Sprache auswählen

Bessere Anreize für Proof-of-Work: Eine Analyse eines DAG-basierten Protokolls

Analyse eines neuartigen Proof-of-Work-Blockchain-Anreizschemas, das eine DAG-Struktur nutzt, um Protokolltreue als optimale Strategie für Selfish Mining zu garantieren.
computingpowertoken.org | PDF Size: 0.2 MB
Bewertung: 4.5/5
Ihre Bewertung
Sie haben dieses Dokument bereits bewertet
PDF-Dokumentendeckel - Bessere Anreize für Proof-of-Work: Eine Analyse eines DAG-basierten Protokolls
PDF-Dokument anzeigen PDF herunterladen PDF übersetzen
Startseite » Dokumentation » Bessere Anreize für Proof-of-Work: Eine Analyse eines DAG-basierten Protokolls

1. Einleitung

Diese Arbeit, die von der ETH Zürich stammt, befasst sich mit einem grundlegenden Fehler in Nakamotos ursprünglicher Bitcoin-Anreizlogik. Das Papier argumentiert, dass rationales ökonomisches Verhalten nicht zwangsläufig mit Protokoll-Ehrlichkeit gleichzusetzen ist, wie Strategien des Selfish Mining demonstrieren. Das Kernproblem ist, dass in traditionellen Proof-of-Work (PoW)-Blockchains, die als Bäume strukturiert sind, Miner mit vorteilhaften Netzwerkpositionen oder signifikanter Hash-Leistung profitieren können, indem sie vom Protokoll abweichen (z.B. durch Zurückhalten von Blöcken), was die Systemstabilität gefährdet.

1.1. Blockchain-Spiel

Standard-Blockchains wie Bitcoin bilden einen Baum. Forks entstehen natürlich oder böswillig, was zu Chain-Reorganisierungen führt, bei denen einige Blöcke verwaist sind und ihre Ersteller Belohnungen verlieren. Diese Struktur schafft unerwünschte Anreize, bei denen Faktoren wie Netzwerklatenz die Rentabilität von Minern beeinflussen können und nicht-kooperatives Verhalten fördern.

1.2. Unser Beitrag

Die Autoren schlagen ein neuartiges Blockchain-Design vor, bei dem die Datenstruktur ein gerichteter azyklischer Graph (DAG) von Blöcken ist, kein Baum. Das begleitende Anreizschema ist rigoros so gestaltet, dass die Befolgung des Protokolls ein striktes, starkes Nash-Gleichgewicht darstellt. Jede Abweichung (wie das Erzeugen einer unnötigen Fork) reduziert die Belohnungen des Abweichlers strikt. Dies garantiert die Protokolltreue durch reines Eigeninteresse.

1.3. Intuitive Übersicht

Das Protokoll stellt sicher, dass Miner Anreize haben, alle bekannten, noch nicht referenzierten Blöcke zu referenzieren, wenn sie einen neuen erstellen. Dies führt zu einem dichten DAG, in dem keine Blöcke verworfen werden. Der Konsens über die Transaktionsreihenfolge wird durch die Auswahl einer "Hauptkette" aus diesem DAG erreicht, ähnlich wie bei anderen Protokollen, aber der Belohnungsmechanismus ist es, der ehrliches Verhalten erzwingt.

2. Protokollterminologie & Definitionen

Das Framework definiert Schlüsselkonzepte: Blöcke als Knoten in einem DAG, die Transaktionen und Referenzen (Kanten) zu vorherigen Blöcken enthalten. Terminale Blöcke sind solche, die noch von keinem anderen Block referenziert wurden. Die Hauptkette ist ein spezifischer Pfad durch den DAG, der über eine deterministische Regel ausgewählt wird (z.B. basierend auf kumulativer Proof-of-Work). Die Belohnungsfunktion $R(B)$ für einen Block $B$ wird basierend auf seiner Position und seinen Referenzen innerhalb der DAG-Struktur definiert.

