POS:PoS為什么比PoW更能避免51%攻擊？

編者按：最近ETC發生51%攻擊，PoW的安全性問題被熱議，以太坊創始人V神也對此稱這證明從PoW轉為PoS是正確的選擇。Odaily星球日報邀請了上海交通大學副教授范磊，為我們分析為什么他認為PoS可能是更好的選擇。本文首發于Odaily星球日報，作者范磊，上海交通大學網絡空間安全學院副教授兼FractalPlatformCTO，原標題《區塊鏈共識協議的安全性及發展方向》。最近，在加密貨幣領域出現了一件重要的攻擊事件。以太坊經典在1月8號遭遇到了51%算力的雙花攻擊，根據不同的計算口徑，這次攻擊造成了數十到上百萬美元的損失。這是攻擊者首次成功實現針對排名靠前的主流密碼貨幣的51%算力攻擊，相對于這些可計算的現實損失，當前加密貨幣背后所面臨的深層次安全問題更加值得關注。1.什么是51%算力攻擊

目前以比特幣為代表的大多數密碼數字貨幣采用基于工作量證明的共識協議，參與工作量證明的礦工通過計算產生新的區塊使得區塊鏈不斷增長。由于區塊鏈是一個無中心的系統，任何人都可以嘗試從任何位置產生新的區塊。如果攻擊者掌握的計算資源比較少，則攻擊者生成的新的分叉增長速度就慢于公開的區塊鏈的增長速度，因此不會形成被誠實用戶所接受的長分叉。但是如果攻擊者掌握了超過誠實用戶的計算資源，則攻擊者所生成的新的分叉增長速度就會快于公開的區塊鏈的增長速度，他很容易形成一個新的更長的區塊鏈分支取代公開的最長區塊鏈。具體過程參見圖1與圖2。圖1.攻擊者算力較少圖2.攻擊者算力占優攻擊者的計算資源占優，簡單的數學描述就是攻擊者掌握了超過51%的計算能力，這也是51%算力攻擊名稱的由來。當攻擊者掌握了51%以上的計算資源，他的攻擊行為一定能夠成功。事實上，當攻擊者掌握足夠比例的計算資源，例如40%，如果以6個區塊作為確認長度，他就能以比較大的概率成功實現分叉的攻擊。一旦成功實施51%算力攻擊，區塊鏈就會發生最長鏈的切換，帶來的后果是已經在區塊上得到確認的交易數據可能會被擦除。如果這種攻擊是有意構造的，則攻擊者可以撤回已經在區塊上得到確認的高額交易數據，進而使得這部分數字貨幣可以重新使用。這種攻擊也就是我們常說的雙花攻擊，顯然這種攻擊行為嚴重破壞了密碼數字貨幣的安全性和公信力。2.這次攻擊為什么能成功

數據：Purpose以太坊ETF的持倉量達到4萬枚ETH:據歐科云鏈OKLink數據顯示，自4月21日推出以來，當前Purpose旗下以太坊ETF共計持有的以太坊數量已經達到4萬枚ETH。當前以太坊證券產品總市值已經達到51.11億美元，占以太坊的市值1.30%。[2021/5/18 22:13:41]

與一般的網絡安全攻擊不同，51%算力攻擊是早已為人所知的攻擊方法，這次攻擊者的整個攻擊行為與流程并沒有任何的新意。一般而言，基于PoW的密碼貨幣系統整體算力越強，控制其中51%的算力所需要的成本越高。由于大多數PoW算法具有相似的核心計算結構，算力可以容易地在不同密碼貨幣直接切換，甚至出現了可按照時間方便租賃的算力資源。網站Crypto51統計了針對不同數字貨幣進行1小時51%攻擊所要花費的成本以及可以從NiceHash借用的算力比例。其中針對ETC進行1小時51%攻擊只需要花費5116美元，且可以從NiceHash中租借到80%的算力，該攻擊發生的可能性不可以忽略的。另外一個不容忽略的因素是，PoW算法需要依賴大量的能源驅動挖礦運算。當密碼貨幣市場價值低于挖礦收益時，由于利益的驅動礦機將會關閉停止挖礦。此時會引起全網算力的急劇下降，這將使得51%攻擊更加容易實現。這次針對ETC實施的51%攻擊正是利用了這個時機。而對于新出現的基于PoW的密碼貨幣而言，由于全網的算力較低，因此攻擊成本更低。ETH遭受51%攻擊的可能性要小于ETC，因為ETH與ETC使用相同的挖礦算法，但ETH的全網算力大約是ETC的20倍。雖然如此，Ethereum的創始人Vitalik在此次攻擊事件發生之后依然發聲說此次事件證明了他準備從PoW轉向PoS的決定是正確的。3.基于PoW的區塊鏈還安全嗎

