下载本文的PDF版本 PDF

比特币的潜在激励

驱动比特币协议运行的无形经济力量

Yonatan Sompolinsky 和 Aviv Zohar

除了作为管理和转移资金的协议外,比特币协议还创建了一个复杂的经济激励系统,来管理其内部运作。这些激励措施强烈地影响着协议的能力和安全保障,以及未来的发展路径。本文探讨了这些经济暗流、它们的优势和缺陷,以及它们如何影响协议。

比特币持续受到欢迎,它建立在一个开放的 P2P(点对点)节点网络之上。9 比特币系统是“无需许可的”——任何人都可以选择加入网络、转移资金,甚至参与交易授权。比特币安全的关键在于其对攻击者操纵的弹性,这些攻击者可能会选择以多个虚假身份加入系统。毕竟,任何人都可以下载比特币节点的开源代码,并将任意数量的计算机添加到这个网络中,而无需向他人表明身份。为了应对这种情况,协议要求参与系统的节点展示他们为解决困难的密码学难题(工作量证明)付出的计算努力,以便积极参与协议。

从事这种工作的节点被称为矿工。系统奖励矿工比特币,以奖励他们生成工作量证明,从而为这种努力的投入设置了激励。

参与者因在其计算机上运行软件而获得比特币报酬,这带来的第一个也是最明显的效果是,一旦比特币具有足够的价值,人们就开始大量挖矿。事实上,挖矿的努力加剧到如此程度,以至于大多数挖矿迅速转变为使用专用设备的专用计算机农场:首先,使用 GPU 来大规模并行化工作;然后,是为协议核心的特定计算量身定制的定制芯片或 ASIC(专用集成电路)(目前配备 ASIC 的机器在执行这项工作时比普通 PC 快约一百万倍)。比特币网络迅速发展壮大,变得更加安全,并且对协议定期发放的支付的竞争变得激烈起来。

在讨论比特币的安全性和其经济性之间的相互作用之前,让我们快速浏览一下协议本身的规则;这些规则孕育了这种复杂的相互作用。

比特币协议快速入门

持有比特币并希望转移比特币的用户,将交易消息(通过安装在他们的计算机或智能手机上的软件)发送到比特币网络上的一个节点。活跃节点从用户那里收集此类交易,并将它们传播到网络中的对等节点,每个节点都告知与其连接的其他节点有关请求的转移。然后,交易被聚合到称为区块的批次中。区块反过来被链接在一起,形成区块链,这是所有被接受的比特币交易的记录。链中的每个区块都通过包含其前一个区块的密码学哈希值(实际上是该前一个区块的唯一标识符)来引用其前一个区块。区块链的完整副本保存在比特币网络中的每个节点上。区块创建的过程称为挖矿。其结果之一(以及其他结果)是新币的印刷,我们称之为铸币

协议规则使得区块创建极其困难;只有当区块包含困难的密码学难题的答案时,才被认为是合法的。作为补偿,每当矿工成功创建区块时,他们都会获得比特币奖励。他们的奖励部分由新铸造的比特币组成,部分由从嵌入在其区块中的所有交易中收取的矿工费组成。目前每区块的铸币率是 12.5 个比特币。这个数量大约每四年减半。随着这个数量的减少,比特币开始越来越依赖交易费来支付矿工。

比特币运行的关键是让所有节点就区块链的内容达成一致,区块链充当系统中所有转移的记录。因此,区块被快速传播到网络中的所有节点。尽管如此,节点有时可能会收到两个不同版本的区块链。例如,如果两个节点设法在同一时间创建了一个区块,他们可能会持有区块链的两个不同的扩展。这些区块可能包含不同的支付集合,因此必须决定接受哪个版本。

