Если протокол гарантирует, что валидаторы потеряют 50 миллионов долларов в случае атаки 51 % (то есть отмены завершенных транзакций), то не так важно, одна или сто компаний контролируют валидаторов, ведь риск потери 50 миллионов долларов в любом случае гарантирует экономическую безопасность. На самом деле в области теории игр существуют основания[38] полагать, что централизация может даже максимизировать экономическую безопасность (эту мысль отражает модель выбора транзакций в существующих блокчейнах, поскольку включение транзакции в блоки через майнеров / инициаторов блока есть не что иное, как диктатура с очень высокой ротацией).

Но как только мы внедряем более развитую экономическую модель, в частности такую, которая допускает возможность принуждения (или более деликатные методы вроде прицельных DoS-атак против нод), децентрализация становится куда важнее. К примеру, когда злоумышленник угрожает валидатору убийством, если тот не совершит определенных действий, перспектива потери 50 миллионов долларов отходит на второй план. Однако если эти 50 миллионов распределены между десятью валидаторами, злоумышленнику придется угрожать всем десяти, причем одновременно. Во многих случаях асимметрия атака/защита склоняется в пользу атакующего – здание, строительство которого стоит 10 миллионов долларов, можно разрушить меньше чем за 100 000 долларов, однако преимущество атакующего зачастую нелинейно: если строительство здания стоит 10 миллионов, а разрушение – 100 000, то разрушение здания, построенного за 1 миллион, вполне может обойтись в 30 000. Чем меньше суммы, тем лучше соотношение.

Какие отсюда следуют выводы? Во-первых, это демонстрирует серьезное преимущество консенсуса proof of stake перед proof of work, поскольку компьютерное оборудование легко обнаружить, контролировать или атаковать, в то время как монеты можно надежно скрыть (но есть и другие причины, по которым proof of stake успешно сопротивляется атакам). Во-вторых, здесь наблюдается явная польза распределенных команд, в том числе распределенных географически. В-третьих, и экономическую модель, и модель отказоустойчивости необходимо учитывать при разработке протоколов консенсуса.

Наконец, мы переходим к самому запутанному доводу в пользу децентрализации – сопротивлению сговору. Сложно точно сказать, что такое сговор, хотя самым простым определением будет «скоординированные действия, которые нам не нравятся». Часто в реальной жизни, несмотря на вроде бы очевидные выгоды наилучшей координации между всеми участниками, способность одной подгруппы к координации на фоне неспособности всех остальных весьма опасна.

Простой пример – антимонопольное законодательство, то есть специальные регуляторные барьеры, которые предназначены для того, чтобы участникам конкретной рыночной ниши было сложно объединяться и действовать как монополист, получая прибыль за счет других игроков этой ниши и благосостояния всего общества. Другой пример – правила, запрещающие активную координацию между кандидатами на выборах и суперкомитетами по политической активности[39], хотя проконтролировать соблюдение этого запрета оказалось очень трудно. Менее масштабный пример – запрет в некоторых шахматных турнирах одним и тем же игрокам слишком часто играть друг с другом, чтобы повысить очки конкретного игрока. Куда ни взгляни, с нежелательной координацией пытаются бороться в самых разных сложных структурах.

В случае протоколов блокчейна математические и экономические рассуждения о безопасности консенсуса часто опираются на модель нескоординированного выбора или на допущение, что в игре участвует множество мелких акторов, принимающих решения независимо друг от друга. Если кто-то в системе proof of work получает больше 1/3 майнинговой мощности, он может начать получать дополнительную прибыль посредством эгоистичного майнинга[40]. Однако можно ли говорить о том, что модель нескоординированного выбора реалистична, если представители 90 % майнинговой мощности Bitcoin достаточно хорошо скоординированы, чтобы оказаться вместе на одной конференции?

Сторонники блокчейна указывают на повышенную надежность системы, поскольку нельзя просто взять и произвольно поменять ее правила, но этот аргумент теряет силу, если разработчики программного обеспечения и протокола работают на одну и ту же компанию, принадлежат к одной семье и сидят в одной комнате. Смысл в том, что такие системы не должны действовать как корыстные, унитарные монополии. Отсюда следует, что блокчейн будет более надежным и безопасным, если сделать его менее скоординированным.

В этом его фундаментальный парадокс. Многие сообщества, в том числе сообщества Ethereum, часто хвалят за сильный командный дух и способность быстро координироваться для срочного внедрения, реализации и активации хардфорков. Как же развивать и поощрять эту «хорошую» координацию, параллельно пресекая «плохую» координацию, где майнеры попытаются обвести всех вокруг пальца и совершить атаку 51 %?

Здесь есть три варианта:

▒ Не тратить силы на борьбу с нежелательной координацией и вместо этого попытаться разработать протоколы, которые смогут ей противостоять.

▒ Попытаться найти золотую середину, где уровень координации будет достаточным для усовершенствования протокола, но недостаточным для совершения атак.

▒ Попытаться четко разграничить полезную и вредную координации, чтобы упростить первую и усложнить вторую.

Первый подход составляет значительную часть философии Casper. Но одного этого недостаточно: если мы будем полагаться только на экономику, то не сможем учесть две другие угрозы децентрализации.

Второй подход сложнее в плане проектирования, особенно на длительную перспективу, но часто такое происходит случайно. Например, можно назвать удачей тот факт, что главные разработчики биткойна говорят в основном на английском языке, а подавляющая часть майнеров – на китайском, поскольку это создает что-то вроде «двухпалатного» управления, где координация более затруднительна, а риск отказа общего характера намного меньше, поскольку действия английского и китайского сообществ в силу расстояний и коммуникационных особенностей будут несколько различаться, что снизит вероятность одинаковых ошибок.

Третий подход – самый сложный в социальном плане. Решения могут быть такими.

▒ Вмешиваться в социальные процессы, чтобы увеличить лояльность участников блокчейна к сообществу как к единому целому и снизить вероятность, что игроки на одной стороне рынка будут лояльны непосредственно друг другу.

▒ Развивать коммуникационные каналы между разными «сторонами рынка» в одном контексте, чтобы снизить вероятность того, что валидаторы, разработчики или майнеры начнут воспринимать себя как «класс», который должен скоординироваться против других классов ради защиты собственных интересов.

▒ Разрабатывать протокол таким образом, чтобы снизить мотивацию валидаторов/майнеров вступать в «особые отношения» один на один, минимизировать появление централизованных релейных сетей и других суперпротокольных механизмов.

▒ Создать понятные нормы: какие базовые свойства должен иметь протокол, чего делать нельзя, а что можно, но только в самых экстремальных случаях.

Этот третий вид децентрализации – децентрализация как предотвращение нежелательной координации – самый труднодостижимый, и здесь неизбежны уступки. Возможно, наилучшим решением этой проблемы станет опора на гарантированно децентрализованную группу – пользователей протокола.