Wäre schon legitim, würde nur dem Image von Bitcoin denke ich enorm Schaden und den Preis in die 3 stellige Preiskategorie zurückkatapultieren

Möglich ja, Teuer auch ja.
Aber so wie es diskutiert wurde denke ich das es da schon zu spät war.
(war ja schon ein paar blocks zu spät) und damit dann
- vermutlich zu teuer
- zu viele implikationen auf die anderen user.
 gut das mit den implikationen kann man ja ausschliessen wie du ja auch anmerktest, dsas man die selben, nicht "bösen" transaktionen einfach wieder einbaut..

aber dennoch, ich denke wenn das passiert wird es keinen Bitcoin mehr geben wie gedacht.
Obwohl es ist immer nich der Bitcoin wie wir ihn haben nur sind die User und deren Consens dann vermtlich gespalten..

daher denke ich, macht es nicht. Und zum glück ist die Hashrate derzeit so hoch, das das auch richtig teuer wird wenn man es nicht schnell merkt.

Ich denke mal es wird (obwohl möglich) nie passieren... und das ist auch gut so.
Aber spannend das alles mal so durchzudenken

Langsam! Wir reden hier von Proof of Work!

Wenn ich einen "Rollback" fahren wollte ohne das Protokoll zu ändern, also (nur) eine 51%-Attacke durchführen wollte, dann muss ich doch parallel zur Hauptchain auch auf einer alternativen Chain minen. D.h. ich muss meine Hashleistung aufteilen.

Bei der aktuellen Problematik müsste genug Hashpower hinter der alternativen Chain stehen sodass diese nicht sonderlich hinter der Hauptchain hinterher hängt. Auch muss das parallele Hashing durchgängig laufen weil man ja nie weiss, wann man gehackt wird und wann man zurück drehen muss. Und dann müßte man, wenn ein Hack passiert ist, alle für den Angriff verfügbare Hashpower auf die alternative Chain konzentrieren um die Hauptchain, was den Proof of Work angeht, zu überholen.

Ausserdem muss die Alternativchain die Realtität abbilden. Da müssen also Transaktionen drauf sein, welche irgendwie Sinn machen. Denn was bringt eine Alternativchain, wenn sie leer ist? Man könnte sicherlich immer eine konstante Anzahl an Blöcken "angreifen", also z.B. die Anzahl an Blöcken, welche an einem Tag gefunden werden. Fängt ein neuer Tag an, beginnt man den Angriff am aktuellen Block der Hauptchain. Wenn der Hack innerhalb des gegeben Tags passiert, so kann man die Chain diesen einen Tag zurückdrehen. Das setzt aber voraus, dass man den Hack rechtzeitig entdeckt und dies ist selten gegeben.

D.h., dass man im Idealfall immer eine Hashverteilung von nahe 51% für die Hauptchain und 49% für die Alternativchain für ein bestimmtes Zeitintervall bräuchte. Je kürzer das Zeitintervall, desto niedriger kann wohl die Hashleistung für die Alternativchain ausfallen. Nur ... alle Miner, welche auf der Alternativchain bzw. Fallbackchain hashen, verdienen nichts, solange kein Hack passiert. Wer würde sowas für irgendeine Kackbörse machen, welche nicht in der Lage ist, die ihr anvertrauten Funds sicher zu verwahren? Wer würde sowas im allgemeinen machen?

Mal abgesehen vom Schaden, welcher durch einen Rollback entsteht, wenn er denn funktionierte! Man könnte, solange der Rollback diskutiert wird, lustig mit dem entsprechenden Token einkaufen gehen. Nach dem Rollback wäre die Kohle wieder da. So funktioniert das nicht.

Oder um das kurz zu machen:

Was ihr hier diskutiert ist ein Problem von Proof of Stake und nicht von Proof of Work und deshalb auch nicht von Bitcoin.

Ein Sturm im Wasserglas. Und deswegen hat der Kurs bei dieser Ankündigung auch mit Recht nicht gezuckt. Solange sich die Protokollentwickler, also die Bitcoin-Entwickler, da raushalten bleibt so ein Rollback praktisch unmöglich.

