В этой статье Тур Димистр оспаривает несколько утверждений, высказанных Виталиком Бутериным в статье «Философия архитектуры Proof-of-Stake» (“A Proof of Stake Design Philosophy”), опубликованной в декабре 2016 года. Это станет отправной точкой для дискуссии о высокоуровневой архитектуре Proof-of-Stake и предлагаемом будущем протокола Эфириума.
1. Утверждение о том, что стоимость атаки должна быть выше стоимости защиты, нелогично.
На этом утверждении строится аргумент о большей эффективности алгоритма Proof-of-Stake (PoS) по сравнению с Proof-of-Work (PoW), поэтому важно рассмотреть его внимательно.
Виталик начинает с того, что криптография позволяет пользователям защищать свои данные значительно более эффективно, чем та защита, которую может себе обеспечить владелец замка или острова в физическом мире. Хотя криптография действительно меняет правила игры в отношении защиты благосостояния и информации, во многом создавая одноуровневое игровое поле с равными возможностями, это всё равно, что сравнивать яблоки с апельсинами. Да, средневековый рыцарь не сможет взломать Биткойн-кошелёк, но также и ни один хакер не сможет эффективно защитить замок. Криптография используется в реальном мире, где секретные ключи, которые стоят миллионы, могут быть украдены в результате атаки стоимостью 5 долларов.
Кроме того, «стоимость атаки» и «стоимость защиты» не являются абстрактными и фиксированными, но скорее относительными и динамически изменяющимися явлениями: они зависят от субъективной ценности цели атаки или объекта защиты, равно как и от убеждённости вовлечённых сторон. Стоимость – понятие относительное: оно имеет смысл только относительно упущенной полезности, возможностей, которые действующее лицо готово упустить, преследуя некую иную цель. В сценарии с атакующим и защищающимся стоимость тоже динамически изменяется: если атакующий обладает высоким уровнем мотивации и огромными ресурсами, то потенциальная стоимость защиты будет чрезвычайно высока, и наоборот.
Бутерин утверждает, что алгоритм Proof-of-Work противоречит «духу шифропанка», так как в этой системе «соотношение стоимости атаки и стоимости защиты составляет 1:1.» Это несколько лукавое утверждение, так как в действительности он говорит исключительно о возможности изменения самых последних блоков блокчейна при атаке 51%.
Атаки на Биткойн, при которых кто-то пытается изменить историю транзакций, совершённых более чем несколько дней назад, стоят невероятно дорого. Представим себе, что человек, заплативший в мае 2010 года 10 000 BTC за пиццу, превратился в отъявленного злодея, «Пицца-мена», и хочет отменить ту неудачную сделку. Для того чтобы добиться поставленной цели, ему необходимо каким-то образом проникнуть в сеть и контролировать все 100% майнингового оборудования в течение более 200 дней (либо меньшее количество оборудования, превышающее 51%, в течение значительно большего количества времени), чтобы откатить цепочку достаточно далеко с действительным Proof-of-Work. Помимо многомиллиардных затрат на приобретение майнингового оборудования, стоимость поддержки работы сети Биткойна в течение 200 дней составит более 700 миллионов долларов (из расчёта 7,5 ТВт-ч по цене 10 центов/кВт-ч). Стоимость защиты от менее масштабной угрозы, чем атака Пицца-мена, подсчитать сложно, потому что для конкурирующих майнеров Биткойна достаточно просто следовать своим экономическим интересам и продолжать майнить биткойны для собственной выгоды – защита сети от огромного количества возможных атак – лишь побочный эффект этой деятельности.
Учитывая, что знания, субъективная ценность и ресурсы в обществе (как и в природе) распределяются неравномерно, между атакующим и защищающимся всегда будет происходить своего рода перетягивание каната, независимо от используемого механизма защиты. Говорить об отношении стоимости атаки и защиты 1:1, на мой взгляд, довольно бессмысленно.
Возвращаясь к криптовалютам: можно попытаться разработать алгоритмы клиринга транзакций, отличные от Proof-of-Work, но всё, чего вы добьётесь – это затрудните понимание того, какую работу нужно проделать атакующему, чтобы использовать систему в своих интересах, а также какого рода усилия необходимо предпринять защищающимся, чтобы сохранить реестр в полном и не фальсифицированном виде. Как сказал Пол Шторц (Paul Sztorc) (и повторилАдам Бэк (Adam Back)), «Все предлагаемые альтернативы PoW в действительности можно назвать «скрытыми Proof-of-Work.»
