EigenLayer: 슬래싱(벌금)의 암호 경제학

원문 제목：《The cryptoeconomics of slashing》

원문 저자 ：Sreeram Kannan \& Soubhik Deb （EigenLayer），a16z

편집：하룻밤의 죽, DeFi의 길

지분 증명(Proof of Stake, PoS) 프로토콜을 위해 설계된 메커니즘 중에서, 슬래싱(Slashing)만큼 논란이 많은 것은 없다. 슬래싱은 프로토콜에 따라 행동하지 않는 특정 노드에 대해 경제적 처벌을 가하는 방법을 제공한다. 이는 검증자의 스테이크를 일부 또는 전부 빼앗음으로써 이루어지며, 프로토콜에 따라 행동하는 다른 노드에 외부성을 부과하지 않는다.

슬래싱은 블록체인이 처벌을 실행할 수 있어야 하기 때문에 지분 증명(PoS) 프로토콜에 고유하다. 이러한 집행은 작업 증명(Proof of Work, PoW) 시스템에서는 명백히 불가능하며, 이는 부정행위를 저지른 노드의 채굴 하드웨어를 태우는 것과 유사하다. 이러한 처벌적 인센티브를 적용할 수 있는 능력은 블록체인 메커니즘 설계에서 새로운 설계 공간을 열기 때문에 신중하게 고려할 가치가 있다.

슬래싱이 "업보"의 형태로 명백한 이점을 제공하지만, 슬래싱에 대한 주요 반대 의견은 구식 소프트웨어를 실행하는 등의 우연한 실수로 인해 노드가 과도하게 처벌받을 수 있다는 것이다. 따라서 많은 프로토콜은 슬래싱을 채택하는 것을 피하고, 대신 소위 토큰 독성(즉, 프로토콜이 성공적으로 공격받을 경우 기본 토큰의 가치가 하락할 것)을 의존한다. 많은 사람들은 스테이커가 이러한 독성을 프로토콜의 보안성을 해치는 위협으로 간주할 것이라고 생각한다. 우리의 평가에 따르면, 토큰 독성은 특정 전형적인 시나리오에서 적대적 공격을 저지하는 데 충분하지 않다. 사실, 이러한 경우에 적의 공격과 프로토콜을 파괴하는 데 드는 비용(뇌물 비용)은 사실상 제로에 가깝다.

이 글에서는 슬래싱을 PoS 프로토콜의 메커니즘 설계에 통합하여 적이 초래할 수 있는 뇌물 비용을 크게 증가시키는 방법을 보여줄 것이다. 뇌물이 존재하는 경우, 분산 프로토콜 및 토큰 독성 가정을 충족하지 않는 프로토콜(중앙화 또는 분산화)에 대해 슬래싱은 높은 측정 가능한 뇌물 비용을 보장한다.

뇌물을 초래할 수 있는 상황과 토큰 독성이 부족한 상황은 어디에나 존재한다. 많은 PoS 프로토콜은 밀접하게 결합된 커뮤니티를 통해 이러한 두 범주 중 하나에 빠지는 것을 피하는데, 이는 규모가 작을 때만 가능하다. (1) 강력한 리더십에 의존하여 그들을 올바른 방향으로 이끌고, 검증을 소수의 잘 알려진 법적으로 규제된 노드 운영자에게 위임한다; (2) 또는 소규모 그룹 내에서 스테이킹 토큰을 집중시킨다. 이러한 해결책은 대규모 및 분산된 검증 노드 커뮤니티를 완전히 만족스럽게 발전시킬 수 없다. 만약 PoS 프로토콜의 특징이 몇 개의 검증자(또는 극단적인 경우 단 하나의 검증자)만 존재한다면, 이러한 대규모 검증자들이 적대적 행동에 참여할 경우 처벌할 수 있는 방법이 필요하다.

