attacco al 51%

[Plutosky]

Per un attacco del 51% servirebbero circa 1.5 milioni di Antminer S21 (ammesso che esistano e che Bitmain sia in grado di produrli  ) al costo di 2.500$ l'uno, significa che solo l'hardware costerebbe quasi 4 miliardi di $ 

Visto che ognuno di questi affari consuma 17 joule/Th ossia 3.4 kw, l'attacco avrebbe bisogno di 5.1 GW

Quindi andrebbe dislocato in varie zone geografiche considerando che una centrale nucleare di medie dimensioni da sola non basterebbe a garantire quella energia.

I costi energetici, a diciamo 0.1 $/kw, sarebbero di circa 12 milioni il giorno. Per 90 giorni un altro miliarduccio di dollari

Poi tutto il resto, che è la parte più difficile: capannoni, logistica, manodopera, permessi,  pratiche normative, raffreddamento, monitoraggio, riparazioni...e molto altro

Tra l'altro le forniture di ASIC, la logistica, gli stabilimenti e i consumi non potrebbero passare inosservati...altro segnale che il mining occulto al giorno d'oggi è di fatto impossibile.

Diciamo che per un attacco di qualche mese e creare un pò di confusione (facilmente risolvibile) nella rete Bitcoin uno dovrebbe gettare nel fuoco 6-7 miliardi di dollari.

L'unico che potrebbe farlo è uno Stato di grossissime dimensioni che però avrebbe infinita più convenienza a metterlo fuori legge, se proprio gli volesse male.

Come reagirebbe poi l'opinione pubblica nel sapere che diversi miliardi di denaro pubblico vengono sperperati per questo utilissimo scopo?

Ragazzi vabbene che è agosto....
 

[bitbollo]

Anche se fosse possibile raggiungere questa potenza di calcolo (che dovrebbe essere costantemente aggiornata per garantirsi il 51%), non riuscirebbe ad essere sicuro di controllare la rete proprio grazie al sistema di reward casuale quando viene trovato un nuovo blocco. Ha senso investire tutte queste risorse in qualcosa che alla fine... praticamente non porterà a nulla?
E' un'ottima discussione "teorica" o "filosofica". Vista però da un punto di vista pratico non ha alcun senso... al massimo il senso che ci trovo è la resilienza di un sistema come bitcoin. "honey badger doesn't care!"

[bitcoiner180]

Quindi la probabilità che il prossimo blocco sarà ostile è p=0.51. In percentuale 51%.

No state sbagliando. La probabilità che il prossimo blocco sarà ostile è del 100% perché il minatore ostile se ne infischia che la rete onesta ha eventualmente minato un blocco per prima, se ne infischia che la rete onesta ha vinto alla lotteria, lui continua imperterrito a cercare di vincere alla lotteria già vinta dalla rete onesta e a minare il prossimo blocco in sostituzione di quello onesto con l'obiettivo di creare un fork.

Il minatore disonesto impiegherà poco meno di 20 minuti in media per minare il prossimo blocco, la rete onesta invece impiegherà poco più di 20 minuti in media. Nel breve termine si verrà a creare un fork formato da 2 o più catene, una del minatore disonesto e una o più altre della rete onesta. Dato che il minatore disonesto ha un hash rate superiore a quello della rete onesta, riuscirebbe nel lungo termine a mantenere il fork più lungo di quello della rete onesta. Questo anche se la rete onesta fosse capace di cooperare al meglio mantenendo solo una catena concorrente a quella disonesta.

[arulbero]

No. Anche se hai il 51% non hai il controllo automatico di tutta la rete a vita! Bitcoin sarebbe già bello che morto e sepolto da illo tempore.
Ti suggerisco di approfondire quel link e la storia della pool che ti ho linkato.

.....
ho letto la tua risposta e ti invito a guardare questo video https://www.youtube.com/watch?v=kpxBSohNr5Y dove viene spiegato nel dettaglio perchè un attacco al 51% non è affatto una cosa cosi scontata o plausibile abbia successo.

Ho guardato il video e riletto pag.6,7,8 del paper di satoshi https://bitcoin.org/bitcoin.pdf.

Minare una catena alternativa (in segreto) con il 51% di hash power porta l'attaccante con probabilità 1 (100%) a recuperare z blocchi di ritardo rispetto alla catena principale (z blocchi di ritardo, nel caso voglia fare doppia spesa annullando una propria transazione di z blocchi fa).

Lo scrive esplicitamente Nakamoto: probabilità che l'attaccante recuperi z blocchi = 1 (se ha la maggioranza di hash power)

Lo dà talmente per scontato che tutta la sua analisi si concentra invece su cosa succederebbe a un attaccante che ha probabilità q di trovare un blocco minore di p, minore ovvero della probabilità che ha la rete degli onesti di trovare un blocco:  in quel caso effettivamente le probabilità si riducono in modo esponenziale: la probabilità di recuperare z blocchi di ritardo è (q/p)^z, ed essendo q < p, tende a zero al crescere di z.

Il video si riferisce a questo caso, al caso in cui la potenza dell'attaccante sia minore di quella del resto della rete, esattamente come fa Nakamoto nel suo paper.
Nakamoto calcola ad esempio che con il 10% di potenza, un attaccante avrebbe solo 1 possibilità su 1000 di recuperare 5 blocchi di svantaggio, da qui la regola di aspettare 5-6 blocchi per avere la conferma definitiva di una transazione (in quanto anche un attaccante molto forte con ben il 10% di hash power avrebbe scarse probabilità di effettuare una double spending).

L'attacco del 51% è anche intuitivo, se ho maggiore potenza di calcolo rispetto a te, in 1 giorno può succedere che tu mini più blocchi di me, in 1 settimana o in 1 mese no ('sostanzialmente' no). E più il tempo si allunga meno è probabile che la rete possa difendersi da un attaccante più forte di lei. Non devo minare tutti i singoli blocchi più velocemente di te, basta che il tempo complessivo sia minore (e quindi che riesca a minare più blocchi nel tuo stesso tempo, certificando con la catena più lunga la mia maggiore potenza computazionale).

Questo è almeno il discorso legato alla mera probabilità.

[Wrib]

Quindi la probabilità che il prossimo blocco sarà ostile è p=0.51. In percentuale 51%.

No state sbagliando. La probabilità che il prossimo blocco sarà ostile è del 100% perché il minatore ostile se ne infischia che la rete onesta ha eventualmente minato un blocco per prima, se ne infischia che la rete onesta ha vinto alla lotteria, lui continua imperterrito a cercare di vincere alla lotteria già vinta dalla rete onesta e a minare il prossimo blocco in sostituzione di quello onesto con l'obiettivo di creare un fork.

Il minatore disonesto impiegherà poco meno di 20 minuti in media per minare il prossimo blocco, la rete onesta invece impiegherà poco più di 20 minuti in media. Nel breve termine si verrà a creare un fork formato da 2 o più catene, una del minatore disonesto e una o più altre della rete onesta. Dato che il minatore disonesto ha un hash rate superiore a quello della rete onesta, riuscirebbe nel lungo termine a mantenere il fork più lungo di quello della rete onesta. Questo anche se la rete onesta fosse capace di cooperare al meglio mantenendo solo una catena concorrente a quella disonesta.

