还记得在 2018 年 11 月举办的 DevCon 上，经过几场对话之后，Danny Ryan 明确记录了以太坊 2.0 的五大设计目标。这些目标也不是臆想出来的，而是从反复的讨论中提炼出来的，反映了以太坊 2.0 研究人员的优先考虑事项。如果你想了解更多背景知识，可以去听一听 Danny 的 Bitcoin Podcast。$ K- O3 `' |- {7 i# d% `4 L9 M
4 t+ C& I" \! t( N
五大设计目标具体如下（我针对每个目标提炼出了关键词，并且根据我自己的喜好重新排了个序）：: P" M6 D( Q/ H: J0 o

0 ~+ u& G7 [7 t0 ^去中心化：允许处理能力达 O© 的消费级笔记本电脑处理/验证 O(1) 个分片（可能是系统上任何一层的验证，如信标链）。
2 p8 X0 k. k. l6 h
. z: x7 k$ @& p: l1 G' p强韧性：在主网分区之后，大部分节点离线之时，整个系统依旧能够运行。, \+ ^7 S1 G) f( o
  t$ y2 k% S' d+ P6 m
安全性：通过密码学技术和设计技术提高验证者的总人数和单位时间内的参与者数量。6 ]( r6 n- {# T, |. Y0 N# @5 j0 P
! R! `  {1 B" y( R3 ^1 {7 X  `
简洁性：最大程度地降低复杂性，哪怕会导致效率有所下降。
) s: o  a0 ^3 N5 S- x9 L+ P, |6 M9 R8 E) X6 ~# P" I& m6 n
持久性：选用的组件要能够抵抗量子计算，或是选用可替换型组件直到可用的抗量子计算组件出现。
& n4 B) P( X1 R3 s& |, H# h8 R$ i7 b: B5 E( Z+ N& j" k
上述设计目标概括了以太坊 2.0 的设计内容——未来会变成什么样子——但没有真正解释背后的原因。在本文中，我想要逐一探索上述几个目标的重要性，以及它们对协议发展起到的影响。6 v7 _+ R/ W2 k+ |8 f! w
7 O, V- m- x8 B* x
实际上，把上述任意一点单拎出来，都是能够写出一篇文章的，这里只能点到即止，不过我是希望能够讲明白些的。因此，下文会涉及到以太坊 2.0 的很多新特征。, y+ D$ u9 }+ j" b

2 @9 v4 p; k! _# z# D/ r$ [* @###去中心化5 b: \) k" \/ [0 \5 i8 V. j

  d, b6 q5 k% ~2 D' S: _" M允许处理能力达 O© 的商务笔记本电脑处理/验证 O(1)个分片（包括任意系统层面上的验证，如信标链）。
) {& u: ~2 e& V" u7 \: O) q* ?  q2 M5 l4 L- P1 B5 O8 Z1 A! s
-网络节点连接图（有裁剪），图源：Wikimedia-
2 n; Z% t  C( l' J% ~/ P& W- f9 B) R. n) T# D* s0 A5 J$ X
以太坊一以贯之的一大基本原则就是尽可能去中心化。这实际意味着要尽可能降低人们参与协议（即以太坊 1.0 的挖矿机制）的门槛，并且将中心化参与带来的利益降到最低。- e: j) G" J) g8 k' G! F' I' s
% c4 h# F' s2 Z4 O
PoW 挖矿机制没能达到后一点，似乎也不能满足前一点。PoW 挖矿显然正在趋向中心化，一些矿场通过掌握硬件、廉价电力和大量冷却设备可以实现规模经济。由于高成本的矿机日渐成为挖矿刚需，个人参与者的成本也随之提高。PoS 协议虽然也存在争议，但是大部分人都认为它不会像 PoW 那样面临那么强的中心化压力。这也是促使以太坊 2.0 计划从 PoW 机制向 PoS 机制过渡的原因之一。0 @- Z8 z& |" R0 J, H# J7 p$ c
9 b7 F# f% r/ e; I
以太坊 2.0 的所有设计都是以实现去中心化为导向的。
% n7 l0 y1 H0 W6 v: {6 D7 ^9 a4 W# f/ U* U* i  C, ]
例如，去年夏天，以太坊为了突破当前 1.0 主网的局限，决定在全新的 PoS 信标链上实行以太坊 2.0 分片系统。这样一来，系统就能支持更多验证者（以太坊 2.0 上的出块者，类似于 1.0 上的矿工），而且成为验证者需押注的最低代币量从 1000 个降到了 32 个以太币。32 个比起 1000 个已经是大幅降低参与门槛了。此外，目前对偶尔掉线的验证者的惩罚也低得多，这使得那些无法保证“5个9（99.999%）”时间都在线的消费级硬件也能参与出块，提高了网络参与的开放度。
6 k7 ?. @! Z1 K( H# M2 V* N4 Z0 s; L, b1 r
话虽如此，这一设计目标的关键不在于 PoS ，而是保证单靠一个由商用硬件组成的网络就可以维持以太坊 2.0 系统的运行。反过来说就是，不需要大型主机即可成为系统的参与者。# h: M! ^( ^8 y+ t* ~5 t