End of story.

Mal kurz ein paar Antworten zusammengefasst.

1. nein, man würde (im Gentlemen's Agreement Szenario) niemandem das Geld klauen.
2. ich heiße nichts gut, aber ich versuche, meiner "Linie" treu zu bleiben, nach der ich die Freiheit des Bitcoin-Systems als Freiheit jedes Teilnehmers verstehe, mit Bitcoin zu tun, was er für richtig hält.
3. dass sie "noch" nicht synchron sind, stimmt so nicht, sie sind im Rahmen der Funktionsweise von Bitcoin zu jedem Zeitpunkt synchron mit der jeweils längsten Kette, nur ändert sich die längste Kette irgendwann.
4. die Dauer ist in diesem Gedankenspiel alleine abhängig von der Summe, um die es geht.

Um mal die Kosten ganz grob einzuschätzen, gehe ich davon aus, dass ein solcher "Rollback" mit "Gentlemen's Agreement" pro Block, der rollbacked werden muss, an Kosten verursacht:
1. 12,5 BTC Block Reward
2. weitere 12,5 BTC Block Reward, die per Agreement an den Miner aus der "Original-Chain" gehen
3. "Overhead", der sich danach errechnet, über wieviel Rechenleistung die Rollback-Chain verfügt. Gehen wir mal davon aus, dass der Rollback mit rund 80% der Gesamtrechenleistung durchgeführt wird, reden wir da also von 2,5 BTC
4. Einiges an fees, die auch wieder an die Original-Chain-Miner gehen sollten, sagen wir mal 3 BTC

Also kostet so ein Rollback vermutlich irgendwo in der Größenordnung von 30,5 BTC pro Block.
Damit sich das ganze auch für die Miner lohnt, die daran teilnehmen, wollen sie natürlich aber auch einen Gewinn dabei machen, insofern sage ich mal, dass das unter 50 BTC pro Block nicht zu machen ist, und sich wahrscheinlich eher im Bereich von 100 BTC pro Block bewegt.

Will ich also z.B. 100 Blöcke rollbacken, sollte ich damit schon eher mehr als 10.000 BTC "rausholen", damit sich der Aufwand lohnt.
Wenn ich dazu noch das Risiko einkalkuliere, dass tatsächlich der Kurs enormen Schaden nehmen kann, dürfte man vielleicht noch erheblich konservativer rechnen.


Mir ist der Gedanke gekommen, dass solche Überlegungen wie "Börse schließt mit den Minern eine Versicherung ab", möglicherweise längst in den Hinterhofzimmern zwischen den großen Playern im Markt auf dem Tisch sind. Das könnte dann letztlich der Grund dafür sein, dass in diesem konkreten Fall die Option überhaupt zur Sprache kam. Letztlich hat man sich dann dagegen entschieden, weil der Schaden zu klein war und ein Rollback eben zu spät gekommen wäre.

Ob das dann immer noch "der Bitcoin wie wir ihn haben" ist, oder nicht, ist sicherlich eine interessante Frage.
Rein technisch sind wir uns einig, dass sich nichts geändert hat.
Ob das von der "breiten Masse" akzeptiert wird, sei mal dahingestellt, meine (schwache) Vermutung wäre "ja, wenn es richtig, transparent und fair gemacht wird".

Allerdings ergibt sich natürlich die Möglichkeit, dass z.B. die Nodes die rollbackte Chain nicht akzeptieren (dazu müssten allerdings sie einen Hardfork durchführen), womit es zu einer Abspaltung kommt, in der die "Traditionalisten" dem Hardfork folgen. Verkehrte Welt.


Ich bin mir nicht ganz sicher, ob das dem Kurs so sehr schaden würde, obwohl meine erste Vermutung auch wäre "ja".
Letztlich kommt es darauf an, ob der Markt als ganzer einen Bitcoin mit einem "quasidemokratischen" Minimalschutz gegenüber großen Hacks als wertvoller oder wertloser ansieht als den Bitcoin ohne einen solchen.

