DAGKNIGHT如何解决比特币，以太坊和经典BFT模型无法实现的不可能结果

论文。分布式系统理论中一个著名的不可能结果正式证明，协议无法实现容错限为 1/2 的部分同步通信模型。然而，Kaspa未来的共识模型DAGKNIGHT解决了这个问题，这是任何其他协议都无法实现的壮举，包括比特币、以太坊和经典BFT模型。解决这样的结果需要一种强大的正确性，同时对现实世界进行建模（即互联网延迟），从而创造一个时间的主人。

在这篇文章中，我将解释 1） 分布式系统的本质，2） 正确性、时间和容错的属性及其权衡，3） 终结性和动态可用性（即概率终结性与绝对终结性），4） 这些属性在比特币、经典 BFT 模型和以太坊中的适应及其缺点，5） DAGKNIGHT 如何打破有问题的不可能结果，从而解决所有其他协议的缺点， 6）总结DAGKNIGHT如何掌握时间以及这对分布式系统理论意味着什么。

分布式系统定义

分布式系统有许多定义;莱斯利·兰波特（Leslie Lamport）在1987年的一次通信中声称，“分布式系统是指您甚至不知道存在的计算机的故障会导致自己的计算机无法使用。¹ 伊姆兰·巴希尔（Imran Bashir）在他的《区块链共识》一书中将分布式系统定义为“......一组自主计算机在消息传递网络上协作以实现共同目标。²

然而，从根本上说，分布式系统的目标是让其所有组件就系统的状态达成一致——它们达成共识。Facebook、Google、Twitter、Amazon 和万维网都是分布式系统，尽管由公司实体集中。在本文中，我将讨论不同类型的分布式系统（区块链、分布式账本和 BlockDAG）的历史。

首先，我们需要了解分布式系统的几个核心属性：正确性、时机和分布式系统中的故障（容错边界）。

分布式系统中的正确性、时序和容错性

正确性（或分布式系统的可行性）是由 Leslie Lamport 在证明多进程程序的正确性中定义的。Lamport认为，必须同时应用活性和安全属性才能实现正确性。换句话说，安全保证了不同的诚实节点永远不会决定不同的值，而活性保证了每个诚实节点最终都会决定一个值。正如我们将看到的，一些分布式系统更倾向于活性而不是安全性，或者安全胜过活性。

时序和容错

时序根据延迟（如网络延迟和处理器延迟）和速度假设来捕获分布式系统通信模型的行为。这些假设决定了攻击者可以控制系统内消息延迟的程度。换句话说，通信模型定义了对手延迟消息的能力限制。

存在三种通信模型：同步、异步和部分同步。每个模型都确定允许的容错限定，也就是说，通信模型确定协议是针对 1/3 容错限定还是 1/2 容错限定进行保护。

同步建模

在同步模型中，存在关于最大消息延迟的先验已知绑定∆，即所有消息都必须在某个预先配置的时间内传递，并且网络中的所有参与者都知道传递消息需要多长时间。因此，可以说，对于发送的任何消息，攻击者最多可以延迟其传递 Δ。例如，比特币基于最长链规则的同步模型。最长链式法则遵循区块延迟 L，即 L 不断更新以将区块到达（也称为区块创建或确认时间）保持在 ~10 分钟内——上限延迟∆为 10 分钟。

同步系统简单，可提供强大的积极结果;然而，它们在不损害安全的情况下对现实世界进行建模过于严格且效率低下（例如，网络中断和持续时间意外的攻击）。例如，设置较长的延迟∆可以提供代表现实世界的强烈、积极的结果，但会导致长时间超时和性能下降。另一方面，设置一个简短而激进的延迟∆以提高性能可能不会模拟现实世界并损害安全性。换句话说，如果你高估了延迟，系统就会比它所能运行的速度慢，如果你低估了延迟，系统就不安全。

