本文解释了比特币PoW（Proof-of-Work,工作量证明）的关键要素，尤其对PoW来说不可或缺的一个特性，同时也表明关于PoW经常谈到的一些其他特性其实是次要作用，比如安全性，这些次要效应有用，但是非必要。6 c! ]8 k+ {8 W9 \
- g! Z7 ~4 G  n' g8 e
    要想理解本文，首先要懂得在区块链中，PoW是如何工作的一些有趣的属性，这些属性并不那么直观，甚至可以说相当反直觉，比如参与者如何在从来没有相互交流的情况下，共同地求解一个问题。3 V1 t: E3 f. m. Y  M
( L# b' e* b2 E6 R+ R7 W/ z
    当理解了这些属性，你应该能够得出一个结论：PoW的机制主要实现了一个分布式，去中心化的时间系统，即一个时钟。1 z; V3 c$ O( ]5 G6 ?
( L6 [6 ?% O, _5 [
    注意本文并非关注PoW算法本身的细节，而是探究区块链如何“严丝合缝”地将PoW运用其中。如果你还没听过PoW，请先阅读这里。
! a7 W4 H7 ~3 T2 P4 u6 |
2 K) F3 A6 @2 L  O3 _6 D4 n% X) M    分布式账本时间排序问题# Z) I" w, u; m* |
0 N7 i( x# Q  d) S0 I; \) J
    在讲解决方案之前，先来关注问题本身。很多PoW的相关资料都很令人费解，因为它们常常在没有阐明问题的情况下，就试图讲清楚解决方案。" Q/ V2 C" V% S

, Y7 z4 S; I7 a; E    毫无疑问，任何账本都需要有序。你不能发费还没有收到的钱，也不能花费已经花出去的钱。区块链交易（或者说包含交易的块）必须有序，无歧义，同时无需可信的第三方。9 p9 F" K7 q' \* F2 ^8 K
3 {& Y, ]) |) u5 E+ K5 b  Y
    即便区块链不是一个账本，而是就像日志一样的数据，对于所有节点来说，如果要想共同保有一份完全相同的区块链副本，有序也是必不可少的。交易顺序不同，就是不同的两条链。; H, j( _7 l$ v6 J/ n* e
6 D) C; S  A3 `3 U; w* R9 Q* }
    但是，如果交易是由全世界的匿名参与者生成，也没有中心化机构负责给交易排序，那又如何实现这一点呢？有人会说，交易（或者块）可以包含时间戳，但是这些时间戳又如何可信呢？
4 T7 @0 M& ?, s4 z' g
! N% |+ t* O% i9 B. h- V    时间是一个人类概念，时间的任何来源，比如一个原子时钟，就是一个“可信第三方”，除此之外，由于网络延迟和相对论效应，时钟的大部分时间都有轻微误差。很遗憾，在一个去中心化系统中，不可能通过时间戳来决定事件的先后顺序。
+ ~7 N# H2 Z" F. a* A3 B6 A
9 s/ B; y6 c' X4 z/ I    我们所关心的“时间”并不是所熟悉的年，月，日这种概念。我们需要的是这样一种机制，它可以用来确认一个事件在另一个事件之前发生，或者可能并发发生。
+ c; P& C1 S4 Q8 P' S( e0 Q. w" r) |+ v; D
    首先，为了建立之前与之后的概念，首先必须要建立一个时间点的概念。理论上来说，建立一个点时间的概念似乎并不太可能，因为没有技术能够足够精确地测量普朗克时间。但是你会看到，比特币通过创建属于自己的时间概念变相解决了这个问题，使得确立精确的时间点概念在事实上成为可能。" e& E2 v9 {. ?& u