比特币协议规定节点只接受最长链作为事件的正确版本,如图 1 所示。(更准确地说,节点选择包含最多累积计算工作的链。这通常是最长链。)这条规则通常被称为“最长链规则”,为比特币提供了安全性。想要欺骗节点相信发生了不同支付集合的攻击者,需要生成比网络其余部分更长的链——这是一项极其困难的任务,因为每个区块的创建都需要工作量证明。事实上,只要攻击者的计算能力低于整个比特币网络的总和,随着区块链上方链的增长,区块链中的区块和交易就变得越来越难被替换。

Bitcoins Underlying Incentives

替换链的这种困难意味着攻击者需要多次尝试才能成功。这些失败的尝试理应给攻击者带来成本——在最长链之外挖掘区块而没有获得相关的挖矿奖励。对于攻击者来说,幼稚的攻击确实代价高昂(更复杂的攻击将在后面讨论)。

图 1 显示了区块链的演变:当一个分支比另一个分支更长时,分叉出现并被解决。不在最长链上的区块最终被放弃。它们不再被扩展,它们的内容(红色交易)被忽略,创建它们的矿工也得不到奖励。在点 1,由于创建了一个没有引用区块链最新尖端的区块,因此出现了两条备选链。在点 2,分叉被解决,因为一条链比另一条链更长。在点 3,出现了另一个持续时间更长的分叉,在点 4,第二个分叉被解决。

比特币经济学 101:难度调整和挖矿的经济均衡

比特币的区块创建速率由协议大致保持恒定:区块以大约 10 分钟的预期随机间隔创建。如果区块创建速度过快,则生成区块所需的工作量证明的难度会自动增加。之所以设置这种机制,是为了确保当更多计算能力被添加到系统时,区块不会淹没节点。因此,无论投入多少计算能力用于挖矿,系统都以相对恒定的速率向矿工提供支付。

显然,随着比特币的价值(以美元计)上涨,挖矿业务(产生以比特币计价的支付)变得更有利可图。然后,更多的参与者发现加入矿工群体是有利可图的,因此,区块创建的难度增加。随着难度的增加,挖矿区块慢慢变得更加昂贵。在理想情况下,当区块创建成本等于提取的奖励金额时,系统达到均衡。事实上,挖矿将永远略有盈利——挖矿是有风险的,并且还需要对设备进行初始投资,奖励中的一些盈余必须对此进行补偿。因此,比特币的安全性有效地自我调整以匹配其价值:更高的价值也意味着协议的更高安全性。

随着挖矿奖励持续下降(按照协议的挖矿计划),创建区块的激励预计将更多地依赖交易费用。如果比特币交易量突然下降,这些费用可能不足以补偿矿工的计算资源。一些矿工可能会暂时停止他们的区块创建过程。这可能会危及系统,因为交易的安全性取决于所有诚实的矿工的积极参与。(有关挖矿下降后比特币激励机制的更多研究,请参阅 Carlsten 等人3

许多人抱怨,创建区块所需的计算浪费了资源(尤其是电力),并且除了给潜在的系统攻击者带来巨大成本外,没有其他经济目标。工作量证明确实是无用的密码学难题的解决方案——当然,除了这种“无用”的工作确保了比特币网络的安全。但是,如果某些工作可能是有用的呢?或者可以更有效地产生呢?如果挖矿不会给每个节点带来资源浪费,那么攻击者攻击系统也不会付出任何代价。事实上,如果工作量证明的求解成本较低,更多的诚实参与者就会加入挖矿(以收取奖励),并且难度调整机制很快会再次提高难度。因此,从某种意义上说,比特币的工作量证明旨在花费一定量的资源,而不管单个矿工变得多么高效。要在不增加抵消成本的情况下从挖矿中获得可观的收益,就需要一种对整个社会有用,但不能为单个矿工提供价值的工作量证明。(有关尝试使用其他问题作为工作量证明基础的一些尝试,请参阅 Ball 等人、Miller 等人和 Zhang 等人2,8,13

挖矿去中心化

比特币协议的关键方面是其去中心化:没有哪个单一实体比其他实体拥有先验的更多权力或对系统的控制权。这既促进了系统的弹性(系统没有单一的信任锚点或单一的故障点),也促进了不同参与者之间对挖矿费用的竞争。

