Seleziona lingua

Incentivi Migliori per il Proof-of-Work: Analisi di un Protocollo Basato su DAG

Analisi di un nuovo schema di incentivi per blockchain proof-of-work che utilizza una struttura DAG per garantire l'adesione al protocollo come strategia di mining egoistica ottimale.
computingpowertoken.org | PDF Size: 0.2 MB
Valutazione: 4.5/5
La tua valutazione
Hai già valutato questo documento
Copertina documento PDF - Incentivi Migliori per il Proof-of-Work: Analisi di un Protocollo Basato su DAG
Visualizza documento PDF Scarica PDF Traduci PDF
Home » Documentazione » Incentivi Migliori per il Proof-of-Work: Analisi di un Protocollo Basato su DAG

1. Introduzione

Questo lavoro, originario dell'ETH di Zurigo, affronta una lacuna fondamentale nel ragionamento originale sugli incentivi di Nakamoto per Bitcoin. L'articolo sostiene che il comportamento economico razionale non equivale necessariamente all'onestà del protocollo, come dimostrato dalle strategie di mining egoistico. Il problema centrale è che nelle tradizionali blockchain Proof-of-Work (PoW) strutturate ad albero, i miner con posizioni di rete vantaggiose o potenza di hash significativa possono trarre profitto deviando dal protocollo (ad esempio, trattenendo blocchi), mettendo a rischio la stabilità del sistema.

1.1. Il Gioco della Blockchain

Le blockchain standard come Bitcoin formano un albero. I fork si verificano naturalmente o in modo malevolo, portando a riorganizzazioni della catena in cui alcuni blocchi diventano orfani e i loro creatori perdono le ricompense. Questa struttura crea incentivi indesiderati in cui fattori come la latenza di rete possono influenzare la redditività del miner, incoraggiando comportamenti non cooperativi.

1.2. Il Nostro Contributo

Gli autori propongono un nuovo design di blockchain in cui la struttura dei dati è un Grafo Aciclico Diretto (DAG) di blocchi, non un albero. Lo schema di incentivi associato è progettato in modo rigoroso affinché seguire il protocollo costituisca un Equilibrio di Nash forte e stretto. Qualsiasi deviazione (come creare un fork non necessario) riduce rigorosamente le ricompense del deviatore. Ciò garantisce l'adesione al protocollo attraverso il puro interesse personale.

1.3. Panoramica Intuitiva

Il protocollo garantisce che i miner siano incentivati a referenziare tutti i blocchi non referenziati conosciuti quando ne creano uno nuovo. Ciò porta a un DAG denso in cui nessun blocco viene scartato. Il consenso sull'ordine delle transazioni si ottiene selezionando una "catena principale" da questo DAG, simile ad altri protocolli, ma è il meccanismo di ricompensa a imporre il comportamento onesto.

2. Terminologia e Definizioni del Protocollo

Il quadro definisce concetti chiave: Blocchi come vertici in un DAG, contenenti transazioni e riferimenti (archi) a blocchi precedenti. I blocchi terminali sono quelli non ancora referenziati da nessun altro blocco. La catena principale è un percorso specifico attraverso il DAG selezionato tramite una regola deterministica (ad esempio, basata sul proof-of-work cumulativo). La funzione di ricompensa $R(B)$ per un blocco $B$ è definita in base alla sua posizione e ai suoi riferimenti all'interno della struttura DAG.

3. Progettazione del Protocollo e Interpretazione del DAG

I miner, durante la creazione di un nuovo blocco, devono referenziare tutti i blocchi terminali nella loro visione locale del DAG. Questa regola è imposta non per decreto del protocollo, ma dal design della ricompensa: omettere un riferimento riduce il potenziale di ricompensa del nuovo blocco stesso. La struttura risultante è un DAG in costante crescita in cui i blocchi hanno più genitori.

3.1. Catena Principale e Ordinamento Totale

Per raggiungere il consenso sull'ordine delle transazioni (ad esempio, per prevenire il double-spending), è necessario estrarre una singola catena dal DAG. L'articolo suggerisce l'uso di metodi consolidati come la regola GHOST o la regola della catena più pesante applicata al DAG. Tutti i blocchi non sulla catena principale sono comunque inclusi e ricompensati, ma le loro transazioni sono ordinate rispetto alla timeline della catena principale, come discusso in lavori come "Secure High-Rate Transaction Processing in Bitcoin" di Sompolinsky e Zohar.

