Aus dem Original “Proof-of-Stake & the Wrong Engineering Mindset“ von Hugo Nguyen, erschienen am 18. März 2018 auf Medium. Übersetzt von Jan-Paul, Lektorat durch Yvette.
Proof-of-Stake (PoS) ist mal wieder ganz en vogue. Egal, wo man hinschaut: Ethereum Casper, Cardano Ouroboros, etc.. Das steigende Interesse an PoS-Protokollen ist wahrscheinlich auf den Wunsch zurückzuführen, Blockchains unbegrenzt zu skalieren, kombiniert mit der irrigen Vorstellung, dass Proof-of-Work (PoW) irgendwie „verschwenderisch“ ist. (Hier geht es zu einer ausführlichen Diskussion über PoW).
Ein Thema, das bei PoS-Protokollen nicht genug betont wird, ist ihre unzureichende Widerstandsfähigkeit im Umgang mit Worst-Case-Szenarien1. Zum Beispiel: Außergewöhnliche Ereignisse, die einen signifikanten Teil des Netzwerks oder sogar das gesamte Netzwerk vom Netz nehmen oder partitionieren könnten. Oder das Risiko von gestohlenen/gekauften privaten Schlüsseln.
Man könnte meinen, dass diese Art von Szenarien selten oder unwahrscheinlich sind, aber a) sind sie nicht unbedingt so selten, wie man denkt, und b) selbst etwas mit einer Wahrscheinlichkeit von 0,1 % bedeutet, dass es auf lange Sicht eintreten wird – dies sind die von Nassim Taleb so genannten Black Swan-Ereignisse.
Einfach ausgedrückt, ist es sehr unwahrscheinlich, dass diese Ereignisse eintreten, aber wenn sie doch eintreten, sind die Folgen oft katastrophal. Wir Menschen unterschätzen regelmäßig Ereignisse mit großer Auswirkung und “long tails”. Z.B. die Illusion, dass das Morgen sicher ist, nur weil es in den letzten 10 oder 100 Jahren sicher war.
Die sorgfältige Berücksichtigung von Long-Tail-Ereignissen ist besonders wichtig bei der Entwicklung eines Protokolls, dass das Potential hat, das Rückgrat der globalen Wirtschaft zu werden, auf das sich Millionen von Menschen und Unternehmen verlassen werden.
Wir müssen Bitcoin-Software mit dem gleichen Respekt behandeln, mit dem wir Software für Kernreaktoren behandeln. In der Literatur der Ingenieure ist diese Klasse von Software als kritische Systeme bekannt. Es gibt drei Arten von kritischen Systemen: sicherheitskritisch, missionskritisch und geschäftskritisch. Bitcoin trifft auf alle drei zu (der Verlust von Geld kann zum Verlust von Leben führen). Es gibt absolut keinen Spielraum für Fehler.
Erfahrene Ingenieure würden nachts nicht gut schlafen, selbst mit dem aktuellen Stand der Bitcoin-Sicherheit, die bei weitem nicht perfekt ist. Sie wissen, dass wir immer einen Schritt von einer Katastrophe entfernt sind, egal wie solide die Dinge auf dem Papier sind und wie reibungslos die Dinge bisher gelaufen zu sein scheinen.
Es gab in der Vergangenheit viele hochkarätige technische Pannen, die diese Art von versteckter Gefahr deutlich zeigen. Einige Beispiele:
1) Concorde-Absturz (2003)
Die Concorde (1976-2003) war eines der beiden einzigen Überschall-Passagierflugzeuge, die jemals existierten. Der Concorde-Absturz ereignete sich als Folge eines geplatzten Reifens, der während des Starts den Treibstofftank traf und eine Kettenreaktion auslöste. Die Concorde galt einst als eines der „sichersten Flugzeuge der Welt“.
2) Challenger-Katastrophe (1986)
Die NASA schätzte anfangs die Wahrscheinlichkeit eines Versagens auf 1 zu 100.000. Richard Feynman leitete die Untersuchung, die herausfand, dass die Ursache das Versagen der O-Ringe war, die sich bei einer Temparatur von 32 Grad ausdehnen. Die tatsächliche Wahrscheinlichkeit lag näher bei 1 zu 100. Eine tausendfache Fehlkalkulation!
