Die Sicherheit von Ethereum nach dem Merge

Im dritten Teil des Themenschwerpunktes zum Merge wird es um Sicherheit gehen. Wie schützt sich Ethereum in Zukunft gegen Angriffe? Und wie gut ist die Sicherheit im Vergleich zu Bitcoin?

Bei Bitcoin und anderen Kryptowährungen geht es fast immer um Sicherheit. Ohne Sicherheit sind sie nichts, mit Sicherheit sind sie alles.

Daher war es eine häufige Frage von euch, wie sicher Ethereum nach dem Merge mit Proof of Stake wird – und wie der Vergleich mit Proof of Work bzw. Bitcoin ausfällt.

Ich plane gerade einen Schwerpunkt zum Merge von Ethereum.

Welche Fragen dazu brennen euch unter den Nägeln?

— 🚀Christoph Bergmann🚀 (@BTC_de_Blog) August 29, 2022

GET YOUR 100% BONUS WITHDRAWALS WITHIN 5 MINUTES!

Natürlich lässt sich diese Frage nicht vorab beantworten. Wie sicher etwas wirklich ist, kann nur die Zeit zeigen. Das Vertrauen, das sich Bitcoin und Proof of Work erarbeitet haben, muss sich Ethereum nach dem Merge erst verdienen.

In der Theorie existieren viele verschiedene Meinungen von vielen technisch kompetenten Menschen. Daher wage ich nicht, hier ein Fazit zu formulieren, sondern versuche, verschiedene Informationen und Ansichten zusammenzutragen.

Slashing: Alles at Stake!

Für eine lange Zeit drehte sich die Diskussion zur Sicherheit von Proof of Stake um das „Nothing at Stake“ Argument: Da Staker nichts zu verlieren haben – etwa Hardware oder Strom – gibt es keinen Schutz gegen Angriffe der Validatoren.

Dieses Argument kursiert immer noch. Dabei haben Ethereum-Entwickler das Problem durch dem Slashing gelöst.

Slashing ist eine zentrale Säule der Sicherheit von Ethereum nach dem Merge. Slashing, schreibt das ETH2-Book, „geschieht, wenn ein Validator sehr spezifische Protokoll-Regeln bricht, während er Blöcke, die Attacken auf die Blockchain konstituieren können, vorschlägt oder attestiert.“

Wenn jemand „geslasht“ wird, „verliert er einen potenziell signifikanten Betrag seines Stakes und wird aus dem Protokoll ausgeschlossen.“

Slashing ist also ein Mechanismus, um Validatoren zu bestrafen, wenn sie das Protokoll angreifen. Indem der Validator einen Teil seines Stakes verliert, erleidet er nicht nur eine teure Strafe. Er verliert an Einfluss, um den Angriff zu wiederholen. Anstatt „Nothing“ ist „Everything“ at Stake.

Dies ändert die spieltheoretischen Umstände und Mechanismen grundsätzlich.

51-Prozent-Angriffe

Auf dem Papier ist Ethereum nach dem Merge sicherer als Bitcoin.

Bei Bitcoin ist seit jeher der 51-Prozent-Angriff bekannt. Wenn ein Miner – oder ein Kartell von Minern – 51 Prozent der gesamten Hashrate vereinnahmt, kann er oder es die Blockchain „reorganisieren“: Er kann vergangene Blöcke löschen und durch andere ersetzen.

Neben dem klassischen 51-Prozent-Angriff existieren auch Szenarien wie das Selfish-Mining, bei dem sich ein Miner schon ab etwa 25 Prozent der Hashrate einen eigentlich unerlaubten Vorteil verschaffen kann.

Ein klassischer 51-Prozent-Angriff ist teuer, schwer systematisch auszubeuten und keine existenzielle Bedrohung für Bitcoin. Die grundlegende spieltheoretische Annahme ist die, dass ein Miner, der so viel Hashrate an sich zieht, klare Interessen hat, das gesamte System nicht wegen eines kleinen Betrugs zu beschädigen.

Bisher halten diese spieltheoretischen Annahmen bei Bitcoin. Wie zukunftsfähig sie sind, wenn der Blockreward austrocknet, wird sich aber erst noch zeigen müssen.

Bei anderen Blockchains mit Proof of Work, etwa Ethereum Classic oder Bitcoin Cash, fanden hingegen bereits solche Angriffe statt. Proof of Work widersteht ihnen also nicht grundsätzlich.

Supermehrheiten

Bei Ethereum wird es nach dem Merge keine 51-Prozent-Angriffe mehr geben. Stattdessen werden nur noch 66-Prozent-Angriffe möglich sein.

