nobody on Nostr: 比特币安全性 ...
比特币安全性
如何用模型分析比特币安全性?区块补贴下降后如何保障安全性?
「比特币安全的最大威胁根植于协议本身:即区块奖励减少带来的安全风险。」 论文作者:Hasu(独立研究
论文作者:Hasu(独立研究人员), James Prestwich(Summa 创始人), Brandon Curtis(Radar 研究总监)
编译及解读:LeftOfCenter
如果应用程序或协议在敌对环境中实现了它的目标,包括对抗那些愿意花费大量资源来破坏系统的参与者,那么我们就称其为「安全的」。遗憾的是,没有一个系统能够抵御无所不能的攻击者。因此, 对待安全,一个实用的态度是最大限度地激励人们按照协议行事,同时尽可能减少违反协议的动机 。
从这个角度, 不妨看看比特币网络 是否是 「安全的 」:
比特币的目标是建立这样一种支付系统
任何人都可以参加(免许可访问),
只有合法持有者才能消费代币(安全性),以及
所有有效的交易最终都会进入分类账(活跃度)。
人们持有比特币资产目前已超过 10 年,这 表明比特币在实践中是安全的 。但另一方面,在学术界和理论界,一直未能在学术研究的模型中重现比特币这种安全的特性,学者们斥之为「错漏百出」、「难逃一死」等,这也导致了「比特币在实践中安全,在学术中不安全」的一种「meme」。
好在独立加密货币研究者 Hasu、Summa 创始人 James Prestwich 和 Radar 研究总监 Brandon Curtis 最近发表了一篇论文,希望改变这一现状。
这三位作者在这篇论文中,通过介绍比特币安全模型,来弥补理论和实践之间的差距。 该论文证明,比特币目前能够容忍非常高的攻击动机,而这是由数量少得惊人的因素所决定的 。
该论文进一步说明了,为什么学者们提出的许多攻击,对矿工来说并不合理、并不合算。
在论文的第二部分中,三位作者还证明了, 比特币安全的最大威胁根植于协议本身,而不是任何外部攻击者 。
这个问题就是区块奖励减少带来的安全风险:作为比特币固定发行计划的一部分,区块奖励计划将会如期减少,一种普遍的观点认为,这将降低矿工的可预测收入,从而降低矿工对维持比特币网络安全性的承诺。该论文解释了, 如果一个稳健的区块空间市场没有发展起来,区块回报的下降缘何将给未来带来巨大的风险。论文 与普遍的看法相反,认为用户不能通过简单地等待更多的确认数来弥补这个问题 。
最后,该论文还提出了几个可能的改进建议。
以下为该论文的一些核心内容:
1. 比特币为什么需要挖矿?
在比特币系统中,已经使用了公钥加密技术来对消息所有权进行证明和验证。其中,一个代币的所有者可以用其私钥签名一条消息。然后,网络中其他节点可使用发件人的哈希公钥来验证该消息是否有效,这满足了比特币系统中的「安全性」要求。
但是,有时候出现节点会收到两条消息,它们单独都是有效的,但又不可能同时有效( 比如双花攻击 ),在这种情况下公钥加密完全不起作用了。
比特币如何解决这个问题呢?它用一组算力签名来代替单个可信的服务器签名,节点可据此在单条链上进行协调。生成这些签名的成本很高,且成本很容易被验证,因此高度可信。因此,当节点从矿工那里收到两个相互冲突的签名时,会选择成本更高的那个, 这个分叉选择规则 (fork choice rule) 就是「中本聪共识」 。
将 动态成员多方签名 ( DMMS ) 用于比特币挖矿的想法最早由 Adam Back 和 Matt Corallo 等人提出。 DMMS 是由变量和一组匿名签名者组成的签名,这些签名者可以随时进入和离开。他们在比特币网络算力份额代表了它们在网络中签名权重。这些签名是累积性的,因为每个区块都引用前一个区块,最终创建一条区块链。
虽然矿工在构建自己的区块方面有一定自由度,但他们不能给自己分发更多代币,不能在同一链上偷别人的代币,也无法篡改区块发生的顺序。和其他节点一样, 矿工必须像其他任何节点一样遵循比特币协议,并且节点会自动拒绝任何破坏协议的尝试 。
但是,作为一种密码技术,该 协议的局限性在于,不能覆盖所有方面,在一些重要方面协议无法强制执行, 比如,一个节点本身并不知道两个冲突的交易中哪个才是有效的,或者两条竞争链中哪条更受欢迎。因此,用户依赖于分叉选择规则在单个链上进行协调。虽然该规则是比特币保持共识所必需的,但它也赋予矿工相当大的权力,而该权力不受协议本身的约束 (且不可调控!) 。
其中最出名的 激励失败 (incentive failure) 就是双花攻击。这种情况是指,多数矿工首先在原链上使用 BTC 购买非 BTC 的产品或服务,一旦他获得了不可退回的货物或服务交付,他可以产生了一条更长的链条,而该交易从未发生过,因此同时获得了钱和商品。节点遵循成本更高的签名,会自动切换到新链,即使其中包含链下盗窃或其他恶意行为。
由此可见,诸如加密签名之类的「硬」协议规则不能完全确保交易顺序的安全,它也依赖于由矿工发布更新的用于服务比特币用户的「软」经济动机。
2. 为比特币的安全性建立模型
对于矿工来说, 只有在无利可图的情况下才有动机不撤销交易 ,从而为此交易生成最终确认性。总有人会问,到底需要多少个确认才能保证支付的最终性?
