摘要：论文介绍了首次发布的Avalanche平台架构，平台原生token（AVAX）的经济属性会在另一篇论文（dynamics paper）进行详述。披露：论文描述的内容是基础的、并可能在以后的时间里进行更新；此外，论文会包含一些前瞻性的描述。

论文提供了Avalanche平台的架构概览，重点是平台上三个关键结构的区别：共识引擎、架构模型、治理机制。

Avalanche是高性能、可拓展、可自定义的安全区块链平台，希望在下列三个方向被广泛采用

• 构建专属应用的区块链，该区块链既可以私有化部署、也可公开部署.

• 构建、运行高度可拓展和去中心化的应用程序(Dapps).

• 构建各种具有自定义规则、条款的复杂数字资产.

Avalanche的首要目的是为创建、转移、交易数字资产提供统一平台。

结构角度来看，Avalanche具有如下属性：

• 可拓展性：Avalanche被设计为具有高可拓展、鲁棒和高性能特性。它的共识引擎可支持一个全球性的数以亿计链接的网络，该网络上高性能设备、低性能设备无缝切换运行，且具有低延迟和高TPS.

• 安全性：Avalanche被设计为高鲁棒性和高安全性，传统的共识协议最高可以承受 f 个攻击者，且当遭遇大于等于 f+1个攻击者时网络安全性将会失效，Nakamoto（中本聪）共识遭遇51%恶意算力攻击时安全性也会失效。相反，Avalanche在攻击者低于某个阈值时提供了更强的安全性保证，该阈值被系统的设计者参数化，当恶意攻击者超过该阈值时可以提供优雅的降级处理；Avalanche可以在攻击者超过51%时在无活性的情况下仍然维持安全性，它是第一个提供高安全性保证的无许可系统。

• 去中心化：Avalanche提供了前所未有的去中心化特性，支持多种类型的客户端实现且没有任何控制。该生态系统避免划分出不同利益的用户群体，尤其是在矿工、开发者、用户之间没有任何区别。

• 治理和民主：Avalanche是一个高度包容的网络，允许任何人链接到它的网络参与验证、治理，token的所有持有人在系统经济参数的选择和系统发展方向上都有投票权。

• 交互性和灵活性：Avalanche被设计为多种区块链/资产提供统一、灵活的基础设施，$AVAX用来保证安全性和作为交换的计算单位。系统旨在以价值中立的方式支持在它上面构建多种区块链，该系统从零开始设计以方便将现有的区块链内容移植到它的上面，如：导入余额、支持多种脚本语言、虚拟机、在多种部署场景下提供有效支持。

概述：论文的剩余部分由四个章节组成，章节2描述了支持该平台共识引擎的详细内容，章节3讨论了平台背后的架构模型，包含子网、虚拟机、引导启动、成员、质押；章节4解释了经济系统的关键参数进行动态更新的治理模型；章节5讨论了各种有意义的周边主题，包括潜在的优化、后量子密码学、实际恶意方。

命名约定：平台名称叫Avalanche，通常也称Avalanche platform或Avalanche network或简称为Avalanche，代码发布使用了三位数字表示：v.[0-9].[0-9].[0-100]，第一个数字表示主版本，第二个数字表示小版本，第三个数字表示补丁版本。首次公开发布时，代码代号为北极雪崩Avalanche Borealis v1.0.0，平台的原生token为$AVAX。Avalanche平台使用的共识协议族叫做snow*，有三个具体的共识：Avalanche、Snowman、Frosty.

从驱动平台的核心组件：（共识引擎）开始，来讨论Avalanche.

• 背景：分布式付款以及更常见的分布式计算，都要求在一组机器间达成一致。分布式共识协议实现了在一组节点机器间达成一致的目的，是区块链以及几乎所有已部署的工业化分布式系统的核心。近五十年来该领域得到极大的关注，随着研究者的努力，迄今为止产生了两个协议族：经典共识协议，依赖所有分布式节点的交互；Nakamoto（中本聪）共识，依赖PoW挖矿和最长链规则。经典共识协议有低延迟、高TPS的优点，但无法拓展到容纳大量的共识参与方，在成员变更时也不具有鲁棒性，因此经典共识协议大部分降级为需要许可或静态部署。另一方面，Nakamoto共识虽然具有鲁棒性，但有很长时间的状态确认延迟、低TPS，并且需要持续不断的能源消耗来保证它的安全。

  Avalanche提出了Snow*协议族，结合了经典共识协议族与Nakamoto共识协议族的最佳特性。基于轻量级的网络采样机制，以无需系统中特定成员间达成一致的方式实现了低延迟和高TPS，且可以将共识协议的参与方从几千扩展到上百万；另外，协议也未采用Pow挖矿机制，避免了昂贵的能源支出和随后生态价值的遗失，是一个轻量级、绿色的静态协议。

• 机制和特性：Snow*协议族通过网络的重复采样来运行，每个节点调查一组随机选择的小数量节点，如果调查的大多数节点支持与当前节点不同的提案，则当前节点切换它的提案与大多数节点保持一致。不断重复采样操作直到结果收敛，在正常环境下采样结果会迅速达到收敛。

  通过一个示例来阐明该操作机制：首先，某个用户创建一笔交易然后发送至一个验证者节点，该验证节点正在参与共识协议的流程，交易通过gossip协议传播给网络中的其他节点；如果用户创建了一个冲突的交易会发生什么呢？双花，还是？验证节点会随机选择一小组查询节点询问它们是否认为该冲突交易是有效的，以便在有冲突的交易中进行选择并阻止双花；如果查询节点中的大多数都选择冲突交易中的某一笔，则当前节点也会选择该笔交易并且对外应答支持该笔交易。网络中的每个节点都重复这个过程直到整个网络就冲突交易达成一致。

  很神奇吧，本协议的核心操作十分简单，使得系统可高度动态化，且适合大规模部署。

  • 无许可和鲁棒性：最近大量的区块链项目采用经典共识协议，因此要求所有的网络成员需为已知的。在闭源、有许可的系统中了解所有的参数方是容易的，但在开源、去中心化的系统中则会变得相当困难，这一限制给使用此类协议的现有运营商带来了很高的安全风险。相反，Snow协议族即使在任意两个节点的状态视图间存在极大差异时也可以提供很高的安全性，Snow*协议族的验证者有能力在不了解所有共识成员时也可以继续验证，极强的鲁棒性适合所有公链。

  • 可拓展性和去中心化：Snow*协议族的一个核心功能是不对基础功能进行裁剪的情况下实现可拓展性，Snow协议可以扩展到数以万计的共识参与方。协议提供了最好的去中心化系统，允许每个节点进行全部校验。First-hand的持续参与方对系统的安全性有极大的影响。几乎每个PoS协议都尝试拓展以增加它的共识参与者，典型的操作模式是通过将验证授权给小组委员会来实现扩展；这意味着系统的安全性取决于小组委员会的腐败成本，小组委员会可能还会进一步形成卡特尔。

  • Snow*共识协议族中，委托质押不是必须的，每个节点的操作者任何时刻都可以直接参与共识。另一种设计是状态分片，它试图通过将事务在各独立的验证器网络并行来提供可伸缩性，但是这种设计导致系统的安全性受到最容易破坏的分片数据的影响（即木桶理论，整个系统受制于它的下限）。因此，无论是小组委员会还是状态分片的方案都不适合用作公链的拓展方案。

