Et bevis på stakes designfilosofi

Systemer som Ethereum (og Bitcoin, og NXT, og Bitshare osv.) Er en grundlæggende ny klasse af kryptoøkonomiske organismer - decentraliserede, jurisdiktionsløse enheder, der findes fuldstændigt i cyberspace, vedligeholdt af en kombination af kryptografi, økonomi og social konsensus. De ligner BitTorrent, men de er heller ikke som BitTorrent, da BitTorrent ikke har noget statsbegreb - en sondring, der viser sig at være meget vigtig. De beskrives undertiden som decentraliserede autonome selskaber, men de er heller ikke helt selskaber - du kan ikke hårdt fork Microsoft. De er på samme måde som open source-softwareprojekter, men det er de heller ikke helt - du kan gafle en blockchain, men ikke så let som du kan gafle OpenOffice.

Disse kryptokonomiske netværk findes i mange varianter - ASIC-baserede PoW, GPU-baserede PoW, naive PoS, delegerede PoS, forhåbentlig snart Casper PoS - og hver af disse smagsstoffer kommer uundgåeligt med sin egen underliggende filosofi. Et velkendt eksempel er den maksimalistiske vision om arbejdsbevis, hvor ”den korrekte blockchain, ental, defineres som den kæde, som minearbejdere har brændt den største mængde økonomisk kapital til at skabe. Oprindeligt en simpel regel i gaffelvalg i protokoller, er denne mekanisme i mange tilfælde blevet hævet til en hellig basis - se denne Twitter-diskussion mellem mig og Chris DeRose for et eksempel på nogen, der seriøst forsøger at forsvare ideen i en ren form, selv i ansigtet af hash-algoritme-skiftende protokol hårde gafler. Bitshares delegerede bevis for indsats præsenterer en anden sammenhængende filosofi, hvor alt igen flyder fra et enkelt princip, men et, der kan beskrives endnu mere enkelt: aktionærer stemmer.

Hver af disse filosofier; Nakamoto-konsensus, social konsensus, aktionærstemme-konsensus, fører til sit eget sæt af konklusioner og fører til et værdisystem, der giver en hel del mening, når de ses på sine egne vilkår - skønt de helt sikkert kan kritiseres, når de sammenlignes med hinanden. Casper-konsensus har også en filosofisk underbygning, skønt en hidtil ikke er blevet så kortfattet artikuleret.

Selv, Vlad, Dominic, Jae og andre har alle deres egne synspunkter på, hvorfor der findes bevis for stavprotokoller, og hvordan man designer dem, men her har jeg til hensigt at forklare, hvor jeg personligt kommer fra.

Jeg fortsætter med at liste over observationer og derefter konklusioner direkte.

