Sélectionner la langue

De Meilleurs Incitatifs pour la Preuve de Travail : Analyse d'un Protocole Basé sur un DAG

Analyse d'un nouveau système d'incitatifs pour blockchain à preuve de travail utilisant une structure DAG pour garantir que le respect du protocole est la stratégie de minage égoïste optimale.
computingpowertoken.org | PDF Size: 0.2 MB
Note: 4.5/5
Votre note
Vous avez déjà noté ce document
Couverture du document PDF - De Meilleurs Incitatifs pour la Preuve de Travail : Analyse d'un Protocole Basé sur un DAG
Voir le document PDF Télécharger PDF Traduire PDF
Accueil » Documentation » De Meilleurs Incitatifs pour la Preuve de Travail : Analyse d'un Protocole Basé sur un DAG

1. Introduction

Ce travail, issu de l'ETH Zurich, aborde une faille fondamentale dans le raisonnement incitatif original de Nakamoto pour le Bitcoin. L'article soutient que le comportement économique rationnel n'équivaut pas nécessairement à l'honnêteté du protocole, comme le démontrent les stratégies de minage égoïste. Le problème central est que dans les blockchains traditionnelles à Preuve de Travail (PoW) structurées en arbres, les mineurs bénéficiant d'une position réseau avantageuse ou d'une puissance de hachage significative peuvent tirer profit en déviant du protocole (par exemple, en retenant des blocs), compromettant ainsi la stabilité du système.

1.1. Le jeu de la blockchain

Les blockchains standard comme Bitcoin forment un arbre. Les fourches se produisent naturellement ou de manière malveillante, entraînant des réorganisations de chaîne où certains blocs deviennent orphelins et leurs créateurs perdent leurs récompenses. Cette structure crée des incitations indésirables où des facteurs comme la latence du réseau peuvent influencer la rentabilité des mineurs, encourageant un comportement non coopératif.

1.2. Notre contribution

Les auteurs proposent une nouvelle conception de blockchain où la structure de données est un Graphe Orienté Acyclique (DAG) de blocs, et non un arbre. Le système d'incitation associé est rigoureusement conçu de sorte que le respect du protocole constitue un équilibre de Nash strict et fort. Toute déviation (comme créer une fourche inutile) réduit strictement les récompenses du déviant. Cela garantit l'adhésion au protocole par pur intérêt personnel.

1.3. Aperçu intuitif

Le protocole garantit que les mineurs sont incités à référencer tous les blocs non référencés connus lors de la création d'un nouveau bloc. Cela conduit à un DAG dense où aucun bloc n'est jeté. Le consensus sur l'ordre des transactions est atteint en sélectionnant une "chaîne principale" dans ce DAG, de manière similaire à d'autres protocoles, mais c'est le mécanisme de récompense qui impose le comportement honnête.

2. Terminologie et définitions du protocole

Le cadre définit des concepts clés : les Blocs comme sommets d'un DAG, contenant des transactions et des références (arêtes) vers des blocs précédents. Les blocs terminaux sont ceux qui ne sont pas encore référencés par un autre bloc. La chaîne principale est un chemin spécifique à travers le DAG sélectionné via une règle déterministe (par exemple, basée sur la preuve de travail cumulative). La fonction de récompense $R(B)$ pour un bloc $B$ est définie en fonction de sa position et de ses références au sein de la structure DAG.

3. Conception du protocole et interprétation du DAG

Les mineurs, lors de la création d'un nouveau bloc, doivent référencer tous les blocs terminaux dans leur vue locale du DAG. Cette règle n'est pas imposée par décret du protocole, mais par la conception de la récompense : omettre une référence réduit le potentiel de récompense du nouveau bloc lui-même. La structure résultante est un DAG en croissance constante où les blocs ont plusieurs parents.

3.1. Chaîne principale et ordre total

Pour parvenir à un consensus sur l'ordre des transactions (par exemple, pour prévenir les doubles dépenses), une chaîne unique doit être extraite du DAG. L'article suggère d'utiliser des méthodes établies comme la règle GHOST ou la règle de la chaîne la plus lourde appliquée au DAG. Tous les blocs qui ne sont pas sur la chaîne principale sont toujours inclus et récompensés, mais leurs transactions sont ordonnées par rapport à la chronologie de la chaîne principale, comme discuté dans des travaux comme "Secure High-Rate Transaction Processing in Bitcoin" de Sompolinsky et Zohar.

