选择语言

更优的工作量证明激励机制:基于有向无环图(DAG)的协议分析

分析一种利用DAG结构的新型工作量证明区块链激励方案,该方案能确保遵守协议成为最优的自私挖矿策略。
computingpowertoken.org | PDF Size: 0.2 MB
评分: 4.5/5
您的评分
您已经为此文档评过分
PDF文档封面 - 更优的工作量证明激励机制:基于有向无环图(DAG)的协议分析
查看PDF文档 下载PDF 翻译PDF
首页 » 文档 » 更优的工作量证明激励机制:基于有向无环图(DAG)的协议分析

1. 引言

这项源自苏黎世联邦理工学院的工作,旨在解决中本聪在比特币原始激励论证中的一个根本性缺陷。论文指出,理性的经济行为并不必然等同于遵守协议,自私挖矿策略便证明了这一点。核心问题在于,在传统的、结构为树状的工作量证明区块链中,拥有优势网络位置或强大算力的矿工,可以通过偏离协议(例如,扣留区块)来获利,从而危及系统稳定性。

1.1. 区块链博弈

像比特币这样的标准区块链形成一个树状结构。分叉会自然或恶意地发生,导致链重组,使得一些区块成为孤块,其创建者失去奖励。这种结构产生了不良激励,例如网络延迟等因素会影响矿工的盈利能力,从而鼓励非合作行为。

1.2. 我们的贡献

作者提出了一种新颖的区块链设计,其数据结构是区块构成的有向无环图,而非树状结构。配套的激励方案经过严谨设计,使得遵守协议构成一个严格的、强纳什均衡。任何偏离行为(如创建不必要的分叉)都会严格降低偏离者的奖励。这通过纯粹的自利动机保证了协议的遵守。

1.3. 直观概述

该协议确保矿工在创建新区块时,有动力引用所有已知的未被引用的区块。这将形成一个稠密的DAG,没有区块被丢弃。交易顺序的共识通过从这个DAG中选择一条“主链”来实现,这与其他协议类似,但奖励机制才是强制执行诚实行为的关键。

2. 协议术语与定义

该框架定义了关键概念:区块是DAG中的顶点,包含交易和对先前区块的引用(边)。末端区块是尚未被任何其他区块引用的区块。主链是通过确定性规则(例如,基于累积工作量证明)从DAG中选择的一条特定路径。区块$B$的奖励函数$R(B)$根据其在DAG结构中的位置和引用关系来定义。

3. 协议设计与DAG解读

矿工在创建新区块时,必须引用其本地DAG视图中所有的末端区块。这条规则并非通过协议强制命令来执行,而是通过奖励设计来保证:省略引用会降低新区块自身的潜在奖励。由此产生的结构是一个不断增长的DAG,其中区块拥有多个父区块。

3.1. 主链与全序

为了在交易顺序上达成共识(例如,防止双花),必须从DAG中提取出一条单一的链。论文建议使用已确立的方法,如应用于DAG的GHOST规则或最重链规则。所有不在主链上的区块仍然被包含并获得奖励,但其交易顺序将相对于主链的时间线来确定,正如Sompolinsky和Zohar在《比特币中的安全高交易率处理》等工作中所讨论的那样。

4. 奖励方案构建

这是提案的核心。区块$B_i$的奖励不是固定的铸币奖励。它被计算为一个函数,反映其对DAG稳定性和连通性的贡献。一种可能的表述(受原文启发)可以是:$R(B_i) = \alpha \cdot \text{基础奖励} + \beta \cdot \sum_{B_j \in \text{引用}(B_i)} f(\text{深度}(B_j))$,其中$\text{引用}(B_i)$是$B_i$引用的区块,$f$是一个衰减函数。这使得引用较旧的、未被引用的区块变得有利可图。

4.1. 激励机制细节

该方案旨在满足两个关键属性:1) 引用激励:对于任何新区块,添加对一个已知末端区块的引用永远不会降低,并且通常会增加其预期奖励。2) 分叉惩罚:如果矿工试图通过不引用最新区块来创建平行链(分叉),奖励机制确保分叉中区块的累积奖励严格少于它们诚实地在主DAG上构建时所能获得的奖励。这使得分叉在经济上是不理性的。

