Vitalik:プルーフ・オブ・ステークの設計理念
TechFlow厳選深潮セレクト
Vitalik:プルーフ・オブ・ステークの設計理念
サイファーパンクの精神とは理想主義についてだけではなく、システムの防御を攻撃よりも容易にすることこそが信頼できる工学である。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Vitalik Buterin
イーサリアム(およびビットコイン、NXT、Bitsharesなど)のようなシステムは、暗号経済圏においてまったく新しいタイプの存在である。これらは完全にネット上に存在する非中央集権的かつ規制外の実体であり、暗号学、経済学、社会的合意によって維持されている。
これらはBitTorrent(ピア・トゥ・ピア合意プロトコル)に似ているが、まったく同じではない。なぜならBitTorrentには「状態」の概念がないからだ。この違いは最終的に極めて重要となる。
これらは時として非中央集権的自律企業と形容されるが、実際にはそうではない。たとえばマイクロソフトに対してハードフォークを実行することはできない。また、オープンソースソフトウェアプロジェクトにも似ているが、それとも違う。ブロックチェーンをフォークすることはできるが、OpenOfficeをフォークするほど簡単ではない。
これらの暗号経済ネットワークには多くの種類がある――ASICベースのPoW(作業量証明)、GPUベースのPoW、PoS(ステークプルーフ)、DPoS(委任ステークプルーフ)、そしてまもなく登場するCasper PoS(イーサリアムが採用予定の合意メカニズム)などである。
それぞれには明らかに独自の理念がある。
有名な例として、作業量証明の最大主義的ビジョンがあり、正しいブロックチェーンとは、マイナーが大量の資本を費やして生成したチェーンであると定義される。もともとは単なるプロトコル内の分岐選択ルールであったが、多くの場合、これは神聖な信条へと昇華している。たとえば私がTwitterでChris DeRoseと行った議論(Chris DeRoseは、総ハッシュレートの50%を超えるフォークが最長かつ新たなメインチェーンになると主張)を挙げられる。一部の人々は、ハッシュアルゴリズム変更のハードフォークさえも面前にしても、純粋な形でのこの考えを守ろうと必死になっている。
一方、ビットシェアーズの委任ステークプルーフは、すべてが一つの信条から生じると主張するが、より率直に言えば「株主による投票メカニズム」と表現できる。
各理念――中本コンセンサス、社会的合意、株主投票合意――はそれぞれ独自の結論を持ち、自分たちの視点から見れば、その価値体系は非常に意味を持つ。ただし、互いに比較すれば、当然ながら批判の対象となる。Casperコンセンサスもまた理論的基盤を持っているが、これまで明確に言語化されてこなかった。
私自身やVlad、Dominic、Jae その他多くの人々が、なぜPoSプロトコルが成立し得るのか、どのように設計すべきかについてそれぞれの見解を持っている。ここでは、私の個人的な洞察を説明したい。
まず結果を提示し、直接結論を述べる。
暗号学は21世紀において非常に特別な存在であり、暗号学は敵対的衝突において依然として防御側に大きく有利を与える数少ない領域の一つである。城を破壊することは建設よりも容易であり、島は守れるが攻撃されうる。しかし、一般人のECC(楕円曲線暗号)鍵は、国家レベルのアクターに対しても十分安全である。サイファーパンク(強力な暗号技術とプライバシー強化技術の広範な利用を、社会・政治改革への道として提唱する急進派)の思想は、この貴重な不均衡性を根本的に活用して、個人の自律性をよりよく保持できる世界を創出することにある。暗号経済学は、プライバシー情報の完全性と機密性の保護にとどまらず、複雑な協働システムの安全性と活性の保護という点でも、サイファーパンク思想の延長線上にある。サイファーパンク精神的イデオロギーを継承すると考えるシステムは、この基本的性質を維持すべきであり、破壊/破壊行為のコストは使用/維持よりもはるかに高くなるべきである。
