Vitalik：イーサリアム協定の将来（パート1）

著者：Vitalik、Deng Tong、Bitchain Vision

ジャスティン・ドレイク、フシアオ・ウェイ・ワン、 @antonttc、およびフランチェスコのフィードバックとレビューに感謝します。

当初、「合併」とは、イーサリアムプロトコルの開始以来、歴史上最も重要なイベント、つまり、仕事の証明から利害関係の証明への待望の苦労して努力した移行を指します。今日、イーサリアムは2年近くにわたって安定したステークシステムの証拠となっており、この株式の証拠は、安定性、パフォーマンス、集中的なリスクの回避において非常にうまく機能しています。ただし、ステークの証明を改善するための重要な領域がまだいくつかあります。

私の2023年のロードマップは、それをいくつかの部分に分けます。安定性、パフォーマンス、小さなバリッターへのアクセシビリティなどの技術的特徴の改善、集中リスクに対処するための経済的変化です。前者は「合併」のタイトルを引き継ぎ、後者は「Scourge」の一部になりました。

この記事では、「マージ」セクションに焦点を当てます。ステークの証明の技術的設計では、他にどのような改善ができますか？

これは、利害関係の証明の徹底的なリストではありません。

単一の最終的な最終性と民主化を誓約します

どんな問題を解決していますか？

今日では、ブロックを完成させるには2〜3個のエポック（約15分）と32 ETHがステーカーになります。これはもともと、3つの目標のバランスをとるための妥協でした。

ステーキングに参加できるバリデーターの数を最大化する（これは、ステーキングに必要な最小ETHを最小限に抑えることを意味します）
完了時間を最小限に抑えます
実行中のノードのオーバーヘッドを最小限に抑えます

これらの3つの目標は矛盾しています。経済的最終性を達成するため（つまり、攻撃者は最終的なブロックを復元するために大量のETHを破壊する必要があります）。最終化が最終化されるたびに、各バリデーターは2つのメッセージに署名する必要があります。したがって、多くのバリデーターがいる場合、すべての署名を処理するのに長い時間がかかるか、すべての署名を同時に処理するために非常に強力なノードを処理します。

それはすべて、イーサリアムの1つの重要な目標に依存していることに注意してください。成功した攻撃でさえ、攻撃者に高いコストをもたらすことができることを保証します。これが「経済的最終性」という意味です。この目標がない場合は、各スロットを完成させるために委員会（アルゴランドが行うなど）をランダムに選択することで、この問題を解決できます。しかし、このアプローチの問題は、攻撃者がバリデーターの51％を制御する場合、非常に低コストで攻撃できることです（最終的なブロックの回復、ファイナライゼーションのレビューまたは遅延）：委員会ノードの一部のみを検出できるようにすることができます。カットであろうといくつかのソフトフォークを介して、攻撃と罰せられます。これは、攻撃者がチェーンを繰り返し攻撃できることを意味します。したがって、経済的最終性が必要な場合、委員会に基づく単純なアプローチは機能しません。一見すると、参加するために完全な検証装置が必要です。

理想的には、2つの方法で現状を改善しながら、経済の持久力を維持したいと考えています。

15分ではなく、1つのスロット（理想的には現在の12秒の長さを保持するか、さらに減らすこともあります）でブロックを終了します
検証者が1 ETH（32 ETHから1 ETHへ）で杭をかけることを許可します

最初の目標は2つの目標で証明されており、どちらも「（より集中化された）パフォーマンス指向のL1チェーンの特性を持つイーサリアムの特性と一致する」と見なすことができます。

まず、すべてのイーサリアムユーザーが、ファイナライズメカニズムを通じて達成されるより高いレベルのセキュリティ保証の恩恵を受けることを保証します。今日、ほとんどのユーザーは、15分間待ちたくないため、この種の保証を楽しむことができません。第二に、ユーザーとアプリケーションがチェーンロールバックの可能性を心配する必要がない場合（比較的まれな非アクティブリークが発生しない限り）、プロトコルと周囲のインフラストラクチャを簡素化します。