此外，试图在两个极端之间实现一个甜蜜点也不理想。例如，如果发送者向两个接收方广播一条消息，其中一条消息在 Δ−ε 之后到达，另一条消息在 Δ+ε 之后到达，则现实世界的行为将与设定的模型不同，并损害安全。

无论与同步模型相关的问题如何，同步系统都可以实现 1/2 的容错，这是可实现的最高容错限。直观地说，这是实现的，因为可以假设系统内的每个节点在经过固定的时间后都看到了每一次投票，此时可以达成共识。从形式上讲，如果我们假设总共有 n 个节点，其中 f 是有故障的，我们希望在收到所有消息后至少有 f+1 条正确的消息来超过 f 条错误的消息（根据同步假设），因此

n ≥ f+（f+1）
f ≤ （n-1）/2
f < n/2
达到高达 1/2 的拜占庭容错。

异步模型

异步模型试图通过不假设网络延迟来克服同步模型的问题——网络延迟没有限制，即使在正常运行的节点之间也是如此。优点是双重的：首先，没有时间限制，消息延迟不会对安全造成意外损害;其次，由于超时没有固定的值，节点会适应系统的实际延迟。

然而，这是有代价的。根据 Fischer、Lynch 和 Patterson 在他们的著作 Unimpossible of Distributed Consensus with One Faulty Process⁵ 中编写的 FLP 不可能定理，即使存在单个故障节点，也无法在异步模型下创建保证共识的算法。换句话说，只需要异步模型中的一个不良行为者就可以达成共识。然而，虽然不能保证达成共识，但在随机算法下，共识是可能的，因为随着 T 的增长，概率呈指数级接近 1。因此，异步概率共识算法只能实现 1/3（而不是 1/2）的容错界限。

此外，Eric Brewer 的 CAP 原则⁶——异步模型文献中的另一个不可能的结果——证明了一致性（安全性）、可用性（活性）和分区容错的正确性属性在异步分布式系统中不可能同时存在。分区容错可保证系统在网络分区期间仍可运行，在网络分区期间，节点之间的某些消息无法传递（容错）。因此，在异步系统中，会出现三难困境——必须从三个中选择两个，但不能同时拥有这三个：安全性、活性和分区容错性。虽然此定理适用于异步系统，但分区仍然遵循异步假设，并且发生在所有时序模型中。因此，无论使用何种模型，系统都必须在网络分区期间支持活动或安全性。

系统可以通过两种方式实现部分同步。在第一个版本中，当系统正常运行时，假定为同步性，在网络打嗝或攻击等故障期间假定异步模型。全局时钟以这种方式存在，参数∆指定消息在同步阶段可能遭受的最大延迟。但是，在异步阶段，参数∆不起作用。全局稳定时间（GST）决定了通信模型何时从同步切换到异步。此版本称为 GST 版本。第二种版本是在消息传递时假设一些有限的未知上限 Δ，而没有预先已知的边界，并且可以由对手选择。

GST 在未知的 Δ 版本中不存在，并且异步阶段和同步阶段之间没有过渡。相反，消息将始终在∆时间步长内传递，就像在同步模型中一样。

特别重要的是要记住，无论选择哪种类型，部分同步模型都具有 1/3 的容错能力，正如 Dwork、Lynch 和 Stock 的工作所正式证明的那样，定义了所讨论的不可能结果：同步模型无法实现 1/2 的容错边界。

终结性和动态可用性

从历史上看，协议分为两个阵营：基于最长链的协议和经典的BFT共识协议。前者采用同步建模，遵循中本聪共识，即最长链规则，即如果链之间存在分歧，则选择最长的链。验证者是随机选择的，以提出区块，而规范区块的协议是通过多轮过程完成的，每个验证者每轮投票选出一个特定的区块。此后，所有诚实的在线验证者都同意区块是否是链的一部分。与基于最长链的协议不同，关于区块生产的共识不取决于链的长度或大小。此外，BFT的共识更倾向于安全性而不是活性，以提供绝对的最终性——在系统内做出的决定永远不会被恢复。然而，由于偏向于安全性，经典的BFT模型无法获得动态可用性。经典的 BFT 共识模型包括 Tendermint、¹¹ PBFT、¹² 和 Hotstuff。

