权益证明仅能反映现存资金中暂时锁定的部分、且不消耗一般意义上的资金。

原文标题:《观点 | 无时间性的工作量与逐渐磨损的权益》(Work is Timeless\, Stake is Not)
作者 : Hugo Nguyen
翻译与校对:ViolaH、阿剑

相信读者们见过不少关于权益证明(PoS)的文章。我们有很多角度来思考权益证明的弱点,当然,主要就是演化心理学或者历史学。人类历史上的 「收藏品」 或 「原始货币」 都有一个共同点,即 不可伪造的奢华 [1](至少是在当时语境下算是不可伪造的奢华)。譬如:小至贝壳、毛皮、牙齿,大至珍稀的金属和铸币。由于权益证明仅能反映现存资金中暂时锁定的部分、且不消耗一般意义上的资金,所以它不能满足 Nick Szabo 所说的货币的三个重要成分之一—— 「不可伪造的奢华」 这一要求。

经济学角度:只要一件物品有价值,人们就会付出相应的努力争取它(MC=MR)。我们也可以把这种努力称为「工作量」。Paul Sztorc 准确地把权益证明归结为工作量证明的模糊形式。

在权益证明中,工作量也有各种各样的体现形式,可以是银行贷款、也可以是全天候运作的验证者服务器,还可以是孜孜不倦地试图窃取在线的质押者密钥。

笔者认为权益证明实质上不仅是工作量证明,而且它是次级的工作量证明。权益证明为你省去潜在的成本的同时,也在同等程度上降低了你的资产安全系数。

正如上述可见,同是一美元 [2],短暂地将其锁定在质押上,与耗费在铸币上,创造出来的安全性可谓是天壤之别。

计算机科学:Andrew Poelstra 针对权益证明作出了 首个正式批评。他创造了「无成本模拟」(costless simulation,亦称:无利害关系)和「长程攻击」(longrange attacks)这些术语。

最近,由 Jonah Brown-Cohen, Arvind Narayanan & co. 所写的 论文 也证明了:在权益证明协议中,找到一个良好而可靠的随机数源面临不可逾越的障碍 [3]。

工程学:我个人从实际的工程角度写过关于权益证明缺陷的一系列文章(它由两部分组成:Part 1 & Part 2),并具体地列出权益证明薄弱环节突出的一些案例——网络分区、私钥盗窃或者质押参与率低。

但也许,观察权益证明最简单的方式之一便是从 「时间」 的角度着眼。我在上述系列文章中也提及过这一点,于此将具体展开。

权益证明只是暂时性权益的证明

「权益证明」 实乃用词不当。对权益证明准确的描述应该是 「临时权益证明」(Proof-of-Temporary-Stake)。后者更为准确,因为它抓住了 「时间」 的元素,或者说把握到了 「权益证明」 背后的思想没有考量到的地方。

为了理解时间的影响,我们需要先分析时间在工作量证明中所起的作用。在工作量证明中,持续不断的能量消耗以两种方式保证网络安全:

  • 花在每一区块的能量不仅保护了属于那一区块的 UTXO (unspent transaction outputs,未花费的交易输出,比特币等多种密码学货币的表现形式),也 保护了 前面所有的区块中的全局 UTXO。这样的道理在于,想要改动之前的 UTXOs 就要先改动最新的区块。每个新的区块都用其自身有效地保护着前面的区块。
  • 本质上来看,在专业的挖矿设备上的投资意味着未来源源不断的 潜在盈利 折现而成的现值。当矿工投资新的挖矿设备时,就相当于买了一股定期分红的股票。这意味着总的挖矿硬件粗略地代表了未来区块要消耗的能量。

如果这样说还有点抽象,那我们可以用一条时间轴去理解。过去的算法耗能会累计在总账中,未来预计的算法耗能会累计在当前的挖矿硬件上。

权益证明只是暂时性权益的证明?阐释 PoS 代币并非不可伪造的奢华账本凝聚了过往的工作量;挖矿硬件凝聚了未来的工作量

总账累计了之前的算法耗能,挖矿硬件累计了未来的算法耗能。随着时间推移,耗能会从挖矿硬件一侧转移到总账那一侧。挖矿硬件也可看作是一个储存能量、并最终将能量注入总账的缓冲区 [4]。

