那麼下一個問題是:哪些行為該被懲罰?Vitalik仔細推敲PBFT後發現,PBFT只需4條規則(PBFT中的斷言)便能確保共識運作良好:
Vitalik在這篇文章中總結了這4條規則,並把它們稱為PBFT的「最少的砍押金條件」(Minimal Slashing Conditions),任何違反此4條規則的行為都要被取走押金。這4條規則如下:
1.提交(commit_req):收到2/3節點的預備訊息後才能提交。
2.預備(prepare_req):每個預備訊息只能指向某個也具有2/3節點預備訊息的高度(Epoch),且這些預備訊息也必須都指向同一個高度。
3.預備提交一致性(prepare_commit_consistency):任何新的預備訊息只能指向最後一個已提交的或其他比其更新的高度。
4.不重複預備(no_double_prepare):不能在同一個高度送出兩次預備。
這4 條規則可以進一步簡化為2 條:
某驗證節點v必不可發出兩個相異的投票:
<ν, s1, t1, h(s1), h(t1)>及
<ν, s2, t2, h(s2), h(t2)>,
且使下列任一條件成立:
1. h(t1) = h(t2)
驗證節點必不可對某高度發出兩個相異投票。
2. h(s1) < h(s2) < h(t2) < h(t1)
驗證節點必不可投出高度圍繞/被圍繞於另一投票高度的投票。
這2條規則便是Casper FFG 的最少砍押金條件。
Casper FFG 如何運作?
Casper FFG是一個將出塊機制(Block Proposing Mechanism)抽象化的覆蓋層(Overlay),只負責形成共識(這裡的覆蓋層是「鏈」的覆蓋層,而非「網路」的覆蓋層)。出塊機制由底層網路實作,而來自底層網路的出塊(Block Proposal)稱為檢查點(Checkpoints)。檢查點組成檢查點樹(Checkpoint Tree),例如:把高度為0、50、100、150的區塊雜湊值取出,形成一棵新的樹,如上圖所示。最底部的檢查點則稱為根檢查點(Root)。
每個節點都必須對檢查點送出投票(Vote),投票的內容是由兩個不同高度的檢查點組成的連結(Link),連結的起點高度較低,稱為源頭(Source);連結的終點高度較高,稱為目標(Target)。節點會將投票廣播到網路中,並同時收集來自其他節點的投票。其中若投票給某連結L的節點押金總和超過全部押金的2/3,則稱L為絕對多數連結(Supermajority Link),以s → t表示。例如上圖中,b1 / b2 / b3之間都形成了絕對多數連結,分別以b1 → b2、b2 → b3表示。
由根檢查點開始,若兩個檢查點之間形成絕對多數連結,則該連結的目標進入「已證成」( Justified)狀態;而在連結建立當下已處於「已證成」狀態的源頭,則進入「已敲定」(Finalized)狀態;根檢查點則預設為「已證成」及「已敲定」狀態。由此可知,每個檢查點在經過兩次投票後,會先「證成」(Justify)而後「敲定」(Finalize),幾乎等同於PBFT的「預備」與「提交」。例如在上圖右邊的分支中,r / b1 / b2皆為「已敲定」狀態,只有b3為「已證成」狀態。
那麼驗證節點該對哪個檢查點建立連結?每個節點都必須遵循分岔選擇規則(Fork Choice Rule)來選擇下一個要連線的檢查點,Casper FFG的規則是:選擇最高的「已證成」狀態的檢查點。