为了维持这种去中心化,比特币中的挖矿活动由许多小实体完成非常重要,并且没有哪个单一矿工明显超过其他矿工。理想情况下,给予矿工的奖励应反映他们投入的努力量:贡献 α-部分计算资源的矿工平均应创建 α-部分区块,因此提取成比例的 α-部分分配的费用和区块奖励。

实际上,一些参与者可以因多种不同的原因从挖矿中不成比例地受益。这种不平衡的奖励分配会产生偏向于计算能力更强的大型矿工的偏见,使他们比小型同行更有利可图,并产生一种不断走向系统中心化的经济暗流。即使是轻微的优势也可能危及系统,因为矿工可以使用额外的回报来购买越来越多的计算能力,随着矿工的成长而提高挖矿难度,并将其他较小(因此利润较低)的矿工挤出局。由此产生的赢家通吃的动态不可避免地导致系统内的中心化,然后系统受制于占主导地位的矿工,并且无法保证任何安全属性。

ASIC 挖矿

ASIC 的出现最初引起了比特币社区的警觉。ASIC 在挖比特币方面的效率比以前的系统高出几个数量级。由于这种专用硬件最初不易获得,因此它为其所有者提供了比其他矿工更大的优势——他们可以以更低的成本挖矿。拥有这种优势的人会将基于 ASIC 的工作量证明添加到系统中,直到难度级别变得如此之高,以至于其他所有人都退出挖矿。当时的风险是,一个大型矿工将独家访问 ASIC,并将开始主导比特币系统。随着 ASIC 变得商业化并更广泛地分发后,担忧逐渐消退。

事实上,ASIC 挖矿实际上引入了有助于安全性的长期影响。本文稍后将介绍矿工如何进行有利可图的双重支付和自私挖矿攻击。但是,可以认为,即使是自私和有策略的矿工也最好避免此类攻击。的确,一位在挖矿设备(如 ASIC)上投资了数百万美元的矿工,在很大程度上投资于比特币的未来价值:矿工的设备预计将在未来很长一段时间内产生比特币支付。如果矿工然后使用这些设备攻击系统,对货币的信心将会下降,比特币和未来奖励的价值也会随之下降。因此,矿工的利益在某种意义上与系统的整体健康状况是一致的。

总而言之,ASIC 挖矿为系统引入了进入壁垒,因为普通人不能简单地加入挖矿行列;因此,它降低了去中心化程度。另一方面,它引入了一种退出壁垒的形式,因为矿工无法将其设备重新用于其他经济活动;因此,它有助于安全性。

竞争性加密货币(例如,Litecoin,它基本上克隆了比特币)的出现,其中一些加密货币使用与比特币相同的工作量证明,为希望将其挖矿能力转移到其他地方的矿工提供了替代方案。这引入了复杂的市场动态。例如,当特定货币失去一些价值时,矿工会将其挖矿能力转移到另一种加密货币,直到难度重新调整。这可能会导致区块创建的波动,从而破坏较小的加密货币的稳定性。

没有 ASIC 挖矿的替代系统

有趣的是,一些加密货币使用不同的工作量证明难题,这些难题被认为更能抵抗 ASIC 挖矿,即,他们选择难以设计专用硬件的难题;例如,以太坊使用 Ethash 难题。这通常是通过设计需要大量访问其他资源(例如内存)的算法问题来实现的,并且可以通过市售硬件有效地解决这些问题。

原则上,这些替代系统更加去中心化,但另一方面,它们缺乏退出壁垒效应及其对安全性的贡献。

当云挖矿变得高度可用时,也会发生类似的效果。一些挖矿实体通过云提供设备租赁。这些企业的客户实际上是没有在系统中长期投入的矿工。随着此类服务变得更便宜、更容易获得,任何人都可以轻松成为临时矿工,对安全性产生类似的影响。

