編者注：本文為 Taipei Ethereum Meetup 社區(qū)成員邱駿的譯作，譯自 2018 年 8 月 Vitalik 介紹 Casper 發(fā)展歷程的長(zhǎng)推特。一年過(guò)去，Eth2 0 的分

編者注：本文為 Taipei Ethereum Meetup 社區(qū)成員邱駿的譯作，譯自 2018 年 8 月 Vitalik 介紹 Casper 發(fā)展歷程的長(zhǎng)推特。一年過(guò)去，Eth2.0 的分叉選擇規(guī)則已確定為 LMD Ghost，而非 Vitalik 在該長(zhǎng)推特中表示偏愛(ài)的 IMD Ghost，但文中提到的 Casper 的觀(guān)念演變史，仍足一觀(guān)。

前言

以太坊針對(duì) PoS 共識(shí)模型的研究最早始于 2014 年，這些研究后來(lái)演變成目前廣為人知的 Casper the Fridenly Finality Gadget(FFG) / Correct by Construction(CBC)兩種共識(shí)模型，它們分別由兩個(gè)不同的團(tuán)隊(duì)開(kāi)發(fā)且存有不少差異。

Vitalik 用一系列推文簡(jiǎn)述了從 2014 以來(lái) Casper 的開(kāi)發(fā)脈絡(luò)，由于中文社群仍缺乏針對(duì) Casper 開(kāi)發(fā)路線(xiàn)相關(guān)的總結(jié)，因此譯者特將此系列推文翻譯成中文并且補(bǔ)上一些注解，希望可以成為開(kāi)發(fā)者或研究員在學(xué)習(xí) Casper 時(shí)的重要文獻(xiàn)，并期望讀者對(duì) Casper 設(shè)計(jì)理念有更直覺(jué)的理解。

為了避免讀來(lái)生硬，建議讀者先大略掌握 PBFT / Casper FFG / GHOST 的重要概念，PBFT 的部分可以參考譯者的這篇文章：若想搞懂區(qū)塊鏈就不能忽視的經(jīng)典：PBFT。最后要特別感謝以太坊基金會(huì)研究員梁智程(Chih-Cheng Liang)提供諸多素材與協(xié)助校閱。

以下正文開(kāi)始。

簡(jiǎn)介

我將要用一系列的推文來(lái)解釋以太坊 Casper 共識(shí)協(xié)定的研究歷史/脈絡(luò)/進(jìn)展，包括 FFG vs CBC 的爭(zhēng)論、混合模型到完全 PoS 的轉(zhuǎn)換、隨機(jī)性扮演的角色、共識(shí)機(jī)制的設(shè)計(jì)考量以及其他議題。

無(wú)利害關(guān)系問(wèn)題與遠(yuǎn)程攻擊

以太坊的權(quán)益證明研究始于 2014 年 1 月的 Slasher 協(xié)定。雖然 Slasher 演算法并不是非常理想，但它引入了一些重要觀(guān)念，特別是利用罰金來(lái)解決「無(wú)利害關(guān)系問(wèn)題(Nothing-at-Stake Problem)」。然而，我所使用的罰金相當(dāng)少，單只取消投票獎(jiǎng)勵(lì)。Vlad Zamfir 于 2014 年中加入了，他迅速引入驗(yàn)證者必須押金的方法。押金是比獎(jiǎng)勵(lì)還大的數(shù)字，做出錯(cuò)誤的行為將會(huì)使押金被取走(這里是 Vlad 的覆述)。

我們花了 2014 下半年的大部分時(shí)間試著解決「遠(yuǎn)程攻擊(Long-Range Attack)」，攻擊者可以將他們的押金從主鏈提領(lǐng)出來(lái)，并且形成另一條具有更多簽名的攻擊鏈，如此欺騙新加入的節(jié)點(diǎn)，讓他們以為攻擊鏈?zhǔn)且粭l主鏈。如果攻擊鏈與主鏈分叉的時(shí)間點(diǎn)距離當(dāng)前相當(dāng)近，攻擊鏈不會(huì)造成問(wèn)題，因?yàn)轵?yàn)證者若在兩條鏈上同時(shí)對(duì)兩個(gè)互相抵觸的訊息簽名，則這個(gè)簽名可以當(dāng)成懲罰驗(yàn)證者的證據(jù)來(lái)沒(méi)收押金;但是若分叉發(fā)生在很久之前(因此被稱(chēng)為遠(yuǎn)程攻擊)，攻擊者可以取出押金以避免被沒(méi)收。

