Kritik af Buterin's "A Proof of Stake Design Philosophy"

I denne artikel tager jeg spørgsmålstegn ved flere af de påstande, som Vitalik Buterin har fremsat i hans december 2016-artikel “A Proof of Stake Design Philosophy”. Mit håb er, at det gnister debatten om proof-of-stake's design på højt niveau og om den foreslåede fremtid for Ethereum-protokollen.

1. ”Omkostninger ved angreb skal overstige omkostninger til forsvar” er ulogisk

Dette er en vigtig byggesten for argumentet om, at proof-of-stake (PoS) er 'mere effektiv' end proof-of-work (PoW), så vigtigt at gennemgå nøje.

Vitalik starter dette argument med at hævde, at kryptografi giver brugerne mulighed for at forsvare deres data på en meget mere effektiv måde, end et slot eller en ejer kan selvforsvare i den fysiske verden. Selvom det er sandt, at kryptografi ændrer rigdommen og informationsbeskyttelsespelet, hvilket ofte muliggør lige vilkår, sammenligner dette æbler med appelsiner. Ja, det er sandt, at en middelalderlig ridder ikke kan knække en bitcoin-tegnebog, men heller ikke en computerhacker effektivt kan forsvare et slot. Kryptografi bruges i den virkelige verden, hvor private nøgler til en værdi af millioner kan stjæles med et skiftnøgleangreb på $ 5.

Derudover er 'omkostninger ved angreb' og 'omkostninger ved forsvar' ikke abstrakte og faste, men snarere relative og dynamiske fænomener: de afhænger af den subjektive værdi af den ting, man angriber eller forsvarer, og af de involverede skuespillers overbevisning . Omkostninger er et relativt fænomen, det bliver kun meningsfuldt en gang sammenlignet med glemt nytteværdi, til de muligheder, skuespilleren er villig til at gå glip af for at forfølge et bestemt mål. I tilfælde af et angriber-forsvarsscenarie er omkostningerne også dynamiske: hvis jeg står over for en angriber med stort engagement og enorme ressourcer, vil mine potentielle omkostninger til forsvar være meget høje, og omvendt.

Når man diskuterer proof-of-work, hævder Buterin, at det strider mod ‘cypherpunk-ånden’, fordi i dette system er “omkostningerne ved angreb og omkostninger ved forsvaret i forholdet 1: 1”. Denne erklæring er vildledende, fordi han egentlig kun taler om, hvad en 51% angriberen kunne gøre for de allerførste blokke i blockchain.

Angreb på Bitcoin, hvor man forsøger at vende historiske transaktioner, der er mere end et par dage gamle, er dyre i det ekstreme. Lad os forestille os, at den person, der betalte 10.000 BTC for en pizza i maj 2010, nu er en ond skurk (‘Pizza Man’), og han ønsker at vende den beklagelige transaktion tilbage. For at lykkes, ville han på en eller anden måde skulle infiltrere og kontrollere hele 100% af alle Bitcoin-minerigge og mine i en periode på over 200 dage (eller en mindre + 51% -procent i meget længere tid) for at rulle kæden langt nok tilbage med gyldigt bevis-of-work. Efter omkostningerne ved anskaffelse af minimateriel minedriftudstyr ville udgifterne til at køre Bitcoin-netværket i 200 dage være over $ 700 millioner (7,5 TWh ved 10 cent / KWh). Nu er omkostningerne ved forsvar mod noget mindre end Pizza Man-angrebet svære at beregne, fordi det er tilstrækkeligt for konkurrerende Bitcoin-minearbejdere blot at følge deres økonomiske egeninteresse og mine Bitcoins for deres egen regning - beskyttelsen af ​​netværket mod et utal. af mulige angreb er en bivirkning.

I betragtning af at viden, subjektiv værdi og ressourcer er spredt ujævnt i samfundet (ligesom i naturen), vil der altid være et trækkamp mellem angribere og forsvarere - uanset hvilken sikkerhedsmekanisme man bruger. At tale om et omkostnings / forsvarsforhold på 1: 1 er efter min mening ganske meningsløst.