이 글의 나머지 부분에서는:

1. 복잡한 뇌물 공격을 분석하기 위한 모델을 제안한다;
2. 슬래싱 메커니즘이 없는 PoS 프로토콜이 뇌물 공격에 취약하다는 것을 보여준다;
3. 슬래싱 메커니즘이 있는 PoS 프로토콜이 뇌물 공격에 대해 정량화 가능한 보안을 제공한다는 것을 보여준다;
4. 슬래싱의 몇 가지 단점을 논의하고 완화책을 제안한다;

1. 모델

슬래싱 사례를 소개하기 전에, 먼저 분석할 모델이 필요하다. 현재 PoS 프로토콜을 분석하는 두 가지 가장 인기 있는 모델(비잔틴 모델과 게임 이론 균형 모델)은 가장 파괴적인 실제 공격을 포착하지 못하며, 슬래싱은 이러한 공격에 강력한 억제력을 발휘한다. 이 섹션에서는 이러한 기존 모델의 단점을 이해하기 위해 논의하고, 세 번째 모델(우리가 뇌물 분석 모델이라고 부르는)을 제안한다. 뇌물 분석 모델은 많은 공격을 시뮬레이션할 수 있지만, 많은 프로토콜 분석에 사용되지 않았다.

기존 모델

이 섹션에서는 비잔틴 모델과 게임 이론 균형 모델 및 그 단점을 간략히 설명한다.

비잔틴 모델

비잔틴 모델은 최대 일정 비율(?)의 노드가 프로토콜에서 규정한 행동에서 벗어나 그들이 선택한 어떤 행동을 수행할 수 있으며, 나머지 노드는 여전히 프로토콜을 준수해야 한다고 규정한다. 특정 PoS 프로토콜이 적대적 노드가 취할 수 있는 비잔틴 행동에 저항할 수 있는지를 증명하는 것은 매우 중요한 문제이다.

예를 들어, 활성화(liveness)가 보안(security)보다 우선하는 최장 체인 PoS 합의 프로토콜을 고려해보자. 최장 체인 합의의 보안성에 대한 초기 연구는 특정 공격(즉, 비밀 이중 지불 공격, 모든 비잔틴 노드가 비밀리에 대체 체인을 구축한 다음 그것이 최장 체인보다 길어질 때 공개하는 것)에 대한 보안성을 보여주는 데 중점을 두었다. 그러나 nothing-at-stake 현상은 동일한 스테이크를 사용하여 많은 블록을 제안하고 독립적인 무작위성을 사용하여 더 긴 개인 체인을 구축할 가능성을 높일 수 있는 기회를 제공한다. 오랜 시간이 지나서야 사람들은 최장 체인 PoS 합의 프로토콜의 특정 구조가 특정 ? 값에 대해 모든 공격을 저항할 수 있음을 보여주기 위한 광범위한 연구를 진행했다.

(자세한 내용은 《Everything is a Race and Nakamoto Always Wins‌》 및 《PoSAT: Proof-of-Work Availability and Unpredictability, Without the Work‌》을 참조하라.)

전체 비잔틴 내결함성(BFT) 합의 프로토콜 범주는 활성화보다 보안을 우선시한다. 이들은 또한 ?의 상한을 증명하기 위해 비잔틴 모델을 가정해야 하며, 이러한 프로토콜은 어떤 공격에 대해서도 결정론적 보안을 제공한다. (자세한 내용은 《HotStuff: BFT Consensus in the Lens of Blockchain‌》, 《STREAMLET‌》, 《Tendermint‌》을 참조하라.)

비잔틴 모델은 유용하지만, 경제적 인센티브를 고려하지 않는다. 행동적 관점에서 이들 노드 중 ? 부분은 본질적으로 완전히 적대적이며, (1-?) 부분 노드는 완전히 프로토콜 규범을 준수한다. 반면, PoS 프로토콜의 상당 부분 노드는 경제적 이익에 의해 동기가 부여될 수 있으며, 단순히 전체 프로토콜 규범을 준수하기보다는 자신의 이익에 유리한 프로토콜 수정 버전을 실행할 수 있다. 두드러진 예로, 오늘날 대부분의 노드는 기본 PoS 프로토콜을 실행하지 않고, MEV-Boost 수정 프로토콜을 실행하고 있으며, 이는 MEV 경매 시장에 참여함으로써 추가 보상을 얻기 때문이다.

게임 이론 균형 모델

게임 이론 균형 모델은 모든 다른 노드가 동일한 전략을 따를 때 합리적인 노드가 주어진 전략을 따를 경제적 인센티브가 있는지를 조사하여 비잔틴 모델의 단점을 해결하려고 한다. 보다 명확하게 말하자면, 모든 사람이 합리적이라고 가정할 때, 이 모델은 두 가지 질문을 조사한다:

1. 모든 다른 노드가 프로토콜에서 규정한 전략을 따를 경우, 내가 동일한 프로토콜 규정 전략을 수행하는 것이 최대의 경제적 이익을 가져오는가?
2. 모든 다른 노드가 동일한 프로토콜에서 벗어난 전략을 수행할 경우, 여전히 프로토콜에서 규정한 전략을 따르는 것이 나에게 가장 유리한가?

이상적으로, 프로토콜의 설계는 두 질문의 답이 모두 "예"가 되도록 해야 한다.

게임 이론 균형 모델의 고유한 단점은 외부 에이전트가 노드 행동에 영향을 미칠 수 있는 시나리오를 배제한다는 것이다. 예를 들어, 외부 에이전트는 뇌물을 설정하여 합리적인 노드가 그들이 규정한 전략에 따라 행동하도록 유도할 수 있다. 또 다른 제한은 각 노드가 독립적인 기관을 가지고 있으며, 자신의 이념이나 경제적 인센티브에 따라 어떤 전략을 취할지를 스스로 결정할 수 있다고 가정한다. 그러나 이는 노드 집합이 카르텔을 형성하기 위해 결탁하는 시나리오나, 규모의 경제가 모든 스테이킹 노드를 기본적으로 통제하는 중앙화된 실체를 만드는 것을 장려하는 시나리오를 포함하지 않는다.

뇌물 비용과 뇌물 이익 분리하기

일부 연구자들은 모든 PoS 프로토콜의 보안을 분석하기 위해 뇌물 분석 모델을 제안했지만, 아무도 이를 더 깊이 있는 분석에 사용하지 않았다. 이 모델은 먼저 두 가지 질문을 제기한다: (1) 어떤 적이 프로토콜의 보안 또는 활성화 공격을 성공적으로 수행하는 데 필요한 최소 비용은 얼마인가? (2) 적이 프로토콜의 보안 또는 활성화 공격을 성공적으로 수행함으로써 얻을 수 있는 최대 이익은 얼마인가?

문제의 적은 다음과 같을 수 있다:

• 프로토콜에서 규정한 전략을 일방적으로 벗어난 노드;
• 프로토콜을 파괴하기 위해 적극적으로 협력하는 노드 집합, 또는
• 뇌물 등의 외부 행동을 통해 많은 노드의 결정을 영향을 미치려는 외부 적;

관련된 비용을 계산하기 위해서는 뇌물로 발생하는 모든 비용, 비잔틴 전략을 실행함으로써 발생하는 경제적 처벌 등을 고려해야 한다. 마찬가지로, 이익을 계산하는 것은 포괄적이며, 성공적인 공격을 통해 얻은 프로토콜 내 보상, PoS 프로토콜 위에 위치한 DApp에서 얻은 가치, 2차 시장에서 프로토콜과 관련된 파생상품을 보유하여 얻는 이익, 공격으로 인한 변동성에서 얻는 이익 등을 포함한다.

어떤 적이 공격을 시작하는 데 드는 최소 비용(뇌물 비용)의 하한과 적이 추출할 수 있는 최대 이익(뇌물 이익)의 상한을 비교하면, 공격 프로토콜이 경제적으로 유리하다는 것을 나타낸다(참고: 이 모델은 Augur와 Kleros 분석에 사용되었다). 이는 우리에게 간단한 등식을 제공한다:

뇌물 이익 - 뇌물 비용 = 총 이익

총 이익이 양수라면, 적은 공격할 동기가 있다. 다음 섹션에서는 슬래싱을 통해 뇌물 비용을 증가시키고 총 이익을 줄이거나 제거하는 방법을 고려할 것이다. (참고로, 뇌물 이익 상한의 간단한 예는 PoS 프로토콜이 보호하는 자산의 총 가치이다. 자산 이동을 제한하는 차단기를 고려하여 더 복잡한 경계를 설정할 수 있다. 뇌물 이익 감소 및 제한 방법에 대한 자세한 연구는 이 글의 범위를 벗어난다.)

