Slashing In PoS : des sanctions sévères pour la fraude des mauvais acteurs

31 janvier 2023 - Autour 16 min minutes pour lire

Parmi les mécanismes conçus pour les protocoles Proof of Stake (PoS), aucun n’est aussi controversé que le slashing. Le slashing offre un moyen de pénaliser financièrement tout nœud spécifique qui n'agit pas de manière ciblée et cohérente avec le protocole. Pour ce faire, il supprime une partie ou la totalité de la participation du validateur sans imposer d'externalités aux autres nœuds se comportant conformément au protocole.

Slashing In PoS : des sanctions sévères pour la fraude des mauvais acteurs

Le slashing est unique aux protocoles PoS car il nécessite que la blockchain soit capable d'appliquer des sanctions. Ce type d'application n'est évidemment pas réalisable dans un Preuve de travail (PoW) système, ce qui revient à graver le matériel minier utilisé par les nœuds qui se comportent mal. Cette capacité à appliquer des incitations punitives ouvre un nouvel espace de conception dans la conception des mécanismes de blockchain et mérite donc un examen attentif.

Bien qu'il confère des avantages évidents sous la forme de "karma," la principale objection au slashing est que le nœud peut être excessivement slashé en raison d'erreurs involontaires telles que l'exécution d'un logiciel obsolète. En conséquence, de nombreux protocoles évitent le slash et s'appuient plutôt sur ce que l'on appelle la toxicité du jeton (c'est-à-dire que si le protocole est attaqué avec succès, le jeton sous-jacent perd de la valeur).

Beaucoup pensent que les acteurs considéreront cette toxicité comme une menace compromettant la sécurité du protocole. Dans notre évaluation, la toxicité symbolique n’est pas suffisante pour empêcher les attaques adverses dans certains scénarios typiques. En fait, dans ce cas, le coût encouru par l’adversaire pour attaquer et enfreindre le protocole (appelé coût du pot-de-vin) est pratiquement nul.

Dans cet article, nous montrons comment le slashing peut être intégré dans la conception mécanique des protocoles PoS, augmentant ainsi considérablement le coût de la corruption que tout adversaire peut encourir. En présence de corruption, la réduction garantit des coûts de corruption élevés et mesurables pour les protocoles décentralisés ainsi que pour les protocoles qui ne satisfont pas aux hypothèses de toxicité symbolique (centralisées ou décentralisées).

Les circonstances susceptibles de conduire à la corruption et à l’absence de toxicité symbolique sont omniprésentes. De nombreux protocoles PoS évitent de tomber dans l'une ou l'autre de ces deux catégories en ayant une communauté soudée, ce qui n'est réalisable que lorsqu'ils sont petits : (1) en s'appuyant sur un leadership fort pour les orienter dans la bonne direction, en déléguant la validation à un petit ensemble d'opérateurs de nœuds bien connus et légalement réglementés ; (2) ou en s'appuyant sur le jalonnement centralisé des jetons au sein d'un petit groupe. Aucune de ces solutions n’est entièrement satisfaisante pour les communautés de validateurs vastes et décentralisées en pleine croissance. Si le protocole PoS est caractérisé par seulement quelques validateurs (ou, dans les cas extrêmes, un seul validateur), alors il serait bien d'avoir un moyen de pénaliser ces grands validateurs pour s'être livrés à un comportement contradictoire.

Dans la suite de cet article, nous :

Proposer un modèle pour analyser les attaques de corruption complexes ;
Montre que les protocoles PoS sans mécanisme de slashing sont vulnérables aux attaques de corruption ;
Montrer que le protocole PoS avec mécanisme de slashing offre une sécurité quantifiable contre les attaques de corruption ;
En plus de discuter de certains des inconvénients des réductions et de suggérer des mesures d’atténuation.

