Nessun meccanismo progettato per Proof of Stake (PoS) è stato controverso quanto il taglio. Lo slashing offre un mezzo per penalizzare economicamente qualsiasi particolare nodo in modo mirato per non aver intrapreso un'azione conforme al protocollo. Lo fa togliendo parte o tutta la posta in gioco del validatore, senza imporre esternalità su altri nodi che si comportano secondo il protocollo. Lo slashing è unico per i protocolli proof-of-stake perché richiede la capacità della blockchain di applicare la sanzione. Tale applicazione è chiaramente irrealizzabile nei sistemi Proof of Work, dove sarebbe analogo alla masterizzazione dell'hardware di mining utilizzato dai nodi che si comportano in modo anomalo. Questa capacità di applicare incentivi punitivi apre un nuovo spazio di progettazione nella progettazione del meccanismo blockchain, e quindi merita un'attenta considerazione.
Nonostante il suo ovvio vantaggio sotto forma di "karma", l'obiezione principale alla riduzione è stata il rischio che i nodi vengano tagliati in modo sproporzionato a causa di un errore onesto come l'esecuzione di software obsoleto. Di conseguenza, molti protocolli hanno evitato di incorporare la barra e si affidano invece ai cosiddetti tossicità simbolica – il fatto che se un protocollo viene attaccato con successo, il token sottostante perderebbe valore. Molti pensano che gli staker vedrebbero questa tossicità come una minaccia contro la compromissione della sicurezza del protocollo. Secondo la nostra valutazione, la tossicità dei token non è abbastanza potente da scoraggiare gli attacchi avversari in alcuni scenari tipici. Infatti, il costo sostenuto dagli avversari per attaccare e corrompere il protocollo, denominato costo della corruzione, in tali scenari è sostanzialmente pari a zero.
In questo articolo, mostriamo come l'incorporazione del taglio nella progettazione del meccanismo di un protocollo PoS aumenti sostanzialmente il costo della corruzione che qualsiasi avversario dovrebbe sostenere. Sil lashing garantisce un costo di corruzione elevato e misurabile sia per i protocolli decentralizzati in presenza di tangenti sia per i protocolli (centralizzati o decentralizzati) che non soddisfano i presupposti di tossicità del token.
Le circostanze che possono portare alla corruzione e all'assenza di tossicità simbolica sono onnipresenti. Molti dei protocolli PoS evitano di rientrare in una di queste due categorie avendo una comunità affiatata, fattibile solo quando è piccola; facendo affidamento su una forte leadership che li guidi nella giusta direzione, delegando la convalida a un piccolo gruppo di operatori di nodi rinomati e legalmente regolamentati; oppure facendo affidamento sulla concentrazione dei token di staking all'interno di un piccolo gruppo. Nessuna di queste soluzioni è pienamente soddisfacente per far crescere una comunità ampia e decentralizzata di nodi di convalida. E se il protocollo PoS prevede una concentrazione della posta in gioco con solo pochi validatori (o, in casi estremi, un solo validatore), è auspicabile disporre di un mezzo per penalizzare questi grandi validatori, nel caso in cui assumano comportamenti contraddittori.
Nel resto dell'articolo, noi
- presentare un modello per l'analisi di complessi attacchi di corruzione,
- mostrare che i protocolli PoS senza tagli sono vulnerabili agli attacchi di corruzione,
- mostrare che i protocolli PoS con tagli hanno una sicurezza quantificabile contro la corruzione, e
- discute alcuni aspetti negativi del taglio e suggerisce mitigazioni.
Modeling
Prima di presentare il caso del taglio, abbiamo bisogno di un modello in base al quale proseguiremo la nostra analisi. Due dei modelli più popolari per l'analisi dei protocolli PoS, il modello bizantino e il modello di equilibrio teorico del gioco, non riescono a catturare alcuni degli attacchi più devastanti del mondo reale, attacchi in cui il taglio fungerebbe da potente deterrente. In questa sezione, discutiamo questi modelli esistenti per comprenderne le carenze e presentiamo un terzo modello, quello che chiamiamo modello di analisi della corruzione, basato sulla valutazione separata dei limiti del costo minimo che deve essere sostenuto e del massimo profitto che può essere estratti dalla corruzione del protocollo. Nonostante la sua capacità di modellare ampie fasce di attacchi, il modello di analisi della corruzione non è stato ancora utilizzato per analizzare molti protocolli.
Modelli esistenti
In questa sezione, forniamo una breve descrizione dei modelli di equilibrio bizantini e della teoria dei giochi e dei loro limiti.
Modello bizantino
Il modello bizantino stabilisce che al massimo una certa frazione (𝜷) di nodi può deviare dalle azioni prescritte dal protocollo e perseguire qualsiasi azione di sua scelta, mentre il resto dei nodi rimane conforme al protocollo. Dimostrare che un particolare protocollo PoS è resiliente contro un intero spazio di azioni bizantine che un nodo avversario può intraprendere è un problema non banale.
Ad esempio, considera i protocolli di consenso PoS a catena più lunga in cui la vivacità ha la priorità rispetto alla sicurezza. Le prime ricerche sulla sicurezza del consenso a catena più lunga si sono concentrate sulla dimostrazione della sicurezza contro un solo attacco specifico: il attacco privato a doppia spesa, dove tutti i nodi bizantini colludono per costruire una catena alternativa in privato e poi rivelarla molto più tardi una volta che è più lunga della catena originale. Il fenomeno del nulla in gioco, tuttavia, offre l'opportunità di proporre molti blocchi utilizzando la stessa puntata e di utilizzare la casualità indipendente per aumentare la probabilità di costruire una catena privata più lunga. Solo molto più tardi, sono state intraprese ricerche approfondite per dimostrare che alcune costruzioni di protocolli di consenso PoS a catena più lunga possono essere rese sicure contro tutti gli attacchi per determinati valori di 𝜷. (Per ulteriori dettagli, vedere “Tutto è una gara e Nakamoto vince sempre" e "PoSAT: disponibilità e imprevedibilità della prova di lavoro, senza il lavoro").