4. Construction du système de récompense

C'est le cœur de la proposition. La récompense pour un bloc $B_i$ n'est pas une coinbase fixe. Elle est calculée comme une fonction de sa contribution à la stabilité et à la connectivité du DAG. Une formulation possible (inspirée du texte) pourrait être : $R(B_i) = \alpha \cdot \text{RécompenseDeBase} + \beta \cdot \sum_{B_j \in \text{Réf}(B_i)} f(\text{profondeur}(B_j))$, où $\text{Réf}(B_i)$ sont les blocs que $B_i$ référence, et $f$ est une fonction décroissante. Cela rend la référence à des blocs plus anciens et non référencés profitable.

4.1. Détails du mécanisme d'incitation

Le système est conçu pour satisfaire deux propriétés clés : 1) Incitation à la référence : Pour tout nouveau bloc, ajouter une référence à un bloc terminal connu ne diminue jamais et augmente souvent sa récompense attendue. 2) Punition des fourches : Si un mineur tente de créer une chaîne parallèle (fourche) en ne référençant pas le dernier bloc, le mécanisme de récompense garantit que la récompense cumulative pour les blocs de la fourche est strictement inférieure à ce qu'elle aurait été s'ils avaient été construits honnêtement sur le DAG principal. Cela rend les fourches économiquement irrationnelles.

5. Idée centrale et perspective analytique

Idée centrale

Sliwinski et Wattenhofer ont porté un coup chirurgical à la plaie la plus persistante de la crypto-économie : le désalignement entre la rationalité individuelle et la santé du réseau. Leur travail révèle que l'analyse incitative originale de Nakamoto est fondamentalement incomplète – une omission dangereuse qui a laissé toutes les grandes chaînes PoW, du Bitcoin à Ethereum 1.0, perpétuellement vulnérables au minage égoïste. La brillance ici ne réside pas dans la création d'un nouvel algorithme de consensus, mais dans la reconception de la matrice des gains elle-même. Ils ont formalisé mathématiquement ce que l'industrie a longtemps pressenti intuitivement : dans les chaînes traditionnelles, l'honnêteté n'est souvent qu'une stratégie sous-optimale parmi tant d'autres.

Flux logique

L'argumentation progresse avec une précision élégante et de théorie des jeux. Premièrement, ils cadrent correctement la participation à la blockchain comme un jeu répété avec information imparfaite, où la structure en arbre crée intrinsèquement des compétitions à somme nulle pour l'inclusion des blocs. Ensuite, leur coup de maître : remplacer l'arbre par un DAG, transformant le jeu. En imposant (par des incitations, non des règles) que les blocs référencent toutes les extrémités, ils éliminent la dynamique "le gagnant prend presque tout" qui alimente le minage égoïste. Le DAG devient un bien public que tous les mineurs sont payés pour maintenir, et non un champ de bataille. Cela s'aligne sur les travaux fondateurs en conception de mécanismes, comme ceux décrits par Nisan et al. dans "Algorithmic Game Theory", où l'objectif est de structurer les règles de sorte que la maximisation de l'utilité des agents égoïstes conduise à des résultats socialement désirables.

Forces et faiblesses

Forces : La garantie théorique d'un équilibre de Nash strict pour la conformité au protocole est monumentale. Elle contredit directement l'attaque de minage égoïste décrite par Eyal et Sirer. La structure DAG promet également des gains tangibles en débit et des taux de blocs orphelins réduits, à l'instar de projets comme Spectre, mais avec des garanties incitatives plus fortes. La conception est élégamment minimaliste – elle corrige les incitations sans nécessiter de primitives cryptographiques complexes.

Faiblesses : L'éléphant dans la pièce est la complexité pratique. La fonction de récompense nécessite probablement une connaissance globale du DAG ou des calculs complexes, posant des défis d'implémentation et de vérification significatifs par rapport à la simple règle de "la chaîne la plus longue" de Bitcoin. L'analyse de sécurité, bien que robuste dans un modèle de théorie des jeux, pourrait ne pas saisir pleinement les nuances du monde réel comme les comportements coordonnés de cartels ou les marchés de frais de transaction variables, qui pourraient créer de nouvelles surfaces d'attaque. De plus, à mesure que le DAG grandit, l'exigence de référencer toutes les extrémités pourrait conduire à des en-têtes de blocs gonflés, impactant l'évolutivité – un compromis qui nécessite une simulation rigoureuse.