Modèle

Avant d’introduire le cas de confiscation, nous avons d’abord besoin d’un modèle sur lequel nous mènerons notre analyse. Les deux modèles les plus populaires analysant actuellement les protocoles PoS (modèles byzantins et modèles d’équilibre de la théorie des jeux) ne parviennent pas à capturer certaines des attaques les plus dommageables du monde réel pour lesquelles le slashing agit comme un puissant moyen de dissuasion. Dans cette section, nous discutons de ces modèles existants pour comprendre leurs lacunes et proposons un troisième modèle (que nous appelons le modèle d'analyse de la corruption). Bien que le modèle d’analyse de corruption soit capable de simuler un grand nombre d’attaques, il n’a pas été utilisé pour analyser de nombreux protocoles.

Modèle existant

Dans cette section, nous décrivons brièvement les modèles d’équilibre byzantins et de la théorie des jeux ainsi que leurs lacunes.

Modèle byzantin

Le modèle byzantin stipule qu'au plus un certain pourcentage (????) de nœuds peuvent s'écarter de l'action prescrite par le protocole et effectuer n'importe quelle action de leur choix, tandis que le reste des nœuds respecte toujours le protocole. Prouver qu’un protocole PoS particulier résiste aux actions byzantines que les nœuds adverses peuvent entreprendre est un problème non trivial.

Par exemple, considérons le protocole de consensus PoS à chaîne la plus longue, où la vivacité prime sur la sécurité. Les premières recherches sur la sécurité du consensus de la plus longue chaîne se sont concentrées sur la démonstration de la sécurité contre une attaque spécifique (c'est-à-dire une attaque privée à double dépense, dans laquelle tous les nœuds byzantins s'entendent secrètement pour construire une chaîne alternative puis la rendre publique).

Cependant, le phénomène sans enjeu présente l’opportunité de proposer de nombreux blocs avec le même enjeu et d’utiliser le caractère aléatoire indépendant pour augmenter la probabilité de construire des chaînes privées plus longues. Des recherches approfondies n’ont été menées que bien plus tard pour montrer que certaines structures du protocole de consensus PoS à chaîne la plus longue sont résistantes à toutes les attaques pour certaines valeurs de ????.

Une classe entière de byzantin Tolérant aux pannes (BFT) des protocoles consensuels qui privilégient la sécurité plutôt que la vivacité. Ils doivent également adopter un modèle byzantin pour prouver que, pour une limite supérieure de ????, ces protocoles sont déterministement sécurisés contre toute attaque.

Aussi utile que soit le modèle byzantin, il ne prend en compte aucune incitation économique. D'un point de vue comportemental, le ???? une partie de ces nœuds est entièrement de nature contradictoire, tandis que la partie (1-????) des nœuds est entièrement conforme à la spécification du protocole.

En revanche, une grande proportion de nœuds dans un protocole PoS peuvent être motivés par un gain économique et exécuter une version modifiée du protocole qui profite à leurs propres intérêts plutôt que de simplement adhérer à la spécification complète du protocole. Pour donner un exemple frappant, considérons le cas du protocole Ethereum PoS. Aujourd'hui, la plupart des nœuds n'exécutent pas le protocole PoS par défaut mais exécutent le protocole modifié MEV-Boost. En effet, la participation au marché des enchères MEV générera des récompenses supplémentaires lors de l'exécution. Le protocole canonique exact n'a pas ce bonus supplémentaire.

Modèle d'équilibre de la théorie des jeux

Les modèles d’équilibre de la théorie des jeux tentent de remédier aux lacunes du byzantin modèle en utilisant des concepts de solution tels que l'équilibre de Nash pour étudier si les nœuds rationnels ont une incitation économique à suivre une stratégie donnée lorsque tous les autres nœuds suivent également la même stratégie. Plus précisément, en supposant que tout le monde est rationnel, le modèle étudie deux questions :

Si tous les autres nœuds suivent la politique mandatée par le protocole, est-il dans mon intérêt économique d’appliquer la même politique mandatée par le protocole ?
Si tous les autres nœuds appliquent la même politique consistant à s'écarter du protocole, est-il plus incité pour moi de continuer à suivre la politique ?

Idéalement, le protocole devrait être conçu de manière à ce que la réponse aux deux questions soit « oui ».

