Bitcoin Forum

oggi leggendo le mie solite notizie su bitcoin ho letto un articolo molto interessante che mi ha fatto molto riflettere sul fatto che siamo sempre in pericolo e che non bisogna dare nulla per scontato.

Un "attacco al 51%" si verifica quando un singolo miner o un gruppo di miner prende il controllo della maggioranza di una blockchain basata sulla Proof of Work e spende due volte alcune delle sue monete.

Nel suo whitepaper, Satoshi Nakamoto ha delineato la natura delle commissioni di transazione nella rete Bitcoin come un incentivo per i nodi a rimanere onesti. Assicurandosi sempre che nessun singolo miner, gruppo di miner o mining pool controlli più del 50% della potenza di calcolo della rete Bitcoin.

Allora mi viene da pensare, ma siamo sicuri che sia effettivamente cosi, che nel futuro prossimo non ci sarà qualcuno che controlli tutta la potenza di calcolo e non solo il 51 % che già basta ?

link articolo: https://www.bitpanda.com/academy/it/lezioni/cose-un-attacco-al-51-e-come-si-previene/

è già successo in passato che una pool di miners avesse molto di più del 51% di potenza di calcolo.
Credo fosse il 2015, qualcosa del genere.
Anche se una pool ha questo controllo di questa potenza di calcolo, in realtà è come se hai un po più di probabilità di "vincere" la corsa per scrivere il blocco.
(come funzionano i bitcoin - video di simone falcini che spiega come funziona questo attacco).

In ogni caso per diventare un operatore malevolo non serve "falsificare" un blocco ma piu di uno.
Quindi non solo devi vincere una gara (e parliamo sempre di probabilità non di certezza matematica) ma ne devi vincere più e più volte di fila (visto che la catena più lunga è quella che "ha ragione").
Anche se un operatore può raggiungere questa potenza non vuol dire possa fare alcunchè di "danno", è solo un aspetto potenziale.
All'epoca questa pool invio dichiarazioni in cui "bloccava" l'accesso ai nuovi miners ed ovviamente essendo una POOL ogni miners è un'entità a se.
Nessuno ha interesse a distruggere il protocollo... è come se compri milioni di biglietti della lotteria per poi praticamente farla annullare?

Grazie per avere condiviso con noi tutte queste news, che sinceramente non sapevo, mi sembra strano che Satoshi non abbia pensato anche a questo, sicuraemnte una mente geniale come la sua avrà pensato anche a come bloccare questo tipo di attacco

Se un'entità sa di avere più del 51% della potenza di calcolo può letteralmente infischiarsene di tutti i blocchi validati dagli altri e proseguire con la sua catena tramite fork, avendo la sicurezza che, nel lungo termine, la sua catena avrà la tendenza ad essere più lunga dell'eventuale catena costruita dagli altri e dunque verrà considerata come la catena ufficialmente valida da tutti i nodi bitcoin.

Un'eventuale entità che vuole sfruttare un attacco del 51% non potrà in ogni caso fare double spending perché il double spending rende invalido il blocco e dunque questo non verrebbe in ogni caso accettato dai nodi. Una simile entità però avrebbe il potere di censurare le transazioni evitando di inserirle nella sua catena che, come abbiamo detto, tenderà ad essere sempre la più lunga e dunque quella considerata valida dai nodi.

Gia' questo evento si è verificato e non funziona cosi ;D Praticamente non ci vorrebbe nulla ad abbattere l'intero protocollo con questa scusa del 51% ;)

Avrebbe solo una probabilità del 51% di vincere un blocco, non di vincerli tutti!
E' come se compri 51% dei biglietti della lotteria. Ad ogni lotteria... Non è detto che la vinci più e più volte...
Certo ha il 51% di probabilità ma non è una roba matematica "vince sempre". E tra l'altro alla lunga inizierebbe a diventare insostenibile visto che sei "da solo" contro l'intera rete.
E' proprio questo il punto non tanto "della doppia spesa" (è ridicolo investire miliardi per stornare un pagamento di qualche migliaio di euro).
Al massimo punterebbero all'intera coinbase o a tutte le transazioni ....

Non mi risulta che nessuna pool abbia mai avuto nella storia più del 50% dell'hash rate
https://mempool.space/it/graphs/mining/pools-dominance#all
Statisticamente questo significa che nel lungo termine (non nel breve termine) questa entità sarebbe in grado di mantenere da sola la catena più lunga e con la difficulty maggiore, infischiandosene dei blocchi degli altri. Se qualcun'altro riesce a validare un blocco, l'entità con il 51% dell'hash se ne infischia, inizia un fork e prosegue con la sua catena con la sicurezza statistica che nel lungo termine la sua catena tenderà ad essere quella più lunga.
La lotteria ha un valore atteso negativo, cioé il biglietto che viene venduto costa di più rispetto alle probabilità di vincita che ti da. Invece bitcoin è una lotteria il cui valore atteso dipende esclusivamente dalla capacità personale di acquistare percentuali di hash rate. Se un'entità è in grado di acquistare hash rate ad un prezzo più basso della ricompensa data dai blocchi validati (cioè tutte le entità di mining attualmente in profitto) e questa entità ottiene le capacità di acquistare in profitto più del 51% dell'hash rate, allora può benissimo fare un attacco del 51% infischiandosene di tutti gli altri e mantenendo da sola la catena valida più lunga.

Certo, devi avere la certezza matematica di possedere più del 51% dell'hash rate e di essere in grado di mantenere questo vantaggio nel lungo termine.

https://en.wikipedia.org/wiki/GHash.io


No. Anche se hai il 51% non hai il controllo automatico di tutta la rete a vita! Bitcoin sarebbe già bello che morto e sepolto da illo tempore.
Ti suggerisco di approfondire quel link e la storia della pool che ti ho linkato.
A quei tempi vi fu un bel po di panico a riguardo e molti spiegarano che in realtà la resilienza di bitcoin non viene assolutamente inficiata da un miner o pool che possiede il 51%.
Anche compri il 51% di ogni lotteria, devi vincerle tutte! Per lungo tempo.. con costi senza senso e anche a livello di probabilità vincere x blocchi di fila è praticamente impossibile (si parla di "lotteria" proprio perchè la soluzione del blocco è casuale come comprare un biglietto della lotteria e teoricamente anche tu con carta e penna puoi battere un miner multi miliardario ;) )

edit : ok bitcoiner180. ti confermo che non funziona come dici tu. aggiungo, come fai a essere sicuro di avere una tale percentuale di calcolo senza tenere conto che stai gareggiando da solo contro la rete? e sopratutto che senso avrebbe "danneggiare" la rete stessa visto che si stanno comprando "tante possibilità"?
ho letto la tua risposta e ti invito a guardare questo video https://www.youtube.com/watch?v=kpxBSohNr5Y dove viene spiegato nel dettaglio perchè un attacco al 51% non è affatto una cosa cosi scontata o plausibile abbia successo.
Ciao e buona giornata!

Questo io non l'ho mai detto, come si dice: l'unica cosa certa nella vita è la morte. Sicuramente se sei ragionevolmente sicuro di poter mantenere un controllo profittevole del 51% dell'hash rate, hai la possibilità di infischiartene di eventuali blocchi validati dagli altri perché sai che statisticamente a lungo andare la tua la catena, formata solamente da blocchi tuoi, tenderà ad essere la più lunga e dunque quella considerata ufficiale dal consenso Bitcoin.

L'ho letto: tanti bla bla bla, pochi dati e una pool che passa dal millantare più del 51% dell'hash al fallire due anni dopo.

Ti suggerisco di studiare un po' di statistica, l'attacco del 51% è un attacco teorico completamente valido supportato dalla teoria statistica. Nella realtà è un tipo di attacco poco pratico ma assolutamente perseguibile a livello teorico.
No, non devi vincerle tutte, devi vincerne più degli altri e se compri ogni volta il 51% dei biglietti tenderai a vincerne di più degli altri. La blockchain ufficiale di bitcoin non è l'unica blockchain valida esistente, è solamente la più lunga, quella che ha vinto più lotterie. Se tu sai di essere in grado di poter vincere nel lungo termine più lotterie di tutti gli altri messi assieme puoi forkare la catena e mantenere il tuo fork sapendo che a lungo termine, prima o poi, supererà in lunghezza la catena costruita da tutti gli altri e verrà dunque considerata dal consenso la catena ufficiale.

No beh certo, è chiaro che questo sia solo una cosa fatta per avere piu controllo possibile, non credo che il problema sia fare un danno, ma ben si avere il controllo su tutto, li si parlava di piu della metà, ma se ipoteticamente qualcuno riuscisse ad avere in qualche maniera il 100% sarebbe la fine

Credo abbia ragione bitcoiner180, ovviamente se sbaglio qualcosa correggetemi.

Partiamo dalla condizione ipotizzata: io singolo soggetto malevolo ho il 51% della potenza di hash totale (ma anche il 50,1% va bene, intendiamo che ne ho di più di tutti gli altri messi assieme). Stiamo ipotizzando inoltre che io riesca a mantere questo vantaggio rispetto alla somma dell'hash power di tutti gli altri per un periodo di tempo sufficientemente lungo.

Se non ipotizziamo che io riesca a mantenerla per un periodo di tempo sufficientemente lungo cade tutto il discorso.

Sufficientemente lungo in che senso? Periodo di tempo sufficientemente lungo da vedersi realizzata in pratica la mia maggior probabilità teorica di vincere la corsa a validare i prossimi blocchi.

E' come avere una moneta truccata, perchè leggermente sbilanciata per come è costruita: questa moneta con probabilità 51% fa uscire testa con 49% croce.

Facciamo un lancio singolo e praticamente può uscire qualsiasi cosa, facciamo 10 lanci di fila e praticamente potrebbe succedere che nonostante il vantaggio probabilistico escano ancora più croci che teste. Però più lanci facciamo più la probabilità che escano più croci che teste tende a zero, ovvero la probabilità che escano più teste tende a 1.

Ora, istente zero, io sono il miner malevolo con il 51% e voglio che nel prossimo blocco compaiano esattamente certe transazioni che ho scelto e non altre, creo il blocco e lo valido ma il resto della rete è stato più fortunato di me e nonostante abbia il 49% dell'hash power ha minato per primo un blocco con altre transazioni. Pazienza, in barba al protocollo, ignoro la catena con più lavoro cumulativo che mi viene propagata dalla rete e continuo a minare a testa bassa in sequenza al blocco che voglio imporre a tutti. A tendere la probabilità sarà dalla mia e più passa il tempo più è probabile che io riesca a superare l'altra catena come lunghezza (o meglio lavoro cumulato). Quando accade propago questa nuova catena più lunga e gli altri nodi fanno un reorg (di tantissimi blocchi potenzialmente) accettando la mia catena come valida.

@Wrib
suggerisco nuovamente di guardare la spiegazione "video" sul perchè un attacco al 51% non è affatto una cosa cosi semplice ne scontata che abbia successo.

E' ovvio che non puoi essere sicuro di mantenerlo per un periodo sufficiente = altri operatori possono "accendere" le loro macchine. Una pool può semplicemente vedere miners uscire...
In quegli anni infatti si parlava proprio di 6 blocchi prima di considerare una transazione confermata (in modo da essere sicuri di avere la transazione registrata sulla catena più lunga). E' sempre più complicato andare a modificare blocchi precedenti, perchè devi praticamente battere i tuoi concorrenti non solo su 1 blocco ma su più blocchi. (tutta questa parte è spiegata nel video che vi ho linkato).

