MMS:干貨：論權益和共識_比特幣中國官網注冊

由于比特幣的DMMS在計算和熱力學方面成本非常高，人們已經提出了其它更為經濟環保的方案。最常被提議的方案是PoS，它是一種低成本的分布式共識機制。正如AndrewPoelstra在2014年所言，PoS是不可行的，但還是涌現出各種形式的PoS方案。與此同時，各種論壇上經常有人聲稱Poelstra的論點是“虛假”或“錯誤”的，盡管他們從來沒有提出任何有說服力的反例或錯誤。此外，也有人給出了中肯的意見，認為Poelstra的這篇論文寫得晦澀枯燥。由此可見，這篇論文還有許多不足之處。雖然Poelstra沒有發現他的前作有任何不準確之處，但是他準備借此機會進一步地正式闡述他的論點。相比Poelstra撰寫論文時，人們對比特幣共識的科學認識已經有了巨大進步。本文旨在更新Poelstra的論文，闡明比特幣所解決的問題，PoS背后的設計原理，以及PoS之類的機制無法在比特幣的信任模型中產生分布式共識的原因。注1:為了確保所有參與者都可以看到“真正的賬本”，我們需要一個同步網絡：所有數據都能在一定的時間長度λ內到達所有參與者，而且網絡心跳時間比λ長得多。如果沒有同步網絡，分布式共識的難度會大得多。2.分布式共識

在討論比特幣對于分布式共識問題的解決方案之前，我們首先要理解這個問題的本質。分布式共識是一種彼此之間缺乏信任的參與方之間達成的共識。這些參與方都是匿名的，而且在系統建立時并不一定存在。正如Poelstra在其論文中所解釋的那樣：就密碼學貨幣而言，僅在交易的時間順序上達成分布式共識就足夠了，即，就“第一個轉移特定資金的交易達成共識”。這樣可以確保整個網絡都認可新的資金所有者。之所以需要達成這種共識，是為了防止重復花費問題。在所有去中心化數字貨幣機制中，都有可能出現付款方將同一筆資金發送給兩個不同的人的情況，而且這兩筆交易看起來都是有效的。因此，收款方需要能夠確保沒有發生沖突，或者在有沖突的情況下，網絡會認可其交易為正確版本。就交易順序達成分布式共識可以實現這一目的：在發生沖突的情況下，每個人都認可第一筆交易是有效的，其余交易是無效的。重點是，我們應該意識到，盡管分布式共識是個難題，但是普通共識更加容易，經過了更深入的研究，而且使用受信任且可識別的簽名方可以將效率提高數萬億倍。因此，引入了受信任方的密碼學貨幣都應該考慮的一點是，其新型信任模型是不是能幫助降低達成共識的難度。對更高效的、具備受信任方的共識機制感興趣的讀者可以研究一下。3.動態成員多方簽名

比特幣的賬本是公開可用的，比特幣網絡中的所有參與者都可以驗證賬本上每筆交易的有效性。然而，由于賬本在根本上屬于歷史記錄，密碼學無法辨別真偽，必須要有人來證明賬本，而且其他人必須相信這個人不會簽署錯誤的歷史。最早的數字現金系統都由單個非匿名者簽署所有交易。然而，這樣不僅為系統引入了單點故障風險，而且可以讓簽署方審查交易或發起重復花費。雖然我們可以采用盲簽名來防止審查制度，但是無法防范單點故障和重復花費問題。多方簽名或許有可以解決后面兩個問題，但是所有簽名方難以同時遭到脅迫與所有簽名方必須得到所有參與者的信任這兩個要求是相互沖突的。非匿名性也意味著，特定攻擊者總能持續攻擊系統。比特幣的解決方案是完全去掉固定且可識別的簽名者。比特幣的賬本由一組被稱為礦工的簽名者驗證，他們不向其它參與者公開自己的身份，或許還可以零成本進入或退出系統。礦工通過叫做“挖礦”的過程來生成簽名。在挖礦過程中，他們會共同為連續的、由交易數據組成的區塊生成工作量證明。在本節中，我們將解釋挖礦是如何運作以及如何提供驗證的。3.1匿名世界里的鑒別

