张韧博士：我对所有除了中本聪共识以外的共识协议的偏见

4 月 9 日，Nervos & Cryptape 研究员、CKB 共识算法 NC-Max 的设计者张韧博士受邀参加了香港《Web3 学者峰会 2024》并在大会上发表了主题演讲 “My Biases against Every Consensus Protocol that is not Nakamoto Consensus”。

观看演讲视频（双语字幕，需在微信公众号文章中观看）：https://mp.weixin.qq.com/s/UWqZQGgZcMh5Zed_cxftOA

以下是根据张韧博士的英文演讲整理的内容（如和视频内容有出入，以视频为准）：

当我收到邀请来这里演讲时，我惊讶地发现这是一系列行业峰会中的一个学者会议。这个事实再次带出了我并不漫长的研究生涯中的核心问题：研究人员在区块链世界中扮演什么角色？更具体地说，我的角色是什么？研究人员到底是什么？

有些研究人员被视为神，他们变不可能为可能，并催生了一个巨大的产业，比如中本聪。有些则扮演神的角色，他们追求真理，不受法律和道德的约束。其他的是传达神谕的人，他们提醒人类自身的局限性，揭示宇宙的规律。但是，区块链世界不再需要神明和传达神谕的人。开发者和企业家们，他们不需要我们来告诉他们什么是不能做的。至少我还不足以成为这样的人。

因此，当我知道自己无法创造或揭示一些伟大的东西时，我便以摧毁那些自称伟大的东西为乐。我发现了自己真正的才能。这个发现源于我抨击了一个名为 Bitcoin Unlimited 的比特币扩容协议，我稍后会告诉你这个故事。我真正的才能是让别人不快乐。成为他人不快乐的罪魁祸首，给我带来了极大的快乐。我并不孤单。在查看了今天的议程后，我发现大多数演讲者都是公认的安全研究人员。选择成为一名安全研究人员意味着我们一定有什么深层次的心理问题。在德语中，甚至有一个词来形容这种快感，叫 Schadenfreude。

因此，我希望成为一只牛虻（gadfly，也指那些经常批评、激起争议或让人不安的人）。苏格拉底在为他的生命辩护时，将自己比作一只牛虻，叮住人们不放，鞭打他们，让他们愤怒，而这一切都是为了真理。我在这里做什么？我在这里传播偏见。这些是我的观点。有时，它们会被拒绝好几次，然后才被一些思想开放的审稿人所接受和发表。在学术界之外，这些观点有人爱，也有人恨。就像我母校的郑也夫教授过去常说的那样：” 博士学位使人有能力说服别人相信自己的偏见。没有偏见的人是多么无趣！”

《我对所有除了中本聪共识以外的共识协议的偏见》，这就是我演讲的题目。我将深入探讨五种不同类型的协议。我知道你们大多数人对以太坊感到好奇，所以我把它留到了最后。万一我讲得有点超时，主持人不得不打断我，他们会感到一点点内疚的！

首先，针对 Bitcoin Unlimited。下图是 Yonatan Sompolinsky，他是 GHOST 协议的设计者，也是 Kaspa 的创始人。在我博士生涯的早期，他曾指导过我。回到 2017 年，他在一次电话中告诉我：“比特币即将分裂成两条链，也许你能做点什么。”

图：Yonatan Sompolinsky

那么，当时发生了什么？对于那些太年轻而记不住事情的人来说，2017 年，有一场关于比特币应该如何提高吞吐量的比特币扩容辩论。矿工中最流行的方法是一个名为 Bitcoin Unlimited 的协议，它声称可以在不分裂网络的情况下提高区块大小限制。它的支持者对其优越性信心十足，以至于他们声称一旦成为超级多数，就会发动 51% 攻击。但社区担心的是它的安全性。Bitcoin Unlimited 的支持者声称，这种攻击将 “让攻击者付出的代价远远超过受害者”。

由于时间有限，我没有时间介绍其技术细节，我只谈一点。在 BU 中，没有区块有效性共识，这意味着对你来说有效的区块对其他人来说可能是无效的，每个矿工自己选择。有效区块意味着什么？每个矿工都有自己的区块大小限制。在这项研究中，我们分析了 BU 支持者在三种不同激励模式下的主张，结果表明 BU 在所有情况下都削弱了比特币的安全性。

从本质上讲，在 BU 中，攻击者可以生成一个区块，使得诚实的挖矿力量分裂成两条不同的链。最终，这两条链将汇聚，以至于一个攻击者的区块就能使多个诚实的区块成为孤块。所以在我看来，BU 的口号应该改为 “Bitcoin Unlimited 释放了潜在的攻击”。

我们的论文 “On the Necessity of a Prescribed Block Validity Consensus: Analyzing Bitcoin Unlimited Mining Protocol” 发表后，BU 的支持率立即下降。CoinDesk 报道了我们的研究成果，结束了围绕 BU 安全性的争论。几个月后，BU 的支持率降为零。这篇论文于年底发表在 CoNEXT 上。

