حمله‌ی بالانس: تهدیدی نوین علیه اجماع بلاک‌چین مبتنی بر اثبات کار

1. مقدمه و مرور کلی

این مقاله حمله‌ی بالانس را معرفی و تحلیل می‌کند، یک اکسپلویت امنیتی نوین که پروتکل‌های اجماع بلاک‌چین مبتنی بر اثبات کار (PoW) را هدف قرار می‌دهد، با تمرکز اصلی بر اتریوم و پروتکل GHOST آن. برخلاف حملات سنتی ۵۱٪ که نیازمند قدرت محاسباتی قاطع هستند، حمله‌ی بالانس از تأخیرهای ارتباطی استراتژیک شبکه بین زیرگروه‌های نودها برای ایجاد پارتیشن‌بندی موقت استفاده می‌کند و امکان خرج مضاعف را با قدرت استخراج به‌مراتب کمتر فراهم می‌سازد. این پژوهش هم یک مدل احتمالاتی نظری و هم اعتبارسنجی تجربی با استفاده از یک راه‌اندازی مشابه بستر آزمایشی بلاک‌چین کنسرسیوم مالی R3 ارائه می‌دهد.

یافته‌ی اصلی این است که بلاک‌چین‌های اثبات کار، به‌ویژه آن‌هایی که از مکانیسم‌های محاسبه‌ی بلاک‌های عمویی مانند GHOST استفاده می‌کنند، ممکن است اساساً برای تنظیمات زنجیره‌های کنسرسیومی یا خصوصی که در آن‌ها توپولوژی شبکه و تأخیر قابل دستکاری یا پیش‌بینی‌پذیر هستند، نامناسب باشند.

2. مکانیسم حمله‌ی بالانس

این حمله با ایجاد مصنوعی شرایط شبکه‌ای که منجر به زنجیره‌های رقیب با وزن مشابه می‌شود، استراتژی حل انشعاب بلاک‌چین را مورد سوءاستفاده قرار می‌دهد.

2.1 اصل اصلی حمله

مهاجم شبکه را به (حداقل) دو زیرگروه با قدرت استخراج تجمعی تقریباً متعادل پارتیشن‌بندی می‌کند. با تأخیر انتخابی پیام‌ها بین این زیرگروه‌ها (اما نه درون آن‌ها)، مهاجم به آن‌ها اجازه می‌دهد روی زنجیره‌های جداگانه استخراج کنند. سپس مهاجم قدرت استخراج خود را بر یک زیرگروه (زیرگروه بلاک) متمرکز می‌کند، در حالی که تراکنش‌هایی را که قصد برگشت آن‌ها را دارد در زیرگروه دیگر (زیرگروه تراکنش) صادر می‌کند.

2.2 مراحل حمله

پارتیشن‌بندی و تأخیر: مهاجم زیرگروه‌های A و B را از طریق تأخیر شبکه جدا می‌کند.
استخراج موازی: زیرگروه‌های A و B زنجیره‌های جداگانه می‌سازند. مهاجم منحصراً با زیرگروه B استخراج می‌کند.
صدور تراکنش: مهاجم یک تراکنش در زیرگروه A صادر می‌کند که در زنجیره‌ی آن تأیید می‌شود.
تغییر وزن: مهاجم به استخراج در زیرگروه B ادامه می‌دهد تا زمانی که احتمال سنگین‌تر بودن زنجیره‌ی B (شامل بلاک‌های عمویی) نسبت به زنجیره‌ی A بالا باشد.
اتصال مجدد و بازآرایی: مهاجم تأخیر را متوقف می‌کند. هنگامی که شبکه دیدگاه‌ها را با استفاده از GHOST تطبیق می‌دهد، زنجیره‌ی سنگین‌تر از زیرگروه B پذیرفته می‌شود، بلاک حاوی تراکنش مهاجم یتیم می‌ماند و امکان خرج مضاعف فراهم می‌شود.

3. تحلیل نظری و مدل

این مقاله یک مدل احتمالاتی رسمی برای تعیین شرایط یک حمله موفق برقرار می‌کند.

