Доказательство доли владения

Доказательство доли владения, Proof-of-stake (PoS) (от англ. proof of stake, дословно: «подтверждение доли») — метод защиты в криптовалютах, при котором вероятность формирования участником очередного блока в блокчейне пропорциональна доле, которую составляют принадлежащие этому участнику расчётные единицы данной криптовалюты от их общего количества. Данный метод является альтернативой методу подтверждения выполнения работы (PoW), при котором вероятность создания очередного блока выше у обладателя более мощного оборудования.

При использовании этого метода алгоритм формирования блока не зависит от мощности оборудования, но с большей вероятностью блок будет сформирован той учётной записью, у которой текущий баланс больше. Например, участник, владеющий 1 % от суммарного количества, в среднем будет генерировать 1 % новых блоков.

Впервые идея Proof-of-stake была предложена на форуме «Bitcointalk»^[1] в 2011 году. Первая реализация протокола PoS была представлена в 2012 году в криптовалюте PPCoin(в настоящее время PeerCoin)^[2]. На практике часто встречаются смешанные варианты формирования новых блоков. Например, оба метода PoW и PoS используются в криптовалютах EmerCoin, NovaCoin, YaCoin. В криптовалютах PeerCoin и Reddcoin метод PoW используется для первоначального распределения, а PoS — для подтверждения транзакций. В криптоплатформе Nxt и BlackCoin метод PoS используется на всех этапах^[3].

Метод Proof-of-stake был предложен в качестве альтернативы Proof-of-work, чтобы решить проблемы, связанные с последним. При инициализации транзакции в криптосистеме, построенной на PoW, данные помещаются в блок с максимальной емкостью 1 мегабайт, а затем дублируются на нескольких компьютерах или узлах в сети. Далее узлы проверяют законность транзакций в каждом блоке, для чего им нужно решить сложную вычислительную задачу. Первый участник, который решает задачу для каждой транзакции в блоке, получает вознаграждение в виде криптовалюты. После проверки, блок добавляется в прозрачный блокчейн. Для решения этих вычислительных задач требуется большая вычислительная мощность, что приводит к большим тратам электроэнергии. На данном этапе выявляется один из главных недостатков proof-of-work: чтобы оплатить счета за электричество, майнеры выводили свою криптовалюту из системы. Это приводило к понижению цены криптовалюты. Идея PoS заключалается в решении этой проблемы. Вместо вычислительных мощностей участников, имеет значение количество криптовалюты, находящейся у них на счету. Так, вместо использования большого количества электроэнергии для решения задачи PoW, у майнера PoS ограничен процент возможных проверок транзакций, в соответствии с количеством криптовалюты, находящейся у него. Например, майнер, владеющий 3 % доступной криптовалюты в системе, теоретически может генерировать не больше 3 % блоков.^[4]

Одним из вариантов комбинированного применения технологии PoS является «Доказательство важности» (Proof-of-importance, PoI) — алгоритм, использующийся в криптовалюте NEM. На вероятность получить право сформировать блок влияют три компонента:

1. количество единиц криптовалюты на балансе (значимыми для PoI являются балансы более, чем оговоренное число единиц, например, не менее 10 тыс. для NEM);
2. активность аккаунта (число транзакций);
3. время нахождения аккаунта в сети.

С ростом баланса влияние параметров изменяется — с ростом количества единиц криптовалюты на балансе увеличивается влияние 1-го параметра, и снижается влияние 2-го и 3-го параметров (PoI работает почти как PoS). Чем меньше баланс, тем сильнее влияние 2-го и 3-го параметров.

Если суммарный объём эмиссии криптовалюты ограничен, то минимальные требования к 1-му параметру формируют максимальное количество претендентов на создание блока.

• Нет необходимости потреблять большое количество электроэнергии для защиты блокчейна. Например, Bitcoin и Ethereum вместе тратят более 1 миллиона долларов, в пересчете на электроэнергию, в день в рамках своих консенсусных механизмов.
• Из-за отсутствия необходимости потреблять большое количество энергии, снижаются траты участников. Следовательно, нет необходимости повышать количество единиц валюты для мотивации участников.
• Proof-of-stake позволяет использовать алгоритмы теории игр, чтобы эффективно противодействовать централизации^[5].

