前言

2017年，Vitalik Buterin与Virgil Griffith共同发表了Casper the Friendly Finality Gadget（Casper FFG）。Casper FFG是受PBFT启发并经过改良的共识协议，它虽然被设计得很简洁（Simple），但其对安全性的证明却不简单（Easy）。

笔者将于本文解析Casper FFG 的原理，读者可以一窥权益证明共识所尝试解决的问题及其设计理念。此外，Casper FFG 是以太坊2.0 的共识机制，理解其运作也能帮助研究员与开发者进一步理解以太坊2.0 的设计。

最后要特别感谢以太坊研究员Chih-Cheng Liang（梁智程）提供重要素材并与笔者共同大量讨论及给予回馈，没有他的协助便不会有这篇文章的诞生。

Casper FFG 是怎么开始的？

以太坊对权益证明（Proof-of-Stake， PoS）的研究最早可追朔至2014年的这篇文章。从此之后，以太坊研究员们便一直朝「实现基于PoS的共识协议」此一目标前进。PoS共识的设计是一个跨领域且相当复杂的问题，其包含计算机科学/经济学/密码学等面向。以太坊拥有区块链生态系中最跨领域的团队，对PoS的研究可以说是相当透彻。

Casper FFG 受到PBFT 的启发，并可以被视为改良后的PBFT — 它继承了PBFT 的重要设计，同时添加新的机制与简化若干规则。若读者对PBFT 感到陌生。

简而言之，PBFT 是一个具有二轮投票机制的共识协议，且具有下列特性：

· 许可制的（Permissioned）：只有被「允许」的节点能参与共识。

· 基于领袖的（Leader-based）：只由主导节点负责「提案」（Propose），其他节点只负责投票，因此需要视域变换（View Change）机制来节制不诚实的主导节点。

· 基于通讯的（Communication-based）：使用决定性的（Deterministic）多数决来形成共识，而不是非决定性的（Non-Deterministic）算力解谜赛局。

· 安全性重于活跃性的（Safety-over-Liveness）：无论网路是否延迟，协议都能保证共识的安全性（即不分岔），这赋予协议即时敲定（Instant Finality）的特性。

其中PBFT所具备的即时敲定性，或许是其受到Vitalik青睐的主因。Vitalik在熟读PBFT后也特撰文总结，并于其中提出日后演变成Casper FFG的重要想法。

Casper FFG 的前身：砍押金的4 条规则

PBFT虽然具有即时敲定性，但并不具有抵抗共谋的能力，因此需要一个惩罚机制来遏止作恶的行为，只要节点做出逾越规则的行为，便必须承受经济损失—透过经济学法则来调节节点的行为正是PoS的设计理念。任何支付押金的节点，都可以加入网路参与共识，无需任何人的许可，因此基于PoS模型的共识都是非许可制的（Permissionless）。

在这里要澄清一下「许可」这件事。我们会说他「非许可制」，是因为任何验证节点可以加入和退出。但如果在他加入的时候，链要维持一个验证节点清单，从这个角度看又有点是「许可制」。从PBFT 的角度看，投票的验证节点也必须从许可的清单中挑选。

那么下一个问题是：哪些行为该被惩罚？Vitalik仔细推敲PBFT后发现，PBFT只需4条规则（PBFT中的断言）便能确保共识运作良好：

Vitalik在这篇文章中总结了这4条规则，并把它们称为PBFT的「最少的砍押金条件」（Minimal Slashing Conditions），任何违反此4条规则的行为都要被取走押金。这4条规则如下：

1.提交（commit_req）：收到2/3节点的预备讯息后才能提交。

2.预备（prepare_req）：每个预备讯息只能指向某个也具有2/3节点预备讯息的高度（Epoch），且这些预备讯息也必须都指向同一个高度。

3.预备提交一致性（prepare_commit_consistency）：任何新的预备讯息只能指向最后一个已提交的或其他比其更新的高度。

4.不重复预备（no_double_prepare）：不能在同一个高度送出两次预备。

这4 条规则可以进一步简化为2 条：

某验证节点v必不可发出两个相异的投票：

《ν， s1， t1， h（s1）， h（t1）》及

《ν， s2， t2， h（s2）， h（t2）》，

且使下列任一条件成立：

1. h（t1） = h（t2）

验证节点必不可对某高度发出两个相异投票。

2. h（s1） 《 h（s2） 《 h（t2） 《 h（t1）

验证节点必不可投出高度围绕/被围绕于另一投票高度的投票。

这2条规则便是Casper FFG 的最少砍押金条件。

Casper FFG 如何运作？

Casper FFG是一个将出块机制（Block Proposing Mechanism）抽象化的覆盖层（Overlay），只负责形成共识（这里的覆盖层是「链」的覆盖层，而非「网路」的覆盖层）。出块机制由底层网路实作，而来自底层网路的出块（Block Proposal）称为检查点（Checkpoints）。检查点组成检查点树（Checkpoint Tree），例如：把高度为0、50、100、150的区块杂凑值取出，形成一棵新的树，如上图所示。最底部的检查点则称为根检查点（Root）。

