Vitalik : Conception du design de la preuve d'enjeu
TechFlow SélectionTechFlow Sélection
Vitalik : Conception du design de la preuve d'enjeu
L'esprit cypherpunk ne concerne pas seulement l'idéalisme, mais aussi une ingénierie fiable où il est plus facile de défendre un système que de l'attaquer.
Dédié à des analyses Web3 approfondiesRédaction : Vitalik Buterin
Des systèmes comme Ethereum (ainsi que Bitcoin, NXT ou Bitshares) représentent un nouveau type d'entité dans l'économie cryptographique — des entités décentralisées, non régulées, existant entièrement sur Internet et maintenues par la cryptographie, l'économie et le consensus social.
Ils ressemblent un peu à BitTorrent (un protocole de consensus pair-à-pair), mais pas complètement, car BitTorrent n’a pas de notion d’état — une différence qui s’avère cruciale.
On les décrit parfois comme des entreprises autonomes décentralisées, mais ce ne sont pas vraiment des entreprises — par exemple, vous ne pouvez pas faire un hard fork de Microsoft. Ils ressemblent un peu aux projets logiciels open source, mais pas tout à fait — par exemple, vous pouvez faire un fork d'une blockchain, mais pas aussi facilement qu'on peut fork OpenOffice.
Il existe plusieurs types de réseaux cryptographiques — PoW (preuve de travail) basé sur ASIC, PoW basé sur GPU, PoS (preuve d'enjeu), DPoS (preuve d'enjeu déléguée), ainsi que le futur Casper PoS (le mécanisme de consensus que choisira Ethereum).
Chacun a incontestablement sa propre philosophie.
Un exemple bien connu est la vision maximaliste de la preuve de travail, selon laquelle la blockchain correcte est celle qui résulte du plus grand investissement en capital par les mineurs. Initialement une simple règle de choix de branche dans un protocole, ce mécanisme a été élevé chez beaucoup au rang de dogme sacré — prenons par exemple ma discussion avec Chris DeRose sur Twitter (où Chris DeRose affirme qu'une fourchette avec plus de 50 % de la puissance de calcul devient automatiquement la nouvelle chaîne principale). Certains tentent désespérément de préserver cette idée sous sa forme pure, même face à un hard fork impliquant un changement d'algorithme de hachage.
Le mécanisme de preuve d'enjeu déléguée de BitShares propose une autre philosophie, reposant sur un seul et unique principe, mais pouvant être décrite plus clairement comme un système de vote par actionnaires.
Chaque philosophie — consensus de Satoshi, consensus social, consensus de vote par actionnaires — mène à ses propres conclusions, et apparaît raisonnable selon sa propre échelle de valeurs, bien qu’elles soient mutuellement critiques lorsqu’on les compare. Le consensus Casper possède lui aussi une base théorique, même si elle n’a pas encore été explicitement formulée.
Moi-même, Vlad, Dominic, Jae et d'autres avons chacun nos points de vue sur l'existence des protocoles PoS et sur leur conception. Ici, je souhaite simplement exposer ma propre perspective.
Je vais commencer par présenter les résultats, puis aller directement aux conclusions.
La cryptographie est très particulière au XXIe siècle parce que c’est l’un des rares domaines où l’avantage reste fortement en faveur du défenseur, même en cas de conflit antagoniste. Il est plus facile de détruire un château que de le construire ; une île peut être gardée, mais reste vulnérable à l’attaque. En revanche, la clé ECC (cryptographie à courbe elliptique) d’un individu ordinaire est suffisamment sûre pour résister même à des acteurs étatiques. La théorie cypherpunk consiste fondamentalement à exploiter cette asymétrie précieuse afin de créer un monde où l’autonomie individuelle est mieux préservée. À cet égard, l’économie cryptographique prolonge le cypherpunk, non seulement en assurant l’intégrité et la confidentialité des données privées, mais aussi en garantissant la sécurité et la vivacité des systèmes complexes de collaboration. Les systèmes qui se réclament de l'idéologie cypherpunk doivent conserver cette propriété fondamentale : le coût de destruction ou de compromission doit être bien supérieur à celui de l'utilisation ou de la maintenance.
