很长一段时间以来,我们一直听说在同步网络中,实现50%容错的共识是有可能的。在同步网络中,任何可信节点广播的消息都可以保证在某个已知时间段内被所有其它可信节点接收。
如果攻击者超过50%,他们就可以执行“51%攻击”,对于区块链上同类型的任何算法都有可能出现类似的情况。
我们也一直听过这样的说法:如果你想放松同步假设,并且拥有一种“异步下安全”的算法,最大可达到的容错率可下降到33%(PBFT、CasperFFG等都属于此类)。
然而,如果添加更多假设(具体来说,你不仅需要观察者来关注那些不积极参与共识但关心其输出的用户,也要积极地关注共识,而不仅仅是在结果出现后下载其输出),这样可以把容错率一路提高到99%吗?
事实上,这一点早已人尽皆知。莱斯利·兰伯特1982年在著名的谈及“拜占庭一般问题”的论文中包含了对算法的描述。下面我将尝试用简化的形式重新来描述和表述这个算法。
假设有N个参与共识的节点,每个人都提前同意这些节点代表谁(根据上下文,它们可以由可信方选择,或者如果需要更强的去中心化程度,可以通过一些工作证明或利害关系进行证明)。
V神:短期内提高gas上限是唯一的扩容方法:推特账户UniTimes表示,以太坊矿工提议将Gas上限增加至1250万,Vitalik表示反对。对此V神刚刚用中文回复称,“不算反对吧。我6周之前反对,现在gasprice一直这么高,也对用户很不好。长期的解决方案肯定是先把所有能搬到rollup的应用搬到rollup,然后等分片,但是短期提高gaslimit是唯一的扩容方法,所以好处可能超过坏处.... 我不知道。”[2020/6/22]
我们把这些节点标记为0…N-1。另外,还假设网络延迟和时钟差异上有一个已知的限制D。(例如,D=8秒)。每个节点都有能力在T时刻发布值(恶意节点当然可以早于T或晚于T地发布值)。
所有节点等待(N-1)?D秒,运行如下进程。定义x:i为“节点i签名的值x”,x:i:j为“节点i签名的值x,并且x与j一起签名”,等等。在第一阶段发表的提案将采用v的形式:i的形式为一些v和i,其中包括提出该提案的节点的签名。
如果一个验证器i收到一些消息v:i:…:i,其中?i:…:i是已经按顺序对消息进行了签名的索引列表(只是v本身会算作k=0,而v:i则为k=1),那么验证程序检查(i)的时间将小于Tk?D,同时他们尚未看到包含以下内容的有效消息;如果两项检查均通过了,则会发布v:i:…:i:i。
V神:遭受恶意攻击绝不是DeFi的固有特征:The Defiant记者Camila Russo在Ethereal峰会上询问V神称,DeFi是否有其固有弱点,即它吸引黑客的倾向将反过来吸引监管机构,而这将不可避免地终止这项技术。对此V神回应称:“完全不会。许多负责任的DeFi项目在很长一段时间内都没有受到攻击。这绝对不是DeFi本身的固有属性,有一种方法可以负责任地做到这一点。”V神还指出了集中化实体被攻击的规律性(有时是致命的),并引用了近年来针对集中式交易所的两起最严重的攻击,即2014年Mt.Gox以及2016年Bitfinex的被盗事件。Russo认为,许多DeFi和加密货币项目的开源性质可能是一个明显的攻击载体,因为公开这些项目的代码可以使黑客更容易地了解其内部机制。V神承认这可能是一个问题,但是他也指出经过同行测试技术的好处,这些技术可以被任何有能力和意愿的人审核、审查以及作出贡献。(Decrypt)[2020/5/8]
在T(N-1)?D时,节点停止监听。此时,就可以保证所有的可信节点都“有效地看到了”相同的一组值。
