言語を選択

プルーフ・オブ・ワークのための優れたインセンティブ:DAGベースのプロトコル分析

DAG構造を用いた新しいプルーフ・オブ・ワークブロックチェーンのインセンティブ設計を分析。プロトコル遵守が最適な利己的マイニング戦略となることを保証する。
computingpowertoken.org | PDF Size: 0.2 MB
評価: 4.5/5
あなたの評価
この文書は既に評価済みです
PDF文書カバー - プルーフ・オブ・ワークのための優れたインセンティブ:DAGベースのプロトコル分析
PDF文書を表示 PDFをダウンロード PDFを翻訳
ホーム » 文書 » プルーフ・オブ・ワークのための優れたインセンティブ:DAGベースのプロトコル分析

1. 序論

本論文は、ETH Zurichに端を発し、中本聡によるビットコインのオリジナルのインセンティブ理論における根本的な欠陥に取り組む。利己的マイニング戦略が示すように、合理的な経済行動は必ずしもプロトコルへの誠実な遵守を意味しないと論じる。核心的な問題は、ツリー構造を取る従来のプルーフ・オブ・ワーク(PoW)ブロックチェーンにおいて、ネットワーク上の有利な位置や大きなハッシュパワーを持つマイナーが、プロトコルから逸脱することで利益を得られる(例:ブロックの保留)可能性があり、システムの安定性を脅かすことである。

1.1. ブロックチェーンゲーム

ビットコインのような標準的なブロックチェーンはツリーを形成する。フォークは自然発生または悪意を持って発生し、チェーンの再編成を引き起こし、一部のブロックはオーファン化され、その作成者は報酬を失う。この構造は、ネットワーク遅延などの要因がマイナーの収益性に影響を与え、非協力的な行動を促すという望ましくないインセンティブを生み出す。

1.2. 本論文の貢献

著者らは、データ構造がツリーではなくブロックの有向非巡回グラフ(DAG)である新しいブロックチェーン設計を提案する。付随するインセンティブスキームは厳密に設計されており、プロトコルに従うことが厳密で強力なナッシュ均衡を構成する。あらゆる逸脱(不必要なフォークの作成など)は、逸脱者の報酬を確実に減少させる。これにより、純粋な自己利益を通じてプロトコル遵守が保証される。

1.3. 直感的な概要

このプロトコルは、マイナーが新しいブロックを作成する際に、既知のすべての未参照ブロックを参照するインセンティブを持つことを保証する。これにより、ブロックが破棄されることのない密なDAGが形成される。トランザクション順序に関する合意は、他のプロトコルと同様に、このDAGから「メインチェーン」を選択することで達成されるが、正直な行動を強制するのは報酬メカニズムである。

2. プロトコル用語と定義

この枠組みは、以下の主要概念を定義する:DAG内の頂点としてのブロック(トランザクションと先行ブロックへの参照(エッジ)を含む)。ターミナルブロックは、まだ他のブロックから参照されていないブロックである。メインチェーンは、決定的なルール(例:累積プルーフ・オブ・ワークに基づく)によって選択されたDAG内の特定の経路である。ブロック$B$に対する報酬関数$R(B)$は、DAG構造内でのその位置と参照に基づいて定義される。

3. プロトコル設計とDAG解釈

マイナーは、新しいブロックを作成する際、自身のローカルビューにおけるDAGのすべてのターミナルブロックを参照しなければならない。このルールはプロトコルの命令によってではなく、報酬設計によって強制される:参照を省略すると、新しいブロック自身の報酬獲得可能性が低下する。結果として得られる構造は、ブロックが複数の親を持つ、絶えず成長するDAGとなる。

3.1. メインチェーンと全順序付け

トランザクション順序に関する合意(例:二重支払い防止のため)を得るには、DAGから単一のチェーンを抽出しなければならない。本論文では、DAGに適用されるGHOSTルールや最重チェーンルールなどの確立された方法を使用することを提案している。メインチェーン上にないすべてのブロックも依然として含まれ報酬を得るが、それらのトランザクションは、SompolinskyとZoharの「Secure High-Rate Transaction Processing in Bitcoin」などの研究で議論されているように、メインチェーンのタイムラインに対して順序付けられる。