Un'intera classe di protocolli di consenso, i protocolli Byzantine Fault Tolerant (BFT), danno la priorità alla sicurezza rispetto alla vivacità. Richiedono anche l'assunzione di un modello bizantino per dimostrare che, per un limite superiore a 𝜷, questi protocolli sono deterministicamente sicuri contro qualsiasi attacco. (Per ulteriori dettagli, vedere “HotStuff: Consenso BFT nella lente della Blockchain","STREAMLET","Tendermint".)
Sebbene utile, il modello bizantino non tiene conto di alcun incentivo economico. Da una prospettiva comportamentale, la frazione 𝜷 di questi nodi è di natura completamente contraddittoria mentre la frazione (1-𝜷) è pienamente conforme alle specifiche del protocollo. Al contrario, una frazione significativa di nodi in un protocollo PoS può essere motivata da guadagni economici ed eseguire versioni modificate del protocollo a vantaggio del proprio interesse personale piuttosto che semplicemente rispettare le specifiche complete del protocollo. Come esempio saliente, si consideri il caso del protocollo Ethereum PoS, in cui la maggior parte dei nodi oggi non esegue il protocollo PoS predefinito ma esegue la modifica MEV-Boost, che si traduce in premi aggiuntivi dovuti alla partecipazione a un mercato di aste MEV, piuttosto che eseguire il specifica esatta del protocollo.
Modello di equilibrio teorico dei giochi
Il modello di equilibrio della teoria dei giochi tenta di affrontare il difetto del modello bizantino utilizzando concetti di soluzione come l'equilibrio di Nash per studiare se un nodo razionale ha gli incentivi economici per seguire una data strategia quando anche tutti gli altri nodi stanno seguendo la stessa strategia. Più esplicitamente, supponendo che tutti siano razionali, il modello indaga su due questioni:
- Se ogni altro nodo segue la strategia prescritta dal protocollo, mi porta il maggior vantaggio economico eseguire la stessa strategia prescritta dal protocollo?
- Se ogni altro nodo sta eseguendo la stessa strategia di deviazione del protocollo, è più compatibile con gli incentivi per me seguire ancora la strategia prescritta dal protocollo?
Idealmente, il protocollo dovrebbe essere progettato in modo tale che la risposta a entrambe le domande sia "sì".
Un difetto intrinseco nel modello di equilibrio della teoria dei giochi è che esclude lo scenario in cui un agente esogeno potrebbe influenzare il comportamento dei nodi. Ad esempio, un agente esterno può istituire una tangente per incentivare i nodi razionali ad agire secondo la strategia prescritta. Un'altra limitazione è che presuppone che ciascuno dei nodi abbia l'agenzia indipendente per prendere le proprie decisioni su quale strategia seguire in base alla propria ideologia o incentivi economici. Ma questo non cattura lo scenario in cui un gruppo di nodi collude per formare cartelli o quando le economie di scala incoraggiano la creazione di un'entità centralizzata che controlla essenzialmente tutti i nodi di picchettamento.
Separare il costo della corruzione dal profitto dalla corruzione
Diversi ricercatori hanno proposto il modello di analisi della corruzione per analizzare la sicurezza di qualsiasi protocollo PoS, sebbene nessuno lo abbia utilizzato per eseguire un'analisi più approfondita. Il modello inizia ponendo due domande: (1) Qual è il costo minimo sostenuto da qualsiasi avversario per eseguire con successo un attacco di sicurezza o di attività al protocollo? e (2) Qual è il profitto massimo che un avversario può trarre dall'esecuzione riuscita di un attacco alla sicurezza o alla vivacità del protocollo?
L'avversario in questione può esserlo
- un nodo che devia unilateralmente dalla strategia prescritta dal protocollo,
- un gruppo di nodi che cooperano attivamente tra loro per minare il protocollo, o
- un avversario esterno che tenta di influenzare le decisioni di molti nodi attraverso alcune azioni esterne come la corruzione.
Il calcolo dei costi coinvolti richiede di prendere in considerazione qualsiasi costo sostenuto per tangenti, qualsiasi sanzione economica sostenuta per l'esecuzione di una strategia bizantina e così via. Allo stesso modo, il profitto informatico è onnicomprensivo, che conta qualsiasi ricompensa all'interno del protocollo ottenuta attaccando con successo il protocollo, qualsiasi acquisizione di valore dalle DApp che si trovano sopra il protocollo PoS, prendendo posizioni sui derivati correlati al protocollo nei mercati secondari e approfittando dalla volatilità risultante dall'attacco e così via.
Confrontando un limite inferiore del costo minimo per qualsiasi avversario per organizzare un attacco (costo della corruzione) con un limite superiore del massimo profitto che un avversario può ottenere (profitto dalla corruzione) indica quando è economicamente redditizio per attaccare il protocollo. (Questo modello è stato utilizzato per l'analisi Augur ed Kleros.) Questo ci dà questa semplice equazione:
profitto dalla corruzione – costo della corruzione = profitto totale
Se c'è un profitto totale da realizzare, allora c'è un incentivo per un avversario a organizzare un attacco. Nella sezione successiva, considereremo come lo slashing può aumentare il costo della corruzione, riducendo o eliminando il profitto totale.
