By Bitcoin Revista - fa 1 any - Temps de lectura: 14 minuts
La prova de treball és objectiva, la prova de participació no ho és
El mecanisme de consens de prova de treball utilitzat a Bitcoin és una mesura objectiva de la història que no es pot canviar al caprici dels validadors.
Alan Szepieniec és doctor en criptografia postquàntica per la KU Leuven. La seva investigació se centra en la criptografia, especialment en el tipus de criptografia que és útil Bitcoin.
La prova de participació és un mecanisme de consens alternatiu proposat a la prova de treball que Bitcoins'utilitza el mecanisme de consens. En lloc d'exigir el consum d'energia, la prova de participació requereix que els miners (normalment anomenats validadors) posin en joc els actius digitals per tal de contribuir al procés de producció de blocs. L'apostament els incentiva a comportar-se amb honestedat, per evitar perdre la seva participació. En teoria, només amb validadors honestos, la xarxa arribarà ràpidament a un consens sobre l'ordre de les transaccions i, per tant, sobre quines transaccions són despesa doble no vàlida.
La prova de participació ha estat objecte de molt debat. La majoria de les crítiques se centren en la seguretat: disminueix el cost de l'atac? Molta gent també articula preocupacions sociològiques: centralització del poder, concentració de la riquesa, plutocràcia, etc.
En aquest article, articulo una crítica molt més bàsica: la prova de participació és inherentment subjectiva. La visió correcta d'una cadena de blocs de prova d'aposta depèn de qui us pregunteu. Com a resultat, el cost d'un atac no es pot calcular en unitats internes a la cadena de blocs, de manera que les anàlisis de seguretat no es poden fer; els deutes no es poden liquidar entre parts que no es posen d'acord en quins tercers són de confiança; i la resolució final de les controvèrsies ha de venir dels tribunals.
En canvi, la prova de treball és un mecanisme de consens objectiu on qualsevol conjunt de parts relacionades o no relacionades pot arribar a un acord sobre quin estat de la cadena de blocs és precís. Com a resultat, dos actors econòmics poden posar-se d'acord sobre si s'ha fet un pagament, independentment dels tribunals o dels membres influents de la comunitat. Aquesta distinció fa que la prova de treball sigui adequada —i la prova d'aposta inadequada— com a mecanisme de consens per a les monedes digitals.
Diners digitals i consens
El problema que cal resoldre
Una de les operacions més bàsiques que fan els ordinadors és copiar informació. Aquesta operació deixa la còpia original intacta i produeix una rèplica exacta sense cap cost essencialment. Els ordinadors poden copiar gairebé qualsevol cosa, sempre que sigui digital.
Tanmateix, hi ha algunes coses que existeixen exclusivament en l'àmbit digital que no es poden copiar. Coses que són tant digitals com escasses. Aquesta descripció s'aplica a bitcoin per exemple, així com a altres actius digitals basats en blockchain. Es poden enviar, però després d'enviar-los la còpia original ha desaparegut. Es podria no estar d'acord amb el motiu pel qual el mercat exigeix aquests actius, però el fet que aquesta demanda existeixi fa que aquests actius digitals siguin útils com a contrapartida per equilibrar els intercanvis. Quan es condensa en una sola paraula: són diners.
Per aconseguir l'escassetat digital, el protocol blockchain replica un registre a través d'una xarxa. El llibre major es pot actualitzar, però només amb transaccions on els propietaris dels fons gastats hi estiguin d'acord; la suma neta és zero; i les sortides són positives.
Qualsevol actualització no vàlida serà rebutjada. Mentre hi hagi consens sobre l'estat del llibre major entre tots els participants en el protocol, l'escassetat digital està garantida.
Resulta que aconseguir consens és una tasca difícil. Les condicions imperfectes de la xarxa generen visions diferents de la història. Els paquets es deixen caure o es lliuren fora de comanda. El desacord és endèmic de les xarxes.
La regla de l'elecció de la forquilla
Les cadenes de blocs tracten aquest problema de dues maneres. En primer lloc, imposen una ordenació completa a totes les transaccions, la qual cosa genera un arbre de visions alternatives de la història. En segon lloc, defineixen el cànon per a les històries, juntament amb una regla d'elecció de bifurcació que selecciona la branca canònica de l'arbre de les històries.
