【深度】加密經濟學在區塊鏈技術上的應用

加密經濟學來源于兩個詞匯：密碼學和經濟學。

人們常常會忽略其中“經濟學”的成份，而恰恰正是這一成份賦予了區塊鏈以獨特性。

區塊鏈并非是首個使用“去中心化的點對點系統”的技術，洪流網站（torrent sites）在文件共享上對此技術的使用由來已久。

然而，從某種意義上來說，這是一次失敗的應用。

為什么點對點的文件共享是個失敗的應用？

在一個洪流系統（torrent system）中，任何人都能通過一個去中心化的網絡來共享文件。

這個想法旨在讓每個下載者在下載的同時也保持著向網絡里的其他下載者提供種子（上傳已下載的數據）。

問題是，這一系統的運作邏輯是建立在榮譽系統制度上的。如果你下載了一個文件，系統預期你也會提供種子。

但是在沒有經濟激勵的情況下，人們認為持續上傳種子是件毫無意義的事情，尤其是當這一行為還將占據電腦里更多的存儲空間時。

中本聰和區塊鏈技術

2008年10月，中本聰（一位匿名男士、女士，或組織）發布了一篇論文，此文為比特幣（Bitcoin）后續的發展奠定了基礎。

這篇論文將會動搖網絡社區的根基，因為這是我們有史以來第一次擁有了一個以加密經濟學為理論依據的工作模型。

與之前的點對點去中心化系統不同的是，人們現在有了經濟激勵去“遵守規則”。

不僅如此，區塊鏈技術的真正天才之處在于其克服了拜占庭將軍問題，并創造了一個完美的共識系統（詳見下文）。

比特幣的加密經濟學屬性

那么，像比特幣這樣的，基于加密經濟學理論的加密貨幣，究竟有哪些屬性呢？

讓我們一一闡述：

• 它是基于區塊鏈技術而產生的貨幣。其中，每個區塊都包含前一個區塊的哈希值，從而形成一條連續鏈。

• 每個區塊都包含多筆交易。

• 新產生的交易會使所有區塊的特定狀態得以更新。例如，如果A有50個比特幣，且想把其中的20個比特幣發送給B，那么在新的狀態下就會顯示：A只剩下30個比特幣，而B擁有20個新的比特幣。

• 區塊鏈必須是不可變的。只可能新增區塊，而不可篡改舊的區塊。

• 僅允許有效交易。

• 區塊鏈應當是可下載的，任何人在任何地點都可以輕松接入并查詢某筆特定的交易。

• 如果支付了足夠高的交易費用，則交易可以被快速添加至區塊鏈上。

正如其名，加密經濟學有兩大支柱：

• 密碼學

• 經濟學

區塊鏈技術的運行中使用了多項密碼學函數。讓我們看一下其中一些主要的函數：

密碼學

區塊鏈技術的運行中使用了多項密碼學函數。讓我們看一下其中一些主要的函數：

• 哈希算法

• 簽名

• 工作量證明

• 零知識證明

哈希算法

簡言之，哈希算法是將任意長度的字符串映射為較短的固定長度的字符串。比特幣則是使用SHA-256摘要算法對任意長度的輸入給出的是256bit的輸出。

那么，加密貨幣中哈希算法的應用有哪些？

• 加密哈希函數

• 數據結構

• 挖礦

加密哈希函數：

一個加密哈希函數有如下特性：

• 確定性：無論在同一個哈希函數中解析多少次，輸入同一個A總是能得到相同的輸出h(A)。

• 高效運算：計算哈希值的過程是高效的。

• 抗原像攻擊（隱匿性）：對一個給定的輸出結果h(A)，想要逆推出輸入A，在計算上是不可行的。

• 抗碰撞性（抗弱碰撞性）：對任何給定的A和B，找到滿足B≠A且h(A)=h(B)的B，在計算上是不可行的。

• 細微變化影響：任何輸入端的細微變化都會對哈希函數的輸出結果產生劇烈影響。

• 謎題友好性：對任意給定的Hash碼Y和輸入值x而言，找到一個滿足h(k|x)=Y的k值在計算上是不可行的。

加密哈希函數對區塊鏈的安全性和挖礦有巨大的幫助。

數據結構：

有兩種數據結構對于理解區塊鏈非常重要：鏈表和哈希指針。

• 鏈表：鏈表是依次按順序連接而成的數據區塊，如下圖所示：

• 在鏈表中的每個區塊都通過一個指針指向另一個區塊。

• 指針：指針是包含其他變量地址的變量。因此，正如其名，指針就是指向其他變量的變量。

• 哈希指針：哈希指針不僅有其他變量的地址，還有該變量中數據的哈希值。那么，這對區塊鏈而言有何幫助呢？

區塊鏈的構成如下圖所示：

區塊鏈本質上是一個鏈表，其中的每個新區塊都包含一個哈希指針。指針指向前一區塊及其含有的所有數據的哈希值。

借此特性，區塊鏈擁有了不可更改性（immutability）的偉大特質。

區塊鏈如何實現其不可更改性？

假設在上面的圖表中，有人嘗試篡改1號區塊中的數據。請記住加密哈希函數的一個重要特質是任何輸入端的細微變化都會對哈希函數的輸出結果產生劇烈影響。

那么，即便有人嘗試對1號區塊里的數據進行細微的改寫，也會使得存儲在2號區塊里的1號區塊的哈希值產生巨大的變化。

