红花 2019年8月 扩充话题大版内专家分朤排行榜第一
2018年10月 扩充话题大版内专家分月排行榜第一
2018年8月 扩充话题大版内专家分月排行榜第一
2018年6月 扩充话题大版内专家分月排行榜第一
2018姩5月 扩充话题大版内专家分月排行榜第一
2018年1月 扩充话题大版内专家分月排行榜第一
2017年12月 扩充话题大版内专家分月排行榜第一
2017年11月 扩充话题夶版内专家分月排行榜第一
2017年10月 扩充话题大版内专家分月排行榜第一
2017年9月 扩充话题大版内专家分月排行榜第一
2017年8月 扩充话题大版内专家分朤排行榜第一
2016年6月 扩充话题大版内专家分月排行榜第一
2015年10月 扩充话题大版内专家分月排行榜第一
2015年4月 扩充话题大版内专家分月排行榜第一
2015姩3月 扩充话题大版内专家分月排行榜第一

黄花 2019年10月 扩充话题大版内专家分月排行榜第二
2019年9月 扩充话题大版内专家分月排行榜第二
2018年11月 扩充話题大版内专家分月排行榜第二
2018年7月 扩充话题大版内专家分月排行榜第二
2017年6月 扩充话题大版内专家分月排行榜第二
2016年5月 扩充话题大版内专镓分月排行榜第二
2015年5月 扩充话题大版内专家分月排行榜第二
2014年11月 扩充话题大版内专家分月排行榜第二
2013年10月 扩充话题大版内专家分月排行榜苐二
2013年8月 扩充话题大版内专家分月排行榜第二

蓝花 2019年9月 Web 开发大版内专家分月排行榜第三
2018年9月 扩充话题大版内专家分月排行榜第三
2018年2月 扩充話题大版内专家分月排行榜第三
2017年7月 扩充话题大版内专家分月排行榜第三
2015年8月 扩充话题大版内专家分月排行榜第三

肯定是玩区块链产品的?
一堆下线注册用户????

我们都是普通人，没那么高端我们只是想寻一个相对宽松的”放松，吐槽和交流“的家园

比特币安全性模型与不断下降的區块补贴

随着区块奖励的不断降低比特币在未来的安全性是否能得到足够的保障一直是我们关注的一个重点。上个月Hasu、James Prestwich和Brandon Curtis对这个问题進行了全面的论述。鉴于这个问题的重要性我们对该论文进行了细致

随着区块奖励的不断降低，比特币在未来的安全性是否能得到足够嘚保障一直是我们关注的一个重点

上个月，Hasu、James Prestwich和Brandon Curtis对这个问题进行了全面的论述鉴于这个问题的重要性，我们对该论文进行了细致的全攵翻译全文如下：

如果一个应用或一个协议在对抗性环境中实现了它的目标，包括抵御那些愿意花费大量资源来损害系统的行动者我們就将其称之为“安全” 。不幸的是没有一种系统可以抵御万能的攻击者。因此务实的安全性方法是最大化根据协议采取行动的动机，同时最小化针对协议采取行动的动机比特币的目标是建立这样一种支付系统：

1）任何人都可以参与（无需许可的访问），

2）只有合法擁有者才能花掉币（安全）并且

3）所有有效交易最终都将进入账本（活性）

这些属性现在已经存在了10多年，表明比特币在实践上是安全嘚另一方面，在理论上比特币通常无法产生相同的保证。这导致学者们称其为“不完整的（broken）1 ” 和“ 注定失败的（doomed）2 ”等等。

在本攵中我们希望通过引入我们的比特币安全模型来弥合理论与实践之间的鸿沟。我们证明了比特币目前可以承受非常高的攻击激励这是尐数出人意料的因素的作用。我们进一步证明了为什么学者们提出的许多攻击对矿工来说是不理性的

在下半部分，我们证明了相比任哬外部攻击者，对比特币安全性的最大威胁更多在于协议本身作为比特币固定发行计划的一部分，区块补贴计划的不断降低将导致矿笁的可预见收入降低。如果没有发展出一个健壮的区块空间市场我们解释了为什么区块奖励的下降将对未来构成重大的风险。与普遍的看法相反用户无法仅通过等待更多确认来弥补这一点。

最后我们提供了思考该问题的一些一般方法，包括一些可供社区讨论的改进建議

1. 为什么比特币需要挖矿

在过去的支付系统中，需要一台或一组受信任的中央服务器来处理交易事实证明，这是一个重要的故障点洇为中央验证者通常会失效，或被迫排除某些人群或某些类型的交易因此，一个旨在提供无需许可的访问的系统不能使用中心的一方Φ本聪看到了这样一个解决方案，用扁平的点对点模型——该模型已经在诸如 Torrent 之类的极具弹性的分布式网络中证明了其价值——来代替流荇的客户端-服务器模型

借助公钥加密技术，我们已经可以证明和验证消息的所有权在比特币中，一个币的所有者可以用他的私钥签名┅条消息然后，网络中的其他节点可以使用发送人的哈希公钥来验证消息以证明消息确实有效。这满足了比特币系统中的“安全性”偠求但是，当节点收到两条分别有效但彼此不能同时有效的冲突消息时（例如当某人尝试两次花同一枚币时），公钥加密几乎没有帮助

比特币通过用一组计算能力的签名（节点可以遵循这些签名来在单条链上进行协调）来替换受信任的服务器的签名，从而优雅地解决叻这个问题节点可以高度信任此签名，因为它的生产成本很高并且此成本很容易被验证。当节点从矿工那里收到两个相互冲突的签名時他们会通过偏向价格更高的签名来区分它们。这种“分叉选择规则”现在被称为中本聪共识（Nakamoto consensus）

贝克（Back）、科拉罗（Corallo）等人首先提絀了将比特币挖矿视为动态多方成员身份签名（dynamic multiparty-membership signature，DMMS）的想法3 DMMS 是由一群可变的匿名签名者——他们可以随时加入和离开——组成的签名。怹们对比特币网络的算力份额加权了他们对签名的贡献这些签名是累积性的，因为每个块都引用前一个块从而创建了区块链。

计算签洺的创建过程如下：首先矿工通过生成随机输出来执行负载计算。当这些输出落入特定范围时其他节点可以以此为依据，证明虚拟骰孓必然已经被掷出了一定的平均次数（类似于必须将一个 1000 面的骰子平均掷出 100 次才会产生一个介于 1 到 10 之间的数字4）接下来，一个矿工将其區块（包括工作量证明）发布给网络的其余部分如果满足共识规则，则其他节点会将其添加到其区块链中并以区块奖励和该区块中的所有交易费来补偿获胜的矿工。

1.1 密码学的局限性虽然矿工在构建自己的区块上有一定的自由度但他们不能给自己多发币，不能在同一条鏈上窃取别人的币甚至无法追溯性地改变区块的收益。矿工必须像其他任何节点一样遵循比特币协议并且节点会自动拒绝任何破坏协議的尝试。

但是协议在一些重要方面无法通过密码学强制执行。一个节点不知道两笔互相冲突的交易里哪一笔是有效的或者两条互相競争的链里该支持哪一条，因此用户依赖于分叉选择规则在单条链上进行协调虽然分叉选择规则是比特币保持共识所必需的，但它也赋予了矿工相当大的权力而该权力不受协议本身的管控（且不可管控！）。

最著名的“激励失败”是双花攻击多数矿工首先用比特币在原链上购买非比特币商品或服务。一旦他不可逆转地得到了商品或服务他便产生一条更长的链，在这条链上该交易从未发生过最终他錢货双收。勤奋地遵循最昂贵签名的节点会自动切换到新链即使它包含了链下盗窃或其他恶意行为。

由此可见诸如加密签名之类的“硬”协议规则不能完全确保交易排序的安全——它也依赖于对矿工的“软”经济激励来发布服务于比特币用户的更新。

2. 为比特币的安全性建立模型

如果用户不能信任协议来强制执行“正确的”交易历史他们如何才能知道一笔交易是不可更改的（final）还是将来会被矿工撤消？茬传统的金融系统中交易是不可更改的，因为法律禁止将其撤消在比特币中，法律无法覆盖矿工矿工可以是匿名的，可以在世界任哬地方运营并可以随时加入和退出网络。

如果这对矿工们有利可图那么我们就该认为他们会一直撤消交易，包括为此付费的其他人的茭易因此，用户不应将一笔付款视为不可更改的除非撤消它无利可图。民间智慧已将这个问题表示为“一个人必须等多少次确认才能讓一笔付款变成不可更改的”我们证明了为什么额外的确认对比特币的安全性没有多大意义。相反安全性主要是两个简单因素的结果。

2.1 安全假设我们首先要设立一个基本的支付系统该系统有 12.5 BTC 的区块补贴且没有交易费。挖矿所需的所有硬件和算力都可以按需租用因此礦工对比特币网络没有长期的承诺。他们的行为不会影响比特币的交易价格也没有用户会忽略中本聪共识选出的最昂贵的链。所有模型均使用比特币作为基础货币

我们把遵循协议（或“诚实挖矿”）的比特币价值定义为 EV(诚实挖矿)。比如在一个持续 10 个区块的例子里，矿笁收入(MR)将是 125 BTC假定矿工之间免费进入挖矿并完全竞争，我们可以认为整个矿工会花 125 BTC的开采成本(MC) 来赢得这个奖励

矿工可提取价值（Miner-extractable value，MEV）描述了一个矿工希望从他的攻击中赢得多少BTC这一概念是达扬（Daian）、高德菲尔德（Goldfeder）等发明来描述矿工从智能合约中可提取的价值的5，但我們将其扩展到涵盖矿工通过操纵共识或交易订单可提取的任何价值

重要的是，MEV 并不描述单个用户可以在一个区块中安全地交换多少因為攻击者可以一次双花许多不同的用户。它甚至并不描述所有用户可以安全地在一个区块里交换多少因为攻击者可能跨连续多个区块双婲。MEV 描述的是攻击者的全部价值对于等待六次确认的用户来说，攻击者的最低攻击持续时间为七个区块因此，仅根据自己的个人交易來计算 MEV 的用户将低估矿工实际激励的数量级

攻击挖矿的最终 EV（例如，双花）可以被建模为：等式 3 EV(攻击挖矿) = MEV + MR - MC

只要 EV(诚实挖矿) > EV(攻击采矿)一个悝性的矿工就将遵循协议而非攻击它。

因此我们可以推导出，EV(诚实挖矿) > EV(攻击挖矿) 是比特币确保对理性攻击者安全的必要条件

由此推论，EV(诚实挖矿)和 EV(攻击挖矿)之间的区别描述了比特币对非理性（“拜占庭”）攻击者——他们不关心利润但会出于任意原因攻击比特币——嘚耐受性。值得注意的是这种耐受性不必包括攻击者直接从攻击中获取的价值，例如对比特币价格下重注而获得的价值。MEV 已经捕获了任何此类价值

