区块链交易结算保证

如何评估区块链

在主要区块链上最终确认的时间是多少？在考虑比特币交易已结算之前，我应该等待多久？有哪些风险因素可能会让我要求额外的确认？确认如何影响结算？

令人惊讶的是，甚至在2019年，离第一个比特币区块被挖掘已经过去10多年，这些问题都没有好的答案。对工作量证明属性的严格调查受到了两方面的阻碍：一种是认为它仅仅是未来某个优越共识/反Sybil机制的临时过渡地，另一种是比特币用户相信其质量是不可侵犯的。

但这些问题是根本的。如果你相信，未来可预见的时间里，具有开放验证者集合和分布式收敛机制的公共区块链会继续存在并调解价值转移，那么这些问题值得深思。如果你是一家交易所，而你的生计依赖于正确评估各种区块链上所需确认的数量，那么这些问题就非常关键。首先，让我解释一下我为什么认为结算保证是任何公共区块链最值得思考的事情。

比特币的有趣之处是什么？

这是一个令人惊讶的难题。问十个不同的比特币用户，你会得到十二个不同的回答。有关比特币用途及其目的的争论，几乎在2014年至2017年间撕裂了社区。 Hasu 和我曾试图在 一篇文章 中记载这些竞争性的愿景。其他人也注意到了这一点，并对此进行了详细的报道。我特别喜欢 Murad Mahmudov 和 Adam Taché 的 看法。Daniel Krawisz 在2014年对这一话题进行了很好的 探讨。

在Krawisz的文章中，他提出比特币被两个主要群体理解的方式非常不同：投资者和企业家。他认为，投资者相信比特币是一种高效的货币形式，主要维护个人的主权。投资者们倾向于相信，比特币会因为其货币属性的内在强度而流行化。对他们而言，传教是无意义的：价格是最好的传教士。他称之为“企业家”的另一方，则更关心比特币作为全球支付系统的作用，强调其在商业中的使用。任何关注2015年至2017年的人都知道，这两方在比特币的目的问题上打了一场激烈的内战，区块大小是主要战场。

也许这些观点可以协调。我倾向于认为，比特币有趣之处在于它能通过具有极强保证的通信媒介来促进价值转移。 (我努力分析并评估这些保证 这里。) 我认为比特币是一种新颖的 制度技术— 高保证的财富储存和转移 不依赖 国家或金融体系，这将打开人类组织的新模式，并使那些财产权得到严格执行的地方能够实现生产性商业。

那么，如果结算上的保证是系统最有趣的东西，我们该如何评估它们？我们如何在比特币和其他具有开放验证机制的系统之间进行一致的比较？

评估结算

那么结算保证究竟是什么呢？它们指的是一个系统能够给予接收者信心，确保一个入站交易不会被逆转。使用如SWIFT这样的消息系统进行的电汇在某种程度上受到欢迎，因为它们几乎不可能被逆转。它们被认为是安全的，因为发起银行仅在资金完全存在于发送者账户时才会释放资金。

这就是为什么涉及到"1亿美元 的孟加拉国银行抢劫案的罪犯使用SWIFT和银行电汇；他们希望利用其结算保证。换句话说，他们选择使用一个他们知道会很难逆转的系统来进行盗窃。最终，这起抢劫案中6100万美元仍然不明。远非SWIFT和银行转账的失败证据，这展示了系统的优势。即使在这个几乎所有参与者都希望逆转交易的案例中，他们也无法做到。该系统抵抗回滚、酌情权和事后修改。这并不意味着它是一个坏系统，而是它让交易对手双方在交易会最终完成时提供了大量的保障。

以类似的方式，比特币是一个有效的系统，因为它为用户提供了强大的结算保证。究竟有多好，我们并不确切知道。 LaurentMT 在其优秀的 Gravity 系列中可能进行了最具科学性的探索。总体而言，比特币的PoW属性尚未被充分探索。它在历史中遭遇过几次重组，但是，据我们所知，没有发生过故意的对抗性重组，造成资金被盗。而且我们知道，矿工投入的现实资源非常可观，这意味着比特币交易的接收者可以非常有信心地认为，一旦交易被隔离在几块区块下，“再次被逆转”是不太可能的。