Аргументы, считающиеся преимуществом метода доказательства доли владения^[6]:

• Для обеспечения двойного расходования (атака Double-spending) требуется сконцентрировать у себя более 50 % от общего количества данной криптовалюты. На практике, даже владение 90 % не даёт гарантии успеха, так как атака будет очень дорого стоить.
• Если у атакующего найдётся много средств, он сам пострадает от атаки, поскольку сам факт большой концентрации нарушит устойчивость криптовалюты.

Аргументы, вызывающие опасения^[7]:

• Доказательство доли владения даёт дополнительную мотивацию к накапливанию средств в одних руках, что может приводить к централизации сети^[8].
• Если образуется небольшая группа, которая сконцентрирует у себя достаточно большие средства, она сможет навязывать свои условия функционирования криптовалюты, с которыми будут несогласны большинство миноритариев, которые не контролируют форжинг.

Peercoin— система, основанная на «чистом» proof-of-stake, в том смысле, что PoW используется только для начального распределения денежной массы.

Участники сети Peercoin имеют возможность создать блок исходя из следующего условия^[9]:

${\displaystyle hash(prevBlocksData,timeInSeconds,txout_{A})\leq d_{0}*coins(txout_{A})*timeweight(txout_{A})}$

${\displaystyle timeInSeconds}$ — текущее время, в данном неравенстве ограничивает попытки хэширования и блокирует создание следующего блока.
${\displaystyle txout_{A}}$ — результат транзакции.
${\displaystyle coins(txout_{A})}$ — количество неизрасходованной криптовалюты транзакции. Если у заинтересованной стороны есть ключ, контролирующий ${\displaystyle txout_{A}}$, то она может сгенерировать блок, используя ключ в качестве подписи. Подпись, в данном случае, будет служить доказательством выполнения условия. Например, участник, владеющий 50 единицами криптовалюты, создаст новый блок с вероятностью в 10 раз большей, чем участник, владеющий 5 единицами.
${\displaystyle timeweight(txout_{A})}$ — время, прошедшее с момента включения в блок результата транзакции ${\displaystyle txout_{A}}$. Вероятность сгенерировать следующий блок, сразу после генерации предыдущего очень мала, но она увеличивается со временем. Это позволяет избежать экспоненциального распределения между выплатами, повышая шансы участников, обладающих небольшим количеством криптовалюты.
${\displaystyle prevBlocksData}$ — данные предыдущего блока.
Участник, владеющий значительной частью всей криптовалюты системы, имеет возможность генерировать значительную часть блоков, так как вероятность генерации блока пропорциональна количеству монет, находящихся у него на счету. Поэтому, время от времени, заинтересованная сторона имеет возможность генерировать цепочки последовательных блоков.

${\displaystyle d_{0}}$ — постоянная, которая корректируется так, что блоки генерируются в среднем каждые 10 минут.

CoA^[10] (chains of activity) частично базируется на основном элементе proof-of-activity, например на лотерее между активными участниками через процедуру follow-the-satoshi (satoshi^[11] — наименьшая единица криптовалюты, например, для биткойна она равна 0.00000001 BTC).

Алгоритм, получающий на вход коэффициент satoshi между нулем и общим числом satoshi в обращении. Далее запрашивает блок, в котором этот satoshi был произведен и отслеживает транзакции, через которые он прошел до тех пор, пока не найдет участника, способного в данный момент потратить его. Например, если у Алисы есть 6 satoshi, а у Боба 2, то вероятность того, что Алиса будет выбрана следующим владельцем какого-либо satoshi в 3 раза выше чем вероятность победы Боба^[12] .

