プルーフ・オブ・ステーク (PoS) を安全かつ正常に機能させるには、どれくらいのコストがかかりますか?

プルーフ・オブ・ステーク（PoS）は、暗号通貨の分野で常に最も議論の多いトピックです。

このモデルには、高効率、より優れたセキュリティ、ハードウェアの集中化に対する永続的な耐性など、否定できない多くの利点がありますが、PoS アルゴリズムは PoW ベースのソリューションよりも複雑であることが多く、PoS の実現可能性については広く疑問視されてきました。「何もNothing at stakeいない」問題は根本的に解決不可能だと考える人もいます。

これらの問題は解決可能であることが判明しており、PoS とそれに伴うすべてのものは、非常に小さなコストで成功できるという厳密な議論を提供できます。この投稿の目的は、このコストが何であるか、そしてその影響を最小限に抑える方法を説明することです。

経済は安定し、何も危険にさらされていない

まず、基本に従ってください。一般的に言えば、コンセンサスアルゴリズムの目的は、システムが特定の状態遷移ルールに従って状態を安全に更新できるようにすることです。同時に、これらの状態遷移を実行する権利は経済グループ間で分散されます。

経済グループとは、状態遷移をアルゴリズム的に集合的に実行する権限を与えられるユーザーの集合です。経済グループが合意を得るために必要な重要な特性は、安全に分散化されていることです。つまり、たとえその役割が十分な資金を持ち、利益を上げる可能性があったとしても、単一の役割（または共謀グループ）がグループの過半数を制御することはできません。これまでに、コンセンサスアルゴリズムのタイプごとに 1 つずつ、安全で分散化された 3 つの経済グループを発見しました。

コンピューティングパワーの保有者: 標準プルーフ・オブ・ワーク (PoW)、または TaPoW。専用のハードウェアで実行されるものと、(理想的には) 汎用ハードウェアで実行されるものの 2 つのバリエーションがあることに注意してください。
利害関係者: PoS のすべてのバリエーション。
ユーザーのソーシャルネットワーク: Ripple/Stellar タイプのコンセンサス。

最近、従来のビザンチンフォールトトレランスに基づいたコンセンサスアルゴリズムの開発を試みた人がいることは注目に値します。ただし、これらのアプローチはすべて M-of-N セキュリティモデルに基づいており、「ビザンチンフォールトトレランス」の概念を適用するときに直面する必要がある問題の 1 つは、N をどこからサンプリングするかということです。ほとんどの場合、使用される経済グループは利害関係者であるため、この新しい BFT パラダイムを「PoS」の厳密なサブカテゴリとして扱います。

プルーフ・オブ・ワーク (PoW) には、効率的なアルゴリズムの設計を簡単にする優れた特性があります。経済グループに参加するには、参加者がシステム外部のリソースを消費する必要があります。つまり、ブロックチェーンに作業を提供する場合、マイナーはすべての可能なチェーンフォークの 1 つを選択する (それに作業を提供する、それを継続する) (または新しいものを開始する) 必要があり、異なるオプションは相互に排他的です。二重投票は、たとえ最初の投票から何年も経ってから 2 回目の投票が行われたとしても、異なる投票にコンピューティング能力を分散させる必要があるため、利益にはなりません。優位な戦略は、最も勝つ可能性が高いと思われるフォークにのみ計算能力を集中させることです。

しかし、PoS の場合は状況が異なります。経済グループに参加するための参入障壁は高いかもしれないが（後でわかるように、常にそうであるわけではない）、投票は無料である。このような「単純な PoS」アルゴリズムは、各コインを「シミュレートされたマイニングマシン」にし、コインの所有者が毎秒特定の確率でブロックに署名 (ブロックを生成) できるようにすることで、作業証明を模倣します。したがって、致命的な欠陥があります。複数のフォークがある場合、最善の戦略はすべての異なるフォークに投票することです。これが「Nothing at Stake」の核心です。

PoS 環境ではユーザーに 1 つのフォークだけに投票させることができない理由を説明する概念があります。「利他主義プライム」です。利他主義優勢パーソナリティは、真の利他主義（一部のユーザーやソフトウェア開発者が持つ可能性がある）と偽りの利他主義が混ざり合ったものです。前者は、他人やネットワークの富に対する直接的な懸念、そして明らかに悪事（二重投票など）を行うことに対する道徳的な嫌悪感によるものです。後者は、コインを保有する人々が自分のコインの価値がゼロになることを望まないためです。

