By Bitcoin Magazyn - 1 rok temu - Czas czytania: 14 minuty
Dowód pracy jest obiektywny, dowód stawki nie jest
Mechanizm konsensusu proof-of-work stosowany w Bitcoin jest obiektywną miarą historii, której nie można zmienić według kaprysów walidatorów.
Alan Szepieniec jest doktorem kryptografii post-kwantowej na KU Leuven. Jego badania skupiają się na kryptografii, zwłaszcza kryptografii, która jest przydatna do Bitcoin.
Proof-of-stake to proponowany alternatywny mechanizm konsensusu w stosunku do dowodu pracy, który: Bitcoinwykorzystuje mechanizm konsensusu. Zamiast wymagać zużycia energii, dowód udziału wymaga od górników (zwykle nazywanych walidatorami) stawiania na ryzyko zasobów cyfrowych w celu wniesienia wkładu w proces produkcji bloku. Staking zachęca ich do uczciwego zachowania, aby uniknąć utraty stawki. Teoretycznie, mając tylko uczciwych walidatorów, sieć szybko dojdzie do konsensusu co do kolejności transakcji, a co za tym idzie, które transakcje są nieprawidłowymi podwójnymi wydatkami.
Dowód stawki był przedmiotem wielu dyskusji. Większość krytyki skupia się na bezpieczeństwie: czy obniża to koszt ataku? Wiele osób artykułuje także obawy socjologiczne: centralizację władzy, koncentrację bogactwa, plutokrację itp.
W tym artykule przedstawiam znacznie bardziej podstawową krytykę: Dowód stawki jest z natury subiektywny. Prawidłowy widok łańcucha bloków typu „proof-of-stake” zależy od tego, kogo pytasz. W rezultacie koszt ataku nie może być obliczony w jednostkach wewnętrznych łańcucha bloków, co sprawia, że analizy bezpieczeństwa są nieważne; długów nie można uregulować między stronami, które nie uzgodniły jeszcze, które strony trzecie są godne zaufania; a ostateczne rozstrzygnięcie sporów musi pochodzić z sądów.
W przeciwieństwie do tego, dowód pracy jest obiektywnym mechanizmem konsensusu, w którym dowolny zestaw powiązanych lub niepowiązanych stron może uzgodnić, który stan łańcucha bloków jest prawidłowy. W rezultacie dowolne dwa podmioty gospodarcze mogą uzgodnić, czy płatność została dokonana, niezależnie od sądów czy wpływowych członków społeczności. To rozróżnienie sprawia, że dowód pracy jest odpowiedni — a dowód stawki — nieodpowiedni — jako mechanizm konsensusu dla walut cyfrowych.
Cyfrowe pieniądze i konsensus
Problem, który wymaga rozwiązania
Jedną z najbardziej podstawowych operacji wykonywanych przez komputery jest kopiowanie informacji. Ta operacja pozostawia oryginalną kopię nienaruszoną i tworzy dokładną replikę zasadniczo bez żadnych kosztów. Komputery mogą kopiować prawie wszystko, o ile jest to cyfrowe.
Są jednak rzeczy, które istnieją wyłącznie w sferze cyfrowej, a których nie można skopiować. Rzeczy, które są zarówno cyfrowe, jak i rzadkie. Ten opis dotyczy bitcoin na przykład, a także do innych zasobów cyfrowych opartych na blockchain. Można je wysłać, ale po wysłaniu oryginału nie ma. Można nie zgodzić się z powodem, dla którego rynek żąda tych aktywów, ale fakt, że taki popyt istnieje, oznacza, że te aktywa cyfrowe są przydatne jako odpowiednik giełd bilansowych. Skondensowane do jednego słowa: są pieniędzmi.
Aby osiągnąć niedobór zasobów cyfrowych, protokół blockchain replikuje księgę w całej sieci. Księgę można aktualizować, ale tylko w przypadku transakcji, na które wyrażą zgodę właściciele wydanych środków; suma netto wynosi zero; a wyniki są pozytywne.
Każda nieprawidłowa aktualizacja zostanie odrzucona. Dopóki istnieje zgoda co do stanu księgi wśród wszystkich uczestników protokołu, gwarantowany jest niedobór zasobów cyfrowych.