我們最后得出：遠(yuǎn)程攻擊是無(wú)法避免的，原因大致跟 PoW 擁護(hù)者所說(shuō)的差不多。然而，我們沒(méi)有接受他們的結(jié)論。因?yàn)槲覀儼l(fā)現(xiàn)：我們可以引入兩個(gè)額外的安全假設(shè)來(lái)解決遠(yuǎn)程攻擊：1.節(jié)點(diǎn)至少每 4 個(gè)月要登入一次(押金要花 4 個(gè)月提領(lǐng));2.節(jié)點(diǎn)直接拒絕 4 個(gè)月以上的回溯。

這對(duì) PoW 擁護(hù)者來(lái)說(shuō)是個(gè)令人厭惡的肉中刺，因?yàn)檫@感覺(jué)是一個(gè)「信任假設(shè)」：每一次同步區(qū)塊時(shí)，你必須先信任某個(gè)來(lái)源以取得區(qū)塊鏈。但是對(duì)我們這些齷齪的主觀(guān)主義者來(lái)說(shuō)，這不是大問(wèn)題：不管在哪一種情況，你都需要某個(gè)可信來(lái)源告訴你區(qū)塊鏈所使用的共識(shí)規(guī)則(也別忘了軟件更新)，所以 PoS 所需的額外信任并不大(這里是 Vlad 的覆述)。

確立了押金及罰金的使用后，我們接下來(lái)要決定它們「是什么」。我們知道我們希望的是「經(jīng)濟(jì)敲定性」，驗(yàn)證者將會(huì)基于以下方式對(duì)區(qū)塊簽名：一旦一個(gè)區(qū)塊被敲定，如果要敲定一個(gè)沖突的區(qū)塊，則必須要有大部分的驗(yàn)證者簽出與自己先前訊息沖突的訊息。但對(duì)于這樣的訊息，可以被鏈偵測(cè)并懲罰。

我寫(xiě)了一篇又臭又長(zhǎng)又離題的「賭注共識(shí)」文章。賭注共識(shí)是一個(gè)有趣的提案：驗(yàn)證者下注哪一個(gè)區(qū)塊會(huì)被敲定，而賭注決定了哪一個(gè)鏈會(huì)形成共識(shí)。PoW 也具有這樣的性質(zhì)，因?yàn)橥诘V是一種賭注。如果你賭注在對(duì)的鏈上，你會(huì)獲得獎(jiǎng)勵(lì);如果你賭注在錯(cuò)的鏈上，你失去挖礦成本。

但在 PoS 我們可以有更高的賠率：驗(yàn)證者的賠率一開(kāi)始很低，但是隨著驗(yàn)證者看到彼此對(duì)于某個(gè)區(qū)塊的信心逐漸增加，所有人的賠率都會(huì)平行地指數(shù)上升，直到所有人都賭注同一個(gè)區(qū)塊，這就是敲定。

Casper CBC

同時(shí)，Vlad 開(kāi)始大量研究機(jī)制設(shè)計(jì)，特別是讓 Casper 更能抵抗寡占。我們也開(kāi)始研究受到古典拜占庭容錯(cuò)(BFT)啟發(fā)的共識(shí)，例如 Tendermint。Vlad 認(rèn)為古典 BFT 并沒(méi)有說(shuō)服力(他特別不喜歡 BFT 當(dāng)中的硬門(mén)檻，例如 2/3 的 PBFT 節(jié)點(diǎn)必須為誠(chéng)實(shí)節(jié)點(diǎn))，他想透過(guò)一個(gè)他稱(chēng)為「正確建構(gòu)(Correct by Construction, CBC)」的方法嘗試重新發(fā)明 BFT( Vlad 的原話(huà)：連結(jié) 1 / 連結(jié) 2 / 連結(jié) 3)。

