By Bitcoin Журнал - 1 год назад - Время чтения: 14 минуты
Proof-of-Work является объективным, Proof-Of-Stake — нет
Механизм консенсуса Proof-of-Work, используемый в Bitcoin является объективной мерой истории, которую нельзя изменить по прихоти валидаторов.
Алан Сепенец имеет докторскую степень в области постквантовой криптографии, полученную в KU Leuven. Его исследования сосредоточены на криптографии, особенно на той криптографии, которая полезна для Bitcoin.
Proof-of-stake — это предлагаемый альтернативный механизм консенсуса для Proof-of-Work, который BitcoinМеханизм консенсуса использует. Вместо того, чтобы требовать потребления энергии, доказательство доли требует, чтобы майнеры (обычно называемые валидаторами) подвергали риску цифровые активы, чтобы внести свой вклад в процесс производства блоков. Ставки побуждают их вести себя честно, чтобы не потерять свою долю. Теоретически, имея только честных валидаторов, сеть быстро придет к консенсусу относительно порядка транзакций и, следовательно, относительно того, какие транзакции являются недействительными двойными расходами.
Proof-of-stake был предметом многочисленных споров. Большинство критических замечаний сосредоточено на безопасности: снижает ли она стоимость атаки? Многие также формулируют социологические проблемы: централизация власти, концентрация богатства, плутократия и т. д.
В этой статье я формулирую гораздо более базовую критику: Proof-of-stake по своей сути субъективен. Правильный взгляд на блокчейн с доказательством доли зависит от того, кого вы спрашиваете. В результате стоимость атаки не может быть рассчитана во внутренних единицах блокчейна, что делает анализ безопасности недействительным; долги не могут быть урегулированы между сторонами, которые еще не договорились о том, какие третьи стороны заслуживают доверия; и окончательное решение споров должно исходить от судов.
Напротив, доказательство работы — это объективный механизм консенсуса, в котором любой набор связанных или несвязанных сторон может прийти к соглашению о том, какое состояние блокчейна является точным. В результате любые два экономических субъекта могут договориться о том, был ли произведен платеж, независимо от судов или влиятельных членов сообщества. Это различие делает Proof-of-Work подходящим, а Proof-of-Stake непригодным в качестве механизма консенсуса для цифровых валют.
Цифровые деньги и консенсус
Проблема, требующая решения
Одной из самых основных операций, выполняемых компьютером, является копирование информации. Эта операция оставляет исходную копию нетронутой и создает точную копию практически бесплатно. Компьютеры могут копировать практически все, что угодно, лишь бы это было цифровым.
Однако есть некоторые вещи, существующие только в цифровом мире, которые невозможно скопировать. Вещи, которые являются одновременно цифровыми и дефицитными. Это описание относится к bitcoin например, а также к другим цифровым активам на основе блокчейна. Их можно отправить, но после их отправки исходная копия пропадает. Можно не согласиться с причиной, по которой рынок требует эти активы, но тот факт, что этот спрос существует, означает, что эти цифровые активы полезны в качестве аналога балансовых обменов. Если сжать до одного слова: это деньги.
Чтобы достичь цифрового дефицита, протокол блокчейна реплицирует реестр по сети. Реестр можно обновлять, но только транзакциями, на которые согласны владельцы потраченных средств; чистая сумма равна нулю; и выводы положительные.
Любое недопустимое обновление будет отклонено. Пока среди всех участников протокола существует консенсус в отношении состояния реестра, цифровой дефицит гарантирован.
Оказывается, достижение консенсуса — сложная задача. Несовершенные сетевые условия генерируют различные представления истории. Пакеты отбрасываются или доставляются не по порядку. Разногласия свойственны сетям.
Правило выбора вилки
Блокчейны решают эту проблему двумя способами. Во-первых, они обеспечивают полный порядок всех транзакций, что создает дерево альтернативных представлений истории. Во-вторых, они определяют канон для историй вместе с правилом выбора ответвления, которое выбирает каноническую ветвь из дерева историй.
Каноничность легко получить из доверенных органов или, по мнению некоторых, из схемы цифрового голосования, подкрепленной схемой идентификации гражданина. Однако доверенные органы дыры в безопасности, и зависимость от правительства в предоставлении надежных услуг идентификации становится инструментом политики, а не независимым от нее инструментом. Более того, оба решения предполагают согласие в отношении личности и надежности третьих лиц. Мы хотим уменьшить количество предположений о доверии; в идеале у нас есть решение, полностью основанное на математике.
Решение для определения каноничности, полностью полученное из математики, порождает замечательное свойство, состоящее в том, что ответ не зависит от того, кто его вычисляет. Именно в этом смысле механизм консенсуса способен быть объективным. Однако есть одно важное предостережение: следует исходить из того, что все стороны согласны с единой точкой отсчета, такой как блок генезиса или его хеш-дайджест. Механизм объективного консенсуса позволяет любой стороне экстраполировать канонический взгляд на историю с этой точки отсчета.
Какая ветвь дерева выбрана как каноническая, не имеет значения; важно то, что все участники могут согласиться с этим выбором. Более того, нет необходимости представлять все дерево в явном виде на каком-либо одном компьютере. Вместо этого достаточно, чтобы каждый узел содержал лишь несколько ветвей. В этом случае правило выбора ветвления проверяет только два возможных взгляда на историю в любой момент времени. Строго говоря, фраза «канонический взгляд на историю» вводит в заблуждение: взгляд на историю может быть более или менее каноническим только по отношению к другому взгляду. Узлы отбрасывают ту ветвь, которая менее канонична, и распространяют ту, которая более канонична. Всякий раз, когда представление истории расширяется пакетом новых транзакций, новое представление является более каноничным, чем старое.
Чтобы сеть быстро пришла к консенсусу относительно канонического взгляда на историю, правило выбора ответвления должно удовлетворять двум свойствам. Во-первых, он должен быть четко определенным и поддающимся эффективной оценке для любых двух пар взглядов на историю. Во-вторых, он должен быть транзитивным для любой тройки взглядов на историю. Для склонных к математике: пусть U, V, W будут любыми тремя точками зрения на историю, и пусть инфикс «<» обозначает правило выбора вилки, отдающее предпочтение правой стороне по сравнению с левой.
Тогда [выполняются два условия]:
U
Чтобы бухгалтерская книга могла вмещать обновления, представления истории должны быть расширяемыми таким образом, чтобы это было совместимо с правилом выбора форка. Следовательно, необходимы еще два свойства. Во-первых, при оценке двух представлений, одно из которых является расширением другого, правило выбора ответвления всегда должно отдавать предпочтение расширенному представлению. Во-вторых, расширения (ранее) канонических представлений с большей вероятностью будут каноническими, чем расширения неканонических представлений. Символически пусть «E» обозначает расширение, а «‖» — операцию, которая его применяет. Затем:
U 0.5Последнее свойство побуждает честных расширителей сосредоточиться на расширении канонических представлений, а не на представлениях, которые, как им известно, не являются каноническими. В результате этого стимула различные взгляды на историю, возникающие из честных, но одновременно противоречивых расширений, имеют тенденцию различаться только в своих кончиках, когда речь идет о недавних событиях. Чем дальше в прошлое занесено событие, тем меньше вероятность того, что оно будет отменено реорганизацией, навязанной другим, более каноническим взглядом на историю, который расходится с более ранним моментом. С этой точки зрения канонический взгляд на историю четко определен в терминах предела взглядов на историю, к которым сходится сеть.
Очевидным дисквалифицирующим фактором в предыдущем абзаце является необходимость честного поведения экстендеров. Как насчет нечестных экстендеров? Если противник может управлять случайной величиной, заложенной в вероятностном выражении, то он может спроектировать ее в свою пользу и начать глубокую реорганизацию с высокой вероятностью успеха. Даже если он не может контролировать случайную величину, но может дешево производить расширения-кандидаты, он может оценивать правило выбора ответвления локально и бесконечно, пока не найдет точку расхождения на ранней стадии вместе с расширением, которое генерирует более каноническое расширение. ветвь, чем любая циркулирующая.
Недостающая часть головоломки — это не механизм, предотвращающий недобросовестные расширения. В среде с несовершенными сетевыми условиями невозможно определить нечестное поведение. Злоумышленник всегда может проигнорировать сообщения, которые ему не нравятся, или задержать их распространение и заявить, что виновато сетевое соединение. Вместо этого недостающим элементом головоломки является механизм, который делает глубокую реорганизацию более дорогостоящей, чем поверхностная, и тем дороже, чем глубже она идет.
Совокупное доказательство работы
Механизм консенсуса Сатоши Накамото достигает именно этого. Чтобы предложить новый пакет транзакций (называемых блоками) и тем самым расширить некоторую ветвь, потенциальные расширители (называемые майнерами) должны сначала решить вычислительную головоломку. Эту головоломку дорого решить, но легко проверить, и поэтому она метко названа доказательством работы. Только с решением этой головоломки новая партия транзакций (и история, которую она фиксирует) становится действительным претендентом на канон. Головоломка поставляется с ручкой для регулировки ее сложности, которая автоматически поворачивается, чтобы упорядочить ожидаемое время до того, как будет найдено новое решение, независимо от количества участников или ресурсов, которые они тратят на решение проблемы. Эта ручка имеет второстепенную функцию в качестве беспристрастного индикатора усилия по решению головоломки в единице измерения сложности.
Процесс открыт для любого участия. Ограничивающим фактором являются не полномочия, материал криптографического ключа или требования к оборудованию, а скорее ресурсы, которые человек готов потратить, чтобы получить шанс найти действительный блок. Вероятностный и параллельный характер головоломки вознаграждает рентабельного майнера, который максимизирует количество вычислений на джоуль, даже за счет меньшего количества вычислений в секунду.
Зная целевой параметр сложности (ручка) для каждого блока, легко вычислить непредвзятую оценку общего объема работы, которую представляет данная ветвь истории. Правило Proof-of-Work и Fork Choice отдает предпочтение той ветке, где это число больше.
Майнеры соревнуются друг с другом, чтобы найти следующий блок. Первый майнер, который найдет его и успешно распространит, побеждает. Предполагая, что майнеры не сидят на действительных, но не распространяемых новых блоках, когда они получают новый блок от конкурирующих майнеров, они принимают его в качестве нового главы канонической ветви истории, потому что невыполнение этого условия ставит их в невыгодное положение. Строительство поверх блока, который, как известно, является старым, нерационально, потому что майнер должен догнать остальную часть сети и найти два новых блока, чтобы добиться успеха — задача, которая в среднем в два раза сложнее, чем переход на новую, более длинную ветку и ее расширение. В блокчейне с доказательством работы реорганизации, как правило, изолированы на верхушке дерева истории не потому, что майнеры честны, а потому, что стоимость создания реорганизаций растет с глубиной реорганизации. Дело в том, что в соответствии с этим ответ обмена стеком, за исключением разветвлений после обновлений программного обеспечения, самая длинная развилка на Bitcoin Блокчейн имел длину 4, или 0.0023% высоты блока в то время.
«Решение» Proof-Of-Stake
Proof-of-stake — это предлагаемая альтернатива proof-of-work, в которой правильный взгляд на историю определяется не с точки зрения наибольшего объема работы, затраченной на решение криптографических головоломок, а скорее определяется с точки зрения открытых ключей специальных узлы, называемые валидаторами. В частности, валидаторы подписывают новые блоки. Участвующий узел проверяет правильность представления истории, проверяя подписи на составляющих блоках.
У узла нет средств, чтобы отличить действительные представления истории от недействительных. Дело в том, что конкурирующий блок является серьезным претендентом на вершину правильного взгляда на историю только в том случае, если у него есть подтверждающая подпись (или множество подтверждающих подписей). Валидаторы вряд ли подпишут альтернативные блоки, потому что эта подпись докажет их злонамеренное поведение и приведет к потере их доли.
