特別感謝 Justin Drake、Hsiao-wei Wang、@antonttc 和 Francesco 的反饋和審閱。

最初，「合并」是指以太坊協(xié)議自推出以來歷史上最重要的事件：期待已久且來之不易的從工作量證明到權(quán)益證明的過渡。如今，以太坊已經(jīng)成為一個穩(wěn)定運行的權(quán)益證明系統(tǒng)近兩年了，這種權(quán)益證明在穩(wěn)定性、性能和避免中心化風(fēng)險方面表現(xiàn)非常出色。然而，權(quán)益證明仍有一些重要領(lǐng)域需要改進(jìn)。

我 2023 年的路線圖將其分為幾部分：改進(jìn)技術(shù)特性，例如穩(wěn)定性、性能和對較小驗證者的可訪問性，以及經(jīng)濟變化以應(yīng)對中心化風(fēng)險。前者接管了「合并」的標(biāo)題，而后者成為「禍害」的一部分。

這篇文章將重點討論「合并」部分：權(quán)益證明的技術(shù)設(shè)計中還有哪些可以改進(jìn)的地方，有哪些途徑可以實現(xiàn)這些改進(jìn)？

這并不是一份可以對權(quán)益證明進(jìn)行改進(jìn)的詳盡清單；相反，這是一份正在積極考慮的想法清單。

單槽最終性和質(zhì)押民主化

我們正在解決什么問題？

如今，需要 2-3 個 epoch（約 15 分鐘）才能完成一個區(qū)塊，并且需要 32 ETH 才能成為質(zhì)押者。這最初是為了在三個目標(biāo)之間取得平衡而做出的妥協(xié)：

• 最大化可以參與質(zhì)押的驗證者數(shù)量（這直接意味著最小化質(zhì)押所需的最小 ETH）
• 最小化完成時間
• 最小化運行節(jié)點的開銷

這三個目標(biāo)是相互沖突的：為了實現(xiàn)經(jīng)濟最終性（即攻擊者需要銷毀大量 ETH 才能恢復(fù)最終確定的區(qū)塊），每次最終確定時，每個驗證者都需要簽署兩條消息。因此，如果您有許多驗證者，要么需要很長時間來處理所有簽名，要么需要非常強大的節(jié)點來同時處理所有簽名。

請注意，這一切都取決于以太坊的一個關(guān)鍵目標(biāo)：確保即使成功的攻擊也會給攻擊者帶來高昂的成本。這就是「經(jīng)濟最終性」一詞的含義。如果我們沒有這個目標(biāo)，那么我們可以通過隨機選擇一個委員會（例如 Algorand 所做的那樣）來最終確定每個時隙來解決這個問題。但這種方法的問題在于，如果攻擊者確實控制了 51% 的驗證者，那么他們可以以非常低的成本進(jìn)行攻擊（恢復(fù)最終確定的區(qū)塊、審查或延遲最終確定）：只有委員會中的部分節(jié)點可以被檢測為參與攻擊并受到懲罰，無論是通過削減還是少數(shù)軟分叉。這意味著攻擊者可以多次反復(fù)攻擊該鏈。因此，如果我們想要經(jīng)濟最終性，那么基于委員會的簡單方法是行不通的，乍一看，我們確實需要全套驗證者參與。

理想情況下，我們希望保留經(jīng)濟終結(jié)性，同時在兩個方面改善現(xiàn)狀：

• 在一個時隙內(nèi)終結(jié)區(qū)塊（理想情況下，保持甚至減少當(dāng)前 12 秒的長度），而不是 15 分鐘
• 允許驗證者用 1 ETH 進(jìn)行質(zhì)押（從 32 ETH 降至 1 ETH）