Hasu、James Prestwich 和 Brandon Curtis 三人为比特币的安全性建立了一个模型, 他们的安 全模型得出的结论是:比特币的安全性和确认数目没有关系,安全只和 2 个因素有关 。
2.1 安全假设
在该模型建立的基本支付系统假设中,区块奖励为 12.5 BTC,交易费为 0。挖矿所需的所有硬件和哈希算力都可按需租用,因此矿工对比特币网络没有长期的承诺。矿工的行为不会影响 BTC 的交易价,用户也不会违反中本聪共识。
在论文中,把通过这种「诚实挖矿」 (honest mining) 行为所获价值定义 EV (诚实挖矿) ,那么,10 个区块间隔中, 矿工收入 MR (miner revenue) 就是 125 个 BTC。
假设矿工可自由加入网络挖矿,并且矿工之间存在完美竞争,那么可以预期,获得该奖励的 挖矿成本(MC: mining cost) 是 125 个 BTC,由此得出:
等式 1: 挖矿收入 (MR) - 挖矿成本 (MC) = 0 等式 2:EV(诚实挖矿) = MR - MC
因此, EV (诚实挖矿的所获的价值) 的基准为 0 BTC。
矿工希望 从攻击活动中攫取的比特币价值 则被定义为 MEV ( Miner-extractable value ),指矿工通过操纵共识或交易订单所攫取的其他价值。然后,可将攻击挖矿的最终 EV (例如双花 )建模为:
等式 3:EV(攻击挖矿)=MEV+MR-MC
只要一直保持 EV(诚实挖矿) >EV(攻击挖矿) ,那么,一个理性的矿工就会遵守协议,而不是进行攻击。 因此可得出,为了保证比特币的安全性,就 必须让 EV(诚实挖矿) > EV(攻击挖矿) 。
假设一名矿工从一次 10 区块间隔中攫取的 MEV 为 100,那么可以得出:
案例 1:EV (攻击挖矿)= MEV + MR - MC=100+10-10=100;
由于 100>0,那么可以推出此时比特币是不安全的。
这一发现符合直觉, 因为本次攻击区块链对攻击者而言并没有实际代价,只需 10 个 BTC 的预算,攻击成功后,该成本可被奖励抵消。
这里有 3 个值得注意的 警告 :
1)一旦攻击者撤销自己生成的某些区块,则攻击开始产生实际成本,因为他的有效挖矿收入 MR (攻击挖矿)下降,而 MC 保持不变。
2)如果少数防御矿工继续开采原始链,则会增加攻击的持续时间。但是,只要攻击者最终能超过原始链,这不会降低他的 EV (攻击挖矿),而只会提高其预算,而企图防御的捍卫者的资源被浪费。
3)在此模型中,我们假设,攻击者拥有大量哈希算力或几个较小攻击者进行联合攻击,攻击者之间的协调是没有成本的。但在现实世界中,如果各位矿工在 MEV 值或攻击持续时间上有分歧,可能会增加协调的成本。
2.2 市场治理
俗话说,消费可以说是一种投票,它是指经济参与者通过消费进行投票 。在区块链市场中,用户 (消费者) 买卖 BTC 的行为,对于矿工 (生产者或服务提供商) 来说也是一种投票。一旦用户对矿工提供的服务不满意,对支付系统的信心可能会下降,如果矿工安全服务不到位让系统遭到攻击,就会引起消费者不满意,从而导致 BTC 交易价格下跌。
该论文将遭到攻击后比特币的美元价格表示为 p (攻击后价值,postAttackPrice) ,postAttackPrice=95%意思是「攻击导致比特币价格下跌了 5%」。
等式 4:EV (攻击挖矿)= p (攻击后的价值 postAttackPrice) x (MEV +MR)-MC
在更新后的公式中,由于攻击导致 BTC 价格下跌, MR (区块奖励+费用) 和 MEV 的价值都变小了,而 挖矿成本(MC) 保持不变。这很好推理,攻击后,BTC 数目虽然没有亏损,但是损失了 5%的购买力,价值只相当于攻击前的 95%。
由于引入了市场治理,因此只要 MR (诚实挖矿) 大于 p (postAttackPrice) *(MEV + MR (攻击挖矿)) ,那么我们可以说, EV (攻击挖矿) 是无利可图的,可表示为:
等式 5:If MR>p (postAttackPrice)*(MEV +MR),EV (攻击挖矿)<0,
由此,我们可以得出保持系统安全的 3 种方式:
1) MEV 保持足够低,例如,因为很少有人使用比特币进行交易,或者用户在没有其他保证(例如知道买家的身份)的情况下不会考虑最终付款。
2) p (postAttackPrice)很低,这意味着,用户对比特币的用途非常敏感,一旦矿工无法履行自己职责,这些用户马上就会转到其竞争对手上。如果 BTC 的价格易于崩溃,那么,其他形式的攻击 (比如 sabotage 攻击) 就会变得更具吸引力,从而增加 MEV。
3) MR 值足够高,这样的话, p (postAttackPrice)对 MR 的影响,开始超过从 MEV 的潜在收益。
2.3 矿工的长期承诺
之前的这些假设,都属于「不切实际的假设」,即可按需租用挖矿所需所有资源 (该观点主导了比特币安全性的学术评论) 。实际上,现实中的挖矿行为并非如此。在激烈的竞争中,如果某一名矿工在同等预算成本下增加了可获得的收入,那么其他矿工就必须跟上步伐,要不然就会有收入减少的风险。
挖矿几乎没有一直存在的护城河 。 结果就是,挖矿产业的工业化速度可能超过历史上任何其他行业 。
随着挖矿业工业化程度越来越高,创建区块的单位成本变得越来越重要。 实际中,有几种降低业务中单位成本的方法:
1)如果生产设施产能不足,则企业可出售更多产品,将日常开销平均分摊在更多商品上。在挖矿行业中,每个哈希值都有一个以比特币网络形式的自动购买者,因此,在这一点上没有优化的空间。
2)该业务可以减少生产的日常材料成本。具体到挖矿中,其目标是不断寻找更便宜的能源,更好地散热或冷却以及制造优化。
3)企业可以通过使其生产设施专业化来降低成本。在挖比特币中,这意味着只针对 SHA-256 哈希算法优化的专业硬件,一旦该硬件设备不能挖比特币,就一文不值了。值得注意的是,这甚至适用于以太坊等大型 GPU 挖掘网络。虽然可用通用硬件挖以太坊代币,但对 GPU 的需求却不足以使供应突然达到饱和的状态。因此,一旦以太坊的价格崩溃,以太坊的矿工承诺也将失去大部分的价值。
4) 矿工还可通过签订长期购电协议(PPA)来降低单位的能源成本。
因此,为了降低单位成本,保持挖矿竞争力,一个理性矿工需要高度专业化的硬件,并致力于该网络长远的发展。矿工专业化程度越高,其资产和支出的不可回收性就越大。从等式 1 中,可得知 MR + MC =0 。这意味着,可用 挖矿总收入 (也就是区块奖励总和) 填补挖矿成本 。
那么,一个矿工必须预先承担多少费用呢?在与比特币矿工和专家交谈之后,该论文的作者得出了一个粗略估计,即普通矿工、乃至整个挖矿业, 不可回收的成本约占总成本的 50%,此外,这些资产会平均在 24 个月内贬值。
据此推算,如果预期挖掘两年的比特币,那么整个挖矿行业须将整整一年 (两年* 50%) 的区块奖励作为长期承诺成本。
以一个区块 12.5 枚 BTC 来计算,一年就是 658,800 枚 BTC。换句话说,2 年的合理的挖矿单位成本是 658,800 枚 BTC,或 105,408 枚区块。
这项承诺成本取决于,未来两年内挖矿市场 (包括能源和硬件生产商) 对比特币的价格预期。 如果他们期望比特币生存和繁荣,他们可能会假设比特币的平均价格等于或高于当下的比特币价格。如果比特币的价格在折旧阶段 (2 年内) 下跌,矿工可能会为此付出巨大的损失。
因此可以说,矿工坚定地致力于实现最大化 BTC 价值和网络效用的方式挖比特币。由此得出:
等式 6:EV (攻击挖矿)= p (攻击后的价值 postAttackPrice) x(MEV +MR)-MC-(1- p)*Commitment
