ヴィタリック：イーサPoSで他に改善できる点は何か？

原題：イーサリアムプロトコルの可能な未来、その1Possible futures of the Ethereum protocol, part 1 : The Merge

Written by Vitalik, Founder of Ethereum

元々、「The Merge」という言葉は、イーサリアムプロトコルの立ち上げ以来、最も重要な出来事、つまりプルーフ・オブ・ワークのPoWからPoSへの待望の、苦労の末の移行を指していました。今日、イーサネットはほぼ2年間安定しており、このPoSは安定性、パフォーマンス、中央集権化リスクの回避という点で非常にうまくいっている。しかし、PoSにはまだ改善すべき重要な分野がある。安定性、パフォーマンス、小規模検証機へのアクセシビリティなどの技術的特徴の改善、および中央集権化リスクに対処するための経済学の変更です。前者は「合併」の一部となり、後者は「惨劇」の一部となる。

<

プルーフ・オブ・ステーク（PoS）の技術設計にはどのような改善が可能で、それを達成するための道筋はどのようなものでしょうか？

これは、Proof of Stake PoSでできることを網羅したリストではありません。

Single Slot Finality（SSF）と誓約の民主化

私たちはどのような問題に取り組んでいるのでしょうか？

現在、イーサはブロックをファイナライズするのに2～3エポック（～15分）かかり、32ETHがプレッジされます。

これは当初、以下の3つの目標の間でバランスを取るための妥協案でした。

ノードを実行するオーバーヘッドを最小化する

これら3つの目標は相反するものです：「経済的最終性」（すなわち、攻撃者が最終化されたゾーンを回復するためには、大量のETHを破棄する必要がある）を達成するためには

。経済的最終性」（すなわち、攻撃者が最終化されたブロックを回復するために大量のETHを破壊する必要がある）を達成するためには、各検証者は最終化されるたびに2つのメッセージに署名する必要がある。したがって、多くの検証者がいる場合、すべての署名を処理するのに非常に時間がかかるか、すべての署名を同時に処理するために非常に強力なノードが必要になります。

これはすべて、イーサネットの重要な目標である「成功した攻撃でさえも、攻撃者にとって高くつくようにする」ことにかかっていることに注意してください。これが「経済的最終性」という言葉の意味です。もしこの目標がなければ、（Algorandがそうであるように）ランダムに委員会を選び、各スロットを最終決定することで問題を解決できる。しかし、この方法の問題点は、攻撃者が検証者の51%をコントロールしている場合、非常に低いコストで攻撃（確定したブロックを取り消す、検閲する、または確定を遅延させる）できることです。つまり、攻撃者はチェーンを何度も繰り返し攻撃できることになる。したがって、究極の経済的確実性を求めるのであれば、単純な委員会ベースのアプローチは機能せず、一見したところ、検証者の完全な集団参加が必要です。

理想的には、2つの分野で現状を改善しつつ、経済的な最終性を維持したいと考えています。

1.15分ではなく、1つのスロットでブロックを完了させる（理想的には現在の12秒の長さを維持するか、あるいは短くする）

2.検証者が1ETH（本来は32ETH）を誓約できるようにする

。最初の目標の正当性は2つの目的からきており、どちらも「イーサの特性を（より中央集権化された）パフォーマンス重視のL1チェーンの特性に合わせる」と見なすことができます。

第一に、すべてのイーサユーザーが最終化メカニズムによって達成される、より高いレベルのセキュリティ保証の恩恵を受けられるようにします。現在、ほとんどのユーザーは15分も待ちたくないため、このような保証を受けることができません。シングルスロットのファイナリティがあれば、ユーザーはトランザクションを確認した後、ほぼすぐにファイナライズされたトランザクションを見ることができます。第二に、ユーザーやアプリケーションがチェーンロールバックの可能性（比較的稀な非アクティブリーク-非アクティブリークを除く）を心配する必要がないのであれば、それはプロトコルとその周りのインフラを簡素化します。

2つ目の目標は、一人で誓約する人をサポートしたいという願望に突き動かされています。世論調査に次ぐ世論調査は、より多くの人々がソロで誓約することを妨げている主な要因は、最低32ETHであることを繰り返し示しています。最低額を1ETHに引き下げれば、他の問題がソロの誓約を制限する主な要因になる点で、この問題は解決されるでしょう。

