Vitalik Buterinin varantotodistefilosofian kritiikki

Tuur Demeesterin arvio

God Emperor Vitalik

Tässä artikkelissa esitän arvioni useista Vitalik Buterinin joulukuussa 2016 julkaisemasta artikkelista “A Proof of Stake Design Philosophy”. Toivon, että se herättää keskustelua varantotodisteprotokollan korkean tason suunnittelusta ja Ethereum-protokollan ehdotetusta tulevaisuudesta.

1. “Hyökkäyksen kustannusten tulisi ylittää puolustautumisen kustannukset” on epälooginen

Tämä on keskeinen osa väitettä, jonka mukaan varantotodiste (engl. proof-of-stake, PoS) on “tehokkaampi” kuin työntodiste (engl. proof-of-work, PoW), joten se on syytä analysoida huolellisesti. Vitalik tarkastelee tätä väitettä esittämällä, että kryptografia antaa käyttäjille mahdollisuuden puolustaa dataansa paljon tehokkaammin kuin linnan tai saaren haltija voi puolustaa itseään fyysisessä todellisuudessa. Vaikka on totta, että kryptografia muuttaa varallisuuden ja tietojen suojaamisen keinoja, ja mahdollistaa tasapuolisemmat toimintaedellytykset, tässä verrataan omenoita appelsiineihin. On totta, että keskiaikainen ritari ei kykene murtamaan bitcoin-lompakkoa, mutta tietokonehakkerikaan ei kykene puolustamaan linnaa tehokkaasti. Kryptografiaa käytetään reaalimaailmassa, jossa miljoonien eurojen arvoiset yksityiset avaimet voidaan varastaa muutaman euron hintaisella pyörälukolla.

Lisäksi “hyökkäyksen kustannukset” ja “puolustuksen kustannukset” eivät ole abstrakteja ja kiinteitä vaan pikemminkin suhteellisia ja dynaamisia seikkoja: ne riippuvat hyökkäyksen tai puolustuksen kohteena olevan asian subjektiivisesta arvosta ja asianosaisten toimijoiden vakaumuksesta. Kustannukset ovat suhteellinen ilmiö, ja se saa merkityksensä vasta, kun sitä verrataan menetettyyn hyötyyn, mahdollisuuksiin, jotka toimija on valmis jättämään hyödyntämättä tavoitellakseen tiettyä päämäärää (kaikki kustannukset ovat vaihtoehtoiskustannuksia). Hyökkääjä-puolustaja-tilanteessa kustannukset ovat myös dynaamisia: jos vastassa on hyökkääjä, joka on hyvin sitoutunut ja käytössään valtavat resurssit, mahdolliset puolustautumiskustannukset ovat hyvin korkeat. Tilanne pätee myös päinvastoin: vastassa on sitoutumaton hyökkääjä ja sitoutunut puolustaja, hyökkääjän hyökkäyskustannukset ovat hyvin korkeat.

Puhuessaan työntodisteesta Buterin esittää, että se ei ole yhdenmukainen “kyberpunkkarihengen” kanssa, koska työntodistejärjestelmässä “hyökkäämisen ja puolustautumisen kustannukset ovat 1:1”. Tämä väite on harhaanjohtaja, sillä hän puhuu oikeastaan vain siitä, mitä 51 prosentin hyökkääjä voisi tehdä lohkoketjun viimeisten lohkojen tapauksessa.

Bitcoiniin kohdistuvat hyökkäykset, joissa yritetään peruuttaa yli muutaman päivän vanhoja menneisyyden lohkoja, ovat erittäin kalliita. Kuvitellaan, että henkilö, joka maksoi 10 000 BTC pizzaostoksestaan toukokuussa 2010, on nyt paha roisto (“Pizzajäbä”) ja haluaa peruuttaa tuon liiketoimen. Onnistuakseen hyökkäyksessä hänen olisi jotenkin soluttauduttava ja hallittava 100 prosenttia kaikista Bitcoin-louhintakoneista ja onnistuttava louhimaan yhtäjaksoisesti yli 200 päivän ajan (tai pienemmällä +51 prosentin osuudella paljon kauemmin), jotta hän voisi palauttaa ketjun riittävän pitkälle taaksepäin pätevällä työntodisteella. Bitcoin-verkkoa vastaan suuntautuvan hyökkäyksen kustannuksen 200 päivän ajalta olisivat miljardeja maksavien louhintalaitteiden hankintakustannusten jälkeen kirjoitushetkellä yli 700 miljoonaa dollaria (7,5 TWh hinnalla 10 senttiä/kWh). Kustannuksia, jotka aiheutuvat puolustautumisesta kaikkea muuta kuin Pizzajäbän hyökkäystä vastaan, on vaikea laskea, koska kilpaileville Bitcoin-louhijoille riittää, että he yksinkertaisesti toimivat taloudellisen itsekkäästi ja louhivat bitcoineja omaan lukuunsa — verkon suojaaminen monenlaisilta hyökkäyksiltä on louhinnan sivuseuraus.

Koska tieto, subjektiivinen arvo ja resurssit jakautuvat epätasaisesti yhteiskunnassa (aivan kuten luonnossakin), hyökkääjien ja puolustajien välillä käydään aina kamppailua — riippumatta siitä, mitä turvallisuusmekanismia käytetään. Puhe hyökkäyksen ja puolustuksen samasuhtaisuudesta on mielestäni melko merkityksetöntä.

Palatakseni kryptovaluuttoihin: voidaan yrittää suunnitella siirtotapahtumien selvitysalgoritmeja, jotka eroavat työntodistealgoritmista, mutta lopputuloksena on vain se, että se työ, joka hyökkääjien on tehtävä järjestelmän alistamiseksi, hämärtyy ja sen, kuinka paljon ja minkälaista työtä puolustajien on tehtävä tilikirjan pitämiseksi puhtaana ja täydellisenä, määrittely vaikeutuu. Kuten Paul Sztorc on todennut (ja kuten myös Adam Back on huomauttanut): “Kaikki ehdotetut vaihtoehdot työntodisteelle tulisi nimetä ‘hämärretyksi työntodisteeksi’.’

2. Ei, ihmiset eivät ole “melko hyviä konsensuksessa”.

Vitalik esittää, että 51 prosentin hyökkääjällä, joka kääntäisi siirtotapahtumat sisältävän tilikirjan omaksi edukseen, olisi hyvin vaikea vakuuttaa yhteisö siitä, että hänen ketjunsa olisi pätevä. Ihmiset osoittaisivat tämän epätodeksi ja pääsisivät nopeasti yhteisymmärrykseen todellisesta asiantilasta. Hän jatkaa: “Nämä sosiaaliset näkökohdat suojaavat viime kädessä mitä tahansa lohkoketjua pitkällä aikavälillä”, ja hän mainitsee esimerkkinä Yap-saaren rai-kivirahan.

Ensinnäkään en usko, että Yapin kiviraha on hyvä esimerkki sosiaalisen konsensuksen tehokkuudesta. Meillä ei käytännössä ole mitään tietoa siitä, kuinka paljon petoksia on tehty tai estetty kivirahastandardissa. Lisäksi tiedetään hyvin, että tavoilla, tottumuksilla, rituaaleilla ja sosiaalisella paineella on paljon suurempi merkitys Yap-saaren kaltaisissa heimoyhteisöissä, joten ei ole reilua olettaa, että samanlainen rahan koordinointijärjestelmä voisi toimia menestyksekkäästi yhteiskunnassa yleensä. Ja lopuksi Yapin “sosiaalisen konsensuksen tilikirja” joutui ainakin kahden onnistuneen hyökkäyksen kohteeksi. Ensimmäinen hyökkäys koettiin, kun irlantilais-amerikkalainen merikapteeni David O’Keefe onnistui vuonna 1874 käyttämään suuria määriä halvalla tuotettuja kiviä valuuttana hankkiakseen valtaa ja vaurautta Yapilla. Toinen dokumentoitu hyökkäys Yapin rahoitusjärjestelmää vastaan tapahtui, kun saksalaiset kauppiaat takavarikoivat rai-kivet ja ottivat käyttöön ankaran pääomaliikkeiden valvonnan.

Keskitytään siis Buterinin väitteeseen, jonka mukaan sosiaalinen konsensus suojaa resurssiohjautuvia hyökkäyksiä vastaan. Mielestäni tämä on yksinkertaisesti virheellinen väite. Toimija, jolla on varoja tällaisen operaation toteuttamiseksi, voi kohdistaa hyökkäyksensä harvoihin valittuihin yksilöihin ja tehdä varkauden peruuttamisen ja oikeuden saamisen yhteisölle kalliiksi. Tai hyökkääjä voi strategisesti kohdistaa hyökkäyksensä isoon määrään käyttäjiä ja varmistaa, että käyttäjäkohtaiset vahingot ovat niin pienet, että yksittäisn henkilön kokemat kustannukset hyökkääjältä puolustautumiseksi ovat suuremmat kuin hyökkäyksen aiheuttamat tappiot.

Satu kissankellosta kertoo hiiristä, jotka keskustelevat suunnitelmista, joiden tavoitteena on pysäyttää tuhman kissan kiusanteko. Kellon asettaminen kissan kaulan ympärille vaikuttaa ilmeisen hyvältä ratkaisulta, kunnes yksi hiiristä kysyy, kuka ilmoittautuisi vapaaehtoiseksi… Tarina havainnollistaa, miten “sosiaalinen konsensus” voi teoriassa vaikuttaa helpolta, mutta käytännössä se on usein vaikeaa.

Jopa siinä harvinaisessa tapauksessa, että ihmiset ovat pitkälti samaa mieltä siitä, että jokin asia on ikävää ja epämieluisaa, he ovat usein täysin eri mieltä siitä, miten siihen pitäisi puuttua. Markkinat ovat usein hyviä siinä, että ne antavat ihmisten tavoitella henkilökohtaisia asioitaan vapaaehtoisesti, mutta siinä se. Jos joku ihmisjoukko (tai yksilö) ei pidä jostain asiasta, sen ei tarvitse ottaa osaa. Kryptovaluuttauniversumissa tämä tarkoittaa sitä, että erimielisten joukko voi toteuttaa ehdottoman haarauman ja luoda oman uuden valuutan tai ehdollisen haarauman ja asettaa itselleen aiempaa tiukemmat säännöt.

Liian usein sanaa “konsensus” käytetään retorisena kikkana, jolla hiljennetään eriävät mielipiteet. Esimerkiksi jälleen Buterin väittää kirjoituksessaan, että jos validaattorien yhteenliittymä ottaa varantotodisteketjun haltuunsa, “yhteisö voi yksinkertaisesti koordinoida ehdottoman haarauman ja poistaa sääntöjä noudattamattomien validaattorien talletukset”. Kun otetaan huomioon, että The DAO:n pelastuspaketti hyväksyttiin oletetulla “yhteisön konsensuksella”, vaikka alle kuusi prosenttia liikkeessä olevasta Ether-kryptovaluutasta äänesti asiasta alle kahden viikon kuluessa, vaikuttaa riskialttiilta asettua “vastahankaan ” väärien Ethereum-yhteisön ihmisten kanssa.

Yhteenvetona voidaan todeta, että resurssivetoisissa hyökkäyksissä todellisen yhteisymmärryksen saavuttaminen on lähes mahdotonta. Poliittiset järjestelmät eivät ole pitkällä tai lyhyellä aikavälillä riittävän luotettavia estämään petoksia ja varkauksia. Yhteiskunnallisen skaalautuvuuden tavoittelemiseksi voidaan edesauttaa yksilön vapautta ja vastuullisuutta käyttämällä kryptografian, insinööritieteiden ja taloudellisen oman edun tavoittelun välineitä kestävyyden lähteinä — mutta emme voi luottaa sosiaalisen konsensuksen idealistiseen käsitteeseen.

3. Perusteeton väite, jonka mukaan varantotodiste on työntodistetta kestävämpi

Buterin toteaa seuraavaa: “[H]aluttaessa yksittäisen 51 prosentin hyökkäyksen kustannukset varantotodistetta vastaan voidaan varmasti asettaa yhtä korkeiksi kuin pysyvän [sic] 51-prosenttisen hyökkäyksen kustannukset työntodistetta vastaan, ja pelkkien kustannusten ja hyökkäyksen tehottomuuden pitäisi varmistaa, että sitä ei käytännössä juuri koskaan yritetä.”

Toisin sanoen hän antaa ymmärtää, että turvallisuuden kannalta varantotodiste on huomattavasti työntodistetta kestävämpi.

Pohdi seuraavia seikkoja vertaillessasi työntodistetta ja varantotodistetta:

• Kryptovaluuttojen louhintamallit ovat ratkaisuja luottamusongelmaan järjestelmissä, joissa on tieto on epätäydellistä ja läsnä on tuntemattomia vastapelureita. Työntodistemenetelmää sovellettiin varhaismodernissa rahassa ja luonnossa, jossa niin sanottu haittaperiaate kehittyi evolutiivisesti, jotta eläimet voisivat todistaa välittämänsä signaalin “rehellisyyden” tai luotettavuuden. Tietääkseni varantotodisteella ei ole vastaavia sovelluksia ihmiskunnan historiassa tai biologiassa.
• Työntodisteessa 51 prosentin hyökkääjä voi hidastaa verkkoa merkittävästi, mutta jopa yksittäinen yritys palauttaa historiallisia siirtotapahtumia aiheuttaa valtavia ja pitkäaikaisia kustannuksia. Toisin sanoen tilikirjan historian tuottaminen on äärimmäisen kallista ja sen muuttaminen luultavasti vielä kalliimpaa.
• Toisin kuin työntodisteketjuissa, joissa ei ole +51 prosentin hyökkääjäjoukkoa, on matemaattisesti osoitettu, että varantotodisteeseen perustuvassa lohkoketjussa on mahdotonta määrittää “todellista” siirtotapahtumahistoriaa ilman ylimääräistä luottamuksen lähdettä. Jos luottamuksen lähdettä tarvitaan aina, avautuu mahdollinen Pandora lipas hyökkäys- ja keskittämismahdollisuuksille. Tässä on peruste vitsille siitä, jonka mukaan Ethereum aikoo käyttää “Vitalik-todistetta”.
• Naiivissa varantotodisteympäristössä hyökkääjä voi helposti luoda useita vaihtoehtoisia historioita tilikirjasta, jolloin erilaisten strategioiden kokeilu on edullista. Tämä tunnetaan “ei varantoa pelissä” -ongelmana (engl. nothing at stake problem). Ethereum kuvittelee ratkaisevansa tämän ongelman tuhoamalla pahantahtoisten validaattorien velkatalletuksen. SolidX:n Bob McElrath huomauttaa, että hyökkääjien “taloudellista rankaisemista” koskeva strategia on turha, jos itse rangaistukselta voidaan haarauman kautta välttyä. Toinen kritiikki, jonka BitTorrentin luoja Bram Cohen hiljattain esitti, koskee sitä, miten estetään rehellisiä validaattoreita estetään hairahtumasta toimimaan verkon kanssa tavoin, joka voisi laukaista rangaistuksen, jonka tarkoitus olisi suojella heitä (tämä muistuttaa perusteetonta swattaamista). Vaihtoehtoinen hyökkäysskenaario, jota Galois Capitalin Kevin Zhou ehdotti, on sellainen, jossa hyökkääjä huijaa tarpeeksi rehellisiä ihmisiä verkkoonsa verkkoonsa niin, että näiden rehellisten ihmisten etuna on tukea hyökkäävää ketjua rehellisenä oikeana ketjuna.

Johtopäätökset

Vaikka on hienoa, että Buterin pyrkii muodostamaan kryptovaluuttojen suunnittelua koskevat ehdotuksensa ensimmäisistä periaatteista alkaen, uskon, että hänen kirjoituksessaan on useita puutteita. Hän on väärässä hyökkäys- ja puolustuskustannusten vaihtoehtoisuuksista ja esittää perustettomia väitteitä työ- ja varantotodistepohjaisten järjestelmien turvallisuudesta. Hän ei esitä vakuuttavia loogisia tai historiallisia todisteita sosiaalisen konsensuksen tehokkuudesta. Lisäksi hän esittää, että varantotodiste on kestävämpi, esittämättä todisteita tai perusteluja. Hän ei myöskään tunnusta niitä lukuisia vastaväitteitä, joita huomattavan asiantuntevat ihmiset ovat esittäneet näistä asioista. Buterinin artikkeli ei vakuuta minua siitä, että se olisi toimiva itsenäinen mekanismi julkisten lohkoketjujen turvaamiseksi.

Olen kiitollinen Kevin Zhoun, Afsheen Bigdelin, Lawrence Nahumin, Tommaso Pellizzarin ja Christian Lundkvistin palautteesta. Kaikki virheet ovat omiani.

Tiedoksi: Olen kirjoitushetkellä shorttina ETH ja longina BTC.

Suomennos Tuur Demeesterin (Twitter) kirjoittamasta artikkelista “Critique of Buterin’s ‘A Proof of Stake Design Philosophy’”. Artikkeli on julkaistu alun perin Mediumissa 12.7.2017.

Demeester on sijoittaja ja taloustieteilijä, joka perusti Adamant Capital -sijoituspalveluyrityksen vuonna 2017. Tätä ennen hän kommentoi makrotalouden tapahtumia, perusti yhdessä muiden kanssa belgialaisen Rothbard-instituutin ja julkaisi MacroTrends-uutiskirjettä vuodesta 2011. Hän suositteli bitcoinia valuuttasijoituksena uutiskirjeessään tammikuussa 2012, kun bitcoinin hinta pyöri viiden dollarin hujakoilla.

Demeester tunnetaan kyvystään yhdistää taloustiedettä ja historiallisia näkökohtia. Hän on julkaissut muun muassa paljon huomiota herättäneen tutkimuksensa Bitcoin-reformaatiosta.

Kirjoituksen on suomentanut Thomas Brand (Twitter).