Обзор основых направлений исследования блокчейн технологий.

1. Исследовательские задачи в области блокчейна
Докладчик: к.ф.-м.н Мешков Д.А.

2. протокол bitcoin
модель блокчейна bitcoin
модель и реальность
структура
семинара

3. протокол bitcoin

4. Появление Whitepaper
(технического описания)
и кода в 2008 г.
2008
Отсутствие серьезных
исследований
Вопреки этому на практике
все работает!

5. Стихийные исследования
внутри сообщества
Академические
исследования
2013
2009

6. создание безопасных систем
цели доступные ресурсы
модель нарушителя вероятные решения
предположения доказательства стойкости

7. bitcoin: история
цели доступные ресурсы
модель нарушителя bitcoin blockchain protocol
предположения доказательства стойкости

8. bitcoin: история
надежный реестр транзакций
ненадежная широковещательная
рассылка данных
ограниченность вычислительной
мощности
bitcoin blockchain protocol
идеальная хэш-функция
?

9. цели
Block 54
Proof of work:
000000jjl93xq49
Previous blocks:
00000090b41bx
Transaction
555lbj4j12
Transaction
bn24xa0201
Alice Bob
Block 52
Proof of work:
000000zzxvzx5
Previous blocks:
0000009857vvv
Transaction
dd5g31bm
Transaction
22qsx987
Transaction
001hk009
Block 53
Proof of work:
00000090b41bx
Previous blocks:
000000zzxvzx5
Transaction
94lxcv14
Transaction
abb7bxxq
Transaction
34oiu98a
Block 51
Proof of work:
0000009857vvv
Previous blocks:
000000432qrza1
Transaction
lk54lfvx
Transaction
09345w1d
Transaction
vc4232v32
Проблема двойной траты:
у Алисы есть 1 монета,
а она пытается отдать ее
одновременно Бобу
и Чарли.
Упорядочивание
транзакций по времени,
путем добавления
их в блоки.
Следующий блок
ссылается на предыдущий.

10. свойства идеальной хэш-функции
Одно и то же сообщение всегда приводит
к одному и тому же хэшу.
Хэш быстро вычисляется для любого сообщения.
Невозможно получить исходное сообщение
по его хэшу (кроме как полным перебором).
Невозможно найти 2 разных сообщения
с одинаковым хэшем.
По 2 хэшам невозможно понять, насколько близки
исходные сообщения.
Сообщение
хэш-функция
ee883aa0b24c09f7…
произвольный объем данных
фиксированный объем хэша (свертка)

11. bitcoin майнинг
Tx
Block
Prev Hash Nonce
…Tx
Tx
Block
Prev Hash Nonce
…Tx
Tx
Block
Prev Hash Nonce
…Tx
Tx
Block
Prev Hash Nonce
…Tx
Tx
Block
Prev Hash Nonce
…Tx
Tx
Block
Prev Hash Nonce
…Tx
Использовать хэши предыдущих блоков
Продолжать ввод случайных величин
Продолжать до тех пор,
пока хэш не примет вид 000…000ххххх

12. Проверка того, что работа была совершена
быстрая
Для создания блока нужно совершить
большую работу
Сложность подстраивается под
вычислительную мощность сети, чтобы блоки
создавались раз в 10 минут
01
02
03
Сейчас сложность = 270
04
майнинг
bitcoin

13. структура блокчейна

14. модель блокчейна bitcoin

15. модель
Абстракция основанная на реализации Bitcoin.
Дифференциация между структурой
данных (блокчейном) и уровнем
приложения (транзакции).
Синхронная модель — время разбито на раунды
Существует n-t честных участников, каждый
из которых производит q запросов к хэш-функции
за раунд.
Злоумышленник способен контролировать
t участников, действующий как единое целое.
«Плоская» модель — все честные участники независимы.
Это худший случай для честных участников.
“The Bitcoin Backbone Protocol:
Analysis and Applications”, Garay et. al
https://eprint.iacr.org/2014/765.pdf

16. цели
Persistence (параметр k)
Если честный участник отмечает транзакцию tx как стабильную (глубина блоков >k), то всякий
раз, когда другой честный участник отмечает эту транзакцию как стабильную, она будет в том же
положении.
Liveness (параметры u, k)
Если все честные участники предпринимают попытку занести транзакцию tx в реестр, то они
отметят ее как стабильную не позже, чем через u раундов.

17. модель блокчейна bitcon
01
Параметризованный черезV(•), I(•), R(•)
и G(•), H(•) хэш-функции
Участники находятся в состоянии Св форме «блокчейн»
С удовлетворяет условию:
V (x1, x2, … xi) = true
G ( ) ctr
s i-1
x i-1
G ( ) ctr
s i
x i
H ( )
< T

18. 02
Параметризованный черезV(•), I(•), R(•)
и G(•), H(•) хэш-функции
В пределах раунда, участники получают информацию
из сети и обрабатывают ее
xi +1 = I (… all local info…)
G ( ) ctr
s i+1
x i+1
Затем они направляют q запросов для H(•),
чтобы сгенерировать новый блок, перебирая ctr=0,1,2…

19. 03Параметризованный черезV(•), I(•), R(•) Если участник генерирует новый блок, то значение С
расширяется
Новое значение Сраспространяется среди
всех участников сети через ненадежный канал
передачи данных
xi-1 xi

20. 04
Участник сравнивает любые входящие
последовательности
с уже имеющейся цепью с точки зрения их длины
обнаруживается и подтверждается лучшая цепь
Новое значение Сраспространяется среди
всех участников сети через
ненадежный канал передачи данных
xi-1 xi xi+1
yi-1 yi

21. модель и реальность

22. предполагаемая p2p-сеть bitcoin реальная сеть bitcoin
“Analysis of the Blockchain Protocol in Asynchronous Networks”, Pass et al.
http://eprint.iacr.org/2016/454.pdf
“Multi-mode Cryptocurrency Systems” Chepurnoy et al.

23. реальный bitcoin: майнинг
“One CPU One Vote” Failed
01 ASIC-устойчивые алгоритмы майнинга
“Equihash: Asymmetric proof-of-work based on the
generalized birthday problem”
Biryukov and Khovratovich
https://eprint.iacr.org/2015/946.pdf
04
Перебор 262 хэшей в секунду
02
“Scrypt is maximally memory-hard” Alwen et al.
https://eprint.iacr.org/2016/989.pdf05
“AsicBoost: A Speedup for Bitcoin Mining”
https://goo.gl/HfTUkD03

24. реальный bitcoin: майнинг
“The bitcoin backbone protocol with chains of
variable difficulty” Garay et al.
https://eprint.iacr.org/2016/1048.pdf
01
“Difficulty control for blockchain-based
consensus systems” Kraft
https://goo.gl/3RhdPE02
“Theoretical Bitcoin Attacks with less than Half
of the Computational Power” Bahack
https://arxiv.org/abs/1312.7013
03
“Revisiting Difficulty Control for Blockchain
Systems” Meshkov et al.
https://eprint.iacr.org/2017/731.pdf04

25. coin hopping attack
Difficulty
Time

26. coin hopping attack
Graph from http://fork.lol/pow/speed

27. структура
блокчейна
“Bitcoin-NG: A Scalable Blockchain Protocol”, Eyal et al.
https://www.usenix.org/system/files/conference/nsdi16/nsdi16-paper-eyal.pdf
“Enhancing Bitcoin Security and Performance with Strong Consistency via Collective Signing”, Kogias et al.
https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_kokoris-kogias.pdf
“Secure High-Rate Transaction Processing in Bitcoin” Sompolinsky et al. (GHOST paper)
http://www.cs.huji.ac.il/~avivz/pubs/15/btc_ghost_full.pdf
“On Trees, Chains and Fast Transactions in the Blockchain” by Kiayias et al.
http://eprint.iacr.org/2016/545.pdf

28. Proof-of-X
X = Physical Resource
“Proofs of Space”, Dziembowski et. al.
http://eprint.iacr.org/2013/796.pdf
“Beyond Hellman's Time-Memory Trade-Offs with Applications to Proofs of Space” Abusalah et al.
https://eprint.iacr.org/2017/893
“Permacoin: Repurposing Bitcoin Work for Data Preservation”, Miller et al.
http://cs.umd.edu/~amiller/permacoin.pdf