每个节点都必须对检查点送出投票（Vote），投票的内容是由两个不同高度的检查点组成的连结（Link），连结的起点高度较低，称为源头（Source）；连结的终点高度较高，称为目标（Target）。节点会将投票广播到网路中，并同时收集来自其他节点的投票。其中若投票给某连结L的节点押金总和超过全部押金的2/3，则称L为绝对多数连结（Supermajority Link），以s → t表示。例如上图中，b1 / b2 / b3之间都形成了绝对多数连结，分别以b1 → b2、b2 → b3表示。

由根检查点开始，若两个检查点之间形成绝对多数连结，则该连结的目标进入「已证成」（ Justified）状态；而在连结建立当下已处于「已证成」状态的源头，则进入「已敲定」（Finalized）状态；根检查点则预设为「已证成」及「已敲定」状态。由此可知，每个检查点在经过两次投票后，会先「证成」（Justify）而后「敲定」（Finalize），几乎等同于PBFT的「预备」与「提交」。例如在上图右边的分支中，r / b1 / b2皆为「已敲定」状态，只有b3为「已证成」状态。

那么验证节点该对哪个检查点建立连结？每个节点都必须遵循分岔选择规则（Fork Choice Rule）来选择下一个要连接的检查点，Casper FFG的规则是：选择最高的「已证成」状态的检查点。

由于Casper FFG能让任何存入押金的节点参与共识，因此验证节点集合（Validator Set）会动态地随着时间变化。节点从退出网路至取出押金需要等待一段期间，该等待期间称为提领延迟（Withdrawal Delay）。每个检查点C都有其对应的朝代数（Dynasty），其定义为：从根检查点开始至C为止的已敲定检查点数量，例如上图中，b3的朝代数为3。每一代检查点都对应两种验证节点集合：前端（Front）验证节点集合（包含于此代加入的节点）以及后端（Rear）验证节点集合（包含于此代退出的节点）。理论上每代检查点的前端/后端集合会高度重复，但难保节点共谋造成前端/后端集合的大幅变化，若此情形发生，则出错时可能会砍不到坏节点的押金（因为坏节点已退出）导致安全性受到威胁。例如上图中，验证节点A可以退出，代表对C‘分岔（绿色）来说A退出了，可是对C分岔（紫色）来说， A却从来没退出过。因此A有办法继续投旧链C，但新链C’砍不到A的押金（因为已退出）。

为了让每代检查点在出错时都能确实归责，因此需要缝合机制（Stitching Mechanism）将检查点的前端/后端集合「缝」起来，确保每个错误都必定能归责（出错的可能是前端集合或者后端集合）。

综合以上，Casper FFG 几乎针对PBFT 的所有面向都做出改进：

· 经济上的制约：PBFT是许可制的，它仰赖原本就存在信任基础的组织共同运行协定；Casper FFG则是非许可制的，它引入最少砍押金条件，利用经济损失的风险来制约节点的行为，节点之间不需要任何信任基础也能共同运行协定，实现真正的去中心化。

· 抽象的出块机制：PBFT仰赖诚实的主导节点产生区块并需要视域变换机制节制拜占庭节点；Casper FFG不需理会底层的出块机制，只需负责形成共识。出块抽象的好处是：底层网路的出块频率不必与覆盖层的共识频率一致，如此可以增加效率并降低网路的负担。例如：每100个底层区块只产生1个检查点。

· 流水线化的投票：PBFT具有《Prepare》、《Commit》、《View-change》等数种投票讯息；Casper FFG仅有《Vote》一种，且投票的内容并不是单一的区块/请求，而是两个形成连结的检查点，这使Casper FFG能够在不牺牲太多表达力的前提下变得简洁许多。这些形成链式结构的检查点，会于两个不同高度分别经历两轮投票，由于每一轮投票都会敲定源头与证成目标，因此共识能如流水线（Pipeline）般不断推进。相似的设计理念也出现于Hot-Stuff，有趣的是，该论文作者Dahlia Malkhi还撰文比较Hot-Stuff与Casper FFG，其相似程度可见一斑。

· 强健的抗攻击性：PBFT不具备对远程攻击（Long-range Attack）以及灾难性崩溃（Catastrophic Crash）的抗性；Casper FFG则具有特别的机制来防御这两种攻击：针对远程攻击，节点必须定期同步区块及禁止回朔（Revert）已敲定的区块；针对灾难性崩溃，Casper FFG则引入「离线溢金」（Inactivity Leak）机制来应对。关于这两种攻击的说明，笔者将于日后另撰文论述。

