Nichts ist schlimmer als Proof of Stake

Dieser Artikel ist eine Übersetzung des Artikels “Nothing is worse than Proof of Stake” von factchecker.

Zusammenfassung: Proof of Stake (PoS) erreicht das genaue Gegenteil der dezentralen Kontrolle, die von sicheren Kryptowährungsprotokollen erwartet wird.

• PoS wird durch intern gehaltene Token ermöglicht, die einer zentralen Partei gehören, welche wiederum unabhängigen externen Parteien den Zutritt verweigern kann.
• Es gibt keinen Mechanismus in PoS, der irgendjemanden dazu zwingt, seine Kontrolle aufzugeben. Niemals.
• PoS gibt den internen (zentralen) Parteien einen Mechanismus (Staking), um ein ständiges Wachstum des Anteils an Kontrolle zu garantieren
• Proof of Stake Slashing Varianten sind selbstschädigend und fördern Angriffe

---

Der Begriff “Kryptowährung” wurde 2009 geschaffen, um die einzigartige Errungenschaft von Bitcoin zu beschreiben, kryptografische Primitive zur Dezentralisierung von Kontrolle zu nutzen. Seitdem wird dieser Begriff auch auf andere Netzwerke angewandt und damit impliziert, dass sie, ähnlich wie Bitcoin, dezentralisiert sind. Digitale Währungen mit Proof of Stake tauchten um 2013 auf und klangen großartig, da sie eine umweltfreundliche Alternative versprachen.

Was kann schon schiefgehen bei einem Design nach dem Motto: “Lasst uns den Konsens nach dem Besitz von Coins gewichten, anstatt nach der gesammelten Arbeit, damit die Blockproduzenten einen Anteil am Netzwerk haben.”?

Offenbar eine Menge.

Diese Zusammenfassung ist inspiriert von ‘Nothing is Cheaper than Proof of Work‘ und ständig andauernden Missverständnissen.

PoS wird durch intern gehaltene Token ermöglicht, die unabhängigen externen Parteien den Zutritt verwehren können.

Es gibt ein beliebtes Sprichwort: “Proof of Stake ist so sicher wie eine Datenbank.”
Dein Zugriff von außen wird buchstäblich durch intern gehaltene Token erlaubt, nicht viel anders als Auth-Tokens in Datenbanken.

Was Proof of Work (PoW) neu und erstaunlich macht, ist die Bereitstellung von wirtschaftlicher Endgültigkeit in einem erlaubnisfreien (permissionless) System.

Die Fähigkeit, Erlaubnis zu erteilen oder zu verweigern, ist Kontrolle.

Anstatt ein Netzwerk über eine begrenzte Anzahl von Token zu sichern, die intern (oder ich wage einmal zu sagen: zentral) gehalten werden, ist das Schöne an PoW, dass es erlaubnislos ist, indem es sich auf Ressourcen von außen verlässt: alles, was du brauchst, ist der Zugang zu Elektrizität und Materie, die überall im Universum vorhanden ist, um Coins zu erhalten, deine eigenen Transaktionen einzuschließen oder einen Konsens durch ein von dir zu bestimmendes Gewicht zu bewirken.

Kontrolle, die nur an erlaubte Parteien verteilt wird, ist von zentraler Kontrolle nicht zu unterscheiden. Dezentralisierung ist speziell die Verteilung der Kontrolle an unabhängige Parteien mit unabhängigen Interessen. Da die Erlaubnis für unabhängige externe Parteien sowohl für den Zugang, als auch, was noch wichtiger ist, für das Gewicht im Konsens verweigert werden kann, kann es keine dezentrale Sicherheit geben.

Es ist trivial, nur seine eigenen anonymen Accounts auszuwählen oder diejenigen, die bereits zugestimmt haben, mit dir zu kollaborieren. In dem Moment, in dem sich das Netzwerk dazu entschließt, erlaubnisfrei zu sein, wird es für das Thema der dezentralen Technologie wie Kryptowährungen nicht mehr relevant.

Proof of Work wird durch erlaubnisfreie externe Ressourcen des Universums gesichert, Proof of Stake wird durch eine erlaubte interne begrenzte Ressource gesichert.

