De crypto-economie van snijden - Plato Data Intelligence

Geen mechanisme ontworpen voor Bewijs van inzet (PoS)-protocollen zijn net zo controversieel als slashing. Slashing biedt een manier om een bepaald knooppunt op een gerichte manier economisch te bestraffen voor het niet ondernemen van een protocolconcordante actie. Het doet dit door een deel of alle inzet van de validator weg te nemen - zonder externe effecten op te leggen aan andere knooppunten die zich volgens het protocol gedragen. Slashing is uniek voor proof-of-stake-protocollen omdat het de mogelijkheid vereist voor de blockchain om de straf af te dwingen. Dergelijke handhaving is duidelijk onhaalbaar in Proof of Work-systemen, waar het analoog zou zijn aan het verbranden van de mining-hardware die wordt gebruikt door zich misdragende knooppunten. Dit vermogen om bestraffende prikkels toe te passen opent een nieuwe ontwerpruimte in het ontwerp van blockchain-mechanismen en verdient daarom zorgvuldige overweging.

Ondanks het overduidelijke voordeel in de vorm van "karma", was het belangrijkste bezwaar tegen slashing het risico dat nodes onevenredig worden gesneuveld vanwege een oprechte fout, zoals het uitvoeren van verouderde software. Bijgevolg hebben veel protocollen het gebruik van slashing vermeden en vertrouwen ze in plaats daarvan op zogenaamde symbolische toxiciteit – het feit dat als een protocol met succes wordt aangevallen, het onderliggende token waarde verliest. Velen denken dat stakers deze toxiciteit zouden zien als een bedreiging voor het in gevaar brengen van de veiligheid van het protocol. Naar onze mening is symbolische toxiciteit niet krachtig genoeg om vijandige aanvallen in sommige typische scenario's af te schrikken. In feite zijn de kosten die kwaadwillenden maken om het protocol aan te vallen en te corrumperen, ook wel kosten van corruptie genoemd, onder dergelijke scenario's in wezen nul.

In dit artikel, we laten zien hoe het opnemen van slashing in het mechanismeontwerp van een PoS-protocol de kosten van corruptie aanzienlijk verhoogt die een tegenstander zou oplopen. Ssjorren garandeert hoge en meetbare kosten van corruptie voor zowel gedecentraliseerde protocollen in aanwezigheid van omkoping als protocollen (gecentraliseerd of gedecentraliseerd) die niet voldoen aan de aannames van symbolische toxiciteit.

Omstandigheden die kunnen leiden tot omkoping en afwezigheid van symbolische toxiciteit zijn alomtegenwoordig. Veel van de PoS-protocollen vallen niet in een van deze twee categorieën door een hechte gemeenschap te hebben, wat alleen haalbaar is als het klein is; door te vertrouwen op sterk leiderschap dat hen in de goede richting stuurt, door validatie te delegeren aan een kleine groep gereputeerde en wettelijk gereguleerde node-operators; of door te vertrouwen op de concentratie van staking-tokens binnen een kleine groep. Geen van deze oplossingen is volledig bevredigend voor het laten groeien van een grote en gedecentraliseerde gemeenschap van validerende knooppunten. En als het PoS-protocol een concentratie van inzet bevat met slechts een paar validators (of, in extreme gevallen, slechts één validator), is het wenselijk om een middel te hebben om deze grote validators te bestraffen, voor het geval ze vijandig gedrag vertonen.

In de rest van het artikel, wij

een model presenteren voor het analyseren van complexe omkopingsaanvallen,
laten zien dat PoS-protocollen zonder slashing kwetsbaar zijn voor omkopingsaanvallen,
laten zien dat PoS-protocollen met slashing meetbare beveiliging bieden tegen omkoping, en
bespreekt enkele nadelen van slashing en stelt verzachtende maatregelen voor.

Modellering

Voordat we het pleidooi voor slashing presenteren, hebben we eerst een model nodig waarmee we onze analyse zullen voortzetten. Twee van de meest populaire modellen voor het analyseren van PoS-protocollen, het Byzantijnse model en het speltheoretische evenwichtsmodel, slagen er niet in enkele van de meest verwoestende real-world aanvallen vast te leggen - aanvallen waarbij hakken een krachtig afschrikmiddel zouden zijn. In deze sectie bespreken we deze bestaande modellen om hun tekortkomingen te begrijpen, en presenteren we een derde model – wat we het Corruptie-Analyse Model noemen – gebaseerd op het afzonderlijk evalueren van de grenzen van de minimale kosten die moeten worden gemaakt en de maximale winst die kan worden gemaakt. worden geëxtraheerd uit het beschadigen van het protocol. Ondanks het vermogen om grote hoeveelheden aanvallen te modelleren, is het Corruption-Analysis Model nog niet gebruikt voor het analyseren van veel protocollen.

Bestaande modellen

In deze sectie geven we een korte beschrijving van Byzantijnse en speltheoretische evenwichtsmodellen en hun tekortkomingen.

