1. 引言

比特币的中本聪共识,通过顺序工作量证明(PoW)保障安全,通过实现无需可信身份的状态复制,彻底改变了去中心化系统。然而,其安全性在很大程度上是渐近分析的,导致用户对最终确定性的具体等待时间不确定。这种不确定性被双花攻击和自私挖矿等威胁所利用。

Li 等人(AFT '21)最近的工作为比特币的顺序 PoW 提供了具体的安全边界。Keller 和 Böhme 的这篇论文在此基础上提出了一个根本性问题:非顺序工作量证明能否提升安全性? 他们给出了肯定的回答,提出了一种基于并行工作量证明的原则性状态复制协议族,其中每个区块包含 $k$ 个并行求解的独立谜题。

关键创新在于自底向上的设计,从一个共识子协议出发,使得在对抗性同步网络中能够推导出具体的、有界的最坏情况失败概率。这允许更快的最终确定性——可能仅在一个区块之后——从而显著降低双花风险。

2. 核心概念与协议设计

2.1 顺序与并行工作量证明

根本性的架构转变是从链式(顺序)结构转向受有向无环图(DAG)启发的结构,用于区块内的谜题引用。

  • 顺序(比特币): 每个区块包含一个谜题,其解哈希值恰好指向一个前序区块,形成线性链。安全性依赖于最长链规则。
  • 并行(本文提出): 每个区块包含 $k$ 个独立谜题。当这些谜题中有足够数量的解被找到时,区块即为有效。这为每个区块创建了多个哈希引用(参见 PDF 中的图 1)。

这种并行性旨在使区块到达时间规律化,并增加每个区块的“权重”或“工作量”,使得攻击者在短时间内超越诚实链在计算上更加困难。

2.2 共识子协议 Ak

该协议族由一个核心的共识子协议构建而成,记为 $A_k$。参数 $k$ 定义了每个区块的并行谜题数量。协议按轮次运行:

  1. 谜题分发: 为候选区块定义 $k$ 个独立的密码学谜题。
  2. 并行挖矿: 矿工同时处理所有 $k$ 个谜题。
  3. 阈值达成: 当收集到预定阈值数量的谜题解(例如,全部 $k$ 个,或多数)时,区块被视为“已找到”并进行传播。
  4. 共识规则: 诚实节点采纳它们看到的第一个满足阈值条件的有效区块,遵循预定义的平局决胜规则。

重复执行 $A_k$ 即构成状态复制协议。这种模块化设计允许对单轮共识概率进行严格分析。

2.3 具体安全边界的推导

本文的主要贡献是提供了协议 $A_k$ 的最坏情况失败概率的上界。分析考虑了:

  • 网络模型: 具有已知最大消息延迟 $Δ$ 的同步网络。
  • 攻击者模型: 计算能力有界的攻击者,控制总哈希算力的 $β$ 比例。攻击者可以任意偏离协议(拜占庭式)。
  • 诚实多数假设: 诚实矿工控制哈希算力 $α > β$。

失败概率 $ε$ 被推导为 $k$、$α$、$β$、$Δ$ 以及谜题难度的函数。该边界表明,对于固定的总区块时间,增加 $k$(并相应调整单个谜题的难度)可以使 $ε$ 呈指数级下降。

2.4 参数优化指导

作者提供了在给定网络参数($Δ$)和攻击者强度($β$)的情况下,为目标失败概率 $ε$ 选择最优参数($k$,单个谜题难度)的方法论。

示例配置

目标: 1 个区块后的最终一致性。
参数: $k=51$,总区块间隔 = 10 分钟(与比特币相当),$Δ=2s$,$β=25\%$。
结果: 保证失败概率 $ε \leq 2.2 \cdot 10^{-4}$。
解读:攻击者需要尝试数千个区块才能成功进行一次一致性攻击。

作为对比,他们引用了在相同条件下优化的“快速比特币”(7 区块/分钟),其失败概率为 $9\%$,这意味着攻击者大约每 2 小时就能成功一次。

3. 技术分析与结果

3.1 数学框架与公式

分析将挖矿建模为泊松过程。令 $λ_h$ 和 $λ_a$ 分别为诚实网络和攻击者对于单个谜题的区块发现率。对于 $k$ 个并行谜题,发现完整区块(全部 $k$ 个解)的有效率会发生变化。

一个关键公式涉及攻击者在一个脆弱性窗口期间,能够秘密挖出一个在总谜题解数量上比诚实链更长的竞争区块的概率。该边界采用了类似于切尔诺夫界的形式,其中失败概率随着 $k$ 和诚实优势 $(α - β)$ 的某个函数呈指数衰减。

例如,攻击者在给定轮次中创建具有相同“权重”的竞争链的概率 $P_{\text{fork}}$ 可以被界定为: $$P_{\text{fork}} \leq \exp\left( -k \cdot f(α, β, Δ) \right)$$ 其中 $f$ 是从竞争条件分析中推导出的正函数。这清楚地展示了通过增加 $k$ 带来的指数级安全增益。

