Vitalik:EthereumPoS還有哪些可以改進(jìn) 有哪些改進(jìn)途徑
原標(biāo)題:PossiblefuturesoftheEthereumprotocol,part1:TheMerge
作者:Vitalik,Ethereum創(chuàng)始人,編譯:鄧通,金色財(cái)經(jīng)
最初,“合并”(TheMerge)指的是Ethereum協(xié)議自推出以來(lái)最重要的事件:期待已久、來(lái)之不易的從工PoW證明到PoS的過(guò)渡。如今,Ethereum已經(jīng)穩(wěn)定運(yùn)行了近兩年,并且這種PoS在穩(wěn)定性、性能和避免中心化風(fēng)險(xiǎn)方面表現(xiàn)非常出色。然而,PoS仍有一些重要領(lǐng)域需要改進(jìn)。
我在2023年繪制的路線(xiàn)圖將其分為幾部分:改進(jìn)技術(shù)特性,例如穩(wěn)定性、性能和對(duì)小型驗(yàn)證者的可訪(fǎng)問(wèn)性,以及經(jīng)濟(jì)學(xué)變革以應(yīng)對(duì)中心化風(fēng)險(xiǎn)。前者成為“TheMerge”部分,而后者成為“theScourge”的一部分。
請(qǐng)注意,這一切都取決于Ethereum的一個(gè)關(guān)鍵目標(biāo): 確保即使成功的攻擊也會(huì)對(duì)攻擊者造成高昂的成本。這就是“經(jīng)濟(jì)上的最終確定性”一詞的含義。如果我們沒(méi)有這個(gè)目標(biāo),那么我們可以通過(guò)隨機(jī)選擇一個(gè)委員會(huì)(例如Algorand所做的)來(lái)最終確定每個(gè)slot來(lái)解決這個(gè)問(wèn)題。但這種方法的問(wèn)題在于,如果攻擊者確實(shí)控制了51%的驗(yàn)證者,那么他們可以以非常低的成本進(jìn)行攻擊(撤銷(xiāo)最終確定的區(qū)塊、審查或延遲最終確定):只有委員會(huì)中的那部分Node可以被檢測(cè)為參與攻擊并受到懲罰,無(wú)論是通過(guò)slash還是少數(shù)派軟分叉。這意味著攻擊者可以多次反復(fù)攻擊該鏈。因此,如果我們想要經(jīng)濟(jì)上的最終確定性,那么簡(jiǎn)單的基于委員會(huì)的方法是行不通的,乍一看,我們確實(shí)需要驗(yàn)證者全集體參與。
理想情況下,我們希望保留經(jīng)濟(jì)上的最終確定性,同時(shí)在兩個(gè)領(lǐng)域改善現(xiàn)狀:
1、在一個(gè)slot內(nèi)完成區(qū)塊(理想情況下,保持甚至減少當(dāng)前12秒的長(zhǎng)度),而不是15分鐘
2、允許驗(yàn)證者質(zhì)押1ETH(原先為32ETH)
第一個(gè)目標(biāo)的合理性來(lái)自?xún)蓚(gè)目標(biāo),這兩個(gè)目標(biāo)都可以看作是“使Ethereum的屬性與(更中心化的)注重性能的L1鏈的屬性保持一致”。
首先,它確保所有Ethereum用戶(hù)都能從通過(guò)最終確定機(jī)制實(shí)現(xiàn)的更高級(jí)別的安全保證中受益。如今,大多數(shù)用戶(hù)都無(wú)法享受這種保障,因?yàn)樗麄儾辉敢獾却?5分鐘;而使用單slot最終確定機(jī)制,用戶(hù)幾乎可以在確認(rèn)交易后立即看到交易最終確定。其次,如果用戶(hù)和應(yīng)用程序不必?fù)?dān)心鏈回滾的可能性(除非出現(xiàn)相對(duì)罕見(jiàn)的不活動(dòng)泄漏-inactivityleak),那么它就簡(jiǎn)化了協(xié)議和圍繞它的基礎(chǔ)設(shè)施。
第二個(gè)目標(biāo)是出于支持solo質(zhì)押者的愿望。一次又一次的民意調(diào)查反復(fù)表明,阻止更多人solo質(zhì)押的主要因素是32ETH的最低限額。將最低限額降低到1ETH將解決這個(gè)問(wèn)題,以至于其他問(wèn)題成為限制solo質(zhì)押的主要因素。
存在一個(gè)挑戰(zhàn):更快的確定性和更民主化的質(zhì)押目標(biāo)都與最小化開(kāi)銷(xiāo)的目標(biāo)相沖突。事實(shí)上,這個(gè)事實(shí)就是我們一開(kāi)始不采用單slot最終確定性的全部原因。然而,最近的研究提出了一些解決這個(gè)問(wèn)題的可能方法。SSF是什么以及它是如何工作的?