3. Protokolldesign & DAG-Interpretation

Miner müssen bei der Erstellung eines neuen Blocks alle terminalen Blöcke in ihrer lokalen Sicht des DAG referenzieren. Diese Regel wird nicht durch Protokoll-Diktat, sondern durch das Belohnungsdesign durchgesetzt: Das Weglassen einer Referenz verringert das eigene Belohnungspotenzial des neuen Blocks. Die resultierende Struktur ist ein ständig wachsender DAG, in dem Blöcke mehrere Eltern haben.

3.1. Hauptkette & Totale Ordnung

Um einen Konsens über die Transaktionsreihenfolge zu erreichen (z.B. zur Verhinderung von Doppelausgaben), muss eine einzelne Kette aus dem DAG extrahiert werden. Das Papier schlägt etablierte Methoden wie die GHOST-Regel oder die heaviest-chain-Regel vor, angewendet auf den DAG. Alle Blöcke, die nicht auf der Hauptkette liegen, werden dennoch einbezogen und belohnt, aber ihre Transaktionen werden relativ zum Zeitablauf der Hauptkette geordnet, wie in Arbeiten wie "Secure High-Rate Transaction Processing in Bitcoin" von Sompolinsky und Zohar diskutiert.

4. Konstruktion des Belohnungsschemas

Das Herzstück des Vorschlags. Die Belohnung für einen Block $B_i$ ist kein festes Coinbase. Sie wird als Funktion seines Beitrags zur Stabilität und Konnektivität des DAG berechnet. Eine mögliche Formulierung (inspiriert vom Text) könnte sein: $R(B_i) = \alpha \cdot \text{BaseReward} + \beta \cdot \sum_{B_j \in \text{Ref}(B_i)} f(\text{depth}(B_j))$, wobei $\text{Ref}(B_i)$ die Blöcke sind, die $B_i$ referenziert, und $f$ eine abklingende Funktion ist. Dies macht das Referenzieren älterer, nicht referenzierter Blöcke profitabel.

4.1. Details des Anreizmechanismus

Das Schema ist so gestaltet, dass es zwei Schlüsseleigenschaften erfüllt: 1) Referenzanreiz: Für jeden neuen Block verringert das Hinzufügen einer Referenz zu einem bekannten terminalen Block niemals und erhöht oft seine erwartete Belohnung. 2) Fork-Bestrafung: Wenn ein Miner versucht, durch Nicht-Referenzierung des neuesten Blocks eine parallele Kette (Fork) zu erstellen, stellt der Belohnungsmechanismus sicher, dass die kumulative Belohnung für Blöcke in der Fork strikt geringer ist, als wenn sie ehrlich auf dem Haupt-DAG gebaut worden wären. Dies macht Forks ökonomisch irrational.

5. Kernaussage & Analystenperspektive

Kernaussage

Sliwinski und Wattenhofer haben einen chirurgischen Schlag gegen die hartnäckigste Wunde der Kryptoökonomie geführt: die Fehlausrichtung zwischen individueller Rationalität und Netzwerkgesundheit. Ihre Arbeit entlarvt Nakamotos ursprüngliche Anreizanalyse als grundlegend unvollständig – eine gefährliche Übersehenheit, die jede große PoW-Chain, von Bitcoin bis Ethereum 1.0, dauerhaft anfällig für Selfish Mining gelassen hat. Die Brillanz liegt hier nicht in der Schaffung eines neuen Konsensalgorithmus, sondern in der Neugestaltung der Auszahlungsmatrix selbst. Sie haben mathematisch formalisiert, was die Branche lange intuitiv gespürt hat: In traditionellen Chains ist Ehrlichkeit oft nur eine suboptimale Strategie unter vielen.

Logischer Ablauf

Das Argument verläuft mit eleganter, spieltheoretischer Präzision. Zuerst rahmen sie die Blockchain-Teilnahme korrekt als ein wiederholtes Spiel mit unvollständiger Information ein, bei dem die Baumstruktur inhärent Nullsummen-Wettbewerbe um Block-Inklusion schafft. Dann ihr Meisterstreich: Ersetze den Baum durch einen DAG und transformiere damit das Spiel. Indem sie (durch Anreize, nicht Regeln) vorschreiben, dass Blöcke alle Tips referenzieren müssen, eliminieren sie die "Winner-takes-most"-Dynamik, die Selfish Mining antreibt. Der DAG wird zu einem öffentlichen Gut, für dessen Erhalt alle Miner bezahlt werden, nicht zu einem Schlachtfeld. Dies steht im Einklang mit grundlegender Arbeit im Mechanism Design, wie sie von Nisan et al. in "Algorithmic Game Theory" skizziert wird, wo das Ziel ist, Regeln so zu strukturieren, dass die Nutzenmaximierung egoistischer Akteure zu gesellschaftlich wünschenswerten Ergebnissen führt.