在非租用算力的情况下,矿工挖掘比特币会有承诺成本,一旦因为攻击导致价格下跌,将影响全年的收入。
值得注意的是,攻击者无需拥有 100%的哈希算力才能攻击成功。如果他用 60%的哈希算力进行攻击,那么他自己的承诺将仅占总承诺的 60%,即 395,280 BTC。
案例 2:EV (用 60% 哈希算力进行攻击挖矿) = 95%(5BTC+8*12.5BTC)-(8X12.5 BTC)-5%*395280 BTC=-19.764 BTC
一个占有 60% 哈希算力的攻击者,想通过挖矿攻击获利, MEV 值约为〜21,000 BTC,即 1.87 亿美元,对 MEV 高容忍度表明,目前比特币网络确实是安全的。
这些发现可以推广到使用 PoW 的所有加密货币。这也说明了,投入成本的不可回收性对于对于安全性有极其重要的意义。
2.4 终止中本聪共识
至此已经证明,比特币网络对 MEV 的 高容忍度 ,大大提高了攻击获利的成本。但是,为了完善该比特币安全模型,该论文的作者还更新了最后一个假设:即比特币用户永远不会质疑中本聪共识。
市场上用户需要寻求最小信任化的信号,该信号允许用户在单条链上进行协调。 用户愿意为这些信号花钱,是因为它是最便宜的协调方式 。但是,这意味着,如果大多数用户对此不满意,用户也不一定会遵循矿工发出的信号。在比特币的历史中多个先例证明了用户有可能忽略中本聪共识,因为生成的链不再代表他们所签署的社会契约。
多个案例表明,如果在治理决策上产生分歧,用户可以运行自定义代码命令 (比如 invalidateblock ) 来 暂停中本聪共识,剥夺矿工的权力。
因此,在实际攻击时, 攻击者还需考虑用户暂停共识的风险 。
在此,该论文用 p(followNC) 来定义用户通过链下协调中止中本聪共识的概率,这会使攻击者的潜在回报降低,同时攻击成本保持不变。
由此推出:
等式 7 :EV (攻击挖矿) = p(followNC)*p (攻击后的价值 postAttackPrice) x(MEV +MR)-MC-(1- p)*Commitment
因为攻击期间内它仅影响 MR 和 MEV ,而不会影响矿工承诺,与市场治理相比,NC 暂停给安全带来的影响更少。
但是, 从理论上讲,用户不仅可以更改交易历史记录,还可以更改核心协议规则 。如果他们将挖矿算法从 SHA256 更改为其他算法,即使比特币价格不会跌到零,但用户也可能立即使整个矿工的承诺变得完全无效。这使得这种社会干预 (social intervention ) 也成为一种有效防御攻击比特币价格或网络攻击的方法。
2.5 总结
一些核心发现:
1)为了保障高度安全性,在用户考虑最终确认性的期间内,诚实挖矿的价值必须要高于攻击挖矿的价值。
2) 如果用户需要大笔交易,则 MEV 的值需要足够高。
3)系统对 MEV 的高容忍能力,取决于系统对恶意行为矿工的惩罚力度。用户可通过 2 种方式惩罚矿工:
a)首先,用户可出售部分或全部比特币。当比特币价格下跌了 10%,矿工则会损失相对攻击之前的承诺价值的 10%。
b)其次,用户可以协调链下暂停中本聪共识。
4)矿工的长期承诺成本越大,潜在的惩罚力度就大,矿工的长期承诺成本越小,潜在的惩罚力度就越小
5)矿工的长期承诺成本与 矿工收入 ( MR )、总成本中承诺成本占比和折旧时间表相关。
3. 挖矿攻击有哪些?
根据以上模型,该论文推导出了对比特币系统最主要攻击是如何进行的。
攻击与哈希算力高度相关 。理论上,只需持有 30% 哈希算力就可以进行自私挖矿 (selfish mining) 或固执挖矿 (stubborn mining) ,但目前为止,这类攻击至今尚未发生在比特币网络中。
该论文建立的模型表明,一个理性的矿工致力于降低公众对比特币信任度的策略是不可能的,因为即使只是价格小幅下跌,也会降低其承诺的价值,该价值会比从 MEV 获得的价值高。
一个案例可支持该理论。2014 年 GHash.io 矿池哈希算力大于 50%,这导致了博彩网站 BetCoin Dice 的双花攻击事件。此事在比特币社区引发骚乱,普遍认为其中心化矿池导致了信任被动摇。很多巨鲸开始出售自己的比特币。
之后,个体矿工大量逃离了该矿池,以保护他们的投资。在那之后,没有一个矿池敢达到如此高比重的哈希算力水平。 矿工似乎已经意识到,任何形式的市场恐慌最终都会对自己产生不利影响 。
在这里,我们可以看到拜占庭模型与理性模型之间的差异:
在拜占庭模式下,一旦矿工的哈希能力大于 50%,比特币就不安全。然而, 复杂世界中比特币的稳定状态很可能是哈希算力的垄断造成 。目前可能就属于是垄断状态,这一点无力反驳。
参看所有参与者的动机可表明, 在有一个占据 51% 以上算力的矿工存在的情况下,比特币也不会自动失败 。不过,当矿工拥有超过 50%的哈希能力时,就可以确定自己提出的链最终将成为中本聪共识的规范链,这有可能产生两类眼中的攻击 : 双花攻击和破坏活动攻击 。
3.1 双花攻击
模型表明,BTC 价格小幅下降不大可能导致大规模的双花攻击,因为从 MEV 获得的收益必须要高于损害矿工的长期承诺成本才可让攻击获利。此外, 矿工还得考虑用户可能暂停中本聪的共识,这样就完全否定了攻击者可获得的回报 。
随之而来的是, 双花攻击者,希望最大程度地减少可感知到和实际的网络中断,以免引发上述任何处罚 。攻击者可通过将重组保持在 100 个区块以内,原链的挖矿奖励可被用于花费。如此深入的重组将不再仅仅影响个人用户,有可能引发与预期更多的无效交易。袭击者会尽力重播每一个交易,包括挖矿奖励输出,仅使用已更改的双花交易重新创建完全相同的历史记录。
鉴于以上种种限制,对于一个理性的矿工来说,是不会选择进行孤立的双花攻击的。
4. 区块奖励不断下降,比特币安全性如何?
关于比特币安全性的模型必须考虑未来可能发生变化的参数,以及考虑他们为什么会发生变化。该论文认为,比特币的安全性取决于这几个要素: 矿工的承诺、MEV 和用户对价格敏感度。
如今,比 特币的高波动性要求矿工有很高的风险承受能力 。一旦比特币的价格升值并达到顶峰并长期保持在稳定的峰值,那么,挖矿可能会开始类似于传统的商品市场,其生产者的收益和波动性变低。 更低的波动性将会使矿工倾向于寻求更高的杠杆率,将极小的价格波动放大。
如果比特币严重威胁到主权货币,那么政府对其攻击的动机会变大,它们可能会实施审查制度等形式破坏和攻击比特币网络。 深度衍生品市场的存在更易于人们加大赌注做多做空比特币的价格 ,这进一步增大了 MEV 的可能性。
然而,以上均不是变动最大的因素,最大可变因素在于比特币协议本身,比如,矿工激励下降带来的影响。
作为矿工长期承诺成本的决定性因素,矿工的所有利润来自于区块奖励,该奖励由两部分组成:
1)每铸造一个新代币的区块补贴
2)交易费
区块补贴目前占全部区块奖励的 99%,目前正在逐步降低,到 2020 年,比特币的年发行量将降至 1.8%,到 2028 年,该数字减半至 0.5%。
这就导致一个结果,作为矿工最重要的收入来源,逐渐降低的矿工补贴,必须被某种全新的收入来源所取代 。
到目前为止, 比特币的安全性由其本身价值支撑。未来,比特币的安全性将由目前尚不存在的二级市场支撑 。
是否能找到足够支持比特币安全性的二级市场具有很大的不确定性 。现在,收取交易费的目的是为了仲裁有效区块空间的优先权。未来, 为了给矿工创造足够的收入,对区块空间的需求必须要远远大于区块空间的供给,只有这样才能创造对区块空间的需求,从而提高交易费用的价格。
然而,即使未来用户对区块空间的需求很高,也有可能交易费仍然很低。如果大多数人只是持有比特币,或者大部分交易是发生在中心化交易所或各种链下解决方案上,那么,就会出现交易费较低这种情况。
4.1 增加确认数能够弥补奖励补贴下降带来的影响吗?
