PoW では、なぜ PoS が必要なのでしょうか?

PoW だけが現実世界と仮想世界の価値を確実に結び付けることができると信じている人もいます。 PoS は、コインを無から生成し、不公平な方法で配布するため、独占などが生じることになります。より直接的な見方としては、すべての PoS チェーンは詐欺である、というものがあります。これらの主張は反論できません。言い換えれば、証明することも反証することもできません。 PoS には PoW にはない特性がいくつかあり、これらの特性は少なくとも一部の暗号化プロトコル アプリケーションにとって非常に重要であると思います。この記事では、PoS のいくつかの特徴を非技術的な方法で紹介します。

よく話題になる PoW と PoS は、それぞれプルーフ・オブ・ワークに基づくナカモト・コンセンサスとプルーフ・オブ・ステークに基づく BFT コンセンサスを指します。以下では、これらを PoW および PoS と呼びます。コンセンサス プロトコルは、コインを公平に配布するためではなく、ブロックチェーン ネットワークのセキュリティを維持するために設計されています。この記事で言及されているブロックチェーンは、コンソーシアムチェーンとプライベートチェーンを除いたパブリックチェーンを指します。ブロックチェーンネットワークセキュリティとは何ですか?この質問は非常に基本的なように思えますが、実際には非常に複雑です。しかし、その逆は説明するのがずっと簡単です。安全でないブロックチェーンとは何ですか?あるいは、ブロックチェーンではどのようなセキュリティインシデントが発生する可能性があり、発生した場合はどのような問題が発生するのでしょうか?

ブロックチェーンは分散型台帳技術であり、信頼を生み出すためのマシンです。ブロックチェーンのデータ構造とネットワーク プロトコルの設計はどちらも、ネットワークが信頼できず、参加ノードも信頼できないビザンチン環境において、中央調整なしにアカウントを安全かつ検証可能に記録することを目的としています。ブロックチェーンは、他の種類のネットワーク アーキテクチャよりも本質的に安全であると言えます。ソフトウェアの欠陥を考慮しなければ、ブロックチェーンで発生する可能性のあるセキュリティインシデントは 2 種類しかありません。 1 つは DDOS 分散型サービス拒否攻撃であり、もう 1 つは二重支払い攻撃です。 DDOS 攻撃はネットワークを混乱させ、ネットワーク全体または一部が正常に動作しなくなりますが、混乱によって直接的な利益は得られません。従来のネットワークでは、DDOS 攻撃の収益モデルは恐喝またはサービスに対する料金の請求です。誰かがハッカーに金を払って、競合他社のネットワークや気に入らないネットワークを混乱させようとします。攻撃者はまずトラブルを起こし、次に運営者に金銭を要求し、運営者が支払いを拒否するとトラブルを起こし続けます。ブロックチェーンは分散型ネットワークなので、ランサムウェアは誰に金銭を要求すればよいか分かりません。さらに、ブロックチェーンは分散型の自己組織化ネットワークです。規模が大きく、設計が優れている場合、故障させることは困難であり、コストもかかります。したがって、ブロックチェーンのセキュリティでは DDOS サービス攻撃を考慮する必要がありますが、それが焦点ではありません。

焦点は、ブロックチェーン ネットワークにとって真の脅威である二重支払い攻撃にあります。二重支出とは文字通り、同じ金額を二度使うことを意味します。それで、どうやってそのお金を二度使うことができるのでしょうか?これまでに発生した成功した二重支払い攻撃はすべて、次のプロセスに従います。

1. コインを取引所に転送します。

2. コインを売却してお金を引き出す。

3. ブロックチェーンをフォークする攻撃を開始すると、新しいチェーンにはコインを転送する最初のステップが含まれなくなります。これは、コインが攻撃者のアドレスに戻ることと同じです。

二重支出攻撃は事前に慎重に準備する必要があり、思いつきで実行することはできません。さらに、ブロックチェーンはフォークする必要があり、しばらく前のブロックからフォークするにはコストがかかります。 PoW には計算能力が必要です。分岐したチェーンを採掘して最長のチェーンにし、他の人に受け入れられる必要があります。二重支出攻撃が成功すると、攻撃による利益が発生したコストを上回り、攻撃者が利益を得ることになります。結局、コンピューティング能力の購入コストが二重支出による利益よりも高くなる場合、それは依然として問題を引き起こすカテゴリに分類されます。そのため、二重支払い攻撃を実行するのは容易ではなく、成功する例もあまりありません。