Stärken & Schwächen

Stärken: Die theoretische Garantie eines strikten Nash-Gleichgewichts für Protokollbefolgung ist monumental. Sie kontert direkt den von Eyal und Sirer beschriebenen Selfish-Mining-Angriff. Die DAG-Struktur verspricht auch greifbare Gewinne im Durchsatz und reduzierte Verwaistenraten, ähnlich wie Projekte wie Spectre, aber mit stärkeren Anreizgarantien. Das Design ist elegant minimalistisch – es korrigiert Anreize, ohne komplexe kryptografische Primitiven zu benötigen.

Schwächen: Der Elefant im Raum ist die praktische Komplexität. Die Belohnungsfunktion erfordert wahrscheinlich globales DAG-Wissen oder komplexe Berechnungen, was erhebliche Implementierungs- und Verifizierungsherausforderungen im Vergleich zu Bitcoins einfacher "longest chain"-Regel darstellt. Die Sicherheitsanalyse, obwohl robust in einem spieltheoretischen Modell, erfasst möglicherweise nicht vollständig realweltliche Nuancen wie koordiniertes Kartellverhalten oder variable Transaktionsgebührenmärkte, die neue Angriffsflächen schaffen könnten. Darüber hinaus könnte mit dem Wachstum des DAG die Anforderung, alle Tips zu referenzieren, zu aufgeblähten Block-Headern führen, was die Skalierabilität beeinträchtigt – ein Kompromiss, der rigoroser Simulation bedarf.

Umsetzbare Erkenntnisse

Für Blockchain-Architekten ist dieses Papier Pflichtlektüre. Sein Kernprinzip – Anreizangleichung durch Strukturdesign – sollte eine Erstbetrachtung sein, kein nachträglicher Gedanke. Während die vollständige Übernahme des Protokolls für bestehende Chains herausfordernd sein mag, können seine Lehren hybridisiert werden. Beispielsweise könnten neue L1-Protokolle oder Ethereums Post-Merge-Konsensschicht eine vereinfachte Version seines Referenzanreizes integrieren, um Zurückhaltung zu entmutigen. Regulierungsbehörden sollten beachten: Diese Arbeit zeigt, dass Blockchain-Sicherheit mathematisch konstruiert werden kann, über die Hoffnung auf "altruistische Mehrheiten" hinaus. Der nächste Schritt für die Branche ist es, dieses Design durch umfangreiche agentenbasierte Simulationen, ähnlich wie der Flashboys 2.0-Bericht MEV analysierte, einem Stresstest zu unterziehen, um seine Widerstandsfähigkeit vor jedem Mainnet-Einsatz zu validieren.

6. Technische Details & Mathematischer Rahmen

Die Anreizkompatibilität wird mit Spieltheorie bewiesen. Betrachte einen Miner $m$ mit Hashrate $\alpha$. Sei $\mathbf{s}$ das Strategieprofil aller Miner. Sei $U_m(\mathbf{s})$ der Nutzen (erwartete Belohnung) von Miner $m$. Die Protokollstrategie $\mathbf{s}^*$ (immer alle Tips referenzieren) ist ein Nash-Gleichgewicht, wenn für jeden Miner $m$ und jede alternative Strategie $\mathbf{s}'_m$ gilt:

$$U_m(\mathbf{s}^*_m, \mathbf{s}^*_{-m}) \geq U_m(\mathbf{s}'_m, \mathbf{s}^*_{-m})$$

Das Papier konstruiert eine Belohnungsfunktion $R$, sodass diese Ungleichung für jede Abweichung $\mathbf{s}'_m$, die das Zurückhalten von Referenzen oder das Erzeugen unnötiger Forks beinhaltet, strikt ($ > $) ist. Die Funktion beinhaltet wahrscheinlich:

  • Altersbasierte Abnahme: Belohnungen für das Referenzieren eines Blocks nehmen ab, je älter der Block wird, und fördern so zeitnahe Inklusion.
  • Konnektivitätsbonus: Ein Block erhält einen Bonus proportional zur Anzahl der vorherigen Blöcke, die er direkt oder indirekt hilft zu bestätigen.