正確建構(gòu)的哲學(xué)與傳統(tǒng) BFT 相當(dāng)不同的點(diǎn)在于「敲定」是完全主觀(guān)的。CBC 的哲學(xué)是，驗(yàn)證節(jié)點(diǎn)對(duì)訊息簽名，且若他們簽了與他們先前的訊息相抵觸的訊息，則他們必須提交一個(gè)「辯護(hù)(Justification)」以證明他們投票的新訊息與舊訊息相比之下有較多的支持，以取得「轉(zhuǎn)換」的權(quán)利。

為了偵測(cè)敲定性，節(jié)點(diǎn)尋求訊息的模式。這些訊息可以證明，多數(shù)驗(yàn)證節(jié)點(diǎn)以一種方式可靠地對(duì)某區(qū)塊 B 投票，且偏離 B 必須大部分驗(yàn)證者非法轉(zhuǎn)換投票。例如，若所有節(jié)點(diǎn)投給 B，則所有節(jié)點(diǎn)都投給「包含所有人對(duì) B 的投票的區(qū)塊」，這證明了他們支持 B 且知道其他所有人都支持 B，因此他們不會(huì)有轉(zhuǎn)換的合法理由。

最后我放棄了賭注共識(shí)，因?yàn)檫@個(gè)方法似乎有根本上的風(fēng)險(xiǎn)。我也回頭試著理解 PBFT 是怎么運(yùn)作的。雖然這花了一點(diǎn)時(shí)間，但過(guò)了幾個(gè)月后我搞懂了。

Casper FFG

我試著簡(jiǎn)化了 PBFT，將其放入?yún)^(qū)塊鏈的脈絡(luò)，并把它描述為 4 個(gè)「砍押金條件(Slashing Condition)」，這些規(guī)則闡述哪些訊息的組合是自我抵觸因此違反規(guī)則的。我定義了決定區(qū)塊是否敲定的規(guī)則并且證明了最關(guān)鍵的「安全性(Safety)」與「可行活躍性(Plausible Liveness)」：1.若某區(qū)塊被敲定了，則無(wú)法在不少于 1/3 驗(yàn)證者違反砍押金條件下敲定另一個(gè)抵觸的區(qū)塊;2.若某區(qū)塊被敲定了，2/3 誠(chéng)實(shí)的驗(yàn)證者總是可以合作以敲定新的區(qū)塊。

因此只要有 2/3 誠(chéng)實(shí)的驗(yàn)證者，演算法就不會(huì)推翻之前的決定(安全性)或卡住(活躍性)。最后我將砍押金條件從 4 條簡(jiǎn)化成 2 條，并發(fā)展成 Casper FFG —— 被設(shè)計(jì)成為任何 PoW/PoS/ 其他類(lèi)型區(qū)塊鏈提供敲定性的覆蓋層。

敲定性是一個(gè)非常重要的進(jìn)展：一旦區(qū)塊被敲定，無(wú)論網(wǎng)絡(luò)怎么延遲都能保證安全(不像 PoW 需要多個(gè)區(qū)塊確認(rèn))，而且回溯區(qū)塊需要超過(guò) 1/3 驗(yàn)證者作弊，且可被檢測(cè)出來(lái)且并銷(xiāo)毀押金。因此，回溯敲定性的成本可能會(huì)高達(dá)數(shù)億美元。透過(guò)不同的方式，Casper CBC 以及 FFG 都達(dá)到了這個(gè)特性。

要注意的是：Casper CBC 和 FFG 都是抽象的覆蓋層，他們都需要建立在某個(gè)現(xiàn)有的分叉選擇規(guī)則之上。用大白話(huà)講，Casper CBC 是敲定覆蓋層(上層)適應(yīng)分叉選擇規(guī)則(下層);而 Casper FFG 是分叉選擇規(guī)則(下層)適應(yīng)敲定覆蓋層(上層)。

