□ 文 希爾維奧·米卡利

SILVIOMICALI

希爾維奧·米卡利

本刊編輯部：希爾維奧·米卡利（Silvio Micali）是圖靈獎(jiǎng)（計(jì)算機(jī)科學(xué)）、哥德爾獎(jiǎng)（理論計(jì)算機(jī)科學(xué)）和RSA獎(jiǎng)（密碼學(xué)）的獲得者，是美國國家科學(xué)院、美國國家工程學(xué)院、美國藝術(shù)與科學(xué)學(xué)院院士，也是意大利最高學(xué)術(shù)研究機(jī)構(gòu)“林琴科學(xué)院”院士。

希爾維奧·米卡利（Silvio Micali）院士，圖靈獎(jiǎng)（計(jì)算機(jī)科學(xué)）、哥德爾獎(jiǎng)（理論計(jì)算機(jī)科學(xué)）和RSA獎(jiǎng)（密碼學(xué)）的獲得者，麻省理工學(xué)院教授，Algorand公司創(chuàng)始人。

自1983年以來，希爾維奧·米卡利院士一直在麻省理工學(xué)院電子工程和計(jì)算機(jī)科學(xué)系任教，研究領(lǐng)域包括密碼學(xué)、零知識(shí)、偽隨機(jī)生成、拜占庭協(xié)議、安全協(xié)議、機(jī)制設(shè)計(jì)和分布式賬本。他是概率加密、零知識(shí)證明、可驗(yàn)證隨機(jī)函數(shù)等多種密碼協(xié)議的共同發(fā)明人，這些協(xié)議是現(xiàn)代密碼學(xué)的核心構(gòu)件。

希爾維奧·米卡利院士也是Algorand公司的創(chuàng)始人。Algorand是一個(gè)全新的區(qū)塊鏈系統(tǒng)平臺(tái)，根據(jù)創(chuàng)新理念研發(fā)而成，同時(shí)實(shí)現(xiàn)真正的去中心化、可擴(kuò)展性和安全性。

經(jīng)希爾維奧·米卡利院士本人同意和授權(quán)，本刊登載他的近期演講，以饗讀者，全文如下。

一個(gè)巨大的機(jī)會(huì)！

今天，有一個(gè)巨大的機(jī)會(huì)重新啟動(dòng)世界金融系統(tǒng)。數(shù)據(jù)網(wǎng)絡(luò)的速度比以往任何時(shí)候都要快：一條消息能夠以可忽略的成本在不到一秒內(nèi)傳遍全球。然而，資金的流動(dòng)卻一點(diǎn)都沒有加快。一個(gè)簡(jiǎn)單的金融交易可能需要幾天時(shí)間才能完成。這個(gè)過程也很昂貴：每年有5萬億美元浪費(fèi)在各類交易費(fèi)用上。全世界有22億人無法獲得現(xiàn)代金融服務(wù)：他們的交易規(guī)模太小，銀行無法盈利。

有了正確的技術(shù)，我們可以做得更好。

區(qū)塊鏈承諾。近幾年來，開發(fā)商和創(chuàng)新者已經(jīng)預(yù)感到，正確的技術(shù)就是區(qū)塊鏈；區(qū)塊鏈?zhǔn)菢?gòu)建一個(gè)更高效、更具包容性的金融體系的關(guān)鍵。簡(jiǎn)單地說，區(qū)塊鏈就是一個(gè)公共分類賬。它是以區(qū)塊為單位組織管理的一系列交易，保證了三個(gè)基本屬性：

◆ 每個(gè)人都能讀取每一個(gè)區(qū)塊，所以區(qū)塊成為了共享的知識(shí)；

◆ 每個(gè)人都可以在將來的區(qū)塊中編寫交易；

◆ 任何人都不能更改區(qū)塊中的交易或者區(qū)塊順序。

因此，既不是讓中央機(jī)構(gòu)維護(hù)一個(gè)隱藏的數(shù)據(jù)庫，就像銀行那樣，也不是讓交易通過秘密數(shù)據(jù)庫層以便清除，我們可以擁有一個(gè)可供所有人閱讀的單一公共分類賬，其中每個(gè)人都可以寫入數(shù)據(jù)，但沒有人可以改變已經(jīng)寫入的內(nèi)容。有了這些特性，區(qū)塊鏈的應(yīng)用基本上是不受限制的。實(shí)際上，區(qū)塊鏈技術(shù)可以帶來更快、更便宜、更安全、無國界的經(jīng)濟(jì)。

明顯的三元悖論。到目前為止，區(qū)塊鏈在很大程度上仍然是渴望成功的。也許今天區(qū)塊鏈抱負(fù)性的最好證據(jù)就是著名的區(qū)塊鏈三元悖論。根據(jù)2000年的證據(jù)和迄今為止的區(qū)塊鏈項(xiàng)目，三元悖論實(shí)質(zhì)上表明，現(xiàn)有的區(qū)塊鏈最多可以提供以下三種屬性中的兩種：安全性、可擴(kuò)展性、分權(quán)。

事實(shí)上，在三元悖論中沒有好的選擇。如果沒有分權(quán)，我們今天仍然停留在已經(jīng)存在的金融體系中：排他性和隱秘性。沒有安全性，交易區(qū)塊可能會(huì)消失：提供貨物或服務(wù)的人可能會(huì)發(fā)現(xiàn)已經(jīng)收到的這些貨物和服務(wù)的付款已經(jīng)消失；債務(wù)可能會(huì)被抹去；公共分類賬可能會(huì)被對(duì)手篡改以謀取自身利益。如果沒有可擴(kuò)展性，你將只能使用小型網(wǎng)絡(luò)進(jìn)行交易并且無法參與全球金融體系。任何用戶都不應(yīng)該考慮在這些基本屬性上妥協(xié)。

成本、速度和安全。誠然，安全性、可擴(kuò)展性和分權(quán)不是獨(dú)立的變量，而是相互關(guān)聯(lián)的變量。它們共同影響對(duì)個(gè)人和機(jī)構(gòu)用戶都很重要的標(biāo)準(zhǔn)：即速度、安全性和成本。

不快速的區(qū)塊鏈?zhǔn)菬o法擴(kuò)展的。但通過增加成本來保證速度并不是一個(gè)解決方案：一個(gè)運(yùn)營成本過高的區(qū)塊鏈無法擴(kuò)展。事實(shí)上，如果成本由每個(gè)人承擔(dān)，那么幾乎沒有人會(huì)加入?yún)^(qū)塊鏈。如果成本僅限于幾個(gè)實(shí)體，那么系統(tǒng)將是集中的。任何一個(gè)集中式系統(tǒng)都是不安全的，因?yàn)楦俚哪繕?biāo)比數(shù)百萬個(gè)目標(biāo)更容易受到攻擊。

好消息。幸運(yùn)的是，三元悖論僅僅是對(duì)過去的描述，同時(shí)也是對(duì)三個(gè)屬性難以同時(shí)實(shí)現(xiàn)的建議。Algorand很高興建立了一個(gè)能夠提供所有三種屬性的區(qū)塊鏈。

區(qū)塊鏈的挑戰(zhàn)。區(qū)塊鏈中有兩種不同的需求。第一個(gè)是防止區(qū)塊鏈被篡改。這一需求

已經(jīng)通過密碼學(xué)中最簡(jiǎn)單古老的原語之一，即單向散列函數(shù)來解決。本質(zhì)上，最新區(qū)塊的散列值作為一部分被包含在下一個(gè)區(qū)塊中。所有區(qū)塊鏈都采用這種方法，因此在這方面都是平等的。

第二個(gè)需求是生成新區(qū)塊：如何選擇要附加到鏈上的新區(qū)塊。這是真正的挑戰(zhàn)，不同的區(qū)塊鏈有不同的方法。

新的區(qū)塊應(yīng)該包含一組到目前為止尚未出現(xiàn)在區(qū)塊鏈中的有效交易。問題是，在任何時(shí)間點(diǎn)，兩個(gè)用戶可能已經(jīng)看到相同的區(qū)塊序列，但可能看到不同的新交易。這種情況是因?yàn)椋诜植际椒诸愘~中，每個(gè)交易不是通過網(wǎng)絡(luò)即時(shí)傳播的。通常，它從每個(gè)用戶發(fā)送到其他幾個(gè)用戶，然后這些用戶再將其發(fā)送到其他用戶，直到交易到達(dá)所有用戶。因此，在每個(gè)時(shí)間點(diǎn)，不同用戶看到的新的有效交易集可能不同，即使它們具有顯著的重疊。

總之，用戶U可能認(rèn)為新區(qū)塊應(yīng)該是BlockU，用戶V則認(rèn)為它應(yīng)該是BlockV。那么，誰設(shè)想的區(qū)塊應(yīng)該附加到鏈上？

流行的現(xiàn)有方法及其致命缺陷。選擇下一個(gè)區(qū)塊的方法多種多樣：特別是，工作證明（PoW）、委托權(quán)益證明（DPoS）和擔(dān)保權(quán)益證明（BPoS）。然而，所有這些方法都有一個(gè)致命缺陷：整體經(jīng)濟(jì)受小部分經(jīng)濟(jì)的支配。

這一缺陷是致命的，因?yàn)樗婕鞍踩院头謾?quán)。讓整體經(jīng)濟(jì)的命運(yùn)任由一小部分經(jīng)濟(jì)的擺布是一個(gè)定時(shí)炸彈。可以肯定的是，如果這些成員行為不端，他們會(huì)使經(jīng)濟(jì)中的所有資產(chǎn)貶值，包括他們自己的資產(chǎn)。但是，如果他們自己的資產(chǎn)只占整體經(jīng)濟(jì)的一小部分，他們可能很容易彌補(bǔ)自身的損失，增加一些利潤，并對(duì)他人造成巨大的損害。一個(gè)經(jīng)濟(jì)體的小子集不應(yīng)該能夠控制整個(gè)經(jīng)濟(jì)。

讓我解釋一下這個(gè)缺陷是如何在以前的方法中產(chǎn)生的。

工作證明（PoW）。第一種方法是工作證明，被中本聰用于構(gòu)建Bitcoin并由許多其他區(qū)塊鏈繼承。在該方法中，在很高的層次上，用戶競(jìng)相解決一個(gè)非常復(fù)雜的密碼難題。第一個(gè)解決謎題的人有權(quán)將下一個(gè)區(qū)塊附加到鏈上。PoW有幾個(gè)缺陷：

第一個(gè)缺陷：PoW不可擴(kuò)展。PoW的過程很慢。比特幣的密碼難題被設(shè)置的難度較大，以保證每隔10分鐘才找到一個(gè)解決方案，無論有多少礦工試圖解決該難題。我們能夠理解昂貴且快速。但是昂貴且緩慢卻難以理解。世界很大，每10分鐘僅有一筆交易肯定是不夠的。

第二個(gè)缺陷：PoW導(dǎo)致事實(shí)上的集中化。PoW引起了極大的權(quán)力集中。這種集中化是PoW既昂貴又浪費(fèi)的后果。礦工，即試圖解決密碼難題的用戶，所執(zhí)行的計(jì)算量令人驚嘆。今天，采礦利用的是專用硬件，耗電量巨大。一個(gè)礦工贏得比賽并產(chǎn)生了新的區(qū)塊，而其他所有人的努力都白費(fèi)了。如果沒有比特幣目前提供的補(bǔ)貼，在比特幣區(qū)塊鏈上發(fā)布一筆交易的成本約為20美元。如果你想使用區(qū)塊鏈進(jìn)行日常交易，比如購買一塊比薩餅，或者如果你想使用它為當(dāng)前沒有獲得金融系統(tǒng)服務(wù)的那22億人提供金融服務(wù)，那么這條路就走不通了。

如果普通用戶試圖用筆記本電腦解決密碼難題，他肯定會(huì)賠錢的。無論輸贏，他都必須為筆記本電腦運(yùn)算所需電力支付費(fèi)用。這個(gè)電量可能不大，但他獲勝的概率很小，他會(huì)賠錢是預(yù)料之中的事。

只有已經(jīng)花費(fèi)了必要的資本支出來購買專業(yè)采礦設(shè)備的專業(yè)礦工才有希望賺取一點(diǎn)利潤。因此，只有他們參與區(qū)塊生成。此外，礦工們會(huì)在礦池中聯(lián)合起來。

如今，比特幣的區(qū)塊鏈僅由三個(gè)礦池控制，以太坊僅由兩個(gè)礦池控制。如果他們自主作惡或受賄作惡，這些礦池可以重寫數(shù)據(jù)庫：他們可以刪除區(qū)塊或更改區(qū)塊順序。PoW已經(jīng)把分散的系統(tǒng)變成了一個(gè)極為集中的系統(tǒng)。

第三個(gè)缺陷：PoW是不安全的。正如我們所說，任何集中的區(qū)塊鏈，無論是設(shè)計(jì)上還是事實(shí)上，都是不安全的。但PoW還有其他漏洞，并且它特別容易受到網(wǎng)絡(luò)攻擊。區(qū)塊鏈最終是一種通信協(xié)議，任何此類協(xié)議都在底層通信網(wǎng)絡(luò)上執(zhí)行。因此，對(duì)手可以攻擊協(xié)議（例如，通過發(fā)送不同于規(guī)定的消息）或通信網(wǎng)絡(luò)本身（例如，通過干擾路由器、電纜等）。

由于目前分析區(qū)塊鏈安全性的方法存在缺陷，因此PoW的不安全性可能被低估了。這種分析通常只關(guān)注協(xié)議攻擊而忽略了網(wǎng)絡(luò)攻擊，特別是在PoW的環(huán)境中，這些攻擊可能是致命的。例如，在一個(gè)PoW區(qū)塊鏈中，一個(gè)能夠?qū)⑼ㄐ啪W(wǎng)絡(luò)分區(qū)長達(dá)一個(gè)或兩個(gè)小時(shí)的敵手可以雙重花費(fèi)而不受懲罰。在成功的分區(qū)攻擊中，敵手阻止屬于用戶組A的用戶發(fā)送的消息到達(dá)另一用戶組B中的用戶，反之亦然。網(wǎng)絡(luò)分區(qū)并沒有引起太多的注意，因?yàn)樗徽J(rèn)為過于昂貴而不實(shí)用。但是，一旦收益足夠高，網(wǎng)絡(luò)攻擊的成本可能是合理的。一個(gè)真正的無國界經(jīng)濟(jì)體的價(jià)值可能高達(dá)數(shù)萬億美元。如果對(duì)手想非法獲得數(shù)十億美元，他可能愿意“投資”數(shù)百萬美元。

第四個(gè)缺陷：分叉。PoW的另一個(gè)缺陷是不可避免地存在分叉。每當(dāng)兩個(gè)或多個(gè)用戶幾乎同時(shí)（互相只差幾秒鐘）解決密碼難題時(shí)，區(qū)塊鏈就會(huì)分叉，因?yàn)橛脩衄F(xiàn)在可能看到下一個(gè)塊的多個(gè)候選者。分叉可能會(huì)持續(xù)存在一段時(shí)間，它的所有分支甚至可以通過添加新的區(qū)塊來增長。但最終，除了一條主鏈以外的其他所有鏈條都會(huì)失去有效性，這些鏈條里的所有區(qū)塊都會(huì)消失。

分叉是不確定性和延遲的不受歡迎的結(jié)果。如果支付給你的款項(xiàng)出現(xiàn)在添加到鏈上的最新區(qū)塊中，你不能認(rèn)為自己已收到款項(xiàng)并發(fā)貨。這是因?yàn)槟承┓种Э赡軙?huì)戰(zhàn)勝當(dāng)前主鏈，而你的交易所在的區(qū)塊可能最終會(huì)變成一個(gè)無效分支，從而消失。在考慮你自身的支付之前，你需要等待一系列的區(qū)塊被添加到你的區(qū)塊之后，以便盡可能減少軟分叉出現(xiàn)并且包含你的支付交易的區(qū)塊最終消失的可能性。

那么你應(yīng)該等多久呢？有些人建議在你的區(qū)塊之后等待添加六個(gè)區(qū)塊，以確保你的區(qū)塊仍在鏈上。其他人建議，如果支付給你的款項(xiàng)是可觀的，等待時(shí)間甚至需要更長。因此，并非等上十分鐘就可以對(duì)交易的最終結(jié)果有合理的信心，實(shí)際上你得等上幾個(gè)小時(shí)。

一些人建議，為了加快這個(gè)過程，可以將密碼難題設(shè)置得更容易，例如，使每1分鐘，而不是每10分鐘，找到一個(gè)解決方案成為可能。然而，這樣做會(huì)使得在兩個(gè)解幾乎同時(shí)出現(xiàn)的概率大大增加。系統(tǒng)可以處理偶爾出現(xiàn)的軟分叉，但是無法處理非常頻繁的分叉。

費(fèi)用、緩慢和不確定性確實(shí)是PoW方法的主要缺陷，但與其致命缺陷相比，這些缺陷顯得蒼白無力。

PoW中的致命缺陷?；叵胍幌乱呀?jīng)討論過的致命缺陷：整體經(jīng)濟(jì)受小部分經(jīng)濟(jì)的支配。在PoW中，這一小部分經(jīng)濟(jì)是由礦工擁有的。由于礦工在PoW區(qū)塊鏈中只擁有一小部分資金，因此區(qū)塊鏈并不安全。

委托權(quán)益證明（DPoS）。另一種方法是委托權(quán)益證明（DPoS）。這是一個(gè)非常簡(jiǎn)單的想法。社區(qū)授權(quán)一些特殊用戶和代表在一段時(shí)間內(nèi)去選擇下一個(gè)要上鏈的區(qū)塊。（例如，在EOS中，代表的數(shù)量是21位。）

因此，DPOS從一開始就是集中化的。選出的代表一開始就是誠實(shí)的是有希望的。然而，依賴代表們長期保持誠實(shí)是有風(fēng)險(xiǎn)的。

我們?cè)僖淮慰吹?，整體經(jīng)濟(jì)受一小部分經(jīng)濟(jì)的支配。事實(shí)上，在一個(gè)DPOS區(qū)塊鏈中，代表可能擁有系統(tǒng)中總資金的一小部分，但是，當(dāng)且僅當(dāng)大多數(shù)代表是誠實(shí)的，整個(gè)區(qū)塊鏈才是安全的。

其他的安全問題。即使假設(shè)有一個(gè)堅(jiān)固的保證，所有代表將永遠(yuǎn)保持誠實(shí)，他們也很容易受到攻擊。特別是，拒絕服務(wù)（DoS）攻擊可能會(huì)使它們失效。在這樣的攻擊中，一個(gè)敵手用無數(shù)的垃圾信息轟炸他選擇的任一用戶，導(dǎo)致該用戶的緩沖區(qū)溢出。如果一個(gè)代表被如此攻擊，他將無法執(zhí)行他的工作，即將新的有效交易打包到下一個(gè)區(qū)塊中。區(qū)塊鏈將逐漸停止。

DoS攻擊非常便宜，可以立即對(duì)21人甚至1000人發(fā)起攻擊。既然代表是已知的，即使他們只掌權(quán)一天、一小時(shí)或一分鐘，一個(gè)有決心的敵手可以通過DoS攻擊來擊潰所有代表。

擔(dān)保權(quán)益證明（BPoS）。擔(dān)保POS允許20個(gè)，200個(gè)，甚至盡可能多的用戶，把一些錢，一個(gè)擔(dān)保放在一個(gè)他再也不觸碰的地方，如桌子上。這些人是代表我們所有人選擇下一個(gè)塊的用戶。如果他們行為不端，他們的錢就會(huì)被沒收。

這種方法有效嗎？讓我問一個(gè)更簡(jiǎn)單的問題：你的可支配收入中，有多少可以用來擔(dān)保？答案是很少。因此，BPOS不僅使其成為可能，而且實(shí)際上也使有錢的大盜通過將不成比例的資金放在桌子上來更容易地控制區(qū)塊鏈。

但那又怎樣？如果他們行為不端，就會(huì)損失他們的保證金。然而，一個(gè)真正去中心化、可擴(kuò)展和安全的區(qū)塊鏈應(yīng)該能確保數(shù)萬億美元的資產(chǎn)。而通過行為不端，一個(gè)惡意用戶可以賺到幾十億美元。既然如此，你認(rèn)為他會(huì)害怕被沒收幾百萬美元嗎？這只是做生意的代價(jià)，而且代價(jià)很小。

再一次，在BPOS中，我們有著同樣致命的缺陷：整體經(jīng)濟(jì)受一小部分經(jīng)濟(jì)的支配。事實(shí)上，在一個(gè)BPOS上，這一小部分經(jīng)濟(jì)由“放在桌上的錢”（的擁有者）組成。

總之，以前的方法有幾個(gè)缺陷。我們需要更好的設(shè)計(jì)。

Algorand的邏輯和純粹權(quán)益證明（PPoS）。Algorand的邏輯很簡(jiǎn)單：它將整體經(jīng)濟(jì)的安全與大多數(shù)經(jīng)濟(jì)體的誠實(shí)聯(lián)系在一起，使一小部分經(jīng)濟(jì)體不可能控制整個(gè)經(jīng)濟(jì)體的命運(yùn)。

Algorand基于一個(gè)新的權(quán)益證明：純粹PoS（PPoS）。本質(zhì)上，PPoS不會(huì)因?yàn)楹ε铝P款而試圖讓用戶保持誠實(shí)。相反，它使得利用少量的錢作弊變得不可能，而利用大量的錢作弊則是愚蠢的。

在Algorand，沒有錢被質(zhì)押。所有的錢總是在它應(yīng)該在的地方：在你的錢包里，在你的指尖準(zhǔn)備花費(fèi)，或者在Algorand區(qū)塊鏈提供給你的各種金融工具里。當(dāng)你考慮到系統(tǒng)中的所有資金時(shí)，不管它在哪里，當(dāng)大部分資金都在誠實(shí)者的手中時(shí)，系統(tǒng)就是安全的。

正如我們所說的，一小部分錢的擁有者不可能損害整個(gè)系統(tǒng)，而對(duì)于大多數(shù)錢的擁有者，試圖作弊從而使自己的財(cái)產(chǎn)貶值是愚蠢的。

例如，在PoW或BPOS中，少數(shù)用戶可以阻止其他用戶進(jìn)行交易。在Algorand，只有擁有大部分資金的人才能阻止其他用戶進(jìn)行交易。但如果他們這樣做，貨幣的聲譽(yù)將受到極大損害，貨幣將不再被普遍接受，其購買力也將大打折扣。對(duì)擁有大部分資金的人來說，這不是一個(gè)好結(jié)果。

實(shí)現(xiàn)PPoS。現(xiàn)在讓我們來看看Algorand是如何使用PPoS來選擇下一個(gè)區(qū)塊的。還記得三元悖論嗎？我們希望區(qū)塊生成可以同時(shí)具有可擴(kuò)展性、安全性和分權(quán)。

在很高的層次上，在Algorand中，一個(gè)新的區(qū)塊是分兩個(gè)階段構(gòu)造的。在第一階段中，隨機(jī)選擇單個(gè)令牌，其所有者是提出下一個(gè)區(qū)塊的用戶。在第二階段，在系統(tǒng)中當(dāng)前的所有令牌中選擇1000個(gè)令牌。這1000個(gè)令牌的所有者被選為第二階段“委員會(huì)”的一部分，該委員會(huì)負(fù)責(zé)批準(zhǔn)第一個(gè)用戶提出的塊。委員會(huì)的某些成員可以被選中兩次或更多，一般是k次，在這種情況下，該成員將在委員會(huì)中擁有k票批準(zhǔn)下一個(gè)區(qū)塊。

為什么第二階段是必要的？在任何一個(gè)社會(huì)，區(qū)塊鏈也不例外，總會(huì)有一小部分不良行為者被發(fā)現(xiàn)；比如說1%，也可能是2%。如果一個(gè)人不幸地生活在一個(gè)非常危險(xiǎn)的社會(huì)，其中，10%可能是不良行為者。甚至可能是20%！但是，在任何社會(huì)中，不良行為者都不會(huì)占多數(shù)；否則，就不會(huì)存在一個(gè)社會(huì)。只要社會(huì)的大多數(shù)成員遵守規(guī)定的規(guī)則，社會(huì)就存在。

假設(shè)Algorand的代幣中有10%屬于不誠實(shí)的人。然后，每十次中就有一次，在階段1中被選中來提出區(qū)塊的用戶可能是不良行為者。因此，他可能會(huì)告訴一些用戶該塊是X，而告訴其他用戶該塊是Y等等，從而產(chǎn)生關(guān)于什么是主鏈的分歧。

第二階段消除了這個(gè)問題。事實(shí)上，如果你在不誠實(shí)一方的手中最多有10%的代幣的情況下隨機(jī)選擇1000個(gè)代幣，那么所選硬幣中的大多數(shù)屬于不良行為者的概率，也就是說，委員會(huì)大多數(shù)選票由不良行為者投下的概率很低，可以忽略不計(jì)。

假設(shè)這一輪，你沒有被選中提出一個(gè)區(qū)塊。你也沒有被選為委員會(huì)的一員來參與批準(zhǔn)所提議的區(qū)塊。但是你看到一個(gè)給定的區(qū)塊B已經(jīng)被批準(zhǔn)，例如，委員會(huì)700票通過。那么，你知道B確實(shí)會(huì)是下一個(gè)區(qū)塊。

關(guān)鍵問題。在這種高層次的描述中，自然會(huì)出現(xiàn)幾個(gè)問題。讓我們從最明顯的一個(gè)開始：誰隨機(jī)選擇委員會(huì)？假設(shè)我告訴你是由我來操作，你可能會(huì)說“這是有史以來最集中的系統(tǒng)，你就是它的中心！”假設(shè)我告訴你，所有用戶都會(huì)參與選擇討論，直到他們就1000名委員會(huì)成員達(dá)成一致意見。那么你可能會(huì)告訴我，人性就是這樣，一輩子都不足以選出我們所需要的1000名委員會(huì)成員。

Algorand采取了一種非傳統(tǒng)的做法：委員會(huì)成員自行選擇。你可能會(huì)想“什么？那是個(gè)可怕的主意！因?yàn)槿绻沂且粋€(gè)不良行為者，我會(huì)一致選擇自己成為這個(gè)委員會(huì)的成員，周而復(fù)始?！钡⒎悄敲纯臁?/p>

要加入這個(gè)委員會(huì)，你的一枚硬幣必須贏得一個(gè)你在自己的電腦中以隔離的方式獨(dú)立運(yùn)行（即，不與任何人交談）的單獨(dú)的，密碼公平的抽獎(jiǎng)。由于抽獎(jiǎng)是密碼公平的，你無法改變被選中的機(jī)率（即使是一個(gè)擁有巨大計(jì)算資源的國家也無法提高被選中的概率）。

例如，為了從10,000,000,000個(gè)令牌中選擇1,000個(gè)隨機(jī)令牌，每個(gè)令牌被選中的概率為1,000 / 10,000,000,000，即以1000萬分之一的概率選擇。

因此，一旦用戶看到一個(gè)區(qū)塊被提出，她就會(huì)問自己：我能被選中成為負(fù)責(zé)批準(zhǔn)該區(qū)塊的委員會(huì)的成員嗎？我有多少票？

為了回答這些問題，她在筆記本電腦上對(duì)自己擁有的每一個(gè)代幣進(jìn)行加密抽獎(jiǎng)。（如果一個(gè)用戶有n個(gè)代幣，附加技術(shù)基本上允許她運(yùn)行1個(gè)抽獎(jiǎng)，而不是n個(gè)單獨(dú)的抽獎(jiǎng)?。?/p>

一旦用戶運(yùn)行了她的抽獎(jiǎng)，就會(huì)發(fā)生以下兩種情況之一：1）她的任何代幣都無法贏得抽獎(jiǎng)，在這種情況下，她對(duì)區(qū)塊的任何看法都將被忽略；2）有k＞1的代幣贏得彩票，在這種情況下，她獲得了中獎(jiǎng)彩票，即每個(gè)人都可以輕松驗(yàn)證她在委員會(huì)中擁有k票的簡(jiǎn)短證明。在后一種情況下，她通過網(wǎng)絡(luò)傳播（i）證明她擁有k票的中獎(jiǎng)彩票，以及（ii）對(duì)區(qū)塊的看法。

解決三元悖論。我要說的是，這種粗略的方法，最終！達(dá)成了同時(shí)實(shí)現(xiàn)可擴(kuò)展性、安全性和分權(quán)。

可擴(kuò)展性。用戶運(yùn)行自己的抽獎(jiǎng)需要多長時(shí)間？無論她有多少令牌，大約有1微秒。這確實(shí)是十分快速的。（此外，所有的抽獎(jiǎng)都是彼此獨(dú)立運(yùn)行的，因此用戶無需等待其他用戶完成其抽獎(jiǎng)的運(yùn)行。）

一旦選定，每個(gè)成員都將向網(wǎng)絡(luò)傳播一條簡(jiǎn)短的即時(shí)計(jì)算的消息。因此，無論系統(tǒng)中有多少用戶，需要傳播的最大消息數(shù)是1000條短消息。這是可伸縮的嗎？是的！

安全性?，F(xiàn)在我們來談?wù)劙踩浴＜僭O(shè)我是一個(gè)非常強(qiáng)大的對(duì)手，能夠在任何時(shí)候極其迅速地破壞用戶。顯然，我很想破壞委員會(huì)的成員，但是我有一個(gè)問題：我不知道他們是誰。

之所以如此，是因?yàn)槲瘑T會(huì)成員是通過秘密運(yùn)行的，密碼學(xué)公平的個(gè)人抽獎(jiǎng)挑選出來的。因此，只有當(dāng)這些成員通過網(wǎng)絡(luò)廣播各自的中獎(jiǎng)彩票和對(duì)當(dāng)前區(qū)塊的意見時(shí)，我才能知道誰是委員會(huì)成員。只有那時(shí)，我才能了解委員會(huì)的成員是誰。由于我的超級(jí)權(quán)力，我可以立即破壞整個(gè)委員會(huì)。但是那又怎樣呢？此時(shí)破壞它們?yōu)闀r(shí)已晚。無論委員會(huì)成員怎么說，他們已經(jīng)說過了，他們的中獎(jiǎng)彩票和對(duì)該區(qū)塊的上或下的意見（up-ordown）正在整個(gè)網(wǎng)絡(luò)中傳播。我沒有能力將他們的信息放回瓶中，就像政府有權(quán)利把維基解密病毒傳播的信息放回瓶中一樣。

換言之，algorand方法是安全的，因?yàn)樵谶@之前，對(duì)手不知道該破壞誰，而當(dāng)他破壞的時(shí)候，這已經(jīng)無用了。

與此形成對(duì)比的是，有一個(gè)固定的1000人的委員會(huì)。如前所述，即使委員會(huì)掌權(quán)1分鐘，它也很容易受到拒絕服務(wù)攻擊。如果委員會(huì)掌權(quán)的時(shí)間更長，比如說一周，那么這些成員甚至可能通過賄賂等傳統(tǒng)手段在物質(zhì)世界中腐敗。然而，在Algorand的案例中，人們不知道對(duì)誰發(fā)起DoS攻擊，一旦委員會(huì)發(fā)言，DoS攻擊就毫無用處。

分權(quán)。最后，我們討論一下分權(quán)。有幾個(gè)用戶負(fù)責(zé)選擇下一個(gè)區(qū)塊嗎？不，沒有。也沒有一個(gè)固定的1000人委員會(huì)負(fù)責(zé)批準(zhǔn)這個(gè)區(qū)塊。某一次，一個(gè)委員會(huì)被隨機(jī)（秘密）地挑選出來。下一次，將會(huì)隨機(jī)（秘密）選出一個(gè)不同的委員會(huì)。每個(gè)人都有機(jī)會(huì)參與一個(gè)新區(qū)塊的建設(shè)。

分權(quán)Algorand的非分叉鏈。Algorand技術(shù)的另一個(gè)優(yōu)勢(shì)是它的鏈永遠(yuǎn)不會(huì)分叉。之所以如此，是因?yàn)橹挥幸粋€(gè)區(qū)塊可以具有所需的委員會(huì)投票的門限值。因此，在Algorand，所有交易都是最終的。一旦出現(xiàn)一個(gè)區(qū)塊，您就可以相信它永遠(yuǎn)是鏈的一部分。并且，如果新區(qū)塊包含對(duì)于你的一項(xiàng)支付交易，則你可以認(rèn)為自己已經(jīng)收到付款并立即發(fā)送貨物。

金融界有自己的風(fēng)險(xiǎn)，沒有必要再為“區(qū)塊消失”的不確定性增加負(fù)擔(dān)。順便說一句，當(dāng)我說Algorand的鏈永遠(yuǎn)不會(huì)分叉時(shí)，我有些撒謊。確實(shí)，在Algorand中可能會(huì)出現(xiàn)分叉，但它們非常罕見。根據(jù)設(shè)計(jì)，在Algorand中分叉的概率為10-18。這種可能性似乎是一個(gè)奇怪的選擇，但實(shí)際上有一個(gè)自然的解釋。物理學(xué)家告訴我們，1018正好是從大爆炸到現(xiàn)在的秒數(shù)。換句話說，如果您每秒產(chǎn)生一個(gè)塊，則可能會(huì)看到一個(gè)軟分叉，但您必須等待整個(gè)宇宙的生命周期才能看到它。■