Почему настоящей криптовалюте негоже быть Proof-of-Stake

Мы сознательно сохранили оригинальный заголовок, поскольку эта тема была предложена читателем HCN на Features Контракте. Таким образом мы отмечаем первую публикацию материала, тема которого шла не от редакторов или публикаторов канала.

Термины:

Хэш и хэширование -- результат и математическая операция, при котором, скажем весь первый абзац первого раздела, преобразуются в меньшую по размеру строку 0dcfff45db16e3ccd8dc42c16ec13146477efc0bde95c477e626749ed7911480, при этом хэш-функция позволяет скрыть изначальную строку так, что её можно найти только перебором (в идеальном случае), если нет никакой информации об оригинальной статье.

Proof-of-Work -- механизм обработки транзакций и генерации блоков в блокчейне, при котором майнер "крутит рулетку", пытаясь отыскать хэш удовлетворяющий правилу, например, "один ноль в первом символе". Для первого абзаца первого раздела для этого понадобилось добавить число 3000 и перебрать от 1000 четыре хэша (включая хэш без числа). Результат POW нельзя предсказать для хорошей хэш-функции, можно только найти удовлетворяющий условию хэш, и это условие является частью POW.

Proof-of-Stake — метод улучшения компьютерных алгоритмов консенсуса. Например, задача: у нас в сети несколько компьютеров и все они должны по очереди генерировать случайное число и приходить к единому мнению в течение миллисекунд. Для того, чтобы её решить в общем случае на плохой сети, с плохими компьютерами, нам надо использовать какие либо алгоритмы вроде Paxos, Raft, Practical Byzantine Fault Tolerant, это т.н. алгоритмы консенсуса. Усложняя задачу, и помещая в сеть блокчейн, нам надо быть уверенными, что ни один из участников сети не выдал себя за кого-то другого, и тогда мы присваиваем каждому участнику свою криптографическую подпись, а чтобы ему было что терять — говорим положить в страховой депозит сколько-нибудь токенов, которые в случае, если он врёт, переаспределяются между остальными участниками.

Два мифа криптовалютного мира

Обсуждения Proof-of-Stake (PoS) не утихают уже много лет. Современный «интерес» обусловлен двумя главными факторами: обвинением майнеров Биткоина в не экологичности со стороны просвещённой западной интеллигенции, и продолжающемся переходе Ethereum на PoS. Существует также некоторое количество других проектов post-ICO эры, которые избрали его в качестве основного архитектурного решения для алгоритма косенсуса, например Cardano, Cosmos или Free-TON. Ни один из них не является ни сколько нибудь децентрализованным (Cardano управляется одной характерной личностью, а во Free-TON коммьюнити проводятся "конкурсы эссе") или демонстрирует сколько-нибудь уникальные и действительно нужные приложения, проигрывая в этом даже Ethereum.

Сообщество ETH использует медиа-шумиху в своих интересах, не смотря на то, что реализация рабочего решения уже затягивается в течение пары-тройки лет. Такие разрабочики как Питер Тодд смотрят на это как на логичное следствие общей скам-культуры Ethereum, и Виталика Бутерина в частности, имеющего историю получения грантов для разработки алгоритмов симуляции квантового компьютера.

Фундаментальной проблемой распределенных вычислений и мультиагентных систем является достижение общей надежности системы при наличии ряда неисправных процессов. Это часто требует координации процессов для достижения консенсуса или согласования некоторого значения данных , необходимого во время вычислений. Примеры применения консенсуса включают в себя согласование того, какие транзакции должны быть зафиксированы в базе данных в каком порядке , репликацию государственной машины и атомарную широковещательную передачу. [wiki]

Proof-of-Stake и ASIC-resistance являются долгоживущими мифами криптовалютного мира. О последнем мы писали в специальной статье, вышедшей на фоне атак на ASIC-resistant протоколы, которые не пожелали, чтобы майнеры протоколов работали на специализированных микросхемах (ASIC). Известные атаки на PoS находятся глубоко в прошлом, и они относились к этапам раннего функционирования алгоритмов этого вида, мы вернёмся к этому позднее, когда рассмотрим, почему современные архитектурные решения имеют определённый характерный вид. Современные PoS протоколы, либо малы, либо сумели предусмотреть способы защиты от наиболее тривиальных атак.

