論基於空間證明之最長鏈區塊鏈的（不）安全性

目錄

1. 引言

本工作提出了一個根本性的不可能性結果：在動態可用性條件下，僅基於空間證明（PoSpace）無法建構安全的最長鏈區塊鏈。它形式化地量化了此脆弱性，表明敵手總能建立一個有界長度的獲勝分叉，因此需要引入額外的密碼學假設（例如可驗證延遲函數，VDFs）來確保安全性。

2. 背景與問題陳述

2.1. 中本聰共識與工作量證明

比特幣的安全性依賴於工作量證明（PoW）和最長鏈規則。只要誠實節點控制多數的算力，即使在總算力可變（「資源可變性」）的情況下，它也能保證安全性。

2.2. 空間證明：作為永續替代方案

空間證明被提出作為工作量證明的一種節能替代方案，礦工投入的是儲存空間而非計算力。然而，其在動態、無許可環境中的安全性一直是一個未解難題。

2.3. 安全性挑戰：動態可用性

核心挑戰在於「動態可用性」：誠實節點的空間可能波動（每區塊 $1 \pm \varepsilon$ 倍），而敵手可以「重繪」（將其空間重複用於多個挑戰），其時間成本相當於 $\rho$ 個區塊。

3. 形式化安全模型與不可能性結果

3.1. 遊戲定義與敵手能力

安全遊戲假設在任何時間點，誠實節點控制的空間是敵手的 $\phi > 1$ 倍。敵手可以：

• 使誠實空間每區塊以 $1 \pm \varepsilon$ 倍波動。
• 以 $\rho$ 個區塊的時間成本進行空間重繪。

3.2. 下界定理

定理（下界）： 在此遊戲中，對於任何鏈選擇規則，敵手都能建立一個長度為 $L$ 且會被接受的分叉，其中：

$L \leq \phi^2 \cdot \rho / \varepsilon$

這是一個不可能性結果：無法保證防禦短於此界限的分叉攻擊。

3.3. （奇特的）上界與匹配規則

定理（上界）： 存在一個（極度不自然的）鏈選擇規則，要求敵手建立的分叉長度至少為：

$L \geq \phi \cdot \rho / \varepsilon$

這表明下界在 $\phi$ 倍以內是緊密的。

4. 技術細節與數學公式

不可能性源於敵手利用時間與空間不對稱性的能力。誠實空間在挑戰期間被佔用，而敵手透過集中固定數量的空間並進行重繪，可以隨時間模擬出更多的「虛擬」空間。驅動此界限的關鍵不等式，關聯了敵手的有效時空資源 $A_{eff}$、誠實的時空資源 $H_{eff}$ 以及分叉長度 $L$：

$A_{eff} \approx \frac{L}{\rho} \cdot A \quad \text{且} \quad H_{eff} \approx \phi \cdot A \cdot \frac{L}{\varepsilon^{-1}}$

在遊戲約束下操作這些不等式，可得出最終界限 $L \approx \phi^2 \rho / \varepsilon$。

5. 結果與影響

5.1. 核心安全界限

5.2. 額外原語的必要性（例如：可驗證延遲函數）

此結果證明僅靠空間證明是不夠的。像Chia這樣的協議正確地整合了可驗證延遲函數（VDFs），以在區塊之間添加強制性的、不可平行化的時間延遲，從而減輕重繪攻擊向量。這從理論角度驗證了 Chia 的架構選擇。

5.3. 案例研究：Chia 網路

Chia 使用空間證明 + 可驗證延遲函數（「時間證明」）。VDF 確保了區塊之間的最小實際時間間隔，這使得對於試圖建立替代鏈的敵手而言，$\rho$ 參數實際上變得非常大，從而將實際分叉長度界限提高到不可行的程度。

6. 分析框架與範例案例

評估 PoX 最長鏈協議的框架：

1. 資源識別： 定義稀缺資源（空間、時間、計算）。
2. 動態模型： 建模誠實資源波動（$\varepsilon$）與敵手資源操縱（例如，重繪成本 $\rho$）。
3. 攻擊向量分析： 識別敵手如何將一種資源轉換為另一種（透過重繪將空間轉換為時間）。
4. 界限推導： 針對給定的分叉長度 $L$，形式化敵手與誠實資源-時間乘積之間的不等式。
5. 原語差距分析： 判斷界限在實務上是否安全。若非如此，則識別必要的額外原語（VDF、PoW、權益）。

範例應用： 評估一個假設的「儲存證明」鏈。將儲存重新配置速度（$\rho$）和權益波動性（$\varepsilon$）參數化。該框架將迅速顯示其易受類似「重新配置」攻擊的影響，除非加入時間鎖（VDF）或懲罰機制。

