Сооснователь Эфириума Виталик Бутерин рассказал о своем взгляде на децентрализацию и приложении этой концепции к реализации криптовалютных и блокчейн-систем, в частности, при дальнейшем развитии проекта Ethereum.

«Децентрализация» – один из наиболее часто встречающихся терминов в криптоэкономическом пространстве, иногда его даже называют основной причиной существования блокчейна, однако смысл его крайне расплывчат. Тысячи тысяч часов исследований и миллиарды долларов уже затрачены на попытки достичь децентрализации, улучшить или защитить ее, а когда градус всевозможных дискуссий повышается, то распространенным аргументом сторонников какого-либо протокола, (или расширения протокола) становится заявление, что предложение оппонента «централизованное», высказываемое в качестве решающего довода. Однако, когда дело доходит до определений, то наступает путаница.

Рассмотрим, например, совершенно бесполезную, но удивительно широко распространенную диаграмму:

децентрализация

Теперь рассмотрим два ответа популярного сайта Quora на вопрос «чем отличаются термины "распределенный" и "децентрализованный"». Первый воспроизводит приведенную выше диаграмму, а второй дает ответ: «"распределенный" означает, что не вся обработка транзакций сосредоточена в одном месте», в то время как «"децентрализованный "означает, что ни одна структура не имеет контроля над обработкой процесса». Между тем, первый же ответ на тот же вопрос на странице Stackexchange, посвященной Эфириуму, выдает весьма похожую диаграмму, в которой слова «децентрализованный» и «распределенный» просто поменяли местами. Определенно, необходимо прояснить этот вопрос.

Три типа децентрализации

Когда разговор заходит о децентрализации ПО, речь может идти об одной из трех отдельно существующих осей централизации/децентрализации. Несмотря на то, что в некоторых случаях трудно их различить, в общем они вполне независимы. Вот эти оси:

Архитектурная (де)централизация – из какого количества физических компьютеров состоит система? Какое максимальное количество можно отключить одновременно, при условии, что система останется устойчивой?

Политическая (де)централизация – какое количество индивидуумов или организаций фактически контролируют компьютеры, из которых состоит система?

Логическая (де)централизация – являются ли интерфейс и структуры данных, поддерживаемые системой, единым монолитным объектом, или представляют собой аморфный рой? Простой эвристический тест: если разрезать ситему на две половины, включая пользователей и провайдеров, продолжат ли обе половины функционировать в качестве автономных единиц?

Элементы весьма приблизительны, но лучше объяснить их подробно:

  • Традиционные корпорации политически централизованы (1 CEO), архитектурно централизованы (1 головной офис), и логически централизованы (нельзя разрезать на две части)

  • Гражданское право полагается на централизованный законодательный орган, в то время как общее право строится на множественных прецедентах, которые вели различные судьи (имеется в виду англо-саксонское прецедентное право, принятое в США и Великобритании (прим. перев.) Все же, гражданское право обладает некоторой степенью архитектурной децентрализации, поскольку множество судов могут иметь разное мнение, но общее право более децентрализовано. Однако, оба органа логически централизованы : «Закон есть закон».

  • Языки логически децентрализованы; английский, на котором говорят Алиса и Боб, и английский, который используют Чарли и Дэвид, не нуждаются в согласовании. Для существования языка не требуется централизованная инфраструктура, и правила английской грамматики не контролируются какой-либо персоной или организацией (в то время как Эсперанто был изначально изобретен Людвиком Заменгофом, хотя в настоящее время он представляет собой живой язык, который развивается самостоятельно, без контролирующего органа.

  • BitTorrent логически децентрализован, подобно английскому языку. Сети доставки контента (CDN) похожи на него, однако они, как правило, контролируются какой-то одной компанией.

  • Блокчейны политически (их никто не контролирует) и архитектурно (нет центрального слабого звена) децентрализованы, однако они централизованы логически (существует одно согласованное состояние, и система ведет себя как единый компьютер).

