中本聰在其開(kāi)創(chuàng)性的比特幣論文中首次將分布式時(shí)間戳協(xié)議應(yīng)用于去中心化金融網(wǎng)絡(luò)，后續(xù)從業(yè)余愛(ài)好者和專業(yè)人士那里該領(lǐng)域已經(jīng)取得了爆發(fā)式的研究進(jìn)展，各方的相互競(jìng)爭(zhēng)促進(jìn)了對(duì)現(xiàn)有協(xié)議的擴(kuò)展、調(diào)整、改進(jìn)和細(xì)化。引人注目的新想法的實(shí)現(xiàn)包括Ethereum （其擴(kuò)展了腳本）、CryptoNotes（其改進(jìn)了隱私）和側(cè)鏈（其研究了與比特幣代幣的1:1雙向錨定）。這些協(xié)議都實(shí)現(xiàn)了最初在比特幣白皮書里描述的工作量證明（PoW）。

對(duì)于比特幣協(xié)議的一個(gè)常見(jiàn)擴(kuò)展是修改其共識(shí)機(jī)制，使用部分或者完全的權(quán)益證明（PoS）或者使用一個(gè)權(quán)益（Token）， 而不是算力來(lái)參與時(shí)間戳的處理。第一個(gè)基于比特幣協(xié)議的權(quán)益證明區(qū)塊鏈在2012年由King和Nada實(shí)現(xiàn)，包含了PoW 和PoS，隨著時(shí)間的推移該區(qū)塊鏈項(xiàng)目會(huì)逐漸轉(zhuǎn)向完整的PoS。對(duì)于純PoS共識(shí)系統(tǒng)的批評(píng)是很多的，最強(qiáng)烈的反對(duì)來(lái)自于那些使用純PoW區(qū)塊鏈的人士。對(duì)于分布式時(shí)間戳系統(tǒng)，最常見(jiàn)的對(duì)于PoS的反對(duì)意見(jiàn)是“不承擔(dān)任何風(fēng)險(xiǎn)”或“不花錢的模擬”，其描述了系統(tǒng)的不穩(wěn)定性來(lái)源于權(quán)益持有者能夠毫不費(fèi)力地生成相應(yīng)的時(shí)間戳歷史。

盡管有爭(zhēng)議，但很明顯，那些疊加在PoW時(shí)間戳系統(tǒng)之上的PoS系統(tǒng)很顯然也可以獨(dú)立地實(shí)現(xiàn)共識(shí)。Bentov 和同事在他們的論文中探討了活動(dòng)量證明（PoA），這似乎是對(duì)于PoW協(xié)議的-個(gè)可行性擴(kuò)展并且可能會(huì)啟用- -些新的有趣屬性。2013年早些時(shí)候Mackenzie提出了類似的稱為MC2的設(shè)計(jì)。本文我們闡述了類似的我們稱之為“Decred”的共識(shí)系統(tǒng)的搭建和實(shí)現(xiàn)。

1.混合PoW/PoS設(shè)計(jì)

與前述中本聰機(jī)制的主要差別是一個(gè)新的彩票系統(tǒng)，在可以選擇和消費(fèi)彩票之前必須購(gòu)買彩票并等待到期的時(shí)期。根據(jù)區(qū)塊頭部中包含的偽隨機(jī)數(shù)，在到期的票池中按字典序?yàn)閰^(qū)塊進(jìn)行彩票的選擇。因?yàn)樵赑oW系統(tǒng)中操縱這種偽隨機(jī)數(shù)是很困難的，所以選票操作會(huì)與PoW礦工的基本成本相關(guān)聯(lián)。我們可以通過(guò)概率密度的數(shù)來(lái)描述一段時(shí)間之內(nèi)的選票選擇問(wèn)題，其類似于在恒定的難度下以恒定的哈希速率在PoW共識(shí)機(jī)制中生成區(qū)塊的概率，以近似于一半票池大小的模式產(chǎn)生一個(gè)概率分布。選票的購(gòu)買價(jià)格是由一個(gè)新的權(quán)益難度控制的，而權(quán)益難度由購(gòu)票的指數(shù)權(quán)重平均值以及先前區(qū)塊中的到期選票數(shù)目來(lái)決定。

以下步驟解釋了PoW區(qū)塊的確認(rèn)過(guò)程：

i.區(qū)塊是由PoW礦工挖礦產(chǎn)生的，礦工選擇交易并放入?yún)^(qū)塊里。與權(quán)益系統(tǒng)相關(guān)的交易被插入到UTXO集合中。

ii. PoS礦工通過(guò)他們的選票發(fā)起一個(gè)投票 交易在區(qū)塊上進(jìn)行投票，投票能夠在前一個(gè)區(qū)塊之上構(gòu)建一個(gè)區(qū)塊，并且不管前一一個(gè)常規(guī)交易樹(shù)（包含coinbase和非權(quán)益相關(guān)的交易）是否有效，都會(huì)選擇一個(gè)區(qū)塊。

