比特币网络中通过 Sybil 进行的双花攻击（第 1 部分）

译文仅供参考，具体内容表达及含义以原文为准×

双花攻击是大多数区块链系统的主要安全问题之一，但除非对手拥有强大的计算能力，否则很难成功发起攻击。 本文介绍了一种新的攻击模型，将双花攻击与女巫攻击（Sybil attack）相结合。

0x01 简介

比特币是中本聪于 2008 年创建的第一个去中心化加密货币，它依赖于以区块链技术为核心的防篡改公共账本。 区块链是一种去中心化的公共账本，包括加密、共识算法和点对点 (P2P) 等技术。 由于区块链的隐私性和匿名性等安全特性，近年来许多研究者都致力于对其进行研究。 然而，区块链系统本身的安全性已经成为一个重要的问题。

双重支出是一种对区块链系统构成巨大威胁的攻击。 在开发通过互联网运行的加密货币时，这是一个主要的安全问题。 在双花攻击中，攻击者可以设法多次花费相同的硬币或代币。 比特币是第一个通过采用工作量证明 (PoW) 成功解决双花问题的加密货币，其中矿工的节点通过挖矿竞争创建要添加到主链的块的能力。

通常，双花攻击的实施需要攻击者拥有大量的算力。 在本文中，我们重点研究了具有较低计算能力的攻击者如何通过结合比特币网络中的 Sybil 攻击来增加双花攻击的可能性。 研究表明，其他类型的攻击可以帮助增加双花攻击成功的可能性。 例如，Bissias 等人指出 Eclipse 攻击可以提高双花攻击的效果 [1,2]。 Eyal 的研究结果表明，勾结矿工也可以通过自私挖矿成功发起双花攻击 [3]。 热尔韦等人。 考虑了网络级攻击和双花攻击的结合[4]。 本文的攻击模型将双花与女巫攻击相结合，增加正确区块信息在区块链网络上的传播延迟。

0x02 相关攻击和相关工作双花攻击

双花攻击是对加密货币网络的潜在威胁。 例如在比特币中，攻击者创建一个交易 TXA，将未花费的交易输出 (UTXO) 释放给商家。 TXA会被记录在主链上，然后由诚实的矿工开始挖矿。 在将 TXA 添加到主链中的新区块之前，攻击者会在当前最新区块之后秘密挖掘自己的分叉。 然后，攻击者从同一个与 TXA 冲突的 UTXO 创建另一个交易 T XB，攻击者分叉中包含的 TXB 将资金转移到攻击者的第二个地址。 一旦商家收到足够多的针对 TXA 的冻结确认，货物就会发送给攻击者。 攻击者不断挖矿，一旦他使自己的链长于主链，攻击者就会向网络广播他的分叉。 由于最长链规则，其他矿工最终认同该攻击者的分支链，从而将TXA替换为TXB。 因此，攻击者同时获得了商品和资金。

B、女巫攻击

Sybil 攻击以 Sybil 一书的主题命名，由微软研究院的 Brian Zill 于 2002 年提出[5]。 敌对节点可以通过创建大量虚假身份来欺骗系统来攻击区块链，从而破坏其信任和冗余机制。 2003 年，Karlof 和 Wagner 发现 Sybil 攻击是作为分布式网络的无线传感器网络的潜在威胁 [6]。 此后，Sybil 攻击被许多研究人员证明是对 P2P 网络系统的巨大威胁。 Bissias 等人。 提出了一种称为 Xim [7] 的混合解决方案来防止这种攻击。 在 [8] 中，BitFury Group 得出结论，女巫攻击可以在股权证明 (POS) 和工作证明 (PoW) 区块链系统中取得成功。

C. 长延迟攻击

多项研究表明，区块传播延迟对比特币区块链系统稳健性的影响。 德克尔等人。 证明信息传播延迟会导致区块链分叉[9]。 在 [10] 中，Kiayias 等人。 发现了交易处理速度与区块链系统安全性之间的关系，并指出在全网传播时间较长的情况下，网络算力不足50%的攻击者可能对系统造成破坏系统。