第二，针对其他 9 个 PoW 协议。为了改进中本聪共识（NC，即 Nakamoto Consensus），我设计了一个模型，并评估了几十种想法，但没有一种是完美的。但这些有缺陷的想法还是不断地被发表出来，却没有或仅有部分安全评估。我认为人们需要了解情况。我有点羞于承认这符合 “如果我没有，你也不可以有” 的螃蟹心理。

许多协议声称可以改善 NC，但真正的问题是：有没有一种协议在安全性上全面超越 NC？ 为了评估这一点，我们首先需要了解如何改进 NC。

NC 的主要弱点是其链质量差，会导致三种攻击：

第一，自私挖矿攻击。 自私挖矿的过程与链质量攻击的过程相同，但这两种攻击的目的不同。自私挖矿者的目的是提高利润，而链质量攻击者的目的是提高主链区块的百分比。这两种攻击在其他共识协议中并不等价。

第二，双花攻击。 我想我可以跳过这一部分，大家都知道什么是双花攻击。

第三，审查攻击。 在审查攻击中，攻击者声称要使所有确认了某些交易的区块无效。如果一些矿工不同意攻击者的说法，攻击者就会试图使这些区块失效。虽然这种攻击的成功率很低，但对于诚实的矿工来说，理性的选择是加入攻击者，这样攻击者就成了事实上的所有者。

还有其他与挖矿相关的攻击，但它们并不直接针对共识协议。

我们的评估框架由四个指标组成。一个优于 NC 的协议需要实现更佳链质量，或者更好地抵御上述的三种攻击。 因此，我们将所有声称优于 NC 的协议分成了两组：

更佳链质量协议，它们声称 “我可以提高链的质量并从根本上解决所有攻击”，通常采用不同的分叉解决策略。
抗攻击协议，它们声称 “我不需要提高链的质量，我可以抵御攻击”。我们还进一步将这一组分为三个小组：

全部奖励协议：对失败者进行补偿，这样就没有动机去自私挖矿了。
惩罚协议：找到所有竞争区块，因此无论如何双花都会受到惩罚。
幸运奖励协议：只向某些幸运区块分配奖励，希望这些幸运区块作为稳定网络的锚点。

我们的结果显示，没有任何协议全面超越 NC。 它们要么只在某些攻击者场景中提高了链的质量，要么为了某一种攻击抵抗力而牺牲另一种。

我们发现了一系列针对特定协议的攻击，并深入探讨了这些协议无法实现目标的原因，这次演讲只能介绍两个。

第一，奖励并不能解决攻击问题。 试图设计一种新颖的激励机制来抵御某些攻击是一个常见的错误。攻击者有不同的动机，没有一种奖励机制能阻止所有攻击。我们发现了一个称为 “奖优罚劣 “的两难困境。如果奖励所有挖矿产品，那么就不存在双花的风险，因为双花的攻击者无论如何都会获得奖励。如果惩罚所有竞争区块，实际上是给攻击者提供了一种新的工具来进行审查攻击。如果只奖励幸运区块，攻击者就可以利用幸运区块索取奖励，利用不幸运区块攻击诚实的矿工。

第二个洞察是关于如何设计共识协议。我们不应设计过于复杂、难以分析的协议。我们也不应该只针对一种攻击策略、一种攻击者激励或者使用现实参数进行安全分析。 就像 Knudsen 过去常说的，” 如果一个协议无法证明是安全的，那么它很可能就不安全”。但实际上 Knudsen 从未说过这句话，他说的是：” 如果可以被证明是安全的，那么也有可能不是安全的”。但我认为，修改后的那句话也是有效的，除非你是中本聪。

我的这篇论文 “Lay Down the Common Metrics: Evaluating Proof-of-Work Consensus Protocols’ Security” 发表在 IEEE 2019。

由于时间有限，我将跳过第三部分 — — 分片区块链。大家只需记住，分片是非常困难的。

第四，针对两个基于 DAG 的协议。对于那些不太年轻的人，你们应该知道比特币在安全性能上是有取舍的。如果你想通过增加区块大小或缩短区块间隔来提升性能，你最终会得到更多的孤块，就像 Yonatan 在这张图中说明的那样。如果有更多的孤块，安全性和性能实际上都会变差：安全性会降低，因为攻击者可以用较少的挖矿算力秘密挖出更长的链；性能也会变差，因为所有浪费在传播这些孤块上的带宽都无助于交易确认。

我设计的 NC-Max 解决了这个问题， 今天没有时间介绍它的工作原理。你必须相信我，NC-Max 解决了这个问题。但要让 NC-Max 的论文 “NC-Max: Breaking the Security-Performance Tradeoff in Nakamoto Consensus” 发表出来也并不容易。在被接受之前，我们被拒绝了好几次。很难被接受的部分原因是，审稿人一直在问我们这样一个问题：“既然 DAG 协议已经解决了安全性能的权衡问题，为什么还要设计一个基于链的协议呢？” 这激发了我们进行另一项研究，用来说服社区相信 DAG 协议并不能解决安全性能的权衡问题。