ブロックチェーンの歴史上、成功した二重支払い攻撃に関して特に注目すべき点が 2 つあります。 1 つ目は、攻撃に成功したチェーンはすべて PoW チェーンだったことです。 PoS は安全ではないと毎日言っている人たちが、この事実に注目してくれることを願っています。PoS チェーンは、初期の、成熟度の低いものであっても、二重支払いによる攻撃を受けたことはありません。これは、PoS チェーンが攻撃できないという意味ではなく、PoS チェーンを攻撃しても利益にならないという意味です。理由は後ほど説明します。そのため、PoS 攻撃方法の研究はすべて理論的なものであり、実際の環境でそれを実行する人はいません。 2 つ目のポイントは、二重支払い攻撃がコインの価格に与える影響です。おそらく多くの人が私と同じでしょう。二重支払い攻撃はチェーンが安全ではないことを証明するため、通貨価格は確実に急落するでしょう。現実はそうではありません。 ETC、Bitcoin Gold、Vergeが二重支払い攻撃に遭遇したときの市況を確認すると、コインの価格がわずかに下落しただけであることがわかります。なぜ？二重支払いによって損失を被るのは取引所であるため、攻撃者は取引所に属するはずのコインを盗んだのと同じことになります。ほとんどのコイン所有者はこう考えるでしょう。「これは私と何の関係があるのだろう？」私が保有するコインは減額も希釈もされていません。取引所は多額の利益を上げているので、出血するのも当然です。したがって、投資したコインが二重支払いの攻撃を受けた場合、天が落ちたと思ってすぐに逃げないでください。ただし、すぐに逃げないように注意してください。嵐が過ぎ去った後でも、逃げるべきです。なぜ？暗号化された資産のセキュリティを確保することがブロックチェーンの最も重要な機能だからです。今回の攻撃では彼が不運だったが、次の攻撃では私が不運になるかもしれない。したがって、ブロックチェーンが安全でないと判断されると、セキュリティ問題が解決されたことを証明できない限り、基本的にはゆっくりとゼロに戻ることになりますが、これは非常に困難です。攻撃を受けた後のETC、Bitcoin Gold、Vergeの時価総額ランキングの推移を確認できます。価格変動は市場全体に関係するため、時価総額ランキングは業界内での地位を反映します。

上記では安全でないブロックチェーンについて説明しました。ビットコインは非常に安全であることに誰もが同意しますが、ビットコインのセキュリティは PoW のセキュリティを意味するものではありません。次回、誰かが PoW は PoS よりも安全だと言っているのを聞いたら、事実に基づいて反論することができます。一部の PoW チェーンは安全であるのに、他のチェーンは安全でないのはなぜですか? PoW チェーンのセキュリティの前提は、ブロック報酬が、同じ期間に計算能力の 51% を借りるコストよりも高いということだからです。 (ブロック報酬 + 取引手数料であるはずですが、取引手数料は通常ブロック報酬よりも 2 桁低いため、ここでは無視できます。以下も同様です)。非常に簡潔な前提ですが、実際の状況は非常に複雑であり、いくつかの状況で説明する必要があります。まず、マイニングは主に汎用コンピュータで行われるのでしょうか、それとも専用のマイニングマシンで行われるのでしょうか？マイニングが主に汎用コンピュータで行われる場合、理論的には安全ではありません。なぜ？なぜなら、暗号通貨をマイニングする汎用コンピュータは、インターネット上のコンピュータのごく一部を占めるに過ぎないからです。攻撃者が制御するボットネット（非常に低コストで多数の汎用コンピュータをレンタルするのと同様）の計算能力が正直なマイニング ネットワークよりも高い場合、二重支出攻撃が開始される可能性があります。

専用マイニングマシンとは、SHA256などの特定のハッシュアルゴリズムが固められており、SHA256を使用するすべてのチェーンをマイニングできるマイニングマシンです。同じタイプの専用マイニングマシンの場合、計算能力のシェアが最も大きいチェーンが最も安全です。計算能力の配分はブロック報酬の量によって決まります。 3 つのチェーン BTC/BCH/BSV によって提供されるブロック報酬がそれぞれ 1 時間あたり 100 元、3 元、2 元であると仮定すると、計算能力は 100:3:2 の比率で分配されます。攻撃者は、利益が得られるのであれば、総ハッシュレートのごく一部を借りて BSV を攻撃することができますが、ハッシュレートの大部分を借りて BTC を攻撃することは非常に困難です。

