a16z：通過去中心化隨機信標構建Web3公共隨機性_RAN

原文作者：JosephBonneau和ValeriaNikolaenko

原文標題：PublicRandomnessandRandomnessBeacons

共隨機性是許多現實世界安全協議的重要組成部分。在某些應用程序中，例如賭博和多人游戲，隨機性會增加樂趣。在其他應用中，隨機性提供了一種公平的方式來分配不可分割的資源，從綠卡到巡回法院法官的案件分配，再到體育比賽的種子。它還用于分配負面資源，例如稅務審計或機場的二次安檢。

傳統上，我們依賴受信任的權威來為這些協議生成隨機性，但在web3世界中，我們需要做得更好。在這篇文章中，我們將探索通過分布式隨機信標構建可公開驗證的隨機性的方法，然后討論一些鏈上應用程序。

預期屬性

生成隨機數是一項眾所周知的微妙任務。例如，許多加密密鑰已經泄露，因為它們依賴于一個有缺陷的隨機數生成器。然而，這只是私人隨機性，只有一方需要生成和使用它。

相比之下，公共隨機性是一個多方參與過程，這大大增加了難度。產生公共隨機性的良好協議將具有以下安全屬性：

無偏倚：任何攻擊者或攻擊者聯盟都不應該能夠使輸出產生偏差。可靠：任何攻擊者都不能阻止協議產生輸出。

可驗證：任何人都可以輕松驗證協議輸出，并且應該看到與其他人相同的輸出。

不可預測：如果協議在T1時間產生輸出，那么在某個時間T0＜T1之前，沒有人應該能夠預測關于輸出的任何事情，理想情況下，T0非常接近T1。

a16z將在倫敦開設辦事處:6月12日消息，a16z 發文稱，將在倫敦開設 a16z 辦事處，新辦公室定于今年晚些時候開放，由普通合伙人 Sriram Krishnan 領導，致力于在英國與歐洲發展加密貨幣與創業生態系統。同時，a16z 還計劃于 2024 年春季在倫敦舉辦下一屆 Crypto Starup School。本次在倫敦開設辦事處的到英國總理 Rishi Sunak 支持，他表示決心為這項技術釋放機會，并將英國變成世界 Web3 中心。同時，a16z 還將繼續對美國進行大量投資，并繼續致力于于美國政策制定者于監管機構合作，使其對加密貨幣初創公司的監管更加明確。[2023/6/12 21:30:56]

無偏倚是比不可預測性更弱的屬性，因為任何不可預測的協議都必須是無偏的。計算機科學家會說，無偏倚會降低為不可預測性，因為如果你有偏見，你就可以預測。但有時我們會想要分別推理它們，因為它們可能依賴于不同的假設——例如，不誠實的多數人可能會預測結果，但不會對其產生偏見。

除了這些屬性之外，該協議還應該能夠高效地運行并產生大量隨機位。理想情況下，該協議在通信和計算成本方面也應該是有效的。

不同的協議可能會在不同的條件下實現這些屬性。例如，某些協議可能不受任何f1惡意節點聯盟的偏見，并且無法被任何f2＜f1惡意節點聯盟預測。也有不同程度的偏見。例如，在某些協議中，參與者可能能夠將輸出偏置“一位”——這意味著他們可以在兩個可能的輸出之一之間進行選擇。其他攻擊可能允許他們完全修復輸出。然而，通常情況下，我們根本不想容忍任何偏見。

NFT組織PROOF完成5000萬美元A輪融資，a16z領投:金色財經報道，NFT組織Proof周二宣布完成5000萬美元A輪融資，a16z領投，其他參與者包括Collab+Currency、Flamingo DAO、SVAngel、Vayner Fund和Seven SevenSix。Seven SevenSix在4月份為Proof領投了1000萬美元的融資。PROOF發布了到今年年底的計劃，包括對CC0系列的支持，即將推出的MoonbirdsDAO的更新，以及PROOF的第三個NFT系列：MoonbirdsMythics。MoonbirdsMythics是一個2萬個PFP系列，預計將于2023年推出。PROOFWeb3社交平臺也即將推出，測試版將使PROOF創作者、Moonbirds和Oddities的持有者能夠創建由收藏家策劃的畫廊。該平臺將整合PROOF生態系統特有的內容和行動，包括研究報告、播客、DAO提案等。[2022/8/31 12:59:29]

