[镜像] 一种权益证明设计理念

[Mirror] 权益证明设计理念

[Mirror] 权益证明设计理念

这是本帖在 https://medium.com/@VitalikButerin/a-proof-of-stake-design-philosophy-506585978d51 的镜像版本

像以太坊（Ethereum），比特币（Bitcoin），NXT 和 Bitshares 等系统是一个根本新型的加密经济生物 — 去中心化、无管辖权的实体，完全存在于网络空间，由加密技术、经济学和社会共识的组合来维护。它们有点像 BitTorrent，但也不同于 BitTorrent，因为 BitTorrent 没有状态的概念 — 这种区分非常重要。它们有时被描述为 去中心化自治公司，但它们也不完全是公司 — 你不能对微软进行硬分叉。它们有点像开源软件项目，但又不完全是 — 你可以对区块链进行分叉，但并不像分叉 OpenOffice 那样容易。

这些加密经济网络有许多种类 — ASIC 基础的 PoW、GPU 基础的 PoW、天真的 PoS、委托 PoS，很快希望出现的 Casper PoS — 每种类型不可避免地伴随其自身的基本哲学。一个众所周知的例子是工作量证明的极端主义视角，其中“正确的区块链”定义为矿工为其创建燒掉最多经济资本的链。最初只是一个协议内部的分叉选择规则，这种机制在许多情况下被提升为神圣信条 — 可以参见 我和 Chris DeRose 的这次 Twitter 讨论，其中有人严肃地试图在面对改变哈希算法的协议硬分叉时捍卫这一观念。Bitshares 的 委托权益证明 代表了另一种一致的哲学，这里一切再次流淌自一个单一信条，但可以更简单地描述为：股东投票。

这些哲学，纳卡莫托共识、社会共识、股东投票共识，分别导向各自一系列结论，并在其自身术语的视角下形成一个相当合理的价值体系 — 尽管它们在相互比较时可以被批评。Casper 共识也有其哲学基础，不过到目前为止还没有被如此简洁地表达。

我、Vlad、Dominic、Jae 和其他人对为什么存在权益证明协议及其设计有各自的看法，但在这里我打算解释我个人的出发点。

接下来我将直接列出观察和结论。

• 在21世纪，加密学是特别的，因为它是为数不多的在敌对冲突中仍然显著偏向防御者的领域之一。城堡比建造更容易被摧毁，岛屿是可以防守的，但仍然可以被攻击，然而普通人的 ECC 密钥足够安全，以抵抗甚至国家级行为者的攻击。密码朋克哲学根本上是利用这种宝贵的不对称性来创造一个能够更好地保护个人自治的世界，而加密经济在一定程度上是这一点的延伸，只不过这次保护的是协调和合作的复杂系统的安全性和活性，而不仅仅是私人消息的完整性和机密性。自认为是密码朋克精神思想继承者的系统应当保持这一基本属性，且其被摧毁或干扰的成本应远大于使用和维护的成本。

• “密码朋克精神”不仅关乎理想主义；构建比攻击更容易防御的系统，这也是合理的工程设计。

• 在中长期时间尺度上，人类在共识方面相当出色。即便一个对手拥有无限的哈希能力，并实施针对任何主要区块链的 51% 攻击以撤回过去一个月的历史，能让社区相信这个链是合法的远比超越主链的哈希能力更难。他们需要颠覆区块浏览器、社区里的每一位受信任成员、《纽约时报》，archive.org，和互联网的许多其他来源；归根结底，在信息技术密集的21世纪，convincing the world that the new attack chain is the one that came first的难度基本等同于证明美国登月从未发生。这些社会因素最终保护了任何区块链的长期稳定性，无论区块链的社区是否承认这一点（请注意 Bitcoin Core 确实承认 社会层的优先性）。

• 然而，仅靠社会共识保护的区块链效率极低且缓慢，并且对于分歧容易陷入无休止的争论（尽管尽管所有困难，它确实发生过）；因此，经济共识在短期内对于保护活性和安全性具有极其重要的作用。

• 由于工作量证明安全性只能来自区块奖励（用 Dominic Williams 的术语，它缺少三种中的两种 E），矿工的激励只能来自他们失去未来区块奖励的风险，工作量证明本质上运作在一种靠巨大奖励激励的巨大权力逻辑之中。在 PoW 中恢复遭受攻击很困难：第一次发生时，你可以进行硬分叉以更改 PoW，从而使攻击者的 ASIC 无效，但第二次你就没有这个选项，因此攻击者可以一次又一次地进行攻击。因此，矿网络的规模必须足够大，以至于攻击是不可想象的。规模少于 X 的攻击者由于网络每天不断花费 X，受到遏制。我拒绝这种逻辑，因为 (i) 它kills trees，并且 (ii) 它没有认识到密码朋克精神 — 攻击成本与防御成本呈 1:1 比率，因此没有防御者的优势。

• 权益证明通过依赖于惩罚，而不是奖励来打破这种对称性。验证者将资金（“存款”）放在赌注上，稍微获得奖励以补偿他们锁定资本、维护节点、采取额外预防保持私钥安全，但解除交易的主要成本来自于惩罚，这些惩罚是获取的奖励的数百或数千倍。权益证明的“单句哲学”因此不是“安全性来自于燃烧能量”，而是“安全性来自于提供价值损失的经济价值”。如果你能证明对任何冲突区块或状态实现同等层次的最终性而不付出 $X 的惩罚，则给定的区块或状态的安全性为 $X。

• 理论上，验证者的多数共谋可能接管一个权益证明链，并开始恶意行为。然而，（i）通过巧妙的协议设计，可以尽量限制他们通过这种操作获得额外利润的能力，更重要的是（ii）如果他们试图阻止新验证者加入，或者实施 51% 攻击，那么社区可以简单地协调硬分叉，删除违规验证者的存款。一次成功的攻击可能花费 5,000 万美元，但清理后果的过程并不会比 2016.11.25 的 geth/parity 共识失败 更加繁琐。 两天后，区块链和社区已恢复正常，攻击者变得 5,000 万美元更贫穷，而社区的其余部分可能因攻击导致的供应紧张而变得财富增加。这就是攻击/防御的不对称性。

• 上述内容不应被视为无计划的硬分叉将成为常规现象；如果愿意，单次 51% 攻击的成本当然可以设置得与对 PoW 的 永久 51% 攻击的成本一样高，而且攻击的巨大成本和低效应该确保实际上几乎从不尝试。

• 经济并不是一切。个体行为者可能因协议外的动机受到驱动，他们可能被黑客攻击，被绑架，或者可能在那里喝醉并决定在某一天摧毁区块链，他们根本不在乎成本。此外，从积极的一面说，个体的道德克制和沟通无效性通常会将攻击的成本提高到远高于协议定义的名义价值。这是我们无法依赖的一个优势，但同时这是我们不应无谓放弃的优势。

• 因此，最佳协议是那种在多种模型和假设下都能良好运作的协议 — 经济理性的协调选择、经济理性的个体选择、简单故障容忍、拜占庭故障容忍（理想情况下包括适应性和非适应性对手变量）、Ariely/Kahneman 启发的行为经济模型（“我们都只是稍微作弊一下”）以及理想情况下任何其他现实和实际推理的模型。必须拥有这两层防御：经济激励以抑制中心化卡特尔的不社会行为，以及反中心化激励以在最初抑制卡特尔的形成。

• 快速运行的共识协议具有风险，若要使用必须非常小心，因为如果快速的_可能性_与_激励_有关联，则结合将奖励非常高且具有系统性风险层次的 网络级中心化（例如，所有验证者都来自同一家托管供应商）。那些不太关心验证者发送消息的速度的共识协议，只要在某个可接受的长时间间隔内（例如，4-8秒，因为我们实证知道以太坊的延迟通常为 ~500ms-1s）都不会有这些担忧。一个可能的折中方案是创建能够快速工作的协议，但其中类似以太坊的单子机制确保节点中网络连通性超出一些容易达到的点所带来的边际奖励相对较低。

从这里开始，当然还有许多细节和许多分歧的方法，但上述是至少我的版本的 Casper 所依据的核心原则。从这里，我们当然可以辩论 competing values 的权衡。我们是将 ETH 的年发行率设置为 1%，而承担强制性硬分叉的 $5,000 万成本，还是将年发行率设置为 0%，并承担强制性硬分叉的 $5,000 成本？我们何时提高协议在经济模型下的安全性，以换取降低在容错模型下的安全性？我们更关心拥有可预测的安全级别还是可预测的发行水平？这些都是另一个帖子的问提，而落实在这些价值之间的不同权衡的各种方式则是更多帖子的提问。但我们会探讨这些 :)

• 原文链接： vitalik.eth.limo/general...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～