在 [11] Garay 等人中。 提出了比特币主干协议（Bitcoin backbone protocol），并在有界延迟模型中对该协议进行了分析。

D. 先前工作的局限性

在 [12] Pass 等人中。 提到可以通过增加块传播的延迟来破坏区块链的一致性和链质量。 但他们没有详细说明如何实现大块传播延迟，以及长延迟攻击会导致多少双花攻击。

先前的研究已经调查了在比特币网络完全同步的假设下成功进行双花攻击的可能性。 实际上，比特币网络是异步或部分同步的，区块的传播存在延迟。 在这种情况下，可能会发生由块传播延迟引起的区块链分叉。 因此，本文在计算攻击成功概率时考虑了区块链分叉。

许多论文讨论了如何计算双花攻击成功的概率。 概率模型最早是在中本聪写的比特币白皮书中提到的。 他提出了关于概率模型的初步想法，但被证明是不准确的。 中本聪的错误在于他认为挖出每个区块的时间间隔是固定的，因此攻击者的随机过程在一定时间内产生了多个区块，这是泊松分布。

Rosenfeld 等其他研究人员并没有将挖出一个区块的时间视为平均时间，而是推断出挖出一个区块所花费的总时间是伽马分布的，而攻击者的随机过程被证明是负二项分布的[13]。 Grunspan 同样提出了一种特殊的证明程序来证明攻击者挖掘的随机过程符合负二项分布 [14]。 但是以前工作的概率模型并不直接适用于本文提出的攻击，本文使用的概率模型是从 Rosnefeld 和 Crunspan 的概率模型修改而来的。

0x03 比特币网络中的信息传播

比特币使用八卦协议传播交易和区块信息，时间复杂度为O(log N)（N为节点总数）。 由于八卦协议具有良好的容错性，部分比特币节点的崩溃或重启不会影响交易和区块信息的传输。 因此，在一定的信息传播延迟范围内，比特币保证最终一致性，即所有节点最终会汇聚到同一条链上。

比特币节点之间的通信方式基于八卦协议。 每个接收到新区块信息的节点都处于“感染”状态。 他们首先检查新块的有效性，然后向连接的邻居节点发送 inv 消息，通知他们新块已准备就绪。 下一个 getdata 消息将由邻居节点发送。 邻居节点请求 inv 消息的发送者传播新的块信息。 inv消息发送者收到getdata消息后，将区块信息发送给自己的邻居节点。 这样一个完整的块请求和发送通信周期包括三个信息交换。 在所提出的攻击模型中，Sybil 攻击用于影响比特币节点之间的通信规则。 有关通信规则的具体更改将在下一节中介绍。

0x04 提议的双花与女巫攻击

本节描述Sybil攻击进行双H花费，并从攻击目标和攻击过程的角度来说明该攻击的工作方式。 此外，还提出了一个假设的攻击模型。

A、攻击目标

毫无疑问，攻击者的最终目的是成功实施双花攻击。 攻击者希望通过执行女巫攻击来增加正确区块信息在比特币网络上的传播延迟。 在假设的攻击环境中，比特币网络并不是完全同步的。 一旦一个新的区块被挖出并广播到全网，一些诚实的节点就会收到新的区块信息，并将最新的区块添加到最长的链（即主链）中。 由于区块传播延迟，剩余的诚实节点可能无法接收到新的区块信息，从而等待一段时间。 假设区块传播轮的上限时间为Δ，等待区块信息的时间为d。 如果 d 超过 Δ，这些节点将开始新一轮的共识（即挖矿竞争），在这种情况下，将发生区块链分叉。 攻击者的目标是最大化块传播延迟，使其在每个块传播中超过 Δ。 这样一来，不仅主链的增长会变慢，区块链分支也会造成诚实节点算力的浪费。 因此，与没有Sybil攻击的情况相比，攻击者的链长超过主链的可能性会大大增加，这为攻击者实现最终目标提供了很多优势。