蘇富比重啟Glitch數字藝術拍賣:金色財經報道，蘇富比拍賣行宣布推出“Glitch:Beyond Binary”藝術品拍賣會，這是上個月“Glitch-ism”拍賣會的重啟，該拍賣會因缺乏女性藝術家代表而遭到強烈反對。“Glitch:Beyond Binary”的競標將于美國東部時間4月19日下午2點開始，并將展出來自參與“Glitch-ism”運動的不同藝術家的34批NFT。這種類型的藝術實踐使用數字或模擬錯誤以“故障”的形式破壞一件藝術品。

蘇富比解釋說，MP3可能會跳過或發出噼啪聲，預覽窗口可能會短暫顯示碎片而不是圖像，網站可能會在加載時打嗝并擾亂其內容。雖然這些事件很少預料到并且通常不受歡迎，但故障藝術家實際上可能故意挑起它們。[2023/4/14 14:02:40]

密碼學數字簽名機制的運作原理如下。簽名方生成“簽名”和“驗證”密鑰對，并將v連同其姓名一起發布在某個公共渠道上。該簽名方可以根據給定消息m生成簽名σ，任何人都可以驗證σ的有效性。也就是說，將v，m和σ輸入驗證算法，如果簽名是有效的，總是會輸出1。為了安全起見，傳統數字簽名必須具備抗偽造性，即，任何計算能力有限的攻擊者偽造簽名的概率都微乎其微。具體而言，“偽造”指的是能在下列游戲中勝出：簽名者將驗證密鑰v交給攻擊者。攻擊者將消息m_i發送給簽名者，并收到這些消息的有效簽名σ_i。攻擊者可以多次重復該操作。攻擊者生成一個新的消息m連同一個基于m的有效簽名σ。這種安全性被稱為選擇明文攻擊下的不可偽造性，是密碼學文獻中的常見標準。可以看出，驗證算法使用驗證密鑰v來驗證簽名，并通過這種方式來驗證簽名者的“身份”。由于任何人都可以創建密鑰對，若想簽名具有價值，必須通過公共記錄將驗證密鑰與簽名者的真實身份聯系起來。如果出現失信行為，失信方會被問責。這樣來看，身份鑒別并不適用于簽名者匿名且不固定的系統。事實上，我們還不清楚“身份鑒別”在這類系統中能發揮什么作用！如果任何人都能以匿名方式生成簽名，就無法區分誠實的簽名和不誠實的簽名、真實的歷史和虛假的歷史。那么上述安全性定義就喪失了意義，因為攻擊者可以自由加入簽名者集，并“偽造簽名”2。為了解決這一問題，比特幣采用了另一種安全模型。在該模型中，所有參與者都平等，但是他們會在經濟激勵下保持誠實。在下一部分，我們將介紹該安全模型。注2:正如我們在第四部分所見，如果是密碼學貨幣，匿名參與方就有可能鎖定保證金，并通過某種機制在無需確認任何人的身份的情況下，懲罰失信行為者。這實際上就是權益證明。然而，密碼學貨幣離不開共識，因此“如果是密碼學貨幣”這個前提導致我們在這里無法使用權益證明，否則就會陷入循環推理。我們會在下一部分解決這個問題。3.2為DMMS定義安全性

就DMMS而言，所有參與方都是平等的；無法通過讓“敵手”僅擁有不完全知識來獲得安全性。因此，我們使用以下三部分定義了DMMS。這些部分都不同于傳統簽名的密鑰生成算法：使用代價函數c來追蹤算法的執行并輸出“代價”t∈，其中是某個“代價域”。該函數必須是線性的，因為連續運行兩個算法的成本是它們各自成本的總和。隨機化算法AttemptSign將消息m作為輸入，輸入簽名σ。輸入任何消息m，該算法的代價都應該是1。確定性算法Verify將消息m、簽名σ和目標代價T作為輸入，輸出0或1。當且僅當Verify(m,T,AttempSign(m))=1對所有屬于的T都有1/T的概率成立，則我們說該DMMS是正確的，這個概率是由AtemptSign算法來保證的；當且僅當任意多項式算法實現Verify(m,T,A(m))=1的概率都不超過1?(1?1/T)t，則我們說這樣的DMMS是安全的。換言之，安全的DMMS指的是沒有比重復執行AttemptSign更好的簽名算法。我們簡要論證了我們的安全性定義。為了實現動態成員集合，我們不能讓參與成本過于昂貴，也不能讓已有簽名者通過顯而易見的手段或經濟因素排斥新加入的簽名者。這就意味著，簽名過程應該是“可分割的”，既不需要也不激勵簽名者之間進行任何通信。也就是說，花兩倍長的時間運行一個簽名算法應該與在同樣的兩個硬件上并行運行該簽名算法的成功概率一樣高。在極端情況下，這意味著最好的簽名算法應該由對單一基礎步驟的重復、獨立執行來組成，這是由定義推導出來的。3.3挖礦機制作為一種DMMS

