作者：Vitalik Buterin
譯者&來源：LinktimeTech 微信公眾號

在剛剛閉幕的以太坊Devcon 2大會上，以太坊創始人Vitalik分享了他的最新研究成果《以太坊紫皮書》，在此我們將其翻譯成中文，供大家閱讀。《紫皮書英文》原版大家也可以從我們的公眾號中找到并閱讀。當然，如此前沿和復雜的論文翻譯是很大的考驗，如果大家覺得以下內容有問題，請及時與我們反饋，我們將在后期的公眾號文章中進行糾正。論文全文內容如下：

2.jpg (31.43 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:10 上傳

（為什么叫紫皮書？）

前言

在過去十年中，諸如Bitcoin、Namecoin和以太坊這些項目充分展現了密碼經濟共識網絡對促成下一代去中心化系統的強大推力，并潛移默化的將開發視野從簡單的數據存儲和信息服務擴展到任何狀態應用的后臺管理。基于這個系統，在全球范圍內提議和執行的應用，涵蓋了全球低價支付系統，金融合同，市場預測，身份注冊和現實世界產權，建立更安全的證書管理系統，甚至通過供應鏈對制造品進行溯源和跟蹤管理。

但是，這個系統的技術基礎仍然存在嚴重的效率問題。因為在網絡上每個全節點都必須維護整個系統的狀態和處理每個交易，整個區塊網絡效率受限于單個計算節點。現在大部分系統所采用的共識機制，工作量證明(POW)，需要消耗大量的電力去運營； 基于POW機制的最大的工作區塊鏈Bitcoin，消耗了相當于整個愛爾蘭的用電量。

這篇文章為上述問題提供將POS和基于分片證明進行合并的解決方案。POS本身并不是一個新奇的主意，2011年就已經存在，但新的算法展現了實質性的好處，不僅解決了前一系統的缺陷，甚至擁有POW不曾有的屬性。

POS可以被想象成一種虛擬挖礦。然而在POW模式下，用戶需要花費一定的金錢買一臺電腦，然后消耗真實的電力，其隨機獲得區塊鏈的成本與消耗的電力大致成比例。在POS模式下，用戶花費金錢購買系統內的虛擬代幣，然后用一個內部協議機制將虛擬代幣轉換成虛擬電腦，系統模擬隨機產生的區塊的成本與購買成本大致成比例，達到了POW同樣的出塊效果，卻不用消耗電力。

分片也并不新穎，在現行的分布式數據庫設計中有超過10年的應用，但是到目前為止，研究將其應用在區塊鏈上，仍有頗多限制。基本的路徑是解決可擴展的挑戰， 通過架構中的全球驗證程序集合中的節點（在我們的情況下，通過股權結合證明了）被隨機分配到特定的“碎片”，其中每個碎片并行處理全局狀態的不同部分，從而確保工作是跨節點分布處理，而不是每個節點都重復做。

我們渴望實現以下目標

• 通過POS提升效率：共識機制不應該由挖礦進行保證，從而大大減少電力浪費，并且可以滿足大量和持續發行ETH的需要。
• 快速的出塊時間：在不威脅安全的前提下，出塊速度達到最大值。
• 經濟一致：一旦區塊被制作，經過一定時間和事件的處理，大部分的驗證者將‘全提交’那個區塊，意味著他們將損失全部的以太幣保證金在沒有包含這個區塊的歷史記錄（想想1000萬價值的以太幣），這是非常需要的，因為意味著大部分的碰撞不能通過節點進行傳遞或者不用破壞掉以太幣就可以51%攻擊。默認的驗證者戰略是被設計成保守的他們愿意做出高價值的承諾，誠信的驗證者的風險應該很低。
• 可擴展性：應該不需要跑所有節點就可以運行區塊鏈，例如在這樣的情況下，所有節點包括驗證節點只保持一小部分區塊的數據碎片，然后用輕客戶端技術訪問剩余部分的區塊。采用方式下，相對單個節點處理能力，區塊鏈可以達到更高的交易處理吞吐量，同時運行區塊平臺所需的只是大量的普通個人電腦，因此也可以保證去中心化。
• 跨碎片通信：構建這樣一類應用并實現應用之間的互操作性在理論上是具有最大可行性的。該類應用的資源使用達到一個臨界點以至超出單個節點的計算能力和帶寬限制，并且分別存儲在不同節點和處于不同狀態。
• 抵抗計算審查：該協議設計為可抵抗大部分的惡意驗證節點跨越所有碎片而發起的聯合攻擊，使得無效交易不能被打包到區塊并成為整個區塊鏈的一部分。在某種程度上，可以通過以太坊1.0的停機問題存在，但是我們可以通過引入保證調度的概念和保證交叉碎片信息使這個機制更加強健。
  

我們從描述一個算法開始，該算法實現目標1和2， 然后在第二個算法實現了目標3， 然后在第三個算法中一定程度上實現目標4，5（作為一個限制條件，對一個節點的計算能力的平方大致成比例，如（4）和一個24小時的延遲跨碎片信息，有可能建立更快的消息作為一個層上通過雙用途的存款，在例（5）。對目標（4）和（5）的更強級別的滿意，（6）也一樣，使得重新設計2.1和3.0。

常數

我們設置：

• BLOCK_TIME: 4 seconds (aiming on the less ambitious side to reduce overhead，針對不太有野心的目標去減少開銷)
• SKIP_TIME: 8 seconds (aiming on the less ambitious side to reduce overhead針對不太有野心的目標去減少開銷)
• EPOCH_LENGTH: 10800 (ie. 12 hours under good circumstances，12小時的良好狀態)
• ASYNC_DELAY: 10800 (ie. 12 hours under good circumstances12小時的良好狀態)
• CASPER_ADDRESS: 255
• WITHDRAWAL_DELAY: 10000000, ie. 4 months
• GENESIS_TIME: some future timestamp marking the start of the blockchain, say 1500000000
• REWARD_COEFFICIENT: 3 / 1000000000
• MIN_DEPOSIT_SIZE: 32 ether
• MAX_DEPOSIT_SIZE: 131072 ether
• V_LOSS_MAXGROWTH_FACTOR: 32
• FINALITY_REWARD_COEFFICIENT: 0.6 / 1000000000
• FINALITY_REWARD_DECAY_FACTOR: 1000 (ie. 1.1 hours under good circumstances)
• MIN_BET_COEFF: 0.25
• NUM_SHARDS: 80
• VALIDATORS_PER_SHARD: 120
  

最小的POS

（注意，后續內容假設讀者有對以太坊1.0的基本了解）

我們可以創建一個最小可行的PoS算法，沒有諸如敲定確定、額外的抗審查以及分片等特性。在地址CASPER_ADDRESS存在一個合約，其主要功能是追蹤驗證者集合的變化。該合約沒有特殊的特權，除了調用該合約是驗證區塊標頭過程中的一部分，而且是包括在創世區塊，而不是通過交易被動態添加的。驗證者集合初始設置在創世區塊中，并可以通過以下函數進行調整：

• deposit(bytes validation_code, bytes32 randao, address withdrawal_address): 保證金（字節validation_code，bytes32 randao，地址withdrawal_address）
  

接受一定量的以太幣作為保證金，發送者指定一段驗證代碼(本質為EVM字節碼,代碼主要功能是用作一種公鑰，以便后續其他的節點驗證由他們進行簽名的區塊數據以及相關的網絡共識消息),一個隨機提交的交易（一個32字節的哈希用于驗證者的選擇；詳見下文）和最終提現地址一并發送。值得注意的是，提現可以在一個特定的地址發送,該地址的合約功能唯一用途就是特定的地址條件下釋放資金，如果需要還可以雙重用保證金。如果所有參數都被接受，在下一個時期將增加該驗證者到驗證者集合。（例如，如果保證金在第N個時期請求提取， 而驗證者在第N+2個時期被加入驗證者集合，這個一個時期等于EPOCH_LENGTH個區塊時間周期）。驗證代碼的哈希值（叫做vchash）可以被驗證者用作識別號；不同驗證者具有同樣的哈希值是被禁止的。）

startWithdrawal(bytes32 vchash, bytes sig):

開始撤回流程，要求一個簽名，該簽名需要通過驗證者的驗證代碼。如果簽名通過，從下一個時期開始，驗證者被從驗證者集撤回。注意，這個函數不退回以太幣。

還有一個函數：

withdraw(bytes32 vchash):