Nein. Wenn "ich" eine 51%-Attacke durchführe, mine ich nur noch auf meiner alternativen Chain.

Ja, ja, und "genau so viel wie eine volle Chain".
Man kann natürlich auch eine "leere" Alternativchain aufbauen, das hat sogar (fast vernachlässigbare) Performance-Vorteile.
Aber natürlich wird man, schon aus Gründen der Akzeptanz, aber auch der Fees wegen, die bereits in der Original-Chain existierenden Transaktionen aufnehmen.

Nein. Je mehr Rechenleistung ich für meine Alternativchain aufwenden kann, desto besser.

Jein. Je weniger Rechenleistung ich habe, desto länger dauert es, bis ich die längere Kette habe, damit steigen die Kosten für meinen Rollback erheblich an.

Nein, sie "verdienen" in der Alternativchain genauso viel wie in der Original-Chain.
Da die Alternativchain insgesamt weniger Rechenleistung hat, verdienen sie eher mehr.
Nur verlieren sie ggf. die Block Rewards, die sie bereits in der Original-Chain erhalten hatten.
Wenn dazu noch das "Gentlemen's Agreement" eingehalten wird, verdienen sie tatsächlich in der Alternativchain nichts oder nur sehr wenig.
Und die Aussage "solange kein Hack passiert", ist unsinnig, da an der Alternativchain nur dann gemint wird, wenn ein Hack passiert.

Aus dem Grund müsste die Börse die Miner dafür bezahlen.
Schließlich verlieren die Miner in dem Szenario zunächst einmal Geld.
Wie ich weiter oben schätze, über 30 BTC pro Block.
Wenn aber die "Kackbörse" bereit ist, den Minern für das Minen der neuen Blockchain 100 BTC pro Block zu bezahlen, lohnt es sich für die Miner.

Das kann sogar dezentral geschehen, indem die Börse einfach eine sinnlose Leertransaktion mit einer Fee von z.B. 100 BTC in jeden Block packt.
Damit diese Transaktionen dann nur in der Alternativchain gemint werden können, müssten diese abhängig von einem Double Spend der zu rollbackenden Transaktion sein.

Nein. So funktioniert der Rollback (mit "Gentlemen's Agreement") nicht.
Wenn ich ganz normal meine Coins ausgebe, sind meine Transaktionen immer in beiden Ketten gültig, d.h., ich kann meine Coins nicht "doppelt ausgeben".


Das ergibt keinen Sinn.
Die 51%-Attacke ist eine inhärente Eigenschaft von Proof of Work.
Sie ist, wenn man so will, die Umkehrfunktion der Sicherheitsfunktion von PoW.

Das hat IMHO eher damit zu tun, dass die meisten Leute so reagiert haben wie ich "geht nicht".
Aber das war eine zu naive Denkweise.

Wenn wir davon ausgehen, dass die großen Börsen und die großen Miner sicherlich die eine oder andere Absprache haben, ist ein solches Szenario nicht nur denkbar, sondern auch relativ wahrscheinlich.
Die Frage ist also weniger, ob, sondern wann wir einen solchen Rollback einmal erleben
Nein, im Ernst, natürlich kann es auch sein, dass die Miner das kategorisch ablehnen.

Komplett falsch. Die Entwickler haben in diesem Fall nichts damit zu tun.


Insgesamt habe ich den Eindruck, dass du noch nicht so ganz 100%-ig verstanden hast, wie Proof of Work tatsächlich funktioniert.
Die 51%-Attacke ist, wenn man so will, kein "Angriff", sondern der "ganz normale" Konsensmechanismus in PoW.

Zu glauben, man könnte irgendwie eine "externe Wahrheit" einer "echten Kette" über die Mechanismen des Protokolls erzwingen, ist ein Irrglaube.
In Bitcoin ist die längste Kette die richtige Kette.