7. 未來應用與研究方向

• 混合共識模型： 嚴謹設計空間證明+權益證明或空間證明+工作量證明的混合模型，以在不產生過度開銷的情況下實現安全性。
• 增強型 VDF 設計： 研究更高效或去中心化的 VDF 結構，以降低添加時間保證的開銷。
• 形式化驗證： 將此模型應用於其他「X 證明」範式（有用工作量證明、物理工作量證明），以預先防範安全漏洞。
• 後量子考量： 探索在後量子計算時代仍能保持安全的基於空間證明的設計，因為基於連續平方的 VDFs 在該時代可能變得脆弱。

8. 參考文獻

1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
2. Dziembowski, S., Faust, S., Kolmogorov, V., & Pietrzak, K. (2015). Proofs of Space. CRYPTO 2015.
3. Cohen, B., & Pietrzak, K. (2018). The Chia Network Blockchain. https://www.chia.net/assets/ChiaGreenPaper.pdf
4. Boneh, D., Bonneau, J., Bünz, B., & Fisch, B. (2018). Verifiable Delay Functions. CRYPTO 2018.
5. Garay, J., Kiayias, A., & Leonardos, N. (2015). The Bitcoin Backbone Protocol: Analysis and Applications. EUROCRYPT 2015.
6. Pass, R., & Shi, E. (2017). FruitChains: A Fair Blockchain. PODC 2017.

9. 專家分析與關鍵評論

核心洞見

這篇論文對僅基於空間證明建構「綠色比特幣」的天真夢想，給予了毀滅性且優雅的一擊。它不僅是對特定協議的攻擊，更是關於去中心化共識中空間、時間與安全關係的根本性熱力學論證。核心洞見在於：與工作量證明中的計算不同，空間並非本質上被「燃燒」。敵手可以回收利用它。這種可回收性，在動態參與下，創造了一個任何最長鏈規則都無法防禦的致命套利循環。它形式化地解釋了為什麼像 Chia 這樣的專案必須附加可驗證延遲函數（VDF）——這不是一個可選的優化，而是理論上的必然。

邏輯流程

作者的邏輯無懈可擊，遵循經典的不可能性證明結構：1) 定義一個現實的敵手模型（$\phi$, $\varepsilon$, $\rho$），捕捉儲存（重繪時間）和網路變動的真實限制。2) 證明在此模型中，對於任何可想像的鏈選擇規則，擁有較少空間的敵手總能在一個足夠長但有界的分叉上超越誠實節點。3) 界限 $L \leq \phi^2 \rho / \varepsilon$ 是確鑿的證據。它量化了不安全性。後續展示一個「奇特」規則下的近乎匹配的上界，則是蓋棺定論，證明了該界限是緊密的，且脆弱性內在於資源本身，而非規則設計。

優點與缺陷

優點： 模型參數（重繪的 $\rho$，波動的 $\varepsilon$）選擇得非常巧妙，捕捉了問題的本質物理特性。結果清晰、通用且立即可行。它將討論從「這個協議安全嗎？」提升到「實現安全性所需的最小額外假設是什麼？」。

缺陷/限制： 模型假設誠實多數是被動的，不會根據檢測到的分叉調整策略——這是最長鏈分析中標準但有時具有限制性的假設。更重要的是，雖然它證明了需要像 VDF 這樣的附加原語，但並未量化該 VDF 的充分參數（多少延遲才足夠？）。這在理論與實務之間留下了空白。此外，近乎匹配界限的「奇特」鏈選擇規則是一個密碼學奇觀，但沒有實用價值，凸顯了問題的深度。

可行建議

對於協議設計者：停止嘗試建構純粹的空間證明最長鏈協議。 這篇論文是給你們的形式化禁止令。可行的前進道路僅限於混合方案。

1. 強制時間延遲（VDF 路徑）： 追隨 Chia 的腳步。整合 VDF，使敵手的 $\rho$ 實際上變得極大，從而將分叉長度界限推至不可行的程度。研究重點應放在使 VDF 更高效和去中心化。
2. 探索非最長鏈範式： 考慮替代的共識家族，例如帶有最終性小工具（如 Casper FFG）的權益證明（PoS）或基於委員會的 BFT 協議。這些可能以不同方式整合空間證明，從而完全避開此攻擊向量。以太坊基金會在結合 VDF 與 PoS 以產生隨機性（RANDAO+VDF）方面的工作，顯示了這些原語更廣泛的適用性。
3. 參數嚴謹性： 如果建構混合方案，請使用本文的框架。明確地為敵手的時空權衡建模，定義網路的 $\varepsilon$，並使用推導出的界限來壓力測試你的設計。這不僅是學術性的，更是你的安全藍圖。

總而言之，Baig 和 Pietrzak 不僅解決了一個開放性問題，更在共識理論的沙地上劃下了一條鮮明的紅線。他們將該領域從充滿希望的工程實踐提升到嚴謹的物理學層面，定義了什麼是不可能的，從而清晰地照亮了通往可能性的狹窄道路。這是一項奠基性的工作，將使無數未來的專案免於陷入死胡同的架構。