撤回驗證者的以太幣到指定的提現地址，增加獎勵減少懲罰，只要驗證者已經從驗證者活動集合中通過使用 StartWithdrawal至少是WITHDRAWAL_DELAY幾秒前撤回。

準確的講，驗證代碼就像是放入區塊標頭的哈希碼，加上簽名，如果簽名有效返回1，反之，則返回0。這個機制確保了我們不會將驗證者鎖定到任何一個特殊簽名的算法，相反允許驗證者使用驗證代碼從多重私鑰驗證簽名取代單一驗證，也允許使用Lamport簽名對抗量子計算機的攻擊。這個代碼在黑匣子環境下通過使用新的CALL_BLACKBOX操作碼執行，以保證執行獨立于外部狀態。這樣可以防止一些攻擊，如一個驗證者創建了驗證代碼在狀態良好的時候返回1，在狀況不好的時候（例如 Dunkle inclusion）返回0.

deposit函數中randao 參數的值應該是計算一段長鏈哈希值結果，即設置秘密隨機的X，執行計算randao = sha3(sha3(sha3(sha3(.....(sha3(x))…))。每個驗證者提供randao的值保存在Casper 合約中的存儲空間。

Casper合約也含有一個叫GlobalRandao的變量，初始化為0。這個合約含有一個函數getValidator（uint256 skips）:返回 skips 跳過以后的驗證者的代碼。例如 getValidator(0)返回第一個驗證者（驗證者一般來講可以創造區塊），getValidator（1）返回第二個驗證者（如果第一個不能創建區塊，驗證者可以創建）

每個驗證者都是通過偽隨機算法從目前活動的驗證者集合進行選擇，隨機對初始保證金規模進行加權，并以Casper 合約中的globalRandao值為偽隨機種子。除了簽名外，一個有效的區塊也必須包含為那個驗證者目前保存Randao的原像。這個原像然后替換保存Randao值，然后也通過異或運算保存到合約的globalRandao值中。這樣，一個驗證者生成的每一區塊都要求脫掉一個驗證者的randao的一層。這是一種基于在這里解釋( http://vitalik.ca/files/randomness.html )的隨機算法。

總之，一個區塊必須包含的如下的額外數據：

<vchash><randao><sig>

其中，vchash是驗證代碼的32字節哈希值，用于快速識別驗證者。randao含義如上所描述（也是32字節），sig是簽名，可以是任意長度（雖然我們將區塊標頭的大小限制為2048字節）。

3.png (15.39 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:14 上傳

創建區塊所需要的最短時間可以簡單的定義為： GENESIS_TIME + BLOCK_TIME * <block height> + SKIP_TIME * <自創世區塊后所有的驗證者跳數和>。

在實際過程中，這意味著，一旦發布了某個區塊，那么下一個區塊的0-skip驗證者會在BLOCK_TIME秒之后發布，同理，1-skip驗證者則在BLOCK_TIME + SKIP_TIME秒之后發布，以此類推。

如果一個驗證者發布一個區塊太早，其他的驗證者會忽視該區塊，直到在規定的時間之后，才會處理該區塊（該中機制的進一步描述和驗證詳見這里（ http://vitalik.ca/files/timing.html）；短BLOCK_TIME和長SKIP_TIME之間的不對稱性，可以確保：在正常情況下，區塊的平均保留時間可以非常短，而在網絡延遲更長的情況下，也可以保證網絡的安全性）。

如果一個驗證者創建了一個包括在鏈內的區塊，他們得到的區塊獎勵相當于此周期內活動驗證者集合內以太的總量乘以REWARD_COEFFICIENT * BLOCK_TIME。因此，如果驗證者總是正確的履行職責，REWARD_COEFFICIENT本質上成為驗證者的“預期每秒收益率”；乘以~3200萬得到近似的年化收益率。如果一個驗證者創建了一個不包括在鏈內的區塊，之后，在將來的任意時間（直到驗證者調用withdraw函數為止）該區塊標頭可以作為一個“dunkle”通過Casper合約的includeDunkle函數，被包括在鏈內；這使得驗證者損失了相當于區塊獎勵的錢數（以及向包括dunkle在內的當事方提供一小部分罰款作為激勵）。因此，驗證者應當在確定該區塊在鏈內的可能性超過50%，才實際創建該區塊；該機制不鼓勵所有鏈上的驗證。驗證者的累計保證金，包括獎勵和罰款，存儲在Casper合約的狀態內。

“dunkle”機制的目的是為了解決權益證明中的“零賭注”的問題，其中，如果沒有罰款，只有獎勵，那么驗證者將被物質激勵，試圖在每個可能的鏈上創建區塊。在工作量證明場景下，創建區塊需要成本，并且只有在“主鏈”上創建區塊才有利可圖。Dunkle機制試圖復制工作量證明中的經濟理論，針對創建非主鏈上區塊進行人工罰款，來代替工作量證明中電費用的“自然罰款”。

假設一個固定大小的驗證者集合，我們可以很容易的定義分叉選擇規則：計算區塊數，最長鏈勝出。假設驗證者集合可以變大和縮小，但是，該規則就不太適用了，因為作為少數支持的分叉的速度一個時期以后將像多數支持的分叉一樣。因此，我們可以用計算的區塊數代替定義的分叉選擇規則，給每個區塊一個相當于區塊獎勵的權重。因為區塊獎勵與積極驗證的以太總量成正比，這確保了更積極驗證以太的鏈得分增長速度更快。

我們可以看出，這條規則可以用另一種方式很方便的理解：基于價值損失的分叉選擇模型。該原則是：我們選擇驗證者賭最多價值的鏈，就是說，驗證者承認除了上述的鏈外，所有其他鏈都會損失大量的資金。我們可以等同認為，這條鏈是驗證者失去資金最少的鏈。在這樣一個簡單的模式中，很容易看出這如何簡單的對應著區塊權重為區塊獎勵的最長鏈。該算法是盡管簡單，但用于股權證明的實現來說也足夠高效。

添加敲定

下一步是增加經濟敲定的概念。我們按照以下方式進行。在區塊標頭內部，除了指向上一個區塊的哈希之外，現在驗證者也對某個以前區塊FINALIZATION_TARGET敲定概率做出了一個斷言。該斷言被當做一個賭注，如“我相信區塊0x5e81d……將被敲定，并且在所有區塊史中，如果這一斷言是錯誤的，我愿意損失V_LOSS，假設在所有區塊史中，這一斷言是正確的，我將得到V_GAIN。”驗證者選擇odds參數，而V_LOSS和V_GAIN，按照如下方式計算（令total_validating_ether為活動驗證者集合的以太總量，MAX_REWARD是允許的區塊獎勵的最大值，bet_coeff是下文定義的系數）：

• BASE_REWARD = FINALITY_REWARD_COEFFICIENT * BLOCK_TIME * total_validating_ether
• V_LOSS = BASE_REWARD * odds * bet_coeff
• V_GAIN = BASE_REWARD * log(odds) * bet_coeff
• BASE_REWARD = FINALITY_REWARD_COEFFICIENT * BLOCK_TIME * total_validating_ether
• V_LOSS = BASE_REWARD * odds * bet_coeff
• V_GAIN = BASE_REWARD * log(odds) * bet_coeff
  

4.png (29.07 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:16 上傳

V_GAIN and V_LOSS values relative to the BASE_REWARD, assuming bet_coeff = 1，假設bet_coeff = 1，V_GAIN值和V_LOSS值與BASE_REWARD的相關性

FINALIZATION_TARGET從null開始， 但是區塊1期間，它被設置成區塊0，。bet_coeff初始（開始）值被設置為1，另一個變量cached_bet_coeff設置為0。但是bet_coeff不能減少到低于MIN_BET_COEFF，在每個區塊，我們設置bet_coeff -= bet_coeff / FINALITY_REWARD_DECAY_FACTOR，cached_bet_coeff -= cached_bet_coeff / FINALITY_REWARD_DECAY_FACTOR（這確保了總有激勵驅動去打賭）。當創建一個區塊，驗證者得到BASE_REWARD * log(MAXODDS) * cached_bet_coeff，其中MAXODDS是最大的可能賠率，如MAX_DEPOSIT_SIZE / BASE_REWARD。該機制隨所實現的是，一旦某一區塊被確定被敲定，驗證者從中得到獎勵，就像他們以最大odds繼續進行驗證一樣。這確保了，驗證者不會受到不正當的激勵而共謀通過延遲敲定某個區塊以獲得最大收益。

