Transaktionsgebür - Bitcoin's kleiner Tod?

[fjvbit]

nunja, wenn sich 2-3 große Miner zusammenschliessen würden, hätten sie mehr als 50%.

 

Nur was kann man damit machen?

 

Sie könnten Transaktionen verhindern, verzögern.

Sie können eigene Transaktionen Rückgängig machen und so Bitcoins doppelt ausgeben.

 

Nur was können sie nicht machen:

 

Sie können KEINE Bitcoins klauen.

 

Sie würden sich ihr eigenes Geschäftsmodell zerstören. Der Aufwand / Nutzen von seinem Angriff, stehen in keinem Verhältnis.

[AChim]

Genau meine Aussage: Miner haben überhaupt keinen Grund dem Bitcoin zu schaden, selbst wenn sie das Monopol dazu hätten.

Bei Banken und Staaten, die billig an die dazu nötige Hardware kommen, sehe ich aber schon solche Beweggründe.

[AChim]

Sie können KEINE Bitcoins klauen.

Diese Aussage halte ich für falsch.

Man kann gefälschte Transaktionen posten, in denen man Coins von Adressen abhebt, sie aber gar nicht mit dem gültigen privaten Key signiert. Solche falschen Transaktionen blieben aber nicht in der Blockchain, weil sie von allen Prüfern zurückgewiesen werden. Prüft man aber selber mehr als 50% der Blöcke. bleiben sie in der längsten Kette und sind somit gültig.

[derhobbit]

Diese Aussage halte ich für falsch.

Man kann gefälschte Transaktionen posten, in denen man Coins von Adressen abhebt, sie aber gar nicht mit dem gültigen privaten Key signiert. Solche falschen Transaktionen blieben aber nicht in der Blockchain, weil sie von allen Prüfern zurückgewiesen werden. Prüft man aber selber mehr als 50% der Blöcke. bleiben sie in der längsten Kette und sind somit gültig.

 

Falsch, die Blockchain ist bloß dazu da, damit keine Coins mehrfach ausgeben werden können. Die Gültigkeit der einzelnen Transaktionen (also Signierung mit dem gültigen privat key) kann jeder Client selbst prüfen.

[AChim]

Ich bin mir mit dem wiki recht einig wie das wirklich funktioniert. Du auch?

Transaktionen werden in der Blockchain gespeichert. Je tiefer sie vergraben sind desto gültiger werden sie, auch wenn sie unrechtmäßig sind. Falls du später von einer Adresse coins abheben willst, auf der schon jemand abgehoben hat, bist du einfach der Mehrfachausgeber, selbst wenn du eigentlich der rechtmäßige Ausgeber bist. Es hilft dir auch gar nicht weiter, wenn dein und noch ein paar andere Clienten die blockchain ab der gefälschten Transaktion nicht speichern wollen. Die längste chain gilt und wird mehrheitlich gebildet. Wenn die Mehrheit aber vom Attacker gebildet wird, dann haben alle andern (Minderheit) einfach Pech.

[fjvbit]

Ich bin mir mit dem wiki recht einig wie das wirklich funktioniert. Du auch?

Transaktionen werden in der Blockchain gespeichert. Je tiefer sie vergraben sind desto gültiger werden sie, auch wenn sie unrechtmäßig sind. Falls du später von einer Adresse coins abheben willst, auf der schon jemand abgehoben hat, bist du einfach der Mehrfachausgeber, selbst wenn du eigentlich der rechtmäßige Ausgeber bist. Es hilft dir auch gar nicht weiter, wenn dein und noch ein paar andere Clienten die blockchain ab der gefälschten Transaktion nicht speichern wollen. Die längste chain gilt und wird mehrheitlich gebildet. Wenn die Mehrheit aber vom Attacker gebildet wird, dann haben alle andern (Minderheit) einfach Pech.

 

Ne, unrechtmäßige Transaktion (= ungültige Blöcke) werden von keinem original Client akzeptiert. Die prüfen alle selber noch mal. So einfach geht das nicht...

 

Du kannst keine gültige Transaktion generieren ohne die privaten Schlüssel. Auch nicht mit mehr als 50% Rechenleistung.

[AChim]

Gut wir werden uns hier wohl technisch nicht einig und ich will ja auch nicht behaupten die Wahrheit gepachtet zu haben.