Byzantijns model

Het Byzantijnse model bepaalt dat hoogstens een bepaalde fractie (𝜷) van de knooppunten kan afwijken van de door het protocol voorgeschreven acties en elke actie van hun keuze kan uitvoeren, terwijl de rest van de knooppunten in overeenstemming blijft met het protocol. Bewijzen dat een bepaald PoS-protocol veerkrachtig is tegen een hele reeks Byzantijnse acties die een vijandig knooppunt kan ondernemen, is een niet-triviaal probleem.

Overweeg bijvoorbeeld PoS-consensusprotocollen met de langste keten waarbij levendigheid voorrang heeft op veiligheid. Vroeg onderzoek naar beveiliging van consensus over de langste keten was gericht op het aantonen van beveiliging tegen slechts één specifieke aanval: de private double-spend-aanval, waar alle Byzantijnse knooppunten samenspannen om privé een alternatieve keten te bouwen en deze vervolgens veel later te onthullen als deze langer is dan de oorspronkelijke keten. De niets op het spel fenomeenbiedt echter de mogelijkheid om veel blokken voor te stellen met dezelfde inzet en om onafhankelijke willekeur te gebruiken om de kans op het bouwen van een langere privéketen te vergroten. Pas veel later werd uitgebreid onderzoek gedaan om aan te tonen dat bepaalde constructies van PoS-consensusprotocollen met de langste keten beveiligd kunnen worden tegen alle aanvallen voor bepaalde waarden van 𝜷. (Voor meer details, zie “Alles is een race en Nakamoto wint altijd"En"PoSAT: Proof-of-Work-beschikbaarheid en onvoorspelbaarheid, zonder het werk. ")

Een hele reeks consensusprotocollen, Byzantine Fault Tolerant (BFT)-protocollen, stellen veiligheid boven levendigheid. Ze vereisen ook een Byzantijns model om aan te tonen dat, voor een bovengrens op 𝜷, deze protocollen deterministisch veilig zijn tegen elke aanval. (Voor meer details, zie “HotStuff: BFT-consensus in de lens van Blockchain","STROOM","Tendermint'.)

Hoewel nuttig, houdt het Byzantijnse model geen rekening met economische prikkels. Vanuit een gedragsperspectief is 𝜷 fractie van deze knooppunten volledig vijandig van aard, terwijl (1-𝜷) fractie volledig voldoet aan de protocolspecificatie. Een aanzienlijk deel van de knooppunten in een PoS-protocol kan daarentegen worden gemotiveerd door economische voordelen en aangepaste versies van het protocol uitvoeren die hun eigen belang ten goede komen in plaats van simpelweg te voldoen aan de volledige protocolspecificatie. Neem als treffend voorbeeld het geval van het Ethereum PoS-protocol, waar de meeste knooppunten tegenwoordig niet het standaard PoS-protocol uitvoeren, maar de MEV-Boost-modificatie uitvoeren, wat resulteert in extra beloningen als gevolg van deelname aan een MEV-veilingmarkt, in plaats van het runnen van de exacte protocolspecificatie.

Speltheoretisch evenwichtsmodel

Het speltheoretische evenwichtsmodel probeert de tekortkoming van het Byzantijnse model aan te pakken door oplossingsconcepten zoals het Nash-evenwicht te gebruiken om te bestuderen of een rationeel knooppunt de economische prikkels heeft om een bepaalde strategie te volgen wanneer alle andere knooppunten ook dezelfde strategie volgen. Meer expliciet, ervan uitgaande dat iedereen rationeel is, onderzoekt het model twee vragen:

Als elk ander knooppunt de door het protocol voorgeschreven strategie volgt, levert het mij dan het meeste economische voordeel op om dezelfde door het protocol voorgeschreven strategie uit te voeren?
Als elk ander knooppunt dezelfde protocol-afwijkende strategie uitvoert, is het voor mij dan het meest stimulans-compatibel om nog steeds de protocol-voorgeschreven strategie te volgen?

Idealiter zou het protocol zo moeten zijn ontworpen dat het antwoord op beide vragen "ja" is.

Een inherente tekortkoming van het speltheoretische evenwichtsmodel is dat het het scenario uitsluit waarin een exogene agent het gedrag van knooppunten zou kunnen beïnvloeden. Een externe agent kan bijvoorbeeld steekpenningen opzetten om rationele knooppunten te stimuleren om te handelen in overeenstemming met de voorgeschreven strategie. Een andere beperking is dat ervan wordt uitgegaan dat elk van de knooppunten de onafhankelijke instantie heeft om hun eigen beslissingen te nemen over de te volgen strategie op basis van hun ideologie of economische prikkels. Maar dit geeft niet het scenario weer waarin een groep knooppunten samenspant om kartels te vormen of wanneer schaalvoordelen de oprichting van een gecentraliseerde entiteit aanmoedigen die in wezen alle stakingsknooppunten controleert.

