以太坊可能的未来:合并
最初,“合并(the Merge)”指的是以太坊协议自推出以来历史上最重要的事件:期待已久且来之不易的从工作量证明到权益证明的过渡。如今,以太坊作为一个稳定运行的权益证明系统已经快整整两年了,并且这种权益证明在 稳定性、性能和 规避中心化风险都表现得相当出色。然而,权益证明仍有一些重要领域需要改进。
我的 2023 年路线图将其分为几个部分:改进技术功能,例如稳定性、性能和小型验证器的可访问性,以及解决中心化风险的经济变革。前者接管了“合并”的标题,后者成为“the Scourge”的一部分。
合并,2023 年路线图版本。
这篇文章将重点讨论“合并”部分: 权益证明的技术设计还有哪些可以改进的地方,实现这一目标的途径有哪些?
这并不是对权益证明可以做的事情的详尽列表;相反,它是一个正在积极考虑的想法的列表。
合并(The Merge):主要目标
- 单槽最终确定性
- 在保持去中心化的同时,尽可能快速地确认和最终确定交易
- 提高单独质押者的质押可行性
- 提高稳健性
- 提高以太坊抵抗51%攻击并恢复的能力(包括最终性回归、最终确定性阻塞和审查)
在本章中
单槽(Single slot)的最终确定性和质押民主化
我们要解决什么问题?
如今,需要 2-3 个 Epoch(约 15 分钟)才能完成一个区块,并且需要 32 ETH 才能成为质押者。这原本是为了达成 @VitalikButerin/parametrizing-casper-the-decentralization-finality-time-overhead-tradeoff-3f2011672735">三个目标之间的平衡 所做的妥协:
- 最大化可以参与质押的验证者数量(这直接意味着最小化质押所需的最低 ETH)
- 最大限度地缩短最终确定的时间
- 最大限度地减少运行节点的开销,在这种情况下是下载、验证和重新广播所有其他验证者签名的成本
这三个目标是相互冲突的:为了使经济最终确定成为可能(意味着:攻击者需要燃烧大量 ETH 来恢复最终确定的区块),每次最终确定发生时,您需要每个验证者签署两条消息。因此,如果你有很多验证者,要么你需要很长时间来处理他们的所有签名,要么你需要非常强大的节点来同时处理所有签名。
请注意,这一切都以以太坊的一个关键目标为条件:确保即使成功的攻击也会给攻击者带来高昂的成本。这就是「经济最终性」一词的含义。如果我们没有这个目标,那么我们可以通过随机选择一个委员会来最终确定每个区块来解决这个问题。不尝试实现经济最终性的链,例如 Algorand,通常就是这么做的。但这种方法的问题在于,如果攻击者确实控制了 51% 的验证者,那么他们就可以以非常低的成本执行攻击(恢复最终确定的区块、审查或者延迟最终确定):仅控制其节点中的部分节点。在委员会中,可能会被检测为参与攻击并受到惩罚,无论是通过削减(slashing)还是社会协调的软分叉。这意味着攻击者可以多次重复攻击该链,在每次攻击期间仅损失一小部分权益。因此,如果我们想要经济上的最终性,基于委员会的简单方法是行不通的,乍一看,我们确实需要全部验证者的参与。
理想情况下,我们希望保持经济最终性,同时改善两个领域的现状:
- 在一个槽中完成区块 (理想情况下,保持甚至减少当前12秒的长度),而不是15分钟
- 允许验证者用 1 ETH 进行质押(低于 32 ETH)
第一个目标有两个目标,这两个目标都可以被视为「使以太坊的属性与(更中心化的)注重性能的 L1 链的属性保持一致」。
首先,它确保所有以太坊用户实际上受益于通过最终性机制实现的更高级别的安全保证。如今,大多数用户不这样做,因为他们不愿意等待 15 分钟;通过单槽最终确定,用户几乎在确认交易后就会看到他们的交易已完成。其次,如果用户和应用程序不必担心链扭转的可能性(除了相对罕见的 不活跃漏损 情况),它会简化协议和周围的基础设施。
第二个目标是希望支持单独的质押者(solo stakers)。一次又一次的民意调查反复显示,阻止更多人单独质押的主要因素是 32 ETH 的最低限额。将最低限额减少到 1 ETH 将解决这个问题,以至于其他问题成为限制单独质押的主导因素。
目前存在一个挑战:更快的最终确定和更民主化的质押目标都与最小化开销的目标相冲突。实际上,这个事实就是我们没有从单槽最终确定性开始的全部原因。然而,最近的研究提出了解决该问题的一些可能途径。
它是什么以及它是如何工作的?