ili另外一個(gè)PoW礦工開(kāi)始構(gòu)建一個(gè)區(qū)塊并插入PoS礦工的投票。已投選票的大多數(shù)都會(huì)被包含在后續(xù)的區(qū)塊中，并被網(wǎng)絡(luò)所接受。在這個(gè)新區(qū)塊的投票交易中，PoW礦工會(huì)檢查一個(gè)標(biāo)記來(lái)確定PoS礦工是否指示了區(qū)塊的常規(guī)交易樹(shù)是有效的。這些投票標(biāo)記會(huì)被記錄。如果前一個(gè)區(qū)塊的常規(guī)交易樹(shù)是有效的，那么會(huì)在區(qū)塊中基于大多數(shù)選票來(lái)設(shè)置一個(gè)比特位標(biāo)記來(lái)指明該信息。

iv.最后會(huì)找到一個(gè)滿足網(wǎng)絡(luò)難度的隨機(jī)數(shù)，并且該區(qū)塊被插入到區(qū)塊鏈中。如果確認(rèn)了前一個(gè)區(qū)塊的常規(guī)交易樹(shù)，就將這些交易插入到UTXO集合中，并返回到第i步。

為了防止對(duì)于已經(jīng)納入的選票的操縱，如果礦工沒(méi)有將所有的投票交易納入?yún)^(qū)塊中，那么會(huì)對(duì)當(dāng)前的區(qū)塊采用線性的補(bǔ)貼處罰。對(duì)以前那些交易樹(shù)進(jìn)行失效動(dòng)作的“軟”處罰有助于防止丟棄工作，這對(duì)于確保系統(tǒng)安全是必要的，并且假設(shè)下一個(gè)區(qū)塊將由一個(gè)無(wú)私的保留前面區(qū)塊補(bǔ)貼的礦工獲得，以便獲得支持。即使不是這樣的情況，具有高哈希率的惡意礦工仍然至少需要（數(shù)量為大多數(shù)的數(shù)目/2）+1個(gè)選票支持他們之前區(qū)塊的交易樹(shù)，以便產(chǎn)生一個(gè)新區(qū)塊，使得他們可以從前面的區(qū)塊獲得任何補(bǔ)貼。

比特位標(biāo)記會(huì)被顯式地添加到區(qū)塊頭部和投票中以便礦工可以輕松地進(jìn)行硬分叉或者軟分叉。

2.去中心化權(quán)益池

早先的PoS設(shè)計(jì)帶來(lái)的一個(gè)問(wèn)題就是如何在PoS挖礦時(shí)執(zhí)行類似于PoW挖礦的池化礦池對(duì)PoW礦池是有利的，但是PoS礦池除了簡(jiǎn)單地運(yùn)行一個(gè)節(jié)點(diǎn)，。不需要專門的硬件，而且也不像PoW挖礦那樣，集中化推進(jìn)挖礦的場(chǎng)景會(huì)隨著成本增加帶來(lái)利潤(rùn)下降。Decred通過(guò)允許為同一張選票的同--筆購(gòu)買交易擁有多個(gè)輸入并為每一個(gè)輸入按比例提供UTXO補(bǔ)貼金額，同時(shí)也為這些按比例的獎(jiǎng)勵(lì)提供一個(gè)新的輸出公鑰或者腳本，從而解決了這個(gè)問(wèn)題。這些補(bǔ)貼獎(jiǎng)勵(lì)那些在不可信環(huán)境下生成選票的礦工，并且在提交到區(qū)塊鏈網(wǎng)絡(luò)之前使用RoundRobin輪詢方式進(jìn)行簽名。重要的是，控制選票產(chǎn)生的本身實(shí)體就是另外一個(gè)公鑰或者腳本，該腳本不能操縱給予接受者的補(bǔ)貼，利用選票中的多重簽名腳本可以以分布式的方式來(lái)產(chǎn)生選票。

3. 小的設(shè)計(jì)元素

3.1 橢圓曲線簽名算法

段還沒(méi)有已知的攻擊會(huì)使用一個(gè)稍大的m值。人們也提出了其它一些對(duì)于secp256k1使用參數(shù)的反對(duì)意見(jiàn)。

另一個(gè)非常受歡迎的采用128位加密的數(shù)字簽名算法（DSA）是Ed25519，它在曲線上使用雙有理的等效于Curve25519的EdDSA簽名算法，這個(gè)算法如今是被廣泛應(yīng)用的。與secp256k1的ECDSA不同，Ed25519使用更簡(jiǎn)單的Schnorr簽名，在隨機(jī)預(yù)言機(jī)模型［附錄A］中是可證明安全的。