然而，许多竞争币的情况并非如此。尽管它们在许多情况下看起来与比特币相似，但没有一个具备相同的结算保证。这并不一定是由于设计缺陷，而只是因为比特币的区块空间积累了更多的成本，即每单位时间攻击的成本更高，因为比特币几乎在其哈希函数上是个垄断者，并且拥有专用设备。有些不太知名的链、尽管它们的攻击成本较低，却没有被利用。这可能是由于实施51%攻击的盈利是需要利用一个交易所，这样会引入额外的复杂性。此外，坦白说，大多数小币本身并不值钱（且在卖空方面没有流动性），限制了攻击的收益。

如果要了解许多加密货币的脆弱性，可以浏览一下 crypto51.app。该方法在某种程度上不切实际地假设攻击者能够在Nicehash中租用足够的硬件，但它仍然很好地描绘了攻击这些系统所需成本的下限。

那么在评估公共区块链系统的结算时，关键变量是什么呢？让我们将它们分为易于量化的和不易量化的变量。

在我们进入之前，让我们先暂停一下，进行一次小的文献回顾，以致敬该领域的一些先前工作：

• 如果想要更简明扼要的看法，可以阅读 Anthony Lusardi 的 理解（及缓解）重组。
• 关于比特币工作量证明质量的全面调查，请参见：瑞士国际结算银行 Raphael Auer 撰写的 Beyond the doomsday economics of “proof-of-work” in cryptocurrencies。
• 如果想要了解一个模型如何结合其中某些变量的有趣实施示例，请参见 A Lower Bound on Miner Rewards，作者为 BKCM 的 Kevin Lu。

可量化的结算变量

分类账成本

分类账成本是我们用来评估区块链结算保证的最深刻且直接的变量。简单来说，它等同于 单位时间内支付给验证者/交易选择者的金额。在比特币中，矿工每个区块获得补贴和交易费用作为保持诚实和“遵守规则”的激励。在工作量证明中，矿工附加一个无法伪造的证明，证明他们已经消耗了一些能量，因此给每个提议的区块带来了成本。在赢得一个区块时，矿工必须消耗的资源大致对应于区块的价值（通常会有一个小的边际），除非他们非常幸运。因此，矿工被激励去创建有效且遵循规则的区块。

想象一下这有点像学校项目，你必须阅读一本书并提交书面报告。你需要向老师证明你阅读了那本书，因此你需要提交一个书面报告（一个有效的区块哈希，具有足够数量的前导零），而这个报告只有在你实际阅读了那本书（计算了足够的哈希）后才能创建。由于老师对格式有严格的要求，因此你还必须正确地格式化报告（产生一个格式良好的有效区块）。如果你读完整个书，结果呈现的记录是错误的，并导致你得了个F，那将会是一个悲剧。工作量证明是相同的：工作是在前面的，回报则是后来得到的。你已经承受了实际的成本，并且你的业务依赖于你完成最终的官僚步骤来获得奖励，因此你会尽量保证这个过程不出错。最近，一名矿工完成了所有必需的工作以获得一个区块，但在最后一关上 跌倒 ，创建了一个无效区块。

有关工作量证明激励如何运作的更完整描述，请阅读 Hugo Nguyen 的作品：

工作量证明的结构 最初作为对抗垃圾邮件的措施而被发明。之后才被改编用于…

那么，更多的分类账成本意味着更高的交易安全性是什么原因呢？因为给矿工（被假定为诚实的人）更高的薪资意味着你需要一支更大的雇佣军来打败他们。这些资源必须来自某个地方：你需要调配能够产生哈希的资源和硬件、电力等。（有一种观点认为，攻击者在51%攻击时获得补贴，只有费用提供工作量证明中的安全性。在这里，我没有足够的空间对这一点进行充分讨论——目前我只持这种观点，即补贴，尤其是对于专用硬件来说，基本上是一个巨大的悬崖，攻击者在理论上必须首先克服它才可实现51%场景。）

总结而言，超越诚实矿工在比特币上勤奋生产区块的设定是成本极高的。他们共同享有的薪水现在为 $69亿美元，很多矿工显然在为了未来的现金流而投资于他们的业务（这意味着网络上的活跃硬件可能显著超过当前矿工收入所代表的水平）。

