[[220908]]

本文目錄：

• 1 比特幣協(xié)議快速入門(A Quick Primer on the Bitcoin Protocol)
• 2 比特幣經(jīng)濟(jì)學(xué)方法論：難度調(diào)整與挖礦經(jīng)濟(jì)均衡(Bitcoin Economics 101: Difficulty Adjustment and the Economic Equilibrium of Mining)
• 3 挖礦的去中心化(Mining Decentralization)
•         3.1 ASIC挖礦(ASIC mining)
•         3.2 非ASIC的挖礦系統(tǒng)(Alternative systems with no ASIC mining)
•         3.3 ASICBoost算法(ASICBOOST)
•         3.4 通信基礎(chǔ)設(shè)施(Communication)
•         3.5 規(guī)模經(jīng)濟(jì)(Economies of scale)
• 4 礦池和風(fēng)險(xiǎn)規(guī)避(Mining Pools and Risk Aversion)
•         4.1 礦池的形成(The formation of pools)
•         4.2 礦池報(bào)酬分配和篡改可能(Reward distribution within pools and possible manipulations)
•         4.3 消除礦池(Eliminating pools)
• 5 攻擊和違反規(guī)則的經(jīng)濟(jì)學(xué)原理(The Economics of Attacks and Deviations from the Rules)
•         5.1 校驗(yàn)(Validation)
•         5.2 交易傳播(Transaction propagation)
•         5.3 私自挖礦(Selfish mining)
•         5.4 雙重支出(Double spending)
• 6 結(jié)論(Conclusion)
• 7 作者簡(jiǎn)介
• 8 參考文獻(xiàn)(References)

除了作為理財(cái)和轉(zhuǎn)賬的協(xié)議之外，比特幣還創(chuàng)建了一個(gè)支配其內(nèi)部運(yùn)行的復(fù)雜經(jīng)濟(jì)激勵(lì)機(jī)制(incentives)。這些激勵(lì)機(jī)制強(qiáng)烈影響了協(xié)議的能力、安全保證，以及未來(lái)發(fā)展的道路。本文探討了比特幣協(xié)議的經(jīng)濟(jì)暗流、優(yōu)勢(shì)缺陷，以及它們?nèi)绾畏催^(guò)來(lái)影響協(xié)議本身。

比特幣，這個(gè)建立在開(kāi)放P2P（點(diǎn)對(duì)點(diǎn)）網(wǎng)絡(luò)結(jié)構(gòu)之上的貨幣，繼續(xù)享受人們的追捧。比特幣系統(tǒng)是“無(wú)許可的”——任何人都可以選擇加入網(wǎng)絡(luò)，轉(zhuǎn)賬，甚至參與授權(quán)交易。比特幣安全的關(guān)鍵之處在于它能夠抵御攻擊者以多重虛假身份加入系統(tǒng)的操縱行為。畢竟，任何人都可以下載比特幣的源代碼，成為一個(gè)比特幣節(jié)點(diǎn)，并根據(jù)需要為網(wǎng)絡(luò)添加盡可能多的計(jì)算機(jī)，而無(wú)需向其他人表明其身份。為了解決這個(gè)問(wèn)題，該協(xié)議要求加入系統(tǒng)的節(jié)點(diǎn)展示出 “工作量證明”：付出算力破解密碼學(xué)難題以獲得參與比特幣協(xié)議的資格。

從事這種“工作量證明”的節(jié)點(diǎn)被稱為礦工。系統(tǒng)向礦工獎(jiǎng)勵(lì)比特幣作為工作量的“證明”，從而也為這樣的“算力投資”設(shè)定了“激勵(lì)機(jī)制”。

通過(guò)在自己電腦上運(yùn)行軟件就可以獲利（比特幣）——這帶來(lái)的第一個(gè)也是最明顯的影響是：一旦比特幣具有足夠的價(jià)值，人們就開(kāi)始大肆挖礦。事實(shí)上，為了增強(qiáng)挖礦力度，大部分挖礦工作很快都轉(zhuǎn)移到專用的計(jì)算機(jī)農(nóng)場(chǎng)。這些計(jì)算機(jī)農(nóng)場(chǎng)使用定制工具來(lái)實(shí)現(xiàn)其目的：開(kāi)始，GPU被用于大規(guī)模并行工挖礦；之后，特需設(shè)計(jì)的芯片——專門針對(duì)比特幣核心協(xié)議計(jì)算特征而量身定制的芯片——ASICs（專用集成電路）開(kāi)始出現(xiàn)（在挖礦時(shí)， ASICs機(jī)器比普通PC快一百萬(wàn)倍）。比特幣網(wǎng)絡(luò)迅速發(fā)展并變得更加安全，為了獲利的競(jìng)爭(zhēng)也變得更加激烈（利益由比特幣協(xié)議周期性放出）。

比特幣的安全性和經(jīng)濟(jì)性是相互作用的。在討論這個(gè)主題之前，讓我們快速回顧協(xié)議本身的規(guī)則——正是這些規(guī)則產(chǎn)生了這種復(fù)雜的相互作用。

1 比特幣協(xié)議快速入門(A Quick Primer on the Bitcoin Protocol)

持有比特幣并希望轉(zhuǎn)賬的用戶可以將交易信息（通過(guò)他們安裝在計(jì)算機(jī)或智能手機(jī)上的軟件）發(fā)送到比特幣網(wǎng)絡(luò)上的一個(gè)節(jié)點(diǎn)。比特幣網(wǎng)絡(luò)中的活躍節(jié)點(diǎn)從用戶那里收集這些交易信息并將它們分發(fā)到網(wǎng)絡(luò)中的對(duì)等節(jié)點(diǎn)——分發(fā)方式是每個(gè)節(jié)點(diǎn)僅通知那些與請(qǐng)求轉(zhuǎn)賬所關(guān)聯(lián)的節(jié)點(diǎn)。交易信息被批量的匯聚，稱為區(qū)塊，而區(qū)塊又被鏈接在一起形成區(qū)塊鏈，從而形成所有被接受的比特幣交易記錄。區(qū)塊鏈中的每個(gè)區(qū)塊都通過(guò)一個(gè)加密哈希值（實(shí)際上也是前驅(qū)區(qū)塊的唯一標(biāo)識(shí)符）引用其前驅(qū)區(qū)塊。比特幣網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)都保存著完整的區(qū)塊鏈副本。區(qū)塊創(chuàng)建的過(guò)程被稱為挖礦，挖礦的作用之一相當(dāng)于新幣的印刷，也就是所謂的造幣。