És fàcil obtenir la canonicitat d'autoritats de confiança o, segons alguns, d'un sistema de vot digital recolzat per un esquema d'identitat ciutadana. No obstant això, les autoritats de confiança ho són forats de seguretat, i confiar en el govern per oferir serveis d'identificació de confiança es converteix en una eina de la política en lloc d'una eina independent d'ella. A més, ambdues solucions assumeixen un acord sobre les identitats i la fiabilitat de tercers. Volem reduir els supòsits de confiança; idealment tinguem una solució que derivi totalment de les matemàtiques.
Una solució per decidir la canonicitat que deriva totalment de les matemàtiques genera la notable propietat que la resposta és independent de qui la calcula. Aquest és el sentit en què un mecanisme de consens és capaç de ser objectiu. Tanmateix, hi ha una advertència important: cal suposar que totes les parts estan d'acord en un punt de referència singular, com ara el bloc de gènesi o el seu resum de hash. Un mecanisme de consens objectiu és aquell que permet a qualsevol partit extrapolar la visió canònica de la història des d'aquest punt de referència.
Quina branca de l'arbre es selecciona per ser canònica no és important; el que és important és que tots els participants puguin estar d'acord en aquesta elecció. A més, no cal que tot l'arbre estigui representat explícitament en cap ordinador. En lloc d'això, n'hi ha prou que cada node conté només un grapat de branques. En aquest cas, la regla d'elecció de bifurcació només prova dues visions candidates de la història alhora. En sentit estricte, la frase la visió canònica de la història és enganyosa: una visió de la història només pot ser més o menys canònica en relació amb una altra visió. Els nodes deixen la branca menys canònica i propaguen la que és més. Sempre que s'amplia una visió de l'historial amb un lot de noves transaccions, la nova visió és més canònica que l'antiga.
Per tal que la xarxa convergi ràpidament cap al consens sobre la visió canònica de la història, la regla d'elecció de forquilla ha de satisfer dues propietats. En primer lloc, ha d'estar ben definit i avaluable de manera eficient per a les visions de la història de dues parelles. En segon lloc, ha de ser transitiu per a qualsevol triple de visions de la història. Per als matemàticament inclinats: siguin U,V,W qualsevol de les tres visions de la història, i que l'infix "<" denoti la regla d'elecció de forquilla que afavoreix el costat dret sobre l'esquerra.
Aleshores [es compleixen dues condicions]:
U
Perquè el llibre major contingui actualitzacions, les vistes de l'historial han de ser ampliables d'una manera compatible amb la regla d'elecció de forquilla. Per tant, calen dues propietats més. En primer lloc, quan s'avalua en dues vistes on una és una extensió de l'altra, la regla d'elecció de bifurcació sempre ha d'afavorir la vista estesa. En segon lloc, és més probable que les extensions d'una visió (anteriorment) canònica siguin canònics que les extensions de visions no canòniques. Simbòlicament, deixeu que "E" denoti una extensió i "‖" l'operació que l'aplica. Llavors:
U 0.5L'última propietat incentiva els extensors honestos a centrar-se a ampliar les opinions canòniques en lloc de les opinions que saben que no són canòniques. Com a resultat d'aquest incentiu, les diferents visions de la història que sorgeixen d'extensions honestes però contradictòries simultàniament tendeixen a diferir només en els seus consells, pel que fa als esdeveniments recents. Com més enrere es registri un esdeveniment, menys probable és que es vegi anul·lat per la reorganització imposada per una altra visió de la història, més canònica, que divergeix en un punt anterior. Des d'aquesta perspectiva, la visió canònica de la història està ben definida pel que fa al límit de visions de la història al qual conflueix la xarxa.
La desqualificació òbvia del paràgraf anterior és la necessitat que els ampliadors es comportin amb honestedat. Què passa amb els extensors deshonestos? Si l'adversari pot controlar la variable aleatòria implícita en l'expressió de probabilitat, llavors pot dissenyar-la al seu avantatge i llançar reorganitzacions profundes amb una alta probabilitat d'èxit. Fins i tot si no pot controlar la variable aleatòria, però pot produir extensions candidates de manera econòmica, llavors pot avaluar la regla d'elecció de la bifurcació localment i indefinidament fins que trobi un punt de divergència inicial juntament amb una extensió que generi una regla més canònica. branca que qualsevol que circuli.