“Fake_Phishing8244”地址向Tornado Cash轉入30枚ETH:金色財經消息，據CertiK監測，被Etherscan標記為“Fake_Phishing8244”的賬戶地址0x346A…向Tornado Cash轉入30枚ETH（約4.69萬美元）。[2023/3/7 12:46:40]

比特幣挖礦采用的是基于哈希函數的工作量證明算法hashcash。這是一種使用隨機數神諭模型的DMMS。作為一種計算模型，隨機神諭是指，該模型把哈希函數當成一個“隨機數神諭”，或者說真隨機函數3，其輸出都是純然隨機的，而且只有通過該函數才能計算出來。雖然隨機數神諭模型的使用引起了很多爭議，但是有力的實證證據證實了它可以用來保障安全性。下文中，H指的是輸入可多達256位的哈希函數，它被當成是一個隨機數神諭。比特幣的DMMS如下：代價函數給出執行中調用隨機數神諭的次數。AttemptSign將消息m作為輸入，并輸出隨機數σ∈{0,1}256。Verify將簽名σ、消息m和目標T作為輸入。僅當H(m||σ)<2256/T時，輸出1。不難看出，在隨機數神諭模型中，沒有比重復運行哈希函數更好的創建有效簽名的方法。注3：該模型是完全不現實的，因為真正的隨機函數，from,say,512bitsto256bits，平均需要2512·256位來表示，已經超過了目前已知的表達極限。3.4沒有世界時間

請注意，在上一部分，我們將哈希函數調用的數量作為我們的代價函數，它與計算次數大致成正比，而計算次數又與散熱量大致成正比。最后，散熱量與創建這些簽名的經濟和環境成本大致成正比。一個顯而易見的問題是，我們是否可以采用“成本更低”的代價函數？尤其是，為什么我們不能直接使用時鐘時間？為什么我們使用DMMS對區塊進行簽名來創建區塊鏈，而非直接按照時間順序對交易進行排序來解決共識沖突？答案是，分布式系統中缺少明確定義的時鐘時間。網絡延遲限制了信息的傳播速度。根據狹義相對論可知，如果是幾乎同時發生的事件，不同的觀察者無法就其時間順序達成共識。如果只是這個問題，那么要求每筆交易之間間隔幾秒鐘即可。但是，實際情況會更加糟糕，原因有兩點：“網絡延遲”在惡意環境中無法得到限制。攻擊者或能使用拒絕服務攻擊來任意降低系統速度，并通過其它方式對網絡進行物理分區。用相對論來說，這意味著無論將等待時間設為多久，都無法確保參與者不會與網絡中的其他參與者類空分離。新加入網絡或最近離線的用戶需要訪問歷史數據。但是，沒有辦法可以事后驗證交易發生的順序，因此在出現交易沖突的情況下，用戶無法保證他們收到的交易是先發生的。3.5來自DMMS的共識