Cerchiamo prima di capire se stiamo parlando della stessa cosa. Nel mio post che hai citato con tutti i calcoli delle probabilità analizzavo due scenari diversi. Prima di fare altri ragionamenti vorrei quindi essere sicuro che stiamo parlando dello stesso scenario. Gli scenari di cui parlavo sono:

1) SCENARIO UNO. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va subito in append alla unica blockchain esistente nel mondo. Anche quando i "miner onesti 49" trovano un blocco ovviamente anche questo blocco va in append alla unica blockchain. Dato che il miner ostile è pubblico troverà un blocco in poco meno di 20 minuti e gli altri in poco più di 20, perchè il coefficiente di difficoltà è aggiustato sulla presenza di tutti quanti.

2)SCENARIO DUE. Il "miner ostile 51%" mette su in segreto una mining farm che da sola supera di poco la potenza di calcolo di tutto il mining presente nel mondo. Inizia a minare a testa bassa una nuova chain segreta in parallelo nella quale inserisce TUTTI i blocchi che sta minando cioè SOLTANTO blocchi ostili. L'obiettivo del miner ostile sarà quello di pubblicare al mondo tale catena ostile quando sarà più lunga dell'altra. Il resto del mondo, ignaro della sua presenza, contiuna a minare la blockchain pubblica nella quale vengono inseriti SOLTANTO blocchi onesti. Qui i tempi sono di poco meno di 10 min per il miner ostile e di 10 min esatti per il resto del mondo, non c'è stato aggiustamento di difficoltà perchè il miner ostile non contribuisce all'hash rate pubblico.

Ora, a scanso di equivoci, senza entrare nel merito di cosa succede nei due casi, ti chiedo, stiamo parlando degli stessi scenari? La tua obiezione appena quotata, si riferisce esattamente ad uno di questi due o ad un terzo scenario ancora diverso (nel caso descrivimelo) ?

[Wrib]

Ho guardato il video e riletto pag.6,7,8 del paper di satoshi https://bitcoin.org/bitcoin.pdf.

Minare una catena alternativa (in segreto) con il 51% di hash power porta l'attaccante con probabilità 1 (100%) a recuperare z blocchi di ritardo rispetto alla catena principale (z blocchi di ritardo, nel caso voglia fare doppia spesa annullando una propria transazione di z blocchi fa).

Lo scrive esplicitamente Nakamoto: probabilità che l'attaccante recuperi z blocchi = 1 (se ha la maggioranza di hash power)

Lo dà talmente per scontato che tutta la sua analisi si concentra invece su cosa succederebbe a un attaccante che ha probabilità q di trovare un blocco minore di p, minore ovvero della probabilità che ha la rete degli onesti di trovare un blocco:  in quel caso effettivamente le probabilità si riducono in modo esponenziale: la probabilità di recuperare z blocchi di ritardo è (q/p)^z, ed essendo q < p, tende a zero al crescere di z.

Il video si riferisce a questo caso, al caso in cui la potenza dell'attaccante sia minore di quella del resto della rete, esattamente come fa Nakamoto nel suo paper.
Nakamoto calcola ad esempio che con il 10% di potenza, un attaccante avrebbe solo 1 possibilità su 1000 di recuperare 5 blocchi di svantaggio, da qui la regola di aspettare 5-6 blocchi per avere la conferma definitiva di una transazione (in quanto anche un attaccante molto forte con ben il 10% di hash power avrebbe scarse probabilità di effettuare una double spending).

L'attacco del 51% è anche intuitivo, se ho maggiore potenza di calcolo rispetto a te, in 1 giorno può succedere che tu mini più blocchi di me, in 1 settimana o in 1 mese no ('sostanzialmente' no). E più il tempo si allunga meno è probabile che la rete possa difendersi da un attaccante più forte di lei. Non devo minare tutti i singoli blocchi più velocemente di te, basta che il tempo complessivo sia minore (e quindi che riesca a minare più blocchi nel tuo stesso tempo, certificando con la catena più lunga la mia maggiore potenza computazionale).

Questo è almeno il discorso legato alla mera probabilità.

E' quello che sto cercando di dire da diversi post, sempre restando nel campo di teorici esercizi di calcolo di probabilità e trascurando la teoria dei giochi che nella pratica di fatto salva sempre bitcoin, bisogna distinguere queste due situazioni, il cui "esercizio di calcolo delle probabilità associato" è estremante diverso.

situazione 1: ho il 51% e mino blocchi ostili in segreto aspettando di avere a tendere una catena più lunga da pubblicare solo in quel momento
situazione 2: ho il 51% e mino blocchi ostili pubblicandoli fin da subito

(sempre che non saltino fuori altri scenari che non ho considerato ovviamente)

[arulbero]

Cerchiamo prima di capire se stiamo parlando della stessa cosa. Nel mio post che hai citato con tutti i calcoli delle probabilità analizzavo due scenari diversi. Prima di fare altri ragionamenti vorrei quindi essere sicuro che stiamo parlando dello stesso scenario. Gli scenari di cui parlavo sono:

1) SCENARIO UNO. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va subito in append alla unica blockchain esistente nel mondo. Anche quando i "miner onesti 49" trovano un blocco ovviamente anche questo blocco va in append alla unica blockchain. Dato che il miner ostile è pubblico troverà un blocco in poco meno di 20 minuti e gli altri in poco più di 20, perchè il coefficiente di difficoltà è aggiustato sulla presenza di tutti quanti.

2)SCENARIO DUE. Il "miner ostile 51%" mette su in segreto una mining farm che da sola supera di poco la potenza di calcolo di tutto il mining presente nel mondo. Inizia a minare a testa bassa una nuova chain segreta in parallelo nella quale inserisce TUTTI i blocchi che sta minando cioè SOLTANTO blocchi ostili. L'obiettivo del miner ostile sarà quello di pubblicare al mondo tale catena ostile quando sarà più lunga dell'altra. Il resto del mondo, ignaro della sua presenza, continua a minare la blockchain pubblica nella quale vengono inseriti SOLTANTO blocchi onesti. Qui i tempi sono di poco meno di 10 min per il miner ostile e di 10 min esatti per il resto del mondo, non c'è stato aggiustamento di difficoltà perchè il miner ostile non contribuisce all'hash rate pubblico.

Ora, a scanso di equivoci, senza entrare nel merito di cosa succede nei due casi, ti chiedo, stiamo parlando degli stessi scenari? La tua obiezione appena quotata, si riferisce esattamente ad uno di questi due o ad un terzo scenario ancora diverso (nel caso descrivimelo) ?

Esiste in realtà un solo scenario, e cercherò di spiegare perchè.

Iniziamo dallo scenario 2 (ma con una piccola aggiunta, il ritardo di partenza dell'attaccante rispetto al resto della rete che si quantifica in z blocchi).

Se ho più del 50% di power hash, posso minare di nascosto una catena tutta mia, e pubblicarla quando più mi fa comodo. In questo modo posso modificare gli ultimi k blocchi della blockchain, con k > z.

Ricordo in cosa consiste l'obiettivo di un 51% attack: sostituire una transazione già effettuata in passato (z blocchi fa) con un'altra per poter fare double spending.

E' questo l'attacco di cui parla Nakamoto ed è l'unico veramente pericoloso (perchè mette in dubbio il concetto di irreversibilità di tutte le transazione della blockchain).

L'obiettivo dell'attaccante (e il pericolo per il resto della rete) non è mai costruire una catena alternativa della blockchain, ma è sostituire solo l'ultimo pezzo con un altro pezzo, aggiustato. E ha convenienza a farlo solo dopo che il ricevente i bitcoin della tx da annullare ha accettato questo pagamento come definitivo (tempo di attesa che si quantifica in z blocchi). In tal modo l'attaccante potrebbe ricevere il prodotto/servizio acquistato (inviato dopo z blocchi di attesa) e rispendere i bitcoin in una successiva transazione.

