Cet article traite d'une faille critique dans la compatibilité incitative de Bitcoin, mise en lumière pour la première fois par Eyal et Sirer (2014). Bien que leur stratégie SM1 ait démontré la rentabilité du minage égoïste, ce travail prouve qu'elle n'est pas optimale. Nous présentons un modèle généralisé et un algorithme pour trouver des politiques de minage égoïste ε-optimales, établissant des bornes plus strictes sur la rentabilité et révélant un seuil de puissance de calcul plus bas pour des attaques réussies que ce qui était connu auparavant.
Comprendre le minage égoïste nécessite de s'appuyer sur le mécanisme de consensus de Bitcoin et les modèles d'attaque antérieurs.
Bitcoin repose sur un consensus de Preuve de Travail (Proof-of-Work, PoW) où les mineurs rivalisent pour résoudre des puzzles cryptographiques. Le premier à résoudre un puzzle diffuse un nouveau bloc, réclamant une récompense de bloc et des frais de transaction. Le protocole impose la publication immédiate des blocs. La règle de la chaîne la plus longue résout les fourches.
La stratégie SM1 d'Eyal et Sirer implique qu'un mineur retienne un bloc nouvellement miné, créant ainsi une chaîne privée. L'attaquant révèle des blocs de manière stratégique pour orpheliner les blocs honnêtes, s'appropriant une part disproportionnée des récompenses. Leur analyse suggérait un seuil de rentabilité d'environ 25 % de la puissance de hachage du réseau pour un attaquant bien connecté.
Nous étendons le modèle de minage égoïste dans un cadre de Processus de Décision Markovien (Markov Decision Process, MDP), permettant une exploration plus complète de l'espace des stratégies.
L'état du système est défini par l'avance de la chaîne privée de l'attaquant sur la chaîne publique. Les actions incluent : Adopter (abandonner la chaîne privée), Remplacer (publier pour dépasser la chaîne publique), Attendre (continuer à miner en privé) et Égaliser (publier juste assez pour créer une égalité). Le modèle intègre la puissance de calcul relative de l'attaquant $\alpha$ et le facteur de propagation du réseau $\gamma$.
Nous formulons le problème comme un MDP à horizon infini actualisé. En utilisant des algorithmes d'itération sur la valeur ou d'itération sur la politique, nous calculons une politique ε-optimale $\pi^*$ qui maximise le revenu relatif de l'attaquant $R(\alpha, \gamma, \pi)$. La sortie de l'algorithme dicte l'action optimale (Attendre, Adopter, Remplacer, Égaliser) pour chaque état possible (avance $l$).
~23%
Part de hachage nécessaire pour être rentable (Notre modèle)
~25%
Part de hachage nécessaire pour être rentable (SM1)
>0%
S'efface sous des modèles de délais réalistes
Nos stratégies optimales produisent systématiquement un seuil de rentabilité plus bas que SM1. Pour un facteur de propagation typique ($\gamma=0.5$), le seuil passe d'environ 25 % à environ 23 %. Cette différence de 2 % est significative, faisant entrer davantage d'attaquants potentiels dans la zone de rentabilité.
Les politiques dérivées dominent strictement SM1. L'amélioration clé est un « retrait d'attaque » plus sophistiqué—savoir précisément quand abandonner une chaîne privée (Adopter) pour limiter les pertes, plutôt que de persister de manière dogmatique comme le fait souvent SM1. Ce comportement adaptatif augmente le revenu attendu pour toutes les valeurs de $\alpha$ et $\gamma$.
Sous un modèle incorporant les délais de propagation du réseau, le seuil de rentabilité s'efface pratiquement. Même les mineurs avec une puissance de hachage négligeable ($\alpha \rightarrow 0$) ont une incitation probabiliste à retenir occasionnellement des blocs, car les délais créent des fourches naturelles qu'ils peuvent exploiter. Cela révèle un désalignement incitatif plus fondamental dans le consensus de Nakamoto.
Le cœur de l'analyse est le modèle de transition d'état et la fonction de revenu. Le revenu relatif $R$ d'un attaquant avec une puissance de hachage $\alpha$ suivant une politique $\pi$ est :
$R(\alpha, \gamma, \pi) = \frac{\text{Nombre de blocs gagnés attendus par l'attaquant}}{\text{Nombre total de blocs créés attendus}}$
L'état est l'avance $l$. Les probabilités de transition dépendent de $\alpha$ et de la découverte de blocs par les mineurs honnêtes. Par exemple, depuis l'état $l=1$ :
Graphique clé 1 : Revenu relatif vs. Puissance de hachage (α)
Un graphique linéaire comparant le revenu relatif $R$ de la politique optimale (issue de notre algorithme) avec la politique SM1 et le minage honnête. La courbe de la politique optimale se situe strictement au-dessus de la courbe SM1 pour tout $\alpha > 0$. Les courbes croisent la ligne du minage honnête (où $R = \alpha$) à différents points, démontrant visuellement le seuil plus bas de la politique optimale.
Graphique clé 2 : Diagramme de transition d'état
Un graphe orienté montrant les états (l=0,1,2,...) et les actions optimales (étiquetées sur les arêtes : Attendre, Remplacer, Adopter, Égaliser) telles que déterminées par l'algorithme pour un couple spécifique ($\alpha$, $\gamma$). Ce diagramme montre concrètement la logique de décision non triviale, comme adopter depuis une avance de 1 sous certaines conditions—un mouvement contre-intuitif absent de SM1.
Scénario : Un pool de minage « AlphaPool » contrôle $\alpha = 0.24$ de la puissance de hachage du réseau. Le facteur de propagation du réseau est $\gamma=0.6$ (ce qui signifie qu'AlphaPool apprend l'existence de 60 % des blocs honnêtes immédiatement).
Stratégie SM1 : AlphaPool suivrait une règle rigide : miner en privé avec une avance, publier pour remplacer lorsqu'il a deux blocs d'avance. L'analyse montre que cela produit $R_{SM1} \approx 0.239$, ce qui est inférieur à sa part de hachage (0.24), le rendant non rentable par rapport au minage honnête.
Politique optimale (issue de notre algorithme) : La politique calculée $\pi^*$ pourrait dicter : Depuis une avance de 1, si un bloc honnête est trouvé, immédiatement Égaliser (publier) pour créer une égalité et rivaliser au tour suivant, plutôt qu'attendre. Ce changement subtil modifie les probabilités de transition. Le revenu résultant est $R_{opt} \approx 0.242$, ce qui est supérieur à 0.24. L'attaque devient rentable.
Éclairage : Ce cas démontre comment une prise de décision optimale, dépendante de l'état, peut transformer une part de hachage théoriquement non rentable en une part rentable, uniquement par la publication stratégique de blocs.
Conception de protocole et contre-mesures : Ce travail fournit un outil pour tester en conditions extrêmes les améliorations proposées pour Bitcoin (par exemple, GHOST, protocoles de blockchain inclusive) contre le minage égoïste optimal, et pas seulement contre SM1. L'analyse de la contre-mesure suggérée par Eyal et Sirer montre qu'elle est moins efficace qu'espéré, orientant la recherche future vers des correctifs plus robustes.
Au-delà de Bitcoin : Le cadre MDP est applicable à d'autres blockchains à Preuve de Travail (par exemple, Litecoin, Bitcoin Cash) et peut être adapté pour étudier le comportement stratégique dans les systèmes à Preuve d'Enjeu (Proof-of-Stake, PoS), où des attaques analogues de « rétention de blocs » ou d'« équivocation » peuvent exister.
Attaques combinées : Les travaux futurs doivent modéliser l'interaction entre le minage égoïste et les attaques de double dépense. Un mineur égoïste avec une chaîne privée dispose d'une plateforme naturelle pour tenter des doubles dépenses, augmentant potentiellement l'utilité de l'attaquant et abaissant la barrière pour les deux attaques.
Décentralisation et dynamique des pools : Le seuil plus bas augmente la pression de centralisation. Les grands pools sont incités à employer ces stratégies optimales, et les petits mineurs sont incités à les rejoindre pour des rendements stables, créant une boucle de rétroaction qui sape la décentralisation—une prémisse de sécurité fondamentale de Bitcoin.
Sapirshtein et al. ont livré une leçon magistrale en matière de test de résistance de protocole, allant au-delà de l'exploit spécifique (SM1) pour modéliser l'ensemble de l'espace des stratégies de minage égoïste. Leur révélation fondamentale est brutale : la structure incitative de Bitcoin n'est pas seulement fissurée à 25 % de puissance de hachage—elle est intrinsèquement poreuse, avec des fissures bien plus proches de la surface que Satoshi ne l'avait jamais imaginé. Le « seuil de rentabilité » n'est pas un mur dur ; c'est un gradient que la stratégie optimale peut éroder jusqu'à près de zéro dans des conditions réseau réalistes. Cela recadre le minage égoïste d'un problème d'« attaquant de grande taille » à un désalignement incitatif systémique et omniprésent.
