Bitcoin: Um Sistema de Dinheiro Eletrônico Ponto a Ponto
Abstract
ระบบเงินสดอิเล็กทรอนิกส์แบบ peer-to-peer อย่างแท้จริงจะช่วยให้การชำระเงินออนไลน์สามารถส่งตรงจากฝ่ายหนึ่งไปยังอีกฝ่ายหนึ่งโดยไม่ต้องผ่านสถาบันการเงิน ลายเซ็นดิจิทัลเป็นส่วนหนึ่งของคำตอบ แต่ประโยชน์หลักจะสูญเสียไปหากยังคงต้องการบุคคลที่สามที่เชื่อถือได้เพื่อป้องกัน double-spending เราเสนอวิธีแก้ปัญหา double-spending โดยใช้เครือข่าย peer-to-peer เครือข่ายประทับเวลาธุรกรรมโดยการ hash เข้าไปในห่วงโซ่ proof-of-work แบบต่อเนื่องที่ใช้ hash เป็นพื้นฐาน สร้างเป็นบันทึกที่ไม่สามารถเปลี่ยนแปลงได้โดยไม่ทำ proof-of-work ใหม่ ห่วงโซ่ที่ยาวที่สุดไม่เพียงทำหน้าที่เป็นหลักฐานของลำดับเหตุการณ์ที่ได้เห็น แต่ยังเป็นหลักฐานว่ามันมาจากกลุ่มพลังงาน CPU ที่ใหญ่ที่สุด ตราบใดที่พลังงาน CPU ส่วนใหญ่ถูกควบคุมโดย node ที่ไม่ร่วมมือกันโจมตีเครือข่าย พวกเขาจะสร้างห่วงโซ่ที่ยาวที่สุดและแซงหน้าผู้โจมตีได้ ตัวเครือข่ายเองต้องการโครงสร้างน้อยที่สุด ข้อความถูกประกาศแบบพยายามอย่างดีที่สุด และ node สามารถออกจากและกลับเข้าร่วมเครือข่ายได้ตามต้องการ โดยยอมรับห่วงโซ่ proof-of-work ที่ยาวที่สุดเป็นหลักฐานของสิ่งที่เกิดขึ้นขณะที่พวกเขาไม่อยู่
Abstract
Uma versao puramente peer-to-peer de dinheiro eletronico permitiria que pagamentos online fossem enviados diretamente de uma parte para outra sem passar por uma instituicao financeira. Assinaturas digitais fornecem parte da solucao, mas os principais beneficios sao perdidos se um terceiro confiavel ainda for necessario para prevenir o gasto duplo. Propomos uma solucao para o problema do gasto duplo usando uma rede peer-to-peer. A rede carimba as transacoes com timestamps fazendo hash delas em uma cadeia continua de proof-of-work baseada em hash, formando um registro que nao pode ser alterado sem refazer o proof-of-work. A cadeia mais longa nao serve apenas como prova da sequencia de eventos testemunhados, mas tambem como prova de que ela veio do maior conjunto de poder de CPU. Enquanto a maioria do poder de CPU for controlada por nos que nao estao cooperando para atacar a rede, eles gerarao a cadeia mais longa e superarao os atacantes. A rede em si requer estrutura minima. As mensagens sao transmitidas com base no melhor esforco, e os nos podem sair e reingressar na rede a qualquer momento, aceitando a cadeia de proof-of-work mais longa como prova do que aconteceu enquanto estavam ausentes.
Introduction
การพาณิชย์บนอินเทอร์เน็ตได้พึ่งพาสถาบันการเงินที่ทำหน้าที่เป็นบุคคลที่สามที่เชื่อถือได้ในการประมวลผลการชำระเงินอิเล็กทรอนิกส์เกือบทั้งหมด แม้ว่าระบบจะทำงานได้ดีเพียงพอสำหรับธุรกรรมส่วนใหญ่ แต่ก็ยังคงประสบปัญหาจากจุดอ่อนโดยธรรมชาติของโมเดลที่อิงความไว้วางใจ ธุรกรรมที่ไม่สามารถย้อนกลับได้อย่างสมบูรณ์นั้นไม่สามารถเป็นไปได้จริง เนื่องจากสถาบันการเงินไม่สามารถหลีกเลี่ยงการไกล่เกลี่ยข้อพิพาทได้ ต้นทุนของการไกล่เกลี่ยเพิ่มต้นทุนธุรกรรม จำกัดขนาดธุรกรรมขั้นต่ำที่ใช้งานได้จริงและตัดความเป็นไปได้ของธุรกรรมเล็กน้อยทั่วไป และยังมีต้นทุนที่กว้างขึ้นในการสูญเสียความสามารถในการชำระเงินที่ไม่สามารถย้อนกลับได้สำหรับบริการที่ไม่สามารถย้อนกลับได้ ด้วยความเป็นไปได้ของการย้อนกลับ ความต้องการความไว้วางใจจึงแพร่กระจาย ผู้ค้าต้องระวังลูกค้าของตน รบกวนพวกเขาเพื่อขอข้อมูลมากกว่าที่พวกเขาต้องการ เปอร์เซ็นต์หนึ่งของการฉ้อโกงถูกยอมรับว่าหลีกเลี่ยงไม่ได้ ต้นทุนเหล่านี้และความไม่แน่นอนของการชำระเงินสามารถหลีกเลี่ยงได้เมื่อทำธุรกรรมด้วยตนเองโดยใช้สกุลเงินจริง แต่ไม่มีกลไกใดที่จะทำการชำระเงินผ่านช่องทางการสื่อสารโดยไม่มีฝ่ายที่เชื่อถือได้
สิ่งที่จำเป็นคือระบบการชำระเงินอิเล็กทรอนิกส์ที่อิงหลักฐานการเข้ารหัสแทนความไว้วางใจ ซึ่งอนุญาตให้สองฝ่ายที่เต็มใจทำธุรกรรมโดยตรงกับกันโดยไม่ต้องการบุคคลที่สามที่เชื่อถือได้ ธุรกรรมที่ไม่สามารถย้อนกลับได้ในทางคอมพิวเตอร์จะปกป้องผู้ขายจากการฉ้อโกง และกลไก escrow ตามปกติสามารถนำมาใช้ได้อย่างง่ายดายเพื่อปกป้องผู้ซื้อ ในบทความนี้ เราเสนอวิธีแก้ปัญหา double-spending โดยใช้เซิร์ฟเวอร์ประทับเวลาแบบกระจาย peer-to-peer เพื่อสร้างหลักฐานทางการคำนวณของลำดับเวลาของธุรกรรม ระบบจะปลอดภัยตราบใดที่ node ที่ซื่อสัตย์ร่วมกันควบคุมพลังงาน CPU มากกว่ากลุ่ม node ผู้โจมตีใดๆ ที่ร่วมมือกัน
Introduction
O comercio na Internet passou a depender quase exclusivamente de instituicoes financeiras servindo como terceiros confiaveis para processar pagamentos eletronicos. Embora o sistema funcione bem o suficiente para a maioria das transacoes, ele ainda sofre das fraquezas inerentes ao modelo baseado em confianca. Transacoes completamente irreversiveis nao sao realmente possiveis, uma vez que as instituicoes financeiras nao podem evitar a mediacao de disputas. O custo da mediacao aumenta os custos de transacao, limitando o tamanho minimo pratico da transacao e eliminando a possibilidade de pequenas transacoes casuais, e ha um custo mais amplo na perda da capacidade de fazer pagamentos irreversiveis para servicos irreversiveis. Com a possibilidade de reversao, a necessidade de confianca se espalha. Os comerciantes devem desconfiar de seus clientes, solicitando mais informacoes do que seria necessario. Uma certa porcentagem de fraude e aceita como inevitavel. Esses custos e incertezas de pagamento podem ser evitados pessoalmente usando moeda fisica, mas nenhum mecanismo existe para fazer pagamentos por um canal de comunicacao sem uma parte confiavel.