, g: C/ t  o( O+ N* {! B" L# F从设计上来说，以太坊 2.0 协议有意要摆脱对 CPU 或内存要求极高的 “超级节点”。交易所或区块浏览器可能会部署“超级节点”，不过在以太坊 2.0 协议内，“超级节点”相比普通的验证者节点没有优势。轻客户端协议的广泛应用可以让验证者节点集中算力资源去保护信标链以及他们所在的分片，对于整个系统的其他部分只需了解一点必要信息即可。0 y. N- M  S4 r2 k

% X+ I8 ~5 @- q% u: w& S0 b根据这个设计目标的详细阐述可知，要完全参与到以太坊 2.0 协议中，保护整个系统并获得质押奖励，所需的算力资源只要一台消费级笔记本或一个小型的托管虚拟专用服务机即可满足。- F' F! }2 L$ ^  {7 Y* I7 g  w( r

- p; [+ q3 H' U1 l要实现完全去中心化的设计并非易事——远没有设计高性能的中心化协议来得容易，但对于以太坊而言是不容妥协的。
) W/ A6 v; T6 }9 R: ?1 e: r
& G( p; Z8 `9 i- n, r###强韧性
- o# c" D* H) r; A6 I* J; K- }& G* C* v* v+ x% z; q9 H* I
在主网分区之后，大部分节点离线之时，整个系统依旧能够运行。
' Y- m! |3 L& |/ J
+ C6 _! i+ q9 n* |1 X- N) |-图片有裁剪，图源：Flickr -
3 O% R' n* W: H  y8 [1 u. ~1 B* p; l! w) K
如果一条区块链上 80% 的节点同时离线较长一段时间会怎么样？
$ I2 n4 b' m. T; c7 u/ c( P( @) E* a/ ^. k: y' V" i2 t
将来的某一天，以太坊区块链可能用于支持重要的基础设施：支付、身份、发电等等。这类基础设施绝不能丧失可用性。它们必须持续运行，哪怕出现了巨大变故。哪怕有国家通过国家防火墙阻断了协议通信，哪怕第三次世界大战爆发。* R& U0 ]7 ?! h$ w4 ]' x  {! r& w