密碼學理想：隨機信標

密碼學家通常從考慮問題的理想解決方案開始。在公共隨機性的情況下，隨機信標是一種理想化的服務，它定期產生滿足所有必要安全要求的隨機輸出。

這種理想化的隨機信標，類似于其他加密抽象——例如隨機預言或通用組模型——在現實世界中并不存在。但這是一個有用的目標，也是一個有用的模型來推理依賴公共隨機性的協議。

我們可以考慮一些理想隨機信標的近似值。

集中式信標：產生良好隨機性的最簡單方法是通過具有NIST隨機性信標或random.org等服務的集中式第三方，它從大氣噪聲中產生隨機性，并經認證可用于賭博。這種對第三方的依賴完全破壞了去中心化的理念。實際上，在上面的示例中，我們必須相信相關組織正在正確地生成隨機性，而無需任何加密證明。

a16z Crypto和Cultural Leadership Fund公布HBCU Token委托計劃:2 月 11 日，a16z Crypto 和 Cultural Leadership Fund 公布 HBCU Token 委托計劃，此次授權委托是擴大在治理過程中擁有有意義發言權的參與者群體的一種方式。當它有效地完成時，它最終是一種長期發展更高質量管理機構的方式。

a16z 創建了代表計劃以允許更多人參與網絡治理，與多元化的優秀代表網絡合作，包括非營利組織、初創公司、學生俱樂部、社區領袖等。為 HBCU 學生和俱樂部舉辦的信息發布會將于 2 月 23 日舉行。[2022/2/11 9:44:32]

物理隨機性展示：許多傳統彩票依賴于公共展示，例如，可能包括有人伸手伸入一個裝有不同數字的乒乓球容器。不幸的是，這些通常很容易操作。例如，某個球s可以放在冰箱中，然后可以告訴選擇器選擇冷的。

自然信標：一個常見的想法是使用隨機的自然現象，如天氣或宇宙背景輻射作為信標。不幸的是，所有提議的來源都沒有提供強烈的共識。不同的觀察者會看到略有不同的值，這需要重新引入可信方進行官方測量，具有中心化信標的所有缺點。

半集中式信標：更好的方法是直接從比特幣區塊頭或股票收盤價中獲取隨機性，這更容易公開驗證，任何一方都更難以完全控制。然而，對工作量證明區塊鏈隨機性和股價隨機性的微妙攻擊仍然存在。例如，使用區塊鏈標頭，礦工可以選擇保留標頭產生他們不喜歡的信標值的塊。或者，他們可以選擇在根據首選信標輸出找到兩個碰撞塊時打破平局。

加密合規平臺Sardine完成1950萬美元A輪融資，a16z等參投:2月11日消息，金融科技行業加密合規平臺 Sardine 宣布在 A 輪融資中籌集了 1950 萬美元，參投方包括 Andreessen Horowitz (a16z)、NYCA 和 Experian Ventures等。作為投資的一部分，a16z 的普通合伙人 Angela Strange 將加入 Sardine 董事會。

據了解，總部位于舊金山的 Sardine 于2021年推出，使用人工智能根據用戶在賬戶創建和賬戶資金時的身份、設備和行為模式提供實時欺詐評分，該平臺會在每次登錄、存款和取款期間檢查欺詐行為。

此前3月份，數字防欺詐解決方案Sardine曾完成460萬美元種子輪融資。[2022/2/11 9:43:50]

去中心化隨機信標(DRB)

解決集中式信標問題的一種自然方法是設計一個分散的密碼協議來產生公共隨機性。這個問題有點像設計去中心化的共識協議，只是更難。不僅所有參與者都需要就輸出達成一致，而且協議中的惡意參與者也不應該對輸出產生偏見或預測。

旨在模擬隨機信標的協議稱為分布式隨機信標(DRB)。這個問題已經研究了幾十年，在1980年代證明了著名的不可能結果，但在區塊鏈時代重新點燃了興趣。DRB可用于提供鏈上隨機性，這將是公平、安全和透明的鏈上應用程序的關鍵要素。

經典方法：承諾-披露協議

在樂觀情況下，一個非常簡單的兩輪協議足以滿足DRB的需求。在第1輪中，每個參與者i生成一個隨機值ri并發布一個密碼承諾ci=Commit(ri)。在這個應用程序中，承諾可以簡單地是一個像SHA-256這樣的哈希函數。在每個參與者的承諾發布后，他們被鎖定在他們選擇的ri中，但承諾不會透露有關其他參與者貢獻的任何信息。在第2輪中，每個參與者通過發布ri來“開啟他們的承諾”。然后組合所有隨機值，例如通過對它們進行異或或散列它們的連接。