しかし、利他的な支配的な性格だけに頼るのは信頼できません。なぜなら、プロトコルの整合性によって生み出される通貨価値の増加は公共の利益であり、供給不足の問題に直面するからです (たとえば、利害関係者が 1,000 人いて、それぞれの行動が攻撃の成功につながる「重要な」要因になる確率が 1% で、この攻撃によって通貨価値がゼロに戻る場合、利害関係者は賄賂として自分の通貨価値の 1% を提供するだけで済みます)。イーサリアムのジェネシスブロックに相当する保有資産の配分を想定すると、各ユーザーが重要な要因となる確率をどのように見積もるかに応じて、必要な賄賂の額は総ステーク（総保有資産）の 0.3% から 8.6% の範囲になります（攻撃が致命的でない場合はそれ以下になります）。それでも、利他的な優位な性格は、アルゴリズム設計者が心に留めておくべき重要な概念であり、それが役立つときにはその利点は明らかになります。

短距離フォークと長距離フォーク

短距離フォーク、つまり最新のブロックから特定のブロック数 (3000 ブロックなど) 未満のフォークのみを考慮すると、「何も危険にさらされていない」問題に対する解決策が実際に存在します。それは、セキュリティデポジットです。ブロックへの投票に対する報酬を受け取る資格を得るには、ユーザーはまずデポジットを入金する必要があります。ユーザーが複数のフォークに投票したことが判明した場合、他の誰かが元のチェーン上でこれらのトランザクションの証明を公開し、ユーザーの報酬を奪う可能性があります。したがって、1 つのチェーンに継続的に投票することが主要な戦略になります。

「Slasher 2.0」と呼ばれる別の戦略セット（最も初期のデポジットベースの PoS アルゴリズムである Slasher 1.0 とは対照的）は、間違ったフォークに投票した投票者のみを罰し、二重投票した投票者を罰しません。これにより、投票者を事前に多くのブロックに配置する必要がないため（確率的な二重投票を防ぐため）、分析はかなり簡単になりますが、同じブロックの高さに 2 つの選択肢がある場合、ユーザーはどちらもサポートしないことを選択する可能性があるため、コストがかかります。ユーザーに署名（投票）してもらいたい場合は、「対数スコアリングルール」のバリエーションを使用できます（詳細はこちらで学習できます）。説明のために、Slasher 1.0 と 2.0 は同じプロパティを持つものと仮定します。

このアプローチが短期フォークにのみ機能する理由は単純です。ユーザーは最終的にデポジットを取り戻す権利を持ち、デポジットを取り戻せば、それらのコイン（エクイティ）を使用して長期フォークに投票しない理由はなくなります。これに対処する方法の 1 つは、預金を永続的にすることですが、これらのアプローチには独自の問題があります。コインの価値が継続的に増加し、新しい署名者 (投票者) を受け入れない限り、コインは最終的に永久的な貴族制に硬直化します。暗号通貨が普及した要因の 1 つが貴族の永遠の権力に対する大衆の不満であったことを考えると、そのようなものをデジタルの世界で再現することは、ほとんどのユーザーに受け入れられる可能性は低いでしょう。特定の目的を持ち、終了することが運命づけられているブロックチェーンのみが、迅速な終了を追求する際に貴族モデルを使用する必要があります (たとえば、1 ラウンドのみ実行されるブロックチェーンベースのゲームを想像できます)。

この問題を解決する 1 つの方法は、上記のスラッシングメカニズム (短期フォーク用) をバックアップスキーム、トランザクション自体、または PoS (トランザクションプルーフオブステーク) と組み合わせることです。 TaPos は、各ブロックのトランザクション手数料を各ブロックのスコアとしてカウントします (トランザクションが些細になりすぎないように、各トランザクションに最新のブロックのハッシュを含める必要があります)。理論上、攻撃を成功させるには、実行に多大なコストがかかるはずです。しかし、このハイブリッドアプローチには根本的な欠陥があります。攻撃が成功する可能性がゼロに近いと仮定すると、各署名者は有料サービスを提供するインセンティブを持つことになります。つまり、フォークされたチェーンに対して自分が署名したすべてのトランザクションに再署名する（これにより、フォークが均等に一致する）ということです。したがって、ゲーム理論の観点から見ると、成功確率がゼロの攻撃は安定した均衡ではありません。