有一种说法是, 可通过增加确认数来弥补不断下降的奖励补贴对比特币安全造成的影响 。 但 Hasu、James Prestwich 和 Brandon Curtis 三人建立的模型表明, 即使是更多的区块确认数也无法保障比特币的安全性。
该论文举了个例子来证明这个结论:
不过,作者也指出,增加更多确认确实有另一个好处,这样通过增加矿工的最小攻击持续时间,用户可以获得某种形式的群体免疫力。
但论文指出 , 增加确认次数,只会对安全性产生一定程度的积极影响,但可能无法取代旨在维持系统高 MEV 容忍度的矿工承诺 。
5. 长期安全考虑
即使基于区块空间的需求市场最终不成功,比特币也不会一夜之间失效。比特币的奖励是在很长一段时间稳步减少的,因此,任何由挖矿成本 MR 降低所引发的问题,都会 首先以一种微弱形式出现,然后逐渐变得更加明显, 从而为用户提供足够的时间作出反应和协调,出现可能的解决方案 。
值得注意的是,即使这些影响安全的问题成为现实,人们对比特币依然保持乐观。
比特币拥有最大用户基础,最广泛的分配基础和越来越多的金融基础设施集成。在其短暂的生命过程中,比特币作为一种货币,已从一种技术逐渐演变为一种具有社会政治意识形态的运动。很难想象除了完全缺乏需求之外,比特币会因为其他因素导致终结。
作者指出,未来可通过 增加 MR、降低 MEV 或提高矿工惩罚力度 这 3 种主要的因素来提高安全性。
5.1 提升区块空间的需求
首先,比特币开发者可以尝试提升比特币区块空间的需求,这可通过更新协议使比特币区块空间更具吸引力,或启动一项可通过消耗区块空间产生盈利的业务来实现。对比特币区块空间的需求,包括 比特币交易需求 和在 链上存储任意数据 两种需求。
在比特币交易方面,包括 增加时间锁和比特币闪电网络建设在内的创新性应用,可增强比特币交易能力及其灵活性 。任意数据存储可用于实现非共识性的资产分类帐本,比如 USDT 或染色币,或锚定一个证明到另一个系统上,比如 Factom 或 Veriblock。
比特币系统针对比特币转移进行了高度优化,但在一定程度上,对任意数据的存储存在局限性,在系统中是不被鼓励的。因为这些任意数据可能代表比特币网络之外的无限价值,有可能引发极高的支付意愿,从而导致重新利用比特币交易结构以实现其目标。虽然,这可能会对比特币区块空间产生稳定需求,不断提高交易费并增加挖矿奖励 MR ,但也潜在地提升了无限的 MEV ,并增加了对区块链攻击的动机。因此,比特币用户需要考虑在这种情况下区块空间需求带来的相对价值和可能存在的风险。
5.2 永续发行区块奖励
第二种机制可能是分叉一种永久发行的新比特币 。如果人们同意,在某种程度上 挖矿奖励 MR 是维持比特币正常运行的必需条件,那么 MR 必须由用户以某种方式进行支付。那么,假如设置每一年的 MR 为供应量的 1%,那么,为了支持比特币系统,所有比特币用户将总共损失了 1%的购买力。
必须澄清一点的是,比特币供应量是固定的,但其代表的购买力并不是固定的。此外, 永久发行不等于通货膨胀 。
如果比特币需要用户无论如何都得失去 1%的购买力,那么,通过永久发行支付这些成本并不会比通过支付交易费用损失更多的购买力。
实际上, 在一个年永续发行区块奖励为 1% 的比特币系统中,比特币购买力和安全性会比年永续发行奖励为 0% 的比特币系统更高 。
相反,要问的是,是谁在使用何种机制在为 MR 付费?
在一个理想的系统中,用户将根据他们获得的价值来支付运营成本。这将最大程度地增加收入,从而最大化安全性,因为所有用户都需要根据其效用付费。它进一步确保了系统公平性和寿命。被某些成员视为不公平的系统不太可能维持很长时间,这会产生极大动机分叉一个自己的系统,从而将搭便车的用户甩掉。
实际上,系统设计人员可能事先不知道谁是高价值用户。一旦建立,所有用户可能会同意,将原始参数更改为更优化的参数,比简单地使用原来的成本更高。
从概念上讲,比特币系统中有两种主流用户:持有者和交易者。它们之间没有明确的界限,因为任何交易者都必须持有比特币,至少对于在很短的时间内,任何持有人都必须最终进行交易比特币 (尽管不一定在链上) 。
在一个永久发行范例中, MR 将不会受区块空间市场中事件的影响,而 在当前范例中,对区块空间需求的冲击,有可能整个系统的安全性直线下降 。
我们想要的货币化商品所有权至关重要。如果针对交易者货币化区块空间,必须确保大部分空间单位是由某人一直所有。对持有人收费则完全消除了这种摩擦,因为每个比特币总能会都有一个使用者。
最后,应该注意的是,持有人的贡献比那些交易者虽然更加隐形,但确实是真实存在的。当系统受到攻击时, 持有者更有切肤之痛,并且更有意愿支付社交协调成本 。当评价每个用例对安全性有多大贡献时,对比特币系统持有一个整体观非常重要。
5.3 众筹
区块空间市场的范式下,众筹是一个让比特币持有者负担 MR 成本且争议较小的方式。
可以考虑的方式是,让巨鲸 (大量持有比特币的人) 和对维护比特币安全性兴趣极高的持有人通过投资创建一个基金,产生「任何人均可花的交易」 (可以比特币 DAO 的形式) ,矿工可以在某个区块高度处声明这些交易,这些交易可以成为私人资助的区块补贴。该解决方案的好处是无需更改协议。
这种方式的缺点在于,最终可能陷入了经典的搭便车场景:许多人希望比特币是安全的,但没有人愿意为此付钱。为此,可通过 主导保证合约 (dominant assurance contract, DAC) 的形式解决。
作为众筹合同的一种变体,DAC 试图使贡献策略成为主导策略,而不是等待其他人做出贡献。在 DAC 中,一方必须担任企业家的角色,希望让某种公共物品 (在本例中为 MR) 被资助,这位领导者定义了要筹集的目标金额,并在筹款人未达到目标的情况下,通过向他人支付少量资金来鼓励其他人做出贡献。
5.4 调整区块空间的供应
最后,可通过更改区块空间的供应来提高 MR 。 固定供应系统的最大缺点是,只要需求略低于供应,交易费立即变为零。
虽然,一个区块中的所有使用者可能愿意集体支付 5 枚 BTC 的交易费,但是如果供应过多,它们最终都将不支付任何费用,因为不会出现拥堵。
因此, 可通过将区块的大小空间手动降低到略低于需求,人为造成永久性拥堵从而捕获价值。 此类更改可由开发人员手动进行,也可以通过比特币协议本身。解决方案之一就是自适应的区块大小:系统会查看从费用中产生的 MR ,并将其与所需的目标 MR 进行比较,以保证系统安全。如果 MR ,则降低区块大小,以人为创造堵塞。如果 MR> targetMR ,则用户为安全性付出的成本偏高,有些人为造成拥塞的可移除,从而增加区块大小至社区选择的硬顶限制。 (当前为 2.3 MB)
5.5 降低 MEV
除了增加 MR ,比特币用户还可以考虑减少各种想法 MEV 。一个好的起点是,考虑比特币上 MEV 的潜在来源区块链。
5.6 加强矿工惩罚力度
比特币用户对矿工恶意行为的低容忍度,可通过对其行为进行有力检查。当价格对攻击反应强烈时,虽然比特币 MEV 不变,但对矿工的承诺投入会产生大量损失,如果比特币价格非常稳健,矿工所付出的承诺必须是更大。
如何用模型分析比特币安全性?区块补贴下降后如何保障安全性?