毫無疑問，在過去的10年中，以比特幣為代表的加密數字貨幣取得了巨大的成功，其安全性也得到了實際運行網絡的檢驗。不僅如此，密碼學家從理論上也證明了基于PoW區塊鏈的安全性。人們相信，數學是區塊鏈安全的基石，也就是所謂的InMathWeTrust。但是近年來的技術發展和研究表明，基于PoW的區塊鏈也有安全隱患。1）算力集中問題事實上，在比特幣等密碼數字貨幣系統中，由于超級礦池的存在，人們對算力集中的擔憂由來已久。大型的礦池以及利益相關者所組成的礦池聯盟可能掌握了接近甚至超過51%的算力。我們不能說這些大的算力集團會對系統發動51%算力攻擊，但是至少他們具備了發起這種攻擊的能力。2）算力黑天鵝隱患在當前的技術條件下，密碼數字貨幣的算力依賴于硬件運算速度以及能源供應。一個始終存在的隱患是，一旦出現了算力的跳躍式進步，系統的安全性可能面臨重大威脅。如由于快速算法的發明或者芯片工藝的換代，新計算資源可能會壓倒式超過原有資源，在此情況下系統的安全性將被完全破壞。上述分析表明，PoW區塊鏈的安全性并不是構建在數學基礎之上的，數學僅僅是物理資源和區塊鏈之間的粘合劑。一旦物理資源的安全性假設不成立，區塊鏈系統的安全性均會受到威脅。從系統層面看，基于PoW的區塊鏈依靠算力競爭來選取區塊生產者，也就是記賬人。算力對于區塊鏈生態系統本身來說屬于外部資源，某用戶可租用的算力大小與其持有的鏈上資產/利益不一定相關，再者算力租賃網站的出現使算力使用權可快速轉移。比如，礦場主或礦機生產商自有算力擁有者的利益與主鏈安全強綁定，但是算力租賃者則不然。算力多少是發起攻擊的唯一因素，如果采取自私挖礦等策略，可以在沒有達到51%算力的情況下對當前公有鏈進行攻擊，產生雙花。因此，在PoW區塊鏈系統中，外來的攻擊者可以通過投資計算資源威脅到數字貨幣已有的價值體系。由于現有的PoW算法高度同質化，大量的計算資源可以在系統內用戶完全不知曉的情況下注入進來，這個過程甚至可以不涉及任何生態系統中已有的任何用戶。借用《三體》中的一句話：“我消滅你，與你無關。”4.我們有沒有更好的選擇

BB：DPOS鏈存在的集中化更多在于延遲問題 而非TPS:8月24日，針對有推特網友表示“DPOS鏈比BTC更容易被壞人接管。這是DPOS做出的妥協，允許更高的TPS，以換取更多的集中化。”BB回應稱，我認為這更多的是延遲問題，而不是TPS。我可以創建一個能達到數千筆TPS的工作鏈證明。[2020/8/24]