(Si noti che un semplice esempio di limite superiore del profitto dalla corruzione è il valore totale delle risorse protette dal protocollo PoS. È possibile creare limiti più sofisticati che tengano conto degli interruttori che limitano il trasferimento delle risorse entro un periodo di Uno studio dettagliato dei metodi per abbassare e limitare il profitto dalla corruzione esula dallo scopo del presente articolo.)
Ridurre
Lo slashing è un modo per un protocollo PoS di penalizzare economicamente un nodo o un gruppo di nodi per l'esecuzione di una strategia che è dimostrabilmente divergente dalla specifica del protocollo data. In genere, per attuare qualsiasi forma di taglio, ciascun nodo deve aver precedentemente impegnato un importo minimo di puntata come garanzia. Prima di approfondire la nostra analisi dello slashing, esamineremo innanzitutto i sistemi PoS con token endogeni che si basano sulla tossicità del token come alternativa allo slashing.
Ci occupiamo principalmente dello studio dei meccanismi di slashing per le violazioni della sicurezza, piuttosto che per le violazioni della liveness. Suggeriamo questa restrizione per due motivi: (1) le violazioni della sicurezza sono completamente attribuibili in alcuni protocolli PoS basati su BFT, ma le violazioni della liveness non sono attribuibili in nessun protocollo e (2) le violazioni della sicurezza sono solitamente più gravi delle violazioni della liveness, con conseguente perdita di fondi degli utenti piuttosto che utenti impossibilitati a emettere transazioni.
Cosa può andare storto senza tagliare?
Considera un protocollo PoS composto da N nodi razionali (senza nodi bizantini o altruistici). Assumiamo, per semplicità di calcolo, che ogni nodo abbia depositato un pari importo di stake. Per prima cosa esploriamo come la tossicità dei token non riesca a garantire un costo significativo della corruzione. Assumiamo anche per uniformità in tutto questo documento che il protocollo PoS utilizzato sia un protocollo BFT con ⅓ soglia avversaria.
La tossicità del token è insufficiente
Una visione comune è che la tossicità dei token salvaguardi un protocollo picchettato da qualsiasi attacco alla sua sicurezza. La tossicità del token allude al fatto che se un protocollo viene attaccato con successo, il token sottostante utilizzato per lo staking nel protocollo perderebbe valore, disincentivando i nodi partecipanti dall'attaccare il protocollo. Considera lo scenario in cui 1/3 degli staker si sono uniti per mano. Questi nodi possono cooperare per violare la sicurezza del protocollo. Ma la domanda è se questo può essere fatto impunemente.
Se la valutazione totale del token, in cui è stata depositata la posta in gioco, dipende strettamente dalla sicurezza del protocollo, allora qualsiasi attacco alla sicurezza del protocollo può portare a zero la sua valutazione totale. Naturalmente, in pratica, non sarà ridotto fino a zero ma a un valore inferiore. Ma per presentare il caso più forte possibile del potere della tossicità del token, assumeremo qui che la tossicità del token funzioni perfettamente. Il costo della corruzione per qualsiasi attacco al protocollo è la quantità totale di token detenuti dai nodi razionali che stanno attaccando il sistema, che devono essere disposti a perdere tutto quel valore.
Analizziamo ora gli incentivi alla collusione e alla corruzione in un sistema PoS con tossicità dei token senza tagli. Supponiamo che l'avversario esterno predisponga la tangente con le seguenti condizioni:
- Se un nodo esegue la strategia dettata dall'avversario ma l'attacco al protocollo non ha avuto successo, allora il nodo ottiene una ricompensa B1 dall'avversario.
- Se un nodo esegue la strategia dettata dall'avversario e l'attacco al protocollo ha avuto successo, allora il nodo riceve una ricompensa B2 dall'avversario.
Possiamo tracciare la seguente matrice dei payoff per un nodo che ha depositato una puntata Se R è la ricompensa derivante dalla partecipazione al protocollo PoS:
Attacco non riuscito | Attacco riuscito | |
Un nodo che non accetta la tangente e non si discosta dal protocollo | S+R | 0 |
Un nodo che accetta di accettare la tangente | S+B1 | B2 |
Supponiamo che l'avversario stabilisca il pagamento della tangente in modo tale che B1>R ed B2>0.In tal caso, accettare tangenti dall'avversario dà un guadagno più alto rispetto a qualsiasi altra strategia che il nodo può adottare indipendentemente dalla strategia che stanno adottando gli altri nodi (la strategia dominante). Se 1/3 degli altri nodi finisce per accettare la tangente, può attaccare la sicurezza del protocollo (questo perché supponiamo di utilizzare un protocollo BFT la cui soglia avversaria è ⅓). Ora, anche se il presente nodo non accetta la tangente, il token perderebbe comunque il suo valore a causa della tossicità del token (cella in alto a destra nella matrice). Pertanto, è compatibile con gli incentivi per il nodo accettare il B2 tangente. Se solo una piccola frazione di nodi accetta la tangente, il token non perderà valore, ma un nodo può trarre vantaggio dalla rinuncia alla ricompensa R e invece ottenere B1 (colonna di sinistra nella matrice). In caso di attacco riuscito in cui 1/3 dei nodi ha accettato di accettare la tangente, il costo totale sostenuto dall'avversario nel pagare le tangenti è almeno (frac{N}{3}) × B2. Til suo è il costo della corruzione. Tuttavia, l'unica condizione su B2 è che deve essere maggiore di zero e quindi, B2 può essere impostato vicino allo zero, il che implicherebbe che il costo della corruzione è trascurabile. Questo attacco è noto come “P+ε" attacco.