Процесс открыт для публики. Любой желающий может стать валидатором, положив определенную сумму криптовалюты на специальный счет условного депонирования. Эти депонированные деньги являются «ставкой», которая сокращается, если валидатор ведет себя ненадлежащим образом. Узлы проверяют, совпадают ли подписи на новых блоках с открытыми ключами, предоставленными валидаторами, когда они помещают свои доли на условное депонирование.
Формально в блокчейнах с доказательством доли определение правильного представления истории полностью рекурсивно. Новые блоки действительны только в том случае, если они содержат правильные подписи. Подписи действительны по отношению к открытым ключам валидаторов. Эти открытые ключи определяются старыми блоками. Правило альтернативного выбора не определено для конкурирующих взглядов на историю, если оба взгляда непротиворечивы.
Напротив, правильное представление истории в блокчейнах с доказательством работы также определяется рекурсивно, но не исключая внешние входные данные. В частности, правило выбора ветвления в доказательстве работы также опирается на случайность, беспристрастность которой поддается объективной проверке.
Этот внешний ввод является ключевым отличием. В доказательстве работы правило выбора ветвления определяется для любой пары различных конкурирующих взглядов на историю, поэтому в первую очередь можно говорить о каноне. В proof-of-stake можно определить правильность только относительно предыдущей истории.
Proof-Of-Stake можно отменить
Хотя это имеет значение? По идее, для того, чтобы выработались два непротиворечивых, но взаимно несовместимых взгляда на историю, где-то кто-то должен был быть нечестным, а если вел себя нечестно, то можно узнать где, доказать и срубить свою ставку. Поскольку валидатор, установленный в этой первой точке расхождения, не вызывает сомнений, оттуда можно восстановиться.
Проблема с этим аргументом в том, что он не принимает во внимание время. Если валидатор десятилетней давности дважды подписывает конфликтующие блоки, то есть публикует недавно подписанный противоречивый аналог блока, который был подтвержден десять лет назад, то с этого момента историю необходимо будет переписывать. Ставка злонамеренного валидатора сокращается. Транзакции, которые тратят вознаграждение за стекинг, теперь недействительны, как и последующие транзакции оттуда. При наличии достаточного количества времени вознаграждение валидатора может проникнуть в большую часть экономики блокчейна. Получатель монет не может быть уверен, что все зависимости останутся действительными в будущем. Окончательности нет, потому что реорганизовать далекое прошлое не труднее и не дороже, чем близкое прошлое.
Доказательство доли субъективно
Единственный способ решить эту проблему — ограничить глубину допущенных реорганизаций. Игнорируются противоречивые взгляды на историю, первая точка расхождения которых старше определенного порогового возраста. Узлы, которым представлено другое представление, чья первая точка расхождения старше, сразу отвергают его, не проверяя, какое из них верное. Пока некоторые узлы работают в любой момент времени, непрерывность гарантируется. Есть только один способ развития блокчейна, если не допустить слишком глубоких реорганизаций.
Это решение превращает доказательство доли в механизм субъективного консенсуса. Ответ на вопрос «каково текущее состояние блокчейна?» зависит от того, кого вы спросите. Это не поддается объективной проверке. Злоумышленник может создать альтернативное представление об истории, столь же непротиворечивое, как и правильное. Единственный способ, которым узел может узнать, какое представление является правильным, — это выбрать набор пиров и поверить им на слово.
Можно возразить, что эта гипотетическая атака неуместна, если стоимость создания этого альтернативного взгляда на историю слишком велика. Хотя этот контраргумент может быть правдой, стоимость является объективной метрикой, и поэтому ее истинность зависит от внешних факторов, которые не представлены в блокчейне. Например, нападающий может потерять всю свою долю в одном взгляде на историю, но ему все равно, потому что он может гарантировать с помощью юридических или социальных средств, что альтернативный взгляд будет принят. Любой анализ безопасности или расчет стоимости атаки, который сосредотачивается на том, что происходит в «этой» цепочке блоков, и не принимает во внимание объективный мир, в котором она живет, в корне ошибочен.
