在这篇文章中，我们基于欺诈证明（Fraud Proof）和有效性证明（Validity Proof）之间的区别，分析和比较各种2层（L2）可扩展性解决方案。我们认为，有效性证明拥有根本性优势，因为它确保只有正确的状态转换才会被接受。
6 k: r% J: A5 ]  K: z
+ b4 X' ?$ G# V7 R/ Z, k背景
) h5 M8 \; [; {& q9 U5 {6 k
: z# U, [1 Y  m0 c6 m5 g0 ]. n& P最近几个月出现了几个旨在解决以太坊可扩展性问题的项目（诸如Truebit，Gluon Plasma，dFusion，Roll-Up和Ignis等），它们都是基于证明的。基本的想法很简单：不用将很多交易写入区块链，而是生成一个证明（proof），用这些交易的某些简洁表示（例如哈希）来代表新的状态。6 t4 S) h( G& f0 T1 y) ~

8 {% A* n& e# L* g8 f上述提到的项目都是L2解决方案：它们定义了一个在1层（L1）上运行的协议（和逻辑），依靠它来提供各种服务，如存款/取款，确认链下状态的分类账以及作为“通用时钟”使用。重要的是，L1不了解L2的逻辑，因此也不能执行任何L2逻辑。' D, K1 o' u( Q2 Q& H- l5 b

5 l- w6 Q3 U) c) h我们想提出一个比较这些解决方案的框架，特别关注欺诈证明与有效性证明之间的区别。从本质上说，欺诈证明和有效性证明都可以存在于L1中，但目前的尝试以及我们的分析都把关注点放在了L2上。
+ @3 Z+ B  q5 J3 [6 c: O
8 h) R: G7 v: `, V' c# K4 w欺诈证明提出证据，表明状态转换是不正确的。它们反映了对世界的乐观看法：假设区块代表L2数据的正确状态，直到被证明不是这样。但实际上，一个已提交的区块可能包含错误的状态转换。5 Y  f4 c7 b" E7 D% f8 i8 @
2 j) V7 n, @' b) u! ^
有效性证明则提出证据，表明状态转换是正确的。它们反映了对世界更悲观的看法。区块只有在状态是正确的时候，才会将代表L2状态的数值包含在内。
( Z% ~! m  y. x) z6 P" N0 ]. R
* L) b! S3 o3 J3 R$ K值得强调的是：使用证明系统（例如SNARK，STARK）时有两种形式：欺诈证明和有效性证明。人们不应该将我们如何证明（例如SNARK，STARK）与我们证明了什么（欺诈或有效性）混淆起来。  B" p3 K# x  Y0 J) E9 I2 b. g
/ ~  \( r7 n$ J0 S0 j9 A
更深入的探讨7 s# d3 Z% [5 j* t

; q0 M! v: N$ J! K" G  a# T, H# ?欺诈证明' s' ^; r3 n4 p/ e- B4 K" P" Q/ G
3 a+ p: H& s# S# y; u0 z; x
欺诈证明的主要优势是，并不是每次状态转换都需要它们。因此，它们需要较少的计算资源，并且更适合可扩展性受限的环境。这些协议的主要缺点源于它们的交互性：它们定义了一个多方之间的“对话”。对话要求当事方—— 特别是声称有欺诈的一方 ——在线（活跃），并允许其他方通过各种方式中断对话。但问题的核心在于协议将沉默（即没有对新状态发起挑战）解释为默认的同意。实际上，攻击者可能会尝试使用DDoS攻击来产生沉默的假象。- ?' y5 X  j4 j6 w# u! g) {4 Z
& ]- s" y+ ?5 H! f& c$ s3 c
让我们描述一下概念协议：由于区块可能包含不正确的状态转换，因此欺诈证明协议允许在一个时间范围 ——争议时间段（Dispute Time Frame，DTF）—— 对此错误状态提出异议。该时间窗口以区块为单位进行衡量。如果在DTF内未提交欺诈证据，则认为L2状态转换是正确的。如果欺诈证明被提交给智能合约，并且被发现是正确的（即，在DTF内提交，并且确实证明了状态转换是错误的），则至少会导致智能合约恢复到上一次正确的L2状态。其他措施，例如对违规方进行处罚，也可能会执行。
+ ~% p- O$ ^) \; j$ h# w4 N* |7 _& V+ _, E1 d" l
DTF持续时间的不同选择会带来这样的结果：它越长，检测到错误状态转换的概率就越高——这是好的一面。但是，时间越长，用户必须等待的时间也会越长，例如，提取资金——这是不好的一面。# ?/ H% x2 r' c* W) z

