當中本聰在2009年1月啟動比特币區塊鍊時,他同時向世界引入了兩種未經測試的革命性的新概念。第一種就是比特币(bitcoin),一種去中心化的點對點的網上貨币,在沒有任何資産擔保、内在價值或者中心發行者的情況下維持着價值。到目前為止,比特币已經吸引了大量的公衆注意力, 就政治方面而言它是一種沒有中央銀行的貨币并且有着劇烈的價格波動。然而,中本聰的偉大試驗還有與比特币同等重要的一部分:基于工作量證明的區塊鍊概念使得人們可以就交易順序達成共識。作為應用的比特币可以被描述為一個先申請(first-to-file)系統:如果某人有50BTC并且同時向A和B發送這50BTC,隻有被首先被确認的交易才會生效。沒有固有方法可以決定兩筆交易哪一筆先到,這個問題阻礙了去中心化數字貨币的發展許多年。中本聰的區塊鍊是第一個可靠的去中心化解決辦法。現在,開發者們的注意力開始迅速地轉向比特币技術的第二部分,區塊鍊怎樣應用于貨币以外的領域。
常被提及的應用包括使用鍊上數字資産來代表定制貨币和金融工具(彩色币),某種基礎實體裝置的所有權(智能資産),如域名一樣的沒有可替代性的資産(域名币)以及如去中心化交易所,金融衍生品,點到點賭博和鍊上身份和信譽系統等更進階的應用。另一個常被問詢的重要領域是“智能合約”- 根據事先任意制訂的規則來自動轉移數字資産的系統。例如,一個人可能有一個存儲合約,形式為“A可以每天最多提現X個币,B每天最多Y個,A和B一起可以随意提取,A可以停掉B的提現權”。這種合約的符合邏輯的擴充就是去中心化自治組織(DAOs)-長期的包含一個組織的資産并把組織的規則編碼的智能合約。以太坊的目标就是提供一個帶有内置的成熟的圖靈完備語言的區塊鍊,用這種語言可以建立合約來編碼任意狀态轉換功能,使用者隻要簡單地用幾行代碼來實作邏輯,就能夠建立以上提及的所有系統以及許多我們還想象不到的的其它系統。
曆史
去中心化的數字貨币概念,正如财産登記這樣的替代應用一樣,早在幾十年以前就被提出來了。1980和1990年代的匿名電子現金協定,大部分是以喬姆盲簽技術(Chaumian blinding)為基礎的。這些電子現金協定提供具有高度隐私性的貨币,但是這些協定都沒有流行起來,因為它們都依賴于一個中心化的中介機構。1998年,戴偉(Wei Dai)的b-money首次引入了通過解決計算難題和去中心化共識創造貨币的思想,但是該建議并未給出如何實作去中心化共識的具體方法。2005年,芬尼(Hal Finney)引入了“可重複使用的工作量證明機制”(reusable proofs of work)概念,它同時使用b-money的思想和Adam Back提出的計算困難的哈希現金(Hashcash)難題來創造密碼學貨币。但是,這種概念再次迷失于理想化,因為它依賴于可信任的計算作為後端。
因為貨币是一個先申請應用,交易的順序至關重要,是以去中心化的貨币需要找到實作去中心化共識的方法。比特币以前的所有電子貨币協定所遇到的主要障礙是,盡管對如何建立安全的拜占庭問題容錯(Byzantine-fault-tolerant)多方共識系統的研究已經曆時多年,但是上述協定隻解決了問題的一半。這些協定假設系統的所有參與者是已知的,并産生如“如果有N方參與到系統中,那麼系統可以容忍N/4的惡意參與者”這樣形式的安全邊界。然而這個假設的問題在于,在匿名的情況下,系統設定的安全邊界容易遭受女巫攻擊,因為一個攻擊者可以在一台伺服器或者僵屍網絡上建立數以千計的節點,進而單方面確定擁有多數份額。
中本聰的創新是引入這樣一個理念:将一個非常簡單的基于節點的去中心化共識協定與工作量證明機制結合在一起。節點通過工作量證明機制獲得參與到系統的權利,每十分鐘将交易打包到“區塊”中,進而建立出不斷增長的區塊鍊。擁有大量算力的節點有更大的影響力,但獲得比整個網絡更多的算力比建立一百萬個節點困難得多。盡管比特币區塊鍊模型非常簡陋,但是實踐證明它已經足夠好用了,在未來五年,它将成為全世界兩百個以上的貨币和協定的基石。
作為狀态轉換系統的比特币
從技術角度講,比特币賬本可以被認為是一個狀态轉換系統,該系統包括所有現存的比特币所有權狀态和“狀态轉換函數”。狀态轉換函數以目前狀态和交易為輸入,輸出新的狀态。例如,在标準的銀行系統中,狀态就是一個資産負債表,一個從A賬戶向B賬戶轉賬X美元的請求是一筆交易,狀态轉換函數将從A賬戶中減去X美元,向B賬戶增加X美元。如果A賬戶的餘額小于X美元,狀态轉換函數就會傳回錯誤提示。是以我們可以如下定義狀态轉換函數:
APPLY(S,TX) > S' or ERROR
在上面提到的銀行系統中,狀态轉換函數如下:
APPLY({ Alice: $50, Bob: $50 },"send $20 from Alice to Bob") = { Alice: $30,Bob: $70 }
但是:
APPLY({ Alice: $50, Bob: $50 },"send $70 from Alice to Bob") = ERROR
比特币系統的“狀态”是所有已經被挖出的、沒有花費的比特币(技術上稱為“未花費的交易輸出,unspent transaction outputs 或UTXO”)的集合。每個UTXO都有一個面值和所有者(由20個位元組的本質上是密碼學公鑰的位址所定義[1])。一筆交易包括一個或多個輸入和一個或多個輸出。每個輸入包含一個對現有UTXO的引用和由與所有者位址相對應的私鑰建立的密碼學簽名。每個輸出包含一個新的加入到狀态中的UTXO。
在比特币系統中,狀态轉換函數APPLY(S,TX)->S’大體上可以如下定義:
交易的每個輸入:
如果引用的UTXO不存在于現在的狀态中(S),傳回錯誤提示
如果簽名與UTXO所有者的簽名不一緻,傳回錯誤提示
如果所有的UTXO輸入面值總額小于所有的UTXO輸出面值總額,傳回錯誤提示
傳回新狀态S’,新狀态S中移除了所有的輸入UTXO,增加了所有的輸出UTXO。
第一步的第一部分防止交易的發送者花費不存在的比特币,第二部分防止交易的發送者花費其他人的比特币。第二步確定價值守恒。比特币的支付協定如下。假設Alice想給Bob發送11.7BTC。事實上,Alice不可能正好有11.7BTC。假設,她能得到的最小數額比特币的方式是:6+4+2=12。是以,她可以建立一筆有3個輸入,2個輸出的交易。第一個輸出的面值是11.7BTC,所有者是Bob(Bob的比特币位址),第二個輸出的面值是0.3BTC,所有者是Alice自己,也就是找零。
挖礦
一個區塊,每個區塊包含一個時間戳、一個随機數、一個對上一個區塊的引用(即哈希)和上一區塊生成以來發生的所有交易清單。這樣随着時間流逝就建立出了一個持續增長的區塊鍊,它不斷地更新,進而能夠代表比特币賬本的最新狀态。
依照這個範式,檢查一個區塊是否有效的算法如下:
檢查區塊引用的上一個區塊是否存在且有效。
檢查區塊的時間戳是否晚于以前的區塊的時間戳,而且早于未來2小時[2]。
檢查區塊的工作量證明是否有效。
将上一個區塊的最終狀态賦于S[0]。
假設TX是區塊的交易清單,包含n筆交易。對于屬于0……n-1的所有i,進行狀态轉換S[i+1] = APPLY(S[i],TX[i])。如果任何一筆交易i在狀态轉換中出錯,退出程式,傳回錯誤。
傳回正确,狀态S[n]是這一區塊的最終狀态。
本質上,區塊中的每筆交易必須提供一個正确的狀态轉換,要注意的是,“狀态”并不是編碼到區塊的。它純粹隻是被校驗節點記住的抽象概念,對于任意區塊都可以從創世狀态開始,按順序加上每一個區塊的每一筆交易,(妥妥地)計算出目前的狀态。另外,需要注意礦工将交易收錄進區塊的順序。如果一個區塊中有A、B兩筆交易,B花費的是A建立的UTXO,如果A在B以前,這個區塊是有效的,否則,這個區塊是無效的。
