O que é o Problema de Duplicação de Gastos?

A duplicação de gastos é um problema potencial em um sistema de dinheiro digital onde os mesmos fundos são enviados para dois destinatários ao mesmo tempo. Sem medidas adequadas para evitar isso, um protocolo que não resolve esse problema é fundamentalmente comprometido – os usuários não têm como verificar se os fundos que receberam não foram gastos em outro lugar.

Quando se trata de dinheiro digital, garantir que unidades específicas não possam ser duplicadas é de extrema importância. Todo o sistema seria comprometido se Alice pudesse receber 10 unidades, copiá-las e colá-las 10 vezes, e se encontrar com 100 unidades em sua posse. Da mesma forma, esse esquema não pode funcionar se ela puder enviar as mesmas 10 unidades para Bob e Carol simultaneamente. Portanto, para que o dinheiro digital funcione, deve haver mecanismos para evitar esse comportamento.

Como a duplicação de gastos pode ser evitada?

A abordagem centralizada

A abordagem centralizada é consideravelmente mais fácil de implementar do que as alternativas descentralizadas. Isso geralmente envolve um supervisor gerenciando o sistema e controlando a emissão e distribuição das unidades. Um bom exemplo de uma solução centralizada para o problema de duplicação de gastos é o eCash de David Chaum.

Para emitir aos usuários um ativo digital que imita dinheiro (capaz de trocas anônimas e ponto a ponto), um banco pode usar assinaturas cegas – conforme detalhado pelo criptógrafo David Chaum em seu artigo de 1982 “Blind Signatures for Untraceable Payments”.

Nesse contexto, se um usuário (vamos chamá-lo de Dan) deseja receber $100 em dinheiro digital, ele precisa informar o banco primeiro. Desde que ele tenha o saldo em sua conta, ele então gera um número aleatório (ou vários, para denominações menores). Vamos supor que ele produza cinco números, cada um com valor de $20. Para evitar que o banco rastreie unidades específicas, Dan ofusca os números aleatórios adicionando um fator de ofuscação a cada um deles.

Em seguida, ele entrega esses dados ao banco, que debita sua conta em $100 e assina mensagens certificando que cada uma das cinco informações é resgatável por $20. Dan agora pode gastar os fundos emitidos pelo banco. Ele vai a um restaurante de Erin e compra uma refeição que custa $40.

Dan pode remover o fator de ofuscação para expor o número aleatório associado a cada “cédula” de dinheiro digital, que serve como um identificador único para cada unidade (como um número de série). Ele revela dois desses números para Erin, que agora deve resgatá-los imediatamente com o banco para evitar que Dan os gaste com outro comerciante. O banco verificará se as assinaturas são válidas e, se tudo estiver correto, creditará a conta de Erin com $40.

As cédulas usadas agora são essencialmente destruídas e mais devem ser emitidas se Erin quiser gastar seu novo saldo dessa mesma maneira.

A configuração do eCash de Chaum pode ser valiosa para transferências privadas. No entanto, falha na resiliência porque o banco é um ponto central de falha. Uma cédula emitida não tem valor em si, pois seu valor é derivado exclusivamente da disposição do banco de trocá-la por dólares. Os clientes estão à mercê do banco e devem confiar em sua boa vontade para que o dinheiro funcione. Esse é precisamente o problema que as criptomoedas visam remediar.

A abordagem descentralizada

Garantir que os fundos não possam ser duplicados em um ecossistema sem um supervisor é mais desafiador. Participantes igualmente poderosos devem coordenar-se em torno de um conjunto de regras que evitem fraudes e incentivem todos os usuários a agir honestamente.

A maior inovação apresentada no white paper do Bitcoin foi uma solução para o problema de duplicação de gastos. Embora não seja referenciada como tal, Satoshi propôs a estrutura de dados agora amplamente conhecida como blockchain.

Um blockchain é basicamente um banco de dados com algumas propriedades únicas. Os participantes da rede (referidos como nós) executam software especializado, que lhes permite sincronizar sua cópia do banco de dados com seus pares. Como resultado, toda a rede pode auditar o histórico de transações desde o bloco de gênese. Ao ter o blockchain visível publicamente, é fácil detectar e prevenir atividades fraudulentas, como transações que tentam duplicar os gastos.

Quando um usuário transmite uma transação, ela não é imediatamente adicionada ao blockchain – primeiro ela deve ser incluída em um bloco por meio de mineração. Portanto, o destinatário só deve considerar a transação válida depois que seu bloco for adicionado à cadeia. Caso contrário, ele corre o risco de perder os fundos, pois o remetente pode gastar as mesmas moedas em outro lugar.

