공간 증명 기반 최장 체인 블록체인의 (비)보안성에 관하여

1. 서론

본 연구는 동적 가용성 조건 하에서 공간 증명(PoSpace)만을 기반으로 안전한 최장 체인 블록체인을 구축하는 것이 근본적으로 불가능함을 보여주는 결과를 제시합니다. 이는 취약점을 공식적으로 정량화하여, 공격자가 항상 제한된 길이의 승리하는 포크를 생성할 수 있음을 보여주며, 보안을 위해서는 검증 가능 지연 함수(VDF)와 같은 추가적인 암호학적 가정이 필요함을 입증합니다.

2. 배경 및 문제 제기

2.1. 나카모토 합의 & 작업 증명

비트코인의 보안은 작업 증명(PoW)과 최장 체인 규칙에 의존합니다. 이는 정직한 참여자가 해시 파워의 대부분을 통제한다면, 가변적인 총 파워("자원 가변성") 하에서도 보안을 보장합니다.

2.2. 지속 가능한 대안으로서의 공간 증명

PoSpace는 PoW의 에너지 효율적인 대안으로 제안되었으며, 채굴자들은 계산 대신 저장 공간을 할당합니다. 그러나 동적이고 허가가 필요 없는 환경에서의 보안성은 미해결 문제였습니다.

2.3. 보안 과제: 동적 가용성

핵심 과제는 "동적 가용성"입니다: 정직한 공간은 변동할 수 있으며(블록당 $1 \pm \varepsilon$ 배), 공격자는 시간 비용 $\rho$ 블록을 들여 자신의 공간을 "재구성"(다중 챌린지에 재사용)할 수 있습니다.

3. 공식 보안 모델 및 불가능성 결과

3.1. 게임 정의 및 공격자 능력

보안 게임은 정직한 참여자가 어떤 시점에서도 공격자보다 $\phi > 1$ 배 많은 공간을 통제한다고 가정합니다. 공격자는 다음과 같은 행동이 가능합니다:

블록당 $1 \pm \varepsilon$ 배로 정직한 공간을 변동시킵니다.
$\rho$ 블록의 시간 비용으로 공간을 재구성합니다.

3.2. 하한 정리

정리 (하한): 어떠한 체인 선택 규칙에 대해서도, 이 게임에서 공격자는 수용될 길이 $L$의 포크를 생성할 수 있으며, 여기서:

$L \leq \phi^2 \cdot \rho / \varepsilon$

이는 불가능성 결과입니다: 이 한계보다 짧은 포크에 대해서는 보안을 보장할 수 없습니다.

3.3. (이상한) 상한 및 매칭 규칙

정리 (상한): 공격자가 최소한 다음 길이의 포크를 생성해야 하는 (매우 비자연적인) 체인 선택 규칙이 존재합니다:

$L \geq \phi \cdot \rho / \varepsilon$

이는 하한이 $\phi$ 배까지 근접하게 맞춰짐을 보여줍니다.

4. 기술적 세부사항 및 수학적 공식화

불가능성은 공격자의 시간 대 공간 비대칭성을 활용하는 능력에서 비롯됩니다. 정직한 공간이 챌린지 기간 동안 묶여 있는 동안, 공격자는 고정된 양의 공간을 집중시키고 재구성함으로써 시간이 지남에 따라 더 많은 "가상" 공간을 시뮬레이션할 수 있습니다. 한계를 이끄는 핵심 부등식은 공격자의 유효 시공간 자원 $A_{eff}$, 정직한 시공간 자원 $H_{eff}$, 그리고 포크 길이 $L$을 관련시킵니다:

$A_{eff} \approx \frac{L}{\rho} \cdot A \quad \text{및} \quad H_{eff} \approx \phi \cdot A \cdot \frac{L}{\varepsilon^{-1}}$

게임 제약 하에서 이를 조작하면 최종 한계 $L \approx \phi^2 \rho / \varepsilon$가 도출됩니다.

5. 결과 및 함의

5.1. 핵심 보안 한계

보안 매개변수 요약

공격자 포크 길이 한계: $L \leq \phi^2 \cdot \rho / \varepsilon$

핵심 매개변수:

$\phi$: 정직한 공간 우위 (>1).
$\rho$: 재구성 시간 (블록 단위).
$\varepsilon$: 블록당 최대 정직한 공간 변동률.

