Am obiceiul să citesc modelul de securitate Dusk în același mod în care o fac majoritatea oamenilor, prin prisma „tăierii și arderii stakului”. Aceasta s-a schimbat odată ce am urmărit ce face de fapt Contractul de Stak cu suspendarea soft-slashing și cum programarea criptografică a sortării stabilește comitete în epocile SA și SBA. Cuvântul „tăiere” nu este punctul. Punctul este ce te elimină protocolul. Pe Dusk, penalizarea care contează cu adevărat este suspendarea înregistrată la nivelul Contractului de Stak ca un statut on-chain care schimbă eligibilitatea. Când acest statut este activ, sortarea criptografică nu tratează furnizorul ca fiind selectabil la următoarea limită de epocă SA și SBA. În practică, aceasta înseamnă că furnizorul încetează să apară în calea comitetului care produce finalitate.
Odată ce o vezi astfel, slashing-ul face ceva diferit, și nu face ceea ce își imaginează oamenii. Piața încă prețuiește Dusk ca și cum ar rula modelul standard de descurajare pentru Proof of Stake. Comportamentul greșit duce la pierderea stak-ului. Teama de pierdere îi menține pe validatori cinstiți. Această presupunere nu se aliniază cu suprafața reală de control a Dusk. Aici, planul de control este eligibilitatea comitetului. Contractul de Stake este poarta. Sortiția criptografică este programatorul. Dacă ești suspendat, nu câștigi doar mai puțin. Pierzi eligibilitatea de a fi programat.
Vreau să păstrez un sistem-proprietate împărțit și să mă țin de el: integritate versus disponibilitate. Integritatea este capacitatea lanțului de a rezista comportamentului dovedit greșit. Disponibilitatea este abilitatea sa de a continua să producă blocuri și să finalizeze sub stres. Suspendarea soft-slashing a Dusk este construită pentru a proteja disponibilitatea în primul rând. Aceasta elimină provizionerii instabili sau care se comportă greșit la granița de eligibilitate a comitetului, astfel încât protocolul să poată continua să finalizeze. Compromisul este simplu. Descurajarea integrității este mai slabă decât ceea ce își imaginează majoritatea oamenilor când aud „slashing.”
Un model de slashing bazat pe ardere face ca integritatea să fie costisitoare de încălcat, dar această comparație contează doar pentru că Dusk ia o altă direcție. Suprafața penalizării aici este excluderea. Suspendarea este o mașină de stare reversibilă. Oferă protocolului o modalitate rapidă de a proteja liveness-ul și formarea comitetului fără a necesita distrugerea stak-ului de fiecare dată când ceva merge prost.
Asta se potrivește cu designul Dusk pentru că finalitatea bazată pe comitet are o modalitate foarte specifică de a eșua. Nu se degradează ușor atunci când selecția comitetului devine instabilă. Dacă protocolul continuă să selecteze provizioneri care sunt offline, nesiguri sau adversari, participarea comitetului se transformă în punctul de blocare. Prima ruptură vizibilă este adesea stagnarea finalității. Aceasta este o eșec de disponibilitate. Eșecurile de integritate pot exista în continuare, dar sub stres nu sunt întotdeauna primul simptom operațional pe care îl vezi.
Așadar, Dusk tratează participarea comitetului ca pe o resursă rară. Dacă un provizioner devine nesigur, protocolul nu așteaptă ca coordonarea socială lentă să recupereze. Îl elimină pe acel provizioner din setul de selecție a sortitiei criptografice aplicând suspendarea la nivelul Contractului de Stake. Acesta este planul de control în termeni concreți. Nu este vorba doar despre greutatea stak-ului. Este eligibilitatea de a fi programat în comitete.