第一個目標(biāo)由兩個目標(biāo)證明，這兩個目標(biāo)都可以看作是「使以太坊的屬性與（更中心化的）注重性能的 L1 鏈的屬性保持一致」。

首先，它確保所有以太坊用戶都能從通過最終確定機制實現(xiàn)的更高級別的安全保障中受益。如今，大多數(shù)用戶都無法享受這種保障，因為他們不愿意等待 15 分鐘；而通過單槽最終確定機制，用戶幾乎可以在交易確認(rèn)后立即看到交易最終確定。其次，如果用戶和應(yīng)用程序不必?fù)?dān)心鏈回滾的可能性（除非出現(xiàn)相對罕見的不活動泄漏情況），那么它就簡化了協(xié)議和周圍的基礎(chǔ)設(shè)施。

第二個目標(biāo)是出于支持單獨質(zhì)押者的愿望。一次又一次的民意調(diào)查反復(fù)表明，阻止更多人單獨質(zhì)押的主要因素是 32 ETH 的最低限額。將最低限額降低到 1 ETH 將解決這個問題，以至于其他問題成為限制單獨質(zhì)押的主要因素。

存在一個挑戰(zhàn)：更快的確定性和更民主化的質(zhì)押目標(biāo)都與最小化開銷的目標(biāo)相沖突。事實上，這個事實就是我們一開始不采用單槽確定性的全部原因。然而，最近的研究提出了一些解決這個問題的可能方法。

它是什么以及它是如何工作的？

單時隙最終性涉及使用在一個時隙內(nèi)最終確定區(qū)塊的共識算法。這本身并不是一個難以實現(xiàn)的目標(biāo)：許多算法（例如 Tendermint 共識）已經(jīng)以最佳屬性實現(xiàn)了這一點。以太坊獨有的一個理想屬性是 Tendermint 不支持的不活動泄漏，即使超過 1/3 的驗證者離線，該屬性也允許鏈繼續(xù)運行并最終恢復(fù)。幸運的是，這個愿望已經(jīng)得到滿足：已經(jīng)有提案修改 Tendermint 式共識以適應(yīng)不活動泄漏。

領(lǐng)先的單槽最終性提案

問題最難的部分是弄清楚如何使單槽最終性在驗證者數(shù)量非常高的情況下發(fā)揮作用，而不會導(dǎo)致極高的節(jié)點運營商開銷。為此，有幾種領(lǐng)先的解決方案：

選項 1：暴力破解——努力實現(xiàn)更好的簽名聚合協(xié)議，可能使用 ZK-SNARKs，這實際上允許我們處理每個插槽中數(shù)百萬個驗證器的簽名。

Horn，為更好的聚合協(xié)議而提出的設(shè)計之一。

選項 2：Orbit 委員會 – 一種新機制，允許隨機選擇的中型委員會負(fù)責(zé)最終確定鏈，但以保留我們正在尋找的攻擊成本屬性的方式。

思考 Orbit SSF 的一種方法是，它開辟了一個妥協(xié)選項空間，范圍從 x=0（Algorand 式委員會，沒有經(jīng)濟最終性）到 x=1（以太坊現(xiàn)狀），在中間開辟了點，以太坊仍然具有足夠的經(jīng)濟最終性以實現(xiàn)極度安全，但同時我們獲得了只需要中等規(guī)模的隨機驗證者樣本參與每個時段的效率優(yōu)勢。

Orbit 利用驗證者存款規(guī)模預(yù)先存在的異質(zhì)性來獲得盡可能多的經(jīng)濟最終性，同時仍將給予小型驗證者相應(yīng)的角色。此外，Orbit 使用緩慢的委員會輪換來確保相鄰法定人數(shù)之間的高度重疊，從而確保其經(jīng)濟最終性仍然適用于委員會輪換邊界。

選項 3：兩層質(zhì)押 – 一種機制，其中質(zhì)押者分為兩類，一類的存款要求較高，另一類的存款要求較低。只有存款要求較高的層級會直接參與提供經(jīng)濟最終性。關(guān)于存款要求較低的層級究竟有哪些權(quán)利和責(zé)任，有各種提案（例如，參見 Rainbow 質(zhì)押帖子）。常見想法包括：