Beispiel: In einem Proof of Stake System mit 100 Coins, die ich gedruckt habe, kann ich entscheiden, dass nur 10 auf offenen Märkten zugelassen werden. Nur ich kann entscheiden, ob alle anderen zusammen mehr als die von mir erlaubten 10 Coins zum Konsens bringen können.

Dezentralisierung bedeutet auch, nicht nur die Kontrolle zu verteilen, sondern auch resistent gegen geheime Absprachen zu sein, die kleinere Nutzer ausnutzen, indem allen der Zugang offen steht. Das ist der Grund, warum die Sicherung von Coins für Außenstehende über eine Multisig- oder Mehrparteienberechnung nicht als vertrauensminimierend für außenstehende Parteien angesehen wird: Interne Parteien haben die Möglichkeit, profitabel zu stehlen.

Die Kontrolle, die an viele Konten der gleichen Partei verteilt wird, erscheint auf der Chain ununterscheidbar gegenüber vielen unabhängigen Parteien, die eine gute Verteilung bewirken. Daher sind Nutzer in PoS gezwungen, sich nur darauf zu verlassen, dass Kontrolle aus altruistischen Gründen aufgegeben wird. Gini-Koeffizienten, ICO-Beteiligung, Coin-Ausschüttungen sind alles reine Spekulationen darüber, wem die Accounts gehören. Nur das Design selbst, das einen erlaubnisfreien Zugang erlaubt oder nicht, ist objektiv bekannt.

PoS ist einfach keine Alternative zu vertrauensminimierten Konsensprotokollen und auch kein Allheilmittel gegen 51%-Angriffe. “Pain is the cost of living” und in ähnlicher Weise sind PoW-Kosten und die Möglichkeit von 51%-Angriffen die Kosten von erlaubnisfreien dezentralen Netzwerken.

Dies allein sollte schon Grund genug sein, alle Proof of Stake Designs zu verwerfen, aber lass uns noch weiter gehen.

Es gibt KEINEN Mechanismus in Proof of Stake, der irgendjemanden dazu zwingt, jemals Kontrolle aufzugeben. NIEMALS.

PoS hat keinen kontinuierlichen erlaubnisfreien oder kostspieligen Verteilungsmechanismus. Staking sorgt für neue Coin-Emissionen, die äquivalent pro eingesetztem Coin verteilt werden. Nicht nur kann die zentrale Partei genau entscheiden, wie viel Kontrolle andere haben dürfen, kann sie, wenn überhaupt, auch die Kontrolle ohne eigene Kosten für immer behalten oder ausbauen.

Es ist hilfreich zu verstehen, was eine kontinuierliche Dezentralisierung mit PoW möglich macht. Die PoW-Emission von Coins hat eine eingebaute, nicht fälschbare Kostspieligkeit, die zu Folgendem führt:

1. PoW erzwingt kontinuierliche Kosten für jeden, ohne Ausnahmen
2. Die Ausrüstung altert und erzwingt Austausch- und Ersatzkosten (eine externe Art von Beteiligung am Netzwerk)
3. Miner treten ohne Erlaubnis bei, bis die Kosten ≈ Gewinne sind, und diese Kostspieligkeit in der Größenordnung der Gewinne zwingt Miner dazu, die Mehrheit der neuen Coins zu verkaufen, um weiter zu minen
4. Die nie endenden Kosten erzwingen eine nie endende Umverteilung von Blockrewards und Gebühren über den Markt. Dies ist effektiv eine kontinuierliche Verteilung der Kontrolle, die jedem mit Zugang zu den Märkten dieser Coins zur Verfügung steht.
5. Die Märkte bekommen im Gegenzug die Möglichkeit, den Wert der Anreize zu bepreisen, von denen die Miner abhängig sind, um den Wert zu erhalten.

PoS Staking ist das Gegenteil: Ohne Kosten kann man die Verteilung von Coins oder Kontrolle nicht erzwingen. Es gibt den bereits internen Mitgliedern kontinuierliche, immerwährende Belohnungen. Die Ausrüstung altert nicht. Staking kann ohne zusätzliche Kosten ewig weitergehen. Die Emission in PoS gilt für alle gesetzten Coins gleichermaßen, was bedeutet, dass sich die Verteilung der Kontrolle nicht ändert: wenn du 70% des Einsatzes hattest, kannst du für immer 70% des Einsatzes haben.

