摘要：在本白皮书中，我们讨论了一种全新的加密货币共识机制，它与自身附加的工作区块链一样安全（在这种情况下：比特币），但不需要计算能力和计算能力浪费了。这个系统被称为延迟工作证明（dPoW），它通过公证区块链上初始区块链中创建的区块进行公证，确保一旦信息刻在比特币区块链上，就需要对两个区块链进行妥协。
7 ?* E  H2 E# z( r  p
8 |' ^7 p1 w2 m, i. r; W% Z' ^##介绍
% B* M0 }3 }/ a4 P) S
1 J# G- B( U8 p+ _9 G+ R; A2008年，Satoshi Nakamoto发布了介绍比特币的白皮书，这是第一种同行不信任的加密货币形式，这种系统依靠工作证明来铸造新硬币并保持自己。在PoW中，贡献是通过计算能力加权的，而不是每个参与方的一个门限签名贡献，这允许匿名成员资格而没有Sybil攻击的风险。
9 U) K3 Q# l4 }# M+ i+ L3 V" \; ]- ]% K
比特币侧重于从A点到B点的价值转移，但自比特币开始以来，数百种新的加密货币已经浮出水面。一些人专注于通过更快，更便宜或匿名的交易来改善该系统，而另一些则使用区块链来创建全新的系统或应用程序。这些加密货币（不包括克隆的克隆）通常用于特定目的或功能。% L4 T8 G5 D" g4 g4 p

7 v' l% z7 ~" w! O2 ]0 }- J多年来已经创建了许多类型的共识系统，但尽管比比特币更有效，但与比特币的安全性相比，它们通常比较苍白，因此不适合用于高价值交易。今天，成千上万的节点确保比特币网络安全，每天使用超过50万美元来保护一个单一的加密货币。那么问题就出现了，我们如何才能使整个系统更高效？, T. M  J5 _/ {  \: J; e
# H* d5 E( J2 h( B5 ]% S6 G
对于其他加密货币变得像比特币一样安全，他们将不得不通过大哈希功率来保护他们的网络。然而，这在经济上是不可能的，并且会使整个系统的能效更低。解决方法是让其他加密货币利用比特币的散列能力。
+ X# Z/ z) a+ \* O
4 D4 v* g4 \( Z: O- B# W+ h" S  W延迟工作证明是一种解决方案，它将多种现有方法用于单个混合共识系统，同时与PoS一样节能，同时由比特币PoW保护。因此，dPoW允许甚至最弱的区块链受益于比特币的hashrate，这反过来使得比特币的用电环境更加环保，因为它除了保护dPoW的整个生态系统外，还能保护它们。
* q4 X3 ^$ f' j5 x# q  b4 @: m, w# d! v7 N" I) F% ]0 j
##初步共识方法
6 y. ?) i& g8 x1 Y* `( d7 d
  Z' a8 G2 `2 Z9 S; J最初的共识方法可以是任何事情，并且可以在其基础上建立延迟的工作证明共识。因此，dPoW区块链的核心可以是股权证明（PoS）或工作证明（PoW）。此外，dPoW共识方法可以附加到任何PoW区块链上，但由于比特币具有最高的哈希率，因此这是一个明显的选择。! ?4 j4 D0 m5 D# y) Q1 g
/ e" Z, Z& n, g8 ^: O
无论最初的共识方法是什么，其他加密货币都可以使用dPoW区块链来保护他们的网络。由于dPoW区块链由比特币哈希值保护，因此附加到dPoW区块链的其他加密货币由比特币的哈希值保护。换句话说，硬币X会将dPoW交易发送到dPoW区块链，而dPoW区块链会将交易发送到比特币区块链。7 {0 \! q4 e: L' f- H4 u
$ R5 T0 i5 m0 Z, l4 X# }3 Z2 d6 ~/ [, Y
每个加密货币都能够将自己直接附加到比特币区块链，但由于交易费差异，预计其他区块链更愿意使用已经运行的dPoW系统。
1 H6 Z6 i0 v2 ^1 ^
9 V- U; @. B6 n: x! }- y6 y##公证节点
* z! }1 _' f5 p* ^- {/ |5 v0 v; f* G: J; P3 v
需要公证节点将数据记录到比特币区块链。因此，dPoW一致方法将以两个不同的节点结束：公证节点和其他“正常节点”。必须选择公证节点，因为任何人都可以运行普通节点。
2 y! \  l, c( S5 V3 j) d1 Y# f0 L5 g# `3 Z/ V. f, P
为了创建整个区块链将依赖的任何数据，必须防止Sybil攻击。此外，与较大但随机的对等集合相比，使用较小的高性能节点集可以实现更高的可靠性和一致性。从Bitshares / Steemit我们了解到授权的PoS系统，其中PoS股权用于投票见证节点，然后用特权节点创建块。这种类型的模型很好地服务于延迟的工作证明需要依赖的一组节点，它们被称为公证节点。, @9 ]; T/ E) A' W

