By Bitcoin Časopis - před 1 rokem - Doba čtení: 14 minut
Proof-of-work je objektivní, proof-of-stake ne
Mechanismus konsenzu proof-of-work používaný v Bitcoin je objektivním měřítkem historie, kterou nelze změnit z rozmaru validátorů.
Alan Szepieniec má doktorát v postkvantové kryptografii na KU Leuven. Jeho výzkum se zaměřuje na kryptografii, zejména na druh kryptografie, pro který je užitečný Bitcoin.
Proof-of-stake je navrhovaný alternativní konsensuální mechanismus k proof-of-work that Bitcoinpoužívá mechanismus konsensu. Namísto požadavku na spotřebu energie vyžaduje proof-of-stake těžaře (obvykle nazývané validátory), aby vsadili digitální aktiva, aby přispěli k procesu výroby bloků. Sázky je motivují k čestnému chování, aby se vyhnuli ztrátě podílu. Teoreticky, pouze s čestnými validátory, síť rychle dospěje ke konsenzu o pořadí transakcí, a tedy o tom, které transakce jsou neplatné dvojité útraty.
Proof-of-stake je předmětem mnoha debat. Většina kritik se zaměřuje na bezpečnost: Snižuje to náklady na útok? Mnoho lidí také vyjadřuje sociologické obavy: centralizace moci, koncentrace bohatství, plutokracie atd.
V tomto článku formuluji mnohem základnější kritiku: Proof-of-stake je ze své podstaty subjektivní. Správný pohled na blockchain proof-of-stake závisí na tom, koho se ptáte. V důsledku toho nelze náklady na útok vypočítat v jednotkách uvnitř blockchainu, takže bezpečnostní analýzy jsou neplatné; dluhy nelze řešit mezi stranami, které se ještě nedohodnou na tom, které třetí strany jsou důvěryhodné; a konečné řešení sporů musí přijít od soudů.
Naproti tomu proof-of-work je objektivní mechanismus konsensu, kdy se jakákoliv skupina spřízněných nebo nespřízněných stran může dohodnout na tom, který stav blockchainu je přesný. V důsledku toho se mohou libovolní dva hospodářské subjekty dohodnout na tom, zda byla platba provedena, nezávisle na soudech nebo vlivných členech komunity. Toto rozlišení činí proof-of-work vhodným – a proof-of-stake nevhodným – jako konsensuální mechanismus pro digitální měny.
Digitální peníze a konsensus
Problém, který je třeba vyřešit
Jednou z nejzákladnějších operací, které počítače provádějí, je kopírování informací. Tato operace ponechá původní kopii nedotčenou a vytvoří přesnou repliku v podstatě bez nákladů. Počítače mohou kopírovat téměř cokoliv, pokud je to digitální.
Existují však věci, které existují čistě v digitální sféře, které nelze zkopírovat. Věci, které jsou digitální a vzácné. Tento popis platí pro bitcoin například i na další digitální aktiva založená na blockchainu. Lze je odeslat, ale po jejich odeslání je původní kopie pryč. Někdo by mohl nesouhlasit s důvodem, proč trh požaduje tato aktiva, ale skutečnost, že tato poptávka existuje, znamená, že tato digitální aktiva jsou užitečná jako protějšek k vyvážení burz. Když to zkrátíme do jediného slova: jsou to peníze.
K dosažení digitálního nedostatku protokol blockchain replikuje účetní knihu v síti. Účetní knihu lze aktualizovat, ale pouze u transakcí, se kterými souhlasí vlastníci vynaložených prostředků; čistý součet je nula; a výstupy jsou pozitivní.
Jakákoli neplatná aktualizace bude zamítnuta. Dokud existuje konsenzus o stavu účetní knihy mezi všemi účastníky protokolu, je digitální nedostatek zaručen.
Ukazuje se, že dosažení konsenzu je obtížný úkol. Nedokonalé podmínky sítě vytvářejí odlišné pohledy na historii. Pakety jsou vynechány nebo doručeny mimo provoz. Nesouhlas je v sítích endemický.
Pravidlo volby vidličky
Blockchainy řeší tento problém dvěma způsoby. Nejprve vynucují kompletní uspořádání všech transakcí, což generuje strom alternativních pohledů na historii. Zadruhé definují kánon pro historie spolu s pravidlem pro výběr větví, které vybírá kanonickou větev ze stromu historií.
