▒ СОПРОТИВЛЕНИЕ АТАКАМ – попытки взломать, уничтожить или взять под контроль децентрализованные системы обойдутся дороже, поскольку у таких систем нет уязвимых центральных точек, атаковать которые будет дешевле относительно стоимости окружающей их экономической системы.

▒ СОПРОТИВЛЕНИЕ СГОВОРУ – участникам децентрализованной сети гораздо сложнее сговориться между собой и нажиться за счет других участников, в то время как лидеры государств и корпораций постоянно вступают в сговоры, пользуясь менее скоординированными гражданами, клиентами, работниками и просто людьми.

Все три довода важны и обоснованны, однако они ведут к совершенно другим и весьма интересным заключениям, если рассмотреть их в контексте протоколов. Присмотримся к каждому повнимательней.

В случае отказоустойчивости ключевой аргумент довольно прост. Что произойдет с меньшей вероятностью: откажет один компьютер или одновременно откажут 5 компьютеров из 10? Принцип вполне логичный и часто используется в реальной жизни, например для реактивных двигателей, источников бесперебойного питания в местах вроде больниц, военной инфраструктуры, диверсификации финансовых портфелей и, само собой, компьютерных сетей.

Однако этот несомненно эффективный и важный вид децентрализации, вопреки наивной математической модели, часто оказывается далек от того, чтобы стать панацеей. Причина тому – отказ общего характера. Конечно, один двигатель откажет с большей вероятностью, чем одновременно сразу четыре, но что, если все четыре были изготовлены на одном заводе и по вине конкретного недобросовестного работника вся эта партия вышла с браком?

Могут ли блокчейны в сегодняшнем виде защититься от отказа общего характера? Не факт. Рассмотрим следующие сценарии.

▒ Все ноды блокчейна выполняют программу одного клиента, и в коде программы обнаруживается баг.

▒ Все ноды блокчейна выполняют программу одного клиента, но группу разработчиков этой программы подкупили.

▒ Исследовательскую группу, предлагающую апгрейды протокола, подкупили.

▒ 70 % майнеров блокчейна на базе proof of work находятся в одной стране, правительство которой принимает решение конфисковать майнинговые фермы в интересах национальной безопасности.

▒ Бóльшая часть майнингового оборудования производится одной и той же компанией, которую подкупом или угрозами заставляют встроить в оборудование бэкдор, позволяющий его отключить.

▒ В блокчейне на основе proof of stake 70 % монет, сданных в стейкинг, хранятся на одной и той же бирже.

Целостный взгляд на децентрализацию отказоустойчивости помогает учесть все эти аспекты и постараться их минимизировать. Отсюда несколько очевидных заключений.

▒ Критически важно иметь множественные, конкурирующие между собой реализации протокола.

▒ Необходимо демократизировать информацию о технических аспектах обновлений протокола, чтобы люди могли спокойно участвовать в исследовательских обсуждениях и критиковать откровенно неудачные изменения.

▒ Главные разработчики и исследователи должны работать в разных компаниях и организациях (или, как вариант, многие могут быть волонтерами).

▒ Дизайн майнинговых алгоритмов должен быть ориентирован на минимизацию рисков централизации.

▒ В идеале с помощью proof of stake мы хотим полностью избавиться от риска аппаратной централизации (но не стоит забывать, что proof of stake чреват другими рисками).

Нужно отметить, что простейшие требования отказоустойчивости связаны с архитектурной децентрализацией, но в вопросе отказоустойчивости сообщества, которое управляет продолжением разработки протокола, мы переходим к не менее важной политической децентрализации.

Теперь поговорим о противодействии атакам. В некоторых чистых экономических моделях децентрализация не так уж и важна.