В данной статье представлен и проанализирован атака «Баланс» — новая техника эксплуатации уязвимостей, нацеленная на консенсусные протоколы блокчейнов на основе Proof-of-Work (PoW), с основным фокусом на Ethereum и его протоколе GHOST. В отличие от традиционных атак 51%, требующих подавляющей вычислительной мощности, атака «Баланс» использует стратегические задержки сетевой коммуникации между подгруппами узлов для создания временных разделений сети, что позволяет осуществлять двойное расходование с существенно меньшей майнинговой мощностью. Исследование предоставляет как теоретическую вероятностную модель, так и экспериментальную проверку с использованием стенда, имитирующего блокчейн-тестовую среду финансового консорциума R3.
Ключевой вывод заключается в том, что блокчейны на PoW, особенно те, что используют механизмы учёта «дядюшек» (uncle blocks), как GHOST, могут быть принципиально неподходящими для консорциумных или приватных сетей, где топологию сети и задержки можно манипулировать или они предсказуемы.
Атака использует стратегию разрешения форков блокчейна, искусственно создавая сетевые условия, которые приводят к появлению конкурирующих цепочек схожего веса.
Злоумышленник разделяет сеть на (как минимум) две подгруппы с примерно сбалансированной совокупной майнинговой мощностью. Избирательно задерживая сообщения между этими подгруппами (но не внутри них), злоумышленник позволяет им майнить на отдельных цепочках. Затем злоумышленник концентрирует свою собственную майнинговую мощность на одной подгруппе (блочная подгруппа), в то время как совершает транзакции, которые он намерен отменить, в другой (транзакционная подгруппа).
В статье представлена формальная вероятностная модель для определения условий успешной атаки.
В анализе используются границы Чернова для моделирования процесса майнинга как пуассоновского процесса. Ключевой переменной является время задержки ($\Delta$), которое злоумышленник должен поддерживать, в сравнении с долей майнинговой мощности злоумышленника ($\alpha$) и мощностью честной сети.
Выводится вероятность того, что ветка злоумышленника в изолированной подгруппе станет тяжелее, чем ветка другой подгруппы. Для успешного двойного расходования с высокой вероятностью требуемая задержка $\Delta$ обратно пропорциональна майнинговой мощности злоумышленника. Модель отражает компромисс: меньшая мощность злоумышленника требует более длительной сетевой задержки. Упрощённое выражение для ожидаемого отрыва $L$, который злоумышленник может получить за время $t$ с хеш-мощностью $q$ против честной мощности $p$, связано со скоростью пуассоновского процесса: $\lambda = \frac{p}{\tau}$, где $\tau$ — время блока. Прогресс злоумышленника моделируется случайной величиной, описываемой этим процессом.
Теоретическая модель была проверена в практической среде, смоделированной по образцу консорциума R3.
Приватная сеть Ethereum была развёрнута в распределённой системе, имитирующей условия консорциума R3 (около 11 участвующих банков). Между подгруппами узлов искусственно вводилась сетевая задержка для симуляции атаки.
Длительность атаки: Один компьютер смог успешно выполнить атаку «Баланс» против смоделированного консорциума R3 приблизительно за 20 минут.
Значение: Это демонстрирует, что атака не только теоретическая, но и практически осуществима с умеренными ресурсами в условиях консорциума, где общая хеш-мощность сети ограничена по сравнению с публичными мейннетами.
Описание графика (концептуальное): Линейный график показал бы, как вероятность успеха двойного расходования (ось Y) резко возрастает с увеличением контролируемого злоумышленником времени задержки (ось X), даже для низких значений майнинговой мощности злоумышленника (представленных разными линиями). Кривая для злоумышленника с 20% мощности достигла бы высокой вероятности гораздо быстрее, чем для злоумышленника с 5%, но оба в конечном итоге добились бы успеха при достаточной задержке.
Хотя оба уязвимы для атак на сетевом уровне, в статье предполагается, что протокол GHOST Ethereum, который включает «дядюшек» в расчёт веса, может, как ни парадоксально, создавать иную поверхность для атак. Атака «Баланс» специально манипулирует правилом «самого тяжёлого поддерева», создавая сбалансированные, конкурирующие поддеревья через изоляцию. Правило самой длинной цепочки Bitcoin подвержено другим атакам с задержкой (например, эгоистичный майнинг), но атака «Баланс» сформулирована вокруг механики GHOST.
Самый критичный вывод статьи заключается в том, что стандартные протоколы PoW плохо подходят для консорциумных блокчейнов. В консорциумах меньше участников, и они известны, что делает атаки на разделение сети более правдоподобными, чем в глобальной, враждебной сети Bitcoin. Ограниченная общая хеш-мощность также снижает стоимость приобретения значительной её доли.
