며칠전에 "QTUM과 이더리움의 기술 중 어느것이 더 나은가?"라는 글에 대해 댓글을 단적이 있었습니다. 

제가 남긴 댓글에 대해서 같은내용으로 보다 자세하게 설명 드리기 위하여,
아톰님꼐서 작성하신 글을 참고로 QTUM이 가진 근본적 문제점에 대해 다음과 같이 정리해 보았습니다. 

(QTUM 에 기술적 관심이 있으신 분들께 도움을 드리기 위해 글을 남기는 것이며, 투자에 영향을 미치기 위한 의도는 아님을 밝힙니다. )

[한국 이더리움 사용자 그룹  - Atomrigs 님 작성글 정리]

QTUM은 새로운 혁신이 없는 이더리움 EVM + 비트코인 UTXO + 블랙코인 POS 의 조각을  맞춘 것일 뿐인데,  왜 이런 코인을 만들어야 되는지 그 근본적인 이유가 궁금합니다. 

특히, QTUM 의 POS 합의 알고리듬은 Nothing at Stake 문제 뿐 아니라, 적은 지분으로 공격이 쉬운 보안상 취약점을 가지고 있습니다. 

1. Nothing at Stake 문제 : QTUM vs ETHEREUM

퀀텀체인은 기본적으로 "Nothing at Stake" 문제를 해결하지 못해 몰락한 블랙코인 PoS를 그대로 가져다 쓰는, 보안상 근본적인 한계를 가지고 있는 체인인데, 중요한 정보를 다룬다는 어플리케이션에서 블랙코인 PoS를 쓴다는게 전혀 이해가 되지 않습니다.  

다만, 소스코드를 살펴보면 qtum이 사용한 블랙코인 pos3.0 이란 이전소스에서 스테이킹 노드가 온라인으로 계속 남아있게 하기 위한 메카니즘은 추가 되었네요. https://github.com/qtumproject/qtum/blob/master/src/pos.cpp

Nothing at Stake 문제는 여전히 그래도 남아 있습니다.

피어코인-블랙코인 등의 pos 합의 알고리듬은 nothing at stake 문제 때문에, 체인분리가 일어날 시 노드들이 합의에 이르지 못하게 될 가능성이 매우 높습니다. 이 문제는 이더리움의 캐스퍼 pos 가 몇 년을 두고 해결하기 위해 고민해 온 핵심 주제이자 난관입니다.

pow 의 경우 체인분리가 일어날 경우, 마이너들은 분리된 체인 모두에 동일한 해시를 투여할 수가 없습니다. 둘 중에 더 긴체인일 될 확률이 높은 곳을 선택해 베팅해야 됩니다. 한쪽 체인을 채굴하면서 다른 쪽 체인을 동시에 채굴할 수 없기 때문이죠

하지만 블랙코인류의 pos 알고리듬에서는 다릅니다.

체인 분리가 일어날 경우, 양쪽 체인에 모두 밸런스가 있기 때문에 두 쪽 체인 모두에 스테이킹 할 수 있게 됩니다. 즉, 어느 쪽이 더 긴체인이 될지, 어느 쪽이 "올바른" 체인인지 선택할 필요가 없어집니다.

결국 더 긴체인을 선택하기 위한 전략적 합의가 일어나기 어려워집니다.

캐스퍼 pos 에서는 이를 해결하기 위해, pos 를 pow 처럼 에뮬레이션하자는 겁니다.

즉 잘못된 체인을 선택했을 시, 패널티를 줘서 벌을 받게 하는 겁니다. 스테이킹된 원금마저 손실될 위험을 줘서 마이너가 선택을 하게끔 하는 환경을 만드는 겁니다.

pow에서 리소스를 긴 체인에 투여해서 전략적 선택을 했을 시 잘못 선택한 경우, 해시 생산에 소비된 모든 리소스가 다 휴지가 되는 것 처럼, 캐스퍼 pos에서도 잘못된 선택에 대해서 책임을 지게 함으로써, 결국 pow 와 pos 모두 비슷한 효과를 내게 하자는 것입니다.

블랙코인이 이후 pos 코인으로서 주목받다가 급격히 인기를 상실하고 주류자리를 내준 이유가 바로 이 nothing at stake 문제를 해결하지 못했기 때문이라고 볼수 있습니다.

