萬字長文 | 比特幣安全性模型與不斷下降的區塊補貼_BIT

Hasu、JamesPrestwich、BrandonCurtis?文

本文由幣信研究院原創編譯，原文鏈接:

https://uncommoncore.co/wp-content/uploads/2019/10/A-model-for-Bitcoins-security-and-the-declining-block-subsidy-v1.02.pdf

本文版權歸原作者所有，僅代表作者本人觀點，不代表幣信或幣信研究院的觀點或立場。

本文約17000字，閱讀全文需約40分鐘。

隨著區塊獎勵的不斷降低，比特幣在未來的安全性是否能得到足夠的保障一直是我們關注的一個重點。

上個月，Hasu、JamesPrestwich和BrandonCurtis對這個問題進行了全面的論述。鑒于這個問題的重要性，我們對該論文進行了細致的全文翻譯。全文如下：

我們感謝AnthonyTowns、ArjunBalaji、BrianVenturo、DavidVorick、JoeKendzicky、LucasNuzzi、MatthewHammond、NicCarter、PhilipDaian、SteveLee、SuZhu、TarunChitra和YassineElmandjra的編輯和很多有價值的想法。本論文進一步受到了AndrewMiller、ArvindNarayanan、EdFelten、ElaineOu、EminGunSirer、EricBudish、EricLombrozo、EricVoskuil、FernandoNieto、IttayEyal、JosephBonneau、LaurentMT、NickSzabo、PaulSztorc和RaphaelAuer的優秀論文、博文和推文的啟發。

如果一個應用或一個協議在對抗性環境中實現了它的目標，包括抵御那些愿意花費大量資源來損害系統的行動者，我們就將其稱之為“安全”?。不幸的是，沒有一種系統可以抵御萬能的攻擊者。因此，務實的安全性方法是最大化根據協議采取行動的動機，同時最小化針對協議采取行動的動機。比特幣的目標是建立這樣一種支付系統：

1）任何人都可以參與，

2）只有合法擁有者才能花掉幣，并且

3）所有有效交易最終都將進入賬本

這些屬性現在已經存在了10多年，表明比特幣在實踐上是安全的。另一方面，在理論上，比特幣通常無法產生相同的保證。這導致學者們稱其為“不完整的1?”?和“?注定失敗的2?”，等等。

在本文中，我們希望通過引入我們的比特幣安全模型來彌合理論與實踐之間的鴻溝。我們證明了比特幣目前可以承受非常高的攻擊激勵，這是少數出人意料的因素的作用。我們進一步證明了為什么學者們提出的許多攻擊對礦工來說是不理性的。

在下半部分，我們證明了，相比任何外部攻擊者，對比特幣安全性的最大威脅更多在于協議本身。作為比特幣固定發行計劃的一部分，區塊補貼計劃的不斷降低，將導致礦工的可預見收入降低。如果沒有發展出一個健壯的區塊空間市場，我們解釋了為什么區塊獎勵的下降將對未來構成重大的風險。與普遍的看法相反，用戶無法僅通過等待更多確認來彌補這一點。

最后，我們提供了思考該問題的一些一般方法，包括一些可供社區討論的改進建議。

1.為什么比特幣需要挖礦

在過去的支付系統中，需要一臺或一組受信任的中央服務器來處理交易。事實證明，這是一個重要的故障點，因為中央驗證者通常會失效，或被迫排除某些人群或某些類型的交易。因此，一個旨在提供無需許可的訪問的系統不能使用中心的一方。中本聰看到了這樣一個解決方案，用扁平的點對點模型——該模型已經在諸如BitTorrent之類的極具彈性的分布式網絡中證明了其價值——來代替流行的客戶端-服務器模型。

借助公鑰加密技術，我們已經可以證明和驗證消息的所有權。在比特幣中，一個幣的所有者可以用他的私鑰簽名一條消息。然后，網絡中的其他節點可以使用發送人的哈希公鑰來驗證消息，以證明消息確實有效。這滿足了比特幣系統中的“安全性”要求。但是，當節點收到兩條分別有效但彼此不能同時有效的沖突消息時，公鑰加密幾乎沒有幫助。

比特幣通過用一組計算能力的簽名來替換受信任的服務器的簽名，從而優雅地解決了這個問題。節點可以高度信任此簽名，因為它的生產成本很高，并且此成本很容易被驗證。當節點從礦工那里收到兩個相互沖突的簽名時，他們會通過偏向價格更高的簽名來區分它們。這種“分叉選擇規則”現在被稱為中本聰共識。

貝克、科拉羅等人首先提出了將比特幣挖礦視為動態多方成員身份簽名的想法。3?DMMS是由一群可變的匿名簽名者——他們可以隨時加入和離開——組成的簽名。他們對比特幣網絡的算力份額加權了他們對簽名的貢獻。這些簽名是累積性的，因為每個塊都引用前一個塊，從而創建了區塊鏈。

計算簽名的創建過程如下：首先，礦工通過生成隨機輸出來執行負載計算。當這些輸出落入特定范圍時，其他節點可以以此為依據，證明虛擬骰子必然已經被擲出了一定的平均次數接下來，一個礦工將其區塊發布給網絡的其余部分。如果滿足共識規則，則其他節點會將其添加到其區塊鏈中，并以區塊獎勵和該區塊中的所有交易費來補償獲勝的礦工。

1.1密碼學的局限性

雖然礦工在構建自己的區塊上有一定的自由度，但他們不能給自己多發幣，不能在同一條鏈上竊取別人的幣，甚至無法追溯性地改變區塊的收益。礦工必須像其他任何節點一樣遵循比特幣協議，并且節點會自動拒絕任何破壞協議的嘗試。

孫宇晨：Tron和BitTorrent正探索整合ZKEVM:4月5日消息，孫宇晨在推特上表示，波場Tron和BitTorrent正在探索將ZK以太坊虛擬機(ZKEVM)整合到其生態系統中的方法。

但這一整合并非明確的計劃，孫宇晨表示，“需要注意的是，任何整合計劃仍處于探索階段，無法保證未來一定會實施。”[2023/4/5 13:46:06]

但是，協議在一些重要方面無法通過密碼學強制執行。一個節點不知道兩筆互相沖突的交易里哪一筆是有效的，或者兩條互相競爭的鏈里該支持哪一條，因此用戶依賴于分叉選擇規則在單條鏈上進行協調。雖然分叉選擇規則是比特幣保持共識所必需的，但它也賦予了礦工相當大的權力，而該權力不受協議本身的管控。

