通往單個 slot 實現最終確定性之路_以太坊:VSYS幣會成為第二個以太坊嗎

特別感謝JustinDrake，DankradFeist，AlexObadia，Hasu，AndersElowsson和各位hackmd匿名者對這篇文章各個版本的審校和反饋。

當前，以太坊區塊需要64到95個slot才能實現最終確定性。這是合理的，是在去中心化/最終確定性時間/開銷曲線上的一個折衷取值：15分鐘不算太長，而且與現有交易所的確認時間相當，它讓用戶能夠在常規計算機上運行節點，即使因為存款大小為32ETH(而不是前期要求質押的1500ETH)而出現了大量的驗證者。

然而，我們仍然有充分的理由把最終確定性時間縮短為一個slot。這是一篇研究現狀綜述，回顧了實現該目標的路線圖。

當前以太坊staking的運作方式及依據

以太坊的?LMDGHOST?+?CasperFFG?共識是權益證明區塊鏈中流行的兩類主流共識算法間的折衷：

基于鏈的共識算法：每個slot生成一條消息。基于鏈的共識算法最大限度地提高了參與者的數量以及減少了鏈的負載，但很容易出現分叉，而且沒有任何最終確定性的概念。傳統的BFT(拜占庭容錯)共識算法：每個slot內，除了某個驗證者生成一個區塊外，每個驗證者會生成兩條消息，而且一個slot的區塊在下一個slot開始之前實現了不可逆轉的“最終確定性”。傳統的BFT共識算法最大限度地縮短了實現最終確定性的時間，但是以鏈的高負載和僅支持少量的參與者為代價。與單純的基于鏈的系統不同，以太坊共識算法在每個slot都會并行對鏈頭進行數以千計的見證投票。每一個epoch，所有活躍的驗證者都有機會見證一次。兩個epoch后，CasperFFG最終確定性工具敲定了區塊，自此之后，回滾該區塊需要至少三分之一的驗證者銷毀其質押存款：攻擊成本會超過400萬?ETH。這就區別于單純的傳統BFT系統，后者在一個slot后實現最終敲定。

因此，今天的以太坊實現的是：

適中的最終確定時間——與傳統BFT在單個slot完成最終確定相比時間更長，但不是幾周或幾個月，或像基于鏈的共識算法那樣未曾提供過適中的鏈負載——每個slot會有數千條消息，但少于使用傳統BFT時的數十萬條信息適中的節點數——成為一個驗證者要求質押32ETH：與基于鏈的共識算法相比門檻更高，在基于鏈的共識算法中即使擁有很少量的Token也可以參與共識，但與傳統BFT共識算法要求的超大量Token相比門檻低很多

以太坊對更高強度鏈負載的支持是由?BLS簽名聚合的效率提升來實現的。由于這些效率的提升，能實現高強度的鏈負載(每秒消息量的角度)得以轉化為只需適中數據和CPU開銷的鏈負載。

美眾議院立法辯論稱馬斯克“X”公司或通過發行穩定幣將自己打造成全球支付提供商:金色財經報道，美國眾議院金融服務委員會今日已表決通過穩定幣監管法案《支付穩定幣透明度法案》（The Clarity for Payment Stablecoins Act），不過該項即將出臺的立法可能會為大型科技公司發行穩定幣打開大門。據悉，在相關立法辯論中，美國眾議院金融服務委員會特別提及X公司（前身為推特，被馬斯克收購后最近更名為X）并提出一個重要擔憂，即：X公司可能會通過發行穩定幣將自己打造成全球支付提供商，尤其是其新任首席執行官Linda Yaccarino已經明確表示要將X公司轉型為全方位通訊和金融中心。（U.today）[2023/7/28 16:05:00]

BLS簽名聚合的工作原理是將多個簽名聚合成一個，這樣，驗證聚合后的簽名只需每個參與者進行一次額外的橢圓曲線加法，并且64字節可以容納任意數量參與者的簽名，而每個參與者只需一個額外的位來存儲。

