By Bitcoin Revista - Hace 1 año - Tiempo de lectura: 14 minutos
La prueba de trabajo es objetiva, la prueba de participación no lo es
El mecanismo de consenso de prueba de trabajo utilizado en Bitcoin es una medida objetiva de la historia que no se puede cambiar según los caprichos de los validadores.
Alan Szepieniec tiene un doctorado en criptografía poscuántica de KU Leuven. Su investigación se centra en la criptografía, especialmente en el tipo de criptografía que es útil para Bitcoin.
La prueba de participación es un mecanismo de consenso alternativo propuesto a la prueba de trabajo que Bitcoinutiliza el mecanismo de consenso. En lugar de requerir el consumo de energía, la prueba de participación requiere que los mineros (generalmente llamados validadores) pongan en juego activos digitales para contribuir al proceso de producción de bloques. Stake los incentiva a comportarse honestamente, para evitar perder su participación. En teoría, con solo validadores honestos, la red llegará rápidamente a un consenso sobre el orden de las transacciones y, por lo tanto, sobre qué transacciones son gastos dobles no válidos.
La prueba de participación ha sido objeto de mucho debate. La mayoría de las críticas se centran en la seguridad: ¿disminuye el coste del ataque? Mucha gente también expresa preocupaciones sociológicas: centralización del poder, concentración de la riqueza, plutocracia, etc.
En este artículo, articulo una crítica mucho más básica: la prueba de participación es inherentemente subjetiva. La vista correcta de una cadena de bloques de prueba de participación depende de a quién le pregunte. Como resultado, el costo de un ataque no se puede calcular en unidades internas de la cadena de bloques, lo que invalida los análisis de seguridad; las deudas no pueden ser saldadas entre partes que no estén ya de acuerdo sobre qué terceros son de confianza; y la resolución final de las disputas debe provenir de los tribunales.
Por el contrario, la prueba de trabajo es un mecanismo de consenso objetivo en el que cualquier conjunto de partes relacionadas o no relacionadas puede llegar a un acuerdo sobre qué estado de la cadena de bloques es el correcto. Como resultado, dos actores económicos cualquiera pueden acordar si se ha realizado un pago, independientemente de los tribunales o miembros influyentes de la comunidad. Esta distinción hace que la prueba de trabajo sea adecuada, y la prueba de participación no lo sea, como mecanismo de consenso para las monedas digitales.
Dinero digital y consenso
El problema que necesita solución
Una de las operaciones más básicas que realizan las computadoras es copiar información. Esta operación deja intacta la copia original y produce una réplica exacta prácticamente sin costo alguno. Las computadoras pueden copiar casi cualquier cosa, siempre que sea digital.
Sin embargo, hay algunas cosas que existen puramente en el ámbito digital que no se pueden copiar. Cosas que son tanto digitales como escasas. Esta descripción se aplica a bitcoin por ejemplo, así como a otros activos digitales basados en blockchain. Se pueden enviar, pero después de enviarlos se pierde la copia original. Uno podría no estar de acuerdo con la razón por la cual el mercado demanda estos activos, pero el hecho de que esta demanda exista significa que estos activos digitales son útiles como contrapartida para los intercambios de saldos. Cuando se condensan en una sola palabra: son dinero.
Para lograr la escasez digital, el protocolo blockchain replica un libro mayor en una red. El libro mayor se puede actualizar, pero solo con transacciones en las que los propietarios de los fondos gastados estén de acuerdo; la suma neta es cero; y las salidas son positivas.
Cualquier actualización inválida será rechazada. Mientras haya consenso sobre el estado del libro mayor entre todos los participantes en el protocolo, la escasez digital está garantizada.
Resulta que lograr el consenso es una tarea difícil. Las condiciones imperfectas de la red generan distintas visiones de la historia. Los paquetes se caen o se entregan fuera de orden. El desacuerdo es endémico en las redes.
La regla de la elección del tenedor
Las cadenas de bloques abordan este problema de dos maneras. Primero, imponen un orden completo en todas las transacciones, lo que genera un árbol de vistas alternativas de la historia. En segundo lugar, definen el canon de las historias, junto con una regla de elección de bifurcación que selecciona la rama canónica del árbol de historias.
