Kritiek op Buterin's 'A Proof of Stake Design Philosophy'

In dit artikel betwist ik verschillende van de beweringen van Vitalik Buterin in zijn artikel uit december 2016 "A Proof of Stake Design Philosophy". Ik hoop dat het een discussie op gang brengt over het ontwerp op hoog niveau van de proof-of-stake en over de voorgestelde toekomst van het Ethereum-protocol.

1. "Aanvalskosten moeten hoger zijn dan verdedigingskosten" is onlogisch

Dit is een kernbouwsteen voor het argument dat proof-of-stake (PoS) ‘efficiënter’ is dan proof-of-work (PoW), zo belangrijk om zorgvuldig te bekijken.

Vitalik begint dit argument door te beweren dat cryptografie gebruikers in staat stelt hun gegevens op een veel effectievere manier te verdedigen dan een kasteel- of eilandeigenaar in de fysieke wereld zelf kan verdedigen. Hoewel het waar is dat cryptografie het spel van rijkdom en informatiebeveiliging verandert, waardoor vaak een gelijk speelveld mogelijk wordt, is dit appels met peren vergelijken. Ja, het is waar dat een middeleeuwse ridder een bitcoin-portemonnee niet kan kraken, maar een computerhacker kan een kasteel ook niet effectief verdedigen. Cryptografie wordt in de echte wereld gebruikt, waar miljoenen persoonlijke sleutels kunnen worden gestolen met een aanval van $ 5.

Bovendien zijn 'aanvalskosten' en 'kosten van verdediging' niet abstract en vast, maar eerder relatieve en dynamische fenomenen: ze hangen af ​​van de subjectieve waarde van het ding dat je aanvalt of verdedigt, en van de overtuiging van de betrokken actoren . Kosten zijn een relatief fenomeen, het wordt pas zinvol wanneer het vergeleken wordt met het verloren nut, voor de kansen die de acteur wil missen om een ​​bepaald doel te bereiken. In het geval van een aanvaller-verdedigerscenario zijn de kosten ook dynamisch: als ik een aanvaller tegenkom met veel inzet en enorme middelen, zijn mijn potentiële verdedigingskosten zeer hoog, en vice versa.

Bij de bespreking van proof-of-work beweert Buterin dat dit in strijd is met de ‘cypherpunk-geest’ omdat in dit systeem de "aanvalskosten en verdedigingskosten een 1: 1-verhouding hebben". Deze verklaring is misleidend, want hij heeft het eigenlijk alleen over wat een 51% aanvaller de laatste blokken in de blockchain zou kunnen doen.

Aanvallen op Bitcoin waarbij men historische transacties probeert terug te draaien die meer dan een paar dagen oud zijn, zijn extreem duur. Laten we ons voorstellen dat de persoon die in mei 2010 10.000 BTC heeft betaald voor een pizza, nu een kwaadaardige schurk is (‘Pizza Man’) en hij wil die betreurenswaardige transactie terugdraaien. Om te slagen, zou hij op de een of andere manier een volledige 100% van alle Bitcoin-mijnbouwplatforms en de mijne moeten infiltreren en beheren gedurende een periode van meer dan 200 dagen (of een kleiner + 51% percentage voor veel langer) om de keten ver genoeg terug te rollen met een geldig werkbewijs. Na de acquisitiekosten van meerdere miljarden mijnbouwapparatuur, zouden de kosten van het 200 dagen draaien van het Bitcoin-netwerk meer dan $ 700 miljoen bedragen (7,5 TWh tegen 10 cent / KWh). Nu zijn de kosten van verdediging tegen iets minder dan de Pizza Man-aanval moeilijk te berekenen, omdat het voor concurrerende Bitcoin-mijnwerkers voldoende is om gewoon hun economisch eigenbelang te volgen en Bitcoins voor hun eigen account te ontginnen - de bescherming van het netwerk tegen talloze van mogelijke aanvallen is een bijwerking.

Gezien het feit dat kennis, subjectieve waarde en middelen ongelijk verdeeld zijn in de samenleving (net als in de natuur), zal er altijd een strijd tussen aanvallers en verdedigers zijn - ongeacht welk beveiligingsmechanisme men gebruikt. Het is naar mijn mening vrij zinloos om te spreken van een kosten / verdediging-verhouding van 1: 1.

