовалют, реализующих консенсусный механизм за счет комбинированного подхода на основе принципов Proof of Work, Proof of Stake и Proof of Capacity, позволяет снизить риски. Однако в текущих реалиях целесообразно инвестировать в базовые криптовалюты, с большим хешрейтом, так как крупные пулы заинтересованы в собственной стабильности.