Lo scenario 1 equivale al 2 in realtà,
in quanto l'attaccante parte da z blocchi più indietro, quindi genera una catena alternativa e solo lui continua ad aggiungere blocchi a quella catena, finchè non diventa più lunga. Anche se sta pubblicando i suoi blocchi, è solo lui che lavora a quella catena, perchè comunque è indietro rispetto a quella della rete.
Solo quando la catena dell'attaccante raggiunge quella della rete anche gli altri miner inizieranno ad aggiungere altri blocchi alla sua catena, esattamente come accadrebbe nello scenario 2 subito dopo che l'attaccante ha pubblicato l'intero pezzo di catena minato di nascosto.

I 2 scenari quindi sono del tutto equivalenti dal punto di vista del calcolo delle probabilità.

Il dato fondamentale qui è che l'obiettivo dell'attaccante non è creare da un certo punto in poi una catena alternativa minata solo da lui che si prolunghi in modo indefinito (questo non è possibile, e forse questo voleva dire bitbollo) ma il suo obiettivo è solo sostituire un pezzo finito alla parte finale dell'attuale catena e basta, da quel momento in poi la catena viene sviluppata ancora in modo random dal resto della rete ed eventualmente dall'attaccante.

Se non si parte dall'idea però che il 51% attack parte da dietro, dal passato, non dal prossimo blocco della catena attuale, non si possono capire i calcoli di Nakamoto.

[bitcoiner180]

Quindi la probabilità che il prossimo blocco sarà ostile è p=0.51. In percentuale 51%.

No state sbagliando. La probabilità che il prossimo blocco sarà ostile è del 100% perché il minatore ostile se ne infischia che la rete onesta ha eventualmente minato un blocco per prima, se ne infischia che la rete onesta ha vinto alla lotteria, lui continua imperterrito a cercare di vincere alla lotteria già vinta dalla rete onesta e a minare il prossimo blocco in sostituzione di quello onesto con l'obiettivo di creare un fork.

Il minatore disonesto impiegherà poco meno di 20 minuti in media per minare il prossimo blocco, la rete onesta invece impiegherà poco più di 20 minuti in media. Nel breve termine si verrà a creare un fork formato da 2 o più catene, una del minatore disonesto e una o più altre della rete onesta. Dato che il minatore disonesto ha un hash rate superiore a quello della rete onesta, riuscirebbe nel lungo termine a mantenere il fork più lungo di quello della rete onesta. Questo anche se la rete onesta fosse capace di cooperare al meglio mantenendo solo una catena concorrente a quella disonesta.

Cerchiamo prima di capire se stiamo parlando della stessa cosa. Nel mio post che hai citato con tutti i calcoli delle probabilità analizzavo due scenari diversi. Prima di fare altri ragionamenti vorrei quindi essere sicuro che stiamo parlando dello stesso scenario. Gli scenari di cui parlavo sono:

1) SCENARIO UNO. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va subito in append alla unica blockchain esistente nel mondo. Anche quando i "miner onesti 49" trovano un blocco ovviamente anche questo blocco va in append alla unica blockchain. Dato che il miner ostile è pubblico troverà un blocco in poco meno di 20 minuti e gli altri in poco più di 20, perchè il coefficiente di difficoltà è aggiustato sulla presenza di tutti quanti.

2)SCENARIO DUE. Il "miner ostile 51%" mette su in segreto una mining farm che da sola supera di poco la potenza di calcolo di tutto il mining presente nel mondo. Inizia a minare a testa bassa una nuova chain segreta in parallelo nella quale inserisce TUTTI i blocchi che sta minando cioè SOLTANTO blocchi ostili. L'obiettivo del miner ostile sarà quello di pubblicare al mondo tale catena ostile quando sarà più lunga dell'altra. Il resto del mondo, ignaro della sua presenza, contiuna a minare la blockchain pubblica nella quale vengono inseriti SOLTANTO blocchi onesti. Qui i tempi sono di poco meno di 10 min per il miner ostile e di 10 min esatti per il resto del mondo, non c'è stato aggiustamento di difficoltà perchè il miner ostile non contribuisce all'hash rate pubblico.

Ora, a scanso di equivoci, senza entrare nel merito di cosa succede nei due casi, ti chiedo, stiamo parlando degli stessi scenari? La tua obiezione appena quotata, si riferisce esattamente ad uno di questi due o ad un terzo scenario ancora diverso (nel caso descrivimelo) ?

Io parlo invece di un terzo scenario che è un mix tra lo scenario 1 e lo scenario due:

3) SCENARIO TRE. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va in append all'unica blockchain al mondo sostituendo un blocco già esistente generato dalla rete onesta, creando un fork della catena e creando così una blockchain con due rami, come consentito dal protocollo bitcoin.

Nel momento in cui sto scrivendo, l'ultimo blocco della catena è il numero 908855. Nulla vieta a me, miner disonesto, di provare ora a minare nuovamente il blocco numero 908855 inserendo dentro le transazioni che mi piacciono e assegnandomi la coinbase di quel blocco. Se riesco a farlo, il protocollo bitcoin mi da diritto di pubblicare questo secondo blocco 908855 e i nodi di bitcoin sono obbligati a tenere in memoria anche il mio blocco.

In questo scenario la blockchain avrà due blocchi 908855, quello minato da me disonesto e quello minato dal resto della rete. Quale dei due blocchi deve essere considerato ufficiale? Bisogna aspettare e vedere quale dei due fork diventa più lungo. Ovviamente se ho una potenza di calcolo maggiore di tutto il resto della rete il mio fork col tempo tenderà ad essere più lungo.

[arulbero]

Io parlo invece di un terzo scenario che è un mix tra lo scenario 1 e lo scenario due:

3) SCENARIO TRE. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco non va in append all'unica blockchain al mondo sostituendo un blocco già esistente generato dalla rete onesta, creando un fork della catena e creando così una blockchain con due rami, come consentito dal protocollo bitcoin.

Nel momento in cui sto scrivendo, l'ultimo blocco della catena è il numero 908855. Nulla vieta a me, miner disonesto, di provare ora a minare nuovamente il blocco numero 908855 inserendo dentro le transazioni che mi piacciono e assegnandomi la coinbase di quel blocco. Se riesco a farlo, il protocollo bitcoin mi da diritto di pubblicare questo secondo blocco 908855 e i nodi di bitcoin sono obbligati a tenere in memoria anche il mio blocco.

In questo scenario la blockchain avrà due blocchi 908855, quello minato da me disonesto e quello minato dal resto della rete. Quale dei due blocchi deve essere considerato ufficiale? Bisogna aspettare e vedere quale dei due fork diventa più lungo. Ovviamente se ho una potenza di calcolo maggiore di tutto il resto della rete il mio fork col tempo tenderà ad essere più lungo.

Sono la stessa cosa tutti e 3 questi scenari, il risultato è uguale (vedi la mia risposta precedente).

