特別感謝 Justin Drake、Hsiao-wei Wang、@antonttc 和 Francesco 的反饋和審閱。

最初，「合并」是指以太坊協(xié)議自推出以來(lái)歷史上最重要的事件：期待已久且來(lái)之不易的從工作量證明到權(quán)益證明的過(guò)渡。如今，以太坊已經(jīng)成為一個(gè)穩(wěn)定運(yùn)行的權(quán)益證明系統(tǒng)近兩年了，這種權(quán)益證明在穩(wěn)定性、性能和避免中心化風(fēng)險(xiǎn)方面表現(xiàn)非常出色。然而，權(quán)益證明仍有一些重要領(lǐng)域需要改進(jìn)。

我 2023 年的路線圖將其分為幾部分：改進(jìn)技術(shù)特性，例如穩(wěn)定性、性能和對(duì)較小驗(yàn)證者的可訪問(wèn)性，以及經(jīng)濟(jì)變化以應(yīng)對(duì)中心化風(fēng)險(xiǎn)。前者接管了「合并」的標(biāo)題，而后者成為「禍害」的一部分。

這篇文章將重點(diǎn)討論「合并」部分：權(quán)益證明的技術(shù)設(shè)計(jì)中還有哪些可以改進(jìn)的地方，有哪些途徑可以實(shí)現(xiàn)這些改進(jìn)？

這并不是一份可以對(duì)權(quán)益證明進(jìn)行改進(jìn)的詳盡清單；相反，這是一份正在積極考慮的想法清單。

單槽最終性和質(zhì)押民主化

我們正在解決什么問(wèn)題？

如今，需要 2-3 個(gè) epoch（約 15 分鐘）才能完成一個(gè)區(qū)塊，并且需要 32 ETH 才能成為質(zhì)押者。這最初是為了在三個(gè)目標(biāo)之間取得平衡而做出的妥協(xié)：

• 最大化可以參與質(zhì)押的驗(yàn)證者數(shù)量（這直接意味著最小化質(zhì)押所需的最小 ETH）
• 最小化完成時(shí)間
• 最小化運(yùn)行節(jié)點(diǎn)的開(kāi)銷(xiāo)

這三個(gè)目標(biāo)是相互沖突的：為了實(shí)現(xiàn)經(jīng)濟(jì)最終性（即攻擊者需要銷(xiāo)毀大量 ETH 才能恢復(fù)最終確定的區(qū)塊），每次最終確定時(shí)，每個(gè)驗(yàn)證者都需要簽署兩條消息。因此，如果您有許多驗(yàn)證者，要么需要很長(zhǎng)時(shí)間來(lái)處理所有簽名，要么需要非常強(qiáng)大的節(jié)點(diǎn)來(lái)同時(shí)處理所有簽名。

請(qǐng)注意，這一切都取決于以太坊的一個(gè)關(guān)鍵目標(biāo)：確保即使成功的攻擊也會(huì)給攻擊者帶來(lái)高昂的成本。這就是「經(jīng)濟(jì)最終性」一詞的含義。如果我們沒(méi)有這個(gè)目標(biāo)，那么我們可以通過(guò)隨機(jī)選擇一個(gè)委員會(huì)（例如 Algorand 所做的那樣）來(lái)最終確定每個(gè)時(shí)隙來(lái)解決這個(gè)問(wèn)題。但這種方法的問(wèn)題在于，如果攻擊者確實(shí)控制了 51% 的驗(yàn)證者，那么他們可以以非常低的成本進(jìn)行攻擊（恢復(fù)最終確定的區(qū)塊、審查或延遲最終確定）：只有委員會(huì)中的部分節(jié)點(diǎn)可以被檢測(cè)為參與攻擊并受到懲罰，無(wú)論是通過(guò)削減還是少數(shù)軟分叉。這意味著攻擊者可以多次反復(fù)攻擊該鏈。因此，如果我們想要經(jīng)濟(jì)最終性，那么基于委員會(huì)的簡(jiǎn)單方法是行不通的，乍一看，我們確實(shí)需要全套驗(yàn)證者參與。