比特幣的協(xié)議規(guī)則使區(qū)塊的創(chuàng)建非常困難：只有當(dāng)區(qū)塊包含密碼學(xué)難題的答案時(shí)，才被認(rèn)為是合法的。作為報(bào)酬，每當(dāng)?shù)V工成功創(chuàng)建區(qū)塊時(shí)，他們都會(huì)得到比特幣獎(jiǎng)勵(lì)。報(bào)酬由兩部分組成：一部分是新造比特幣，一部分是從區(qū)塊所包含的交易中抽取的挖礦手續(xù)費(fèi)。目前的造幣率是12.5比特幣每區(qū)塊，這一數(shù)額大約每四年減半。隨著這一數(shù)額的減少，比特幣開(kāi)始越來(lái)越依賴挖礦手續(xù)費(fèi)來(lái)支付礦工。

因此比特幣運(yùn)行的關(guān)鍵是讓所有節(jié)點(diǎn)就區(qū)塊鏈的內(nèi)容（區(qū)塊鏈記錄系統(tǒng)內(nèi)的所有轉(zhuǎn)賬信息）達(dá)成一致。因此，區(qū)塊更新會(huì)迅速傳播到網(wǎng)絡(luò)中的所有節(jié)點(diǎn)。不過(guò)，節(jié)點(diǎn)有時(shí)可能會(huì)收到兩個(gè)不同版本的區(qū)塊鏈。例如，如果兩個(gè)節(jié)點(diǎn)同時(shí)創(chuàng)建了一個(gè)區(qū)塊，則它們可能會(huì)持有區(qū)塊鏈的兩個(gè)不同更新（鏈的增長(zhǎng)chang）。這些區(qū)塊可能包含不同的支付操作，因此比特幣系統(tǒng)必須決定要接受哪個(gè)版本。

比特幣協(xié)議規(guī)定每個(gè)節(jié)點(diǎn)只接受最長(zhǎng)鏈作為交易事件的正確版本（主鏈），如圖1所示（更確切地說(shuō)，節(jié)點(diǎn)選擇包含最多累積計(jì)算工作的鏈作為主鏈，這通常也是最長(zhǎng)鏈）。這條著名的“最長(zhǎng)鏈規(guī)則”為比特幣提供了安全性。一個(gè)攻擊者——如果試圖愚弄其他節(jié)點(diǎn)，讓他們相信系統(tǒng)發(fā)生了不同的支付事件——需要產(chǎn)生比網(wǎng)絡(luò)其余部分更長(zhǎng)的區(qū)塊鏈。由于“工作量證明”是一個(gè)區(qū)塊一個(gè)區(qū)塊的創(chuàng)建出來(lái)的，“產(chǎn)生更長(zhǎng)區(qū)塊鏈”的任務(wù)將是異乎尋常的困難。事實(shí)上，只要攻擊者的計(jì)算能力低于整個(gè)比特幣網(wǎng)絡(luò)的總和，區(qū)塊鏈中的區(qū)塊和交易將越來(lái)越難以取代（因?yàn)楣粽吆驼麄€(gè)比特幣網(wǎng)絡(luò)的鏈一起增長(zhǎng)chang）。

替換主鏈的困難性意味著攻擊者需要多次嘗試才能夠偷天換日。這些失敗的嘗試意味著巨大的代價(jià)——在最長(zhǎng)鏈之外挖礦，不會(huì)得到任何挖礦報(bào)酬。對(duì)于攻擊者來(lái)說(shuō)，初級(jí)的攻擊確實(shí)代價(jià)昂貴（稍后將討論更高級(jí)的攻擊）。

圖1展示區(qū)塊鏈的演變情況：分叉開(kāi)始出現(xiàn)，直到其中一個(gè)鏈比另一個(gè)鏈更長(zhǎng)才能解決。解決的辦法是丟棄最長(zhǎng)鏈之外的區(qū)塊：被丟棄的區(qū)塊不再增長(zhǎng)（chang）；其內(nèi)容（紅色部分）也被忽略；創(chuàng)建它們的礦工也不會(huì)得到任何報(bào)酬。在時(shí)間點(diǎn)1，由于一個(gè)區(qū)塊在創(chuàng)建時(shí)沒(méi)有鏈接到最新的區(qū)塊，導(dǎo)致產(chǎn)生兩個(gè)可選的鏈，即發(fā)生了分叉。在時(shí)間點(diǎn)2，分叉被解決，因?yàn)橐粋€(gè)鏈比另一個(gè)鏈長(zhǎng)。在時(shí)間點(diǎn)3，有另一個(gè)持續(xù)時(shí)間更長(zhǎng)的分叉，在時(shí)間點(diǎn)4第二個(gè)分叉被解決。

2 比特幣經(jīng)濟(jì)學(xué)方法論：難度調(diào)整與挖礦經(jīng)濟(jì)均衡(Bitcoin Economics 101: Difficulty Adjustment and the Economic Equilibrium of Mining)

根據(jù)比特幣協(xié)議，區(qū)塊創(chuàng)建速率大致保持不變，也就是期望區(qū)塊的創(chuàng)建間隔大約為10分鐘。如果塊創(chuàng)建得太快，則生成區(qū)塊所需的工作量證明的難度會(huì)自動(dòng)增加。這種機(jī)制已經(jīng)存在，以確保區(qū)塊不會(huì)因?yàn)橄到y(tǒng)算力的增加而在節(jié)點(diǎn)之間“洪泛”。因此系統(tǒng)以相對(duì)恒定的速率向礦工提供報(bào)酬，和投資于挖礦的算力總量無(wú)關(guān)。

顯然，隨著比特幣的價(jià)值上升（以美元計(jì)），挖礦生意（產(chǎn)生面值為比特幣的支付）變得更加有利可圖。隨著更多的人為了利益加入礦工群體，區(qū)塊的創(chuàng)建難度持續(xù)增加。而難度增加又導(dǎo)致挖礦代價(jià)變得更加昂貴。在理想情況下，當(dāng)區(qū)塊的創(chuàng)建成本等于所得的報(bào)酬時(shí)，系統(tǒng)將達(dá)到平衡。事實(shí)上，挖礦總是微利的，有風(fēng)險(xiǎn)的——而且還需要對(duì)設(shè)備進(jìn)行初始投資，報(bào)酬中的一些盈余也必須補(bǔ)償這些投資。因此，比特幣協(xié)議的安全性可以根據(jù)價(jià)值調(diào)整自身：更高的價(jià)值也意味著更高的安全性。

由于挖礦報(bào)酬持續(xù)下降（根據(jù)比特幣協(xié)議的挖礦時(shí)間表），預(yù)計(jì)創(chuàng)建區(qū)塊的動(dòng)機(jī)將更多依賴于交易費(fèi)用。如果比特幣交易量突然下降，這些交易費(fèi)用將不足以補(bǔ)償?shù)V工的計(jì)算資源。一些礦工可能因此暫時(shí)停止他們的區(qū)塊創(chuàng)建。這可能會(huì)危及整個(gè)系統(tǒng)，因?yàn)榻灰椎陌踩匀Q于所有誠(chéng)實(shí)的礦工積極參與。（關(guān)于挖礦人數(shù)下降后的比特幣激勵(lì)機(jī)制，參見(jiàn)Carlsten等人的文獻(xiàn)3）

許多人抱怨說(shuō)，創(chuàng)建區(qū)塊的算力是在浪費(fèi)資源（特別是電力）：為系統(tǒng)投入大筆費(fèi)用，除了防范潛在攻擊者之外，沒(méi)有任何經(jīng)濟(jì)目標(biāo)。工作量證明的確是在求解毫無(wú)用處的密碼學(xué)難題——當(dāng)然，除了為比特幣網(wǎng)絡(luò)安全保駕護(hù)航。但是，如果某些工作可能有用呢？或者可能以更高效的方式工作？如果挖礦不浪費(fèi)每個(gè)節(jié)點(diǎn)的資源，那么攻擊者也不會(huì)為攻擊系統(tǒng)付出任何代價(jià)。事實(shí)上，如果工作量證明的成本較低，隨著更多誠(chéng)實(shí)參與者加入挖礦群體（獲得報(bào)酬），難度調(diào)整機(jī)制將再次提高難度系數(shù)。因此，從某種意義上說(shuō)，比特幣的工作量證明機(jī)制就是為了“浪費(fèi)”一定數(shù)量的資源，而不管個(gè)體礦工的效率如何。為了從挖礦中獲得實(shí)質(zhì)性收益而又不會(huì)因?yàn)槌杀镜脑黾佣窒托枰?ldquo;工作量證明”——這對(duì)整個(gè)社會(huì)是有用的，但對(duì)個(gè)體礦工毫無(wú)價(jià)值。（更多使用其他難題作為工作量證明基礎(chǔ)的嘗試，參見(jiàn)Ball等人，Miller等人和Zhang等人的文獻(xiàn)：2,8,13）

3 挖礦的去中心化(Mining Decentralization)

比特幣協(xié)議的關(guān)鍵是其去中心化：對(duì)于整個(gè)系統(tǒng)，沒(méi)有單一的實(shí)體先驗(yàn)地具有比其他人更多的權(quán)威或控制。這增強(qiáng)了系統(tǒng)的抗毀能力：沒(méi)有單一的信任錨點(diǎn)或單一故障點(diǎn)；礦工之間采用競(jìng)爭(zhēng)的方式獲得挖礦手續(xù)費(fèi)。

為了保持這種去中心化，最重要的是要保證挖礦活動(dòng)是由許多小型實(shí)體完成，并且沒(méi)有一個(gè)礦工的算力明顯超過(guò)其他礦工。理想情況下，給予礦工的報(bào)酬應(yīng)反映他們投入的工作量：貢獻(xiàn)了計(jì)算資源α%的礦工創(chuàng)建一個(gè)區(qū)塊的α%，并因此按比例抽取所有分配手續(xù)費(fèi)和區(qū)塊報(bào)酬的α%。

在實(shí)踐中，出于幾個(gè)不同的原因，礦工可能從挖礦中獲得不成比例的報(bào)酬。這種報(bào)酬分配的不平衡讓利益偏向具有更多算力的大型礦工（使大型礦工獲得比小型同行更多的利潤(rùn)），并為系統(tǒng)的中心化創(chuàng)造了持續(xù)不斷的經(jīng)濟(jì)暗流。哪怕微弱的不平衡也可以危及系統(tǒng)：由于礦工可以使用額外回報(bào)來(lái)購(gòu)買更多的算力，并因此而變得更加強(qiáng)大，繼而提升挖礦的難度，最終將其他小型（因而利潤(rùn)較低）礦工排擠出這場(chǎng)游戲。由此產(chǎn)生的“贏家通吃”“動(dòng)力學(xué)過(guò)程”將不可避免地導(dǎo)致系統(tǒng)的中心化，然后整個(gè)系統(tǒng)將受到優(yōu)勢(shì)礦工的支配，安全性也無(wú)法保證。

3.1 ASIC挖礦(ASIC mining)

ASIC的首次出現(xiàn)讓比特幣社區(qū)感到驚慌和擔(dān)憂。在挖掘比特幣方面，ASIC的效率比以前的系統(tǒng)高幾個(gè)數(shù)量級(jí)。最初，這種特殊的硬件并不容易獲得，因此它為擁有者提供了比其他礦工更大的優(yōu)勢(shì)——以更低的成本挖礦。那些擁有這種優(yōu)勢(shì)的人為系統(tǒng)添加基于ASIC的工作量證明，直到難度級(jí)別高到其他人都放棄挖礦。當(dāng)時(shí)的風(fēng)險(xiǎn)是：一個(gè)能夠訪問(wèn)ASIC的大型礦工將最終主宰比特幣系統(tǒng)。一段時(shí)間以后，隨著ASIC的商業(yè)化并廣泛分布，擔(dān)憂逐漸消退。

