1. 序論と概要

本論文は、プルーフ・オブ・ワーク(PoW)ブロックチェーン合意プロトコル、特にイーサリアムとそのGHOSTプロトコルを標的とした新たなセキュリティ悪用手法であるバランス攻撃を紹介し、分析する。圧倒的な計算能力を必要とする従来の51%攻撃とは異なり、バランス攻撃はノードのサブグループ間の戦略的なネットワーク通信遅延を利用して一時的な分断を作り出し、はるかに低いマイニング能力で二重支払いを可能にする。本研究は、R3金融コンソーシアムのブロックチェーン・テストベッドを模した環境を用いた理論的な確率モデルと実験的検証の両方を提供する。

核心的な発見は、PoWブロックチェーン、特にGHOSTのようなアンクルブロック計上メカニズムを使用するものは、ネットワークトポロジーや遅延が操作可能または予測可能であるコンソーシアムやプライベートチェーンの設定には根本的に適さない可能性があるということである。

2. バランス攻撃のメカニズム

この攻撃は、類似の重みを持つ競合チェーンを生み出すネットワーク状態を人為的に作り出すことで、ブロックチェーンのフォーク解決戦略を悪用する。

2.1 攻撃の核心原理

攻撃者は、ネットワークを(少なくとも)2つのサブグループに分割し、それらの総合マイニング能力をほぼ均衡させる。これらのサブグループのメッセージを選択的に遅延させる(グループ内は遅延させない)ことで、攻撃者は各グループが別々のチェーン上でマイニングすることを可能にする。攻撃者は自身のマイニング能力を一方のサブグループ(ブロック・サブグループ)に集中させながら、もう一方のサブグループ(トランザクション・サブグループ)で取り消そうとするトランザクションを発行する。

2.2 攻撃の段階

  1. 分断と遅延: 攻撃者はネットワーク遅延によりサブグループAとBを分離する。
  2. 並列マイニング: サブグループAとBは別々のチェーンを構築する。攻撃者はサブグループBでのみマイニングを行う。
  3. トランザクション発行: 攻撃者はサブグループAでトランザクションを発行し、そのチェーン内で承認される。
  4. 重みの傾斜: 攻撃者は、Bのチェーン(アンクルブロックを含む)がAのチェーンよりも重くなる確率が高くなるまで、サブグループBでのマイニングを継続する。
  5. 再接続と再編成: 攻撃者は遅延を停止する。ネットワークがGHOSTを使用してビューを調整する際、サブグループBからのより重いチェーンが採用され、攻撃者のトランザクションを含むブロックがオーファン化され、二重支払いが可能になる。

3. 理論的分析とモデル

本論文は、攻撃が成功する条件を決定するための形式的な確率モデルを確立する。

3.1 確率的フレームワーク

分析では、マイニングプロセスをポアソン過程としてモデル化するためにチェルノフ限界を使用する。重要な変数は、攻撃者が維持しなければならない遅延時間($\Delta$)と、攻撃者のマイニング能力割合($\alpha$)、および正直なネットワークの能力との関係である。

3.2 主要な数学的定式化

分離されたサブグループ内の攻撃者のブランチが、他のサブグループのブランチよりも重くなる確率が導出される。高い確率で二重支払いを成功させるために必要な遅延$\Delta$は、攻撃者のマイニング能力に反比例する。このモデルはトレードオフを捉えている:攻撃者の能力が低いほど、より長いネットワーク遅延が必要となる。 ハッシュパワー$q$を持つ攻撃者が、正直なパワー$p$に対して時間$t$で得られる期待リード$L$の簡略化された式は、ポアソン過程のレート$\lambda = \frac{p}{\tau}$($\tau$はブロック時間)に関連する。攻撃者の進捗は、この過程によってモデル化される確率変数である。

4. 実験的検証

理論モデルは、R3コンソーシアムをモデルとした実践的環境でテストされた。

4.1 R3コンソーシアム・テストベッドの設定

R3コンソーシアム(約11行が参加)の条件を模倣した分散システムに、イーサリアムのプライベートチェーンを展開した。攻撃をシミュレートするため、ノードサブグループ間に人為的にネットワーク遅延を導入した。

4.2 結果と攻撃の実現可能性

主要な実験結果

攻撃所要時間: 単一のマシンが、シミュレートされたR3コンソーシアムに対してバランス攻撃を約20分で成功裏に実行できた。

示唆: これは、攻撃が単に理論的なものではなく、パブリックメインネットに比べてネットワーク全体のハッシュパワーが限られているコンソーシアム環境では、控えめなリソースでも実用的に実行可能であることを示している。

チャートの説明(概念的): 折れ線グラフは、攻撃者が制御する遅延時間(X軸)が増加するにつれて、二重支払いの成功率(Y軸)が急激に上昇する様子を示す。これは、攻撃者のマイニング能力が低い値(異なる線で表現)であっても同様である。20%の攻撃者の曲線は、5%の攻撃者よりもはるかに速く高い確率に達するが、十分な遅延があれば両者とも最終的には成功する。