Non è questione di 1 o più lanci. Qui devi vincere più blocchi in maniera più veloce degli altri, ma si parla di PROBABILITA' e non di certezza.
Questo reorg è praticamente implausibile considerato che nel tempo di produzione di 1 blocco, tu miner malevolo ne vuoi produrre "x" ...
Il video spiega come funziona all'atto pratico un attacco 51% ma sopratutto spiega anche quanto la stessa decentralizzazione del mining renda il tutto davvero difficile anzi quasi impossibile proprio a livello matematico, seppur possibile a livello teorico.
Ripeto, la mia spiegazione non vi piace? Ok guardate il video... è dal 2013 che si conoscono e discutono queste problematiche...

Ho dei dubbi sul fatto che non possa fare double spending.

Sono il miner che ha il 51% dell'hash rate.

Istante x, compro un oggetto in bitcoin da qualcuno, quindi invio normalmente al resto della rete p2p la richiesta di transazione firmata con la mia chiave privata.

Nel frattempo lascio che la transazione venga inserita in un blocco da un miner di quelli che hanno il 49%.

Io in parallelo inizio a minare una catena alternativa, uguale fino al blocco dell'istante x ma diversa da x in poi, che per il momento non diffondo, in cui non inserirò mai in un blocco la transazione in cui ho pagato il mercante per quell'oggetto. Anzi inserisco addirittura una transazione che sposta tutti i bitcoin da quel mio indirizzo ad un'altro (così anche se resta in mempool di qualcuno, il mio primo invio di fondi, non potranno processarlo in futuro dopo il reorg).

Continui a minare in segreto, passano 6 blocchi nella catena degli atrli 49%, il vendito dell'oggetto dopo 6 conferme si sente sicuro è mi invia l'oggetto pattuito.

Quando entro in possesso dell'oggetto, condivido con il resto del network la mia catena che stavo minando in segreto, gli altri fanno un reorg di qualche giorno e io ho sia l'oggetto che i bitcoin con cui avrei dovuto pagarlo.

Ovviamente questa è soltanto teoria, quanto deve valere un oggetto per dare un senso a questa cosa? Milioni di dollari..

Si, una volta se ci pensiamo a livello teorico e non solo era molto facile fare questo genere di attacco.
Adesso farlo diventa impegnativo e costoso, e non ha molto senso farlo.
La domanda che mi pongo adesso, in futuro quando avremo solo le fee per pagare i miner, non potrebbe riverificarsi un possibile scenario di attacco al 51? Che dite?

Non vorrei essere frainteso. A livello pratico sono il primo a considerare de facto quasi impossibile mettere in pratica un 51%.

Pensavo si parlasse di un puro esercizio teorico di calcolo delle probabilità che da per vere ipotesi assolutamente inverosimili (come riuscire a mantenere per giorni e giorni il vantaggio di hash power e non si voglia rinunciare al mancato guadagno dell'essere onesti ecc ecc).

Prima di guardarmi il video in questione per nulla, vorrei quindi essere sicuro che non ci sia un'incomprensione di fondo. Ti chiedo quindi, il mio post date le sue assunzioni e considerandolo un puro esercizio per come è formulato, ha delle falle nel ragionamento oppure no?


No, non è questa l'assunzione dell'esercizio. Nel singolo tempo di un blocco per gli altri (i famosi circa 10 minuti) non voglio produrre più blocchi degli altri. Andando avanti per giorni, la mia catena segreta produrra in media un blocco ogni 9:59 minuti e gli altri un blocco in media ogni 10:01 minuti. Se riesco a tenere duro per un tempo sufficientemente lungo arriveremo al punto in cui la mia catena supera l'altra di un blocco (e stiamo operando con stesso livello di difficoltà) a quel punto posso pubblicarla e vedere l'altra reorgata. Quei 1-2 secondi per cui in media valido un nuovo modo prima degli altri, se li sommi ad un certo punto fanno circa 10 min e vado in vantaggio di un blocco.

Lo so che in pratica è impossibile per tutta una serie di altri motivi, ma ti chiedo nelle condizioni ipotizzate dell'esercizio è così oppure no?

ha ragione @bitbollo
un attacco 51% e' solo teorico, ovvero le CONDIZIONI per provre un attacco sono che devi avere il 51% dell'hash rate
ma questo non vuol dire che hai gia vinto
dopo devi PROVARE a fare l'attacco e non e' detto che funzioni.. quindi e' solo una ipotesi

Ehmm allora abbiamo ragione tutti  ;D Il fatto che sia solo teorico è quello che (per lo meno io) stiamo cercando di dire, in pratica non è fattibile ma in teoria sulla carta può esistere, o sbaglio?

puo esistere senza dubbio
come un asteroide puo colpure la terra e eliminre la vita, quello e' il punto base principale
magari all'inizio della vita di bitcoin era piu fattibile adesso e' costoso, molto e improducente
cioe compri tutta quella potenza di calcolo per perder soldi in pratica

@Wrib
Teoricamente, puoi anche generare una chiave che possiede migliaia di Bitcoin... Vien da sé che per quanto non sia IMPOSSIBILE come evento in realtà lo è visto che dovrei scrivere un numero che abbia diverse centinaia di 0.
Della serie, la matematica dietro btc non è "assoluta" ma ovviamente si assumono determinati eventi come "implausibili" se rapportati alla realtà di un evento.

Esempio proprio questo della chiave da generare. Puoi sempre generare una chiave che è stata già usata ma è un ipotesi talmente remota che ... Non può essere una reale preoccupazione.idrm con l'attacco al 51%.
Quel video che vi ho postato spiega perché fondamentalmente questo è un "non rischio".
Non si tratta di vincere 1 blocco ma poi e più blocchi di fila in continua "battaglia" contro tutti.
Immagina fallisse... Un disastro economico per l'operatore malevolo che con una probabilità praticamente irrisoria andrebbe a perdere tutto!

Questi sono argomenti assolutamente interessanti . Nel momento in cui ci si rende conto che tutte queste possibilità sono state vagliate prima di lanciare il protocollo (vedi tempistica di produzione di blocchi) ti rendi conto che questo è qualcosa di "poetico" non un semplice protocollo per inviare informazioni e dati.

Ok perfetto allora siamo d'accordo e stiamo dicendo la stessa cosa, se si parla di teoria o pratica abbiamo situazioni "de facto" diverse.

Visto che citi le chiavi vorrei però sottolineare che la questione "indovinare una chiava privata di un indirizzo con dei bitcoin" vs "realizzare un 51% attacck minando per giorni una catena alternativa con più lavoro" benchè nella pratica entrambi impraticabili hanno "ordini di grandezza di impraticabilità diversi".

Indovinare una chiave privata con un bruteforce anche con tutta la potenza di calcolo esistente al mondo è impossibile in tempi umani.

Un giorno di 51% attack non è "umanamente impossibile" per un'entità statale delle dimensioni degli Stati Uniti ad esempio. Rinuncia al potenziale ritorno di 3,125 bitcoin ogni 20 minuti (se hai il 51% ogni 20 min circa in media vinci la gara a chi mina per primo un blocco) cioè circa 9 e qualcosa bitcoin all'ora che sono 225 bitcoin al giorno. Sono 22 milioni di dollari al giorno di mancati ricavi, più lo sforzo titanico di costruire delle centrali nucleari per alimentare il datacenter oltre alla produzione degli asic.

Titanico (e stupido) ma non umanamente (per ora) impossibile.

No non è la stessa cosa. :)
 È un po' come avere timore di un evento estremamente improbabile. Ti ho fatto un esempio con un evento ancora più improbabile ma non è che cambi molto.
Anche se hai il 51% non concludi assolutamente nulla per quanto teoricamente hai un po' meno "zeri" rispetto a dover indovinare una chiave privata .
Ergo, sono due eventi praticamente impossibili, matematicamente... Che poi uno abbia ,256 volto 0 e un altro solo 100 non è che lo rende più plausibile.
Se questa cosa dell' attacco 51% fosse stato una realtà plausibile (imho) avrebbero benissimo fatto di tutto per attuarlo. E nei primi tempi era possibile, vedi il "ban" delle schede grafiche dal mining ;) o anche reorg massive dei blocchi ....

Ma ricadiamo nel praticamente impossibile in un caso e nell'economicamente sconveniente nell'altro. Un bruteforce in tempi umani è come sognare di fare un viaggio interstellare, uno stato che vuole fare un 51% attack è come stanziare il budget per un viaggio su marte.

Ti faccio una domanda diretta. Se sono gli Stati Uniti e dirotto l'energia di alcune centrali nucleari ad un datacenter di asics che supera l'hash power di tutti gli altri messi assieme e ogni giorno aumento di un poco le dimensioni di tale datacenter per non farmi mai superare anche dall'aumento del resto della rete, c'è qualche legge fisica che mi impedisce di realizzare un 51% attack?

No. Sono sempre eventi impossibili.
Teoricamente puoi raggiungere entrambi gli scopi uno un po' più difficile dell'altro ma sempre implausibili.
Nel momento in cui puoi modificare i blocchi a tuo piacimento, non è che trovare una chiave cambi molto ::)

Si, questo tuo esempio è plausibile in linea teorica ma in ottica attuale è praticamente un non senso.
È un po' come dire " se tutti gli abitanti della terra saltano nello stesso momento spostano l'asse terrestre?"
Risposta si certo ... Siamo sicuri si possa realizzare per quanto sia possibile teoricamente ?

51% non dà alcuna garanzia ma un semplice vantaggio.
Continuo a dire, guardate il video che ho postato che ti spiega come per quanto sia qualcosa di "possibile" nel mondo reale non succede nulla se hai il 51% di potenza di calcolo... Sarebbe una falla clamorosa se basta avere un voto +1 per dettare legge nei blocchi...

A me il motivo descritto in questo thread per cui si ritiene praticamente impossibile un attacco 51% non mi convince per nulla.

In un mondo dove l'80% della ricchezza è detenuto dal 10% delle persone mi sembra anzi piuttosto probabile che si possa venire a creare un'entità che detiene più del 50% dell'hash rate.

Il motivo per cui l'attacco del 51% ha forse poche probabilità di essere attuato è il senso logico di attuarlo, infatti l'attacco ha senso solo se viene eseguito di nascosto, cioè se l'attaccante riesce a sfruttare la sua potenza di calcolo per assegnare a sé stesso tutti i blocchi della catena e a censurare le transazioni che vuole censurare senza far notare a tutti gli altri che ciò sta avvenendo. Nel momento in cui il mondo scopre che il protocollo Bitcoin è controllato da un'entità centrale, Bitcoin smette di avere senso, la mining farm di questa entità smette di avere senso e tutti i Bitcoin minati e controllati da questa entità smettono di avere valore.

Anche se detiene più del 50% non ci fa nulla all' atto pratico.
Ha un leggero vantaggio, che non serve a nulla. Oltre a non avere senso, non cambia nulla che ha il 51%.
Ennesimo esempio.
Compri il 51% delle combinazioni super enalotto (che è uno scricciolo come numero rispetto alla difficoltà di mining). Hai qualche "certezza" di vincere una o più lotterie di fila?
Davvero, non mi stancherò di ripeterlo, ma guardare quel video esplicativo... no?!

