權益證明僅能反映現存資金中暫時鎖定的部分、且不消耗一般意義上的資金。

原文標題:《觀點 | 無時間性的工作量與逐漸磨損的權益》(Work is Timeless\, Stake is Not)
作者 : Hugo Nguyen
翻譯與校對:ViolaH、阿劍

相信讀者們見過不少關於權益證明(PoS)的文章。我們有很多角度來思考權益證明的弱點,當然,主要就是演化心理學或者歷史學。人類歷史上的 「收藏品」 或 「原始貨幣」 都有一個共同點,即 不可僞造的奢華 1(至少是在當時語境下算是不可僞造的奢華)。譬如:小至貝殼、毛皮、牙齒,大至珍稀的金屬和鑄幣。由於權益證明僅能反映現存資金中暫時鎖定的部分、且不消耗一般意義上的資金,所以它不能滿足 Nick Szabo 所說的貨幣的三個重要成分之一—— 「不可僞造的奢華」 這一要求。

經濟學角度:只要一件物品有價值,人們就會付出相應的努力爭取它(MC=MR)。我們也可以把這種努力稱爲「工作量」。Paul Sztorc 準確地把權益證明歸結爲工作量證明的模糊形式。

在權益證明中,工作量也有各種各樣的體現形式,可以是銀行貸款、也可以是全天候運作的驗證者服務器,還可以是孜孜不倦地試圖竊取在線的質押者密鑰。

筆者認爲權益證明實質上不僅是工作量證明,而且它是次級的工作量證明。權益證明爲你省去潛在的成本的同時,也在同等程度上降低了你的資產安全係數。

正如上述可見,同是一美元 2,短暫地將其鎖定在質押上,與耗費在鑄幣上,創造出來的安全性可謂是天壤之別。

計算機科學:Andrew Poelstra 針對權益證明作出了 首個正式批評。他創造了「無成本模擬」(costless simulation,亦稱:無利害關係)和「長程攻擊」(longrange attacks)這些術語。

最近,由 Jonah Brown-Cohen, Arvind Narayanan & co. 所寫的 論文 也證明了:在權益證明協議中,找到一個良好而可靠的隨機數源面臨不可逾越的障礙 [3]。

工程學:我個人從實際的工程角度寫過關於權益證明缺陷的一系列文章(它由兩部分組成:Part 1 & Part 2),並具體地列出權益證明薄弱環節突出的一些案例——網絡分區、私鑰盜竊或者質押參與率低。

但也許,觀察權益證明最簡單的方式之一便是從 「時間」 的角度着眼。我在上述系列文章中也提及過這一點,於此將具體展開。

權益證明只是暫時性權益的證明

「權益證明」 實乃用詞不當。對權益證明準確的描述應該是 「臨時權益證明」(Proof-of-Temporary-Stake)。後者更爲準確,因爲它抓住了 「時間」 的元素,或者說把握到了 「權益證明」 背後的思想沒有考量到的地方。

爲了理解時間的影響,我們需要先分析時間在工作量證明中所起的作用。在工作量證明中,持續不斷的能量消耗以兩種方式保證網絡安全:

  • 花在每一區塊的能量不僅保護了屬於那一區塊的 UTXO (unspent transaction outputs,未花費的交易輸出,比特幣等多種密碼學貨幣的表現形式),也 保護了 前面所有的區塊中的全局 UTXO。這樣的道理在於,想要改動之前的 UTXOs 就要先改動最新的區塊。每個新的區塊都用其自身有效地保護着前面的區塊。
  • 本質上來看,在專業的挖礦設備上的投資意味着未來源源不斷的 潛在盈利 折現而成的現值。當礦工投資新的挖礦設備時,就相當於買了一股定期分紅的股票。這意味着總的挖礦硬件粗略地代表了未來區塊要消耗的能量。

如果這樣說還有點抽象,那我們可以用一條時間軸去理解。過去的算法耗能會累計在總賬中,未來預計的算法耗能會累計在當前的挖礦硬件上。

權益證明只是暫時性權益的證明?闡釋 PoS 代幣並非不可僞造的奢華賬本凝聚了過往的工作量;挖礦硬件凝聚了未來的工作量

總賬累計了之前的算法耗能,挖礦硬件累計了未來的算法耗能。隨着時間推移,耗能會從挖礦硬件一側轉移到總賬那一側。挖礦硬件也可看作是一個儲存能量、並最終將能量注入總賬的緩衝區 [4]。

描述這種基於時間的累計現象的專門術語是 「存量和流量」(stock & flow)。從根本上而言,比特幣是由總賬和挖礦硬件兩處的高存量流量比來保護的(更多關於存裏和流量的討論,可點擊 此處)。

而權益證明與此完全不同。

因爲保證金總會在綁定一段時間之後被實放出來,所以過去的權益(時間軸左側)不會累計在總賬上 [5]。長程攻擊(long range attack)正體現了這個弱點——長程攻擊之所以會發生,是因爲權益證明無法保護過去的賬本歷史。長遠來看,由於權益證明不能保證總賬的完整性(而這是區塊鏈這項創新中最寶貴的東西),長程攻擊成了權益證明中的核心問題。

因爲質押行爲僅意涵着短期內發生的情況而不反映將來的事情,未來的權益(時間軸的右側)並不會累計在現在的驗證器中。私鑰盜竊 漏洞正是這個問題的反映:因爲權益證明無法保護未來的權益。密鑰盜竊迴避了控制權益所需的金融成本,然而對於工作量證明來說,它並不能迴避掉這個成本——攻擊者去贏得並維持攻擊所要消耗的挖礦硬件和能量成本。

(權益證明中有一種累計方式——驗證者定期可得的質押收益。這不同於工作量證明中的累計,權益證明中的累計獲益僅僅有利於驗證者個人,而不是總體的網絡安全。)總言之,在權益證明的體系下,(無論過去還是未來)離當前時間越遠,權益的作用就越弱,所謂的「質押」的概念就越是空洞。

在 「時間」 的考驗面前,工作量相比於權益更爲強韌有力。

在總賬和挖礦硬件中,工作量證明的成本無可避免地下沉和堆積,這是其重要的特徵而非漏洞。這個概念判定是重要的。因爲關於權益證明的研究經常認爲這是一個漏洞並將其視爲無效率的原因,而這無疑是一個概念錯誤。

鳴謝

在此,特別感謝 Vijay Boyapati, Bob Mcelrath, LaurentMT, Nic Carter & Steve Lee 的寶貴反饋。

後記:對權益證明的另一個重要批評是權益證明在很大程度上保證了財閥統治的系統(使富人更富)。本文中並沒有論及這個批評是因爲它和安全強度本身無關,同時也考慮到這個批評更值得專門分開來討論。

1 有人或許會將無可僞造的奢侈性與 勞動價值論 混爲一談,但是這不能同日而語。單單耗費能量是不足夠的,資產還應該是無可僞造的。

2 在這裏用 Dollar 作爲單位僅出於便利考慮,也可以用其他單位替換。

[3] 對於權益證明的貨幣而言,依賴於外部來源的隨機性會有 循環論證 的問題。所以權益證明運更可能用自身的總賬內容來生成隨機性。但是,人們已經證明了這樣做將不得不有所犧牲。

[4] 並不是所有工作量的單位都能進入總賬。有些會被作廢,但是作廢的工作量對於保持網絡的分散化也是必須的。

[5] 「finality」的概念不會改變權益證明累計方面的缺失,因爲 新的 / 長期靜止 / 被隔離的節點 會觀察到不同的「finalities」(終極事實)。

[6] 在工作量證明中,沒收硬件(如:被國家沒收硬件)是一個風險。但是隨着挖礦充分地分散,風險會緩和下來。然而,硬件的分散並不能保護權益證明系統,因爲權益證明的驗證者只是軟件節點,這些軟件節點可以被遠程瞄準和擊破。更重要的是,即使能夠沒收硬件,攻擊者仍然不能避免需要不斷付出的能量成本。

[7] 用哈希次數來衡量工作量,工作量就變成了無時間性的永恆概念,無需額外付出能量便可知曉其意義。新的硬件技術可能提高挖礦的效率。但在一定意義上,當挖礦遇到其物理極限時,挖礦效率提升也將減緩。比特幣的工作量證明的強韌度也依賴於 SHA256 哈希算法不會被攻破。

來源鏈接:medium.com