□ 文 希爾維奧·米卡利

SILVIOMICALI

希爾維奧·米卡利

本刊編輯部：希爾維奧·米卡利（Silvio Micali）是圖靈獎(jiǎng)（計(jì)算機(jī)科學(xué)）、哥德爾獎(jiǎng)（理論計(jì)算機(jī)科學(xué)）和RSA獎(jiǎng)（密碼學(xué)）的獲得者，是美國(guó)國(guó)家科學(xué)院、美國(guó)國(guó)家工程學(xué)院、美國(guó)藝術(shù)與科學(xué)學(xué)院院士，也是意大利最高學(xué)術(shù)研究機(jī)構(gòu)“林琴科學(xué)院”院士。

希爾維奧·米卡利（Silvio Micali）院士，圖靈獎(jiǎng)（計(jì)算機(jī)科學(xué)）、哥德爾獎(jiǎng)（理論計(jì)算機(jī)科學(xué)）和RSA獎(jiǎng)（密碼學(xué)）的獲得者，麻省理工學(xué)院教授，Algorand公司創(chuàng)始人。

自1983年以來(lái)，希爾維奧·米卡利院士一直在麻省理工學(xué)院電子工程和計(jì)算機(jī)科學(xué)系任教，研究領(lǐng)域包括密碼學(xué)、零知識(shí)、偽隨機(jī)生成、拜占庭協(xié)議、安全協(xié)議、機(jī)制設(shè)計(jì)和分布式賬本。他是概率加密、零知識(shí)證明、可驗(yàn)證隨機(jī)函數(shù)等多種密碼協(xié)議的共同發(fā)明人，這些協(xié)議是現(xiàn)代密碼學(xué)的核心構(gòu)件。

希爾維奧·米卡利院士也是Algorand公司的創(chuàng)始人。Algorand是一個(gè)全新的區(qū)塊鏈系統(tǒng)平臺(tái)，根據(jù)創(chuàng)新理念研發(fā)而成，同時(shí)實(shí)現(xiàn)真正的去中心化、可擴(kuò)展性和安全性。

經(jīng)希爾維奧·米卡利院士本人同意和授權(quán)，本刊登載他的近期演講，以饗讀者，全文如下。

一個(gè)巨大的機(jī)會(huì)！

今天，有一個(gè)巨大的機(jī)會(huì)重新啟動(dòng)世界金融系統(tǒng)。數(shù)據(jù)網(wǎng)絡(luò)的速度比以往任何時(shí)候都要快：一條消息能夠以可忽略的成本在不到一秒內(nèi)傳遍全球。然而，資金的流動(dòng)卻一點(diǎn)都沒有加快。一個(gè)簡(jiǎn)單的金融交易可能需要幾天時(shí)間才能完成。這個(gè)過(guò)程也很昂貴：每年有5萬(wàn)億美元浪費(fèi)在各類交易費(fèi)用上。全世界有22億人無(wú)法獲得現(xiàn)代金融服務(wù)：他們的交易規(guī)模太小，銀行無(wú)法盈利。

有了正確的技術(shù)，我們可以做得更好。

區(qū)塊鏈承諾。近幾年來(lái)，開發(fā)商和創(chuàng)新者已經(jīng)預(yù)感到，正確的技術(shù)就是區(qū)塊鏈；區(qū)塊鏈?zhǔn)菢?gòu)建一個(gè)更高效、更具包容性的金融體系的關(guān)鍵。簡(jiǎn)單地說(shuō)，區(qū)塊鏈就是一個(gè)公共分類賬。它是以區(qū)塊為單位組織管理的一系列交易，保證了三個(gè)基本屬性：

◆ 每個(gè)人都能讀取每一個(gè)區(qū)塊，所以區(qū)塊成為了共享的知識(shí)；

◆ 每個(gè)人都可以在將來(lái)的區(qū)塊中編寫交易；

◆ 任何人都不能更改區(qū)塊中的交易或者區(qū)塊順序。

因此，既不是讓中央機(jī)構(gòu)維護(hù)一個(gè)隱藏的數(shù)據(jù)庫(kù)，就像銀行那樣，也不是讓交易通過(guò)秘密數(shù)據(jù)庫(kù)層以便清除，我們可以擁有一個(gè)可供所有人閱讀的單一公共分類賬，其中每個(gè)人都可以寫入數(shù)據(jù)，但沒有人可以改變已經(jīng)寫入的內(nèi)容。有了這些特性，區(qū)塊鏈的應(yīng)用基本上是不受限制的。實(shí)際上，區(qū)塊鏈技術(shù)可以帶來(lái)更快、更便宜、更安全、無(wú)國(guó)界的經(jīng)濟(jì)。

