A Proof of Stake Design Philosophy

Systemen zoals Ethereum (en Bitcoin, en NXT, en Bitshares, enz.) Zijn een fundamenteel nieuwe klasse van crypto-economische organismen - gedecentraliseerde, jurisdictie-vrije entiteiten die volledig in cyberspace bestaan, onderhouden door een combinatie van cryptografie, economie en sociale consensus. Ze zijn een beetje zoals BitTorrent, maar ze zijn ook niet zoals BitTorrent, omdat BitTorrent geen staatsbegrip heeft - een onderscheid dat van cruciaal belang blijkt te zijn. Ze worden soms beschreven als gedecentraliseerde autonome bedrijven, maar het zijn ook niet echt bedrijven - je kunt Microsoft niet hard forceren. Het zijn een soort open source softwareprojecten, maar dat zijn ze ook niet helemaal - je kunt een blockchain forken, maar niet zo gemakkelijk als je OpenOffice kunt forken.

Deze crypto-economische netwerken zijn er in vele smaken - ASIC-gebaseerde PoW, GPU-gebaseerde PoW, naïeve PoS, gedelegeerde PoS, hopelijk binnenkort Casper PoS - en elk van deze smaken komt onvermijdelijk met zijn eigen onderliggende filosofie. Een bekend voorbeeld is de maximalistische visie op werkbewijs, waarbij 'de' juiste blockchain, enkelvoud, wordt gedefinieerd als de keten die mijnwerkers de grootste hoeveelheid economisch kapitaal hebben verbrand om te creëren. Oorspronkelijk een loutere vorkprotocol in het protocol, is dit mechanisme in veel gevallen verheven tot een heilig principe - zie deze Twitter-discussie tussen mij en Chris DeRose voor een voorbeeld van iemand die serieus probeert het idee in een pure vorm te verdedigen, zelfs in het gezicht van de harde vorken van het hash-algoritme-veranderende protocol. Het gedelegeerde bewijs van inzet van Bitshares presenteert een andere coherente filosofie, waarbij alles opnieuw uit een enkel principe voortvloeit, maar een die nog eenvoudiger kan worden beschreven: aandeelhouders stemmen.

Elk van deze filosofieën; Nakamoto-consensus, sociale consensus, consensus van aandeelhoudersstemmen, leidt tot zijn eigen conclusies en leidt tot een waardensysteem dat best logisch is wanneer het op zijn eigen voorwaarden wordt bekeken - hoewel ze zeker kunnen worden bekritiseerd in vergelijking met elkaar. Casper-consensus heeft ook een filosofische onderbouwing, hoewel die tot nu toe niet zo bondig is geformuleerd.

Ikzelf, Vlad, Dominic, Jae en anderen hebben allemaal hun eigen opvattingen over waarom er bewijs van ringprotocollen bestaan ​​en hoe ze te ontwerpen, maar hier ben ik van plan uit te leggen waar ik persoonlijk vandaan kom.

Ik ga door met het vermelden van waarnemingen en vervolgens conclusies.