4 h* c. `% s& u! ]分布式系统的基本原理是，任何一个分布式系统最多只能同时满足一致性（consistency）、可用性（availability）和分区容错性（partition tolerance）这三个需求中的两项。网络分区问题是很难避免的，节点会因为各种各样的原因加入或退出网络，这实际上是要求系统在一致性（所有节点是否针对同一个请求给出相同的回应）和可用性（网络是否持续运行）之间做出选择。从根本上说，网络分区问题出现之时，确保一致性的唯一方法就是关闭整个网络。8 v3 ^6 r- V) s0 R& A; {
0 I* S, A8 J3 c% d
这个设计目标极大地影响了信标链上随机数生成器的设计。目前，分布式随机数生成以 Dfinity 的“门限签名中继”为黄金标准，即以一种参与者无法操控的方式通过数字签名实现（伪）随机性。由于门限签名中继无法在出现网络分区的情况下继续运行，以太坊 2.0 只能另寻他法，转而采用经典的 RANDAO ，将众多参与者贡献的随机数组合成一个随机的输出值。现在，我们都知道 RANDAO 合约在抗操控性上有点弱（最后一个参与者拥有比其他参与者更大的权力，能够操控随机数）。因此，RANDAO 的共识机制在设计上加强了抗操控性。攻击者必须巧妙地把握时机，控制多个连续的块，才有机会破坏整个系统，发生这种情况的概率是很低的：根据共识协议的设计可知，假定 2/3 的参与者都是诚实的，攻击成功的概率几乎为零。
, r  t6 u, u$ ]. b) I7 k$ ]7 p$ u, Z, |% m5 Y5 Q
在任何情况下，RANDAO 都是偏向活性的：即使有很多参与者出了故障，也不会影响整条区块链的运行。7 I0 N' S  Q0 c5 J/ P2 v4 Z
( U8 S3 L% l& T
上述基本原理的另一个例子是用于“e 的平方根倒数下降级时间（inverse sqrt e drop time）”内的“消极参与者惩罚系数（inactivity penalty quotient）”， 信标链上的一个区块要想得到最终确认，绝大多数验证者（持有的权益）都要投给这个区块。如果有大量验证者离线或者因为延迟造成网络分区问题，就不可能获得绝大多数验证者的投票。这个问题的解决方案是在区块链还没有最终确定任何信息的这段时间内，未能上线的验证者所质押的权益会被大量罚没。权益罚没会在一段较长的时间（约为 18 天左右）内逐渐进行，让验证者尽可能回归网络。不过，最终而言，当不参与投票的验证者持有的权益足够少、参与投票的验证者持有的权益足够多时，确保能够实行多数权益票决制，这样整条链就可以继续确认区块。. x1 e! z8 @$ `- S
8 ^3 I( o. [  o- M
（要注意的是，这种涉及活性的行为留给用户和应用很大的选择空间：在区块链上的区块尚未最终确定的这段时间内，各应用可以根据自己的标准选择是否要使用区块链。一旦区块链停止运行，就会丧失这种灵活性。感谢 Danny Ryan 指出了这一点。）
# Q3 V; q/ p- V; l  x& K
# b# p9 U( {$ v% o一直以来，以太坊的承诺都是“unstoppable”。以太坊 2.0 也会将这一承诺延续下去。
6 M  f. @! ]0 G: R/ E3 V, x7 Q' a
###安全性
) {& U1 h, z0 t$ Y! i) {7 ~0 J" M! z7 l& a) ~; \: K
通过密码学技术和设计技术提高验证者的总人数和单位时间内人数上限。
- [- a6 y  S- S+ N8 l$ p7 u/ C9 j2 m! ~' \0 T2 W. R3 M
-接近三分之一的验证者是恶意的，但在任何一个子集中，恶意方都不占优势-
/ g! Q+ k5 L# S8 }# x7 c" r* X
! [5 L( @& U/ L( \! z& A% A: ~7 T现在我们来聊聊以太坊 2.0 的安全性，即让系统对攻击（例如，PoW 协议中的 51% 攻击）的抵抗力尽可能高。
1 A. C( g5 M" G, y& \
0 H; G9 w/ Q+ f, N0 |在以太坊 2.0 中，这种安全性体现在有一个很大的验证者池，里面的验证者会轮流随机组成委员会：协议活动需要每位委员的签名，例如检查数据可用性和投票确定区块。; L7 |( Z3 Y' @' b% v) A  r( a* b
! C% _# j0 E( B: G; Q) y2 a
召集大批验证者并成立委员会有几个好处。第一，庞大的验证者池意味着去中心化的程度较高，参与者更具多样性会使串谋的难度加大。尽管如此，从风险模型可以看出，攻击者还是有可能控制超过 1/3 的验证者的。" o/ Q4 E- K2 V  e+ J
1 f+ P9 C' l1 C$ L4 d! L
第二，如果出现了违背协议的情况——例如，在同一高度确定了两个区块——这意味着肯定有很多验证者违反了规则（同时投票给两个区块）。这种行为是可以检测出来的，行为不端的验证者所质押的代币会被罚没。任何链上决策都需要多数验证者签署后才能实现，这就赋予了系统很强的“经济安全性”：作恶的参与者会被罚没很多钱。PoW 链则不同：发动 51% 攻击的作恶者付出的只是运行硬件的边际成本：他们的 ASIC 矿场又不会被烧毁。
/ K0 y% ?. B, {1 T4 M, p) v. W
- g8 T) z' x, _3 b: n+ U第三个是从数学角度出发。假设验证者池中有超过 1/3 的验证者是不诚实的，我们从验证者池中选出的委员会人数越多， 委员会中出现不诚实验证者居多的概率就越低。举例来说，我们有 1000 位验证者，其中 333 位是不诚实的。假设一个委员会只有 1 个成员，则该委员会由不诚实验证者掌控的概率是 33.3 % 。假设委员会由 3 位成员组成，随机选出一个委员会，抽到的委员会中不诚实人数超过 2/3 的概率为 25.9 % 。将委员会的验证者数量提高到 13 位，则不诚实人数超过 2/3 的概率为 10 % ，以此类推。最后，如果委员会的人数达到 667 ，那么不诚实人数过半的概率为 0 % 。% G8 p2 O6 M; X
' G2 N- n/ b8 ^7 h
在以太坊 2.0 中，如果委员会里出现了一个攻击者，那么他需要掌控委员会中 2/3 的权益才能造成严重伤害。目前，委员会的总人数下限为 128 ，从上千人组成的验证者池中选举产生，即使攻击者成功控制了验证者池中 1/3 的人，攻击成功的概率也只有万亿分之一不到。; c. h! q$ {& E4 @* V" {4 `* l