La logique de l'article est impeccable et dévastatrice. 1) Généralisation du modèle : Ils identifient correctement SM1 comme un point unique dans un vaste espace de stratégies. En cadrant le problème comme un Processus de Décision Markovien (MDP)—une technique reconnue en IA et en théorie du contrôle, similaire aux cadres utilisés dans des travaux pionniers comme l'article CycleGAN pour explorer les espaces de traduction d'images—ils débloquent la capacité de rechercher cet espace systématiquement. 2) Solution algorithmique : L'algorithme d'itération sur la valeur n'est pas seulement un outil ; c'est un mécanisme de preuve. Il ne suppose pas une stratégie ; il dérive la stratégie optimale à partir des premiers principes. 3) Compression du seuil : Le résultat est clair : les stratégies optimales dominent SM1, abaissant la barre de la rentabilité. 4) Le coup de grâce des délais : Le mouvement final, incorporant les délais réseau, est le coup de grâce. Il montre que dans un monde non instantané (c'est-à-dire, la réalité), l'incitation économique à dévier occasionnellement du protocole est universelle, et non exceptionnelle.
Points forts : La rigueur méthodologique est de premier ordre. Le modèle MDP est l'outil adapté, fournissant une base formelle et calculable qui manquait aux analyses heuristiques précédentes. La prise en compte des délais réseau comble un fossé critique entre la théorie et la pratique, s'alignant sur les observations d'études de mesure réseau comme celles d'institutions telles que l'IC3 (Initiative for Cryptocurrencies & Contracts). L'utilité de l'article en tant qu'« analyseur de sécurité » pour les modifications de protocole est une contribution pratique majeure.
Faiblesses et angles morts : L'analyse, bien que profonde, reste un jeu à deux joueurs (attaquant vs le « reste » honnête). Elle ne traite pas pleinement de l'équilibre dynamique et multi-pools qui caractérise Bitcoin aujourd'hui. Que se passe-t-il lorsque plusieurs grands pools exécutent tous des stratégies égoïstes optimales (ou apprenantes) les uns contre les autres ? Le modèle simplifie également le coût du retrait d'attaque (orphelinage de ses propres blocs), qui peut avoir des coûts psychologiques ou de réputation non linéaires pour les pools. De plus, comme noté par des recherches ultérieures (par exemple, Gervais et al., 2016), l'analyse suppose un α statique ; en réalité, la puissance de hachage peut fuir une chaîne perçue comme attaquée, modifiant dynamiquement la part de l'attaquant.
Pour les développeurs de protocoles : Arrêtez de corriger pour SM1. Vous devez concevoir pour la stratégie optimale. Cet article fournit la référence. Toute correction proposée (par exemple, de nouvelles règles de choix de fourche comme GHOST) doit être évaluée par rapport à ce cadre MDP. L'objectif devrait être de faire de la stratégie honnête un équilibre de Nash pour tout α > 0, une barre bien plus haute que celle actuellement atteinte.
Pour les mineurs et opérateurs de pools : Le calcul a changé. La directive de « sécurité » à 25 % est obsolète. Les pools avec seulement 20 % de puissance de hachage, en particulier ceux avec une bonne connectivité (γ élevé), doivent désormais considérer la tentation économique de la rétention stratégique. Les implications éthiques et de théorie des jeux de ne pas exécuter la politique optimale deviennent un sujet de discussion en conseil d'administration.
Pour les investisseurs et régulateurs : Comprenez que le budget de sécurité de Bitcoin (les récompenses des mineurs) est soumis à une forme d'attaque économique plus sophistiquée que reconnue auparavant. Le risque de centralisation du minage n'est pas linéaire ; il est sujet à des points de basculement stratégiques révélés par cette recherche. Surveiller le comportement des pools et les temps de propagation du réseau devient une métrique de sécurité critique.
En conclusion, cet article n'est pas seulement une amélioration académique des travaux antérieurs ; c'est un changement de paradigme. Il fait passer la discussion de « Un grand pool peut-il tricher ? » à « Comment la stratégie optimale de chacun, dans un réseau imparfait, sollicite-t-elle constamment les incitations du protocole ? » La réponse, malheureusement, est « significativement ». La charge de la preuve incombe désormais aux défenseurs pour démontrer que le consensus de Nakamoto, dans sa forme actuelle, peut être rendu véritablement compatible avec les incitations.