在这个简单的模型中，我们甚至不需要谈论拜占庭式攻击者该系统已经无法抵御一个理性攻击者了，因为任何 MEV > 0 就足以让攻击比诚实挖矿更具吸引力假设一名矿工可以从一次持续 10 个区块的攻击中提取 100 MEV，我们可以看到

这一发现与直觉相吻合因为攻击链对攻擊者来说并没有实际成本。它的预算要求仅为 10 BTC在攻击成功之后，他花在攻击上的所有资源都回本了这里有三个值得注意的警告：

1）如果攻击者必须使他自己的某些区块无效，那么攻击将开始具有实际成本因为他的有效 MR(攻击)下降，而 MC 保持不变

2）如果少数矿工（“防御鍺”）继续挖原链，他可以增加攻击的持续时间但是，只要攻击者最终赶上来这不会降低其 EV；它只会提高预算要求。防御者的资源将被浪费

3）在此模型中，我们假定攻击者具有多数算力或者几个较小的攻击者之间的协调没有成本。在现实世界中协调是有成本的，洳果矿工对 MEV 的价值或需要的攻击持续时间意见不一则协调的成本可能会增加。

2.2 市场治理俗话说作为经济行动者，我们一直在投票——通过在某些事而非其他事上花钱区块链也是市场，因此当用户（消费者）买卖比特币时，他们不断投票支持矿工（生产者或服务提供商）以某种方式行动当用户对矿工提供的服务不满意时，对支付系统的信心可能会下降与攻击前相比，比特币的交易价格可能会下降

我们定义 p(攻击后价格)为攻击后的相对 BTCUSD 价格，例如95％ 的攻击后价格表示的价格在攻击中下降了 5％。

在更新的等式中由于比特币价格因攻击而下降，MR(区块奖励 + 交易费)和 MEV 都变小了而 MC(攻击挖矿)保持不变。虽然在这里使用比特币而非法币作为基本单位可能并不常见但我们发現推理起来更容易。实际上在攻击后矿工的名义比特币并没有减少，但是由于它们损失了 5％ 的购买力因此他只能将其换成 95％ 的攻击前仳特币。

由于引入了市场治理因此，只要 MR(诚实挖矿)大于 p(攻击后价格) * (MEV + MR(攻击挖矿)) 则 EV(攻击挖矿)现在将无利可图。

由此我们可以得出系统安铨的三种方式：

1）MEV 可以低，例如因为很少有人在用比特币交易，或者用户在没有额外保证比如知道买家身份的情况下不考虑最终支付。

2）p(攻击后价格)可以低这意味着用户需要对比特币应该是做什么的非常敏感，并且需要愿意转换到竞争对手，如果矿工停止做他们的笁作这有点像一个“站队”的参数，因为如果让比特币的价格崩溃很容易其他形式的攻击（例如破坏活动）将变得更具吸引力，从而增加了 MEV6

3）MR 可以高，因此p(攻击后价格)对 MR 的影响开始超过来自 MEV 的潜在增益。

矿工承诺到现在为止我们做出了不切实际的假设，即挖矿所需的所有东西都可以按需租用（该观点主导了关于比特币安全性的学术评论）实际上，挖矿并非如此在一个激烈竞争的模型中，矿工們都在跑步机上奔跑如果一个矿工加快速度，并以相同的成本并增加其收入那么其他矿工就必须跟上步伐，否则就有可能完全破产挖矿几乎没有可持续的护城河。结果矿业的工业化速度可能超过历史上任何其他行业。

随着矿业的工业化寻找一个区块的单位成本变嘚越来越重要。有几种降低企业单位成本的方法：

1）如果生产设施的运营低于产能则企业可以卖更多产品，用更多的商品来分摊其经营費用在挖矿中，每份算力都有比特币网络作为自动买家因此这里没有什么要优化的。

2）该业务可以减少生产的日常材料成本挖矿的等效目标是不断寻找更便宜的能源，更好地散热或冷却以及制造优化

3）企业可以通过使其生产设施专业化来降低经营费用。在比特币挖礦中这导致硬件针对一项工作进行了越来越多的优化：哈希 SHA-256。此硬件无法再挖比特币的那一刻它实际上一文不值。值得注意的是这甚至适用于以太坊等大型GPU挖矿网络。即使可以使用通用硬件来挖以太坊对 GPU 的需求也不足以使供应突然骤然饱和。如果以太坊的价格崩溃以太坊矿工的承诺也将失去其大部分价值。

4）矿工还可以通过签订越来越长的购电协议（PPA）来降低单位能源成本

因此，为了降低单位荿本来开始竞争性的挖矿一名理性的矿工需要高度专业化的硬件，并且需要对网络采取长期的看法矿工的专业化程度越高，其资产和支出就越不能改变用途从等式 1 中，我们知道 MR + MC = 0这意味着，我们可以从挖矿总收入中得出采矿总成本这仅仅是所有区块奖励的总和。

矿笁必须预先承担多少费用在与比特币矿工和专家交谈之后，我们得出了一个粗略的估计即普通矿工，乃至整个采矿业其总成本中约囿 50％ 属于此类不可改变用途的资产。此外我们了解到，这些资产平均会在 24 个月内折旧

如果我们以此假设运行，那么整个矿业将获得一整年的区块奖励（两年* 50％）承诺在未来两年内挖比特币。在 12.5 BTC的区块奖励下等于 658800 BTC。

换句话说在矿工们开始挖矿前，他们不得不*预先*购買他们期望在两年时间内挖出的所有币的50%

在这些币到手之前，任何有损于其价值的事都极具破坏力

因此，我们可以说矿工们都在坚萣地致力于以最大化比特币价值和网络效用的方式挖比特币。

在第一个例子里算力仍然可以是租来的，95％ 的 p(攻击后价格)对 MR 的影响只是歭续 10 个区块的攻击。一旦矿工承诺了比特币同样的价格下降影响整整一年的收入——52704块！5％的价格下降，在所有矿工来说现在将消灭相當于攻击前的 32940 BTC

值得注意的是，攻击者无需拥有 100％ 的算力即可使攻击成功如果他用 60％ 的算力进行攻击，那么他自己的承诺将仅占总承诺嘚 60％即 395280 BTC。

对于一个具有 60％ 算力的攻击者而言MEV 大约为 21000 BTC，即按今天的价格计算为 1.87 亿美元才能使攻击有利可图7。对 MEV 的高耐受性表明今天嘚比特币网络确实安全。这些研究结果可以推广到所有使用 PoW 的加密货币并说明矿工支出不可改变用途对安全来说是多么的重要。

2.4 暂停中夲聪共识我们已经证明比特币网络今天可以耐受大量的 MEV，这为攻击获利制造了巨大的障碍但是，为了完善我们的比特币安全模型我們需要更新剩下的最后一个假设，也就是比特币用户永远不会质疑中本聪共识

用户正在市场上寻求最小化信任的信号，该信号使他们可鉯在单条链上进行协调他们为这些信号花费大量金钱，因为这样做比协调任何其他方式（例如通过直接相互交谈直到出现类似的共识）都便宜。

但是这并不意味着即使大多数用户对矿工不满意，用户也一定会遵循矿工产生的信号比特币历史上有很多先例，用户忽略叻中本聪的共识因为由此产生的链条不再代表他们已签署的社会契约。

2010 年区块 74638 中的整数溢出错误导致创建了高达 1840 亿个 BTC，比应该存在的 2100 萬大得多在三个小时内，中本聪发布了一个没有错误的新比特币客户端“回滚”了这条超通胀的链。8

第二个例子是 2013 年的 0.7/0.8 共识错误该錯误让区块链在几个小时的时间里一分为二。当时最受欢迎的比特币实现 coind 新近发布了 0.8 更新开发者并不知道的是，新软件还对共识规则进荇了微小的改动这导致区块 225430 与较旧的客户端不兼容。在比特币开发者和矿池们决定暂时中止分叉选择规则后分叉得到了解决。他们手動支持了 0.7 分支并放弃了 0.8 链这要求矿工们放弃 0.8 链中的任何区块奖励，以最大化网络的整体效用9

最后，最著名的例子可能是2017年的用户激活軟分叉（UASF）运动代码发布一整年后，大多数矿工仍拒绝采用隔离见证（Segregated Witness）更新——可能是因为它破坏了 ASICBoost一种提高挖矿硬件效率的专利技术10。为了无论如何也能推动这一改变一些比特币用户安装了一个客户端，该客户端再次有了中止中本聪共识的威胁因为它忽略了在某个日期之后拒绝 SegWit 的矿工的区块。如果矿工们任其发生那将导致主网上的有争议分叉。比特币的效用和价值受到的威胁严重触及了矿工嘚底线他们最终放弃了对 SegWit 更新的抵制。

这些示例表明最终，用户将领导矿工当他们不同意哪种治理决策将最大程度地利用整个网络效用时，用户可以运行自定义代码（例如 invalidateblock 参数）来暂时中止中本聪共识从而“剥夺”矿工的权力。

即使满足协议规则攻击者也必须考慮用户拒绝其链的风险。

我们将 p(遵循中本聪共识)定义为用户协调链下中止中本聪共识的概率从攻击者的角度来看，这进一步降低了潜在報酬而他的成本保持不变。

由于中止中本聪共识在攻击持续时间内仅影响 MR 和 MEV 而对矿工承诺则没有影响，因此中本聪共识中止所带来嘚安全性少于市场治理。但是从理论上讲，用户不仅可以改变交易历史还可以改变核心协议规则。如果有共识将挖矿算法从 SHA256 变为其他算法则即使比特币价格不跌至零，用户也可能立即使整个矿工承诺无效这使得社会干预成为抵御主动尝试降低比特币价格或破坏网络嘚攻击者的非常有用的防御手段。

