Una revisión de la literatura de los desafíos que enfrenta el consenso de Nakamoto.
Nota: la Prueba de trabajo (PoW) y la Prueba de juego (PoS) no son algoritmos de consenso, sino mecanismos de control de Sybil que son compatibles con una variedad de algoritmos de consenso. En aras de la simplicidad, en este artículo nos atendremos a la convención popular y usaremos PoW como sinónimo de Nakamoto Consensus y PoS como sinónimo de apostar junto con algoritmos de consenso como PBFT.
El éxito de Bitcoin y su pionero Consenso de Nakamoto basado en la prueba de trabajo demostró sin lugar a dudas que las redes descentralizadas pueden funcionar y acumular valor para los usuarios y las partes interesadas de la red al resolver problemas clave como el control de Sybil y la incentivación económica. Sin embargo, en los últimos años ha estado plagado de problemas de rendimiento e ineficiencias, incluso con una adopción marginal del mundo real. Simultáneamente, han surgido nuevos modelos de consenso que prometen mayor eficiencia y eficacia, desafiando la hegemonía de la prueba de trabajo como la opción para el consenso descentralizado.
En vista de que estas alternativas están ganando terreno, los maximalistas de Bitcoin se han vuelto cada vez más arraigados y dogmáticos en sus puntos de vista, con exclusión del discurso razonable y la evidencia empírica y matemática que desafía sus puntos de vista. Sin embargo, hay una creciente cantidad de resultados que sugieren que la prueba de trabajo no es viable a largo plazo para una red madura y saludable. Si bien cumplió una función clave como prueba de concepto, es estrictamente inferior a los sistemas más nuevos en todos los aspectos importantes: seguridad, costo, eficiencia, rendimiento.
En este artículo, resumo los problemas clave a los que se enfrenta la prueba de trabajo, tanto actualmente como a medida que la red madura. En aras de la accesibilidad, mantendré el nivel alto, pero haré referencia a documentos o artículos que brinden detalles técnicos adicionales y pruebas.
También mantendré el enfoque en la prueba de trabajo y sus desafíos en lugar de sus competidores, pero la comparación (ya sea explícita o implícitamente) es de prueba de participación. Para una discusión más detallada de PoS, remito al lector a los innumerables documentos y artículos que muestran matemáticamente cómo PoS mejora en PoW, como el informe de Logos.
1a. PoW tiene poca seguridad económica / teoría de juegos que resulta en inestabilidad
Cualquier red sin confianza debe responder a dos preguntas: (1) cuál es el nivel de seguridad bizantino (por ejemplo, la red es segura suponiendo que un atacante tiene menos del 50% de potencia) y (2) qué es la probabilidad de que se cumpla el nivel de seguridad. La mayoría de los proyectos responden (1), pero (2) es igual de crítico. El análisis de algoritmos distribuidos nos da el nivel de seguridad bizantino, pero eso solo es insuficiente ya que plantea la pregunta: ¿cuál es la probabilidad de que un validador se vuelva malicioso? Esto es fundamentalmente una pregunta de la teoría de juegos y se puede responder a través de un análisis del sistema de incentivos económicos.
El consenso de Nakamoto tiene un modelo económico relativamente débil, por lo que la alineación de incentivos para los validadores es bastante deficiente. Esto se debe a varias razones, incluyendo:
1. Incapacidad de penalizar severamente a los validadores (como en el recorte). Dado que la minería es intrínsecamente anónima y abierta, es imposible incluir en la lista negra a un validador malintencionado para que participe en la red, y no hay forma de confiscar sus equipos de minería como castigo por portarse mal.
2. Baja correlación entre el valor de la red y la garantía económica del validador. El equipo de minería generalmente tiene un bajo "beta" (menos de 1) al valor de la red subyacente. Si bien hay una exposición secular, es poco probable que un ataque en una red en particular tenga un impacto significativo en el pago de un atacante potencial. Irónicamente, los esfuerzos de las redes para frustrar los ASIC, que contribuyen a la centralización (como se explica a continuación), reducen esta correlación a niveles muy bajos. Junto con la falta de un mecanismo de penalización directa, esto significa que un atacante solo tiene incentivos económicos débiles para comportarse honestamente.
3. Alta variación de pagos del validador. El PoW tiene un efecto de lotería: o bien obtiene una gran recompensa por casualidad (bloquee las recompensas y las tarifas de transacción), o no obtiene nada. Esta variación en el pago conduce a equilibrios económicos inestables e incentivos perversos.
4. La finalidad de la transacción es probabilística, no garantizada. Una vez que se incluye una transacción en un bloque extraído, siempre existe la posibilidad de que una cadena más larga aparezca e invierta la transacción, aunque esta probabilidad disminuye a medida que se agregan bloques adicionales.
