1. 引言

比特幣的中本聰共識機制,透過循序式工作量證明(PoW)保障安全,透過無需信任身份即可實現狀態複製,徹底改變了去中心化系統。然而,其安全性分析大多停留在漸近分析層面,使得使用者對於交易最終性的具體等待時間感到不確定。這種不確定性被雙重支付和自私挖礦等威脅所利用。

Li 等人(AFT '21)近期的研究為比特幣的循序式 PoW 提供了具體的安全界限。Keller 和 Böhme 的這篇論文在此基礎上提出了一個根本性問題:非循序式工作量證明能否提升安全性? 他們給出了肯定的答案,提出了一個基於平行工作量證明的原則性狀態複製協議家族,其中每個區塊包含 $k$ 個獨立且平行求解的密碼學難題。

關鍵創新在於從一個共識子協議開始的自底向上設計,使得在敵對的同步網路中能夠推導出具體、有界限的最壞情況失敗機率。這使得交易最終性得以加速——可能僅需一個區塊——從而顯著降低雙重支付的風險。

2. 核心概念與協議設計

2.1 循序式 vs. 平行式工作量證明

根本的架構轉變是從鏈式(循序)結構轉向受有向無環圖(DAG)啟發的區塊內難題引用結構。

  • 循序式(比特幣): 每個區塊包含一個難題,其解答的雜湊值指向恰好一個前序區塊,形成一條線性鏈。安全性依賴於最長鏈規則。
  • 平行式(本論文提出): 每個區塊包含 $k$ 個獨立難題。當這些難題中有足夠數量的解答被找到時,該區塊即為有效。這使得每個區塊產生多個雜湊引用(參見 PDF 中的圖 1)。

這種平行化的目的是使區塊到達時間規律化,並增加每個區塊的「權重」或「工作量」,使得敵手在短時間內超越誠實鏈在計算上變得更加困難。

2.2 共識子協議 Ak

該協議家族由一個核心的共識子協議建構而成,記為 $A_k$。參數 $k$ 定義了每個區塊的平行難題數量。協議以輪次方式運作:

  1. 難題分佈: 為候選區塊定義 $k$ 個獨立的密碼學難題。
  2. 平行挖礦: 礦工同時對所有 $k$ 個難題進行運算。
  3. 門檻達成: 當收集到預先定義數量的難題解答(例如全部 $k$ 個,或多數)時,該區塊被視為「已找到」並開始傳播。
  4. 共識規則: 誠實節點採用它們看到的第一個滿足門檻條件的有效區塊,並遵循預先定義的平局打破規則。

重複執行 $A_k$ 即形成狀態複製協議。這種模組化設計允許對單輪共識機率進行嚴格分析。

2.3 具體安全界限推導

本論文的主要貢獻是提供了協議 $A_k$ 的最壞情況失敗機率的上界。分析考慮了以下因素:

  • 網路模型: 具有已知最大訊息延遲 $Δ$ 的同步網路。
  • 敵手模型: 計算能力有限的敵手,控制總雜湊算力的一部分 $β$。敵手可以任意偏離協議(拜占庭式)。
  • 誠實多數假設: 誠實礦工控制的雜湊算力 $α > β$。

失敗機率 $ε$ 被推導為 $k$、$α$、$β$、$Δ$ 以及難題難度的函數。該界限表明,在固定的總區塊時間下,增加 $k$(並相應地調整單個難題的難度)可以指數級地降低 $ε$。

2.4 參數優化指引

作者提供了在給定網路參數($Δ$)和攻擊者強度($β$)的情況下,為目標失敗機率 $ε$ 選擇最佳參數($k$、單個難題難度)的方法論。

展示配置

目標: 1 個區塊後的資料一致性。
參數: $k=51$,總區塊間隔 = 10 分鐘(與比特幣等效),$Δ=2s$,$β=25\%$。
結果: 保證失敗機率 $ε \leq 2.2 \cdot 10^{-4}$。
解讀:攻擊者需要嘗試數千個區塊才能成功發動一次一致性攻擊。

