By Bitcoin Magasin - 1 år siden - Læsetid: 14 minutter
Proof-of-Work er objektiv, Proof-of-Stake er ikke
Konsensusmekanismen for bevis-på-arbejde, der bruges i Bitcoin er en objektiv målestok for historien, som ikke kan ændres på validatorers luner.
Alan Szepieniec har en PhD i post-kvantekryptografi fra KU Leuven. Hans forskning fokuserer på kryptografi, især den slags kryptografi, der er nyttig til Bitcoin.
Proof-of-stake er en foreslået alternativ konsensusmekanisme til proof-of-work, der Bitcoin's konsensusmekanisme bruger. I stedet for at kræve energiforbrug kræver bevis-af-indsats, at minearbejdere (normalt kaldet validatorer) sætter digitale aktiver på spil for at bidrage til blokproduktionsprocessen. Indsats tilskynder dem til at opføre sig ærligt for at undgå at miste deres indsats. I teorien, med kun ærlige validatorer, vil netværket hurtigt komme til konsensus om rækkefølgen af transaktioner og derfor om, hvilke transaktioner der er ugyldige dobbeltudgifter.
Proof-of-stake har været genstand for megen debat. De fleste kritikpunkter fokuserer på sikkerhed: Reducerer det omkostningerne ved angreb? Mange mennesker udtrykker også sociologiske bekymringer: centralisering af magt, koncentration af rigdom, plutokrati osv.
I denne artikel formulerer jeg en meget mere grundlæggende kritik: Proof-of-stake er i sagens natur subjektivt. Det korrekte syn på en proof-of-stake blockchain afhænger af, hvem du spørger. Som følge heraf kan omkostningerne ved et angreb ikke beregnes i enheder internt i blockchain, hvilket gør sikkerhedsanalyser ugyldige; gæld kan ikke afvikles mellem parter, der ikke allerede er enige om, hvilke tredjeparter der er troværdige; og den endelige løsning af tvister skal komme fra domstolene.
I modsætning hertil er proof-of-work en objektiv konsensusmekanisme, hvor ethvert sæt af relaterede eller ikke-beslægtede parter kan blive enige om, hvilken tilstand af blockchain der er nøjagtig. Som et resultat heraf kan to økonomiske aktører blive enige om, hvorvidt der er foretaget en betaling, uafhængigt af domstole eller indflydelsesrige samfundsmedlemmer. Denne sondring gør proof-of-work egnet - og proof-of-stake uegnet - som en konsensusmekanisme for digitale valutaer.
Digitale penge og konsensus
Problemet der skal løses
En af de mest grundlæggende handlinger, som computere udfører, er kopiering af information. Denne operation efterlader den originale kopi intakt og producerer en nøjagtig kopi uden omkostninger. Computere kan kopiere stort set alt, så længe det er digitalt.
Der er dog nogle ting, der eksisterer rent i den digitale verden, som ikke kan kopieres. Ting, der er både digitale og knappe. Denne beskrivelse gælder for bitcoin for eksempel samt til andre blockchain-baserede digitale aktiver. De kan sendes, men efter afsendelsen er den originale kopi væk. Man kan være uenig i årsagen til, at markedet efterspørger disse aktiver, men det faktum, at denne efterspørgsel eksisterer, betyder, at disse digitale aktiver er nyttige som modstykke til balanceudvekslinger. Sammenfattet til et enkelt ord: de er penge.
For at opnå digital knaphed replikerer blockchain-protokollen en hovedbog på tværs af et netværk. Hovedbogen kan opdateres, men kun med transaktioner, hvor ejerne af de brugte midler er enige; nettosummen er nul; og udgangene er positive.
Enhver ugyldig opdatering vil blive afvist. Så længe der er konsensus om status for hovedbogen blandt alle deltagere i protokollen, er digital knaphed garanteret.
Det viser sig, at det er en vanskelig opgave at opnå konsensus. Ufuldkomne netværksforhold genererer forskellige visninger af historien. Pakker afleveres eller leveres ude af drift. Uenighed er endemisk for netværk.
Fork-Choice-reglen
Blockchains løser dette problem på to måder. For det første håndhæver de en komplet bestilling på alle transaktioner, hvilket genererer et træ af alternative historiesyn. For det andet definerer de kanon for historier sammen med en gaffelvalgsregel, der vælger den kanoniske gren fra historietræet.