O que e necessario e um sistema de pagamento eletronico baseado em prova criptografica em vez de confianca, permitindo que quaisquer duas partes dispostas transacionem diretamente entre si sem a necessidade de um terceiro confiavel. Transacoes que sao computacionalmente impraticaveis de reverter protegeriam os vendedores contra fraudes, e mecanismos rotineiros de custodia poderiam ser facilmente implementados para proteger os compradores. Neste artigo, propomos uma solucao para o problema do gasto duplo usando um servidor de timestamp distribuido peer-to-peer para gerar prova computacional da ordem cronologica das transacoes. O sistema e seguro enquanto nos honestos controlarem coletivamente mais poder de CPU do que qualquer grupo cooperante de nos atacantes.
Transactions
เรานิยามเหรียญอิเล็กทรอนิกส์เป็นห่วงโซ่ของลายเซ็นดิจิทัล เจ้าของแต่ละคนโอนเหรียญไปยังเจ้าของคนถัดไปโดยการเซ็นดิจิทัลบน hash ของธุรกรรมก่อนหน้าและ public key ของเจ้าของคนถัดไป แล้วเพิ่มสิ่งเหล่านี้ต่อท้ายเหรียญ ผู้รับเงินสามารถตรวจสอบลายเซ็นเพื่อยืนยันห่วงโซ่ความเป็นเจ้าของได้
ปัญหาแน่นอนคือผู้รับเงินไม่สามารถยืนยันได้ว่าเจ้าของคนใดคนหนึ่งไม่ได้ใช้จ่ายเหรียญซ้ำ (double-spend) วิธีแก้ปัญหาทั่วไปคือการแนะนำหน่วยงานกลางที่เชื่อถือได้ หรือโรงกษาปณ์ ที่ตรวจสอบทุกธุรกรรมสำหรับการใช้จ่ายซ้ำ หลังจากแต่ละธุรกรรม เหรียญจะต้องถูกส่งคืนโรงกษาปณ์เพื่อออกเหรียญใหม่ และเฉพาะเหรียญที่ออกโดยตรงจากโรงกษาปณ์เท่านั้นที่ถูกเชื่อถือว่าไม่ได้ถูกใช้จ่ายซ้ำ ปัญหาของวิธีแก้ปัญหานี้คือชะตากรรมของระบบการเงินทั้งหมดขึ้นอยู่กับบริษัทที่ดำเนินการโรงกษาปณ์ โดยทุกธุรกรรมต้องผ่านพวกเขา เช่นเดียวกับธนาคาร
เราต้องการวิธีให้ผู้รับเงินรู้ว่าเจ้าของก่อนหน้าไม่ได้ลงนามในธุรกรรมใดๆ ก่อนหน้านี้ สำหรับวัตถุประสงค์ของเรา ธุรกรรมที่เร็วที่สุดคือธุรกรรมที่นับ ดังนั้นเราจึงไม่สนใจความพยายามในการใช้จ่ายซ้ำในภายหลัง วิธีเดียวที่จะยืนยันการไม่มีอยู่ของธุรกรรมคือการรับรู้ธุรกรรมทั้งหมด ในโมเดลที่ใช้โรงกษาปณ์ โรงกษาปณ์รับรู้ธุรกรรมทั้งหมดและตัดสินว่าธุรกรรมใดมาถึงก่อน เพื่อทำสิ่งนี้โดยไม่ต้องมีบุคคลที่สามที่เชื่อถือได้ ธุรกรรมต้องถูกประกาศต่อสาธารณะ [^1] และเราต้องการระบบสำหรับผู้เข้าร่วมเพื่อตกลงกันในประวัติเดียวของลำดับที่ได้รับ ผู้รับเงินต้องการหลักฐานว่าในเวลาของแต่ละธุรกรรม node ส่วนใหญ่เห็นด้วยว่ามันเป็นธุรกรรมที่ได้รับเป็นอันดับแรก
Transactions
Definimos uma moeda eletronica como uma cadeia de assinaturas digitais. Cada proprietario transfere a moeda para o proximo assinando digitalmente um hash da transacao anterior e a chave publica do proximo proprietario e adicionando estes ao final da moeda. Um beneficiario pode verificar as assinaturas para verificar a cadeia de propriedade.
O problema, claro, e que o beneficiario nao pode verificar se um dos proprietarios nao gastou a moeda duas vezes. Uma solucao comum e introduzir uma autoridade central confiavel, ou casa da moeda, que verifica cada transacao quanto ao gasto duplo. Apos cada transacao, a moeda deve ser devolvida a casa da moeda para emitir uma nova moeda, e apenas moedas emitidas diretamente pela casa da moeda sao confiaveis quanto a nao terem sido gastas duas vezes. O problema com esta solucao e que o destino de todo o sistema monetario depende da empresa que administra a casa da moeda, com cada transacao tendo que passar por eles, assim como um banco.
Precisamos de uma maneira para o beneficiario saber que os proprietarios anteriores nao assinaram nenhuma transacao anterior. Para nossos propositos, a transacao mais antiga e a que conta, entao nao nos preocupamos com tentativas posteriores de gasto duplo. A unica maneira de confirmar a ausencia de uma transacao e estar ciente de todas as transacoes. No modelo baseado na casa da moeda, a casa da moeda estava ciente de todas as transacoes e decidia qual chegou primeiro. Para conseguir isso sem uma parte confiavel, as transacoes devem ser anunciadas publicamente [^1], e precisamos de um sistema para que os participantes concordem com um unico historico da ordem em que foram recebidas. O beneficiario precisa de prova de que, no momento de cada transacao, a maioria dos nos concordou que ela foi a primeira recebida.
Timestamp Server
วิธีแก้ปัญหาที่เราเสนอเริ่มต้นด้วยเซิร์ฟเวอร์ประทับเวลา เซิร์ฟเวอร์ประทับเวลาทำงานโดยการนำ hash ของบล็อกรายการที่จะถูกประทับเวลาและเผยแพร่ hash อย่างกว้างขวาง เช่น ในหนังสือพิมพ์หรือโพสต์ Usenet [^2] [^3] [^4] [^5] การประทับเวลาพิสูจน์ว่าข้อมูลต้องมีอยู่ในเวลานั้น อย่างเห็นได้ชัด เพื่อที่จะเข้าไปใน hash ได้ แต่ละการประทับเวลารวมการประทับเวลาก่อนหน้าไว้ใน hash ของมัน สร้างเป็นห่วงโซ่ โดยแต่ละการประทับเวลาเพิ่มเติมจะเสริมความแข็งแกร่งให้กับการประทับเวลาก่อนหน้า
Timestamp Server
A solucao que propomos comeca com um servidor de timestamp. Um servidor de timestamp funciona pegando um hash de um bloco de itens a serem carimbados com timestamp e publicando amplamente o hash, como em um jornal ou postagem Usenet [^2] [^3] [^4] [^5]. O timestamp prova que os dados devem ter existido naquele momento, obviamente, para entrar no hash. Cada timestamp inclui o timestamp anterior em seu hash, formando uma cadeia, com cada timestamp adicional reforcando os anteriores.