Es fácil derivar la canonicidad de autoridades de confianza o, según algunos, de un esquema de votación digital respaldado por un esquema de identidad ciudadana. Sin embargo, las autoridades de confianza son agujeros de seguridad, y confiar en que el gobierno proporcione servicios de identificación confiables se convierte en una herramienta de la política en lugar de una herramienta independiente de ella. Además, ambas soluciones suponen acuerdo sobre las identidades y la confiabilidad de terceros. Queremos reducir los supuestos de confianza; idealmente tenemos una solución que se deriva enteramente de las matemáticas.
Una solución para decidir la canonicidad que se deriva enteramente de las matemáticas genera la notable propiedad de que la respuesta es independiente de quien la calcule. Este es el sentido en el que un mecanismo de consenso es capaz de ser objetivo. Sin embargo, hay una advertencia importante: se debe asumir que todas las partes están de acuerdo en un punto de referencia singular, como el bloque de génesis o su resumen de hash. Un mecanismo de consenso objetivo es aquel que permite a cualquier parte extrapolar la visión canónica de la historia desde este punto de referencia.
Qué rama del árbol se selecciona para ser canónica no es importante; lo importante es que todos los participantes puedan ponerse de acuerdo sobre esta elección. Además, el árbol completo no necesita estar representado explícitamente en ninguna computadora. En cambio, basta con que cada nodo contenga solo un puñado de ramas. En este caso, la regla de elección de la bifurcación solo prueba dos puntos de vista candidatos de la historia en un momento dado. Estrictamente hablando, la frase visión canónica de la historia es engañosa: una visión de la historia sólo puede ser más o menos canónica en relación con otra visión. Los nodos descartan la rama menos canónica y propagan la que es más. Cada vez que se amplía una vista del historial con un lote de nuevas transacciones, la nueva vista es más canónica que la anterior.
Para que la red converja rápidamente en un consenso sobre la visión canónica de la historia, la regla de elección de la bifurcación debe satisfacer dos propiedades. En primer lugar, debe estar bien definido y ser evaluable de manera eficiente para las visiones de la historia de dos pares cualesquiera. En segundo lugar, debe ser transitiva para cualquier triple de puntos de vista de la historia. Para los inclinados a las matemáticas: sean U, V, W tres vistas cualquiera de la historia, y deje que el infijo "<" denote la regla de elección de horquilla que favorece el lado derecho sobre el izquierdo.
Entonces [se cumplen dos condiciones]:
tu
Para que el libro de contabilidad se adapte a las actualizaciones, las vistas del historial deben poder extenderse de una manera que sea compatible con la regla de elección de bifurcación. Por lo tanto, se requieren dos propiedades más. Primero, cuando se evalúa en dos vistas donde una es una extensión de la otra, la regla de elección de horquilla siempre debe favorecer la vista extendida. En segundo lugar, es más probable que las extensiones de una visión (anteriormente) canónica sean canónicas que las extensiones de vistas no canónicas. Simbólicamente, deje que "E" denote una extensión y "‖" la operación que la aplica. Después:
tu 0.5La última propiedad incentiva a los extensores honestos a enfocarse en extender vistas canónicas en lugar de vistas que saben que no son canónicas. Como resultado de este incentivo, distintas visiones de la historia que surgen de extensiones honestas pero contradictorias al mismo tiempo tienden a diferir solo en sus puntas, en lo que se refiere a eventos recientes. Cuanto más atrás se registra un evento, menos probable es que sea anulado por la reorganización impuesta por otra visión de la historia, más canónica, que diverge en un punto anterior. Desde esta perspectiva, la visión canónica de la historia está bien definida en términos del límite de visiones de la historia al que converge la red.
El descalificador obvio en el párrafo anterior es la necesidad de que los extensores se comporten con honestidad. ¿Qué pasa con los extensores deshonestos? Si el adversario puede controlar la variable aleatoria implícita en la expresión de probabilidad, entonces puede diseñarla a su favor y lanzar reorganizaciones profundas con alta probabilidad de éxito. Incluso si no puede controlar la variable aleatoria, pero puede producir extensiones candidatas a bajo costo, entonces puede evaluar la regla de elección de la horquilla localmente e indefinidamente hasta que encuentre un punto temprano de divergencia junto con una extensión que genere una más canónica. rama que cualquiera que circule.
