权益证明(Proof of Stake, PoS)相较于工作量证明(Proof of Work, PoW)在保障区块链安全方面展现出了三大显著优势。
在相同的经济投入下,权益证明能够提供更为坚实的安全保障。要深刻理解这一点,不妨将权益证明与工作量证明进行对比分析。假设每天都有1美元的区块奖励,那么要攻击这个网络所需的成本是多少呢?
以基于GPU的工作量证明为例,攻击成本相对较低,因为你可以以较低的成本租借到GPU,攻击成本就等同于租借足够强大GPU的费用,只要这些GPU的算力能够超过现有矿工的算力即可。现有的矿工为了赚取1美元的区块奖励,几乎会投入近1美元的成本(若投入更多,矿工将因无利可图而退出;若投入少于这个数额,新矿工会加入,从而压缩现有矿工的利润空间)。因此,攻击网络仅需稍微超过1美元/天的成本,而这可能只需要几个小时。
总攻击成本:约为0.26美元(假设攻击持续6小时),且由于攻击者有可能获得区块奖励,这个数字甚至可能降至零。
以基于ASIC的工作量证明为例,ASIC实际上是一种资本投入:购买ASIC时,你预计可以使用大约两年,因为它们会逐渐损耗,或者因为推出了更新更好的硬件而变得过时。如果一个链遭受了51%的攻击,社区可能会通过更换PoW算法来应对,这时,你的ASIC就会失去价值。平均而言,挖矿的成本分布是1/3的经常性成本和2/3的资本成本。因此,为了每天赚取1美元的区块奖励,矿工需要花费大约0.33美元在电力和维护上,花费0.67美元在ASIC上。假设ASIC可以使用大约2年,矿工需要为一单位的ASIC硬件支付约486.67美元。
译注:486.67美元 = 365天 x 2年 x 0.67美元资本成本
总攻击成本:486.67美元(ASICs)+ 0.08美元(电力与维护)= 486.75美元
译注:这里的电力与维护成本也是基于假设攻击持续6小时
值得注意的是,尽管ASIC提供了很高的安全性,但相较于GPU,其成本也更高,这导致了过度中心化,同时提高了参与ASIC挖矿的门槛。
权益证明Proof of Stake
权益证明的成本几乎完全是资本成本(即抵押的币),唯一的运营成本是运行节点。那么,人们愿意为每天1美元的区块奖励锁住多少资金呢?与ASIC不同,抵押的币不会折旧,而且当你不再需要抵押时,你可以几乎立即取回你的币。因此,在奖励相同的情况下,参与者愿意承担的资本成本比ASIC情况下更多。
假设大约15%的回报率足以吸引人们抵押(这是eth2的预期回报率)。因此,每天1美元的区块奖励将吸引相当于6.667年回报率的抵押,这可以换算成2433美元。节点的硬件和电力消耗非常小,一台价值千美元的电脑就可以抵押大量的币,而且每月只需大约100美元左右的电力和网络费用就足够了。我们可以保守地假设这些经常性成本占抵押总成本的10%,这意味着在协议每天发出的区块奖励中,需要扣除10%的经常性成本,剩下的0.90美元才是(在攻击时)需要花费的资本成本。
译注:6.667年 = 1美元 /(15%年回报率);2433美元 = 1美元/天 x 365天 x 6.667
总攻击成本:0.90美元/天 x 6.667年 = 2190美元
从长远来看,这个攻击成本会变得更高,因为抵押会变得更加有效,人们也更愿意接受较低的回报率。我个人预计这个数字最终会攀升到大约10000美元左右。
值得注意的是,如此高的安全性带来的“代价”只是让你在抵押期间无法随意移动资金。人们可能会意识到,这些币被锁住后反而推高了币的价值,因此,社区流通的货币总数、用于投资生产活动的资金等,实际上可能会保持不变。相比之下,PoW维持共识的“代价”却是无休止地消耗电力。
我们追求更高的安全性,还是更低的成本?
