Багаторівнева децентралізація: що таке DVT і як технологія може допомогти Ethereum?

Новий рівень децентралізації Ethereum

Технологія розподіленого валідатора (distributed validator technology; DVT) — це рішення, яке пропонує новий погляд на архітектуру безпеки валідаторів. У 2021 році Віталік Бутерін визначив модель як один із пріоритетних напрямів розвитку Ethereum.

Традиційна архітектура мереж на базі Proof-of-Stake (PoS) передбачає наявність вузлів-валідаторів, що відповідають за опрацювання транзакцій і затвердження блоків. В Ethereum ці функції виконують повні ноди зі встановленими клієнтами валідаторів, які блокують на депозитному контракті 32 ETH як заставу.

Якщо валідатор відключиться від мережі під час перевірки операцій або поводитиметься зловмисно, наприклад, підпише два різні блоки одночасно, до нього застосовують штрафи(penalties) або слешинг(slashing) відповідно. І перше і друге передбачає скорочення розміру застави, але відрізняється сумою стягнення.

При цьому приватні ключі для підписання блоків і виведення застави зберігаються валідатором. Тобто, якщо зловмиснику вдасться отримати доступ до його вузла, він зможе:

• вивести заблоковані активи (малоймовірно через архітектуру депозитного контракту);
• спровокувати слешинг або штраф.

Крім того, втратити заставу можна через випадковий технічний збій, унаслідок якого сталися затримки в роботі або відключення вузла.

Актуальність проблеми зросла з розвитком LSD-провайдерів, які довіряють управління нодами професійним операторам. Ці оператори часто використовують централізовану інфраструктуру і повинні самостійно організувати зберігання тисяч пар ключів. У разі їхньої компрометації або технічних збоїв користувачі платформ ліквідного стейкінгу можуть втратити величезні суми через слешинг.

DVT пропонує вирішення цієї проблеми, перетворюючи валідатора з однієї сутності на підмережу вузлів, кожен з яких володіє фрагментом приватного ключа (підпису).

Як працює DVT?

DVT передбачає підключення до ноди валідатора підмережі (кластеру) з декількох вузлів, кожен з яких запущений на окремому пристрої і зберігає фрагмент підпису. Технічно це повна нода Ethereum, на якій встановлено клієнт DV (децентралізованого валідатора).

На момент написання не існує загальноприйнятого стандарту клієнта DV для Ethereum, як у випадку з клієнтами шару консенсусу або виконання. Розробники окремих проектів створюють власні варіанти такого ПЗ.

Для поділу і подальшої агрегації підпису використовується комбінація з декількох технологій:

• поділ секрету за протоколом Шаміра — дає змогу об’єднувати фрагменти ключів вузлів кластера в агрегований BLS-підпис;
• порогова схема підпису — визначає скільки учасників кластера повинні надати свої підписи, щоб консенсус вважався дійсним, наприклад, 2/3 або 6/9;
• генерація розподіленого ключа — розділяє наявний або новий приватний ключ на фрагменти і розподіляє їх між вузлами DV;
• конфіденційне обчислення — використовується при створенні розподіленого ключа, і гарантує, що окремий учасник кластера знає тільки свій фрагмент підпису.

Усередині кластера діє власний механізм досягнення консенсусу. Як правило, Istanbul Byzantine Fault Tolerance (IBFT) або Quorum Byzantine Fault Tolerance (QBFT), з певним порогом голосів.

У дії DVT виглядає наступним чином:

1. Алгоритм вибирає випадкового учасника кластера як творця блоку.
2. Решта вузлів мережі перевіряють цей блок і голосують за або проти його підписання.
3. Ноди, які проголосували «за», надають підмережі свою частину підпису.
4. Передані фрагменти агрегуються і відправляються валідатору.

При цьому кожен учасник не знає ні цілого ключа, ні фрагменти інших вузлів, що істотно ускладнює компрометацію підмережі і дає їй змогу працювати без довіри.

Примітно, що реалізація DVT не вимагає внесення змін до коду Ethereum, оскільки кластер — це просто додатковий шар валідатора, який не впливає на його роботу або обробку транзакцій в основній мережі.

Важливо зазначити, що представлені розробниками Ethereum рішення для запуску DV не регулюють фінансування валідатора і не встановлюють порядок розподілу нагород. Ці моменти визначаються кожним DVT-протоколом окремо і можуть відрізнятися від проекту до проекту.

