Bitcoin'in konsensüs mekanizması, en azından teorik olarak, bir madencinin (veya madencilik havuzunun) kendi aritmetik gücünü kullanarak aldatma veya sabotaj yapmaya çalışmasının çok zor olduğu gerçeğini ifade eder. Bitcoin'in konsensüs mekanizması, madencilerin büyük çoğunluğunun, kendi çıkarları doğrultusunda, dürüst madencilik yaparak tüm Bitcoin sistemini sürdüreceği öncülüne dayanır. Ancak, sistemde büyük miktarda hesaplama gücüne sahip bir madenci veya madenci grubu ortaya çıktığında, Bitcoin konsensüs mekanizmasına saldırarak Bitcoin ağının güvenliğini ve güvenilirliğini baltalama hedefine ulaşabilirler.
Konsensüs saldırılarının yalnızca tüm blok zincirinin gelecekteki konsensüsünü veya en fazla, yakın geçmişteki birkaç bloğun (en fazla 10 blok geçmişe kadar) konsensüsünü etkileyebileceği unutulmamalıdır. Zaman geçtikçe, tüm Bitcoin blok zincirinin kurcalanma olasılığı giderek azalmaktadır. Teorik olarak, bir blok zinciri çatallanması çok uzun olabilir, ancak pratikte, çok uzun bir blok zinciri çatallanmasını uygulamak için gereken aritmetik güç çok, çok büyüktür ve tüm Bitcoin blok zinciri giderek büyüdükçe, geçmiş bloklar çatallanma yoluyla kurcalanamaz olarak kabul edilebilir. Ayrıca, konsensüs saldırıları kullanıcının özel anahtarını ve şifreleme algoritmasını (ECDSA) etkilemez. Bir konsensüs saldırısı başka cüzdanlardan bitcoin çalamaz, imza olmadan bitcoin ödeyemez, bitcoin yeniden dağıtamaz, geçmiş işlemleri değiştiremez veya bitcoin tutma kayıtlarını değiştiremez. Bir konsensüs saldırısının tek etkisi, en son blokları (en fazla 10 adet) etkilemek ve hizmet reddi yoluyla gelecekteki blok üretimini etkilemektir.
Bir konsensüs saldırısının tipik bir senaryosu "%51 saldırısı"dır. Tüm Bitcoin ağının hesaplama gücünün %51'ini kontrol eden bir grup madencinin, tüm Bitcoin sistemine saldırmak amacıyla bir araya geldiği bir senaryo hayal edin. Bu madenci grubu blokların çoğunluğunu oluşturabileceğinden, kasıtlı olarak bir blok zinciri çatallanması oluşturarak "çift ödeme" yapabilir veya belirli bir işlemi engelleyebilir veya hizmet reddi yoluyla belirli bir cüzdan adresine saldırabilir. Bir blok zinciri çatallanması/çift ödeme saldırısı, bir saldırganın yakın zamandaki bir işlemi reddedip o işlemden önce yeni bir blok yeniden inşa ederek yeni bir çatallanma oluşturması ve böylece çift ödemeye olanak tanımasıdır. Yeterli aritmetik gücün garantisiyle, bir saldırgan aynı anda altı veya daha fazla yakın bloğu kurcalayabilir, böylece bu bloklarda yer alan aksi takdirde kurcalanamaz işlemleri ortadan kaldırabilir. Çift ödemelerin yalnızca saldırganın sahip olduğu cüzdanlardaki işlemlerde yapılabileceği unutulmamalıdır, çünkü yalnızca cüzdan sahibi çift ödeme işlemleri için geçerli bir imza oluşturabilir. Bir saldırgan yalnızca kendi işlemlerinde çift ödeme saldırısı yapabilir, ancak işlem tersine çevrilemez bir satınalmaya karşılık geldiğinde bu tür bir saldırı karlı olabilir.
Örnek olarak bir "%51 saldırısı" gerçek dünya örneğine bakalım. 1. Bölüm'de Alice ve Bob arasındaki bir fincan kahve için Bitcoin ile yapılan bir işlemi konuştuk. Kahve dükkanının sahibi Bob, Alice'in transferi sıfırda onaylandığında Alice'e kahve vermeye istekli olacaktır, çünkü bu kadar küçük bir işlemde "%51 saldırısı" riski, müşterinin satın almasının aciliyetiyle karşılaştırıldığında düşüktür (Alice kahveyi hemen alabilir). Çoğu kahve dükkanının 25 doların altındaki kredi kartı ödemeleri için imza istememesinin nedeni de aynıdır, çünkü kredi kartı imza istemek, müşterinin kredi kartı ödemesini iptal etmesi riskinden daha maliyetlidir. Buna göre, Bitcoin ile ödenen büyük işlemler için çift ödeme riski çok daha yüksektir, çünkü alıcı (saldırgan), gerçek işlemin UTXO'su ile aynı olan sahte bir işlemi ağ üzerinden yayınlayarak gerçek işlemi iptal edebilir. Çift ödeme iki şekilde yapılabilir: ya işlem onaylanmadan önce ya da saldırgan tarafından bir blok zinciri çatallanması yoluyla. %51 saldırısını gerçekleştiren kişi, eski çatallanmadaki kaydedilmiş işlemi iptal edebilir ve ardından yeni çatallanmada aynı miktarda bir işlem yeniden üreterek çift ödemeyi gerçekleştirebilir.
