去中心化區塊鏈，正面臨「中心化」危機

區塊鏈是對抗風險的創新科技，但如果你看中的是它的去中心化特性，或許必須更加謹慎的檢視才行，因為目前大量用戶在使用的區塊鏈，「中心化」的程度高得驚人。

區塊鏈（blockchain）無疑是這五年來最熱門的科技之一，它擁有不可篡改、公開透明等特性，基於這個特點，成為許多人投資的目標，當然也造就了不少安全疑慮。

美國國防高等研究院過去幾年，就委託了資安機構 Trail of Bits 進行相關研究，在最新的一份報告中，對比特幣、以太坊等主流區塊鏈進行去中心化程度驗證，結果卻跟多數人的預期相反，這兩大加密貨幣背後的區塊鏈網路，中心化的程度其實越來越高，甚至達到了足以威脅安全性的程度。

相較於市面上公開的研究報告，這份報告相對沒有帶風向疑慮，因為這是由美國國防部出資的委託標案，而且全文公開，有興趣閱讀報告全文的讀者，可以前往網站觀看。

報告結果顯示，想要攻破一個區塊鏈網路，並不一定需要量子電腦或是超強運算力來破解密碼，相反的，只要占據了足夠份額，就可以推翻區塊鏈網路以及其上的共識協議。話說得簡單，比特幣網路上礦工數量如此龐大，誰又能輕易的推翻全部節點呢？

四個節點即可推翻比特幣網路

關鍵就出在「礦池」。

由於比特幣挖礦難度不斷提升，個人挖礦很難獲得實質利益，因此集合眾人之力的「礦池」就成為比特幣網路的主流。礦池讓每個散戶可以貢獻算力，再依據比例回饋挖礦所得給所有參與者，這裡就形成了一種中心化網路，礦池本身其實控制著所有散戶礦工的算力。

依照 2022 年上半年比特幣算力分布來看，四個最主要的礦池，就貢獻了超過 51% 的算力，換句話說，要對比特幣網路發動 51% 攻擊，所需要的節點並非理論上的 5.9 萬個，而只需要掌控 4 個實體即可達成。

研究指出，比特幣的中本聰係數（Nakamoto Coefficieny）已經降低到 4，距離完全中心化的 1 相去不遠，但更驚人的是在 2022 年 4 月，以太坊的中本聰係數則只有 3。這顯示了採用工作驗證（PoW）的區塊鏈，在算力高度聚合情況下，中心化問題變得嚴重，另一方面，採用質押驗證（PoS）的區塊鏈表現如何呢？

PoS 概念是讓驗證者必須質押資產，以此做為擔保來進行網路驗證，而確保正確性，如果做了錯誤的驗證，將會受罰，如果驗證正確，將會獲得獎勵。大多數的 PoS 區塊鏈如果有惡意驗證者控制了三分之一以上的質押，就會讓網路停擺，因此研究計算了主流 PoS 區塊鏈的中本聰係數如下表。

▲ PoS 區塊鏈的中本聰係數列表。（Source：Trail of Bits）

為什麼中心化指數如此重要呢？一般民眾可能會認為要攻占這麼巨大的礦池或是驗證者，要花費的成本過高，根本無利可圖，然而從金融組織，或是國家機構角度出發，這個成本並非遙不可及。儘管區塊鏈本身的設計是相當安全的，但是礦池、驗證者本身的防護能力，以及資安意識則未必。

無密碼驗證的礦池協議

舉例來說，礦池與參與者之間的溝通多數使用 Stratum 協議，然而這個協議並沒有加密，一直到 2018 年之前，Stratum 協議的認證甚至不需要密碼。根據研究單位測試，他們參與的所有礦池，要麼是由礦池指派密碼給所有帳戶，要麼就是在認證過程中不需要密碼。知名的大型礦池 ViaBTC，指派給所有帳號的密碼則是「123」、Slushpool 則要求用戶忽略驗證過程中的密碼認證錯誤，稱之為 Stratum 協議的老毛病，無需在意、Poolin 則完全不要求用戶認證。

這三個礦池提供的算力，相當於整個比特幣區塊鏈網路的 25%。

除了礦池本身的安全性疑慮，大家熟知的 51% 攻擊，根據研究後發現，由於網路延遲的特性，在比特幣網路上會有約 1.3% 的礦工其實並沒有跟整個網路同步，理論上，只需要 49% 的算力，就可以發動 51% 攻擊。根據估算，如果搭配適當的「攻擊」方式，可以進一步擴大延遲，讓所需的算力下降，只需要幾分鐘的延遲，就能讓攻擊門檻降低到 40%。

除此之外，Trail of Bits 也提出了其他脆弱環節，包括比特幣網路傳輸皆未加密，因此可能會在傳輸中介被攻擊，區塊鏈網路上使用的軟體也存在多個版本，因此難以提供完整的安全性更新等。

這並不是說，比特幣或區塊鏈就等於不安全，事實上中本聰設計比特幣之初，原意就是要打造一個 Trustless 的環境，並不需要加密，也不需要信任，但是如今的生態越來越中心化之後，許多設想可能都與當年差距甚遠，因此需要更加審慎評估。