2.5 总结通过构建此模型并用真实数据填充它我们可以获得一些关键的见解。

1）为了获得高度的安全性茬用户视为不可更改的任何持续时间内，诚实挖矿必须比攻击挖矿更有利可图

2）如果用户希望能够进行大笔交易，则必须允许 MEV 高

3）系統耐受高 MEV 的能力取决于矿工从恶意行为中受到惩罚的规模。用户可以通过两种主要方式惩罚矿工：

a）首先他们可以出售部分或全部比特幣。当 BTCUSD 的交易价格下跌 10％ 时矿工损失以攻击前比特币计的承诺价值的 10％。

b）其次用户可以链下协调来暂时中止中本聪共识。

4）为了让懲罚潜力变大矿工的承诺必须很大，并且用户卖币的意愿必须很高

5 ）矿工承诺的规模是一个关于矿工收入（MR），承诺成本占总成本的仳例及其折旧时间表的函数。

6）如果我们保持承诺成本、折旧时间表和卖币的意愿不变则 MR 是 MEV 耐受度的决定因素，并因此是网络可以支歭多少用户活动的决定因素

我们邀请任何人根据自己的条件下载并试用我们的模型。11

接下来我们想知道，根据我们的模型对比特币系统的最主要攻击将如何进行。

比特币网络上可能发生的攻击在很大程度上取决于攻击者拥有多少算力从理论上讲，一名矿工只需拥有 30% 嘚算力就可以进行自私挖矿（selfish mining）或固执挖矿（stubborn mining）之类的操作，用战略性的隐瞒区块来赚取超过矿工收入公平份额的收入（译者注：自私礦池挖出新块之后, 暂不发布这个区块, 而是继续挖下一区块, 当发现网络上别人也挖出新区块时再发布这个区块, 以获得更高的收益）据我们所知，到目前为止在比特币中尚未发现这些策略。我们的模型表明矿工采取可能降低公众对比特币信任度的策略确实是非理性的，因為即使价格小幅下跌也会破坏其承诺的价值这会大于他们希望获得的 MEV。

至少有一个数据点支持这一理论2014年，GHash.io 矿池（通过零手续费政策吸引矿工来）反复试探 >50％ 的算力甚至涉嫌参与双花热门的博彩网站 BetCoin Dice12。随着有关矿池中心化的消息在比特币社区传开人们对该系统的信任开始动摇。几个重要人物公开出售了部分比特币13

之后，个体矿工大量逃离矿池来保护他们的投资在那之后，没有任何一个矿池敢于洅次接近这种算力水平矿工似乎已经意识到，任何形式的市场恐慌都会对他们的底线产生极大的不利影响

在这里，我们可以看到拜占庭模型与理性模型之间的差异：在拜占庭模型下一旦矿工的算力 > 50％，比特币就变得不安全但是，在复杂的世界中比特币的稳定状态佷可能是算力垄断。目前可能存在垄断我们无法反驳。查看所有参与者的动机可以表明比特币不会因为存在多数矿工（majority miner）而自动失败。用户仍然可以通过该矿工的激励来构建自己想要的区块

当一名矿工拥有超过 50％ 的算力时，他就可以确定他提出的任何链最终都将成為中本聪共识中的标准链。这种确定性是对比特币用户进行更严重攻击的前提这些攻击可分为两类：双花攻击和破坏攻击。

3.1 双花攻击在雙花攻击中攻击者把一条他用比特币做过大量购买的链，重组替换为他仍拥有商品但从未付款的版本

我们的模型表明，比特币价格的尛幅下降可以让即使是大规模的双花攻击也变得不可行因为 MEV 的收益必须高于对矿工承诺的损害。此外该矿工还必须考虑，用户会中止Φ本聪共识从而完全否定他的奖励。

随之而来的是双花攻击者希望最大程度地减少网络中可感知的和实际的中断，以免触发任何上述懲罚措施他可以通过将重组保持少于 100 个区块来开始，在这里原链的 coinbase 奖励可被用于花费如此深入的重组将不再仅仅影响个体用户，而是實际上摧毁了币及其后代可能让多于预期的交易无效。一名外科手术式的攻击者会尽可能地重放每一笔交易（包括 coinbase 输出在内）来重新创建完全相同的历史记录只有双花交易不同。

考虑到所有这些限制孤立的双花攻击在近期极不可能成为理性矿工的选择。

破坏攻击与孤竝的双花攻击不同破坏攻击者无意在比特币系统内赚钱。结果他根本不考虑用户的惩罚。相反一名破坏攻击者可能试图让价格崩溃並让用户对比特币失去信心。对于做空比特币价格的人或者为了捍卫受到比特币存在威胁的现有收入流的人来说，破坏攻击可能是理性嘚这样的收入流可能是法币系统的铸币税，也可能是国家收税的能力而比特币允许用户对地方政府隐藏资金。这种方案也恰当地被称為“金手指进攻”以詹姆斯·邦德里的恶棍命名，他计划玷污诺克斯堡的所有货币来让自己的黄金更有价值14。

为了最大程度地削弱用户對系统的信任攻击者应专注于逐一废除我们为比特币建立的设计目标：安全性、活性和无需许可的访问。

实现这一目标的一种方法是建竝挖矿垄断并完全停止处理任何交易。如果愿意任何多数矿工都可以通过简单地忽略少数矿工所挖的区块来建立垄断。因为他肯定最終会领先所以少数矿工暂时添加的区块将在以后重组。相比不处理任何交易垄断矿工也可以通过设置一个最低手续费来勒索用户，或建立自己的规则来决定处理哪些交易例如，他可以忽略所有未通过他私人 KYC/AML 检查的交易用户可以通过三种基本方法来防御这种审查攻击。

1）我们应该确立来自审查的损害等于被审查用户在系统里的退出成本。比特币存在的替代品越多退出成本就越低，而首先审查比特幣用户的动机就越低类似的逻辑适用于出入口匝道，就像去中心化交易所一样这里有一个有趣的难题：尽管比特币上强大的 KYC/AML 层使盗窃嘚吸引力降低（来自 finex 黑客的币被列入了黑名单），但它也使系统更容易受到审查另一方面，一个没有任何身份概念的系统会增加盗窃的動机但减少了审查的动机。

2）当交易被审查时攻击者处理的交易减少，被审查用户开始增加未处理付款的交易费结果，在 MR(诚实挖掘)囷 MR(攻击挖掘)之间开始形成传播被审查用户此时可以有效地自由滚动，并且可以随着时间的流逝提高交易费直到他们消耗掉几乎所有余額为止。这些交易费的差额可以转化为对诚实多数挑战现有挖矿垄断并可能将其推翻的丰厚奖励

3）最后，用户可以协调以暂停中本聪共識并进行规则修改来惩罚垄断矿工一种作为最后手段的改法就是将工作量证明算法从 SHA256 改为一种尚未被攻击者支配的算法。垄断矿工也可鉯重复重组该链而不是用无用的区块来扩展工作量最大的链，但是其效果和处理方法在很大程度上是相同的

4. 不断降低的区块补贴

如果紦我们的模型外推到未来，我们必须考虑目前的参数哪些会发生改变以及为什么。我们已经确立比特币的绝大部分安全性来自令人惊訝的少数几个因素：矿工承诺、MEV 和用户价格敏感性。暂停中本聪共识的能力可以解决问题但这不能成为安全性本身的基础。如果用户知噵一种比中本聪共识更便宜的协调机制我们就不需要挖矿了。

如今比特币的波动性要求矿工具有更高的风险承受能力。如果价格升值達到顶峰并保持在稳定的峰值，那么挖矿就将开始类似于更传统的商品市场从而为生产者提供低收益和低波动性。较低的波动性自然會允许矿工使用较高的杠杆让即使是很小的价格变动也更容易感觉到。

如果比特币更严重地威胁本国货币的主权和地方政府收税的能力那么通过实施审查制度或其他形式的破坏来攻击网络的动机会增加。深度衍生品市场的存在还可以让人们更容易对比特币的价格下重注这进一步增加了可能的 MEV。

但是最大的变化被编程进了比特币协议本身。全部矿工收入是矿工承诺强度的决定性因素它来自区块奖励，包括

1）以新铸造的币的形式存在的区块补贴和

区块补贴目前占全部区块奖励的 99％，目前正在根据比特币的固定发行时间表逐步降低2020 姩，比特币的年发行量将降至 1.8％到 2028 年，该数字减半至0.5％

其结果是，区块补贴矿工收入的最重要来源，需要被一个全新的收入来源代替到目前为止，比特币的安全性来自于比特币自身的价值展望未来，它的安全性将来自于一个尚不存在的二级市场

该过渡能否成功，在很大程度上决定了比特币的未来现在，收交易费的目的是仲裁固定区块空间的供应优先级为了创造出足够的矿工收入，对区块空間的需求必须在一个有意义的价格水平上超过对区块空间的供应以此来创造出一个待处理交易的恒定积压。

虽然未来对区块空间的需求鈳能会很高且波动性很小但在某些情况下，也有可能市场发现比特币很有用但交易费仍然很低。如果大多数人只是通过持有比特币来使用比特币并且大多数交易都发生在中心化交易所或各种链下解决方案里，那就会是这种情况（没有理由说大型交易所之间应该每天或烸周结算一次以上）

4.1 确认对安全性的影响民间智慧表明，区块补贴的下降不会带来重大风险因为用户可以通过等待更多确认来弥补。峩们的模型表明情况并非如此因为与已有的承诺相比，矿工增加的承诺成本黯然失色

我们将通过一个案例来对此进行演示。回想一下矿工已经承诺了在两年挖矿成本（即 105408 块）的 50％。他们的总承诺为 658800 BTC（或每区块 6.25 BTC）在每个区块中，矿工把 6.25 BTC的运营成本和 6.25 BTC的承诺成本合并为烸个区块 12.5 的总 MC这等于区块奖励。

如果用户认为在 6 个区块之后的付款是不可更改的则双花攻击者的最小攻击持续时间将变为7个区块。要挖出这7个区块攻击者只需花费额外的 7 * 6.25 BTC = 43.75 BTC。

在一次 7 个区块的攻击中他现在从承诺中冒 658800 BTC 的风险，再从运营成本中冒 43.75 BTC 的风险在一次 70 个区块（約12小时）的攻击中，他冒着658800 BTC 加 437.5 BTC 的风险在 700 个区块（约5天）的情况下，他的风险为 658800 BTC 加 4375 BTC因此，我们可以看到如果用户愿意等待整整一周，那么矿工的总承诺量将增加不到 1％最重要的是，等待更多确认不会增加任何实质性的安全性并且在能增加的那个点上（数月以上）也鈈会存在交易的需求。

如果将来区块奖励变少则采用相同的逻辑。相对于 MR确认有助于有效的矿工承诺，每增加一次确认准确地增加當前区块奖励的 50％。随着 MR 的减小每个确认的值将同步减小。

但是等待更多确认的确有另一个好处。通过增加矿工的最小攻击持续时间用户可以获得某种形式的群体免疫力。除非存在大量多余的算力否则将大部分算力引导到链的历史部分而不是链的末端，将会大大减慢区块发现虽然这听起来不像是一种好处，但对用户的干扰越大则通过卖币或中止中本聪共识进行反击的用户协调成本就越低。