明顯的三元悖論。到目前為止，區(qū)塊鏈在很大程度上仍然是渴望成功的。也許今天區(qū)塊鏈抱負(fù)性的最好證據(jù)就是著名的區(qū)塊鏈三元悖論。根據(jù)2000年的證據(jù)和迄今為止的區(qū)塊鏈項(xiàng)目，三元悖論實(shí)質(zhì)上表明，現(xiàn)有的區(qū)塊鏈最多可以提供以下三種屬性中的兩種：安全性、可擴(kuò)展性、分權(quán)。

事實(shí)上，在三元悖論中沒有好的選擇。如果沒有分權(quán)，我們今天仍然停留在已經(jīng)存在的金融體系中：排他性和隱秘性。沒有安全性，交易區(qū)塊可能會(huì)消失：提供貨物或服務(wù)的人可能會(huì)發(fā)現(xiàn)已經(jīng)收到的這些貨物和服務(wù)的付款已經(jīng)消失；債務(wù)可能會(huì)被抹去；公共分類賬可能會(huì)被對(duì)手篡改以謀取自身利益。如果沒有可擴(kuò)展性，你將只能使用小型網(wǎng)絡(luò)進(jìn)行交易并且無(wú)法參與全球金融體系。任何用戶都不應(yīng)該考慮在這些基本屬性上妥協(xié)。

成本、速度和安全。誠(chéng)然，安全性、可擴(kuò)展性和分權(quán)不是獨(dú)立的變量，而是相互關(guān)聯(lián)的變量。它們共同影響對(duì)個(gè)人和機(jī)構(gòu)用戶都很重要的標(biāo)準(zhǔn)：即速度、安全性和成本。

不快速的區(qū)塊鏈?zhǔn)菬o(wú)法擴(kuò)展的。但通過(guò)增加成本來(lái)保證速度并不是一個(gè)解決方案：一個(gè)運(yùn)營(yíng)成本過(guò)高的區(qū)塊鏈無(wú)法擴(kuò)展。事實(shí)上，如果成本由每個(gè)人承擔(dān)，那么幾乎沒有人會(huì)加入?yún)^(qū)塊鏈。如果成本僅限于幾個(gè)實(shí)體，那么系統(tǒng)將是集中的。任何一個(gè)集中式系統(tǒng)都是不安全的，因?yàn)楦俚哪繕?biāo)比數(shù)百萬(wàn)個(gè)目標(biāo)更容易受到攻擊。

好消息。幸運(yùn)的是，三元悖論僅僅是對(duì)過(guò)去的描述，同時(shí)也是對(duì)三個(gè)屬性難以同時(shí)實(shí)現(xiàn)的建議。Algorand很高興建立了一個(gè)能夠提供所有三種屬性的區(qū)塊鏈。

區(qū)塊鏈的挑戰(zhàn)。區(qū)塊鏈中有兩種不同的需求。第一個(gè)是防止區(qū)塊鏈被篡改。這一需求

已經(jīng)通過(guò)密碼學(xué)中最簡(jiǎn)單古老的原語(yǔ)之一，即單向散列函數(shù)來(lái)解決。本質(zhì)上，最新區(qū)塊的散列值作為一部分被包含在下一個(gè)區(qū)塊中。所有區(qū)塊鏈都采用這種方法，因此在這方面都是平等的。

第二個(gè)需求是生成新區(qū)塊：如何選擇要附加到鏈上的新區(qū)塊。這是真正的挑戰(zhàn)，不同的區(qū)塊鏈有不同的方法。

新的區(qū)塊應(yīng)該包含一組到目前為止尚未出現(xiàn)在區(qū)塊鏈中的有效交易。問題是，在任何時(shí)間點(diǎn)，兩個(gè)用戶可能已經(jīng)看到相同的區(qū)塊序列，但可能看到不同的新交易。這種情況是因?yàn)?，在分布式分類賬中，每個(gè)交易不是通過(guò)網(wǎng)絡(luò)即時(shí)傳播的。通常，它從每個(gè)用戶發(fā)送到其他幾個(gè)用戶，然后這些用戶再將其發(fā)送到其他用戶，直到交易到達(dá)所有用戶。因此，在每個(gè)時(shí)間點(diǎn)，不同用戶看到的新的有效交易集可能不同，即使它們具有顯著的重疊。

總之，用戶U可能認(rèn)為新區(qū)塊應(yīng)該是BlockU，用戶V則認(rèn)為它應(yīng)該是BlockV。那么，誰(shuí)設(shè)想的區(qū)塊應(yīng)該附加到鏈上？

流行的現(xiàn)有方法及其致命缺陷。選擇下一個(gè)區(qū)塊的方法多種多樣：特別是，工作證明（PoW）、委托權(quán)益證明（DPoS）和擔(dān)保權(quán)益證明（BPoS）。然而，所有這些方法都有一個(gè)致命缺陷：整體經(jīng)濟(jì)受小部分經(jīng)濟(jì)的支配。

這一缺陷是致命的，因?yàn)樗婕鞍踩院头謾?quán)。讓整體經(jīng)濟(jì)的命運(yùn)任由一小部分經(jīng)濟(jì)的擺布是一個(gè)定時(shí)炸彈。可以肯定的是，如果這些成員行為不端，他們會(huì)使經(jīng)濟(jì)中的所有資產(chǎn)貶值，包括他們自己的資產(chǎn)。但是，如果他們自己的資產(chǎn)只占整體經(jīng)濟(jì)的一小部分，他們可能很容易彌補(bǔ)自身的損失，增加一些利潤(rùn)，并對(duì)他人造成巨大的損害。一個(gè)經(jīng)濟(jì)體的小子集不應(yīng)該能夠控制整個(gè)經(jīng)濟(jì)。

讓我解釋一下這個(gè)缺陷是如何在以前的方法中產(chǎn)生的。

工作證明（PoW）。第一種方法是工作證明，被中本聰用于構(gòu)建Bitcoin并由許多其他區(qū)塊鏈繼承。在該方法中，在很高的層次上，用戶競(jìng)相解決一個(gè)非常復(fù)雜的密碼難題。第一個(gè)解決謎題的人有權(quán)將下一個(gè)區(qū)塊附加到鏈上。PoW有幾個(gè)缺陷：

第一個(gè)缺陷：PoW不可擴(kuò)展。PoW的過(guò)程很慢。比特幣的密碼難題被設(shè)置的難度較大，以保證每隔10分鐘才找到一個(gè)解決方案，無(wú)論有多少礦工試圖解決該難題。我們能夠理解昂貴且快速。但是昂貴且緩慢卻難以理解。世界很大，每10分鐘僅有一筆交易肯定是不夠的。

第二個(gè)缺陷：PoW導(dǎo)致事實(shí)上的集中化。PoW引起了極大的權(quán)力集中。這種集中化是PoW既昂貴又浪費(fèi)的后果。礦工，即試圖解決密碼難題的用戶，所執(zhí)行的計(jì)算量令人驚嘆。今天，采礦利用的是專用硬件，耗電量巨大。一個(gè)礦工贏得比賽并產(chǎn)生了新的區(qū)塊，而其他所有人的努力都白費(fèi)了。如果沒有比特幣目前提供的補(bǔ)貼，在比特幣區(qū)塊鏈上發(fā)布一筆交易的成本約為20美元。如果你想使用區(qū)塊鏈進(jìn)行日常交易，比如購(gòu)買一塊比薩餅，或者如果你想使用它為當(dāng)前沒有獲得金融系統(tǒng)服務(wù)的那22億人提供金融服務(wù)，那么這條路就走不通了。

如果普通用戶試圖用筆記本電腦解決密碼難題，他肯定會(huì)賠錢的。無(wú)論輸贏，他都必須為筆記本電腦運(yùn)算所需電力支付費(fèi)用。這個(gè)電量可能不大，但他獲勝的概率很小，他會(huì)賠錢是預(yù)料之中的事。

只有已經(jīng)花費(fèi)了必要的資本支出來(lái)購(gòu)買專業(yè)采礦設(shè)備的專業(yè)礦工才有希望賺取一點(diǎn)利潤(rùn)。因此，只有他們參與區(qū)塊生成。此外，礦工們會(huì)在礦池中聯(lián)合起來(lái)。

如今，比特幣的區(qū)塊鏈僅由三個(gè)礦池控制，以太坊僅由兩個(gè)礦池控制。如果他們自主作惡或受賄作惡，這些礦池可以重寫數(shù)據(jù)庫(kù)：他們可以刪除區(qū)塊或更改區(qū)塊順序。PoW已經(jīng)把分散的系統(tǒng)變成了一個(gè)極為集中的系統(tǒng)。

第三個(gè)缺陷：PoW是不安全的。正如我們所說(shuō)，任何集中的區(qū)塊鏈，無(wú)論是設(shè)計(jì)上還是事實(shí)上，都是不安全的。但PoW還有其他漏洞，并且它特別容易受到網(wǎng)絡(luò)攻擊。區(qū)塊鏈最終是一種通信協(xié)議，任何此類協(xié)議都在底層通信網(wǎng)絡(luò)上執(zhí)行。因此，對(duì)手可以攻擊協(xié)議（例如，通過(guò)發(fā)送不同于規(guī)定的消息）或通信網(wǎng)絡(luò)本身（例如，通過(guò)干擾路由器、電纜等）。

由于目前分析區(qū)塊鏈安全性的方法存在缺陷，因此PoW的不安全性可能被低估了。這種分析通常只關(guān)注協(xié)議攻擊而忽略了網(wǎng)絡(luò)攻擊，特別是在PoW的環(huán)境中，這些攻擊可能是致命的。例如，在一個(gè)PoW區(qū)塊鏈中，一個(gè)能夠?qū)⑼ㄐ啪W(wǎng)絡(luò)分區(qū)長(zhǎng)達(dá)一個(gè)或兩個(gè)小時(shí)的敵手可以雙重花費(fèi)而不受懲罰。在成功的分區(qū)攻擊中，敵手阻止屬于用戶組A的用戶發(fā)送的消息到達(dá)另一用戶組B中的用戶，反之亦然。網(wǎng)絡(luò)分區(qū)并沒有引起太多的注意，因?yàn)樗徽J(rèn)為過(guò)于昂貴而不實(shí)用。但是，一旦收益足夠高，網(wǎng)絡(luò)攻擊的成本可能是合理的。一個(gè)真正的無(wú)國(guó)界經(jīng)濟(jì)體的價(jià)值可能高達(dá)數(shù)萬(wàn)億美元。如果對(duì)手想非法獲得數(shù)十億美元，他可能愿意“投資”數(shù)百萬(wàn)美元。

第四個(gè)缺陷：分叉。PoW的另一個(gè)缺陷是不可避免地存在分叉。每當(dāng)兩個(gè)或多個(gè)用戶幾乎同時(shí)（互相只差幾秒鐘）解決密碼難題時(shí)，區(qū)塊鏈就會(huì)分叉，因?yàn)橛脩衄F(xiàn)在可能看到下一個(gè)塊的多個(gè)候選者。分叉可能會(huì)持續(xù)存在一段時(shí)間，它的所有分支甚至可以通過(guò)添加新的區(qū)塊來(lái)增長(zhǎng)。但最終，除了一條主鏈以外的其他所有鏈條都會(huì)失去有效性，這些鏈條里的所有區(qū)塊都會(huì)消失。

分叉是不確定性和延遲的不受歡迎的結(jié)果。如果支付給你的款項(xiàng)出現(xiàn)在添加到鏈上的最新區(qū)塊中，你不能認(rèn)為自己已收到款項(xiàng)并發(fā)貨。這是因?yàn)槟承┓种Э赡軙?huì)戰(zhàn)勝當(dāng)前主鏈，而你的交易所在的區(qū)塊可能最終會(huì)變成一個(gè)無(wú)效分支，從而消失。在考慮你自身的支付之前，你需要等待一系列的區(qū)塊被添加到你的區(qū)塊之后，以便盡可能減少軟分叉出現(xiàn)并且包含你的支付交易的區(qū)塊最終消失的可能性。

那么你應(yīng)該等多久呢？有些人建議在你的區(qū)塊之后等待添加六個(gè)區(qū)塊，以確保你的區(qū)塊仍在鏈上。其他人建議，如果支付給你的款項(xiàng)是可觀的，等待時(shí)間甚至需要更長(zhǎng)。因此，并非等上十分鐘就可以對(duì)交易的最終結(jié)果有合理的信心，實(shí)際上你得等上幾個(gè)小時(shí)。

一些人建議，為了加快這個(gè)過(guò)程，可以將密碼難題設(shè)置得更容易，例如，使每1分鐘，而不是每10分鐘，找到一個(gè)解決方案成為可能。然而，這樣做會(huì)使得在兩個(gè)解幾乎同時(shí)出現(xiàn)的概率大大增加。系統(tǒng)可以處理偶爾出現(xiàn)的軟分叉，但是無(wú)法處理非常頻繁的分叉。

費(fèi)用、緩慢和不確定性確實(shí)是PoW方法的主要缺陷，但與其致命缺陷相比，這些缺陷顯得蒼白無(wú)力。

PoW中的致命缺陷?；叵胍幌乱呀?jīng)討論過(guò)的致命缺陷：整體經(jīng)濟(jì)受小部分經(jīng)濟(jì)的支配。在PoW中，這一小部分經(jīng)濟(jì)是由礦工擁有的。由于礦工在PoW區(qū)塊鏈中只擁有一小部分資金，因此區(qū)塊鏈并不安全。

委托權(quán)益證明（DPoS）。另一種方法是委托權(quán)益證明（DPoS）。這是一個(gè)非常簡(jiǎn)單的想法。社區(qū)授權(quán)一些特殊用戶和代表在一段時(shí)間內(nèi)去選擇下一個(gè)要上鏈的區(qū)塊。（例如，在EOS中，代表的數(shù)量是21位。）

因此，DPOS從一開始就是集中化的。選出的代表一開始就是誠(chéng)實(shí)的是有希望的。然而，依賴代表們長(zhǎng)期保持誠(chéng)實(shí)是有風(fēng)險(xiǎn)的。

我們?cè)僖淮慰吹?，整體經(jīng)濟(jì)受一小部分經(jīng)濟(jì)的支配。事實(shí)上，在一個(gè)DPOS區(qū)塊鏈中，代表可能擁有系統(tǒng)中總資金的一小部分，但是，當(dāng)且僅當(dāng)大多數(shù)代表是誠(chéng)實(shí)的，整個(gè)區(qū)塊鏈才是安全的。

其他的安全問題。即使假設(shè)有一個(gè)堅(jiān)固的保證，所有代表將永遠(yuǎn)保持誠(chéng)實(shí)，他們也很容易受到攻擊。特別是，拒絕服務(wù)（DoS）攻擊可能會(huì)使它們失效。在這樣的攻擊中，一個(gè)敵手用無(wú)數(shù)的垃圾信息轟炸他選擇的任一用戶，導(dǎo)致該用戶的緩沖區(qū)溢出。如果一個(gè)代表被如此攻擊，他將無(wú)法執(zhí)行他的工作，即將新的有效交易打包到下一個(gè)區(qū)塊中。區(qū)塊鏈將逐漸停止。

DoS攻擊非常便宜，可以立即對(duì)21人甚至1000人發(fā)起攻擊。既然代表是已知的，即使他們只掌權(quán)一天、一小時(shí)或一分鐘，一個(gè)有決心的敵手可以通過(guò)DoS攻擊來(lái)?yè)魸⑺写怼?/p>

擔(dān)保權(quán)益證明（BPoS）。擔(dān)保POS允許20個(gè)，200個(gè)，甚至盡可能多的用戶，把一些錢，一個(gè)擔(dān)保放在一個(gè)他再也不觸碰的地方，如桌子上。這些人是代表我們所有人選擇下一個(gè)塊的用戶。如果他們行為不端，他們的錢就會(huì)被沒收。

這種方法有效嗎？讓我問一個(gè)更簡(jiǎn)單的問題：你的可支配收入中，有多少可以用來(lái)?yè)?dān)保？答案是很少。因此，BPOS不僅使其成為可能，而且實(shí)際上也使有錢的大盜通過(guò)將不成比例的資金放在桌子上來(lái)更容易地控制區(qū)塊鏈。

但那又怎樣？如果他們行為不端，就會(huì)損失他們的保證金。然而，一個(gè)真正去中心化、可擴(kuò)展和安全的區(qū)塊鏈應(yīng)該能確保數(shù)萬(wàn)億美元的資產(chǎn)。而通過(guò)行為不端，一個(gè)惡意用戶可以賺到幾十億美元。既然如此，你認(rèn)為他會(huì)害怕被沒收幾百萬(wàn)美元嗎？這只是做生意的代價(jià)，而且代價(jià)很小。

再一次，在BPOS中，我們有著同樣致命的缺陷：整體經(jīng)濟(jì)受一小部分經(jīng)濟(jì)的支配。事實(shí)上，在一個(gè)BPOS上，這一小部分經(jīng)濟(jì)由“放在桌上的錢”（的擁有者）組成。

總之，以前的方法有幾個(gè)缺陷。我們需要更好的設(shè)計(jì)。

Algorand的邏輯和純粹權(quán)益證明（PPoS）。Algorand的邏輯很簡(jiǎn)單：它將整體經(jīng)濟(jì)的安全與大多數(shù)經(jīng)濟(jì)體的誠(chéng)實(shí)聯(lián)系在一起，使一小部分經(jīng)濟(jì)體不可能控制整個(gè)經(jīng)濟(jì)體的命運(yùn)。

Algorand基于一個(gè)新的權(quán)益證明：純粹PoS（PPoS）。本質(zhì)上，PPoS不會(huì)因?yàn)楹ε铝P款而試圖讓用戶保持誠(chéng)實(shí)。相反，它使得利用少量的錢作弊變得不可能，而利用大量的錢作弊則是愚蠢的。

在Algorand，沒有錢被質(zhì)押。所有的錢總是在它應(yīng)該在的地方：在你的錢包里，在你的指尖準(zhǔn)備花費(fèi)，或者在Algorand區(qū)塊鏈提供給你的各種金融工具里。當(dāng)你考慮到系統(tǒng)中的所有資金時(shí)，不管它在哪里，當(dāng)大部分資金都在誠(chéng)實(shí)者的手中時(shí)，系統(tǒng)就是安全的。

正如我們所說(shuō)的，一小部分錢的擁有者不可能損害整個(gè)系統(tǒng)，而對(duì)于大多數(shù)錢的擁有者，試圖作弊從而使自己的財(cái)產(chǎn)貶值是愚蠢的。

例如，在PoW或BPOS中，少數(shù)用戶可以阻止其他用戶進(jìn)行交易。在Algorand，只有擁有大部分資金的人才能阻止其他用戶進(jìn)行交易。但如果他們這樣做，貨幣的聲譽(yù)將受到極大損害，貨幣將不再被普遍接受，其購(gòu)買力也將大打折扣。對(duì)擁有大部分資金的人來(lái)說(shuō)，這不是一個(gè)好結(jié)果。

實(shí)現(xiàn)PPoS。現(xiàn)在讓我們來(lái)看看Algorand是如何使用PPoS來(lái)選擇下一個(gè)區(qū)塊的。還記得三元悖論嗎？我們希望區(qū)塊生成可以同時(shí)具有可擴(kuò)展性、安全性和分權(quán)。

在很高的層次上，在Algorand中，一個(gè)新的區(qū)塊是分兩個(gè)階段構(gòu)造的。在第一階段中，隨機(jī)選擇單個(gè)令牌，其所有者是提出下一個(gè)區(qū)塊的用戶。在第二階段，在系統(tǒng)中當(dāng)前的所有令牌中選擇1000個(gè)令牌。這1000個(gè)令牌的所有者被選為第二階段“委員會(huì)”的一部分，該委員會(huì)負(fù)責(zé)批準(zhǔn)第一個(gè)用戶提出的塊。委員會(huì)的某些成員可以被選中兩次或更多，一般是k次，在這種情況下，該成員將在委員會(huì)中擁有k票批準(zhǔn)下一個(gè)區(qū)塊。

為什么第二階段是必要的？在任何一個(gè)社會(huì)，區(qū)塊鏈也不例外，總會(huì)有一小部分不良行為者被發(fā)現(xiàn)；比如說(shuō)1%，也可能是2%。如果一個(gè)人不幸地生活在一個(gè)非常危險(xiǎn)的社會(huì)，其中，10%可能是不良行為者。甚至可能是20%！但是，在任何社會(huì)中，不良行為者都不會(huì)占多數(shù)；否則，就不會(huì)存在一個(gè)社會(huì)。只要社會(huì)的大多數(shù)成員遵守規(guī)定的規(guī)則，社會(huì)就存在。

假設(shè)Algorand的代幣中有10%屬于不誠(chéng)實(shí)的人。然后，每十次中就有一次，在階段1中被選中來(lái)提出區(qū)塊的用戶可能是不良行為者。因此，他可能會(huì)告訴一些用戶該塊是X，而告訴其他用戶該塊是Y等等，從而產(chǎn)生關(guān)于什么是主鏈的分歧。

第二階段消除了這個(gè)問題。事實(shí)上，如果你在不誠(chéng)實(shí)一方的手中最多有10%的代幣的情況下隨機(jī)選擇1000個(gè)代幣，那么所選硬幣中的大多數(shù)屬于不良行為者的概率，也就是說(shuō)，委員會(huì)大多數(shù)選票由不良行為者投下的概率很低，可以忽略不計(jì)。

假設(shè)這一輪，你沒有被選中提出一個(gè)區(qū)塊。你也沒有被選為委員會(huì)的一員來(lái)參與批準(zhǔn)所提議的區(qū)塊。但是你看到一個(gè)給定的區(qū)塊B已經(jīng)被批準(zhǔn)，例如，委員會(huì)700票通過(guò)。那么，你知道B確實(shí)會(huì)是下一個(gè)區(qū)塊。

關(guān)鍵問題。在這種高層次的描述中，自然會(huì)出現(xiàn)幾個(gè)問題。讓我們從最明顯的一個(gè)開始：誰(shuí)隨機(jī)選擇委員會(huì)？假設(shè)我告訴你是由我來(lái)操作，你可能會(huì)說(shuō)“這是有史以來(lái)最集中的系統(tǒng)，你就是它的中心！”假設(shè)我告訴你，所有用戶都會(huì)參與選擇討論，直到他們就1000名委員會(huì)成員達(dá)成一致意見。那么你可能會(huì)告訴我，人性就是這樣，一輩子都不足以選出我們所需要的1000名委員會(huì)成員。

Algorand采取了一種非傳統(tǒng)的做法：委員會(huì)成員自行選擇。你可能會(huì)想“什么？那是個(gè)可怕的主意！因?yàn)槿绻沂且粋€(gè)不良行為者，我會(huì)一致選擇自己成為這個(gè)委員會(huì)的成員，周而復(fù)始?！钡⒎悄敲纯?。

要加入這個(gè)委員會(huì)，你的一枚硬幣必須贏得一個(gè)你在自己的電腦中以隔離的方式獨(dú)立運(yùn)行（即，不與任何人交談）的單獨(dú)的，密碼公平的抽獎(jiǎng)。由于抽獎(jiǎng)是密碼公平的，你無(wú)法改變被選中的機(jī)率（即使是一個(gè)擁有巨大計(jì)算資源的國(guó)家也無(wú)法提高被選中的概率）。

例如，為了從10,000,000,000個(gè)令牌中選擇1,000個(gè)隨機(jī)令牌，每個(gè)令牌被選中的概率為1,000 / 10,000,000,000，即以1000萬(wàn)分之一的概率選擇。

因此，一旦用戶看到一個(gè)區(qū)塊被提出，她就會(huì)問自己：我能被選中成為負(fù)責(zé)批準(zhǔn)該區(qū)塊的委員會(huì)的成員嗎？我有多少票？

為了回答這些問題，她在筆記本電腦上對(duì)自己擁有的每一個(gè)代幣進(jìn)行加密抽獎(jiǎng)。（如果一個(gè)用戶有n個(gè)代幣，附加技術(shù)基本上允許她運(yùn)行1個(gè)抽獎(jiǎng)，而不是n個(gè)單獨(dú)的抽獎(jiǎng)?。?/p>

一旦用戶運(yùn)行了她的抽獎(jiǎng)，就會(huì)發(fā)生以下兩種情況之一：1）她的任何代幣都無(wú)法贏得抽獎(jiǎng)，在這種情況下，她對(duì)區(qū)塊的任何看法都將被忽略；2）有k＞1的代幣贏得彩票，在這種情況下，她獲得了中獎(jiǎng)彩票，即每個(gè)人都可以輕松驗(yàn)證她在委員會(huì)中擁有k票的簡(jiǎn)短證明。在后一種情況下，她通過(guò)網(wǎng)絡(luò)傳播（i）證明她擁有k票的中獎(jiǎng)彩票，以及（ii）對(duì)區(qū)塊的看法。

解決三元悖論。我要說(shuō)的是，這種粗略的方法，最終！達(dá)成了同時(shí)實(shí)現(xiàn)可擴(kuò)展性、安全性和分權(quán)。

可擴(kuò)展性。用戶運(yùn)行自己的抽獎(jiǎng)需要多長(zhǎng)時(shí)間？無(wú)論她有多少令牌，大約有1微秒。這確實(shí)是十分快速的。（此外，所有的抽獎(jiǎng)都是彼此獨(dú)立運(yùn)行的，因此用戶無(wú)需等待其他用戶完成其抽獎(jiǎng)的運(yùn)行。）

一旦選定，每個(gè)成員都將向網(wǎng)絡(luò)傳播一條簡(jiǎn)短的即時(shí)計(jì)算的消息。因此，無(wú)論系統(tǒng)中有多少用戶，需要傳播的最大消息數(shù)是1000條短消息。這是可伸縮的嗎？是的！

安全性?，F(xiàn)在我們來(lái)談?wù)劙踩浴＜僭O(shè)我是一個(gè)非常強(qiáng)大的對(duì)手，能夠在任何時(shí)候極其迅速地破壞用戶。顯然，我很想破壞委員會(huì)的成員，但是我有一個(gè)問題：我不知道他們是誰(shuí)。

之所以如此，是因?yàn)槲瘑T會(huì)成員是通過(guò)秘密運(yùn)行的，密碼學(xué)公平的個(gè)人抽獎(jiǎng)挑選出來(lái)的。因此，只有當(dāng)這些成員通過(guò)網(wǎng)絡(luò)廣播各自的中獎(jiǎng)彩票和對(duì)當(dāng)前區(qū)塊的意見時(shí)，我才能知道誰(shuí)是委員會(huì)成員。只有那時(shí)，我才能了解委員會(huì)的成員是誰(shuí)。由于我的超級(jí)權(quán)力，我可以立即破壞整個(gè)委員會(huì)。但是那又怎樣呢？此時(shí)破壞它們?yōu)闀r(shí)已晚。無(wú)論委員會(huì)成員怎么說(shuō)，他們已經(jīng)說(shuō)過(guò)了，他們的中獎(jiǎng)彩票和對(duì)該區(qū)塊的上或下的意見（up-ordown）正在整個(gè)網(wǎng)絡(luò)中傳播。我沒有能力將他們的信息放回瓶中，就像政府有權(quán)利把維基解密病毒傳播的信息放回瓶中一樣。

換言之，algorand方法是安全的，因?yàn)樵谶@之前，對(duì)手不知道該破壞誰(shuí)，而當(dāng)他破壞的時(shí)候，這已經(jīng)無(wú)用了。

與此形成對(duì)比的是，有一個(gè)固定的1000人的委員會(huì)。如前所述，即使委員會(huì)掌權(quán)1分鐘，它也很容易受到拒絕服務(wù)攻擊。如果委員會(huì)掌權(quán)的時(shí)間更長(zhǎng)，比如說(shuō)一周，那么這些成員甚至可能通過(guò)賄賂等傳統(tǒng)手段在物質(zhì)世界中腐敗。然而，在Algorand的案例中，人們不知道對(duì)誰(shuí)發(fā)起DoS攻擊，一旦委員會(huì)發(fā)言，DoS攻擊就毫無(wú)用處。

分權(quán)。最后，我們討論一下分權(quán)。有幾個(gè)用戶負(fù)責(zé)選擇下一個(gè)區(qū)塊嗎？不，沒有。也沒有一個(gè)固定的1000人委員會(huì)負(fù)責(zé)批準(zhǔn)這個(gè)區(qū)塊。某一次，一個(gè)委員會(huì)被隨機(jī)（秘密）地挑選出來(lái)。下一次，將會(huì)隨機(jī)（秘密）選出一個(gè)不同的委員會(huì)。每個(gè)人都有機(jī)會(huì)參與一個(gè)新區(qū)塊的建設(shè)。

分權(quán)Algorand的非分叉鏈。Algorand技術(shù)的另一個(gè)優(yōu)勢(shì)是它的鏈永遠(yuǎn)不會(huì)分叉。之所以如此，是因?yàn)橹挥幸粋€(gè)區(qū)塊可以具有所需的委員會(huì)投票的門限值。因此，在Algorand，所有交易都是最終的。一旦出現(xiàn)一個(gè)區(qū)塊，您就可以相信它永遠(yuǎn)是鏈的一部分。并且，如果新區(qū)塊包含對(duì)于你的一項(xiàng)支付交易，則你可以認(rèn)為自己已經(jīng)收到付款并立即發(fā)送貨物。

金融界有自己的風(fēng)險(xiǎn)，沒有必要再為“區(qū)塊消失”的不確定性增加負(fù)擔(dān)。順便說(shuō)一句，當(dāng)我說(shuō)Algorand的鏈永遠(yuǎn)不會(huì)分叉時(shí)，我有些撒謊。確實(shí)，在Algorand中可能會(huì)出現(xiàn)分叉，但它們非常罕見。根據(jù)設(shè)計(jì)，在Algorand中分叉的概率為10-18。這種可能性似乎是一個(gè)奇怪的選擇，但實(shí)際上有一個(gè)自然的解釋。物理學(xué)家告訴我們，1018正好是從大爆炸到現(xiàn)在的秒數(shù)。換句話說(shuō)，如果您每秒產(chǎn)生一個(gè)塊，則可能會(huì)看到一個(gè)軟分叉，但您必須等待整個(gè)宇宙的生命周期才能看到它?！?/p>