1 ?2 t5 w4 Z: a% j1 e公证节点由利益相关者选出，因为这些公证节点将获得块奖励，所以预期利益相关者的经济利益是投票给他们控制或至少适应的公证节点。从纯粹主义的角度来看，这个系统并没有完全分散，但是有64个公证节点可以通过赌注和大规模分配进行选举，预计它将具有非常好的代表性，这将使任何类型的51％攻击极不可能。
( H4 _3 y3 C% K6 _! g$ o' q# [, D+ b0 K9 W
我们最终得到了一组64个公证节点，负责公证比特币区块链上的dPoW区块链的区块。公证节点和投票支持公证节点的利益相关方都有强烈的经济动机，诚实行事并真正投票。
2 `& S( Y0 S8 X& c( p" w. N( ~8 l$ F: |" m
##优雅的退化# B5 Q1 v  s. i  d% A$ a

9 y0 w1 s- }, e' b4 u没有公证节点，就不可能有比特币提供的安全性。但是，通过适当的设计，可以允许dPoW网络仅使用其初始共识安全性无缝地继续。
' O# o4 e6 ^& a# q: K. F. k: \: U& ?7 R: H3 l3 ~4 r
实现优雅降级的一种方法是使用基于utxo age和其他参数的Peercoin风格的PoS，以便每个节点正常放样，并且公证节点使用第三方链的相同方法提供公证散列的叠加。这样，即使所有公证节点已经消失，dPoW网络仍可以正常进行。* d4 W2 v- L* a* I) e8 J! ^
2 {/ i: G4 @2 i* L* n
Peercoin允许PoW和PoS共存。通过移动所计算的散列值，PoS计算被赋予比PoW更大的优先权。通过使用类似的方法，两种完全不同的赢得块的方法可以共存，这允许公证人赌注也是系统的可选方面。当然，在没有公证人的情况下，一些终端用户节点必须是赌注。
# m+ f% H( f! {( j7 G' }* ?1 F6 G  x9 J5 f, S0 {+ p6 E0 k
另一种选择是使用PoW作为初始共识方法。在这种情况下，公证节点和其他正常节点都可以挖掘。然而，公证节点会发现大部分块，因为他们可以以最小的难度挖矿，而其​​他节点必须以普通难度开采。: T2 a' P9 c8 y5 r- p' _/ `+ Y
5 p, L) }% R# s- f! k. p
如果由于某种原因所有公证节点都会消失，那么具有正常难度的其他节点将能够挖掘并找到块。节点将从dPoW区块链中获取已经公证的数据，因此已经公证的记录仍然与比特币一样安全。# i8 O7 E6 F) ^" L7 Q+ w8 g

4 y* g. z0 i0 w; L/ A  s8 ]dPoW共识机制不依赖于公证节点，因为没有它们，区块链可以继续其操作。如果所有公证节点都离线，则不能将新数据公证给比特币区块链。其他普通节点无法发送组签名比特币交易，但他们可以从dPoW区块链中读取并验证已经公证的历史记录。3 R' V. q( `4 u: p1 }% x1 b
3 Z% Q: z% U% q, f& Q: n3 u
关键是要了解dPoW是一个由不同组件组成的系统，它们可以协同工作，但能够独立地执行块生成的关键功能。最终结果是dPoW，它对于块的创建是健壮的和分散的，公证数据由选定的公证人生成。因此不可能将dPoW分类为任何单一类型的共识。- @! L; R% E1 Y1 i! C- ?; D! y3 Z
- k/ l1 d0 U0 t2 I, ^/ I( U2 `
##委托赌注: G# f) ^6 ?9 k4 F
. T2 n6 F! y/ V: j5 L" C
由于dPoW利用公证节点来保证其安全性，因此几乎没有理由要求所有终端用户节点进行任何PoS放样。通过使用每1000个块获取的总账快照，可以知道所有地址的余额。通过基于pubkey对此分类帐进行排序，每个地址将在所有节点上获得相同的索引。每个公寓计算每个地址1 / N的最佳PoS命中值，这与所有其他公证节点共享，这允许高效搜索获胜地址。负责该地址的公证员创建该地块并签名，将5％的APR放样奖励授予获奖地址并奖励自己。7 {' T7 g; x3 @
6 v5 x/ N7 ]- h2 _2 t2 {1 s
大多数公证节点需要批准获胜区块。作为暴力重组保护，每位公证人都可以蛮力搜查所有可能的地址，以确保提交的获奖地址无与伦比。对于每1000个块的分类帐快照，用于PoS计算的地址余额过去将为1000到2000个块。这避免了将资金转移到获胜地址的赌注，因为没有办法知道哪些地址将赢得1000块。
, T( C  Z) ^- w' Z. R: e8 u( d2 h# _
如果余额是100％不变的，就有可能计算出所有1000个未来块，以及哪个地址会赢，并计算其变化以保证下一个快照的获胜块。甚至可以预先计算一个获胜的地址链并以恰当的数量将资金转移到它们中。这样做的问题在于收益是微小的，也没有什么能阻止第二方做同样的事情。需要注意的重要一点是，潜在的收益来自增加的区块奖励，而不是来自双重支出。
/ [" }4 O2 C. \" }3 F( z7 r9 L( b: B, E3 r7 R8 E
另一种可能性是完全绕过赌注过程并在花费utxo时奖励应计利息。尽管使用的方法与dPoW共识本身无关。& R% ^7 h' q# T9 Y. i/ y