Constrângerea operațională provine din același loc. Selecția comitetului este legată de epocile SA și SBA, așa că aplicarea trebuie să fie automatizată de protocol la granița epocii unde se evaluează eligibilitatea. Dusk are nevoie de un mecanism de excludere care să intre în vigoare la nivelul programării, nu după o lungă rezolvare a disputelor. Suspendarea este acel mecanism. Menține selecția comitetului stabilă prin excluderea provizionerilor care nu ar trebui să fie în setul de selecție.
Aici este și locul unde apare o evaluare greșită.
Dacă prețuiești Dusk ca pe un slashing bazat pe ardere, presupui că integritatea este aplicată în principal prin distrugerea capitalului. Presupui chiar și că provizionerii puternici evită comportamentul la limită deoarece penalizarea este permanentă și costisitoare. Cu suspendarea, suprafața de descurajare se schimbă. Un provizioner suspendat pierde recompensele și pierde eligibilitatea comitetului, dar penalizarea este mai mult despre eliminarea temporară decât despre pierderea permanentă. Asta face ca sistemul să fie mai rezistent la haos operațional. Poate fi, de asemenea, mai puțin punitiv pentru atacatorii strategici, în special pentru atacatorii care valorizează perturbarea mai mult decât profitul.
Aceasta nu este o argumentație că Dusk este slab. Este o argumentație despre ce optimizează Dusk mai întâi.
Povestea de securitate devine: menține disponibilitatea stabilă prin gestionarea agresivă a eligibilității comitetului, chiar dacă asta înseamnă că descurajarea integrității se bazează mai mult pe excludere decât pe distrugere. Avantajul este clar. Sub stres, lanțul poate continua să finalizeze. Protocolul poate elimina actorii răi la granița de eligibilitate. Poate opri aceleași provizioneri nesiguri să destabilizeze repetat selecția comitetului.
Dezavantajul este la fel de concret. Dacă penalizarea este în principal suspendare, costul de a investiga sistemul poate fi mai mic decât își imaginează outsiderii. Un provizioner poate acționa agresiv, poate fi suspendat și totuși să își păstreze stak-ul. Dacă sistemul permite reintrarea după suspendare, capitalul atacatorului poate rămâne intact. Aceasta schimbă modelul de amenințare de la un cost catastrofal unic la încercări repetate de destabilizare. Dusk se poate apăra în continuare prin excluderea provizionerului, dar apărarea devine o aplicare operațională continuă în loc de un singur descurajator ireversibil.
De aceea citesc slashing-ul soft al Dusk ca fiind liveness-first, nu deterrence-first.
De asemenea, schimbă ceea ce înseamnă descentralizarea în practică. Pe Dusk, descentralizarea nu este doar despre câți provizioneri există. Este despre cât de concentrată devine eligibilitatea comitetului atunci când suspendarea este principalul instrument de aplicare. Dacă un set mic de provizioneri rămâne continuu eligibil și este selectat repetat, rețeaua poate părea largă ca număr, în timp ce participarea comitetului și recompensele devin concentrate.
Pentru că Contractul de Stake este poarta de aplicare, comportamentul ar trebui să fie vizibil în datele protocolului. Nu ai nevoie de narațiuni pentru asta. Trebuie să observi cât de des apare suspendarea și cum se comportă participarea și recompensele comitetului în jurul acestor evenimente. Dacă evenimentele de suspendare cresc în timpul unei sarcini observabile și selecția comitetului rămâne largă, Dusk își atinge compromisurile dorite. Dacă evenimentele de suspendare rămân rare, dar participarea comitetului se concentrează totuși, planul de control poate fi restrâns fără a fi discutat deschis.
Implicația practică este că ar trebui să judeci siguranța Dusk după eligibilitatea comitetului și comportamentul recompenselor, nu după cât de sever sună „slashing.” Această teză eșuează dacă evenimentele de suspendare ale Contractului de Stake rămân rare în timp ce cota de recompensă a provizionerilor de top rămâne constant scăzută în timpul unor creșteri susținute în throughput-ul tranzacțiilor on-chain.