Un défaut inhérent au modèle d’équilibre de la théorie des jeux est qu’il exclut les scénarios dans lesquels des agents exogènes peuvent affecter le comportement des nœuds. Par exemple, des agents externes peuvent proposer des pots-de-vin pour inciter les nœuds rationnels à se comporter conformément à leurs politiques déclarées. Une autre limite est qu’il suppose que chaque nœud dispose d’une agence indépendante qui peut décider elle-même de la stratégie à adopter en fonction de son idéologie ou de ses incitations économiques. Mais cela ne couvre pas les scénarios dans lesquels un groupe de nœuds s'entendent pour former un cartel ou dans lesquels les économies d'échelle encouragent la création d'une entité centralisée qui contrôle essentiellement tous les nœuds de jalonnement.

Séparer les coûts de la corruption des bénéfices de la corruption

Certains chercheurs ont proposé un modèle d’analyse de la corruption pour analyser la sécurité de tout protocole PoS, bien que personne ne l’ait utilisé pour une analyse plus approfondie. Le modèle commence par poser deux questions : (1) Quel est le coût minimum requis pour qu'un adversaire réussisse à mener une attaque de sécurité ou d'activité contre le protocole ? (2) Quel est le profit maximum qu'un adversaire peut tirer de l'exécution réussie d'une attaque de sécurité ou d'activité du protocole ?

Et l’adversaire en question pourrait être :

Les nœuds qui s'écartent unilatéralement de la politique stipulée dans l'accord ;
Un groupe de nœuds coopérant activement les uns avec les autres pour rompre le protocole, ou
Les adversaires externes tentent d’influencer les décisions de nombreux nœuds par le biais d’actions externes telles que la corruption.
Le calcul des coûts impliqués prend en compte tous les coûts engagés pour la corruption, les sanctions financières pour l'application d'une stratégie byzantine, etc. De même, le calcul du profit est global, y compris les récompenses dans le protocole résultant d'attaques réussies sur le protocole, toute valeur capturée à partir des DApps. assis au dessus de
Les protocoles PoS, la détention de produits dérivés liés aux protocoles sur les marchés secondaires, profitent de la volatilité entrante, etc.

La comparaison de la limite inférieure du coût minimum pour tout adversaire pour lancer une attaque (coût de pot-de-vin) avec la limite supérieure du profit maximum que l'adversaire peut tirer (bénéfice de pot-de-vin) montre que le protocole d'attaque est économiquement rentable (remarque : le modèle a été utilisé pour analyser Augur et Kleros), ce qui nous donne une équation simple :

Bénéfice des pots-de-vin – Coût des pots-de-vin = Bénéfice total

Si le profit total est positif, alors l’adversaire est incité à attaquer. Dans la section suivante, nous examinons comment les réductions peuvent augmenter le coût des pots-de-vin et réduire ou éliminer les bénéfices totaux. (Notez qu'un exemple simple de plafonnement des profits de la corruption est la valeur totale des actifs garantis par un protocole PoS. Des limites plus complexes peuvent être établies, en tenant compte des disjoncteurs qui limitent les transferts d'actifs dans le temps. Détails des méthodes de réduction et de plafonnement les recherches sur les profits liés à la corruption dépassent le cadre de cet article.)

Slashing

Slashing est un moyen pour un protocole PoS de punir économiquement un nœud ou un groupe de nœuds pour la mise en œuvre d'une stratégie dont la différence est prouvée par rapport à une spécification de protocole donnée. Généralement, pour mettre en œuvre toute forme de slashing, chaque nœud doit avoir préalablement engagé un certain montant de participation en garantie. Avant de plonger dans le slashing, nous examinerons d'abord les systèmes PoS avec des jetons natifs qui reposent sur la toxicité des jetons comme alternative au slashing.