Det er let at udlede kanonitet fra betroede myndigheder eller, ifølge nogle, fra en digital stemmeordning understøttet af en borgeridentitetsordning. Det er de betroede myndigheder dog sikkerhedshuller, og at stole på, at regeringen leverer pålidelige identifikationstjenester, bliver et politisk værktøj snarere end et, der er uafhængigt af det. Desuden forudsætter begge løsninger enighed om tredjeparters identitet og troværdighed. Vi ønsker at reducere tillidsantagelser; ideelt set har vi en løsning, der udelukkende stammer fra matematik.
En løsning til at bestemme kanonicitet, der udelukkende stammer fra matematik, genererer den bemærkelsesværdige egenskab, at svaret er uafhængigt af den, der beregner det. Dette er den forstand, i hvilken en konsensusmekanisme er i stand til at være objektiv. Der er dog en vigtig advarsel: man må antage, at alle parter er enige om et enkelt referencepunkt, såsom genesis-blokken eller dens hash-fordøjelse. En objektiv konsensusmekanisme er en, der gør det muligt for enhver part at ekstrapolere det kanoniske historiesyn fra dette referencepunkt.
Hvilken gren af træet, der er valgt til at være kanonisk, er ikke vigtig; det vigtige er, at alle deltagere kan blive enige om dette valg. Desuden behøver hele træet ikke at være repræsenteret eksplicit på en computer. I stedet er det tilstrækkeligt for hver node kun at holde en håndfuld grene. I dette tilfælde tester fork-choice-reglen kun to kandidatsyn på historien på én gang. Strengt taget er sætningen det kanoniske historiesyn misvisende: Et historiesyn kan kun være mere eller mindre kanonisk i forhold til et andet syn. Noder dropper den gren, der er mindre kanonisk og udbreder den, der er mere. Når en oversigt over historien udvides med en gruppe nye transaktioner, er den nye visning mere kanonisk end den gamle.
For at netværket hurtigt kan konvergere til konsensus om det kanoniske syn på historien, skal fork-choice-reglen opfylde to egenskaber. For det første skal det være veldefineret og effektivt evaluerbart for ethvert to pars historiesyn. For det andet skal det være transitivt for ethvert tredobbelt syn på historien. For de matematisk tilbøjelige: lad U,V,W være tre visninger af historien, og lad infikset "<" angive gaffelvalgsreglen, der favoriserer højre side over venstre.
Derefter gælder [to betingelser]:
U
For at hovedbogen kan rumme opdateringer, skal oversigter over historien kunne udvides på en måde, der er kompatibel med fork-choice-reglen. Derfor er der behov for yderligere to ejendomme. For det første, når den evalueres på to visninger, hvor den ene er en forlængelse af den anden, skal fork-choice-reglen altid favorisere den udvidede visning. For det andet er udvidelser af et (tidligere) kanonisk synspunkt mere tilbøjelige til at være kanoniske end udvidelser af ikke-kanoniske synspunkter. Lad symbolsk "E" angive en udvidelse og "‖" den handling, der anvender den. Derefter:
U 0.5Den sidste egenskab tilskynder ærlige udvidere til at fokusere på at udvide kanoniske synspunkter i modsætning til synspunkter, som de ved ikke er kanoniske. Som et resultat af dette incitament har særskilte historiesyn, der opstår fra ærlige, men modstridende forlængelser, en tendens til kun at adskille sig i deres tip, når det drejer sig om de seneste begivenheder. Jo længere tilbage en begivenhed logges, jo mindre sandsynligt vil den blive væltet af den reorganisering, som er påtvunget af et andet, mere kanonisk, historiesyn, der divergerer på et tidligere tidspunkt. Fra dette perspektiv er det kanoniske historiesyn veldefineret i forhold til grænsen for historiesyn, som netværket konvergerer til.
Den åbenlyse diskvalificerende i det foregående afsnit er behovet for, at forlængere opfører sig ærligt. Hvad med uærlige forlængere? Hvis modstanderen kan kontrollere den tilfældige variabel implicit i sandsynlighedsudtrykket, så kan han konstruere det til sin fordel og iværksætte dybe reorganiseringer med høj successandsynlighed. Selvom han ikke kan kontrollere den tilfældige variabel, men kan producere kandidatudvidelser billigt, så kan han evaluere gaffelvalgsreglen lokalt og på ubestemt tid, indtil han finder et tidligt punkt for divergens sammen med en udvidelse, der tilfældigvis genererer en mere kanonisk gren end nogen, der cirkulerer.
