关于Libra项目，市场上并不缺少深入的分析，包括长期和短期理论，媒体的报道也五花八门。然而，这些分析当中，很多都集中在项目的愿景（与Facebook的业绩相比），或者是针对Libra白皮书本身的研究。而对于Libra源代码中隐藏的内容，却鲜有人提起。本报告旨在通过窥视Libra项目的代码库，了解其代码是否反映了Facebook提出的逐步实现“去中心化”Libra项目的意图。# N+ s2 G3 y5 @) b: ?" A/ u5 n4 C （注：原文作者是TD Research研究合伙人Raul Jordan，本文为译文）' [. s+ s* ]- R1 D. u5 Q+ B" k) R2 f 基础知识 t* {/ u1 y1 ZLibra项目是由一个大型团队以完全中心化的方式构建的，这个团队可能拥有“无限”的预算，使用Facebook最高的开发和项目管理标准。因此，Facebook的工程师们，从一张白纸开始，花了大量时间了解其他密码货币项目的发展前景，以及它们的权衡和设计决策。1 Q* f7 D2 { ~8 p 他们的任务不是“我们如何构建Libra”，而是“什么是一流的技术，例如P2P网络包、编程语言和RPC通信库，Facebook应该使用这些技术构建Libra，即使是牺牲了去中心化”。 3 ^' o0 [" ~% B0 S6 ]1 o与以太坊最大处理400万个验证者不同，Libra不需要在这个约束下运行。因此，Libra的代码必须设计成更像一个性能良好的服务器，而不是一个完全去中心化、拜占庭式的容错系统。为了填补这些空白，Libra还可以自由地开发其名为"Move"的智能合约编程语言，并构建自己的内部软件和工具来完成这项工作。4 R1 h6 X6 j. K 为什么这些决定很重要？ 5 ? {% v* m- c; C _ o/ X! P这些决策很重要，它们与其他密码货币项目的软件治理思想形成了鲜明对比。Facebook不需要一个社区或一组核心开发人员的共识来决定将什么技术融入到Libra中。Facebook在构建Libra时不需要在不相关的团队之间构建多客户端网络或一致性测试来构建相同的协议。如果Libra 项目经理达成共识，即必须实施某项功能，必须使用某些技术，他们肯定会让自己的工程师来建造。# J ]6 J: V/ x: E9 h! [ 而其他的密码货币项目则是在不同的约束下运行的，新一代的密码货币需要进行ICO，或进行种子轮融资，又或者仅仅是让社区自愿为项目进行贡献，而后者正遭受着公地悲剧的困扰。如果一个项目确实成功地通过了融资挑战，那么它现在必须迎合公共/私人投资者的群体，通过其网络，获得挖矿者/验证者群体的一部分，并在短时间内发布一个产品。对于已被构建为无需许可模型的项目，它们在进行软件改进时，通常会遇到协调困难问题，通常这需要不相关团队之间的很多讨论和协调来实现变更请求（RFC）。诚然，这种协调困难受益于无许可创新，任何工程师都可通过正确的论点和理由建议对协议进行改进，然后获得支持，并通过社区的共识将其纳入未来的硬分叉。如果Facebook真的决定走这条路，而Libra项目背后有一个更大的社区，它可能会面临其他密码项目所遇到的同样的治理难题。, A- J5 |9 D- H: H5 N2 \; B0 n6 X 考虑到协议的无许可改进承诺，包含基于优点和共识的特性，那为何一些一流的技术并没有被那些密码货币项目所采用呢？主要原因在于去中心化的项目，想要实现共识是非常困难的。一旦很多团队实现了一个协议，就很难创建让每个人都满意的结果，从而导致更多的治理痛苦。例如，在Go语言中实现和标准化通用序列化库，可能要比在Rust等可访问通用类型的语言中要困难得多。 * ~3 d2 V) N- F% C考虑到Facebook只需维护一个客户端，并且已研究了一段时间的协议，它可以根据自己的协议设计，结合任意多的实现决策。结论是，以有效的方式构建真正去中心化的项目是非常困难的。与其他密码货币相比，不受此约束的Facebook，在为产品发布强大的代码库方面可能会占据优势。* i- H2 c5 c, G" E3 G, v 验证者 vs 公共节点运行者- ]& B% L1 N2 s3 { Libra协会的网站上提到：( ^. c- V F# i- r “协会的一项任务是与社区合作，随时间的推移，使网络逐渐过渡到无许可模式。” : z7 n" h. m' `9 G尽管这绝对应该是Libra项目的目标，但我们还是花时间去深入了解它的代码库，看看它的基础是否是为这个转换而建立，或者这是否需要从当前的实现中大幅度地脱离出来。 ; M, Y0 z& F& q/ _, \1 o( z+ f' o- [而第二件事，也许也是让我们对第一件事有最深入了解的一件事，就是特权验证者对网络的能见度，是否与普通节点用户的能见度不同。其中最关键的一点是，任何用户（不仅仅是特权验证者）是否能够自由下载和复制账本的整个状态，以独立地验证交易（译者注：这也是去中心化区块链全节点的功能）。7 K" c* ~0 c0 l 关于源代码之外的主题，我们能找到的最全面的信息是Libra的官方文档，它提供了该项目的鸟瞰图，以及关于如何运行和连接到运行中的测试网的说明。目前，Libra为用户提供了两个选项： . Y5 B: b: t2 c/ S- s: D5 N3 C（1）运行连接至测试网验证者的本地客户端； + ~/ Z' g0 i# g6 w1 t（2）运行一条本地链上的本地验证者节点； 3 A! w! ^+ I. v- M' ^$ c对于选项（1），运行连接至验证者的本地客户端，Libra允许我们访问一个 CLI（命令行界面），它允许我们创建新账户、转移币，以及查看与测试网上帐户对应的状态/交易（或译为事务）信息。 + U: D5 D* L. b: `也就是说，作为一名用户，我只能查询来自验证者的有限交易/状态信息，但是没有查看完整状态信息或新交易提交到账本的选项。