/1/7 m$ O4 v7 B+ H; A9 m
算法发展史6 a! k, d; K" _8 K: A7 H) ]
共识算法可能是区块链挖矿行业最为重要的核心，其中又以PoW为主。Proof of Work简称为PoW（工作量证明），用于证明你在某时间内完成的工作量。! E( o6 L( ?1 P8 q9 F1 X
这一概念最早被Cynthia Dwork和Moni Naor于1992年写在如何处理打击垃圾邮件的论文上。
( y. \! c, u5 ^
7 H, e5 v% a) R7 Q5 e2008年之后，Peer-to-Peer技术、PoW和加密算法被应用于Bitcoin。, {# g% J# o2 f  p
Bitcoin采用的SHA-256算法属于SHA-2（Secure Hash Algorithm 2，安全散列算法2），由美国国家安全局研发。, g! @3 D7 Q! V6 V+ i
SHA-2安全吗？就目前来看是安全的，并且短期内哈希计算速度没有发生大幅度提升的趋势。, t5 a+ Q# C( X5 K9 c  A2 N
SHA-2的前身是SHA-1，目前想要破解一次SHA-1的成本大约在70万美元（可能更低）。破解需要进行的计算总量约为900万兆（9,223,372,036,854,775,808），5Ghz的CPU每秒计算速度约为20亿次。相当于使用CPU得花费150年才能破解SHA-1，足以说明破解难度之高。  g! x% ^& H8 s5 C6 a
SHA-2虽难以破解，但是其本身计算方式单一，只要加快哈希值计算便可以提高BTC开采的速度。ASIC矿机就是为了高效计算哈希值而生。
9 D3 d0 }$ Q5 a/ @7 z7 zASIC矿机的出现使社区产生了分歧，分歧点在于是否符合PoW这一理念以及对于每一个用户是否平等。
" w, h* g$ p  g' g( ?. H2 e9 Z# s8 V9 S2 B# ]2 g! i; g
目前多个主流加密数字货币分别采用不同的算法或者共识去反抗ASIC矿机的出现。主要分为两种方式，一是共识机制的改革，二是通过更改算法规则。
) x6 Y9 m  J- `6 I( @现行的共识机制下，公链上主要以PoW和PoS（Proof-of-Stake，股权证明）两种存在。. `8 }+ ^! L' I, H; g2 S- Q! @  t
二者皆有利弊，使用PoW便意味着消耗大量的能源去进行计算，并且理论上存在着算力攻击的风险，相对来说安全性较高；PoS缺少工作过程证明，也存在利益分配和贿选问题。而Ethereum试图采用PoW+PoS混合制的形式，就是为了改善现有共识来抵御ASIC的影响。其目前的状况是使用PoW共识，试图转至PoS，但没有推出一个完美的过渡机制（依旧使用PoW）。: M/ n" g0 y5 ^) b* n8 i
Ethereum使用了Ethash算法，前身为Dagger算法（Vitailk发明），其目的是为了抵制ASIC矿机。如何抵制ASIC矿机呢？通过将挖矿和内存带宽相捆绑，即降低其他硬件的运算优势，从而达到挖矿设备平等这一理念。* h8 |7 \7 }& B/ [: v6 m0 M/ y/ `$ ~6 u

4 c# d' a2 z: D7 r1 x; j2 dEthereum算力变化图2 D# G8 a" ~5 g
Ethash算法没有阻挡ASIC矿机的出现，只是拖延了出现的时间。# d+ w8 a- q' w7 e* k
绑定内存带宽意味着可以通过提高内存带宽速度来提高算力，或者在相同内存带宽速度下降低功耗，只不过目前内存带宽价格过高以及ETH价格过低，从成本上考虑，ASIC矿机相较GPU来得不够划算。5 f! j( Y  o/ N, N; F0 r
Litecoin使用的是密码学家兼程序员Colin Percival于2009年发表的论文Stronger Key Derivation via Sequential Memory-hard Functions上所发明的scrypt算法。原理和Ethash较为相似，都是提高挖矿时内存的使用成本，延缓ASIC矿机的出现。/ N! ?+ W. h) V" e4 Q' o! K

5 h0 T9 f- r! L3 j8 r2014年，Zeusminer研发出了专门针对scrypt算法的ASIC矿机。这也说明通过绑定某一硬件（如内存）从而抬高挖取的使用成本是没有办法完全杜绝ASIC矿机。2 `1 \3 m- U/ n7 g" t
除了以上的算法外，还有Dash使用的X11算法，Zcash使用的Equihash算法，Bytecoin使用的CryptoNote算法等等。
" o: q: s0 i7 y8 B算法的进化和变革的一个主要原因是抵制ASIC矿机的出现。
; R6 F+ r$ n$ J# O# u0 ]7 T/ uASIC矿机对整个生态存在的缺点如下：; k0 E3 Z! b: x* i* w" Q
1、容易变成寡头之间的算力游戏，有发生算力攻击的风险。# E! m1 i" Y" B+ D  Z- n
2、挖矿设备不平等，算力过于集中。（也有观点认为设备不平等是客观存在的，ASIC矿机的研发和使用都投入了人力物力，不应该过分抵制。）* e3 g8 c- d7 C7 \
3、消耗大量的资源，用途较为单一。
+ s$ x6 D* r+ J# `6 g$ a如果以Bitcoin为例，ASIC矿机并非全是缺点，反而支撑起了BTC的价格。
( w& s8 ]& T7 o4 D! a# |中本聪曾在回复用户的邮件中写道，“it would be left more and more to specialists with server farms of specialized hardware”。如ASIC一类的专门用于挖矿的硬件（specialized hardware）会在未来出现早已被中本聪考虑到了。5 _: j9 n9 i+ B8 X, W4 B
那么，那些为了抵制ASIC矿机的而设计发明出来的算法存在的意义呢？给予普通用户将过剩资源利用起来的入场券。# A! O( ]& _( C9 b  E
/2/
1 D% u' l7 U5 z: W! W' C目前为止， 适合个人参与挖掘的算法, @" v8 M( O6 D( T& d2 G/ C
/ m$ w6 w" [$ ~7 I4 m& ?