Ключевое понимание: Натоли и Грамоли выявили критическую, часто упускаемую из виду аксиому в безопасности блокчейнов: безопасность консенсуса является функцией как криптографического доказательства, так и сетевой синхронности. Атака «Баланс» заключается не в взломе SHA-256 или Ethash; она заключается в хирургическом нарушении «сетевого» предположения в частично синхронных моделях. Это переносит угрозу с вычислительного уровня (хеш-мощность) на сетевой уровень (маршрутизация, интернет-провайдеры) — рубеж, к защите которого многие операторы консорциумов плохо подготовлены. Это перекликается с уроками классических распределённых систем, таких как результат невозможности FLP, доказывающим, что консенсус хрупок в условиях асинхронности.
Логическая цепочка: Аргументация элегантна в своей простоте. 1) Безопасность PoW зависит от единой, самой быстрорастущей цепочки. 2) GHOST модифицирует это до «самой тяжёлой» цепочки, включая «дядюшек» для повышения пропускной способности. 3) Создавая изолированные разделения со сбалансированной мощностью, злоумышленник вынуждает создание двух тяжёлых, валидных поддеревьев. 4) При восстановлении связи правило GHOST становится вектором атаки, а не защитой. Логический изъян, который она эксплуатирует, заключается в том, что GHOST предполагает, что вес отражает честную работу, но в разделённой сети вес отражает изолированную работу, которой можно манипулировать.
Сильные стороны и недостатки: Сильная сторона статьи — её практическая демонстрация на приватной сети Ethereum, выход за рамки теории. Использование границ Чернова обеспечивает математическую строгость. Однако в анализе есть недостаток, общий для академических статей по безопасности: он предполагает почти идеальное, устойчивое разделение сети. В реальных корпоративных сетях с множеством физических и логических путей поддержание такого чистого разделения в течение 20+ минут на фоне мониторинга сетевыми инженерами — нетривиальная задача. Атака также требует от злоумышленника идентификации и нацеливания на подгруппы с точно сбалансированной хеш-мощностью, что может потребовать инсайдерских знаний в консорциуме.
Практические выводы: Для любого предприятия, рассматривающего консорциумную цепочку на основе PoW, эта статья является обязательным предупреждающим знаком. Непосредственный вывод — отказаться от чистого PoW для консорциумных сред. Альтернативы, такие как Proof-of-Authority (PoA), Practical Byzantine Fault Tolerance (PBFT) или его производные (например, Istanbul BFT), по своей природе более устойчивы, поскольку их безопасность проистекает из идентичности и передачи сообщений, а не из хеш-мощности и сетевой удачи. Для публичных сетей, таких как Ethereum, смягчение последствий заключается в надёжной, децентрализованной сетевой инфраструктуре (например, Discv5 в Ethereum) и быстром распространении блоков (например, Graphene). Мониторинг сети на предмет необычной задержки между крупными пулами должен быть стандартной практикой безопасности. Это исследование вместе с более ранними работами об атаках затмения (Хайльман и др.) и атаках подкупа (Юдмайер и др.) формирует совокупность доказательств того, что консенсус уровня 1 должен разрабатываться с учётом явных моделей враждебной сети.
Процесс майнинга для честных узлов и злоумышленника моделируется как независимые пуассоновские процессы со скоростями $\lambda_h$ и $\lambda_a$ соответственно, где $\lambda = \text{хеш-мощность} / \text{время блока}$. Пусть $Q(t)$ и $H(t)$ — количество блоков, добытых злоумышленником и честной сетью за время $t$. Их математические ожидания: $\mathbb{E}[Q(t)] = \lambda_a t$ и $\mathbb{E}[H(t)] = \lambda_h t$.
Цель злоумышленника в период задержки $\Delta$ — установить отрыв $z$ в одном разделе. Вероятность того, что цепочка злоумышленника в разделе B опережает честную цепочку в разделе A как минимум на $k$ блоков, может быть ограничена с помощью хвостовых неравенств для распределения Пуассона. Условие успеха атаки при слиянии сетей включает сравнение общего веса (включая «дядюшек») двух конкурирующих цепочек. В статье выводится условие, связывающее $\Delta$, $\alpha$ (доля злоумышленника от общей мощности) и желаемую вероятность успеха.
Сценарий: Консорциумный блокчейн для торгового финансирования с 10 банками, каждый из которых управляет одним майнинговым узлом равной мощности.
Применение структуры атаки:
Этот пример без кода иллюстрирует шаги атаки на реалистичном бизнес-сценарии.