참고 : https://www.ddengle.com/board_free/618290

2. Nothing at stake 문제는 보안상 취약점을 동반

Nothing at stake 문제가 단순히 의도하지 않은 체인분리가 일어났을 시 합의가 어렵다는 문제뿐만 아니라 보안상에도 매우 취약하다는 점이 있습니다.

예를 들어, T 라는 체인이 있는데 2%의 지분을 보유한 공격자가, 이 T 체인에서 다른 사람에개 지불해서 물건을 받은 다음, 별도의 체인으로 포크한 F 체인에서 그밸런스를 본인에게 지불하게 한다음, 이 F 체인에만 스테이킹을 해서 전파시킨다고 가정해봅시다.

이렇게 체인이 T 와 F 로 분리되게 되면, 다른 pos 채굴자들은 어느 쪽이 이길지 모르기 때문에, 양쪽에 다 스테이킹합니다. 양 쪽에 다 동일한 밸런스가 있으므로, 추가적인 비용은 발생하지 않습니다. 

이렇게 되면 공격자의 스테이킹 2%만이 차이가 되게 되고, 결국 F체인이 2% 더 많은 스테이킹 파워가 생겨서 최종적으로 F체인이 이기게 될 가능성이 높습니다. 공격자가 2%만의 코인 장악으로도 전체내트워크를 공격할 수 있게 된다는 이야기입니다.

체인분리시 단순히 합의가 어렵다는 것이 아니라, 낮은 지분율로도 성공적인 공격이 쉬워진다는, 즉 보안성이 매우 취약해진다는 구조적인 단점이 생기게 됩니다.

3. nothing at stake 방어 방법

블랙코인류 pos 에서 nothing at stake 문제를 간접적으로 방어한 방법은 중앙화된 개발팀이 일정블럭 마다 checkpoint 를 심고, 유사시 어느 쪽이 "올바른" 체인인지 다시 checkpoint를 설정할 준비가 되어있다는 것을 보여줌으로써 완화시키기는 했습니다. 하지만 이러한 방식의 중앙화된 checkpoint는 퍼블릭체인 기반으로 지속적으로 사용되기에 적절하지 않은 것으로 봅니다.

그러나, 2014년 연말이후 대부분의 신규코인은 블랙코인류의 pos를 더 이상 컨센시스 알고리듬으로 채택하지 않았고, 새로운 대안들을 모색하기 시작했습니다. 또다른 중앙화의 위험이 있지만, dpos도 나왔고, 여러가지 종류의 BFT 변형 알고리듬들이 도입되기 시작했습니다. 텐더민트도 그 중의 하나이구요. 2015년 이더리움의 론칭 때 바로 pos 를 도입하지 못했던 것도 정확히 이런 이유 때문이었고, 현재는 casper와 여러형태의 BFT가 현단계 pos 연구의 주요 흐름이 되었습니다. 

현 단계에서 블랙코인 pos 로 되돌아가는 것은 최근 몇년간의 연구성과를 흡수하지 못한 채 다시 개념적 한계를 가진 상태에서 출발하는 것을 의미합니다. 물론 퀀텀 개발진이 새로운 솔루션을 개발해낼 수도 있고, 내년에 이더리움의 pos의 성공여부를 보고 캐스퍼로 업그레이드할 수도 있습니다. 

하지만, 현재까지 이 부분에 대한 명확한 솔루션이 없는 상태에서 퀀텀체인을 선택하는 것은 리스크가 매우 크다고 볼 수 밖에 없을 것 같습니다.

2014년 캐스퍼가 연구되기 시작한 배경과 당시의 pos가 가진 두가지 근본적인 문제, nothing at stake 와 long range attack 에 대해 블라드의 글 들이 이해에 도움이 많이 될 것 같습니다.

https://medium.com/@Vlad_Zamfir/the-history-of-casper-part-1-59233819c9a9

https://medium.com/@Vlad_Zamfir/the-history-of-casper-chapter-2-8e09b9d3b780

https://medium.com/@Vlad_Zamfir/the-history-of-casper-chapter-3-70fefb1182fc

https://medium.com/@Vlad_Zamfir/the-history-of-casper-chapter-4-3855638b5f0e

https://medium.com/@Vlad_Zamfir/the-history-of-casper-chapter-5-8652959cef58