Vitalik：權益證明設計理念

撰文：Vitalik Buterin

像以太坊(以及比特幣，NXT和Bitshares等)這樣的系統在密碼經濟體系中是一個全新的類型—這樣去中心化的，不受監管的實體，已經完全存在於網絡當中，並且由密碼學，經濟學和社會共識共同維護。

它們有點像BitTorrent(一種點對點共識協議)，但也不完全像，因為BitTorrent沒有狀態的概念 - 這個區別最終變得至關重要。

它們有時被形容為去中心化的自治企業 ，但又不是那樣的企業 - 比如你不能對微軟實行硬分叉。它們有點像開源的軟件項目，但是也不是那麼回事 - 比如你可以分叉區塊鏈，但不像分叉OpenOffice那麼容易。

這些密碼經濟網絡有很多種類——基於ASIC的PoW(工作量證明機制)，基於GPU的PoW，PoS(權益證明)，DPoS(股份授權證明機制)，以及即將出現的Casper PoS(以太坊將採用的共識機制)。

每一種無疑都有其自身的理念。

一個眾所周知的例子是工作量證明的最大化願景，其中正確的區塊鏈被定義為礦工花費了大量資本所創造的區塊鏈。最初僅僅是一個協議中的分叉選擇規則，這個機制在很多情況下被提升成為一種神聖的信條—就拿我在twitter上跟Chris DeRose的討論為例(Chris DeRose認為總算力超過50%的分叉會成為最長的、新的主鏈)，一些人極力試圖在純粹的形式下維護這個想法，即使是在變更哈希算法的硬分叉面前。

比特股的股份授權證明機制提出了另一種理念，即一切都來自於一個單一的信條，但是可以被更直白的描述為：股份持有者投票機制。

每一個理念：中本聰共識，社會共識，股份持有者投票共識，都有其自身的結論，導致了當從自己的角度來看時，其價值體系具有相當的意義——雖然在相互比較時它們肯定會被批判。Casper共識同樣有理論基礎，儘管迄今為止還沒有得到明確的闡述。

我自己、Vlad, Dominic, Jae 和其他人在為什麼PoS協議能夠存在以及如何設計它們這件事上都有各自的觀點，但在這裡我想解釋一下我個人的見解。

 我將著手列出結果，然後直接下結論。

密碼學在21世紀非常特殊，因為密碼學是在對抗性衝突中繼續極大地偏袒防禦者的少數領域之一。摧毀城堡比搭建更容易，島嶼可以守護，但是仍然會被攻擊，但普通人的ECC(橢圓加密算法)密鑰是足夠安全的，甚至足夠對抗國家級的參與者。Cypherpunk(將提倡廣泛使用強密碼學以及隱私增強技術作為通往社會和政治改革道路的激進份子)理論是從根本上利用這種寶貴的不對稱性來創建一個可以更好地保存個人自主的世界，而且在一定程度上，除了保護複雜協作體系的安全性和活躍度外，密碼經濟學也是Cypherpunk的延伸，而不僅僅是隱私信息的完整性和機密性。認為自己繼承了cypherpunk精神意識形態的系統應該保持這種基本屬性，並且摧毀/破壞的成本要比使用/維護昂貴得多。

Cypherpunk精神不只是關於理想主義，讓系統防禦比發起攻擊更容易同樣是可靠的工程。

在中長期的時間尺度上，人類相當擅長於共識。即使對手能夠獲得無限制的哈希算力，並且即使在歷史的最後一個月也恢復了任何主鏈的51％攻擊，但要讓社區相信這條鏈是合法的，其難度遠高於僅僅超越主鏈的哈希算力。他們需要推翻區塊研究者，社區中的每一位值得信賴的成員，紐約時報，archive.org以及互聯網上的其他許多發起者; 總而言之，讓全世界相信新的攻擊鏈是最初的鏈，在這個信息技術密集的21世紀就像要讓世界相信美國的月球登陸從未發生過一樣難。 無論區塊鏈的社區是否承認，從長遠來看，這些社會因素都是保護任何區塊鏈的最終目的(注意比特幣核心確實承認這種社會層面的首要性)。

然而，僅受社會共識保護的區塊鏈太過低效，速度太慢，容易讓分歧沒完沒了(儘管遇到了各種困難，但已經發生); 因此，經濟共識在短期內對保護活躍度和安全性方面起著極其重要的作用。

因為工作量證明的安全機制只能來自於區塊獎勵(按Dominic Williams的說法，它缺少existence cost(生存成本)和exit penalty(退出懲罰)，只有entry cost(參與成本) )，對礦工的激勵只能來自於將來可能喪失區塊獎勵的風險，工作量證明機制必然會在大量區塊獎勵對大規模算力進行激勵的邏輯下運行。從PoW攻擊中進行恢復是非常困難的：攻擊第一次發生時，你可以通過硬分叉改變PoW，從而使攻擊者的ASIC失效。但是攻擊者再次發起攻擊時，就不能再次改變了，而攻擊者可以一而再，再而三 的發起攻擊。因此，挖礦網絡的規模必須足夠大，以至於使攻擊變得難以想象。由於網絡每天不斷地花費X，規模小於X的攻擊者則不鼓勵出現。我拒絕整個邏輯是因為：

       (i) 這種機制會殺死樹木(言外之意應該是在說大量資源的浪費)；

       (ii) 這種機制無法認識到Cypherpunk精神—攻擊所付出的代價與防禦所要花費的比率是1:1，使得防禦變得沒有任何優勢。

權益證明通過不再依賴工作量證明的安全機制，而是使用懲罰機制來打破這種1:1的對稱性。驗證人將錢(“存款”)放在股權中會獲得少量的獎勵，以補償他們鎖定存款和維護節點，以及採取額外的預防措施以確保其私鑰安全，但是恢復交易的大部分成本都將來自受到的懲罰，這些懲罰將是在此期間獲得的獎勵的數百或數千倍。所以權益證明的“一句話理論”不是“從消耗能量獲得的安全“，而是“通過建立價值損失的經濟手段而獲得的安全“。如果你可以證明對於任何衝突區塊或狀態，都不可能達到相同級別的終止，那麼一個給定的區塊或狀態則具有X的安全性，除非惡意節點試圖交換與�的安全性，除非惡意節點試圖交換與X等價的協議內懲罰。

理論上，大多數驗證人如果相互勾結，可能會接管權益證明，並開始發起惡意的行為。然而，

       (i) 通過巧妙的協議設計，他們利用這種操作所能獲取的額外利潤可以被儘可能的限制，更重要的是

       (ii) 如果他們試圖阻止新驗證人的加入，或者進行51%攻擊，社區將簡單地協調硬分叉，並刪除違規驗證人的資產。

       一次成功的攻擊可能會花費5千萬美元，但清理後果的過程不會比2016年11月25日發生的geth/parity客戶端共識失敗還麻煩。兩天後，區塊鏈和社區重返正軌，攻擊者損失了5千萬，並且自從攻擊導致代幣供應緊縮而使價格上升後，其他社區貌似變得更富有了。這才是(我們需要的)攻防不對稱性。

以上的觀點不應該被理解為：不定期的硬分叉會經常發生。如果需要的話，對權益證明的51%單一攻擊成本可以設定為與工作量證明的51%永久性攻擊成本一樣高，並且攻擊的全部開銷和無效性應該可以確保它幾乎永遠不會被實踐。

經濟並不是一切。個體可能會受到附加條款動機的驅使，他們會被黑客入侵，被綁架，或者只是喝醉瞭然後決定破壞區塊鏈，並以犧牲成本為代價。另外，值得高興的是，個體的道德容忍度及交流的低效性通常會使攻擊的成本提高到比標準定義的價值損失協議高得多的水平 。這既是一個我們不能依賴的優勢，但同時也是一個我們不應當不必要地拋棄的優勢。

因此，最好的協議就是可以在多種模型和假定下良好運行的協議—具有協調選擇的、個體選擇的經濟合理性，簡單容錯性，拜占庭容錯性(理想情況下適應和非適應敵對變體)，受Ariely/Kahneman啟發的行為經濟模型(“我們所有人都會作弊”)以及任何理想的其他模型，都是現實可行的。有兩層防線是重要的：經濟激勵措施阻止中心化企業的反社會行為，反中心化激勵措施首先阻止中心化企業的形成。

運行速度很快的共識協議具有風險，如果真的發生的話，應當非常小心的處理。因為如果這種速度變得很快的可能性與激勵措施相結合，就會產生很高的獎勵以及引起網絡中心化的系統風險(例如，所有驗證人都在同一託管服務提供商上運行)。共識協議不太關心驗證人發送一條消息有多快，只要在可接受的時間間隔中即可(例如4~8秒，我們憑經驗都知道，以太坊的延遲通常在500ms~1s之間)。一個可能的中間立場是創建可以非常快速工作的協議，但是在類似於以太坊叔塊的機制中，確保節點的邊際獎勵增加其網絡連通度超過某個可容易達到的點的程度相當低。

從這裡，當然有很多細節以及很多在細節上有分歧的方式，但以上至少是我的Casper版本基於的核心原則。從這裡，我們當然可以在競爭值之間辯論權衡。

我們是否可以給ETH一個1%的年度發行比率，並花費5千萬強制實行補救性硬分叉，還是不額外發行ETH，並花費5百萬強制實行補救性硬分叉?

我們何時在經濟模型下增加協議的安全性，以換取在容錯性模型下降低其安全性？

我們對可預測的安全性較感興趣，還是可預測的代幣發行？這些都是另一個版本的所有問題，在這些值之間實現各種不同的折衷方式是更多版本的問題。但是我們會去實現的。