深度 | 区块奖励即将减半，BTC 还安全吗？（下）

作者：Hasu、James Prestwich、Brandon Curtis 翻译：Harry Zhang

来源：加密谷

如果一个应用程序或协议在充满对抗性的环境中能够实现目标，那它就是安全的。就BTC而言，其目标是建立一个任何人都可以参与的支付系统，只有合法所有者才能花费代币，所有有效交易最终都将存入分布式账本。

在它存在的头十年中，BTC成功地拥有了这些安全属性。但是与此同时，学术界在很大程度上未能在其研究模型中复制BTC的稳固性，由此产生了“BTC只有在实践中是安全的，但在理论上不安全”之类的论调。本文旨在通过介绍BTC安全模型来弥合理论与实践之间的鸿沟。

我们认为，BTC目前可以承受很高的攻击，从而使矿工动机与系统利益保持长期一致。挖矿需要大量的前期投资，其价值与网络的健康状况息息相关。通常情况下，矿工相当于提前购买他们在未来两年内预期要开采的所有代币的一半。在矿工收到这些代币之前，任何损害代币价值的行为都极具破坏性，这说明了为什么学者们担心的许多攻击在实践中都行不通。

另一方面，相比于外部攻击者，BTC安全性的最大威胁更多地体现在协议本身。BTC的区块奖励减半机制将导致该网络与矿工的利益捆绑性降低。如果没有蓬勃发展的区块空间市场，区块奖励的下降会对未来构成重大威胁。用户无法仅通过等待更多的区块确认来弥补这一点。

最后，我们提供了新的思路，包括一些可供社区讨论的改进建议。

本文于今年10月正式发布，为Hasu、James Prestwich和Brandon Curtis的共同作品，在创作过程中借鉴了Nick Szabo、Emin Gun Sirer等人的既有研究成果。加密谷编译此文，供专业投资人和技术爱好者参考。由于全文篇幅较长（接近16000字），分为三期刊出，此为最后一篇。之前篇目请见：

《深度 | 区块奖励即将减半，BTC还安全吗？ （上）》

《深度 | 区块奖励即将减半，BTC还安全吗？（中）》

长期的安全考虑

如果未能实现强大的区块空间市场，BTC也不会在一夜之间变得毫无价值。相反，区块奖励会在很长一段时间内稳定下降。由于MR较低而引起的任何问题都将首先以微弱的形式出现，然后随着时间的推移变得逐渐严重，从而为用户提供了足够的时间，来对可能的解决方案做出反应和协调。

需要注意的是，即使这些问题成为现实，我们对BTC的前景仍然乐观。BTC拥有最大的用户基础，最受尊敬的供应分配，并且已经逐步集成到金融基础设施中。在其短暂的生命周期中，BTC已经从一种“技术”发展为一种社会政治运动，其理念追随者以BTC为货币本位。很难想象，除了市场需求完全消失，BTC还能死于其他原因。

在讨论了所有关于BTC的不变性之后，我们已经证明，只要系统的健康状况保持良好，BTC就可以不断被改进。未来提高安全性的建议通常分为三类：寻求增加MR，降低MEV或提高惩罚矿工的能力。

5.1增加区块空间

首先，BTC开发人员可以尝试增加对BTC区块空间的需求。这一目标可以通过以下手段实现：协议层面改进，使区块空间更具吸引力；开发可盈利的商业流程，使区块空间的消耗变成一种收入。

对BTC区块空间的需求包括交易本身和在链上存储数据的能力。增强BTC交易能力和灵活性的创新举措包括：增加时间锁和闪电网络等等。

数据存储则可用于实施USDT或染色币之类的非共识性资产，或者，与其他系统状态进行关联（例如Factom或Veriblock）。

BTC系统针对传输比特币进行了高度优化，但是对其他类型的数据储存进行了限制。由于其他数据存储可以看作BTC网络以外的无限价值，因此，这种消耗区块空间的方式可能具有稳定的需求和极高的支付意愿，长期来看，会“低效但必要”地改变BTC的交易结构。

尽管这种数据存储的需求比较稳定，在BTC交易需求变动较大的情况下，也会不断提高交易费并增加MR，但是，这也可能注入无限的MEV，提升攻击者的动力。

为此，BTC用户将不得不考虑区块空间使用的相对价值和对应风险，并据此对其他数据存储行为作出限制，从而估算调节这种需求的动机。

5.2永久发行

第二种可能的机制是进行分叉，变成永久发行的新代币。我们预期，这类敏感话题会在BTC社区中引起争议，但我们还是想讨论一下，以便消除一些常规的误解。

如果我们认为一定水平的MR是使BTC系统正常运转所必需的，那么MR必须由用户以另一种方式支付。如果必要的MR每年为1％，则每年所有BTC用户总共将失去其购买力的1％，以便为BTC系统运转提供能量。所以，尽管BTC可以是名义上的固定非通胀资产，但它并不一定是能够固定购买力的资产。