因此等待更多的确认仅在边际上增加了安全性，并且不可能取代系统忍受大量 MEV 所需的矿工承诺

如果没有出现一个健壮的区块空间市场，比特币不会在一夜之间变得不可用相反，区块补贴会在很长一段时间内稳定下降由于 MR 较低而引起的任何问题都将首先以较弱的形式出现，然后随着时间的推移变得更加严重从而为用户提供足够的时间来对可能的解决方案做出反应和协调。

我们认为必须注意到，即使这些问题成为现实我们对比特币的前景仍然乐观。比特币拥有最大的用户基础最受尊敬的供应分配，并被越来越多地集成到金融基础设施之中在其短暂的生命周期中，比特币（coin）已经从一种技术演变为了一种社会政治运动它有着意识形态上的追随者，并以比特币（coin）為货币除了完全缺乏需求之外，我们很难想象比特币还能彻底死于其他任何事情

尽管对于比特币对不想要的改变的不变性有过许多讨論，第 2.4 章的案例表明只要系统健康处于危险，比特币是可以发生改变的未来提高安全性的建议通常分为三类：可以寻求增加 MR，降低 MEV 或提高惩罚矿工的能力

5.1 改善区块空间首先，比特币开发者们可以尝试增加对比特币区块空间的需求这可以通过让比特币区块空间更具吸引力和可用性的协议级改变，以及通过开发消耗比特币区块空间来作为输入的盈利业务流程来实现

对比特币区块空间的需求包括交易比特币的需求和在链内存储任意数据的需求。增强比特币交易能力和灵活性的创新包括增加时间锁和建设比特币闪电网络任意数据存储可鼡于实现非共识性资产帐本，如 USDT 或染色币或者锚定一个证明到另一个系统上，如 Factom 或 Veriblock

比特币系统针对转移比特币进行了高度优化，但在鈈鼓励存储任意数据的程度上存在限制因为此任意数据可以代表比特币网络之外的无限价值，所以以这种方式占用区块空间的业务流程鈳能具有不可改变的需求和极高的支付意愿这会（在必要时，无效率地）改变比特币交易结构来实现其目标尽管这种对任意数据的需求可能会产生对比特币区块空间的稳定需求，即使在转移比特币的需求经历较大瞬变的情况下也会不断提高费用并增加 MR，但它也注入了潛在的无限 MEV并增加了攻击链的动力。为此比特币用户将不得不考虑为此目的使用区块空间所带来的相对价值和风险，并估算鉴于对任意数据存储的可归属性和技术不利因素的限制比特币为调节区块空间需求的这一方面而产生的动机。

5.2 永久发行第二种机制可能是分叉出詠久发行的新币虽然我们知道该话题将在比特币社区中引起高度争议，但我们还是想谈论一下它以消除一些流行的误解。如果我们接受要让比特币运转必需有一定水平的 MR那么用户就必须以某种方式支付 MR。如果必要的 MR 为每年 1％那么所有比特币用户一起就已经会每年失詓其购买力的 1% 来为比特币系统供电。归根结底尽管比特币可以是一种名义上的固定供应资产，但它不能是一种固定购买力的资产

此外，将永久发行视为通货膨胀是错误的如果比特币无论如何都会要求用户损失其购买力的 1％，那么通过永久发行支付这些费用就不会比通过交易费来支付损失更多的购买力。实际上相比一个 0% 永久发行且安全性较低的比特币系统，一个每年 1% 永久发行且安全性较高的比特币系统可能会购买力更高

相反，我们应该问谁应该为 MR 买单，以及用什么机制在一个理想的系统中，用户将根据从中获得的价值来支付運营成本这将最大程度地增加收入，从而最大化安全性因为所有用户都会根据其效用付费。它进一步确保了系统的公平性和寿命一個被某些成员视为不公平的系统不太可能维持很长时间——对“笨蛋们”来说，有巨大的激励去分叉一个自己的系统并把搭便车的人甩在身后

实际上，系统的设计人员可能事先不知道谁是最高价值的用户一旦建立，所有用户可能会同意将原始参数更改为更优化的参数，会比简单地使用它们花费更多

从概念上讲，比特币系统中有两种主要用户：持币者和交易者它们之间没有明确的界限，因为任何交噫者都必须至少在短时间内持有比特币并且任何持币者都必须最终计划交易他的比特币（尽管不一定在链上）。

一个具有对抗性的系统應该能够抵抗以软参数形式存在的外部冲击例如持有比特币的需求或使用区块空间的需求。在永久发行的案例中MR 将不会受区块空间市場中事件的影响，而在当前的案例中对区块空间需求的冲击将使整个系统的安全性直线下降。

直觉在这里告诉我们我们想要的货币化嘚商品的所有权至关重要。如果我们想从交易者那里货币化区块空间则必须确保大部分区块空间单位一直由某人拥有。对持币者收费完铨消除了这种摩擦因为每个比特币都总是有一位所有者。

最后应该注意的是，与交易者相比持币者的贡献不那么明显，但仍然是真實的当系统受到攻击时，持币者的切身利益会更多并且更有可能支付社会协调的成本。在评估每个用例对安全性有多大贡献时在所囿情况下对比特币系统有一种整体观非常重要。

虽然永久发行币可以减少矿工收入的不确定性一些人认为零发行政策是加密货币永恒的謝林点（Schelling Point）。15如果用户们真的讨厌永久发行带来的那种隐性税收那么对安全性较低的零发行架构的赌注可以通过产生比一种低发行资产哽高的永久需求而获得回报。

5.3 众筹在区块空间市场的范式下比特币持有者捐助 MR 的一种争议较小的方法是使用众筹。对维护比特币安全有濃厚兴趣的大户和企业可以付款给一个基金创建出“任何人都可以花的交易”（也许以比特币-DAO的形式）。矿工可以在一定区块高度索要這些交易来作为私人资助的区块补贴该解决方案的好处是无需更改协议。不利的一面是您最终陷入了经典的搭便车情景：许多人希望仳特币变得安全，但没人愿意成为为其他人支付全部费用的傻瓜

搭便车问题的一种解决方案可以是主导担保合同（Dominant assurance contract，DAC）这是众筹合同嘚一种变体，它试图让贡献成为主导策略而非等待其他人做出贡献16。在DAC中一方必须担任企业家的角色，他希望某种公共物品（在本例Φ为MR）获得资助他定义了要筹集的目标金额，并通过在筹款人未达到目标的情况下向他人支付少量资金来鼓励其他人做出贡献。据说這个小细节让捐款变得更具吸引力因为捐款人现在在这两种情况下都赢了——他们要么获得该商品，要么就拿回本金和利润

5.4 调整区块涳间的供应最后，一种提高 MR 的解决方案是改变区块空间的供应固定供应系统的最大缺点是，哪怕需求只是在边际上低于供应交易费就會立即变为零。一个区块中的所有用户可能愿意集体支付 5 BTC 的交易费但是如果供应过剩，他们最终将不支付任何交易费因为没有拥堵。

即使总需求超过可用供应的时候也不能保证使收入最大化。例如假设有 1 MB 的需求愿意支付 15 BTC，而另外 1 MB 的需求愿意支付 5 BTC如果可用供应介于 1 MB 箌 2 MB 之间，则总交易费会略高于 10 BTC因为想要付得最少的组已经为其他所有人设定了价格（第一组支付 5.01，第二组支付 5.00） 如果供应量降至1 MB以下，则第一组将不得不支付15 BTC从而导致 MR 大大提高，即使第二组完全不再使用

可以通过将区块大小降低到略低于需求以造成永久性拥堵来捕獲该值。这样的变化可以由开发者手动进行或者由比特币协议自动进行。一种方案是自适应的区块大小：系统会观察由交易费产生的 MR並将其与使系统安全所需的目标 MR 进行比较。如果 MR < 目标 MR 则会降低最大区块大小，从而造成人为拥堵如果 MR > 目标 MR，即用户为安全进行了过度支付可以消除一些人为拥堵，从而增加区块大小直至达到社区选择的硬顶限制（当前为 2.3 MB）。

要求矿工控制区块大小的其他提议并不健壯因为存在激励让矿工愚弄系统，并尽可能地使区块更大原因是随着区块的传播时间增加，相对于规模较小或连接较差的矿工规模朂大、连接最好的矿工取得了一个竞争优势。我们在这里不必担心这一点因为区块大小的低上限确保了传播时间总是很短。

5.5 降低矿工可提取价值除了增加 MR比特币用户还可以考虑各种办法来降低 MEV。一个好的出发点是考虑比特币区块链上 MEV 的潜在来源

如第2章和第3章所讨论的，随着从一个系统中退出的成本降低审查系统的动机也会降低。当一个矿工无法区分不同的交易时他就无法审查任何个人用户。因此一个互相竞争的各种加密货币的繁荣空间，有着私人交易和它们之间无需许可的交换将使它们中的任何一个单独地变得在抗审查上更強大。

如果用户通过采用诸如 USAF 之类的策略来降低忽视中本聪共识的障碍则他们可能会降低某些攻击带来的 MEV，从而冒着降低系统的社会可擴展性的风险随着比特币系统中越来越多的人持不同甚至相反的政治观点，在没有工作量证明的情况下达成社会共识似乎只会变得更加困难

也许在此期间可以找到技术解决方案，以进一步限制矿工的可用选项从而降低攻击的吸引力。一种这样的建议是让比特币交易提交到某个特定的区块，在该区块之外它们变得无效这将使矿工无法在重组中重播交易，这有两个明显的好处

1）由于矿工无法访问以湔的交易及其交易费，因此使攻击的成本更高

2）由于矿工不再能够孤立地攻击单个用户，因此可以更容易地围绕暂停中本聪共识进行协調现在，他必须在一次重组很多交易或根本不重组任何交易之间做出选择

此外，我们可以改善对恶意矿工行为的自动检测应对攻击艏先需要所有用户了解它们。我们越能监控比特币系统的状态矿工就越难以指望逃脱不遵循协议，包括自私采矿等非共识攻击

围绕比特币信任模型的更多教育，也可以帮助降低被盗的可能性并非用户收到的每笔交易都来自一名矿工，或贿赂一矿工的某人并且有被双偅花费的风险。在可能的情况下在比特币之外使用传统的法律制度可以极大地增强其在商业中的生存能力。只要买方与卖方有法律关系卖名方就可以通过传统法律制度将其视为外部承诺，从而获得额外的信心即付款不会被撤消。

5.6 加强矿工惩罚比特币用户对矿工恶意行為的低容忍度是对其行为的有力检查。当价格对攻击做出更强烈的反应时比特币可以在承诺的矿工较少的情况下，提供相同水平的 MEV洳果价格非常稳健，则承诺必须更大

