By Bitcoin Журнал - 1 рік тому - Час читання: 14 хвилини
Доказ роботи є об’єктивним, а довідка – ні
Механізм консенсусу підтвердження роботи, який використовується в Bitcoin є об’єктивним показником історії, який неможливо змінити за примхами валідаторів.
Алан Шепєнец має ступінь доктора філософії в галузі постквантової криптографії в KU Leuven. Його дослідження зосереджені на криптографії, особливо на тій криптографії, яка корисна для Bitcoin.
Proof-of-stake — це запропонований альтернативний консенсусний механізм для підтвердження роботи, який Bitcoinвикористовує механізм консенсусу. Замість того, щоб вимагати споживання енергії, proof-of-stake вимагає від майнерів (зазвичай їх називають валідаторами) поставити на карту цифрові активи, щоб зробити внесок у процес виробництва блоків. Стейкінг стимулює їх поводитися чесно, щоб уникнути втрати своєї частки. Теоретично, за допомогою лише чесних валідаторів мережа швидко прийде до консенсусу щодо порядку транзакцій і, отже, щодо того, які транзакції є недійсними подвійними витратами.
Доказ частки став предметом багатьох дискусій. Більшість критики зосереджена на безпеці: чи зменшує це вартість атаки? Багато людей також формулюють соціологічні проблеми: централізація влади, концентрація багатства, плутократія тощо.
У цій статті я висловлю набагато більш базову критику: Proof-of-stake за своєю суттю суб’єктивний. Правильний погляд на блокчейн доказу частки залежить від того, кого ви запитуєте. Як результат, вартість атаки не може бути розрахована у внутрішніх одиницях блокчейну, що робить аналіз безпеки недійсним; борги не можуть бути врегульовані між сторонами, які ще не домовилися про те, хто з третіх сторін є надійним; а остаточне вирішення суперечок має здійснюватися судами.
Навпаки, підтвердження роботи – це механізм об’єктивного консенсусу, за допомогою якого будь-який набір пов’язаних чи непов’язаних сторін може дійти згоди щодо того, який стан блокчейна є точним. У результаті будь-які два суб’єкти економіки можуть домовитися про те, чи було здійснено платіж, незалежно від судів чи впливових членів громади. Ця відмінність робить proof-of-work придатним — і proof-of-stake — непридатним механізмом консенсусу для цифрових валют.
Цифрові гроші та консенсус
Проблема, яка потребує вирішення
Однією з найпростіших операцій, які виконують комп’ютери, є копіювання інформації. Ця операція залишає оригінальну копію недоторканою та створює точну копію практично безкоштовно. Комп’ютери можуть копіювати майже все, якщо це цифрове.
Однак є деякі речі, які існують суто в цифровій сфері, які неможливо скопіювати. Речі цифрові та дефіцитні. Цей опис стосується bitcoin наприклад, а також до інших цифрових активів на основі блокчейну. Їх можна надіслати, але після надсилання оригінальна копія зникає. Хтось може не погоджуватися з причиною, чому ринок потребує цих активів, але той факт, що такий попит існує, означає, що ці цифрові активи корисні як відповідник балансу бірж. Якщо звести до одного слова: це гроші.
Щоб досягти цифрового дефіциту, протокол блокчейну відтворює облікову книгу в мережі. Книгу можна оновлювати, але тільки транзакціями, на які погоджуються власники витрачених коштів; чиста сума дорівнює нулю; і результати позитивні.
Будь-яке недійсне оновлення буде відхилено. Поки між усіма учасниками протоколу існує консенсус щодо стану реєстру, цифровий дефіцит гарантований.
Виявляється, досягти консенсусу – непросте завдання. Недосконалі умови мережі створюють різні погляди на історію. Пакети випали або доставлені не в порядку. Розбіжності є властивими мережам.
Правило вибору вилки
Блокчейни вирішують цю проблему двома способами. По-перше, вони забезпечують повне впорядкування всіх транзакцій, що створює дерево альтернативних поглядів на історію. По-друге, вони визначають канон для історій разом із правилом вибору, яке вибирає канонічну гілку з дерева історій.