[Wrib]

Cerchiamo prima di capire se stiamo parlando della stessa cosa. Nel mio post che hai citato con tutti i calcoli delle probabilità analizzavo due scenari diversi. Prima di fare altri ragionamenti vorrei quindi essere sicuro che stiamo parlando dello stesso scenario. Gli scenari di cui parlavo sono:

1) SCENARIO UNO. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va subito in append alla unica blockchain esistente nel mondo. Anche quando i "miner onesti 49" trovano un blocco ovviamente anche questo blocco va in append alla unica blockchain. Dato che il miner ostile è pubblico troverà un blocco in poco meno di 20 minuti e gli altri in poco più di 20, perchè il coefficiente di difficoltà è aggiustato sulla presenza di tutti quanti.

2)SCENARIO DUE. Il "miner ostile 51%" mette su in segreto una mining farm che da sola supera di poco la potenza di calcolo di tutto il mining presente nel mondo. Inizia a minare a testa bassa una nuova chain segreta in parallelo nella quale inserisce TUTTI i blocchi che sta minando cioè SOLTANTO blocchi ostili. L'obiettivo del miner ostile sarà quello di pubblicare al mondo tale catena ostile quando sarà più lunga dell'altra. Il resto del mondo, ignaro della sua presenza, continua a minare la blockchain pubblica nella quale vengono inseriti SOLTANTO blocchi onesti. Qui i tempi sono di poco meno di 10 min per il miner ostile e di 10 min esatti per il resto del mondo, non c'è stato aggiustamento di difficoltà perchè il miner ostile non contribuisce all'hash rate pubblico.

Ora, a scanso di equivoci, senza entrare nel merito di cosa succede nei due casi, ti chiedo, stiamo parlando degli stessi scenari? La tua obiezione appena quotata, si riferisce esattamente ad uno di questi due o ad un terzo scenario ancora diverso (nel caso descrivimelo) ?

Esiste in realtà un solo scenario, e cercherò di spiegare perchè.

Iniziamo dallo scenario 2 (ma con una piccola aggiunta, il ritardo di partenza dell'attaccante rispetto al resto della rete che si quantifica in z blocchi).

Se ho più del 50% di power hash, posso minare di nascosto una catena tutta mia, e pubblicarla quando più mi fa comodo. In questo modo posso modificare gli ultimi k blocchi della blockchain, con k > z.

Ricordo in cosa consiste l'obiettivo di un 51% attack: sostituire una transazione già effettuata in passato (z blocchi fa) con un'altra per poter fare double spending.

E' questo l'attacco di cui parla Nakamoto ed è l'unico veramente pericoloso (perchè mette in dubbio il concetto di irreversibilità di tutte le transazione della blockchain).

L'obiettivo dell'attaccante (e il pericolo per il resto della rete) non è mai costruire una catena alternativa della blockchain, ma è sostituire solo l'ultimo pezzo con un altro pezzo, aggiustato. E ha convenienza a farlo solo dopo che il ricevente i bitcoin della tx da annullare ha accettato questo pagamento come definitivo (tempo di attesa che si quantifica in z blocchi). In tal modo l'attaccante potrebbe ricevere il prodotto/servizio acquistato (inviato dopo z blocchi di attesa) e rispendere i bitcoin in una successiva transazione.

Lo scenario 1 equivale al 2 in realtà,
in quanto l'attaccante parte da z blocchi più indietro, quindi genera una catena alternativa e solo lui continua ad aggiungere blocchi a quella catena, finchè non diventa più lunga. Anche se sta pubblicando i suoi blocchi, è solo lui che lavora a quella catena, perchè comunque è indietro rispetto a quella della rete.
Solo quando la catena dell'attaccante raggiunge quella della rete anche gli altri miner inizieranno ad aggiungere altri blocchi alla sua catena, esattamente come accadrebbe nello scenario 2 subito dopo che l'attaccante ha pubblicato l'intero pezzo di catena minato di nascosto.

I 2 scenari quindi sono del tutto equivalenti dal punto di vista del calcolo delle probabilità.

Il dato fondamentale qui è che l'obiettivo dell'attaccante non è creare da un certo punto in poi una catena alternativa minata solo da lui che si prolunghi in modo indefinito (questo non è possibile, e forse questo voleva dire bitbollo) ma il suo obiettivo è solo sostituire un pezzo finito alla parte finale dell'attuale catena e basta, da quel momento in poi la catena viene sviluppata ancora in modo random dal resto della rete ed eventualmente dall'attaccante.

Capisco cosa vuoi dire e mi trovi d'accordo.

Se ci atteniamo alla definizione rigorosa di che cos'è un "attacco 51% double spending", esiste soltanto uno scenario, quello in cui mino a testa bassa una chain alternativa sapendo che a tendere, dopo un tempo ragionevolmente lungo, la mia probabilità di avere una catena più lunga tende a 1. Poi, che io la tenga segreta o la palesi di blocco in blocco sono due sotto varianti, c'è da dire che se paleso la mia esistenza c'è il rischio che gli altri nodi si organizzino in anticipo per tempo per cambiare il consenso escludendomi dato che sono fortemente sospettato di essere malevolo. Se la pubblico soltanto quando è più lunga, genero più ore o giorni di trambusto prima che si organizzino per fixare con un fork. Io avrei chiamato queste due sotto varianti 51% attack e 101% attack. Nel 51% sono un soggetto noto che ha raggiunto la maggioranza dell'hash power pubblico. Nel 101% sono un soggetto che in segreto ha messo su una mining farm che da sola supera l'hash rate di tutti quanti. Ma ovviamente stiamo facendo pura filosofia teorica Cambia il fatto che "vengo attenzionato prima in tempo reale", in teoria, poi in pratica una farm così grossa si noterebbe comunque in anticipo. Ma in una shitcoin POW piccolina con poca potenza di calcolo, questa distinzione avrebbe molto senso perchè la farm potrebbe essere segreta senza problemi.

Quello che ho descritto come SCENARIO 1 non è un attacco finalizzato al double spending (un double spending fatto in questo modo ha probabilità che tende a zero di succedere) ma uno spam attack*, potrei anche farlo con meno del 51% dell'hash power, anche il 20%. In un caso genero il 51% di blocchi vuoti nell'altro il 20%. Creo un costante disservizio minando un po' la credibilità della rete, ma non avverrà mai un double spending.

Forse non l'avevo scritto ma davo per scontato che in questo scenario il miner ostile accetta la blockchain quando ad aggiungere un nuovo blocco sono gli altri 49.

*anzi forse più che spam più simile ad un DOS, non sto riempiendo di dati i blocchi ma sto minando inutili blocchi vuoti

[Wrib]

Quindi la probabilità che il prossimo blocco sarà ostile è p=0.51. In percentuale 51%.

No state sbagliando. La probabilità che il prossimo blocco sarà ostile è del 100% perché il minatore ostile se ne infischia che la rete onesta ha eventualmente minato un blocco per prima, se ne infischia che la rete onesta ha vinto alla lotteria, lui continua imperterrito a cercare di vincere alla lotteria già vinta dalla rete onesta e a minare il prossimo blocco in sostituzione di quello onesto con l'obiettivo di creare un fork.

Il minatore disonesto impiegherà poco meno di 20 minuti in media per minare il prossimo blocco, la rete onesta invece impiegherà poco più di 20 minuti in media. Nel breve termine si verrà a creare un fork formato da 2 o più catene, una del minatore disonesto e una o più altre della rete onesta. Dato che il minatore disonesto ha un hash rate superiore a quello della rete onesta, riuscirebbe nel lungo termine a mantenere il fork più lungo di quello della rete onesta. Questo anche se la rete onesta fosse capace di cooperare al meglio mantenendo solo una catena concorrente a quella disonesta.

