By Bitcoin Magasin - 1 år siden - Lesetid: 14 minutter
Proof-of-Work er objektivt, Proof-of-Stake er ikke
Konsensusmekanismen for bevis på arbeid som brukes i Bitcoin er et objektivt mål på historien som ikke kan endres etter validatorers innfall.
Alan Szepieniec har en doktorgrad i post-kvantekryptografi fra KU Leuven. Forskningen hans fokuserer på kryptografi, spesielt den typen kryptografi som er nyttig for Bitcoin.
Proof-of-stake er en foreslått alternativ konsensusmekanisme til bevis-på-arbeid som Bitcoinsin konsensusmekanisme bruker. I stedet for å kreve forbruk av energi, krever proof-of-stake at gruvearbeidere (vanligvis kalt validatorer) setter digitale eiendeler på spill for å bidra til blokkproduksjonsprosessen. Innsats motiverer dem til å oppføre seg ærlig, for å unngå å miste innsatsen. I teorien, med bare ærlige validatorer, vil nettverket raskt komme til konsensus om rekkefølgen av transaksjoner og derfor om hvilke transaksjoner som er ugyldige dobbeltutgifter.
Proof-of-stake har vært gjenstand for mye debatt. Mest kritikk fokuserer på sikkerhet: Reduserer det kostnadene ved angrep? Mange mennesker artikulerer også sosiologiske bekymringer: sentralisering av makt, konsentrasjon av rikdom, plutokrati, etc.
I denne artikkelen artikulerer jeg en mye mer grunnleggende kritikk: Proof-of-stake er iboende subjektiv. Den riktige visningen av en proof-of-stake blokkjede avhenger av hvem du spør. Som et resultat kan kostnaden for et angrep ikke beregnes i enheter internt i blokkjeden, noe som gjør sikkerhetsanalyser ugyldige; gjeld kan ikke gjøres opp mellom parter som ikke allerede er enige om hvilke tredjeparter som er pålitelige; og den endelige løsningen av tvister må komme fra domstolene.
I motsetning til dette er proof-of-work en objektiv konsensusmekanisme der ethvert sett av relaterte eller ikke-relaterte parter kan komme til enighet om hvilken tilstand av blokkjeden som er nøyaktig. Som et resultat kan to økonomiske aktører bli enige om hvorvidt en betaling er utført, uavhengig av domstoler eller innflytelsesrike samfunnsmedlemmer. Denne forskjellen gjør bevis-på-arbeid egnet – og bevis-på-innsats uegnet – som en konsensusmekanisme for digitale valutaer.
Digitale penger og konsensus
Problemet som må løses
En av de mest grunnleggende operasjonene som datamaskiner utfører, er å kopiere informasjon. Denne operasjonen lar originalkopien være intakt og produserer en eksakt kopi uten kostnad. Datamaskiner kan kopiere omtrent hva som helst, så lenge det er digitalt.
Imidlertid er det noen ting som eksisterer rent i det digitale riket som ikke kan kopieres. Ting som er både digitale og knappe. Denne beskrivelsen gjelder bitcoin for eksempel, samt til andre blokkjedebaserte digitale eiendeler. De kan sendes, men etter å ha sendt dem er originalkopien borte. Man kan være uenig i grunnen til at markedet etterspør disse eiendelene, men det faktum at denne etterspørselen eksisterer betyr at disse digitale eiendelene er nyttige som motstykke til balansebørser. Sammenfattet til et enkelt ord: de er penger.
For å oppnå digital knapphet, replikerer blokkjedeprotokollen en hovedbok over et nettverk. Hovedboken kan oppdateres, men kun med transaksjoner der eierne av de brukte midlene er enige; nettosummen er null; og utgangene er positive.
Enhver ugyldig oppdatering vil bli avvist. Så lenge det er konsensus om statusen til hovedboken blant alle deltakerne i protokollen, er digital knapphet garantert.
Det viser seg at det er en vanskelig oppgave å oppnå konsensus. Ufullkomne nettverksforhold genererer distinkte visninger av historien. Pakker droppes eller leveres ute av drift. Uenighet er endemisk for nettverk.
Fork-Choice-regelen
Blokkjeder løser dette problemet på to måter. For det første håndhever de en fullstendig bestilling på alle transaksjoner, noe som genererer et tre med alternative syn på historien. For det andre definerer de kanon for historier, sammen med en gaffelvalgsregel som velger den kanoniske grenen fra historietreet.
