什么是自私挖礦攻擊

統(tǒng)觀點(diǎn)認(rèn)為，比特幣的挖礦協(xié)議是激勵(lì)相容的，它可以抵御少數(shù)群體的合謀攻擊，并激勵(lì)礦工按照協(xié)議規(guī)定的方式進(jìn)行挖礦。比特幣挖礦協(xié)議之所以能實(shí)現(xiàn)這一效果，是由于它基本可以保證礦工根據(jù)其算力占全網(wǎng)算力的比例而獲得相匹配的收益。

激勵(lì)相容：在市場(chǎng)經(jīng)濟(jì)中，每個(gè)理性經(jīng)濟(jì)人都會(huì)有自利的一面，其個(gè)人行為會(huì)按自利的規(guī)則行為行動(dòng)；如果能有一種制度安排，使行為人追求個(gè)人利益的行為，正好與企業(yè)實(shí)現(xiàn)集體價(jià)值最大化的目標(biāo)相吻合，這一制度安排，就是“激勵(lì)相容”的。

但Eyal等學(xué)者在文獻(xiàn)［2］中表達(dá)了不同的觀點(diǎn)，他們認(rèn)為上述傳統(tǒng)觀點(diǎn)是錯(cuò)誤的，比特幣的挖礦協(xié)議并非是激勵(lì)相容的。為了論證其觀點(diǎn)，作者提出了一個(gè)挖礦策略，該策略可以讓少數(shù)礦池獲得比他們誠(chéng)實(shí)執(zhí)行挖礦協(xié)議更多的收益，而這一策略便是“自私挖礦”（Selfish Mining）。

“自私挖礦”攻擊是一種針對(duì)比特幣挖礦與激勵(lì)機(jī)制的攻擊方式，它的目的不是破壞比特幣的運(yùn)行機(jī)制，而是獲取額外的獎(jiǎng)勵(lì)，并讓誠(chéng)實(shí)礦工進(jìn)行無(wú)效計(jì)算。簡(jiǎn)而言之，“自私挖礦”攻擊的核心思想是“自私挖礦”礦池（下文中簡(jiǎn)稱為“惡意礦池”）故意延遲公布其計(jì)算得到的新塊，并構(gòu)造一條自己控制的私有分支，造成鏈的分叉。

誠(chéng)實(shí)礦工會(huì)繼續(xù)基于公開(kāi)分支挖礦，而惡意礦池則基于其控制的私有分支挖礦。倘若惡意礦池計(jì)算得到了更多的塊，它們維護(hù)的私有分支長(zhǎng)度自然領(lǐng)先于公開(kāi)分支，此時(shí)，惡意礦池選擇不公開(kāi)這些新塊，力求進(jìn)一步提高挖礦收益。

但由于惡意礦池的算力限制，私有分支的長(zhǎng)度優(yōu)勢(shì)將無(wú)法一直保持下去，當(dāng)公開(kāi)分支接近私有分支長(zhǎng)度時(shí)，惡意礦池將公布所得到的新塊，并獲得這些塊的獎(jiǎng)勵(lì)。該攻擊直接導(dǎo)致了誠(chéng)實(shí)礦工之前的計(jì)算變?yōu)榱藷o(wú)效計(jì)算。

當(dāng)然，在攻擊過(guò)程中，無(wú)論是“自私挖礦”礦工（下文中簡(jiǎn)稱為“惡意礦工”）還是誠(chéng)實(shí)礦工都有進(jìn)行無(wú)效計(jì)算的可能，只是誠(chéng)實(shí)礦工浪費(fèi)了更多的計(jì)算，而惡意礦工從收益上得到了回報(bào)。此外，為了獲取“超額”的挖礦獎(jiǎng)勵(lì)，會(huì)有越來(lái)越多的“理性”礦工轉(zhuǎn)而加入惡意礦池。

攻擊策略與收益

首先我們假設(shè)初始狀態(tài)下，公開(kāi)分支與惡意礦池構(gòu)造的私有分支長(zhǎng)度相同。下面就對(duì)“自私挖礦”的攻擊策略以及對(duì)應(yīng)收益情況進(jìn)行分析。（本章節(jié)圖片摘自文獻(xiàn)［3］或基于［3］中圖片進(jìn)行修改，黑色部分代表公開(kāi)分支，紅色部分代表惡意礦池維護(hù)的私有分支。其中紅色虛線方塊代表私有分支中未公開(kāi)的塊，而紅色實(shí)線方塊則代表已公開(kāi)的塊）