L’esprit cypherpunk ne concerne pas seulement l’idéalisme ; rendre la défense plus facile que l’attaque est également une bonne pratique d’ingénierie.
À long terme, les êtres humains sont assez doués pour atteindre un consensus. Même si un adversaire dispose d’une puissance de hachage illimitée et réussit à effectuer une attaque à 51 % sur la chaîne principale durant le dernier mois de son histoire, convaincre la communauté que cette chaîne est légitime serait infiniment plus difficile que simplement surpasser sa puissance de hachage. Il faudrait renverser les chercheurs en blockchain, chaque membre de confiance de la communauté, le New York Times, archive.org, et bien d’autres encore. En somme, faire croire au monde entier que la nouvelle chaîne d’attaque est la chaîne originale serait, dans ce XXIe siècle saturé d’information, presque aussi improbable que de convaincre le monde que les États-Unis n’ont jamais atterri sur la Lune. Quelle que soit la reconnaissance officielle par la communauté blockchain, ces facteurs sociaux constituent à long terme la protection ultime de toute blockchain (notez que Bitcoin Core reconnaît effectivement cette primauté du niveau social).
Toutefois, une blockchain protégée uniquement par consensus social serait trop inefficace, trop lente, et sujette à des divergences interminables (bien que cela se soit déjà produit malgré les difficultés). Par conséquent, le consensus économique joue un rôle extrêmement important à court terme pour assurer la vivacité et la sécurité.
Étant donné que la sécurité du mécanisme de preuve de travail provient uniquement de la récompense par bloc (selon Dominic Williams, il manque un coût d'existence (existence cost) et une pénalité de sortie (exit penalty), il n’y a que le coût d’entrée (entry cost)), l’incitation des mineurs repose uniquement sur le risque de perdre les futures récompenses. Le mécanisme de preuve de travail doit donc nécessairement fonctionner selon une logique où de grandes récompenses incitent massivement à accumuler de la puissance de calcul. La récupération après une attaque PoW est très difficile : à la première occurrence, vous pouvez effectuer un hard fork pour changer l’algorithme PoW, rendant ainsi obsolètes les ASIC de l’attaquant. Mais si l’attaquant recommence, vous ne pouvez pas changer indéfiniment l’algorithme, tandis que l’attaquant peut continuer à attaquer encore et encore. Ainsi, le réseau minier doit être suffisamment vaste pour que l’attaque devienne impensable. Puisque le réseau dépense continuellement X par jour, tout attaquant dont les coûts sont inférieurs à X est dissuadé. J’abandonne cette logique entière parce que :
(i) Ce mécanisme tue des arbres (sous-entendu : gaspillage massif de ressources) ;
(ii) Ce mécanisme ignore l’esprit cypherpunk — le rapport entre le coût de l’attaque et celui de la défense est de 1:1, annulant tout avantage pour le défenseur.
La preuve d’enjeu brise cette symétrie 1:1 en abandonnant la sécurité fondée sur la preuve de travail au profit d’un mécanisme de pénalités. Les validateurs placent de l’argent (« dépôt ») en jeu et reçoivent une petite récompense pour compenser le verrouillage de leurs fonds, la maintenance de leur nœud et les mesures supplémentaires prises pour sécuriser leurs clés privées. Toutefois, la majeure partie du coût d’une tentative de réversion provient des pénalités subies, qui peuvent être des centaines, voire des milliers de fois supérieures aux récompenses accumulées pendant cette période. Ainsi, la « phrase unique » de la preuve d’enjeu n’est pas « sécurité obtenue via la consommation d’énergie », mais « sécurité obtenue via la menace de pertes économiques ». Un bloc ou un état donné est dit avoir une sécurité de X si l’on peut prouver qu’il est impossible, sans encourir des pénalités internes au protocole équivalentes à X, de valider un bloc ou un état contradictoire.
