Topic: NovaCoin (scrypt PoW + PoS hybrid) - page 303. (Read 600912 times)

Нет "короткого" промежутка. Для stake могут использоваться только монеты с возрастом не менее 30 дней, а значит обработанные раньше чем ~ 4320 блоков назад. Чтобы подделать время в начале такой цепочке, нужно порядочно попотеть (даже если забыть о пересчетах nStakeModifier). Разумный выход - использовать для атаки "честный" стейк, но в любом случае в силу вступает принцип экономической целесообразности.

Есть элемент экономической выгоды от подобной атаки. Если у человека есть достаточное количество монет ("раскидаем на них монеты"), то ему не нужно всем этим заниматься. Он может просто генерировать цепочку в оффлайне и опубликовать когда будет нужно. Но результат будет очевиден - сильный удар по стоимости его собственных активов в этих монетах. С асиками в биткоине, кстати, та же история.

Кстати, не забываем главную деталь, которую многие почему-то забывают. Ни в биткоине, ни в его клонах, ни в PPC/NVC сама по себе длина цепочки не имеет никакого значения.

• В Bitcoin и других PoW-системах приоритетной является цепочка с наибольшей кумулятивной сложностью (bnChainWork), которая вычисляется сложением nBits всех входящих в цепочку блоков.
• В PPC/NVC определяющую роль играет bnChainTrust, вычисляемый исходя из объема прошедших через генерационные транзакции монет.

Аналогично тому, как если бы в PoW системе неудачу потерпел атакующий, сгенерировавший более длинную цепочку на меньшей сложности, в PoS системе проиграет атакующий, сгенерировавший более длинную цепочку, задействовав при этом меньший объем монет. При выборе между цепочками выиграет та, в которой больше денег.

5% новых денежных единиц создается посредством PoS генерации + есть еще PoW генерация. Вопрос лишь в том, каковы будут объемы сделок в системе и сколько в итоге монет будет уничтожаться комиссией.

Я не одобряю Кейнсианство, но оно все же заслуживает изучения. Хотя бы потому что неоконсерватизм - гораздо большее зло.

Я все равно не понимаю, чем именно ограничена скорость генерации PoS блоков!?

* время - подделывается (на коротком промежутке времени, на время атаки, можно делать что угодно в пределах этого промежутка)
* хеш перебирается под нужную сложность (не сложнее типичного PoW), базовых адресов с монетами в качестве базовых для PoS? заранее нагенерим 1кк адресов и постепенно раскидаем на них монеты, и во время перебора просто перебираем эти адреса (но я так понимаю там есть что перебирать и так, те же транзакции)

Ограничена, это является одним из основных базисов модели безопасности. Атакующий в сети на базе протокола PoS v0.3 не может генерировать блоки быстрее, чем остальная сеть с оставшимися держателями монет в то же время. Точнее может, но только при условии если у него больше монет. В сети на базе PoS v0.2 мог, но позволявшая это ошибка исправлена. Возможно, конечно, что найдутся новые недочеты... Ну что же, будем искать, находить и исправлять если найдем. 

Почитайте топик про stake generation tournament. Все не так просто, как кажется, и не настолько прямолинейно.   Кстати, возраст монет ограничен сверху, он обрезается на границе 90 дней при подсчете веса.

Да не дефляционная она настолько жестко. Тут нет строго запрограммированной дефляции, равно как и инфляции. Объем монет зависит от ситуации на рынке.

Ага, это уже проходили, все что привязывается ко времени, атакуется количеством узлов с ложной информацией, хотя все равно клиент атакуемого сервиса просто не примет блоки со данными о времени отличающиеся от его собственного. Да это и не важно.

Алгоритм PoS, как я вижу, ограничивает частоту появления новых блоков (а ведь это является основополагающей идеей blockchain, чтобы появление новых записей было ограничено во времени фиксированным интервалом вне зависимости от количества клиентов, а дальше, кто успел первым собрать блок, тот и рулит его содержимым).

В случае с PoS скорость появления блоков ограничена только количеством монет (даже хуже - весом, произведением объема на возраст). Таймстамп ничего не решает!

На время генерации цепочки блоков, атакующий может не помещать в нее никакие транзакции, кроме своих, за исключением последнего, решающего, в который закидываются все транзакции, которые настоящая сеть набрала за это время (минус отменяемая транзакция, естественно). Так как появление новых PoS блоков у атакующего не ограничена (в отличии от настоящей, которая ограничена скоростью, я так понимаю просто проверяется количество блоков за интервал, и не принимаются новые блоки, если с ними это количество выйдет за определенные пределы)?

Возможно. Можно запустить сеть на одном только PoS, сделав достаточный объем премайна и раздав его. Но она будет более централизованной, так что вариант с децентрализованной начальной эмиссией через PoW более демократичен.

Это может показаться забавным, но для генерации proofhash используются:

1) Таймстамп блока, содержащего точку входа
2) Номер транзакции - точки входа в содержащем ее блоке
3) Таймстамп транзакции - точки входа
4) Таймстамп coinstake-транзакции

Хэш от (модификатор + эти значения) сравнивается с таргетом, вычисляемым исходя из веса использованных точек входа, и если он меньше, то PoS сгенерирован. Зависимость от таймстампов является причиной того, что в PPC/NVC политика таймстампов сильно ужесточена в сравнении с BTC и его клонами. К примеру, у транзакций в PPC/NVC тоже есть таймстампы, и они не могут находиться в будущем относительно времени генерации соответствующего блока. У coinbase/coinstake они еще и сильно далеко в прошлом не могут находиться.  

Модель эмиссии в NVC совсем другая. Тут нет заранее предопределенных "уполовиниваемся раз в столько-то блоков".

Существование PoS без PoW невозможно?

Что же подбирается в той формуле при вычислении PoS?

На данный момент монеты отправляются на тот же адрес, с которого пришли. Но это изменится в будущем, когда клиенты начнут подключать дополнительные входы в coinstake-транзакции по мере роста PoS-сложности.

nStakeModifier не имеет смысла перебирать, этот модификатор пересчитывается всей сетью раз в 6 часов, при этом PoW блоки тоже участвуют в расчете его значения. Аналогично тому, как в биткоине пересчитывается сложность, с той разницей, что следующее его значение очень трудно предсказуемо.

Размазывание уменьшает шансы найти блок для конкретного клиента. Ведь вместе с монетами размазывается и их вес тоже.

Вообще, на эту тему есть целевой топик:

https://bitcointalksearch.org/topic/ppcoin-stake-generation-tournament-152809

Можно попробовать поднять отдельный тестнет с премайном в нулевом блоке и выключенным PoW (т.е. сетку с голым PoS), и провести несколько экспериментов. Подготовка к подобному эксперименту там обсуждается.

Мои размышления. Поправьте, если не прав.

NVC унаследовал дефляционную модель Bitcoin, количество эмиссии ограничено.
Дефляционная модель сама по себе не особо хороша экономически, т.к. это приводит к событиям 1933 года. Ну да это уже обсасывалось тыщу раз. В принципе она хороша в сосуществовании с инфляционным фиатом, они друг друга уравновешивают. Ибо малейший паралич вызывает биржевой слив, освобождающий мертвые активы. Ладно.

Но у NVC есть еще один дефляционный дополнительный стероид - PoS. Ну это как в МММ. Вы обязуетесь не снимать деньги такое то время и вам за это будет профит. В виде PoS блоков.

То бишь, есть серьезный дополнительный стимул аккумулировать средства с сугубо спекулятивной целью, не имеющей к реальной экономической модели обмена средства <=> блага никакого отношения.

Грубо говоря, "Ponzi-шность" Bitcoin возведена здесь в квадрат.

Это так?

Ну почему же... Текущее положение дел не означает, что так будет всегда. Мы работаем в этом направлении.

А в этом вся соль. Данная монета является справедливой интерпретацией капитализма, освобожденной от влияния центробанков и прочих "управлятелей". Это капитализм в самом чистом из возможных виде, а в капитализме не существует серебряной пули. Если эмиссию можно спрогнозировать, исходя из закона Мура и текущего объема доступных для интеграции в систему мощностей, то предсказать темпы работы шреддера является более сложной задачей, но ее решение возможно. Потому что они косвенно зависят от спроса на деньги.

Ага, сейчас, я так понимаю, каждый раз генерируется новый адрес для PoS? Дробление не очень выгодно для тех кто собирается копить и майнить PoS-ом.

В свете вышеизложенного предлагаю следующую схему проведения double spent атаки:
1. подготавливается сеть клиентов (или специальная модификация клиента), с размазанными географически точками выхода в интернет
2. при необходимости, код перебора nStakeModifier разработывается с использованием GPU (особенно если количество точек формирования PoS блоков понадобится очень большим)
это повышает скорость/шансы формирвания и рассылки PoS блоков

3. проводится анализ блокчейн на наличие 'активных монет', участвующих в формировании PoS блоков с возможностью выдачи предсказаний, какие монеты в будущем могут быть использованы для формирования PoS, на основе алгоритма в официальном клиенте, и сборе статистики версий клиентов.
это позволит вычислить 'весовые ямы' в будущем блокчейн, т.е. области, где вес монет в PoS блоках может оказаться наименьшим

4. модифицируется алгоритм выбора монет для формирования PoS блоков, монеты придерживаются на кошельке с целью накопить вес и возможностью управляемого использования, так же монеты равномерно размазываются адресам (чем равномернее монеты будут размазаны по адресам, тем больше нод могут одновременно пытаться сформировать PoS)

5. в специально подобранный момент (когда количество монет выйдет из заморозки и/или наберет необходимый вес по сравнению с глубиной предполагаемой ямы, так же можно подгадать поблочный выход монет из заморозки) производится целевая трата монет на атакуемом сервисе и запускается последовательное формирование цепочки PoS блоков (в которой формируется повторная транзакция тех же монет но уже на свой адрес или на иной сервис), без ее публикации
6. если цепочка необходимой длины собрана - она публикуется и отменяет целевую трату.

p.s. перечитал свой алгоритм, и все равно появился вопрос, что ограничивает сформировать цепочку PoS блоков сразу на одном клиенте без создания сложной сети клиентов? Тут же чистая формула, кто подобрал хеш тот и доктор, главное монеты чтобы были.

Оценка средств, необходимых для проведения атаки равна:
p.s. упростим вычисления, будем считать что возраст монет минимальный, иначе нужно сравнивать не монеты а их вес
* n - количество узлов для формирования PoS сравнимо с количеством подтверждений, используемых атакуемым сервисом (длина цепочки)
* M - количество монет, которые должны быть свободны к моменту формирования цепочки
* H - максимальное количество монет, которое может быть использовано при формировании PoS блоков сетью на момент атаки (статистику можно собрать из blockchain)

Подбираем такой M < H, тогда n*M - необходимые суммы для проведения атаки

Нет смысла на разных нодах в сети использовать разные монеты, а количество нод (выходов в интернет) в сети должно быть сравнимо с количеством всех клиентов (чем больше тем выше шансы что они успеют сообщить о своих PoS блоках легальным клиентам).

Дробить обязательно, у coinstake-транзакции должно быть как минимум два выхода. Адреса большого значения не имеют, единственное требование - у создающего блок должен быть приватный ключ для адреса в vout[1].

Для PoW блоков есть аналогичное условие, адрес в выходной точке coinbase-транзакции обязательно должен принадлежать автору блока, в PPC это обязательно адрес в vout[0]. В NVC это условие выглядит по-другому - адрес по крайней мере одной произвольной выходной точки vout[n] в coinbase-транзакции должен принадлежать автору блока, остальные адреса могут быть любыми.

Пока менять не планируется, но если возникнет такая необходимость, проблемы с этим не возникнет.

Эм, получается блок PoS будет собран тем клиентом, кто успел предложить монеты с наибольшим 'весом' (пропорционально: объем * время неиспользования).

Тогда следующее утверждение, где то в теме было, - после формирования блока PoS, монеты, которые использовались в нем дробятся пополам. Я так понимаю на адреса, которые пожелает выбрать клиент, собравший блок, или дробить необязательно?

Возможно, я мог ввести в заблуждение предыдущим постом. Имелось в виду, что процессорное время при генерации PoS блока расходуется, но не оно является главным определяющим скорость генерации фактором. Определяющая роль в скорости генерации остается за "весом" использованных для генерации блока монет, а зависимость от сложности линейна как и в случае PoW.

Наиболее простая интерпретация по Sunny King'у:


P.S. Поговорю с Sunny King на тему асимптотического анализа.

Еще раз задам вопрос, даже не обязательно отвечать на него с точными формулами и кодом:

Трудоемкость поиска и сборка текущих PoS блоков зависит от их сложности? Линейная ли зависимость? Можно ли считать это операцию O(1)? особенно если сравнивать с PoW, где эта линейно напрямую зависит от сложности.

У "чистого" PoS да, но реализация "чистого" PoS пока считается невозможной из-за уязвимости к DoS атакам у такой системы. В данном случае мы имеем близкий по эффективности к "чистому" PoS компромисс, для PoS блоков делается проверка по такому условию:


nStakeModifier - вычисляемый коэффициент, значение которого почти невозможно предсказать для блоков в будущем, но легко посчитать для блоков в прошлом.
hash - это, на данный момент, стандартный двойной sha256. В готовящемся релизе на базе 0.7, возможно, будет заменено на другую функцию посредством софт-форка.

Реализация отдельного майнера не имеет большого смысла из-за технической сложности, такой майнер должен иметь полный доступ ко всем транзакциям юзера и его приватным ключам, чтобы подбирать соответствующий условию кернел.

Опа, я похоже совсем не понимаю что такое PoS. Ведь его основная плюшка - независимость от требования электроэнергии.

Какой алгоритм используется, какие вычисления проводятся? Значит ли это что ожидается отдельный PoS-майнер? или 5% 'годовых' слишком мелкая сумма чтобы заморачиваться?

На генерацию PoS блоков требуется время, и с ростом PoS-мощности оно будет расти. У PoS блоков тоже есть сложность и проверка по ней, сложность вычисляется независимо от PoW сложности, но по тем же правилам, что и PoW.