Škálování Layer 2 pro okamžité mikroplatby v dVPN a DePIN

Rozklad tradičních modelů VPN

Máte někdy pocit, že vaše VPN je jen elegantní způsob, jak předat svá data jinému prostředníkovi? Většina lidí si myslí, že jsou online neviditelní, jakmile kliknou na tlačítko „připojit“. Pravdou však je, že staromódní model VPN je v podstatě centralizovaný domeček z karet, který čeká, až ho sfoukne i ten nejmenší vánek.

Tradiční poskytovatelé VPN obvykle vlastní nebo si pronajímají velké shluky serverů v datových centrech. To je sice skvělé pro rychlost, ale pro skutečné soukromí je to noční můra. Pokud chce vláda nějakou službu zablokovat, jednoduše pošle známé IP adresy těchto datových center do „černé díry“ (blackhole). Je to jako snažit se schovat mrakodrap; dříve nebo později si ho někdo všimne.

Pak je tu riziko takzvaného „honeypotu“ (lákadla). Když veškerý provoz spravuje jedna firma, jediný průnik do jejich centrálního systému znamená, že data o relacích všech uživatelů jsou potenciálně volně k mání. Viděli jsme to v různých odvětvích, kde byly napadeny centralizované databáze a najednou se na dark webu objevily miliony záznamů. Služby VPN proti tomu nejsou imunní.

A o zásadách „neuchovávání logů“ (no-log policies) ani nemluvě. V podstatě jen věříte čestnému slovu generálního ředitele. Bez open-source auditů nebo decentralizované architektury nemáte šanci ověřit, co se s vašimi pakety skutečně děje, jakmile na jejich straně dorazí do rozhraní tun0 – což je virtuální tunelové rozhraní, kudy vaše data vstupují do softwaru VPN.

Přechod k decentralizovaným sítím (dVPN) není jen trend; je to nezbytnost pro přežití v éře moderní cenzury. Namísto spoléhání se na korporátní datové centrum směřujeme k DePIN (Decentralizované sítě fyzické infrastruktury). To znamená, že „uzly“ (nodes) jsou ve skutečnosti rezidenční připojení – reální lidé, kteří sdílejí část své šířky pásma.

Podle výzkumu ekosystému MEV na platformě ethereum research (2024) pomáhá přechod k decentralizovaným mempoolům a veřejným aukcím eliminovat predátorské „sandwich útoky“ a centralizační tlaky. Stejná logika platí i pro váš internetový provoz. Distribucí zátěže mezi tisíce P2P uzlů zaniká existence jediného serveru, na který by se mohl firewall zaměřit.

Každopádně tento posun k P2P je jen začátek. Dále se musíme podívat na to, jak tokenové pobídky skutečně udržují tyto uzly v chodu i bez existence jakéhokoli nadřízeného „šéfa“.

Jak fungují víceúrovňové tokenizované uzly (multi-hop relays)

Napadlo vás někdy, proč vaše datové pakety směřují přímo k VPN serveru, aby je hned nato zastavil základní firewall na hranici sítě? Je to proto, že jeden „skok“ (single hop) představuje kritický bod selhání – je to jako nosit neonový nápis v temné uličce.

Přechod na víceúrovňovou strukturu (multi-hop) zcela mění pravidla hry. Namísto jednoho tunelu se vaše data odrážejí přes řetězec nezávislých uzlů. V tokenizovaném ekosystému se nejedná o náhodné servery; jsou součástí decentralizovaného tržiště s přenosovou kapacitou, kde má každý zprostředkovatel (relay) svůj přímý ekonomický zájem na stabilitě sítě.

Při standardním nastavení výstupní uzel přesně ví, kdo jste (vaši IP adresu) a kam směřujete. Pro soukromí je to katastrofa. Multi-hop – zejména pokud je postaven na principech cibulového směrování (onion routing) – zabalí vaše data do několika vrstev šifrování.

Každý uzel v řetězci zná pouze „skok“, který mu bezprostředně předchází a který následuje. Uzel A ví, že jste něco odeslali, ale nezná konečný cíl. Uzel C (výstupní) zná cíl, ale domnívá se, že provoz pochází z uzlu B.

Tento mechanismus zabraňuje takzvanému „odposlechu výstupního uzlu“ (exit node sniffing). I kdyby někdo sledoval provoz opouštějící uzel C, nemůže jej díky prostředním vrstvám vystopovat až k vám. Pro vývojáře je tato problematika obvykle řešena specializovanými tunelovacími protokoly, jako je WireGuard, nebo vlastními implementacemi specifikací pro cibulové směrování.

Proč by ale náhodný uživatel v Berlíně nebo Tokiu nechal vaše šifrovaná data procházet přes svůj domácí router? Dříve to bylo čistě na dobrovolné bázi (jako u sítě Tor), což znamenalo nízkou rychlost. Dnes tu máme „těžbu šířky pásma“ (bandwidth mining).

Podle studie How to Remove the Relay od společnosti Paradigm (2024) může odstranění centralizovaných prostředníků výrazně snížit latenci a zabránit tomu, aby tok dat ovládal jeden „hlavní šéf“. Zatímco tato studie navrhuje odstranění uzlů pro zjednodušení procesů, dVPN (decentralizované VPN) volí mírně odlišnou cestu: nahrazují centralizovaný uzel několika decentralizovanými. Tím dosahují stejného cíle – odstranění prostředníka – při zachování soukromí, které poskytuje víceúrovňová trasa.

Je to fascinující ukázka teorie her v praxi. Vy zaplatíte několik tokenů za své soukromí a někdo s vysokorychlostním optickým připojením dostane zaplaceno za to, že po vás dokonale zamete stopy.

Dále se musíme podívat na samotnou matematiku – konkrétně na to, jak protokol „Proof of Bandwidth“ (důkaz šířky pásma) potvrzuje, že tyto uzly svou práci skutečně vykonávají a nepředstírají ji.

Technická páteř odolnosti proti cenzuře

Už jsme si řekli, proč je starý model VPN v podstatě jako děravé vědro. Teď se pojďme podívat na to, jak v praxi postavit síť, kterou nemůže jen tak vypnout nějaký úředník s firewallem.

Nejzajímavější technologií, která se v tomto segmentu aktuálně objevuje, je tiché prahové šifrování (Silent Threshold Encryption). Běžně platí, že pokud chcete něco zašifrovat tak, aby to mohla později dešifrovat skupina lidí (například výbor uzlů), potřebujete masivní a komplikovanou fázi nastavení zvanou DKG (Distributed Key Generation). Pro vývojáře je to noční můra.

My však můžeme k tomuto účelu využít stávající páry klíčů BLS – tedy ty samé, které validátoři již používají k podepisování bloků. To znamená, že uživatel může zašifrovat směrovací instrukce (nikoliv samotný obsah, který zůstává šifrován koncově neboli end-to-end) pro určitý „práh“ uzlů.

Data o směrování zůstávají skrytá, dokud se například 70 % uzlů v daném řetězci skoků (hop-chain) neshodne na jejich předání. Žádný jednotlivý uzel nemá klíč k tomu, aby viděl celou trasu. Je to jako digitální verze bankovních trezorů, které k otevření vyžadují dva klíče, s tím rozdílem, že zde jsou klíče rozptýleny mezi tucet rezidenčních routerů v pěti různých zemích.

Většina firewallů vyhledává vzorce. Pokud vidí obrovský provoz směřující k jednomu „relé“ nebo „sekvenátoru“, prostě spojení přeruší. Díky prahovému šifrování a seznamům zahrnutí (inclusion lists) odstraňujeme tento centrální „mozek“. Seznamy zahrnutí jsou v podstatě pravidla na úrovni protokolu, která říkají, že uzly musí zpracovat všechny čekající pakety bez ohledu na jejich obsah – nemohou si prostě vybírat, co budou cenzurovat.

Upřímně řečeno, toto je jediný způsob, jak si udržet náskok před hloubkovou inspekcí paketů (DPI) poháněnou umělou inteligencí. Pokud síť nemá žádné centrum, není na co zamířit pomyslné „banovací kladivo“.

V další části se podíváme na „Proof of Bandwidth“ (důkaz šířky pásma) – tedy matematiku, která potvrzuje, že tyhle uzly jen neinkasují vaše tokeny, zatímco vaše pakety hází do koše.

Ekonomické modely tržišť se sdílenou šířkou pásma

Pokud chcete vybudovat síť, která skutečně dokáže odolat firewallu na státní úrovni, nemůžete se spoléhat jen na lidskou „dobrotu“. Potřebujete nekompromisní ekonomický motor, který prokáže vykonanou práci, aniž by na pokladnu dohlížela centrální banka.

V moderních decentralizovaných VPN (dVPN) využíváme mechanismus Proof of Bandwidth (PoB – doklad o šířce pásma). Nejde o pouhý slib, ale o kryptografický systém výzvy a odpovědi. Uzel musí prokazatelně doložit, že pro uživatele skutečně přenesl X objem dat, než chytrý kontrakt uvolní jakékoli tokeny.

• Ověřování služby: Uzly v pravidelných intervalech podepisují malé pakety, takzvané „tepy“ (heartbeats). Pokud uzel deklaruje propustnost 1 Gb/s, ale dojde k nárůstu latence nebo výpadku paketů, konsenzuální vrstva mu sníží reputační skóre (tzv. slashing).
• Automatizované odměny: Díky využití chytrých kontraktů nemusí nikdo čekat na proplacení faktury. Jakmile se datový okruh uzavře, tokeny se automaticky přesunou z úschovy (escrow) uživatele do peněženky poskytovatele.
• Odolnost proti Sybil útokům: Abychom zabránili situaci, kdy někdo na jednom notebooku spustí 10 000 falešných uzlů (Sybil attack), obvykle vyžadujeme „staking“. Musíte uzamknout určité množství tokenů, abyste dokázali, že jste skutečný poskytovatel, který má v systému vlastní kapitál a může o něj přijít.

Jak bylo zmíněno v dřívějším výzkumu ekosystému MEV na portálu ethereum research (2024), tyto veřejné aukce a inkluzivní seznamy udržují systém čestný. Pokud se uzel pokusí cenzurovat váš provoz, ztratí své místo ve frontě ziskových přenosových uzlů.

Upřímně řečeno, je to prostě efektivnější způsob, jak provozovat poskytovatele internetového připojení (ISP). Proč stavět nákladné serverové farmy, když v obývacích pokojích lidí po celém světě už leží miliony nevyužitých optických linek?

Průmyslové využití: Proč na tom záleží

Předtím, než postoupíme dále, se podívejme na to, jak tato technologie reálně mění pravidla hry v různých sektorech. Rozhodně to není jen nástroj pro lidi, kteří se snaží sledovat Netflix z jiné země.

• Zdravotnictví: Kliniky mohou sdílet záznamy o pacientech mezi svými pobočkami, aniž by se musely spoléhat na jedinou centrální bránu, která by se mohla stát terčem ransomwaru. Výzkumníci sdílející citlivá genomická data využívají tokenizované uzly (relays), aby zajistili, že žádný poskytovatel internetu (ISP) ani státní aktér nebude schopen zmapovat datové toky mezi institucemi.
• Maloobchod: Malé obchody provozující P2P uzly mohou zpracovávat platby, i když dojde k výpadku hlavního poskytovatele připojení, protože jejich provoz se automaticky přesměruje přes sousední mesh síť. Globální značky mohou také ověřovat své lokalizované ceny, aniž by jim centralizované boty pro detekci proxy serverů podvrhovaly zkreslená data.
• Finance: P2P obchodní platformy využívají víceúrovňové směrování (multi-hop relays) k maskování své IP adresy. Tím brání konkurentům v takzvaném „front-runningu“, tedy předbíhání obchodů na základě geografických metadat. Kryptoměnoví obchodníci mohou odesílat objednávky do mempoolu, aniž by se stali obětí „sendvičových útoků“ ze strany botů, protože celá aukce je veřejná a přenosový uzel je plně decentralizovaný.