3) Fukushima-Kernschmelze (2011)
Japan ist eines der besten Länder in Bezug auf Erdbebentechnologie und Erdbebensicherheit.
Die Kernschmelze in Fukushima war das Ergebnis dessen, was man als den perfekten Sturm von Katastrophen bezeichnen kann: ein Erdbeben der Stärke 9, das stärkste, das jemals in Japan aufgezeichnet wurde, gefolgt von einem 15 Meter hohen Tsunami, der nur einmal in tausend Jahren auftritt.
Das Nachdenken über Worst-Case-Szenarien ist ein absolutes Muss, wenn man mit kritischen Systemen zu tun hat, und noch wichtiger, wenn es sich um Systeme von globalem Ausmaß handelt.
Lasst uns untersuchen, wie PoW & PoS mit Netzwerk-Partitionierung und unerwartetem Ausfall umgehen2.
Nur um den Punkt zu verdeutlichen, dass diese Art von Szenario nicht so weit hergeholt ist, wie man meinen könnte: Während der Bewegung des Arabischen Frühlings führte die türkische Regierung erfolgreich BGP-Hijacking durch, um den Twitter-Verkehr von türkischen Bürgern zu blockieren. China hat sogar noch ausgefeiltere Tools, um den Internetverkehr zu blockieren, als Teil seiner Great Firewall.
Man kann sich auch Situationen wie Kriege vorstellen, in denen Länder versuchen, die Kommunikationsinfrastruktur des Gegners auszuschalten, die in der Regel das erste Ziel ist, da derjenige, der die bessere Kommunikation hat, die Oberhand gewinnt.
Wie widerstandsfähig ist also ein PoW- oder PoS-System in diesen Szenarien? Wir wollen einige Beispiele durchgehen.
Szenario 1: Das gesamte Netzwerk wird für eine gewisse Zeit offline gezwungen. Dann wird neu gestartet.
Da es möglich ist, dass nicht alle Regionen gleichzeitig neu starten und den Kontakt zueinander wiederherstellen, wird es wahrscheinlich damit enden, dass mehrere Regionen ihre eigene unabhängige Kette starten, ausgehend vom letzten gemeinsamen Block, kurz bevor das Netzwerk dunkel wurde, wodurch mehrere Kettenspaltungen entstehen.
Wenn die regionsübergreifende Kommunikation wiederhergestellt wird, werden die Knoten auf diesen unabhängigen Ketten miteinander in Kontakt kommen.
Bei PoW werden sich die Knoten automatisch selbst organisieren und schließlich zu einer einzigen Kette hin tendieren: die Kette mit dem meisten akkumulierten PoW (und dem sichersten). Es wird schmerzhaft sein, da einige Ketten in diesem Prozess ausgelöscht werden. Aber es wird funktionieren, und das Verhalten ist deterministisch.
Bei PoS würden die Knoten keine Ahnung haben, welche Kette die „korrektere“ ist. Im Gegensatz zu PoW gibt es bei PoS keinen objektiven Maßstab, um die „Echtheit“ zwischen 2 Ketten zu vergleichen. Das Verhalten ist indeterministisch und unmöglich zu automatisieren, ohne irgendwelche willkürlichen Regeln einzuführen, die die Angriffsfläche vergrößern. Die Trennung könnte dauerhaft werden, da einige PoS-Protokolle es unmöglich machen, zu weit in die Vergangenheit zurückzugehen.
Die Designer von PoS-Protokollen geben sich oft große Mühe, fehlbare Akteure zu „bestrafen“. Was sie nicht in Betracht ziehen, ist die Möglichkeit, dass sich alle Knoten ehrlich verhalten, es aber trotzdem zu einer Kettenspaltung kommt!
Szenario 2: Einige Teile des Netzwerks werden vom Hauptnetzwerk abgetrennt.