# F" \5 T, [9 q* i6 \实现这个设计目标有助于委员会在协议内起到广泛作用：基本上每个协议活动都会由随机分组的委员会进行票决。这些委员会会经常性重组，有些情况下每 384 秒就会重组一次。能够实现这一点还要归功于一个密码学创新技术—— BLS 聚合签名。大致说来，委员会中的每位成员都要对决策进行签名，而 BLS 聚合签名技术可以将这些签名结合起来变成一个签名，这样验证起来就更加容易。如果没有这项技术，验证每个签名所需的时间将极大地限制参与决策的验证者人数。( }0 k  S% ^0 l- \; A
; ^, r; X( u4 F; m# X& h) r
###简结性2 {3 C& @+ j2 B& k  f- s

" A! C* i, g" x; h# A6 w1 m) W+ p最大程度地降低复杂性，哪怕会导致效率有所下降。1 C6 r/ e5 |, I! R

( A1 Z3 H4 c; R7 \-以太坊 2.0 不是一种鲁布·戈德堡机械，图源：Wikimedia-
6 p- q* W6 I) i9 F0 F3 u; G; V# U3 t
# g; ~3 C! ~# `& ?8 Z# c/ `这是所有设计目标中最好解释的一个了。复杂性是安全性的敌人。要想确保以太坊 2.0 能够一直按预期运行， 我们必须合理地设计协议。我们要能够对协议活动进行分析，从而排除极端情况和不当激励，还要尽量进行形式化验证。
# h7 I0 f6 W/ Y: ^. y2 n) _8 x
( Q9 j* a! I& A7 O) z4 O+ i如果你看了以太坊 2.0 的现行技术规范，“简易性”或许并不能给你留下第一印象。但是，简易性指的不是代码的多少，主要还是在于我们实行的理念。目前看来，所有的区块链技术都处于三大艰深学科的焦点：分布式系统、密码学和博弈论。即使是以太坊 1.0 这样比较简单的密码经济系统也会遭遇意想不到的情况。 Gas Token 就是一例：它的机制旨在减少存储在区块链状态中的数据，实际却增加了要存储的数据量。我们的协议越简单，就越能分析出这种怪异的情况，并找到解决方案。
- l) ]4 B% A0 j  N$ [* ?( F1 K6 |. [* E% k) Y# M) S# `) I
创新是区块链行业赖以生存的法宝。我几乎天天都能听说有新的共识协议、密码学原语和密码经济设计冒出来。相比之下，以太坊 2.0 的设计虽然含有很高的创新成分，但还是比较保守的。保守是有意为之，因为设计必须尽可能简单化。
1 F8 U0 ?; D7 F. ]; a* P
8 }) e% ^# u! m! F5 a. H: {9 r' c5 S) J例如， Polkadot 在设计上跟 Ethereum 2.0 有很多相似之处（这点并不奇怪，毕竟 Gavin Wood 参与过以太坊分片的早期构想)。二者都采用分片协议： Polkadot 中的每个分片都可以运行不同的协议，而以太坊 2.0 中的每个分片都运行同一个协议。Polkadot 采用的异构设计虽说也有优点，但是以太坊最后还是倾向于尽可能降低复杂度的设计。# B. l5 D+ C6 K+ n/ k' E3 [

