30 декабря 2016 года

Системы вроде Ethereum (а также Bitcoin, NXT, Bitshares и так далее) сформировали принципиально новый класс криптоэкономических организмов – децентрализованных организаций, не подвластных какой-либо юрисдикции, которые полностью существуют в киберпространстве и действуют на основе комбинации криптографии, экономики и социального консенсуса. Чем-то они похожи на BitTorrent, но вместе с тем и непохожи, поскольку в BitTorrent нет понятия состояния – а это очень важное различие. Иногда их описывают как децентрализованные автономные корпорации, но и это не совсем так – например, хардфорк Microsoft невозможен. Они напоминают проекты программного обеспечения с открытым исходным кодом, но и здесь тоже есть различия: сделать форк блокчейна не так просто, как, например, форк OpenOffice[33].

Эти криптоэкономические сети бывают самыми разными – PoW на основе ASIC, PoW на основе GPU, наивный PoS, делегированный PoS (DPoS) и ожидаемый в скором времени PoS по принципу Casper, – и каждая обязательно подкрепляется собственной философией. Хороший пример – максималистское видение proof of work, где «тот самый» правильный блокчейн (в единственном числе) определяется как цепочка, на создание которой майнеры потратили наибольшее количество экономического капитала. Изначально это было простое правило выбора ответвлений внутри протокола, но во многих случаях его возводили в ранг священного принципа. Платформа Bitshares сделала из DPoS еще одну самодостаточную философию, основополагающий принцип которой можно описать еще проще: голосование акционеров.

Каждая из этих философий – консенсус Накамото, социальный консенсус, консенсус голосования акционеров – приводит к определенным выводам и системам ценностей, которые звучат убедительно внутри своего сообщества, но вполне уязвимы для критики снаружи. Консенсус по принципу Casper также подкреплен определенной философией, пусть пока и не до конца сформулированной.

Я, Влад, Доминик, Джей и другие – все мы по-своему видим смысл существования и будущий путь развития протоколов proof of stake, но в этой статье я хочу поделиться именно своими соображениями.

Сперва я перечислю свои наблюдения, а затем перейду к выводам.

▒ Для XXI века криптография представляет собой нечто особенное, ведь это – одна из очень немногих областей, где в случае конфликта выгоднее быть на защищающейся стороне. Зáмки намного легче разрушить, чем построить; острова можно защитить, что не помешает их атаковать, но ключ ECC дает обычному человеку защиту, через которую не прорвутся даже противники на уровне государств. Философия шифропанка основана на использовании этой драгоценной асимметрии для создания мира с надежной защитой автономии личности. Криптоэкономика в некоторой степени продолжает эту идею, за исключением того, что защищает безопасность и жизнеспособность сложных систем координации и сотрудничества, а не только неприкосновенность и конфиденциальность личных сообщений. Системы, которые считают себя идейными наследниками духа шифропанка, должны придерживаться этого базового принципа и функционировать так, чтобы взломать и разрушить их было бы гораздо сложнее, чем пользоваться ими и поддерживать их.

▒ «Дух шифропанка» – это не только про идеалы. Создание систем, которые будет легче защищать, чем атаковать, требует тщательной подготовки.

▒ В среднесрочной и долгосрочной перспективах люди весьма неплохо справляются с достижением консенсуса. Даже если противник получил доступ к неограниченной мощности хеширования и провел атаку 51 % на любой крупный блокчейн, переписав его историю транзакций за последний месяц, убедить сообщество в легитимности этой цепочки гораздо сложнее, чем превзойти хеш-мощность основной цепочки. Ему придется поставить под сомнение авторитет обозревателей блоков, каждого доверенного члена сообщества, New York Times, archive.org и многих других интернет-источников. В насыщенном информационными технологиями XXI веке убедить мир в правоте тех, кто совершил атаку, примерно так же сложно, как убедить мир в том, что американские астронавты никогда не высаживались на Луну. В долгосрочной перспективе именно этот социальный фактор защищает любой блокчейн, даже если само сообщество блокчейна этого не признаёт (к слову, Bitcoin Core признаёт главенство социального консенсуса).

▒ Однако в случае защиты одним лишь социальным консенсусом блокчейн будет слишком медленным, неэффективным и погрязнет в бесконечных дискуссиях (хотя, вопреки всем трудностям, подобные системы существуют[34]); так что экономический консенсус чрезвычайно важен для жизнеспособности и безопасности блокчейна в краткосрочной перспективе.

▒ Поскольку в proof of work безопасность обеспечивается только через вознаграждение за блок, а стимулы майнеров связаны только с риском потери своих будущих вознаграждений, алгоритм неизбежно действует по логике затрат огромных мощностей ради огромных вознаграждений. После атак в PoW очень сложно восстановиться: когда это случается впервые, можно создать хардфорк, чтобы изменить алгоритм PoW и тем самым сделать ASIC злоумышленника бесполезными, но во второй раз такой возможности не будет, так что атаки будут происходить снова и снова. Следовательно, размер сети майнинга должен быть настолько большим, чтобы атаки были немыслимы. Злоумышленнику, который готов потратить на атаку менее X, не будет смысла что-либо предпринимать в сети, которая тратит X каждый день. Эту логику я не принимаю, потому что, во-первых, она убивает деревья и, во-вторых, она расходится с духом шифропанка – стоимость атаки и стоимость защиты соотносятся друг к другу как 1:1, так что у защищающейся стороны нет преимуществ.

