By Bitcoin Magasin - 1 år sedan - Lästid: 14 minuter
Proof-of-Work är objektivt, Proof-of-Stake är inte
Konsensusmekanismen för bevis på arbete som används i Bitcoin är ett objektivt mått på historien som inte kan ändras på validatorers nycker.
Alan Szepieniec har en doktorsexamen i postkvantkryptering från KU Leuven. Hans forskning fokuserar på kryptografi, särskilt den typ av kryptografi som är användbar för Bitcoin.
Proof-of-stake är en föreslagen alternativ konsensusmekanism till proof-of-work som Bitcoins konsensusmekanism använder. Istället för att kräva energiförbrukning kräver proof-of-stake att gruvarbetare (vanligtvis kallade validatorer) sätter digitala tillgångar på spel för att bidra till blockproduktionsprocessen. Insats stimulerar dem att uppträda ärligt för att undvika att förlora sin insats. I teorin, med bara ärliga validerare, kommer nätverket snabbt att komma till konsensus om ordningen på transaktioner och därför om vilka transaktioner som är ogiltiga dubbelutgifter.
Insatsbevis har varit föremål för mycket debatt. Den mesta kritiken fokuserar på säkerhet: Minskar det kostnaden för attack? Många människor uttrycker också sociologiska frågor: centralisering av makt, koncentration av rikedom, plutokrati, etc.
I den här artikeln formulerar jag en mycket mer grundläggande kritik: Proof-of-stake är till sin natur subjektivt. Den korrekta synen på en proof-of-stake blockchain beror på vem du frågar. Som ett resultat kan kostnaden för en attack inte beräknas i enheter internt i blockkedjan, vilket gör säkerhetsanalyser ogiltiga; skulder kan inte regleras mellan parter som inte redan är överens om vilka tredje parter som är pålitliga; och den slutliga lösningen av tvister måste komma från domstolar.
Däremot är proof-of-work en objektiv konsensusmekanism där vilken uppsättning relaterade eller icke-närstående parter som helst kan komma överens om vilket tillstånd i blockkedjan som är korrekt. Som ett resultat kan två olika ekonomiska aktörer komma överens om huruvida en betalning har gjorts, oberoende av domstolar eller inflytelserika samhällsmedlemmar. Denna distinktion gör proof-of-work lämplig – och proof-of-stake olämplig – som en konsensusmekanism för digitala valutor.
Digitala pengar och konsensus
Problemet som behöver lösas
En av de mest grundläggande operationerna som datorer utför är att kopiera information. Denna operation lämnar originalkopian intakt och producerar en exakt kopia utan kostnad. Datorer kan kopiera precis vad som helst, så länge det är digitalt.
Det finns dock vissa saker som existerar rent i den digitala sfären som inte kan kopieras. Saker som är både digitala och knappa. Denna beskrivning gäller bitcoin till exempel, samt till andra blockkedjebaserade digitala tillgångar. De kan skickas, men efter att ha skickat dem är originalkopian borta. Man kan inte hålla med om anledningen till att marknaden efterfrågar dessa tillgångar, men det faktum att denna efterfrågan finns gör att dessa digitala tillgångar är användbara som en motsvarighet till balansbyten. När det sammanfattas till ett enda ord: de är pengar.
För att uppnå digital knapphet replikerar blockchain-protokollet en reskontra över ett nätverk. Huvudboken kan uppdateras, men endast med transaktioner där ägarna av de använda medlen är överens; nettosumman är noll; och utgångarna är positiva.
Alla ogiltiga uppdateringar kommer att avvisas. Så länge det råder konsensus om statusen för reskontran bland alla deltagare i protokollet garanteras digital brist.
Det visar sig att det är en svår uppgift att uppnå konsensus. Imperfekta nätverksförhållanden genererar distinkta vyer av historien. Paketen tappas eller levereras ur funktion. Oenighet är endemisk för nätverk.
Fork-Choice-regeln
Blockkedjor löser detta problem på två sätt. Först upprätthåller de en fullständig beställning på alla transaktioner, vilket genererar ett träd av alternativa synpunkter på historien. För det andra definierar de kanon för historier, tillsammans med en gaffelvalsregel som väljer den kanoniska grenen från historieträdet.
Det är lätt att härleda kanonitet från betrodda myndigheter eller, enligt vissa, från ett digitalt röstsystem som backas upp av ett system för medborgaridentitet. Men pålitliga myndigheter är det säkerhetshål, och att förlita sig på att regeringen tillhandahåller pålitliga identifieringstjänster blir ett politiskt verktyg snarare än ett som är oberoende av det. Båda lösningarna förutsätter dessutom enighet om tredje parts identiteter och trovärdighet. Vi vill minska tillitsantaganden; helst har vi en lösning som helt och hållet härrör från matematik.
En lösning för att bestämma kanonitet som helt och hållet härrör från matematiken genererar den anmärkningsvärda egenskapen att svaret är oberoende av vem som än beräknar det. Detta är den mening i vilken en konsensusmekanism kan vara objektiv. Det finns dock en viktig varning: man måste anta att alla parter är överens om en enda referenspunkt, såsom genesisblocket eller dess hashsammandrag. En objektiv konsensusmekanism är en som gör det möjligt för varje part att extrapolera den kanoniska synen på historien från denna referenspunkt.
Vilken gren av trädet som väljs ut att vara kanonisk är inte viktigt; Det viktiga är att alla deltagare kan komma överens om detta val. Dessutom behöver inte hela trädet representeras explicit på någon dator. Istället räcker det för varje nod att bara hålla en handfull grenar. I det här fallet testar regeln för val av gaffel bara två kandidatbilder på historien samtidigt. Strängt taget är frasen den kanoniska historiesynen missvisande: En historiesyn kan bara vara mer eller mindre kanonisk i förhållande till en annan syn. Noder släpper vilken gren som är mindre kanonisk och sprider den som är mer. Närhelst en historikvy utökas med en grupp nya transaktioner, är den nya vyn mer kanonisk än den gamla.
För att nätverket snabbt ska konvergera till konsensus om den kanoniska synen på historien måste gaffelvalsregeln uppfylla två egenskaper. För det första måste den vara väldefinierad och effektivt utvärderbar för två pars historiesyn. För det andra måste den vara transitiv för varje trippel av historiesyn. För den matematiskt inställda: låt U,V,W vara vilken som helst tre syn på historien, och låt infixet "<" beteckna gaffelvalsregeln som gynnar höger sida framför vänster.
Sedan gäller [två villkor]:
U
För att huvudboken ska kunna ta emot uppdateringar måste historikvyer kunna utökas på ett sätt som är kompatibelt med regeln om gaffelval. Därför krävs ytterligare två fastigheter. För det första, när den utvärderas på två vyer där den ena är en förlängning av den andra, måste gaffelvalsregeln alltid gynna den utökade vyen. För det andra är förlängningar av en (tidigare) kanonisk uppfattning mer sannolikt kanoniska än förlängningar av icke-kanoniska uppfattningar. Symboliskt, låt "E" beteckna en förlängning och "‖" operationen som tillämpar den. Sedan:
U 0.5Den sista egenskapen uppmuntrar ärliga förlängare att fokusera på att utöka kanoniska vyer i motsats till vyer som de vet inte är kanoniska. Som ett resultat av detta incitament tenderar distinkta historieuppfattningar som uppstår från ärliga men motsägelsefulla förlängningar samtidigt att bara skilja sig åt i sina tips när det gäller de senaste händelserna. Ju längre tillbaka en händelse loggas, desto mindre sannolikt kommer den att störtas av den omorganisation som påtvingats av en annan, mer kanonisk, syn på historien som avviker vid en tidigare tidpunkt. Ur detta perspektiv är den kanoniska historiesynen väldefinierad i termer av gränsen för historiesyn som nätverket konvergerar till.
Den uppenbara diskvalificeringen i föregående stycke är behovet av att förlängare uppträder ärligt. Hur är det med oärliga förlängare? Om motståndaren kan kontrollera den slumpmässiga variabeln som är implicit i sannolikhetsuttrycket, då kan han konstruera den till sin fördel och starta djupa omorganisationer med hög framgångssannolikhet. Även om han inte kan kontrollera den slumpmässiga variabeln, men kan producera kandidatförlängningar billigt, då kan han utvärdera gaffelvalsregeln lokalt och på obestämd tid tills han hittar en tidig punkt för divergens tillsammans med en förlängning som råkar generera en mer kanonisk gren än någon som cirkulerar.
Den saknade pusselbiten är inte en mekanism som förhindrar oärliga förlängningar. I en miljö med ofullkomliga nätverksförhållanden är det omöjligt att avgränsa oärligt beteende. En angripare kan alltid ignorera meddelanden som inte faller honom i smaken, eller fördröja deras spridning och hävda att nätverksanslutningen är skyldig. Istället är den saknade pusselbiten en mekanism som gör djupa omorganisationer dyrare än grunda, och dyrare ju djupare de går.
Kumulativt bevis-på-arbete
Satoshi Nakamotos konsensusmekanism uppnår just detta. För att föreslå en ny sats av transaktioner (kallade block), och därmed utöka någon gren, måste blivande förlängare (kallade gruvarbetare) först lösa ett beräkningspussel. Det här pusslet är dyrt att lösa men lätt att verifiera och heter därför passande nog proof-of-work. Endast med lösningen på det här pusslet är den nya batchen av transaktioner (och historiken den förbinder sig till) en giltig utmanare för canon. Pusslet kommer med en ratt för att justera dess svårighetsgrad, som vrids automatiskt för att reglera den förväntade tiden innan en ny lösning hittas, oavsett antalet deltagare eller de resurser de ägnar åt problemet. Denna ratt har en sekundär funktion som en opartisk indikator på pussellösningsansträngning i en enhet som mäter svårighetsgrad.
Processen är öppen för allas deltagande. Den begränsande faktorn är inte auktoritet eller kryptografiskt nyckelmaterial eller hårdvarukrav, snarare är den begränsande faktorn de resurser man är villig att spendera för att ha en chans att hitta ett giltigt block. Pusslets probabilistiska och parallella karaktär belönar den kostnadseffektiva gruvarbetaren som maximerar antalet beräkningar per joule, även till priset av ett lägre antal beräkningar per sekund.
Med tanke på målsvårighetsparametern (ratten) för varje block är det lätt att beräkna en opartisk uppskattning av den totala mängden arbete som en given gren av historien representerar. Regeln om arbetsbevis, gaffelval gynnar den gren där detta antal är större.
Gruvarbetare tävlar mot varandra för att hitta nästa block. Den första gruvarbetaren att hitta den och framgångsrikt sprida den vinner. Om man antar att gruvarbetare inte sitter på giltiga men oproporterade nya block, när de får ett nytt block från konkurrerande gruvarbetare, antar de det som den nya chefen för historiens kanoniska gren eftersom att misslyckas med att göra det försätter dem i underläge. Att bygga ovanpå ett block som är känt för att vara gammalt är irrationellt eftersom gruvarbetaren måste komma ikapp resten av nätverket och hitta två nya block för att lyckas – en uppgift som i genomsnitt är dubbelt så svår som byta till den nya, längre grenen och förlänga den. I en proof-of-work blockchain tenderar omorganisationer att vara isolerade till toppen av historiens träd, inte för att gruvarbetare är ärliga, utan för att kostnaden för att generera omorganisationer växer med djupet av omorganisationen. Exempel: enligt detta stack exchange svar, exklusive gafflar efter programuppdateringar, den längsta gaffeln på Bitcoin blockchain hade längd 4, eller 0.0023% av blockhöjden vid den tiden.
Proof-of-Stakes "lösning"
Proof-of-stake är ett föreslaget alternativ till proof-of-work där den korrekta synen på historien inte definieras i termer av den största mängden arbete som spenderas på att lösa kryptografiska pussel, utan snarare definieras i termer av de offentliga nycklarna för speciella noder som kallas validatorer. Närmare bestämt signerar validatorer nya block. En deltagande nod verifierar den korrekta historiken genom att verifiera signaturerna på de ingående blocken.
Noden har inte möjlighet att skilja giltiga synpunkter på historien från ogiltiga. Poängen är att ett konkurrerande block bara är en seriös utmanare för toppen av den korrekta synen på historien om det har en stödjande signatur (eller många stödjande signaturer). Validatorerna kommer sannolikt inte att underteckna alternativa block eftersom den signaturen skulle bevisa deras skadliga beteende och resultera i att deras insats förloras.
Processen är öppen för allmänheten. Vem som helst kan bli en validator genom att lägga en viss mängd kryptovaluta på ett speciellt depositionskonto. Dessa spärrade pengar är "insatsen" som minskas om valideraren beter sig illa. Noder verifierar att signaturerna på nya block matchar de publika nycklar som tillhandahålls av validerare när de lägger sina insatser i deposition.
Formellt, i proof-of-stake-blockkedjor, är definitionen av den korrekta synen på historien helt rekursiv. Nya block är endast giltiga om de innehåller rätt signaturer. Signaturerna är giltiga med avseende på validerarnas publika nycklar. Dessa publika nycklar bestäms av gamla block. Fork-choice-regeln är inte definierad för konkurrerande syn på historien, så länge som båda åsikterna är självständiga.
Däremot definieras den korrekta synen på historien i proof-of-work-blockkedjor också rekursivt, men inte med undantag för externa indata. Specifikt förlitar sig gaffelvalsregeln i bevis-på-arbete också på slumpmässighet vars opartiskhet är objektivt verifierbar.
Denna externa ingång är nyckelskillnaden. I proof-of-work definieras gaffelvalsregeln för alla par olika konkurrerande historiesyn, varför det är möjligt att tala om kanon i första hand. I proof-of-stake är det endast möjligt att definiera korrekthet i förhållande till en tidigare historia.
Proof-of-stake är omstörtbar
Spelar det någon roll? I teorin, för att två konsekventa men ömsesidigt oförenliga historieuppfattningar ska kunna produceras, måste någonstans någonstans ha varit oärlig, och om de betedde sig oärligt är det möjligt att ta reda på var, bevisa det och dra ner på sin insats. Eftersom validatorn som ställts in vid den första punkten av divergens inte är ifrågasatt, är det möjligt att återhämta sig därifrån.
Problemet med detta argument är att det inte tar tid i beräkningen. Om en validator från tio år sedan dubbeltecknar ömsesidigt motstridiga block – det vill säga publicerar en nyligen undertecknad motstridig motsvarighet till blocket som bekräftades för tio år sedan – så kommer historien att behöva skrivas om från den punkten och framåt. Den skadliga validerarens insats minskas. Transaktioner som spenderar insatsbelöningarna är nu ogiltiga, liksom transaktioner nedströms därifrån. Givet tillräckligt med tid, kan validatorns belöningar spridas till en stor del av blockchain-ekonomin. En mottagare av mynt kan inte vara säker på att alla beroenden kommer att förbli giltiga i framtiden. Det finns ingen slutgiltighet eftersom det inte är svårare eller dyrare att omorganisera det långt förflutna än det nära förflutna.
Proof-of-stake är subjektivt
Det enda sättet att lösa detta problem är att begränsa djupet för omorganisationer. Motstridiga historieåsikter vars första punkt av divergens är äldre än en viss tröskelålder ignoreras. Noder som presenteras med en annan uppfattning vars första punkt av divergens är äldre, avvisar den direkt utan att testa vilken som är korrekt. Så länge som vissa noder är aktiva vid en given tidpunkt garanteras kontinuitet. Det finns bara ett sätt som blockkedjan kan utvecklas om för djupgående omorganisationer blockeras.
Denna lösning gör proof-of-insats till en subjektiv konsensusmekanism. Svaret på frågan "vilket är blockkedjans nuvarande tillstånd?" beror på vem du frågar. Det är inte objektivt verifierbart. En angripare kan producera en alternativ syn på historien som är lika självständig som den korrekta. Det enda sättet som en nod kan veta vilken vy som är korrekt är genom att välja en uppsättning kamrater och ta deras ord för det.
Det kan hävdas att denna hypotetiska attack inte är relevant om kostnaden för att ta fram denna alternativa historiesyn är för stor. Även om det motargumentet kan vara sant, är kostnaden ett objektivt mått och så om det är sant beror på externa faktorer som inte är representerade i blockkedjan. Till exempel kan angriparen förlora hela sin andel i en syn på historien, men bryr sig inte eftersom han kan garantera genom juridiska eller sociala medel att den alternativa synen kommer att accepteras. Varje säkerhetsanalys eller beräkning av attackkostnad som fokuserar på vad som händer på "the" blockchain, och inte tar hänsyn till den objektiva värld som den lever i, är fundamentalt felaktig.
Internt med en proof-of-stake kryptovaluta är att inte bara kostnaden är subjektiv, utan även belöningen. Varför skulle en angripare sätta in sin attack om slutresultatet inte är en utbetalning som mekaniskt bestäms av hans uppfinningsrikedom, utan en sändning från kryptovalutans officiella team av utvecklare som förklarar varför de har valt till förmån för den andra grenen? Det kan finnas externa utbetalningar – till exempel från finansiella alternativ som förväntar sig att priset kommer att falla eller av ren glädje över att orsaka kaos – men poängen är att den låga sannolikheten för interna utbetalningar undergräver argumentet att marknadsvärdet av befintliga bevis på- insats av kryptovalutor utgör en effektiv attackpremie.
Pengar och objektivitet
Pengar är i grunden det objekt med vilket en skuld regleras. Att reglera skulder kräver effektivt samförstånd mellan parterna i utbytet - i synnerhet valutan och summan pengar. En tvist kommer att leda till att utestående fordringar upprätthålls och en vägran att göra återkommande affärer på lika eller liknande villkor.
Effektiv skuldsanering kräver inte att hela världen kommer överens om den specifika typen av pengar. Därför kan en subjektiv penning vara användbar i fickor i världsekonomin där det råkar råda konsensus. Men för att överbrygga klyftan mellan två fickor av mikroekonomier, eller mer allmänt mellan två personer i världen, krävs global konsensus. En objektiv konsensusmekanism uppnår detta; en subjektiv gör det inte.
Proof-of-stake kryptovalutor kan inte ge en ny grund för världens finansiella ryggrad. Världen består av stater som inte erkänner varandras domstolar. Om en tvist uppstår om den korrekta synen på historien är den enda utvägen krig.
Stiftelser som utvecklar och stödjer proof-of-stake-blockkedjor, såväl som frilansande utvecklare som arbetar för dem – och till och med influencers som inte skriver kod – utsätter sig själva för juridiskt ansvar för att de godtyckligt valt en ogynnsam syn på historien (för käranden). Vad händer när en kryptovalutabörs möjliggör ett stort uttag nedströms från en insättning i en proof-of-stake kryptovaluta vars transaktion endast visas i en gren av två konkurrerande historievyer? Utbytet kanske väljer den vy som gynnar deras slutresultat, men om resten av communityn – tillskyndade av PGP-signaturerna och tweets och Medium-inlägg från stiftelserna, utvecklarna och influencers – väljer den alternativa synen, så står utbytet bakom räkningen. De har alla incitament och förtroendeansvar för att få tillbaka sina förluster från de personer som är ansvariga för dem.
I slutändan kommer en domstol att avgöra vilken historiesyn som är den rätta.
Slutsats
Förespråkare av proof-of-stake hävdar att det tjänar samma syfte som proof-of-work, men utan allt energislöseri. Alltför ofta ignorerar deras stöd de avvägningar som finns i alla tekniska dilemma. Ja, proof-of-stake eliminerar energiförbrukningen, men denna eliminering offrar objektiviteten hos den resulterande konsensusmekanismen. Det är okej för situationer där endast fickor av lokal samsyn räcker, men detta sammanhang väcker frågan: Vad är poängen med att eliminera den betrodda myndigheten? För en global finansiell ryggrad krävs en objektiv mekanism.
Den självrefererande karaktären hos proof-of-stake gör det i sig subjektivt: Vilken historiesyn som är korrekt beror på vem du frågar. Frågan "är bevis på insats säkert?" försöker reducera analysen till ett objektivt kostnadsmått som inte finns. På kort sikt beror vilken gaffel som är korrekt på vilken gaffel som är populär bland inflytelserika communitymedlemmar. På lång sikt kommer domstolar att anta makten att avgöra vilken gaffel som är korrekt, och fickorna med lokal konsensus kommer att sammanfalla med gränserna som markerar slutet på en domstols jurisdiktion och början på nästa.
Den energi som gruvarbetare förbrukar i proof-of-work blockkedjor slösas inte bort lika mycket som diesel slösas bort på bilar. Istället byts det ut mot kryptografiskt verifierbar, opartisk slumpmässighet. Vi vet inte hur man skapar en objektiv konsensusmekanism utan denna nyckelingrediens.
Detta är ett gästinlägg av Alan Szepieniec. Åsikter som uttrycks är helt deras egna och återspeglar inte nödvändigtvis de från BTC Inc. eller Bitcoin magazine.
Ursprunglig källa: Bitcoin magazine