Что такое PoS

Концепция, ныне известная как Proof-of-Stake, была придумана гораздо раньше, чем в 2012, в 1998 для проекта B-Money. Необходимо отметить, что в 1990х, наследники DigiCash, самой первой "криптовалюты", разработанной Дэвидом Чаумом, работали по похожим принципам, аналогичным B-Money. Технология работы DigiCash носит название chaumian cash, по имени создателя, который придумал алгоритмы слепой верификации. Она подразумевает эмиссию цифровых одноразовых "чеков", которые выступают в качестве токенов на предъявителя. Функционирование такой системы не похоже на работу современных криптовалют или цифрового фиата, однако мы можем допустить, что эмиссия таких токенов в общем может производиться различными "банками", которые могут согласовать между собой особые идентификаторы и осуществлять взаимозачёт погашенных токенов через какую-либо базу данных. Это и является основой аналогии с PoS.

Proof-of-Stake, на уровне криптовалюты, является способом консенсуса относительно совершённых транзакций в сети, в котором решения о корректности транзакции согласуются между валидаторами сети и эти валидаторы каким-то способом осуществили депонирование большого количества криптовалюты (stake) для того, чтобы выполнять эту функцию в обмен на комиссии в сети и вознаграждение на каждый проверенный блок транзакций. Это в некотором роде рождает проблему курицы и яйца, только в криптовалютном протоколе. Для того, чтобы утрата stake была не выгодна валидатору в случае проведения атаки на протокол, stake должен обладать значительной материальной ценностью. Но на начальном этапе ни у одного криптовалютного протокола не может быть такой ценности.

Напротив, в proof-of-work (PoW) происходит эволюция как мы можем посмотреть на примере протокола Биткоин, и некоторых других протоколов (Litecoin, например). Сеть начинает работу, когда очень мало людей знают о её существовании и видят в этом ценность. Если больше людей видят ценность в использовании криптовалюты, цена на неё растёт. Это привлекает майнеров, их становится больше, "сложность" PoW растёт и появляются люди, которые начинают использовать всё более мощное оборудование для увеличения выручки и прибыли. В конце концов, курс может упасть, и наиболее отсталые майнеры будут иметь ещё меньше возможности выгодно работать в протоколе PoW, они уйдут из сети, оставляя место для более современных майнеров.

Andrew Poelstra в Treatise on Altcoins (2013) описывал первые неудачи в реализациях Proof-of-Stake и разбирался в его ограничениях. Обратите внимание на дату этого трактата. Прототип PoS был впервые использован в Peercoin, в котором подписи разработчиков определяли, какой блок "правильный". В этом случае мы не можем говорить ни о какой децентрализации. Следующий пример Поэльстры Blackcoin(NXT) в результате имел закрытый исходный код и даже не мог установить общую историю сети: т.е. в нём не существовало консенсуса.

PoS в некотором роде переизобретает новые виды атак, которые могут быть проведены на криптовалютный протокол, в котором нет места майнерам. Презентация со Стенфордской конференции по Анализу протокола блокчейн и безопасности, "Формальные барьеры реализации Proof-of-Stake протоколов" рассматривала модели и наборы свойств протоколов типа PoW и PoS. Автор выдвигает свойства "предсказуемости" любого следующего блока по отношению к предыдущему. Обращает внимание на то, что PoS протоколы нуждаются в надёжном источнике псевдослучайных чисел, в то время как суть работы PoW заключается в их генерации. Согласно стенфордским исследованиям одним из существенных недостатков текущих PoS протоколов (Ouroboros\Cardano, Tezos, Peercoin) является их полная предсказуемость и подверженность в том числе скрытым атакам Nothing-at-Stake. Авторы отмечают недостатки проектирования протоколов с точки зрения теории игр (инициативы участников). В PoS попытка избежать одной атаки зачастую приводит к усиливающемуся вектору другой атаки.

