try ai
科普
编辑
分享
反馈
  • 权益证明

权益证明

SciencePedia玻尔百科
核心要点
  • 权益证明用经济质押取代了工作量证明中能源密集型的计算,验证者通过锁定资本作为抵押品来保障网络安全。
  • 为确保公平性并防止定向攻击,PoS 中的验证者选择通常使用可验证随机函数(VRF)进行不可预测的抽签。
  • 现代 PoS 系统通过要求代表绝大多数的验证者对区块进行投票来实现经济性最终性,这使得任何区块逆转行为都将因罚没(slashing)而成为一种经济上的自我毁灭。
  • PoS 易受远程攻击的影响,该漏洞通过弱主观性得到缓解,即要求新用户信任一个近期的、经过社会审查的检查点。
  • PoS 的原理与多个不同领域相联系,例如用于系统设计的工程学、用于稳定性分析的经济学,以及用于性能建模的数学。

引言

在去中心化数字账本的世界里,建立无需中央权威的信任是至高无上的挑战。开创性的解决方案——工作量证明(PoW)——在这方面取得了巨大成功,但代价是惊人的环境成本,其能源消耗堪比整个国家。这个根本性问题——如何在不消耗物理世界资源的情况下保障网络安全——引发了对更可持续、更高效共识机制的探索。本文将探讨从这场探索中脱颖而出的主流替代方案:权益证明(PoS)。

我们将首先深入探讨 PoS 的核心​​原理与机制​​,剖析它如何用经济抵押品取代计算工作,如何使用先进的密码学公平地选择区块生产者,以及如何通过经济性最终性等概念提供强大的安全保障。然后,在​​应用与跨学科联系​​部分,我们将拓宽视野,探讨 PoS 的核心思想如何与工程学、经济学和应用数学等不同领域的挑战产生共鸣并提供解决方案,揭示其作为一种多功能智力工具的真正力量。

原理与机制

要真正理解权益证明(PoS),我们必须首先回顾其概念上的前身——工作量证明(PoW),它是比特币等系统的动力引擎。想象一场盛大的抽奖,参与者疯狂地进行计算,消耗巨大的计算能量。第一个找到“黄金数字”的人赢得将下一页添加到全球账本的权利,并因此获得奖励。这种“工作”并不仅仅是为了作秀,它正是账本安全的基础。要改写历史,攻击者需要重做所有这些工作,其计算能力必须超过全世界其他人的总和——这是一个极其昂贵的提议。

这个系统很稳健,但它带来了惊人的环境成本。全球 PoW 矿工网络消耗的能源与整个国家相当。这使得该领域的先驱们提出了一个深刻的问题:有没有办法在不消耗物理世界资源的情况下实现同样的安全?我们能否将这场竞赛虚拟化?对更可持续、更优雅解决方案的追求,正是权益证明的起源。

从暴力计算到经济权益

权益证明始于一个简单却具有变革性的想法:用经济成本取代电力和硬件的物理成本。你不再通过消耗能源来证明你已“利益相关”,而是通过将自己的资本置于风险之中来证明。在 PoS 系统中,参与者(现在称为​​验证者​​)锁定一定数量的网络原生货币作为保证金,即​​权益(stake)​​。这笔质押的资本充当抵押品。如果你遵守规则并帮助维护网络,你就能赚取奖励,就像 PoW 矿工一样。但如果你试图作弊,你的权益可能会被销毁——这种惩罚被称为​​罚没(slashing)​​。

这个看似简单的转变带来了深远的影响。网络的安全不再与外部资源消耗挂钩,而是与系统本身的内部经济价值相联系。从经济学角度看,PoW 的成本是一种私人资源成本(矿工在电力上花费的钱),它造成了*负外部性(由所有人承担的环境破坏)。相比之下,PoS 的主要成本是被锁定资本的机会成本*——即验证者无法将这笔钱用于其他用途。这种成本几乎完全由验证者个人承担,从而形成一个外部性足迹近乎为零的系统。PoS 并没有消除成本,而是巧妙地将其从一种对社会造成负担的成本转变为一种对社会无害的成本。

然而,这种虚拟化引入了一个新的难题。在 PoW 的抽奖中,胜利者是那台最先喊出“我找到了!”的计算机。在 PoS 中,如果没有计算竞赛,我们如何公平、安全地选择哪个验证者来提议下一个区块呢?

不可预测、不可操控的抽奖

在 PoS 中选择一个区块提议者是一场精巧的密码学舞蹈。一个幼稚的方法,比如按权益加权的简单抽奖,充满了危险。如果下一个领导者是可预测的,对手就可以通过网络攻击来针对他们,从而扰乱链条。更糟糕的是,如果验证者能以某种方式影响抽奖结果,他们就可以不公平地增加自己获胜的机会。后一个问题被称为“研磨”(grinding),指的是对手尝试无数种可能性,直到找到一种能让自己成为领导者的方案。

解决这个问题的方案是一项优美的密码学技术,称为​​可验证随机函数(Verifiable Random Function, VRF)​​。你可以将 VRF 想象成一个神奇的、分发给每个验证者的个人抽奖机。

  • 每个验证者持有一个唯一的私钥(sksksk)和相应的公钥(pkpkpk)。
  • 对于每个新的区块提议机会,一个公开的、不可预测的“种子”(xxx)(源自区块链的近期历史)会对所有人开放。
  • 每个验证者使用自己的私钥将这个种子输入到他们的个人 VRF 中。VRF 会产生两样东西:一个伪随机数(yyy)——他们的彩票——以及一个证明该数字是正确生成的密码学证明(π\piπ)。

这个优雅的机制由两个关键属性保障:

  1. ​​伪随机性:​​ 对于任何不持有私钥的人来说,输出的数字 yyy 在被揭示之前,与一个真正的随机数是无法区分的。这意味着没有人可以预测下一个领导者是谁,从而挫败了定向攻击。
  2. ​​唯一性:​​ 对于任意给定的种子 xxx 和公钥 pkpkpk,只有一个有效的输出 yyy。验证者不能多次运行他们的 VRF 来“研磨”一张更有利的彩票。他们只有一张,且仅有一张彩票。

然后,协议会设定一个阈值。如果一个验证者的彩票号码 yyy 低于某个特定值(该值根据其权益进行缩放,因此权益越大,获胜机会越高),他们就中奖了。然后他们广播自己的区块、中奖号码 yyy 和证明 π\piπ。任何人都可以使用他们的公钥 pkpkpk 来验证该证明,确认他们是公平公正地赢得了抽奖。VRF 确保了抽奖对外部者来说是不可预测的,对内部者来说是不可操控的。

最终性的谱系

一旦一个区块被提议并添加到链上,我们有多大把握它会永远留在那里?这个概念被称为​​最终性(finality)​​。在这里,共识机制的世界分化开来,揭示了一个引人入胜的保证谱系。

最简单的方法,被 PoW 和一些 PoS 设计所采用,提供的是​​概率性最终性(probabilistic finality)​​。想象区块链是一棵不断生长的可能性之树。“主链”是最长的那根树枝。一个区块被埋得越深(其后跟随的区块越多),它就被认为越安全。发生“重组”(reorganization)——即一个竞争分支突然变长并取代当前分支——的可能性随着深度呈指数级衰减。我们可以 99.999% 确定一个区块是最终的,但永远无法达到 100%。这个模型是有效的,但它要求用户和交易所在信任一笔交易前等待一定数量的“确认”(例如,比特币中的 6 个区块),这引入了延迟。其安全性依赖于一个假设:诚实的参与者控制着大部分资源(PoW 中的算力,或 PoS 中的权益),并且网络是相当稳定的。

然而,许多现代 PoS 系统提供了一种更强的保证:​​经济性最终性(economic finality)​​。它们通过嫁接一种受经典拜占庭容错(BFT)理论启发的共识机制来实现这一点。核心思想很简单:让验证者对链进行投票。一个特殊的区块或“检查点”,如果收到了代表超过三分之二(>2/3>2/3>2/3)总权益的验证者的投票,就被宣告为​​已敲定(finalized)​​。

为什么是 2/32/32/3 这个神奇的数字?答案在于一个基于法定人数交集(quorum intersection)的简单而强大的数学论证。想象一下,两个相互冲突的检查点 A 和 B 以某种方式都被敲定了。检查点 A 由一组拥有超过 2/32/32/3 权益的验证者 QAQ_AQA​ 敲定。检查点 B 由另一组 QBQ_BQB​ 敲定,也拥有超过 2/32/32/3 的权益。现在,让我们看看同时投票给 A 和 B 的那组验证者——即交集 QA∩QBQ_A \cap Q_BQA​∩QB​。一点简单的算术表明,这个重叠的群体必须代表超过三分之一(1/31/31/3)的总权益。

w(QA∩QB)=w(QA)+w(QB)−w(QA∪QB)>23+23−1=13w(Q_A \cap Q_B) = w(Q_A) + w(Q_B) - w(Q_A \cup Q_B) > \frac{2}{3} + \frac{2}{3} - 1 = \frac{1}{3}w(QA​∩QB​)=w(QA​)+w(QB​)−w(QA​∪QB​)>32​+32​−1=31​

由于诚实的验证者绝不会为两个相互冲突的检查点投票,因此这整个重叠的群体必定是恶意的。并且因为他们的投票是经过签名的密码学消息,我们拥有了他们背叛行为的无可辩驳的证据。协议随后可以自动触发终极惩罚:罚没网络中超过 1/31/31/3 的总质押资本。安全保证不再仅仅是概率性的,它变得​​可追责(accountable)​​。逆转一个已敲定的区块不仅仅是不太可能,而是一种经济上的自我毁灭行为。然而,这种强大的保证是有代价的:验证链的用户现在不仅要检查区块的有效性,还要检查可能大量的验证者签名,这增加了他们的计算负担。

机器中的幽灵:远程攻击

这个基于虚拟权益的新安全世界并非没有其独特的幽灵。在 PoW 中,一个旧区块的安全性被永久地铭刻在创造它所花费的巨大能量中。但在 PoS 中呢?一旦验证者退出系统并撤回其权益,他们的抵押品就消失了。他们再也无法被罚没。

这产生了一个独特的漏洞,称为​​远程攻击(long-range attack)​​。想象一个对手,在很长一段时间里,收集了那些早已退出系统的验证者的旧的、现已失效的私钥。利用这些密钥,对手可以回到一个非常古老的区块,并从那一点开始构建一个全新的备用历史。这条伪造链上的所有签名都将是有效的,因为它们是用真实的密钥生成的。一个毫无戒备的新用户,或者一个离线很久的人,将会看到两条有效的链,并可能被欺骗接受攻击者的伪造链。罚没对此毫无防御作用,因为签名者已经没有权益可以损失了。

抵御这种幽灵般攻击的方法和攻击本身一样微妙。它是一个被称为​​弱主观性(weak subjectivity)​​的概念。在 PoS 系统中,你不能简单地信任你看到的任何最长有效链,特别是当你第一次连接到网络或在长时间离线后重新连接时。相反,协议依赖于一个社会信任层。为了安全地同步,你必须从一个可信的来源——一个朋友、一个区块浏览器网站、项目方自己的开发者——获取一个近期的检查点,其“年龄”小于一个计算出的“弱主观性期限”。这个期限是指足够多的验证者已经退出,以至于远程攻击在理论上变得可行的时间。

这是一个深刻的权衡。PoS 链为了获得巨大的效率提升,牺牲了 PoW 纯粹机械客观性的一部分。在 PoS 系统中,历史并非在野外发现的不可篡改的石碑,而是一个由社区持续达成共识、并由近期的、经过社会审查的检查点锚定的故事。正是这种持续、积极的参与——即“权益”——保障了账本的安全,使其不仅能抵御当前的攻击,还能抵御其自身历史中的幽灵。

应用与跨学科联系

当我们首次接触到物理学或数学中一个强大的新思想时,往往感觉像是得到了一把特殊的钥匙。起初,我们用它来打开它被设计用于的那扇门。但很快,带着一点玩味的好奇心,我们开始尝试用这把钥匙去开别的门,并且常常惊讶于它能打开如此之多的门。权益证明的核心原则——通过让参与者投入有价值的东西来达成共识——就是这样一把钥匙。在探索了它的内部工作原理之后,我们现在可以退后一步,看看它还能适用于哪些地方,它还能打开哪些门,以及它如何与工程学、经济学和数学等广阔的思想领域相联系。这才是真正有趣的地方,因为我们不再关注事物本身,而是开始透过它来看世界。

信任的工程学:为工作选择合适的工具

想象一下,你正在设计一个不容许失败的系统。也许它是一条巨大的自动化装配线,机械臂在“数字孪生”的引导下,必须以毫秒级的精度执行任务。又或者它是一个医疗保健网络,记录着每一次对患者敏感记录的访问,任何一个错误都可能对隐私和安全造成深远影响。对于这类工作,你需要一种特殊的承诺:一种确定性的保证。当你执行一个动作时,你需要以绝对的确定性,并在一个固定的时间边界内,知道它是最终且不可逆的。

在分布式系统的世界里,这种铁板钉钉的保证通常由拜占庭容错(BFT)协议家族提供,它们被设计用于在一组已知的、许可的参与者之间工作。它们实现了所谓的确定性最终性(deterministic finality)。一旦参与者投票并做出决定,它就立刻被写在石头上,不可更改。这对于信息物理系统中的控制回路来说是完美的,其中一个动作必须在严格的延迟窗口内(例如,几毫秒)完成,且几乎没有“抖动”或变异性。

但权益证明呢?正如我们所见,大多数 PoS 系统提供的是一种不同的东西:概率性最终性(probabilistic finality)。一笔交易并非在其进入区块的瞬间就成为最终的。它的最终性会随着每一个添加到链上的后续区块而增长和加强。它被逆转的几率呈指数级下降,很快变得微乎其微,但从技术上讲永远不会达到零。这是一个弱点吗?完全不是!这只是一个不同的工程权衡。对于成千上万的应用,从金融结算到供应链追踪,这种“最终的确定性”绰绰有余。

真正的美妙之处在于,我们意识到我们不必只选择其一。再想想那个装配线的数字孪生。它有两个截然不同的需求。实时控制回路,告诉机器人此刻该往哪里移动,需要 BFT 协议那种确定性的、瞬间的确定性。但该系统还需要一个不可变的审计日志,一个记录每个零件、每个传感器读数和每个已执行动作的永久历史。这个日志用于取证分析和法规遵从,其中几秒甚至一分钟的确认时间是完全可以接受的。在这里,权益证明系统就大放异彩了。它可以为这项对时间不那么敏感但同样关键的任务,提供一个稳健、高度安全且节能的账本。这两个系统可以和谐共存,各自完美地适应其目的。没有哪一种共识机制是“最好”的,只有最适合手头工作的工具。

稳定性的经济学:作为金融网络的区块链

让我们暂时换个角色,从工程师变成经济学家。金融领域最令人不安的现象之一是传染效应:一家银行的倒闭可能引发多米诺骨牌效应,造成一连串的失败,威胁到整个系统。经济学家建立复杂的模型来理解这种系统性风险,试图衡量相互关联性和集中风险如何使系统变得脆弱。

现在,如果我们用同样的视角来看待一个权益证明网络呢?突然之间,验证者看起来不再仅仅是运行软件的计算机;他们开始看起来像金融机构。他们的“权益”就是他们的资本。他们通过一张依赖关系网相互连接——也许他们使用同一个云服务提供商,依赖相同的数据源,或者运行相似的软件。

这引出了一个深刻的见解:一个大型验证者的失败——即使是由于停电或软件错误等平凡原因——也不是一个孤立事件。它可能对依赖它的其他验证者造成“损失”。如果这种感知到的损失足够大,它可能导致那些其他验证者也下线,也许是作为一种安全预防措施。这可能引发一场级联反应,一场失败的传染效应在网络中蔓延,如果在线总权益降至其运作所需的临界阈值以下,可能会导致整个链条停滞。

这完全重塑了我们对区块链安全的思考方式。安全不仅仅是抵御一个控制了大部分权益的、无所不能的单一攻击者。它也是一个系统稳定性的问题,就像在银行系统中一样。我们可以使用计算金融学的复杂工具来模拟这些级联效应。我们可以分析权益的分布如何影响网络的韧性。例如,一个存在“大到不能倒”的验证者的网络,可能比一个权益分布更均匀的网络更脆弱。事实证明,权益证明不仅仅是计算机科学中的一个问题,它也是经济工程学和网络理论中一个丰富而迷人的问题。

性能的数学:从能源网到身份系统

让我们戴上最后一顶帽子:应用数学家。想象一下近未来的一个社区,拥有太阳能电池板和电池的房屋组成了一个本地能源市场。他们在“交互式能源”平台上实时相互买卖电力。要实现这一点,每个参与者——每个太阳能逆变器、每个智能电表、每个电动汽车充电器——都需要一个安全的数字身份。同样重要的是,如果其中一个身份被黑客攻破,必须有一种方法能快速可靠地撤销它,以免它造成混乱。区块链天然适合管理这样的系统。

但“快速”意味着什么?这正是数学给我们一个极其清晰答案的地方。在权益证明链上撤销一个被攻破的身份所花费的总时间不是一个单一的数字;它是一系列可分析的独立阶段的总和。

首先,足够数量的验证者——一个法定人数——必须见证并证明该撤销请求。如果我们有 VVV 个验证者,我们期望等待第 qqq 个最快的验证者签名需要多长时间?这是一个经典问题,可以用顺序统计学理论来解决,它根据每个独立验证者处理请求的速度,为我们提供了一个计算预期等待时间的精确公式。

其次,一旦达到法定人数,一个撤销交易就会被发送到网络。但它不会立即被处理。它会进入一个等待区,即“内存池(mempool)”,与其他一连串的交易一起排队。它要在队列中等待多久?这是*排队论*的任务,这门数学同样用于分析交通堵塞和呼叫中心。通过对新交易的到达率和网络的处理率进行建模,我们可以计算出我们的交易在这个队列中预计花费的时间。

最后,一旦我们的交易被包含在一个区块中,我们必须等待一定数量的额外区块建立在其之上以实现最终性。如果区块以某个平均速率产生,我们可以使用泊松过程理论来确定这个最终确认期的预期时间。

通过将这三部分——达成共识的时间、获得服务的时间和变为最终状态的时间——相加,我们可以对系统的性能得出一个严谨的、定量的理解。区块链的魔力让位于应用概率论那优美而可预测的机制。这使我们不仅能使用这些系统,还能充满信心地对它们进行工程设计,确保它们对于未来的关键基础设施来说足够快速和可靠。

从工程权衡到经济稳定性,再到网络性能的概率节奏,权益证明这个简单的思想就像一把钥匙,解锁了一个丰富且相互关联的世界。它提醒我们,最优雅的解决方案往往是那些在不同人类思想领域之间架起桥梁的方案,揭示出比我们最初想象的更深层次的统一性。