O que Acontece Realmente Durante um Evento de Slashing de um Validador? Um Guia Passo-a-Passo

Fonte: CryptoTale Título Original: O Que Realmente Acontece Durante um Evento de Slashing de um Validador? Um Guia Passo-a-Passo Link Original: https://cryptotale.org/what-really-happens-inside-a-validator-slashing-event-a-step-by-step-guide/

As blockchains de Proof-of-Stake (PoS) dependem de validadores que fazem staking dos seus tokens e participam no processo de consenso para manter a segurança da rede. Para dissuadir má conduta e salvaguardar este sistema, muitos protocolos PoS aplicam o slashing—uma regra que remove parte do stake do validador quando este viola as condições do protocolo. Como os validadores arriscam capital real, o slashing torna ataques em larga escala economicamente irracionais.

Redes maiores como Ethereum, Cosmos e Polkadot integram o slashing diretamente na lógica do protocolo. Um evento de slashing ocorre quando um validador realiza uma ação comprovadamente inválida, como assinar dois blocos conflitantes ou ficar offline durante um período prolongado.

Este artigo de destaque explica, em passos claros, o que acontece durante um evento de slashing e como diferentes redes PoS implementam penalizações.

Má Conduta e Ofensas Passíveis de Slashing

Um evento de slashing começa quando um validador se comporta de forma inadequada. As ofensas variam entre redes, mas normalmente incluem:

• Assinatura dupla / equivoco: Um validador assina dois blocos conflitantes para o mesmo slot ou altura. No Ethereum, isto é conhecido como proposer slashing quando um validador produz dois blocos para o mesmo slot. No Polkadot, a equívoco ocorre tanto no mecanismo de produção de blocos BABE como no protocolo de finalização GRANDPA.

• Votação surround: Exclusivo do Ethereum, esta infração ocorre quando um validador submete uma atestação que envolve ou contradiz uma atestação anterior, pondo em risco a finalização.

• Tempo de inatividade/indisponibilidade: Os validadores devem permanecer online e assinar blocos. Redes como Cosmos e Secret Network penalizam validadores que falham em assinar uma grande proporção de blocos numa janela definida. A Secret Network aplica um corte de 0,01% do stake do validador se assinar menos do que o limite de blocos numa janela de 22.500 blocos (aproximadamente 42,5 horas) e coloca o nó em prisão por 10 minutos.

• Outras violações do protocolo: Algumas redes consideram ataques de longo alcance ou falhas em responsabilidades específicas do protocolo como passíveis de slashing. O Polkadot penaliza validadores por indisponibilidade e equívoco de consenso, enquanto as redes Cosmos podem adicionar mecanismos de slashing específicos do protocolo.

Em todos os casos, as penalizações de slashing dependem de provas criptográficas verificáveis. O protocolo não tenta julgar a intenção do validador; apenas verifica se as assinaturas do validador violam as regras de consenso.

Deteção e Submissão de Provas

Após a má conduta, esta deve ser detetada. A deteção pode ser automatizada ou feita por serviços terceirizados conhecidos como slashers ou whistleblowers. Por exemplo, no Ethereum e no Cosmos, cada cliente de validador monitoriza blocos e atestações recebidas e sinaliza assinaturas conflitantes. Os validadores também confiam em serviços independentes que observam a cadeia e submetem provas de infrações.

Depois de detetar a má conduta, o whistleblower constrói uma prova criptográfica. Esta prova normalmente consiste em duas assinaturas contraditórias assinadas pela mesma chave de validador para o mesmo slot ou altura. O whistleblower submete então a prova como parte de um bloco. Muitos protocolos incentivam este passo: no Polkadot, 10% do stake cortado por assinatura dupla é atribuído ao validador que reporta, enquanto noutras redes a recompensa é menor ou todo o stake cortado é queimado.

A etapa de deteção é crucial porque garante que apenas má conduta verificável ativa penalizações. Na prática, eventos de slashing normalmente resultam de erro operacional e não de ataques deliberados. Um estudo de 2025 indica que a maioria dos casos registados envolve uso indevido de chaves, bugs de software ou erros de configuração.

Verificação pela Rede

Quando as provas são incluídas num bloco, outros validadores devem verificá-las conforme as regras do protocolo. A camada de consenso verifica se as assinaturas e alturas de bloco coincidem e se ambas as mensagens não podem ser válidas em simultâneo. Se as provas passam estes testes, o evento de slashing prossegue automaticamente; não é necessária intervenção humana.

Esta verificação automática torna o slashing imparcial. O protocolo Ethereum, por exemplo, aplica penalizações de forma algorítmica e não permite que a governação as reverta. O Polkadot difere ligeiramente: uma penalização de slashing entra primeiro num estado de “unapplied slash” durante 28 dias (7 dias no Kusama), dando tempo à governação para cancelar o corte se a comunidade o considerar um erro. Contudo, uma vez aplicado, a penalização mantém-se.