按年度计算的比特币矿工收入，美元计。数据来源: Coinmetrics.io

因此，比特币不仅受制于协议对矿工支付的日薪，还受其对未来所期望获取的奖励的折现回报。这意味着比特币不仅受到当今现实的保护，矿工甚至对未来奖励的期望也保护着比特币。

我们没有简单的方法来建模这些期望，因此最直接的做法是简单地取 每单位时间矿工薪水并在此基础上进行区块链间比较。如果你现在停止阅读这篇文章，仅仅记住这一句话，你对安全的理解已经超过了大多数人。即使是那些高风险的实体，例如交易所，也很少有人像这样基准比较区块链。

有用的是， Anthony Lusardi 已经在这个话题上做了一些很好的说明性工作。他引入了BitConf的概念——展示了为什么其他区块链需要多少确认才能获得与一个比特币的确认数量等值的安全性。

你的交易所需要更多确认：BitConf指标

可以说，大多数人并不使用BitConf，或者试图将结算与完成的工作进行索引。恰恰相反，“民间理论”认为结算是确认次数的线性函数。这很不幸是一个非常普遍的看法。甚至 莱特币基金会 的网站也隐含地做出这样的主张：

莱特币交易确认时间比其他加密货币快，因为它每2.5分钟产生一个区块，而比特币则是10分钟。这意味着你的资金更快到达目的地。

交易从内存池中被提取并包含到区块链中的初始时刻，确实在莱特币中比在比特币中快得多。但是在加密货币中，必须考虑概率性结算。换句话说，如果你只关心第一次确认，那么莱特币是“更快的”，但一旦你开始关注更长期的结算（跨越多个确认），就很明确地，莱特币变得更慢。

如果你认为莱特币和比特币的确认提供相同的结算保证，那么你可能会如此描绘结算，表面看来比特币较慢：

但这是错误的。莱特币每单位时间的区块数量更多，但它积累分类账成本的速度要慢得多。实际上，比特币对其私兵矿工支付得更好，因此，它们以更高的速率产生安全性，形式就是哈希。

比特币区块的成本累积比莱特币的要“重”。即使莱特币有一个10分钟的区块时间，比特币区块的价值仍会比其莱特币等价物高出14.5倍。确认数量实际上并不重要。在每单位时间内矿工所遭受的机会成本才是决定性。

你也可以把分类账成本可视化为不断堆积在前一区块之上的若干区块，随着交易埋得越来越深而越来越终极。

区块宽度大致与每个区块链的相对安全支出成正比。

随着越来越多的区块被添加到堆积中，逆转它们的可能性变得越来越小，而交易变得越来越最终。在这张图中，我将区块的宽度按分类账成本的相对增量进行缩放，并展示了区块的颗粒度。

这里的要点是，区块链系统中的结算是一个流动的过程。区块时间在很大程度上是无关紧要的。以太坊的区块每小时数量要比比特币多，但结算应基于分类账成本而非确认次数进行比较。

逆转收益：交易规模

分类账成本并不是结算中唯一重要的因素。另一个重要因素是某人试图逆转交易的动机。这个激励的最纯粹表述就是交易的规模。如果你是一个收到5万BTC交易的接收者，你可能会由于谨慎而等待超过六个区块的经验法则。而如果你只收到1000个sats，一个确认就足够了。简而言之，交易的“已结算”程度根据当前的利益具有不同的感知。

Elaine Ou 在一篇出色的 彭博社文章 中对这一概念进行了正式化，认为接收者应该等到 交易的价值和分类账成本相匹配 才能认为一笔交易已结算。

Elaine的公式便很有效地结合了区块链结算中两个最重要的定量变量：分类账成本和逆转收益。如果你想要将1000万美元的比特币入账，根据这个规则，你需要等待60个区块，即10小时。（恰好满足在价格为13,330美元时，比特币会以每小时正好100万美元的额度积累分类账成本）。从今往后，我会将这个简单的公式称为 Ou规则。

现在我们已经列出了两个最重要的结算变量，接下来我们来输入一些数据，比较主要的工作量证明网络。

截至2019年7月15日的数据。数据来源: Coinmetrics.io

毋庸置疑，比特币是迄今为止结算速度最快的区块链（仅包括这两个变量，而没有其他明显的变量）。在许多区块链上，结算甚至1百万美元的入账交易可能会极其缓慢。除了比特币、以太坊和莱特币之外，其他任何去中心化账本完成一次结算所需的时间都超过一天（我在此例中不包括瑞波币和恒星，因为它们没有具有里程碑式的去中心化验证）。小型区块链显然没有足够的矿工奖励来使结算迅速。

Luke Childs 的 Howmanyconfs 提供了一个动态更新的该表部分内容版本：

有多少确认？ **多少个确认等同于6个比特币确认？

另外需要指出的是，比特币现金和比特币SV结算交易的速度分别比比特币慢33倍和69倍。虽然在大多数方面它们在功能上与比特币相同，但由于它们给矿工的奖金较少，因此速度显著缓慢。这与它们通常定位为“更快”区块链产生直接对比。

这也是比特币抵制复制的一个有趣案例。你可以创建某种看起来与比特币相似的东西，但你无法复制源于分类账成本的结算保证。矿工遵循经济现实，并且无法被说服支持一项没为其提供足够报酬的协议。事实上，正如我们将要了解到的，比特币现金和比特币SV甚至比这张表所建议的还要糟糕，因为存在第三个变量。

在自身哈希函数上的垄断

到目前为止，我没有提到一个直接影响给定区块链结算保障的第三个关键变量：它是否在可用于其哈希函数的硬件上拥有有效垄断。正如我前面提到的，比特币现金和比特币SV在与比特币相对较小的比特币网络中拥有微乎其微的SHA-256 ASIC。 这意味着，即使是一个中等规模或小规模的矿池也可以暂时将其哈希率重定向到比特币的较小分叉，并随意进行51%攻击。

矿工收入的相对份额；BTC（橙色），BCH（绿色），BSV（红色）。数据来源: [Coinmetrics.io](https://coinmetrics.io/charts/#assets=btc_log=false_zoom=1488903738774.124,1563494400000_formula=W1sidG90YWwiLCJSZWQiLDIsIkJUQy5Jc3N0dXRUbFUSB0dqSC1gfIfONHRDbZURF9zL0VUQy5GZWVUb3RVU0QrQkNILkZTZW5DhdTcUFNveyJDFUVUaTI"><a valueaT/aDSethlWVVmJhb21hSU0wMTIzNzAvYnQ9aIsvRAxISyYl）RVEWtHc7FhmgfVEZEE14g（csbmIN/USD调整的成功结果找到万暗区）。过频有一批免责声明。

这些区块链尚未被攻击的事实并不能成为其安全性的证据。也许现在并没有比特币矿工愿意恶意干扰任何一个少数分叉 — 但取决于矿工们的善意的安全模型确实是极不可靠的。因为这种风险是始终存在的，因此可以认为无论确认多少，这两条区块链都永远无法达到有效的最终性。这是因为比特币上有大量的矿池能够在BSV的网络上创建任意深度的重组而不会过于困难。

这一变量为分析引入了更复杂的因素。并不是说哈希率更多就是区块链更安全；它也必须占据可分配硬件的大部分份额。

在这个例子中，尽管A区块链的分类账成本在绝对值上更高，我仍然会将其视为比B区块链不那么安全，因为理论上攻击A更容易调配足够的硬件。

因此，将此变量视为一个布尔值；如果区块链在其硬件上拥有垄断权，那么分析将毫无疑问地是简单明了的。如果它面临与其他许多区块链共享硬件的不幸局面，并且仍然保持该哈希特定硬件的少数份额，那么它很可能是根本不安全的。但很难确定这种不安全性有多严重；攻击者能够积聚足够电力和硬件的能力是攻击风险的一个函数。

不太可量化的结算变量

上述三个变量并不详尽，只是最容易量化的那些。有了这些，你可能可以构建一个合理的模型，优于当今许多交易所使用的模型。但还有许多其他因素需要考虑。

逆转收益：金指攻击

金指攻击这个名字源自邦德电影，其中恶棍计划让福特诺克斯的所有黄金辐射，使他自己手中的黄金更加珍贵。这个术语表示一种攻击类别，其中攻击者受到某种额外协议以来的财务利益所激励。Joseph Bonneau 更加科学展现了这类攻击，称其为“攻击者具有扰乱共识过程的外在动机”。

