작업 증명(PoW)에 대한 개선된 인센티브: DAG 기반 프로토콜 분석

1. 서론

본 연구는 ETH 취리히에서 시작되었으며, 나카모토의 원래 비트코인 인센티브 논리의 근본적인 결함을 해결합니다. 이 논문은 이기적 채굴 전략이 보여주듯, 합리적인 경제적 행동이 반드시 프로토콜 정직성과 동일하지 않다고 주장합니다. 핵심 문제는 트리 구조의 기존 작업 증명(PoW) 블록체인에서, 유리한 네트워크 위치나 상당한 해시 파워를 가진 채굴자들이 프로토콜을 이탈함으로써(예: 블록을 숨기는 방식) 이익을 얻을 수 있어 시스템 안정성을 위협한다는 점입니다.

1.1. 블록체인 게임

비트코인과 같은 표준 블록체인은 트리를 형성합니다. 포크는 자연적으로 또는 악의적으로 발생하여 체인 재구성을 초래하며, 일부 블록은 고아 블록이 되어 생성자는 보상을 잃게 됩니다. 이러한 구조는 네트워크 지연과 같은 요소가 채굴자의 수익성에 영향을 미칠 수 있는 바람직하지 않은 인센티브를 만들어내며, 비협력적 행동을 조장합니다.

1.2. 본 연구의 기여

저자들은 데이터 구조가 트리가 아닌 블록들의 방향성 비순환 그래프(DAG)인 새로운 블록체인 설계를 제안합니다. 동반되는 인센티브 체계는 프로토콜을 따르는 것이 엄격하고 강력한 내쉬 균형을 구성하도록 엄밀하게 설계되었습니다. 불필요한 포크 생성과 같은 어떠한 이탈도 이탈자의 보상을 엄격하게 감소시킵니다. 이는 순수한 사리사욕을 통해 프로토콜 준수를 보장합니다.

1.3. 직관적 개요

이 프로토콜은 채굴자들이 새로운 블록을 생성할 때 알려진 모든 미참조 블록들을 참조하도록 인센티브를 부여합니다. 이는 어떤 블록도 폐기되지 않는 조밀한 DAG로 이어집니다. 거래 순서에 대한 합의는 다른 프로토콜과 유사하게 이 DAG에서 "메인 체인"을 선택함으로써 달성되지만, 정직한 행동을 강제하는 것은 보상 메커니즘입니다.

2. 프로토콜 용어 및 정의

이 프레임워크는 핵심 개념을 정의합니다: DAG의 정점으로서 거래와 이전 블록에 대한 참조(간선)를 포함하는 블록. 다른 어떤 블록에도 아직 참조되지 않은 터미널 블록. 결정론적 규칙(예: 누적 작업 증명 기반)을 통해 선택된 DAG 내의 특정 경로인 메인 체인. 블록 $B$에 대한 보상 함수 $R(B)$는 DAG 구조 내에서의 위치와 참조를 기반으로 정의됩니다.

3. 프로토콜 설계 및 DAG 해석

채굴자들은 새로운 블록을 생성할 때, 자신의 로컬 DAG 뷰에 있는 모든 터미널 블록을 참조해야 합니다. 이 규칙은 프로토콜의 명령이 아니라 보상 설계에 의해 강제됩니다: 참조를 생략하면 새 블록 자체의 보상 잠재력이 감소합니다. 결과적으로 생성되는 구조는 블록들이 여러 부모를 가지며 지속적으로 성장하는 DAG입니다.

3.1. 메인 체인 및 전체 순서화

거래 순서에 대한 합의(예: 이중 지불 방지)를 달성하기 위해서는 DAG에서 단일 체인을 추출해야 합니다. 본 논문은 DAG에 적용된 GHOST 규칙이나 가장 무거운 체인 규칙과 같은 확립된 방법을 사용할 것을 제안합니다. 메인 체인에 있지 않은 모든 블록도 여전히 포함되고 보상받지만, 그들의 거래는 Sompolinsky와 Zohar의 "비트코인에서의 안전한 고속 거래 처리"와 같은 연구에서 논의된 대로 메인 체인의 타임라인을 기준으로 순서가 정해집니다.

4. 보상 체계 구성

제안의 핵심입니다. 블록 $B_i$에 대한 보상은 고정된 코인베이스가 아닙니다. 이는 DAG의 안정성과 연결성에 대한 기여도의 함수로 계산됩니다. (본문에서 영감을 받은) 가능한 공식은 다음과 같을 수 있습니다: $R(B_i) = \alpha \cdot \text{기본보상} + \beta \cdot \sum_{B_j \in \text{Ref}(B_i)} f(\text{깊이}(B_j))$, 여기서 $\text{Ref}(B_i)$는 $B_i$가 참조하는 블록들이고, $f$는 감쇠 함수입니다. 이는 오래되고 참조되지 않은 블록들을 참조하는 것을 수익성 있게 만듭니다.