Okazuje się, że osiągnięcie konsensusu to trudne zadanie. Niedoskonałe warunki sieciowe generują różne poglądy na historię. Pakiety są odrzucane lub dostarczane poza kolejnością. Spór jest powszechny w sieciach.
Zasada wyboru widelca
Blockchainy rozwiązują ten problem na dwa sposoby. Po pierwsze wymuszają pełne uporządkowanie wszystkich transakcji, co generuje drzewo alternatywnych widoków historii. Po drugie, definiują kanon historii wraz z regułą wyboru widelca, która wybiera gałąź kanoniczną z drzewa historii.
Łatwo jest wyprowadzić kanoniczność z zaufanych władz lub, według niektórych, z cyfrowego schematu głosowania wspieranego przez schemat tożsamości obywatela. Jednak zaufane organy są luki w zabezpieczeniach, a poleganie na rządzie w zakresie dostarczania zaufanych usług identyfikacyjnych staje się narzędziem polityki, a nie narzędziem od niego niezależnym. Co więcej, oba rozwiązania zakładają porozumienie co do tożsamości i wiarygodności osób trzecich. Chcemy zredukować założenia zaufania; w idealnym przypadku mamy rozwiązanie, które wywodzi się całkowicie z matematyki.
Rozwiązanie do decydowania o kanoniczności, które wywodzi się całkowicie z matematyki, generuje niezwykłą właściwość polegającą na tym, że odpowiedź jest niezależna od tego, kto ją oblicza. W tym sensie mechanizm konsensusu może być obiektywny. Jest jednak jedno ważne zastrzeżenie: należy założyć, że wszystkie strony zgadzają się co do pojedynczego punktu odniesienia, takiego jak blok genezy lub skrót skrótu. Obiektywny mechanizm konsensusu to taki, który umożliwia każdej ze stron ekstrapolację kanonicznego poglądu na historię z tego punktu odniesienia.
Która gałąź drzewa jest wybrana jako kanoniczna, nie jest ważna; co ważne, wszyscy uczestnicy mogą zgodzić się na ten wybór. Co więcej, całe drzewo nie musi być jawnie reprezentowane na jednym komputerze. Zamiast tego wystarczy, aby każdy węzeł zawierał tylko garść gałęzi. W tym przypadku reguła wyboru widelca zawsze sprawdza tylko dwa kandydujące poglądy na historię w danym momencie. Ściśle mówiąc, wyrażenie kanoniczny pogląd na historię jest mylące: pogląd na historię może być tylko mniej lub bardziej kanoniczny w stosunku do innego poglądu. Węzły odrzucają tę gałąź, która jest mniej kanoniczna, i propagują tę, która jest bardziej. Za każdym razem, gdy widok historii zostanie rozszerzony o partię nowych transakcji, nowy widok jest bardziej kanoniczny niż stary.
Aby sieć szybko doszła do konsensusu co do kanonicznego poglądu na historię, reguła wyboru wideł musi spełniać dwie właściwości. Po pierwsze, musi być dobrze zdefiniowana i efektywnie oceniana dla poglądów na historię dowolnych dwóch par. Po drugie, musi być przechodnia dla każdej trójki poglądów na historię. Dla matematycznie skłonnych: niech U,V,W będą dowolnymi trzema poglądami na historię i niech wrostek „<” oznacza regułę wyboru widelca faworyzującą prawą stronę nad lewą.
Następnie [dwa warunki są spełnione]:
U
Aby księga mogła uwzględniać aktualizacje, widoki historii muszą być rozszerzalne w sposób zgodny z regułą wyboru widelca. Dlatego wymagane są jeszcze dwie właściwości. Po pierwsze, przy ocenie na dwóch widokach, z których jeden jest rozszerzeniem drugiego, reguła wyboru widelca musi zawsze faworyzować widok rozszerzony. Po drugie, rozszerzenia (wcześniej) kanonicznego poglądu są bardziej prawdopodobne jako kanoniczne niż rozszerzenia poglądów niekanonicznych. Symbolicznie niech „E” oznacza rozszerzenie, a „‖” operację, która je stosuje. Następnie:
U 0.5Ta ostatnia właściwość zachęca uczciwych ekstendentów do skupienia się na rozszerzaniu poglądów kanonicznych w przeciwieństwie do poglądów, o których wiedzą, że nie są kanoniczne. W wyniku tego bodźca, odmienne poglądy na historię, które wynikają z uczciwych, ale sprzecznych rozszerzeń, różnią się jednocześnie tylko końcówkami, jeśli chodzi o ostatnie wydarzenia. Im dalej zdarzenie jest rejestrowane, tym mniej prawdopodobne jest, że zostanie ono obalone przez reorganizację narzuconą przez inny, bardziej kanoniczny pogląd na historię, który odbiega we wcześniejszym punkcie. Z tej perspektywy kanoniczny pogląd na historię jest dobrze zdefiniowany w kategoriach granic poglądów na historię, do których zbiega się sieć.
