引介 | 闪电 VS 雷电:瞭望塔模式(下):可追责性

btc268.com 2019-05-24 21:13:40 来源:区块链资讯

  

  闪电与雷电系列:

  闪电网络与雷电网络瞭望塔服务的不同。(编者注:中译本见 《瞭望塔可拓展吗 (上):模式及运营成本》)

  可扩展性问题解决方案及其权衡。(编者注:中译本见《瞭望塔模式(中):瞭望塔中的隐私保护与可扩展性》

  可追责性与可行业务模型(本篇)

  完美瞭望塔(即将发表)。

  免责声明:虽然我持有 比特币(BTC),以太币(ETH),比特币现金(BCH),雷电网络代币(RDN)等加密货币,但我的投资组合很分散, 因此我没有任何经济动机为任何加密货币当托。我一直在为雷电(Raiden)和 Celer 项目做贡献,我希望能够看到许多不同扩容方案的项目互相竞争,同时用户能够自由选择支付方案。如果你有不同立场,没有关系,我对此毫无意见并愿意与你继续探讨相关话题。感谢点对点(P2P) OTC 交易平台 LocalEthereum 对本文的支持。

介绍


  瞭望塔服务将对支付通道用户产生巨大影响。在技术早期发展阶段,研究激励模型以及不同设计是非常重要的,本系列先前的两篇文章也因此能够在社区里引发激烈的讨论。不幸的是,关于这一主题的研究还满是空白,并且存在着普遍的误解。例如:“我们不应该在一开始就担心用户体验与隐私保护,因为它们可以随着时间的推移而改善”,这一点我们将在本文中予以驳斥。

  我建议先阅读本系列的第一篇文章,了解为什么瞭望塔服务对于第二层扩展非常重要,以及瞭望塔服务的主要挑战是什么。此外,在第二篇文章中,你能够了解到关于目前隐私可扩展性问题的不同解决方案及其权衡。最后,在本篇文章中,是时候讨论业务模型可追责性了,以便弄清支付通道是否能够遍布全球,同时还不至于沦为全球金融监管的工具。

  请注意,链下协议对于瞭望塔服务有许多不同的称呼,例如:雷电网络的监察服务、Celer 的状态监管网络或 PISA。然而,在本篇文章中,我们将把所有实现方案都称作 “瞭望塔”,除非需要特指的时候(例如:闪电网络瞭望塔(LN watchtowers)、雷电网络监察服务(RDN monitoring services)等。)

  我们还将使用到一下术语:

  业务导向型,指瞭望塔能够将同一通道或账户的所有状态更新链接在一起

  隐私导向型,指瞭望塔不能够将同一通道或账户的所有状态更新链接在一起

  关于这些模型的更多细节,请参阅第一篇文章。


可追责性


  每个用户都想要其租用的瞭望塔服务能够全天候保护他的资产安全,并且在发生任何争议的时候都站在他这一边,所以在本文开头,我们先快速浏览一下不同的瞭望塔追责模型,从而能够提升追责机制并尽量避免其缺点。

  为了理解不同瞭望塔追责模型的主要差异,让我们对每个模型的关键特性进行粗略的评估。

  

  请记住,“高” 安全性并不意味着用户的资金是 100% 安全的,因为仍然存在许多共谋或黑客攻击可以利用的漏洞。

  需要指出的是,这些追责方法可以组合在一起,还可以和不同业务模式(将在本文第二部分讲述)一起使用。因此,最终作用效果并不清楚。在本系列的最后一篇文章当中(即将发表),我们将讨论瞭望塔问题的完美解决方案。

  现在,让我们更详细地讨论不同的追责模型。

1.恶意结算争议获胜奖励

  这种方法可促使瞭望塔在大多数争议中站在用户一边。除非瞭望塔节点与恶意参与者(例如:一个大型中心)勾结,通过给欺诈活动放行来获取更高的收益。

  本方法的用户体验很好。因为用户除了向瞭望塔发送状态更新外,不需要执行其他任何操作。

  然而,这种方法将产生利益冲突。如果网络中存在许多有心或无意使用错误状态关闭通道的情况,那么瞭望塔节点能够获取很高收益。

2.信誉系统

  虽然在点对点(P2P)平台上构建一个信誉系统是一种降低风险的流行方法,但它也有很多缺点:

  基于信任的系统与加密货币的去信任特点相矛盾。

  与 P2P 交易平台不同,瞭望塔服务信誉系统无法防止大规模退出欺诈(mass-exit-scam)的情况。具体而言,如果一个 P2P OTC 平台的交易员决定开始行骗,他的信誉会迅速下降,他不能欺骗很多用户。然而,恶意的瞭望塔节点能够通过停止提供服务(一次性)欺骗它的所有用户,即便这些服务是预先支付的。此外,恶意瞭望塔可以与恶意中心或第三方实体串通,通过引起一个大规模退出的骗局来最大化其收益。

  目前还不清楚如何在瞭望塔节点未能履行它职责的时候,确保其信誉会降低。如果用户丢失了所有包含他最新状态更新的设备,就几乎不可能证明瞭望塔没有有效保护他。特别是对于某些外行,他们不懂技术也常常懒得主动报告此类事件。那么,用户怎么能相信一个瞭望塔的信誉评分是准确的,并且它在过去确实阻止了所有恶意结算呢?

  信誉系统的用户体验很差,因为用户必须在登录过程中进行一些额外的操作,使用聚合器或者 “瞭望塔市场” 来找到符合他需求的瞭望塔。但是,这样的市场会让已经很复杂的系统变得更加复杂,从而将更多极客以外的人拒之门外。

  如果(1)一个瞭望塔在没有欺骗任何人的情况下退出该业务,或者(2)一个瞭望塔的信誉已经严重下降,谁来通知用户这件事以及怎么通知呢?如果用户需要执行其他操作,是否应该再次信任第三方来通知他?

  如果瞭望塔决定退出该业务,但是持续接收状态更新与支付信息,而没有实际存储状态更新或监听区块链。那么需要多长时间用户才能发现瞭望塔已经不再保护他们了呢?

  信誉系统很容易受到女巫攻击(伪造的客户身份、黑稿等。)

  信誉系统增强了整体中心化水平,因为外行通常选择最受信任的服务提供方。


3.设置保证金来在经济上惩罚恶意瞭望塔节点

  瞭望塔节点能够质押一些加密货币或代币,如果当一个恶意交易方出现时它不能正确处理结算争议,那么它就将失去质押这些资金。

  该方案有两种不同的模型:一种是由算法依据瞭望塔保证金多少,从瞭望塔池中随机选择一个瞭望塔节点;亦或是每一位用户直接选择自己的瞭望塔。

  

  3.1 瞭望塔池

  由算法依据保证金多少,从瞭望塔池随机选择一个瞭望塔。从统计规律来看,一个瞭望塔保证金越多,它被分配监听用户状态并赚取收益的概率越大。其核心思想是,每个状态更新都分布式地存储在多个瞭望塔节点内(例如:3-5个),如果第一个瞭望塔未能及时履行职责,其他瞭望塔能够直接拿走其保证金。

  Celer Network 使用的就是这种解决方案,该方案具有较强的抗合谋攻击等优点,但也存在一定的缺点及顾虑:

  插播:请记住,下面关注的是一个追责方案(瞭望塔池),而不是 Celer。然而,下面的一些顾虑也适用于 Celer 的 SGN。

  每一个状态更新都将由多个瞭望塔保护,这提高了整体的安全性,但同时增加了网络的运营成本、总体的链下交易费用并降低了隐私保护水平。

  为确保高安全性,瞭望塔的保证金规模应该与用户损失资金的最大值相匹配。但由于保证金不能正常流通,使得系统整体资金流动性降低。

  如果一个系统不要求瞭望塔的保证金规模与用户损失资金的最大值相匹配,那么在低竞争时期,平均保证金将会不断降低,使得系统无法应对多个实体共谋发起的大规模退出攻击。另一方面,在竞争激烈的情况下,瞭望塔服务的进入门槛又会过高,从而导致瞭望塔服务提供方中心化。

  如果一个瞭望塔在无法阻止任何恶意结算时失去了全部保证金,那么对于它来说,质押大额保证金是非常危险的。为了避免该风险,瞭望塔将试图将其保证金划分为多份,充当不同的独立瞭望塔。这将使得一个瞭望塔节点有更大机会接收到同一笔交易的全部状态更新,这将增加通过与恶意中心共谋等手段进行欺诈的风险。(译者:逻辑存疑)

  如果一个拥有大量保证金的瞭望塔被任命为提供服务瞭望塔的几率大于其保证金占全网的比例(例如:持有全网 20% 的保证金,但有 30% 被任命的概率),那么将增加系统中心化水平。