Der Hintergrund ist der folgende: Eine Supermehrheit von 2/3 der Validatoren entscheidet, ob eine „Epoche“ – das ist ein Bündel mit 32 Blöcken – durch einen Checkpoint finalisiert wird. Eine klassische Reorg-Attacke – wie der 51-Prozent-Angriff – bräuchte 66 Prozent, um eine bereits finalisierte Transaktion rückgängig zu machen.

Wenn der Stake des Angreifers nur etwas geringer ist – sagen wir, 65 Prozent – ist ein solcher klassischer Reorg-Angriff mehr oder weniger unmöglich, da der Angreifer durch Slashing bestraft wird. Er hat nur einen Schuss.

Bei Bitcoin ist dies anders. Ein Miner mit, sagen wir 30 Prozent der Hashpower, kann immer wieder versuchen, einen selbst geschürften Block rückgängig zu machen. Damit dies gelingt, muss er lediglich zwei Blöcke in Folge finden.

Daher akzeptieren viele Börsen Bitcoin-Transaktionen erst ab sechs Bestätigungen, was etwa eine Stunde dauert. Dann gilt eine Transaktion als finalisiert.

Bei Ethereum wird hingegen eine Transaktion als finalisiert gelten, wenn die Epoche, in der sie ist, einen Checkpoint hat. Dies dauert 12 Sekunden bis 6,4 Minuten.

Dieser Punkt geht also klar an Ethereum. Doch das ist nur die Hälfte der Geschichte.

Mehr Komplexität – mehr Angriffe

Über eine Sache sind sich alle einig: Proof of Stake ist viel komplizierter als Proof of Work.

Und, auch darüber herrscht Konsens: Eine Sache, die komplizierter ist, ist auch anfälliger für Angriffe oder Fehler. Dementsprechend wurden im Vorfeld des Merges einige Angriffe entdeckt.

Etwa die „Ex Ante Reorg“. Diese – das ist schwer zu verstehen – verändert keinen vergangenen, sondern einen zukünftigen Block bzw. macht ihn ungültig. Durch sie könnte man etwa die Abwicklung von DeFi-Transaktionen manipulieren.

Oder die „Balancing and Bouncing Attacke“. Sie spaltet das Set der Validatoren in zwei Gruppen. Indem sie diese Spaltung aufrechthält, verhindert sie, dass eine Epoche jemals die für die Finalisierung notwendige Supermehrheit erreicht.

Beide Angriffe benötigen keine zwei Drittel des Stakes, sondern funktionieren schon bei 30 Prozent, unter Umständen auch bereits bei 1-2 Prozent. Um die Balancing and Bouncing Attacke zu beginnen, braucht man lediglich einen Validator, der eine vernünftige Chance hat, einen Block vorzuschlagen.

Die bekannten Angriffe wurden neutralisiert, wofür auch das System des Slashing und anderer Strafen geholfen hat. Mit diesem Mechanismus können die Ethereum-Entwickler auf ein Werkzeug zugreifen, um effizient und rasch auf Angriffe reagieren zu können.

Aber kann sich das Slashing auch gegen Ethereum selbst wenden?

Gute Policey

Teilweise kursierte die Furcht, ein Validator könnte seinen ganzen Stake verlieren, wenn er kurz offline ist. Das ist falsch. Wenn ein Validator nicht erreichbar ist, bekommt er lediglich eine Strafe in der Höhe des Verdienstes, das er in der Zeit seiner Abwesenheit gemacht hätte.

Das Protokoll hat einen ganzen Strafkatalog, quasi eine „Gute Policey“, der die Validatoren kontrollieren soll. Validatoren sollten sich etwa bemühen, jedes Update rechtzeitig einzuspielen, um Strafen zu vermeiden. Allerdings ist es sehr unwahrscheinlich, dass ein verpasstes – oder falsches – Upgrade zu einem Slashing führt.

Bisher, in den Testnetzwerken, gab es nur wenige Fälle, bei denen es zum Slashing kam. Bei allen ging es um falsch konfigurierte Systeme, die denselben Schlüssel für zwei Validatoren verwendet haben. Das ist ein klassischer Sybill-Angriff. Quasi ein Double-Stake. Die falsch konfigurierten Validatoren verloren etwa 5 Prozent ihrer Stakes und mussten etwas warten, bis sie wieder staken durften.

Die Höhe der Strafe hängt davon ab, wie viele Validatoren angreifen. Wenn ein einzelner Validator falsch konfiguriert ist, ist die Strafe gering; werden dagegen 10 Prozent oder mehr bei einem solchen Sybill-Angriff erwischt, verlieren sie viel, vielleicht auch alles.

Das Slashing schützt vor Angriffen. Es ermöglicht aber auch neuartige Angriffe, die darin bestehen, Validatoren dazu zu bringen, etwas zu tun, das ein Slashing nach sich zieht. Je weiter solche Angriffe reichen, desto größer der Schaden für alle.

Aber auch ohne Angriff könnte das Slashing negative Konsequenzen nach sich ziehen.

