<div dir="ltr">Possibly relevant:<div><br></div><div><a href="https://freedom-to-tinker.com/blog/felten/game-theory-and-bitcoin/">https://freedom-to-tinker.com/blog/felten/game-theory-and-bitcoin/</a><br></div><div><br></div><div><a href="http://www.economist.com/blogs/schumpeter/2014/06/bitcoin">http://www.economist.com/blogs/schumpeter/2014/06/bitcoin</a><br></div><div><br></div><div><a href="http://www.technologyreview.com/news/525676/academics-spy-weaknesses-in-bitcoins-foundations/">http://www.technologyreview.com/news/525676/academics-spy-weaknesses-in-bitcoins-foundations/</a><br></div><div><br></div><div>The title on this last one is a little misleading, it's a bit more like a farm subsidy where you bribe someone in another pool to throw out a winning hash rather than turn it in to their pool without the pool's knowledge, thereby improving the chances for your own pool to win.</div><div><br></div><div><a href="http://blog.erratasec.com/2014/03/game-theory-cheating-at-bitcoin-mining.html">http://blog.erratasec.com/2014/03/game-theory-cheating-at-bitcoin-mining.html</a><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 9, 2014 at 2:12 PM, Zooko Wilcox-OHearn <span dir="ltr"><<a href="mailto:zooko@leastauthority.com" target="_blank">zooko@leastauthority.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">.. -*- coding: utf-8-with-signature-unix; fill-column: 73; -*-<br>
<br>
Tahoe-LAFS Tesla Coils & Corpses, 2014-10-08<br>
============================================<br>
<br>
The DOOM and GLOOM Edition<br>
<br>
Daira, Zooko (scribe), Nathan, Andrew (lurker), Za (briefly)<br>
<br>
[Disclaimer: this is pretty much all just Zooko's rant that he typed<br>
in during the meeting, and doesn't reflect anyone else's opinions very<br>
much.]<br>
<br>
We all sat around reading <a href="http://eprint.iacr.org/2014/452.pdf" target="_blank">http://eprint.iacr.org/2014/452.pdf</a> .<br>
<br>
Then Nathan and Zooko got distracted by wondering about basic attack<br>
incentives in Bitcoin…<br>
<br>
Zooko used to think that block rewards and transaction fees deterred<br>
roll-back attack, thus making transactions safer when the rewards and<br>
fees were higher. But, maybe that's actually incorrect.<br>
<br>
There are (at least) two cases to consider: 1. no actor controls ≥ 51%<br>
of the hashpower, and 2. an actor controls ≥ 51% of the<br>
hashpower. Here's the surprising fact about case 2: block rewards do<br>
not incentivize such an actor to cooperate with the protocol, and<br>
transaction fees incentivize that actor to defect (i.e. to attack)!<br>
<br>
First look at the block rewards. As an actor who controls 51% of the<br>
hashpower, you have the choice of either cooperating with the protocol<br>
(mining atop the current longest known chain) or defecting (mining<br>
atop a secret alternate chain and then later revealing it in order to<br>
supplant the shorter public consensus chain).<br>
<br>
If you cooperate, then over the next 100 blocks on the public<br>
consensus change (the next 1000 minutes), you'll get 51 (on average)<br>
of the block rewards. If you defect, then over the next 51 blocks on<br>
your secret chain, which is simultaneous with the next 49 blocks on<br>
the public chain (i.e. the next 1000 minutes), you'll get exactly 51<br>
of the block rewards!<br>
<br>
So block rewards do not actually incentivize an actor who controls ≥<br>
51% of the power to cooperate.<br>
<br>
(Also, if you cooperate then other people will get 49 block rewards,<br>
but if you defect then other people will get 0. That's an incentive to<br>
defect, but a very small one.)<br>
<br>
Next look at the transaction fees. If you cooperate, then you'll get<br>
(on average) 51% of the transaction fees that get posted over the next<br>
1000 minutes. If you defect you'll get 100% of the transaction<br>
fees. So transaction fees incentivize you to defect!<br>
<br>
In addition to the consequences of reward, and of fees, of course,<br>
there is also the benefit of double-spending, which is an additional<br>
incentive to defect.<br>
<br>
What does this mean? Does it mean that Bitcoin is broken? One<br>
interpretation of the above in light of the fact that Bitcoin has<br>
never yet been rolled-back is that Bitcoin is designed to avoid any<br>
one actor gaining ≥ 51% (case 1 above), but that it breaks badly if<br>
that fails (case 2 above).<br>
<br>
Another way to interpret it is to say, well, there's another incentive<br>
overlooked in the analysis of case 2, above, which is the value of<br>
Bitcoin. If you are an actor who controls ≥ 51% of the power, then one<br>
consequence of launching a large attack (such as a 49-block rollback)<br>
would be a crash in the price of Bitcoin in terms of other currencies<br>
(e.g. US Dollars). Would that disincentivize you from performing the<br>
attack?<br>
<br>
Well, there are two ways that you might be committed to the value of<br>
Bitcoin: by holding the currency yourself or by investing in mining<br>
capital. The former is probably not a big incentive on you as a<br>
would-be attacker, because you can sell your Bitcoin holdings. You<br>
have an advantage over all other traders in terms of knowledge here,<br>
and your sell orders might even be able to race ahead of the<br>
news/realization of what has happened.<br>
<br>
In addition, if you can effectively short Bitcoin, then the opposite<br>
incentive applies — the fact that the price of Bitcoin would crash is<br>
an added incentive for you to perform the attack.<br>
<br>
The other incentive would be if you have invested in Bitcoin mining<br>
capital, and the product of that capital will be worth less if the<br>
price of Bitcoin goes down. I think this is a real deterrent — the<br>
first real incentive that I've found, in this rant, for a<br>
51%-controller to cooperate!<br>
<br>
One interpretation of that is that Bitcoin says “Oh, you've gained a<br>
massive amount of mining power? That means you have the ability to<br>
destroy the currency, and you have a monetary incentive to do so. But,<br>
we'll give you a steady transfer of value from all current holders of<br>
Bitcoin to you (i.e. the block reward) from now on, so that you will<br>
choose not to do that because you anticipate future transfers of<br>
Bitcoin value from others to you.”<br>
<br>
That sounds kind of ugly — it sounds more like you've become an<br>
effective rent-extractor than that you are providing any ongoing value<br>
to anyone in return for the ongoing transfer from the public to you.<br>
<br>
Another concern I (Zooko) have is: what if the controller of the<br>
mining capital isn't the owner of the mining capital? Suppose you've<br>
illicitly taken over two large mining operations, so that now you<br>
temporarily control ≥ 51% of all of the Bitcoin the mining power. The<br>
legitimate owners of the mining operations will probably eventually<br>
discover your incursion and retake control of their capital. One<br>
option you have is to go ahead and perform a massive rollback attack,<br>
earning earning ⓑ from rewards, fees, short-sales, and double-spends,<br>
and selling all of your newly acquired ⓑ as fast as possible because<br>
you expect a massive price crash.<br>
<br>
<br>
The end<br>
<br>
P.S. Daira actually appears to have spent the whole meeting reading<br>
the paper, so maybe she learned something entirely different from<br>
Zooko's doom and gloom rant.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
Regards,<br>
<br>
Zooko Wilcox-O'Hearn<br>
<br>
Founder, CEO, and Customer Support Rep<br>
<a href="https://LeastAuthority.com" target="_blank">https://LeastAuthority.com</a><br>
Freedom matters.<br>
_______________________________________________<br>
tahoe-dev mailing list<br>
<a href="mailto:tahoe-dev@tahoe-lafs.org">tahoe-dev@tahoe-lafs.org</a><br>
<a href="https://tahoe-lafs.org/cgi-bin/mailman/listinfo/tahoe-dev" target="_blank">https://tahoe-lafs.org/cgi-bin/mailman/listinfo/tahoe-dev</a><br>
</font></span></blockquote></div><br></div>