既然我們已經了解了DMMS，并解釋了為什么比特幣的hashcash是一個安全的算法，接著來思考如何通過DMMS實現分布式共識。我們的主張是，通過DMMS實現分布式共識是有可能的。我們首先需要通過我們的代價函數來衡量某種無法一次為多個消息創建簽名的稀缺資源，和創建簽名所需的平均時間。以比特幣為例，我們的代價函數的定義是“哈希函數調用的次數”。我們主張，該函數實際上用來衡量計算簽名所需消耗的能源，并且得到了Landauerlimit的論證。從物理學上來說，所謂的能源，就是任意不可逆的位操作所需消耗的最低熱量。通過計算sha256計算中涉及的不可逆位操作的數量，我們可以為創建一個比特幣DMMS所需消耗的能源量設定下限。代價函數也可以用來衡量創建簽名所需的時間，因為每單位時間只能消耗一定量的能源，除非你去制造黑洞。當然了，在現實生活中，比特幣礦工不會在接近黑洞極限的情況下操作，而且所需時間取決于挖礦硬件的速度。隨著挖礦硬件的改進，以及同時在線的硬件數量增多，創建DMMS所需的時間減少。在比特幣中，目標代價會根據這一情況進行調整，將創建每個簽名所需的時間保持在10分鐘左右4。注4：鑒于3.4中提到的無世界時間，讀者可能會想知道如何準確調整時間。實際上，時間戳是由礦工插入區塊的，而且確實沒有任何方法可以防止礦工弄虛作假。比特幣可以抵御不實時間戳導致的較小目標偏離，并且也禁止了目標過快地發生變化。因此，想要制造大幅的目標偏離是非常昂貴的，而且有可能遭到不配合的礦工的阻撓。關于更多討論，請參閱。那么，有了一個可以通過代價函數來衡量稀缺資源的安全DMMS，我們該如何獲得共識歷史？首先，我們假設網絡是同步的，因此參與者可以在一定時間λ內獲得所有有效數據。我們將交易歷史分割成一系列區塊，其中每個區塊都包含一系列交易，以及前一個區塊的密碼學承諾5。每個有效區塊必須擁有一個已經設定好目標的DMMS，且目標使得創建區塊所需的時間比λ長的多。需要明確的是，每個DMMS的目標代價是由系統規則定義的，不由礦工決定。注5：承諾是一種密碼學對象，由某個秘密數據計算得出，但是不會泄漏該數據，因此該數據在事后無法修改。抗碰撞哈希函數就是一例：給定數據x，你可以先發布H(x)，之后再公開x。驗證者可以使用公開的值計算H(x)，來確認這個值是否與原始值相同。網絡參與者的運作方式是：首先考慮以同一個創世塊開頭的所有有效區塊分支。然后計算每個區塊上的DMMS的目標成本總和得出每條區塊分支的重量。最重的區塊分支會被視為“真實的”歷史。在創建區塊時，礦工根據自己的意愿選擇交易，并加入一個特殊的“獎勵交易”用來將其它交易的費用以及網絡定義的補貼分配給自己，再加上最新區塊的承諾，然后計算DMMS。如果另一名礦工創建并發布了一個區塊，礦工就會相應地更新他們的“真實歷史上的最新區塊”，并在自己所挖的區塊中改變承諾以適配這種變化。計算出一個DMMS之后，他們會把這個完成的區塊公布到網絡中。我們主張這樣就能形成一個共識的歷史，是說整個網絡會漸進地對到底哪些區塊是真實歷史的一部分達成共識，而且不一致只會發生在最近的歷史中。具體的論述可見Miller和LaViolaJr.，但我們這里附上一個不那么正式的論證。因為網絡是同步的，區塊傳輸的時間大大短于區塊生產的時間，所以所有參與者都能迅速認識到最重的歷史。我們還進一步認為，網絡中的大部分參與者都會參與生產能延伸真實歷史的DMMS。一個優雅且正確的理由是由VitalikButerin提出的：因為“獎勵交易”當且僅當其區塊屬于真實歷史才會被大家接受，所以對每一個礦工來說，納什均衡就是服從絕大多數6。注6：也是在同一篇文章里，Buterin說：“要是你已經厭煩了PoS的反對者老是跟你引用AndrewPoelstra寫的這篇文章，請盡情鏈上本文，作為還擊。”不太清楚他這么說是什么意思；自始至終，無論在哪兒，他都沒能駁倒本文的主張：除了消耗一種系統外的資源，沒有別的產生共識的辦法。要想改變“真實歷史”，攻擊者必須產生另一個權重更大的歷史。他具有的資源比正在延伸真實歷史的礦工團體要少，因為那個礦工團體才是多數。所以，他在網絡中能勝出的概率是小于1的，而且，要想讓自己的歷史超過真實歷史，他還必須勝出N次以上。如果勝出一次的概率是P<1，那他勝出N次的概率就是PN，N足夠大這個概率就小到可以忽略不計了。3.6不使用DMMS的共識