すべてのユーザーが独自の node.js Web アプリケーションを開いて賄賂を受け取ることは不可能だと思いますか?はい、もし誰もがこの動機を持っているなら、もっと簡単な方法があります。それは、古くてもう使われていない秘密鍵を闇市場で売ることです。ブラックマーケットがなくても、PoS システムのコインは常にこの脅威にさらされます。プレセール段階でコインを購入した大手プレーヤーの一部が最終的に出会い、共謀して、自分たちの利益のために共同でフォークを作成するでしょう。

上記のすべての点から、残念ながら、恣意的に長いフォークを開始する脅威が根本的に存在していると結論付けることができます。さらに、すべての非退化実装では、PoS アルゴリズムは、PoW セキュリティモデルの下で成功したい場合、この致命的な脅威に直面します。

ただし、セキュリティモデルをわずかに (ただし根本的に) 変更することで、この障害を回避することができます。

弱い主観性

コンセンサスアルゴリズムを分類する方法は多数ありますが、次のセクションでは次の点に焦点を当てます。まず、現在最も一般的な 2 つのパラダイムを紹介します。

目的: ネットワークに参加する新しいノードは、(1) プロトコルの定義と (2) 公開されているすべてのブロックとその他の「重要な」メッセージを理解するだけで済みます。ネットワークの他のメンバーと同じ最新の状態に関する結論に到達するために、他の情報は必要ありません。
主観的: このようなシステムでは、異なるノードは常に異なる結論に達し、ネットワークに参加するには多くの社会的情報 (評判など) が必要になります。

ソーシャルネットワークをコンセンサスセットとして使用するシステム (Ripple など) は必然的に主観的になります。プロトコルとデータのみを知っている新しいノードは、攻撃者によって、攻撃者の 100,000 個のノードが信頼できると信じ込まされる可能性があります。したがって、評判がなければ攻撃に対処する方法はありません。一方、PoW は客観的です。つまり、現在の状態には常に、予想される作業量が最も高い状態が含まれます。

ここで、Proof of Stake (PoS) に 3 番目のパラダイムを追加してみましょう。

弱い主観性: ネットワークに参加する新しいノードは、(1) プロトコル定義、(2) 公開されたすべてのブロックとその他の「重要な」メッセージ、(3) 現在から N ブロック以内に有効であると認識される状態のみを知る必要があります。コンセンサスセットの X パーセント以上を永続的に制御できる攻撃者がいない限り、ネットワーク内の他の参加者と最新の状態についてコンセンサスに達することはできません。

このモードでは、PoS が非常にうまく機能していることがはっきりとわかります。ノードが N ブロックを超えるブロックを元に戻すことを禁止し、N をセキュリティデポジットの長さに設定するだけです。つまり、状態 S が有効であり、少なくとも N 個の有効な状態の祖先になった場合、今後は S の子孫ではない状態 S' は無効でなければなりません。したがって、プロトコルの定義により、長距離フォークは無効であると簡単に言えるため、長距離攻撃はもはや問題ではありません。このルールは明らかに主観性が弱く、X が常に 100% になるという追加の利点があります (つまり、攻撃者は N ブロックよりも長いフォークを作成しない限り、永続的な分割を引き起こすことはできません)。

もう 1 つの弱い主観的スコアリング方法は、次のように定義される指数主観的スコアリングです。

各状態Sには「スコア」と「重力」がある
ジェネシスブロックのスコアは0、重力は1です
score(block) = score(block.parent) + weight(block) * gravity(block.parent) 、ここで weight(block) は通常 1 ですが、より高度な重み関数を使用することもできます (たとえば、Bitcoin の場合、 weight(block) = block.difficultyもうまく機能します)
ノードが新しいブロック B' を見つけ、B がその親ブロックであり、B から伸びる最長のフォークの長さが n の場合、 gravity(B') = gravity(B) * 0.99 ^ nなります (0.99 に加えて、他の値も考えられます)

本質的には、後で発生するフォークに明示的にペナルティを課しています。主観性に依存するより単純なアプローチとは異なり、ESS は本質的に永続的なネットワーク分割を回避します。ブロック B を受信する最初のノードと最後のノードの間の時間が k ブロックである場合、2 つのフォークの長さが互いにおよそ k パーセント以内で永久に維持されない限り、フォークは長期的に存続できません (この場合、フォークの重力値が異なるため、ネットワークの半分は常に 1 つのフォークを高スコアのフォークとしてkし、残りの半分は常に他のフォークをサポートします)。したがって、ESS は弱く主観的であり、X は攻撃者が 50/50 の分割にどれだけ近いかにほぼ対応します (たとえば、攻撃者が 70/30 の分割を作成できる場合、x = 0.29)。

一般的に、「最大 N ブロックでロールバックする」ルールの方が優れており、複雑さも少ないですが、ユーザーが、より高速に非常に高いセキュリティ (つまり、N ブロック後の攻撃の 99% に対する耐性) を実現することと引き換えに、より高い主観性 (つまり、N が小さい) を受け入れる場合は、ESS の方が効果的である可能性があります。

推論

では、弱い主観的合意によって動かされる世界はどのようなものになるのでしょうか?

