Questo articolo affronta una critica falla nella compatibilità degli incentivi di Bitcoin, evidenziata per la prima volta da Eyal e Sirer (2014). Mentre la loro strategia SM1 dimostrò la redditività del selfish mining, questo lavoro prova che essa non è ottimale. Presentiamo un modello generalizzato e un algoritmo per trovare politiche di selfish mining ε-ottimali, stabilendo limiti più stringenti sulla redditività e rivelando una soglia di potenza computazionale inferiore per attacchi di successo rispetto a quanto noto in precedenza.
Comprendere il selfish mining richiede una conoscenza del meccanismo di consenso di Bitcoin e dei precedenti modelli di attacco.
Bitcoin si basa su un consenso Proof-of-Work (PoW) in cui i miner competono per risolvere enigmi crittografici. Il primo a risolvere un enigma trasmette un nuovo blocco, reclamando una ricompensa di blocco e le commissioni delle transazioni. Il protocollo impone la pubblicazione immediata del blocco. La regola della catena più lunga risolve i fork.
La strategia SM1 di Eyal e Sirer prevede che un miner trattenga un blocco appena minato, creando una catena privata. L'attaccante rivela i blocchi strategicamente per orfanizzare i blocchi onesti, reclamando una quota sproporzionata delle ricompense. La loro analisi suggeriva una soglia di redditività di circa il 25% dell'hash rate della rete per un attaccante ben connesso.
Estendiamo il modello di selfish mining in un quadro di Processo Decisionale di Markov (MDP), consentendo una ricerca più completa dello spazio delle strategie.
Lo stato del sistema è definito dal vantaggio della catena privata dell'attaccante rispetto alla catena pubblica. Le azioni includono: Adotta (abbandona la catena privata), Sovrascrivi (pubblica per superare la catena pubblica), Attendi (continua a minare privatamente) e Pareggia (pubblica quanto basta per pareggiare). Il modello incorpora la potenza computazionale relativa dell'attaccante $\alpha$ e il fattore di propagazione della rete $\gamma$.
Formuliamo il problema come un MDP a orizzonte infinito scontato. Utilizzando algoritmi di iterazione del valore o iterazione delle politiche, calcoliamo una politica ε-ottimale $\pi^*$ che massimizza il ricavo relativo dell'attaccante $R(\alpha, \gamma, \pi)$. L'output dell'algoritmo detta l'azione ottimale (Attendi, Adotta, Sovrascrivi, Pareggia) per ogni possibile stato (vantaggio $l$).
~23%
Quota di hash necessaria per il profitto (Nostro Modello)
~25%
Quota di hash necessaria per il profitto (SM1)
>0%
Si annulla sotto modelli realistici di ritardo
Le nostre strategie ottimali producono costantemente una soglia di redditività inferiore rispetto a SM1. Per un tipico fattore di propagazione ($\gamma=0.5$), la soglia scende da circa il 25% a circa il 23%. Questa differenza del 2% è significativa, portando più potenziali attaccanti nella zona redditizia.
Le politiche derivate dominano strettamente SM1. Il miglioramento chiave è un "ritiro dall'attacco" più sofisticato: sapere esattamente quando abbandonare una catena privata (Adotta) per tagliare le perdite, piuttosto che persistere dogmaticamente come fa spesso SM1. Questo comportamento adattivo aumenta il ricavo atteso per tutti i valori di $\alpha$ e $\gamma$.
Sotto un modello che incorpora i ritardi di propagazione della rete, la soglia di profitto si annulla efficacemente. Anche i miner con potenza di hash trascurabile ($\alpha \rightarrow 0$) hanno un incentivo probabilistico a trattenere occasionalmente i blocchi, poiché i ritardi creano fork naturali che possono sfruttare. Ciò rivela un disallineamento degli incentivi più fondamentale nel consenso Nakamoto.
Il nucleo dell'analisi è il modello di transizione di stato e la funzione di ricavo. Il ricavo relativo $R$ di un attaccante con potenza di hash $\alpha$ che segue la politica $\pi$ è:
$R(\alpha, \gamma, \pi) = \frac{\text{Blocchi guadagnati attesi dall'attaccante}}{\text{Blocchi totali creati attesi}}$
Lo stato è il vantaggio $l$. Le probabilità di transizione dipendono da $\alpha$ e dal ritrovamento di blocchi da parte dei miner onesti. Ad esempio, dallo stato $l=1$:
Grafico Chiave 1: Ricavo Relativo vs. Potenza di Hash (α)
Un grafico a linee che confronta il ricavo relativo $R$ della politica ottimale (dal nostro algoritmo) con la politica SM1 e il mining onesto. La curva della politica ottimale giace strettamente sopra la curva SM1 per tutti i $\alpha > 0$. Le curve intersecano la linea del mining onesto (dove $R = \alpha$) in punti diversi, dimostrando visivamente la soglia inferiore della politica ottimale.
