Я добавлю некоторые рассуждения о свободных начальном прообразе / столкновения атак, заставляет меня думать, что это меньше проблем для этого конкретного применения. Таковы причины:

1. Безопасность сопротивления прообраза SHA-256 в битах составляет 256 бит. Если SHA-256 были 100% гарантии безопасности, злоумышленник, который хочет, чтобы повторно использовать POW другого объединения разминированный блока необходимо выполнить 2 ^ 256 операций. Эта атака никогда не будет иметь практическое значение для SHA-256, даже имея свободный старт. Там есть и не будет успешной практической прообразом атаки на любой из когда-то стандартных хэш-функций (включая MD5, SHA-1 и т.д.). Лучший теоретический прообразом атака на разбитой MD5 требуется 2 ^ 125 операций, что значительно больше, чем затруднили ПР.

2. Более простая атака сначала попытаться найти два или более свободного начало столкновений в coinbase, а затем создать блок слияния-заминировано. Безопасность сопротивления столкновения SHA-256 составляет 128 бит.

Лучшие freestart атака на SHA-1 требуется около 2 ^ 60 операций и производит только одно столкновение (это не распространяется на создание нескольких столкновений). Там нет известной свободного старта столкновения уязвимости в полном SHA-256.

В качестве примера, предположим, что полное свободное столкновение начало, которое требует 2 ^ 100 операций найдено. Это будет иметь разрушительные последствия для SHA-256, и все (в том числе Bitcoin) начнут отходить от SHA-256. Тем не менее, он по-прежнему не будет влиять на этот конкретный вид использования.

Мы можем предположить, что Bitcoin доказательство правильности работы не будет иметь более чем 100 нулевой префикс битов в течение следующих 50 лет (предполагается, что закон Мура остается верным, и производительность на ватт продолжает расти в геометрической прогрессии, так как в настоящее время Bitcoin ПР имеет около 72 нулевых битов) , И это будет очень позитивный сценарий, так как награда Bitcoin будет 4096 раз ниже, чтобы идти в ногу с тем же количеством горнорудной хэширования власти Bitcoin необходимо будет 4096 раз более ценным (1 BTC = 1,3М USD) или каждый блок должны были бы быть 400 ГБ платить достаточно сборов.

Но операции, участвующие в поиске столкновения не эквивалентны хэш-операции для военнопленных (SHA256D). Там не будет предварительно построен оптимизированный СИС для выполнения такой атаки, и атака потребует использования графических процессоров. Таким образом, мы можем ожидать еще одно соотношение производительности 1000x между ними (10 бит).
 
3. Как правило, приступы начинают быть непрактичным, а затем они получают медленно лучше с течением времени, поэтому, когда начальная уязвимость найдена, есть много времени, чтобы жесткий вилкой. Предполагая, что атака производит только одно столкновение, и успешный и немедленный приступ найден, следствие будет короткий период очень быстрых блоков (например, 1 секунду), а затем при помощи регулировки сложности, что позволит предотвратить слитый блок-цепь из растет без ограничений. Это дало бы много времени для жесткой вилки, что делает атаку бесполезно.

4. Даже если атака может найти много столкновений сразу, было бы очень легко, чтобы предотвратить повторное использование заголовков Bitcoin, не допуская повторения заголовка Bitcoin в последние 100 добываемых блоков. Проверка временной метки блока Bitcoin, а не позволяя использовать старый заголовок (например, метка времени заголовка должна быть не старше, чем 1 час, или средний временной метки из последних 10 блоков) также может помочь.

5. Наступление будет немедленно обнаружен как coinbase части, представленной бы, конечно, не будет действительным coinbase сделка хвост.

Поэтому я ожидаю, что использование в середине состояния для coinbase сжатия в слиянии добычи не будет проблемой в течение следующих 50 лет.