接下來，這將導致2號區塊的哈希值發生變化，進而影響存儲在3號區塊的哈希值。以此類推，最終整條區塊鏈上的數據都會發生變化。

這種通過凍結整條鏈條來修改數據的方式幾乎是不可能做到的。正因如此，區塊鏈被認定為是不可篡改的。

每個區塊都有自己的梅克爾根（Merkle Root）。現在，正如你已知道的，每個區塊里都包含多筆交易。

如果將這些交易按線性存儲，那么在所有交易中尋找一筆特定交易的過程會變得無比冗長。

而這就是我們使用梅克爾樹的原因。

在梅克爾樹中，所有個體交易通過哈希算法都能向上追溯至同一個根。這就使得搜索變得非常容易。

因此，如果想要在區塊里獲取某一特定的數據，我們可以直接通過梅克爾樹里的哈希值來進行搜索，而不用進行線性訪問。

挖礦

加密謎題被用來挖掘新的區塊，因此哈希算法仍然至關重要。其工作原理是調整難度值的設定。

隨后，一個被命名為“nonce”的隨機字符串被添加到新區塊的哈希值上，然后被再次哈希。接著，再來檢驗其是否低于已設定的難度值水平。

如果低于，那么產生的新區塊會被添加至鏈上，而負責挖礦的礦工就會獲得獎勵。

如果沒有低于，則礦工繼續修改隨即字符串“nouce”，直至低于難度值水平的值出現。

正如你所見，哈希算法是區塊鏈和加密經濟學中一個至關重要的部分。

簽名

在加密貨幣中，簽名是其中一個最為重要的密碼學工具。在現實生活中，簽名的概念是什么？又有哪些特性？

想象一下，你在一張紙上簽名后，如何鑒定這是一個好的簽名？

• 可被驗證的。這個簽名要可以證明確實是你在紙上簽名了。

• 不可偽造的。沒有其他人能夠偽造及復制你的簽名。

• 不可抵賴的。如果你使用自己的簽名進行簽署，你就無法將其收回或聲稱他人代替你簽名。

但是，在現實生活中，無論簽名有多復雜，都有被偽造的可能性。你無法通過簡單的視覺輔助工具來真正地驗證簽名的有效性，這樣做既無效率也不可靠。

密碼學給了我們一種通過公鑰和私鑰來解決問題的方案。

讓我們來看看這兩種秘鑰的工作原理和其對加密貨幣系統的促進作用。假設有兩個人，Alan和Tyrone。

Alan想要發送一些非常重要的數據，而Tyrone想要鑒別這一數據確實來自Alan，他們可以通過使用Alan的公鑰和私鑰來實現這一目標。

有一點必須指出，通過某人的私鑰來確定其公鑰是不可行的。公鑰正如其名，指公開的密鑰，可以被任何人獲取。

而私鑰是僅個人擁有的密鑰，你不可以將其與他人分享。

那么，讓我們再回到Alan和Tyrone的話題，如果他們要使用密鑰來交換信息，具體該如何操作呢？

假設Alan想把信息“m”發送出去，Alan有一把私鑰Ka-和一把公鑰Ka+。那么，當他把信息發送給Tyrone時，他會用私鑰將該條信息加密，于是信息變成了Ka-(m)。

