Многоуровневая децентрализация: что такое DVT и как технология может помочь Ethereum?

Новый уровень децентрализации Ethereum

Технология распределенного валидатора (distributed validator technology; DVT) — это решение, которое предлагает новый взгляд на архитектуру безопасности валидаторов. В 2021 году Виталик Бутерин определил модель в качестве одного из приоритетных направлений развития Ethereum.

Традиционная архитектура сетей на базе Proof-of-Stake (PoS) предусматривает наличие узлов-валидаторов, отвечающих за обработку транзакций и утверждение блоков. В Ethereum эти функции выполняют полные ноды с установленными клиентами валидаторов, которые блокируют на депозитном контракте 32 ETH в качестве залога. 

Если валидатор отключится от сети во время проверки операций или поведет себя злонамеренно, например, подпишет два разных блока одновременно, к нему применяются штрафы (penalties) или слэшинг (slashing) соответственно. И первое и второе предусматривает сокращение размера залога, но отличается суммой взыскания. 

При этом приватные ключи для подписания блоков и вывода залога хранятся валидатором. То есть, если злоумышленнику удастся получить доступ к его узлу, он сможет:

• вывести заблокированные активы (маловероятно из-за архитектуры депозитного контракта);
• спровоцировать слэшинг или штраф. 

Кроме того, потерять залог можно из-за случайного технического сбоя, в результате которого произошли задержки в работе или отключение узла.

Актуальность проблемы возросла с развитием LSD-провайдеров, которые доверяют управление нодами профессиональным операторам. Эти операторы часто используют централизованную инфраструктуру и должны самостоятельно организовать хранение тысяч пар ключей. В случае их компрометации или технических сбоев пользователи платформ ликвидного стейкинга могут потерять огромные суммы из-за слэшинга. 

DVT предлагает решение этой проблемы, превращая валидатора из одной сущности в подсеть узлов, каждый из которых владеет фрагментом приватного ключа (подписи). 

Как работает DVT?

DVT предполагает подключение к ноде валидатора подсети (кластера) из нескольких узлов, каждый из которых запущен на отдельном устройстве и хранит фрагмент подписи. Технически это полная нода Ethereum, на которой установлен клиент DV (децентрализованного валидатора).

На момент написания не существует общепринятого стандарта клиента DV для Ethereum, как в случае с клиентами слоя консенсуса или исполнения. Разработчики отдельных проектов создают собственные варианты такого ПО. 

Для разделения и последующей агрегации подписи используется комбинация из нескольких технологий:

• деление секрета по протоколу Шамира — позволяет объединять фрагменты ключей узлов кластера в агрегированную BLS-подпись;
• пороговая схема подписи — определяет сколько участников кластера должны предоставить свои подписи, чтобы консенсус считался действительным, например, 2/3 или 6/9;
• генерация распределенного ключа — разделяет существующий или новый приватный ключ на фрагменты и распределяет их между узлами DV;
• конфиденциальное вычисление — используется при создании распределенного ключа, и гарантирует, что отдельный участник кластера знает только свой фрагмент подписи.

Внутри кластера действует собственный механизм достижения консенсуса. Как правило, Istanbul Byzantine Fault Tolerance (IBFT) или Quorum Byzantine Fault Tolerance (QBFT), с определенным порогом голосов. 

В действии DVT выглядит следующим образом:

1. Алгоритм выбирает случайного участника кластера в качестве создателя блока.
2. Остальные узлы сети проверяют этот блок и голосуют за или против его подписания.
3. Ноды, проголосовавшие «за», предоставляют подсети свою часть подписи.
4. Переданные фрагменты агрегируются и отправляются валидатору.

При этом каждый участник не знает ни целого ключа, ни фрагменты других узлов, что существенно усложняет компрометацию подсети и позволяет ей работать без доверия. 

Примечательно, что реализация DVT не требует внесения изменений в код Ethereum, поскольку кластер — это просто дополнительный слой валидатора, не влияющий на его работу или обработку транзакций в основной сети. 

Важно отметить, что представленные разработчиками Ethereum решения для запуска DV не регулируют финансирование валидатора и не устанавливает порядок распределения наград. Эти моменты определяются каждым DVT-протоколом отдельно и могут отличаться от проекта к проекту. 