4.1. 인센티브 메커니즘 상세

이 체계는 두 가지 핵심 속성을 충족하도록 설계되었습니다: 1) 참조 인센티브: 새로운 블록에 대해, 알려진 터미널 블록에 대한 참조를 추가하는 것은 기대 보상을 절대 감소시키지 않으며 종종 증가시킵니다. 2) 포크 처벌: 채굴자가 최신 블록을 참조하지 않고 병렬 체인(포크)을 생성하려고 시도하면, 보상 메커니즘은 포크 내 블록들의 누적 보상이 정직하게 메인 DAG 위에 구축되었을 경우보다 엄격하게 적도록 보장합니다. 이는 포크를 경제적으로 비합리적으로 만듭니다.

5. 핵심 통찰 및 분석가 관점

핵심 통찰

Sliwinski와 Wattenhofer는 암호경제학의 가장 지속적인 상처인 개인의 합리성과 네트워크 건강 간의 불일치에 대해 정밀 타격을 가했습니다. 그들의 연구는 나카모토의 원래 인센티브 분석이 근본적으로 불완전하며, 이는 비트코인부터 이더리움 1.0까지 모든 주요 PoW 체인을 이기적 채굴에 대해 영구적으로 취약하게 만든 위험한 간과라고 폭로합니다. 여기서의 탁월함은 새로운 합의 알고리즘을 만드는 데 있지 않고, 보수 행렬 자체를 재설계하는 데 있습니다. 그들은 업계가 오랫동안 직관적으로 느껴왔던 것을 수학적으로 공식화했습니다: 기존 체인에서는 정직함이 종종 여러 하위 최적 전략 중 하나일 뿐이라는 점입니다.

논리적 흐름

이 논증은 우아하고 게임 이론적으로 정밀하게 진행됩니다. 먼저, 그들은 블록체인 참여를 불완전 정보를 가진 반복 게임으로 올바르게 설정하며, 트리 구조가 본질적으로 블록 포함을 위한 제로섬 경쟁을 만들어낸다고 합니다. 그런 다음, 그들의 결정적 수는 트리를 DAG로 대체하여 게임을 변형시키는 것입니다. (규칙이 아닌 인센티브를 통해) 블록들이 모든 팁을 참조하도록 의무화함으로써, 그들은 이기적 채굴을 부추기는 "승자가 대부분을 가져가는" 역학을 제거합니다. DAG는 모든 채굴자가 유지하도록 보상받는 공공재가 되며, 전장이 아닙니다. 이는 Nisan 외의 "알고리즘 게임 이론"에서 개요가 설명된 것과 같은 메커니즘 설계의 기초 작업과 일치하며, 여기서 목표는 이기적인 행위자들의 효용 극대화가 사회적으로 바람직한 결과로 이어지도록 규칙을 구조화하는 것입니다.

강점과 결점

강점: 프로토콜 준수를 위한 엄격한 내쉬 균형의 이론적 보장은 거대합니다. 이는 Eyal과 Sirer가 설명한 이기적 채굴 공격에 직접적으로 대응합니다. DAG 구조는 또한 Spectre와 같은 프로젝트와 유사하지만 더 강력한 인센티브 보장을 가진 처리량 증가와 고아 블록 비율 감소라는 실질적인 이득을 약속합니다. 설계는 우아하게 미니멀리스트적입니다—복잡한 암호학적 기본 요소를 요구하지 않고 인센티브를 수정합니다.

결점: 방 안의 코끼리는 실용적 복잡성입니다. 보상 함수는 아마도 전역 DAG 지식이나 복잡한 계산을 필요로 하며, 비트코인의 단순한 "가장 긴 체인" 규칙에 비해 상당한 구현 및 검증 과제를 제기합니다. 게임 이론적 모델에서는 강력하지만, 보안 분석은 조정된 카르텔 행동이나 변동하는 거래 수수료 시장과 같은 현실 세계의 뉘앙스를 완전히 포착하지 못할 수 있으며, 이는 새로운 공격 표면을 만들 수 있습니다. 더욱이, DAG가 성장함에 따라 모든 팁을 참조해야 하는 요구사항은 비대해진 블록 헤더로 이어져 확장성에 영향을 미칠 수 있습니다—이러한 절충은 엄격한 시뮬레이션이 필요합니다.