  • 适应性：与其它基于投票的共识方案不同，Snow*协议族在攻击者数量较少时可以提供更高的性能，在大规模攻击下也具有很强的韧性。

  • 异步安全：与最长链共识协议不同，Snow*协议不需要验证节点同步到最新状态来保证操作安全，因此即使在网络出现分区的情况下也可以防止双花的发生。例如在Bitcoin中，如果同步数据失败可能存在长时间的网络分叉，同时一旦分叉消失又会出现大量的无效交易。

  • 低延迟：当前大量的区块链系统无法支持类似商业应用：交易或日内零售付款，等待几分钟或几小时来保证交易的确认是行不通的；因此，最重要的但是至今被忽略的共识协议特性是：交易最终确定的时间；Snow*协议通常小于<=1秒即可达成最终确认，远远低于最长链共识协议和分片共识协议，他们一般需要几分钟来等待交易的最终确认。

  • 高TPS：Snow*协议可以构建达到数千(5000+)tps的链式或DAG区块链，同时保留区中心化的特性。新区块链设计实现高TPS的解决方案通常在去中心化度和安全性之间权衡，并更倾向于选择更加中心化和不安全的共识机制。一些项目从高度受控的配置中报告性能数值，从而误报了真实的性能结果；AVAX的数值报告直接完全来自Avalanche网络实际运行在AWS上的2000多个节点，这些节点是低性能的机器同时跨地域分布在全球。更高的TPS（10000+）可以通过更高配置的硬件和更专业的签名验证硬件来实现。最后，我们前面提到的这些测量数值都是基于layer-1的，layer-2的拓展解决方案可以极大增加这些数值。

|属性 |Nakamoto(中本聪共识)|经典共识协议|Snow*协议|
|----|-----|----|----|
|鲁棒性（适合开放系统）| +| -| +|
|去中心化（允许任何人作为验证者）| +| -| +|
|低延迟和更快的交易确认| -| +| +|
|高TPS| -| +| +|
|轻量级（系统低配置）| -| +| +|
|静止（没有交易时停止共识，即不出空块）| -| -| +|
|可参数化的安全特性| -| -| +|
|可拓展性| -| -| +|

本节将提供平台的结构概述并讨论多个实现细节，Avalanche平台分为三个部分：链（资产构建在它上面）、执行环境、部署。

• 子网：子网是一组动态验证器，它们一起工作以达成对一组区块链状态的共识；每个区块链被一个子网验证，每个子网验证任意多个区块链，一个验证者可以是任意子网的成员，每个子网可以决定谁可以成为它的验证者，并且可以对它的验证者提出某些要求。Avalanche可以创建和操作任意数量的子网，为了创建或加入子网必须支付以AVAX计价的费用。 子网模型提供了多种优势：

  • 如果验证者不关注某个子网，只需要不加入它即可。这将减少对验证者网络流量和计算资源的要求。而在其它区块链上，验证者必须校验所有的交易，即使这些交易它不感兴趣。

  • 因为子网可以决定谁可以加入他们，因此支持用户创建私有子网，这样子网中的每个区块链仅可以被可信的验证者校验。

  • 用户创建子网时可以要求每个验证人者拥有哪些属性，如：一个创建的子网要求验证者必须在某个管辖地域，或必须有一些现实世界的合同约束，出于合规的原因可能有一些好处。

  有一个特殊的默认子网被所有的验证者进行验证（验证其他子网的验证者也必须验证这个默认子网），默认子网验证一个预定义的区块链集合，AVAX资产在这些区块链上构建、交易。

• 虚拟机：每个区块链都是一个虚拟机实例，VM是区块链的设计图，就像类是面向对象编程语言中对象的设计图一样，区块链的接口、状态、行为都是由链上运行的虚拟机定义的，下面就是由虚拟机定义的区块链中的属性：

  • 区块内容

  • 当区块提交到链上时的状态转移

  • 区块链提供的交互API

  • 持久化到硬盘的数据

  如我们所说，每个区块链运行指定的虚拟机，当创建一个区块链时，人们可以指定该链上运行的虚拟机以及区块链的创世状态。新创建的区块链上可以使用已经存在的虚拟机，或者开发者也可以编码一个新的虚拟机。当前有很多的区块链使用了相同的虚拟机（EVM），虽然每个区块链使用了相同的虚拟机，但在逻辑上是相互独立且各自维护各自的状态。

参与Avalanche网络的第一步称为引导，该过程分为三步：链接种子节点、网络和状态发现、成为验证者。

• 种子节点：在P2P的对等网络系统中如果没有被许可的身份节点，就需要提供其它的节点发现机制。在P2P的文件共享系统中，使用了tracker服务器。在加密网络中，通用的机制是使用DNS种子节点，它是由一组的定义好的种子IP组成，网络中的其他成员可以通过这些种子节点互相链接。DNS种子节点的任务是提供网络中活跃参与者的信息，在Bitcoin Core中使用了该机制，在它的源代码src/chainparams.cpp文件中硬编码了一个种子节点列表。Avalanche与Bitcoin不同的地方是，Bitcoin仅需一个正确的种子节点即可，而Avalanche需要列表中的大多数种子节点都是正确的。

  示例如下：一个新节点可以选择一组链接和信誉良好的种子节点去引导网络启动，其中并不是每个种子节点都是可信的；同时可以看到种子节点并不是硬编码或静态不变的，它们也可以由用户提供，虽然目的是为方便使用，节点客户端也可以提供默认配置包含一些经济生态系统中重要的成员，例如交易所，或者希望共享他们世界状态的客户端。成为种子节点是没有门槛的，因此一组种子节点并不能决定哪个节点可以进入或不可以进入网络，新节点可以通过链接到任意的种子节点来发现最新的Avalanche对等网络。

• 网络和状态发现：一旦链接到种子节点，节点就可以查询最新的状态变化，把最新的状态变化叫做accepted frontier，对链式区块链来说，accepted frontier是最新被接受的区块；对DAG区块链来说，accepted frontier是最新被接受的顶点集合。从种子节点收集完accepted frontier后，被大多数种子节点接受的状态变化就是可被新节点接受的状态，然后就可以从一些采样节点中同步数据至可被接受的状态。只要种子节点中的大多数是诚实节点，一定会有至少一个诚实节点的状态被标记为可接受。

  状态发现流程也可以用于网络发现，网络中的成员节点定义在验证器链上，因此同步验证器链的数据可以使节点节点发现最新的验证者集合。验证器链在下一节进行讨论。

共识协议假设系统中最多有指定数量的成员是恶意的情况下可以保障安全，在女巫攻击中，一个节点使用廉价的恶意身份充斥整个网络，可以轻而易举的使保证失效；根本上来说，这些攻击仅可用难以伪造的资源证明来遏制。以前的系统已经探索了遏制女巫攻击的机制：工作量证明（PoW）、权益证明（PoS）、时间消耗证明（POET）、空间时间证明（PoST）、授权证明（PoA）。