4. 報酬スキームの構築

提案の核心部分である。ブロック$B_i$に対する報酬は固定のコインベースではない。それは、DAGの安定性と接続性への貢献の関数として計算される。本文に触発された可能な定式化は次のようになる:$R(B_i) = \alpha \cdot \text{BaseReward} + \beta \cdot \sum_{B_j \in \text{Ref}(B_i)} f(\text{depth}(B_j))$。ここで、$\text{Ref}(B_i)$は$B_i$が参照するブロックであり、$f$は減衰関数である。これにより、古く未参照のブロックを参照することが利益となる。

4.1. インセンティブメカニズムの詳細

このスキームは、2つの重要な特性を満たすように設計されている:1) 参照インセンティブ: 任意の新しいブロックについて、既知のターミナルブロックへの参照を追加することは、その期待報酬を減少させることはなく、多くの場合増加させる。2) フォーク罰則: マイナーが最新のブロックを参照せずに並列チェーン(フォーク)を作成しようと試みた場合、報酬メカニズムは、フォーク内のブロックの累積報酬が、それらがメインDAG上で正直に構築された場合よりも確実に少なくなることを保証する。これにより、フォークは経済的に非合理的となる。

5. 核心的洞察とアナリスト視点

核心的洞察

SliwinskiとWattenhoferは、暗号経済学の最も頑固な傷口——個人の合理性とネットワーク健全性の不一致——に対して外科的ストライキを加えた。彼らの研究は、中本のオリジナルのインセンティブ分析が根本的に不完全であり、ビットコインからイーサリアム1.0に至るまでのすべての主要なPoWチェーンを利己的マイニングに対して恒久的に脆弱なままにしている危険な見落としであることを暴露している。ここでの卓越性は、新しい合意アルゴリズムを作り出したことではなく、ペイオフマトリックス自体を再設計したことにある。彼らは、業界が長らく直感的に感じてきたことを数学的に形式化した:従来のチェーンでは、誠実さは多くの戦略の中の単なる準最適戦略の一つに過ぎないことが多い。

論理的展開

議論は、優雅でゲーム理論的に精密に進む。まず、ブロックチェーン参加を不完全情報の繰り返しゲームとして正しく位置づけ、ツリー構造が本質的にブロック包含をめぐるゼロサム競争を生み出すことを示す。次に、彼らの決定的な一手:ツリーをDAGに置き換え、ゲームを変容させる。ブロックがすべてのチップ(未参照ブロック)を参照することを(規則ではなくインセンティブを通じて)義務付けることで、利己的マイニングを助長する「勝者がほとんどを取る」力学を排除する。DAGは、すべてのマイナーが維持するために報酬を得る公共財となり、戦場ではなくなる。これは、Nisanらによる「Algorithmic Game Theory」で概説されているようなメカニズムデザインの基礎研究と一致する。そこでは、利己的なエージェントの効用最大化が社会的に望ましい結果につながるように規則を構造化することが目標とされている。

長所と欠点

長所: プロトコル遵守のための厳密なナッシュ均衡の理論的保証は、記念碑的である。これは、EyalとSirerによって記述された利己的マイニング攻撃に直接対抗する。DAG構造はまた、Spectreのようなプロジェクトと同様に、スループットの向上とオーファンレートの低減という具体的な利得を約束するが、より強力なインセンティブ保証を伴う。設計は優雅にミニマリストであり、複雑な暗号プリミティブを必要とせずにインセンティブを修正する。

欠点: 明白な問題は実用的な複雑さである。報酬関数はおそらくグローバルなDAG知識または複雑な計算を必要とし、ビットコインの単純な「最長チェーン」ルールと比較して、実装と検証に大きな課題をもたらす。ゲーム理論モデルでは堅牢であるが、このセキュリティ分析は、協調的なカルテル行動や変動するトランザクション手数料市場などの現実世界のニュアンスを完全には捉えられておらず、新たな攻撃面を生み出す可能性がある。さらに、DAGが成長するにつれて、すべてのチップを参照する要件は肥大化したブロックヘッダーにつながり、スケーラビリティに影響を与える可能性がある——これは厳密なシミュレーションが必要なトレードオフである。