Proof-of-Work
ในการนำเซิร์ฟเวอร์ประทับเวลาแบบกระจายมาใช้บนพื้นฐาน peer-to-peer เราจะต้องใช้ระบบ proof-of-work ที่คล้ายกับ Hashcash ของ Adam Back [^6] แทนที่จะใช้หนังสือพิมพ์หรือโพสต์ Usenet proof-of-work เกี่ยวข้องกับการสแกนหาค่าที่เมื่อถูก hash เช่น ด้วย SHA-256 แล้ว hash จะเริ่มต้นด้วยจำนวนบิตศูนย์ที่กำหนด งานเฉลี่ยที่ต้องการจะเพิ่มขึ้นแบบเลขยกกำลังตามจำนวนบิตศูนย์ที่ต้องการ และสามารถตรวจสอบได้โดยการรัน hash เพียงครั้งเดียว
สำหรับเครือข่ายประทับเวลาของเรา เรานำ proof-of-work มาใช้โดยการเพิ่ม nonce ในบล็อกจนกว่าจะพบค่าที่ให้ hash ของบล็อกมีจำนวนบิตศูนย์ที่ต้องการ เมื่อใช้ความพยายามของ CPU ไปเพื่อให้ตรงตาม proof-of-work แล้ว บล็อกจะไม่สามารถเปลี่ยนแปลงได้โดยไม่ทำงานใหม่ เมื่อบล็อกถัดไปถูกเชื่อมต่อหลังจากมัน งานในการเปลี่ยนแปลงบล็อกจะรวมถึงการทำใหม่ทั้งหมดของบล็อกหลังจากมัน
Proof-of-work ยังแก้ปัญหาการกำหนดตัวแทนในการตัดสินใจแบบเสียงข้างมากด้วย หากเสียงข้างมากใช้พื้นฐานหนึ่ง-IP-หนึ่ง-เสียง มันสามารถถูกบ่อนทำลายโดยใครก็ตามที่สามารถจัดสรร IP จำนวนมากได้ Proof-of-work โดยพื้นฐานคือหนึ่ง-CPU-หนึ่ง-เสียง การตัดสินใจของเสียงข้างมากถูกแทนด้วยห่วงโซ่ที่ยาวที่สุด ซึ่งมีความพยายาม proof-of-work มากที่สุดที่ลงทุนไว้ หากพลังงาน CPU ส่วนใหญ่ถูกควบคุมโดย node ที่ซื่อสัตย์ ห่วงโซ่ที่ซื่อสัตย์จะเติบโตเร็วที่สุดและแซงหน้าห่วงโซ่คู่แข่งใดๆ ในการแก้ไขบล็อกในอดีต ผู้โจมตีจะต้องทำ proof-of-work ของบล็อกนั้นและบล็อกทั้งหมดหลังจากมันใหม่ แล้วจึงไล่ตามและแซงหน้างานของ node ที่ซื่อสัตย์ เราจะแสดงในภายหลังว่าความน่าจะเป็นที่ผู้โจมตีที่ช้ากว่าจะไล่ทันจะลดลงแบบเลขยกกำลังเมื่อบล็อกถัดไปถูกเพิ่มเข้ามา
เพื่อชดเชยความเร็วฮาร์ดแวร์ที่เพิ่มขึ้นและความสนใจที่เปลี่ยนแปลงในการรัน node ตามเวลา ความยากของ proof-of-work ถูกกำหนดโดยค่าเฉลี่ยเคลื่อนที่ที่กำหนดเป้าหมายจำนวนบล็อกเฉลี่ยต่อชั่วโมง หากสร้างเร็วเกินไป ความยากจะเพิ่มขึ้น
Proof-of-Work
Para implementar um servidor de timestamp distribuido em uma base peer-to-peer, precisaremos usar um sistema de proof-of-work semelhante ao Hashcash de Adam Back [^6], em vez de jornais ou postagens Usenet. O proof-of-work envolve a varredura de um valor que, quando submetido a hash, como com SHA-256, o hash comeca com um numero de bits zero. O trabalho medio necessario e exponencial no numero de bits zero requeridos e pode ser verificado executando um unico hash.
Para nossa rede de timestamp, implementamos o proof-of-work incrementando um nonce no bloco ate que um valor seja encontrado que de ao hash do bloco os bits zero necessarios. Uma vez que o esforco de CPU tenha sido gasto para satisfazer o proof-of-work, o bloco nao pode ser alterado sem refazer o trabalho. Como blocos posteriores sao encadeados apos ele, o trabalho para alterar o bloco incluiria refazer todos os blocos apos ele.
O proof-of-work tambem resolve o problema de determinar a representacao na tomada de decisao por maioria. Se a maioria fosse baseada em um-endereco-IP-um-voto, poderia ser subvertida por qualquer pessoa capaz de alocar muitos IPs. O proof-of-work e essencialmente um-CPU-um-voto. A decisao da maioria e representada pela cadeia mais longa, que tem o maior esforco de proof-of-work investido nela. Se a maioria do poder de CPU for controlada por nos honestos, a cadeia honesta crescera mais rapido e superara quaisquer cadeias concorrentes. Para modificar um bloco passado, um atacante teria que refazer o proof-of-work do bloco e de todos os blocos apos ele e entao alcancar e superar o trabalho dos nos honestos. Mostraremos mais adiante que a probabilidade de um atacante mais lento alcancar diminui exponencialmente a medida que blocos subsequentes sao adicionados.
Para compensar a velocidade crescente do hardware e o interesse variavel em operar nos ao longo do tempo, a dificuldade do proof-of-work e determinada por uma media movel visando um numero medio de blocos por hora. Se eles forem gerados muito rapidamente, a dificuldade aumenta.
Network
ขั้นตอนในการดำเนินเครือข่ายมีดังนี้:
- ธุรกรรมใหม่ถูกประกาศไปยัง node ทั้งหมด
- แต่ละ node รวบรวมธุรกรรมใหม่เข้าไปในบล็อก
- แต่ละ node ทำงานเพื่อหา proof-of-work ที่ยากสำหรับบล็อกของตน
- เมื่อ node หนึ่งพบ proof-of-work มันจะประกาศบล็อกไปยัง node ทั้งหมด
- Node ยอมรับบล็อกเฉพาะเมื่อธุรกรรมทั้งหมดในนั้นถูกต้องและยังไม่ถูกใช้จ่าย
- Node แสดงการยอมรับบล็อกโดยการทำงานสร้างบล็อกถัดไปในห่วงโซ่ โดยใช้ hash ของบล็อกที่ยอมรับเป็น hash ก่อนหน้า
Node จะถือว่าห่วงโซ่ที่ยาวที่สุดเป็นห่วงโซ่ที่ถูกต้องเสมอ และจะทำงานต่อไปเพื่อขยายมัน หากสอง node ประกาศเวอร์ชันที่แตกต่างกันของบล็อกถัดไปพร้อมกัน node บางตัวอาจได้รับเวอร์ชันหนึ่งหรืออีกเวอร์ชันก่อน ในกรณีนั้น พวกเขาทำงานบนเวอร์ชันที่ได้รับก่อน แต่บันทึกสาขาอื่นไว้ในกรณีที่มันยาวกว่า สถานการณ์เสมอกันจะถูกทำลายเมื่อ proof-of-work ถัดไปถูกพบและสาขาหนึ่งยาวกว่า node ที่ทำงานบนสาขาอื่นจะเปลี่ยนไปยังสาขาที่ยาวกว่า
การประกาศธุรกรรมใหม่ไม่จำเป็นต้องไปถึง node ทั้งหมด ตราบใดที่มันไปถึง node จำนวนมาก มันจะเข้าไปในบล็อกในไม่ช้า การประกาศบล็อกก็ทนต่อข้อความที่สูญหายเช่นกัน หาก node ไม่ได้รับบล็อก มันจะร้องขอเมื่อได้รับบล็อกถัดไปและตระหนักว่าพลาดบล็อกหนึ่งไป
Network
Os passos para operar a rede sao os seguintes:
- Novas transacoes sao transmitidas para todos os nos.