事實(shí)上，ASIC挖礦的實(shí)際影響（對(duì)安全性的貢獻(xiàn)）是深遠(yuǎn)的。本文稍后將討論礦工如何進(jìn)行雙重支付（雙花）和私自挖礦攻擊，以獲取利益。然而，有人可能會(huì)爭(zhēng)辯說(shuō)，即使是自私和投機(jī)性的礦工也最好避免這種攻擊。事實(shí)上，一位礦工投資數(shù)百萬(wàn)美元購(gòu)買挖礦設(shè)備（比如ASIC），相當(dāng)于重金投資了比特幣的未來(lái)價(jià)值：期望設(shè)備將在未來(lái)帶來(lái)比特幣回報(bào)。如果礦工使用這種設(shè)備攻擊該系統(tǒng)，那么會(huì)降低人們對(duì)該貨幣的信心，并且降低比特幣的價(jià)值和未來(lái)的回報(bào)。因此，礦工的利益在某種意義上與整個(gè)系統(tǒng)的健康保持一致。

總而言之，ASIC挖礦提高了系統(tǒng)的準(zhǔn)入門檻：普通人無(wú)法輕易地加入挖礦工作，也因此減少了系統(tǒng)的去中心化。另一方面，ASIC挖礦也引入了一種退出的“門檻”：礦工無(wú)法將他們的設(shè)備用于其他經(jīng)濟(jì)活動(dòng)，因此有助于提供系統(tǒng)的安全性。

加密貨幣（例如萊特幣Litecoin，本質(zhì)上是比特幣的克?。┲g出現(xiàn)的相互競(jìng)爭(zhēng)——其中一些使用與比特幣相同的工作量證明機(jī)制——為想要轉(zhuǎn)移挖礦算力的礦工提供了選擇方案。這讓市場(chǎng)的“動(dòng)力學(xué)過(guò)程”更為復(fù)雜。例如，當(dāng)特定貨幣失去價(jià)值時(shí)，礦工會(huì)將挖礦算力轉(zhuǎn)移到另一個(gè)加密貨幣，直到挖礦難度級(jí)別被提高。這可能會(huì)導(dǎo)致區(qū)塊創(chuàng)建的波動(dòng)，使礦工較少的加密貨幣系統(tǒng)變得不穩(wěn)定。

3.2 非ASIC的挖礦系統(tǒng)(Alternative systems with no ASIC mining)

有趣的是，一些加密貨幣系統(tǒng)使用不同的難題求解（工作量證明）機(jī)制。這些難題難以設(shè)計(jì)成專用硬件，因而對(duì)ASIC挖礦更具抵抗性。例如，以太坊使用的Ethash難題。這通常是通過(guò)設(shè)計(jì)需要大量訪問(wèn)其他資源（例如內(nèi)存等商用硬件）的算法難題來(lái)實(shí)現(xiàn)。

這些替代系統(tǒng)原則上更加去中心化，但另一方面它們?nèi)狈?ldquo;退出門檻”及其對(duì)安全的貢獻(xiàn)。

當(dāng)云挖礦服務(wù)變得高度可用時(shí)，也會(huì)產(chǎn)生類似去中心化的效果。一些實(shí)體通過(guò)云服務(wù)出租他們的挖礦設(shè)備。租賃云挖礦服務(wù)的客戶才是真正的礦工，并且他們?cè)谙到y(tǒng)中沒(méi)有長(zhǎng)期利益。隨著這些云挖礦服務(wù)變得更加便宜和易于訪問(wèn)，任何人都可以輕松成為臨時(shí)礦工。類似的是，云挖礦服務(wù)同樣缺乏“退出門檻”及其對(duì)安全的貢獻(xiàn)。

3.3 ASICBoost算法(ASICBOOST)

回想一下，創(chuàng)建一個(gè)區(qū)塊需要解決特定于該區(qū)塊的密碼學(xué)難題。這相當(dāng)于猜測(cè)加密哈希函數(shù)的輸入。求解這樣的難題主要是通過(guò)強(qiáng)力枚舉不同的輸入來(lái)完成的。

礦工可以采用比同行更高效創(chuàng)建區(qū)塊的方法來(lái)獲得優(yōu)勢(shì)。除了采用更好的硬件外，算法是獲得優(yōu)勢(shì)的主要形式。事實(shí)上，一個(gè)被ASICBoost的算法“trick”最近成為頭條新聞。ASICBoost使礦工能夠重用一個(gè)輸入猜測(cè)的算力到另外一個(gè)輸入猜測(cè)。該算法是專有的，目前正在申請(qǐng)專利，尚不清楚誰(shuí)可以用，誰(shuí)不可以用。這樣的算法帶來(lái)的優(yōu)勢(shì)是可以降低每個(gè)哈希的算力消耗。ASIC挖礦的大型制造商Bitmain最近被指控秘密部署ASICBoost的硬件變體以增加其利潤(rùn)。指控說(shuō)，該公司在政治上阻礙了一些協(xié)議的改進(jìn)，而這些改進(jìn)很可能會(huì)讓他們無(wú)法使用ASICBoost。

3.4 通信基礎(chǔ)設(shè)施(Communication)

另外一種提高礦工效率的方法是投資通信基礎(chǔ)設(shè)施。通過(guò)更快地傳播區(qū)塊，并通過(guò)更快地接收其他區(qū)塊，礦工可以減少其區(qū)塊不屬于最長(zhǎng)鏈并被丟棄（“成為孤兒”）的機(jī)會(huì)。由于脫離主鏈的區(qū)塊無(wú)法獲得報(bào)酬，更好的網(wǎng)絡(luò)通信意味著降低損失。無(wú)可否認(rèn)，在比特幣區(qū)塊目前的創(chuàng)建速度下，這種優(yōu)勢(shì)微乎其微。 區(qū)塊并不經(jīng)常創(chuàng)建，并且交付加速幾秒只能帶來(lái)很小的優(yōu)勢(shì)。盡管如此，更好的網(wǎng)絡(luò)通信是獲得更多利潤(rùn)的一種相對(duì)便宜的方式。