Nous nous concentrons principalement sur l’étude des mécanismes de réduction des violations de sécurité, et non des violations de vivacité. Nous proposons cette limitation pour deux raisons : (1) les violations de sécurité sont entièrement attribuables à certains protocoles PoS basés sur BFT, mais les violations d'activité ne sont imputables à aucun protocole, et (2) les violations de sécurité sont généralement plus graves que les violations d'activité. dans une perte de fonds de l'utilisateur, et non dans l'incapacité de l'utilisateur à valider des transactions.

Y a-t-il un problème s’il n’y a pas de pénalité ?

Considérons un protocole PoS composé de N nœuds rationnels (pas byzantin ou nœuds altruistes). Supposons, pour simplifier les calculs, que chaque nœud dépose un montant égal de mise. Nous explorons d’abord comment une toxicité symbolique ne justifie pas des coûts de corruption élevés. Par souci de cohérence tout au long du document, nous supposons également que le protocole PoS utilisé est un protocole BFT avec un ⅓ du seuil de l'adversaire.

La toxicité symbolique ne suffit pas

Une opinion commune est que la toxicité des jetons protège les protocoles de jalonnement de toute attaque contre leur sécurité. La toxicité des jetons implique le fait que si le protocole est attaqué avec succès, les jetons sous-jacents utilisés pour participer au protocole perdront de la valeur, empêchant ainsi les nœuds participants d'attaquer le protocole. Considérons le scénario où 1/3 des acteurs s'associent : ces nœuds peuvent coopérer pour briser la sécurité du protocole. Mais la question est de savoir si cela peut être fait en toute impunité ?

Si la valorisation totale des tokens mis en jeu dépend strictement de la sécurité du protocole, alors toute attaque contre la sécurité du protocole pourrait réduire sa valorisation totale à zéro. Bien sûr, dans la pratique, il ne tombe pas directement à zéro mais à une valeur plus petite. Mais afin de montrer le cas le plus fort possible de toxicité symbolique, nous supposerons ici que la toxicité symbolique fonctionne parfaitement. Le coût de corruption de toute attaque contre le protocole réside dans les jetons détenus par les nœuds rationnels attaquant le système, et ils doivent être prêts à perdre toute cette valeur.

Nous analysons maintenant sans les réduire les incitations à la collusion et à la corruption dans les systèmes PoS toxiques pour les jetons. Supposons que l’opposant externe fixe les conditions de corruption comme suit :

Si le nœud suit la stratégie indiquée par l'adversaire, mais que l'attaque du protocole échoue, le nœud reçoit une récompense B1 de la part de l'adversaire.
Si le nœud suit la stratégie indiquée par l'adversaire et que l'attaque du protocole réussit, le nœud reçoit une récompense B2 de la part de l'adversaire.

Pour les nœuds déposant la mise S, nous pouvons obtenir la matrice de revenus suivante, et R est la récompense pour la participation au protocole PoS :

Supposons que l’adversaire fixe le montant de la corruption à B1>R ainsi que . B2>0. Dans ce cas, quelle que soit la stratégie adoptée par les autres nœuds (la stratégie dominante), les récompenses liées à l’acceptation d’un pot-de-vin d’un adversaire sont plus élevées que toute autre stratégie que le nœud peut adopter. Si 1/3 des autres nœuds finissent par accepter le pot-de-vin, ils peuvent attaquer la sécurité du protocole (c'est parce que nous supposons que nous utilisons un protocole BFT avec un seuil d'adversaire de ⅓). Désormais, même si le nœud actuel n'accepte pas le pot-de-vin, le jeton perd de toute façon sa valeur en raison de la toxicité du jeton (cellule en haut à droite de la matrice).

Par conséquent, il est incitatif pour les nœuds d’accepter des pots-de-vin B2. Si seul un petit pourcentage de nœuds accepte le pot-de-vin, le jeton ne perd pas de valeur, mais les nœuds bénéficient du renoncement à la récompense R et de l'obtention de B1 à la place (colonne de gauche de la matrice). Si 1/3 des nœuds acceptent le pot-de-vin et que l’attaque réussit, le coût total pour l’adversaire de payer le pot-de-vin est d’au moins. ????/3 × B2, qui correspond au coût du pot-de-vin. Cependant, la seule condition pour B2 est qu’elle soit supérieure à zéro. Par conséquent, B2 peut être fixé à près de zéro, ce qui signifie que le coût de la corruption est négligeable. Cette attaque s'appelle une attaque « P+ε ».

