基于PoW加密貨幣的安全性問題探討

前言：本文旗幟鮮明地認(rèn)為對(duì)ASIC友好的算法才能讓普通的礦機(jī)生產(chǎn)商參與進(jìn)來，而抗ASIC的加密算法反而為普通礦機(jī)廠商設(shè)立了很高的門檻，導(dǎo)致大型廠商更有競(jìng)爭(zhēng)優(yōu)勢(shì)，從而讓挖礦走向中心化，不利于加密貨幣的安全。而門羅方面則認(rèn)為，通過抗ASIC算法，可以讓最普通的通用硬件也可以參與挖礦，可以增強(qiáng)網(wǎng)絡(luò)和去中心化。門羅還認(rèn)為即使是采用相對(duì)簡(jiǎn)單的PoW算法，也不可能讓普通的廠商獲得大的優(yōu)勢(shì)，因?yàn)榇笮蛷S商會(huì)通過規(guī)模經(jīng)濟(jì)獲勝。關(guān)于這個(gè)問題，大家怎么看？本文作者M(jìn)ark Nesbitt，由“藍(lán)狐筆記”社群的“MoQi”翻譯。

Coinbase最近更改了四種不同資產(chǎn)確認(rèn)要求，包括將比特幣的區(qū)塊確認(rèn)從6個(gè)減至3個(gè)。本文主要闡述對(duì)PoW安全性的看法，正是這些觀點(diǎn)促使我們作出更改的決定。

PoW的簡(jiǎn)介

所有加密貨幣都定義了在貨幣網(wǎng)絡(luò)內(nèi)的所有權(quán)狀態(tài)。為了讓加密貨幣可用，必須有一種更新所有權(quán)狀態(tài)的方法。在大多數(shù)現(xiàn)有的加密貨幣中，所有權(quán)狀態(tài)由曾經(jīng)發(fā)生的所有交易的規(guī)范歷史來定義，它們以一種稱為區(qū)塊鏈的數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)在網(wǎng)絡(luò)節(jié)點(diǎn)中。

為了更新所有權(quán)的狀態(tài)，必須有一種方法可以將最近的交易添加到存儲(chǔ)在區(qū)塊鏈上的交易歷史中。

不同的加密貨幣用不同的方法向其區(qū)塊鏈上添加交易。利用PoW的加密貨幣中，區(qū)塊鏈通過挖礦的過程進(jìn)行擴(kuò)展。礦工將新聲明的交易打包進(jìn)稱為區(qū)塊的數(shù)據(jù)結(jié)構(gòu)，然后將其添加到區(qū)塊鏈上。

礦工試圖通過解決所提議區(qū)塊獨(dú)有的PoW謎題來添加區(qū)塊。如果礦工能夠找到該謎題的解，礦工將向網(wǎng)絡(luò)其余部分聲明該區(qū)塊和得出的解。

網(wǎng)絡(luò)的其余部分能識(shí)別有效的PoW解，并將提議區(qū)塊視作為添加到區(qū)塊鏈上的最新區(qū)塊。請(qǐng)注意，礦工生產(chǎn)區(qū)塊是無須許可的，這一事實(shí)允許礦工可以隨意加入或離開網(wǎng)絡(luò)。

為了在礦工可能產(chǎn)生多個(gè)有效交易歷史的情況下，確定一條規(guī)范交易歷史，（也就是存在不同的有效區(qū)塊或甚至存在有效區(qū)塊的鏈情況下），PoW加密貨幣用累積最多工作量的區(qū)塊鏈定義規(guī)范的交易歷史。（藍(lán)狐筆記注：也就是中本聰共識(shí)中的最長(zhǎng)鏈規(guī)則。）

該共識(shí)規(guī)則引入工作量證明加密貨幣的基本屬性：任何參與者只要能比網(wǎng)絡(luò)其余部分找到更多工作量證明的解，都可以單方面生產(chǎn)出有效交易歷史，而網(wǎng)絡(luò)其余部分會(huì)將其接收為規(guī)范的交易歷史。請(qǐng)注意：這并不意味著此參與者在網(wǎng)絡(luò)上擁有無限的權(quán)力。

