一文读懂Chainlink 2.0的显性质押机制

近期发布的Chainlink 2.0白皮书中提到了围绕去中心化的预言机网络(DON)功能展开的一系列创新。其中最值得一提的是通过DON展开安全的链下计算。DON不仅可以为智能合约传输数据,还可以为其接入许多其他的去中心化服务。因此,开发者可以获得更加丰富的混合型基础架构,将链上代码与链下资源相结合,打造出功能更加完备的智能合约。

要运行下一代混合型智能合约,就需要为DON建立稳健的加密经济安全机制,尽可能地提高攻击成本。如今,DON保障的智能合约价值越来越高,而稳健的加密经济安全机制是其实现大规模应用的关键要素,因为这关系到用户资金的安全问题。白皮书中提出了“显性质押”机制,以增强网络的防篡改性。显性质押是Chainlink目前正在研发的高级加密经济机制,其中,Chainlink节点质押LINK通证作为保证金,如果发生恶意攻击或违规行为,保证金会被相应扣除。

Chainlink显性质押机制的独特之处在于,它可以抵御绝大多数高预算的攻击,并实现“超线性质押影响”(注:超线性质押影响指攻击者的攻击预算必须远超过DON中所有节点的保证金总和)。这个机制可以为高价值智能合约应用带来更大的安全保障,并同时提高成本效益。

Chainlink’s super-linear explicit staking
 在Chainlink显性质押机制下,攻击成本会随着DON中节点数量增加呈超线性增长。

本文将概述Chainlink 2.0网络中的显性质押机制及其如何有效为用户提升加密经济安全。更多关于Chainlink显性质押机制的内容和技术细节,请查看Chainlink 2.0白皮书第九章。

去中心化预言机网络为什么要采用显性质押机制?

Chainlink显性质押与区块链网络的质押机制完全不同。PoS区块链中采用质押机制的目的是对区块中的交易顺序达成全局共识,而Chainlink 2.0中的显性质押机制则是为了生成可靠且防篡改的预言机报告,并确保报告准确反映链下真实事件。

最终,Chainlink 2.0显性质押机制是为了提升DON的加密经济安全水平,为用户提供及时可靠的链下数据链下计算,服务于高价值混合型智能合约。迄今为止,预言机质押机制的效果非常有限,往往无法抵御现实世界中的攻击。而相比之下,Chainlink的显性质押机制能够有效抵御各种类型的攻击,其中包括预期性贿赂(prospective bribery)等高级攻击。在预期性贿赂攻击中,攻击者会根据节点在网络中的职责来进行贿赂,比如贿赂负责仲裁预言机报告分歧的节点。

Chainlink显性质押机制的底层架构

Chainlink 2.0白皮书中详细阐述了DON在传输金融市场数据时如何使用显性质押机制保障自身安全。金融市场数据是许多DeFi应用都需要接入的常用链下数据。白皮书指出,显性质押机制包含多个独立的模块,这些模块组合在一起,有效保障了加密经济安全。

服务协议

每个DON的底层都有一份服务协议,协议中明确规定了每个预言机节点需要质押的LINK通证数量以及关键性能指标,如单个节点响应与最终聚合数据之间的最大偏差值,以及预言机报告中的聚合数据与正确数值之间的最大偏差值。服务协议还可以包含其他参数,比如接入的数据源、更新频率以及节点收费等。

DON在每一轮生成一份新的预言机报告,其中包含每个节点针对某一数据的响应(如以太币对美元的价格),所有节点的响应最终被聚合成单一数值(如:取中位数)。每个DON网络的服务协议都详细规定了每份预言机报告的生成方式以及节点的惩罚机制。

任何预言机都有可能被选中参与DON的服务协议,其中包括Chainlink预言机网络中声誉较高的节点运营商,这些节点目前为DeFi生态保障了数百亿美元的价值。用户可以使用已经发布的Chainlink声誉框架(如:Chainlink Market)过滤并筛选预言机节点。Chainlink Market是一个无须许可的预言机市场,用户可以在上面看到节点运营商的各项性能指标,如:在线时间、延迟、响应偏差值、支持的网络以及数据源等。

market.link
market.link上的节点运营商性能指标示例

双层预言机网络

Chainlink将采用双层预言机网络来确保预言机充分履行服务协议。第一层DON效率高且成本低,其中节点会通过显性质押的方式质押LINK通证,并负责定期更新预言机报告。除此之外,我们还建立了安全性极高且成本更大的第二层DON,用来裁决一层DON上报的任何有关预言机报告的问题。这种双层机制可以在正常情况下保障预言机网络最高效地运行;当需要二层DON出面裁决时,也可以优先保障防篡改性和准确性,约束一层网络的恶意行为并维持服务质量。 