La pieza que falta del rompecabezas no es un mecanismo que impida las prórrogas deshonestas. En un entorno de condiciones de red imperfectas, es imposible delinear un comportamiento deshonesto. Un atacante siempre puede ignorar los mensajes que no son de su agrado, o retrasar su propagación y alegar que la culpa es de la conexión de red. En cambio, la pieza faltante del rompecabezas es un mecanismo que hace que las reorganizaciones profundas sean más costosas que las superficiales, y más costosas cuanto más profundas sean.
Prueba de trabajo acumulativa
El mecanismo de consenso de Satoshi Nakamoto logra precisamente esto. Para proponer un nuevo lote de transacciones (llamados bloques) y, por lo tanto, extender alguna rama, los posibles extensores (llamados mineros) primero deben resolver un rompecabezas computacional. Este acertijo es costoso de resolver pero fácil de verificar y, por lo tanto, se denomina acertadamente prueba de trabajo. Solo con la solución a este rompecabezas, el nuevo lote de transacciones (y el historial al que se compromete) es un competidor válido para el canon. El rompecabezas viene con una perilla para ajustar su dificultad, que se gira automáticamente para regular el tiempo esperado antes de encontrar una nueva solución, independientemente del número de participantes o los recursos que dedican al problema. Esta perilla tiene una función secundaria como indicador imparcial del esfuerzo de resolución de acertijos en una unidad que mide la dificultad.
El proceso está abierto a la participación de cualquiera. El factor limitante no es la autoridad o el material de clave criptográfica o los requisitos de hardware, sino que el factor limitante son los recursos que uno está dispuesto a gastar para tener la oportunidad de encontrar un bloque válido. La naturaleza probabilística y paralela del rompecabezas recompensa al minero rentable que maximiza el número de cálculos por julio, incluso a costa de un menor número de cálculos por segundo.
Dado el parámetro de dificultad objetivo (la perilla) para cada bloque, es fácil calcular una estimación imparcial de la cantidad total de trabajo que representa una determinada rama de la historia. La regla de prueba de trabajo y elección de horquilla favorece la rama donde este número es mayor.
Los mineros compiten entre sí para encontrar el siguiente bloque. El primer minero en encontrarlo y propagarlo con éxito gana. Asumiendo que los mineros no están sentados en nuevos bloques válidos pero no propagados, cuando reciben un nuevo bloque de mineros competidores, lo adoptan como el nuevo jefe de la rama canónica de la historia porque no hacerlo los pone en desventaja. Construir sobre un bloque que se sabe que es antiguo es irracional porque el minero tiene que ponerse al día con el resto de la red y encontrar dos bloques nuevos para tener éxito, una tarea que, en promedio, es dos veces más difícil que cambiando a la nueva rama más larga y extendiéndola. En una cadena de bloques de prueba de trabajo, las reorganizaciones tienden a estar aisladas hasta la punta del árbol de la historia no porque los mineros sean honestos, sino porque el costo de generar reorganizaciones crece con la profundidad de la reorganización. Caso en cuestión: según este respuesta de intercambio de pila, excluyendo las bifurcaciones posteriores a las actualizaciones de software, la bifurcación más larga del Bitcoin blockchain tenía una longitud de 4, o el 0.0023 % de la altura del bloque en ese momento.
"Solución" de prueba de participación
La prueba de participación es una alternativa propuesta a la prueba de trabajo en la que la visión correcta de la historia no se define en términos de la mayor cantidad de trabajo dedicado a resolver acertijos criptográficos, sino que se define en términos de las claves públicas de especial nodos llamados validadores. Específicamente, los validadores firman nuevos bloques. Un nodo participante verifica la vista correcta del historial verificando las firmas en los bloques constituyentes.
El nodo no tiene los medios para distinguir las vistas válidas del historial de las no válidas. El punto es que un bloque competidor solo es un competidor serio para la punta de la visión correcta de la historia si tiene una firma de apoyo (o muchas firmas de apoyo). Es poco probable que los validadores firmen bloques alternativos porque esa firma probaría su comportamiento malicioso y resultaría en la pérdida de su participación.
El proceso está abierto al público. Cualquiera puede convertirse en validador colocando una cierta cantidad de criptomonedas en una cuenta de depósito en garantía especial. Este dinero depositado es la "apuesta" que se recorta si el validador se porta mal. Los nodos verifican que las firmas en los nuevos bloques coincidan con las claves públicas proporcionadas por los validadores cuando colocan sus participaciones en custodia.