確実性を高め、より民主化された誓約を行うという目標は、オーバーヘッドを最小限に抑えるという目標と相反するという課題があります。実際、この事実が、そもそもシングルスロット最終決定論を採用しなかった理由のすべてです。しかし、最近の研究では、この問題に対するいくつかの可能な解決策が提案されています。

SSFとは何か、どのように機能するのか？

単一スロット最終決定主義は、単一スロット内でブロックを最終決定するコンセンサスアルゴリズムを使用することを含みます。これ自体は達成するのが難しい目標ではありません。多くのアルゴリズム（例えばTendermintコンセンサス）はすでに最適な特性でこれを達成しています。これはTendermintではサポートされておらず、ベリファイアの1/3以上がオフラインになったとしても、チェーンを継続させ、最終的に回復させることができます。幸いなことに、この願いは解決されています。非活動リークに対応するために、Tendermintスタイルのコンセンサスを修正する提案があります。7252238" alt="nLsWCEFK9l2HjW1xzzNuA271l01MLpCfLGyiBsrW.png">

先行するシングルスロットFinal Determinism Proposal

この問題の最も難しい部分は、非常に高いノード演算子のオーバーヘッドにつながることなく、非常に多くの検証器でシングルスロットの最終決定主義を機能させる方法を見つけ出すことです。

• Option 1: ブルートフォース(総当たり) - より優れた署名集約プロトコルに取り組む。スロットごとに数百万のバリデータからの署名を扱うことができます。

ホーン、より良いアグリゲーション・プロトコルの設計案の1つ。

• Option 2:  軌道委員会 - ランダムに選択された中規模の委員会が連鎖を完成させる責任を負うことを可能にする新しいメカニズムですが、私たちが求める攻撃コスト特性を維持する方法です。各スロットに参加する検証者の中規模ランダムサンプルを必要とするという効率的な利点だけを得ることができます。

Orbitは、検証者の預託金の規模における既存の不均質性を悪用して、単独検証者に適切な役割を与えつつ、できるだけ経済的な最終性を獲得します。さらに、オービットは遅い委員会ローテーションを使用して、隣接するクォーラム間の高い重複度を確保し、委員会ローテーションの境界にも経済的最終性が適用されるようにする。

• Option 3: 2層誓約 - 誓約者が2つの層に分けられるメカニズムで、1つはより高い保証金要件、もう1つはより低い保証金要件です。より高い預託要件を持つ階層のみが、経済的最終性の提供に直接関与することになる。どのような権利と責任を規定するかについては、様々な提案がある（例えば、Rainbow Pledgeの記事を参照）。責任を規定する様々な提案がある。

• 誓約に委任された権利を、より上位の誓約者に与える

• 下位の誓約者を無作為に選び、各ブロックを証明し、最終決定する

• 。

• 包含リストの権利を生成する

既存の研究との関連は？

• Pathways to single-slot finality (2022):https://notes.ethereum.org/@vbuterin/single_slot_finality

• A concrete proposal for an Ethernet single-slot final determinism protocol (2023): https://eprint.iacr.org/2023/280

• Orbit SSF: https://ethresear.ch/t/orbit-ssf-solo-staking-friendly-validator-set-management-for-ssf/19928

• Orbit styleメカニズムのさらなる分析：https://notes.ethereum.org/@anderselowsson/Vorbit_SSF

• Horn、署名集約プロトコル（2022年年): https://ethresear.ch/t/horn-collecting-signatures-for-faster-finality/14219<

• 大規模な合意のための署名集約（2023年）：https://ethresear.ch/t/signature-merging-for-large-scale-consensus/17386?u=asn

• Khovratovichらは署名集約プロトコルを提案した。https://hackmd.io/@7dpNYqjKQGeYC7wMlPxHtQ/BykM3ggu0#/

• STARKベースの署名集約 (2022):https://hackmd.io/@vbuterin/stark_aggregation

• 虹の誓い：https://ethresear.ch/t/unbundling-staking-towards-rainbow-staking/18683

残された課題は何か？何を量る必要があるのか？

選択可能な主な道は4つあります(ハイブリッドな道もありえます):

1.現状維持

2.軌道SSF

3.力技SSF

4.2段階の誓約メカニズムを持つSSF

1とは、何もせず、現状のままにしておくことですが、それではイーサネットはSquareのセキュリティ・エクスペリエンスと誓約の中心性の特性を、本来あるべき状態よりも悪化させることになります。