29. Proof-of-Stake
“Ouroboros: A provably secure proof-of-stake blockchain
protocol”, Kiayias et. al.
https://eprint.iacr.org/2016/889.pdf
“Snow White: Provably Secure Proofs of Stake”, Daian et al.
http://eprint.iacr.org/2016/919
“Securing Proof-of-Stake Blockchain Protocols” Li et al.
“Cryptocurrencies without proof of work” Bentov et al.
https://arxiv.org/pdf/1406.5694
https://link.springer.com/book/10.1007/978-3-319-67816-0

30. Nothing-at-stake

31. Направления атак неизвестны
Протоколы, надежность которых
доказана, не эффективны
Надежность эффективных протоколов
не доказана
сложности
01
02
03

32. гибридные
протоколы
и прочие работающие реализации…
“TwinsCoin: A Cryptocurrency via Proof-of-Work
and Proof-of-Stake. Chepurnoy et al.
https://eprint.iacr.org/2017/232.pdf

33. Jonathan Katz
“Bitcoin provides a rich playground in which
to explore the effects of rational behavior”
рациональное поведение

34. рациональное
поведение
“Blockchain Mining Games” Kiayias et al.
http://www.research.ed.ac.uk/portal/files/29075910/BlockchainMiningGames.pdf
“On the Instability of Bitcoin Without the Block Reward” Carlsten et al.
http://www.cs.princeton.edu/~smattw/CKWN-CCS16.pdf
“Demystifying Incentives in the Consensus Computer” Luu et. Al
http://www.comp.nus.edu.sg/~prateeks/papers/VeriEther.pdf
“A transaction fee market exists without a block size limit” Rizun
https://goo.gl/9cvgvV
“On Space-Scarce Economy In Blockchain Systems” Chepurnoy and Meshkov
https://eprint.iacr.org/2017/644.pdf

35. Отсутствие какой-либо информации о том,
как предложения по оптимизации
работают при реальных параметрах
Недостаток информации о том как сегодня
функционирует bitcoin
Недостаток примеров поведения, отличного
от заданного по умолчанию
сложности
01
02
03
Изменится ли ситуация если bitcoin
станет более распространенным?04

36. масштабируемость и эффективность
“Improving Authenticated Dynamic Dictionaries, with
Applications to Cryptocurrencies” Reyzin et al.
https://eprint.iacr.org/2016/99401
“Proofs of Proofs of Work with Sublinear Complexity”
Kiayias et al.
http://fc16.ifca.ai/bitcoin/papers/KLS16.pdf02
PKa 36
PKb 684
PKc 2
PKd 13
Merkle Root
PKA: 36 PKB: 684 PKD: 13… 1 1 1 1 1 1 1 1
2 2 2 2
3 4 3
4

37. Недостаток исследований, большое
количество деталей, требующих анализа
сложности

38. “An Empirical Analysis of Linkability in the Monero
Blockchain” Miller et al.
www.monerolink.com/monerolink.pdf
конфиденциальность
01
“Mixing Confidential Transactions:
Comprehensive Transaction Privacy for
Bitcoin” Ruffing et al.
http://fc17.ifca.ai/bitcoin/papers/bitcoin17-
final6.pdf
02
“Zerocash: Decentralized anonymous payments
from bitcoin” Ben-Sasson et al.
http://ieeexplore.ieee.org/stamp/stamp.jsp?
arnumber=6956581
03
“Mixing Coins of Different Quality: A Game-
Theoretic Approach” Abramova et al.
http://fc17.ifca.ai/bitcoin/papers/bitcoin17-
final40.pdf
04

39. ваши вопросы?
А нужен ли блокчейн?
“Do you need a Blockchain?”, Wüst et al.
http://eprint.iacr.org/2017/375.pdf
“The Quest for Scalable Blockchain Fabric: Proof-of-Work
vs. BFT Replication”, M. Vukolic
http://vukolic.com/iNetSec_2015.pdf

40. спасибо за внимание!
blockchaininstitute.io grants@blockchaininstitute.io
Грантовая программа
dev@blockchaininstitute.io
R&D Лаборатория