「比特币安全的最大威胁根植于协议本身:即区块奖励减少带来的安全风险。」 论文作者:Hasu(独立研究
论文作者:Hasu(独立研究人员), James Prestwich(Summa 创始人), Brandon Curtis(Radar 研究总监)
编译及解读:LeftOfCenter
如果应用程序或协议在敌对环境中实现了它的目标,包括对抗那些愿意花费大量资源来破坏系统的参与者,那么我们就称其为「安全的」。遗憾的是,没有一个系统能够抵御无所不能的攻击者。因此, 对待安全,一个实用的态度是最大限度地激励人们按照协议行事,同时尽可能减少违反协议的动机 。
从这个角度, 不妨看看比特币网络 是否是 「安全的 」:
比特币的目标是建立这样一种支付系统
任何人都可以参加(免许可访问),
只有合法持有者才能消费代币(安全性),以及
所有有效的交易最终都会进入分类账(活跃度)。
人们持有比特币资产目前已超过 10 年,这 表明比特币在实践中是安全的 。但另一方面,在学术界和理论界,一直未能在学术研究的模型中重现比特币这种安全的特性,学者们斥之为「错漏百出」、「难逃一死」等,这也导致了「比特币在实践中安全,在学术中不安全」的一种「meme」。
好在独立加密货币研究者 Hasu、Summa 创始人 James Prestwich 和 Radar 研究总监 Brandon Curtis 最近发表了一篇论文,希望改变这一现状。
这三位作者在这篇论文中,通过介绍比特币安全模型,来弥补理论和实践之间的差距。 该论文证明,比特币目前能够容忍非常高的攻击动机,而这是由数量少得惊人的因素所决定的 。
该论文进一步说明了,为什么学者们提出的许多攻击,对矿工来说并不合理、并不合算。
在论文的第二部分中,三位作者还证明了, 比特币安全的最大威胁根植于协议本身,而不是任何外部攻击者 。
这个问题就是区块奖励减少带来的安全风险:作为比特币固定发行计划的一部分,区块奖励计划将会如期减少,一种普遍的观点认为,这将降低矿工的可预测收入,从而降低矿工对维持比特币网络安全性的承诺。该论文解释了, 如果一个稳健的区块空间市场没有发展起来,区块回报的下降缘何将给未来带来巨大的风险。论文 与普遍的看法相反,认为用户不能通过简单地等待更多的确认数来弥补这个问题 。
最后,该论文还提出了几个可能的改进建议。
以下为该论文的一些核心内容:
1. 比特币为什么需要挖矿?
在比特币系统中,已经使用了公钥加密技术来对消息所有权进行证明和验证。其中,一个代币的所有者可以用其私钥签名一条消息。然后,网络中其他节点可使用发件人的哈希公钥来验证该消息是否有效,这满足了比特币系统中的「安全性」要求。
但是,有时候出现节点会收到两条消息,它们单独都是有效的,但又不可能同时有效( 比如双花攻击 ),在这种情况下公钥加密完全不起作用了。
比特币如何解决这个问题呢?它用一组算力签名来代替单个可信的服务器签名,节点可据此在单条链上进行协调。生成这些签名的成本很高,且成本很容易被验证,因此高度可信。因此,当节点从矿工那里收到两个相互冲突的签名时,会选择成本更高的那个, 这个分叉选择规则 (fork choice rule) 就是「中本聪共识」 。
将 动态成员多方签名 ( DMMS ) 用于比特币挖矿的想法最早由 Adam Back 和 Matt Corallo 等人提出。 DMMS 是由变量和一组匿名签名者组成的签名,这些签名者可以随时进入和离开。他们在比特币网络算力份额代表了它们在网络中签名权重。这些签名是累积性的,因为每个区块都引用前一个区块,最终创建一条区块链。
虽然矿工在构建自己的区块方面有一定自由度,但他们不能给自己分发更多代币,不能在同一链上偷别人的代币,也无法篡改区块发生的顺序。和其他节点一样, 矿工必须像其他任何节点一样遵循比特币协议,并且节点会自动拒绝任何破坏协议的尝试 。
但是,作为一种密码技术,该 协议的局限性在于,不能覆盖所有方面,在一些重要方面协议无法强制执行, 比如,一个节点本身并不知道两个冲突的交易中哪个才是有效的,或者两条竞争链中哪条更受欢迎。因此,用户依赖于分叉选择规则在单个链上进行协调。虽然该规则是比特币保持共识所必需的,但它也赋予矿工相当大的权力,而该权力不受协议本身的约束 (且不可调控!) 。
其中最出名的 激励失败 (incentive failure) 就是双花攻击。这种情况是指,多数矿工首先在原链上使用 BTC 购买非 BTC 的产品或服务,一旦他获得了不可退回的货物或服务交付,他可以产生了一条更长的链条,而该交易从未发生过,因此同时获得了钱和商品。节点遵循成本更高的签名,会自动切换到新链,即使其中包含链下盗窃或其他恶意行为。
由此可见,诸如加密签名之类的「硬」协议规则不能完全确保交易顺序的安全,它也依赖于由矿工发布更新的用于服务比特币用户的「软」经济动机。
2. 为比特币的安全性建立模型
对于矿工来说, 只有在无利可图的情况下才有动机不撤销交易 ,从而为此交易生成最终确认性。总有人会问,到底需要多少个确认才能保证支付的最终性?