Зачастую, когда люди обсуждают преимущества блокчейна, они описывают удобства «единой центральной базы данных» – это логическая централизация, и во многих случаях она полезна (хотя, например, Хуан Бенет (Juan Benet) из IPFS выступает за логическую децентрализацию везде, где это возможно, поскольку логически децентрализованные системы хорошо переносят разделение, работают в местностях с плохой связью, и т д..)

Архитектурная централизация часто приводит к политической централизации, хотя и необязательно – при формальной демократии, политики встречаются и голосуют в некотором физическом помещении, но владельцы или персонал этого помещения не имеют никакой власти над принятием решений. 

В компьютеризированных системах может существовать архитектурная, но не политическая децентрализация: например, если онлайн сообщество для удобства использует централизованный форум, но при этом существует общепринятый социальный контракт, который гласит, что если владельцы форума начнут недружественные действия, все перейдут на другой форум.

Логическая централизация делает достижение архитектурной децентрализации сложнее, но не делает ее невозможной – ведь сети децентрализованного консенсуса работают, хотя создать и настроить их сложнее, чем поддерживать BitTorrent. Также, логическая централизация делает сложнее достижение политической децентрализации – в логически централизованных системах сложнее добиться устраивающего всех результата простым принципом «живи и дай жить другим» – пример тому история с TheDAO, или дебаты о размере блока Биткойна.

Три причины для децентрализации

Следующий вопрос; чем же так полезна децентрализация? Вот наиболее часто встречающиеся ответы:

  • Отказоустойчивость – вероятность случайного сбоя в децентрализованных системах меньше, поскольку они полагаются на множество независимых компонентов.

  • Сопротивление враждебным действиям – атака и разрушение децентрализованных систем, а также взятие их под контроль, стоят дорого, поскольку в них отсутствуют слабые звенья, атака на которые обойдется гораздо дешевле, чем стоимость окружающей экономической системы.

  • Сопротивление сговору – в децентрализованной сети участникам сложно сговориться между собой с целью извлечения дополнительных преимуществ за счет других участников. И напротив, лидеры корпораций и правительств вступают в сговоры, обеспечивая себе преимущества, за счет хуже скоординированных граждан, клиентов, работников, да и просто широкой публики.

Все эти аргументы вполне логичны, однако они же приводят к интересным, хотя и различным выводам, если учитывать их одновременно при разработке конкретных протоколов. Попробуем развернуть каждый из этих аргументов по очереди.

В отношении отказоустойчивости ключевой аргумент довольно прост: достаточно сравнить вероятность того, что откажет один компьютер с вероятностью того, что 5 из 10 компьютеров откажут одновременно. Сам принцип непротиворечив, и он используется во многих ситуациях реальной жизни, включая реактивные двигатели, источники бесперебойного питания, диверсификация финансовых портфелей, и конечно, компьютерные сети.

Однако, этот вид децентрализации, хотя его эффективность и важность остаются высоки, часто оказывается меньшей панацеей, чем предсказывает наивная математическая модель. Распространенное явление – отказ по общей причине. Конечно, вероятность одновременного отказа четырех реактивных двигателей меньше, чем одного, однако что, если все четыре двигателя были изготовлены на одном заводе, и возможность поломки была заложена недобросовестным работником во всех четырех?

Обладают ли сегодняшние блокчейны защитой против отказа по общей причине? Не факт. Рассмотрим следующие сценарии:

  • Все ноды блокчейна выполняют код одного и того же клиента, и в этом коде оказывается баг.

  • Все ноды блокчейна выполняю код одного и того же клиента, и разработчики этого клиента оказываются коррумпированными.

  • Исследовательская группа, предлагающая апгрейд протокола, оказывается коррумпированной.

  • PoW блокчейн, 70% майнеров которого находятся в одной стране: правительство страны принимает решение о конфискации майнинговых ферм в интересах национальной безопасности.

  • Большая часть майнингового оборудования производится одной и той же компанией, и эта компания встраивает в оборудование бэкдор, позволяющий отключить оборудование.