Chainlink网络自发布至今已经有两年多的时间,共创建了几百万笔链上交易,并为DeFi生态保障了数百亿美元的价值。到目前为止还没有出现过仲裁需求,因为现有的加密经济激励机制可以通过声誉和收入有效激励Chainlink节点运营商不断发布准确的预言机报告,甚至在区块链网络拥堵时也不受影响。不过在最极端的情况下还是有可能出现分歧,因此Chainlink 2.0内置了一个仲裁层,进一步提高安全保障。 

通过用户投票实现的二层加密经济安全网络

在极端情况下,一层预言机网络生成的报告可能会出现分歧,并通过下文中提到的监督/报警机制触发。在这种情况下,速度较慢的二层委员会将介入解决分歧,委员会包含成百上千个独立的Chainlink节点,如:Aave、Synhetix和Compound等。如果出现分歧,这些节点将使用DECO生成的加密TLS证明,投票决定受争议预言机报告的真实性。DECO基于一个或多个数据提供商提供的证明生成确定性的零知识证明DECO可以提高仲裁效率、降低成本并保障防篡改性,二层节点无需访问原始数据源就可以解决分歧。 

Chainlink预言机报告的质量决定了所有接入Chainlink预言机的智能合约以及合约中用户资金的安全性,因此每个二层节点的投票都必须受到强大的经济激励,以防止对应用安全、声誉和可用性产生任何危害,或对应用原生通证的价值造成任何负面影响。即使在极端情况下一小撮节点恶意投票,但绝大多数二层节点的自身利益都已经与Chainlink预言机深度绑定,因为他们自己的应用也完全依赖Chainlink预言机输出准确的预言机报告。随着越来越多付费用户加入Chainlink预言机网络,不仅网络安全预算会增加,而且经济理性的二层节点数量也会增加。 

这些二层节点可以是接入了Chainlink预言机应用的核心开发团队,也可以是由通证持有者治理的DAO。如果二层节点是DAO,并通过原生治理通证投票解决分歧,则二层的加密经济安全水平与DAO治理通证的经济价值成正比。由于大部分节点会受到经济激励投票给正确的预言机报告,因此投票与DECO证明不符的二层节点会被淘汰出局,而且投票会被记录在案,可能会影响节点应用的声誉。

监督者(watchdog)上报机制

为了在分歧发生时保障二层节点能正常介入,任何一个一层节点如果对预言机报告中的聚合结果产生怀疑,都可以成为监督者发出报警。在每一轮报告中,每个一层节点都会被随机分配一个号码。如果节点决定上报问题,这个号码决定了它们的上报被二层网络处理的顺序。比如说,一层网络中有100个节点,每个节点都会被随机分配一个1-100之间的数字,且数字不会重复分配。

一旦监督节点发起报警,并且二层网络判定一层节点的预言机报告错误,那么一层网络中生成报告的多数恶意节点就会被没收之前所质押的保证金,没收的保证金会奖励给随机数优先级最高的监督节点。因此,一层节点会获得强大的经济激励去举报有问题的预言机报告,因为一旦最后举报被判定是有效的(即预言机报告真的存在问题),那么监督节点将可以获一大笔奖金(即一层的问题预言机被没收的全部保证金)。

Chainlink’s two-tier oracle network
在极端情况下,有可能多数一层节点都被收买,并生成错误的预言机报告,这时如果监督节点向二层网络上报,并且二层节点判定举报有效并发送正确的数值,那么问题节点被没收的保证金将全数奖励给优先级最高的监督节点

集中奖励制度

这种监督上报机制可以使奖励更加集中,并最终实现超线性质押影响。也就是说,DON的攻击成本会随着网络中节点数量增加呈二次方增长,在最大程度上抵御高预算攻击并保障预言机报告的不可篡改性。虽然最终只有优先级别最高的节点会得到所有没收的保证金,但一层网络中任何一个节点都有机会成为监督节点。如果优先级较高的节点没有上报(比如节点被买通或下线),那么优先级较低的节点仍有可能赢得奖励,因此这些节点仍然会受到经济激励,去举报有问题的预言机报告。 

攻击者如果要彻底杜绝一层节点向二层上报,就必须贿赂一层的每个节点,并且贿赂金额至少要达到奖励总金额。这样会极大提升DON的攻击门槛。通过将全部奖金发给一个节点,可以为DON建立更完善的加密经济安全机制,这个方案比所有举报节点平分奖金更有效。 

Chainlink explicit staking concentrated alerting rewards
攻击者必须向网络中每个节点支付高于奖金总额的贿赂(红色部分所示)。在集中奖励机制下,攻击者的攻击成本(灰色部分)要远高于分摊奖励机制。

Chainlink显性质押机制的计算公式

关于超线性质押影响的计算公式,白皮书内容如下:

假设一层DON中有n个节点,每个节点都质押金额为d的保证金,因此网络中质押的保证金总额为dn。要生成错误的预言机报告需要买通多数节点,因此恶意节点质押的保证金总额至少为dn/2。如果一层节点上报,并且被二层节点判定为有效,则优先级最高的监督节点将至少获得dn/2的保证金作为奖励。然而,由于任何节点都有可能成为监督节点,因此攻击者要给每个节点至少dn/2的贿赂才能确保它们不上报。因此,贿赂一层DON的总成本至少是dn²/2

下图摘自Chainlink 2.0白皮书中9.4.2章节,详细阐述了一层网络节点数量增长如何对DON的攻击成本产生二次方影响。

Showing the decentralization of the first tier of nodes

一层节点上报后可能出现哪些结果?

在显性质押机制中,一层DON生成预言机报告后可能出现三种结果:

  1. 所有节点达成共识:所有一层节点都正常运行,并一致同意报告中的聚合数值为正确值。每个预言机节点都获得每轮固定的报酬。
  2. 部分达成共识:一些节点下线,或少数节点报告错误数据,但是大部分节点生成了正确的数值,并且聚合出预言机报告,没有节点发出报警。所有诚实/正常节点都获得服务费,而所有问题/下线节点都扣除部分保证金(如:金额为服务费的10倍)
  3. 监督节点报警:如果一层网络中一个或以上的节点认为报告有问题,他们可以公开报警,升级至二层网络进行验证,并产生两种可能的结果:

l  有效上报:二层网络判定预言机报告有问题,所有一层中的问题节点被扣除全部保证金,并且全数奖励给优先级最高的监督节点。

l  无效上报:二层网络判定预言机报告没问题,并判定上报无效,所有发出报警的节点都被部分扣除保证金。 

在显性质押机制下,一层网络中的每个节点不仅有强大的经济激励去提供准确可靠的数据,而且还有强大的经济激励去举报恶意节点。

错误预言机报告保险

虽然恶意节点被扣除的所有保证金都被奖励给优先级最高的监督节点,但是用户仍希望获得一些经济补偿,以弥补错误预言机报告带来的损失。这其中的原因是,在多轮报警机制下,用户可以选择乐观地接受一层的预言机报告(注:一层预言机由于可能被二层仲裁并受到惩罚,因此不敢随便造假),或等到一层节点上报且二层节点仲裁后再接受。

保险公司可以为选择乐观接受预言机报告的用户提供错误预言机报告保险。保险协议可以通过链上智能合约执行,合约基于一层和二层网络签名的预言机报告触发并执行。如果一层和二层的报告不一致,则自动触发理赔,付款给受保人。由于Chainlink网络中会生成大量有关节点和DON的历史服务数据,因此保费可以维持在较低水平,且让保险公司能够盈利。 

总结 

Chainlink网络通过超线性显性质押机制进一步提升了加密经济安全,因此可以扩展应用规模,支持下一代混合型智能合约,并保障更高的合约价值。如果未来智能合约成为主流的数字协议,加密经济安全将变得至关重要,并在最大程度上保障去中心化应用执行的准确性、及时性和防篡改性,而这一切都依赖于预言机和计算的质量。

Chainlink2.0白皮书对Chainlink提出的显性质押机制进行了深入分析,包括其意义、设计理念以及每个模块的详解。若想了解更多,请查看白皮书第九章。 

更多关于这个主题的文章

l  Chainlink 2.0助力混合型智能合约实现大规模应用

l  去中心化预言机网络的未来发展计划

l  SCRF Chainlink 2.0白皮书总结

如果你是开发者,并希望通过Chainlink网络将智能合约接入链下数据和计算资源,请查看Chainlink开发者文档或联系Chainlink专家。 

Need Integration Support?
Talk to an expert
Faucets
Get testnet tokens
Read the Docs
Technical documentation