By Bitcoin Revista - hai 1 ano - Tempo de lectura: 14 minutos
A proba de traballo é obxectiva, a proba de participación non
O mecanismo de consenso de proba de traballo utilizado en Bitcoin é unha medida obxectiva da historia que non se pode cambiar por capricho dos validadores.
Alan Szepieniec é doutor en criptografía poscuántica pola KU Leuven. A súa investigación céntrase na criptografía, especialmente no tipo de criptografía que é útil Bitcoin.
Proof-of-stake é un mecanismo de consenso alternativo proposto á proba de traballo que Bitcoinutiliza o mecanismo de consenso. En lugar de esixir o consumo de enerxía, a proba de participación require que os mineiros (xeralmente chamados validadores) poñan en xogo activos dixitais para contribuír ao proceso de produción de bloques. A aposta incentivalles a comportarse con honestidade, para evitar perder a súa participación. En teoría, con só validadores honestos, a rede chegará rapidamente a un consenso sobre a orde das transaccións e, polo tanto, sobre cales son as transaccións dobres gastos non válidas.
A proba de xogo foi obxecto de moito debate. A maioría das críticas céntranse na seguridade: diminúe o custo do ataque? Moita xente tamén articula preocupacións sociolóxicas: centralización do poder, concentración da riqueza, plutocracia, etc.
Neste artigo, articulo unha crítica moito máis básica: a proba de participación é inherentemente subxectiva. A vista correcta dunha cadea de bloques de proba de participación depende de a quen lle esteas preguntando. Como resultado, o custo dun ataque non se pode calcular en unidades internas á cadea de bloques, facendo que as análises de seguridade se anulen; as débedas non se poden liquidar entre partes que aínda non se poñan de acordo en cales son terceiros de confianza; e a resolución final dos conflitos debe vir dos tribunais.
Pola contra, a proba de traballo é un mecanismo de consenso obxectivo no que calquera conxunto de partes relacionadas ou non relacionadas pode chegar a un acordo sobre o estado da cadea de bloques que é preciso. Como resultado, dous actores económicos calquera poden poñerse de acordo sobre se se realizou un pago, independentemente dos tribunais ou dos membros influentes da comunidade. Esta distinción fai que a proba de traballo sexa axeitada, e a proba de participación inadecuada, como mecanismo de consenso para as moedas dixitais.
Diñeiro dixital e consenso
O problema que hai que resolver
Unha das operacións máis básicas que realizan os ordenadores é a copia de información. Esta operación deixa intacta a copia orixinal e produce unha réplica exacta sen ningún custo. Os ordenadores poden copiar case calquera cousa, sempre que sexa dixital.
Non obstante, hai algunhas cousas que existen puramente no ámbito dixital que non se poden copiar. Cousas que son tanto dixitais como escasas. Esta descrición aplícase a bitcoin por exemplo, así como a outros activos dixitais baseados en blockchain. Pódense enviar, pero despois de envialos a copia orixinal desapareceu. Pódese estar en desacordo co motivo polo que o mercado demanda estes activos, pero o feito de que exista esta demanda significa que estes activos dixitais son útiles como contrapartida para equilibrar os intercambios. Cando se condensa nunha soa palabra: son cartos.
Para lograr a escaseza dixital, o protocolo blockchain replica un libro maior nunha rede. O libro maior pódese actualizar, pero só con transaccións nas que os propietarios dos fondos gastados estean de acordo; a suma neta é cero; e as saídas son positivas.
Rexeitarase calquera actualización non válida. Mentres haxa consenso sobre o estado do libro maior entre todos os participantes no protocolo, a escaseza dixital está garantida.
Resulta que acadar o consenso é unha tarefa difícil. As condicións imperfectas da rede xeran visións distintas da historia. Os paquetes caen ou entréganse fóra de orde. O desacordo é endémico das redes.
A regra da elección de garfo
As cadeas de bloques abordan este problema de dúas formas. En primeiro lugar, aplican unha ordenación completa en todas as transaccións, o que xera unha árbore de visións alternativas da historia. En segundo lugar, definen o canon para as historias, xunto cunha regra de elección de garfo que selecciona a rama canónica da árbore das historias.