Perspectives actionnables

Pour les architectes de blockchain, cet article est une lecture obligatoire. Son principe central – l'alignement des incitations par la conception structurelle – devrait être une considération de premier ordre, et non une réflexion après coup. Bien que l'adoption du protocole complet puisse être difficile pour les chaînes existantes, ses leçons peuvent être hybridées. Par exemple, de nouveaux protocoles L1 ou la couche de consensus post-fusion d'Ethereum pourraient intégrer une version simplifiée de son incitation à la référence pour décourager la rétention. Les organismes de régulation devraient noter : ce travail démontre que la sécurité des blockchains peut être conçue mathématiquement, dépassant l'espoir de "majorités altruistes". La prochaine étape pour l'industrie est de tester en profondeur cette conception par des simulations extensives basées sur des agents, similaires à la façon dont le rapport Flashboys 2.0 a analysé le MEV, pour valider sa résilience avant tout déploiement sur un réseau principal.

6. Détails techniques et cadre mathématique

La compatibilité incitative est prouvée à l'aide de la théorie des jeux. Considérons un mineur $m$ avec une puissance de hachage $\alpha$. Soit $\mathbf{s}$ le profil de stratégie de tous les mineurs. Soit $U_m(\mathbf{s})$ l'utilité (récompense attendue) du mineur $m$. La stratégie de protocole $\mathbf{s}^*$ (toujours référencer toutes les extrémités) est un équilibre de Nash si pour chaque mineur $m$ et toute stratégie alternative $\mathbf{s}'_m$,

$$U_m(\mathbf{s}^*_m, \mathbf{s}^*_{-m}) \geq U_m(\mathbf{s}'_m, \mathbf{s}^*_{-m})$$

L'article construit une fonction de récompense $R$ telle que cette inégalité est stricte ($ > $) pour toute déviation $\mathbf{s}'_m$ impliquant la rétention de références ou la création de fourches inutiles. La fonction intègre probablement :

  • Décroissance basée sur l'âge : Les récompenses pour référencer un bloc diminuent à mesure que le bloc vieillit, encourageant une inclusion rapide.
  • Bonus de connectivité : Un bloc reçoit un bonus proportionnel au nombre de blocs précédents qu'il aide à confirmer directement ou indirectement.

Un modèle simplifié de la récompense pour un bloc $B$ pourrait ressembler à :

$$R(B) = \frac{C}{\sqrt{k(B) + 1}} + \sum_{P \in \text{Parents}(B)} \gamma^{\text{distance}(P)} \cdot R_{base}(P)$$

où $k(B)$ est le nombre de blocs publiés simultanément que $B$ n'a pas référencés (mesurant la création de fourche), $\gamma < 1$ est un facteur de décroissance, et $R_{base}(P)$ est une récompense de base pour le parent $P$.

7. Résultats expérimentaux et performances

Bien que l'extrait PDF fourni ne contienne pas de résultats expérimentaux explicites, les affirmations de l'article impliquent des améliorations significatives des performances par rapport aux blockchains basées sur des arbres :

Gain de débit

Projeté : Augmentation de 2 à 5x

En éliminant les blocs orphelins, tout l'espace des blocs est utilisé pour les transactions. Dans un arbre, lors d'une fourche, seule une branche survit, gaspillant la capacité de l'autre. Le DAG utilise 100% des blocs créés.

Latence de confirmation

Projeté : Réduite significativement

Sans risque de réorganisations profondes dues au minage égoïste, les transactions référencées par plusieurs blocs suivants peuvent être considérées comme sécurisées plus rapidement, réduisant potentiellement les temps de confirmation sûrs de ~60 minutes (Bitcoin) à quelques intervalles de blocs.

Seuil de sécurité

Théorique : < 50% de puissance de hachage

Le protocole devrait maintenir la sécurité contre des adversaires rationnels avec toute part de puissance de hachage inférieure à 50%, car attaquer devient strictement non rentable. C'est supérieur au seuil de minage égoïste (~25%) dans le Bitcoin standard.

Description du graphique (conceptuel) : Un graphique simulé montrerait deux lignes au fil du temps : 1) Récompense cumulative pour un mineur honnête dans le protocole DAG proposé, et 2) Récompense cumulative pour un mineur déviant tentant une attaque par rétention. La ligne du mineur honnête resterait systématiquement au-dessus de celle du déviant, démontrant visuellement l'équilibre de Nash strict. Un deuxième graphique comparerait le Débit de transactions (TPS) entre une blockchain traditionnelle (plate ou à croissance lente) et la chaîne basée sur DAG (montrant une montée plus raide et plus efficace).