Om terug te keren naar cryptocurrencies: je kunt proberen algoritmen voor het wissen van transacties te ontwerpen die verschillen van proof-of-work, maar het enige dat je uiteindelijk doet, is het werk verdoezelen dat aanvallers moeten doen om het systeem te exploiteren, en het moeilijker maken om te bepalen hoeveel en wat voor soort werkverdedigers moeten doen om het grootboek eerlijk en volledig te houden. Zoals Paul Sztorc heeft verklaard (ook herhaald door Adam Back): "alle voorgestelde alternatieven voor PoW moeten het label" verduisterd bewijs van het werk "krijgen.

2. Nee, mensen zijn niet "redelijk goed in consensus"

Vitalik beweert dat een 51% -aanvaller die het grootboek van de transactie in zijn voordeel heeft teruggezet, het heel moeilijk zou hebben de gemeenschap ervan te overtuigen dat zijn ketting legitiem is. De menigte zou hem ontmaskeren en snel een consensus bereiken om de gerechtigheid te herstellen. Hij vervolgt: "deze sociale overwegingen zijn wat uiteindelijk elke blockchain op de lange termijn beschermt", en noemt het stenen geld op het eiland Yap als een voorbeeld.

Allereerst denk ik niet dat het steengeld van Yap een goed voorbeeld is van de effectiviteit van sociale consensus. We hebben vrijwel geen informatie over de hoeveelheid fraude die is gepleegd of voorkomen onder het steengeldsysteem. Verder is het algemeen bekend dat mores, gebruiken, rituelen en sociale druk een veel grotere rol spelen in tribale gemeenschappen zoals op het kleine eiland Yap, dus het is niet eerlijk om aan te nemen dat iemand met succes een soortgelijk systeem van monetaire coördinatie kan beheren in de samenleving als geheel. En ten slotte werd het Yap ‘social consensus ledger’ het slachtoffer van ten minste twee succesvolle aanvallen. De eerste was toen in 1874 de Iers-Amerikaanse kapitein David O'Keefe erin slaagde om grote hoeveelheden goedkoop geproduceerde stenen als valuta te gebruiken om macht en rijkdom te verwerven. De tweede gedocumenteerde aanval op het financiële systeem van Yap vond plaats toen Duitse handelaren de yap-stenen in beslag namen en harde kapitaalcontroles instelden.

Laten we ons dus concentreren op de bewering van Buterin dat sociale consensus een bescherming is tegen aanvallen door bronnen. Naar mijn mening is dat duidelijk verkeerd. Een acteur met de middelen om een ​​dergelijke operatie uit te voeren, kan zijn aanval richten op zeer weinig individuen en kan het voor de gemeenschap duur maken om de diefstal ongedaan te maken en de gerechtigheid te herstellen. Of de aanvaller kan strategisch een enorme hoeveelheid gebruikers targeten en ervoor zorgen dat slechts een kleine hoeveelheid financiële schade per gebruiker wordt toegebracht, zodat de kosten per individu om zich tegen de aanvaller te verzamelen hoger zijn dan het verlies dat door de aanval is geleden.

De fabel van

Zelfs in het zeldzame geval dat mensen het er grotendeels over eens zijn dat een bepaalde gebeurtenis verstorend en ongewenst is, zijn ze het vaak helemaal oneens over hoe ermee moet worden omgegaan. Markten zijn er goed in om mensen hun persoonlijke doelen op een vrijwillige manier te laten nastreven, maar dat is het zowat. Als een subset van mensen (of een persoon) iets niet leuk vinden, kunnen ze altijd afsluiten. In het universum van cryptocurrency betekent dit dat ze hard kunnen forceren en hun eigen nieuwe valuta kunnen maken, of soft-fork om strengere regels aan zichzelf op te leggen.

Al te vaak wordt het woord ‘consensus’ gebruikt als retorisch hulpmiddel om afwijkende meningen tot zwijgen te brengen. Nogmaals, bijvoorbeeld in 'A Proof of Stake Design Philosophy', beweert Buterin dat als een samenspanning van validators een 'proof-of-stake'-keten overneemt,' de gemeenschap eenvoudig een harde vork kan coördineren en de stortingen van de overtredende validators kan verwijderen ”. Gezien het feit dat TheDAO reddingsactie is aangenomen door vermeende ‘community consensus’ hoewel minder dan 6% van Ether in omloop over de kwestie stemde in een proces van minder dan 2 weken, lijkt het riskant om de verkeerde mensen in de ETH-gemeenschap te ‘beledigen’.

Kortom, wanneer geconfronteerd met resource-driven aanvallen, is echte responsconsensus bijna onmogelijk te bereiken. Op lange of korte termijn zijn politieke systemen onvoldoende betrouwbaar om fraude en diefstal te voorkomen. In het streven naar sociale schaalbaarheid kunnen we individuele vrijheid en verantwoordelijkheid aanmoedigen door de tools van cryptografie, engineering en economisch eigenbelang als bronnen van robuustheid te gebruiken - maar waar we niet op kunnen rekenen is het idealistische concept van sociale consensus.