作為比較,他們引用了在相同條件下經過優化的「快速比特幣」(7 區塊/分鐘),其失敗機率為 $9\%$,這意味著攻擊者大約每 2 小時就能成功一次。

3. 技術分析與結果

3.1 數學框架與公式

分析將挖礦建模為一個泊松過程。令 $λ_h$ 和 $λ_a$ 分別代表誠實網路和敵手對於單個難題的區塊發現速率。對於 $k$ 個平行難題,找到完整區塊(全部 $k$ 個解答)的有效速率會發生變化。

一個關鍵公式涉及敵手在一個脆弱性視窗內,能夠秘密挖出一個比誠實鏈更長(以總難題解答數量計)的競爭區塊的機率。該界限採用了類似於 Chernoff 界限的形式,其中失敗機率隨著 $k$ 和誠實優勢 $(α - β)$ 的函數呈指數衰減。

例如,敵手在給定輪次中創建一個具有相同「權重」的競爭鏈的機率 $P_{\text{fork}}$ 可以被界定為: $$P_{\text{fork}} \leq \exp\left( -k \cdot f(α, β, Δ) \right)$$ 其中 $f$ 是從競爭條件分析中推導出的正函數。這清楚地顯示了增加 $k$ 所帶來的指數級安全增益。

3.2 實驗設定與模擬結果

論文透過模擬驗證了其理論界限。實驗設定可能包括:

  • 一個離散事件模擬器,對礦工、網路延遲($Δ$)和平行挖礦過程進行建模。
  • 變更 $k$、$β$ 和 $Δ$ 的場景。
  • 衡量指標:觀察到的失敗率(例如,成功雙重支付的頻率)、區塊傳播規律性、鏈增長。

關鍵報告結果: 模擬結果證實,即使理論假設被部分違反(例如,網路延遲略高或敵對雜湊算力暫時增加),所提出的建構仍然穩健。模擬中觀察到的失敗率遠低於理論上界。

圖表描述(推測): 一張圖表可能將失敗機率 $ε$ 的對數繪製在 Y 軸,將平行難題數量 $k$ 繪製在 X 軸,並針對不同的敵手算力 $β$ 繪製曲線。這些線在對數圖上會顯示出陡峭的線性下降斜率,展示了指數級的改進。另一張圖表可能比較了平行 PoW 與循序 PoW 為達到相同 $ε$ 所需的交易最終性時間(以區塊數計),顯示平行 PoW 的顯著減少。

3.3 效能比較:平行式 vs. 循序式 PoW

論文提供了一個引人注目的數值比較(總結於其表 3):

  • 目標: 單區塊最終性(一致性)。
  • 條件: $β=25\%$,$Δ=2s$。
  • 平行式 PoW($k=51$): $ε \approx 2.2 \times 10^{-4}$。
  • 循序式「快速比特幣」(7 區塊/分鐘): $ε \approx 9 \times 10^{-2}$。

這代表在保持相同平均區塊生產速率(10 分鐘)的同時,失敗機率改善了超過400 倍。平行協議將一個高風險的提議(9% 失敗機率)轉變為一個高度安全的提議(0.022% 失敗機率)。

4. 關鍵分析與專家解讀

產業分析師觀點:這不僅僅是漸進式的調整;這是對工作量證明的根本性重新架構,揭示了比特幣線性設計中潛在的低效率。以下是我的看法。

4.1 核心洞見

論文的卓越之處在於將安全問題從「最長鏈」重新定義為「最重的工作捆綁」。比特幣的循序模型本質上是隨機且突發的——這是一個偽裝成特性的安全缺陷。Keller 和 Böhme 認識到,對於最終性而言,重要的不是區塊的數量,而是在給定時間視窗內累積工作的不可逆轉性。透過將難題平行化,他們平滑了區塊發現的泊松分佈,使系統進展更可預測,從而更難被攻擊。這類似於從彩票(一次大獎改變一切)轉向薪水(穩定、可預測的收入)。攻擊者的任務從贏得一場高變異數的競賽轉變為贏得許多同時進行的、低變異數的競賽——這在統計上是註定失敗的嘗試。