  • Kryptografi er virkelig speciel i det 21. århundrede, fordi kryptografi er et af de meget få felter, hvor modstandskonflikt fortsætter med at favorisere forsvareren stærkt. Slotte er langt lettere at ødelægge end at bygge, øer kan forsvares, men kan stadig blive angrebet, men en gennemsnitlig persons ECC-nøgler er sikre nok til at modstå selv statslige aktører. Cypherpunk-filosofi handler grundlæggende om at udnytte denne dyrebare asymmetri for at skabe en verden, der bedre bevarer individets autonomi, og kryptoøkonomi er til en vis grad en udvidelse af det, undtagen denne gang at beskytte sikkerheden og livligheden i komplekse systemer for koordinering og samarbejde, snarere end blot integriteten og fortroligheden af ​​private meddelelser. Systemer, der betragter sig som ideologiske arvinger til cypherpunk-ånden, bør opretholde denne grundlæggende egenskab og være meget dyrere at ødelægge eller forstyrre, end de skal bruge og vedligeholde.
  • "Cypherpunk-ånden" handler ikke kun om idealisme; At gøre systemer, der er lettere at forsvare, end de er at angribe, er også simpelthen lydteknik.
  • På mellemstore til lang tidsskalaer er mennesker ret gode til konsensus. Selv hvis en modstander havde adgang til ubegrænset hasskraft og kom ud med et 51% angreb på enhver større blockchain, der vendte tilbage endda den sidste måned i historien, er det meget sværere at overbevise samfundet om, at denne kæde er legitim, end bare at outrunning af hovedkædens hashpower . De bliver nødt til at undergrave blokforkæmpere, ethvert betroet medlem i samfundet, New York Times, archive.org og mange andre kilder på internettet; alt i alt er det at være overbevist om, at den nye angrebskæde er den, der kom først i det informationsteknologiske tætte 21. århundrede, lige så hårdt som at overbevise verden om, at de amerikanske månelandinger aldrig skete. Disse sociale overvejelser er det, der i sidste ende beskytter enhver blockchain på lang sigt, uanset om blockchains samfund indrømmer det eller ej (bemærk, at Bitcoin Core indrømmer denne forrang i det sociale lag).
  • Imidlertid ville en blockchain beskyttet af social konsensus alene være alt for ineffektiv og langsom og for let til, at uoverensstemmelser kan fortsætte uden ende (skønt det på trods af alle vanskeligheder er sket); derfor tjener økonomisk konsensus en ekstremt vigtig rolle i beskyttelsen af ​​livskvalitet og sikkerhedsejendomme på kort sigt.
  • Fordi bevis for arbejdssikkerhed kun kan komme fra blokbelønninger (i Dominic Williams 'termer, mangler det to af de tre Es), og incitamenter til minearbejdere kun kan komme fra risikoen for, at de mister deres fremtidige blokbelønninger, fungerer bevis på arbejde nødvendigvis på en logik med massiv magt, der er inciteret til at eksistere ved massive belønninger. Gendannelse fra angreb i PoW er meget hårdt: første gang det sker, kan du hårde gaffel til at ændre PoW og derved gøre angriberens ASIC'er ubrugelige, men anden gang du ikke længere har denne mulighed, og så angriberen kan angribe igen og igen. Derfor skal minenetværkets størrelse være så stor, at angreb ikke kan tænkes. Angribere af størrelse mindre end X frarådes at optræde ved at have netværket konstant tilbringe X hver eneste dag. Jeg afviser denne logik, fordi (i) den dræber træer, og (ii) den undlader at indse cypherpunk-ånden - omkostninger ved angreb og omkostninger til forsvar er i forholdet 1: 1, så der er ingen forsvars fordel.
  • Bevis for indsats bryder denne symmetri ved ikke at stole på belønninger for sikkerhed, men snarere sanktioner. Validerende sætter penge (“indskud”) på spil, belønnes lidt for at kompensere dem for at låse deres kapital og vedligeholde knudepunkter og tage ekstra forsigtighed for at sikre deres private nøglesikkerhed, men hovedparten af ​​omkostningerne ved tilbageføring af transaktioner stammer fra sanktioner, der er hundreder eller tusinder af gange større end de belønninger, de fik i mellemtiden. "Én-sætnings filosofi" om bevis for indsats er således ikke "sikkerhed kommer fra brændende energi", men snarere "sikkerhed kommer fra at sætte økonomisk værdi-ved-tab". En given blok eller stat har $ X-sikkerhed, hvis du kan bevise, at opnåelse af et lige niveau for færdiggørelse for enhver modstridende blok eller tilstand ikke kan udføres, medmindre ondsindede knudepunkter komplicerer i et forsøg på at få kontakten til at betale $ X-værd i in-protokol-sanktioner.
  • Teoretisk set kan et flertalskollusion af validatorer overtage et bevis på stavkæden og begynde at handle ondsindet. Imidlertid kan (i) gennem smart protokoldesign deres evne til at tjene ekstra overskud gennem sådan manipulation begrænses så meget som muligt, og endnu vigtigere (ii) hvis de forsøger at forhindre nye validatorer i at tilslutte sig eller udføre 51% angreb, så samfundet kan simpelthen koordinere en hård gaffel og slette de krænkende validatorers indskud. Et vellykket angreb koster muligvis $ 50 millioner, men processen med at rydde op i konsekvenserne vil ikke være så meget mere besværlig end mislykkethed i paritet / paritet i 2016.11.25. To dage senere er blockchain og community tilbage på sporet, angribere er $ 50 millioner fattigere, og resten af ​​samfundet er sandsynligvis rigere, da angrebet vil have medført, at værdien af ​​token stiger på grund af den efterfølgende forsyningsknus. Det er angreb / ​​forsvarsasymmetri for dig.
  • Ovenstående bør ikke anses for at betyde, at ikke-planlagte hårde gafler bliver en regelmæssig forekomst; om ønsket kan omkostningerne ved et enkelt angreb på 51% på bevis for indsats helt sikkert indstilles til at være så høje som omkostningerne ved et permanent angreb på 51% på bevis på arbejde, og de store omkostninger og ineffektivitet ved et angreb bør sikre, at det er næsten aldrig forsøgt i praksis.
  • Økonomi er ikke alt. Individuelle skuespillere kan være motiverede af ekstra-protokollmotiver, de kan blive hacket, de kan blive kidnappet, eller de kan bare blive beruset og beslutte at ødelægge blockchain en dag og til helvede med omkostningerne. På den lyse side vil individers moralske overbærenhed og kommunikationseffektivitet ofte øge omkostningerne ved et angreb til niveauer, der er meget højere end den nominelle protokoldefinerede værdi-ved-tab. Dette er en fordel, som vi ikke kan stole på, men på samme tid er det en fordel, som vi unødvendigt skal smide væk.
  • Derfor er de bedste protokoller protokoller, der fungerer godt under en række modeller og antagelser - økonomisk rationalitet med koordineret valg, økonomisk rationalitet med individuelt valg, simpel fejltolerance, byzantinsk fejltolerance (ideelt set både den adaptive og ikke-adaptive modstandervariant) Ariely / Kahneman-inspirerede adfærdsøkonomiske modeller (“vi alle snyder bare lidt”) og ideelt set enhver anden model, der er realistisk og praktisk at resonnere over. Det er vigtigt at have begge forsvarslag: økonomiske incitamenter til at afskrække centraliserede karteller fra at handle anti-socialt og anti-centraliseringsincitamenter til at afskrække karteller fra at danne sig i første omgang.
  • Konsensusprotokoller, der arbejder så hurtigt som muligt, har risici og bør overhovedet benyttes meget omhyggeligt, hvis overhovedet, for hvis muligheden for at være meget hurtig er bundet til incitamenter til at gøre det, vil kombinationen belønne meget høj og systemisk risiko- induktion af niveauer af netværksniveau centralisering (f.eks. alle validatorer, der kører fra den samme hostingudbyder). Konsensusprotokoller, der ikke bryder sig for meget, hvor hurtigt en validator sender en meddelelse, så længe de gør det inden for et acceptabelt langt tidsinterval (f.eks. 4–8 sekunder, da vi empirisk ved, at latenstid i ethereum normalt er ~ 500ms- 1s) har ikke disse bekymringer. En mulig mellemgrund er at skabe protokoller, der kan arbejde meget hurtigt, men hvor mekanik, der ligner Ethereums onkelmekanisme, sikrer, at den marginale belønning for en knudepunkt, der øger dens grad af netværksforbindelse ud over et let opnåeligt punkt, er ret lav.

Herfra er der naturligvis mange detaljer og mange måder at afvige på detaljerne, men ovenstående er de centrale principper, som i det mindste min version af Casper er baseret på. Herfra kan vi helt sikkert diskutere afvejninger mellem konkurrerende værdier. Giver vi ETH en årlig udstedelsesrate på 1% og får en omkostning på 50 millioner dollars til at tvinge en afhjælpende hårdgaffel eller en årlig udstedelsesrate på nul og få en omkostning på $ 5 millioner til at tvinge en afhjælpende hårdgaffel? Hvornår øger vi en protokols sikkerhed under den økonomiske model til gengæld for at mindske dens sikkerhed under en fejltolerancemodel? Gør vi mere interesseret i at have et forudsigeligt sikkerhedsniveau eller et forudsigeligt niveau for udstedelse? Dette er alle spørgsmål til et andet indlæg, og de forskellige måder at implementere de forskellige afvejninger mellem disse værdier er spørgsmål til endnu flere stillinger. Men vi kommer til det :)