3.1 چارچوب احتمالاتی

تحلیل از کران‌های چرنوف برای مدل‌سازی فرآیند استخراج به عنوان یک فرآیند پواسون استفاده می‌کند. متغیر کلیدی زمان تأخیر ($\Delta$) است که مهاجم باید حفظ کند در مقابل سهم قدرت استخراج مهاجم ($\alpha$) و قدرت شبکه صادق.

3.2 فرمول‌بندی ریاضی کلیدی

احتمال این که شاخه مهاجم در زیرگروه جدا شده سنگین‌تر از شاخه زیرگروه دیگر شود، استخراج شده است. برای یک خرج مضاعف موفق با احتمال بالا، تأخیر مورد نیاز $\Delta$ با قدرت استخراج مهاجم رابطه معکوس دارد. مدل این مبادله را ثبت می‌کند: قدرت کمتر مهاجم نیازمند تأخیر شبکه طولانی‌تر است. یک عبارت ساده شده برای پیش‌روی مورد انتظار $L$ که یک مهاجم می‌تواند در زمان $t$ با قدرت هش $q$ در مقابل قدرت صادق $p$ به دست آورد، با نرخ فرآیند پواسون مرتبط است: $\lambda = \frac{p}{\tau}$، که در آن $\tau$ زمان بلاک است. پیشرفت مهاجم یک متغیر تصادفی است که توسط این فرآیند مدل‌سازی می‌شود.

4. اعتبارسنجی تجربی

مدل نظری در یک محیط عملی الگوبرداری شده از کنسرسیوم R3 آزمایش شد.

4.1 راه‌اندازی بستر آزمایشی کنسرسیوم R3

یک زنجیره خصوصی اتریوم در یک سیستم توزیع‌شده که شرایط کنسرسیوم R3 (حدود ۱۱ بانک مشارکت‌کننده) را شبیه‌سازی می‌کرد، مستقر شد. تأخیر شبکه به‌طور مصنوعی بین زیرگروه‌های نود برای شبیه‌سازی حمله ایجاد شد.

4.2 نتایج و امکان‌پذیری حمله

یافته تجربی کلیدی

مدت حمله: یک ماشین واحد توانست حمله‌ی بالانس را با موفقیت علیه کنسرسیوم شبیه‌سازی شده R3 در حدود ۲۰ دقیقه اجرا کند.

پیامد: این نشان می‌دهد که حمله صرفاً نظری نیست، بلکه با منابع متوسط در یک محیط کنسرسیومی که قدرت هش کل شبکه در مقایسه با شبکه‌های اصلی عمومی محدود است، عملاً امکان‌پذیر است.

توضیح نمودار (مفهومی): یک نمودار خطی احتمال موفقیت یک خرج مضاعف (محور Y) را نشان می‌دهد که با افزایش زمان تأخیر کنترل شده توسط مهاجم (محور X) به شدت افزایش می‌یابد، حتی برای مقادیر کم قدرت استخراج مهاجم (نمایان شده توسط خطوط مختلف). منحنی برای یک مهاجم ۲۰٪ بسیار سریع‌تر از یک مهاجم ۵٪ به احتمال بالا می‌رسد، اما هر دو در صورت تأخیر کافی در نهایت موفق می‌شوند.

5. پیامدها و تحلیل تطبیقی

5.1 آسیب‌پذیری اتریوم در مقابل بیت‌کوین

اگرچه هر دو در برابر حملات سطح شبکه آسیب‌پذیر هستند، اما مقاله پیشنهاد می‌کند که پروتکل GHOST اتریوم، که بلاک‌های عمویی را در محاسبات وزن لحاظ می‌کند، ممکن است به طعنه یک سطح حمله متفاوت ایجاد کند. حمله‌ی بالانس به طور خاص قانون "سنگین‌ترین زیردرخت" را با ایجاد زیردرخت‌های متعادل و رقیب از طریق جداسازی دستکاری می‌کند. قانون طولانی‌ترین زنجیره بیت‌کوین در برابر حملات تأخیر متفاوت (مانند استخراج خودخواهانه) آسیب‌پذیر است، اما حمله‌ی بالانس حول مکانیک GHOST فرمول‌بندی شده است.