まず、常にオンラインのノードはこの問題の影響を受けません。彼らにとって、弱い主観性の定義は客観性と同じである。

時々、または少なくとも N ブロックごとに 1 回オンラインになるノードは、ネットワークの最新のステータスを常に取得できるため、問題は発生しません。

ただし、ネットワークに新しく追加されたノードや、長期間に一度しか出現しないノードは、コンセンサスアルゴリズムに頼って保護することはできません。幸いなことに、解決策は簡単です。最初にサインアップするとき、または長期間オフラインになった後にオンラインに戻るときに、友人、ブロックエクスプローラー、または単にソフトウェアベンダーから最新のブロックのハッシュを取得し、それを「チェックポイント」としてブロックチェーンクライアントソフトウェアにインポートするだけで、そこから現在の状態を安全に更新できるようになります。

このセキュリティ上の仮定、つまり「友人から」ブロックハッシュを取得するという考え方は、多くの人にとって不十分に思えます。ビットコイン開発者は、長距離攻撃の解決策が何らかの代替決定メカニズム X である場合、ブロックチェーンのセキュリティは最終的にメカニズム X に依存するため、実際にはこのアルゴリズムは X を直接悪用するよりも安全ではないと指摘する傾向があります。つまり、ソーシャルコンセンサス主導のアプローチを含むほとんどの X は安全ではないということです。

しかし、このロジックは、そもそもコンセンサスアルゴリズムが存在する理由を無視しています。合意は社会的プロセスであり、人間はアルゴリズムの助けを借りずに合意に達するのが非常に得意です。おそらく最も良い例は石貨幣です。ヤップ島の部族が集合的記憶を利用して石貨幣の所有権の変化を記録しており、これはまるでブロックチェーンのようです (これらの石はビットコインのように、本質的な価値のない資産です)。

コンセンサスアルゴリズムが必要な理由は、単純に、人間には無限の計算能力がないため、コンセンサスを維持するためにソフトウェアに頼る必要があるからです。この意味で、ソフトウェアエージェントは非常にスマートです。非常に複雑なルールを非常に大規模な状態セットに完璧な精度で適用できるからです。しかし、それらは社会的情報が不足しているため非常に無知でもあり、コンセンサスアルゴリズムを設計する際の課題は、社会的情報の入力をできるだけ少なくするアルゴリズムを作成することです。

弱い主体性が正しい解決策です。 PoS の長距離攻撃問題を解決するために、人間主導のソーシャル情報に依存しています。コンセンサスアルゴリズムの役割は、コンセンサスの速度を向上し (数週間を数十秒に短縮)、大規模な状態に対して非常に複雑なルールを実行することだけです。人間主導のコンセンサスの役割は、一定期間にわたってブロックのハッシュ値に関するコンセンサスを維持することです。専制的な政府が 1 年前のブロックについて混乱を引き起こすほど強力であると仮定すると、その政府は PoW アルゴリズムを廃止したり、ブロックチェーンプロトコルのルールについて混乱を引き起こしたりするほど強力であると考えられます。

また、N を固定する必要がないことに注意してください。理論的には、ユーザーが N ブロックを超える期間にわたって預金をロックできるアルゴリズムを考案でき、これらの預金により、ユーザーはシステムのセキュリティレベルをより詳細に解釈できるようになります。たとえば、ユーザーの最後のログインが T ブロック前であり、現在デポジットの 23% が T よりも長い間ロックされている場合、ユーザーは独自の主観的なスコアリング関数を使用して新しいデポジットの署名を無視することができ、それによって総エクイティの 11.5% もの攻撃から防御することができます。徐々に増加する金利の取り決めは長期預金を奨励するために使用できますが、単純化するために、利他主義が優勢な性格に頼ることもできます。

