撰文:Ebunker
今年10 月以來,以太坊聯合創始人Vitalik Buterin 發布了一系列關於以太坊協議未來可能性的文章,內容涵蓋了以太坊發展路線圖的六個部分:The Merge、The Surge、The Scourge、The Verge 、The Purge 和The Splurge。本文將解讀路線圖的第一部分(The Merge),探討PoS 權益證明還有哪些技術設計可以改進,以及實現這些改進的途徑。
Vitalik 認為,「合併」是指以太坊協議自推出以來歷史上最重要的事件:從PoW 工作量證明到PoS 權益證明的過渡。如今,以太坊成為一個穩定運作的PoS 系統已經接近兩年了,這種權益證明在穩定性、性能和避免中心化風險方面表現非常出色。然而,權益證明仍有一些重要領域需要改進。
以太坊2023 年的路線圖將其分為幾部分:改進技術特性(例如穩定性、性能和對較小驗證者的可訪問性),以及經濟變化以應對中心化風險。根據Vitalik 的說法,本文並不是對權益證明進行改進的詳盡清單,而更多的是正在積極考慮的想法。
合併的主要目標如下:
1.單時隙確定性(SSF):通常以太坊區塊大約需要15 分鐘才能最終確定。 然而,可以透過提高以太坊的共識機制驗證區塊的效率,大幅減少最終確定所需的時間。 區塊可以在同一時隙內提議並最終確定,無需等待15 分鐘。
2.以最快速度確認並完成交易,同時保持去中心化
3.提高單獨質押者的質押可行性
4.提高穩健性
5.提高以太坊對51% 攻擊的抵抗和恢復的能力(包括最終性逆轉、最終性阻止和審查)
單時隙確定性與質押民主化
目前,需要2–3 個epoch(約15 分鐘)才能完成一個區塊,並且需要32 ETH 才能成為質押者。這最初是為了在三個目標之間取得平衡而做出的妥協:
-
使參與質押的驗證者數量最大化(使質押所需ETH 最小化);
-
使最終性時間最小化;
-
使運行節點開銷最小化。
這三個目標是相互衝突的:為了實現經濟最終性(即攻擊者需要銷毀大量ETH 才能恢復最終確定的區塊),每次最終確定時,每個驗證者都需要簽署兩條訊息。因此,如果驗證者數量很多,要么需要很長時間來處理所有簽名,要么需要非常強大的節點來同時處理所有簽名。
這一切都取決於以太坊的一個關鍵目標:確保即使成功的攻擊也會為攻擊者帶來高昂的成本。這就是「經濟最終性」一詞的意思。
也有反例,不具備「經濟最終性」的區塊鏈(例如Algorand)的做法是透過隨機選擇一個委員會來最終確定每個時隙來解決這個問題。但該方法的問題在於,如果攻擊者確實控制了51% 的驗證者,攻擊成本極低:只有委員會中的部分節點會被偵測為參與攻擊並受到懲罰。這意味著攻擊者可以多次重複攻擊該鏈。
因此,如果以太坊想要實現經濟最終性,那麼基於委員會的簡單方法是行不通的,而是需要全套驗證者的參與。
理想情況下,以太坊希望在保留經濟最終性的同時在兩個方面改善現狀:
1.在一個時隙(slot)內終結區塊(理想情況下,保持甚至減少當前12 秒的長度),而非15 分鐘
2.允許驗證者以1 ETH 進行質押(從32 ETH 降至1 ETH)
第一點可以確保所有以太坊使用者都能從透過最終性機制實現的更高層級的安全保障中受益。如今,大多數用戶都無法享受這種保障,因為他們不願意等待15 分鐘;而透過單時隙確定性機制,用戶幾乎可以在交易確認後立即看到交易最終確定。其次,如果使用者和應用程式不必擔心鏈回滾的可能性,那麼它就簡化了協定和周圍的基礎架構。
第二點是為了支持單獨質押者。根據多次的民意調查,阻止單獨質押的主要因素是32 ETH 的最低限額。將最低限額降低到1 ETH 將解決這個問題。
目前存在著一個挑戰:更快的確定性和更民主化的質押目標都與最小化開銷的目標相衝突。事實上,這個事實就是以太坊一開始不採用單時隙確定性的原因。然而,最近的研究提出了一些解決這個問題的可能方法。
工作原理:
單時隙確定性涉及使用在一個slot 內最終確定區塊的共識演算法。這本身並不是一個難以實現的目標,許多演算法(例如Tendermint 共識)已經實現了這一點。
以太坊獨有的一個理想屬性是(即inactivity leaks):即使超過1/3 的驗證者離線,該屬性也允許區塊鏈繼續運作並最終恢復。
單時隙確定性提案
對於如何使單時隙確定性在驗證者數量非常高的情況下發揮作用,而不會導致極高的節點運營商開銷這個問題,有幾種領先的解決方案:
選項一是暴力破解,實現更好的簽章聚合協議,可能會使用ZK-SNARKs,這將使處理單時隙中數百萬個驗證者的簽章成為可能。例如,Horn 是為了設計更好的聚合協議而提出的提案之一。