Une façon de résumer cet effet est que la toxicité symbolique n’est pas suffisante car l’impact d’un mauvais comportement est social : la toxicité symbolique dévalorise complètement la valeur du jeton, affectant de la même manière les bons et les mauvais nœuds. D’un autre côté, les bénéfices liés aux pots-de-vin sont privatisés et limités aux nœuds rationnels qui acceptent réellement des pots-de-vin. Il n’y a pas de conséquences individuelles pour ceux qui acceptent des pots-de-vin ; c'est-à-dire qu'il n'existe pas de version fonctionnelle du « karma » dans ce système.

La toxicité symbolique fonctionne-t-elle toujours ?

Une autre affirmation trompeuse et populaire dans l’écosystème est que chaque protocole PoS bénéficie d’un certain degré de protection grâce à la toxicité symbolique. Mais en fait, les incitations exogènes de la toxicité des jetons ne s’étendent pas à certaines classes de protocoles où la valorisation des jetons utilisés comme valeur nominale gagée ne dépend pas du fonctionnement sûr du protocole.

Un tel exemple est un protocole de re-jalonnement comme Couche propre, où l'ETH utilisé par le Ethereum Le protocole est réutilisé pour sécuriser l’économie d’autres protocoles. Envisagez de reprendre 10% de votre ETH avec Couche propre pour effectuer la validation de la nouvelle sidechain. Même si tous les acteurs d’EigenLayer coopèrent pour se comporter mal en attaquant la sécurité de la sidechain, il est peu probable que le prix de l’ETH baisse. Par conséquent, la toxicité symbolique n’est pas transférable aux services de re-staking, ce qui signifie que les coûts de corruption sont nuls.

Pièges et atténuations des réductions

Comme toute technologie, le slashing comporte ses propres risques s’il n’est pas mis en œuvre avec soin :

La configuration client est erronée/la clé est perdue. L'un des pièges du slashing est que des nœuds innocents peuvent être punis de manière disproportionnée pour des erreurs involontaires telles que des clés mal configurées ou perdues. Pour répondre aux préoccupations concernant la réduction excessive des nœuds honnêtes en raison d'erreurs involontaires, le protocole pourrait adopter certaines courbes de réduction qui sont moins pénalisées lorsque seul un petit montant de promesses est effectué. Des sanctions sévères seront imposées lorsque les capitaux propres promis exécutés sur la plateforme dépassent le ratio seuil. . Par exemple, Ethereum 2.0 adopte cette approche.
La menace crédible des réductions budgétaires comme alternative légère. Si un protocole PoS n'implémente pas de slashing algorithmique, il peut s'appuyer sur la menace de slashing social, c'est-à-dire qu'en cas de défaillance de la sécurité, les nœuds accepteront de pointer vers un hard fork où les nœuds qui se comportent mal perdent leurs fonds. Cela nécessite une coordination sociale importante par rapport à la réduction algorithmique, mais tant que la menace de réduction sociale est crédible, l’analyse de la théorie des jeux présentée ci-dessus continue de s’appliquer aux protocoles sans réduction algorithmique, mais s’appuie plutôt sur une réduction sociale des engagements.
Les réductions sociales pour les échecs de la vie sont fragiles. Le slashing social est nécessaire pour punir les attaques non imputables, telles que les échecs de vivacité comme la censure. S’il est théoriquement possible d’imposer des réductions sociales pour des échecs non imputables, il est difficile pour les nouveaux nœuds de vérifier si ces réductions sociales se produisent pour les bonnes raisons (censure) ou parce que le nœud a été accusé à tort. Cette ambiguïté n’existe pas lors de l’utilisation du social slashing pour des échecs imputables, même sans implémentation logicielle réduite. Les nœuds nouvellement rejoints peuvent continuer à vérifier que cette coupure est légitime car ils peuvent vérifier leurs doubles signatures, même si ce n'est que manuellement.