这些攻击风险几乎无法量化，因为攻击者有各种不同的动机，并且往往不会在攻击前披露它们。在这里，我将举两个逆转收益急剧增加的例子，使得结算保证变得不那么确定。

顶部稳重

这涉及到条件，其中大量大规模的资产作为代币基于某个基本的协议创建——例如比特币上的Omni资产或以太坊上的ERC20代币。由于这些代币从基础层继承其安全性，并完全依赖于基础层，因此它们可能会受到对基础层攻击的影响。

随着基础层的攻击成本与上层资产的相对值之间的不对称性增大，顶部稳重问题开始显现。如果这种不对称性变得足够大，攻击者可能会寻求在上层的某种工具上进行短期交易，同时攻击基础层，要么通过采矿空区块和对代币进行拒绝服务，要么通过创建重组和混淆。

我们确实有真实例子揭示了顶部稳重系统的后果。攻击者最近习惯性地 攻击根本指标，该根本指标设置了Bitmex上衍生品的价格。由于Bitmex上的抵押（顶层）与底层参考市场（底层）之间存在巨大不对称，市场上抛售资金的成本是破坏的，因为攻击者可以通过在Bitmex上造成过大的波动来进行套利，同时清算保证金交易买入者。

我认为，今天没有任何区块链面临这个问题，但随着更多金融工具的代币化和被插入到区块链之上，攻击基础层的成本和收益会激增。

流动衍生品市场

这相对简单。衍生品，特别是期权，使金融市场参与者有能力获得杠杆并放大其收益，即使相对于基本资产的小幅变动。与顶部稳重条件一样，当攻击发起的成本与攻击的收益之间存在显著不对称关系时，对区块链构成风险。

流动的衍生品市场的创建使攻击者能够放大其因预测价格行为而带来的回报；如果他们能够通过发动攻击来诱导资产价格下跌，则链的结算保证可能会面临风险。随着攻击收益的增加，攻击者愿意投入到攻击中的资源也随之增长。因此，在卖空方面杠杆的创建可能会削弱区块链的结算保证。但是，由于参与者的异质性和对如何实现此类攻击的货币化的不确定性，无法量化此风险并加上适当的安全折扣。

当然，一个抵消因素是交易所可能不愿意在成功的押注上支付，如果他们怀疑该交易者在与攻击者合作干扰区块链。

其他硬件考虑

隐含在之前关于哈希函数专用硬件的讨论中的观点是，无GPU挖掘的代币永远不会在其硬件上形成垄断，因为世界上有太多的GPU（得益于游戏和其他非加密货币应用）。我不打算过多阐述这一点：David Vorick 显示出GPU挖掘的链从根本上处于风险之中，长期激励对齐（通过ASIC实现）是多么重要。

为Sia选择ASIC

因此，GPU挖掘的代币需要始终考虑更多确认。很难确切知道一个GPU挖掘的单位分类账成本与一个ASIC挖掘的单位之间的比例应该是多少。但GPU产生的安全性绝对应该有折扣。获得挖掘GPU链的硬件实在太容易。

案例研究：Kraken确认要求

令人震惊的是，经过我与交易所的交谈，发现他们在结算规则方面要承担很大的风险，似乎很少考虑确认规则。我找不到交易所认为一笔转账在被视为已结算之前需要多少个入账确认的详细信息。方便的是，Kraken公开了他们的标准 可供参考。

我决定将Kraken的确认要求与Lusardi的BitConf简单的实现进行基准测试——简单要求所有链提供与六次比特币确认数量等效的确认。

来源：Kraken 存款处理时间，Coin Metrics估算

结果令人震惊。根据你如何看待这个问题，Kraken对比特币交易提出了极其严格的要求，或者对非比特币链提出更宽松的要求。尽管Kraken要求六个比特币确认来考虑存款结算，但他们只要求莱特币12个确认（在比特币安全相当中需要174）、以太坊30个确认（比特币等价申请需要173），以及门罗币15个确认（比特币索引的安全要求可能达到2000）。