В чем преимущества DVT?

DVT предоставляют два ключевых преимущества по сравнению с традиционной архитектурой узлов Ethereum, в которой валидатор запускается на единственной полной ноде:

• разделение подписи между несколькими устройствами — это существенно усложняет компрометацию, поскольку вместо одного узла злоумышленнику требуется захватить большую часть (обычно ⅔) устройств кластера, размер которого теоретически не ограничен;
• устойчивость к техническим сбоям — пороговые подписи позволяют валидатору продолжать работу даже если одна или несколько DV-нод перейдет в офлайн. Таким образом вероятность штрафа из-за экстренного отключения снижается. 

«Домашним» валидаторам (соло-стейкерам), слабым местом которых является надежность оборудования, это позволяет создать своего рода страховку в виде распределенного кластера узлов. Профессиональные операторы получают инструмент для диверсификации инфраструктуры и хранилищ ключей, что может повысить доверие к ним со стороны пользователей и протоколов. 

В случае массового принятия DVT может снизить техническую централизацию Ethereum и повысить устойчивость к сбоям. 

Кроме того, архитектура DV создает предпосылки для разделения финансовых рисков между всеми участниками кластера и снижения входного порога для запуска валидатора. Внедрение подобных возможностей позволит владельцам нод участвовать в проверке транзакций и получать часть награды валидатора без необходимости вносить полный залог. 

Обратной стороной могут стать задержки при обработке транзакций, поскольку потребуется достижение консенсуса не только на уровне Ethereum, но и в каждой подсети. Также DVT существенно повышает инфраструктурные расходы операторов.

Ключевые DVT-проекты 

Несмотря на то, что технология распределенного валидатора обозначена в дорожной карте Ethereum, ее внедрением занимается не команда основных разработчиков, а отдельные проекты, предлагающие собственные версии клиентов и протоколов взаимодействия узлов. Ниже рассмотрим лидеров сегмента.

ssv.network

ssv.network — проект, основным продуктом которого является сервис «DVT как услуга». Протокол создает систему поощрений и техническую базу для развития сети децентрализованных валидаторов, ключевыми участниками которой являются:

• стейкеры (валидаторы) — владельцы валидаторов Ethereum, желающие подключить к своему узлу DV-кластер;
• операторы — пользователи, которые устанавливают ноды SSV на своем оборудовании и отвечают за их обслуживание. 

Стейкеры могут выбрать кластер, участники которого получат фрагменты закрытого ключа. Каждый кластер управляется несколькими операторами, среди которых отдельно выделены доверенные (verified). После активации валидатора и подключения подсети стейкер выплачивает ее операторам комиссию за обслуживание в токенах площадки. Посмотреть перечень доступных кластеров и операторов можно на сайте проекта.

Задумка — предоставить валидаторам сервис «кластер-как-услуга». При этам операторы получают возможность заработать на своих DV-узлах.

Для доступа к протоколу участники регистрируют специальные учетные записи, через которые проводятся взаиморасчеты. На момент написания проект работает в открытом режиме, для создания аккаунта не требуется одобрение, поэтому присоединится к сервису может любой валидатор или оператор.

Стейкер должен удерживать на балансе аккаунта токены платформы для оплаты услуг операторов. В случае неплатежеспособности учетная запись «ликвидируется», а обслуживание валидатора прекращается. 

В разговоре с Incrypted представитель ssv.network объяснил, что после ликвидации узел валидатора переходит в статус неактивного и исключается из перечня узлов Ethereum. Депозит владельца не подвергается слэшингу и остается в целостности.

Такая модель работы позволяет легко интегрировать ssv.network в качестве дополнительного слоя для уже запущенных или создаваемых валидаторов Ethereum, будь то соло-стейкеры или протоколы вроде Lido. Разработчики отметили, что проекты ценят эту простоту и модульность, которая позволяет быстро повысить устойчивость и децентрализацию без построения собственной инфраструктуры с нуля — достаточно подключить кластеры протокола и выплачивать вознаграждение операторам. 

Obol

Obol — также является инфраструктурным проектом для развития DVT, однако, в отличие от ssv.network, он предлагает набор ПО и инструментов для запуска и управления подсетями децентрализованных валидаторов, а не платформу для «покупки» кластеров. 

