Bitcoin Security Under Temporary Dishonest Majority

Avarikioti, Georgia; Käppeli, Lukas; Wang, Yuyi; Wattenhofer, Roger

doi:10.1007/978-3-030-32101-7_28

Cited by 11 publications

(9 citation statements)

References 14 publications

Supporting

Mentioning

Contrasting

Order By: Relevance

“…The updatable ledger that we have described can be updated to any ledger L 2 under the condition that the genesis functionality of L 2 tolerates an adversary that can see the genesis block τ max rounds before the honest parties and decide the genesis block among a set of m candidate genesis blocks. This requirement might look strong, but we note that the problem of constructing a ledger that is secure in such a scenario is simpler than the problem of constructing a ledger that supports temporary dishonest majority [2]. A ledger with security assumption A that tolerates temporary dishonest majority is such that its security properties (liveness and consistency) become valid again when A[τ 1 ] = 1, even if A[τ ] = 0 for all τ ∈ [τ 0 , τ 1 − δ] for some τ 0 , τ 1 , δ ∈ N such that τ 1 − δ ≥ τ 0 .…”

Section: Second Approachmentioning

confidence: 99%

Updatable Blockchains

Ciampi¹,

Karayannidis²,

Kiayias³

et al. 2020

Computer Security – ESORICS 2020

View full text Add to dashboard Cite

Software updates for blockchain systems become a real challenge when they impact the underlying consensus mechanism. The activation of such changes might jeopardize the integrity of the blockchain by resulting in chain splits. Moreover, the software update process should be handed over to the community and this means that the blockchain should support updates without relying on a trusted party. In this paper, we introduce the notion of updatable blockchains and show how to construct blockchains that satisfy this definition. Informally, an updatable blockchain is a secure blockchain and in addition it allows to update its protocol preserving the history of the chain. In this work, we focus only on the processes that allow securely switching from one blockchain protocol to another assuming that the blockchain protocols are correct. That is, we do not aim at providing a mechanism that allows reaching consensus on what is the code of the new blockchain protocol. We just assume that such a mechanism exists (like the one proposed in NDSS 2019 by Zhang et. al), and show how to securely go from the old protocol to the new one. The contribution of this paper can be summarized as follows. We provide the first formal definition of updatable ledgers and propose the description of two compilers. These compilers take a blockchain and turn it into an updatable blockchain. The first compiler requires the structure of the current and the updated blockchain to be very similar (only the structure of the blocks can be different) but it allows for an update process more simple, efficient. The second compiler that we propose is very generic (i.e., makes few assumptions on the similarities between the structure of the current blockchain and the update blockchain). The drawback of this compiler is that it requires the new blockchain to be resilient against a specific adversarial behaviour and requires all the honest parties to be online during the update process. However, we show how to get rid of the latest requirement (the honest parties being online during the update) in the case of proof-of-work and proof-of-stake ledgers.

show abstract

Section: Second Approachmentioning

confidence: 99%

Updatable Blockchains

Ciampi¹,

Karayannidis²,

Kiayias³

et al. 2020

Computer Security – ESORICS 2020

View full text Add to dashboard Cite

show abstract

“…One important difference between our scheme and the existing blockchain protocols is that traditional full nodes are able to verify the whole state evolution of the system from genesis. This allows them to recover in case of temporary dishonest majority [7,14], while our system cannot do so. Let us consider what could happen in case an adversary temporarily has the upper hand in a blockchain where ev erybody is mining using our protocol.…”

Section: Discussionmentioning

confidence: 99%

“…We will refer to this model as the 1 2 adversary. This assumption is generally necessary to solve the consensus problem in polynomial time [120], although it can be temporarily relaxed [9]. Throughout this work, we will assume that the honest majority holds during all rounds.…”

Section: Proofofworkmentioning

confidence: 99%

“…An address is manually crafted, so that it is clear it was not gen erated from a regular keypair. For example, the allzeros address is considered nothing upmysleeve 7 . It is hard to obtain a public key hashing to this address, thus funds sent If the adversary is successful then it has presented t, pk, pkh such that H(pk) = pkh and H(t) ⊕ 1 = pkh.…”

Section: P2shmentioning

confidence: 99%

“…NIPoPoWs under dishonest majority. While our analysis has used the assumption that honest majority holds for all rounds, it is a known result that full nodes in proofofwork settings can withstand temporary dishonest majority [9]. More specifically, consider an execution in which honest majority holds most of the time, but a spike of dishonest major ity occurs for a limited number of rounds.…”