+ }6 f* Y& \6 F' j    LeslieLamport1978年的论文“分布式系统中的时间，时钟和事件顺序”中对这个问题有了详细描述，但是除了“正确同步的物理时钟”，实际上并没有提供一个详细的解决方案。1982年Lamport同样描述了“拜占庭将军问题”，中本聪在他早期的一封邮件中解释了PoW如何解决了这个问题，比特币白皮书指出“为了在端到端的基础上实现一个分布式的时间戳服务器，我们将会使用一个工作量证明系统”，也表明了它主要解决了时间戳的问题。
$ T" C  X- S* `! _2 E3 V
/ J" V+ o) w" k$ u    时间是根本问题
( m& `# w& m2 c4 g8 a7 O( `4 A. j) {8 O# B* Q& t7 [$ O
    必须要强调的是，在分布式系统中，不可能将事件与时间点关联起来，这是一个尚不可解问题，直到中本聪找到了一个解决方案，才使得分布式账本成为可能。在区块链中还有很多其他的技术细节，但是时间是最基础也是最重要的。没有时间，就没有区块链。
9 ]. m- Z4 q, Z4 r/ W% }
% ~" b9 r" t- p4 P% I: z+ ~! K; A  u    PoW回顾
; x4 U% ?' W4 l/ ~7 v$ y& J/ N/ S* \+ r0 o6 O0 k
    简而言之，比特币的PoW就是SHA-2哈希满足特定的条件的一个解，这个解很难找到。通过要求哈希满足一个特定的数字，就确定了一个难度（difficulty），难度的值越小，满足输入的数字越少，找到解的难度就越大。& n  b1 g# |& J; O. ^" B6 e/ B
' h) Y& x/ y# `1 H; w! `) f% i
    这就是所谓的“工作量证明”，因为满足哈希要求的解非常稀少，这意味着找到这样一个解需要很多试错，也就是，“工作（work）”。而工作也就是意味着时间。# {, l" I( m/ z9 H8 p+ f
8 S+ q9 t# p! w& k# l5 M4 W3 c
    块间无变化
) N) g% a0 c! w7 T/ i7 Z
3 s4 V2 X% Z+ |7 C2 X9 f    链的状态由块所反映，每个新的块产生一个新的状态。区块链的状态每次向前推动一个块，平均每个块10分钟，是区块链里面最小的时间度量单位。: G- Q: S: m* V+ H
" v7 k6 E$ `) f2 N. k; ?" L
    SHA无记忆，无进展, d+ o( D+ p4 [2 H5 y

3 F, G4 h/ `* j# ~& e    SHA(SecureHashAlgorithm)在统计学和概率上以无记忆性（memoryless）闻名。对于我们人类而言，无记忆性有点反直觉。所谓无记忆性，就是无论之前发生了什么，都不影响这一次事件发生的概率。
; s5 k& q9 D4 f
2 z& p- f# p) W8 @    关于无记忆性，最好的例子就是抛硬币。如果一个硬币连续10次都是正面，那么下一次是反面的可能性会不会更大呢？我们的直觉是会，但是实际上，无论上一次的结果是什么，每次抛硬币正反面都是一半一半的概率。. ]8 r/ t$ J: r  }
, H+ u  `; l* c1 e- I- o8 B- x
    而对于需要无进展（progress-free）的问题，无记忆性又是必要条件。progress-free意味着当矿工试图通过对nonces进行迭代解决难题时，每一次尝试都是一个独立事件，无论之前已经算过了多少次，每次尝试找到答案的概率是固定的。换句话来说，每次尝试，参与者都不会离“答案”越近，或者说有任何进展（progress）。就下一次尝试而言，一个已经算了一年的矿工，与上一秒刚开始算的矿工，算出来的概率是一样的。
" o7 u$ P* G5 d  a) @5 S6 Z3 I
! W% y3 u/ P. T    在指定时间内，给定一个难度，找到答案的概率唯一地由所有参与者能够迭代哈希的速度决定。与之前的历史无关，与数据无关，只跟算力有关。
5 c! V- J) h0 \% O. u6 l  I/ s* Q8 o: V
    因此，算力是一个与参与者数量，和那些用来计算哈希设备的速度相关的函数。5 X' H# @; Y1 W3 _) i! C
2 T) @$ v2 `! @% O! z
    SHA与输入无关) Y# ]1 A  P- @* n! Y, X  \

