Децентрализирано маршрутизиране и Web3 поверителност

Провалът на традиционните VPN модели

Случвало ли ви се е да изпитвате чувство, че вашият VPN е просто лъскав начин да предадете данните си на друг посредник? Повечето хора вярват, че стават невидими онлайн в момента, в който натиснат бутона "свързване", но истината е, че остарелият VPN модел е на практика централизирана къща от карти, която чака първия лек полъх, за да се срине.

Традиционните VPN доставчици обикновено притежават или наемат големи сървърни клъстери в центрове за данни (data centers). Това е отлично за скоростта, но е истински кошмар за реалната поверителност. Ако дадено правителство реши да блокира услугата, то просто поставя в "черна дупка" известните IP адреси на тези центрове за данни. Това е като да се опитваш да скриеш небостъргач – рано или късно някой ще го забележи.

Освен това съществува рискът от типа "honeypot" (примамка). Когато една компания управлява целия трафик, един пробив в централната точка означава, че данните от сесиите на всеки потребител потенциално стават лесна плячка. Виждали сме това в различни сектори, където централизирани бази данни биват хаквани и изведнъж милиони записи се озовават в "тъмната мрежа" (dark web). VPN услугите не са имунизирани срещу това.

А да не отваряме темата за политиките за "незапазване на логове" (no-log policies). При тях вие на практика се доверявате на честната дума на някой изпълнителен директор. Без одити на отворения код или децентрализирана архитектура, вие няма как реално да верифицирате какво се случва с вашите пакети, след като достигнат до техния tun0 интерфейс – виртуалният тунелен интерфейс, през който данните ви влизат в софтуера на VPN-а.

Преминаването към децентрализирани мрежи (dVPN) не е просто модна тенденция; това е необходимост за оцеляване в условията на съвременната цензура. Вместо да разчитаме на корпоративен център за данни, ние се насочваме към DePIN (децентрализирани мрежи от физическа инфраструктура). Това означава, че "възлите" (nodes) всъщност са домашни интернет връзки – реални хора, които споделят част от своята честотна лента (bandwidth).

Според изследвания на MEV екосистемата в ethereum research (2024), преминаването към децентрализирани mempool-ове и публични аукциони помага за елиминирането на хищническите "sandwich атаки" и централизиращите сили. Същата логика е валидна и за вашия интернет трафик. Чрез разпределяне на натоварването между хиляди P2P възли, за защитните стени (firewalls) вече няма един-единствен сървър, който да бъде взет под прицел.

Както и да е, този преход към P2P е само началото. Следващата стъпка е да разгледаме как токенизираните стимули всъщност поддържат тези възли работещи без наличието на централен шеф.

Разбиране на многостепенните токенизирани релета (multi-hop)

Случвало ли ви се е да се чудите защо вашите пакети данни летят директно към VPN сървър, само за да бъдат спрени от обикновена защитна стена на границата? Това е така, защото единичният „скок“ (single hop) е критична точка на отказ – все едно да носите неонов надпис в тъмна алея.

Преминаването към многостепенна конфигурация (multi-hop) променя правилата на играта изцяло. Вместо един тунел, вашите данни преминават през верига от независими възли (nodes). В една токенизирана екосистема това не са просто случайни сървъри; те са част от децентрализиран пазар на честотна лента, където всяко реле има реален икономически стимул и носи отговорност.

При стандартна настройка изходният възел (exit node) знае точно кой сте (вашия IP адрес) и накъде сте се насочили. Това е пагубно за поверителността. Многостепенното пренасочване – особено когато е изградено на принципите на луковото рутиране (onion routing) – обвива вашите данни в слоеве криптиране.

Всеки възел във веригата познава само „стъпката“ непосредствено преди и след него. Възел А знае, че сте изпратили нещо, но не знае крайната дестинация. Възел В (изходният) знае дестинацията, но мисли, че трафикът произхожда от Възел Б.

Това предотвратява т.нар. „подслушване на изходния възел“ (exit node sniffing). Дори ако някой наблюдава трафика, напускащ Възел В, той не може да го проследи обратно до вас заради междинните слоеве. За разработчиците това често се управлява чрез специализирани тунелни протоколи като WireGuard или персонализирани имплементации на спецификациите за луково рутиране.

Защо някой непознат в Берлин или Токио би позволил на вашите криптирани данни да преминат през домашния му рутер? В миналото това се основаваше изцяло на доброволен принцип (като при Tor), което означаваше ниски скорости. Днес разполагаме с „bandwidth mining“ (добив чрез споделяне на честотна лента).

Според публикацията How to Remove the Relay на paradigm (2024), премахването на централизираните посредници може значително да намали латентността и да спре „единоличния контрол“ върху потока от данни. Докато този документ предлага премахване на релетата с цел оптимизация, децентрализираните VPN мрежи (dVPN) поемат по малко по-различен път: те заменят централизираното реле с множество децентрализирани такива. Така се постига същата цел – премахване на посредника, като същевременно се запазва поверителността на многостепенния път.

Това е сложна, но елегантна проява на теорията на игрите. Вие плащате няколко токена за своята анонимност, а потребител с високоскоростна оптична връзка получава възнаграждение, за да заличи следите ви.

Следващата стъпка е да разгледаме математическата страна – по-конкретно как протоколът „Доказателство за честотна лента“ (Proof of Bandwidth) потвърждава, че тези възли не симулират дейност, а реално извършват работата.

Техническата основа на устойчивостта срещу цензура

Вече обсъдихме защо старият VPN модел напомня на пробита кофа. Сега нека се задълбочим в конкретния механизъм за създаване на мрежа, която не може просто да бъде изключена от някой отегчен чиновник с достъп до защитна стена (firewall).

Една от най-интересните технологии в това пространство в момента е праговото криптиране без разкриване (Silent Threshold Encryption). Обикновено, ако искате да криптирате нещо така, че група от хора (например комитет от мрежови възли) да може да го декриптира по-късно, е необходима сложна и тромава фаза на настройка, наречена DKG (Distributed Key Generation). За разработчиците това е истинско главоболие.

Вместо това обаче можем да използваме съществуващи BLS двойки ключове – същите, които валидаторите вече използват за подписване на блокове. Това означава, че потребителят може да криптира инструкциите за маршрутизиране (не същинското съдържание, което остава криптирано от край до край) към определен „праг“ от възли.

Данните за маршрута остават скрити, докато например 70% от възлите в тази верига от прехвърляния (hops) не се съгласят да ги предадат нататък. Нито един отделен възел не притежава ключа, за да види целия път на трафика. Това е като дигитална версия на банковите трезори, които изискват два ключа за отваряне, само че тук ключовете са разпръснати между дузина домашни рутери в пет различни държави.

Повечето защитни стени търсят специфични модели. Ако засекат огромен обем трафик, насочен към едно „реле“ (relay) или „секвентор“ (sequencer), те просто прекъсват връзката. Чрез използването на прагово криптиране и списъци за включване (inclusion lists), ние премахваме този централен „мозък“. Списъците за включване са на практика правила на ниво протокол, които задължават възлите да обработват всички чакащи пакети, независимо от съдържанието им – те нямат право да избират какво да цензурират.

Честно казано, това е единственият начин да останем крачка пред дълбоката инспекция на пакети (DPI), задвижвана от изкуствен интелект. Когато мрежата няма център, цензурата няма в какво да се прицели.

В следващата част ще разгледаме „Доказателството за честотна лента“ (Proof of Bandwidth) – математическият алгоритъм, който гарантира, че тези възли не просто прибират вашите токени, докато изхвърлят пакетите ви в кошчето.

Икономически модели на пазарите за честотна лента

Ако целта е изграждането на мрежа, която действително да устои на държавна цензура и защитни стени на национално ниво, не може да се разчита единствено на доброжелателността на участниците. Необходим е безкомпромисен и ефективен икономически двигател, който да доказва извършената работа, без да е необходима централна банка, която да следи касата.

В съвременните децентрализирани VPN мрежи (dVPN) използваме протокола Доказателство за честотна лента (Proof of Bandwidth - PoB). Това не е просто обещание на честна дума, а криптографски механизъм от тип „предизвикателство-отговор“. Всеки възел (node) трябва да докаже, че реално е прехвърлил определено количество данни (X) за даден потребител, преди смарт контрактът да освободи съответните токени.

• Верификация на услугата: Възлите периодично подписват малки пакети за проверка на активността (т.нар. „heartbeat“ пакети). Ако даден възел твърди, че предлага скорост от 1Gbps, но латентността скочи или се появи загуба на пакети, консенсусният слой автоматично намалява неговия репутационен рейтинг (slashing).
• Автоматизирани възнаграждения: Използването на смарт контракти елиминира чакането за плащания. Веднага щом сесията приключи, токените се прехвърлят от ескроу сметката на потребителя директно в портфейла на доставчика.
• Защита срещу Сибила атаки (Sybil Resistance): За да се предотврати опитът на един потребител да генерира 10 000 фалшиви възела от един лаптоп, обикновено се изисква „стейкинг“ (staking). Доставчиците трябва да заключат определено количество токени, за да докажат, че са легитимни участници, които рискуват собствен капитал при некоректно поведение.

Както беше споменато по-рано в изследването на MEV екосистемата в ethereum research (2024), тези публични аукциони и списъци за включване поддържат честността на системата. Ако даден възел се опита да цензурира вашия трафик, той губи своето място в печелившата опашка за ретранслиране на данни.

Честно казано, това е просто по-ефективен начин за управление на интернет доставчик (ISP). Защо да се изграждат огромни сървърни ферми, когато вече съществуват милиони неизползвани оптични линии в домовете на хората?

Приложения в индустрията: Защо това е от значение

Преди да обобщим, нека разгледаме как тази технология реално променя правилата на играта в различните сектори. Тя далеч не е предназначена само за хора, които искат да гледат Netflix от друга държава.

• Здравеопазване: Клиниките могат да споделят пациентски досиета между своите филиали без нуждата от единен централен шлюз, който би могъл да стане мишена за рансъмуер атаки. Изследователите, обменящи чувствителни геномни данни, използват токенизирани релета (relays), за да гарантират, че нито един интернет доставчик или държавен актьор не може да проследи потока от данни между институциите.
• Търговия на дребно: Малките обекти, поддържащи P2P възли (nodes), могат да обработват плащания дори при срив на основния интернет доставчик, тъй като трафикът им се пренасочва през съседна меш мрежа (mesh network). Глобалните брандове също могат да проверяват своите локализирани цени, без да получават фалшифицирани данни от централизирани ботове за засичане на прокси сървъри.
• Финанси: Трейдинг десковете за P2P търговия използват многостъпкови релета (multi-hop relays), за да маскират своя IP адрес. Това не позволява на конкурентите да изпреварват техните сделки (front-running), базирайки се на географски метаданни. Крипто трейдърите могат да изпращат поръчки към мемпула (mempool), без да бъдат „сандвичирани“ от ботове, тъй като търгът е публичен, а релето е децентрализирано.

В следващата част ще разгледаме как можете реално да конфигурирате собствен възел и да започнете сами да „добивате“ (mine) капацитет от тази честотна лента.

Техническо ръководство: Настройка на вашия възел (node)

Ако искате да спрете да бъдете само потребител и да започнете да действате като доставчик (печелейки токени), ето кратките и основни стъпки за пускане на активен възел в мрежата.

1. Хардуер: Не ви е необходим суперкомпютър. Raspberry Pi 4 или стар лаптоп с поне 4GB RAM и стабилна оптична връзка са напълно достатъчни.
2. Среда за работа: Повечето dVPN възли работят чрез Docker. Уверете се, че имате инсталирани Docker и Docker Compose на вашата Linux машина.
3. Конфигурация: Трябва да изтеглите (pull) изображението (image) на възела от хранилището на мрежата. Създайте .env файл, в който да съхраните адреса на вашия портфейл (където ще се получават токените) и сумата на вашия „стейк“ (stake).
4. Портове: Трябва да отворите специфични портове на вашия рутер (обикновено UDP портове за WireGuard), за да могат другите потребители реално да се свързват към вас. Това е стъпката, при която повечето хора срещат затруднения, затова проверете настройките за „Port Forwarding“ на вашия рутер.
5. Стартиране: Изпълнете командата docker-compose up -d. Ако всичко е наред (индикаторите са зелени), вашият възел ще започне да изпраща сигнали (heartbeat pings) към мрежата и ще се появите на глобалната карта.

След като сте онлайн, можете да следите своите показатели за „Доказателство за капацитет“ (Proof of Bandwidth) чрез контролния панел на мрежата, за да виждате какъв обем трафик препредавате.

Бъдещи перспективи за интернет свободата в Web3

Стигнахме до момента, в който всеки пита: „Ще бъде ли това достатъчно бързо за ежедневна употреба?“. Това е основателен въпрос, защото никой не иска да чака десет секунди, за да зареди някое забавно видео, само за да запази поверителността си.

Добрата новина е, че „данъкът върху латентността“ при многоскоковото маршрутизиране (multi-hop) намалява бързо. Чрез използването на географското разпределение на резидентните възли (nodes), можем да оптимизираме пътищата така, че данните ви да не прекосяват излишно Атлантическия океан два пъти.

Повечето закъснения в старите P2P мрежи произтичаха от неефективно маршрутизиране и бавни възли. Съвременните dVPN протоколи стават все по-интелигентни при избора на следващия скок в мрежата.

• Интелигентен избор на път: Вместо произволно прехвърляне на трафика, клиентът използва сонди, претеглени спрямо латентността, за да намери най-бързия маршрут през мрежата.
• Периферно ускорение (Edge acceleration): Чрез физическото разполагане на възлите по-близо до популярни уеб услуги, намаляваме забавянето в „последната миля“.
• Хардуерно разтоварване: Тъй като все повече хора управляват възли на специализирани домашни сървъри вместо на стари лаптопи, скоростта на обработка на пакети достига нива, близки до капацитета на самата линия.

Тук не става въпрос само за скриване на торент трафика ви; става въпрос за изграждане на интернет, който е невъзможно да бъде изключен. Когато мрежата представлява жива, дишаща P2P икономика, държавните защитни стени се затрудняват, защото няма централен прекъсвач, който да бъде натиснат.

Както споменахме по-рано, премахването на централизираното реле — подобно на промяната в MEV-boost при Ethereum — е ключът към една наистина устойчива мрежа. Изграждаме интернет, в който поверителността не е платена екстра, а настройка по подразбиране. Ще се видим в мрежата.