Oczywistym dyskwalifikacją w poprzednim akapicie jest potrzeba, aby przedłużacze zachowywali się uczciwie. A co z nieuczciwymi przedłużaczami? Jeśli przeciwnik może kontrolować zmienną losową zawartą w wyrażeniu prawdopodobieństwa, może ją zaprojektować na swoją korzyść i rozpocząć głębokie reorganizacje z wysokim prawdopodobieństwem powodzenia. Nawet jeśli nie może kontrolować zmiennej losowej, ale może tanio wyprodukować rozszerzenia kandydujące, może lokalnie i w nieskończoność oceniać zasadę wyboru widelca, aż znajdzie wczesny punkt rozbieżności wraz z rozszerzeniem, które akurat generuje bardziej kanoniczny oddział niż którykolwiek, który krąży.
Brakujący element układanki nie jest mechanizmem uniemożliwiającym nieuczciwe rozszerzenia. W środowisku niedoskonałych warunków sieciowych niemożliwe jest nakreślenie nieuczciwego zachowania. Atakujący zawsze może zignorować wiadomości, które mu się nie podobają, lub opóźnić ich propagację i twierdzić, że winę ponosi połączenie sieciowe. Zamiast tego, brakującym elementem układanki jest mechanizm, który sprawia, że głębokie reorganizacje są droższe niż płytkie i droższe, im głębiej się zachodzą.
Zbiorczy dowód pracy
Mechanizm konsensusu Satoshi Nakamoto właśnie to osiąga. Aby zaproponować nową partię transakcji (tzw. bloki), a tym samym rozszerzyć jakąś gałąź, niedoszli ekstendery (tzw. górnicy) muszą najpierw rozwiązać zagadkę obliczeniową. Ta zagadka jest kosztowna do rozwiązania, ale łatwa do zweryfikowania, dlatego trafnie nazywana jest dowodem pracy. Dopiero po rozwiązaniu tej zagadki nowa partia transakcji (i historia, do której się zobowiązuje) jest ważnym pretendentem do kanonu. Zagadka jest wyposażona w pokrętło do regulacji trudności, które jest automatycznie przekręcane, aby uregulować oczekiwany czas przed znalezieniem nowego rozwiązania, niezależnie od liczby uczestników lub zasobów, które poświęcają na problem. Pokrętło to ma drugorzędną funkcję jako bezstronny wskaźnik wysiłku związanego z rozwiązywaniem łamigłówek w jednostce mierzącej trudność.
Proces jest otwarty na udział każdego. Czynnikiem ograniczającym nie jest autorytet lub wymagania dotyczące materiału klucza kryptograficznego lub sprzętu, a raczej czynnikiem ograniczającym są zasoby, które jesteśmy skłonni wydać, aby mieć szansę na znalezienie prawidłowego bloku. Probabilistyczny i równoległy charakter układanki nagradza opłacalnego górnika, który maksymalizuje liczbę obliczeń na dżul, nawet kosztem mniejszej liczby obliczeń na sekundę.
Biorąc pod uwagę docelowy parametr trudności (pokrętło) dla każdego bloku, łatwo jest obliczyć bezstronne oszacowanie całkowitej ilości pracy, jaką reprezentuje dana gałąź historii. Zasada dowodu pracy, wyboru widelca faworyzuje branżę, w której liczba ta jest większa.
