权益设计原理的证明

本文为 AI 研习社的技术博客,原标题 A Proof of Stake Design Philosophy,作者为 Vitalik Buterin。

翻译 | 永恒如新的日常 余杭 校对 | 祁晓君 审核 | 余杭

像以太坊(还有比特币,未来币,以及比特股等等)这样的系统是一种全新的加密经济学机制——它是去中心化的,遍布全网的无控制权实体,而且由密码学,经济学和社会共识的结合体所维护。它们有点像比特流,但和比特流不同,因为比特流不涉及状态这一概念——这会成为一种极为重要的区别。它们有时也被描述为去中心化自治公司(https://letstalkbitcoin.com/is-bitcoin-overpaying-for-false-security),但它们也确实不是公司——你无法对微软进行硬分叉。它们类似于开源的软件项目,但也并非确实如此——你可以对区块链进行分叉,但是却无法做到和对 OpenOffice 分叉一样容易。

这些加密经济学网络有许多特点——基于 ASIC 的工作量证明,基于 GPU 的工作量证明,朴素权益证明,权益委托证明,可期的 Casper 权益证明——而且不可避免的是每种特点都有其各自底层的原理。大家所熟悉的一个例子是,特别地,在极端主义的工作量证明中,正确的区块链被定义为矿工耗用最大量经济资本而得到的那条链。最初只是一种协议内的分叉选择规则,在许多情况下这种机制上升为一种权威性原理——看我和 Chris DeRose 之间的 Twitter 对话(https://twitter.com/vitalikbuterin/status/687050458301657088), 这个例子讲述了即使面临着改变哈希算法协议的硬分叉,有人认真尽力地辩护观点。比特股的委托权益证明呈现了一种一致的原理,一切可以按照单一原则再次流动,它可以用很简单的话语描述为:股东投票(http://docs.bitshares.org/bitshares/dpos.html)。

中本聪协议、社会共识、股东投票共识,每种原理都引出其各自的结论集和就各自而言意义非凡的价值体系——尽管当把它们作比较时肯定会受到批评。Casper 共识也有原理基础,虽然到目前为止,这一原理基础比较长篇累牍。

就权益证明协议存在的原因以及如何设计的问题而言,我、Vlad 、Dominic 和其他人各持己见,但这里我想解释一下我的想法来源。

我将列出一些观点并得出结论。

21 世纪的密码学是尤为特殊的,因为它是攻击者在对抗性冲突中持续受益颇多的极少领域之一。摧毁一座城堡远比建造它容易得多,岛屿具有防御功能,但仍会受到攻击。但是普通人的椭圆曲线密码学密匙就防御而言是足够安全的,足以抵抗国家级的攻击。Cypherpunk 的原则是利用这种稀少的不对称性来创造一个可以更好地保障个体自治权的世界,而在某种程度上,密码学经济是对它的延伸,除非这次能够对这一复杂系统的协调性和协作性给予安全保障,而不仅仅是私人信息的完整性和机密性。认为自己是 Cypherpunk 精髓的思想继承者的那些系统,应该保持这一基本特性,而且比起使用和维护,摧毁和破坏的代价会更高。

「Cypherpunk 精神」是可行的:相对于攻击来说,系统更易于防御,这也是一项鲁棒的工程。

长时间以来,人类在共识上一直做得很好。即使敌人获得了无限的算力,而且能使任何主区块链回溯到上个月的历史,使社区确信这条链是合法的比脱空主链的算力要难得多。他们需要做的是颠覆块浏览器,包括社区中所有被信任的成员,比如纽约时报,archive.org, 以及其他互联网上的信息源;总之,使全世界相信这条新攻击链首次露面于信息技术盛行的 21 世纪大概和让他们相信美国月球着陆从未发生一样困难。就长期来看,这些社会因素最终会保护任何区块链,不管区块链社区是否承认。(注意:比特币核心承认社会层的隐私性)

然而,仅由社会共识保护的区块链太过低效缓慢,而且还促进未达成共识的继续进行而不是终止(尽管困难重重,但它还是会发生);因此,从短期来看,经济共识在保证活跃性和安全性中担任着极为重要的角色。

因为工作量安全证明只能源于分块奖励(按 Dominic Williams 的说法,它缺少三个 Es 中的两个),对矿工的激励只能源于降低他们失去未来块奖励的风险,工作量证明通过大量奖励来激发大量的算力投入。从 PoW 攻击中恢复十分困难:第一次发生时,你可以通过硬分叉来改变 PoW,从而使攻击者的 ASICs 无效,但是第二次时,无法再进行硬分叉,因此攻击者可以反复地开展攻击。因此,挖矿网络的规模必须足够大以至于攻击所耗费的代价是不可思议的。规模小于 X 的攻击者会因为每天所耗费的 X 算力望而却步。我反对这种逻辑因为(1)这么做不环保,(2)它没有秉承 cypherpunk 的精神——攻击成本与防御成本是 1:1 的比例,故而防御者并未占据优势。