理想情況下，我們希望保留經(jīng)濟(jì)終結(jié)性，同時(shí)在兩個(gè)方面改善現(xiàn)狀：

• 在一個(gè)時(shí)隙內(nèi)終結(jié)區(qū)塊（理想情況下，保持甚至減少當(dāng)前 12 秒的長(zhǎng)度），而不是 15 分鐘
• 允許驗(yàn)證者用 1 ETH 進(jìn)行質(zhì)押（從 32 ETH 降至 1 ETH）

第一個(gè)目標(biāo)由兩個(gè)目標(biāo)證明，這兩個(gè)目標(biāo)都可以看作是「使以太坊的屬性與（更中心化的）注重性能的 L1 鏈的屬性保持一致」。

首先，它確保所有以太坊用戶都能從通過(guò)最終確定機(jī)制實(shí)現(xiàn)的更高級(jí)別的安全保障中受益。如今，大多數(shù)用戶都無(wú)法享受這種保障，因?yàn)樗麄儾辉敢獾却?15 分鐘；而通過(guò)單槽最終確定機(jī)制，用戶幾乎可以在交易確認(rèn)后立即看到交易最終確定。其次，如果用戶和應(yīng)用程序不必?fù)?dān)心鏈回滾的可能性（除非出現(xiàn)相對(duì)罕見(jiàn)的不活動(dòng)泄漏情況），那么它就簡(jiǎn)化了協(xié)議和周?chē)幕A(chǔ)設(shè)施。

第二個(gè)目標(biāo)是出于支持單獨(dú)質(zhì)押者的愿望。一次又一次的民意調(diào)查反復(fù)表明，阻止更多人單獨(dú)質(zhì)押的主要因素是 32 ETH 的最低限額。將最低限額降低到 1 ETH 將解決這個(gè)問(wèn)題，以至于其他問(wèn)題成為限制單獨(dú)質(zhì)押的主要因素。

存在一個(gè)挑戰(zhàn)：更快的確定性和更民主化的質(zhì)押目標(biāo)都與最小化開(kāi)銷(xiāo)的目標(biāo)相沖突。事實(shí)上，這個(gè)事實(shí)就是我們一開(kāi)始不采用單槽確定性的全部原因。然而，最近的研究提出了一些解決這個(gè)問(wèn)題的可能方法。

它是什么以及它是如何工作的？

單時(shí)隙最終性涉及使用在一個(gè)時(shí)隙內(nèi)最終確定區(qū)塊的共識(shí)算法。這本身并不是一個(gè)難以實(shí)現(xiàn)的目標(biāo)：許多算法（例如 Tendermint 共識(shí)）已經(jīng)以最佳屬性實(shí)現(xiàn)了這一點(diǎn)。以太坊獨(dú)有的一個(gè)理想屬性是 Tendermint 不支持的不活動(dòng)泄漏，即使超過(guò) 1/3 的驗(yàn)證者離線，該屬性也允許鏈繼續(xù)運(yùn)行并最終恢復(fù)。幸運(yùn)的是，這個(gè)愿望已經(jīng)得到滿足：已經(jīng)有提案修改 Tendermint 式共識(shí)以適應(yīng)不活動(dòng)泄漏。

領(lǐng)先的單槽最終性提案

問(wèn)題最難的部分是弄清楚如何使單槽最終性在驗(yàn)證者數(shù)量非常高的情況下發(fā)揮作用，而不會(huì)導(dǎo)致極高的節(jié)點(diǎn)運(yùn)營(yíng)商開(kāi)銷(xiāo)。為此，有幾種領(lǐng)先的解決方案：

選項(xiàng) 1：暴力破解——努力實(shí)現(xiàn)更好的簽名聚合協(xié)議，可能使用 ZK-SNARKs，這實(shí)際上允許我們處理每個(gè)插槽中數(shù)百萬(wàn)個(gè)驗(yàn)證器的簽名。

Horn，為更好的聚合協(xié)議而提出的設(shè)計(jì)之一。

選項(xiàng) 2：Orbit 委員會(huì) – 一種新機(jī)制，允許隨機(jī)選擇的中型委員會(huì)負(fù)責(zé)最終確定鏈，但以保留我們正在尋找的攻擊成本屬性的方式。