（1）當(dāng)公開(kāi)分支長(zhǎng)于私有分支時(shí)，倘若僅通過(guò)惡意礦工的挖礦努力，由于惡意礦池與全網(wǎng)其他礦工的總算力差距，私有分支能夠追上并超過(guò)公開(kāi)分支的機(jī)會(huì)是很小的。因此，此時(shí)惡意礦池采取的策略是，根據(jù)公開(kāi)分支的變化，動(dòng)態(tài)地更新私有分支，使得兩條分支長(zhǎng)度相同，并進(jìn)而基于更新后的私有分支繼續(xù)挖礦。在該情況下，惡意礦池?zé)o法獲得收益。

（2）當(dāng)惡意礦工計(jì)算得到一個(gè)新塊，并使得私有分支比公開(kāi)分支長(zhǎng)度多1個(gè)塊時(shí)，惡意礦池將選擇不立即公開(kāi)該新塊，而是基于私有分支繼續(xù)挖礦。此時(shí)會(huì)產(chǎn)生兩種可能的情況。

a） 在情況一中，誠(chéng)實(shí)礦工基于公開(kāi)分支計(jì)算得到了下一個(gè)新塊。此時(shí)，私有分支失去長(zhǎng)度優(yōu)勢(shì)。

b） 在情況二中，惡意礦工計(jì)算出下一個(gè)塊，私有分支繼續(xù)保持對(duì)于公開(kāi)分支的長(zhǎng)度優(yōu)勢(shì)。

（3）對(duì)于上述情況一而言，由于私有分支的優(yōu)勢(shì)被消除，惡意礦池將立即公開(kāi)私有分支，兩條分支進(jìn)入競(jìng)爭(zhēng)狀態(tài)，任何一條分支都有取勝的可能。此后，所有惡意礦工將基于私有分支繼續(xù)挖礦，而誠(chéng)實(shí)礦工則會(huì)選擇其中的一條分支挖礦（誠(chéng)實(shí)礦工的選擇取決于新塊通知的傳播速度）。

a） 倘若惡意礦工首先計(jì)算得到下一個(gè)塊，惡意礦池將直接公布私有分支，并獲得兩個(gè)塊的獎(jiǎng)勵(lì)作為收益。

b） 倘若下一個(gè)塊被基于私有分支挖礦的誠(chéng)實(shí)礦工計(jì)算得到，則此時(shí)惡意礦池將得到第一個(gè)塊的獎(jiǎng)勵(lì)，而該誠(chéng)實(shí)礦工將得到第二個(gè)塊的獎(jiǎng)勵(lì)。

c） 倘若下一個(gè)塊被基于公開(kāi)分支挖礦的誠(chéng)實(shí)礦工計(jì)算得到，那么這兩個(gè)塊的獎(jiǎng)勵(lì)則分屬于計(jì)算得到他們的誠(chéng)實(shí)礦工，而惡意礦池將一無(wú)所獲。

（4）對(duì)于上述情況二而言，惡意礦工繼續(xù)領(lǐng)先計(jì)算出下一個(gè)塊，此時(shí)私有分支就建立了兩個(gè)塊長(zhǎng)度的優(yōu)勢(shì)，這一優(yōu)勢(shì)是惡意礦池比較舒服的一個(gè)“安全墊”。惡意礦池會(huì)選擇進(jìn)一步擴(kuò)大收益，也即是延遲公開(kāi)這兩個(gè)新塊，并繼續(xù)挖礦。

a） 接下來(lái)，每當(dāng)誠(chéng)實(shí)礦工計(jì)算得到一個(gè)新塊，作為應(yīng)對(duì)，惡意礦池也隨之公開(kāi)一個(gè)新塊。而倘若惡意礦工計(jì)算得到一個(gè)新塊，惡意礦池則繼續(xù)不公開(kāi)該新塊。

b） 由于在算力上，惡意礦池相較其他礦工的總和處于劣勢(shì)地位，故它所控制的私有分支的長(zhǎng)度優(yōu)勢(shì)大概率會(huì)逐漸變小，直至減少為1個(gè)塊。此時(shí)，惡意礦池會(huì)立即公布這條私有分支，使其成為當(dāng)前合法主鏈，系統(tǒng)再一次恢復(fù)到只有一條分支的狀態(tài)。而惡意礦池也將獲得其計(jì)算到得的全部新塊的獎(jiǎng)勵(lì)。

攻擊效果

文獻(xiàn)中給出了“自私挖礦”攻擊的模擬效果，實(shí)驗(yàn)背景大致設(shè)定如下。首先作者利用模擬器模擬了1000個(gè)節(jié)點(diǎn)，這些節(jié)點(diǎn)以相等概率進(jìn)行挖礦。

在這1000個(gè)節(jié)點(diǎn)中，有1000α（α表示全部節(jié)點(diǎn)中“自私挖礦”節(jié)點(diǎn)的比例）個(gè)節(jié)點(diǎn)運(yùn)行“自私挖礦”算法，而其他節(jié)點(diǎn)則是運(yùn)行比特幣挖礦協(xié)議的誠(chéng)實(shí)節(jié)點(diǎn)。接著，假設(shè)兩條分支處于等長(zhǎng)狀態(tài)，并將誠(chéng)實(shí)礦工分為兩類，γ比例的誠(chéng)實(shí)礦工基于私有分支挖礦，而剩下的γ比例的誠(chéng)實(shí)礦工則基于公開(kāi)分支挖礦。

從圖1中可以看到，γ等于0時(shí)，也即全部誠(chéng)實(shí)礦工都基于公開(kāi)分支挖礦的情形下，若想在挖礦收益上超過(guò)正常執(zhí)行比特幣挖礦協(xié)議時(shí)的收益，惡意礦池最低大約需要掌握1/3的全網(wǎng)算力。

而當(dāng)γ等于0.5時(shí)，也即誠(chéng)實(shí)礦工中，一半人數(shù)基于私有分支挖礦，而另一半則基于公開(kāi)分支挖礦時(shí)，惡意礦池實(shí)現(xiàn)“超額”收益的門(mén)檻則下降至全網(wǎng)算力的1/4?？梢?jiàn)，相較于實(shí)施51%攻擊的算力要求而言，實(shí)施“自私挖礦”攻擊的門(mén)檻要低出不少。

后續(xù)研究

介紹到這，有關(guān)“自私挖礦”攻擊的故事其實(shí)還遠(yuǎn)沒(méi)有說(shuō)完。此后，許多針對(duì)“自私挖礦”策略優(yōu)化及擴(kuò)展的工作相繼展開(kāi)。2016年，Nayak等作者在文獻(xiàn)［4］中提出了一種新的挖礦策略“stubborn”，該策略對(duì)“自私挖礦”策略進(jìn)行了擴(kuò)展?；谠摬呗?，惡意礦池的收益相較于使用“自私挖礦”策略將提高13.94%。

不僅如此，在文中作者還進(jìn)一步對(duì)“stubborn”策略進(jìn)行了優(yōu)化，并提出了兩個(gè)新的策略，即“the EqualFork Stubborn”與“Trail Stubborn”。這兩個(gè)策略進(jìn)一步提高了惡意礦池的挖礦收益。

在文獻(xiàn)中［5］，Carlsten研究了交易手續(xù)費(fèi)對(duì)于“自私挖礦”策略的影響。文獻(xiàn)［6］則進(jìn)一步擴(kuò)展了“自私挖礦”模型，即將惡意礦池與誠(chéng)實(shí)社區(qū)之間的延時(shí)加入模型?；诖四Ｐ停髡咛岢隽艘环N通過(guò)監(jiān)測(cè)“孤立塊”比例來(lái)檢測(cè)“自私挖礦”異常行為的方法。

文獻(xiàn)［7］則考慮了一個(gè)更加通用的假設(shè)，即利用貝葉斯博弈公式對(duì)“自私挖礦”礦工在策略中的選擇行為進(jìn)行建模，進(jìn)一步優(yōu)化了挖礦策略。

總結(jié)

隨著區(qū)塊鏈技術(shù)的快速發(fā)展，針對(duì)它的攻擊方式也逐漸增多，“自私挖礦”只是諸多攻擊中的一種。其他常見(jiàn)攻擊方式包括針對(duì)區(qū)塊鏈網(wǎng)絡(luò)層的BGP劫持攻擊與Eclipse攻擊等，針對(duì)POW共識(shí)算法與交易過(guò)程的平衡攻擊與活性攻擊等，以及針對(duì)智能合約的the DAO攻擊、“GovernMental”攻擊等。在后續(xù)的文章中，筆者將為大家分析這些攻擊方式。