單slot最終確定性涉及使用在一個(gè)slot內(nèi)最終確定區(qū)塊的共識(shí)算法。這本身并不是一個(gè)難以實(shí)現(xiàn)的目標(biāo):許多算法(例如Tendermint共識(shí))已經(jīng)以最佳屬性實(shí)現(xiàn)了這一點(diǎn)。Ethereum獨(dú)有的一項(xiàng)理想屬性是“不活動(dòng)泄漏inactivityleak”,Tendermint不支持該屬性,即使超過(guò)1/3的驗(yàn)證者離線(xiàn),該屬性也允許鏈繼續(xù)運(yùn)行并最終恢復(fù)。幸運(yùn)的是,這個(gè)愿望已經(jīng)得到解決:已經(jīng)有提案修改Tendermint式共識(shí)以適應(yīng)inactivityleak。
領(lǐng)先的單slot最終確定性提案
問(wèn)題最難的部分是弄清楚如何使單slot最終確定性在驗(yàn)證者數(shù)量非常高的情況下發(fā)揮作用,而不會(huì)導(dǎo)致極高的Node運(yùn)營(yíng)商開(kāi)銷(xiāo)。為此,有幾種領(lǐng)先的解決方案:
選項(xiàng)1:蠻力——努力實(shí)現(xiàn)更好的簽名聚合協(xié)議,可能使用ZK-SNARKs,這實(shí)際上允許我們?cè)诿總(gè)slot中處理來(lái)自數(shù)百萬(wàn)個(gè)驗(yàn)證者的簽名。
Orbit利用驗(yàn)證者存款規(guī)模中預(yù)先存在的異質(zhì)性來(lái)獲得盡可能多的經(jīng)濟(jì)上的最終確定性,同時(shí)仍將給予solo驗(yàn)證者相應(yīng)的角色。此外,Orbit使用緩慢的委員會(huì)輪換來(lái)確保相鄰法定人數(shù)之間的高度重疊,從而確保其經(jīng)濟(jì)上的最終確定性仍然適用于委員會(huì)輪換邊界。
選項(xiàng)3:兩層質(zhì)押-一種機(jī)制,其中質(zhì)押者分為兩類(lèi),一類(lèi)的存款要求較高,另一類(lèi)的存款要求較低。只有存款要求較高的層級(jí)會(huì)直接參與提供經(jīng)濟(jì)上的最終確定性。有各種提案(例如,參見(jiàn)Rainbow質(zhì)押文章)來(lái)具體說(shuō)明存款要求較低的層級(jí)擁有哪些權(quán)利和責(zé)任。常見(jiàn)想法包括:
將委托質(zhì)押的權(quán)利給更高層級(jí)的質(zhì)押者
隨機(jī)抽取較低層級(jí)的質(zhì)押者來(lái)證明并最終確定每個(gè)區(qū)塊
生成包含名單(inclusionlists)的權(quán)利與現(xiàn)有研究有哪些聯(lián)系?
實(shí)現(xiàn)單slot最終確定性的途徑(2022年):https://notes.ethereum.org/@vbuterin/single_slot_finality
Ethereum單slot最終確定性協(xié)議的具體提案(2023年):https://eprint.iacr.org/2023/280
OrbitSSF:https://ethresear.ch/t/orbit-ssf-solo-staking-friendly-validator-set-management-for-ssf/19928
對(duì)Orbit風(fēng)格機(jī)制的進(jìn)一步分析:https://notes.ethereum.org/@anderselowsson/Vorbit_SSF
Horn,簽名聚合協(xié)議(2022年): https://ethresear.ch/t/horn-collecting-signatures-for-faster-finality/14219
大規(guī)模共識(shí)的簽名合并(2023年):https://ethresear.ch/t/signature-merging-for-large-scale-consensus/17386?u=asn
Khovratovich等人提出的簽名聚合協(xié)議:https://hackmd.io/@7dpNYqjKQGeYC7wMlPxHtQ/BykM3ggu0#/
基于STARK的簽名聚合(2022年):https://hackmd.io/@vbuterin/stark_aggregation
Rainbow質(zhì)押:https://ethresear.ch/t/unbundling-staking-towards-rainbow-staking/18683還剩下什么要做?需要權(quán)衡什么?
有四種主要的可能路徑可供選擇(我們也可以采取混合路徑):
1、維持現(xiàn)狀
2、OrbitSSF
3、蠻力SSF
4、具有兩層質(zhì)押機(jī)制的SSF
1意味著不做任何工作并保持原樣,但這會(huì)使Ethereum的安全體驗(yàn)和質(zhì)押中心化屬性變得比本來(lái)應(yīng)該的更糟糕。
2避免“高科技”,通過(guò)巧妙地重新思考協(xié)議假設(shè)來(lái)解決問(wèn)題:我們放寬了“經(jīng)濟(jì)上的最終確定性”的要求,這樣我們就要求攻擊是昂貴的,但攻擊成本可能比現(xiàn)在低10倍(例如,攻擊成本為25億美元,而不是250億美元)。人們普遍認(rèn)為,Ethereum如今的經(jīng)濟(jì)上的最終確定性遠(yuǎn)遠(yuǎn)超出了它所需要的水平,它的主要安全風(fēng)險(xiǎn)在其他地方,所以可以說(shuō)這是可以接受的犧牲。
主要工作是驗(yàn)證Orbit機(jī)制是否安全并具有我們想要的屬性,然后對(duì)其進(jìn)行完全形式化和實(shí)施。此外,EIP-7251(增加最大有效余額)允許自愿驗(yàn)證者余額合并,這會(huì)立即減少鏈驗(yàn)證開(kāi)銷(xiāo),并作為Orbit推出的有效初始階段。
3避免巧妙的重新思考,而是用高科技強(qiáng)行解決問(wèn)題。要做到這一點(diǎn)需要在很短的時(shí)間內(nèi)(5-10秒)收集大量簽名(100萬(wàn)以上)。
4避免了巧妙的重新思考和高科技,但它確實(shí)創(chuàng)造了一個(gè)兩層的質(zhì)押系統(tǒng),仍然具有中心化風(fēng)險(xiǎn)。風(fēng)險(xiǎn)在很大程度上取決于較低質(zhì)押層獲得的特定權(quán)利。例如:
如果低層級(jí)質(zhì)押者需要將其證明權(quán)委托給高級(jí)質(zhì)押者,那么委托可能會(huì)中心化化,最終我們會(huì)得到兩個(gè)高度集中的質(zhì)押層級(jí)。
如果需要對(duì)較低層進(jìn)行隨機(jī)抽樣來(lái)批準(zhǔn)每個(gè)區(qū)塊,那么攻擊者只需花費(fèi)極少量的ETH即可阻止最終確定性。
如果較低級(jí)別的質(zhì)押者只能制作包含列表,那么證明層可能會(huì)保持中心化,此時(shí)對(duì)證明層的51%攻擊可以審查包含列表本身。
可以組合多種策略,例如:
1+2:添加Orbit,但不執(zhí)行單slot最終性
1+3:使用強(qiáng)力技術(shù)減少最小存款額,而無(wú)需進(jìn)行單slot最終確定。所需的聚合量比純(3)情況少64倍,因此問(wèn)題變得更容易。
2+3:使用保守參數(shù)執(zhí)行OrbitSSF(例如,128k驗(yàn)證者委員會(huì)而不是8k或32k),并使用蠻力技術(shù)使其超高效。
1+4:添加Rainbow質(zhì)押,但不進(jìn)行單slot最終確認(rèn)SSF如何與路線(xiàn)圖的其他部分互動(dòng)?