Den manglende brik i puslespillet er ikke en mekanisme, der forhindrer uærlige forlængelser. I et miljø med ufuldkomne netværksforhold er det umuligt at afgrænse uærlig adfærd. En angriber kan altid ignorere beskeder, der ikke er til hans smag, eller forsinke deres udbredelse og hævde, at netværksforbindelsen er skyld. I stedet er den manglende brik i puslespillet en mekanisme, der gør dybe reorganiseringer dyrere end overfladiske, og dyrere, jo dybere de går.
Kumulativ bevis-på-arbejde
Satoshi Nakamotos konsensusmekanisme opnår netop dette. For at foreslå en ny batch af transaktioner (kaldet blokke) og derved udvide en gren, skal potentielle forlængere (kaldet minearbejdere) først løse et beregningspuslespil. Dette puslespil er dyrt at løse, men let at verificere, og er derfor passende navngivet proof-of-work. Kun med løsningen på dette puslespil er den nye batch af transaktioner (og den historie, den forpligter sig til) en gyldig kandidat til canon. Puslespillet kommer med en knap til justering af sværhedsgraden, som automatisk drejes for at regulere den forventede tid, før en ny løsning findes, uanset antallet af deltagere eller de ressourcer, de bruger på problemet. Denne knap har en sekundær funktion som en uvildig indikator for opgaveløsningsindsats i en enhed, der måler sværhedsgrad.
Processen er åben for enhvers deltagelse. Den begrænsende faktor er ikke autoritet eller kryptografisk nøglemateriale eller hardwarekrav, snarere er den begrænsende faktor de ressourcer, man er villig til at bruge for at have en chance for at finde en gyldig blok. Den sandsynlige og parallelle karakter af puslespillet belønner den omkostningseffektive minearbejder, der maksimerer antallet af beregninger pr. joule, selv på bekostning af et lavere antal beregninger pr. sekund.
Givet målsværhedsparameteren (knappen) for hver blok, er det let at beregne et uvildigt estimat af den samlede mængde arbejde, som en given gren af historien repræsenterer. Reglen om bevis-på-arbejde, gaffelvalg favoriserer den gren, hvor dette tal er større.
Minearbejdere ræser mod hinanden for at finde den næste blok. Den første minearbejder, der finder det og med succes udbreder det, vinder. Forudsat at minearbejdere ikke sidder på gyldige, men ikke-udbredte nye blokke, når de modtager en ny blok fra konkurrerende minearbejdere, adopterer de den som den nye leder af historiens kanoniske gren, fordi undladelse af at gøre det sætter dem i en ulempe. At bygge oven på en blok, der er kendt for at være gammel, er irrationelt, fordi minearbejderen skal indhente resten af netværket og finde to nye blokke for at få succes - en opgave, der i gennemsnit er dobbelt så svær som skifte til den nye, længere gren og forlænge den. I en proof-of-work blockchain har reorganiseringer en tendens til at være isoleret til spidsen af historiens træ, ikke fordi minearbejdere er ærlige, men fordi omkostningerne ved at generere reorganiseringer vokser med dybden af reorganiseringen. Eksempel: ifølge dette stak udveksling svar, eksklusive gafler efter softwareopdateringer, den længste gaffel på Bitcoin blockchain havde længde 4, eller 0.0023% af blokhøjden på det tidspunkt.
Proof-of-Stakes "løsning"
Proof-of-stake er et foreslået alternativ til proof-of-work, hvor det korrekte historiesyn ikke er defineret i form af den største mængde arbejde brugt på at løse kryptografiske gåder, men snarere defineret i form af de offentlige nøgler til særlige noder kaldet validatorer. Specifikt underskriver validatorer nye blokke. En deltagende node verificerer det korrekte syn på historien ved at verificere signaturerne på de konstituerende blokke.
Noden har ikke midlerne til at skelne gyldige historiesyn fra ugyldige. Pointen er, at en konkurrerende blok kun er en seriøs udfordrer til toppen af det korrekte historiesyn, hvis den har en understøttende signatur (eller mange understøttende signaturer). Det er usandsynligt, at validatorerne underskriver alternative blokke, fordi den signatur ville bevise deres ondsindede adfærd og resultere i tab af deres indsats.
Processen er åben for offentligheden. Enhver kan blive validator ved at lægge en vis mængde kryptovaluta på en særlig deponeringskonto. Disse deponerede penge er "indsatsen", der skæres ned, hvis validatoren opfører sig forkert. Noder verificerer, at signaturerne på nye blokke matcher de offentlige nøgler, der leveres af validatorer, når de sætter deres indsatser i deponering.
