加密世界的演化:五年时间走了多远?_区块链:IFT

编者按:本文来自蓝狐笔记,作者:VitalikButerin,由“蓝狐笔记”的“SIEN”翻译,Odaily星球日报经授权转载。

前言:本文作者是VitalikButerin,他回顾了五年前其列出的加密世界要解决的难题,然后重新审视了这些问题的现状。我们可以看到很多问题都取得了进展,同时也有很多问题悬而未决。虽然现在和未来的挑战巨大,但我们看到了更多的信心,加密世界曾经很原始,现在也很初级,但五年来一直没有停下前进的脚步,未来将会递增式的进步,直到有一天爆发式的突破。距离这一天也许还有些遥远,但由于累积的技术和智慧,冲破黎明前的黑暗,终将在技术和主流采用上迎来光明。2014年,我曾发表过文章和演讲,其中提到在数学、计算机科学以及经济学方面的一系列难题,当时我认为它们对加密领域走向成熟至关重要。五年过去了,情况发生了很大改变。我们认为重要的问题究竟取得了多大的进展?我们在什么方面取得成功?在什么方面失败了?对于什么是重要问题,我们改变了哪些看法?本文将会逐个梳理从2014年来的16个问题,来看看这些问题的如今现状。最后,我会列出在2019年选择的新难题。这些问题可分为三类:加密学,如果它们会被完全解决,则可以用纯数学方法来解决;共识理论,对PoW和PoS的大幅度改进经济学,与创建涉及不同参与方的激励结构相关,且通常更多涉及应用层而不是协议层。在所有这些类别上我们都看到取得显著的进展,尽管有些领域进展更大。一、加密学问题

1.区块链的可扩展性加密领域如今面临的最大问题之一是扩展性问题。对“超大区块链”的主要担心是信任:如果只是少数的主体能够运行全节点,那么,这些主体可以合谋并同意给予它们自己大量额外的比特币,那么,其他用户无法看到区块是无效的,除非他们自己处理整个区块。问题:创建一种区块链设计,可以维持类似于比特币的安全保证,但是,其中维持网络运行所需的最强节点的最大大小在交易数量中基本上是次线性的。现状:理论上取得重大进展,需要更多落地层面的评估可扩展性是我们在理论上已取得巨大进展的技术问题。五年前,几乎没有人考虑过分片。现在,分片设计很常见。除了以太坊2.0,我们还有OmniLedger、LazyLedger、Zilliqa以及似乎每个月都会有研究论文发表。以我的看法,这一点上的未来进展是递增的。从根本上,我们已经有一系列的技术,它们允许验证者组就更多的数据安全地达成共识,要比单个验证者能处理的数据多得多,同时,这些技术也允许用户间接地验证区块的全部有效性和可用性,即使处于51%攻击的情况下。下面的这些可能是最重要的技术:随机抽样,允许随机选择的小委员会从统计学上代表完整的验证者集:https://github.com/ethereum/wiki/wiki/Sharding-FAQ#how-can-we-solve-the-single-shard-takeover-attack-in-an-uncoordinated-majority-model欺诈证明,允许获悉错误的个体节点将其传播给其他所有人:https://bitcoin.stackexchange.com/questions/49647/what-is-a-fraud-proof托管证明,允许验证者概率性地证明他们单独下载并验证了一些数据:https://ethresear.ch/t/1-bit-aggregation-friendly-custody-bonds/2236数据可用性证明,允许客户检测其区块头所在的区块主体何时不可用。https://arxiv.org/abs/1809.09044。此外也可参阅新的编码Merkletree提案。还有其他的一些进展,例如通过收据进行的跨分片通信,以及“常数”增强功能,例如BLS签名聚合。也就是说,完全分片的区块链还没有实现上线运行,部分分片的Zilliqa最近已经开始运行。