FFG vs CBC

Vlad 最初對(duì)分叉選擇規(guī)則的偏好是「最新訊息驅(qū)動(dòng) GHOST(Latest Message-Driven GHOST, LMD GHOST)」 ——一種針對(duì) PoS 的改版 GHOST;而我最初的偏好是先采取「混合式 PoS(Hybrid PoS) 」，使用 PoW 作為基底的分叉選擇規(guī)則。

在最初版的 FFG 當(dāng)中，PoW 將會(huì)逐個(gè)區(qū)塊地運(yùn)作一條鏈，而 PoS 將會(huì)緊隨在后敲定區(qū)塊;Casper CBC 從一開(kāi)始就是完整的 PoS。同時(shí)，Vlad 跟我各自提出了共識(shí)誘因的理論。

這里有一個(gè)非常重要的區(qū)別是「唯一可歸責(zé)錯(cuò)誤(Uniquely Attributable Faults)」——你可以知道出錯(cuò)時(shí)誰(shuí)應(yīng)該負(fù)責(zé)而被懲罰，以及「非唯一可歸責(zé)錯(cuò)誤(Non-uniquely Attributable Faults)」——一個(gè)錯(cuò)誤可能是多方中的一方造成的。一個(gè)非唯一可歸責(zé)錯(cuò)誤的經(jīng)典案例是離線(xiàn) vs 屏蔽(Censorship)，也稱(chēng)為「言者-聽(tīng)者錯(cuò)誤等效性」(譯按：到底是言者沒(méi)講，還是聽(tīng)者沒(méi)聽(tīng)到，無(wú)法判定是誰(shuí)的錯(cuò))。

懲罰唯一可歸責(zé)錯(cuò)誤(Casper FFG 砍押金條件)是容易的;懲罰非唯一可歸責(zé)錯(cuò)誤則是困難的。如果你無(wú)法分辨區(qū)塊停止敲定是因?yàn)樯贁?shù)的節(jié)點(diǎn)離線(xiàn)或是因?yàn)槎鄶?shù)的節(jié)點(diǎn)正在屏蔽少數(shù)會(huì)怎么樣?針對(duì)這個(gè)議題目前有三種解法：1.輕微地懲罰兩邊;2.嚴(yán)厲地懲罰兩邊(Vlad 的偏好);3.將鏈一分為二，各自懲罰兩條鏈的其中一邊，且讓市場(chǎng)決定哪條鏈較有價(jià)值(我的偏好)?；蛘呖梢詤⒖嘉覍?xiě)的這篇。

2017 年 11 月，我把 Casper FFG 砍押金條件以及對(duì)由于「平方溢金(Quadratic Leak)」(譯按：隨著離線(xiàn)時(shí)間增加，對(duì)押金的少量扣減會(huì)平方增加)導(dǎo)致的 1/3 節(jié)點(diǎn)離線(xiàn)的問(wèn)題的解法寫(xiě)成論文。

當(dāng)然，我非常清楚訴諸社交層面來(lái)解決 51% 攻擊并不是很好，因此我開(kāi)始尋求至少能讓鏈上節(jié)點(diǎn)能自動(dòng)偵測(cè)「合法鏈」與「攻擊鏈」的方法。這是一個(gè)早期的想法。這想法還不錯(cuò)，但是仍不是最理想的，除非網(wǎng)絡(luò)毫無(wú)延遲，否則它只能保證節(jié)點(diǎn)之間嫌疑分?jǐn)?shù)差異的上限，而并非所有節(jié)點(diǎn)完全同意。

同時(shí)，我對(duì) Vlad 的模型的主要批判與「泄氣攻擊(Discouragement Attacks)」有關(guān)，攻擊者可以有效威脅要制造 51% 攻擊來(lái)造成所有人損失金錢(qián)，因而驅(qū)使所有其他人退出，因此只用極低的成本便能主導(dǎo)鏈。Vlad(以及 Georgios Piliouras)開(kāi)始建立經(jīng)濟(jì)模型以評(píng)估在他的模型之下進(jìn)行上述攻擊的實(shí)際成本。