ASICBOOST

回想一下,创建一个区块需要解决一个对该区块唯一的密码学难题。这涉及猜测密码学哈希函数的输入。解决难题主要通过暴力枚举不同的输入来完成。

矿工可以通过使用比其同行更有效的方法来创建区块来获得优势。除了更好的硬件外,优势还可以采取更算法的形式。事实上,一种名为 ASICBoost 的算法“技巧”最近成为了头条新闻。ASICBoost 使矿工能够重用在评估一个输入的期间执行的一些计算工作,用于评估另一个输入。该算法是专有的、正在申请专利的,并且不清楚谁在使用它,谁没有使用它。这种算法优势可以转化为每个哈希更低的功耗。Bitmain 是一家大型比特币挖矿 ASIC 制造商,也运营着一些矿池,最近有人指控该公司秘密部署 ASICBoost 的硬件变体以增加其利润。有人指控该公司在政治上阻止了一些协议改进,而这些改进会巧合地消除他们使用 ASICBoost 的能力。

通信

矿工变得更有效率的另一种方法是投资通信基础设施。通过更快地传播区块,以及更快地接收其他人的区块,矿工可以减少他们的区块不属于最长链而被丢弃(“孤块”)的可能性。由于链外区块没有奖励,因此更好的网络连接转化为更少的损失。诚然,以比特币目前的区块创建速度来看,这种优势相当微不足道;区块创建频率不高,将交付速度仅提高几秒钟带来的优势相对较小。尽管如此,更好的连接性是一种相对廉价的变得更有利可图的方法。

此外,当协议扩大规模并且交易处理加速时,通信的效果会变得更加明显。今天,比特币平均每秒清除三到七笔交易。更改比特币的参数以每秒处理更多交易将增加孤块率,并放大连接良好的矿工的优势。

规模经济

与任何大型实体一样,专业的矿工可能会享受到规模带来的经济效益。对于规模较大的挖矿业务,此类矿工更有可能投资于不同的优化,例如寻找更便宜的电力来源,或将其设备放置在更凉爽的地区,以便为他们的机器提供更有效的冷却(挖矿通常会消耗大量电力,而冷却机器是一个真正的挑战)。大型矿工还可以批量购买 ASIC,以获得更好的价格。所有这些都转化为规模的自然优势,这种现象并非比特币所特有,实际上出现在许多行业中。这些效应为大型矿工带来了优势,并慢慢地将系统拉向中心化。

许多人对今天的大部分比特币挖矿是由中国矿工完成的表示担忧。与其他地区的类似业务相比,他们可以更好地获得 ASIC、更便宜的电力和某种程度上更宽松的监管。中国政府严格控制进出中国的互联网流量,可以选择中断系统,甚至没收其境内的挖矿设备。

矿池和风险规避

比特币的挖矿过程产生非常高的回报,但对于每个小型矿工来说,概率非常低。一台全天候运行的 ASIC 挖出下一个区块的可能性可能不到 1/600,000,这意味着可能几年都没有找到一个区块。这种高风险/高回报的收益并不适合大多数人。许多人更喜欢长期获得少量、稳定的收入(这本质上是风险规避)。6 例如,稳定的收入流可以用来支付挖矿的电费。

矿池的形成

矿池是矿工的联盟,他们结合计算资源共同创建区块,并在矿池成员之间共享奖励。由于矿池的工作人员一起找到区块的频率远高于每个矿工单独找到区块的频率,因此他们能够更定期地向每位工作人员提供少量、持续的支付。

从比特币网络的角度来看,矿池只是一个单一的挖矿节点。矿池参与者与矿池的服务器交互,服务器将矿池正在处理的下一个区块头发送给所有工作人员。每个成员都尝试解决与该区块对应的密码学难题(事实上,他们使用相同区块的小变体,并处理略有不同的工作量证明难题,以避免重复工作)。每当工作人员找到解决方案时,都会将其发送给矿池管理器,矿池管理器反过来将区块发布到网络。区块为矿池提供奖励,矿池管理器然后将奖励分配给矿池的所有工作人员(减去少量费用)。