5.2. 추가 암호학적 기본 요소의 필요성 (예: VDF)

이 결과는 PoSpace만으로는 불충분함을 증명합니다. Chia와 같은 프로토콜은 검증 가능 지연 함수(VDF)를 올바르게 통합하여 블록 사이에 필수적이고 병렬화할 수 없는 시간 지연을 추가함으로써 재구성 공격 벡터를 완화합니다. 이는 이론적 관점에서 Chia의 아키텍처 선택을 검증합니다.

5.3. 사례 연구: Chia 네트워크

Chia는 PoSpace + VDF("시간 증명")를 사용합니다. VDF는 블록 사이에 최소한의 실제 시간을 보장하여, 대체 체인을 생성하려는 공격자에게 $\rho$ 매개변수를 사실상 매우 크게 만들어, 실질적인 포크 길이 한계를 실행 불가능한 수준으로 끌어올립니다.

6. 분석 프레임워크 및 예시 사례

PoX 최장 체인 프로토콜 평가 프레임워크:

자원 식별: 희소 자원(공간, 시간, 계산)을 정의합니다.
동적 모델: 정직한 자원 변동($\varepsilon$)과 공격자 자원 조작(예: 재구성 비용 $\rho$)을 모델링합니다.
공격 벡터 분석: 공격자가 한 자원을 다른 자원으로 변환하는 방법(재구성을 통한 공간을 시간으로)을 식별합니다.
한계 도출: 주어진 포크 길이 $L$에 대해 공격자와 정직한 자원-시간 곱 사이의 부등식을 공식화합니다.
기본 요소 간극 분석: 한계가 실질적으로 안전한지 판단합니다. 그렇지 않다면, 필요한 추가 기본 요소(VDF, PoW, 지분)를 식별합니다.

예시 적용: 가상의 "저장 증명" 체인을 평가합니다. 저장 공간 재할당 속도($\rho$)와 지분 변동성($\varepsilon$)을 매개변수화합니다. 이 프레임워크는 시간 잠금(VDF) 또는 슬래싱 메커니즘이 추가되지 않는 한 유사한 "재할당" 공격에 취약함을 빠르게 보여줄 것입니다.

7. 미래 적용 및 연구 방향

하이브리드 합의 모델: 과도한 오버헤드 없이 보안을 달성하기 위한 PoSpace+PoS 또는 PoSpace+PoW 하이브리드의 엄격한 설계.
향상된 VDF 설계: 시간 보장 추가의 오버헤드를 줄이기 위한 더 효율적이거나 분산된 VDF 구조에 대한 연구.
공식 검증: 이 모델을 다른 "X 증명" 패러다임(유용 작업 증명, 물리적 작업 증명)에 적용하여 보안 결함을 사전에 방지.
포스트-퀀텀 고려사항: 순차적 제곱에 기반한 VDF가 취약할 수 있는 포스트-퀀텀 컴퓨팅 시대에도 안전하게 유지되는 PoSpace 기반 설계 탐구.

8. 참고문헌

Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
Dziembowski, S., Faust, S., Kolmogorov, V., & Pietrzak, K. (2015). Proofs of Space. CRYPTO 2015.
Cohen, B., & Pietrzak, K. (2018). The Chia Network Blockchain. https://www.chia.net/assets/ChiaGreenPaper.pdf
Boneh, D., Bonneau, J., Bünz, B., & Fisch, B. (2018). Verifiable Delay Functions. CRYPTO 2018.
Garay, J., Kiayias, A., & Leonardos, N. (2015). The Bitcoin Backbone Protocol: Analysis and Applications. EUROCRYPT 2015.
Pass, R., & Shi, E. (2017). FruitChains: A Fair Blockchain. PODC 2017.

9. 전문가 분석 및 비판적 논평

핵심 통찰

이 논문은 공간 증명만으로 구축된 "녹색 비트코인"이라는 순진한 꿈에 대해 치명적으로 우아한 일격을 가합니다. 이는 특정 프로토콜에 대한 공격이 아닙니다. 이는 분산 합의에서 공간, 시간, 보안 간의 관계에 대한 근본적인 열역학적 논증입니다. 핵심 통찰은 PoW의 계산과 달리, 공간은 본질적으로 "소모"되지 않는다는 점입니다. 공격자는 이를 재활용할 수 있습니다. 이러한 재활용 가능성은 동적 참여 하에서 치명적인 차익 거래 루프를 생성하며, 어떤 최장 체인 규칙도 이를 방어할 수 없습니다. 이는 Chia와 같은 프로젝트가 검증 가능 지연 함수(VDF)를 반드시 부착해야 했던 이유를 공식적으로 설명합니다. 이는 선택적 최적화가 아니라 이론적 필수 사항이었습니다.

