1. Введение

Данная работа затрагивает фундаментальный пробел в безопасности блокчейнов: отсутствие конкретных, неасимптотических границ безопасности для консенсуса на основе доказательства выполнения работы (Proof-of-Work, PoW), особенно для не-последовательных вариантов. Хотя консенсус Накамото в Bitcoin был проанализирован асимптотически, его вероятностная природа оставляет пользователей в неопределенности относительно финальности. Недавняя работа Li и др. (AFT '21) предоставила конкретные границы для последовательного PoW. Данная работа распространяет эту строгость на параллельный proof-of-work, предлагая новое семейство протоколов репликации состояния (Ak), которые используют k независимых криптографических задач на блок вместо единой цепочки.

Ключевое обещание — обеспечение финальности в рамках одного блока с количественно измеримой, чрезвычайно низкой вероятностью сбоя, что напрямую смягчает риски двойной траты, от которых страдают такие системы, как Bitcoin.

2. Основные концепции и предпосылки

2.1 Последовательный vs. Параллельный Proof-of-Work

Последовательный PoW (Bitcoin): Каждый блок содержит одно решение криптографической задачи, которое криптографически ссылается ровно на один предыдущий блок, формируя линейную цепочку. Безопасность опирается на правило «самой длинной цепочки» и ожидание нескольких подтверждений (например, 6 блоков).

Параллельный PoW (Предлагаемый): Каждый блок содержит k независимых решений криптографических задач. Эти решения агрегируются для формирования блока, создавая структуру, в которой несколько потоков доказательства выполнения работы вносят вклад в единое обновление состояния (см. Рис. 1 в PDF). Этот дизайн направлен на обеспечение более регулярного времени появления блоков и большей плотности proof-of-work за единицу времени.

2.2 Необходимость конкретных границ безопасности

Асимптотические доказательства безопасности (например, «безопасно для достаточно большого n») недостаточны для реального развертывания. Они не говорят пользователям, как долго ждать или каков точный риск. Конкретные границы предоставляют вероятность сбоя в наихудшем случае (например, $2.2 \times 10^{-4}$) при заданных конкретных параметрах сети (задержка $\Delta$) и мощности атакующего ($\beta$). Это критически важно для финансовых приложений, требующих точного управления рисками.

3. Предлагаемый протокол: Ak

3.1 Дизайн протокола и субпротокол согласования

Семейство протоколов Ak строится снизу вверх из базового субпротокола согласования. Этот субпротокол позволяет честным узлам достичь согласия о текущем состоянии с ограниченной вероятностью сбоя. Повторяя эту процедуру согласования, строится полный протокол репликации состояния, который наследует конкретную границу ошибки.

Ключевой принцип дизайна: Использовать k независимых задач для генерации блока. Это увеличивает «плотность работы» на интервал блока, делая статистически более трудным для атакующего тайное создание конкурирующей цепочки равного веса.

3.2 Выбор и оптимизация параметров

В работе даются рекомендации по выбору оптимальных параметров (в первую очередь k и сложности задачи) для широкого спектра предположений:

  • Синхронность сети: Наихудшая задержка распространения сообщений ($\Delta$).
  • Мощность противника: Доля общей хешрейта, контролируемая атакующим ($\beta$).
  • Целевой уровень безопасности: Желаемая верхняя граница вероятности сбоя ($\epsilon$).
  • Цели по пропускной способности/задержке: Ожидаемое время блока.

Например, чтобы сохранить 10-минутное ожидаемое время блока Bitcoin, но с гораздо более высокой безопасностью, можно выбрать k=51 задач на блок, при этом каждая задача будет соответственно проще для решения.

4. Анализ безопасности и конкретные границы

4.1 Верхние границы вероятности сбоя

Основной теоретический вклад — вывод верхних границ для вероятности сбоя в наихудшем случае протокола Ak. Сбой определяется как нарушение безопасности (например, двойная трата) или живучести. Границы выражаются как функция от $k$, $\beta$, $\Delta$ и параметра сложности задачи.

Анализ, вероятно, основывается и расширяет модели «приватной атаки» и «балансирующей атаки», используемые для последовательного PoW, адаптируя их к параллельной среде, где атакующий должен решать несколько задач параллельно для конкуренции.

4.2 Сравнение с последовательным PoW (Bitcoin)

Сравнение безопасности: Параллельный PoW (k=51) vs. «Быстрый Bitcoin»

Сценарий: Атакующий с 25% хешрейта ($\beta=0.25$), задержка сети $\Delta=2с$.

  • Параллельный PoW (Предлагаемый): Вероятность сбоя для консистентности после 1 блока ≈ $2.2 \times 10^{-4}$.
  • Последовательный PoW («Быстрый Bitcoin» при 7 блоках/мин): Вероятность сбоя после 1 блока ≈ 9%.