"Ничего за душой"

Название части является вольным переводом "nothing-at-stake", атаки, которой пытаются избежать все производные алгоритмы POS. Она хорошо описана Andrew Poelstra. Здесь мы постараемся более наглядно иллюстрировать атаку, как её понимает Poelstra. Сложная техническая трактовка данного типа атак заключается в том, что, как правило POS, декларируя отсутствие необходимости генерации большого количества "бесполезных хэшей", позволяют создавать альтернативные блоки без существенных затрат вычислительных ресурсов. Это также можно понимать в экологическом контексте: POS затрачивает меньше ресурсов на обработку одного блока, поэтому он более "экологичен".

Сложный технический ответ на данный тип атак, вроде Slasher В. Бутерина, заключается в ряде методов, связанных: а) с блокированием на время токенов "майнера" или в случае POS — узла-валидатора сети, б) обещанием изъять залог в пользу других учасников сети в случае отклонений от правил протокола. Фактически, например ответ Бутерина не имеет ничего общего с замечаниями Poelstra, потому что они шире и затрагивают особенности генерации блоков, например, что в тот или иной момент времени выбор следующего "валидатора" перестаёт быть случайным, просто потому что они должны генерировать блоки равномерно из соображений "справедливости", и таким образом можно из атакующего меньшинства сети превратиться в большинство, просто умело используя момент времени. До настоящего времени, Бутерин использовал такую аналогию для объяснения инноваций POS: 100 человек за одним столом подписывают друг за другом бумажку, а обманет кто — его дом сгорит. Стол и горящий дом можно ярко вообразить, но это не имеет отношения к тому, что утверждает Poelstra: порядок валидаторов детерминирован. В Стенфорде также по сути формально анализировали детерминизм против неопределённости PoW.

На весьма общем уровне "nothing-at-stake" может быть представлена так: если для атаки на сеть токен является только промежуточным активом, то сам факт атаки становится вопросом времени, и чем дороже токен, тем выше вероятность атаки. То же самое могло бы быть справедливо и для Bitcoin, если бы он был основан на POS, но, чтобы иметь высокий шанс фальсифицировать несколько блоков подряд, а затем обналичить полученную прибыль нужны огромные средства, и часть из них не связана с покупкой токена:

• нужно купить необходимое оборудование,
• для него нужно обеспечить адекватное количество электричества,
• нужно обладать большим количеством BTC (и здесь Биткоин является наиболее равномерно распределённой валютой), чтобы реализовать преимущества атакующего и получить прибыль от продажи

При этом успешная атака, которая позволила бы одновременно обналичить большой запас Биткоинов, наверняка превратила бы приобретённое оборудование, ASIC-майнеры, в никому не нужный хлам. Мы видим, что стоимость атаки POW Bitcoin запретительно высока, а если вы решите атаковать Биткоин, то вы скорее всего станете самым радикальным ходлером. При этом в POS криптовалюте диапазон возможных сценариев для атакующего значительно шире и не упирается в какие-либо фундаментальные ошибки протокола или невообразимую стоимость атаки:

• атакующий может быть ранним инвестором у него будет большой запас криптовалюты, т.е. он де-факто совершит exit-scam,
• атакующий может получить криптовалюту в результате другой атаки, на крупного держателя (коих в POS системах достаточно много). В PoW гипотетическая атака на майнинговый пул не принесёт результата: оборудование будет физически отключено от сети, но в слабых PoW эта атака реальна (см. "Миф ASIC-resistance"),
• атакующий может физически завладеть сервером-валидатором и его страховым депозитом. Похожая атака произошла на майнеров в Китае в апреле - мае 2021 года, но одно лишь распоряжение оборудованием не может принести выгоды в PoW, для атаки нужна большая электрическая мощность. Но коммунисты как раз не хотели подключать майнеры к электростанциям!

Рассмотрим механизм атаки, если злоумышленник обладает промежуточным средством атаки, которое не имеет конечной реальной стоимости для атакующего.

1. Атакующий каким-либо образом получает запас токенов (украдены с биржи, украдены у валидатора или крупного держателя, куплены),
2. Запас токенов делится в той мере, в которой это необходимо для получения, например 1\6 голосов валидаторов в сети,
3. Токены на бирже просто могут ждать своего часа,
4. Подготавливается и совершается атака внутри сети (например совокупностью методов, описанных Poelstra), которая может быть направлена на что угодно: двойную трату, доп.эмиссию, или просто в целях разрушения консенсуса сети, чтобы манипулировать рынком,
5. На бирже (или в OTC сделке) извлекается прибыль путём, известным атакующему.

