Cómo Funciona la Confianza en Stellar

Este blog es parte de una serie en curso sobre el progreso realizado en el plan de ruta 2025 y las iniciativas clave que estamos impulsando para mejorar la usabilidad, expandir la adopción y fortalecer el ecosistema Stellar.

Este artículo describe cómo Stellar Development Foundation (SDF), que opera tres nodos validadores de alta disponibilidad de la red Stellar, decide qué otras organizaciones validadoras agregar a nuestra configuración de confianza. Además de proporcionar transparencia sobre cómo SDF evalúa a los participantes de la red, sirve como un tipo de guía para otras organizaciones interesadas en ejecutar sus propios validadores. Todos los validadores necesitan pensar en su propia configuración; ver cómo lo hacemos puede ayudarte a comenzar.

La red Stellar utiliza Stellar Consensus Protocol (SCP) para llegar a un acuerdo sobre un nuevo conjunto de transacciones para aplicar al libro mayor actual con el fin de obtener un nuevo libro mayor. A diferencia de otros mecanismos de consenso, SCP requiere que cada nodo participante de Stellar Core (también llamado nodo validador) configure el conjunto de otros nodos a consultar al determinar la validez de un conjunto de transacciones. Al definir esa configuración, los operadores de validadores deciden en qué otros validadores confiar. ¿Cómo lo hacen?

Típicamente, configuran sus nodos basándose en el conocimiento de las organizaciones del mundo real que participan en la red Stellar. Eligen un conjunto de organizaciones que cumplen con sus requisitos de confianza, y SCP garantiza que su nodo no acordará aplicar un nuevo conjunto de transacciones a menos que un número suficiente de los nodos en ese conjunto acuerde aplicar el mismo conjunto de transacciones. Esta flexibilidad de confianza definida por el usuario permite una membresía de red abierta, lo que significa que cualquiera puede crear un nodo en la red Stellar, y control descentralizado, lo que significa que ninguna autoridad central dicta cuyo voto es necesario para el consenso.

Pero, ¿qué pasa si un operador de nodo decide confiar en validadores de una organización poco fiable o no confiable? Los nodos del operador pueden detenerse si demasiadas de sus organizaciones de confianza se caen, o incluso pueden bifurcarse del resto de la red si sus organizaciones de confianza deciden bifurcarse por su cuenta. Estos problemas podrían desencadenar un apagón en toda la red si se ven afectados demasiados nodos altamente confiables. Por lo tanto, los operadores de nodos, especialmente los altamente confiables que son confiados por otros, tienen el deber de seleccionar cuidadosamente a quién confían.

A continuación, describimos el enfoque de SDF para tomar decisiones de configuración. Otros pueden elegir seguir su propio método diferente para determinar en quién confiar.

Para decidir en qué nodos confiar e incluir en nuestra configuración de quórum, SDF evalúa a los candidatos potenciales en estas ocho dimensiones.

Estas dimensiones forman un marco ortogonal que describe la contribución de una organización validadora a la salud de la configuración de quórum de SDF. Exploremos el impacto de cada una de estas dimensiones.

El impacto potencial de las dimensiones no es equivalente. Para cada dimensión, podemos imaginar un rango de escenarios, que son simplemente situaciones potenciales y sus resultados. Gravedad es una función de impacto (qué tan malo es un escenario) y probabilidad (¿cuáles son las chances de que esto suceda?).

En SDF usamos una matriz de estimación de riesgos como la clasificación de riesgo de OWASP para determinar la gravedad:

La gravedad es cómo podemos comparar fácilmente escenarios. Por ejemplo, considera los siguientes escenarios (“crítico” vs “bajo”):

• Organizaciones que tienen un mal historial en mantener las mejores prácticas de seguridad, la probabilidad de que todos sus validadores sean secuestrados para ejecutar una versión pícaro del protocolo se vuelve “Alta”, lo que combinado con el impacto que también es “Alto” (si demasiados validadores se ven afectados, la red se bifurca a la versión pícaro) podría crear una situación de gravedad “Crítica”.
• Organizaciones tienen muchos de sus validadores ubicados en la misma región. Un terremoto causa que todos los centros de datos en esa región pierdan energía (probabilidad “Baja”). En una situación como esta, la red se detendría hasta que se restablezca la energía o los operadores de validadores inicien validadores de reemplazo en una región diferente en cuestión de horas (el impacto es “Medio”). Por lo tanto, la gravedad general es “Baja”.