Scheiding van kosten van corruptie en winst van corruptie

Verschillende onderzoekers hebben het Corruption-Analysis Model voorgesteld voor het analyseren van de beveiliging van elk PoS-protocol, hoewel geen enkele het heeft gebruikt om een diepere analyse uit te voeren. Het model begint met het stellen van twee vragen: (1) Wat zijn de minimale kosten die een tegenstander maakt voor het succesvol uitvoeren van een veiligheids- of liveness-aanval op het protocol? en (2) Wat is de maximale winst die een tegenstander kan halen uit het succesvol uitvoeren van een veiligheids- of liveness-aanval op het protocol?

De tegenstander in kwestie kan zijn

een knooppunt dat eenzijdig afwijkt van de door het protocol voorgeschreven strategie,
een groep knooppunten die actief met elkaar samenwerken om het protocol te ondermijnen, of
een externe tegenstander die probeert de beslissingen van veel knooppunten te beïnvloeden door middel van een externe actie, zoals omkoping.

Om de betrokken kosten te berekenen, moet rekening worden gehouden met eventuele kosten voor steekpenningen, eventuele economische boetes voor het uitvoeren van een Byzantijnse strategie, enzovoort. Evenzo is computerwinst allesomvattend, wat elke in-protocol beloning telt die wordt verkregen door het protocol met succes aan te vallen, elke verovering van waarde van de DApps bovenop het PoS-protocol, het innemen van posities op protocolgerelateerde derivaten op secundaire markten en winstbejag. van resulterende volatiliteit van de aanval, enzovoort.

Het vergelijken van een ondergrens van de minimale kosten voor een tegenstander om een aanval uit te voeren (kosten van corruptie) tegen een bovengrens van de maximale winst die een tegenstander kan halen (profit-from-corruption) geeft aan wanneer het economisch winstgevend is om het protocol aan te vallen. (Dit model is gebruikt voor analyse augur en clerocidine.) Dat geeft ons deze eenvoudige vergelijking:

winst-uit-corruptie – kosten-van-corruptie = totale winst

Als er totale winst te behalen valt, dan is er een stimulans voor een tegenstander om aan te vallen. In het volgende gedeelte zullen we bekijken hoe slashing de kosten van corruptie kan verhogen en de totale winst kan verminderen of elimineren.

(Merk op dat een eenvoudig voorbeeld van een bovengrens voor winst uit corruptie de totale waarde is van activa die zijn beveiligd door het PoS-protocol. Er kunnen meer geavanceerde grenzen worden gebouwd die rekening houden met stroomonderbrekers die de overdracht van activa beperken binnen een periode van Een gedetailleerde studie van methoden voor het verlagen en begrenzen van de winst-uit-corruptie valt buiten het bestek van dit artikel.)

hakken

Slashing is een manier voor een PoS-protocol om een knooppunt of een groep knooppunten economisch te bestraffen voor het uitvoeren van een strategie die aantoonbaar afwijkt van de gegeven protocolspecificatie. Om enige vorm van slashing uit te voeren, moet elke node eerder een bepaald minimumbedrag als onderpand hebben vastgelegd. Voordat we ingaan op onze analyse van slashing, kijken we eerst naar PoS-systemen met endogene tokens die afhankelijk zijn van tokentoxiciteit als alternatief voor slashing.

We houden ons primair bezig met de studie van snijmechanismen voor veiligheidsschendingen, in plaats van voor levendigheidsschendingen. We raden deze beperking om twee redenen aan: (1) veiligheidsschendingen zijn volledig toe te schrijven aan sommige op BFT gebaseerde PoS-protocollen, maar schendingen van de levendigheid zijn in geen enkel protocol toe te schrijven, en (2) veiligheidsschendingen zijn meestal ernstiger dan schendingen van de levendigheid, resulterend in verlies van gebruikersfondsen in plaats van gebruikers die geen transacties kunnen uitvoeren.

Wat kan er misgaan zonder te hakken?

Overweeg een PoS-protocol bestaande uit N rationele knooppunten (zonder Byzantijnse of altruïstische knooppunten). Laten we voor de eenvoud van berekening aannemen dat elk knooppunt een gelijk bedrag aan inzet heeft gestort. We onderzoeken eerst hoe symbolische toxiciteit tekort schiet om significante kosten van corruptie te garanderen. Laten we voor de uniformiteit in dit document ook aannemen dat het gebruikte PoS-protocol een BFT-protocol is met ⅓ vijandige drempel.

Token-toxiciteit is onvoldoende

Een algemene opvatting is dat symbolische toxiciteit een gestaked protocol beschermt tegen elke aanval op de veiligheid ervan. Token-toxiciteit verwijst naar het feit dat als een protocol met succes wordt aangevallen, het onderliggende token dat wordt gebruikt voor staking in het protocol waarde verliest, waardoor deelnemende knooppunten het protocol niet meer kunnen aanvallen. Overweeg het scenario waarin 1/3e van de stakers de handen ineen heeft geslagen. Deze knooppunten kunnen samenwerken om de beveiliging van het protocol te doorbreken. Maar de vraag is of dat straffeloos kan.

Als de totale waardering van het token, waarin de inzet is gestort, strikt afhangt van de veiligheid van het protocol, dan kan elke aanval op de veiligheid van het protocol de totale waardering tot nul terugbrengen. Natuurlijk zal het in de praktijk niet helemaal tot nul worden teruggebracht, maar tot een kleinere waarde. Maar om de sterkst mogelijke argumenten voor de kracht van symbolische toxiciteit te presenteren, gaan we hier ervan uit dat symbolische toxiciteit perfect werkt. De kosten van corruptie voor elke aanval op het protocol zijn het totale aantal tokens dat wordt vastgehouden door de rationele knooppunten die het systeem aanvallen en die bereid moeten zijn om al die waarde te verliezen.

We analyseren nu de prikkels voor collusie en omkoping in een PoS-systeem met symbolische toxiciteit zonder slash. Stel dat de externe tegenstander de omkoping opzet met de volgende voorwaarden:

Als een knooppunt de strategie uitvoert zoals gedicteerd door de tegenstander, maar de aanval op het protocol niet succesvol was, krijgt het knooppunt een beloning B₁van de tegenstander.
Als een node de strategie uitvoert zoals gedicteerd door de tegenstander en de aanval op het protocol succesvol was, dan krijgt de node een beloning B₂van de tegenstander.

We kunnen de volgende uitbetalingsmatrix tekenen voor een node die een inzet heeft gestort S en R is de beloning van deelname aan het PoS-protocol:

	Aanval niet gelukt	Aanval geslaagd
Een node die de steekpenningen niet aanneemt en niet afwijkt van het protocol	S + R	0
Een node die ermee instemt de steekpenningen aan te nemen	S + B₁	B₂

Stel dat de tegenstander de steekpenningen zo bepaalt dat B₁>R en B₂>0In zo'n geval levert het accepteren van steekpenningen van de tegenstander een hogere beloning op dan elke andere strategie die de node kan volgen, ongeacht de strategie die andere nodes volgen (de dominante strategie). Als 1/3e van de andere knooppunten uiteindelijk de omkoping accepteert, kunnen ze de beveiliging van het protocol aantasten (dit komt omdat we aannemen dat we een BFT-protocol gebruiken waarvan de vijandige drempel ⅓ is). Nu, zelfs als het huidige knooppunt de steekpenningen niet aanneemt, de teken zou hoe dan ook zijn waarde verliezen vanwege symbolische toxiciteit (cel rechtsboven in de matrix). Daarom is het incentive-compatibel voor het knooppunt om de B₂ omkoping. Als slechts een klein deel van de nodes de omkoping accepteert, kan de teken zal geen waarde verliezen, maar een node kan profiteren van het afzien van de beloning R en in plaats daarvan krijgen B₁(linkerkolom in de matrix). In het geval van een succesvolle aanval waarbij 1/3e van de nodes heeft ingestemd met het accepteren van de steekpenningen, bedragen de totale kosten die de tegenstander maakt voor het betalen van de steekpenningen ten minste (frac{N}{3}) × B₂. Thij is de kosten van corruptie. Echter, de enige voorwaarde op B₂ is dat het groter moet zijn dan nul en dus, B₂ kan dicht bij nul worden gesteld, wat zou impliceren dat de kosten van corruptie verwaarloosbaar zijn. Deze aanval staat bekend als “P+ε"aanval.

Een manier om dit effect samen te vatten is dat token-toxiciteit onvoldoende is omdat de impact van slechte acties wordt gesocialiseerd: token-toxiciteit verlaagt de waarde van token volledig en beïnvloedt in gelijke mate goede en slechte knooppunten. Aan de andere kant is het voordeel van het aannemen van steekpenningen geprivatiseerd en beperkt tot alleen die rationele knooppunten die de steekpenningen daadwerkelijk aannemen. Er is geen een-op-een consequentie alleen voor degenen die de steekpenningen aannemen, dat wil zeggen, het systeem heeft geen werkende versie van "karma".

Is symbolische toxiciteit altijd van kracht?

Een andere mythe die in het ecosysteem heerst, is dat elk PoS-protocol een zekere mate van bescherming kan hebben via token-toxiciteit. Maar in feite kan de exogene prikkel van symbolische toxiciteit niet worden uitgebreid tot bepaalde soorten protocollen waar de waardering van het token die wordt gebruikt als de benaming voor uitzetten is niet afhankelijk van die protocollen die veilig werken. Een voorbeeld hiervan is een re-staking-protocol zoals EigenLayer, waarbij ETH dat door het Ethereum-protocol wordt gebruikt, wordt hergebruikt om de economische veiligheid van andere protocollen te garanderen. Bedenk dat 10% van ETH opnieuw wordt ingezet met EigenLayer om validatie van een nieuwe zijketen uit te voeren. Zelfs als alle stakers in EigenLayer zich gezamenlijk misdragen door de veiligheid van de zijketen aan te vallen, is het onwaarschijnlijk dat de prijs van ETH zal dalen. Daarom is token-toxiciteit niet overdraagbaar voor opnieuw ingezette services, wat een kosten van corruptie van nul zou impliceren.

Hoe helpt slashen?

In dit gedeelte leggen we uit hoe slashing de kosten van corruptie aanzienlijk kan verhogen in twee gevallen:

gedecentraliseerd protocol onder omkoping, en
PoS-protocollen waarbij tokentoxiciteit niet overdraagbaar is.

Bescherming tegen omkoping

Protocollen kunnen slashing gebruiken om de kosten van corruptie aanzienlijk te verhogen voor een externe tegenstander die een omkopingsaanval probeert uit te voeren. Om dit beter uit te leggen, beschouwen we het voorbeeld van een op BFT gebaseerde PoS-keten waarvoor staking in het native token van de keten vereist is. en minstens ⅓ van de totale inzet moet corrupt zijn voor elke succesvolle aanval op de veiligheid ervan (in de vorm van dubbele ondertekening). Stel dat een externe tegenstander in staat is om ten minste ⅓ van de totale inzet om te kopen om dubbele ondertekening uit te voeren. Het bewijs van dubbele ondertekening kan worden ingediend bij de canonieke vork, die de knooppunten doorsnijdt die de omkoping van de tegenstander hebben geaccepteerd en dubbel hebben ondertekend. Ervan uitgaande dat elk knooppunt uitzet S tokens en alle gesneden tokens worden verbrand, krijgen we de volgende uitbetalingsmatrix:

	Aanval niet gelukt	Aanval geslaagd
Een node die de steekpenningen niet aanneemt en niet afwijkt van het protocol	S + R	S
Een node die ermee instemt de steekpenningen aan te nemen	B₁	B₂

Als de node bij slashing ermee instemt de steekpenningen aan te nemen en de aanval niet succesvol is, dan is de inzet S wordt gesneden in de canonieke vork (cel linksonder in de matrix), wat in tegenstelling is tot het vorige omkopingsscenario waarbij er niet werd gesneden. Aan de andere kant zou een node nooit zijn inzet verliezen S in de canonieke vork, zelfs als de aanval succesvol is (cel rechtsboven in de matrix). Als ⅓ van de totale inzet beschadigd moet zijn om de aanval te laten slagen, moeten de kosten van corruptie minimaal (frac{N}{3}) zijn × S, wat aanzienlijk hoger is dan de kosten van corruptie zonder te snijden.

Bescherming wanneer symbolische toxiciteit niet overdraagbaar is

In PoS-protocollen met uitzetten met een token waarvan de waardering niet wordt beïnvloed door de beveiliging van het protocol, is tokentoxiciteit niet overdraagbaar. In veel van dergelijke systemen zit dit PoS-protocol bovenop een ander basisprotocol. Het basisprotocol deelt vervolgens de beveiliging met het PoS-protocol door geschillenbeslechtingsmechanismen in te zetten op het basisprotocol voor het oplossen van geschillen en het basisprotocol de instantie te geven om de knooppunten die zijn ingezet met het PoS-protocol op een aantoonbare manier te verminderen.

Als bijvoorbeeld een Byzantijnse actie in het PoS-protocol objectief wordt toegeschreven aan het vijandige knooppunt in het basisprotocol, dan zou zijn aandeel in het PoS-protocol in het basisprotocol worden verlaagd. Een voorbeeld van zo'n PoS-protocol is EigenLayer, met functies voor opnieuw uitzetten waarmee verschillende validatietaken beveiliging kunnen afleiden van het basisprotocol Ethereum. Als een knooppunt dat opnieuw uitzet in EigenLayer een Byzantijnse strategie toepast in een validatietaak op EigenLayer waar Byzantijnse actie objectief kan worden toegeschreven, dan kan worden bewezen dat dit knooppunt vijandig staat op Ethereum en zal zijn inzet worden verlaagd (ongeacht hoe groot de inzet is). ). Ervan uitgaande dat elk knooppunt opnieuw wordt ingezet S, worden alle gesneden tokens verbrand en krijgen ze een beloning R op basis van deelname construeren we hieronder een uitbetalingsmatrix:

	Aanval niet gelukt	Aanval geslaagd
Een node die de steekpenningen niet aanneemt en niet afwijkt van het protocol	S + R	S
Een node die ermee instemt de steekpenningen aan te nemen	B₁	B₂

Aangezien we een validatietaak overwegen waarbij elke Byzantijnse actie objectief toe te schrijven is, zelfs als een node zich eerlijk gedraagt maar de aanval succesvol is, zal de node niet worden verlaagd op Ethereum (cel rechtsboven in de matrix). Aan de andere kant zou een knooppunt dat ermee instemt om de steekpenningen aan te nemen en zich vijandig te gedragen, objectief worden verlaagd op Ethereum (onderste rij in de matrix). Als ⅓ van de totale inzet beschadigd moet zijn om de aanval te laten slagen, zijn de kosten van corruptie ten minste (frac{N}{3}) × S.

