社区观点 | 关于MOV巡查官制度的几点思考

在ChainNode白皮书解密读书会01期活动中，比原链高级研究员刘秋杉带领大家领读「MOV：下一代去中心跨链 Layer 2 价值交换协议」白皮书，得到了很多粉丝的关注，其中gentledog的读书帖「关于MOV巡查官制度的几点思考」获得了读书活动的第一名。

正文如下：

根据白皮书，MOV中有巡查官一职防止Bytom侧链作恶。我就在想，这个制度是否存在漏洞呢？经过一番思考，似乎有以下几种攻击方式：

复制交易攻击

巡查官发现问题并在主链上发起一笔交易，有人获取这笔交易内容后，提高手续费或者直接向网络隐瞒这笔交易，然后再发起一笔同样内容的交易，从而窃取巡查官的劳动成果。在这种情况下，巡查官能够获取的利益几乎为零，甚至为负，这样就不会有动力去巡查了。

这种攻击是有对策的。有一样东西是作恶者无法复制的：钱包地址！可以采取提案（承诺）+证据的模式，巡查官可以先提交承诺（数据+钱包地址的哈希值），等区块确认后，再公布数据（钱包地址可以不用公布）。这样就能比较完美地解决这个问题了。

假装作恶攻击

当网关节点给予的奖励大于侧链作恶者所遭受的损失时，可以采取这种攻击。侧链作恶者可以假装作恶，然后串通巡查官抢先提交作恶的证据，从网关节点处骗取奖励，当奖励大于作恶者所受到的惩罚时，作恶者就获利了。这种攻击说明，网关节点给予的奖励是有上限的，它不能大于作恶者所受到的惩罚，并不一定与作恶程度对等。

DOS攻击

当侧链作恶且涉及金额庞大时，在网络上发起垃圾交易，暂时阻塞网络，使得巡查官的监察成本远大于他所能获得的奖励(由于假装作恶攻击，奖励是有限的，它并不与作恶程度对等），一旦争议期过去，作恶者就得逞了。DOS攻击并非不可能(参见以太猫和EIDOS空投），作恶者可以选择在网络拥堵的时候发起攻击以减小成本。

先撇开DOS攻击不谈，下面试从经济角度分析巡查官制度。先取一个观察时间段，设在这个观察时间段内，巡查官的巡查成本为U，网关节点的奖励为V，作恶者被举证时遭受的损失为R，作恶成功时获得的收益为S，作恶者作恶的概率为p，巡查官的平均巡查人数为q，某单个巡查官巡查的概率为t。这里假设巡查官的机会是均等的，即当巡查官的巡查人数为q时，成功举证的概率为1/q。则某单个巡查官和作恶者的博弈如下图：

则某单个巡查官的期望支付为 。

在完全竞争的条件下，某单个巡查官的期望支付应当接近于0。由此可以推算出 。

由此可以得知，当 时，q=0。进一步的，我们可以计算作恶者的最佳作恶概率。这里不妨设 且 ，于是 , 。

则作恶者的期望收益为

在区间 上，该式单调递减。所以，在 处取得最大值。所以，作恶者的最佳作恶概率为 ，此时无人巡查！上述的“观察时间段”是指一个充分小的、不可分割的时间段。如果是一个较长的时间段T，怎样计算作恶概率呢？这里设巡查官在单位时间内的巡查成本为u。将时间段T等分为n(充分大)个小时间段。则每个小时间段内的作恶概率约为 。则n个时间段内作恶发生的概率约为 。

所以，在较长时间段T内，作恶发生的概率为 。

结论

我们可以得出以下结论：

1. 巡查官制度可以减小侧链作恶的概率；

2. 侧链作恶的概率与巡查官的巡查成本U和网关节点的奖励V有关，减小U或增加V都能减小作恶的概率；

3. 侧链作恶的概率与作恶成功时获得的收益S无关，也就是说减少侧链上托管的资产无助于减小作恶的概率；

4. 侧链作恶的概率与作恶者被举证时遭受的损失R无关（如果忽略V≤R的关系），也就是说在不增加网关节点的奖励的前提下，只增加侧链运营者的保证金无助于减小作恶的概率；

5. 由于假装作恶攻击，网关节点的奖励V无法无限增加。巡查官的巡查成本U也无法无限减小。巡查官制度无法杜绝作恶的发生。