2. 슬래싱(Slashing)

슬래싱은 PoS 프로토콜에서 노드 또는 노드 집합이 주어진 프로토콜 규범과 다른 전략을 실행할 경우 경제적 처벌을 가하는 방법이다. 일반적으로 어떤 형태의 슬래싱을 시행하기 위해서는 각 노드가 사전에 일정량의 스테이크를 담보로 약속해야 한다. 슬래싱을 깊이 분석하기 전에, 우리는 슬래싱의 대안으로서 토큰 독성에 의존하는 내생 토큰을 가진 PoS 시스템을 먼저 살펴볼 것이다.

우리는 활성화 위반이 아닌 보안 위반에 대한 슬래싱 메커니즘 연구에 주로 집중할 것이다. 우리는 이 제한을 두 가지 이유로 제안한다: (1) 보안 위반은 일부 BFT 기반 PoS 프로토콜에 완전히 귀속될 수 있지만, 활성화 위반은 어떤 프로토콜에도 귀속될 수 없으며, (2) 보안 위반은 일반적으로 활성화 위반보다 더 심각하여 사용자 자금 손실을 초래할 수 있지만, 사용자가 거래를 게시하지 못하는 것과는 다르다.

슬래싱이 없으면 어떤 문제가 발생할까?

N개의 합리적인 노드(비잔틴 노드나 이타적 노드가 없음)로 구성된 PoS 프로토콜을 고려해보자. 계산을 단순하게 하기 위해, 각 노드가 동일한 양의 스테이크를 예치했다고 가정하자. 우리는 먼저 토큰 독성이 어떻게 상당한 뇌물 비용을 보장하지 못하는지를 탐구할 것이다. 문서 전반에 걸쳐 일관성을 유지하기 위해, 우리가 사용하는 PoS 프로토콜은 ⅓ 적대자 임계값을 가진 BFT 프로토콜이라고 가정하자.

토큰 독성은 충분하지 않다

일반적인 관점은 토큰 독성이 스테이킹 프로토콜을 어떤 보안 공격으로부터 보호할 수 있다는 것이다. 토큰 독성은 프로토콜이 성공적으로 공격받을 경우, 프로토콜에서 스테이킹하는 기본 토큰의 가치가 하락할 것이라는 사실을 암시하여 참여 노드가 프로토콜을 공격하는 것을 억제한다. 1/3 스테이커가 연합하는 시나리오를 고려해보자: 이러한 노드는 협력하여 프로토콜의 보안을 해칠 수 있다. 그러나 문제는 이렇게 할 경우 처벌을 받지 않을 수 있는가이다.

예치된 스테이크의 총 가치가 프로토콜의 보안성에 엄격히 의존한다면, 프로토콜 보안성에 대한 공격은 총 가치를 제로로 낮출 수 있다. 물론 실제로는 직접적으로 제로로 떨어지지 않고, 더 작은 값으로 떨어질 것이다. 그러나 토큰 독성이 가장 강력하게 작용하는 가능성을 보여주기 위해, 우리는 여기서 토큰 독성이 완벽하게 작용한다고 가정하자. 프로토콜에 대한 공격의 뇌물 비용은 공격 시스템의 합리적인 노드가 보유한 토큰으로, 이들은 모든 가치를 잃을 준비가 되어 있어야 한다.

이제 우리는 슬래싱이 없는 경우 토큰 독성을 가진 PoS 시스템에서 결탁 및 뇌물의 동기를 분석할 것이다. 외부 적이 다음과 같은 뇌물 조건을 설정한다고 가정하자:

1. 노드가 적이 지시한 전략을 수행하지만 프로토콜 공격이 성공하지 않으면, 해당 노드는 적으로부터 보상 B1을 받는다.
2. 노드가 적이 지시한 전략을 수행하고 프로토콜 공격이 성공하면, 해당 노드는 적으로부터 보상 B2를 받는다.