É doado derivar a canonicidade de autoridades de confianza ou, segundo algúns, dun esquema de voto dixital apoiado por un esquema de identidade cidadá. Non obstante, as autoridades de confianza son buratos de seguridade, e confiar no goberno para proporcionar servizos de identificación de confianza convértese nunha ferramenta da política máis que nunha independente dela. Ademais, ambas as solucións supoñen un acordo sobre as identidades e a fiabilidade de terceiros. Queremos reducir os supostos de confianza; idealmente temos unha solución que deriva enteiramente das matemáticas.
Unha solución para decidir a canonicidade que deriva enteiramente das matemáticas xera a notable propiedade de que a resposta é independente de quen a calcula. Este é o sentido no que un mecanismo de consenso é capaz de ser obxectivo. Non obstante, hai unha advertencia importante: hai que supoñer que todas as partes están de acordo nun punto de referencia singular, como o bloque de xénese ou o seu resumo de hash. Un mecanismo de consenso obxectivo é aquel que permite a calquera partido extrapolar a visión canónica da historia desde este punto de referencia.
Que rama da árbore se selecciona para ser canónica non é importante; o importante é que todos os participantes poidan poñerse de acordo nesta elección. Ademais, a árbore enteira non necesita ser representada explícitamente en ningún ordenador. Pola contra, abonda con que cada nodo conteña só un puñado de ramas. Neste caso, a regra de elección de garfo só proba dúas visións candidatas da historia á vez. En rigor, a frase a visión canónica da historia é enganosa: unha visión da historia só pode ser máis ou menos canónica en relación con outra visión. Os nodos deixan caer a rama menos canónica e propagan a que é máis. Sempre que se amplía unha vista do historial cun lote de novas transaccións, a nova vista é máis canónica que a antiga.
Para que a rede converxa rapidamente no consenso sobre a visión canónica da historia, a regra de elección de garfo debe satisfacer dúas propiedades. En primeiro lugar, debe estar ben definido e avaliable de forma eficiente para as visións da historia de dúas parellas. En segundo lugar, debe ser transitivo para calquera triplo de visións da historia. Para os matematicamente inclinados: sexan U,V,W calquera tres puntos de vista da historia e que o infixo “<” denote a regra de elección de garfo que favorece o lado dereito sobre o esquerdo.
Entón [Dúas condicións son válidas]:
U<V∧V<W⇒U<W
Para que o libro maior poida acomodar actualizacións, as vistas do historial deben poder ampliarse dun xeito compatible coa regra de elección de fork. Polo tanto, son necesarias dúas propiedades máis. En primeiro lugar, cando se avalía en dúas vistas onde unha é unha extensión da outra, a regra de elección de garfo sempre debe favorecer a vista estendida. En segundo lugar, é máis probable que as extensións dunha visión (anteriormente) canónica sexan canónicas que as extensións das visións non canónicas. Simbólicamente, deixe que "E" denote unha extensión e "‖" a operación que a aplica. Entón:
U0.5A última propiedade incentiva aos extensores honestos a centrarse en ampliar as opinións canónicas en oposición ás opinións que saben que non son canónicas. Como resultado deste incentivo, as distintas visións da historia que xorden de extensións honestas pero contraditorias tenden a diferir simultáneamente só nos seus consellos, no que se refire aos acontecementos recentes. Canto máis atrás se rexistre un suceso, menos probable é que se vexa anulado pola reorganización imposta por outra visión da historia, máis canónica, que diverxe nun punto anterior. Desde esta perspectiva a visión canónica da historia está ben definida en canto ao límite de visións da historia ao que conflúe a rede.
A descualificación obvia do parágrafo anterior é a necesidade de que os extensores se comporten con honestidade. E os extensores deshonestos? Se o adversario pode controlar a variable aleatoria implícita na expresión de probabilidade, entón pode deseñala ao seu favor e lanzar reorganizacións profundas con alta probabilidade de éxito. Aínda que non poida controlar a variable aleatoria, pero pode producir extensións candidatas de forma barata, entón pode avaliar a regra de elección de bifurcación local e indefinidamente ata que atope un punto de diverxencia inicial xunto cunha extensión que xere unha regra máis canónica. rama que calquera que circule.
A peza que falta do crebacabezas non é un mecanismo que impida extensións deshonestas. Nun ambiente de condicións de rede imperfectas, é imposible delimitar un comportamento deshonesto. Un atacante sempre pode ignorar as mensaxes que non son do seu gusto, ou atrasar a súa propagación e afirmar que a culpa é a conexión á rede. Pola contra, a peza que falta do crebacabezas é un mecanismo que fai que as reorganizacións profundas sexan máis caras que as pouco profundas, e máis caras canto máis se afondan.
Proba de traballo acumulada
O mecanismo de consenso de Satoshi Nakamoto consegue precisamente isto. Para propoñer un novo lote de transaccións (chamados bloques) e así estender algunha rama, os posibles extensores (chamados mineiros) deben resolver primeiro un crebacabezas computacional. Este crebacabezas é caro de resolver pero fácil de verificar, polo que recibe o nome de proba de traballo. Só coa solución a este enigma é o novo lote de transaccións (e o historial ao que se compromete) un candidato válido para o canon. O quebracabezas inclúe un botón para axustar a súa dificultade, que se xira automaticamente para regularizar o tempo previsto antes de atopar unha nova solución, independentemente do número de participantes ou dos recursos que dediquen ao problema. Este botón ten unha función secundaria como un indicador imparcial do esforzo de resolución de crebacabezas nunha unidade que mide a dificultade.
O proceso está aberto á participación de calquera persoa. O factor limitante non é a autoridade nin o material de clave criptográfica nin os requisitos de hardware, senón que o factor limitante son os recursos que un está disposto a gastar para ter a oportunidade de atopar un bloque válido. A natureza probabilística e paralela do crebacabezas recompensa ao mineiro rendible que maximiza o número de cálculos por joule, incluso a costa dun menor número de cálculos por segundo.
Dado o parámetro de dificultade obxectivo (o botón) para cada bloque, é fácil calcular unha estimación imparcial da cantidade total de traballo que representa unha determinada rama da historia. A proba de traballo, regra de elección de garfo favorece a rama onde este número é maior.
Os mineiros corren uns contra outros para atopar o seguinte bloque. Gaña o primeiro mineiro que o atope e propague con éxito. Asumindo que os mineiros non están sentados en bloques novos válidos pero non propagados, cando reciben un novo bloque de mineiros competidores, adóptano como o novo xefe da rama canónica da historia porque non facelo os sitúa en desvantaxe. Construír sobre un bloque que se sabe que é antigo é irracional porque o mineiro ten que poñerse ao día co resto da rede e atopar dous novos bloques para ter éxito, unha tarefa que é, en media, o dobre que cambiando á nova rama máis longa e ampliando esa. Nunha cadea de bloques de proba de traballo, as reorganizacións tenden a estar illadas ata a punta da árbore da historia non porque os mineiros sexan honestos, senón porque o custo de xerar reorganizacións crece coa profundidade da reorganización. Caso concreto: segundo isto resposta de intercambio de pila, excluíndo as bifurcacións seguintes ás actualizacións de software, a bifurcación máis longa do Bitcoin blockchain tiña unha lonxitude de 4, ou 0.0023% da altura do bloque nese momento.
A "Solución" de Proof-of-Stake
Proof-of-stake é unha alternativa proposta á proba de traballo na que a visión correcta da historia non se define en termos da maior cantidade de traballo gastado na resolución de crebacabezas criptográficos, senón que se define en termos de claves públicas de nodos chamados validadores. En concreto, os validadores asinan novos bloques. Un nodo participante verifica a vista correcta do historial verificando as sinaturas dos bloques constituíntes.
O nodo non ten os medios para distinguir as visións válidas da historia das non válidas. A cuestión é que un bloque competidor só é un serio aspirante á punta da visión correcta da historia se ten unha sinatura de apoio (ou moitas sinaturas de apoio). É improbable que os validadores asinen bloques alternativos porque esa sinatura demostraría o seu comportamento malicioso e provocaría a perda da súa participación.
O proceso está aberto ao público. Calquera persoa pode converterse en validador poñendo unha determinada cantidade de criptomoeda nunha conta especial de garantía. Este diñeiro en garantía é a "partida" que se reduce se o validador se porta mal. Os nodos verifican que as sinaturas dos novos bloques coincidan coas claves públicas proporcionadas polos validadores cando poñen as súas apostas en custodia.
Formalmente, nas cadeas de bloques de proba de participación, a definición da visión correcta da historia é totalmente recursiva. Os novos bloques só son válidos se conteñen as sinaturas correctas. As sinaturas son válidas respecto das claves públicas dos validadores. Estas chaves públicas están determinadas por bloques antigos. A regra de elección de garfo non está definida para visións competidoras da historia, sempre que ambas as dúas visións sexan coherentes.
Pola contra, a visión correcta do historial nas cadeas de bloques de proba de traballo tamén se define de forma recursiva, pero non excluíndo as entradas externas. En concreto, a regra de elección de garfo na proba de traballo tamén depende da aleatoriedade cuxa imparcialidade é obxectivamente verificable.
Esta entrada externa é a diferenza fundamental. Na proba de traballo, a regra de elección de garfo defínese para calquera par de visións diferentes da historia en competencia, polo que é posible falar de canon en primeiro lugar. En proof-of-stake, só é posible definir a corrección en relación a un historial anterior.
A proba de participación é subvertible
Non importa? En teoría, para que se produzan dúas visións da historia consistentes pero mutuamente incompatibles, nalgún lugar alguén debe ser deshonesto, e se se comportou de forma deshonesta, é posible descubrir onde, demostralo e recortar a súa aposta. Dado que o validador establecido nese primeiro punto de diverxencia non está en disputa, é posible recuperar a partir de aí.
O problema con este argumento é que non ten en conta o tempo. Se un validador de hai dez anos asina dobre bloques en conflito mutuo, é dicir, publica unha contrapartida contraditoria recentemente asinada ao bloque que se confirmou hai dez anos, entón o historial terá que ser reescrito a partir dese momento. A aposta do validador malicioso está reducida. As transaccións que gastan as recompensas de aposta agora non son válidas, así como as transaccións posteriores desde alí. Tendo tempo suficiente, as recompensas do validador poden chegar a unha gran parte da economía blockchain. Un destinatario de moedas non pode estar seguro de que todas as dependencias seguirán sendo válidas no futuro. Non hai finalidade porque non é máis difícil nin custoso reorganizar o pasado afastado que o pasado próximo.
A proba de participación é subxectiva
A única forma de solucionar este problema é restrinxir a profundidade á que se admiten as reorganizacións. Os puntos de vista conflitivos da historia cuxo primeiro punto de diverxencia é máis antigo que unha determinada idade limiar son ignorados. Os nós que se presentan con outra vista cuxo primeiro punto de diverxencia é máis antigo, rexéitao sen probar cal é o correcto. Mentres algúns nodos estean activos nun momento dado, a continuidade está garantida. Só hai unha forma en que a cadea de bloques pode evolucionar se se prohíben as reorganizacións demasiado profundas.
Esta solución fai da proba de xogo un mecanismo de consenso subxectivo. A resposta á pregunta "cal é o estado actual da cadea de bloques?" depende de quen lle preguntes. Non é obxectivamente verificable. Un atacante pode producir unha visión alternativa da historia que sexa tan coherente como a correcta. A única forma en que un nodo pode saber cal é a vista correcta é seleccionando un conxunto de pares e tomando a palabra.
Pódese argumentar que este hipotético ataque non é relevante se o custo de producir esta visión alternativa da historia é demasiado grande. Aínda que ese contraargumento pode ser certo, o custo é unha métrica obxectiva, polo que se é verdade depende de factores externos que non están representados na cadea de bloques. Por exemplo, o atacante pode perder toda a súa participación nunha visión da historia, pero non lle importa porque pode garantir por medios legais ou sociais que a visión alternativa será aceptada. Calquera análise de seguridade ou custo de cálculo do ataque que se centre no que acontece na cadea de bloques, e non teña en conta o mundo obxectivo no que vive, é fundamentalmente defectuoso.