実践的洞察

ブロックチェーン設計者にとって、この論文は必読である。その核心原則——構造設計によるインセンティブ整合性——は、後付けの考慮事項ではなく、第一義的な考慮事項であるべきだ。既存のチェーンが完全なプロトコルを採用することは困難かもしれないが、その教訓はハイブリッド化できる。例えば、新しいL1プロトコルや、マージ後のイーサリアムの合意層は、保留を思いとどまらせるための参照インセンティブの簡略化版を統合できる。規制当局は留意すべきである:この研究は、ブロックチェーンのセキュリティが「利他的な多数派」への期待を超えて、数学的に設計できることを示している。次のステップは、業界が、Flashboys 2.0レポートがMEVを分析したのと同様に、広範なエージェントベースのシミュレーションを通じてこの設計に圧力テストをかけ、メインネット展開前にその回復力を検証することである。

6. 技術的詳細と数学的枠組み

インセンティブ互換性はゲーム理論を用いて証明される。ハッシュレート$\alpha$を持つマイナー$m$を考える。$\mathbf{s}$をすべてのマイナーの戦略プロファイルとする。$U_m(\mathbf{s})$をマイナー$m$の効用(期待報酬)とする。プロトコル戦略$\mathbf{s}^*$(常にすべてのチップを参照する)がナッシュ均衡であるとは、すべてのマイナー$m$とすべての代替戦略$\mathbf{s}'_m$に対して、

$$U_m(\mathbf{s}^*_m, \mathbf{s}^*_{-m}) \geq U_m(\mathbf{s}'_m, \mathbf{s}^*_{-m})$$

が成り立つときである。本論文は、参照の保留や不必要なフォークの作成を含むあらゆる逸脱$\mathbf{s}'_m$に対して、この不等式が厳密($ > $)となるような報酬関数$R$を構築する。この関数はおそらく以下を含む:

  • 経過時間に基づく減衰: ブロックを参照することによる報酬は、ブロックが古くなるにつれて減少し、タイムリーな包含を促す。
  • 接続性ボーナス: ブロックは、それが直接的または間接的に確認を助ける先行ブロックの数に比例したボーナスを受け取る。

ブロック$B$に対する報酬の簡略化されたモデルは次のようになるかもしれない:

$$R(B) = \frac{C}{\sqrt{k(B) + 1}} + \sum_{P \in \text{Parents}(B)} \gamma^{\text{distance}(P)} \cdot R_{base}(P)$$

ここで、$k(B)$は$B$が参照しなかった同時期に公開されたブロックの数(フォーク作成の測定)、$\gamma < 1$は減衰係数、$R_{base}(P)$は親$P$に対する基本報酬である。

7. 実験結果と性能

提供されたPDF抜粋には明示的な実験結果は含まれていないが、本論文の主張は、ツリーベースのブロックチェーンに対する大幅な性能向上を暗示している:

スループット向上

予測: 2-5倍の増加

オーファンブロックを排除することで、すべてのブロックスペースがトランザクションに利用される。ツリー構造では、フォーク中は一方のブランチのみが生き残り、他方の容量が無駄になる。DAGは作成されたブロックの100%を利用する。

承認遅延

予測: 大幅に低減

利己的マイニングによる深い再編成のリスクがないため、複数の後続ブロックから参照されたトランザクションはより速く安全と見なすことができ、安全な承認時間をビットコインの約60分から数ブロック間隔に短縮できる可能性がある。

セキュリティ閾値

理論的: < 50% ハッシュパワー

攻撃が確実に不利益となるため、このプロトコルは50%未満のハッシュパワーシェアを持つ合理的な敵対者に対してセキュリティを維持するはずである。これは、標準ビットコインにおける利己的マイニング閾値(約25%)よりも優れている。

チャート説明(概念的): シミュレーションチャートは、時間の経過に伴う2本の線を示すだろう:1) 提案されたDAGプロトコルにおける正直なマイナーの累積報酬、および2) 保留攻撃を試みる逸脱マイナーの累積報酬。正直なマイナーの線は一貫して逸脱者の線を上回り、厳密なナッシュ均衡を視覚的に示す。2番目のチャートは、従来のブロックチェーン(平坦または緩やかに成長)とDAGベースのチェーン(より急峻で効率的な上昇を示す)の間のトランザクションスループット(TPS)を比較するだろう。