Kann bitte einer von euch so nett sein und erklären was die Entwickler für eine Gefahr in der 51% Attacke sehen. Aus euren Worten entnehme ich bis jetzt nur, dass es gar keine ernstzunehmenden Probleme gibt.

 

Transaktionen sind einfach nur Zeichenfolgen in einem festgelegten Format, die ich in das Peernetzwerk poste. Es gibt jedemenge falsche Transaktionen unter blockchain.info zu finden. Die werden z.Z. nur von keinem Miner mit original Clienten in die chain eingebunden und werden deshalb nicht gültig.

Als Attacker kann ich (natürlich mit manipullierten Clienten) meine eigenen Fälschungen wohl in die chain einbinden. Wenn ich der bin, der die meisten Blöcke erstellt, erzeuge ich immer die längste Chain und bestimme damit was gültig ist. Passive Clienten (also wer nicht mint) haben keinen Einfluß auf die chain. Sie können sich nur weigern, die falschen Blöcke bei sich zu speichern. Und sie werden solche auch nicht weiterleiten. Aber das tut ja in ausreichender Menge der Attacker mit seinem manipullierten Clienten.

[fyahfox]

Ich denke, AChim hat Recht. So habe ich es bisher auch verstanden.

[joho]

Zur 51 %-Attacke: Wenn der Miner tatsächlich ungültige Transaktionen erzeugt (nicht korrekt signierte Transaktionen, zu viel Blockbelohnung an sich überwiesen, neue Coins aus dem nichts erzeugt, etc.), dann werden sie tatsächlich von allen Bitcoinclients zurückgewiesen, die die ganze Blockchain laden. Kein anderer Miner würde sie akzeptieren, und auch euer bitcoind oder bitcoin-qt würde sie wegwerfen. Wenn ihr aber einen SPV-Client wie multibit habt, der nicht alle Transaktionen überprüft, würde der die Transaktionen akzeptieren. Allerdings kann ja so eine 51 %-Attacke nicht lange geheim bleiben, und es würde dann schnell Fixes für SPV-Clients geben. Außerdem verliert der Miner, der diese Attacke fährt, alle seine gemineten Coins, also hunderttausende Euro pro Tag. Daher ist eine solche Attacke sehr sehr unwahrscheinlich.

 

Viel wahrscheinlicher ist eine double-spend-Attacke, denn bei der sind die Transaktionen alle okay, und die anderen Miner würden die Blockchain auch akzeptieren, wenn sie länger als die alternativen sind. Eine zero-confirmation double-spent-Attacke durchzuführen ist relativ simpel mit genügend Rechenpower (10% sollten reichen, es hilft natürlich die erste Transaktion ohne Gebühren zu senden, damit sie nicht vorzeitig von jemand anderem geminet wird). Auf diese Weise gab es im September eine recht erfolgreiche Attacke auf satoshi-dice, bei der einfach alle verlorenen Transaktionen rückgängig gemacht wurden, die gewonnenen aber bestätigt. Je mehr confirmation die Transaktion hat, desto mehr Rechenpower benötigt man, um sie zumindest mit einer gewissen Wahrscheinlchkeit rückgängig zu machen. Es besteht auch das Risiko Miningverluste zu bekommen, wenn die Attacke fehlschlägt.

 

Wenn man aber 51 % hat, kann man die double-spent-Attacke immer durchführen und hat dann auch keine Miningverluste mehr. Man kann auch prima die anderen Miner aus dem Rennen kicken, indem man deren Blöcke ignoriert und sich so ein Monopol schaffen. Dadurch würden die anderen Miner nichts mehr verdienen. Ich denke hier ist die größte Gefahr, denn es gibt kaum eine Möglichkeit, wie sich die anderen Miner dagegen wehren können.

[AChim]

@joho: Danke für deine ausführliche und fundierte Erklärung der 51%-Attacke.

Ich bin ebenfalls der Meinung, dass von Minern kaum ernste Angriffe zu befürchten sind. Wer mit Bitcoin Gewinne erziehlen will, wird sich 2 mal überlegen ob er dessen Image und damit dem Verkaufswert seines Coin-Bestandes schaden will, um sich einige zusätzliche Coins zu erschwindeln. Etwas weniger entspannt sehe ich die Tatsache, dass für einen Angriff sogar weniger als 50% der Rechenleistung nötig sind, im Hinblick auf Gruppen, die mit Coins keinen Gewinn erziehlen wollen, sondern wirklich dem Bitcoin schaden wollen, um ihr Fiat-Geldschöpfungsmonopol zu stärken.

In einem anderen Artikel von dir ist mir aufgefallen, dass die Halbierung des Mining-Ertrags nur alle 4 Jahre stattfindet. Wir haben also noch etwa 3 Jahre Zeit, bis wir diese Ertragsminderung durch steigende Transaktionsgebüren ausgleichen müssen. Bis dahin ist das Transaktionsvolumen wahrscheinlich so enorm gestiegen, dass die Kosten für einzelne Transaktionen nur moderat steigen müssen. Allerdings wird dadurch die Wachstumsgeschwindigkeit der Blockchain sehr steigen. Schon heute wird dem durch lite-clienten wie multibit Rechnung getragen. Diese clienten beziehen ihre chain von einem Dienstleister und brauchen sie nicht selbst zu speichern.

Da bleibt für mich aber noch eine Frage: War die dezentrale Verwaltung der chain nicht genau so ein Eckpfeiler für die Sicherheit des Bitcoins wie die verteilte Rechenleistung. Welche Risiken entstehen aus aus der Zentralisierung der chain-Verwaltung?

[joho]

Wie ja im ersten Posting schon richtig beschrieben, ist im Moment die Vergütung pro Transaktion viel zu hoch (0,07 BTC pro Transaktion, was ja seit heute Morgen "nur" noch 25 EUR pro Transaktion sind). Im Moment wird das durch die neugeschöpften Bitcoins getragen und der Tatsache, dass die Bitcoins so viel wert geworden sind. Aber auf Dauer kann sich das so nicht halten. Es werden wohl zwei Dinge passieren, 1. die Blockchain wird wohl noch deutlich wachsen, vor allem, wenn Bitcoin in Konkurrenz zu anderen Zahlungsdienstleistern treten will, und 2. die Miningvergütung wird wieder abnehmen.

 

Wenn die Miningvergütung abnimmt, lohnen sich eventuell die ASIC-Miner der ersten Generation von den Stromkosten nicht mehr, und würden billig zu haben sein, aber die haben ja eh nur einen Bruchteil der Gesamt-Hashingleistung; da sollten keiner durch große Aufkäufe in die Nähe von 50 % kommen. Die Miner der letzten Generation sollten sich wohl hoffentlich so einpendeln, dass die Miningvergütung zu den Stromkosten und Hardwarekosten (durch Hardwareausfälle) passt. Das ist allerdings Spekulation; da wird sich noch zeigen müssen ob das System der ungeregelten Marktwirtschaft funktionieren kann.

 

Wenn die Blockchain wächst (ich gehe mal grob von 100 GB pro Jahr in ein paar Jahren aus), wird wohl kaum noch ein Bitcoinnutzer einen Fullclient installieren, da er nicht ein halbes Terrabyte downloaden möchte, bevor er loslegen kann. Allerdings ist im Whitepaper dieses Szenario schon erwähnt. Die normalen Nutzer benutzen SPV-Clients, die den Minern vertrauen, die Miner (oder besser gesagt, die Miningpools) dagegen Fullclients, um sich gegenseitig zu kontrollieren. Die Dezentralität ist dann durch die Menge der Miningpools gegeben.

 

Ich beobachte aber im Moment auch ein wenig mit Sorge die Größe der Miningpools. Die beiden größten könnten im Moment eine 51 % Attacke fahren. Ich denke Satoshi hatte wohl eher ein Szenario im Kopf, wo es etwa 100 gleichgroße Miner gibt (Miningpools wurden ja erst später erfunden). Dadurch wäre die Dezentralität dann gegeben. Im Grunde gibt es auch kein Argument, warum man sich unbedingt einem großen Miningpool anschließen sollte. Solange ein Pool groß genug ist, einen Block pro Tag zu finden, sollte ein kleiner Pool keine Nachteile haben. Es braucht auch nicht viele Resourcen um einen neuen Miningpool zu starten; ein Server mit guter Netzanbindung und ausreichen Plattenplatz und Hauptspeicher sollte reichen. Okay, man braucht auch eine Menge Know-How und natürlich ein paar User, die ihre Mining-ASICs zur Verfügung stellen.