# G: M* g8 ]' k $ B p' e7 ?5 }6 m( e( D libra% query txn_acc_seq 0 0 true/ [( |: ?2 I" {3 F >> Getting committed transaction by account and sequence number, T* U" D, m$ N7 C7 N Committed transaction: SignedTransaction {& f. o" g0 r' i ?* ?( ^4 Y! | { raw_txn: RawTransaction {- r( t( W+ s# Z3 N6 z- N sender: 3ed8e5fafae4147b2a105a0be2f81972883441cfaaadf93fc0868e7a0253c4a8, 6 e, T, D: F( vsequence_number: 0,! ]; j* ^; O. f; i payload: {, $ H+ H4 f u' \4 Y0 s' \transaction: peer_to_peer_transaction,0 ~+ L& N( X7 K& f5 a% x. C* H args: [1 w& V$ @ ]( h {ADDRESS: 8337aac709a41fe6be03cad8878a0d4209740b1608f8a81566c9a7d4b95a2ec7}, , O/ a" Q9 V1 p* C0 i: l/ s{U64: 10000000}, 8 P, z' G2 x) D# V' q6 q; O! ]]4 A( Q' y2 X4 C( \) n9 |& f4 D3 g }, * K* S. [# s9 m2 x% x: @尽管上面的CLI 告诉我们，这可能只是软件故意模糊化了可能存在的常规用户的信息。也就是说，在网络中读取每笔交易（或事务）的功能可能存在，但可能是被CLI工具隐藏了。也许可通过分叉项目并修改其代码，以使我们能够读取账本本身？我的本地客户端是否可以和测试网完全同步？让我们看看： ' A: m. I4 I! O& Y D + V4 y0 F, ^) l- ]1 H* a/ flibra% h3 ^# H, H+ Z J/ M! R0 D Connected to validator at: ac.testnet.libra.org:8000; G, G. p' C4 j5 k/ u usage: \ \ j5 L- M& ?: i8 V; u: G' @+ hUse the following commands:7 H, t7 d$ P3 b- Z, S% ] account | a" u' a) A ]0 Q& U- e6 Q Account operations ; P: {/ H( _: Y- lquery | q 1 h4 [% u! c9 |. kQuery operations Z7 M# P7 s3 Wtransfer | transferb | t | tb9 ?" D# N8 i9 N Suffix 'b' is for blocking.9 _: R+ W( Z6 o- L' C6 v4 k Transfer coins (in libra) from account to another. ( ?! q1 v6 d; esubmit | submitb | s | sb- K. \* A0 p. h1 a6 m \|\ \ Suffix 'b' is for blocking.- t2 |! D/ p& x; g) s9 I Load a RawTransaction from file and submit to the network # X7 j2 j3 Q. z ]) D* N! v( ^help | h 4 k2 o2 p6 w* @6 r5 xPrints this help + _! p, y' t! q3 C$ ?: r, j6 aquit | q!* d7 s/ i$ q5 E/ q. n$ X* F! ` Exit this client1 f8 y/ t( u# H+ w- t 如果我们想从网络中查询事件，我们唯一能访问的信息是： S3 U, [9 d6 d2 A/ slibra% q / ^# W2 O- m' q/ |usage: q , q2 R1 s! ]& H; GUse the following args for this command:3 h7 U4 R. z$ V) b balance | b | 0 @" W) s( ^. A9 SGet the current balance of an account ' X% s4 q! v3 s$ \4 nsequence | s |2 H( C: J) G& [% r7 r4 o Get the current sequence number for an account / f0 R) O. f3 G; v% eaccount_state | as |* J/ z7 B$ ^' D! S |9 g) _& q Get the latest state for an account 1 @6 ]8 c: E) }8 K$ m9 Otxn_acc_seq | ts | 6 Y; E2 @* v+ j! @; F6 } ZGet the committed transaction by account and sequence number. $ Z! d( b7 Z% Z6 [. }txn_range | tr Get the committed transactions by version range. 9 n3 R& w s0 Sevent | ev |+ _% @" d. x2 A: Y- c& D Get events by account and event type (sent|received).' m) K8 t- d5 }$ @8 T 因此，在检查了可使用这个CLI工具执行的多个命令后，我们发现该工具只能执行帐户创建、传输和查询验证者节点以获取特定信息的功能。可执行的查询信息，如余额、状态、提交的交易（事务）和交易（事务）类型。 