Cerchiamo prima di capire se stiamo parlando della stessa cosa. Nel mio post che hai citato con tutti i calcoli delle probabilità analizzavo due scenari diversi. Prima di fare altri ragionamenti vorrei quindi essere sicuro che stiamo parlando dello stesso scenario. Gli scenari di cui parlavo sono:

1) SCENARIO UNO. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va subito in append alla unica blockchain esistente nel mondo. Anche quando i "miner onesti 49" trovano un blocco ovviamente anche questo blocco va in append alla unica blockchain. Dato che il miner ostile è pubblico troverà un blocco in poco meno di 20 minuti e gli altri in poco più di 20, perchè il coefficiente di difficoltà è aggiustato sulla presenza di tutti quanti.

2)SCENARIO DUE. Il "miner ostile 51%" mette su in segreto una mining farm che da sola supera di poco la potenza di calcolo di tutto il mining presente nel mondo. Inizia a minare a testa bassa una nuova chain segreta in parallelo nella quale inserisce TUTTI i blocchi che sta minando cioè SOLTANTO blocchi ostili. L'obiettivo del miner ostile sarà quello di pubblicare al mondo tale catena ostile quando sarà più lunga dell'altra. Il resto del mondo, ignaro della sua presenza, contiuna a minare la blockchain pubblica nella quale vengono inseriti SOLTANTO blocchi onesti. Qui i tempi sono di poco meno di 10 min per il miner ostile e di 10 min esatti per il resto del mondo, non c'è stato aggiustamento di difficoltà perchè il miner ostile non contribuisce all'hash rate pubblico.

Ora, a scanso di equivoci, senza entrare nel merito di cosa succede nei due casi, ti chiedo, stiamo parlando degli stessi scenari? La tua obiezione appena quotata, si riferisce esattamente ad uno di questi due o ad un terzo scenario ancora diverso (nel caso descrivimelo) ?

Io parlo invece di un terzo scenario che è un mix tra lo scenario 1 e lo scenario due:

3) SCENARIO TRE. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco non va in append all'unica blockchain al mondo sostituendo un blocco già esistente generato dalla rete onesta, creando un fork della catena e creando così una blockchain con due rami, come consentito dal protocollo bitcoin.

Nel momento in cui sto scrivendo, l'ultimo blocco della catena è il numero 908855. Nulla vieta a me, miner disonesto, di provare ora a minare nuovamente il blocco numero 908855 inserendo dentro le transazioni che mi piacciono e assegnandomi la coinbase di quel blocco. Se riesco a farlo, il protocollo bitcoin mi da diritto di pubblicare questo secondo blocco 908855 e i nodi di bitcoin sono obbligati a tenere in memoria anche il mio blocco.

In questo scenario la blockchain avrà due blocchi 908855, quello minato da me disonesto e quello minato dal resto della rete. Quale dei due blocchi deve essere considerato ufficiale? Bisogna aspettare e vedere quale dei due fork diventa più lungo. Ovviamente se ho una potenza di calcolo maggiore di tutto il resto della rete il mio fork col tempo tenderà ad essere più lungo.

La risposta è in questa tua frase in grassetto, stai descrivendo lo scenario 2:

2)SCENARIO DUE. Il "miner ostile 51%" mette su in segreto una mining farm che da sola supera di poco la potenza di calcolo di tutto il mining presente nel mondo. Inizia a minare a testa bassa una nuova chain segreta in parallelo nella quale inserisce TUTTI i blocchi che sta minando cioè SOLTANTO blocchi ostili. L'obiettivo del miner ostile sarà quello di pubblicare al mondo tale catena ostile quando sarà più lunga dell'altra. Il resto del mondo, ignaro della sua presenza, continua a minare la blockchain pubblica nella quale vengono inseriti SOLTANTO blocchi onesti. Qui i tempi sono di poco meno di 10 min per il miner ostile e di 10 min esatti per il resto del mondo, non c'è stato aggiustamento di difficoltà perchè il miner ostile non contribuisce all'hash rate pubblico.

Ma nella sotto variante in cui per qualche motivo ti palesi al mondo di blocco in blocco, per coincidenza si presta bene questo pezzo di risposta che ho appena dato a @arulbero:

Se ci atteniamo alla definizione rigorosa di che cos'è un "attacco 51% double spending", esiste soltanto uno scenario, quello in cui mino a testa bassa una chain alternativa sapendo che a tendere, dopo un tempo ragionevolmente lungo, la mia probabilità di avere una catena più lunga tende a 1. Poi, che io la tenga segreta o la palesi di blocco in blocco sono due sotto varianti, c'è da dire che se paleso la mia esistenza c'è il rischio che gli altri nodi si organizzino in anticipo per tempo per cambiare il consenso escludendomi dato che sono fortemente sospettato di essere malevolo. Se la pubblico soltanto quando è più lunga, genero più ore o giorni di trambusto prima che si organizzino per fixare con un fork. Io avrei chiamato queste due sotto varianti 51% attack e 101% attack. Nel 51% sono un soggetto noto che ha raggiunto la maggioranza dell'hash power pubblico. Nel 101% sono un soggetto che in segreto ha messo su una mining farm che da sola supera l'hash rate di tutti quanti. Ma ovviamente stiamo facendo pura filosofia teorica   Cambia il fatto che "vengo attenzionato prima in tempo reale", in teoria, poi in pratica una farm così grossa si noterebbe comunque in anticipo. Ma in una shitcoin POW piccolina con poca potenza di calcolo, questa distinzione avrebbe molto senso perchè la farm potrebbe essere segreta senza problemi.



Ora facciamo un passo indietro, stavamo parlando di questo:

Quindi la probabilità che il prossimo blocco sarà ostile è p=0.51. In percentuale 51%.

No state sbagliando. La probabilità che il prossimo blocco sarà ostile è del 100% perché il minatore ostile se ne infischia che la rete onesta ha eventualmente minato un blocco per prima, se ne infischia che la rete onesta ha vinto alla lotteria, lui continua imperterrito a cercare di vincere alla lotteria già vinta dalla rete onesta e a minare il prossimo blocco in sostituzione di quello onesto con l'obiettivo di creare un fork.

Il minatore disonesto impiegherà poco meno di 20 minuti in media per minare il prossimo blocco, la rete onesta invece impiegherà poco più di 20 minuti in media. Nel breve termine si verrà a creare un fork formato da 2 o più catene, una del minatore disonesto e una o più altre della rete onesta. Dato che il minatore disonesto ha un hash rate superiore a quello della rete onesta, riuscirebbe nel lungo termine a mantenere il fork più lungo di quello della rete onesta. Questo anche se la rete onesta fosse capace di cooperare al meglio mantenendo solo una catena concorrente a quella disonesta.

Ora a scanso di equivoci, quella mia citazione "Quindi la probabilità che il prossimo blocco sarà ostile è p=0.51. In percentuale 51%." si riferiva allo scenario 1, quello che come fa notare @arulbero non è un vero attacco double spending ma un semplice spam attack (anzi forse più che spam più simile ad un DOS, non sto riempiendo di dati i blocchi ma sto minando inutili blocchi vuoti):

1) SCENARIO UNO. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va subito in append alla unica blockchain esistente nel mondo. Anche quando i "miner onesti 49" trovano un blocco ovviamente anche questo blocco va in append alla unica blockchain. Dato che il miner ostile è pubblico troverà un blocco in poco meno di 20 minuti e gli altri in poco più di 20, perchè il coefficiente di difficoltà è aggiustato sulla presenza di tutti quanti.