У чому переваги DVT?

DVT надають дві ключові переваги порівняно з традиційною архітектурою вузлів Ethereum, у якій валідатор запускається на єдиній повній ноді:

• поділ підпису між кількома пристроями — це істотно ускладнює компрометацію, оскільки замість одного вузла зловмиснику потрібно захопити більшу частину (зазвичай ⅔) пристроїв кластера, розмір якого теоретично не обмежений;
• стійкість до технічних збоїв — порогові підписи дають змогу валідатору продовжувати роботу, навіть якщо одна або кілька DV-нод перейде в офлайн. Таким чином імовірність штрафу через екстрене відключення знижується.

«Домашнім» валідаторам (соло-стейкерам), слабким місцем яких є надійність обладнання, це дає змогу створити свого роду страховку у вигляді розподіленого кластера вузлів. Професійні оператори отримують інструмент для диверсифікації інфраструктури та сховищ ключів, що може підвищити довіру до них з боку користувачів і протоколів.

У разі масового прийняття DVT може знизити технічну централізацію Ethereum і підвищити стійкість до збоїв.

Крім того, архітектура DV створює передумови для поділу фінансових ризиків між усіма учасниками кластера і зниження вхідного порогу для запуску валідатора. Впровадження подібних можливостей дасть змогу власникам нод брати участь у перевірці транзакцій і отримувати частину нагороди валідатора без необхідності вносити повну заставу.

Зворотним боком можуть стати затримки під час обробки транзакцій, оскільки знадобиться досягнення консенсусу не тільки на рівні Ethereum, а й у кожній підмережі. Також DVT істотно підвищує інфраструктурні витрати операторів.

Ключові DVT-проекти

Незважаючи на те, що технологію розподіленого валідатора позначено в дорожній карті Ethereum, її впровадженням займається не команда основних розробників, а окремі проєкти, що пропонують власні версії клієнтів і протоколів взаємодії вузлів. Нижче розглянемо лідерів сегмента.

ssv.network

ssv.network — проєкт, основним продуктом якого є сервіс «DVT як послуга». Протокол створює систему заохочень і технічну базу для розвитку мережі децентралізованих валідаторів, ключовими учасниками якої є:

• стейкери (валідатори) — власники валідаторів Ethereum, які бажають підключити до свого вузла DV-кластер;
• оператори — користувачі, які встановлюють ноди SSV на своєму обладнанні і відповідають за їх обслуговування.

Стейкери можуть вибрати кластер, учасники якого отримають фрагменти закритого ключа. Кожним кластером керують кілька операторів, серед яких окремо виділено довірених (verified). Після активації валідатора і підключення підмережі стейкер виплачує її операторам комісію за обслуговування в токенах майданчика. Подивитися перелік доступних кластерів і операторів можна на сайті проєкту.

Задумка — надати валідаторам сервіс «кластер-як-послуга». При цьому оператори отримують можливість заробити на своїх DV-вузлах.

Для доступу до протоколу учасники реєструють спеціальні облікові записи, через які проводяться взаєморозрахунки. На момент написання проєкт працює у відкритому режимі, для створення акаунта не потрібне схвалення, тому приєднатися до сервісу може будь-який валідатор або оператор.

Стейкер повинен утримувати на балансі акаунта токени платформи для оплати послуг операторів. У разі неплатоспроможності обліковий запис «ліквідується», а обслуговування валідатора припиняється.

У розмові з Incrypted представник ssv.network пояснив, що після ліквідації вузол валідатора переходить у статус неактивного і виключається з переліку вузлів Ethereum. Депозит власника не піддається слешингу і залишається в цілісності.

Така модель роботи дає змогу легко інтегрувати ssv.network як додатковий шар для вже запущених або створюваних валідаторів Ethereum, чи то соло-стейкери, чи то протоколи на кшталт Lido. Розробники зазначили, що проєкти цінують цю простоту і модульність, яка дає змогу швидко підвищити стійкість і децентралізацію без побудови власної інфраструктури з нуля — достатньо під’єднати кластери протоколу і виплачувати винагороду операторам.

Obol

Obol — також є інфраструктурним проєктом для розвитку DVT, однак, на відміну від ssv.network, він пропонує набір ПЗ та інструментів для запуску та управління підмережами децентралізованих валідаторів, а не платформу для «купівлі» кластерів.

