回应 Vitalik 对我权益证明文章的批评

对Buterin对我的“权益证明”文章的批评的回应

我很高兴几天前，Vitalik Buterin 回应了 我对他“权益证明设计哲学的批评”。

我在下面逐一反驳他的观点，并仍然不相信权益证明作为公共区块链的独立安全机制有坚实的哲学基础。

1. 对他51%工作量证明攻击论点的表述争议

TD: 这个说法具有误导性，因为他实际上只是在谈论51%攻击者可以对区块链中的最后几个区块做什么。

VB: 不，我是在谈论51%攻击者可以对区块链中的任何区块做的事情。挖矿的绝大多数成本是资本成本，而不是运营成本；上次我做的数学计算比例大约是3:1。因此，如果攻击者有资金进行对六个区块的一次攻击，他们已经完成了75%可以对数年的历史进行攻击的条件。

谢谢你，让我对你的总体论点有了更好的理解。让我们来看一下我所认为具有误导性的你文章中的引述：

VB: _“因此，挖矿网络的规模必须如此之大，以至于攻击是不可想象的。小于X的攻击者由于网络每天不断支出X而受到打击 。”我拒绝这一逻辑，因为(...)这未能意识到密码朋克的精神——攻击成本和防御成本的比例为1:1，因此不存在防御者的优势。”

在我看来，你似乎是在利用“日常”防御成本必须超过攻击者“日常”哈希费用这一事实来论证“总体”成本/防御比率为1:1。我认为这不过是一个小细节，我的主要观点是，谈论一个抽象的一般成本/防御比率毫无意义。

2. 争论ASIC购买将占51%攻击成本的四分之三

TD: 在数十亿美元的挖矿设备购买成本之后，运行比特币网络200天的成本将超过7亿美元（7.5 TWh 每千瓦时10美分）。

VB: 好的，看来我们对上述比率达成一致。

我并不一定同意51%攻击的成本中有四分之三将来自购买ASIC设备，只有四分之一用于运营。国家化的悠久历史证明，在政府（我认为是最有可能的攻击者）接管之后，运营效率往往会急剧下降。一项研究估计，石油开采公司在国家化之后，其盈利能力下降超过50%。所以那7亿美元可能是一个非常低的估计，因为它在接管后可能会以更低的效率运作。

3. 坚持认为PoS防御者的效率远高于PoW防御者

TD: 攻击者和防御者之间会始终存在拉锯战——无论使用哪种安全机制。对我来说，谈论1:1的成本/防御比率非常没有意义。

VB: 怎么会这样？为了让攻击成本达到20亿美元，比特币矿工必须燃烧超过20亿美元的资源。这是一个1:1的比例（事实上，低于1:1），这是非常有意义的。通过PoS，我们可以让防御者拥有10:1或更好的优势。

我很高兴你问这个，尽管我确实觉得我清楚地解释了成本的经济现象。确实，在工作量证明下，执行一次51%攻击的最低经济成本可以合理估算。但是这并不意味着成本/攻击比率是1:1或更低，这仅仅意味着系统的脆弱性在某种程度上是已知的。

在权益证明下，人们可以指着架构辩称攻击成本是设计为X，或者与诚实运营者的Y投资相关，但这并不意味着这一比率会成立。例如，PoS攻击向量的一个完整途径就是攻击者借用ETH来攻击区块链，从而从价格暴跌中获利，并抵消所设计的“大部分或全部惩罚”。

我在文章中提供的论点是PoS实际上是经过模糊处理的PoW，因此与基于比特币的10:1成本改善似乎毫无根据地乐观，它实际上是未知的。

4. 争论某一特定51%攻击策略不可行

TD: 或者攻击者可以战略性针对大量用户，确保对每个用户造成较小的财务损失——这样个人为抵御攻击者而付出的成本就会高于攻击造成的损失。

VB: 这个不现实。你所提到的是一个持续4个月的区块链回滚；没有办法只造成“少量的财务损失”。这是区块链固有的“全有或全无”特性所带来的结果。

我并不确定我是否明白。确实，一个重写大块区块链历史的基于资源的攻击很可能是非常具有破坏性的，会影响代币的（以美元计）价值，但就代币本身而言，攻击者可以克制自己，仅仅没收每个余额的1-5%，例如，因此对每个个人储户来说，继续使用该系统很可能仍然是有意义的。这种没收性策略最近被Siacoin的创始人提出，其想法是“直接将10亿或20亿个新币硬分叉进我们的钱包，然后每天卖出一百万来资助我们的运营”。在280亿个币的总供应量下，这次攻击的效应将使Siacoin储户的持有比例稀释3.5%到7%。