• 將權(quán)益委托給更高層級的權(quán)益持有者的權(quán)利
• 隨機抽取的較低層級權(quán)益持有者證明并需要完成每個區(qū)塊
• 生成納入列表的權(quán)利

與現(xiàn)有研究有哪些聯(lián)系？

• 實現(xiàn)單槽最終性的途徑 (2022)：https://notes.ethereum.org/@vbuterin/single_slot_finality
• 以太坊單槽最終性協(xié)議的具體提案 (2023)：https://eprint.iacr.org/2023/280
• Orbit SSF：https://ethresear.ch/t/orbit-ssf-solo-staking-friendly-validator-set-management-for-ssf/19928
• 對 Orbit 風(fēng)格機制的進(jìn)一步分析：https://notes.ethereum.org/@anderselowsson/Vorbit_SSF
• Horn，簽名聚合協(xié)議 (2022)：https://ethresear.ch/t/horn-collecting-signatures-for-faster-finality/14219
• 大規(guī)模共識的簽名合并 (2023)： https://ethresear.ch/t/signature-merging-for-large-scale-consensus/17386?u=asn
• Khovratovich 等人提出的簽名聚合協(xié)議：https://hackmd.io/@7dpNYqjKQGeYC7wMlPxHtQ/BykM3ggu0#/
• 基于 STARK 的簽名聚合 (2022)：https://hackmd.io/@vbuterin/stark_aggregation
• Rainbow 質(zhì)押：https://ethresear.ch/t/unbundling-staking-towards-rainbow-staking/18683

還剩下什么要做？需要權(quán)衡什么？

有四種主要可行的路徑（我們也可以采用混合路徑）：

• 維持現(xiàn)狀
• Orbit SSF
• 強力 SSF
• 具有兩層質(zhì)押的 SSF

(1) 意味著不做任何工作，保持質(zhì)押原樣，但這會使以太坊的安全體驗和質(zhì)押中心化屬性變得比本來更糟糕。

(2) 避免「高科技」，并通過巧妙地重新思考協(xié)議假設(shè)來解決問題：我們放寬了「經(jīng)濟終結(jié)性」要求，這樣我們就要求攻擊成本高昂，但可以接受攻擊成本可能比現(xiàn)在低 10 倍（例如，攻擊成本為 25 億美元，而不是 250 億美元）。人們普遍認(rèn)為，以太坊今天的經(jīng)濟終結(jié)性遠(yuǎn)遠(yuǎn)超出了它所需要的水平，它的主要安全風(fēng)險在其他地方，所以這可以說是一個可以接受的犧牲。

主要的工作是驗證 Orbit 機制是否安全并具有我們想要的屬性，然后完全形式化并實施它。此外，EIP-7251（增加最大有效余額）允許自愿驗證者余額合并，這會立即減少鏈驗證開銷，并作為 Orbit 推出的有效初始階段。

(3) 避免了巧妙的重新思考，而是用高科技強行解決問題。要做到這一點需要在很短的時間內(nèi)（5-10 秒）收集大量簽名（100 萬以上）。

(4) 避免了巧妙的重新思考和高科技，但它確實創(chuàng)建了一個兩層的質(zhì)押系統(tǒng)，仍然具有中心化風(fēng)險。風(fēng)險在很大程度上取決于較低質(zhì)押層獲得的特定權(quán)利。例如：

• 如果低層級質(zhì)押者需要將其證明權(quán)委托給高層級質(zhì)押者，那么委托可能會中心化，最終我們就會得到兩個高度集中的質(zhì)押層級。
• 如果需要對低層級進(jìn)行隨機抽樣來批準(zhǔn)每個區(qū)塊，那么攻擊者可以花費極少量的 ETH 來阻止最終性。
• 如果低層級質(zhì)押者只能制作納入列表，那么證明層可能仍處于中心化狀態(tài)，此時對證明層的 51% 攻擊可以審查納入列表本身。