  • PoS блокчейн: 70% валидаторских депозитов содержатся на одной и той же бирже (или любой другой централизованной платформе).

Целостный взгляд на децентрализацию отказоустойчивости помогает минимизировать эти риски. Некоторые заключения вполне очевидны:

  • Критическая важность множественных реализаций протокола.

  • Информация о технических соображениях, стоящих за апгрейдами протокола, должна быть максимально открытой, чтобы члены сообщества имели возможность участия в исследовательских дискуссиях. Критика должна всячески приветствоваться.

  • Ключевые разработчики и исследователи должны работать в разных компаниях и организациях (или быть волонтерами)

  • Технология майнинговых алгоритмов должна минимизировать риски централизации

  • Эфириум стремится к использованию PoS для того, чтобы полностью уйти от рисков централизации (правда, PoS порождает свои риски).

Отметим, что требования отказоустойчивости в первоначальной форме фокусируются на архитектурной децентрализации, однако, как только подключаются соображения об отказоустойчивости сообщества, которое управляет продолжающейся разработкой протокола, мы переходим к не менее важной политической децентрализации. Ряд «чистых» экономических моделей гласит, что децентрализация не так уж и важна. Если правила протокола гарантируют, что валидаторы теряют 50 миллионов долларов в случае 51% атаки (т. е., обратимость завершенных транзакций), то не так важно, контролируются ли они одной компанией или сотней – 50 миллионов долларов экономической безопасности остаются гарантией безопасности. 

Фактически, в теории игр рассматривается ряд случаев (теорема Эрроу), в которых централизация может даже максимизировать понятие экономической безопасности. Модель выбора транзакций в существующих блокчейнах также отражает это понятие, поскольку включение транзакции в блоки посредством майнеров, предлагающих блоки, есть не что иное, как диктатура, правда, с очень высокой ротацией диктаторов.

Однако, как только мы принимаем более развитую экономическую модель, в частности такую, которая допускает возможность принуждения, (или более тонкие случаи, типа таргетированной DoS атаки, направленной против узлов), децентрализация становится необходимой. К примеру, если валидатору угрожают убийством, если он не предпримет действий, необходимых атакующему, то перспектива потери 50 миллионов долларов уже не столь важна для него. Однако если эти 50 миллионов распределены между десятью валидаторами, это означает, что атакующий должен одновременно угрожать вдесятеро большему количеству людей. В общем случае, многие ситуации современного мира характеризуются асимметрией атака/защита в пользу атакующего – здание, строительство которого стоит 10 миллионов долларов, можно разрушить меньше чем за 100 000, однако преимущество атакующего зачастую нелинейно: если цена строительства 10 миллионов, а разрушение стоит 0,1 миллион, то если цена строительства составляет 1 миллион, то разрушение стоит 0,03 миллиона. Меньшие суммы дают лучшие коэффициенты.

Какие отсюда следуют выводы? Прежде всего, это демонстрирует преимущество консенсуса POS перед POW, поскольку компьютерное оборудование легко обнаружить, регулировать или атаковать, в то время как криптовалютные ценности могут быть надежно скрыты (кроме того, POS обладает сильным сопротивлением атаке и по другим причинам). Второе, это довод в пользу распределенных команд разработчиков, включая географическую распределенность. Третье: как экономическая модель, так и модель отказоустойчивости должны учитываться при разработке протоколов консенсуса.

И наконец, мы переходим к, вероятно, самой сложной причине децентрализации – сопротивляемости сговору. Дать точное определение сговору нелегко, хотя самым простым определением будет: «Сговор – это координация, которая нам не нравится». В реальной жизни встречается много ситуаций, в которых одна группа, способная координировать свои действия, в то время как другие не могут, становится опасной.

Один простой пример – антимонопольное (антитрестовое) законодательство. Это комплексные регуляторные барьеры, расставленные таким образом, чтобы затруднить участникам одной стороны рыночного пространства собраться вместе и действовать в качестве монополиста, для получения дополнительных прибылей за счет как другой стороны рынка, так и за счет благосостояния всего общества. Другой пример – правила, запрещающие активную координацию между кандидатами и Комитетами в поддержку кандидатов на выборах в США, хотя воплотить их в жизнь оказалось трудным делом. Можно сказать, что попытки предотвратить нежелательную координацию в комплексных структурах предпринимаются повсеместно.