我猜六个确认对于比特币而言，是极为狼狈，而Kraken对其他链的这些较低结算要求则相对合理。不过——当将分类账成本的变量持续应用时，结果偶尔是可笑的。例如QTUM，如按比特币的标准，如果 held，那么需要67,000个确认，相当于115天的等待。（QTUM可能确实我不知道的某种替代结算方式：我仅根据它向验证者的支付进行计算）。

当然，这仍然是该模型的非常简单实现。一个更复杂的版本可能会包括对非垄断链、GPU挖掘币、大量入账交易等提出更高的安全要求。我鼓励像Kraken这样的交易所考虑一套系统化的入账交易规则，以便他们没有做到的情况下。不论选择哪种特定公式，可能都暗示比特币所需确认少，而小型链所需确认多。

一些启示

这一切的实际意义是什么呢？随着我们继续等待这些变量的正式化，以构建一个合理且直接适用于日常加密货币使用的模型，这里有几个要点：

I. 区块时间是任意的，变化不大

降低区块时间唯一改变的是减少首次确认时间的差异。如果你很不耐烦，你可能更偏好一个区块时间为2.5分钟的区块链，但这并不意味着结算会更“快”。分类账成本依然以相同的速度积累，依赖于发行率和每个代币的单位值。

实际上，比特币可以将其区块大小减少25%，改为2.5分钟的区块时间，几乎无人会注意到区别。该系统在功能上是相同的——六个区块经验法则将变为24个区块经验法则。中本聪选择10分钟的区块时间，是因为他不知道系统将如何能够达到收敛。延迟和大型区块妨碍验证，并使节点之间的收敛变得更加困难。健康的10分钟区块时间为系统提供了充足的自由度——同时也指示着中本聪所设想的系统是什么样的（提示：不适合面对面的零碎付款）。

确实，初次确认在一定程度上有所重要，因为你的交易不得不在被纳入一个已开采区块《称号Uranium》身上积蓄权整代。所以相比相对“快”的初始确认，任何相对慢的流动也未必会敌效果。此外，较低的区块时间会在如每日发行率等指标上减少变差。只不过，除此之外，区块时间完全是任意的。每单位时间的安全支出，加上那种分类账成本的【质】 值，才是对结算的重要。

II. 比特币提供的巨大安全过剩，或其他区块链却在面临危险

这是我这福德不断更新基准测试所产生的而入头最明确的启示。如果你根据付款给交易选择者（矿工和验证者）每单位时间的薪水来衡量区块链，事实上，他们比比特币要显得极为脆弱。只需看看这张图表。除了比特币、以太坊和莱特币，图表上几乎无人可见，因为它们的安全支出如此微不足道。

每日美元矿工收入，平滑处理（7日移动平均）。数据来源： Coinmetrics.io

这并不一定是致命的。有可能比特币过高支付了安全费用，例如，工作证明可能“比我们所认为的更好”。这实际上是我当前的观点：“由于当前补贴以及比特币的单位价值，由于比特币的单位价值，可能使得比特币“过于花钱来获得安全保障”。但正如它为给中本聪设身处地的位置带来了一个良好的安全护毯，因此为其进入青少年期提供足够的保护。

因此，这一数据显示对小型区块链不一定是末世论。毕竟，尽管中本聪宣称的六个区块法则，但也可能是对于大多数交易来说，1或2个区块已经足够。这将减少对其他区块链努力使其与比特币的安全支出相匹配所造成的“沉重负担”。

III. 结算总是概率性的

我承认新区块链大肆宣扬其“绝对最终性”时让我感到不舒服。要真正实现最终性，必须有一个组织为交易担保，实际上就意味着对交易的认可。然而，一旦变得如此，不同利益的相关方想要逆转构成利益的应用往往会mandot到该实体促成回滚，使这种最终性变得脆弱。

以EOS为例。EOS有一个叫做最后不可逆转区块的概念，根据EOS美国加州说：

[M]这意味着你可以 100% 确信这个交易是最终的，完全确认，并且不可变。如果一个区块的编号低于最后不可逆转区块，那就意味着它被认为是最终的。

根据 EOS网络监控 ，当前最后不可逆转区块的区块号滞后链顶大约330个区块，相当于约2分40秒。总之，这使得EOS所宣称到达最终结果清晰短暂。

不过，这里有一个爆雷点。EOS（曾经？）有一个官僚程序，允许个人可以向“EOS核心仲裁论坛”申诉，并要求冻结并将被怀疑盗窃的资金返还给受害者，从而基本上逆转了久走的交易。2018年6月发生了另一类反转，这实现的原副片内容结果，是由于只有21个实体（区块生产者）来处理这些交易，因此他们都被这个领导人所知，因此依据了责任。