+ Y2 Q  n6 H0 y- Z) I$ D有效性证明
/ c& y/ U: k6 ]+ O- B" Q  A1 Y7 l  o6 |  K0 S0 ^* K7 b
有效性证明相比之下就简单很多了：一些离线计算的代表形式被发送到智能合约。只有在验证为正确后，智能合约才会使用这个新的数值更新区块链。有效性证明的主要优点是区块链将始终反映正确的L2状态，可以立即使用新的状态。主要缺点是，每次状态转换都需要证明，而不仅仅是在这种转换受到争议时，这会影响可扩展性。! u2 t+ H; j4 {

5 K7 ^. I# ~  M4 F51％Attacks8 A" I% L2 w4 F( L
8 t! ?  F) v, w/ H4 w: ]* V( P" z2 ]
在众多可能的攻击中，我们这里主要关注L1上的51％攻击。我们最近看到这种攻击事件不断发生，包括对以太坊经典的攻击。欺诈证明和有效性证明如何抵御此类攻击呢？
0 B: \$ J: K% U& L' C% B" W' p! v6 a+ }/ E! q5 R$ F6 ~. ?
欺诈证明：51％攻击允许攻击者将区块链引入欺诈状态，例如，从被攻击的交易所中窃取资金。. V7 O; q9 ~9 z0 s' q+ q

" F# G' y, Y2 y  p/ c- ~· 攻击者使用欺诈性状态转换创建BlockFr。例如，这包括将交易所中的所有资金转移到他们自己的账户。2 h0 Y6 a# \1 f6 u* ^& K: B2 i
1 m# J, t" R5 a, T5 G( \" Y+ E. n6 x
·在BlockFr之上，他们将添加DTF区块，最终形成一个区块，其中包括取出BlockFr中授予的全部资金。
8 E, e1 |' X* H  g7 u- H' o! O' j
2 ?5 U: P' i' t8 e1 m' W8 b4 S·然后，他们继续将链扩展到DTF以外，以及当前的链以外。他们有能力这样做，因为他们控制了51％的哈希值。4 O& O( ?3 l! Q( ]) b
# X2 _) P& N" M$ P) C) S! k
·发动这种攻击的成本（目前非常低，对发动以太坊攻击的成本低于10万美元/小时）与获得潜在收益（即受到攻击的交易所控制的资金）无关。但随着加密交易所中交易活动的增加，它们更加有可能成为这种攻击的目标。/ t, M1 C0 Q. j8 V
1 d$ _, W4 q5 h% `
总而言之，根本问题在于，L2解决方案定义了自己的逻辑，允许包含欺诈状态转换的区块。攻击者偷走资金后的分类帐状态仍然是合法的状态！没有发生双重支付，但是发生了欺诈行为。
% b+ n% w5 Q8 f8 `5 _$ b- {4 f* \+ I* W; p: y% A
有效性证明：51％攻击只能逆转记录的历史，并可能提供新的历史记录；重要的是，这个替代历史也是正确的。可在此处执行的攻击范围仅限于L1可能发生的攻击。在币币交易所中（特别是当所有的交易资产都驻留在同一区块链上时），逆转记录有时可能是一个暴利的举动：例如，卖方可能会很乐于去逆转一个事后才发现是最低价的交易，但是在一个加密资产存放在给定区块链的交易所中，没有任何手段可以去直接盗窃加密资产。
% `: D% N% r1 Q' n) H; M) @1 K0 t* ^. @  r7 f! \- }( T2 p- v2 Y
提议的解决方案4 @( @) `, K6 m* b1 U) J2 o
( m6 x) U2 L# ^2 }9 B
鉴于这些明显的缺点，为什么很多项目（例如Gluon Plasma和dFusion）还是要使用欺诈证明呢？主要原因是有效性证明过于昂贵和繁琐。
' [: b0 {' E6 F! q7 G# c: T$ S' @) f& h* ~
在使用证明系统之前，在一个无需许可的系统中，“有效性证明”涉及原生重放（native replay），因此极大地限制了可扩展性；本质上，当前这种重放在L1上仍在进行，大家已经了解其对可扩展性的限制。证明系统提供了一个非常吸引人的特点，称为简洁性：为了验证状态转换，只需要验证证明，这样做所需的成本实际上与状态转换的大小无关（更确切地说，它是状态转变大小的多对数函数）。! a8 L4 `& z. O- y" G9 p' T
& E: O; y/ D  G
Ignis / Roll-Up都依赖于需要可信设置的SNARK，而它比STARK需要更多的证明计算资源。 StarkWare正在努力部署StarkDEX（DEX的可扩展性解决方案），它将使用STARK来实现有效性证明。1 \4 D' d: h( V! |& _" T2 ]" V
" G. ?3 F1 p- m2 B. H. ~0 T
结论
1 E- o* m# p, }. n% ~3 u0 I" `/ @4 N5 L: d( c
我们强调了有效性证明在51％攻击方面的固有优势。凭借其快速的验证时间，简洁的验证和无信任的设置，STARK将是生产级有效性证明的有力手段。