Formalmente, en las cadenas de bloques de prueba de participación, la definición de la visión correcta de la historia es completamente recursiva. Los nuevos bloques son válidos solo si contienen las firmas correctas. Las firmas son válidas con respecto a las claves públicas de los validadores. Estas claves públicas están determinadas por bloques antiguos. La regla de elección de la bifurcación no está definida para puntos de vista competitivos de la historia, siempre que ambos puntos de vista sean coherentes entre sí.
Por el contrario, la vista correcta de la historia en las cadenas de bloques de prueba de trabajo también se define de forma recursiva, pero no excluyendo las entradas externas. Específicamente, la regla de elección de horquilla en la prueba de trabajo también se basa en la aleatoriedad cuya insesgabilidad es objetivamente verificable.
Esta entrada externa es la diferencia clave. En la prueba de trabajo, la regla de elección de la bifurcación se define para cualquier par de puntos de vista diferentes de la historia en competencia, por lo que es posible hablar de canon en primer lugar. En la prueba de participación, solo es posible definir la corrección en relación con un historial anterior.
La prueba de participación es subvertible
¿Aunque importa? En teoría, para que se produzcan dos puntos de vista consistentes pero incompatibles entre sí de la historia, alguien debe haber sido deshonesto en algún lugar, y si se comportó de manera deshonesta, es posible averiguar dónde, probarlo y reducir su apuesta. Dado que el validador establecido en ese primer punto de divergencia no está en disputa, es posible recuperarse desde allí.
El problema de este argumento es que no tiene en cuenta el tiempo. Si un validador de hace diez años firma dos veces bloques en conflicto entre sí, es decir, publica una contraparte contradictoria recién firmada del bloque que se confirmó hace diez años, entonces será necesario reescribir el historial a partir de ese momento. La apuesta del validador malicioso se reduce. Las transacciones que gastan las recompensas de participación ahora no son válidas, al igual que las transacciones posteriores a partir de ahí. Con suficiente tiempo, las recompensas del validador pueden filtrarse a una gran parte de la economía de la cadena de bloques. Un destinatario de monedas no puede estar seguro de que todas las dependencias seguirán siendo válidas en el futuro. No hay finalidad porque no es más difícil o costoso reorganizar el pasado lejano que el pasado cercano.
La prueba de participación es subjetiva
La única forma de resolver este problema es restringir la profundidad a la que se admiten las reorganizaciones. Se ignoran los puntos de vista conflictivos de la historia cuyo primer punto de divergencia es anterior a un cierto umbral de edad. Los nodos a los que se les presenta otra vista cuyo primer punto de divergencia es más antiguo, la rechazan sin probar cuál es la correcta. Mientras algunos nodos estén activos en un momento dado, la continuidad está garantizada. Solo hay una forma en que la cadena de bloques puede evolucionar si se prohíben las reorganizaciones demasiado profundas.
Esta solución convierte a la prueba de participación en un mecanismo de consenso subjetivo. La respuesta a la pregunta "¿cuál es el estado actual de la cadena de bloques?" depende de a quien le preguntes. No es objetivamente comprobable. Un atacante puede producir una visión alternativa de la historia que sea tan autoconsistente como la correcta. La única forma en que un nodo puede saber qué vista es correcta es seleccionando un conjunto de pares y tomando su palabra.
Se puede argumentar que este ataque hipotético no es relevante si el costo de producir esta visión alternativa de la historia es demasiado alto. Si bien ese contraargumento puede ser cierto, el costo es una métrica objetiva y, por lo tanto, si es cierto depende de factores externos que no están representados en la cadena de bloques. Por ejemplo, el atacante puede perder todo su interés en una visión de la historia, pero no le importa porque puede garantizar por medios legales o sociales que se aceptará la visión alternativa. Cualquier análisis de seguridad o costo de cálculo de ataque que se centre en lo que sucede en "la" cadena de bloques y no tenga en cuenta el mundo objetivo en el que vive, es fundamentalmente defectuoso.
