[論文レビュー] Bet and Attack: Incentive Compatible Collaborative Attacks Using Smart Contracts
本稿は、ブロックチェーン外の実世界の標的を標的にした、信頼なしでインcentive-compatibleな共同サイバー攻撃を可能にするスマートコントラクトベースのフレームワークを提案する。ベッティングメカニズムを用いて(偽)匿名の攻撃者を調整し、DDoS攻撃などの実世界の攻撃を想定している。報酬をベットの額に依存させ、戦略的でない性質と財政的バランスの保証をすることで、攻撃者は自身のベットに比例して協力するよう保証され、均衡において予測可能で公平な結果が得られる。
Smart contract-enabled blockchains allow building decentralized applications in which mutually-distrusted parties can work together. Recently, oracle services emerged to provide these applications with real-world data feeds. Unfortunately, these capabilities have been used for malicious purposes under what is called criminal smart contracts. A few works explored this dark side and showed a variety of such attacks. However, none of them considered collaborative attacks against targets that reside outside the blockchain ecosystem. In this paper, we bridge this gap and introduce a smart contract-based framework that allows a sponsor to orchestrate a collaborative attack among (pseudo)anonymous attackers and reward them for that. While all previous works required a technique to quantify an attacker's individual contribution, which could be infeasible with respect to real-world targets, our framework avoids that. This is done by developing a novel scheme for trustless collaboration through betting. That is, attackers bet on an event (i.e., the attack takes place) and then work on making that event happen (i.e., perform the attack). By taking DDoS as a usecase, we formulate attackers' interaction as a game, and formally prove that these attackers will collaborate in proportion to the amount of their bets in the game's unique equilibrium. We also model our framework and its reward function as an incentive mechanism and prove that it is a strategy proof and budget-balanced one. Finally, we conduct numerical simulations to demonstrate the equilibrium behavior of our framework.
研究の動機と目的
- ブロックチェーンエコシステム外の実世界の標的を標的にした共同攻撃を可能にするために、既存の犯罪的スマートコントラクト(CSC)研究におけるギャップを埋めること。
- 暗号的証明が非現実的である実世界の攻撃において、個々の攻撃者の貢献を検証する課題を解決すること。
- 貢献の定量的評価を必要とせず、信頼なしでインcentive-compatibleなメカニズムを設計し、合理的な攻撃者が協力する仕組みを確保すること。
- 攻撃をゲームとしてモデル化し、攻撃者が自身のベットに比例して協力する唯一のナッシュ均衡が成立することを証明すること。
- 数値シミュレーションを通じて実現可能性を示し、メカニズムが戦略的でなく、財政的バランスが取れていることを示すこと。
提案手法
- 攻撃者が実世界の攻撃(例:DDoS)の成功にベットを行い、報酬がベットの額に依存するベッティングメカニズムを採用する。
- 攻撃者の相互作用を非協力ゲームとしてモデル化し、ベット額に比例した協力が成立する唯一のナッシュ均衡を証明する。
- 攻撃者がベット額を誤って報告しても利益を得られない戦略的でない報酬関数を設計する。
- 財政的バランスを確保:攻撃者が預けた総額を超えて支払われる報酬が発生しないようにする。
- インcentiveを整合させるためのメカニズム設計アプローチを採用し、個々の合理性と公平性を保証する。
- パラメータθ(スポンサー報酬に対する総ベット額の相対比)およびγ(報酬に対する攻撃コストの相対比)を用いた数値シミュレーションにより、システムの挙動を評価する。
実験結果
リサーチクエスチョン
- RQ1スマートコントラクトは、個々の貢献を検証できない実世界の標的に対する、匿名で調整された攻撃を可能にするか?
- RQ2信頼なしでインcentive-compatibleなメカニズムを設計し、攻撃者が自身のベットに比例して協力するようにすることは可能か?
- RQ3提示された報酬メカニズムは戦略的でないか?すなわち、攻撃者がベット額を誤って報告しても利益を得られないか?
- RQ4総ベット額や攻撃コストなどのパラメータを調整することで、攻撃の結果を予測・制御できるか?
- RQ5メカニズムは財政的バランスと報酬分配の公平性を確保するか?
主な発見
- 唯一のナッシュ均衡において、攻撃者は自身のベット額に比例して協力するため、貢献とインセンティブが一致する。
- θ = 1の場合、二次関数的報酬関数は線形関数よりも著しく高い攻撃貢献を集める。このとき、望ましい攻撃結果の約90%を達成する。
- θ = 1の場合、二次関数的スキームではスポンサーの報酬の75%が分配され、攻撃者が総攻撃コストの約80%を負担する。これは高い効率性と公平性を示している。
- θが増加するにつれて、攻撃結果と公平性スコアの両方が向上し、公平性は望ましい攻撃閾値を超えて上昇する。
- 攻撃コストγが高くなると、必要な総ベット(θ)も増加する。これは、防御者が運用コストを引き上げることで攻撃を抑止できることを示している。
- やや緩い条件下でも個々の合理性が満たされる:θとγが妥当な範囲内にある限り、攻撃者は非負の期待効用を得る。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。