실행 가능한 통찰

블록체인 설계자들에게 이 논문은 필독서입니다. 그 핵심 원칙—구조적 설계를 통한 인센티브 정렬—은 사후 고려사항이 아닌 1차적 고려사항이어야 합니다. 기존 체인이 전체 프로토콜을 채택하는 것은 어려울 수 있지만, 그 교훈은 혼합될 수 있습니다. 예를 들어, 새로운 L1 프로토콜이나 이더리움의 머지 이후 합의 계층은 숨김을 억제하기 위해 단순화된 버전의 참조 인센티브를 통합할 수 있습니다. 규제 기관들은 주목해야 합니다: 이 연구는 블록체인 보안이 "이타적인 다수"의 희망을 넘어 수학적으로 설계될 수 있음을 보여줍니다. 다음 단계는 업계가 Flashboys 2.0 보고서가 MEV를 분석한 것과 유사하게 광범위한 에이전트 기반 시뮬레이션을 통해 이 설계를 압력 테스트하여 메인넷 배포 전에 그 회복력을 검증하는 것입니다.

6. 기술적 세부사항 및 수학적 프레임워크

인센티브 호환성은 게임 이론을 사용하여 증명됩니다. 해시레이트 $\alpha$를 가진 채굴자 $m$을 고려해 보십시오. $\mathbf{s}$를 모든 채굴자들의 전략 프로필이라고 합시다. $U_m(\mathbf{s})$를 채굴자 $m$의 효용(기대 보상)이라고 합시다. 프로토콜 전략 $\mathbf{s}^*$ (항상 모든 팁을 참조)는 모든 채굴자 $m$과 모든 대안 전략 $\mathbf{s}'_m$에 대해 다음 조건을 만족할 때 내쉬 균형입니다.

$$U_m(\mathbf{s}^*_m, \mathbf{s}^*_{-m}) \geq U_m(\mathbf{s}'_m, \mathbf{s}^*_{-m})$$

본 논문은 참조를 숨기거나 불필요한 포크를 생성하는 것을 포함하는 어떠한 이탈 $\mathbf{s}'_m$에 대해서도 이 부등식이 엄격하게($ > $) 성립하도록 보상 함수 $R$을 구성합니다. 이 함수는 아마도 다음을 포함할 것입니다:

연령 기반 감쇠: 블록을 참조하는 보상은 블록이 오래될수록 감소하여 적시 포함을 장려합니다.
연결성 보너스: 블록은 직접적 또는 간접적으로 확인하는 데 도움을 주는 이전 블록들의 수에 비례하는 보너스를 받습니다.

블록 $B$에 대한 보상의 단순화된 모델은 다음과 같을 수 있습니다:

$$R(B) = \frac{C}{\sqrt{k(B) + 1}} + \sum_{P \in \text{Parents}(B)} \gamma^{\text{distance}(P)} \cdot R_{base}(P)$$

여기서 $k(B)$는 $B$가 참조하지 않은 동시에 발표된 블록들의 수(포크 생성 측정), $\gamma < 1$은 감쇠 인자, $R_{base}(P)$는 부모 $P$에 대한 기본 보상입니다.

7. 실험 결과 및 성능

제공된 PDF 발췌문에 명시적인 실험 결과가 포함되어 있지는 않지만, 논문의 주장은 트리 기반 블록체인에 비해 상당한 성능 향상을 암시합니다:

처리량 증가

예상: 2-5배 증가

고아 블록을 제거함으로써 모든 블록 공간이 거래에 활용됩니다. 트리에서는 포크 동안 한 가지만 살아남아 다른 가지의 용량이 낭비됩니다. DAG는 생성된 블록의 100%를 사용합니다.

확정 지연 시간

예상: 상당히 감소

이기적 채굴로 인한 심층 재구성의 위험이 없기 때문에, 여러 후속 블록에 의해 참조된 거래는 더 빠르게 안전한 것으로 간주될 수 있으며, 안전한 확정 시간을 비트코인의 ~60분에서 몇 블록 간격으로 잠재적으로 줄일 수 있습니다.

보안 임계값

이론적: < 50% 해시 파워

공격이 엄격하게 수익성이 없어지므로, 이 프로토콜은 50% 미만의 해시 파워 점유율을 가진 합리적인 적대자에 대해 보안을 유지해야 합니다. 이는 표준 비트코인의 이기적 채굴 임계값(~25%)보다 우수합니다.

차트 설명 (개념적): 시뮬레이션된 차트는 시간에 따른 두 선을 보여줄 것입니다: 1) 제안된 DAG 프로토콜에서의 정직한 채굴자의 누적 보상, 그리고 2) 숨김 공격을 시도하는 이탈 채굴자의 누적 보상. 정직한 채굴자의 선은 일관되게 이탈자의 선 위에 머물며, 엄격한 내쉬 균형을 시각적으로 입증할 것입니다. 두 번째 차트는 기존 블록체인(평평하거나 느리게 성장)과 DAG 기반 체인(더 가파르고 효율적인 상승을 보여줌) 간의 거래 처리량(TPS)을 비교할 것입니다.