- Cada no coleta novas transacoes em um bloco.
- Cada no trabalha para encontrar um proof-of-work dificil para seu bloco.
- Quando um no encontra um proof-of-work, ele transmite o bloco para todos os nos.
- Os nos aceitam o bloco somente se todas as transacoes nele forem validas e nao tiverem sido gastas anteriormente.
- Os nos expressam sua aceitacao do bloco trabalhando na criacao do proximo bloco na cadeia, usando o hash do bloco aceito como o hash anterior.
Os nos sempre consideram a cadeia mais longa como a correta e continuarao trabalhando para estende-la. Se dois nos transmitirem versoes diferentes do proximo bloco simultaneamente, alguns nos podem receber uma ou outra primeiro. Nesse caso, eles trabalham na primeira que receberam, mas guardam o outro ramo caso ele se torne mais longo. O empate sera quebrado quando o proximo proof-of-work for encontrado e um ramo se tornar mais longo; os nos que estavam trabalhando no outro ramo entao mudarao para o mais longo.
Transmissoes de novas transacoes nao precisam necessariamente alcancar todos os nos. Desde que alcancem muitos nos, elas entrarao em um bloco em breve. Transmissoes de blocos tambem sao tolerantes a mensagens perdidas. Se um no nao receber um bloco, ele o solicitara quando receber o proximo bloco e perceber que perdeu um.
Incentive
ตามธรรมเนียม ธุรกรรมแรกในบล็อกเป็นธุรกรรมพิเศษที่เริ่มต้นเหรียญใหม่ที่เป็นของผู้สร้างบล็อก สิ่งนี้เพิ่มแรงจูงใจให้ node สนับสนุนเครือข่าย และเป็นวิธีในการแจกจ่ายเหรียญเข้าสู่การหมุนเวียนในเบื้องต้น เนื่องจากไม่มีหน่วยงานกลางที่จะออกเหรียญ การเพิ่มจำนวนเหรียญใหม่คงที่อย่างสม่ำเสมอนั้นคล้ายคลึงกับนักขุดทองที่ใช้ทรัพยากรเพื่อเพิ่มทองเข้าสู่การหมุนเวียน ในกรณีของเรา คือเวลา CPU และไฟฟ้าที่ถูกใช้ไป
แรงจูงใจยังสามารถได้รับการสนับสนุนจากค่าธรรมเนียมธุรกรรม หากมูลค่าเอาต์พุตของธุรกรรมน้อยกว่ามูลค่าอินพุต ส่วนต่างคือค่าธรรมเนียมธุรกรรมที่ถูกเพิ่มเข้าไปในมูลค่าแรงจูงใจของบล็อกที่มีธุรกรรมนั้น เมื่อจำนวนเหรียญที่กำหนดไว้ล่วงหน้าเข้าสู่การหมุนเวียนแล้ว แรงจูงใจสามารถเปลี่ยนไปเป็นค่าธรรมเนียมธุรกรรมทั้งหมดและปราศจากเงินเฟ้อโดยสมบูรณ์
แรงจูงใจอาจช่วยส่งเสริมให้ node รักษาความซื่อสัตย์ หากผู้โจมตีที่โลภสามารถรวบรวมพลังงาน CPU ได้มากกว่า node ที่ซื่อสัตย์ทั้งหมด เขาจะต้องเลือกระหว่างการใช้มันเพื่อหลอกลวงผู้คนโดยการขโมยเงินที่จ่ายไปคืน หรือใช้มันเพื่อสร้างเหรียญใหม่ เขาควรพบว่าการเล่นตามกติกาจะมีกำไรมากกว่า กติกาที่ให้เขาได้รับเหรียญใหม่มากกว่าคนอื่นทั้งหมดรวมกัน แทนที่จะบ่อนทำลายระบบและความถูกต้องของทรัพย์สินของตนเอง
Incentive
Por convencao, a primeira transacao em um bloco e uma transacao especial que inicia uma nova moeda pertencente ao criador do bloco. Isso adiciona um incentivo para que os nos apoiem a rede e fornece uma maneira de distribuir inicialmente moedas em circulacao, ja que nao ha uma autoridade central para emiti-las. A adicao constante de uma quantidade fixa de novas moedas e analoga a mineradores de ouro gastando recursos para adicionar ouro a circulacao. No nosso caso, e tempo de CPU e eletricidade que sao gastos.
O incentivo tambem pode ser financiado com taxas de transacao. Se o valor de saida de uma transacao for menor que seu valor de entrada, a diferenca e uma taxa de transacao que e adicionada ao valor de incentivo do bloco que contem a transacao. Uma vez que um numero predeterminado de moedas tenha entrado em circulacao, o incentivo pode transitar inteiramente para taxas de transacao e ser completamente livre de inflacao.
O incentivo pode ajudar a encorajar os nos a permanecerem honestos. Se um atacante ganancioso for capaz de reunir mais poder de CPU do que todos os nos honestos, ele teria que escolher entre usa-lo para fraudar pessoas roubando seus pagamentos de volta, ou usa-lo para gerar novas moedas. Ele deveria achar mais lucrativo jogar pelas regras, regras que o favorecem com mais moedas novas do que todos os outros combinados, do que minar o sistema e a validade de sua propria riqueza.
Reclaiming Disk Space
เมื่อธุรกรรมล่าสุดในเหรียญถูกฝังอยู่ใต้บล็อกจำนวนมากเพียงพอ ธุรกรรมที่ถูกใช้จ่ายก่อนหน้านั้นสามารถถูกทิ้งเพื่อประหยัดพื้นที่ดิสก์ เพื่ออำนวยความสะดวกในเรื่องนี้โดยไม่ทำลาย hash ของบล็อก ธุรกรรมถูก hash ใน Merkle Tree [^7] [^2] [^5] โดยมีเฉพาะ root เท่านั้นที่ถูกรวมไว้ใน hash ของบล็อก บล็อกเก่าสามารถถูกบีบอัดโดยการตัดกิ่งของต้นไม้ออก hash ภายในไม่จำเป็นต้องถูกจัดเก็บ
ส่วนหัวบล็อกที่ไม่มีธุรกรรมจะมีขนาดประมาณ 80 ไบต์ หากเราสมมติว่าบล็อกถูกสร้างทุก 10 นาที 80 ไบต์ * 6 * 24 * 365 = 4.2MB ต่อปี ด้วยระบบคอมพิวเตอร์ที่มักจะขายพร้อม RAM 2GB ณ ปี 2008 และกฎของมัวร์ที่คาดการณ์การเติบโตปัจจุบันที่ 1.2GB ต่อปี การจัดเก็บไม่ควรเป็นปัญหาแม้ว่าส่วนหัวบล็อกจะต้องถูกเก็บไว้ในหน่วยความจำ
Reclaiming Disk Space
Uma vez que a transacao mais recente em uma moeda esteja enterrada sob blocos suficientes, as transacoes gastas antes dela podem ser descartadas para economizar espaco em disco. Para facilitar isso sem quebrar o hash do bloco, as transacoes sao organizadas em hash em uma Merkle Tree [^7] [^2] [^5], com apenas a raiz incluida no hash do bloco. Blocos antigos podem entao ser compactados removendo ramos da arvore. Os hashes interiores nao precisam ser armazenados.
Um cabecalho de bloco sem transacoes teria cerca de 80 bytes. Se supusermos que blocos sao gerados a cada 10 minutos, 80 bytes * 6 * 24 * 365 = 4,2MB por ano. Com sistemas de computador tipicamente vendidos com 2GB de RAM em 2008, e a Lei de Moore prevendo um crescimento atual de 1,2GB por ano, o armazenamento nao deveria ser um problema mesmo que os cabecalhos dos blocos precisem ser mantidos na memoria.
Simplified Payment Verification
เป็นไปได้ที่จะตรวจสอบการชำระเงินโดยไม่ต้องรัน node เครือข่ายเต็มรูปแบบ ผู้ใช้เพียงแค่ต้องเก็บสำเนาส่วนหัวบล็อกของห่วงโซ่ proof-of-work ที่ยาวที่สุด ซึ่งสามารถได้รับโดยการสอบถาม node เครือข่ายจนกว่าจะมั่นใจว่ามีห่วงโซ่ที่ยาวที่สุด และได้รับสาขา Merkle ที่เชื่อมต่อธุรกรรมกับบล็อกที่มันถูกประทับเวลา ผู้ใช้ไม่สามารถตรวจสอบธุรกรรมด้วยตนเองได้ แต่โดยการเชื่อมต่อมันกับตำแหน่งในห่วงโซ่ เขาจะเห็นว่า node เครือข่ายได้ยอมรับมัน และบล็อกที่เพิ่มหลังจากนั้นยืนยันเพิ่มเติมว่าเครือข่ายได้ยอมรับมัน
ดังนั้น การตรวจสอบจึงเชื่อถือได้ตราบใดที่ node ที่ซื่อสัตย์ควบคุมเครือข่าย แต่จะเปราะบางมากขึ้นหากเครือข่ายถูกครอบงำโดยผู้โจมตี ในขณะที่ node เครือข่ายสามารถตรวจสอบธุรกรรมด้วยตนเอง วิธีการที่ง่ายขึ้นสามารถถูกหลอกโดยธุรกรรมปลอมของผู้โจมตีตราบใดที่ผู้โจมตีสามารถครอบงำเครือข่ายต่อไปได้ กลยุทธ์หนึ่งในการป้องกันสิ่งนี้คือการรับการแจ้งเตือนจาก node เครือข่ายเมื่อพวกเขาตรวจพบบล็อกที่ไม่ถูกต้อง กระตุ้นให้ซอฟต์แวร์ของผู้ใช้ดาวน์โหลดบล็อกเต็มและธุรกรรมที่ถูกแจ้งเตือนเพื่อยืนยันความไม่สอดคล้องกัน ธุรกิจที่รับการชำระเงินบ่อยครั้งอาจยังคงต้องการรัน node ของตนเองเพื่อความปลอดภัยที่เป็นอิสระมากขึ้นและการตรวจสอบที่รวดเร็วขึ้น
Simplified Payment Verification
E possivel verificar pagamentos sem operar um no completo da rede. Um usuario precisa apenas manter uma copia dos cabecalhos de bloco da cadeia de proof-of-work mais longa, que ele pode obter consultando nos da rede ate estar convencido de que tem a cadeia mais longa, e obter o ramo Merkle que liga a transacao ao bloco no qual ela foi carimbada com timestamp. Ele nao pode verificar a transacao por si mesmo, mas ao liga-la a um lugar na cadeia, ele pode ver que um no da rede a aceitou, e blocos adicionados apos ela confirmam ainda mais que a rede a aceitou.
Assim, a verificacao e confiavel enquanto nos honestos controlarem a rede, mas e mais vulneravel se a rede for dominada por um atacante. Enquanto os nos da rede podem verificar transacoes por si mesmos, o metodo simplificado pode ser enganado por transacoes fabricadas do atacante enquanto o atacante puder continuar dominando a rede. Uma estrategia para se proteger contra isso seria aceitar alertas dos nos da rede quando eles detectam um bloco invalido, solicitando que o software do usuario baixe o bloco completo e as transacoes alertadas para confirmar a inconsistencia. Empresas que recebem pagamentos frequentes provavelmente ainda vao querer operar seus proprios nos para seguranca mais independente e verificacao mais rapida.
Combining and Splitting Value
แม้ว่าจะเป็นไปได้ที่จะจัดการเหรียญแต่ละเหรียญ แต่การทำธุรกรรมแยกต่างหากสำหรับทุกเซ็นต์ในการโอนจะยุ่งยาก เพื่อให้มูลค่าสามารถแบ่งและรวมได้ ธุรกรรมประกอบด้วยอินพุตและเอาต์พุตหลายรายการ โดยปกติจะมีอินพุตเดียวจากธุรกรรมก่อนหน้าที่มีมูลค่ามากกว่า หรืออินพุตหลายรายการที่รวมจำนวนเงินที่น้อยกว่า และเอาต์พุตไม่เกินสองรายการ: หนึ่งสำหรับการชำระเงิน และหนึ่งสำหรับคืนเงินทอน ถ้ามี กลับไปยังผู้ส่ง
ควรสังเกตว่า fan-out ที่ธุรกรรมขึ้นอยู่กับหลายธุรกรรม และธุรกรรมเหล่านั้นขึ้นอยู่กับอีกมากมาย ไม่ใช่ปัญหาที่นี่ ไม่จำเป็นต้องแยกสำเนาประวัติธุรกรรมที่สมบูรณ์แบบแยกต่างหาก
Combining and Splitting Value
Embora fosse possivel lidar com moedas individualmente, seria impraticavel fazer uma transacao separada para cada centavo em uma transferencia. Para permitir que o valor seja dividido e combinado, as transacoes contem multiplas entradas e saidas. Normalmente havera uma unica entrada de uma transacao anterior maior ou multiplas entradas combinando quantias menores, e no maximo duas saidas: uma para o pagamento e uma devolvendo o troco, se houver, ao remetente.
Deve-se notar que o fan-out, onde uma transacao depende de varias transacoes, e essas transacoes dependem de muitas mais, nao e um problema aqui. Nunca ha a necessidade de extrair uma copia completa e independente do historico de uma transacao.
