a16z：公共隨機性和隨機性信標_以太坊

公共隨機性是許多現實世界安全協議的一個重要組成部分。在一些應用中，如賭博和多人游戲，隨機性增加了樂趣。在其他應用中，隨機性提供了一種公平的方式來分配不可分割的資源，從綠卡，到巡回法庭法官的案件分配，再到體育比賽的種子選手。它也被用來分配負面資源，如稅務審計或機場的二次安檢。

傳統上，我們依靠受信任的機構來為這些協議產生隨機性，但在Web3世界中，我們需要做得更好。在這篇文章中，我們將探討通過分布式隨機信標建立可公開驗證的隨機性的方法，然后討論一些鏈上應用。(第二部分即將發布，將特別關注領導者選舉，同時提供對其他領導者選舉方法的評估）。

預期的屬性

生成隨機數是一項眾所周知的微妙任務。例如，許多加密密鑰被泄露，因為它們依賴于一個有問題的隨機數發生器。然而，這只是私人隨機性，只有一方需要生成和使用它。

相比之下，公共隨機性是一個多方參與的過程，這大大增加了難度。一個好的產生公共隨機性的協議將具有以下安全特性：

無偏向性。沒有攻擊者或攻擊者聯盟能夠偏袒輸出。

可靠的。沒有攻擊者能夠阻止協議產生輸出。

可驗證的。任何人都可以很容易地驗證協議的輸出，并且應該看到與其他人一樣的輸出。

不可預測的。如果協議在時間T1產生輸出，在某個時間T0<T1之前，沒有人能夠預測任何關于輸出的事情，最好是T0非常接近T1。

a16z支持的AIGC公司Ireverent Labs獲得Samsung Next新一輪投資:金色財經報道，AIGC公司Ireverent Labs剛剛完成了新一輪融資，Samsung Next領投此輪融資，沒有透露具體金額。這輪融資并不是Ireverent Labs的第一次融資，該公司成立于2021年，去年籌集了4500萬美元資金，由Andreessen Horowitz（a16z）領投。[2023/8/24 10:40:11]

不可偏倚性是一個比不可預測性更弱的屬性，因為任何可預測的協議都必須是不可偏倚的。計算機科學家會說，不偏倚性降低到不可預測性，因為如果你能偏倚，你就能預測。但有時我們會想把它們分開來推理，因為它們可能依賴于不同的假設，例如，一個不誠實的多數人可能會預測結果，但不會偏向它。

除了這些特性之外，該協議應該是高效運行的，并產生大量的隨機比特。(在實踐中，應用程序通常足以產生128個隨機比特，用它們作為偽隨機數發生器PNRG的種子，根據需要輸出更多的比特。然而，不可預知性應該保持在輸出的每個單獨的位上，以用于諸如彩票或資源分配等應用）。該協議最好在通信和計算成本方面也是有效的。

不同的協議可能在不同的條件下實現這些屬性。例如，一些協議可能是由任何f1個惡意節點組成的聯盟不可偏袒的，而由任何f2<f1個惡意節點組成的聯盟是不可預測的。也有不同程度的偏見。例如，在一些協議中，一個參與者可能能夠通過“一個比特”來偏置輸出——這意味著他們可以在兩個可能的輸出中選擇一個。其他攻擊可能允許他們完全固定輸出。然而，通常情況下，我們根本不想容忍任何偏見。

體育元宇宙初創公司Gym Class完成800萬美元種子輪融資，a16z領投:金色財經報道，體育元宇宙初創公司Gym Class宣布完成800萬美元種子輪融資，由 Andreessen Horowitz（a16z） 領投，Y Combinator 參投。Gym Class允許使用虛擬頭顯與來自世界各地的玩家一起打籃球（8人），玩家通過自己的身體動作控制全身化身，并手持 Quest 控制器在用戶可以自行設計的可定制數字球場上進行投籃、傳球、運球和扣籃。據悉，目前這款應用在 Meta Quest App Lab 的下載量已經接近一百萬，并計劃于今年秋季在 Meta Quest Store 上推出。（sporttechie）[2022/8/3 2:55:04]

加密學的理想：隨機性信標

密碼學家們經常從思考他們問題的理想解決方案開始。在公共隨機性的情況下，隨機性信標是一種理想化的服務，它定期產生滿足所有必要安全要求的隨機輸出。

這樣一個理想化的隨機性信標，類似于其他密碼學的抽象概念在現實世界中并不存在。但這是一個值得努力的目標，也是推理依賴公共隨機性的協議的有用模型。

我們可以考慮幾個理想隨機性信標的近似值。

集中式信標。產生良好隨機性的最簡單方法是通過中心化第三方的服務，如NIST隨機性信標或Random.org，它從大氣噪聲中產生隨機性并被認可用于賭博。這種對第三方的依賴完全破壞了去中心化的理念。事實上，在上面的例子中，我們不得不相信相關組織正在正確地生成隨機性，而沒有任何密碼學證明。

物理隨機性顯示。許多傳統的彩票依賴于公開展示，例如，這可能包括有人將手伸進一個裝有不同數字的乒乓球的容器。不幸的是，這些往往很容易被操縱。例如，可以將某些球放在冰箱里，然后告訴選擇者挑選冷的球。

a16z宣布推出使用零知識證明技術的空投領取工具:金色財經報道，加密風投機構a16z在官網宣布推出使用零知識證明技術的空投領取工具，使得加密項目方向活躍貢獻者發放空投時保護貢獻者的地址隱私，特別是根據用戶鏈下活動空投代幣的情況下。

具體而言，潛在的空投接收者可以通過公共渠道（如 Telegram、Discord、Twitter 或 Signal）提供消息（稱為“承諾”）；然后，空投者通過將這些承諾散列在一起，構建一個Merkle樹。隨后，潛在的接受者可以通過提供零知識Merkle證明，證明他們是樹內承諾的作者，而無需透露是哪一個，從而聲稱自己的空投份額。

a16z稱，以這種方式申領代幣將收件人的公共地址與所有其他有權空投的用戶的公共地址混合在一起，從而保護他們的匿名性。[2022/3/28 14:21:12]

自然信標。一個常見的想法是使用隨機的自然現象，如天氣或宇宙背景輻射作為一個信標。不幸的是，所有提議的來源都不能提供強有力的共識。不同的觀察者會看到略有不同的數值，這就需要重新引入一個受信任的一方來進行正式的測量，這就有了中心化信標的所有缺點。

半中心化的信標。一個更好的方法是直接從比特幣區塊頭或股票收盤價中獲取隨機性，這更容易公開驗證，任何一方都難以完全控制。然而，對工作證明區塊鏈隨機性和股票價格隨機性的微妙攻擊仍然存在。例如，通過區塊鏈頭，礦工可以選擇扣留那些頭產生他們不喜歡的信標值的區塊。或者他們可以選擇在發現兩個相撞的區塊時，根據他們喜歡的信標輸出來打破平局。

去中心化的隨機性信標

解決中心化信標問題的一個自然方法是設計一個去中心化的加密協議來產生公共隨機性。這個問題有點像設計去中心化的共識協議，只是更難。不僅所有的參與者需要就輸出達成一致，而且協議中的惡意參與者應該不可能對輸出產生偏見或預測。

A16z領投去中心化借貸協議Goldfinch的2500萬美元融資:金色財經報道，去中心化借貸協議Goldfinch在由Andreessen Horowitz(a16z)領投的A輪額外融資中籌集了2500萬美元，后者于去年6月領投了該協議的1100萬美元A輪融資。這輪融資的其他投資者包括著名的對沖基金經理Bill Ackman、加密投資公司BlockTower和投資管理公司Kingsway Capital。[2022/1/7 8:31:17]

旨在模擬隨機性信標的協議被稱為分布式隨機性信標。其他名稱包括“distributedcoin-flipping”。）這個問題已經被研究了幾十年，著名的不可能性結果在20世紀80年代被證明，但在區塊鏈時代，人們重新燃起了興趣。DRB可以用來提供鏈上隨機性，這將是公平、安全和透明的鏈上應用的一個關鍵因素。

經典的方法：承諾-披露協議

在樂觀的情況下，一個非常簡單的兩輪協議就足以滿足DRB的要求。在第一輪中，每個參與者i產生一個隨機值ri并公布一個加密承諾ci=Commit(ri)。在這個應用中，承諾可以是一個簡單的哈希函數，如SHA-256。在每個參與者的承諾公布后，他們被鎖定在他們對ri的選擇上，但承諾不會透露任何關于其他參與者貢獻的信息。在第二輪，每個參與者通過公布ri來“打開他們的承諾”。然后，所有的隨機值被組合起來，例如通過XOR或哈希它們的連接。

這個協議很簡單，只要有一個參與者隨機選擇他們的ri，就能產生一個隨機的信標輸出。不幸的是，它有一個典型的缺陷：當所有的參與者都透露了他們的隨機值，最后一個參與者能夠計算出假定的信標輸出。如果他們不喜歡它，他們可以拒絕公布他們的值，從而中止協議。忽略一個有問題的參與者的貢獻并不能解決問題，因為這仍然讓攻擊者在兩個信標輸出中選擇。

Nansen獲得a16z領投的1200萬美元融資:官方消息，鏈上數據分析工具Nansen獲得1200萬美元融資，a16z領投，其它參投機構包括SkyfallVentures、CoinbaseVentures、imTokenVentures、MechanismCapital和QCPCapital，所籌資金將用于1.人才招聘；2.繼續發展數據平臺以成為第一區塊鏈分析平臺；3.壯大加密投資者和交易員社區，包括頂級對沖基金和風險投資基金；4.將服務擴展到其它區塊鏈及Layer2解決方案（Polygon、Optimism、Arbitrum或其它）等等。[2021/6/29 0:14:47]

區塊鏈為這個問題提供了一個自然的補救措施：可以要求每個參與者把一些資金放在托管處，如果他們不透露他們的隨機貢獻，這些資金就會被扣押。這正是以太坊上的經典RANDAO信標采取的方法。這種方法的缺點是，輸出仍然可能有偏差，如果托管的資金少于騎在信標結果上的資金，這對攻擊者來說可能在經濟上是值得的。要想更好地防范偏頗攻擊，就必須在托管中投入更多的硬幣。

承諾-披露-恢復協議

一些協議并不試圖強迫所有各方透露他們的隨機貢獻，而是包括一個恢復機制，這樣即使少數參與者退出，其余的人也能完成協議。重要的是，該協議在兩種情況下都能產生相同的結果，這樣各方就不能通過選擇是否退出而使結果產生偏差。

實現這一點的一種方法是讓每個參與者向其他參與者提供其秘密的份額，這樣他們中的大多數就可以重建它，例如使用Shamir的秘密共享。然而，一個重要的屬性是，其他人可以驗證所承諾的秘密已被正確共享，這需要使用一個更強大的原始方法，稱為可公開驗證的秘密共享。

其他幾種恢復機制是可能的，但它們都有相同的限制。如果有N個參與者，并且我們希望在最多f個節點的任何一組退出時有彈性，那么必須是N-f個參與者的任何一組可以計算出最終結果。但這也意味著N-f個參與者的惡意聯盟可以通過私下模擬恢復機制提前預測結果。這也可能發生在協議的第一輪，在此期間，這樣的聯盟可以修改他們自己的隨機性選擇并偏向于結果。

換句話說，這意味著任何N-f節點的聯盟必須包括至少一個誠實的節點。通過簡單的代數，N-f>f，所以f<N/2，而這些協議本質上需要一個誠實的多數。這與承諾-披露的原始安全模型有很大區別，后者只要求f<N。

這些協議通常還需要大量的通信費用，以便在協議的每次運行中的所有節點之間分享額外的PVSS信息。在過去的幾年里，研究界對這個問題做了大量的工作，研究方案包括RandShare、Scrape、SecRand、HERB或Albatross，但似乎都沒有看到現實世界的部署。

可驗證的基于隨機函數的協議

意識到一組N-f的參與者可以計算上述協議中的隨機信標值，就會產生一種更簡單的方法：在N方之間共享一個長期的秘密密鑰，讓他們用它來評估一個可驗證的隨機函數。秘密密鑰通過一個t-out-of-N的閾值方案共享，因此任何t個參與者都可以計算VRF。對于t=N-f，這提供了與上面討論的提交-揭示-恢復協議相同的對f個惡意節點的恢復能力。

DFINITY開創了這種方法，作為他們使用閾值BLS簽名的共識協議的一部分。獨立的drand隨機性信標使用了基本相同的方法，由一組參與者在每一輪中對一個計數器進行閾值-BLS簽名。TheLeagueofEntropy是drand的一個開源實例，使用16個參與節點每30秒產生一次隨機性，由公司和大學研究團體混合運行。

這些方法的一個缺點是，初始化閾值密鑰相對復雜，當節點加入或離開時，重新配置密鑰也是如此。不過，在普通情況下，這些協議是非常有效的。

如上所述，簡單地簽署一個計數器值并不為每一輪增加任何新的隨機性，所以如果有足夠數量的參與者的密鑰被泄露，那么該協議在未來的每一輪都是可預測的。

ChainlinkVRF將這種方法與請求隨機性的各方指定的外部隨機性來源相結合，在實踐中通常是最近的區塊鏈頭。然后，這些數據通過一個VRF被送入，該VRF由一方運行或閾值到一個組。

以太坊的信標鏈目前使用基于BLS的VRF：每一輪的提議者將他們的VRF值添加到組合中。與提交-披露模式相比，這節省了一輪通信，盡管這種設計繼承了提交-披露方法的一些注意事項，包括通過扣留輸出而使信標的輸出有偏差的可能性。

可驗證的基于延遲函數的協議

最后，一個有希望的新方向是使用基于時間的密碼學，特別是可驗證的延遲函數。這種方法有望提供良好的通信效率和穩健性，對N-1個惡意節點具有彈性。

回到最初的承諾-披露協議，傳統的承諾可以用定時承諾代替，以消除參與者拒絕披露其隨機貢獻的問題。定時承諾可以由最初的承諾人，或任何愿意計算慢速函數的人有效地打開。因此，如果任何參與者退出了承諾披露協議，他們的承諾仍然可以被其他人打開。至關重要的是，打開承諾的最小時間要足夠長，不能在協議的第一輪完成，否則惡意的參與者可以迅速打開別人的承諾，修改自己的貢獻，使結果出現偏差。

現代的VDF可以實現一個更優雅的單輪協議：完全放棄承諾。每個參與者可以簡單地公布他們的隨機貢獻，而最終結果是每個參與者的貢獻的組合，通過VDF運行。計算VDF的時間延遲確保沒有人能夠以偏離最終輸出的方式選擇他們的承諾。這種方法是ArjenLenstra和BenjaminWesolowski在2015年提出的UNICORN，實際上是VDF發展中的一個關鍵激勵應用。

我們已經能看到了這種方法的一些實際部署。Chia實現了其中的一個版本，作為其共識協議的一部分，在班組中使用重復求和的VDFs。Starkware使用基于SNARK的VDFs實現了一個基于VDF的信標概念驗證。以太坊也計劃使用這種方法，建立一個專門的ASIC來計算VDF，在共識層產生隨機性。

公共隨機性是許多協議的重要組成部分，但我們仍然缺乏任何提供高安全性的標準DRB。設計空間很大，上述方法的許多混合體和組合都是可能的。例如，有可能將基于VRF的協議與基于VDF的協議結合起來，這就增加了新鮮的熵，例如RandRunner提出的。以太坊的BeaconChain目前使用VRF，盡管它可能在未來增加VDF，以消除區塊扣留攻擊帶來的偏差的可能性。

什么時候可以接受誠實多數協議也是一個開放的問題。對于一個相對較小的、經過審查的參與者群體誠實多數假設是合理的。另一方面，只需要一個誠實參與者的協議有一個固有的優勢——更多的參與者只能提高安全性。這意味著這些協議有可能被部署在開放的、無許可的參與中。

在第二部分，我們將討論隨機化領袖選舉在共識協議中的具體應用，它的設計目標略有不同，因此有更多的協議和方法被提出。

JosephBonneau是a16zcrypto的研究合伙人。他的研究重點是應用密碼學和區塊鏈安全。他曾在墨爾本大學、紐約大學、斯坦福大學和普林斯頓大學教授加密貨幣課程，并獲得劍橋大學的計算機科學博士學位和斯坦福大學的學士/碩士學位。

ValeriaNikolaenko是a16zcrypto的研究合伙人。她的研究重點是密碼學和區塊鏈安全。她也曾研究過PoS共識協議中的遠程攻擊、簽名方案、后量子安全和多方計算等課題。她擁有斯坦福大學的密碼學博士學位，由DanBoneh教授指導，并作為核心研究團隊的一員參與了Diem區塊鏈的研究。

感謝大家的觀看，大家評論或者私信，小二看到后也會第一時間回復。

Tags：區塊鏈以太坊DRB區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢以太坊幣是什么幣DRB價格DRB幣

Coinw