2番目の目標は、個々の誓約をサポートしたいという欲求からです。再び投票は、より多くの人々が個々に誓約するのを防ぐ主な要因が32 ETHの最小制限であることを繰り返し示しています。最小制限を1 ETHに削減すると、この問題が解決し、他の問題が個別のステーキングを制限する主な要因になります。

挑戦があります。確実性が高速で、より速い民主化されたステーキング目標の両方が、オーバーヘッドを最小限に抑えるという目標と対立しています。実際、この事実は、最初にシングルスロットの確実性を採用しなかった理由です。しかし、最近の研究では、この問題に対するいくつかの可能な解決策を提案しています。

それは何であり、どのように機能しますか？

シングルスロット最終性には、1つのスロット内のブロックを最終化するコンセンサスアルゴリズムの使用が含まれます。これはそれ自体が難しい目標ではありません。多くのアルゴリズム（テンデリントコンセンサスなど）が最適な特性でこれを実装しています。Ethereumに固有の理想的なプロパティは、Tendermintがサポートしていない非アクティブな漏れです。これにより、チェーンはランニングを続け、最終的には検証器の1/3以上がオフラインであっても回復します。幸いなことに、この願いは満たされています。非アクティブな漏れに対応するために、テンデリントスタイルのコンセンサスを変更する提案がありました。

一流の最終提案をリードしています

問題の最も難しい部分は、非常に高いノードオペレーターのオーバーヘッドを引き起こすことなく、バリデーターの数が非常に高い場合に、シングルスロットの最終性を機能させる方法を理解することです。これを行うには、いくつかの主要なソリューションがあります。

オプション1：ブルートフォース – おそらくZK-snarksを使用して、より良い署名集約プロトコルを実装する努力により、実際に各スロットで数百万のバリッタの署名を処理できます。

ホーン、より良い集約プロトコルのために提案されたデザインの1つ。

オプション2：Orbit Commission-ランダムに選択された中委員会がチェーンの最終決定に責任を負うことを可能にする新しいメカニズムですが、私たちが探している攻撃コスト属性を保持する方法で。

軌道SSFについて考える1つの方法は、x = 0（アルゴランドスタイルの委員会、経済的最終性なし）からx = 1（イーサリアムステータス）までの範囲の妥協オプションのスペースを開くことです。極端な安全を達成するのに十分な経済的最終性ですが、同時に、各期間に関与する中規模のランダム検証剤サンプルのみの効率的な利点を獲得します。

Orbitは、検証装置の堆積物のサイズの既存の不均一性を利用して、可能な限り多くの経済的最終性を達成しながら、小さな検証者に対応する役割を与えます。さらに、軌道は遅い委員会の回転を使用して、隣接するクォーラム間の高い重複を確保するため、その経済的最終性が依然として委員会のローテーション境界に適用されるようにします。

オプション3：2層の誓約 – 誓約が2つのカテゴリに分割されるメカニズム：1つはより高い堆積要件を持ち、もう1つは堆積物の要件が低いことです。預金要件が高いレベルのみが、経済的最終性を提供することに直接参加します。どの権利と責任が正確に低い預金の要件にあるかに関して、さまざまな提案があります（たとえば、Rainbow Pledge Postを参照）。一般的なアイデアは次のとおりです。

エクイティを高レベルの株式保有者に委任する権利
ランダムに描かれた低レベルの利害関係者は、各ブロックを完成させる必要があることを証明し、必要です
インクルージョンリストを生成する権利

既存の研究とのつながりは何ですか？

シングルスロット最終性を達成する方法（2022）：https：//notes.ethereum.org/@vbuterin/single_slot_finality

