以太坊客户端的多样性

　　以太坊有多个可互操作的客户端，由独立团队用不同的语言开发和保护。这是一项重大成就，经过将缝隙或进犯的影响约束在运转受影响客户端的网络部分，能够为网络供给弹性。但是，只要当一切用户大致均匀地分布在各个可用的客户端上时，才干完成这种优势。现在，绝大大都以太坊节点运转单个客户端，给网络带来不必要的危险。

　　以太坊将很快经历自成立以来其架构最重要的一次晋级——从工作量证明(PoW)到权益证明(PoS)的兼并。这将从根本上改变该网络对区块链的实在状况到达共同的办法，并保护网络安全。这种新架构将带来安全性、可扩展性和可持续性方面的好处，但一起也扩大了与这种由单个客户端占主导位置有关的危险。这篇文章将探讨其中的缘由...

　　信标链

　　信标链是一条PoS区块链。它现在与以太坊主网并行运转，但两者很快将“兼并”在一同。兼并之后，现有的以太坊主网客户端(“实行客户端”)将持续保管以太坊虚拟机(EVM)，并验证和广播买卖，但将中止参加工作量证明(PoW)挖矿，并放弃对区块链链头(顶端区块)到达共同的职责。相反，这种共同将成为“共同客户端”的职责，“共同客户端”负责把来自“实行客户端”的买卖与共同所需的信息一同打包进“信标区块”中，这些信标区块就构成了信标链。“矿工”将被“验证者”(validators)替代，这些验证者需求将ETH存入某个以太坊智能合约中(这一进程称为“质押”(staking))。验证者质押的ETH将作为抵押品，以鼓励他们正确地完成验证工作。不实行验证工作(比方由于离线)或进行歹意行为的验证者，将导致其质押的ETH的一部分被毁掉。另一方面，假如验证者行为妥当，那么将会取得ETH奖赏。

　　1.验证者的职责

　　关于验证者来说，杰出的行为意味着参加验证从其他验证者那里接收到的信标区块，并对区块链链头进行投票。假如验证者接收到的区块是有用的，那么验证者将对区块进行“证明”(attest)，实践上便是投票支持将该区块添加到区块链中。一个节点将不定时地被要求提议一个新区块，其他验证者将“证明”该区块。当区块链有多个分叉时，只要那条在其前史上积累了最多“证明”(attestations)的链才是正确的区块链。

　　验证者还将不定时地参加到某个同步委员会(synccommittee)中，同步委员会是一个由随机挑选的512名验证者组成的小组，这些被随机选中的验证者将对区块头(blockheaders)进行签名，这样轻客户端就能够检索这些被验证过的区块，而无需拜访整条前史链或整个验证者集。

　　2.合理化&被敲定

　　信标链为网络设定节奏。这种节奏被组织成两个时刻单位：slot和epoch。slot是将区块添加到信标链的时机，每12秒呈现一次。某个slot或许没有区块，但当体系以最佳办法运转时，区块会添加到每个可用的slot中。epoch是以32个slot(约6.4分钟)为单位的。slot和epoch设定了以太坊区块链的节奏。

　　在每个epoch期间，第一个slot中的区块是一个检查点(checkpoint)。检查点是十分重要的，由于检查点被用于使区块链账本上的记载变得永久和不行逆转——这是一个分为两个阶段的进程：首要，假如一切活泼验证者质押的ETH余额中至少有2/3(即“绝对大都”)证明了最近的两个检查点(其时的被称为“方针检查点”，前一个被称为“源检查点”)，那么这两个检查点之间的这段区块就被“合理化”(justified)了。“合理化”是迈向成为以太坊威望链上永久记载的第一步。一旦某个被“合理化”的检查点之后新呈现了另一个被“合理化”的检查点，那么前一个检查点便是“被敲定”(finalized)了，也即便其具有了永久性和不行逆转(即这个检查点之前的一切记载都成为了区块链上永久不行篡改的记载)。

　　这个“合理化”和“敲定”的进程要求验证者进行的“证明”(attestations)实践上要比上文论述的要更杂乱一些。有两种类型的证明：一种是LMDGHOST投票，用于证明区块链的链头(LMDGHOST是分叉挑选算法)；第二种是用于对两个检查点进行证明的FFG投票(FFG是“终究性小工具”(finalitygadget)，对区块链进行合理化和终究敲定)。一切验证者都会对每个检查点进行FFG投票，而只要一个随机选中的验证者子集在每个slot进行LMDGHOST投票。

　　3.验证者的质押奖赏、赏罚和罚没

　　奖赏

　　如前所述，验证者质押的ETH用于作为“抵押品”，以鼓励验证者的诚笃行为。跟着验证者由于参加到保护网络中而取得奖赏，这些被质押的ETH将跟着时刻的推移而添加。当验证者进行的LMD-GHOST投票和FFG投票与大大都其他验证者共一起，那么验证者就会取得证明奖赏。当验证者被选中作为“区块提议者”(blockproposer)时，假如其提议的区块被“敲定”，那么该验证者也将取得奖赏。区块提议者也能够经过将有关其他验证者行为不妥的证明打包进自己提议的区块中，然后添加自己取得的奖赏。这些奖赏是鼓励验证者诚笃行事的“报酬”。

　　赏罚

　　验证者或许遭到的“赏罚”是以各种机制的形式来毁掉一部分验证者质押的ETH。当验证者未能提交一个FFG投票、提交延迟了或许提交了过错的FFG投票时，都会遭到证明赏罚(attestationpenalties)。但假如验证者错过了进行LMD-GHOST投票，则不会遭到赏罚，仅仅错过了本能够经过对链头进行投票而取得的奖赏。验证者余额被削减的数额，等同于假如他们提交正确的证明而本能够取得的奖赏数额。这意味着，一个诚笃但“懒惰”的验证者，他由于错过了证明而遭遭到的最大赏罚，便是丢失他假如以完美的办法进行证明时本能够取得的奖赏金额的3/4。此外，当验证者被分配至“同步委员会”(synccommittee)时，假如该验证者未能签名区块，那么其遭到的赏罚将等同于假如他成功地签名区块时本能够取得的ETH价值。

　　总的来说，这些赏罚是温文的，验证者持续的怠惰(inactivity)仅会使其质押的ETH遭到一个适当缓慢的削减。

　　罚没

　　罚没(slashing)是一种更严重的行为，这会导致验证者被强制从网络中移除，并导致相关的ETH质押金丢失。有三种办法会导致验证者被罚没，一切这些都适当于验证者进行了不诚笃的区块提议或区块证明：

　　在同一个slot提议和签名两个不同的区块；

　　对“盘绕”某个区块的另一个区块进行证明(实践上便是更改区块链前史)；

　　经过对同一个区块的两个候选区块进行“双重投票”(doublevoting)。

　　假如检测到上述这些操作，验证者就会罚没。这意味着适当于其质押的ETH的1/64(最高可达0.5ETH)将立即被毁掉，然后一个为期36天的移除期开端了：在此期间，验证者的质押金将逐步被削减；且在这段期间的中间点(第18天)，该验证者还将遭到额外的赏罚，赏罚大小将与此次罚没事情产生之前的36天内一切被罚没的验证者的ETH质押总额成比例。这意味着，当更多的验证者被罚没时，此次罚没的量级将会添加。最大的罚没是一切被罚没的验证者的全部有用余额(也即，假如有很多验证者被罚没，那么他们或许丢失全部的质押金)。另一方面，一个独自的、独立的罚没事情只会毁掉验证者一小部分的质押金。这种跟着被罚没验证者的数量而改变的中间赏罚被称为“串谋赏罚”(correlationpenalty)。

　　Sweet15:41:33

　　InactivityLeak机制

　　假如信标链现已有超越4个epoch都没有被敲定，那么一个称为“inactivityleak”的经济机制将被激活。Inactivityleak的终究意图是创造条件使区块链从头康复敲定。如上文所解释的，“敲定”(finality)需求2/3的ETH总质押金对“源检查点”和“方针检查点”到达共同。假如超越1/3的验证者离线或未能提交证明的证明，那么就不或许有2/3的绝对大都验证者来敲定检查点。此刻，Inactivityleak机制会让归于这些不活泼的验证者的ETH质押金逐步被削减，直到这些验证者操控的质押金少于网络中总质押金的1/3，然后答应剩下的活泼验证者对区块链进行敲定。不管这些不活泼的验证者数量有多大，剩下的验证者终究都将操控>2/3的总质押金。这种质押金的削减将是一个激烈的刺激要素，鼓励不活泼的验证者赶快从头激活！

　　信标链设计中的奖赏、赏罚和罚没鼓励了个别验证者正确行事。但是，从这些设计挑选中呈现了一个别系，它激烈地鼓励了验证者在多个客户端之间的平等分配，并激烈地按捺这种由单个客户端占主导位置的状况。这是由于，“绝对大都制”关于信标链来说十分重要，独自一个歹意验证者对网络而言是适当无害的，但很多歹意验证者将或许形成严重损坏。让咱们来看看一些潜在的场景......

　　危险场景

　　这种资产鼓励共同客户端多样性是有危险的。经过在多个客户端之间均匀分布验证者，能够大大削减针对特定客户端的进犯或缝隙带来的影响，而单一客户端占主导位置则会添加这种危险。这种危险倍增效应会跟着单个主导性客户端占有的网络比例多少而改变。

　　咱们能够经过一些假定的(但或许实践会产生的)场景来取得更多的直觉感知。让咱们假定一个bug意外地被引进到一个共同客户端中，这个bug能够直接导致该客户端进行不正确的证明，或许暴露一个缝隙，使得歹意进犯者能够迫使客户端进行不正确地证明。那么，客户端多样性会怎么影响这种bug带来的结果呢？

　　场景1：受影响的客户端操控了少于1/3的ETH质押金

　　这种状况为信标链供给了最大的弹性，由于仍有2/3被质押的ETH仍在进行正确地证明，答应信标链正常地进行敲定。因而，从网络的视点来看，这种场景的结果是能够疏忽的。受影响的验证者将遭到怠惰赏罚，由于他们提交了不正确的证明。这些丢失相对较小，受影响的验证者能够等候客户端被修正或许切换到另一个客户端。不管哪种办法，验证者都能够以最小的经济结果和不会损坏信标链的办法持续进行正确的证明。

　　场景2：受影响的客户端操控了超越1/3的ETH质押金

　　这种状况的问题要大得多，由于只剩不到2/3的ETH质押金在正确地进行证明，即没有绝对大都的验证者来正确地到达共同。这意味着信标链无法完成敲定，且InactivityLeak机制将被激活。此刻，这个bug对整个网络形成了影响。关于建立在以太坊之上的买卖所和Dapps(去中心化应用)而言，区块链被敲定(finality)是至关重要的，假如区块链无法被敲定，那么就不能保证买卖是永久性和不行篡改的。关于运用了这个受影响的客户端的个别验证者来说，相关的赏罚要严重得多，由于InactivityLeak机制的激活意味着个别验证者质押的ETH将逐步被毁掉，直到这个受bug影响的客户端操控了少于1/3的ETH总质押金，且只要到那个时候信标链才会康复敲定。这种ETH的毁掉或许实践上会在信标链康复之后持续一段时刻，然后为验证者数量的较小改变供给缓冲。只要当一个受影响的客户端操控了超越1/3的ETH总质押金时，信标链的敲定才会处于危险之中。

　　在这种场景中，正常运转其他替代性客户端的验证者在InactivityLeak机制被激活期间不会收到任何奖赏。这是一种安全机制，用于防止进犯者故意发动InactivityLeak机制，然后进步该进犯者操控的其他以正确办法运转的验证者取得的总奖赏。这些都是很小的赏罚，但要害是，没有人能从一个操控着超越1/3的ETH总质押金的客户端的共同bug的负面结果中逃脱。

　　场景3：受影响的客户端操控着1/2的ETH质押金

　　这种状况或许导致信标链中呈现不行康复的分叉。假如有共同bug的客户端分叉到它自己的链上，那么原始的链和新的分叉链都无法完成敲定，由于新旧两条链都缺失了大约一半的验证者，并且都将激活InactivityLeak机制。此刻，这两条链上缺失的验证者的ETH质押金将会逐步被毁掉，直到他们操控的质押金少于1/3的网络ETH总质押金，此刻每条链上的验证者才能够再次开端进行敲定。这个进程在两条链上花费的时刻相同，由于康复敲定需求毁掉的ETH数量是相等的。这两条链将运用不同的检查点来独立完成敲定。这两条链或许永久不会兼并成为一条独自的“威望链”。处理办法将需求以太坊社区对哪条链是“威望链”到达共同，这个进程肯定会在政治上很难处理和引发分歧，导致一半的社区由于切换区块链而产生的经济丢失(这还不包括ETH或许贬值)。或许更糟糕的是，社区或许仅仅持续割裂下去(相似于TheDAO事情导致以太坊经典的产生)。

　　为了防止信标链的永久割裂，运用受影响的客户端的验证者将有必要与InactivityLeak赛跑进行客户端切换，或许在区块链开端敲定之前修正他们的客户端。或许有3-4周时刻，在此期间开发者将争相拯救以太坊。在这个场景中，关于很多的验证者来说，无法逃避重大的经济丢失。

　　场景4：受影响的客户端操控着超越2/3的ETH质押金

　　关于信标链来说，这是噩梦般的状况，由于受影响的客户端操控着一个超级大都的验证者，并且能够敲定自己的链。这样，不正确的信息就很有或许永久被固定在以太坊的前史记载中。在区块链开端敲定不合法区块之前，客户端团队将有大约13分钟的时刻来确认该共同bug、修正它，并将客户端更新信息广播给受影响的验证者。