8. 분석 프레임워크: 게임 이론적 사례

시나리오: 기존 PoW 체인 대 제안된 DAG 체인에서 두 명의 합리적인 채굴자, Alice(30% 해시 파워)와 Bob(20% 해시 파워).

기존 체인 (트리): Alice가 블록을 발견합니다. 그녀는 즉시 브로드캐스트하거나(정직) 숨기고 비밀 체인을 채굴하기 시작할 수 있습니다(이기적). 그녀가 숨기고 네트워크가 블록을 찾기 전에 두 번째 블록을 찾으면, 그녀는 둘 다 공개하여 Bob의 잠재적 블록을 고아 블록으로 만드는 재구성을 초래할 수 있으며, 그 기간 동안 그녀의 보상 점유율을 30%에서 잠재적으로 100%로 증가시킬 수 있습니다. Eyal과 Sirer의 모델은 이것이 $\alpha > 25\%$에 대해 수익성이 있을 수 있음을 보여줍니다.

제안된 DAG 체인: Alice가 블록 $A_1$을 발견합니다. 보상 함수 $R(A_1)$은 알려진 모든 터미널 블록(Bob이 블록을 찾았다면 그의 최신 블록 포함)을 참조할 때만 최대화됩니다. 그녀가 $A_2$를 비밀리에 채굴하기 위해 $A_1$을 숨기면, Bob의 공개 블록에 연결하지 않음으로 인한 참조 보상을 포기합니다. 그녀가 마침내 자신의 체인을 공개할 때, 계산은 다음과 같음을 보여줍니다:

$$R(A_1) + R(A_2)_{\text{비밀}} < R(A_1)_{\text{정직}} + R(A_2)_{\text{정직}}$$

그녀가 사소한 포크를 일으키더라도, 프로토콜의 보상 메커니즘은 그녀의 누적 보상이 더 적도록 보장합니다. 합리적인 선택은 모든 참조와 함께 $A_1$을 즉시 공개하는 것입니다. Bob도 동일한 계산에 직면합니다. 따라서 둘 모두에게 유일한 안정적인 전략은 프로토콜 준수입니다.

이 사례는 코드를 사용하지 않지만, 새로운 인센티브 체계에 의해 변형된 전략적 결정 행렬을 설명합니다.

9. 적용 전망 및 향후 방향

즉시 적용 가능 분야:

차세대 L1: 새로운 작업 증명 블록체인은 채굴 풀에 대한 더 강력한 보안을 보장하기 위해 제네시스부터 이 설계를 채택할 수 있습니다.
하이브리드 합의: DAG 인센티브 모델은 지분 증명(PoS) 또는 위임 지분 증명(DPoS) 시스템에 적응되어 스테이크 그라인딩이나 유사한 공격을 억제할 수 있습니다.
레이어 2 및 사이드체인: 이 원칙은 더 빠른 최종성을 가진 사이드체인이나 롤업 시퀀싱을 보호하는 데 적용될 수 있으며, 여기서도 인센티브 불일치가 문제가 됩니다.

향후 연구 방향:

동적 수수료 시장: 인센티브 호환성을 깨지 않고 강력한 거래 수수료 경매(EIP-1559와 같은)를 DAG 보상 모델에 통합하기.
양자 내성 준비: 더 큰 포스트-퀀텀 암호 서명이 DAG의 확장성과 인센티브 모델에 어떻게 영향을 미치는지 탐구하기.
형식적 검증: Coq 증명 보조 도구나 TLA+와 같은 모델 검사기를 사용하여 구현된 프로토콜의 게임 이론적 속성을 형식적으로 검증하기.
크로스체인 인센티브: 유사한 인센티브 정렬 원칙을 블록체인 상호운용성(브리지)을 관리하는 프로토콜에 적용하여 크로스체인 MEV 악용을 방지하기.

10. 참고문헌

Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
Eyal, I., & Sirer, E. G. (2014). Majority is not Enough: Bitcoin Mining is Vulnerable. In Financial Cryptography.
Sompolinsky, Y., & Zohar, A. (2015). Secure High-Rate Transaction Processing in Bitcoin. In Financial Cryptography.
Nisan, N., Roughgarden, T., Tardos, É., & Vazirani, V. V. (2007). Algorithmic Game Theory. Cambridge University Press.
Lewenberg, Y., Sompolinsky, Y., & Zohar, A. (2015). Inclusive Block Chain Protocols. In Financial Cryptography.
Buterin, V. (2014). Slasher: A Punitive Proof-of-Stake Algorithm. Ethereum Blog.
Daian, P., et al. (2019). Flash Boys 2.0: Frontrunning, Transaction Reordering, and Consensus Instability in Decentralized Exchanges. IEEE Symposium on Security and Privacy.
Sliwinski, J., & Wattenhofer, R. (2022). Better Incentives for Proof-of-Work. arXiv:2206.10050.