5. 描述“极其清晰”的社会共识场景

TD: 他们经常完全不同意如何处理它。

VB: 确实如此，但在长程攻击的情况下，处理方法是极其清晰的：跟随更早出现的链，而不是后出现的链。

可以 argument 比特币最大的矿业公司Bitmain在支持Segwit2X及其BitcoinABC分叉计划的情况下，其实是在对比特币进行长程攻击，试图改变其经济模式。然而，我从未见过你主张这一解决方案是极其明确的，社区应简单遵循遗留链。再次，我的观点是，社区共识是无法依赖的，不切实际且不理想的机制，以保证公共区块链的稳健性。在这个讨论中，你似乎同意这一点：“我不相信‘粗略共识’是一个在真正对抗环境中可持续的治理模式。没有国家是这样运行的。”

6. 争论比特币基本上依赖社会共识

TD: 但我们不能指望社会共识的理想主义概念。

VB: 那你知道运行全节点时该运行什么软件吗？

我不需要社会共识来选择运行的比特币客户端，没有势在必行。我决定我是否信任Wladimir van der Laan，并且可以选择下载由他的发布签名密钥签名的软件。如果许多人也这样做，我的客户端就会在网络中连接到他们。这就是reddit用户devitatefish所称的‘自愿治理’。他对比特币的‘隐性治理’进行了对比，其中用户面临着以硬分叉形式产生的一系列非可逆的变化：“_使更改隐性选项是一个巨大的战略优势，如果你的目标是对网络的集中控制。它将利益从‘让更改重要到足以赢得整个网络的支持’转变为‘做出不会让网络的重大部分疏远的更改’。通过消除这种激励结构，只要任何一种更改不会疏远网络的重大少数，它将被接受，而对网络的健康几乎没有风险。”

正如我在文章中所论证的，集体区块链不应依赖集体决策来确保其安全。当然，个体决策的聚合可以为网络效果带来积极贡献，但这不是我的观点。

如果你想论证比特币以某种方式依赖社会共识，那么至少你应该区分它是‘自愿’形式的社会共识，也可能还应承认Ethereum/PoS依赖于中央集权友好的‘隐性’社会共识。

7. 不同意权益证明没有现实应用程序，举例说明

TD: 据我所知，权益证明在人类历史或生物学中没有相应的应用。

VB: 政府机构在各种情况下使用保证金钱包。货币转移和银行许可的保证金债券是一个例子。保释金是另一个。历史上各种形式谈判中使用人质是第三个。

谢谢你，非常有趣的“设定经济损失”的例子。不过，我认为所有这些应用都暗示着外部信任来源，使它们在我们的目的上无效。

1/ 保证金债券

根据维基百科，保证金债券定义为至少三方之间的合同。1）义务方：接受义务的一方，2）主承包方：将履行合同义务的主要方，3）担保人：向义务方确保主承包方能够完成任务的人。

因此担保人是这里所需的外部信任来源。你可以说PoS在区块链中试图将义务方和担保人融合为一，但这并不使这个例子在其他上下文中成为有效的无信任PoS应用。

2/ 保释金

在保释金中，资金是为了确保被告返回审判而被存放于法院的信托之中。再次，第三方（银行）参与以保留资金。

3/ 在各种谈判中使用人质

这是另一种保释金的形式，其中交给对方的资产没有可替代性，并且据称对人质提供者非常有价值：一个实际的人，往往是你家族的一部分。人质在历史上被广泛使用以验证和平条约并保证政治联盟。

《人质》 (Hostages), 让-保罗·劳伦斯, 1896年. 该画作被推测表现的可能是‘塔楼中的王子’，即爱德华四世的两个儿子，他们在伦敦被拘留，后来可能被谋杀，或者受到埃德加·爱伦·坡在《坑与钟摆》中囚禁的主角驱动。