Poni la domanda sbagliata. Non ti devi chiedere se hai la certezza di vincere più lotterie di fila, ti devi chiedere se riesci a validare i blocchi più velocemente di tutti gli altri messi insieme. Nel caso si detenga più del 51% dell'hash rate, la risposta è sì, sei statisticamente più veloce di tutti gli altri messi assieme nel produrre una catena valida. Questo perché Bitcoin non è come la lotteria: alla lotteria appena uno vince nessuno può contestare la sua vincita, in Bitcoin sì invece.

No no no no bitcoiner180. Non è così ! Non è che validi più veloce i blocchi! Hai una probabilità maggior (come una lotteria) di indovinare il blocco.
Facciamo così, prima ti guarda quel video che ho postato poi ne riparliamo? Stai insistendo da stamattina....per favore, davvero, guardati quelle referenze e poi ne riparliamo.
Il processo di mining è da sempre paragonato a una lotteria perché casuale.
Se vincessero (in maniera capitalistica) solo chi ha le maggiori risorse non avremmo Bitcoin ma una shitcoin centralizzata.

Edit= Ok dopo aver letto la "regola del 50%" mi arrendo nel fornire ulteriori spiegazioni /linkare altre risorse.
Non vorrei fare il pignolo ma tutti hanno meno del 50% comunque nessun problema se hai capito che funziona così ed anche il video spiega ciofecate va benissimo.

Se ho il 51% dell'hash rate, posso validare i blocchi con poco più della velocità con cui li valida tutto il resto della rete, quindi posso "mettermi in proprio" e mettermi a produrre solo i miei blocchi ignorando gli altri. Nel momento in cui inizio a fare ciò ovviamente la velocità di produzione dei blocchi dell'intera rete dimezzerà: io avendo il 51% dell'hash rate impiegherò mediamente circa 19min 59 sec, tutti gli altri invece, collaborando tra di loro impiegheranno circa 20 min 1 sec.

Come vedi, "mettendomi in proprio" riesco a stare al passo con il resto della rete, anzi riesco ad essere leggermente più veloce del resto della rete nel produrre una catena valida e, a lungo andare, la mia prima o poi diventerà la catena più lunga e quella accettata come ufficiale.

Ciò che dice il video in quei pochi secondi che vanno dal minuto 19 al minuto 19.45 è esattamente ciò che dici tu ed è fuorviante. I blocchi consecutivi li vince sempre chiunque, anche tu con il tuo PC di casa se continui a farlo minare continuerai a vincere infiniti blocchi consecutivi, solo che produrrai una catena decisamente più corta di quella prodotta nel frattempo dalla rete bitcoin, impiegherai 1 anno per produrre il primo blocco della tua catena quando il resto della rete ne ha già prodotti a migliaia.

La regola è: se hai meno del 50% dell'hash rate ti conviene accettare le vincite degli altri provando a vincere un nuovo blocco che valida la vincita precedente. Se hai più del 50% dell'hash rate ti conviene NON accettare le vincite degli altri provando a vincere un nuovo blocco che valida la TUA vincita precedente.

Guarderò il video, ma sarebbe interessante che portassi qualche tuo ragionamento numerico invece di ripetere "guardate il video", magari tra qualche anno non ci sarà più online "quel video" e chi leggerà questa discussione penserà ma di che cavolo stanno parlando.

Io penso che non stai inquadrando correttamente gli ordini di grandezza delle cose coinvolte, ma soltanto tutta la teoria dei giochi che ci salva di fatto dal 51% attack.

Supponiamo che per assurdo gli Stati Uniti si pongano come obiettivo di stato quello di scalfire la credibilità di bitcoin.

Supponiamo che siano determinati a farlo come erano determinati ad arrivare sulla luna prima dei sovietici. Si stanno ponendo un'obiettivo molto grande ma forse fattibile.

Non si stanno ponendo l'obiettivo di fare un volo interstellare su alpha centauri che non è fattibile in tempi umani, così come non si pongono come obiettivo quello di fare un bruteforce ad una chiave privata di bitcoin.

Torniamo all'obiettivo di fare questo 51% attack. Sarà fattibile? Facciamo due conti a spanne.

Supponiamo quindi che gli Stati Uniti mettano su una mining farm ostile che da oggi in poi si mette a minare nuovi blocchi vuoti in segreto con l'obiettivo di scalfire la credibilità di bitcoin, dannaggiandolo.

La mining farm avrà sempre più potenza di calcolo di tutti i miner del mondo assieme, diciamo questo benedetto 51%.

Quanto ci sta mettendo, mediamente, il resto del mondo a minare un nuovo blocco con l'attuale difficoltà? 10 minuti.

1 blocco ogni 10 min -> 6 blocchi ora -> 144 blocchi giorno -> 1440 blocchi in 10 giorni

In 10 giorni il resto del mondo mina 1440 blocchi come valore atteso.

Ora ci si deve chiedere, il 51% dell'hash power totale, o detto in atri termini, abbiamo il 102% rispetto al 100% "pubblico", in quanto tempo mediamente valida un nuovo blocco?

Se con 100 di hash power si mina un blocco in mediamente 10 minuti (600 secondi), con 102 di hash power mi aspetto mediamente un blocco ogni 588 secondi (ho tolto il 2%).

Minando per 10 giorni, i miner di bitcoin hanno minato come valore atteso 1440 blocchi.
La farm segreta a minare 1440 blocchi ci mette 9,8 giorni che sono approssimativamente 9 giorni, 23 ore e 30 minuti. Quindi la farm segreta in 10 giorni esatti ha guadagnato mezz'ora che sono tre blocchi di vantaggio allo scoccare del decimo giorno.

Ci si attende, probabilisticamente parlando, che in 10gg la farm segreta abbia una catana più lunga di 3 blocchi rispetto a quella pubblica.

Gli Stati uniti vogliono stare tranqulli e minano per 1 mese, il loro vantaggio atteso sale a 9 blocchi. Se ci fossero scenari statisticamente sfortunati continuerebbero a minare un ulteriore mese, facciamo 2 mesi per essere molto sicuri. A questo punto si palesano al resto del mondo e i full node di tutto il mondo reorgano in favore di questa chain più lunga (si è usata la stessa difficoltà) piena di blocchi vuoti: disastro.


Facendo i malevoli, gli Stati Uniti rinunciano al potenziale ritorno dei bitcoin minati che avevo stimato essere sui 22 milioni di dollari in uno dei post precedenti. Gli Stati Uniti la corrente la pagano meno che il cittadino finale in un contesto del genere quindi il loro mancato guadagno consumando corrente da centrali adibite "al piano" è minore ma lasciamo questa cifra di 22 milioni.
 
Abbiamo detto 2 mesi, quindi sono 1 Miliardo e 320 milioni di dollari. Facciamo 2 miliardi per esagerare. Aggiungiamo qualche miliardo per realizzare gli asics e le centrali elettriche di vario tipo? Facciamo 10-20-50 miliardi? 30 miliardi di dollari era il budget stanziato per l'intero programma Apollo per andare sulla luna nel 1969, che corrispondono a 150 miliardi di dollari di oggi considerando l'inflazione.

L'Italia stato dal pil molto più piccolo, si è indebitata con il bonus 110% dell'era covid di 100-200 miliardi. Quindi gli ordini di grandezza in gioco mi dicono che per gli Stati Uniti sarebbe fattibile un 51% attack da un mero punto di vista tecnico/economico.

Ma poi, se mettono su una linea produttiva di asics in segreto, si metterebbero a produrne soltanto per un 51% di hash power? A sto punto ne produrrebbero per avere il 60% dell'hash power con un incremento di costi minino e tempi mediamente attesi di riuscita dell'attacco più bassi.

Ragazzi ma dove eravate nel 2017?  ;D

A parte che parliamo di fantascienza ma in ogni caso la maggioranza dei nodi potrebbe sempre  attivare un UASF con cui respingere i blocchi del miner malevolo (con più del 50%) modificando le regole del consenso.
Nel protocollo bitcoin i nodi seguono la catena più lunga, ma a condizione che sia valida.

Se il miner insistesse, si avrebbe un chain split e il miner si troverebbe sì su una catena più lunga peccato che sarebbe un altcoin tipo bitcoin cash

In ogni caso a nessuno converrebbe mai arrivare a tanto, ma proprio a nessuno per cui stiamo parlando di asini che volano.

Bitcoin non è solo codice e hashpower, ma soprattutto un sistema sociale e politico.
La storia dimostra che la forza bruta da sola conta molto poco nel definire "cosa è bitcoin".
 

si ma infatti si stava parlando di una cosa ipotetica, che appunto non converrebbe a nessuno, si faceva per parlare, mi sembrava interessante condividere questa cosa con voi e parlarne, ma capisco che stiamo parlando di qualcosa che non accadrà mai  ;D

Ragioniamoci assieme. Non mi sembra esattamente la stessa situazione di uno scisma annunciato come per esempio bitcoin cash. Qui si tratta di un'operazion segreta che si svela improvvisamente.

Gli Stati Uniti (o la Cina o altro mega soggetto) sta minando segretamente un chain di blocchi vuoti parallela da 3 mesi. Tale chain è più lunga di quella pubblica che è la "vera e propria" chain di bitcoin.

Gli Stati Uniti decidono dopo tre mesi di propagare ai nodi di bitcoin la chain segreta più lunga, i full node di tutto il mondo iniziano a fare reorg a partire da tre mesi fa.

Le persone che gestiscono i full node, che tempi di reazione hanno ? Quanto ci mettono ad accorgersi che il full node sta automaticamente facendo dei danni e che occorre far girare una versione modificata del full node stesso per rifiutare, con una nuova regola di consenso*, i blocchi che arrivano da tale miner malevolo?

Ci sono meccanismi già pronti istantanei che non conosco che riducono questo transitorio dovuto ai tempi di reazione umani dell'accorgersi del problema e dell'accordarsi sulla pezza?

*parentesi, basta un UASF o serve un hard fork?


Per le mie limitate conoscenze "da 2017  :D" mi viene da pensare che prima che ci si accorga della situazione, si metta in campo la modifica (condivisa tra la maggioranza dei nodi benevoli) al software per fare un fork che escluda i blocchi, fino a nuovo cambio del consenso di fatto validi, del miner malevolo, passa un certo periodo di tempo.

Sicuramente a tendere il problema rientrerà ma tale periodo di tempo di disservizio è una cosa che sfiducia la rete bitcoin -> obiettito dell'attaccante raggiunto.

@Wrib ho fatto decine di esempi anche numerici se oltre a aver letto "guarda il video " dovresti anche averli intravisti :)

Edit: perdonami ma su un forum nessuno dovrebbe mai pretendere nulla... Ti ho detto guarda il video perché non è che posso dedicare una intera giornata a spiegare a degli sconosciuti su internet per ore e ore come funziona il mining....
Buona giornata!

Edit 2: oggi non ho nemmeno letto nulla, ti risparmio il motivo, in caso ti leggo con calma il tuo post e provo a darti un "parere".

Scusami ma i tuoi esempi numerici in questo post mi sono poco chiari, in particolare, forse li interpreto male io, mi sembra di capire che stai calcolando le probabilità di costruire una catena più lunga avendo il 51% della potenza in un modo che non mi torna.

Se ti chiedessi più direttamente, in questo mio post: https://bitcointalk.org/index.php?topic=5552695.msg65658005#msg65658005 cosa c'è che numericamente non ti torna o ti sembra scorretto, cosa mi correggeresti? Così tagliamo la testa al toro, io non sono qui per insegnare, ma per capire se sbaglio qualcosa.