8 k. y- V' g; [% f0 c. t* {. a    在比特币中，输入的是区块头。但是如果给它随机传入一些值，找到一个合适哈希的概率仍然是一样的。无论输入是一个有效的块头，还是/dev/random中随机的一些字节，都要花费平均10分钟来找到一个解。2 r: U5 {9 v8 Q3 j( Z& G0 S  j/ n
; n% O4 J, W! z8 h8 z
    如果你找到了一个合适的哈希，但是输入却不是一个有效的块头，虽然无法将块上链，但是它仍然是一个工作量证明（即使没啥用）。# ?  P$ e# ]& ~9 l7 K& l. {+ E$ R* Z

0 \- n, ]: Z9 Q8 J5 s. x    难度属于银河系! m8 S7 t2 H( |0 J( t0 L/ O
- c- Y0 ?/ ^. I& Y
    令人惊奇的是，难度是universe（全宇宙，或者说通用的），也就是说它充满了整个宇宙，无处不在。火星上的矿工也同样能参与挖矿，但是他们不需要感知到地球矿工的存在，也不需要与地球上的矿工有交流，仍然是每10分钟就会解决一个“难题”。（好吧，当他们解出难题时，需要告诉地球上的矿工，否则我们永远也不知道）。; o" E+ u* _$ P4 e
* f; U' N+ p: c& i  _" @. y
    了不起的是，远距离参与者不需要通过真正的相互交流进行沟通，因为他们在共同地求解同一个统计学问题，并且他们甚至互相感知不到对方的存在。1 w2 ]" ?1 K/ v$ m& J( L
4 Y9 T  e. \" e, u' c  V! f
    “通用属性（universalproperty）”一开始看起来很神奇，实际上很容易解释。我用了“通用”一词，因为就这一个词即可表达到位，但是它实际指的是“所有参与者都知道（这个难度）”。
) F* T) D1 _2 W. z# O" X# j
8 H& Z% Y" F1 n( T3 f    SHA-256的输入可以是0到2的256方之间的任何一个整数（因为输出是32字节，也就是在0到2^256，任何超过该范围的数将会导致冲突，也就是多余）。即使这个集合已经非常大了（比已知宇宙里所有原子总数都大），不过每个参与者都知道这个集合，并且只能从这个集合里选取一个数。/ f' h, s' G7 \7 T( `

  r; I+ s, @' M0 N3 `    如果输入的集合全世界都知道，SHA-256全世界都知道，难度要求也是全世界都知道了，那么找到一个解的概率自然也就是“全世界都知道（universe）”。+ J; R- e) i. U8 m+ D/ ?