此外，将永久发行视为通货膨胀是错误的。如果BTC要求用户无论如何都要损失其购买力的1％，那么通过永久发行支付这些费用，就不会比通过交易费上涨降低消费者的实际购买力效果更差。实际上，在该系统中，每年永久发行率恒定为1％且安全性更高的BTC所对应的购买力，可能比永久发行率保持恒定的0％但安全性较低的系统购买力更高。

我们应该问，谁应该为MR支付费用，使用什么机制？在理想的系统中，用户根据可获得的价值来衡量应该支付的运营成本。这将最大程度地增加收入，并使得安全性最大化，因为所有用户都根据效用付费。这一机制确保了系统的公平性和持续性。不公平的系统行之不远，因为用户可以通过分叉产生更为公平的区块链。

设计系统的人可能事先并不知道谁是价值最高的用户。但系统一旦建立起来，所有用户可能都会希望对原始参数进行优化，这将会花费更多的成本。

从概念上划分，BTC系统中主要存在两种用户：持有者和交易者。但它们之间并无明确界限，可以相互转化。任何交易者都必须至少在短时间内持有BTC，任何持有人都必须参与交易（尽管不一定在链上）。

优秀的系统需要具备抵御外部冲击的能力，这就是抗风险性。在永久发行的情况中，MR将不受区块空间市场中偶发事件的影响，而在零发行率时，对区块空间的需求冲击将使整个系统的安全性直线下降。

我们想对任何商品的所有权货币化。如果要通过交易者把区块空间货币化，则必须确保大部分区块空间的所有权始终归某人拥有。对持有者收费的行为完全消除了这种摩擦，因为每个BTC都有特定的权属。

值得指出的是，持有者对系统的贡献并不像交易者那么明显，但仍然是有意义的。当系统受到攻击时，持有者手上的筹码会更多，更愿意支付协调费用。在评估任一用例对安全性的贡献度时，必须全面了解BTC系统，这一点很重要。

虽然永久发行代币可能降低矿工收入的不确定性，但有些人认为，零发行政策是数字资产永恒的谢林点（Schelling point，可以简单理解为：通过博弈机制产生的自发选择）。如果用户真的讨厌永久发行附带的隐性税收，那么押注零发行、低安全架构的人可能会获得额外回报。

5.3众筹

在区块空间的市场范式下，BTC持有者通过众筹增加MR的方法争议较小。致力于维护BTC安全的大额持有者和机构可以向创建“anyone-can-spend-transactions”模式的基金付款。矿工可以在一定的区块高度上申请这类基金资助，因此可以视为私人资助的区块奖励。

这一做法的好处是无需更改协议。与之相对的坏处是，我们最终会陷入“搭便车”悖论：人们都希望BTC变得更安全，但没人愿意为此付费。

针对以上问题的一个可能的解决方案是主导保证合同（DAC）。这是众筹合同的一种变体，它试图采取主动战略使人们做出贡献，而不是消极等待他人有所作为。在DAC中，一方必须承担希望筹集资金的企业家角色，旨在实现某种商品的生产（在本例中为MR）。他需要定义拟筹集的目标金额，并需要在未达成筹款目标时，通过向他人支付少量资金来鼓励他们积极行事。据说，这个小细节使捐款更具吸引力，因为无论哪种情况，捐款人都会受益，——他们要么获得商品，要么就赚钱回本。

5.4调整区块空间的供应

最后，可以在更改区块空间的供应中找到提高MR的解决方案。固定区块空间供应系统的最大缺点是，只要需求略低于供应，交易费用会立即变为零。区块中的所有用户可能愿意集体支付5 BTC的交易费，但是如果供应过剩，他们将不愿支付任何费用，因为区块不再拥堵，溢出成本不再有意义。

即使总需求超过可用供应量，也不能保证收入最大化。例如，假设有1 MB的需求愿意支付15 BTC，而另外1 MB的需求愿意支付5 BTC。如果可用供应量介于1 MB到2 MB之间，则总费用会略高于10 BTC，因为想要支付最少的组为其他所有人设定了价格（第一组支付5.01，第二组支付5.00）。如果供应量降至1 MB以下，则第一组将不得不支付15 BTC，从而导致MR大大提高，而第二组则会完全没有供应。

可以通过将区块大小降低到略低于需求以下，以造成永久性拥塞来捕获价值。这样的更改可以由开发人员手动操作，也可以由BTC协议本身自动触发。其中一个想法是自适应区块大小：系统查看收费产生的MR，并将其与确保系统安全所需的targetMR进行比较。如果MR <targetMR，则会降低最大区块大小，从而造成人为拥堵；如果MR> targetMR，则用户为安全性付出了高昂的代价，一些人为的拥堵将会被移除，这增加了区块大小，直至达到社区选择的硬性限制（当前为2.3 MB）。

