Diretor de Tecnologia Emérito da Ripple Responde a Alegações de Centralização do XRP Ledger

David "JoelKatz" Schwartz, CTO Emérito da Ripple, rebateu as alegações de que o XRP Ledger (XRPL) é efetivamente centralizado, depois de Justin Bons, fundador e CIO da Cyber Capital, argumentar que a estrutura da Lista de Nós Únicos (UNL) do XRPL torna os validadores "permissionados" e dá às entidades alinhadas com a Ripple "poder absoluto e controlo sobre a chain".

A troca, desencadeada por uma thread mais ampla de Bons apelando à indústria para "rejeitar todas as 'blockchains' centralizadas", rapidamente se reduziu a uma disputa técnica sobre o que os validadores XRPL podem e não podem fazer na prática e o que "controlo" significa num sistema que depende de listas de validadores curadas em vez de Proof of Work (PoW) ou Proof of Stake (PoS).

A Alegação de Centralização do XRP Ledger

Na sua thread, Bons agrupou a Ripple juntamente com Canton, Stellar, Hedera e Algorand como redes com elementos permissionados ou semi-permissionados. A sua acusação específica ao XRPL foi direta: como os nós XRPL normalmente dependem de uma UNL publicada, "qualquer divergência desta lista publicada centralmente causaria um fork", o que na sua opinião concentra o poder nas mãos de quem publica essa lista.

Bons enquadrou-o como uma questão binária: "ou é totalmente sem permissão ou não é" e argumentou que mesmo a permissão parcial é um obstáculo. Ele também estendeu a crítica a uma tese mais ampla de adoção institucional: os bancos e as instituições estabelecidas podem preferir ambientes controlados, mas "essas instituições ficarão para trás", enquanto os "nativos cripto" ganham ao construir e usar sistemas totalmente sem permissão.

A refutação inicial de Schwartz atacou a lógica do enquadramento de "poder absoluto" de Bons. "'…efetivamente dando à Fundação Ripple e à empresa poder absoluto e controlo sobre a chain…'" escreveu Schwartz, chamando-o de "objetivamente absurdo como alegar que alguém com a maioria do poder de mineração pode criar mil milhões de bitcoins".

Bons respondeu que não estava a alegar manipulação de oferta ou roubo de fundos, mas insistiu que a influência maioritária ainda pode importar. "Eles também não podem roubar fundos, mas poderiam potencialmente fazer double-spend e censurar", disse Bons. "O que, novamente, é exatamente o mesmo se alguém controlasse a maioria do poder de mineração em BTC". Ele então sugeriu que debatessem ao vivo num podcast.

Schwartz rejeitou a equivalência em termos mecânicos, enfatizando que os nós XRPL não aceitam censura ou comportamento de double-spend simplesmente porque um validador o diz. "Isso não é verdade. XRPL e BTC não funcionam da mesma forma", escreveu Schwartz. "Você conta o número de validadores que concordam com o seu nó e o seu nó não concordará em fazer double-spend ou censurar a menos que você, por alguma razão, queira isso".

Ele continuou o argumento em múltiplas publicações, apoiando-se numa intuição simples: um validador desonesto não é um oráculo; é apenas um voto. "Se um validador tentasse fazer double-spend ou censurar, um nó honesto simplesmente contá-lo-ia como um validador com o qual não concordou".

Como Schwartz Descreve o Verdadeiro Ataque

Schwartz reconheceu que ainda existe um modo de falha, mas descreveu-o como um problema de disponibilidade em vez de um cenário de roubo ou double-spend. "Os validadores poderiam conspirar para parar a chain do ponto de vista de nós honestos", disse ele. "Mas esse é o equivalente no XRPL de um ataque de maioria desonesta, exceto que eles nunca conseguem fazer double-spend. A solução é escolher uma nova UNL, tal como com BTC seria necessário escolher um novo algoritmo de mineração".

Ele também argumentou que o registo empírico importa, contrastando o XRPL com outras redes importantes. "A evidência prática conta esta história", escreveu Schwartz. "As transações são discriminadas o tempo todo em BTC. As transações são maliciosamente reordenadas ou censuradas o tempo todo em ETH. Nada assim jamais aconteceu com uma transação XRPL e é difícil imaginar como poderia".

Schwartz posteriormente apresentou uma explicação mais detalhada do modelo de consenso do XRPL, enfatizando rondas de "consenso ao vivo" rápidas—"a cada cinco segundos"—onde os validadores votam se uma transação é incluída agora ou adiada para a próxima ronda. Nesse enquadramento, o requisito fundamental do sistema não é a confiança cega nos validadores, mas o acordo sobre se uma transação foi vista antes de um limite.

Ele argumentou que o XRPL precisa de uma UNL por duas razões: para evitar que um atacante crie validadores ilimitados que forcem trabalho excessivo, e para evitar que os validadores simplesmente não participem de uma forma que torne o consenso impossível de medir. "É só isso. Não há controlo ou governança aqui além de coordenar a ativação de novas funcionalidades", escreveu Schwartz, acrescentando que os validadores não podem forçar um nó a aplicar regras para as quais não tem código.

Schwartz concluiu com um raciocínio mais longo e invulgarmente franco: que a arquitetura do XRPL foi intencionalmente construída para reduzir a capacidade da Ripple de cumprir exigências de censura, mesmo que a própria Ripple quisesse ser confiável.

"Concebemos cuidadosa e intencionalmente o XRPL para que não pudéssemos controlá-lo", escreveu ele. "A Ripple, por exemplo, tem de honrar ordens judiciais dos EUA. Não pode dizer não… Decidimos absoluta e claramente que NÃO QUERÍAMOS controlo e que seria para nosso próprio benefício não ter esse controlo".

Ele acrescentou um argumento de incentivo direto: mesmo que a Ripple pudesse censurar ou fazer double-spend, usar esse poder destruiria a confiança no XRPL e, portanto, destruiria a utilidade da rede. "E a melhor maneira de poder dizer 'não' é ter de dizer 'não' porque não se pode fazer a coisa pedida", escreveu Schwartz.

No momento da publicação, XRP era negociado a $1,3766.