再一次，比特币价格对系统效用的敏感度是系统退出成本的函数在离开很便宜的时候，转身离去僦容易得多可能是因为比特币不是这里唯一的游戏，而且许多具有类似保证的加密货币之间也存在竞争实际上，当存在许多更脆弱但尣许它们之间进行流动交换的“微链”时加密货币的概念最为强大。原因是较小的区块链使用户更容易离开导致针对攻击者的焦土防禦。17

6. 遗漏和未来的研究

可以通过多种方式扩展我们的比特币安全模型首先，可以研究一下矿工从系统中“不提交”的能力到目前为止，我们隐含地考虑——如果矿工对 BTC 的价格押注很大我们可以增加其 MEV 来反映这一点。有了无限的资本矿工就可以完全对冲自己的承诺，哃时保持相同水平的算力——从而具有潜在的 MEV后续分析可以关注对冲的资本成本，其对成本和 MEV 的影响以及复杂的衍生品市场的存在如哬改变所有参与者的动机。

其次先前的安全性分析可能大大低估了可能的算力少数派在攻击中或攻击后立即进行回击以捍卫其承诺价值嘚动机。因为防御者有效地自由滚动以高得多的单位成本进行哈希运算再次变得有利可图，旧的硬件可能重新全体加入网络此外，现囿硬件可以超频这会在短期内提高效率，但以更快的速度贬值通常，用户和少数派矿工应开始将对方视为对抗外部攻击者的盟友由於矿工的承诺，他们俩坐在同一条船上攻击与反攻之间的动态关系值得进一步探索，因为它们可能会大大增加攻击成本

最后，即使确實建立起了强大的区块空间市场比特币的安全模型也会以多种方式改变。这些变化会影响矿工和用户的最佳行为例如，如果各个区块附加的交易费非常低那么隐瞒区块的策略就很有吸引力。矿工之间加剧的竞争将进一步围绕在“富裕”的区块周围发展从而导致交易費削减和区块生产中的缺口18。我们强烈鼓励整理出基于交易费的系统不同于基于发行的系统的所有方式

随着区块奖励的不断降低，比特币在未来嘚安全性是否能得到足够的保障一直是我们关注的一个重点

的优秀论文、博文和推文的启发。如果一个应用或一个协议在对抗性环境中實现了它的目标包括抵御那些愿意花费大量资源来损害系统的行动者，我们就将其称之为“安全” 不幸的是，没有一种系统可以抵御萬能的攻击者因此，务实的安全性方法是最大化根据协议采取行动的动机同时最小化针对协议采取行动的动机。比特币的目标是建立這样一种支付系统：   3）所有有效交易最终都将进入账本（活性） 这些属性现在已经存在了10多年表明比特币在实践上是安全的。另一方面在理论上，比特币通常无法产生相同的保证这导致学者们称其为“不完整的（broken）1 ” 和“ 注定失败的（doomed）2 ”，等等在本文中，我们希朢通过引入我们的比特币安全模型来弥合理论与实践之间的鸿沟我们证明了比特币目前可以承受非常高的攻击激励，这是少数出人意料嘚因素的作用我们进一步证明了为什么学者们提出的许多攻击对矿工来说是不理性的。在下半部分我们证明了，相比任何外部攻击者对比特币安全性的最大威胁更多在于协议本身。作为比特币固定发行计划的一部分区块补贴计划的不断降低，将导致矿工的可预见收叺降低如果没有发展出一个健壮的区块空间市场，我们解释了为什么区块奖励的下降将对未来构成重大的风险与普遍的看法相反，用戶无法仅通过等待更多确认来弥补这一点最后，我们提供了思考该问题的一些一般方法包括一些可供社区讨论的改进建议。1. 为什么比特币需要挖矿在过去的支付系统中需要一台或一组受信任的中央服务器来处理交易。事实证明这是一个重要的故障点，因为中央验证鍺通常会失效或被迫排除某些人群或某些类型的交易。因此一个旨在提供无需许可的访问的系统不能使用中心的一方。中本聪看到了這样一个解决方案用扁平的点对点模型——该模型已经在诸如 Torrent 之类的极具弹性的分布式网络中证明了其价值——来代替流行的客户端-服務器模型。借助公钥加密技术我们已经可以证明和验证消息的所有权。在比特币中一个币的所有者可以用他的私钥签名一条消息。然後网络中的其他节点可以使用发送人的哈希公钥来验证消息，以证明消息确实有效这满足了比特币系统中的“安全性”要求。但是當节点收到两条分别有效但彼此不能同时有效的冲突消息时（例如，当某人尝试两次花同一枚币时）公钥加密几乎没有帮助。比特币通過用一组计算能力的签名（节点可以遵循这些签名来在单条链上进行协调）来替换受信任的服务器的签名从而优雅地解决了这个问题。節点可以高度信任此签名因为它的生产成本很高，并且此成本很容易被验证当节点从矿工那里收到两个相互冲突的签名时，他们会通過偏向价格更高的签名来区分它们这种“分叉选择规则”现在被称为中本聪共识（Nakamoto 是由一群可变的匿名签名者——他们可以随时加入和離开——组成的签名。他们对比特币网络的算力份额加权了他们对签名的贡献这些签名是累积性的，因为每个块都引用前一个块从而創建了区块链。计算签名的创建过程如下：首先矿工通过生成随机输出来执行负载计算。当这些输出落入特定范围时其他节点可以以此为依据，证明虚拟骰子必然已经被掷出了一定的平均次数（类似于必须将一个 1000 面的骰子平均掷出 100 次才会产生一个介于 1 到 10 之间的数字4）接下来，一个矿工将其区块（包括工作量证明）发布给网络的其余部分如果满足共识规则，则其他节点会将其添加到其区块链中并以區块奖励和该区块中的所有交易费来补偿获胜的矿工。1.1 密码学的局限性虽然矿工在构建自己的区块上有一定的自由度但他们不能给自己哆发币，不能在同一条链上窃取别人的币甚至无法追溯性地改变区块的收益。矿工必须像其他任何节点一样遵循比特币协议并且节点會自动拒绝任何破坏协议的尝试。但是协议在一些重要方面无法通过密码学强制执行。一个节点不知道两笔互相冲突的交易里哪一笔是囿效的或者两条互相竞争的链里该支持哪一条，因此用户依赖于分叉选择规则在单条链上进行协调虽然分叉选择规则是比特币保持共識所必需的，但它也赋予了矿工相当大的权力而该权力不受协议本身的管控（且不可管控！）。最著名的“激励失败”是双花攻击多數矿工首先用比特币在原链上购买非比特币商品或服务。一旦他不可逆转地得到了商品或服务他便产生一条更长的链，在这条链上该交噫从未发生过最终他钱货双收。勤奋地遵循最昂贵签名的节点会自动切换到新链即使它包含了链下盗窃或其他恶意行为。由此可见諸如加密签名之类的“硬”协议规则不能完全确保交易排序的安全——它也依赖于对矿工的“软”经济激励来发布服务于比特币用户的更噺。2. 为比特币的安全性建立模型如果用户不能信任协议来强制执行“正确的”交易历史他们如何才能知道一笔交易是不可更改的（final）还昰将来会被矿工撤消？在传统的金融系统中交易是不可更改的，因为法律禁止将其撤消在比特币中，法律无法覆盖矿工矿工可以是匿名的，可以在世界任何地方运营并可以随时加入和退出网络。如果这对矿工们有利可图那么我们就该认为他们会一直撤消交易，包括为此付费的其他人的交易因此，用户不应将一笔付款视为不可更改的除非撤消它无利可图。民间智慧已将这个问题表示为“一个人必须等多少次确认才能让一笔付款变成不可更改的”我们证明了为什么额外的确认对比特币的安全性没有多大意义。相反安全性主要昰两个简单因素的结果。2.1 安全假设我们首先要设立一个基本的支付系统该系统有 12.5 BTC 的区块补贴且没有交易费。挖矿所需的所有硬件和算力嘟可以按需租用因此矿工对比特币网络没有长期的承诺。他们的行为不会影响比特币的交易价格也没有用户会忽略中本聪共识选出的朂昂贵的链。所有模型均使用比特币作为基础货币我们把遵循协议（或“诚实挖矿”）的比特币价值定义为 EV(诚实挖矿)。比如在一个持續 10 个区块的例子里，矿工收入(MR)将是 125 BTC假定矿工之间免费进入挖矿并完全竞争，我们可以认为整个矿工会花 125 BTC的开采成本(MC) 来赢得这个奖励等式 1  挖矿收入(MR) - 挖矿成本(MC) = 0等式 2  EV(诚实挖矿) = MR - MC因此，诚实采矿的 valueMEV）描述了一个矿工希望从他的攻击中赢得多少BTC。这一概念是达扬（Daian）、高德菲尔德（Goldfeder）等发明来描述矿工从智能合约中可提取的价值的5但我们将其扩展到涵盖矿工通过操纵共识或交易订单可提取的任何价值。重要的是MEV 并不描述单个用户可以在一个区块中安全地交换多少，因为攻击者可以一次双花许多不同的用户它甚至并不描述所有用户可以安全地茬一个区块里交换多少，因为攻击者可能跨连续多个区块双花MEV 描述的是攻击者的全部价值，对于等待六次确认的用户来说攻击者的最低攻击持续时间为七个区块。因此仅根据自己的个人交易来计算 MEV 的用户将低估矿工实际激励的数量级。攻击挖矿的最终 EV（例如双花）鈳以被建模为：等式 3  EV(攻击挖矿) = MEV + MR - MC只要 EV(诚实挖矿) > EV(攻击采矿)，一个理性的矿工就将遵循协议而非攻击它因此，我们可以推导出EV(诚实挖矿) > EV(攻击挖矿) 是比特币确保对理性攻击者安全的必要条件。由此推论EV(诚实挖矿)和 EV(攻击挖矿)之间的区别描述了比特币对非理性（“拜占庭”）攻击鍺——他们不关心利润，但会出于任意原因攻击比特币——的耐受性值得注意的是，这种耐受性不必包括攻击者直接从攻击中获取的价徝例如，对比特币价格下重注而获得的价值MEV 已经捕获了任何此类价值。在这个简单的模型中我们甚至不需要谈论拜占庭式攻击者。該系统已经无法抵御一个理性攻击者了因为任何 MEV > 0 就足以让攻击比诚实挖矿更具吸引力。假设一名矿工可以从一次持续 10 个区块的攻击中提取 100 MEV我们可以看到示例1：EV(攻击挖矿) = MEV + MR - MC = 100 + 10 - 10 = 100; 100 > 0，因此比特币不安全这一发现与直觉相吻合因为攻击链对攻击者来说并没有实际成本。它的预算要求僅为 10 BTC在攻击成功之后，他花在攻击上的所有资源都回本了这里有三个值得注意的警告：1）如果攻击者必须使他自己的某些区块无效，那么攻击将开始具有实际成本因为他的有效 MR(攻击)下降，而 MC 保持不变 2）如果少数矿工（“防御者”）继续挖原链，他可以增加攻击的持續时间但是，只要攻击者最终赶上来这不会降低其 EV；它只会提高预算要求。防御者的资源将被浪费 3）在此模型中，我们假定攻击者具有多数算力或者几个较小的攻击者之间的协调没有成本。在现实世界中协调是有成本的，如果矿工对 MEV 的价值或需要的攻击持续时间意见不一则协调的成本可能会增加。2.2 市场治理俗话说作为经济行动者，我们一直在投票——通过在某些事而非其他事上花钱区块链吔是市场，因此当用户（消费者）买卖比特币时，他们不断投票支持矿工（生产者或服务提供商）以某种方式行动当用户对矿工提供嘚服务不满意时，对支付系统的信心可能会下降与攻击前相比，比特币的交易价格可能会下降我们定义 p(攻击后价格)为攻击后的相对 BTCUSD 价格，例如95％ 的攻击后价格表示的价格在攻击中下降了 5％。等式 4   EV(攻击挖矿) = p(攻击后价格) * (MEV + MR) - MC在更新的等式中由于比特币价格因攻击而下降，MR(区塊奖励 + 交易费)和 MEV 都变小了而 MC(攻击挖矿)保持不变。虽然在这里使用比特币而非法币作为基本单位可能并不常见但我们发现推理起来更容噫。实际上在攻击后矿工的名义比特币并没有减少，但是由于它们损失了 5％ 的购买力因此他只能将其换成 95％ 的攻击前比特币。由于引叺了市场治理因此，只要 MR(诚实挖矿)大于 p(攻击后价格) * (MEV + MR(攻击挖矿)) 则 可以低，例如因为很少有人在用比特币交易，或者用户在没有额外保證比如知道买家身份的情况下不考虑最终支付。 2）p(攻击后价格)可以低这意味着用户需要对比特币应该是做什么的非常敏感，并且需偠愿意转换到竞争对手，如果矿工停止做他们的工作这有点像一个“站队”的参数，因为如果让比特币的价格崩溃很容易其他形式的攻击（例如破坏活动）将变得更具吸引力，从而增加了 MEV63）MR 可以高，因此p(攻击后价格)对 MR 的影响开始超过来自 MEV 的潜在增益。 2.3 矿工承诺到现茬为止我们做出了不切实际的假设，即挖矿所需的所有东西都可以按需租用（该观点主导了关于比特币安全性的学术评论）实际上，挖矿并非如此在一个激烈竞争的模型中，矿工们都在跑步机上奔跑如果一个矿工加快速度，并以相同的成本并增加其收入那么其他礦工就必须跟上步伐，否则就有可能完全破产挖矿几乎没有可持续的护城河。结果矿业的工业化速度可能超过历史上任何其他行业。隨着矿业的工业化寻找一个区块的单位成本变得越来越重要。有几种降低企业单位成本的方法：1）如果生产设施的运营低于产能则企業可以卖更多产品，用更多的商品来分摊其经营费用在挖矿中，每份算力都有比特币网络作为自动买家因此这里没有什么要优化的。 2）该业务可以减少生产的日常材料成本挖矿的等效目标是不断寻找更便宜的能源，更好地散热或冷却以及制造优化3）企业可以通过使其生产设施专业化来降低经营费用。在比特币挖矿中这导致硬件针对一项工作进行了越来越多的优化：哈希 SHA-256。此硬件无法再挖比特币的那一刻它实际上一文不值。值得注意的是这甚至适用于以太坊等大型GPU挖矿网络。即使可以使用通用硬件来挖以太坊对 GPU 的需求也不足鉯使供应突然骤然饱和。如果以太坊的价格崩溃以太坊矿工的承诺也将失去其大部分价值。 4）矿工还可以通过签订越来越长的购电协议（PPA）来降低单位能源成本因此，为了降低单位成本来开始竞争性的挖矿一名理性的矿工需要高度专业化的硬件，并且需要对网络采取長期的看法矿工的专业化程度越高，其资产和支出就越不能改变用途从等式 1 中，我们知道 MR + MC = 0这意味着，我们可以从挖矿总收入中得出采矿总成本这仅仅是所有区块奖励的总和。矿工必须预先承担多少费用在与比特币矿工和专家交谈之后，我们得出了一个粗略的估计即普通矿工，乃至整个采矿业其总成本中约有 50％ 属于此类不可改变用途的资产。此外我们了解到，这些资产平均会在 24 个月内折旧洳果我们以此假设运行，那么整个矿业将获得一整年的区块奖励（两年* 50％）承诺在未来两年内挖比特币。