5. 影響と比較分析

5.1 イーサリアムとビットコインの脆弱性比較

両者ともネットワークレベルの攻撃に対して脆弱であるが、本論文は、アンクルブロックを重み計算に組み込むイーサリアムのGHOSTプロトコルが、皮肉にも異なる攻撃対象領域を作り出す可能性があると示唆する。バランス攻撃は、分離を通じて均衡した競合サブツリーを作り出すことで、「最も重いサブツリー」ルールを具体的に操作する。ビットコインの最長チェーンルールは異なる遅延攻撃(例:セルフィッシュマイニング)に対して脆弱であるが、バランス攻撃はGHOSTの仕組みを中心に定式化されている。

5.2 コンソーシアム・ブロックチェーンへの適合性

本論文の最も厳しい結論は、標準的なPoWプロトコルはコンソーシアム・ブロックチェーンには不向きであるということだ。コンソーシアムは参加者が少なく既知であるため、グローバルで敵対的なビットコインネットワークよりもネットワーク分断攻撃がより現実的である。総ハッシュパワーが限られていることも、その有意な割合を取得するコストを低減する。

6. アナリストの視点:核心的洞察と批判

核心的洞察: NatoliとGramoliは、ブロックチェーンセキュリティにおいてしばしば見過ごされていた重要な公理を暴露した:合意の安全性は、暗号学的証明とネットワーク同期性の両方の関数である。 バランス攻撃はSHA-256やEthashを破るものではない。それは、部分的同期モデルにおける「ネットワーク」の仮定を外科的に破るものである。これは脅威を計算レイヤー(ハッシュパワー)からネットワークレイヤー(ルーティング、ISP)へと移行させ、多くのコンソーシアム運営者が防御する準備ができていない新たな領域である。これは、FLP不可能性結果のような古典的な分散システムからの教訓を彷彿とさせ、非同期性の下では合意が脆弱であることを証明している。

論理的流れ: その議論は単純さにおいて優雅である。1) PoWのセキュリティは、単一の最も速く成長するチェーンに依存する。2) GHOSTはこれを「最も重い」チェーンに変更し、アンクルを組み込んでスループットを向上させる。3) 均衡したパワーを持つ分離されたパーティションを作成することで、攻撃者は2つの重く有効なサブツリーの生成を強制する。4) 再接続時、GHOSTのルールは防御ではなく、攻撃の経路となる。攻撃が悪用する論理的欠陥は、GHOSTが重みが正直な作業を反映していると仮定しているが、分断されたネットワークでは、重みは分離された作業を反映しており、これは操作可能であるということだ。

長所と欠点: 本論文の長所は、イーサリアムのプライベートチェーンでの実践的な実証であり、理論を超えている点である。チェルノフ限界の使用は数学的厳密性を提供する。しかし、分析には学術的なセキュリティ論文に共通する欠点がある:ほぼ完璧で持続的なネットワーク分断を仮定している。複数の物理的・論理的な経路を持つ実際の企業ネットワークでは、ネットワークエンジニアの監視に対して20分以上もそのようなクリーンな分断を維持することは容易ではない。また、攻撃は正確に均衡したハッシュパワーを持つサブグループを特定し標的とする必要があり、コンソーシアムでは内部者の知識が必要になる可能性がある。

実践的示唆: PoWベースのコンソーシアムチェーンを検討している企業にとって、本論文は必須の警告である。即座に得られる教訓は、コンソーシアム環境では純粋なPoWを放棄すべきということだ。Proof-of-Authority(PoA)、Practical Byzantine Fault Tolerance(PBFT)、またはその派生(Istanbul BFTなど)のような代替案は、そのセキュリティがハッシュパワーやネットワークの運ではなく、アイデンティティとメッセージパッシングに由来するため、本質的により耐性がある。イーサリアムのようなパブリックチェーンの場合、緩和策は堅牢で分散化されたネットワークインフラストラクチャ(イーサリアムのDiscv5など)と高速なブロック伝播(Grapheneなど)にある。主要なマイニングプール間の異常な遅延に対するネットワーク監視は、標準的なセキュリティ実践であるべきだ。この研究は、エクリプス攻撃(Heilman他)や賄賂攻撃(Judmayer他)に関する以前の研究とともに、レイヤー1の合意は明示的な敵対的ネットワークモデルを念頭に置いて設計されなければならないという証拠の一部を形成する。

7. 技術的詳細解説

7.1 数学モデルの詳細

正直なノードと攻撃者のマイニングプロセスは、それぞれレート$\lambda_h$と$\lambda_a$を持つ独立したポアソン過程としてモデル化される。ここで、$\lambda = \text{ハッシュパワー} / \text{ブロック時間}$である。$Q(t)$と$H(t)$を、時間$t$内に攻撃者と正直なネットワークによってマイニングされたブロック数とする。それらの期待値は$\mathbb{E}[Q(t)] = \lambda_a t$および$\mathbb{E}[H(t)] = \lambda_h t$である。