另一方面，基于最长链的协议无法实现绝对的终结性;相反，它们实现概率终结性以实现动态可用性。动态可用性允许可变的参与级别;节点可以随时加入或离开系统，并且系统保持安全。因此，动态可用性是真正无需许可的——节点不会因停机或技术故障而受到惩罚。此外，在动态可用协议中，在网络分区或攻击期间参与度低时仍可实现决策。基于最长链的协议包括比特币和 GHOST（作为最长链规则的泛化）。

许多人会声称，基于最长链的协议更有利于活跃而不是安全。然而，这并不完全正确。这一点非常重要。活性和安全之间的区别是人为的，并且对于通过概率实现活性的模型来说是用词不当。这是因为在这种模型中，安全性和活性是一回事。让我们看看如何。

人们可能认为绝对终结性优于概率终结性;但是，由于每个模型处理分区的方式不同，情况并非如此。当在经典BFT共识系统的分区过程中参与度太低时，可能无法达到法定人数，因为投票太少（因为法定人数需要一定数量的票数）——因此，区块无法获得他们需要的选票，区块链停滞不前。然而，即使活跃参与者的数量下降到一个（只要诚实的多数始终存在），基于最长链的系统分区也不会停止。取而代之的是，账本输出将在分区期间保持增长，从而引入自我修复：节点收敛并达成共识的能力，即使节点处于初始分歧状态。愈合能力与网络安全强度息息相关。

如上文 Neu 等人所示，¹⁴ 两种模型（经典 BFT 和最长链）都是在相同的环境中模拟的，具有动态参与和零星的网络分区。如图所示，最长链协议（提供动态可用性）的账本输出始终保持增长。但是，经典 BFT 协议的账本输出（提供终结性）在低参与度或分区期间停滞不前。

因此，虽然经典的BFT共识模型提供了安全性和绝对的确定性，但这是以网络停止而没有自我修复或恢复能力为代价的。此外，这也是以提供无许可系统为代价的，因此变得中心化。例如，一些 BFT 协议要求节点保持在线状态（否则，它们将受到惩罚）——或者可能需要一定规模的验证器集，从而限制组织参与并引入官僚规则。

以太坊的权益证明适应及其陷阱

许多人希望摆脱工作量证明，以避免电力和硬件成本，并实现可扩展性。 权益证明最初开始将中本聪共识建模为基于链的区块链，即同步模型。在中本聪权益证明模型中，共识算法随机选择一个利益相关者（与其权益成比例），并赋予他们创建单个区块的权利——它的功能是模拟工作量证明。然而，许多人没有意识到这将导致两个主要问题：无关紧要的问题和远程攻击。

当两个矿工几乎同时创建区块时，就会出现无利害关系问题，网络必须根据最长链规则确定采用哪条竞争链。在工作量证明中，选择工作量最多的最长链——从经济意义上讲，工作来自消耗系统外部的资源。然而，在权益证明中，选择正确的链不需要外部资源，因此没有自然的机会成本。在没有机会成本的情况下，质押者可以在链的每个版本上质押他们的硬币，导致系统的安全性崩溃。因此，从这个意义上说，理性的质押者会延伸每一个可能的链条，以最大化他们的回报。

当攻击者（通过贿赂）获得过去的验证者的密钥以重写区块链的历史时，就会发生远程攻击。换句话说，攻击可能会创建虚假的网络历史记录。

为了解决“无利害关系”问题，Vitalik Buterin 提出了 Slasher，如果质押者在两个分叉上以相同高度签署区块，他们可能会失去区块奖励。 然而，Vlad Zamfir 和 Ethan Buchman 为 Slasher 实现了一个附加功能：质押保证金。一个可证明有缺陷的节点不会放弃一些利润，而是会通过削减来损失保证金——这是一种更大的惩罚。

这些实现后来被纳入以太坊的 Gasper 共识模型，并证明 ETH 作为一种权益证明资产，只能通过强制保证金和大幅惩罚来保留价值——如果不锁定 ETH，它对以太坊的经济保护没有价值。

换句话说，它的价值不是由其他东西创造的，比如不可伪造的工作量证明成本，而是被迫的（这与我们今天的法定货币体系惊人地相似）。因此，它不能作为一种强大或坚硬的货币形式发挥作用。比特币具有不可伪造的成本，因为它通过资本支出（硬件矿工）和运营支出（电力）来生产新的比特币的成本很高。生产比特币不能轻易伪造，因为造假者需要重做之前所有昂贵的工作量证明，并且速度超过网络内所有正在进行的工作量证明。

弗兰肯斯坦：以太坊的 Gasper¹⁸

Gasper¹⁹ 旨在结合最长链基于规则的模型（作为同步通信模型）和经典 BFT 模型（作为部分同步通信模型）的优势，并由权益证明设计提供支持。前者通过LMD GHOST（最新消息驱动的贪婪最重的观测子树）实现，这是最长链规则的泛化，后者是通过Casper FFG实现的。LMD GHOST 是 GHOST 的变体，是一种包容性协议，来自 Yonatan Sompolinsky 和 Aviv Zohar 的著作《比特币中的安全高速交易处理》。在每个分叉处，验证者不会选择最长的链，而是从所有验证者中选择支持总数最多的链，仅将每个验证者的最新消息计为支持（最新消息）。在基于工作量证明的 GHOST 模型中，支持是指工作量最多的最重的链;但是，在 LMD GHOST 中，支持是指票数最多的链，称为证明。证明是验证者的投票，由验证者的质押 ETH 余额加权。

这些证明是通过检查点块进行的 Casper FFG（友好终结性小工具）投票，并通过在验证者违反系统规则时削减验证者的余额来引入问责制——金额取决于违规行为。Casper FFG 是 Casper the Friendly Ghost 的变体，来自 Vlad Zamfir²¹ 的著作 Casper the Friendly Ghost： A “Correct-by-Construction” Blockchain Consensus Protocol。然而，以太坊决定将 Casper 作为 Finality 小工具实现。小工具充当具有概率活性的链（即 LMD GHOST）顶部的附加安全层。因此，Casper FFG 最终确定了提议的区块，即使在网络分区期间也能确保其安全性。然而，由于 Casper FFG 根据部分同步模型运行，因此只有当不到三分之一的验证器集有缺陷或对抗性时，才能实现终结性——也就是说，它的容错能力为 1/3。由于 Casper FFG 提供了负责任的安全性，因此它本身并不能提供经典意义上的活性;相反，它提供了一种弱的活性形式：似是而非的活性。用 Vitalik 的话来说，

“似是而非的活性基本上意味着'算法不应该被'卡住'，根本无法完成任何事情。

作为针对远程攻击的措施，Gasper还实现了弱主观性检查点，因为Gasper区块链在弱主观性检查点之前的历史无法恢复，即如果一个节点收到一个与检查点冲突的区块，它将拒绝该区块（防止远程攻击）。弱主观性的问题在于，加入（或重新加入）网络的新节点必须信任并依赖其他节点来获得正确的、更新的系统状态——这与去中心化旨在实现的目标相反：一个没有信任的系统。然而，工作量证明是根据客观性运作的，据此，一个新节点可以独立地得出与网络其余部分相同的关于当前状态的结论——实现一个无信任的系统。