8. 分析フレームワーク:ゲーム理論的ケーススタディ

シナリオ: 従来のPoWチェーンと提案されたDAGチェーンにおける、2人の合理的なマイナー、アリス(30%ハッシュパワー)とボブ(20%ハッシュパワー)。

従来のチェーン(ツリー): アリスがブロックを発見する。彼女は直ちにブロードキャストする(正直)か、保留して秘密のチェーンでのマイニングを開始する(利己的)かを選択できる。もし彼女が保留し、ネットワークがブロックを見つける前に2つ目のブロックを見つけた場合、両方を公開して再編成を引き起こし、ボブの潜在的なブロックをオーファン化し、その期間における彼女の報酬シェアを30%から潜在的には100%に増加させることができる。EyalとSirerのモデルは、これが$\alpha > 25\%$の場合に利益をもたらしうることを示している。

提案されたDAGチェーン: アリスがブロック$A_1$を発見する。報酬関数$R(A_1)$は、彼女が既知のすべてのターミナルブロック(ボブがブロックを見つけていれば、その最新ブロックを含む)を参照する場合にのみ最大化される。もし彼女が$A_1$を保留して秘密裏に$A_2$をマイニングしようとすると、ボブの公開ブロックへのリンクを張らないことによる参照報酬を放棄することになる。彼女が最終的に自分のチェーンを公開するとき、計算は次のことを示す:

$$R(A_1) + R(A_2)_{\text{secret}} < R(A_1)_{\text{honest}} + R(A_2)_{\text{honest}}$$

たとえ彼女が小さなフォークを引き起こしたとしても、プロトコルの報酬メカニズムは彼女の累積報酬が少なくなることを保証する。合理的な選択は、すべての参照を含めて$A_1$を直ちに公開することである。ボブも同じ計算に直面する。したがって、両者にとって唯一安定した戦略はプロトコル遵守である。

このケーススタディはコードを使用しないが、新しいインセンティブスキームによって変容された戦略的意思決定マトリックスを説明する。

9. 応用展望と将来の方向性

即時的な応用:

  • 次世代L1: 新しいプルーフ・オブ・ワークブロックチェーンは、ジェネシスからこの設計を採用し、マイニングプールに対するより強力なセキュリティを保証できる。
  • ハイブリッド合意: DAGインセンティブモデルは、プルーフ・オブ・ステーク(PoS)や委任プルーフ・オブ・ステーク(DPoS)システムに適応させ、ステークグラインディングや類似の攻撃を思いとどまらせるために使用できる。
  • レイヤー2 & サイドチェーン: この原則は、より高速なファイナリティを持つサイドチェーンや、インセンティブの不一致も懸念されるロールアップのシーケンシングを保護するために応用できる。

将来の研究方向性:

  • 動的手数料市場: 堅牢なトランザクション手数料オークション(EIP-1559のような)を、インセンティブ互換性を損なうことなくDAG報酬モデルに統合する。
  • 量子耐性への準備: より大きいポスト量子暗号署名が、DAGのスケーラビリティとインセンティブモデルにどのように影響するかを探求する。
  • 形式的検証: Coq証明支援系やTLA+のようなモデルチェッカーを使用して、実装されたプロトコルのゲーム理論的特性を形式的に検証する。
  • クロスチェーンインセンティブ: 同様のインセンティブ整合性の原則を、ブロックチェーン相互運用性(ブリッジ)を管理するプロトコルに適用し、クロスチェーンMEV悪用を防止する。

10. 参考文献

  1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  2. Eyal, I., & Sirer, E. G. (2014). Majority is not Enough: Bitcoin Mining is Vulnerable. In Financial Cryptography.
  3. Sompolinsky, Y., & Zohar, A. (2015). Secure High-Rate Transaction Processing in Bitcoin. In Financial Cryptography.
  4. Nisan, N., Roughgarden, T., Tardos, É., & Vazirani, V. V. (2007). Algorithmic Game Theory. Cambridge University Press.
  5. Lewenberg, Y., Sompolinsky, Y., & Zohar, A. (2015). Inclusive Block Chain Protocols. In Financial Cryptography.
  6. Buterin, V. (2014). Slasher: A Punitive Proof-of-Stake Algorithm. Ethereum Blog.
  7. Daian, P., et al. (2019). Flash Boys 2.0: Frontrunning, Transaction Reordering, and Consensus Instability in Decentralized Exchanges. IEEE Symposium on Security and Privacy.
  8. Sliwinski, J., & Wattenhofer, R. (2022). Better Incentives for Proof-of-Work. arXiv:2206.10050.