當Casper合約確定FINALIZATION_TARGET已被敲定（即已知區塊的總價值損失超過某個閾值），我們將新的FINALIZATION_TARGET設置成當前區塊，我們設置cached_bet_coeff += bet_coeff，并且bet_coeff重新設置為1。從下一個區塊開始，敲定過程重新開始設置新的FINALIZATION_TARGET。如果，有一個短鏈分裂，敲定過程可能同時處理多個區塊，甚至是不同高度的區塊；但是，鑒于區塊投注的默認驗證者策略，以及支持它的最高價值損失，我們預計收斂過程傾向于選擇他們其中的一個（此處的收斂參數基本上與最小權益證明相一致）。

當新的區塊敲定過程開始啟動時，我們期望最初的賠率很低，這表示驗證者對短范圍分叉的恐懼，但是隨著時間的推移，驗證者愿意投注的賠率會逐漸增加。特別的如果他們看到其他驗證者對該區塊進行高賠率投注，驗證者的賭注也會增加。可以預計，該區塊的價值損失將以指數倍增加，從而在對數時間內，達到最大“總保證金損失”。

在區塊標頭的額外數據中，我們現在將所需的數據格式更改為以下格式：

<vchash><randao><blockhash><logodds><sig>

其中區塊哈希是上個打賭的區塊的哈希，并且logodds為1字節值，代表對數形式的賠率（即，0對應1，8對應2，16對應4等）。

請注意，我們不能允許驗證者完全自由地設置賠率。考慮如下場景，如果有兩個競爭關系的敲定目標，B1和B2（即存在兩個鏈，其中一個的FINALIZATION_TARGET設置為B1，另一個的的FINALIZATION_TARGET設置為B2），并且圍繞B1開始形成共識，然后一個惡意驗證者可能會突然對B2投入一個高賠率賭注，它的價值損失足夠影響共識，從而引發短范圍分叉。因此，我們使用以下規則，通過限制V_LOSS來限制賠率：

• 令V_LOSS_EMA為一個指數移動平均線，設置如下。V_LOSS_EMA開始相當于區塊獎勵。對于每個區塊周期，V_LOSS_EMA設置為V_LOSS_EMA * (V_LOSS_MAXGROWTH_FACTOR - 1 - SKIPS) / V_LOSS_MAXGROWTH_FACTOR + V_LOSS，其中SKIPS是跳過的數量，V_LOSS是該區塊選擇的V_LOSS。
• 設置V_LOSS_MAX為V_LOSS_EMA * 1.5。限定V_LOSS的值為該值。
  

該規則設計上引入了一個安全約束：當至少（樣本）三分之二的其它驗證者風險為x后，當前驗證者的風險僅可以為1.5x。這與拜占庭容錯共識算法的事先承諾或承諾模式類似，一個驗證者應等待其他三分之二的驗證者完成給定的步驟后，才能進行下一步，并確保一定的安全，也確保大多數共謀不能參與“惡意破壞”攻擊（如，讓其他的驗證者講大量賭注添加在一個區塊，并且隨后推動共識到一個別的區塊），無法共謀，因為共謀本身需要耗費大量資金（實際上，共謀損失金錢的速度比受害者損失金錢的速度更快，這是一個顯著的特性，因為它確保，在大多數敵對情況下，惡意操作者會隨著時間的推移，經常會被“淘汰”。）

如果一個區塊作為一個dunkle被加入鏈中，賭注被處理，并且罰款和獎勵也會產生。例如，如果有兩個高度為5000的區塊A1和A2，互為競爭的敲定目標，并且有兩個高度為5050的區塊B1和B2（兩區塊均以A1為上一代區塊），并且驗證者在B1上構建區塊C，對A1下賭注，隨后，如果B2最終確定為主鏈區塊，B1和C將成為dunkle，并且C也將因B1 vs B2下錯注而被懲罰，但是還是會因A1被賭對而進行獎勵。

然而，假設C中的V_LOSS是這樣的，如果B1包含在內，則V_LOSS < V_LOSS_MAX；如果B2包含在內，則V_LOSS > V_LOSS_MAX。之后，為了保證預期的價值損失特性，我們制定了一個額外的罰款：即使驗證者賭對了，但我們仍以V_LOSS - V_LOSS_MAX對他們進行處罰。因此，我們有效地將V_LOSS賭注，分解成(i)價值損失V_LOSS_MAX的賭注和（ii）V_LOSS - V_LOSS_MAX的單純價值銷毀，從而保證這種規模過大的賭注仍僅通過V_LOSS_MAX經由分叉選擇規則變換。這意味著投注在某種意義上是不“完全的”，因為如果該區塊的子代區塊中的很多都分叉了，即使該區塊已經完成敲定確定，某個區塊的賭注仍可能引起罰款。在投注模型中的單純價值損失，被認為是對價值損失分叉選擇規則利潤純度的一個可接受的權衡。

計分與策略實現

價值損失計分可以通過以下算法實現：

• 保持追蹤最新的敲定的區塊。如果有多個敲定的區塊不兼容，返回一個大的紅色的閃爍錯誤，因為這表明一個敲定的逆轉事件發生了，并且客戶端的用戶可能需要使用額外的鏈源確定發生了什么。
• 保持追蹤所有敲定的候選區塊，即該區塊的子代區塊。對于每一個候選區塊，保持追蹤該候選區塊的價值損失。
• 從最接近的敲定區塊開始，保持追蹤每個敲定候選區塊的最長鏈及其長度。
• 鏈的“總權重”是其敲定的候選區塊祖先的價值損失加上鏈的長度乘以區塊獎勵。如果鏈中沒有敲定的候選區塊，那么就單獨使用鏈的長度乘以區塊獎勵作為其總權重。“鏈頭”是鏈中權重最大的最新區塊。
  

5.jpg (17.01 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:17 上傳

此處用于舉例的V_LOSS；在現實中，他們不會被允許這樣快速的增長，并且B或C會要求A上的較高的V_LOSS成為敲定候選區塊。

一個簡單的驗證者策略是僅在頭部創建區塊，并且做出敲定賭注，此處的價值損失是所描述的最大價值損失的80%。

輕客戶端同步

敲定機制開啟了一個快速輕客戶端同步算法的大門。該算法包括以下幾步：

6.png (12.95 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:18 上傳

• 令X是您已經確認的最新狀態（初始為創世狀態）。
• 在X時期或X時期后查詢網絡當前最新的敲定目標（謹記：當協議認為當前區塊的前一區塊被敲定時，此時的敲定目標為該區塊。）。調用最新的敲定目標Fn和以前的敲定目標Fp。
• 查詢網絡Fn前的k個區塊。這些區塊將下注，籌碼是它們在Fp上的整個以太幣池子。
• 通過Merkle分支查詢您已經敲定的狀態，驗證驗證者創建的這些區塊，驗證其在驗證者集合中的的存在性和位置，并且針對k個區塊的中第一個區塊的初始狀態，驗證他們選擇的正確性。
• 設置X為Fp的后狀態。
• 重復上述步驟，直到得到最新的敲定區塊。從最新的敲定區塊開始，使用上文的正常策略尋找鏈頭。
  

非常值得關注的是，通過步驟1到5可以用兩個網絡請求和幾秒鐘計算來驗證全天的區塊。

分片

現在，我們考慮從一個分片擴大到多個分片。我們構建的模型如下。取代已有的單條區塊鏈，我們現在擁有被我們稱為“分片”的多條相關聯的區塊鏈。NUM_SHARDS分片的編號為分片0至分片NUM_SHARDS – 1，其中分片0簡單的作為常規股權證明區塊鏈進行，其確定性如上所述，但是分片1……NUM_SHARDS – 1工作機制有所不同。在每個時期的開始，為每個分片隨機挑選VALIDATORS_PER_SHARD個驗證者，并且被分配為下一個時期的驗證者（如，n+1時期的驗證者在n時期時被指配）。當調用getValidator（skip）以確定這些分片內一個分片的驗證者，僅僅隨機從選取的驗證者集合中選擇一個驗證者（平等地分配，因為在挑選的時候就已經對保證金大小進行加權）。分片1……NUM_SHARDS – 1的確定性賭注并未在分片內做出，而是在分片0內做出。當賭注被做出，它就被存儲，賭注僅在子代區塊周期結束后，才被處理（如，n+1時期的區塊確定斷言，將在n+3區塊周期開始時，在分片0內進行處理）。