Estas características conducen a varios vectores de ataque conocidos y probablemente muchos más que actualmente se desconocen, lo que socava la seguridad y la estabilidad del sistema de PoW en la madurez. Desafortunadamente, ninguna de las causas de estos problemas se puede corregir en PoW, lo que significa que, incluso con una mayor conciencia de estos ataques, no hay manera de fortalecer el sistema contra la mayoría de ellos.
Minero egoísta de ataque.:
El primer ataque teórico del juego importante que puede comprometer la viabilidad a largo plazo del consenso de PoW es el ataque egoísta de los mineros. Los investigadores de Cornell encontraron que los mineros tienen incentivos económicos para ocultar los bloques que extraen del resto de la red para maximizar su propio pago. La idea es que solo el minero egoísta tiene la cadena más larga y, por lo tanto, tiene la ventaja de encontrar bloques subsiguientes; Si se encuentra otro bloque en la antigua cadena, el minero egoísta puede liberar su bloque y desencadenar una condición de carrera que podría ganar.
Esto tiene implicaciones importantes tanto para la descentralización de la red como para la seguridad:
“Presentamos un ataque con el cual los mineros en colusión obtienen un ingreso mayor que su parte justa. Este ataque puede tener consecuencias significativas para Bitcoin: los mineros racionales preferirán unirse a los mineros egoístas, y el grupo de conspiración aumentará de tamaño hasta que se convierta en mayoría. En este punto, el sistema Bitcoin deja de ser una moneda descentralizada ".
Al ocultar sus bloques del resto de la red, los mineros egoístas también reducen el poder efectivo de hash de la red, ya que otros mineros están minando una cadena obsoleta y no contribuyen a la seguridad de la red. Si cada minero es egoísta, entonces el poder efectivo de hash solo será una pequeña fracción del poder de hash desplegado. ¡Nada de esto requiere que los mineros sean completamente maliciosos, solo económicamente racionales!
El ataque minero egoísta es mucho peor de lo que se pensaba anteriormente:
El documento original del minero egoísta propuso una modificación de PoW que eliminaría el ataque del minero egoísta a los grupos mineros que controlan menos del 25% de la tasa de hash. Sin embargo, investigaciones posteriores de Princeton encontraron problemas adicionales de minería egoísta que se producen cuando las tarifas de transacción crecen relativamente más que las recompensas en bloque (resumen). El documento describe varias estrategias de minería desviadas que son económicamente racionales, por lo que los mineros se socavan entre sí mediante la promoción de horquillas para capturar grandes tarifas de transacción:
“Bitcoin ofrece dos incentivos para los mineros: bloquee las recompensas y las tarifas de transacción. El primero representa la gran mayoría de los ingresos mineros al inicio del sistema, pero se espera que la transición a este último a medida que disminuyan las recompensas del bloque. Ha habido una creencia implícita de que si a los mineros se les paga con recompensas por bloque o tarifas de transacción no afecta la seguridad de la cadena de bloques. Demostramos que este no es el caso. Nuestra idea clave es que solo con las tarifas de transacción, la varianza de la recompensa del bloque es muy alta debido al tiempo de llegada del bloque distribuido exponencialmente, y resulta atractivo bifurcar un bloque "rico" para "robar" las recompensas allí incluidas. Mostramos que esto da como resultado un equilibrio con propiedades indeseables para la seguridad y el rendimiento de Bitcoin, e incluso el no equilibrio en algunas circunstancias. También revisamos la minería egoísta y mostramos que puede ser rentable para un minero con una participación de poder de hash arbitrariamente baja, y que está arbitrariamente mal conectado dentro de la red ".
Por lo tanto, el equilibrio económico en una red de PoW implica que los mineros se socavan continuamente entre sí, lo que lleva a una seguridad de la red más débil y una tendencia de centralización. Estos incentivos perversos se exacerban en la madurez de la red hasta el punto de que las redes de PoW tendrán una seguridad seriamente comprometida.
El alquiler de hash minimiza el costo de un ataque del 51%:
Estos problemas se agravan aún más por la creciente capacidad de los atacantes para alquilar el poder de hachís en lugar de comprar el equipo ellos mismos. Esto significa que se elimina la exposición del atacante, por débil que sea, a la correlación entre el equipo de minería y el valor de la red. Combinado con la tendencia de los mineros a trabajar uno contra el otro, lo que resulta en una menor potencia efectiva de hash de la red, el costo de atacar una red a través de un ataque del 51% es mucho menor de lo que se suele pensar.
