By Bitcoin 雜誌 - 1 年前 - 閱讀時間:14 分鐘
工作量證明是客觀的,權益證明不是
使用的工作量證明共識機制 Bitcoin 是對歷史的客觀衡量,不能因驗證者的心血來潮而改變。
Alan Szepieniec 擁有魯汶大學的後量子密碼學博士學位。 他的研究重點是密碼學,尤其是對 Bitcoin.
權益證明是工作量證明的一種擬議替代共識機制,它 Bitcoin的共識機制使用。 權益證明不需要消耗能源,而是要求礦工(通常稱為驗證者)將數字資產置於危險之中,以便為區塊生產過程做出貢獻。 賭注激勵他們誠實行事,以避免失去他們的賭注。 理論上,只有誠實的驗證者,網絡會很快就交易順序達成共識,因此,哪些交易是無效的雙花。
股權證明一直是很多爭論的主題。 大多數批評都集中在安全性上:它是否降低了攻擊成本? 許多人還表達了社會學方面的擔憂:權力集中、財富集中、財閥統治等。
在這篇文章中,我表達了一個更基本的批評:股權證明本質上是主觀的。 對權益證明區塊鏈的正確看法取決於你問的是誰。 因此,攻擊的成本無法以區塊鏈內部的單位計算,從而使安全分析無效; 尚未就哪些第三方值得信賴達成一致的各方之間無法清償債務; 糾紛的最終解決必須來自法院。
相比之下,工作量證明是一種客觀的共識機制,任何一組相關或無關方都可以就區塊鏈的哪個狀態是準確的達成一致。 因此,任何兩個經濟參與者都可以獨立於法院或有影響力的社區成員就是否已付款達成一致。 這種區別使得工作量證明適合——而權益證明不適合——作為數字貨幣的共識機制。
數字貨幣和共識
需要解決的問題
計算機執行的最基本操作之一是複制信息。 此操作使原始副本完好無損,並基本上免費生成一個精確的副本。 計算機幾乎可以復制任何東西,只要它是數字的。
然而,有些東西純粹存在於數字領域,無法複製。 既數字化又稀缺的東西。 此說明適用於 bitcoin 例如,以及其他基於區塊鏈的數字資產。 它們可以發送,但發送後原件就不見了。 人們可能不同意市場需要這些資產的原因,但這種需求存在的事實意味著這些數字資產可用作平衡交易所的對應物。 當濃縮為一個詞時:它們就是金錢。
為了實現數字稀缺性,區塊鏈協議在網絡上複製分類帳。 分類帳可以更新,但僅限於已用資金所有者同意的交易; 淨額為零; 並且輸出是正的。
任何無效的更新都將被拒絕。 只要協議中的所有參與者就分類賬的狀態達成共識,就可以保證數字稀缺性。
事實證明,達成共識是一項艱鉅的任務。 不完善的網絡條件會產生截然不同的歷史觀點。 數據包被丟棄或交付亂序。 分歧是網絡特有的。
分叉選擇規則
區塊鏈以兩種方式解決這個問題。 首先,他們對所有交易強制執行完整的排序,從而生成一棵備選歷史視圖樹。 其次,他們為歷史定義了經典,以及從歷史樹中選擇規範分支的分叉選擇規則。
很容易從受信任的權威機構或根據某些人的說法,從公民身份方案支持的數字投票方案中得出規範性。 然而,值得信賴的權威機構 安全孔,並且依靠政府提供可信賴的身份識別服務成為一種政治工具,而不是一個獨立於它的工具。 此外,這兩種解決方案都假定就第三方的身份和可信度達成一致。 我們希望減少信任假設; 理想情況下,我們有一個完全來自數學的解決方案。
一個完全源自數學的決定正則性的解決方案產生了一個顯著的特性,即答案獨立於計算它的人。 這就是共識機制能夠客觀的意義。 不過有一個重要的警告:必須假設所有各方都同意一個單一的參考點,例如創世塊或其哈希摘要。 一種客觀的共識機制是一種使任何一方都能從這個參考點推斷出經典的歷史觀的機制。