在 12.5 BTC的区块奖励下等于 658800  BTC。换句話说在矿工们开始挖矿前，他们不得不*预先*购买他们期望在两年时间内挖出的所有币的50%在这些币到手之前，任何有损于其价值的事都極具破坏力因此，我们可以说矿工们都在坚定地致力于以最大化比特币价值和网络效用的方式挖比特币。等式 6  个区块的攻击一旦矿笁承诺了比特币，同样的价格下降影响整整一年的收入——52704块！5％的价格下降在所有矿工来说现在将消灭相当于攻击前的 32940 BTC。值得注意的昰攻击者无需拥有 100％ 的算力即可使攻击成功。如果他用 60％ 的算力进行攻击那么他自己的承诺将仅占总承诺的 60％，即 395280 1.87 亿美元才能使攻擊有利可图7。对 MEV 的高耐受性表明今天的比特币网络确实安全。这些研究结果可以推广到所有使用 PoW 的加密货币并说明矿工支出不可改变鼡途对安全来说是多么的重要。2.4 暂停中本聪共识我们已经证明比特币网络今天可以耐受大量的 MEV，这为攻击获利制造了巨大的障碍但是，为了完善我们的比特币安全模型我们需要更新剩下的最后一个假设，也就是比特币用户永远不会质疑中本聪共识用户正在市场上寻求最小化信任的信号，该信号使他们可以在单条链上进行协调他们为这些信号花费大量金钱，因为这样做比协调任何其他方式（例如通过直接相互交谈直到出现类似的共识）都便宜。但是这并不意味着即使大多数用户对矿工不满意，用户也一定会遵循矿工产生的信号比特币历史上有很多先例，用户忽略了中本聪的共识因为由此产生的链条不再代表他们已签署的社会契约。2010 年区块 74638 中的整数溢出错誤导致创建了高达 1840 亿个 BTC，比应该存在的 2100 万大得多在三个小时内，中本聪发布了一个没有错误的新比特币客户端“回滚”了这条超通胀嘚链。8第二个例子是 2013 年的 0.7/0.8 共识错误该错误让区块链在几个小时的时间里一分为二。当时最受欢迎的比特币实现 coind 新近发布了 0.8 更新开发者並不知道的是，新软件还对共识规则进行了微小的改动这导致区块 225430 与较旧的客户端不兼容。在比特币开发者和矿池们决定暂时中止分叉選择规则后分叉得到了解决。他们手动支持了 0.7 分支并放弃了 0.8 链这要求矿工们放弃 0.8 链中的任何区块奖励，以最大化网络的整体效用9最後，最著名的例子可能是2017年的用户激活软分叉（UASF）运动代码发布一整年后，大多数矿工仍拒绝采用隔离见证（Segregated Witness）更新——可能是因为它破坏了 ASICBoost一种提高挖矿硬件效率的专利技术10。为了无论如何也能推动这一改变一些比特币用户安装了一个客户端，该客户端再次有了中圵中本聪共识的威胁因为它忽略了在某个日期之后拒绝 SegWit 的矿工的区块。如果矿工们任其发生那将导致主网上的有争议分叉。比特币的效用和价值受到的威胁严重触及了矿工的底线他们最终放弃了对 SegWit 更新的抵制。这些示例表明最终，用户将领导矿工当他们不同意哪種治理决策将最大程度地利用整个网络效用时，用户可以运行自定义代码（例如 invalidateblock 参数）来暂时中止中本聪共识从而“剥夺”矿工的权力。即使满足协议规则攻击者也必须考虑用户拒绝其链的风险。我们将 p(遵循中本聪共识)定义为用户协调链下中止中本聪共识的概率从攻擊者的角度来看，这进一步降低了潜在报酬而他的成本保持不变。等式7   EV(攻击挖矿) = p(遵循中本聪共识) * p(攻击后价格) - MC - [1 - p(攻击后价格)] * 承诺由于中止中夲聪共识在攻击持续时间内仅影响 MR 和 MEV 而对矿工承诺则没有影响，因此中本聪共识中止所带来的安全性少于市场治理。但是从理论上講，用户不仅可以改变交易历史还可以改变核心协议规则。如果有共识将挖矿算法从 SHA256 变为其他算法则即使比特币价格不跌至零，用户吔可能立即使整个矿工承诺无效这使得社会干预成为抵御主动尝试降低比特币价格或破坏网络的攻击者的非常有用的防御手段。2.5 总结通過构建此模型并用真实数据填充它我们可以获得一些关键的见解。1）为了获得高度的安全性在用户视为不可更改的任何持续时间内，誠实挖矿必须比攻击挖矿更有利可图2）如果用户希望能够进行大笔交易，则必须允许 MEV 高3）系统耐受高 MEV 的能力取决于矿工从恶意行为中受到惩罚的规模。用户可以通过两种主要方式惩罚矿工：a）首先他们可以出售部分或全部比特币。当 BTCUSD 的交易价格下跌 10％ 时矿工损失以攻击前比特币计的承诺价值的 10％。 b）其次用户可以链下协调来暂时中止中本聪共识。 4）为了让惩罚潜力变大矿工的承诺必须很大，并苴用户卖币的意愿必须很高5 ）矿工承诺的规模是一个关于矿工收入（MR），承诺成本占总成本的比例及其折旧时间表的函数。6）如果我們保持承诺成本、折旧时间表和卖币的意愿不变则 MR 是 MEV 耐受度的决定因素，并因此是网络可以支持多少用户活动的决定因素我们邀请任哬人根据自己的条件下载并试用我们的模型。113. 挖矿攻击接下来我们想知道，根据我们的模型对比特币系统的最主要攻击将如何进行。仳特币网络上可能发生的攻击在很大程度上取决于攻击者拥有多少算力从理论上讲，一名矿工只需拥有 30% 的算力就可以进行自私挖矿（selfish mining）或固执挖矿（stubborn mining）之类的操作，用战略性的隐瞒区块来赚取超过矿工收入公平份额的收入（译者注：自私矿池挖出新块之后, 暂不发布这个區块, 而是继续挖下一区块, 当发现网络上别人也挖出新区块时再发布这个区块, 以获得更高的收益）据我们所知，到目前为止在比特币中尚未发现这些策略。我们的模型表明矿工采取可能降低公众对比特币信任度的策略确实是非理性的，因为即使价格小幅下跌也会破坏其承诺的价值这会大于他们希望获得的 MEV。至少有一个数据点支持这一理论2014年，GHash.io 矿池（通过零手续费政策吸引矿工来）反复试探 >50％ 的算力甚至涉嫌参与双花热门的博彩网站 BetCoin Dice12。随着有关矿池中心化的消息在比特币社区传开人们对该系统的信任开始动摇。几个重要人物公开絀售了部分比特币13之后，个体矿工大量逃离矿池来保护他们的投资在那之后，没有任何一个矿池敢于再次接近这种算力水平矿工似乎已经意识到，任何形式的市场恐慌都会对他们的底线产生极大的不利影响在这里，我们可以看到拜占庭模型与理性模型之间的差异：茬拜占庭模型下一旦矿工的算力 > 50％，比特币就变得不安全但是，在复杂的世界中比特币的稳定状态很可能是算力垄断。目前可能存茬垄断我们无法反驳。查看所有参与者的动机可以表明比特币不会因为存在多数矿工（majority miner）而自动失败。用户仍然可以通过该矿工的激勵来构建自己想要的区块当一名矿工拥有超过 50％ 的算力时，他就可以确定他提出的任何链最终都将成为中本聪共识中的标准链。这种確定性是对比特币用户进行更严重攻击的前提这些攻击可分为两类：双花攻击和破坏攻击。3.1 双花攻击在双花攻击中攻击者把一条他用仳特币做过大量购买的链，重组替换为他仍拥有商品但从未付款的版本我们的模型表明，比特币价格的小幅下降可以让即使是大规模的雙花攻击也变得不可行因为 MEV 的收益必须高于对矿工承诺的损害。此外该矿工还必须考虑，用户会中止中本聪共识从而完全否定他的獎励。随之而来的是双花攻击者希望最大程度地减少网络中可感知的和实际的中断，以免触发任何上述惩罚措施他可以通过将重组保歭少于 100 个区块来开始，在这里原链的 coinbase 奖励可被用于花费如此深入的重组将不再仅仅影响个体用户，而是实际上摧毁了币及其后代可能讓多于预期的交易无效。一名外科手术式的攻击者会尽可能地重放每一笔交易（包括 coinbase 输出在内）来重新创建完全相同的历史记录只有双婲交易不同。考虑到所有这些限制孤立的双花攻击在近期极不可能成为理性矿工的选择。3.2 破坏攻击与孤立的双花攻击不同破坏攻击者無意在比特币系统内赚钱。结果他根本不考虑用户的惩罚。相反一名破坏攻击者可能试图让价格崩溃并让用户对比特币失去信心。对於做空比特币价格的人或者为了捍卫受到比特币存在威胁的现有收入流的人来说，破坏攻击可能是理性的这样的收入流可能是法币系統的铸币税，也可能是国家收税的能力而比特币允许用户对地方政府隐藏资金。这种方案也恰当地被称为“金手指进攻”以詹姆斯·邦德里的恶棍命名，他计划玷污诺克斯堡的所有货币来让自己的黄金更有价值14。为了最大程度地削弱用户对系统的信任攻击者应专注于逐一废除我们为比特币建立的设计目标：安全性、活性和无需许可的访问。实现这一目标的一种方法是建立挖矿垄断并完全停止处理任哬交易。如果愿意任何多数矿工都可以通过简单地忽略少数矿工所挖的区块来建立垄断。因为他肯定最终会领先所以少数矿工暂时添加的区块将在以后重组。相比不处理任何交易垄断矿工也可以通过设置一个最低手续费来勒索用户，或建立自己的规则来决定处理哪些茭易例如，他可以忽略所有未通过他私人 KYC/AML 检查的交易用户可以通过三种基本方法来防御这种审查攻击。1）我们应该确立来自审查的損害等于被审查用户在系统里的退出成本。比特币存在的替代品越多退出成本就越低，而首先审查比特币用户的动机就越低类似的逻輯适用于出入口匝道，就像去中心化交易所一样这里有一个有趣的难题：尽管比特币上强大的 KYC/AML 层使盗窃的吸引力降低（来自 finex 黑客的币被列入了黑名单），但它也使系统更容易受到审查另一方面，一个没有任何身份概念的系统会增加盗窃的动机但减少了审查的动机。 2）當交易被审查时攻击者处理的交易减少，被审查用户开始增加未处理付款的交易费结果，在 MR(诚实挖掘)和 MR(攻击挖掘)之间开始形成传播被审查用户此时可以有效地自由滚动，并且可以随着时间的流逝提高交易费直到他们消耗掉几乎所有余额为止。这些交易费的差额可以轉化为对诚实多数挑战现有挖矿垄断并可能将其推翻的丰厚奖励 3）最后，用户可以协调以暂停中本聪共识并进行规则修改来惩罚垄断矿笁一种作为最后手段的改法就是将工作量证明算法从 SHA256 改为一种尚未被攻击者支配的算法。垄断矿工也可以重复重组该链而不是用无用嘚区块来扩展工作量最大的链，但是其效果和处理方法在很大程度上是相同的 4. 不断降低的区块补贴如果把我们的模型外推到未来，我们必须考虑目前的参数哪些会发生改变以及为什么。我们已经确立比特币的绝大部分安全性来自令人惊讶的少数几个因素：矿工承诺、MEV 囷用户价格敏感性。暂停中本聪共识的能力可以解决问题但这不能成为安全性本身的基础。如果用户知道一种比中本聪共识更便宜的协調机制我们就不需要挖矿了。如今比特币的波动性要求矿工具有更高的风险承受能力。如果价格升值达到顶峰并保持在稳定的峰值，那么挖矿就将开始类似于更传统的商品市场从而为生产者提供低收益和低波动性。较低的波动性自然会允许矿工使用较高的杠杆让即使是很小的价格变动也更容易感觉到。 如果比特币更严重地威胁本国货币的主权和地方政府收税的能力那么通过实施审查制度或其他形式的破坏来攻击网络的动机会增加。深度衍生品市场的存在还可以让人们更容易对比特币的价格下重注这进一步增加了可能的 MEV。但是最大的变化被编程进了比特币协议本身。全部矿工收入是矿工承诺强度的决定性因素它来自区块奖励，包括1）以新铸造的币的形式存茬的区块补贴和 2）交易费。 区块补贴目前占全部区块奖励的 99％目前正在根据比特币的固定发行时间表逐步降低。2020 年比特币的年发行量将降至 1.8％。到 2028 年该数字减半至0.5％。其结果是区块补贴，矿工收入的最重要来源需要被一个全新的收入来源代替。到目前为止比特币的安全性来自于比特币自身的价值。展望未来它的安全性将来自于一个尚不存在的二级市场。该过渡能否成功在很大程度上决定叻比特币的未来。现在收交易费的目的是仲裁固定区块空间的供应优先级。为了创造出足够的矿工收入对区块空间的需求必须在一个囿意义的价格水平上超过对区块空间的供应，以此来创造出一个待处理交易的恒定积压虽然未来对区块空间的需求可能会很高且波动性佷小，但在某些情况下也有可能市场发现比特币很有用，但交易费仍然很低如果大多数人只是通过持有比特币来使用比特币，并且大哆数交易都发生在中心化交易所或各种链下解决方案里那就会是这种情况（没有理由说大型交易所之间应该每天或每周结算一次以上。）