, O( E( m& W1 [5 f    计算SHA即参与
( P4 `1 a2 F5 H
' [  ^4 d, r9 B6 \% \0 m+ @. y    如果所述问题是找到一个合适的哈希，那么要想解出这个问题，只需要去试一次，但是，哪怕就试一次，你就已经影响了整个算力。就这次尝试而言，你就已经成为了一个帮助其他人解决问题的参与者。虽然你不需要告诉其他人你“做了”（除非你找到了答案），其他人也不需要知道，但是想要找到解的这次尝试真真切切地影响到了结果。对于全宇宙而言，也是如此。
, Q) o/ l6 O  t+ T8 ], ?" y2 A* }
! G5 O6 A) Q3 R9 y$ r% ^2 D    如果上面这段话看起来仍然不是那么令人信服，一个很好的类比就是寻找大素数问题。找到最大的素数很难，并且一旦找到，它就是“被发现”或者“已知的”。有无数的素数，但是在全宇宙中，每个数只有一个实例。因此无论是谁试图找到最大素数，就是在解同一个问题，而不是这个问题另一个单独的实例。你不需要告诉其他人你已经打算寻找最大素数，你只需要在找到时通知其他人。如果从来没有人寻找最大素数，那么它永远也不会被找到。因此，只要参与（也就是试图找到素数），即使它正在秘密进行，仍会影响结果，只要公布最后的发现（如果找到）。
; u0 Z4 l. c# }  R* K/ ?5 V/ l9 ~& V6 a% {' P; q. ^7 I  K! Y
    这就是中本聪设计的精妙之处，他利用了这个令人难以置信的统计学现象，即任何参与都会影响结果，即使秘密进行，即使尚未成功。
0 A4 H; R2 R- B& h5 k8 p, n, K3 `7 b$ [. M" c8 a- a
    值得注意的是，因为SHA是progress-free，每一次尝试都可以被认为是一个参与者加入其中，然后立即退出。因此可以这么理解，矿工们来了又走，每秒无数次轮回。! I! b3 w* t/ d( \2 O" ^5 Y
3 f4 g5 ]/ m/ O5 I6 O
    参与度由统计学揭示
. k9 X" ^1 G, t  S  o4 }9 _6 E! v. Z* I0 [3 Q% H0 y% q; z  |
    这个神奇的秘密参与（secretparticipation）属性反过来也成立。很多网站上显示的全球算力，并非是由每个矿工在某个“矿工注册办公室”注册，并定期汇报他们的算力而来。并不存在这种事情。
0 Y+ h: F. |; o. s' k2 E& z! ~/ T: e! ]1 e, y
    因为对于在10分钟找到一个指定难度的解，所需算力是已知的，一个人平均必须尝试这么多次（截止成文之时大概10^21）才能找到答案，无论这个人是谁，他在哪儿。0 N2 c" i- u! |! r* A0 r6 F
4 W5 H, W6 ?0 B( |) {
    我们不知道这些参与者是谁，他们也从来都不会说我正在参与其中，没有找到解的人（实际上他们都是）从来不会告诉其他人他们正在进行计算，他们可能在世界上任何一个地方，但是我们肯定他们必然存在。因为生活还要继续，问题（找到满足条件的哈希）始终还是要被解决。
2 ?1 o& y5 I: y9 E8 m  Z' j# c0 x) m; P1 t- W4 e
    工作（work）是一个时钟（clock）
( o/ M/ F$ a' Q% r2 e% E/ {+ }  O' S
9 D. H/ I9 O& t; K5 _+ t    关键之处在于：找到满足条件的哈希的难度，就类似于一个时钟的角色。一个宇宙（universe）时钟，因为全宇宙只有一个这样的时钟，不需要同步，任何人都能“看”到这个时钟。
" P! ?+ V; i+ P5 }+ e( m5 o4 m/ W% X" F0 \6 [
    即使这个时钟不精确也没关系。重要的是，对所有人来说，它都是同一个时钟，链的状态与这个时钟的滴答（tick）无歧义地绑定到一起。& [! H  y4 [- L  T; S) K

( ?  }. v5 L5 A2 f1 F8 I    这个时钟由遍布地球上的未知数量的参与者共同操作，参与者相互之间完全独立。
1 x& a) t" q; Q, I6 U$ s
& j! A# d5 j; L1 w; ~    谜题的最后一部分
5 R% e, r" n$ o
* i4 H, U) X9 i$ `& u# ~    解决方案必须是块哈希（准确来说，是块头）。上面已经提到，对于SHA来说，输入的内容并不重要，但是如果它是真实的块，那么无论何时找到一个解，它都发生在PoW这个时钟的滴答处。没有早一点，没有晚一点，而是恰好在这个点。我们知道这是毫无歧义的，因为块是整个机制的一部分。
1 S" G# c, r3 |
9 a' Q; X$ T& x% ]  v0 Q( \; N    换句话来说，如果块不是SHA256函数的输入，我们仍然有一个分布式时钟，但是我们无法将块绑定到这个时钟的滴答上。将块作为输入就解决了这个问题。1 i3 j5 i  C; g
8 Q# p& g0 a% Y# {
    值得注意的是，我们的PoW时钟只提供了滴答。但是我们没办法从滴答中分出顺序，于是就引入了哈希链（hashchain）。- g5 m" ~7 O/ w: d# Q8 ^9 H