Ich würde ergänzen, dass (sinnvollerweise) noch vor dem Hack steht:
- Vereinbarung zwischen Minern und Börse wird getroffen, im Falle eines Hacks so einen Rollback durchzuführen.
Ich halte es nicht für sinnvoll möglich, erst nach dem Hack die Diskussion zu führen, ob man nun den Rollback durchführen soll oder nicht.
Also sollte man sich im Hinterzimmer schon lange vorher darauf geeinigt haben "okay, wenn ein Hacker 100.000 BTC klaut, und das binnen 24 Stunden gemeldet wird, dann machen wir einen Rollback" oder ähnliches.

Der eigentliche Rollback sollte dann IMHO nicht geheim stattfinden, sondern öffentlich angekündigt werden, damit z.B. andere Börsen keine Transaktionen mehr akzeptieren, die von dem Rollback betroffen sein werden.
Auch die nicht am Rollback beteiligten Miner würden damit die Gelegenheit erhalten, einfach zähneknirschend zu akzeptieren, dass es für sie jetzt sinnvoller ist, im Zweifel an der neuen Rollback-Chain mitzuarbeiten, was die Kosten erheblich reduzieren würde.


Sich mit der Originalchain abzuspalten, erfordert in jedem Fall einen Hardfork der Bitcoin-Software.
Schließlich müsste man eine Protokolländerung einbauen, die plötzlich nicht mehr die längste Kette als "richtig" ansieht, sondern eine "willkürlich" gewählte Kette, die kürzer ist, aber bestimmte Transaktionen enthält (nämlich genau die, die vom Rollback "gelöscht" werden).
Damit sind die Anhänger der Originalchain dann die eigentlichen "Spalter", "Ungläubigen", "Frevler"


Mit der Meinung bist du ja offensichtlich nicht alleine, und auch ich tendiere dazu, das nicht "gut zu finden".
Andererseits ist es eben genau das "Spiel", auf das wir uns mit Bitcoin einlassen, insofern muss ich konsequenterweise sagen, dass ich zumindest kein wirklich gutes Argument dagegen finde.

Leider ist Spieltheorie nicht so meine größte Stärke.
Aber es läuft IMHO darauf hinaus, dass wir die Entscheidungsmöglichkeiten jedes Miners in einer Matrix abbilden könnten, und sich ergeben dürfte, dass es für jeden Miner sinnvoller ist, am Rollback teilzunehmen.


Nein. Mit "Macht" oder "mehr Bitcoins" hat das nichts zu tun.

Eigentlich geht es um die Frage, ob man das Prinzip "die längste Kette ist die richtige Kette" als fundamental für PoW ansieht, oder ob man gewillt ist, eine externe "Deutung" der "Wahrheit" stärker zu gewichten.
Wenn man Bitcoin wirklich ernst nimmt, sollte man IMHO zu ersterer Deutung neigen.


Es ist eine traditionelle Double-Spend-Attacke.
Diese beinhaltet nämlich immer eine "Zensur" der zu doublespendenden Transaktion.


Das ändert nichts. Auch die chinesische Regierung hat in dem Fall die Kosten zu tragen.

Nochmal:
Die Sicherheit einer Bitcoin-Transaktion entsteht daraus, dass es erheblich mehr kostet, eine Transaktion rückgängig zu machen, als sie bestehen zu lassen.
An dieser Gleichung ändert sich nichts.

Das hatten wir weiter oben schon.
Wenn es so ist, lohnt sich irgendwann der Rollback nicht.
Wenn er sich nicht lohnt, wird er sicher auch nicht durchgeführt.
Das ist trivial.

Wenn es "richtig" gemacht wird, mit "Gentlemen's Agreement", dürfte der Schaden vernachlässigbar sein, und könnte von der initiierenden Börse ersetzt werden.

Beim unbeabsichtigten "Rollback" von 0.8 auf 0.7 hat es AFAIR auch einen Schaden von rund 10.000 BTC gegeben, der dann einfach von ein paar Minern, die "zusammengelegt" haben, ersetzt wurde. Die genauen Details habe ich aber nicht mehr im Kopf.