Por supuesto, como un todo, los propietarios de los equipos de minería tienen algún incentivo económico para evitar tal ataque. Sin embargo, esta es una expectativa económicamente irracional en ausencia de un mecanismo de cumplimiento (imposible en una red descentralizada, pseudo-anónima) debido al fenómeno del corredor libre y la tragedia de los Comunes. La estrategia unilateral dominante de cualquier minero solo es alquilar su tasa de hash para un mejor rendimiento, lo que resulta en un equilibrio de Nash globalmente subóptimo.
El análisis de seguridad tradicional de PoW asume que el atacante tiene un poder de hash fijo, pero, en realidad, el poder de hash se puede adquirir si es económicamente racional. El análisis resultante muestra que la seguridad de la transacción contra un ataque del 51% es mucho más débil de lo que generalmente se supone.
Si bien el documento original de Bitcoin mostró que el riesgo de un ataque de reorganización exitoso para un atacante con menos del 50% de poder de hash disminuye exponencialmente con el número de bloques desde la validación, un artículo reciente del BIS muestra que el riesgo teórico del juego de un ataque de alquiler la mayoría de la potencia hash disminuye solo de forma lineal y depende en gran medida de las tarifas / recompensas de bloque. Esto significa que el número requerido de bloques para transacciones probabilísticamente seguras es mucho más alto de lo anticipado, y muchas veces de manera prohibitiva:
“La ecuación (8) documenta el alto costo de la seguridad de pago descentralizada. Por ejemplo, digamos que los usuarios de Bitcoin están en promedio preparados para pagar los costos de transacción del 1%, que el poder de hash alquilado es dos veces más caro que el precio subyacente del equipo y la electricidad para los mineros honestos, y que Bitcoin perdería un tercio de su valor después de un ataque exitoso Luego, el tiempo de espera requerido es de 50 bloques (más de ocho horas). Pero si el costo de transacción promedio es de 0.1%, el tiempo de espera requerido es de 500 bloques, es decir, ¡alrededor de tres días y medio! … ¡Si los usuarios esperan seis bloques o menos (aproximadamente una hora), los costos promedio de transacción requeridos (como porcentaje del monto de la transacción) son aproximadamente 8.3%! ”
Así que cuanto más alta sea la tarifa de transacción (o recompensa en bloque), mejor será la seguridad. Desafortunadamente, esto tiene una interacción perversa con los ataques egoístas de los mineros, por lo que el incentivo de los mineros para socavarse mutuamente aumenta a medida que aumentan las tarifas de los mineros.
Además, hay otro problema adicional con la forma en que los usuarios deciden las tarifas de transacción que resultan, en equilibrio, en tiempos de finalización insostenibles:
"El resultado clave es que la tarifa establecida de forma descentralizada es mucho más baja que la tarifa óptima, lo que resulta en tiempos de espera extremos … Con el ejemplo anterior de una desventaja del atacante de 1/2, 1,000 transacciones y un costo de espera de 1 % por bloque, la tarifa óptima se establece en 7.07% del pago … (resultante (el tiempo de espera es de alrededor de siete bloques), mientras que se establece en 1% / 1000 = 0.001% en el juego descentralizado. El tiempo de espera resultante es de 50,000 bloques, ¡equivalente a casi un año! ”
La implicación clave de estos ataques es que: (1) A menos que la recompensa en bloque domine las tarifas de transacción (lo que significa que la inflación es alta), los mineros económicos racionales socavarán la seguridad de la red; (2) a menos que las recompensas del minero sean muy altas (y las transacciones sean muy caras), entonces el tiempo de espera hasta la finalidad será prohibitivo; y (3) los sistemas de prueba de estaca con estructuras de incentivos adecuadas superarán muy fácilmente el nivel de seguridad de Bitcoin / prueba de trabajo. Todas estas compensaciones hacen que el POW esté limitado de forma prohibitiva para la tienda de valor, los pagos y otros casos de uso.
Evidencia empírica de seguridad económica deficiente: 51% de ataques exitosos
Cada vez es más fácil alquilar el poder de hash para atacar una red de PoW, incluso en Bitcoin (menos de $ 300k por un ataque de 1 hora). Esto ha resultado en varios ataques exitosos del 51% en los últimos 18 meses (e históricamente).
Las víctimas incluyen:
– Ethereum Classic
– Verge 1 2 3
– Bitcoin Gold
– Vertcoin
1b. PoW tiene una inclinación inherente hacia la centralización.
Hay varios factores importantes que resultan en un fuerte incentivo para centralizar en cualquier consenso de prueba de trabajo:
– El alto costo de la minería y la sensibilidad a los costos operativos y de insumos, como el precio de la electricidad, llevan a enormes economías de escala. Las diferencias geográficas exacerban este fenómeno.