  • Cryptografie is echt speciaal in de 21e eeuw omdat cryptografie een van de weinige gebieden is waar tegenstanders de verdediger nog steeds sterk bevoordelen. Kastelen zijn veel gemakkelijker te vernietigen dan te bouwen, eilanden zijn verdedigbaar maar kunnen nog steeds worden aangevallen, maar de ECC-sleutels van een gemiddelde persoon zijn veilig genoeg om zelfs actoren op staatsniveau te weerstaan. Cypherpunk-filosofie gaat fundamenteel over het benutten van deze kostbare asymmetrie om een ​​wereld te creëren die de autonomie van het individu beter bewaart, en crypto-economie is tot op zekere hoogte een uitbreiding daarvan, behalve deze keer het beschermen van de veiligheid en levendigheid van complexe systemen van coördinatie en samenwerking, eerder dan alleen de integriteit en vertrouwelijkheid van privéberichten. Systemen die zichzelf als ideologische erfgenamen van de cypherpunk-geest beschouwen, moeten deze basiseigenschap behouden en veel duurder zijn om te vernietigen of te verstoren dan ze moeten gebruiken en onderhouden.
  • De "cypherpunk spirit" gaat niet alleen over idealisme; systemen maken die gemakkelijker te verdedigen zijn dan aanvallen, is ook eenvoudigweg degelijke engineering.
  • Op middellange tot lange tijdsschalen zijn mensen vrij goed in consensus. Zelfs als een tegenstander toegang had tot onbeperkte hash-kracht en kwam met een 51% -aanval van een belangrijke blockchain die zelfs de laatste maand van de geschiedenis terugkeerde, is de gemeenschap ervan overtuigen dat deze keten legitiem is veel moeilijker dan alleen de hashpower van de hoofdketen overtreffen . Ze zouden blokonderzoekers, elk vertrouwd lid in de gemeenschap, de New York Times, archive.org en vele andere bronnen op internet moeten ondermijnen; al met al is het overtuigen van de wereld dat de nieuwe aanvalsketen degene is die als eerste kwam in de 21ste eeuw met informatietechnologie bijna net zo moeilijk als het overtuigen van de wereld dat de maanlandingen op de VS nooit zijn gebeurd. Deze sociale overwegingen beschermen uiteindelijk elke blockchain op de lange termijn, ongeacht of de community van de blockchain dit wel of niet toelaat (merk op dat Bitcoin Core dit primaat van de sociale laag wel toelaat).
  • Een blockchain die alleen door sociale consensus wordt beschermd, zou echter veel te inefficiënt en langzaam zijn en te gemakkelijk voor meningsverschillen om eindeloos door te gaan (hoewel het ondanks alle moeilijkheden is gebeurd); vandaar dat economische consensus een uiterst belangrijke rol speelt bij het beschermen van lively en veiligheidseigenschappen op de korte termijn.
  • Omdat bewijs van werkveiligheid alleen kan komen van blokbeloningen (in termen van Dominic Williams, het mist twee van de drie Es), en prikkels voor mijnwerkers kunnen alleen komen uit het risico dat ze hun toekomstige blokbeloningen verliezen, werkt bewijs van werk noodzakelijkerwijs op een logica van enorme macht gestimuleerd tot bestaan ​​door enorme beloningen. Herstel van aanvallen in PoW is erg moeilijk: de eerste keer dat het gebeurt, kun je de PoW moeilijk veranderen en daarmee de ASIC's van de aanvaller onbruikbaar maken, maar de tweede keer dat je die optie niet meer hebt, kan de aanvaller opnieuw aanvallen en nog een keer. Daarom moet de omvang van het mijnnetwerk zo groot zijn dat aanvallen ondenkbaar zijn. Aanvallers met een grootte kleiner dan X worden ontmoedigd om te verschijnen door het netwerk constant X elke dag te laten besteden. Ik verwerp deze logica omdat (i) het bomen doodt, en (ii) het de cypherpunk-geest niet realiseert - kosten van aanval en kosten van verdediging hebben een 1: 1-verhouding, dus er is geen voordeel van de verdediger.
  • Bewijs van inzet breekt deze symmetrie door niet te vertrouwen op beloningen voor veiligheid, maar eerder op straffen. Validators zetten geld ("deposito's") op het spel, worden licht beloond om hen te compenseren voor het opsluiten van hun kapitaal en het onderhouden van knooppunten en het nemen van extra voorzorgsmaatregelen om hun veiligheid met privésleutel te waarborgen, maar het grootste deel van de kosten voor het terugdraaien van transacties komt van boetes honderden of duizenden keren groter dan de beloningen die ze ondertussen kregen. De "één-zinfilosofie" van het bewijs van het belang is dus niet "veiligheid komt van het verbranden van energie", maar eerder "veiligheid komt van het neerzetten van economische waarde met verlies". Een gegeven blok of staat heeft $ X beveiliging als u kunt aantonen dat het bereiken van een gelijk niveau van voltooiing voor een conflicterend blok of staat alleen kan worden bereikt als kwaadaardige knooppunten medeplichtig zijn in een poging om de switch $ X aan in-protocol boetes te laten betalen.