Filecoin主網將于3月14日進行V18升級:金色財經報道，Filecoin Lotus v1.20.0已發布。Filecoin網絡將進行V18升級（Hygge Network Upgrade）， 本次網絡升級為強制升級， 升級核心是引入Filecoin虛擬機（FVM）的Milestone2.1, 這將使在Filecoin網絡上部署EVM兼容的智能合約成為可能，該升級將首次為Filecoin網絡提供了用戶的可編程性。

Filecoin主網將在3月14日T15:14:00Z區塊高度（epoch）2683348升級到V18。所有節點運營商包括存儲提供者必須在該時間到來之前升級到這個版本。

本次升級還引入以下FIP，并將在FVM3（FVM v3.0.0）和builtin-actors v10（actors v10.0.0）中交付：

FIP-0048：f4 Address Class；

FIP-0049: Actor事件；

FIP-0050: 用戶可編程Actors（合約）和內置Actors之間的API；

FIP-0054: Filecoin EVM運行時間（FEVM）；

FIP-0055: 支持以太坊賬戶、地址和交易；

FIP-0057: 更新FEVM的Gas charging schedule和系統限制。[2023/3/1 12:35:54]

是否一定要使用DMMS才能打造分布式的共識機制呢？到目前為止這還是一個開放問題。筆者的猜測是“不是”。更具體一點來說，簡單改變比特幣協議，用“優惠券”來獎勵那些以更低難度挖出未來區塊的礦工不太可能破壞共識機制，但這種模式顯然不符合我們上述的DMMS定義。4.權益證明

有了比特幣的共識機制作為基礎，我們來分析一下當前最流行的替代方案，權益證明。PoS的描述見：有了現代密碼學之后，“‘信息’本身即是物理上真實且具有價值的東西”這一觀念便擺脫了哲學系的教室，進入到真實的商業世界。我們都非常熟悉安全的通信所支撐的經濟活動：談判意見、合同、交易、買單和命令，都能發到互聯網公網上而無需擔心偽造和攔截。我們也都清楚，如果秘密數據遺失或被盜會帶來什么樣的經濟后果。到了2009年1月，密碼學貨幣誕生，有價信息的概念就變得更加具體。你可以在公開的通信媒介中持有和交換一種同質化的價值儲存物，僅僅只需使用密碼學方法來防止欺詐和盜竊。人們不僅可以說“這把加密密鑰值1萬美元，因為假使它暴露，我們就會損失這么多金錢”，還可以說“這把密鑰值1萬美元，但里面的價值是可以分拆的，你可以拆出20美元發給別人，自己留著剩余的部分”。有這些背景知識，權益證明其實很好理解。一個權益證明就是一個對所有權的密碼學證明。在密碼學貨幣中，權益證明不僅能夠證明一筆貨幣的所有權，還可以證明這筆錢滿足一些特征。具體來說，證明資金鎖定在一種稀缺且實驗性的密碼學貨幣上，可以視作證明了其人對該項目的成功有濃厚的興趣。用戶可以用提供鎖定的權益來證明自己對項目的持續存在有興趣。也就是說，權益證明是這樣一種觀念：我們可以使用密碼學證明，而不是像朗道爾極限這樣的物理學理論，來證明某些計算是非常昂貴的。4.1權益證明vsDMMS

有偽造的FUD代幣被存入Huobi并發至孫宇晨地址:2月5日消息，PeckShield 檢測到有地址偽造FTX用戶債務代幣FUD（FTX Users&#39; Debt），并將偽造代幣分發到Huobi交易所，冒充Huobi交易所增加流動性，然后將數百萬FUD發送到孫宇晨地址。請用戶注意甄別代幣真偽。此前，Huobi宣布將于2月5日上架FTX債權代幣FUD，FUD債權人擁有優先索賠權。[2023/2/5 11:48:42]