所有这些证明都提供了相同的核心功能：要求每个参与方都有一个“游戏道具”作为经济承诺，该要求反过来为参与者的不当行为形成了经济壁垒。这些证明都包含一种权益作为表现形式，PoW中使用挖矿算力和哈希率、PoST使用硬盘空间、POET使用可信硬件，PoA使用授权身份，这些权益构成了参与者为获取发言权必须承担的经济成本。例如：Bitcoin中提案一个有效区块的能力直接与参与方的哈希算力成正比。不幸的是，在共识协议与女巫防控机制上仍然有大量的困惑，我们注意到大部分情况下，共识协议的选择与女巫控制机制的选择是正交的，但并不是说女巫控制机制之间可互相替换，因为某些特定选择可能对底层共识协议的保证有影响；然而Snow*共识协议族可在不需要重大修改的情况下，与许多已知的女巫控制机制相结合。

最终出于安全性和保证共识参与方的激励与网络整体利益一致的情况下，AVAX选择PoS作为女巫控制机制。某些形式的权益本质上是中心化：如PoW挖矿，本质上是集中在少数人的手中，他们拥有足够的专业知识，并能够获得具有竞争力的超大规模集成电路制造所需的数十项专利；另外PoW由于每年巨额的矿工补贴会导致网络价值泄漏。类似还有硬盘空间主要被大型运营商控制。此外，所有的女巫控制协议都需要持续不断的成本消耗，例如：算力需要消耗电力，泄漏了生态体系的价值，更不用说对环境的破坏；反过来又减少了代币的价值属性，不利的价格可能会使一小段时间内系统无法运作。PoW本质上选择了有能力购买到廉价电力的矿工，而矿工处理交易的能力或对系统的贡献并没有过多考虑。在这些抉择中，我们选择了PoS，因为它是绿色、开放的。同时，我们提醒到，虽然AVAX使用了PoS，但Avalanche网络允许子网使用PoW或PoS运行。

对开放网络中的参与方来说，权益是一种原生机制，它具有一个直观的经济参数：网络被攻击成功的概率与明确定义的货币成本函数成正比；换句话说，持有权益的节点出于经济动机不参与可能损害其权益价值的行为。另外，权益不会产生任何额外的维护费用（除了投资另一种资产的机会成本），不像挖矿设备，如果用于恶意攻击则是纯粹的成本消耗。对于PoW来说，挖矿设备也可以简单的被再利用或拥有者也可以直接在市场上出售这些设备。

一个希望进入网络的节点可以在参与网络期间首先自由决定权益的质押，用户决定质押权益的周期，一旦质押被通过，则质押周期内权益无法退还。主要目的是保证节点共享相同稳定的网络状态，预计将最小质押周期设为一周。

不像其它使用PoS机制的系统，AVAX并没有惩罚机制，因此当质押周期结束时所有的权益都会退还。这种机制可以防止因为节点故障或者硬件故障导致的权益损失。这与我们构建可预测技术的理念吻合，即使存在软件或硬件缺陷也不会让质押的权益面临风险。

在Avalanche中，一个想要参与共识的节点需要向验证者链上发送一个特殊的质押权益的交易，该交易会指定质押的权益数量、参与质押的权益方身份、质押周期以及开始参与验证的起始时间。一旦该质押交易被通过，资金会立即被锁定直到质押周期结束。质押资金的最小数量由系统强制决定，参与者质押的权益数量对参与者在共识过程中的影响力、奖励都有影响，稍后讨论；指定的质押周期必须在δmin、δmax之间，权益质押的最小、最大的时间窗口；在系统中，质押的权益数量、时间都会对奖励有影响。质押身份的私钥被盗或丢失不会导致质押资产的丢失，质押身份仅在共识过程中使用，不涉及资产的转移。

Avanlance 发布时就通过EVM虚拟机支持标准的Solidity智能合约，我们希望平台可以支持更丰富、更强大的智能合约工具集，包含：

-	具有链下执行和链上验证的智能合约
-	并行执行智能合约，在Avalanche的任何子网中操作不同状态的智能合约交易可以被并行执行
-	Solidity的加强版：Solidity++，一种新语言可以支持版本号、安全数学计算、定点数数值计算、增强类型系统、可以LLVM编译、JIT执行。

如果开发者想在私有子网的环境中部署EVM的智能合约，直接创建即可，平台提供原生支持，这就是Avalanche通过子网实现指定功能分片的能力；另外，如果开发者需要与当前已部署在以太坊上的智能合约交互，可以直接与Athereum交互，它是以太坊的锚定链；最后，如果开发者需要非EVM的执行环境，可以选择通过子网实现不同的执行环境然后去部署他们的智能合约，例如DAML、WASM。子网可以在VM行为的基础上支持额外的功能，例如：子网可以对大的验证节点执行强制的性能要求，因为他们往往长时间在执行智能合约。

• 货币策略：系统原生Token AVAX的总发行量为720,000,000，在已运行的主网上流通360,000,000个token，不像其它tokens总量固定但剩余未发行的取决于平台的挖矿速率，AVAX的设计与系统经济条件的变化相关，尤其是，AVAX货币策略是平衡用户质押以获取激励和使用token与平台上各种服务交互。平台上的参与方共同充当一个去中心化银行，Avalanche上可进行质押获取奖励、手续费、空投，所有这些都受到可治理参数影响。质押奖励通过链上治理设置，但也被预设定为永远不超过总量上线。质押可通过增加手续费或增加质押奖励来引导，因此另一方面也可通过减少手续费、质押奖励来引导增加Avalanche平台服务的用户黏性。

• 支付：真正的去中心化点对点支付很大程度上是一个未实现的梦想，因为目前行业缺乏高性能的平台。AVAX以去信任、去中心化管理的方式在全球每秒可进行数千笔交易，因此和Visa支付一样强大易用。另外在全球贸易中，AVAX与VISA相比提供了一个更直接的价值主张：更低的交易费用。

• 质押：通过质押保证Avalanche系统的安全、女巫防控。为了参与共识验证，参与方必须锁定一定数量的token。验证者也可称为质押者，依据他们质押的数量、质押周期以及其它属性来补偿他们提供的验证服务，选择的补偿函数应最小化差异，保证大的质押方不会不成比例的收到更多补偿。参与方也不受类似PoW中“幸运系数”的影响，该奖励方案也不鼓励形成矿池或者质押池，以在网络中形成真正的去中心化和无信任参与。

• 原子交换：除了提供系统核心的安全功能，AVAX token也可作为通用的交易单位，基于此，Avalanche平台原生支持去信任的原子交换，允许Avalanche上任何类型资产直接进行原生的、真正去中心化的交换。

治理对任何平台的发展和采用都至关重要，因为和所有其它类型系统一样，Avalanche也面临自然进化和更新。Avalanche对网络的关键参数提供了链上治理，参与方可对网络的变化投票并民主化的决定网络升级。这包括的因素，如最低质押金额，挖矿速率，以及其他经济参数。使平台可以通过群体Oracle高效执行动态参数优化；然而，与其它治理平台不一样，Avalanche不允许对系统的任意方面进行不受限制的更改，相反，仅一些预定参数可通过治理修改，从而使系统更具可预测性并增加安全性。另外，所有治理参数都受特定时间范围的限制，引入滞后性，可使系统在短时间内仍具可预测性。

对去中心化没有托管的系统来说找到全球可接受的系统参数值的工作流程是至关重要的，Avalanche使用它的共识机制构建了这样的系统，允许任何人提议特殊的交易：本质上是整个系统的民意调查，任何参与节点都可以发起这样的提案。

名义利率是影响货币的重要参数，不论是加密货币还是法定货币。不幸的是，加密货币固定化该参数可能面临各种问题：包含通胀、通缩。为此，名义利率要在预先设定的范围内被治理，这将允许token的持有人选择AVAX最终是有上限的、无上限的、还是通缩的。

