뇌물 계약을 통한 무신뢰성 합의 조작

요약 : 최근 연구에서 저희는 세 가지 뇌물 수수 공격을 설계, 구현 및 평가했습니다. 이 공격들은 합의 프로토콜의 세 가지 기본 속성을 위반하는 것을 목표로 합니다.

• PayToAttest : 투표 매수(증명)를 가능하게 하여 안전을 침해합니다.
• PayToExit : 검증자가 합의 에 참여하지 않도록 유도하여 Liveness 위협합니다.
• PayToBias : RANDAO 뇌물 시장이 공정성에 영향을 미칩니다.

우리의 연구 결과는 이러한 공격이 놀라울 정도로 저렴하고 실용적이라는 것을 보여줍니다. 블록을 사후에 재구성하기 위해 지불하는 뇌물은 0.09 이더리움(ETH) ( 약 334 ≈ 334 USD) 정도로 낮습니다(합리적인 검증자가 프로토콜 보상보다 뇌물 금액이 약간 클 때마다 뇌물을 수락한다고 가정할 경우).

논문 링크(Chainlink): https://eprint.iacr.org/2025/1719.pdf
Github 링크(Chainlink): GitHub - 0xSooki/bribery-zoo: 뇌물 계약을 통한 무신뢰성 합의 조작

동기 부여

흔히 오해되는 것은 제공되는 경제적 보안 "보안 예산"이 스테이킹된 이더리움(ETH) 의 가치( 약 1,150 억 달러 )에 비례한다는 것입니다. 그러나 검증자가 합리적으로 행동한다면, 뇌물 수수자가 프로토콜 보상보다 숏 더 많은 돈을 지불하면 되기 때문에 이 스레스홀드(Threshold) 단기적으로 훨씬 낮아집니다. 투명한 온체인 뇌물 수수 계약은 무신뢰성 원자적이며 저렴한 공격 참여를 가능하게 합니다. 이 글에서는 주요 결과에 대한 간략한 개요를 제공하고자 합니다. 자세한 내용은 논문 을 참조하십시오.

뇌물 수수 시스템 모델

신뢰할 수 있는 제3자 없이는 공정한 거래가 불가능합니다. 따라서 우리는 온체인 뇌물수수 계약을 적용합니다.

본질적으로 뇌물수수는 간단한 스마트 계약 상호작용을 수반합니다.

• 1단계. 뇌물수수자는 돈과 함께 지시사항을 게시합니다.
• 2단계. 검증자는 편차 증명(예: 서명, (zk) 증명)을 제공합니다.
• 3단계. 계약서에서 증거를 검증하고 뇌물을 지급합니다.

뇌물수수 시스템 모델 864×258 23.6KB

뇌물 수수 계약은 두 당사자 사이에 추가적인 신뢰 가정을 요구하지 않고도 뇌물 수수를 원자적인 계약으로 만듭니다.

예비 사항

Pectra 업그레이드에 이더리움 개선 제안(EIP)-2537: BLS12-381 곡선 연산을 위한 사전 컴파일 기능이 추가된 이후, 이더리움 가상 머신(EVM) 에서 온체인 BLS(집계) 서명을 검증하는 비용이 실현 가능해졌을 뿐만 아니라 상대적으로 저렴해졌습니다. (현재) 합의 프로토콜은 BLS 서명에 크게 의존하기 때문에 합의 과 실행 계층 간에 무신뢰성 검증을 제공하여 저희의 작업이 실용적이게 되었습니다.

BLS 검증 가스 비용 508×444 23.5KB

뇌물 수수 계약

우리는 이더리움 검증자를 대상으로 하는 다음의 세 가지 유형의 뇌물 계약을 설계, 구현 및 평가했습니다.

1. PayToAttest - 투표 구매를 활성화합니다.

   1. 뇌물수수꾼은 적대적인 포크(Fork) 에 대한 표를 매수합니다.

   2. 다수 예치(stake) 없이 사후 재편이 가능합니다.

   3. 공격 비용: <0.09 이더리움(ETH)

2. PayToExit - 검증자 종료를 위한 시장

   1. 검증자는 프로토콜에서 자발적으로 탈퇴하는 대가로 돈을 받습니다.

   2. 적대자의 상대적 스테이킹 파워를 증가시켜 Liveness 위협합니다.

   3. 예치(stake) 23%인 법인에 대한 초기 게임 이론적 분석에 따르면 지분을 33%로 늘리기 위해 최적의 뇌물 금액은 9.23 이더리움(ETH) 됩니다.

3. PayToBias - RANDAO 무작위성 기여도 경매

   1. 꼬리 슬롯의 검증자는 블록 보류함으로써 이더리움의 무작위성 비콘에 편향을 줄 수 있습니다.

   2. 우리가 아는 한, 우리는 최초의 온체인 RANDAO 뇌물 시장을 구축했습니다.

성과 평가(가스 비용)

다음 표는 제안된 뇌물 계약의 가장 중요한 기능별 가스 비용을 보여줍니다. USD 비용은 2025년 7월 25일 기준 이더리움(ETH)/USD 환율과 가스 가격(USD/ 이더리움(ETH) 3,708, Gwei 가스 가격 1.63)을 사용하여 계산되었습니다.

가스 비용 1060×216 21.8KB

사후 재조직의 순서

이러한 계약으로 인해 발생할 수 있는 잠재적 피해를 더욱 명확히 보여주기 위해, 다음 그림은 뇌물 수수자가 PayToAttest 계약을 활용하여 어떻게 증명을 구매하여 정직한 투표보다 뇌물을 받은 투표의 비중이 더 커지게 하는지 보여줍니다. 이는 적대적 포크(Fork) 정식 체인이 될 때까지 지속됩니다. 적대자는 정직한 블록에서 MEV를 훔치거나 RANDAO를 조작하기 위해 이러한 재구성을 수행할 동기를 가질 수 있습니다.