Hasu、James Prestwich 和 Brandon Curtis 三人为比特币的安全性建立了一个模型, 他们的安 全模型得出的结论是:比特币的安全性和确认数目没有关系,安全只和 2 个因素有关 。
2.1 安全假设
在该模型建立的基本支付系统假设中,区块奖励为 12.5 BTC,交易费为 0。挖矿所需的所有硬件和哈希算力都可按需租用,因此矿工对比特币网络没有长期的承诺。矿工的行为不会影响 BTC 的交易价,用户也不会违反中本聪共识。
在论文中,把通过这种「诚实挖矿」 (honest mining) 行为所获价值定义 EV (诚实挖矿) ,那么,10 个区块间隔中, 矿工收入 MR (miner revenue) 就是 125 个 BTC。
假设矿工可自由加入网络挖矿,并且矿工之间存在完美竞争,那么可以预期,获得该奖励的 挖矿成本(MC: mining cost) 是 125 个 BTC,由此得出:
等式 1: 挖矿收入 (MR) - 挖矿成本 (MC) = 0 等式 2:EV(诚实挖矿) = MR - MC
因此, EV (诚实挖矿的所获的价值) 的基准为 0 BTC。
矿工希望 从攻击活动中攫取的比特币价值 则被定义为 MEV ( Miner-extractable value ),指矿工通过操纵共识或交易订单所攫取的其他价值。然后,可将攻击挖矿的最终 EV (例如双花 )建模为:
等式 3:EV(攻击挖矿)=MEV+MR-MC
只要一直保持 EV(诚实挖矿) >EV(攻击挖矿) ,那么,一个理性的矿工就会遵守协议,而不是进行攻击。 因此可得出,为了保证比特币的安全性,就 必须让 EV(诚实挖矿) > EV(攻击挖矿) 。
假设一名矿工从一次 10 区块间隔中攫取的 MEV 为 100,那么可以得出:
案例 1:EV (攻击挖矿)= MEV + MR - MC=100+10-10=100;
由于 100>0,那么可以推出此时比特币是不安全的。
这一发现符合直觉, 因为本次攻击区块链对攻击者而言并没有实际代价,只需 10 个 BTC 的预算,攻击成功后,该成本可被奖励抵消。
这里有 3 个值得注意的 警告 :
1)一旦攻击者撤销自己生成的某些区块,则攻击开始产生实际成本,因为他的有效挖矿收入 MR (攻击挖矿)下降,而 MC 保持不变。
2)如果少数防御矿工继续开采原始链,则会增加攻击的持续时间。但是,只要攻击者最终能超过原始链,这不会降低他的 EV (攻击挖矿),而只会提高其预算,而企图防御的捍卫者的资源被浪费。
3)在此模型中,我们假设,攻击者拥有大量哈希算力或几个较小攻击者进行联合攻击,攻击者之间的协调是没有成本的。但在现实世界中,如果各位矿工在 MEV 值或攻击持续时间上有分歧,可能会增加协调的成本。
2.2 市场治理
俗话说,消费可以说是一种投票,它是指经济参与者通过消费进行投票 。在区块链市场中,用户 (消费者) 买卖 BTC 的行为,对于矿工 (生产者或服务提供商) 来说也是一种投票。一旦用户对矿工提供的服务不满意,对支付系统的信心可能会下降,如果矿工安全服务不到位让系统遭到攻击,就会引起消费者不满意,从而导致 BTC 交易价格下跌。
该论文将遭到攻击后比特币的美元价格表示为 p (攻击后价值,postAttackPrice) ,postAttackPrice=95%意思是「攻击导致比特币价格下跌了 5%」。
等式 4:EV (攻击挖矿)= p (攻击后的价值 postAttackPrice) x (MEV +MR)-MC
在更新后的公式中,由于攻击导致 BTC 价格下跌, MR (区块奖励+费用) 和 MEV 的价值都变小了,而 挖矿成本(MC) 保持不变。这很好推理,攻击后,BTC 数目虽然没有亏损,但是损失了 5%的购买力,价值只相当于攻击前的 95%。
由于引入了市场治理,因此只要 MR (诚实挖矿) 大于 p (postAttackPrice) *(MEV + MR (攻击挖矿)) ,那么我们可以说, EV (攻击挖矿) 是无利可图的,可表示为:
等式 5:If MR>p (postAttackPrice)*(MEV +MR),EV (攻击挖矿)<0,
由此,我们可以得出保持系统安全的 3 种方式:
1) MEV 保持足够低,例如,因为很少有人使用比特币进行交易,或者用户在没有其他保证(例如知道买家的身份)的情况下不会考虑最终付款。
2) p (postAttackPrice)很低,这意味着,用户对比特币的用途非常敏感,一旦矿工无法履行自己职责,这些用户马上就会转到其竞争对手上。如果 BTC 的价格易于崩溃,那么,其他形式的攻击 (比如 sabotage 攻击) 就会变得更具吸引力,从而增加 MEV。
3) MR 值足够高,这样的话, p (postAttackPrice)对 MR 的影响,开始超过从 MEV 的潜在收益。
2.3 矿工的长期承诺
之前的这些假设,都属于「不切实际的假设」,即可按需租用挖矿所需所有资源 (该观点主导了比特币安全性的学术评论) 。实际上,现实中的挖矿行为并非如此。在激烈的竞争中,如果某一名矿工在同等预算成本下增加了可获得的收入,那么其他矿工就必须跟上步伐,要不然就会有收入减少的风险。
挖矿几乎没有一直存在的护城河 。 结果就是,挖矿产业的工业化速度可能超过历史上任何其他行业 。
随着挖矿业工业化程度越来越高,创建区块的单位成本变得越来越重要。 实际中,有几种降低业务中单位成本的方法:
1)如果生产设施产能不足,则企业可出售更多产品,将日常开销平均分摊在更多商品上。在挖矿行业中,每个哈希值都有一个以比特币网络形式的自动购买者,因此,在这一点上没有优化的空间。
2)该业务可以减少生产的日常材料成本。具体到挖矿中,其目标是不断寻找更便宜的能源,更好地散热或冷却以及制造优化。
3)企业可以通过使其生产设施专业化来降低成本。在挖比特币中,这意味着只针对 SHA-256 哈希算法优化的专业硬件,一旦该硬件设备不能挖比特币,就一文不值了。值得注意的是,这甚至适用于以太坊等大型 GPU 挖掘网络。虽然可用通用硬件挖以太坊代币,但对 GPU 的需求却不足以使供应突然达到饱和的状态。因此,一旦以太坊的价格崩溃,以太坊的矿工承诺也将失去大部分的价值。
4) 矿工还可通过签订长期购电协议(PPA)来降低单位的能源成本。
因此,为了降低单位成本,保持挖矿竞争力,一个理性矿工需要高度专业化的硬件,并致力于该网络长远的发展。矿工专业化程度越高,其资产和支出的不可回收性就越大。从等式 1 中,可得知 MR + MC =0 。这意味着,可用 挖矿总收入 (也就是区块奖励总和) 填补挖矿成本 。
那么,一个矿工必须预先承担多少费用呢?在与比特币矿工和专家交谈之后,该论文的作者得出了一个粗略估计,即普通矿工、乃至整个挖矿业, 不可回收的成本约占总成本的 50%,此外,这些资产会平均在 24 个月内贬值。
据此推算,如果预期挖掘两年的比特币,那么整个挖矿行业须将整整一年 (两年* 50%) 的区块奖励作为长期承诺成本。
以一个区块 12.5 枚 BTC 来计算,一年就是 658,800 枚 BTC。换句话说,2 年的合理的挖矿单位成本是 658,800 枚 BTC,或 105,408 枚区块。
这项承诺成本取决于,未来两年内挖矿市场 (包括能源和硬件生产商) 对比特币的价格预期。 如果他们期望比特币生存和繁荣,他们可能会假设比特币的平均价格等于或高于当下的比特币价格。如果比特币的价格在折旧阶段 (2 年内) 下跌,矿工可能会为此付出巨大的损失。
因此可以说,矿工坚定地致力于实现最大化 BTC 价值和网络效用的方式挖比特币。由此得出:
等式 6:EV (攻击挖矿)= p (攻击后的价值 postAttackPrice) x(MEV +MR)-MC-(1- p)*Commitment