2. Нет, люди не «достаточно хороши для достижения консенсуса»
Виталик утверждает, что злоумышленнику, изменившему состояние реестра в свою пользу посредством атаки 51%, будет очень непросто убедить сообщество в легитимности его цепочки – сообщество его разоблачит и быстро достигнет консенсуса, чтобы восстановить справедливость. Он продолжает: «Эти социальные факторы в результате защитят любой блокчейн в долгосрочной перспективе», а в качестве примера приводит каменные деньги острова Яп.
Во-первых, каменные деньги острова Яп не кажутся мне удачным примером эффективности социального консенсуса. У нас нет почти никакой информации о количестве мошенничеств или злоупотреблений, порождённых или предотвращённых системой каменных денег. Кроме того, хорошо известно, что в племенных общинах – как, например, на крошечном острове Яп – нравы, обычаи, ритуалы и социальное давление играют намного более важную роль, поэтому вряд ли можно успешно перенести аналогичную систему монетарной политики на всё общество. И наконец, «система социального консенсуса» острова Яп становилась жертвой успешных атак как минимум дважды. Первая произошла в 1874 году, когда американскому капитану ирландского происхождения Дэвиду О’Кифу (David O’Keefe) удалось использовать большое количество произведённых задёшево камней в качестве валюты для получения власти и богатства. Вторая задокументированная атака на финансовую систему острова Яп произошла, когда немецкие торговцы конфисковали камни и установили строгий контроль за движением капитала.
Итак, давайте сфокусируемся на утверждении Бутерина о том, что социальный консенсус является защитой от атак, основанных на задействовании значительных ресурсов. По моему мнению, это попросту неверно. Субъект, обладающий активами для проведения такой операции, может направить свою атаку на очень немногих людей и сделать задачу отмены хищения и восстановления справедливости дорогостоящей для сообщества. Либо злоумышленник может стратегически направить свою атаку на большое число пользователей таким образом, чтобы нанести каждому отдельному пользователю лишь небольшой финансовый ущерб – так что стоимость противодействия атаке для каждого из них будет выше потерь, вызванных атакой.
Есть шотландская басня о мышах, которые думали о том, как им лучше свести на нет угрозу мародёрствующей кошки. Повязать на шею кошки колокольчик кажется им явно хорошим решением до тех пор, пока одна из мышей не спрашивает, кто будет добровольцем. Эта история прекрасно иллюстрирует то, как «социальный консенсус», который может казаться простым в теории, часто оказывается трудновыполнимым на практике.
Даже в тех редких случаях, когда люди, в общем, согласны с тем, что определённое событие является разрушительным и нежелательным, они часто придерживаются совершенно противоположных точек зрения касаемо того, как им следует решать эту проблему. Рынки дают людям возможность добровольно преследовать свои личные цели, но это и всё. Если некоему подмножеству людей (или отдельным лицам) что-то не нравится, они всегда могутвыйти. В мире криптовалют это означает, что они могут организовать хард-форк и создать собственную новую валюту, либо изменить правила посредством софт-форка.
Слишком часто слово «консенсус» используется в качестве риторического инструмента для того, чтобы закрыть рот инакомыслящим. Например – опять же, в «Доказательстве философии архитектуры Proof-of-Stake» – Бутерин утверждает, что, если на цепочке с Proof-of-Stake возникает тайный сговор валидаторов, то «сообщество может просто организовать хард-форк и удалить депозиты вступивших в сговор участников сети.» Если вспомнить, что спасение средств инвесторов DAO, как считается, тоже проводилось в результате «консенсуса сообщества» (хотя в голосовании, продолжавшемся менее двух недель, приняло участие менее 6% имеющихся в обращении эфиров), точность идентификации предполагаемых участников сговора вызывает опасения.