Wenn nicht alle Coins der anderen Besitzer gestaked sind, bietet PoS der zentralen Partei einen Mechanismus, um ein ewiges Wachstum der Kontrolle, die sie bereits haben, zu garantieren. Unter der Annahme, dass die Blockchain von vielen anderen Nutzern häufiger genutzt wird als von der möglicherweise einzigen dominanten zentralen Partei, wird es mit ziemlicher Sicherheit unstaked Coins geben, um eine kontinuierliche Zentralisierung der Kontrolle zu garantieren.

Tatsächlich kannst du kontinuierlich Coins aus einem Bruchteil dieses ewigen Wachstums verkaufen, ohne jemals prozentuale Kontrolle aufzugeben (und kannst sogar gleichzeitig die prozentuale Kontrolle erhöhen). Das Worst-Case-Szenario ist die Verwendung von meist zentral zuvor gemineten (d.h. kostenlos gedruckten) Stakes auf der Proof of Stake-Blockchain, die buchstäblich für eine permanente vertrauenswürdige Partei in der Kontrolle entworfen wurde, ohne dass es eine praktische Möglichkeit gibt, jemals sicher zu sein, dass sie die Kontrolle aufgegeben hat (abgesehen von der Verbrennung der zuvor geminten Coins).

PoS ist nicht nur zentralisiert, sondern bietet auch einen Mechanismus, um die Kontrolle zu zentralisieren. Aber warte, es wird noch schlimmer, wenn die PoS-Implementierung auch Slashing verwendet.

Proof of Stake Slashing hebt nicht nur einen Teil von sich selbst auf, sondern kann sogar missbraucht werden, um andere anzugreifen

Die Grundidee von Proof of Stake ist, dass Stake-Besitzer Coins auf’s Spiel setzen. Wenn sie die Blockchain angreifen, kann der Marktwert ihres Stakes auf ~0 fallen (dies gilt für wirklich jede Blockchain). Slashing versucht, zusätzliche Mechanismen hinzuzufügen, bei denen die Coins der böswilligen Partei zerstört (burned) werden. Seltsamerweise ist die Gesamtgröße der Abschreckung für die Teilnehmer immer noch die gleiche – der Wert ihres Einsatzes, bestraft entweder durch die Märkte oder durch das Slashing. Eine genaue Erkennung von bösartigen Aktionen ist jedoch nicht immer möglich, da jedes Hilfsmittel missbraucht werden kann.

Es ist wichtig zu verstehen, dass der Wert des Netzwerks grob auf ihrer Marktkapitalisierung (Market Cap) basiert. Der prozentuale Anteil der Marktkapitalisierung misst den Wert und die Kontrolle, die eine Partei besitzt (die tatsächliche Anzahl der Coins, in die die Marktkapitalisierung aufgeteilt wird, um den Preis jedes Coins abzuleiten, ist irrelevant).

Front-Running-Transaktionen sind ein Beispiel für einen trivialen Angriff für Blockproduzenten, der schwer zu entdecken ist und profitabel sein kann, zum Beispiel in Liquiditätspool-basierten On-Chain-Börsen.

Wenn Staking Nodes geslashed werden können, weil sie nicht verfügbar sind, ist das ein Anreiz für DDoS-Blockproduzenten, sie zu slashen und ihren eigenen Anteil an der Market Cap zu erhöhen. Dies ist ein Beispiel für irreversible profitable Angriffe, die robuste Netzwerke nicht zulassen sollten.
Nutzer riskieren, geslashed zu werden, weil sie versehentlich zwei leicht unterschiedliche Blockversionen von etwas so Alltäglichem wie einem redundanten Backup-Node signiert haben.

Wenn ein großer Inhaber für, sagen wir mal, Double Spends geslashed wird, ist der Prozentsatz der Market Cap, die er verliert, umso weniger betroffen, je mehr er besitzt. Slashing, das zufällige Fälle trifft, spielt für große Owner fast keine Rolle:

Beispiel: wenn du 90/100 Coins besitzt und 9 Coins (10%) geslashed werden, besitzt du jetzt 81/91 Coins. Theoretisch sollten 9 10% deines Besitzes sein, aber bei gleichbleibender Market Cap und prozentual bist du von 90% der Market Cap auf 89% der Market Cap gegangen. Du hast nur 1% Wert & Kontrolle verloren!

Es kommt noch schlimmer.