Grafico Chiave 2: Diagramma di Transizione di Stato
Un grafo orientato che mostra gli stati (l=0,1,2,...) e le azioni ottimali (etichettate sugli archi: Attendi, Sovrascrivi, Adotta, Pareggia) come determinato dall'algoritmo per uno specifico ($\alpha$, $\gamma$). Questo diagramma mostra concretamente la logica decisionale non banale, come adottare da un vantaggio di 1 in certe condizioni—una mossa controintuitiva non presente in SM1.
Scenario: Un mining pool "AlphaPool" controlla $\alpha = 0.24$ dell'hash rate della rete. Il fattore di propagazione della rete è $\gamma=0.6$ (significa che AlphaPool apprende immediatamente il 60% dei blocchi onesti).
Strategia SM1: AlphaPool seguirebbe una regola rigida: mina privatamente con un vantaggio, pubblica per sovrascrivere quando è avanti di 2. L'analisi mostra che questo produce $R_{SM1} \approx 0.239$, che è inferiore alla sua quota di hash (0.24), rendendolo non redditizio rispetto al mining onesto.
Politica Ottimale (dal nostro algoritmo): La politica calcolata $\pi^*$ potrebbe dettare: Da un vantaggio di 1, se viene trovato un blocco onesto, Pareggia immediatamente (pubblica) per creare un pareggio e competere nel round successivo, piuttosto che attendere. Questo sottile cambiamento altera le probabilità di transizione. Il ricavo risultante è $R_{opt} \approx 0.242$, che è maggiore di 0.24. L'attacco diventa redditizio.
Approfondimento: Questo caso dimostra come il processo decisionale ottimale, dipendente dallo stato, possa trasformare una quota di hash teoricamente non redditizia in una redditizia, puramente attraverso la pubblicazione strategica dei blocchi.
Progettazione del Protocollo e Contromisure: Questo lavoro fornisce uno strumento per stress-testare i miglioramenti proposti per Bitcoin (es. GHOST, protocolli Inclusive Blockchain) contro il selfish mining ottimale, non solo SM1. L'analisi della contromisura suggerita da Eyal e Sirer mostra che è meno efficace del previsto, guidando la ricerca futura verso soluzioni più robuste.
Oltre Bitcoin: Il quadro MDP è applicabile ad altre blockchain Proof-of-Work (es. Litecoin, Bitcoin Cash) e può essere adattato per studiare il comportamento strategico nei sistemi Proof-of-Stake (PoS), dove potrebbero esistere attacchi analoghi di "trattenimento dei blocchi" o "equivocazione".
Attacchi Combinati: Il lavoro futuro deve modellare l'interazione tra selfish mining e attacchi di double-spending. Un miner egoista con una catena privata ha una piattaforma naturale per tentare double-spend, potenzialmente aumentando l'utilità dell'attaccante e abbassando la barriera per entrambi gli attacchi.
Decentralizzazione e Dinamiche dei Pool: La soglia inferiore aumenta la pressione verso la centralizzazione. I grandi pool sono incentivati a impiegare queste strategie ottimali, e i miner più piccoli sono incentivati a unirsi a loro per rendimenti stabili, creando un ciclo di feedback che mina la decentralizzazione—una premessa di sicurezza fondamentale di Bitcoin.
Sapirshtein et al. hanno fornito una lezione magistrale nello stress-testing dei protocolli, andando oltre lo specifico exploit (SM1) per modellare l'intero spazio delle strategie di selfish mining. La loro rivelazione fondamentale è brutale: la struttura degli incentivi di Bitcoin non è solo incrinata al 25% di potenza di hash—è intrinsecamente difettosa, con le fessure che corrono molto più vicine alla superficie di quanto Satoshi avesse mai immaginato. La "soglia di profitto" non è un muro duro; è un gradiente che la strategia ottimale può erodere fino a quasi zero in condizioni di rete realistiche. Ciò riformula il selfish mining da un problema di "grande attaccante" a un disallineamento sistemico e sempre presente degli incentivi.