矿池内的奖励分配和可能的操纵

许多矿池是公开的,并且对任何愿意参与的人开放。显然,此类矿池必须采取措施,以确保只有真正为矿池的挖矿工作做出贡献的成员才能享受一部分奖励。为此,每位矿池成员都会向矿池发送工作量证明的部分解决方案——这些是“接近”成为完整区块的解决方案。部分解决方案比完整解决方案更常见,任何从事该问题工作的人都可以呈现源源不断的此类未达到目标的尝试。这表明工作人员确实在从事工作,并且可以用来评估每位工作人员投入到矿池的计算能力量。因此,矿池根据工作人员获得的份额数量按比例奖励工作人员(每提交一个部分解决方案,就会授予一个份额)。

幸运的是,找到难题有效解决方案的矿池成员无法窃取奖励。密码学难题取决于区块头,区块头受矿池管理器的控制。它编码了对区块本身内容的承诺(通过密码学哈希值),包括区块奖励的接收者。在找到特定区块头的有效解决方案后,就无法篡改区块头,否则会使解决方案无效。

尽管如此,矿池很容易受到策略性矿工的一些操纵

矿池跳跃。 在比特币的早期,矿池只是简单地将最新区块的奖励在所有工作人员之间分配,分配比例取决于每位工作人员提交的部分解决方案的数量。份额的数量是从同一矿池创建的上一个区块开始计算的。

一些工作人员想出了一种提高其奖励的方法:如果一个矿池运气不好,并且一段时间没有找到区块,就会累积许多部分解决方案(份额)。如果矿池随后找到了一个区块,其奖励将在许多份额之间分配。生成额外份额的工作与以前一样耗费成本,但正因为如此,收益预期很低。相反,工作人员可以切换到另一个最近找到区块的矿池,在另一个矿池中,每个额外的份额都授予更高的预期奖励。如果许多人都采取这种行为,那么一个暂时不成功的矿池实际上应该被所有理性的矿工完全抛弃。抗矿池跳跃奖励方案很快被开发出来,并被大多数矿池采用。10

区块扣留攻击。 虽然矿工无法窃取成功解决方案的区块奖励,但他或她仍然可以拒绝向矿池的其余成员支付奖励。矿工可以选择仅向矿池管理器提交部分解决方案,但丢弃所有成功的解决方案。因此,当其他人找到解决方案时,矿工会获得一部分奖励,而无需对矿池做出任何实际贡献。丢弃成功的解决方案会破坏矿池,并给攻击者带来少量收入损失。

尽管攻击者会遭受损失,但在某些情况下,矿池值得投入自己的一些挖矿能力来破坏其竞争对手:攻击者矿池通过将其一些矿工注册为受害者矿池中的工作人员来渗透受害者矿池。然后,这些工作人员执行区块扣留攻击。对成本和收益的仔细计算表明,在某些情况下(取决于攻击者和受害者矿池的规模),攻击是有利可图的。4 为了防止此类方案,已经提出对挖矿协议进行轻微修改。在修改后的版本中,工作人员将无法区分工作量证明难题的部分解决方案和完整解决方案,并且将无法有选择地扣留完整解决方案。

消除矿池

虽然矿池对小型矿工有好处,可以减轻他们的风险和不确定性,但它们为系统引入了一些中心化。矿池运营商基本上控制着许多矿工的综合计算资源,因此非常强大。一些研究人员提出了对挖矿协议进行技术修改的建议,该修改从根本上破坏了公共矿池的存在。7 在该方案下,在找到区块的有效解决方案后,挖掘该区块的矿池成员仍然能够将奖励重定向到自己(而不会使解决方案无效)。假设许多矿工会为自己索取奖励,那么矿池将无利可图,因此会解散。