Ein vereinfachtes Modell der Belohnung für Block $B$ könnte so aussehen:

$$R(B) = \frac{C}{\sqrt{k(B) + 1}} + \sum_{P \in \text{Parents}(B)} \gamma^{\text{distance}(P)} \cdot R_{base}(P)$$

wobei $k(B)$ die Anzahl der gleichzeitig veröffentlichten Blöcke ist, die $B$ nicht referenziert hat (Misst Fork-Erstellung), $\gamma < 1$ ein Abklingfaktor ist und $R_{base}(P)$ eine Grundbelohnung für den Elternblock $P$ ist.

7. Experimentelle Ergebnisse & Leistung

Während der bereitgestellte PDF-Auszug keine expliziten experimentellen Ergebnisse enthält, implizieren die Aussagen des Papiers signifikante Leistungsverbesserungen gegenüber baumbasierten Blockchains:

Durchsatzgewinn

Projiziert: 2-5-fache Steigerung

Durch die Eliminierung verwaister Blöcke wird der gesamte Blockplatz für Transaktionen genutzt. In einem Baum überlebt während einer Fork nur ein Zweig, was die Kapazität des anderen verschwendet. Der DAG nutzt 100 % der erstellten Blöcke.

Bestätigungslatenz

Projiziert: Deutlich reduziert

Da kein Risiko tiefer Reorgs durch Selfish Mining besteht, können Transaktionen, die von mehreren nachfolgenden Blöcken referenziert werden, schneller als sicher betrachtet werden, was sichere Bestätigungszeiten von ~60 Minuten (Bitcoin) auf wenige Blockintervalle reduzieren könnte.

Sicherheitsschwelle

Theoretisch: < 50% Hash-Leistung

Das Protokoll sollte die Sicherheit gegen rationale Angreifer mit jedem Hash-Leistungsanteil unter 50% aufrechterhalten, da Angriffe strikt unprofitabel werden. Dies ist der Selfish-Mining-Schwelle (~25%) im Standard-Bitcoin überlegen.

Diagrammbeschreibung (konzeptionell): Ein simuliertes Diagramm würde zwei Linien über die Zeit zeigen: 1) Kumulative Belohnung für ehrlichen Miner im vorgeschlagenen DAG-Protokoll und 2) Kumulative Belohnung für abweichenden Miner, der einen Zurückhaltungsangriff versucht. Die Linie des ehrlichen Miners würde konsequent über der des Abweichlers bleiben und so das strikte Nash-Gleichgewicht visuell demonstrieren. Ein zweites Diagramm würde den Transaktionsdurchsatz (TPS) zwischen einer traditionellen Blockchain (flach oder langsam wachsend) und der DAG-basierten Chain vergleichen (zeigt einen steileren, effizienteren Anstieg).

8. Analyseframework: Ein spieltheoretischer Fall

Szenario: Zwei rationale Miner, Alice (30% Hash-Leistung) und Bob (20% Hash-Leistung), in einer traditionellen PoW-Chain vs. der vorgeschlagenen DAG-Chain.

Traditionelle Chain (Baum): Alice entdeckt einen Block. Sie kann ihn entweder sofort senden (ehrlich) oder zurückhalten und eine geheime Kette (selfish) minen. Wenn sie ihn zurückhält und einen zweiten Block findet, bevor das Netzwerk einen findet, kann sie beide veröffentlichen, was eine Reorganisation verursacht, die Bobs potenziellen Block verwaist und ihren Belohnungsanteil für diesen Zeitraum von 30% auf potenziell 100% erhöht. Eyals und Sirers Modell zeigt, dass dies für $\alpha > 25\%$ profitabel sein kann.

Vorgeschlagene DAG-Chain: Alice entdeckt einen Block $A_1$. Die Belohnungsfunktion $R(A_1)$ wird nur maximiert, wenn sie alle bekannten terminalen Blöcke referenziert (was Bobs letzten Block einschließt, falls er einen gefunden hat). Wenn sie $A_1$ zurückhält, um $A_2$ geheim zu minen, verliert sie die Referenzbelohnung dafür, dass sie nicht auf Bobs öffentlichen Block verlinkt. Wenn sie ihre Kette schließlich enthüllt, zeigt die Berechnung:

$$R(A_1) + R(A_2)_{\text{geheim}} < R(A_1)_{\text{ehrlich}} + R(A_2)_{\text{ehrlich}}$$

Selbst wenn sie eine kleine Fork verursacht, stellen die Belohnungsmechaniken des Protokolls sicher, dass ihre kumulative Belohnung geringer ist. Die rationale Wahl ist, $A_1$ sofort mit allen Referenzen zu veröffentlichen. Bob steht vor derselben Kalkulation. Somit ist die einzige stabile Strategie für beide die Protokollbefolgung.

Dieser Fall verwendet keinen Code, veranschaulicht aber die strategische Entscheidungsmatrix, die durch das neue Anreizschema transformiert wird.

9. Anwendungsausblick & Zukünftige Richtungen

Unmittelbare Anwendungen:

  • Next-Generation L1s: Neue Proof-of-Work-Blockchains können dieses Design von Genesis an übernehmen, um eine stärkere Sicherheit gegen Mining-Pools zu garantieren.
  • Hybrider Konsens: Das DAG-Anreizmodell könnte für Proof-of-Stake (PoS)- oder Delegated Proof-of-Stake (DPoS)-Systeme adaptiert werden, um Stake-Grinding oder ähnliche Angriffe zu entmutigen.
  • Layer 2 & Sidechains: Die Prinzipien können Sidechains mit schnellerer Finalität oder Rollup-Sequenzierung sichern, wo Anreizfehlausrichtung ebenfalls ein Problem darstellt.

Zukünftige Forschungsrichtungen:

  • Dynamische Gebührenmärkte: Integration eines robusten Transaktionsgebühren-Auktionssystems (wie EIP-1559) in das DAG-Belohnungsmodell, ohne die Anreizkompatibilität zu brechen.
  • Quantenresistenz-Vorbereitung: Erforschung, wie Post-Quanten-Kryptographie-Signaturen, die größer sind, die Skalierbarkeit und das Anreizmodell des DAG beeinflussen.
  • Formale Verifikation: Nutzung von Werkzeugen wie dem Coq-Beweisassistenten oder Modellprüfern wie TLA+, um die spieltheoretischen Eigenschaften des implementierten Protokolls formal zu verifizieren.
  • Cross-Chain-Anreize: Anwendung ähnlicher Anreizangleichungsprinzipien auf Protokolle, die Blockchain-Interoperabilität (Bridges) regeln, um Cross-Chain-MEV-Ausnutzungen zu verhindern.

10. Referenzen

  1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  2. Eyal, I., & Sirer, E. G. (2014). Majority is not Enough: Bitcoin Mining is Vulnerable. In Financial Cryptography.
  3. Sompolinsky, Y., & Zohar, A. (2015). Secure High-Rate Transaction Processing in Bitcoin. In Financial Cryptography.
  4. Nisan, N., Roughgarden, T., Tardos, É., & Vazirani, V. V. (2007). Algorithmic Game Theory. Cambridge University Press.
  5. Lewenberg, Y., Sompolinsky, Y., & Zohar, A. (2015). Inclusive Block Chain Protocols. In Financial Cryptography.
  6. Buterin, V. (2014). Slasher: A Punitive Proof-of-Stake Algorithm. Ethereum Blog.
  7. Daian, P., et al. (2019). Flash Boys 2.0: Frontrunning, Transaction Reordering, and Consensus Instability in Decentralized Exchanges. IEEE Symposium on Security and Privacy.
  8. Sliwinski, J., & Wattenhofer, R. (2022). Better Incentives for Proof-of-Work. arXiv:2206.10050.