– Los validadores están inherentemente en una carrera entre ellos, lo que ha resultado en el desarrollo de redes de relevo especializadas entre los cárteles de los mineros.
– Los ataques de mineros egoístas incentivan a los mineros económicamente racionales a formar grandes carteles que pueden socavar a otros grupos de mineros.
– El efecto de lotería de las recompensas de los mineros conduce a una gran variedad de pagos, incentivando a los mineros a consolidar o formar grupos que se dirigen de forma centralizada. Esta idea se puede cuantificar observando que los rendimientos ajustados al riesgo de un minero (análogo al índice de Sharpe) aumentan monótonamente con la participación en el poder minero: x / sqrt (x * (1-x)). Esto significa que siempre es mejor consolidar unilateralmente.
El análisis económico de estos factores sugiere que la minería es un monopolio natural.
Las tendencias de centralización han demostrado ser empíricamente verdaderas en Bitcoin, Ethereum y otras redes de prueba de trabajo, donde los grupos grandes dominan el poder de hash. Esto ha sido confirmado por investigadores académicos:
“Tanto la minería de Bitcoin como la de Ethereum están muy centralizadas, con los cuatro principales mineros en Bitcoin y los tres principales en Ethereum controlando más del 50% de la tasa de hash. La cadena de bloques completa para ambos sistemas está determinada por menos de 20 entidades mineras. Mientras que los sistemas de quórum bizantinos tradicionales operan en un modelo diferente al de Bitcoin y Ethereum, un sistema de quórum bizantino con 20 nodos sería más descentralizado que Bitcoin o Ethereum con costos de recursos significativamente menores. Por supuesto, el diseño de un protocolo de quórum que proporciona una participación abierta, mientras selecciona bastante 20 nodos para secuenciar transacciones, no es trivial ". ¹
Esta práctica centralización ha dado lugar a importantes problemas de agencia y gobernanza, como en la bifurcación Bitcoin Cash / Bitcoin SV.
En última instancia, la centralización conlleva un alto riesgo para cualquier red descentralizada cuya seguridad se basa en supuestos de buen comportamiento del validador. Aunque los mineros (en su mayor parte) han actuado de manera relativamente benigna, no están regulados y son mucho menos confiables que las instituciones tradicionales. Reemplazar un sistema público establecido y regulado por uno no regulado y anónimo donde los mineros pueden atacar arbitrariamente el sistema es una compensación pobre. Esto es particularmente un problema debido a la falta de incentivos económicos para el comportamiento de la policía.
Los factores que resultan en un equilibrio centralizado en la prueba de trabajo o no existen o están sustancialmente atenuados en la prueba de juego.
1c. El consenso de Nakamoto no es totalmente tolerante a las fallas bizantinas; Incluso con modificaciones solo puede proporcionar garantías probabilísticas.
Un requisito básico de una red sin confianza es que proporciona un nivel suficiente de tolerancia a fallas bizantinas (BFT); de lo contrario, ¿cómo puede confiar en una red con participantes potencialmente maliciosos? Se sabe desde hace varios años que el Consenso de vainilla Nakamoto (tal como lo usa Bitcoin) no es realmente BFT, ni siquiera probabilísticamente:
"Es fácil ver que la validez no puede garantizarse con una probabilidad abrumadora a menos que el poder de pirateo del adversario sea insignificante en comparación con los jugadores honestos, es decir, t / n es insignificante. Esto se debe a que, en caso de que el adversario encuentre una solución primero, cada jugador honesto extenderá la solución del adversario y cambiará a la entrada de confrontación, por lo que abandonará la entrada original. Si bien todavía se puede demostrar que la validez se puede garantizar con una probabilidad distinta de cero (y, por lo tanto, el protocolo falla con la suposición de una mayoría honesta), (el Consenso de Nakamoto) no proporciona una solución a BA (Acuerdo Bizantino) ".
Ver también Wattenhofer, R. The Science of the blockchain, que argumenta que las propiedades de seguridad de Bitcoin son bastante débiles.
Se ha demostrado que el Consenso de Nakamoto puede modificarse para proporcionar BFT probabilístico (aunque con un BFT del 33%, en lugar del 51% citado a menudo), pero dados los problemas de gobernabilidad con Bitcoin, parece poco probable que cualquier intento de cambiar de manera importante El protocolo no tendrá éxito.
Si bien Bitcoin no ha sufrido aún grandes ataques de doble gasto (que sabemos), confiar en la benevolencia de los mineros no regulados y con baja confianza es un modelo de seguridad extremadamente pobre. ¿Quién puede decir que no atacarán el sistema en el futuro?