В целом, при защите от атак, построенных на ресурсах, реального консенсуса в отношении ответа на угрозу достичь почти невозможно. Политические системы недостаточно надёжны в предотвращении случаев мошенничества и краж – ни в долгосрочной, ни в краткосрочной перспективе. В стремлении к социальной масштабируемости, мы можем поощрять индивидуальную свободу и ответственность через использование инструментов криптографии, технического проектирования и личных экономических интересов как источников надёжности, но на что мы рассчитывать не можем – так это на идеалистическую концепцию социального консенсуса.
3. Необоснованное утверждение о том, что алгоритм PoS более устойчив, чем PoW
Бутерин утверждает: «При желании, стоимость одной атаки 51% на сеть с алгоритмом Proof-of-Stake, безусловно, можно увеличить до уровня перманентной[sic] атаки 51% на Proof-of-Work, и абсолютная стоимость и неэффективность атаки должны гарантировать почти полное отсутствие попыток её проведения».
Другими словами, он утверждает, что, с точки зрения безопасности Proof-of-Stake, намного надёжнее Proof-of-Work.
При сравнении PoW с PoS нужно иметь в виду следующее:
- Майнинг криптовалют представляет собой решение проблемы доверия в системах с несовершенным знанием и неизвестными противниками. Proof-of-Work так или иначе присутствует и в ранних денежных системах в современном их понимании, и в природе, где модель «гандикапа» эволюционировала и позволила животным подтверждать «честность» или надёжность их сигналов. Насколько мне известно, подобных примеров применения Proof-of-Stake ни в человеческой истории, ни в биологии, не существует.
- Атака 51% может существенно замедлить работу сети PoW, но даже единичная попытка изменить историю транзакций требует огромных затрат на протяжении длительного времени. Другими словами, формирование реестра истории транзакций – чрезвычайно дорогостоящий процесс, а его разрушение, вероятно, обойдётся ещё дороже.
- В отличие от отсутствия +51% картели в PoW-цепочке, математически доказано, что определить истинность истории транзакций на блокчейне с PoS без дополнительного источника доверия невозможно. Если всегда необходим дополнительный источник доверия, то это потенциально открывает ящик Пандоры с нескончаемыми атаками и сценариями централизации. В шутке о том, что Эфириум планирует перейти на алгоритм «Proof-of-Vitalik» («Доказательство Виталика»), есть доля истины.
- В наивной PoS-среде злоумышленник может легко создать множество альтернативных историй реестра и недорого опробовать различные стратегии. Это известно как «проблема отсутствия доли«. Эфириум планирует решать эту проблему путём уничтожения залогового депозита вредоносных валидаторов. Боб МакЭлрат (Bob McElrath) из SolidX считает, что стратегия «экономического наказания» атакующих утрачивает актуальность, если само наказание может производиться посредством форка. С критикой PoS недавно выступил также создатель BitTorrent Брэм Коэн (Bram Cohen), который задал вопрос о том, как можно исключить вероятность введения в заблуждение и провоцирования честных стейкеров (держателей доли) на взаимодействие с сетью таким образом, чтобы навлечь на себя наказание от системы, которая должна была их защищать. (Представьте себе крипто-эквивалент ложного вызова, только в более крупном масштабе.) В альтернативном сценарии атаки, предложенном Кевином Чжоу (Kevin Zhou) из Galois Capital, злоумышленник вводит в заблуждение достаточное количество честных людей в своей сети таким образом, что они становятся заинтересованными в поддержке цепочки злоумышленника как истинной цепочки.
Заключение
Хотя то, что Бутерин строит развитие своей криптовалюты начиная с базовых теоретических принципов, заслуживает одобрения, я считаю, что в его посте есть несколько ошибок. Он путается в вопросах стоимости защиты и делает необоснованные заявления касаемо безопасности протоколов PoS в сравнении с PoW. Он не предоставляет убедительных логических или исторических доказательств эффективности социального консенсуса и говорит о большей надёжности Proof-of-Stake, не приводя никаких доказательств или аргументов и не признавая множества возражений, высказывавшихся уважаемыми в криптографической среде людьми. Статья Бутерина не убеждает меня ни в том, что Proof-of-Stake имеет крепкую философскую основу, ни в том, что он является жизнеспособным самодостаточным механизмом защиты для публичного блокчейна.
(Пока оценок нет)
Загрузка...
Редактор. Маркетолог. Криптоинвестор с 2014 года.
