如何学会爱上弱主观性

权益证明（PoS）一直是密码学钱银范畴最具争议性的论题。

尽管这个形式有许多不可否认的好处，包括高效、更大的安全保障和对硬件集中化的永久免疫，PoS 算法，往往比依据 PoW 的方案更杂乱，关于 PoS 的可行性也一直有广泛的质疑，有人以为「无利害关系「（Nothing at stake）」问题是底子无法处理的。

事实证明，这些问题是能够处理的，咱们能够供给一个严密的证明，PoS 连同它的全部是能够成功的，只不过要付出一点细小的代价。这篇文章的意图是解释这个代价是什么，以及怎么将其影响最小化。

经济组（Economic Set）和「无利害关系」（Nothing at stake）

首要，请循其本。一般来说，一致算法的意图，是为了答应体系依据一些特定的状况转化规矩来安全地更新状况；同时，履行这些状况转化的权力是涣散在一个经济组傍边的。

一个经济组是一组被能够被颁发权力（can be given the right）的用户，他们能够共同地经过算法来履行状况转化；用于一致的经济组所需的重要特性是：它有必要是安全地去中心化的（securely decentralized）——这意味着没有一个人物（或一个串谋的集体）能够操控这个群组的绝大多数，即便这个人物资金雄厚且有获利的或许。到目前为止，咱们现已发现了三种安全且去中心化的经济组，每种经济组对应一类一致算法：

算力的持有者：规范的作业证明（PoW），或 TaPoW。请留意，它有两种变种：用专门的硬件来参加的和（理想状况下）通用的硬件来参加的。

权益持有者：PoS 的一切变种。

用户的社会网络：瑞波/恒星类型的一致。

值得留意的是，最近有一些人尝试开发依据传统拜占庭容错理论（traditional Byzantine fault tolerance）的一致算法；可是，一切这些办法都是依据 M-of-N 的安全模型，而适用「拜占庭容错」概念本还需面对的一个问题是，N 应从哪里取样。在大多数状况下，所用的经济组都是权益持有者，所以咱们会把这种新的 BFT 范式作为「PoS」的严格子类别（clever subcategories）对待。

作业证明（PoW）具有很好的特性，使得为它规划有用的算法愈加简略：参加经济组要求参加者耗费体系外部的资源。这意味着，在为区块链奉献作业量时，矿工有必要在一切或许的链分支（forks）中挑选一个（为之奉献作业量、连续它）（或许发动一个新分支），不同的选项是彼此排挤的。双重投票（Double-voting），哪怕第二次的投票是在榜首次投票的许多年后进行，也是无利可图的，由于它需求你将算力涣散在不同的选票上；主导战略是让你的算力只放在你以为最或许会胜出的分叉上。

可是对 PoS 来说，状况就不同了。尽管参加经济组的门槛或许是高的（尽管咱们会看到不总是这样），可是投票是免费的。这样的「天真的 PoS」算法，仅仅企图让每一个币都成为一个「模仿矿机」，使币的主人每秒有一个特定的概率有权签名一个区块（出块），以此仿制作业证明，所以有一个丧命的缺点：假如有多个分叉，最佳的战略是给一切不同的分叉投票。这便是「Nothing at stake」的中心。

有一个概念能够告知咱们为什么在 PoS 环境下你无法让一个用户只给一个分叉投票：「利他主义主导型品格（altruism-prime）」。利他主义主导性品格是真利他主义和假利他主义的混合，（部分用户或许软件开发者或许具有的）前者是出于对别人和网络财富的直接关心、以及做出显着为恶的事情（例如双重投票）时的道德厌恶感；后者则是由于持有币的人也不希望看到他们的币价值归零。