2「ハイテク」を避けることは、プロトコルの前提を微妙に見直すことで問題を解決します。「経済的最終性」の要件を緩和し、攻撃が高価であることを要求しますが、現在よりも最大10倍安価にすることができます(たとえば、25%安価)。我々は「経済的最終性」の要件を緩和し、攻撃が高価であることを要求しているが、現在より最大10倍安価になる可能性がある（例えば、250億ドルの代わりに25億ドル）。今日のイーサは必要以上に経済的な最終性を持っており、主なセキュリティリスクは別のところにあることは広く認識されています。

主な作業は、Orbitメカニズムが安全であり、私たちが望む特性を持っていることを検証し、それを完全に形式化して実装することです。加えて、EIP-7251（最大有効残高の増加）は、自発的な検証者の残高統合を可能にし、チェーン検証のオーバーヘッドを即座に削減し、Orbitの展開における効果的な初期段階として機能するでしょう。

3 巧妙な再考を避け、代わりにハイテクで問題を強引に解決する。これを行うには、非常に短時間（5～10秒）で大量の署名（100万以上）を集める必要があります。

4は、巧妙な再考とハイテクを避けているが、依然として中央集権的なリスクを抱える2層の誓約システムを作り出している。リスクの多くは、下位の誓約層が獲得する特定の権利に依存します。例えば、

• もし下位層の質権者が上位層の質権者に証明権を委任する必要がある場合、委任は中央集権化され、2つの高度に中央集権化された質権層になってしまうかもしれません。

• 各ブロックを承認するために下位層のランダムサンプルが必要な場合、攻撃者は非常に少額のETHで最終的な確実性をブロックすることができます。

• 下位層の誓約者がインクルージョン・リストを作ることしかできないのであれば、プルーフ層は中央集権的なままかもしれません。

複数の戦略を組み合わせることができます。

1 + 2: Orbitを追加するが、シングルスロットのファイナリティは行わない

1 + 3: シングルスロットのファイナリティを行わずに、強力なテクニックを使って最低入金額を減らす。必要な集計量は純粋な(3)のケースより64倍少ないので、問題は簡単になる。

2 + 3: 保守的なパラメータ（例えば、8kまたは32kの代わりに128kのバリデータ委員会）を使用してオービットSSFを実行し、ブルートフォーステクニックを使用して超効率的にする。

1 + 4: レインボー誓約を追加しますが、単一スロットの最終検証は行いません

SSFはロードマップの他の部分とどのように相互作用しますか?

他の利点の中でも、シングルスロットの最終確実性は、ある種のマルチブロックMEV攻撃のリスクを減らします。加えて、シングルスロット最終確定主義の世界では、証明者と提案者の分離設計や、その他のプロトコル内ブロック生成パイプラインを異なる設計にする必要があります。

ブルートフォース戦略の弱点は、スロット時間を短縮することが難しくなることです。

Single secret leader election (SSLE)

私たちはどのような問題を解決しているのでしょうか？

今日では、どのバリデータが次のブロックを提案するかを事前に知ることが可能です。攻撃者はネットワークを監視し、どのベリファイアがどのIPアドレスに対応するかを判断し、ベリファイアがブロックを提案しようとしているときにDoS攻撃を仕掛けることができます。

SSLEとは何ですか?

DoS問題を解決する最善の方法は、少なくとも実際にブロックが生成されるまでは、どのバリデータが次のブロックを生成するかという情報を隠すことです。1つの解決策は、誰でも次のブロックを生成できるようにすることですが、その際、landao revealが2 256 /N未満であることを要求することです。平均して、1人の検証者のみがこの要求を満たすことができますが、2人以上いることもあれば、1人もいないこともあります。平均して1人の検証者のみがこの要件を満たすことができるが、2人以上いることもあれば、1人もいないこともある。シークレット」要件と「シングル」要件を組み合わせることは、難題であった。

シングル・シークレット・リーダー選挙プロトコルは、暗号技術を使用して各認証者に「ブラインド」認証者IDを作成し、多くの提案者にブラインドIDのプールを再編成して再ブラインドする機会を与えることで、この問題を解決します(ミックスネットの仕組みに似ています)。各セッションの間、ランダムなブラインドIDが選ばれ、そのブラインドIDの所有者だけが有効な証明を生成してブロックを提案することができますが、そのブラインドIDがどのバリデータに対応するかは誰も知りません。

<

ウィスクSSLEプロトコル

既存の研究へのリンクは？?

