Dans un article rendu public il y a quelques jours, Cyril Grunspan (ESILV, De Vinci Research Center) et Ricardo Pérez-Marco (CNRS, IMJ-PRG) démontrent que Bitcoin est beaucoup plus robuste qu’on peut le croire. Les deux mathématiciens avaient prouvé en 2017 que le calcul de probabilité de réussite d’une double-dépense mené par Satoshi Nakamoto était très approximatif. Ils démontrent aujourd’hui que, dans la plupart des cas, le taux de rentabilité d’un mineur cherchant à réaliser des doubles dépenses est bien plus faible que celui d’un mineur honnête.
Jusqu’alors on considérait qu’une transaction Bitcoin était sûre et irréversible à partir de six confirmations. Le travail des deux chercheurs tend à prouver que, sauf pour des transactions d’un montant exceptionnel, deux confirmations sont suffisantes.
« Ce qu’on savait avant ce nouveau travail : La stratégie de double dépense décrite dans le papier de Nakamoto avait été uniquement analysée sur le plan de la probabilité de succès. Nakamoto calculait de façon approchée cette probabilité. Dans un article antérieur on a corrigé l’erreur de son approximation et on a donné une formule exacte pour cette probabilité. Ceci a donné lieu à un article “Double spend races” publié au International Journal of Theoretical and Applied Finance (IJTAF), 21, 8, 2018 et a donné lieu à un article d’Aaron Van Wirdum dans Bitcoin Magazine.
Le nouvel apport : Du point de vue de la rentabilité, la stratégie de double dépense est ruineuse. Chaque fois qu’on ne réussit pas on continue à miner indéfiniment sans rattraper la blockchain officielle et on se ruine littéralement. On a donc identifié un temps d’arrêt pour rendre sensée cette stratégie de Nakamoto et on a calculé sa rentabilité (il y a la probabilité de gagner qui rentre en jeu, mais aussi combien on gagne). Avec nos formules on voit que la rentabilité diminue, comme espéré, avec le nombre de confirmations requis. La rentabilité croit avec le montant de la double dépense. Nos formules nous permettent calculer le montant de double dépense minimal pour que la stratégie soit plus rentable que le minage honnête. Par exemple, on trouve que pour une puissance de hash de 1% du hashrate total, et une seule confirmation requise (z=1), il faut une double dépense d’au moins 5 millions de $ pour que ça soit rentable. Donc, du point de vue pratique, une seule confirmation est suffisante pour toutes les transactions Bitcoin raisonnables. C’est un résultat qui est contraire à ceux que les gens croient (inclus les exchanges qui demandent 6 confirmations !). » – Ricardo Pérez-Marco.
« Nos recherches hormis celles qui concernent les questions de routage tournent autour de la sécurité des protocoles de crypto-monnaies étudiées du point de vue de leur robustesse.
On entend par robustesse une notion économique qui traduit le fait que les intérêts privés sont parfaitement en phase avec l’intérêt public. Autrement dit, les règles du protocole sont celles qui permettent individuellement à chacun des acteurs de maximiser ses gains.
Notre étude sur la stratégie de minage égoïste (et d’autres stratégies déviantes de rétention de blocs) a montré que ce n’était pas exactement le cas mais on ne va pas pour autant crier avec Gun Sirer et Ittay Eyal, les auteurs du premier article sur le sujet, que “Bitcoin est mort, vendez tout ce que vous avez !”. Ils ont eu la prouesse d’écrire un article – par ailleurs juste – sur une attaque sans être capable d’identifier la source de la faiblesse.
En vérité, ce qui leur a manqué, à eux et à tous ceux qui ont écrit des articles sur le sujet (parfois intéressants) est un modèle clair et rigoureux pour comparer la rentabilité de diverses stratégies de minage. Le concept clé est celui de “revenue ratio” en anglais qu’on traduit simplement par taux de rendement en français. L’idée du concept est simple. Si une stratégie est rentable, on a intérêt de la répéter et il faut prendre en compte le revenu net gagné par unité de temps.
Il en ressort que Bitcoin est loin d’être moribond mais qu’il existe un beugue dans son fonctionnement qui n’est pas rédhibitoire. Il suffit pour le corriger de faire du paramètre de difficulté le véritable reflet de la réelle puissance de hachage développée sur tout le réseau (ce qui n’est pas exactement le cas aujourd’hui) puis de sélectionner en cas de compétition la chaîne de blocs qui a été la plus compliquée à créer. Un retour aux sources en somme.
Ceci étant vu, il n’en reste pas moins que les attaques à la double-dépense sont des attaques bien plus graves que ces attaques de rétention de blocs évoquées plus haut. Elles ne peuvent être rendues obsolètes à l’aide d’une modification du code Bitcoin. Certes, elles sont assez improbables pour peu qu’on adopte des mesures de sécurité préconisées par Satoshi (les fameuses confirmations requises) et maladroitement quantifiées dans la Section 11 de son papier fondateur. Mais ces attaques subsistent théoriquement et il faut savoir si un mineur a ou non intérêt de se lancer dans de telles attaques plutôt que de miner honnêtement.
Après tout, ce n’est pas la faible probabilité de gagner au loto à l’euro million de Noël qui retient des millions de joueur de “tenter leur chance”… Et on sent bien que si l’en est ainsi, c’est dû au montant de la cagnotte. De la même façon, c’est le montant de la double dépense au-delà de quoi l’attaque devient rentable qui est un paramètre clé et donne une indication de la sécurité du réseau. Un montant énorme signifie qu’en pratique aucun être humain ne va pouvoir même être incité à se lancer dans de telles attaques. A contrario, un montant très faible signifie que pratiquement tout le monde a intérêt d’escroquer son voisin – même sans le savoir.
En pratique, nous montrons que pour des conditions raisonnables, cette valeur est beaucoup plus importantes que celles que l’on croyait. Suivant les diverses traces qu’il a pu laissées ici ou là (malheureusement trop éparses), il est clair que Satoshi croyait en la convergence des intérêts privés et publics. Notre précédent article “Double spend races” corrigeait son calcul de probabilité. Il nous semble que notre dernier article le complète et prouve ce qu’il avait manifestement en tête : la robustesse du protocole Bitcoin. » – Cyril Grunspan.
« On profitability of Nakamoto double spend »
Cyril Grunspan – Ricardo Pérez-Marco