基于鏈的共識算法和傳統BFT共識算法的結合折衷，再加上源于BLS的純效率提升，形成以太坊當前的共識算法。

那為何要改變它呢？

在使用上述推理開發出原初的以太坊共識協議后的幾年內，我們得到了一個重大的好消息和一個重大的壞消息。

壞消息：混合型共識機制實際上有許多不可避免的問題

混合型共識機制結合了分叉選擇規則以及最終確定性工具，前者用于逐個slot推進共識，后者用于后續敲定區塊。混合型共識機制最大的問題是：

用戶體驗：大多數用戶不愿為交易最終確定而等待15分鐘。當前，即使交易所也通常認為資金存入在12到20次確認后才“最終敲定”，盡管12到20次PoW確認所提供的安全性保證也很弱。

MEV重組：混合型共識機制仍保有這樣的實際情況——短期重組是可能的，因此為占據近多數或多數的惡意驗證者共謀重組區塊鏈來提取MEV價值敞開大門。這篇文章更為詳盡地對這個論點進行了闡述。交互缺陷：CasperFFG最終敲定和LMDGHOST分叉選擇間的“接口”是重要復雜性的來源，導致了很多需要相當復雜的補丁去修復的攻擊，還有更多的弱點被時不時地發現。其他協議復雜性：數百行規范被用于維護驗證者集合洗牌等機制。好消息：超大規模的驗證者集合因BLS聚合變得比想象中更有可能

在過去三年內，BLS實現的具體效率得到了突飛猛進的提升，同時我們掌握了更多高效地處理組合大量消息和數據的知識。

使用BLS支持大量驗證者面臨著兩個主要的瓶頸：

彭博社：Gary Wang對于SBF來說是比Caroline Ellison更危險的證人:12月26日消息，彭博社近日刊文分析稱，與Alameda Research前首席執行官Caroline Ellison相比，FTX聯合創始人Gary Wang對FTX的重要性要大得多，這使他成為SBF更危險的證人。此前SBF將FTX的倒閉歸咎于Caroline Ellison，但這一辯護被Gary Wang的認罪協議削弱了。紐約前聯邦檢察官Sarah Paul表示：“我預計SBF將更難聲稱他不知道Gary Wang的所作所為。讓這兩名合作證人在審判中指證他，這將是非常有力的。”

Gary Wang和SBF的關系非常密切。Gary Wang和SBF第一次見面是在高中的數學夏令營，他們在麻省理工學院是室友。他們在加州伯克利合租一所房子時開始開發FTX，Gary Wang為于2019年推出的交易所編寫代碼。兩人一起生活在香港，最近在巴哈馬群島。SBF擁有Alameda公司90%的股份，而Gary Wang只擁有10%的股份。Gary Wang一直擔任Alameda的首席執行官，直到去年年底任命Caroline Ellison為首席執行官。

根據CFTC的指控，Gary Wang幫助創建了基礎代碼，使Alameda能夠在FTX “保持無限的信用額度”，Wang還幫助創建了其他途徑，使Alameda在平臺上進行交易時具有不公平的優勢，包括更快的執行時間。法律專家表示，轉移到Alameda的錢很難解釋為管理不善，而不是欺詐，他前同事的證詞可能對SBF造成毀滅性打擊。在其他案件中，面對這樣的證人，被告試圖扭轉局面，把合作者描繪成真正的壞人，現在撒謊是為了保全自己。

此前12月22日消息，Alameda前CEO和FTX聯創已分別對美檢察官提出的刑事指控和美CFTC提出的欺詐指控認罪；美SEC指控Caroline Ellison和Gary Wang欺詐FTX投資者，兩人已經同意兩項和解協議。[2022/12/26 22:07:56]