单槽最终性涉及使用一种共识算法来最终确定一个 slot 中的块。这本身并不是一个困难的目标:许多算法,例如 Tendermint 共识,已经做到了这一点。以太坊独有的一项所需属性是不活动漏损,Tendermint 不支持这一属性,即使超过 1/3 的验证者离线,该属性也允许链继续运行并最终恢复。幸运的是,这已经得到解决:已经有提案修改 Tendermint 式共识以适应不活动泄漏。
领先的单槽最终提案
问题的更难部分是弄清楚如何使单 slot 最终确定性与非常高的验证器数量一起工作,而不导致极高的节点运营商开销。为此,有一些领先的解决方案:
- 选项 1:暴力破解 - 努力实现更好的签名聚合协议,可能使用 ZK-SNARK,这实际上允许我们处理每个槽中数百万个验证器的签名。
Horn,为更好的聚合协议提出的设计之一。
- 选项2: 轨道委员会(Orbit committees) - 一种新机制,允许随机选择的中型委员会负责最终确定链,但以保留我们正在寻找的攻击成本属性的方式。
一种思考 Orbit SSF 的方式是,它开辟了一个妥协两种选项的空间,范围从 x=0(Algorand 风格的委员会,没有经济终结性)到 x=1(以太坊现状),在中间开辟了「以太坊仍然具有足够的经济最终性,因此非常安全,但同时我们只需要中等规模的随机验证者样本参与每个 slots 即可获得效率优势」的点。
Orbit 利用验证者存款规模中预先存在的异质性来获得尽可能多的经济最终确定性,同时仍将给予小型验证者相应的角色。此外,Orbit 使用缓慢的委员会轮换来确保相邻法定人数之间的高度重叠,从而确保其经济最终性仍然适用于委员会切换边界。
- 选项 3:两级质押 —— 一种存在两类质押者的机制,一类具有较高的存款要求,一类具有较低的存款要求。只有较高存款层级才会直接参与提供经济最终性。对于较低存款层到底拥有哪些权利和责任,有各种建议(例如,参见 Rainbow 质押帖子)。共同的想法包括:
- 将质押委托给更高级别质押者的权利
- 一些随机的低级质押者需要证明并最终确定每个区块
- 生成包含列表(inclusion lists)的权利
与现有研究有哪些联系?
- 实现单槽最终确定的路径(2022 年): @vbuterin/single_slot_finality"">https://notes.ethereum.org/@vbuterin/single_slot_finality
- 以太坊单槽最终协议的具体提案(2023): https://eprint.iacr.org/2023/280
- Orbit SSF: https://ethresear.ch/t/orbit-ssf-solo-stake-friend-validator-set-management-for-ssf/19928
- Orbit 式机制的进一步分析: https://ethresear.ch/t/vorbit-ssf-with-circular-and-spiral-finality-validator-selection-and-distribution/20464
- Horn,签名聚合协议(2022): https://ethresear.ch/t/horn-collecting-signatures-for-faster-finality/14219
- 大规模共识的签名合并(2023): https://ethresear.ch/t/signature-merging-for-large-scale-consensus/17386?u=asn
- Khovratovich等人提出的签名聚合协议: @7dpNYqjKQGeYC7wMlPxHtQ/BykM3ggu0#/"">https://hackmd.io/@7dpNYqjKQGeYC7wMlPxHtQ/BykM3ggu0#/
- 基于 STARK 的签名聚合(2022): @vbuterin/stark_aggregation"">https://hackmd.io/@vbuterin/stark_aggregation
- 彩虹质押: https://ethresear.ch/t/unbundling-stake-towards-rainbow-stake/18683
还需要做什么,需要权衡什么?
有四种主要可能的路径可供选择(我们也可以采取混合路径):
- 维持现状
- 暴力 SSF
- Orbit SSF
- 具有两级质押的 SSF
(1) 意味着不做任何工作并保持原样,但这会让以太坊的安全体验和质押中心化属性变得更糟。
(2) 用高科技暴力解决问题。要实现这一点,需要在很短的时间内(5-10 秒)聚合大量签名(100 万以上)。一种思考这种方法的方式是,它涉及通过全力以赴接受封装的复杂性来最小化系统复杂性。
(3) 避免「高级技术」,并通过围绕协议假设进行巧妙的重新思考来解决问题:我们放宽了「经济最终性」要求,以便我们追求令攻击成本高昂,但可以接受攻击成本可能低于今天的 10 倍(例如,攻击成本为 25 亿美元,而不是 250 亿美元)。人们普遍认为,今天的以太坊的经济最终性远远超出了它的需要,而且主要安全风险在其他地方,所以这可以说是一个可以接受的牺牲。
主要的工作是验证 Orbit 机制是安全的并且具有我们想要的属性,然后将其完全形式化并实现。此外, EIP-7251(增加最大有效余额)允许自愿验证者余额合并,这会立即在一定程度上减少链验证开销,并有效充当 Orbit 推出的初始阶段。
(4) 避免巧妙的反思和高级技术,但它确实创建了一个仍然存在中心化风险的两级质押系统。风险在很大程度上取决于较低质押级别获得的具体权利。例如:
- 如果低级别的质押者需要将其证明权委托给高级质押者,那么授权可以中心化,因此我们最终会得到两个高度中心化的质押层。
- 如果需要较低层的随机样本来批准每个块,那么攻击者可以花费非常少量的 ETH 来阻止最终性。
- 如果较低层的涉众只能制定包含列表,那么证明层可能会保持中心化,此时对证明层的 51% 攻击可以自行审查包含列表。
可以组合多种策略,例如:
(1 + 2):使用暴力技术来减少最小存款大小,而不进行单槽最终确定。所需的聚合量比纯 (3) 情况少 64 倍,因此问题变得更容易。
(1 + 3):添加 Orbit 机制,但不进行单槽最终确定
(2 + 3):使用保守参数(例如 128k 验证者委员会而不是 8k 或 32k)进行 Orbit SSF,并使用暴力技术使其超高效。
(1 + 4):添加彩虹质押,但不进行单槽最终确定
它如何与路线图的其他部分交互?
除了其他好处外,单槽最终性还降低了某些类型的多块 MEV 攻击的风险。此外,在单槽最终确定性世界中,证明者-提议者分离设计和其他协议内区块生产管道需要进行不同的设计。
暴力策略的缺点是,它们使得减少时隙时间变得更加困难。
单一秘密领导者选举(SSLE)
我们要解决什么问题?
如今,哪个验证者将提出下一个区块是提前知道的。这会产生一个安全漏洞:攻击者可以监视网络,识别哪些验证器对应于哪些 IP 地址,并在验证器即将提出区块时对每个验证器进行 DoS 攻击。
它是什么以及它是如何工作的?
解决 DoS 问题的最佳方法是隐藏有关哪个验证器将生成下一个块的信息,至少直到该块实际生成为止。请注意,如果我们删除「单一」要求,这很容易:一种解决方案是让任何人创建下一个区块,但要求 randao Reveal 小于 2 (256) / N。平均而言,只有一个验证者能够满足这个要求 - 但有时会有两个或更多,有时会为零。将 “保密” 要求与 “单一” 要求结合起来一直是难题。
单一秘密领导者选举协议通过使用一些加密技术为每个验证者创建一个“盲”验证者 ID 来解决这个问题,然后为许多提议者提供对盲 ID 池进行洗牌和重新盲的机会(这类似于 混合网 的方式)。在每个时隙期间,都会选择一个随机盲 ID。只有该盲 ID 的所有者,才能生成有效的证明来提议该区块,但没有其他人知道该盲 ID 对应于哪个验证器。
Whisk SSLE 协议
与现有研究有哪些联系?
- Dan Boneh 的论文 (2020): https://eprint.iacr.org/2020/025.pdf
- Whisk(以太坊具体提案,2022): https://ethresear.ch/t/whisk-a-practical-shuffle-based-ssle-protocol-for-ethereum/11763
- ethresear.ch 上的单一秘密领导者选举标签: https://ethresear.ch/tag/single-secret-leader-election
- 使用环签名的简化 SSLE: https://ethresear.ch/t/simplified-ssle/12315
还需要做什么,需要权衡什么?
实际上,剩下的就是找到并实现一个足够简单的协议,以便我们可以轻松地在主网上实现它。我们高度评价以太坊是一个相当简单的协议,我们不希望复杂性进一步增加。我们看到的 SSLE 实现添加了数百行规范代码,并在复杂的密码学中引入了新的假设。找出足够高效的抗量子 SSLE 实现也是一个悬而未决的问题。
最终可能的情况是,一旦我们出于其他原因冒险尝试并引入在 L1 的以太坊协议中进行通用零知识证明的机制(例如状态树、ZK-EVM),由 SSLE 带来的额外复杂性就会降到足够低。
另一种选择是根本不考虑 SSLE,并使用协议外缓解措施(例如,在 p2p 层)来解决 DoS 问题。
它如何与路线图的其他部分交互?
如果我们添加证明者-提议者分离(APS)机制,例如。 执行票,那么执行块(即包含以太坊交易的块)将不需要 SSLE,因为我们可以依赖专门的块构建器。然而,我们仍然会从 SSLE 的共识块中受益(即包含协议消息的块,例如证明,也许是包含列表的片段等)。
更快的交易确认
我们要解决什么问题?
以太坊的交易确认时间进一步缩短是有价值的,从 12 秒缩短到例如 4秒。这样做将显着改善 L1 和基础汇总的用户体验,同时使 Defi 协议更加高效。它还将使 L2 更容易去中心化,因为它允许一大类 L2 应用程序运行 基于汇总,从而减少 L2 构建自己的基于委员会的去中心化排序的需求。
它是什么以及它是如何工作的?
这里大致有两种技术:
- 减少slot时间,下降到例如。 8秒 或 4 秒。这并不一定意味着 4 秒最终确定:最终确定本质上需要三轮通信,因此我们可以使每轮通信成为一个单独的块,这将在 4 秒后至少得到初步确认。
- 允许提案者 在时段过程中发布预先确认。在极端情况下,提议者可以将他们实时看到的交易添加到自己的区块中,并立即为每个交易发布预确认消息(“我的第一笔交易是 0×1234…”,“我的第二笔交易是 0”) ×5678……”)。提议者发布两个相互冲突的确认的情况可以通过两种方式处理:(i)削减(slashing)提议者,或(ii)使用 prover 对较早出现的确认进行投票。
与现有研究有哪些联系?
- 基于预先确认: https://ethresear.ch/t/based-preconfirmations/17353
- 协议强制提议者承诺(PEPC): https://ethresear.ch/t/unbundling-pbs-towards-protocol-enforced-proposer-commitments-pepc/13879
- 并行链上的交错周期(2018 年实现低延迟的想法): https://ethresear.ch/t/staggered-periods/1793
还需要做什么,需要权衡什么?