We beschouwen ook het extreme geval waarin alle inzet met het PoS-protocol geconcentreerd is in de handen van één knooppunt. Dit is een belangrijk scenario omdat het anticipeert op de uiteindelijke centralisatie van de inzet. Gezien onze aanname dat er geen token-toxiciteit is bij het opnieuw inzetten van het token, kan het gecentraliseerde knooppunt zich ongestraft op een Byzantijnse manier gedragen als er niet wordt gesneden. Maar met slashing kan dit Byzantijnse gecentraliseerde knooppunt worden bestraft in het basisprotocol.

Slashing voor toerekenbare aanvallen vs. slashing voor niet-toerekenbare aanvallen

Er is een belangrijke subtiliteit tussen slashing voor toerekenbare aanvallen en slashing voor niet-toerekenbare aanvallen. Overweeg het geval van veiligheidsstoringen in een BFT-protocol. Meestal komen ze voort uit de Byzantijnse actie van dubbele ondertekening met als doel de veiligheid van een blockchain te verlammen - een voorbeeld van een toerekenbare aanval omdat we kunnen vaststellen welke knooppunten de veiligheid van het systeem hebben aangevallen. Aan de andere kant is de Byzantijnse actie van het censureren van transacties om de levendigheid van de blockchain te verlammen een voorbeeld van een niet-toerekenbare aanval. In het eerste geval kan slashing algoritmisch worden uitgevoerd door het bewijs van dubbele ondertekening aan de statusmachine van de blockchain te leveren.

Daarentegen kan slashing voor het censureren van transacties niet algoritmisch worden gedaan, omdat het niet algoritmisch kan worden bewezen of een knooppunt actief aan het censureren is of niet. In dit geval kan een protocol moeten vertrouwen op sociale consensus om slashing uit te voeren. Een bepaald aantal knooppunten kan een hard fork uitvoeren om het doorsnijden van die knooppunten te specificeren die ervan worden beschuldigd deel te nemen aan censuur. Alleen als er een sociale consensus ontstaat, kan deze hard fork worden beschouwd als de canonieke fork.

We hebben de kosten van corruptie gedefinieerd als de minimale kosten om een veiligheidsaanval uit te voeren. We hebben echter een eigenschap van het PoS-protocol nodig genaamd verantwoording, wat betekent dat in het geval dat het protocol de veiligheid verliest, er een manier moet zijn om de schuld toe te schrijven aan een fractie van de knooppunten (⅓ van de knooppunten voor een BFT-protocol). Het blijkt dat de analyse van welke protocollen verantwoordelijk zijn, genuanceerd is (zie de paper over forensisch onderzoek van het BFT-protocol). Bovendien blijken protocollen met de langste keten die dynamisch beschikbaar zijn (zoals PoSAT) kan niet worden verantwoord. (See dit papier voor een uiteenzetting van de wisselwerking tussen dynamische beschikbaarheid en verantwoording, en enkele manieren om dit op te lossen dergelijke fundamentele afwegingen.)

Valkuilen van slashing en mitigatie

Zoals bij elke techniek, brengt slashing zijn eigen risico's met zich mee als het niet zorgvuldig wordt uitgevoerd:

Verkeerd geconfigureerde clients / verlies van sleutels. Een van de valkuilen van slashing is dat onschuldige nodes onevenredig gestraft kunnen worden vanwege niet-opzettelijke fouten zoals verkeerd geconfigureerde toetsen of verlies van sleutels. Om zorgen weg te nemen met betrekking tot het onevenredig snijden van eerlijke knooppunten voor onbedoelde fouten, kunnen protocollen bepaalde snijcurven aannemen die soepel worden bestraft wanneer slechts een klein deel van de inzet zich niet in overeenstemming met het protocol gedraagt, maar zwaar worden bestraft wanneer meer dan een drempelfractie van de inzet wordt uitgevoerd op een strategie die in strijd is met het protocol. Ethereum 2.0 heeft een dergelijke aanpak gekozen.

Geloofwaardige dreiging van snijden als een lichtgewicht alternatief. In plaats van algoritmische slashing te ontwerpen, als een PoS-protocol geen algoritmische slashing implementeert, zou het in plaats daarvan kunnen vertrouwen op de dreiging van social slashing, dat wil zeggen, in het geval dat er een veiligheidsfout is, zullen de knooppunten ermee instemmen om te wijzen naar een harde vork van de ketting waar de zich misdragende uitgezette knooppunten hun geld verliezen. Dit vereist een aanzienlijke sociale coördinatie in vergelijking met algoritmische slashing, maar zolang de dreiging van social slashing geloofwaardig is, blijft de hierboven gepresenteerde speltheoretische analyse gelden voor protocollen die geen algoritmische slashing hebben, maar in plaats daarvan vertrouwen op toegewijde sociale slashing.