描述这种基于时间的累计现象的专门术语是 「存量和流量」(stock & flow)。从根本上而言,比特币是由总账和挖矿硬件两处的高存量流量比来保护的(更多关于存里和流量的讨论,可点击 此处)。

而权益证明与此完全不同。

因为保证金总会在绑定一段时间之后被实放出来,所以过去的权益(时间轴左侧)不会累计在总账上 [5]。长程攻击(long range attack)正体现了这个弱点——长程攻击之所以会发生,是因为权益证明无法保护过去的账本历史。长远来看,由于权益证明不能保证总账的完整性(而这是区块链这项创新中最宝贵的东西),长程攻击成了权益证明中的核心问题。

因为质押行为仅意涵着短期内发生的情况而不反映将来的事情,未来的权益(时间轴的右侧)并不会累计在现在的验证器中。私钥盗窃 漏洞正是这个问题的反映:因为权益证明无法保护未来的权益。密钥盗窃回避了控制权益所需的金融成本,然而对于工作量证明来说,它并不能回避掉这个成本——攻击者去赢得并维持攻击所要消耗的挖矿硬件和能量成本。

(权益证明中有一种累计方式——验证者定期可得的质押收益。这不同于工作量证明中的累计,权益证明中的累计获益仅仅有利于验证者个人,而不是总体的网络安全。)总言之,在权益证明的体系下,(无论过去还是未来)离当前时间越远,权益的作用就越弱,所谓的「质押」的概念就越是空洞。

在 「时间」 的考验面前,工作量相比于权益更为强韧有力。

在总账和挖矿硬件中,工作量证明的成本无可避免地下沉和堆积,这是其重要的特征而非漏洞。这个概念判定是重要的。因为关于权益证明的研究经常认为这是一个漏洞并将其视为无效率的原因,而这无疑是一个概念错误。

鸣谢

在此,特别感谢 Vijay Boyapati, Bob Mcelrath, LaurentMT, Nic Carter & Steve Lee 的宝贵反馈。

后记:对权益证明的另一个重要批评是权益证明在很大程度上保证了财阀统治的系统(使富人更富)。本文中并没有论及这个批评是因为它和安全强度本身无关,同时也考虑到这个批评更值得专门分开来讨论。

[1] 有人或许会将无可伪造的奢侈性与 劳动价值论 混为一谈,但是这不能同日而语。单单耗费能量是不足够的,资产还应该是无可伪造的。

[2] 在这里用 Dollar 作为单位仅出于便利考虑,也可以用其他单位替换。

[3] 对于权益证明的货币而言,依赖于外部来源的随机性会有 循环论证 的问题。所以权益证明运更可能用自身的总账内容来生成随机性。但是,人们已经证明了这样做将不得不有所牺牲。

[4] 并不是所有工作量的单位都能进入总账。有些会被作废,但是作废的工作量对于保持网络的分散化也是必须的。

[5] 「finality」的概念不会改变权益证明累计方面的缺失,因为 新的 / 长期静止 / 被隔离的节点 会观察到不同的「finalities」(终极事实)。

[6] 在工作量证明中,没收硬件(如:被国家没收硬件)是一个风险。但是随着挖矿充分地分散,风险会缓和下来。然而,硬件的分散并不能保护权益证明系统,因为权益证明的验证者只是软件节点,这些软件节点可以被远程瞄准和击破。更重要的是,即使能够没收硬件,攻击者仍然不能避免需要不断付出的能量成本。

[7] 用哈希次数来衡量工作量,工作量就变成了无时间性的永恒概念,无需额外付出能量便可知晓其意义。新的硬件技术可能提高挖矿的效率。但在一定意义上,当挖矿遇到其物理极限时,挖矿效率提升也将减缓。比特币的工作量证明的强韧度也依赖于 SHA256 哈希算法不会被攻破。

来源链接:medium.com