Privacy
โมเดลธนาคารแบบดั้งเดิมบรรลุระดับความเป็นส่วนตัวโดยการจำกัดการเข้าถึงข้อมูลเฉพาะฝ่ายที่เกี่ยวข้องและบุคคลที่สามที่เชื่อถือได้ ความจำเป็นในการประกาศธุรกรรมทั้งหมดต่อสาธารณะทำให้วิธีนี้ไม่สามารถใช้ได้ แต่ความเป็นส่วนตัวยังคงสามารถรักษาได้โดยการตัดกระแสข้อมูลในจุดอื่น: โดยการรักษา public key ให้เป็นนิรนาม สาธารณชนสามารถเห็นว่าใครบางคนกำลังส่งจำนวนเงินให้คนอื่น แต่ไม่มีข้อมูลที่เชื่อมโยงธุรกรรมกับใครก็ตาม สิ่งนี้คล้ายกับระดับข้อมูลที่เปิดเผยโดยตลาดหลักทรัพย์ ที่ซึ่งเวลาและขนาดของการซื้อขายแต่ละรายการ หรือ "เทป" ถูกเปิดเผยต่อสาธารณะ แต่ไม่บอกว่าฝ่ายต่างๆ เป็นใคร
เป็นไฟร์วอลล์เพิ่มเติม ควรใช้คู่กุญแจใหม่สำหรับแต่ละธุรกรรมเพื่อป้องกันไม่ให้ถูกเชื่อมโยงกับเจ้าของร่วมกัน การเชื่อมโยงบางส่วนยังคงหลีกเลี่ยงไม่ได้กับธุรกรรมที่มีหลายอินพุต ซึ่งจำเป็นต้องเปิดเผยว่าอินพุตของพวกเขาเป็นของเจ้าของคนเดียวกัน ความเสี่ยงคือหากเจ้าของกุญแจถูกเปิดเผย การเชื่อมโยงอาจเปิดเผยธุรกรรมอื่นที่เป็นของเจ้าของคนเดียวกัน
Privacy
O modelo bancario tradicional alcanca um nivel de privacidade limitando o acesso a informacao as partes envolvidas e ao terceiro confiavel. A necessidade de anunciar todas as transacoes publicamente impede este metodo, mas a privacidade ainda pode ser mantida quebrando o fluxo de informacao em outro lugar: mantendo as chaves publicas anonimas. O publico pode ver que alguem esta enviando uma quantia para outra pessoa, mas sem informacao ligando a transacao a qualquer individuo. Isso e semelhante ao nivel de informacao divulgado pelas bolsas de valores, onde o horario e o tamanho das negociacoes individuais, a "fita", sao tornados publicos, mas sem dizer quem foram as partes.
Como uma protecao adicional, um novo par de chaves deve ser usado para cada transacao para evitar que sejam ligadas a um proprietario comum. Alguma ligacao ainda e inevitavel com transacoes de multiplas entradas, que necessariamente revelam que suas entradas pertenciam ao mesmo proprietario. O risco e que, se o proprietario de uma chave for revelado, a ligacao poderia revelar outras transacoes que pertenciam ao mesmo proprietario.
Calculations
เราพิจารณาสถานการณ์ที่ผู้โจมตีพยายามสร้างห่วงโซ่ทางเลือกเร็วกว่าห่วงโซ่ที่ซื่อสัตย์ แม้ว่าจะสำเร็จ มันก็ไม่ได้เปิดระบบให้มีการเปลี่ยนแปลงตามอำเภอใจ เช่น การสร้างมูลค่าจากอากาศ หรือการนำเงินที่ไม่เคยเป็นของผู้โจมตี Node จะไม่ยอมรับธุรกรรมที่ไม่ถูกต้องเป็นการชำระเงิน และ node ที่ซื่อสัตย์จะไม่มีวันยอมรับบล็อกที่มีธุรกรรมเหล่านั้น ผู้โจมตีสามารถพยายามเปลี่ยนแปลงธุรกรรมของตนเองเพียงรายการเดียวเพื่อนำเงินที่เพิ่งใช้จ่ายไปกลับคืนมาเท่านั้น
การแข่งขันระหว่างห่วงโซ่ที่ซื่อสัตย์และห่วงโซ่ของผู้โจมตีสามารถอธิบายได้เป็น Binomial Random Walk เหตุการณ์ที่ประสบความสำเร็จคือห่วงโซ่ที่ซื่อสัตย์ถูกขยายออกหนึ่งบล็อก เพิ่มระยะนำขึ้น +1 และเหตุการณ์ที่ล้มเหลวคือห่วงโซ่ของผู้โจมตีถูกขยายออกหนึ่งบล็อก ลดช่องว่างลง -1
ความน่าจะเป็นที่ผู้โจมตีจะไล่ทันจากส่วนต่างที่กำหนดนั้นคล้ายกับปัญหาการล้มละลายของนักพนัน สมมติว่านักพนันที่มีเครดิตไม่จำกัดเริ่มต้นที่ส่วนต่างและเล่นจำนวนรอบที่อาจเป็นอนันต์เพื่อพยายามไปถึงจุดคุ้มทุน เราสามารถคำนวณความน่าจะเป็นที่เขาจะไปถึงจุดคุ้มทุน หรือที่ผู้โจมตีจะไล่ทันห่วงโซ่ที่ซื่อสัตย์ ได้ดังนี้ [^8]:
p = ความน่าจะเป็นที่ node ที่ซื่อสัตย์จะพบบล็อกถัดไป
q = ความน่าจะเป็นที่ผู้โจมตีจะพบบล็อกถัดไป
q = ความน่าจะเป็นที่ผู้โจมตีจะไล่ทันจาก z บล็อกที่ตามหลัง
``````
\[
qz =
\begin{cases}
1 & \text{if } p \leq q \\
\left(\frac{q}{p}\right) z & \text{if } p > q
\end{cases}
\]
เมื่อให้สมมติฐานของเราว่า p q ความน่าจะเป็นจะลดลงแบบเลขยกกำลังเมื่อจำนวนบล็อกที่ผู้โจมตีต้องไล่ทันเพิ่มขึ้น เมื่ออัตราต่อต้านเขา หากเขาไม่สามารถก้าวกระโดดไปข้างหน้าอย่างโชคดีตั้งแต่เนิ่นๆ โอกาสของเขาจะเล็กลงจนแทบไม่มีเมื่อเขาตามหลังมากขึ้น
ตอนนี้เราพิจารณาว่าผู้รับธุรกรรมใหม่ต้องรอนานเท่าไหร่ก่อนที่จะมั่นใจเพียงพอว่าผู้ส่งไม่สามารถเปลี่ยนแปลงธุรกรรมได้ เราสมมติว่าผู้ส่งเป็นผู้โจมตีที่ต้องการทำให้ผู้รับเชื่อว่าเขาได้จ่ายเงินให้เขาสักพักหนึ่ง แล้วเปลี่ยนไปจ่ายกลับให้ตัวเองหลังจากเวลาผ่านไป ผู้รับจะได้รับการแจ้งเตือนเมื่อเกิดเหตุการณ์นั้น แต่ผู้ส่งหวังว่ามันจะสายเกินไป
ผู้รับสร้างคู่กุญแจใหม่และให้ public key แก่ผู้ส่งไม่นานก่อนการลงนาม สิ่งนี้ป้องกันผู้ส่งจากการเตรียมห่วงโซ่ของบล็อกล่วงหน้าโดยทำงานอย่างต่อเนื่องจนกว่าจะโชคดีพอที่จะนำหน้าไปไกลพอ แล้วจึงดำเนินการธุรกรรมในขณะนั้น เมื่อธุรกรรมถูกส่งแล้ว ผู้ส่งที่ไม่ซื่อสัตย์เริ่มทำงานอย่างลับๆ บนห่วงโซ่คู่ขนานที่มีเวอร์ชันทางเลือกของธุรกรรมของเขา
ผู้รับรอจนกว่าธุรกรรมจะถูกเพิ่มลงในบล็อกและ z บล็อกถูกเชื่อมต่อหลังจากมัน เขาไม่รู้จำนวนที่แน่นอนของความก้าวหน้าที่ผู้โจมตีทำได้ แต่สมมติว่าบล็อกที่ซื่อสัตย์ใช้เวลาเฉลี่ยที่คาดหวังต่อบล็อก ความก้าวหน้าที่เป็นไปได้ของผู้โจมตีจะเป็นการแจกแจงปัวซงที่มีค่าที่คาดหวัง:
\[
\lambda = z\frac{q}{p}
\]
เพื่อหาความน่าจะเป็นที่ผู้โจมตียังสามารถไล่ทันได้ในตอนนี้ เราคูณความหนาแน่นปัวซงสำหรับแต่ละจำนวนความก้าวหน้าที่เขาอาจทำได้ด้วยความน่าจะเป็นที่เขาสามารถไล่ทันจากจุดนั้น:
\[
\sum_{k=0}^{\infty} \frac{\lambda^k e^{-\lambda}}{k!} \cdot \left\{
\begin{array}{cl}
\left(\frac{q}{p}\right)^{(z-k)} & \text{if } k \leq z \\
1 & \text{if } k > z
\end{array}
\right.
