我们现在再看一下对于替代挖矿解谜的另一个设计重点:防止矿池的产生。我们在先前的第5章里谈到,大部分的比特币矿工都会加入一个矿池,而不是独立挖矿。这就造成了少量矿池拥有绝大部分挖矿算力的现象。由于每个矿池都有一个中心化的管理方,有些人担心这其实违反了比特币去中心化的核心设计原则,会危害到比特币的安全性。
拥有大部分算力的矿池显然是一个问题,任何一个中心化管理的矿池可能会实施一套自定义的挖矿策略,然后用它来攻击网络。这种矿池也是黑客们攻击的目标,因为通过攻击矿池可以迅速地控制大量的挖矿算力。矿池管理员也可能会删改交易或是强迫收取更高的交易费。矿池中拥有大多数矿工,意味着大部分矿工都没有运行一个完全有效节点。
有意思的是,这些担忧有着现实世界的影子,比如选票。在美国和其他许多国家,出售选票是非法的。加入一个被一方控制的矿池,和在比特币的共识协议里出售你的选票有点类似。
矿池的技术要求
回忆起来,矿池看起来是一个突然发生的现象。并没有证据显示,中本聪在比特币的最初设计中考虑过矿池的概念。在互相不信任的个体之间运行一个有效率的矿池,这样的事情在最初的几年里看起来不太现实。
正如我们在第5章所看到的,矿池通常会指定一个管理员,他有一个大家都知道的公钥。每一个加入的矿工还是按照往常一样进行挖矿,然后递交“近似”或者“部分”答案给矿池管理员,这些答案在低级别难度的时候可能就是一个有效答案,通过这种做法来证明他们做了多少工作量。当矿池中的某一个参与者找到了一个有效区块的时候,这个管理员会按照每个人所提交的工作量的占比来分配奖励。虽然有很多种不同的分配方式,但是所有矿池都遵循这个基本模式。
正因为如此,矿池的存在依赖于比特币的两大技术特征。第一,一个矿工很容易通过提交工分来证明(概率上)他所做的工作量。不管实际上找到一个有效区块是多么困难,通过设定一个足够低的合格工分的临界值,矿工可以容易地证明他们在任意精度的工作量。考虑到我们需要解谜题目可以在任意难度上被创造出来,这个问题看起来很难改变。
第二,矿池成员可以容易地向管理员证明,他们遵守规则并且通过实际运算来寻找有效区块,然后矿池会作为一个整体接受奖励。这是行得通的,因为这个矿池的公钥是被写进币基交易,并包括在区块里的梅克尔树上。即使一个矿工找到了一个有效区块,甚至只是一个近似区块(也叫工分),他也无法改变整个矿池的公钥,而成为新铸币的接受者。
“区块丢弃”攻击(block-discarding attack)
矿池的这种设计有一个弱点:没有办法来确保矿工在找到有效区块的时候一定会提交给管理员。假设有一个矿池成员对一个大型矿池不满,他可以正常地参与挖矿然后提交工分,但他在找到一个有效区块(可以让整个矿池获得奖励)的时候,并没有告诉管理员而是直接把它丢弃掉。
这个攻击降低了整个矿池的挖矿能力,因为攻击者的工作量并没有实际贡献到挖矿中去。但是这个矿工依然会收到奖励,因为他看起来也在不断地提交工分,只是运气不好没有找到有效的区块。如果这个矿池的奖励设计方案是收入中性的(也就是所有的挖矿奖励都被分发到每个参与者),那样的话这个攻击会让这个矿池亏损。
这种攻击被称作民间攻击或者是蓄意破坏攻击,这也被认为是一种蓄意破坏,因为这个攻击看上去对攻击者和矿池都是不经济的、代价不菲的。这个攻击者本身也会遭受损失,因为他所丢弃的有效区块将会使他放弃他应该有的一部分奖励回报。当然,这个攻击者还是会由于其他一些挖矿解密算法而获利。
看起来一个理性的矿工不会采用这种策略,因为他会有所损失而不会得到任何实际的回报。但(令人惊讶的是)在某些情况下,这个策略是可以有利可图的,我们在下文有所讨论。但是无论如何,我们想要设计一个全新的挖矿解谜算法,以确保这种策略永远都是有利可图的(以抵抗矿池的存在)。