BIP148 (UASF) fu pubblicata il 4 luglio per entrare "in vigore"  il 1° agosto. Già al 21 Luglio, i miner che rifiutavano segwit iniziarono a cambiare idea...  ;D

Qui, vista l'emergenza, sarebbe tutto più rapido, la modifica software sarebbe minimale e i full node non sono gestiti da bitcoiner occasionali ma da soggetti che avrebbero tutto l'interesse ad aggiornare nel più breve tempo possibile.

I nodi "benevoli" sarebbero tutti meno uno.

Il miner, dopo aver buttato nel cesso tonnellate di dollari per questo suo capriccio, si troverebbe contro tutti: exchange (che avrebbero interesse a non listare la sua altcoin), wallet. aziende sviluppatrici, fondi di investimento, altri governi...tutti rifiuterebbero la sua blockchain

Per non parlare poi del rischio di essere scoperto: minare segretamente una chain più lunga in modo totalmente invisibile è praticamente impossibile, si noterebbero blocchi orfani con frequenza più alta del normale riconducibili allo stesso soggetto. Inoltre il miner malevolo dovrebbe assegnare timestamp retroattivi ai blocchi che produce per non farli apparire troppo recenti e si noterebbe un disallineamento tra timestamp e reali orari di propagazione.

Se una nazione volesse danneggiare bitcoin otterrebbe un risultato migliore (risparmiando anche miliardi di dollari) semplicemente rendendolo illegale o rendendo illegale il mining.

Oops anche questo però è già successo: la Cina nel 2021 fece proprio questo, l'hashrate calò del 70% in poche settimane...come è andata a finire lo sapete...
Il network effect, la teoria dei giochi e l'interesse economico sono fattori di cui viene spesso sottovalutata l'immensa forza.

P.s: veramente vogliamo usare gli USA come esempio?
Con il Presidente che al momento holda 15.000 BTC ? ;D

https://www.talkimg.com/images/2025/08/05/UH8is8.png

Io ti do ragione al 100%. Però secondo me bisogna rispondere con maggior precisione alle due domande:

• Quanto costa fare ciò?
• Quanto tempo ci vuole?

Una volta risposto a queste domande bisogna chiedersi se per uno Stato è fattibile mantenere un programma nascosto di sabotaggio di Bitcoin a quel costo e per quel periodo di tempo.

Tu hai fatto il paragone con il programma Apollo, il programma Apollo era una pubblicità dello Stato, veniva usato dalla politica per auto-promuoversi, i cittadini votavano il presidente di turno e sceglievano USA invece di URSS perché gli USA rivendicavano pubblicamente il programma Apollo.

Se gli USA o chi per loro decidessero di destinare tempo e risorse economiche per avviare pubblicamente un programma di sabotaggio di Bitcoin, i cittadini cosa penserebbero? Per ora i cittadini USA hanno votato un presidente pro-cripto...

Mah insomma, sarebbe un rollback stile DAO che creerebbe un precedente nella rete di Bitcoin: volendo, gli sviluppatori possono censurare blocchi validi indesiderati.

E se invece l'attacco avvenisse istantaneamente? Cioé invece di attendere 3 mesi questa entità iniziasse fin da subito a pubblicare i suoi blocchi con una velocità leggermente superirore a quella del resto della rete? La rete come si comporterebbe? I minatori continuerebbero a minare la loro catena o per qualche motivo dettato dal loro software inizierebbero a produrre blocchi legati alla catena dell'attaccante? Blocchi che verrebbero comunque esclusi dall'attaccante ma che sarebbero in ogni caso legati alla catena dell'attaccante e dunque persi per sempre. L'eventuale "modifica minimale" quale catena ripristinerebbe? La rete si coalizzerebbe subito contro l'attaccante o per un certo periodo di tempo si creerebbero fork a profusione?

Ottimo stiamo parlando della stessa teoria di giochi grazie alla quale sono d'accordo pure io che di fatto un attacco 51% è impossibile.

Concordiamo che tutti questi dollari spesi per arrecare un disservizio di pochi giorni se non ore non ne valga la pena, oltre a tutte le altre implicazioni di chi è "immanicato" con cosa.

Quello che mi premeva maggiormente dimostrare erano gli ordini di grandezza in gioco: un attacco 51% non è paragonabile ad un bruteforce di una chiave privata. Benchè stupido, inefficacie alla fine della fiera, costoso, risulta fattibile in tempi umani a differenza del bruteforce.

Comunque qui si apre una parentesi filosofica interessante: bitcoin è tanto decentralizzato quanto è difficile mettere d'accordo la maggioranza su un cambio di regole anche soltanto in soft fork. A meno di una minaccia esistenziale.

Esempio: per adottare che ne so C.I.S.A. ci andrà un soft fork e non sarà per nulla detto che la maggioranza si convincerà della cosa, bitcoin potrebbe già essere ossificato perchè troppo decentralizzato.

Esempio due: avviene un 51% attack segreto oppure inventano un computer quantistico che scopre in tempi umani le chiavi private, sono entrambe minaccie esistenziali. Avverrà per forza un fork per il semplice fatto che i nodi che non implementeranno la modifica non sopravviveranno. In un caso chi non implementerà la modifica non sopravviverà perchè resterà in una chain economicamente sfiduciata dal 51% avvenuto, nel secondo caso perchè restaranno in una chain in cui è il far west di chi ruba chiavi privata agli altri quindi anch'essa una chain senza valore.

Non accadrebbe nulla di che, e sospetto sia proprio lo scenario che ha in mente @bitbollo

Se la tengo segreta tre mesi e poi la pubblico quando la mia è seppur di poco, ma certamente, più lunga, vengono reorgati tre mesi di blocchi. E' un disastro, bitcoin inviati da indirizzi ad altri in questi tre mesi per pagamenti tornano al primo indirizzo risaltente a tre mesi fa! Qui per forza serve in tempi brevi un fork per ignorare questi tre mesi di blocchi diversi minati dall'attaccante!

Se invece l'attaccante pubblica subito per primo il prossimo blocco, magari vuoto (o inserendo soltanto le transazioni che vuole censurandone alcune) semplicemente rallenterà la rete nel senso che ogni 100 blocchi ne avremo 51 vuoti e 49 "normali", ci toccherà aspettare mediamente un po' di più prima che un miner dei 49 benevoli ci mini la nostra transazione. Basterà portare pazienza per il tempo in cui l'attaccante finirà il suo badget da sprecare..In effetti però si potrà rifinanziare anche vendendo i bitcoin che vincerà minando per primo il 51% dei blocchi, cmq ad un certo punto si stuferà di questi mancati guadagni.

Non proprio, se l'attaccante iniziasse fin da subito con la sua strategia, senza aspettare 3 mesi, dopo un po' di tempo avremmo una catena formata da 51 blocchi consecutivi vuoti dell'attaccante ed una o più catene prodotte dal resto della rete (che non è formata da alleati ma da entità in competizione). Per esempio, alla produzione del secondo blocco "fork" dell'attaccante, alcuni software mining potrebbero decidere di iniziare a minare partendo dal blocco dell'attaccante invece che dalla catena formata dalla rete "onesta", a questo punto si verrebbe a creare una situazione in cui:

• l'attaccante, pefettamente consapevole di ciò che sta facendo, continua ad avere il 51% dell'hash e a produrre i suoi blocchi consecutivi ignorando gli altri
• alcuni software mining onesti, non riconoscendo la presenza di un attaccante, sprecano inconsapevolmente il proprio hash rate provando a minare blocchi che partono dalla catena più lunga, cioé il fork dell'attaccante
• il resto della rete che continua a minare la catena "onesta" ma con un hash rate ancora minore del 49% a causa dell'assenza dei minatori del secondo punto.

I software di mining, senza un intervento umano, inizierebbero piano piano a minare tutti quanti sulla catena dell'attaccante (anche se i loro eventuali blocchi verrebbero puntualmente ignorati dall'attaccante stesso) che con l'andare del tempo tenderà a diventare la più lunga rispetto alla catena onesta.

Quanto impiegherebbero i minatori ad accorgersi dell'attacco e organizzarsi per escludere l'attaccante? Tenuto conto che un software di mining può legittimamente minare un blocco e assegnare la coinbase a qualsiasi chiave pubblica disponibile (cioè quasi infinite), come si fa ad escludere l'attaccante ed evitare che una volta escluso questo non ricominci con una chiave pubblica diversa?

Ad ogni nuovo blocco abbiamo un 51% di probabilità che a minarlo per primo sarà il miner ostile (quindi blocco vuoto) e un 49% di probabilità che a minarlo sarà un miner benevolo.

Quindi la probabilità che il prossimo blocco sarà ostile è p=0.51. In percentuale 51%.

Qual è la probabilità che si presentino due blocchi ostili di seguito? p=  0.51 * 0.51 = 0,2601. In percetentuale 26% circa.

Qual è la probabilità che si presentino tre blocchi ostili consecutivi 0.51 * 0,51 * 0.51, ovvero 0.51 alla terza, p= 0.132651. In percentuale 13% circa.

Qual è la probabilità che si presentino 51 blocchi ostili consecutivi? 0.51 alla 50, ovvero p= 0 virgola tanti zeri qualche cosa. Praticamente il "dopo un po' di tempo" potrebbere essere un evento che capiterà una volta ogni n migliaia, milioni o non so quanto di anni (non ho voglia di mettermi a quantificare tutti quegli zeri). Vedilo grosso modo come (approssimando il 51% al 50%) far uscire croce 51 volte di fila lanciando una moneta, hai voglia ad aspettare che accada.

Questo sì che è un evento raro tanto quanto quello di riuscire a fare il bruteforce in tempi umani di una chiave privata, da qui il mio sospetto che @bitbollo pensasse a questa situazione nei suoi paragoni.

La probabilià si riduce esponenzialmente con il crescere del numero di blocchi vuoti che si spera di ottenere di fila...ogni tanto avremo sequenze di diversi blocchi vuoti ma mai più di tanto, diventa prima insolvibile l'attore malevolo rispetto al presentarsi di una sequenza di anche solo 10, 15, 20 o esageriamo 30 blocchi vuoti di fila. Come vincere al superenalotto?

Inoltre l'attaccante si sta palesando ad ogni nuovo blocco, se dovesse veramente resistere per molto tempo a minare blocchi vuoti gli altri potrebbero con calma fare un soft fork per escludere i suoi blocchi, ma non credo sarebbe il caso si aspetterà che l'attaccante finisca i fondi, tra l'altro minare blocchi normali in sequenza ai suoi blocchi vuoti va "comunque bene", a parte il rallentamento della rete per presenza di blocchi vuoti inutili.

Ora, questo esercizio di calcolo delle probabilità è completamente diverso da quello (https://bitcointalk.org/index.php?topic=5552695.msg65658005#msg65658005) in cui segretamente l'attaccante stia minando una chain parallela formata soltanto da blocchi vuoti. Dato che lui mina un nuovo blocco in poco meno di 10 minuti e il resto della rete mina un nuovo blocco in 10 minuti, dopo un tempo sufficiente l'attaccante avrà certamente una catena di blocchi più lunga da presentare improvvisamente al resto del mondo. Dove "certamente" è una probabilità del 99,tanti nove %.

Per un attacco del 51% servirebbero circa 1.5 milioni di Antminer S21 (ammesso che esistano e che Bitmain sia in grado di produrli  ;D) al costo di 2.500$ l'uno, significa che solo l'hardware costerebbe quasi 4 miliardi di $  ;D

Visto che ognuno di questi affari consuma 17 joule/Th ossia 3.4 kw, l'attacco avrebbe bisogno di 5.1 GW

Quindi andrebbe dislocato in varie zone geografiche considerando che una centrale nucleare di medie dimensioni da sola non basterebbe a garantire quella energia.