サイファーパンク精神とは理想主義だけではなく、システムの防御を攻撃よりも容易にすることが、信頼できる工学的設計でもある。
中長期的な時間軸において、人類は相当に合意形成に優れている。 攻撃者が無制限のハッシュパワーを得られても、たとえ過去一ヶ月分の履歴においてもメインチェーンに対する51%攻撃を復元できたとしても、コミュニティにそのチェーンが正当だと信じ込ませるのは、単にハッシュパワーで追い抜くよりもはるかに難しい。彼らはブロック研究者、コミュニティ内の信頼されたメンバー全員、ニューヨークタイムズ、archive.org、インターネット上の他の多くの発信源まで覆さなければならない。つまり、21世紀の情報技術が密集する現代において、全世界に「攻撃チェーンこそが本来のチェーンだった」と信じ込ませることは、「アメリカの月面着陸は一度も起こらなかった」と信じ込ませることと同程度に困難なのである。ブロックチェーンコミュニティがそれを認めるかどうかにかかわらず、長期的にはこうした社会的要因が、あらゆるブロックチェーンを守る最終的な目的となる(ビットコインコアは実際にこの社会的次元の優先性を認めていることに注意)。
しかし、社会的合意のみで保護されるブロックチェーンはあまりに非効率的で遅く、分裂が永遠に続くリスクが高い(さまざまな困難に直面しながらも、すでに起こっている)。そのため、短期的には、経済的合意が活性と安全性の保護において極めて重要な役割を果たす。
作業量証明のセキュリティメカニズムはブロック報酬からのみ生じる(Dominic Williamsの言う通り、existence cost(生存コスト)やexit penalty(退出ペナルティ)はなく、entry cost(参加コスト)しかない)。したがって、マイナーへのインセンティブは将来のブロック報酬の喪失リスクにしか依存しない。作業量証明は必然的に、多数のブロック報酬が大規模な計算能力を誘引するという論理の下で動作せざるを得ない。 PoW攻撃からの回復は非常に困難である。最初の攻撃時には、ハードフォークでPoWを変更し、攻撃者のASICを無効化できる。しかし、再び攻撃が行われた場合、再度変更することはできず、攻撃者は繰り返し攻撃を仕掛けることができる。したがって、マイニングネットワークの規模は、攻撃自体が想像しがたいほど巨大でなければならない。ネットワークが毎日Xを消費し続けるため、規模がX未満の攻撃者は参入を抑制される。私はこの全体の論理を拒否する。理由は以下の通り:
(i) このメカニズムは木を殺す(比喩的に、膨大な資源の浪費を指している);
(ii) このメカニズムはCypherpunk精神を認識していない――攻撃コストと防御コストの比率が1:1であり、防御に何の優位性もない。
ステークプルーフは、作業量証明のセキュリティメカニズムに依存せず、代わりにペナルティメカニズムを使ってこの1:1の対称性を打破する。 バリデータは資金(「預け金」)をステークすることで、少量の報酬を得る。これは預け金のロック、ノードの運営、秘密鍵の安全確保のための追加措置に対する補償である。しかし、取引を取り消すための大部分のコストは、その期間中に得た報酬の数百倍乃至数千倍に達するペナルティから生じる。したがって、ステークプルーフの「一言理論」は「エネルギー消費から得られるセキュリティ」ではなく、「経済的に価値損失を課すことによって得られるセキュリティ」である。 ある特定のブロックまたは状態がXのセキュリティを持つとは、いかなる衝突するブロックまたは状態に対しても、同等レベルの最終性が到達不可能であることを証明でき、悪意のあるノードがXに相当するプロトコル内ペナルティを負担しようとしない限り、成立する。
理論的には、多数のバリデータが共謀すれば、ステークプルーフを乗っ取り、悪意ある行動を開始する可能性はある。しかし、
(i) 巧みなプロトコル設計により、このような操作で得られる追加利益を可能な限り制限でき、さらに重要なのは
(ii) 彼らが新規バリデータの参加を阻止しようとした場合、あるいは51%攻撃を行った場合、コミュニティは単にハードフォークを調整して、違反したバリデータの資産を抹消するだけである。