  该体系对于价格波动非常敏感(例如:在熊市期间,用户不太愿意成为瞭望塔节点,因为若成为瞭望塔节点,他们就必须质押不断贬值的资金;而在牛市期间,瞭望塔将有很大的经济激励,开始解冻期,出售其保证金)。

  如果用户丢失了全部保存有他最新状态更新的设备,并且无法通过云备份恢复,那么他将无法提交瞭望塔未能阻止恶意结算的证据,也就无法从该瞭望塔保证金中获取一定补偿。但是有一些解决方法,例如:Celer Network 正计划通过 SGN 全节点解决这个问题,这些节点基本上是存储了所有通道的全部最新状态更新信息,它们可以帮助用户惩罚恶意瞭望塔,并获取一定收益。然而,对于全节点模型的实现、隐私、可行性仍存在一些顾虑,例如:全节点的运营成本会很高(译者注:一般用户难以维持,而由特定群体来维护,又存在中心化问题)。

  如果用户在恶意瞭望塔已经取走其保证金后上线,那么他也无法证明瞭望塔存在恶意行为并获得赔偿。当然,瞭望塔取走保证金的时间应该很长,但是用户也可能存在长时间不在线的情况(例如:进入监狱、昏迷等)。

  Mo Dong,Celer Network 联合创始人,对于这些问题比较乐观,你可以在这个 Twitter 帖子(有许多分支)上查看他对大多数问题的回答。

  

  3.2 独立暸望塔

  另一种方法是,每个用户选择一个特定的、在智能合约中锁定了大量资产作为“保证金”的暸望塔。PISA 就是使用的这种方法,但是它有存在一定的缺点和隐忧。

  对暸望塔严苛的质押要求将导致中心化

  存在两种不同的设计。(1)假设暸望塔在未能成功抵御攻击时仅损失一部分保证金,那么一旦大型暸望塔与大型中心勾结起来共同欺骗用户,系统将无法防止大规模退出欺诈。

  另一种设计是(PISA 最初的方法),如果暸望塔未能成功抵御攻击,即使是一次很小的攻击(例如:损失10美元),它也会损失所有保证金(例如:5万美元)。一方面,这种方式具有降低暸望塔与其他中心勾结的风险的优点,但是另一方面,它将增加运营暸望塔的商业风险,因为网络中断或者其他技术问题都有可能导致暸望塔损失所有的保证金。可以这么说:高昂的商业风险不仅会导致高额的手续费还会导致暸望塔之间的低竞争,进而导致更高程度的中心化。

  在漫长的熊市期间,人们不太愿意为了成为暸望塔而抵押大量保证金,这将导致更低的竞争以及更高程度的中心化。

  用户体验不佳,因为用户必须从包含 id/名字,保证金价值,保证金期限(如果有取款期限的话),监控费用等信息的数据库中找到确定其要选择的暸望塔。此外,由于监控费用可以随时变更,而暸望塔甚至可以取消质押保证金,因此那时用户必须再次寻找另一个可用的暸望塔。

  不佳的用户体验有可能进一步增加中心化程度,因为非专业人士倾向于使用最受欢迎的供应商。

  该模型还有一些与前述模型一样的缺点,例如大额保证金会降低整体流动性,系统在价格波动期间的稳定性较差,而且用户无法惩罚那些已经取消质押保证金的暸望塔。

  PISA 的创建者 Patrick McCorry 不同意上述观点,并认为用户体验几乎不在链下协议设计的考虑范围内;你可以在这个推特贴子中了解他的观点(该帖子有很多分支)。

  现在,我们对解决问责制的不同方法已经有了基础的认识了,接下来让我们开始本系列最令人激动的部分吧!

  (未完)

  原文链接: 

  https://medium.com/crypto-punks/lightning-vs-raiden-watchtowers-accountability-business-models-celer-pisa-833384f01ad0 

  作者: Sam Aiken 

  翻译&校对: STOrm pang, Aisling & 阿剑

  本文由作者授权 EthFans 翻译及再出版。

  你可能还喜欢:

  Devcon4 | Josh Stark:Making Sense of Layer 2

  科普 | 菜鸟学习状态通道,Part-3:多跳交易/中心辐射通道

  教程 | 简易锁定合约:Part 1

转载请注明来自以太坊之家(www.eth68.com),本文标题:引介 | 闪电 VS 雷电:瞭望塔模式(下):可追责性 原文地址:http://www.eth68.com/news/1246.html

引介 | 闪电 VS 雷电:瞭望塔模式(下):可追责性
Top