У Obol є своя реалізація ПЗ, а також веб-інтерфейс для створення та участі в кластерах вузлів. Щоб запустити ноду Obol, користувачеві потрібно встановити повний вузол валідатора Ethereum і клієнт Charon, що відповідає за взаємодію в підмережі DV.

Співзасновник Obol Оісін Кайн пояснив Incrypted, що Charon працює як проміжне ПЗ між клієнтом валідатора і клієнтом консенсусу. Клієнт допомагає генерувати і розподіляти ключі, але не має до них доступу під час роботи, що знижує ризики використання кластерів.

Obol орієнтований насамперед на професійних операторів і соло-стейкерів, які бажають підключити DVT. Сервіс дає змогу створити кластер як поодинці, так і разом з іншими учасниками, використовуючи для цього дашборд із веб-інтерфейсом і докладні інструкції.

Кайн підкреслив, що команда також планує запустити кілька ініціатив, які спростять взаємодію між операторами і допоможуть їм комунікувати для створення кластера. За його словами, це має стимулювати формування підмереж.

При цьому у майданчика немає жорсткої системи розрахунків, як у ssv.network, а запуск власного токена, за словами Кайна, не планується. Розподіл нагород всередині кластера встановлюється користувачем під час його створення за допомогою набору стандартних смарт-контрактів Split. Крім того, Obol не приймає і не обробляє депозити користувачів, залишаючи питання фінансування валідатора за рамками свого протоколу.

Примітка: на момент написання Obol працює в режимі закритого бета-тесту. Протокол доступний у тестових мережах Holesky і Goerly, а також у мейннеті Ethereum. За словами співзасновника проєкту, попередній дозвіл для взаємодії не потрібен, але правила використання ПЗ передбачають дотримання деяких умов, встановлених творцем. Зокрема, на момент написання діє обмеження на запуск в основній мережі у вигляді «один вузол — один користувач», проте незабаром його буде знято.

Крім того, використовувати інфраструктуру Obol можна було в рамках пілотного проєкту Lido. Obol уже понад два роки співпрацює з протоколом ліквідного стейкінгу й успішно завершив три етапи тестування кластерів DVT за участю операторів спільноти. Перші 12 підмереж Obol для Lido DV вже активовані і ще 12 будуть розгорнуті найближчим часом.

Diva

Diva — платформа ліквідного стейкінгу з інтегрованою технологією розподіленого валідатора.

На відміну від попередніх проєктів, Diva насамперед позиціонується як LSD-провайдер — користувачі самостійно вирішують, чи бажають вони брати участь у розвитку DVT. Загальна схема роботи протоколу така:

1. Користувач блокує ETH або stETH, отримуючи натомість ліквідний токен divETH і базову нагороду за стейкінг (за вирахуванням комісії майданчика).
2. Потім він може використовувати divETH у DeFi для отримання додаткового доходу, або заблокувати його і запустити вузол DV.
3. Ноди DV формуються в кластери по 16 учасників, які підключаються до валідаторів Diva.

Охочі запустити DV-вузол вносять як заставу від 1 divETH. Розмір застави впливає на шанс отримання фрагмента ключа, необхідного для участі в підмережі, — що більше divETH заблоковано, то вірогідніше, що оператор потрапить до кластеру наступного валідатора, який запускається, і зможе отримувати додаткові нагороди.

Таким чином ми отримуємо двошарову архітектуру з опціональними кластерами DV. Навіть якщо у Diva не буде достатньо операторів для запуску нової підмережі, вона може працювати як LSD-провайдер, виплачуючи стейкерам стандартну нагороду Ethereum.

Примітно, що модель із ліквідним токеном, по суті, дає змогу використовувати один і той самий актив і для участі в стейкінгу Ethereum, і для запуску DV-вузла. Однак невідомо, чи зможуть комісії Diva покрити додаткові нагороди учасникам кластера.

Важливо: на момент написання Diva працює в тестовому режимі. Користувачі можуть блокувати ETH у пулі протоколу, стаючи ранніми учасниками, але LSD-токен буде доступний тільки після запуску в мейннеті. Також можна запускати DV-ноди без внесення застави.

Децентралізація ліквідного стейкінгу

Платформи ліквідного стейкінгу посідають домінуюче становище в Ethereum, акумулюючи близько 90% усіх активів, заблокованих у смарт-контрактах мережі. Бізнес-модель цих сервісів будується на фінансуванні валідаторів за рахунок залучених від користувачів коштів з подальшим отриманням нагороди за перевірку блоків.