! H: ~( {; m6 p% ~) T: X" M以太坊 2.0 的设计理念是，只将极少数必要功能整合到 Layer 1（最关键的共识层）上，其它复杂功能则放到上层堆栈上。 这也是为什么协议本身不涉及身份特征和隐私性的原因之一。想更深入了解这方面的话，推荐阅读 Vitalik 的《Layer 1 短期求创新，长期求保守》。+ }& K1 U- H: H, o
3 A) D9 N& M# @. m) H5 @( C3 m* a' u
###持久性
/ A, f. V; ], ]- I& c6 E; D1 I0 n5 M9 N9 v6 ?
选用的组件要能够抵抗量子计算，或是选用可替换型组件直到可用的抗量子计算组件出现。
# G* M3 D% x6 t/ G+ V- g
8 C) I! o2 y0 `-图片有裁剪，图源：Wikimedia-
) p' S% W: l/ Z, ]' V( ]0 {4 I. a1 C" t
如果未来出现了足够强大的量子计算机，当前所使用的密码学技术的安全性会被极大削弱，尤其是 BLS 和 ECDSA 数字签名。 没人知道这一天会在什么时候到来，不过要想区块链能多存活几十年，我们还是应该做好充分准备。/ |1 C5 y4 c5 F6 u& |% F  y
1 f, B. ?  u4 O& E% m! f
以太坊 2.0 设计中的有些技术，例如基于哈希计算的 RANDAO ，已经具备了抗量子计算的能力。 至于其他技术，如使用基于椭圆曲线的 BLS 签名聚合算法，对量子计算的抵抗力较弱。8 f+ ^4 @* W! U: b

8 A8 ]/ m) M# X8 k) [% |' K# ~另一个尚处于开发阶段的技术是 STARKs  ——可扩展的透明知识证明。基于零知识证明的 STARKs 被称为 ZK-STARKS（用来实现隐私保护），在无需验证具体细节的情况下就可以证明协议活动已经正确执行。
5 ~" n. M7 i0 \2 z! S, q
8 i& u0 I. o( o6 I. SSTARKs 虽然有很多炫酷的特性，但是其中最关键一点是“能够抵抗量子计算”。
6 N% Z/ S* _! u+ A# g/ b+ B% t3 t; J4 ~
尽管如此，我们还是不能掉以轻心。“能经过至少 10 年的检验才算可信，”这是应用密码学家的经验之谈。STARKs 属于新技术，依旧处于发展之中。关于 STARKs 安全性的研究才刚刚起步。
0 {! a! u+ H: Y! _: {: k! M- `' p7 C' Q5 {6 h' l; G! ?0 S
不过我们还有时间，当前最关键的是，要确保已知非抗量子计算的密码学机制未来可以轻易换成可抗量子计算的算法。具体来说，在以太坊 2.0 协议中， STARKs 可以取代数据可用性证明创建所涉及的部分技术，以及上文提到的签名聚合协议 。
1 L3 Q# x9 ^* O$ B/ X& K0 Q4 n! J0 Z$ |' V
###结语) R% N7 S+ Z7 a% `
4 I+ A# l$ s! ?: A7 v7 r2 N
去中心化、抗冲性、安全性、简易性和持久性——这些都是以太坊 2.0 的根本设计原则。它们构成了以太坊 2.0 的 DNA 。以太坊有自己独特的身份，是根据以太坊社区的愿景提炼而成，有了这些设计目标，以太坊 2.0 才能继往开来。 说它们是目标也好，原则也好，价值观也好，正是它们将以太坊 2.0 与其他区块链设计区别了开来。