Section: Future Workmentioning

confidence: 99%

See 2 more Smart Citations

Decentralized Blockchain interoperability

Zindros¹,

Ζήνδρος²

View full text Add to dashboard Cite

Προτείνουμε τον πρώτο αποκεντρωμένο μηχανισμό διαλειτουργικότητας ανάμεσα σε αλυσίδες βασισμένες στην απόδειξη εργασίας, στην απόδειξη μεριδίου, ή συνδυασμούς τους. Για την κατασκευή του, εισάγουμε δύο νέα κρυπτογραφικά primitives που λειτουργούν ως πιστοποιητικά επικοινωνίας αλυσίδων. Για πηγές απόδειξης μεριδίου, οι Αυτοτελείς Κατωφλιακές Πολυ-υπογραφές (ATMS) επιτρέπουν στην απόδειξη ότι το μερίδιο άλλαξε από εποχή σε εποχή. Για πηγές απόδειξης εργασίας, οι Μη-Διαδραστικές Αποδείξεις Απόδειξης Εργασίας (NIPoPoWs) επιτρέπουν την συμπίεση της απόδειξης εργασίας σε σύντομα αλφαριθμητικά που μειώνουν το μέγεθος μίας αλυσίδας σε μία πολυλογαριθμικού μεγέθους απόδειξη. Δίνουμε τις πρώτες κατασκευές ATMS και NIPoPoWs. Για την απόδειξη εργασίας, αποδεικνύουμε ότι οι κατασκευές μας είναι ασφαλείς στο μοντέλο στατικής και δυναμικής δυσκολίας και πετυχαίνουμε ασφάλεια στο σύγχρονο μοντέλο αλλά και στο μοντέλο φραγμένων καθυστερήσεων με συγκεκριμένα φράγματα αντιπάλου σε κάθε περίπτωση. Δίνουμε τον πρώτο ορισμό ασφάλειας πλευρικών αλυσίδων (sidechain) και αποδεικνύουμε αυστηρά ότι οι κατασκευές μας είναι ασφαλείς. Οι αποδείξεις μας είναι στο μοντέλο του Bitcoin Backbone για την εργασία και στο Ouroboros για τα μερίδια.Τα πιστοποιητικά επικοινωνίας αλυσίδων που προτείνουμε επιτρέπουν την μεταφορά γενικών πληροφοριών ανάμεσα σε αλυσίδες. Περιγράφουμε πολλαπλές εφαρμογές των πλευρικών αλυσίδων μας, μεταξύ άλλων μονής κατεύθυνσης μεταφορές χρήματος βασισμένων στο κάψιμο χρήματος καθώς και διπλής κατεύθυνσης μεταφορές χρήματος. Εκτός από την διαλειτουργικότητα, τα πρωτόκολλά μας επιτρέπουν την μεταφορά πληφοροριών που αφορούν μία αλυσίδα για ιδία χρήση. Αυτό επιτρέπει την κατασκευή υπερελαφρών πορτοφολιών με εκθετικά μικρότερη επικοινωνιακή πολυπλοκότητα από τα παραδοσιακά πορτοφόλια. Αυτά τα υπερελαφριά πορτοφόλια είναι η πρώτη ασυμπτωτική βελτίωση σε σχέση με το σύστημα Απλής Πιστοποίησης Πληρωμών (SPV). Επιπλέον, τα πρωτόκολλά μας μπορούν να χρησιμοποιηθούν στο πλαίσιο της απόδειξης εργασίας για να δημιουργήσουν υπερελαφρείς εξορύκτες οι οποίοι χρειάζονται μόνο λογαριθμικό χώρο για να εξορύξουν και αποτελούν εκθετική βελτίωση σε σχέση με κλασικά πρωτόκολλα εξόρυξης απόδειξης εργασίας. Δείχνουμε την πρακτικότητα των σχημάτων μας με πειράματα, προσομοιώσεις, και υλοποιήσεις, συμπεριλαμβανωμένων μετρήσεων ασφάλειας και απόδοσης. Δίνουμε συγκεκριμένες τιμές για τις παραμέτρους ασφαλείας που μπορούν να χρησιμοποιηθούν στην πράξη. Δουλέψαμε με το χώρο της βιομηχανίας για να υλοποιηθούν τα σχήματά μας στην πράξη: Τα πρωτόκολλά μας έχουν υλοποιηθεί σε αληθινές συνθήκες και διαχειρίζονται πραγματικά κεφάλαια στις αλυσίδες απόδειξης εργασίας ERGO, nimiq, WebDollar και Midnight, καθώς και στην αλυσίδα απόδειξης μεριδίου Cardano.

show abstract