RNG是Random Number Generator，也就是随机数生成器。, w- o5 R3 S. x4 q. ?
在现实世界中要产生真正的随机数，其实不容易，各个语言的library所提供的随机数，都是伪随机数，是可以预测的，不过在大部分的应用场域，都是可以应付的。区块链的世界，面对的是全世界的人，怎么产生不可预测的随机数，就很重要，不然就可以被有心人所操作。例如EthereumBeacon chain(POS chain)中的validator/attester(产块跟验证的角色)，若是可以被预测，那大概就没有人会相信这条链了。而这也是EthereumSerenity(Eth-2.0)，所遇到的问题之一。目前随机数的产生，就由RANDOA +VDF所产生，以下就分别介绍：
9 C) P) i' B" {( d7 h' hRANDAO* c/ h/ T6 I4 W- y* w! U6 k
RANDAO是利用经济模式（奖励跟处罚）的方式，促使在公共场域中能产生随机变量; W6 W# b' U. u
原理很简单，想参加的人把拿钱来抵押，需要产生随机数的人要付钱。所以参加者就可以从中分润，当然不守规矩抵押的钱也就会被没收，利用奖励跟处罚的方式迫使大家都守规矩。详细步骤如下：
7 l( \8 S4 u2 V/ [  O  V首先，会有个收集seed的时间，例如6个block的时间。接着，想参与的人，投入某个数量的ETH到RANDAO这个smart contract（作质押），然后附上secret（某个只有你知道的值s，然后作sha3）。
4 c% W$ n* q" T5 ]9 I- A1 r
; ^4 i! @9 u+ U4 x0 ]! T; P) \7 D等收集时间结束，就是验证时间。此阶段所有参与着需要把s传入smart contract做验证，smart contract会把s作sha3，去验证是不是跟第一阶段传进来的一致。最终会把验证过的s当作seed去产生随机数。
- {+ N5 Z% W9 s+ t1 ^: j
& ?2 T% B' K: A& E* F最后，就是产生随机数，然后把随机数传给之前有请求过的contract。然后归还质押的ETH跟利润分给参与者。
/ M+ F0 G  J' `% y1 E% B- ]
$ }6 G7 r9 P' r4 @0 E- J! v+ \
- L. ~' S" N" c" i- Q% F此外有几个附加条件：
* ^$ W) S6 f- c2 S6 ^+ T! _$ L$ e
第一阶段若收集到数笔一样的secret，只接受第一笔；5 F6 A  B* q5 p2 u

, i* f# X7 q0 O9 \) r* J" z第一阶段会规定基本人数，若结束后未到达人数门坎，则此次的产生就失败；
/ c- V% K& r/ g: G! ]. K& `7 q  H2 Y2 c" ]  x$ z! X& k: p# W
若第二阶段需提供s；
+ q  f6 t* x  o* s2 k( j3.1 若未提供，则质押的ETH会被没收；
4 J. f  r% s8 c( @3 d: u3.2 若此阶段有一个以上参与着未提供s，则此次产生失败，并且把没收的 ETH分给有提供s的参与者。且退还请求者所支付的ETH；
8 E3 ^1 r, P1 m: c/ R0 ^) Z1 ?3 T: i/ c7 G: k

8 b: a0 [! V6 _! m6 p! G+ M5 iVDF, z2 u! w' Y/ ?  F
VDF 全名为Verifiable delay functions，从字面上有点难懂在干嘛，从运作方面做解释，就是输入一个值，然后运算一段时间(delay)，得出一个结果，最后这个结果是可以被轻易验证的。如下列算式，
* f1 z9 B: ^* S1 \  R) M2 jf(x) =g(g(g(g(….g(x)….))))
* x. Y1 [8 }. ?6 S) R4 k/ ?where g(x) = xor(x^((p+1)/4), 1) mod p 其反函数为
# [3 Y0 {* X# ~* x4 Z( jh(x) = xor(x, 1)? mod p
2 F! j/ ^2 T4 u5 K上面提到「运算一段时间」的运算，其实是重复做同一种运算，从数学式看就很清楚，把x带入g(x)，然后把算出的结果再带入g(x)。所以同一段时间，如果能迭代的次数比其他人多，那其他人就猜不到结果，也就没办法预测随机数结果。+ o- o& n- o" ?9 }3 J) Q5 a  M
最后，介绍一下这两个方法怎么运用在EthereumSerenity中/ ]/ H. ]5 Y6 q/ }
首先，RANDAO会在内建在Beacon chain的逻辑中，而不是一个独立的smart contract，但RANDAO有个缺点，就是最后一位可以预测/操纵结果。如下图，因为最后一位可以知道前面的值，所以在最后可以决定要出值或是不出，因此可以操纵结果。(目前epoch是64个slot，而每个slot是6秒，所以epoch约是6.4 minutes)
1 @2 h+ Y, M' ?( ^+ s
% v4 L: ~" \  y% w所以设计上除了RANDAO，还多一层VDF。8 }) v) m) E* E$ x9 Q& B
VDF把RANDAO产生出来的随机数当种子去产生随机数，而且计算时间要够长（至少要一个epoch，目前规划是10个epoch，不过相信还会有变动），如下图
" B$ Y& z4 Y: m# d+ X7 E% U# H4 r5 x
实际的lifecycle会像这样，在VDF计算完后，会有一个epoch的缓冲让这个随机数可以上链，然后接着下一个RANDAO mixing。8 Z& e! N2 ]9 W8 p0 D+ f# D
0 r( l* _" J" K7 @6 G1 G
但问题来了，怎么确保没有人算得比你快？？- [9 R) U: \8 S7 H' C( c
所以EthereumFoundation计划做硬件，设计新的ASIC芯片来计算VDF，以确保没人可以预测最终的随机数。实际设计当然不是Foundation的researcher们，他们找了学界跟产业的IC design专家做设计，因为硬件研发费用庞大，Filecoin也一起支持这项计划。