Formelt, i proof-of-stake blockchains, er definitionen af det korrekte syn på historien fuldstændig rekursiv. Nye blokke er kun gyldige, hvis de indeholder de rigtige signaturer. Signaturerne er gyldige med hensyn til validatorernes offentlige nøgler. Disse offentlige nøgler bestemmes af gamle blokke. Fork-choice-reglen er ikke defineret for konkurrerende historiesyn, så længe begge synspunkter er selvkonsistente.
I modsætning hertil er det korrekte syn på historien i proof-of-work blockchains også defineret rekursivt, men ikke med udelukkelse af eksterne input. Specifikt bygger fork-choice-reglen i bevis-på-arbejde også på tilfældighed, hvis upartiskhed er objektivt verificerbar.
Denne eksterne input er den vigtigste forskel. I proof-of-work er fork-choice-reglen defineret for ethvert par forskellige konkurrerende historiesyn, hvorfor det er muligt at tale om kanon i første omgang. I proof-of-stake er det kun muligt at definere korrekthed i forhold til en tidligere historie.
Proof-of-stake kan undergraves
Betyder det dog noget? I teorien, for at to konsekvente, men gensidigt uforenelige historiesyn kan produceres, skal nogen et eller andet sted have været uærlig, og hvis de opførte sig uærligt, er det muligt at finde ud af hvor, bevise det og skære deres indsats. Da validatoren indstillet på det første divergenspunkt ikke er bestridt, er det muligt at komme sig derfra.
Problemet med dette argument er, at det ikke tager tid i betragtning. Hvis en validator fra ti år siden dobbelttegner indbyrdes modstridende blokke - det vil sige udgiver en nyligt underskrevet modstridende pendant til den blok, der blev bekræftet for ti år siden - så skal historien omskrives fra det tidspunkt og fremefter. Den ondsindede validators indsats er skåret ned. Transaktioner, der bruger indsatsbelønningen, er nu ugyldige, ligesom transaktioner nedstrøms derfra. Givet tilstrækkelig tid, kan validatorens belønninger perkolere til en stor del af blockchain-økonomien. En modtager af mønter kan ikke være sikker på, at alle afhængigheder forbliver gyldige i fremtiden. Der er ingen endelighed, fordi det ikke er sværere eller dyrere at omorganisere den fjerne fortid end den nære fortid.
Proof-of-stake er subjektiv
Den eneste måde at løse dette problem på er at begrænse den dybde, hvori omorganiseringer optages. Modstridende historiesyn, hvis første divergenspunkt er ældre end en vis tærskelalder, ignoreres. Noder, der præsenteres med et andet synspunkt, hvis første divergenspunkt er ældre, afviser det uden videre uden at teste, hvad der er korrekt. Så længe nogle noder er aktive på et givet tidspunkt, er kontinuitet garanteret. Der er kun én måde, hvorpå blockchain kan udvikle sig, hvis for dybe omorganiseringer er spærret.
Denne løsning gør proof-of-stake til en subjektiv konsensusmekanisme. Svaret på spørgsmålet "hvad er den nuværende tilstand af blockchain?" afhænger af hvem du spørger. Det er ikke objektivt verificerbart. En angriber kan producere et alternativt syn på historien, der er lige så selvkonsistent som det korrekte. Den eneste måde en node kan vide, hvilken visning der er korrekt, er ved at vælge et sæt peers og tage deres ord for det.
Det kan hævdes, at dette hypotetiske angreb ikke er relevant, hvis omkostningerne ved at producere dette alternative historiesyn er for store. Selvom det modargument kan være sandt, er omkostningerne en objektiv målestok, og om det er sandt afhænger derfor af eksterne faktorer, der ikke er repræsenteret i blockchain. For eksempel kan angriberen miste hele sin andel i ét historiesyn, men er ligeglad, fordi han gennem juridiske eller sociale midler kan garantere, at det alternative syn vil blive accepteret. Enhver sikkerhedsanalyse eller beregning af angrebsomkostninger, der fokuserer på, hvad der sker på "den" blockchain, og ikke tager højde for den objektive verden, den lever i, er grundlæggende fejlbehæftet.