V další části se podíváme na to, jak si můžete sami nastavit vlastní uzel a začít s „těžbou“ (miningem) této šířky pásma.

Technický průvodce: Jak nastavit vlastní uzel

Pokud chcete přestat být pouhým spotřebitelem a stát se poskytovatelem (a začít těžit tokeny), zde je stručný a jasný návod, jak zprovoznit svůj uzel.

1. Hardware: Nepotřebujete žádný superpočítač. Nejlépe poslouží Raspberry Pi 4 nebo starší notebook s alespoň 4 GB RAM a stabilním optickým připojením k internetu.
2. Prostředí: Většina dVPN uzlů běží v prostředí Docker. Ujistěte se, že máte na svém linuxovém stroji nainstalovaný Docker a Docker Compose.
3. Konfigurace: Budete muset stáhnout (pull) obraz uzlu z repozitáře dané sítě. Vytvořte soubor .env, do kterého uložíte adresu své peněženky (kam budou chodit odměny v tokenech) a výši svého „staku“ (uzamčeného vkladu).
4. Porty: Na svém routeru musíte otevřít konkrétní porty (obvykle UDP porty pro protokol WireGuard), aby se k vám ostatní uživatelé mohli skutečně připojit. Toto je krok, na kterém se většina lidí zasekne, proto si pečlivě zkontrolujte nastavení „Port Forwarding“ (přesměrování portů) ve svém routeru.
5. Spuštění: Spusťte příkaz docker-compose up -d. Pokud vše svítí zeleně, váš uzel začne do sítě odesílat signály o aktivitě (tzv. heartbeat pings) a vy se objevíte na globální mapě poskytovatelů.

Jakmile je váš uzel aktivní, můžete v ovládacím panelu sítě sledovat své statistiky „Proof of Bandwidth“ (doklad o poskytnuté šířce pásma) a kontrolovat, jaký objem datového provozu právě zprostředkováváte.

Budoucí vyhlídky pro svobodu internetu ve světě Web3

Dostáváme se k části, na kterou se ptá úplně každý: „Bude to skutečně dostatečně rychlé pro každodenní používání?“ Je to legitimní otázka, protože nikdo nechce čekat deset sekund na načtení memu s kočkou jen proto, aby si zachoval soukromí.

Dobrou zprávou je, že „daň za latenci“ u víceúrovňového směrování (multi-hop) rychle klesá. Díky využití geografické distribuce rezidenčních uzlů můžeme optimalizovat trasy tak, aby vaše data zbytečně neputovala dvakrát přes Atlantik.

Většina zpoždění ve starých P2P sítích pramenila z neefektivního směrování a pomalých uzlů. Moderní dVPN protokoly jsou mnohem chytřejší v tom, jak vybírají další skok v síti.

• Inteligentní výběr trasy: Namísto náhodného přeskakování využívá klient sondy vážené latencí, aby našel nejrychlejší cestu skrze mesh síť.
• Akcelerace na okraji sítě (Edge acceleration): Umístěním uzlů fyzicky blíže k populárním webovým službám minimalizujeme zpoždění na „poslední míli“.
• Hardwarová akcelerace: Stále více lidí provozuje uzly na dedikovaných domácích serverech namísto starých notebooků, díky čemuž rychlost zpracování paketů dosahuje téměř limitů linky.

Tady nejde jen o anonymní stahování torrentů; jde o to vytvořit internet, který je nemožné vypnout. Když síť funguje jako živý, dýchající P2P trh, státní firewally mají problém, protože neexistuje žádný centrální vypínač, který by se dal přepnout.

Jak již bylo zmíněno, odstranění centrálního uzlu – podobně jako u posunu v mev-boost u Etherea – je klíčem k vytvoření skutečně odolného webu. Budujeme internet, kde soukromí není prémiovou funkcí, ale výchozím nastavením. Uvidíme se v mesh síti.