8. Cadre d'analyse : un cas de théorie des jeux

Scénario : Deux mineurs rationnels, Alice (30% de puissance de hachage) et Bob (20% de puissance de hachage), dans une chaîne PoW traditionnelle vs la chaîne DAG proposée.

Chaîne traditionnelle (Arbre) : Alice découvre un bloc. Elle peut soit le diffuser immédiatement (honnête), soit le retenir et commencer à miner une chaîne secrète (égoïste). Si elle le retient et trouve un deuxième bloc avant que le réseau n'en trouve un, elle peut libérer les deux, provoquant une réorganisation qui orpheline le bloc potentiel de Bob, augmentant sa part de récompense de 30% à potentiellement 100% pour cette période. Le modèle d'Eyal et Sirer montre que cela peut être rentable pour $\alpha > 25\%$.

Chaîne DAG proposée : Alice découvre un bloc $A_1$. La fonction de récompense $R(A_1)$ est maximisée seulement si elle référence tous les blocs terminaux connus (ce qui inclut le dernier bloc de Bob s'il en a trouvé un). Si elle retient $A_1$ pour miner $A_2$ secrètement, elle renonce à la récompense de référence pour ne pas avoir lié au bloc public de Bob. Quand elle révèle enfin sa chaîne, le calcul montre :

$$R(A_1) + R(A_2)_{\text{secret}} < R(A_1)_{\text{honnête}} + R(A_2)_{\text{honnête}}$$

Même si elle provoque une fourche mineure, la mécanique de récompense du protocole garantit que sa récompense cumulative est inférieure. Le choix rationnel est de publier $A_1$ immédiatement avec toutes les références. Bob fait face au même calcul. Ainsi, la seule stratégie stable pour les deux est la conformité au protocole.

Ce cas n'utilise pas de code mais illustre la matrice de décision stratégique transformée par le nouveau système d'incitation.

9. Perspectives d'application et orientations futures

Applications immédiates :

  • L1 de nouvelle génération : Les nouvelles blockchains à preuve de travail peuvent adopter cette conception dès la genèse pour garantir une sécurité renforcée contre les pools de minage.
  • Consensus hybride : Le modèle d'incitation DAG pourrait être adapté pour les systèmes à preuve d'enjeu (PoS) ou à preuve d'enjeu déléguée (DPoS) pour décourager le "stake-grinding" ou des attaques similaires.
  • Couche 2 et sidechains : Les principes peuvent sécuriser des sidechains à finalité rapide ou le séquencement des rollups où le désalignement des incitations est également une préoccupation.

Directions de recherche futures :

  • Marchés de frais dynamiques : Intégrer une enchère de frais de transaction robuste (comme EIP-1559) dans le modèle de récompense DAG sans briser la compatibilité incitative.
  • Préparation à la résistance quantique : Explorer comment les signatures cryptographiques post-quantiques, plus volumineuses, affectent l'évolutivité et le modèle d'incitation du DAG.
  • Vérification formelle : Utiliser des outils comme l'assistant de preuve Coq ou des vérificateurs de modèles comme TLA+ pour vérifier formellement les propriétés de théorie des jeux du protocole implémenté.
  • Incitations inter-chaînes : Appliquer des principes similaires d'alignement des incitations aux protocoles régissant l'interopérabilité des blockchains (ponts) pour prévenir les exploits de MEV inter-chaînes.

10. Références

  1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  2. Eyal, I., & Sirer, E. G. (2014). Majority is not Enough: Bitcoin Mining is Vulnerable. In Financial Cryptography.
  3. Sompolinsky, Y., & Zohar, A. (2015). Secure High-Rate Transaction Processing in Bitcoin. In Financial Cryptography.
  4. Nisan, N., Roughgarden, T., Tardos, É., & Vazirani, V. V. (2007). Algorithmic Game Theory. Cambridge University Press.
  5. Lewenberg, Y., Sompolinsky, Y., & Zohar, A. (2015). Inclusive Block Chain Protocols. In Financial Cryptography.
  6. Buterin, V. (2014). Slasher: A Punitive Proof-of-Stake Algorithm. Ethereum Blog.
  7. Daian, P., et al. (2019). Flash Boys 2.0: Frontrunning, Transaction Reordering, and Consensus Instability in Decentralized Exchanges. IEEE Symposium on Security and Privacy.
  8. Sliwinski, J., & Wattenhofer, R. (2022). Better Incentives for Proof-of-Work. arXiv:2206.10050.