Легко отримати канонічність від довірених органів або, на думку деяких, від схеми цифрового голосування, що підтримується схемою ідентифікації громадянина. Проте довірені органи є захисні отвори, і покладатися на уряд у наданні надійних послуг ідентифікації стає інструментом політики, а не інструментом, який не залежить від нього. Крім того, обидва рішення передбачають угоду щодо ідентичності та надійності третіх сторін. Ми хочемо зменшити припущення про довіру; в ідеалі ми маємо рішення, яке повністю походить від математики.
Рішення для визначення канонічності, яке повністю походить від математики, створює чудову властивість, що відповідь не залежить від того, хто її обчислює. У цьому сенсі механізм консенсусу здатний бути об’єктивним. Проте є одне важливе застереження: слід припустити, що всі сторони погоджуються щодо єдиної контрольної точки, такої як блок генезису або його хеш-дайджест. Механізм об’єктивного консенсусу — це механізм, який дозволяє будь-якій стороні екстраполювати канонічний погляд на історію з цієї точки відліку.
Яку гілку дерева буде обрано канонічною, не важливо; важливо, щоб усі учасники могли погодитися щодо цього вибору. Крім того, все дерево не обов'язково представляти явно на одному комп'ютері. Замість цього достатньо, щоб кожен вузол містив лише кілька гілок. У цьому випадку правило форк-вибору перевіряє лише два потенційні погляди на історію в будь-який момент часу. Строго кажучи, фраза канонічний погляд на історію вводить в оману: погляд на історію може бути більш-менш канонічним лише відносно іншого погляду. Вузли відкидають будь-яку менш канонічну гілку та поширюють ту, яка є більшою. Щоразу, коли перегляд історії розширюється за допомогою групи нових транзакцій, новий перегляд є більш канонічним, ніж старий.
Для того, щоб мережа швидко дійшла консенсусу щодо канонічного погляду на історію, правило вибору має задовольняти дві властивості. По-перше, воно має бути чітко визначеним і таким, що можна ефективно оцінити для будь-яких поглядів двох пар на історію. По-друге, вона має бути транзитивною для будь-якої трійки поглядів на історію. Для тих, хто схильний до математики: нехай U, V, W будуть будь-якими трьома поглядами на історію, і нехай інфікс «<» позначає правило вибору, яке надає перевагу правій стороні над лівою.
Тоді [виконуються дві умови]:
U
Для того, щоб книга могла вміщувати оновлення, перегляди історії повинні бути розширюваними у спосіб, сумісний із правилом вибору форк-вибору. Тому потрібні ще дві властивості. По-перше, при оцінці двох переглядів, один з яких є розширенням іншого, правило вибору розгалуження має завжди віддавати перевагу розширеному перегляду. По-друге, розширення (раніше) канонічного погляду, швидше за все, будуть канонічними, ніж розширення неканонічного погляду. Символічно, нехай «E» позначає розширення, а «‖» операцію, яка його застосовує. Потім:
U 0.5Остання властивість спонукає чесних розширювачів зосереджуватися на розширенні канонічних поглядів на відміну від поглядів, які, як вони знають, не є канонічними. У результаті цього стимулу різні погляди на історію, які виникають із чесних, але суперечливих розширень, водночас мають тенденцію відрізнятися лише своїми підказками, коли йдеться про останні події. Чим далі реєструється подія, тим менша ймовірність, що вона буде скасована реорганізацією, нав’язаною іншим, більш канонічним поглядом на історію, який розходиться в більш ранній точці. З цієї точки зору канонічний погляд на історію чітко визначений у термінах межі поглядів на історію, до яких сходить мережа.
Очевидним дискваліфікатором у попередньому параграфі є необхідність розширювачів поводитися чесно. А як щодо нечесних подовжувачів? Якщо супротивник може контролювати випадкову змінну, приховану у виразі ймовірності, то він може спроектувати її на свою користь і запустити глибокі реорганізації з високою ймовірністю успіху. Навіть якщо він не може контролювати випадкову змінну, але може дешево створювати розширення-кандидати, тоді він може оцінювати правило вибору розгалуження локально та нескінченно довго, доки не знайде ранню точку розбіжності разом із розширенням, яке генерує більш канонічне галузь, ніж будь-яка, яка циркулює.