限界費用：その他の反論

長期預金に対する反対意見の 1 つは、ユーザーが資本をロックすることを奨励し、それが非効率的であり、PoW と同じ問題を抱えているという点です。しかし、この意見には3つの観点から反論できる。

まず、限界費用は総費用ではありません。 PoS の総コストに対する限界費用の割合は、PoW よりもはるかに小さくなります。ユーザーは、資本の 50% を数か月間ロックしても何も感じないかもしれませんが、70% は少し痛いかもしれませんが、大きな報酬がなければ、85% を超えるロックは耐えられなくなります。さらに、資産のロックに関しては、ユーザーごとに好みが異なります。これら 2 つの要因が組み合わさっているため、均衡金利がいくらであっても、ほとんどの場合、拘束資本の限界費用ははるかに低くなります。

第二に、拘束された資本は私的なコストであるが、公共の利益にも役立つ行為でもある。資本をロックするということは、取引可能なコインが少なくなるということなので、通貨の価値が上がり、他者への資本の再分配につながり、社会的利益が生まれます。

第三に、保証金は非常に安全な価値の保存手段であるため、（1）個人の保険手段としての通貨の使用に取って代わり、（2）多くのユーザーが保証金と同額の通貨で担保されたローンを取得できるようになります。

幸いなことに、これらの仮定をテストする方法があります。年間 1%、2%、または 3% のステーキング報酬を持つ PoS コインを立ち上げ、それぞれのケースでコインの何パーセントが預けられるかを確認します。ユーザーは自分の利益に反することはないので、ユーザーがコンセンサスに費やす金額に基づいて、このコンセンサスアルゴリズムがもたらす非効率性を調べることができます。プルーフ・オブ・ステークがプルーフ・オブ・ワークよりも低い報酬レベルで妥当なレベルのセキュリティを備えている場合、PoS の方が効率的なコンセンサスメカニズムであることがわかり、異なる報酬レベルを使用して総コストと限界コストの比率を正確に把握できます。結局のところ、資本を拘束するコストが正確にわかるまでには数年かかるかもしれません。

要約すると、次の 2 つの点が判明しました。

（１）PoSアルゴリズムも安全である。「何も危険にさらされていない」問題を回避するためには、セキュリティモデルを変更し、主観性を弱く受け入れることが必要かつ十分です。

（２）PoSがPoWよりも経済的に効率的であると信じる経済的な理由は数多くある。 PoS は不明ではありません。過去 6 か月間の形式化と研究により、その長所と短所が特定されました。少なくとも、マイニングの集中化に関する不確実性が常に存在する可能性が高い PoW とほぼ同等です。今は、アルゴリズムを標準化し、ブロックチェーン開発者に選択肢を与える方法という単純な問題になっています。

（以上）

編集者注: この記事は 2014 年に公開され、PoS システムの運用によってセキュリティの前提を変更する必要がある理由について説明しています。注目すべきは、記事の最後で著者が述べている次の意見です。「人間は合意に達するのが非常に得意です。合意アルゴリズムは、合意に達するプロセスを単にスピードアップするだけです。」これは、分散システムのセキュリティをサポートするには人間主導の社会的合意で十分であり、「弱い主観性」は単なる小さな欠陥であることを意味しているようです。しかし、人間は合意に達するのが得意なのでしょうか?いいえ。訴訟や政策論争のような小さな問題から、国際紛争や戦争のような大きな問題まで、それらはすべて、人間が合意に達するのが得意ではないことを暗示しています。なぜなら、合意の対象となる国家の背後にはルールがあり、人間は常にルールに異議を唱え、自分に都合の良いようにルールを解釈し、さらにはルールを直接破壊するからです。結局のところ、人間は自分の利益を発見することしか得意ではなく、合意に達することが得意ではないからです。合意に達することは、多くの場合、利益を達成するための単なるステップであり、利益が変化すると、合意は破壊されます。質問自体に戻ると、客観的なコンセンサスの世界では、「ジェネシスブロック」+最長チェーンルールによって通貨を正確に定義し、偽造通貨の問題を解決することができます。しかし、主観性が弱い世界では、ジェネシスブロックは通貨を定義することはできません。偽造通貨の問題を解決するには、ジェネシスブロックの検証者でない限り、他の人に委任することしかできません。システムの最新状況の判断や解釈が少数の人々に依存している場合、その少数の人々を信頼していない人々はそのシステムをまったく使用しなくなります。これにより、「社会的スケーラビリティ」と呼ばれるものが失われます。