パスワードを忘れた? アカウント作成
13600929 story
お金

暗号通貨に対する「Block withholding attack」が初めて確認される 30

ストーリー by hylom
こんな手法があったのか 部門より
あるAnonymous Coward曰く、

ブロックチェーンを用いる仮想通貨(暗号通貨)に対し攻撃を行える「Block withholding attack」もしくは「Selfish Mining」と呼ばれる手法がかねてより指摘されていたが、5月15日に仮想通貨「モナコイン」に対して実際にこの攻撃が行われ、ある取引所が1,000万円近い被害を出したことが報告されている(ITmedia/Junya Hirano.com)。

「Block withholding attack」は暗号通貨の「採掘したブロックが衝突(コンフリクト)した場合にチェーンが長い方を正とする」という仕様をついた攻撃手法。攻撃者は強力なマシンを用いてローカルに未公開かつ長いブロックチェーンを貯めこみ、タイミングを図ってこれを公開することで、それまで正とされていたブロックチェーンを無効化するという。攻撃者は無効化前に取引所でコインを換金することで利益を得たようだ。

被害金額自体はコインチェック事件などに比べて大きなものではないが、この手法は理論上、同じ仕組みを採用しているすべての暗号通貨に適用されうるという事で、暗号通貨界隈では警戒感が広がっているようである。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by onetime_id (39093) on 2018年05月18日 17時28分 (#3410728) 日記

    http://www.kk-kernel.co.jp/qgis/HALTAK/FEBupload/nakamotosatoshi-paper.pdf [kk-kernel.co.jp]
    暗号通貨の基礎となった論文自体に記述がある内容では。

    「その解決策として、良心的なノードが CPU パワーの過半数をコントロールす
    る限り、プルーフ・オブ・ワークを使って記録された公開型の取引履歴を攻撃者が変えようとするこ
    とが、コンピュータ的に加速度的に実質上実行不可能になっていく P2P ネットワークを提案した。」

    とかあるように、もともとリソースの過半数を占める組織が悪意を持ったら破綻するんですよね。
    一級のメジャー通貨だと過半数を得るのは難しく、取引の殆ど無いどマイナーな通貨だと余り旨みのある取引額が見込めないので、中途半端な通貨ほど危ない事になるはず。

    • by Anonymous Coward on 2018年05月18日 17時39分 (#3410735)

      おっとそれは違います.
      そっちは51% attackと呼ばれているものですが,Selfish miningは半分より少ないパワーで行うことができる攻撃です.
      初出は
      Eyal, Ittay, and Emin Gün Sirer. "Majority is not enough: Bitcoin mining is vulnerable." International conference on financial cryptography and data security. Springer, Berlin, Heidelberg, 2014.

      具体的には1/3程度のパワーが必要とされていたはずですが今回はどれくらいのパワーを占めていたんでしょうかね.

      親コメント
      • by onetime_id (39093) on 2018年05月18日 17時48分 (#3410743) 日記

        おお。過半数で足りる事の説明が余り厳密では無いと言う指摘がある事は把握していたのですが、その後の知識がアップデートされてませんでした。ありがとうございます。

        親コメント
      • by Anonymous Coward

        なぜ1/3のパワーでいいのか教えてくれい

        • by Anonymous Coward on 2018年05月18日 18時15分 (#3410776)

          基本的なアイデアを説明しますとストーリー文にもあるように,
          攻撃者はブロックを見つけたらすぐには公開しないで溜め込んで,
          それを元に次のブロックの採掘を始めてしまいます.
          一方,溜め込んだブロックチェーンの長さよりも,
          ネットワーク上のブロックチェーンの長さのほうが長くなったときには,
          溜め込んだチェーンを捨てて公開されているチェーンを取り込みます.

          攻撃者が先にブロックの採掘に成功した場合は,
          他の(正直な)採掘者が別のブロックを見つけて公開してそれを元に採掘を始めるよりも前に,
          攻撃者は次のブロックの採掘を始めることができるので,
          更に次のブロックを先んじて採掘に成功する確率が上がります.

          この自分は他の人よりも早く次の採掘を始められるけれど,
          他の人が自分よりも早く採掘を始めることはないという非対称性が重要な点で,

          例えば攻撃者が50%きっかりの計算パワーを持っていると仮定すれば,
          攻撃者が採掘を始めてから次のブロックを見つけるまでにかかる時間の期待値は
          他の参加者が採掘を始めてから次のブロックを見つけるまでにかかる時間の期待値と同じですから,
          先に採掘を始めることができた分だけ,次のブロックを早く見つけることができるわけです.
          結果としてこの時間差を埋める分だけ攻撃者が必要な計算パワーは50%よりも少なくて良い,
          ということになります.

