帮你对第一层和第二层系统的系统架构和信任假设建立一个更好的心智模型。
(Mental models for L1 and L2)撰文:Patrick McCorry 编译:Captain Hiro
加密货币正在引领数据库技术的范式转变
数据库是加密货币的基石,它记录了所有用户的账户余额、智能合约代码和状态。用户在加密货币网络上执行的任何行动最终都会通过执行交易和更新数据库来反映。
「Web2」数据库技术的问题在于其发挥作用需要信任一个第三方。它依赖于一个受信任的第三方来维护和保护数据库。如果第三方下线了,那么对数据库的所有访问就会中断。如果他们在更新数据库时犯了一个错误,那么这个错误就可能会被无限期的忽略。为了建立公众对数据库的信心,数据库可以雇佣一个审计师,通过追溯检查数据库更新的有效性来进一步证明数据库的完整性(这并非是一件难事)。
用一个由参与者组成的开放成员团体(open-membership group)取代受信任第三方的潜力是加密货币引领数据库技术(「Web3」)范式转变的原因。它允许任何愿意贡献资源的人读、写、审计,并最终保护数据库的内容和完整性。该团体可以实时对数据库的更新进行检查,这使得他们可以立即拒绝错误,并在事后很短的时间内发现错误。
开放成员团体是这一范式转变的基础,它可以划分为两个角色:
提议者:可以向数据库提交更新的代理人
验证者:检查向数据库提交更新的有效性的代理人
参与的心智模型类似于加密协议。一方(提议者)想证明一个声明是真实的,而另一方(验证者)必须在接受这个声明之前检查它是否真实。这是一个互动过程,对数据库进行的每一次更新都会不断重复这一过程。
然而,针对如何实现开放成员团体有几个重要的问题:
谁是提议者?如何才能成为提议者?这个团体需要多大的规模?
谁是验证者?我需要注册才能成为验证者吗?这个团体需要多大的规模?
提议者和验证者之间如何达成协议,才能使更新被接受?
想要回答上述问题,我们就要考虑系统的架构,以及从根本上讲数据库的安全到底意味着什么。下面的内容将从第一层(L1,主网)和第二层(L2)系统考虑,最终的目的是帮助铁子们建立一个良好的心智模型。
第一层数据库必须被经济上的大多数人(「世界」)所接受
在第一层系统中,受信任的第三方被公共共识所取代。我们的目标是让所有参与者就数据库的更新达成一致。这需要一套可以由所有各方以客观的方式应用的共同规则(「共识规则」)。这些规则被用来验证数据库更新的有效性。一个或多个提议者可以提出一个竞争性的更新,但最终所有参与者将趋向于数据库的单一更新和数据库内容的单一真相。
对公众共识的需求影响了参与:
限制提议者的比率:成员资格需要是开放的,但仅限于对这个系统的长期成功有经济激励的参与者。这是为了防止冲突的更新泛滥,使所有各方难以最终汇聚到一个单一的更新上。
验证者的最大化:系统更新的频率和规模将决定验证者的数量,因为他们必须有计算和带宽资源来实时验证所有的更新。否则,他们就会落后并永远无法计算出数据库的最新副本。
我们将借此机会讨论如何限制谁可以成为提议者,对数据库广泛复制的权衡,以及谁是一个真正区块链(和数据库)的最终决定者。
限定提议者的比例。我们的目标是找到那些在游戏中拥有利益的提议者,他们的经济利益与网络的长期繁荣相一致。这是通过分配成为提议者的权利来实现的,分配的依据是对稀缺资源的所有权(获得这种资源在经济上是昂贵的)。例如,在工作证量明中,提议者必须拥有高效的硬件和具有成本效益的电力来源,以便在挖矿市场上具有竞争力。而在权益证明中,提议者必须在这个过程中拥有并锁定系统代币。在这两种情况下,提出新的更新的频率与所有其他参与者成正比。
可负担性与可验证性。系统中所有参与者接受更新的时间决定了网络的吞吐量。在拥堵时期,网络的吞吐量和交易的可负担性之间有一个权衡,因为用户会为了他们的交易在其他人之前被接受而相互竞争。在实践中,像比特币和以太坊这样的网络可以让尽可能多的验证者参与其中,而像 Solana 这样的网络则以低费用为目标(只要它可以保持下去)。有趣的是,ICP 的验证者必须得到批准并从某些供应商那里购买硬件。
经济上的多数(economic majority)。大多数时候,我们可以把提议者和验证者的集合视为保护数据库的集体。然而,最终目标是说服从使用角度来看拥有既得利益的经济上的多数。在正常运行期间,提议者和验证者的集合只是经济多数的代理,但如果出现对网络共识规则有争议性的改变,那么最终将是全球大多数用户来判断所产生的数据库的外部金融价值。例如,比特币与 Bitcoin Cash 的市值对比,以及以太坊与 Ethereum Classic 的市值对比,都显示出了在社区对前进道路产生重大分歧后谁才是最后的赢家。