其他提议（比如矿工被允许控制区块大小）并不具备可操作性，因为这会激励矿工无休止地加大区块。这一提案之所以行不通，是因为，随着区块传播时间的增加，规模越大、网络带宽越好的矿工获得了比较优势。由于区块大小的上限被限制的很低，因此可以确保传播时间始终保持较短。这一点我们不用担心。

5.5降低矿工的可提取价值

除了增加MR，BTC用户还可以考虑用各种手段来降低MEV。一个好的出发点是考虑BTC区块链上MEV的潜在来源。

如前所述，随着系统退出成本的降低，审查系统的动机也会降低。当矿工无法区分不同的交易时，他就无法审查任何个人用户。因此，带有私人交易功能、可以相互进行无许可交易的不同数字资产之间的激烈竞争会促使它们全部变得更强大，以抵抗审查攻击。

如果用户通过采用诸如USAF之类的策略来忽略中本聪共识，则他们可能会降低某些攻击的MEV，其代价是降低整个系统的可扩展性。随着BTC系统中越来越多的人持不同或甚至相反的政治观点，在没有工作量证明的情况下达成共识似乎只会变得更加困难。

也许，在此期间可以找到技术解决方案，以进一步限制矿工可用的选项，从而降低攻击的吸引力。其中一个办法是让BTC交易提交到某个特定的区块，在该区块之外，它们会变得无效。这将使矿工无法在重写区块中还原交易，这有两个明显的好处：

• 由于矿工无法访问以前的交易及其费用，因此攻击成本变得更高。

• 由于矿工不再能够单独地攻击单个用户，因此可以更轻松地围绕是否中止中本聪共识进行协调。而攻击者必须在一次重写很多交易和不重写任何交易之间做出选择。

此外，我们可以提高对恶意矿工行为的自动检测水平。若要应对攻击，首先需要所有用户了解其特性。我们越能更好地监控BTC的系统状态，矿工不遵循协议、成功逃脱的希望就越少，这其中包括自私挖矿等非共识攻击。

适当的用户教育也可以降低盗窃风险。用户收到的每笔交易并非都是来自矿工或贿赂矿工的人，并且有被双花攻击的风险。如果可能，除了BTC协议机制外，同时使用传统的法律制度可以极大地增强其商业生存能力。只要买卖双方存在法律关系，卖方就可以通过法律制度将交易视为外部承诺，从而获得额外的信心，即：付款不会被撤消。

5.6加大矿工的惩罚力度

BTC用户的低容忍度是对矿工行为的有力干预。当价格对攻击的回应越发强烈，BTC应该可以承受相同水平的MEV。如果价格非常稳健，则攻击者的利益捆绑必须更大。

退出系统的成本同样是BTC价格敏感度和系统实用性之间的均衡。当成本低的时候，退出就相对容易，因为BTC将不再是唯一的选择，数字资产之间存在竞争。实际上，当存在许多更脆弱但允许它们之间进行自由交易的“微型链”时，整个数字资产体系会变得强大。原因是，较小规模的区块链使用户更容易退出，它们会成为针对攻击者的焦土防御手段。

未来的研究方向

行文至此，我们的BTC安全模型可以通过多种方式进行扩展。

首先，可以研究一下矿工从系统中解除自身利益捆绑的能力。到目前为止，我们保守地估计：如果矿工对BTC价格进行大规模做空，我们可以增加其MEV来反映这一点。当有了巨额资本时，矿工就可以完全对冲自己的捆绑成本，同时保持相同水平的算力——从而具有更多潜在MEV。后续分析可以关注对冲的资本成本对成本和MEV的影响，以及深度衍生品市场的存在如何影响参与者的动机。

其次，先前的安全性分析可能大大低估了可能的小额算力矿工在攻击中或攻击后立即进行回击，以捍卫其捆绑利益的动机。因为实际上，防御者处于一个free-rolling的处境，所以以更高的单位成本进行哈希挖矿又变得有利可图，并且，旧矿机可能会重新加入网络。此外，可以对现有矿机进行超频，以在短期内提高其效率，但这样做的代价是矿机会以更快的速度贬值。通常，用户和小算力矿工会将对方视为盟友。攻击与防御之间的动态关系值得进一步探讨。

最后，即使确实发展出了强大的区块空间市场，BTC的安全模型还是会改变——以各种方式。这些变化会影响矿工和用户的选择。例如，如果各个区块附加了非常低的交易费，那么自私挖矿就会更有吸引力。矿工之间日益激烈的竞争将围绕“富有”的区块展开，从而导致交易费争夺和区块生产之间产生缺口。我们强烈建议，将基于交易费的系统和基于发行的系统之间的差异进行整合。（全文完）

内容仅供参考 不作为投资建议 风险自担

版权所有 未经允许 严禁转载