La peça que falta al trencaclosques no és un mecanisme que impedeix extensions deshonestes. En un entorn de condicions de xarxa imperfectes, és impossible delimitar un comportament deshonest. Un atacant sempre pot ignorar els missatges que no li agraden, o endarrerir-ne la propagació i afirmar que la culpa és de la connexió a la xarxa. En canvi, la peça que falta al trencaclosques és un mecanisme que fa que les reorganitzacions profundes siguin més cares que les de poca profunditat, i més cares com més s'endinsen.
Prova de treball acumulada
El mecanisme de consens de Satoshi Nakamoto ho aconsegueix precisament. Per proposar un nou lot de transaccions (anomenats blocs) i, per tant, ampliar alguna branca, els possibles extensors (anomenats miners) primer han de resoldre un trencaclosques computacional. Aquest trencaclosques és car de resoldre però fàcil de verificar i, per tant, s'anomena correctament prova de treball. Només amb la solució a aquest trencaclosques, el nou lot de transaccions (i l'historial al qual es compromet) és un candidat vàlid per al cànon. El trencaclosques ve amb un botó per ajustar la seva dificultat, que es gira automàticament per regularitzar el temps previst abans de trobar una nova solució, independentment del nombre de participants o dels recursos que destinin al problema. Aquest botó té una funció secundària com a indicador imparcial de l'esforç de resolució de trencaclosques en una unitat que mesura la dificultat.
El procés està obert a la participació de tothom. El factor limitant no és l'autoritat o el material de clau criptogràfica o els requisits de maquinari, sinó que el factor limitant són els recursos que un està disposat a gastar per tenir l'oportunitat de trobar un bloc vàlid. La naturalesa probabilística i paral·lela del trencaclosques recompensa el miner rendible que maximitza el nombre de càlculs per joule, fins i tot a costa d'un menor nombre de càlculs per segon.
Donat el paràmetre de dificultat objectiu (el botó) per a cada bloc, és fàcil calcular una estimació imparcial de la quantitat total de treball que representa una branca de la història determinada. La regla de prova de treball i elecció de forquilla afavoreix la branca on aquest nombre és més gran.
Els miners corren els uns contra els altres per trobar el següent bloc. Guanya el primer miner que el trobi i el propagui amb èxit. Suposant que els miners no estan asseguts en blocs nous vàlids però no propagats, quan reben un bloc nou de miners competidors, l'adopten com el nou cap de la branca canònica de la història perquè no fer-ho els posa en desavantatge. Construir sobre un bloc que se sap que és vell és irracional perquè el miner ha de posar-se al dia amb la resta de la xarxa i trobar dos blocs nous per tenir èxit, una tasca que és, de mitjana, el doble de dura que canviar a la nova branca més llarga i ampliar-la. En una cadena de blocs de prova de treball, les reorganitzacions tendeixen a estar aïllades fins a la punta de l'arbre de la història no perquè els miners siguin honestos, sinó perquè el cost de generar reorganitzacions creix amb la profunditat de la reorganització. Cas concret: segons això resposta d'intercanvi de pila, excloent les bifurcacions posteriors a les actualitzacions de programari, la bifurcació més llarga del Bitcoin blockchain tenia una longitud de 4, o el 0.0023% de l'alçada del bloc en aquell moment.
"Solució" de Proof-Of-Stake
La prova de participació és una alternativa proposada a la prova de treball en la qual la visió correcta de la història no es defineix en termes de la major quantitat de treball invertit en resoldre trencaclosques criptogràfics, sinó que es defineix en termes de claus públiques de nodes anomenats validadors. Concretament, els validadors signen nous blocs. Un node participant verifica la visió correcta de l'historial verificant les signatures dels blocs constitutius.
El node no té els mitjans per distingir les visions vàlides de la història de les no vàlides. La qüestió és que un bloc competidor només és un competidor seriós per a la punta de la visió correcta de la història si té una signatura de suport (o moltes signatures de suport). És poc probable que els validadors signin blocs alternatius perquè aquesta signatura demostraria el seu comportament maliciós i donaria lloc a la pèrdua de la seva participació.
El procés està obert al públic. Qualsevol pot convertir-se en validador posant una certa quantitat de criptomoneda en un compte especial de garantia. Aquests diners en garantia són la "aposta" que es redueix si el validador es porta malament. Els nodes verifiquen que les signatures dels blocs nous coincideixen amb les claus públiques subministrades pels validadors quan posen les seves apostes en garantia.
