Este artículo aborda una falla crítica en la compatibilidad de incentivos de Bitcoin, destacada por primera vez por Eyal y Sirer (2014). Si bien su estrategia SM1 demostró que la minería egoísta puede ser rentable, este trabajo prueba que no es óptima. Presentamos un modelo generalizado y un algoritmo para encontrar políticas de minería egoísta ε-óptimas, estableciendo límites más estrictos sobre la rentabilidad y revelando un umbral de poder computacional más bajo para ataques exitosos de lo que se conocía anteriormente.
Comprender la minería egoísta requiere una base en el mecanismo de consenso de Bitcoin y en los modelos de ataque previos.
Bitcoin se basa en un consenso de Prueba de Trabajo (PoW) donde los mineros compiten para resolver acertijos criptográficos. El primero en resolver un acertijo transmite un nuevo bloque, reclamando una recompensa de bloque y las tarifas de transacción. El protocolo exige la publicación inmediata del bloque. La regla de la cadena más larga resuelve las bifurcaciones.
La estrategia SM1 de Eyal y Sirer implica que un minero retenga un bloque recién minado, creando una cadena privada. El atacante revela bloques estratégicamente para dejar huérfanos los bloques honestos, reclamando una parte desproporcionada de las recompensas. Su análisis sugirió un umbral de rentabilidad de aproximadamente el 25% de la tasa de hash de la red para un atacante bien conectado.
Extendemos el modelo de minería egoísta a un marco de Proceso de Decisión de Markov (MDP), permitiendo una búsqueda más exhaustiva del espacio de estrategias.
El estado del sistema se define por la ventaja de la cadena privada del atacante sobre la cadena pública. Las acciones incluyen: Adoptar (abandonar la cadena privada), Sobrescribir (publicar para superar a la cadena pública), Esperar (continuar minando en privado) y Empatar (publicar lo justo para igualar). El modelo incorpora el poder computacional relativo del atacante $\alpha$ y el factor de propagación de la red $\gamma$.
Formulamos el problema como un MDP de horizonte infinito con descuento. Utilizando algoritmos de iteración de valor o iteración de políticas, calculamos una política ε-óptima $\pi^*$ que maximiza los ingresos relativos del atacante $R(\alpha, \gamma, \pi)$. La salida del algoritmo dicta la acción óptima (Esperar, Adoptar, Sobrescribir, Empatar) para cada estado posible (ventaja $l$).
~23%
Porcentaje de hash necesario para obtener ganancias (Nuestro Modelo)
~25%
Porcentaje de hash necesario para obtener ganancias (SM1)
>0%
Desaparece bajo modelos realistas de retraso
Nuestras estrategias óptimas producen consistentemente un umbral de rentabilidad más bajo que SM1. Para un factor de propagación típico ($\gamma=0.5$), el umbral desciende de aproximadamente el 25% a alrededor del 23%. Esta diferencia del 2% es significativa, ya que sitúa a más atacantes potenciales en la zona rentable.
Las políticas derivadas dominan estrictamente a SM1. La mejora clave es una "retirada del ataque" más sofisticada: saber exactamente cuándo abandonar una cadena privada (Adoptar) para reducir pérdidas, en lugar de persistir dogmáticamente como suele hacer SM1. Este comportamiento adaptativo aumenta los ingresos esperados para todos los valores de $\alpha$ y $\gamma$.
Bajo un modelo que incorpora retrasos en la propagación de la red, el umbral de rentabilidad efectivamente desaparece. Incluso los mineros con un poder de hash insignificante ($\alpha \rightarrow 0$) tienen un incentivo probabilístico para retener bloques ocasionalmente, ya que los retrasos crean bifurcaciones naturales que pueden explotar. Esto revela una desalineación de incentivos más fundamental en el consenso de Nakamoto.
El núcleo del análisis es el modelo de transición de estados y la función de ingresos. Los ingresos relativos $R$ de un atacante con poder de hash $\alpha$ que sigue una política $\pi$ son:
$R(\alpha, \gamma, \pi) = \frac{\text{Bloques esperados ganados por el atacante}}{\text{Bloques totales esperados creados}}$
El estado es la ventaja $l$. Las probabilidades de transición dependen de $\alpha$ y de que los mineros honestos encuentren bloques. Por ejemplo, desde el estado $l=1$:
Gráfico Clave 1: Ingresos Relativos vs. Poder de Hash (α)
Un gráfico de líneas que compara los ingresos relativos $R$ de la política óptima (de nuestro algoritmo) contra la política SM1 y la minería honesta. La curva de la política óptima se sitúa estrictamente por encima de la curva SM1 para todo $\alpha > 0$. Las curvas intersectan la línea de minería honesta (donde $R = \alpha$) en puntos diferentes, demostrando visualmente el umbral más bajo de la política óptima.
Gráfico Clave 2: Diagrama de Transición de Estados
Un grafo dirigido que muestra los estados (l=0,1,2,...) y las acciones óptimas (etiquetadas en las aristas: Esperar, Sobrescribir, Adoptar, Empatar) determinadas por el algoritmo para un ($\alpha$, $\gamma$) específico. Este diagrama muestra concretamente la lógica de decisión no trivial, como adoptar desde una ventaja de 1 bajo ciertas condiciones—un movimiento contraintuitivo que no está en SM1.
Escenario: Un grupo de minería "AlphaPool" controla $\alpha = 0.24$ de la tasa de hash de la red. El factor de propagación de la red es $\gamma=0.6$ (lo que significa que AlphaPool se entera del 60% de los bloques honestos inmediatamente).
Estrategia SM1: AlphaPool seguiría una regla rígida: minar en privado con ventaja, publicar para sobrescribir cuando va adelante por 2. El análisis muestra que esto produce $R_{SM1} \approx 0.239$, que es menor que su participación de hash (0.24), haciéndola no rentable frente a la minería honesta.
Política Óptima (de nuestro algoritmo): La política calculada $\pi^*$ podría dictar: Desde una ventaja de 1, si se encuentra un bloque honesto, Empatar (publicar) inmediatamente para crear un empate y competir en la siguiente ronda, en lugar de esperar. Este cambio sutil altera las probabilidades de transición. Los ingresos resultantes son $R_{opt} \approx 0.242$, que es mayor que 0.24. El ataque se vuelve rentable.
Perspectiva: Este caso demuestra cómo la toma de decisiones óptima, dependiente del estado, puede convertir una participación de hash teóricamente no rentable en una rentable, puramente a través de la publicación estratégica de bloques.
Diseño de Protocolos y Contramedidas: Este trabajo proporciona una herramienta para realizar pruebas de estrés a las mejoras propuestas para Bitcoin (por ejemplo, GHOST, protocolos de cadena de bloques inclusivos) contra la minería egoísta óptima, no solo contra SM1. El análisis de la contramedida sugerida por Eyal y Sirer muestra que es menos efectiva de lo esperado, guiando la investigación futura hacia soluciones más robustas.
Más allá de Bitcoin: El marco MDP es aplicable a otras cadenas de bloques de Prueba de Trabajo (por ejemplo, Litecoin, Bitcoin Cash) y puede adaptarse para estudiar el comportamiento estratégico en sistemas de Prueba de Participación (PoS), donde pueden existir ataques análogos de "retención de bloques" o "equívoco".
Ataques Combinados: El trabajo futuro debe modelar la interacción entre la minería egoísta y los ataques de doble gasto. Un minero egoísta con una cadena privada tiene una plataforma natural para intentar dobles gastos, lo que potencialmente aumenta la utilidad del atacante y reduce la barrera para ambos ataques.
Descentralización y Dinámica de Grupos: El umbral más bajo aumenta la presión hacia la centralización. Los grandes grupos tienen incentivos para emplear estas estrategias óptimas, y los mineros más pequeños tienen incentivos para unirse a ellos para obtener rendimientos estables, creando un ciclo de retroalimentación que socava la descentralización—una premisa de seguridad fundamental de Bitcoin.
Sapirshtein et al. han ofrecido una clase magistral en pruebas de estrés de protocolos, yendo más allá de la explotación específica (SM1) para modelar todo el espacio de estrategias de minería egoísta. Su revelación fundamental es brutal: la estructura de incentivos de Bitcoin no solo está agrietada al 25% de poder de hash—es inherentemente permeable, con las fisuras mucho más cerca de la superficie de lo que Satoshi imaginó. El "umbral de rentabilidad" no es un muro duro; es un gradiente que la estrategia óptima puede erosionar hasta casi cero bajo condiciones reales de red. Esto reformula la minería egoísta de un problema de "atacante grande" a una desalineación de incentivos sistémica y siempre presente.
La lógica del artículo es impecable y devastadora. 1) Generalización del Modelo: Identifican correctamente SM1 como un solo punto en un vasto espacio de estrategias. Al enmarcar el problema como un Proceso de Decisión de Markov (MDP)—una técnica con pedigrí en IA y teoría de control, análoga a los marcos utilizados en trabajos innovadores como el artículo de CycleGAN para explorar espacios de traducción de imágenes—desbloquean la capacidad de buscar este espacio sistemáticamente. 2) Solución Algorítmica: El algoritmo de iteración de valor no es solo una herramienta; es un mecanismo de prueba. No asume una estrategia; deriva la óptima desde los primeros principios. 3) Compresión del Umbral: El resultado es claro: las estrategias óptimas dominan a SM1, bajando la barrera para la rentabilidad. 4) El Golpe Final del Retraso: El movimiento final, incorporando retrasos de red, es el golpe de gracia. Muestra que en un mundo no instantáneo (es decir, la realidad), el incentivo económico para desviarse ocasionalmente del protocolo es universal, no excepcional.
Fortalezas: El rigor metodológico es de primer nivel. El modelo MDP es la herramienta adecuada para el trabajo, proporcionando una base formal y computable que carecían los análisis heurísticos previos. La consideración de los retrasos de red cierra una brecha crítica entre la teoría y la práctica, alineándose con observaciones de estudios de medición de red como los de instituciones como la IC3 (Iniciativa para Criptomonedas y Contratos). La utilidad del artículo como "analizador de seguridad" para modificaciones de protocolo es una contribución práctica importante.
Debilidades y Puntos Ciegos: El análisis, aunque profundo, sigue siendo un juego de dos jugadores (atacante vs. el "resto" honesto). No aborda completamente el equilibrio dinámico y de múltiples grupos que caracteriza a Bitcoin hoy. ¿Qué sucede cuando múltiples grupos grandes ejecutan estrategias egoístas óptimas (o de aprendizaje) entre sí? El modelo también simplifica el costo de la retirada del ataque (dejar huérfanos tus propios bloques), lo que puede tener costos psicológicos o de reputación no lineales para los grupos. Además, como señalan investigaciones posteriores (por ejemplo, Gervais et al., 2016), el análisis asume un α estático; en realidad, el poder de hash puede huir de una cadena percibida como atacada, alterando dinámicamente la participación del atacante.
Para Desarrolladores de Protocolos: Dejen de parchear para SM1. Deben diseñar para la estrategia óptima. Este artículo proporciona el punto de referencia. Cualquier solución propuesta (por ejemplo, nuevas reglas de elección de bifurcación como GHOST) debe evaluarse contra este marco MDP. El objetivo debería ser hacer de la estrategia honesta un equilibrio de Nash para cualquier α > 0, una barrera mucho más alta que la actual.
Para Mineros y Operadores de Grupos: El cálculo ha cambiado. La pauta de "seguridad" del 25% está obsoleta. Los grupos con tan solo el 20% de poder de hash, especialmente aquellos con buena conectividad (γ alto), ahora deben considerar la tentación económica de la retención estratégica. Las implicaciones éticas y de teoría de juegos de no ejecutar la política óptima se convierten en un tema de discusión en la sala de juntas.
Para Inversores y Reguladores: Entiendan que el presupuesto de seguridad de Bitcoin (recompensas de los mineros) está bajo una forma de ataque económico más sofisticada de lo que se reconocía anteriormente. El riesgo de centralización de la minería no es lineal; está sujeto a puntos de inflexión estratégicos revelados por esta investigación. Monitorear el comportamiento de los grupos y los tiempos de propagación de la red se convierte en una métrica de seguridad crítica.
En conclusión, este artículo no es solo una mejora académica del trabajo previo; es un cambio de paradigma. Mueve la discusión de "¿Puede un grupo grande hacer trampa?" a "¿Cómo la estrategia óptima de todos, en una red imperfecta, tensiona constantemente los incentivos del protocolo?" La respuesta, desafortunadamente, es "significativamente". La carga de la prueba ahora recae en los defensores para demostrar que el consenso de Nakamoto, en su forma actual, puede hacerse verdaderamente compatible con los incentivos.