當Tyrone收到這條信息時，他可以使用Alan的公鑰來取回信息，Ka+(Ka-(m))，于是便得到了原始信息“m”。

總結一下：

• Alan有一條信息“m”，當他用私鑰Ka-對其進行加密之后，得到加密信息Ka-(m)。

• Tyrone隨后使用Alan的公鑰Ka+來解密這條加密信息Ka+(Ka-(m))，從而得到原始信息“m”。

通過下圖可以得到上述過程的直觀表示：

可驗證性：如果加密信息能夠用Alan的公鑰進行解密，那就可以100%確定是Alan發送了該條信息。

不可偽造性：如果說有其他人，例如Bob，攔截了該條信息，并用自己的私鑰發送了一條自己的信息，那么Alan的公鑰將無法對其解密。Alan的公鑰只能用來解密Alan用自己的私鑰加密過的信息。

不可抵賴性：同樣的，如果Alan宣稱，“我沒有發送信息，是Bob發的”，但Tyrone卻能夠用Alan的公鑰來解密信息，那就證明Alan在撒謊。如此，Alan就無法收回他之前發出的信息，并將其歸咎于他人。

加密貨幣的應用：現在，假設Alan正在發送一筆交易“m”給Tyrone。首先，他要用哈希函數對該交易進行哈希，然后使用私鑰對其加密。

Tyrone知道他正在收到一筆交易“m”，因此他能用Alan的公鑰對其解密，并將解密后得到的哈希結果與他已有的交易“m”的哈希結果進行比對。

由于哈希函數具有確定性，并且對于同樣的輸入總是給出相同的輸出，那Tyrone可以直接確定，Alan確實發送了同一筆交易，且其中沒有任何作惡。

更簡單地來說：

• Alan有一筆交易“m”，并且Tyrone知道他正在接收該筆交易。

• Alan對m進行哈希運算，得到h(m)。

• Alan用自己的私鑰對哈希結果進行加密，得到Ka-(h(m))。

• Alan將加密數據發送給Tyrone。

• Tyrone使用Alan的公鑰來解密，Ka+(Ka-(h(m)))，并得到原來的哈希結果h(m)。

• Tyrone用已知的“m”進行哈希運算，可以得到h(m)。

• 哈希函數的確定性特征決定了如果h(m)=h(m)，就意味著這筆交易是真實有效的。

工作量證明

當礦工們通過“挖礦”來產生新區塊并添加至區塊鏈上時，其中驗證及添加區塊涉及到的共識系統被稱為“工作量證明”。

礦工們使用龐大的計算機算力來解決這道密碼學謎題，而難度值決定了這道題的所需要的計算量。這是區塊鏈技術中最具開拓意義的機制之一。

早期的去中心化點對點數字貨幣系統之所以會失敗，是由于“拜占庭將軍問題”導致的，而工作量證明的共識系統為該問題提供了一種解決方案。

老生常談的拜占庭將軍問題

Image Courtesy: Medium

好了，讓我們想象一下，有一群拜占庭將軍想要攻打一座城市，他們將面臨兩個不同的問題：

• 每個將軍及其軍隊在地理上相距甚遠，因此通過中央集權來指揮是不可行的，這使得協同作戰變得異常困難。

• 被攻打的城市擁有一只龐大的軍隊，他們能獲得勝利的唯一方式是所有人在同一時刻一同發起進攻。

為了讓合作成功，位于城堡左邊的軍隊派遣一位信使，向城堡右邊的軍隊發送了一則內容為“周三攻擊”的信息。

然而，假設右邊的軍隊沒有做好攻擊準備，并讓信使攜帶一則內容為“不，周五攻擊”的信息返回。

而信使需要通過穿越被攻打的城市返回到左邊的軍隊，那么，問題就來了。在這位可憐的信使身上，很多事情都有可能會發生。

例如，他有可能被抓獲、泄露信息、或被攻打的城市殺害后將其替換了。

這將導致軍隊獲得被篡改過的信息，從而使作戰計劃無法達成一致而失敗。

上述例子對區塊鏈有明顯借鑒意義。區塊鏈是一個巨型網絡，你要如何信任他們呢？如果你想從錢包里發送4個以太幣給某人，你如何確認網絡中的某人不會篡改信息，將4個以太幣改成40個？

中本聰發明了工作量證明機制來繞過拜占庭將軍問題。

其運行原理是：假設左邊的軍隊想要發送內容為“周一進攻”的信息給右邊的軍隊，他們需要執行如下步驟：

• 首先，他們會給初始文本添加一個“nonce”，這個nonce可以是任何一個隨機十六進制值。

• 其次，他們將添加了“nonce”的文本進行哈希，得到一個結果。假設說他們決定僅當哈希結果前5位是零的時候，才進行信息共享。

• 如果哈希結果滿足條件，他們就會讓信使帶著有哈希結果的信息出發。否則，他們會持續隨機改變nonce的值，直到得到想要的結果。這一過程不僅冗長耗時，且占用大量的算力。

• 如果敵人抓到了信使，并企圖篡改信息，那么根據哈希函數的特性，哈希結果將會劇烈變化。如果城市右邊的將軍看到信息沒有以規定數量的0作為開頭，那么他們就會叫停攻擊。