Bu tür bir saldırıyı önlemek için, toplu ürün satan satıcılar, ürün teslim etmeden önce işlemin altı ağ genelinde onay almasını beklemelidir. Alternatif olarak, satıcı işlem için üçüncü taraf, çoklu imza hesabı kullanmalı ve ürün teslim etmeden önce işlem hesabının ağ genelinde birden fazla onay aldığını görmelidir. Bir işlemin ne kadar çok onayı varsa, bir saldırganın %51 saldırısıyla buna kurcalaması o kadar zor olur. Büyük işlemler için, mallar ödemeden 24 saat sonra gönderilse bile, Bitcoin ödemeleri hem alıcılar hem de satıcılar için kullanışlı ve verimlidir. 24 saat sonra, işlem en az 144 ağ genelinde onaya sahip olacaktır (bu da %51 saldırısı olasılığını etkili bir şekilde azaltır).
"Çift ödeme" saldırısına ek olarak, konsensüs saldırısındaki bir diğer saldırı senaryosu, belirli bir bitcoin adresine hizmet reddidir. Sistemdeki hesaplama gücünün çoğunluğuna sahip bir saldırgan, belirli bir işlemi kolayca görmezden gelebilir. İşlem başka bir madenci tarafından oluşturulan bir blokta varsa, saldırgan kasıtlı olarak bloğu çatallayabilir, yeniden oluşturabilir ve istediği işlemi bloktan çıkarabilir. Bu saldırının sonucu, saldırgan sistemdeki hesaplama gücünün büyük çoğunluğuna sahip olduğu sürece, o adreslere hizmet reddi amacıyla belirli bir cüzdan adresinin veya adres grubunun ürettiği tüm işlemleri sürekli olarak engelleyebileceğidir.
Adından da anlaşılacağı gibi, %51 saldırısının başlatılması için saldırganın hesaplama gücünün en az %51'ine sahip olması gerekmediğine dikkat edin; aslında, sistemin hesaplama gücünün %51'inden azına sahip olsa bile böyle bir saldırıyı başlatmaya çalışabilir. %51 saldırısı olarak adlandırılmasının nedeni sadece saldırganın hesaplama gücü %51 eşiğine ulaştığında saldırı girişiminin neredeyse kesinlikle başarılı olmasıdır. Temelde, bir konsensüs saldırısı, madencilerin tüm aritmetiklerinin iki gruba ayrıldığı bir sisteme benzer; biri dürüst aritme, diğeri saldırgan aritmetiği, ve her iki grup da blok zincirinde yeni blokları ilk hesaplamak için yarışır, sadece saldırgan aritmetiğinin belirli işlemleri içeren veya dışlayan dikkatlice oluşturulmuş bloklar hesaplaması dışında. Bu nedenle, saldırganın sahip olduğu hesaplama gücü ne kadar azsa, duelloyu kazanma olasılığı o kadar düşüktür. Diğer yandan, bir saldırganın sahip olduğu hesaplama gücü ne kadar fazlaysa, kasıtlı olarak oluşturabileceği çatallanmış blok zincirinin uzunluğu ve kurcalanabilecek veya kendi kontrolü altındaki gelecekteki blokların sayısı o kadar fazla olur. Bazı güvenlik araştırma grupları, istatistiksel modeller kullanarak, ağın hesaplama gücünün %30'unun bir %51 saldırısı başlatmak için yeterli olacağını sonucuna varmıştır.
Ağ genelindeki hesaplama gücündeki dramatik artış, tek bir madencinin Bitcoin sistemine saldırmasını imkansız hale getirmiştir, çünkü tek bir madencinin ağın hesaplama gücünün %1'ini bile işgal etmesi artık mümkün değildir. Ancak merkezi olarak kontrol edilen madencilik havuzları, bir havuz operatörünün kar için saldırma riskini beraberinde getirir. Havuz operatörü, aday blokların üretimini kontrol eder ve aynı zamanda yeni üretilen bloklara hangi işlemlerin yerleştirileceğini kontrol eder. Bu şekilde, havuz operatörü belirli işlemleri hariç tutma veya çift ödeme yapma gücüne sahiptir. Bu güç havuz operatörü tarafından ince ve ölçülü bir şekilde kötüye kullanılırsa, havuz operatörü konsensüs saldırıları başlatabilir ve fark edilmeden bunlardan faydalanabilir.
Ancak, tüm saldırganlar kar peşinde koşmaz. Olası bir senaryo, saldırganın kar yerine tüm Bitcoin sistemini baltalamak için saldırı başlatmasıdır. Bitcoin sistemini baltalamaya niyetli böyle bir saldırgan, büyük bir yatırım ve dikkatli planlama gerektirir, bu nedenle böyle bir saldırının muhtemelen bir hükümet destekli organizasyondan geleceği düşünülebilir. Benzer şekilde, bu tür saldırganlar madencilik makineleri satın alabilir, madencilik havuzları işletebilir ve yukarıda belirtilen havuz operatörü gücünü kötüye kullanarak hizmet reddi gibi konsensüs saldırıları gerçekleştirebilir. Ancak, Bitcoin ağının hesaplama gücü geometrik ve hızla büyüdükçe, bu teorik olarak mümkün olan saldırı senaryolarının pratikte uygulanması giderek zorlaşmıştır. Madencilik kontrolünü daha da merkezsizleştirmeyi amaçlayan P2Pool madencilik protokolü gibi Bitcoin sistemindeki son yükseltmeler de bu teorik olarak mümkün olan saldırıları giderek daha zor hale getirmektedir.
Ciddi bir konsensüs saldırısının Bitcoin sistemine olan güveni azaltacağı ve bunun da Bitcoin fiyatında bir düşüşe yol açacağı şüphesizdir. Ancak, Bitcoin sistemi ve ilgili yazılımlar da sürekli olarak iyileştirilmektedir, bu nedenle Bitcoin topluluğu, tüm Bitcoin sistemini her zamankinden daha sağlam ve güvenilir hale getirmek için herhangi bir konsensüs saldırısına hızla yanıt vermeye mahkumdur.