Vitalik：以太坊PoS还有哪些可以改进有哪些改进途径

——

币安比特币新闻 发布于 2025-08-05 12:08

Vitalik：以太坊PoS还有哪些可以改进有哪些改进途径

原标题：Possible futures of the Ethereum protocol, part 1: The Merge

作者：Vitalik，以太坊创始人

最初，“合并”（The Merge）指的是以太坊协议自推出以来最重要的事件：期待已久、来之不易的从工PoW证明到PoS的过渡。如今，以太坊已经稳定运行了近两年，并且这种PoS在稳定性、性能和避免中心化风险方面表现非常出色。然而，PoS仍有一些重要领域需要改进。

我在2023年绘制的路线图将其分为几部分：改进技术特性，例如稳定性、性能和对小型验证者的可访问性，以及经济学变革以应对中心化风险。前者成为“The Merge”部分，而后者成为“the Scourge”的一部分。

这篇文章将重点关注“The Merge”部分：权益证明（PoS）的技术设计还有哪些可以改进，以及实现这些改进的途径有哪些？

这并不是一份可以对权PoS做的事情的详尽清单；相反，这是一份正在积极考虑的想法清单。

单Slot最终确定性（Single Slot Finality，SSF）和质押民主化

我们正在解决什么问题？

目前，以太坊需要 2-3 个 epoch（约 15 分钟）才能最终确定一个区块，并且需要 32 ETH 才能成为质押者。

这最初是为了在下面三个目标之间取得平衡而做出的妥协：

最大化参与质押的验证者数量（这直接意味着最小化质押所需的最小 ETH数量）
最小化最终确定时间
最小化运行节点的开销

这三个目标是相互冲突的：为了实现“经济上的最终确定性”（economic finality，即攻击者需要销毁大量 ETH 才能恢复最终确定的区块），每次最终确定时，每个验证者都需要签署两条消息。因此，如果你有许多验证者，要么需要很长时间来处理所有签名，要么需要非常强大的节点来同时处理所有签名。

请注意，这一切都取决于以太坊的一个关键目标：确保即使成功的攻击也会对攻击者造成高昂的成本。这就是“经济上的最终确定性”一词的含义。如果我们没有这个目标，那么我们可以通过随机选择一个委员会（例如Algorand 所做的）来最终确定每个slot来解决这个问题。但这种方法的问题在于，如果攻击者确实控制了 51% 的验证者，那么他们可以以非常低的成本进行攻击（撤销最终确定的区块、审查或延迟最终确定）：只有委员会中的那部分节点可以被检测为参与攻击并受到惩罚，无论是通过slash还是少数派软分叉。这意味着攻击者可以多次反复攻击该链。因此，如果我们想要经济上的最终确定性，那么简单的基于委员会的方法是行不通的，乍一看，我们确实需要验证者全集体参与。

理想情况下，我们希望保留经济上的最终确定性，同时在两个领域改善现状：

1、在一个 slot 内完成区块（理想情况下，保持甚至减少当前 12 秒的长度），而不是 15 分钟

2、允许验证者质押 1 ETH（原先为 32 ETH）

第一个目标的合理性来自两个目标，这两个目标都可以看作是“使以太坊的属性与（更中心化的）注重性能的 L1 链的属性保持一致”。

首先，它确保所有以太坊用户都能从通过最终确定机制实现的更高级别的安全保证中受益。如今，大多数用户都无法享受这种保障，因为他们不愿意等待 15 分钟；而使用单slot最终确定机制，用户几乎可以在确认交易后立即看到交易最终确定。其次，如果用户和应用程序不必担心链回滚的可能性（除非出现相对罕见的不活动泄漏-inactivity leak），那么它就简化了协议和围绕它的基础设施。

第二个目标是出于支持solo质押者的愿望。一次又一次的民意调查反复表明，阻止更多人solo质押的主要因素是 32 ETH 的最低限额。将最低限额降低到 1 ETH 将解决这个问题，以至于其他问题成为限制solo质押的主要因素。

存在一个挑战：更快的确定性和更民主化的质押目标都与最小化开销的目标相冲突。事实上，这个事实就是我们一开始不采用单slot最终确定性的全部原因。然而，最近的研究提出了一些解决这个问题的可能方法。

SSF是什么以及它是如何工作的？

单slot最终确定性涉及使用在一个slot内最终确定区块的共识算法。这本身并不是一个难以实现的目标：许多算法（例如Tendermint 共识）已经以最佳属性实现了这一点。以太坊独有的一项理想属性是“不活动泄漏inactivity leak”，Tendermint 不支持该属性，即使超过 1/3 的验证者离线，该属性也允许链继续运行并最终恢复。幸运的是，这个愿望已经得到解决：已经有提案修改 Tendermint 式共识以适应inactivity leak。