" ]* R, B1 {/ c' ^" T3 Z    分布式共识3 m* x8 k" F1 \, o1 ?% B

% g2 c" U) Q0 g* f9 Q: ~3 {    共识（consensus）意味着意见一致（agreement）。所有参与者别无选择，只能同意“时钟已然滴答”。并且每个人都知道滴答和附加的数据。正如中本聪在邮件里面所解释的，这确实解决了拜占庭将军问题，。
9 ^# _9 q" f+ L7 l
/ s& }9 K$ m$ N9 ]) B2 D    在一个罕见却又常见的情况下，会出现共识分离，有两个连续的滴答与一个块有关联，这就发生了冲突。通过哪个块与下一个滴答相关联解决了这个冲突，同时将有争议的块变为“孤儿块（orphan）”。链如何继续是个概率问题（amatterofchance），这也可能间接地归因于PoW的时钟。
9 L2 A- t/ m( `+ T3 d( U; e+ J/ T, C+ ?. Z! q* I; i* f
    就这样. E' Q! r& R- C% E
% J7 M5 K: L7 \
    这就是区块链的PoW（工作量证明）。它并不是一个为了让矿工赢得出块权的“乐透”，也不是为了将实际能源转换成一个有价值的概念，这些都偏离了本质。
- o! ]8 q* i; N* K
4 I' r: T- O6 d7 ]; u) Z0 G    比如矿工奖励的角度来看，虽然这些奖励激励了矿工参与，但是这并不是区块链诞生的必要因素。块哈希形成一条链，但是这与工作量并没什么关系，它是从密码学上强制保证了块的顺序。哈希链使得前一个滴答“更确定”，“更加不可抵赖”，或者简单来说，更安全。+ R! M: B# \/ D+ P
* t3 A) l4 N3 A( R8 x+ n3 X2 ^
    PoW也能使块不可更改，这是一种好的副作用，也使得隔离见证（SegregatedWitness）成为可能，但是隔离见证也能通过保留签名（见证,witness）实现，所以这也是次要的。1 V- y6 C# @, Q( f8 Z4 E

. U7 w% h8 @# h; M    结论) k2 q. p( d( q. ^2 M) `

+ T* T) v3 ?6 w* q+ O    比特被的PoW只是一个分布式，去中心化的时钟。
/ o+ J! E, K1 ?) v/ E+ i$ U& _; i) U: o/ n! B2 A8 B. \8 w
    如果你理解了这个解释，那么你应该能够更好地理解PoW与PoS的异同。显然，两者不具有可比性：PoS是有关于（随机分布的）权力（authority），而PoW是一个时钟。
0 Y) w* b& T* o$ R. I. |) u4 G0 o% x( P+ G
    在区块链的背景下，PoW这个名字可能是个误用，起的并不太好。这个词来源于Hashcash项目，它确实用于证实工作（work）。在区块链中，它主要关于可验证的花费时间。当一个人发现满足难度的哈希时，我们知道它必然会花费一些时间。实现时间延迟的方法就是“工作”，而哈希就是这段时间的证明。
. M" H7 C" f4 ]( f! j
5 c: D+ T8 ^  g0 a& F    PoW是关于time而非work的事实也表明，可能存在一些其他的统计学问题，这些问题同样消耗时间，但却需要更少的能源。这也可能意味着比特币算力有些“过分”，因为我们在上面所描述的比特币时钟，在只有部分算力的情况下，也是可信的，这是这种激励结构推动了能源消耗。
) d; A/ a+ U9 ]" d, ?; u9 A9 Q) X/ W5 A; b: X: K" a
    如果你找到了一个方法能够同步滴答，并且需要更少的工作，这是一个价值万亿美元的问题，请一定要告诉我！
9 Q- Q" j$ i7 @/ Y" f- l+ _; j' i9 T5 e7 r0 U* f* T
    P.S.特别感谢UChicagoStatistics的SashaTrubetskoy对上述文字的review和建议。