Важно отметить, что чем выше цена, тем более выгодной становится атака на POS, потому что повышение цены может покрыть расходы на атаку. Атакующий действительно жертвует страховым депозитом, но это является только расходной частью. Искушённый читатель может возразить, что такая же схема возможна в POW, если атакующий берёт некое оборудование в аренду. Но он ошибётся, потому что в пределе POW упирается в принцип Ландауэра (генерация тепла, энтропии, при обработке единицы информации), а в реальной жизни атака на поддерживаемый ASIC POW упирается в то, что: атакующему придётся оплатить альтернативные издержки многим майнерам, эти фермы будут рассредоточены в пространстве (мультипликатор к издержкам), майнеры будут очень не заинтересованы в существовании атакующего при малейшей утечке информации. Атакующему точно потребуется договариваться с большим количеством контрагентов. Другими словами, очень тяжело атаковать реально децентрализованный протокол.

Цена PoS и двухуровневые системы

Ключевым фактором медиа-атаки на PoW Биткоина является кажущаяся простота расчётов: из уровня "сложности" протокола могут быть определены границы хэшрейта сети, из прайс-листов производителей можно установить спецификации оборудования и далее всё ограничивается арифметическими операциями. Для того, чтобы хотя бы на техническом уровне избежать атаки "Ничего за душой", изобретатели PoS выдвигают основное решение в виде двухуровневой системы. Это могут быть схемы с "голосованием" или внедрением второго токена, который будет фактически не ликвидным и распространённым только среди узкого количества идентифицированных участников — в этом проявляетсяи отсутствие децентрализации в PoS системах, которые работают сейчас.

Ещё меньше обсуждается реальная цена Proof-of-Stake, которая могла бы выражаться в совокупности реальных и альтеранивных издержек. Staking, т.е. депозит криптовалюты валидатором в Proof-of-Stake всегда подразумевает заморозку средств (см. во избежание тривиальной реализации атаки выше), чтобы одновременно исправить детерминированность протокола и сделать извлечение выгоды из быстрой атаки невозможным. Данный период необходим для того, чтобы обезопасить сеть от многих векторов атак, связанных с фальсификацией истории сети (блокчейна) и двойной тратой. В этой статье авторы рассчитывали необходимую доходность на страховой депозит (stake) с помощью известной формулы для ценообразования опциона Блэка-Скоулза, предполагая, что "замороженный" депозит, который владелец не может потратить, по сути является опционом. В результате они приходят к выводу, что годовая доходность, выгодная валидаторам, должна составлять порядка 26%. Это примерно устанавливает границы инфляции или рынка комиссий сети, но это всего лишь модель.

Физические требования к валидаторам приводят к необходимости работы в реальном дата-центре. Некоторые протоколы идут так далеко, что могут включать требование юридического лица для работы в протоколе. Условия консенсуса налагают обязательное присутствие валидатора в сети почти 100% времени, особенно если частота блоков в протоколе находится на уровне общей задержки сети Интернет (несколько секунд). Для Proof-of-Work ничего из перечисленного не является критическим ни для работы валидатора, ни для консенсуса сети, но система стимулов поощряет майнеров, которые работают без сбоев.

Paul Sztorc, в своей статье Nothing is Cheaper than Proof of Work рассмотрел капитальные затраты валидатора по сравнению с майнером. В конечном итоге, он пришёл к выводу, что с макроэкономической точки зрения, PoS не имеет никаких преимуществ, так как извлекает капитал из оборота. Примерно об этом же статья про взгляд на staking как на приобретение опциона.

Это зачастую не упоминается сторонниками PoS, но в итоге PoS протокол также вынужден либо формировать рынок комиссий (fee-market), который будет компенсировать издержки всех валидаторов и дестимулировать засорение протокола спамом, либо обеспечивать некоторую инфляцию, которая будет субсидировать валидаторов за счёт уменьшающихся сбережений всех остальных участников сети. В этом случае любой протокол с неограниченной эмиссией будет проигрывать в качестве store-of-value, по сравнению с протоколом с ограниченной эмиссией. Подразумевая store-of-value в качестве отложенного спроса (более чем модели "рантье", которая не имеет ничего общего со store-of-value), любой протокол с инфляцией, проиграет и в сетевом эффекте и вряд ли будет адаптирован торговцами потому что торговцы не будут желать приобрести монету в обмен на свои товары, из-за осутствия популярности этого средства оплаты.