因此，虽然以太坊的 Gasper 将同步性与部分同步性以及活跃性与安全性相结合，但它这样做是以牺牲许多事情为代价的，主要源于对强制权益证明工作的追求。

权益证明带来的关键问题：

首先，它用强制保证金取代了不可伪造的成本，创造了一种薄弱的经济价值形式。这是由于无法实施中本聪共识。

其次，它实施了削减，包括线下惩罚。虽然离线的惩罚很小，可能只相当于错失奖励的机会成本，但动态可用性仍然有限。

第三，薄弱的主观性检查点在系统内实施信任，挑战了区块链技术的目的。

人工安全/活体区分带来的关键问题：

第四，以太坊没有改进其分叉选择规则（例如，LMD GHOST），而是在重视概率活性的协议中对活性和安全性进行了不正确的、人为的区分。也就是说，他们没有提高网络的自我修复能力，而是利用经典的BFT共识（Casper FFG）实现了一个小工具。

这就引出了第五个问题——Casper FFG 只能达到 1/3 的容错限。虽然这本身似乎不是问题，因为Casper FFG在部分同步模型中实现了尽可能高的容错能力，但这在很大程度上是一个限制，正如我们将看到的，DAGKNIGHT可以做得更好。

最后，Gasper 引入了高度的复杂性，这损害了基础层的安全性、不变性和 ETH 作为货币的能力。这种对复杂性的无休止的追求造就了一个弗兰肯斯坦。

回顾：比特币、经典 BFT 和以太坊

比特币可以达到 1/2 的高容错限，但这样做是以牺牲现实世界建模为代价的——例如互联网延迟（例如，网络中断和意外持续时间的攻击）和实现可扩展性。正因为如此，比特币不能成为一种交换媒介，因为降低其延迟上限以获得更快的交易速度会损害安全。另一方面，经典的 BFT 模型以牺牲在网络分区或攻击期间实现动态可用性和自我修复为代价来支持安全性。此外，由于经典的BFT模型依赖于部分同步通信模型，因此它们只能实现1/3的容错边界。以太坊试图合并基于最长链的模型和经典BFT模型的更好质量，但它通过创建一个不必要的弗兰肯斯坦来做到这一点。让我们看看 Kaspa 的未来共识模型 DAGKNIGHT 如何解决这些问题。

DAGKNIGHT：时间大师

DAGKNIGHT作为部分同步模型实现了1/2的容错边界。请记住，辛西娅·德沃克（Dwork、Lynch 和 Stock）正式证明了不可能实现高于 1/3 的容错界限。Shi 和 Pass 在他们的工作 Hybrid Consensus 中也进一步正式化了这一点。

让我们解释一下DAGKNIGHT是如何做到这一点的。首先，前言：需要了解 GHOSTDAG 的工作原理以及 DAGKNIGHT 如何建立在它之上——这些信息可以在 SPECTRE、PHANTOM 和 GHOSTDAG 小节中找到，DAGKNIGHT 在我的文章中解决了 GHOSTDAG 问题：如何解决区块链三难困境：BlockDAG 和 Nakamoto 共识友谊。

实现不可能：DAGKNIGHT和部分同步性

DAGKNIGHT通过最大限度地利用工作量证明栏杆来解决Dwork的不可能结果。工作量证明将事务排序协议与终结性协议解耦。共识模型是交易的排序方式（例如，比特币的最长链规则和 DAGKNIGHT 的排序规则），并且是所有参与者以相同方式运行的规范算法（包括对抗节点）。另一方面，事务终结性是一个不具约束力的过程，每个用户根据他们对系统的本地信念进行配置或计算。

在比特币中，这个默认时间是基于一个假设，α，攻击者拥有网络总哈希率的 10%，并且节点愿意吸收的风险 ε <0.1%，²⁶ 但节点受到同步性的限制。然而，节点也承担着其局部系统信念的后果。例如，假设一个比特币节点认为恶意矿工拥有的哈希率不到 1/3。在这种情况下，节点将比认为绑定为 49% 的节点更快地确认交易，从而允许 34% 的攻击者伤害前者而不是后者。

工作量证明排序与终结性分离的另一个例子是 SPECTRE，²⁷ 一种部分同步的工作量证明 BlockDAG 排序算法。在 SPECTRE 中，节点还必须通过单独配置的配置参数来指定他们对延迟限制的信念，而系统的其余部分对此一无所知。此外，每个节点都负责其在 D 中的选择，因为过于不准确的选择可能会伤害它们。例如，如果一个节点高估了 D，它就无法识别不可逆的交易，如果一个节点低估了 D，它就会过早地接受交易。然而，SPECTRE无法实现强大的活性。

DAGKNIGHT利用了这种工作量证明方面，允许其事务排序规则与延迟无关，而其事务终结性取决于延迟限制（由用户在本地配置）。从这个意义上说，它是部分同步的。响应能力是经典部分同步通信模型的一个关键特征。根据协议的共识模型对延迟的响应方式，有两种形式的响应。一种强大的响应形式来自一种协议，该协议可以根据网络的可观察延迟来确认交易。协议中的弱响应形式是与对手造成的当前最大延迟紧密配合的响应形式。DAGKNIGHT根据后者工作，并且是它如何绕过Dwork的不可能结果。正如 DAGKNIGHT 论文所述，

“事实上，在KNIGHT中，客户端仅仅在可观察的延迟上设置一个本地边界是不够的，该边界应该反映攻击者可能造成的最大延迟。也就是说，即使消息当前在 1 或 2 秒内完全传播，如果攻击者可能破坏网络并导致消息需要长达 30 秒才能通过，客户端也应将 D 设置为 30 秒。

虽然这似乎是一个限制，但实现弱响应形式的能力创建了第一个共识模型，以实现容错边界为 1/2 的部分同步性。

打破不可能的结果：这意味着什么？

作为最长链规则（中本聪共识）的推广，DAGKNIGHT实现了动态可用性、概率终结性和自我修复。然而，DAGKNIGHT比比特币更快地实现终结性，因此也更快地实现安全性 - 也就是说，重组的概率更快地收敛到0。由于终结性更快（即每秒 100 个区块），矿工获得补贴和免费区块奖励的速度也更快。反过来，随着单独采矿变得更加高效，这会分散系统。

与经典的BFT模型不同，DAGKNIGHT在分区期间不会停止，同时实现尽可能高的容错边界 - 1/2，而BFT模型只能达到1/3。

此外，与比特币不同，DAGKNIGHT可以模拟异步的真实世界，阻止长时间超时和性能下降，同时确保低延迟范围内的安全性。因此，比特币不能成为交换媒介，因为降低其延迟上限以提高交易速度会损害安全。然而，DAGKNIGHT可以实现第一个无状态的未来世界储备货币。

此外，DAGKNIGHT将此框架作为非双重共识模型实现。DAGKNIGHT 没有添加层（例如以太坊的 Casper FFG），而是仅改进了其基础层分叉链规则，从而实现了简单性——这是远离复杂以太坊式弗兰肯斯坦的重大举措。简单性允许更快、更安全的开发，DAGKNIGHT通过（a）强大的经济价值（由不可伪造的工作量证明成本支持的资产）实现简单性，（b）强大的客观性——即消除信任，如以太坊的弱主观性模型所示。

最后，DAGKNIGHT 进一步分散了工作量证明，因为 α、ε 和 Δ 是由节点本地决定和决定的，而不是一些总体的中心规则（例如比特币的上限延迟），间接解决了弗里德里希·哈耶克 （Friedrich Hayek） 所说的局部知识问题，²⁹ 它解决了时间和地点的特定情况的知识，

“每个人都比其他人有某种优势，因为他拥有独特的信息，可以对这些信息进行有益的利用，但只有当取决于它的决定留给他或在他的积极合作下做出时，才能使用这些信息。”

因为个人（或我们例子中的节点）根据他们特定的时间和地点情况拥有独特的信息，所以计划（特别是哈耶克的经济计划，但这也可能与α、ε和Δ有关）最好由个体行为者以类似的分布方式执行。根据中央规则进行规划缺乏这些信息，因为它无法准确解释当地知识的范围。

结论。 Kaspa的未来共识模型DAGKNIGHT解决了比特币、以太坊和经典BFT模型无法实现的不可能结果。作为具有最高容错限的部分同步模型，DAGKNIGHT提供了比分布式系统理论中任何其他协议更强的安全性，可扩展性和去中心化。没有其他协议正式实现过这样的壮举，也许没有其他协议会。因此，卡斯帕是时间的主人。

皮埃尔·德·奥布松（Pierre d'Aubusson）大师与高级骑士，在他们的习惯上佩戴“罗得岛十字架”。Gestorum Rhodie obsidionis commentarii（1480 年罗得岛围城战的记述）中的专用缩影，BNF Lat 6067 fol. 3v，日期为 1483/4。

参考文献和脚注

[1] 兰波特，莱斯利。分发，1987年5月28日：https://lamport.azurewebsites.net/pubs/distributed-system.txt。

[2] 巴希尔，伊姆兰。区块链共识 经典、区块链和量子共识协议的介绍。新闻出版社，2022 年。

[3] 兰波特，莱斯利。“证明多进程程序的正确性。”IEEE Transactions on Software Engineering，第 SE-3 卷，第 2 期，1977 年 3 月，第 https://lamport.azurewebsites.net/pubs/proving.pdf 页。

[4] 参见米勒的严格证明：米勒、安德鲁和约瑟夫·拉维奥拉。来自中等难度谜题的匿名拜占庭共识：比特币模型，socrates1024.s3.amazonaws.com/consensus.pdf。

[5] Fischer， Michael J.， et al. Imimpossible of Distributed Consensus with One Faulty Process， Journal of the Association for Computing Machinery， Vol. 32， No2， April 1985， Sept. 1983， groups.csail.mit.edu/tds/papers/Lynch/jacm85.pdf.

[6] 布鲁尔、埃里克 A. 和阿曼多·福克斯。收获、产量和可扩展的耐受系统，s3.amazonaws.com/systemsandpapers/papers/FOX_Brewer_99-Harvest_Yield_and_Scalable_Tolerant_Systems.pdf。

[7] 德沃克、辛西娅和南希林奇。Consensus in the Presence of Partial Synchrony，Journal of the Association for Computing Machinery，第 35 卷，第 2 期，1988 年 4 月。，1985年10月，groups.csail.mit.edu/tds/papers/Lynch/jacm88.pdf。

[8] 帕斯、拉斐尔和伊莱恩·施。混合共识：无需许可模型中的高效共识，eprint.iacr.org/2016/917.pdf。

[9] 参见 Lamport 等人的严格证明：Pease， M.， et al. Reaching Agreement in the Presence of Faults， Journal of the Agsoctatton for Computing Machinery， Vol 27， No 2， April 1980， Nov. 1978， lamport.azurewebsites.net/pubs/reaching.pdf.

[10] 好吧，它实际上适用于最重的链式规则，但为了简单起见，我把这个细节扫到了地毯下。为简单起见，假设按高度计算的最长链与按计算的聚合工作/哈希值的最长链相关。

[11] 权在.Tendermint：没有挖矿的共识，2014 年，tendermint.com/static/docs/tendermint.pdf。

[12] 卡斯特罗、米格尔和芭芭拉·利斯科夫。Practical Byzantine Fault Tolerance，第三届操作系统设计与实现研讨会论文集，美国新奥尔良，1999 年 2 月，第 pmg.csail.mit.edu/papers/osdi99.pdf 页。

[13] Yin， Maofan， et al. HotStuff： BFT Consensus in the Lens of Blockchain， 2019年7月23日， arxiv.org/pdf/1803.05069.pdf.

[14] Neu， Joachim， et al. “解决可用性-终结性困境”。去中心化思想，2020 年 11 月 1 日，decentralizedthoughts.github.io/2020-11-01-ebb-and-flow-protocols-a-resolution-of-the-availability-finality-dilemma/。

[15] 认为工作量证明是浪费电力、电力和硬件是错误的。许多人认为工作量证明应该是“有用的”——这是一个误会。工作量证明已经很有用，因为它为分布式系统提供了额外的安全层。它不仅可以防止女巫抵抗，还可以提高共识安全性，因为工作量证明应该被视为一种武器防御系统。Jason Lowery在他的著作《Softwar： A Novel Theory on Power Projection and the National Strategic Significance of Bitcoin》中很好地阐述了这一观点。Lowery认为，将能源和硬件（例如ASIC或GPU）转化为计算能力的能力，以及随后向区块链添加新区块的潜力，是一种权力投射形式，类似于国家军队。此外，工作量证明在比特币的创造中提供了不可伪造的成本——换句话说，它创造了更强大、更坚硬的货币。

此外，工作量证明不能扩展的想法是不正确的——正如我们在本文后面看到的那样，DAGKNIGHT作为工作量证明模型可以实现每秒100个块的可扩展性。

光学ASICS使用很少的能量来运行，一旦Kaspa从补贴奖励模式转向完全基于翻译费的模式，它将成为雇佣兵采矿的未来可能的解决方案。光学技术已被广泛用于 AI 服务器，并与 GHOSTDAG 和 DAGKNIGHT 使用的哈希算法 kHeavyHash 兼容。需要注意的是，资本支出范式并不意味着资本支出成本越高越好;相反，矿工可以减少对运营成本的关注。

例如，进入 oPoW 硬件制造的成本可能远低于 ASIC，因为旧的硅光子学，例如 CMOS 节点（~90 或 220 nm 与晶体管的 ~7 nm），足以创建 对于原始的 OPOW 论文，请参阅 Michael Dubrovsky、Marshall Ball 和 Bogdan Penkovsky 的光学工作量证明。有关 OPOW 的斯坦福大学实验室论文，请参阅 Sunil Pai 等人撰写的 LightHash： Experimental Evaluation of a Photonic Cryptocurrency 和 Sunil Pai 等人撰写的 Experimental evaluation of digitally-verifiable photonic computing for blockchain and cryptocurrency。

从关于价值储存加密货币的物理限制的幻灯片中：https://www.powx.org/opow

[16] 赞菲尔，弗拉德。“卡斯帕的历史——第 1 章。”以太坊基金会博客，2016 年 12 月 6 日，blog.ethereum.org/2016/12/06/history-casper-chapter-1。

[17] Zamfir，V.（2016b，12 月 7 日）。卡斯帕的历史——第 2 章。以太坊基金会 Blob。https://blog.ethereum.org/2016/12/07/history-casper-chapter-2。

[18] Gasper 非常复杂。详细解释其设计（即检查点和检查点树的复杂性）对于本文的范围来说不是必需的。

[19] Buterin、Vitalik 等人结合 GHOST 和 Casper，2020 年 5 月 11 日，第 arxiv.org/pdf/2003.03052.pdf 页。

[20] Sompolinsky、Yonatan 和 Aviv Zohar。eprint.iacr.org/2013/881.pdf，在比特币中安全进行高速交易处理。

[21] 扎米尔，V.（未注明日期）。Casper the Friendly Ghost 一个“Correct-by-Construction”区块链共识协议。https://github.com/ethereum/research/blob/master/papers/CasperTFG/CasperTFG.pdf。

[22] 罗森菲尔德，梅尼。基于哈希率的双花分析，2012 年 12 月 11 日，第 bitcoil.co.il/Doublespend.pdf 页。

[23] Sompolinsky， Yonatan， et al. SPECTRE： Serialization of Proof-of-Work Events： Confirming Transactions via Recursive Elections， 2016， eprint.iacr.org/2016/1159.pdf.

[24] 弗里德里希·哈耶克（Friedrich A. Hayek）（1945）。“知识的使用”。美国经济评论。三十五：4.第519-530页，https://www.kysq.org/docs/Hayek_45.pdf。