B、攻击过程

首先，攻击者在比特币网络中填充多个虚假身份计算能力为零的虚假节点，将这些虚假节点称为女巫节点。 利用这些假身份的女巫节点，攻击者将发起双花攻击。 攻击者向商户发起一笔价值为 v 的交易 TX0。 然后，将 TX0 传播到其他节点。 验证完 TX0 后，诚实节点将 TX0 放入各自的内存池中，并竞争创建下一个区块的权利。 在一个包含TX0的有效区块被添加到主链之前，攻击者开始秘密创建一条衍生自最新区块的私有链，并且他的链中的一个区块包含另一个与TX0冲突的交易TX1，该交易转移了一些资金对自己。

之后，私有链与主链进行挖矿竞争。 攻击者利用自己的Sybil节点发起Sybil攻击来延缓主链的增长速度。 注意这些Sybil节点只影响区块链共识的传播速度，不参与区块挖掘。 如上，时间复杂度为O(Δ)的算法1描述了一轮区块传播过程中的Sybil攻击过程。 攻击中的块传播规则遵循八卦协议。 一旦 Sybil 节点收到一个新挖掘的区块，这些 Sybil 节点的每个假身份都会向每个连接的诚实节点发送一条 inv 消息。 接收 inv 消息的诚实节点向这些 Sybil 节点发送 getdata 消息。 这里的技巧是这些 Sybil 节点不会向这些诚实节点发送新的块信息，因此，部分块传播被“冻结”。

同时，没有收到阻塞信息的诚实节点可以不断尝试向给它们发送inv消息的节点发送getdata消息。 但是，由于每个Sybil节点都拥有很多伪造的身份，而诚实节点的大部分inv消息都来自于这些伪造的身份，因此这些诚实节点可能仍然没有收到Δ中的新区块信息。 只要 d 超过 Δ，这些诚实节点就必须停止等待，开始下一轮的区块挖矿竞争。 另一方面，接收到新块的节点将检查新块的有效性，然后将最长链延长一个。 因此，在这个区块高度，持有不同区块链账本的诚实节点之间存在差异（即区块链分叉），这可能会浪费诚实节点的计算能力。

虽然在Sybil节点的影响下区块链会出现一些分叉，但攻击者的目标仍然是追上最长链。 由于最长链的增长速度有延迟，攻击者可以积累延迟优势，使其私有链比没有Sybil攻击的情况少轮数，追上最长链，最后删除TX0，使TX1为有效的。

上图（a）-（c）描述了攻击期间区块链的三种不同状态。 只描述了主链和私有链，没有添加由 Sybil 攻击引起的其他分叉。 第一种状态是攻击者将TX0发送给商家后开始在自己的分叉上挖矿。 第二种状态是商家等待 TX0 的 z 个区块确认，而攻击者已经挖出 k 个区块。 当 k 小于 z 时，出现第三种状态。 如果 k 大于 z，则第三状态不存在，攻击者在第二状态下直接成功进行所提出的攻击。 在第三种状态下，假设诚实矿工在确定 TX0 后开采了 n 个区块。 女巫攻击持续减慢主链中块的传播速度，直到攻击者伪造一条长度是主链两倍的私有链。 届时，攻击者会将自己的分叉广播到全网，由于私链长度较长，私链很快就会得到广大矿工的共识。

C. 攻击模型

对于Sybil攻击，假设攻击者部署了多个Sybil节点S，如上图所示。 每个 S（以红色表示）连接到两个诚实节点（以蓝色表示）。 为了最大化区块传播的延迟，使d超过Δ，每个S用大量的假身份欺骗连接的诚实节点，以确保这些诚实节点的多个getdata消息被发送到S，因此这些诚实节点无法获得及时阻止 Δ 内其他诚实节点的信息。 如图所示，每个 S 通过其三个不同的身份与连接的诚实节点进行通信。 请注意，每个 Sybil 节点的伪身份的实际数量要大得多，并且不会影响以下部分中的计算。

