1. Введение

Консенсус Накамото в Bitcoin, защищённый последовательным доказательством выполнения работы (Proof-of-Work, PoW), произвёл революцию в децентрализованных системах, позволив репликацию состояния без доверенной идентификации. Однако его безопасность в основном анализировалась асимптотически, оставляя пользователей в неопределённости относительно конкретного времени ожидания завершённости транзакций. Этой неопределённостью пользуются такие угрозы, как двойное расходование и эгоистичный майнинг.

Недавняя работа Ли и др. (AFT '21) предоставила конкретные границы безопасности для последовательного PoW Bitcoin. Данная статья Келлера и Бёме развивает эту идею, задавая фундаментальный вопрос: Может ли не-последовательный proof-of-work улучшить безопасность? Они дают утвердительный ответ, предлагая принципиальное семейство протоколов репликации состояния на основе параллельного proof-of-work, где каждый блок содержит $k$ независимых головоломок, решаемых параллельно.

Ключевое нововведение — это дизайн «снизу вверх», начинающийся с субпротокола согласия, что позволяет вывести конкретные, ограниченные вероятности наихудшего отказа в синхронных сетях с противником. Это позволяет достичь более быстрого завершения транзакций — потенциально уже после одного блока — значительно снижая риски двойного расходования.

2. Основные концепции и дизайн протокола

2.1 Последовательный vs. Параллельный Proof-of-Work

Фунментальное архитектурное изменение заключается в переходе от цепочки (последовательной) к структуре, вдохновлённой направленным ациклическим графом (DAG), для ссылок на головоломки внутри блока.

  • Последовательный (Bitcoin): Каждый блок содержит одну головоломку, и хэш её решения указывает ровно на один предыдущий блок, формируя линейную цепочку. Безопасность опирается на правило самой длинной цепочки.
  • Параллельный (Предлагаемый): Каждый блок содержит $k$ независимых головоломок. Блок считается валидным, когда решено достаточное пороговое количество этих головоломок. Это создаёт множество хэш-ссылок на блок (см. Рис. 1 в PDF).

Эта параллельность направлена на регуляризацию времени появления блоков и увеличение «веса» или «работы» на блок, что делает вычислительно более сложным для противника обогнать честную цепочку в короткий промежуток времени.

2.2 Субпротокол согласия Ak

Семейство протоколов строится из базового субпротокола согласия, обозначаемого $A_k$. Параметр $k$ определяет количество параллельных головоломок на блок. Протокол работает в раундах:

  1. Распределение головоломок: Для кандидатного блока определяются $k$ независимых криптографических головоломок.
  2. Параллельный майнинг: Майнеры работают над всеми $k$ головоломками одновременно.
  3. Достижение порога: Блок считается «найденным» и распространяется, когда собрано заранее определённое пороговое количество решений головоломок (например, все $k$ или большинство).
  4. Правило согласия: Честные узлы принимают первый валидный блок, который они видят и который удовлетворяет пороговому условию, следуя заранее определённому правилу разрешения ничьих.

Повторение $A_k$ формирует протокол репликации состояния. Модульность дизайна позволяет провести строгий анализ вероятности согласия за один раунд.

2.3 Вывод конкретных границ безопасности

Основной вклад статьи — предоставление верхних границ для вероятности наихудшего отказа протокола $A_k$. Анализ учитывает:

  • Модель сети: Синхронная сеть с известной максимальной задержкой сообщений $\Delta$.
  • Модель противника: Вычислительно ограниченный противник, контролирующий долю $\beta$ от общей хэш-мощности. Противник может действовать произвольно (византийский).
  • Предположение о честном большинстве: Честные майнеры контролируют хэш-мощность $\alpha > \beta$.

Вероятность отказа $\epsilon$ выводится как функция от $k$, $\alpha$, $\beta$, $\Delta$ и сложности головоломки. Граница демонстрирует, что для фиксированного общего времени блока увеличение $k$ (и соответствующая корректировка сложности отдельных головоломок) может экспоненциально уменьшить $\epsilon$.

2.4 Руководство по оптимизации параметров

Авторы предоставляют методологию выбора оптимальных параметров ($k$, сложность отдельной головоломки) для целевой вероятности отказа $\epsilon$, учитывая параметры сети ($\Delta$) и силу атакующего ($\beta$).

Пример конфигурации

Цель: Согласованность после 1 блока.
Параметры: $k=51$, общий интервал блока = 10 мин (эквивалент Bitcoin), $\Delta=2с$, $\beta=25\%$.
Результат: Гарантированная вероятность отказа $\epsilon \leq 2.2 \cdot 10^{-4}$.
Интерпретация: Атакующему потребуется попытаться создать тысячи блоков для одной успешной атаки на согласованность.