最后的驗證：驗證來自N個驗證者的簽名需要多達N/2次ECADD來計算群公鑰，并需要N位的位域來存儲參與者。實際上，由于view-merge需要冗余的聚合者，這些數值需要增加多達16倍。聚合：將N個驗證者各自發送的簽名組合為一個聚合簽名。這需要總共至少96*N個字節的帶寬來處理，并且需要至少N次在G2群之上的ECADD，但分配到各個子網中會更為簡單。實際上，最后的驗證擴展能力很強。單次ECADD可以在約500毫微秒(ns)內完成，因此100萬次ECADD將花費約500毫秒(ms)。100萬驗證者位域的大小僅為128kB。

view-merge的冗余可能需要每個slot驗證多達16個單獨的簽名；這將數據存儲需求提升到仍然可控的2MB，同時在最壞情況下ECADD運算成本增加約8倍。

Visa提議使用StarkNet進行自動循環支付:金色財經報道，Visa表示，建立在以太坊之上的第2層區塊鏈StarkNet可能有助于彌合加密貨幣和現實世界之間的差距，讓使用自保管錢包的人更容易支付賬單。根據Visa的一份加密思想領導力提案，雖然自動循環支付在傳統的移動銀行應用程序中很常見，但在區塊鏈上是一項更難的任務。Visa使用StarkNet擴展平臺實現了加密錢包Argent的概念驗證，因為允許智能合約為用戶執行交易的帳戶抽象尚未在以太坊上上線。該提案概述了一種用戶使用自保管錢包自動付款的方法，而無需簽署每筆交易。（the block）[2022/12/20 21:55:35]

這些是最壞情況下的數值；在通常情況下，16個聚合者的位域是基本一致的，這讓多個聚合的主要額外成本得以壓縮。

聚合更具挑戰性，但也是相當可行的。最新研究大大加深了我們對如何在一個slot內聚合大量簽名的理解。好消息是，我們有充分的理由相信，每個slot處理數十萬的簽名是可能的，盡管仍需更深入的研究工作來確定和商定最佳解決方案。

這兩個事實結合在一起意味著，權衡的結果不再傾向于在基于鏈和基于BFT的PoS間進行折衷，而是更接近完全的傳統BFT路線的解決方案，即在下個區塊開始前敲定每個區塊。

我們需要解決哪些關鍵問題以實現單個slot最終確定性？

共有三個關鍵問題：

開發確切的共識算法：我們不太能接受Tendermint或其他現有的BFT算法，因為我們十分看重這一點：即使在大于驗證者離線的情況下，區塊鏈仍然能夠保持活性。我們需要添加一個分叉選擇規則、怠工懲罰和恢復機制來實現這種活性。理想情況下，我們能夠獲得最佳的安全性：網絡同步時，容錯率為；當網絡不同步時，容錯率為。確定最優聚合策略。對于盡可能高的，我們想聚合來自個驗證者的簽名并將其打包進一個塊內，而且節點開銷是我們愿意接受的水平。確定驗證者的經濟模型。盡管聚合和最后的驗證這兩個步驟有所改進，單個slot實現最終確定性的以太坊可能最終能夠支持的的驗證者數量理論上限比當前的以太坊更小。如果這個數值最終低于欲參與的驗證者數量，我們該如何限制參與，以及我們會做出什么樣的犧牲？確切的共識算法會是怎樣的？

如上所述，我們想要一個遵循CasperFFG+LMDGHOST“最終確定鏈+樂觀鏈”范式的共識算法，在極端條件下，樂觀鏈可以回滾，但最終確定鏈永遠不能回滾。

這需要一個與分叉選擇規則和最終確定性工具與現有共識類似的結合，但其中有一個關鍵的區別：當前，我們通常會同時運行分叉選擇規則與最終確定性工具，但在單個slot實現最終確定性的世界中，我們會要么運行分叉選擇規則，要么運行最終確定性工具：如果小于三分之二的驗證者在線并且誠實地工作，那么運行前者；否則，運行后者。

SBF：加密市場未出現持續性資金流出，監管制度明確將對市場產生重大影響:10月8日消息，FTX 創始人 SBF 在接受 Laura Shin 采訪時表示，當前加密市場處于觀望期，未出現持續性資金流出，且在 Terra 和三箭資本事件后也沒有出現更多的災難性事件，整體比較穩定。未來最有可能對市場產生重大影響的事件是行業監管制度明確，特別是美國的監管制度明確。這將使行業參與者可以有一個清晰的發展路徑，同時保證客戶受到充分保護。相信這一點在不久的將來即可實現。[2022/10/8 12:49:17]