Un modo per riassumere questo effetto è che la tossicità del token è insufficiente perché l'impatto delle cattive azioni è socializzato: la tossicità del token deprezza completamente il valore del token e colpisce allo stesso modo i nodi buoni e quelli cattivi. D'altra parte, il vantaggio di accettare la tangente è privatizzato e limitato solo a quei nodi razionali che accettano effettivamente la tangente. Non ci sono conseguenze uno a uno solo per coloro che prendono la tangente, cioè il sistema non ha una versione funzionante del "karma".
La tossicità dei token è sempre in vigore?
Un altro mito prevalente nell'ecosistema è che ogni protocollo PoS può avere un certo grado di protezione tramite la tossicità dei token. Ma, di fatto, l'incentivo esogeno della tossicità del token non può essere esteso a determinate classi di protocolli in cui la valutazione del token che viene utilizzato come denominazione per lo staking non dipende da quei protocolli che operano in modo sicuro. Uno di questi esempi è un protocollo di re-staking come EigenLayer, in cui l'ETH utilizzato dal protocollo Ethereum viene riutilizzato per garantire la sicurezza economica di altri protocolli. Considera che il 10% di ETH viene rivalutato utilizzando EigenLayer per eseguire la convalida di una nuova sidechain. Anche se tutti gli staker in EigenLayer si comportano male in modo cooperativo attaccando la sicurezza della sidechain, è improbabile che il prezzo di ETH scenda. Pertanto, la tossicità del token non è trasferibile per i servizi ripristinati, il che implicherebbe un costo di corruzione pari a zero.
In che modo il taglio aiuta?
In questa sezione, spieghiamo come il taglio può aumentare significativamente il costo della corruzione per due casi:
- protocollo decentralizzato sotto corruzione, e
- Protocolli PoS in cui la tossicità del token non è trasferibile.
Protezione contro la corruzione
I protocolli possono utilizzare il taglio per aumentare sostanzialmente il costo della corruzione per un avversario esterno che tenta un attacco di corruzione. Per spiegarlo meglio, consideriamo l'esempio di una catena PoS basata su BFT che richiede lo staking nel token nativo della catena e almeno ⅓ della puntata totale deve essere corrotta per qualsiasi attacco riuscito alla sua sicurezza (sotto forma di doppia firma). Supponiamo che un avversario esterno sia in grado di corrompere almeno ⅓ della puntata totale per eseguire il doppio segno. La prova della doppia firma può essere presentata al fork canonico, che taglia i nodi che hanno accettato la tangente dall'avversario e ha firmato la doppia firma. Supponendo che ogni nodo stia picchettando S token e tutti i token tagliati vengono bruciati, otteniamo la seguente matrice di payoff:
Attacco non riuscito | Attacco riuscito | |
Un nodo che non accetta la tangente e non si discosta dal protocollo | S+R | S |
Un nodo che accetta di accettare la tangente | B1 | B2 |
Con il taglio, se il nodo accetta di accettare la tangente e l'attacco non ha successo, allora la sua posta in gioco S viene tagliato nel fork canonico (cella in basso a sinistra nella matrice), che è in contrasto con il precedente scenario di corruzione in cui non c'era il taglio. D'altra parte, un nodo non perderebbe mai la sua quota S nel fork canonico anche se l'attacco ha successo (cella in alto a destra nella matrice). Se richiede che ⅓ della puntata totale sia corrotta affinché l'attacco abbia successo, il costo della corruzione dovrebbe essere almeno (frac{N}{3}) × S, che è sostanzialmente maggiore del costo della corruzione senza tagli.
Protezione quando la tossicità del token non è trasferibile
Nei protocolli PoS che prevedono lo staking con un token la cui valutazione non è influenzata dalla sicurezza del protocollo, la tossicità del token non è trasferibile. In molti di questi sistemi, questo protocollo PoS si trova sopra un altro protocollo di base. Il protocollo di base condivide quindi la sicurezza con il protocollo PoS implementando meccanismi di risoluzione delle controversie sul protocollo di base per risolvere le controversie e dando al protocollo di base l'agenzia per tagliare i nodi puntati con il protocollo PoS in modo dimostrabile.
Ad esempio, se un'azione bizantina nel protocollo PoS viene attribuita oggettivamente al nodo avversario nel protocollo di base, la sua partecipazione con il protocollo PoS verrebbe ridotta nel protocollo di base. Un esempio di tale protocollo PoS è Autostrato, che presenta il restaking che consente a diverse attività di convalida di derivare la sicurezza dal protocollo di base Ethereum. Se un nodo re-staking in EigenLayer adotta la strategia bizantina in un'attività di convalida su EigenLayer in cui l'azione bizantina può essere attribuita oggettivamente, allora questo nodo può essere dimostrato essere ostile su Ethereum e la sua puntata verrà ridotta (non importa quanto sia grande la posta in gioco ). Supponendo che ogni nodo re-stakes S, tutti i gettoni tagliati vengono bruciati e ricevono una ricompensa R dalla partecipazione, costruiamo una matrice di payoff di seguito:
Attacco non riuscito | Attacco riuscito | |
Un nodo che non accetta la tangente e non si discosta dal protocollo | S+R | S |
Un nodo che accetta di accettare la tangente | B1 | B2 |
Poiché stiamo considerando un'attività di convalida in cui qualsiasi azione bizantina è oggettivamente attribuibile, anche se un nodo si comporta in modo onesto ma l'attacco ha successo, il nodo non verrà tagliato su Ethereum (cella in alto a destra nella matrice). D'altra parte, un nodo che accetta di accettare la tangente e si comporta in modo contraddittorio verrebbe oggettivamente tagliato su Ethereum (riga inferiore nella matrice). Se richiede che ⅓ della puntata totale sia corrotta affinché l'attacco abbia successo, il costo della corruzione sarebbe almeno (frac{N}{3}) × S.