由于Casper FFG 相当简洁，以太坊研究员一度实作了合约版本的Casper FFG：

然而，这个合约版的Casper FFG后来被弃用了！在合约版中原本假设投票能够被平行处理，但在计算投票报酬有很多中间状态，不同投票处理的先后顺序将会影响最后得到的状态，这代表平行化将无法达成共识。而要修正这个问题则必须要在合约与客户端做大量修改，失去了「逻辑用合约实作，避免修改客户端」的精神。因此，为了能够更好地整合Casper FFG与其他优化提案（例如分片），全新的以太坊2.0 滂薄登场了。

以太坊2.0 中的Casper FFG

以太坊2.0 是一个基于EVM 并整合Casper FFG 与众多优化提案（以分片为主）的分散式帐本。以太坊2.0 除了想实现PoS，还试图将每秒交易数（TPS）扩展到10000 笔的量级，使区块链成为如网际网路一般的基础建设（Infrasturcture），并且让任何存入32 颗以太的押金的节点都能成为验证节点。

分片（Sharding）即是为了增加可扩展性（Scalability）的重要设计，也是以太坊2.0最重要的目标。分片就是分工合作，我们可以用一个简单的例子来说明分片的概念（实际上的解释要比这复杂得多）： 2人写2题作业，2人各写不同的1题再合起来一定比2人都各写完2题来得更有效率。

目前的以太坊只有1条区块链，所有节点必须各自处理所有交易（如同2人各自写完2题作业）；在以太坊2.0中，网路会分成1024个片（Shard），每片分别运行1条分片链（Shard Chain），它们将各自处理一部分的交易后再将结果交由1条信标链（Beacon Chain）统整（如同2人各做不同的1题再合起来）。因此，以太坊2.0预计会有1条信标链以及1024条分片链。

值得注意的是：片是一个抽象层，并不特指某一群节点。为了更了解这个概念，笔者扩充一下上文的例子：假设写作业有找答案及抄答案两个步骤，那么A / B 2人写2题作业，由读速快的A找第1题答案，读速慢的B找第2题答案；由手速快的B抄第1题答案，手速慢的A抄第2题答案。如此，A / B便可以依照读/写的快/慢来分别负责不同题目的不同步骤。

同样地，在以太坊2.0中，除了有1024个片，还会有1024个持续委员会（Persistent Committee）与1024个交联委员会（Crosslink Committee）：

· 每个片都会对应1 个持续委员会与1 个交联委员会，如同上例中每个题目可以依照读/写的步骤来对应不同的个体。

· 使用链上乱数（On-chain Random Number）决定各委员会的分派，如同上例中依照读/写的快/慢来分派题目（关于链上乱数的实作细节留待笔者日后详述）。

· 持续委员会负责维护分片链与产生分片区块（Shard Block）、交联委员会负责维护信标链与产生信标区块（Beacon Block），如同上例中读速快的负责找答案、手速快的负责抄答案。各区块的出块节点（Block Proposer）也交由链上乱数决定。

换句话说，每个验证节点都需维护1 条唯一的信标链及1 条所属片的分片链，也都会隶属于与该分片对应之1 个交联委员会与1 个持续委员会。

Casper FFG是运行于以太坊2.0之上的覆盖层，这个覆盖层同样由检查点构成，各检查点之间的跨度称为时期（Epoch），1个时期（Epoch）切成64个时段（Slot ），每个时段对应16个片（16 = 1024 ÷ 64），因此每片在每时期中都有对应的时段，并只能在轮到自己时才广播其对检查点的投票，且每分片只能1个时段中投出1票—也就是说，各分片需要先对投票内容形成共识，不过各片内部形成共识的方法仍尚未定论，近期最新的提案是使用聚合签章。另外，Casper FFG在以太坊2.0中的分岔选择规则是最新讯息驱动GHOST（Latest-Message Driven GHOST， LMD GHOST）。

理论上，Casper FFG 于每个检查点的投票应该要与底层出块机制的投票分开；实际上，以太坊2.0 的底层投票内容会同时包含顶层投票内容（检查点的连结），如同顶层投票搭了底层投票的便车（Piggyback），借此优化效能。如此在每个时期结束时，每个片都会收到所有其他片在该时期的投票，Casper FFG 活跃性得以维持。

结语

Casper FFG 是一个实现权益证明的大胆尝试，它在以太坊2.0 的表现值得期待。然而以太坊2.0 还有许多难题留待解决，例如轻节点（Light Client）/ 链上乱数产生器（On-chain Random Number Generator）/ 跨片交易（Cross-shard Transaction）等等。与此同时，许多以太坊2.0 的竞争者也提出新的共识协定与分片技术，例如RapidChain / Harmony / Chainspace 等等。

Casper FFG 以及以太坊2.0 是经过众多研究员/开发者不断激荡与迭代的重要结晶，但一直以来都缺乏提供系统性论述的中文材料，希望此文可以帮助中文世界的研究员/开发者快速理解Casper FFG与以太坊2.0 的精要。

『本文转载自网络,版权归原作者所有,如有侵权请联系删除』