Uma vez que a transação é confirmada, as moedas não podem ser duplicadas, pois a propriedade é atribuída a um novo usuário – e toda a rede pode verificar isso. É por esse motivo que muitos recomendam aguardar várias confirmações antes de aceitar um pagamento como válido. Cada bloco subsequente aumenta drasticamente o esforço necessário para modificar ou reescrever a cadeia (o que pode ocorrer durante um ataque de 51%).

Vamos revisitar o cenário do restaurante. Dan volta ao restaurante e, desta vez, nota um adesivo “Bitcoin Accepted Here” na janela. Ele gostou da refeição que teve da última vez, então pede novamente. Isso lhe custa 0,005 BTC.

Erin lhe apresenta um endereço público para o qual ele deve enviar os fundos. Dan transmite a transação, que é essencialmente uma mensagem assinada afirmando que os 0,005 BTC que estavam em posse de Dan agora estão em posse de Erin. Sem entrar em muitos detalhes, qualquer pessoa apresentada com a transação assinada de Dan pode verificar que ele realmente estava em posse das moedas e, portanto, tinha autoridade para enviá-las.

Como mencionado, no entanto, a transação só é válida se for incluída em um bloco que seja confirmado. Aceitar transações não confirmadas é como aceitar os $40 em eCash do exemplo anterior, sem trocá-los imediatamente no banco – isso permite que o remetente os gaste em outro lugar. Portanto, é recomendável que Erin espere pelo menos 6 confirmações de blocos (aproximadamente uma hora) antes de aceitar o pagamento de Dan.

Duplicação de gastos no Bitcoin

O Bitcoin é cuidadosamente projetado para evitar ataques de duplicação de gastos, pelo menos quando o protocolo é usado como esperado. Ou seja, se as pessoas esperarem que as transações sejam confirmadas em um bloco, não há uma maneira fácil para o remetente desfazê-las. Para fazer isso, eles precisariam “reverter” o blockchain, o que requer uma quantidade irreal de poder de hash.

No entanto, existem alguns ataques de duplicação de gastos que visam as partes que aceitam transações não confirmadas. Para compras de baixo valor, por exemplo, um comerciante pode não querer esperar que as transações sejam incluídas em um bloco. Um restaurante de fast-food movimentado provavelmente não pode se dar ao luxo de esperar enquanto a rede processa cada compra. Portanto, se um negócio permite pagamentos “instantâneos”, ele se expõe a duplicação de gastos.

Alguém pode pedir um hambúrguer, pagar por ele e, em seguida, enviar imediatamente os mesmos fundos para seu próprio endereço. Com uma taxa mais alta, essa nova transação provavelmente será confirmada primeiro e, assim, invalidará a transação anterior.

Existem três métodos populares para realizar uma duplicação de gastos:

• Ataques de 51%: quando uma única entidade ou organização consegue controlar mais de 50% da taxa de hash, o que lhes permite excluir ou modificar a ordem das transações. Esse tipo de ataque é altamente improvável no Bitcoin, mas já ocorreu em outras redes.
• Ataques de corrida: duas transações conflitantes são transmitidas em sucessão, usando os mesmos fundos – mas apenas uma transação é confirmada. O objetivo do atacante é invalidar o pagamento validando apenas a transação que o beneficia (por exemplo, enviando os mesmos fundos para um endereço que ele controla). Os ataques de corrida exigem que o destinatário aceite uma transação não confirmada como pagamento.
• Ataques de Finney: um atacante pré-minera uma transação em um bloco sem transmiti-la imediatamente para a rede. Em vez disso, ele gasta as mesmas moedas em outra transação e só então transmite seu bloco previamente minerado, o que pode invalidar o pagamento. Os ataques de Finney exigem uma sequência específica de eventos e também dependem da aceitação do destinatário de transações não confirmadas.

Como podemos ver, um comerciante que espera pelas confirmações de blocos reduz drasticamente os riscos de se tornar vítima de duplicação de gastos.

Reflexões finais

A duplicação de gastos permite que um usuário manipule um sistema de dinheiro eletrônico para obter ganhos financeiros, usando os mesmos fundos mais de uma vez. Tradicionalmente, a falta de soluções adequadas para o problema tem impedido o progresso nessa área.

Felizmente, no entanto, o uso de assinaturas cegas propôs uma solução interessante para esquemas financeiros centralizados. Mais tarde, a criação de mecanismos de Prova de Trabalho e a tecnologia blockchain deram origem ao Bitcoin como uma forma poderosa de dinheiro descentralizado – o que, por sua vez, inspirou milhares de outros projetos de criptomoedas.