Conflux研究组 | 最重链规则的优势与隐患(1)

%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20200108142715

本期,我们来聊聊最重链规则。

在上一期,我们提到,最长链规则对孤块的出现频率非常敏感。

每次诚实节点生成一个“孤块”,就意味着诚实节点付出了算力,但没能成功地将链的长度增加一,也就没有为系统的安全性做出贡献。

如果孤块出现过于频繁,最长链增长的速率就会降低。

一旦这个速率低于攻击者生成区块的速率,攻击者就可以从任意早的地方发起攻击,最终追上最长链,从而改写区块链上的历史。

最重链规则在设计的时候,刻意削弱了“孤块”的影响。

在最重链规则下,如果从某一时刻开始,所有诚实者生成的区块都将一个区块 A 作为自己的祖先。
也就是说,这些新区块都在以区块 A 为根节点的子树中。那么,无论这些新生成的块中有多少“孤块”,区块 A 的子树权重增长的速率都不会打折扣。

对于区块 A 所有兄弟区块,只要攻击者的总算力低于诚实者的总算力,那么无论攻击者做什么,它的子树权重增长速率都很难赶上子树 A 的权重增长速率。最终攻击者没有能力改变 “区块 A 打败了它的所有兄弟” 这一事实。

对于 A的父亲区块、祖父区块等等,类似的结论同样成立。这样,区块 A 就成为了一个进入“最重链”的区块,且这个事实无法被攻击者逆转。

从以上分析可以看出,最重链规则完全不关心新生成的区块中有多少孤块,并具有这样的性质:“无论出块速度多快,最重链规则的攻击阈值都是>50%(即通常说的51%)”。

允许出块速度任意快,配合“树图结构”,可以将 TPS 提高到非常高。

但这次我们不想再重复强调 TPS了,我们来谈点新鲜的——交易确认时间。

出块速度和交易确认时间有什么关联呢?让我们从一个简单的概率实验谈起。

如果你有一枚硬币,但是这枚硬币不均匀,它有 2/3 的概率抛出正面, 1/3 的概率抛出反面,但是每次抛出的结果是相互独立的。

如果某个时刻,你已经抛出的正面总数比抛出的反面总数多了 21 个,那么根据概率论的知识,即便你继续抛下去,有超过 99.9999% 的概率,抛出正面的总数永远比反面多。

%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20200108144038

这个结论不会因为抛掷硬币次数多而改变——即便是一直抛到地老天荒,结论都是一样的。有兴趣的读者可以自己计算一下这个概率。

其实,交易确认与抛硬币的例子非常相似:硬币抛出正面对应着诚实节点生成了一个区块,抛出反面对应着攻击者生成了一个区块。如果攻击者和诚实节点生活在一个没有网络延迟的世界中,区块 A 以多大概率被确认完全取决于:

区块A的子树权重 - 区块A竞争兄弟的子树权重

(更严格的说,在“最重链规则”里,对于区块 A 到创世块这条链上的每一个区块,它和它的竞争兄弟的权重差值都会影响确认概率)

这个数值越大,意味着交易所在区块相对于竞争区块有更大的权重优势,也就更不容易被攻击者逆转。

假设诚实节点新生成的区块都在区块 A 的子树中,有 33% 活跃攻击者,则无论在什么出块速度下,上面说的权重优势大于 21 都可以保证 99.9999% 概率不被逆转。

而出块速度越快,就可以在越短的时间内积累起足够的子树权重差值,也就意味着确认时间更短。

在有网络延迟的世界里,网络延迟会对上面这个规则有一些影响。

在最差的情况下,攻击者生成的区块总能在第一时间传遍全网,而诚实节点生成的区块广播时却总是慢半拍。如果我们把这一因素考虑进去,上面的式子就会变成:

交易区块的子树权重† - 竞争兄弟的子树权重† - 还没有传遍全网的区块

(† 计算子树权重时,只考虑已经被所有节点收到的区块。)

在这种情况下,提高出块速度依然有助于交易的确认。

以上仅仅是从直观概念上解释出块速度和确认时间之间的关系,并非严格的数学推导与计算。包含确认时间和安全性的完整推导和证明的学术论文目前正在撰写中,不日即将发布。

根据我们推导出的确认规则和所做的实验,在出块速度为 4 区块/秒 时,Conflux 可以在 30 秒之内得到等同于比特币 6 个确认块的安全性!

虽然这只是实验环境下测得的结果,但是依然展示了将 PoW 链确认时间压缩进一分钟内的可行性。

不过,在区块链运行的过程中,实际情况往往比理想情况要复杂得多。

在前面的讨论中,我们实际上假设了诚实节点新生成的区块都在区块 A 的子树中。我们暂且称这样一个被所有诚实节点都承认在主链上的区块 A 是他们的公共祖先。

根据我们的实验结果,在没有攻击的情况下,主链上的区块确实很快都会成为公共祖先,然后就可以应用确认规则判断交易的安全性。

但是,目前没有任何一项研究表明主链(最重链)上的所有区块都一定会成为公共祖先。

而这个“不确定”的背后,就藏着最重链规则无法回避的隐患。

关于这个隐患,我们将在下期详细介绍。