區塊驗證算法的有趣部分是“工作量證明”概念:對每個區塊進行SHA256哈希處理,将得到的哈希視為長度為256比特的數值,該數值必須小于不斷動态調整的目标數值,本書寫作時目标數值大約是2^190。工作量證明的目的是使區塊的建立變得困難,進而阻止女巫攻擊者惡意重新生成區塊鍊。因為SHA256是完全不可預測的僞随機函數,建立有效區塊的唯一方法就是簡單地不斷試錯,不斷地增加随機數的數值,檢視新的哈希數值是否小于目标數值。如果目前的目标數值是2^192,就意味着平均需要嘗試2^64次才能生成有效的區塊。一般而言,比特币網絡每隔2016個區塊重新設定目标數值,保證平均每十分鐘生成一個區塊。為了對礦工的計算工作進行獎勵,每一個成功生成區塊的礦工有權在區塊中包含一筆憑空發給他們自己25BTC的交易。另外,如果交易的輸入大于輸出,差額部分就作為“交易費用”付給礦工。順便提一下,對礦工的獎勵是比特币發行的唯一機制,創世狀态中并沒有比特币。
為了更好地了解挖礦的目的,讓我們分析比特币網絡出現惡意攻擊者時會發生什麼。因為比特币的密碼學基礎是非常安全的,是以攻擊者會選擇攻擊沒有被密碼學直接保護的部分:交易順序。攻擊者的政策非常簡單:
向賣家發送100BTC購買商品(尤其是無需郵寄的電子商品)。
等待直至商品發出。
建立另一筆交易,将相同的100BTC發送給自己的賬戶。
使比特币網絡相信發送給自己賬戶的交易是最先發出的。
一旦步驟(1)發生,幾分鐘後礦工将把這筆交易打包到區塊,假設是第270000個區塊。大約一個小時以後,在此區塊後面将會有五個區塊,每個區塊間接地指向這筆交易,進而确認這筆交易。這時賣家收到貨款,并向買家發貨。因為我們假設這是數字商品,攻擊者可以即時收到貨。現在,攻擊者建立另一筆交易,将相同的100BTC發送到自己的賬戶。如果攻擊者隻是向全網廣播這一消息,這一筆交易不會被處理。礦工會運作狀态轉換函數APPLY(S,TX),發現這筆交易将花費已經不在狀态中的UTXO。是以,攻擊者會對區塊鍊進行分叉,将第269999個區塊作為父區塊重新生成第270000個區塊,在此區塊中用新的交易取代舊的交易。因為區塊資料是不同的,這要求重新進行工作量證明。另外,因為攻擊者生成的新的第270000個區塊有不同的哈希,是以原來的第270001到第270005的區塊不指向它,是以原有的區塊鍊和攻擊者的新區塊是完全分離的。在發生區塊鍊分叉時,區塊鍊長的分支被認為是誠實的區塊鍊,合法的的礦工将會沿着原有的第270005區塊後挖礦,隻有攻擊者一人在新的第270000區塊後挖礦。攻擊者為了使得他的區塊鍊最長,他需要擁有比除了他以外的全網更多的算力來追趕(即51%攻擊)。
默克爾樹
左:僅提供默克爾樹(Merkle tree)上的少量節點已經足夠給出分支的合法證明。
右:任何對于默克爾樹的任何部分進行改變的嘗試都會最終導緻鍊上某處的不一緻。
比特币系統的一個重要的可擴充特性是:它的區塊存儲在多層次的資料結構中。一個區塊的哈希實際上隻是區塊頭的哈希,區塊頭是包含時間戳、随機數、上個區塊哈希和存儲了所有的區塊交易的默克爾樹的根哈希的長度大約為200位元組的一段資料。
默克爾樹是一種二叉樹,由一組葉節點、一組中間節點和一個根節點構成。最下面的大量的葉節點包含基礎資料,每個中間節點是它的兩個子節點的哈希,根節點也是由它的兩個子節點的哈希,代表了默克爾樹的頂部。默克爾樹的目的是允許區塊的資料可以零散地傳送:節點可以從一個源下載下傳區塊頭,從另外的源下載下傳與其有關的樹的其它部分,而依然能夠确認所有的資料都是正确的。之是以如此是因為哈希向上的擴散:如果一個惡意使用者嘗試在樹的下部加入一個僞造的交易,所引起的改動将導緻樹的上層節點的改動,以及更上層節點的改動,最終導緻根節點的改動以及區塊哈希的改動,這樣協定就會将其記錄為一個完全不同的區塊(幾乎可以肯定是帶着不正确的工作量證明的)。
默克爾樹協定對比特币的長期持續性可以說是至關重要的。在2014年4月,比特币網絡中的一個全節點-存儲和處理所有區塊的全部資料的節點-需要占用15GB的記憶體空間,而且還以每個月超過1GB的速度增長。目前,這一存儲空間對台式計算機來說尚可接受,但是手機已經負載不了如此巨大的資料了。未來隻有商業機構和愛好者才會充當完整節點。簡化支付确認(SPV)協定允許另一種節點存在,這樣的節點被成為“輕節點”,它下載下傳區塊頭,使用區塊頭确認工作量證明,然後隻下載下傳與其交易相關的默克爾樹“分支”。這使得輕節點隻要下載下傳整個區塊鍊的一小部分就可以安全地确定任何一筆比特币交易的狀态和賬戶的目前餘額。
其它的區塊鍊應用
将區塊鍊的思想應用到其它領域的想法早就出現了。在2005年,尼克薩博提出了“用所有權為财産冠名”的概念,文中描述了複制資料庫技術的發展如何使基于區塊鍊的系統可以應用于登記土地所有權,建立包括例如房産權、違法侵占和喬治亞州土地稅等概念的詳細架構。然而,不幸的是在那時還沒有實用的複制資料庫系統,是以這個協定被沒有被付諸實踐。不過,自2009年比特币系統的去中心化共識開發成功以來,許多區塊鍊的其它應用開始快速出現。
域名币(namecoin)- 建立于2010年,被稱為去中心化的名稱注冊資料庫。像Tor、Bitcoin和BitMessage這樣的去中心化協定,需要一些确認賬戶的方法,這樣其他人才能夠與使用者進行互動。但是,在所有的現存的解決方案中僅有的可用的身份辨別是象1LW79wp5ZBqaHW1jL5TciBCrhQYtHagUWy這樣的僞随機哈希。理想的情況下,人們希望擁有一個帶有象“george”這樣的名稱的賬戶。然而,問題是如果有人可以建立“george”賬戶,那麼其他人同樣也可以建立“george”賬戶來假扮。唯一的解決方法是先申請原則(first-to-file),隻有第一個注冊者可以成功注冊,第二個不能再次注冊同一個賬戶。這一問題就可以利用比特币的共識協定。域名币是利用區塊鍊實作名稱注冊系統的最早的、最成功的系統。
彩色币(Colored coins)- 彩色币的目的是為人們在比特币區塊鍊上建立自己的數字貨币,或者,在更重要的一般意義上的貨币 – 數字令牌提供服務。依照彩色币協定,人們可以通過為某一特别的比特币UTXO指定顔色,發行新的貨币。該協定遞歸地将其它UTXO定義為與交易輸入UTXO相同的顔色。這就允許使用者保持隻包含某一特定顔色的UTXO,發送這些UTXO就像發送普通的比特币一樣,通過回溯全部的區塊鍊判斷收到的UTXO顔色。
元币(Metacoins)- 元币的理念是在比特币區塊鍊上建立新的協定,利用比特币的交易儲存元币的交易,但是采用了不同的狀态轉換函數APPLY’。因為元币協定不能阻止比特币區塊鍊上的無效的元币交易,是以增加一個規則如果APPLY'(S,TX)傳回錯誤,這一協定将預設APPLY'(S,TX) = S。這為建立任意的、先進的不能在比特币系統中實作的密碼學貨币協定提供了一個簡單的解決方法,而且開發成本非常低,因為挖礦和網絡的問題已經由比特币協定處理好了。
是以,一般而言,建立共識協定有兩種方法:建立一個獨立的網絡和在比特币網絡上建立協定。雖然像域名币這樣的應用使用第一種方法已經獲得了成功,但是該方法的實施非常困難,因為每一個應用需要建立獨立的區塊鍊和建立、測試所有狀态轉換和網絡代碼。另外,我們預測去中心化共識技術的應用将會服從幂律分布,大多數的應用太小不足以保證自由區塊鍊的安全,我們還注意到大量的去中心化應用,尤其是去中心化自治組織,需要進行應用之間的互動。
另一方面,基于比特币的方法存在缺點,它沒有繼承比特币可以進行簡化确認支付(SPV) 的特性。比特币可以實作簡化确認支付,因為比特币可以将區塊鍊深度作為有效性确認代理。在某一點上,一旦一筆交易的祖先們距離現在足夠遠時,就可以認為它們是合法狀态的一部分。與之相反,基于比特币區塊鍊的元币協定不能強迫區塊鍊不包括不符合元币協定的交易。是以,安全的元币協定的簡化支付确認需要後向掃描所有的區塊,直到區塊鍊的初始點,以确認某一交易是否有效。目前,所有基于比特币的元币協定的“輕”實施都依賴可信任的伺服器提供資料,這對主要目的之一是消除信任需要的密碼學貨币而言,隻是一個相當次優的結果。