交易费：由F表示，可被治理。F是一个元组，描述了各种指令和交易的费用，最后，质押时间和金额也是可被治理的。这些参数列表的定义如下。

• Δ：质押数量，以AVAX表示，该值定义了参与系统前需要以债券形式呈现的最小权益数量。

• δmin：节点在系统中质押的最短时间。

• δmax：节点可质押的最长时间。

• ρ：(πΔ, τδmin) -> R：奖励率函数，也可称为挖矿速率。决定了参与者的回报速率，即：给定公开披露的节点依据质押的资金数量、在一段连续的时间窗口内获取的回报。

• F: 手续费标准，一组可治理的费用参数指定了多种交易的成本。

根据金融系统的可预测原则，AVAX的治理 是滞后的，意味着参数的变更高度依赖最近的变化。每个治理参数有两个限制：时间和范围；一旦参数被治理交易修改，要立即再次大幅修改它会非常困难。这个难度和值的约束随着时间的推移逐渐放松。总体来说，这使得系统在短时间内不会发生剧烈的变化，允许用户在短期内安全地预测系统参数，同时长期具有强大的控制和灵活性。

• 剪枝：许多区块链平台，尤其是采用Nakamoto共识算法的（如：比特币）受不断增长的状态存储困扰，因为协议必须存储所有交易的历史状态。然而，为了区块链平台能可持续运行，必须裁剪掉旧的历史数据，这个功能对于高性能的区块链尤其重要，如 Avalanche。

  在Snow*协议中剪枝是相当简单的，不像bitcoin等类似共识不允许进行剪枝操作，AVAX节点不需要维护陈旧的被提交的DAG状态，这些节点不需要向新节点证明过去的历史，只需存储当前活跃的状态：如当前账户余额、未提交的交易。

• 客户端类型：Avalanche支持不同类型的客户端：归档节点、全节点、轻节点。归档节点存储AVAX子网、质押子网、智能合约子网的所有历史记录，这些节点可以作为新节点的引导启动节点；另外也会存储他们选择验证的子网历史记录，归档节点通常是具有高存储能力的机器，其他节点在下载历史状态时对其付费。全节点即验证节点，没有存储所有的历史数据，仅存储了链的有效状态（如：UTXO集合）；最后，对于想用最少资源即可进行网络安全交互的需求，Avalanche提供了轻客户端可以在不需要下载或同步整个历史数据的情况下证明交易的有效性，轻客户端保证协议重复采样阶段的安全性和网络的广泛共识，因此轻客户端在Avalanche网络中提供了与全节点相同的安全性。

• 分片：分片(Sharding)是为了提高性能和降低负载而对各种系统资源进行分区的过程。有多种类型的分片机制。网络分片：参与方被分为多个子网以减少算法的负载；状态分片：参与方仅存储、维护状态世界的部分内容；事务分片：参与方拆分事务的处理流程。

  在Avalanche上，通过子网功能实现了第一种分片；例如：一个运行贵金属的子网、一个运行房地产的子网，两个子网可以并行存在；且仅当用户希望用贵金属购买房地产时才会进行交互，同时Avalanche可以在两个子网间使用原子交换进行资产转移。

• 后量子密码学：后量子密码学由于量子计算机和算法的发展近来得到了广泛的关注。量子计算机的问题是，它们可以破坏一些目前部署的加密协议、数字签名。Avalanche系统模型支持多种VMs，所以可采用含有合适签名算法的抗量子虚拟机；我们预计将部署几种签名算法，包含基于RLWE抗量子的签名算法。共识机制不在其核心步骤上使用任何重型加密，基于这样的设计，使用具有量子安全的密码原语虚拟机来扩展系统就很显而易见了。

• 实际恶意方：在面对强大而敌对的恶意方时，Avalanche论文提供了很强的安全保障，即使存在这样的对手，任意时刻都可以访问任意正确节点的状态，知道任意正确节点的随机选择，以及任意时间更新它的状态；实际中，对手虽然是强大的，但仍无法直接修改正确节点的状态或者修改正确节点间的信息交流。尽管如此，现实中这样的对手仅是理论上的，因为在统计相似的网络状态时，最强对手实际是受限的，我们期望的最坏情况下的攻击很难发生。

• 包容与平等：在无需可的货币上一个常见的问题是“富者越富”，这是一个常见的问题，因为PoS系统不合理的实现，可能会导致财富的生成不成比例的分配给系统中持有大量权益的所有者。一个简单的例子是：基于leader选举的共识协议，小组委员会或指定的leader在它共识期间获取所有的奖励，同时被选择获取奖励的概率与它的权益成正比，则会产生极强的奖励复合效应。另外，在比特币这种系统中，存在“越大越强”的现象，在孤块和较少工作量丢失的情况下，大矿工比小矿工可以享受更高的溢价。相反，Avalanche采用平均分配的挖矿算法，在质押协议中每个单独的参与方依据权益得到公平和成比例的奖励，同时可以容纳数百万人平等的参与质押，在协议中要求参与方的最小金额将用于治理，但会将它初始化为一个较小的值以鼓励广泛参与，意味着不需要委托即可参与最小分配。

这片论文中，我们讨论Avalanche的系统结构，并与当前其他的系统进行了对比（使用不可拓展的经典共识协议或效率不高、操作成本高昂的Nakamoto共识协议），Avalanche协议是轻量级、可拓展、安全、高效的，原生Token在保证网络安全、支付多种基础设施成本方面是简单且向后兼容的。AVAX有能力超越其他协议实现更高的去中心化、抵御攻击、并在不需要选举法定小组成员的情况下拓展至数百万节点，从而不对参与方施加任何限制。

除了共识引擎，Avalanche对技术栈进行了创新，在事务处理、治理、大量其他平台无法访问的组件上引入了简单但重要的理念；通过强大的治理机制，使协议中的每个参与方都可对协议的进化方向施加影响，Avalanche也支持高度定制化，允许与现有区块链即插即用、实时互联。

1. Bitcoin: bitcoin/bitcoin (Oct 2018), https://github.com/bitcoin/bitcoin

2. Buttolph, S., Moin, A., Sekniqi, K., Sirer, E.G.: Avalanche token paper - token dynamics (2019), https:// les.avalabs.org/papers/token.pdf

3. Douceur, J.R.: The sybil attack. In: InternationalWorkshop on Peer-to-Peer Systems. pp. 251{260. Springer (2002)

4. Eyal, I., Gencer, A.E., Sirer, E.G., van Renesse, R.: Bitcoin-ng: A scalable blockchain protocol. In: 13th USENIX Symposium on Networked Systems Design and Implementation, NSDI 2016, Santa Clara, CA, USA, March 16-18, 2016. pp. 45{59 (2016), https://www.usenix.org/conference/nsdi16/technical-sessions/presentation/eyal

5. Nakamoto, S.: Bitcoin: A peer-to-peer electronic cash system (2008)

6. Rocket, T.: Snowflake to Avalanche: A novel metastable consensus protocol family for cryptocurrencies. IPFS (2018), https://ipfs.io/ipfs/QmUy4jh5mGNZvLkjies1RWM4YuvJh5o2FYopNPVYwrRVGV

7. Wood, G.: Ethereum: A secure decentralised generalised transaction ledger (2014)

摘要：论文介绍了首次发布的Avalanche平台架构，平台原生token（AVAX）的经济属性会在另一篇论文（dynamics paper）进行详述。披露：论文描述的内容是基础的、并可能在以后的时间里进行更新；此外，论文会包含一些前瞻性的描述。

论文提供了Avalanche平台的架构概览，重点是平台上三个关键结构的区别：共识引擎、架构模型、治理机制。

Avalanche是高性能、可拓展、可自定义的安全区块链平台，希望在下列三个方向被广泛采用

• 构建专属应用的区块链，该区块链既可以私有化部署、也可公开部署.