選項二是Orbit 委員會,這是一種新機制,允許隨機選取的中型委員會來負責鏈的最終確定性,但需要保留攻擊成本特性。 Orbit 利用驗證者存款規模中預先存在的異質性,獲得盡可能大的經濟最終性,同時仍將給予小型驗證者與其匹配的角色。
如下圖所示,在從範圍x=0(Algorand 委員會,沒有經濟最終確定性)到x=1(以太坊的現狀)之間 — — Orbit SSF 開闢了中間地帶:
1.其中作惡成本仍然很高,用以確保極為安全;
2.但同時,僅需中等規模的隨機驗證者樣本參與每個時隙,減輕節點負擔。
選項三是雙層質押,一種有兩類質押者的機制,一類質押者有較高的存款要求,另一類質押者有較低的存款要求。只有存款要求較高的層級會直接參與提供經濟最終性的過程。至於低層級存款應有哪些權責,已有各類提案提出,包括:
-
將權益委託質押給更高級的權益持有者的權利;
-
隨機抽取低層級質押者來證明並最終確定每個區塊;
-
產生納入清單的權利等。
對於以太坊的安全體驗和質押中心化屬性而言,每種解決方案都有其優缺點和需要權衡的地方:暴力破解雖然可以解決問題,但需要在很短的時間內聚合大量簽名,技術難度極高;Orbit 委員會需要驗證其安全性和特性,並進行正式化和實施;雙層質押機制則面臨著中心化風險,風險在很大程度上取決於低質押層獲得的具體權利。
除了單時隙確定性,單一秘密領袖選舉也是以太坊權益證明系統中的重要議題。如今,哪個驗證者將提出下一個區塊是可以提前知道的,這會產生一個安全漏洞,攻擊者可以監視網絡,確定哪些驗證者對應哪些IP 位址,並在驗證者即將提出區塊時對其發動DoS 攻擊。
解決這個問題的最佳方法是隱藏哪個驗證者將產生下一個區塊的訊息,至少在區塊實際生成之前要隱藏這些資訊。
單一秘密領袖選舉
目前,哪個驗證者將提出下一個區塊是可以提前知道的,這會產生一個安全漏洞:攻擊者可以監視網絡,確定哪些驗證者對應哪些IP 位址,並在驗證者即將提出區塊時對其發動DoS 攻擊。
單一秘密領袖選舉協議透過使用一些加密技術為每個驗證者創建一個「盲」驗證者ID ,然後讓許多提議者有機會對盲ID 池進行改組和重新盲化,從而解決這個問題。
然而,要實現一個足夠簡單的單一秘密領袖選舉協議並非易事。
以太坊協議的簡易性至關重要,不希望進一步增加其複雜性。使用環簽署的簡化SSLE (Simplified SSLE using ring signatures)僅用了數百行規範程式碼,並在複雜的加密中引入了新的假設。
如何實現足夠有效的抗量子SSLE 也是一個問題。最終可能會出現這樣的情況:只有當我們出於其他原因大膽嘗試並在L1 的以太坊協議中引入執行通用零知識證明的機制時,SSLE 的「邊際額外複雜性」才會下降到足夠低的水平。
另外,更快的交易確認也是以太坊權益證明系統需要解決的問題之一。
進一步縮短以太坊的交易確認時間(從12 秒縮短到4 秒)是有價值的。這樣做將顯著改善L1 和基於rollups 的用戶體驗,同時使DeFi 協定更有效率。它還將使L2 更去中心化,因為它將允許大量L2 應用程式在rollups 上運作,從而減少L2 建構自己的基於委員會的去中心化排序的需求。
大致上有兩種技術:減少時隙(slot)時間,降至8 秒或4 秒;允許提議者在單時隙期間發布預確認。然而,目前還不清楚縮短時隙時間的可行性。
即使在今天,世界上許多地區的質押者也很難以足夠快的速度獲得證明。 4 秒slot 時間的嘗試有驗證者集中心化的風險,而且由於延遲,在少數具備地理優越性的地區之外成為驗證者是不切實際的。
提議者預確認方法的弱點在於,它可以大大改善平均情況下的納入時間,但不能改善最壞情況。此外,還有一個待解決的問題,就是如何激勵預先確認。
面對未來可能的量子運算威脅,以太坊需要積極開發抗量子攻擊替代方案。目前依賴橢圓曲線的每個以太坊協議部分都需要有一些基於哈希或其他抗量子的替代方案。這證明了在圍繞權益證明設計的性能假設中的保守主義是合理的,也是更積極地開發抗量子攻擊替代方案的原因。
小結
以太坊權益證明系統在技術演進的道路上充滿挑戰。由於以太坊單獨質押門檻較高, 以Lido 為首的質押服務供應商們已成為以太坊節點質押的首選,雙層質押方案也具有一定程度的中心化風險。為了因應這些挑戰,單時隙最終確定性及質押民主化、單一秘密領袖選舉、更快的交易確認以及抗量子攻擊替代方案的開發,都是以太坊需要處理的重要議題。
Vitalik 對「The Merge」升級進行了全面的思考,並提出了盡可能多的技術解決組合方案,對以太坊PoS 權益證明技術的設計潛力,以及當下潛在可行的技術升級路徑進行了討論。
在技術升級的過程中,以太坊仍然在努力不斷探索和創新,在不同的技術方案之間進行權衡和選擇,以找到最適合的發展路徑,實現更高的安全性、性能和去中心化程度。