最著名的“激勵失敗”是雙花攻擊，多數礦工首先用比特幣在原鏈上購買非比特幣商品或服務。一旦他不可逆轉地得到了商品或服務，他便產生一條更長的鏈，在這條鏈上該交易從未發生過，最終他錢貨雙收。勤奮地遵循最昂貴簽名的節點會自動切換到新鏈，即使它包含了鏈下盜竊或其他惡意行為。

由此可見，諸如加密簽名之類的“硬”協議規則不能完全確保交易排序的安全——它也依賴于對礦工的“軟”經濟激勵來發布服務于比特幣用戶的更新。

2.為比特幣的安全性建立模型

如果用戶不能信任協議來強制執行“正確的”交易歷史，他們如何才能知道一筆交易是不可更改的還是將來會被礦工撤消？在傳統的金融系統中，交易是不可更改的，因為法律禁止將其撤消。在比特幣中，法律無法覆蓋礦工，礦工可以是匿名的，可以在世界任何地方運營，并可以隨時加入和退出網絡。

如果這對礦工們有利可圖，那么我們就該認為他們會一直撤消交易，包括為此付費的其他人的交易。因此，用戶不應將一筆付款視為不可更改的，除非撤消它無利可圖。民間智慧已將這個問題表示為“一個人必須等多少次確認才能讓一筆付款變成不可更改的”。我們證明了為什么額外的確認對比特幣的安全性沒有多大意義。相反，安全性主要是兩個簡單因素的結果。

2.1安全假設

我們首先要設立一個基本的支付系統，該系統有12.5BTC的區塊補貼且沒有交易費。挖礦所需的所有硬件和算力都可以按需租用，因此礦工對比特幣網絡沒有長期的承諾。他們的行為不會影響比特幣的交易價格，也沒有用戶會忽略中本聰共識選出的最昂貴的鏈。所有模型均使用比特幣作為基礎貨幣。

我們把遵循協議的比特幣價值定義為?EV(誠實挖礦)。

比如，在一個持續?10個區塊的例子里，礦工收入(MR)將是125BTC。假定礦工之間免費進入挖礦并完全競爭，我們可以認為整個礦工會花125BTC的開采成本(MC)?來贏得這個獎勵。

等式1

挖礦收入(MR)?-?挖礦成本(MC)?=0

等式2

EV(誠實挖礦)=?MR?-?MC

因此，誠實采礦的EV被確定為0BTC的基線。

礦工可提取價值描述了一個礦工希望從他的攻擊中贏得多少BTC。這一概念是達揚、高德菲爾德等發明來描述礦工從智能合約中可提取的價值的5，但我們將其擴展到涵蓋礦工通過操縱共識或交易訂單可提取的任何價值。

重要的是，MEV并不描述單個用戶可以在一個區塊中安全地交換多少，因為攻擊者可以一次雙花許多不同的用戶。它甚至并不描述所有用戶可以安全地在一個區塊里交換多少，因為攻擊者可能跨連續多個區塊雙花。MEV描述的是攻擊者的全部價值，對于等待六次確認的用戶來說，攻擊者的最低攻擊持續時間為七個區塊。因此，僅根據自己的個人交易來計算MEV的用戶將低估礦工實際激勵的數量級。

攻擊挖礦的最終EV可以被建模為：

等式3

EV(攻擊挖礦)=?MEV?+?MR?-?MC

只要?

EV(誠實挖礦)>EV(攻擊采礦)，一個理性的礦工就將遵循協議而非攻擊它

。

因此，我們可以推導出，EV(誠實挖礦)>EV(攻擊挖礦)?是比特幣確保對理性攻擊者安全的必要條件。

由此推論，EV(誠實挖礦)和?EV(攻擊挖礦)之間的區別描述了比特幣對非理性攻擊者——他們不關心利潤，但會出于任意原因攻擊比特幣——的耐受性。值得注意的是，這種耐受性不必包括攻擊者直接從攻擊中獲取的價值，例如，對比特幣價格下重注而獲得的價值。MEV已經捕獲了任何此類價值。

在這個簡單的模型中，我們甚至不需要談論拜占庭式攻擊者。該系統已經無法抵御一個理性攻擊者了，因為任何?MEV>0?就足以讓攻擊比誠實挖礦更具吸引力。假設一名礦工可以從一次持續10個區塊的攻擊中提取100MEV，我們可以看到

示例1：EV(攻擊挖礦)=MEV+MR-MC=100+10-10=100;?100>0，因此比特幣不安全

這一發現與直覺相吻合，因為攻擊鏈對攻擊者來說并沒有實際成本。它的預算要求僅為10BTC。在攻擊成功之后，他花在攻擊上的所有資源都回本了。這里有三個值得注意的警告：

1）如果攻擊者必須使他自己的某些區塊無效，那么攻擊將開始具有實際成本，因為他的有效MR(攻擊)下降，而MC保持不變。

2）如果少數礦工繼續挖原鏈，他可以增加攻擊的持續時間。但是，只要攻擊者最終趕上來，這不會降低其EV；它只會提高預算要求。防御者的資源將被浪費。

3）在此模型中，我們假定攻擊者具有多數算力，或者幾個較小的攻擊者之間的協調沒有成本。在現實世界中，協調是有成本的，如果礦工對MEV的價值或需要的攻擊持續時間意見不一，則協調的成本可能會增加。

2.2市場治理

當前Arbitrum以太坊上鎖定資產價值突破40億美元:金色財經報道，據Dune Analytics數據顯示，當前Arbitrum以太坊（ERC20）鏈上鎖定資產價值已突破40億美元，本文撰寫時達到40.40億美元，累計以太坊（ERC20）鏈上鎖定資產價值為84.15億美元。截至目前，Arbitrum鏈上鏈上合約創建數量為1,960,999個，賬戶創建總量為443.2萬個，其中活躍賬戶量為366.3萬個。[2023/4/4 13:43:24]

俗話說，作為經濟行動者，我們一直在投票——通過在某些事而非其他事上花錢。區塊鏈也是市場，因此，當用戶買賣比特幣時，他們不斷投票支持礦工以某種方式行動。當用戶對礦工提供的服務不滿意時，對支付系統的信心可能會下降，與攻擊前相比，比特幣的交易價格可能會下降。