在非租用算力的情况下,矿工挖掘比特币会有承诺成本,一旦因为攻击导致价格下跌,将影响全年的收入。
值得注意的是,攻击者无需拥有 100%的哈希算力才能攻击成功。如果他用 60%的哈希算力进行攻击,那么他自己的承诺将仅占总承诺的 60%,即 395,280 BTC。
案例 2:EV (用 60% 哈希算力进行攻击挖矿) = 95%(5BTC+8*12.5BTC)-(8X12.5 BTC)-5%*395280 BTC=-19.764 BTC
一个占有 60% 哈希算力的攻击者,想通过挖矿攻击获利, MEV 值约为〜21,000 BTC,即 1.87 亿美元,对 MEV 高容忍度表明,目前比特币网络确实是安全的。
这些发现可以推广到使用 PoW 的所有加密货币。这也说明了,投入成本的不可回收性对于对于安全性有极其重要的意义。
2.4 终止中本聪共识
至此已经证明,比特币网络对 MEV 的 高容忍度 ,大大提高了攻击获利的成本。但是,为了完善该比特币安全模型,该论文的作者还更新了最后一个假设:即比特币用户永远不会质疑中本聪共识。
市场上用户需要寻求最小信任化的信号,该信号允许用户在单条链上进行协调。 用户愿意为这些信号花钱,是因为它是最便宜的协调方式 。但是,这意味着,如果大多数用户对此不满意,用户也不一定会遵循矿工发出的信号。在比特币的历史中多个先例证明了用户有可能忽略中本聪共识,因为生成的链不再代表他们所签署的社会契约。
多个案例表明,如果在治理决策上产生分歧,用户可以运行自定义代码命令 (比如 invalidateblock ) 来 暂停中本聪共识,剥夺矿工的权力。
因此,在实际攻击时, 攻击者还需考虑用户暂停共识的风险 。
在此,该论文用 p(followNC) 来定义用户通过链下协调中止中本聪共识的概率,这会使攻击者的潜在回报降低,同时攻击成本保持不变。
由此推出:
等式 7 :EV (攻击挖矿) = p(followNC)*p (攻击后的价值 postAttackPrice) x(MEV +MR)-MC-(1- p)*Commitment
因为攻击期间内它仅影响 MR 和 MEV ,而不会影响矿工承诺,与市场治理相比,NC 暂停给安全带来的影响更少。
但是, 从理论上讲,用户不仅可以更改交易历史记录,还可以更改核心协议规则 。如果他们将挖矿算法从 SHA256 更改为其他算法,即使比特币价格不会跌到零,但用户也可能立即使整个矿工的承诺变得完全无效。这使得这种社会干预 (social intervention ) 也成为一种有效防御攻击比特币价格或网络攻击的方法。
2.5 总结
一些核心发现:
1)为了保障高度安全性,在用户考虑最终确认性的期间内,诚实挖矿的价值必须要高于攻击挖矿的价值。
2) 如果用户需要大笔交易,则 MEV 的值需要足够高。
3)系统对 MEV 的高容忍能力,取决于系统对恶意行为矿工的惩罚力度。用户可通过 2 种方式惩罚矿工:
a)首先,用户可出售部分或全部比特币。当比特币价格下跌了 10%,矿工则会损失相对攻击之前的承诺价值的 10%。
b)其次,用户可以协调链下暂停中本聪共识。
4)矿工的长期承诺成本越大,潜在的惩罚力度就大,矿工的长期承诺成本越小,潜在的惩罚力度就越小
5)矿工的长期承诺成本与 矿工收入 ( MR )、总成本中承诺成本占比和折旧时间表相关。
3. 挖矿攻击有哪些?
根据以上模型,该论文推导出了对比特币系统最主要攻击是如何进行的。
攻击与哈希算力高度相关 。理论上,只需持有 30% 哈希算力就可以进行自私挖矿 (selfish mining) 或固执挖矿 (stubborn mining) ,但目前为止,这类攻击至今尚未发生在比特币网络中。
该论文建立的模型表明,一个理性的矿工致力于降低公众对比特币信任度的策略是不可能的,因为即使只是价格小幅下跌,也会降低其承诺的价值,该价值会比从 MEV 获得的价值高。
一个案例可支持该理论。2014 年 GHash.io 矿池哈希算力大于 50%,这导致了博彩网站 BetCoin Dice 的双花攻击事件。此事在比特币社区引发骚乱,普遍认为其中心化矿池导致了信任被动摇。很多巨鲸开始出售自己的比特币。
之后,个体矿工大量逃离了该矿池,以保护他们的投资。在那之后,没有一个矿池敢达到如此高比重的哈希算力水平。 矿工似乎已经意识到,任何形式的市场恐慌最终都会对自己产生不利影响 。
在这里,我们可以看到拜占庭模型与理性模型之间的差异:
在拜占庭模式下,一旦矿工的哈希能力大于 50%,比特币就不安全。然而, 复杂世界中比特币的稳定状态很可能是哈希算力的垄断造成 。目前可能就属于是垄断状态,这一点无力反驳。
参看所有参与者的动机可表明, 在有一个占据 51% 以上算力的矿工存在的情况下,比特币也不会自动失败 。不过,当矿工拥有超过 50%的哈希能力时,就可以确定自己提出的链最终将成为中本聪共识的规范链,这有可能产生两类眼中的攻击 : 双花攻击和破坏活动攻击 。
3.1 双花攻击
模型表明,BTC 价格小幅下降不大可能导致大规模的双花攻击,因为从 MEV 获得的收益必须要高于损害矿工的长期承诺成本才可让攻击获利。此外, 矿工还得考虑用户可能暂停中本聪的共识,这样就完全否定了攻击者可获得的回报 。
随之而来的是, 双花攻击者,希望最大程度地减少可感知到和实际的网络中断,以免引发上述任何处罚 。攻击者可通过将重组保持在 100 个区块以内,原链的挖矿奖励可被用于花费。如此深入的重组将不再仅仅影响个人用户,有可能引发与预期更多的无效交易。袭击者会尽力重播每一个交易,包括挖矿奖励输出,仅使用已更改的双花交易重新创建完全相同的历史记录。
鉴于以上种种限制,对于一个理性的矿工来说,是不会选择进行孤立的双花攻击的。
4. 区块奖励不断下降,比特币安全性如何?
关于比特币安全性的模型必须考虑未来可能发生变化的参数,以及考虑他们为什么会发生变化。该论文认为,比特币的安全性取决于这几个要素: 矿工的承诺、MEV 和用户对价格敏感度。
如今,比 特币的高波动性要求矿工有很高的风险承受能力 。一旦比特币的价格升值并达到顶峰并长期保持在稳定的峰值,那么,挖矿可能会开始类似于传统的商品市场,其生产者的收益和波动性变低。 更低的波动性将会使矿工倾向于寻求更高的杠杆率,将极小的价格波动放大。
如果比特币严重威胁到主权货币,那么政府对其攻击的动机会变大,它们可能会实施审查制度等形式破坏和攻击比特币网络。 深度衍生品市场的存在更易于人们加大赌注做多做空比特币的价格 ,这进一步增大了 MEV 的可能性。
然而,以上均不是变动最大的因素,最大可变因素在于比特币协议本身,比如,矿工激励下降带来的影响。
作为矿工长期承诺成本的决定性因素,矿工的所有利润来自于区块奖励,该奖励由两部分组成:
1)每铸造一个新代币的区块补贴
2)交易费
区块补贴目前占全部区块奖励的 99%,目前正在逐步降低,到 2020 年,比特币的年发行量将降至 1.8%,到 2028 年,该数字减半至 0.5%。
这就导致一个结果,作为矿工最重要的收入来源,逐渐降低的矿工补贴,必须被某种全新的收入来源所取代 。
到目前为止, 比特币的安全性由其本身价值支撑。未来,比特币的安全性将由目前尚不存在的二级市场支撑 。
是否能找到足够支持比特币安全性的二级市场具有很大的不确定性 。现在,收取交易费的目的是为了仲裁有效区块空间的优先权。未来, 为了给矿工创造足够的收入,对区块空间的需求必须要远远大于区块空间的供给,只有这样才能创造对区块空间的需求,从而提高交易费用的价格。
然而,即使未来用户对区块空间的需求很高,也有可能交易费仍然很低。如果大多数人只是持有比特币,或者大部分交易是发生在中心化交易所或各种链下解决方案上,那么,就会出现交易费较低这种情况。
4.1 增加确认数能够弥补奖励补贴下降带来的影响吗?