腳本
即使不對比特币協定進行擴充,它也能在一定程度上實作”智能合約”。比特币的UTXO可以被不隻被一個公鑰擁有,也可以被用基于堆棧的程式設計語言所編寫的更加複雜的腳本所擁有。在這一模式下,花費這樣的UTXO,必須提供滿足腳本的資料。事實上,基本的公鑰所有權機制也是通過腳本實作的:腳本将橢圓曲線簽名作為輸入,驗證交易和擁有這一UTXO的位址,如果驗證成功,傳回1,否則傳回0。更加複雜的腳本用于其它不同的應用情況。例如,人們可以建立要求集齊三把私鑰中的兩把才能進行交易确認的腳本(多重簽名),對公司賬戶、儲蓄賬戶和某些商業代理來說,這種腳本是非常有用的。腳本也能用來對解決計算問題的使用者發送獎勵。人們甚至可以建立這樣的腳本“如果你能夠提供你已經發送一定數額的的狗币給我的簡化确認支付證明,這一比特币UTXO就是你的了”,本質上,比特币系統允許不同的密碼學貨币進行去中心化的兌換。
然而,比特币系統的腳本語言存在一些嚴重的限制:
缺少圖靈完備性 – 這就是說,盡管比特币腳本語言可以支援多種計算,但是它不能支援所有的計算。最主要的缺失是循環語句。不支援循環語句的目的是避免交易确認時出現無限循環。理論上,對于腳本程式員來說,這是可以克服的障礙,因為任何循環都可以用多次重複if 語句的方式來模拟,但是這樣做會導緻腳本空間利用上的低效率,例如,實施一個替代的橢圓曲線簽名算法可能将需要256次重複的乘法,而每次都需要單獨編碼。
價值盲(Value-blindness)。UTXO腳本不能為賬戶的取款額度提供精細的的控制。例如,預言機合約(oracle contract)的一個強大應用是對沖合約,A和B各自向對沖合約中發送價值1000美元的比特币,30天以後,腳本向A發送價值1000美元的比特币,向B發送剩餘的比特币。雖然實作對沖合約需要一個預言機(oracle)決定一比特币值多少美元,但是與現在完全中心化的解決方案相比,這一機制已經在減少信任和基礎設施方面有了巨大的進步。然而,因為UTXO是不可分割的,為實作此合約,唯一的方法是非常低效地采用許多有不同面值的UTXO(例如對應于最大為30的每個k,有一個2^k的UTXO)并使預言機挑出正确的UTXO發送給A和B。
缺少狀态 – UTXO隻能是已花費或者未花費狀态,這就沒有給需要任何其它内部狀态的多階段合約或者腳本留出生存空間。這使得實作多階段期權合約、去中心化的交換要約或者兩階段加密承諾協定(對確定計算獎勵非常必要)非常困難。這也意味着UTXO隻能用于建立簡單的、一次性的合約,而不是例如去中心化組織這樣的有着更加複雜的狀态的合約,使得元協定難以實作。二進制狀态與價值盲結合在一起意味着另一個重要的應用-取款限額-是不可能實作的。
區塊鍊盲(Blockchain-blindness)- UTXO看不到區塊鍊的資料,例如随機數和上一個區塊的哈希。這一缺陷剝奪了腳本語言所擁有的基于随機性的潛在價值,嚴重地限制了博彩等其它領域應用。
我們已經考察了在密碼學貨币上建立進階應用的三種方法:建立一個新的區塊鍊,在比特币區塊鍊上使用腳本,在比特币區塊鍊上建立元币協定。建立新區塊鍊的方法可以自由地實作任意的特性,成本是開發時間和培育努力。使用腳本的方法非常容易實作和标準化,但是它的能力有限。元币協定盡管非常容易實作,但是存在擴充性差的缺陷。在以太坊系統中,我們的目的是建立一個能夠同時具有這三種模式的所有優勢的通用架構。
以太坊
以太坊的目的是基于腳本、競争币和鍊上元協定(on-chain meta-protocol)概念進行整合和提高,使得開發者能夠建立任意的基于共識的、可擴充的、标準化的、特性完備的、易于開發的和協同的應用。以太坊通過建立終極的抽象的基礎層-内置有圖靈完備程式設計語言的區塊鍊-使得任何人都能夠建立合約和去中心化應用并在其中設立他們自由定義的所有權規則、交易方式和狀态轉換函數。域名币的主體架構隻需要兩行代碼就可以實作,諸如貨币和信譽系統等其它協定隻需要不到二十行代碼就可以實作。智能合約-包含價值而且隻有滿足某些條件才能打開的加密箱子-也能在我們的平台上建立,并且因為圖靈完備性、價值知曉(value-awareness)、區塊鍊知曉(blockchain-awareness)和多狀态所增加的力量而比比特币腳本所能提供的智能合約強大得多。
以太坊賬戶
在以太坊系統中,狀态是由被稱為“賬戶”(每個賬戶由一個20位元組的位址)的對象和在兩個賬戶之間轉移價值和資訊的狀态轉換構成的。以太坊的賬戶包含四個部分:
随機數,用于确定每筆交易隻能被處理一次的計數器
賬戶目前的以太币餘額
賬戶的合約代碼,如果有的話
賬戶的存儲(預設為空)
以太币(Ether)是以太坊内部的主要加密燃料,用于支付交易費用。一般而言,以太坊有兩種類型的賬戶:外部所有的賬戶(由私鑰控制的)和合約賬戶(由合約代碼控制)。外部所有的賬戶沒有代碼,人們可以通過建立和簽名一筆交易從一個外部賬戶發送消息。每當合約賬戶收到一條消息,合約内部的代碼就會被激活,允許它對内部存儲進行讀取和寫入,和發送其它消息或者建立合約。
消息和交易
以太坊的消息在某種程度上類似于比特币的交易,但是兩者之間存在三點重要的不同。第一,以太坊的消息可以由外部實體或者合約建立,然而比特币的交易隻能從外部建立。第二,以太坊消息可以選擇包含資料。第三,如果以太坊消息的接受者是合約賬戶,可以選擇進行回應,這意味着以太坊消息也包含函數概念。
以太坊中“交易”是指存儲從外部賬戶發出的消息的簽名資料包。交易包含消息的接收者、用于确認發送者的簽名、以太币賬戶餘額、要發送的資料和兩個被稱為STARTGAS和GASPRICE的數值。為了防止代碼的指數型爆炸和無限循環,每筆交易需要對執行代碼所引發的計算步驟-包括初始消息和所有執行中引發的消息-做出限制。STARTGAS就是限制,GASPRICE是每一計算步驟需要支付礦工的費用。如果執行交易的過程中,“用完了瓦斯”,所有的狀态改變恢複原狀态,但是已經支付的交易費用不可收回了。如果執行交易中止時還剩餘瓦斯,那麼這些瓦斯将退還給發送者。建立合約有單獨的交易類型和相應的消息類型;合約的位址是基于賬号随機數和交易資料的哈希計算出來的。
消息機制的一個重要後果是以太坊的“頭等公民”财産-合約與外部賬戶擁有同樣權利,包括發送消息和建立其它合約的權利。這使得合約可以同時充當多個不同的角色,例如,使用者可以使去中心化組織(一個合約)的一個成員成為一個中介賬戶(另一個合約),為一個偏執的使用定制的基于量子證明的蘭波特簽名(第三個合約)的個人和一個自身使用由五個私鑰保證安全的賬戶(第四個合約)的共同簽名實體提供居間服務。以太坊平台的強大之處在于去中心化的組織和代理合約不需要關心合約的每一參與方是什麼類型的賬戶。
以太坊狀态轉換函數
以太坊的狀态轉換函數:APPLY(S,TX) -> S',可以定義如下:
檢查交易的格式是否正确(即有正确數值)、簽名是否有效和随機數是否與發送者賬戶的随機數比對。如否,傳回錯誤。
計算交易費用:fee=STARTGAS * GASPRICE,并從簽名中确定發送者的位址。從發送者的賬戶中減去交易費用和增加發送者的随機數。如果賬戶餘額不足,傳回錯誤。
設定初值GAS = STARTGAS,并根據交易中的位元組數減去一定量的瓦斯值。
從發送者的賬戶轉移價值到接收者賬戶。如果接收賬戶還不存在,建立此賬戶。如果接收賬戶是一個合約,運作合約的代碼,直到代碼運作結束或者瓦斯用完。
如果因為發送者賬戶沒有足夠的錢或者代碼執行耗盡瓦斯導緻價值轉移失敗,恢複原來的狀态,但是還需要支付交易費用,交易費用加至礦工賬戶。
否則,将所有剩餘的瓦斯歸還給發送者,消耗掉的瓦斯作為交易費用發送給礦工。 例如,假設合約的代碼如下:
if !self.storage[calldataload(0)]:
self.storage[calldataload(0)] = calldataload(32)
需要注意的是,在現實中合約代碼是用底層以太坊虛拟機(EVM)代碼寫成的。上面的合約是用我們的進階語言Serpent語言寫成的,它可以被編譯成EVM代碼。假設合約存儲器開始時是空的,一個值為10以太,瓦斯為2000,瓦斯價格為0.001以太并且64位元組資料,第一個三十二位元組的快代表号碼2和第二個代表詞CHARLIE。的交易發送後,狀态轉換函數的處理過程如下:
檢查交易是否有效、格式是否正确。
檢查交易發送者至少有2000*0.001=2個以太币。如果有,從發送者賬戶中減去2個以太币。
初始設定gas=2000,假設交易長為170位元組,每位元組的費用是5,減去850,是以還剩1150。
從發送者賬戶減去10個以太币,為合約賬戶增加10個以太币。
運作代碼。在這個合約中,運作代碼很簡單:它檢查合約存儲器索引為2處是否已使用,注意到它未被使用,然後将其值置為CHARLIE。假設這消耗了187機關的瓦斯,于是剩餘的瓦斯為1150 - 187 = 963。 6. 向發送者的賬戶增加963*0.001=0.963個以太币,傳回最終狀态。 如果沒有合約接收交易,那麼所有的交易費用就等于GASPRICE乘以交易的位元組長度,交易的資料就與交易費用無關了。另外,需要注意的是,合約發起的消息可以對它們産生的計算配置設定瓦斯限額,如果子計算的瓦斯用完了,它隻恢複到消息發出時的狀态。是以,就像交易一樣,合約也可以通過對它産生的子計算設定嚴格的限制,保護它們的計算資源。
代碼執行
以太坊合約的代碼使用低級的基于堆棧的位元組碼的語言寫成的,被稱為“以太坊虛拟機代碼”或者“EVM代碼”。代碼由一系列位元組構成,每一個位元組代表一種操作。一般而言,代碼執行是無限循環,程式計數器每增加一(初始值為零)就執行一次操作,直到代碼執行完畢或者遇到錯誤,STOP或者RETURN指令。操作可以通路三種存儲資料的空間:
堆棧,一種後進先出的資料存儲,32位元組的數值可以入棧,出棧。
記憶體,可無限擴充的位元組隊列。
合約的長期存儲,一個秘鑰/數值的存儲,其中秘鑰和數值都是32位元組大小,與計算結束即重置的堆棧和記憶體不同,存儲内容将長期保持。
代碼可以象通路區塊頭資料一樣通路數值,發送者和接受到的消息中的資料,代碼還可以傳回資料的位元組隊列作為輸出。
EVM代碼的正式執行模型令人驚訝地簡單。當以太坊虛拟機運作時,它的完整的計算狀态可以由元組(block_state, transaction, message, code, memory, stack, pc, gas)來定義,這裡block_state是包含所有賬戶餘額和存儲的全局狀态。每輪執行時,通過調出代碼的第pc(程式計數器)個位元組,目前指令被找到,每個指令都有定義自己如何影響元組。例如,ADD将兩個元素出棧并将它們的和入棧,将gas(瓦斯)減一并将pc加一,SSTORE将頂部的兩個元素出棧并将第二個元素插入到由第一個元素定義的合約存儲位置,同樣減少最多200的gas值并将pc加一,雖然有許多方法通過即時編譯去優化以太坊,但以太坊的基礎性的實施可以用幾百行代碼實作。
區塊鍊和挖礦
雖然有一些不同,但以太坊的區塊鍊在很多方面類似于比特币區塊鍊。它們的區塊鍊架構的不同在于,以太坊區塊不僅包含交易記錄和最近的狀态,還包含區塊序号和難度值。以太坊中的區塊确認算法如下:
檢查區塊引用的上一個區塊是否存在和有效。
檢查區塊的時間戳是否比引用的上一個區塊大,而且小于15分鐘。
檢查區塊序号、難度值、 交易根,叔根和瓦斯限額(許多以太坊特有的底層概念)是否有效。
檢查區塊的工作量證明是否有效。
将S[0]指派為上一個區塊的STATE_ROOT。
将TX指派為區塊的交易清單,一共有n筆交易。對于屬于0……n-1的i,進行狀态轉換S[i+1] = APPLY(S[i],TX[i])。如果任何一個轉換發生錯誤,或者程式執行到此處所花費的瓦斯(gas)超過了GASLIMIT,傳回錯誤。
用S[n]給S_FINAL指派, 向礦工支付區塊獎勵。 8 檢查S-FINAL是否與STATE_ROOT相同。如果相同,區塊是有效的。否則,區塊是無效的。
這一确認方法乍看起來似乎效率很低,因為它需要存儲每個區塊的所有狀态,但是事實上以太坊的确認效率可以與比特币相提并論。原因是狀态存儲在樹結構中(tree structure),每增加一個區塊隻需要改變樹結構的一小部分。是以,一般而言,兩個相鄰的區塊的樹結構的大部分應該是相同的,是以存儲一次資料,可以利用指針(即子樹哈希)引用兩次。一種被稱為“帕特裡夏樹”(“Patricia Tree”)的樹結構可以實作這一點,其中包括了對默克爾樹概念的修改,不僅允許改變節點,而且還可以插入和删除節點。另外,因為所有的狀态資訊是最後一個區塊的一部分,是以沒有必要存儲全部的區塊曆史-這一方法如果能夠可以應用到比特币系統中,經計算可以對存儲空間有10-20倍的節省。
應用
一般來講,以太坊之上有三種應用。第一類是金融應用,為使用者提供更強大的用他們的錢管理和參與合約的方法。包括子貨币,金融衍生品,對沖合約,儲蓄錢包,遺囑,甚至一些種類的全面的雇傭合約。第二類是半金融應用,這裡有錢的存在但也有很重的非金錢的方面,一個完美的例子是為解決計算問題而設的自我強制懸賞。最後,還有線上投票和去中心化治理這樣的完全的非金融應用。
令牌系統
鍊上令牌系統有很多應用,從代表如美元或黃金等資産的子貨币到公司股票,單獨的令牌代表智能資産,安全的不可僞造的優惠券,甚至與傳統價值完全沒有聯系的用來進行積分獎勵的令牌系統。在以太坊中實施令牌系統容易得讓人吃驚。關鍵的一點是了解,所有的貨币或者令牌系統,從根本上來說是一個帶有如下操作的資料庫:從A中減去X機關并把X機關加到B上,前提條件是(1)A在交易之前有至少X機關以及(2)交易被A準許。實施一個令牌系統就是把這樣一個邏輯實施到一個合約中去。
用Serpent語言實施一個令牌系統的基本代碼如下:
def send(to, value):
if self.storage[from] >= value:
self.storage[from] = self.storage[from] value
self.storage[to] = self.storage[to] + value
這從本質上來說是本文将要進一步描述的“銀行系統”狀态轉變功能的一個最小化實施。需要增加一些額外的代碼以提供在初始和其它一些邊緣情況下分發貨币的功能,理想情況下會增加一個函數讓其它合約來查詢一個位址的餘額。就足夠了。理論上,基于以太坊的充當子貨币的令牌系統可能包括一個基于比特币的鍊上元币所缺乏的重要功能:直接用這種貨币支付交易費的能力。實作這種能力的方法是在合約裡維護一個以太币賬戶以用來為發送者支付交易費,通過收集被用來充當交易費用的内部貨币并把它們在一個不斷運作的拍賣中拍賣掉,合約不斷為該以太币賬戶注資。這樣使用者需要用以太币“激活”他們的賬戶,但一旦賬戶中有以太币它将會被重複使用因為每次合約都會為其充值。
金融衍生品和價值穩定的貨币
金融衍生品是“智能合約”的最普遍的應用,也是最易于用代碼實作的之一。實作金融合約的主要挑戰是它們中的大部分需要參照一個外部的價格釋出器;例如,一個需求非常大的應用是一個用來對沖以太币(或其它密碼學貨币)相對美元價格波動的智能合約,但該合約需要知道以太币相對美元的價格。最簡單地方法是通過由某特定機構(例如納斯達克)維護的“資料提供“合約進行,該合約的設計使得該機構能夠根據需要更新合約,并提供一個接口使得其它合約能夠通過發送一個消息給該合約以擷取包含價格資訊的回複。
當這些關鍵要素都齊備,對沖合約看起來會是下面的樣子:
等待A輸入1000以太币。.