3.2 实验设置与仿真结果

本文通过仿真验证了其理论边界。仿真设置可能包括:

  • 一个离散事件仿真器,对矿工、网络延迟($Δ$)和并行挖矿过程进行建模。
  • 改变 $k$、$β$ 和 $Δ$ 的场景。
  • 指标:观察到的失败率(例如,成功双花的频率)、区块传播规律性、链增长。

报告的关键结果: 仿真证实,即使理论假设被部分违反(例如,网络延迟略高或攻击者哈希算力短暂增加),所提出的构造仍然具有鲁棒性。仿真中观察到的失败率远低于理论上界。

图表描述(推断): 一张图表可能将失败概率 $ε$ 的对数绘制在 Y 轴上,将并行谜题数量 $k$ 绘制在 X 轴上,针对不同的攻击者算力 $β$。这些线在对数图上会显示出陡峭的线性下降斜率,证明了指数级的改进。另一张图表可能比较了并行 PoW 与顺序 PoW 为达到相同 $ε$ 所需的最终确定性时间(以区块计),显示出并行 PoW 的显著减少。

3.3 性能对比:并行 PoW 与顺序 PoW

本文提供了一个引人注目的数值对比(总结于其表 3 中):

  • 目标: 单区块最终确定性(一致性)。
  • 条件: $β=25\%$,$Δ=2s$。
  • 并行 PoW ($k=51$): $ε \approx 2.2 \times 10^{-4}$。
  • 顺序“快速比特币”(7 区块/分钟): $ε \approx 9 \times 10^{-2}$。

这表示在保持相同平均区块生产速率(10 分钟)的同时,失败概率改善了超过400 倍。并行协议将一个高风险命题(9% 的失败概率)转变为一个高度安全的命题(0.022% 的失败概率)。

4. 批判性分析与专家解读

行业分析师视角:这不仅仅是一次渐进式调整;它是对工作量证明的根本性重新架构,揭示了比特币线性设计中潜在的效率低下。以下是我的看法。

4.1 核心洞见

本文的卓越之处在于将安全问题从“最长链”重新定义为“最重的工作包”。比特币的顺序模型本质上是随机且突发的——这是一种伪装成特性的安全缺陷。Keller 和 Böhme 认识到,对于最终确定性而言,重要的不是区块数量,而是在给定时间窗口内累积工作的不可逆性。通过并行化谜题,他们平滑了区块发现的泊松分布,使系统进展更具可预测性,从而更难被攻击。这类似于从彩票(一次大奖改变一切)转向工资(稳定、可预测的收入)。攻击者的任务从赢得一场高方差的竞赛转变为同时赢得许多方差较低的竞赛——这在统计上是注定失败的。

4.2 逻辑脉络

论证构建得非常优雅:(1) 承认具体边界是现实世界 PoW 应用缺失的一环。(2) 识别出顺序 PoW 的方差是具体性能不佳的根本原因。(3) 提出并行化作为方差减少机制。(4) 构建一个最小的共识原语($A_k$)来形式化分析这种减少。(5) 推导出边界,展示在 $k$ 上的指数级安全增益。(6) 通过仿真进行验证。逻辑严密。这反映了基础共识文献中的方法,例如 Castro 和 Liskov 的 PBFT 论文,也是从核心共识协议开始,然后构建完整的复制系统。

4.3 优势与缺陷

优势:

  • 可量化的安全性: 具体边界对于企业采用来说是游戏规则的改变者。你现在可以为区块链结算计算保险费率。
  • 更快的最终确定性: 对于许多应用而言,单区块最终确定性消除了巨大的用户体验和业务逻辑障碍。这直接攻击了 DeFi 的最大痛点。
  • 向后兼容的概念: 它仍然是纯粹的工作量证明,避免了权益证明的复杂性和主观性。矿工可以调整他们的硬件。
明显的缺陷与问题:
  • 通信开销: 传播每个区块的 $k$ 个解会增加带宽。本文对此轻描淡写,但在实践中,这可能是致命的。一个包含 51 个区块头的区块并非无关紧要。
  • 中心化压力: 并行挖矿可能有利于能够高效管理许多并发谜题计算的大型矿池,可能会加剧中心化——而这正是工作量证明旨在缓解的问题。
  • 现实世界网络假设: 具有已知 $Δ$ 的同步网络模型是出了名的乐观。互联网充其量是部分同步的。他们关于违反假设的鲁棒性声明需要更多的压力测试。
  • 没有免费的午餐: 在固定总工作率下提高的安全性很可能来自增加的方差减少,而这本身可能对矿工激励和空块挖矿产生其他意想不到的后果。

4.4 可操作的见解

对于协议设计者:这是一个蓝图。开始在侧链或针对高价值、快速最终确定性用例(例如证券结算)的新一层网络中试验并行 PoW。参数 $k$ 是一个强大的新调节旋钮。对于矿工:开始评估用于并行哈希计算的软件和硬件设置。第一个为此优化的矿池可能获得显著优势。对于投资者:关注引用本文的项目。这是严肃密码学工程的标志,而不是通常的启发式驱动的分叉。对于批评者:举证责任现在在你们身上。要否定并行 PoW,你们必须攻击其具体边界,或者证明其开销是致命的——模糊地诉诸“比特币经过验证的安全性”不再足够。这项工作将讨论从意识形态提升到了工程层面。

5. 分析框架与案例示例

评估新 PoW 协议的框架:

  1. 安全模型: 定义网络同步性($Δ$)、攻击者能力($β$)和腐败模型(例如,拜占庭式)。
  2. 核心原语: 识别最小的共识单元(例如,一轮 $A_k$)。
  3. 概率分析: 将挖矿竞争建模为随机过程。使用概率论(例如,泊松竞赛、切尔诺夫界)推导一轮内发生安全性违规(分叉)的概率。
  4. 组合: 使用比特币骨干论文 [Garay et al.] 中的鞅分析等技术,将单轮边界扩展到多轮(链增长)。
  5. 参数优化: 对于期望的失败概率 $ε_{target}$ 和已知的 $Δ, β$,求解协议参数(例如,$k$,谜题难度)。
  6. 仿真与鲁棒性检查: 针对模型违反(例如,可变的 $Δ$,临时的 $β$ 峰值)进行测试。

案例示例:设计一个支付通道枢纽
问题: 一个枢纽需要快速最终确定通道状态更新以防止欺诈。
框架应用:

  1. 模型: 枢纽运营商假设 $Δ < 5s$(受控环境),$β < 30\%$。
  2. 目标: 状态更新在 30 秒内具有最终确定性,且 $ε < 10^{-6}$。
  3. 分析: 使用并行 PoW 公式。计算得出,在总工作率相当于 30 秒区块时间的情况下,$k=20$ 个谜题可提供所需的 $ε$。
  4. 实现: 枢纽运行一个并行 PoW 侧链,其中每个“区块”是一批通道状态更新。参与者监视这条链,由于具体安全性很高,在 1 个区块(30 秒)后接受更新。
这展示了本文的方法论如何直接转化为具有已知、可量化风险的安全系统设计。

6. 应用前景与未来方向

直接应用:

  • 高价值资产结算: 并行 PoW 区块链可用于结算代币化证券或房地产,其中法律最终确定性直接映射到 1-2 个区块后的密码学最终确定性。
  • 支付通道骨干: 如案例所示,作为闪电网络等二层网络的高安全性最终确定性层,降低瞭望塔的复杂性。
  • 互操作性桥接: 具有快速最终确定性的并行 PoW 链可以作为跨链资产转移的可信枢纽,最小化桥接攻击的窗口期。

未来研究方向:

  • 混合设计: 将并行 PoW 与其他技术(如可验证延迟函数 VDF 或简洁证明)结合,以进一步减少通信开销和最终确定性时间。
  • 动态参数调整: 网络根据观察到的网络延迟($Δ$)和估计的攻击者能力($β$)自动调整 $k$ 的机制,类似于比特币的难度调整。
  • 形式化验证: 使用 Coq 或 Isabelle 等工具形式化验证具体边界和协议实现,类似于 TLS 协议的验证项目。
  • 能源效率再分析: 研究对于给定的能源消耗,单位时间内安全性的提升是否代表了区块链生态系统的净效率增益,这是后 ESG 时代的一个关键考虑因素。
  • 后量子并行谜题: 研究使用并行的后量子密码学谜题以使设计面向未来,借鉴 NIST 后量子密码学标准化进程的经验。
Keller 和 Böhme 的工作为下一代可证明安全、性能感知的共识协议开辟了丰富的设计空间。

7. 参考文献

  1. Keller, P., & Böhme, R. (2022). Parallel Proof-of-Work with Concrete Bounds. In Proceedings of the 4th ACM Conference on Advances in Financial Technologies (AFT '22).
  2. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  3. Li, J., et al. (2021). Bitcoin Security with Bounded Adversaries under Network Delay. In Proceedings of AFT '21.
  4. Garay, J., Kiayias, A., & Leonardos, N. (2015). The Bitcoin Backbone Protocol: Analysis and Applications. In EUROCRYPT.
  5. Castro, M., & Liskov, B. (1999). Practical Byzantine Fault Tolerance. In OSDI.
  6. Pass, R., & Shi, E. (2017). Fruitchains: A Fair Blockchain. In Proceedings of PODC.
  7. Gervais, A., et al. (2016). On the Security and Performance of Proof of Work Blockchains. In Proceedings of CCS.
  8. NIST. Post-Quantum Cryptography Standardization. https://csrc.nist.gov/projects/post-quantum-cryptography
  9. Buterin, V., et al. (2020). Combining GHOST and Casper. Ethereum Research.
  10. Bobtail: A Proof-of-Work Protocol that Achieves Low Inter-block Time. (2020). IACR Cryptology ePrint Archive.