Відсутня частина головоломки — це не механізм, який запобігає нечесним пролонгаціям. У середовищі недосконалих мережевих умов неможливо окреслити нечесну поведінку. Зловмисник завжди може проігнорувати повідомлення, які йому не подобаються, або затримати їх розповсюдження та стверджувати, що винне мережеве підключення. Натомість відсутня частина головоломки — це механізм, який робить глибокі реорганізації дорожчими, ніж поверхневі, і тим дорожчими, чим глибше вони заходять.
Сукупне підтвердження роботи
Механізм консенсусу Сатоші Накамото досягає саме цього. Щоб запропонувати нову партію транзакцій (так звані блоки) і таким чином розширити якусь гілку, потенційні розширювачі (так звані майнери) повинні спочатку вирішити обчислювальну головоломку. Цю головоломку дорого розв’язати, але її легко перевірити, тому її влучно названо доказом роботи. Тільки з розв’язанням цієї головоломки нова партія транзакцій (і історія, яку вона зобов’язує) стане дійсним претендентом на канон. Головоломка оснащена ручкою для регулювання її складності, яка автоматично повертається, щоб упорядкувати очікуваний час, перш ніж буде знайдено нове рішення, незалежно від кількості учасників або ресурсів, які вони виділяють на проблему. Ця ручка має допоміжну функцію як неупереджений індикатор зусиль у розгадуванні головоломки в одиниці, яка вимірює складність.
Процес відкритий для участі будь-кого. Обмежуючим фактором є не повноваження чи вимоги до матеріалу криптографічного ключа чи апаратного забезпечення, скоріше обмежуючим фактором є ресурси, які людина готова витратити, щоб мати шанс знайти дійсний блок. Імовірнісний і паралельний характер головоломки винагороджує економічно ефективного майнера, який максимізує кількість обчислень на джоуль, навіть ціною меншої кількості обчислень на секунду.
Враховуючи цільовий параметр складності (ручку) для кожного блоку, легко обчислити неупереджену оцінку загального обсягу роботи, яку представляє дана гілка історії. Правило proof-of-work, fork-choice правило надає перевагу тій гілці, де це число більше.
Шахтарі змагаються один з одним, щоб знайти наступний блок. Перемагає той майнер, який першим знайде його та успішно поширить. Припускаючи, що майнери не сидять на дійсних, але нерозповсюджених нових блоках, коли вони отримують новий блок від конкуруючих майнерів, вони приймають його як нову голову канонічної гілки історії, тому що нездатність зробити це ставить їх у невигідне становище. Створення поверх блоку, який, як відомо, є старим, є нераціональним, оскільки майнер повинен наздогнати решту мережі та знайти два нових блоки, щоб досягти успіху — завдання, яке в середньому вдвічі складніше, ніж перехід до нової, довшої гілки та її розширення. У блокчейні з підтвердженням роботи реорганізації, як правило, ізольовані на кінчику дерева історії не тому, що майнери чесні, а тому, що вартість створення реорганізацій зростає разом із глибиною реорганізації. Приклад: відповідно до цього відповідь стекового обміну, за винятком форків після оновлень програмного забезпечення, найдовший форк на Bitcoin блокчейн мав довжину 4, або 0.0023% висоти блоку на той час.
«Рішення» Proof-Of-Stake
Proof-of-stake — запропонована альтернатива proof-of-work, у якій правильний погляд на історію визначається не в термінах найбільшої кількості роботи, витраченої на вирішення криптографічних головоломок, а скоріше в термінах відкритих ключів спеціальних вузли, які називаються валідаторами. Зокрема, валідатори підписують нові блоки. Вузол-учасник перевіряє правильність перегляду історії шляхом перевірки підписів на складових блоках.
Вузол не має засобів, щоб відрізнити дійсні перегляди історії від недійсних. Справа в тому, що конкуруючий блок є серйозним претендентом на верхівку правильного перегляду історії, лише якщо він має допоміжний підпис (або багато допоміжних підписів). Валідатори навряд чи підпишуть альтернативні блоки, оскільки такий підпис доведе їх зловмисну поведінку та призведе до втрати їх частки.