選擇樹的哪個分支作為規範並不重要; 重要的是所有參與者都能同意這一選擇。 此外,整棵樹不需要在任何一台計算機上明確表示。 相反,每個節點只包含少量分支就足夠了。 在這種情況下,分叉選擇規則在任何時候都只會測試兩個候選的歷史觀點。 嚴格來說,經典的歷史觀這個短語具有誤導性:一種歷史觀相對於另一種觀點只能或多或少地符合經典。 節點會丟棄較不規範的分支並傳播比較規範的分支。 每當用一批新交易擴展歷史視圖時,新視圖比舊視圖更規範。
為了使網絡迅速就規範歷史觀達成共識,分叉選擇規則需要滿足兩個屬性。 首先,對於任何兩對歷史觀,它必須定義明確且可有效評估。 其次,對於歷史的任何三元組觀點,它必須是傳遞的。 對於數學傾向:讓 U、V、W 是歷史的任何三個視圖,並讓中綴“<”表示偏向右側而不是左側的叉子選擇規則。
那麼【兩個條件成立】:
ü
為了讓分類帳適應更新,歷史視圖必須以與分叉選擇規則兼容的方式擴展。 因此,還需要兩個屬性。 首先,當對兩個視圖進行評估時,其中一個視圖是另一個視圖的擴展,分叉選擇規則必須始終支持擴展視圖。 其次,(以前的)規範視圖的擴展比非規範視圖的擴展更可能是規範的。 象徵性地,讓“E”表示擴展,“‖”表示應用它的操作。 然後:
ü 0.5最後一個屬性激勵誠實的擴展者專注於擴展規範視圖,而不是他們知道不規範的視圖。 作為這種激勵的結果,同時從誠實但矛盾的擴展中產生的不同歷史觀點往往僅在涉及最近事件的提示上有所不同。 一個事件被記錄得越往後,它就越不可能被另一種更規範的歷史觀點所強加的重組所推翻,這種歷史觀點在更早的時間點就發生了分歧。 從這個角度來看,經典的歷史觀是根據網絡收斂的歷史觀的局限性來明確定義的。
上一段中明顯的取消資格是擴展者需要誠實行事。 不誠實的擴展器呢? 如果對手可以控制隱含在概率表達式中的隨機變量,那麼他就可以對其進行設計以發揮自己的優勢,並以高成功概率發起深度重組。 即使他無法控制隨機變量,但可以廉價地生成候選擴展,那麼他也可以在本地無限期地評估分叉選擇規則,直到他找到早期的分歧點以及恰好生成更規範的擴展比任何流通的分支都要多。
缺失的一塊拼圖並不是防止不誠實擴展的機制。 在網絡條件不完善的環境中,不誠實的行為是不可能被描繪出來的。 攻擊者總是可以忽略他不喜歡的消息,或者延遲它們的傳播並聲稱網絡連接是罪魁禍首。 相反,拼圖缺失的部分是一種機制,它使深度重組比淺層重組成本更高,而且越深重組成本越高。
累積工作量證明
中本聰的共識機制恰恰做到了這一點。 為了提出一批新的交易(稱為區塊),從而擴展一些分支,潛在的擴展者(稱為礦工)必須首先解決一個計算難題。 這個難題解決起來很昂貴,但很容易驗證,因此被恰當地命名為工作量證明。 只有解決了這個難題,新一批交易(及其提交的歷史)才是佳能的有效競爭者。 這個謎題帶有一個用於調整難度的旋鈕,它會自動轉動,以便在找到新解決方案之前調整預期時間,而不管參與者的數量或他們投入到問題上的資源。 這個旋鈕有一個輔助功能,作為衡量難度的單位中解謎努力的公正指標。
該過程對任何人開放。 限制因素不是權限或加密密鑰材料或硬件要求,相反,限制因素是人們為了有機會找到有效塊而願意花費的資源。 難題的概率和並行性質獎勵了最大化數量的具有成本效益的礦工 每焦耳的計算量,即使以每秒較少的計算量為代價.
