在這篇文章中,我們基於欺詐證明(Fraud Proof)和有效性證明(Validity Proof)之間的區別,分析和比較各種2層(L2)可擴充套件性解決方案。我們認為,有效性證明擁有根本性優勢,因為它確保只有正確的狀態轉換才會被接受。
背景
最近幾個月出現了幾個旨在解決以太坊可擴充套件性問題的專案(諸如Truebit,Gluon Plasma,dFusion,Roll-Up和Ignis等),它們都是基於證明的。基本的想法很簡單:不用將很多交易寫入區塊鏈,而是生成一個證明(proof),用這些交易的某些簡潔表示(例如雜湊)來代表新的狀態。
上述提到的專案都是L2解決方案:它們定義了一個在1層(L1)上執行的協議(和邏輯),依靠它來提供各種服務,如存款/取款,確認鏈下狀態的分類賬以及作為“通用時鐘”使用。重要的是,L1不瞭解L2的邏輯,因此也不能執行任何L2邏輯。
我們想提出一個比較這些解決方案的框架,特別關注欺詐證明與有效性證明之間的區別。從本質上說,欺詐證明和有效性證明都可以存在於L1中,但目前的嘗試以及我們的分析都把關注點放在了L2上。
欺詐證明提出證據,表明狀態轉換是不正確的。它們反映了對世界的樂觀看法:假設區塊代表L2資料的正確狀態,直到被證明不是這樣。但實際上,一個已提交的區塊可能包含錯誤的狀態轉換。
有效性證明則提出證據,表明狀態轉換是正確的。它們反映了對世界更悲觀的看法。區塊只有在狀態是正確的時候,才會將代表L2狀態的數值包含在內。
值得強調的是:使用證明系統(例如SNARK,STARK)時有兩種形式:欺詐證明和有效性證明。人們不應該將我們如何證明(例如SNARK,STARK)與我們證明了什麼(欺詐或有效性)混淆起來。
更深入的探討
欺詐證明
欺詐證明的主要優勢是,並不是每次狀態轉換都需要它們。因此,它們需要較少的計算資源,並且更適合可擴充套件性受限的環境。這些協議的主要缺點源於它們的互動性:它們定義了一個多方之間的“對話”。對話要求當事方—— 特別是聲稱有欺詐的一方 ——線上(活躍),並允許其他方透過各種方式中斷對話。但問題的核心在於協議將沉默(即沒有對新狀態發起挑戰)解釋為預設的同意。實際上,攻擊者可能會嘗試使用DDoS攻擊來產生沉默的假象。
讓我們描述一下概念協議:由於區塊可能包含不正確的狀態轉換,因此欺詐證明協議允許在一個時間範圍 ——爭議時間段(Dispute Time Frame,DTF)—— 對此錯誤狀態提出異議。該時間視窗以區塊為單位進行衡量。如果在DTF內未提交欺詐證據,則認為L2狀態轉換是正確的。如果欺詐證明被提交給智慧合約,並且被發現是正確的(即,在DTF內提交,並且確實證明了狀態轉換是錯誤的),則至少會導致智慧合約恢復到上一次正確的L2狀態。其他措施,例如對違規方進行處罰,也可能會執行。
DTF持續時間的不同選擇會帶來這樣的結果:它越長,檢測到錯誤狀態轉換的概率就越高——這是好的一面。但是,時間越長,使用者必須等待的時間也會越長,例如,提取資金——這是不好的一面。
有效性證明
有效性證明相比之下就簡單很多了:一些離線計算的代表形式被髮送到智慧合約。只有在驗證為正確後,智慧合約才會使用這個新的數值更新區塊鏈。有效性證明的主要優點是區塊鏈將始終反映正確的L2狀態,可以立即使用新的狀態。主要缺點是,每次狀態轉換都需要證明,而不僅僅是在這種轉換受到爭議時,這會影響可擴充套件性。
51%Attacks
在眾多可能的攻擊中,我們這裡主要關注L1上的51%攻擊。我們最近看到這種攻擊事件不斷髮生,包括對以太坊經典的攻擊。欺詐證明和有效性證明如何抵禦此類攻擊呢?
欺詐證明:51%攻擊允許攻擊者將區塊鏈引入欺詐狀態,例如,從被攻擊的交易所中竊取資金。
· 攻擊者使用欺詐性狀態轉換建立BlockFr。例如,這包括將交易所中的所有資金轉移到他們自己的賬戶。
·在BlockFr之上,他們將新增DTF區塊,最終形成一個區塊,其中包括取出BlockFr中授予的全部資金。
·然後,他們繼續將鏈擴充套件到DTF以外,以及當前的鏈以外。他們有能力這樣做,因為他們控制了51%的雜湊值。
·發動這種攻擊的成本(目前非常低,對發動以太坊攻擊的成本低於10萬美元/小時)與獲得潛在收益(即受到攻擊的交易所控制的資金)無關。但隨著加密交易所中交易活動的增加,它們更加有可能成為這種攻擊的目標。
總而言之,根本問題在於,L2解決方案定義了自己的邏輯,允許包含欺詐狀態轉換的區塊。攻擊者偷走資金後的分類帳狀態仍然是合法的狀態!沒有發生雙重支付,但是發生了欺詐行為。
有效性證明:51%攻擊只能逆轉記錄的歷史,並可能提供新的歷史記錄;重要的是,這個替代歷史也是正確的。可在此處執行的攻擊範圍僅限於L1可能發生的攻擊。在幣幣交易所中(特別是當所有的交易資產都駐留在同一區塊鏈上時),逆轉記錄有時可能是一個暴利的舉動:例如,賣方可能會很樂於去逆轉一個事後才發現是最低價的交易,但是在一個加密資產存放在給定區塊鏈的交易所中,沒有任何手段可以去直接盜竊加密資產。
提議的解決方案
鑑於這些明顯的缺點,為什麼很多專案(例如Gluon Plasma和dFusion)還是要使用欺詐證明呢?主要原因是有效性證明過於昂貴和繁瑣。
在使用證明系統之前,在一個無需許可的系統中,“有效性證明”涉及原生重放(native replay),因此極大地限制了可擴充套件性;本質上,當前這種重放在L1上仍在進行,大家已經瞭解其對可擴充套件性的限制。證明系統提供了一個非常吸引人的特點,稱為簡潔性:為了驗證狀態轉換,只需要驗證證明,這樣做所需的成本實際上與狀態轉換的大小無關(更確切地說,它是狀態轉變大小的多對數函式)。
Ignis / Roll-Up都依賴於需要可信設定的SNARK,而它比STARK需要更多的證明計算資源。 StarkWare正在努力部署StarkDEX(DEX的可擴充套件性解決方案),它將使用STARK來實現有效性證明。
結論
我們強調了有效性證明在51%攻擊方面的固有優勢。憑藉其快速的驗證時間,簡潔的驗證和無信任的設定,STARK將是生產級有效性證明的有力手段。
更多數字貨幣資訊:www.qukuaiwang.com.cn/news