目前尚不清楚减少 slot 时间是否切实可行。即使在今天,世界许多地区的利益相关者也很难足够快地获得证明。尝试 4 秒的 slot 时间会带来验证者集集中化的风险,并且由于延迟而导致在少数特权地区之外成为验证者变得不切实际。具体来说,转向 4 秒 slot 需要将网络延迟(“增量”)限制减少到两秒。
提议者预确认方法有一个缺点,但它可以大大改善 平均情况 包含时间,但不是 最坏情况:如果当前提议者运行良好,您的交易将在 0.5 秒内被预先确认,而不是(平均)6 秒内被包含,但如果当前提议者离线或运行不佳,您仍然需要等待最多 12 秒,让下一个 slot 启动并提供新的提议者。
此外,还有 关于如何激励预先确认的悬而未决的问题。提案者有动力尽可能长时间地最大化他们的选择权。如果证明者签署了预确认的及时性,那么交易发送者可以以立即预确认为条件收取部分费用,但这会给证明者带来额外的负担,并可能使证明者继续运作变得更加困难作为中性的“哑管(dumb pipe)”。
另一方面,如果我们这样做 不是 如果尝试这样做并将最终确定时间保持在 12 秒(或更长),生态系统将更加重视第 2 层所做的预确认机制,跨第 2 层交互将需要更长的时间。
它如何与路线图的其他部分交互?
基于提议者的预确认实际上取决于证明者-提议者分离(APS)机制,例如。 执行票。否则,对于常规验证者来说,提供实时预确认的压力可能过于集中。
Slot 时间到底能有多短还取决于 slot 的结构,这在很大程度上取决于我们最终实施的 APS 版本、包含列表等。有些 slot 机结构包含较少的回合,因此对短 slot 的时间更友好,但它们在其他地方进行了权衡。
其他研究领域
51% 攻击恢复
人们常常假设,如果发生 51% 攻击(包括无法通过密码学证明的攻击,例如审查制度),社区将齐心协力实施少数派软分叉,以确保好人获胜,坏人获得不活动泄漏或削减(slashed)。然而,这种对社会层面的过度依赖可以说是不健康的。我们可以尝试通过使恢复过程尽可能自动化来减少对社交层的依赖。
完全自动化是不可能的,因为如果是的话,那将被视为> 50%的容错共识算法,并且我们已经知道(非常严格的) 这些算法在数学上可证明的局限性。但我们可以实现部分自动化:例如,如果客户端审查客户端已经看到足够长的交易,客户端可以自动拒绝接受最终确定的链,甚至拒绝接受分叉选择的头。一个关键目标是确保攻击中的坏人至少不能快速干净利落地取得胜利。
提高法定人数阈值
今天,如果持有 67% 质押的人支持,则该区块将最终确定。有人认为这过于激进。在以太坊的整个历史中,只发生过一次(非常短暂的)最终性失败。如果这个百分比增加,例如到 80%,那么增加的非最终性阶段的数量会相对较低,但以太坊将获得安全属性:特别是,许多更有争议的情况将导致最终性的暂时停止。这似乎比 “错误的一方” 立即获胜要健康得多,无论是当错误的一方是攻击者还是有错误的客户端时。
这也回答了 “单独质押者的意义是什么” 这个问题?如今,大多数质押者已经通过矿池进行质押,而单独质押者似乎不太可能获得质押 ETH 的 51%。然而,如果我们努力工作,让单独的质押者达到法定人数阻止少数派,特别是如果法定人数为 80%(因此 quorum 阻止少数派只需要 21%),似乎是可以实现的。只要单独的质押者不同意 51% 攻击(无论是最终性恢复还是审查),这样的攻击就不会获得 “干净的胜利”,并且单独的质押者就会有动力帮助组织少数派软分叉。
请注意,法定人数阈值和 Orbit 机制之间存在相互作用:如果我们最终使用 Orbit,那么“21% 的质押者”到底意味着什么将成为一个更复杂的问题,并且部分取决于验证者的分布。
量子抗性
Metaculus 目前认为,尽管误差线很宽,但量子计算机可能会在 2030 年代的某个时候开始破解密码学:
斯科特·阿伦森 (Scott Aaronson) 等量子计算专家最近也开始更加认真地对待量子计算机在中期内有效工作的可能性。这对整个以太坊路线图产生了影响:这意味着当前依赖于椭圆曲线的以太坊协议的每个部分都需要进行一些基于哈希或其他抗量子的替代。这尤其意味着我们不能假设我们能够依靠 BLS聚合的优良特性 永久处理来自大型验证器集的签名。这证明了围绕权益证明设计性能的假设的保守性是合理的,也是更加积极主动地开发抗量子替代方案的原因。
声明:
- 本文转载自[维塔利克·布特林],所有版权归原作者所有[维塔利克·布特林]。若对本次转载有异议,请联系Gate Learn团队,他们会及时处理。
- 免责声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。
- Gate Learn 团队将文章翻译成其他语言。除非另有说明,否则禁止复制、分发或抄袭翻译文章。
مقالات ذات صلة
什么是Aragon?一文读懂ANT
以太坊可能的未来:合并
最初,“合并(the Merge)”指的是以太坊协议自推出以来历史上最重要的事件:期待已久且来之不易的从工作量证明到权益证明的过渡。如今,以太坊作为一个稳定运行的权益证明系统已经快整整两年了,并且这种权益证明在 稳定性、性能和 规避中心化风险都表现得相当出色。然而,权益证明仍有一些重要领域需要改进。
我的 2023 年路线图将其分为几个部分:改进技术功能,例如稳定性、性能和小型验证器的可访问性,以及解决中心化风险的经济变革。前者接管了“合并”的标题,后者成为“the Scourge”的一部分。
合并,2023 年路线图版本。
这篇文章将重点讨论“合并”部分: 权益证明的技术设计还有哪些可以改进的地方,实现这一目标的途径有哪些?