V神:以太坊2.0团队或在4月推出多客户端测试网:金色财经报道,根据以太坊联合创始人V神(Vitalik Buterin)的说法,以太坊2.0团队可能会在4月推出多客户端测试网。据悉,技术安全公司Least Authority最近对ETH 2.0规范进行了审核,该审核强调协议的P2P消息传递系统和区块提议者系统存在潜在的安全漏洞。在回应该报告时,V神表示,ETH 2.0团队目前正在努力解决这些问题,尽管这可能需要长期的努力而不是立即进行修订。[2020/3/31]
如果问题要求选择一个值,则可以使用一些“选择”函数从他们看到的值中选择一个值。然后节点可以就该值达成共识。
现在,让我们来探究一下为什么这种方式有效。我们需要证明的是,如果一个诚实节点看到了特定的值,然后其它的诚实节点也看到该值(如果我们证明了这一点,那么我们知道所有诚实节点都看到了同一组值,因此如果所有诚实节点都运行相同的选择功能,他们会选择相同的值)。
假设任何诚实节点收到一条消息v:i:…i,他们认为是有效的。在时间Tk?D之前到达),假设x是另一个诚实节点的索引。x要么是i的一部分:…要么不是。
声音 | V神:联盟链需要解决扩展性、隐私、合规等问题:今日,以太坊联合创始人Vitalik Buterin在深圳大学的分享会中就联盟链话题表达了看法。Vitalik Buterin表示,尽管联盟链很久之前就已被提出,但是想要很好地实现我认为很困难,最终还是要从应用角度、价值信息的验证开始入手。我对于联盟链主要有三点问题:一是可扩展性问题,联盟链短期内在可扩展性问题方面有比较明显的优势,现在的公有链性能支撑不了大多数应用,但是我认为五年后可以实现;第二点是隐私的问题,这一方面联盟链和公有链没有特别大的区别,特别对于一些企业和竞争对手而言联盟链不能很好的解决隐私问题;第三个问题是合规问题,去中心化和中心化问题,联盟链未必是最优解决方案,是否合规最终取决于应用本身,而不取决于是联盟链还是公链。。[2019/9/23]
在第一种情况下(对于此消息,x=i),我们知道诚实节点x已经广播该消息,他们这样做是为了响应他们在时间T·D之前收到的带有j-1签名的消息。此时他们广播了他们的消息,那么所有诚实节点一定都会在时间Tj?D前收到消息。
V神回应EOS创始人对其使用经济激励和密码学来治理社区言论的质疑:4月1日,Vitalik发文回应经济激励和密码学来治理社区言论的质疑,V神表示:
1.希望创造一些工具,供至少2/3的诚实竞争团队使用。但这2/3的人是诚实的不等于2/3的资本是诚实的。
2.靠思想来竞争的社区将比购买选票的社区更有竞争力。
3.不过现在的情况不可能“证明”个人的经济风险,因为他们可能比内部人员有更多的获益或损失。
4.密码学永远无法证明的事就是审查制度。[2018/4/2]
在第二种情况下,由于诚实节点在时间Tk?D之前看到消息,那么它们就会用自己的签名传播消息,并保证包括x在内的所有人都会在时间T(k1)?D之前看到它。
注意,该算法使用添加自己签名的行为作为消息超时的一种“碰撞”。正是这种能力保证了一个诚实的节点如果及时看到了消息,那它们也可以确保其它所有节点也能及时看到消息,因为“准时”的定义增加的时间超过了每添加一个签名的网络延迟。
在一个节点是诚实的情况下,我们能否保证被动的观察者(比如关心结果的非共识参与节点)也可以看到结果。
按照计划,存在一个问题。假设一个指挥官和k(恶意)验证器的某个子集生成一条消息v:i:…i,并且在Tk?D前广播给一些受害者,受害者认为消息是“准时”,但当他们转发时,消息只会在Tk?D之后达到所有的已经协商一致的诚实节点,而所有协商一致的诚实节点将会拒绝它。
但我们可以堵住这个洞,提出一个新的约束:要求D在两倍的网络延迟加上时间差。然后我们给观察者一个不同的超时:观察者接受v:i:…i必须在T(k-0.5)?D之前。
