Що насправді відбувається під час події слешингу валідатора? Покроковий гід

Джерело: CryptoTale
Оригінальна назва: Що дійсно відбувається під час події слешингу валідатора? Покроковий гід
Оригінальне посилання: https://cryptotale.org/what-really-happens-inside-a-validator-slashing-event-a-step-by-step-guide/

Блокчейни із доказом частки володіння (PoS) залежать від валідаторів, які стейкають свої токени та беруть участь у процесі досягнення консенсусу для підтримки безпеки мережі. Щоб запобігти недобросовісній поведінці та захистити цю систему, багато PoS-протоколів застосовують слешинг — правило, яке вилучає частину стейку валідатора у разі порушення ним умов протоколу. Оскільки валідатори ризикують реальним капіталом, слешинг робить масштабні атаки економічно невигідними.

Основні мережі, такі як Ethereum, Cosmos та Polkadot, вбудовують механізм слешингу безпосередньо у логіку протоколу. Подія слешингу відбувається, коли валідатор виконує доведено недійсну дію, наприклад, підписує два конфліктуючі блоки або залишається офлайн протягом тривалого часу.

Ця стаття покроково пояснює, що відбувається під час події слешингу та як різні PoS-мережі реалізують покарання.

Неправильна поведінка та порушення, що караються слешингом

Подія слешингу починається з неправильної поведінки валідатора. Порушення залежать від мережі, але зазвичай включають наступне:

• Двійне підписання / еквівокація: Валідатор підписує два конфліктуючі блоки для одного й того ж слоту чи висоти. В Ethereum це називається слешингом пропонента, коли валідатор створює два блоки для одного слоту. У Polkadot еквівокація трапляється як у механізмі виробництва блоків BABE, так і у протоколі фіналізації GRANDPA.

• Surround voting: Унікальне для Ethereum порушення, яке виникає, коли валідатор подає атестацію, що охоплює або суперечить попередній атестації, ставлячи під загрозу фінальність.

• Простій/недоступність: Валідатори повинні залишатися онлайн і підписувати блоки. Мережі, такі як Cosmos і Secret Network, карають тих валідаторів, які пропускають велику частину блоків у визначеному вікні. Secret Network відсікає 0.01% від стейку валідатора, якщо він підписав менше порогового числа блоків у вікні з 22,500 блоків (приблизно 42.5 години) та відправляє вузол до “в’язниці” на 10 хвилин.

• Інші порушення протоколу: Деякі мережі вважають атаки на довгих дистанціях або специфічно протокольні невиконані обов’язки порушеннями, що караються слешингом. Polkadot карає валідаторів за відсутність і консенсусну еквівокацію, тоді як мережі Cosmos можуть додавати протокол-специфічні гачки для слешингу.

У всіх випадках покарання застосовуються лише на основі доказів, підтверджених криптографічно. Протокол не намагається оцінювати наміри валідатора; він просто перевіряє, чи підписи валідатора порушують правила консенсусу.

Виявлення та подання доказів

Після виникнення неправильної поведінки вона має бути виявлена. Виявлення доказів може бути автоматичним або здійснюватися сторонніми сервісами, відомими як слешери чи “whistleblowers” (інформатори). Наприклад, в Ethereum і Cosmos кожен клієнт валідатора відстежує вхідні блоки та атестації, позначаючи конфліктуючі підписи. Валідатори також покладаються на незалежні сервіси, які стежать за ланцюгом та подають докази порушень.

Після виявлення неправильної поведінки інформатор формує криптографічний доказ. Зазвичай це дві суперечливі підписи, підписані тим самим ключем валідатора для одного й того ж слоту чи висоти. Інформатор подає доказ як частину блоку. Багато протоколів стимулюють цей крок: у Polkadot 10% від відсіченого стейку за двійне підписання винагороджується валідатору, який повідомив про порушення, тоді як в інших мережах нагорода менша або весь відсічений стейк спалюється.

Крок виявлення критично важливий, адже забезпечує, що лише підтверджувана неправильна поведінка веде до покарання. На практиці, більшість подій слешингу спричиняються помилками операторів, а не навмисними атаками. Дослідження 2025 року показує, що більшість випадків пов’язані з неправильним використанням ключів, помилками в програмному забезпеченні або помилками конфігурації.

Верифікація мережею

Коли доказ включається до блоку, інші валідатори мають перевірити його згідно з правилами протоколу. Консенсусний шар перевіряє, що підписи та висоти блоків відповідають, і що обидва повідомлення не можуть бути дійсними одночасно. Якщо доказ проходить перевірку, подія слешингу відбувається автоматично; втручання людини не потрібне.

Ця автоматична перевірка робить слешинг неупередженим. Наприклад, протокол Ethereum застосовує покарання алгоритмічно та не дозволяє керуванню скасовувати їх. У Polkadot механізм трохи відрізняється: покарання спершу потрапляє у стан “не застосованого слешу” на 28 днів (7 днів у Kusama), даючи спільноті час скасувати його, якщо воно визнається помилковим. Однак, коли слеш застосований, покарання остаточне.

Негайне застосування покарання

Після того, як мережа підтверджує докази, протокол одразу зменшує стейк валідатора, спалюючи або перерозподіляючи частину токенів.

• Ethereum: Мінімум 1 ETH відсікається з балансу валідатора за одне порушення. Якщо кілька валідаторів відсікаються одночасно, покарання зростає згідно з кореляційним штрафом; масова подія слешингу може знищити до 100% застейканого балансу. Відсічений ETH спалюється і не може бути відновлений.

• Cosmos і Secret Network: Двійне підписання призводить до 5% слешу стейку валідатора (і його делегаторів) і накладає на валідатора “надгробок” — постійну заборону на валідацію. Простій веде до штрафу 0.01% з тимчасовим “ув’язненням”.

• Polkadot: Покарання у відсотках і масштабується від тяжкості та кількості залучених валідаторів. Незначна недоступність стартує з ~0.021%, якщо офлайн 10% валідаторів, і зростає до 7% при 44% офлайн. Еквівокаційні штрафи можуть коливатися від 0.01% за поодинокі випадки до 100% за скоординовану поведінку третини валідаторів. Відсічені DOT надходять до казни, що дозволяє потенційне скасування штрафу через керування.

На цьому етапі іноді також надається винагорода інформатору. Polkadot надає 10% від відсічених DOT валідатору, який повідомив про порушення, тоді як Cosmos спалює всі відсічені токени. Такі стимули заохочують активний моніторинг і повідомлення.

“Ув’язнення” і видалення з сету валідаторів

Окрім фінансових штрафів, відсічені валідатори видаляються з активного набору. Зазвичай мережі переводять порушника у стан “ув’язнення” або неактивності:

• В Ethereum консенсусний шар примушує відсіченого валідатора покинути Beacon Chain. З цього моменту валідатор припиняє отримувати винагороди і не може повернутися до валідації без повторного проходження черги активації. Після примусового виходу валідатор має дочекатися протокольної затримки виведення, перш ніж будь-який залишок стейку стане доступним для зняття.

• Cosmos/Secret Network: Валідатор, який двічі підписав, отримує “надгробок” і назавжди виключається з виробництва блоків. Простій тягне за собою тимчасове “ув’язнення” (зазвичай 10 хвилин), після чого валідатору потрібно вручну “розблокувати” вузол.

• Polkadot: Відсічені валідатори переходять у стан “замороження”, що виключає їх з активного сету на наступну епоху виборів. Якщо штраф не нульовий, валідатор також втрачає всіх своїх номінаторів; для повернення до активного сету потрібно повторно пройти чергу виборів.

Видалення валідатора з активного сету запобігає подальшим порушенням і захищає консенсус від несправних вузлів.

Примусовий вихід і черга виходу

Слешинг часто запускає період примусового виходу, під час якого можуть накопичуватися додаткові штрафи. Графік покарання в Ethereum ілюструє цей процес:

• День 1: Одразу після порушення до 1 ETH віднімається зі стейку валідатора.

• День 18: Застосовується кореляційний штраф; цей штраф збільшується, якщо багато валідаторів відсікаються одночасно.

• День 36: Валідатора примусово виганяють з мережі. Протягом цього періоду він залишається у реєстрі валідаторів, але більше не подає атестацій чи пропозицій блоків. Кожного дня накопичуються малі штрафи за атестації.

Після завершення примусового виходу валідатор має приєднатися знову, як новачок. В Ethereum для цього потрібно внести новий стейк і зареєструвати нові ключі валідатора, оскільки оригінальний індекс валідатора назавжди отримує “надгробок”.

Додаткові наслідки

Окрім негайних фінансових і операційних штрафів, слешинг має довгострокові наслідки:

• Репутаційна шкода: Валідатори залежать від довіри делегаторів. Коли відбувається подія слешингу, багато делегаторів переміщують свій стейк до інших операторів, яких вважають безпечнішими. Відновлення довіри займає багато часу і зазвичай вимагає чітких звітів, відкритої комунікації та видимих змін у роботі валідатора.

• Втрати делегаторів: У багатьох мережах штрафи діляться між делегаторами. У Cosmos та Secret Network делегатори втрачають 5% свого делегованого стейку, якщо їхній валідатор двічі підписує. Делегатори також несуть пропорційну частку штрафу за простій. У Polkadot процентний штраф застосовується як до валідатора, так і до номінаторів. Цей ризик робить вибір валідатора критичним рішенням для делегаторів.

• Кореляційні штрафи: Мережі часто збільшують покарання, якщо одночасно порушують багато валідаторів. Кореляційний механізм Ethereum може знищити більшість стейку валідатора, якщо відсікається багато учасників за раз. Формула Polkadot для слешингу так само зростає зі збільшенням числа порушників.

• Затримки розблокування: PoS-мережі зазвичай вимагають період розблокування перед тим, як валідатор або делегатор зможе вивести кошти. У Polkadot цей період становить 28 днів (7 днів у Kusama), що співпадає із затримкою для “не застосованого слешу” та гарантує, що стейк не виведуть до застосування штрафу. В Ethereum відсічені валідатори мають дочекатися “epoch, що можна вивести” (256 епох після виходу), перш ніж кошти стануть доступними.

Ці вторинні ефекти підсилюють стримуючу силу слешингу та підкреслюють важливість надійної роботи валідаторів.

Відмінності між мережами

Ланцюги з доказом частки слідують схожому високорівневому процесу слешингу, але деталі значно різняться між мережами.

В Ethereum валідатори наражаються на слешинг за порушення безпеки, такі як пропозиція кількох блоків, подання конфліктних атестацій або виконання surround voting. Покарання має кілька етапів: негайна втрата щонайменше 1 ETH, кореляційний штраф приблизно на 18-й день при масових порушеннях, та примусовий вихід близько 36-го дня. Весь відсічений ETH спалюється. Слешинг відбувається автоматично, не може бути скасований керуванням, і валідатор має приєднатися з новими ключами та індексом.

Cosmos і споріднені мережі, такі як Secret Network, використовують фіксовані рівні штрафів. Двійне підписання призводить до 5% відсічення стейку валідатора і постійної “надгробної плити”, а тривалий простій — до 0.01% штрафу та короткого періоду “ув’язнення” близько 10 хвилин. Всі відсічені токени спалюються, а делегатори ділять втрати пропорційно з валідатором.

У Polkadot система розрізняє недоступність і еквівокацію. Для порушень живучості штрафи зростають із часткою валідаторів, що офлайн: від 0.021% при 10% офлайн до 7% при 44%. За еквівокацію штрафи варіюються від 0.01% за одиничний випадок до 100% стейку, якщо хоча б третина валідаторів еквівокує одночасно. Відсічені DOT надходять у казну, даючи можливість скасування помилкових штрафів через керування. За еквівокацію 10% від штрафу винагороджує інформатора.

На противагу цьому, Avalanche і Cardano взагалі уникають класичного слешингу. Вони використовують системи винагород, які платять лише тим валідаторам, що відповідають вимогам продуктивності, а стейк залишається недоторканим. Такі рішення відображають різні підходи до безпеки: Ethereum застосовує суворі, кореляційні штрафи; Cosmos обирає прості фіксовані відсічення; Polkadot поєднує шкальовані штрафи з контролем керування; Avalanche і Cardano роблять ставку на позитивні стимули замість прямого покарання.

Найкращі практики для валідаторів і делегаторів

Оскільки багато випадків слешингу спричиняються помилками, валідатори мають дотримуватися чітких правил роботи. Інструменти захисту від слешингу, включаючи стандарти на зразок EIP-3076, дозволяють клієнтам безпечно зберігати та переносити дані захисту. Використання резервних вузлів із віддаленими підписувачами та ретельне управління ключами допомагає уникнути випадкового двійного підписання.

Важлива також стабільна доступність. Валідатори повинні використовувати інструменти моніторингу, оповіщення та вузли-сторожі для раннього виявлення збоїв чи падіння продуктивності. У Polkadot регулярні heartbeat-повідомлення підтверджують, що валідатор онлайн і доступний. Оновлення клієнтського ПЗ зменшує ризик помилок, які можуть спричинити слешинг. Уникнення непланованої надмірності — наприклад, запуск одного ключа валідатора на кількох машинах — знижує ймовірність конфліктуючих підписів.

Делегатори також розділяють ризики, тому мають свою роль. Вони повинні перевіряти аптайм валідатора, налаштування комісій та історію слешингу через оглядачі на кшталт Mintscan чи Beaconcha.in, а також розподіляти стейк між кількома операторами, щоб знизити вплив окремих інцидентів. У мережах на кшталт Cosmos і Polkadot, де делегатори також несуть частину штрафу, важливо розуміти ці правила до внесення значного капіталу.

Висновок

У PoS-мережах подія слешингу має структурований шлях: валідатор порушує правила, мережа збирає й перевіряє криптографічні докази, протокол застосовує покарання, і валідатор залишає активний сет, іноді з додатковими штрафами під час періоду виходу. Хоча такі події рідкісні, вони відіграють ключову роль у вирівнюванні стимулів валідаторів із безпекою мережі. Чітке розуміння роботи слешингу допомагає як валідаторам, так і делегаторам керувати ризиками та підтримувати більш стійку децентралізовану екосистему.