Для сравнения, они приводят оптимизированный «быстрый Bitcoin» (7 блоков/мин) при тех же условиях с вероятностью отказа $9\%$, что означает успех атакующего примерно каждые 2 часа.

3. Технический анализ и результаты

3.1 Математический аппарат и формулы

Анализ моделирует майнинг как пуассоновский процесс. Пусть $\lambda_h$ и $\lambda_a$ — скорости нахождения блока честной сетью и противником соответственно для одной головоломки. Для $k$ параллельных головоломок эффективная скорость нахождения полного блока (все $k$ решений) меняется.

Ключевая формула включает вероятность того, что противник может тайно намайнить конкурирующий блок, который длиннее (с точки зрения общего количества решений головоломок), чем честная цепочка в течение окна уязвимости. Граница принимает форму, напоминающую границу Чернова, где вероятность отказа экспоненциально убывает с функцией от $k$ и преимущества честных майнеров $(\alpha - \beta)$.

Например, вероятность $P_{\text{fork}}$ того, что противник создаст конкурирующую цепочку равного «веса» в течение данного раунда, может быть ограничена: $$P_{\text{fork}} \leq \exp\left( -k \cdot f(\alpha, \beta, \Delta) \right)$$ где $f$ — положительная функция, выведенная из анализа состояния гонки. Это ясно показывает экспоненциальный прирост безопасности от увеличения $k$.

3.2 Экспериментальная установка и результаты моделирования

Статья подтверждает свои теоретические границы с помощью моделирования. Установка, вероятно, включает:

  • Дискретно-событийный симулятор, моделирующий майнеров, сетевые задержки ($\Delta$) и процесс параллельного майнинга.
  • Сценарии с варьированием $k$, $\beta$ и $\Delta$.
  • Метрики: Наблюдаемая частота отказов (например, частота успешных двойных расходов), регулярность распространения блоков, рост цепочки.

Ключевой заявленный результат: Моделирование подтверждает, что предложенная конструкция устойчива даже при частичном нарушении теоретических предположений (например, немного более высокая сетевая задержка или временное увеличение хэш-мощности противника). Наблюдаемые частоты отказов в моделировании оставались значительно ниже теоретических верхних границ.

Описание графика (предполагаемое): На графике, вероятно, по оси Y отложен логарифм вероятности отказа $\epsilon$, а по оси X — количество параллельных головоломок $k$, для разных мощностей противника $\beta$. Линии показали бы крутой линейный наклон вниз на логарифмическом графике, демонстрируя экспоненциальное улучшение. Другой график, вероятно, сравнивает время до завершённости (в блоках) для параллельного PoW и последовательного PoW для достижения той же $\epsilon$, показывая резкое сокращение для параллельного PoW.

3.3 Сравнение производительности: Параллельный vs. Последовательный PoW

Статья предоставляет убедительное численное сравнение (резюмировано в их Таблице 3):

  • Цель: Завершённость в один блок (согласованность).
  • Условие: $\beta=25\%$, $\Delta=2с$.
  • Параллельный PoW ($k=51$): $\epsilon \approx 2.2 \times 10^{-4}$.
  • Последовательный «Быстрый Bitcoin» (7 блоков/мин): $\epsilon \approx 9 \times 10^{-2}$.

Это представляет собой улучшение вероятности отказа более чем в 400 раз при сохранении той же средней скорости производства блоков (10 мин). Параллельный протокол превращает рискованное предложение (9% шанс отказа) в высокозащищённое (0.022% шанс).

4. Критический анализ и экспертная интерпретация

Перспектива отраслевого аналитика: Это не просто инкрементальное улучшение; это фундаментальная перестройка архитектуры Proof-of-Work, которая выявляет скрытые неэффективности линейного дизайна Bitcoin. Вот моё мнение.

4.1 Ключевая идея

Гениальность статьи заключается в переосмыслении проблемы безопасности с «самой длинной цепочки» на «самый тяжёлый пакет работы». Последовательная модель Bitcoin по своей природе стохастична и скачкообразна — это недостаток безопасности, замаскированный под особенность. Келлер и Бёме понимают, что для завершённости важна не количество блоков, а необратимость накопленной работы в заданном временном окне. Параллелизуя головоломки, они сглаживают пуассоновское распределение нахождения блоков, делая прогресс системы более предсказуемым и, следовательно, гораздо более трудным для атаки. Это похоже на переход от лотереи (где один крупный выигрыш меняет всё) к зарплате (стабильный, предсказуемый доход). Задача атакующего смещается с выигрыша одной гонки с высокой дисперсией к выигрышу множества одновременных гонок с меньшей дисперсией — статистически обречённое предприятие.

4.2 Логическая структура

Аргументация элегантно построена: (1) Признание, что конкретные границы — это недостающий элемент для реальных приложений PoW. (2) Идентификация того, что дисперсия последовательного PoW является коренной причиной плохой конкретной производительности. (3) Предложение параллельности как механизма снижения дисперсии. (4) Построение минимального примитива согласия ($A_k$) для формального анализа этого снижения. (5) Вывод границ, показывающих экспоненциальный прирост безопасности от $k$. (6) Валидация с помощью моделирования. Логика безупречна. Она отражает подход в фундаментальной литературе по консенсусу, такой как статья PBFT Кастро и Лискова, которая также начиналась с базового протокола согласия перед построением полной системы репликации.

4.3 Сильные стороны и недостатки

Сильные стороны:

  • Измеримая безопасность: Конкретные границы меняют правила игры для корпоративного внедрения. Теперь можно рассчитывать страховые премии для блокчейн-расчётов.
  • Более быстрое завершение: Завершённость в один блок для многих приложений устраняет огромное препятствие для пользовательского опыта и бизнес-логики. Это напрямую атакует самую большую проблему DeFi.
  • Концептуальная обратная совместимость: Это всё ещё чистый PoW, избегающий сложности и субъективности Proof-of-Stake. Майнеры могут адаптировать своё оборудование.
Явные недостатки и вопросы:
  • Накладные расходы на связь: Распространение $k$ решений на блок увеличивает потребление полосы пропускания. В статье это упоминается вскользь, но на практике это может быть критично. Блок с 51 заголовком — нетривиален.
  • Давление централизации: Параллельный майнинг может благоприятствовать крупным майнинг-пулам, которые могут эффективно управлять множеством одновременных вычислений головоломок, потенциально усугубляя централизацию — именно то, с чем PoW призван бороться.
  • Предположения о реальных сетях: Модель синхронной сети с известным $\Delta$ печально известна своим оптимизмом. Интернет в лучшем случае частично синхронен. Их заявления об устойчивости к нарушениям предположений требуют гораздо более стрессового тестирования.
  • Нет бесплатного сыра: Улучшенная безопасность при фиксированной общей скорости работы, вероятно, достигается за счёт большего снижения дисперсии, что само по себе может иметь другие непредвиденные последствия для стимулов майнеров и майнинга пустых блоков.

4.4 Практические выводы

Для разработчиков протоколов: Это чертёж. Начните экспериментировать с параллельным PoW в сайдчейнах или новых блокчейнах первого уровня, ориентированных на случаи использования с высокой стоимостью и быстрым завершением (например, расчёты по ценным бумагам). Параметр $k$ — это мощный новый регулятор для настройки. Для майнеров: Начните оценивать программные и аппаратные конфигурации для параллельных хэш-вычислений. Первый пул, оптимизированный для этого, может получить значительное преимущество. Для инвесторов: Следите за проектами, которые ссылаются на эту статью. Это маркер серьёзной криптографической инженерии в отличие от обычных форков, основанных на эвристиках. Для критиков: Бремя доказательства теперь на вас. Чтобы отвергнуть параллельный PoW, вы должны атаковать его конкретные границы или продемонстрировать, что накладные расходы фатальны — расплывчатые ссылки на «проверенную безопасность Bitcoin» больше не годятся. Эта работа поднимает дискурс с уровня идеологии до уровня инженерии.

5. Фреймворк анализа и пример использования

Фреймворк для оценки нового протокола PoW:

  1. Модель безопасности: Определите синхронность сети ($\Delta$), мощность противника ($\beta$) и модель коррупции (например, византийская).
  2. Базовый примитив: Определите наименьшую единицу согласия (например, один раунд $A_k$).
  3. Вероятностный анализ: Смоделируйте гонку майнинга как стохастический процесс. Используйте теорию вероятностей (например, пуассоновские гонки, границы Чернова) для вывода вероятности нарушения безопасности (форка) в течение одного раунда.
  4. Композиция: Распространите границу для одного раунда на несколько раундов (рост цепочки), используя такие методы, как мартингальный анализ из статьи о базовом протоколе Bitcoin [Garay et al.].
  5. Оптимизация параметров: Для желаемой вероятности отказа $\epsilon_{target}$ и известных $\Delta, \beta$ найдите параметры протокола (например, $k$, сложность головоломки).
  6. Моделирование и проверка устойчивости: Протестируйте на предмет нарушений модели (например, переменный $\Delta$, временные всплески $\beta$).

Пример использования: Проектирование хаба платёжных каналов
Проблема: Хаб должен быстро завершать обновления состояния каналов для предотвращения мошенничества.
Применение фреймворка:

  1. Модель: Операторы хаба предполагают $\Delta < 5с$ (контролируемая среда), $\beta < 30\%$.
  2. Цель: Завершённость обновления состояния за 30 секунд с $\epsilon < 10^{-6}$.
  3. Анализ: Используйте формулы параллельного PoW. Рассчитайте, что при общей скорости работы, эквивалентной времени блока в 30 секунд, $k=20$ головоломок обеспечивает требуемую $\epsilon$.
  4. Реализация: Хаб запускает параллельный PoW сайдчейн, где каждый «блок» — это пакет обновлений состояния каналов. Участники наблюдают за этой цепочкой, принимая обновления после 1 блока (30 секунд) благодаря высокой конкретной безопасности.
Это демонстрирует, как методология статьи напрямую переводится в дизайн безопасной системы с известным, измеримым риском.

6. Перспективы применения и направления будущих исследований

Непосредственные применения:

  • Расчёты по высокоценным активам: Блокчейны на основе параллельного PoW могут использоваться для расчётов по токенизированным ценным бумагам или недвижимости, где юридическая завершённость напрямую соответствует криптографической завершённости после 1-2 блоков.
  • Базовые слои для платёжных каналов: Как в примере использования, в качестве высокозащищённого слоя завершённости для сетей второго уровня, таких как Lightning Network, снижая сложность сторожевых серверов.
  • Мосты для интероперабельности: Цепочка параллельного PoW с быстрым завершением может выступать в качестве доверенного хаба для межсетевых переводов активов, минимизируя окно для атак на мосты.

Направления будущих исследований:

  • Гибридные дизайны: Комбинирование параллельного PoW с другими техниками, такими как верифицируемые функции задержки (VDF) или сжатые доказательства, для дальнейшего снижения накладных расходов на связь и времени завершения.
  • Динамическая корректировка параметров: Механизмы для автоматической корректировки сетью параметра $k$ на основе наблюдаемой сетевой задержки ($\Delta$) и предполагаемой мощности противника ($\beta$), аналогично корректировке сложности в Bitcoin.
  • Формальная верификация: Использование инструментов вроде Coq или Isabelle для формальной верификации конкретных границ и реализации протокола, как это видно в проектах по верификации протокола TLS.
  • Повторный анализ энергоэффективности: Изучение того, представляет ли улучшенная безопасность на единицу времени для заданных энергозатрат чистый выигрыш в эффективности для экосистемы блокчейна, что является критическим соображением в пост-ESG эпоху.
  • Постквантовые параллельные головоломки: Исследование использования параллельных постквантовых криптографических головоломок для защиты дизайна от будущих угроз, с учётом опыта процесса стандартизации постквантовой криптографии NIST.
Работа Келлера и Бёме открывает богатое пространство для проектирования следующего поколения доказуемо безопасных, учитывающих производительность протоколов консенсуса.

7. Ссылки

  1. Keller, P., & Böhme, R. (2022). Parallel Proof-of-Work with Concrete Bounds. In Proceedings of the 4th ACM Conference on Advances in Financial Technologies (AFT '22).
  2. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  3. Li, J., et al. (2021). Bitcoin Security with Bounded Adversaries under Network Delay. In Proceedings of AFT '21.
  4. Garay, J., Kiayias, A., & Leonardos, N. (2015). The Bitcoin Backbone Protocol: Analysis and Applications. In EUROCRYPT.
  5. Castro, M., & Liskov, B. (1999). Practical Byzantine Fault Tolerance. In OSDI.
  6. Pass, R., & Shi, E. (2017). Fruitchains: A Fair Blockchain. In Proceedings of PODC.
  7. Gervais, A., et al. (2016). On the Security and Performance of Proof of Work Blockchains. In Proceedings of CCS.
  8. NIST. Post-Quantum Cryptography Standardization. https://csrc.nist.gov/projects/post-quantum-cryptography
  9. Buterin, V., et al. (2020). Combining GHOST and Casper. Ethereum Research.
  10. Bobtail: A Proof-of-Work Protocol that Achieves Low Inter-block Time. (2020). IACR Cryptology ePrint Archive.