区块链系列----Pos大有可为

随机数

随机数对于区块链技术来说很关键。本质上，分布式账本的核心问题就是随机选择出块人的问题，这个随机性要能被全网确认，并且不能被操控，也不能被预测，否则恶意节点通过操控这个随机数就可以操控长链，从而实现双花攻击。

Pow算法

PoW(工作量证明，Proof-of-Work)的方案是让大家进行算力竞赛，设置一个计算哈希的难题，谁先算出来谁赢，算力高的赢的概率高，算力低的赢的概率低，以这样的方式保证胜出者是随机的。投入的算力能够体现在哈希值上，这样全网能够验证，并选择包含最多算力的那条链。恶意节点只能通过提升自己的算力来增加攻击成功的概率。
所以工作量证明需要消耗大量的算力，同时比特币大约 10min 才会产生一个区块，区块的大小也只有 1MB，仅仅能够包含 3、4000 笔交易，平均下来每秒只能够处理 5~7（个位数）笔交易，所以比特币网络的拥堵状况非常严重。

DPos算法

DPos(委托权益证明，Delegated Proof-of-Stake)能够让每一个人选出可以代表自己利益的人参与到记账权的争夺中，这样多个小股东就能够通过投票选出自己的代理人，保障自己的利益。DPos中最著名的便是EOS。
在 EOS 圈里，每一个被选出来的代表所能够获得的回报是如此的丰厚（EOS 每年增发额中 5% 的收益，大概是每年 4 亿美金），这样超高的利润回报吸引着无数人蜂拥而至，参与到有关“谁来运行这些超级计算节点”的竞选中去。

“任何一个超级节点候选人，都可以在任何一个地区拉票，作为 EOS 的持有者你也可以不分国别和地区的投给任何一个超级节点候选人。但尽管如此，从竞选刚一开始，国别战争就开始了。”
不受开发者社群的待见，同时还面临着来自韩国的激烈竞争，所以中国的 EOS 超级节点拿出来的新的战略：贿选。
V神谈EOS节点投票：我们必须绕开的阴影之地[附EOS节点投票]

有关信任的社会化共识，在很多具体的场景内是有用的。但是它无法达到普适性。在一个国家或者一家公司里所适用的共识，在另外的地方也许就得不到认可。而且它们也很难量化。它们看起来似乎是安全的，似乎都有“人”在为另外的人承担相应的责任，但实际上人还是会出于经济利益，被其他人摆布操控的。

Pos算法

POS(权益证明，Proof-of-Stake)权益证明是区块链网络中的使用的另一种共识算法，在基于权益证明的密码货币中，下一个区块的选择是根据不同节点的股份和时间进行随机选择的。
如果“随机”这一步没有问题的话，恶意节点只能通过增加自己的份额，增加自己被选中的概率，从而增加双花攻击的成功概率。这里有一点比PoW的方案要好就是，要实现攻击，先得成为持币大户，如果攻击成功币价大跌，攻击者也会承受最大的损失。而PoW方案中虽然算力要花钱，但是如果攻击者没有持币，那么他的利益和币价不一定是正相关的，不能排除仍然存在攻击的动力。

Cardano中的Ouroboros协议

那么接下来的核心问题就是，这个不能被操控不能被预测的随机数从哪来。

传统地PoS方案尝试从链上现有的数据入手，比如使用上一个区块的哈希值，上一个区块的时间戳等等来作为随机数的来源，但这些会带来额外的安全风险。因为区块本身的信息就是节点写进去的，然后又要根据里面的信息来选举后续的出块者，存在循环论证的嫌疑，安全性不会太好。这也是传统地认为PoS方案不如PoW可靠的部分原因。

Cardano项目采用的Ouroboros协议是被密码学界证明安全的一个PoS协议，也是唯一一个被工业界采用的可证明安全性的PoS协议。它采用密码学的手段来生成这个随机数。为了弄清楚这个过程，我们先从更基础的密码学工具开始：

1.承诺(Commitment)和打开(Open)

假设张三李四要玩剪刀石头布，用传统方式作弊者如果稍微出的晚一点，可以等看到对方的手势后再做选择。为了防止这种情况，他们：

先各自做出选择，然后把自己的选择做个哈希；
交换这个哈希；
等双方都收到对方的哈希后，再交换双方的选择；
验证对方的选择和之前的哈希一致；

这样双方都知道了对方的选择，也能确认对方的选择是提前就做好的。这个哈希值就叫做承诺，因为它里面包含了保密信息，但又没有泄漏保密信息，而最终发送对应的保密信息，就叫做打开承诺。

承诺和打开是一种模式，哈希只是实现手段之一。

2.简单随机数协议（Coin-Tossing）

现在我们可以设计一个多方生成随机数的协议：

每个节点在本地产生一个随机数，并把它的承诺广播给其他人
当它收到所有人广播的承诺后，再把打开也广播给其他人。
最后大家把得到的随机数异或到一起，因为异或操作满足交换律和结合律，所以操作顺序不影响结果。

最终大家都得到了一个一致的无法被操纵的随机数。但这个简单协议的问题在于，恶意节点可以选择终止协议，也就是不发送自己的打开，会使得其他人无法进行下去。要解决这个问题，我们还需要另一个工具。

3.可验证秘密共享（Verifiable Secret Sharing）

秘密共享是说，一个人可以把一个需要保密的信息，拆分成n份，分别发送给n个人，只要恶意节点不超过一定数量，最终大家可以综合各自的信息片段把原始信息还原出来。并且就算分发者如果作弊，大家也可以检查出来。具体的实现方式也有多种，这里就不深入了。

有了这个工具，就算恶意节点不发送打开，我们也能根据拆分信息还原出他的随机数，如果他想在拆分信息上作弊，大家也能检查出来并把他踢掉。

结合这几个技术，我们就可以有一个完整的随机数生成协议了。最后，因为我们本来就是个区块链，所以协议过程中需要广播的信息，我们可以直接写到链上去，这样可以简化实现，并且也不需要所有投票节点同时在线，并且如果有人作弊，作弊的记录将会永远保存在链上。

最后综合一下整个协议流程：

在提交阶段，每个节点本地生成随机数和对应的承诺，同时把随机数拆成n份匹配其他的投票节点，并且用相应投票节点的公钥对每一份信息进行加密，保证它只能被对应的节点解密，然后把承诺和加密后的拆分信息一起广播给区块链。
当大家收到大部分节点的承诺和拆分信息后，就进入打开阶段，每个节点把自己的打开发到链上。
然后是恢复阶段，每个节点检查是否有节点发送了承诺但没有发送打开，如果有，则解密自己对应的那份拆分信息并发布，然后根据大家发布的拆分信息恢复出该节点的随机数。
现在大家就有了所有节点的随机数，把它们异或到一起，最终得到了一个一致的随机数，并用它来选择下一轮的出块人。

最后，这个随机数不光可以用来选择出块人，也可以给智能合约用，这是PoS另一个好处；而PoW体系虽然出块人是随机的，但并没有产生一个具体的随机数，所以智能合约要用随机数，还是得从区块链本身的数据里面去获取了。

以太坊中的Casper协议

Casper是一种基于保证金的经济激励共识协议(security-deposit based economic consensus protocol)。协议中的节点，作为“锁定保证金的验证人(bonded validators)”，必须先缴纳保证金(这一步叫做锁定保证金，”bonding”)才可以参与出块和共识形成。Casper共识协议通过对这些保证金的直接控制来约束验证人的行为。具体来说就是，如果一个验证人作出了任何Casper认为“无效”的事情，他的保证金将被罚没，出块和参与共识的权利也会被取消。保证金的引入解决了”nothing at stake”，也就是经典POS协议中做坏事的代价很低的问题。现在有了代价，而且被客观证明做错事的验证人将会付出这个代价。

程序猿看这里——Vlad谈Casper共识协议

总结

在区块链共有链世界中，既不想纯粹的浪费资源(Pow)，又不想受到被他人摆布操控的干预(Dpos)。那么让未来选择Pos，纯粹的机器共识。

作者：niyuelin(区块链极客，一直致力于区块链底层技术的研究)
欢迎大家加入区块链技术探讨群，QQ群号21911041