For at vende tilbage til cryptocurrencies: man kan prøve at designe transaktionsrensningsalgoritmer, der adskiller sig fra proof-of-work, men alt hvad du ender med at gøre, er at tilsløre det arbejde, som angribere skal gøre for at udnytte systemet, og gøre det sværere at definere, hvor meget og hvilken slags arbejdsforsvarere skal gøre for at holde hovedbogen ærlig og komplet. Som Paul Sztorc har udtalt (også gentaget af Adam Back): "alle foreslåede PoW-alternativer skal være mærket 'skjult bevis-af-arbejde'".

2. Nej, mennesker er ikke “helt gode til konsensus”

Vitalik hævder, at en angriber på 51%, der tilbagevendte transaktionens hovedbok til fordel for det, ville have meget svært ved at overbevise samfundet om, at hans kæde er legitim. Publikum ville afmaske ham og hurtigt nå enighed om at genoprette retfærdigheden. Han fortsætter: ”disse sociale overvejelser er det, der i sidste ende beskytter enhver blockchain på lang sigt” og nævner stenpengene på øen Yap som et eksempel.

For det første tror jeg ikke, at stenpengene fra Yap er et godt eksempel på effektiviteten af ​​social konsensus. Vi har næsten ingen oplysninger om mængden af ​​svig begået eller forhindret under stenpengesystemet. Det er endvidere velkendt, at mores, skikke, ritualer og socialt pres spiller en meget større rolle i stammesamfund som på den lille ø Yap, så det er ikke rimeligt at antage, at man med succes kan betjene et lignende system for monetær koordination i samfundet som helhed. Og til sidst blev Yap 'social consensus ledger' offer for mindst to vellykkede angreb. Den første var, da den irsk-amerikanske kaptajn David O’Keefe i 1874 formåede at bruge store mængder billigt producerede sten som valuta for at få magt og rigdom. Det andet dokumenterede angreb på det økonomiske system Yap skete, da tyske forhandlere konfiskerede yapstenene og indførte hårde kapitalkontroller.

Så lad os fokusere på Buterins påstand om, at social konsensus er en beskyttelse mod ressourcedrevne angreb. Efter min mening er det almindeligt forkert. En skuespiller med aktiverne til at gennemføre en sådan operation kan målrette sit angreb på meget få individer og kan gøre det dyrt for samfundet at fortryde tyveriet og genoprette retfærdighed. Eller angriberen kan strategisk målrette mod en enorm mængde brugere og sørge for kun at påføre en lille mængde økonomisk skade pr. Bruger - så omkostningerne pr. Person til at samle mod angriberen er højere end det tab, som angrebet pådrages.

Fablen om at

Selv i det sjældne tilfælde, hvor mennesker stort set er enige om, at en bestemt begivenhed er forstyrrende og uønsket, er de ofte helt uenige om, hvordan den skal håndteres. Markeder er gode til at lade folk forfølge deres personlige mål på en frivillig måde, men det handler om det. Hvis en undergruppe af mennesker (eller en person) ikke kan lide noget, kan de altid forlade. I cryptocurrency universet betyder det, at de kan hårde gafler og oprette deres egen nye valuta eller soft-gaffel for at indføre strengere regler på sig selv.

Alt for ofte bruges ordet 'konsensus' som et retorisk værktøj til at dæmpe dissens. For eksempel, igen, i 'A Proof of Stake Design Philosofy', hævder Buterin påstanden om, at hvis en samordning af validatorer overtager en proof-of-stake-kæde, 'kan samfundet blot koordinere en hård gaffel og slette de krænkende validatorers indskud ”. I betragtning af at TheDAO-bailout vedtaget af antaget 'samfundskonsensus', selvom mindre end 6% af Ether i omløb stemte om sagen i en proces på under 2 uger, forekommer det risikabelt at 'fornærme' de forkerte mennesker i ETH-samfundet.

I summen, når man står over for ressourcestyrede angreb, er reel responskonsensus næsten umulig at opnå. På lang eller kort sigt er politiske systemer ikke tilstrækkeligt pålidelige til at forhindre svig og tyveri. I udøvelsen af ​​social skalerbarhed kan vi tilskynde individuel frihed og ansvar ved at bruge værktøjer til kryptografi, teknik og økonomisk egeninteresse som kilder til robusthed - men det, vi ikke kan stole på, er det idealistiske begreb om social konsensus.

3. Ikke-underbygget påstand om, at PoS er mere robust end PoW

Buterin siger følgende: “Om ønsket kan omkostningerne ved et enkelt angreb på 51% på beviset for indsats helt sikkert indstilles til at være så høje som omkostningerne ved et permanent [sic] 51% angreb på bevis for arbejde og de rene omkostninger og ineffektivitet af et angreb skal sikre, at det næsten aldrig bliver forsøgt i praksis. ”

Med andre ord indikerer han, at et sikkerhedsmæssigt synspunkt er Proof-of-Stake meget mere robust end Proof-of-Work.

Når du sammenligner PoW med PoS, skal du overveje følgende:

  • Cryptocurrency-minedesign er løsninger på problemet med tillid til systemer med ufuldkommen viden og ukendte modstandere. Bevis for arbejde har anvendelser i tidlige moderne penge og i naturen, hvor handicapprincippet evolutionært udviklede sig for at lade dyr bevise deres ærlighed eller pålidelighed af deres signal. Så vidt jeg ved, har proof-of-stake ingen tilsvarende anvendelser i hverken menneskets historie eller biologi.
  • En angriberen på 51% af PoW kan sænke netværket markant, men selv et enkelt forsøg på at vende tilbage til historiske transaktioner kræver en enorm og langvarig udgift. Med andre ord er produktionen af ​​hovedhistorik ekstremt dyr, og det er sandsynligvis endnu mere forstyrrende.
  • I modsætning til en PoW-kæde, der mangler et + 51% -kartel, er det matematisk bevist, at det er umuligt at bestemme den "rigtige" transaktionshistorik i en PoS-blockchain uden en yderligere kilde til tillid. Hvis der altid er behov for en kilde til tillid, åbnes en potentiel pandoras felt med angreb og centraliseringsscenarier. Dette er et frø af sandheden bag den vittighed, som Ethereum planlægger at bruge ”bevis på Vitalik”.
  • I et naivt PoS-miljø kan en angriber let oprette mange alternative historier om hovedbogen, hvilket gør det billigt at prøve forskellige strategier. Dette er kendt som ”intet, der står på spil”. Ethereum planlægger at løse dette ved at ødelægge det bundne depositum for ondsindede validatorer. SolidXs Bob McElrath gør opmærksom på, at strategien for 'økonomisk straf' for angribere er en smule, hvis selve straffen kan gnides væk. En anden kritik af bundet PoS, som det for nylig blev givet udtryk for af BitTorrent-skaberen Bram Cohen, er spørgsmålet om, hvordan man forhindrer ærlige stakers fra at blive narret til at interagere med netværket på en måde, der udløser den straf, der skal beskytte dem. (Tænk på det som kryptoækvivalent af storskala swatting.) Et alternativt angrebsscenarie, foreslået af Galois Kapitals Kevin Zhou, er et, hvor angriberen tricks nok ærlige mennesker på sit netværk, så det bliver disse ærlige folks interesse at støtte angribe kæden som den sande kæde.

Konklusion

Selvom det er prisværdigt, at Buterin arbejder på at opbygge sine forslag til cryptocurrency-design ud fra de første principper, tror jeg, hans opskrivning indeholder flere mangler. Han er forvirret over omkostningsforsvarsudvekslinger og fremsætter uberettigede påstande om arbejds- kontra stavbaseret sikkerhed. Han undlader at give overbevisende logisk eller historisk bevis på effektiviteten af ​​social konsensus. Og han hævder, at bevisbevis er mere modstandsdygtige uden at fremlægge bevis eller argumenter, og uden at anerkende de mange indvendinger, der er rejst af mennesker med betydelig stamtavle. Buterins artikel overbeviser mig ikke om, at proof-of-stake har et sundt filosofisk fundament, og heller ikke, at det er en bæredygtig fristående mekanisme til sikring af offentlige blockchains.

Jeg er taknemmelig for feedback fra Kevin Zhou, Afsheen Bigdeli, Lawrence Nahum, Tommaso Pellizzari og Christian Lundkvist. Alle fejl forbliver mine egne.

Videregivelse: Jeg har en kort position i ETH / BTC (kort Ether, lang Bitcoin).