Internt i en proof-of-stake cryptocurrency er, at ikke kun omkostningerne er subjektive, men det er belønningen også. Hvorfor ville en angriber implementere sit angreb, hvis slutresultatet ikke er en udbetaling, der er mekanisk bestemt af hans opfindsomhed, men en udsendelse fra kryptovalutaens officielle team af udviklere, der forklarer, hvorfor de har valgt til fordel for den anden gren? Der kan være eksterne udbetalinger - for eksempel fra finansielle muligheder, der forventer, at prisen falder, eller af ren og skær glæde over at forårsage kaos - men pointen er, at den lave sandsynlighed for interne udbetalinger underminerer argumentet om, at markedsværdien af eksisterende bevis-for- satsede kryptovalutaer udgør en effektiv angrebspremie.
Penge og objektivitet
Penge er i bund og grund det objekt, som en gæld afvikles med. At afvikle gæld effektivt kræver konsensus blandt udvekslingsparterne - især valutaen og pengebeløbet. En tvist vil føre til opretholdelse af udestående krav og et afslag på at gøre gentagelsesforretning på lige eller lignende vilkår.
Effektiv gældssanering kræver ikke, at hele verden er enige om den specifikke pengetype. Derfor kan en subjektiv penge være nyttig i lommer af verdensøkonomien, hvor der tilfældigvis er konsensus. Men for at bygge bro mellem to lommer af mikroøkonomier, eller mere generelt mellem to personer i verden, kræves global konsensus. En objektiv konsensusmekanisme opnår det; en subjektiv gør det ikke.
Proof-of-stake kryptovalutaer kan ikke give et nyt grundlag for verdens finansielle rygrad. Verden består af stater, der ikke anerkender hinandens domstole. Hvis der opstår en strid om det korrekte syn på historien, er den eneste udvej krig.
Fonde, der udvikler og understøtter proof-of-stake blockchains, såvel som freelance-udviklere, der arbejder for dem - og endda influencere, der ikke skriver kode - udsætter sig selv for juridisk ansvar for vilkårligt at vælge et ugunstigt syn på historien (for sagsøgeren). Hvad sker der, når en cryptocurrency-børs muliggør en stor udbetaling nedstrøms fra et indskud i en proof-of-stake cryptocurrency, hvis transaktion kun vises i én gren af to konkurrerende historiesyn? Børsen kan vælge det synspunkt, der gavner deres bundlinje, men hvis resten af fællesskabet - foranlediget af PGP-signaturer og tweets og mellemstore indlæg fra fondene, udviklere og influencers - vælger den alternative visning, så står børsen tilbage ved siden af regning. De har alle incitamenter og tillidsansvar for at inddrive deres tab fra de personer, der er ansvarlige for dem.
I sidste ende vil en domstol afsige en afgørelse om, hvilket historiesyn der er det rigtige.
Konklusion
Tilhængere af proof-of-stake hævder, at det tjener samme formål som proof-of-work, men uden alt energispildet. Alt for ofte ignorerer deres støtte de afvejninger, der findes i ethvert teknisk dilemma. Ja, proof-of-stake eliminerer energiforbruget, men denne eliminering ofrer objektiviteten af den resulterende konsensusmekanisme. Det er okay i situationer, hvor kun lommer af lokal konsensus er tilstrækkelig, men denne sammenhæng rejser spørgsmålet: Hvad er meningen med at eliminere den betroede autoritet? For en global finansiel rygrad er en objektiv mekanisme nødvendig.
Den selvrefererende karakter af proof-of-stake gør det i sagens natur subjektivt: Hvilket historiesyn, der er korrekt, afhænger af, hvem du spørger. Spørgsmålet "er proof-of-stake sikkert?" forsøger at reducere analysen til et objektivt mål for omkostninger, som ikke eksisterer. På kort sigt afhænger hvilken gaffel der er korrekt af hvilken gaffel der er populær blandt indflydelsesrige medlemmer af samfundet. På lang sigt vil domstolene påtage sig magten til at afgøre, hvilken fork der er korrekt, og lommerne af lokal konsensus vil falde sammen med de grænser, der markerer afslutningen på en domstols jurisdiktion og begyndelsen på den næste.
Den energi, minearbejdere bruger i proof-of-work blockchains, spildes ikke mere, end diesel er spildt på biler. I stedet ombyttes det til kryptografisk verificerbar, upartisk tilfældighed. Vi ved ikke, hvordan man kan skabe en objektiv konsensusmekanisme uden denne nøgleingrediens.
Dette er et gæsteindlæg af Alan Szepieniec. Udtalte meninger er helt deres egne og afspejler ikke nødvendigvis dem fra BTC Inc. eller Bitcoin magasin.
Oprindelig kilde: Bitcoin magasin