  • Theoretisch gezien kan een meerderheidssamenvoeging van validators een bewijs van stake chain overnemen en kwaadaardig beginnen te handelen. Echter, (i) door slim protocolontwerp, kan hun vermogen om extra winst te verdienen door dergelijke manipulatie zoveel mogelijk worden beperkt, en nog belangrijker (ii) als ze proberen te voorkomen dat nieuwe validators toetreden, of 51% aanvallen uitvoeren, dan de community kan eenvoudig een harde vork coördineren en de stortingen van de overtredende validators verwijderen. Een succesvolle aanval kost misschien $ 50 miljoen, maar het opruimen van de gevolgen zal niet veel zwaarder zijn dan het falen van de geth / pariteitsconsensus van 2016.11.25. Twee dagen later zijn de blockchain en de community terug op het goede spoor, zijn aanvallers $ 50 miljoen armer en is de rest van de community waarschijnlijk rijker, omdat de aanval de waarde van het token heeft doen stijgen vanwege de daaruit voortvloeiende supply crunch. Dat is aanval / verdediging asymmetrie voor jou.
  • Met het bovenstaande moet niet worden bedoeld dat ongeplande harde vorken regelmatig zullen voorkomen; indien gewenst, kunnen de kosten van een enkele aanval van 51% op bewijs van inzet zeker net zo hoog worden ingesteld als de kosten van een permanente aanval van 51% op werkbewijs, en de enorme kosten en ineffectiviteit van een aanval moeten ervoor zorgen dat wordt in de praktijk bijna nooit geprobeerd.
  • Economie is niet alles. Individuele acteurs kunnen worden gemotiveerd door extra-protocolmotieven, ze kunnen worden gehackt, ze kunnen worden gekidnapt, of ze kunnen gewoon dronken worden en besluiten om de blockchain op een dag en naar de hel met de kosten te slopen. Bovendien, aan de positieve kant, zullen de morele verdraagzaamheid en communicatie-inefficiënties van individuen vaak de kosten van een aanval op veel hogere niveaus brengen dan de nominale, door protocol gedefinieerde waarde bij verlies. Dit is een voordeel waarop we niet kunnen vertrouwen, maar tegelijkertijd is het een voordeel dat we niet onnodig moeten weggooien.
  • Daarom zijn de beste protocollen protocollen die goed werken onder verschillende modellen en veronderstellingen - economische rationaliteit met gecoördineerde keuze, economische rationaliteit met individuele keuze, eenvoudige fouttolerantie, Byzantijnse fouttolerantie (idealiter zowel de adaptieve als niet-adaptieve tegenvarianten), Ariely / Kahneman-geïnspireerde economische gedragsmodellen ("we spelen allemaal een beetje vals") en idealiter elk ander model dat realistisch en praktisch is om over na te denken. Het is belangrijk om beide verdedigingslagen te hebben: economische prikkels om gecentraliseerde kartels te ontmoedigen om asociaal te handelen, en anticentralisatieprikkels om kartels te ontmoedigen om zich in de eerste plaats te vormen.
  • Consensusprotocollen die zo snel mogelijk werken, hebben risico's en moeten zeer zorgvuldig worden benaderd, of helemaal niet, want als de mogelijkheid om heel snel te zijn gekoppeld is aan prikkels om dit te doen, beloont de combinatie een zeer hoog en systeemrisico- inducerende niveaus van centralisatie op netwerkniveau (bijv. alle validators die van dezelfde hostingprovider lopen). Consensusprotocollen die er niet zoveel om geven hoe snel een validator een bericht verzendt, zolang ze dit binnen een acceptabel lang tijdsinterval doen (bijv. 4–8 seconden, omdat we empirisch weten dat de latentie in ethereum meestal ~ 500ms- is) 1s) hebben deze zorgen niet. Een mogelijke middenweg is het maken van protocollen die zeer snel kunnen werken, maar waar mechanismen vergelijkbaar met het oom-mechanisme van Ethereum ervoor zorgen dat de marginale beloning voor een knooppunt dat de mate van netwerkconnectiviteit verhoogt tot boven een gemakkelijk bereikbaar punt, vrij laag is.

Vanaf hier zijn er natuurlijk veel details en veel manieren om van de details af te wijken, maar het bovenstaande zijn de kernprincipes waarop ten minste mijn versie van Casper is gebaseerd. Vanaf hier kunnen we zeker afwegingen maken tussen concurrerende waarden. Geven we ETH een jaarlijkse uitgiftetarief van 1% en krijgen we $ 50 miljoen kosten voor het forceren van een corrigerende harde vork, of een nul jaarlijkse uitgiftetarief en krijgen we $ 5 miljoen kosten voor het forceren van een corrigerende harde vork? Wanneer verhogen we de beveiliging van een protocol onder het economische model in ruil voor het verlagen van de beveiliging onder een fouttolerantiemodel? Geven we meer om een ​​voorspelbaar beveiligingsniveau of een voorspelbaar niveau van uitgifte? Dit zijn allemaal vragen voor een ander bericht en de verschillende manieren om de verschillende afwegingen tussen deze waarden te implementeren, zijn vragen voor nog meer berichten. Maar we komen eraan :)