在公链项目早期，为什么PoW是一个更好选择？

在传统的互联网公司或金融机构中，如果一家公司，在一年之内，被委托的交易结算的总量为万亿美元的话，这家公司要么拥有可靠的技术和雄厚的资本，要么就是其它大公司及政府为其信用来做背书。而比特币却在没有政府或公司背书的情况下，在过去一年内支持了相当于一万亿美元的交易。这是因为比特币的工作量证明（PoW）机制确保了全世界的比特币矿工以点对点的方式去分布式地维护账本，且保证了其正确性和不可篡改性。

实际上，PoW 协议并不完美，它在运行过程中需要消耗大量的能量来计算哈希函数的结果，以保护区块链系统不被攻击。很多人认为这是一种“无用的能源消耗”。为了避免这种消耗，股权证明协议(PoS)便作为替代方案被提出。包括以太坊在内的几个著名的项目也开始探索股权证明协议(PoS)， 甚至有人认为，PoS协议在未来将完全取代PoW协议。

但是，在对 PoS 协议进行了深入的技术剖析之后，我们会发现：在一个公链项目的早期阶段，PoS 协议会带来很多问题，而这些问题在PoW协议下是可以避免。首先，使用PoS协议启动主网的公链项目，会不可避免地存在共识中心化的问题，因为主网上线的时候股权分布往往是相对集中的。此外，纯 PoS 协议还面临着远程攻击(Long Range attack)的威胁。最严重的远程攻击会导致新加入的节点必须信任一些中心化的网站给出的信息，而这会导致 PoS 公链成为一个本质上中心化的网络。去使用PoW协议启动主网的区块链则可以实现分散的共识，从而避免这些问题。当PoW公链经过一段时间的发展，股权分布相对分散以后，还可以选择PoW/PoS复合机制。

除此之外，还有一点值得注意的是，很多人误以为比特币的扩容问题是PoW机制的局限性造成的。我们经常在媒体网站或白皮书中看到这样的句子，“比特币因为使用了PoW机制，所以只能处理每秒3-7笔交易”。而事实上，经过适当的设计，例如，GHOST, Conflux 这样的PoW算法可以显著提高出块效率，达到每秒处理数千笔交易，且每笔交易都能得到全网节点的验证。

PoW v.s. PoS ：如何确定投票权

关于PoW和PoS之间的主要区别，就是在于如何确定区块链共识中的投票权。 在PoW中，系统中的投票权与节点的计算能力成正比。每秒可以计算哈希函数次数越多，节点就越有可能赢得区块链中下一个区块的出块权。而在PoS中，系统的投票权与持有的股权比例成正比。节点拥有资金越多，能为确定的下一个区块投的票数就越多。

在公链早期阶段，股权中心化将导致共识中心化

对于一个公有链来说，其上线初期往往是股权最集中的时候。在主网上线伊始，创始块中分配的币绝大多数属于项目方和私募投资人，而这些人的数量往往非常有限。对于PoW共识机制，初始股权的集中不会带来安全性问题，因为它的出块和安全性不依赖于股权持有的分散，而是依赖于算力的分散。对于使用反 ASIC 矿机的挖矿算法的公有链来说，任何人只要拥有显卡和网络就可以成为矿工，这有助于促进更多人参与挖矿，实现早期算力的分散。只要超过50%的算力来自于诚实的矿工，区块链中的交易就是安全不可逆转的。

然而，在PoS共识机制下，股权集中会导致共识协议的参与者集中。区块链的出块权只能由少数在创世块中拥有股权的玩家决定。如果这些人合谋对区块链进行攻击，则完全可以成功的实现双花攻击(Double spending attack). 尽管开发者和投资人出于利益考虑不会进行这样的攻击来摧毁他们自己的公链，但PoS公链也无可避免的在主网上线后就被这些人垄断和支配。更糟的是，如果出块可以获得大量奖励和交易费用，这些垄断者就会将大量股权牢牢控制在自己的手里，使得PoS公链成为一个本质上由巨头控制的网络。

我们不要忘了，区块链的核心价值是什么？是去中心化的共识协议，保证了区块链系统中每笔交易的正确性、不可篡改性。如果共识协议无法保证参与者的分散，区块链就无法做到无需信任的安全性，那么区块链和传统的分布式系统相比就没有任何优势了，甚至传统的分布式系统能做得更经济更高效。因此，公链项目在早期使用PoW, 是避免共识中心化，保护区块链核心价值的明智选择。

“ 长程攻击 ” 与 “ 主观依赖 ” 问题

在一个公有链中，一个攻击者如果拥有当下足够多的算力或股权，无疑是可以打破公有链安全性完成攻击的。但是在 PoS 公链中，如果攻击者获得了一些账户的私钥，这些私钥在历史上某一时刻控制了超过51%的股权，也可以完成攻击，这种攻击的方式被称为长程攻击（Long Range Attack）。

在长程攻击中，攻击者首先获得一些私钥，只要这些私钥在历史上曾经获得了足够多的股权，便可以从这一时刻开始分叉进行 51% 攻击，制造一条分叉链出来。而 PoS 的出块不需要进行工作量证明，攻击者可以短时间内让重写历史的分叉链追赶上原本的主链，从而造成PoS链的分叉和防篡改性被打破。

攻击者能够取得这些私钥不是天方夜谭。如果PoS公链的早期投资人在二级市场将持有的代币卖掉后，将账户私钥卖给攻击者，攻击者就可以从创世块进行长链攻击，从而可以打破一个链的安全性。如果一些投资者追求短期收益而非价值投资，攻击者从他们手里获得私钥就成为了一个可能的事情。

而为了应对长程攻击，则有各种各样的解决方案被提出：例如使用密钥演化算法更新密钥，以避免密钥被盗。但是如果早期投资者一开始就决定通过出售私钥获利，那么他完全可以保留密钥种子以绕开这一限制。还有一些解决方案基于这样一个事实：如果攻击者挖了一条完全不同的链，长期在系统中运行的节点或许有能力探测出这种异常。但是，这些方案依然存在如下问题：

PoS 长程攻击造成的分叉与 PoW 的分叉有所不同。PoW 的分叉链难以获得比特币全网算力，比特币矿工很容易从总算力中辨别谁是真正的比特币。鉴于PoS共识协议在实际运行时，绝大多数股权持有者只是区块链的使用者，并不会一直运行一台服务器。攻击者只要在一个历史节点拥有了相当与PoS实际参与者的股权比例，就可以制造出一条难以辨别的分叉链出来。配合女巫攻击（Sybil Attack），攻击者可以从区块历史和节点数量上都获得和被攻击主链接近的水平，令新加入的节点无法区分，只能通过人工指定的方式选择。这样新参与者必须咨询受信任节点来安全地加入系统，这一问题被称为“主观依赖”（Weak Subjectivity）

无利害攻击

无利害攻击（Nothing at Stake）是另一种PoS攻击方式。当一个 PoS 链因为网络延迟、长程攻击或其他原因出现分叉时，PoS 矿工可以选择在两个分叉的链上同时出块，以获取最大收益。而这违反了共识协议。

在 PoW 链中，如果一个矿工想同时在多个分叉上挖矿，就必须将自己的算力分散在多个分叉上，所有分叉上分配的算力总和不会超过矿工拥有的总算力。对于多数矿工而言，将自己的全部算力投入到协议指定的链上是最优的选择。

然而，在 PoS 多个分叉上同时出块所带来的额外成本可以忽略不计，而选择同时出块可以保证无论哪一条分叉链最终胜出都可获得收益。如果矿工遵守共识协议，只在协议指定的链上挖矿。一旦这个链被丢弃，矿工将会失去挖矿奖励。只追求挖矿收益最大化的矿工会在两边同时参与，不惜因此打破协议——这会导致链长时间维持分叉的状态。

与长程攻击不同，精巧的激励机制设计可以避免这一攻击。但无利害攻击依然表明让PoS链正确地运行是一件很困难的事情。

总结

虽然 PoS 具有节省能源等优势，从而很多项目表示将采用PoS。但我们在分析区块链安全性假设后发现，避免了计算“无用的哈希”之后会引入很多攻击情形，而且目前没有很完美的解决方案。诚然PoS有能源效率的优势，但也带来了很多安全性威胁。在PoS很好地解决这些威胁之前，PoW消耗的能源，就像和平时期国家军队用掉的军费一样，阻挡了很多潜在的威胁。最重要的是，其中许多威胁在区块链项目早期显得尤其致命。这也是我们为什么相信新的公链项目应该从PoW开始。

本文作者为Conflux算法研究员 李辰星