Forse non l'avevo scritto ma davo per scontato che in questo scenario il miner ostile accetta la blockchain quando ad aggiungere un nuovo blocco sono gli altri 49.

[arulbero]

Ora a scanso di equivoci, quella mia citazione "Quindi la probabilità che il prossimo blocco sarà ostile è p=0.51. In percentuale 51%." si riferiva allo scenario 1, quello che come fa notare @arulbero non è un vero attacco double spending ma un semplice spam attack (anzi forse più che spam più simile ad un DOS, non sto riempiendo di dati i blocchi ma sto minando inutili blocchi vuoti):

1) SCENARIO UNO. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va subito in append alla unica blockchain esistente nel mondo. Anche quando i "miner onesti 49" trovano un blocco ovviamente anche questo blocco va in append alla unica blockchain. Dato che il miner ostile è pubblico troverà un blocco in poco meno di 20 minuti e gli altri in poco più di 20, perchè il coefficiente di difficoltà è aggiustato sulla presenza di tutti quanti.

Forse non l'avevo scritto ma davo per scontato che in questo scenario il miner ostile accetta la blockchain quando ad aggiungere un nuovo blocco sono gli altri 49.

L'attaccante potrebbe invece benissimo non accettare quei blocchi.

Se parli di un spam attack ovvero di pubblicare sempre solo blocchi vuoti, con il 51% l'attaccante sarebbe di fatto quasi sempre in vantaggio:

esempio:
ora siamo al blocco 100,
l'attaccante mina 101a e 102a,
quindi la rete mina il 103r,
l'attaccante ignora il 103r e continua a lavorare per produrre il 103a, quindi il 104a
e così via.

Avendo più potenza, l'attaccante sarà sempre in vantaggio, tranne per qualche momento, come nel caso del blocco 103r, ma quel blocco verrà scartato in seguito tramite reorganizzazione della parte finale della catena.

In questo senso avere il 51% di potenza permette all'attaccante di assumere il ruolo della rete, ovvero di decidere tutti i blocchi.

Con una differenza sostanziale: la rete non discrimina nessun blocco, mentre l'attaccante deciderebbe quali blocchi tenere (i suoi) e quelli sui quali non lavorare, ovvero da scartare (quelli del resto della rete).

[Ultimo2]

La mia è solo una domanda da “ignorante”: con l’arrivo dei computer quantistici questo “attacco” avrebbe più probabilità di riuscita oppure cambierebbe poco?

[Wrib]

Ora a scanso di equivoci, quella mia citazione "Quindi la probabilità che il prossimo blocco sarà ostile è p=0.51. In percentuale 51%." si riferiva allo scenario 1, quello che come fa notare @arulbero non è un vero attacco double spending ma un semplice spam attack (anzi forse più che spam più simile ad un DOS, non sto riempiendo di dati i blocchi ma sto minando inutili blocchi vuoti):

1) SCENARIO UNO. Il "miner ostile 51%" pubblica sempre e subito il blocco vuoto (o con transazioni censurate) che mina. Tale blocco va subito in append alla unica blockchain esistente nel mondo. Anche quando i "miner onesti 49" trovano un blocco ovviamente anche questo blocco va in append alla unica blockchain. Dato che il miner ostile è pubblico troverà un blocco in poco meno di 20 minuti e gli altri in poco più di 20, perchè il coefficiente di difficoltà è aggiustato sulla presenza di tutti quanti.

Forse non l'avevo scritto ma davo per scontato che in questo scenario il miner ostile accetta la blockchain quando ad aggiungere un nuovo blocco sono gli altri 49.

L'attaccante potrebbe invece benissimo non accettare quei blocchi.

Se parli di un spam attack ovvero di pubblicare sempre solo blocchi vuoti, con il 51% l'attaccante sarebbe di fatto quasi sempre in vantaggio:

esempio:
ora siamo al blocco 100,
l'attaccante mina 101a e 102a,
quindi la rete mina il 103r,
l'attaccante ignora il 103r e continua a lavorare per produrre il 103a, quindi il 104a
e così via.

Avendo più potenza, l'attaccante sarà sempre in vantaggio, tranne per qualche momento, come nel caso del blocco 103r, ma quel blocco verrà scartato in seguito tramite reorganizzazione della parte finale della catena.

In questo senso avere il 51% di potenza permette all'attaccante di assumere il ruolo della rete, ovvero di decidere tutti i blocchi.

Con una differenza sostanziale: la rete non discrimina nessun blocco, mentre l'attaccante deciderebbe quali blocchi tenere (i suoi) e quelli sui quali non lavorare, ovvero da scartare (quelli del resto della rete).

Be certo ma se l'attaccante non decide di accettare i blocchi degli altri, non è più un semplice spam, ma (come facevi notare) ci riconduciamo allo scenario di un vero tentativo di 51% attack in cui l'attaccante mina a testa bassa una chain tutta sua (segreta o pubblica che sia) la quale dopo un tot di tempo sarà più lunga dell'altra con probabilità 1. Qui: https://bitcointalk.org/index.php?topic=5552695.msg65658005#msg65658005 avevo calcolato che in 10gg circa a spanne mi attendo un vantaggio di 3 blocchi.

Il momento in cui avviene il reorg a favore della catena dell'attaccante è proprio quando la sua catena è diventa più lunga.

Ma deve scegliere: faccio un semplice spam attack (quindi accetto i blocchi degli altri quando arrivano prima e ci mino sopra, posso avere anche meno del 51% per creare questo leggero disservizio) oppure ignoro i blocchi degli altri, ma loro ignoreranno i miei fino al momento del reorg (quando si palesa il vero e proprio 51% attack double spending, quando la mia chain sovrascriverà improvvisamente la loro tramite reorg).

La domanda è quanto tempo ci metto ad avere questa chain più lunga, se io con il 51% ci metto mediamente poco meno di 20 minuti e gli altri poco più di 20 minuti, (10 min se ho messo su segretamente un farm) il valore atteso è quando quelle piccole differenze di tempo attese sommate superano la durata media di un blocco per averne quindi almeno uno in più degli altri..

Se ho il 51% ci andrà qualche giorno o settimana, se ho il 60% molto meno..

[giorgione]

La mia è solo una domanda da ?ignorante?: con l?arrivo dei computer quantistici questo ?attacco? avrebbe più probabilità di riuscita oppure cambierebbe poco?

penso che all'arrivo di un computer quantistico questo sia l'ultimo dei problemi, i computer quantistici sono molto bravi a risolvere problemi matematici complessi mentre il proof of work richeide calcoli sha-256 ripetuti molte volte e quindi sarebbe inutile.

[Ultimo2]

La mia è solo una domanda da ?ignorante?: con l?arrivo dei computer quantistici questo ?attacco? avrebbe più probabilità di riuscita oppure cambierebbe poco?

penso che all'arrivo di un computer quantistico questo sia l'ultimo dei problemi, i computer quantistici sono molto bravi a risolvere problemi matematici complessi mentre il proof of work richeide calcoli sha-256 ripetuti molte volte e quindi sarebbe inutile.

Grazie della spiegazione. Ho chiesto perché so che molti di voi conoscono Bitcoin molto bene, a me più di tanto non entra.

