Todo algoritmo de minería 'resistente a ASIC' ha fracasado. Creemos saber por qué.
En 2009, Satoshi Nakamoto minó Bitcoin en una CPU de laptop. Para 2013, los chips personalizados habían hecho eso imposible. La distancia entre un ordenador de propósito general y un ASIC de minería hecho a medida es hoy de aproximadamente diez millones a uno.
La comunidad cripto ha dedicado una década a intentar cerrar esa brecha. Scrypt prometió memory-hardness. Ethash añadió un dataset gigantesco. Equihash invocó la complejidad del problema del cumpleaños. RandomX construyó una CPU virtual entera dentro del bucle de minería. Cada uno más sofisticado que el anterior. Cada uno cayó eventualmente.
Acabamos de publicar un preprint examinando este problema desde los cimientos — sistematizando todo lo que se ha intentado y por qué fracasó. Esta es la historia.
El marcador
El artículo, “The ASIC Resistance Problem: A Systematization of Knowledge and Open Questions for Proof-of-Work Consensus,” recorre el arco completo desde Hashcash hasta el presente.
Empieza con SHA-256 — y por qué es el objetivo perfecto para un ASIC
SHA-256 son 64 rondas de rotaciones bit a bit, adiciones y funciones booleanas sobre ocho variables de 32 bits. Sin memoria. Sin saltos. Sin dependencias de datos entre intentos de hash. Todo el conjunto se mapea a un pipeline estático que puedes estampar en silicio y replicar miles de veces. Por eso los ASICs de Bitcoin logran 10.000.000× la eficiencia de las CPUs que usaba Satoshi. Al reducir flip-flops de 22 a 4 transistores, eliminar toda característica que una CPU tiene y que SHA-256 no usa, y migrar de 130nm a 5nm durante una década, los diseñadores de ASIC alcanzaron ganancias fundamentalmente imposibles para el hardware de propósito general.
También damos a RPoW de Hal Finney (2004) el crédito que merece como eslabón perdido entre Hashcash y Bitcoin — el primer sistema funcional de efectivo digital basado en prueba de trabajo, usando coprocesadores a prueba de manipulación de IBM para prevenir el doble gasto. El genio de Nakamoto fue reemplazar el servidor de confianza de Finney por una blockchain descentralizada.
Luego recorremos cada contramedida
| Algoritmo | Estrategia | Ventaja del ASIC | Tiempo hasta caer |
|---|---|---|---|
| SHA-256 | Ninguna | ~10.000.000× | ~2 años |
| Scrypt | Memory-hard | ~1.000× | ~2 años |
| Ethash | Memory-hard | 5–20× | ~3 años |
| Equihash | Memory-hard | ~15× | ~2 años |
| CryptoNight | Fork-cinta | Reset en cada fork | ~1 año cada |
| X16R | Variabilidad de algoritmo | Roto | ~1,5 años |
| RandomX | Emulación de CPU | ~1,3× | ~4 años |
| Aleo PoSW | Basado en ZK | Abandonaron | < 1 año |
| Primecoin | Aritmética de enteros grandes | Ninguna aún | 11+ años |
La tendencia es clara. Cada generación comprime la brecha en aproximadamente un orden de magnitud — de 10⁷ a 10³ a 10¹ a 10⁰. Pero ninguna la ha eliminado.
RandomX merece atención especial. Es el intento más sofisticado jamás realizado: una máquina virtual que ejecuta programas generados aleatoriamente con 29 instrucciones, un dataset de 2 GB en memoria y compilación JIT. La tesis del diseño era que cualquier ASIC tendría que ser una CPU. ¿La respuesta de Bitmain? El Antminer X5 — un chip RISC-V minimalista que es exactamente una CPU menos todo lo que RandomX no usa. Ventaja: ~1,3×. Pequeña, pero real.
E indagamos por qué la teoría no nos ha salvado
La literatura académica tiene piezas del rompecabezas:
- Scrypt está probado como máximamente memory-hard (Alwen et al., EUROCRYPT 2017). Los ASICs de Litecoin siguen dominando.
- Bandwidth hardness (Ren y Devadas, TCC 2017) captura costes energéticos que la complejidad de memoria ignora — el acceso a DRAM cuesta ~20 pJ/bit independientemente de la plataforma. El modelo más cercano a la realidad del hardware.
- Fine-grained PoW (Ball et al., CRYPTO 2018) liga la dureza a conjeturas de complejidad de peor caso (Orthogonal Vectors, 3SUM, APSP). Pero solo brechas polinómicas — demasiado débiles para consenso real.
- VDFs (Boneh et al., CRYPTO 2018) dan dureza secuencial no amortizable. Pero la secuencialidad por sí sola no basta.
- Complejidad VLSI (Thompson, 1980) da lower bounds de circuito para ordenación y DFT. Pero no existe tal cota inferior para ninguna función útil en PoW.
Ningún teorema en la literatura dice “el hardware especializado no puede vencer al hardware de propósito general para el problema X.” Eso requeriría probar lower bounds de circuito para funciones criptográficas — uno de los problemas abiertos más difíciles de toda la ciencia de la computación.
Y proponemos algo nuevo: rotación de algoritmo adaptativa a la dificultad
Cada algoritmo de ajuste de dificultad en producción — el de Bitcoin, Kimoto Gravity Well, Dark Gravity Wave, LWMA — ajusta solo el umbral objetivo. La computación permanece igual; solo cambia el listón de aceptación. Proponemos que la dificultad cambie la computación en sí — desplazando la mezcla de operaciones (limitadas por memoria vs. limitadas por cómputo, enteras vs. punto flotante) conforme aumenta la dificultad. Si el hardware óptimo siempre está en movimiento, un ASIC optimizado para un régimen se vuelve subóptimo en el siguiente.
Cuestiones abiertas
El artículo plantea varias cuestiones abiertas. Entre las más fundamentales:
- ¿Se puede definir formalmente la resistencia a ASIC? No existe una definición en términos de teoría de la complejidad. ¿Cuál es el modelo de costo correcto — área de silicio, energía, ancho de banda?
- ¿Hay un teorema de imposibilidad? Quizás la resistencia a ASIC sea probablemente inalcanzable. Nadie ha mostrado eso tampoco.
- ¿La brecha de 1,3× de RandomX es un piso fundamental, o nuevas innovaciones de diseño pueden llevarla a uno?
- ¿Puede formalizarse la tesis de la Lotería del Hardware como una afirmación de complejidad sobre circuitos especializados vs. generales?
Por qué importa
Si la prueba de trabajo tiene futuro — y la operación continua de Monero, el debate sobre la tail emission de Bitcoin y el interés continuo en consenso basado en PoW sugieren que lo tiene — entonces la cuestión de la resistencia a ASIC no es académica. Determina si la minería sigue accesible a individuos con hardware común o se concentra permanentemente en instalaciones industriales operando silicio hecho a medida.
Una década de ingeniería ha comprimido la ventaja del ASIC de diez millones a uno coma tres. La pregunta es si podemos empujarla hasta uno — y probar que se queda ahí.
Enlaces arXiv/IACR ePrint por definir.
Roberto Santacroce Martins — roberto@santacroce.es
Comentarios, colaboración y contra-argumentos son bienvenidos.