此外，當(dāng)比特幣協(xié)議覆蓋節(jié)點(diǎn)數(shù)增大并且交易處理加速時(shí)，通信優(yōu)化帶來(lái)的效果變得更加明顯。目前比特幣系統(tǒng)平均每秒處理三到七筆交易。改變比特幣系統(tǒng)的參數(shù)——每秒處理更多的交易——將會(huì)增加孤兒區(qū)塊的比率，并且會(huì)放大網(wǎng)絡(luò)通信更好的礦工的優(yōu)勢(shì)。

3.5 規(guī)模經(jīng)濟(jì)(Economies of scale)

與任何大型實(shí)體一樣，大型礦工可以享受規(guī)模經(jīng)濟(jì)效益。隨著大規(guī)模挖礦業(yè)務(wù)的發(fā)展，大型礦工很可能投資于各種不同的優(yōu)化方案，比如尋找成本更低的電力來(lái)源；或?qū)⑼诘V設(shè)備放置在寒冷地區(qū)，為其設(shè)備提供更高效的冷卻系統(tǒng)（挖礦帶來(lái)大量電力消耗和機(jī)器冷卻成為真正的挑戰(zhàn)）。大型礦工也可以以更低的價(jià)格批量購(gòu)買ASIC硬件設(shè)備。所有這些都轉(zhuǎn)化為規(guī)模的自然優(yōu)勢(shì)——這種現(xiàn)象并非特定于比特幣，而實(shí)際上出現(xiàn)在許多行業(yè)中。這些效應(yīng)為大型礦工帶來(lái)了優(yōu)勢(shì)，并慢慢地，將系統(tǒng)拉向中心化。

許多人擔(dān)心，目前大部分比特幣挖礦是由中國(guó)礦工完成的。與其他地區(qū)的挖礦相比，他們享有更好的ASIC訪問(wèn)，更便宜的電力和更低的監(jiān)管。中國(guó)政府嚴(yán)格控制進(jìn)出中國(guó)的互聯(lián)網(wǎng)流量，并可能會(huì)破壞比特幣系統(tǒng)，甚至沒(méi)收境內(nèi)的挖礦設(shè)備。

4 礦池和風(fēng)險(xiǎn)規(guī)避(Mining Pools and Risk Aversion)

比特幣挖礦產(chǎn)生非常高的回報(bào)，但小礦工獲得回報(bào)的可能性非常低。一個(gè)全時(shí)運(yùn)行的ASIC設(shè)備挖掘到下一個(gè)區(qū)塊的概率不到六十萬(wàn)分之一，這意味著幾年內(nèi)發(fā)現(xiàn)不了一個(gè)區(qū)塊。這種高風(fēng)險(xiǎn)/高回報(bào)的收益并不適合大多數(shù)人。許多人會(huì)選擇較長(zhǎng)時(shí)期的小規(guī)模固定收入（這實(shí)質(zhì)上是風(fēng)險(xiǎn)規(guī)避，文獻(xiàn)6）。例如，可以使用固定收入來(lái)支付挖礦的電費(fèi)。

4.1 礦池的形成(The formation of pools)

礦池是礦工聯(lián)盟。聯(lián)盟將礦工的計(jì)算資源整合在一起，挖礦報(bào)酬在成員之間共享。由于礦池比每個(gè)礦工單打獨(dú)斗挖掘到的區(qū)塊要多得多，聯(lián)盟能夠更經(jīng)常地向每個(gè)礦工支付小額的報(bào)酬。

從比特幣網(wǎng)絡(luò)的角度來(lái)看，礦池也只是一個(gè)挖礦節(jié)點(diǎn)。礦池成員與礦池服務(wù)器交互，礦池服務(wù)器將正在處理的下一個(gè)區(qū)塊頭發(fā)送給所有成員。每個(gè)成員都試圖求解相應(yīng)區(qū)塊的密碼學(xué)難題（事實(shí)上，他們使用同一個(gè)區(qū)塊的變體，并且工量證明也略有不同，以避免重復(fù)工作）。每當(dāng)成員找到一個(gè)區(qū)塊的難題答案時(shí)，就會(huì)將該區(qū)塊發(fā)送給礦池管理節(jié)點(diǎn)，管理節(jié)點(diǎn)又將該區(qū)塊發(fā)布到比特幣網(wǎng)絡(luò)。該區(qū)塊向礦池提供報(bào)酬，管理節(jié)點(diǎn)隨后將報(bào)酬分配給礦池中的所有成員（扣除一部分小額費(fèi)用）。

4.2 礦池報(bào)酬分配和篡改可能(Reward distribution within pools and possible manipulations)

大多數(shù)礦池是公開(kāi)礦池，并向任何有意愿參與的人開(kāi)放。顯然，礦池必須采取措施，確保只有真正貢獻(xiàn)算力的成員才能享受相應(yīng)的回報(bào)。為此，每個(gè)礦池成員發(fā)送部分難題求解答案（工作量證明）給礦池—— 這些部分答案“接近”成為區(qū)塊的完整難題求解答案。部分答案比完整答案更加普遍，而且任何求解這個(gè)難題的成員都可以提供持續(xù)穩(wěn)定的算力（低于目標(biāo)）。這可以表明成員確實(shí)在工作，并且可以評(píng)估每個(gè)成員能夠貢獻(xiàn)的算力。因此，礦池按照份額數(shù)量占比支付成員報(bào)酬（每份提交的部分難題求解答案都會(huì)獲得一定份額）。

幸運(yùn)的是，找到難題求解答案的礦池成員無(wú)法竊取報(bào)酬。密碼學(xué)難題取決于區(qū)塊頭，該區(qū)塊頭由礦池的管理員控制。密碼學(xué)難題對(duì)區(qū)塊本身的內(nèi)容（通過(guò)加密哈希）進(jìn)行編碼，包括區(qū)塊報(bào)酬的接收者。在找到特定區(qū)塊頭的難題求解答案之后，除非使難題求解答案失效，否則不能篡改區(qū)塊頭。