[bitbollo]

@arulbero
grazie dei vari conteggi ed esempi.
Il discorso del 51% deve essere rapportato anche a livello pratico ad oggi e non al 2008 quando scrisse il WP.
La possibilità che riesca a mantenere questo rapporto di maggioranza rispetto agli altri miners... va da se che è impossibile*
Ergo è sempre da solo contro tutta la rete, e la corsa praticamente è infinita.
Non trovo cosi scontato ne semplice che possa mantenere questo rapporto a lungo e effettivamente riuscire ad effettuare un vero attacco (i conteggi di plutosky credo riassumono benissimo QUANTO servirebbe per avere un 51% ad oggi)

Per quanto possa essere possibile questo attacco (sopratutto inizialmente vista la natura del network praticamente irrisoria rispetto a oggi), il meccanismo di block reward è sempre una lotteria! Purtroppo non condivido questo punto che un miner con il 51% DOMINA la rete.
Al di la che alcuni miners beccano blocchi anche con hardware lillipuziani, potrebbe anche verificarsi la produzione "più rapida" rispetto ai canonici 10 minuti.
Per quanto mini "in segreto" è sempre in gara, è sempre in lotta con gli altri. Teoricamente ogni 10 minuti si inizia da capo....

Ai bei tempi di cex.io, quando raggiunsero il 51% (oltre ad avere un po di GHS da loro usavo AWS per minare con istanze gratuite tanto per dare un esempio di quanto fosse ancora easy il mining) era già evidente come nonostante avessero raggiunto questo livello... non era comunque OVVIO che avessero dominato il resto dei blocchi.
Boh è davvero come se ci stessimo preoccupando di un meteorite... si è pieno di meteoriti la fuori (e qualcuno soffre anche di meteorismo).
Oggi questo non lo considererei affatto un problema... (mia opinione personale ovviamente).

*Da un punto di vista teorico è ovvio che è possibile una roba del genere, ma è davvero complicato all'atto pratico, se non letteralmente impossibile tenendo conto anche dell'aumento repentino (e costante) dell'intero network.

In un anno abbiamo un +50% . Il miner malevolo (o pool che sia) dovrebbe crescere a sua volta dello stesso ritmo...
Se fosse stato possibile fare una cosa del genere, già l'avrebbero fatto. Il tesoretto per chi riuscisse a violare la rete è ENORME...eppure è ancora li da anni...

[Wrib]

@arulbero
grazie dei vari conteggi ed esempi.
Il discorso del 51% deve essere rapportato anche a livello pratico ad oggi e non al 2008 quando scrisse il WP.
La possibilità che riesca a mantenere questo rapporto di maggioranza rispetto agli altri miners... va da se che è impossibile*
Ergo è sempre da solo contro tutta la rete, e la corsa praticamente è infinita.
Non trovo cosi scontato ne semplice che possa mantenere questo rapporto a lungo e effettivamente riuscire ad effettuare un vero attacco (i conteggi di plutosky credo riassumono benissimo QUANTO servirebbe per avere un 51% ad oggi)

Per quanto possa essere possibile questo attacco (sopratutto inizialmente vista la natura del network praticamente irrisoria rispetto a oggi), il meccanismo di block reward è sempre una lotteria! Purtroppo non condivido questo punto che un miner con il 51% DOMINA la rete.
Al di la che alcuni miners beccano blocchi anche con hardware lillipuziani, potrebbe anche verificarsi la produzione "più rapida" rispetto ai canonici 10 minuti.
Per quanto mini "in segreto" è sempre in gara, è sempre in lotta con gli altri. Teoricamente ogni 10 minuti si inizia da capo....

Ai bei tempi di cex.io, quando raggiunsero il 51% (oltre ad avere un po di GHS da loro usavo AWS per minare con istanze gratuite tanto per dare un esempio di quanto fosse ancora easy il mining) era già evidente come nonostante avessero raggiunto questo livello... non era comunque OVVIO che avessero dominato il resto dei blocchi.
Boh è davvero come se ci stessimo preoccupando di un meteorite... si è pieno di meteoriti la fuori (e qualcuno soffre anche di meteorismo).
Oggi questo non lo considererei affatto un problema... (mia opinione personale ovviamente).

*Da un punto di vista teorico è ovvio che è possibile una roba del genere, ma è davvero complicato all'atto pratico, se non letteralmente impossibile tenendo conto anche dell'aumento repentino (e costante) dell'intero network.

In un anno abbiamo un +50% . Il miner malevolo (o pool che sia) dovrebbe crescere a sua volta dello stesso ritmo...
Se fosse stato possibile fare una cosa del genere, già l'avrebbero fatto. Il tesoretto per chi riuscisse a violare la rete è ENORME...eppure è ancora li da anni...

Innanzitutto ti ringrazio e ringrazio anche tutti gli altri partecipanti a questa discussione, la trovo molto più interessante delle solite sul prezzo e le news varie. Ho appena distribuito merit a tutti i partecipanti a questa discussione per ringraziarvi della partecipazione, ora li ho momentaneamente finiti 

Ovviamente stiamo facendo seghe mentali del tutto teoriche in pratica siamo tutti d'accordo che sia impossibile un 51% attack  

Per me il bello di questa discussione è immaginarsi un esercizio di calcolo delle probabilità e provare a risolvero, certo resta un esercizio fine a se stesso nella pratica si sono impedimenti reali che farebbero subito notare al mondo che c'è una farm segreta (si nota: è grossa, costosa, ha logistica immensa, ecc) e motivi di teoria dei giochi che salverebbero comunque bitcoin (incentivi economici a essere miner onesti ecc).


Sempre restando su un piano puramente teorico posso chiederti maggiori dettagli su cosa intendi con questa parte grassettata:

Per quanto possa essere possibile questo attacco (sopratutto inizialmente vista la natura del network praticamente irrisoria rispetto a oggi), il meccanismo di block reward è sempre una lotteria! Purtroppo non condivido questo punto che un miner con il 51% DOMINA la rete.
Al di la che alcuni miners beccano blocchi anche con hardware lillipuziani, potrebbe anche verificarsi la produzione "più rapida" rispetto ai canonici 10 minuti.
Per quanto mini "in segreto" è sempre in gara, è sempre in lotta con gli altri. Teoricamente ogni 10 minuti si inizia da capo....

Se sto minando in segreto, ma anche pubblicamente, a testa bassa una mia chain alternativa ignorando i blocchi degli altri, ogni 10 minuti non ho nessuna sfida probabilistica a testa o croce contro gli altri che ricomincia da capo. Semplicemente ogni 10 minuti circa aggiungo alla mia catena un blocco che mino io, punto e basta. Gli altri aggiungeranno alla loro catena il blocco che minano loro, punto e basta. Però avendo il 51% io, in media, non mino un blocco ogni 10 minuti, ma in poco meno mettiamo ogni 9 minuti e 50 secondi. Non saranno tutti minati in 9 minuti e 50 esatti, alcuni ci metterò di più, altri di meno, ma in media avrò un blocco ogni 9 minuti e 50 secondi. Per gli altri vale lo stesso discorso ma con media 10 minuti esatti. Prendi quei 10 secondi di scarto medio atteso. Se miniamo per qualche giorno in queste condizioni teoriche, la mia chain sommando quei 10 secondi ogni 10 minuti ad un certo punto accumulerà un vantaggio che supererà i 10 minuti, appena il mio vantaggio temporale accumulato supera i 10 minuti circa nella mia catena ci sta un blocco in più degli altri a parità di tempo: ho una catana più lunga con certezza 100%.