4. Costruzione dello Schema di Ricompensa

Il cuore della proposta. La ricompensa per un blocco $B_i$ non è una coinbase fissa. Viene calcolata come una funzione del suo contributo alla stabilità e alla connettività del DAG. Una possibile formulazione (ispirata dal testo) potrebbe essere: $R(B_i) = \alpha \cdot \text{RicompensaBase} + \beta \cdot \sum_{B_j \in \text{Ref}(B_i)} f(\text{profondità}(B_j))$, dove $\text{Ref}(B_i)$ sono i blocchi referenziati da $B_i$, e $f$ è una funzione decrescente. Ciò rende redditizio referenziare blocchi più vecchi e non referenziati.

4.1. Dettagli del Meccanismo di Incentivo

Lo schema è progettato per soddisfare due proprietà chiave: 1) Incentivo al Riferimento: Per qualsiasi nuovo blocco, aggiungere un riferimento a un blocco terminale noto non diminuisce mai e spesso aumenta la sua ricompensa attesa. 2) Punizione del Fork: Se un miner tenta di creare una catena parallela (fork) non referenziando l'ultimo blocco, il meccanismo di ricompensa garantisce che la ricompensa cumulativa per i blocchi nel fork sia rigorosamente inferiore a quella che avrebbero ottenuto se fossero stati costruiti onestamente sul DAG principale. Ciò rende i fork economicamente irrazionali.

5. Intuizione Fondamentale e Prospettiva dell'Analista

Intuizione Fondamentale

Sliwinski e Wattenhofer hanno sferrato un colpo chirurgico alla ferita più persistente della criptoeconomia: il disallineamento tra razionalità individuale e salute della rete. Il loro lavoro rivela che l'analisi originale degli incentivi di Nakamoto è fondamentalmente incompleta—una pericolosa omissione che ha lasciato ogni grande catena PoW, da Bitcoin a Ethereum 1.0, permanentemente vulnerabile al mining egoistico. La brillantezza qui non sta nel creare un nuovo algoritmo di consenso, ma nel riprogettare la matrice dei payoff stessa. Hanno formalizzato matematicamente ciò che l'industria ha a lungo percepito intuitivamente: nelle catene tradizionali, l'onestà è spesso solo una strategia subottimale tra molte.

Flusso Logico

L'argomentazione procede con un'elegante precisione teorica dei giochi. Innanzitutto, inquadrano correttamente la partecipazione alla blockchain come un gioco ripetuto con informazione imperfetta, in cui la struttura ad albero crea intrinsecamente competizioni a somma zero per l'inclusione dei blocchi. Poi, il loro colpo di genio: sostituire l'albero con un DAG, trasformando il gioco. Obbligando (attraverso incentivi, non regole) i blocchi a referenziare tutte le punte, eliminano le dinamiche "il vincitore prende quasi tutto" che alimentano il mining egoistico. Il DAG diventa un bene pubblico che tutti i miner sono pagati per mantenere, non un campo di battaglia. Ciò si allinea con il lavoro fondamentale nel design dei meccanismi, come quello delineato da Nisan et al. in "Algorithmic Game Theory", dove l'obiettivo è strutturare le regole in modo che la massimizzazione dell'utilità degli agenti egoisti porti a risultati socialmente desiderabili.

Punti di Forza e Debolezze

Punti di Forza: La garanzia teorica di un Equilibrio di Nash stretto per la conformità al protocollo è monumentale. Contrasta direttamente l'attacco di mining egoistico descritto da Eyal e Sirer. La struttura DAG promette anche guadagni tangibili in termini di throughput e tassi di orfani ridotti, simili a progetti come Spectre, ma con garanzie di incentivo più forti. Il design è elegantemente minimalista—corregge gli incentivi senza richiedere primitive crittografiche complesse.

Debolezze: L'elefante nella stanza è la complessità pratica. La funzione di ricompensa probabilmente richiede una conoscenza globale del DAG o calcoli complessi, ponendo sfide significative di implementazione e verifica rispetto alla semplice regola della "catena più lunga" di Bitcoin. L'analisi di sicurezza, sebbene robusta in un modello teorico dei giochi, potrebbe non catturare appieno le sfumature del mondo reale come il comportamento coordinato dei cartelli o i mercati variabili delle fee di transazione, che potrebbero creare nuove superfici di attacco. Inoltre, man mano che il DAG cresce, il requisito di referenziare tutte le punte potrebbe portare a intestazioni di blocco gonfie, influenzando la scalabilità—un compromesso che necessita di simulazioni rigorose.

Approfondimenti Pratici

Per gli architetti di blockchain, questo articolo è lettura obbligatoria. Il suo principio fondamentale—l'allineamento degli incentivi attraverso il design strutturale—dovrebbe essere una considerazione di primo ordine, non un ripensamento. Sebbene l'adozione del protocollo completo possa essere impegnativa per le catene esistenti, le sue lezioni possono essere ibridate. Ad esempio, nuovi protocolli L1 o il livello di consenso post-merge di Ethereum potrebbero integrare una versione semplificata del suo incentivo al riferimento per scoraggiare la ritenzione. Gli organismi di regolamentazione dovrebbero notare: questo lavoro dimostra che la sicurezza della blockchain può essere ingegnerizzata matematicamente, andando oltre la speranza di "maggioranze altruiste". Il passo successivo è che l'industria sottoponga questo design a test di stress attraverso simulazioni estese basate su agenti, simili a come il rapporto Flashboys 2.0 ha analizzato il MEV, per convalidarne la resilienza prima di qualsiasi distribuzione su mainnet.

6. Dettagli Tecnici e Struttura Matematica

La compatibilità degli incentivi è dimostrata utilizzando la teoria dei giochi. Considera un miner $m$ con potenza di hash $\alpha$. Sia $\mathbf{s}$ il profilo di strategia di tutti i miner. Sia $U_m(\mathbf{s})$ l'utilità (ricompensa attesa) del miner $m$. La strategia del protocollo $\mathbf{s}^*$ (referenziare sempre tutte le punte) è un Equilibrio di Nash se per ogni miner $m$ e ogni strategia alternativa $\mathbf{s}'_m$,

$$U_m(\mathbf{s}^*_m, \mathbf{s}^*_{-m}) \geq U_m(\mathbf{s}'_m, \mathbf{s}^*_{-m})$$

L'articolo costruisce una funzione di ricompensa $R$ tale che questa disuguaglianza sia stretta ($ > $) per qualsiasi deviazione $\mathbf{s}'_m$ che comporti l'omissione di riferimenti o la creazione di fork non necessari. La funzione probabilmente incorpora:

  • Decadimento basato sull'età: Le ricompense per referenziare un blocco diminuiscono man mano che il blocco invecchia, incoraggiando l'inclusione tempestiva.
  • Bonus di connettività: Un blocco riceve un bonus proporzionale al numero di blocchi precedenti che aiuta a confermare direttamente o indirettamente.

Un modello semplificato della ricompensa per il blocco $B$ potrebbe apparire così:

$$R(B) = \frac{C}{\sqrt{k(B) + 1}} + \sum_{P \in \text{Genitori}(B)} \gamma^{\text{distanza}(P)} \cdot R_{base}(P)$$

dove $k(B)$ è il numero di blocchi pubblicati contemporaneamente che $B$ non ha referenziato (misurando la creazione di fork), $\gamma < 1$ è un fattore di decadimento e $R_{base}(P)$ è una ricompensa base per il genitore $P$.

7. Risultati Sperimentali e Prestazioni

Sebbene l'estratto PDF fornito non contenga risultati sperimentali espliciti, le affermazioni dell'articolo implicano miglioramenti significativi delle prestazioni rispetto alle blockchain basate su albero:

Guadagno in Throughput

Proiettato: Aumento di 2-5 volte

Eliminando i blocchi orfani, tutto lo spazio dei blocchi viene utilizzato per le transazioni. In un albero, durante un fork, sopravvive solo un ramo, sprecando la capacità dell'altro. Il DAG utilizza il 100% dei blocchi creati.

Latenza di Conferma

Proiettato: Ridotta significativamente

Senza il rischio di riorganizzazioni profonde dovute al mining egoistico, le transazioni referenziate da più blocchi successivi possono essere considerate sicure più rapidamente, potenzialmente riducendo i tempi di conferma sicura da ~60 minuti (Bitcoin) a pochi intervalli di blocco.

Soglia di Sicurezza

Teorica: < 50% della Potenza di Hash

Il protocollo dovrebbe mantenere la sicurezza contro avversari razionali con qualsiasi quota di potenza di hash inferiore al 50%, poiché attaccare diventa rigorosamente non redditizio. Ciò è superiore alla soglia del mining egoistico (~25%) nel Bitcoin standard.

Descrizione del Grafico (Concettuale): Un grafico simulato mostrerebbe due linee nel tempo: 1) Ricompensa Cumulativa per Miner Onesto nel protocollo DAG proposto, e 2) Ricompensa Cumulativa per Miner Deviante che tenta un attacco di ritenzione. La linea del miner onesto rimarrebbe costantemente sopra quella del deviatore, dimostrando visivamente l'Equilibrio di Nash stretto. Un secondo grafico confronterebbe il Throughput delle Transazioni (TPS) tra una blockchain tradizionale (piatta o in lenta crescita) e la catena basata su DAG (mostrando una salita più ripida ed efficiente).