成功した攻撃には5000万ドルかかるかもしれないが、その影響を修復するプロセスは、2016年11月25日に発生したgeth/parityクライアントのコンセンサス障害よりも煩雑になることはない。 二日後にはブロックチェーンとコミュニティは正常に戻り、攻撃者は5000万ドルを失い、トークン供給が縮小したことにより価格が上昇したため、他のコミュニティはむしろ裕福になったように見える。これこそが(我々が必要とする)攻撃と防御の非対称性である。
以上の見解を、「定期的でないハードフォークが頻繁に起きるべきだ」と誤解してはならない。必要であれば、PoSの51%攻撃コストは、PoWの51%永続的攻撃コストと同じ高さに設定でき、攻撃の全費用と無効性は、それが事実上決して実行されないことを保証すべきである。
経済的要因がすべてではない。 個人は付加的な動機によって駆動されることがある。ハッキングされたり、拉致されたり、あるいはただ酔っ払って、コストを犠牲にしてブロックチェーンを破壊することを決断するかもしれない。また、幸運にも、個人の道徳的忍容度やコミュニケーションの非効率性が、攻撃コストを、標準的な価値損失プロトコルの定義以上に大幅に引き上げることがある。 これは我々が依存すべきではない利点ではあるが、同時に不要に放棄すべきでもない利点でもある。
したがって、最も良いプロトコルとは、多様なモデルと仮定の下でうまく機能するプロトコルである――調整された選択、個別の選択における経済的合理性、単純なフォールトトレランス、バイザンチンフォールトトレランス(理想的には適応的・非適応的敵対変種に対応)、Ariely/Kahnemanに触発された行動経済モデル(「誰もが不正をする」)など、現実的に実現可能なあらゆる望ましいモデルのもとで機能するもの。 二重の防衛ラインが重要である:経済的インセンティブが中央集権的企業の反社会的行動を阻止し、非中央集権的インセンティブがそもそも中央集権的企業の形成を阻止する。
高速で動作するコンセンサスプロトコルにはリスクがある。実際にそれが起こった場合、非常に慎重に扱われるべきである。 なぜなら、そのような速度が可能になることとインセンティブが組み合わさると、高い報酬が生まれ、(たとえばすべてのバリデータが同一のホスティングプロバイダー上で動作するといった)ネットワークの中央集権化を招くシステミックリスクが高まるからだ。コンセンサスプロトコルは、バリデータがメッセージを送信する速度そのものにはあまり関心がない。受け入れ可能な時間間隔内(たとえば4~8秒)であればよい(経験的に、イーサリアムのレイテンシは通常500ms~1秒の間にあることがわかっている)。一つの可能な中間的立場として、非常に高速に動作できるプロトコルを設計しつつ、イーサリアムの叔父ブロック(uncle block)に類似したメカニズムを通じて、ノードの周辺報酬がネットワーク接続度に応じて増加する程度を、簡単に到達可能なポイント以上ではかなり低く抑える方法が考えられる。
ここから先は、もちろん多くの詳細があり、細部においてさまざまな意見の相違があるが、以上は少なくとも私のCasperバージョンの核となる原則である。ここから、競合する価値の間でどのようにトレードオフを図るかについて議論できる。
ETHに年間1%の新規発行を与え、5000万ドルをかけて救済的ハードフォークを強制するか、あるいはETHを追加発行せず、500万ドルをかけて救済的ハードフォークを強制するか?
容錯性モデルにおける安全性低下と引き換えに、経済モデルにおけるプロトコルの安全性をどこまで高めるべきか?
我々は予測可能なセキュリティを重視するか、それとも予測可能なトークン発行を重視するか?これらはすべて別の形の問題であり、これらの価値の間にどのような妥協を実現するかということも、さらに多くのバリエーションを持つ問題である。しかし、我々はそれを実現していくだろう。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@VitalikButerin