• 构建、运行高度可拓展和去中心化的应用程序(Dapps).

• 构建各种具有自定义规则、条款的复杂数字资产.

Avalanche的首要目的是为创建、转移、交易数字资产提供统一平台。

结构角度来看，Avalanche具有如下属性：

• 可拓展性：Avalanche被设计为具有高可拓展、鲁棒和高性能特性。它的共识引擎可支持一个全球性的数以亿计链接的网络，该网络上高性能设备、低性能设备无缝切换运行，且具有低延迟和高TPS.

• 安全性：Avalanche被设计为高鲁棒性和高安全性，传统的共识协议最高可以承受 f 个攻击者，且当遭遇大于等于 f+1个攻击者时网络安全性将会失效，Nakamoto（中本聪）共识遭遇51%恶意算力攻击时安全性也会失效。相反，Avalanche在攻击者低于某个阈值时提供了更强的安全性保证，该阈值被系统的设计者参数化，当恶意攻击者超过该阈值时可以提供优雅的降级处理；Avalanche可以在攻击者超过51%时在无活性的情况下仍然维持安全性，它是第一个提供高安全性保证的无许可系统。

• 去中心化：Avalanche提供了前所未有的去中心化特性，支持多种类型的客户端实现且没有任何控制。该生态系统避免划分出不同利益的用户群体，尤其是在矿工、开发者、用户之间没有任何区别。

• 治理和民主：Avalanche是一个高度包容的网络，允许任何人链接到它的网络参与验证、治理，token的所有持有人在系统经济参数的选择和系统发展方向上都有投票权。

• 交互性和灵活性：Avalanche被设计为多种区块链/资产提供统一、灵活的基础设施，$AVAX用来保证安全性和作为交换的计算单位。系统旨在以价值中立的方式支持在它上面构建多种区块链，该系统从零开始设计以方便将现有的区块链内容移植到它的上面，如：导入余额、支持多种脚本语言、虚拟机、在多种部署场景下提供有效支持。

概述：论文的剩余部分由四个章节组成，章节2描述了支持该平台共识引擎的详细内容，章节3讨论了平台背后的架构模型，包含子网、虚拟机、引导启动、成员、质押；章节4解释了经济系统的关键参数进行动态更新的治理模型；章节5讨论了各种有意义的周边主题，包括潜在的优化、后量子密码学、实际恶意方。

命名约定：平台名称叫Avalanche，通常也称Avalanche platform或Avalanche network或简称为Avalanche，代码发布使用了三位数字表示：v.[0-9].[0-9].[0-100]，第一个数字表示主版本，第二个数字表示小版本，第三个数字表示补丁版本。首次公开发布时，代码代号为北极雪崩Avalanche Borealis v1.0.0，平台的原生token为$AVAX。Avalanche平台使用的共识协议族叫做snow*，有三个具体的共识：Avalanche、Snowman、Frosty.

从驱动平台的核心组件：（共识引擎）开始，来讨论Avalanche.

• 背景：分布式付款以及更常见的分布式计算，都要求在一组机器间达成一致。分布式共识协议实现了在一组节点机器间达成一致的目的，是区块链以及几乎所有已部署的工业化分布式系统的核心。近五十年来该领域得到极大的关注，随着研究者的努力，迄今为止产生了两个协议族：经典共识协议，依赖所有分布式节点的交互；Nakamoto（中本聪）共识，依赖PoW挖矿和最长链规则。经典共识协议有低延迟、高TPS的优点，但无法拓展到容纳大量的共识参与方，在成员变更时也不具有鲁棒性，因此经典共识协议大部分降级为需要许可或静态部署。另一方面，Nakamoto共识虽然具有鲁棒性，但有很长时间的状态确认延迟、低TPS，并且需要持续不断的能源消耗来保证它的安全。

  Avalanche提出了Snow*协议族，结合了经典共识协议族与Nakamoto共识协议族的最佳特性。基于轻量级的网络采样机制，以无需系统中特定成员间达成一致的方式实现了低延迟和高TPS，且可以将共识协议的参与方从几千扩展到上百万；另外，协议也未采用Pow挖矿机制，避免了昂贵的能源支出和随后生态价值的遗失，是一个轻量级、绿色的静态协议。

• 机制和特性：Snow*协议族通过网络的重复采样来运行，每个节点调查一组随机选择的小数量节点，如果调查的大多数节点支持与当前节点不同的提案，则当前节点切换它的提案与大多数节点保持一致。不断重复采样操作直到结果收敛，在正常环境下采样结果会迅速达到收敛。

  通过一个示例来阐明该操作机制：首先，某个用户创建一笔交易然后发送至一个验证者节点，该验证节点正在参与共识协议的流程，交易通过gossip协议传播给网络中的其他节点；如果用户创建了一个冲突的交易会发生什么呢？双花，还是？验证节点会随机选择一小组查询节点询问它们是否认为该冲突交易是有效的，以便在有冲突的交易中进行选择并阻止双花；如果查询节点中的大多数都选择冲突交易中的某一笔，则当前节点也会选择该笔交易并且对外应答支持该笔交易。网络中的每个节点都重复这个过程直到整个网络就冲突交易达成一致。

  很神奇吧，本协议的核心操作十分简单，使得系统可高度动态化，且适合大规模部署。

  • 无许可和鲁棒性：最近大量的区块链项目采用经典共识协议，因此要求所有的网络成员需为已知的。在闭源、有许可的系统中了解所有的参数方是容易的，但在开源、去中心化的系统中则会变得相当困难，这一限制给使用此类协议的现有运营商带来了很高的安全风险。相反，Snow协议族即使在任意两个节点的状态视图间存在极大差异时也可以提供很高的安全性，Snow*协议族的验证者有能力在不了解所有共识成员时也可以继续验证，极强的鲁棒性适合所有公链。

  • 可拓展性和去中心化：Snow*协议族的一个核心功能是不对基础功能进行裁剪的情况下实现可拓展性，Snow协议可以扩展到数以万计的共识参与方。协议提供了最好的去中心化系统，允许每个节点进行全部校验。First-hand的持续参与方对系统的安全性有极大的影响。几乎每个PoS协议都尝试拓展以增加它的共识参与者，典型的操作模式是通过将验证授权给小组委员会来实现扩展；这意味着系统的安全性取决于小组委员会的腐败成本，小组委员会可能还会进一步形成卡特尔。

  • Snow*共识协议族中，委托质押不是必须的，每个节点的操作者任何时刻都可以直接参与共识。另一种设计是状态分片，它试图通过将事务在各独立的验证器网络并行来提供可伸缩性，但是这种设计导致系统的安全性受到最容易破坏的分片数据的影响（即木桶理论，整个系统受制于它的下限）。因此，无论是小组委员会还是状态分片的方案都不适合用作公链的拓展方案。