Qu’en est-il des fonds confisqués ?

Il existe deux manières possibles de gérer les fonds confisqués : la destruction et l’assurance.

Destruction: La manière la plus simple de gérer les fonds confisqués consiste simplement à les détruire. En supposant que la valeur totale des jetons n'a pas changé en raison de l'attaque, chaque jeton augmentera proportionnellement en valeur et aura plus de valeur qu'auparavant. Au lieu d’identifier et d’indemniser uniquement les parties lésées par une faille de sécurité, le brûlage bénéficierait sans discernement à tous les détenteurs de jetons non attaquants.
Assurance: Un mécanisme d'allocation de fonds de confiscation plus complexe qui n'a pas été étudié implique des cautions d'assurance émises contre les confiscations. Les clients effectuant des transactions sur la blockchain peuvent obtenir à l'avance ces cautionnements d'assurance dans la blockchain pour se protéger contre d'éventuelles attaques de sécurité, assurant ainsi leurs actifs numériques. En cas d'attaque compromettant la sécurité, la réduction algorithmique des jalonneurs génère un fonds qui peut ensuite être distribué aux assureurs au prorata de l'obligation.

Le statu quo de la confiscation dans l’écologie

À notre connaissance, Vitalik a exploré pour la première fois les avantages des réductions dans cet article de 2014. L'écosystème Cosmos a construit la première implémentation efficace du slashing dans son protocole de consensus BFT, qui applique le slashing lorsque les validateurs ne participent pas à la proposition de blocs ou ne signent pas deux blocs ambigus.

Ethereum 2.0 inclut également un mécanisme de slashing dans son protocole PoS et des validateurs dans Ethereum 2.0 peut être puni pour avoir fait des preuves ambiguës ou proposé des blocs ambigus. Réduire les validateurs qui se comportent mal est la voie à suivre Ethereum 2.0 atteint une finalité économique. Un validateur peut également être relativement légèrement pénalisé pour des preuves manquantes, ou s'il ne propose pas de blocs alors qu'il le devrait.

Les protocoles PoS sans mécanisme de slashing sont extrêmement vulnérables aux attaques de corruption. Nous utilisons un nouveau modèle (modèle d'analyse de la corruption) pour analyser les attaques de corruption complexes, puis nous l'utilisons pour montrer que les protocoles PoS dotés de mécanismes de slashing offrent une sécurité anti-corruption quantifiable. Bien qu'il existe des défauts dans l'intégration du slashing dans les protocoles PoS, nous proposons quelques moyens possibles d'atténuer ces défauts. Nous espérons que les protocoles PoS utiliseront cette analyse pour évaluer les avantages de la réduction dans certaines situations – améliorant potentiellement la sécurité de l’ensemble de l’écosystème.

Avertissement: Les informations sur ce site Web sont fournies à titre de commentaire général du marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d'investir.

Rejoignez-nous pour suivre l'actualité : https://linktr.ee/coincu

Harold

Coincu Actualité

Connaissance

Slashing In PoS : des sanctions sévères pour la fraude des mauvais acteurs

Parmi les mécanismes conçus pour les protocoles Proof of Stake (PoS), aucun n’est aussi controversé que le slashing. Le slashing offre un moyen de pénaliser financièrement tout nœud spécifique qui n'agit pas de manière ciblée et cohérente avec le protocole. Pour ce faire, il supprime une partie ou la totalité de la participation du validateur sans imposer d'externalités aux autres nœuds se comportant conformément au protocole.

Dans la suite de cet article, nous :

Proposer un modèle pour analyser les attaques de corruption complexes ;
Montre que les protocoles PoS sans mécanisme de slashing sont vulnérables aux attaques de corruption ;
Montrer que le protocole PoS avec mécanisme de slashing offre une sécurité quantifiable contre les attaques de corruption ;
En plus de discuter de certains des inconvénients des réductions et de suggérer des mesures d’atténuation.