権利証明の設計哲学

著者：Vitalik Buterin

原題：《A Proof of Stake Design Philosophy》

発表日時：2016年12月29日

Ethereum（およびBitcoin、NXT、Bitsharesなど）といったシステムは、本質的に新世代の暗号経済的有機体であり、分散型で、管轄のない存在であり、完全にネットワーク空間に存在し、暗号学、経済学、社会的合意の結合によって維持されています。彼らはBitTorrentに似ていますが、BitTorrentとは異なり、BitTorrentには状態の概念がありません - これは重要な違いです。彼らは時折、分散型自治組織として説明されますが、企業ではありません - マイクロソフトをハードフォークすることはできません。彼らはオープンソースソフトウェアプロジェクトに似ていますが、完全にそうではありません - ブロックチェーンをフォークすることはできますが、OpenOfficeをフォークするほど簡単ではありません。

これらの暗号経済ネットワークには多くのスタイルがあります - ASICベースのPoW、GPUベースのPoW、ナイーブPoS、PoS、PoCなどがあり、Casper PoSがすぐに利用可能になることを期待しています。そして、各スタイルには必然的に独自の基本理念が伴います。よく知られた例は、作業証明の最大のビジョンであり、「正しいブロックチェーン、単数」が、マイナーが消費する最大の経済資本によって生成されたチェーンとして定義されています。最初は単なるプロトコルのフォーク選択ルールに過ぎなかったこのメカニズムは、多くのケースで神聖な原則に昇華されました - これは、ハッシュアルゴリズムの変更プロトコルのハードフォークの状況に直面しても、誰かがこのアイデアの純粋な形を守ることを真剣に考える例です。Bitsharesの委任証明は、すべてが単一の原則から出発するが、より簡単に説明できる一貫した哲学を提案しています：株主投票です。

すべての合意哲学、中本聡の合意、社会的合意、株主投票の合意は、それぞれ独自の結論を持ち、自身の視点から見た場合にかなり意味のある価値体系を導きます - ただし、相互に比較すると批判を受けることは確かです。Capser合意にも哲学的基盤がありますが、これまでのところそれほど明確ではありません。

私自身（Vitalik Buterin）、Vlad、Dominic、Jae、その他の人々は、なぜ権利証明プロトコルが存在するのか、そしてそれをどのように設計するのかについてそれぞれの見解を持っていますが、ここでは私の見解がどこから来ているのかを説明するつもりです。

私はすべての観察を列挙し、直接結論を述べます。

暗号技術は21世紀において本当に特別です。なぜなら、暗号技術は対抗的な衝突が依然として防御側に有利な極めて少数の領域の一つだからです。城を破壊することは建設することよりも容易であり、島は防御可能ですが攻撃を受ける可能性がありますが、一般人のECC秘密鍵は国家レベルの執行者に対しても十分に安全です。サイバーパンク哲学は、この貴重な非対称性を利用して、個人の自主権をよりよく保護する世界を創造することに根本的に関与しており、暗号経済はある意味でその延長であり、今回は個人情報の完全性と機密性ではなく、複雑な調整と協力システムの安全と存続を保護しています。自らをサイバーパンク精神の正統な思想の継承者と考えるシステムは、この基本的な属性を保持し、破壊や損失のコストがその使用と維持よりも高くなるべきです。

「サイバーパンク精神」は単なる理想主義ではありません。攻撃よりも防御が容易なシステムを構築することは、健全な工学に過ぎません。

中長期的な時間スケールにおいて、人類はかなりの合意を持っています。たとえ敵が無制限のハッシュパワーを獲得し、重要なブロックチェーンに対して51％攻撃を仕掛け、先月の歴史を復元したとしても、コミュニティを説得してそのチェーンが合法であると認めさせることは、主チェーンを超えるハッシュパワーを超えることよりも難しいです。彼らはブロック探索者、コミュニティ内の信頼できるメンバー、「ニューヨークタイムズ」、archive.org、インターネット上の多くの他のソースを覆す必要があります。要するに、世界を説得することは、新しい攻撃チェーンが第一の主チェーンであると認めさせることが、情報技術が集中した21世紀において、アメリカの月面着陸が決して起こらなかったと言うのと同じくらい困難です。これらの社会学的考慮は、最終的にどんなブロックチェーンでも長期的に保護します。たとえブロックチェーンコミュニティがそれを認めなくても（ビットコインコアが社会的側面の優先性を認めていることに注意してください）。

しかし、社会的合意だけで保護されるブロックチェーンは非効率的で遅く、分裂が続くことを容易にします（それでも実際には起こります）。したがって、経済的合意は短期的に保護活動と安全な資産に非常に重要な役割を果たします。

作業証明の安全保障は、積極的なブロック報酬からしか得られず（ドミニク・ウィリアムズの用語で言えば、3つのEのうちの2つが欠けています）、マイナーへのインセンティブは、彼らが将来のブロック報酬を失うリスクからしか得られません。作業証明は必然的に、大規模な計算力が大量の報酬に対応する論理の上で運営されます。PoW攻撃から回復することは非常に困難です：このようなことが初めて起こった場合、ハードディスクを使ってPoWを変更することで攻撃者のASICを無効にできますが、再度その選択肢はありませんので、攻撃者は攻撃を繰り返すことができます。したがって、マイニングネットワークの規模は、攻撃が想像できないほど大きくなければなりません。ネットワークが毎日Xを消費し続けることで、X未満の攻撃量が発生しないようにします。この論理を拒否します。なぜなら（i）それは木を消費し、（ii）それはサイバーパンク精神を実現していないからです - 攻撃コストと防御コストが1対1であるため、防御者に優位性はありません。

