Vitalik Buterin：「密碼龐克精神」不只是理想主義

原文標題：A Proof of Stake Design Philosophy

原文作者：Vitalik Buterin

本文首刊於2016 年12月29 日。

像以太坊（以及比特幣、NXT、Bitshares 等）這樣的系統是一類全新的加密經濟體－去中心化的、無司法管轄的實體，完全存在於網路空間中，由密碼學、經濟學和社會共識的結合維持運作。它們有點像 BitTorrent，但又不同於 BitTorrent，因為 BitTorrent 沒有狀態的概念——這一區別至關重要。它們有時被描述為去中心化的自治公司，但它們也不完全是公司——你不能硬分叉微軟。它們有點像開源軟體項目，但也不完全相同——你可以分叉一個區塊鏈，但不如分叉 OpenOffice 那麼容易。

這些加密經濟網路有多種形式－基於ASIC 的PoW，基於GPU 的PoW，樸素的PoS，委託的PoS，以及希望很快能實現的Casper PoS——每一種形式都不可避免地帶有其自身的底層哲學。一個著名的例子是工作量證明（PoW）的最大化主義願景，其中「正確的」區塊鏈被定義為礦工們花費最大經濟資本創造的鏈。最初這只是一個協議內的分叉選擇規則，但在許多情況下，這個機制已被提升為神聖的信條。 Bitshares 的委託權益證明（DPoS）提出了另一種一致的哲學，所有的一切再次源自於一個簡單的原則：股東投票。

每一種哲學──中本共識、社會共識、股東投票共識──都有自己的結論，並形成一套在其自身術語下非常有意義的價值體系，儘管在相互比較時可能受到批評。 Casper 共識也有其哲學基礎，儘管尚未如此簡潔地表達出來。

我自己、Vlad、Dominic、Jae 等人都有自己對權益證明協議為何存在及如何設計的看法，但在此我打算解釋我個人的出發點。

先列出觀察，然後直接下結論。

在 21 世紀，密碼學非常特殊，因為這是少數幾個對抗衝突繼續顯著偏向防禦者的領域之一。堡壘比摧毀更容易防禦，島嶼可以防禦但仍可能被攻擊，但一個普通人的 ECC 密鑰足夠安全，可以抵禦甚至國家級別的攻擊者。密碼朋克哲學基本上是利用這種寶貴的不對稱性來創造一個更好地保護個人自主權的世界，加密經濟學在某種程度上是這種思想的延伸，只不過這次是保護複雜協調和協作系統的安全性和活性，而不僅僅是私人訊息的完整性和機密性。自認為是密碼朋克精神繼承者的系統應該保持這一基本特性，比使用和維護更難摧毀或擾亂。

「密碼龐克精神」不只是理想主義；設計比攻擊更容易防禦的系統也是合理的工程實踐。

在中長期，人類在共識方面表現相當好。即使攻擊者有無限的哈希能力，並發起 51% 的攻擊，回滾任何主要區塊鏈的歷史說服社區該鏈是合法的要比僅超過主鏈的哈希能力難得多。他們需要顛覆區塊瀏覽器、社群中每個受信任的成員、《紐約時報》、archive.org 以及網路上的許多其他來源；總之，在資訊科技密集的21 世紀，讓世界相信新的攻擊鏈是第一個出現的，比讓世界相信美國登月從未發生過還要難。這些社會考量最終保護了任何區塊鏈的長期安全，無論區塊鏈的社群是否承認這一點（注意，比特幣核心確實承認社會層的首要性）。

然而，僅靠社會共識保護的區塊鏈將非常低效和緩慢，分歧容易持續不休（儘管儘管困難重重，但這種情況確實曾發生）；因此，經濟共識在短期內保護活性和安全性方面起著極其重要的作用。

由於工作量證明（PoW）安全性只能來自區塊獎勵（根據Dominic Williams 的術語，它缺少三個E 中的兩個），而礦工的激勵只能來自他們失去未來區塊獎勵的風險，工作量證明必然以巨大的能量消耗為邏輯，由巨大的獎勵激勵其存在。從攻擊中恢復非常困難：第一次發生時，你可以硬分叉改變PoW，從而使攻擊者的ASIC 無效，但第二次你不再有這個選項，因此攻擊者可以一次又一次地攻擊。因此，礦工網路的規模必須大到攻擊不可想像的地步。小於 X 規模的攻擊者透過使網路每天不斷花費 X 來避免出現。我拒絕這種邏輯，因為（i）它消耗了自然資源，（ii）它未能實現密碼朋克精神——攻擊成本和防禦成本是 1:1 的比例，沒有防御者優勢。

權益證明透過依賴懲罰而非獎勵打破了這種對稱性。驗證者投入資金（「存款」），得到一些獎勵以補償他們鎖定資本、維護節點並採取額外措施確保私鑰安全，但回滾交易的主要成本來自遠高於他們獲得的獎勵的懲罰。權益證明的「一句話哲學」因此不是「安全來自消耗能量」，而是「安全來自投入的經濟價值損失」。一個區塊或狀態具有$X 的安全性，如果你能證明在沒有惡意節點嘗試切換的情況下，達到相同水準的最終確定性不能完成。

理論上，大多數驗證者可能會聯合起來接管權益證明鏈，並開始惡意行為。然而，（i）透過巧妙的協議設計，可以盡可能限制他們透過這種操縱獲得額外利潤的能力，更重要的是（ii）如果他們試圖阻止新驗證者加入，或執行51% 的攻擊，社區可以簡單地協調一次硬分叉並刪除違規驗證者的存款。一次成功的攻擊可能花費 5000 萬美元，但清理後果的過程不會比 2016 年 11 月 25 日的 geth/parity 共識失敗更繁重。兩天后，區塊鏈和社群恢復正常，攻擊者 5000 萬美元變得更窮，而社群其他成員可能變得更富有，因為攻擊會導致代幣價值上升。這樣就實現了攻擊/防禦的不對稱性。

以上內容不應被解讀為非計劃的硬分叉將成為常態；如果願意，單次51% 攻擊的成本在權益證明下可以被設定為與永久51% 攻擊的工作量證明的成本一樣高，而攻擊的成本和無效性應確保它幾乎不會在實踐中被嘗試。

經濟學不是萬能的。個別行為者可能會被額外的協議動機驅動，他們可能被駭客攻擊，可能被綁架，或者他們可能只是醉酒並決定摧毀區塊鏈，管它什麼成本。此外，從好的方面來看，個體的道德克制和溝通低效率往往會將攻擊成本提高到遠高於名義協議定義的損失價值的水平。這是我們不能依賴的優勢，但同時也是我們不該輕易拋棄的優勢。

因此，最好的協議是在各種模型和假設下都能很好運行的協議——具有協調選擇的經濟理性，具有個體選擇的經濟理性，簡單的容錯，拜占庭容錯（理想情況下包括自適應和非自適應對手變體），Ariely/Kahneman 啟發的行為經濟模型（“我們都作弊一點點”），以及任何其他現實且實用的模型。擁有兩個防禦層是很重要的：經濟誘因以阻止集中化的卡特爾反社會行為，以及反集中化激勵以阻止卡特爾的形成。

盡可能快的共識協議存在風險，如果要採用應該非常謹慎，因為如果可能快速運行與激勵機制相結合，結果會獎勵網絡級別高風險的集中化（例如，所有驗證者都運行在同一託管提供者上）。不太在意驗證者多快發送訊息的共識協議，只要他們在某個可接受的時間間隔內發送（例如4-8 秒，我們根據經驗知道以太坊的延遲通常為~500ms-1s），沒有這些擔憂。一個可能的中間立場是創建可以非常快速運行的協議，但類似於以太坊的叔塊機制，確保節點增加其網路連接度超出某個容易實現的點的邊際獎勵相當低。

從這裡，當然還有許多細節和許多在細節上分歧的方式，但以上是至少我的版本的 Casper 的核心原則。從這裡，我們當然可以就不同價值之間的權衡進行辯論。我們是否給 ETH 設定 1% 的年發行率並獲得 5000 萬美元的強制硬分叉成本，還是零年發行率並獲得 500 萬美元的強制硬分叉成本？何時在經濟模型下增加協議的安全性，以換取在容錯模型下減少安全性？我們更在乎擁有可預測的安全性還是可預測的發行量？這些都是另一個帖子的討論。

原文連結

欢迎加入律动 BlockBeats 官方社群：

Telegram 订阅群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方账号：https://twitter.com/BlockBeatsAsia