有一种说法是, 可通过增加确认数来弥补不断下降的奖励补贴对比特币安全造成的影响 。 但 Hasu、James Prestwich 和 Brandon Curtis 三人建立的模型表明, 即使是更多的区块确认数也无法保障比特币的安全性。
该论文举了个例子来证明这个结论:
不过,作者也指出,增加更多确认确实有另一个好处,这样通过增加矿工的最小攻击持续时间,用户可以获得某种形式的群体免疫力。
但论文指出 , 增加确认次数,只会对安全性产生一定程度的积极影响,但可能无法取代旨在维持系统高 MEV 容忍度的矿工承诺 。
5. 长期安全考虑
即使基于区块空间的需求市场最终不成功,比特币也不会一夜之间失效。比特币的奖励是在很长一段时间稳步减少的,因此,任何由挖矿成本 MR 降低所引发的问题,都会 首先以一种微弱形式出现,然后逐渐变得更加明显, 从而为用户提供足够的时间作出反应和协调,出现可能的解决方案 。
值得注意的是,即使这些影响安全的问题成为现实,人们对比特币依然保持乐观。
比特币拥有最大用户基础,最广泛的分配基础和越来越多的金融基础设施集成。在其短暂的生命过程中,比特币作为一种货币,已从一种技术逐渐演变为一种具有社会政治意识形态的运动。很难想象除了完全缺乏需求之外,比特币会因为其他因素导致终结。
作者指出,未来可通过 增加 MR、降低 MEV 或提高矿工惩罚力度 这 3 种主要的因素来提高安全性。
5.1 提升区块空间的需求
首先,比特币开发者可以尝试提升比特币区块空间的需求,这可通过更新协议使比特币区块空间更具吸引力,或启动一项可通过消耗区块空间产生盈利的业务来实现。对比特币区块空间的需求,包括 比特币交易需求 和在 链上存储任意数据 两种需求。
在比特币交易方面,包括 增加时间锁和比特币闪电网络建设在内的创新性应用,可增强比特币交易能力及其灵活性 。任意数据存储可用于实现非共识性的资产分类帐本,比如 USDT 或染色币,或锚定一个证明到另一个系统上,比如 Factom 或 Veriblock。
比特币系统针对比特币转移进行了高度优化,但在一定程度上,对任意数据的存储存在局限性,在系统中是不被鼓励的。因为这些任意数据可能代表比特币网络之外的无限价值,有可能引发极高的支付意愿,从而导致重新利用比特币交易结构以实现其目标。虽然,这可能会对比特币区块空间产生稳定需求,不断提高交易费并增加挖矿奖励 MR ,但也潜在地提升了无限的 MEV ,并增加了对区块链攻击的动机。因此,比特币用户需要考虑在这种情况下区块空间需求带来的相对价值和可能存在的风险。
5.2 永续发行区块奖励
第二种机制可能是分叉一种永久发行的新比特币 。如果人们同意,在某种程度上 挖矿奖励 MR 是维持比特币正常运行的必需条件,那么 MR 必须由用户以某种方式进行支付。那么,假如设置每一年的 MR 为供应量的 1%,那么,为了支持比特币系统,所有比特币用户将总共损失了 1%的购买力。
必须澄清一点的是,比特币供应量是固定的,但其代表的购买力并不是固定的。此外, 永久发行不等于通货膨胀 。
如果比特币需要用户无论如何都得失去 1%的购买力,那么,通过永久发行支付这些成本并不会比通过支付交易费用损失更多的购买力。
实际上, 在一个年永续发行区块奖励为 1% 的比特币系统中,比特币购买力和安全性会比年永续发行奖励为 0% 的比特币系统更高 。
相反,要问的是,是谁在使用何种机制在为 MR 付费?
在一个理想的系统中,用户将根据他们获得的价值来支付运营成本。这将最大程度地增加收入,从而最大化安全性,因为所有用户都需要根据其效用付费。它进一步确保了系统公平性和寿命。被某些成员视为不公平的系统不太可能维持很长时间,这会产生极大动机分叉一个自己的系统,从而将搭便车的用户甩掉。
实际上,系统设计人员可能事先不知道谁是高价值用户。一旦建立,所有用户可能会同意,将原始参数更改为更优化的参数,比简单地使用原来的成本更高。
从概念上讲,比特币系统中有两种主流用户:持有者和交易者。它们之间没有明确的界限,因为任何交易者都必须持有比特币,至少对于在很短的时间内,任何持有人都必须最终进行交易比特币 (尽管不一定在链上) 。
在一个永久发行范例中, MR 将不会受区块空间市场中事件的影响,而 在当前范例中,对区块空间需求的冲击,有可能整个系统的安全性直线下降 。
我们想要的货币化商品所有权至关重要。如果针对交易者货币化区块空间,必须确保大部分空间单位是由某人一直所有。对持有人收费则完全消除了这种摩擦,因为每个比特币总能会都有一个使用者。
最后,应该注意的是,持有人的贡献比那些交易者虽然更加隐形,但确实是真实存在的。当系统受到攻击时, 持有者更有切肤之痛,并且更有意愿支付社交协调成本 。当评价每个用例对安全性有多大贡献时,对比特币系统持有一个整体观非常重要。
5.3 众筹
区块空间市场的范式下,众筹是一个让比特币持有者负担 MR 成本且争议较小的方式。
可以考虑的方式是,让巨鲸 (大量持有比特币的人) 和对维护比特币安全性兴趣极高的持有人通过投资创建一个基金,产生「任何人均可花的交易」 (可以比特币 DAO 的形式) ,矿工可以在某个区块高度处声明这些交易,这些交易可以成为私人资助的区块补贴。该解决方案的好处是无需更改协议。
这种方式的缺点在于,最终可能陷入了经典的搭便车场景:许多人希望比特币是安全的,但没有人愿意为此付钱。为此,可通过 主导保证合约 (dominant assurance contract, DAC) 的形式解决。
作为众筹合同的一种变体,DAC 试图使贡献策略成为主导策略,而不是等待其他人做出贡献。在 DAC 中,一方必须担任企业家的角色,希望让某种公共物品 (在本例中为 MR) 被资助,这位领导者定义了要筹集的目标金额,并在筹款人未达到目标的情况下,通过向他人支付少量资金来鼓励其他人做出贡献。
5.4 调整区块空间的供应
最后,可通过更改区块空间的供应来提高 MR 。 固定供应系统的最大缺点是,只要需求略低于供应,交易费立即变为零。
虽然,一个区块中的所有使用者可能愿意集体支付 5 枚 BTC 的交易费,但是如果供应过多,它们最终都将不支付任何费用,因为不会出现拥堵。
因此, 可通过将区块的大小空间手动降低到略低于需求,人为造成永久性拥堵从而捕获价值。 此类更改可由开发人员手动进行,也可以通过比特币协议本身。解决方案之一就是自适应的区块大小:系统会查看从费用中产生的 MR ,并将其与所需的目标 MR 进行比较,以保证系统安全。如果 MR ,则降低区块大小,以人为创造堵塞。如果 MR> targetMR ,则用户为安全性付出的成本偏高,有些人为造成拥塞的可移除,从而增加区块大小至社区选择的硬顶限制。 (当前为 2.3 MB)
5.5 降低 MEV
除了增加 MR ,比特币用户还可以考虑减少各种想法 MEV 。一个好的起点是,考虑比特币上 MEV 的潜在来源区块链。
5.6 加强矿工惩罚力度
比特币用户对矿工恶意行为的低容忍度,可通过对其行为进行有力检查。当价格对攻击反应强烈时,虽然比特币 MEV 不变,但对矿工的承诺投入会产生大量损失,如果比特币价格非常稳健,矿工所付出的承诺必须是更大。