思考 Orbit SSF 的一種方法是，它開(kāi)辟了一個(gè)妥協(xié)選項(xiàng)空間，范圍從 x=0（Algorand 式委員會(huì)，沒(méi)有經(jīng)濟(jì)最終性）到 x=1（以太坊現(xiàn)狀），在中間開(kāi)辟了點(diǎn)，以太坊仍然具有足夠的經(jīng)濟(jì)最終性以實(shí)現(xiàn)極度安全，但同時(shí)我們獲得了只需要中等規(guī)模的隨機(jī)驗(yàn)證者樣本參與每個(gè)時(shí)段的效率優(yōu)勢(shì)。

Orbit 利用驗(yàn)證者存款規(guī)模預(yù)先存在的異質(zhì)性來(lái)獲得盡可能多的經(jīng)濟(jì)最終性，同時(shí)仍將給予小型驗(yàn)證者相應(yīng)的角色。此外，Orbit 使用緩慢的委員會(huì)輪換來(lái)確保相鄰法定人數(shù)之間的高度重疊，從而確保其經(jīng)濟(jì)最終性仍然適用于委員會(huì)輪換邊界。

選項(xiàng) 3：兩層質(zhì)押 – 一種機(jī)制，其中質(zhì)押者分為兩類(lèi)，一類(lèi)的存款要求較高，另一類(lèi)的存款要求較低。只有存款要求較高的層級(jí)會(huì)直接參與提供經(jīng)濟(jì)最終性。關(guān)于存款要求較低的層級(jí)究竟有哪些權(quán)利和責(zé)任，有各種提案（例如，參見(jiàn) Rainbow 質(zhì)押帖子）。常見(jiàn)想法包括：

• 將權(quán)益委托給更高層級(jí)的權(quán)益持有者的權(quán)利
• 隨機(jī)抽取的較低層級(jí)權(quán)益持有者證明并需要完成每個(gè)區(qū)塊
• 生成納入列表的權(quán)利

與現(xiàn)有研究有哪些聯(lián)系？

• 實(shí)現(xiàn)單槽最終性的途徑 (2022)：https://notes.ethereum.org/@vbuterin/single_slot_finality
• 以太坊單槽最終性協(xié)議的具體提案 (2023)：https://eprint.iacr.org/2023/280
• Orbit SSF：https://ethresear.ch/t/orbit-ssf-solo-staking-friendly-validator-set-management-for-ssf/19928
• 對(duì) Orbit 風(fēng)格機(jī)制的進(jìn)一步分析：https://notes.ethereum.org/@anderselowsson/Vorbit_SSF
• Horn，簽名聚合協(xié)議 (2022)：https://ethresear.ch/t/horn-collecting-signatures-for-faster-finality/14219
• 大規(guī)模共識(shí)的簽名合并 (2023)： https://ethresear.ch/t/signature-merging-for-large-scale-consensus/17386?u=asn
• Khovratovich 等人提出的簽名聚合協(xié)議：https://hackmd.io/@7dpNYqjKQGeYC7wMlPxHtQ/BykM3ggu0#/
• 基于 STARK 的簽名聚合 (2022)：https://hackmd.io/@vbuterin/stark_aggregation
• Rainbow 質(zhì)押：https://ethresear.ch/t/unbundling-staking-towards-rainbow-staking/18683

還剩下什么要做？需要權(quán)衡什么？

有四種主要可行的路徑（我們也可以采用混合路徑）：

• 維持現(xiàn)狀
• Orbit SSF
• 強(qiáng)力 SSF
• 具有兩層質(zhì)押的 SSF

(1) 意味著不做任何工作，保持質(zhì)押原樣，但這會(huì)使以太坊的安全體驗(yàn)和質(zhì)押中心化屬性變得比本來(lái)更糟糕。

(2) 避免「高科技」，并通過(guò)巧妙地重新思考協(xié)議假設(shè)來(lái)解決問(wèn)題：我們放寬了「經(jīng)濟(jì)終結(jié)性」要求，這樣我們就要求攻擊成本高昂，但可以接受攻擊成本可能比現(xiàn)在低 10 倍（例如，攻擊成本為 25 億美元，而不是 250 億美元）。人們普遍認(rèn)為，以太坊今天的經(jīng)濟(jì)終結(jié)性遠(yuǎn)遠(yuǎn)超出了它所需要的水平，它的主要安全風(fēng)險(xiǎn)在其他地方，所以這可以說(shuō)是一個(gè)可以接受的犧牲。

主要的工作是驗(yàn)證 Orbit 機(jī)制是否安全并具有我們想要的屬性，然后完全形式化并實(shí)施它。此外，EIP-7251（增加最大有效余額）允許自愿驗(yàn)證者余額合并，這會(huì)立即減少鏈驗(yàn)證開(kāi)銷(xiāo)，并作為 Orbit 推出的有效初始階段。

(3) 避免了巧妙的重新思考，而是用高科技強(qiáng)行解決問(wèn)題。要做到這一點(diǎn)需要在很短的時(shí)間內(nèi)（5-10 秒）收集大量簽名（100 萬(wàn)以上）。

(4) 避免了巧妙的重新思考和高科技，但它確實(shí)創(chuàng)建了一個(gè)兩層的質(zhì)押系統(tǒng)，仍然具有中心化風(fēng)險(xiǎn)。風(fēng)險(xiǎn)在很大程度上取決于較低質(zhì)押層獲得的特定權(quán)利。例如：

• 如果低層級(jí)質(zhì)押者需要將其證明權(quán)委托給高層級(jí)質(zhì)押者，那么委托可能會(huì)中心化，最終我們就會(huì)得到兩個(gè)高度集中的質(zhì)押層級(jí)。
• 如果需要對(duì)低層級(jí)進(jìn)行隨機(jī)抽樣來(lái)批準(zhǔn)每個(gè)區(qū)塊，那么攻擊者可以花費(fèi)極少量的 ETH 來(lái)阻止最終性。
• 如果低層級(jí)質(zhì)押者只能制作納入列表，那么證明層可能仍處于中心化狀態(tài)，此時(shí)對(duì)證明層的 51% 攻擊可以審查納入列表本身。

可以組合多種策略，例如：

• (1 2)：添加 Orbit 而不執(zhí)行單槽最終性。
• (1 3)：使用蠻力技術(shù)減少最小存款規(guī)模而不執(zhí)行單槽最終性。所需的聚合量比純 (3) 情況少 64 倍，因此問(wèn)題變得更容易。
• (2 3)：使用保守參數(shù)執(zhí)行 Orbit SSF（例如 128k 驗(yàn)證者委員會(huì)而不是 8k 或 32k），并使用蠻力技術(shù)使其超高效。
• (1 4)：添加彩虹質(zhì)押而不執(zhí)行單槽最終性。

它如何與路線圖的其他部分互動(dòng)？

除了其他好處之外，單槽終結(jié)性還降低了某些類(lèi)型的多塊 MEV 攻擊的風(fēng)險(xiǎn)。此外，在單槽終結(jié)性世界中，證明者 – 提議者分離設(shè)計(jì)和其他協(xié)議內(nèi)塊生產(chǎn)管道需要以不同的方式設(shè)計(jì)。

暴力策略的弱點(diǎn)是，它們使得縮短槽時(shí)間變得更加困難。

單一秘密 Leader 選舉

我們要解決什么問(wèn)題？

今天，哪個(gè)驗(yàn)證者將提出下一個(gè)區(qū)塊是預(yù)先知道的。這會(huì)產(chǎn)生一個(gè)安全漏洞：攻擊者可以監(jiān)視網(wǎng)絡(luò)，識(shí)別哪些驗(yàn)證者對(duì)應(yīng)哪些 IP 地址，并在驗(yàn)證者即將提出區(qū)塊時(shí)對(duì)其發(fā)起 DoS 攻擊。

它是什么？它是如何工作的？

解決 DoS 問(wèn)題的最佳方法是隱藏哪個(gè)驗(yàn)證者將生成下一個(gè)區(qū)塊的信息，至少在區(qū)塊實(shí)際生成之前。請(qǐng)注意，如果我們刪除「單一」要求，這很容易：一種解決方案是讓任何人都可以創(chuàng)建下一個(gè)區(qū)塊，但要求 randao 揭示小于 2256 / N。平均而言，只有一個(gè)驗(yàn)證者能夠滿足此要求 – 但有時(shí)會(huì)有兩個(gè)或更多，有時(shí)會(huì)有零個(gè)。將「保密」要求與「單一」要求結(jié)合起來(lái)一直是一個(gè)難題。

單一秘密領(lǐng)導(dǎo)者選舉協(xié)議通過(guò)使用一些加密技術(shù)為每個(gè)驗(yàn)證者創(chuàng)建一個(gè)「盲」驗(yàn)證者 ID 來(lái)解決這個(gè)問(wèn)題，然后讓許多提議者有機(jī)會(huì)對(duì)盲 ID 池進(jìn)行改組和重新盲化（這類(lèi)似于混合網(wǎng)絡(luò)的工作方式）。在每個(gè)時(shí)段，都會(huì)選擇一個(gè)隨機(jī)的盲 ID。只有該盲 ID 的所有者才能生成有效的證明來(lái)提議區(qū)塊，但沒(méi)有人知道該盲 ID 對(duì)應(yīng)哪個(gè)驗(yàn)證者。

Whisk SSLE 協(xié)議

有哪些現(xiàn)有研究的鏈接？

• Dan Boneh 的論文（2020 年）：https://eprint.iacr.org/2020/025.pdf
• Whisk（以太坊的具體提案，2022 年）：https://ethresear.ch/t/whisk-a-practical-shuffle-based-ssle-protocol-for-ethereum/11763
• ethresear.ch 上的單一秘密領(lǐng)導(dǎo)者選舉標(biāo)簽：https://ethresear.ch/tag/single-secret-leader-election
• 使用環(huán)簽名的簡(jiǎn)化 SSLE：https://ethresear.ch/t/simplified-ssle/12315

還剩下什么要做？需要權(quán)衡什么？

實(shí)際上，剩下的就是找到并實(shí)現(xiàn)一個(gè)足夠簡(jiǎn)單的協(xié)議，以便我們可以輕松地在主網(wǎng)上實(shí)現(xiàn)它。我們非常重視以太坊是一個(gè)相當(dāng)簡(jiǎn)單的協(xié)議，我們不希望復(fù)雜性進(jìn)一步增加。我們看到的 SSLE 實(shí)現(xiàn)增加了數(shù)百行規(guī)范代碼，并在復(fù)雜的加密中引入了新的假設(shè)。找出一個(gè)足夠有效的抗量子 SSLE 實(shí)現(xiàn)也是一個(gè)懸而未決的問(wèn)題。

最終可能會(huì)出現(xiàn)這樣的情況：只有當(dāng)我們出于其他原因（例如狀態(tài)樹(shù)、ZK-EVM）在以太坊協(xié)議的 L1 上引入通用零知識(shí)證明機(jī)制時(shí)，SSLE 的「邊際額外復(fù)雜性」才會(huì)下降到足夠低的程度。

另一種選擇是根本不理會(huì) SSLE，而是使用協(xié)議外的緩解措施（例如在 p2p 層）來(lái)解決 DoS 問(wèn)題。

它如何與路線圖的其他部分互動(dòng)？

如果我們添加證明者 – 提議者分離 (APS) 機(jī)制，例如執(zhí)行票證，那么執(zhí)行塊（即包含以太坊交易的塊）將不需要 SSLE，因?yàn)槲覀兛梢砸蕾噷?zhuān)門(mén)的塊構(gòu)建器。但是，對(duì)于共識(shí)塊（即包含協(xié)議消息（例如證明、可能包含列表的部分等）的塊），我們?nèi)詫⑹芤嬗?SSLE。

更快的交易確認(rèn)

我們正在解決什么問(wèn)題？

以太坊的交易確認(rèn)時(shí)間進(jìn)一步減少是有價(jià)值的，從 12 秒減少到 4 秒。這樣做將顯著改善 L1 和基于匯總的用戶體驗(yàn)，同時(shí)使 defi 協(xié)議更加高效。它還將使 L2 更容易去中心化，因?yàn)樗鼘⒃试S大量 L2 應(yīng)用程序在基于匯總上工作，從而減少 L2 構(gòu)建自己的基于委員會(huì)的去中心化排序的需求。

它是什么？它是如何工作的？

這里大致有兩種技術(shù)：

• 減少時(shí)隙時(shí)間，例如減少到 8 秒或 4 秒。這并不一定意味著 4 秒的最終性：最終性本質(zhì)上需要三輪通信，因此我們可以將每輪通信設(shè)為一個(gè)單獨(dú)的塊，在 4 秒后至少會(huì)得到初步確認(rèn)。
• 允許提議者在時(shí)隙過(guò)程中發(fā)布預(yù)確認(rèn)。在極端情況下，提議者可以實(shí)時(shí)將他們看到的交易納入他們的塊中，并立即為每筆交易發(fā)布預(yù)確認(rèn)消息（「我的第一筆交易是 0×1234…」，「我的第二筆交易是 0×5678…」）。提議者發(fā)布兩個(gè)相互沖突的確認(rèn)的情況可以通過(guò)兩種方式處理：（i）通過(guò)削減提議者，或（ii）通過(guò)使用證明者投票決定哪一個(gè)更早。

有哪些現(xiàn)有研究的鏈接？

• 基于預(yù)確認(rèn)：https://ethresear.ch/t/based-preconfirmations/17353
• 協(xié)議強(qiáng)制提議者承諾 (PEPC)：https://ethresear.ch/t/unbundling-pbs-towards-protocol-enforced-proposer-commitments-pepc/13879
• 并行鏈上的交錯(cuò)周期（2018 年實(shí)現(xiàn)低延遲的想法）：https://ethresear.ch/t/staggered-periods/1793

剩下要做什么，又有哪些權(quán)衡？

目前還不清楚減少時(shí)隙時(shí)間的實(shí)用性。即使在今天，世界上許多地區(qū)的質(zhì)押者也很難足夠快地獲得證明。嘗試 4 秒的時(shí)隙時(shí)間存在集中驗(yàn)證者集的風(fēng)險(xiǎn)，并且由于延遲，在少數(shù)特權(quán)地區(qū)之外成為驗(yàn)證者是不切實(shí)際的。

提議者預(yù)確認(rèn)方法的弱點(diǎn)是它可以大大改善平均情況下的包含時(shí)間，但不能改善最壞情況下的包含時(shí)間：如果當(dāng)前提議者運(yùn)行良好，您的交易將在 0.5 秒內(nèi)得到預(yù)確認(rèn)，而不是（平均）6 秒內(nèi)被納入，但如果當(dāng)前提議者離線或運(yùn)行不佳，您仍然需要等待整整 12 秒才能開(kāi)始下一個(gè)時(shí)隙并提供新的提議者。

此外，還有一個(gè)懸而未決的問(wèn)題，即如何激勵(lì)預(yù)確認(rèn)。提議者有動(dòng)機(jī)盡可能長(zhǎng)時(shí)間地最大化他們的可選性。如果證明者簽署了預(yù)確認(rèn)的及時(shí)性，那么交易發(fā)送者可以將部分費(fèi)用以立即預(yù)確認(rèn)為條件，但這會(huì)給證明者帶來(lái)額外的負(fù)擔(dān)，并可能使證明者更難繼續(xù)充當(dāng)中立的「啞管道」。

另一方面，如果我們不嘗試這樣做并將最終確定時(shí)間保持在 12 秒（或更長(zhǎng)），生態(tài)系統(tǒng)將更加重視第 2 層制定的預(yù)確認(rèn)機(jī)制，跨第 2 層的交互將需要更長(zhǎng)的時(shí)間。

它如何與路線圖的其他部分互動(dòng)？

基于提議者的預(yù)確認(rèn)實(shí)際上依賴于證明者 – 提議者分離 (APS) 機(jī)制，例如執(zhí)行票證。否則，提供實(shí)時(shí)預(yù)確認(rèn)的壓力可能會(huì)對(duì)常規(guī)驗(yàn)證者造成過(guò)于集中的壓力。