사후 재조직 비용

다음 그림은 PayToAttest 계약을 사용한 사후 재조직 비용을 보여줍니다. 공격자가 슬롯 n+1 n + 1 에서 알파 예치(stake) 을 사용하여 블록 포크(Fork) 하려고 할 때, 흰색 영역에서 공격은 실패합니다.

사후 재편 일정 1418×554 88.2KB

PayToExit 뇌물 시장

PayToExit 뇌물 시장의 인센티브에 대한 심층 분석을 통해 최적의 뇌물 금액을 도출했습니다. 이 시장은 단일 리더, 다중 추종자 시장 퇴장 게임으로 모델링되었으며, 뇌물 제공자는 b명에서 n명의 합리적인 검증자에게 뇌물을 제공하여 활성 검증자 집합에서 탈퇴하도록 합니다. 뇌물 제공자는 합리적인 검증자가 이더리움 검증자 역할을 중단하기를 원할 수 있습니다. 그 이유는 a) 상대적인 스테이킹 파워를 높이거나, b) 예금 컨트랙트 에서 부족한 자본 공격자가 선택한 다른 탈중앙화 애플리케이션(예: 탈중앙화 거래소(DEX) 의 유동성 공급, 대출 풀 이더리움 클래식(ETC) DeFi 프로토콜)으로 전환하기 위함입니다.

합리적인 검증자에게는 두 가지 선택권이 있습니다. a) 뇌물을 받고 합의 프로토콜을 떠납니다. b) 뇌물을 거부하고 이더리움 합의 에서 검증을 계속합니다.

단일 리더 다중 추종자 시장 종료 게임 1018×440 22.7KB

게임을 풀면서 우리는 최적의 뇌물 금액을 계산하기 위한 범위를 도출했습니다.

R(n-k+1) \cdot \mathrm{PV}(r,Y)\leq b^* \leq R(nk) \cdot \mathrm{PV}(r,Y). R ( n − k + 1 ) ⋅ P V ( r , Y ) ≤ b ∗ ≤ R ( n − k ) ⋅ P V ( r , Y ) .

어디

R(n) = {\underbrace{32}_{예치(stake)} \cdot \bigg(\underbrace{\frac{2940.21}{\sqrt{n}}}_{\text{프로토콜 보상}} + \underbrace{\frac{1078543.3}{n}}_{\text{추정 MEV}}\bigg)} \quad \mathrm{and} \quad \mathrm{PV}(r,Y) = \frac{1.08^{-9}}{ 0.08 \ cdot100 } R ( n ) = 32    스테이크 ⋅ ( 2940.21 √ n      프로토콜 보상 + 1078543.3 n      추정 MEV ) 그리고​​ P V ( r , Y ) = 1.08 − 9 0.08 ⋅ 100

최적의 뇌물 범위를 사용하면 적대자의 예치(stake) \alpha α 에서 \alpha^* α ∗ 로 높이기 위해 정확히 충분한 검증자가 빠져나가는 균형이 존재하지만, 어떤 검증자도 일방적으로 전략을 변경할 인센티브가 없습니다.

다음 그림은 적이 상대적 스테이킹 파워를 \alpha α 에서 \alpha^* α ∗ ( \alpha \le \alpha^* α ≤ α ∗ )로 늘리고자 할 때의 뇌물 비용(USD)과 공격 기간(일)을 보여줍니다.

PayToExit 공격 비용 및 지속 시간 1422×500 119KB

우리 논문 에는 더 많은 논의와 결과가 담겨 있습니다.

대책

이더리움은 이러한 뇌물 공격으로부터 어떻게 방어할 수 있을까요? 이더리움 프로토콜 설계자들은 프로토콜의 견고성을 높이기 위해 무엇을 해야 할까요?

• 정직한 참여에 대한 보상 증가 : 부주의하게 하면 이더리움 공급이 희석되기 때문에 바람직하지 않을 수도 있나요?

• 고발 인센티브 추가 : 방대한 디자인 공간

• 단일 슬롯 완결성 (PayToAttest 포크 방지)

• 편향 불가능한 무작위성 비콘 (PayToBias 완화)

향후 연구 방향

• 익명성과 프라이버시 : 뇌물 계약의 세부 사항을 숨기는 것이 흥미로울 것입니다. 그렇게 되면 참여자들이 참여를 꺼리는 일이 줄어들어 뇌물 시장이 더욱 실용적이 될 것입니다.

• 추가 뇌물 수수 계약 : 본 프레임워크를 사용하면 새로운 뇌물 수수 계약을 쉽게 구현할 수 있습니다. 예를 들어, PayToInclude 또는 PayToCensor를 통해 특정 거래를 블록체인에서 제외하도록 요청할 수 있습니다.

• 게임 이론적 분석 : 게임 이론적 미해결 문제가 다수 존재합니다. 특히, PayToAttest 또는 PayToBias 뇌물 시장을 게임 이론적 관점에서 분석하지 않았습니다.

• 공격 견고성 vs. 인플레이션 뇌물 공격에 대한 프로토콜 견고성과 인플레이션 증가 사이에는 흥미로운 상충 관계가 있습니다. 여기서 최적의 균형점은 무엇일까요?

언제든지 연락해 주시고, 의견, 질문, 피드백, 비판을 남겨 주세요!

즐거운 뇌물수수!