Analiza perspektyw technologicznej aktualizacji protokołu Ethereum (1): The Merge

W tym artykule zostanie omówiona pierwsza część mapy drogowej (The Merge), przeanalizowane zostaną możliwe ulepszenia techniczne mechanizmu PoS oraz sposoby ich wdrożenia.

Autor: Ebunker

Od października tego roku współzałożyciel Ethereum, Vitalik Buterin, opublikował serię artykułów dotyczących potencjalnych kierunków rozwoju protokołu Ethereum, obejmujących sześć etapów mapy drogowej: The Merge, The Surge, The Scourge, The Verge, The Purge oraz The Splurge. W tym artykule zostanie omówiona pierwsza część mapy drogowej (The Merge), przeanalizowane zostaną możliwe ulepszenia techniczne mechanizmu PoS oraz sposoby ich wdrożenia.

Vitalik uważa, że „Merge” odnosi się do najważniejszego wydarzenia w historii protokołu Ethereum od czasu jego powstania: przejścia z PoW na PoS. Obecnie Ethereum jako stabilny system PoS działa już prawie dwa lata, a ten mechanizm dowodu stawki wykazuje się znakomitą stabilnością, wydajnością i odpornością na ryzyko centralizacji. Jednakże, istnieją nadal istotne obszary, w których PoS wymaga ulepszeń.

Mapa drogowa Ethereum na 2023 rok dzieli ją na kilka części: ulepszenia techniczne (takie jak stabilność, wydajność i dostępność dla mniejszych walidatorów) oraz zmiany ekonomiczne mające na celu przeciwdziałanie ryzyku centralizacji. Według Vitalika, niniejszy artykuł nie stanowi wyczerpującej listy ulepszeń PoS, lecz raczej prezentuje pomysły, które są obecnie aktywnie rozważane.

Główne cele The Merge to:

1. Jedno-slotowa finalność (SSF): Obecnie bloki Ethereum potrzebują około 15 minut, aby zostać ostatecznie potwierdzone. Jednak poprzez poprawę wydajności mechanizmu konsensusu Ethereum można znacznie skrócić czas finalizacji. Bloki mogą być proponowane i finalizowane w tym samym slocie, bez konieczności oczekiwania 15 minut.

2. Potwierdzanie i finalizacja transakcji z maksymalną szybkością, przy zachowaniu decentralizacji

3. Zwiększenie dostępności stakingu dla indywidualnych stakerów

4. Zwiększenie odporności

5. Zwiększenie odporności i zdolności do odzyskiwania Ethereum po ataku 51% (w tym odwrócenie finalności, blokowanie finalności i cenzura)

Jedno-slotowa finalność i demokratyzacja stakingu

Obecnie ukończenie bloku wymaga 2–3 epok (około 15 minut), a aby zostać walidatorem, potrzeba 32 ETH. Początkowo był to kompromis mający na celu zrównoważenie trzech celów:

• Maksymalizacja liczby walidatorów uczestniczących w stakingu (minimalizacja wymaganego ETH do stakingu);
• Minimalizacja czasu finalności;
• Minimalizacja kosztów operacyjnych węzłów.

Te trzy cele są ze sobą sprzeczne: aby osiągnąć ekonomiczną finalność (czyli aby atakujący musiał zniszczyć dużą ilość ETH, by odwrócić finalizację bloku), każdy walidator musi podpisać dwie wiadomości przy każdej finalizacji. Jeśli walidatorów jest bardzo wielu, potrzeba albo dużo czasu na przetworzenie wszystkich podpisów, albo bardzo wydajnych węzłów, które zrobią to jednocześnie.

Wszystko to zależy od kluczowego celu Ethereum: zapewnienia, że nawet udany atak będzie bardzo kosztowny dla atakującego. To właśnie oznacza termin „ekonomiczna finalność”.

Istnieją też przykłady odwrotne – blockchainy nieposiadające „ekonomicznej finalności” (np. Algorand) rozwiązują ten problem poprzez losowy wybór komitetu do finalizacji każdego slotu. Problem tej metody polega na tym, że jeśli atakujący kontroluje 51% walidatorów, koszt ataku jest bardzo niski: tylko część węzłów w komitecie zostanie wykryta i ukarana za udział w ataku. Oznacza to, że atakujący może wielokrotnie atakować ten łańcuch.

Zatem jeśli Ethereum chce osiągnąć ekonomiczną finalność, prosta metoda oparta na komitetach nie wystarczy – potrzebny jest udział wszystkich walidatorów.

Idealnie, Ethereum chciałoby poprawić obecny stan rzeczy w dwóch aspektach, zachowując ekonomiczną finalność:

1. Finalizować blok w jednym slocie (najlepiej zachowując lub nawet skracając obecne 12 sekund), zamiast 15 minut

2. Pozwolić walidatorom stakować już od 1 ETH (obniżenie z 32 ETH do 1 ETH)

Pierwszy punkt zapewnia, że wszyscy użytkownicy Ethereum mogą korzystać z wyższego poziomu bezpieczeństwa zapewnianego przez mechanizm finalności. Obecnie większość użytkowników nie korzysta z tej ochrony, ponieważ nie chce czekać 15 minut; dzięki jedno-slotowej finalności użytkownicy mogą zobaczyć finalizację transakcji niemal natychmiast po jej potwierdzeniu. Po drugie, jeśli użytkownicy i aplikacje nie muszą martwić się o możliwość cofnięcia łańcucha, upraszcza to protokół i otaczającą go infrastrukturę.

Drugi punkt ma na celu wsparcie indywidualnych stakerów. Według licznych ankiet, główną przeszkodą dla indywidualnego stakingu jest minimalny próg 32 ETH. Obniżenie go do 1 ETH rozwiąże ten problem.

Obecnie istnieje wyzwanie: szybsza finalność i bardziej demokratyczny staking są sprzeczne z celem minimalizacji kosztów. W rzeczywistości to właśnie dlatego Ethereum początkowo nie wdrożyło jedno-slotowej finalności. Jednak najnowsze badania sugerują kilka możliwych rozwiązań tego problemu.

Jak to działa:

Jedno-slotowa finalność polega na użyciu algorytmu konsensusu, który finalizuje blok w jednym slocie. Samo to nie jest trudne do osiągnięcia – wiele algorytmów (np. konsensus Tendermint) już to realizuje.

Unikalną cechą Ethereum jest tzw. inactivity leaks: nawet jeśli ponad 1/3 walidatorów jest offline, łańcuch może nadal działać i ostatecznie się zregenerować.

Propozycje jedno-slotowej finalności

Istnieje kilka wiodących rozwiązań dotyczących tego, jak umożliwić jedno-slotową finalność przy bardzo dużej liczbie walidatorów, bez generowania ogromnych kosztów operacyjnych dla operatorów węzłów:

Pierwsza opcja to brute force, czyli opracowanie lepszego protokołu agregacji podpisów, być może z użyciem ZK-SNARKs, co umożliwiłoby obsługę podpisów milionów walidatorów w jednym slocie. Przykładem jest propozycja Horn, mająca na celu zaprojektowanie lepszego protokołu agregacji.

Druga opcja to Orbit Committee – nowy mechanizm, który pozwala losowo wybranym średniej wielkości komitetom odpowiadać za finalność łańcucha, przy zachowaniu wysokiego kosztu ataku. Orbit wykorzystuje istniejącą heterogeniczność depozytów walidatorów, by uzyskać jak największą ekonomiczną finalność, jednocześnie dając małym walidatorom odpowiednie role.

Jak pokazano na poniższym wykresie, pomiędzy x=0 (komitet Algorand, brak ekonomicznej finalności) a x=1 (obecny stan Ethereum) – Orbit SSF otwiera przestrzeń pośrednią:

1. Koszt złych działań pozostaje bardzo wysoki, co zapewnia ekstremalne bezpieczeństwo;

2. Jednocześnie w każdym slocie bierze udział tylko średniej wielkości losowa próbka walidatorów, co odciąża węzły.

Trzecia opcja to dwuwarstwowy staking – mechanizm z dwiema kategoriami stakerów: jedna z wyższym wymaganym depozytem, druga z niższym. Tylko warstwa z wyższym depozytem bierze bezpośredni udział w zapewnianiu ekonomicznej finalności. Jeśli chodzi o prawa i obowiązki warstwy z niższym depozytem, istnieje kilka propozycji, w tym:

• Prawo do delegowania stake’u wyższym stakerom;
• Losowy wybór niskiego stakera do potwierdzania i finalizowania każdego bloku;
• Prawo do generowania listy włączeń itd.

Każde z tych rozwiązań ma swoje zalety i wady oraz wymaga kompromisów pod względem bezpieczeństwa Ethereum i stopnia centralizacji stakingu: brute force może rozwiązać problem, ale wymaga agregacji ogromnej liczby podpisów w bardzo krótkim czasie, co jest technicznie niezwykle trudne; Orbit Committee wymaga formalnej weryfikacji bezpieczeństwa i wdrożenia; mechanizm dwuwarstwowy niesie ryzyko centralizacji, które w dużej mierze zależy od praw przyznanych warstwie niskiego stakingu.

Oprócz jedno-slotowej finalności, pojedynczy tajny wybór lidera jest kolejnym ważnym zagadnieniem w systemie PoS Ethereum. Obecnie można z wyprzedzeniem ustalić, który walidator zaproponuje kolejny blok, co stanowi lukę bezpieczeństwa: atakujący może monitorować sieć, ustalić, które adresy IP odpowiadają którym walidatorom i przeprowadzić atak DoS, gdy walidator ma zaproponować blok.

Najlepszym sposobem rozwiązania tego problemu jest ukrycie informacji o tym, który walidator wygeneruje następny blok – przynajmniej do momentu jego faktycznego wygenerowania.