Процес відкритий для громадськості. Кожен може стати валідатором, поклавши певну суму криптовалюти на спеціальний ескроу-рахунок. Ці депоновані гроші є «ставкою», яка зменшується, якщо валідатор поводиться неправильно. Вузли перевіряють, чи підписи на нових блоках збігаються з відкритими ключами, наданими валідаторами, коли вони вкладають свої ставки в депонування.
Формально в блокчейнах із підтвердженням частки визначення правильного погляду на історію є цілком рекурсивним. Нові блоки дійсні, лише якщо вони містять правильні підписи. Підписи дійсні щодо відкритих ключів валідаторів. Ці відкриті ключі визначаються старими блоками. Правило вибору не визначено для конкуруючих поглядів на історію, доки обидва погляди є самоузгодженими.
Навпаки, правильний перегляд історії в блокчейнах з підтвердженням роботи також визначається рекурсивно, але не виключаючи зовнішніх вхідних даних. Зокрема, правило форк-вибору в proof-of-work також покладається на випадковість, неупередженість якої можна об’єктивно перевірити.
Цей зовнішній вхід є ключовою відмінністю. У підтвердження роботи правило вибору визначається для будь-якої пари різних конкуруючих поглядів на історію, тому в першу чергу можна говорити про канон. У proof-of-stake коректність можна визначити лише відносно попередньої історії.
Proof-of-Stake є Subvertable
Хоча це має значення? Теоретично, щоб виникли два узгоджені, але взаємно несумісні погляди на історію, десь хтось мав бути нечесним, і якщо він поводився нечесно, можна з’ясувати де, довести це та скоротити свою ставку. Оскільки валідатор, встановлений у цій першій точці розбіжності, не суперечить, його можна відновити звідти.
Проблема з цим аргументом полягає в тому, що він не враховує час. Якщо валідатор десятирічної давнини подвійно підписує взаємно конфліктуючі блоки — тобто публікує нещодавно підписаний суперечливий аналог блоку, який був підтверджений десять років тому — тоді історію потрібно буде переписати з цього моменту. Ставка зловмисного валідатора зменшується. Транзакції, які витрачають винагороду за ставку, тепер недійсні, як і транзакції, що відбуваються далі. За достатньо часу винагороди валідатора можуть поширитися на значну частину економіки блокчейну. Одержувач монет не може бути впевнений, що всі залежності залишаться дійсними в майбутньому. Немає остаточності, тому що реорганізувати далеке минуле не важче чи дорожче, ніж найближче.
Доказ ставки є суб'єктивним
Єдиний спосіб вирішити цю проблему - обмежити глибину, на якій допускаються реорганізації. Суперечливі погляди на історію, перша точка розбіжності яких старше певного порогового віку, ігноруються. Вузли, які представлені в іншому вигляді, перша точка розбіжності якого старша, відхиляють його відразу, не перевіряючи, який правильний. Поки деякі вузли живі в будь-який момент часу, безперервність гарантується. Блокчейн може розвиватися лише в один спосіб, якщо заборонити надто глибокі реорганізації.
Це рішення робить proof-of-stake механізм суб’єктивного консенсусу. Відповідь на питання «в якому стані зараз блокчейн?» залежить від того, кого ви запитуєте. Це не піддається об’єктивній перевірці. Зловмисник може створити альтернативний погляд на історію, який є таким же самоузгодженим, як і правильний. Єдиний спосіб, яким вузол може дізнатися, яке представлення є правильним, це вибрати набір однорангових вузлів і повірити їм на слово.
Можна стверджувати, що ця гіпотетична атака не має значення, якщо витрати на створення цього альтернативного погляду на історію занадто великі. Хоча цей контраргумент може бути вірним, вартість є об’єктивною метрикою, тому чи буде він правдивим, залежить від зовнішніх факторів, які не представлені в блокчейні. Наприклад, зловмисник може втратити всю свою частку в одному погляді на історію, але це не хвилює, оскільки він може гарантувати юридичними чи соціальними засобами, що альтернативний погляд буде прийнятий. Будь-який аналіз безпеки або розрахунок вартості атаки, який зосереджується на тому, що відбувається в «блокчейні», і не бере до уваги об’єктивний світ, у якому він живе, є фундаментально помилковим.
Внутрішньою рисою криптовалюти з підтвердженням частки є те, що суб’єктивною є не лише вартість, але й винагорода. Навіщо зловмиснику розгортати свою атаку, якщо кінцевим результатом є не виплата, механічно визначена його винахідливістю, а трансляція від офіційної команди розробників криптовалюти, яка пояснює, чому вони вибрали іншу гілку? Можуть бути зовнішні виплати — наприклад, від фінансових опціонів, які очікують падіння ціни, або від чистої радості від спричинення хаосу, — але справа в тому, що низька ймовірність внутрішніх виплат підриває аргумент про те, що ринкова капіталізація існуючих доказів Ставки криптовалют є ефективним винагородою за атаку.
Гроші та об'єктивність
Гроші, по суті, є предметом, за допомогою якого розраховується борг. Для ефективного врегулювання боргу потрібен консенсус між сторонами обміну — зокрема щодо валюти та суми грошей. Суперечка призведе до збереження непогашених претензій і відмови вести повторний бізнес на рівних або подібних умовах.
Для ефективного врегулювання боргу не потрібно, щоб увесь світ погоджувався щодо конкретного типу грошей. Таким чином, суб'єктивні гроші можуть бути корисними в кишенях світової економіки, де існує консенсус. Однак для того, щоб подолати розрив між будь-якими двома осередками мікроекономіки, або, загалом, між будь-якими двома особами у світі, потрібен глобальний консенсус. Об’єктивний механізм консенсусу досягає цього; суб’єктивний – ні.
Криптовалюти Proof-of-Stake не можуть стати новою основою для світового фінансового хребта. Світ складається з держав, які не визнають судів одна одної. Якщо виникає суперечка щодо правильного погляду на історію, єдиним порятунком є війна.
Фонди, які розробляють і підтримують блокчейни з підтвердженням частки, а також позаштатні розробники, які працюють на них — і навіть впливові особи, які не пишуть код — піддають себе юридичній відповідальності за довільний вибір несприятливого погляду на історію (для позивача). Що відбувається, коли біржа криптовалюти дозволяє зняти великі кошти після депозиту в криптовалюті з підтвердженням частки, чия транзакція відображається лише в одній гілці двох конкуруючих поглядів історії? Біржа може обрати точку зору, яка принесе користь їхнім результатам, але якщо решта спільноти — на основі підписів PGP, твітів і публікацій Medium фондів, розробників і впливових осіб — вибере альтернативну точку зору, тоді біржа залишиться на місці. рахунок. Вони мають усі стимули та фідуціарну відповідальність для відшкодування своїх збитків від осіб, відповідальних за них.
Зрештою суд винесе рішення про те, який погляд на історію є правильним.
Висновок
Прихильники proof-of-stake стверджують, що воно служить тій же меті, що й proof-of-work, але без втрат енергії. Надто часто їхня підтримка ігнорує компроміси, присутні в будь-якій інженерній дилемі. Так, proof-of-stake усуває витрати енергії, але це усунення жертвує об’єктивністю отриманого механізму консенсусу. Це нормально для ситуацій, коли достатньо лише осередків місцевого консенсусу, але цей контекст викликає запитання: який сенс усунення довіреного авторитету? Для глобальної фінансової опори необхідний об’єктивний механізм.
Самопосилання на proof-of-stake робить його за своєю суттю суб’єктивним: який погляд на історію правильний, залежить від того, кого ви запитуєте. Питання «чи безпечний proof-of-stake?» спроби звести аналіз до об’єктивної міри вартості, якої не існує. Короткостроково правильний форк залежить від того, який форк популярний серед впливових членів спільноти. У довгостроковій перспективі суди візьмуть на себе повноваження вирішувати, яка форка є правильною, а осередки місцевого консенсусу збігатимуться з кордонами, які позначають кінець юрисдикції одного суду та початок наступного.
Енергія, яку витрачають майнери на блокчейни з підтвердженням роботи, не витрачається так само, як дизель витрачається на заправку автомобілів. Замість цього він обмінюється на криптографічно перевірену неупереджену випадковість. Ми не знаємо, як створити механізм об’єктивного консенсусу без цього ключового інгредієнта.
Це гостьовий допис Алана Шепєнеца. Висловлені думки є їх власними і не обов’язково відображають думку BTC Inc. або Bitcoin журнал.
Оригінальний джерело: Bitcoin журнал