Dans cet article, nous allons évoquer un problème majeur des blockchains fonctionnant sur un système de validation en preuve d’enjeu. L’idée est de comprendre d’où vient ce problème, pourquoi il ne concerne pas les systèmes en preuve de travail, et comment Tezos a géré cette situation via des mécanismes efficaces de token-économie. Pour comprendre cet article, il est plus aisé de connaître les grands principes du Baking : c’est par ici.


Le problème du « rien en jeu » ou NASP

La preuve de travail

Dans un système de validation en preuve de travail (Proof of Work), les Miners ne sont pas économiquement incités à miner sur plusieurs chaînes (ou branches). En effet, un Miner apporte une quantité de travail proportionnelle à sa puissance de hachage (ou puissance de calcul). Si un Miner choisit de diviser sa puissance de hachage pour la répartir entre deux ou plusieurs chaînes, cela n’augmentera pas ses chances de miner un bloc. Donc ses chances d’obtenir les récompenses liées à la création de blocs. En effet, même si plusieurs chaînes peuvent entrer en concurrence au sein d’une blockchain, in fine une seule chaîne est adoptée et ajoutée à la branche principale, selon les règles définies par le protocole. Par exemple, dans le cas de Bitcoin, la chaîne qui est adoptée est toujours la chaîne la plus longue. C’est-à-dire la chaîne qui reçoit la plus grande quantité de travail. De cette manière, cela signifie que les Miners malhonnêtes, qui souhaitent égoïstement faire adopter une branche avantageuse pour eux et donc frauduleuse, doivent fournir une quantité de travail supérieure à la quantité de travail des Miners honnêtes. C’est le cas de la fameuse attaque à 51%. Seulement, pour apporter une quantité de travail il faut de la puissance de hachage. Cette puissance a un coût (matériel, électricité, temps…). Ainsi, non seulement les Miners ne sont pas économiquement incités pour miner sur plusieurs branches, car ils divisent leur puissance de hachage qui est une quantité finie et coûteuse. Mais surtout, le coût du hashrate à fournir pour renverser le consensus, est clairement économiquement dissuasif. En d’autres termes, il n’est pas rentable pour les Miners d’allouer leurs ressources sur une autre branche que la branche principale. La malhonnêteté étant moins rentable que l’honnêteté, les Miners ont donc un intérêt à rester honnête. Et si les Miners veulent détourner le réseau à des fins égoïstes, ils doivent alors fournir plus de 51% de la puissance de calcul du réseau. Ainsi le système de PoW est à la fois fortement incitatif aux bons comportements, car la rentabilité n’est possible que sur la branche principale, et fortement dissuasif aux mauvais comportements, par la nécessité de dépenser plus de 51% de la puissance de calcul du réseau. Les forts mécanismes d’incitation et dissuasion par les coûts sont les piliers de la preuve de travail.

La preuve d’enjeu

Dans un système de validation en preuve d’enjeu (Proof of Stake), les valideurs n’apportent pas une puissance de calcul. Les valideurs ou Stakers (Bakers dans le cas de Tezos) détiennent une quantité d’enjeux. L’idée dans un système PoS, est que posséder un token revient à posséder un enjeu au sein de la blockchain. Donc un intérêt pour le succès du réseau. Plus la quantité de tokens détenus est grande, plus l’enjeu est important pour le valideur. Notamment si le réseau est attaqué, car en cas de succès -de fork, la valeur des tokens diminuerait considérablement. En effet, le réseau serait considéré malsain et non fiable, par conséquent non digne de confiance par l’ensemble des parties prenantes. Celles-ci s’empresseraient de se délester de leurs tokens, ce qui sanctionnerait financièrement le réseau. Tout comme la quantité de travail, plus la quantité d’enjeux est grande, plus le valideur aura d’influence sur le réseau et plus il aura de chances d’obtenir les récompenses liées à la création des blocs. Mais contrairement au travail apporté dans un système PoW, détenir des enjeux ne coûte rien. En effet, les enjeux n’ont pas un coût, mais une valeur incarnée par les tokens. Cette différence est fondamentale, car elle change la logique économique pour maintenir l’honnêteté d’un réseau. Autrement dit, dans ce système, créer une autre branche qui confonde la véritable branche ne coûte rien. Il y a certes une dissuasion financière si le réseau est reconnu comme malsain, mais là où un Miner dépenserait une partie de ses ressources, un Staker ne dépenserait rien pour supporter plusieurs autres branches. De plus, il serait même avantageux pour un valideur de supporter plusieurs branches. En effet, en cas de Fork, les valideurs collecteraient les récompenses sur n’importe quelle chaîne qui en ressort gagnante. Autrement dit, l’absence de coût, l’incertitude et les opportunités de gains pousseront les valideurs à supporter égoïstement plusieurs branches. En supportant plusieurs branches, les valideurs disruptent le consensus et fragilisent le réseau en le rendant plus vulnérable aux attaques par double dépense. Là où les Miners ne sont pas incités à supporter plusieurs branches, car cela n’augmente pas leurs chances d’obtenir les récompenses et c’est coûteux, les Stakers peuvent augmenter leurs chances en signant des blocs sur toutes les branches sans aucun coût, car ils n’ont « rien en jeu ». C’est pourquoi, dans cette situation le problème du « rien en jeu » est une menace potentielle envers l’honnêteté du réseau, et donc la pérennité du consensus. D’où les propositions de mesures coercitives dans les systèmes PoS, qui visent à instaurer une perte potentielle chez le valideur. Ainsi pour résoudre le NASP, l’enjeu n’est plus la dépréciation du token en cas de mauvais comportement amenant vers un Fork, mais la possibilité de perdre la propriété de ses tokens, qui constitue désormais l’enjeu.