可以組合多種策略，例如：

• (1 2)：添加 Orbit 而不執(zhí)行單槽最終性。
• (1 3)：使用蠻力技術(shù)減少最小存款規(guī)模而不執(zhí)行單槽最終性。所需的聚合量比純 (3) 情況少 64 倍，因此問題變得更容易。
• (2 3)：使用保守參數(shù)執(zhí)行 Orbit SSF（例如 128k 驗證者委員會而不是 8k 或 32k），并使用蠻力技術(shù)使其超高效。
• (1 4)：添加彩虹質(zhì)押而不執(zhí)行單槽最終性。

它如何與路線圖的其他部分互動？

除了其他好處之外，單槽終結(jié)性還降低了某些類型的多塊 MEV 攻擊的風(fēng)險。此外，在單槽終結(jié)性世界中，證明者 – 提議者分離設(shè)計和其他協(xié)議內(nèi)塊生產(chǎn)管道需要以不同的方式設(shè)計。

暴力策略的弱點是，它們使得縮短槽時間變得更加困難。

單一秘密 Leader 選舉

我們要解決什么問題？

今天，哪個驗證者將提出下一個區(qū)塊是預(yù)先知道的。這會產(chǎn)生一個安全漏洞：攻擊者可以監(jiān)視網(wǎng)絡(luò)，識別哪些驗證者對應(yīng)哪些 IP 地址，并在驗證者即將提出區(qū)塊時對其發(fā)起 DoS 攻擊。

它是什么？它是如何工作的？

解決 DoS 問題的最佳方法是隱藏哪個驗證者將生成下一個區(qū)塊的信息，至少在區(qū)塊實際生成之前。請注意，如果我們刪除「單一」要求，這很容易：一種解決方案是讓任何人都可以創(chuàng)建下一個區(qū)塊，但要求 randao 揭示小于 2256 / N。平均而言，只有一個驗證者能夠滿足此要求 – 但有時會有兩個或更多，有時會有零個。將「保密」要求與「單一」要求結(jié)合起來一直是一個難題。

單一秘密領(lǐng)導(dǎo)者選舉協(xié)議通過使用一些加密技術(shù)為每個驗證者創(chuàng)建一個「盲」驗證者 ID 來解決這個問題，然后讓許多提議者有機會對盲 ID 池進(jìn)行改組和重新盲化（這類似于混合網(wǎng)絡(luò)的工作方式）。在每個時段，都會選擇一個隨機的盲 ID。只有該盲 ID 的所有者才能生成有效的證明來提議區(qū)塊，但沒有人知道該盲 ID 對應(yīng)哪個驗證者。

Whisk SSLE 協(xié)議

有哪些現(xiàn)有研究的鏈接？

• Dan Boneh 的論文（2020 年）：https://eprint.iacr.org/2020/025.pdf
• Whisk（以太坊的具體提案，2022 年）：https://ethresear.ch/t/whisk-a-practical-shuffle-based-ssle-protocol-for-ethereum/11763
• ethresear.ch 上的單一秘密領(lǐng)導(dǎo)者選舉標(biāo)簽：https://ethresear.ch/tag/single-secret-leader-election
• 使用環(huán)簽名的簡化 SSLE：https://ethresear.ch/t/simplified-ssle/12315

還剩下什么要做？需要權(quán)衡什么？

實際上，剩下的就是找到并實現(xiàn)一個足夠簡單的協(xié)議，以便我們可以輕松地在主網(wǎng)上實現(xiàn)它。我們非常重視以太坊是一個相當(dāng)簡單的協(xié)議，我們不希望復(fù)雜性進(jìn)一步增加。我們看到的 SSLE 實現(xiàn)增加了數(shù)百行規(guī)范代碼，并在復(fù)雜的加密中引入了新的假設(shè)。找出一個足夠有效的抗量子 SSLE 實現(xiàn)也是一個懸而未決的問題。