스테이크 S를 예치한 노드에 대해, 우리는 다음과 같은 수익 행렬을 도출할 수 있다. R은 PoS 프로토콜에 참여한 보상이다:

적이 뇌물 수익을 B1 > R 및 B2 > 0으로 설정한다고 가정하자. 이 경우, 다른 노드가 어떤 전략(주도 전략)을 취하든, 적으로부터 뇌물을 받는 보상이 해당 노드가 취할 수 있는 다른 어떤 전략보다 높다. 만약 1/3의 다른 노드가 결국 뇌물을 받기로 결정한다면, 그들은 프로토콜의 보안을 공격할 수 있다(우리가 BFT 프로토콜을 사용하고 있으며, 그 적대자 임계값이 ⅓라고 가정했기 때문이다). 현재 노드가 뇌물을 받지 않더라도, 토큰 독성(행렬의 오른쪽 상단 셀)으로 인해 토큰은 어쨌든 가치를 잃게 된다.

따라서 노드가 B2 뇌물을 받는 것은 인센티브 호환적이다. 만약 소수의 노드만 뇌물을 받는다면, 토큰은 가치를 잃지 않지만, 노드는 보상 R을 포기하는 대신 B1을 얻을 수 있다(행렬의 왼쪽 열). 만약 1/3의 노드가 뇌물을 받기로 동의하고 공격이 성공하면, 적이 지불하는 뇌물의 총 비용은 최소한 ?/3 × B2가 된다. 이는 뇌물의 비용이다. 그러나 B2의 유일한 조건은 그것이 0보다 커야 한다는 것이므로, B2는 거의 0에 가깝게 설정될 수 있으며, 이는 뇌물 비용이 무시할 수 있을 정도로 작아질 수 있음을 의미한다. 이러한 공격은 "P+ε" 공격‌으로 알려져 있다.

이러한 영향을 요약하는 한 가지 방법은, 토큰 독성이 충분하지 않다는 것이다. 왜냐하면 부정행위의 영향은 사회화되기 때문이다: 토큰 독성은 토큰의 가치를 완전히 하락시키며, 이는 좋은 노드와 나쁜 노드에 동일한 영향을 미친다. 반면, 뇌물 수익은 사유화되며, 실제로 뇌물을 받은 합리적인 노드에만 국한된다. 뇌물을 받은 사람에게는 일대일의 결과가 없으며, 즉 이 시스템은 "업보"의 유효한 버전이 없다.

토큰 독성이 항상 유효한가?

생태계에서 유행하는 또 다른 오해는 모든 PoS 프로토콜이 토큰 독성을 통해 일정 수준의 보호를 받을 수 있다는 것이다. 그러나 실제로는, 토큰 독성의 외생적 인센티브는 특정 범주의 프로토콜에 확장될 수 없다. 이러한 프로토콜에서는 스테이킹의 명목 가치로 사용되는 토큰의 가치는 안전하게 운영되는 프로토콜에 의존하지 않는다. 이러한 예로는 EigenLayer와 같은 재스테이킹(re-staking) 프로토콜이 있다. 여기서 이더리움 프로토콜에서 사용되는 ETH를 재사용하여 다른 프로토콜의 경제적 안전성을 보장한다.

EigenLayer를 사용하여 10%의 ETH를 재스테이킹하여 새로운 사이드 체인의 검증을 수행한다고 가정해보자. EigenLayer의 모든 스테이커가 사이드 체인의 안전성을 공격하여 협력적으로 부정행위를 저지르더라도, ETH의 가격은 하락할 가능성이 낮다. 따라서 토큰 독성은 재스테이킹 서비스로 이전될 수 없으며, 이는 뇌물 비용이 제로임을 의미한다.

슬래싱이 어떤 도움을 줄까?