Det er lett å utlede kanonitet fra pålitelige myndigheter eller, ifølge noen, fra en digital stemmeordning støttet av en borgeridentitetsordning. Det er imidlertid pålitelige myndigheter sikkerhetshull, og å stole på myndighetene for å tilby pålitelige identifiseringstjenester blir et verktøy for politikk i stedet for et som er uavhengig av det. Dessuten forutsetter begge løsningene enighet om identiteten og påliteligheten til tredjeparter. Vi ønsker å redusere tillitsforutsetninger; ideelt sett har vi en løsning som kommer helt fra matematikk.
En løsning for å bestemme kanonisitet som stammer helt fra matematikk genererer den bemerkelsesverdige egenskapen at svaret er uavhengig av hvem som beregner det. Dette er den forstand som en konsensusmekanisme er i stand til å være objektiv. Det er imidlertid ett viktig forbehold: man må anta at alle parter er enige om et enkelt referansepunkt, for eksempel genese-blokken eller hash-fordøyelsen. En objektiv konsensusmekanisme er en som gjør det mulig for enhver part å ekstrapolere det kanoniske synet på historien fra dette referansepunktet.
Hvilken gren av treet som er valgt til å være kanonisk er ikke viktig; det som er viktig er at alle deltakerne kan bli enige om dette valget. Dessuten trenger ikke hele treet være representert eksplisitt på en datamaskin. I stedet er det nok for hver node å holde bare en håndfull grener. I dette tilfellet tester gaffelvalgsregelen bare to kandidatsyn på historien til enhver tid. Strengt tatt er setningen det kanoniske historiesynet misvisende: Et historiesyn kan bare være mer eller mindre kanonisk i forhold til et annet syn. Noder dropper den grenen som er mindre kanonisk og forplanter den som er mer. Når en historievisning utvides med en gruppe nye transaksjoner, er den nye visningen mer kanonisk enn den gamle.
For at nettverket raskt skal konvergere til konsensus om det kanoniske synet på historien, må gaffelvalgsregelen tilfredsstille to egenskaper. For det første må den være veldefinert og effektivt evaluerbar for alle to pars historiesyn. For det andre må den være transitiv for enhver trippel av historiesyn. For de matematisk tilbøyelige: la U,V,W være tre visninger av historien, og la infikset «<» betegne gaffelvalgsregelen som favoriserer høyre side fremfor venstre.
Deretter gjelder [to betingelser]:
U
For at hovedboken skal ta imot oppdateringer, må visninger av historien kunne utvides på en måte som er kompatibel med gaffelvalgsregelen. Derfor kreves det ytterligere to eiendommer. For det første, når den evalueres på to visninger der den ene er en forlengelse av den andre, må gaffelvalgsregelen alltid favorisere den utvidede visningen. For det andre er det mer sannsynlig at utvidelser av et (tidligere) kanonisk syn er kanoniske enn utvidelser av ikke-kanoniske synspunkter. Symbolsk sett, la "E" betegne en utvidelse og "‖" operasjonen som bruker den. Deretter:
U 0.5Den siste egenskapen oppmuntrer ærlige utvidere til å fokusere på å utvide kanoniske synspunkter i motsetning til synspunkter som de vet ikke er kanoniske. Som et resultat av dette insentivet, har distinkte historiesyn som oppstår fra ærlige, men motstridende utvidelser, en tendens til å avvike bare i tipsene når det gjelder nylige hendelser. Jo lenger tilbake en hendelse logges, desto mindre sannsynlig er det at den vil bli veltet av omorganiseringen som er pålagt av et annet, mer kanonisk, historiesyn som divergerer på et tidligere tidspunkt. Fra dette perspektivet er det kanoniske historiesynet veldefinert når det gjelder grensen for historiesyn som nettverket konvergerer til.
Den åpenbare diskvalifisereren i forrige avsnitt er behovet for at forlengere oppfører seg ærlig. Hva med uærlige forlengere? Hvis motstanderen kan kontrollere den tilfeldige variabelen som er implisitt i sannsynlighetsuttrykket, kan han konstruere det til sin fordel og starte dype omorganiseringer med høy sannsynlighet for suksess. Selv om han ikke kan kontrollere den tilfeldige variabelen, men kan produsere kandidat-utvidelser billig, så kan han evaluere gaffelvalgsregelen lokalt og på ubestemt tid til han finner et tidlig punkt for divergens sammen med en utvidelse som tilfeldigvis genererer en mer kanonisk gren enn noen som sirkulerer.
Den manglende brikken i puslespillet er ikke en mekanisme som forhindrer uærlige forlengelser. I et miljø med ufullkomne nettverksforhold er det umulig å avgrense uærlig oppførsel. En angriper kan alltid ignorere meldinger som ikke faller i smak, eller forsinke deres utbredelse og hevde at nettverkstilkoblingen har skylden. I stedet er den manglende brikken i puslespillet en mekanisme som gjør dype omorganiseringer dyrere enn grunne, og dyrere jo dypere de går.
Kumulativt bevis-på-arbeid
Satoshi Nakamotos konsensusmekanisme oppnår nettopp dette. For å foreslå en ny gruppe med transaksjoner (kalt blokker), og dermed utvide en gren, må potensielle utvidere (kalt gruvearbeidere) først løse et beregningspuslespill. Dette puslespillet er dyrt å løse, men lett å verifisere, og heter derfor det passende navnet proof-of-work. Bare med løsningen på dette puslespillet er den nye batchen med transaksjoner (og historien den forplikter seg til) en gyldig kandidat for canon. Puslespillet kommer med en knott for å justere vanskelighetsgraden, som dreies automatisk for å regulere den forventede tiden før en ny løsning blir funnet, uavhengig av antall deltakere eller ressursene de bruker på problemet. Denne knappen har en sekundær funksjon som en objektiv indikator på puslespillløsning i en enhet som måler vanskelighetsgrad.
Prosessen er åpen for alles deltakelse. Den begrensende faktoren er ikke autoritet eller kryptografisk nøkkelmateriale eller maskinvarekrav, snarere er den begrensende faktoren ressursene man er villig til å bruke for å ha en sjanse til å finne en gyldig blokk. Den sannsynlige og parallelle naturen til puslespillet belønner den kostnadseffektive gruvearbeideren som maksimerer antallet beregninger per joule, selv på bekostning av et lavere antall beregninger per sekund.
Gitt målvanskelighetsparameteren (knotten) for hver blokk, er det enkelt å beregne et objektivt estimat av den totale mengden arbeid som en gitt gren av historien representerer. Regelen om arbeidsbevis, gaffelvalg favoriserer grenen der dette tallet er større.
Gruvearbeidere raser mot hverandre for å finne neste blokk. Den første gruvearbeideren som finner den og lykkes med å spre den, vinner. Forutsatt at gruvearbeidere ikke sitter på gyldige, men ikke-utbredte nye blokker, når de mottar en ny blokk fra konkurrerende gruvearbeidere, adopterer de den som den nye lederen av historiens kanoniske gren, fordi å ikke gjøre det setter dem i en ulempe. Å bygge på toppen av en blokk som er kjent for å være gammel er irrasjonelt fordi gruvearbeideren må hamle opp med resten av nettverket og finne to nye blokker for å lykkes – en oppgave som i gjennomsnitt er dobbelt så vanskelig som bytte til den nye, lengre grenen og utvide den. I en proof-of-work blokkjede har omorganiseringer en tendens til å være isolert til toppen av historiens tre, ikke fordi gruvearbeidere er ærlige, men fordi kostnadene ved å generere omorganiseringer vokser med dybden av omorganiseringen. Eksempel: i følge dette stack exchange svar, unntatt gafler etter programvareoppdateringer, den lengste gaffelen på Bitcoin blockchain hadde lengde 4, eller 0.0023% av blokkhøyden på den tiden.
Proof-of-stakes "løsning"
Proof-of-stake er et foreslått alternativ til proof-of-work der det riktige synet på historien ikke er definert i form av den største mengden arbeid brukt på å løse kryptografiske gåter, men snarere definert i form av offentlige nøkler til spesielle noder kalt validatorer. Spesielt signerer validatorer nye blokker. En deltakende node verifiserer riktig syn på historien ved å verifisere signaturene på de konstituerende blokkene.
Noden har ikke midler til å skille gyldige historiesyn fra ugyldige. Poenget er at en konkurrerende blokk kun er en seriøs utfordrer til toppen av det riktige synet på historien hvis den har en støttesignatur (eller mange støttende signaturer). Validatorene vil neppe signere alternative blokkeringer fordi den signaturen vil bevise deres ondsinnede oppførsel og resultere i tap av innsats.
Prosessen er åpen for publikum. Hvem som helst kan bli validator ved å sette en viss mengde kryptovaluta på en spesiell sperret konto. Disse deponerte pengene er "innsatsen" som kuttes hvis validatoren oppfører seg dårlig. Noder bekrefter at signaturene på nye blokker samsvarer med de offentlige nøklene som leveres av validatorer når de legger innsatsen sin i deponering.
Formelt, i proof-of-stake blokkjeder, er definisjonen av riktig syn på historien helt rekursiv. Nye blokker er kun gyldige hvis de inneholder de riktige signaturene. Signaturene er gyldige med hensyn til de offentlige nøklene til validatorene. Disse offentlige nøklene bestemmes av gamle blokker. Fork-choice-regelen er ikke definert for konkurrerende historiesyn, så lenge begge synspunktene er selvkonsistente.
I motsetning til dette er det riktige synet på historien i proof-of-work blokkjeder også definert rekursivt, men ikke med unntak av eksterne input. Spesifikt er gaffelvalgsregelen i bevis-på-arbeid også avhengig av tilfeldighet hvis upartiskhet er objektivt verifiserbar.
Denne eksterne inngangen er nøkkelforskjellen. I proof-of-work er gaffelvalgsregelen definert for ethvert par forskjellige konkurrerende historiesyn, og det er derfor det er mulig å snakke om kanon i utgangspunktet. I proof-of-stake er det bare mulig å definere korrekthet i forhold til en tidligere historie.
Proof-Of-Stake er subvertible
Betyr det uansett? I teorien, for at to konsekvente, men gjensidig uforenlige historiesyn skal produseres, må noen ha vært uærlige et sted, og hvis de oppførte seg uærlig, er det mulig å finne ut hvor, bevise det og kutte innsatsen. Siden validatoren satt på det første divergenspunktet ikke er omstridt, er det mulig å komme seg derfra.
Problemet med dette argumentet er at det ikke tar tid i betraktning. Hvis en validator fra ti år siden dobbelttegner gjensidig motstridende blokker – det vil si publiserer en nylig signert motstridende motpart til blokken som ble bekreftet for ti år siden – så må historien skrives om fra det tidspunktet og utover. Den ondsinnede validatorens innsats kuttes. Transaksjoner som bruker innsatsbelønningene er nå ugyldige, det samme er transaksjoner nedstrøms derfra. Gitt nok tid, kan validatorens belønninger perkolere til en stor del av blokkjedeøkonomien. En mottaker av mynter kan ikke være sikker på at alle avhengigheter vil forbli gyldige i fremtiden. Det er ingen fasit fordi det ikke er vanskeligere eller mer kostbart å omorganisere den fjerne fortiden enn den nære fortiden.
Proof-of-stake er subjektivt
Den eneste måten å løse dette problemet på er å begrense dybden der omorganiseringer er innrømmet. Motstridende historiesyn hvis første divergenspunkt er eldre enn en viss terskelalder blir ignorert. Noder som presenteres med et annet syn hvis første divergenspunkt er eldre, avviser det uten å teste hva som er riktig. Så lenge noen noder er aktive til enhver tid, er kontinuitet garantert. Det er bare én måte blokkjeden kan utvikle seg på hvis for dype omorganiseringer sperres.
Denne løsningen gjør proof-of-stake til en subjektiv konsensusmekanisme. Svaret på spørsmålet "hva er den nåværende tilstanden til blokkjeden?" kommer an på hvem du spør. Det er ikke objektivt etterprøvbart. En angriper kan produsere et alternativt syn på historien som er like selvkonsistent som det riktige. Den eneste måten en node kan vite hvilken visning som er riktig, er ved å velge et sett med jevnaldrende og ta deres ord for det.
Det kan hevdes at dette hypotetiske angrepet ikke er relevant dersom kostnadene ved å produsere dette alternative historiesynet er for store. Selv om det motargumentet kan være sant, er kostnad en objektiv beregning, og om det er sant avhenger av eksterne faktorer som ikke er representert i blokkjeden. For eksempel kan angriperen miste hele sin eierandel i ett syn på historien, men bryr seg ikke fordi han kan garantere gjennom juridiske eller sosiale midler at det alternative synet vil bli akseptert. Enhver sikkerhetsanalyse eller beregning av angrepskostnad som fokuserer på hva som skjer på "den" blokkjeden, og ikke tar hensyn til den objektive verdenen den lever i, er fundamentalt feil.