Formalment, a les cadenes de blocs de prova de participació, la definició de la visió correcta de la història és totalment recursiva. Els blocs nous només són vàlids si contenen les signatures correctes. Les signatures són vàlides respecte a les claus públiques dels validadors. Aquestes claus públiques estan determinades per blocs antics. La regla de l'elecció de la bifurcació no està definida per a visions en competència de la història, sempre que ambdues visions siguin coherents.
En canvi, la visió correcta de l'historial a les cadenes de blocs de prova de treball també es defineix de forma recursiva, però no amb l'exclusió de les entrades externes. Concretament, la regla d'elecció de forquilla a la prova de treball també es basa en l'aleatorietat la imparcialitat de la qual és objectivament verificable.
Aquesta entrada externa és la diferència clau. A la prova de treball, la regla d'elecció de la forquilla es defineix per a qualsevol parell de visions diferents de la història en competència, per això és possible parlar de cànon en primer lloc. En la prova de participació, només és possible definir la correcció en relació a un historial anterior.
La prova d'aposta és subvertible
Però importa? En teoria, perquè es produeixin dues visions de la història coherents però mútuament incompatibles, en algun lloc algú ha d'haver estat deshonest, i si es va comportar de manera deshonesta, és possible esbrinar on, demostrar-ho i retallar la seva aposta. Com que el validador establert en aquest primer punt de divergència no està en disputa, és possible recuperar-se a partir d'aquí.
El problema d'aquest argument és que no té en compte el temps. Si un validador de fa deu anys signa doblement blocs en conflicte mútuament, és a dir, publica una contrapartida contradictòria acabada de signar al bloc que es va confirmar fa deu anys, llavors l'historial s'haurà de reescriure a partir d'aquest moment. L'aposta del validador maliciós es redueix. Les transaccions que gasten les recompenses d'apostament ara no són vàlides, igual que les transaccions aigües avall d'allà. Amb el temps suficient, les recompenses del validador poden filtrar-se a una gran part de l'economia blockchain. Un destinatari de monedes no pot estar segur que totes les dependències continuaran sent vàlides en el futur. No hi ha finalitat perquè no és més difícil ni més costós reorganitzar el passat llunyà que el passat proper.
La prova d'aposta és subjectiva
L'única manera de resoldre aquest problema és restringir la profunditat a la qual s'admeten les reorganitzacions. S'ignoren les visions contradictòries de la història el primer punt de divergència de les quals és més antic d'una certa edat llindar. Els nodes que es presenten amb una altra visió el primer punt de divergència de la qual és més antic, la rebutgen sense provar quina és la correcta. Mentre alguns nodes estiguin vius en un moment donat, la continuïtat està garantida. Només hi ha una manera en què la cadena de blocs pot evolucionar si es prohibeixen les reorganitzacions massa profundes.
Aquesta solució fa de la prova d'aposta un mecanisme de consens subjectiu. La resposta a la pregunta "quin és l'estat actual de la cadena de blocs?" depèn de a qui ho preguntis. No és objectivament verificable. Un atacant pot produir una visió alternativa de la història que sigui tan coherent com la correcta. L'única manera en què un node pot saber quina vista és la correcta és seleccionant un conjunt d'iguals i prenent la seva paraula.
Es pot argumentar que aquest hipotètic atac no és rellevant si el cost de produir aquesta visió alternativa de la història és massa gran. Tot i que aquest contraargument pot ser cert, el cost és una mètrica objectiva i, per tant, si és cert depèn de factors externs que no estan representats a la cadena de blocs. Per exemple, l'atacant podria perdre tota la seva participació en una visió de la història, però no li importa perquè pot garantir per mitjans legals o socials que la visió alternativa serà acceptada. Qualsevol anàlisi de seguretat o cost de càlcul d'atac que se centra en el que passa a "la" cadena de blocs, i no té en compte el món objectiu en què viu, és fonamentalment defectuós.