DeSo區塊鏈通過代幣銷售獲得2億美元融資，a16z等參投:9月21日消息，BitClout創始人（化名為Diamondhands）透露自己的身份是穩定幣初創公司Basis創始人Nader Al-Naji，Basis因監管限制于2018年關閉。Nader Al-Naji的新區塊鏈網絡Decentralized Social（DeSo）通過出售DESO代幣獲得2億美元融資，Andreessen Horowitz（a16z）、Sequoia、Social Capital、TQ Ventures、Coinbase Ventures、Winklevoss Capital、Polychain Capital、Pantera Capital、Arrington Capital、Blockchange Ventures、Distributed Global、Blockchain.com Ventures、Hack Ventures、Reddit聯合創始人Alexis Ohanian等參投。

DeSo區塊鏈支持傳統社交媒體功能（如創建個人資料和帖子）以及區塊鏈原生功能（如社交代幣、小費和NFT），這些功能可以讓創作者賺錢。Al-Naji表示，所有想要使用DeSo區塊鏈或基于該區塊鏈構建的應用程序的人都必須持有DESO代幣。[2021/9/21 23:40:46]

該協議很簡單，只要其中一個參與者隨機選擇他們的ri，就會產生隨機信標輸出。不幸的是，它存在一個典型的缺陷：當所有參與者都透露了他們的隨機值時，最后一個參與者能夠計算假定的信標輸出。如果他們不喜歡它，他們可以拒絕發布他們的值，中止協議。忽略錯誤參與者的貢獻并不能解決問題，因為這仍然讓攻擊者在兩個信標輸出之間進行選擇。

區塊鏈為這個問題提供了一種自然的補救措施：每個參與者都可能被要求將一些資金放入托管中，如果他們不透露他們的隨機貢獻，這些資金就會被沒收。這正是以太坊上經典的RANDAO信標所采用的方法。這種方法的缺點是輸出仍然可能有偏差，如果托管中的資金少于信標結果上的資金量，這對攻擊者來說可能是值得的。更好地抵御偏向攻擊的安全性需要將更多的代幣放入托管中。

承諾-披露-恢復協議

一些協議不是試圖強迫所有各方透露他們的隨機貢獻，而是包含一個恢復機制，這樣即使少數參與者退出，其余參與者也可以完成協議。重要的是，協議在任何一種情況下都產生相同的結果，這樣各方就不能通過選擇是否退出來偏向結果。

實現這一目標的一種方法是讓每個參與者向其他參與者提供其秘密的共享，以便他們中的大多數人可以使用例如Shamir的秘密共享來重建它。然而，一個重要的屬性是其他人可以驗證提交的秘密是否已被正確共享，這需要使用更強大的原語，稱為可公開驗證的秘密共享(PVSS)。

其他幾種恢復機制也是可能的，但它們都有相同的限制。如果有N個參與者，并且如果任何最多f個節點的組退出，我們想要彈性，那么任何N-f個參與者組都必須能夠計算最終結果。但這也意味著N-f參與者的惡意聯盟可以通過私下模擬恢復機制來提前預測結果，這也可能發生在協議的第一輪，在此期間，這樣的聯盟可以修改他們自己的隨機性選擇并使結果產生偏差。

換句話說，這意味著任何N-f個節點的聯盟必須至少包含一個誠實節點。通過簡單的代數，N-f>f，所以f<N/2，這些協議本質上需要誠實的多數。這與原始的commit-reveal安全模型有很大不同，后者只需要f<N。

這些協議通常還需要大量的通信成本來在協議的每次運行中在所有節點之間共享額外的PVSS信息。在過去的幾年里，研究界在這個問題上做了相當多的工作，研究提案包括RandShare、Scrape、SecRand、HERB或Albatross，但似乎都沒有看到實際部署。

可驗證的基于隨機函數的協議

意識到一組N-f個參與者可以計算上述協議中的隨機信標值，導致了一種更簡單的方法：在N方之間共享一個長期密鑰，并讓他們使用它來評估可驗證隨機函數(VRF)。密鑰通過t-out-of-N閾值方案共享，因此任何t參與者都可以計算VRF。對于t=N-f，這為f個惡意節點提供了與上面討論的commit-reveal-recover協議相同的彈性。