遅延期間$\Delta$中の攻撃者の目標は、1つのパーティションでリード$z$を確立することである。パーティションB内の攻撃者のチェーンが、パーティションA内の正直なチェーンよりも少なくとも$k$ブロック先行している確率は、ポアソン分布の裾確率不等式を用いて制限できる。ネットワークが統合されたときの攻撃の成功条件は、2つの競合チェーンの総重量(アンクルを含む)を比較することを含む。本論文は、$\Delta$、$\alpha$(総パワーに対する攻撃者の割合)、および望ましい成功確率を結びつける条件を導出する。

7.2 実験パラメータと評価指標

  • テストベッド: プライベートイーサリアムネットワーク(Gethクライアント)。
  • ノード数: R3の約11参加者をモデル化。
  • ネットワークエミュレーション: ノードサブセット間に正確な遅延($\Delta$)を導入するためにツール(例:`tc` netem)を使用。
  • マイニングパワー分布: 均衡したサブグループをシミュレート(例:45%-45%正直、10%攻撃者)。
  • 主要評価指標: 二重支払い成功までの時間(TTS)とその確率。
  • 検証: 約20分の攻撃時間の一貫性を測定するために繰り返し実行。

8. 分析フレームワークと概念例

シナリオ: 10行が参加する貿易金融のためのコンソーシアム・ブロックチェーン。各行が同等のパワーを持つ1つのマイニングノードを運用。

攻撃フレームワークの適用:

  1. 偵察: 攻撃者(ある銀行の悪意のある内部者)はネットワークトポロジーをマッピングし、ノードが2つの主要クラウドリージョン(US-East(6ノード)とEU-West(4ノード))でホストされていることを特定する。
  2. パワーバランス調整: 攻撃者は、US-Eastサブグループが約60%、EU-Westが約40%のハッシュパワーを持つと計算する。均衡させるために、攻撃者は一時的にEUリージョンの追加ノードを侵害またはオンラインにし、バランスを50%-50%に近づける。
  3. 分断: BGPハイジャックまたはリージョン間リンクに対する標的型DDoSを使用して、攻撃者はUS-EastとEU-Westの間に30分間の通信遅延を誘発する。
  4. 実行: 攻撃者はUS-Eastチェーンで資産を購入するトランザクションを発行する。同時に、彼らはEU-Westパーティションで自身のリソースを使ってマイニングする。25分後、EU-Westチェーン(攻撃者の集中マイニングによって強化された)はより重いGHOST重量を持つ。
  5. 解決: 攻撃者はネットワーク妨害を停止する。ネットワークノードは調整を行い、EU-Westチェーンを採用し、US-Eastトランザクションを無効化する。攻撃者は資産を二重支払いしたことになる。

このコードを使用しない例は、現実的なビジネスシナリオを用いて攻撃のステップを説明する。

9. 将来の方向性と緩和策

  • 合意プロトコルの進化: プライベート/コンソーシアムチェーンへの非PoW合意の広範な採用(例:Hyperledger FabricのRaft、QuorumのQBFT)。
  • ハイブリッドモデル: 明示的に遅延耐性がある、またはネットワーク遅延証明を組み込むPoWプロトコルへの研究。
  • 強化されたネットワークレイヤーセキュリティ: 検証可能なランダムピア選択や異常な遅延パターンの監視など、分断防止機能を備えたピアツーピアネットワーキングプロトコルの統合。
  • 形式的検証: 弱いネットワーク同期性の仮定の下で合意プロトコルをモデル化し検証するための形式手法の適用(Algorandの合意に対して行われた作業と同様)。
  • 規制とガバナンスへの焦点: コンソーシアムにおいて、堅牢なネットワークインフラストラクチャと監視をブロックチェーン展開の一部として義務付けるガバナンスモデルと技術標準の開発。

10. 参考文献

  1. Natoli, C., & Gramoli, V. (2016). The Balance Attack Against Proof-Of-Work Blockchains: The R3 Testbed as an Example. arXiv preprint arXiv:1612.09426.
  2. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  3. Buterin, V. (2014). Ethereum: A Next-Generation Smart Contract and Decentralized Application Platform.
  4. Sompolinsky, Y., & Zohar, A. (2013). Accelerating Bitcoin's Transaction Processing. Fast Money Grows on Trees, Not Chains. IACR Cryptology ePrint Archive.
  5. Heilman, E., Kendler, A., Zohar, A., & Goldberg, S. (2015). Eclipse Attacks on Bitcoin's Peer-to-Peer Network. USENIX Security Symposium.
  6. Eyal, I., & Sirer, E. G. (2014). Majority is not Enough: Bitcoin Mining is Vulnerable. International Conference on Financial Cryptography and Data Security.
  7. Lamport, L., Shostak, R., & Pease, M. (1982). The Byzantine Generals Problem. ACM Transactions on Programming Languages and Systems.
  8. Castro, M., & Liskov, B. (1999). Practical Byzantine Fault Tolerance. OSDI.