Перейти к основному контенту

Технология распределенного валидатора

Технология распределенного валидатора (DVT) — это подход к безопасности валидатора, который распределяет управление ключами и обязанности по подписанию между несколькими сторонами, чтобы уменьшить количество единых точек отказа и повысить отказоустойчивость валидатора.

Это делается путем разделения приватного ключа, используемого для защиты валидатора, между множеством компьютеров, объединенных в «кластер». Преимущество этого заключается в том, что злоумышленникам становится очень сложно получить доступ к ключу, поскольку он не хранится целиком ни на одной машине. Это также позволяет некоторым узлам отключаться от сети, так как необходимое подписание может быть выполнено подмножеством машин в каждом кластере. Это уменьшает количество единых точек отказа в сети и делает весь набор валидаторов более надежным.

A Diagram showing how a single validator key is split into key shares and distributed to multiple nodes with varying components.

Зачем нам нужна DVT?

Безопасность

Валидаторы генерируют две пары открытых и приватных ключей: ключи валидатора для участия в консенсусе и ключи вывода для доступа к средствам. В то время как валидаторы могут хранить ключи вывода в холодном хранилище, приватные ключи валидатора должны быть в сети 24/7. Если приватный ключ валидатора скомпрометирован, злоумышленник может получить контроль над валидатором, что потенциально может привести к слэшингу или потере ETH стейкера. DVT может помочь снизить этот риск. Вот как это работает:

Используя DVT, стейкеры могут участвовать в стейкинге, сохраняя приватный ключ валидатора в холодном хранилище. Это достигается путем шифрования исходного полного ключа валидатора и последующего его разделения на доли ключа. Доли ключа находятся в сети и распределяются между несколькими узлами, которые обеспечивают распределенную работу валидатора. Это возможно, поскольку валидаторы Эфириума используют BLS-подписи, которые являются аддитивными, что означает, что полный ключ можно восстановить путем суммирования его составных частей. Это позволяет стейкеру надежно хранить полный исходный «мастер-ключ» валидатора в автономном режиме.

Отсутствие единых точек отказа

Когда валидатор разделен между несколькими операторами и несколькими машинами, он может выдерживать отдельные аппаратные и программные сбои без отключения от сети. Риск сбоев также можно снизить за счет использования различных аппаратных и программных конфигураций на узлах в кластере. Такая отказоустойчивость недоступна для конфигураций валидатора с одним узлом — она обеспечивается уровнем DVT.

Если один из компонентов машины в кластере выходит из строя (например, если в кластере валидатора четыре оператора, и один из них использует определенный клиент с ошибкой), остальные гарантируют, что валидатор продолжит работу.

Децентрализация

Идеальный сценарий для Эфириума — иметь как можно больше независимо управляемых валидаторов. Однако несколько провайдеров стейкинга стали очень популярными и на их долю приходится значительная часть всех застейканных ETH в сети. DVT может позволить этим операторам существовать, сохраняя при этом децентрализацию стейка. Это связано с тем, что ключи для каждого валидатора распределены между множеством машин, и для того, чтобы валидатор стал вредоносным, потребовался бы гораздо больший сговор.

Без DVT провайдерам стейкинга проще поддерживать только одну или две конфигурации клиентов для всех своих валидаторов, что увеличивает влияние ошибки клиента. DVT можно использовать для распределения риска между несколькими конфигурациями клиентов и различным оборудованием, создавая отказоустойчивость за счет разнообразия.

DVT предлагает Эфириуму следующие преимущества:

  1. Децентрализация консенсуса доказательства доли владения (PoS) Эфириума
  2. Обеспечение живучести сети
  3. Создание отказоустойчивости валидатора
  4. Работа валидатора с минимальным доверием
  5. Минимизация рисков слэшинга и простоев
  6. Улучшение разнообразия (клиент, дата-центр, местоположение, регулирование и т. д.)
  7. Повышенная безопасность управления ключами валидатора

Как работает DVT?

Решение DVT содержит следующие компоненты:

  • Схема разделения секрета Шамира (opens in a new tab) — валидаторы используют BLS-ключи (opens in a new tab). Отдельные «доли ключа» BLS могут быть объединены в единый агрегированный ключ (подпись). В DVT приватный ключ для валидатора — это комбинированная BLS-подпись каждого оператора в кластере.
  • Схема пороговой подписи (opens in a new tab) — определяет количество отдельных долей ключа, необходимых для выполнения обязанностей по подписанию, например, 3 из 4.
  • Распределенная генерация ключей (DKG) (opens in a new tab) — криптографический процесс, который генерирует доли ключа и используется для распределения долей существующего или нового ключа валидатора между узлами в кластере.
  • Многосторонние вычисления (MPC) (opens in a new tab) — полный ключ валидатора генерируется в секрете с использованием многосторонних вычислений. Полный ключ никогда не известен ни одному отдельному оператору — они знают только свою собственную часть (свою «долю»).
  • Протокол консенсуса — протокол консенсуса выбирает один узел в качестве предлагающего блок. Он делится блоком с другими узлами в кластере, которые добавляют свои доли ключа к агрегированной подписи. Когда будет агрегировано достаточное количество долей ключа, блок предлагается в Эфириуме.

Распределенные валидаторы имеют встроенную отказоустойчивость и могут продолжать работу, даже если некоторые из отдельных узлов отключаются от сети. Это означает, что кластер устойчив, даже если некоторые из узлов в нем окажутся вредоносными или неактивными.

Варианты использования DVT

DVT имеет важные последствия для индустрии стейкинга в целом:

Соло-стейкеры

DVT также делает возможным некастодиальный стейкинг, позволяя вам распределять ваш ключ валидатора между удаленными узлами, сохраняя при этом полный ключ полностью в автономном режиме. Это означает, что домашним стейкерам не обязательно тратиться на оборудование, а распределение долей ключа может помочь защитить их от потенциальных взломов.

Стейкинг как услуга (SaaS)

Операторы (такие как пулы для стейкинга и институциональные стейкеры), управляющие множеством валидаторов, могут использовать DVT для снижения своих рисков. Распределяя свою инфраструктуру, они могут добавить избыточность в свои операции и разнообразить типы используемого оборудования.

DVT разделяет ответственность за управление ключами между несколькими узлами, что означает, что некоторые эксплуатационные расходы также могут быть разделены. DVT также может снизить операционные риски и расходы на страхование для провайдеров стейкинга.

Пулы для стейкинга

Из-за стандартных настроек валидатора пулы для стейкинга и провайдеры ликвидного стейкинга вынуждены иметь разные уровни доверия к одному оператору, поскольку прибыли и убытки распределяются по всему пулу. Они также полагаются на операторов в вопросе защиты ключей подписания, потому что до сих пор у них не было другого выбора.

Несмотря на то, что традиционно предпринимаются усилия по распределению рисков путем распределения стейков между несколькими операторами, каждый оператор по-прежнему самостоятельно управляет значительным стейком. Зависимость от одного оператора создает огромные риски, если он работает неэффективно, сталкивается с простоями, подвергается компрометации или действует злонамеренно.

За счет использования DVT доверие, требуемое от операторов, значительно снижается. Пулы могут позволить операторам удерживать стейки без необходимости хранения ключей валидатора (поскольку используются только доли ключа). Это также позволяет распределять управляемые стейки между большим количеством операторов (например, вместо одного оператора, управляющего 1000 валидаторами, DVT позволяет совместно управлять этими валидаторами нескольким операторам). Разнообразные конфигурации операторов гарантируют, что если один оператор выйдет из строя, другие все равно смогут выполнять аттестацию. Это приводит к избыточности и диверсификации, что повышает производительность и отказоустойчивость, одновременно максимизируя вознаграждения.

Еще одним преимуществом минимизации доверия к одному оператору является то, что пулы для стейкинга могут обеспечить более открытое и общедоступное участие операторов. Делая это, сервисы могут снизить свои риски и поддержать децентрализацию Эфириума, используя как курируемые, так и общедоступные наборы операторов, например, объединяя домашних или более мелких стейкеров с более крупными.

Потенциальные недостатки использования DVT

  • Дополнительный компонент — внедрение узла DVT добавляет еще одну часть, которая может быть неисправной или уязвимой. Способ смягчить это — стремиться к множественным реализациям узла DVT, то есть к нескольким клиентам DVT (подобно тому, как существует несколько клиентов для уровней консенсуса и исполнения).
  • Эксплуатационные расходы — поскольку DVT распределяет валидатор между несколькими сторонами, для работы требуется больше узлов вместо одного, что приводит к увеличению эксплуатационных расходов.
  • Потенциально увеличенная задержка — поскольку DVT использует протокол консенсуса для достижения консенсуса между несколькими узлами, управляющими валидатором, это потенциально может привести к увеличению задержки.

Дополнительная литература