7.jpg (22.25 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:19 上傳

如果已經為一個分片挑選了一個驗證者，那么這個驗證者將需要調用Casper合約的registerForShard（bytes32 vchash，uint256 shard，uint256 index，bytes32 randao）函數，其中vchash是驗證者的驗證代碼哈希，shard是分片ID，index是一個數值且0 <= index < VALIDATORS_PER_SHARD，其中得getShardValidator（uint256 shard，uint256 index）返回給定的驗證代碼哈希，并且randao是一個randao承諾。為了引導驗證者，該函數生成了一個收據，該收據能夠通過利用confirmReceipt(uint256 receiptId)在目標分片上進行確認。

getShardValidator依賴于一個單獨的隨機源，業務邏輯與getValidator類似。該隨機源，按照如下步驟得出：

• 每個時期，每個k,如果k滿足 0 <= k < 24，保持追蹤globalRandao最后第k的bit為1的次數合計，減去第k bit為0的次數合計。
• 每個時期結束，計算combinedRandao如下。每個k，如果k滿足0 <= k < 24，并且如果在時期內，globalRandao的最后第k bit更多次是1，combinedRandao第k最后的bit是1。如果globalRandao的最后第k bit更多次是0，combinedRandao第k的bit是0.利用sha3（combinedRandao）作為隨機源。
  

使用Iddo Bentov的低影響函數，增加了隨機源的操縱成本，因為，這個特別的隨機源種子會產生實質性的經濟結果，因此，它比正常操縱目標更大一些。

跨分片敲定賭注并不在區塊標頭上，所以不會過度的阻礙輕客戶端；相反，驗證者將創建一個交易，在它們創建的任何區塊間，調用一個registerFinalityBets（bytes32[] hashes，bytes logodds）函數，任意一個區塊中創建預期的NUM_SHARDS個哈希和一個長度為NUM_SHARDS的字節數組，每個字節代表相應的區塊哈希的賠率。

驗證者的典型工作流程是維持分片0的一個“全節點”，并且保持追蹤被分配給它們的未來分片。如果一個驗證者被分配給一個分片，他們將利用Merkle樹證明下載狀態，并且確保當他們需要開始驗證時，他們已經下載了相應狀態。對于該時期，他們作為該分片的驗證者，并且創建區塊，同時，他們將在所有的分片上做出敲定賭注，他們通過觀測（i）每個分片上的最長鏈，（ii）其他的驗證者的敲定賭注，以及（iii）在片區內試圖達到51%成功攻擊的各種二次啟發方法和機制（如，欺詐證明）。注意，分配到任何給定分片的概率與驗證者的累計以太成比例，因此，如果驗證者的資產成倍，那么需要處理的計算也會加倍。這個特性被認為是何意的，因為它增加了公平性，并降低了礦池激勵，同時引入了一個原則，該原則下處理交易并存儲區塊鏈本身也成為了“工作量混合證明”的一種形式。

取樣機制的初衷是為了確保系統僅依靠少量驗證者進行實際交易驗證，同時系統能夠安全應對累積以太保證金高達~33-40%（低于50%，因為總累積以太為33-50%的攻擊者在某些給定的分片會很“幸運”）的攻擊者；因為取樣是隨機的，攻擊者不能夠選擇將他們的權益集中在一個分片上，許多工作量分片方案的一個致命缺陷上。即使一個分片被攻擊了，還有第二道防線：如果其他驗證者發現攻擊的證據，那么他們可以拒絕做出跟隨攻擊者分叉的敲定聲明，而確認由誠實節點創建的鏈。如果一個分片上的一個攻擊者試圖從無效區塊創建一個鏈，其他分片的驗證者可以檢測到，并且之后暫時完全驗證該分片上的節點，并且確保他們僅敲定有效的區塊。

跨分片通信

本方案中的跨分片通信遵循如下工作。我們創建一個ETHLOG操作碼（帶有兩個參數:to value），其創建的一個日志記錄，其存儲內容是空字符串（注意，該空字符串，不是32個零字節，一個傳統的LOG只能存儲32字節的字符串），它的數據是一個64字節的字符串，包括目標和具體值。我們創建的GETLOG操作碼，需要一個由區塊定義ID的單獨的參數。number * 2**64 + txindex * 2**32 + logindex（其中txindex是交易的index，包括區塊的log，logindex是交易receipt中的log index）試圖獲取指定的存儲內容，存儲在狀態中的日志表明，該日志已被消耗，并且將日志數據放在目標數組內。如果日志值為空串，這也將傳輸以太給收件人。為了成功得到日志內容，調用操作碼的交易必須攜帶日志ID參數。如果v=0，我們允許簽名中的r值重新用于此目的（注意：這意味著此處僅可以使用EIP 86交易；我們希望到現在為止，EIP 86交易將是交易的主要形式）。

現在抽象共識再也不是一個單鏈，而是一個鏈的集合，c[0]…c[NUM_SHARDS - 1]。狀態轉移函數不再是stf(state, block) -> state'，而是stf(state_k, block, r_c[0]…r_c[NUM_SHARDS - 1]) ->state_k，其中

r_c[i]

復制代碼 是來自過去的超過ASYNC_DELAY區塊的i鏈的receipt集合。

請注意，有幾種方法可以“滿足”這種抽象。一種方法是“每個節點都是全功能節點”的方法：所有節點存儲所有分片的狀態，更新所有分片的鏈，因此擁有足夠的信息，可以計算所有的通道交易函數。然而，這是令人乏味的，因為它是不可擴展的。

更有趣的策略是“中型節點”方法：大多數節點選擇一些分片，保持更新到最新（盡可能包括分片0），并作為所有其他分片的輕客戶端。當計算通道交易函數時，他們需要舊交易收據，然而，他們并沒有存儲舊交易收據，為此，我們增加了一個網絡協議規則，要求交易伴隨著任何交易靜態參考的收據的Merkle證明（這里為什么需要靜態參考就很清楚了：否則，在運行時間創建的任意一個GETLOG操作，因為網絡延遲，日志讀取數據將變成一個緩慢的過程，將耗費數倍時間，并且客戶存儲本地的所有歷史日志的負擔太重）。最終，在主網絡內部署的策略將有可能是帶有初始強制receipt Merkle證明的全節點策略，隨著時間的推移，松散支持越來越多的中型節點。

注意，不需要將Merkle證明作為一個數據包，從一個分片直接導入另一個分片，反而是，所有的證明傳輸邏輯均在驗證者和客戶端層面處完成，并且在協議層面實現了一個接口，通過該接口可以訪問Merkle。長時間ASYNC_DELAY減少了一個分片內改組的可能性，這將需要整個通道的集中改組。

如果需要短時間延遲，可以在協議之上實施的一種機制是分片內投注市場，例如，在分片j內，A可以和B打一個賭，比如說“如果在分片i內，區塊X被敲定，B同意向A發送0.001 ETH，反之，如果在分片i內，區塊X未被敲定，則A同意向B發送1000 ETH”。針對此目的，Casper保證金可以有雙重用途-即使在分片j內進行打賭，A賭輸的信息將通過receipt傳輸給分片0，隨后一旦A提取，分片0將轉移1000以太給B。B將因此獲信：A足夠確信其他分片的區塊將被敲定并據此而做出投注，同時B也獲得了防止A判斷失敗的一種保險（即使運用了雙重用途方案，該保險還是有缺陷的，如果A是惡意的，那么他們將輸掉他們全部的賭注，這樣B將什么也得不到）。該方案存在的一個可擴展限制，與一個節點計算能力的平方成比例。原因有二，首先，與分片數量成比例的計算能力總數必須在分片0上計算獎勵。其次，所有客戶端必須為所有分片的輕客戶端。因此，假設節點的計算能力為N，則應該存在O(N)個分片并且每個分片的處理能力均為O(N)，其網絡總處理能力為O(N^2)。超過這個最大值，將需要一種更加復雜的分片協議以構成某種樹結構的聲明驗證，這超出了本文的范圍。

譯者&來源：LinktimeTech 微信公眾號

在剛剛閉幕的以太坊Devcon 2大會上，以太坊創始人Vitalik分享了他的最新研究成果《以太坊紫皮書》，在此我們將其翻譯成中文，供大家閱讀。《紫皮書英文》原版大家也可以從我們的公眾號中找到并閱讀。當然，如此前沿和復雜的論文翻譯是很大的考驗，如果大家覺得以下內容有問題，請及時與我們反饋，我們將在后期的公眾號文章中進行糾正。論文全文內容如下：

2.jpg (31.43 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:10 上傳

（為什么叫紫皮書？）

前言

在過去十年中，諸如Bitcoin、Namecoin和以太坊這些項目充分展現了密碼經濟共識網絡對促成下一代去中心化系統的強大推力，并潛移默化的將開發視野從簡單的數據存儲和信息服務擴展到任何狀態應用的后臺管理。基于這個系統，在全球范圍內提議和執行的應用，涵蓋了全球低價支付系統，金融合同，市場預測，身份注冊和現實世界產權，建立更安全的證書管理系統，甚至通過供應鏈對制造品進行溯源和跟蹤管理。

但是，這個系統的技術基礎仍然存在嚴重的效率問題。因為在網絡上每個全節點都必須維護整個系統的狀態和處理每個交易，整個區塊網絡效率受限于單個計算節點。現在大部分系統所采用的共識機制，工作量證明(POW)，需要消耗大量的電力去運營； 基于POW機制的最大的工作區塊鏈Bitcoin，消耗了相當于整個愛爾蘭的用電量。

這篇文章為上述問題提供將POS和基于分片證明進行合并的解決方案。POS本身并不是一個新奇的主意，2011年就已經存在，但新的算法展現了實質性的好處，不僅解決了前一系統的缺陷，甚至擁有POW不曾有的屬性。

POS可以被想象成一種虛擬挖礦。然而在POW模式下，用戶需要花費一定的金錢買一臺電腦，然后消耗真實的電力，其隨機獲得區塊鏈的成本與消耗的電力大致成比例。在POS模式下，用戶花費金錢購買系統內的虛擬代幣，然后用一個內部協議機制將虛擬代幣轉換成虛擬電腦，系統模擬隨機產生的區塊的成本與購買成本大致成比例，達到了POW同樣的出塊效果，卻不用消耗電力。

分片也并不新穎，在現行的分布式數據庫設計中有超過10年的應用，但是到目前為止，研究將其應用在區塊鏈上，仍有頗多限制。基本的路徑是解決可擴展的挑戰， 通過架構中的全球驗證程序集合中的節點（在我們的情況下，通過股權結合證明了）被隨機分配到特定的“碎片”，其中每個碎片并行處理全局狀態的不同部分，從而確保工作是跨節點分布處理，而不是每個節點都重復做。

我們渴望實現以下目標

• 通過POS提升效率：共識機制不應該由挖礦進行保證，從而大大減少電力浪費，并且可以滿足大量和持續發行ETH的需要。
• 快速的出塊時間：在不威脅安全的前提下，出塊速度達到最大值。
• 經濟一致：一旦區塊被制作，經過一定時間和事件的處理，大部分的驗證者將‘全提交’那個區塊，意味著他們將損失全部的以太幣保證金在沒有包含這個區塊的歷史記錄（想想1000萬價值的以太幣），這是非常需要的，因為意味著大部分的碰撞不能通過節點進行傳遞或者不用破壞掉以太幣就可以51%攻擊。默認的驗證者戰略是被設計成保守的他們愿意做出高價值的承諾，誠信的驗證者的風險應該很低。
• 可擴展性：應該不需要跑所有節點就可以運行區塊鏈，例如在這樣的情況下，所有節點包括驗證節點只保持一小部分區塊的數據碎片，然后用輕客戶端技術訪問剩余部分的區塊。采用方式下，相對單個節點處理能力，區塊鏈可以達到更高的交易處理吞吐量，同時運行區塊平臺所需的只是大量的普通個人電腦，因此也可以保證去中心化。
• 跨碎片通信：構建這樣一類應用并實現應用之間的互操作性在理論上是具有最大可行性的。該類應用的資源使用達到一個臨界點以至超出單個節點的計算能力和帶寬限制，并且分別存儲在不同節點和處于不同狀態。
• 抵抗計算審查：該協議設計為可抵抗大部分的惡意驗證節點跨越所有碎片而發起的聯合攻擊，使得無效交易不能被打包到區塊并成為整個區塊鏈的一部分。在某種程度上，可以通過以太坊1.0的停機問題存在，但是我們可以通過引入保證調度的概念和保證交叉碎片信息使這個機制更加強健。
  

我們從描述一個算法開始，該算法實現目標1和2， 然后在第二個算法實現了目標3， 然后在第三個算法中一定程度上實現目標4，5（作為一個限制條件，對一個節點的計算能力的平方大致成比例，如（4）和一個24小時的延遲跨碎片信息，有可能建立更快的消息作為一個層上通過雙用途的存款，在例（5）。對目標（4）和（5）的更強級別的滿意，（6）也一樣，使得重新設計2.1和3.0。

常數

我們設置：

• BLOCK_TIME: 4 seconds (aiming on the less ambitious side to reduce overhead，針對不太有野心的目標去減少開銷)
• SKIP_TIME: 8 seconds (aiming on the less ambitious side to reduce overhead針對不太有野心的目標去減少開銷)
• EPOCH_LENGTH: 10800 (ie. 12 hours under good circumstances，12小時的良好狀態)
• ASYNC_DELAY: 10800 (ie. 12 hours under good circumstances12小時的良好狀態)
• CASPER_ADDRESS: 255
• WITHDRAWAL_DELAY: 10000000, ie. 4 months
• GENESIS_TIME: some future timestamp marking the start of the blockchain, say 1500000000
• REWARD_COEFFICIENT: 3 / 1000000000
• MIN_DEPOSIT_SIZE: 32 ether
• MAX_DEPOSIT_SIZE: 131072 ether
• V_LOSS_MAXGROWTH_FACTOR: 32
• FINALITY_REWARD_COEFFICIENT: 0.6 / 1000000000
• FINALITY_REWARD_DECAY_FACTOR: 1000 (ie. 1.1 hours under good circumstances)
• MIN_BET_COEFF: 0.25
• NUM_SHARDS: 80
• VALIDATORS_PER_SHARD: 120
  

最小的POS

（注意，后續內容假設讀者有對以太坊1.0的基本了解）

我們可以創建一個最小可行的PoS算法，沒有諸如敲定確定、額外的抗審查以及分片等特性。在地址CASPER_ADDRESS存在一個合約，其主要功能是追蹤驗證者集合的變化。該合約沒有特殊的特權，除了調用該合約是驗證區塊標頭過程中的一部分，而且是包括在創世區塊，而不是通過交易被動態添加的。驗證者集合初始設置在創世區塊中，并可以通過以下函數進行調整：

• deposit(bytes validation_code, bytes32 randao, address withdrawal_address): 保證金（字節validation_code，bytes32 randao，地址withdrawal_address）
  

接受一定量的以太幣作為保證金，發送者指定一段驗證代碼(本質為EVM字節碼,代碼主要功能是用作一種公鑰，以便后續其他的節點驗證由他們進行簽名的區塊數據以及相關的網絡共識消息),一個隨機提交的交易（一個32字節的哈希用于驗證者的選擇；詳見下文）和最終提現地址一并發送。值得注意的是，提現可以在一個特定的地址發送,該地址的合約功能唯一用途就是特定的地址條件下釋放資金，如果需要還可以雙重用保證金。如果所有參數都被接受，在下一個時期將增加該驗證者到驗證者集合。（例如，如果保證金在第N個時期請求提取， 而驗證者在第N+2個時期被加入驗證者集合，這個一個時期等于EPOCH_LENGTH個區塊時間周期）。驗證代碼的哈希值（叫做vchash）可以被驗證者用作識別號；不同驗證者具有同樣的哈希值是被禁止的。）

startWithdrawal(bytes32 vchash, bytes sig):

開始撤回流程，要求一個簽名，該簽名需要通過驗證者的驗證代碼。如果簽名通過，從下一個時期開始，驗證者被從驗證者集撤回。注意，這個函數不退回以太幣。

還有一個函數：

withdraw(bytes32 vchash):

撤回驗證者的以太幣到指定的提現地址，增加獎勵減少懲罰，只要驗證者已經從驗證者活動集合中通過使用 StartWithdrawal至少是WITHDRAWAL_DELAY幾秒前撤回。

準確的講，驗證代碼就像是放入區塊標頭的哈希碼，加上簽名，如果簽名有效返回1，反之，則返回0。這個機制確保了我們不會將驗證者鎖定到任何一個特殊簽名的算法，相反允許驗證者使用驗證代碼從多重私鑰驗證簽名取代單一驗證，也允許使用Lamport簽名對抗量子計算機的攻擊。這個代碼在黑匣子環境下通過使用新的CALL_BLACKBOX操作碼執行，以保證執行獨立于外部狀態。這樣可以防止一些攻擊，如一個驗證者創建了驗證代碼在狀態良好的時候返回1，在狀況不好的時候（例如 Dunkle inclusion）返回0.

deposit函數中randao 參數的值應該是計算一段長鏈哈希值結果，即設置秘密隨機的X，執行計算randao = sha3(sha3(sha3(sha3(.....(sha3(x))…))。每個驗證者提供randao的值保存在Casper 合約中的存儲空間。

Casper合約也含有一個叫GlobalRandao的變量，初始化為0。這個合約含有一個函數getValidator（uint256 skips）:返回 skips 跳過以后的驗證者的代碼。例如 getValidator(0)返回第一個驗證者（驗證者一般來講可以創造區塊），getValidator（1）返回第二個驗證者（如果第一個不能創建區塊，驗證者可以創建）

每個驗證者都是通過偽隨機算法從目前活動的驗證者集合進行選擇，隨機對初始保證金規模進行加權，并以Casper 合約中的globalRandao值為偽隨機種子。除了簽名外，一個有效的區塊也必須包含為那個驗證者目前保存Randao的原像。這個原像然后替換保存Randao值，然后也通過異或運算保存到合約的globalRandao值中。這樣，一個驗證者生成的每一區塊都要求脫掉一個驗證者的randao的一層。這是一種基于在這里解釋( http://vitalik.ca/files/randomness.html )的隨機算法。

總之，一個區塊必須包含的如下的額外數據：

<vchash><randao><sig>

其中，vchash是驗證代碼的32字節哈希值，用于快速識別驗證者。randao含義如上所描述（也是32字節），sig是簽名，可以是任意長度（雖然我們將區塊標頭的大小限制為2048字節）。

3.png (15.39 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:14 上傳

創建區塊所需要的最短時間可以簡單的定義為： GENESIS_TIME + BLOCK_TIME * <block height> + SKIP_TIME * <自創世區塊后所有的驗證者跳數和>。

在實際過程中，這意味著，一旦發布了某個區塊，那么下一個區塊的0-skip驗證者會在BLOCK_TIME秒之后發布，同理，1-skip驗證者則在BLOCK_TIME + SKIP_TIME秒之后發布，以此類推。

如果一個驗證者發布一個區塊太早，其他的驗證者會忽視該區塊，直到在規定的時間之后，才會處理該區塊（該中機制的進一步描述和驗證詳見這里（ http://vitalik.ca/files/timing.html）；短BLOCK_TIME和長SKIP_TIME之間的不對稱性，可以確保：在正常情況下，區塊的平均保留時間可以非常短，而在網絡延遲更長的情況下，也可以保證網絡的安全性）。

如果一個驗證者創建了一個包括在鏈內的區塊，他們得到的區塊獎勵相當于此周期內活動驗證者集合內以太的總量乘以REWARD_COEFFICIENT * BLOCK_TIME。因此，如果驗證者總是正確的履行職責，REWARD_COEFFICIENT本質上成為驗證者的“預期每秒收益率”；乘以~3200萬得到近似的年化收益率。如果一個驗證者創建了一個不包括在鏈內的區塊，之后，在將來的任意時間（直到驗證者調用withdraw函數為止）該區塊標頭可以作為一個“dunkle”通過Casper合約的includeDunkle函數，被包括在鏈內；這使得驗證者損失了相當于區塊獎勵的錢數（以及向包括dunkle在內的當事方提供一小部分罰款作為激勵）。因此，驗證者應當在確定該區塊在鏈內的可能性超過50%，才實際創建該區塊；該機制不鼓勵所有鏈上的驗證。驗證者的累計保證金，包括獎勵和罰款，存儲在Casper合約的狀態內。

“dunkle”機制的目的是為了解決權益證明中的“零賭注”的問題，其中，如果沒有罰款，只有獎勵，那么驗證者將被物質激勵，試圖在每個可能的鏈上創建區塊。在工作量證明場景下，創建區塊需要成本，并且只有在“主鏈”上創建區塊才有利可圖。Dunkle機制試圖復制工作量證明中的經濟理論，針對創建非主鏈上區塊進行人工罰款，來代替工作量證明中電費用的“自然罰款”。

假設一個固定大小的驗證者集合，我們可以很容易的定義分叉選擇規則：計算區塊數，最長鏈勝出。假設驗證者集合可以變大和縮小，但是，該規則就不太適用了，因為作為少數支持的分叉的速度一個時期以后將像多數支持的分叉一樣。因此，我們可以用計算的區塊數代替定義的分叉選擇規則，給每個區塊一個相當于區塊獎勵的權重。因為區塊獎勵與積極驗證的以太總量成正比，這確保了更積極驗證以太的鏈得分增長速度更快。

我們可以看出，這條規則可以用另一種方式很方便的理解：基于價值損失的分叉選擇模型。該原則是：我們選擇驗證者賭最多價值的鏈，就是說，驗證者承認除了上述的鏈外，所有其他鏈都會損失大量的資金。我們可以等同認為，這條鏈是驗證者失去資金最少的鏈。在這樣一個簡單的模式中，很容易看出這如何簡單的對應著區塊權重為區塊獎勵的最長鏈。該算法是盡管簡單，但用于股權證明的實現來說也足夠高效。

添加敲定

下一步是增加經濟敲定的概念。我們按照以下方式進行。在區塊標頭內部，除了指向上一個區塊的哈希之外，現在驗證者也對某個以前區塊FINALIZATION_TARGET敲定概率做出了一個斷言。該斷言被當做一個賭注，如“我相信區塊0x5e81d……將被敲定，并且在所有區塊史中，如果這一斷言是錯誤的，我愿意損失V_LOSS，假設在所有區塊史中，這一斷言是正確的，我將得到V_GAIN。”驗證者選擇odds參數，而V_LOSS和V_GAIN，按照如下方式計算（令total_validating_ether為活動驗證者集合的以太總量，MAX_REWARD是允許的區塊獎勵的最大值，bet_coeff是下文定義的系數）：

• BASE_REWARD = FINALITY_REWARD_COEFFICIENT * BLOCK_TIME * total_validating_ether
• V_LOSS = BASE_REWARD * odds * bet_coeff
• V_GAIN = BASE_REWARD * log(odds) * bet_coeff
• BASE_REWARD = FINALITY_REWARD_COEFFICIENT * BLOCK_TIME * total_validating_ether
• V_LOSS = BASE_REWARD * odds * bet_coeff
• V_GAIN = BASE_REWARD * log(odds) * bet_coeff
  

4.png (29.07 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:16 上傳

V_GAIN and V_LOSS values relative to the BASE_REWARD, assuming bet_coeff = 1，假設bet_coeff = 1，V_GAIN值和V_LOSS值與BASE_REWARD的相關性

FINALIZATION_TARGET從null開始， 但是區塊1期間，它被設置成區塊0，。bet_coeff初始（開始）值被設置為1，另一個變量cached_bet_coeff設置為0。但是bet_coeff不能減少到低于MIN_BET_COEFF，在每個區塊，我們設置bet_coeff -= bet_coeff / FINALITY_REWARD_DECAY_FACTOR，cached_bet_coeff -= cached_bet_coeff / FINALITY_REWARD_DECAY_FACTOR（這確保了總有激勵驅動去打賭）。當創建一個區塊，驗證者得到BASE_REWARD * log(MAXODDS) * cached_bet_coeff，其中MAXODDS是最大的可能賠率，如MAX_DEPOSIT_SIZE / BASE_REWARD。該機制隨所實現的是，一旦某一區塊被確定被敲定，驗證者從中得到獎勵，就像他們以最大odds繼續進行驗證一樣。這確保了，驗證者不會受到不正當的激勵而共謀通過延遲敲定某個區塊以獲得最大收益。

當Casper合約確定FINALIZATION_TARGET已被敲定（即已知區塊的總價值損失超過某個閾值），我們將新的FINALIZATION_TARGET設置成當前區塊，我們設置cached_bet_coeff += bet_coeff，并且bet_coeff重新設置為1。從下一個區塊開始，敲定過程重新開始設置新的FINALIZATION_TARGET。如果，有一個短鏈分裂，敲定過程可能同時處理多個區塊，甚至是不同高度的區塊；但是，鑒于區塊投注的默認驗證者策略，以及支持它的最高價值損失，我們預計收斂過程傾向于選擇他們其中的一個（此處的收斂參數基本上與最小權益證明相一致）。

當新的區塊敲定過程開始啟動時，我們期望最初的賠率很低，這表示驗證者對短范圍分叉的恐懼，但是隨著時間的推移，驗證者愿意投注的賠率會逐漸增加。特別的如果他們看到其他驗證者對該區塊進行高賠率投注，驗證者的賭注也會增加。可以預計，該區塊的價值損失將以指數倍增加，從而在對數時間內，達到最大“總保證金損失”。

在區塊標頭的額外數據中，我們現在將所需的數據格式更改為以下格式：

<vchash><randao><blockhash><logodds><sig>

其中區塊哈希是上個打賭的區塊的哈希，并且logodds為1字節值，代表對數形式的賠率（即，0對應1，8對應2，16對應4等）。

請注意，我們不能允許驗證者完全自由地設置賠率。考慮如下場景，如果有兩個競爭關系的敲定目標，B1和B2（即存在兩個鏈，其中一個的FINALIZATION_TARGET設置為B1，另一個的的FINALIZATION_TARGET設置為B2），并且圍繞B1開始形成共識，然后一個惡意驗證者可能會突然對B2投入一個高賠率賭注，它的價值損失足夠影響共識，從而引發短范圍分叉。因此，我們使用以下規則，通過限制V_LOSS來限制賠率：

• 令V_LOSS_EMA為一個指數移動平均線，設置如下。V_LOSS_EMA開始相當于區塊獎勵。對于每個區塊周期，V_LOSS_EMA設置為V_LOSS_EMA * (V_LOSS_MAXGROWTH_FACTOR - 1 - SKIPS) / V_LOSS_MAXGROWTH_FACTOR + V_LOSS，其中SKIPS是跳過的數量，V_LOSS是該區塊選擇的V_LOSS。
• 設置V_LOSS_MAX為V_LOSS_EMA * 1.5。限定V_LOSS的值為該值。
  

該規則設計上引入了一個安全約束：當至少（樣本）三分之二的其它驗證者風險為x后，當前驗證者的風險僅可以為1.5x。這與拜占庭容錯共識算法的事先承諾或承諾模式類似，一個驗證者應等待其他三分之二的驗證者完成給定的步驟后，才能進行下一步，并確保一定的安全，也確保大多數共謀不能參與“惡意破壞”攻擊（如，讓其他的驗證者講大量賭注添加在一個區塊，并且隨后推動共識到一個別的區塊），無法共謀，因為共謀本身需要耗費大量資金（實際上，共謀損失金錢的速度比受害者損失金錢的速度更快，這是一個顯著的特性，因為它確保，在大多數敵對情況下，惡意操作者會隨著時間的推移，經常會被“淘汰”。）

如果一個區塊作為一個dunkle被加入鏈中，賭注被處理，并且罰款和獎勵也會產生。例如，如果有兩個高度為5000的區塊A1和A2，互為競爭的敲定目標，并且有兩個高度為5050的區塊B1和B2（兩區塊均以A1為上一代區塊），并且驗證者在B1上構建區塊C，對A1下賭注，隨后，如果B2最終確定為主鏈區塊，B1和C將成為dunkle，并且C也將因B1 vs B2下錯注而被懲罰，但是還是會因A1被賭對而進行獎勵。

然而，假設C中的V_LOSS是這樣的，如果B1包含在內，則V_LOSS < V_LOSS_MAX；如果B2包含在內，則V_LOSS > V_LOSS_MAX。之后，為了保證預期的價值損失特性，我們制定了一個額外的罰款：即使驗證者賭對了，但我們仍以V_LOSS - V_LOSS_MAX對他們進行處罰。因此，我們有效地將V_LOSS賭注，分解成(i)價值損失V_LOSS_MAX的賭注和（ii）V_LOSS - V_LOSS_MAX的單純價值銷毀，從而保證這種規模過大的賭注仍僅通過V_LOSS_MAX經由分叉選擇規則變換。這意味著投注在某種意義上是不“完全的”，因為如果該區塊的子代區塊中的很多都分叉了，即使該區塊已經完成敲定確定，某個區塊的賭注仍可能引起罰款。在投注模型中的單純價值損失，被認為是對價值損失分叉選擇規則利潤純度的一個可接受的權衡。

計分與策略實現

價值損失計分可以通過以下算法實現：

• 保持追蹤最新的敲定的區塊。如果有多個敲定的區塊不兼容，返回一個大的紅色的閃爍錯誤，因為這表明一個敲定的逆轉事件發生了，并且客戶端的用戶可能需要使用額外的鏈源確定發生了什么。
• 保持追蹤所有敲定的候選區塊，即該區塊的子代區塊。對于每一個候選區塊，保持追蹤該候選區塊的價值損失。
• 從最接近的敲定區塊開始，保持追蹤每個敲定候選區塊的最長鏈及其長度。
• 鏈的“總權重”是其敲定的候選區塊祖先的價值損失加上鏈的長度乘以區塊獎勵。如果鏈中沒有敲定的候選區塊，那么就單獨使用鏈的長度乘以區塊獎勵作為其總權重。“鏈頭”是鏈中權重最大的最新區塊。
  

5.jpg (17.01 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:17 上傳

此處用于舉例的V_LOSS；在現實中，他們不會被允許這樣快速的增長，并且B或C會要求A上的較高的V_LOSS成為敲定候選區塊。

一個簡單的驗證者策略是僅在頭部創建區塊，并且做出敲定賭注，此處的價值損失是所描述的最大價值損失的80%。

輕客戶端同步

敲定機制開啟了一個快速輕客戶端同步算法的大門。該算法包括以下幾步：

6.png (12.95 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:18 上傳

• 令X是您已經確認的最新狀態（初始為創世狀態）。
• 在X時期或X時期后查詢網絡當前最新的敲定目標（謹記：當協議認為當前區塊的前一區塊被敲定時，此時的敲定目標為該區塊。）。調用最新的敲定目標Fn和以前的敲定目標Fp。
• 查詢網絡Fn前的k個區塊。這些區塊將下注，籌碼是它們在Fp上的整個以太幣池子。
• 通過Merkle分支查詢您已經敲定的狀態，驗證驗證者創建的這些區塊，驗證其在驗證者集合中的的存在性和位置，并且針對k個區塊的中第一個區塊的初始狀態，驗證他們選擇的正確性。
• 設置X為Fp的后狀態。
• 重復上述步驟，直到得到最新的敲定區塊。從最新的敲定區塊開始，使用上文的正常策略尋找鏈頭。
  

非常值得關注的是，通過步驟1到5可以用兩個網絡請求和幾秒鐘計算來驗證全天的區塊。

分片

現在，我們考慮從一個分片擴大到多個分片。我們構建的模型如下。取代已有的單條區塊鏈，我們現在擁有被我們稱為“分片”的多條相關聯的區塊鏈。NUM_SHARDS分片的編號為分片0至分片NUM_SHARDS – 1，其中分片0簡單的作為常規股權證明區塊鏈進行，其確定性如上所述，但是分片1……NUM_SHARDS – 1工作機制有所不同。在每個時期的開始，為每個分片隨機挑選VALIDATORS_PER_SHARD個驗證者，并且被分配為下一個時期的驗證者（如，n+1時期的驗證者在n時期時被指配）。當調用getValidator（skip）以確定這些分片內一個分片的驗證者，僅僅隨機從選取的驗證者集合中選擇一個驗證者（平等地分配，因為在挑選的時候就已經對保證金大小進行加權）。分片1……NUM_SHARDS – 1的確定性賭注并未在分片內做出，而是在分片0內做出。當賭注被做出，它就被存儲，賭注僅在子代區塊周期結束后，才被處理（如，n+1時期的區塊確定斷言，將在n+3區塊周期開始時，在分片0內進行處理）。