本文對(duì)PoW加密貨幣的安全性提出了兩個(gè)主張。

主張一：成為挖礦硬件的主要效用是特定代幣挖礦操作的安全特性。

如果硬件的主要效用失去價(jià)值，硬件所有者便失去其投資價(jià)值。

硬件所有者有動(dòng)機(jī)考慮其硬件的主要效應(yīng)的長(zhǎng)期成功。其設(shè)備的生命周期越長(zhǎng)，他們會(huì)在硬件主要效用的長(zhǎng)期成功中投資越多。在撰稿時(shí)，比特幣的ASIC礦機(jī)開始具有更長(zhǎng)的有效生命周期，這是因?yàn)樾率降V機(jī)的效率提升正在降低。

這個(gè)想法跟專用成本原則（Dedicated Cost Principle）相關(guān)。

代幣外部存在的大量算力池，對(duì)該代幣構(gòu)成安全威脅

什么樣的代幣擁有51%攻擊的最大風(fēng)險(xiǎn)？是那些存在大量外部哈希算力，而這些算力并沒有積極參與該代幣的挖礦，它們可能會(huì)開啟挖礦并破壞該代幣的區(qū)塊鏈。

考慮到硬件所有者對(duì)其硬件效用的動(dòng)機(jī)，考慮這一點(diǎn)尤其重要——如果硬件所有者還有除挖礦之外的其他效用，從這些效用中他們可以通過其硬件投資獲利，那么，破壞某個(gè)代幣區(qū)塊鏈的負(fù)面后果是最小的。（藍(lán)狐筆記注：本文作者的意思是，如果某硬件不是專用于某個(gè)代幣挖礦，且該硬件的算力有很大部分并沒有參與當(dāng)前的挖礦活動(dòng)，那么，該硬件的所有者為了獲利，有可能發(fā)動(dòng)51%攻擊，攻擊之后，硬件還有其他用途，不擔(dān)心廢掉）

將算法轉(zhuǎn)向“圍堵ASIC”簡(jiǎn)單地允許全世界巨大的通用算力資源來挖礦，這存在隨意破壞代幣的可能。因此，已經(jīng)實(shí)現(xiàn)”抗ASIC“算法的代幣很容易受到51%攻擊。（藍(lán)狐筆記：抗ASIC的初衷是為了讓更多人參與進(jìn)來，防止礦機(jī)的壟斷。這里的邏輯矛盾是什么？這里有什么兩難？歡迎探討）

很醒目的例子是，“抗ASIC”的代幣，包括BTG、VTC、XVG都被51%攻擊過。迄今為止，還沒有主導(dǎo)其硬件類別的代幣曾遭受51%的雙花攻擊。（藍(lán)狐筆記：本文的意思是，有ASIC專用礦機(jī)的代幣反而沒有遭受51%攻擊）

案例研究：對(duì)BTG的51%攻擊

2018年5月，BTG反復(fù)遭到51%攻擊，導(dǎo)致數(shù)百萬美元的雙花支出。在這次攻擊之后，BTG開發(fā)者宣布將其PoW算法更改為Equihash-BTG：

“因?yàn)镋quihash-BTG跟現(xiàn)有的常規(guī)Equihash算力池不同，因此我們將會(huì)有效地處于單獨(dú)的算力池中。這意味著，BTG將在這個(gè)新的PoW算法上主導(dǎo)其哈希率，該算法對(duì)BTG來說是“個(gè)性化”的，相對(duì)于其他代幣它增加了不兼容層，其他代幣將移至《144，5》參數(shù)集，例如BTCZ。（我們已經(jīng)跟很多其他代幣團(tuán)隊(duì)協(xié)作。）”

這是一個(gè)非常有趣的聲明。BTG開發(fā)者承認(rèn)主導(dǎo)哈希率的重要性，但是，他們錯(cuò)誤地得出結(jié)論說掌控哈希算法是重要的，而不是產(chǎn)生哈希率的硬件。

除非產(chǎn)生哈希率的硬件以挖礦為主導(dǎo)，否則，關(guān)于哈希率方面沒有任何東西是對(duì)BTG“個(gè)性化”的。擁有可以挖其他代幣的通用硬件的礦工能隨意更改其挖礦算法，從而允許硬件挖BTG代幣而無須額外投資。