Erstarrung und Upgrade-Wars

Die Spieltheorie des Slashings ist komplex. Es wird grundsätzlich bestraft, wenn sich jemand dem Konsens entzieht, und desto schärfer, je mehr Akteure mitziehen.

Dies könnte so etwas wie Kämpfe um Updates extrem schwierig machen. Sowohl bei Bitcoin als auch Ethereum sorgt ein sozialer Konsens derzeit dafür, dass die User, die die Nodes betreiben, sich für oder gegen ein Update entscheiden.

Daher die intensiven, zum teil auch bitteren und hitzigen Diskussionen von Updates. Man kann sich eine Blockchain auch als technisches Medium für soziale Prozesse vorstellen.

Mit Ethereum ändern sich die Spielregeln. Was verändert sich, wenn man allein für den Versuch bestraft wird, sich einem Upgrade zu widersetzen – oder ein Upgrade zu wagen? Und wenn die Strafe immer schärfer wird, je mehr Leute sich dem anschließen? Wer wagt es, das Zünglein an der Waage zu sein? Wird ein existierender sozialer Dissens auf der technischen Ebene der Blockchain unterdrückt?

Es könnte eine Art Erstarrung drohen. Upgrades, denen nicht von vorneherein zwei Drittel der Validatoren zustimmen, haben keine Chance, jemals eine solche Mehrheit zu erreichen. Gleichzeitig könnte das Slashing jeden Widerstand ersticken, sobald ein Upgrade einmal zwei Drittel der Validatoren überzeugt hat.

Eine Debatte um ein relativ aktuelles Ereignis veranschaulicht dies.

Die Frage nach der Zensur

Vor einigen Wochen setzte das US-Finanzministerium den dezentralen Mixer Tornado Cash auf eine Blacklist. Es ist US-Bürgern und -Unternehmen verboten, mit den Adressen des Smart Contracts zu interagieren.

Die Frage, die danach im Raum stand, war diese: Wäre es möglich, dass ein Kartell wichtiger Staker diese Sanktionen onchain durchsetzt? Dass sie also dafür sorgen, dass Transaktionen an bestimmte Adressen niemals finalisiert werden?

Diese Frage ist bei Proof of Stake hochrelevant. Denn anders als bei Proof of Work produzieren nicht die Parteien die Blöcke, die die meiste Mining-Hardware haben, sondern die, die die meisten Ether besitzen.

Das sind sehr oft traditionelle Börsen. Zum Beispiel Coinbase, Kraken und Binance. Proof of Stake gibt also Unternehmen, die in der Regel reguliert sind und den Konflikt mit dem US-Finanzministerium scheuen, die Macht über den Konsens.

Was, wenn sich US-Börsen verpflichten müssen, die Blacklist des Finanzministeriums in ihr Staking zu integrieren?

Die Ethereum-Community beschwor den „sozialen Konsens“: Die Szene würde eine solche Zensur ablehnen, und ein Validator, der es auch nur versucht, würde geslasht werden. Keine Börse kann es sich leisten, auch nur zu riskieren, die Ether ihrer Kunden durch eine solche Aktion unwiderbringlich zu verlieren. Die Spieltheorie wirkt.

Auf der anderen Seite ist die Zensur in trockenen Tüchern, sobald ein Kartell von Börsen (oder Staking-Pools) zwei Drittel der gesamten Stakes erreicht. Dann dreht sich das Spiel um: Allein der Versuch, die Zensur aufzuhalten, wird teuer; und je mehr Leute es versuchen – je größer die Chance, die Zensur zu brechen – desto höher fallen die Strafen aus.

Am bedrohlichsten ist dabei aber eine andere Art von Erstarrung. Bei einem Proof-of-Work-System benötigt ein zensierendes Kartell eine ständige Reinvestition, um die Zensur aufrecht zu halten: Sie müssen Strom bezahlen, alte Miner ersetzen und weitere Miner hinzukaufen, um den Anteil an der Hashrate zu halten. Wenn ein Miner aufhört, zu reinvestieren, rutscht er in die Irrelevanz ab.

Bei Proof of Stake hingegen muss das zensierende Kartell nicht mehr machen, als die Ether, die sie erzeugen, zum Stake zu machen. Das erfordert weder Investitionen in Strom noch in Hardware. Damit wird ein Kartell bei Proof of Stake mehr oder weniger verewigt: Es ist kaum mehr möglich, es zu brechen.

Kein Fazit

Kann man ein Fazit ziehen? Wie versprochen, nein. Dies wird erst die Zeit zeigen. In der Theorie sollte Ethereum etwas sicherer gegen Reorg-Angriffe sein und Transaktionen schneller finalisieren können. Zugleich aber erscheinen Zensur-Angriffe wahrscheinlicher, und Kartelle können sich stärker verfestigen.

   

Source