Consideriamo anche il caso estremo in cui tutta la posta in gioco con il protocollo PoS è concentrata nelle mani di un nodo. Questo è uno scenario importante in quanto anticipa l'eventuale centralizzazione della posta in gioco. Dato il nostro presupposto di nessuna tossicità del token sul token che viene rimesso in gioco, se non ci sono tagli, il nodo centralizzato può comportarsi in modo bizantino senza impunità. Ma con il taglio, questo nodo centralizzato bizantino può essere punito nel protocollo di base.
Taglio per attacchi attribuibili vs taglio per attacchi non attribuibili
C'è un'importante sottigliezza tra avere tagli per attacchi attribuibili e tagli per attacchi non attribuibili. Si consideri il caso di errori di sicurezza in un protocollo BFT. Di solito, derivano dall'azione bizantina della doppia firma con l'obiettivo di paralizzare la sicurezza di una blockchain - un esempio di attacco attribuibile in quanto possiamo individuare quali nodi hanno attaccato la sicurezza del sistema. D'altra parte, l'azione bizantina di censurare le transazioni per paralizzare la vivacità della blockchain è un esempio di attacco non imputabile. Nel primo caso, lo slashing può essere eseguito algoritmicamente fornendo l'evidenza della doppia firma alla macchina a stati della blockchain.
Al contrario, il taglio per la censura delle transazioni non può essere eseguito algoritmicamente perché non può essere dimostrato algoritmicamente se un nodo sta attivamente censurando o meno. In questo caso, un protocollo potrebbe dover fare affidamento sul consenso sociale per eseguire il taglio. Una certa frazione di nodi può eseguire un hard fork per specificare lo slashing di quei nodi che sono accusati di partecipare alla censura. Solo se emergesse un consenso sociale, questo hard fork sarebbe considerato come il fork canonico.
Abbiamo definito il costo della corruzione come il costo minimo per eseguire un attacco alla sicurezza. Tuttavia, abbiamo bisogno di una proprietà del protocollo PoS chiamata responsabilità, il che significa che nel caso in cui il protocollo perda la sicurezza, dovrebbe esserci un modo per attribuire la colpa a una frazione di nodi (⅓ dei nodi per un protocollo BFT). Si scopre che l'analisi di quali protocolli sono responsabili è sfumata (vedi il documento sulla medicina legale del protocollo BFT). Inoltre, risulta che i protocolli della catena più lunga sono disponibili dinamicamente (come PostSAT) non può essere ritenuto responsabile. (See questo documento per un'esposizione del compromesso tra disponibilità dinamica e responsabilitàe alcuni modi per risolverlo compromessi così fondamentali.)
Le insidie del taglio e della mitigazione
Come con qualsiasi tecnica, il taglio comporta i suoi rischi se non implementato con attenzione:
- Client configurati in modo errato / perdita di chiavi. Una delle insidie dello slashing è che i nodi innocenti potrebbero essere penalizzati in modo sproporzionato a causa di errori non intenzionali come chiavi mal configurate o perdita delle chiavi. Per affrontare le preoccupazioni relative alla riduzione sproporzionata di nodi onesti per errori involontari, i protocolli possono adottare determinate curve di taglio che penalizzano in modo indulgente quando solo una piccola quantità di puntata si comporta in modo incoerente con il protocollo ma penalizzano pesantemente quando viene eseguita più di una frazione soglia di puntata su un strategia che è in conflitto con il protocollo. Ethereum 2.0 ha adottato un tale approccio.
- Minaccia credibile di taglio come alternativa leggera. Invece di progettare lo slashing algoritmico, se un protocollo PoS non implementa lo slashing algoritmico, potrebbe invece fare affidamento sulla minaccia del social slashing, ovvero, nel caso si verifichi un errore di sicurezza, i nodi accetteranno di puntare a un hard fork di la catena in cui i nodi in stake che si comportano male perdono i loro fondi. Ciò richiede un coordinamento sociale significativo rispetto al taglio algoritmico, ma fintanto che la minaccia del taglio sociale è credibile, l'analisi della teoria dei giochi presentata sopra continua a valere per i protocolli che non hanno il taglio algoritmico ma si basano invece sul taglio sociale impegnato.
- Il taglio sociale per difetti di vivacità è fragile. Il taglio sociale è necessario per penalizzare attacchi non attribuibili come difetti di vivacità come la censura. Mentre il taglio sociale può essere teoricamente implementato per errori non attribuibili, è difficile per un nuovo nodo di unione verificare se tale taglio sociale è avvenuto per le giuste ragioni (censura) o perché il nodo è stato accusato ingiustamente. Questa ambiguità non esiste quando si utilizza la barra sociale per errori attribuibili, anche quando non esiste un'implementazione software della barra. I nuovi nodi che si uniscono possono continuare a verificare che questo taglio fosse legittimo perché possono controllare le loro doppie firme, anche se solo manualmente.
Cosa fare con i fondi tagliati?
Ci sono due modi possibili per gestire i fondi tagliati: bruciando e assicurando.
- Masterizzazione. Il modo semplice per gestire i fondi tagliati è semplicemente bruciarli. Supponendo che il valore totale dei token non cambi a causa dell'attacco, il valore di ciascun token aumenterebbe proporzionalmente e sarebbe più prezioso di prima. Burning non identifica le parti danneggiate a causa del fallimento della sicurezza e risarcisce solo loro, avvantaggiando invece indiscriminatamente tutti i possessori di token non attaccanti.