Kanonicitu lze snadno odvodit od důvěryhodných autorit nebo podle některých z digitálního volebního schématu podporovaného schématem občanské identity. Důvěryhodné orgány však ano bezpečnostní dírya spoléhání se na to, že vláda poskytuje důvěryhodné identifikační služby, se stává spíše nástrojem politiky než nástrojem, který je na ní nezávislý. Obě řešení navíc předpokládají shodu ohledně identity a důvěryhodnosti třetích stran. Chceme snížit předpoklady důvěry; v ideálním případě máme řešení, které vychází výhradně z matematiky.
Řešení pro rozhodování o kanoničnosti, které je zcela odvozeno z matematiky, vytváří pozoruhodnou vlastnost, že odpověď je nezávislá na tom, kdo ji vypočítá. V tomto smyslu může být mechanismus konsensu objektivní. Existuje však jedno důležité upozornění: je třeba předpokládat, že se všechny strany dohodnou na jediném referenčním bodě, jako je blok geneze nebo jeho hash digest. Objektivní mechanismus konsenzu je takový, který umožňuje kterékoli straně extrapolovat kanonický pohled na historii z tohoto referenčního bodu.
Která větev stromu je vybrána jako kanonická, není důležité; důležité je, že se na této volbě mohou shodnout všichni účastníci. Navíc celý strom nemusí být explicitně reprezentován na jednom počítači. Místo toho stačí, aby každý uzel držel jen hrstku větví. V tomto případě pravidlo volby vidlice testuje vždy pouze dva kandidátské pohledy na historii v jednom okamžiku. Přísně vzato, fráze kanonický pohled na historii je zavádějící: Pohled na historii může být pouze víceméně kanonický vzhledem k jinému pohledu. Uzly zahodí kteroukoli větev, která je méně kanonická, a rozšíří tu, která je více. Kdykoli se pohled na historii rozšíří o dávku nových transakcí, je nový pohled kanoničtější než ten starý.
Aby se síť rychle sblížila s konsensem o kanonickém pohledu na historii, musí pravidlo volby vidlice splňovat dvě vlastnosti. Za prvé, musí být dobře definované a efektivně vyhodnotitelné pro pohledy dvou dvojic na historii. Za druhé, musí být tranzitivní pro jakýkoli trojitý pohled na historii. Pro matematicky naladěné: nechť U,V,W jsou libovolné tři pohledy na historii a infix „<“ označuje pravidlo pro volbu vidlice upřednostňující pravou stranu před levou.
Potom [platí dvě podmínky]:
U
Aby se účetní kniha přizpůsobila aktualizacím, musí být pohledy na historii rozšiřitelné způsobem, který je kompatibilní s pravidlem pro volbu větvení. Proto jsou vyžadovány další dvě vlastnosti. Za prvé, při hodnocení na dvou pohledech, kde jeden je rozšířením druhého, musí pravidlo volby vidlice vždy upřednostňovat rozšířený pohled. Za druhé, rozšíření (dříve) kanonického pohledu budou pravděpodobnější kanonická než rozšíření nekanonických pohledů. Symbolicky nechť „E“ označuje rozšíření a „‖“ operaci, která jej aplikuje. Pak:
U 0.5Poslední vlastnost motivuje poctivé extendery k tomu, aby se zaměřili na rozšíření kanonických pohledů na rozdíl od pohledů, o kterých vědí, že kanonické nejsou. V důsledku tohoto podnětu mají odlišné pohledy na historii, které vycházejí z čestných, ale protichůdných extenzí současně, tendenci se lišit pouze ve svých tipech, pokud jde o nedávné události. Čím dále je událost zaprotokolována, tím je méně pravděpodobné, že bude převrácena reorganizací vynucenou jiným, kanoničtějším pohledem na historii, který se v dřívějším bodě rozchází. Z této perspektivy je kanonický pohled na historii dobře definován z hlediska limitu pohledů na historii, ke kterému síť konverguje.
Zřejmou diskvalifikací v předchozím odstavci je nutnost, aby se prodlužovači chovali čestně. A co nepoctiví prodlužovači? Dokáže-li protivník ovládat náhodnou proměnnou implicitní ve výrazu pravděpodobnosti, může ji zkonstruovat ve svůj prospěch a zahájit hluboké reorganizace s vysokou pravděpodobností úspěchu. I když nemůže ovládat náhodnou proměnnou, ale může levně produkovat rozšíření kandidátů, pak může hodnotit pravidlo pro volbu vidlice lokálně a neomezeně, dokud nenajde počáteční bod divergence spolu s rozšířením, které náhodou vytvoří kanonické větev než kterákoli, která obíhá.