5.2 تناسب بلاک‌چین کنسرسیومی

مخرب‌ترین نتیجه‌گیری مقاله این است که پروتکل‌های ساده اثبات کار برای بلاک‌چین‌های کنسرسیومی مناسب نیستند. کنسرسیوم‌ها شرکت‌کنندگان کم‌تر و شناخته‌شده‌ای دارند، که باعث می‌شود حملات پارتیشن‌بندی شبکه محتمل‌تر از شبکه جهانی و خصمانه بیت‌کوین باشند. قدرت هش کل محدود نیز هزینه کسب سهم معناداری از آن را کاهش می‌دهد.

6. دیدگاه تحلیلی: بینش اصلی و نقد

بینش اصلی: ناتولی و گرامولی یک اصل حیاتی و اغلب نادیده گرفته شده در امنیت بلاک‌چین را آشکار کرده‌اند: امنیت اجماع تابعی از هر دو اثبات رمزنگاری و همزمانی شبکه است. حمله‌ی بالانس مربوط به شکستن SHA-256 یا Ethash نیست؛ بلکه مربوط به شکستن جراحی‌گونه فرض "شبکه" در مدل‌های نیمه‌همزمان است. این تهدید را از لایه محاسبات (قدرت هش) به لایه شبکه (مسیریابی، ISPها) منتقل می‌کند، مرزی که بسیاری از اپراتورهای کنسرسیومی برای دفاع از آن آمادگی ندارند. این پژواک درس‌هایی از سیستم‌های توزیع‌شده کلاسیک مانند نتیجه عدم امکان FLP است که ثابت می‌کند اجماع تحت ناهمزمانی شکننده است.

جریان منطقی: استدلال در سادگی خود ظریف است. ۱) امنیت اثبات کار متکی بر یک زنجیره با سریع‌ترین رشد است. ۲) GHOST این را به زنجیره "سنگین‌ترین" تغییر می‌دهد و عمویی‌ها را برای بهبود توان عملیاتی لحاظ می‌کند. ۳) با ایجاد پارتیشن‌های جدا شده با قدرت متعادل، مهاجم ایجاد دو زیردرخت سنگین و معتبر را تحمیل می‌کند. ۴) پس از اتصال مجدد، قانون GHOST به جای دفاع، به بردار حمله تبدیل می‌شود. نقص منطقی که مورد سوءاستفاده قرار می‌دهد این است که GHOST فرض می‌کند وزن منعکس‌کننده کار صادقانه است، اما در یک شبکه پارتیشن‌بندی شده، وزن منعکس‌کننده کار جدا شده است که قابل دستکاری است.

نقاط قوت و ضعف: نقطه قوت مقاله نمایش عملی آن بر روی یک زنجیره خصوصی اتریوم است که فراتر از تئوری می‌رود. استفاده از کران‌های چرنوف دقت ریاضی را فراهم می‌کند. با این حال، تحلیل یک ضعف مشترک در مقالات امنیتی آکادمیک دارد: فرض می‌کند یک پارتیشن شبکه تقریباً کامل و پایدار وجود دارد. در شبکه‌های سازمانی واقعی با مسیرهای فیزیکی و منطقی متعدد، حفظ چنین پارتیشن تمیزی برای بیش از ۲۰ دقیقه در برابر نظارت مهندسان شبکه پیش پا افتاده نیست. حمله همچنین نیازمند این است که مهاجم زیرگروه‌هایی با قدرت هش دقیقاً متعادل را شناسایی و هدف قرار دهد، که ممکن است نیازمند دانش داخلی در یک کنسرسیوم باشد.