可是，仅仅依托利他主义主导型品格是靠不住的，由于由协议的完整性发生的币价值的提高是公共利益，会遭受供给缺乏的问题（例如，假如有 1000 个权益持有者（stakeholders），他们的每一个行动都总有 1% 的概率变成促使一次进犯成功的「关键」要素，且这个进犯会导致币值归零，那么对任一权益持有者，都只需供给等价于他持币价值的 1% 就能够贿赂他）。假定持币量的分布等价于以太坊的创世区块，需求贿赂的量将等于总权益（总持币量）的 0.3% 到 8.6% 不等（或更少，假如进犯是非丧命性的），这取决于你怎么估量每个用户成为关键要素的概率。尽管如此，利他主义主导型品格仍然是算法规划者应该记住的一个重要概念，在有用的时分，它的优势会表现得很显着。

短程分叉和长程分叉

假如咱们仅考虑短程分叉，即距离最新区块的距离小于必定数量（比方 3000 个区块）的分叉，那么实际上存在一个处理「Nothing at stake」问题的办法：安全押金。为了有资历取得区块投票的奖赏，用户有必要先存入一笔押金，假如该用户被发现给多个分叉投票，则别人能够在本来的链上发布一条对这些事务的证明，然后拿走该用户的奖赏。因此，不断在一条链上投票就成为了主导战略。

另一套战略，被称为「Slasher2.0″（这是相关于最早的依据押金的 PoS 算法 Slasher1.0 而言），仅仅惩罚给 错误 的分叉投票的选民，不是进行双重投票的选民。这使得剖析变得适当简略，由于它不需求提早很多个区块先安排好投票者（来避免概率性的双重投票），尽管也是有本钱的，由于一旦在同一高度的块上有 2 种挑选，用户或许会挑选哪个都不支撑。假如咱们想让用户签名（投票），在这种状况下，「对数评分规矩」的一个变种能够拿来运用（这儿有更详细的研讨）。为方便评论，（这儿直接以为）Slasher1.0 和 2.0 具有相同的性质。

为什么这种办法仅仅对短程分叉有用，原因很简略：用户终究有权回收押金，一旦取回押金，不再有任何理由不用这些币（权益）在长程分叉上投票。处理这个问题的一种途径是让押金永久化，可是这些办法都有各自的问题：除非一个币的价值不断增长，不断接纳新的签名者（投票人），不然终究会死板成为一种永久的贵族统治。鉴于让密码学钱银遍及的其中一个要素便是，民众对贵族具有永恒权力的不满，在数字世界里仿制一个这种东西出来是不或许被大多数用户承受的。只要那些特定用处、注定要结束的区块链，在追求速死时，才应该运用贵族模型（比方你能够幻想一种依据区块链、只跑一轮的游戏）。

处理这种问题的一类办法是将上述的罚没机制（用于抵挡短程分叉）和一个备份方案，事务自身即 PoS（transactions-as-proof-of-stake），结合起来。TaPos 计算各区块的买卖费作为每一区块的得分（要求每一次买卖都包括最近的一个块的哈希，以使买卖不变得过于琐细），理论上，一个成功的进犯有必要花费很多本钱才干完成。可是，这种混合的办法有个底子的缺点：假如咱们假定进犯成功的概率近乎为零，则每个签名人都有一个鼓舞，供给一项收费服务：为分叉链从头签署自己签署过的一切买卖的（如此反而会使分叉旗鼓相当）；因此，从博弈理论来看，进犯的成功概率为零并非稳定的均衡。

你觉得不或许每一个用户都会开一个自己的 node.js 网页应用来收受贿赂？没错，假如咱们都有这样的动机，还有一个更为简略的做法：在黑市上出售老的、不再运用的私钥。即便没有黑市，PoS 体系的币也将永久处于这种威胁之下：那些在预售阶段买了币的部分大户终究会碰头并相互勾结，合伙搞个分叉来谋取私利。

由于一切的上述观念，咱们能够得出定论：很不幸，这种发起恣意长程的分叉的威胁是基本存在的；并且，一切的 non-degenerate 完成来说，PoS 算法想在 PoW 的安全模型下成功，都面对这样的丧命威胁。