- Assicurazione. Un meccanismo più sofisticato per distribuire fondi tagliati, che non è stato ancora studiato, prevede obbligazioni assicurative emesse contro tagli. I clienti che effettuano transazioni sulla blockchain possono ottenere pre-facto queste obbligazioni assicurative sulla blockchain per proteggersi da potenziali attacchi alla sicurezza, assicurando le proprie risorse digitali. Quando si verifica un attacco che compromette la sicurezza, il taglio algoritmico degli staker si traduce in un fondo che può quindi essere distribuito agli assicuratori in proporzione alle loro obbligazioni. (È in corso un'analisi completa di queste obbligazioni assicurative.)
Stato di taglio nell'ecosistema
Per quanto ne sappiamo, i vantaggi del taglio sono stati esplorati per la prima volta da Vitalik in questo 2014 articolo. L'ecosistema Cosmos ha creato la prima implementazione funzionante del taglio nel proprio Protocollo di consenso BFT, quale impone il taglio dei validatori quando non partecipano alla proposta di blocchi o si impegnano nella doppia firma per equivocare i blocchi.
Anche Ethereum 2.0 è stato incorporato tagliando nel loro protocollo PoS. Un validatore in Ethereum 2.0 può essere tagliato per aver fatto attestazioni equivoche o proposto blocchi equivoci. Il taglio dei validatori che si comportano male è il modo in cui Ethereum 2.0 raggiunge la finalità economica. Un validatore può anche essere penalizzato in modo relativamente lieve a causa di attestazioni mancanti o se non propone blocchi quando dovrebbe farlo.
***
I protocolli PoS senza tagli possono essere estremamente vulnerabili agli attacchi di corruzione. Utilizziamo un nuovo modello, il modello di analisi della corruzione, per analizzare complessi attacchi di corruzione e poi lo usiamo per illustrare che I protocolli PoS con taglio hanno una sicurezza quantificabile contro la corruzione. Mentre ci sono insidie nell'incorporare lo slashing in un protocollo PoS, presentiamo alcuni possibili modi per mitigare tali insidie. La nostra speranza è che i protocolli PoS utilizzino questa analisi per valutare i vantaggi del taglio in determinati scenari, aumentando potenzialmente la sicurezza dell'intero ecosistema.
***
Sreeram Kannan è professore associato presso l'Università di Washington, Seattle, dove gestisce il laboratorio Blockchain e il laboratorio di teoria dell'informazione. È stato borsista post-dottorato presso l'Università della California, Berkeley, e postdoc in visita presso la Stanford University tra il 2012 e il 2014, prima della quale ha conseguito il dottorato di ricerca. in Ingegneria Elettrica e Informatica e MS in Matematica presso l'Università dell'Illinois Urbana Champaign.
Soubhik Deb è uno studente di dottorato presso il Dipartimento di ingegneria elettrica e informatica dell'Università di Washington, dove è assistito da Sreeram Kannan. La sua ricerca sulle blockchain si concentra sulla progettazione di protocolli per il peer-to-peer e il livello di consenso per innovare nuove funzionalità nel livello dell'applicazione, con garanzie di prestazioni ottenibili sotto precise soglie di sicurezza.
***
Editor: Tim Sullivan
***
Le opinioni qui espresse sono quelle del personale di AH Capital Management, LLC ("a16z") citato e non sono le opinioni di a16z o delle sue affiliate. Alcune informazioni qui contenute sono state ottenute da fonti di terze parti, incluse società in portafoglio di fondi gestiti da a16z. Sebbene tratti da fonti ritenute affidabili, a16z non ha verificato in modo indipendente tali informazioni e non fornisce dichiarazioni sull'accuratezza duratura delle informazioni o sulla loro adeguatezza per una determinata situazione. Inoltre, questo contenuto può includere pubblicità di terze parti; a16z non ha esaminato tali annunci pubblicitari e non approva alcun contenuto pubblicitario in essi contenuto.
Questo contenuto viene fornito solo a scopo informativo e non deve essere considerato come consulenza legale, commerciale, di investimento o fiscale. Dovresti consultare i tuoi consulenti in merito a tali questioni. I riferimenti a qualsiasi titolo o risorsa digitale sono solo a scopo illustrativo e non costituiscono una raccomandazione di investimento o un'offerta per fornire servizi di consulenza in materia di investimenti. Inoltre, questo contenuto non è diretto né destinato all'uso da parte di investitori o potenziali investitori e non può in alcun caso essere invocato quando si decide di investire in qualsiasi fondo gestito da a16z. (Un'offerta per investire in un fondo a16z sarà fatta solo dal memorandum di collocamento privato, dal contratto di sottoscrizione e da altra documentazione pertinente di tale fondo e dovrebbe essere letta nella sua interezza.) Eventuali investimenti o società in portafoglio menzionati, citati o descritti non sono rappresentativi di tutti gli investimenti in veicoli gestiti da a16z, e non si può garantire che gli investimenti saranno redditizi o che altri investimenti effettuati in futuro avranno caratteristiche o risultati simili. Un elenco degli investimenti effettuati da fondi gestiti da Andreessen Horowitz (esclusi gli investimenti per i quali l'emittente non ha autorizzato a16z a divulgare pubblicamente e gli investimenti non annunciati in asset digitali quotati in borsa) è disponibile all'indirizzo https://a16z.com/investments /.