Внутреннее значение криптовалюты Proof-of-Stake заключается в том, что субъективна не только стоимость, но и вознаграждение. Зачем злоумышленнику развертывать свою атаку, если конечным результатом является не выплата, механически определяемая его изобретательностью, а трансляция от официальной команды разработчиков криптовалюты, объясняющая, почему они выбрали другую ветку? Могут быть внешние выплаты — например, от финансовых опционов, которые ожидают падения цены, или от чистой радости от причинения хаоса — но дело в том, что низкая вероятность внутренних выплат подрывает аргумент о том, что рыночная капитализация существующих доказательств ставка криптовалюты представляет собой эффективную награду за атаку.
Деньги и объективность
Деньги — это, по сути, объект, с помощью которого уплачивается долг. Эффективное урегулирование долга требует консенсуса между сторонами обмена, в частности, в отношении валюты и суммы денег. Спор приведет к сохранению неоплаченных претензий и отказу в повторных сделках на равных или аналогичных условиях.
Эффективное урегулирование задолженности не требует, чтобы весь мир соглашался на конкретный тип денег. Таким образом, субъективные деньги могут быть полезны в тех карманах мировой экономики, где существует консенсус. Однако для преодоления разрыва между любыми двумя очагами микроэкономики или, в более общем смысле, между любыми двумя людьми в мире требуется глобальный консенсус. Это достигается объективным механизмом консенсуса; субъективный нет.
Криптовалюты с доказательством доли не могут обеспечить новую основу для мировой финансовой основы. Мир состоит из государств, которые не признают суды друг друга. Если возникает спор о правильном взгляде на историю, единственный выход — война.
Фонды, разрабатывающие и поддерживающие блокчейны с доказательством доли, а также внештатные разработчики, работающие на них, и даже инфлюенсеры, которые не пишут код, несут юридическую ответственность за произвольный выбор неблагоприятного взгляда на историю (для истца). Что происходит, когда криптовалютная биржа позволяет осуществлять крупный вывод после депозита в криптовалюте с доказательством доли, чья транзакция появляется только в одной ветви двух конкурирующих взглядов на историю? Биржа может выбрать точку зрения, которая принесет пользу их прибыли, но если остальная часть сообщества — под влиянием подписей PGP, твитов и постов на Medium фондов, разработчиков и влиятельных лиц — выберет альтернативную точку зрения, то биржа останется в основе законопроект. У них есть все стимулы и фидуциарная ответственность за возмещение своих убытков от лиц, ответственных за них.
В конце концов, суд вынесет решение о том, какой взгляд на историю является правильным.
Заключение
Сторонники proof-of-stake утверждают, что он служит той же цели, что и proof-of-work, но без потерь энергии. Слишком часто их поддержка игнорирует компромиссы, присутствующие в любой инженерной дилемме. Да, Proof-of-Stake устраняет затраты энергии, но это устранение приносит в жертву объективность результирующего механизма консенсуса. Это нормально для ситуаций, когда достаточно только очагов локального консенсуса, но в этом контексте возникает вопрос: какой смысл устранять доверенный орган? Для глобальной финансовой основы необходим объективный механизм.
Самореферентный характер доказательства доли делает его по своей сути субъективным: какой взгляд на историю является правильным, зависит от того, кого вы спрашиваете. Вопрос «надежно ли доказательство доли?» попытки свести анализ к объективной мере затрат, которой не существует. В краткосрочной перспективе выбор правильного форка зависит от того, какой форк популярен среди влиятельных членов сообщества. В долгосрочной перспективе суды возьмут на себя право решать, какое разветвление является правильным, а очаги местного консенсуса совпадут с границами, отмечающими конец юрисдикции одного суда и начало следующего.
Энергия, затрачиваемая майнерами на блокчейны с доказательством работы, не тратится впустую больше, чем дизельное топливо тратится на заправку автомобилей. Вместо этого он обменивается на криптографически проверяемую, беспристрастную случайность. Мы не знаем, как создать объективный механизм консенсуса без этого ключевого компонента.
Это гостевой пост Алана Шепенека. Высказанные мнения являются полностью их собственными и не обязательно отражают точку зрения BTC Inc. или Bitcoin Журнал.
Исходный источник: Bitcoin Журнал