3. Niet-onderbouwde bewering dat PoS veerkrachtiger is dan PoW

Buterin verklaart het volgende: “indien gewenst, kunnen de kosten van een enkele aanval van 51% op bewijs van inzet zeker even hoog worden gesteld als de kosten van een permanente aanval van 51% op werkbewijs, en de enorme kosten en ineffectiviteit van een aanval moet ervoor zorgen dat deze in de praktijk bijna nooit wordt geprobeerd. '

Met andere woorden, hij impliceert dat vanuit een oogpunt van veiligheid, Proof-of-Stake veel robuuster is dan Proof-of-Work.

Houd bij het vergelijken van PoW met PoS rekening met het volgende:

  • Mijnbouwontwerpen voor cryptocurrency zijn oplossingen voor het probleem van vertrouwen in systemen met imperfecte kennis en onbekende tegenstanders. Proof of work heeft toepassingen in vroegmodern geld en in de natuur, waarbij het handicapprincipe evolueerde om dieren de "eerlijkheid" of betrouwbaarheid van hun signaal te laten bewijzen. Voor zover ik weet, heeft bewijs van belang geen gelijkwaardige toepassingen in de menselijke geschiedenis of biologie.
  • Een PoW-51% -aanvaller kan het netwerk aanzienlijk vertragen, maar zelfs een enkele poging om historische transacties terug te zetten, vereist enorme en langdurige kosten. Met andere woorden, de productie van grootboekgeschiedenis is extreem duur en de verstoring ervan aantoonbaar zelfs nog meer.
  • In tegenstelling tot een PoW-keten zonder een + 51% -kartel, is het wiskundig bewezen dat het onmogelijk is om de "ware" transactiegeschiedenis in een PoS-blockchain te bepalen zonder een extra bron van vertrouwen. Als er altijd een bron van vertrouwen nodig is, wordt een doos met aanvals- en centralisatiescenario's van een potentiële pandora geopend. Dit is een zaad van waarheid achter de grap die Ethereum van plan is "bewijs van Vitalik" te gebruiken.
  • In een naïeve PoS-omgeving kan een aanvaller gemakkelijk veel alternatieve geschiedenissen van het grootboek maken, waardoor het goedkoop is om verschillende strategieën uit te proberen. Dit staat bekend als het "niets op het spel" -probleem. Ethereum is van plan dit op te lossen door de borg van kwaadwillende validators te vernietigen. Bob McElrath van SolidX maakt duidelijk dat de strategie van ‘economische straf’ van aanvallers onzinnig is als de straf zelf kan worden weggevaagd. Een andere kritiek op Bonded PoS, zoals onlangs geuit door BitTorrent-maker Bram Cohen, is de vraag hoe je kunt voorkomen dat eerlijke stakers worden misleid in interactie met het netwerk op een manier die de straf teweegbrengt die hen zou moeten beschermen. (Zie het als het crypto-equivalent van grootschalige swatting.) Een alternatief aanvalsscenario, voorgesteld door Kevin Zhou van Galois Capital, is een scenario waarbij de aanvaller voldoende eerlijke mensen op zijn netwerk misleidt, zodat het deze eerlijke mensenbelangen wordt om de aanvallende ketting als de echte ketting.

Gevolgtrekking

Hoewel het prijzenswaardig is dat Buterin werkt om zijn cryptocurrency-ontwerpvoorstellen op te bouwen op basis van eerste principes, geloof ik dat zijn beschrijving verschillende fouten bevat. Hij is in de war over afwegingen tussen kosten en verdediging en doet ongefundeerde beweringen over veiligheid op basis van werk versus belang. Hij levert geen overtuigend logisch of historisch bewijs van de effectiviteit van sociale consensus. En hij beweert dat proof-of-stake veerkrachtiger is zonder bewijs of argumenten te leveren, en zonder de vele bezwaren te erkennen die mensen met een substantiële stamboom hebben aangevoerd. Het artikel van Buterin overtuigt mij niet dat proof-of-stake een goede filosofische basis heeft, noch dat het een levensvatbaar zelfstandig mechanisme is voor het beveiligen van publieke blockchains.

Ik ben dankbaar voor de feedback van Kevin Zhou, Afsheen Bigdeli, Lawrence Nahum, Tommaso Pellizzari en Christian Lundkvist. Alle fouten blijven mijn eigen.

Openbaarmaking: ik heb een shortpositie in ETH / BTC (short Ether, long Bitcoin).