其他研究領(lǐng)域

51% 攻擊恢復(fù)

人們通常認(rèn)為，如果發(fā)生 51% 攻擊（包括無(wú)法通過(guò)加密證明的攻擊，例如審查），社區(qū)將齊心協(xié)力實(shí)施少數(shù)派軟分叉，確保好人獲勝，壞人因不活動(dòng)而泄露或被削減。然而，這種對(duì)社交層的過(guò)度依賴程度可以說(shuō)是不健康的。我們可以嘗試減少對(duì)社交層的依賴，使恢復(fù)過(guò)程盡可能自動(dòng)化。

完全自動(dòng)化是不可能的，因?yàn)槿绻堑脑挘@將算作一個(gè) >50% 容錯(cuò)的共識(shí)算法，我們已經(jīng)知道這類(lèi)算法的（非常嚴(yán)格的）數(shù)學(xué)可證明的局限性。但我們可以實(shí)現(xiàn)部分自動(dòng)化：例如，如果客戶端審查了客戶端已經(jīng)看到足夠長(zhǎng)時(shí)間的交易，客戶端可以自動(dòng)拒絕接受一條鏈作為最終確定的，甚至拒絕接受它作為分叉選擇的頭部。一個(gè)關(guān)鍵目標(biāo)是確保攻擊中的壞人至少不能快速獲得勝利。

增加法定人數(shù)閾值

今天，如果 67% 的質(zhì)押者支持，區(qū)塊就會(huì)最終確定。有人認(rèn)為這過(guò)于激進(jìn)。在以太坊的整個(gè)歷史上，只有一次（非常短暫的）最終失敗。如果將這一百分比增加到 80%，那么增加的非最終性時(shí)期數(shù)量將相對(duì)較低，但以太坊將獲得安全性：特別是，許多更具爭(zhēng)議的情況將導(dǎo)致最終性的暫時(shí)停止。這似乎比「錯(cuò)誤的一方」立即獲勝要健康得多，無(wú)論是錯(cuò)誤的一方是攻擊者，還是客戶端有錯(cuò)誤。

這也回答了「單獨(dú)質(zhì)押者的意義何在」這個(gè)問(wèn)題。今天，大多數(shù)質(zhì)押者已經(jīng)通過(guò)池進(jìn)行質(zhì)押，而且似乎不太可能讓單獨(dú)質(zhì)押者獲得高達(dá) 51% 的質(zhì)押 ETH。然而，如果我們努力的話，讓單獨(dú)質(zhì)押者達(dá)到阻止多數(shù)派的少數(shù)派，特別是如果多數(shù)派達(dá)到 80%（因此阻止多數(shù)派的少數(shù)派只需要 21%）似乎是有可能實(shí)現(xiàn)的。只要單獨(dú)質(zhì)押者不參與 51% 攻擊（無(wú)論是最終性逆轉(zhuǎn)還是審查），這種攻擊就不會(huì)獲得「干凈利落的勝利」，并且單獨(dú)質(zhì)押者會(huì)積極幫助組織少數(shù)派軟分叉。

抗量子性

Metaculus 目前認(rèn)為，盡管誤差較大，但量子計(jì)算機(jī)很可能在 2030 年代的某個(gè)時(shí)候開(kāi)始破解密碼學(xué)：

量子計(jì)算專(zhuān)家，例如 Scott Aaronson，最近也開(kāi)始更加認(rèn)真地考慮量子計(jì)算機(jī)在中期內(nèi)實(shí)際工作的可能性。這對(duì)整個(gè)以太坊路線圖都有影響：這意味著目前依賴于橢圓曲線的每個(gè)以太坊協(xié)議部分都需要某種基于哈希或其他量子抗性的替代方案。這特別意味著我們不能假設(shè)我們將能夠永遠(yuǎn)依靠 BLS 聚合的優(yōu)異特性來(lái)處理來(lái)自大型驗(yàn)證器集的簽名。這證明了在權(quán)益證明設(shè)計(jì)性能假設(shè)方面的保守性是合理的，也是更積極地開(kāi)發(fā)量子抗性替代方案的原因。

AD：

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。