5. 核心洞见与分析视角

核心洞见

Sliwinski和Wattenhofer对加密经济学中最顽固的痛点进行了一次精准打击:个体理性与网络健康之间的错位。他们的工作揭示了中本聪最初的激励分析从根本上是不完整的——这是一个危险的疏忽,使得从比特币到以太坊1.0的每一个主要PoW链都长期暴露在自私挖矿的威胁之下。这里的卓越之处不在于创造了一种新的共识算法,而在于重新设计了收益矩阵本身。他们用数学形式化表达了业界长期以来凭直觉感受到的事实:在传统链中,诚实往往只是众多次优策略中的一种。

逻辑脉络

论证过程以优雅的博弈论精确性展开。首先,他们正确地构建了区块链参与作为一个具有不完全信息的重复博弈,其中树状结构天然地创造了区块包含的零和竞争。然后,他们的神来之笔:用DAG取代树,从而改变了博弈的性质。通过强制要求(通过激励而非规则)区块引用所有末端,他们消除了助长自私挖矿的“赢家通吃”动态。DAG变成了一种所有矿工都获得报酬来维护的公共品,而非战场。这与机制设计的基础工作(如Nisan等人在《算法博弈论》中概述的)相一致,其目标是构建规则,使得自私代理的效用最大化能导向社会期望的结果。

优势与不足

优势:为协议遵守提供严格纳什均衡的理论保证是里程碑式的。它直接反击了Eyal和Sirer描述的自私挖矿攻击。DAG结构也承诺在吞吐量和降低孤块率方面带来切实收益,类似于Spectre等项目,但具有更强的激励保证。该设计优雅而极简——它在不需要复杂密码学原语的情况下修复了激励问题。

不足:房间里的大象是实践复杂性。奖励函数可能需要全局DAG知识或复杂计算,与比特币简单的“最长链”规则相比,带来了显著的实现和验证挑战。安全分析虽然在博弈论模型中很稳健,但可能无法完全捕捉现实世界的细微差别,如协调的卡特尔行为或可变的交易费市场,这些可能创造新的攻击面。此外,随着DAG增长,引用所有末端的要求可能导致区块头膨胀,影响可扩展性——这是一个需要严格模拟的权衡。

可操作的见解

对于区块链架构师而言,本文是必读材料。其核心原则——通过结构设计实现激励对齐——应成为首要考虑因素,而非事后补救。虽然现有链采用完整协议可能具有挑战性,但其经验教训可以混合应用。例如,新的L1协议或以太坊合并后的共识层可以集成其引用激励的简化版本,以抑制扣留行为。监管机构应注意:这项工作表明区块链安全可以通过数学工程实现,超越了依赖“利他主义多数”的希望。下一步是行业需要通过广泛的基于代理的模拟(类似于Flashboys 2.0报告分析MEV的方式)来压力测试这一设计,以验证其在任何主网部署前的韧性。

6. 技术细节与数学框架

激励相容性使用博弈论证明。考虑一个算力为$\alpha$的矿工$m$。令$\mathbf{s}$为所有矿工的策略组合。令$U_m(\mathbf{s})$为矿工$m$的效用(预期奖励)。协议策略$\mathbf{s}^*$(总是引用所有末端)是一个纳什均衡,如果对于每个矿工$m$和每个替代策略$\mathbf{s}'_m$,满足:

$$U_m(\mathbf{s}^*_m, \mathbf{s}^*_{-m}) \geq U_m(\mathbf{s}'_m, \mathbf{s}^*_{-m})$$

论文构建了一个奖励函数$R$,使得对于任何涉及扣留引用或创建不必要分叉的偏离$\mathbf{s}'_m$,该不等式是严格的($ > $)。该函数可能包含:

  • 基于时间的衰减:引用一个区块的奖励随着区块变老而减少,鼓励及时包含。
  • 连通性奖励:一个区块获得的奖励与其直接或间接帮助确认的先前区块数量成正比。

区块$B$奖励的一个简化模型可能如下所示:

$$R(B) = \frac{C}{\sqrt{k(B) + 1}} + \sum_{P \in \text{父区块}(B)} \gamma^{\text{距离}(P)} \cdot R_{基础}(P)$$

其中$k(B)$是$B$引用的同时发布的区块数量(衡量分叉创建),$\gamma < 1$是衰减因子,$R_{基础}(P)$是父区块$P$的基础奖励。

7. 实验结果与性能

虽然提供的PDF摘录未包含明确的实验结果,但论文的主张暗示了相对于树状区块链的显著性能提升:

吞吐量增益

预计: 提升2-5倍

通过消除孤块,所有区块空间都用于处理交易。在树状结构中,分叉期间只有一个分支存活,浪费了另一个分支的容量。DAG利用了100%已创建的区块。

确认延迟

预计: 显著降低

由于没有自私挖矿导致深度重组的风险,被多个后续区块引用的交易可以更快地被认为是安全的,可能将安全确认时间从比特币的约60分钟减少到几个区块间隔。

安全阈值

理论值: < 50% 算力

该协议应能抵御任何算力份额低于50%的理性对手的攻击,因为攻击将变得严格无利可图。这优于标准比特币中自私挖矿的阈值(约25%)。

图表描述(概念性): 模拟图表将显示随时间变化的两条线:1) 在所提出的DAG协议中诚实矿工的累积奖励,以及2) 试图进行扣留攻击的偏离矿工的累积奖励。诚实矿工的线将持续高于偏离者的线,直观地展示了严格的纳什均衡。第二张图表将比较传统区块链(平坦或缓慢增长)与基于DAG的链(显示更陡峭、更高效的增长)的交易吞吐量(TPS)

8. 分析框架:一个博弈论案例

场景: 两个理性矿工,Alice(30%算力)和Bob(20%算力),在传统PoW链与所提出的DAG链中的对比。

传统链(树状): Alice发现一个区块。她可以立即广播(诚实),或者扣留它并开始挖掘一条秘密链(自私)。如果她扣留并在网络找到一个区块之前找到第二个区块,她可以同时发布两个区块,导致重组,使Bob可能找到的区块成为孤块,从而将其在该时期的奖励份额从30%可能提高到100%。Eyal和Sirer的模型表明,这对于$\alpha > 25\%$的矿工可能是有利可图的。

提出的DAG链: Alice发现一个区块$A_1$。奖励函数$R(A_1)$只有在引用所有已知末端区块(如果Bob找到了一个区块,则包括他的最新区块)时才能最大化。如果她扣留$A_1$以秘密挖掘$A_2$,她将因未链接到Bob的公开区块而丧失引用奖励。当她最终揭示她的链时,计算显示:

$$R(A_1) + R(A_2)_{\text{秘密}} < R(A_1)_{\text{诚实}} + R(A_2)_{\text{诚实}}$$

即使她造成了一个小分叉,协议的奖励机制也确保她的累积奖励更少。理性的选择是立即发布$A_1$并包含所有引用。Bob面临同样的计算。因此,双方唯一稳定的策略就是遵守协议。

此案例未使用代码,但说明了新激励方案如何改变了战略决策矩阵。

9. 应用前景与未来方向

直接应用:

  • 下一代L1公链: 新的工作量证明区块链可以从创世区块就采用此设计,以保证对矿池更强的安全性。
  • 混合共识: DAG激励模型可以适配于权益证明或委托权益证明系统,以抑制权益研磨或类似攻击。
  • Layer 2与侧链: 该原则可用于保护具有更快最终性的侧链或Rollup排序器,在这些场景中激励错位同样值得关注。

未来研究方向:

  • 动态费用市场: 将稳健的交易费拍卖(如EIP-1559)集成到DAG奖励模型中,同时不破坏激励相容性。
  • 抗量子计算准备: 探索更大的后量子密码学签名如何影响DAG的可扩展性和激励模型。
  • 形式化验证: 使用Coq证明助手或TLA+等模型检查器,对已实现协议进行博弈论属性的形式化验证。
  • 跨链激励: 将类似的激励对齐原则应用于管理区块链互操作性(跨链桥)的协议,以防止跨链MEV利用。

10. 参考文献

  1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  2. Eyal, I., & Sirer, E. G. (2014). Majority is not Enough: Bitcoin Mining is Vulnerable. In Financial Cryptography.
  3. Sompolinsky, Y., & Zohar, A. (2015). Secure High-Rate Transaction Processing in Bitcoin. In Financial Cryptography.
  4. Nisan, N., Roughgarden, T., Tardos, É., & Vazirani, V. V. (2007). Algorithmic Game Theory. Cambridge University Press.
  5. Lewenberg, Y., Sompolinsky, Y., & Zohar, A. (2015). Inclusive Block Chain Protocols. In Financial Cryptography.
  6. Buterin, V. (2014). Slasher: A Punitive Proof-of-Stake Algorithm. Ethereum Blog.
  7. Daian, P., et al. (2019). Flash Boys 2.0: Frontrunning, Transaction Reordering, and Consensus Instability in Decentralized Exchanges. IEEE Symposium on Security and Privacy.
  8. Sliwinski, J., & Wattenhofer, R. (2022). Better Incentives for Proof-of-Work. arXiv:2206.10050.