プルーフ・オブ・ワーク合意プロトコルのセキュリティ評価：マルチメトリック・フレームワーク

1. 序論と問題提起

ビットコインのナカモト合意（NC）の創始以来、数百もの暗号通貨が分散型台帳を維持するためにプルーフ・オブ・ワーク（PoW）メカニズムを採用してきた。しかし、基礎研究により、NCには特に完全なチェーン品質を達成できないという重大なセキュリティ上の欠陥が明らかになっている。この欠陥により、悪意のあるマイナーは公開台帳を改ざんし、セルフィッシュ・マイニング、二重支払い、フェザーフォークなどの攻撃を容易にする。これに対応して、多数の「改良された」プロトコル（例：イーサリアム、Bitcoin-NG、Fruitchains）が登場し、それぞれがセキュリティの向上を主張している。しかし、標準化された定量的評価フレームワークがないため、これらの主張は自己申告の域を出ず、学界や開発者コミュニティ内で意見が分かれている。本論文は、PoWプロトコルのセキュリティを客観的に分析するためのマルチメトリック・フレームワークを導入し、それを適用することで、今日に至るまで理想的なセキュリティを達成しているPoWプロトコルは存在しないことを明らかにし、この重大なギャップに対処する。

2. セキュリティ評価フレームワーク

提案するフレームワークは、定性的な主張を超えて、PoWセキュリティの定量的で比較可能な指標を確立する。その前提は、チェーン品質が台帳の不変性の要であるというものだ。

2.1 中核的セキュリティ指標

本フレームワークは、以下の4つの柱に基づいてプロトコルを評価する：

1. チェーン品質（CQ）： 最長チェーン内のブロックのうち、準拠（誠実）なマイナーによって採掘されたブロックの割合。形式的には、$k$個のブロックからなるチェーンのセグメントに対して、$CQ = \frac{\text{\# 誠実なブロック}}{k}$ と定義される。
2. インセンティブ互換性： 合理的なマイナーがプロトコルに従うことで利益を最大化するかどうかを測定する。ここで崩れることは、セルフィッシュ・マイニングに対する脆弱性を示す。
3. 破壊的利得： 攻撃者が二重支払いのために履歴を書き換える能力を定量化する。多くの場合、攻撃者のハッシュパワー$\alpha$と承認深さ$z$の関数としてモデル化される。
4. 検閲への感受性： 合理的なマイナーに特定の取引を除外させることを強制するフェザーフォーク攻撃の実現可能性を評価する。

2.2 チェーン品質の重要性

低いチェーン品質は、ブロックチェーンが約束する不変性を直接的に損なう。悪意のあるマイナーが一貫して誠実なブロックを置き換えることができれば、彼らは取引履歴の記述を支配する。本フレームワークは、誠実なハッシュパワーに比例したチェーン品質（すなわち、$CQ \geq 1-\alpha$）を達成することが、堅牢なセキュリティのための必要（しかし十分ではない）条件であると主張する。

2.3 攻撃ベクトルと損害モデル

• セルフィッシュ・マイニング： 攻撃者はブロックを公開せずに保持し、誠実なマイナーの作業を無駄にすることで、報酬の不均衡なシェア（$>\alpha$）を得る。
• 二重支払い： 攻撃者は商品が引き渡された後、取引を置き換えるために秘密裏にフォークを採掘し、元の支払いを無効化する。
• フェザーフォーク： 攻撃者が特定の取引を含むブロックを孤立させる（オーファン化する）と脅し、マイナーにそれらの取引を検閲させることを強制する強制攻撃。

3. プロトコル分析と知見

マルコフ決定過程分析を通じて本フレームワークを適用すると、厳しい結論が得られる。

3.1 ナカモト合意（NC）の弱点

NCのチェーン品質は不完全であることが証明されている。ハッシュパワー$\alpha$を持つ攻撃者は、メインチェーンにおいて$\alpha$を超えるブロック割合を達成できる。これが、分析した3つの攻撃すべてに対する脆弱性の根本原因である。

3.2 非NCプロトコルの分析

本論文は、イーサリアム（GHOST）、Bitcoin-NG、DECOR+、Fruitchains、Subchainsなどのプロトコルを評価する。重要な知見は以下の通り：いずれも理想的なチェーン品質を達成しておらず、3つの攻撃すべてに対する完全な耐性も持っていない。 一部のプロトコルは、ある指標を向上させる代わりに別の指標を犠牲にしている（例：チェーン成長率は高いが、新たな攻撃ベクトルが生じる）。

3.3 セキュリティのジレンマ：「悪を報いる」対「善を罰する」

分析により、PoW設計における根本的なジレンマが明らかになった。悪意のあると見なされる行動（例：ブロックの孤立化）を積極的に罰するプロトコルは、ネットワーク遅延に巻き込まれた誠実なマイナーを罰することになり、彼らの報酬を減らし、参加意欲を削ぐ結果になりがちである。逆に、すべての作業を保存するためにフォークを過度に許容する（「悪を報いる」）プロトコルは、セルフィッシュ・マイニングを助長する。このトレードオフが、完全なセキュリティへの核心的な障害となっている。

4. 技術的詳細と数学的フレームワーク

評価は、状態が潜在的な攻撃者のプライベートフォークの公開チェーンに対するリードを表すマルコフモデルに依存している。状態遷移確率は、ハッシュパワー分布$\alpha$（攻撃者）と$1-\alpha$（誠実）、およびチェーン選択とブロック報酬に関するプロトコル固有のルールの関数である。

