权益证明机制（PoS）到底犯了什么错？

用计算机管理资产不是什么新鲜事儿，事实上，这是计算机被发明的主要目的。那么问题来了，比特币和区块链有什么不一样的呢？

用楔形文字记录在土泥板上的账本，上面记载着谁欠我几只羊

比特币之前所有数字金融资产都被称为借据（IOU）系统，这种系统和数据库本身不持有这种资产。数据库中记录的是这些外部资产的账单，这种账单的记录早在人类文字刚出现就有了，它并没有因为计算机的出现而从根本上改变。

这种IOU数据库，增加额外记录的边际成本是零。一旦我花钱买来一个棍子和一个土泥板儿（作者指的是一台1U服务器和一个MySQL拷贝），那么添加记录和跟踪新资产的成本就变为零。我们使用这种记录工具的原因是，这种记录工具的成本远低于我们跟踪管理的那些资产的价值。

对于这样的IOU系统来说，它们的缺点是，不管你的记录牢靠的像铜墙铁壁，还是不坏金刚，它们都得和真实世界的资产绑定起来。不能因为我的土泥板儿上记着你有三只羊，欠我两只，就证明你控制着三只羊或者有偿还两只羊的能力。这就是所谓的交易对手风险，这也是基于IOU计算系统的基本原理，这也导致了政府监管的中央合约清算中心（DTCC，美国证券托管结算公司）的成立。

比特币为什么不一样呢？因为这个数据库记录就是资产。也就是说它是第一个数字不记名债券，“分布式数据库”让它拥有持有不记名债券的能力。集中化数据库不能持有不记名债券，也不能把他们从中心数据库中移走。

比特币的共识机制基于工作量证明机制（PoW）,在这种机制下，矿工通过竞争来产生新区块，更新账簿，这个过程要消耗大量现实世界的资产，这个过程是哈希算力的竞争。此过程就其本身而言，并不是一种产生价值的过程，它分配矿工激励的比特币有一定的随机性，还有就是这个过程为现实世界的资产提供了一个锚点。

让我们再次强调一下上文末所说的重点，因为我觉得很多人没有抓住我说的重点：

挖矿是通过现实世界的支出为加密资产提供一个价值锚点。

挖矿消耗了一定数目的钱，在挖矿正在进行的时候矿工在头脑中计算着资产负债情况：挖矿硬件投资多少钱，消耗的电费是多少，当前比特币的价格是多少？虽然有密码学签名和证明，然而币在一个被保护的链上转移是需要这笔初始基础建设资金的。这也是为什么没有人为SQL数据库中添加记录而花钱的原因，它的边际成本为零。这也是为什么区块链快速处理IOU票据资产是一个挑战，区块链处理交易后（post-trade）交割还面临很多问题。比特币可以实现无对手合约风险交割的原因是，这个数据库记录本身就是资产，只有一种资产是被密码学管理者发行的，它才会被区块链赋予无对手风险的能力。这也是为什么 私人有价证券的发行被 Symbiont 和 Nasdaq Linq接管是个好主意的原因。这些数据库记录本身必须是资产。这些数据库记录必须是这些资产存在的唯一格式；这些资产不是借据。

数据库记录本身就是资产。

挖矿过程是否是一种浪费，这个问题存在争议，环保人士关心这个问题也是无可厚非的。这也是为什么有很多人寄希望于叫做“权益证明（PoS）”的替代模式。

权益证明机制（PoS）

权益证明机制的目的是让所谓的“权益者”、“锻造者”或者“验证者”来代替矿工，他们本质上是相关币的持有者，持有币来证明他们工作着，以便最大化他们的“权益”。我们姑且把他们叫做验证者，在比特币的利益最大化策略包括共识规则和币的分配。比特币把这两种策略合并了，我们把它们拆开分别来分析一下。

共识

现在有很多关于创建拜占庭容错（BFT）数据库的文献，其中还有和更高级的蜜獾拜占庭容错（ Honey Badger BFT）相关的文献。这是一个长期被业界忽视的主题，没有人会想着分享自己的数据库，所以，目前的业界只销售非拜占庭错误容错的数据库，例如面向崩溃的节点销售这中数据库。这些文献提供了不靠经济激励解决拜占庭错误的靠谱方法。

先做这样的假设，利益最大化策略可以应用于一个币上，假设这个币起初有价值。但是，就像我们所争论的那样，数据库记录的边际成本为零，即使它们现在是密码学签名记录，最大化价值为零的数据库记录价值还是零。这种情况有一个经济学上的描述叫做“利益不相干”。利益最大化的算盘就可以开打了，创建一个区块的成本为零（所以它们价值为零），分叉的成本也为零。

因为创建一个支链没有成本，有一些币就会试图阻止被整编进区块，反正成本为零嘛，这就导致一定高度区块之上（看看NXT的720区块）的两条链无法整编进主链，或者采用“资产冻结”方式，让验证者支付一定的保证金或者资产，这样才能成为一名验证者，这份资产必须保证一段时间不被移动（以太坊的Casper提案是4个月的时间）。这种方法没有解决根本问题，这么做只会告诉我发动分叉攻击必须达到多大规模。我们姑且称这为权益分叉时间F。