1d. Incluso ignorando el problema de la correlación, el poder económico que asegura PoW es menor que en el equivalente en PoS
Si bien Bitcoin parece tener una gran ventaja en la seguridad económica basada únicamente en el valor del equipo de minería que la respalda, en la expectativa de que una red de PoS con un valor equivalente tendría mucha más seguridad, incluso ignorando cualquier alineación de incentivos.
Esto se ve más fácilmente desde una lente de inversión. Un validador en una red de PoW y PoS necesita hacer una inversión económica para obtener poder de validación: equipo de minería en el primero, participación en el segundo. La inversión agregada de los validadores en la red debe corresponder a un retorno de la inversión (ROI) económicamente eficiente para una recompensa total del validador determinada (inflación + comisiones de transacción), teniendo en cuenta los costos de validación y riesgo (incluida la variación de los ingresos).
PoS sale adelante a través de todos estos factores, asegurando así que una red PoS tendrá más valor económico que la red segura que una red PoW, ceteris paribus. El PoW tiene costos sustancialmente más altos debido a la depreciación de los activos y la seguridad del PoW: a medida que se desarrollan mejores mineros, el valor de los mineros existentes disminuye, y los costos de electricidad que contribuyen a la seguridad de los bloques históricos también disminuyen (porque cuesta menos replicarlos). trabajo). A la inversa, la participación en PoS no se deprecia por sí misma (aunque sí tiene exposición al mercado). PoW también tiene una variación de ingresos sustancialmente mayor en comparación con una red de PoS bien estructurada que elimina el efecto de lotería presente en PoW.
También es relativamente fácil para una nueva red basada en apuestas apostar rápidamente a una seguridad económica muy alta y superar la ventaja de seguridad de Bitcoin. Específicamente, la existencia misma del valor de la red (y cualquier acumulación posterior) confiere seguridad inmediatamente sin inversión de capital adicional. En otras palabras, el poder de hash minero definitivamente no es una "característica asesina", como afirman algunos.
Poniendo todos estos factores juntos en un ejemplo, digamos que una nueva red con PoS + roza + consenso no probabilístico clásico vale $ 100mm (a precio de mercado). Es plausible que los validadores puedan apostar $ 30mm. Si la red tolera hasta 1/3 de validadores maliciosos por juego, entonces la seguridad económica de una transacción en particular es de $ 10mm. A la inversa, como se indicó anteriormente, un gasto doble en Bitcoin (con mucho, la red de PoW más valiosa) podría lograrse por menos de $ 1mm al alquilar suficiente poder de hash durante varias horas. ¡Esta es una diferencia de 6,300x en seguridad cuando se normaliza para valor de red!
1e. Cuestiones prácticas de seguridad: Verificación de pago simple
No se puede esperar que la gran mayoría de los usuarios en cualquier red ejecuten nodos completos y mantengan copias locales completas de todo el estado de la red. En su lugar, dichos usuarios confiarán en carteras ligeras que se conectan a nodos completos de terceros y solicitan información actualizada de la red. Cuando el usuario recibe un pago y desea confirmar que se procesó correctamente, puede solicitar al nodo la última cadena y buscar la transacción en el bloque correspondiente. Esto se denomina verificación de pago simple (SPV).
Si bien un nodo completo no necesita confiar en sus pares en la red (suponiendo una conectividad no patológica) porque está monitoreando el blockchain en tiempo real, un usuario de SPV en una red PoW necesita confiar en que el nodo completo sí lo hizo. , envía la cadena más larga y no un tenedor falso. Esto se puede mitigar pidiendo a varios nodos la cadena más larga y calculando cuál tiene el trabajo más acumulado. Si bien la probabilidad de una duplicación exitosa disminuye exponencialmente con el número de nodos consultados (a menos que los atacantes hayan sobrecargado la tabla de pares del usuario, que es mucho más fácil en un contexto de SPV que en un nodo completo), verificar el trabajo es un proceso costoso en hardware limitado.
Se ha investigado para hacer que este proceso sea más eficiente (ver, por ejemplo, pruebas de prueba de trabajo), pero el problema sigue siendo el mismo: a menos que esté ejecutando un nodo completo, se requiere cierta confianza. Esto es una consecuencia de la imprevisibilidad de quién agregará el siguiente bloque a la cadena y el consenso probabilístico. En un contexto de PoS (cuando se construye correctamente), un destinatario de una transacción puede verificar que la transacción sea completamente definitiva y genuina con un simple certificado que muestre las firmas de validador apropiadas.² Este problema no se puede solucionar en PoW, solo se puede mitigar, mientras que Se resolverá en puntos de venta.
Nota: aquí, usar el consenso de PoW y Nakamoto indistintamente se vuelve un poco incómodo. Hay algunos algoritmos de consenso compatibles con PoW que mitigan algunos de los problemas de escalabilidad con el consenso de Nakamoto, como ByzCoin, SPECTRE, Prism y Hybrid Consensus. Sin embargo, todos estos sistemas sufren de todos los problemas presentados en otras secciones y aún tienen un rendimiento subóptimo debido al uso de PoW en la medida en que los recursos utilizados para computar el PoW (que domina los cálculos generales) podrían utilizarse para la validación directa de transacciones. Las redes de consenso de Nakamoto como Bitcoin y Litecoin son los temas principales de esta sección.
2a. Límites matemáticos inherentes a la escalabilidad debido a la propagación de bloques antes de que las garantías de seguridad se rompan
La prueba de trabajo tiene límites matemáticos en la escalabilidad que son sustancialmente más bajos que los límites del hardware. Específicamente, la combinación de frecuencia de bloque y tamaño de bloque debe estar limitada para mantener la seguridad. Esto limita el rendimiento a cientos de TPS, muy por debajo de los requisitos para muchas aplicaciones prácticas. Estos límites no se pueden evitar en la prueba de trabajo, pero sí en la prueba de juego. Los intentos de aumentar la capacidad disminuyendo el tiempo de bloqueo o aumentando el tamaño del bloque rápidamente se convierten en amenazas involuntarias pero graves para la seguridad.
El hecho de que PoW esté intrínsecamente vinculado por la arquitectura en lugar del hardware se demostró matemáticamente por primera vez por un consorcio de investigadores en 2016:
“Analizamos cómo los cuellos de botella fundamentales y circunstanciales en Bitcoin limitan la capacidad de su red de superposición peer-to-peer actual para soportar rendimientos sustancialmente más altos y latencias más bajas. Nuestros resultados sugieren que la reparación del tamaño del bloque y los intervalos debe considerarse solo como un primer incremento hacia el logro de la próxima generación de protocolos de cadena de bloques de alta carga, y los avances más importantes además requerirán un replanteamiento básico de los enfoques técnicos ".
La idea básica es que la seguridad en PoW se basa en la mayor cantidad posible de mineros que trabajan en la cadena más larga. De lo contrario, trabajarán en cadenas competidoras o obsoletas (es decir, en las horquillas de la cadena más larga) y no contribuirán a la seguridad de la red. Esto, a su vez, limita el rendimiento de la red según la velocidad a la que los datos pueden propagarse lo suficiente a través de la red de chismes de igual a igual. Sobre la base de las observaciones empíricas del hardware de nodo completo y las velocidades de propagación, es posible estimar límites razonables en el rendimiento y la latencia máximos seguros:
“Observación 1 (límite de rendimiento) Dada la red de superposición actual y el intervalo de bloque promedio de 10 minutos de hoy, el tamaño del bloque no debe exceder los 4 MB. Un tamaño de bloque de 4 MB corresponde a un rendimiento de, como máximo, 27 transacciones / seg.
"Observación 2 (límite de latencia) Dada la red superpuesta de hoy, para retener al menos un 90% de rendimiento efectivo y utilizar completamente el ancho de banda de la red, el intervalo de bloqueo no debe ser significativamente menor que 12s".
Estos resultados también se resumieron muy bien en el documento técnico de bloxRoute:
“Un intento de aumentar el tamaño del bloque (B) en un factor de 10, lo que aumentaría la capacidad del sistema a T 30 TPS, aumentaría el tiempo de propagación a t90th = 116 segundos. Esto, a su vez, aumentaría la probabilidad de que se produzca una bifurcación en P (bifurcación) = 17.58%, lo cual es inaceptable para la usabilidad del mundo real. Más importante aún, aumentaría la probabilidad de que una bifurcación permanezca sin resolver por 6 bloques en un factor de 600,000, y los usuarios tendrán que esperar a que se extraigan 14 bloques para mantener el mismo nivel de confianza. "La escala del sistema a T 300 TPS, que es al menos un orden de magnitud demasiado pequeño para una amplia adopción en el mundo real, mantendría la cadena de bloques en un estado continuo de la horquilla".
2b. El consenso de Nakamoto requiere un supuesto estricto de sincronicidad que limite el rendimiento
Para garantizar propiedades de seguridad básicas como la coherencia, el consenso de Nakamoto requiere que los tiempos de confirmación sean proporcionales a un límite superior conservador en el retardo de la red. En la práctica, este límite superior debe ser grande, limitando sustancialmente el rendimiento potencial.