主要な公式（一般化された攻撃成功率）： ハッシュパワー$\alpha$を持つ攻撃者が、二重支払いの試みのように$z$ブロックの遅れから追いつく確率$P_{\text{success}}$は、以下のように与えられる： $$P_{\text{success}}(\alpha, z) = \begin{cases} 1 & \text{if } \alpha > 0.5 \\ (\frac{\alpha}{1-\alpha})^z & \text{if } \alpha < 0.5 \end{cases}$$ この古典的な公式（S. Nakamotoのビットコイン白書より）は、NCの最長チェーンルールからのプロトコル固有の逸脱（これが実効的な「競争」の力学を変える）を考慮するために、フレームワーク内で修正される。

5. 実験結果とプロトコル固有の攻撃

マルコフ分析は、既知の攻撃を確認するだけでなく、新たなプロトコル固有の攻撃戦略を明らかにする。

• イーサリアム/GHOSTの場合： 本フレームワークは、「最も貪欲で最も重い観測部分木」ルールが、戦略的にブロックを公開して部分木の重みを操作することで悪用され、セルフィッシュ・マイニングを助長する可能性のあるシナリオを特定する。
• Bitcoin-NGの場合： キーブロック（リーダー選出用）とマイクロブロック（取引用）の分離は、攻撃者がリーダーをエクリプス（日食）させ、そのマイクロブロックを検閲できる新たな遅延ベースの攻撃ベクトルを導入する。
• チャートの洞察： シミュレーションされたチャートは、様々なプロトコル（x軸）のチェーン品質（y軸）を、攻撃者のハッシュパワー$\alpha$（異なる線）の関数として示すだろう。重要なポイントは、すべてのプロトコルの線が、特に$\alpha$が0.3-0.4に近づくにつれて、理想的な線$CQ = 1-\alpha$を下回ることである。

6. 分析フレームワーク：事例研究

事例：セルフィッシュ・マイニングへの耐性を主張する仮想的な「FastChain」プロトコルの評価

1. 指標の定義： 4つの中核的指標を適用する。FastChainの場合、その正確なブロック報酬スケジュール、チェーン選択ルール、孤立ブロック（オーファン）ポリシーが必要となる。
2. マルコフ過程としてモデル化： 状態 = （プライベートフォークのリード、公開フォークの状態）。遷移は、同点（タイ）の処理と古いブロック（ステイルブロック）への報酬に関するFastChainのルールに依存する。
3. 定常状態の計算： マルコフ連鎖の定常分布を解く。これにより、システムが攻撃者がプライベートリード上でマイニングしている状態にある時間の期待割合が得られる。
4. チェーン品質の導出： 定常状態から、正規チェーン上のブロックのうち誠実な参加者によって採掘される長期的な期待割合を計算する。これがプロトコルの$CQ$である。
5. 攻撃耐性のテスト： モデル内でセルフィッシュ・マイナー戦略をシミュレートする。攻撃者の相対的収益は$\alpha$を超えるか？もし$\text{Revenue}_{\text{attacker}} > \alpha$ならば、その攻撃に対するインセンティブ互換性テストでプロトコルは不合格となる。

結論： コードがなくとも、この構造化されたプロセスは、セキュリティ主張を反証または検証できる厳密な定量的評価を強制する。

7. 将来の方向性と応用の展望

本論文は、将来のPoW研究と設計のための重要な道筋を概説する：

• 非現実的な仮定を超えて： 将来のプロトコルは、ネットワーク遅延（同期性）と合理的（単に誠実ではない）マイナーを、堅牢なインセンティブ互換性に関する研究で強調されているように、最初から明示的にモデル化し設計しなければならない。
• ハイブリッド合意モデル： リーダー選出にPoWを使用し、ブロックのファイナリティ（最終確定）には効率的なBFTスタイルの合意（例：Thunderellaのようなプロジェクトで探求されているもの）を組み合わせるなど、実用的なハイブリッドを探求することは、PoWの品質上の欠陥を緩和する可能性がある。
• 形式的検証と標準化されたベンチマーク： 提案されたフレームワークは、標準的なベンチマークスイートへと進化すべきである。新しいプロトコルは、暗号アルゴリズムがセキュリティ証明を公開するのと同様に、そのマルコフ分析結果を公開することが求められるようになるかもしれない。
• セキュリティ監査への応用： このフレームワークは、新しいレイヤー1チェーンや主要なプロトコルアップグレード（例：イーサリアムの移行）を評価するブロックチェーンセキュリティ監査会社や研究者に直接適用可能である。

8. 参考文献

1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
2. Eyal, I., & Sirer, E. G. (2014). Majority is not enough: Bitcoin mining is vulnerable. In Financial Cryptography.
3. Sompolinsky, Y., & Zohar, A. (2015). Secure high-rate transaction processing in Bitcoin. In Financial Cryptography.
4. Pass, R., Seeman, L., & Shelat, A. (2017). Analysis of the blockchain protocol in asynchronous networks. In Eurocrypt.
5. Buterin, V. (2014). Ethereum: A Next-Generation Smart Contract and Decentralized Application Platform.
6. Kiayias, A., et al. (2016). Ouroboros: A Provably Secure Proof-of-Stake Blockchain Protocol. In Crypto. [外部ソース - 代替的合意分析の例]
7. IEEE Access Journal on Blockchain Security & Privacy.

9. 独自分析と専門家コメント