这并不是对权益证明可以做的事情的详尽列表;相反,它是一个正在积极考虑的想法的列表。
合并(The Merge):主要目标
- 单槽最终确定性
- 在保持去中心化的同时,尽可能快速地确认和最终确定交易
- 提高单独质押者的质押可行性
- 提高稳健性
- 提高以太坊抵抗51%攻击并恢复的能力(包括最终性回归、最终确定性阻塞和审查)
在本章中
单槽(Single slot)的最终确定性和质押民主化
我们要解决什么问题?
如今,需要 2-3 个 Epoch(约 15 分钟)才能完成一个区块,并且需要 32 ETH 才能成为质押者。这原本是为了达成 @VitalikButerin/parametrizing-casper-the-decentralization-finality-time-overhead-tradeoff-3f2011672735">三个目标之间的平衡 所做的妥协:
- 最大化可以参与质押的验证者数量(这直接意味着最小化质押所需的最低 ETH)
- 最大限度地缩短最终确定的时间
- 最大限度地减少运行节点的开销,在这种情况下是下载、验证和重新广播所有其他验证者签名的成本
这三个目标是相互冲突的:为了使经济最终确定成为可能(意味着:攻击者需要燃烧大量 ETH 来恢复最终确定的区块),每次最终确定发生时,您需要每个验证者签署两条消息。因此,如果你有很多验证者,要么你需要很长时间来处理他们的所有签名,要么你需要非常强大的节点来同时处理所有签名。
请注意,这一切都以以太坊的一个关键目标为条件:确保即使成功的攻击也会给攻击者带来高昂的成本。这就是「经济最终性」一词的含义。如果我们没有这个目标,那么我们可以通过随机选择一个委员会来最终确定每个区块来解决这个问题。不尝试实现经济最终性的链,例如 Algorand,通常就是这么做的。但这种方法的问题在于,如果攻击者确实控制了 51% 的验证者,那么他们就可以以非常低的成本执行攻击(恢复最终确定的区块、审查或者延迟最终确定):仅控制其节点中的部分节点。在委员会中,可能会被检测为参与攻击并受到惩罚,无论是通过削减(slashing)还是社会协调的软分叉。这意味着攻击者可以多次重复攻击该链,在每次攻击期间仅损失一小部分权益。因此,如果我们想要经济上的最终性,基于委员会的简单方法是行不通的,乍一看,我们确实需要全部验证者的参与。
理想情况下,我们希望保持经济最终性,同时改善两个领域的现状:
- 在一个槽中完成区块 (理想情况下,保持甚至减少当前12秒的长度),而不是15分钟
- 允许验证者用 1 ETH 进行质押(低于 32 ETH)
第一个目标有两个目标,这两个目标都可以被视为「使以太坊的属性与(更中心化的)注重性能的 L1 链的属性保持一致」。
首先,它确保所有以太坊用户实际上受益于通过最终性机制实现的更高级别的安全保证。如今,大多数用户不这样做,因为他们不愿意等待 15 分钟;通过单槽最终确定,用户几乎在确认交易后就会看到他们的交易已完成。其次,如果用户和应用程序不必担心链扭转的可能性(除了相对罕见的 不活跃漏损 情况),它会简化协议和周围的基础设施。
第二个目标是希望支持单独的质押者(solo stakers)。一次又一次的民意调查反复显示,阻止更多人单独质押的主要因素是 32 ETH 的最低限额。将最低限额减少到 1 ETH 将解决这个问题,以至于其他问题成为限制单独质押的主导因素。
目前存在一个挑战:更快的最终确定和更民主化的质押目标都与最小化开销的目标相冲突。实际上,这个事实就是我们没有从单槽最终确定性开始的全部原因。然而,最近的研究提出了解决该问题的一些可能途径。
它是什么以及它是如何工作的?
单槽最终性涉及使用一种共识算法来最终确定一个 slot 中的块。这本身并不是一个困难的目标:许多算法,例如 Tendermint 共识,已经做到了这一点。以太坊独有的一项所需属性是不活动漏损,Tendermint 不支持这一属性,即使超过 1/3 的验证者离线,该属性也允许链继续运行并最终恢复。幸运的是,这已经得到解决:已经有提案修改 Tendermint 式共识以适应不活动泄漏。
领先的单槽最终提案
问题的更难部分是弄清楚如何使单 slot 最终确定性与非常高的验证器数量一起工作,而不导致极高的节点运营商开销。为此,有一些领先的解决方案:
- 选项 1:暴力破解 - 努力实现更好的签名聚合协议,可能使用 ZK-SNARK,这实际上允许我们处理每个槽中数百万个验证器的签名。
Horn,为更好的聚合协议提出的设计之一。
- 选项2: 轨道委员会(Orbit committees) - 一种新机制,允许随机选择的中型委员会负责最终确定链,但以保留我们正在寻找的攻击成本属性的方式。
一种思考 Orbit SSF 的方式是,它开辟了一个妥协两种选项的空间,范围从 x=0(Algorand 风格的委员会,没有经济终结性)到 x=1(以太坊现状),在中间开辟了「以太坊仍然具有足够的经济最终性,因此非常安全,但同时我们只需要中等规模的随机验证者样本参与每个 slots 即可获得效率优势」的点。
Orbit 利用验证者存款规模中预先存在的异质性来获得尽可能多的经济最终确定性,同时仍将给予小型验证者相应的角色。此外,Orbit 使用缓慢的委员会轮换来确保相邻法定人数之间的高度重叠,从而确保其经济最终性仍然适用于委员会切换边界。
- 选项 3:两级质押 —— 一种存在两类质押者的机制,一类具有较高的存款要求,一类具有较低的存款要求。只有较高存款层级才会直接参与提供经济最终性。对于较低存款层到底拥有哪些权利和责任,有各种建议(例如,参见 Rainbow 质押帖子)。共同的想法包括:
- 将质押委托给更高级别质押者的权利
- 一些随机的低级质押者需要证明并最终确定每个区块
- 生成包含列表(inclusion lists)的权利
与现有研究有哪些联系?
- 实现单槽最终确定的路径(2022 年): @vbuterin/single_slot_finality"">https://notes.ethereum.org/@vbuterin/single_slot_finality
- 以太坊单槽最终协议的具体提案(2023): https://eprint.iacr.org/2023/280
- Orbit SSF: https://ethresear.ch/t/orbit-ssf-solo-stake-friend-validator-set-management-for-ssf/19928
- Orbit 式机制的进一步分析: https://ethresear.ch/t/vorbit-ssf-with-circular-and-spiral-finality-validator-selection-and-distribution/20464
- Horn,签名聚合协议(2022): https://ethresear.ch/t/horn-collecting-signatures-for-faster-finality/14219
- 大规模共识的签名合并(2023): https://ethresear.ch/t/signature-merging-for-large-scale-consensus/17386?u=asn
- Khovratovich等人提出的签名聚合协议: @7dpNYqjKQGeYC7wMlPxHtQ/BykM3ggu0#/"">https://hackmd.io/@7dpNYqjKQGeYC7wMlPxHtQ/BykM3ggu0#/
- 基于 STARK 的签名聚合(2022): @vbuterin/stark_aggregation"">https://hackmd.io/@vbuterin/stark_aggregation
- 彩虹质押: https://ethresear.ch/t/unbundling-stake-towards-rainbow-stake/18683
还需要做什么,需要权衡什么?
有四种主要可能的路径可供选择(我们也可以采取混合路径):
- 维持现状
- 暴力 SSF
- Orbit SSF
- 具有两级质押的 SSF
(1) 意味着不做任何工作并保持原样,但这会让以太坊的安全体验和质押中心化属性变得更糟。
(2) 用高科技暴力解决问题。要实现这一点,需要在很短的时间内(5-10 秒)聚合大量签名(100 万以上)。一种思考这种方法的方式是,它涉及通过全力以赴接受封装的复杂性来最小化系统复杂性。
(3) 避免「高级技术」,并通过围绕协议假设进行巧妙的重新思考来解决问题:我们放宽了「经济最终性」要求,以便我们追求令攻击成本高昂,但可以接受攻击成本可能低于今天的 10 倍(例如,攻击成本为 25 亿美元,而不是 250 亿美元)。人们普遍认为,今天的以太坊的经济最终性远远超出了它的需要,而且主要安全风险在其他地方,所以这可以说是一个可以接受的牺牲。
主要的工作是验证 Orbit 机制是安全的并且具有我们想要的属性,然后将其完全形式化并实现。此外, EIP-7251(增加最大有效余额)允许自愿验证者余额合并,这会立即在一定程度上减少链验证开销,并有效充当 Orbit 推出的初始阶段。
(4) 避免巧妙的反思和高级技术,但它确实创建了一个仍然存在中心化风险的两级质押系统。风险在很大程度上取决于较低质押级别获得的具体权利。例如:
- 如果低级别的质押者需要将其证明权委托给高级质押者,那么授权可以中心化,因此我们最终会得到两个高度中心化的质押层。
- 如果需要较低层的随机样本来批准每个块,那么攻击者可以花费非常少量的 ETH 来阻止最终性。
- 如果较低层的涉众只能制定包含列表,那么证明层可能会保持中心化,此时对证明层的 51% 攻击可以自行审查包含列表。
可以组合多种策略,例如:
(1 + 2):使用暴力技术来减少最小存款大小,而不进行单槽最终确定。所需的聚合量比纯 (3) 情况少 64 倍,因此问题变得更容易。
(1 + 3):添加 Orbit 机制,但不进行单槽最终确定
(2 + 3):使用保守参数(例如 128k 验证者委员会而不是 8k 或 32k)进行 Orbit SSF,并使用暴力技术使其超高效。
(1 + 4):添加彩虹质押,但不进行单槽最终确定
它如何与路线图的其他部分交互?
除了其他好处外,单槽最终性还降低了某些类型的多块 MEV 攻击的风险。此外,在单槽最终确定性世界中,证明者-提议者分离设计和其他协议内区块生产管道需要进行不同的设计。
暴力策略的缺点是,它们使得减少时隙时间变得更加困难。
单一秘密领导者选举(SSLE)
我们要解决什么问题?
如今,哪个验证者将提出下一个区块是提前知道的。这会产生一个安全漏洞:攻击者可以监视网络,识别哪些验证器对应于哪些 IP 地址,并在验证器即将提出区块时对每个验证器进行 DoS 攻击。
它是什么以及它是如何工作的?
解决 DoS 问题的最佳方法是隐藏有关哪个验证器将生成下一个块的信息,至少直到该块实际生成为止。请注意,如果我们删除「单一」要求,这很容易:一种解决方案是让任何人创建下一个区块,但要求 randao Reveal 小于 2 (256) / N。平均而言,只有一个验证者能够满足这个要求 - 但有时会有两个或更多,有时会为零。将 “保密” 要求与 “单一” 要求结合起来一直是难题。
单一秘密领导者选举协议通过使用一些加密技术为每个验证者创建一个“盲”验证者 ID 来解决这个问题,然后为许多提议者提供对盲 ID 池进行洗牌和重新盲的机会(这类似于 混合网 的方式)。在每个时隙期间,都会选择一个随机盲 ID。只有该盲 ID 的所有者,才能生成有效的证明来提议该区块,但没有其他人知道该盲 ID 对应于哪个验证器。
Whisk SSLE 协议
与现有研究有哪些联系?
- Dan Boneh 的论文 (2020): https://eprint.iacr.org/2020/025.pdf
- Whisk(以太坊具体提案,2022): https://ethresear.ch/t/whisk-a-practical-shuffle-based-ssle-protocol-for-ethereum/11763
- ethresear.ch 上的单一秘密领导者选举标签: https://ethresear.ch/tag/single-secret-leader-election
- 使用环签名的简化 SSLE: https://ethresear.ch/t/simplified-ssle/12315
还需要做什么,需要权衡什么?
实际上,剩下的就是找到并实现一个足够简单的协议,以便我们可以轻松地在主网上实现它。我们高度评价以太坊是一个相当简单的协议,我们不希望复杂性进一步增加。我们看到的 SSLE 实现添加了数百行规范代码,并在复杂的密码学中引入了新的假设。找出足够高效的抗量子 SSLE 实现也是一个悬而未决的问题。
最终可能的情况是,一旦我们出于其他原因冒险尝试并引入在 L1 的以太坊协议中进行通用零知识证明的机制(例如状态树、ZK-EVM),由 SSLE 带来的额外复杂性就会降到足够低。
另一种选择是根本不考虑 SSLE,并使用协议外缓解措施(例如,在 p2p 层)来解决 DoS 问题。
它如何与路线图的其他部分交互?
如果我们添加证明者-提议者分离(APS)机制,例如。 执行票,那么执行块(即包含以太坊交易的块)将不需要 SSLE,因为我们可以依赖专门的块构建器。然而,我们仍然会从 SSLE 的共识块中受益(即包含协议消息的块,例如证明,也许是包含列表的片段等)。
更快的交易确认
我们要解决什么问题?
以太坊的交易确认时间进一步缩短是有价值的,从 12 秒缩短到例如 4秒。这样做将显着改善 L1 和基础汇总的用户体验,同时使 Defi 协议更加高效。它还将使 L2 更容易去中心化,因为它允许一大类 L2 应用程序运行 基于汇总,从而减少 L2 构建自己的基于委员会的去中心化排序的需求。
它是什么以及它是如何工作的?
这里大致有两种技术:
- 减少slot时间,下降到例如。 8秒 或 4 秒。这并不一定意味着 4 秒最终确定:最终确定本质上需要三轮通信,因此我们可以使每轮通信成为一个单独的块,这将在 4 秒后至少得到初步确认。
- 允许提案者 在时段过程中发布预先确认。在极端情况下,提议者可以将他们实时看到的交易添加到自己的区块中,并立即为每个交易发布预确认消息(“我的第一笔交易是 0×1234…”,“我的第二笔交易是 0”) ×5678……”)。提议者发布两个相互冲突的确认的情况可以通过两种方式处理:(i)削减(slashing)提议者,或(ii)使用 prover 对较早出现的确认进行投票。
与现有研究有哪些联系?
- 基于预先确认: https://ethresear.ch/t/based-preconfirmations/17353
- 协议强制提议者承诺(PEPC): https://ethresear.ch/t/unbundling-pbs-towards-protocol-enforced-proposer-commitments-pepc/13879
- 并行链上的交错周期(2018 年实现低延迟的想法): https://ethresear.ch/t/staggered-periods/1793
还需要做什么,需要权衡什么?