然而，這里有可能有個漏洞。

哈希函數并不是100%免碰撞的。那么，如果城市中的敵人拿到信息之后將之篡改，并通過不斷改變nonce值，獲得了以規定數量的0作為開頭的結果，那該怎么辦？

雖然極度耗時，但是仍然可行。針對這種情況，將軍們可以使用數字的力量。

假設，如果不是1個左邊的將軍給1個右邊的將軍發送信息，而是有3個左邊的將軍來給右邊的將軍們發送信息。

為了實現上述目的，他們可以制作自己的信息，然后對累積的信息進行哈希。

緊接著，再給哈希結果添加nonce值后，再次進行哈希。這次，他們希望產生一個以6個0開頭的信息。

顯而易見，這將會非常耗時。但這次，如果信使被城市抓獲，那么敵人想要篡改信息，并且找到符合結果的nonce值，將會耗費無限長的時間，可能歷時數年。

例如，將軍們派遣多個信使，那么，城市在計算到一半的過程中就可能會遭受攻擊并且被摧毀。

右邊的將軍們要做的非常簡單。他們只要將之前給他們的正確的nonce值添加在信息上，并進行哈希，然后對照其結果是否匹配即可。

對一個字符串進行哈希是非常容易的。那么，從本質上來說，工作量證明的過程是：

• 尋找一個符合哈希目標的nonce值，是一個非常困難且耗時的過程。

• 然而，驗證結果中是否有作惡行為卻是非常簡單的。

零知識證明

什么是零知識證明（Zero Knowledge Proof, ZKP）？ZKP意味著A可以向B證明，他知道特定的信息，而不必告訴對方自己具體知道些什么。

在這個例子中，A是證明者，B是驗證者。在密碼學中，這尤為有用，因為這將為證明者提供一層額外的隱私保護。 

運行一個ZKP，要滿足以下這些參數：

完整性：如果陳述屬實，那么誠實的驗證者能被誠實的證明者說服。

可靠性：如果證明者不誠實，他們無法通過說謊來說服驗證者相信陳述是可靠的。

零知識：如果陳述屬實，那么驗證者無法得知陳述的內容是什么。

舉一個零知識證明的例子。讓我們觀察一下阿里巴巴洞穴是如何運作的。

在這個例子中，證明者（P）對驗證者（V）說，他知道洞穴后面暗門的密碼，并提出在不向驗證者透露密碼的情況下證明此事。那么，其驗證過程如下圖所示：

Image courtesy: Scott Twombly 

證明者可以走路徑A或者路徑B，假設他們一開始決定通過路徑A到達暗門。

同時，驗證者V來到入口，他對證明者選擇哪條路徑并不知情，并宣稱他們希望見到證明者在路徑B出現。

如圖所示，證明者確實出現在路徑B上，但萬一這僅是巧合呢？

也有可能是證明者憑運氣在出發時選擇了路徑B，卻因不知道密碼被困在了門口。

所以，我們需要通過多次試驗來確定測試的有效性。

如果證明者每次都能出現在正確的路徑上，那么證明者的確可以在不向驗證者透露密碼的情況下，證明自己知道密碼。

區塊鏈中的零知識證明是如何應用的？

許多基于區塊鏈的技術都在使用Zk-Snarks。事實上，以太坊在大都會階段就計劃引入Zk-Snarks，并且將其加入以太坊的功能庫。

Zk-Snarks是“零知識簡潔無交互知識認證”的簡稱，是一種在無需泄露數據本身情況下證明某些數據運算的一種零知識證明。

以上內容可用來生成一個證明，通過對每筆交易創建一個簡單的快照來驗證其有效性。

這足以向信息接收方證明交易的有效性，而無需泄露交易的實質內容。

這就實現了以下兩種情況：

• 實現了交易的完整性和隱私性。

• 實現了系統的抽象性。由于無需展示整個交易內部的工作方式，因此系統非常易用。 因此，以上就是區塊鏈使用的一些重要的加密函數。現在，讓我們觀察其第二個支柱，經濟學。

經濟學

正如開篇所述，區塊鏈與其他去中心化點對點系統的區別在于，它給用戶提供了金融和經濟激勵去完成某項工作。

和其他牢固的經濟系統一樣，我們都需要通過激勵和獎賞的方式讓人們去完成工作。

同樣的，如果礦工行為不道德或者不盡職，那就要對礦工采取懲罰措施。

接下來，讓我們去觀察一下區塊鏈是如何將所有的經濟學基礎原理融合進來的。

必讀：加密貨幣博弈：

https://blockgeeks.com/guides/cryptocurrency-game-theory/

區塊鏈用到了以下兩種激勵組合：

第一種激勵組合：

• 代幣：加密貨幣作為獎勵分配給那些活躍度高且為區塊鏈做出貢獻的參與者。

• 特權：參與者可以獲得決策權，這將給予他們收取租金的權利。例如，挖出新區塊的礦工們可以成為新區塊的臨時決策者，將短暫地成為新區塊的獨裁者，并有權決定將哪些交易添加至該區塊。他們可以對收錄在區塊內的所有交易收取手續費。

