区块链3.0时代的共识算法与隐私保护

9月11日，在万向区块链实验室举办的区块链全球峰会上，以太坊创始人Vitalik Buterin、Cosmos项目创始人Jae Kwon、麻省理工学院工程学教授、Algorand创始人Ford Silvio Micali、乌克兰科学院院士Anatoly Anisimov，加州大学伯克利分校教授、Oasis Labs创始人兼CEO宋晓东（Song Xiaodong）、Web3基金会共识算法研究员Alistair Stewart等嘉宾围绕“区块链3.0：共识算法与隐私保护” ” 圆桌会议由IRISnet和边界智能创始人奚海峰主持。 以下是圆桌论坛的主要内容。

奚海峰：区块链3.0要解决的核心问题是可扩展性和隐私保护。 首先，Vitalik 想解释一下为什么 PoS（权益证明）是必不可少的？ Casper FFG 如何促进以太坊从 PoW（工作量证明）向 PoS 的迁移？

以太坊创始人 Vitalik Boutin 发言

Vitalik：我的回答包括三个部分：

1. 使用 PoW 的区块链（通常如比特币）从长远来看担心它们的安全性。

2、所有代币其实都会存在通货膨胀问题，价格很容易趋于零。 所以为了维持物价，每年都得控制通货膨胀率。 随着（比特币）PoW 发行量越来越小，最终变为零，所有矿工将不得不完全依赖交易费，从长远来看，这在经济上不一定可持续。

3、在PoS中，如果某个验证节点违反了共识协议，我们可以对其进行惩罚。 具体来说，需要设计这样的协议，大大增加攻击成本。 即使某一方获得了51%以上的股权（投票权），也可以攻击一次网络，让网络崩溃，但攻击结束后，就失去了一切，网络又可以恢复运行。 Casper的目标是从混合PoS走向全PoS，因为我们要建立一个完整的共识机制以太坊使用过的共识算法，包括最好的BFT算法（拜占庭容错，拜占庭容错）。

席海峰：Jae 在今天上午的主题演讲中提到了 Tendermint。 能否介绍一下Tendermint的工作机制，它在BFT的基础上做了哪些改进，有哪些独特之处？

Jae Kwon：你可以想象区块链上有 100 个签名者，他们都被称为验证者。 如果超过三分之二的验证者签署了该块，则该块被视为已提交。 每个验证者都应该尽可能多地参与签名，所以我们希望验证者始终在线，而不是像比特币矿工那样。 Tendermint 的工作机制是循环的。 如果第一轮没有达成共识，则进入下一轮，直到区块链达成共识。 每轮分为三个步骤。 第一步是由所有验证者批准的指定提议者提议候选块。 第二步是对候选区块进行预投票，每个验证者都会投票决定这个区块是否是一个好区块。 如果三分之二的验证者投赞成票，那么就可以进入第三步，继续投pre-commit。 这是一种分布式的两阶段提交算法，分三步完成整个周期。 它具有 BFT 系统的所有属性。 只要少于三分之一的恶意验证者，就可以保证出块。

Tendermint 的改进。 最先进的BFT机制称为PBFT（Practical Byzantine Fault Tolerance，实用拜占庭容错算法）。 PBFT不是很有效，也不是以公链为背景设计的。 PBFT有一个leader，如果leader倒了，是很难恢复的，因为系统很复杂，问责制很复杂。 Tendermint 是 PBFT 的简化版本。 PBFT 需要验证者之间的点对点活动。 Tendermint 不需要这个。 它有点像比特币，只要所有的验证者相互连接，就可以达成共识。 这些是我们算法的属性，让我们看看实现。

我们还创建了一个接口层，叫做ABCI，就是应用区块链接口。 像Tendermint这样的引擎，不仅可以基于点对点网络达成共识，还可以通过ABCI，也就是状态机来调用你的应用逻辑。 去年很多人讲可插拔共识，我们可以通过ABCI实现可插拔共识。

Cosmos 项目创始人 Jae Kwon

席海峰：Micali教授，您谈到了Algorand的两阶段共识算法。 第一阶段选出投票委员会后，第二阶段是否会基于BFT进行两轮投票？

Silvio Micali：Algorand 是一种拜占庭容错协议。 拜占庭容错是分布式计算中最强大的概念，但是速度很慢。 我们使用了拜占庭容错协议，意思是高安全性，但是在前面加了一个形容词，是实用的拜占庭容错协议，比拜占庭容错协议好，因为它有拜占庭容错属性，但是也很实用。

我们现在觉得PBFT有点弱，希望把所有的共识放在区块上，怎么办？ 我们必须随机挑选一群人来运行拜占庭容错协议，而且速度必须很快。 首先，让我们选择委员会的成员； in fact, this election is unpredictable, just like a lottery, you can be elected if you win, you can prove to us that you were elected, and you can show evidence of your victory. It's hard for you to sabotage committees before that because you don't know who's going to get elected at first. 而且每个委员只说一次，一旦说完，你的对手就来不及行贿了，因为消息已经传开了。 共识是达成所有人共识的好方法，而不仅仅是少数人。 比如100、200甚至几千人的共识是不够的。 因为我们要实现真正的分发。 只有 Algorand 可以保护区块链。

席海峰：Dawn Song教授，我们知道Oasis Labs正在建设一个全新的平台，解决可扩展性和隐私保护的问题。 你能和我们谈谈这个平台的底层共识算法吗，是某种形式的 BFT 算法吗？

Dawn Song：在刚才的主题演讲中，我提到了实现可扩展性的方法。 如果共识层、计算层等各层能够独立扩展，整个平台可以得到更好的升级。 基于此，我们平台的优势在于它可以改变不同层的状态，这使我们能够始终选择最佳的共识算法。

席海峰：Stewart博士，Web3基金会发起的Polkadot是一个非常有名的跨链项目。 它的底层是否也使用了某种拜占庭容错算法？

Alistair Stewart：是的，我们确实使用拜占庭容错。 我们希望变得更加去中心化，下一步是实现更多更好的算法。 我们目前使用的方法与原来的 BFT 略有不同； 我们也希望在未来尝试像 Tendermint 这样的引擎。

席海峰：PoW被广泛认为是区块链1.0技术，但也有人喜欢它在比特币等网络上展现的简单美和安全记录。 Anisimov 教授，您认为 PoW 在 3.0 时代还有用吗？ PoS 在设计和实现方面的挑战是什么？

Anatoly Anisimov：我认为如果我们要定义区块链的共识，首先要回答的问题是什么是区块链，你对区块链的结构有什么要求。 因为不同的区块链内部结构可能不同，如果不考虑一些其他的证明，直接武断的断定什么是区块链，未免太武断了。 此外，区块链还要考虑其应用环境。 当我们使用不同的方法来应用区块链时，涉及到的共识算法也是不同的。 因此，不宜对共识算法的优劣和适用性做出笼统的判断。

席海峰：回到Algorand，社区对Algorand缺乏激励有一些担忧，比如：如果没有激励，人们为什么要加入网络？ 你对此有何回应？

Algorand 创始人 Silvio Micali

Silvio Micali：如果一个人努力工作，就会产生很多有价值的作品。 所以原则上，人们可以在没有任何激励的情况下工作； 但是我们必须有一些激励措施来确保区块链的安全。 也就是说，你可以很容易地投入一些钱（作为激励），但问题是人们拿着你的钱去做他们想做的事，而不是你想让他们做的事。 看看比特币矿池中的矿工。 对于这些矿工来说，比特币的激励机制是否达到了预期的效果？ 我不这么认为。 所以对矿工给予激励是远远不够的。 还必须确保激励措施是安全的。 在这种激励之后，矿工们做我们真正希望他们做的事情。 长话短说，我们会出台一些相关的激励措施，但是这些激励措施一定要安全，一定要有创新。

席海峰：非常感谢。 接下来，宋教授想和我们分享一下如何利用Oasis Labs平台的各种能力来支持建立能够更好保护隐私的新型智能合约？

Dawn Song：通过提供非常强大的隐私保护，我们可以实现更多的应用构建和部署。 今天早些时候我提到了如何将医疗保健数据输入智能合约。 在金融领域，我们可以通过Oasis Labs等平台实现不同应用系统之间的积分兑换。 使用传统方法实现这样的操作并不容易。 还可以将来自不同数据源的数据放在一起，以实现对企业或组织的评分或评级。 更进一步，我们可以开发一个智能合约，使用一些机器学习或者深度学习的代码来训练评级模型，我们可以保证数据只用于训练这些模型，不用于其他目的。 不同的实体——无论是个人用户还是公司级别的用户——都可以通过这种方式更好地利用这些数据源来构建一个非常好的声誉评分系统。

席海峰：zkSNARKs在去年的DevCon3上是一个很火的话题。 除了零知识证明，以太坊还有哪些隐私保护功能？

Vitalik Buterin：零知识证明可用于保护隐私和安全的令牌传输，但除此之外，还有其他密码学方法和其他隐私保护技术。 另外，我们并不总是需要依赖密码学，还可以使用其他一些技术来实现隐私保护。 例如，在过去的几个月里，我看到有人开始使用状态通道或其他相关技术。 Plasma 也可以是一个非常好的工具，所有这些都在不断改进。 我真的很期待有一个隐私保护的方法，最终会上线并被人们使用。

奚海峰：您认为像Oasis这样的第三方框架在哪些方面可以让以太坊智能合约受益？

Vitalik Buterin：我相信两者之间会有协同作用。 我今天早上发言的时候提到了MPC（secure multi-party computation）算法。 仍然有很好的机会将其集成到以太坊中。 通过MPC算法可以进一步增强智能合约的安全性。

奚海峰：Micali教授及其同事的研究成果为我们刚才提到的隐私保护技术奠定了理论基础，比如零知识证明、安全多方计算（MPC）等。 Algorand 是否有引入这些技术的计划？

Silvio Micali：有一个计划！ 但是，无论是MPC还是零知识证明，我想跟大家分享的是，科技的进步可能会给社会带来危害以太坊使用过的共识算法，所以一定要小心。 零知识证明是一种将隐私与攻击相结合的技术。 我们提到区块链隐私不仅是输出的隐私，也是所有参与方的隐私。 区块链上的洗钱等行为不是我们想看到的。 所以我们需要在保证隐私的同时综合考虑所有因素。 当然，隐私保护的使用方法有很多种。 我们期望的是所有技术都可以协同工作。

奚海峰：在跨链技术领域，隐私保护方面有什么问题和解决方案吗？

Jae Kwon：我非常同意 Micali 教授和 Vitalik 教授所说的。 Tendermint做的是copy，但是如果是copy，就没办法保密了。 再看 Cosmos Hub，它的作用是连接其他区块链，提供安全保障。 我们希望 Cosmos 能够确保我们托管的所有货币都是不可侵犯的。 最终希望能够实现不同区块链之间的交互，无论是Zcash还是零知识证明，从而达到极致的协作。

Alistair Stewart：我们希望波卡的平行链可以是许可链，甚至是私有链，但同时我们也希望平行链上发生的一切都是正确的。 另一方面，希望通过使用零知识证明来保护隐私。 其实我对这个问题很感兴趣。 我们的链上治理会有一个投票机制，这个投票机制必须是绝对公开的。 但另一方面，在链上投票的过程中是否有隐私问题需要处理？ 这些都是非常有趣的研究方向。