Давайте теперь попытаемся понять, почему этот консенсусный алгоритм работает.
Для этого давайте рассмотрим, как вредоносный противник, которого мы назовем Алисой, может подорвать этот процесс.
Рассмотрим кражу биткойнов.
Может ли Алиса просто украсть биткойны, принадлежащие другому пользователю, по адресу, который она не контролирует?
Нет. Даже если настанет очередь Алисы предложить следующий блок в цепочке, она не сможет украсть биткойны других пользователей.
Для этого потребуется, чтобы Алиса создала действительную транзакцию, которая делает проводку этой монеты.
Для этого нужно, чтобы Алиса подделала подписи владельцев, что она не может сделать, если используется безопасная схема цифровой подписи.
Таким образом, до тех пор, пока основная криптография будет строгой и надежной, она не сможет просто украсть биткойны.
Теперь рассмотрим возможность атаки на отказ в обслуживании.
Скажем, Алисе сильно не нравится какой-то другой пользователь Боб.
Поэтому Алиса может решить, что она не будет включать какие-либо транзакции, происходящие из адреса Боба, в любом блоке, который она предлагает, чтобы попасть в цепочку блоков.
Другими словами, она отказывает в сервисе Бобу.
К счастью, у Алисы в итоге ничего не получится, это будет не более чем незначительная досада.
Если транзакция Боба не будет включена в следующий блок, который предлагает Алиса, эта транзакция просто подождёт, пока честный узел не получит предложение предложить блок, а затем его транзакция попадет в этот блок.
Рассмотрим атаку двойной траты.
Алиса может попытаться запустить атаку двойной траты.
Чтобы понять, как это работает, предположим, что Алиса является клиентом какого-либо онлайн-продавца или веб-сайта, который ведет Боб, который предоставляет некоторые онлайн-услуги в обмен на оплату в биткойнах.
Скажем, сервис Боба позволяет загружать некоторые программы.
Вот как может работать атака с двойной тратой.
Алиса добавляет товар в свою корзину на веб-сайте Боба, и сервер запрашивает платеж.
Затем Алиса создает транзакцию биткойна со своего адреса Бобу и транслирует ее в сеть.
Предположим, что какой-то честный узел создает следующий блок и включает эту транзакцию в этот блок.
Теперь есть блок, который был создан честным узлом, который содержит транзакцию, которая представляет платеж от Алисы покупателю Бобу.
Напомним, что транзакция представляет собой структуру данных, содержащую подпись Алисы, инструкцию для оплаты открытому ключу Боба и хэш.
Этот хэш представляет собой указатель на предыдущую транзакцию, который Алиса получила перед этим и сейчас тратит.
Этот указатель должен ссылаться на транзакцию, которая была включена в какой-то предыдущий блок в консенсусной цепочке.
Заметьте, кстати, что здесь есть два разных типа хеш-указателей, что может запутать.
Во-первых, Блоки содержат хеш-указатель на предыдущий блок, который они расширяют.
И во-вторых, транзакции включают один или несколько хэш указателей на предыдущие транзакции, которые не являются потраченными.
Вернемся к тому, как Алиса может начать атаку двойной траты.
Последний блок был создан честным узлом и включает транзакцию, в которой Алиса платит Бобу за загрузку программного обеспечения.
Увидев эту транзакцию, включенную в цепочку блоков, Боб приходит к выводу, что Алиса заплатила ему и позволяет Алисе загрузить программное обеспечение.
Предположим, что следующий случайный узел, выбранный в следующем раунде протокола, контролируется Алисой.
Теперь, когда Алиса предложит следующий блок, она может предложить блок, который игнорирует блок, содержащий платеж Бобу, и вместо этого содержит указатель на предыдущий ему блок.
Кроме того, в блоке, который она предлагает, Алиса включает транзакцию, которая передает те самые монеты, которые она посылала Бобу, на другой адрес, который она же сама контролирует.
Это классический шаблон двойной траты.
Поскольку две транзакции делают проводку одних и тех же монет, только одна из них может быть включена в цепочку блоков.
Если Алисе удастся включить платеж на свой собственный адрес в цепочку блоков, тогда транзакция, в которой она платит Бобу, становится бесполезной, так как эта транзакция никогда не может быть включена позже в цепочку блоков.
И как мы узнаем, удастся ли эта попытка двойной траты или нет?
Это зависит от того, какой блок в конечном итоге будет в конце консенсусной цепочкой тот, который связан с транзакцией Алиса Боб или с транзакцией Алиса Алиса.
Что определяет, какой блок будет включен?
Честные узлы следуют политике расширения самой длинной действующей ветви, поэтому какая ветвь будет расширяться?
Правильного ответа нет!
На этом этапе две ветви имеют одинаковую длину они отличаются только в последнем блоке, и оба этих блока действительны.
Затем узел, который выбирает следующий блок, может решить использовать один из этих блоков, и этот выбор определяет, удастся ли выполнить двойную трату.
С моральной точки зрения существует четкая разница между блоком, содержащим транзакцию, которая платит Бобу и блоку, содержащему транзакцию, в которой Алиса дважды тратит эти монеты на свой собственный адрес.