イーサリアムシングルトラフ最終契約（2023）の具体的な提案：https：//eprint.iacr.org/2023/280

ORBIT SSF：https：//ethresear.ch/t/orbit-ssolo-staking-friendly-validator-set-management-for-sf/19928

軌道スタイルのメカニズムのさらなる分析：https：//notes.ethereum.org/@anderselowsson/vorbit_ssf

ホーン、署名集約契約（2022）：https：//ethresear.ch/t/horn-collecting-signatures-for-faster-finality/14219

大規模なコンセンサスの署名合併（2023）：https：//ethresear.ch/t/signature-merging-for-large-scale-consensus/17386?u = asn

Khovratovich et al。：https://hackmd.io/@7dpnyqjkqgeyc7wmlpxhtq/bykm3ggu0#/によって提案された署名集約プロトコル

Stark（2022）に基づく署名集約：https：//hackmd.io/@vbuterin/stark_aggregation

Rainbow Staking：https：//ethresear.ch/t/unbundling-staking-towards-rainbow-staking/18683

他に何が残されていますか？何を計量しますか？

4つの主要なパスがあります（ハイブリッドパスも使用できます）：

現状を維持します
軌道SSF
強力なSSF
2層のステーキングを備えたSSF

（1）何もしないことを意味し、そのようにステーキングを維持することを意味しますが、これはイーサリアムのセキュリティ体験と、それがこれまでよりも悪化している中央の特性をステーキングすることになります。

（2）プロトコルの仮定を巧みに再考することにより、「ハイテク」を避け、問題を解決します。「経済的持久力」の要件を緩和したので、攻撃は高価であると尋ねましたが、許容可能な攻撃は現在よりも10倍安価になる可能性があります。（たとえば、攻撃には250億ドルではなく25億ドルかかります）。今日のイーサリアムの経済的持久力は、必要なレベルをはるかに超えており、その主なセキュリティリスクは他の場所であると広く信じられているため、これは間違いなく許容可能な犠牲です。

主な仕事は、軌道メカニズムが安全であり、私たちが望むプロパティを持っていることを確認し、それを完全に形式化して実装することです。さらに、EIP-7251（最大有効なバランスを増やす）により、自発的なバリデーターバランスの統合が可能になり、チェーン検証のオーバーヘッドがすぐに減少し、軌道起動の効果的な初期段階として機能します。

（3）巧妙な再考を避けますが、ハイテクを使用して問題を強制します。これを行うには、非常に短い時間（5〜10秒）で多数の署名（100万人以上）が必要です。

（4）巧妙な再考とハイテクを避けますが、リスクを集中させた2層ステーキングシステムを作成します。リスクは、より低い誓約層によって得られた特定の権利に大きく依存します。例えば：

低レベルの利害関係者が彼の証明権を高レベルの利害関係者に委任する必要がある場合、代表団が集中化される可能性があり、最終的に2人の高度に集中化された利害関係者を獲得します。
各ブロックを承認するために下部層のランダムサンプリングが必要な場合、攻撃者は最終性を防ぐために非常に少量のETHを費やすことができます。
低レベルの利害関係者がインクルージョンリストのみを作成できる場合、プルーフレイヤーは依然として集中化される可能性があり、この時点で、プルーフレイヤーに対する51％の攻撃がインクルージョンリスト自体を確認できます。

次のようなさまざまな戦略を組み合わせることができます。

（1 + 2）：単一のスロット最終性を実行せずに軌道を追加します。
（1 + 3）：ブルートフォーステクノロジーを使用して、シングルスロットの最終性を実行せずに最小堆積サイズを削減します。必要な重合の量は、純粋な（3）ケースの64倍少ないため、問題が容易になります。
（2 + 3）：保守的なパラメーターを使用して軌道SSFを実行し（たとえば、8Kまたは32Kではなく128K Validator Committee）、ブルートフォーステクニックを使用して非常に効率的にします。
（1 + 4）：単一のスロット最終性を実行せずにレインボーステーキングを追加します。