4.2 邏輯脈絡

論證建構得相當優雅:(1) 承認具體界限是現實世界 PoW 應用所缺失的一環。(2) 指出循序式 PoW 的變異數是導致具體效能不佳的根本原因。(3) 提出平行化作為降低變異數的機制。(4) 建構一個最小的共識原語($A_k$)來正式分析這種降低。(5) 推導出界限,顯示在 $k$ 上的指數級安全增益。(6) 透過模擬進行驗證。邏輯嚴密。這與基礎共識文獻(如 Castro 和 Liskov 的 PBFT 論文)中的方法相呼應,後者也是從核心共識協議開始,然後建構完整的複製系統。

4.3 優勢與缺陷

優勢:

  • 可量化的安全性: 具體界限對於企業採用來說是改變遊戲規則的。現在你可以計算區塊鏈結算的保險費率。
  • 更快的交易最終性: 對於許多應用而言,單區塊最終性消除了巨大的使用者體驗和業務邏輯障礙。這直接攻擊了 DeFi 的最大痛點。
  • 向後相容的概念: 它仍然是純粹的 PoW,避免了權益證明(PoS)的複雜性和主觀性。礦工可以調整他們的硬體。
明顯的缺陷與問題:
  • 通訊開銷: 傳播每個區塊的 $k$ 個解答會增加頻寬。論文對此輕描淡寫,但在實踐中,這可能是致命的。一個包含 51 個區塊頭的區塊並非無關緊要。
  • 中心化壓力: 平行挖礦可能有利於能夠有效管理多個並行難題計算的大型礦池,可能加劇中心化——這正是 PoW 旨在緩解的問題。
  • 現實世界的網路假設: 具有已知 $Δ$ 的同步網路模型是出了名的樂觀。網際網路最多只能算是部分同步。他們關於違反假設的穩健性聲明需要更多的壓力測試。
  • 沒有免費的午餐: 在固定總工作量速率下改善的安全性,很可能來自於變異數的降低,而這本身可能對礦工激勵和空區塊挖礦產生其他意想不到的後果。

4.4 可行建議

對於協議設計者:這是一個藍圖。開始在側鏈或針對高價值、快速最終性使用案例(例如證券結算)的新 L1 中試驗平行 PoW。參數 $k$ 是一個強大的新調節旋鈕。對於礦工:開始評估用於平行雜湊計算的軟硬體設定。第一個對此進行優化的礦池可能獲得顯著優勢。對於投資者:關注引用這篇論文的專案。這標誌著嚴謹的密碼學工程,有別於通常的啟發式分叉。對於批評者:現在責任在你們身上。要否定平行 PoW,你們必須攻擊其具體界限,或證明其開銷是致命的——模糊地訴諸「比特幣經過驗證的安全性」不再足夠。這項工作將討論從意識形態提升到了工程層面。

5. 分析框架與案例範例

評估新 PoW 協議的框架:

  1. 安全模型: 定義網路同步性($Δ$)、敵手能力($β$)和腐敗模型(例如,拜占庭式)。
  2. 核心原語: 識別最小的共識單元(例如,一輪 $A_k$)。
  3. 機率分析: 將挖礦競爭建模為一個隨機過程。使用機率論(例如,泊松競賽、Chernoff 界限)推導一輪內發生安全性違規(分叉)的機率。
  4. 組合: 使用類似於比特幣骨幹論文 [Garay et al.] 中的鞅分析等技術,將單輪界限擴展到多輪(鏈增長)。
  5. 參數優化: 對於期望的失敗機率 $ε_{target}$ 和已知的 $Δ, β$,求解協議參數(例如,$k$、難題難度)。
  6. 模擬與穩健性檢查: 針對模型違反(例如,可變的 $Δ$、暫時的 $β$ 峰值)進行測試。