Théoriquement, la majorité des validateurs pourrait conspirer pour prendre le contrôle du système PoS et engager des comportements malveillants. Cependant,
(i) grâce à une conception ingénieuse du protocole, les profits supplémentaires qu’ils pourraient tirer de cette opération peuvent être limités autant que possible, et surtout
(ii) s’ils tentent d’empêcher l’entrée de nouveaux validateurs ou lancent une attaque à 51 %, la communauté coordonnera simplement un hard fork pour effacer les actifs des validateurs fautifs.
Une attaque réussie pourrait coûter 50 millions de dollars, mais le processus de nettoyage des conséquences ne serait pas plus compliqué que l’incident de panne de consensus entre clients geth/parity survenu le 25 novembre 2016. Deux jours plus tard, la blockchain et la communauté avaient retrouvé leur trajectoire normale. L’attaquant a perdu 50 millions de dollars, et suite à la contraction de l’offre de jetons ayant entraîné une hausse des prix, le reste de la communauté semblait même plus riche. Voilà la véritable asymétrie attaque-défense recherchée.
Cette vision ne signifie pas que les hard forks irréguliers devraient survenir fréquemment. Si nécessaire, le coût d’une attaque à 51 % sur un système PoS peut être fixé aussi haut que celui d’une attaque permanente à 51 % sur un système PoW, et le coût global et l’inutilité de l’attaque devraient être suffisants pour garantir qu’elle ne sera pratiquement jamais tentée.
L’économie n’est pas tout. Les individus peuvent être motivés par des raisons extérieures, piratés, kidnappés, ou simplement ivres et décider de saboter la blockchain, quitte à en payer le prix. Heureusement, la tolérance morale des individus et l’inefficacité de la communication font généralement monter le coût d’une attaque bien au-delà des pertes économiques définies par le protocole. Ce n’est pas un avantage sur lequel nous pouvons compter, mais c’est aussi un avantage que nous ne devrions pas abandonner inutilement.
Le meilleur protocole est donc celui qui fonctionne bien sous plusieurs modèles et hypothèses — rationalité économique individuelle et coordonnée, tolérance aux pannes simple, tolérance aux pannes byzantines (idéalement dans ses variantes adaptatives et non adaptatives), modèles comportementaux inspirés d'Ariely/Kahneman (« nous trichons tous »), et tout autre modèle réaliste souhaitable. Deux niveaux de défense sont importants : les incitations économiques empêchent les comportements antisociaux des entités centralisées, tandis que les incitations anti-centralisation empêchent dès le départ la formation de telles entités.
Les protocoles de consensus très rapides comportent des risques et doivent être traités avec grande prudence. Car combinés à des incitations, une vitesse excessive peut générer de fortes récompenses et des risques systémiques de centralisation du réseau (par exemple, tous les validateurs hébergés chez le même fournisseur de services). Le protocole de consensus ne se soucie pas tant de la rapidité avec laquelle un validateur envoie un message, tant que cela se produit dans un intervalle acceptable (par exemple 4 à 8 secondes ; nous savons empiriquement que la latence d’Ethereum est souvent comprise entre 500 ms et 1 s). Une position intermédiaire possible serait de concevoir des protocoles capables de fonctionner très rapidement, mais intégrant un mécanisme similaire aux blocs oncles d’Ethereum, de sorte que l’augmentation marginale de récompense pour une connectivité réseau supérieure à un seuil facilement atteignable soit très faible.
À partir de là, bien sûr, il y a de nombreux détails et de nombreuses façons de diverger sur ces derniers, mais ci-dessus figurent au moins les principes fondamentaux de ma version de Casper. À partir de là, nous pouvons naturellement débattre des compromis entre différentes valeurs.
Devons-nous attribuer au ETH un taux d’émission annuel de 1 % et dépenser 50 millions pour imposer un hard fork correctif, ou plutôt ne pas émettre de nouveaux ETH et dépenser 5 millions pour un hard fork correctif ?
Quand choisir d’augmenter la sécurité du protocole dans le modèle économique, au détriment de sa sécurité dans le modèle de tolérance aux pannes ?
Préférons-nous une sécurité prévisible, ou une émission prévisible de jetons ? Ce ne sont là que d’autres formulations du même ensemble de questions, et trouver divers compromis entre ces valeurs constitue une autre série de problèmes. Mais nous y parviendrons.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@VitalikButerin