\]
จัดเรียงใหม่เพื่อหลีกเลี่ยงการรวมหางอนันต์ของการแจกแจง...
\[
1 - \sum_{k=0}^{z} \frac{\lambda^k e^{-\lambda}}{k!} \left(1-\left(\frac{q}{p}\right)^{(z-k)}\right)
\]
แปลงเป็นโค้ด C...
```c
#include math.h
double AttackerSuccessProbability(double q, int z)
{
double p = 1.0 - q;
double lambda = z * (q / p);
double sum = 1.0;
int i, k;
for (k = 0; k = z; k++)
{
double poisson = exp(-lambda);
for (i = 1; i = k; i++)
poisson *= lambda / i;
sum -= poisson * (1 - pow(q / p, z - k));
}
return sum;
}
เมื่อรันผลลัพธ์บางส่วน เราจะเห็นว่าความน่าจะเป็นลดลงแบบเลขยกกำลังตาม z
q=0.1
z=0 P=1.0000000
z=1 P=0.2045873
z=2 P=0.0509779
z=3 P=0.0131722
z=4 P=0.0034552
z=5 P=0.0009137
z=6 P=0.0002428
z=7 P=0.0000647
z=8 P=0.0000173
z=9 P=0.0000046
z=10 P=0.0000012
q=0.3
z=0 P=1.0000000
z=5 P=0.1773523
z=10 P=0.0416605
z=15 P=0.0101008
z=20 P=0.0024804
z=25 P=0.0006132
z=30 P=0.0001522
z=35 P=0.0000379
z=40 P=0.0000095
z=45 P=0.0000024
z=50 P=0.0000006
แก้สมการสำหรับ P น้อยกว่า 0.1%...
P 0.001
q=0.10 z=5
q=0.15 z=8
q=0.20 z=11
q=0.25 z=15
q=0.30 z=24
q=0.35 z=41
q=0.40 z=89
q=0.45 z=340
Calculations
Consideramos o cenario de um atacante tentando gerar uma cadeia alternativa mais rapido que a cadeia honesta. Mesmo que isso seja alcancado, nao abre o sistema para mudancas arbitrarias, como criar valor do nada ou tomar dinheiro que nunca pertenceu ao atacante. Os nos nao vao aceitar uma transacao invalida como pagamento, e nos honestos nunca aceitarao um bloco que as contenha. Um atacante so pode tentar mudar uma de suas proprias transacoes para recuperar dinheiro que gastou recentemente.
A corrida entre a cadeia honesta e a cadeia do atacante pode ser caracterizada como um Passeio Aleatorio Binomial. O evento de sucesso e a cadeia honesta sendo estendida por um bloco, aumentando sua vantagem em +1, e o evento de falha e a cadeia do atacante sendo estendida por um bloco, reduzindo a diferenca em -1.
A probabilidade de um atacante alcancar a partir de um dado deficit e analoga ao problema da Ruina do Apostador. Suponha que um apostador com credito ilimitado comeca em deficit e joga potencialmente um numero infinito de tentativas para tentar alcancar o equilibrio. Podemos calcular a probabilidade de ele alguma vez alcancar o equilibrio, ou de um atacante alguma vez alcancar a cadeia honesta, da seguinte forma [^8]:
p = probabilidade de um no honesto encontrar o proximo bloco
q = probabilidade de o atacante encontrar o proximo bloco
q = probabilidade de o atacante alguma vez alcancar estando z blocos atras
\[ qz = \begin{cases} 1 & \text{se } p \leq q \\ \left(\frac{q}{p}\right) z & \text{se } p > q \end{cases} \]
Dada nossa suposicao de que p q, a probabilidade cai exponencialmente a medida que o numero de blocos que o atacante precisa alcancar aumenta. Com as chances contra ele, se ele nao fizer um avanco sortudo no inicio, suas chances se tornam infinitesimalmente pequenas a medida que fica mais para tras.
Agora consideramos quanto tempo o destinatario de uma nova transacao precisa esperar antes de estar suficientemente certo de que o remetente nao pode mudar a transacao. Assumimos que o remetente e um atacante que quer fazer o destinatario acreditar que o pagou por um tempo, e entao muda-lo para pagar a si mesmo apos algum tempo ter passado. O destinatario sera alertado quando isso acontecer, mas o remetente espera que seja tarde demais.
O destinatario gera um novo par de chaves e da a chave publica ao remetente pouco antes de assinar. Isso evita que o remetente prepare uma cadeia de blocos com antecedencia trabalhando nela continuamente ate ter sorte o suficiente para ficar suficientemente a frente, e entao executar a transacao naquele momento. Uma vez que a transacao e enviada, o remetente desonesto comeca a trabalhar em segredo em uma cadeia paralela contendo uma versao alternativa de sua transacao.
O destinatario espera ate que a transacao tenha sido adicionada a um bloco e z blocos tenham sido ligados apos ele. Ele nao sabe a quantidade exata de progresso que o atacante fez, mas assumindo que os blocos honestos levaram o tempo medio esperado por bloco, o progresso potencial do atacante sera uma distribuicao de Poisson com valor esperado:
\[ \lambda = z\frac{q}{p} \]
Para obter a probabilidade de o atacante ainda poder alcancar agora, multiplicamos a densidade de Poisson para cada quantidade de progresso que ele poderia ter feito pela probabilidade de ele poder alcancar a partir daquele ponto:
\[ \sum_{k=0}^{\infty} \frac{\lambda^k e^{-\lambda}}{k!} \cdot \left\{ \begin{array}{cl} \left(\frac{q}{p}\right)^{(z-k)} & \text{se } k \leq z \\ 1 & \text{se } k > z \end{array} \right. \]
Reorganizando para evitar somar a cauda infinita da distribuicao...
\[ 1 - \sum_{k=0}^{z} \frac{\lambda^k e^{-\lambda}}{k!} \left(1-\left(\frac{q}{p}\right)^{(z-k)}\right) \]
Convertendo para codigo C...