现在,假设观察者看到一条消息并接受了它。他们能够在时间Tk?D之前将其广播到一个诚实节点,并且诚实节点将发布带有签名的消息,该消息将在TD(k0.5)之前到达所有其它观察者,同时带有k1个签名的消息将会超时。
改进其它共识算法
理论上讲,上述算法可以作为独立的共识算法使用,甚至可以用于运行权益证明的区块链。
第N1轮共识的验证器集合本身可以在第N轮共识中被决定(例如,每轮共识也可以接受“存款”和“取款”交易,如果接受并正确签名,将添加或删除验证器后进入下一轮)。
需要添加的主要额外成分是另一种机制,用于决定允许提议区块的提名者(例如。每轮可以有一个指定的提名者)。它也可以被修改为用作工作证明的区块链,允许参与共识的节点通过公钥发布工作解决方案的证明,同时通过签名实时地“声明自己”。
然而,同步假设是非常强大的,所以我们希望在不需要超过33%或50%容错的情况下,无需同步假设也能工作。有一种方法可以做到这一点。
假设我们有一些其它的共识算法(例如,PBFT,CasperFFG,基于链的PoS),其输出可以被偶尔在线的观察者看到(我们称之为阈值依赖的共识算法,而上文所述的算法我们称之为延迟依赖的共识算法)。
假设阈值依赖的共识算法持续运行,在一种模式下,它将不断地“确定”新的区块到链上。例如:每一个最终值都将指向一个“父”;如果有一个指针序列a→…→B,我们称A为B的后裔。
我们可以在这种结构上改进依赖于延迟的算法,让总是在线的观察者能够访问检查点上的一种“有可能结果”,容错性约为95%。
每当时间达到4096秒的倍数时,我们就运行依赖于延迟的算法,选择512个随机节点来参与算法。
一个有效的建议是由阈值相关算法最终确定的任何有效的值链。如果一个节点在时间Tk?D(D=8秒)之前看到有k个签名的某个最终值,则接受该链进入它的已知链集中,并添加自己的签名进行重新广播它;观察者像以前一样使用T(k-0.5)?D的阈值。
最后使用的“选择”函数很简单:
忽略不是在前一轮中已经商定的最终确定值的后代的值
忽略最终的无效值
在两个有效的最终值中进行选择时,选择哈希值较低的那个
如果5%的验证器是诚实的,那么随机选择的512个节点中,只有大约1万亿分之一的机会是诚实的,因此当上述算法工作,将会协调得出单一最终值的节点。
如果阈值依赖的共识算法的容错性被满足(通常50%或67%的节点是诚实的),那么阈值依赖的共识算法将不会确定任何新的检查点,或者它将确定最终彼此兼容的新检查点(例如,每个检查点都指向前一个检查点作为父检查点)。
因此,参与依赖于延迟的算法的节点不会同意它们接受的值,它们接受的值仍然保持为同一链的一部分,不存在没有实际的分歧。一旦延迟在未来的某个回合恢复正常,依赖于延迟的共识将恢复“同步”。
如果依赖阈值和依赖延迟的共识算法的假设同时被打破(或在连续的两轮中被打破),那么算法就会分解。例如,假设在一轮中,阈值依赖共识最终确定Z→X→Y,而延迟以来共识在X,Y之间意见不一,那么共识将会在不达成协议情况下结束。下一轮阈值依赖共识将会在最终确定W不源于X,且X不源于Y的情况下结束;在依赖延迟的共识中,同意Y的节点不会接受W,而同意X的节点会。然而,这是不可避免的;异步下的安全共识是不可能的。
容错是拜占庭容错理论中一个众所周知的结论,就像很多的不可能事件一样,容错甚至在观察器离线情况下允许同步假设。
作者:VitalikButerin
翻译|Katie责编|晋兆雨
原文链接:
https://hackernoon.com/how-to-achieve-99percent-fault-tolerant-consensus-n25b31m
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。