攻击和偏离规则的经济学

本文前面描述了矿工如何在协议中变得更占主导地位的方法——既可以比他们应得的份额获得更多利润,也可以生成链中更多的区块。到目前为止讨论的方法没有违反任何协议规则;在某种意义上,期望矿工充分利用他们的硬件和基础设施。本节讨论直接违反协议规则的行为,这些行为允许矿工以牺牲他人为代价来获利。从某种意义上说,此类策略的存在意味着协议的激励结构存在根本性的缺陷:理性的利润最大化参与者不会遵循它。

非正式地,协议指示任何节点:(1)验证它收到的每条新消息(区块/交易);(2)将所有有效消息传播给其对等节点;(3)在创建后立即广播其自己的新区块;(4)在其已知的最长链之上构建其新区块。对协议的攻击对应于偏离这些指令中的一个或多个。

验证

不验证传入消息的矿工很容易受到攻击——下一个区块可能包含他或她未验证的无效交易,或引用无效的前一个区块。然后,其他节点会将此新区块视为无效并忽略它。这为矿工设置了一个明确的激励,让他们只在其区块中嵌入有效交易,并在接受每个新区块之前对其进行验证。

有趣的是,尽管有这种逻辑,但有时矿工会在未完全验证区块的情况下在区块之上挖矿。这种做法被称为 SPV 挖矿(SPV 代表简化支付验证,通常指的是使用不读取区块完整内容的瘦客户端)。

矿工为什么会参与在未验证的区块之上构建?答案再次在于激励。一些矿工应用方法来了解新创建的区块的哈希 ID,甚至在收到其全部内容之前(一种此类方法,称为间谍挖矿,涉及加入另一个矿池作为工作人员以检测区块创建事件)。即使收到区块后,也需要时间来验证它包含的交易。在此期间,矿工意识到区块链已经长了一个区块。因此,矿工决定在其上挖矿,而不是让挖矿设备闲置直到区块被验证,并假设它很可能是有效的。为了避免下一个区块将与未验证区块的交易发生冲突的风险,矿工不会在新区块中嵌入新交易,仍然希望收取区块奖励。

确实有证据表明矿工正在采取这种方法。首先,正在挖掘的区块中有一部分是空的(即使有很多交易正在等待批准)。另一个证据与 2015 年 7 月发生的一起不幸事件有关。由于一个错误,(无意中)挖出了一个无效区块,SPV 矿工在没有验证的情况下在其上添加了五个额外的区块。当然,其他验证矿工拒绝了该区块以及任何引用它的区块,导致网络中出现了六个区块长的分叉。在分叉中被丢弃的区块可能包含双重支付交易。

此事件显示了 SPV 挖矿的危险性:它降低了比特币的安全性,并可能触发区块链中的分叉。幸运的是,矿工大大提高了区块的传播和验证时间,因此 SPV 挖矿的影响越来越小。计划减少给予空区块的铸币奖励也将降低从事这种行为的动机。

交易传播

比特币协议的第二个重要方面与信息传播有关:新交易和区块应发送给网络中的所有对等节点。在这里,遵守协议的动机不是很明确。矿工甚至可能不愿意分享尚未包含在区块中的未确认交易,尤其是提供高费用的交易。1 矿工有强烈的动机将此类交易留给自己,直到他们设法创建一个区块。将交易发送给其他人会让他们抢先获得它提供的奖励。到目前为止,大多数交易费用都相对较低,并且没有证据表明高费用交易正以这种方式被扣留。

接下来,让我们将注意力转向旨在明确操纵区块链的挖矿协议偏差。

自私挖矿

每当矿工创建一个新区块时,协议规定它应该在矿工观察到的最长链之上创建(即,引用最长链的尖端作为其前任),并且矿工应该立即将新区块发送给网络对等节点。

不幸的是,矿工可以通过偏离这些规则并采取策略性行动来获利。5,11 矿工的一般策略是扣留区块的发布,并对公共链的扩展保密。同时,公共链由其他(诚实的)节点扩展。策略性矿工仅在不占优势成为最长链的风险过高时才发布链。当矿工这样做时,所有节点都会按照协议采用矿工突然发布的更长扩展,并且他们会丢弃之前的公共扩展。