值得一提的是，上述所有的議題并非為 PoS 獨(dú)有。事實(shí)上在 PoW 中，人們傾向直接放棄且假設(shè)預(yù)防 51% 攻擊幾乎不可能，且 51% 攻擊是必須不計(jì)代價(jià)避免的末日。但是，如同以太坊的傳統(tǒng)，Vlad 與我誤把「有野心的」這個(gè)詞當(dāng)成贊美，而繼續(xù)研究減緩以及恢復(fù) 51% 攻擊的不同方法。

2018 年初，Vlad 在 CBC 的研究開(kāi)始快速推進(jìn)，包括安全性證明的進(jìn)展。—看這個(gè)史詩(shī)般的 2 小時(shí)簡(jiǎn)報(bào)以跟上 2018 年 3 月為止的研究進(jìn)度同時(shí)，Casper FFG 也有了重大進(jìn)展，以合約的方式實(shí)現(xiàn)的決定使開(kāi)發(fā)工作變得容易。2017 年 12 月 31 日，我們發(fā)布了 Python 版的測(cè)試網(wǎng)。

Casper 與分片開(kāi)發(fā)路線(xiàn)的整合

不幸的是，F(xiàn)FG 的開(kāi)發(fā)慢了下來(lái)。以合約實(shí)現(xiàn) FFG 雖然把一些事情變得更容易，卻讓未來(lái)要從 EVM 轉(zhuǎn)到 EWASM 以及從單鏈 Casper 轉(zhuǎn)到分片 Casper 的工作變得更困難。此外，團(tuán)隊(duì)的研發(fā)工作被分成「主鏈 Casper」和「分片鏈 Casper」，可想而知在這兩個(gè)團(tuán)隊(duì)之間產(chǎn)生了大量不必要的重復(fù)工作。

2018 年 6 月，我們做了一個(gè)重大的決定：放棄以合約實(shí)現(xiàn)的 Casper FFG，取而代之的是追求以一條獨(dú)立鏈運(yùn)作的 Casper，如此的設(shè)計(jì)將使分片變得更加容易。

完全 PoS 的轉(zhuǎn)換導(dǎo)致我開(kāi)始更認(rèn)真思考 PoS 的分叉選擇規(guī)則。Casper FFG 與 CBC 都需要全部的驗(yàn)證節(jié)點(diǎn)在每個(gè)「時(shí)期(Epoch)」投票以敲定區(qū)塊，這代表每秒將會(huì)數(shù)以萬(wàn)計(jì)的簽章傳向每個(gè)驗(yàn)證節(jié)點(diǎn)。BLS 簽名聚合使其在計(jì)算成本上是可行的。但是我想試著利用這些額外的簽名以讓鏈更加穩(wěn)固，在幾秒內(nèi)取得等同于「100 個(gè)確認(rèn)」的安全性。這里是我初步的想法(連結(jié) 1/ 連結(jié) 2)。

然而，所有這些分叉選擇的方法都有一個(gè)缺點(diǎn)：它們都將驗(yàn)證節(jié)點(diǎn)分為「見(jiàn)證節(jié)點(diǎn)(Attesters)」與「出塊節(jié)點(diǎn)(Proposers)」，而這些負(fù)責(zé)產(chǎn)生區(qū)塊的出塊節(jié)點(diǎn)擁有過(guò)大的權(quán)力。這樣做不太好，主要是因?yàn)樗枰覀冇幸粋€(gè)很安全的鏈上隨機(jī)數(shù)生成器以公平地挑選出塊節(jié)點(diǎn)，而鏈上隨機(jī)數(shù)生成器很困難，而且一些簡(jiǎn)單的方法例如 RANDAO 似乎有愈來(lái)愈多問(wèn)題。