L'interior d'una criptomoneda de prova d'aposta és que no només el cost és subjectiu, sinó que també ho és la recompensa. Per què un atacant desplegaria el seu atac si el resultat final no és un pagament determinat mecànicament pel seu enginy, sinó una emissió de l'equip oficial de desenvolupadors de la criptomoneda explicant per què han escollit a favor de l'altra branca? Pot haver-hi pagaments externs, per exemple, d'opcions financeres que esperen que el preu caigui o per la pura alegria de causar caos, però la qüestió és que la baixa probabilitat de pagaments interns soscava l'argument que la capitalització de mercat de les proves de les criptomonedes de participació constitueixen una recompensa d'atac eficaç.
Diners i objectivitat
Els diners són, en essència, l'objecte amb el qual es salda un deute. La liquidació efectiva del deute requereix un consens entre les parts de l'intercanvi, en particular, la moneda i la quantitat de diners. Una disputa comportarà la perpetuació de les reclamacions pendents i la negativa a repetir negocis en condicions iguals o similars.
La liquidació efectiva del deute no requereix que el món sencer estigui d'acord sobre el tipus específic de diners. Per tant, uns diners subjectius poden ser útils a les butxaques de l'economia mundial on passa que hi ha consens. Tanmateix, per tal de salvar la bretxa entre dues butxaques qualsevol de les microeconomies, o, de manera més general, entre dues persones qualsevol del món, cal un consens global. Un mecanisme de consens objectiu aconsegueix això; un subjectiu no.
Les criptomonedes amb prova de participació no poden proporcionar una nova base per a la columna vertebral financera del món. El món està format per estats que no es reconeixen els tribunals dels altres. Si sorgeix una disputa sobre la visió correcta de la història, l'únic recurs és la guerra.
Les fundacions que desenvolupen i donen suport a cadenes de blocs de prova d'aposta, així com els desenvolupadors autònoms que treballen per a ells, i fins i tot els influencers que no escriuen codi, s'exposen a la responsabilitat legal per seleccionar arbitràriament una visió desfavorable de la història (per al demandant). Què passa quan un intercanvi de criptomoneda permet una gran retirada aigües avall d'un dipòsit en una criptomoneda amb prova de participació, la transacció de la qual només apareix en una branca de dues visions de la història en competència? L'intercanvi podria seleccionar la vista que beneficiï els seus resultats, però si la resta de la comunitat, impulsada per les signatures i els tuits de PGP i les publicacions mitjanes de les fundacions, desenvolupadors i influencers, selecciona la vista alternativa, aleshores l'intercanvi queda en peu. factura. Tenen tots els incentius i responsabilitat fiduciaria per recuperar les seves pèrdues de les persones responsables.
Al final, un tribunal dictarà una decisió sobre quina visió de la història és la correcta.
Conclusió
Els defensors del proof-of-stake afirmen que té el mateix propòsit que el proof-of-work, però sense tot el malbaratament energètic. Amb massa freqüència, el seu suport ignora els compromisos presents en qualsevol dilema d'enginyeria. Sí, la prova de participació elimina la despesa energètica, però aquesta eliminació sacrifica l'objectivitat del mecanisme de consens resultant. Això està bé per a situacions en què només n'hi ha prou amb bosses de consens local, però aquest context planteja la pregunta: quin sentit té eliminar l'autoritat de confiança? Per a una columna vertebral financera global, és necessari un mecanisme objectiu.
La naturalesa autoreferencial de la prova d'aposta la fa inherentment subjectiva: quina visió de la història és correcta depèn de a qui pregunteu. La pregunta "és segura la prova de participació?" intenta reduir l'anàlisi a una mesura objectiva del cost que no existeix. A curt termini, quina forquilla és correcta depèn de quina forquilla és popular entre els membres influents de la comunitat. A llarg termini, els tribunals assumiran el poder de decidir quina bifurcació és correcta, i les butxaques de consens local coincidiran amb les fronteres que marquen el final de la jurisdicció d'un tribunal i l'inici del següent.
L'energia que gasten els miners en cadenes de blocs de prova de treball no es malgasta més del que es malgasta el gasoil alimentant els cotxes. En lloc d'això, s'intercanvia per aleatorietat inesgotable i verificable criptogràficament. No sabem com generar un mecanisme de consens objectiu sense aquest ingredient clau.
Aquesta és una publicació convidada d'Alan Szepieniec. Les opinions expressades són totalment pròpies i no reflecteixen necessàriament les de BTC Inc. o Bitcoin Magazine.
Font original: Bitcoin Magazine