1 ` g. C! U6 ?* S当我们连接到测试网时，我们的节点并没有同步。相反，它将RPC请求发送到ac.testnet.libra.org上的一个远程节点，该节点会返回信息，其要求我们完全信任接收到的数据，而不需要进行独立验证。目前，使用Libra CLI的用户只能查看这些内容。 9 P6 m0 p: q' Y" Y- h9 d* z运行一个本地验证器 ' k6 ?/ c* j+ n# p' V" {! n" VLibra指定交易（事务）的生命周期，将其封装在验证器runtime，而客户端只是作为单个入口点工作。% m' j" ~% k' G' {0 x + U# [! O# Z5 s$ Y来源：https://developers.libra.org/docs/life-of-a-transaction * y0 N1 F r4 I, n/ aLibra节点连接到一组可信共识对等节点，这些对等节点可依据公钥进行验证。目前，没有已知的方法可以生成一个可与其他在线测试网验证者对等的节点，这是因为trusted_peers配置选项当前为空。5 q2 s9 f( p X2 D6 Y9 g7 W7 t/ T Libra公开的唯一端点（endpoint）是facebook拥有的公共访问控制RPC url，它可能在某些云基础设施上运行负载均衡器。虽然在下载状态/区块信息方面似乎没有访问控制，但有一些机制可根据配置选项在网络层验证共识对等节点。目前还不清楚在Libra主网发布时，其是否会模糊化对等节点的ID和IP地址，并且经身份验证的验证者，可以很容易地阻止生产中未经身份验证的对等节点。目前也不清楚验证者是否会被激励分享他们的账本信息，因为他们为上面提到的特权支付了大量资源。& u2 u7 ~0 }7 v! R4 w Libra的术语经常将网络对等节点称为“验证者”，这进一步推动了仅运行RPC客户端的用户概念。% w! Y- K1 p. F; ~% G 4 r' h. n: C/ ~3 [% J z3 e pub fn gen_genesis_transaction>( 4 |( p7 Z( S! E' T9 {+ Fpath: P,+ r2 z n0 ?$ V# S; T# D: U faucet_account_keypair: &KeyPair,! |2 h$ `' }; z. h! b! C3 I3 f trusted_peer_config: &TrustedPeersConfig,. d# t* W1 U/ l. Y ) -> Result<()> {, v. F2 C: c8 _' Z% a! N# J& a let validator_set = trusted_peer_config / W4 R% M! C6 U+ w5 P2 o.peers4 d" M& [. C# e5 C: q .iter() 3 }+ \# [: J0 C$ ].map(|(peer_id, peer)| { ( `' t6 f# M t" s9 {ValidatorPublicKeys::new( + H1 [( }1 J; r6 O# A/ w) |/ H3 W; `# nAccountAddress::try_from(peer_id.clone()).expect("[config] invalid peer_id"),# Z8 b% O! ^! @) _ peer.get_consensus_public(),* s; b: u, ?1 ], G l peer.get_network_signing_public(), ( P7 ~. y( j6 m2 Q5 p/ h* Jpeer.get_network_identity_public(), 8 l; a* d8 Q- d3 e). ?% l- d' p/ A$ i/ _6 s })9 d: c& a# ~5 k- w Source: libra/config/config_builder/src/util.rs: N9 P: D7 r; h2 N* }3 p 以及9 B* `/ `. H* l ; E( K1 S q& O9 {% c/// Returns the key that establishes a validator's identity in the p2p network 0 U. U9 K! P b: ?9 G3 Apub fn network_identity_public_key(&self) -> &X25519PublicKey {; m% d1 G; [/ ?: x& Z- S- q w Q3 E/ {9 n &self.network_identity_public_key2 ^$ N1 ?$ m: |; O }" J% q: y U- y( V/ ? 来源：libra/types/src/validator_public_keys.rs: k5 j& k: A1 C( E 上面的validator_set 是从可信的p2p对等节点列表中构建的，这意味着一个网络和身份签名公钥可用于网络级别的访问控制。这意味着只有经身份验证的验证者，才可能被网络中的其他验证者视为受信任的对等节点。0 o9 `; {2 J6 w 结论 ! q1 W5 u3 y4 ]! ~) t* H' I6 l- T综上所述，研究表明对于Libra区块链而言，普通用户和验证者拥有不同的读取权限，前者目前无法访问有关完整账本的信息。因此，普通用户不能完全复制Libra状态机，因为他们的客户端更多地是充当连接至实际运行网络的验证者节点的sidecar。我们不知道当Libra正式上线后是否还是这样的情况，或者这就是Libra项目仍在考虑的选择结果。此外，Libra的源代码经常将全节点命名为验证者，这添加了Facebook可能认定这种方向的进一步证据。一旦Libra网络以这种方式投入生产，对于每个支付了1000万美元的特权节点而言，他们也就没有什么动力允许未经身份验证的对等方，对账本和状态数据进行访问控制。