對該算法的具體提案仍在進行中；目前仍未發布正式的成果或文章。

開發一個最優的聚合策略會面臨哪些問題？

先讓我們看看當前是如何進行聚合的。在單個slot內，約有2的14次方個驗證者，這些驗證者被劃分為

個委員會，每個委員會約有

個驗證者。首先，每個委員會中的驗證者在該委員會專用的p2p子網中廣播他們的簽名。每個委員會中有16個指定的聚合者，每個聚合者將看到的所有簽名合并為一個聚合簽名。指定的聚合者將其聚合簽名發布到主子網中。

然后，區塊提議者從每個委員會中挑選最佳的聚合簽名，并將其打包進區塊。有了viewmerge分叉選擇的補丁，它們還會添加一個包含其他聚合簽名的跨斗(sidecar)對象；只要每個委員會中至少有一個聚合者是誠實的，就可以保護viewmerge機制免受惡意聚合者的影響。

如果我們想把這個模型擴展到單個slot實現最終確定性的場景，那么我們需要能夠在每個slot之內處理所有的2的19次方?(或無論我們有多少)個驗證者。這需要在以下兩種取舍中取其一：

增加單個委員會的驗證者數量或者增加委員會數量，或兩者兼而有之，以適應更多的驗證者。轉向三層聚合，兩層委員會的結構。首先，簽名先劃分成大小為

的小組進行聚合，然后大小為

CoinShares：上周數字資產投資產品凈流出2700萬美元，交易量是2020年10月以來的最低水平:8月29日消息，據CoinShares周報數據，上周數字資產投資產品凈流出 2700 萬美元，已連續三周共流出 4600 萬美元。上周加密投資產品交易量僅為 9.01 億美元，是 2020 年 10 月以來的最低水平。比特幣流出總額為 2870 萬美元，其中空頭比特幣投資產品流入 100 萬美元。從區域來看，全面出現小幅流出，但主要集中在美國、瑞典和德國，流出總額分別為 2,000 萬美元、420 萬美元和 230 萬美元。巴西是唯一的凈流入地區，流入總額為 120 萬美元。[2022/8/29 12:56:05]

的小組，最后是完整的驗證者集合。

前者要求更大的p2p網絡帶寬，后者要求接受更高的延遲，更多的p2p子網層級帶來更高的風險以及額外復雜性來確保viewmerge免受所有層級中的惡意聚合者所影響。

對這兩種策略的分析研究在持續進行中。

驗證者經濟模型存在著哪些問題？

當前，以太坊有著約2的19次方個活躍的驗證者，每個驗證者都質押了32個ETH。到單個slot最終確定性實現時，驗證者數量可能會增加到2的20次方甚至更高。

這帶來了一個重大問題：如果我們每個slot只能處理來自N個驗證者的簽名，但如果有超過N個以上的驗證者想要參與，那么我們該如何確定誰去誰留？

這是一個重大問題，因為任何方案都將涉及弱化staking系統的一個或多個被視為安全保障的特性。

好消息：源于支持自發驗證者余額合并的收益

因為單個slot最終確定性移除了委員會的概念，我們不再需要32ETH的驗證者有效余額上限。考慮到p2p網絡穩定性的因素，我們仍然想要一個更高的上限，但即便如此，這也意味著本來屬于富有用戶的大量驗證者槽位將會被合并成數量少得多的驗證者槽位。

我們可以用Zipf定律估計整合富有用戶的驗證者slot的收益：某個擁有特定余額的質押者數量與其余額成反比。

使用了信標鏈的早期歷史數據，Zipf定律似乎相當準確地擬合了分布：

假設符合Zipf定律，N個質押者將擁有大約

個ETH，那么今天就需要

?個驗證者槽位。把

3350萬ETH填入該式子，我們可以得到共計65536個質押者，在今天的以太坊則需要消耗

個驗證者槽位。因此，完全移除有效余額上限讓需要處理的驗證者槽位數量減少到65536個，而維持2048ETH的上限只會額外增加約1000到2000個驗證者。只需將聚合性能提升約2倍或讓負載增加約2倍，就能夠處理當前情況下的單slot最終確定性！