盡管如此，礦池還是可能被策略礦工的篡改。

跳池(Pool hopping)。在比特幣的早期階段，礦池分局每個(gè)礦工提交的部分難題求解答案數(shù)量的份額，簡(jiǎn)單地將所有礦工挖掘的最新塊的報(bào)酬按比例分配給所有礦工。份額數(shù)量是通過(guò)對(duì)同一個(gè)池創(chuàng)建的前一區(qū)塊進(jìn)行測(cè)量得到的。

一些礦工提出了一種提高報(bào)酬的方法：如果一個(gè)礦池運(yùn)氣不好，并且一段時(shí)間沒(méi)有挖到區(qū)塊，那么很多部分難題求解答案（份額）就會(huì)積累起來(lái)。如果礦池發(fā)現(xiàn)一個(gè)區(qū)塊，它的報(bào)酬將被分成許多小份。產(chǎn)生額外的份額的工作量與以前一樣，但由于這個(gè)原因產(chǎn)生更低的預(yù)期回報(bào)。相反，礦工可以跳到最近找到一個(gè)區(qū)塊的另一個(gè)礦池，并且每個(gè)額外的份額都會(huì)獲得更高的預(yù)期回報(bào)。如果這種行為被大量采用，那么實(shí)際上，暫時(shí)不成功的礦池會(huì)被所有理性的礦工完全拋棄。對(duì)抗跳池的報(bào)酬計(jì)劃很快被開(kāi)發(fā)出來(lái)，并被大多數(shù)礦池所采用（文獻(xiàn)10）。

區(qū)塊發(fā)布抑制攻擊(Block-withholding attacks)。雖然礦工無(wú)法竊取難題求解答案的區(qū)塊報(bào)酬，但他/她仍然可以否決對(duì)礦池中其他礦工的報(bào)酬。礦工可以選擇只向礦池管理者提交部分難題求解答案，但放棄所有成功的難題求解答案。因此，當(dāng)其他人找到難題求解答案時(shí)，礦工會(huì)收到一定比例的獎(jiǎng)勵(lì)，但不會(huì)為該礦池提供任何實(shí)際貢獻(xiàn)。拋棄成功的難題求解答案破壞了礦池，攻擊者僅損失少量的收入作為代價(jià)。

盡管攻擊者蒙受了損失，但在某些情況下，礦池有必要利用自己的一些挖礦能力破壞競(jìng)爭(zhēng)對(duì)手：攻擊礦池通過(guò)將其中一些礦工注冊(cè)為受害礦池中的工人，滲透到受害礦池中。這些工人然后執(zhí)行區(qū)塊發(fā)布抑制攻擊。通過(guò)成本和報(bào)酬的詳細(xì)計(jì)算，表明在某些情況下（取決于攻擊礦池和受害礦池的大?。?，攻擊礦池是有利可圖的（文獻(xiàn)4）。為了防止這種攻擊，人們已經(jīng)提出了對(duì)挖礦協(xié)議的輕微修改。在修改后的版本中，礦工無(wú)法辨別部分難題求解答案和完整難題求解答案，以解決工作量證明問(wèn)題，并且無(wú)法選擇性地抑制完整的難題求解答案。

4.3 消除礦池(Eliminating pools)

雖然礦池適合小型礦工，可以減少礦工的風(fēng)險(xiǎn)和不確定性，但礦池會(huì)給系統(tǒng)引入一些中心化。礦池管理員本質(zhì)上是大量礦工的整合計(jì)算資源的控制者，因此權(quán)力非常大。一些研究人員提出挖礦協(xié)議的技術(shù)修改方案，徹底破壞公共礦池的存在（文獻(xiàn)7）。在該方案下，在找到區(qū)塊有效的難題求解答案后，挖掘該區(qū)塊的礦池成員仍然可以將報(bào)酬重定向到自己（而不會(huì)使難題求解答案失效）。假設(shè)大量礦工會(huì)為自己申請(qǐng)報(bào)酬，那么礦池將不會(huì)有利可圖，因此會(huì)解散。

5 攻擊和違反規(guī)則的經(jīng)濟(jì)學(xué)原理(The Economics of Attacks and Deviations from the Rules)

本文前面描述了一種礦工在比特幣協(xié)議中取得支配地位的方法——既可以獲利超過(guò)他/她應(yīng)得的份額，也可以在鏈中產(chǎn)生更多的區(qū)塊。迄今為止討論的方法沒(méi)有違反協(xié)議的任何規(guī)則；從某種意義上說(shuō)，允許礦工充分利用他們的硬件和基礎(chǔ)設(shè)施。本節(jié)討論直接違反協(xié)議規(guī)則的行為——礦工謀取自身利益以犧牲他人利益為代價(jià)。從某種意義上說(shuō)，這種策略的存在意味著協(xié)議的激勵(lì)結(jié)構(gòu)中存在根本性的缺陷：為了利潤(rùn)最大化的理性參與者不會(huì)遵循比特幣協(xié)議。

非正式地，協(xié)議規(guī)定任何節(jié)點(diǎn)：（1）驗(yàn)證它接收的每個(gè)新消息（區(qū)塊/交易）；（2）將所有有效消息傳播給其對(duì)等節(jié)點(diǎn)； （3）新區(qū)塊一旦創(chuàng)建立即廣播出去； （4）在節(jié)點(diǎn)本地已知的最長(zhǎng)鏈上構(gòu)建新區(qū)塊。對(duì)協(xié)議的攻擊對(duì)應(yīng)于這些規(guī)定中的一個(gè)或多個(gè)偏差/違反。

5.1 校驗(yàn)(Validation)

不校驗(yàn)傳入消息的礦工是脆弱的——下一個(gè)區(qū)塊可能包含他/她未校驗(yàn)的無(wú)效交易，或無(wú)效的前驅(qū)塊引用。其他節(jié)點(diǎn)會(huì)認(rèn)為這個(gè)新區(qū)塊是無(wú)效的并忽略它。這明確地激勵(lì)礦工在他們的區(qū)塊中只嵌入有效的交易并在接受之前校驗(yàn)每個(gè)新區(qū)塊。

有趣的是，盡管有這樣的邏輯，但有時(shí)礦工會(huì)在一個(gè)區(qū)塊之上挖掘，而沒(méi)有完全校驗(yàn)該區(qū)塊。這種做法被稱為SPV挖礦（SPV：simplified payment verification，代表簡(jiǎn)化的支付校驗(yàn)，通常指使用不讀取區(qū)塊完整內(nèi)容的瘦客戶端）。

為什么礦工會(huì)在未經(jīng)校驗(yàn)的區(qū)塊上創(chuàng)建新區(qū)塊？答案還是在于激勵(lì)機(jī)制。甚至在接收到區(qū)塊全部?jī)?nèi)容之前，一些礦工采用這樣的方法來(lái)得到新創(chuàng)建區(qū)塊的哈希ID（一種稱為間諜挖礦spy-mining的方法：加入另一個(gè)礦池來(lái)檢測(cè)區(qū)塊創(chuàng)建事件）。即使接收到一個(gè)區(qū)塊，校驗(yàn)其包含的交易也需要時(shí)間。在此期間，礦工意識(shí)到區(qū)塊鏈已經(jīng)長(zhǎng)了一個(gè)區(qū)塊。因此，為了避免挖礦設(shè)備在該區(qū)塊校驗(yàn)完成之前（極有可能是有效的）處于閑置狀態(tài)，礦工決定在該區(qū)塊之上繼續(xù)挖礦， 為了避免下一個(gè)區(qū)塊與未驗(yàn)證區(qū)塊的交易沖突的風(fēng)險(xiǎn)，礦工不會(huì)在下一個(gè)塊中嵌入新的交易，以期仍然能夠收集區(qū)塊的報(bào)酬。

確實(shí)有證據(jù)表明有礦工正在采取這種方法。首先，被挖掘的區(qū)塊中有一小部分是空的（即使許多交易正在等待批準(zhǔn)）。另一個(gè)證據(jù)與2015年7月發(fā)生的一起不幸事件有關(guān)。一個(gè)無(wú)效區(qū)塊（無(wú)意）由于bug而被挖掘，SPV礦工在其上增加了五塊額外的塊，而未做校驗(yàn)。當(dāng)然，其他校驗(yàn)礦工拒絕該區(qū)塊和任何引用它的區(qū)塊，導(dǎo)致網(wǎng)絡(luò)中有六塊長(zhǎng)的分叉。在分叉中丟棄的區(qū)塊可能包含雙重支出的交易。

這個(gè)事件顯示了SPV挖礦的危險(xiǎn)之處：SPV挖礦降低了比特幣的安全性，并可能在區(qū)塊鏈中引發(fā)分叉。幸運(yùn)的是，礦工大大提高了區(qū)塊的傳播和校驗(yàn)時(shí)間，所以SPV挖礦效果越來(lái)越差?？罩脜^(qū)塊獎(jiǎng)勵(lì)的下降（計(jì)劃中）也會(huì)降低礦工參與此類行為的動(dòng)機(jī)。

5.2 交易傳播(Transaction propagation)

比特幣協(xié)議的第二個(gè)重要方面與信息傳播有關(guān)：新的交易和區(qū)塊應(yīng)發(fā)送給網(wǎng)絡(luò)中所有對(duì)等節(jié)點(diǎn)。這里對(duì)遵守協(xié)議規(guī)定的激勵(lì)并不那么清楚。礦工甚至可能會(huì)抑制發(fā)送尚未被納入?yún)^(qū)塊的未確認(rèn)交易，特別是交易費(fèi)用較高的交易（文獻(xiàn)1）。礦工有很強(qiáng)的動(dòng)力來(lái)保持這種交易，直到他們成功創(chuàng)建一個(gè)區(qū)塊。向他人發(fā)送交易允許他們搶先獲得交易提供的報(bào)酬。迄今為止，大多數(shù)交易費(fèi)用相對(duì)較低，而且沒(méi)有證據(jù)表明高手續(xù)費(fèi)交易以這種方式被扣留。

接下來(lái)，讓我們把注意力轉(zhuǎn)到有意操縱區(qū)塊鏈的協(xié)議違反/偏差上。

5.3 私自挖礦(Selfish mining)

每當(dāng)?shù)V工創(chuàng)建一個(gè)新區(qū)塊時(shí)，比特幣協(xié)議表示新區(qū)塊應(yīng)該在礦工觀察到的最長(zhǎng)鏈條的頂部（即，最長(zhǎng)鏈的頂端為前驅(qū)），并且礦工應(yīng)該立即將新區(qū)塊發(fā)送給網(wǎng)絡(luò)中的對(duì)等節(jié)點(diǎn)。

不幸的是，礦工可以通過(guò)違反這些規(guī)則并有策略的行動(dòng)而受益（文獻(xiàn)5,11）。礦工的總體策略是不發(fā)布區(qū)塊并私自延伸公共鏈作為其私鏈。同時(shí)，公共鏈也被其他（誠(chéng)實(shí)）節(jié)點(diǎn)延伸。策略礦工只有在其私鏈長(zhǎng)度不能勝出的概率較低時(shí)才發(fā)布其私鏈。當(dāng)策略礦工這樣做時(shí)，所有節(jié)點(diǎn)都采用礦工突然釋放的較長(zhǎng)的鏈，如協(xié)議所規(guī)定的那樣，并且他們放棄了以前的公共鏈。

重要的是，這種行為增加了礦工在最長(zhǎng)鏈中的份額——也就是說(shuō)，它增加了最終產(chǎn)生的最長(zhǎng)鏈上的區(qū)塊的百分比。回想一下，比特幣系統(tǒng)會(huì)自動(dòng)調(diào)整工作量證明的難度，以保持區(qū)塊的創(chuàng)建速率不變。因此，從長(zhǎng)遠(yuǎn)來(lái)看，在區(qū)塊鏈中占有相對(duì)較大的塊數(shù)比例意味著礦工絕對(duì)報(bào)酬的增加。