使用“純粹的權益證明”來生成對一種密碼學貨幣的歷史的共識，這種思路其實是預設了：有可能創造出一種近似DMMS的簽名方案7，其代價函數度量的是該種幣本身的數量。這在原理上聽起來很簡單，我們再次引用:在一個足夠有表現力的賬本上，貨幣的持有者可以鎖定他們的貨幣一段時間，以租借在密碼學上可驗證的“權益”。需要推進共識歷史時，每一個權益持有者都為延伸的內容簽名，而不是為這些內容附加工作量證明。出于實踐上的方便，一般來說，每次出塊都會隨機選出權益持有者中的一小部分，來負責出塊；而且，要讓區塊獲得合法性，也只需要這個小團隊中的大多數同意就行。這些被選中的權益持有者可以獲得獎勵，而且一段時間后，只要他們愿意，就能解鎖自己的權益。這里的觀念是，與其讓控制歷史的經濟代價高不可攀，權益持有者們有激勵對每一個區塊達成一致，因為他們都是隨機挑選出來的，不太可能相互勾結；即使他們可能相互勾結，也不想搞崩整個系統；他們資本有限，無法造成巨大的破壞。因為上述理由，下一個被隨機選出的權益持有者團體可能只會選擇在一個他們認為可靠的歷史上出塊。注7：權益證明方案并不總被嘗試設計成無過程性的，所以并不都能成為正確的或者安全的DMMS。但是，其根本宗旨仍然是“讓制造歷史非常昂貴，并獎勵那些參與正確歷史的人”，所以我們繼續以成本這個視角來觀察。該文已經稍微把事情復雜化了：在真實的權益證明系統中，往往只需要一個簽名者認可，而不需要絕大部分的認可。這里的問題是，要想恰到好處地定義出一種能夠度量鎖定權益數量的代價函數，先得有這種貨幣的共識歷史。如果只能達到“存在某段歷史，其中這些幣都是鎖定在一起的”的程度，則雖然最終的DMMS可能定義得很清楚，但其代價函數不再是度量稀缺的東西，而本文3.5節的結論也就都不成立了。當然，稀缺可以通過懲罰那些簽署多個歷史的權益持有者來塑造。舉個例子，如果系統使用Schnorr或者ECDSA簽名方案，且權益持有者在簽名時僅能選擇一個特定的nonce，則他們要簽署多個歷史時，就必然會用到同樣的(key,nonce)對來簽發兩條消息，而這會使得他人能用幾何求解出他們的私鑰。但是，這樣的設計還是不能阻止權益持有者們“研磨”區塊，僅發布那個能使他們在下一個區塊繼續擔任出塊者的區塊8，這樣不斷重復就能完全掌控整個區塊鏈。這就是“權益研磨”攻擊的一個例子。下文我們可以看到，權益研磨只是一個更普遍問題的一個特例而已。總的來說，一次性簽名方案可以防止權益持有者發布相互沖突的歷史，但一次性簽名無法防止權益持有者偷偷地制造相互沖突的歷史。注8:注意，隨機數必須由區塊鏈本身來決定，因為它就是大家要共識的唯一對象。所以PoS礦工可以用權益研磨來扭曲系統。使用多個區塊或者久遠的區塊來決定隨機數并不能解決這個問題，無論哪一種方案，都有某一方能夠操縱它。4.2零成本的模擬

參議員Smith：加密貨幣的問題是基本的消費者保護的問題:金色財經報道，美國民主黨參議員Smith12月15日表示，加密貨幣的問題是基本的消費者保護的問題；美國商品期貨交易委員會（CFTC）和美國證交會都應該對加密貨幣進行監管。[2022/12/17 21:50:48]