Górnicy ścigają się ze sobą, aby znaleźć następny blok. Pierwszy górnik, który ją odnajdzie i skutecznie ją rozpropaguje, wygrywa. Zakładając, że górnicy nie siedzą na ważnych, ale nierozpropagowanych nowych blokach, kiedy otrzymują nowy blok od konkurujących górników, przyjmują go jako nowego szefa kanonicznej gałęzi historii, ponieważ niewykonanie tego stawia ich w niekorzystnej sytuacji. Budowanie na bloku, o którym wiadomo, że jest stary, jest nieracjonalne, ponieważ górnik musi dogonić resztę sieci i znaleźć dwa nowe bloki, aby odnieść sukces — zadanie, które jest średnio dwa razy trudniejsze niż przejście do nowej, dłuższej gałęzi i jej rozszerzenie. W blockchainie typu „proof-of-work” reorganizacje są zwykle izolowane aż po wierzchołek drzewa historii nie dlatego, że górnicy są uczciwi, ale dlatego, że koszt generowania reorganizacji rośnie wraz z głębokością reorganizacji. Przykład: zgodnie z tym wymiana stosu odpowiedź, z wyłączeniem widelców po aktualizacjach oprogramowania, najdłuższy widelec na Bitcoin blockchain miał długość 4, czyli 0.0023% ówczesnej wysokości bloku.
„Rozwiązanie” dowodu stawki
Proof-of-stake to proponowana alternatywa dla proof-of-work, w której prawidłowe spojrzenie na historię nie jest definiowane w kategoriach największej ilości pracy poświęconej rozwiązywaniu zagadek kryptograficznych, ale jest definiowane w kategoriach kluczy publicznych specjalnych węzły zwane walidatorami. W szczególności walidatorzy podpisują nowe bloki. Węzeł uczestniczący weryfikuje poprawny widok historii, weryfikując sygnatury bloków składowych.
Węzeł nie ma możliwości odróżnienia prawidłowych widoków historii od nieprawidłowych. Chodzi o to, że konkurujący blok jest tylko poważnym pretendentem do czubka prawidłowego spojrzenia na historię, jeśli ma sygnaturę wspierającą (lub wiele sygnatur wspierających). Weryfikatory raczej nie podpiszą alternatywnych bloków, ponieważ podpis ten udowodniłby ich złośliwe zachowanie i spowodowałby utratę udziału.
Proces jest otwarty dla publiczności. Każdy może zostać walidatorem, umieszczając określoną kwotę kryptowaluty na specjalnym rachunku powierniczym. Te zdeponowane pieniądze to „stawka”, która jest obcinana, jeśli walidator źle się zachowuje. Węzły weryfikują, czy sygnatury nowych bloków pasują do kluczy publicznych dostarczonych przez walidatory, gdy umieszczają swoje stawki w depozycie.
Formalnie, w blockchainach typu proof-of-stake, definicja prawidłowego spojrzenia na historię jest całkowicie rekurencyjna. Nowe bloki są ważne tylko wtedy, gdy zawierają prawidłowe podpisy. Podpisy są ważne w odniesieniu do kluczy publicznych walidatorów. Te klucze publiczne są określane przez stare bloki. Zasada wyboru widelca nie jest zdefiniowana dla konkurujących ze sobą poglądów na historię, o ile oba poglądy są wewnętrznie spójne.
W przeciwieństwie do tego, prawidłowe spojrzenie na historię w blockchainach typu proof-of-work jest również definiowane rekurencyjnie, ale nie z wyłączeniem zewnętrznych danych wejściowych. W szczególności zasada wyboru widelca w dowodach pracy również opiera się na losowości, której obiektywność jest obiektywnie weryfikowalna.
To wejście zewnętrzne jest kluczową różnicą. W proof-of-work reguła fork-choice jest zdefiniowana dla dowolnej pary różnych rywalizujących ze sobą poglądów na historię, dlatego w pierwszej kolejności można mówić o kanonie. W proof-of-stake można zdefiniować poprawność tylko w odniesieniu do wcześniejszej historii.
Dowód stawki jest podważalny
Czy to ma jednak znaczenie? Teoretycznie, aby powstały dwa spójne, ale wzajemnie sprzeczne poglądy na historię, gdzieś ktoś musiał być nieuczciwy, a jeśli zachował się nieuczciwie, można dowiedzieć się gdzie, udowodnić to i obciąć jego stawkę. Ponieważ walidator ustawiony w tym pierwszym punkcie rozbieżności nie jest kwestionowany, możliwe jest odzyskanie z tego miejsca.
Problem z tym argumentem polega na tym, że nie bierze on pod uwagę czasu. Jeśli walidator sprzed dziesięciu lat podpisze podwójnie sprzeczne bloki — to znaczy opublikuje nowo podpisany, sprzeczny odpowiednik bloku, który został potwierdzony dziesięć lat temu — to od tego momentu historia będzie musiała zostać napisana od nowa. Stawka złośliwego walidatora zostaje obcięta. Transakcje, w których wydane są nagrody za obstawianie, są teraz nieważne, podobnie jak późniejsze transakcje. Po upływie wystarczającego czasu nagrody walidatora mogą przeniknąć do dużej części gospodarki blockchain. Odbiorca monet nie może być pewien, że wszystkie zależności pozostaną ważne w przyszłości. Nie ma ostateczności, ponieważ reorganizacja odległej przeszłości nie jest ani trudniejsza ani bardziej kosztowna niż najbliższa.
Dowód stawki jest subiektywny
Jedynym sposobem rozwiązania tego problemu jest ograniczenie głębokości dopuszczania reorganizacji. Sprzeczne poglądy na historię, której pierwszy punkt rozbieżności jest starszy niż pewien wiek progowy, są ignorowane. Węzły, które są prezentowane z innym poglądem, którego pierwszy punkt rozbieżności jest starszy, odrzucają go z ręki bez testowania, co jest poprawne. Dopóki niektóre węzły są aktywne w danym momencie, gwarantowana jest ciągłość. Jest tylko jeden sposób, w jaki blockchain może ewoluować, jeśli zbyt głębokie reorganizacje są zabronione.
To rozwiązanie sprawia, że proof-of-stake jest subiektywnym mechanizmem konsensusu. Odpowiedź na pytanie „jaki jest obecny stan blockchaina?” zależy kogo zapytasz. Nie jest to obiektywnie weryfikowalne. Atakujący może stworzyć alternatywny widok historii, który jest równie spójny, jak poprawny. Jedynym sposobem, w jaki węzeł może wiedzieć, który widok jest poprawny, jest wybranie zestawu rówieśników i uwierzenie im na słowo.
Można argumentować, że ten hipotetyczny atak nie ma znaczenia, jeśli koszt stworzenia alternatywnego spojrzenia na historię jest zbyt wysoki. Chociaż ten kontrargument może być prawdziwy, koszt jest obiektywną miarą, a więc to, czy jest prawdziwy, zależy od czynników zewnętrznych, które nie są reprezentowane w łańcuchu bloków. Na przykład napastnik może stracić cały swój udział w jednym poglądzie na historię, ale nie przejmuje się tym, ponieważ może zagwarantować za pomocą środków prawnych lub społecznych, że alternatywny pogląd zostanie zaakceptowany. Każda analiza bezpieczeństwa lub kalkulacja kosztów ataku, która koncentruje się na tym, co dzieje się na „tym” blockchainie i nie bierze pod uwagę obiektywnego świata, w którym żyje, jest zasadniczo błędna.
Wewnętrznym kryptowalutą typu proof-of-stake jest to, że nie tylko koszt jest subiektywny, ale także nagroda. Po co atakujący miałby przeprowadzać swój atak, jeśli efektem końcowym nie jest wypłata mechanicznie określona jego pomysłowością, ale transmisja z oficjalnego zespołu programistów kryptowaluty wyjaśniająca, dlaczego wybrali inną gałąź? Mogą istnieć zewnętrzne wypłaty – na przykład z opcji finansowych, które spodziewają się spadku ceny lub z czystej radości powodowania chaosu – ale chodzi o to, że niskie prawdopodobieństwo wypłat wewnętrznych podważa argument, że kapitalizacja rynkowa istniejącego dowodu Stawianie kryptowalut stanowi skuteczną nagrodę za atak.
Pieniądze i obiektywizm
Pieniądz jest w istocie przedmiotem, za pomocą którego spłaca się dług. Skuteczne uregulowanie zadłużenia wymaga konsensusu między stronami wymiany — w szczególności waluty i kwoty pieniędzy. Spór doprowadzi do utrwalenia zaległych roszczeń i odmowy prowadzenia powtórnej działalności na takich samych lub podobnych warunkach.
Skuteczne regulowanie zadłużenia nie wymaga zgody całego świata na konkretny rodzaj pieniądza. Dlatego subiektywne pieniądze mogą być przydatne w obszarach światowej gospodarki, w których panuje konsensus. Jednak, aby wypełnić lukę między dowolnymi dwoma grupami mikrogospodarek, a bardziej ogólnie między dowolnymi dwiema osobami na świecie, potrzebny jest globalny konsensus. Osiąga to obiektywny mechanizm konsensusu; subiektywny nie.
Kryptowaluty typu Proof-of-Stake nie mogą stanowić nowej podstawy dla światowego szkieletu finansowego. Świat składa się z państw, które nie uznają swoich sądów. Jeśli powstaje spór o prawidłowe spojrzenie na historię, jedynym wyjściem jest wojna.
Fundacje, które opracowują i wspierają blockchainy typu proof-of-stake, a także pracujący dla nich freelancerzy – a nawet influencerzy, którzy nie piszą kodu – narażają się na odpowiedzialność prawną za arbitralny wybór niekorzystnego spojrzenia na historię (dla powoda). Co się dzieje, gdy giełda kryptowalut umożliwia dużą wypłatę z depozytu w kryptowalucie typu proof-of-stake, której transakcja pojawia się tylko w jednej gałęzi dwóch konkurencyjnych widoków historii? Giełda może wybrać widok, który jest korzystny dla ich wyników, ale jeśli reszta społeczności — pod wpływem podpisów PGP i tweetów oraz średnich postów fundacji, programistów i wpływowych osób — wybierze alternatywny widok, wtedy giełda pozostanie na pierwszym miejscu. rachunek. Mają wszelkie bodźce i odpowiedzialność powiernika, aby odzyskać swoje straty od osób za nie odpowiedzialnych.
W końcu sąd wyda orzeczenie, które spojrzenie na historię jest właściwe.
Wnioski
Zwolennicy proof-of-stake twierdzą, że służy temu samemu celowi co proof-of-work, ale bez marnowania energii. Zbyt często ich wsparcie ignoruje kompromisy obecne w każdym inżynieryjnym dylemacie. Tak, dowód stawki eliminuje wydatek energetyczny, ale ta eliminacja poświęca obiektywizm wynikającego z tego mechanizmu konsensusu. Jest to w porządku w sytuacjach, w których wystarczą jedynie obszary lokalnego konsensusu, ale ten kontekst nasuwa pytanie: jaki jest sens eliminowania zaufanego organu? Dla globalnego szkieletu finansowego niezbędny jest obiektywny mechanizm.
Autoreferencyjna natura dowodu stawki sprawia, że jest on z natury subiektywny: to, który pogląd na historię jest poprawny, zależy od tego, kogo zapytasz. Pytanie „czy dowód stawki jest bezpieczny?” próby zredukowania analizy do obiektywnej miary kosztów, która nie istnieje. W krótkim okresie, który widelec jest poprawny, zależy od tego, który widelec jest popularny wśród wpływowych członków społeczności. W dłuższej perspektywie sądy przejmą władzę decydowania, który widelec jest właściwy, a obszary lokalnego konsensusu zbiegną się z granicami wyznaczającymi koniec jurysdykcji jednego sądu i początek następnego.
Energia zużywana przez górników w blockchainach typu „proof-of-work” nie jest marnowana tak samo, jak marnuje się olej napędowy napędzający samochody. Zamiast tego jest wymieniany na kryptograficznie weryfikowalną, bezstronną losowość. Nie wiemy, jak stworzyć obiektywny mechanizm konsensusu bez tego kluczowego składnika.
To gościnny wpis autorstwa Alana Szepieńca. Wyrażone opinie są całkowicie ich własnymi i niekoniecznie odzwierciedlają opinie BTC Inc. lub Bitcoin Magazyn.
Pierwotnym źródłem: Bitcoin Magazyn