ロードマップの残りの部分とどのように相互作用しますか？

他の利点の中でも、シングルスロットエンデュランスは、特定のタイプのマルチブロックMEV攻撃のリスクを軽減します。さらに、シングルスロットの最終的な世界では、Prover Proposer Separation Designおよびその他のプロトコルブロック生産パイプラインをさまざまな方法で設計する必要があります。

暴力的な戦略の弱点は、スロット時間を短縮することをより困難にすることです。

単一の秘密指導者選挙

どんな問題を解決したいですか？

今日、どのバリデーターが次のブロックを提案するかが知られています。これにより、セキュリティの脆弱性が生成されます。攻撃者は、ネットワークを監視し、どのバリエーターがどのIPアドレスに対応するかを特定し、ブロックを提案しようとしているときに検証装置に対するDOS攻撃を起動できます。

それは何ですか？どのように機能しますか？

DOSの問題を解決する最良の方法は、少なくともブロックが実際に生成される前に、どのバリデーターが次のブロックを生成するかについての情報を隠すことです。「単一」要件を削除すると、これは簡単です。1つの解決策は、誰でも次のブロックを作成できるようにすることですが、Randaoは2256/n未満を明らかにする必要があります。平均して、この要件を満たすことができるバリデーターは1つだけですが、2つ以上が存在する場合があり、ゼロがある場合があります。「機密性」要件と「単一の」要件を組み合わせることは、常に困難な問題でした。

シングルシークレットリーダーの選挙プロトコルは、いくつかの暗号化技術を使用して各検証者の「ブラインド」検証剤IDを作成することによりこの問題を解決し、多くの提案者にブラインドIDプールをシャッフルして再編成する機会を与えます（これはハイブリッドネットワークの動作に似ています）。各期間に、ランダムブラインドIDが選択されます。ブラインドIDの所有者のみが有効な証明を生成してブロックを提案できますが、ブラインドIDがどの検証に対応するかは誰にもわかりません。

SSLEプロトコルを泡立てます

既存の研究へのリンクは何ですか？

Dan Bonehの論文（2020）：https：//eprint.iacr.org/2020/025.pdf

Whisk（Ethereumの具体的な提案、2022）：https：//ethresear.ch/t/whisk-a-practical-shuffle based-ssle-protocol-for-ethereum/11763

ethresear.chの単一の秘密リーダーの選挙タグ：https：//ethresear.ch/tag/single-secret-leader-election

リング署名を使用した簡略化されたSSLE：https：//ethresear.ch/t/simplified-sle/12315

他に何が残されていますか？何を計量しますか？

実際、残っているのは、メインネットに簡単に実装できるように、十分にシンプルなプロトコルを見つけて実装することだけです。Ethereumをかなり単純なプロトコルとして採用しており、さらに複雑さを増やすことを望んでいません。表示されているSSLE実装には、数百行の仕様コードが追加され、複雑な暗号化に新しい仮定が導入されます。また、十分に効率的な量子SSLE実装を見つけることは未解決の質問です。

最終的に、これが発生する可能性があります。SSLEの「わずかな追加の複雑さ」は、他の理由でイーサリアムプロトコルのL1に一般的なゼロ知識証明メカニズムを導入する場合にのみ減少します十分なレベル。

別のオプションは、SSLEをまったく無視し、DOSの問題を解決するためにプロトコル外の緩和（P2P層など）を使用することです。

ロードマップの残りの部分とどのように相互作用しますか？

チケットの実行などのプロプロポザー分離（APS）メカニズムを追加した場合、ブロックを実行する（つまり、イーサリアムトランザクションを含むブロック）は、専用ブロックビルダーに依存できるためSSLEを必要としません。ただし、コンセンサスブロック（つまり、プロトコルメッセージを含むブロック（証明、リストを含む可能性のあるセクションなど）の場合、SSLEの恩恵を受けます。