<div dir="ltr"><div dir="ltr"></div><div class="gmail_quote"><div>Good Morning ZmnSCPxj ,</div><div><br></div><div>It is cheaper and easier to delay messages, or preempt the spreading of messages, than it is to produce a better fitness score. Whether it be through pre-emption or an eclipse - an adversary can influence the size of both sides of the disagreement, which is a strange feature for any network to have.  "First seen" is a factor of time, time is an attacker-controlled element, and this dependence on time creates a race-condition. <br></div><div><br></div><div>My original statement is that it is cheaper to introduce a large number of non-voting nodes, than it is compeate on mining power -  holds true.  It doesn't have to be perfect to be a shortcut, an adversary can perform the same kind of impact as 51% attack - so long as they have a sufficient number of non-voting nodes.   My language here is referring to the original paper which makes reference to non-voting nodes and that the electorate must only be made by computational effort. However, a sufficient number of non-voting nodes who diligently pass messages, hold the keys to the kingdom.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
This is the point at which I think your argument fails.<br>
<br>
You are expecting:<br>
<br>
* That the attacker is powerful enough to split the network.<br>
* That the attacker is adept enough that it can split the network such that mining hashpower is *exactly* split in half.<br>
* That the universe is in an eldritch state such that at the exact time one side of the chain split finds a block, the other side of the chain split *also* finds a block.<br></blockquote><div><br></div><div>* Power is relative, my only comment is that message passing is cheaper than mining - and that this proposed attack is somewhat better than 51% mining attack. </div><div><div>* Assuming all adversaries are crippled will not produce a very good threat model. </div><div>* Both sides need to be more or less equal - in practice I don't think this needs to be exact, and only needs to be held open long enough to trick validators.  It can and will be unstable, but still exploitable. </div></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
This leads to a metastable state, where both chain splits have diverged and yet are at the exact same block height, and it is true that this state can be maintained indefinitely, with no 100% assurance it will disappear.<br>
<br>
Yet this is a [***metastable***](<a href="https://en.wikipedia.org/wiki/Metastability" rel="noreferrer" target="_blank">https://en.wikipedia.org/wiki/Metastability</a>) state, as I have mentioned.<br>
Since block discovery is random, inevitably, even if the chain splits are exactly equal in mining hashpower, by random one or the other will win the next block earlier than the other, precisely due to the random nature of mining, and if even a single direct connection were manually made between the chain splits, this would collapse the losing chain split and it will be reorganized out without requiring floating-point Nakamoto.<br></blockquote><div> </div><div>Mr Nakamoto is assuming normal network conditions - if a majority of messages are passed by malicious nodes, then this conjecture no longer holds.  If the majority are dishonest, and non-voting, then the rules change. </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
And in Bitcoin, leaving things alone is generally more important, because change is always a risk, as it may introduce *other*, more dangerous attacks that we have not thought of.<br>
I would suggest deferring to those in the security team, as they may have more information than is available to you or me.</blockquote><div> </div><div>Offline, we had discussed that there is currently an active malicious-mining campaign being conducted against the Bitcoin network.  Large mining pools will delay the broadcast of a block that they have formed in order to have a slight advantage on the formation of the next block.   Currently, there is an economic incentive for the formation of disagreement and it is being actively exploited.   FPNC means that blocks below the 1/2 cut-off are greatly incentivised to be broadcast as quickly as possible, and blocks above the cutt-off could be held onto a little longer.  This withholding attack is already taking place because there is an economic incentive.  Although no proposed solution can prevent it completely,  seeing that this bad thing would happen 1/2 as often - I see this as an absolute win.</div><div><br></div><div>-Michael</div></div>
</div>