DFINITY率先使用這種方法作為其共識協議的一部分，使用閾值BLS簽名。獨立的drand隨機信標使用基本相同的方法，一組參與者閾值-BLS-在每一輪中簽署一個計數器。熵聯盟是drand的開源實例，它使用16個參與節點每30秒產生一次隨機性，由公司和大學研究小組共同運行。

這些方法的缺點是初始化閾值密鑰相對復雜，當節點加入或離開時重新配置密鑰也是如此。但是，在常見情況下，協議非常有效。

如上所述，簡單地簽署一個計數器值并不會在每輪中增加任何新的隨機性，因此如果足夠數量的參與者密鑰被泄露，那么該協議將在未來的每一輪中都是可預測的。

ChainlinkVRF將這種方法與請求隨機性的各方指定的外部隨機源相結合，通常是實踐中最近的區塊鏈標頭。然后，此數據通過VRF饋送，該VRF由一方運行或閾值化到一組。

以太坊的信標鏈目前使用基于BLS的VRF：每一輪的提議者將他們的VRF值添加到組合中。與commit-reveal范例相比，這節省了一輪通信，盡管這種設計繼承了commit-reveal方法的一些警告，包括通過保留輸出來偏置信標輸出的可能性.

基于可驗證延遲函數的協議

最后，一個有前途的新方向是使用基于時間的密碼學，特別是可驗證延遲函數(VDF)。這種方法有望提供良好的通信效率和魯棒性，并具有對N-1個惡意節點的彈性。

回到最初的commit-reveal協議，傳統的承諾可以用定時承諾代替，以消除參與者拒絕透露他們的隨機貢獻的問題。定時提交可以由原始提交者或任何愿意計算慢函數的人有效地打開。因此，如果任何參與者退出提交-顯示協議，他們的承諾仍然可以被其他人打開。至關重要的是，打開承諾的最短時間足夠長，以至于不能在協議的第一輪完成，否則惡意參與者可以足夠快地打開其他人的承諾，從而修改自己的貢獻并偏向結果.

現代VDF可以實現更優雅的一輪協議：完全放棄承諾。每個參與者可以簡單地發布他們的隨機貢獻ri，最終結果是每個參與者的貢獻的組合，通過VDF運行。計算VDF的時間延遲確保沒有人可以選擇他們的承諾以使最終輸出有偏差。這種方法由ArjenLenstra和BenjaminWesolowski在2015年提出為UNICORN，并且確實是VDF開發中的關鍵激勵應用。

這種方法已經看到了一些實際的部署。Chia實現了一個版本作為其共識協議的一部分，在類組中使用重復平方的VDF。Starkware使用基于SNARK的VDF實現了基于概念驗證的VDF信標。以太坊也計劃使用這種方法，構建一個專用的ASIC來計算VDF，以在共識層生成隨機性。

公共隨機性是許多協議的重要組成部分，但我們仍然缺乏任何提供高安全性的標準DRB。設計空間很大，上述方法的許多混合和組合都是可能的。例如，可以將基于VRF的協議與基于VDF的協議結合起來，這會增加新的熵，例如RandRunner提出的。以太坊的信標鏈目前使用VRF，但未來可能會添加VDF，以消除區塊扣留攻擊的偏見可能性。

當誠實多數協議可以接受時，這也是一個懸而未決的問題。對于一個相對較小的、經過審查的參與者群體——比如熵聯盟——誠實的多數假設是合理的。另一方面，只需要一個誠實參與者的協議有一個固有的優勢——更多的參與者只能提高安全性。這意味著這些協議可能會在開放的、無需許可的參與下進行部署。

在第二部分中，我們將討論隨機領導者選舉在共識協議中的具體應用，其設計目標略有不同，因此提出了更多的協議和方法。

本文作者簡介

JosephBonneau是a16zcrypto的研究合伙人。研究重點是應用密碼學和區塊鏈安全。曾在墨爾本大學、紐約大學、斯坦福大學和普林斯頓大學教授加密貨幣課程，并獲得了劍橋大學的計算機科學博士學位和斯坦福大學的學士/碩士學位。

ValeriaNikolaenko是a16zcrypto的研究合伙人。研究重點是密碼學和區塊鏈安全、PoS共識協議中的遠程攻擊、簽名方案、后量子安全和多方計算等主題。ValeriaNikolaenko在DanBoneh教授的指導下獲得了斯坦福大學的密碼學博士學位，并作為核心研究團隊的一員從事Diem區塊鏈工作。

Tags：區塊鏈ANDVENRAN區塊鏈dapp開發HAND價格BitcoinVendTRANSPARENT價格

fil幣價格今日行情