重要的是,这种行为会增加矿工在最长链中的份额——这意味着,它增加了矿工生成的最终最长链上区块的百分比。回想一下,比特币会自动调整工作量证明的难度,以保持区块创建速率恒定。因此,从长远来看,链中区块的相对份额越大,转化为矿工的绝对奖励就越多。

目前尚无确定的方法来验证矿工是否在进行自私挖矿。考虑到极少区块成为孤块,似乎这种做法尚未被采用,至少大型矿工(他们从中获益最多)没有采用。一种解释是,长期尝试这种操纵的矿工可能会遭受声誉损失,并激怒社区。另一种解释是,这种方案最初需要损失自私矿工自己的一些区块,并且只有在长期来看才有利可图(协议大约需要两周时间来重新调整难度级别)。

双重支付

双重支付是对比特币用户的基本攻击:攻击者向网络发布合法的付款,等待其嵌入到区块链中并等待受害者确认,然后发布一条秘密挖掘的更长区块链,其中不包含此付款。然后,该付款不再是最长链的一部分,实际上是“从未发生过”。

这种攻击会带来风险:如果攻击者的区块最终没有出现在最长链中,他们可能会损失区块奖励。令人惊讶且不幸的是,持续攻击者可以通过遵循更复杂的攻击方案来消除这种风险12。其思路是频繁放弃攻击,发布秘密攻击链,并收取其区块的奖励。通过在丢失区块奖励的风险过高时重置攻击,攻击者可以消除攻击成本,甚至在长期内获利。这些方案本质上是自私挖矿和双重支付攻击的结合。

目前,网络中不经常观察到双重支付。这可能是因为成功执行双重支付很困难,或者是因为那些能够成功执行此类攻击的矿工也在系统的声誉中拥有重大利益。

结论

激励机制确实在比特币协议中发挥着重要作用。它们对于其安全性至关重要,并有效地驱动其日常运行。正如本文所论证的那样,矿工会不遗余力地最大化其收入,并且经常找到创造性的方法来做到这一点,有时这些方法与协议相悖。

加密货币协议应建立在更强大的激励机制基础上。仍有许多领域需要改进,范围从挖矿奖励的最基本原理及其如何与共识机制互动,到矿池中的奖励,一直到交易费用市场本身。

相关文章

实践研究:加密货币、区块链和智能合约
Arvind Narayanan 和 Andrew Miller
https://queue.org.cn/detail.cfm?id=3043967

比特币的学术渊源
加密货币的概念建立在研究文献中被遗忘的思想之上。
Arvind Narayanan 和 Jeremy Clark
https://queue.org.cn/detail.cfm?id=3136559

证书透明度
公开、可验证、仅追加的日志
Ben Laurie,谷歌
https://queue.org.cn/detail.cfm?id=2668154

参考文献

1. Babaioff, M., et al. 2012. On Bitcoin and Red Balloons. Proceedings of the 13th Conference on Electronic Commerce: 56-73.

2. Ball, M., et al. 2017. Proofs of Useful Work. IACR Cryptology ePrint Archive: 203.

3. Carlsten, M., et al. 2016. On the Instability of Bitcoin Without the Block Reward. Proceedings of the SIGSAC Conference on Computer and Communications Security: 154-167.

4. Eyal, I. 2015. The Miner's Dilemma. IEEE Symposium on Security and Privacy.

5. Eyal, I., Sirer, E. G. 2014. Majority is not Enough: Bitcoin Mining is Vulnerable. International Conference on Financial Cryptography and Data Security. Springer Berlin.

6. Fisch, B. A., Pass, R., Shelat, A. 2017. Socially Optimal Mining Pools. arXiv preprint.

7. Miller, A., et al. 2015. Nonoutsourceable Scratch-off Puzzles to Discourage Bitcoin Mining Coalitions. Proceedings of the 22nd SIGSAC Conference on Computer and Communications Security.