沒(méi)有準(zhǔn)確的辦法來(lái)驗(yàn)證礦工是否從事私自挖礦。鑒于只有極少數(shù)區(qū)塊是孤立的，似乎私自挖礦還沒(méi)有被孤立區(qū)塊采納，至少?zèng)]有被大型礦工采納（能夠從私自挖礦中獲利最多的礦工）。一種解釋是，長(zhǎng)期嘗試這種操縱的礦工可能會(huì)損失他們的聲譽(yù)并引起社區(qū)的憤慨。另一種解釋是，這種方案需要在最初失去一些自己的區(qū)塊，并且只有長(zhǎng)期運(yùn)行才能盈利（協(xié)議重新調(diào)整難度級(jí)別大約需要兩周）。

5.4 雙重支出(Double spending)

雙重支出是對(duì)比特幣用戶的基本攻擊：攻擊者向網(wǎng)絡(luò)發(fā)布合法支付，等待它嵌入?yún)^(qū)塊鏈并讓受害者確認(rèn)，然后發(fā)布更長(zhǎng)的私自挖掘區(qū)塊鏈不包含這筆款項(xiàng)。這筆款項(xiàng)不再是最長(zhǎng)鏈條的一部分，就像“從未發(fā)生過(guò)”。

這種攻擊會(huì)帶來(lái)一定的風(fēng)險(xiǎn)：如果攻擊者的區(qū)塊不能成為最長(zhǎng)鏈的尾部，則可能失去對(duì)他/她的數(shù)據(jù)塊的報(bào)酬。令人驚訝，而且不幸的是，持久的攻擊者可以通過(guò)遵循更復(fù)雜的攻擊方案來(lái)消除這種風(fēng)險(xiǎn)（文獻(xiàn)12）。這些方案通過(guò)頻繁的放棄攻擊，發(fā)布私有的攻擊鏈，并為它的區(qū)塊收集報(bào)酬。通過(guò)在每次失去報(bào)酬的風(fēng)險(xiǎn)過(guò)高時(shí)重置攻擊，攻擊者可以彌補(bǔ)攻擊成本，甚至長(zhǎng)期盈利。這些方案本質(zhì)上是私自挖礦和雙重支出攻擊的組合。

目前，網(wǎng)絡(luò)中的雙重支出并不常見(jiàn)。這可能是因?yàn)槌晒?zhí)行的雙重支出是非常困難的，或者因?yàn)槟軌虺晒?zhí)行此類攻擊的礦工也對(duì)系統(tǒng)聲譽(yù)擁有重大利益。

6 結(jié)論(Conclusion)

激勵(lì)機(jī)制確實(shí)在比特幣協(xié)議中發(fā)揮著重要作用。激勵(lì)機(jī)制對(duì)于比特幣協(xié)議的安全性、及其日常運(yùn)行的有效性至關(guān)重要。正如本文所指出的，礦工為了最大限度地增加收入而費(fèi)盡心機(jī)，并且經(jīng)常會(huì)找到一些創(chuàng)造性的方法，而這些方法與比特幣協(xié)議并不符合。

加密貨幣的協(xié)議應(yīng)該建立在更加堅(jiān)實(shí)的激勵(lì)基礎(chǔ)之上。還有很多領(lǐng)域需要改進(jìn)，包括基本的挖礦報(bào)酬機(jī)制，交互共識(shí)機(jī)制，礦池的報(bào)酬分配機(jī)制，以及交易手續(xù)費(fèi)市場(chǎng)本身的方方面面。

7 作者簡(jiǎn)介

Dr. Aviv Zohar is a faculty member at the School of Computer Science and Engineering at the Hebrew University of Jerusalem, and a cofounder and chief scientist of QED-it. He has been researching the scalability, security, and underlying incentives of cryptocurrencies for several years.

Yonatan Sompolinsky is a Ph.D. student (final year) at the School of Computer Science and Engineering at the Hebrew University of Jerusalem, under the supervision of Dr. Aviv Zohar. He obtained an M.Sc. in computer science and a B.Sc. in mathematics from the Hebrew University. He is cofounder and chief scientist of DAGlabs.

8 參考文獻(xiàn)(References)

1. Babaioff, M., et al. 2012. On Bitcoin and Red Balloons. Proceedings of the 13th ACM Conference on Electronic Commerce: 56-73.

2. Ball, M., et al. 2017. Proofs of Useful Work. IACR Cryptology ePrint Archive: 203.

3. Carlsten, M., et al. 2016. On the Instability of Bitcoin Without the Block Reward. Proceedings of the ACM SIGSAC Conference on Computer and Communications Security: 154-167.

4. Eyal, I. 2015. The Miner's Dilemma. IEEE Symposium on Security and Privacy.

5. Eyal, I., Sirer, E. G. 2014. Majority is not Enough: Bitcoin Mining is Vulnerable. International Conference on Financial Cryptography and Data Security. Springer Berlin.

6. Fisch, B. A., Pass, R., Shelat, A. 2017. Socially Optimal Mining Pools. arXiv preprint.

7. Miller, A., et al. 2015. Nonoutsourceable Scratch-off Puzzles to Discourage Bitcoin Mining Coalitions. Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security.

8. Miller, A., et al. 2014. Permacoin: Repurposing Bitcoin Work for Data Preservation. IEEE Symposium on Security and Privacy.

9. Nakamoto, S. 2008. Bitcoin: A Peer-to-peer Electronic Cash System. Bitcoin.org; https://bitcoin.org/bitcoin.pdf.

10. Rosenfeld, M. 2011. Analysis of Bitcoin Pooled Mining Reward Systems. arXiv preprint.

11. Sapirshtein, A., Sompolinsky, Y., Zohar, A. 2016. Optimal Selfish Mining Strategies in Bitcoin. International Conference on Financial Cryptography and Data Security. Springer Berlin.

12. Sompolinsky, Y., Zohar, A. 2017. Bitcoin's Security Model Revisited. International Joint Conference on Artificial Intelligence, Workshop on A.I. in Security. Melbourne.

13. Zhang, F., et al. 2017. REM: Resource-Efficient Mining for Blockchains. Cryptology ePrint Archive. https://eprint.iacr.org/2017/179.

【本文是51CTO專欄作者石頭的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)作者微信公眾號(hào)補(bǔ)天遺石(butianys)獲取授權(quán)】

戳這里，看該作者更多好文