权益证明通过惩罚机制而不是奖励机制来保证系统安全。验证者以存入 token 质押形式参与。由于存入的资金被冻结和维护结点,并采取额外的预防措施以保证他们自己的私钥安全,验证者会获得一定的奖励。而恶意攻击的代价是惩罚,这个惩罚的量要比奖励大上百倍千倍。因此,倘若用一句话来概括 PoS 的哲学,这句话不是「安全来自消耗能源」,而是「安全来自建立经济学上的价值损失 (value-at-loss,该词为作者自造,意为价值流失的管控机制,原词为 value-at-risk,即风险价值,是投资学中风险管控的概念之一)」。如果我们可以证明:针对任意区块,除非恶意结点之间共谋进行惩罚幅度为 X 美元的虚假交易,不然要对任意区块实现相同级别的攻击行为是不可能的(译者注:需要比 X 美元高得多的代价),那么这个区块就有可量化为 X 美元的安全程度

从理论上讲,验证人的大多数合谋可能会接管权益链证明,并开始恶意行事。然而,(1)通过灵巧的协议设计,他们凭借这种操纵赚得额外利润的能力会尽可能地受到限制,更为重要的是(2)如果他们试图阻止新的验证人加入 或开展 51% 的攻击,那么社区就可以简单地协调硬分叉,并删除违规验证人的存款。一次成功的攻击可能花费 5 千万美元,但是清除这次攻击的过程却不会那么繁琐。两天后,区块链和社区重新步入正轨,攻击者损失 5 千万美元,由于攻击会导致令牌价值上涨,随之而来的是供应紧缩,其他社区可能会更富有。对你而言,这就是攻击/防御不对称。

我们不应该认为以上内容意味着不定期的硬分叉会成为经常发生性事件;如若需要,可以将 51% 的单一权益证明的攻击成本和 51% 的永久性工作证明的成本设置得同样高,而且攻击的纯成本和无效性应该确保它几乎从未被尝试着实践。

经济学不是一切。个体会表现出不确定性,他们可能会受到攻击,会被绑架,或只是因为喝多了而突然头脑一热决定毁了整个区块链,且不考虑代价 反过来从积极方面考虑,个人道德约束和低效的沟通也经常会导致攻击所需要的花费比表面计算成本要高得多。

因此,最好的协议往往是那些能在一系列丰富的模型和假设的基础之依然能良好运作的:具有协调选择的经济合理性,具有个人选择的经济合理性,简单容错性,拜占庭容错,Ariely/Kahneman 行为经济模型 (「我们每个人都会作弊」),以及其他任何模型,都是现实可行的。具备以下这两个层面的防御是非常重要的;经济成本上,逼迫集权化的卡特尔组织放弃反社会的动机;反集权化的激励措施从一开始就打消形成集权化卡特尔的动机。

那些尽可能以最快速度达成的共识协议是有风险的,我们在使用的时候需要极其小心,或者干脆不用。因为如果这个迅速达成共识与激励措施相关联,那么这种组合会带来非常高的系统风险-引发网络层面的中心化(比如所有的验证节点运行同一主机提供商的机器)。共识协议并不关心一个验证节点发送消息有多快,只要它们在可接受的时间间隔内完成(比如 4-8 秒,以太坊的延迟通常有 500 ms-1s),这些共识协议就没有这样的顾虑。

一个可能的这种方案是创造一个运作速度非常快的协议,但是其机制和以太坊的「叔父机制」一样,确保节点的边际报酬相当低,而边际报酬能增加其网络连接度超过某个可容易达到的点。

在这里,当然有许多细节和许多方式去分歧细节,但以上内容至少是基于我的 Casper 版的核心原则。从这里,我们当然可以辩论竞争价值之间的权衡。我们是否给予 ETH 每年 1% 的发行利率,并获得 5 千万美元的成本来强制实施补救性硬分叉或零年发行率,并获得 500 万美元的成本来强制实施补救性硬分叉?我们何时在经济模型下增加协议的安全性以换取在容错模型降低其安全性?我们是否更关心具有可预测性的安全性水平或可预见的发行水平?这些都是针对另一篇文章的问题,实现这些值之间不同折衷的各种方式会是更多文章的问题。但我们会实现的:)

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180828A1H5RP00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券