Интерпретация: Атакующий мог бы успешно провести двойную трату примерно раз в 2 часа против быстрого Bitcoin, но ему потребовалось бы потратить работу на «тысячи блоков без успеха» против параллельного протокола.

5. Экспериментальные результаты и симуляция

Работа включает симуляции для проверки теоретических границ и тестирования устойчивости.

  • Валидация границ: Симуляции в рамках предположений модели подтверждают, что выведенные конкретные границы выполняются.
  • Тестирование устойчивости: Симуляции при частичном нарушении проектных предположений (например, неидеальная синхронность, слегка отличающееся поведение противника) показывают, что предлагаемая конструкция остается устойчивой. Это критически важно для реального развертывания, где идеальные модели редко выполняются идеально.
  • Описание графика (подразумеваемое): Ключевой график, вероятно, отображает Вероятность сбоя (логарифмическая шкала) в зависимости от Мощности хеширования атакующего ($\beta$) для различных значений k. Этот график показал бы крутое, экспоненциальное снижение вероятности сбоя с увеличением k, особенно для умеренных значений $\beta$, наглядно демонстрируя преимущество в безопасности перед последовательным PoW (одна линия для k=1).

6. Технические детали и математический аппарат

Анализ безопасности основан на вероятностном моделировании гонки PoW. Пусть:

  • $\lambda_h$: Скорость, с которой честный коллектив решает задачи.
  • $\lambda_a = \beta \lambda_h$: Скорость, с которой атакующий решает задачи.
  • $k$: Количество задач на блок.
  • $\Delta$: Граница задержки сети.

Суть вывода границ включает анализ гонки биномиального или пуассоновского процесса между честной сетью и атакующим. Вероятность того, что атакующий может тайно решить k задач (чтобы создать конкурирующий блок) до того, как честная сеть решит достаточное количество на своих узлах, ограничивается с использованием хвостовых неравенств (например, неравенств Чернова). Параллельная структура превращает проблему в необходимость для атакующего получить k успехов до того, как честная сеть достигнет определенного отрыва, что для больших k становится экспоненциально маловероятным, если $\beta < 0.5$. Упрощенная концептуальная граница может выглядеть так: $$P_{\text{fail}} \leq \exp(-k \cdot f(\beta, \Delta \lambda_h))$$ где $f$ — функция, отражающая преимущество честных узлов. Это демонстрирует экспоненциальное улучшение безопасности с ростом k.

7. Структура анализа: Ключевая идея и логика

Ключевая идея: Прорыв работы заключается не просто в параллельных задачах, а в количественно измеримой определенности, которую это дает. В то время как другие (например, Bobtail) эвристически утверждали, что параллельный PoW улучшает безопасность, данная работа впервые математически точно определяет компромисс между параллелизмом (k), скоростью работы и временем финальности. Она превращает безопасность из игры «ждать и надеяться» в инженерный параметр.

Логика изложения:

  1. Проблема: Последовательный PoW (Bitcoin) имеет неограниченную, вероятностную финальность. Асимптотические границы бесполезны для практиков.
  2. Наблюдение: Параллелизация работы внутри блока увеличивает статистическую «жесткость» цепочки, затрудняя ее тайный обгон.
  3. Дизайн механизма: Построить минимальный субпротокол согласования (Ak), использующий эту жесткость. Его безопасность анализируема в синхронной модели.
  4. Математизация: Вывести конкретные, вычисляемые верхние границы вероятности сбоя Ak.
  5. Инстанциация протокола: Повторять Ak для построения полного блокчейна. Граница безопасности переносится.
  6. Оптимизация и валидация: Предоставить методологию выбора k и сложности, а также провести симуляции для демонстрации устойчивости.
Эта логика отражает строгий инжиниринг безопасности, наблюдаемый в традиционных распределенных системах (например, семейство Paxos), теперь примененный к консенсусу без разрешений.

8. Сильные стороны, недостатки и практические выводы

Сильные стороны:

  • Конкретная безопасность: Это главное достоинство. Она позволяет развертывание с учетом рисков. Платежный шлюз теперь может сказать: «Мы принимаем транзакции после 1 блока, потому что риск двойной траты составляет ровно 0.022%, что ниже нашего уровня мошенничества по кредитным картам».
  • Потенциал финальности в одном блоке: Кардинально сокращает время расчетов для высокоценных транзакций, что является ключевым узким местом для внедрения блокчейна в финансах.
  • Параметризованный дизайн: Предлагает настраиваемый параметр (k) для баланса между безопасностью, пропускной способностью и децентрализацией (поскольку более простые задачи могут снизить барьеры для майнинга).
  • Строгий фундамент: Строится непосредственно на установленной синхронной модели Pass и др. и работе по конкретным границам Li и др., что придает ей академическую достоверность.