由於Casper FFG能讓任何存入押金的節點參與共識,因此驗證節點集合(Validator Set)會動態地隨著時間變化。節點從退出網路至取出押金需要等待一段期間,該等待期間稱為提領延遲(Withdrawal Delay)。每個檢查點C都有其對應的朝代數(Dynasty),其定義為:從根檢查點開始至C為止的已敲定檢查點數量,例如上圖中,b3的朝代數為3。每一代檢查點都對應兩種驗證節點集合:前端(Front)驗證節點集合(包含於此代加入的節點)以及後端(Rear)驗證節點集合(包含於此代退出的節點)。理論上每代檢查點的前端/後端集合會高度重複,但難保節點共謀造成前端/後端集合的大幅變化,若此情形發生,則出錯時可能會砍不到壞節點的押金(因為壞節點已退出)導致安全性受到威脅。例如上圖中,驗證節點A可以退出,代表對C'分岔(綠色)來說A退出了,可是對C分岔(紫色)來說, A卻從來沒退出過。因此A有辦法繼續投舊鏈C,但新鏈C'砍不到A的押金(因為已退出)。
為了讓每代檢查點在出錯時都能確實歸責,因此需要縫合機制(Stitching Mechanism)將檢查點的前端/後端集合「縫」起來,確保每個錯誤都必定能歸責(出錯的可能是前端集合或者後端集合)。
綜合以上,Casper FFG 幾乎針對PBFT 的所有面向都做出改進:
· 經濟上的制約:PBFT是許可制的,它仰賴原本就存在信任基礎的組織共同執行協定;Casper FFG則是非許可制的,它引入最少砍押金條件,利用經濟損失的風險來制約節點的行為,節點之間不需要任何信任基礎也能共同執行協定,實現真正的去中心化。
· 抽象的出塊機制:PBFT仰賴誠實的主導節點產生區塊並需要視域變換機制節制拜占庭節點;Casper FFG不需理會底層的出塊機制,只需負責形成共識。出塊抽象的好處是:底層網路的出塊頻率不必與覆蓋層的共識頻率一致,如此可以增加效率並降低網路的負擔。例如:每100個底層區塊只產生1個檢查點。
· 流水線化的投票:PBFT具有<Prepare>、<Commit>、<View-change>等數種投票訊息;Casper FFG僅有<Vote>一種,且投票的內容並不是單一的區塊/請求,而是兩個形成連結的檢查點,這使Casper FFG能夠在不犧牲太多表達力的前提下變得簡潔許多。這些形成鏈式結構的檢查點,會於兩個不同高度分別經歷兩輪投票,由於每一輪投票都會敲定源頭與證成目標,因此共識能如流水線(Pipeline)般不斷推進。相似的設計理念也出現於Hot-Stuff,有趣的是,該論文作者Dahlia Malkhi還撰文比較Hot-Stuff與Casper FFG,其相似程度可見一斑。
· 強健的抗攻擊性:PBFT不具備對遠端攻擊(Long-range Attack)以及災難性崩潰(Catastrophic Crash)的抗性;Casper FFG則具有特別的機制來防禦這兩種攻擊:針對遠端攻擊,節點必須定期同步區塊及禁止回朔(Revert)已敲定的區塊;針對災難性崩潰,Casper FFG則引入「離線溢金」(Inactivity Leak)機制來應對。關於這兩種攻擊的說明,筆者將於日後另撰文論述。
由於Casper FFG 相當簡潔,以太坊研究員一度實作了合約版本的Casper FFG:
然而,這個合約版的Casper FFG後來被棄用了!在合約版中原本假設投票能夠被平行處理,但在計算投票報酬有很多中間狀態,不同投票處理的先後順序將會影響最後得到的狀態,這代表平行化將無法達成共識。而要修正這個問題則必須要在合約與客戶端做大量修改,失去了「邏輯用合約實作,避免修改客戶端」的精神。因此,為了能夠更好地整合Casper FFG與其他最佳化提案(例如分片),全新的以太坊2.0 滂薄登場了。
以太坊2.0 中的Casper FFG
以太坊2.0 是一個基於EVM 並整合Casper FFG 與眾多最佳化提案(以分片為主)的分散式帳本。以太坊2.0 除了想實現PoS,還試圖將每秒交易數(TPS)擴充套件到10000 筆的量級,使區塊鏈成為如網際網路一般的基礎建設(Infrasturcture),並且讓任何存入32 顆以太的押金的節點都能成為驗證節點。
分片(Sharding)即是為了增加可擴充套件性(Scalability)的重要設計,也是以太坊2.0最重要的目標。分片就是分工合作,我們可以用一個簡單的例子來說明分片的概念(實際上的解釋要比這複雜得多): 2人寫2題作業,2人各寫不同的1題再合起來一定比2人都各寫完2題來得更有效率。