作為一個附帶的好處，這也對小型質押者更加公平，因為小型質押者可以質押全部余額而不是一部分。質押獎勵將自動被重新質押，即使是小型驗證者也能從復利中獲益。事實上，出于這個原因，把質押上限提高到2048ETH甚至可能是一個好主意！

然而，我們仍需要處理例外情況：驗證者余額分布不再符合Zipf定律，或富有的驗證者不打算合并其余額，或質押了超過3300萬的ETH。

我想到了處理這些情況的兩種現實策略：超級委員會和設定驗證者集合大小上限。

思路1：超級委員會

不是所有驗證者都參與每一輪CasperFFG，而是只有一個由數萬人組成的中型超級委員會參與，讓每輪共識都在一個slot內發生。

這一技術思路在這篇帖子中首次介紹。這篇帖子更加詳細地描述了該思路，但其核心原則很簡單：在任何給定的時間，只有一個從完整驗證者集合隨機抽樣得到的中型超級委員會被激活。每次鏈達到最終確定性，委員會都會改變，其中多達25%的成員會被隨機采樣的新驗證者替換。

在該策略中，“誰留誰走？”就是：每個人都會逗留一部分時間，而在另一部分時間離開。

超級委員會得有多大？

這個問題可以歸結為一個更簡單的問題：51%攻擊以太坊需要多少代價？理想情況下，由于攻擊被罰沒以及怠工懲罰的ETH數量需要大于從攻擊中實際獲得的收益。攻擊的成本甚至應該足夠高，從而讓那些有強烈外部動機去毀滅這條鏈的強大攻擊者受到威懾或損失慘重。

回答實現這一目標需要多少ETH這一問題不可避免地要依賴直覺。以下是一些我們可以問的問題：

假設以太坊受到51%攻擊，社區需要花幾天時間協調鏈下治理來恢復，而X%的ETH被燒毀。X需要多大才能對以太坊生態產生凈效益？假設一個大型交易所被黑客入侵導致損失了數百萬的ETH，攻擊者將收益存入并占有超過51%的驗證者。在被盜資金被完全銷毀前，攻擊者能夠對鏈進行多少次51%攻擊？假設某個51%攻擊者在短時間內反復重組區塊鏈來捕獲所有的MEV。我們想讓攻擊者每秒付出什么級別的代價？來自JustinDrake的估算表明，當前對比特幣進行spawn-camp攻擊的成本約為100億美元，或比特幣市值的1%。對以太坊進行一次51%攻擊的成本應該是該水平的多少倍？

以太坊研究員的內部投票

如果我們僅關注不依賴網絡延遲的51%攻擊，100萬枚ETH的攻擊成本意味著200萬枚ETH規模的超級委員會。如果我們還考慮涉及惡意驗證者和網絡操縱的復雜組合的34%攻擊，那么規模為300萬枚ETH(大約97,152個驗證者)。

復雜性成本

除了降低攻擊成本以外，該方案的另一個主要弱點是復雜性，包括協議復雜性和分析復雜性。特別是：

我們需要數百行規范代碼來選舉超級委員會并進行輪換。富有的驗證者會在多個驗證者槽位間分配其ETH以減少收益波動，因此我們會因提高有效余額上限失去了一些好處。若出現臨時性的高手續費或高MEV，超級委員可能會故意拖延最終確定性的達成來避免被換出，從而可以繼續收取手續費和MEV。思路2：設置驗證者集合規模上限

我們可以試著采用兩類設置上限方案中的一種：

設置ETH質押總量上限設置驗證者總量上限每種設置上限的方案都可以選擇基于順序的機制(堆棧或隊列)或經濟模型調節的機制來實現。

基于順序的機制有著很多問題。要了解其中原因，可以考慮兩類基于順序的策略：

保留最舊的驗證者：如果驗證者集合已滿，那么其他人無法加入保留最新的驗證者：如果驗證者集合已滿，那么最舊的驗證程序將被踢出這兩類都有著嚴重的問題。OVS有著轉向一個早期質押者盤踞其中的“王朝”的風險，質押者一旦離開，則可能會永遠失去再加入的機會。這也會導致每當某個驗證者離開都會出現MEV拍賣或排著長隊以加入驗證者集合。另一方面，NVS可能會引發持久的MEV競拍，這會干擾整條鏈，因為被踢出的驗證者會想立即重新加入，從而與真正的新參與者進行競爭。

通過經濟模型設置ETH質押總量上限

另一種可選機制是使用經濟學模型設置上限：如果存在過多的驗證者想參與，那么懲罰所有新舊驗證者，直至某些驗證者放棄并離開。一個簡單的方法是將驗證者獎勵公式從當前的

更改為形如：

其中R是對表現良好的驗證者的獎勵，而D是當前活躍驗證者的ETH總余額。該曲線大致如下：

在曲線的左側，驗證者獎勵起到與當前機制一致的作用。但是，隨著ETH質押總量增加到數百萬，獎勵函數開始加速下降，在約2500萬ETH時，獎勵會降至零以下。在優先費用和MEV收益足以覆蓋其損失的特殊情況下，盡管基本收益為零或負數，驗證人可能會愿意繼續質押。獎勵曲線在2的25次方?ETH處趨于負無窮，從而無論外部獎勵有多高，驗證者集合的大小無法越過該上限。

該方法的優勢在于它完全避開動態隊列的設計：無論均衡點在哪里，它都能達到均衡；驗證者集合大小最終會達到均衡點。

該方法的主要缺點是在曲線右側附近持續進行阻攔攻擊：攻擊者可以加入并快速趕出其他驗證者。但這是相對其他方案而言的一個小問題，因為它只能在MEV異常高的情況下發生，而且這種攻擊非常昂貴。

另一個主要缺點是，它可能使得我們趨于一個大多數驗證者都被“邊緣化”的未來，大型質押者由于更能容忍收益波動，從而在競爭中會勝過小型質押者。

通過經濟模型設置驗證者總量上限

通過添加正比于驗證者總量的懲罰項，我們可以使用相同的邏輯來設置驗證者總量上限。例如，如果我們想要設置的驗證者上限為

2的17次方，我們可以這樣做：

另一種方法是添加浮動最低余額：如果驗證者總量超過上限，則將擁有最低余額的驗證者踢出。

浮動最低余額會面臨一類新型的惡意攻擊的挑戰：富有的驗證者劃分他們的質押資金，以便踢走小型驗證者。我們可以通過增加每個驗證者槽位的費用來緩解這一問題，并達到這樣的目的：在Zipf分布下，不值得進行此類攻擊。然而，如果不再服從Zipf分布，那么仍會留下一個潛在的漏洞。

所有這些提案的一個重要問題是，它們改變了現有安全保證。尤其：

超級委員會將攻擊鏈的成本從質押總量的1/3降低到約1到2百萬ETH。通過經濟模型設置質押總量或驗證者總量上限設計改變ETH發行公式，減少質押者的收益，并增加惡意攻擊。如果我們添加浮動最低余額，該余額可能會超過32ETH，違背了當前任何持有32ETH的人都可以參與質押的保證。仍需仔細考慮以確定社區最能接受哪種權衡。

總結

這里有三個主要問題需要研究：

開發具體的共識算法，有限度地將BFT共識算法與分叉選擇規則結合起來。確定最佳聚合策略，在一個slot內聚合盡可能多的驗證者簽名。確定驗證者的經濟模型：如果成為驗證者的需求超過了系統處理驗證者的能力，那么需要回答誰去誰留。(1)是一項專業的學術任務，我們了解答案的大致輪廓，主要在于填寫細節。也就是說，加快(1)并爭取盡快提出具體設計方案是一個好主意，因為它會與其他研究領域交互。

(2)也是一項專業任務，盡管很可能不可避免地揉合復雜性/效率上的權衡。(3)涉及到最為困難的權衡取舍，不僅是技術層面的，也需要社區的參與。

特別感謝ECN社區翻譯志愿者@doublespending對本文的翻譯貢獻。

責任編輯：MK

Tags：ETHLOTSLOT以太坊ETHMOONLOT幣Sleepy Sloth FinanceVSYS幣會成為第二個以太坊嗎

BNB