最近，Binance上一个新上的通证引起了大家的注意，尤其是采用的X16R算法。
0 p$ S, r. l7 n! ^9 P  zX16R算法是继X11、X13、X15、X17之后的一种变形算法。8 `) z) B! T% \
X11算法指的是将11种固定的哈希算法串联使用，从而增大ASIC矿机的研发成本。X13算法则是将13种固定的哈希算法串联。然而单纯增加算法的数量和种类也只是延长ASIC矿机出现的速度。8 ^9 L; f+ }: f
X16R算法则是不断打乱哈希算法的串联顺序，使得计算难度得到几何级的提升。1 ^8 M% Q) q, P7 y  L( w
X16R算法选择了X15算法中经过验证的15种，外加SHA-512算法（属于SHA-2，和SHA-256结构相同）。但是16种算法不是采用固定排列，而是基于前一个区块的哈希值进行动态变化。  [% M& D% |# G$ r% `
改变顺序和固定顺序之间的区别有多大？
6 Z1 p# W+ |* s. E使用ASIC矿机进行固定顺序的哈希算法可以使芯片利用率达到100%。ASIC矿机在乱序的哈希算法上，平均芯片利用率只有64.38%。" A. M7 a6 h( v- B+ D5 E; [! P
如X11算法，矿机研发企业只需要将11种哈希算法逐一研发对应的ASIC矿机，并进行固定顺序组合。如同车间一般，每一种哈希算法都由相应的ASIC矿机进行计算，往复循环。每个芯片都不会闲置，利用率可以达到满负荷。* V* p  H4 A6 U, j: J
X16R增加了两个不确定性：( h0 c# {' W7 c8 `" c- D% f
1、算法顺序的不确定性。3 f% v, M0 L# i. _8 J1 X3 w
2、算法出现频率的不确定性。( {# c" i; R& u
每个区块会进行16次运算，这16次运算会出现什么哈希算法是无法确定。
! U, I8 B8 r) v+ o3 x" o& d假设16次运算都是同一种算法，那么这样的概率是16/（16的16次方）=8.673617379884e-19+ k9 [/ |6 a) m2 i# {
假设16次运算出现了两种不同的算法，那么这样的概率为[16*15/2（从16种算法选两种）*2的16次方]/(16的16次方)=4.2632564145606e-13
/ @! N; P+ E2 o& z" z: K…% i; [* I! k8 I1 A: z
假设16次运算出现了16种算法，那么出现这种情况的概率为16！/（16的16次方）=1.1342267125514e-6  |2 P) r9 p2 H& W4 i, Z
通过加权平均计算，每个区块会涉及到10.3种函数。假设实现每种哈希计算的芯片面积相同，那么芯片利用率为10.3/16=64.38%。这也意味着即使使用ASIC矿机进行X16R计算将会造成至少35.62%的芯片浪费。
3 u# K/ E" a# z0 C: x+ {$ _' U/ s1 d5 h
X16R还有一特点，由于每种哈希计算所需要的时间是不相同会导致出块时间不相同。在长时间上来看，出块时间会由于各个哈希函数的搭配而被平均。
0 i% _5 q7 b5 CX16R具有如此多之前所不具备的特征，那么到底能不能防止ASIC矿机的产生呢？就现在来说，可以。
, n8 {0 G' C: h0 I什么情况下会产生专门针对X16R的ASIC矿机？
) v1 L' _4 W+ C8 o! W1、通证的价格足够高，有足够的利润吸引厂商去进行研发。3 \  X$ w: @6 |% Q5 }% [
2、新技术的产生，算力功耗比得到大幅度的提升，拉开和GPU的算力优势。
  P0 S9 |. p4 r不过，X16R目前能防止ASIC矿机却防不了FPGA矿机。当一个区块产生时，其哈希值的最后8个字节就确定了下一个区块所使用的哈希函数算法。FPGA矿机可以快速重新编程，为每一个哈希算法排好顺序，充分利用芯片资源，从而进行运算，但是其算力较为低下，和GPU相比优势不明显。, j% L" Z& q" S0 G" H, P
只要还有利可图、有人在乎设备平等，算法和ASIC矿机之间的较量就还会持续下去。9 Q# g* l" e- K+ B8 m! W% R
X16R绝对不会是最后一个阻挡ASIC矿机的算法。