从理论上,还存在关于剩余细节的争议,同时也涉及一些挑战:分片网络的稳定性、开发者经验以及减轻中心化的风险。基本的技术可能性方面似乎不再有什么可怀疑的。但是,挑战终归是挑战,如果只是思考它们,是无法解决的。唯有开发系统和观察以太坊2.0或其他类似链的线上运行才能解决挑战。2.时间戳问题:创建分布式的激励兼容系统,不管它是区块顶层的叠层,或者是其自身区块链,都使当前时间保持较高的准确性。所有合法用户都有正态分布的时钟,围绕某个“真实”时间分布,标准偏差为20秒。没有两个节点的时间偏差允许超过20秒,以依赖于现有的“N个节点”的概念。实际上,这可以通过PoS或非女巫代币强制执行。系统应持续提供大于99%诚实参与节点的内部时钟的120秒内的时间。外部系统可能最终依赖于此系统;因此,无论动机如何,它应保持安全,以防攻击者控制不超过25%的节点。现状:有些进展以太坊实际上在13秒的区块时间内存活下来,还没有特别先进的时间戳技术;它使用一种非常简单的方法,其中客户端不会接收这样的区块:其声明的时间戳早于客户端本地时间的区块。也就是说,它还没有在严重攻击下经受考验。最近的网络调整后的时间戳提案试图在客户端没有从本地获悉高精确时间的情况下允许客户端确定共识,以此来改善现状。这还没有得到验证。但,从总体来说,时间戳并不是当前研究挑战的前沿。或许一旦有更多的PoS链上线运行后,这会发生改变,我们会看到问题所在。3.任意计算证明问题:创建程序POC_PROVE(P,I)->(O,Q)和POC_VERIFY(P,O,Q)->{0,1},以便POC_PROVE在输入I上运行程序P,并返回程序输出O以及计算证明Q,以及POC_VERIFY取P,O以及Q和输出,无论Q和O是否由POC_PROVE算法使用P合法生成。现状:理论和实践上都取得巨大进展这基本上是说,构建一个SNARK。我们已经搞定了。有越来越多的人理解SNARK,且如今正在被多个区块链所采用,其中也包括以太坊上的tornado.cash。SNARK作为隐私技术和可扩展性技术,都非常有用。效率方面依然存在挑战;实现算术友好的哈希函数是个大问题,而高效的证明随机内存访问是另外一个问题。此外,还存在一个悬而未决的问题,即证明时间的O(n*log(n))增大是否是基本的限制,或者是否有方法仅用线性开销实现简洁证明,如bulletproof一样。还存在现有方案有漏洞的风险。通常,这些问题在于细节问题,而不是根本问题。4.代码混淆创建混淆函数O是圣杯,这样,给定任何程序P,混淆函数都可以产生第二个程序O(P)=Q,从而如果给定相同的输入,则P和Q返回相同的输出,并且重要的是,Q并没有泄漏任何关于P内部的信息。人们可以在Q内部隐藏密码、秘密加密的密钥、或者可以简单地使用Q来隐藏算法自身的专利工作。现状:进展缓慢用大白话来说,这个问题是在说我们想要找出一种方法来“加密”程序,这样被加密的程序仍然能够为相同输入提供相同的输出,但该程序的“内部信息”会被隐藏。“混淆”用例的一个例子是包含私钥的程序,其中该程序仅允许用私钥来对某些消息进行签名。代码混淆的解决方案对区块链协议来说非常有用。其用例是微妙的,因为必须处理这种可能性:在链上混淆的程序将被复制且运行在不同于链本身的环境中,但有很多可能性。一个让我个人感兴趣的功能是:从抗合谋的小工具中移除中心化的操作者,其方式是用包含一些工作量证明的混淆程序来取代操作者,因此,要尝试确定各个参与者的行为,使用不同的输入多次运行会非常昂贵。遗憾的是,这依然是个难题。在解决这个问题方面,正在持续进行工作,一方面,正在进行构建,以减少对我们实际上不知道的数学对象上的假设数量,另一方面,尝试对所需的数学对象进行实际执行。然而,所有这些路径都离创建可行和已知的安全性还很遥远。关于这个问题,可参阅https://eprint.iacr.org/2019/463.pdf以获得更一般的概述。5.