對(duì)主張一的總結(jié)

PoW代幣能實(shí)質(zhì)上降低51%攻擊風(fēng)險(xiǎn)的唯一方法是成為挖礦硬件的主要效用。一個(gè)能用廣泛可得的通用硬件挖礦的代幣，例如可用CPU和GPU挖礦的代幣，缺乏這種主要的安全特性。

主張二：ASIC友好算法將會(huì)提升制造和所有權(quán)的多樣化

沒有算法能永遠(yuǎn)抗ASIC，且只是抗ASIC的。

對(duì)于任何特定計(jì)算問題，專用于解決該問題的硬件總是比通用硬件更高效。除了有將應(yīng)用層邏輯直接寫入電路的優(yōu)勢(shì)之外，專用硬件也無須承受通用硬件的其他要求，例如安全隔離、時(shí)鐘中斷、上下文切換、以及支持多應(yīng)用所需的其他任務(wù)。因此，沒有一種PoW算法是永遠(yuǎn)抗ASIC證明的，且只是抗ASIC的。

從經(jīng)驗(yàn)上將，抗ASIC的算法多次未能阻止ASIC的發(fā)展。突出的例子包括scrypt（LTC）、equihash（ZEC、BTG）、ethhash（ETH）、以及cryptonite（XMR）。

抗ASIC算法提升了進(jìn)入挖礦硬件市場(chǎng)的門檻

抗ASIC算法讓構(gòu)建高效的ASIC礦機(jī)變得更加困難，這一點(diǎn)上它很有效的。這樣的結(jié)果是，在芯片生產(chǎn)商能制造出有效ASIC之前，它需要花費(fèi)更大的投入和更多的專業(yè)知識(shí)。

因此，抗ASIC只是提高了進(jìn)入ASIC市場(chǎng)的門檻。結(jié)果是導(dǎo)致挖礦硬件生產(chǎn)領(lǐng)域的更大程度的中心化，而這種情況正是抗ASIC算法試圖避免的。

相反，目標(biāo)應(yīng)該是選擇一種算法，它能讓ASIC礦機(jī)制造很便宜且很容易。這將導(dǎo)致ASIC實(shí)際上是一種商品，不會(huì)為ASIC制造造成大的專業(yè)知識(shí)或IP（知識(shí)產(chǎn)權(quán)）門檻。

這將會(huì)導(dǎo)致制造廠商的多樣化，這會(huì)更容易鼓勵(lì)所有者和經(jīng)營(yíng)者的多樣性，這更可能導(dǎo)致去中心化的挖礦網(wǎng)絡(luò)。當(dāng)開發(fā)者選擇抗ASIC算法時(shí)，他們?yōu)樾酒a(chǎn)商提供了有競(jìng)爭(zhēng)力的護(hù)城河，因?yàn)檫@些芯片生產(chǎn)商最終會(huì)研發(fā)出基于該算法的ASIC礦機(jī)。（藍(lán)狐筆記注：本文的邏輯認(rèn)為，只有對(duì)ASIC友好的算法才能讓普通的礦機(jī)生產(chǎn)商參與進(jìn)來，讓更多人擁有商品，而抗ASIC只會(huì)增加門檻，導(dǎo)致強(qiáng)者越強(qiáng)，不利于去中心化的網(wǎng)絡(luò)）

案例研究：門羅幣定期調(diào)整算法

門羅研發(fā)團(tuán)隊(duì)暗含承認(rèn)這一事實(shí)，即在追求通用硬件可挖礦的以前策略中，算法無法只是抗ASIC。他們似乎意識(shí)到，試圖通過研發(fā)出殺手锏級(jí)別的抗ASIC算法，以永久阻止ASIC研發(fā)的做法，似乎是無效的。

相反，他們確定的策略是對(duì)其PoW算法每6個(gè)月進(jìn)行定期調(diào)整，以期通過快速讓其過時(shí)的方式來抑制生產(chǎn)專用硬件的動(dòng)機(jī)。

這種策略低估了有才華的硬件設(shè)計(jì)師將功能快速整合進(jìn)芯片設(shè)計(jì)的能力。無論整合什么模式，非常熟練的芯片設(shè)計(jì)師都可以掌握研發(fā)過程，他們將會(huì)不可避免地研發(fā)出滿足這些PoW變化的礦機(jī)。

這可能會(huì)迫使一小群受到嚴(yán)格保護(hù)的開發(fā)者嘗試玩一種高風(fēng)險(xiǎn)高機(jī)密的貓和老鼠的游戲，他們需要隱藏其算法計(jì)劃，對(duì)于這個(gè)團(tuán)隊(duì)中的任何成員來說，都存在巨大的經(jīng)濟(jì)誘惑，促使其違反這個(gè)小圈子的信任并將其信息透露給芯片制造商。

對(duì)于無須許可的世界貨幣來說，該小組決定的關(guān)鍵性和對(duì)他們的極端信任都不是一個(gè)好的特性，并且可以說它所創(chuàng)造的中心化風(fēng)險(xiǎn)要比礦工中心化風(fēng)險(xiǎn)更為嚴(yán)重。

這種策略的局限性已經(jīng)很清楚，至少有3種不同版本的挖礦算法的ASIC礦機(jī)被成功預(yù)測(cè)開發(fā)出來并部署到XMR網(wǎng)絡(luò)上。

雄心只有在可實(shí)現(xiàn)的范圍內(nèi)才重要

大多數(shù)支持抗ASIC的論點(diǎn)都是雄心勃勃的?？傮w目標(biāo)通常是這樣的：“確保網(wǎng)絡(luò)不被少數(shù)人控制?！边@是一個(gè)非常棒的目標(biāo)。這對(duì)于確保數(shù)字貨幣兌現(xiàn)其承諾至關(guān)重要。

實(shí)際上，當(dāng)由于這些意圖而采取的行動(dòng)弊大于利時(shí)，世界上所有的善意都是完全不相關(guān)的。具有諷刺意味的是，實(shí)施抗ASIC的挖礦算法的代幣，最終導(dǎo)致更大程度的礦工集中化和控制。

對(duì)主張二的總結(jié)

抗ASIC算法的唯一成就是提高了創(chuàng)建高效ASIC所需的成本和專業(yè)知識(shí)。反過來，這意味著任何有重大價(jià)值的PoW代幣將最終由ASIC礦機(jī)挖礦，這將導(dǎo)致高度中心化的挖礦，因?yàn)槌晒Φ腁SIC制造商將會(huì)擁有深厚的競(jìng)爭(zhēng)優(yōu)勢(shì)。

結(jié)論

加密貨幣無法提供一個(gè)完全平等的系統(tǒng)，它無法消除所有權(quán)力結(jié)構(gòu)或額外資源帶來的優(yōu)勢(shì)。相對(duì)于不透明、手動(dòng)、易出錯(cuò)以及許可的現(xiàn)存金融系統(tǒng)，加密貨幣確實(shí)取得了巨大的進(jìn)步。

試圖改變世界時(shí)，熱心地捍衛(wèi)自己的原則至關(guān)重要。但，同樣重要的是，不要讓虛幻的完美系統(tǒng)成為實(shí)現(xiàn)良好系統(tǒng)的敵人。

隨著數(shù)字資產(chǎn)的成熟，參與者必須要問自己，這個(gè)行業(yè)是否由業(yè)余愛好者在家中運(yùn)行舊筆記本電腦來確保安全，或者像人類歷史上幾乎所有其他隨之而來的努力一樣，是否由大規(guī)模的個(gè)人利益驅(qū)動(dòng)的群體投資大量資源來推動(dòng)。每個(gè)規(guī)模較大專業(yè)的產(chǎn)業(yè)都會(huì)利用專門的設(shè)備，認(rèn)為加密貨幣挖礦會(huì)不一樣或者應(yīng)該有不同的想法是天真的。

兼聽則明，藍(lán)狐筆記希望通過不同的聲音來更接近于事情的真相，下面是門羅對(duì)本文提出的不同意見。由于本文提到了門羅之前的PoW策略。門羅對(duì)本文作出了如下回應(yīng)：

2019年11月8日，Coinbase發(fā)表了一篇由Mark Nesbitt撰寫的文章，內(nèi)容涉及到其對(duì)PoW的看法。文章對(duì)PoW有很好的闡述，并對(duì)采用ASIC的好處提出一些讓人信服的論點(diǎn)。但它也提出了一些不正確的觀點(diǎn)，并得出一個(gè)有爭(zhēng)議的不適當(dāng)結(jié)論。

本文的回應(yīng)糾正錯(cuò)誤，并主張支持門羅開發(fā)者所采用的抗ASIC路線。更正包括指出這篇文章中描述的門羅阻止使用ASIC的努力是過時(shí)和陳舊的，也包括對(duì)關(guān)于ASIC好處的技術(shù)和哲學(xué)論點(diǎn)上的反駁。

問題

那篇文章中有關(guān)于門羅的案例研究，它聚焦于6個(gè)月的硬分叉周期，每個(gè)周期會(huì)改變門羅的PoW算法以阻止ASIC效用。它對(duì)周期風(fēng)險(xiǎn)和負(fù)面影響的批評(píng)是正確且有見地的。

但是，該周期是歷史的，并非當(dāng)前，因?yàn)樵谌ツ?月就已更改。隨著門羅軟件v0.15.0.0版本（稱為Carbon Chamaeleon）的發(fā)布，這些問題得到解決。在這個(gè)發(fā)布以后，從11月底開始，稱為RandomX的新PoW算法將會(huì)被采用。

通過創(chuàng)建隨機(jī)程序，RandomX讓日常計(jì)算機(jī)的CPU在PoW計(jì)算中富有競(jìng)爭(zhēng)力。預(yù)計(jì)RandomX可以實(shí)現(xiàn)多年內(nèi)的抗ASIC，且無須硬分叉，這與該文案例研究提到的場(chǎng)景相反。

該文的核心是說，鼓勵(lì)使用ASIC的PoW算法可以更好地服務(wù)于加密貨幣。它提及了抗ASIC的好處，那就是“確保網(wǎng)絡(luò)不被少數(shù)人控制”，但隨后它認(rèn)為這樣做是弊大于利。

事實(shí)上，防止硬件制造商對(duì)網(wǎng)絡(luò)進(jìn)行惡意控制是關(guān)鍵的。從歷史上看，ASIC制造商所主張的控制對(duì)加密貨幣產(chǎn)生不利的影響。例如，它導(dǎo)致了比特幣的內(nèi)斗。由一小部分制造硬件的人控制會(huì)損害門羅的去中心化模式，并帶來巨大的風(fēng)險(xiǎn)。

保持獨(dú)立于硬件制造商的好處高于維持它成本，這是門羅PoW的前提。

除了避免電力整合之外，在商用CPU上運(yùn)行有諸多其他好處。幾乎人人都有商用硬件，可以讓小礦工有機(jī)會(huì)參與經(jīng)濟(jì)活動(dòng)，并有理由保持興趣和使用門羅。

CPU的PoW為門羅開啟了新效用，包括可以從休眠和間歇性的日常計(jì)算機(jī)中賺取收益。它給予那些發(fā)現(xiàn)自己被傳統(tǒng)交易所拋棄的全球各地人士獲取門羅的途徑。而且，它為新產(chǎn)生的門羅增加了隱晦的好處，其中個(gè)人挖礦可以直接花費(fèi)，而無需通過交易所。

該文的觀點(diǎn)認(rèn)為，簡(jiǎn)單的PoW算法將導(dǎo)致商品化ASIC競(jìng)爭(zhēng)性，以及忽視ASIC設(shè)計(jì)和制造的現(xiàn)實(shí)，因?yàn)樗哂袃?nèi)在的復(fù)雜性和規(guī)模經(jīng)濟(jì)性。即使對(duì)僅有一種構(gòu)建方法的假設(shè)性的PoW算法，大型制造商將依然通過規(guī)模經(jīng)濟(jì)來掌控小型挑戰(zhàn)者。（藍(lán)狐筆記注：上文提及復(fù)雜的抗ASIC的PoW算法帶來礦機(jī)制造的門檻，而本文作者則認(rèn)為，即使PoW算法很簡(jiǎn)單，依然會(huì)有規(guī)模經(jīng)濟(jì)的問題，大型硬件制造商依然會(huì)有優(yōu)勢(shì)，從而不利于去中心化）

甚至哈希算法SHA-256都不是充分發(fā)展的，在其開發(fā)18年后，研究人員依然在發(fā)布關(guān)于它的新優(yōu)化技術(shù)。ASIC能效在最近幾年成倍增長(zhǎng)，ASIC的PoW主導(dǎo)沒有簡(jiǎn)單和平等的模型。

上文諷刺地提出：“這個(gè)行業(yè)是否將由在家中用舊筆記本電腦運(yùn)行的業(yè)余愛好者來確保安全。”這有誤導(dǎo)性。加密貨幣挖礦是執(zhí)行PoW算法以確保交易安全的過程，它遵循冪律法則，一小部分的礦工擁有大多數(shù)算力。

各種PoW算法的選擇都會(huì)存在專業(yè)的礦場(chǎng)?？笰SIC確保業(yè)余愛好者依然能夠參與挖礦，這有利于增強(qiáng)網(wǎng)絡(luò)的力量和去中心化。

正如Symas Corp.的創(chuàng)始人和CTO Howard Chu提到RandomX時(shí)說的：“目標(biāo)是使用已經(jīng)無處不在的硬件，這樣參與就不會(huì)是問題，正如Bitmain一樣”

如臺(tái)式機(jī)、筆記本電腦以及智能手機(jī)中的通用CPU都是最普遍且易于訪問的計(jì)算設(shè)備。Howard一直是最積極參與開發(fā)和推出門羅的新型RandomX PoW算法的人士之一。

此外，門羅是由草根開源開發(fā)和意識(shí)形態(tài)驅(qū)動(dòng)的。它支持去中心化、資金分配、以及隱私和安全革新，在大型的機(jī)構(gòu)中很難找到這種開發(fā)模式。分布式和平等的PoW挖礦推動(dòng)了這種精神。

門羅的活力

加密領(lǐng)域處于早期，門羅也很早期。任何有關(guān)于技術(shù)變革的爭(zhēng)論都必須考慮加密貨幣的進(jìn)化本質(zhì)，考慮決策不會(huì)永遠(yuǎn)不變的事實(shí)。門羅的開發(fā)者已經(jīng)正式討論過，在公開日志可以看到，其中提到在RandomX之后可能的未來發(fā)展路線。

這些措施包括使用SHA-3（或類似的），這是一種可以在ASIC上輕松運(yùn)行的PoW 哈希算法。未來幾年使用RandomX的選擇將充分利用這種靈活性。門羅社區(qū)在集成新技術(shù)、觀察以及開發(fā)方面有良好的記錄，可以預(yù)期未來會(huì)繼續(xù)這么做，會(huì)繼續(xù)充分利用從ASIC和抗ASIC中學(xué)到的知識(shí)。

RandomX是在公開的Github庫中透明研發(fā)的，隨后由四個(gè)獨(dú)立的審計(jì)團(tuán)隊(duì)進(jìn)行審核，證明它作為安全和創(chuàng)新的PoW算法的潛力。我們很快會(huì)看到它在維護(hù)門羅網(wǎng)絡(luò)安全和去中心化方面的有效性。

總結(jié)

該文很好地概述了PoW，并就使用ASIC方面得出了幾個(gè)有用的觀點(diǎn)，這值得思考。但是，它對(duì)門羅的表述已經(jīng)過時(shí)，并且有些論點(diǎn)和觀點(diǎn)是有缺陷的。

在新技術(shù)和不確定性的環(huán)境下，門羅社區(qū)采取了前瞻性的方式來保護(hù)其網(wǎng)絡(luò)免遭硬件制造商的控制。通過使用RandomX，門羅以其獨(dú)特的創(chuàng)新和主動(dòng)性脫穎而出，并將其帶入光明的未來。
責(zé)任編輯；zl