( Q. P2 b; ^) |6 y7 F##延迟工作证明细节8 U, n3 e0 L' R& s) h* p

: {& l( Y# W8 u- x$ O0 |8 [& a让我们假设一个正确选出的公证节点集合的存在与真正的多数。网络向sqrt（N）+1个随机选择的公证节点提交新事务，每个公共节点依次将其转发给sqrt（N）+1其他公证节点。使用这个过程，大多数提交的交易将在几乎所有的公证人都知道。可以使用协调过程来确保任何公证节点都可以获取缺少的部分，但这不是必需的，因为在签署阶段，所有待处理的事务将用于构建块。在公证节点被授予交易费用后，每个节点都被激励包括尽可能多的支付交易，尽管没有任何东西阻止节点创建空白区块。
# y, ?# ]1 C9 L& S
, V& u+ c6 H  u: H: _2 M请注意，块生成的速度可能相当快，尤其是要求高性能服务器成为公证节点，所以如果有的话，需要付出努力来减慢块以跟上期望的块时间。方便的是，公证节点还有更多的工作要做。块一旦完成，它的blockhash就知道了，这个blockhash被放入一个组签名的比特币交易中。要在64个节点中的33个未知组合之间创建一个组签名事务，这有点难度，但如果这是一个绊脚石，则答案在下面的附录1中给出。, u0 e: H) H7 c& @
- a( H  \7 I3 P1 J+ V% R
时机问题是什么时候（或者甚至是）团队签署的交易应该提交给比特币网络。现在，让我们自由地花费比特币，只要我们得到它们就立即播出这些团体的批准。第二个附录将探索优化这种方法，但这只是成本优化，并不是dPoW保护的组成部分。& z. A  Q9 g& m, I1 X

