区块链权益证明（PoS）去中心化问题：主观性和远程攻击

与工作量证明相比（PoW）客观、直觉、易验证，权益证明以过去状态为共识基础，正确性环环相扣。
工作量证明vs 权益证明
工作量证明作为比特币发明之初的共识机制，最大的优势是简单：矿工需要计算100兆次，验证只需要计算正确的时间，容易防御，难以攻击，但缺点也很明显，的无意义操作是浪费资源。
权益证明放弃低效的挖掘猜测数字游戏，通过投票达成共识。任何持有一定数量货币的人都可以参与投票，多票胜利。
安全沉淀易于验证
相较于权益证明，验证需要有过去每个人的持币量的先备知识，工作量证明简单粗暴，你不需要知道币的分布、全局状态、过去的任何一笔交易，只要看区块头就知道合法，所以如果你有天不小心在路边捡到两条链，没什么好犹豫的，更长、累积工作量更多的链就是对。
基于物理规则，工作量证明区块链上的交易不仅安全，而且在矿工打包后。随着未来更多的块被连接，块被追溯的概率越来越低，即交易「沉淀」去更深更安全的地方。因此，我们经常看到交易所和家会有「n 个区块」确认等待设计，就是等待钱变得更像不会跑掉。
最终的区块链
权益证明区块链没有安全沉淀效应，因为「区块X 的正确性」仰赖「区块X-1 的正确性」，又仰赖X-2,X-3,…，因此，如果你对整个区块链的状态一无所知（谁有多少硬币），无论你给你多少证据，你都可能无法说服你。毕竟，伪造区块的成本非常非常低，即状态转移。
然而，股权证明的支持者会告诉你，我们有最终性（finality）这个工作量证明了没有什么好的。换句话说，如果你确信区块X-1 是对的，当区块X 产生的瞬间对你来说永远是对的，根本不需要等任何沉淀。
原因很简单，因为工作量证明的潜在矿工是未知的、无限的，很难知道世界上有多少设备可以挖掘，这甚至超过了时间跨度，也就是说，未来的计算能力可能会回来挖掘当前的块，所以只要越来越安全，就永远不可能相信100% 不会被逆转。如果一个外星人拿出一台不同维度的计算机，并立即超过全球计算机计算能力，区块链上的任何交易都可能被逆转。
此时，证明权益的有限矿工非常重要。「区块X 是否正确」问题是，有投票权的母亲只是「所有在区块X-1 持有货币的人」，当这群人中的2/3 已经投票(并且保证不会跑票)时，区块X 永远敲定。