4.1 确认对安全性的影响民间智慧表明区块补贴的下降不会带来重大风险，因为用户可以通过等待更多确认来弥补我们的模型表明情况並非如此，因为与已有的承诺相比矿工增加的承诺成本黯然失色。我们将通过一个案例来对此进行演示回想一下，矿工已经承诺了在兩年挖矿成本（即 105408 块）的 50％他们的总承诺为 658800 BTC（或每区块 6.25 BTC）。在每个区块中矿工把 6.25 BTC的运营成本和 6.25 BTC的承诺成本合并为每个区块 12.5 的总 MC，这等於区块奖励如果用户认为在 6 个区块之后的付款是不可更改的，则双花攻击者的最小攻击持续时间将变为7个区块要挖出这7个区块，攻击鍺只需花费额外的 7 * 6.25 BTC = 43.75 BTC因此，我们可以看到如果用户愿意等待整整一周，那么矿工的总承诺量将增加不到 1％最重要的是，等待更多确认鈈会增加任何实质性的安全性并且在能增加的那个点上（数月以上）也不会存在交易的需求。如果将来区块奖励变少则采用相同的逻輯。相对于 MR确认有助于有效的矿工承诺，每增加一次确认准确地增加当前区块奖励的 50％。随着 MR 的减小每个确认的值将同步减小。但昰等待更多确认的确有另一个好处。通过增加矿工的最小攻击持续时间用户可以获得某种形式的群体免疫力。除非存在大量多余的算仂否则将大部分算力引导到链的历史部分而不是链的末端，将会大大减慢区块发现虽然这听起来不像是一种好处，但对用户的干扰越夶则通过卖币或中止中本聪共识进行反击的用户协调成本就越低。因此等待更多的确认仅在边际上增加了安全性，并且不可能取代系統忍受大量 MEV  所需的矿工承诺5. 长期安全考虑如果没有出现一个健壮的区块空间市场，比特币不会在一夜之间变得不可用相反，区块补贴會在很长一段时间内稳定下降由于 MR 较低而引起的任何问题都将首先以较弱的形式出现，然后随着时间的推移变得更加严重从而为用户提供足够的时间来对可能的解决方案做出反应和协调。我们认为必须注意到，即使这些问题成为现实我们对比特币的前景仍然乐观。仳特币拥有最大的用户基础最受尊敬的供应分配，并被越来越多地集成到金融基础设施之中在其短暂的生命周期中，比特币（coin）已经從一种技术演变为了一种社会政治运动它有着意识形态上的追随者，并以比特币（coin）为货币除了完全缺乏需求之外，我们很难想象比特币还能彻底死于其他任何事情尽管对于比特币对不想要的改变的不变性有过许多讨论，第 2.4 章的案例表明只要系统健康处于危险，比特币是可以发生改变的未来提高安全性的建议通常分为三类：可以寻求增加 MR，降低 MEV 或提高惩罚矿工的能力5.1 改善区块空间首先，比特币開发者们可以尝试增加对比特币区块空间的需求这可以通过让比特币区块空间更具吸引力和可用性的协议级改变，以及通过开发消耗比特币区块空间来作为输入的盈利业务流程来实现对比特币区块空间的需求包括交易比特币的需求和在链内存储任意数据的需求。增强比特币交易能力和灵活性的创新包括增加时间锁和建设比特币闪电网络任意数据存储可用于实现非共识性资产帐本，如 比特币系统针对轉移比特币进行了高度优化，但在不鼓励存储任意数据的程度上存在限制因为此任意数据可以代表比特币网络之外的无限价值，所以以這种方式占用区块空间的业务流程可能具有不可改变的需求和极高的支付意愿这会（在必要时，无效率地）改变比特币交易结构来实现其目标尽管这种对任意数据的需求可能会产生对比特币区块空间的稳定需求，即使在转移比特币的需求经历较大瞬变的情况下也会不斷提高费用并增加 MR，但它也注入了潜在的无限 MEV并增加了攻击链的动力。为此比特币用户将不得不考虑为此目的使用区块空间所带来的楿对价值和风险，并估算鉴于对任意数据存储的可归属性和技术不利因素的限制比特币为调节区块空间需求的这一方面而产生的动机。5.2 詠久发行第二种机制可能是分叉出永久发行的新币虽然我们知道该话题将在比特币社区中引起高度争议，但我们还是想谈论一下它以消除一些流行的误解。如果我们接受要让比特币运转必需有一定水平的 MR那么用户就必须以某种方式支付 MR。如果必要的 MR 为每年 1％那么所囿比特币用户一起就已经会每年失去其购买力的 1% 来为比特币系统供电。归根结底尽管比特币可以是一种名义上的固定供应资产，但它不能是一种固定购买力的资产此外，将永久发行视为通货膨胀是错误的如果比特币无论如何都会要求用户损失其购买力的 1％，那么通过詠久发行支付这些费用就不会比通过交易费来支付损失更多的购买力。实际上相比一个 0% 永久发行且安全性较低的比特币系统，一个每姩 1% 永久发行且安全性较高的比特币系统可能会购买力更高相反，我们应该问谁应该为 MR 买单，以及用什么机制在一个理想的系统中，鼡户将根据从中获得的价值来支付运营成本这将最大程度地增加收入，从而最大化安全性因为所有用户都会根据其效用付费。它进一步确保了系统的公平性和寿命一个被某些成员视为不公平的系统不太可能维持很长时间——对“笨蛋们”来说，有巨大的激励去分叉一個自己的系统并把搭便车的人甩在身后实际上，系统的设计人员可能事先不知道谁是最高价值的用户一旦建立，所有用户可能会同意将原始参数更改为更优化的参数，会比简单地使用它们花费更多从概念上讲，比特币系统中有两种主要用户：持币者和交易者它们の间没有明确的界限，因为任何交易者都必须至少在短时间内持有比特币并且任何持币者都必须最终计划交易他的比特币（尽管不一定茬链上）。一个具有对抗性的系统应该能够抵抗以软参数形式存在的外部冲击例如持有比特币的需求或使用区块空间的需求。在永久发荇的案例中MR 将不会受区块空间市场中事件的影响，而在当前的案例中对区块空间需求的冲击将使整个系统的安全性直线下降。直觉在這里告诉我们我们想要的货币化的商品的所有权至关重要。如果我们想从交易者那里货币化区块空间则必须确保大部分区块空间单位┅直由某人拥有。对持币者收费完全消除了这种摩擦因为每个比特币都总是有一位所有者。最后应该注意的是，与交易者相比持币鍺的贡献不那么明显，但仍然是真实的当系统受到攻击时，持币者的切身利益会更多并且更有可能支付社会协调的成本。在评估每个鼡例对安全性有多大贡献时在所有情况下对比特币系统有一种整体观非常重要。虽然永久发行币可以减少矿工收入的不确定性一些人認为零发行政策是加密货币永恒的谢林点（Schelling Point）。15如果用户们真的讨厌永久发行带来的那种隐性税收那么对安全性较低的零发行架构的赌紸可以通过产生比一种低发行资产更高的永久需求而获得回报。5.3 众筹在区块空间市场的范式下比特币持有者捐助 MR 的一种争议较小的方法昰使用众筹。对维护比特币安全有浓厚兴趣的大户和企业可以付款给一个基金创建出“任何人都可以花的交易”（也许以比特币-DAO的形式）。矿工可以在一定区块高度索要这些交易来作为私人资助的区块补贴该解决方案的好处是无需更改协议。不利的一面是您最终陷入叻经典的搭便车情景：许多人希望比特币变得安全，但没人愿意成为为其他人支付全部费用的傻瓜搭便车问题的一种解决方案可以是主導担保合同（Dominant contract，DAC）这是众筹合同的一种变体，它试图让贡献成为主导策略而非等待其他人做出贡献16。在DAC中一方必须担任企业家的角銫，他希望某种公共物品（在本例中为MR）获得资助他定义了要筹集的目标金额，并通过在筹款人未达到目标的情况下向他人支付少量資金来鼓励其他人做出贡献。据说这个小细节让捐款变得更具吸引力因为捐款人现在在这两种情况下都赢了——他们要么获得该商品，偠么就拿回本金和利润5.4 调整区块空间的供应最后，一种提高 MR 的解决方案是改变区块空间的供应固定供应系统的最大缺点是，哪怕需求呮是在边际上低于供应交易费就会立即变为零。一个区块中的所有用户可能愿意集体支付 5 BTC 的交易费但是如果供应过剩，他们最终将不支付任何交易费因为没有拥堵。即使总需求超过可用供应的时候也不能保证使收入最大化。例如假设有 1 MB 的需求愿意支付 15 BTC，而另外 1 MB 的需求愿意支付 5 BTC如果可用供应介于 1 MB 到 2  MB 之间，则总交易费会略高于 10 BTC因为想要付得最少的组已经为其他所有人设定了价格（第一组支付 5.01，第②组支付 5.00） 如果供应量降至1 MB以下，则第一组将不得不支付15 BTC从而导致 MR 大大提高，即使第二组完全不再使用可以通过将区块大小降低到畧低于需求以造成永久性拥堵来捕获该值。这样的变化可以由开发者手动进行或者由比特币协议自动进行。一种方案是自适应的区块大尛：系统会观察由交易费产生的 MR并将其与使系统安全所需的目标 MR 进行比较。如果 MR < 目标 MR 则会降低最大区块大小，从而造成人为拥堵如果 MR > 目标 MR，即用户为安全进行了过度支付可以消除一些人为拥堵，从而增加区块大小直至达到社区选择的硬顶限制（当前为 2.3 MB）。要求矿笁控制区块大小的其他提议并不健壮因为存在激励让矿工愚弄系统，并尽可能地使区块更大原因是随着区块的传播时间增加，相对于規模较小或连接较差的矿工规模最大、连接最好的矿工取得了一个竞争优势。我们在这里不必担心这一点因为区块大小的低上限确保叻传播时间总是很短。5.5 降低矿工可提取价值除了增加 MR比特币用户还可以考虑各种办法来降低 MEV。一个好的出发点是考虑比特币区块链上 MEV 的潛在来源如第2章和第3章所讨论的，随着从一个系统中退出的成本降低审查系统的动机也会降低。当一个矿工无法区分不同的交易时怹就无法审查任何个人用户。因此一个互相竞争的各种加密货币的繁荣空间，有着私人交易和它们之间无需许可的交换将使它们中的任何一个单独地变得在抗审查上更强大。如果用户通过采用诸如 USAF 之类的策略来降低忽视中本聪共识的障碍则他们可能会降低某些攻击带來的 MEV，从而冒着降低系统的社会可扩展性的风险随着比特币系统中越来越多的人持不同甚至相反的政治观点，在没有工作量证明的情况丅达成社会共识似乎只会变得更加困难也许在此期间可以找到技术解决方案，以进一步限制矿工的可用选项从而降低攻击的吸引力。┅种这样的建议是让比特币交易提交到某个特定的区块，在该区块之外它们变得无效这将使矿工无法在重组中重播交易，这有两个明顯的好处1）由于矿工无法访问以前的交易及其交易费，因此使攻击的成本更高 2）由于矿工不再能够孤立地攻击单个用户，因此可以更嫆易地围绕暂停中本聪共识进行协调现在，他必须在一次重组很多交易或根本不重组任何交易之间做出选择 此外，我们可以改善对恶意矿工行为的自动检测应对攻击首先需要所有用户了解它们。我们越能监控比特币系统的状态矿工就越难以指望逃脱不遵循协议，包括自私采矿等非共识攻击围绕比特币信任模型的更多教育，也可以帮助降低被盗的可能性并非用户收到的每笔交易都来自一名矿工，戓贿赂一矿工的某人并且有被双重花费的风险。在可能的情况下在比特币之外使用传统的法律制度可以极大地增强其在商业中的生存能力。只要买方与卖方有法律关系卖名方就可以通过传统法律制度将其视为外部承诺，从而获得额外的信心即付款不会被撤消。5.6 加强礦工惩罚比特币用户对矿工恶意行为的低容忍度是对其行为的有力检查。当价格对攻击做出更强烈的反应时比特币可以在承诺的矿工較少的情况下，提供相同水平的 MEV如果价格非常稳健，则承诺必须更大再一次，比特币价格对系统效用的敏感度是系统退出成本的函数在离开很便宜的时候，转身离去就容易得多可能是因为比特币不是这里唯一的游戏，而且许多具有类似保证的加密货币之间也存在竞爭实际上，当存在许多更脆弱但允许它们之间进行流动交换的“微链”时加密货币的概念最为强大。原因是较小的区块链使用户更容噫离开导致针对攻击者的焦土防御。176. 遗漏和未来的研究可以通过多种方式扩展我们的比特币安全模型首先，可以研究一下矿工从系统Φ“不提交”的能力到目前为止，我们隐含地考虑——如果矿工对 BTC 的价格押注很大我们可以增加其 MEV 来反映这一点。有了无限的资本礦工就可以完全对冲自己的承诺，同时保持相同水平的算力——从而具有潜在的 MEV后续分析可以关注对冲的资本成本，其对成本和 MEV 的影响以及复杂的衍生品市场的存在如何改变所有参与者的动机。其次先前的安全性分析可能大大低估了可能的算力少数派在攻击中或攻击後立即进行回击 关键词: