原标题：PossiblefuturesoftheEthereumprotocol,part1:TheMerge

作者：Vitalik，Ethereum创始人，编译：邓通，金色财经

最初，“合并”（TheMerge）指的是Ethereum协议自推出以来最重要的事件：期待已久、来之不易的从工PoW证明到PoS的过渡。如今，Ethereum已经稳定运行了近两年，并且这种PoS在稳定性、性能和避免中心化风险方面表现非常出色。然而，PoS仍有一些重要领域需要改进。

我在2023年绘制的路线图将其分为几部分：改进技术特性，例如稳定性、性能和对小型验证者的可访问性，以及经济学变革以应对中心化风险。前者成为“TheMerge”部分，而后者成为“theScourge”的一部分。

请注意，这一切都取决于Ethereum的一个关键目标： 确保即使成功的攻击也会对攻击者造成高昂的成本。这就是“经济上的最终确定性”一词的含义。如果我们没有这个目标，那么我们可以通过随机选择一个委员会（例如Algorand所做的）来最终确定每个slot来解决这个问题。但这种方法的问题在于，如果攻击者确实控制了51%的验证者，那么他们可以以非常低的成本进行攻击（撤销最终确定的区块、审查或延迟最终确定）：只有委员会中的那部分节点可以被检测为参与攻击并受到惩罚，无论是通过slash还是少数派软分叉。这意味着攻击者可以多次反复攻击该链。因此，如果我们想要经济上的最终确定性，那么简单的基于委员会的方法是行不通的，乍一看，我们确实需要验证者全集体参与。

理想情况下，我们希望保留经济上的最终确定性，同时在两个领域改善现状：

1、在一个slot内完成区块（理想情况下，保持甚至减少当前12秒的长度），而不是15分钟

2、允许验证者质押1ETH（原先为32ETH）

第一个目标的合理性来自两个目标，这两个目标都可以看作是“使Ethereum的属性与（更中心化的）注重性能的L1链的属性保持一致”。

首先，它确保所有Ethereum用户都能从通过最终确定机制实现的更高级别的安全保证中受益。如今，大多数用户都无法享受这种保障，因为他们不愿意等待15分钟；而使用单slot最终确定机制，用户几乎可以在确认交易后立即看到交易最终确定。其次，如果用户和应用程序不必担心链回滚的可能性（除非出现相对罕见的不活动泄漏-inactivityleak），那么它就简化了协议和围绕它的基础设施。

第二个目标是出于支持solo质押者的愿望。一次又一次的民意调查反复表明，阻止更多人solo质押的主要因素是32ETH的最低限额。将最低限额降低到1ETH将解决这个问题，以至于其他问题成为限制solo质押的主要因素。

存在一个挑战：更快的确定性和更民主化的质押目标都与最小化开销的目标相冲突。事实上，这个事实就是我们一开始不采用单slot最终确定性的全部原因。然而，最近的研究提出了一些解决这个问题的可能方法。SSF是什么以及它是如何工作的？

单slot最终确定性涉及使用在一个slot内最终确定区块的共识算法。这本身并不是一个难以实现的目标：许多算法（例如Tendermint共识）已经以最佳属性实现了这一点。Ethereum独有的一项理想属性是“不活动泄漏inactivityleak”，Tendermint不支持该属性，即使超过1/3的验证者离线，该属性也允许链继续运行并最终恢复。幸运的是，这个愿望已经得到解决：已经有提案修改Tendermint式共识以适应inactivityleak。

领先的单slot最终确定性提案

问题最难的部分是弄清楚如何使单slot最终确定性在验证者数量非常高的情况下发挥作用，而不会导致极高的节点运营商开销。为此，有几种领先的解决方案：

选项1：蛮力——努力实现更好的签名聚合协议，可能使用ZK-SNARKs，这实际上允许我们在每个slot中处理来自数百万个验证者的签名。

Orbit利用验证者存款规模中预先存在的异质性来获得尽可能多的经济上的最终确定性，同时仍将给予solo验证者相应的角色。此外，Orbit使用缓慢的委员会轮换来确保相邻法定人数之间的高度重叠，从而确保其经济上的最终确定性仍然适用于委员会轮换边界。

选项3：两层质押-一种机制，其中质押者分为两类，一类的存款要求较高，另一类的存款要求较低。只有存款要求较高的层级会直接参与提供经济上的最终确定性。有各种提案（例如，参见Rainbow质押文章）来具体说明存款要求较低的层级拥有哪些权利和责任。常见想法包括：

将委托质押的权利给更高层级的质押者

随机抽取较低层级的质押者来证明并最终确定每个区块

生成包含名单（inclusionlists）的权利与现有研究有哪些联系？

实现单slot最终确定性的途径（2022年）：https://notes.ethereum.org/@vbuterin/single_slot_finality

Ethereum单slot最终确定性协议的具体提案（2023年）：https://eprint.iacr.org/2023/280

OrbitSSF：https://ethresear.ch/t/orbit-ssf-solo-staking-friendly-validator-set-management-for-ssf/19928

对Orbit风格机制的进一步分析：https://notes.ethereum.org/@anderselowsson/Vorbit_SSF

Horn，签名聚合协议（2022年）： https://ethresear.ch/t/horn-collecting-signatures-for-faster-finality/14219

大规模共识的签名合并（2023年）：https://ethresear.ch/t/signature-merging-for-large-scale-consensus/17386?u=asn

Khovratovich等人提出的签名聚合协议：https://hackmd.io/@7dpNYqjKQGeYC7wMlPxHtQ/BykM3ggu0#/

基于STARK的签名聚合（2022年）：https://hackmd.io/@vbuterin/stark_aggregation

Rainbow质押：https://ethresear.ch/t/unbundling-staking-towards-rainbow-staking/18683还剩下什么要做？需要权衡什么？

有四种主要的可能路径可供选择（我们也可以采取混合路径）：

1、维持现状

2、OrbitSSF

3、蛮力SSF

4、具有两层质押机制的SSF

1意味着不做任何工作并保持原样，但这会使Ethereum的安全体验和质押中心化属性变得比本来应该的更糟糕。

2避免“高科技”，通过巧妙地重新思考协议假设来解决问题：我们放宽了“经济上的最终确定性”的要求，这样我们就要求攻击是昂贵的，但攻击成本可能比现在低10倍（例如，攻击成本为25亿美元，而不是250亿美元）。人们普遍认为，Ethereum如今的经济上的最终确定性远远超出了它所需要的水平，它的主要安全风险在其他地方，所以可以说这是可以接受的牺牲。

主要工作是验证Orbit机制是否安全并具有我们想要的属性，然后对其进行完全形式化和实施。此外，EIP-7251（增加最大有效余额）允许自愿验证者余额合并，这会立即减少链验证开销，并作为Orbit推出的有效初始阶段。

3避免巧妙的重新思考，而是用高科技强行解决问题。要做到这一点需要在很短的时间内（5-10秒）收集大量签名（100万以上）。

4避免了巧妙的重新思考和高科技，但它确实创造了一个两层的质押系统，仍然具有中心化风险。风险在很大程度上取决于较低质押层获得的特定权利。例如：

如果低层级质押者需要将其证明权委托给高级质押者，那么委托可能会中心化化，最终我们会得到两个高度集中的质押层级。

如果需要对较低层进行随机抽样来批准每个区块，那么攻击者只需花费极少量的ETH即可阻止最终确定性。

如果较低级别的质押者只能制作包含列表，那么证明层可能会保持中心化，此时对证明层的51%攻击可以审查包含列表本身。

可以组合多种策略，例如：

1+2：添加Orbit，但不执行单slot最终性

1+3：使用强力技术减少最小存款额，而无需进行单slot最终确定。所需的聚合量比纯(3)情况少64倍，因此问题变得更容易。

2+3：使用保守参数执行OrbitSSF（例如，128k验证者委员会而不是8k或32k），并使用蛮力技术使其超高效。

1+4：添加Rainbow质押，但不进行单slot最终确认SSF如何与路线图的其他部分互动？

除了其他好处之外，单slot最终确定性还降低了某些类型的多块MEV攻击的风险。此外，在单slot最终确定性世界中，证明者-提议者分离设计和其他协议内块生产管道需要以不同的方式设计。

蛮力策略的弱点在于它们使得减少slot时间变得更加困难。单一秘密领导人选举（Singlesecretleaderelection，SSLE）我们正在解决什么问题？

如今，哪个验证者将提出下一个区块是可以提前知道的。这会产生一个安全漏洞：攻击者可以监视网络，确定哪些验证者对应哪些IP地址，并在验证者即将提出区块时对其发起DoS攻击。SSLE是什么以及它是如何工作的？

解决DoS问题的最佳方法是隐藏哪个验证者将生成下一个区块的信息，至少在区块实际生成之前。请注意，如果我们删除“单一”要求，这很容易：一种解决方案是让任何人都可以创建下一个区块，但要求randao揭示小于2 256 /N。平均而言，只有一个验证者能够满足此要求-但有时会有两个或更多，有时会没有。将“秘密”要求与“单一”要求结合起来一直是一个难题。

单一秘密领导者选举协议通过使用一些加密技术为每个验证者创建一个“盲”验证者ID，然后让许多提议者有机会对盲ID池进行改组和重新盲化（这类似于mixnet的工作方式），从而解决了这个问题。在每个时段内，都会选择一个随机的盲ID。只有该盲ID的所有者才能生成有效的证明来提议区块，但没有人知道该盲ID对应的是哪个验证者。

量子计算专家，例如ScottAaronson，最近也开始更加认真地考虑量子计算机在中期内实际工作的可能性。这将对整个Ethereum路线图产生影响：这意味着目前依赖于椭圆曲线的每个Ethereum协议部分都需要某种基于哈希或其他抗量子性的替代方案。这特别意味着我们不能假设我们将能够永远依靠BLS聚合的优异性能来处理来自大型验证者集的签名。这证明了在权益证明设计性能假设方面的保守性是合理的，也是更积极地开发抗量子替代方案的原因。

特别感谢 JustinDrake、Hsiao-weiWang、@antonttc和 Francesco 的反馈和审查。