在这一人质契约中，外部信任来源是人质提供者——假定其对人质的生命和健康的重视超过了打破政治条约的潜在利益。这个例子对第三方的信任要求最小，因为，就像我所论证的那样，受托资产是独特的（非可替代的）并且有价值。在一个有担保的权益证明体系下，这两者可能都不是：担保的代币通常是非常可替代的，并且攻击者可以通过对冲自己的头寸来抵消其价值，例如通过向ETH开设等同的短头寸。

这个例子对第三方要求的信任之所以要求最低，缺乏可替代性，也是为什么不能应用于以太坊——潜在攻击者很可能对其在协议中被惩罚时可能失去的个人以太币代币不太关心。有许多方法可以对冲他的风险，例如通过开设短头寸。

让我们将这些例子与我提出的 缺陷 原则，我之前提到的来自达尔文进化论的PoW例子进行比较。根据缺陷原理运行的生物体无需外部信任来源。只需验证者（例如自然中的母孔雀，或加密货币中的软件客户端）运行数据并通过其识别算法验证最低工作阈值已超出。当然在自然界，识别算法是可以被人类等欺骗的，但通过加密技术，工作量证明几乎可以做到完全防水。

8. 争论PoW防御成本与PoS相比较不利

TD: PoW的51%攻击者可以显著减缓网络速度，但甚至一次尝试还原历史交易也需要巨大的长期开支。

VB: 这种成本在最佳情况下等于，而且在大多数现实世界情况下远低于合法矿工创建区块链所支付的成本。PoS能够实现更有利的比率。

请 refer 我之前的评论。你声称“ PoS能够实现更有利的比率”是一种来自权威的论证，除非你能指出一个基于纯有担保权益证明的有效公共区块链，以及它的安全性渗透测试证据。

9. 提出对51%攻击的反向分叉，去除惩罚

TD: SolidX的Bob McElrath指出，攻击者的“经济惩罚”策略无效，如果惩罚本身可以被分叉去掉。

VB: 确实如此，但如果一个链审查惩罚，那么那个链就可以被再次分叉，就如比特币核心开发者提倡在51%矿工联盟审查其他人的区块时更改工作量证明。

也就是维塔利克的证明。必须有一个人决定我创建的10,000个分叉中哪个是有效的。我想是维塔利克。（这些是McElrath自己的话，我联系了他以获取回复）

10. 声称权益证明的针对攻击是“不可行的”

TD: 对于有担保的PoS，另一个批评，最近由BitTorrent创始人Bram Cohen提出，是如何防止诚实的质押者被欺骗以使网络中的互动触发应为其保护的惩罚。（将其视为大规模反制的加密货币等价物。）

VB: 这是不可能的；验证者不可能失去其安全保证金，除非他们违反一组削减条件的其中之一，而遵守这些条件可以进行客户端验证。

验证者也可能因看起来离线而受到惩罚，但该算法设计为导致其他人失去大量金钱也需要攻击者失去同样大量的金钱。（...）

我联系了Bram Cohen获取回复，他说：“如果他们走那条路，那么在分叉事件中，系统可能会被冻结，没有人愿意为‘错误’承担损失”，当有人指出维塔利克的“最小减少条件”文章时，补充：“所有这些复杂的层会增加复杂性，使攻击更难解释，但似乎并没有解决潜在的问题。”我认为Cohen是对的，复杂的规则迷宫以防止滥用可能会导致对什么是滥用的定义变得更加模糊，这种误解随后可以委托给官僚权力中介——可以说是以太坊的政治局。

11. 争论Zhou攻击将是非常昂贵的

TD: Galois Capital的Kevin Zhou提出的另一种攻击情境是，攻击者欺骗足够诚实的人加入他的网络，以使诚实人支持攻击链作为真实链。

VB: 除非这种攻击成功地还原最终性，否则这仍然会使攻击者支出非常巨额的资金。

如同McElrath所 argument 的那样，你的攻击只有在你被处罚时才昂贵——攻击者可以选择分叉去除惩罚。再次，一些开发者可以发动反击。攻击者可以再次出击。最终，仍然需要外部信任的根源来决定哪个链是可信链：维塔利克证明/以太坊基金会证明。

• 原文链接： tuurdemeester.medium.com...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～