可是，咱们能够经过对安全模型的细微（但却是底子性的）改变，来绕过这个阻止。

弱片面性（Weak Subjectivity）

尽管有许多办法来分类一致算法，接下来的部分咱们将要点评论如下内容。首要，咱们将供给今天最常见的两种范式：

客观的：新参加网络的节点只需了解（1）协议的界说和（2）一切的块和其他现已发布的「重要」的音讯，不需求其他信息，即可对最新状况达到与网络的其他成员相同的定论。

片面的：在这样的体系中，不同的节点总是会得到不同的定论，要参加网络则先要取得很多的社会信息（例如声望）。

运用社交网络作为一致集的体系（如瑞波）都必定是片面的；一个只知道协议和数据的新节点，能够被进犯者说服，从而以为进犯者的 100000 个节点是可信的；所以没有信誉就没有办法应对进犯。而另一方面，PoW 则是客观的：当时状况也将总是包括最高作业量预期的状况。

现在要给权益证明（PoS）添加第三种范式：

弱片面性：新参加网络的节点只需求知道（1）协议界说、（2）一切的区块和其他现已发布的「重要」音讯和（3）距今 N 个区块以内的、已被公以为有用的状况；即可与网络中的其他参加者对最新状况达到一致，除非有一个进犯者永久具有超越百分之 X 操控一致集的才干。

在这种形式下，咱们能够清楚地看到 PoS 作业得十分好：咱们仅仅制止节点回滚（reverting）超越 N 个区块，并将 N 设为安全押金的时长（set N to be the security deposit length）。也便是说，假如 S 状况有用，且已成为至少 N 个有用状况的祖先，那么从此开始，不属于 S 的子孙的 S' 就必定是无效的。长程进犯因此不再是个问题，由于咱们只需说，依据协议的界说，长程分叉是无效的。这条规矩显然是弱片面的，并且额定的好处是 X 会等于 100%（即，除非创造长于 N 个区块的分叉，没有进犯者能够造成永久性的分裂）。

另一个弱片面评分办法是 指数性片面评分，界说如下：

每个状况 S 都有一个「得分」和一个「重力」

创世区块的得分为 0，重力为 1

score(block) = score(block.parent) + weight(block) * gravity(block.parent), 这儿 weight(block) 通常是 1, 当然也能够运用更高级的权重函数 (例如，对比特币来说, weight(block) = block.difficulty 也能够很好地作业)

假如一个节点发现一个新的块 B' 且 B 是其父块，假如从 B 延伸出来的最长分叉的长度为 n，则 gravity(B') = gravity(B) * 0.99 ^ n(留意，除了 0.99，这儿也能够有别的取值)

本质上，咱们这是在显式地惩罚后来呈现的分叉。ESS 不像那些更天真的、依靠于片面性的办法，它基本上能避免永久性的网络分裂；假如榜首节点和终究一个节点收到区块 B 的时间距离是 k 个区块，分叉就不能长时间继续，除非两条分叉的长度永久保持在彼此的约 K % 的范围内（unless the lengths of the two forks remain forever within roughly k percent of each other）（假如是这样的话，那么分叉的不同重力值，将使网络的一半永久以某个分叉为更高得分的分叉，而另一边则永久支撑另一条分叉）。因此，ESS 是弱片面的，X 大致对应于进犯者能创立的网络分裂的份额挨近 50/50 的程度（例如，假如进犯者能够创立一个 70/30 的分裂，那么 x = 0.29）。

一般来说，「最多回退 N 个区块」规矩更优、杂乱性更小，但假如用户乐意承受更高程度的片面性（即更小的 N）以换取更快得到十分高的安全性（即在 N 个区块后免疫 99% 的进犯），则 ESS 或许能被证明更有用。

推论

那么，由弱片面性一致驱动的世界看起来将是什么样子的？

首要，总是在线的节点不会遭受问题；对他们来说，弱片面性的界说等价于客观性。

偶尔在线一次的节点，或至少每隔 N 个区块上线一次的节点，也不会遇到问题，由于他们能够不断地得到网络的更新状况。

可是，新参加网络的节点，以及很长一段时间才呈现一次的节点，将不能依靠一致算法来保护他们。幸运的是，对他们来说，处理办法很简略：在他们榜首次注册、或长时间下线后再次上线时，他们只需求从朋友、或一个区块浏览器、或许仅仅是他们的软件供应商那里得到最近的块的哈希，作为一个「检查点」导入他们的区块链客户端软件里，这样就能够安全地从那里更新他们的当时状况。