/ [4 u. J4 r0 N我们现在发现自己现在在比特币区块链中出现了一系列区块，因为这两者已经得到大多数公证人的批准，而公证人又被认为反映了利益相关方的利益。最后需要做的是在块重组循环中添加新的共识规则。这是一个简单的规则，它是拒绝重组经过比特币区块链公证的区块。如果不重组比特币区块链本身，就无法重新构建dPoW链。
* V4 Z; q6 J9 x( Z$ M& Q: T* I9 X# D' \% L* E
更深入地考虑“拒绝重新组织”规则会导致我们发现一些基于时间的边缘情况，即特定哈希何时适当公证？由于“now”是一个相对概念，我们需要依靠块时间戳来确定哪个是第一个，假装两个链上的时间戳来自同一个时钟。虽然情况并非如此，但它可以确定性地决定是否重组过去一个街区。
0 [; e$ ]: h( b; n4 M' d) {; w# a5 T) a6 N1 \, y8 E: r# b! M1 K
##攻击) [* b$ E" C3 k+ T
, [6 H8 c' ]0 y1 i; D3 k% |2 |/ t
让我们讨论当我们有公证节点在线时可能出现的攻击情况，最后是所有公证节点暂时关闭的情况。  t" `  _+ L( l2 B
' R0 Q+ q7 ]4 i8 s7 o
双重攻击：在双重攻击攻击中，攻击者希望恢复由网络确认的交易。攻击的目的是发布交易，例如，从对抗性账户持有者向受害者接收者的支付，确认交易，然后通过例如在分类账中包括第二冲突交易来恢复交易。为了使双重支出攻击适用于比特币公证交易，比特币区块链也必须重写。所以这种攻击被认为是不切实际的。+ D% u+ r  u5 r# Z( O* n
! Q" j3 N, B7 V/ J4 S8 H
交易拒绝攻击：在交易拒绝攻击中，攻击者希望阻止某个交易被确认。例如，攻击者可能希望定位特定帐户并阻止帐户持有者发布传出交易。只要节点可以直接或间接连接到任何公证节点，就会确认有效的事务。
6 V; ?: b1 C  h1 G+ g- }4 b# h) d  q# R9 h9 |  L5 w
Eclipse攻击：在eclipse攻击中，由于对等消息传递机制中的颠覆，违反了向节点传递消息。在发生eclipse攻击的情况下，受攻击的节点仅连接到攻击者的节点，可以实现的最佳防御是拥有外部验证的链提示。但是，如果只能实现与单个诚实节点的连接，则受攻击节点可以发现真正的主链。在大多数情况下，dPoW链中存在的公证数据将允许这样的引导，但即使在攻击者从创世创建了一个全新的链的情况下，也可以查询BTC链以找到真正的主链。
0 i# r+ Q8 x, _( {% q6 o. z2 C( a9 j% R; B9 l8 Y9 m6 j) J9 m# s: o
没有任何利害关系和过去的多数攻击：与日食攻击一样，只有一个真正公证的主链的单个诚实节点足以让新节点跟随它。如果dPoW链中的公证数据完好无损，那么就可以找到真正的链。即使在攻击者构建了伪链的情况下，也可以查询BTC链中的公证数据，并且只需一个诚实的节点，新节点就可以重建有效的公证主链。* ~* `; K" k: X

3 Z4 x7 a! I( j6 S" X51％的攻击：当攻击者控制超过51％的公证节点时，就会发生51％的攻击。在这种情况下，攻击者将能够阻止特定事务进入区块链，但是一旦块被公证到BTC链上，即使51％的公证人被攻击者控制，公证数据也无法撤消。如果攻击者阻止公证人创建新块，则回退共识方法将开始生成新块。
4 ?5 ?, Z7 S  O. D
9 d! |6 n5 d% k" j% n) M6 Y公证节点攻击：如果所有公证节点将同时脱机，则dPoW网络将以其初始共识方法（PoW或PoS）有效成为正常区块链。历史公证数据在dPoW区块链中保持不变，但对正常区块链的成功攻击可能会重写该历史记录。但是，在这种情况下，可以查询BTC区块链的公证数据。
9 {% X/ G+ K& g8 h& _
3 T* T: h. R" b6 e* M' O通过允许普通节点直接检查来自BTC区块链的公证数据，可以进一步增强dPoW共识机制。在这种情况下，即使是普通节点也能够找到正确公证的主链，并拒绝任何将撤消公证块的传入块。
; |7 k- _& W+ M: O
3 e4 r" G/ J/ j. B4 g) E##结论
# u5 W% h" n" [* o  B, e% o
# B4 G, ^5 r7 t& a对于最初的延迟工作证明区块链具有比特币的安全性，需要支付比特币交易费用。交易费用可能会变得昂贵，尤其是在集团签署交易的情况下。请放心，只要比特币接受付款，dPoW区块链将由比特币担保。. f) T. S; x; Z; c: L0 w) B3 a: L
8 W: ~! k  c  o5 T5 H( u( \
实现第一个dPoW所需的工作量确实让人想要利用它来允许其他区块链间接使用dPoW。最后一个附录探讨了简化dPoW与第三方链的整合的方法。延迟PoW能够确保任何类型的共识。这些第三方连锁店将不必支付比特币交易费用，而只需支付初始dPoW连锁店的费用。  q. n- y$ z4 U$ p4 \2 {
, S$ f+ Q, N+ l/ K- K. c+ p3 D
通过这个系统，我们确保浪费的能源也被用于通过dPoW区块链的交易来保护dPoW区块链和所有选择采用这种共识机制的第三方链。通过将这些区块链连接到比特币，我们创建了一个生态系统，其中比特币是所有使用dPoW的货币的中心，这意味着这些加密货币有积极促进比特币区块链发展的直接动机。
& M+ \5 A: x- A0 C; R% f1 R2 n6 V+ r0 b: o% Z: ?+ W
随着新的dPoW共识机制，每个人都获胜。即使是最弱的区块链也可以获得最佳安全性，而比特币在整个加密货币生态系统中获得更重要的角色。