我們定義?p(攻擊后價格)為攻擊后的相對BTCUSD價格，例如，95％的攻擊后價格表示的價格在攻擊中下降了5％。

等式4

EV(攻擊挖礦)=?p(攻擊后價格)*?(MEV+MR)?-?MC

在更新的等式中，由于比特幣價格因攻擊而下降，MR(區塊獎勵+交易費)和MEV都變小了，而MC(攻擊挖礦)保持不變。雖然在這里使用比特幣而非法幣作為基本單位可能并不常見，但我們發現推理起來更容易。實際上，在攻擊后礦工的名義比特幣并沒有減少，但是由于它們損失了5％的購買力，因此他只能將其換成95％的攻擊前比特幣。

由于引入了市場治理，因此，只要MR(誠實挖礦)大于p(攻擊后價格)*(MEV+MR(攻擊挖礦))，則EV(攻擊挖礦)現在將無利可圖。

等式5

EV(攻擊挖礦)＜0，如果

MR＞?p(攻擊后價格)*(MEV+MR)

由此，我們可以得出系統安全的三種方式：

1）MEV可以低，例如，因為很少有人在用比特幣交易，或者用戶在沒有額外保證比如知道買家身份的情況下，不考慮最終支付。

2）p(攻擊后價格)可以低，這意味著用戶需要對比特幣應該是做什么的非常敏感，并且，需要愿意轉換到競爭對手，如果礦工停止做他們的工作。這有點像一個“站隊”的參數，因為如果讓比特幣的價格崩潰很容易，其他形式的攻擊將變得更具吸引力，從而增加了MEV。6

3）MR可以高，因此，p(攻擊后價格)對MR的影響開始超過來自MEV的潛在增益。

2.3礦工承諾

到現在為止，我們做出了不切實際的假設，即挖礦所需的所有東西都可以按需租用實際上，挖礦并非如此。在一個激烈競爭的模型中，礦工們都在跑步機上奔跑。如果一個礦工加快速度，并以相同的成本并增加其收入，那么其他礦工就必須跟上步伐，否則就有可能完全破產。挖礦幾乎沒有可持續的護城河。結果，礦業的工業化速度可能超過歷史上任何其他行業。

隨著礦業的工業化，尋找一個區塊的單位成本變得越來越重要。有幾種降低企業單位成本的方法：

1）如果生產設施的運營低于產能，則企業可以賣更多產品，用更多的商品來分攤其經營費用。在挖礦中，每份算力都有比特幣網絡作為自動買家，因此這里沒有什么要優化的。

2）該業務可以減少生產的日常材料成本。挖礦的等效目標是不斷尋找更便宜的能源，更好地散熱或冷卻以及制造優化。

3）企業可以通過使其生產設施專業化來降低經營費用。在比特幣挖礦中，這導致硬件針對一項工作進行了越來越多的優化：哈希SHA-256。此硬件無法再挖比特幣的那一刻，它實際上一文不值。值得注意的是，這甚至適用于以太坊等大型GPU挖礦網絡。即使可以使用通用硬件來挖以太坊，對GPU的需求也不足以使供應突然驟然飽和。如果以太坊的價格崩潰，以太坊礦工的承諾也將失去其大部分價值。

4）礦工還可以通過簽訂越來越長的購電協議來降低單位能源成本。

因此，為了降低單位成本來開始競爭性的挖礦，一名理性的礦工需要高度專業化的硬件，并且需要對網絡采取長期的看法。礦工的專業化程度越高，其資產和支出就越不能改變用途。從等式1中，我們知道MR+MC=0。這意味著，我們可以從挖礦總收入中得出采礦總成本，這僅僅是所有區塊獎勵的總和。

礦工必須預先承擔多少費用？在與比特幣礦工和專家交談之后，我們得出了一個粗略的估計，即普通礦工，乃至整個采礦業，其總成本中約有50％屬于此類不可改變用途的資產。此外，我們了解到，這些資產平均會在24個月內折舊。

如果我們以此假設運行，那么整個礦業將獲得一整年的區塊獎勵，承諾在未來兩年內挖比特幣。在12.5BTC的區塊獎勵下，等于658800?BTC。

換句話說，在礦工們開始挖礦前，他們不得不*預先*購買他們期望在兩年時間內挖出的所有幣的50%。

在這些幣到手之前，任何有損于其價值的事都極具破壞力。

因此，我們可以說，礦工們都在堅定地致力于以最大化比特幣價值和網絡效用的方式挖比特幣。

等式6

EV(攻擊挖礦)=?p(攻擊后價格)*(MEV+MR)?-?MC-?*承諾

在第一個例子里，算力仍然可以是租來的，95％的p(攻擊后價格)，對MR的影響只是持續10個區塊的攻擊。

一旦礦工承諾了比特幣，同樣的價格下降影響整整一年的收入——52704塊！5％的價格下降，在所有礦工來說現在將消滅相當于攻擊前的32940BTC。

值得注意的是，攻擊者無需擁有100％的算力即可使攻擊成功。如果他用60％的算力進行攻擊，那么他自己的承諾將僅占總承諾的60％，即395280BTC。

示例2：EV(具有60％算力和100MEV的10個區塊的攻擊)=95％*(100BTC+10*12.5BTC)-(100*12.5BTC)-5％*395280BTC=-19.675BTC

Mysten Labs和BlueJay Games合作推出Web3街機游戲:金色財經報道，Web3基礎設施公司Mysten Labs今天宣布已經與游戲工作室BlueJay Games建立合作關系。通過這次合作，BlueJay Games將在Sui上推出一個移動Web3街機游戲Arcade Champion。

該游戲將利用Sui技術和功能，包括其鏈上對象和數據存儲、NFT基礎設施和動態用戶生成的內容支持，為玩家提供無縫和沉浸的游戲體驗。Arcade Champion將在Sui的主網第一天推出。玩家將立即獲得該游戲的游戲元素和基于英雄的NFT。[2023/3/16 13:08:06]

對于一個具有60％算力的攻擊者而言，MEV大約為21000BTC，即按今天的價格計算為1.87億美元，才能使攻擊有利可圖7。對MEV的高耐受性表明，今天的比特幣網絡確實安全。這些研究結果可以推廣到所有使用PoW的加密貨幣，并說明礦工支出不可改變用途對安全來說是多么的重要。