Un concepto clave relacionado es correlación, específicamente correlación de fallos. El segundo ejemplo anterior demuestra cómo un fallo correlacionado en la dimensión de geolocalización física puede desencadenar muchos fallos de organización.

El antídoto para la correlación es diversidad. De nuevo, usando ese segundo ejemplo para ilustrar, al asegurar que los centros de datos que alojan organizaciones estén en ubicaciones diversas, podemos reducir el impacto de cualquier corte de energía en nuestro centro de datos en nuestra configuración de quórum general. Esta es la intuición detrás de la descentralización: redundancia ante fallos potencialmente correlacionados.

Una enumeración exhaustiva de escenarios está fuera del alcance de este artículo, pero al simular tales escenarios, podemos construir una imagen de la importancia de cada dimensión. Aquí está la lista de dimensiones en orden decreciente de prioridad y ejemplo de amenaza:

Cualquier organización que ejecute validadores necesita pensar en lo que tiene sentido para su negocio, y desarrollar y aplicar un marco para determinar sus configuraciones de confianza. En SDF, estamos enfocados en el crecimiento del ecosistema y la salud de la red, y por lo tanto, cuando decidimos agregar nuevos validadores a nuestra configuración de quórum es porque queremos aumentar la resiliencia de la red agregando diversidad en una o más de las dimensiones enumeradas anteriormente. Una vez que hemos decidido que es momento de considerar agregar un nuevo validador, usamos las 8 dimensiones descritas anteriormente para evaluar a los candidatos potenciales por:

1. Evaluar la organización en cada dimensión.
2. Prestar atención a las dimensiones más importantes.
3. Considerar si esa organización mejora la diversidad en algunas dimensiones, en relación con la configuración de quórum existente de los nodos validadores de SDF.
4. Hacer un juicio final, apuntando a aumentar la diversidad donde sea posible.

En algún momento, podríamos determinar una fórmula para medir contra las 8 dimensiones pero por ahora, hacemos algo un poco más desordenado: tenemos humanos que revisan, toman notas, discuten sus hallazgos y llegan a un consenso sobre una recomendación. Hasta ahora, hemos podido llegar a una decisión clara sobre si los validadores en consideración cumplen con los requisitos de confianza necesarios para ser incluidos en nuestra configuración de quórum.

Al ilustrar las consideraciones clave que ayudan a SDF a decidir en quién confiar al configurar sus validadores, esperamos brindarte una idea de cómo funciona Stellar, cómo SDF piensa en nuestro papel como validador y en qué deberías pensar si estás ejecutando tus propios validadores. Por supuesto, cada operador de nodo tomará sus propias decisiones independientes sobre en quién confiar, basadas en sus propios criterios. Al presentar nuestro enfoque, nuestro objetivo es proporcionar transparencia en torno a las decisiones de confianza propias de SDF, y esperamos proporcionar cosas a considerar para otros operadores de red mientras configuran su propio quórum para que juntos construyamos una red más confiable y digna de confianza.

Este artículo fue co-escrito por Eric Saunders, Giuliano Losa, Anup Pani y Nicolas Barry.

Finalidad Impuesta por el Emisor puede ser una consideración adicional para los operadores de nodos que quieren una garantía de nunca bifurcarse de ciertos emisores de activos.

OWASP significa Proyecto de Seguridad de Aplicaciones Abiertas Mundiales, y es una fundación sin fines de lucro que trabaja para mejorar la seguridad del software.