У Obol есть своя реализация ПО, а также веб-интерфейс для создания и участия в кластерах узлов. Чтобы запустить ноду Obol, пользователю нужно установить полный узел валидатора Ethereum и клиент Charon, отвечающий за взаимодействие в подсети DV.

Соучредитель Obol Оисин Кайн объяснил Incrypted, что Charon работает как промежуточное ПО между клиентом валидатора и клиентом консенсуса. Клиент помогает генерировать и распределять ключи, но не имеет к ним доступа во время работы, что снижает риски использования кластеров. 

Obol ориентирован в первую очередь на профессиональных операторов и соло-стейкеров, желающих подключить DVT. Сервис позволяет создать кластер как в одиночку, так и вместе с другими участниками, используя для этого дашборд с веб-интерфейсом и подробные инструкции. 

Кайн подчеркнул, что команда также планирует запустить несколько инициатив, которые упростят взаимодействие между операторами и помогут им коммуницировать для создания кластера. По его словам, это должно стимулировать формирование подсетей.

При этом у площадки нет жесткой системы расчетов, как у ssv.network, а запуск собственного токена, по словам Кайна, не планируется. Распределение наград внутри кластера устанавливается пользователем во время его создания при помощи набора стандартных смарт-контрактов Split. Кроме того, Obol не принимает и не обрабатывает депозиты пользователей, оставляя вопрос финансирования валидатора за рамками своего протокола. 

Примечание: на момент написания Obol работает в режиме закрытого бета-теста. Протокол доступен в тестовых сетях Holesky и Goerly, а также в мейннете Ethereum. По словам соучредителя проекта, предварительное разрешение для взаимодействия не требуется, но правила использования ПО предусматривают соблюдение некоторых условий, установленных создателем. В частности, на момент написания действует ограничение на запуск в основной сети в виде «один узел — один пользователь», однако вскоре оно будет снято.

Кроме того, использовать инфраструктуру Obol можно было в рамках пилотного проекта Lido. Obol уже более двух лет сотрудничает с протоколом ликвидного стейкинга и успешно завершил три этапа тестирования кластеров DVT с участием операторов сообщества. Первые 12 подсетей Obol для Lido DV уже активированы и еще 12 будут развернуты в ближайшее время.

Diva

Diva — платформа ликвидного стейкинга с интегрированной технологией распределенного валидатора. 

В отличие от предыдущих проектов, Diva в первую очередь позиционируется как LSD-провайдер — пользователи самостоятельно решают, желают ли они участвовать в развитии DVT. Общая схема работы протокола следующая:

1. Пользователь блокирует ETH или stETH, получая взамен ликвидный токен divETH и базовую награду за стейкинг (за вычетом комиссии площадки).
2. Затем он может использовать divETH в DeFi для получения дополнительного дохода, либо заблокировать его и запустить узел DV.
3. Ноды DV формируются в кластеры по 16 участников, которые подключаются к валидаторам Diva. 

Желающие запустить DV-узел вносят в качестве залога от 1 divETH. Размер залога влияет на шанс получения фрагмента ключа, необходимого для участия в подсети, — чем больше divETH заблокировано, тем вероятнее, что оператор попадет в кластер следующего запускаемого валидатора и сможет получать дополнительные награды. 

Таким образом мы получаем двухслойную архитектуру с опциональными кластерами DV. Даже если у Diva не будет достаточно операторов для запуска новой подсети, она может работать как LSD-провайдер, выплачивая стейкерам стандартную награду Ethereum. 

Примечательно, что модель с ликвидным токеном, в сущности, позволяет использовать один и тот же актив и для участия в стейкинге Ethereum, и для запуска DV-узла. Однако неизвестно, смогут ли комиссии Diva покрыть дополнительные награды участникам кластера.

Важно: на момент написания Diva работает в тестовом режиме. Пользователи могут блокировать ETH в пуле протокола, становясь ранними участниками, но LSD-токен будет доступен только после запуска в мейннете. Также можно запускать DV-ноды без внесения залога. 

Децентрализация ликвидного стейкинга

Платформы ликвидного стейкинга занимают доминирующее положение в Ethereum, аккумулируя около 90% всех активов, заблокированных в смарт-контрактах сети. Бизнес-модель этих сервисов строится на финансировании валидаторов за счет привлеченных от пользователей средств с последующим получением награды за проверку блоков. 