最終可能會出現(xiàn)這樣的情況：只有當(dāng)我們出于其他原因（例如狀態(tài)樹、ZK-EVM）在以太坊協(xié)議的 L1 上引入通用零知識證明機制時，SSLE 的「邊際額外復(fù)雜性」才會下降到足夠低的程度。

另一種選擇是根本不理會 SSLE，而是使用協(xié)議外的緩解措施（例如在 p2p 層）來解決 DoS 問題。

它如何與路線圖的其他部分互動？

如果我們添加證明者 – 提議者分離 (APS) 機制，例如執(zhí)行票證，那么執(zhí)行塊（即包含以太坊交易的塊）將不需要 SSLE，因為我們可以依賴專門的塊構(gòu)建器。但是，對于共識塊（即包含協(xié)議消息（例如證明、可能包含列表的部分等）的塊），我們?nèi)詫⑹芤嬗?SSLE。

更快的交易確認(rèn)

我們正在解決什么問題？

以太坊的交易確認(rèn)時間進(jìn)一步減少是有價值的，從 12 秒減少到 4 秒。這樣做將顯著改善 L1 和基于匯總的用戶體驗，同時使 defi 協(xié)議更加高效。它還將使 L2 更容易去中心化，因為它將允許大量 L2 應(yīng)用程序在基于匯總上工作，從而減少 L2 構(gòu)建自己的基于委員會的去中心化排序的需求。

它是什么？它是如何工作的？

這里大致有兩種技術(shù)：

• 減少時隙時間，例如減少到 8 秒或 4 秒。這并不一定意味著 4 秒的最終性：最終性本質(zhì)上需要三輪通信，因此我們可以將每輪通信設(shè)為一個單獨的塊，在 4 秒后至少會得到初步確認(rèn)。
• 允許提議者在時隙過程中發(fā)布預(yù)確認(rèn)。在極端情況下，提議者可以實時將他們看到的交易納入他們的塊中，并立即為每筆交易發(fā)布預(yù)確認(rèn)消息（「我的第一筆交易是 0×1234…」，「我的第二筆交易是 0×5678…」）。提議者發(fā)布兩個相互沖突的確認(rèn)的情況可以通過兩種方式處理：（i）通過削減提議者，或（ii）通過使用證明者投票決定哪一個更早。

有哪些現(xiàn)有研究的鏈接？

• 基于預(yù)確認(rèn)：https://ethresear.ch/t/based-preconfirmations/17353
• 協(xié)議強制提議者承諾 (PEPC)：https://ethresear.ch/t/unbundling-pbs-towards-protocol-enforced-proposer-commitments-pepc/13879
• 并行鏈上的交錯周期（2018 年實現(xiàn)低延遲的想法）：https://ethresear.ch/t/staggered-periods/1793

剩下要做什么，又有哪些權(quán)衡？

目前還不清楚減少時隙時間的實用性。即使在今天，世界上許多地區(qū)的質(zhì)押者也很難足夠快地獲得證明。嘗試 4 秒的時隙時間存在集中驗證者集的風(fēng)險，并且由于延遲，在少數(shù)特權(quán)地區(qū)之外成為驗證者是不切實際的。

提議者預(yù)確認(rèn)方法的弱點是它可以大大改善平均情況下的包含時間，但不能改善最壞情況下的包含時間：如果當(dāng)前提議者運行良好，您的交易將在 0.5 秒內(nèi)得到預(yù)確認(rèn)，而不是（平均）6 秒內(nèi)被納入，但如果當(dāng)前提議者離線或運行不佳，您仍然需要等待整整 12 秒才能開始下一個時隙并提供新的提議者。

此外，還有一個懸而未決的問題，即如何激勵預(yù)確認(rèn)。提議者有動機盡可能長時間地最大化他們的可選性。如果證明者簽署了預(yù)確認(rèn)的及時性，那么交易發(fā)送者可以將部分費用以立即預(yù)確認(rèn)為條件，但這會給證明者帶來額外的負(fù)擔(dān)，并可能使證明者更難繼續(xù)充當(dāng)中立的「啞管道」。