#include math.h
double AttackerSuccessProbability(double q, int z)
{
double p = 1.0 - q;
double lambda = z * (q / p);
double sum = 1.0;
int i, k;
for (k = 0; k = z; k++)
{
double poisson = exp(-lambda);
for (i = 1; i = k; i++)
poisson *= lambda / i;
sum -= poisson * (1 - pow(q / p, z - k));
}
return sum;
}
Executando alguns resultados, podemos ver a probabilidade cair exponencialmente com z.
q=0.1
z=0 P=1.0000000
z=1 P=0.2045873
z=2 P=0.0509779
z=3 P=0.0131722
z=4 P=0.0034552
z=5 P=0.0009137
z=6 P=0.0002428
z=7 P=0.0000647
z=8 P=0.0000173
z=9 P=0.0000046
z=10 P=0.0000012
q=0.3
z=0 P=1.0000000
z=5 P=0.1773523
z=10 P=0.0416605
z=15 P=0.0101008
z=20 P=0.0024804
z=25 P=0.0006132
z=30 P=0.0001522
z=35 P=0.0000379
z=40 P=0.0000095
z=45 P=0.0000024
z=50 P=0.0000006
Resolvendo para P menor que 0,1%...
P 0.001
q=0.10 z=5
q=0.15 z=8
q=0.20 z=11
q=0.25 z=15
q=0.30 z=24
q=0.35 z=41
q=0.40 z=89
q=0.45 z=340
Conclusion
เราได้เสนอระบบสำหรับธุรกรรมอิเล็กทรอนิกส์โดยไม่ต้องพึ่งพาความไว้วางใจ เราเริ่มต้นด้วยกรอบการทำงานปกติของเหรียญที่สร้างจากลายเซ็นดิจิทัล ซึ่งให้การควบคุมความเป็นเจ้าของที่แข็งแกร่ง แต่ไม่สมบูรณ์หากไม่มีวิธีป้องกัน double-spending เพื่อแก้ปัญหานี้ เราเสนอเครือข่าย peer-to-peer ที่ใช้ proof-of-work เพื่อบันทึกประวัติสาธารณะของธุรกรรม ซึ่งกลายเป็นสิ่งที่ไม่สามารถทำได้ในทางคำนวณสำหรับผู้โจมตีที่จะเปลี่ยนแปลงอย่างรวดเร็ว หาก node ที่ซื่อสัตย์ควบคุมพลังงาน CPU ส่วนใหญ่ เครือข่ายมีความแข็งแกร่งในความเรียบง่ายที่ไม่มีโครงสร้าง Node ทำงานพร้อมกันทั้งหมดโดยมีการประสานงานเพียงเล็กน้อย พวกเขาไม่จำเป็นต้องถูกระบุตัวตน เนื่องจากข้อความไม่ได้ถูกส่งไปยังสถานที่ใดสถานที่หนึ่งโดยเฉพาะ และเพียงแค่ต้องถูกส่งมอบบนพื้นฐานความพยายามอย่างดีที่สุด Node สามารถออกจากและกลับเข้าร่วมเครือข่ายได้ตามต้องการ โดยยอมรับห่วงโซ่ proof-of-work เป็นหลักฐานของสิ่งที่เกิดขึ้นขณะที่พวกเขาไม่อยู่ พวกเขาลงคะแนนด้วยพลังงาน CPU ของพวกเขา แสดงการยอมรับบล็อกที่ถูกต้องโดยการทำงานขยายมัน และปฏิเสธบล็อกที่ไม่ถูกต้องโดยปฏิเสธที่จะทำงานบนมัน กฎและแรงจูงใจที่จำเป็นใดๆ สามารถบังคับใช้ด้วยกลไกฉันทามตินี้
Conclusion
Propusemos um sistema para transacoes eletronicas sem depender de confianca. Comecamos com o framework usual de moedas feitas de assinaturas digitais, que fornece forte controle de propriedade, mas e incompleto sem uma maneira de prevenir o gasto duplo. Para resolver isso, propusemos uma rede peer-to-peer usando proof-of-work para registrar um historico publico de transacoes que rapidamente se torna computacionalmente impraticavel para um atacante alterar se nos honestos controlarem a maioria do poder de CPU. A rede e robusta em sua simplicidade nao estruturada. Os nos trabalham todos de uma vez com pouca coordenacao. Eles nao precisam ser identificados, uma vez que as mensagens nao sao roteadas para nenhum lugar especifico e apenas precisam ser entregues com base no melhor esforco. Os nos podem sair e reingressar na rede a qualquer momento, aceitando a cadeia de proof-of-work como prova do que aconteceu enquanto estavam ausentes. Eles votam com seu poder de CPU, expressando sua aceitacao de blocos validos ao trabalhar para estende-los e rejeitando blocos invalidos ao se recusar a trabalhar neles. Quaisquer regras e incentivos necessarios podem ser aplicados com este mecanismo de consenso.
References
-
H. Massias, X.S. Avila, and J.-J. Quisquater, "Design of a secure timestamping service with minimal trust requirements," In 20th Symposium on Information Theory in the Benelux, May 1999.
-
S. Haber, W.S. Stornetta, "How to time-stamp a digital document," In Journal of Cryptology, vol 3, no 2, pages 99-111, 1991.
-
D. Bayer, S. Haber, W.S. Stornetta, "Improving the efficiency and reliability of digital time-stamping," In Sequences II: Methods in Communication, Security and Computer Science, pages 329-334, 1993.
-
S. Haber, W.S. Stornetta, "Secure names for bit-strings," In Proceedings of the 4th ACM Conference on Computer and Communications Security, pages 28-35, April 1997.
-
A. Back, "Hashcash - a denial of service counter-measure," http://www.hashcash.org/papers/hashcash.pdf, 2002.
-
R.C. Merkle, "Protocols for public key cryptosystems," In Proc. 1980 Symposium on Security and Privacy, IEEE Computer Society, pages 122-133, April 1980.
-
W. Feller, "An introduction to probability theory and its applications," 1957.
References
-
H. Massias, X.S. Avila, and J.-J. Quisquater, "Design of a secure timestamping service with minimal trust requirements," In 20th Symposium on Information Theory in the Benelux, May 1999.
-
S. Haber, W.S. Stornetta, "How to time-stamp a digital document," In Journal of Cryptology, vol 3, no 2, pages 99-111, 1991.
-
D. Bayer, S. Haber, W.S. Stornetta, "Improving the efficiency and reliability of digital time-stamping," In Sequences II: Methods in Communication, Security and Computer Science, pages 329-334, 1993.
-
S. Haber, W.S. Stornetta, "Secure names for bit-strings," In Proceedings of the 4th ACM Conference on Computer and Communications Security, pages 28-35, April 1997.
-
A. Back, "Hashcash - a denial of service counter-measure," http://www.hashcash.org/papers/hashcash.pdf, 2002.
-
R.C. Merkle, "Protocols for public key cryptosystems," In Proc. 1980 Symposium on Security and Privacy, IEEE Computer Society, pages 122-133, April 1980.
-
W. Feller, "An introduction to probability theory and its applications," 1957.