近年來，越來越多的區塊鏈系統以及分布式共識協議被提出。其中一個重要的方向是基于權益的共識。PoS的提出最初主要是為了解決PoW存在的能源消耗問題。PoS與PoW本質目的相同，都是為了在區塊鏈網絡的參與節點中隨機選出一個節點來記賬。“隨機”一詞看似簡單，意味著公平、不可預測、不受惡意節點控制，但是在一個去中心化的網絡中其實很難做到，因為不存在一位上帝來擲骰子。PoW的隨機原則是擁有的算力越多越有可能成為記賬人，PoS的隨機原則是擁有的stake越多越有可能成為記賬人，看起來這兩者很相似，只是用來選舉的“憑證”不同，但是針對兩者的設計以及其所面臨的攻擊卻有很大的區別。PoS依靠stake來選取記賬人，參與選舉的人所擁有的stake都被記錄在區塊鏈上，stake占比——即某用戶持有的stake占區塊鏈上stake總數的比例。對于PoS要想進行51%攻擊，需要持有鏈上51%的stake，而stake的獲取只有從已有用戶手中購買而無法在系統外投資生產。因此對PoS系統發起51%攻擊的成本等于其從市場購買stake的成本。以ETC為例，目前ETC的發行總量是107,514,088ETC，若該共識算法是PoS，那對其進行51%攻擊需要持有53,747,044ETC，折合市值約229,542,578美元，而在PoW情況下通過租用算力僅需5000美元左右。其他數字貨幣針對PoS51%攻擊所需資金與針對PoW進行1小時的51%攻擊花費的對比如下表所示。并且在合法鏈上持有stake越多的人越傾向于維護該鏈，若將stake轉移租用給攻擊者，其面臨的風險要遠遠大于租用算力，因此攻擊者也難以通過租用獲得足夠多的stake。所以就51%攻擊而言，PoS比PoW更有優勢。這也是ETH要演進為PoS共識的重要原因。總而言之，相對于PoW來說，PoS最大的優點有兩點，一個是可以避免能源浪費，同時也降低了節點參與共識的成本，另一個是它提高了產生51%攻擊的門檻，在當前算力集中的形勢下，PoS相對于PoW來說更加安全。但是，就如一些全網算力較小的新興數字貨幣一樣，以PoS為共識算法的數字貨幣在初始階段也易受51%攻擊，因為初始時鏈上stake總量較小，發生51%攻擊所需的資金相應也比較少，所以需要在初始啟動的時候加強安全防護，提前準備好應對策略。5.PoS共識協議的擔憂與應對

PundiX于亞馬遜開售手持式加密POS機:數字貨幣支付公司PundiX宣布，已于亞馬遜上開售手持式加密收款機PundiXPOSX2。據介紹，導入該系統的商家可通過XPOS支持比特幣、以太坊及NEM等超過20種加密貨幣進行支付。（Coinpost）[2020/6/8]

相比于PoW已經在多個區塊鏈項目中得到了成功的應用，PoS共識協議目前還沒有得到大規模的應用，因此不少人對PoS共識協議存在各種擔憂。我們在此針對PoS可能存在的攻擊與弱點逐一進行分析。1）PoS是集中化的系統在PoS算法研究之初，眾多的研究者很自然地受到了分布式計算理論與密碼學研究的啟發。拜占庭容錯協議是用于在分布式環境中達成共識的經典算法，因此大多數已經提出的PoS共識算法可以看做是BFT的某種變形形式。BFT算法的優點是在理想的網絡環境中確認延遲較短，但其又因為較高的通信復雜度限制了參與共識的節點數目，因此在全球范圍的公有鏈中不能直接使用。在EOS、Algorand等系統中，通過選擇部分代表實現類拜占庭協議實現共識，因此給人帶來了PoS是集中化協議的主觀印象。實時上，目前的研究也已提出了類似PoW的競爭性PoS協議，完全不用擔心PoS是集中化的系統。2）PoS新鏈冷啟動不安全一個觀點是，由于PoS系統的共識節點是由Token所確定的，而系統必須要有預先的token分發才可冷啟動，因此PoS系統的控制權屬于少量的早期參與者，這些壟斷者可能為了獲得超額利益而作惡甚至不惜破壞整個系統實現雙花等攻擊。在實際中這些擔心是不存在的，理由如下：a)目前區塊鏈的生態發展已經較為成熟，新的區塊鏈主鏈上線前往往經過了多輪的募資活動，因此即便是創始團隊也不可能控制過多的Token份額。并且理性的團隊也不會追求對份額的過多控制，只有Token足夠分散系統才有安全性。b)在PoS系統中，Token的擁有者的權益完全體現在Token的價值中。引起有更大的動力維護系統的安全，因此更加不容易參與惡意行動。而在PoW系統中，攻擊者實施攻擊獲取短期利益后可將算力等硬件投資轉移到其他區塊鏈系統中，因此采取惡意行為的可能性更高。c)在新區塊鏈的啟動階段，如果采用PoW協議，外部的計算資源可以不受控制的涌入系統中。此時由于全系統總算力不高，攻擊者利用較少的資源即可完成攻擊，因此PoW區塊鏈的冷啟動階段更加不安全。事實上，除了比特幣、以太坊等已經聚集了大量算力的PoW區塊鏈，新產生的區塊鏈均面臨此問題。前一階段BCH分叉帶來的算力競爭就體現了新鏈啟動的危險性，為了避免被攻擊往往是中心化的礦池來維持早期的安全性，因此集中化程度比PoS更高。3）PoS財富集中化嚴重在前面的討論中，我們已經分析了在啟動階段PoS區塊鏈往往已經實現了Token的初始化分配。初始得到的Token在后續的區塊鏈生長過程中確實會帶來進一步的投資收益，因此有人擔心富者越富造成財富集中化。針對此問題，我們分析如下：a)在任何經濟系統中都會出現財富集中化現象，在PoS系統中并沒有更嚴重。已有的經濟學研究表明，即便在最公平的經濟系統中也會出現財富集中現象。我們常說的財富二八分配現象正式財富集中現象的體現。PoS系統的初始Token分配比大多數成為巨無霸的上市公司在初始階段的股權分配更加分散與透明。b)只要提供了公平透明的交易環境，財富集中化現象并不會無限放大無需擔心。如果Token能夠在二級市場自由流通，Token自然會得到一個市場公允的價格估值。如果獲得了足夠的利益吸引，原始投資者也會拋售獲利；如果對系統前景看好，后來的投資者也會理性購買。因此完全不用擔心后來者買不到，或財富完全集中化。實際上，由于參與PoW系統挖礦需要大量的硬件投資與電力投入，零散的參與者從成本上看遠遠不如大型的礦池，在幣價市場波動的時候往往也是規模小的挖礦者首先退出，因此在PoW系統中財富和算力的集中化會更加明顯。4）PoS將會遭受Nothing-at-Stake攻擊Nothing-at-Stake是指在PoS系統中，由于嘗試產生一個區塊并不會消耗大量的硬件資源，所以攻擊者可以不遵守協議而在不同的區塊后面都嘗試產生新的區塊。這給我們一個明確的直覺，PoS系統更容易產生分叉。但是設計良好的PoS系統完全可以抵抗NothingatStake攻擊。我們撰寫的一篇論文中給出了一種全新的PoS協議iChing，此協議是類似PoW的競爭性共識協議。論文對GreedyAttack進行了理論分析，結果表明攻擊者貪婪地嘗試在鏈的任意位置進行擴展確實會讓攻擊者得利，但是其獲利并不是無限大的。其表現在若攻擊者與誠實節點持有相同占比的stake，攻擊者產生的鏈的增長速度最多會達到誠實鏈的e倍，因此PoS所能容忍的惡意stake比例不超過30%。針對這種情況，論文給出了一種應對策略，在鼓勵誠實節點適度貪心的策略下，所能容忍的惡意stake比例能達到43%以上。因此NothingatStake并不是一種不能克服的攻擊行為。5）PoS將會遭受Long-Range攻擊Long-Range攻擊是指攻擊者通過長期的時間積累對PoS系統進行攻擊的手段，其具體的表現形式可能各有不同。最直接的Long-Range攻擊是攻擊者搜集或者購買在過去的某個時間點有效的大量stake賬戶，從而從較早的時間點開始發起分叉。論文中提出了一種屬于Long-Range的攻擊策略，叫做Stake-Bleeding攻擊。在這個攻擊中，攻擊者通過長時間隱秘的分叉挖礦，積累足夠多的獎勵token后發起分叉攻擊。論文中對Long-Range的攻擊手段做了分類總結，總體而言Long-Range攻擊需要較長時間的準備以及運行才能實施。針對這個特點Long-Range可以采用相應的技術手段加以避免或者消除，其中包括設立定期的檢測點。事實上，為了提高區塊鏈的驗證速度，檢測點技術在PoW區塊鏈中也經常被采用。因此Long-Range攻擊對真實的PoS區塊鏈系統并不能產生嚴重威脅。6.下一代區塊鏈應滿足的特性