Grafici e grafici forniti all'interno sono esclusivamente a scopo informativo e non dovrebbero essere presi in considerazione quando si prende una decisione di investimento. I rendimenti passati non sono indicativi di risultati futuri. Il contenuto parla solo a partire dalla data indicata. Eventuali proiezioni, stime, previsioni, obiettivi, prospettive e/o opinioni espresse in questi materiali sono soggette a modifiche senza preavviso e possono differire o essere contrarie alle opinioni espresse da altri. Si prega di consultare https://a16z.com/disclosures per ulteriori informazioni importanti.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://a16zcrypto.com/the-cryptoeconomics-of-slashing/
- 1
- 2012
- 2014
- a
- a16z
- capacità
- capace
- Chi siamo
- sopra
- Accetta
- Secondo
- Il mio account
- precisione
- accusato
- ACM
- Legge
- Action
- azioni
- attivamente
- effettivamente
- aggiunta
- aggiuntivo
- indirizzo
- adottare
- adottato
- contraddittorio
- Pubblicità
- consigli
- consultivo
- servizi di consulenza
- affiliati
- contro
- agenzia
- Agente
- Accordo
- algoritmica
- algoritmicamente
- Tutti
- alternativa
- Sebbene il
- altruistico
- sempre
- Ambiguità
- quantità
- .
- analizzare
- l'analisi
- ed
- Andreessen
- Andreessen Horowitz
- Un altro
- rispondere
- Applicazioni
- APPLICA
- approccio
- articolo
- valutazione
- attività
- Attività
- Associate
- assunzione
- garanzia
- attacco
- Attaccare
- attacchi
- il tentativo
- Tentativi
- Aste
- disponibilità
- disponibile
- evitato
- Vasca
- base
- basato
- perché
- prima
- essendo
- creduto
- sotto
- beneficio
- vantaggi
- Berkeley
- MIGLIORE
- Meglio
- fra
- Al di là di
- Big
- blockchain
- blockchains
- Blocchi
- Legami
- Parte inferiore
- legato
- Rompere
- portare
- costruire
- costruito
- bruciare
- affari
- California
- chiamata
- detto
- Può ottenere
- non può
- capitale
- catturare
- attento
- attentamente
- Custodie
- casi
- categoria
- Censura
- Centralizzazione
- centralizzata
- certo
- catena
- il cambiamento
- caratteristiche
- dai un'occhiata
- scegliere
- condizioni
- classe
- classi
- chiaramente
- clienti
- Chiudi
- Collaterale
- Colonna
- impegnata
- Uncommon
- comunità
- Aziende
- rispetto
- completamente
- complesso
- compiacente
- compromettendo
- computer
- Ingegneria Informatica
- informatica
- concentrato
- concentrazione
- concetti
- Problemi della Pelle
- preoccupazioni
- condizione
- condizioni
- conflitto
- Consenso
- conseguentemente
- Prendere in considerazione
- considerazione
- considerato
- considerando
- Consistente
- costituire
- costruire
- costruire
- contenuto
- continua
- continua
- contrario
- contrasto
- controlli
- controverso
- cooperante
- coordinazione
- danneggiati
- cosmo
- Costo
- Costi
- potuto
- corso
- credibile
- Cryptoeconomics
- DApp
- Data
- affare
- decentrata
- decisione
- decisioni
- più profondo
- Predefinito
- Laurea
- Shirts Department
- dipendente
- dipende
- distribuzione
- depositato
- Derivati
- descritta
- descrizione
- Design
- progettato
- progettazione
- Nonostante
- dettagliati
- dettagli
- devastante
- DID
- differire
- diverso
- difficile
- digitale
- Risorse digitali
- direzione
- Rilevare
- discutere
- Controversia
- Risoluzione delle controversie
- controversie
- distribuire
- distribuito
- documento
- documentazione
- non
- dominante
- Dont
- doppio
- giù
- aspetti negativi
- guidare
- spinto
- Cadere
- ogni
- Presto
- Economico
- economie
- Economie di scala
- ecosistema
- effetto
- eliminando
- emerge
- Abilita
- incoraggiare
- approvare
- duraturo
- applicazione
- impegnarsi
- impegnandosi
- Ingegneria
- abbastanza
- Intero
- interezza
- entità
- Allo stesso modo
- equilibrio
- essenzialmente
- stime
- ETH
- Etere (ETH)
- Ethereum
- Ethereum 2.0
- Punto vendita Ethereum
- valutare
- la valutazione
- Anche
- eventuale
- Ogni
- tutti
- prova
- esempio
- esclusa
- eseguire
- esegue
- esecuzione
- esistente
- Spiegare
- esplora
- Esplorazione
- espresso
- estensivo
- esterno
- estratto
- estremo
- estremamente
- FAIL
- Fallimento
- Caduta
- cadute
- fattibile
- caratteristica
- Caratteristiche
- pochi
- finalità
- Nome
- First Look
- concentrato
- si concentra
- seguire
- i seguenti
- forcella
- modulo
- Ex
- frazione
- da
- pieno
- completamente
- funzionamento
- fondo
- fondamentale
- fondi
- ulteriormente
- Inoltre
- futuro
- Guadagni
- gioco
- ottenere
- ottenere
- GitHub
- dato
- dà
- Dare
- Go
- buono
- grafici
- maggiore
- Gruppo
- Crescita
- di garanzia
- garanzie
- Mani
- successo
- accade
- Hard
- hard fork
- Hardware
- avendo
- pesantemente
- Eroe
- Aiuto
- utile
- qui
- Alta
- superiore
- tenere
- titolari
- speranza
- Horowitz
- Come
- Tuttavia
- HTML
- HTTPS
- identificare