等待B 輸入1000以太币。
通過查詢資料提供合約,将1000以太币的美元價值,例如,x美元,記錄至存儲器。
30天後,允許A或B“重新激活“合約以發送價值x美元的以太币(重新查詢資料提供合約以擷取新價格并計算)給A并将剩餘的以太币發送給B。 這樣的合約在密碼學商務中有非同尋常的潛力。密碼學貨币經常被诟病的一個問題就是其價格的波動性;雖然大量的使用者和商家可能需要密碼學資産所帶來的安全和便利,可他們不太會樂意面對一天中資産跌去23%價值的情形。直到現在,最為常見的推薦方案是發行者背書資産;思想是發行者建立一種子貨币,對此種子貨币他們有權發行和贖回,給予(線下)提供給他們一個機關特定相關資産(例如黃金,美元)的人一個機關子貨币。發行者承諾當任何人送還一個機關密碼學資産時。發還一個機關的相關資産。這種機制能夠使任何非密碼學資産被“更新“為密碼學資産,如果發行者值得信任的話。 然而實踐中發行者并非總是值得信任的,并且一些情況下銀行體系太脆弱,或者不夠誠實守信進而使這樣的服務無法存在。金融衍生品提供了一種替代方案。這裡将不再有提供儲備以支撐一種資産的單獨的發行者,取而代之的是一個由賭一種密碼學資産的價格會上升的投機者構成的去中心化市場。與發行者不同,投機者一方沒有讨價還價的權利,因為對沖合約把他們的儲備當機在了契約中。注意這種方法并非是完全去中心化的,因為依然需要一個可信任的提供價格資訊的資料源,盡管依然有争議這依然是在降低基礎設施需求(與發行者不同,一個價格釋出器不需要牌照并且似乎可歸為自由言論一類)和降低潛在欺詐風險方面的一個巨大的進步。
身份和信譽系統
最早的替代币,域名币,嘗試使用一個類比特币塊鍊來提供一個名稱注冊系統,在那裡使用者可以将他們的名稱和其它資料一起在一個公共資料庫注冊。最常用的應用案例把象“bitcoin.org“(或者再域名币中,”bitcoin.bit“)一樣的域名與一個IP位址對應的域名系統。其它的應用案例包括電子郵件驗證系統和潛在的更先進的信譽系統。這裡是以太坊中提供與域名币類似的的名稱注冊系統的基礎合約:
def register(name, value):
if !self.storage[name]:
self.storage[name] = value
合約非常簡單;就是一個以太坊網絡中的可以被添加但不能被修改或移除的資料庫。任何人都可以把一個名稱注冊為一個值并永遠不變。一個更複雜的名稱注冊合約将包含允許其他合約查詢的“功能條款“,以及一個讓一個名稱的”擁有者“(即第一個注冊者)修改資料或者轉讓所有權的機制。甚至可以在其上添加信譽和信任網絡功能。
去中心化存儲
在過去的幾年裡出現了一些大衆化的線上檔案存儲初創公司,最突出的是Dropbox,它尋求允許使用者上傳他們的硬碟備份,提供備份存儲服務并允許使用者通路進而按月向使用者收取費用。然而,在這一點上這個檔案存儲市場有時相對低效;對現存服務的粗略觀察表明,特别地在“神秘谷“20-200GB這一既沒有免費空間也沒有企業級使用者折扣的水準上,主流檔案存儲成本每月的價格意味着支付在一個月裡支付整個硬碟的成本。以太坊合約允許去中心化存儲生态的開發,這樣使用者通過将他們自己的硬碟或未用的網絡空間租出去以獲得少量收益,進而降低了檔案存儲的成本。
這樣的設施的基礎性構件就是我們所謂的“去中心化Dropbox合約“。這個合約工作原理如下。首先,某人将需要上傳的資料分成快,對每一塊資料加密以保護隐私,并且以此建構一個默克爾樹。然後建立一個含以下規則的合約,每N個塊,合約将從默克爾樹中抽取一個随機索引(使用能夠被合約代碼通路的上一個塊的哈希來提供随機性), 然後給第一個實體X以太以支撐一個帶有類似簡化驗證支付(SPV)的在樹中特定索引處的塊的所有權證明。當一個使用者想重新下載下傳他的檔案,他可以使用微支付通道協定(例如每32k位元組支付1薩博)恢複檔案;從費用上講最高效的方法是支付者不到最後不釋出交易,而是用一個略微更合算的帶有同樣随機數的交易在每32k位元組之後來代替原交易。
這個協定的一個重要特征是,雖然看起來象是一個人信任許多不準備丢失檔案的随機節點,但是他可以通過秘密分享把檔案分成許多小塊,然後通過監視合同得知每個小塊都還被某個節點的儲存着。如果一個合約依然在付款,那麼就提供了某個人依然在儲存檔案的證據。
去中心化自治組織
通常意義上“去中心化自治組織(DAO, decentralized autonomous organization)”的概念指的是一個擁有一定數量成員或股東的虛拟實體,依靠比如67%多數來決定花錢以及修改代碼。成員會集體決定組織如何配置設定資金。配置設定資金的方法可能是懸賞,工資或者更有吸引力的機制比如用内部貨币獎勵工作。這僅僅使用密碼學塊鍊技術就從根本上複制了傳統公司或者非營利組織的法律意義以實作強制執行。至此許多圍繞DAO的讨論都是圍繞一個帶有接受分紅的股東和可交易的股份的“去中心化自治公司(DAC,decentralized autonomous corporation)”的“資本家”模式;作為替代者,一個被描述為“去中心化自治社群(decentralized autonomous community)”的實體将使所有成員都在決策上擁有同等的權利并且在增減成員時要求67%多數同意。每個人都隻能擁有一個成員資格這一規則需要被群體強制實施。
下面是一個如何用代碼實作DO的綱要。最簡單地設計就是一段如果三分之二成員同意就可以自我修改的代碼。雖然理論上代碼是不可更改的,然而通過把代碼主幹放在一個單獨的合約内并且把合約調用的位址指向一個可更改的存儲依然可以容易地繞開障礙而使代碼變得可修改,在一個這樣的DAO合約的簡單實作中有三種交易類型,由交易提供的資料區分:
[0,i,K,V] 注冊索引為i 的對存儲位址索引為K 至 v 的内容的更改建議。
[0,i] 注冊對建議i 的投票。
[2,i] 如有足夠投票則确認建議i。
然後合約對每一項都有具體的條款。它将維護一個所有開放存儲的更改記錄以及一個誰投票表決的表。還有一個所有成員的表。當任何存儲内容的更改獲得了三分之二多數同意,一個最終的交易将執行這項更改。一個更加複雜的架構會增加内置的選舉功能以實作如發送交易,增減成員,甚至提供委任制民主一類的投票代表(即任何人都可以委托另外一個人來代表自己投票,而且這種委托關系是可以傳遞的,是以如果A委托了B然後B委托了C那麼C将決定A的投票)。這種設計将使DAO作為一個去中心化社群有機地成長, 使人們最終能夠把挑選合适人選的任務交給專家,與目前系統不同,随着社群成員不斷改變他們的站隊假以時日專家會容易地出現和消失。 一個替代的模式是去中心化公司,那裡任何賬戶可以擁有0到更多的股份,決策需要三分之二多數的股份同意。一個完整的架構将包括資産管理功能-可以送出買賣股份的訂單以及接受這種訂單的功能(前提是合約裡有訂單比對機制)。代表依然以委任制民主的方式存在,産生了“董事會”的概念。