这个安全假定，「从一个朋友处」取得区块哈希值的主意，对许多人来说好像不太谨慎；比特币开发者往往会指出的是，假如长程进犯的处理方案是某种代替性的决定机制 X，则区块链的安全终究取决于机制 X，所以在实际中这个算法并不比直接利用 X 更安全——他们的暗示是，大部分 X，也包括咱们的社会一致驱动的办法，是不安全的。

可是，这种逻辑疏忽了为什么会呈现一致算法（why consensus algorithms exist in the first place）。一致是一个社会过程，并且人类十分拿手达到一致，完全不需求来自算法的任何帮助；或许最好的例子是石头币，在雅浦岛的一个部落里，他们以集体回忆来铭记石头币一切权的改变，简直便是一种区块链（这些石头就像比特币一样，是一种没有内涵价值的财物）。

为什么一致算法是必要的，很简略，由于人类没有无限的计算才干，而宁愿依托软件来为咱们维护一致。在这个意义上，作为代理人的软件是十分聪明的，由于它们能以完美的精确性对十分大体量的状况适用十分杂乱的规矩；但它们也很无知，由于他们缺乏社会信息，而一致算法的规划挑战正在于创造出所需社会信息输入尽或许少的算法。

弱片面性是正确的处理方案。它依托人类自驱的社会信息处理了 PoS 的长程进犯问题，一致算法的效果仅在于提高一致的速度（将数周缩短到十几秒）并为大规模的状况履行高度杂乱的规矩。人类自驱一致的效果是保持对区块哈希值的一致超越必定的时间。假定一个暴虐的政府强壮到足以让一年前的区块发生混淆，那么它也会强壮到足以干掉任何 PoW 算法，或导致区块链协议规矩的紊乱。

另外，还请留意，咱们不需求固定 N；理论上，咱们能够想出一个算法，答应用户确认押金超越 N 个区块，这些存款能够让用户更精细地解读体系的安全等级。例如，假如用户的上一次登录在 T 个区块曾经，而从当时来看，23% 的押金的确认时长大于 T，然后用户能够运用自己的片面评分函数，疏忽新押金的签名，从而成功防护来高达总权益 11.5% 的进犯。逐渐上升的利率安排能够被用来鼓舞长时间的押金，或为简略起见，咱们能够仅仅依靠利他主义主导型品格。

边沿本钱：其他贰言

关于长时间存款的一个对立定见是，它鼓舞用户确认自己的本钱，这是无功率的，和 PoW 有同样的问题。可是，能够从三种视点对立这种定见。

榜首，边沿本钱不是总本钱，PoS 边沿本钱占总本钱的份额比 PoW 要小得多。用户或许把他们的本钱的 50% 锁上几个月也不感觉有什么，70% 会有点小痛，但假如没有大的奖赏，确认 85% 以上就无法忍受了。此外，不同的用户在确认财物方面会有各自不同的偏好。由于这两个要素叠加在一起，不管终究是什么样的均衡利率，绝大部分的确认本钱的边沿本钱都远远较低。

第二，确认的本钱是私家本钱，但也是一种有益公共利益的行为。确认本钱意味着只要更少的币可供买卖，所以钱银的价值将增加，并导致对其别人的本钱再分配，这会创造社会效益。

第三，安全押金是一种十分安全的价值贮藏，所以（1）他们把钱银的运用代替为一种个人的稳妥东西，及（2）许多用户将能够用安全押金取得平等钱银额担保的贷款。

幸运的是，有一种办法来测试这些假定：发布一个 PoS 币，设置成每年 1%，2%，3% 的权益奖赏，看看在每一种状况下币存入的百分比有多大。用户不会和自己的利益过不去，所以咱们能够拿用户在一致上会花费多少钱来看这种一致算法会带来多少的无功率；假如证明权益证明在比作业证明更低的报答水平的状况下，具有合理的安全级别，那么咱们就知道 PoS 是一种更高效的一致机制，并且咱们能够用不同的酬劳水平，得到一个总本钱和边沿成之间的比率的精确概念。终究，咱们或许需求几年时间，才干得出切当的资金确认本钱的值有多大。

总归，咱们现在确认了两点：

（1）PoS 算法也能够安全，要想避开「nothing-at-stake」问题，改变安全模型、弱拥抱片面性，既有必要，也已充足。

（2）有很多的经济理由，相信 PoS 比 PoW 更具经济功率。PoS 不是不可知的；曩昔六个月的形式化及研讨现已确认了其优劣势地点，至少在很大程度上与 PoW 不相上下，PoW 的挖矿集中化的不确认性或许永久都存在。现在，这仅仅一个怎么规范化算法的简略问题，也给了区块链开发者一个挑选。

编者注：此文发表于 2014 年，说明了 PoS 体系的运行需求咱们怎么更改安全假定。引人留意的是作者在文章的末段提出的定见：「人类自身十分长于达到一致；一致算法仅仅加快了达到一致的速度」，这好像意味着，人类自驱的社会一致，足以支撑一个分布式体系的安全性，而「弱片面性」也仅仅是白玉微瑕。可是，人类长于「达到」一致吗？并不。小到打官司、方针争论，大到国际争端甚至战役，无一例外都暗示着，人类并不长于达到一致，由于作为一致对象的状况的背后是规矩，而人类会不断冲击规矩、对规矩作出有利于自己的解释，甚至直接破坏规矩。由于说到底，人类仅仅长于发现自己的利益，而不是达到一致，达到一致许多时分仅仅达到利益的一个步骤，而利益假如转移一致也就会被破坏。回到问题自身，在客观性一致的世界里，「创世块」+ 最长链规矩，就能切当地界说一种币并处理伪币问题；但在弱片面性的世界里，创世块界说不了币种，要处理伪币问题，除非你从创世块开始便是验证者，不然你只能假手别人。要是一个体系的最新状况的判决和解读是依靠于一小部分人的，那么不信任这一小部分人的人就底子不会去用这个体系。这就丧失了所谓的「社会可扩展性」。

视野开拓

从总务省发布的《劳动力调查》来看，从半世纪以来平均劳动时间最长的1988年一直到2015年，每周工作不满35小时的短时工比例由12%攀升至了30%（男性由5%至12%，女性由24%至47%）。同一时期，所有劳动者的年均劳动时间也随之由2480个小时降到了2044个小时，降幅高达300小时以上。 2016年，每五年实施并发布的《社会生活基本调查》结果显示，男性正式员工的每周劳动时间为53小时，换算成每年则超过2700小时。这一数据与日本20世纪50年代的劳动时间基本无异，这就意味着第二次世界大战以后，日本男性正式员工的长时间劳动问题从未得到解决。 即便在全世界范围内，日本也是长时间劳动问题最为突出的国家，这是众所周知的。综合经济合作与发展组织（OECD）关于正式员工的劳动时间调查数据以及日本《社会生活基本调查》数据来看，日本男性正式员工比英美两国男性每周要多工作大约10小时（每年500小时），比德法两国男性多大约12小时（每年600小时）。 在现代日本，员工拼上性命的长时间劳动之所以能被容忍，是因为《劳动基准法》不过是漏洞百出、有名无实的法律。该法虽规定用人单位不得命令员工每天工作超过8小时、每周超过40小时，但事实上，用人单位只要与由超过半数员工组成的工会或者可代表工会的过半数员工代表签订名为“三六协议”的劳动合同（基于《劳动基准法》第36条的关于非正常上班时间及节假日工作的劳动合同），并向劳动基准监督署提交申请，便可无限制地驱使员工工作。在中小企业中，未签订“三六协议”但依然命令员工长时间加班的企业也不在少数。-《过劳时代》