  • 适应性：与其它基于投票的共识方案不同，Snow*协议族在攻击者数量较少时可以提供更高的性能，在大规模攻击下也具有很强的韧性。

  • 异步安全：与最长链共识协议不同，Snow*协议不需要验证节点同步到最新状态来保证操作安全，因此即使在网络出现分区的情况下也可以防止双花的发生。例如在Bitcoin中，如果同步数据失败可能存在长时间的网络分叉，同时一旦分叉消失又会出现大量的无效交易。

  • 低延迟：当前大量的区块链系统无法支持类似商业应用：交易或日内零售付款，等待几分钟或几小时来保证交易的确认是行不通的；因此，最重要的但是至今被忽略的共识协议特性是：交易最终确定的时间；Snow*协议通常小于<=1秒即可达成最终确认，远远低于最长链共识协议和分片共识协议，他们一般需要几分钟来等待交易的最终确认。

  • 高TPS：Snow*协议可以构建达到数千(5000+)tps的链式或DAG区块链，同时保留区中心化的特性。新区块链设计实现高TPS的解决方案通常在去中心化度和安全性之间权衡，并更倾向于选择更加中心化和不安全的共识机制。一些项目从高度受控的配置中报告性能数值，从而误报了真实的性能结果；AVAX的数值报告直接完全来自Avalanche网络实际运行在AWS上的2000多个节点，这些节点是低性能的机器同时跨地域分布在全球。更高的TPS（10000+）可以通过更高配置的硬件和更专业的签名验证硬件来实现。最后，我们前面提到的这些测量数值都是基于layer-1的，layer-2的拓展解决方案可以极大增加这些数值。

|属性 |Nakamoto(中本聪共识)|经典共识协议|Snow*协议|
|----|-----|----|----|
|鲁棒性（适合开放系统）| +| -| +|
|去中心化（允许任何人作为验证者）| +| -| +|
|低延迟和更快的交易确认| -| +| +|
|高TPS| -| +| +|
|轻量级（系统低配置）| -| +| +|
|静止（没有交易时停止共识，即不出空块）| -| -| +|
|可参数化的安全特性| -| -| +|
|可拓展性| -| -| +|

本节将提供平台的结构概述并讨论多个实现细节，Avalanche平台分为三个部分：链（资产构建在它上面）、执行环境、部署。

• 子网：子网是一组动态验证器，它们一起工作以达成对一组区块链状态的共识；每个区块链被一个子网验证，每个子网验证任意多个区块链，一个验证者可以是任意子网的成员，每个子网可以决定谁可以成为它的验证者，并且可以对它的验证者提出某些要求。Avalanche可以创建和操作任意数量的子网，为了创建或加入子网必须支付以AVAX计价的费用。 子网模型提供了多种优势：

  • 如果验证者不关注某个子网，只需要不加入它即可。这将减少对验证者网络流量和计算资源的要求。而在其它区块链上，验证者必须校验所有的交易，即使这些交易它不感兴趣。

  • 因为子网可以决定谁可以加入他们，因此支持用户创建私有子网，这样子网中的每个区块链仅可以被可信的验证者校验。

  • 用户创建子网时可以要求每个验证人者拥有哪些属性，如：一个创建的子网要求验证者必须在某个管辖地域，或必须有一些现实世界的合同约束，出于合规的原因可能有一些好处。

  有一个特殊的默认子网被所有的验证者进行验证（验证其他子网的验证者也必须验证这个默认子网），默认子网验证一个预定义的区块链集合，AVAX资产在这些区块链上构建、交易。

• 虚拟机：每个区块链都是一个虚拟机实例，VM是区块链的设计图，就像类是面向对象编程语言中对象的设计图一样，区块链的接口、状态、行为都是由链上运行的虚拟机定义的，下面就是由虚拟机定义的区块链中的属性：

  • 区块内容

  • 当区块提交到链上时的状态转移

  • 区块链提供的交互API

  • 持久化到硬盘的数据

  如我们所说，每个区块链运行指定的虚拟机，当创建一个区块链时，人们可以指定该链上运行的虚拟机以及区块链的创世状态。新创建的区块链上可以使用已经存在的虚拟机，或者开发者也可以编码一个新的虚拟机。当前有很多的区块链使用了相同的虚拟机（EVM），虽然每个区块链使用了相同的虚拟机，但在逻辑上是相互独立且各自维护各自的状态。

参与Avalanche网络的第一步称为引导，该过程分为三步：链接种子节点、网络和状态发现、成为验证者。

• 种子节点：在P2P的对等网络系统中如果没有被许可的身份节点，就需要提供其它的节点发现机制。在P2P的文件共享系统中，使用了tracker服务器。在加密网络中，通用的机制是使用DNS种子节点，它是由一组的定义好的种子IP组成，网络中的其他成员可以通过这些种子节点互相链接。DNS种子节点的任务是提供网络中活跃参与者的信息，在Bitcoin Core中使用了该机制，在它的源代码src/chainparams.cpp文件中硬编码了一个种子节点列表。Avalanche与Bitcoin不同的地方是，Bitcoin仅需一个正确的种子节点即可，而Avalanche需要列表中的大多数种子节点都是正确的。

  示例如下：一个新节点可以选择一组链接和信誉良好的种子节点去引导网络启动，其中并不是每个种子节点都是可信的；同时可以看到种子节点并不是硬编码或静态不变的，它们也可以由用户提供，虽然目的是为方便使用，节点客户端也可以提供默认配置包含一些经济生态系统中重要的成员，例如交易所，或者希望共享他们世界状态的客户端。成为种子节点是没有门槛的，因此一组种子节点并不能决定哪个节点可以进入或不可以进入网络，新节点可以通过链接到任意的种子节点来发现最新的Avalanche对等网络。

• 网络和状态发现：一旦链接到种子节点，节点就可以查询最新的状态变化，把最新的状态变化叫做accepted frontier，对链式区块链来说，accepted frontier是最新被接受的区块；对DAG区块链来说，accepted frontier是最新被接受的顶点集合。从种子节点收集完accepted frontier后，被大多数种子节点接受的状态变化就是可被新节点接受的状态，然后就可以从一些采样节点中同步数据至可被接受的状态。只要种子节点中的大多数是诚实节点，一定会有至少一个诚实节点的状态被标记为可接受。

  状态发现流程也可以用于网络发现，网络中的成员节点定义在验证器链上，因此同步验证器链的数据可以使节点节点发现最新的验证者集合。验证器链在下一节进行讨论。

共识协议假设系统中最多有指定数量的成员是恶意的情况下可以保障安全，在女巫攻击中，一个节点使用廉价的恶意身份充斥整个网络，可以轻而易举的使保证失效；根本上来说，这些攻击仅可用难以伪造的资源证明来遏制。以前的系统已经探索了遏制女巫攻击的机制：工作量证明（PoW）、权益证明（PoS）、时间消耗证明（POET）、空间时间证明（PoST）、授权证明（PoA）。