給定每個區塊的目標難度參數(旋鈕),很容易計算出給定歷史分支所代表的總工作量的無偏估計。 工作量證明、分叉選擇規則有利於該數字較大的分支。
礦工們相互競爭以尋找下一個區塊。 第一個找到它並成功傳播它的礦工獲勝。 假設礦工沒有坐在有效但未傳播的新區塊上,當他們從競爭礦工那裡收到一個新區塊時,他們會將其作為歷史規範分支的新負責人,因為不這樣做會使他們處於劣勢。 在一個已知的舊區塊之上構建是不合理的,因為礦工必須趕上網絡的其餘部分並找到兩個新區塊才能成功——平均而言,這項任務的難度是切換到新的、更長的分支並擴展它。 在工作量證明區塊鏈中,重組往往被孤立到歷史樹的頂端,這不是因為礦工是誠實的,而是因為產生重組的成本隨著重組的深度而增長。 恰當的例子:根據這個 堆棧交換答案, 不包括軟件更新後的分叉,最長的分叉 Bitcoin 區塊鏈的長度為 4,即當時區塊高度的 0.0023%。
股權證明的“解決方案”
股權證明是工作證明的替代方案,其中正確的歷史觀不是根據解決密碼難題所花費的最大工作量來定義的,而是根據特殊的公鑰來定義的稱為驗證器的節點。 具體來說,驗證者簽署新區塊。 參與節點通過驗證組成塊上的簽名來驗證歷史的正確視圖。
該節點無法區分有效的歷史視圖和無效的歷史視圖。 關鍵是,如果一個競爭塊有一個支持簽名(或許多支持簽名),那麼它只是對正確歷史觀的一個重要競爭者。 驗證者不太可能簽署替代塊,因為該簽名會證明他們的惡意行為並導致他們的股份損失。
該過程向公眾開放。 任何人都可以通過將一定數量的加密貨幣存入一個特殊的託管賬戶來成為驗證者。 如果驗證者行為不當,這筆託管資金將被削減。 節點驗證新塊上的簽名是否與驗證器在將其股份放入託管時提供的公鑰相匹配。
形式上,在股權證明區塊鏈中,正確歷史觀的定義是完全遞歸的。 只有包含正確簽名的新塊才有效。 簽名對於驗證器的公鑰是有效的。 這些公鑰由舊塊確定。 只要兩種觀點是自洽的,就不會為相互競爭的歷史觀點定義分叉選擇規則。
相比之下,工作量證明區塊鏈中歷史的正確觀點也是遞歸定義的,但並不排除外部輸入。 具體來說,工作量證明中的分叉選擇規則也依賴於隨機性,其無偏性是可以客觀驗證的。
這個外部輸入是關鍵的區別。 在工作量證明中,分叉選擇規則是為任何一對不同的相互競爭的歷史觀點定義的,這就是為什麼可以首先談論正典的原因。 在股權證明中,只能定義相對於先前歷史的正確性。
股權證明是可顛覆的
不過這有關係嗎? 從理論上講,要產生兩種一致但互不相容的歷史觀,一定有人在某個地方不誠實,如果他們的行為不誠實,就有可能查出在哪裡,證明這一點並削減他們的股份。 由於第一個分歧點的驗證者集沒有爭議,因此可以從那裡恢復。
這個論點的問題在於它沒有考慮時間。 如果十年前的驗證者對相互衝突的區塊進行雙重簽名——也就是說,發布一個新簽署的與十年前確認的區塊相矛盾的副本——那麼從那時起,歷史將需要被重寫。 惡意驗證者的股份被大幅削減。 花費質押獎勵的交易現在無效,下游的交易也是如此。 如果有足夠的時間,驗證者的獎勵可能會滲透到區塊鏈經濟的很大一部分。 硬幣的接收者不能確定所有的依賴關係在未來仍然有效。 沒有終結性,因為重組遙遠的過去並不比近期的過去更困難或更昂貴。
股權證明是主觀的
解決這個問題的唯一辦法是限制重組的准入深度。 第一個分歧點早於某個閾值年齡的相互矛盾的歷史觀點將被忽略。 呈現另一個觀點的節點,其第一個分歧點較舊,會在沒有測試哪個是正確的情況下立即拒絕它。 只要某些節點在任何給定時間都處於活動狀態,就可以保證連續性。 如果禁止進行過深的重組,那麼區塊鏈只有一種發展方式。