Es stellt sich heraus, dass dieses Szenario zu einem ähnlichen Ergebnis führt, wie wir es in Szenario 1 gesehen haben. Die Partitionen laufen weiter, als ob alles im Normalbetrieb wäre – mit dem Unterschied, dass die Anzahl der „aktiven“ Staking-Nodes in jeder isolierten Partition geringer ist. Wenn die Partitionen wieder Kontakt mit dem Hauptnetzwerk aufnehmen, kommt es zu Verwirrung. Die Knoten haben keine Ahnung, welche Kette die kanonische Kette ist.
Ein entscheidender Unterschied zwischen Szenario 1 und Szenario 2 ist, dass die Wahrscheinlichkeit, dass Szenario 2 eintritt, noch höher ist. Das Umleiten von Datenverkehr ist einfacher als das Abschalten des gesamten Datenverkehrs – wir haben bereits gesehen, wie es gemacht wird. Partitionen können so klein sein wie das Netzwerk einer Kleinstadt. Wir können uns vorstellen, dass so etwas einmal alle paar Jahre oder sogar noch häufiger vorkommt.
Szenario 3: PoS schneidet auch in anderen Worst-Case-Szenarien schlechter ab, z. B. bei gestohlenen privaten Schlüsseln.
Die Verteilung des Reichtums folgt oft den Gesetzen der Macht, und es gibt keinen Grund zu glauben, dass Kryptowährungen eine Ausnahme sind. Die „1% der Kryptowährungen“, bei denen es sich nur um eine Handvoll Leute handeln könnte, könnten sehr wohl einen bedeutenden Teil oder die Mehrheit des gesamten Coin-Angebots kontrollieren.
Die privaten Schlüssel dieser reichsten PoS-Anteilseigner könnten durch ausgeklügelte Social-Engineering-Angriffe (Entführung, Folter, Erpressung etc.) gestohlen werden. Indem der Angreifer Schlüssel stiehlt, anstatt Coins auf dem offenen Markt zu mieten oder zu kaufen, vermeidet er, den Wert der Währung während des Angriffs zu erhöhen. Seltsamerweise gehen die Entwickler von PoS-Protokollen bei der Betrachtung dieses Angriffsvektors oft davon aus, dass der Kauf von Münzen auf dem freien Markt die einzige Möglichkeit ist, die Mehrheitskontrolle zu erlangen, und schließen daraus fälschlicherweise, dass die Kosten für einen Angriff auf eine PoS-Währung lediglich durch ihren Marktwert bestimmt werden. Das Stehlen von privaten Schlüsseln umgeht diese „Verteidigung“ komplett & reduziert die Kosten des Angriffs erheblich.
(Eine Variante dieses Angriffs besteht darin, alte Schlüssel von ehemaligen Großaktionären zu kaufen, die kein Interesse mehr an der Währung haben).
Bei PoW ist dies gleichbedeutend damit, die Kontrolle über die Mehrheits-Hash-Rate zu erlangen.
Was kann jemand mit der Mehrheits-Hash-Rate in PoW tun? Er kann versuchen, doppelte Ausgaben zu tätigen oder die Geschichte umzuschreiben. Aber um doppelt auszugeben, muss er viel Geld ausgeben. Die Mehrheit zu erlangen ist nur der erste Schritt. So schlimm es sich auch anhört, selbst in diesem Szenario funktioniert das Protokoll noch wie erwartet & nur eine Kette kann als gültig angesehen werden (obwohl SPV-Nodes verwirrt werden könnten – daher wird der Betrieb von Full Nodes oft empfohlen). Die Geschichte neu zu schreiben, kostet eine noch irrsinnigere Menge an Geld, daher ist das Risiko, das Guthaben der Benutzer zu verlieren, gering. Die Benutzer könnten sich entscheiden, den Sturm abzuwarten oder Maßnahmen zu ergreifen, um den PoW-Algorithmus zu ändern.
Alles in allem ist es eine ziemlich hässliche Situation. Aber wir sehen, dass die Erlangung der Mehrheits-Hash-Rate bei PoW dem Angreifer nicht unbegrenzte Macht gewährt. Man muss die Mehrheitskontrolle erlangen UND Geld ausgeben, um einen Angriff durchführen zu können. Wir können uns das als eine zweischichtige Verteidigung vorstellen. Wenn es einen Angriff gibt, ist das Verhalten deterministisch & es gibt keine Verwirrung darüber, welche Kette gültig ist. Diese Widerstandsfähigkeit in feindlichen Situationen wird unterschätzt.
Im Gegensatz dazu gewährt Ihnen die Mehrheitsbeteiligung an PoS unbegrenzte Macht. Sie können doppelt ausgeben, ohne zusätzliches Geld auszugeben, anders als in PoW. Außerdem können Sie entweder a) die Geschichte umschreiben, wenn das Protokoll keine Checkpoints hat, oder b) unüberbrückbare Kettensplits verursachen, wenn das Protokoll Checkpoints hat (z.B. Casper). Das Ändern des PoS-Algorithmus hilft nicht, da es praktisch keine Umschaltkosten gibt, im Gegensatz zu Investitionen in Hardware.
Zusammenfassend kann man sagen, dass PoW zwei Vorteile bietet, wenn es um Sicherheitsgarantien geht:
PoW schützt die Zukunft: Wenn es zu einem Kettensplit kommt, gibt es einen objektiven Mechanismus und eine automatisierbare Möglichkeit, Konflikte zu lösen, ohne dass manuelle Eingriffe von Menschen oder vertrauenswürdigen Dritten erforderlich sind.
PoW schützt die Vergangenheit: Die Kontrolle über die Mehrheits-Hash-Rate zu bekommen, kostet einen Angreifer immer noch eine enorme Menge an Zeit & Geld, um die Geschichte umzuschreiben, also sind die Bilanzen einigermaßen sicher.
PoS bietet weder das eine noch das andere. PoS-Befürworter mögen behaupten, dass Checkpoints das Problem #2 lindern, aber in Wirklichkeit verlagern Checkpoints das Problem nur von einem Bereich zum anderen. Checkpoints sind eine zentralisierte Lösung, die eine weitere Dose Würmer öffnet3.
PoS-Protokolle beruhen auf fehlerhaften und naiven Annahmen, die in Worst-Case-Szenarien schnell zusammenbrechen. PoS ist ein Schritt in die falsche Richtung: die Messlatte für Qualität wird gesenkt, anstatt sie anzuheben.
Teil 2: Proof-of-Stake, Angriffe auf private Schlüssel, und fälschungssichere Werte als ungekrönter Held.
Fußnoten
[1]: Einige frühere Analysen von PoS: Andrew Poelstra, ‚On Stake & Consensus‘ https://download.wpsoftware.net/bitcoin/pos.pdf [2]: Netzwerkpartitionierung ist ein wichtiges Forschungsgebiet. Sehen Sie sich Ethan Heilmans Arbeit in diesem Bereich an: https://eprint.iacr.org/2015/263.pdf [3]: Checkpoints könnten dezentralisiert implementiert werden, aber sie werden Probleme verursachen, die später zentralisierte Lösungen erfordern. Im Endeffekt ist Checkpointing also zentralisierend.Dies ist ein Beitrag von Hugo Nguyen aus seinem Medium-Blog. Die geäußerten Meinungen sind ausschließlich seine eigenen und spiegeln nicht notwendigerweise die von Aprycot Media wider.
Vielen Dank für’s lesen! Aprycot Media kümmert sich darum, guten Bitcoin-Content auf Deutsch verfügbar zu machen. Ob einzelne Artikel, Bücher oder eine ganze Mediensammlung.
Die Inhalte auf der Mediathek werden von unseren Übersetzern und Lektoren, unseren Content Plebs, auf freiwilliger Basis und unentgeltlich erstellt. Wenn du Ihnen etwas zurückgeben möchtest, findest du auf https://aprycot.media/content-plebs/ die Möglichkeit, Ihnen ein paar Sats zukommen zu lassen. #value4value
Eine noch umfangreichere Übersicht findest du unter: aprycot.media/thek/ oder auch bitcoinquellen.de.