Justin Drake 跟我開(kāi)始解決這個(gè)問(wèn)題：Justin 使用 VDF，這是一個(gè)輸出具有確定性與可驗(yàn)證的函數(shù)，但需要大量不可平行化處理的序列時(shí)間進(jìn)行運(yùn)算，使提前竄改變得不可能;而我對(duì) Vlad 教妥協(xié)，使用基于 GHOST 的分叉選擇規(guī)則以大幅減少對(duì)出塊節(jié)點(diǎn)的依賴(lài)，允許在惡意出塊節(jié)點(diǎn)大于 90% 且誠(chéng)實(shí)見(jiàn)證節(jié)點(diǎn)大于 50% 的狀況下，鏈仍能不受干擾地成長(zhǎng)。Vlad 很開(kāi)心，但還沒(méi)開(kāi)心到極點(diǎn)：他偏好 LMD GHOST，而我偏好 IMD GHOST。

大約同一時(shí)間，我也試著想出一個(gè)方法來(lái)「流水線(xiàn)化」(Pipelining)Casper FFG，將敲定時(shí)間從 2.5 個(gè)時(shí)期減至理論上最佳的 2 個(gè)時(shí)期。我對(duì) RPJ 分叉選擇規(guī)則(后來(lái)更名為 IMD GHOST)能夠很好地相容于 FFG 這件事感到開(kāi)心。它還有一個(gè)很重要的「穩(wěn)定性」：分叉選擇是一個(gè)對(duì)未來(lái)分叉選擇的好預(yù)測(cè)。

這看起來(lái)很明顯，但我們卻很容易做出不具有這種特性的分叉規(guī)則。最近的進(jìn)展是：LMD GHOST 可能由于技術(shù)細(xì)節(jié)只能在 2 回合中有 25% 容錯(cuò)，但是 IMD GHOST 仍可以有完整的 33% 容錯(cuò)(目前沒(méi)有文件)。(譯按：在譯文完成時(shí)，以太坊 2.0 采用的是LMD GHOST)

FFG 與 CBC 之間主要的取舍是：CBC 似乎有較好的理論性質(zhì);而 FFG 似乎比較容易實(shí)現(xiàn)。同時(shí)，VDF 也取得了許多進(jìn)展。

還有，我最近決定研究 Leslie Lamport 1982 年的老論文，在這邊論文中他提出了一個(gè)共識(shí)演算法：若假設(shè)所有節(jié)點(diǎn)，包括觀(guān)察者，皆在線(xiàn)上且具有很低的網(wǎng)絡(luò)延遲，則具有 99% 容錯(cuò)。網(wǎng)絡(luò)延遲的假設(shè)按理來(lái)說(shuō)會(huì)使其不適合作為主要的共識(shí)算法。

然而，它可以在某一個(gè)情境運(yùn)作相當(dāng)良好：作為 51% 屏蔽偵測(cè)的嫌疑分?jǐn)?shù)替代方案：基本上，如果 51% 共謀團(tuán)體開(kāi)始屏蔽區(qū)塊，其他驗(yàn)證節(jié)點(diǎn)以及一般節(jié)點(diǎn)可以偵測(cè)到屏蔽的發(fā)生，并且使用 99% 容錯(cuò)的共識(shí)演算法來(lái)達(dá)成屏蔽正在發(fā)生的共識(shí)，并協(xié)調(diào)少數(shù)分叉。關(guān)于這個(gè)研究的長(zhǎng)期目標(biāo)就是要盡可能減少對(duì)社交層的依賴(lài)，并將破壞鏈穩(wěn)定的成本最大化，使其利用社交層回溯的可能性最小化。

還有什么?FFG 的部分還有形式化證明，規(guī)格的完善，以及實(shí)現(xiàn)的持續(xù)進(jìn)展(已經(jīng)有超過(guò) 3 個(gè)團(tuán)隊(duì)開(kāi)始著手了!)，并著眼于安全及迅速的開(kāi)發(fā)。CBC 的部分也差不多。接下來(lái)讓我們勇往直前吧!（Juin Chiu）

關(guān)鍵詞： 以太坊 Casper CBC 分叉