Censorship Slashing ist eine Idee, um Blockproduzenten zu bestrafen, die versuchen Transaktionen zu zensieren. Allerdings kann jeder Zensur unterstellen, ohne tatsächlich zu veröffentlichen, was angeblich zensiert wurde oder die zensierte Nachricht abfangen. Diese Art des Slashings muss beide Parteien treffen, um falsche Behauptungen zu verhindern: die Partei, die Zensur unterstellt und die Partei, die angeblich zensiert. Es soll einer gegenseitig gesicherten Zerstörung gleichkommen (beide werden bestraft). Da Coins in PoS jedoch gleichbedeutend mit Kontrolle sind, können größere Halter (oder Absprachen) dies nutzen, um kleinere Halter profitabel anzugreifen:

Beispiel: Wenn du 90/100 Coins besitzt und andere 10/100 Coins besitzen und Zensur-Slashing jedem 5 Coins wegnimmt, besitzt du jetzt 85/90 und andere besitzen 5/90. Also ist dein Wert von 90% der Marktkapitalisierung auf 94% gestiegen, was buchstäblich Anreize für Absprachen und Angriffe bietet!

Proof of Stake ist buchstäblich in fast jedem Aspekt des Designs rückwärts gewandt für den Einsatzzweck von Kryptowährungen. Proof of Work ist einfach die einzige bekannte Lösung, um das dominante erlaubnisfreie dezentrale Netzwerk zu sichern. Behauptungen über die Ineffizienz von PoW im Vergleich zu PoS bei dezentralen Netzwerken sind falsch, da:

Effizienz = (nützlicher Output) / (Inputkosten),

und PoW dabei das einzige der beiden ist, das einen Zähler ungleich Null hat (nützlicher Output ist Sicherheit durch Dezentralisierung).

Andere Probleme von PoS

Es sind keine anderen Probleme notwendig, um PoS für Kryptowährungen auszuschließen. Aber, der Vollständigkeit halber, hier sind Verweise auf Arbeiten, die andere zusätzliche Probleme und falsche Pro-PoS-Argumente abdecken:

• Nothing at Stake: Die Idee basiert auf der Tatsache, dass alle Blöcke von PoS nichts kosten, im Gegensatz zu PoW (1, 2, 3). Dies wird auch als Grund dafür angegeben, dass einige Implementierungen Slashing-Bedingungen erfunden haben, die das Protokoll nur weiter kaputt machen.
• Die Kosten des Angriffs sind unbekannt, Menschen sind nicht gut im Konsens, Resilienz (1, 2)
• History-Key-Attacke oder History-Revision-Attacke (1): Idee, vorher bekannte Schlüssel von großen Besitzern zu verwenden (z.B. Premine, Börse), um eine gültigere lange Kette zu erstellen.
• Kontrollpunkte, schwache Subjektivität, Langstreckenangriffe (1, 2, 3)
• Falsche Gleichsetzung mit “zentralisierten Minern in China”: Miner kontrollieren die Blockchain nicht (1,2)
• Abhängigkeit von subjektivem, manuellem Löschen von Angreifern:

Seltsamerweise gibt es auch eklatante Lügen über die Größe des vertrauten (vorgemineten) Angebots, das für PoS verwendet werden soll (1). Es gibt auch Kritik am kaputten technischen PoS-Sicherheitsdesign, welches auf fiktiver Voreingenommenheit von Bitcoin (oder Proof of Work) “Maximalismus” beruht. Ersteres versucht, ICOs als eine vertrauensminimierte Verteilungsmethode zu tarnen, was sie definitiv nicht sind, aus dem einfachen Grund, dass der Kauf für Verkäufer kostenlos ist (1,2). Letzteres ist ein ad hominem, um vom diskutierten Thema abzulenken und zu versuchen, den Sprecher zu diskreditieren, was bei Kryptowährungen nur allzu häufig vorkommt.

Das ultimative Ziel von Kryptowährungen und dezentralen Technologiefeldern ist es, ein noch nie dagewesenes Maß an Sicherheit zu bieten. Das Wohlergehen ihrer Nutzer steht auf dem Spiel. Das Versäumnis, eine Technologie bereitzustellen, die den von gierigen Entwicklern angepriesenen Sicherheitseigenschaften entspricht, bringt reale Menschen in Gefahr und ist von einem Betrug nicht zu unterscheiden. Journalisten und Entwickler, die über diesen Bereich berichten, haben die Verantwortung, “keinen Schaden anzurichten” und zumindest vorrangig genaue Informationen zu liefern.