          親コメント
          • by Anonymous Coward

            双六で自分だけゲームリセットし放題
            サイコロの出目が悪い→ゲームリセットを自分が勝つまで繰り返すような感じでしょうか
            で、1/3程度の計算力があれば現実的なリセット回数で勝利できると

          • by Anonymous Coward

            なるほど~わかりやすくて助かります
            各マイナーの勢力によって必要なパワーは結構上下しそうですねぇ

          • by Anonymous Coward

            なるほど、「いつ何時でも他人を引き離す」ためには50%以上必要だけど
            「競争状態からたまたま自分が1歩抜きんでた時を起点として(かつ、その事実を周囲には隠すことで)引き離す」なら楽ってことか

      • by Anonymous Coward

        1/3程度といっても相当なリソースなので、用意できる人物なり団体は限られてきそうだが、そこから足が付いたりしないのだろうか。

        • by Anonymous Coward

          足がついても、相手がでかすぎて2/3側でどうにかできる相手なのかという…
          例えばビットコインの場合、いま現実的に1/3を握れるような勢力って「誰か」じゃなくて「中国」(国家)ですよね

    • by Anonymous Coward

      51%なのか1/3なのかはともかく、元記事とかを読む限り、これ現行の暗号通貨だと理論上回避できない問題…?
      ビットコインとかの大手は大丈夫でも、雨後の筍のようにボコボコ誕生したマイナー通貨にとっては結構致命的な事態になりそうな予感。

      • by Anonymous Coward on 2018年05月18日 21時02分 (#3410930)

        現行のもクソも、巨大勢力が居ない事が暗号通貨という発明の大前提。
        その前提さえあれば「みんなの自分の目先の利益を優先する欲望」をシステムから不正を追い出して安定させる力に変えられると示したのがビットコイン。

        以前は、みんなが私利私欲に走ろうとするとシステムが破綻するのは、自然の摂理レベルで何をどうやっても防げないと思われていた。
        色々出てたシステムを安定させるアイデアは、どれも「自分の利益よりも全体のことを考える良いやつらが何割か居る」とかの無理がある前提を必要としてた。

        そこに、「巨大勢力が居ない」という、まだあり得る条件付きで動くアイデアがとうとう出てきて、やった、こらすごいこっちゃ、となったわけで、
        その前提を外した手法を考えようとなると、また長い長い暗黒時代が到来する。

        親コメント
        • by Anonymous Coward on 2018年05月19日 12時24分 (#3411223)

          つまり、
          「私利私欲になんて負けたりしない!」
          →「私利私欲(巨大勢力)には勝てなかったよ…」
          と言う話でOKなん?

          親コメント
          • by Anonymous Coward

            いや、負けないというか、そういう争いにならない。
            私利私欲を追求して反則技を使おうにも、(大多数を抱き込む以外の)どんな反則でも、反則した方が真面目にやるより損になる。

            反則をさせないためには、なんかの権力者か、「互いに信頼し合ってて協力し合う大多数」みたいな審判役が要るのが一般的なんだけど、
            「互いに信頼し合わず、どっちかというと出し抜き合おうとしてる烏合の衆」しか居ない状態で互いに審判をやる仕組みでも大丈夫なのが暗号通貨の胆。
            審判として不正を支持すると、それも自分の損にしかならない。

            で、大多数の共謀に弱いのは、まあしょうがない。
            互いに審判をやるシステムで、極端な話、自分以外の全員が共謀して自分を騙そうとしてたらどうしょうもない。
            そこまで極端じゃなくても、1/2とか1/3を抱き込めたらシステムを破綻させられるのがこの話とか。

            • by Anonymous Coward

              今回のやつは1人で1/3を確保したとかそういう話では?

      • by Anonymous Coward

        PoWじゃなければ問題無いんでない?

        • by Anonymous Coward
          • 複数の人間が取引の承認を行い
          • 取引の巻き戻し機能があり
          • 攻撃者が巻き戻しのタイミングに関与できる

          ならPoWでなくてもあり得る。

          • by Anonymous Coward

            残念。PoWは余りにエネルギー喰うので滅んで欲しいんだが

      • by Anonymous Coward

        マイナーってその時々で時価の高いモノを掘ってるそうなので、
        例えば1日のスパンでみればマイニングパワーが少ない状態になる可能性あるんじゃない?
        以前ビットコインで特定のマイニングファームが12時間マイニングに成功し続けた事もあったし。
        他の通貨をつり上げることでマイナーを誘導できそうだし。

  • by Anonymous Coward on 2018年05月18日 18時15分 (#3410777)

    Monacoinの採用するハッシュアルゴリズム「Lyra2REv2」はASIC耐性があったはず [katari.be]ですが、遂にLyra2REv2向けASICが開発されたのでしょうか。
    それともFPGAとかGPUクラスタ辺りで破られたんでしょうかね。

    何にせよハッシュアルゴリズムを変更しない限りは防ぎようが無いような気がしますが、Monacoinは今後どうするのでしょうか。

    # GPU耐性があったはずのYescryptハッシュアルゴリズムもGPUマイニングができるようになってしまいました [kakusa-shakai.com]し、
    # 他に良い候補って何かあったかな?

    • by Anonymous Coward

      一年 ROM って出直しな

    • by Anonymous Coward

      GPUマイニングで掘れなくなって、ASICが開発されてるのでは? という噂はあったようですね。
      https://askmona.org/10672 [askmona.org]

      • by Anonymous Coward

        Monero (*) 向けのASICが秘密裏に開発されて稼働されていて51%攻撃可能な状態だったという前例があるらしいです。
        * ASIC耐性があると言われていたCryptoNightハッシュ採用

        仮想通貨マイニング最前線をマイニング用ASIC開発者の視点で検証する
        https://gigazine.net/news/20180515-state-of-cryptocurrency-mining/ [gigazine.net]
        > 数カ月前に、仮想通貨Moneroを採掘する専用ASICの存在が明らかになりました。
        > このMonero用ASICは存在を知られることなく約1年間、こっそりと大量にMoneroをマイニングしており、
        > 50%を超えるマイニ

        • by Anonymous Coward

          「ASIC耐性」というもの自体が眉唾ですからね。
          今の時点で公になっているASICでは効率よく実行できないというだけ。
          アルゴリズムが公開されている限り、新しく効率のいいASICを開発することはできる。

          • by Anonymous Coward

            技術的な困難さというよりはコスト的な困難さが担保なので
            アルゴリズムが公開されているからできて当然というのはナンセンスでは?

            • by Anonymous Coward

              マイニングのために作るとペイしない(どころか大赤字になる)リスクがあるが
              教育とか要素技術の研究開発用とかの投資の副産物であればあるいは

            • by Anonymous Coward

              「ASIC耐性」とは、もっとはっきり言えば、Bitcoin用の既存のASICでは効率よくマイニングできないというだけ。
              別に何かのアルゴリズムによって、Bitcoinとは違うASIC化する際の困難があるというわけではない。

              コスト的な困難さが担保というのは、別のASICを開発するコストが必要という部分だけ。
              Bitcoinだって安いころにはASICを開発するメリットがなく、ASICは存在しなかった。
              価格が上昇したらBitcoin同様にASICが開発されて利用できるので、何ら違いはない。
              それなのに、「ASIC耐性」などと呼ぶのはどうなのよ。

              • by Anonymous Coward on 2018年05月20日 14時55分 (#3411643)

                ASIC耐性のある仮想通貨は、ハッシュアルゴリズムに多くのアルゴリズムを組み合わせることでASICに必要な回路規模を大きくしたり、アルゴリズムで大量にメモリを使用することでASICに必要なメモリ規模を大きくしたりして、ASICを防いでいます。
                伊達にASIC耐性を名乗ってる訳では無いですよ。

                https://urawazakun.katari.be/0Jkvs77a [katari.be]
                > ※SHA-3の候補になっていたハッシュアルゴリズムを直列に繋ぎ、その最後にLyra2REv2と呼ばれる1GB強のメモリを消費するハッシュアルゴリズムに繋げられます。
                > メモリを大量に消費することにより、仮にASICが製造出来たとしても、莫大なメモリ投資が必要になります。

                http://norihiro.blog.jp/archives/8308591.html [norihiro.blog.jp]
                > V2(Lyra2RE Version2)のハッシュ関数構成はBlake256-keccak256-Cubehash256-Lyra2-Skein256-Cubehash256-BlueMidnightWish256(6種類7回)になります。
                > BTCの単純なSHA256ダブルハッシュ+ミックスに比べると、かなり複雑なつくりになってますね。

                親コメント
  • by Anonymous Coward on 2018年05月18日 19時35分 (#3410851)

    >危機感が伝搬して売りが入ると、価格が下がり、ハッシュレートが下がり、難易度が下がってさらに攻撃しやすくなります。

    と思ったけど、ほぼ無風だった。
    https://zaif.jp/chart_mona_jpy [zaif.jp]

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...