VRF抽簽與投票的思考

?

在區(qū)塊鏈上，人類真正實(shí)現(xiàn)了“私有財(cái)產(chǎn)神圣不可侵犯”

VRF（可驗(yàn)證隨機(jī)函數(shù)）在Algorand提出后，被越來越多的公鏈項(xiàng)目應(yīng)用。VRF的特點(diǎn)在于其能夠產(chǎn)生一個(gè)能夠被驗(yàn)證的隨機(jī)結(jié)果，通過該隨機(jī)結(jié)果，在區(qū)塊鏈中可以實(shí)現(xiàn)隨機(jī)“選舉”或“抽簽”。與POS結(jié)合后能夠減輕POS的“富者恒富”的現(xiàn)象。

然而我們知道，魚和熊掌不可兼得，提高公平性（去中心化）的代價(jià)是犧牲性能或安全性。Algorand選擇了犧牲一定的共識(shí)效率來換取公平性（去中心化）。以下是在分析Algorand、Ont等使用VRF的共識(shí)算法中，對(duì)VRF抽簽與投票的一些思考。

Algorand概括

Algorand作為第一個(gè)使用了VRF的共識(shí)算法，其共識(shí)流程可以大致總結(jié)為三個(gè)步驟：

隨機(jī)選舉多個(gè)提案者，提案新區(qū)塊。（提案者由VRF抽簽）

收集多個(gè)提案區(qū)塊并選出權(quán)重最高者。

BA* 對(duì)多個(gè)區(qū)塊提案中的一個(gè)提案達(dá)成共識(shí)。（每一步的投票者均需要VRF抽簽）

POS + Random

VRF本質(zhì)是隨機(jī)函數(shù)，而在區(qū)塊鏈系統(tǒng)的共識(shí)流程中不能用完全公平的隨機(jī)，因?yàn)槌鰤K者需要有激勵(lì)，同時(shí)每個(gè)節(jié)點(diǎn)的貢獻(xiàn)值也并非一致。 所以通常都會(huì)在VRF抽簽之前加一層POS，將“更優(yōu)”的一批節(jié)點(diǎn)先選出來作為候選人。

對(duì)于POS+Random 的共識(shí)算法，一般有如下三種情況:

Case 1. 隨機(jī)抽簽出一個(gè)提案者，其他節(jié)點(diǎn)驗(yàn)證并接受該節(jié)點(diǎn)提案。

Case 2. 隨機(jī)抽簽出一個(gè)提案者與多個(gè)投票者，需要投票者對(duì)區(qū)塊達(dá)成共識(shí)。（代表：Tendermint）

Case 3. 隨機(jī)抽簽出多個(gè)提案者與多個(gè)投票者，需要投票者從多個(gè)提案區(qū)塊中選出一個(gè)并達(dá)成共識(shí)。（代表：Algorand）

下面我們來一一解析以上case：

Case 1即為很純粹的POS，希望通過隨機(jī)抽簽抑制“富者恒富”的現(xiàn)象。但純粹的POS有Nothing at stake的問題，提案者可以基于多個(gè)分叉鏈提出不同的區(qū)塊，使得分叉進(jìn)一步加劇。（以太坊Casper FFG依靠懲罰金來解決，但這無疑也增加了系統(tǒng)的復(fù)雜度）

Case 2很類似于自帶viewchange的PBFT，一般容錯(cuò)率也為1/3。投票者的目的在于給于deterministic confirmation，且部分解決了Nothing at stake問題。為何說是“部分解決”，因?yàn)闉榱俗畲蠡岣邊^(qū)塊通過的概率，提案者仍會(huì)給多個(gè)分叉鏈投票。但由于有投票者這一角色，可保證在網(wǎng)絡(luò)不分區(qū)的情況下理論上不會(huì)產(chǎn)生分叉。同時(shí)，由于隨機(jī)抽簽采用公開的信息，提案者也能夠被預(yù)測(cè)。

Case 3其實(shí)是Algorand的高度簡(jiǎn)化版，Case 2也可作為Case 3的一個(gè)特例。一方面，多個(gè)提案者之間相互競(jìng)爭(zhēng)，促使提案者本身提出正確的區(qū)塊；另一方面，對(duì)于抽取多個(gè)提案者的場(chǎng)景，可采用VRF作為隨機(jī)函數(shù)：節(jié)點(diǎn)使用公開的信息和自己的密鑰直接在本地運(yùn)行選舉函數(shù)判斷自己是否被選中，其他節(jié)點(diǎn)能夠驗(yàn)證但無法預(yù)測(cè)提案者。