第二種激勵組合：

• 獎勵：好的參與者可以獲得貨幣獎勵，或因盡職而得到決策權。

• 懲罰：壞的參與者必須支付貨幣罰款，或因作惡而喪失權利。

加密貨幣如何實現價值？

加密貨幣和普通貨幣擁有價值的原因大體上是一樣的，即基于信任。當人們信任某一種商品并賦予其價值，它就成為一種通貨。

這就是起初法幣和黃金有價值的原因。因此，當某個給定的商品擁有一個給定的價值時，價值就會隨著供求關系而發生改變。供求關系是經濟學中最古老的規則。

什么是供求關系？

這是供需曲線，也是經濟學中最常見的一張圖表。

如上圖所示，商品的需求與供應呈反比關系。兩條曲線的交匯處是均衡點，也是你想要達到的甜蜜點。

那么，讓我們用這個邏輯來觀察一下加密貨幣，比如說比特幣。

比特幣的發行總量固定在2100萬枚。這即是所有比特幣的市值。由于總量是固定的，那么當涉及到比特幣的供應時，有幾件事必須要考慮清楚。

首先，需要制定一些規則來使比特幣的挖礦變得逐漸困難。否則，礦工們將會肆意挖礦，把剩余的比特幣開采出來，并投放至市場，從而降低整體價值。

為了確保礦工們不會馬上把所有剩余的比特幣都開采出來， 我們需要采用如下手段：

• 首先，每隔10分鐘將一個新的區塊添加至鏈上，每添加一個區塊可以獲得25枚比特幣作為獎勵。時間間隔必須是固定的，以確保礦工們不會無規則地在鏈上持續添加區塊。

• 其次，比特幣協議要求難度值必須不斷地被提高。如先前所說，在挖礦過程中，區塊的哈希值及其nonce值需要低于某個特定的數值。該數值被稱為“難度水平”，通常以數個0作為開頭。當難度提高時，0的數量也在增加。

有了以上兩種方式，挖礦過程變得十分專業，且投入巨大。整個過程確保可以核實市場上所有比特幣的供應量。

這也同樣適用于其他基于工作量證明機制的加密貨幣。

加密貨幣的需求有很多決定因素：

• 該貨幣有怎樣的歷史？

• 最近是否被黑客攻擊過？

• 是否能夠持續產生結果？

• 背后的開發團隊實力如何？

• 是否有變得更好的潛力？

• 宣傳力度如何？

所有這些因素都決定了該貨幣的“熱度”如何。其結果是價值圍繞著需求而波動。

區塊鏈中的博弈論

那么，一個無序的、去中心化的點對點系統是如何保持其誠信的呢？礦工權利很大，且很容易作惡并逃脫。這就是先前嘗試構建去中心化系統失敗的地方。

畢竟，用戶是人類，而人類就有作惡的傾向。因此，你如何建立一個有人類誠信的去中心化系統？答案就在一個最基本的經濟學概念中：博弈論。

博弈論本質上是對戰略決策的研究。其核心是做對自己最有利的決策，并記住對手的決策。博弈論中一個最基本的概念是：“納什均衡”。

納什均衡是一種狀態。在此狀態下，每個參與者的策略是對其他參與者策略的最優反應。沒有一個參與者可以通過獨自變換策略來增加收益。讓我們來觀察一個納什均衡的例子。

如上表所示，我們將其稱為“收益矩陣”。上表中的數字代表參與方采取（或不采取）行動而得到的收益數量。讓我們逐一分析：

假設A采取行動：

那么如果B也采取行動，收益將是4；否則，收益是0。因此，對B來說最佳策略是采取行動。

如果A不采取行動：

那么如果B不采取行動，收益將是0；否則，收益是4。

因此，我們可以得出結論：無論A如何選擇，B的最佳策略就是采取行動。現在，同樣的，我們來觀察下A的最佳策略是什么。

如果B采取行動：

如果A不采取行動，收益將是0；否則，收益是4。那么，對A來說最佳策略是采取行動。

如果B不采取行動：

如果A不采取行動，收益將是0；否則，收益將是4。那么，無論B如何選擇，A的最佳策略就是采取行動。

因此，我們可以得出結論，對A和B來說，最好的策略都是采取行動。

因此納什均衡是：

當A和B都采取行動-

那么，區塊鏈是如何運用納什均衡的呢？因為鏈自身在一個自我強加性的納什均衡里，所以不夸張的說，區塊鏈是真實存在的，而礦工們也可以維持誠信。

讓我們舉個例子：

如上圖所示，藍色的1，2和3號區塊是主鏈的一部分。現在，假設有個惡意的礦工挖出了一個2A區塊，并企圖用一次硬分叉來滿足自己的財務收益。

那么，用什么來阻止其他礦工加入他，并在新的區塊后面挖礦？

其實，礦工們有一個非常困難但卻很快的鑒定規則，那就是任意一個區塊在無效區塊上挖礦，即被認定為無效區塊。

因此，其他礦工只需忽略無效區塊，并繼續在老鏈上挖礦即可。

記住，所有貨幣都是建立在信任和認知價值上的。因此，為什么會有人將那么多的資源浪費在一塊有效性無法被確認的區塊上？

現在你要思考的是：萬一有許多礦工決定加入新的礦群，并在其新區塊上挖礦。這個問題在于，區塊鏈網絡是一個巨大且廣泛分布的網絡，在里面進行交流和協作幾乎是不可行的。

大部分礦工只會選擇能將其收益最大化的那條路徑，正因如此，主鏈的納什均衡也就得以實現了。

區塊鏈中的懲罰

就像其他任何一個有效的經濟系統一樣，應當有正向激勵和負向激勵。在博弈論模型中如何實現懲罰？想象一個收益矩陣，其中參與者的收益很高，則其對社會的影響也非常高。例如：