بینش‌های قابل اجرا: برای هر سازمانی که در نظر دارد یک زنجیره کنسرسیومی مبتنی بر اثبات کار راه‌اندازی کند، این مقاله یک پرچم قرمز اجباری است. نتیجه فوری این است که اثبات کار خالص را برای تنظیمات کنسرسیومی کنار بگذارید. جایگزین‌هایی مانند اثبات اختیار (PoA)، تحمل خطای بیزانس عملی (PBFT) یا مشتقات آن (مانند Istanbul BFT) ذاتاً مقاوم‌تر هستند زیرا امنیت آن‌ها ناشی از هویت و عبور پیام است، نه قدرت هش و شانس شبکه. برای زنجیره‌های عمومی مانند اتریوم، کاهش خطر در زیرساخت شبکه قوی و غیرمتمرکز (مانند Discv5 اتریوم) و انتشار سریع بلاک (مانند Graphene) نهفته است. نظارت شبکه برای تأخیر غیرعادی بین استخرهای استخراج بزرگ باید یک عمل امنیتی استاندارد باشد. این پژوهش، همراه با کارهای قبلی در مورد حملات خورشیدگرفتگی (هیلمن و همکاران) و حملات رشوه (جودمایر و همکاران)، مجموعه‌ای از شواهد را تشکیل می‌دهد که نشان می‌دهد اجماع لایه-۱ باید با در نظر گرفتن صریح مدل‌های شبکه خصمانه طراحی شود.

7. بررسی عمیق فنی

7.1 جزئیات مدل ریاضی

فرآیند استخراج برای نودهای صادق و مهاجم به عنوان فرآیندهای پواسون مستقل با نرخ‌های $\lambda_h$ و $\lambda_a$ به ترتیب مدل‌سازی می‌شود، که در آن $\lambda = \text{قدرت هش} / \text{زمان بلاک}$. فرض کنید $Q(t)$ و $H(t)$ تعداد بلاک‌های استخراج شده توسط مهاجم و شبکه صادق در زمان $t$ باشند. انتظارات آن‌ها $\mathbb{E}[Q(t)] = \lambda_a t$ و $\mathbb{E}[H(t)] = \lambda_h t$ است.

هدف مهاجم در طول دوره تأخیر $\Delta$ ایجاد یک پیش‌روی $z$ در یک پارتیشن است. احتمال این که زنجیره مهاجم در پارتیشن B حداقل $k$ بلاک از زنجیره صادق در پارتیشن A جلوتر باشد را می‌توان با استفاده از نابرابری‌های دم برای توزیع‌های پواسون کران‌گذاری کرد. شرط موفقیت حمله هنگامی که شبکه‌ها ادغام می‌شوند شامل مقایسه وزن کل (شامل عمویی‌ها) دو زنجیره رقیب است. مقاله شرطی را استخراج می‌کند که $\Delta$، $\alpha$ (سهم مهاجم از کل قدرت) و احتمال موفقیت مورد نظر را به هم مرتبط می‌سازد.

7.2 پارامترها و معیارهای آزمایشی

بستر آزمایش: شبکه خصوصی اتریوم (کلاینت‌های Geth).
تعداد نود: الگوبرداری شده از حدود ۱۱ مشارکت‌کننده R3.
شبیه‌سازی شبکه: از ابزارها (مانند `tc` netem) برای ایجاد تأخیر دقیق ($\Delta$) بین زیرمجموعه‌های نود استفاده شد.
توزیع قدرت استخراج: زیرگروه‌های متعادل شبیه‌سازی شده (مثلاً ۴۵٪-۴۵٪ صادق، ۱۰٪ مهاجم).
معیار اصلی: زمان تا خرج مضاعف موفق (TTS) و احتمال آن.
اعتبارسنجی: اجراهای مکرر برای اندازه‌گیری ثبات زمان حمله حدود ۲۰ دقیقه.

8. چارچوب تحلیل و مثال مفهومی

سناریو: یک بلاک‌چین کنسرسیومی برای مالی تجاری با ۱۰ بانک، که هر کدام یک نود استخراج با قدرت برابر اداره می‌کنند.