这种共识观念基于一个循环论证：我有达成共识的区块F，所以我可以利用它来决定F+1的共识。这种论证是循环的，在逻辑上是不正确的。攻击者很容易在F区块处创建10000个分叉，找到正确的那一个要靠好运气，这导致了以太坊社区的一些人拥抱“弱主观性（weak subjectivity）”概念，它的基本意思是：我认为我能搜索到哪个是最近的区块哈希，然后找到正确的答案。如果有10000个潜在被验有效的分叉，那么这种方式存在致命缺陷论证，而且这是用社会政治解决方案来解决技术问题。这相当于攻击者有意愿有能力为他们的攻击架设虚假网站，历史表明无成本的媒介是失败的。

在以太坊和Tendermint爱好者中存在一种普遍的信仰——可以通过销毁攻击者的保证金来惩罚他们。然而，我们只能在一个包含对他们惩罚规则的账簿中完成对他们的惩罚，一个攻击者永远不会创建一个包含对自己惩罚的账簿。我认为这种信念是一种把非可替代的记账系统转变为可替代的记账系统的逻辑上的应用。币不可以从一个分叉张扣除添加到另一条链上，这不是分叉的工作方式，一个分叉是一个彻底不同的历史，币在分叉的链之间是没有可替代性的，因此不可能“惩罚”到攻击者。人们能做的仅仅是让保证金冻结的时间更长一点，这又回到了循环争论中。

最后还有一个争论是“权益证明币种已经存在这么长时间了，这还不能证明它们的成功？”确实，点点币、未来币、比特股等这些权益证明币种存在好几年了，问题是它们的很负面的激励问题。拿未来币做例子，很显然一个人可以成为一个验证者，也可以创建出720区块，要完成这任务，我必须持有一堆我不能卖出的币。这种消极的激励方式阻止了这些币感知攻击水平，像比特币曾遭受过的攻击水平，少有但并不是没有。

币的分配

像比特币这种工作量证明币种，币的是通过每一个区块的开采来完成分配的。每个矿工都会通过理性的经济计算来决定是否进行开采，以此给现实世界提供了一个价值锚点，人们不会为了利他主义而创建“ Genesis Mining”（冰岛的一个矿场），他们也不会因为他们需要“世界计算机燃料”去建立矿场。

冰岛开采以太币的矿场

每个币的分配都有一个分配计划表。对于比特币来说，它是按一个指数衰减来分配的。以太坊每个区块分配的币是一个常数。这个分配计划表必须和比例高于50%的矿工作业保持一致，否则就会损失算力，一旦有超过50%的算力被分离出去，那么就有一个很大的可能，那就是意味着分离出去的矿工正在酝酿着51%攻击。

出于这个原因，我觉得即使是比特币的分配计划表都是有瑕疵的。这种情况下的资产于现实世界的锚点就是工作量证明哈希算力，奖励的币应该和计算这些哈希值的难度成正比。在比特币的例子中也差不多就是这样的，除了奖励减半这一点，也就是每个区块奖励的币大约四年减半一次。这已经被破产的矿业公司KnCMiner狠批过了。没有多少产业能够经受得起收益突然减半。如果比特币继续着它的减半分配计划表，那么是否会有高于50%的算力离去，这将是一个不确定的问题。

更好的方式是直接按难度比例来分配币的奖励。这可以让加密货币的挖矿与真实世界的挖矿更加相似，能源的供给实际上并不是固定的。沉淀在黄金上的时间是50亿年，我们也应该以更长远的眼光来创建加密资产。币的分配应该和难度成正比，这样就不会丧失算力较低的矿工了。比特币非常努力的保持独立，然而历史新高的难度牵制着它，它依赖于币的分配计划表，如果没有这种依赖，它会更加健壮。未来的博文会更详细的说明这个问题。

以太坊激活了一个“难度炸弹”，它的难度系数以指数级增长，以至于要采用PoS模式。可以推断出在过去的几个月哈希率的增长呈线性增长，难度指数级的增长速度将会在2018年头几个月超过哈希率的增长速度，到那个时候，以太坊将会失去对现实世界的锚点，继续创造新币，届时它将成为一个通货膨胀的币种。它对于现实世界的锚点，在起初的PoW阶段被固定，一个潜在的验证者为固定的PoW哈希池竞争，这是一种零和竞争，因为存在一部分非验证者账户，币的分配相当于把一个通胀资产从非验证账户转移到验证者。所以说“难度炸弹”应该叫做“通胀炸弹”。

如果觉得上文太长而没看，请看这里

PoS的整个理念是一种循环逻辑，存在像“缺少证明就是没有的证明”这样的逻辑错误，和对可替代性与分叉的误解。这些致命的问题不会通过重新整理保证金而修复，在其它新闻中，我听说泰坦尼克号上的甲板椅整理的很整齐。进一步来说，即使PoS运行正常，这样的币对于现实世界没有锚点，零成本零价值。这种拜占庭容错数据库的正确应用是IOU资产，这种资产背后应代表着IOU资产。

以太坊转向PoS的构想是拙略的，通胀将毁掉这个货币。

把币的分配时间表改为按难度的比例来分配奖励，将会让这种资产自然的发展，这更加直接的反应了这种资产起初的目的。