8. Quadro di Analisi: Un Caso Teorico dei Giochi

Scenario: Due miner razionali, Alice (30% di potenza di hash) e Bob (20% di potenza di hash), in una catena PoW tradizionale vs. la catena DAG proposta.

Catena Tradizionale (Albero): Alice scopre un blocco. Può trasmetterlo immediatamente (onesto) o trattenerlo e iniziare a minare una catena segreta (egoistico). Se lo trattiene e trova un secondo blocco prima che la rete ne trovi uno, può rilasciarli entrambi, causando una riorganizzazione che rende orfano il potenziale blocco di Bob, aumentando la sua quota di ricompensa dal 30% a potenzialmente il 100% per quel periodo. Il modello di Eyal e Sirer mostra che ciò può essere redditizio per $\alpha > 25\%$.

Catena DAG Proposta: Alice scopre un blocco $A_1$. La funzione di ricompensa $R(A_1)$ è massimizzata solo se referenzia tutti i blocchi terminali noti (che includono l'ultimo blocco di Bob se lo ha trovato). Se trattiene $A_1$ per minare $A_2$ segretamente, rinuncia alla ricompensa del riferimento per non aver collegato il blocco pubblico di Bob. Quando finalmente rivela la sua catena, il calcolo mostra:

$$R(A_1) + R(A_2)_{\text{segreto}} < R(A_1)_{\text{onesto}} + R(A_2)_{\text{onesto}}$$

Anche se causa un fork minore, la meccanica della ricompensa del protocollo garantisce che la sua ricompensa cumulativa sia inferiore. La scelta razionale è pubblicare $A_1$ immediatamente con tutti i riferimenti. Bob affronta lo stesso calcolo. Pertanto, l'unica strategia stabile per entrambi è la conformità al protocollo.

Questo caso non utilizza codice ma illustra la matrice decisionale strategica trasformata dal nuovo schema di incentivi.

9. Prospettive di Applicazione e Direzioni Future

Applicazioni Immediate:

  • L1 di Nuova Generazione: Nuove blockchain proof-of-work possono adottare questo design dalla genesi per garantire una sicurezza più forte contro i pool di mining.
  • Consenso Ibrido: Il modello di incentivi DAG potrebbe essere adattato per sistemi proof-of-stake (PoS) o delegated proof-of-stake (DPoS) per scoraggiare attacchi come lo stake-grinding o simili.
  • Layer 2 e Sidechain: I principi possono proteggere sidechain a finalità più rapida o la sequenziazione dei rollup dove anche il disallineamento degli incentivi è una preoccupazione.

Direzioni Future di Ricerca:

  • Mercati Dinamici delle Fee: Integrare un'asta robusta delle fee di transazione (come EIP-1559) nel modello di ricompensa DAG senza rompere la compatibilità degli incentivi.
  • Preparazione alla Resistenza Quantistica: Esplorare come le firme crittografiche post-quantistiche, che sono più grandi, influenzino la scalabilità e il modello di incentivi del DAG.
  • Verifica Formale: Utilizzare strumenti come l'assistente di prove Coq o model checker come TLA+ per verificare formalmente le proprietà teoriche dei giochi del protocollo implementato.
  • Incentivi Cross-Chain: Applicare principi simili di allineamento degli incentivi ai protocolli che governano l'interoperabilità delle blockchain (bridge) per prevenire exploit di MEV cross-chain.

10. Riferimenti

  1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  2. Eyal, I., & Sirer, E. G. (2014). Majority is not Enough: Bitcoin Mining is Vulnerable. In Financial Cryptography.
  3. Sompolinsky, Y., & Zohar, A. (2015). Secure High-Rate Transaction Processing in Bitcoin. In Financial Cryptography.
  4. Nisan, N., Roughgarden, T., Tardos, É., & Vazirani, V. V. (2007). Algorithmic Game Theory. Cambridge University Press.
  5. Lewenberg, Y., Sompolinsky, Y., & Zohar, A. (2015). Inclusive Block Chain Protocols. In Financial Cryptography.
  6. Buterin, V. (2014). Slasher: A Punitive Proof-of-Stake Algorithm. Ethereum Blog.
  7. Daian, P., et al. (2019). Flash Boys 2.0: Frontrunning, Transaction Reordering, and Consensus Instability in Decentralized Exchanges. IEEE Symposium on Security and Privacy.
  8. Sliwinski, J., & Wattenhofer, R. (2022). Better Incentives for Proof-of-Work. arXiv:2206.10050.