Dieses Papier behandelt einen kritischen Fehler in der Anreizkompatibilität von Bitcoin, der erstmals von Eyal und Sirer (2014) hervorgehoben wurde. Während ihre SM1-Strategie profitables Selfish-Mining demonstrierte, beweist diese Arbeit, dass sie nicht optimal ist. Wir stellen ein verallgemeinertes Modell und einen Algorithmus vor, um ε-optimale Selfish-Mining-Strategien zu finden, etablieren engere Grenzen für die Profitabilität und decken eine niedrigere Rechenleistungsschwelle für erfolgreiche Angriffe auf als bisher bekannt.
Das Verständnis von Selfish-Mining erfordert Grundkenntnisse des Bitcoin-Konsensmechanismus und früherer Angriffsmodelle.
Bitcoin basiert auf einem Proof-of-Work (PoW)-Konsens, bei dem Miner um die Lösung kryptografischer Rätsel konkurrieren. Der Erste, der ein Rätsel löst, sendet einen neuen Block an das Netzwerk und beansprucht eine Blockbelohnung und Transaktionsgebühren. Das Protokoll schreibt die sofortige Veröffentlichung von Blöcken vor. Die Longest-Chain-Regel löst Forks auf.
Die SM1-Strategie von Eyal und Sirer beinhaltet, dass ein Miner einen neu geminten Block zurückhält und eine private Kette erzeugt. Der Angreifer veröffentlicht Blöcke strategisch, um ehrliche Blöcke zu verwaisten, und beansprucht einen überproportionalen Anteil der Belohnungen. Ihre Analyse legte eine Profitabilitätsschwelle von ~25 % der Netzwerk-Hashrate für einen gut vernetzten Angreifer nahe.
Wir erweitern das Selfish-Mining-Modell in ein Markov-Entscheidungsprozess (MDP)-Framework, um eine umfassendere Suche im Strategieraum zu ermöglichen.
Der Systemzustand wird durch den Vorsprung der privaten Kette des Angreifers gegenüber der öffentlichen Kette definiert. Aktionen umfassen: Adopt (private Kette aufgeben), Override (veröffentlichen, um die öffentliche Kette zu überholen), Wait (privat weiter minen) und Match (gerade genug veröffentlichen, um gleichzuziehen). Das Modell berücksichtigt die relative Rechenleistung des Angreifers $\alpha$ und den Netzwerkpropagationsfaktor $\gamma$.
Wir formulieren das Problem als einen diskontierten MDP mit unendlichem Horizont. Unter Verwendung von Value-Iteration- oder Policy-Iteration-Algorithmen berechnen wir eine ε-optimale Strategie $\pi^*$, die den relativen Ertrag des Angreifers $R(\alpha, \gamma, \pi)$ maximiert. Die Ausgabe des Algorithmus diktiert die optimale Aktion (Wait, Adopt, Override, Match) für jeden möglichen Zustand (Vorsprung $l$).
~23%
Benötigter Hash-Anteil für Profit (Unser Modell)
~25%
Benötigter Hash-Anteil für Profit (SM1)
>0%
Verschwindet unter realistischen Verzögerungsmodellen
Unsere optimalen Strategien ergeben durchweg eine niedrigere Profitabilitätsschwelle als SM1. Für einen typischen Propagationsfaktor ($\gamma=0.5$) sinkt die Schwelle von etwa 25 % auf etwa 23 %. Diese Differenz von 2 % ist signifikant und bringt mehr potenzielle Angreifer in die profitable Zone.
Die abgeleiteten Strategien dominieren SM1 strikt. Die wesentliche Verbesserung ist ein ausgefeilterer "Angriffsrückzug" – das präzise Wissen, wann eine private Kette aufgegeben werden muss (Adopt), um Verluste zu begrenzen, anstatt dogmatisch wie SM1 oft verfährt. Dieses adaptive Verhalten erhöht den erwarteten Ertrag über alle $\alpha$- und $\gamma$-Werte hinweg.
Unter einem Modell, das Netzwerkpropagationsverzögerungen berücksichtigt, verschwindet die Profitabilitätsschwelle effektiv. Selbst Miner mit vernachlässigbarer Hashpower ($\alpha \rightarrow 0$) haben einen probabilistischen Anreiz, gelegentlich Blöcke zurückzuhalten, da Verzögerungen natürliche Forks erzeugen, die sie ausnutzen können. Dies offenbart eine grundlegendere Fehlausrichtung der Anreize im Nakamoto-Konsens.
Der Kern der Analyse ist das Zustandsübergangsmodell und die Ertragsfunktion. Der relative Ertrag $R$ eines Angreifers mit Hashpower $\alpha$, der der Strategie $\pi$ folgt, ist:
$R(\alpha, \gamma, \pi) = \frac{\text{Erwartete Blöcke des Angreifers}}{\text{Erwartete Gesamtblöcke}}$
Der Zustand ist der Vorsprung $l$. Die Übergangswahrscheinlichkeiten hängen von $\alpha$ und dem Finden von Blöcken durch ehrliche Miner ab. Zum Beispiel vom Zustand $l=1$:
Wichtiges Diagramm 1: Relativer Ertrag vs. Hashpower (α)
Ein Liniendiagramm, das den relativen Ertrag $R$ der optimalen Strategie (aus unserem Algorithmus) mit der SM1-Strategie und ehrlichem Mining vergleicht. Die Kurve der optimalen Strategie liegt für alle $\alpha > 0$ strikt über der SM1-Kurve. Die Kurven schneiden die Linie des ehrlichen Minings (wo $R = \alpha$) an verschiedenen Punkten, was die niedrigere Schwelle der optimalen Strategie visuell demonstriert.
Wichtiges Diagramm 2: Zustandsübergangsdiagramm
Ein gerichteter Graph, der Zustände (l=0,1,2,...) und die optimalen Aktionen (an den Kanten beschriftet: Wait, Override, Adopt, Match) zeigt, wie sie vom Algorithmus für ein spezifisches ($\alpha$, $\gamma$) bestimmt werden. Dieses Diagramm zeigt konkret die nicht-triviale Entscheidungslogik, wie z.B. das Aufgeben (Adopt) bei einem Vorsprung von 1 unter bestimmten Bedingungen – ein kontraintuitiver Zug, der nicht in SM1 enthalten ist.
Szenario: Ein Mining-Pool "AlphaPool" kontrolliert $\alpha = 0.24$ der Netzwerk-Hashrate. Der Netzwerkpropagationsfaktor ist $\gamma=0.6$ (d.h., AlphaPool erfährt von 60 % der ehrlichen Blöcke sofort).
SM1-Strategie: AlphaPool würde einer starren Regel folgen: Bei einem Vorsprung privat minen, bei einem Vorsprung von 2 veröffentlichen, um zu überholen. Die Analyse zeigt, dass dies $R_{SM1} \approx 0.239$ ergibt, was weniger als sein Hash-Anteil (0,24) ist und es somit im Vergleich zum ehrlichen Mining unprofitabel macht.
Optimale Strategie (aus unserem Algorithmus): Die berechnete Strategie $\pi^*$ könnte vorschreiben: Bei einem Vorsprung von 1, wenn ein ehrlicher Block gefunden wird, sofort Match (veröffentlichen), um einen Gleichstand zu erzeugen und in der nächsten Runde zu konkurrieren, anstatt zu warten. Diese subtile Änderung verändert die Übergangswahrscheinlichkeiten. Der resultierende Ertrag ist $R_{opt} \approx 0.242$, was größer als 0,24 ist. Der Angriff wird profitabel.
Erkenntnis: Dieses Fallbeispiel zeigt, wie optimale, zustandsabhängige Entscheidungsfindung einen theoretisch unprofitablen Hash-Anteil allein durch strategische Blockveröffentlichung in einen profitablen verwandeln kann.
Protokolldesign & Gegenmaßnahmen: Diese Arbeit bietet ein Werkzeug, um vorgeschlagene Bitcoin-Verbesserungen (z.B. GHOST, Inclusive Blockchain-Protokolle) gegen optimales Selfish-Mining zu stresstesten, nicht nur gegen SM1. Die Analyse der von Eyal und Sirer vorgeschlagenen Gegenmaßnahme zeigt, dass sie weniger wirksam ist als erhofft, und leitet die zukünftige Forschung in Richtung robusterer Lösungen.
Jenseits von Bitcoin: Das MDP-Framework ist auf andere Proof-of-Work-Blockchains (z.B. Litecoin, Bitcoin Cash) anwendbar und kann angepasst werden, um strategisches Verhalten in Proof-of-Stake (PoS)-Systemen zu untersuchen, wo analoge "Block-Withholding"- oder "Äquivokations"-Angriffe existieren können.
Kombinierte Angriffe: Zukünftige Arbeiten müssen das Zusammenspiel von Selfish-Mining und Double-Spending-Angriffen modellieren. Ein Selfish-Miner mit einer privaten Kette hat eine natürliche Plattform für Double-Spending-Versuche, was den Nutzen des Angreifers potenziell erhöht und die Schwelle für beide Angriffe senkt.
Dezentralisierung & Pool-Dynamiken: Die niedrigere Schwelle erhöht den Zentralisierungsdruck. Große Pools haben einen Anreiz, diese optimalen Strategien einzusetzen, und kleinere Miner haben einen Anreiz, ihnen beizutreten, um stabile Erträge zu erzielen. Dies erzeugt eine Rückkopplungsschleife, die die Dezentralisierung – eine Kernprämisse der Bitcoin-Sicherheit – untergräbt.
Sapirshtein et al. haben eine Meisterklasse im Protokoll-Stresstesten geliefert, indem sie über die spezifische Schwachstelle (SM1) hinausgingen und den gesamten Raum der Selfish-Mining-Strategien modellierten. Ihre fundamentale Enthüllung ist schonungslos: Die Anreizstruktur von Bitcoin ist nicht nur bei 25 % Hashpower gebrochen – sie ist inhärent undicht, wobei die Risse viel näher an der Oberfläche verlaufen, als sich Satoshi je vorstellen konnte. Die "Profitabilitätsschwelle" ist keine harte Mauer; sie ist ein Gradient, den eine optimale Strategie unter realen Netzwerkbedingungen auf nahezu Null erodieren kann. Dies stellt Selfish-Mining von einem "Großangreifer"-Problem zu einer systemischen, stets präsenten Anreizfehlausrichtung um.
Die Logik des Papiers ist einwandfrei und verheerend. 1) Modellverallgemeinerung: Sie identifizieren SM1 korrekt als einen einzelnen Punkt in einem riesigen Strategieraum. Indem sie das Problem als Markov-Entscheidungsprozess (MDP) rahmen – eine Technik mit Tradition in KI und Regelungstechnik, ähnlich den Frameworks in bahnbrechenden Arbeiten wie dem CycleGAN-Papier zur Erforschung von Bildübersetzungsräumen – erschließen sie die Fähigkeit, diesen Raum systematisch zu durchsuchen. 2) Algorithmische Lösung: Der Value-Iteration-Algorithmus ist nicht nur ein Werkzeug; er ist ein Beweismechanismus. Er nimmt keine Strategie an; er leitet die optimale aus ersten Prinzipien ab. 3) Schwellenwertkompression: Das Ergebnis ist klar: Optimale Strategien dominieren SM1 und senken die Latte für Profitabilität. 4) Der Verzögerungsk.o.-Schlag: Der letzte Zug, die Einbeziehung von Netzwerkverzögerungen, ist der Gnadenstoß. Er zeigt, dass in einer nicht-instantanen Welt (d.h. der Realität) der wirtschaftliche Anreiz, gelegentlich vom Protokoll abzuweichen, universell ist, nicht außergewöhnlich.
Stärken: Die methodische Strenge ist erstklassig. Das MDP-Modell ist das richtige Werkzeug für die Aufgabe und bietet eine formale, berechenbare Grundlage, die früheren heuristischen Analysen fehlte. Die Berücksichtigung von Netzwerkverzögerungen schließt eine kritische Lücke zwischen Theorie und Praxis und stimmt mit Beobachtungen aus Netzwerkmessstudien von Institutionen wie der IC3 (Initiative for Cryptocurrencies & Contracts) überein. Der Nutzen des Papiers als "Sicherheitsanalysator" für Protokollmodifikationen ist ein bedeutender praktischer Beitrag.
Schwächen & Blindstellen: Die Analyse, obwohl tiefgehend, ist immer noch ein Zwei-Spieler-Spiel (Angreifer vs. ehrlicher "Rest"). Sie setzt sich nicht vollständig mit dem dynamischen, Multi-Pool-Gleichgewicht auseinander, das Bitcoin heute charakterisiert. Was passiert, wenn mehrere große Pools alle optimale (oder lernende) Selfish-Strategien gegeneinander anwenden? Das Modell vereinfacht auch die Kosten des Angriffsrückzugs (Verwaistenlassen eigener Blöcke), die nicht-lineare psychologische oder Reputationskosten für Pools haben können. Darüber hinaus geht die Analyse, wie spätere Forschung (z.B. Gervais et al., 2016) feststellte, von einem statischen α aus; in der Realität könnte Hashpower von einer als angegriffen wahrgenommenen Kette abwandern und den Anteil des Angreifers dynamisch verändern.
Für Protokollentwickler: Hört auf, für SM1 zu patchen. Ihr müsst für die optimale Strategie designen. Dieses Papier liefert den Maßstab. Jede vorgeschlagene Lösung (z.B. neue Fork-Choice-Regeln wie GHOST) muss gegen dieses MDP-Framework evaluiert werden. Das Ziel sollte sein, die ehrliche Strategie zu einem Nash-Gleichgewicht für jedes α > 0 zu machen, eine weit höhere Latte als derzeit angenommen.
Für Miner & Pool-Betreiber: Die Kalkulation hat sich geändert. Die 25%-"Sicherheits"-Richtlinie ist obsolet. Pools mit nur 20 % Hashpower, insbesondere solche mit guter Konnektivität (hohes γ), müssen nun die wirtschaftliche Versuchung des strategischen Zurückhaltens in Betracht ziehen. Die ethischen und spieltheoretischen Implikationen, die optimale Strategie nicht anzuwenden, werden zu einer Vorstandsetagen-Diskussion.
Für Investoren & Regulierungsbehörden: Versteht, dass Bitcoins Sicherheitsbudget (Miner-Belohnungen) einer ausgefeilteren Form des wirtschaftlichen Angriffs ausgesetzt ist als bisher anerkannt. Das Risiko der Mining-Zentralisierung ist nicht linear; es unterliegt strategischen Kipppunkten, die diese Forschung aufdeckt. Die Überwachung des Pool-Verhaltens und der Netzwerkpropagationszeiten wird zu einer kritischen Sicherheitsmetrik.
Zusammenfassend ist dieses Papier nicht nur eine akademische Verbesserung früherer Arbeiten; es ist ein Paradigmenwechsel. Es verlagert die Diskussion von "Kann ein großer Pool betrügen?" zu "Wie strapaziert die optimale Strategie jedes Einzelnen in einem unvollkommenen Netzwerk ständig die Anreize des Protokolls?" Die Antwort ist leider "erheblich". Die Beweislast liegt nun bei den Verteidigern, zu zeigen, dass der Nakamoto-Konsens in seiner aktuellen Form wirklich anreizkompatibel gemacht werden kann.