1. 引言

本文探討區塊鏈安全性中的一個根本缺口:基於工作量證明的共識機制,特別是針對非序列式變體,缺乏具體、非漸進的安全界限。雖然比特幣的中本聰共識已被漸進分析,但其機率性質讓使用者對最終性感到不確定。Li 等人(AFT '21)近期的研究為序列式工作量證明提供了具體界限。本研究將此嚴謹性延伸至平行工作量證明,提出一個新的狀態複製協議家族(Ak),該協議每個區塊使用k個獨立的難題,而非單一鏈條。

其核心承諾是實現單區塊最終性,並具有可量化、極低的失敗機率,直接緩解了困擾比特幣等系統的雙重支付風險。

2. 核心概念與背景

2.1 序列式 vs. 平行工作量證明

序列式工作量證明(比特幣): 每個區塊包含一個難題解答,該解答以密碼學方式參照恰好一個前一個區塊,形成一條線性鏈。安全性依賴於「最長鏈」規則以及等待多次確認(例如,6個區塊)。

平行工作量證明(提議): 每個區塊包含k個獨立的難題解答。這些解答被匯總以形成一個區塊,創造出一種結構,其中多個工作量證明執行緒貢獻於單一狀態更新(參見PDF中的圖1)。此設計旨在提供更規律的區塊到達時間以及單位時間內更密集的工作量證明。

2.2 具體安全界限的必要性

漸進式安全性證明(例如,「對於足夠大的 n 是安全的」)對於實際部署是不夠的。它們無法告訴使用者需要等待多久確切風險是什麼。具體界限在給定特定網路參數(延遲 $Δ$)和攻擊者算力($β$)的情況下,提供了最壞情況下的失敗機率(例如,$2.2 \times 10^{-4}$)。這對於需要精確風險管理的金融應用至關重要。

3. 提議的協議:Ak

3.1 協議設計與共識子協議

協議家族 Ak 是從一個核心的共識子協議自底向上建構而成。這個子協議允許誠實節點以有界的失敗機率就當前狀態達成共識。透過重複此共識程序,建構出一個完整的狀態複製協議,該協議繼承了具體的錯誤界限。

關鍵設計原則:使用k個獨立難題來產生一個區塊。這增加了每個區塊間隔內的「工作量密度」,使得攻擊者要秘密建立一個同等權重的競爭鏈在統計上更加困難。

3.2 參數選擇與最佳化

本文為廣泛的假設提供了選擇最佳參數(主要是k和難題難度)的指引:

  • 網路同步性: 最壞情況下的訊息傳播延遲($Δ$)。
  • 敵對算力: 攻擊者控制的總算力比例($β$)。
  • 目標安全等級: 期望的失敗機率上限($ε$)。
  • 吞吐量/延遲目標: 預期的區塊時間。

例如,為了維持比特幣的10分鐘預期區塊時間,但具有更高的安全性,可以選擇每個區塊k=51個難題,每個難題相應地更容易解決。

4. 安全性分析與具體界限

4.1 失敗機率上限

主要的理論貢獻是推導出協議 Ak最壞情況失敗機率上限。失敗被定義為違反安全性(例如,雙重支付)或活性。這些界限表示為 $k$、$β$、$Δ$ 以及難題難度參數的函數。

該分析很可能建立並延伸了用於序列式工作量證明的「私有攻擊」和「平衡攻擊」模型,將其調整至平行環境,在該環境中攻擊者必須平行解決多個難題以進行競爭。

4.2 與序列式工作量證明(比特幣)的比較

安全性比較:平行工作量證明 (k=51) vs. 「快速比特幣」

情境: 攻擊者擁有25%算力($β=0.25$),網路延遲 $Δ=2s$。

  • 平行工作量證明(提議): 1個區塊後的一致性失敗機率 ≈ $2.2 \times 10^{-4}$。
  • 序列式工作量證明(「快速比特幣」,每分鐘7個區塊): 1個區塊後的失敗機率 ≈ 9%