以太坊2.0或將再被推遲 多個競爭對手或搶先運行PoS共識:5月23日，The Daily Hodl發布分析文章稱，以太坊2.0的發布可能會再次推遲，因為開發者計劃在2020年6月升級股權證明（PoS）算法。主要原因是系統中存在多個bug，以及競爭對手正努力超越以太坊以成為市場上第一個成功實現股權證明的區塊鏈。不斷尋找代碼錯誤是推遲最初計劃于2020年1月啟動以太坊2.0的主要原因。由于負責存儲區塊鏈數據和驗證區塊的是客戶端，因此確保它們完全同步是非常重要的。目前，Ethereum 2.0有7個客戶端正在開發中，大多數客戶端都在為Schlesi測試網絡進行優化。Ethereum 2.0的Schlesi測試網絡非常成功，為6月份基于0.12規范的更正式的測試網絡帶來了希望。該小組目前進行的大部分工作致力于糾正代碼中的錯誤和改進檢測方法。但是，以太坊“多客戶端模式”造成了延遲，因為人力資源不足以確保最佳開發。然而擁有多個客戶端對于維護高水平的網絡安全性是至關重要的，并且開發團隊肯定不會為了最佳的啟動時間而犧牲安全性。即使這意味著打破一些承諾并推遲發布。為了加快系統的完善，bug賞金計劃已運行一段時間。雖然Ethereum的開發人員正在修復這些缺陷，但他們的競爭對手很可能會首先獲得運行的股權證明共識，Harmony、Tezos、EOS、Cosmos、Algorand和Qtum現都有可行并可操作的產品。[2020/5/24]

為了支持更多的實際應用落地，區塊鏈除了要滿足安全、去中心化的基本特性要求，還要解決吞吐率不高、確認時延長等問題。吞吐率低主要是由于區塊鏈的傳統單鏈結構以及網絡傳輸延遲導致的，因此近來提出的DAG結構、交易打包方式、交易分片處理方式均是為了提高區塊鏈吞吐率而做的研究。確認時延長是競爭類區塊鏈共識算法都具有的問題，針對此問題可以通過在上層疊加快速確認協議加以改善。我們認為下一代區塊鏈必須滿足以下特點才能真正支持安全、高效、靈活的應用落地：1）基于PoS的共識算法，避免對外部資源的安全性依賴，消除來自系統外的攻擊威脅。2）堅持去中心化設計，避免將系統共識權利委托給少量節點，否則將倒退為已有的中心化系統。3）精巧的數據分布式存儲設計，避免交易數據在全網的廣播與存儲以支持高吞吐率的應用。4）疊加高速確認算法，實現對正常交易的快速確認，以支持準實時的應用場景。參考資料：FanL,ZhouHS.iChing:AScalableProof-of-StakeBlockchainintheOpenSetting.https://eprint.iacr.org/2017/656.pdfGa?iP,KiayiasA,RussellA.Stake-bleedingattacksonproof-of-stakeblockchains.2018CryptoValleyConferenceonBlockchainTechnology(CVCBT).IEEE,2018:85-92

動態 | SPoS共識機制已被用于測試鑄幣:PoS之父Sunny King在其新項目Vitural Economy Era中引入的SPoS共識機制，現已被用于全節點鑄幣測試。據悉，SPoS完整版白皮書及其主網將于近日上線，現已開源部分代碼和測試網絡。[2018/9/13]

Tags：POS區塊鏈POWSTAKTPOS幣區塊鏈的三個基本特征POWA價格PSTAKE價格

幣安幣