• Dan Bonehの論文（2020年）：https://eprint.iacr.org/2020/025.pdf

• Whisk (イーサリアム固有の提案、2022年):https://ethresear.ch/t/whisk-a-practical-shuffle-based-ssle-protocol-for-ethereum/11763

• ethresear.chのSingle Secret Leader。選挙タグ：https://ethresear.ch/tag/single-secret-leader-election

• リング署名を使った簡易SSLE: https://ethresear.ch/t/simplified-ssle/12315

あとは何をすればいいのか？計量が必要なものは？

実際のところ、あとはメインネットに簡単に実装できるくらいシンプルなプロトコルを見つけて実装するだけです。私たちはイーサネットをかなりシンプルなプロトコルとして評価しており、複雑さをこれ以上増やしたくありません。私たちが見てきたSSLEの実装は、何百行もの仕様コードを追加し、複雑な暗号化に新たな仮定を導入している。十分に効率的な反量子SSLE実装を見つけることもまた、未解決の問題です。

最終的には、他の理由（例えば、ステートツリー、ZK-EVM）で思い切ってL1 Etherプロトコルに普遍的なゼロ知識証明を実行するメカニズムを導入した場合にのみ、SSLEの「限界的な追加の複雑さ」が十分に低いレベルまで下がるということになるかもしれません。

もう1つの選択肢は、SSLEを完全に無視し、プロトコル外の緩和策（たとえば、p2pレイヤーで）を使用してDoS問題に対処することです。

ロードマップの残りの部分とどのように相互作用しますか?

実行チケットのような攻撃者と提案者の分離（APS）メカニズムを追加すれば、実行ブロック（つまりイーサトランザクションを含むブロック）はSSLEを必要としません。しかし、コンセンサスブロック（証明などのプロトコルメッセージを含むブロック、リストを含むセクションなど）については、SSLEの恩恵を受けることになります。

トランザクション確認の高速化

私たちはどのような問題を解決しようとしているのでしょうか？

イーサネットのトランザクション確認時間を12秒から4秒にさらに短縮することに価値があります。そうすることで、DeFiプロトコルをより効率的にすると同時に、L1およびロールアップベースのユーザーエクスペリエンスを大幅に向上させることができます。また、多数のL2アプリケーションがロールアップベースで動作できるようになるため、L2の分散化が容易になり、L2が独自の委員会ベースの分散ソートを構築する必要性が減ります。

より高速なトランザクション確認とは何ですか？

ここには2つの大まかなテクニックがあります：

1.スロット時間を短縮する、例えば8秒や4秒にする。最終的な確実性自体は3ラウンドの通信を必要とするので、各ラウンドを別々のブロックに設定し、4秒後に少なくとも最初の確認を得ることができます。

2.提案者がスロット中に事前確認を発行できるようにする。極端な場合、提案者は自分のブロックにリアルタイムでトランザクションを含めることができ、各トランザクションの事前確認メッセージを即座に投稿することができる(「私の最初のトランザクションは0×1234...」、「私の2番目のトランザクションは0×1234...」)。私の2回目の取引は0×5678....）.").(i)提案者にペナルティを与えるか、(ii)立会人投票でどちらが早いかを決める。

既存の研究へのリンクは？

• Based-preconfirmation: https ://ethresear.ch/t/based-preconfirmations/17353

• Protocol Enforced Proposer Commitment (PEPC)：https://ethresear.ch/t/unbundling-pbs-towards-protocol-enforced-proposer-commitments-pepc/13879

• 並列チェーン上のスタッガードサイクル (2018年の低レイテンシーのためのアイデア): https://ethresear.ch/t/staggered-periods/1793

何が残っているでしょうか?計量が必要なものは？

スロットタイムを短縮することがどれほど実現可能なのかは明らかではない。今日でさえ、世界の多くの地域の誓約者は、プルーフを十分に速く得るのに苦労している。スロットタイムを4秒にしようとすると、検証者の集合が中央集権的になり、遅延のために一部の特権的な地域以外で検証者になることが現実的でなくなる危険性があります。

提案者の事前確認アプローチの弱点は、平均的な場合の取り込み時間は大幅に改善されるが、最悪のシナリオは改善されないことである。秒待たなければなりません。

さらに、事前確認のインセンティブをどうするかという未解決の問題があります。提案者には、可能な限り長く利用できるようにするインセンティブがあります。もし立会人が事前確認の適時性にサインアップすれば、ディールの送り手は手数料の一部を即時の事前確認に条件付けることができますが、これは立会人にさらなる負担を強いることになり、立会人が中立的な「ダムパイプ」として行動し続けることが難しくなるかもしれません。

一方で、これをしようとせず、最終確認時間を12秒（またはそれ以上）に保てば、エコシステムはレイヤー2の事前確認をより重視するようになり、レイヤー2全体でのやりとりに時間がかかるようになります。

ロードマップの残りの部分とどのように相互作用するのでしょうか？

提案者ベースの事前確認は、実際には実行チケットのようなAPSメカニズムに依存しています。そうでなければ、リアルタイムの事前確認を提供しなければならないというプレッシャーが、通常のプローバに集中しすぎてしまうかもしれません。

その他の研究分野

51%攻撃の回復

51%攻撃（検閲など、暗号学的に証明できない攻撃も含まれます）が発生した場合、コミュニティは少数派のソフトフォークを実施するために協調的な努力を行い、善人が勝利し、悪人が非活動的にリードされるか、カットされることを保証すると想定されることがよくあります。しかし、このようなソーシャルレイヤーへの過度の依存は、間違いなく不健全である。回復プロセスを可能な限り自動化することで、ソーシャルレイヤーへの依存を減らそうとすることはできます。

完全自動化は不可能です。なぜなら、もし完全自動化できたとしたら、それは50%の耐障害性を持つコンセンサスアルゴリズムに相当し、私たちはすでにそのようなアルゴリズムの（非常に厳密な）数学的に証明可能な限界を知っているからです。しかし、部分的に自動化することは可能である。例えば、クライアントが長い間見てきたトランザクションをレビューする場合、チェーンが確定したものとして自動的に拒否したり、フォークされた選択肢の先頭として拒否することもできる。重要な目標は、攻撃者が少なくとも手っ取り早く完全勝利できないようにすることです。

クォーラムしきい値の引き上げ

今日、ブロックは誓約の67%が支持されれば確定します（訳注：クォーラム機構とは、データの冗長性と最終的な一貫性を確保するために分散システムで一般的に使用される投票アルゴリズムのことです）。このアプローチは積極的すぎると考える人もいる。イーサリアムの全歴史において、最終的な決定論が破綻したのは（非常に短い）一度だけだ。これが80%に引き上げられると、追加的な非決定性の期間の数は比較的少なくなりますが、イーサは安全性を得ることになります：特に、より論争の的になるケースの多くは、最終的な決定性が一時的に停止することになります。これは、間違った側が攻撃者であろうとクライアントに非があろうと、「間違った側」が即座に勝利するよりも健全なシナリオのように思えます。

これはまた、「一人の誓約者に何の意味があるのか」という疑問に対する答えでもある。ほとんどのプレッジャーがすでにプレッジプールを通じてプレッジしている今、1人のプレッジャーが51%のETHをプレッジできる可能性は非常に低いと思われます。しかし、やってみれば、特にクォーラムが80%であれば、一人のプレッジャーがクォーラムをブロックする少数派に達することは可能だと思われます（したがって、クォーラムをブロックする少数派は21%であればよいことになります）。単独誓約者が51%攻撃に参加しない限り（最終的な決定論的逆転か検閲によって）、そのような攻撃は「きれいな勝利」にはならず、単独誓約者は少数派のソフトフォークの組織化を支援する動機を持つことになります。

量子に強い

Metaculusは現在、量子コンピューターが2030年代には、大きな誤差はあるにせよ、暗号を解読し始めるかもしれないと考えています:

Scott Aaronson氏のような量子コンピュータの専門家も最近、量子コンピュータが中期的に実際に機能する可能性について真剣に考え始めています。つまり、現在楕円曲線に依存しているEtherプロトコルのすべての部分に、ハッシュベースやその他の量子耐性を持つ代替手段が必要になるということです。つまり、現在楕円曲線に依存しているEtherプロトコルのあらゆる部分に、ハッシュベースやその他の量子耐性代替手段が必要になるということです。これは特に、大規模な検証者セットからの署名において、BLSアグリゲーションの優れた性能に常に頼ることができるとは想定できないことを意味します。このことは、Proof-of-Interestの設計性能の仮定を保守的にし、量子に強い代替手段をより積極的に開発することを正当化します。

フィードバックとレビューをしてくださったJustin Drake氏、Hsiao-wei Wang氏、@antonttc氏、Francesco氏に感謝します。