除了其他好處之外,單slot最終確定性還降低了某些類(lèi)型的多塊MEV攻擊的風(fēng)險(xiǎn)。此外,在單slot最終確定性世界中,證明者-提議者分離設(shè)計(jì)和其他協(xié)議內(nèi)塊生產(chǎn)管道需要以不同的方式設(shè)計(jì)。
蠻力策略的弱點(diǎn)在于它們使得減少slot時(shí)間變得更加困難。單一秘密領(lǐng)導(dǎo)人選舉(Singlesecretleaderelection,SSLE)我們正在解決什么問(wèn)題?
如今,哪個(gè)驗(yàn)證者將提出下一個(gè)區(qū)塊是可以提前知道的。這會(huì)產(chǎn)生一個(gè)安全漏洞:攻擊者可以監(jiān)視網(wǎng)絡(luò),確定哪些驗(yàn)證者對(duì)應(yīng)哪些IP地址,并在驗(yàn)證者即將提出區(qū)塊時(shí)對(duì)其發(fā)起DoS攻擊。SSLE是什么以及它是如何工作的?
解決DoS問(wèn)題的最佳方法是隱藏哪個(gè)驗(yàn)證者將生成下一個(gè)區(qū)塊的信息,至少在區(qū)塊實(shí)際生成之前。請(qǐng)注意,如果我們刪除“單一”要求,這很容易:一種解決方案是讓任何人都可以創(chuàng)建下一個(gè)區(qū)塊,但要求randao揭示小于2 256 /N。平均而言,只有一個(gè)驗(yàn)證者能夠滿(mǎn)足此要求-但有時(shí)會(huì)有兩個(gè)或更多,有時(shí)會(huì)沒(méi)有。將“秘密”要求與“單一”要求結(jié)合起來(lái)一直是一個(gè)難題。
單一秘密領(lǐng)導(dǎo)者選舉協(xié)議通過(guò)使用一些加密技術(shù)為每個(gè)驗(yàn)證者創(chuàng)建一個(gè)“盲”驗(yàn)證者ID,然后讓許多提議者有機(jī)會(huì)對(duì)盲ID池進(jìn)行改組和重新盲化(這類(lèi)似于mixnet的工作方式),從而解決了這個(gè)問(wèn)題。在每個(gè)時(shí)段內(nèi),都會(huì)選擇一個(gè)隨機(jī)的盲ID。只有該盲ID的所有者才能生成有效的證明來(lái)提議區(qū)塊,但沒(méi)有人知道該盲ID對(duì)應(yīng)的是哪個(gè)驗(yàn)證者。
量子計(jì)算專(zhuān)家,例如ScottAaronson,最近也開(kāi)始更加認(rèn)真地考慮量子計(jì)算機(jī)在中期內(nèi)實(shí)際工作的可能性。這將對(duì)整個(gè)Ethereum路線(xiàn)圖產(chǎn)生影響:這意味著目前依賴(lài)于橢圓曲線(xiàn)的每個(gè)Ethereum協(xié)議部分都需要某種基于哈希或其他抗量子性的替代方案。這特別意味著我們不能假設(shè)我們將能夠永遠(yuǎn)依靠BLS聚合的優(yōu)異性能來(lái)處理來(lái)自大型驗(yàn)證者集的簽名。這證明了在權(quán)益證明設(shè)計(jì)性能假設(shè)方面的保守性是合理的,也是更積極地開(kāi)發(fā)抗量子替代方案的原因。
特別感謝 JustinDrake、Hsiao-weiWang、@antonttc和 Francesco 的反饋和審查。