要知道的是,在单位成本安全性增加了5-20倍之后,我们可以有两种方式来利用这一点。一种方式是保持区块奖励不变,单纯享受额外的安全性。另一种方式是维持现有的安全性水平,同时大量减少区块奖励(即减少共识机制成本的浪费)。
两种方式都是可行的。我个人倾向于后者,因为正如我们将在下文中看到的,与工作量证明相比,权益证明在遭受攻击时造成的损害更小,且链更容易从攻击中恢复。
权益证明更容易从攻击中恢复
在工作量证明系统中,如果你的链遭受了51%的攻击,你会怎么做?到目前为止,唯一的应对策略一直是“慢慢等待,直到攻击者感到无聊”。但这忽略了一种更危险的攻击,即“住到你崩溃(spawn camping attack)”,攻击者可以不断对链进行攻击,目的就是要让链无法使用。
译注:Spawn Camping 是一种游戏术语,指在对方玩家重生点或死亡处埋伏的行为。这样会导致被埋伏的玩家一复活就再次阵亡,毫无还手之力。
基于GPU的系统几乎没有防御手段,而且持续攻击的攻击者可以轻易让一个链永久性地失去功能(实际上,该链可能会转移到权益证明或权威证明)。事实上,攻击开始后不久,攻击者的成本就会变得非常低,而诚实的矿工会离开,因为他们无法在攻击持续的情况下获得区块奖励。
在基于ASIC的系统,社区可以应对第一波攻击,但接下来的攻击就会变得很容易。社区可以在第一波攻击之后,通过硬分叉更换工作量证明算法,让所有的ASIC“变砖”(即损坏,攻击者和诚实矿工的ASIC都会损坏)。如果攻击者愿意承担第一次ASIC变砖的成本,接下来几次的情况就会和GPU的情况一样(因为还没有足够的时间去为新算法制造和生产ASIC),所以在这之后攻击者可以很便宜地持续对链进行攻击。
译注:变砖是电子产品的俚语,代表损坏后无法使用,像砖头一样。
在权益证明下,情况要好得多。针对特定类型的51%攻击(特别是想要推翻已确认的区块),权益证明共识有内建的“砍押金(slashing)”机制,大部分攻击者的抵押币会被自动销毁(而且不会影响到其他人的抵押)。针对其他更难检测的攻击(例如51%合谋截断他人信息),社区可以协调一个“少数使用者发起软分叉(minority user-activated soft fork, UASF)”,可以大量销毁攻击者的资金(在以太坊中,可以通过“离线惩罚(inactivity leak)”实现)。这样就不需要特别费力去“搞一个硬分叉砍掉非法货币”。除了UASF需要人为协调选择哪个少数区块外,其余的事情都是自动化的,只需按照协议规则执行即可。
译注:少数区块(minority block)是指小于51%抵押总数的验证者决定的区块。
因此,对链的第一次攻击就会使攻击者损失数百万美元,而且社区可以在几天内迅速稳定下来。第二次攻击仍然会花费攻击者数百万美元,因为他们被迫购买新的币来替换自己被销毁的币。再攻击第三次……只会继续烧更多钱……局面极为不对称,而且优势并不在攻击者一边。
权益证明比ASIC更去中心化
基于GPU的工作量证明的去中心化程度还不错,因为获取GPU并不困难。但正如之前提到的,基于GPU的挖矿难以满足“在攻击下的安全性”这一标准。另一方面,基于ASIC的挖矿需要数百万美元的资本(而且如果你的ASIC是购买的,大多数情况下,制造商可以占更多便宜)。
正如之前所述,你现在知道如何回应“PoS只会让有币的人继续以钱滚钱”这个论点:ASIC挖矿同样会让已经拥有币的人受益——而且收益比PoS时还多。相比之下,至少权益证明的最低抵押门槛足够低,让普通人也有机会参与。
译注:截至文章完成时,32 ETH @ 440美元,最低抵押门槛大约是40万台币。
进一步说,权益证明更能抵抗审查。GPU挖矿和ASIC挖矿很容易被检测到,它们需要大量电力消耗、昂贵的硬件采购以及大型厂房。另一方面,权益证明可以运行在一台不起眼的笔记本电脑上,即使在VPN上运行也毫无问题。
工作量证明可能的优势
我认为PoW在以下两点上确实具有真正的优势,尽管这些优势相当有限。
权益证明更像个“封闭系统”,长期而言财富更加集中
在权益证明的情况下,如果你手中有币,你可以抵押这些币以获得更多同种类的币。但在工作量证明的情况下,即使你没有币,只要你愿意投入外部资源,你仍然可以赚取。因此,或许可以说权益证明会导致长期风险,使得币的分配变得更加集中。
我的回应是,在PoS中,回报通常很低(因此验证者的利润也较低)。在eth2中,我们预计验证者的年回报将相当于总ETH供应量的0.5-2%。而且随着更多验证者抵押,利率会更低。因此,可能需要一世纪的时间,整个资产的集中程度才会翻倍,而且在这个时间跨度内,其他促进分配的压力(人们想花掉他们手上的钱,将金钱分配到慈善或他们自己的后代等等)可能会更加显著。
权益证明需要“弱主观性”而工作量证明不需要
关于“弱主观性”的概念可以参考这个原始介绍。本质上,就是节点在首次上线或在离线数月后再次上线时,必须通过第三方的资源来决定正确的链头在哪里。这个第三方可以是他们的朋友、交易所或区块链浏览器网站、客户端开发者或其他角色。PoW没有这样的要求。
然而,这可能是一个很小的要求。事实上,用户本身就必须对客户端开发者或“社区”有这种程度的信任。至少,用户必须信任某个人(通常是客户端开发者)来告诉他们协议是什么,这个协议曾经经历过什么样的更新。这在任何软件应用中都无法避免。因此,PoS需要增加的额外信任实际上已经很少了。
但即使这些风险实际上并不小,在我看来,切换到PoS系统带来的好处要大得多,比如系统的高效运作和从攻击中迅速恢复的能力。
标签: 数字货币