ここでは2つの問題があります。まず、なぜコンピューティング能力をレンタルする必要があるのでしょうか?マイナーは自分自身で直接攻撃することはできないのですか?一般的に言えば、いいえです。二重支出攻撃を実行するマイナーとマイニング ファームは、個別に見ると利益を上げる可能性があるからです。ただし、チェーンが安全でない場合、通貨は下落し、対応するマイニング マシンも下落します。したがって、プロのマイニングマシンを多数所有している人は、少なくともブロック報酬が最も大きいチェーンを攻撃することはありません。 2 番目の問題は、ほとんどの場合、マイニングは収益性が高いため、コンピューティング能力をレンタルするコストが高く、攻撃が実行不可能であることです。しかし、特殊な状況としては、コインの価格が急落し、初期拡張時の計算能力が過剰となり、大量のマイニングマシンがシャットダウンされたことです。現時点では、マイニングマシンのレンタル料金は運用コスト、つまり電気代よりも高く、ブロック報酬が低いコインは非常に危険です。上記の共有に基づいて、PoW のセキュリティの前提は、大まかに次のように変換できます。専用のマイニング マシンを使用してマイニングし、コンピューティング パワーが最も大きな割合を占めます。

著名な暗号通貨研究者のニック・カーター氏は、上の図を使って、チェーン A が同じ計算能力のごく一部を占めていることを説明しました。 B チェーンは、同じタイプの計算能力の大部分を占めています。チェーン A の計算能力の絶対値 (つまり、ハッシュ レート) はチェーン B よりも高いですが、チェーン B はチェーン A よりも安全です。

この時点で、話題に戻って、なぜ PoS が必要なのかについて話しましょう。予備的な質問は、BTC 以外に他のチェーンは必要かということです。ビットコインマキシマリストは、ビットコインが唯一の有用な暗号通貨であり、イーサリアムを含む他のブロックチェーンはナンセンスだと信じています。この見解に同意するのであれば、もちろん PoS は不要です。他の人々（私を含む）は、分散型暗号プロトコルが取引コストを削減できる効率的な市場を定義すると信じています。世界には多くの暗号化プロトコルと多くのブロックチェーンが必要です。

PoW プロトコルを使用して新しいブロックチェーンを起動すると、コールド スタートの問題が発生してしまいます。実際、新しい PoW チェーンだけでなく、ビットコインもコールドスタートの問題に直面しています。通貨は価値がなく、マイニングする人もあまりいないため、ネットワークは安全ではありません。ネットワークが安全ではないため、通貨の価値は上がりません。ビットコインの登場から3年間は、通貨の価格は低く、ネットワークは脆弱で、注目する人はほとんどいませんでした。なぜなら、マイニング収入 = 市場価値 * 発行率だからです。 PoW コインは、マイニング マシン メーカーに ASIC マイニング マシン (非常に高い 1 回限りのコスト) を設計してもらい、マイナーにマイニング マシンを大量に購入して導入してもらうために、高い市場価値と発行率を実現する必要があります。これにより、鶏が先か卵が先かというコールド スタートのジレンマが発生します。新しいネットワークは安全ではなく、アプリケーションもほとんどありません。発行率が高く、価値の保存手段としてはみなされていない。市場価値の拡大が困難です。市場価値が低ければ、マイニング収入は低くなり、計算能力は成長できません。

新しい PoW チェーンを設計するときは、使用するハッシュ アルゴリズムを選択する必要があります。すでに専用のマイニング マシンがあるアルゴリズムを選択した場合、初期段階ではコインの価格が高くなり、計算能力比が低くなり、チェーンが安全でなくなります。専用のマイニング マシンがまだ存在しないアルゴリズムを選択した場合は、汎用ハードウェア マイニングの期間を経る必要があり、この期間中はネットワークが安全ではありません。難しいと言うのは、不可能だという意味ではありません。たとえば、Nervos のチームは非常に高い評価を得ており、多くの革新を実現してきました。そのため、メインネットが立ち上げられた時点で、CKB はすでに比較的高い市場価値と高いブロック報酬を持っており、マイニングのために多くの計算能力を引き付けることができました。 Nervos は独自のハッシュ アルゴリズムを設計しました。ブロック報酬が高いため、専用のマイニングマシンが間もなく登場する可能性があり、これは Nervos コミュニティにとって喜ばしいことです。ハッシュアルゴリズムが新しいため、新しいマイニングマシンは CKB のマイニングにのみ使用でき、ネットワークのセキュリティが大幅に向上します。しかし、Nervos は特別なケースとして捉えるべきであり、そのローンチプロセスは、新しいチェーンが PoW を採用することが非常に難しいことを証明しているだけです。今後数年のうちに、自己ブートストラッピングを完了できる PoW チェーンが数十、数十、あるいはそれ以上存在するようになるとは想像しがたい。

PoS チェーンは初期段階でも安全です。 PoS チェーンで二重支出攻撃を実行するには、ステークされたコインの少なくとも 1/3 を制御する必要があります。手元にたくさんのコインがあれば、あなたはトップ投資家の一人になれるはずです。二重支払い攻撃によりコインの価格が下落し、最も大きな損失を被ったのはあなたです。これは、最大手のマイナーがビットコインを攻撃しないのと同じ理由です。では、攻撃者が二重に使用されたコインを 2 回販売し、すぐに利益を得て立ち去った可能性はあるでしょうか?例を見てみましょう:

PoS チェーンの総流通市場価値がわずか 1,000 万ドルで、ステーキング比率が非常に低く、わずか 30% であるとします。時価総額が数千万ドルを超え、ステーキング比率が50％以上のPoSチェーンと比較すると、攻撃に対して明らかに脆弱です。攻撃者は条件を準備しました。彼はステーキングの 1/3 (全体の 10%) を管理し、流通チップ全体の 10% も所有しています。そこで攻撃者は、まず流通量の 10% を取引所 1 に転送し、それを売却してから資金を引き出しました。その後、預金取引を元に戻すための攻撃が開始されました。攻撃によるコイン価格の下落による損失を避けるため、彼はすぐに自分のアドレスに回収した資金の10%をExchange 2に入金し、売却後に引き出した。プロセス全体を通じて通貨価格が下がらない場合。攻撃者のコスト（ステーキングの 10% が没収された）と利益（流通チップの 10% が 2 回販売された）は完全に等しくなります。上記は攻撃者にとって最も有利な状況ですが、実際の環境では発生しません。攻撃者の売却は市場の流動性によって制限されるためです。最初の 10% のセールがコインの価格に与える影響については話さないようにしましょう。プロのセキュリティ会社が BFT チェーンフォークを発見し、警告を発するまでには、わずか数分しかかかりません。攻撃者が取引所の注目を集めずに、コインの価格に影響を与えることなく、残りの 10% を売却することは不可能です。

したがって、ソフトウェアに欠陥がない限り、PoS チェーンは通貨の価値に関係なく安全です。さらに、ソフトウェアの欠陥はプロトコル自体とは関係なく、実装の問題です。しかし、新世代の PoS チェーンがオンラインになってからまだ時間が短く、隠れた欠陥がある可能性があることは否定できません。セキュリティの検証には時間がかかります。

セキュアブートに加えて、PoS には PoW に比べて高速なファイナリティというもう 1 つの利点があります。ファイナリティとは、ブロックがチェーンによって放棄されず、孤立ブロックにならないことを意味します。 PoW チェーンには確率的な最終性しかなく、新しく生成されたブロックはあまり信頼性が高くなく、破棄（再編成）される可能性があります。ブロックにブロックが追加されるにつれて（深度が増すにつれて）、放棄される可能性はますます低くなります。深さが一定量増加すると、ユーザーはブロックが破棄されず、ブロック内のトランザクションが取り消されないことを確信できます。 PoS に基づく BFT コンセンサスは通常、高速なファイナリティを備えています。合法的なブロック（ブロック生成とファイナライズを分離するハイブリッドコンセンサスはファイナライズされることを意味します）は、発行されるとすぐに最終的なものになります。反転した場合は、何か大きなことが起こったことを意味し、賭けられたコインの 1/3 がシステムによって没収されます。迅速な最終性と確率的な最終性を比較するには、比較できる次元を見つける必要があります。梨とリンゴと同じように、梨を食べるのが好きな人もいれば、リンゴを食べるのが好きな人もいます。彼らの味を比較しても、誰もが同意できる結論には至りません。価格を比較するのは簡単でしょう。市場では、どれがより高価で、どれがより安価であるかが一目瞭然です。

それは、Nic Carter によって書かれた「Transaction Settlement Assurance, Fool」という本です。この記事はもともと PoW チェーンの比較でした。しかし、彼が提案した決済保証の概念は、PoW チェーンと PoS チェーンの比較にも適用できます。

上図のように、PoWの決済保証は階段状になっています。ブロックが追加されるごとに、ブロック（その中のすべての取引）の決済保証額が 1 ブロックの報酬額だけ増加します。現在の BTC の価格は 8,000 ドルで、各ブロックの報酬は 12.5 BTC、つまり約 100,000 ドルです。ビットコインは平均して10分ごとに1つのブロックを生成し、決済保証額は10万ドル増加します。大まかに言えば、PoS チェーンの決済保証は時間の経過とともに一定であると考えられます。 PoS チェーンは、流通市場価値が 1,000 万ドル、ステーキング比率が 30% で、ブロックが生成されるとすぐに確定される BFT プロトコル (Tendermint など) を採用しています。取引が法的ブロックに含まれている限り、1,000万*30%*1/3=100万米ドルの決済保証が直ちに受けられます。定量化可能な決済保証を迅速に取得することは、暗号化プロトコルの多くのアプリケーション シナリオにとって意味があります。これが、私が PoS が必要だと考える 2 番目の理由です。さらに、PoS に基づいて効率的な暗号プロトコル コミュニティ ガバナンスを開発できます。この点に関する分析については、私の記事「暗号プロトコルガバナンスの方法」を参照してください。