這里值得注意的是，在分布式網(wǎng)絡(luò)中，VRF無法完成固定數(shù)量的抽簽任務(wù)，原因是VRF的一個(gè)Input是節(jié)點(diǎn)私鑰，這使得每個(gè)節(jié)點(diǎn)產(chǎn)生的隨機(jī)值均不相同，全網(wǎng)只能驗(yàn)證結(jié)果是否合法，但無法設(shè)計(jì)統(tǒng)一的標(biāo)準(zhǔn)使得某個(gè)隨機(jī)結(jié)果唯一性地符合某個(gè)條件。

VRF抽簽的優(yōu)勢(shì)

在VRF出現(xiàn)之前，為了滿足選舉信息的可驗(yàn)證，通常采用公開的信息作為Input，通過公開的隨機(jī)函數(shù)得出隨機(jī)結(jié)果，以隨機(jī)結(jié)果作為依據(jù)進(jìn)行抽簽。 由于所有信息均為公開，故所有節(jié)點(diǎn)都可以在本地計(jì)算出抽簽結(jié)果。

但上述抽簽方案有一個(gè)很大的問題：攻擊者有一定的時(shí)間窗口能夠預(yù)測(cè)出抽簽結(jié)果，及時(shí)對(duì)被選舉人實(shí)施攻擊。

VRF很好地解決了這個(gè)問題：

由于使用節(jié)點(diǎn)私鑰作為Input，VRF的結(jié)果無法被預(yù)測(cè)。其他節(jié)點(diǎn)只有通過網(wǎng)絡(luò)接收到隨機(jī)結(jié)果后才能對(duì)其合法性進(jìn)行驗(yàn)證，即攻擊者在得知選舉結(jié)果時(shí)，選舉人已經(jīng)做出行動(dòng)了。

VRF的輸出值除了隨機(jī)值外，還包含一個(gè)proof，提供了隨機(jī)值驗(yàn)證的零知識(shí)證明，即不必知道某人私鑰即可證明該隨機(jī)值是由某人產(chǎn)生的。

VRF抽簽的弊端

VRF為隨機(jī)抽簽提供了隱私性和可驗(yàn)證，但也帶來了一個(gè)很棘手的問題：丟失全局的抽簽信息，降低投票共識(shí)的成功率

由于VRF需要私鑰作為Input，其他節(jié)點(diǎn)只能通過網(wǎng)絡(luò)通信獲得相應(yīng)proof后才能驗(yàn)證隨機(jī)結(jié)果是否合法，所以任何節(jié)點(diǎn)都無法得知全網(wǎng)的真實(shí)選舉情況的。這對(duì)投票類共識(shí)算法帶來了巨大的挑戰(zhàn)。投票類共識(shí)算法必須設(shè)置一個(gè)通過閾值（如2/3以上），只有通過該閾值才視為投票通過。而基于VRF的共識(shí)算法丟失了全局的選舉信息后，只能以期望值的形式設(shè)置閾值，使得投票退化為概率型投票。

如何理解概率型投票？首先，我們需要明確確定型投票的定義——投票結(jié)果應(yīng)遵循大部分提案者的意見（通過或不通過）。當(dāng)投票結(jié)果不一定會(huì)遵循大部分提案者的意見，那么就屬于概率型投票。對(duì)于由VRF選出的投票者的投票階段，由于閾值的設(shè)置與實(shí)際選舉情況是割裂的，則即使大部分投票者同意提案，提案仍有可能達(dá)不到閾值，從而顯示“不同意”的結(jié)果，與大多數(shù)投票者的意志相背。我認(rèn)為，之所以Algorand在BinaryBA*中要設(shè)計(jì)多輪投票，并且每一步均重新選舉投票者，其目的是通過不斷重選提高實(shí)際投票達(dá)到閾值的概率，通過多輪投票提高達(dá)成共識(shí)的概率。

BinaryBA*算法

總結(jié)

VRF算法最早由Silvio Micali（圖靈獎(jiǎng)得主，Algorand的創(chuàng)始人）在1999年提出，也是由他首次將其引入到區(qū)塊鏈中，為區(qū)塊鏈的共識(shí)算法提供了嶄新的研究思路和解決方案。但我們?cè)诜治霾⑹褂肰RF的時(shí)候，不僅需要分析VRF本身，也應(yīng)該關(guān)注先驅(qū)者是如何思考和設(shè)計(jì)基于VRF的共識(shí)算法過程。一味地將VRF遷移至其他的共識(shí)算法，可能并不能達(dá)到預(yù)期的效果，甚至反而會(huì)帶來其他的不確定性風(fēng)險(xiǎn)。

總結(jié)

以上是生活随笔為你收集整理的VRF抽签与投票的思考的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。