Chybějící dílek skládačky není mechanismem, který brání nepoctivému rozšiřování. V prostředí nedokonalých síťových podmínek je nemožné vymezit nečestné chování. Útočník může vždy ignorovat zprávy, které se mu nelíbí, nebo zdržovat jejich šíření a tvrdit, že za to může síťové připojení. Místo toho je chybějícím kouskem skládačky mechanismus, díky kterému jsou hluboké reorganizace dražší než ty mělké a tím dražší, čím hlouběji jdou.
Kumulativní důkaz o práci
Mechanismus konsenzu Satoshi Nakamota přesně toho dosahuje. Aby bylo možné navrhnout novou dávku transakcí (tzv. bloky), a tím rozšířit nějakou větev, musí potenciální extendeři (nazývaní těžaři) nejprve vyřešit výpočetní hádanku. Tento hlavolam je nákladný na vyřešení, ale lze jej snadno ověřit, a proto se výstižně nazývá proof-of-work. Pouze s vyřešením této hádanky je nová dávka transakcí (a historie, ke které se zavazuje) platným uchazečem o kánon. Puzzle je dodáváno s knoflíkem pro nastavení jeho obtížnosti, který se automaticky otáčí, aby se reguloval očekávaný čas, než se najde nové řešení, bez ohledu na počet účastníků nebo zdroje, které problému věnují. Tento knoflík má sekundární funkci jako nezaujatý indikátor úsilí při řešení hádanek v jednotce, která měří obtížnost.
Proces je otevřen pro účast kohokoli. Omezujícím faktorem nejsou požadavky na autoritu nebo kryptografický klíč nebo materiálové požadavky na hardware, spíše jsou limitujícím faktorem zdroje, které je člověk ochoten vynaložit, aby měl šanci najít platný blok. Pravděpodobnostní a paralelní povaha hádanky odměňuje nákladově efektivní těžaře, který maximalizuje počet výpočtů za joule, a to i za cenu nižšího počtu výpočtů za sekundu.
Vzhledem k parametru cílové obtížnosti (knoflíku) pro každý blok je snadné vypočítat nezkreslený odhad celkového množství práce, kterou dané odvětví historie představuje. Pravidlo proof-of-work, fork-choice upřednostňuje pobočku, kde je toto číslo větší.
Horníci závodí proti sobě, aby našli další blok. První těžař, který ji najde a úspěšně rozšíří, vyhrává. Za předpokladu, že těžaři nesedí na platných, ale nepropagovaných nových blocích, když dostanou nový blok od konkurenčních těžařů, přijmou ho jako nového šéfa kanonické větve historie, protože pokud tak neučiní, jsou znevýhodněni. Stavění na bloku, o kterém se ví, že je starý, je iracionální, protože těžař musí dohnat zbytek sítě a najít dva nové bloky, aby byl úspěšný – což je v průměru dvakrát těžší úkol. přechod na novou, delší větev a její rozšíření. V blockchainu proof-of-work mají reorganizace tendenci být izolovány na špičce stromu historie ne proto, že by těžaři byli poctiví, ale protože náklady na generování reorganizací rostou s hloubkou reorganizace. Případ: podle tohoto stack výměna odpověď, s výjimkou vidlic po aktualizacích softwaru, nejdelší vidlice na Bitcoin blockchain měl v té době délku 4, neboli 0.0023 % výšky bloku.
„Řešení“ společnosti Proof-of-Stake
Proof-of-stake je navrhovaná alternativa k proof-of-work, ve které správný pohled na historii není definován z hlediska největšího množství práce vynaložené na řešení kryptografických hádanek, ale spíše z hlediska veřejných klíčů speciálních uzly nazývané validátory. Konkrétně validátoři podepisují nové bloky. Zúčastněný uzel ověřuje správný pohled na historii ověřením podpisů na základních blocích.
Uzel nemá prostředky k rozlišení platných pohledů na historii od neplatných. Jde o to, že konkurenční blok je vážným uchazečem o tip správného pohledu na historii pouze tehdy, pokud má podpůrný podpis (nebo mnoho podpůrných podpisů). Je nepravděpodobné, že by validátoři podepisovali alternativní bloky, protože tento podpis by prokázal jejich škodlivé chování a vedl by ke ztrátě jejich podílu.
Proces je otevřený veřejnosti. Každý se může stát validátorem vložením určitého množství kryptoměny na speciální escrow účet. Tyto vázané peníze jsou „vkladem“, který je sražen, pokud se validátor chová špatně. Uzly ověřují, že podpisy na nových blocích odpovídají veřejným klíčům dodaným validátory, když vloží své sázky do úschovy.