7.jpg (22.25 KB, 下載次數: 0)

下載附件 ?保存到相冊

昨天?23:19 上傳

如果已經為一個分片挑選了一個驗證者，那么這個驗證者將需要調用Casper合約的registerForShard（bytes32 vchash，uint256 shard，uint256 index，bytes32 randao）函數，其中vchash是驗證者的驗證代碼哈希，shard是分片ID，index是一個數值且0 <= index < VALIDATORS_PER_SHARD，其中得getShardValidator（uint256 shard，uint256 index）返回給定的驗證代碼哈希，并且randao是一個randao承諾。為了引導驗證者，該函數生成了一個收據，該收據能夠通過利用confirmReceipt(uint256 receiptId)在目標分片上進行確認。

getShardValidator依賴于一個單獨的隨機源，業務邏輯與getValidator類似。該隨機源，按照如下步驟得出：

• 每個時期，每個k,如果k滿足 0 <= k < 24，保持追蹤globalRandao最后第k的bit為1的次數合計，減去第k bit為0的次數合計。
• 每個時期結束，計算combinedRandao如下。每個k，如果k滿足0 <= k < 24，并且如果在時期內，globalRandao的最后第k bit更多次是1，combinedRandao第k最后的bit是1。如果globalRandao的最后第k bit更多次是0，combinedRandao第k的bit是0.利用sha3（combinedRandao）作為隨機源。
  

使用Iddo Bentov的低影響函數，增加了隨機源的操縱成本，因為，這個特別的隨機源種子會產生實質性的經濟結果，因此，它比正常操縱目標更大一些。

跨分片敲定賭注并不在區塊標頭上，所以不會過度的阻礙輕客戶端；相反，驗證者將創建一個交易，在它們創建的任何區塊間，調用一個registerFinalityBets（bytes32[] hashes，bytes logodds）函數，任意一個區塊中創建預期的NUM_SHARDS個哈希和一個長度為NUM_SHARDS的字節數組，每個字節代表相應的區塊哈希的賠率。

驗證者的典型工作流程是維持分片0的一個“全節點”，并且保持追蹤被分配給它們的未來分片。如果一個驗證者被分配給一個分片，他們將利用Merkle樹證明下載狀態，并且確保當他們需要開始驗證時，他們已經下載了相應狀態。對于該時期，他們作為該分片的驗證者，并且創建區塊，同時，他們將在所有的分片上做出敲定賭注，他們通過觀測（i）每個分片上的最長鏈，（ii）其他的驗證者的敲定賭注，以及（iii）在片區內試圖達到51%成功攻擊的各種二次啟發方法和機制（如，欺詐證明）。注意，分配到任何給定分片的概率與驗證者的累計以太成比例，因此，如果驗證者的資產成倍，那么需要處理的計算也會加倍。這個特性被認為是何意的，因為它增加了公平性，并降低了礦池激勵，同時引入了一個原則，該原則下處理交易并存儲區塊鏈本身也成為了“工作量混合證明”的一種形式。

取樣機制的初衷是為了確保系統僅依靠少量驗證者進行實際交易驗證，同時系統能夠安全應對累積以太保證金高達~33-40%（低于50%，因為總累積以太為33-50%的攻擊者在某些給定的分片會很“幸運”）的攻擊者；因為取樣是隨機的，攻擊者不能夠選擇將他們的權益集中在一個分片上，許多工作量分片方案的一個致命缺陷上。即使一個分片被攻擊了，還有第二道防線：如果其他驗證者發現攻擊的證據，那么他們可以拒絕做出跟隨攻擊者分叉的敲定聲明，而確認由誠實節點創建的鏈。如果一個分片上的一個攻擊者試圖從無效區塊創建一個鏈，其他分片的驗證者可以檢測到，并且之后暫時完全驗證該分片上的節點，并且確保他們僅敲定有效的區塊。

跨分片通信

本方案中的跨分片通信遵循如下工作。我們創建一個ETHLOG操作碼（帶有兩個參數:to value），其創建的一個日志記錄，其存儲內容是空字符串（注意，該空字符串，不是32個零字節，一個傳統的LOG只能存儲32字節的字符串），它的數據是一個64字節的字符串，包括目標和具體值。我們創建的GETLOG操作碼，需要一個由區塊定義ID的單獨的參數。number * 2**64 + txindex * 2**32 + logindex（其中txindex是交易的index，包括區塊的log，logindex是交易receipt中的log index）試圖獲取指定的存儲內容，存儲在狀態中的日志表明，該日志已被消耗，并且將日志數據放在目標數組內。如果日志值為空串，這也將傳輸以太給收件人。為了成功得到日志內容，調用操作碼的交易必須攜帶日志ID參數。如果v=0，我們允許簽名中的r值重新用于此目的（注意：這意味著此處僅可以使用EIP 86交易；我們希望到現在為止，EIP 86交易將是交易的主要形式）。

現在抽象共識再也不是一個單鏈，而是一個鏈的集合，c[0]…c[NUM_SHARDS - 1]。狀態轉移函數不再是stf(state, block) -> state'，而是stf(state_k, block, r_c[0]…r_c[NUM_SHARDS - 1]) ->state_k，其中

r_c[i]

復制代碼 是來自過去的超過ASYNC_DELAY區塊的i鏈的receipt集合。

請注意，有幾種方法可以“滿足”這種抽象。一種方法是“每個節點都是全功能節點”的方法：所有節點存儲所有分片的狀態，更新所有分片的鏈，因此擁有足夠的信息，可以計算所有的通道交易函數。然而，這是令人乏味的，因為它是不可擴展的。

更有趣的策略是“中型節點”方法：大多數節點選擇一些分片，保持更新到最新（盡可能包括分片0），并作為所有其他分片的輕客戶端。當計算通道交易函數時，他們需要舊交易收據，然而，他們并沒有存儲舊交易收據，為此，我們增加了一個網絡協議規則，要求交易伴隨著任何交易靜態參考的收據的Merkle證明（這里為什么需要靜態參考就很清楚了：否則，在運行時間創建的任意一個GETLOG操作，因為網絡延遲，日志讀取數據將變成一個緩慢的過程，將耗費數倍時間，并且客戶存儲本地的所有歷史日志的負擔太重）。最終，在主網絡內部署的策略將有可能是帶有初始強制receipt Merkle證明的全節點策略，隨著時間的推移，松散支持越來越多的中型節點。

注意，不需要將Merkle證明作為一個數據包，從一個分片直接導入另一個分片，反而是，所有的證明傳輸邏輯均在驗證者和客戶端層面處完成，并且在協議層面實現了一個接口，通過該接口可以訪問Merkle。長時間ASYNC_DELAY減少了一個分片內改組的可能性，這將需要整個通道的集中改組。

如果需要短時間延遲，可以在協議之上實施的一種機制是分片內投注市場，例如，在分片j內，A可以和B打一個賭，比如說“如果在分片i內，區塊X被敲定，B同意向A發送0.001 ETH，反之，如果在分片i內，區塊X未被敲定，則A同意向B發送1000 ETH”。針對此目的，Casper保證金可以有雙重用途-即使在分片j內進行打賭，A賭輸的信息將通過receipt傳輸給分片0，隨后一旦A提取，分片0將轉移1000以太給B。B將因此獲信：A足夠確信其他分片的區塊將被敲定并據此而做出投注，同時B也獲得了防止A判斷失敗的一種保險（即使運用了雙重用途方案，該保險還是有缺陷的，如果A是惡意的，那么他們將輸掉他們全部的賭注，這樣B將什么也得不到）。該方案存在的一個可擴展限制，與一個節點計算能力的平方成比例。原因有二，首先，與分片數量成比例的計算能力總數必須在分片0上計算獎勵。其次，所有客戶端必須為所有分片的輕客戶端。因此，假設節點的計算能力為N，則應該存在O(N)個分片并且每個分片的處理能力均為O(N)，其網絡總處理能力為O(N^2)。超過這個最大值，將需要一種更加復雜的分片協議以構成某種樹結構的聲明驗證，這超出了本文的范圍。

總結

以上是生活随笔為你收集整理的Vitalik Buterin 《以太坊紫皮书》的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。