案例範例:設計支付通道樞紐
問題: 一個樞紐需要快速最終化通道狀態更新以防止詐欺。
框架應用:

  1. 模型: 樞紐運營商假設 $Δ < 5s$(受控環境),$β < 30\%$。
  2. 目標: 在 30 秒內實現狀態更新最終性,且 $ε < 10^{-6}$。
  3. 分析: 使用平行 PoW 公式。計算得出,在總工作量速率等效於 30 秒區塊時間的情況下,$k=20$ 個難題可提供所需的 $ε$。
  4. 實作: 樞紐運行一個平行 PoW 側鏈,其中每個「區塊」是一批通道狀態更新。參與者監視這條鏈,由於具體安全性高,在 1 個區塊(30 秒)後接受更新。
這展示了論文的方如何直接轉化為具有已知、可量化風險的安全系統設計。

6. 應用前景與未來方向

立即應用:

  • 高價值資產結算: 平行 PoW 區塊鏈可用於結算代幣化證券或不動產,其中法律最終性直接對應於 1-2 個區塊後的密碼學最終性。
  • 支付通道骨幹: 如案例所示,作為閃電網路等 L2 網路的高安全性最終性層,降低監控節點的複雜性。
  • 互通性橋樑: 具有快速最終性的平行 PoW 鏈可以作為跨鏈資產轉移的可信樞紐,最小化橋樑攻擊的視窗期。

未來研究方向:

  • 混合設計: 將平行 PoW 與可驗證延遲函數(VDF)或簡潔證明等其他技術結合,以進一步減少通訊開銷和最終性時間。
  • 動態參數調整: 讓網路能夠根據觀察到的網路延遲($Δ$)和估計的敵手能力($β$)自動調整 $k$ 的機制,類似於比特幣的難度調整。
  • 形式化驗證: 使用 Coq 或 Isabelle 等工具對具體界限和協議實作進行形式化驗證,如同在 TLS 協議驗證等專案中所見。
  • 能源效率再分析: 研究對於給定的能源消耗,單位時間內安全性的提升是否代表區塊鏈生態系統的淨效率增益,這是後 ESG 時代的一個關鍵考量。
  • 後量子平行難題: 研究使用平行後量子密碼學難題以使設計面向未來,借鑒 NIST 後量子密碼學標準化過程的經驗。
Keller 和 Böhme 的工作為下一代可證明安全、具備效能意識的共識協議開闢了豐富的設計空間。

7. 參考文獻

  1. Keller, P., & Böhme, R. (2022). Parallel Proof-of-Work with Concrete Bounds. In Proceedings of the 4th ACM Conference on Advances in Financial Technologies (AFT '22).
  2. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  3. Li, J., et al. (2021). Bitcoin Security with Bounded Adversaries under Network Delay. In Proceedings of AFT '21.
  4. Garay, J., Kiayias, A., & Leonardos, N. (2015). The Bitcoin Backbone Protocol: Analysis and Applications. In EUROCRYPT.
  5. Castro, M., & Liskov, B. (1999). Practical Byzantine Fault Tolerance. In OSDI.
  6. Pass, R., & Shi, E. (2017). Fruitchains: A Fair Blockchain. In Proceedings of PODC.
  7. Gervais, A., et al. (2016). On the Security and Performance of Proof of Work Blockchains. In Proceedings of CCS.
  8. NIST. Post-Quantum Cryptography Standardization. https://csrc.nist.gov/projects/post-quantum-cryptography
  9. Buterin, V., et al. (2020). Combining GHOST and Casper. Ethereum Research.
  10. Bobtail: A Proof-of-Work Protocol that Achieves Low Inter-block Time. (2020). IACR Cryptology ePrint Archive.