目前的以太坊只有1條區塊鏈,所有節點必須各自處理所有交易(如同2人各自寫完2題作業);在以太坊2.0中,網路會分成1024個片(Shard),每片分別執行1條分片鏈(Shard Chain),它們將各自處理一部分的交易後再將結果交由1條信標鏈(Beacon Chain)統整(如同2人各做不同的1題再合起來)。因此,以太坊2.0預計會有1條信標鏈以及1024條分片鏈。
值得注意的是:片是一個抽象層,並不特指某一群節點。為了更瞭解這個概念,筆者擴充一下上文的例子:假設寫作業有找答案及抄答案兩個步驟,那麼A / B 2人寫2題作業,由讀速快的A找第1題答案,讀速慢的B找第2題答案;由手速快的B抄第1題答案,手速慢的A抄第2題答案。如此,A / B便可以依照讀/寫的快/慢來分別負責不同題目的不同步驟。
同樣地,在以太坊2.0中,除了有1024個片,還會有1024個持續委員會(Persistent Committee)與1024個交聯委員會(Crosslink Committee):
· 每個片都會對應1 個持續委員會與1 個交聯委員會,如同上例中每個題目可以依照讀/寫的步驟來對應不同的個體。
· 使用鏈上亂數(On-chain Random Number)決定各委員會的分派,如同上例中依照讀/寫的快/慢來分派題目(關於鏈上亂數的實作細節留待筆者日後詳述)。
· 持續委員會負責維護分片鏈與產生分片區塊(Shard Block)、交聯委員會負責維護信標鏈與產生信標區塊(Beacon Block),如同上例中讀速快的負責找答案、手速快的負責抄答案。各區塊的出塊節點(Block Proposer)也交由鏈上亂數決定。
換句話說,每個驗證節點都需維護1 條唯一的信標鏈及1 條所屬片的分片鏈,也都會隸屬於與該分片對應之1 個交聯委員會與1 個持續委員會。
Casper FFG是執行於以太坊2.0之上的覆蓋層,這個覆蓋層同樣由檢查點構成,各檢查點之間的跨度稱為時期(Epoch),1個時期(Epoch)切成64個時段(Slot ),每個時段對應16個片(16 = 1024 ÷ 64),因此每片在每時期中都有對應的時段,並只能在輪到自己時才廣播其對檢查點的投票,且每分片只能1個時段中投出1票—也就是說,各分片需要先對投票內容形成共識,不過各片內部形成共識的方法仍尚未定論,近期最新的提案是使用聚合簽章。另外,Casper FFG在以太坊2.0中的分岔選擇規則是最新訊息驅動GHOST(Latest-Message Driven GHOST, LMD GHOST)。
理論上,Casper FFG 於每個檢查點的投票應該要與底層出塊機制的投票分開;實際上,以太坊2.0 的底層投票內容會同時包含頂層投票內容(檢查點的連結),如同頂層投票搭了底層投票的便車(Piggyback),藉此最佳化效能。如此在每個時期結束時,每個片都會收到所有其他片在該時期的投票,Casper FFG 活躍性得以維持。
結語
Casper FFG 是一個實現權益證明的大膽嘗試,它在以太坊2.0 的表現值得期待。然而以太坊2.0 還有許多難題留待解決,例如輕節點(Light Client)/ 鏈上亂數產生器(On-chain Random Number Generator)/ 跨片交易(Cross-shard Transaction)等等。與此同時,許多以太坊2.0 的競爭者也提出新的共識協定與分片技術,例如RapidChain / Harmony / Chainspace 等等。
Casper FFG 以及以太坊2.0 是經過眾多研究員/開發者不斷激盪與迭代的重要結晶,但一直以來都缺乏提供系統性論述的中文材料,希望此文可以幫助中文世界的研究員/開發者快速理解Casper FFG與以太坊2.0 的精要。
