Crítica de la "Prueba de la filosofía de diseño de estaca" de Buterin

En este artículo, discrepo con varias de las afirmaciones hechas por Vitalik Buterin en su artículo de diciembre de 2016 "Una prueba de filosofía de diseño de estaca". Espero que provoque un debate sobre el diseño de alto nivel de la prueba de participación y sobre el futuro propuesto del protocolo Ethereum.

1. "El costo del ataque debe exceder el costo de la defensa" es ilógico

Este es un elemento fundamental para el argumento de que la prueba de participación (PoS) es "más eficiente" que la prueba de trabajo (PoW), por lo que es importante revisarla detenidamente.

Vitalik comienza este argumento afirmando que la criptografía permite a los usuarios defender sus datos de una manera mucho más efectiva de lo que el propietario de un castillo o isla puede defenderse en el mundo físico. Si bien es cierto que la criptografía cambia el juego de la riqueza y la protección de la información, a menudo permitiendo un campo de juego nivelado, esto es comparar manzanas con naranjas. Sí, es cierto que un caballero medieval no puede romper una billetera de bitcoin, pero tampoco un pirata informático puede defender efectivamente un castillo. La criptografía se usa en el mundo real, donde se pueden robar claves privadas por valor de millones con un ataque con llave de $ 5.

Además, el "costo de ataque" y el "costo de defensa" no son abstractos y fijos, sino más bien fenómenos relativos y dinámicos: dependen del valor subjetivo de lo que uno está atacando o defendiendo, y de la convicción de los actores involucrados. . El costo es un fenómeno relativo, solo se vuelve significativo una vez comparado con la utilidad perdida, a las oportunidades que el actor está dispuesto a perder para perseguir un objetivo particular. En el caso de un escenario de atacante-defensor, el costo también es dinámico: si me enfrento a un atacante con un alto compromiso y enormes recursos, mi costo potencial de defensa será muy alto, y viceversa.

Al analizar la prueba de trabajo, Buterin afirma que va en contra del "espíritu cypherpunk" porque en este sistema, el "costo del ataque y el costo de la defensa están en una proporción de 1: 1". Esta declaración es engañosa, porque en realidad solo está hablando de lo que un atacante del 51% podría hacer a los últimos bloques de la cadena de bloques.

Los ataques a Bitcoin donde uno intenta revertir transacciones históricas que tienen más de unos pocos días son extremadamente caros. Imaginemos que la persona que pagó 10.000 BTC por una pizza en mayo de 2010 ahora es un malvado villano ("Pizza Man") y quiere revertir esa lamentable transacción. Para tener éxito, necesitaría infiltrarse y controlar de alguna manera el 100% de todos los equipos mineros de Bitcoin y minar durante un período de más de 200 días (o un porcentaje más pequeño de + 51% durante mucho más tiempo) para hacer retroceder la cadena lo suficiente con comprobante de trabajo válido. Después de los costos de adquisición de equipos de minería multimillonarios, el costo de ejecutar la red Bitcoin durante 200 días sería de más de $ 700 millones (7.5 TWh a 10 centavos / KWh). Ahora, el costo de la defensa contra cualquier cosa menos que el ataque de Pizza Man es difícil de calcular, porque es suficiente para que los mineros de Bitcoin que compiten simplemente sigan su propio interés económico y extraigan Bitcoins por su propia cuenta: la protección de la red contra una miríada de de posibles ataques es un efecto secundario.

Dado que el conocimiento, el valor subjetivo y los recursos se distribuyen de manera desigual en la sociedad (al igual que en la naturaleza), siempre habrá un tira y afloja entre atacantes y defensores, sin importar qué mecanismo de seguridad se use. Hablar de una relación costo / defensa de 1: 1 no tiene sentido en mi opinión.

Para volver a las criptomonedas: uno puede tratar de diseñar algoritmos de compensación de transacciones que sean diferentes de la prueba de trabajo, pero todo lo que termina haciendo es ofuscar el trabajo que los atacantes deben hacer para explotar el sistema y dificultar la definición de cuánto y qué tipo de trabajo deben hacer los defensores para mantener al libro mayor honesto y completo. Como Paul Sztorc ha declarado (también se hizo eco de Adam Back): "todas las alternativas propuestas de PoW deben etiquetarse como" prueba de trabajo oculta "".

2. No, los humanos no son "bastante buenos en el consenso"

Vitalik afirma que un atacante del 51% que revirtió el libro de transacciones a su favor tendría dificultades para convencer a la comunidad de que su cadena es legítima. La multitud lo desenmascararía y alcanzaría rápidamente un consenso para restaurar la justicia. Continúa: "estas consideraciones sociales son las que en última instancia protegen cualquier blockchain a largo plazo", y cita el dinero de piedra en la isla de Yap como ejemplo.

En primer lugar, no creo que el dinero de Yap sea un buen ejemplo de la efectividad del consenso social. Prácticamente no tenemos información sobre la cantidad de fraude cometido o evitado bajo el sistema de dinero de piedra. Además, es bien sabido que las costumbres, las costumbres, los rituales y la presión social juegan un papel mucho más importante en las comunidades tribales como en la pequeña isla de Yap, por lo que no es justo suponer que uno puede operar con éxito un sistema similar de coordinación monetaria en la sociedad en general. Y finalmente, el "libro de consenso social" de Yap se convirtió en víctima de al menos dos ataques exitosos. La primera fue cuando en 1874 el capitán irlandés-estadounidense David O'Keefe logró usar grandes cantidades de piedras de producción barata como moneda para ganar poder y riqueza. El segundo ataque documentado contra el sistema financiero de Yap ocurrió cuando los comerciantes alemanes confiscaron las piedras de yap e instituyeron severos controles de capital.

Así que centrémonos en la afirmación de Buterin de que el consenso social es una protección contra los ataques impulsados ​​por los recursos. En mi opinión, eso es completamente incorrecto. Un actor con los activos para llevar a cabo una operación de este tipo puede apuntar su ataque contra muy pocos individuos y puede hacer que sea costoso para la comunidad deshacer el robo y restaurar la justicia. O el atacante puede apuntar estratégicamente a una gran cantidad de usuarios, asegurándose de infligir solo una pequeña cantidad de daño financiero por usuario, de modo que el costo por individuo para reunirse contra el atacante es mayor que la pérdida incurrida por el ataque.

La fábula de

Incluso en el raro caso en que las personas estén de acuerdo en gran medida en que un determinado evento es perjudicial e indeseable, a menudo no están de acuerdo sobre cómo se debe tratar. Los mercados son buenos para permitir que las personas persigan sus objetivos personales de manera voluntaria, pero eso es todo. Si a un subconjunto de personas (o un individuo) no le gusta algo, siempre pueden salir. En el universo de la criptomoneda, eso significa que pueden bifurcarse y crear su propia nueva moneda, o bifurcarse suavemente para imponerse a ellos mismos reglas más estrictas.

Con demasiada frecuencia, la palabra "consenso" se utiliza como herramienta retórica para silenciar la disidencia. Por ejemplo, nuevamente en 'Una prueba de filosofía de diseño de estaca', Buterin afirma que si una colusión de validadores se hace cargo de una cadena de prueba de participación, "la comunidad puede simplemente coordinar un tenedor duro y eliminar los depósitos de los validadores infractores ". Dado que el rescate de TheDAO fue aprobado por el supuesto "consenso de la comunidad" a pesar de que menos del 6% de Ether en circulación votó sobre el asunto en un proceso de menos de 2 semanas, parece arriesgado "ofender" a las personas equivocadas en la comunidad ETH.

En resumen, cuando se enfrentan a ataques basados ​​en recursos, el consenso de respuesta real es casi imposible de lograr. A largo o corto plazo, los sistemas políticos no son lo suficientemente confiables para prevenir el fraude y el robo. En la búsqueda de la escalabilidad social, podemos alentar la libertad y la responsabilidad individual mediante el uso de las herramientas de criptografía, ingeniería y autointerés económico como fuentes de solidez, pero no podemos contar con el concepto idealista de consenso social.