該解決方案使股權證明成為一種主觀共識機制。 “區塊鏈的當前狀態是什麼?”這個問題的答案取決於你問誰。 它是不可客觀驗證的。 攻擊者可以產生與正確觀點一樣自洽的另一種歷史觀點。 節點可以知道哪個觀點是正確的唯一方法是選擇一組對等點並相信他們的話。
有人可能會爭辯說,如果產生這種另類歷史觀的成本太大,那麼這種假設性的攻擊就無關緊要了。 雖然這種反駁可能是正確的,但成本是一個客觀指標,因此它是否正確取決於區塊鏈上未表示的外部因素。 例如,攻擊者可能會失去對一種歷史觀點的所有賭注,但並不在意,因為他可以通過法律或社會手段保證另一種觀點會被接受。 任何專注於“區塊鏈”上發生的事情而不考慮它所處的客觀世界的安全分析或攻擊成本計算都存在根本性缺陷。
股權證明加密貨幣的內部是,不僅成本是主觀的,而且回報也是如此。 如果最終結果不是由他的獨創性機械決定的支出,而是來自加密貨幣官方開發人員團隊的廣播,解釋他們為什麼選擇支持另一個分支,為什麼攻擊者會部署他的攻擊? 可能會有外部支出——例如,來自預期價格下跌的金融期權或來自造成混亂的純粹喜悅——但關鍵是內部支出的可能性很低削弱了現有證明的市值-質押加密貨幣構成有效的攻擊賞金。
金錢與客觀
本質上,金錢是清償債務的對象。 有效清償債務需要交易各方達成共識——尤其是貨幣和金額。 爭議將導致未決索賠的長期存在以及拒絕以相同或相似的條件開展重複業務。
有效的債務清算不需要全世界就具體的貨幣類型達成一致。 因此,主觀貨幣在恰好達成共識的世界經濟口袋中可能有用。 然而,為了彌合任何兩個微觀經濟體之間的差距,或者更普遍地說,彌合世界上任何兩個人之間的差距,需要全球共識。 一個客觀的共識機制實現了這一點; 一個主觀的沒有。
權益證明加密貨幣無法為世界金融支柱提供新的基礎。 世界由不承認彼此法院的國家組成。 如果對正確的歷史觀產生爭議,唯一的辦法就是戰爭。
開發和支持權益證明區塊鏈的基金會,以及為他們工作的自由開發者——甚至是不編寫代碼的影響者——都會因任意選擇(對原告而言)不利的歷史觀點而承擔法律責任。 當加密貨幣交易所允許從一種權益證明加密貨幣中的存款向下游大量提款時會發生什麼,而這種加密貨幣的交易只出現在兩種相互競爭的歷史觀點的一個分支中? 交易所可能會選擇有利於他們底線的觀點,但如果社區的其他人——在 PGP 簽名和推文以及基金會、開發人員和影響者的 Medium 帖子的推動下——選擇了另一種觀點,那麼交易所就會左腳賬單。 他們有充分的動機和信託責任從對他們負責的人那裡恢復他們的損失。
最終,法院將對哪種歷史觀是正確的作出裁決。
結論
權益證明的支持者聲稱它與工作證明的目的相同,但沒有所有的能源浪費。 很多時候,他們的支持忽略了任何工程困境中存在的權衡。 是的,權益證明確實消除了能量消耗,但這種消除犧牲了由此產生的共識機制的客觀性。 這對於只有少量本地共識就足夠的情況是可以的,但這種情況引出了一個問題:消除可信權威的意義何在? 對於全球金融支柱,客觀的機制是必要的。
權益證明的自我參照性質使其具有內在的主觀性:哪種歷史觀是正確的取決於你問誰。 問題“股權證明安全嗎?” 試圖將分析簡化為不存在的客觀成本衡量標準。 在短期內,哪個分叉是正確的取決於哪個分叉在有影響力的社區成員中流行。 從長遠來看,法院將承擔決定哪個分叉是正確的權力,而當地共識的口袋將與標誌著一個法院管轄權結束和下一個法院管轄權開始的邊界重合。
礦工在工作量證明區塊鏈中消耗的能源並沒有被浪費,就像柴油被浪費在給汽車加油一樣。 相反,它被交換為密碼學可驗證的、無偏見的隨機性。 如果沒有這個關鍵要素,我們不知道如何產生客觀的共識機制。
這是 Alan Szepieniec 的一篇客座文章。 表達的意見完全是他們自己的,不一定反映 BTC Inc. 或 Bitcoin 雜誌.
原始來源: Bitcoin 雜誌