目前尚不清楚减少 slot 时间是否切实可行。即使在今天,世界许多地区的利益相关者也很难足够快地获得证明。尝试 4 秒的 slot 时间会带来验证者集集中化的风险,并且由于延迟而导致在少数特权地区之外成为验证者变得不切实际。具体来说,转向 4 秒 slot 需要将网络延迟(“增量”)限制减少到两秒。
提议者预确认方法有一个缺点,但它可以大大改善 平均情况 包含时间,但不是 最坏情况:如果当前提议者运行良好,您的交易将在 0.5 秒内被预先确认,而不是(平均)6 秒内被包含,但如果当前提议者离线或运行不佳,您仍然需要等待最多 12 秒,让下一个 slot 启动并提供新的提议者。
此外,还有 关于如何激励预先确认的悬而未决的问题。提案者有动力尽可能长时间地最大化他们的选择权。如果证明者签署了预确认的及时性,那么交易发送者可以以立即预确认为条件收取部分费用,但这会给证明者带来额外的负担,并可能使证明者继续运作变得更加困难作为中性的“哑管(dumb pipe)”。
另一方面,如果我们这样做 不是 如果尝试这样做并将最终确定时间保持在 12 秒(或更长),生态系统将更加重视第 2 层所做的预确认机制,跨第 2 层交互将需要更长的时间。
它如何与路线图的其他部分交互?
基于提议者的预确认实际上取决于证明者-提议者分离(APS)机制,例如。 执行票。否则,对于常规验证者来说,提供实时预确认的压力可能过于集中。
Slot 时间到底能有多短还取决于 slot 的结构,这在很大程度上取决于我们最终实施的 APS 版本、包含列表等。有些 slot 机结构包含较少的回合,因此对短 slot 的时间更友好,但它们在其他地方进行了权衡。
其他研究领域
51% 攻击恢复
人们常常假设,如果发生 51% 攻击(包括无法通过密码学证明的攻击,例如审查制度),社区将齐心协力实施少数派软分叉,以确保好人获胜,坏人获得不活动泄漏或削减(slashed)。然而,这种对社会层面的过度依赖可以说是不健康的。我们可以尝试通过使恢复过程尽可能自动化来减少对社交层的依赖。
完全自动化是不可能的,因为如果是的话,那将被视为> 50%的容错共识算法,并且我们已经知道(非常严格的) 这些算法在数学上可证明的局限性。但我们可以实现部分自动化:例如,如果客户端审查客户端已经看到足够长的交易,客户端可以自动拒绝接受最终确定的链,甚至拒绝接受分叉选择的头。一个关键目标是确保攻击中的坏人至少不能快速干净利落地取得胜利。
提高法定人数阈值
今天,如果持有 67% 质押的人支持,则该区块将最终确定。有人认为这过于激进。在以太坊的整个历史中,只发生过一次(非常短暂的)最终性失败。如果这个百分比增加,例如到 80%,那么增加的非最终性阶段的数量会相对较低,但以太坊将获得安全属性:特别是,许多更有争议的情况将导致最终性的暂时停止。这似乎比 “错误的一方” 立即获胜要健康得多,无论是当错误的一方是攻击者还是有错误的客户端时。
这也回答了 “单独质押者的意义是什么” 这个问题?如今,大多数质押者已经通过矿池进行质押,而单独质押者似乎不太可能获得质押 ETH 的 51%。然而,如果我们努力工作,让单独的质押者达到法定人数阻止少数派,特别是如果法定人数为 80%(因此 quorum 阻止少数派只需要 21%),似乎是可以实现的。只要单独的质押者不同意 51% 攻击(无论是最终性恢复还是审查),这样的攻击就不会获得 “干净的胜利”,并且单独的质押者就会有动力帮助组织少数派软分叉。
请注意,法定人数阈值和 Orbit 机制之间存在相互作用:如果我们最终使用 Orbit,那么“21% 的质押者”到底意味着什么将成为一个更复杂的问题,并且部分取决于验证者的分布。
量子抗性
Metaculus 目前认为,尽管误差线很宽,但量子计算机可能会在 2030 年代的某个时候开始破解密码学:
斯科特·阿伦森 (Scott Aaronson) 等量子计算专家最近也开始更加认真地对待量子计算机在中期内有效工作的可能性。这对整个以太坊路线图产生了影响:这意味着当前依赖于椭圆曲线的以太坊协议的每个部分都需要进行一些基于哈希或其他抗量子的替代。这尤其意味着我们不能假设我们能够依靠 BLS聚合的优良特性 永久处理来自大型验证器集的签名。这证明了围绕权益证明设计性能的假设的保守性是合理的,也是更加积极主动地开发抗量子替代方案的原因。
声明:
- 本文转载自[维塔利克·布特林],所有版权归原作者所有[维塔利克·布特林]。若对本次转载有异议,请联系Gate Learn团队,他们会及时处理。
- 免责声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。
- Gate Learn 团队将文章翻译成其他语言。除非另有说明,否则禁止复制、分发或抄袭翻译文章。
مقالات ذات صلة
什么是Aragon?一文读懂ANT