Formálně je v blockchainech typu proof-of-stake definice správného pohledu na historii zcela rekurzivní. Nové bloky jsou platné pouze v případě, že obsahují správné podpisy. Podpisy jsou platné s ohledem na veřejné klíče validátorů. Tyto veřejné klíče jsou určeny starými bloky. Pravidlo volby vidlice není definováno pro konkurenční pohledy na historii, pokud jsou oba pohledy konzistentní.
Naproti tomu správný pohled na historii v proof-of-work blockchainech je také definován rekurzivně, ale ne s vyloučením externích vstupů. Konkrétně pravidlo volby vidlice v proof-of-work také spoléhá na náhodnost, jejíž nezaujatost je objektivně ověřitelná.
Tento externí vstup je klíčovým rozdílem. V proof-of-work je pravidlo fork-choice definováno pro libovolnou dvojici různých konkurenčních pohledů na historii, proto lze v první řadě mluvit o kánonu. V proof-of-stake je možné definovat správnost pouze ve vztahu k předchozí historii.
Proof-of-Stake is Subvertible
Záleží na tom ale? Aby teoreticky vznikly dva konzistentní, ale vzájemně neslučitelné pohledy na dějiny, musel být někde někdo nepoctivý, a pokud se nečestně choval, je možné zjistit kde, dokázat to a podříznout svůj podíl. Vzhledem k tomu, že validátor nastavený v tomto prvním bodě divergence není sporný, je možné se odtud zotavit.
Problém s tímto argumentem je, že nebere v úvahu čas. Pokud validátor z doby před deseti lety dvojitě podepíše vzájemně konfliktní bloky – tedy zveřejní nově podepsaný protichůdný protějšek bloku, který byl potvrzen před deseti lety –, bude třeba od tohoto okamžiku přepsat historii. Sázka škodlivého validátora je snížena. Transakce, které utrácejí odměny za sázky, jsou nyní neplatné, stejně jako transakce navazující odtud. Pokud bude dostatek času, odměny validátoru mohou proniknout do velké části blockchainové ekonomiky. Příjemce mincí si nemůže být jistý, že všechny závislosti zůstanou platné i v budoucnu. Neexistuje žádná konečnost, protože reorganizace vzdálené minulosti není obtížnější ani nákladnější než minulost blízkou.
Proof-of-Stake je subjektivní
Jediným způsobem, jak tento problém vyřešit, je omezit hloubku, do které jsou reorganizace povoleny. Konfliktní pohledy na historii, jejichž první bod divergence je starší než určitý prahový věk, jsou ignorovány. Uzly, kterým je předložen jiný pohled, jehož první bod divergence je starší, jej okamžitě odmítají, aniž by otestovaly, co je správné. Dokud jsou některé uzly v daném okamžiku aktivní, je zaručena kontinuita. Existuje pouze jeden způsob, jak se blockchain může vyvíjet, pokud jsou zablokovány příliš hluboké reorganizace.
Toto řešení dělá z proof-of-stake mechanismus subjektivního konsenzu. Odpověď na otázku „jaký je současný stav blockchainu?“ záleží na tom, koho se ptáš. Není to objektivně ověřitelné. Útočník může vytvořit alternativní pohled na historii, který je stejně konzistentní jako ten správný. Jediný způsob, jak může uzel zjistit, který pohled je správný, je vybrat sadu vrstevníků a vzít si jejich slovo.
Lze namítnout, že tento hypotetický útok není relevantní, pokud jsou náklady na vytvoření tohoto alternativního pohledu na historii příliš vysoké. I když tento protiargument může být pravdivý, náklady jsou objektivní metrikou, a tak to, zda je pravdivé, závisí na vnějších faktorech, které nejsou na blockchainu zastoupeny. Útočník může například ztratit veškerý svůj podíl na jednom pohledu na historii, ale je mu to jedno, protože může právními nebo společenskými prostředky zaručit, že alternativní pohled bude přijat. Jakákoli bezpečnostní analýza nebo výpočet nákladů na útok, které se soustředí na to, co se děje na „tom“ blockchainu, a nebere v úvahu objektivní svět, ve kterém žije, je zásadně chybná.
Vnitřní kryptoměna typu „proof-of-stake“ spočívá v tom, že nejen náklady jsou subjektivní, ale také odměna. Proč by útočník zaútočil, pokud konečným výsledkem není výplata mechanicky určená jeho vynalézavostí, ale vysílání oficiálního týmu vývojářů kryptoměny vysvětlující, proč se rozhodli ve prospěch druhé větve? Mohou existovat externí výplaty – například z finančních opcí, které očekávají pokles ceny, nebo z pouhé radosti ze způsobení chaosu – ale jde o to, že nízká pravděpodobnost interních výplat podkopává argument, že tržní kapitalizace existujících důkazů sázkové kryptoměny představují efektivní útočnou odměnu.
Peníze A Objektivita
Peníze jsou v podstatě předmětem, kterým se dluh řeší. Účinné vyrovnání dluhu vyžaduje konsensus mezi stranami směny – zejména měny a množství peněz. Spor povede k zachování nesplacených nároků a odmítnutí opakovat obchod za stejných nebo podobných podmínek.
Efektivní vyrovnání dluhů nevyžaduje, aby se celý svět dohodl na konkrétním typu peněz. Subjektivní peníze proto mohou být užitečné v kapsách světové ekonomiky, kde panuje shoda. K překlenutí propasti mezi jakýmikoli dvěma kapsami mikroekonomik nebo obecněji mezi jakýmikoli dvěma osobami na světě je však nutný globální konsensus. Toho je dosaženo mechanismem objektivního konsenzu; subjektivní ne.
Kryptoměny typu Proof-of-stake nemohou poskytnout nový základ pro světovou finanční páteř. Svět se skládá ze států, které si navzájem neuznávají soudy. Pokud vznikne spor o správný pohled na dějiny, jediným východiskem je válka.
Nadace, které vyvíjejí a podporují blockchainy typu proof-of-stake, stejně jako nezávislí vývojáři, kteří pro ně pracují – a dokonce i influenceři, kteří nepíší kód – se vystavují právní odpovědnosti za svévolný výběr nepříznivého pohledu na historii (pro žalobce). Co se stane, když směnárna kryptoměn umožní velký výběr po směru od vkladu v kryptoměně, jejíž transakce se objevuje pouze v jedné větvi dvou konkurenčních pohledů na historii? Burza si může vybrat pohled, který je pro ni přínosný, ale pokud zbytek komunity – vybídnut podpisy a tweety PGP a středními příspěvky nadací, vývojářů a ovlivňovatelů – zvolí alternativní pohled, bude burza ponechána stranou. účtovat. Mají veškerou pobídku a svěřenskou odpovědnost vymáhat své ztráty od osob odpovědných za ně.
O tom, který pohled na historii je ten správný, nakonec rozhodne soud.
Proč investovat do čističky vzduchu?
Zastánci proof-of-stake tvrdí, že slouží ke stejnému účelu jako proof-of-work, ale bez veškerého plýtvání energií. Jejich podpora příliš často ignoruje kompromisy přítomné v jakémkoli inženýrském dilematu. Ano, proof-of-stake eliminuje energetický výdej, ale tato eliminace obětuje objektivitu výsledného konsenzuálního mechanismu. To je v pořádku v situacích, kdy stačí pouze místní konsensus, ale tento kontext vyvolává otázku: Jaký má smysl eliminovat důvěryhodnou autoritu? Pro globální finanční páteř je nezbytný objektivní mechanismus.
Sebe-referenční povaha důkazu o sázce ho činí ze své podstaty subjektivním: Který pohled na historii je správný, závisí na tom, koho se ptáte. Otázka "je proof-of-stake bezpečný?" pokouší se zredukovat analýzu na objektivní míru nákladů, která neexistuje. Z krátkodobého hlediska závisí, která vidlice je správná, na tom, která vidlice je populární mezi vlivnými členy komunity. V dlouhodobém horizontu převezmou soudy pravomoc rozhodovat o tom, která větev je správná, a oblasti místního konsensu se budou shodovat s hranicemi, které označují konec jurisdikce jednoho soudu a začátek dalšího.
Energie, kterou těžaři vynakládají v blockchainech typu proof-of-work, není plýtvána o nic víc, jako se plýtvá naftou na pohon automobilů. Místo toho je vyměněn za kryptograficky ověřitelnou, nezkreslenou náhodnost. Bez této klíčové složky nevíme, jak vytvořit objektivní mechanismus konsensu.
Toto je příspěvek hosta Alana Szepieniece. Vyjádřené názory jsou zcela jejich vlastní a nemusí nutně odrážet názory BTC Inc. nebo Bitcoin Časopis.
Původní zdroj: Bitcoin Časopis