В случае протоколов блокчейна, математическое и экономическое обоснование, стоящее за безопасностью консенсуса, часто полагается на модель нескоординированного выбора, или на допущение, что игра состоит из множества мелких игроков, независимо принимающих решения. Если любой игрок в системе PoW получает больше 1/3 майнинговой мощности, он может начать получать дополнительную прибыль посредством эгоистического майнинга. Однако, можно ли говорить о том, что модель нескоординированного выбора реалистична, когда представители 90% майнинговой мощности Биткойна достаточно хорошо скоординированы для того, чтобы оказаться вместе на одной конференции?

масштабирование конференция

Сторонники блокчейна указывают на повышенную надежность системы, поскольку в блокчейне нельзя произвольно менять правила, но этот аргумент трудно принять, если разработчики ПО и протокола работают на одну и ту же компанию, являются членами одной семьи и сидят в одной комнате. Здравая мысль здесь в том, что такие системы не должны действовать как эгоистичные, унитарные монополии. Отсюда следует, что если мы хотим сделать блокчейн более надежным и безопасным, нужно сделать его менее скоординированным.

Однако, здесь возникает фундаментальный парадокс. Сообщество Эфириума часто хвалят за сильный командный дух и способность быстро координироваться в реализации и активации хардфорков за короткие сроки. Как же мы можем проводить и усовершенствовать эту «хорошую координацию», и в то же время предотвращать «плохую координацию», которая состоит из майнеров, с атаками 51%?

Есть три варианта ответа на этот вызов:

  • Не тратить силы на борьбу с нежелательной координацией; вместо того, попытаться построить протоколы, которые могут ей противостоять.

  • Попытаться найти удачную среду, которая допускает достаточную координацию в целях развития протокола, но недостаточную для поддержки атак.

  • Попытаться провести разграничение между полезной и вредной координацией, сделать проведение первой легче, а второй – труднее.

Первый подход составляет значительную часть философии конструирования протокола Casper. Однако, этого недостаточно, поскольку если мы будем полагаться только на экономику, то не сможем учесть две другие угрозы децентрализации.

Второй подход более сложен в инженерном плане, особенно в длительной перспективе, но его цели зачастую могут быть достигнуты случайным образом. Например, тот факт, что ключевые разработчики Биткойна, в основном, говорят по английски, а подавляющая часть майнеров говорит по китайски, может рассматриваться как счастливый случай, поскольку он создает вид «двухпалатного правительства», что делает координацию более затруднительной, попутно уменьшая риск отказа по общей причине, поскольку действия англоговорящего и китайского сообществ будут несколько отличаться в силу расстояний и коммуникационных особенностей, что снизит вероятность того, что они сделают одинаковые ошибки.

Третий подход является социальной проблемой в большей степени, чем остальные. Варианты решения могут включать в себя:

Социальные интервенции в попытке увеличить лояльность сообществу данного блокчейна как целого, и снизить вероятность того, что игроки на всех сторонах рынка будут проявлять лояльность друг другу напрямую.

Развивать коммуникационные каналы между разными «частями рынка» в том же самом контексте, имея целью снизить вероятность того, что валидаторы, разработчики или майнеры начнут рассматривать себы как «класс», который должен координировать свои действия против других классов.

Конструировать протокол таким образом, чтобы снизить мотивацию валидаторов/майнеров к «специальным отношениям» один на один.

Создать понятные нормы: какие фундаментальные свойства должен иметь протокол, и что делать нельзя, или что можно делать только при экстремальных обстоятельствах.

Этот вид децентрализации – предотвращение нежелательной координации наиболее трудно достижим, и уступки здесь неизбежны. Возможно, наилучшим решением этой проблемы станет опора на гарантированно децентрализованную группу – пользователей протокола.