Ja.
Die Meinungen sind hier mit Sicherheit das größte Problem.
Wenn "wir" einen solchen Rollback durchführen, haben die Shitcoiner "Field Day", die Gelegenheit lassen sie sich nicht nehmen.
Die große Frage ist ja eben nicht, ob Schaden entsteht, sondern was einen größeren Schaden verursacht.

Aus genau dem Grund würde ich mir ja wünschen, dass eine solche Möglichkeit wie der Rollback bereits heute ausgiebig diskutiert wird, nach Möglichkeit vorurteilsfrei.
Dabei muss man sich auch nicht auf ein "richtig" oder "falsch" einigen, sondern man kann damit wenigstens das Bewusstsein der Leute schärfen, dass eine solche Möglichkeit existiert und auch nicht bloße Theorie sein muss.
Und dass zugleich ein solche Rollback, so er denn durchgeführt würde, eben keinesfalls einen Akt der "Zentralisierung" darstellt.


In diesem Sinne: Niemand hat die Absicht, einen Rollback zu errichten!

Dieser Fall ist in meiner Aussage enthalten.


Nur irgendwann divergiert das, das wäre dann praktisch ein Fork.


Schon klar. Ich spreche aber eigentlich davon, dass jemand eine Fallbackchain nebenher miniert. Und die sollte immer ähnlich lang wie die echte Chain sein damit man die Hauptchain im Falle eines Hacks leichter überholen kann.


Wenn ich weniger als 50% habe, dann dauert es unendlich lang. Da sind wir uns wohl einig. Wenn der Rückstand an Blöcken in der Alternativchain möglichst klein ist, so minimiere ich die Hashleistung nach dem Hack um aufzuschliessen. Das sollte die Grundaussage sein.


Ein Blockreward in der Alternativchain ist wertlos und demnach kein echter Reward. Ausser die Alternativchain wird auch gehandelt, dann hätten wir einen Fork und alles würde durcheinander gehen.


Das setzt voraus, dass der Hack rechtzeitig entdeckt wird. Ich denke wir reden aneinander vorbei. Meine Voraussetzung ist, dass ein Hack passiert und nachträglich entdeckt wird. Und so wird das praktisch immer ablaufen. Kunden beschweren sich, die Börse prüft und der Hack wird entdeckt. Nun braucht man eine Alternativchain, welche von der Länge möglichst nah an der Hauptchain ist. Ansonsten kann man den "Angriff" vergessen.


Dann rechne mal nach 7000 BTC verloren aber 100 BTC pro Block. Das macht 70 Böcke oder ca. 12h. Wenn der Hack länger als 12h her ist, macht dieses Vorgehen keinen Sinn.


Natürlich gibt das Sinn da man bei PoS beliebig viele Alternativchains nebenher pflegen kann, ohne irgendwelchen Aufwand.


Komplett richtig! Da die Entwickler nämlich bei einem Hardfork hardcoden können, welche Chain die richtige ist. Hat man die Entwickler auf seiner Seite, dann bekommt man auch den Rollback hin. So lief das bei Ethereum.


Dito.


Bestreite ich nicht.


Wie ich oben schrieb, die Entwickler können bei einem Hardfork hardcoden, welche Chain die richtige ist. Hat man die Entwickler auf seiner Seite, dann bekommt man auch den Rollback hin. So lief das bei Ethereum.

Sehe ich auch so. Zu erörtern wäre, ob "im Hinterzimmer" in dem Fall besser oder schlechter wäre als "öffentlich und transparent". Im zweiteren Fall würden weniger Spekulationen aufkommen, ob nicht doch die chinesische Regierung (oder irgend ein anderer "böser" Akteur) dahintersteckt.

Man nimmt einfach einen Block als "checkpoint", in dem sich die anderen abgespalten haben. Da braucht man nicht explizit "die Hackertransaktion legitimieren".

Nicht, wenn sie erheblich mehr sind als die "Rollbacker". Siehe den nächsten Punkt ...