이 섹션에서는 슬래싱이 어떻게 뇌물 비용을 크게 증가시킬 수 있는지를 두 가지 경우에 설명할 것이다:

• 뇌물 하의 분산 프로토콜;
• 토큰 독성이 이전될 수 없는 PoS 프로토콜;

뇌물 방지

프로토콜은 슬래싱을 사용하여 뇌물 공격을 시도하는 외부 적의 부패 비용을 크게 증가시킬 수 있다. 이를 더 잘 설명하기 위해, 우리는 스테이크의 체인 원주 토큰을 요구하고, 총 스테이크의 ⅓ 이상을 파괴해야만 성공적인 공격을 할 수 있는 BFT 기반 PoS 체인의 예를 고려하자(이중 서명의 형태로). 외부 적이 이중 서명을 수행하기 위해 총 스테이크의 ⅓ 이상을 뇌물로 제공할 수 있다고 가정하자. 이중 서명의 증거는 규범 분기(normative fork)에 제출될 수 있으며, 이 분기는 뇌물을 받고 이중 서명한 노드를 슬래싱한다. 각 노드가 S개의 토큰을 스테이킹하고 모든 슬래싱된 토큰이 파괴된다고 가정하면, 우리는 다음과 같은 수익 행렬을 얻는다:

슬래싱을 통해, 노드가 뇌물을 받기로 동의하고 공격이 성공하지 않을 경우, 그들의 스테이크 S는 규범 분기(행렬의 왼쪽 하단 셀)에서 슬래싱된다. 이는 이전에 슬래싱 메커니즘이 없던 뇌물 시나리오와 대조된다. 반면, 공격이 성공하더라도 노드는 규범 분기에서 스테이크 S를 잃지 않는다(행렬의 오른쪽 상단 셀). 공격이 성공하기 위해서는 총 스테이크의 ⅓가 뇌물로 제공되어야 하므로, 뇌물 비용은 최소한 ?/3 × S가 되어야 하며, 이는 슬래싱 메커니즘이 없는 경우의 뇌물 비용보다 훨씬 높다.

토큰 독성이 이전될 수 없는 경우에 대한 보호

일부 토큰 가치가 프로토콜의 보안성에 영향을 받지 않는 PoS 프로토콜에서, 토큰 독성은 이전될 수 없다. 이러한 시스템의 많은 경우, PoS 프로토콜은 다른 기본 프로토콜 위에 위치한다. 그런 다음, 기본 프로토콜은 기본 프로토콜 위에 분쟁 해결 메커니즘을 배포하여 분쟁을 해결하고, PoS 프로토콜과 관련된 노드를 슬래싱하여 PoS 프로토콜과 보안을 공유할 수 있는 권한을 부여한다.

예를 들어, PoS 프로토콜에서 비잔틴 행동이 기본 프로토콜에서 객관적으로 적대적 노드에 귀속된다면, PoS 프로토콜에서의 스테이크는 기본 프로토콜에서 슬래싱될 것이다. 이러한 PoS 프로토콜의 예로는 EigenLayer가 있으며, 이는 재스테이킹(restaking)을 특징으로 하여 다양한 검증 작업이 이더리움 기본 프로토콜로부터 보안을 얻을 수 있도록 한다. EigenLayer의 검증 작업에서 노드가 비잔틴 전략을 채택하여 비잔틴 행동이 객관적으로 귀속될 수 있다면, 해당 노드는 이더리움에서 적대적이며, 그들의 스테이크는 슬래싱될 것이다(스테이크가 얼마나 크든 상관없이).

각 노드가 S를 재스테이킹하고, 모든 슬래싱된 토큰이 파괴되며, 참여로부터 보상 R을 얻는다고 가정하면, 우리는 다음과 같은 수익 행렬을 구성한다:

우리는 모든 비잔틴 행동이 객관적으로 귀속될 수 있는 검증 작업을 고려하고 있으므로, 노드가 정직하게 행동하더라도 공격이 성공하면 해당 노드는 이더리움에서 슬래싱되지 않는다(행렬의 오른쪽 상단 셀). 반면, 뇌물을 받고 적대적 행동을 보인 노드는 이더리움에서 객관적으로 슬래싱될 것이다(행렬의 하단 행). 공격이 성공하기 위해서는 총 스테이크의 ⅓가 뇌물로 제공되어야 하므로, 뇌물 비용은 최소한 ?/3 × S가 된다.