- Illinois
- Impact
- realizzare
- implementazione
- implementato
- importante
- imponente
- in
- Incentivo
- Incentive
- incentivare
- includere
- Compreso
- Incorporated
- incorporando
- Aumento
- Aumenta
- crescente
- studente indipendente
- indipendentemente
- indica
- individuale
- influenza
- influenzare
- informazioni
- Informativo
- inerente
- innovare
- esempio
- invece
- assicurazione
- assicuratori
- interesse
- Investire
- indaga
- investimento
- Investimenti
- Investitori
- coinvolto
- indipendentemente
- problema
- Rilasciato
- Emittente
- IT
- congiunto
- accoppiamento
- Tasti
- conoscenze
- laboratorio
- grandi
- strato
- portare
- Leadership
- Legale
- lente
- leggero
- limitazione
- Limitato
- Lista
- Lunghi
- più a lungo
- Guarda
- perdere
- Perde
- spento
- lotto
- macchina
- fatto
- Principale
- make
- FA
- Fare
- gestito
- gestione
- modo
- manualmente
- molti
- Rappresentanza
- Mercati
- Materiale
- matematica
- Matrice
- Importanza
- Matters
- massimo
- si intende
- meccanismo
- Memorandum
- menzionato
- metodi
- MEV
- mev-boost
- forza
- ordine
- Siti di estrazione mineraria
- Hardware di estrazione
- mancante
- errore
- errori
- Ridurre la perdita dienergia con una
- modello
- modelli
- modificato
- Scopri di più
- maggior parte
- Più popolare
- motivato
- MONTARE
- nakamoto
- nativo
- Natura
- necessaria
- Bisogno
- New
- GENERAZIONE
- nodo
- nodi
- romanzo
- ottenuto
- ovvio
- offrire
- offerta
- Offerte
- ONE
- apre
- operativo
- Operatori
- Opinioni
- Opportunità
- i
- Altro
- Altri
- proprio
- partecipante
- partecipazione
- particolare
- parti
- passato
- pagamento
- peer to peer
- penalizzato
- eseguire
- performance
- periodo
- autorizzazione
- Personale
- prospettiva
- Platone
- Platone Data Intelligence
- PlatoneDati
- per favore
- punto
- Popolare
- lavori
- PoS
- posizioni
- possibile
- potenziale
- potenzialmente
- energia
- potente
- pratica
- presenza
- presenti
- presentata
- atleta
- precedente
- in precedenza
- prezzo
- principalmente
- Dare priorità
- priorità
- un bagno
- probabilità
- Problema
- Insegnante
- Profitto
- redditizio
- proiezioni
- prova
- Proof-of-Palo
- Proof-of-Work
- proprietà
- offre
- proposto
- prospettive
- protegge
- protezione
- protocollo
- protocolli
- dimostrabile
- comprovata
- fornire
- purché
- pubblicamente
- fini
- domanda
- Domande
- Gara
- casualità
- Razionale
- Leggi
- mondo reale
- motivi
- ricevuto
- Consigli
- riducendo
- Riferimenti
- di cui
- per quanto riguarda
- relativamente
- pertinente
- affidabile
- rimanere
- rappresentante
- richiedere
- richiede
- riparazioni
- ricercatori
- elastico
- Risoluzione
- risolvere
- REST
- limitare
- restrizione
- risultante
- Risultati
- rivelare
- rivisto
- Premiare
- Rewards
- Rischio
- rischi
- RIGA
- Correre
- running
- sicura
- Sicurezza
- stesso
- Scala
- Scenari
- portata
- Seattle
- secondario
- Mercati secondari
- Sezione
- sicuro
- assicurato
- in modo sicuro
- Valori
- problemi di
- AUTO
- interesse personale
- grave
- Servizi
- set
- Set
- azioni
- Corti
- dovrebbero
- mostrare attraverso le sue creazioni
- catena laterale
- firme
- significativa
- significativamente
- firma
- simile
- Allo stesso modo
- Un'espansione
- semplicità
- semplicemente
- Seduta
- situazione
- tagliando
- piccole
- inferiore
- So
- Social
- Software
- soluzione
- Soluzioni
- alcuni
- sofisticato
- fonti
- lo spazio
- Parla
- specifico
- specificazione
- palo
- messo in gioco
- staker
- Staking
- stanford
- Università di Stanford
- inizio
- Regione / Stato
- Ancora
- lineare
- Strategia
- forte
- studente
- studiato
- Studio
- soggetto
- presentata
- sottoscrizione
- di successo
- Con successo
- tale
- fornitura
- suppone
- sistema
- SISTEMI DI TRATTAMENTO
- Fai
- presa
- mirata
- obiettivi
- Task
- task
- imposta
- I
- Il futuro
- le informazioni
- Lo Stato
- loro
- si
- perciò
- in essa
- Terza
- di parti terze standard
- minaccia
- soglia
- Attraverso
- per tutto
- tempo
- a
- oggi
- token
- titolari di gettoni
- Tokens
- top
- Totale
- negoziate
- Le transazioni
- trasferimento
- tipico
- tipicamente
- onnipresente
- per
- sottostante
- minare
- capire
- In corso
- unico
- Università
- University of California
- università di washington
- us
- uso
- Utente
- fondi degli utenti
- utenti
- generalmente
- convalida
- Validator
- validatori
- Prezioso
- Valorizzazione
- APPREZZIAMO
- Valori
- Veicoli
- verificato
- verificare
- versione
- via
- Visualizza
- visualizzazioni
- Violazioni
- Vitalik
- Volatilità
- Vulnerabile
- Washington
- modi
- Che
- se
- quale
- while
- OMS
- volere
- disposto
- entro
- senza
- Lavora
- lavoro
- lavori
- sarebbe
- Wrong
- Trasferimento da aeroporto a Sharm
- zefiro
- zero