権利証明は、報酬ではなく罰則によって安全を確保し、この対称性を打破します。検証者は資金（「デポジット」）を権利に置き、資本をロックし、ノードを維持するためにわずかな報酬を得ますが、取引を回復するためのコストの大部分は、彼らが得る報酬の数百倍または数千倍の罰則から来ます。したがって、一言で言えば、権利証明は「安全はエネルギーの燃焼から来る」ではなく、「安全は経済的価値の損失から来る」と言えます。特定のブロックまたは状態は$Xの安全性を持つことができ、悪意のあるノードが同時に$Xのプロトコル罰則を支払うことを試みない限り、任意の衝突ブロックまたは状態に対して同じレベルの終端状態に達することが不可能であることを証明できる場合です。

理論的には、大多数の検証者が共謀して権利証明ブロックチェーンを乗っ取り、悪意のある行動を開始する可能性があります。しかし、（i）巧妙なプロトコル設計によって、彼らのこの操作によって得られる追加利益の能力はできるだけ制限され、さらに重要なのは（ii）彼らが新しい検証者の参加を阻止したり、51％攻撃を実行しようとした場合、コミュニティは単にハードフォークを組織し、有罪の検証者のデポジットを削除することができるということです。成功した攻撃は5000万ドルかかるかもしれませんが、その結果を清算するプロセスは2016年のgeth/parityの整合性失敗よりも重くはありません。2日後、ブロックチェーンとコミュニティは軌道に戻り、攻撃者は5000万ドルを失い、残りのコミュニティは供給の緊張によりより豊かになる可能性があります。攻撃はトークンの価値を上昇させるでしょう。これはあなたの攻撃/防御の非対称性です。

上記は、不定期のハードフォークが通常のイベントになることを意味するものではありません。必要に応じて、権利証明における単発の51％攻撃のコストは、作業証明における永続的な51％攻撃のコストと同じように設定できます。コストと攻撃の無効性は、実際にはその攻撃がほとんど発生しないことを保証するはずです。

経済学はすべてではありません。個々の行動者は超常的な動機の影響を受ける可能性があり、ハッキングされるかもしれませんし、誘拐されるかもしれませんし、単に酔っ払って、ある日、対応するコストをかけてブロックチェーンを破壊することを決定するかもしれません。それ以外にも、良い視点から見ると、個人の道徳的な寛容さやコミュニケーションの非効率性は、攻撃コストを名目上のプロトコルで定義された価値損失をはるかに超えるものに引き上げることがよくあります。これは私たちが頼ることのできない利点ですが、同時にそれは私たちが不必要に捨てるべきではない利点です。

最良のプロトコルは、さまざまなモデルと仮定の下でうまく機能するプロトコルです - 経済的合理性と調整選択、経済的合理性と個人選択、単純な耐障害性、ビザンチン耐障害性（理想的には適応的および非適応的な対戦相手の変種）、Ariely/Kahnemanに触発された行動経済モデル（「私たちは皆少し騙す」）、理想的には現実と実際の他のモデル。二重の防御を持つことも重要です：経済的インセンティブは中央集権的な協力団体が反社会的行動を取るのを防ぎ、反中央集権的なインセンティブは協力団体の初期形成を防ぎます。

迅速に実行される合意プロトコルはリスクが高く、非常に注意深く扱うべきです。なぜなら、迅速に実行される可能性が依存するインセンティブがある場合、そのような組み合わせは非常に高いシステミックリスクを生じ、ネットワークレベルの中央集権化を引き起こすからです（たとえば、すべての検証者が同じホスティングプロバイダーで実行されている場合）。検証者がメッセージを送信する速度を気にしない場合、受け入れ可能な長い時間間隔（たとえば4-8秒、通常Ethereumの遅延時間は500ms-1sであることが経験的に知られています）内であれば、合意プロトコルはこれらの懸念を持たないでしょう。可能な中間地点は、迅速に実行できるプロトコルを作成することですが、Ethereumのアンクルメカニズムに似たメカニズムを持ち、ノードがネットワーク接続の程度をある簡単に達成できるポイントを超えた後の限界報酬がかなり低くなることを保証します。

ここから、もちろん多くの詳細と多くの方法で詳細が分かれますが、上記は少なくとも私が理想とするCasperバージョンの基盤となる核心原則です。ここから、私たちは競争価値間のトレードオフについて議論することができます。私たちはETHの1％の年発行額を与え、5000万ドルの強制的な救済ハードフォークのコストを得るべきでしょうか、それとも0年発行額を与え、500万ドルの強制的な救済ハードフォークのコストを得るべきでしょうか？ 経済モデルの下でプロトコルの安全性を高めるために、耐障害性モデルの下でその安全性を低下させるべきでしょうか？ 私たちは予測可能な安全レベルを持つことを重視するべきでしょうか、それとも予測可能な発行レベルを重視するべきでしょうか？ これらは別の論文の問題であり、これらの価値観間の異なるトレードオフを実現するさまざまな方法は、さらに多くの投稿の問題です。しかし、私たちはそれを得るでしょう:)