Однако LSD-провайдеры, как правило, передают услуги по запуску и обслуживанию новых валидаторов на аутсорс. Например, партнерская сеть Lido включает 35 операторов и на каждого в среднем приходится более 8000 валидаторов. 

При этом сами операторы — это зачастую традиционные компании, которые полагаются на облачную инфраструктуру. Из-за этого около 47% валидаторов Lido запущено на серверах AWS, GSP, Digital Ocean и других провайдеров, которые также централизованы и, что более важно, регулируемы. 

К чему может привести недостаточная диверсификация инфраструктуры продемонстрировал кейс с провайдером Hetzer, который единовременно отключил более 1000 узлов Solana из-за нарушения пользовательского соглашения. 

Угроза социальной централизации из-за LSD для Ethereum кажется маловероятной, просто потому, что сложно представить преднамеренную атаку со стороны Lido или ее операторов на сеть, обеспечивающую им прибыль. Куда реальнее выглядят риски технической централизации вроде сбоя в работе оборудования, запрета на обслуживание нод дата-центрами или утечки ключей. 

DVT как раз позволяет устранить эти слабые места, без необходимости обновления блокчейна или изменения бизнес-модели LSD-провайдеров. Поэтому последние рассматривают технологию как приоритетный путь снижения рисков централизации. 

Например, она позволит запускать кластеры с включением узлов различных операторов или комбинировать их с нодами соло-стейкеров, вносящих небольшой залог и получающих право на получение части вознаграждения валидатора. Более того, DV может стать обязательным требованием или давать дополнительные преимущества в экосистеме Ethereum.

Примечание: менее децентрализованный вариант предусматривает запуск профессиональными операторами кластеров для своих же узлов. Однако даже в этом случае риски компрометации валидатора снижаются. 

На момент написания большинство платформ ликвидного стейкинга проводят тестирование или только рассматривают возможность внедрения DVT. Так, Lido провела тестовые испытания децентрализованных валидаторов в рамках Simple DVT с использованием кластеров Obol и ssv.network, а в RockerPool активно обсуждают возможность внедрения подобной программы. Эти инициативы свидетельствуют об интересе к этой технологии со стороны доминирующей площадки в сегменте.

Нужен ли DVT операторам?

DVT предусматривает увеличение количества узлов, не влияя при этом на общее число валидаторов. Последнее зависит от объема Ethereum в стейкинге. При традиционной архитектуре для запуска одного валидатора нужна одна полная нода, в то время как для DV потребуется три-четыре и больше. 

Теоретически не обязательно (и даже нежелательно), чтобы валидатор самостоятельно запускал и обслуживал весь кластер DV, но в случае с профессиональными операторами это наиболее вероятный сценарий.

Как только в смарт-контракте LSD-платформы формируется пакет из 32 ETH, она делает запрос оператору на запуск нового валидатора. Если при этом нет сформированного пула кластеров, то очевидно, что операторам придется самостоятельно его создавать, запуская при этом не одну, а несколько нод. В результате расходы на обслуживание стека узлов возрастают в несколько раз. 

Поскольку текущая система вознаграждения стейкеров Ethereum не делает различий между моно-валидаторами и DV, то они будут получать одинаковые награды при разных расходах. В результате, операторам придется либо отказаться от части прибыли, либо повышать комиссию за обслуживание узла, которая, в конечном итоге будет выплачена за счет стейкеров. 

Даже если кластеры будут сформированы из независимых узлов, их владельцам все равно придется оплачивать содержание ноды, так что общие расходы на инфраструктуру Ethereum должны возрасти. 

Временным решением этой проблемы могут быть стимулы от DVT-протоколов. В отдаленной же перспективе потребуются преференции для распределенных валидаторов (например, приоритетный допуск к AVS), которые позволили бы покрыть возросшие расходы, или пересмотр системы наград Ethereum с учетом особенностей DV. 

Однако, на момент написания нет никаких очевидных преимуществ, которые заставили бы профессиональных операторов, уверенных в своей защищенности, увеличить расходы на инфраструктуру. Точно так же,кLSD-платформы не стремятся принудительно внедрять децентрализацию своих валидаторов.