更先進的組織治理機制可能會在将來實作;現在一個去中心化組織(DO)可以從去中心化自治組織(DAO)開始描述。DO和DAO的差別是模糊的,一個大緻的分割線是治理是否可以通過一個類似政治的過程或者一個“自動”過程實作,一個不錯的直覺測試是“無通用語言”标準:如果兩個成員不說同樣的語言組織還能正常運作嗎?顯然,一個簡單的傳統的持股式公司會失敗,而象比特币協定這樣的卻很可能成功,羅賓·漢森的“futarchy”,一個通過預測市場實作組織化治理的機制是一個真正的說明“自治”式治理可能是什麼樣子的好例子。注意一個人無需假設所有DAO比所有DO優越;自治隻是一個在一些特定場景下有很大優勢的,但在其它地方未必可行的範式,許多半DAO可能存在。
進一步的應用
儲蓄錢包。 假設Alice想確定她的資金安全,但她擔心丢失或者被黑客盜走私鑰。她把以太币放到和Bob簽訂的一個合約裡,如下所示,這合同是一個銀行:
Alice單獨每天最多可提取1%的資金。
Bob單獨每天最多可提取1%的資金,但Alice可以用她的私鑰建立一個交易取消Bob的提現權限。
Alice 和 Bob 一起可以任意提取資金。 一般來講,每天1%對Alice足夠了,如果Alice想提現更多她可以聯系Bob尋求幫助。如果Alice的私鑰被盜,她可以立即找到Bob把她的資金轉移到一個新合同裡。如果她弄丢了她的私鑰,Bob可以慢慢地把錢提出。如果Bob表現出了惡意,她可以關掉他的提現權限。
作物保險。一個人可以很容易地以天氣情況而不是任何價格指數作為資料輸入來建立一個金融衍生品合約。如果一個愛荷華的農民購買了一個基于愛荷華的降雨情況進行反向賠付的金融衍生品,那麼如果遇到幹旱,該農民将自動地收到賠付資金而如果有足量的降雨他會很開心因為他的作物收成會很好。
一個去中心化的資料釋出器。 對于基于差異的金融合約,事實上通過過“謝林點”協定将資料釋出器去中心化是可能的。謝林點的工作原理如下:N方為某個指定的資料提供輸入值到系統(例如ETH/USD價格),所有的值被排序,每個提供25%到75%之間的值的節點都會獲得獎勵,每個人都有激勵去提供他人将提供的答案,大量玩家可以真正同意的答案明顯預設就是正确答案,這構造了一個可以在理論上提供很多數值,包括ETH/USD價格,柏林的溫度甚至某個特别困難的計算的結果的去中心化協定。
5.雲計算。EVM技術還可被用來建立一個可驗證的計算環境,允許使用者邀請他人進行計算然後選擇性地要求提供在一定的随機選擇的檢查點上計算被正确完成的證據。這使得建立一個任何使用者都可以用他們的桌上型電腦,筆記本電腦或者專用伺服器參與的雲計算市場成為可能,現場檢查和安全保證金可以被用來確定系統是值得信任的(即沒有節點可以因欺騙獲利)。雖然這樣一個系統可能并不适用所有任務;例如,需要進階程序間通信的任務就不易在一個大的節點雲上完成。然而一些其它的任務就很容易實作并行;[email protected], [email protected]和基因算法這樣的項目就很容易在這樣的平台上進行。
6.點對點賭博。任意數量的點對點賭博協定都可以搬到以太坊的區塊鍊上,例如Frank Stajano和Richard Clayton的Cyberdice。 最簡單的賭博協定事實上是這樣一個簡單的合約,它用來賭下一個區塊的哈稀值與猜測值之間的差額, 據此可以建立更複雜的賭博協定,以實作近乎零費用和無欺騙的賭博服務。
7.預測市場。 不管是有神谕還是有謝林币,預測市場都會很容易實作,帶有謝林币的預測市場可能會被證明是第一個主流的作為去中心化組織管理協定的“futarchy”應用。
8.鍊上去中心化市場,以身份和信譽系統為基礎。
雜項和關注
改進版幽靈協定的實施
“幽靈“協定("Greedy Heaviest Observed Subtree" (GHOST) protocol)是由Yonatan Sompolinsky 和 Aviv Zohar在2013年12月引入的創新。幽靈協定提出的動機是目前快速确認的塊鍊因為區塊的高廢棄率而受到低安全性困擾;因為區塊需要花一定時間(設為t)擴散至全網,如果礦工A挖出了一個區塊然後礦工B碰巧在A的區塊擴散至B之前挖出了另外一個區塊,礦工B的區塊就會廢棄并且沒有對網絡安全作出貢獻。此外,這裡還有中心化問題:如果A是一個擁有全網30%算力的礦池而B擁有10%的算力,A将面臨70%的時間都在産生廢棄區塊的風險而B在90%的時間裡都在産生廢棄區塊。是以,如果廢棄率高,A将簡單地因為更高的算力份額而更有效率,綜合這兩個因素,區塊産生速度快的塊鍊很可能導緻一個礦池擁有實際上能夠控制挖礦過程的算力份額。
正如Sompolinsky 和 Zohar所描述的,通過在計算哪條鍊“最長”的時候把廢區塊也包含進來,幽靈協定解決了降低網絡安全性的第一個問題;這就是說,不僅一個區塊的父區塊和更早的祖先塊,祖先塊的廢棄的後代區塊(以太坊術語中稱之為“叔區塊”)也被加進來以計算哪一個區塊擁有支援其的最大工作量證明。我們超越了Sompolinsky 和 Zohar所描述的協定以解決第二個問題 – 中心化傾向,以太坊付給以“叔區塊”身份為新塊确認作出貢獻的廢區塊87.5%的獎勵,把它們納入計算的“侄子區塊”将獲得獎勵的12.5%,不過,交易費用不獎勵給叔區塊。 以太坊實施了一個隻下探到第五層的簡化版本的幽靈協定。其特點是,廢區塊隻能以叔區塊的身份被其父母的第二代至第五代後輩區塊,而不是更遠關系的後輩區塊(例如父母區塊的第六代後輩區塊,或祖父區塊的第三代後輩區塊)納入計算。這樣做有幾個原因。首先,無條件的幽靈協定将給計算給定區塊的哪一個叔區塊合法帶來過多的複雜性。其次,帶有以太坊所使用的補償的無條件的幽靈協定剝奪了礦工在主鍊而不是一個公開攻擊者的鍊上挖礦的激勵。最後,計算表明帶有激勵的五層幽靈協定即使在出塊時間為15s的情況下也實作了了95%以上的效率,而擁有25%算力的礦工從中心化得到的益處小于3%。
費用
因為每個釋出的到區塊鍊的交易都占用了下載下傳和驗證的成本,需要有一個包括交易費的規範機制來防範濫發交易。比特币使用的預設方法是純自願的交易費用,依靠礦工擔當守門人并設定動态的最低費用。因為這種方法是“基于市場的”,使得礦工和交易發送者能夠按供需來決定價格,是以這種方法在比特币社群被很順利地接受了。然而,這個邏輯的問題在于,交易處理并非一個市場;雖然根據直覺把交易處了解釋成礦工給發送者提供的服務是很有吸引力的,但事實上一個礦工收錄的交易是需要網絡中每個節點處理的,是以交易進行中最大部分的成本是由第三方而不是決定是否收錄交易的礦工承擔的。于是,非常有可能發生公地悲劇。
然而,當給出一個特殊的不夠精确的簡化假設時,這個基于市場的機制的漏洞很神奇地消除了自己的影響。論證如下。假設:
一個交易帶來 k 步操作, 提供獎勵 kR給任何收錄該交易的礦工,這裡 R 由交易釋出者設定, k 和 R 對于礦工都是事先(大緻上)可見的。
每個節點處理每步操作的成本都是 C (即所有節點的效率一緻)。
有 N 個挖礦節點,每個算力一緻(即全網算力的1/N)。
沒有不挖礦的全節點。
當預期獎勵大于成本時,礦工願意挖礦。這樣,因為礦工有1/N 的機會處理下一個區塊,是以預期的收益是 kR/N , 礦工的處理成本簡單為 kC. 這樣當 kR/N > kC, 即 R > NC時。礦工願意收錄交易。注意 R 是由交易發送者提供的每步費用,是礦工從處理交易中獲益的下限。 NC 是全網處理一個操作的成本。是以,礦工僅有動機去收錄那些收益大于成本的交易。 然而,這些假設與實際情況有幾點重要的偏離:
因為額外的驗證時間延遲了塊的廣播因而增加了塊成為廢塊的機會,處理交易的礦工比其它的驗證節點付出了更高的成本。
不挖礦的全節點是存在的。
實踐中算力分布可能最後是極端不平均的。
以破壞網絡為己任的投機者,政敵和瘋子确實存在,并且他們能夠聰明地設定合同使得他們的成本比其它驗證節點低得多。 上面第1點驅使礦工收錄更少的交易,第2點增加了 NC; 是以這兩點的影響至少部分互相抵消了. 第3點和第4點是主要問題;作為解決方案我們簡單地建立了一個浮動的上限:沒有區塊能夠包含比BLK_LIMIT_FACTOR 倍長期指數移動平均值更多的操作數。具體地:
blk.oplimit = floor((blk.parent.oplimit * (EMAFACTOR - 1) + floor(parent.opcount * BLK_LIMIT_FACTOR)) /EMA_FACTOR)
BLK_LIMIT_FACTOR 和 EMA_FACTOR 是暫且被設為 65536 和 1.5 的常數,但可能會在更深入的分析後調整。 回複
計算和圖靈完備
需要強調的是以太坊虛拟機是圖靈完備的; 這意味着EVM代碼可以實作任何可以想象的計算,包括無限循環。EVM代碼有兩種方式實作循環。首先, JUMP 指令可以讓程式跳回至代碼前面某處,還有允許如 while x < 27: x = x * 2 一樣的條件語句的JUMPI 指令實作條件跳轉。其次,合約可以調用其它合約,有通過遞歸實作循環的潛力。這很自然地導緻了一個問題:惡意使用者能夠通過迫使礦工和全節點進入無限循環而不得不關機嗎? 這問題出現是因為計算機科學中一個叫停機問題的問題:一般意義上沒有辦法知道,一個給定的程式是否能在有限的時間内結束運作。
正如在狀态轉換章節所述,我們的方案通過為每一個交易設定運作執行的最大計算步數來解決問題,如果超過則計算被恢複原狀但依然要支付費用。消息以同樣的方式工作。為顯示這一方案背後的動機,請考慮下面的例子:
一個攻擊者建立了一個運作無限循環的合約,然後發送了一個激活循環的交易給礦工,礦工将處理交易,運作無限循環直到瓦斯耗盡。即使瓦斯耗盡交易半途停止,交易依然正确(回到原處)并且礦工依然從攻擊者哪裡掙到了每一步計算的費用。
一個攻擊者建立一個非常長的無限循環意圖迫使礦工長時間内一直計算緻使在計算結束前若幹區塊已經産生于是礦工無法收錄交易以賺取費 用。然而,攻擊者需要釋出一個 STARTGAS 值以限制可執行步數,因而礦工将提前知道計算将耗費過多的步數。
一個攻擊者看到一個包含諸如 send(A,self.storage); self.storage = 0格式的合約然後發送帶有隻夠執行第一步的費用的而不夠執行第二步的交易(即提現但不減少賬戶餘額)。合約作者無需擔心防衛類似攻擊,因為如果執行中途停止則所有變更都被回複。
一個金融合約靠提取九個專用資料釋出器的中值來工作以最小化風險,一個攻擊者接管了其中一個資料提供器,然後把這個按DAO章節所述的可變位址調用機制設計成可更改的資料提供器轉為運作一個無限循環,以求嘗試逼迫任何從此金融合約索要資金的嘗試都會因瓦斯耗盡而中止。然而,該金融合約可以在消息裡設定瓦斯限制以防範此類問題。 圖靈完備的替代是圖靈不完備,這裡 JUMP 和 JUMPI 指令不存在并且在某個給定時間每個合約隻允許有一個拷貝存在于調用堆棧内。在這樣的系統裡,上述的費用系統和圍繞我們的方案的效率的不确定性可能都是不需要的,因為執行一個合約的成本将被它的大小決定。此外,圖靈不完備甚至不是一個大的限制,在我們内部設想的所有合約例子中,至今隻有一個需要循環,而且即使這循環也可以被26個單行代碼段的重複所代替。考慮到圖靈完備帶來的嚴重的麻煩和有限的益處,為什麼不簡單地使用一種圖靈不完備語言呢?事實上圖靈不完備遠非一個簡潔的解決方案。為什麼?請考慮下面的合約:
C0: call(C1); call(C1);
C1: call(C2); call(C2);
C2: call(C3); call(C3);
...
C49: call(C50); call(C50);
C50: (作一個圖靈機的步計算和記錄結果在合約的長期存儲)
現在,發送一個這樣的交易給A,這樣,在51個交易中,我們有了一個需要花費2^50 步計算的合約,礦工可能嘗試通過為每一個合約維護一個最高可執行步數并且對于遞歸調用其它合約的合約計算可能執行步數進而預先檢測這樣的邏輯炸彈,但是這會使礦工禁止建立其它合約的合約(因為上面26個合約的建立和執行可以很容易地放入一個單獨合約内)。另外一個問題點是一個消息的位址字段是一個變量,是以通常來講可能甚至無法預先知道一個合約将要調用的另外一個合約是哪一個。于是,最終我們有了一個驚人的結論:圖靈完備的管理驚人地容易,而在缺乏同樣的控制時圖靈不完備的管理驚人地困難- 那為什麼不讓協定圖靈完備呢?