終極來看，問題在于，為提出一條權益簽名而鎖定的幣，僅存在于這些幣所屬的區塊鏈上。這就意味著，只要某些團體能以低廉的成本創建區塊鏈，這樣的團體就會創建多條區塊鏈，然后選擇較為偏向他們利益的那一條。如果每個人都能便宜地創建歷史，那系統就會崩潰。鎖定權益的用意正在于，讓“便宜創建歷史”的權限僅對那些愿意長期持有這種貨幣的人開放，而且可以假設，對這些人來說，這個系統意義重大，以至于不可能去攻擊它。但是，因為沒有全局時間，那就根本沒有辦法把“最近”才開始持幣的人與“一直”持幣的人區分開來。對一個權益證明系統來說，在歷史中的任何一個時間點，都有一組簽名密鑰可以轉讓貨幣、鎖定和解鎖權益、簽名區塊。可以假設，在真實世界里的某一刻，系統創建出一個新區塊的時候，在這一刻，一些密鑰對應著所有權。但是，真實世界的時間會繼續流轉，而這個區塊會變成靜態之物，所有與它相關的簽名密鑰也會一起變成靜態的。我再說一遍：在真實的時間里，區塊鏈會變得越來越長，權益會解鎖，幣會被用來交換別的產品和服務，而那些密鑰，即使誤用會導致持有者損失價值，也會變得毫無意義。但對于一個不可更改的區塊鏈來說，區塊的密鑰的含義永遠不能發生改變。因為在一個權益證明系統中，部分密鑰就決定了未來，這就導致了一個問題。無論什么人，只要能獲得這些密鑰，就有能力分叉這個網絡，或者創造出另一個歷史；新用戶并不能分辨出哪個是真的、哪個是偽造的。要點在于，即使權益持有者要鎖定一大筆資金，而且一旦不遵守協議就會損失所有資金，這種威懾力在用戶解鎖自己的權益之后也會消失，而解鎖或早或晚總會到來，而且在當下也必然無法確定權益會在什么時候解鎖。所以，免費的歷史，或者說“零成本的模擬”，是沒法通過鎖定由系統內部定義的價值來防范的。4.3“長程”攻擊vs.“短程”攻擊

如果你要求權益持有者必須長時間綁定權益，而且使用久遠以前的區塊產生選擇簽名者的隨機性，那就可以讓上述的攻擊者必須重寫很長一段時間的歷史。常常有人說，這樣就能“防止短程攻擊”。很清楚的是，這還是沒有解決零成本模擬問題；畢竟，只要創建歷史本身很容易，那無論創建多長的歷史分支都很容易。不過，支持者們常常說，有一個誠實簽名者創建的歷史，這條鏈積攢的區塊數量也正對應著現實世界里的較長時間，而對這段歷史的任何修改都會與參與者們所銘記的這段歷史相沖突。因此，大家可以檢測到并意識到這是一場攻擊，然后拒絕掉它。如果軟件能正確實現這里的規則，那確實是沒什么問題的了，但它改變了比特幣這類系統所用的信任模型。那些新加入網絡的參與者會遭遇多種歷史，而且也不再能夠僅憑自己就辨認出哪個是真的；他們需要詢問網絡中已有的參與者哪個歷史才是真的。這就不是一種分布式共識機制了！這是另一類共識機制，雖然能在始終在線的對等節點間去中心化地形成，但新加入網絡的用戶和長期離線的，就必須信任某些人了。這種模型對于法律上的壓力、對“被信任”實體的攻擊和網絡攻擊，自然都是非常脆弱的。4.4其他考量

再次引用：另外，這種可以控制未來簽名者人選的能力會帶來嚴重的后果。甚至不必由處心積慮的攻擊者來動手，任何時候有權出塊的簽名者都有激勵將大家導向一個他本人會有更多權益的歷史，使系統趨向中心化。他們可以通過扭曲未來區塊對簽名者的選擇來實現，或者更隱蔽地，可以審查那些最終會擴大權益持有者群體的交易。5.結論及后續研究

本文描述了DMMS機制如何能產生一種分布式的共識機制。雖然DMMS連帶著一些經濟上的要求，足以形成共識，但它可能不是必需的。開放問題包括減少這些經濟上的假設，以及確定哪些條件是分布式共識的必要條件。我們還分析了DMMS的一種替代品，權益證明。我們證明了，僅靠系統內的資源，權益證明是無法形成分布式共識的，因為它要依靠自己嘗試形成的歷史來執行懲罰。

Tags：MMS比特幣LECFILEMMSFT價格比特幣中國官網注冊Fidlecoinfilecoin幣可靠嗎

Ethereum