Schnorr簽名也被用于比特幣，然而Decred使用了一個(gè)新的操作碼一OP_CHECKSIGALT來(lái)驗(yàn)證--個(gè)擁有無(wú)限數(shù)量的新簽名的機(jī)制，而不是使用Schnorr簽名專屬的一個(gè)實(shí)現(xiàn)了secp256k1 曲線參數(shù)的操作碼。在目前的實(shí)現(xiàn)中，secp256k1 Schnorr 簽名和Ed25519簽名均可用于作為secp256k1的ECDSA簽名的增補(bǔ)。將來(lái)，在軟分叉中添加新的簽名方案也是非常簡(jiǎn)單的，例如量子安全的方案。擁有這兩個(gè)Schnorr套件也允許生成一個(gè)占用空間與正常簽名相同的簡(jiǎn)單組簽名，這兩者目前都已經(jīng)實(shí)現(xiàn)了。在將來(lái)，使用無(wú)代理的加密共享的門限簽名還將使得（，n）i限簽名占據(jù)相同的空間量。

3.2 哈希函數(shù)

用于比特幣的SHA256由于其Merkle Damgard數(shù)據(jù)結(jié)構(gòu)從而具有很多技術(shù)缺陷，這些漏洞導(dǎo)致了SHA3有機(jī)會(huì)競(jìng)爭(zhēng)基于不同的基礎(chǔ)數(shù)據(jù)結(jié)構(gòu)的新哈希函數(shù)。Decred 選擇了BLAKE256作為其哈希函數(shù)的最終贏家。該哈希函數(shù)基于HAIFA數(shù)據(jù)結(jié)構(gòu)，其結(jié)合了Bernstein 的ChaCha流式密碼變體。該哈希函數(shù)在x86-64微架構(gòu)上有著顯著的高性能，與SHA256相比，短消息的速度更快，盡管該哈希函數(shù)被認(rèn)為在14輪時(shí)具有更高的安全邊際開(kāi)銷。

3.3腳本擴(kuò)展

除了之前提到的OP_ CHECKSIGALT和OP CHECKSIGALTVERIFY之外，我們也對(duì)其它比特幣腳本做了修改。在輸出腳本中添加了一個(gè)版本字節(jié)，以便啟 用簡(jiǎn)單的軟分叉到一個(gè)新的腳本語(yǔ)言，正如先前Wuille建議的。所有和數(shù)學(xué)及邏輯相關(guān)的操作碼都已被重新啟用，現(xiàn)在可以運(yùn)行in在t32寄存器上。各種字節(jié)字符串操作操作碼也已實(shí)現(xiàn)并重新啟用。剩下的未使用的比特幣操作碼已被重新用于未來(lái)的軟分叉，此外，也修復(fù)了比特幣腳本語(yǔ)言長(zhǎng)期存在的一些bug。

3.4 簽名腳本隔離和防偽證明

為了防止交易可塑性以及產(chǎn)生的交易具有相同的輸入引用和輸出，但是交易;ID卻不同，已經(jīng)從交易哈希的計(jì)算中移除了輸入腳本。盡管在CryptoNote幣和側(cè)鏈中已經(jīng)實(shí)現(xiàn)了這個(gè)修改，但這個(gè)修改的由來(lái)還是頗有爭(zhēng)議的。現(xiàn)在有提議將比特幣的軟分叉稱為“隔離見(jiàn)證”，比如在側(cè)鏈實(shí)現(xiàn)中，對(duì)見(jiàn)證人數(shù)據(jù)的承諾是包含在區(qū)塊的merkle樹(shù)中的。另外，比特幣的軟分叉提出的防偽證明是由礦工設(shè)定的，并且也致力于作為merkle樹(shù)中數(shù)據(jù)的一部分。

3.5 交易擴(kuò)展

添加了交易到期這個(gè)屬性，如果區(qū)塊已經(jīng)達(dá)到一定的高度，那么允許從內(nèi)存池中刪除交易。以前從內(nèi)存池刪除交易的唯一方法是雙花。

3.6 其他改進(jìn)

在比特幣中，補(bǔ)貼是以區(qū)塊高度呈指數(shù)衰減的。然而，Decred 的算法雖然也非常簡(jiǎn)單，但隨著時(shí)間的推移也更好地融入了這種衰減，以免產(chǎn)生與CryptoNote類似的由于補(bǔ)貼急劇下降導(dǎo)致的市場(chǎng)震蕩。像PeerCoin一樣，PoW難度是根據(jù)先前區(qū)塊時(shí)間的指數(shù)加權(quán)平均值計(jì)算的。然而，這個(gè)計(jì)算也被融入到了類比特幣的數(shù)字貨幣的難度窗口周期中。通過(guò)確保區(qū)塊時(shí)間中的每個(gè)差異被納入到難度計(jì)算中，比特幣中的“fimewarp“ bug得到了糾正。

還應(yīng)該指出，許多眾所周知的挖礦攻擊，比如selfish mining和stubbonmining， 在一個(gè)高效的去中心化權(quán)益挖礦以及沒(méi)有PoW-PoS礦工合謀的系統(tǒng)中將不再有效，這是因?yàn)闆](méi)有PoS礦工的協(xié)助，它是不可能對(duì)區(qū)塊產(chǎn)生加密擴(kuò)展的。針對(duì)前述的以及針對(duì)我們系統(tǒng)的特定的新挖礦攻擊方法的保護(hù)彈性將會(huì)成為未來(lái)研究的一個(gè)富有成果的領(lǐng)域。