2.4暫停中本聰共識

我們已經證明，比特幣網絡今天可以耐受大量的MEV，這為攻擊獲利制造了巨大的障礙。但是，為了完善我們的比特幣安全模型，我們需要更新剩下的最后一個假設，也就是比特幣用戶永遠不會質疑中本聰共識。

用戶正在市場上尋求最小化信任的信號，該信號使他們可以在單條鏈上進行協調。他們為這些信號花費大量金錢，因為這樣做比協調任何其他方式都便宜。

但是，這并不意味著即使大多數用戶對礦工不滿意，用戶也一定會遵循礦工產生的信號。比特幣歷史上有很多先例，用戶忽略了中本聰的共識，因為由此產生的鏈條不再代表他們已簽署的社會契約。

2010年，區塊74638中的整數溢出錯誤導致創建了高達1840億個BTC，比應該存在的2100萬大得多。在三個小時內，中本聰發布了一個沒有錯誤的新比特幣客戶端，“回滾”了這條超通脹的鏈。8

第二個例子是2013年的0.7/0.8共識錯誤，該錯誤讓區塊鏈在幾個小時的時間里一分為二。當時最受歡迎的比特幣實現Bitcoind新近發布了0.8更新。開發者并不知道的是，新軟件還對共識規則進行了微小的改動，這導致區塊225430與較舊的客戶端不兼容。在比特幣開發者和礦池們決定暫時中止分叉選擇規則后，分叉得到了解決。他們手動支持了0.7分支并放棄了0.8鏈，這要求礦工們放棄0.8鏈中的任何區塊獎勵，以最大化網絡的整體效用。9

最后，最著名的例子可能是2017年的用戶激活軟分叉運動。代碼發布一整年后，大多數礦工仍拒絕采用隔離見證更新——可能是因為它破壞了ASICBoost，一種提高挖礦硬件效率的專利技術10。為了無論如何也能推動這一改變，一些比特幣用戶安裝了一個客戶端，該客戶端再次有了中止中本聰共識的威脅，因為它忽略了在某個日期之后拒絕SegWit的礦工的區塊。如果礦工們任其發生，那將導致主網上的有爭議分叉。比特幣的效用和價值受到的威脅嚴重觸及了礦工的底線，他們最終放棄了對SegWit更新的抵制。

這些示例表明，最終，用戶將領導礦工。當他們不同意哪種治理決策將最大程度地利用整個網絡效用時，用戶可以運行自定義代碼來暫時中止中本聰共識，從而“剝奪”礦工的權力。

即使滿足協議規則，攻擊者也必須考慮用戶拒絕其鏈的風險。

我們將p(遵循中本聰共識)定義為用戶協調鏈下中止中本聰共識的概率。從攻擊者的角度來看，這進一步降低了潛在報酬，而他的成本保持不變。

等式7

EV(攻擊挖礦)=?p(遵循中本聰共識)*?p(攻擊后價格)?-?MC-*承諾

由于中止中本聰共識在攻擊持續時間內僅影響MR和MEV，而對礦工承諾則沒有影響，因此，中本聰共識中止所帶來的安全性少于市場治理。但是，從理論上講，用戶不僅可以改變交易歷史，還可以改變核心協議規則。如果有共識將挖礦算法從SHA256變為其他算法，則即使比特幣價格不跌至零，用戶也可能立即使整個礦工承諾無效。這使得社會干預成為抵御主動嘗試降低比特幣價格或破壞網絡的攻擊者的非常有用的防御手段。

2.5總結

通過構建此模型并用真實數據填充它，我們可以獲得一些關鍵的見解。

1）為了獲得高度的安全性，在用戶視為不可更改的任何持續時間內，誠實挖礦必須比攻擊挖礦更有利可圖。

2）如果用戶希望能夠進行大筆交易，則必須允許MEV高。

3）系統耐受高MEV的能力取決于礦工從惡意行為中受到懲罰的規模。用戶可以通過兩種主要方式懲罰礦工：

a）首先，他們可以出售部分或全部比特幣。當BTCUSD的交易價格下跌10％時，礦工損失以攻擊前比特幣計的承諾價值的10％。

b）其次，用戶可以鏈下協調來暫時中止中本聰共識。

4）為了讓懲罰潛力變大，礦工的承諾必須很大，并且用戶賣幣的意愿必須很高。

5）礦工承諾的規模是一個關于礦工收入，承諾成本占總成本的比例，及其折舊時間表的函數。

6）如果我們保持承諾成本、折舊時間表和賣幣的意愿不變，則MR是MEV耐受度的決定因素，并因此是網絡可以支持多少用戶活動的決定因素。

我們邀請任何人根據自己的條件下載并試用我們的模型。11

3.挖礦攻擊

接下來，我們想知道，根據我們的模型，對比特幣系統的最主要攻擊將如何進行。

比特幣網絡上可能發生的攻擊在很大程度上取決于攻擊者擁有多少算力。從理論上講，一名礦工只需擁有30%的算力，就可以進行自私挖礦或固執挖礦之類的操作，用戰略性的隱瞞區塊來賺取超過礦工收入公平份額的收入。據我們所知，到目前為止，在比特幣中尚未發現這些策略。我們的模型表明，礦工采取可能降低公眾對比特幣信任度的策略確實是非理性的，因為即使價格小幅下跌也會破壞其承諾的價值，這會大于他們希望獲得的MEV。

元宇宙專委會執行會長：ChatGPT為元宇宙按下“加速鍵”:金色財經報道，最近ChatGPT十分火爆，勁頭似乎要蓋過元宇宙。ChatGPT來了，元宇宙是不是冷了？對此，中國計算機行業協會元宇宙產業專委會執行會長羅軍表示，二者都需要海量的數據、算力和算法支撐，這也是人工智能的底座，沒有強大的人工智能技術，ChatGPT和元宇宙都無法實現；而ChatGPT技術的進一步成熟，為元宇宙的普及和應用掃清了諸多障礙，走出了關鍵的第一步，先是語言的交互，然后才是行為的交互。我們有信心認為，ChatGPT的出現，將元宇宙至少提前了10年，在2030年前，元宇宙將無處不在。（中新網）[2023/2/20 12:17:24]

至少有一個數據點支持這一理論。2014年，GHash.io礦池反復試探?>50％的算力，甚至涉嫌參與雙花熱門的網站BetCoinDice12。隨著有關礦池中心化的消息在比特幣社區傳開，人們對該系統的信任開始動搖。幾個重要人物公開出售了部分比特幣13。

之后，個體礦工大量逃離礦池來保護他們的投資。在那之后，沒有任何一個礦池敢于再次接近這種算力水平。礦工似乎已經意識到，任何形式的市場恐慌都會對他們的底線產生極大的不利影響。

在這里，我們可以看到拜占庭模型與理性模型之間的差異：在拜占庭模型下，一旦礦工的算力>50％，比特幣就變得不安全。但是，在復雜的世界中，比特幣的穩定狀態很可能是算力壟斷。目前可能存在壟斷，我們無法反駁。查看所有參與者的動機可以表明，比特幣不會因為存在多數礦工而自動失敗。用戶仍然可以通過該礦工的激勵來構建自己想要的區塊。

當一名礦工擁有超過50％的算力時，他就可以確定，他提出的任何鏈最終都將成為中本聰共識中的標準鏈。這種確定性是對比特幣用戶進行更嚴重攻擊的前提。這些攻擊可分為兩類：雙花攻擊和破壞攻擊。

3.1雙花攻擊

在雙花攻擊中，攻擊者把一條他用比特幣做過大量購買的鏈，重組替換為他仍擁有商品但從未付款的版本。

我們的模型表明，比特幣價格的小幅下降可以讓即使是大規模的雙花攻擊也變得不可行，因為MEV的收益必須高于對礦工承諾的損害。此外，該礦工還必須考慮，用戶會中止中本聰共識，從而完全否定他的獎勵。

隨之而來的是，雙花攻擊者希望最大程度地減少網絡中可感知的和實際的中斷，以免觸發任何上述懲罰措施。他可以通過將重組保持少于100個區塊來開始，在這里原鏈的coinbase獎勵可被用于花費。如此深入的重組將不再僅僅影響個體用戶，而是實際上摧毀了幣及其后代，可能讓多于預期的交易無效。一名外科手術式的攻擊者會盡可能地重放每一筆交易來重新創建完全相同的歷史記錄，只有雙花交易不同。

考慮到所有這些限制，孤立的雙花攻擊在近期極不可能成為理性礦工的選擇。

3.2破壞攻擊

與孤立的雙花攻擊不同，破壞攻擊者無意在比特幣系統內賺錢。結果，他根本不考慮用戶的懲罰。相反，一名破壞攻擊者可能試圖讓價格崩潰并讓用戶對比特幣失去信心。對于做空比特幣價格的人，或者為了捍衛受到比特幣存在威脅的現有收入流的人來說，破壞攻擊可能是理性的。這樣的收入流可能是法幣系統的鑄幣稅，也可能是國家收稅的能力，而比特幣允許用戶對地方政府隱藏資金。這種方案也恰當地被稱為“金手指進攻”，以詹姆斯·邦德里的惡棍命名，他計劃玷污諾克斯堡的所有貨幣來讓自己的黃金更有價值14。

為了最大程度地削弱用戶對系統的信任，攻擊者應專注于逐一廢除我們為比特幣建立的設計目標：安全性、活性和無需許可的訪問。

實現這一目標的一種方法是建立挖礦壟斷，并完全停止處理任何交易。如果愿意，任何多數礦工都可以通過簡單地忽略少數礦工所挖的區塊來建立壟斷。因為他肯定最終會領先，所以少數礦工暫時添加的區塊將在以后重組。相比不處理任何交易，壟斷礦工也可以通過設置一個最低手續費來勒索用戶，或建立自己的規則來決定處理哪些交易。例如，他可以忽略所有未通過他私人KYC/AML檢查的交易。用戶可以通過三種基本方法來防御這種審查攻擊。

1）我們應該確立，來自審查的損害等于被審查用戶在系統里的退出成本。比特幣存在的替代品越多，退出成本就越低，而首先審查比特幣用戶的動機就越低。類似的邏輯適用于出入口匝道，就像去中心化交易所一樣。這里有一個有趣的難題：盡管比特幣上強大的KYC/AML層使盜竊的吸引力降低，但它也使系統更容易受到審查。另一方面，一個沒有任何身份概念的系統會增加盜竊的動機，但減少了審查的動機。

2）當交易被審查時，攻擊者處理的交易減少，被審查用戶開始增加未處理付款的交易費。結果，在MR(誠實挖掘)和MR(攻擊挖掘)之間開始形成傳播。被審查用戶此時可以有效地自由滾動，并且可以隨著時間的流逝提高交易費，直到他們消耗掉幾乎所有余額為止。這些交易費的差額可以轉化為對誠實多數挑戰現有挖礦壟斷并可能將其推翻的豐厚獎勵。

3）最后，用戶可以協調以暫停中本聰共識并進行規則修改來懲罰壟斷礦工。一種作為最后手段的改法就是將工作量證明算法從SHA256改為一種尚未被攻擊者支配的算法。壟斷礦工也可以重復重組該鏈，而不是用無用的區塊來擴展工作量最大的鏈，但是其效果和處理方法在很大程度上是相同的。

4.不斷降低的區塊補貼

如果把我們的模型外推到未來，我們必須考慮目前的參數哪些會發生改變，以及為什么。我們已經確立，比特幣的絕大部分安全性來自令人驚訝的少數幾個因素：礦工承諾、MEV和用戶價格敏感性。暫停中本聰共識的能力可以解決問題，但這不能成為安全性本身的基礎。如果用戶知道一種比中本聰共識更便宜的協調機制，我們就不需要挖礦了。

如今，比特幣的波動性要求礦工具有更高的風險承受能力。如果價格升值達到頂峰，并保持在穩定的峰值，那么挖礦就將開始類似于更傳統的商品市場，從而為生產者提供低收益和低波動性。較低的波動性自然會允許礦工使用較高的杠桿，讓即使是很小的價格變動也更容易感覺到。

NFT項目Pudgy Penguins地板價突破5 ETH，24小時漲幅7.19%:12月26日消息，據 NFTGo.io 最新數據顯示，NFT 項目胖企鵝 Pudgy Penguins 地板價已升至 5.25 ETH，24 小時漲幅 7.19%。此外，該系列 NFT 24 小時交易額達 609.56 ETH，24 小時增幅達 159.02%[2022/12/26 22:08:31]

如果比特幣更嚴重地威脅本國貨幣的主權和地方政府收稅的能力，那么通過實施審查制度或其他形式的破壞來攻擊網絡的動機會增加。深度衍生品市場的存在還可以讓人們更容易對比特幣的價格下重注，這進一步增加了可能的MEV。

但是，最大的變化被編程進了比特幣協議本身。全部礦工收入是礦工承諾強度的決定性因素，它來自區塊獎勵，包括

1）以新鑄造的幣的形式存在的區塊補貼，和

2）交易費。

區塊補貼目前占全部區塊獎勵的99％，目前正在根據比特幣的固定發行時間表逐步降低。2020年，比特幣的年發行量將降至1.8％。到2028年，該數字減半至0.5％。

其結果是，區塊補貼，礦工收入的最重要來源，需要被一個全新的收入來源代替。到目前為止，比特幣的安全性來自于比特幣自身的價值。展望未來，它的安全性將來自于一個尚不存在的二級市場。

該過渡能否成功，在很大程度上決定了比特幣的未來。現在，收交易費的目的是仲裁固定區塊空間的供應優先級。為了創造出足夠的礦工收入，對區塊空間的需求必須在一個有意義的價格水平上超過對區塊空間的供應，以此來創造出一個待處理交易的恒定積壓。

雖然未來對區塊空間的需求可能會很高且波動性很小，但在某些情況下，也有可能市場發現比特幣很有用，但交易費仍然很低。如果大多數人只是通過持有比特幣來使用比特幣，并且大多數交易都發生在中心化交易所或各種鏈下解決方案里，那就會是這種情況

4.1確認對安全性的影響

民間智慧表明，區塊補貼的下降不會帶來重大風險，因為用戶可以通過等待更多確認來彌補。我們的模型表明情況并非如此，因為與已有的承諾相比，礦工增加的承諾成本黯然失色。

我們將通過一個案例來對此進行演示。回想一下，礦工已經承諾了在兩年挖礦成本的50％。他們的總承諾為658800BTC。在每個區塊中，礦工把6.25BTC的運營成本和6.25BTC的承諾成本合并為每個區塊12.5的總MC，這等于區塊獎勵。

如果用戶認為在6個區塊之后的付款是不可更改的，則雙花攻擊者的最小攻擊持續時間將變為7個區塊。要挖出這7個區塊，攻擊者只需花費額外的7*6.25BTC=43.75BTC。

在一次7個區塊的攻擊中，他現在從承諾中冒658800BTC的風險，再從運營成本中冒43.75BTC的風險。在一次70個區塊的攻擊中，他冒著658800BTC加437.5BTC的風險。在700個區塊的情況下，他的風險為658800BTC加4375BTC。因此，我們可以看到，如果用戶愿意等待整整一周，那么礦工的總承諾量將增加不到1％。最重要的是，等待更多確認不會增加任何實質性的安全性，并且在能增加的那個點上也不會存在交易的需求。

如果將來區塊獎勵變少，則采用相同的邏輯。相對于MR，確認有助于有效的礦工承諾，每增加一次確認，準確地增加當前區塊獎勵的50％。隨著MR的減小，每個確認的值將同步減小。

但是，等待更多確認的確有另一個好處。通過增加礦工的最小攻擊持續時間，用戶可以獲得某種形式的群體免疫力。除非存在大量多余的算力，否則將大部分算力引導到鏈的歷史部分而不是鏈的末端，將會大大減慢區塊發現。雖然這聽起來不像是一種好處，但對用戶的干擾越大，則通過賣幣或中止中本聰共識進行反擊的用戶協調成本就越低。

因此，等待更多的確認僅在邊際上增加了安全性，并且不可能取代系統忍受大量MEV?所需的礦工承諾。

5.長期安全考慮

如果沒有出現一個健壯的區塊空間市場，比特幣不會在一夜之間變得不可用。相反，區塊補貼會在很長一段時間內穩定下降。由于MR較低而引起的任何問題都將首先以較弱的形式出現，然后隨著時間的推移變得更加嚴重，從而為用戶提供足夠的時間來對可能的解決方案做出反應和協調。

我們認為，必須注意到，即使這些問題成為現實，我們對比特幣的前景仍然樂觀。比特幣擁有最大的用戶基礎，最受尊敬的供應分配，并被越來越多地集成到金融基礎設施之中。在其短暫的生命周期中，比特幣已經從一種技術演變為了一種社會運動，它有著意識形態上的追隨者，并以比特幣為貨幣。除了完全缺乏需求之外，我們很難想象比特幣還能徹底死于其他任何事情。

盡管對于比特幣對不想要的改變的不變性有過許多討論，第2.4章的案例表明，只要系統健康處于危險，比特幣是可以發生改變的。未來提高安全性的建議通常分為三類：可以尋求增加MR，降低MEV或提高懲罰礦工的能力。

5.1改善區塊空間

首先，比特幣開發者們可以嘗試增加對比特幣區塊空間的需求。這可以通過讓比特幣區塊空間更具吸引力和可用性的協議級改變，以及通過開發消耗比特幣區塊空間來作為輸入的盈利業務流程來實現。

對比特幣區塊空間的需求包括交易比特幣的需求和在鏈內存儲任意數據的需求。增強比特幣交易能力和靈活性的創新包括增加時間鎖和建設比特幣閃電網絡。任意數據存儲可用于實現非共識性資產帳本，如USDT或染色幣，或者錨定一個證明到另一個系統上，如Factom或Veriblock。

比特幣系統針對轉移比特幣進行了高度優化，但在不鼓勵存儲任意數據的程度上存在限制。因為此任意數據可以代表比特幣網絡之外的無限價值，所以以這種方式占用區塊空間的業務流程可能具有不可改變的需求和極高的支付意愿，這會改變比特幣交易結構來實現其目標。盡管這種對任意數據的需求可能會產生對比特幣區塊空間的穩定需求，即使在轉移比特幣的需求經歷較大瞬變的情況下，也會不斷提高費用并增加MR，但它也注入了潛在的無限MEV，并增加了攻擊鏈的動力。為此，比特幣用戶將不得不考慮為此目的使用區塊空間所帶來的相對價值和風險，并估算鑒于對任意數據存儲的可歸屬性和技術不利因素的限制，比特幣為調節區塊空間需求的這一方面而產生的動機。