所有这些证明都提供了相同的核心功能：要求每个参与方都有一个“游戏道具”作为经济承诺，该要求反过来为参与者的不当行为形成了经济壁垒。这些证明都包含一种权益作为表现形式，PoW中使用挖矿算力和哈希率、PoST使用硬盘空间、POET使用可信硬件，PoA使用授权身份，这些权益构成了参与者为获取发言权必须承担的经济成本。例如：Bitcoin中提案一个有效区块的能力直接与参与方的哈希算力成正比。不幸的是，在共识协议与女巫防控机制上仍然有大量的困惑，我们注意到大部分情况下，共识协议的选择与女巫控制机制的选择是正交的，但并不是说女巫控制机制之间可互相替换，因为某些特定选择可能对底层共识协议的保证有影响；然而Snow*共识协议族可在不需要重大修改的情况下，与许多已知的女巫控制机制相结合。

最终出于安全性和保证共识参与方的激励与网络整体利益一致的情况下，AVAX选择PoS作为女巫控制机制。某些形式的权益本质上是中心化：如PoW挖矿，本质上是集中在少数人的手中，他们拥有足够的专业知识，并能够获得具有竞争力的超大规模集成电路制造所需的数十项专利；另外PoW由于每年巨额的矿工补贴会导致网络价值泄漏。类似还有硬盘空间主要被大型运营商控制。此外，所有的女巫控制协议都需要持续不断的成本消耗，例如：算力需要消耗电力，泄漏了生态体系的价值，更不用说对环境的破坏；反过来又减少了代币的价值属性，不利的价格可能会使一小段时间内系统无法运作。PoW本质上选择了有能力购买到廉价电力的矿工，而矿工处理交易的能力或对系统的贡献并没有过多考虑。在这些抉择中，我们选择了PoS，因为它是绿色、开放的。同时，我们提醒到，虽然AVAX使用了PoS，但Avalanche网络允许子网使用PoW或PoS运行。

对开放网络中的参与方来说，权益是一种原生机制，它具有一个直观的经济参数：网络被攻击成功的概率与明确定义的货币成本函数成正比；换句话说，持有权益的节点出于经济动机不参与可能损害其权益价值的行为。另外，权益不会产生任何额外的维护费用（除了投资另一种资产的机会成本），不像挖矿设备，如果用于恶意攻击则是纯粹的成本消耗。对于PoW来说，挖矿设备也可以简单的被再利用或拥有者也可以直接在市场上出售这些设备。

一个希望进入网络的节点可以在参与网络期间首先自由决定权益的质押，用户决定质押权益的周期，一旦质押被通过，则质押周期内权益无法退还。主要目的是保证节点共享相同稳定的网络状态，预计将最小质押周期设为一周。

不像其它使用PoS机制的系统，AVAX并没有惩罚机制，因此当质押周期结束时所有的权益都会退还。这种机制可以防止因为节点故障或者硬件故障导致的权益损失。这与我们构建可预测技术的理念吻合，即使存在软件或硬件缺陷也不会让质押的权益面临风险。

在Avalanche中，一个想要参与共识的节点需要向验证者链上发送一个特殊的质押权益的交易，该交易会指定质押的权益数量、参与质押的权益方身份、质押周期以及开始参与验证的起始时间。一旦该质押交易被通过，资金会立即被锁定直到质押周期结束。质押资金的最小数量由系统强制决定，参与者质押的权益数量对参与者在共识过程中的影响力、奖励都有影响，稍后讨论；指定的质押周期必须在δmin、δmax之间，权益质押的最小、最大的时间窗口；在系统中，质押的权益数量、时间都会对奖励有影响。质押身份的私钥被盗或丢失不会导致质押资产的丢失，质押身份仅在共识过程中使用，不涉及资产的转移。

Avanlance 发布时就通过EVM虚拟机支持标准的Solidity智能合约，我们希望平台可以支持更丰富、更强大的智能合约工具集，包含：

-	具有链下执行和链上验证的智能合约
-	并行执行智能合约，在Avalanche的任何子网中操作不同状态的智能合约交易可以被并行执行
-	Solidity的加强版：Solidity++，一种新语言可以支持版本号、安全数学计算、定点数数值计算、增强类型系统、可以LLVM编译、JIT执行。

如果开发者想在私有子网的环境中部署EVM的智能合约，直接创建即可，平台提供原生支持，这就是Avalanche通过子网实现指定功能分片的能力；另外，如果开发者需要与当前已部署在以太坊上的智能合约交互，可以直接与Athereum交互，它是以太坊的锚定链；最后，如果开发者需要非EVM的执行环境，可以选择通过子网实现不同的执行环境然后去部署他们的智能合约，例如DAML、WASM。子网可以在VM行为的基础上支持额外的功能，例如：子网可以对大的验证节点执行强制的性能要求，因为他们往往长时间在执行智能合约。

• 货币策略：系统原生Token AVAX的总发行量为720,000,000，在已运行的主网上流通360,000,000个token，不像其它tokens总量固定但剩余未发行的取决于平台的挖矿速率，AVAX的设计与系统经济条件的变化相关，尤其是，AVAX货币策略是平衡用户质押以获取激励和使用token与平台上各种服务交互。平台上的参与方共同充当一个去中心化银行，Avalanche上可进行质押获取奖励、手续费、空投，所有这些都受到可治理参数影响。质押奖励通过链上治理设置，但也被预设定为永远不超过总量上线。质押可通过增加手续费或增加质押奖励来引导，因此另一方面也可通过减少手续费、质押奖励来引导增加Avalanche平台服务的用户黏性。

• 支付：真正的去中心化点对点支付很大程度上是一个未实现的梦想，因为目前行业缺乏高性能的平台。AVAX以去信任、去中心化管理的方式在全球每秒可进行数千笔交易，因此和Visa支付一样强大易用。另外在全球贸易中，AVAX与VISA相比提供了一个更直接的价值主张：更低的交易费用。

• 质押：通过质押保证Avalanche系统的安全、女巫防控。为了参与共识验证，参与方必须锁定一定数量的token。验证者也可称为质押者，依据他们质押的数量、质押周期以及其它属性来补偿他们提供的验证服务，选择的补偿函数应最小化差异，保证大的质押方不会不成比例的收到更多补偿。参与方也不受类似PoW中“幸运系数”的影响，该奖励方案也不鼓励形成矿池或者质押池，以在网络中形成真正的去中心化和无信任参与。

• 原子交换：除了提供系统核心的安全功能，AVAX token也可作为通用的交易单位，基于此，Avalanche平台原生支持去信任的原子交换，允许Avalanche上任何类型资产直接进行原生的、真正去中心化的交换。

治理对任何平台的发展和采用都至关重要，因为和所有其它类型系统一样，Avalanche也面临自然进化和更新。Avalanche对网络的关键参数提供了链上治理，参与方可对网络的变化投票并民主化的决定网络升级。这包括的因素，如最低质押金额，挖矿速率，以及其他经济参数。使平台可以通过群体Oracle高效执行动态参数优化；然而，与其它治理平台不一样，Avalanche不允许对系统的任意方面进行不受限制的更改，相反，仅一些预定参数可通过治理修改，从而使系统更具可预测性并增加安全性。另外，所有治理参数都受特定时间范围的限制，引入滞后性，可使系统在短时间内仍具可预测性。

对去中心化没有托管的系统来说找到全球可接受的系统参数值的工作流程是至关重要的，Avalanche使用它的共识机制构建了这样的系统，允许任何人提议特殊的交易：本质上是整个系统的民意调查，任何参与节点都可以发起这样的提案。

名义利率是影响货币的重要参数，不论是加密货币还是法定货币。不幸的是，加密货币固定化该参数可能面临各种问题：包含通胀、通缩。为此，名义利率要在预先设定的范围内被治理，这将允许token的持有人选择AVAX最终是有上限的、无上限的、还是通缩的。