Maatschappelijk snijden voor fouten in de levendigheid is kwetsbaar. Social slashing is noodzakelijk voor het bestraffen van niet-toerekenbare aanvallen zoals liveness-fouten zoals censuur. Hoewel social slashing theoretisch kan worden geïmplementeerd voor niet-toerekenbare fouten, is het moeilijk voor een nieuw toetredend knooppunt om te verifiëren of dergelijke social slashing om de juiste redenen (censuur) is gebeurd of omdat het knooppunt ten onrechte is beschuldigd. Deze dubbelzinnigheid bestaat niet bij het gebruik van sociale slashing voor toerekenbare fouten, zelfs als er geen software-implementatie van slashing is. Nieuw toegetreden knooppunten kunnen blijven verifiëren dat deze schuine streep legitiem was, omdat ze hun dubbele handtekeningen kunnen controleren, al was het maar handmatig.

Wat te doen met bezuinigd geld?

Er zijn twee mogelijke manieren om met bezuinigde fondsen om te gaan: verbranding en verzekering.

Brandend. De ongecompliceerde manier om met de gesneden fondsen om te gaan, is door ze gewoon te verbranden. Ervan uitgaande dat de totale waarde van de tokens niet verandert als gevolg van de aanval, zou de waarde van elk token proportioneel toenemen en waardevoller zijn dan voorheen. Branden identificeert de benadeelde partijen niet als gevolg van de veiligheidsstoring en compenseert alleen hen, maar komt zonder onderscheid ten goede aan alle niet-aanvallende tokenhouders.

Verzekeringen. Een meer geavanceerd mechanisme om slashing-fondsen te verdelen, dat nog niet is bestudeerd, omvat verzekeringsobligaties die zijn uitgegeven tegen slashing. Klanten die transacties op de blockchain uitvoeren, kunnen deze verzekeringsobligaties pre-facto op de blockchain verkrijgen om zichzelf te beschermen tegen mogelijke veiligheidsaanvallen en hun digitale activa te verzekeren. Wanneer er een aanval plaatsvindt die de veiligheid in gevaar brengt, resulteert het algoritmische snijden van de stakers in een fonds dat vervolgens kan worden verdeeld onder verzekeraars in verhouding tot hun obligaties. (Een volledige analyse van deze verzekeringsobligaties is aan de gang.)

Status van slashing in het ecosysteem

Voor zover wij weten, werden de voordelen van slashing voor het eerst onderzocht door Vitalik in deze 2014 dit artikel. Het Cosmos-ecosysteem bouwde de eerste functionerende implementatie van slashing in hun BFT-consensusprotocol, welke legt slashing op van validators wanneer ze niet deelnemen aan het voorstellen van blokken of zich bezighouden met dubbele ondertekening voor dubbelzinnige blokken.

Ethereum 2.0 is ook opgenomen hakken in hun PoS-protocol. Een validator in Ethereum 2.0 kan worden geschrapt voor het maken van dubbelzinnige verklaringen of het voorstellen van dubbelzinnige blokken. Het schrappen van zich misdragende validators is hoe Ethereum 2.0 economische finaliteit bereikt. Een validator kan ook relatief licht gestraft worden wegens ontbrekende attesten of als hij geen blokken voorstelt wanneer hij dat zou moeten doen.

***

PoS-protocollen zonder slashing kunnen extreem kwetsbaar zijn voor omkopingsaanvallen. We gebruiken een nieuw model – het Corruption-Analysis-model – om complexe omkopingsaanvallen te analyseren, en gebruiken het vervolgens om te illustreren dat PoS-protocollen met slashing hebben meetbare beveiliging tegen omkoping. Hoewel er valkuilen zijn bij het opnemen van slashing in een PoS-protocol, presenteren we enkele mogelijke manieren om die valkuilen te verminderen. We hopen dat PoS-protocollen deze analyse zullen gebruiken om de voordelen van slashing in bepaalde scenario's te evalueren, wat mogelijk de veiligheid van het hele ecosysteem vergroot.

***

Sreeram Kannan is universitair hoofddocent aan de Universiteit van Washington, Seattle, waar hij het Blockchain-lab en het informatietheorie-lab leidt. Hij was een postdoctoraal onderzoeker aan de University of California, Berkeley, en een bezoekende postdoc aan Stanford University tussen 2012 en 2014, voordat hij zijn Ph.D. in Electrical and Computer Engineering en MS in Mathematics van de University of Illinois Urbana Champaign.

Soubhik Deb is een promovendus aan de afdeling Electrical & Computer Engineering van de Universiteit van Washington, waar hij wordt geadviseerd door Sreeram Kannan. Zijn onderzoek naar blockchains richt zich op het ontwerpen van protocollen voor peer-to-peer en consensuslaag om nieuwe functies in de applicatielaag te innoveren, met haalbare prestatiegaranties onder precieze beveiligingsdrempels.