基于哈希的加密学问题:创建一种安全算法,它不依赖于安全假设而是依赖于哈希值的随机预言机属性,该属性可以保持具有最佳大小和其他属性的传统计算机等同的160位比特的安全性。现状:有些进展从2014年以来,这方面取得了两大进展。SPHINCS是一种“无状态”签名方案,它在这些“难题”列表提出后不久发布了,并提供大小约为41kb的纯基于哈希的签名方案。此外,也已经开发了STARK,并且可以基于它们创建类似大小的签名。不仅是签名,同时通用目的的零知识证明也是可以仅通过哈希值就有可能实现,这是我在五年前没有预料到的;对于这种情况,我感到非常高兴。就是说,大小仍然是个问题,且不断的进步在继续减少证明的大小,尽管看上去未来的进展会是逐步的。基于哈希的加密学尚未解决的主要问题是聚合签名,类似于BLS聚合使其成为可能。众说周知,我们可以对许多Lamport签名进行STARK,但这效率低下;更高效的方案会是受欢迎的。二、共识理论问题

6.抗ASIC的PoW解决该问题的一种方法是基于一种很难专门化的计算类型来创建工作量证明算法......对有关抗ASIC硬件的深入讨论,可参阅https://blog.ethereum.org/2014/06/19/mining/现状:已尽力解决在“难题”列表发布6个月之后,以太坊决定采用其抗ASIC的工作量证明算法:Ethash。Ethash被称为内存难解的算法。该理论是说,常规计算中的随机RAM已经取得很好优化,因此对专门应用来说很难有更大的提升。Ethash旨在通过将内存访问成为运行PoW计算的主导部分来实现抗ASIC。Ethash并不是第一个内存难解的算法,但它确实增加了一项创新:它在两层DAG上使用伪随机查找,从而提供两种评估函数的方式。首先,如果一个人有整个DAG,则可以快速计算它;这是内存难解的“快速通路”。其次,如果一个人只有DAG的顶层,那么,计算它会慢得多;这用于区块验证。Ethash在抗ASIC方面被证明是非常成功的。在经过三年和数十亿美元的区块奖励之后,ASIC确实也存在,但其算力和成本效率只比GPU高2-5倍。ProgPoW被提出来作为替代方案,但不断增长的共识认为,抗ASIC算法将不可避免地存在有限的生命周期,并且抗ASIC也有缺点,因为它让51%的攻击更便宜。我相信,可以创建能达到中等级别的抗ASIC的PoW算法,但这种抗ASIC也是有期限的,且ASIC和抗ASIC都有缺点。从长远看,区块链共识算法的更好选择是PoS。7.有用的PoW使得工作量证明功能同时有用。常见的“有用”候选者是类似于Folding@home这样的,它是现有的程序,其用户可以下载软件到自己的计算机上,模拟蛋白质折叠并给研究人员提供大量的数据,以帮助他们治愈疾病。现状:可能不可行,只有一个例外。有用的工作量证明所面临挑战是,工作量证明算法需要很多属性:难以计算易于验证不依赖大量外部数据可用小“字节-大小”的块进行有效计算遗憾的是,没有多少“有用”的计算拥有全部这些属性,并且大多数有这些属性的“有用”计算只是“有用”的时间太短,无法基于它们构建加密货币。然而,有一个可能的例外:零知识证明的生成。区块链有效性方面的零知识证明难以计算但易于验证。此外,他们很难计算。如果“高度结构化”计算的证明变得很容易,则可以简单地切换到验证区块链的整体状态转换,由于需要对虚拟机建模和随机内存访问,因此这会变得非常昂贵。区块链有效性的零知识证明为区块链用户提供了巨大的价值,因为它们可以替代直接验证链的需求。尽管是简化的区块链设计,而其可验证性进行了极大的优化,Coda在做这个事情了。这些证明可以极大地帮助改善区块链的安全性和可扩展性。也就是说,实际需要完成的计算总量仍然远远小于当前PoW矿工当前完成的计算量,因此,其充其量不过是PoS区块链的附加项,而不是完整的共识算法。8.PoS解决挖矿集中化问题的另外一个方法是完全取消挖矿,并转向其他机制来计算共识中每个节点的权重。迄今为止,讨论中最流行的替代方法是PoS,也就是说,不是将共识模型视为“一CPU算力一票”,而是变成“一币一票”。现状:理论上取得巨大进展,现实落地有待更多评估在2014年底之前,对PoS社区来说,这一点越来越清晰:某种形式的“弱主观性”是不可避免的。为了维持经济安全,节点在首次同步时需要获取最近的检查点协议,如果节点离线超过几个月则需要再次获取。这是难以下咽的药。许多PoW拥护者仍然坚持PoW,因为在PoW链中,可以发现链的“头部”,作为可信来源的唯一数据。然而,PoS的拥护者愿意吞下这个药丸,因为增加的信任要求并不大。从那里开始,通过长期安全抵押资产通往PoS的路径变得明晰。如今,最让人感兴趣的共识算法从根本上类似于PBFT,但它用动态列表替换了固定的验证者集,任何人都可以通过发送代币到具有时间锁定的系统级智能合约中来参与验证。在很多情况下,也包括以太坊2.0,这些算法通过惩罚那些在某些方面违法协议的恶意验证者来实现“经济最终性”。直到今天,我们有很多算法,其中包括:CasperFFGhttps://arxiv.org/abs/1710.09437Tenderminthttps://tendermint.com/docs/spec/consensus/consensus.htmlHotStuffhttps://arxiv.org/abs/1803.05069CasperCBChttps://vitalik.ca/general/2018/12/05/cbc_casper.html以太坊2.0的Phase0阶段,以太坊链会实施FFG,目前正在实施中,并已经取得巨大的进展。此外,Tendermint以Cosmos链的形式已经运行了好几个月。在我看来,关于PoS的剩余争论与优化经济激励和进一步规范应对51%攻击的策略有关。此外,CasperCBC规范仍可以使用具体的效率改进。9.存储证明解决这个问题的第三种方法是使用稀缺的计算资源而不是计算能力或代币。在这方面,两个主要的替代方案已经提出,是存储和带宽。原则上,没有办法提供给定或使用带宽的事后加密证明,因此,带宽证明应最准确地视为社会证明的一个子集,这在后面的问题中会讨论。但存储证明是肯定可以通过计算完成的。存储证明的优势是它完全是抗ASIC的,我们在硬盘驱动器中的存储类型已接近于最优。现状:理论上取得了很多进展,尽管还有很多工作要做,同时也需要更多的落地评估有很多计划使用存储证明协议的区块链,其中包括Chia和Filecoin。也就是说,这些算法还没有经过实战检验。我个人的主要担心是在集中化:这些算法实际上由使用闲置存储容量的较小用户主导?还是由大型矿场主导?三、经济学

10.价值稳定的加密货币比特币其中的一个主要问题是其价格的波动性。问题:构建具有稳定价格的加密货币。现状:有些进展MakerDAO现在已经上线,且持续稳定运行了近两年。它在其底层抵押资产价值下跌93%的过程中存活下来,现在发行超过1亿美元的DAI。它已经成为以太坊生态系统的支柱,很多以太坊项目已经集成了它或者正在集成它。其他合成代币的项目,例如UMA,也正在快速发展。然而,尽管MakerDAO系统从2019年艰难的经济条件下存活下来,但这绝不是可能发生的最困难情况。过去,比特币曾在2天内下跌过75%。未来,这有可能会发生在任何其他抵押资产上,其中ether也不例外。对底层区块链的攻击是更大的未经检验的风险,尤其是如果同时价格下跌又加剧了这种风险。另外一个主要的挑战,可能是更大的挑战,是类似于MakerDAO这样的系统的稳定性取决于某些底层的预言机机制。确实存在针对预言机系统的不同尝试,但关于在大规模的经济压力下它们能否承受得住的问题,依然没有定论。迄今为止,MakerDAO控制的抵押资产已经低于MKR代币的价值;如果这种关系发生逆转,MKR持有人可能会有集体动机来试图“掠夺”MakerDAO系统。有多种方法可以防止此类攻击,但它们尚未在实践中经受检验。11.去中心化的公共物品激励通常在经济系统中的挑战之一是“公共物品”问题。例如,假设有一个需要花费100万美元完成的科学研究项目,假设大家都知道,如果它完成了,那么研究结果将会为100万人每人节省5美元。总体来衡量,社会效益是很清楚的。但是,从做贡献人员的视角看,这是没有意义的。迄今为止,大多数公共物品的问题都涉及集中化附加假设和要求:存在完全可信的预言机,它可以确定特定公共物品任务是否已经完成现状:取得一些进展一般认为,资助公共物品的问题分为两个问题:资金问题、偏好汇总问题。本文假设后者已经解决,主要聚焦于前者问题。总体来说,这里还没有取得新的重大突破。解决方案分为两大类。首先,我们可以尝试引导出个人的贡献,为作出贡献的人给予社会回报。我个人的建议是通过边际价格歧视进行的慈善就是其中的一个例子。另外一个是Peepeth上的抗疟疾捐款徽章。其次,我们可以从具有网络效应的应用中筹集资金。在区块链领域,有几种选择可以做:发行代币在协议层面收取一部分交易费用从一些layer-2应用收取一部分交易费用收取其他类型的费用在区块链行业之外,这是一个古老的问题:如果你是政府该如何收税,或如果你是公司或其他组织该如何收费。12.声望系统问题:设计正式的声望系统,包括分数rep(A,B)->V,其中V是从A角度对B评价的声望,一种确定一方可以被另一方相信的的概率机制,以及提供特定公开或最终互动记录的声望更新机制。现状:进展缓慢从2014年到现在声望系统并没有太多工作进展。或许最好的办法是使用代币管理注册表来创建可信实体/对象的管理列表。KlerosERC20TRC是一个案例,甚至Uniswap有可替代的界面接口,使用它作为后端来获取列表的代币和标记及徽标。具有主观多样性的声望系统还没有被真正尝试过,这可能是因为没有足够的以某种形式发布到链上的人们相互连接的“社会关联图”信息。如果此类信息因为某种原因而开始存在,那么,主观声望系统可能会变得更加流行。13.卓越证明一种有趣且很大程度上未开发的专门解决分配问题的解决方案是使用对社会有用的任务,但需要原始的人类驱动创造力和才能。例如,一个人可以想出“对证明的证明”代币来奖励给出特定定理的数学证明的玩家。现状:没有进展,很大程度上被遗忘。代币分配的主要替代方法是空投;通常,代币在发布时进行分配要么是根据现有的某些代币的持有比例进行分配,要么是基于其他的一些指标。还没有真正尝试如何去直接验证人类的创造力,并且随着AI最新的发展,创造只有人类能解决但计算机可以验证的任务可能会非常困难。14.抗女巫攻击系统这是一个与“声望系统”问题有一些相关的问题,它是创建“唯一身份系统”的挑战,它是一个生成代币的系统,可以证明某个身份不是女巫攻击一部分。然而,我们想要有一个更好更平等功能的系统,而不是“一美元一票”的系统;可以说,一人一票是理想的选择。状态:有些进展已经有许多尝试在解决人类唯一身份的问题。其中想到的尝试包括:HumanityDAOhttps://www.humanitydao.org/Pseudonympartieshttps://bford.info/pub/net/sybil.pdfPOAP(proofofattendanceprotocol)https://www.poap.xyz/BrightIDhttps://www.brightid.org/随着人们对一些诸如二次投票和二次融资(quadraticfunding)之类的技术越来越感兴趣,对某种基于人的抗女巫系统的需求也在不断增长。希望这些技术的持续开发和新的方案能够满足它的需求。15.去中心化的贡献指标遗憾的是,激励公共物品的生产并不是中心化解决的唯一问题。另外一个问题是首先要确定哪些公共物品值得生产,其次是确定某种特定努力实际上在多大程度上完成公共物品的生产。这一挑战涉及后一个问题。现状:有些进展,在重点方面有些改变。关于确定公共物品贡献价值的最新工作并没有试图将确定任务和确定完成质量分开;原因是两者在实践中很难分开。特定团队完成的工作往往是不可替换且很主观的,因此最合理的方法是将任务和完成质量的相关性视为一个整体,并使用相同的技术对其进行评估。幸运的是,在这个方面取得了巨大的进步。尤其是发现了二次融资。二次融资是个人可以给项目提供捐赠的机制,然后基于捐赠人数和捐赠数额,如果彼此完美协调,可以使用公式计算他们要捐赠多少对任何特定项目而言,想要捐赠多少和实际捐赠多少之间的差额将从某个中央资金池中获得补贴。请注意,这种机制侧重于满足一些社区的价值,而不是满足某些特定目标,而不管是否有人在乎它。由于价值问题的复杂性,这种方法对于未知的未知数来说可能更加强健。二次融资在实践中已经被尝试,在最近的gitcoin二次融资轮中取得了相当大的成功。在改善二次融资和类似机制上取得一些递增的进展;尤其是,成对的二次融资以减轻合谋现象。也有关于反贿赂投票技术的规范和实施工作,防止用户向其投票的第三方进行证明;这可以防止多种合谋和贿赂攻击。16.去中心化的成功指标问题:拿出并实施衡量现实世界数值变量的去中心化方法。该系统能够衡量人类当前可以达成大致共识的任何东西。状态:有些进展现在通常将这个问题被称为“预言机”问题。去中心化预言机运行的最大已知实例是Augur,它已经处理了数百万美元的下注结果。如KlerosTRC这样的代币管理注册是另外一个案例。然而,这些系统依然未经受现实世界分叉机制的考验,因为要么由于高度争议问题,要么因为51%的攻击。还有关于对预言机问题的研究,这些问题以“同行预测”文献形式发生在区块链领域之外。另一个迫在眉睫的挑战是,人们试图依赖于这些系统来转移大于其系统原生代币价值总量的资产。代币持有人理论上有动机合谋给出错误答案以偷取资金。在这种情况下,系统会分叉,而原生系统代币将会变得毫无价值,但原生系统代币持有人将会获得他们错误转移的任何资产所带来的回报。稳定币是一个尤其糟糕的例子。解决该问题的一种方法是,系统假定确实存在有利他的诚实数据提供者,并创建一种机制来识别他们,并且只允许他们缓慢行动,以便如果恶意行为者开始在系统的用户中开始投票,而依赖于预言机的这个系统可以首先完成有序退出。无论如此,预言机技术的更多发展是非常重要的问题。新问题如果我要在2019年再次列出难题,一些是上述问题的延续,但重点会发生很大变化,同时还会出现新的重大问题。以下是选择的列表:加密混淆与上面第4个问题相同正在进行的后量子加密工作同时基于哈希和基于后量子安全的“结构化的”数学对象。即椭圆曲线等值线,格密码......反合谋基础设施正在进行的工作和完善https://ethresear.ch/t/minimal-anti-collusion-infrastructure/5413,也包括增加针对操作者的隐私,以最大程度的实际方式增加多方计算等。预言机跟第16个问题相同,但不再强调“成功指标”,更侧重于通用的“获取现实世界数据”问题。唯一人类身份,或者更现实地是半唯一人类身份跟第14个问题相同,但更强调更少的“绝对”解决方案:相比于获得一个身份,获得两个身份要难得多,但即使我们成功了,这也让获得多个身份是既不可能也可能是有害的。同态加密和多方计算实用性仍需要持续改进去中心化的治理机制DAO很酷,但当前的DAO仍然很原始,我们可以做得更好。全面规范对PoS51%攻击的回应正在进行的工作和完善https://ethresear.ch/t/responding-to-51-attacks-in-casper-ffg/6363更多公共物品融资的来源理想的做法是对具有网络效应的系统内的拥堵资源进行收费,但在分布式系统中这样做需要公共合法性;因此,这是一个社会问题,也是寻找可能来源的技术问题。声望系统与上述的第12个问题相同。通常来说,基础层问题进展缓慢但肯定会减少,而应用层问题才刚刚开始。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:46ms0-3:972ms