کاربرد چارچوب حمله:

شناسایی: مهاجم (یک عضو داخلی مخرب در یک بانک) توپولوژی شبکه را نقشه‌برداری می‌کند و شناسایی می‌کند که نودها در دو منطقه ابری اصلی میزبانی می‌شوند: US-East (6 نود) و EU-West (4 نود).
موازنه قدرت: مهاجم محاسبه می‌کند که زیرگروه US-East حدود ۶۰٪ از قدرت هش و EU-West حدود ۴۰٪ را دارد. برای متعادل کردن، مهاجم موقتاً یک نود اضافی در منطقه EU به خطر می‌اندازد یا آنلاین می‌کند و تعادل را به حدود ۵۰٪-۵۰٪ نزدیک می‌کند.
پارتیشن‌بندی: با استفاده از ربودن BGP یا DDoS هدفمند علیه لینک‌های بین منطقه‌ای، مهاجم یک تأخیر ارتباطی ۳۰ دقیقه‌ای بین US-East و EU-West ایجاد می‌کند.
اجرا: مهاجم یک تراکنش برای خرید دارایی در زنجیره US-East صادر می‌کند. همزمان، با منبع خود در پارتیشن EU-West استخراج می‌کند. پس از ۲۵ دقیقه، زنجیره EU-West (تقویت شده توسط استخراج متمرکز مهاجم) وزن GHOST سنگین‌تری دارد.
حل و فصل: مهاجم مداخله شبکه را متوقف می‌کند. نودهای شبکه تطبیق می‌یابند و زنجیره EU-West را می‌پذیرند، تراکنش US-East را باطل می‌کنند. مهاجم دارایی را مضاعف خرج کرده است.

این مثال غیرکد مراحل حمله را با استفاده از یک سناریوی تجاری واقع‌بینانه نشان می‌دهد.

9. مسیرهای آینده و راهبردهای کاهش

تکامل پروتکل اجماع: پذیرش گسترده‌تر اجماع غیر اثبات کار برای زنجیره‌های خصوصی/کنسرسیومی (مانند Raft هایپرلجر فبریک، QBFT کوروم).
مدل‌های ترکیبی: تحقیق در مورد پروتکل‌های اثبات کاری که صریحاً تحمل‌پذیر تأخیر هستند یا اثبات‌های تأخیر شبکه را در خود جای می‌دهند.
امنیت پیشرفته لایه شبکه: ادغام پروتکل‌های شبکه همتا به همتا با ویژگی‌های ضد پارتیشن‌بندی، مانند انتخاب تصادفی قابل تأیید همتا و نظارت بر الگوهای تأخیر غیرعادی.
تأیید رسمی: اعمال روش‌های رسمی برای مدل‌سازی و تأیید پروتکل‌های اجماع تحت فرض‌های همزمانی ضعیف شبکه، مشابه کار انجام شده بر روی اجماع آلگورند.
تمرکز بر مقررات و حاکمیت: برای کنسرسیوم‌ها، توسعه مدل‌های حاکمیتی و استانداردهای فنی که زیرساخت شبکه قوی و نظارت را به عنوان بخشی از استقرار بلاک‌چین اجباری می‌کنند، نه یک فکر بعدی.

10. منابع

Natoli, C., & Gramoli, V. (2016). The Balance Attack Against Proof-Of-Work Blockchains: The R3 Testbed as an Example. arXiv preprint arXiv:1612.09426.
Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
Buterin, V. (2014). Ethereum: A Next-Generation Smart Contract and Decentralized Application Platform.
Sompolinsky, Y., & Zohar, A. (2013). Accelerating Bitcoin's Transaction Processing. Fast Money Grows on Trees, Not Chains. IACR Cryptology ePrint Archive.
Heilman, E., Kendler, A., Zohar, A., & Goldberg, S. (2015). Eclipse Attacks on Bitcoin's Peer-to-Peer Network. USENIX Security Symposium.
Eyal, I., & Sirer, E. G. (2014). Majority is not Enough: Bitcoin Mining is Vulnerable. International Conference on Financial Cryptography and Data Security.
Lamport, L., Shostak, R., & Pease, M. (1982). The Byzantine Generals Problem. ACM Transactions on Programming Languages and Systems.
Castro, M., & Liskov, B. (1999). Practical Byzantine Fault Tolerance. OSDI.