交易费：由F表示，可被治理。F是一个元组，描述了各种指令和交易的费用，最后，质押时间和金额也是可被治理的。这些参数列表的定义如下。

• Δ：质押数量，以AVAX表示，该值定义了参与系统前需要以债券形式呈现的最小权益数量。

• δmin：节点在系统中质押的最短时间。

• δmax：节点可质押的最长时间。

• ρ：(πΔ, τδmin) -> R：奖励率函数，也可称为挖矿速率。决定了参与者的回报速率，即：给定公开披露的节点依据质押的资金数量、在一段连续的时间窗口内获取的回报。

• F: 手续费标准，一组可治理的费用参数指定了多种交易的成本。

根据金融系统的可预测原则，AVAX的治理 是滞后的，意味着参数的变更高度依赖最近的变化。每个治理参数有两个限制：时间和范围；一旦参数被治理交易修改，要立即再次大幅修改它会非常困难。这个难度和值的约束随着时间的推移逐渐放松。总体来说，这使得系统在短时间内不会发生剧烈的变化，允许用户在短期内安全地预测系统参数，同时长期具有强大的控制和灵活性。

• 剪枝：许多区块链平台，尤其是采用Nakamoto共识算法的（如：比特币）受不断增长的状态存储困扰，因为协议必须存储所有交易的历史状态。然而，为了区块链平台能可持续运行，必须裁剪掉旧的历史数据，这个功能对于高性能的区块链尤其重要，如 Avalanche。

  在Snow*协议中剪枝是相当简单的，不像bitcoin等类似共识不允许进行剪枝操作，AVAX节点不需要维护陈旧的被提交的DAG状态，这些节点不需要向新节点证明过去的历史，只需存储当前活跃的状态：如当前账户余额、未提交的交易。

• 客户端类型：Avalanche支持不同类型的客户端：归档节点、全节点、轻节点。归档节点存储AVAX子网、质押子网、智能合约子网的所有历史记录，这些节点可以作为新节点的引导启动节点；另外也会存储他们选择验证的子网历史记录，归档节点通常是具有高存储能力的机器，其他节点在下载历史状态时对其付费。全节点即验证节点，没有存储所有的历史数据，仅存储了链的有效状态（如：UTXO集合）；最后，对于想用最少资源即可进行网络安全交互的需求，Avalanche提供了轻客户端可以在不需要下载或同步整个历史数据的情况下证明交易的有效性，轻客户端保证协议重复采样阶段的安全性和网络的广泛共识，因此轻客户端在Avalanche网络中提供了与全节点相同的安全性。

• 分片：分片(Sharding)是为了提高性能和降低负载而对各种系统资源进行分区的过程。有多种类型的分片机制。网络分片：参与方被分为多个子网以减少算法的负载；状态分片：参与方仅存储、维护状态世界的部分内容；事务分片：参与方拆分事务的处理流程。

  在Avalanche上，通过子网功能实现了第一种分片；例如：一个运行贵金属的子网、一个运行房地产的子网，两个子网可以并行存在；且仅当用户希望用贵金属购买房地产时才会进行交互，同时Avalanche可以在两个子网间使用原子交换进行资产转移。

• 后量子密码学：后量子密码学由于量子计算机和算法的发展近来得到了广泛的关注。量子计算机的问题是，它们可以破坏一些目前部署的加密协议、数字签名。Avalanche系统模型支持多种VMs，所以可采用含有合适签名算法的抗量子虚拟机；我们预计将部署几种签名算法，包含基于RLWE抗量子的签名算法。共识机制不在其核心步骤上使用任何重型加密，基于这样的设计，使用具有量子安全的密码原语虚拟机来扩展系统就很显而易见了。

• 实际恶意方：在面对强大而敌对的恶意方时，Avalanche论文提供了很强的安全保障，即使存在这样的对手，任意时刻都可以访问任意正确节点的状态，知道任意正确节点的随机选择，以及任意时间更新它的状态；实际中，对手虽然是强大的，但仍无法直接修改正确节点的状态或者修改正确节点间的信息交流。尽管如此，现实中这样的对手仅是理论上的，因为在统计相似的网络状态时，最强对手实际是受限的，我们期望的最坏情况下的攻击很难发生。

• 包容与平等：在无需可的货币上一个常见的问题是“富者越富”，这是一个常见的问题，因为PoS系统不合理的实现，可能会导致财富的生成不成比例的分配给系统中持有大量权益的所有者。一个简单的例子是：基于leader选举的共识协议，小组委员会或指定的leader在它共识期间获取所有的奖励，同时被选择获取奖励的概率与它的权益成正比，则会产生极强的奖励复合效应。另外，在比特币这种系统中，存在“越大越强”的现象，在孤块和较少工作量丢失的情况下，大矿工比小矿工可以享受更高的溢价。相反，Avalanche采用平均分配的挖矿算法，在质押协议中每个单独的参与方依据权益得到公平和成比例的奖励，同时可以容纳数百万人平等的参与质押，在协议中要求参与方的最小金额将用于治理，但会将它初始化为一个较小的值以鼓励广泛参与，意味着不需要委托即可参与最小分配。

这片论文中，我们讨论Avalanche的系统结构，并与当前其他的系统进行了对比（使用不可拓展的经典共识协议或效率不高、操作成本高昂的Nakamoto共识协议），Avalanche协议是轻量级、可拓展、安全、高效的，原生Token在保证网络安全、支付多种基础设施成本方面是简单且向后兼容的。AVAX有能力超越其他协议实现更高的去中心化、抵御攻击、并在不需要选举法定小组成员的情况下拓展至数百万节点，从而不对参与方施加任何限制。

除了共识引擎，Avalanche对技术栈进行了创新，在事务处理、治理、大量其他平台无法访问的组件上引入了简单但重要的理念；通过强大的治理机制，使协议中的每个参与方都可对协议的进化方向施加影响，Avalanche也支持高度定制化，允许与现有区块链即插即用、实时互联。

1. Bitcoin: bitcoin/bitcoin (Oct 2018), https://github.com/bitcoin/bitcoin

2. Buttolph, S., Moin, A., Sekniqi, K., Sirer, E.G.: Avalanche token paper - token dynamics (2019), https:// les.avalabs.org/papers/token.pdf

3. Douceur, J.R.: The sybil attack. In: InternationalWorkshop on Peer-to-Peer Systems. pp. 251{260. Springer (2002)

4. Eyal, I., Gencer, A.E., Sirer, E.G., van Renesse, R.: Bitcoin-ng: A scalable blockchain protocol. In: 13th USENIX Symposium on Networked Systems Design and Implementation, NSDI 2016, Santa Clara, CA, USA, March 16-18, 2016. pp. 45{59 (2016), https://www.usenix.org/conference/nsdi16/technical-sessions/presentation/eyal

5. Nakamoto, S.: Bitcoin: A peer-to-peer electronic cash system (2008)

6. Rocket, T.: Snowflake to Avalanche: A novel metastable consensus protocol family for cryptocurrencies. IPFS (2018), https://ipfs.io/ipfs/QmUy4jh5mGNZvLkjies1RWM4YuvJh5o2FYopNPVYwrRVGV

7. Wood, G.: Ethereum: A secure decentralised generalised transaction ledger (2014)