논리적 흐름

저자들의 논리는 흠잡을 데 없으며 고전적인 불가능성 증명 구조를 따릅니다: 1) 저장 공간(재구성 시간)과 네트워크 변동의 실제 제약을 포착하는 현실적인 공격자 모델($\phi$, $\varepsilon$, $\rho$)을 정의합니다. 2) 이 모델 내에서, 체인을 선택하는 어떠한 상상 가능한 규칙에 대해서도, 더 적은 공간을 가진 공격자가 충분히 길지만 제한된 포크에서 항상 정직한 노드를 앞지를 수 있음을 보입니다. 3) 한계 $L \leq \phi^2 \rho / \varepsilon$는 결정적 증거입니다. 이는 불안전성을 정량화합니다. "이상한" 규칙으로 거의 일치하는 상한을 보여주는 후속 작업은 마지막 못을 박아, 이 한계가 근접하며 취약점이 규칙 설계가 아닌 자원 자체에 내재되어 있음을 증명합니다.

강점 및 결함

강점: 모델의 매개변수(재구성을 위한 $\rho$, 변동을 위한 $\varepsilon$)는 문제의 본질적인 물리를 포착하도록 탁월하게 선택되었습니다. 결과는 깔끔하고 일반적이며 즉시 실행 가능합니다. 이는 "이 프로토콜이 안전한가?"라는 논의에서 "보안을 위해 필요한 최소한의 추가 가정은 무엇인가?"로 논의의 수준을 끌어올립니다.

결함/한계: 이 모델은 탐지된 포크에 기반하여 전략을 적응하지 않는 수동적인 정직한 다수를 가정합니다. 이는 최장 체인 분석에서 표준적이지만 때로는 제한적인 가정입니다. 더 중요한 것은, VDF와 같은 추가 기본 요소의 필요성을 증명하지만, 그 VDF에 대한 충분한 매개변수(얼마나 많은 지연이 충분한가?)를 정량화하지는 않습니다. 이는 이론과 실제 사이에 간극을 남깁니다. 또한, 한계에 거의 일치하는 "이상한" 체인 선택 규칙은 암호학적 호기심이지만 실용적 유용성은 없으며, 문제의 깊이를 강조합니다.

실행 가능한 통찰

프로토콜 설계자들에게: 순수 PoSpace 최장 체인 프로토콜 구축을 그만두십시오. 이 논문은 공식적인 중단 명령입니다. 실행 가능한 전진 경로는 오직 하이브리드를 통해서만 가능합니다.

필수 시간 지연 (VDF 경로): Chia의 선례를 따르십시오. VDF를 통합하여 공격자에게 $\rho$를 사실상 천문학적으로 크게 만들어 포크 길이 한계를 실행 불가능한 수준으로 밀어 올리십시오. 연구 초점은 VDF를 더 효율적이고 분산되게 만드는 데 있어야 합니다.
비-최장 체인 패러다임 탐구: 최종성 장치(예: Casper FFG)가 있는 지분 증명(PoS) 또는 위원회 기반 BFT 프로토콜과 같은 대체 합의 패밀리를 고려하십시오. 이들은 PoSpace를 다르게 통합하여 이 공격 벡터를 완전히 피할 수 있습니다. 이더리움 재단이 무작위성(RANDAO+VDF)을 위해 VDF와 PoS를 결합한 작업은 이러한 기본 요소의 더 넓은 적용 가능성을 보여줍니다.
매개변수 엄격성: 하이브리드를 구축한다면, 이 논문의 프레임워크를 사용하십시오. 공격자의 시공간 절충을 명시적으로 모델링하고, 네트워크의 $\varepsilon$을 정의하며, 도출된 한계를 사용하여 설계를 스트레스 테스트하십시오. 이는 단순히 학문적인 것이 아닙니다. 이것이 여러분의 보안 청사진입니다.

결론적으로, Baig와 Pietrzak는 단순히 미해결 문제를 해결한 것이 아닙니다. 그들은 합의 이론의 모래밭에 선명한 빨간 선을 그었습니다. 그들은 희망적인 공학에서 엄격한 물리학으로 분야를 이동시켜, 무엇이 불가능한지를 정의함으로써 무엇이 가능할지에 대한 좁은 길을 분명히 비추었습니다. 이는 수많은 미래 프로젝트가 막다른 아키텍처로 가는 것을 막아줄 기초 작업입니다.

목차