解讀: 攻擊者對抗快速比特幣大約每2小時就能成功進行一次雙重支付,但對抗平行協議則需要「對數千個區塊進行運算而無一成功」。

5. 實驗結果與模擬

本文包含模擬以驗證理論界限並測試穩健性。

  • 界限驗證: 在模型假設下的模擬證實了推導出的具體界限成立。
  • 穩健性測試:部分違反設計假設(例如,不完美的同步性、略有不同的敵對行為)下的模擬顯示,提議的建構仍然穩健。這對於理想模型很少完美成立的實際部署至關重要。
  • 圖表描述(隱含): 一個關鍵圖表很可能會繪製失敗機率(對數尺度)對比攻擊者算力($β$),針對不同的k值。此圖表將顯示隨著k增加,失敗機率急遽、類似指數地下降,尤其是在中等$β$值時,直觀地展示了相對於序列式工作量證明(k=1的一條線)的安全性優勢。

6. 技術細節與數學框架

安全性分析取決於工作量證明競賽的機率模型。令:

  • $λ_h$:誠實集體解決難題的速率。
  • $λ_a = β λ_h$:攻擊者解決難題的速率。
  • $k$:每個區塊的難題數量。
  • $Δ$:網路延遲界限。

界限推導的核心涉及分析誠實網路與攻擊者之間的二項式或泊松過程競賽。攻擊者能夠在誠實網路在其節點間解決足夠數量難題之前,秘密解決k個難題(以建立競爭區塊)的機率,使用尾部分佈不等式(例如,Chernoff界限)進行界定。平行結構將問題轉化為攻擊者需要在誠實網路取得特定領先之前獲得k次成功,對於大的k,如果$β < 0.5$,這將變得指數級地不可能。一個簡化的概念界限可能如下所示: $$P_{\text{fail}} \leq \exp(-k \cdot f(β, Δ λ_h))$$ 其中 $f$ 是一個捕捉誠實節點優勢的函數。這展示了安全性隨 k 呈指數級改善

7. 分析框架:核心洞見與邏輯流程

核心洞見: 本文的突破不僅僅是平行難題——而是它帶來的可量化的確定性。雖然其他人(例如,Bobtail)啟發式地論證平行工作量證明能提升安全性,但這項工作是第一個從數學上精確界定平行度(k)、工作量速率和最終性時間之間權衡關係的研究。它將安全性從一個「等待並希望」的遊戲轉變為一個工程參數。

邏輯流程:

  1. 問題: 序列式工作量證明(比特幣)具有無界、機率性的最終性。漸進式界限對實務工作者無用。
  2. 觀察: 在區塊內平行化工作增加了鏈的統計「剛性」,使其更難被秘密超越。
  3. 機制設計: 建構一個最小化的共識子協議(Ak),利用此剛性。其安全性在同步模型中是可分析的。
  4. 數學化: 推導出 Ak 失敗機率的具體、可計算上限。
  5. 協議實例化: 重複 Ak 以建立完整的區塊鏈。安全性界限得以延續。
  6. 最佳化與驗證: 提供選擇k和難度的方法論,並進行模擬以展示穩健性。
此流程反映了傳統分散式系統(例如,Paxos家族)中看到的嚴謹安全工程,現在應用於無需許可的共識。

8. 優勢、缺陷與可行洞見

優勢:

  • 具體安全性: 這是皇冠上的寶石。它實現了風險調整部署。支付閘道現在可以說:「我們在1個區塊後接受交易,因為雙重支付風險精確為0.022%,低於我們的信用卡詐欺率。」
  • 單區塊最終性潛力: 大幅降低了高價值交易的結算延遲,這是區塊鏈在金融領域採用的關鍵瓶頸。
  • 參數化設計: 提供了一個可調節的旋鈕(k),以在安全性、吞吐量和去中心化(因為更容易的難題可能降低挖礦門檻)之間進行權衡。
  • 嚴謹的基礎: 直接建立在 Pass 等人建立的同步模型以及 Li 等人的具體界限工作之上,賦予其學術可信度。

缺陷與關鍵問題:

  • 同步模型的依賴: 整個分析建立在已知的 $Δ$ 之上。在現實世界(網際網路)中,$Δ$ 是一個機率變數,而非界限。模擬對假設違反的「穩健性」令人安心,但並非證明。這是所有同步區塊鏈證明中的根本矛盾。
  • 通訊開銷: 每個區塊匯總k個解答會增加區塊大小和驗證負載。對於k=51,這並非微不足道。本文需要更清晰地討論此開銷的可擴展性。
  • 礦工策略與中心化: 平行工作量證明是否改變了挖礦博弈論?它是否會以新的方式鼓勵礦池化(如比特幣所見)?分析假設誠實多數遵循協議——這是一個標準但常被違反的假設。
  • 比較基準: 與「快速比特幣」(每分鐘7個區塊)對比略有不公。更公平的比較可能是與單位時間內具有相同總算力的序列式工作量證明進行比較。然而,他們關於最終性速度的觀點仍然成立。

可行洞見:

  1. 對於協議設計者: 這是一個藍圖。Ak家族應成為任何需要快速最終性的新工作量證明鏈的起點,特別是在$Δ$可以合理界定的受控環境中(例如,聯盟鏈)。
  2. 對於企業: 停止使用「6次確認」作為口頭禪。使用此框架根據您的風險承受能力、估計的攻擊者算力和網路延遲來計算您自己的確認深度
  3. 對於研究人員: 最大的開放問題是橋接至部分同步或非同步模型。能否在這些更現實的模型中推導出類似的具體界限?此外,探索將平行工作量證明與其他最終性小工具(如以太坊的Casper)結合的混合設計。
  4. 關鍵下一步: 在測試網(例如比特幣核心的分叉)中實現此協議,並在真實網路條件下進行壓力測試。理論很有前景;現在它需要實戰經驗。

9. 未來應用與研究方向

  • 高頻交易結算: 基於區塊鏈的高頻交易需要亞秒級最終性且風險近乎為零。在低延遲、受管理的網路中,一個經過調校的平行工作量證明鏈可能是一個可行的解決方案。
  • 中央銀行數位貨幣: 對於批發型中央銀行數位貨幣,參與者是已知的且網路條件可以管理,平行工作量證明提供了一種透明、易於審計的共識機制,並具有可量化的結算風險。
  • 跨鏈橋與預言機: 這些關鍵基礎設施元件需要極高的狀態最終性安全性。一個專用於橋接共識的平行工作量證明側鏈可以提供比許多現有設計更強的保證。
  • 與權益證明的融合: 研究可以探索權益證明的「可平行化」版本或混合模型,其中安全性來自每個時段的多個獨立驗證者委員會,類似於每個區塊的多個難題。
  • 後量子考量: 雖然工作量證明本質上具有後量子抵抗性(對於尋找解答,而非驗證),但平行難題的結構可能透過要求對多個獨立密碼學問題進行平行攻擊,提供對抗量子敵手的額外韌性。

10. 參考文獻

  1. Keller, P., & Böhme, R. (2022). Parallel Proof-of-Work with Concrete Bounds. In Proceedings of the 4th ACM Conference on Advances in Financial Technologies (AFT '22).
  2. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  3. Li, J., et al. (2021). Bitcoin Security in the Synchronous Model: A Concrete Analysis. In Proceedings of AFT '21.
  4. Pass, R., Seeman, L., & Shelat, A. (2017). Analysis of the Blockchain Protocol in Asynchronous Networks. In EUROCRYPT.
  5. Garay, J., Kiayias, A., & Leonardos, N. (2015). The Bitcoin Backbone Protocol: Analysis and Applications. In EUROCRYPT.
  6. Bobtail: A Proof-of-Work Protocol that Achieves a Target Block Time and Lower Transaction Confirmation Times (Whitepaper).
  7. Buterin, V., & Griffith, V. (2019). Casper the Friendly Finality Gadget. arXiv preprint arXiv:1710.09437.
  8. Lamport, L. (1998). The Part-Time Parliament. ACM Transactions on Computer Systems.