貨币和發行
以太坊網絡包含自身的内置貨币以太币,以太币扮演雙重角色,為各種數字資産交易提供主要的流動性,更重要的是提供了了支付交易費用的一種機制。為便利及避免将來的争議期間(參見目前的mBTC/uBTC/聰的争論),不同面值的名稱将被提前設定:
1: 偉
10^12: 薩博
10^15: 芬尼
10^18: 以太
這應該被當作是“元”和“分”或者“比特币”和“聰”的概念的擴充版,在不遠的将來,我們期望“以太”被用作普通交易,“芬尼”用來進行微交易,“薩博”和“偉”用來進行關于費用和協定實施的讨論。
發行模式如下:
通過發售活動,以太币将以每BTC 1337-2000以太的價格發售,一個旨在為以太坊組織籌資并且為開發者支付報酬的機制已經在其它一些密碼學貨币平台上成功使用。早期購買者會享受較大的折扣,發售所得的BTC将完全用來支付開發者和研究者的工資和懸賞,以及投入密碼學貨币生态系統的項目。
0.099x (x為發售總量)将被配置設定給BTC融資或其它的确定性融資成功之前參與開發的早期貢獻者,另外一個0.099x将配置設定給長期研究項目。
自上線時起每年都将有0.26x(x為發售總量)被礦工挖出。
發行分解
永久線性增長模型降低了在比特币中出現的财富過于集中的風險,并且給予了活在當下和将來的人公平的機會去擷取貨币,同時保持了對擷取和持有以太币的激勵,因為長期來看“貨币供應增長率”是趨于零的。我們還推斷,随着時間流逝總會發生因為粗心和死亡等原因帶來的币的遺失,假設币的遺失是每年貨币供應量的一個固定比例,則最終總的流通中的貨币供應量會穩定在一個等于年貨币發行量除以遺失率的值上(例如,當遺失率為1%時,當供應量達到30x時,每年有0.3x被挖出同時有0.3x丢失,達到一個均衡)。
Group At launch After 1 year After 5 years
Currency units 1.198X 1.458X 2.498X
Purchasers 83.5% 68.6% 40.0%
Reserve spent pre-sale 8.26% 6.79% 3.96%
Reserve used post-sale 8.26% 6.79% 3.96%
Miners 0% 17.8% 52.0%
除了線性的發行方式外,和比特币一樣以太币的的供應量增長率長期來看也趨于零。
挖礦的中心化
比特币挖礦算法基本上是讓礦工千萬次地輕微改動區塊頭,直到最終某個節點的改動版本的哈希小于目标值(目前是大約2190)。然而,這種挖礦算法容易被兩種形式的中心化攻擊。第一種,挖礦生态系統被專門設計的因而在比特币挖礦這一特殊任務上效率提高上千倍的ASICs(專用內建電路)和電腦晶片控制。這意味着比特币挖礦不再是高度去中心化的和追求平等主義的,而是需要巨額資本的有效參與。第二種,大部分比特币礦工事實上不再在本地完成區塊驗證;而是依賴中心化的礦池提供區塊頭。這個問題可以說很嚴重:在本文寫作時,最大的兩個礦池間接地控制了大約全網50%的算力,雖然當一個礦池或聯合體嘗試51%攻擊時礦工可以轉換到其它礦池這一事實減輕了問題的嚴重性。
以太坊現在的目的是使用一個基于為每1000個随機數随機産生唯一哈希的函數的挖礦算法,用足夠寬的計算域,去除專用硬體的優勢。這樣的政策當然不會使中心化的收益減少為零,但是也不需要。注意每單個使用者使用他們的私人筆記本電腦或桌上型電腦就可以幾乎免費地完成一定量的挖礦活動,但當到了100%的CPU使用率之後更多地挖礦就會需要他們支付電力和硬體成本。ASIC挖礦公司需要從第一個哈希開始就為電力和硬體支付成本。是以,如果中心化收益能夠保持在(E + H) /E 以下,那麼即使ASICs被制造出來普通礦工依然有生存空間。另外,我們計劃将挖礦算法設計成挖礦需要通路整個區塊鍊,迫使礦工存儲完成的區塊鍊或者至少能夠驗證每筆交易。這去除了對中心化礦池的需要;雖然礦池依然可以扮演平滑收益配置設定的随機性的角色,但這功能可以被沒有中心化控制的P2P礦池完成地同樣好。這樣即使大部分普通使用者依然傾向選擇輕用戶端,通過增加網絡中的全節點數量也有助于抵禦中心化。
擴充性
擴充性問題是以太坊常被關注的地方,與比特币一樣,以太坊也遭受着每個交易都需要網絡中的每個節點處理這一困境的折磨。比特币的目前區塊鍊大小約為20GB,以每小時1MB的速度增長。如果比特币網絡處理Visa級的2000tps的交易,它将以每三秒1MB的速度增長(1GB每小時,8TB每年)。以太坊可能也會經曆相似的甚至更糟的增長模式,因為在以太坊區塊鍊之上還有很多應用,而不是像比特币隻是簡單的貨币,但以太坊全節點隻需存儲狀态而不是完整的區塊鍊曆史這一事實讓情況得到了改善。
大區塊鍊的問題是中心化風險。如果塊鍊大小增加至比如100TB,可能的場景将是隻有非常小數目的大商家會運作全節點,而正常使用者使用輕的SPV節點。這會增加對全節點合夥欺詐牟利(例如更改區塊獎勵,給他們自己BTC)的風險的擔憂。輕節點将沒有辦法立刻檢測到這種欺詐。當然,至少可能存在一個誠實的全節點,并且幾個小時之後有關詐騙的資訊會通過Reddit這樣的管道洩露,但這時已經太晚:任憑普通使用者做出怎樣的努力去廢除已經産生的區塊,他們都會遇到與發動一次成功的51%攻擊同等規模的巨大的不可行的協調問題。在比特币這裡,現在這是一個問題,但Peter Todd建議的一個改動可以緩解這個問題。
近期,以太坊會使用兩個附加的政策以應對此問題。首先,因為基于區塊鍊的挖礦算法,至少每個礦工會被迫成為一個全節點,這保證了一定數量的全節點。其次,更重要的是,處理完每筆交易後,我們會把一個中間狀态樹的根包含進區塊鍊。即使區塊驗證是中心化的,隻要有一個誠實的驗證節點存在,中心化的問題就可以通過一個驗證協定避免。如果一個礦工釋出了一個不正确的區塊,這區塊要麼是格式錯,要麼狀态S[n]是錯的。因為S[0]是正确的,必然有第一個錯誤狀态S[i]但S[i-1]是正确的,驗證節點将提供索引i,一起提供的還有處理APPLY(S[i-1],TX[i]) -> S[i]所需的帕特裡夏樹節點的子集。這些節點将受命進行這部分計算,看産生的S[i]與先前提供的值是否一緻。
另外,更複雜的是惡意礦工釋出不完整區塊進行攻擊,造成沒有足夠的資訊去确定區塊是否正确。解決方案是質疑-回應協定:驗證節點對目标交易索引發起質疑,接受到質疑資訊的輕節點會對相應的區塊取消信任,直到另外一個礦工或者驗證者提供一個帕特裡夏節點子集作為正确的證據。
綜述:去中心化應用
上述合約機制使得任何一個人能夠在一個虛拟機上建立通過全網共識來運作指令行應用(從根本上來說是),它能夠更改一個全網可通路的狀态作為它的“硬碟”。然而,對于多數人來說,用作交易發送機制的指令行接口缺乏足夠的使用者友好使得去中心化成為有吸引力的替代方案。最後,一個完整的“去中心化應用”應該包括底層的商業邏輯元件【無論是否在以太坊完整實施,使用以太坊和其它系統組合(如一個P2P消息層,其中一個正在計劃放入以太坊用戶端)或者僅有其它系統的方式】和上層的圖形使用者接口元件。以太坊用戶端被設計成一個網絡浏覽器,但包括對“eth” Javascript API對象的支援,可被用戶端裡看到的特定的網頁用來與以太坊區塊鍊互動。從“傳統”網頁的角度看來,這些網頁是完全靜态的内容,因為區塊鍊和其它去中心化協定将完全代替伺服器來處理使用者發起的請求。最後,去中心化協定有希望自己利用某種方式使用以太坊來存儲網頁。
結論
以太坊協定最初是作為一個通過高度通用的語言提供如鍊上契約,提現限制和金融合約,賭博市場等進階功能的更新版密碼學貨币來構思的。以太坊協定将不直接“支援”任何應用,但圖靈完備程式設計語言的存在意味着理論上任意的合約都可以為任何交易類型和應用建立出來。然而關于以太坊更有趣的是,以太坊協定比單純的貨币走得更遠,圍繞去中心化存儲,去中心化計算和去中心化預測市場以及數十個類似概念建立的協定和去中心化應用,有潛力從根本上提升計算行業的效率,并通過首次添加經濟層為其它的P2P協定提供有力支撐,最終,同樣會有大批與金錢毫無關系的應用出現。
以太坊協定實作的任意狀态轉換概念提供了一個具有獨特潛力的平台;與封閉式的,為諸如資料存儲,賭博或金融等單一目的設計的協定不同,以太坊從設計上是開放式的,并且我們相信它極其适合作為基礎層服務于在将來的年份裡出現的極其大量的金融和非金融協定。
注解與進階閱讀
注解
1.一個有經驗的讀者會注意到事實上比特币位址是橢圓曲線公鑰的哈希,而非公鑰本身,然而事實上從密碼學術語角度把公鑰哈希稱為公鑰完全合理。這是因為比特币密碼學可以被認為是一個定制的數字簽名算法,公鑰由橢圓曲線公鑰的哈希組成,簽名由橢圓曲線簽名連接配接的橢圓曲線公鑰組成,而驗證算法包括用作為公鑰提供的橢圓曲線公鑰哈希來檢查橢圓曲線公鑰,以及之後的用橢圓曲線公鑰來驗證橢圓曲線簽名。
2.技術上來說,前11個區塊的中值。
3.在内部,2和“CHARLIE”都是數字,後一個有巨大的base256編碼格式,數字可以從0到2^256-1。
![Hyperledger Fabric(術語表)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)