우리는 또한 극단적인 경우를 고려한다. 즉, PoS 프로토콜의 모든 스테이크가 단일 노드에 집중되어 있는 경우이다. 이는 스테이크가 궁극적으로 중앙화될 것임을 암시하는 중요한 시나리오이다. 우리의 가정에 따르면, 재스테이킹된 토큰에는 토큰 독성이 없으므로, 슬래싱이 없다면 중앙화된 노드는 비잔틴 방식으로 운영할 수 있으며 처벌받지 않는다. 그러나 슬래싱이 있다면, 이 비잔틴 중앙화 노드는 기본 프로토콜에서 처벌받을 수 있다.

귀속 공격의 슬래싱 VS 비귀속 공격의 슬래싱

귀속 공격에 대한 슬래싱과 비귀속 공격에 대한 슬래싱 간에는 중요한 미묘한 차이가 있다. 비잔틴 내결함성 프로토콜에서 보안 결함이 발생하는 경우를 고려하자. 일반적으로, 이들은 이중 서명의 비잔틴 행동에서 발생하며, 블록체인의 보안을 약화시키기 위한 것이다. 이는 귀속 공격의 예로, 우리는 어떤 노드가 시스템의 보안을 공격했는지를 확인할 수 있다. 반면, 거래를 검열하여 블록체인의 활성화를 약화시키는 비잔틴 행동은 비귀속 공격의 예이다. 전자의 경우, 블록체인의 상태 기계에 이중 서명의 증거를 제공함으로써 알고리즘적으로 슬래싱을 수행할 수 있다.

반면, 노드가 적극적으로 검열하고 있는지 여부를 알고리즘적으로 증명할 수 없기 때문에, 거래 검열을 위한 슬래싱을 알고리즘적으로 수행할 수 없다. 이 경우, 프로토콜은 사회적 합의에 의존하여 슬래싱을 수행해야 할 수 있다. 일정 비율의 노드는 하드 포크를 실행하여 검열에 참여한 것으로 지목된 노드에 대해 슬래싱을 지정할 수 있다. 사회적 합의가 발생해야만 이러한 하드 포크는 규범 분기로 간주된다.

우리는 뇌물 비용을 보안 공격을 수행하는 데 드는 최소 비용으로 정의한다. 그러나 우리는 PoS 프로토콜의 속성 중 하나인 책임성을 필요로 한다. 즉, 프로토콜이 보안을 잃을 경우, 책임을 소수의 노드(BFT 프로토콜의 ⅓ 노드)에게 귀속시킬 수 있는 방법이 있어야 한다. 어떤 프로토콜이 책임이 있는지를 분석하는 것은 미묘한 문제임이 입증되었다(비잔틴 프로토콜의 증거에 대한 논문‌을 참조하라). 또한, 동적으로 사용 가능한 최장 체인 프로토콜(예: PoSAT‌)은 책임성이 없다는 것이 입증되었다(동적 가용성과 책임성 간의 균형 및 이러한 기본 균형을 해결하는 방법에 대한 몇 가지 방법은 이 논문‌을 참조하라).

3. 슬래싱의 함정과 완화책

모든 기술과 마찬가지로, 슬래싱도 부주의하게 구현될 경우 자체적인 위험을 초래할 수 있다:

1. 클라이언트 구성 오류/키 분실. 슬래싱의 함정 중 하나는 무고한 노드가 비의도적인 오류(예: 잘못 구성된 키 또는 분실된 키)로 인해 불균형한 처벌을 받을 수 있다는 것이다. 부주의한 오류로 인해 정직한 노드가 과도하게 슬래싱되는 것에 대한 우려를 해결하기 위해, 프로토콜은 특정 슬래싱 곡선을 채택할 수 있다. 이 곡선은 소량의 스테이크가 프로토콜과 일치하지 않을 때는 경미한 처벌을 가하고, 프로토콜과 충돌하는 전략에서 실행된 스테이크가 임계 비율을 초과할 경우에는 심각한 처벌을 가한다. 예를 들어, 이더리움 2.0은 이러한 방법을 채택하고 있다.

2. 신뢰할 수 있는 슬래싱 위협을 경량 대안으로 사용. PoS 프로토콜이 알고리즘 슬래싱을 구현하지 않은 경우, 사회적 슬래싱 위협에 의존할 수 있다. 즉, 보안 결함이 발생할 경우, 노드는 부정행위 노드가 자금을 잃는 하드 포크를 지시하는 데 동의할 것이다. 알고리즘 슬래싱과 비교할 때, 이는 상당한 사회적 조정을 필요로 하지만, 사회적 슬래싱의 위협이 신뢰할 수 있는 한, 위에서 제시한 게임 이론 분석은 알고리즘 슬래싱이 없는 프로토콜에도 계속 적용될 수 있다.