La logica del paper è impeccabile e devastante. 1) Generalizzazione del Modello: Identificano correttamente SM1 come un singolo punto in un vasto spazio di strategie. Inquadrando il problema come un Processo Decisionale di Markov (MDP)—una tecnica con pedigree nell'IA e nella teoria del controllo, analoga ai framework utilizzati in lavori pionieristici come il paper CycleGAN per esplorare spazi di traduzione di immagini—sbloccano la capacità di cercare questo spazio sistematicamente. 2) Soluzione Algoritmica: L'algoritmo di iterazione del valore non è solo uno strumento; è un meccanismo di prova. Non assume una strategia; la deriva da principi primi. 3) Compressione della Soglia: L'output è chiaro: le strategie ottimali dominano SM1, abbassando la barra per la redditività. 4) Il Colpo di Grazia del Ritardo: La mossa finale, incorporando i ritardi di rete, è il coup de grâce. Mostra che in un mondo non istantaneo (cioè, la realtà), l'incentivo economico a deviare occasionalmente dal protocollo è universale, non eccezionale.
Punti di Forza: Il rigore metodologico è di prim'ordine. Il modello MDP è lo strumento giusto per il lavoro, fornendo una base formale e calcolabile che mancava alle precedenti analisi euristiche. La considerazione dei ritardi di rete colma un divario critico tra teoria e pratica, allineandosi con le osservazioni degli studi di misurazione di rete come quelli di istituzioni come l'IC3 (Initiative for Cryptocurrencies & Contracts). L'utilità del paper come "analizzatore di sicurezza" per le modifiche al protocollo è un contributo pratico maggiore.
Debolezze e Punti Ciechi: L'analisi, sebbene profonda, è ancora un gioco a due giocatori (attaccante vs. "resto" onesto). Non affronta pienamente l'equilibrio dinamico e multi-pool che caratterizza Bitcoin oggi. Cosa succede quando più grandi pool eseguono tutti strategie egoiste ottimali (o di apprendimento) l'uno contro l'altro? Il modello semplifica anche il costo del ritiro dall'attacco (orfanizzare i propri blocchi), che potrebbe avere costi psicologici o reputazionali non lineari per i pool. Inoltre, come notato da ricerche successive (es. Gervais et al., 2016), l'analisi assume un α statico; in realtà, la potenza di hash potrebbe fuggire da una catena percepita come attaccata, alterando dinamicamente la quota dell'attaccante.
Per Sviluppatori di Protocolli: Smettete di applicare patch per SM1. Dovete progettare per la strategia ottimale. Questo paper fornisce il benchmark. Qualsiasi correzione proposta (es. nuove regole di scelta del fork come GHOST) deve essere valutata rispetto a questo framework MDP. L'obiettivo dovrebbe essere rendere la strategia onesta un equilibrio di Nash per qualsiasi α > 0, una barra molto più alta di quella attualmente considerata.
Per Miner e Operatori di Pool: Il calcolo è cambiato. La linea guida di "sicurezza" del 25% è obsoleta. I pool con appena il 20% di potenza di hash, specialmente quelli con buona connettività (γ alto), devono ora considerare la tentazione economica del trattenimento strategico. Le implicazioni etiche e di teoria dei giochi del non eseguire la politica ottimale diventano una discussione da consiglio di amministrazione.
Per Investitori e Regolatori: Comprendete che il budget di sicurezza di Bitcoin (ricompense dei miner) è sotto una forma di attacco economico più sofisticata di quanto precedentemente riconosciuto. Il rischio di centralizzazione del mining non è lineare; è soggetto a punti di svolta strategici rivelati da questa ricerca. Monitorare il comportamento dei pool e i tempi di propagazione della rete diventa una metrica di sicurezza critica.
In conclusione, questo paper non è solo un miglioramento accademico del lavoro precedente; è un cambio di paradigma. Sposta la discussione da "Può un grande pool barare?" a "Come la strategia ottimale di tutti, in una rete imperfetta, mette costantemente sotto sforzo gli incentivi del protocollo?" La risposta, sfortunatamente, è "significativamente". L'onere della prova ora ricade sui difensori per dimostrare che il consenso Nakamoto, nella sua forma attuale, possa essere reso veramente compatibile con gli incentivi.