总而言之,第一层系统的心智模型是考虑一个数据库,该数据库最终负责决定资产的所有权和接受数据库的所有更新的经济多数的需要。这就是为什么从技术、社会和经济角度来看,去中心化对于第一层系统的成功来说至关重要。第一层系统的目标是尽可能广泛地复制数据库的副本,最大限度的扩大谁可以参与保护数据库的过程,并最终依靠经济上的多数来决定其现实世界的价值。
桥持有所有资产,第二层数据库记录债务
在第二层系统中,可信任的第三方被智能合约所取代,它有两个组成部分需要考虑:
桥合约:一个在第一层系统上持有资产的智能合约。
链下数据库:一个录了链下系统债务(liability)的数据库。
桥负责将资产从一个数据库(第一层系统)连接到另一个数据库(第二层系统)。
桥合约的唯一责任是通过检查链下数据库的完整性来保护桥的资产。为了维护其完整性,桥在接受每一个对链下数据库的拟议更新(即应用于第二层系统上的数据库的每一个状态转换)之前都要检查其有效性。这对于确保桥合约持有的资产能够覆盖链下数据库中记录的债务来说至关重要,否则就会导致大规模退出的情况。
坚持桥合约的独立性会影响参与:
任何人都可以提议。桥应该允许任何人强制纳入最终将在链下数据库上执行的交易,从而有利于第二层系统。
单一验证者。最重要的是桥合约在允许资产被释放之前确信链下数据库的拟议更新是有效的。
当我们考虑第二层系统的架构时,我们需要了解信任假设是如何发展的,以及让数据库公开访问的目的。
架构和中心化服务。第二层系统的架构类似于中心化服务(如 Coinbase)。用户将加密货币充值到第一层系统的桥合约,充值信息反映在链下数据库中,大部分交易由链下数据库处理。这种方法在过去 12 年里帮助加密货币扩大了规模,因为大多数用户与中心化服务互动,并使用底层的第一层系统作为互操作性解决方案,将资金从一个服务转移到另一个服务。历史上是由运营商(如 Coinbase)来保护链下数据库,并决定提现是否可以由桥合约处理的。
信任的演变。多年来,我们见证了桥合约在如何在确信链下数据库的完整性方面改变了其信任假设。它已经从单一权威、多权威发展到外部区块链的共识协议。在所有情况下,桥合约必须盲目地相信一组当事人的判断,然后再将资产释放给用户。这导致了数十亿美元的盗窃案,因为当前很难将一套保障数十亿美元安全的人为流程复制到数百个桥上。第二层系统的目标是完全消除对中间人的信任,并允许桥独立验证对数据库的拟议更新。
数据库的可访问性。只有桥合约才能决定什么是真正的数据库,并将资产释放回给用户。数据库可供公开访问(即数据可用性问题)是为了保证第二层系统的有效性。它假设会出现一个诚实的一方,他可以成为一个提议者,拿着待定交易的清单向数据库提议更新。在这个过程中,是没有必要建立一个大的验证者多跳网络(mesh network)来保护数据库,也没有必要依靠经济上的多数来决定哪个数据库应该具有外部现实世界的价值。
因此,第二层系统的心智模型是关于桥合约和支持其保护持有资产的努力。它有唯一的权力来决定接受哪个数据库的更新,而不管大多数参与者的想法如何。同时,参与者的网络仍然是可取的,这样可以确保第二层系统的有效性,并保证他们可以不断向智能合约提出更新。然而,这并不是要依靠全球多跳网络来保护数据库的完整性(安全属性)。
* 对于 optimistic rollup 来说有一个注意事项,因为它假设有一个诚实的一方会协助桥合约验证对链下数据库的更新,但最终真正重要的是桥合约的最终决定。
这两个系统的架构和目标是不同的。
第一层系统:目标是达成公共共识,并最终汇集成关于数据库状态的单一全球真相。
第二层系统:目标是建立一个系统,能够说服智能合约了解链下数据库的完整性(和状态)。
这两个系统有根本不同的信任假设。第一层系统必须依靠诚实的多数来保护数据库的完整性,并依靠经济上的多数来为数据库记录的资产赋予现实世界的价值。而在第二层系统中则不需要多数人的同意,也不需要对资产进行外部估值。它已经可以假设存在一个具有公共共识的第一层系统,这里唯一的重点是保护智能合约所持有的资产。因此,它可以依靠一个诚实的一方出现并确保系统继续取得进展。
在我来看,这就是为什么比较 L1 和 L2 就像比较苹果和橘子。这两个系统都有不同的信任假设、代理参与和最终的系统架构。我们试图比较二者的唯一原因是,第二层系统的出现是由于第一层系统的可扩展性瓶颈。现在,我想改变一下这个说法,因为第二层系统应该被视为桥的进化。它们应该与 Coinbase(保护 10% 以上的加密货币资产)等托管服务进行比较,因为这两个系统都负责保护链下数据库和一篮子资产。
最后,我希望这篇文章能帮助你对第一层和第二层系统的系统架构和信任假设建立一个更好的心智模型。我希望第二层协议在长期内占到上风,并显示出它们比托管解决方案的优越性。这不是因为用户关心系统的安全,而是我相信运营商可以提供完全相同的服务,而不用承担保护数十亿美元的风险。因此,托管(和信任)将成为一种不必要的、阻碍性的责任。