Pass y Shi resumieron los problemas que esto presenta en la práctica (énfasis agregado):
“Cabe destacar que la famosa cadena de bloques de Nakamoto (que subyace en Bitcoin) también funciona solo en el modelo síncrono en el que el protocolo debe conocer un límite superior a priori del retardo de la red (en adelante denominado). De lo contrario, si se desconoce un límite superior de retardo ∆, Pass et al. (enlace) muestra que la seguridad de Nakamoto blockchain puede romperse. Pass et al. también muestran que el intervalo de bloqueo esperado de la cadena de bloques de Nakamoto debe configurarse para ser, en términos generales, un factor constante mayor que ∆ para la consistencia.
Sin embargo, confiar en un modelo síncrono puede ser indeseable en la práctica. Dado que el parámetro de sincronización ∆ debe configurarse de forma conservadora para dejar un margen de seguridad suficiente, en la práctica, el retardo de la red real suele ser mucho mejor que este límite superior pesimista. Desafortunadamente, cualquier protocolo que deba esperar al menos una ronda síncrona (o un intervalo de bloqueo) para la confirmación de la transacción no puede beneficiarse del rendimiento real de la red ".
Este fuerte requisito de sincronicidad no solo es un problema con el rendimiento, sino también con la seguridad. Gervais et al., Por ejemplo, demostraron varios posibles vectores de ataque relacionados con la necesidad de una rápida propagación de bloques en Bitcoin:
“Mostramos que las medidas de escalabilidad actuales adoptadas por Bitcoin están en desacuerdo con la seguridad del sistema. Más específicamente, mostramos que un adversario puede explotar estas medidas para retrasar efectivamente la propagación de transacciones y bloques a nodos específicos, sin causar una partición de red en el sistema. Demostramos que esto le permite al adversario montar fácilmente los ataques de Denegación de Servicio, aumentar considerablemente su ventaja minera en la red y duplicar las transacciones a pesar de las contramedidas actuales adoptadas por Bitcoin ".
2c. Práctica incompatibilidad con capas de escalamiento como Lightning y Sharding.
Dada la imposibilidad de escalar con seguridad la primera capa, mucha emoción se ha centrado en las segundas capas y canales de pago como Lightning Network como una forma de lograr escalabilidad al usar la primera capa como una capa de liquidación para abrir y cerrar canales.
Hay varios problemas fundamentales al suponer que Lightning y otras segundas capas serán una solución mágica para todas las necesidades de pago. Estos incluyen la deriva del canal hacia comerciantes, problemas de centralización, dificultades de enrutamiento para montos de pagos no triviales y bloqueos de valor en los canales durante largos períodos de tiempo. Si bien estas soluciones son muy prometedoras para algunos casos de uso específicos (por ejemplo, micropagos), en general son una solución muy incompleta para los pagos generales, incluidos algunos de los casos de uso más convincentes, como el punto de venta.
Dado que este resultado generalmente está bien establecido, es más importante tener en cuenta que la escalabilidad de la primera capa es necesaria incluso para estos casos de uso restringido, tanto desde el punto de vista práctico como de seguridad. Es decir, el rendimiento de la capa superior es una función de la capacidad de la primera capa, no independiente como muchos suponen, y las afirmaciones de "escalabilidad infinita" no reconocen esta realidad. Como tal, Bitcoin / prueba de trabajo no es prácticamente compatible con la escalabilidad de la segunda capa.
Expliqué estos problemas prácticos y teóricos de las segundas capas en un contexto de POW, donde la primera capa no puede proporcionar una capacidad de soporte adecuada, en un artículo anterior, al que remito a los lectores para obtener más detalles.
Las soluciones de escalabilidad de primera capa también presentan un desafío. En particular, la fragmentación ha demostrado ser muy difícil en el modelo criptográfico heredado (blockchain + prueba de trabajo por consenso), y la perspectiva de la fragmentación viable es sombría sin cambios drásticos (por ejemplo, prueba de la participación con una información más compatible con la fragmentación). estructura). En cualquier caso, la fragmentación solo puede escalar con seguridad una primera capa de 10 a 50x dadas las realidades estadísticas (a pesar de las afirmaciones en contra que suponen una distribución estadística errónea), y por lo tanto es inadecuada en sí misma.
3a. Ineficiencia energética
Los problemas ambientales con la prueba de trabajo son bien conocidos. Menos apreciado es el impacto práctico de usabilidad que tiene. Al requerir una gran cantidad de energía por transacción, la tarifa por transacción (directa o indirecta a través de la inflación) debe ser lo suficientemente alta como para compensar ese costo real. La reducción de la energía por transacción, por supuesto, reduce proporcionalmente la seguridad de cada transacción. Esto hace que la prueba de trabajo sea mucho menos eficiente que la prueba de juego.