Lo interno de una criptomoneda de prueba de participación es que no solo el costo es subjetivo, sino también la recompensa. ¿Por qué un atacante desplegaría su ataque si el resultado final no es un pago determinado mecánicamente por su ingenio, sino una transmisión del equipo oficial de desarrolladores de la criptomoneda explicando por qué han elegido a favor de la otra rama? Puede haber pagos externos, por ejemplo, de opciones financieras que esperan que el precio baje o de la pura alegría de causar caos, pero el punto es que la baja probabilidad de pagos internos socava el argumento de que la capitalización de mercado de la prueba de apostar criptomonedas constituye una recompensa de ataque efectiva.
Dinero y objetividad
El dinero es, en esencia, el objeto con el que se salda una deuda. Saldar la deuda de manera efectiva requiere un consenso entre las partes del intercambio, en particular, la moneda y la cantidad de dinero. Una disputa conducirá a la perpetuación de los reclamos pendientes y la negativa a hacer negocios repetidos en términos iguales o similares.
La liquidación efectiva de deudas no requiere que todo el mundo esté de acuerdo con el tipo específico de dinero. Por lo tanto, un dinero subjetivo puede ser útil en los bolsillos de la economía mundial donde sucede que hay consenso. Sin embargo, para cerrar la brecha entre dos focos de microeconomías, o más generalmente entre dos personas en el mundo, se requiere un consenso global. Un mecanismo de consenso objetivo logra eso; uno subjetivo no lo hace.
Las criptomonedas de prueba de participación no pueden proporcionar una nueva base para la columna vertebral financiera del mundo. El mundo está formado por estados que no reconocen los tribunales de los demás. Si surge una disputa sobre la visión correcta de la historia, el único recurso es la guerra.
Las fundaciones que desarrollan y respaldan cadenas de bloques de prueba de participación, así como los desarrolladores independientes que trabajan para ellos, e incluso personas influyentes que no escriben código, se exponen a responsabilidad legal por seleccionar arbitrariamente una visión desfavorable de la historia (para el demandante). ¿Qué sucede cuando un intercambio de criptomonedas permite un gran retiro aguas abajo de un depósito en una criptomoneda de prueba de participación cuya transacción aparece en solo una rama de dos vistas en competencia de la historia? El intercambio puede seleccionar la vista que beneficie a sus resultados finales, pero si el resto de la comunidad, impulsado por las firmas y tweets de PGP y las publicaciones en Medium de las fundaciones, los desarrolladores y las personas influyentes, selecciona la vista alternativa, entonces el intercambio se queda con el pie derecho. factura. Tienen todos los incentivos y la responsabilidad fiduciaria para recuperar sus pérdidas de las personas responsables de ellas.
Al final, un tribunal emitirá un fallo sobre qué visión de la historia es la correcta.
Conclusión
Los defensores de la prueba de participación afirman que tiene el mismo propósito que la prueba de trabajo, pero sin todo el desperdicio de energía. Con demasiada frecuencia, su apoyo ignora las compensaciones presentes en cualquier dilema de ingeniería. Sí, la prueba de participación elimina el gasto de energía, pero esta eliminación sacrifica la objetividad del mecanismo de consenso resultante. Eso está bien para situaciones en las que solo bastan focos de consenso local, pero este contexto plantea la pregunta: ¿Cuál es el punto de eliminar la autoridad de confianza? Para una columna vertebral financiera mundial, es necesario un mecanismo objetivo.
La naturaleza autorreferencial de la prueba de participación la hace intrínsecamente subjetiva: qué visión de la historia es correcta depende de a quién le preguntes. La pregunta "¿es segura la prueba de participación?" intenta reducir el análisis a una medida objetiva del costo que no existe. A corto plazo, qué bifurcación es la correcta depende de qué bifurcación sea popular entre los miembros influyentes de la comunidad. A largo plazo, los tribunales asumirán el poder de decidir qué bifurcación es la correcta y los focos de consenso local coincidirán con los límites que marcan el final de la jurisdicción de un tribunal y el comienzo del siguiente.
La energía gastada por los mineros en las cadenas de bloques de prueba de trabajo no se desperdicia más de lo que se desperdicia el diésel alimentando automóviles. En su lugar, se intercambia por una aleatoriedad imparcial verificable criptográficamente. No sabemos cómo generar un mecanismo de consenso objetivo sin este ingrediente clave.
Esta es una publicación invitada de Alan Szepieniec. Las opiniones expresadas son totalmente propias y no reflejan necesariamente las de BTC Inc. o Bitcoin Revista.
Fuente original: Bitcoin Revista