领先的单slot最终确定性提案

问题最难的部分是弄清楚如何使单slot最终确定性在验证者数量非常高的情况下发挥作用，而不会导致极高的节点运营商开销。为此，有几种领先的解决方案：

选项 1：暴力——努力实现更好的签名聚合协议，可能使用 ZK-SNARKs，这实际上允许我们在每个slot中处理来自数百万个验证者的签名。

Horn，为更好的聚合协议而提出的设计之一。

选项 2： Orbit 委员会- 一种新机制，允许随机选择的中型委员会负责完成链，但以保留我们所寻求的攻击成本特性的方式。
思考 Orbit SSF 的一种方式是，它开辟了一个妥协选项空间，范围从 x=0（Algorand 风格的委员会，没有经济是哪个的最终确定性）到 x=1（以太坊现状），开辟了中间点，在这些点上以太坊仍然具有足够的经济上的最终确定性以确保极其安全，但同时我们获得了只需要中等规模的验证者随机样本参与每个slot的效率优势。

Orbit 利用验证者存款规模中预先存在的异质性来获得尽可能多的经济上的最终确定性，同时仍将给予solo验证者相应的角色。此外，Orbit 使用缓慢的委员会轮换来确保相邻法定人数之间的高度重叠，从而确保其经济上的最终确定性仍然适用于委员会轮换边界。

选项 3：两层质押- 一种机制，其中质押者分为两类，一类的存款要求较高，另一类的存款要求较低。只有存款要求较高的层级会直接参与提供经济上的最终确定性。有各种提案（例如，参见Rainbow质押文章）来具体说明存款要求较低的层级拥有哪些权利和责任。常见想法包括：

将委托质押的权利给更高层级的质押者
随机抽取较低层级的质押者来证明并最终确定每个区块
生成包含名单（inclusion lists）的权利

与现有研究有哪些联系？

实现单slot最终确定性的途径（2022 年）：https://notes.ethereum.org/@vbuterin/single_slot_finality
以太坊单slot最终确定性协议的具体提案（2023 年）：https://eprint.iacr.org/2023/280
Orbit SSF：https://ethresear.ch/t/orbit-ssf-solo-staking-friendly-validator-set-management-for-ssf/19928
对 Orbit 风格机制的进一步分析：https://notes.ethereum.org/@anderselowsson/Vorbit_SSF
Horn，签名聚合协议（2022 年）： https://ethresear.ch/t/horn-collecting-signatures-for-faster-finality/14219
大规模共识的签名合并（2023 年）：https://ethresear.ch/t/signature-merging-for-large-scale-consensus/17386?u=asn
Khovratovich等人提出的签名聚合协议：https://hackmd.io/@7dpNYqjKQGeYC7wMlPxHtQ/BykM3ggu0#/
基于 STARK 的签名聚合（2022 年）：https://hackmd.io/@vbuterin/stark_aggregation
Rainbow质押：https://ethresear.ch/t/unbundling-staking-towards-rainbow-staking/18683

还剩下什么要做？需要权衡什么？

有四种主要的可能路径可供选择（我们也可以采取混合路径）：

1、维持现状

2、Orbit SSF

3、暴力破解 SSF

4、具有两层质押机制的 SSF

1意味着不做任何工作并保持原样，但这会使以太坊的安全体验和质押中心化属性变得比本来应该的更糟糕。

2避免“高科技”，通过巧妙地重新思考协议假设来解决问题：我们放宽了“经济上的最终确定性”的要求，这样我们就要求攻击是昂贵的，但攻击成本可能比现在低 10 倍（例如，攻击成本为 25 亿美元，而不是 250 亿美元）。人们普遍认为，以太坊如今的经济上的最终确定性远远超出了它所需要的水平，它的主要安全风险在其他地方，所以可以说这是可以接受的牺牲。

主要工作是验证 Orbit 机制是否安全并具有我们想要的属性，然后对其进行完全形式化和实施。此外，EIP-7251（增加最大有效余额）允许自愿验证者余额合并，这会立即减少链验证开销，并作为 Orbit 推出的有效初始阶段。

3避免巧妙的重新思考，而是用高科技强行解决问题。要做到这一点需要在很短的时间内（5-10 秒）收集大量签名（100 万以上）。

4避免了巧妙的重新思考和高科技，但它确实创造了一个两层的质押系统，仍然具有中心化风险。风险在很大程度上取决于较低质押层获得的特定权利。例如：

如果低层级质押者需要将其证明权委托给高级质押者，那么委托可能会中心化化，最终我们会得到两个高度集中的质押层级。
如果需要对较低层进行随机抽样来批准每个区块，那么攻击者只需花费极少量的 ETH 即可阻止最终确定性。
如果较低级别的质押者只能制作包含列表，那么证明层可能会保持中心化，此时对证明层的 51% 攻击可以审查包含列表本身。

可以组合多种策略，例如：

1 2：添加 Orbit，但不执行单slot最终性

1 3：使用强力技术减少最小存款额，而无需进行单slot最终确定。所需的聚合量比纯 (3) 情况少 64 倍，因此问题变得更容易。

2 3：使用保守参数执行 Orbit SSF（例如，128k 验证者委员会而不是 8k 或 32k），并使用蛮力技术使其超高效。

1 4：添加Rainbow质押，但不进行单slot最终确认

SSF如何与路线图的其他部分互动？

除了其他好处之外，单slot最终确定性还降低了某些类型的多块 MEV 攻击的风险。此外，在单slot最终确定性世界中，证明者-提议者分离设计和其他协议内块生产管道需要以不同的方式设计。

蛮力策略的弱点在于它们使得减少slot时间变得更加困难。