Un análisis económico reciente contextualizó esta ineficiencia energética (énfasis agregado):
“La red de Bitcoin consume actualmente al menos 2,55 GW de electricidad, y podría alcanzar un consumo de 7,67 GW en el futuro, haciéndolo comparable con países como Irlanda (3.1 GW) y Austria (8.2 GW). Además, los modelos económicos nos dicen que el consumo de electricidad de Bitcoin gravitará hacia la última cifra. Un vistazo a las estimaciones de producción de la minera de Bitcoin sugiere que esta cifra ya podría alcanzarse en 2018. Con la red de Bitcoin que procesa solo 200,000 transacciones por día, esto significa que la electricidad promedio consumida por transacción es de al menos 300 kWh, y podría exceder los 900 kWh por transacción a finales de 2018 … Bitcoin tiene un gran problema y está creciendo rápidamente ".
3b. Gastos
The inefficiency of the Bitcoin in terms of energy and other factors results in a significant cost: the average Bitcoin transaction costs about $25 in total validator reward. The bulk of this cost is paid indirectly via inflation, but it is a real cost nonetheless, as I discussed in a recent article. As many validators have recently halted their activity due to price declines, we can be pretty sure that the current cost is close to the marginal cost of validation, i.e. there is no economic rent paid to miners. This means that we would not expect, at a mature equilibrium, substantially lower fees.
This expense is prohibitive for the vast majority of potential use cases and severely limits the usability of Bitcoin or any other successful PoW network.
3c. Confirmation latency
PoW consensus is, by construction, probabilistic. That is, a transaction is not finalized when it is included in a block since there is always a chance that an alternative chain overtakes it. The rule of thumb in Bitcoin is to wait 6 blocks — waiting any less puts the recipient at serious risk of becoming a victim of a double spend attack. As stated previously, this analysis is faulty in that it assumes constant attacker power; more robust, game-theoretic analysis suggests that the appropriate waiting time (at a mature state of the network) is far longer.
Regardless, even at just 6 blocks, Bitcoin requires recipients to wait 1 hour for a transaction to be confirmed in expectation. Since accumulated hash power is linear in time, increasing the block time (as in Ethereum) does nothing to decrease the latency for a given security level.³
While latency on the order of 15 minutes to 1 hour is fine in some contexts (wires, remittances, etc), it is prohibitive in many practical payments contexts that could benefit the most from DLT. Furthermore, even for those use cases where such a wait time is acceptable, there is a potentially large cost of exposure to the volatility of Bitcoin or network token, which cannot be minimized below this confirmation window.
While Bitcoin and proof-of-work has proven invaluable in bootstrapping the public’s understanding and acceptance of the concept of cryptocurrencies, it is critically hamstrung as the backbone of a viable, long-term solution.
There are serious security issues inherent in proof-of-work, and the traditional framework for parameterizing risks has proven to be woefully inadequate given increased understanding of the game theory of cripto networks. This is exacerbated by poor economic incentive alignment and the rise of a robust hash power market, both of which make it relatively inexpensive to pull off a 51% attack. Even in the absence of malice, the variance of miner incentives and lack of a punishment mechanism make PoW unstable without significant, long-run inflation, calling into question its viability even just as a pure store of value. Other factors, such as centralization tendencies and questionable mathematical basis of Byzantine fault tolerance, further undermine security.
PoW also suffers from performance issues that are not correctable given our current understanding. The first layer is inherently limited by consensus rather than hardware at very low capacities of (generously) low hundreds of TPS or less, while first layer scaling solutions like sharding are largely incompatible with PoW. The limited capacity of the first layer in turn makes PoW networks unsuitable for second layers due to both practical and security considerations. Confirmation latency similarly is constrained at high levels of 15 minutes or more, without any way to meaningfully shorten it.
Finally, inefficiencies such as energy usage lead to high costs per transaction, even with relatively weak security.
Given the evidence, it is hard to conclude anything other than that Bitcoin and proof-of-work is not the long-term answer for the decentralized applications of tomorrow. An alternative solution that solves all of these issues is non-trivial to construct, but it is certainly possible. Currently, the most promising approach involves a proof-of-stake Sybil control mechanism coupled with a non-probabilistic, classical consensus algorithm with a strong economic incentive system that includes features like slashing and low reward variance. Such a system can dramatically improve capacity, reduce confirmation latency, and minimize fees and is compatible with additional scaling solutions like second layers and sharding.
Unfortunately, due to the value at stake, the cripto space has become increasingly ideological and loathe to accept results that challenge established views. It is critical that participants and stakeholders move beyond tribalism and reembrace the spirit of cooperative innovation that characterized the early days of cripto in order to deliver on the transformative potential that Bitcoin originally promised.