Mögliche Alternativen & “Virtual Mining”

Ich verstehe den Wunsch, eine Alternative zu Proof of Work zu finden, mit etwas, das nicht so viel Energie oder Equipment kostet. Darf ich anmerken, dass das bereits möglich ist und auch schon öfter gemacht wurde?

Was wäre also das ideale Design für solch eine Alternative:

1. nicht fälschbare gleichwertige Kosten für alle (um die Verteilung der Kontrolle zu erzwingen)
2. erlaubnisfreier Zugang über externe Ressourcen, die allen unabhängigen Parteien zur Verfügung stehen (um unabhängige Parteien zu ermöglichen)
3. niedrige Barriere für den Zugang (um die Anzahl der Parteien zu maximieren, an die die Kontrolle verteilt werden kann)
4. umweltfreundlich (der einzige Vorteil von PoS)

Proof of Burn (PoB) kann all diese Anforderungen erfüllen, indem es kontinuierlich EXTERNE Coins einer “Parent” Chain (z.B. Bitcoin) verbrennt, um eine abhängige “Child” Chain zu sichern. Das Verbrennen von Coins bedeutet hier, Coins für jedermann unauszahlbar zu machen, mit Transaktionen, die durch eine andere Blockchain (z.B. Bitcoin) als Beweis gesichert sind. Bitcoin-Burns sind gleichermaßen kostspielig und für jeden gleichermaßen verfügbar.

Das Verbrennen von Coins ist auch der ultimative ASIC-Widerstand (niemand kann heimlich ein Gerät entwickeln, mit dem er Coins billiger verbrennen kann). Zum Beispiel könntest du Proof of Work auf allen bis auf 1 Eltern-Blockchain durch Proof of Burning Coins für gültige Child-Chain-Verpflichtungen ersetzen, so dass dann die Child-Chains dem Chaintip mit dem meisten gesammelten Burn folgen. Ähnlich wie bei Proof of Work wird diese externe Ressource nicht umsonst verbrannt, sondern um von den Gebühren oder Block Rewards auf der Child Chain bezahlt zu werden.

Bonus: Wenn das Verbrennen von Bitcoin für die Blockvalidität der Child-Chain erforderlich ist, hast du plötzlich diesen kontinuierlichen, neuen Strom an externen Coins. Die Gültigkeit für den Konsens kann einfach auch erfordern, dass 1% von wie viel auch immer verbrannt wird, um Peg-Outs (Abhebungen) an die Parent-Chain zu tilgen. Das bedeutet, dass du theoretisch einen Token auf einer Child-Chain haben kannst, der 1:1 für echte Bitcoin eingelöst werden kann. Keine vertrauenswürdigen Orakel, keine Föderationen, keine Multi-Sigs. Das Einlösungsrisiko ist auf der gleichen Skala wie das Sicherheitsrisiko und das Risiko kann von jedem Teilnehmer bewertet werden.
Beispiel PoB-Designs: Altcoin Child Chain, Child Chain ohne Altcoin, Perpetual One-Way Peg, Soft Peg Child Chain, Blind Merged Mining (Lean)

Der einzige Aspekt, den ich noch nicht ganz gesehen habe, ist die Simulation von teuren Einzweck-Geräten (z.B. ASICs), die wir in PoW haben, um von Minern “Skin-in-the-game” zu verlangen, aber das scheint vorläufig nicht so schwierig zu implementieren. Proof of Stake Befürworter nennen PoS manchmal “virtuelles Mining”, aber es ist das Gegenteil, wie in dieser Arbeit erklärt und im Vergleich zu PoB verdient es den Begriff mehr.

Das andere Sidechain-Design, das keinen zusätzlichen PoW benötigt, ist eine Drivechain, die Merge-Mining betreibt.

Es ist nicht klar, ob es größere Probleme mit diesen Vorschlägen gibt, aber unabhängig davon sind sie dem Proof of Stake weit überlegen.

Spende uns:

Wenn dir dieser oder einer unserer anderen Beiträge gefallen hat, würden wir uns über eine kleine Spende freuen: