协议进化论：行动证明（Proof of Activity）

【摘要】我们提出一种新的密码学货币协议，该协议结合了工作量证明（PoW）和权益证明（PoS），并建立在比特币协议上。我们的行动证明（Proof of Activity, PoA）协议，能够防御未来针对比特币的攻击，为比特币提供安全保障，而且，该协议对比特币的网络通信和存储空间的影响不大。

我们探究了针对行动证明（PoA）协议的各种潜在攻击，对这些缺陷给出了补救措施，我们也评估了行动证明（PoA）协议的核心子程序。

1 前言

从2009年发行以来，比特币不断取得成功。作为一种交易手段，比特币促进了全球的交易，交易费用更低，消除了身份盗用的风险。作为一种价值储藏手段，比特币没有对手风险，而且由于去中心化的特性，比特币的发行不会受到中央银行的控制。

比特币的密码学基础还衍生出了许多其它的特性，包括:通过多重签名控制一个地址实现的共享密钥，通过计算的完整性证明实现与其它系统的非交互交易，链外小额交易通道，通过分布式网络执行的各种合同，无需信任的赌博和多方计算，通过零知识证明实现无需信任的数据交易，利用密钥的同态性，减少接触私钥可能性的分级钱包（hierarchical wallet），通过彩色币实现的去中心化的证券交易所和预测市场等等。

我们不禁会问，针对比特币的哪种攻击可能会真正发生？，哪些理念可以最有效地减轻这些攻击？

因为直到现在，比特币仍然具有防御攻击的能力，所以我们的关注点是，比特币防御能力的可持续性。

更准确地说，我们特别关心，当工作量证明（PoW）的挖矿行为，没有区块奖励的时候，网络需要通过交易费用维持安全时的攻击环境。

健壮的密码学货币协议，应该努力提供一种奖励机制，在这一奖励机制下，积极维护密码学货币协议，应该符合这一系统不同参与者的利益。

关于这一点，我们为比特币协议提供了详尽的扩展，解除我们认为的，对比特币可能会遭受的安全威胁。攻击比特币的扩展协议的成本，会更加昂贵。

本质上，我们的分析和提议的补救措施，源自这一命题：工作量证明（PoW）的矿工，没有经济激励维护比特币网络的安全，而利益相关者（即比特币所有者）适合帮助完成这一任务。

我们提出的行动证明（PoA）协议，可能还有其它的特性，例如，加强网络拓扑和减少能量消耗。

为了实现行动证明（PoA）协议优良特性，行动证明（PoA）网络的节点，要较比特币的节点，做更多的工作、和进行更多的通信。

行动证明(PoA)协议的目的是，实现去中心化的密码学货币网络，它是工作量证明（PoW）和权益证明（PoS）的结合体，能保障网络的安全。

笼统地说，在基于工作量证明（PoW）的协议中，执行计算任务的矿工 拥有决策权 ， 在基于权益证明（PoS）的协议中，货币的拥有者拥有决策权 。

尽管我们承认，基于权益证明（PoS）的协议提供了重要的优势，但是，它并没有可靠高效地减轻，成功的密码学货币将会面临的所有主要的风险。

一大主要风险是中心化，致力于工作证明（PoW）计算和交易确认的数据中心，由于规模经济，可能胜过业余矿工。

在权益证明（PoS）系统中，工作证明（PoW）中存在的数据中心风险减小了，但是其它的风险仍然存在（见2.1节），而且又引入了新的中心化风险（大股东可能会控制更个系统，更多风险见第5部分）。

另一个主要风险是，“被污染的币”（“tainted” coin）会侵蚀货币的可替代性。这一风险是权益证明（PoS）所特有的，可以通过混合或SNARKs减轻这一风险。

早在2011年，在比特币社区希望改进比特币的背景下，就有社区成员设想，不同的权益证明（PoS）系统。针对权益证明的第一次讨论，可能是这篇文章（译者注：见PDF文档，序号对应的文献），具体的协议在该文中首次被认真考虑。

我们认为，早期的权益证明（PoS）方案与行动（PoA）证明相比，有安全缺陷或者不切实际的开销。详情见本论文3.1节和文献。

让我们在这里，首先对比特币协议做一个简明的描述（参见详细说明）。在第三部分，我们用相似的语言，描述了行动证明（PoA）协议，这样，便于比较比特币协议和行动证明协议（PoA）。

每位矿工收集广播的比特币网络中的交易，通过不断对由交易信息、上一个区块的哈希值、公钥地址和一个随机数构成的数据进行哈希计算，生成一个区块。

当一位矿工成功地生成了一个区块，这意味着他的区块数据的哈希值小于目前的难度值，他就可以向全网广播这个区块。

其他的矿工认为，这一区块有效–该区块含有上一个区块的哈希值，并且满足当前的难度值—并在最长的区块链上，他们就在这一区块的后面继续挖矿。

A、区块奖励（新挖出的比特币）和交易费用转到成功生成新区块矿工的公共地址中。这意味着只有矿工可以花费他赚到的比特币，他用私钥进行签名才能花费比特币。

B、挖矿的难度水平根据参与挖矿的算力进行调整，每2016个区块（大约两周）进行一次难度升级，从而维持平均每10分钟生成一个区块的速度。

C、一开始区块的奖励是50个比特币，每隔210000个区块，奖励减半，即大约每四年奖励减半。

这篇论文的结构如下:

在第二部分，我们描述针对比特币的可能攻击。

在第三部分，我们详细说明对比特币协议的扩展，讨论它的的特性。

在第四部分，我们考虑密码学货币的另外一个重要的方面，就是在行动证明（PoA）协议的背景下，初始的货币公平发行问题。

在第五部分，我们比较针对行动证明（PoA）的攻击和针对比特币的攻击，并分析行动证明（PoA）方案的潜在缺陷。

在第六部分，我们评估对针对行动证明（PoA）攻击和针对比特币攻击的成本差异。

在附录A中，我们运行了初步的基准测试程序，衡量核心的行动证明（PoA）子程序的表现，并讨论将来如何提高效率。

2 动机（略）

2.1 公共地悲剧引起的

2.2 密码学货币面临的额外危险

3 协议（略）

3.1协议讨论

3.2协议附件

4 货币供给（略）

5 安全性（略）

5.1 网络拒绝服务

5.2 中心化权益池

5.3 双花贿赂服务

6 成本分析（略）

7 结论

行动证明(PoA)协议，力图采用十分显著的方式，分散同步交易的力量。

为了垄断区块生成，攻击者需要控制“已经生成的币总量”的大部分。

我们认为，攻击行动证明（PoA）协议的成本，要远远高于攻击比特币纯工作量证明（PoW）协议的成本。

另外，行动证明（PoA）协议，也可能提供其它的优良特性，即提高网络拓扑结构，激励维护全部在线节点 ，更低的交易费用和更有效率的能源利用。