I costi energetici, a diciamo 0.1 $/kw, sarebbero di circa 12 milioni il giorno. Per 90 giorni un altro miliarduccio di dollari

Poi tutto il resto, che è la parte più difficile: capannoni, logistica, manodopera, permessi,  pratiche normative, raffreddamento, monitoraggio, riparazioni...e molto altro

Tra l'altro le forniture di ASIC, la logistica, gli stabilimenti e i consumi non potrebbero passare inosservati...altro segnale che il mining occulto al giorno d'oggi è di fatto impossibile.

Diciamo che per un attacco di qualche mese e creare un pò di confusione (facilmente risolvibile) nella rete Bitcoin uno dovrebbe gettare nel fuoco 6-7 miliardi di dollari.

L'unico che potrebbe farlo è uno Stato di grossissime dimensioni che però avrebbe infinita più convenienza a metterlo fuori legge, se proprio gli volesse male.

Come reagirebbe poi l'opinione pubblica nel sapere che diversi miliardi di denaro pubblico vengono sperperati per questo utilissimo scopo?

Ragazzi vabbene che è agosto.... ;D
 

Anche se fosse possibile raggiungere questa potenza di calcolo (che dovrebbe essere costantemente aggiornata per garantirsi il 51%), non riuscirebbe ad essere sicuro di controllare la rete proprio grazie al sistema di reward casuale quando viene trovato un nuovo blocco. Ha senso investire tutte queste risorse in qualcosa che alla fine... praticamente non porterà a nulla?
E' un'ottima discussione "teorica" o "filosofica". Vista però da un punto di vista pratico non ha alcun senso... al massimo il senso che ci trovo è la resilienza di un sistema come bitcoin. "honey badger doesn't care!"

No state sbagliando. La probabilità che il prossimo blocco sarà ostile è del 100% perché il minatore ostile se ne infischia che la rete onesta ha eventualmente minato un blocco per prima, se ne infischia che la rete onesta ha vinto alla lotteria, lui continua imperterrito a cercare di vincere alla lotteria già vinta dalla rete onesta e a minare il prossimo blocco in sostituzione di quello onesto con l'obiettivo di creare un fork.

Il minatore disonesto impiegherà poco meno di 20 minuti in media per minare il prossimo blocco, la rete onesta invece impiegherà poco più di 20 minuti in media. Nel breve termine si verrà a creare un fork formato da 2 o più catene, una del minatore disonesto e una o più altre della rete onesta. Dato che il minatore disonesto ha un hash rate superiore a quello della rete onesta, riuscirebbe nel lungo termine a mantenere il fork più lungo di quello della rete onesta. Questo anche se la rete onesta fosse capace di cooperare al meglio mantenendo solo una catena concorrente a quella disonesta.

Ho guardato il video e riletto pag.6,7,8 del paper di satoshi https://bitcoin.org/bitcoin.pdf.

Minare una catena alternativa (in segreto) con il 51% di hash power porta l'attaccante con probabilità 1 (100%) a recuperare z blocchi di ritardo rispetto alla catena principale (z blocchi di ritardo, nel caso voglia fare doppia spesa annullando una propria transazione di z blocchi fa).

Lo scrive esplicitamente Nakamoto: probabilità che l'attaccante recuperi z blocchi = 1 (se ha la maggioranza di hash power)

Lo dà talmente per scontato che tutta la sua analisi si concentra invece su cosa succederebbe a un attaccante che ha probabilità q di trovare un blocco minore di p, minore ovvero della probabilità che ha la rete degli onesti di trovare un blocco:  in quel caso effettivamente le probabilità si riducono in modo esponenziale: la probabilità di recuperare z blocchi di ritardo è (q/p)^z, ed essendo q < p, tende a zero al crescere di z.

Il video si riferisce a questo caso, al caso in cui la potenza dell'attaccante sia minore di quella del resto della rete, esattamente come fa Nakamoto nel suo paper.
Nakamoto calcola ad esempio che con il 10% di potenza, un attaccante avrebbe solo 1 possibilità su 1000 di recuperare 5 blocchi di svantaggio, da qui la regola di aspettare 5-6 blocchi per avere la conferma definitiva di una transazione (in quanto anche un attaccante molto forte con ben il 10% di hash power avrebbe scarse probabilità di effettuare una double spending).

L'attacco del 51% è anche intuitivo, se ho maggiore potenza di calcolo rispetto a te, in 1 giorno può succedere che tu mini più blocchi di me, in 1 settimana o in 1 mese no ('sostanzialmente' no). E più il tempo si allunga meno è probabile che la rete possa difendersi da un attaccante più forte di lei. Non devo minare tutti i singoli blocchi più velocemente di te, basta che il tempo complessivo sia minore (e quindi che riesca a minare più blocchi nel tuo stesso tempo, certificando con la catena più lunga la mia maggiore potenza computazionale).

Questo è almeno il discorso legato alla mera probabilità.

Cerchiamo prima di capire se stiamo parlando della stessa cosa. Nel mio post che hai citato con tutti i calcoli delle probabilità analizzavo due scenari diversi. Prima di fare altri ragionamenti vorrei quindi essere sicuro che stiamo parlando dello stesso scenario. Gli scenari di cui parlavo sono:

1) SCENARIO UNO. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va subito in append alla unica blockchain esistente nel mondo. Anche quando i "miner onesti 49" trovano un blocco ovviamente anche questo blocco va in append alla unica blockchain. Dato che il miner ostile è pubblico troverà un blocco in poco meno di 20 minuti e gli altri in poco più di 20, perchè il coefficiente di difficoltà è aggiustato sulla presenza di tutti quanti.

2)SCENARIO DUE. Il "miner ostile 51%" mette su in segreto una mining farm che da sola supera di poco la potenza di calcolo di tutto il mining presente nel mondo. Inizia a minare a testa bassa una nuova chain segreta in parallelo nella quale inserisce TUTTI i blocchi che sta minando cioè SOLTANTO blocchi ostili. L'obiettivo del miner ostile sarà quello di pubblicare al mondo tale catena ostile quando sarà più lunga dell'altra. Il resto del mondo, ignaro della sua presenza, contiuna a minare la blockchain pubblica nella quale vengono inseriti SOLTANTO blocchi onesti. Qui i tempi sono di poco meno di 10 min per il miner ostile e di 10 min esatti per il resto del mondo, non c'è stato aggiustamento di difficoltà perchè il miner ostile non contribuisce all'hash rate pubblico.

Ora, a scanso di equivoci, senza entrare nel merito di cosa succede nei due casi, ti chiedo, stiamo parlando degli stessi scenari? La tua obiezione appena quotata, si riferisce esattamente ad uno di questi due o ad un terzo scenario ancora diverso (nel caso descrivimelo) ?

E' quello che sto cercando di dire da diversi post, sempre restando nel campo di teorici esercizi di calcolo di probabilità e trascurando la teoria dei giochi che nella pratica di fatto salva sempre bitcoin, bisogna distinguere queste due situazioni, il cui "esercizio di calcolo delle probabilità associato" è estremante diverso.

situazione 1: ho il 51% e mino blocchi ostili in segreto aspettando di avere a tendere una catena più lunga da pubblicare solo in quel momento
situazione 2: ho il 51% e mino blocchi ostili pubblicandoli fin da subito

(sempre che non saltino fuori altri scenari che non ho considerato ovviamente)

Esiste in realtà un solo scenario, e cercherò di spiegare perchè.

Iniziamo dallo scenario 2 (ma con una piccola aggiunta, il ritardo di partenza dell'attaccante rispetto al resto della rete che si quantifica in z blocchi).

Se ho più del 50% di power hash, posso minare di nascosto una catena tutta mia, e pubblicarla quando più mi fa comodo. In questo modo posso modificare gli ultimi k blocchi della blockchain, con k > z.

Ricordo in cosa consiste l'obiettivo di un 51% attack: sostituire una transazione già effettuata in passato (z blocchi fa) con un'altra per poter fare double spending.

E' questo l'attacco di cui parla Nakamoto ed è l'unico veramente pericoloso (perchè mette in dubbio il concetto di irreversibilità di tutte le transazione della blockchain).

L'obiettivo dell'attaccante (e il pericolo per il resto della rete) non è mai costruire una catena alternativa della blockchain, ma è sostituire solo l'ultimo pezzo con un altro pezzo, aggiustato. E ha convenienza a farlo solo dopo che il ricevente i bitcoin della tx da annullare ha accettato questo pagamento come definitivo (tempo di attesa che si quantifica in z blocchi). In tal modo l'attaccante potrebbe ricevere il prodotto/servizio acquistato (inviato dopo z blocchi di attesa) e rispendere i bitcoin in una successiva transazione.

Lo scenario 1 equivale al 2 in realtà,
in quanto l'attaccante parte da z blocchi più indietro, quindi genera una catena alternativa e solo lui continua ad aggiungere blocchi a quella catena, finchè non diventa più lunga. Anche se sta pubblicando i suoi blocchi, è solo lui che lavora a quella catena, perchè comunque è indietro rispetto a quella della rete.
Solo quando la catena dell'attaccante raggiunge quella della rete anche gli altri miner inizieranno ad aggiungere altri blocchi alla sua catena, esattamente come accadrebbe nello scenario 2 subito dopo che l'attaccante ha pubblicato l'intero pezzo di catena minato di nascosto.

I 2 scenari quindi sono del tutto equivalenti dal punto di vista del calcolo delle probabilità.

Il dato fondamentale qui è che l'obiettivo dell'attaccante non è creare da un certo punto in poi una catena alternativa minata solo da lui che si prolunghi in modo indefinito (questo non è possibile, e forse questo voleva dire bitbollo) ma il suo obiettivo è solo sostituire un pezzo finito alla parte finale dell'attuale catena e basta, da quel momento in poi la catena viene sviluppata ancora in modo random dal resto della rete ed eventualmente dall'attaccante.

Se non si parte dall'idea però che il 51% attack parte da dietro, dal passato, non dal prossimo blocco della catena attuale, non si possono capire i calcoli di Nakamoto.

Io parlo invece di un terzo scenario che è un mix tra lo scenario 1 e lo scenario due:

3) SCENARIO TRE. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va in append all'unica blockchain al mondo sostituendo un blocco già esistente generato dalla rete onesta, creando un fork della catena e creando così una blockchain con due rami, come consentito dal protocollo bitcoin.

Nel momento in cui sto scrivendo, l'ultimo blocco della catena è il numero 908855. Nulla vieta a me, miner disonesto, di provare ora a minare nuovamente il blocco numero 908855 inserendo dentro le transazioni che mi piacciono e assegnandomi la coinbase di quel blocco. Se riesco a farlo, il protocollo bitcoin mi da diritto di pubblicare questo secondo blocco 908855 e i nodi di bitcoin sono obbligati a tenere in memoria anche il mio blocco.

In questo scenario la blockchain avrà due blocchi 908855, quello minato da me disonesto e quello minato dal resto della rete. Quale dei due blocchi deve essere considerato ufficiale? Bisogna aspettare e vedere quale dei due fork diventa più lungo. Ovviamente se ho una potenza di calcolo maggiore di tutto il resto della rete il mio fork col tempo tenderà ad essere più lungo.

Sono la stessa cosa tutti e 3 questi scenari, il risultato è uguale (vedi la mia risposta precedente).

Capisco cosa vuoi dire e mi trovi d'accordo.

Se ci atteniamo alla definizione rigorosa di che cos'è un "attacco 51% double spending", esiste soltanto uno scenario, quello in cui mino a testa bassa una chain alternativa sapendo che a tendere, dopo un tempo ragionevolmente lungo, la mia probabilità di avere una catena più lunga tende a 1. Poi, che io la tenga segreta o la palesi di blocco in blocco sono due sotto varianti, c'è da dire che se paleso la mia esistenza c'è il rischio che gli altri nodi si organizzino in anticipo per tempo per cambiare il consenso escludendomi dato che sono fortemente sospettato di essere malevolo. Se la pubblico soltanto quando è più lunga, genero più ore o giorni di trambusto prima che si organizzino per fixare con un fork. Io avrei chiamato queste due sotto varianti 51% attack e 101% attack. Nel 51% sono un soggetto noto che ha raggiunto la maggioranza dell'hash power pubblico. Nel 101% sono un soggetto che in segreto ha messo su una mining farm che da sola supera l'hash rate di tutti quanti. Ma ovviamente stiamo facendo pura filosofia teorica ;D Cambia il fatto che "vengo attenzionato prima in tempo reale", in teoria, poi in pratica una farm così grossa si noterebbe comunque in anticipo. Ma in una shitcoin POW piccolina con poca potenza di calcolo, questa distinzione avrebbe molto senso perchè la farm potrebbe essere segreta senza problemi.

Quello che ho descritto come SCENARIO 1 non è un attacco finalizzato al double spending (un double spending fatto in questo modo ha probabilità che tende a zero di succedere) ma uno spam attack*, potrei anche farlo con meno del 51% dell'hash power, anche il 20%. In un caso genero il 51% di blocchi vuoti nell'altro il 20%. Creo un costante disservizio minando un po' la credibilità della rete, ma non avverrà mai un double spending.

Forse non l'avevo scritto ma davo per scontato che in questo scenario il miner ostile accetta la blockchain quando ad aggiungere un nuovo blocco sono gli altri 49.

*anzi forse più che spam più simile ad un DOS, non sto riempiendo di dati i blocchi ma sto minando inutili blocchi vuoti

La risposta è in questa tua frase in grassetto, stai descrivendo lo scenario 2:

2)SCENARIO DUE. Il "miner ostile 51%" mette su in segreto una mining farm che da sola supera di poco la potenza di calcolo di tutto il mining presente nel mondo. Inizia a minare a testa bassa una nuova chain segreta in parallelo nella quale inserisce TUTTI i blocchi che sta minando cioè SOLTANTO blocchi ostili. L'obiettivo del miner ostile sarà quello di pubblicare al mondo tale catena ostile quando sarà più lunga dell'altra. Il resto del mondo, ignaro della sua presenza, continua a minare la blockchain pubblica nella quale vengono inseriti SOLTANTO blocchi onesti. Qui i tempi sono di poco meno di 10 min per il miner ostile e di 10 min esatti per il resto del mondo, non c'è stato aggiustamento di difficoltà perchè il miner ostile non contribuisce all'hash rate pubblico.

Ma nella sotto variante in cui per qualche motivo ti palesi al mondo di blocco in blocco, per coincidenza si presta bene questo pezzo di risposta che ho appena dato a @arulbero:

Se ci atteniamo alla definizione rigorosa di che cos'è un "attacco 51% double spending", esiste soltanto uno scenario, quello in cui mino a testa bassa una chain alternativa sapendo che a tendere, dopo un tempo ragionevolmente lungo, la mia probabilità di avere una catena più lunga tende a 1. Poi, che io la tenga segreta o la palesi di blocco in blocco sono due sotto varianti, c'è da dire che se paleso la mia esistenza c'è il rischio che gli altri nodi si organizzino in anticipo per tempo per cambiare il consenso escludendomi dato che sono fortemente sospettato di essere malevolo. Se la pubblico soltanto quando è più lunga, genero più ore o giorni di trambusto prima che si organizzino per fixare con un fork. Io avrei chiamato queste due sotto varianti 51% attack e 101% attack. Nel 51% sono un soggetto noto che ha raggiunto la maggioranza dell'hash power pubblico. Nel 101% sono un soggetto che in segreto ha messo su una mining farm che da sola supera l'hash rate di tutti quanti. Ma ovviamente stiamo facendo pura filosofia teorica  ;D Cambia il fatto che "vengo attenzionato prima in tempo reale", in teoria, poi in pratica una farm così grossa si noterebbe comunque in anticipo. Ma in una shitcoin POW piccolina con poca potenza di calcolo, questa distinzione avrebbe molto senso perchè la farm potrebbe essere segreta senza problemi.



Ora facciamo un passo indietro, stavamo parlando di questo:


Ora a scanso di equivoci, quella mia citazione "Quindi la probabilità che il prossimo blocco sarà ostile è p=0.51. In percentuale 51%." si riferiva allo scenario 1, quello che come fa notare @arulbero non è un vero attacco double spending ma un semplice spam attack (anzi forse più che spam più simile ad un DOS, non sto riempiendo di dati i blocchi ma sto minando inutili blocchi vuoti):

1) SCENARIO UNO. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va subito in append alla unica blockchain esistente nel mondo. Anche quando i "miner onesti 49" trovano un blocco ovviamente anche questo blocco va in append alla unica blockchain. Dato che il miner ostile è pubblico troverà un blocco in poco meno di 20 minuti e gli altri in poco più di 20, perchè il coefficiente di difficoltà è aggiustato sulla presenza di tutti quanti.

Forse non l'avevo scritto ma davo per scontato che in questo scenario il miner ostile accetta la blockchain quando ad aggiungere un nuovo blocco sono gli altri 49.

L'attaccante potrebbe invece benissimo non accettare quei blocchi.

Se parli di un spam attack ovvero di pubblicare sempre solo blocchi vuoti, con il 51% l'attaccante sarebbe di fatto quasi sempre in vantaggio:

esempio:
ora siamo al blocco 100,
l'attaccante mina 101a e 102a,
quindi la rete mina il 103r,
l'attaccante ignora il 103r e continua a lavorare per produrre il 103a, quindi il 104a
e così via.

Avendo più potenza, l'attaccante sarà sempre in vantaggio, tranne per qualche momento, come nel caso del blocco 103r, ma quel blocco verrà scartato in seguito tramite reorganizzazione della parte finale della catena.

In questo senso avere il 51% di potenza permette all'attaccante di assumere il ruolo della rete, ovvero di decidere tutti i blocchi.

Con una differenza sostanziale: la rete non discrimina nessun blocco, mentre l'attaccante deciderebbe quali blocchi tenere (i suoi) e quelli sui quali non lavorare, ovvero da scartare (quelli del resto della rete).

La mia è solo una domanda da “ignorante”: con l’arrivo dei computer quantistici questo “attacco” avrebbe più probabilità di riuscita oppure cambierebbe poco?

Be certo ma se l'attaccante non decide di accettare i blocchi degli altri, non è più un semplice spam, ma (come facevi notare) ci riconduciamo allo scenario di un vero tentativo di 51% attack in cui l'attaccante mina a testa bassa una chain tutta sua (segreta o pubblica che sia) la quale dopo un tot di tempo sarà più lunga dell'altra con probabilità 1. Qui: https://bitcointalk.org/index.php?topic=5552695.msg65658005#msg65658005 avevo calcolato che in 10gg circa a spanne mi attendo un vantaggio di 3 blocchi.

Il momento in cui avviene il reorg a favore della catena dell'attaccante è proprio quando la sua catena è diventa più lunga.

Ma deve scegliere: faccio un semplice spam attack (quindi accetto i blocchi degli altri quando arrivano prima e ci mino sopra, posso avere anche meno del 51% per creare questo leggero disservizio) oppure ignoro i blocchi degli altri, ma loro ignoreranno i miei fino al momento del reorg (quando si palesa il vero e proprio 51% attack double spending, quando la mia chain sovrascriverà improvvisamente la loro tramite reorg).

La domanda è quanto tempo ci metto ad avere questa chain più lunga, se io con il 51% ci metto mediamente poco meno di 20 minuti e gli altri poco più di 20 minuti, (10 min se ho messo su segretamente un farm) il valore atteso è quando quelle piccole differenze di tempo attese sommate superano la durata media di un blocco per averne quindi almeno uno in più degli altri..

Se ho il 51% ci andrà qualche giorno o settimana, se ho il 60% molto meno..

penso che all'arrivo di un computer quantistico questo sia l'ultimo dei problemi, i computer quantistici sono molto bravi a risolvere problemi matematici complessi mentre il proof of work richeide calcoli sha-256 ripetuti molte volte e quindi sarebbe inutile.

Grazie della spiegazione. Ho chiesto perché so che molti di voi conoscono Bitcoin molto bene, a me più di tanto non entra.

@arulbero
grazie dei vari conteggi ed esempi.
Il discorso del 51% deve essere rapportato anche a livello pratico ad oggi e non al 2008 quando scrisse il WP.
La possibilità che riesca a mantenere questo rapporto di maggioranza rispetto agli altri miners... va da se che è impossibile*
Ergo è sempre da solo contro tutta la rete, e la corsa praticamente è infinita.
Non trovo cosi scontato ne semplice che possa mantenere questo rapporto a lungo e effettivamente riuscire ad effettuare un vero attacco (i conteggi di plutosky credo riassumono benissimo QUANTO servirebbe per avere un 51% ad oggi)

Per quanto possa essere possibile questo attacco (sopratutto inizialmente vista la natura del network praticamente irrisoria rispetto a oggi), il meccanismo di block reward è sempre una lotteria! Purtroppo non condivido questo punto che un miner con il 51% DOMINA la rete.
Al di la che alcuni miners beccano blocchi anche con hardware lillipuziani, potrebbe anche verificarsi la produzione "più rapida" rispetto ai canonici 10 minuti.
Per quanto mini "in segreto" è sempre in gara, è sempre in lotta con gli altri. Teoricamente ogni 10 minuti si inizia da capo....

---

Ai bei tempi di cex.io, quando raggiunsero il 51% (oltre ad avere un po di GHS da loro usavo AWS per minare con istanze gratuite tanto per dare un esempio di quanto fosse ancora easy il mining) era già evidente come nonostante avessero raggiunto questo livello... non era comunque OVVIO che avessero dominato il resto dei blocchi.
Boh è davvero come se ci stessimo preoccupando di un meteorite... si è pieno di meteoriti la fuori (e qualcuno soffre anche di meteorismo).
Oggi questo non lo considererei affatto un problema... (mia opinione personale ovviamente).

*Da un punto di vista teorico è ovvio che è possibile una roba del genere, ma è davvero complicato all'atto pratico, se non letteralmente impossibile tenendo conto anche dell'aumento repentino (e costante) dell'intero network.
https://i.ibb.co/zHt9yCrj/Screenshot-2025-08-07-01-07-56.png (https://ibb.co/JFS6f8K0)
In un anno abbiamo un +50% . Il miner malevolo (o pool che sia) dovrebbe crescere a sua volta dello stesso ritmo...
Se fosse stato possibile fare una cosa del genere, già l'avrebbero fatto. Il tesoretto per chi riuscisse a violare la rete è ENORME...eppure è ancora li da anni...

Innanzitutto ti ringrazio e ringrazio anche tutti gli altri partecipanti a questa discussione, la trovo molto più interessante delle solite sul prezzo e le news varie. Ho appena distribuito merit a tutti i partecipanti a questa discussione per ringraziarvi della partecipazione, ora li ho momentaneamente finiti  ;D

Ovviamente stiamo facendo seghe mentali del tutto teoriche in pratica siamo tutti d'accordo che sia impossibile un 51% attack  ;D

Per me il bello di questa discussione è immaginarsi un esercizio di calcolo delle probabilità e provare a risolvero, certo resta un esercizio fine a se stesso nella pratica si sono impedimenti reali che farebbero subito notare al mondo che c'è una farm segreta (si nota: è grossa, costosa, ha logistica immensa, ecc) e motivi di teoria dei giochi che salverebbero comunque bitcoin (incentivi economici a essere miner onesti ecc).


Sempre restando su un piano puramente teorico posso chiederti maggiori dettagli su cosa intendi con questa parte grassettata:


Se sto minando in segreto, ma anche pubblicamente, a testa bassa una mia chain alternativa ignorando i blocchi degli altri, ogni 10 minuti non ho nessuna sfida probabilistica a testa o croce contro gli altri che ricomincia da capo. Semplicemente ogni 10 minuti circa aggiungo alla mia catena un blocco che mino io, punto e basta. Gli altri aggiungeranno alla loro catena il blocco che minano loro, punto e basta. Però avendo il 51% io, in media, non mino un blocco ogni 10 minuti, ma in poco meno mettiamo ogni 9 minuti e 50 secondi. Non saranno tutti minati in 9 minuti e 50 esatti, alcuni ci metterò di più, altri di meno, ma in media avrò un blocco ogni 9 minuti e 50 secondi. Per gli altri vale lo stesso discorso ma con media 10 minuti esatti. Prendi quei 10 secondi di scarto medio atteso. Se miniamo per qualche giorno in queste condizioni teoriche, la mia chain sommando quei 10 secondi ogni 10 minuti ad un certo punto accumulerà un vantaggio che supererà i 10 minuti, appena il mio vantaggio temporale accumulato supera i 10 minuti circa nella mia catena ci sta un blocco in più degli altri a parità di tempo: ho una catana più lunga con certezza 100%.


Aggiungo anche una considerazione su questo:

Qui penso che entri in gioco la teoria dei giochi, il tesoretto in realtà è un tesoretto effimero. Se cerco di guadagnare da un double spending attack, mino la credibilità del network e i bitcoin che ho minato non valgono più niente..

I computer quantistici non sono adatti ad essere usati come ASIC, quindi lo scenario non cambierebbe.
Grazie all'algoritmo quantistico di Grover (https://en.wikipedia.org/wiki/Grover%27s_algorithm ) un elaboratore quantistico potrebbe essere in grado di ridurre il numero di tentativi in maniera quadratica.
Se non sbaglio, in base alla difficoltà attuale trovare un nonce valido richiede 2^66 tentativi in media per blocco, che in teoria potrebbe essere ridotto a 2^33 se tutti gli asic fossero quantistici.
Ma questo vantaggio sarebbe poca cosa rispetto alla maggiore complessità e minore parallelizzazione di questi ultimi. Il saldo finale sarebbe nettamente negativo rispetto agli asic classici. Almeno in un futuro prossimo e prevedibile.

ringrazio voi per aver reso la discussione cosi interessante e ricca di particolari, ovviamente si stanno facendo tutte ipotesi e è piu o meno fantascenza (per ora),riguardo questo, in particolare c'è una cosa che non abbiamo tenuto in mente ed è la sfiducia che porterebbe al crollo totale del prezzo e quindi un ipotetico valore andrebbe a farsi fottere

@Wrib
Ogni 10 minuti (in media) viene trovato un nuovo blocco.
Il miner malevolo deve essere quindi in grado di vincere la lotteria più e più volte per poter effettuare la sua operazione in un tempo brevissimo.
Ogni 10 minuti è come se inizia tutto da 0 ed il suo vantaggio è del 51%. Ma come nel gambling, un evento che si verifica nel 51% non è che abbia un pattern perfetto parallelo +1 (!) per chi ha il 51%.
Ok, sul lungo termine questa proporzione rimane immutata vedremo questo fenomeno (percentuale 51 vs 49)
Nella pratica non è così visto che altri soggetti continuano ad aggiungere potenza di calcolo (in poco tempo abbiamo avuto un rialzo del 50%....)
Nel breve o brevissimo potrebbe anche minare molti meno blocchi proprio perche è un processo di assegnazione casuale.
Se il mining fosse stato un processo esclusivamente "capitalistico" sarebbe una shitcoin stile masternode dove con il staking la reward è assegnata in maniera standard e dove praticamente i protocolli possono essere definiti centralizzati visto che questi "validatori" costituisconola maggioranza praticamente assoluta. In questo modo hanno talmente "peso" da poter veramente decidere cosa processare e cosa no ... Un disastro per Bitcoin e anche un sistema non più "democratico".
Teoricamente puoi risolvere un blocco con "carta e penna"... Chiunque può trovare un blocco (seppur in proporzione sempre più "difficile") anche con un hardware minimale.

Il fatto è che continui a rispondermi mixando condizioni reali della pratica come "Ok, sul lungo termine questa proporzione rimane immutata vedremo questo fenomeno (percentuale 51 vs 49)" mentre tra le condizoni dell'esercizio puramente teorico si assume che il miner segreto sia in grado di mantenere il vantaggio 51 vs 49 nel tempo, anche potenziando la propria farm se dovesse crescere la potenza esterna. Che nella pratica sia impossibile o quasi siamo già tutti d'accordo.

Restando quindi sul piano puramente teorico, la lotteria su chi indovina il prossimo blocco c'è soltanto quando il miner che ha il 51% aggiunge i suoi blocchi alla blockchain pubblica condivisa con tutti gli altri 49. Nessuno ha la certezza di chi minerà il prossimo blocco, ogni nuovo blocco è un nuovo lancio di una monetina leggermente sbilanciata verso un lato.

Invece quando il miner mina una catena sua (con tutte le assunzioni puramente teoriche del caso come il fatto che resti sempre sopra al 51% di hash power) lui si prende tutto il tempo che vuole a minare il suo prossimo blocco e lo aggiunge alla sua catena segreta. Qui la "gara" non è a chi mina per primo il prossimo blocco, perchè ci sono due catene separate che vanno per due strade diverse. Tra il miner ostile e il resto della rete non esiste proprio il concetto di "prossimo blocco", sono due universi separati. Seperati fino a quando il miner ostile pubblica la sua sequenza se è diventata più lunga di quella degli altri.

La "gara", o la domanda, è: dopo quanto tempo la catena del miner 51% avrà più blocchi dell'altra?

Non so cosa si intende per "brevissimo". Ho fatto fare i conti all'intelligenza artificiale: se l'attaccante ha il 51% dell'hash rate, dopo soli 100 blocchi (cioè 16 ore) ha circa il 73% di probabilità di avere una catena più lunga di quella del resto della rete.
Se l'attaccante invece di avere solo il 51% dell'hash rate avesse il 55% dell'hash rate, già dopo soli 100 blocchi avrebbe l'85% di probabilità di costruire una catena più lunga di quella del resto della rete. La probabilità di successo dell'attacco sale al 99% dopo 100 blocchi con il 60% dell'hash rate a disposizione.

Il penultimo capitolo del white paper di Satoshi, il numero 11, contiene anche un codice in C per effettuare questo calcolo.

@Wrib
Vado a memoria... I miner aggiungono blocchi alla catena più lunga. Ricordo che in passato si sono verificati dei casi di reorg massivi (gente che minava su catene orfane)...

L'assunto che riesca a mantenere il 51% per quanto lo possiamo fare passare come valido non garantisce nulla.
Potrebbe non beccare nemmeno un blocco a prescindere perché il sistema è sempre casuale.. potenzialmente questo può verificarsi anche con percentuali maggiori.
Ora, capisco l'esercizio ma bisogna tenere conto di alcuni fattori "real world" che sono imprescindibili per il mining
Anche se avesse a lungo termine questo vantaggio ipotetico non sarebbe mai un vantaggio "100% vinco io con il 51%".
Questo aspetto del miner segreto non ha senso.
La catena scelta è sempre la più lunga.
Non avrebbe mai la certezza di essere più veloce degli altri ( @bitcoiner180 parlo di brevissimo tempo proprio per questo... Quanto tempo può rischiare senza mandare blocchi? )
Ovvero...ok vince il primo blocco , ma quanti ne può vincere di fila considerato che ha solo un vantaggio irrisorio ed il premio del blocco viene assegnato comunque in maniera casuale?
Parliamo sempre di probabilità in una gara che riparte da 0. Con premi assegnati casualmente ... Non ha quella probabilità ndel 75% perché lassgnazione è casuale...
Sarebbe quella se realmente ogni xxx blocchi è certo di beccare quel numero ... Se ci pensi non è possibile perché il processo è casuale!
Potrebbe magari partire con il piede giusto e poi farsi superare durante questa gara...o semplicemente altri miner producono più veloce di lui.
Il discorso di probabilità (mio modestissimo parere) viene annullato nel momento il reward è casuale... Se fosse stato fisso assolutamente i conteggi della AI erano corretti.

Consideriamo questo grassetto, accettiamo intanto come valido l'assunto che il miner ostile abbia e avrà sempre da oggi in poi il 51% (o più) dell'hash power. Questo assunto dobbiamo considerarlo valido altrimenti l'esercizio teorico si chiude già qui prima di affrontarlo  ;D.

Prendiamo per vera questa assunzione e concentriamoci sulla seconda parte del grassetto che riporta "Potrebbe non beccare nemmeno un blocco a prescindere perché il sistema è sempre casuale.".

Per favore segui il mio ragionamento.

Il miner con il 51% dell'hash power può operare in tre modi:

1)si comporta in modo del tutto onesto, aggiunge ai suoi blocchi le transazioni che legge dalla mempool, quando e se mina per primo un nuovo blocco lo propaga al resto della rete, quando lo minano prima gli altri accetta il blocco degli altri

2)si comporta in modo "semi onesto", invece di prendere le transazioni dalla mempool senza discriminazioni ne esclude alcune a piacere (censura) oppure mina direttamente blocchi vuoi (disservizio). Come nel punto 1 quando e se mina per primo un nuovo blocco lo propaga al resto della rete, quando lo minano prima gli altri accetta il blocco degli altri. Qui il miner non genererà mai un 51% double spending, ci saranno come sempre i soliti reorg di pochi blocchi che già capitano quando due miner trovano un blocco quasi in contemporanea rispetto ai tempi di propagazione dello stesso. Romperà soltanto un po' le balle alla rete, per esempio alcuni blocchi per colpa sua saranno vuoti e chi vuole transare richia di aspettare di più.

In questi due casi 1 e 2, vale il tuo ragionamento "che ogni nuovo blocco è una nuova scomessa", qui sì che non si sa con certezza chi minerà il prossimo blocco. Nonostante il vantaggio probabilistico per il miner 51 potrebbero tranquillamente capitare sequenze di diversi blocchi minati tutti dai miner 49.


Io mi riferisco ad uno scenario diverso (in cui può essere segreto o meno):

3)il miner 51, NON è segreto, smette di compotarsi onestamente, inizia da un certo blocco in poi (che può essere quello attuale o un blocco nel passato) a minarci sopra una nuova sequenza di blocchi. Non deve vincere nessuna gara ad ogni blocco. Dato l'attuale livello di difficoltà ci metterà poco meno di 20 minuti (in media) ad aggiungere un nuovo blocco alla sua sequenza. Certo a volte ci metterà 15 minuti a volte 25, a volte 18 e a volte 22 ecc ma in media, produrrà un nuovo blocco dato il coefficiente attuale di difficoltà ogni 19 minuti e 50 secondi.
Nel frattempo il resto della rete sta aggiungendo alla sua catena un blocco mediamente ogni 20 minuti e 10 secondi. Il coefficiente di diff era stato calcolato sulla presenza sia del miner 51 che dei miner 49, quindi con la presenza di tutti si minava un blocco in media ogni 10 min, staccandosi dalla rete e minando da solo una catena alternativa ci mette circa 20 minuti (poco meno) e gli altri a continuare sulla catena pubblica ci mettono circa 20 minuti (poco più).
Sono due corridori, uno corre ad un blocco ogni 19 minuti e 50 secondi, uno corre ad un blocco ogni 20 minuti e 10 secondi. Al di là di momentanei su e giù statistici (i miner 49 potrebbero tranquillamente partire in vantaggio nei primi metri) dopo un po' che corrono sarà in testa il miner che corre mediamente più veloce. Dopo un po' di tempo avranno minato gli stessi blocchi ma il miner 51 ci avrà messo meno tempo. Dopo ancora un po' di tempo il miner 51 avrà addirittura minato più blocchi dei miner 49.

4)il miner 51, SEGRETO è una variante al punto 3 dove invece che 20 min circa si ragiona su 10 minuti circa, perchè se metto su segretamente una mega mining farm, sto superano tutta la potenza di tutti gli altri sulla quale è calcolato il coefficiente di difficoltà.

Mi piace il tuo esempio.  8)
Riprendo dal "minare blocchi del passato"...

Anche se dovesse minare 1 solo blocco indietro, in 10 minuti deve produrre 2 blocchi...e dobbiamo aggiungere che per non essere "superato" deve anche produrre un terzo blocco!  
La catena precedente ha il vantaggio di partire già da un blocco in più, il miner malevolo deve fare "il doppio, se non il triplo" del lavoro per essere sicuro di vincere questa corsa.
Il 51% NON ti da affatto alcuna certezza ne di poter essere competitivo ne di poter raggiungere questo vantaggio ANZI.

Al di la della possibilità matematica, in termini di probabilità, ci guadagna molto di piu a rimanere oneste e minare il suo blocco insieme alla rete.
NON può dominare il network proprio perchè è dinamico nelle sue dimensioni e la reward è casuale!
Se non consideriamo questi due fattori come BASI di questa discussione, non stiamo parlando di btc ma di una altra roba.

Figurati lo stesso per andare ancora più indietro o produrre più blocchi... con un misero 51% deve produrre 3 blocchi in 10 minuti? ;D
Non è corretto il conteggio dei minuti. Non vi può essere una media esatta o ponderata! E' un errore di fondo!
Sarebbe corretto in un sistema "chiuso" immutabile ma non con la rete che conosciamo.
E' questo il bello ed il punto stesso di questa discussione. Per quanto hai la maggioranza NON hai la certezza di vincita!

Immagina uno scenario in cui lancia questo attacco, mina in segreto e per assurdo non becca nessun blocco per ore e ore.
E' possibilissimo che anche per un'ora l'intero network non riesce a risolvere il blocco (100%) figuriamoci lui con il 51%!

E' assolutamente possibile anzi è proprio questo il punto che rende ancora piu inutile anche il semplice tentativo.
Comunque grazie della discussione... trovo davvero affascinanti questi aspetti della rete perchè introducono davvero delle innovazioni e dei concetti che finora non abbiamo mai osservato in precedenza, ed è anche questo che permette alla rete di btc di essere realmente decentralizzata.
La decentralizzazione (quella vera, sangue e ossa) è SOLO con bitcoin. Tutto il resto è sempre un premine- centralizzato...

(restiamo sempre nelle condizioni dell'esercizio teorico dove il miner 51 avrà sempre almeno il 51 )

Il punto è che non deve andare al doppio della velocità degli altri, se ha tempo sufficiente per aspettare, prima o poi avrà una catena più lunga, anche se è di poco più veloce degli altri. Certo se fosse veloce il doppio degli altri (66% hash power vs 33% hash power) il sorpasso avverrebbe prima.

E' come due tir in autostrada che si sorpassano, uno va agli 80Km/h, l'altro a 81Km/h. Prima o poi il sorpasso ha termine (nel frattempo se ci sono solo due corsie gli automobilisti dietro hanno bestemmiato tutti i santi  ;D).



Certo è normale, ma non cambia nulla.

Il tir che va agli 80Km/h ogni tanto ha degli affanni e momentaneamente rallenta a 40km/h e ogni tanto ha dei colpi di fortuna e viaggia a 120km/h. Stessa cosa per il tir che va a 81km/h. Hanno entrambi ogni tanto dei significativi scostamenti dalla loro media, ma se la media di uno dei due è più alta, alla lunga percorre più strada.

@Wirb
il processo di assegnazione della reward quando trovi il blocco resta casuale!
non permette di fare alcunchè perchè questo vantaggio è irrisorio per poter fare qualsiasi forma di attacco. Anche con questo vantaggio può comunque minare meno blocchi. Potenzilamente può solo minare 51% dei blocchi ma nulla che permette realmente di sovrascrivere blocchi precedenit o eccedenti (ripeto come fa a minare 2-3 volte più veloce - 100% o 200% con... 1%! ..... credo sia ovvio che non ha potenza per fare alcunchè nonostante queste condizioni rimangono invariate).

Anche se aspetta non conclude NIENTE. E' da solo in lotta contro la rete. Il mio esempio di blocchi non trovati per ore non è cosi raro (e coinvolge il 100% della rete) . Il miner malevolo non è immune anzi ha solo la metà di questa potenza di calcolo!

Questi esempi su "conteggi" standard o fissi NON valgono con il mining perchè la reward è casuale!

Guarda questa immagina:

https://bitpanda-academy.imgix.net/nulla5461c3f-fc0f-4212-a48b-e95169575eb6/bitpanda-academy-intermediate-20-51-attack-infographic.png?auto=compress%2Cformat&fit=min&fm=jpg&q=80&w=1200

Le due catene, quella blu e quella rossa, crescono ciascuna con una certa velocità.

A parità di coefficiente di difficoltà, chi ha più hash power fa crescere più velocemente la sua catena.

La rete benevola sta minando il 100% dei blocchi blu, il miner ostile sta minando il 100% dei blocchi rossi. Non c'è nessuna gara probabilistica tra blu e rossi.

Semplicemente se l'attaccante "rosso" ha più hash power dei "blu" la catena rossa crescerà più velocemente. Quando la catena rossa avrà un blocco in più di quella blu, se la propagherà agli altri, tutti adotteranno quella blu.

@Wrib
No. Non è certo al 101% che un miner con il 51% possa minare più veloce del 49% .
La reward del blocco è casuale! È vero che ha una sorta di vantaggio come potenza di calcolo ma il meccanismo che da la reward è casuale altrimenti il mining sarebbe semplicemente un processo centralizzato.
Quando si fanno i conti su profittabilità degli hardware etc etc si parla sempre di stima non di certezza di riuscita

non è ot ma perdonatemi, volevo complimentarmi perchè dalla vostra discussione sto imparando tantissimo,grzie wrib e grazie bitbollo

Non è certo su un singolo blocco o su una sequenza piccola di blocchi. Su una sequenza molto grande di blocchi (da qui il punto: basta che l'attaccante abbia pazienza) invece tende a 1 la probabilità che il miner 51 ci metta meno tempo a minare lo stesso numero di blocchi.

Se così non fosse non funzionerebbe tutto il meccanismo di aggiustamento della difficoltà per avere un nuovo blocco in media ogni 10 min.

Con un certo hash rate complessivo, serve una certa difficoltà per avere mediamente un blocco ogni 10 minuti. --- IMPLICA --> Se costruisco una farm che supera tale hash rate, con la stessa difficoltà, mediamente la mia catena alternativà avrà un blocco in meno di 10 minuti.



Non è la reward del blocco ad essere casuale, la reward è fissa per ogni era, 50 bitcoin a blocco, 25 bitcoin a blocco, ecc 3,125 bitcoin a blocco + l'ammontare delle fees delle transazioni incluse nel tale blocco. Per favore usiamo una terminologia corretta.

Ad essere incerto è il fatto che sarò io o meno a validare per primo il prossimo blocco, ma qui parliamo di catena condivisa. Nel 51% attack io ho certezza 100% di minare il prossimo blocco DELLA MIA CATENA ALTERNATIVA, quello che è incerto è se la mia catena alternativa crescerà, come numero di blocchi nell'unità di tempo, più velocemente della catena degli altri. Ma più tempo passa in queste condizioni (io ho più dell'hash power di tutti gli altri) più la probabilità che la mia catena sia più lunga tende a 1.

... NO ! ;D Ennesimo esempio già fatto, ma lo ripeto sperando sia più di impatto ::)
Compri il 51% delle combinazioni super enalotto ad ogni estrazione. Sei sicuro che alla lunga vincerai tu più estrazioni rispetto ad altri?
Puoi anche vincerne 0. STOP. La reward è casuale! Se non introduci questi elementi che sono IMPRESCINDIBILI non ne usciamo più, sto ripetendo le stesse identiche cose da 4 pagine di topic! ;D

Non credo possa essere una condizione minimamente realistica.... che ne so magari su un pianeta lontano stanno minando una catena alternativa e tra 100 anni ce la spiettelleranno dicendo "eh avete usato un fork"... ma non ha senso... è davvero parlare di Ultra - Fantascienza ;D

Si intende dire che chi vince la lotteria = processo di mining viene indicato in maniera CASUALE. Cosa centra la reward della coinbase?  ??? :'(
Scusami la lezione su cosa è una block reward me la potresti risparmiare forse sei tu che non hai afferrato questi concetti e non dovresti "spiegarmeli" .
No permettimi non mi parlare di "terminologia corretta"... sono 4 pagine che ti sto dando retta ripetendo sempre le stesse cose.
TI ringrazio e  buona serata. Ciao!

Ma il miner ostile NON STA COMPRANDO, per ogni nuovo blocco, il 51% dei biglietti di una lotteria la cui vincita è aver minato per primi il prossimo blocco  :D. Se lo facesse non sarebbe ostile, starebbe minando assieme agli altri.

Il miner ostile sta minando una catena alternativa, essendoci soltanto lui a minarla, ogni blocco di tale catena è aggiunto da lui.

Ogni nuovo blocco che il miner ostile aggiunge alla sua catena viene minato in un tempo medio di 9 minuti e 50 secondi. Immagina una gaussiana di distribuzione di tempi attesi per ogni nuovo blocco centrata su 9 minuti e 50.

Ogni nuovo blocco che la rete normale aggiunge alla catena pubblica viene minato in un tempo medio di 10 minuti. Immagina una gaussiana di distribuzione di tempi attesi per ogni nuovo blocco centrata su 10 minuti.


E' ovvio che è una condizione irrealistica, convengo anch'io, e lo stiamo dicendo tutti assieme da 4 pagine. Ti invito per l'ennesima volta ad assumere che sia invece una condizione del puro esercizio teorico. E' su quell'esercizio teorico su cui sto ragionando.