Nehmen wir aber einmal an, die Entscheidung sei äußerst umstritten. Eine Gruppe anderer großer Akteure, z.B. Börsen und große Hodler, kündigt an, einen Hardfork zu unterstützen, die den Rollback ignoriert und stattdessen den Hack-Block als Checkpoint nutzt.
Es zeichnet sich die Möglichkeit ab, dass diese Chain mehr wert werden könnte als die "nach dem Konsensmechanismus längste".
Allein diese Drohung könnte die Nicht-Kartell-Miner nun davon abhalten, an der Rollback-Chain teilzunehmen, und eventuell sogar das Kartell zerfallen lassen.
Ein solches Szenario ist imho ebenfalls als Teil des Konsenses und der Anreizmechanismen anzusehen, die Bitcoin so stark machen. Nicht nur die "Längste-Chain-Regel". Sondern auch die "Macht der Massen".

Mir geht es um das Rollback-Agreement. Meines Erachtens handelt es sich hier durchaus um eine "externe Deutung einer Wahrheit". Diese wird nun mit Macht und Geld in Konsens ("längste Chain") umgesetzt.

Das kann wie gesagt jeder, der diese Macht hat, umsetzen. Da wie gesagt es nicht trivial ist, gute von bösen Absichten zu unterscheiden, ist jeder Versuch abzulehnen. Da eine Börse dadurch ab einer bestimmten Marktmacht die Möglichkeit erhält, ihre Kosten für Sicherheit zu senken und damit ihre Marktmacht noch weiter zu steigern, wäre selbst ein Schutz vor einem Hack per Gentlemen's Agreement aus meiner Sicht eine eher "böse" Absicht.

Das ist klar, aber darum geht es mir in diesem Fall nicht. Stattdessen auf die Entscheidung der User, die Rollback-Attacke gutzuheißen oder nicht (und dann eventuell einen Hardfork gegen den Rollback zu unterstützen).

Zwar kann man das tatsächlich auch mit einem Double Spend erreichen. Das habe ich in der ersten Antwort nicht bedacht.
Das Ergebnis ist aber das gleiche. Es wird willkürlich von einem mächtigen Akteur oder Kartell festgelegt, dass es eine bestimmte Transaktion nicht geben darf.
Ob das jetzt per impliziter Androhung von Verlusten wie bei ETH oder per "Bestechung" passiert, ist m.E. gleichgültig.
Im Endeffekt ist es aber tatsächlich so wie du schreibst: entscheidend ist, was die Masse an Usern interpretiert und draus macht.

Ich würde aber in einem solchen Fall die Gruppe unterstützen, die den Rollback ablehnt.

Die Gefahr besteht sicherlich. Die Idealisten würden sich aber wohl abwenden. Und die sind m.E. ziemlich wichtig.

Ist in der Tat eine schwierige Frage.
Wenn es eine "Anti-Rollback-Hardfork-Chain" gibt, dann diese. Denn dann dürfte klar sein, woher die User dieser Chain stammen: von der Gruppe, die solche Aktionen ablehnen.
Aber mathematisch beweisbar ist das natürlich nicht. Man müsste eben "auf der Hut" bleiben, das solche Rollbacks im neuen Coin nicht mehr vorkommen, und jeden Versuch energisch durch weitere Hardforkdrohungen bekämpfen.

Wegen dieser "traumhaften Aussichten" würde ich behaupten, dass ein einziger erfolgreicher Rollbackversuch in jedem Fall zu Instabilität und zu einer Schwächung von Bitcoin insgesamt führen würde, und deshalb schon der erste Versuch bekämpft werden sollte. Wenn die Rollback-Gegner Glück haben, ist schon eine Hardforkdrohung effektiv.

tl;dr: Ich verstehe deine Position schon, aber ich glaube, dass der Konsensmechanismus von Bitcoin eben auch andere Aspekte als die "Längste-Chain-Regel" umfasst, insbesondere die Reaktionen der User auf alles, was sich als Machtmissbrauch interpretieren lässt.
Wenn die Börsen dies bedenken und ihren langfristigen Erfolg nicht gefährden wollen, werden sie deshalb vielleicht von selbst von solchen Agreements Abstand nehmen. Das wäre das beste für alle, imo.