Но это различие основано только на наших знаниях о том, что Алиса впервые заплатила Бобу, а затем попыталась выполнить двойную трату.
С технологической точки зрения, однако, эти две транзакции полностью идентичны, и оба блока одинаково действительны.
Узлы, которые смотрят на это, действительно не могут сказать, что является морально верной транзакцией. Для них они обе валидны.
На практике узлы часто расширяют блок, о котором они впервые услышали в одноранговой сети.
Но это не строгое правило.
И в любом случае, из-за латентности сети, легко может оказаться, что блок, о котором сначала услышал узел, на самом деле является блоком, который был создан позже.
Таким образом, существует некоторый шанс, что следующий узел, который может предложить блок, расширит блок, содержащий двойную трату.
Алиса могла бы еще больше увеличить вероятность того, что это произойдет, договорившись или контролируя следующий узел, чтобы это сделать.
Если следующий узел предложит блок, который ссылается на блок с двойной тратой по какой-либо причине, тогда эта цепочка теперь будет длиннее той, которая включает транзакцию для Боба.
На этом этапе следующий честный узел с большой вероятностью будет продолжать строить эту цепочку, поскольку он длиннее.
Этот процесс будет продолжаться, и становится все более вероятным, что блок, содержащий двойную трату, станет частью долгосрочной консенсусной цепи.
С другой стороны, блок, содержащий транзакцию для Боба, полностью проигнорируется сетью, и теперь это будет называться сиротским блоком.
Давайте теперь пересмотрим всю эту ситуацию с точки зрения Боба-торговца.
Понимание того, как Боб может защитить себя от этой атаки двойной траты, является ключевой частью понимания безопасности биткойнов.
Когда Алиса транслирует транзакцию, которая представляет ее платеж Бобу, Боб слушает в сети и слышит об этой транзакции еще до создания следующего блока.
Если бы Боб был еще более безрассудным, чем мы описали ранее, он может завершить процесс оформления заказа на веб-сайте и позволить Алисе загрузить программное обеспечение прямо в этот момент.
Это называется транзакцией с нулевым подтверждением.
Это приводит к появлению еще большей вероятности атаки двойной траты, чем было описано до этого.
Раньше для атаки двойной траты приходилось предполагать, что злоумышленник контролирует узел, предлагающий следующий блок.
Но если Боб разрешает Алисе загружать программное обеспечение до того, как транзакция получит хотя бы одно подтверждение в цепочке блоков, тогда Алиса может немедленно транслировать транзакцию с двойной тратой, а честный узел может ее включать в следующий блок, а не транзакцию, которая платит Бобу.
С другой стороны, осторожный торговец не даст программное обеспечение Алисе даже после того, как транзакция была включена в один блок и будет продолжать ждать.
С другой стороны, осторожный торговец не даст программное обеспечение Алисе даже после того, как транзакция была включена в один блок и будет продолжать ждать.
Если Боб увидит, что Алиса успешно запускает атаку двойной траты, он поймет, что блок, содержащий оплату Алисы для него, остался сиротой.
Он должен отказаться от транзакции и не позволить Алисе загрузить программное обеспечение.
Если же вместо этого, несмотря на попытку двойной траты, следующие несколько узлов будут строить блокчейн с помощью блока транзакции Алиса Боб, тогда Боб будет уверен, что его сделка будет находиться в долгосрочной консенсусной цепочке.
В целом, чем больше существует подтверждений транзакции, тем выше вероятность того, что она будет содержаться в долгосрочной консенсусной цепочке.
Напомню, что поведение честных узлов всегда заключается в расширении самой длинной допустимой ветви, которую они видят.
Шанс, что более короткая ветка с двойной тратой догонит длинную ветку, становится все более незначительным, поскольку она растет дольше, чем любая другая ветвь.
Это предположение верно, если только меньшинство узлов является зловредными для более короткой ветки, чтобы догнать более длинную ветку, несколько зловредных узлов должны будут подряд собирать блокчейн.
Фактически, вероятность двойного расходования экспоненциально уменьшается с количеством подтверждений.
Если транзакция, в которой вы заинтересованы, получила k подтверждений, то вероятность того, что транзакция с двойным расходованием будет в долгосрочной консенсусной цепочке, эта вероятность будет экспоненциально убывать как функция от k.
Наиболее распространенная практика, используемая в экосистеме биткойнов, это ждать шесть подтверждений.
В числе шесть нет ничего особенного.
Это просто хороший компромисс между количеством времени, которое вы должны ждать, и вашей гарантией того, что транзакция, в которой вы заинтересованы, попадает в цепочку консенсусного блока.
Напомню, что защита от недействительных транзакций полностью криптографическая.
Но эта защита осуществляется на основе консенсуса, а это означает, что если узел попытается включить криптографически недействительную транзакцию, то единственная причина, по которой транзакция не окажется в долгосрочной консенсусной цепочке, заключается в том, что большинство узлов являются честными и не будут включать недопустимую транзакцию в цепочку блоков.