什么是基于 DAG 的协议？为了实现更高的吞吐量，Yonatan 提议用有向无环图（DAG）取代区块链结构。每个区块都可以有多个前置区块，多个并发区块都可以为交易确认做出贡献。但是，早期基于 DAG 的协议要么安全保证薄弱，要么只能提供部分安全分析。

只有 Prism 和 OHIE 这两个基于 DAG 的协议可以证明其安全性。它们可以通过解耦交易、同步和确认来证明其安全性和性能。由于时间有限，今天没有时间介绍它们的工作原理，但它们的主要思想非常简单，和 NC-Max 类似。因此，交易确认的重任就落在了一系列由小区块组成的 NC 链上。为什么要在 DAG 协议中使用 NC 链呢？这样做的好处是你可以借用 NC 安全性证明，而 NC 安全性证明非常成熟和严谨。

它们真的能在安全性能上做出取舍吗？当然不能。这两个协议的问题在于存在一个隐藏的假设。它们使用多个小区块，希望这些小区块只有短暂而恒定的延迟，并且总是立即被接受，这样就可以摆脱安全性能权衡了。但这一假设并不成立，我们发现有两种现象表明这一假设是错误的。

第一种现象称为区块堵塞。假设网络每秒只能处理一个区块，你在 2 秒内挖出了三个区块，那么其中至少有一个区块无法在 2 秒内完成传播，无论它们有多小，带宽都是不够用的。

第二种情况称为 late predecessor。假设你有一个小区块，也就是橙色区块，它参考了大量的大区块。即使这个小区块立即传播给所有矿工，矿工也无法在其上挖矿，直到收到所有较大的前置区块。矿工必须等待大区块，尽管它们是小区块的前置区块。我们做了一些巧妙的数学分析，结果显示它们也会受到安全性能权衡的影响。

不过，要把这篇论文发表出来也不容易。因为审稿人一直在问我们这样一个问题：“既然基于链的协议已经解决了安全性能权衡问题，为什么还要分析基于 DAG 的协议呢？” 我知道可能有不同的审稿人，但这种讽刺的感觉是真实的。我花了两年时间写论文，就是因为你们说我的上一篇论文说服力不够。现在这篇论文完成了，你却告诉我你两年前就被说服了。所以我发现自己的处境很尴尬。为了让我的论文发表，我希望他们攻击的协议越来越受欢迎，让人们相信它值得攻击。

后来，“Security-Performance Tradeoff in DAG-based Proof-of-Work Blockchain Protocols” 这篇论文被 NDSS 接收，也就是接收 NC-Max 论文的那个会议。愿最好的会议能收到最好的论文。

最后，针对所有的 PoS 协议。对于那些喜欢技术部分的人，我很抱歉，这次演讲时间太短，不能浪费在攻击 PoS 协议上。如果你真的感兴趣，可以看看我 2019 年的演讲视频，我在那场演讲中花了一个小时来说明为什么 PoS 永远不可能像 PoW 一样安全。

还有多少攻击有待正式分析？我们做了一些简单的统计。我们的研究小组做了一个小项目，从 2020 年到 2022 年，出现在顶级 CS 会议的区块链论文有 585 篇。令人惊讶的是，PoW 的论文仍然多于 PoS 的论文。

我们发现了以下见解。对于中本聪共识的正式分析，研究人员发现它比之前认为的更安全。但对于 PoS 协议，研究人员发现了更多的攻击向量， 这些攻击向量基本上都在我 2019 年的演讲中得到了实例化。而新的 PoS 设计，我们并不确定它们能否实现 PoW 那样的安全性。目前还没有关于 PoS 生态系统的分析或测量研究，因为它们要么太中心化了，要么太同质化了。

一个特别的例子是以太坊的 PoS。我提到它是因为它太有趣了。在以太坊中，对某些人来说有效的区块对其他人来说可能是无效的，这意味着没有区块有效性共识。以太坊在发放奖励时使用同步模型，在确认区块时使用部分同步模型。回想一下，如果一个协议无法证明是安全的，那么它很可能就不安全。 因此，它可能会奖优罚劣。回想一下，奖励并不能解决攻击问题。

我觉得这是一个很好的研究课题。然而，我来得太晚了，因为很多研究人员已经像狼群一样扑了上去，其中一些问题已经解决了。以太坊声称拥有未来，但那些不记得过去的人注定会重蹈覆辙。

下一步是什么？有这么多研究人员在攻击以太坊，我很难找到新的角度，更不用说新的信息了。但我还是设法找到了一个，不过我写得很慢。因此，我将用我对以太坊最诚挚的祝福来结束这次演讲：在我完成之前，请不要死掉。

谢谢。