Однак LSD-провайдери, як правило, передають послуги із запуску та обслуговування нових валідаторів на аутсорс. Наприклад, партнерська мережа Lido включає 35 операторів і на кожного в середньому припадає понад 8000 валідаторів.

При цьому самі оператори — це часто традиційні компанії, які покладаються на хмарну інфраструктуру. Через це близько 47% валідаторів Lido запущено на серверах AWS, GSP, Digital Ocean та інших провайдерів, які також централізовані і, що важливіше, регульовані.

До чого може призвести недостатня диверсифікація інфраструктури продемонстрував кейс із провайдером Hetzerякий одноразово відключив понад 1000 вузлів Solana через порушення користувацької угоди.

Загроза соціальної централізації через LSD для Ethereum здається малоймовірною, просто тому, що складно уявити навмисну атаку з боку Lido або її операторів на мережу, що забезпечує їм прибуток. Куди реальнішими виглядають ризики технічної централізації на кшталт збою в роботі обладнання, заборони на обслуговування нод дата-центрами або витоку ключів.

DVT якраз дає змогу усунути ці слабкі місця, без необхідності оновлення блокчейна або зміни бізнес-моделі LSD-провайдерів. Тому останні розглядають технологію як пріоритетний шлях зниження ризиків централізації.

Наприклад, вона дасть змогу запускати кластери з включенням вузлів різних операторів або комбінувати їх з нодами соло-стейкерів, які вносять невелику заставу і отримують право на отримання частини винагороди валідатора. Ба більше, DV може стати обов’язковою вимогою або давати додаткові переваги в екосистемі Ethereum.

Примітка: менш децентралізований варіант передбачає запуск професійними операторами кластерів для своїх же вузлів. Однак навіть у цьому випадку ризики компрометації валідатора знижуються.

На момент написання більшість платформ ліквідного стейкінгу проводять тестування або тільки розглядають можливість впровадження DVT. Так, Lido провела тестові випробування децентралізованих валідаторів у рамках Simple DVT з використанням кластерів Obol і ssv.network, а в RockerPool активно обговорюють можливість впровадження подібної програми. Ці ініціативи свідчать про інтерес до цієї технології з боку домінуючого майданчика в сегменті.

Чи потрібен DVT операторам?

DVT передбачає збільшення кількості вузлів, не впливаючи при цьому на загальну кількість валідаторів. Останнє залежить від обсягу Ethereum у стейкінгу. За традиційної архітектури для запуску одного валідатора потрібна одна повна нода, тоді як для DV потрібно три-чотири і більше.

Теоретично не обов’язково (і навіть небажано), щоб валідатор самостійно запускав і обслуговував увесь кластер DV, але у випадку з професійними операторами це найімовірніший сценарій.

Щойно в смарт-контракті LSD-платформи формується пакет із 32 ETH, вона робить запит оператору на запуск нового валідатора. Якщо при цьому немає сформованого пулу кластерів, то очевидно, що операторам доведеться самостійно його створювати, запускаючи при цьому не одну, а кілька нод. У результаті витрати на обслуговування стека вузлів зростають у кілька разів.

Оскільки поточна система винагороди стейкерів Ethereum не робить відмінностей між моно-валідаторами і DV, то вони отримуватимуть однакові нагороди за різних витрат. У результаті, операторам доведеться або відмовитися від частини прибутку, або підвищувати комісію за обслуговування вузла, яка, в кінцевому підсумку, буде виплачена за рахунок стейкерів.

Навіть якщо кластери будуть сформовані з незалежних вузлів, їхнім власникам все одно доведеться оплачувати утримання ноди, тож загальні витрати на інфраструктуру Ethereum мають зрости.

Тимчасовим вирішенням цієї проблеми можуть бути стимули від DVT-протоколів. У віддаленій же перспективі будуть потрібні преференції для розподілених валідаторів (наприклад, пріоритетний допуск до AVS), які дали б змогу покрити збільшені витрати, або перегляд системи нагород Ethereum з урахуванням особливостей DV.

Однак, на момент написання немає жодних очевидних переваг, які змусили б професійних операторів, впевнених у своїй захищеності, збільшити витрати на інфраструктуру. Точно так само, кLSD-платформи не прагнуть примусово впроваджувати децентралізацію своїх валідаторів.