另一方面，如果我們不嘗試這樣做并將最終確定時間保持在 12 秒（或更長），生態(tài)系統(tǒng)將更加重視第 2 層制定的預(yù)確認(rèn)機制，跨第 2 層的交互將需要更長的時間。

它如何與路線圖的其他部分互動？

基于提議者的預(yù)確認(rèn)實際上依賴于證明者 – 提議者分離 (APS) 機制，例如執(zhí)行票證。否則，提供實時預(yù)確認(rèn)的壓力可能會對常規(guī)驗證者造成過于集中的壓力。

其他研究領(lǐng)域

51% 攻擊恢復(fù)

人們通常認(rèn)為，如果發(fā)生 51% 攻擊（包括無法通過加密證明的攻擊，例如審查），社區(qū)將齊心協(xié)力實施少數(shù)派軟分叉，確保好人獲勝，壞人因不活動而泄露或被削減。然而，這種對社交層的過度依賴程度可以說是不健康的。我們可以嘗試減少對社交層的依賴，使恢復(fù)過程盡可能自動化。

完全自動化是不可能的，因為如果是的話，這將算作一個 >50% 容錯的共識算法，我們已經(jīng)知道這類算法的（非常嚴(yán)格的）數(shù)學(xué)可證明的局限性。但我們可以實現(xiàn)部分自動化：例如，如果客戶端審查了客戶端已經(jīng)看到足夠長時間的交易，客戶端可以自動拒絕接受一條鏈作為最終確定的，甚至拒絕接受它作為分叉選擇的頭部。一個關(guān)鍵目標(biāo)是確保攻擊中的壞人至少不能快速獲得勝利。

增加法定人數(shù)閾值

今天，如果 67% 的質(zhì)押者支持，區(qū)塊就會最終確定。有人認(rèn)為這過于激進(jìn)。在以太坊的整個歷史上，只有一次（非常短暫的）最終失敗。如果將這一百分比增加到 80%，那么增加的非最終性時期數(shù)量將相對較低，但以太坊將獲得安全性：特別是，許多更具爭議的情況將導(dǎo)致最終性的暫時停止。這似乎比「錯誤的一方」立即獲勝要健康得多，無論是錯誤的一方是攻擊者，還是客戶端有錯誤。

這也回答了「單獨質(zhì)押者的意義何在」這個問題。今天，大多數(shù)質(zhì)押者已經(jīng)通過池進(jìn)行質(zhì)押，而且似乎不太可能讓單獨質(zhì)押者獲得高達(dá) 51% 的質(zhì)押 ETH。然而，如果我們努力的話，讓單獨質(zhì)押者達(dá)到阻止多數(shù)派的少數(shù)派，特別是如果多數(shù)派達(dá)到 80%（因此阻止多數(shù)派的少數(shù)派只需要 21%）似乎是有可能實現(xiàn)的。只要單獨質(zhì)押者不參與 51% 攻擊（無論是最終性逆轉(zhuǎn)還是審查），這種攻擊就不會獲得「干凈利落的勝利」，并且單獨質(zhì)押者會積極幫助組織少數(shù)派軟分叉。

抗量子性

Metaculus 目前認(rèn)為，盡管誤差較大，但量子計算機很可能在 2030 年代的某個時候開始破解密碼學(xué)：

量子計算專家，例如 Scott Aaronson，最近也開始更加認(rèn)真地考慮量子計算機在中期內(nèi)實際工作的可能性。這對整個以太坊路線圖都有影響：這意味著目前依賴于橢圓曲線的每個以太坊協(xié)議部分都需要某種基于哈希或其他量子抗性的替代方案。這特別意味著我們不能假設(shè)我們將能夠永遠(yuǎn)依靠 BLS 聚合的優(yōu)異特性來處理來自大型驗證器集的簽名。這證明了在權(quán)益證明設(shè)計性能假設(shè)方面的保守性是合理的，也是更積極地開發(fā)量子抗性替代方案的原因。

AD：

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。