Aplicação Imediata da Penalização

Após a confirmação das provas pela rede, o protocolo corta imediatamente o stake do validador, queimando ou redistribuindo parte dos tokens.

• Ethereum: Um mínimo de 1 ETH é cortado do saldo do validador por uma única infração. Se múltiplos validadores são penalizados ao mesmo tempo, a penalização cresce conforme uma penalização de correlação; um evento de slashing em massa pode destruir até 100% do saldo em staking. O ETH cortado é queimado e não pode ser recuperado.

• Cosmos e Secret Network: Assinatura dupla resulta num corte de 5% do stake do validador (e dos seus delegadores) e tombstone ao validador, banindo-o permanentemente da validação. Inatividade resulta numa penalização de 0,01% com prisão temporária.

• Polkadot: As penalizações de slashing são percentuais e escalam com a gravidade e o número de validadores envolvidos. A indisponibilidade menor começa em ~0,021% se 10% dos validadores estiverem offline e cresce até 7% quando 44% estão offline. Penalizações por equívoco podem variar de 0,01% para um incidente isolado até 100% para má conduta coordenada envolvendo um terço do conjunto de validadores. O DOT cortado é enviado para o tesouro, permitindo que a governação reverta penalizações, se necessário.

A fase de penalização pode incluir uma recompensa ao whistleblower. O Polkadot atribui 10% do DOT cortado ao validador que reporta, enquanto o Cosmos queima todos os tokens cortados. Estes incentivos promovem a monitorização e reporte ativos.

Prisão e Remoção do Conjunto de Validadores

Além das penalizações financeiras, validadores penalizados são removidos do conjunto ativo. As redes normalmente movem o validador infrator para um estado de prisão ou inativo:

• No Ethereum, a camada de consenso força o validador penalizado a sair da Beacon Chain. A partir daí, o validador deixa de ganhar recompensas e não pode voltar a validar sem passar novamente pela fila de ativação. Após esta saída forçada, o validador deve aguardar pelo atraso de levantamento de fundos do protocolo antes de poder levantar o stake remanescente.

• Cosmos/Secret Network: Um validador que assina duplamente é tombstoned permanentemente e impedido de produzir blocos. Penalizações por inatividade resultam em prisão temporária (tipicamente 10 minutos), após os quais o validador deve libertar manualmente o seu nó.

• Polkadot: Validadores penalizados entram num estado “chilled” que os remove do conjunto ativo para a próxima era de eleição. Se a penalização for não nula, o validador perde também todos os seus nominadores; terá de voltar à fila de eleições para reingressar no conjunto ativo.

Ao remover um validador do conjunto ativo, a rede previne infrações adicionais e mantém nós defeituosos fora das decisões de consenso.

Saída Forçada e Fila de Saída

O slashing frequentemente desencadeia um período de saída forçada, durante o qual penalizações adicionais podem acumular-se. O cronograma de penalizações do Ethereum ilustra bem este processo:

• Dia 1: Imediatamente após uma infração de slashing, até 1 ETH é deduzido do stake do validador.

• Dia 18: É aplicada uma penalização de correlação; esta penalização aumenta quando muitos validadores são penalizados em simultâneo.

• Dia 36: O validador é forçado a sair da rede. Durante este período, o validador permanece no registo de validadores mas já não submete atestações ou propostas de bloco. Acumula pequenas penalizações de atestação diariamente.

Após a conclusão da saída forçada, o validador terá de voltar a ingressar como se fosse novo. No Ethereum, isto requer depositar novo stake e registar novas chaves de validador, pois o índice original permanece tombstoned permanentemente.

Consequências Adicionais

Para além das penalizações financeiras e operacionais imediatas, o slashing acarreta efeitos a longo prazo:

• Dano reputacional: Validadores dependem da confiança dos delegadores. Quando ocorre um evento de slashing, muitos delegadores transferem o seu stake para outros operadores considerados mais seguros. Reconstruir essa confiança pode levar muito tempo e geralmente exige relatórios de incidentes claros, comunicação aberta e melhorias visíveis na infraestrutura do validador.

• Perdas dos delegadores: Em muitas redes, as penalizações são partilhadas com os delegadores. No Cosmos e na Secret Network, delegadores perdem 5% do stake delegado quando o seu validador assina duplamente. Também perdem uma parte proporcional das penalizações por inatividade. No Polkadot, a penalização percentual aplica-se igualmente ao validador e aos nominadores. Este risco torna a seleção de validadores uma decisão crítica para delegadores.

• Penalizações de correlação: As redes frequentemente escalam penalizações quando múltiplos validadores se comportam mal simultaneamente. O mecanismo de correlação do Ethereum pode destruir a maioria do stake de um validador se muitos forem penalizados num mesmo evento. A fórmula de slashing do Polkadot também escala conforme mais validadores cometem equívoco.

• Delays de desbloqueio: As redes PoS normalmente exigem um período de desbloqueio antes de um validador ou delegador poder levantar fundos. O período de desbloqueio do Polkadot de 28 dias (7 dias no Kusama) está alinhado com o atraso dos unapplied slashes, garantindo que o stake não pode ser levantado antes da aplicação das penalizações. No Ethereum, validadores penalizados devem esperar por um epoch levantável (256 epochs após a saída) antes dos fundos serem libertados.

Estes efeitos secundários reforçam o poder dissuasor do slashing e sublinham a necessidade de operações robustas dos validadores.

Variações Entre Redes

As blockchains de proof-of-stake seguem um fluxo de slashing semelhante a alto nível, mas os detalhes variam bastante de rede para rede.

No Ethereum, os validadores enfrentam slashing por violações de segurança como propor múltiplos blocos, submeter atestações conflitantes ou realizar surround voting. A penalização tem vários estágios: perda imediata de pelo menos 1 ETH, penalização de correlação aplicada por volta do Dia 18 se muitos validadores se comportarem mal, e saída forçada por volta do Dia 36. Todo o ETH cortado é queimado. O slashing ocorre automaticamente, não pode ser revertido pela governação e o validador precisa de reingressar com novas chaves e um novo índice.

O Cosmos e redes baseadas em tecnologia semelhante, como a Secret Network, usam níveis de penalização fixos. Além disso, assinatura dupla leva a um corte de 5% do stake do validador e tombstone permanente, enquanto inatividade prolongada acarreta um corte de 0,01% e um período de prisão curto de cerca de 10 minutos. Todos os tokens cortados são queimados e os delegadores partilham a perda proporcionalmente com o validador.

No Polkadot, o sistema diferencia indisponibilidade e equívoco. Para falhas de liveness, as penalizações escalam com a percentagem do conjunto de validadores offline, começando em cerca de 0,021% quando 10% estão em baixo e atingindo 7% quando 44% estão offline. Penalizações por equívoco variam de cerca de 0,01% para incidentes isolados até 100% do stake se pelo menos um terço dos validadores cometerem equívoco em conjunto. O DOT cortado flui para o Tesouro, permitindo à governação reverter erros, se necessário. No caso de equívoco, 10% do valor cortado recompensa o validador que reportou a infração.

Por contraste, Avalanche e Cardano evitam o slashing clássico. Dependem de sistemas de recompensas que apenas pagam aos validadores que cumprem metas de desempenho, enquanto o próprio stake permanece intocado. Estas escolhas refletem diferentes filosofias de segurança entre redes: o Ethereum usa penalizações rigorosas e sensíveis à correlação; o Cosmos prefere cortes fixos simples; o Polkadot combina penalizações em escala com verificações de governação; Avalanche e Cardano focam-se em incentivos positivos em vez de punição direta.

Boas Práticas para Validadores e Delegadores

Como muitos casos de slashing resultam de erros evitáveis, os validadores precisam de operações diárias disciplinadas. Ferramentas de proteção contra slashing, incluindo normas como EIP-3076, oferecem aos clientes uma forma segura de armazenar e mover dados de proteção. Usar nós redundantes com signatários remotos e uma gestão cuidadosa de chaves ajuda a evitar assinaturas duplas acidentais.

Manter uma alta disponibilidade também é fundamental. Validadores devem executar ferramentas de monitorização, alertas e nós sentinela para detetar falhas ou quebras de desempenho cedo. No Polkadot, mensagens heartbeat regulares mostram que um validador continua online e disponível. Manter o software do cliente atualizado reduz o risco de bugs que possam desencadear slashing. Evitar redundâncias não planeadas—como executar a mesma chave de validador em várias máquinas ao mesmo tempo—diminui a possibilidade de assinaturas conflitantes.

Os delegadores partilham o risco, pelo que também têm um papel. Devem rever a disponibilidade dos validadores, definições de comissão e histórico de slashing usando exploradores como Mintscan ou Beaconcha.in, e distribuir o seu stake por vários operadores para reduzir o impacto de qualquer incidente isolado. Em redes como Cosmos e Polkadot, onde os delegadores absorvem parte de cada penalização, é importante compreender estas regras antes de alocar capital substancial.

Conclusão

Nas redes PoS, um evento de slashing segue um caminho estruturado: um validador comete uma infração, a rede recolhe e verifica provas criptográficas, o protocolo aplica uma penalização e o validador abandona o conjunto ativo, por vezes com penalizações adicionais durante o período de saída. Embora tais eventos continuem raros, desempenham um papel fundamental no alinhamento dos incentivos dos validadores com a segurança da rede. Compreender claramente como funciona o slashing ajuda tanto validadores como delegadores a gerir risco e a contribuir para um ecossistema descentralizado mais resiliente.