虽然许多观众欢呼被窃资金的归还，但从结算角度来看，这抵消了交易者在使用区块链时所寻求的质量。在实践中，任何可以逆转结算的机制都可能被滥用。信用卡嵌入交易的费用，是因为退款欺诈是横行的。

想象一下一个复杂的骗局：有人在点对点交易中以法币交易EOS，然后向ECAF提出诉讼，并设法在被指控被“诈骗”的幌装下，将这一EOS交易中的EOS返还给其自己。这样的方案，正是行政上让人设立的例外，造成不可逆转后果所引发的一系列问题。我可以给出无数个例子来说明这个主题，但我暂时只讲一个。在实践中，许多声称具有完整和有效最终性的区块链也在其系统中插入了创建自行决定的回滚和账户冻结的能力。即使这些内容并没有明确被编写成代码，你仍然需要考虑反转的可能性。

IV. 通过公开其安全模型，Bitcoin 的 PoW 具有实用的透明性

再次回应 Elaine Ou，Bitcoin 安全模型中最有用的一个特性是其透明且易于理解。具体的保证并不容易确定（“需要多少个确认来结算 $1b？”）但用于支持该系统所花费的资源是清晰可见的。在任何时刻，旁观者都可以轻松确定需要多少哈希，以至于粗略推算出需要多少能量才能压倒该系统。多年来，显然没有任何实体能够超越诚实多数，除了最强大的国家行为者。

相比之下，其他区块链通过隐蔽、复杂或不透明的制度最终性寻求安全。例如，Verge 在其奇异的工作量证明模型中结合了五种不同的哈希函数，而这 最终导致了它的失败。攻击者意识到他们可以针对其中一个哈希函数，降低难度至 1，从而实施“时间扭曲攻击”。增加复杂度并未提供额外的安全性，反而为系统引入了新的攻击向量。

小结

如果从这篇文章中你能记住一点，那就是下面这一点。不要把结算视为某个预先设定确认数的函数，而应把在工作量证明系统中结算交易视为木材缓慢石化的过程。它以一定的速度发生，无法加速。这个速度由上述变量决定：主要是账本的成本、交易的规模，以及可寻址硬件的可用性。一旦完成，木材被矿物替代，坚如磐石，不再柔软可塑。木材的特性永远被冻结在时间中。

同样，正如 Nick Szabo 所说，区块链是 计算琥珀。琥珀的初始形态是树脂，后来变得坚硬，在这个过程中储存着一些信息（昆虫 DNA 等）。埋葬账本过去变化的本质过程是通过不可伪造的成本提供的，提供了相同的缓慢结算保证。随着区块积累，区块链的引力不断施加，使远程重写成本极其高昂和笨拙。

可分配给矿工的奖励——因此也包括所产生的成本——是发行、单位价格和费用的函数。除了发行之外，这些都不能直接编程。单靠高发行量并不能保证安全，因为投资者需要认同这个链的前景并支持其价值。从这个意义上说，工作量证明系统中的强结算保证是无法规划出来的，它们只能出现。你是否觉得这个结论令人沮丧由你决定。

在这篇文章中，我尝试列举我认为评估区块链，特别是工作量证明区块链结算保证时最关键的变量。但你会注意到我没有提供正式的模型或推荐的解决方案。许多变量不能轻易量化，并且我可能遗漏了一些。一个更全面的——或实施为重点的——模型，我将留给后续的作者。

如果我们忽视这些问题，它们将被迫因必要而出现。随着市场一部分的短期流动性出现，整整新的攻击类别将开放，交易所将越来越多地成为目标。同样，随着主要的保管机构和清算所开始处理总额达数亿或数十亿的加密货币存款，他们将需要制定正式的规则以界定什么构成结算。他们最好深入思考一下他们所依赖的区块链的安全性。

• 原文链接： medium.com/@nic__carter/...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～