Наконец, в наше время мы имеем класс совершенно отличных атак от "ничего за душой" на так называемые схемы голосования. Относительно недавно большая дискуссия развернулась из-за узурпации консенсус-протокола Delegated Proof-of-Stake в Steem Джастином Саном (TRON) и некоторыми биржами, которые он использовал для этой цели.

Любая биржа, которая обещает услугу хранения (custody) и делегирования криптовалюты, даже если она предлагает % от инфляции в протоколе может де факто распоряжаться “голосами” в proof-of-stake системе. До тех пор, пока разуемеется не будут разработаны новые методы кастодиального хранения и делегирования в этих протоколах (это очень сложно, и, вероятно невозможно – наша точка зрения). Такие централизованные кастодианы могут служить проводниками sybill - атак, либо сами могут выступать в качестве злоумышленников для достижения особенно выгодных изменений протокола.

Sybill - атака — это общее название эксплуатаций уязвимостей в системах, которые осуществляются с помощью множества фальшивых личностей, контролируемых единственным лицом — злоумышленником. Во всех системах блокчейн "голосования" этот вид атак недооценивается. В середине июля 2021 на механизм управления Uniswap предположительно была проведена Sybil атака: специально созданный фонд набрал голоса и получил токены в управление, которые в скором времени продал без объяснений.

Это могло быть и не атакой как таковой, но примерно таким же способом могут быть осуществлены настоящие атаки, поскольку невозможно установить кто стоит за "голосами", "токены управления" могут быть распределены как угодно и их реальные доли зависят от объёма премайна в управлении узкой группы лиц.

“Steem работал как это было задумано” прокомментировал случай атаки Джастина Сана Питер Тодд. Messari тогда проводил количественные исследования того, как основатели протоколов Proof-of-Stake могут получить перманетное право навязывания своей воли из-за инфляции и размывания доли других игроков (помимо объективно политической составляющей – на выборах голосуют не все) – на картинке ниже доля пассивных держателей постепенно уменьшается из-за 10% инфляции. Практически то же самое происходит в случае слабой национальной валюты.

DPOS и частые хардфорки вообще могут безнадёжно централизовать протокол. Мы в принципе видим, что в Ethereum барьер входа и стоимость поддержки решений на основе данного протокола уже становятся неприемлемы для игроков. Об этом, например, высказывался CEO британской биржи Coinfloor в эфире Livera Podcast. Кстати Coinfloor первая биржа которая предоставляет гарантии средств в депозитах, т.е. Proof-of-Reserves своим пользователям.

Proof-of-Work это настоящее достижение

PoS криптовалюты это своего рода "воздушные замки". Они пытаются решить проблему создания ограниченного ресурса (денег) в информационной сфере, в которой копирование информации является базовой операцией. Proof-of-Work, который включает перебор хэшей и механизм динамической отстройки сложности, сконструировал особый мост из информационного мира в материальный мир физических величин и ограничил возможности репликации данных вселенской константой (принцип Ландауэра). Это очень абстрактный принцип, который тяжело принять, но чем дольше размышлений человек совершает в отношении Proof-of-Work, тем проще увидеть его следствия.

Например, необходимость затрат электричества это только эффект первого уровня, который влияет на работу криптовалюты. Далее, любой ASIC при работе выделяет тепло. Ни одно оборудование не в состоянии выдержать бесконечный рост тепловыделения в замкнутом объёме. Из этого следует, что в конечном итоге ASIC майнеры должы быть пространственно распределены. Текущая стадия развития майнинга такова, что мы не достигли таких пределов. Пока ещё более важными оказываются разные политические ограничения и общее энергопотребление майнинговых ферм. Но если предположить, что какая-то компания займётся майнингом на орбите Земли прямо сейчас, этот критерий уже будет ключевым, и он должен будет учитываться в проектировании спутника.