Недостатки и критические вопросы:

  • Опора на синхронную модель: Весь анализ основывается на известном $\Delta$. В реальном мире (интернет) $\Delta$ — это вероятностная переменная, а не граница. «Устойчивость» симуляций к нарушениям предположений обнадеживает, но не является доказательством. Это фундаментальное противоречие во всех синхронных доказательствах для блокчейнов.
  • Накладные расходы на связь: Агрегация k решений на блок увеличивает размер блока и нагрузку на верификацию. Для k=51 это существенно. В работе необходимо более четкое обсуждение масштабируемости этих накладных расходов.
  • Стратегия майнеров и централизация: Изменяет ли параллельный PoW теорию игр майнинга? Может ли это по-новому стимулировать пулы (как в Bitcoin)? Анализ предполагает честное большинство, следующее протоколу — стандартное, но часто нарушаемое предположение.
  • Базис для сравнения: Сравнение с «быстрым Bitcoin» (7 блоков/мин) слегка несправедливо. Более справедливым было бы сравнение с последовательным PoW с той же общей скоростью хеширования за единицу времени. Однако их аргумент о скорости финальности остается в силе.

Практические выводы:

  1. Для дизайнеров протоколов: Это готовый план. Семейство Ak должно быть отправной точкой для любого нового PoW-блокчейна, требующего быстрой финальности, особенно в контролируемых средах (например, консорциумные цепочки), где $\Delta$ может быть разумно ограничено.
  2. Для предприятий: Прекратите использовать «6 подтверждений» как мантру. Используйте эту структуру, чтобы рассчитать собственную глубину подтверждения на основе вашей терпимости к риску, предполагаемой мощности атакующего и сетевой задержки.
  3. Для исследователей: Самый большой открытый вопрос — переход к частичной синхронности или асинхронности. Можно ли вывести аналогичные конкретные границы в этих более реалистичных моделях? Также исследуйте гибридные дизайны, сочетающие параллельный PoW с другими механизмами финальности (как Casper в Ethereum).
  4. Критический следующий шаг: Реализовать это в тестовой сети (например, форк Bitcoin Core) и подвергнуть стресс-тестированию в реальных сетевых условиях. Теория многообещающая; теперь ей нужна проверка боем.

9. Будущие применения и направления исследований

  • Расчеты для высокочастотной торговли (HFT): HFT на основе блокчейна требует финальности за доли секунды с почти нулевым риском. Настроенная параллельная PoW-цепочка в низколатентной управляемой сети может быть жизнеспособным решением.
  • Цифровые валюты центральных банков (CBDC): Для оптовых CBDC, где участники известны и сетевыми условиями можно управлять, параллельный PoW предлагает прозрачный, удобный для аудита консенсус с количественно измеримым риском расчетов.
  • Мосты между цепочками и оракулы: Эти критические компоненты инфраструктуры требуют чрезвычайно высокой безопасности для финальности состояния. Сайдчейн с параллельным PoW, предназначенный для консенсуса мостов, мог бы обеспечить более сильные гарантии, чем многие текущие дизайны.
  • Конвергенция с Proof-of-Stake (PoS): Исследования могут изучить «параллелизуемые» версии PoS или гибридные модели, где безопасность обеспечивается несколькими независимыми комитетами валидаторов на слот, по аналогии с несколькими задачами на блок.
  • Постквантовые соображения: Хотя PoW по своей природе устойчив к постквантовым атакам (для поиска, а не проверки), структура параллельных задач может предложить дополнительную устойчивость к квантовым противникам, требуя параллельных атак на несколько независимых криптографических проблем.

10. Ссылки

  1. Keller, P., & Böhme, R. (2022). Parallel Proof-of-Work with Concrete Bounds. In Proceedings of the 4th ACM Conference on Advances in Financial Technologies (AFT '22).
  2. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  3. Li, J., et al. (2021). Bitcoin Security in the Synchronous Model: A Concrete Analysis. In Proceedings of AFT '21.
  4. Pass, R., Seeman, L., & Shelat, A. (2017). Analysis of the Blockchain Protocol in Asynchronous Networks. In EUROCRYPT.
  5. Garay, J., Kiayias, A., & Leonardos, N. (2015). The Bitcoin Backbone Protocol: Analysis and Applications. In EUROCRYPT.
  6. Bobtail: A Proof-of-Work Protocol that Achieves a Target Block Time and Lower Transaction Confirmation Times (Whitepaper).
  7. Buterin, V., & Griffith, V. (2019). Casper the Friendly Finality Gadget. arXiv preprint arXiv:1710.09437.
  8. Lamport, L. (1998). The Part-Time Parliament. ACM Transactions on Computer Systems.