▒ Proof of stake нарушает эту симметрию и вместо вознаграждения за безопасность полагается на штрафы. Когда валидаторы ставят на кон свои деньги («депозиты»), они получают небольшое вознаграждение за блокировку своего капитала и поддержание нод, а также за принятие дополнительных мер предосторожности для обеспечения безопасности своих закрытых ключей. Основная часть затрат на изменение транзакций приходится на штрафы, которые в сотни или тысячи раз превышают вознаграждение. Если сжать философию proof of stake до одного предложения, то она не про «безопасность за счет сжигания энергии», а скорее про «безопасность за счет риска экономических потерь». Конкретный блок или состояние будет безопасен на $X, если вы сможете доказать, что любой соревнующийся с ним блок или состояние не смогут достигнуть такого же уровня финализации, пока вредоносные ноды, замешанные в попытке подмены, не заплатят внутрипротокольный штраф в размере $X.

▒ Теоретически большинство валидаторов могут сговориться, захватить цепочку proof of stake и приступить к злонамеренным действиям. Однако, во-первых, дизайн протокола достаточно продуман, чтобы максимально ограничить возможность получения дополнительной прибыли за счет таких манипуляций, и, во-вторых, что еще важней, если они попытаются помешать присоединению новых валидаторов или выполнить атаку 51 %, сообщество сможет просто согласовать хардфорк и удалить депозиты этих валидаторов. Успешная атака может обойтись в 50 миллионов долларов, но процесс устранения ее последствий выйдет не дороже консенсусной ошибки geth/parity, которая произошла 25.11.2016[35]. Через два дня блокчейн и сообщество вернулись в прежнее русло, злоумышленники обеднели на 50 миллионов долларов, а остальная часть сообщества, вероятно, наоборот – обогатилась, поскольку сокращение предложения токенов после атаки привело к росту их стоимости. Это и есть асимметрия атаки и защиты.

▒ Из вышесказанного не следует, что незапланированные хардфорки станут обычным явлением; при желании стоимость одной атаки 51 % на proof of stake можно приравнять к стоимости непрерывной атаки 51 % на proof of work. Из-за высокой стоимости и неэффективности такая атака, скорее всего, не будет привлекательна для мошенников.

▒ Не все упирается в экономику. На отдельных акторов могут влиять внешние мотивы: их могут взломать, их могут похитить, они, в конце концов, могут просто напиться и решить разрушить к чертям весь этот блокчейн, наплевав на все издержки. Но здесь есть и плюсы: моральные принципы и проблемы с коммуникацией отдельных людей часто предотвращают атаки намного эффективнее, чем угроза экономических потерь. Нельзя серьезно полагаться на это преимущество, но и пренебрегать им не стоит.

▒ Следовательно, лучшие протоколы – это протоколы, которые хорошо работают при различных моделях и допущениях: экономической рациональности при согласованном выборе, экономической рациональности при индивидуальном выборе, простой отказоустойчивости, византийской отказоустойчивости (в идеале и с адаптивными, и с неадаптивными противниками), моделях экономического поведения в духе Ариели/Канемана («мы все немного жульничаем») и желательно любой другой вообразимой и осуществимой модели. Важно иметь оба уровня защиты: экономические стимулы, препятствующие антисоциальному поведению централизованных картелей, и антицентрализационные стимулы, препятствующие сговору в принципе.

▒ Протоколы консенсуса, работающие по принципу «как можно быстрее», сопряжены с определенными рисками, и стоит подходить к ним очень осторожно, если вообще стоит. Если возможность работать очень быстро связана со стимулами работать очень быстро, такая комбинация будет поощрять очень высокую и отягощенную системными рисками централизацию на сетевом уровне (например, где все валидаторы работают от одного хостинг-провайдера). У протоколов консенсуса, для которых не очень важна скорость отправления сообщения валидатором, пока тот попадает в приемлемый временной интервал (например, 4–8 секунд, поскольку мы эмпирически знаем, что задержка в Ethereum обычно составляет ~500 мс – 1 с), таких проблем нет. Вероятная золотая середина – протоколы, которые могут работать очень быстро, но где механизмы вроде анклов[36] в Ethereum гарантируют, что увеличение скорости ноды выше определенного предела не принесет ей существенного вознаграждения.

Конечно, существует еще множество деталей и способов эти детали оспорить, но здесь я изложил основные, на мой взгляд, принципы консенсуса Casper. Отсюда можно перейти к обсуждению компромиссов между конкурирующими ценностями. Назначим ли мы эфиру годовую эмиссионную процентную ставку в 1 % и заплатим 50 миллионов долларов за принудительный корректирующий хардфорк или назначим нулевую годовую эмиссионную процентную ставку и заплатим 5 миллионов долларов за принудительный корректирующий хардфорк? Когда нам повышать безопасность протокола в рамках экономической модели в обмен на снижение его безопасности в рамках модели отказоустойчивости? Что для нас важнее – предсказуемый уровень безопасности или предсказуемый уровень эмиссии? Все это – вопросы для отдельного поста, а всяческие способы внедрения разных компромиссов между этими опциями – вопросы для еще большего количества постов. Но мы к ним вернемся.:)