3. 활성화 결함에 대한 사회적 슬래싱은 취약하다. 사회적 슬래싱은 검증할 수 없는 공격에 대한 처벌에 필요하다. 예를 들어, 검열과 같은 활성화 결함이 있다. 이론적으로 비귀속 결함에 대해 사회적 슬래싱을 시행할 수 있지만, 새로 합류한 노드는 이러한 사회적 슬래싱이 올바른 이유(검열)로 인한 것인지, 아니면 해당 노드가 잘못 지목된 것인지 확인하기 어렵다. 귀속 결함에 대해 사회적 슬래싱을 사용할 경우, 슬래싱 소프트웨어 구현이 없더라도 이러한 모호성은 존재하지 않는다. 새로 합류한 노드는 이중 서명을 검증할 수 있기 때문에, 심지어 수동으로라도 이를 확인할 수 있다.

4. 슬래싱된 자금은 어떻게 처리할까?

슬래싱된 자금을 처리하는 두 가지 가능한 방법이 있다: 파괴와 보험.

1. 파괴: 슬래싱된 자금을 처리하는 직접적인 방법은 단순히 그것들을 파괴하는 것이다. 공격으로 인해 토큰의 총 가치가 변하지 않는다고 가정하면, 각 토큰의 가치는 비례적으로 증가하며, 이전보다 더 가치 있게 된다. 파괴는 보안 결함으로 인해 피해를 입은 당사자를 식별하지 않으며, 단순히 모든 비공격 토큰 보유자에게 혜택을 준다.

2. 보험: 슬래싱 자금 분배 메커니즘의 더 복잡한 방법은 슬래싱 발행에 대한 보험 채권을 설정하는 것이다. 블록체인에서 거래하는 고객은 잠재적인 보안 공격으로부터 자신을 보호하기 위해 이러한 보험 채권을 사전에 블록체인에서 얻을 수 있다. 보안에 위협이 되는 공격이 발생할 경우, 스테이커에 대한 알고리즘 슬래싱이 자금을 생성하며, 이는 채권 비율에 따라 보험자에게 분배될 수 있다.

5. 생태계에서의 슬래싱 현황

우리가 아는 한, Vitalik은 2014년 이 글에서 슬래싱의 이점을 처음으로 탐구했다. Cosmos 생태계는 검증자가 제안 블록에 참여하지 않거나 모호한 블록에 대해 이중 서명할 때 슬래싱을 강제하는 첫 번째 유효한 슬래싱 구현을 BFT 합의 프로토콜에 구축했다.

이더리움 2.0 또한 PoS 프로토콜에 슬래싱 메커니즘을 추가했으며, 이더리움 2.0의 검증자는 모호한 증명을 하거나 모호한 블록을 제안함으로써 처벌받을 수 있다. 슬래싱을 위반한 검증자는 이더리움 2.0의 경제적 종결성을 구현하는 방법이다. 검증자는 또한 증명이 부족하거나, 블록을 제안해야 할 시점에 제안하지 않으면 상대적으로 경미한 처벌을 받을 수 있다.

***

슬래싱 메커니즘이 없는 PoS 프로토콜은 뇌물 공격에 매우 취약하다. 우리는 뇌물 분석 모델이라는 새로운 모델을 사용하여 복잡한 뇌물 공격을 분석한 다음, 슬래싱 메커니즘이 있는 PoS 프로토콜이 정량화 가능한 반뇌물 보안을 제공한다는 것을 설명했다. 슬래싱을 PoS 프로토콜에 통합하는 데 결함이 있지만, 우리는 이러한 결함을 완화할 수 있는 몇 가지 가능한 방법을 제안했다. 우리는 PoS 프로토콜이 이 분석을 사용하여 특정 상황에서 슬래싱의 이점을 평가하기를 바라며, 이는 궁극적으로 전체 생태계의 보안을 높일 수 있다.