Pojedynczy tajny wybór lidera

Obecnie można z wyprzedzeniem ustalić, który walidator zaproponuje kolejny blok, co stanowi lukę bezpieczeństwa: atakujący może monitorować sieć, ustalić, które adresy IP odpowiadają którym walidatorom i przeprowadzić atak DoS, gdy walidator ma zaproponować blok.

Protokół pojedynczego tajnego wyboru lidera wykorzystuje techniki kryptograficzne do tworzenia „ślepych” identyfikatorów walidatorów, a następnie pozwala wielu proponującym na przetasowanie i ponowne „zaślepienie” puli tych identyfikatorów, rozwiązując w ten sposób problem.

Jednak wdrożenie wystarczająco prostego protokołu pojedynczego tajnego wyboru lidera nie jest łatwe.

Prostota protokołu Ethereum jest kluczowa – nie chcemy dalej zwiększać jego złożoności. Uproszczony SSLE z użyciem podpisów pierścieniowych (Simplified SSLE using ring signatures) wymaga jedynie kilkuset linii kodu specyfikacji, ale wprowadza nowe założenia kryptograficzne.

Opracowanie wystarczająco skutecznego, odpornego na kwantowe ataki SSLE również stanowi wyzwanie. Ostatecznie może się okazać, że „marginalna dodatkowa złożoność” SSLE spadnie do akceptowalnego poziomu dopiero wtedy, gdy z innych powodów zdecydujemy się wdrożyć w protokole Ethereum L1 mechanizmy ogólnego dowodu zerowej wiedzy.

Kolejnym problemem, który należy rozwiązać w systemie PoS Ethereum, jest szybsze potwierdzanie transakcji.

Dalsze skrócenie czasu potwierdzenia transakcji w Ethereum (z 12 do 4 sekund) jest wartościowe. Znacząco poprawi to doświadczenie użytkowników L1 i rozwiązań opartych na rollupach, a także zwiększy efektywność protokołów DeFi. Umożliwi to również większą decentralizację L2, ponieważ pozwoli wielu aplikacjom L2 działać na rollupach, zmniejszając potrzebę budowania własnych, opartych na komitetach, zdecentralizowanych mechanizmów sortowania.

Ogólnie rzecz biorąc, istnieją dwie techniki: skrócenie czasu slotu do 8 lub 4 sekund; umożliwienie proponującym publikowania wstępnych potwierdzeń w trakcie pojedynczego slotu. Jednak nie jest jasne, czy skrócenie czasu slotu jest wykonalne.

Nawet dziś w wielu regionach świata stakerzy mają trudności z uzyskaniem dowodu wystarczająco szybko. Próba wprowadzenia 4-sekundowego slotu niesie ryzyko centralizacji walidatorów, a z powodu opóźnień, poza nielicznymi regionami o korzystnej lokalizacji geograficznej, zostanie walidatorem jest niepraktyczne.

Słabością metody wstępnego potwierdzenia przez proponującego jest to, że znacznie poprawia ona średni czas włączenia, ale nie poprawia najgorszego przypadku. Ponadto pozostaje nierozwiązany problem motywowania do wstępnych potwierdzeń.

W obliczu potencjalnych zagrożeń ze strony komputerów kwantowych Ethereum musi aktywnie rozwijać alternatywy odporne na ataki kwantowe. Każda część protokołu Ethereum, która obecnie opiera się na krzywych eliptycznych, powinna mieć alternatywę opartą na funkcjach skrótu lub innych technikach odpornych na kwantowe ataki. To potwierdza, że konserwatyzm w założeniach dotyczących wydajności projektów PoS jest uzasadniony i uzasadnia bardziej aktywny rozwój alternatyw odpornych na ataki kwantowe.

Podsumowanie

System PoS Ethereum stoi przed wieloma wyzwaniami na drodze rozwoju technologicznego. Ze względu na wysoki próg indywidualnego stakingu, dostawcy usług stakingowych, tacy jak Lido, stali się głównym wyborem dla stakingu węzłów Ethereum, a rozwiązania dwuwarstwowe niosą pewne ryzyko centralizacji. Aby sprostać tym wyzwaniom, jedno-slotowa finalność i demokratyzacja stakingu, pojedynczy tajny wybór lidera, szybsze potwierdzanie transakcji oraz rozwój alternatyw odpornych na ataki kwantowe to kluczowe kwestie, którymi Ethereum musi się zająć.

Vitalik przeprowadził kompleksową analizę aktualizacji „The Merge” i zaproponował jak najwięcej możliwych rozwiązań technicznych, omawiając potencjał projektowy technologii PoS Ethereum oraz obecnie możliwe ścieżki jej rozwoju.

W trakcie aktualizacji technologicznych Ethereum nieustannie eksploruje i wprowadza innowacje, dokonując wyborów i kompromisów pomiędzy różnymi rozwiązaniami technicznymi, aby znaleźć najlepszą ścieżkę rozwoju, osiągając wyższy poziom bezpieczeństwa, wydajności i decentralizacji.