5.2永久發行

第二種機制可能是分叉出永久發行的新幣。雖然我們知道該話題將在比特幣社區中引起高度爭議，但我們還是想談論一下它，以消除一些流行的誤解。如果我們接受要讓比特幣運轉必需有一定水平的MR，那么用戶就必須以某種方式支付MR。如果必要的MR為每年1％，那么所有比特幣用戶一起就已經會每年失去其購買力的1%來為比特幣系統供電。歸根結底，盡管比特幣可以是一種名義上的固定供應資產，但它不能是一種固定購買力的資產。

此外，將永久發行視為通貨膨脹是錯誤的。如果比特幣無論如何都會要求用戶損失其購買力的1％，那么通過永久發行支付這些費用，就不會比通過交易費來支付損失更多的購買力。實際上，相比一個0%永久發行且安全性較低的比特幣系統，一個每年1%永久發行且安全性較高的比特幣系統可能會購買力更高。

相反，我們應該問，誰應該為MR買單，以及用什么機制？在一個理想的系統中，用戶將根據從中獲得的價值來支付運營成本。這將最大程度地增加收入，從而最大化安全性，因為所有用戶都會根據其效用付費。它進一步確保了系統的公平性和壽命。一個被某些成員視為不公平的系統不太可能維持很長時間——對“笨蛋們”來說，有巨大的激勵去分叉一個自己的系統并把搭便車的人甩在身后。

實際上，系統的設計人員可能事先不知道誰是最高價值的用戶。一旦建立，所有用戶可能會同意，將原始參數更改為更優化的參數，會比簡單地使用它們花費更多。

從概念上講，比特幣系統中有兩種主要用戶：持幣者和交易者。它們之間沒有明確的界限，因為任何交易者都必須至少在短時間內持有比特幣，并且任何持幣者都必須最終計劃交易他的比特幣。

一個具有對抗性的系統應該能夠抵抗以軟參數形式存在的外部沖擊，例如持有比特幣的需求或使用區塊空間的需求。在永久發行的案例中，MR將不會受區塊空間市場中事件的影響，而在當前的案例中，對區塊空間需求的沖擊將使整個系統的安全性直線下降。

直覺在這里告訴我們，我們想要的貨幣化的商品的所有權至關重要。如果我們想從交易者那里貨幣化區塊空間，則必須確保大部分區塊空間單位一直由某人擁有。對持幣者收費完全消除了這種摩擦，因為每個比特幣都總是有一位所有者。

最后，應該注意的是，與交易者相比，持幣者的貢獻不那么明顯，但仍然是真實的。當系統受到攻擊時，持幣者的切身利益會更多，并且更有可能支付社會協調的成本。在評估每個用例對安全性有多大貢獻時，在所有情況下對比特幣系統有一種整體觀非常重要。

雖然永久發行幣可以減少礦工收入的不確定性，一些人認為零發行政策是加密貨幣永恒的謝林點。15如果用戶們真的討厭永久發行帶來的那種隱性稅收，那么對安全性較低的零發行架構的賭注可以通過產生比一種低發行資產更高的永久需求而獲得回報。

5.3眾籌

在區塊空間市場的范式下，比特幣持有者捐助MR的一種爭議較小的方法是使用眾籌。對維護比特幣安全有濃厚興趣的大戶和企業可以付款給一個基金，創建出“任何人都可以花的交易”。礦工可以在一定區塊高度索要這些交易來作為私人資助的區塊補貼。該解決方案的好處是無需更改協議。不利的一面是，您最終陷入了經典的搭便車情景：許多人希望比特幣變得安全，但沒人愿意成為為其他人支付全部費用的傻瓜。

搭便車問題的一種解決方案可以是主導擔保合同，這是眾籌合同的一種變體，它試圖讓貢獻成為主導策略，而非等待其他人做出貢獻16。在DAC中，一方必須擔任企業家的角色，他希望某種公共物品獲得資助。他定義了要籌集的目標金額，并通過在籌款人未達到目標的情況下，向他人支付少量資金來鼓勵其他人做出貢獻。據說這個小細節讓捐款變得更具吸引力，因為捐款人現在在這兩種情況下都贏了——他們要么獲得該商品，要么就拿回本金和利潤。

5.4調整區塊空間的供應

最后，一種提高MR的解決方案是改變區塊空間的供應。固定供應系統的最大缺點是，哪怕需求只是在邊際上低于供應，交易費就會立即變為零。一個區塊中的所有用戶可能愿意集體支付5BTC的交易費，但是如果供應過剩，他們最終將不支付任何交易費，因為沒有擁堵。

即使總需求超過可用供應的時候，也不能保證使收入最大化。例如，假設有1MB的需求愿意支付15BTC，而另外1MB的需求愿意支付5BTC。如果可用供應介于1MB到2?MB之間，則總交易費會略高于10BTC，因為想要付得最少的組已經為其他所有人設定了價格。如果供應量降至1MB以下，則第一組將不得不支付15BTC，從而導致MR大大提高，即使第二組完全不再使用。

可以通過將區塊大小降低到略低于需求以造成永久性擁堵來捕獲該值。這樣的變化可以由開發者手動進行，或者由比特幣協議自動進行。一種方案是自適應的區塊大小：系統會觀察由交易費產生的MR，并將其與使系統安全所需的目標MR進行比較。如果MR<?目標MR，則會降低最大區塊大小，從而造成人為擁堵。如果MR>?目標MR，即用戶為安全進行了過度支付，可以消除一些人為擁堵，從而增加區塊大小，直至達到社區選擇的硬頂限制。

要求礦工控制區塊大小的其他提議并不健壯，因為存在激勵讓礦工愚弄系統，并盡可能地使區塊更大。原因是隨著區塊的傳播時間增加，相對于規模較小或連接較差的礦工，規模最大、連接最好的礦工取得了一個競爭優勢。我們在這里不必擔心這一點，因為區塊大小的低上限確保了傳播時間總是很短。

5.5降低礦工可提取價值

除了增加MR，比特幣用戶還可以考慮各種辦法來降低MEV。一個好的出發點是考慮比特幣區塊鏈上MEV的潛在來源。

如第2章和第3章所討論的，隨著從一個系統中退出的成本降低，審查系統的動機也會降低。當一個礦工無法區分不同的交易時，他就無法審查任何個人用戶。因此，一個互相競爭的各種加密貨幣的繁榮空間，有著私人交易和它們之間無需許可的交換，將使它們中的任何一個單獨地變得在抗審查上更強大。

如果用戶通過采用諸如USAF之類的策略來降低忽視中本聰共識的障礙，則他們可能會降低某些攻擊帶來的MEV，從而冒著降低系統的社會可擴展性的風險。隨著比特幣系統中越來越多的人持不同甚至相反的觀點，在沒有工作量證明的情況下達成社會共識似乎只會變得更加困難。

也許在此期間可以找到技術解決方案，以進一步限制礦工的可用選項，從而降低攻擊的吸引力。一種這樣的建議，是讓比特幣交易提交到某個特定的區塊，在該區塊之外它們變得無效。這將使礦工無法在重組中重播交易，這有兩個明顯的好處。

1）由于礦工無法訪問以前的交易及其交易費，因此使攻擊的成本更高。

2）由于礦工不再能夠孤立地攻擊單個用戶，因此可以更容易地圍繞暫停中本聰共識進行協調。現在，他必須在一次重組很多交易或根本不重組任何交易之間做出選擇。

此外，我們可以改善對惡意礦工行為的自動檢測。應對攻擊首先需要所有用戶了解它們。我們越能監控比特幣系統的狀態，礦工就越難以指望逃脫不遵循協議，包括自私采礦等非共識攻擊。

圍繞比特幣信任模型的更多教育，也可以幫助降低被盜的可能性。并非用戶收到的每筆交易都來自一名礦工，或賄賂一礦工的某人，并且有被雙重花費的風險。在可能的情況下，在比特幣之外使用傳統的法律制度可以極大地增強其在商業中的生存能力。只要買方與賣方有法律關系，賣名方就可以通過傳統法律制度將其視為外部承諾，從而獲得額外的信心，即付款不會被撤消。

5.6加強礦工懲罰

比特幣用戶對礦工惡意行為的低容忍度，是對其行為的有力檢查。當價格對攻擊做出更強烈的反應時，比特幣可以在承諾的礦工較少的情況下，提供相同水平的MEV。如果價格非常穩健，則承諾必須更大。

再一次，比特幣價格對系統效用的敏感度是系統退出成本的函數。在離開很便宜的時候，轉身離去就容易得多，可能是因為比特幣不是這里唯一的游戲，而且許多具有類似保證的加密貨幣之間也存在競爭。實際上，當存在許多更脆弱但允許它們之間進行流動交換的“微鏈”時，加密貨幣的概念最為強大。原因是較小的區塊鏈使用戶更容易離開，導致針對攻擊者的焦土防御。17

6.遺漏和未來的研究

可以通過多種方式擴展我們的比特幣安全模型。首先，可以研究一下礦工從系統中“不提交”的能力。到目前為止，我們隱含地考慮——如果礦工對BTC的價格押注很大，我們可以增加其MEV來反映這一點。有了無限的資本，礦工就可以完全對沖自己的承諾，同時保持相同水平的算力——從而具有潛在的MEV。后續分析可以關注對沖的資本成本，其對成本和MEV的影響，以及復雜的衍生品市場的存在如何改變所有參與者的動機。

其次，先前的安全性分析可能大大低估了可能的算力少數派在攻擊中或攻擊后立即進行回擊以捍衛其承諾價值的動機。因為防御者有效地自由滾動，以高得多的單位成本進行哈希運算再次變得有利可圖，舊的硬件可能重新全體加入網絡。此外，現有硬件可以超頻，這會在短期內提高效率，但以更快的速度貶值。通常，用戶和少數派礦工應開始將對方視為對抗外部攻擊者的盟友。由于礦工的承諾，他們倆坐在同一條船上。攻擊與反攻之間的動態關系值得進一步探索，因為它們可能會大大增加攻擊成本。

最后，即使確實建立起了強大的區塊空間市場，比特幣的安全模型也會以多種方式改變。這些變化會影響礦工和用戶的最佳行為。例如，如果各個區塊附加的交易費非常低，那么隱瞞區塊的策略就很有吸引力。礦工之間加劇的競爭將進一步圍繞在“富裕”的區塊周圍發展，從而導致交易費削減和區塊生產中的缺口18。我們強烈鼓勵整理出基于交易費的系統不同于基于發行的系統的所有方式。

注釋

1?http://hackingdistributed.com/2013/11/04/bitcoin-is-

broken/

2?https://www.bis.org/publ/work765.htm

3?https://blockstream.com/sidechains.pdf

4?超越數字貨幣“工作量證明”的世界末日經濟學

https://www.bis.org/publ/work765.htm

5?FlashBoys2.0https://arxiv.org/pdf/1904.05234.pdf

6?盡管，如果已知價格容易受到攻擊，則衍生品市場應開始對此進行定價，并使賣空成本更高。

7?這個數字代表了一個下限，因為在工作量證明中所有礦工都受到集體懲罰的事實會產生一些有趣的動態。其余40％沒有參與攻擊的礦工仍然對網絡有巨大的承諾，并有動力捍衛該網絡。但是，我們只能推測出結果會如何精確。

8?https://hackernoon.com/bitcoins-biggest-hack-in-history-184-4-ded46310d4ef

9?https://bitcoinmagazine.com/articles/bitcoin-network-

shaken-by-blockchain-fork-1363144448

10?在我們的承諾模型中探索礦工的動機可能很有趣。

11?https://docs.google.com/spreadsheets/d/1b6-BtD_

sd7x5k3-nDrR-I139nINsotiMH43CAq58YOM/edit?usp=sharing

12?https://bitcoinmagazine.com/articles/mining-2-

1403298609

13?https://www.reddit.com/r/Bitcoin/comments/281ftd/why_i_just_sold_50_of_my_bitcoins_ghashio/

14?https://www.semanticscholar.org/paper/The-Economics-

of-Bitcoin-Mining-%2C-or-Bitcoin-in-the-KrollDavey/

7bf78054192d98e999edcdf08971a5eed42518d2

15?http://www.truthcoin.info/blog/deflation-the-last-word/

16?MikeHearn最早把機制設計的概念應用于比特幣

https://zh.bitcoin.it/wiki/Dominant_Assurance_Contracts

17?由DavidVorick提出的概念。

18?http://randomwalker.info/publications/mining_CCS.pdf

和https://arxiv.org/abs/1805.05288

-TheEnd?-

Tags：比特幣MEVBTCBIT波特幣與比特幣MEV價格200BTC是什么意思BITSU幣

TUSD