Работа Накамото эффективно решила проблему "двойной траты". С этого начинаюстя многие материалы, поясняющие работу Биткоина. Вместе с проблемой "nothing-at-stake", по-нашему мнению "двойная трата" была переизобретена, но аргументация в этом контексте практически невозможна. Это также связано с тем, что криптовалютные сообщества Биткоина и Ethereum в некотором роде почти не пересекаются. Они ориентированы на разные ценности, для биткоинеров ключевым является возможность для протокола выдержать межконтинентальную миграцию майнеров из Китая куда-бы-то-ни-было ещё, без остановки протокола. Аналогичная операция Proof-of-Stake привела бы к полному разрушению консенсуса. Это очень просто: большинство алгоритмов распределённого консенсуса работают только в случае сбоя или атаки до 1/3 валидаторов сети. Теперь представим, что коммунисты Китая каким-то образом принудили примерно 30% валидаторов PoS остановить работу. Большая часть сети будет либо уничтожена, либо все участники должны будут сообща принять решение об исключительном форке в пользу меньшинства, которое пострадало от произвола. В Proof-of-Work нет никаких "заморозок" а главное критериев консенсуса системы. Есть только механизм разрешения конфликтующих версий цепочек блоков. С апреля по август 2021 года, когда в Биткоине происходил кризис, мы на самом деле не наблюдали ни атак на сеть, ни конфликтующих версий сети. Майнеры успели релоцироваться, подключили оборудование и возобновили работу. Биткоин выдержал ещё один удар, пусть даже это не заметил никто вне сообщества.

Если переход Ethereum на Proof-of-Stake действительно состоится, у биткоинеров будет уникальная возможность посмотреть на первый из ASIC-resistant протоколов Proof-of-Work, который поменял консенсус. Сам переход крайне непредсказуем: он уже несколько раз откладывался и основная сеть Ethereum должна была совершать из-за этого хард-форки, поскольку разработчики не могли точно предсказать дату, когда Ethereum-2 будет готов к работе.

Соединённое управление в proof-of-stake будто бы включает программистов и других любителей делать юридические и бухгалтерские решения. Управление Биткоином выглядит иначе. Даже если юристы и бухгалтеры правильным образом одержат контроль над управлеинем PoS, PoW управление будет скорее всего более социально масштабируемым.
(NickSzabo4, Автор концепции смарт-контрактов)

Для новичков в proof of stake игре: Основное количество существующих proof of stake систем, которые были развёрнуты в реальной жизни имеют одного главного stakeholder, который управляет ими как амбивалентный диктатор. Централизация решает все проблемы и ничего не доказывает.
(@bramcohen, Создатель BitTorrent)

В реальности POS может стимулировать образование картелей. Вероятно, не имеет смысла бояться картелей, если система спроектирована правильным образом. Если протокол не допускает победу той или иной враждебной стороны, как показывает случай BCash, PoW протокл может выстоять даже в противостоянии с мощным агрессивным майнером, сочетающим как материальные ресурсы, так и мощности hashrate. В Биткоине PoW эффективно отделён от валидации узлами сети благодаря маленьким блокам и традиции поддерживать сеть каждым участником, это лишает майнеров возможности атаковать сеть, узурпируя доступ к истории сети. В Ethereum, где блокчейн насчитывает терабайты информации и узлы должны поддерживаться мощными компьютерами, это уже не так. Сможет ли переход на PoS решить эту проблему?

Не обладая настоящей децентрализацией, POS протоколы никогда не станут более привлекательными по сравнению с POW протоколами (и как следствие будут занимать ту же долю рынка, что и сейчас), просто потому что в централизованной системе легко поменять любое правило протокола: эмиссию, предельное количество, разделение на хороших и плохих пользователей.

Попытки обезопасить горячие кошельки узлов приведут к ещё большему контролю движения монет. Всё просто: вам нужно выполнять функции государства, устанавливать правила и контролировать их исполнение. Свободная утечка монет с взломанной ноды приведёт к опасности атаки на весь PoS. Для вашей же безопасности будет создан особый комитет, который будет контролировать куда уходит криптовалюта, и ограничивать в правах похитителя, чтобы дестимулировать атаку (устанавливать правила и контролировать их выполнение — суть закона, процесса и санкции). И в конечном счёте вам придётся платить "налог" — высокую протокольную инфляцию. Fin.