• Количество произведенных единиц криптовалюты k
• Мощность подгруппы${\displaystyle w\geq 1}$
• Мощность группы ${\displaystyle l=k*w}$
• Минимальное время между генерацией блоков ${\displaystyle G_{0}}$
• Минимальная доля владения ${\displaystyle C_{0}}$
• Награда ${\displaystyle C_{1}}$: ${\displaystyle 0\leq C_{1}\leq C_{0}}$

Создание блоков CoA составляет блокчейн, состоящий из групп по ${\displaystyle l}$ последовательных блоков^[13]:

${\displaystyle \underbrace {\square \square ...\square } _{l},\underbrace {\square \square ...\square } _{l},\underbrace {\square \square ...\square } _{l}...}$

Правила протокола chains of activity^[14]:

1. Каждый новый блок генерируется одним участником
2. Каждый новый блок ${\displaystyle B_{i}}$ связан с первым битом ${\displaystyle b_{i}}$ хэша ${\displaystyle hash(B_{i})}$
3. Временной промежуток между двумя блоками ${\displaystyle B_{i}}$ и ${\displaystyle B_{j}}$ должен быть не меньше ${\displaystyle \left|j-i-1\right|*G_{0}}$. Это значит, что, если следующие 4 блока ${\displaystyle B_{i},B_{i+1},B_{i+2},B_{i+3}}$ созданы участниками ${\displaystyle A_{i},A_{i+1},A_{i+2},A_{i+3}}$, то временной промежуток между ${\displaystyle B_{i+3}}$ и ${\displaystyle B_{i}}$ должен быть не меньше ${\displaystyle 2G_{0}}$
4. После того, как группа из ${\displaystyle l}$ блоков ${\displaystyle B_{i},B_{i+1},B_{i+2},B_{i+3}}$ создана, узлы сети формируют ${\displaystyle k}$-битовое начальное состояние (англ. seed) ${\displaystyle S^{B_{il}}=\sum _{j=1}^{l}b_{ij}}$, где ${\displaystyle b_{ij}}$ — входные значения
5. Далее начальное состояние (англ. seed) ${\displaystyle S^{B_{il}}}$ используется для получения последовательности тождеств, использующихся для определения следующих ${\displaystyle l}$ владельцев через алгоритм follow-the-satoshi.
6. Если полученный satoshi ${\displaystyle c<C_{0}}$ не израсходован, то владелец обязан предоставить дополнительную подпись, доказывающую владение хотя бы ${\displaystyle C_{0}-c}$ единицами криптовалюты, иначе участник не сможет сгенерировать новый блок.

Dense-CoA^[15] — альтернативная реализация CoA, в которой участники, генерирующие следующие блоки в цепи, заранее неизвестны. В CoA генерация блока осуществляется одним участником, а в Dense-CoA каждый блок создается группой из ${\displaystyle l}$ участников:

${\displaystyle {\begin{matrix}{\begin{aligned}l{\begin{cases}&\bigcirc \quad \bigcirc \quad \bigcirc \\&\bigcirc \quad \bigcirc \quad \bigcirc \\&\bigcirc \quad \bigcirc \quad \bigcirc \\&\ \vdots \qquad \vdots \qquad \vdots \\&\bigcirc \quad \bigcirc \quad \bigcirc \end{cases}}\\\Downarrow \qquad \ \ \\\square \quad \square \quad \square \quad \end{aligned}}\end{matrix}}}$

Пусть ${\displaystyle h:\{0,1\}^{n}\rightarrow \{0,1\}^{n}}$ — необратимая функция. Пусть блок ${\displaystyle B_{i-1}}$ связан с начальным состоянием (англ. seed) ${\displaystyle S^{B_{i-1}}}$, сформированным группой из ${\displaystyle l}$ участников, генерировавших данный блок. Участник ${\displaystyle A_{l}}$, решающий, какие транзакции войдут в следующий блок ${\displaystyle B_{i}}$, определяется с помощью алгоритма follow-the-satoshi с хэш-функцией ${\displaystyle hash(i,l,S^{B_{i-1}})}$ в качестве входного значения. Оставшиеся участники ${\displaystyle A_{1},A_{2},...,A_{l-1}}$ определяются тем же алгоритмом, но в качестве входного значения используется ${\displaystyle hash(i,l,S^{B_{j-1}})}$, где ${\displaystyle j\in {1,2,...,l-1}}$.
Далее, выбранные ${\displaystyle A_{1},A_{2},...,A_{l-1}}$ принимают участие в процедуре генерации блока ${\displaystyle B_{i}}$, которая состоит из двух этапов:

1. Каждый участник ${\displaystyle A_{j}}$, где ${\displaystyle j\in {1,2,...,l}}$, выбирает случайное секретное значение из ${\displaystyle R_{j}\in \{0,1\}^{n}}$
2. Каждый участник подписывает сообщение ${\displaystyle M{\stackrel {\mathrm {def} }{=}}h(R_{1})\circ h(R_{2})\circ ...\circ h(R_{l})}$ и выкладывает свою подпись ${\displaystyle sign_{S_{kj}}(M)}$ и прообраз ${\displaystyle R_{j}}$ в сеть.

Для криптовалюты, не использующей proof-of-work, существует один простой способ распределения денег между участниками — проведение IPO или аукциона. Однако, в таком случае, подразумевается, что изначально вся валюта контролируется одной стороной, что усложняет процесс децентрализации. Во многих криптосистемах, использующих proof-of-stake эта проблема решается посредством использования PoW для первоначальной генерации криптовалюты, которая будет циркулировать в системе в дальнейшем. Таким образом, первоначальная стоимость единиц криптовалюты определяется стоимостью их производства^[16].

Деньги отправляются на адрес, являющийся хешем случайного числа, с этого адреса их гарантированно нельзя потратить, так как вероятность подобрать ключи к нему стремится к нулю. Взамен майнер получает постоянный шанс найти PoB блок и получить за него награду. Майнинг в данном случае устроен так, что шансы на успех зависят от количества сожженных монет. Проводя аналогии, сжигание- это как невозвратный POS депозит или инвестиции в виртуальное железо для POW майнинга. С экономической точки зрения данный алгоритм лучше подходит для поздних этапов развития криптовалюты, когда уже сгенерирована большая часть денежной массы

Некоторые авторы утверждают, что доказательство PoS не является идеальным вариантом для распределенного консенсусного протокола. Одна из проблем, называемая «ничего на кону», где (в случае консенсусной ошибки) генераторам блоков нечего терять, голосуя за несколько ветвей цепочек, что не позволяет консенсусу когда-либо установиться. Поскольку формирование цепочки требует небольших затрат ресурсов (в отличие от PoW систем), любой может злоупотребить проблемой с попыткой совершить двойную трату средств «бесплатно».

На практике проекты решали эту проблему разными путями:

• Протокол Slasher, предлагаемый Ethereum, позволяет пользователям «наказывать» мошенников, которые работают в конце более, чем одной ветви цепочки^[17]. Такое предполагает, что вы должны дважды подписать создание новой ветви цепочки, и что вы можете быть наказаны, если создадите ответвление без подтверждения доли. Однако протокол Slasher так и не был принят. Разработчики Ethereum пришли к выводу, что доказательства доли в этом случае нетривиальны^[18]. Вместо этого Ethereum был разработан протокол Ethash, использующий PoW^[19][20].
• Peercoin использует подписанные приватным ключом разработчика контрольные точки. Благодаря этому нет возможности переорганизации цепочки блоков ранее последней контрольной точки. В данном случае компромисс заключается в том, что разработчик Peercoin является центральным органом, управляющим цепочкой блоков.
• Протокол Nxt позволяет реорганизовать последние 720 блоков. Тем не менее, это только искажает проблему: клиент может следовать за вилкой из 721 блока, независимо от того, является ли она самой длинной цепочкой, предотвращая консенсус.
• Гибридный алгоритм PoS и PoW протокола Decred. В этом случае используется подтверждение доли, зависимое от метки времени алгоритма PoW, которое предложено назвать «Proof-of-Activity» (Доказательство деятельности), где проблема доказательства решается наличием второго доказательного механизма — PoW^[21].