Comment Tezos gère le NASP

Le seuil

Tezos, fonctionnant en preuve d’enjeu liquide, gère le NASP grâce à un système efficace de mécanismes économiques. Avant tout, pour être un valideur au sein de Tezos, c’est-à-dire un Baker, il faut détenir une quantité minimale d’enjeux. Ce seuil est fixé à 10 000 XTZ, et constitue un « Roll ». Il est nécessaire pour participer au processus de création et de validation des blocs. Cependant, fixer un seuil d’enjeux ne résout en rien le NASP. Certes, les tokens subissent l’effet de dépréciation en cas de Fork, mais ce seuil n’empêche ni ne démotive l’opportunité égoïste pour les valideurs de supporter plusieurs branches. En ce sens, ce seuil d’enjeux peut-être considéré comme un droit d’accès, et non comme des enjeux « en jeu ». En effet, ils ne sont pas susceptibles d’être perdus ou dépossédés du Baker. Autrement dit, avec ou sans seuil, bon ou mauvais comportement, un valideur a toujours « rien à perdre ». Il faut donc ajouter quelque chose à perdre, pour dissuader et sanctionner les mauvais comportements.

Le dépôt de garantie

Dissuader et sanctionner

C’est pourquoi Tezos a mis en place un système de dépôt de garantie. En imposant aux Bakers la constitution d’une provision, le dépôt de garantie endosse le rôle de l’enjeu. Il est constitué d’au moins 8,25% de l’ensemble des tokens détenus par Baker. Lorsqu’un Baker est désigné par le protocole pour signer et publier un bloc, son dépôt de garantie est mis sous séquèstre pendant une certaine période (5 cycles). L’objectif de cette période de préservation, est de laisser suffisamment de temps aux autres Bakers pour dénoncer les mauvais comportements. Dans ces conditions, si le Baker signe deux blocs (Bake) ou valide deux blocs (Endorse) au même niveau sur deux branches différentes, il perdra 512 ou 64 XTZ de son dépôt de garantie, pour chaque double signature. Non seulement ce Baker perdra une partie ou la totalité de son dépôt de garantie, mais il perdra aussi l’ensemble des récompenses obtenues, qui sont gelées pendant la période de préservation. Ces sanctions économiques visent à  prévenir le Baker d’adopter un mauvais comportement et le cas échant, de sanctionner.

Responsabiliser et plafonner

L’autre avantage du dépôt de garantie, est d’instaurer une forme de plafond. Ce plafond est nécessaire pour protéger autant le protocole que les délégataires. En effet, cela permet de ne pas donner plus de droits à un Baker qu’il n’est capable d’en répondre envers le protocole. Le Baker doit détenir une garantie suffisante pour exercer ses droits de création de blocs dans la blockchain. En ce sens, la sanction potentiellement applicable, est toujours proportionnelle à ses droits de création, sinon le Baker ne pourra exercer l’intégralité de son pouvoir de création. L’idée est de s’assurer que, indépendamment de la quantité de tokens détenus, le Baker est responsable proportionnellement à ses enjeux, avant même qu’il ne signe un bloc. Cela permet de responsabiliser le Baker dans son comportement. Enfin cela renseigne aussi les délégataires sur la capacité et le sérieux du Baker. Dans Tezos, des détenteurs de tokens peuvent déléguer leurs tokens à des Bakers. Bien qu’un Baker ne possède pas les tokens qui lui sont délégués, la délégation lui permet d’augmenter les tokens qu’il va utiliser pour participer au consensus et donc d’accroître ses chances d’obtenir les récompenses. Cependant, plus le Baker détiendra de tokens (les siens ou délégués), plus l’enjeu sera important et plus le dépôt de garantie devra être augmenté, proportionnellement aux tokens détenus. Si le dépôt de garantie n’est pas la hauteur des tokens détenus, le Baker ne pourra pas saisir toutes les opportunités de récompenses qui s’offriront à lui. Dans cette situation, le Baker est en sur-délégation. Dans ce cas, aucune sanction n’est appliquée au Baker par le protocole. En effet, le Baker n’a pas un mauvais comportement vis-à-vis du protocole. Il est certes fautif de ne pas constituer une provision suffisante, mais n’est pas malveillant envers le consensus. Sa responsabilité est à chercher plutôt du côté de ses délégataires. D’ailleurs si le Baker ne perd pas son dépôt de garantie, c’est parce qu’il ne pourra pas se saisir de toutes les récompenses lui permettant de rétribuer à juste titre ses délégataires.

Conclusion

Le NASP est un obstacle souvent évoqué pour l’adoption ou le passage vers un système en preuve d’enjeu. Tezos a su gérer ce problème en orientant les comportements grâce à des mécanismes, d’accès, d’incitations, de dissuasion et de sanctions économiques. Une mécanique supportée par une pièce centrale : le dépôt de garanties. Avec ce levier, Tezos parvient non seulement à réfréner les tentatives de fraudes, mais aussi à trouver une équilibre économique entre le protocole et les participants au consensus.

Sources :

Medium/coinmonks

Medium/Cryptium Labs

Medium/Cryptium Labs 2


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *