Vitalik：Proof Of Stake 及其重要性

注：原文发布于 AUGUST 26, 2013，此处仅选译。

PoW 背后的基本概念很简单：一方（ 通常称为 prover ）提供一个计算结果，已知该结果难以计算，但易于验证，并且通过验证答案，其他任何人都可确定 prover 执行了一定量的 computational work 来生成结果。

其第一个现代应用，1996 年，Adam Back 的 “ Hashcash ” ，其使用 SHA256-based PoW 作为一种 anti-spam 措施-通过要求所有 emails 附带 a strong proof-of-work ，系统使 spammers 发送大量 emails 的行为变得不经济，同时仍然允许个人在需要时相互发送信息。今天出于相同目的而使用的类似系统有 Bitmessage ，该算法已被重新定位为，以“挖矿”形式，被用作 the core of Bitcoin’s security 。

但是，存在一个问题：PoW 是高度浪费的。比特币网络正在进行每秒 Six hundred trillion SHA256 computations ，最终这些计算没有实际或科学价值；它们的唯一目的是解决故意被制造得很难的 PoW 问题，以使恶意攻击者无法轻易假装成数百万个节点并制服网络。当然，这种浪费本质上不是坏事；考虑到没有替代方案，PoW 的浪费可能是 a small price to pay for the reward of a decentralized and semi-anonymous global currency network that allows anyone to instantly send money to anyone else in the world for virtually no fee 。在 2009 年，PoW 确实是唯一选择。然而，四年后，我们有了许多替代方案。

Sunny King 的 Primecoin 可能是最适度，同时也可能是最有希望的解决方案。 Primecoin 没有完全抛弃 PoW ，而是寻求使其 PoW 变得有用。Primecoin 不使用 SHA256 计算，而是要求矿工寻找 long “Cunningham chains” of prime numbers - – chains of values n-1, 2n-1, 4n-1, etc up to some length such that all of the values in the chain are prime（ for the sake of accuracy, n+1, 2n+1, 4n+1 can also be a valid Cunningham chain, and Primecoin also accepts “bi-twin chains” of the form n-1, n+1, 2n-1, 2n+1… where all terms are prime) 。目前尚无法立即清楚这些链如何有用- Primecoin 倡导者指出一些理论应用，但这些都只需 chains of length 3 which are trivial to produce。然而，更强有力的论据是，在现代比特币挖矿中，挖矿硬件的大部分生产成本，实际上在于研究更有效的挖矿方法（ ASICs ， optimized circuits 等），而不是在于自行构建或运行设备，在 Primecoin 世界中，这种研究将朝向寻找更有效的算术和数论计算方法 - 这些方法的应用远不仅仅是挖掘加密货币。

像 Primecoin 这样的 “ useful POWs ” 最有前景的原因是，如果计算足够有用，该货币的 “waste factor” 可降到零以下，使该货币成为一个 public good 。比如，假设存在一种计算，在某种程度上，其拥有 1 in（10 的 20 次方） chance of getting researchers significantly further along the way to curing cancer 。现在，没有任何个人或组织有动机尝试这种计算：如果他们幸运并获得成功，他们或释放秘密，其所获，除了一些短暂的媒体认可之外，几乎没有个人利益，或他们可尝试将其卖给一些研究人员 under a non-disclosure agreement, which would rob everyone not under the non-disclosure agreement of the benefits of the discovery and likely not earn too much money in any case 。然而，如果将这种神奇的计算集成到一种货币中，则区块奖励将激励许多人执行计算，计算结果将在区块链上可见，供所有人查看。社会奖励（ societal reward）将多于电力成本所值。但是，目前为止，我们知道不存在神奇的癌症治疗计算；最接近的是 Folding@home ，但它缺少数学可验证性——一个不诚实矿工可通过制造 fake computations that are indistinguishable from real results to any PoW checker but have no value to society 来轻易地欺诈。就数学可验证的 useful POWs 而言，Primecoin 是我们所拥有的最好的，其 societal benefit 是否完全超过其生产和电力成本所值，很难说；很多人对此表示怀疑。但即便如此，Primecoin 所取得的成就也是值得称道的；甚至以 public good ，部分收回挖矿成本，也好过什么成本也没收回。

Proof of Stake

但是，有一个 SHA256 alternative 已经存在，且基本上消除 PoW 的计算浪费：PoS 。比起要求 prover 执行一定数量的计算 work ，PoS 系统要求 prover 显示一定量货币的所有权。Satoshi 没有这样做，原因很简单：2009 年之前，没有数字资产可以与加密协议进行安全交互( there was no kind of digital property which could securely interact with cryptographic protocols)。Paypal 和在线 credit card payments 已经存在超过十年，但这些系统是中心化的，因此，围绕它们创建一个 PoS 系统，将允许 Paypal 和 credit card providers 自己通过生成虚假交易来欺骗这个系统。IP 地址和域名是部分去中心化，但没有办法构建可在将来进行验证的 IP 地址或域名所有权证明。实际上，第一个可能与一个在线 PoS 系统合作的数字资产是 Bitcoin（ 以及一般的加密货币 ）本身。

PoS 可如何执行？已存在若干提议；当前唯一正在实践的是 PPCoin ，其 PoS 算法工作原理如下：在创建一个 proof-of-stake 区块时，矿工需要构建一笔“coinstake”交易——将自己拥有的一些 money 以及预设奖励（ 如 an interest rate，类似比特币的 25 BTC 区块奖励 ）发给自己。A SHA256 hash 仅基于交易输入，一些 additional fixed data 和当前时间（ as an integer representing the number of seconds since Jan 1, 1970 ），进行计算。然后，This hash is checked against a PoW requirement ，就像比特币，除了难度与该交易输入的“币龄”成反比。在 PPcoins 中，币龄被定义为交易输入大小乘以该输入已存在时间。因为该哈希仅基于时间和静态数据，所以无法通过做更多 work 来加速哈希；每一秒，每个 PPCoin 交易输出都有一定几率产生与其币龄以及“它所包含 PPCoins 量” 成正比的有效 work 。大体上，每个 PPCoin 都可充当“模拟挖矿设备”，但伴随有趣特性：其 mining power 随时间线性上升，但当其每次找到一个有效区块时，其 mining power 重置为零。

目前尚不清楚， using coin age as PPCoin does rather than just output size，是否绝对必要；这样做的初衷，是为了防止矿工多次重复使用他们的币，但 PPCoin 目前的设计实际上并不允许矿工故意尝试生成具有特定交易输出的区块。相反，该系统相当于每秒随机选择一个 PPCoin，可能赋予其所有者创建区块的权利。甚至如果没有将币龄作为随机性的加权因素，这大致相当于一个比特币挖矿配置，却没有浪费。然而, there is one more sophisticated argument in coin age’s favor：because your chance of success goes up the longer you fail to create a block, miners can expect to create blocks more regularly, reducing the incentive to dampen the risk by creating the equivalent of centralized mining pools 。

加密货币之外

但是，使 PoS 真正有趣的是，它的应用，远不仅限于货币。目前为止，anti-spam 系统分为三类：PoW ，captchas 和 identity systems 。在 Hashcash 和 Bitmessage 等系统中使用的 PoW ，我们已在上面进行讨论。Captchas 被广泛使用于互联网；其想法是，提出一个人类可轻易解决但计算机无法解决的问题，从而区分两者。不幸的是，captchas 不那么有效；最近机器学习努力取得 30%-96% 的成功率——与人类本身相似。Identity systems 有两种形式。第一种，有些系统要求用户用其 physical identity 注册；这就是民主制度到目前为止避免被匿名恶人淹没的方式。第二种，有些系统需要一些费用才能进入，如果这些人被发现试图滥用系统，moderators 可关闭其账号而不退款。这些系统可行，但以隐私为代价。

PoS 可用于提供第四类 anti-spam 措施。想象，用户可通过向自己发送比特币或 PPCoin 交易，消耗币龄，而不是填写 captcha，来创建论坛账户。为确保每个 PoS 计算都由用户完成，而不是简单地从区块链中随机抽取，系统可能要求用户用相同地址发送一条签名消息，或可能以一种特殊方式将他们的币发回给自己（例如，其中一个输出必须包含准确的 0.000XXXXX BTC ，每次随机设置值）。注意，币龄至关重要；我们希望用户能够按需创建 proofs of stake ，因此必须消耗某些东西来防止重复使用。在某种程度上，PoS 的一种形式已经以短信验证的形式存在，要求用户发送短信来证明手机所有权以创建一个 Google 账号 - 尽管这几乎不是纯 PoS ，因为电话号码与 physical identity 重度绑定，购买手机的过程本身就是一种 captcha 。因此，短信验证具有以上所有三个系统的一些优点和一些缺点。

但是，PoS 的真正优势在于，在像 Bitmessage 这样的去中心化系统中。当前，Bitmassage 使用 PoW，因其没有其他选择；那里没有“去中心化 captcha ”解决方案，几乎没有研究去探索如何建立一个这样的方案。但是，PoW 是浪费的，使 Bitmessage 成为一个使用上有点 cumbersome 和 power-consuming 的系统—— 对于 emails 来说，这很好，但对于即时消息而言，忘掉它 。但如果 Bitmessage 可整合进比特币（或 Primecoin 或 PPCoin ）中，并 use it as PoS ，可减少很多麻烦和浪费。

PoS 是否有未来？许多迹象表明确实有。

Sunny King 认为，随着时间推移，区块奖励持续下降，比特币安全性将变得太弱；实际上，这是他创造 PPCoin 和 Primecoin 的主要动机之一。越来越多新加密货币正在复制其 PoS 设计。目前，PPCoin 并非完全 PoS ；因为它是一个拥有高度中心化社区的小型加密货币，某种 takeover 风险高于比特币，所以确实存在一个中心化 checkpointing 系统，允许开发者创建 “checkpoints” that are guaranteed to remain part of the transaction history forever regardless of what any attacker does 。最终，其目的是使检查点系统更加去中心化并降低其 power，PPCoins 将由更多人拥有。一种替代方案可能是，将 PoS 作为一种去中心化检查点系统整合到比特币本身；比如，一个协议可能允许 any coalition of people with at least 1 million BTC-years 消费他们的输出来生成一个检查点，社区达成共识该检查点是一个有效区块，代价是将他们的币发送给自己并消费币龄。

在 2009 年，加密货币 emerged as the culmination of a number of unrelated cryptographic primitives：hash functions, Merkle trees, PoW 以及 public key cryptography 都在比特币的构建中起着关键作用。然而，现在，比特币和加密货币仍然存在，这为密码学的未来提供了另一个激动人心的可能性：我们现在可设计出基于加密货币本身的协议（ design protocols that build off of cryptocurrency itself ） - 其中 PoS 是完美例子。PoS 可用于保护加密货币，它可用于去中心化 anti-spam 系统，也可能用于我们尚未想到的许多其他协议 - 就像没有人曾想到任何像比特币的东西，直到 1998 年，Wei Dai 的 b-money。可能性是无限的。

原文：
https://bitcoinmagazine.com/articles/what-proof-of-stake-is-and-why-it-matters-1377531463/
作者：Vitalik Buterin
编译 & 校对：吴婧  & 东林