Aggiungo anche una considerazione su questo:

Se fosse stato possibile fare una cosa del genere, già l'avrebbero fatto. Il tesoretto per chi riuscisse a violare la rete è ENORME...eppure è ancora li da anni...

Qui penso che entri in gioco la teoria dei giochi, il tesoretto in realtà è un tesoretto effimero. Se cerco di guadagnare da un double spending attack, mino la credibilità del network e i bitcoin che ho minato non valgono più niente..

[Plutosky]

La mia è solo una domanda da “ignorante”: con l’arrivo dei computer quantistici questo “attacco” avrebbe più probabilità di riuscita oppure cambierebbe poco?

I computer quantistici non sono adatti ad essere usati come ASIC, quindi lo scenario non cambierebbe.
Grazie all'algoritmo quantistico di Grover (https://en.wikipedia.org/wiki/Grover%27s_algorithm ) un elaboratore quantistico potrebbe essere in grado di ridurre il numero di tentativi in maniera quadratica.
Se non sbaglio, in base alla difficoltà attuale trovare un nonce valido richiede 2^66 tentativi in media per blocco, che in teoria potrebbe essere ridotto a 2^33 se tutti gli asic fossero quantistici.
Ma questo vantaggio sarebbe poca cosa rispetto alla maggiore complessità e minore parallelizzazione di questi ultimi. Il saldo finale sarebbe nettamente negativo rispetto agli asic classici. Almeno in un futuro prossimo e prevedibile.

[giorgione]

@arulbero
grazie dei vari conteggi ed esempi.
Il discorso del 51% deve essere rapportato anche a livello pratico ad oggi e non al 2008 quando scrisse il WP.
La possibilità che riesca a mantenere questo rapporto di maggioranza rispetto agli altri miners... va da se che è impossibile*
Ergo è sempre da solo contro tutta la rete, e la corsa praticamente è infinita.
Non trovo cosi scontato ne semplice che possa mantenere questo rapporto a lungo e effettivamente riuscire ad effettuare un vero attacco (i conteggi di plutosky credo riassumono benissimo QUANTO servirebbe per avere un 51% ad oggi)

Per quanto possa essere possibile questo attacco (sopratutto inizialmente vista la natura del network praticamente irrisoria rispetto a oggi), il meccanismo di block reward è sempre una lotteria! Purtroppo non condivido questo punto che un miner con il 51% DOMINA la rete.
Al di la che alcuni miners beccano blocchi anche con hardware lillipuziani, potrebbe anche verificarsi la produzione "più rapida" rispetto ai canonici 10 minuti.
Per quanto mini "in segreto" è sempre in gara, è sempre in lotta con gli altri. Teoricamente ogni 10 minuti si inizia da capo....

Ai bei tempi di cex.io, quando raggiunsero il 51% (oltre ad avere un po di GHS da loro usavo AWS per minare con istanze gratuite tanto per dare un esempio di quanto fosse ancora easy il mining) era già evidente come nonostante avessero raggiunto questo livello... non era comunque OVVIO che avessero dominato il resto dei blocchi.
Boh è davvero come se ci stessimo preoccupando di un meteorite... si è pieno di meteoriti la fuori (e qualcuno soffre anche di meteorismo).
Oggi questo non lo considererei affatto un problema... (mia opinione personale ovviamente).

*Da un punto di vista teorico è ovvio che è possibile una roba del genere, ma è davvero complicato all'atto pratico, se non letteralmente impossibile tenendo conto anche dell'aumento repentino (e costante) dell'intero network.

In un anno abbiamo un +50% . Il miner malevolo (o pool che sia) dovrebbe crescere a sua volta dello stesso ritmo...
Se fosse stato possibile fare una cosa del genere, già l'avrebbero fatto. Il tesoretto per chi riuscisse a violare la rete è ENORME...eppure è ancora li da anni...

Innanzitutto ti ringrazio e ringrazio anche tutti gli altri partecipanti a questa discussione, la trovo molto più interessante delle solite sul prezzo e le news varie. Ho appena distribuito merit a tutti i partecipanti a questa discussione per ringraziarvi della partecipazione, ora li ho momentaneamente finiti 

Ovviamente stiamo facendo seghe mentali del tutto teoriche in pratica siamo tutti d'accordo che sia impossibile un 51% attack  

Per me il bello di questa discussione è immaginarsi un esercizio di calcolo delle probabilità e provare a risolvero, certo resta un esercizio fine a se stesso nella pratica si sono impedimenti reali che farebbero subito notare al mondo che c'è una farm segreta (si nota: è grossa, costosa, ha logistica immensa, ecc) e motivi di teoria dei giochi che salverebbero comunque bitcoin (incentivi economici a essere miner onesti ecc).


Sempre restando su un piano puramente teorico posso chiederti maggiori dettagli su cosa intendi con questa parte grassettata:

Per quanto possa essere possibile questo attacco (sopratutto inizialmente vista la natura del network praticamente irrisoria rispetto a oggi), il meccanismo di block reward è sempre una lotteria! Purtroppo non condivido questo punto che un miner con il 51% DOMINA la rete.
Al di la che alcuni miners beccano blocchi anche con hardware lillipuziani, potrebbe anche verificarsi la produzione "più rapida" rispetto ai canonici 10 minuti.
Per quanto mini "in segreto" è sempre in gara, è sempre in lotta con gli altri. Teoricamente ogni 10 minuti si inizia da capo....

Se sto minando in segreto, ma anche pubblicamente, a testa bassa una mia chain alternativa ignorando i blocchi degli altri, ogni 10 minuti non ho nessuna sfida probabilistica a testa o croce contro gli altri che ricomincia da capo. Semplicemente ogni 10 minuti circa aggiungo alla mia catena un blocco che mino io, punto e basta. Gli altri aggiungeranno alla loro catena il blocco che minano loro, punto e basta. Però avendo il 51% io, in media, non mino un blocco ogni 10 minuti, ma in poco meno mettiamo ogni 9 minuti e 50 secondi. Non saranno tutti minati in 9 minuti e 50 esatti, alcuni ci metterò di più, altri di meno, ma in media avrò un blocco ogni 9 minuti e 50 secondi. Per gli altri vale lo stesso discorso ma con media 10 minuti esatti. Prendi quei 10 secondi di scarto medio atteso. Se miniamo per qualche giorno in queste condizioni teoriche, la mia chain sommando quei 10 secondi ogni 10 minuti ad un certo punto accumulerà un vantaggio che supererà i 10 minuti, appena il mio vantaggio temporale accumulato supera i 10 minuti circa nella mia catena ci sta un blocco in più degli altri a parità di tempo: ho una catana più lunga con certezza 100%.


Aggiungo anche una considerazione su questo:

Se fosse stato possibile fare una cosa del genere, già l'avrebbero fatto. Il tesoretto per chi riuscisse a violare la rete è ENORME...eppure è ancora li da anni...

Qui penso che entri in gioco la teoria dei giochi, il tesoretto in realtà è un tesoretto effimero. Se cerco di guadagnare da un double spending attack, mino la credibilità del network e i bitcoin che ho minato non valgono più niente..

ringrazio voi per aver reso la discussione cosi interessante e ricca di particolari, ovviamente si stanno facendo tutte ipotesi e è piu o meno fantascenza (per ora),riguardo questo, in particolare c'è una cosa che non abbiamo tenuto in mente ed è la sfiducia che porterebbe al crollo totale del prezzo e quindi un ipotetico valore andrebbe a farsi fottere