ETH2.0 都要来了你还不知道 Casper 吗？(二)

在上篇文章中，我们介绍了Vitalik原始论文中的Casper FFG，其借助PoS对PoW产生的区块进行确认来提高系统的安全性，但这只是一种过渡的方案，在以太坊2.0中会使用一个纯PoS的Casper协议，这篇文章中将为大家介绍在以太坊2.0中将要使用的Casper协议。

如何成为Validator

首先我们看看以太坊2.0的架构是什么样子，如图1所示，在以太坊2.0中会有一条称之为Beacon chain的主链，其通过PoS的Casper产生。在beacon chain下，存在1024个分片，每个分片可以独立地处理数据。

图1 以太坊2.0架构

从图1可以看出，以太坊2.0和以太坊1.0将会是两条链，在2.0分片实现之后，1.0将作为以太坊2.0的一个分片继续运行。在上一篇文章中，我们介绍过可以通过抵押stake成为Validator参与到PoS共识中，为了使以太坊平稳得过度到2.0，如何通过抵押以太坊1.0中的stake成为以太坊2.0中的Validator是Casper需要解决的一个重要问题。

在以太坊2.0中，原有的用户可以通过抵押以太坊1.0中的ETH成为Validator，参与到2.0的PoS中，并且可以通过赎回操作，在2.0的以太坊中取回代币。这里需要注意的是，以太坊1.0和2.0中的代币并不相同，用户抵押的是1.0中的ETH（烧毁ETH），赎回的是2.0中的代币（铸造新的token）。

用户想要成为Validator，首先要向以太坊1.0中的一个特殊合约发送一笔交易抵押一定数量的ETH（目前最小值为32ETH），然后用户会得到关于这笔交易的一个证明。用户通过向以太坊2.0展示这个证明，在验证通过后成为Validator，如图2所示：

图2 抵押以太坊1.0中的ETH成为以太坊2.0中的Validator过程

为了验证用户抵押交易的正确性，以太坊2.0中需要保存当前以太坊1.0中的区块信息、抵押合约中当前所有交易构成的Merkle的根哈希<root>，用户向以太坊2.0展示其抵押交易，以及该抵押交易到<root>完整的Merkle树的证明，就可以验证这币交易的合法性。通过验证的用户成为以太坊2.0中的Validator。

以太坊2.0中Capser的出块过程

在上一篇文章中，我们介绍的Casper是通过PoW进行出块，使用PoS对区块进行最终的确定。因此，纯PoS的Casper一个需要解决的问题是如何产生区块。在正式介绍协议过程前，我们先明确几个定义：

• Validators 集合： V = V1 … Vn，假设每个Validator拥有相同的stake；
• slot：基本的时间单位，目前设定为6s；
• epoch：64个slot组成一个epoch；
• 随机数生成器：根据需要产生一个随机数；

在明确了上述的定义之后我们来进一步描述以太坊2.0中的Capser出块过程，如图3所示。

图3 以太坊2.0中Casper共识过程

1、每一个epoch开始，通过随机数生成器产生随机数，将Validator集合V平均分为64份，得到S1、S2，…，S64。

2、在一个epoch中，每一个slot i根据步骤1中产生的随机数，选取Si中的一个Validator提交一个候选区块，在slot i中提交候选区块的Validator写作proposer_i，提交的候选区块写作B_i。

3、对于每一个slot i，Si中除 proposer_i 外的剩余Validator对 B_i 进行投票，该投票写作attestation。

4、在每一个slot i中， proposer_i 负责将上一个slot中的attestation信息打包到当前slot的候选区块中。即

5、对于每一个slot i，Si中除 proposer_i 外的剩余Validator在收到了slot i的block（B_i）或等待了3s后，其公布一个在他看来的当前链的头部。

LMD GHOST（Lastest Message Driven GHOST）

至此，我们介绍了Casper如何进行出块以及Validator对于候选区块的投票过程。需要注意的是，上文中提及到Validator需要对在它看来为链的头部进行投票，以太坊2.0使用了一种新的最优链选择算法来选择链的头部。

在介绍这种新的最优链选择算法之前，让我们回忆一下以太坊1.0的最优链选择算法——GHOST。GHOST算法的主要思想是，对于一条区块链因为时间延迟和恶意节点的存在会产生许多的分叉，当发现分叉时，选择子树的总Difficulty最大作为最优链，如图4所示：

图4 GHOST协议

链在红色的点产生分叉，假设每个区块的Difficulty相同为1，蓝色子树的总Difficulty为8，紫色子树的总Difficulty为4，因此选择蓝色作为最优链上的点。

GHOST协议在在PoW协议中是没有问题，但是PoS协议天然受到 Lang Range 攻击的影响，即攻击者可以通过少量资金购买曾经拥有大量stake但是目前为空的账户，回到过去，在过去的位置进行分叉产生大量的非法的区块，GHOST协议将无法保证系统的安全性。如图5所示：

图5：Lang Range 攻击

攻击者通过在过去位置产生黄色的区块，子树B的总Difficulty为10，紫色区块将成为最优链上的点。虽然在投票前需要抵押token，但是在赎回自己的token后，攻击者就可以在其还是Validator的epoch中肆意妄为，不担心token会被罚没。

因此，为了解决这个问题，以太坊2.0设计了一个新的算法——LMD GHOST（Lastest Message Driven GHOST）。LMD GHOST的主要思想是，对一条存在分叉的链，在找寻链的头部过程中，当其遇到分叉点时，选择当前epoch中Validator支持多的那棵子树。协议的主要过程为：

对于一条存在分叉的链：

​1、H等于创世区块；

​2、M=[M1,…,Mn] 是Validator的最新消息；

​3、选择M中支持率最多的孩子节点，将其设置为H；

​4、重复步骤（2-3）直到没有孩子节点；

虽然LMD GHOST的使用是为了解决Long Range攻击，但是笔者认为， 购买曾经的账户相当于时光倒流，形成了一个新的平行宇宙，当一个新用户进入时，面对两条分叉链在不借助额外信息（checkpoint）的情况下很难判断哪个是攻击者构造的链，因此LMD GHOST无法彻底抵御Long Range攻击。

至此我们已经介绍链以太坊2.0中的Casper如何进行出块，接下来将是最后一个部分，如何对候选区块进行最终的确认。

区块确认

在上一篇文章中，我们解释了justified和finalized的checkpoint，finalized的checkpoint之前的节点被最终确认。概括的说，以太坊2.0中的Casper将每个epoch当成一个checkpoint，attestation对checkpoint进行投票，进而确定checkpoint的justified和finalized状态，确定justified和finalized的核心逻辑和上文中描述的类似。接下来，来说明一下block如何进入到justified和finalized状态。

如何 justify block

现在Casper将一个epoch分成64个slot，最后一个slot称之为epoch_boundary_slot，用它的hash写作epoch_boundary_hash代表一个epoch，将一个epoch看作一个checkpoint。让链维护一个map，我们叫他justified_hashes，存储的格式是<slot, hash>。为Validator 的 attestation增加两个字段 epoch_boundary_hash（上一个epoch中slot最小的block的hash） 和 latest_justified_hash（epoch_boundary_hash引用区块中的justified_hash epoch最新的block的hash），只有当attestation中的latest_justified_hash 等于justified_hashes中的slot最新的hash，这个attestation才合法。

链会跟踪最新的justified hash，因此选择相同epoch_boundary_hash会投票给相同的latest_justified_hash。现在我们来看看在一个 epoch boundary 中，状态是如何转变的。假设对于一条链，最近的4个 epoch的epoch_boundary_block B1, B2, B3, B4 其中B4是epoch最新的epoch_boundary_block，他们的 slot 写作 B1_slot, B2_slot, B3_slot, B4_slot, B3_slot = B4_slot - 64, etc。如果有超过2/3的Validator选择B4作为epoch_boundary_block，那么把<B4_slot, hash(B4)> 加入justified_hashes。

一个epoch_boundary_block成为justified的条件是超过2/3的Validator在其attestation中epoch_boundary_hash指向该block，当一个block被含在justified_hashes中表示，该block是justified，并且证明该block已经是justified的状态被记录到了链上。

如何finalize block

在确认了justified的状态后，下一步需要确定如何让block进入finalize状态。

如果B4和B3在justified_hashes中，投票给B4作为epoch_boundary_block的attestation选择B3作为latest_justified_hash，finalize B3。

如果B4、B3、B2在justified_hashes中，投票给B4作为epoch_boundary_block的attestation选择B2作为latest_justified_hash，finalize B2。

如果B3、B2、B1在justified_hashes中，投票给B3作为epoch_boundary_block的attestation选择B1作为latest_justified_hash，finalize B1。

可以类比上一篇文章，Validator的投票为<v, s, t, h(s), h(t)>，可以将epoch_boundary_block看成h(t)，latest_justified_hash看成h(s)，这样能更方便的理解block的确认过程。

其他的一些小事

为了Casper完整的运行，还有一些小事需要解决，由于篇幅比较短小我们放在一起来说吧。

惩罚条件

为了抵御noting at stake攻击，用户通过抵押token成为Validator进行PoS，当Validator非法操作时，没收其抵押的token，来防止坏人作恶。Validator的惩罚条件为：

1、同一个Validator不能在相同的epoch中发出两个不同的attestation。

2、同一个Validator不能发出两个attestation，他们的 epoch_boundary_block 分别为t1和t2，latest_justified_hash 为s1和s2，且 s1<s2<t2<t1。

这个惩罚条件和上一篇文章中的惩罚条件是相同的。

Validator更换条件

dynasty(B)表示从block B开始到创世区块之间，finalized epoch的个数。两个dynasty之间可以更换1/64的Validator。

分叉选择条件

从最新的finalized block开始，进行LMD GHOST。