***

Editor: Tim Sullivan

***

De standpunten die hier naar voren worden gebracht, zijn die van het individuele personeel van AH Capital Management, LLC (“a16z”) dat wordt geciteerd en zijn niet de standpunten van a16z of haar gelieerde ondernemingen. Bepaalde informatie in dit document is verkregen uit externe bronnen, waaronder van portefeuillebedrijven van fondsen die worden beheerd door a16z. Hoewel ontleend aan bronnen die betrouwbaar worden geacht, heeft a16z dergelijke informatie niet onafhankelijk geverifieerd en doet het geen uitspraken over de blijvende nauwkeurigheid van de informatie of de geschiktheid ervan voor een bepaalde situatie. Bovendien kan deze inhoud advertenties van derden bevatten; a16z heeft dergelijke advertenties niet beoordeeld en keurt de daarin opgenomen advertentie-inhoud niet goed.

Deze inhoud is uitsluitend bedoeld voor informatieve doeleinden en mag niet worden beschouwd als juridisch, zakelijk, investerings- of belastingadvies. U dient hierover uw eigen adviseurs te raadplegen. Verwijzingen naar effecten of digitale activa zijn alleen voor illustratieve doeleinden en vormen geen beleggingsaanbeveling of aanbod om beleggingsadviesdiensten te verlenen. Bovendien is deze inhoud niet gericht op of bedoeld voor gebruik door beleggers of potentiële beleggers, en mag er in geen geval op worden vertrouwd bij het nemen van een beslissing om te beleggen in een fonds dat wordt beheerd door a16z. (Een aanbod om te beleggen in een a16z-fonds wordt alleen gedaan door middel van het onderhandse plaatsingsmemorandum, de inschrijvingsovereenkomst en andere relevante documentatie van een dergelijk fonds en moet in hun geheel worden gelezen.) Alle genoemde beleggingen of portefeuillebedrijven waarnaar wordt verwezen, of beschreven zijn niet representatief voor alle investeringen in voertuigen die door a16z worden beheerd, en er kan geen garantie worden gegeven dat de investeringen winstgevend zullen zijn of dat andere investeringen die in de toekomst worden gedaan vergelijkbare kenmerken of resultaten zullen hebben. Een lijst van investeringen die zijn gedaan door fondsen die worden beheerd door Andreessen Horowitz (met uitzondering van investeringen waarvoor de uitgevende instelling geen toestemming heeft gegeven aan a16z om openbaar te maken, evenals onaangekondigde investeringen in openbaar verhandelde digitale activa) is beschikbaar op https://a16z.com/investments /.

De grafieken en grafieken die hierin worden verstrekt, zijn uitsluitend bedoeld voor informatieve doeleinden en er mag niet op worden vertrouwd bij het nemen van een investeringsbeslissing. In het verleden behaalde resultaten zijn geen indicatie voor toekomstige resultaten. De inhoud spreekt alleen vanaf de aangegeven datum. Alle projecties, schattingen, voorspellingen, doelstellingen, vooruitzichten en/of meningen die in deze materialen worden uitgedrukt, kunnen zonder voorafgaande kennisgeving worden gewijzigd en kunnen verschillen of in strijd zijn met meningen van anderen. Zie https://a16z.com/disclosures voor aanvullende belangrijke informatie.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
Bron: https://a16zcrypto.com/the-cryptoeconomics-of-slashing/

Generatieve data-intelligentie

De crypto-economie van slashing

Modellering

Bestaande modellen

Byzantijns model

Speltheoretisch evenwichtsmodel

Scheiding van kosten van corruptie en winst van corruptie

hakken

Wat kan er misgaan zonder te hakken?

Token-toxiciteit is onvoldoende

Is symbolische toxiciteit altijd van kracht?

Hoe helpt slashen?

Bescherming tegen omkoping

Bescherming wanneer symbolische toxiciteit niet overdraagbaar is

Slashing voor toerekenbare aanvallen vs. slashing voor niet-toerekenbare aanvallen

Valkuilen van slashing en mitigatie

Wat te doen met bezuinigd geld?

Status van slashing in het ecosysteem

Ethereum, Solana en Altcoins naderen 'Banana Zone', volgens Macro Guru Raoul Pal - Hier is zijn visie - The Daily Hodl

Britse wetshandhavingsinstanties kunnen crypto nu gemakkelijker in beslag nemen naarmate nieuwe regels van kracht worden

Laatste intelligentie

Bitcoin loopt het risico $7.2 miljard te verliezen als de BTC-prijs dit niveau bereikt

Meme-munt Dog Go To The Moon overschrijdt de marktkapitalisatie van $ 500 miljoen

Waarom veel ‘Zombie Blockchains’ nog steeds marktkapitalisaties hebben van miljarden dollars – Unchained

Spot Crypto ETF's die volgende week in Hong Kong gaan handelen: rapport - The Daily Hodl

Cardano-crisis of comeback? De belangrijkste statistiek van ADA staat laag, wat dit betekent voor beleggers

Beste meme-muntkeuzes voor langetermijnbezit: Dogecoin (DOGE), Shiba Inu (SHIB) en Furrever Token (FURR)

Chat met ons