另一方面，由于 S 的算力为零，只有攻击者自己的节点参与私有链的创建。 假设攻击者的算力占全网总算力的q。 因此，诚实矿工占总算力的比例为p=1-q。 假设q

0x05结论

本文设计了一种新的联合攻击模型。 通过引入女巫攻击来影响比特币节点之间的通信协议（即八卦协议）来增加区块传播延迟。 研究了Sybil攻击下双花攻击成功的可能性。 研究已经取得了很好的结果，即攻击者在比特币网络中仅拥有 32% 的算力份额就可以成功实现双花。 下一篇文章将给出攻击成功的概率，以及经济评估的结果。

参考

[1] G. Bissias、BN Levine、AP Ozisik 和 G. Andresen，“对区块链共识攻击的分析”，2016 年，arXiv：1610.07985。

[2] E. Heilman、A. Kendler、A. Zohar 和 S. Goldberg，“对比特币点对点网络的 Eclipse 攻击”，Proc。 USENIX 安全。 症状，2015 年，第 129-144 页。

[3] I. Eyal 和 EG Sirer，“多数还不够：比特币开采很脆弱，”Commun。 美国计算机学会，卷。 61，没有。 7，第 95–102 页，2018 年。

[4] A. Gervais、GO Karame、K. Wust、V. Glykantzis、H. Ritzdorf 和 ¨S。 Capkun，“关于工作区块链证明的安全性和性能”，Proc。 ACM 特别利益集团安全。 , 审计控制 (SIGSAC) 会议。 电脑。 公社。 安全，ACM，2016 年，第 3–16 页。

[5] JR Douceur，“女巫攻击”，Proc。 诠释。 Workshop Peer-to-Peer Syst.，Springer，2002 年，第 251-260 页。

[6] C. Karlof 和 D. Wagner，“无线传感器网络中的安全路由：攻击和对策”，Proc。 第一届 IEEE Int。 车间传感器网络。 协议应用，IEEE，2003 年，第 113–127 页。

[7] G. Bissias、AP Ozisik、BN Levine 和 M. Liberatore，“比特币的抗女巫攻击混合”，Proc。 第 13 次研讨会隐私电子。 Soc.比特币白皮书时间，ACM，2014 年，第 149-158 页。

[8]权益证明与工作量证明白皮书，2015 年。[在线]。 可用的：

[9] C. Decker 和 R. Wattenhofer，“比特币网络中的信息传播”，Proc。 IEEE P2P，IEEE，2013 年，第 1-10 页。

[10]A. Kiayias 和 G. Panagiotakos，“区块链协议中的速度-安全权衡”，IACR Cryptology ePrint Archive，卷。 2015，页。 1019, 2015.[在线].可用：

[11] J. Garay、A. Kiayias 和 N. Leonardos，“比特币主干协议：分析和应用”，Proc。 安奴。 诠释。 会议。 理论应用密码技术，施普林格，2015 年，第 281-310 页。

[12] R. Pass、L. Seeman 和 A. Shelat，“异步网络中区块链协议的分析”，Proc。 安奴。 诠释。 会议。 理论应用密码技术比特币白皮书时间，施普林格，2017 年，第 643 –673 页。

[13]米。 Rosenfeld，“基于哈希率的双花分析”，预印本，2014 年，arXiv:1402.2009。

[14] C. Grunspan 等人，“双花竞赛”，J. Enterprising Culture (JEC)，

卷。 21，没有。 08, pp. 1–32, 2018。本文翻译自ieeeexplore.ieee.org，原文链接。 如有转载，请注明出处。