主观性
回到「有一天，你不小心在路边捡到了两条链」当然，专业节点/矿工的情况不是问题。他们随时同步新区块，总能根据共识规则选择边站。然而，业余用户不可避免地会离线很长时间，然后回来。有一天，当你连接到互联网时，你会发现两组人给你传递了两条完全不同的链条。在权益证明的情况下，你不能立即知道选择哪一方。甚至可以说，即使你在离线期间补充了每个块，这两条链的好坏仍然取决于感觉。这取决于你相信谁，也就是说「主观」的。
克服业余节点近用区块链主观威胁的唯一唯一的办法就是在每个区块输出时立即达到最终(不分叉)，但这相当于要求「每一个矿工」都「永远活跃在线」且「了解状态和每笔交易」并「随时投票」，这样的标准太严格了，很容易使新区块难以生产，甚至整个链条停滞，实际上是不可行的。
远程攻击
在共识算法的设计中，最重要的指标是「抗恶意行为」程度。工作量证明的术语「51% 攻击」只要他们掌握的计算能力不超过整个系统的一半，区块链就能容忍一些坏人。
对于攻击发起人，我们只能假设他不太强大；对于其他诚实中立的参与者（共识体系中没有善意的概念），我们希望引导他们通过设计经济机制来促进共识收敛。
当工作量证明系统分叉时，矿工选择在短链上挖掘是不划算的，因为挖掘奖励可能会消失，浪费计算能力。理论上，证明权益的矿工在两个分叉上存款是可行的，因为他们不需要真正使用设备。但是，如果每个矿工都这样做，分叉永远不会收敛。为了强迫矿工选择，我们将惩罚在同一块高度的不同块投票的人，减少挖掘奖励，甚至没收资金。
可以说，权益证明在处理分叉上更加强大。如果工作量证明的矿工双方都在挖掘，他们最多不会赚钱；权益证明，如果矿工双方都在挖掘，他们不仅不会赚钱，甚至会失去本金，而且他们的恐惧明显大得多。然而，当攻击目标是遥远的过去时，权益证明比工作量证明更脆弱，甚至无助。
如前所述，工作量证明的区块链具有持续沉淀的安全性，恶意攻击最近的区块可能是可行的，但恶意攻击一年前的区块必须重做一年的工作量，成本超高，容易被发现。相比之下，权益证明区块链的会计不需要物理消耗设备和电力，攻击一分钟的区块的成本几乎与一年前的区块相同。
想象一下一年前有人秘密掌握了大部分货币(投票权)，一年内表现正常，从不作恶，然后慢慢卖出货币退出。但就在完全脱手后，他突然从一年前占据一半以上投票权的时间点伪造了整个一年的历史，一条完全被他伪造的分叉链。对于不知情的节点，这条链完全合法。对于其他节点，即使他想惩罚他(他确实有重复投票)，他也没有货币可以在主链上受到惩罚。这就是所谓的远程攻击（long range attack）。
缓解主观性和远程攻击的方案
对于工作量证明链，矿工和货币持有人脱钩，否则权益证明。股权证明的问题基本上是共识机制与区块链状态高度耦合的后遗症。共识有效性、活动、轻节点实施等问题必须由额外的机制处理。
链外共识
一种简单有效的方法是定期发布区块链的里程碑（milestone），这种方法适用于工作量证明和权益证明。比如圣人明君，伟大全能的以太坊创始人Vitalik，可固定在他的Twitter发布整数块block hash，告诉你，第九百万元是0x388f34dd9....d8e142960e3不会错，甚至直接更新节点实作，在程式码中写下里程碑，可以有效引导新加入的节点不会走到坏人的链上，可以称之为PoS PoR (reputation)的共识机制。
合并工作量证明
另一种方法是合并使用两种共识机制。例如，2018年 将上线，但突然被整个团队切断Casper FFG，原来的计划ETH 1.在0 链上叠加一层由智能合同实施的权益证明。也就是说，原矿工仍然负责块，然后让货币持有人投票进行双重验证。矿工不再只跟随最长的链，而是考虑链是否违反了投票结果。它不仅可以享受最终还可以积累工作量，以避免远程攻击。
但后来以太坊开发者的大头们决定放弃这个版本，直接推出一步到位PoS sharding 的真?ETH 2.0.预计这个版本也会有合并工作量证明，但不是原来的双轨制，而是一种叫做VDF 的特殊演算法 特殊硬体提供工作量和重要链上的随机数量生产器（RNG）。
VDF (verifiable delay function) 与原采矿有点不同，虽然也具有计算困难验证容易的特点，但不能依靠堆叠矿机平行加速，而是使用一些硬件制造商联合开发可信机，确保计算时间总是在一定范围内，从而提供类似工作量证明的客观性和安全沉淀。
中心化
回到权益证明区块链高度耦合的问题，本质上是「证明自己是对的」困境。实际上，为了能够运行，为了避免一年前矿工的超时空打击，必然会有比工作量证明更多的信任环节：相信节点实践给出的信任根源（如genesis block）、相信其他节点提供的状态，相信验证人和矿工不会作恶或联合审查。
实际上，为了确保可用性和活动，不可避免地会接受一些不同程度的集中妥协计划。不同之处在于，你更愿意相信社区之神的声誉，或者硬件制造商不会秘密地做改进设备的职业道德。但话说回来，工作量证明也有自己的集中问题，大矿池，ASIC 制造商垄断等，没有系统可以确保完全分散，只能在已知可用的几个方案中，尝试选择更好的，寻求稳定的进步。

热点：ETH 以太 以太坊 区块链 比特币 比特币 比特币发明 计算机