矿池之间的区块丢弃攻击
好多年以来,人们都觉得进行区块丢弃攻击是无利可图的,实际上如果两个矿池之间的互相攻击却不一样。这种方案已经被提出来好多次,伊泰·艾瑞尔(Ittay Eyal)2015年的论文中首次深入分析了这种攻击模式。
我们考虑一个简单的案例:假设两个矿池A和B,每个有50%的全部挖矿算力。现在假设B动用了一半的能力(25%的总体算力)来加入矿池A挖矿,然后把所有找到的有效区块丢弃掉。我们可以推演,在一个简单的模型里,B会赢得5/9的所有奖励,大于他正常挖矿时候所获得的50%的奖励。在这个简单的案例里,动用一半的挖矿算力去攻击矿池A对矿池B来说是一个最佳的策略。
这个案例随着矿池数量的增加而变得更加复杂。截至本书撰写之时,丢弃区块攻击在实际中还没有被大范围观察到。但长期来看可能性还是存在的,像这类攻击会对大型矿池的运营产生关键影响。
奖励破坏
我们设计这种攻击的目的,是让矿工们即使加入了一个矿池挖矿,也会缺乏向矿池管理员提交有效区块的动力。目前,只有矿池管理员可以获取挖矿奖励,因为管理员要求所有的参与者在他们挖矿的币基交易中加入一把特殊的公钥。这个公钥是否被正确地放入,可以在提交近似区块的时候被很容易地检查验证。矿池管理员是唯一知道私钥的人,因此可以决定新铸币的走向。
但如果我们要求所有的参与者都知道私钥(这样一来,当找到有效区块的时候大家都可以重新定义区块奖励的去向)呢?为了做到这一点,我们需要一个解谜算法,每一个解谜运算的尝试都要求知道币基交易里的私钥。我们可以把解谜从“找到一个区块,其哈希值低于一个特定的目标”改成“找到一个区块,这个区块里的数字签名的哈希值低于一个特定的目标”。这个数字签名必须要用币基交易里同一把公钥来计算。
这样的解谜算法,会给矿池管理员两个都不可靠的选择:他们可以把私钥分发给所有成员,如此,他们之中任何一人都可以私自挪用全部矿池资金。另外一个办法是他们可以代表矿池成员进行签名。计算一个签名的计算量比计算一个哈希函数要大许多,这样一来,矿池管理员会承担主要的苦活与累活,所以最好让矿池管理员成为一个独立的矿工。
不能被外包的挖矿的优劣
由于这类解谜算法不能够有效地(并不是完全不可能)被外包到一个不能被信任的参与者,这就使得成立一个由不被信任的参与者所组成的矿池变得十分困难。它可以有效地阻止所有的矿池形成,即便是像P2Pool这样成立一个没有矿池管理员的去中心化矿池。
存在如下争议,部署这类解谜算法可能会不可抑制地造成更多的中心化,而不是更少。因为概率上较高幅度波动(找到有效区块而获得奖励的概率问题)会让小矿工们不敢参与挖矿,剩下的只会是大型挖矿团队。目前,虽然矿池表面上控制了大量的挖矿算力,但还是不清楚如果他们想利用这个优势来发起攻击的话,其中许多成员是否会叛逃。大型挖矿矿池和可以承受高幅度收入波动的小矿池,到底哪个风险更大?这是一个未能解决的问题。
设计一个共识协议,理想方案是小额度地奖励每个找到低等难度解谜答案的矿工,以“自然地”降低概率波动风险。这就意味着矿工们不需要组成矿池,同时小矿工们还可以参与挖矿获利。仅仅降低每个区块产生之间的时间间隔不会起到作用——它需要被降低1 000倍或者更多,才能够在概率风险上与大型挖矿矿池所面临的情况相当。但到那个时候,每个区块之间的间隔只有不到一秒,陈旧区块的数量会变得不可控制的高。还有一个问题,是否存在另一种共识协议,可以做到在不需要瞬时广播所有解谜结果的情况下,让解谜运算变得更加容易?