Internt i en proof-of-stake kryptovaluta er at ikke bare kostnaden er subjektiv, men det er også belønningen. Hvorfor skulle en angriper implementere angrepet sitt hvis sluttresultatet ikke er en utbetaling mekanisk bestemt av hans oppfinnsomhet, men en sending fra kryptovalutaens offisielle team av utviklere som forklarer hvorfor de har valgt til fordel for den andre grenen? Det kan være eksterne utbetalinger – for eksempel fra finansielle alternativer som forventer at prisen skal falle eller fra ren glede over å forårsake kaos – men poenget er at den lave sannsynligheten for interne utbetalinger undergraver argumentet om at markedsverdien av eksisterende bevis på- innsats kryptovalutaer utgjør en effektiv angrepspremie.
Penger og objektivitet
Penger er i hovedsak objektet som en gjeld gjøres opp med. Å gjøre opp gjeld krever effektivt konsensus mellom partene i børsen - spesielt valutaen og pengebeløpet. En tvist vil føre til videreføring av utestående krav og avslag på å gjøre gjentatte forretninger på like eller lignende vilkår.
Effektiv gjeldsordning krever ikke at hele verden er enige om den spesifikke typen penger. Derfor kan en subjektiv penger være nyttig i lommer av verdensøkonomien der det tilfeldigvis er konsensus. Men for å bygge bro mellom to lommer av mikroøkonomier, eller mer generelt mellom to personer i verden, kreves global konsensus. En objektiv konsensusmekanisme oppnår det; en subjektiv gjør det ikke.
Proof-of-stake kryptovalutaer kan ikke gi et nytt grunnlag for verdens finansielle ryggrad. Verden består av stater som ikke anerkjenner hverandres domstoler. Hvis det oppstår en tvist om det riktige synet på historien, er den eneste utveien krig.
Stiftelser som utvikler og støtter proof-of-stake blokkjeder, så vel som frilansutviklere som jobber for dem – og til og med influencere som ikke skriver kode – utsetter seg selv for juridisk ansvar for vilkårlig å velge et ugunstig syn på historien (for saksøkeren). Hva skjer når en kryptovalutautveksling muliggjør et stort uttak nedstrøms fra et innskudd i en proof-of-stake kryptovaluta hvis transaksjon vises i bare én gren av to konkurrerende historiesyn? Utvekslingen kan velge det synspunktet som er til fordel for deres bunnlinje, men hvis resten av fellesskapet – bedt om av PGP-signaturene og tweets og Medium-innlegg fra stiftelsene, utviklerne og påvirkerne – velger det alternative synet, vil utvekslingen stå igjen. regning. De har alle insentiv og tillitsansvar for å gjenopprette tapene sine fra personene som er ansvarlige for dem.
Til slutt vil en domstol avsi kjennelse om hvilket historiesyn som er det riktige.
konklusjonen
Tilhengere av proof-of-stake hevder at det tjener samme formål som proof-of-work, men uten all energisløsing. Altfor ofte ignorerer deres støtte avveiningene som finnes i ethvert ingeniørdilemma. Ja, proof-of-stake eliminerer energiforbruket, men denne elimineringen ofrer objektiviteten til den resulterende konsensusmekanismen. Det er greit for situasjoner der bare lommer med lokal konsensus er tilstrekkelig, men denne konteksten reiser spørsmålet: Hva er vitsen med å eliminere den betrodde myndigheten? For en global finansiell ryggrad er en objektiv mekanisme nødvendig.
Den selvrefererende naturen til bevis-av-innsats gjør det iboende subjektivt: Hvilket historiesyn som er riktig avhenger av hvem du spør. Spørsmålet "er bevis på innsatsen sikkert?" forsøker å redusere analysen til et objektivt mål for kostnad som ikke eksisterer. På kort sikt, hvilken gaffel som er riktig, avhenger av hvilken gaffel som er populær blant innflytelsesrike samfunnsmedlemmer. På lang sikt vil domstolene påta seg makten til å avgjøre hvilken fork som er riktig, og lommene til lokal konsensus vil falle sammen med grensene som markerer slutten på en domstols jurisdiksjon og begynnelsen på den neste.
Energien som brukes av gruvearbeidere i proof-of-work blokkjeder er ikke bortkastet mer enn diesel er bortkastet som drivstoff for biler. I stedet byttes den mot kryptografisk verifiserbar, upartisk tilfeldighet. Vi vet ikke hvordan vi skal generere en objektiv konsensusmekanisme uten denne nøkkelingrediensen.
Dette er et gjesteinnlegg av Alan Szepieniec. Uttrykte meninger er helt deres egne og gjenspeiler ikke nødvendigvis de til BTC Inc. eller Bitcoin magazine.
Opprinnelig kilde: Bitcoin magazine