假設有A和B兩個人，他們都將要犯罪。現在，根據收益矩陣，當他們犯罪時，他們的收益都很高。因此他們的納什均衡點是都去犯罪。

雖然這在邏輯上是有意義的，但會帶來非常惡劣的社會影響。人類多半是被個人貪婪所驅動的，而非利他主義。

如果這是真的，那么世界將變成一個很糟糕的地方。那么，人類如何應對的？答案是引入懲罰機制。

假設我們有一個系統，每當有-0.5個因子的公共設施從公眾手里被取走，就要相應的對任何犯罪的人記錄-5個因子的懲罰。

那么，讓我們將懲罰因子加入上面的收益矩陣中，再觀察下表的變化：

如上表所示，收益發生了巨大變化。納什均衡變成了（1,1），不犯罪是最佳策略。

現在，懲罰的代價是高昂的，但是社會畢竟損失了0.5個因子的公共設施。

那是什么激勵著社會加入這場懲罰博弈？這個問題的答案是將懲罰作為針對每個人的強制措施，即任何一個沒有參與到懲罰博弈中的人也將會被懲罰。

例如說，用稅收供養的警力。警察可以懲罰罪犯，但公共設施的損失會以稅收的形式從公眾手里取走。

任何參與博弈但沒有付稅的人，都會被認作為是罪犯并受到懲罰。

在區塊鏈里，任何不遵守規則并且非法開采的礦工都會受到懲罰。他們會被剝奪特權和承受被社會排斥的風險。

這種懲罰會變得更加嚴厲，一旦權益證明被采用后（稍后詳述）。通過使用簡單的博弈論和懲罰系統，礦工們就能保持誠信。

礦工們更多的動機

當礦工（們）成功地挖到了一個區塊，他們成為了這個區塊的臨時決策者。

無論是選擇哪筆交易放入區塊中，還是提高該筆交易的速度，他們都擁有完全的管轄權。

他們可以對收錄的交易收取手續費。這對礦工們是一種激勵，因為他們除了能夠獲得挖到一個新區塊的獎勵之外（比特幣的新區塊獎勵是25個BTC，以太坊是5個ETH），還能得到額外的經濟獎勵。

為了讓系統公平，同時也確保每次不是同一批礦工挖到新的區塊，并獲得獎勵，系統會階段性調整挖礦的難度水平。

這就確保挖到新區塊的礦工是完全隨機的。長遠來看，挖礦是一個零和博弈，換言之，礦工通過挖出新區塊而得到的利潤終究將根據挖礦的成本來進行調整。

P+Epsilon攻擊

但是，一個工作量證明系統，容易受到一種名為“P+Epsilon攻擊”的特殊類型攻擊。為了理解這種攻擊的原理，我們必須事先定義以下名詞。

非協作選擇模型：在一個非協調選擇模型中，所有的參與者都沒有動機與其他人進行合作。

參與者可能形成群體，但在任何時候，這個群體都不會大到占據多數。

協作選擇模型：在這個模型中，所有參與者都會為一個共同的激勵而協作。

現在，假設區塊鏈是一個非協調選擇模型，但如果有一個動機能夠讓礦工們采取行動去損害區塊鏈的完整性，那該怎么辦？

如果可以通過賄賂使礦工們采取某一特定行動，那該怎么辦？此時就要引用賄賂攻擊者模型。

現在，假設區塊鏈是一個非協調選擇模型，但如果有一個動機能夠讓礦工們采取行動去損害區塊鏈的完整性，那該怎么辦？

如果可以通過賄賂使礦工們采取某一特定行動，那該怎么辦？此時就要引用賄賂攻擊者模型。

什么是賄賂攻擊者模型？

象一個非協調選擇模型。現在，假設有一個攻擊者進入了系統，并賄賂礦工們去相互協作，那該怎么辦？

這個新的模型就是賄賂攻擊者模型。為了成功地賄賂系統，攻擊者必須擁有以下兩種資源：

• 預算：攻擊者愿意支付給礦工們去執行某個特定行動的現金總額

• 成本：最后實際支付給礦工們的金額。

• 然而，如果一個攻擊者決定對區塊鏈發起攻擊，我們會得到一個有趣的謎題….，此時就會出現“P+Epsilon攻擊”。

我們可以參考下圖：

Image courtesy: Vitalik Buterin Presentation.

想象一個簡單的博弈，例如選舉。如果人們投票給某個人，并和其他人一樣投票給同一個人，那么就能獲得收益，否則就沒有收益。

那么想象一下，一個賄賂者接入系統，并對某個個體制定了這個規則。

如果你投票時其他人沒有投，那么你會得到“P + ε”的收益。除了普通收益P之外，還有一個額外的賄賂收益 ε。

那么現在，收益矩陣如下圖所示：

Image courtesy: Vitalik Buterin Presentation.

現在想象一下這個場景，博弈中的每個人都知道假設他們投票了，那么都有可能得到收益，但如果他們不投票，那就只有50%的概率得到收益。

你認為參與者會怎么做？當然，他們會通過投票來確保收益。這正是有趣的地方所在。正如矩陣中所示，賄賂者只需支付費用“ε”，當有人投票了，而其他人沒有投票的時候。

但是，在這種情況下，因為所有人都投票了，納什均衡點轉變為：

是的，賄賂者都不需要支付賄賂費用！

因此，讓我們從賄賂者的視角來看待這個問題：

• 說服群體按照某種方式去投票。

• 無需支付賄賂費用即可實現目標。

這對賄賂者來說是一個巨大的雙贏局面，同時，這對區塊鏈影響重大，尤其是在基于工作量證明的系統中。讓我們把之前的虛擬區塊鏈再拿出來檢驗一下：

假設賄賂者真的想讓區塊鏈進行硬分叉，同時宣布對那些選擇加入新鏈的礦工們給予賄賂費用 ε，這將激勵整個礦工社區進行協作并加入新鏈。

顯然，這需要極高的賄賂費用來實現上述情形，但正如我們在上面的賄賂攻擊模型中所看到的那樣，攻擊者甚至不用給出該數量的金額。

根據Vitalik Buterin所說，這就是工作量證明系統最大的問題之一，即易受到“P+Epsilon攻擊”。

解決方案在于權益證明

權益證明機制是針對這類以激勵驅動的攻擊的解決方案。在該類系統中，礦工們需要提取一定比例的私人財富，并將其投資于未來的區塊中。

這將是一個更好的經濟系統，因為其中的懲罰更為嚴厲。礦工們將面臨其權益和財富被剝奪的可能性。

而不是像之前一樣，僅僅被剝奪權利或在受到指責后逃脫。

因此，這是如何防治“P+Epsilon攻擊”的？假設你是一名礦工，你有一部分的財富被投資于即將添加到主鏈上的一個區塊中。

現在，來了一個賄賂者來告訴你，你能夠得到一個額外的收益，如果你將區塊加入主鏈。

但是，如果新鏈未被確認，那么你就有很大的風險會損失你投資在區塊上的所有金錢。此外，正如“P+Epsilon攻擊”所述，你不會從賄賂者那里得到額外的收益。

顯而易見的，對于一個礦工來說，一旦他們投資了一個權益，他們將會繼續在主鏈上工作，而不是參與作惡。

結論

如你所見，密碼學和經濟學以一種非常美妙且復雜的方式結合起來創造了區塊鏈技術。

在過去幾年中，它所經歷的成長令人難以置信。未來，它將變得更加強大，且應用更為廣泛。