3. Afirmación sin fundamento de que PoS es más resistente que PoW

Buterin afirma lo siguiente: "si se desea, el costo de un solo ataque del 51% en la prueba de participación ciertamente puede ser tan alto como el costo de un ataque permanente [sic] del 51% en la prueba de trabajo, y el costo total y la ineficacia de un ataque debería garantizar que casi nunca se intente en la práctica ".

En otras palabras, implica que, desde el punto de vista de la seguridad, la Prueba de participación es mucho más sólida que la Prueba de trabajo.

Al comparar PoW con PoS, considere lo siguiente:

  • Los diseños de minería de criptomonedas son soluciones al problema de la confianza en sistemas con conocimiento imperfecto y adversarios desconocidos. La prueba de trabajo tiene aplicaciones en el dinero moderno temprano y en la naturaleza, donde el principio de discapacidad evolucionó evolutivamente para permitir que los animales prueben la "honestidad" o confiabilidad de su señal. Que yo sepa, la prueba de participación no tiene aplicaciones equivalentes ni en la historia humana ni en la biología.
  • Un atacante PoW 51% puede ralentizar significativamente la red, pero incluso un solo intento de revertir las transacciones históricas requiere un gasto enorme y de larga duración. En otras palabras, la producción de la historia del libro mayor es extremadamente costosa y su interrupción podría decirse aún más.
  • Al contrario de una cadena PoW ausente de un cartel de + 51%, está matemáticamente probado que es imposible determinar el historial de transacciones "verdadero" en una cadena de bloques PoS sin una fuente adicional de confianza. Si siempre se necesita una fuente de confianza, se abre una potencial caja de ataque de Pandora y escenarios de centralización. Esta es una semilla de verdad detrás del chiste que Ethereum planea usar "prueba de Vitalik".
  • En un entorno de PoS ingenuo, un atacante puede crear fácilmente muchas historias alternativas del libro mayor, lo que hace que sea barato probar diferentes estrategias. Esto se conoce como el "problema de nada en juego". Ethereum planea resolver esto destruyendo el depósito de seguridad unido de validadores maliciosos. Bob McElrath de SolidX señala que la estrategia de "castigo económico" de los atacantes es discutible si el castigo en sí puede ser eliminado. Otra crítica de PoS en condiciones de servidumbre, como lo expresó recientemente el creador de BitTorrent Bram Cohen, es la pregunta de cómo se evita que los honestos se engañen para interactuar con la red de una manera que desencadena el castigo que se supone que los protege. (Piense en ello como el equivalente criptográfico de los golpes a gran escala.) Un escenario de ataque alternativo, sugerido por Kevin Zhou de Galois Capital, es uno en el que el atacante engaña a suficientes personas honestas en su red, de modo que se convierta en el interés de estas personas honestas para apoyar el cadena de ataque como la verdadera cadena.

Conclusión

Si bien es recomendable que Buterin trabaje para construir sus propuestas de diseño de criptomonedas a partir de los primeros principios, creo que su artículo contiene varios defectos. Está confundido acerca de las compensaciones de defensa de costos y hace afirmaciones sin fundamento sobre la seguridad basada en el trabajo versus la estaca. No proporciona pruebas lógicas o históricas convincentes de la eficacia del consenso social. Y afirma que la prueba de participación es más resistente sin proporcionar pruebas o argumentos, y sin reconocer las numerosas objeciones que han planteado las personas de pedigrí sustancial. El artículo de Buterin no me convence de que la prueba de participación tenga una base filosófica sólida, ni que sea un mecanismo independiente viable para asegurar las cadenas de bloques públicas.

Estoy agradecido por los comentarios de Kevin Zhou, Afsheen Bigdeli, Lawrence Nahum, Tommaso Pellizzari y Christian Lundkvist. Todos los errores que quedan son míos.

Divulgación: Tengo una posición corta en ETH / BTC (Ether corto, Bitcoin largo).