Interno dunha criptomoeda de proba de participación é que non só o custo é subxectivo, senón que tamén o é a recompensa. Por que un atacante desplegaría o seu ataque se o resultado final non é un pago determinado mecánicamente polo seu enxeño, senón unha emisión do equipo oficial de desenvolvedores da criptomoeda explicando por que elixiron a outra rama? Pode haber pagos externos, por exemplo, de opcións financeiras que esperan que o prezo caia ou pola pura alegría de causar caos, pero a cuestión é que a baixa probabilidade de pagos internos socava o argumento de que a capitalización de mercado das probas de as criptomoedas de aposta constitúen unha recompensa de ataque eficaz.
Diñeiro E Obxectividade
O diñeiro é, en esencia, o obxecto co que se salda unha débeda. Para liquidar a débeda de forma efectiva esixe consenso entre as partes do intercambio, en particular, a moeda e a cantidade de diñeiro. Unha disputa levará á perpetuación das reclamacións pendentes e á negativa a repetir negocios en condicións iguais ou similares.
A liquidación efectiva da débeda non require que todo o mundo estea de acordo sobre o tipo específico de diñeiro. Polo tanto, un diñeiro subxectivo pode ser útil nos petos da economía mundial onde pasa a haber consenso. Non obstante, para salvar a brecha entre dous petos de microeconomías ou, en xeral, entre dúas persoas calquera do mundo, é necesario un consenso global. Un mecanismo de consenso obxectivo conségueo; un subxectivo non.
As criptomoedas de proba de participación non poden proporcionar unha nova base para a columna vertebral financeira do mundo. O mundo está formado por estados que non se recoñecen os tribunais dos outros. Se xorde unha disputa sobre a visión correcta da historia, o único recurso é a guerra.
As fundacións que desenvolven e apoian as cadeas de bloques de proba de participación, así como os desenvolvedores autónomos que traballan para eles, e mesmo os influenciadores que non escriben código, expóñense á responsabilidade legal por seleccionar arbitrariamente unha visión desfavorable da historia (para o demandante). Que ocorre cando un intercambio de criptomoeda permite unha gran retirada posterior dun depósito nunha criptomoeda de proba de participación cuxa transacción aparece só nunha rama de dúas visións da historia en competencia? O intercambio pode seleccionar a vista que beneficia o seu resultado final, pero se o resto da comunidade, motivado polas sinaturas de PGP e os chíos e as publicacións de medios das fundacións, desenvolvedores e influencers, selecciona a vista alternativa, entón o intercambio queda en pé. factura. Teñen todos os incentivos e responsabilidade fiduciaria para recuperar as súas perdas das persoas responsables delas.
Ao final, un tribunal ditará unha sentenza sobre cal é a visión da historia a correcta.
Conclusión
Os defensores do proof-of-stake afirman que serve para o mesmo propósito que proof-of-work, pero sen todo o desperdicio enerxético. Con demasiada frecuencia, o seu apoio ignora os compromisos presentes en calquera dilema de enxeñería. Si, a proba de participación elimina o gasto enerxético, pero esta eliminación sacrifica a obxectividade do mecanismo de consenso resultante. Iso está ben para situacións nas que só abondan os petos de consenso local, pero este contexto suscita a pregunta: para que serve eliminar a autoridade de confianza? Para unha columna vertebral financeira global, é necesario un mecanismo obxectivo.
A natureza autorreferencial da proba de xogo fai que sexa inherentemente subxectiva: que visión da historia é correcta depende de a quen lle preguntes. A pregunta "é segura a proba de participación?" tenta reducir a análise a unha medida obxectiva do custo que non existe. A curto prazo, que garfo é correcto depende de que garfo sexa popular entre os membros influentes da comunidade. A longo prazo, os tribunais asumirán o poder de decidir que bifurcación é correcta, e os focos de consenso local coincidirán coas fronteiras que marcan o final da xurisdición dun tribunal e o comezo do seguinte.
A enerxía que gastan os mineiros nas cadeas de bloques de proba de traballo non se desperdicia máis do que se desperdicia o gasóleo alimentando coches. En vez diso, cámbiase por aleatoriedade non sesgada e verificable criptográficamente. Non sabemos xerar un mecanismo de consenso obxectivo sen este ingrediente clave.
Esta é unha publicación de invitado de Alan Szepieniec. As opinións expresadas son totalmente propias e non necesariamente reflicten as de BTC Inc. ou Bitcoin Revista.
Orixe orixinal: Bitcoin Revista