8. Miller, A., et al. 2014. Permacoin: Repurposing Bitcoin Work for Data Preservation. IEEE Symposium on Security and Privacy.

9. Nakamoto, S. 2008. Bitcoin: A Peer-to-peer Electronic Cash System. Bitcoin.org; https://bitcoin.org/bitcoin.pdf.

10. Rosenfeld, M. 2011. Analysis of Bitcoin Pooled Mining Reward Systems. arXiv preprint.

11. Sapirshtein, A., Sompolinsky, Y., Zohar, A. 2016. Optimal Selfish Mining Strategies in Bitcoin. International Conference on Financial Cryptography and Data Security. Springer Berlin.

12. Sompolinsky, Y., Zohar, A. 2017. Bitcoin's Security Model Revisited. International Joint Conference on Artificial Intelligence, Workshop on A.I. in Security. Melbourne.

13. Zhang, F., et al. 2017. REM: Resource-Efficient Mining for Blockchains. Cryptology ePrint Archive. https://eprint.iacr.org/2017/179.

Aviv Zohar 博士是以色列耶路撒冷希伯来大学计算机科学与工程学院的教员,也是 QED-it 的联合创始人兼首席科学家。多年来,他一直研究加密货币的可扩展性、安全性和潜在激励机制。

Yonatan Sompolinsky 是以色列耶路撒冷希伯来大学计算机科学与工程学院的博士生(最后一年),师从 Aviv Zohar 博士。他获得了希伯来大学计算机科学硕士学位和数学学士学位。他是 DAGlabs 的联合创始人兼首席科学家。

版权 © 2017 归所有者/作者所有。出版权已授权给 。

acmqueue

最初发表于 Queue vol. 15, no. 5
数字图书馆 中评论本文




更多相关文章

David Collier-Brown - 你对带宽一窍不通
当您的员工或客户说他们的互联网性能很差时,带宽可能不是问题。一旦他们拥有 50 到 100 Mbps 范围内的带宽,问题就在于延迟,即 ISP 的路由器处理他们的流量需要多长时间。如果您是一家 ISP 并且您的所有客户都讨厌您,请振作起来。现在这是一个可以解决的问题,这要归功于一群执着的人,他们追查到这个问题,解决了它,然后在家庭路由器中验证了他们的解决方案。


Geoffrey H. Cooper - 使用 FDO 和不受信任的安装程序模型的设备载入
设备的自动载入是处理正在安装的越来越多的“边缘”和物联网设备的重要技术。设备的载入与大多数设备管理功能不同,因为设备的信任从工厂和供应链转移到目标应用程序。为了通过自动载入来加速该过程,必须在设备中形式化供应链中的信任关系,以允许自动化过渡。


Brian Eaton、Jeff Stewart、Jon Tedesco、N. Cihan Tas - 通过关键路径追踪进行分布式延迟分析
低延迟是许多 Google 应用程序(如搜索)的重要功能,而延迟分析工具在维持大规模低延迟方面起着关键作用。对于包含功能和数据不断演变的服务的复杂分布式系统,将总体延迟保持在最低限度是一项具有挑战性的任务。在大型、真实的分布式系统中,现有的工具(如 RPC 遥测、CPU 分析和分布式追踪)对于理解整个系统的子组件很有价值,但在实践中不足以执行端到端延迟分析。


David Crawshaw - 一切 VPN 都焕然一新
VPN(虚拟专用网络)已经有 24 年的历史了。这个概念是为与我们今天所知的互联网截然不同的互联网而创建的。随着互联网的发展和变化,VPN 用户和应用程序也随之发展和变化。在 2000 年代的互联网中,VPN 经历了尴尬的青春期,与其他广泛流行的抽象概念交互不良。在过去的十年中,互联网再次发生了变化,这个新的互联网为 VPN 提供了新的用途。一种全新的协议 WireGuard 的开发为构建这些新的 VPN 提供了技术基础。



© 保留所有权利。

© . All rights reserved.