　　关于这种状况，仅有可行的缓解办法是让受影响的验证者取出他们质押的ETH并从区块链中退出。假如在bug修正之后，这些受影响的验证者企图从头参加那条正确的区块链中，他们将由于“串谋赏罚”而被罚没，由于他们此刻证明的检查点是与他们之前证明的检查点相矛盾，并且是团体进行这样的操作。InactivityLeak机制将由于很多验证者离去而被激活，这意味着这些受影响的验证者将在他们等候取款(退出)时不断丢失他们的ETH质押金。由于有很多验证者要退出，因而等候的队伍将很长、缓慢和贵重。

　　仅有的其他挑选是，剩下的未受影响的客户端接受该bug，参加新的链，并同意该bug从此成为以太坊共同层的预期行为。这将与staking(质押)社区的中心准则背道而驰，并且会形成极大的割裂。这些少量客户端将在新链上遭到怠惰赏罚，即便他们的行为妥当。

　　两种挑选都不是好的挑选。前一个挑选关于受影响的验证者来说十分贵重，并且在逻辑上难以纠正。后一种挑选将严重损坏对以太坊的信赖，并导致咱们接受一个永久被玷污的链。

　　其他危险

　　逆转终究性

　　假如单个客户端操控着超越2/3的ETH总质押金，那么该客户端的开发者就有才能挑选哪个版别的区块链前史是正确的。比方，假如该客户端的开发者变得歹意，他们能够花费一些ETH(比方经过某个买卖所套现，或许桥接到另一个区块链网络)，然后这些开发者团体投票，运用另一个不包括这笔花费买卖的链版别来代替其时这个现已被敲定的链。这是一种“双花”，由于该客户端操控着绝大大都验证者使其能够逆转终究性和重写前史。与此一起，诚笃的少量验证者会由于他们不共同的证明而遭到赏罚。一个歹意的操控了绝对大都ETH总质押金的进犯者也能够要挟做出这样的行为，并操控网络索要赎金。即便是一个操控着1/3的ETH总质押金的歹意团队也能够要挟中止链的敲定并激活InactivityLeak机制。

　　共同的职责

　　前一点对客户端开发团队的观点有些悲观，不是由于这是合理的，而是由于歹意行为是或许的，因而需求防范。但是，这些开发人员最有或许永久是好人，他们自己需求抵抗单个客户端占主导性位置，不仅仅是由于他们很或许是以太坊用户(以及ETH持有者或质押者)，还由于网络安全的职责不应该会集在一个小团队的肩上。开发者的行为对整个以太坊的健康形成了巨大的影响，他们的压力和心理健康是真正的代价。客户端多样性经过在多个独立团队之间分管职责来防止这种状况。

　　中心化

　　即便客户端开发团队由完全出于善意的开发者组成，当他们操控了大部分的ETH质押金时，他们依然保留了以太坊运作方面的过度权力。去中心化是以太坊的一个中心准则，这有必要包括开发者、用户和保管商的去中心化。跨多个客户端的开发团队的去中心化，经过均匀分配ETH质押金，然后约束了单个客户端团队对诸如分叉内容和时刻等做出要害决议计划，然后约束了他们对以太坊哲学方向的影响。客户端多样性保证了在开发者层面做出去中心化的决议计划。

　　政治

　　对一条诚笃链的交际康复(socialrecovery)是一个充满政治的问题。以太坊的共同机制应该基于编码到其客户端的规矩来确认——这是它的首要方针。干预这一进程或许会导致以太坊社区的割裂，导致不同的用户在哲学上、伦理上和技术上关于缓解某个首要客户端的共同bug/进犯有各种各样的观点。管理决议计划将是蠢笨的、损坏性的，并且或许过于缓慢而无法到达最大的有用性。

　　实在比如

　　上述场景产生的概率相对较低。开发者在研究和测验他们软件的每一个更新时都是一丝不苟的，没有理由置疑任何客户端团队的职业操守。但是，这些场景也不是朴实的假定。现已有实在比如标明，客户端多样性拯救了以太坊主网，使其免于永久损坏，且一些共同bug也损坏了以太坊测验网。下面将介绍其中的一些比如。

　　上海进犯

　　2016年9月，在上海DevCon会议期间，黑客进犯了以太坊，运用客户端软件中的几个缝隙，导致网络速度显著放缓。进犯者持之以恒，敏捷部署新的相似进犯，而客户端开发人员则竞相对这些进犯进行逆向工程和修补。终究，进犯者在Geth客户端中发现了一个无法修补的缝隙，使得硬分叉成为必然。即便在硬分叉晋级之后，进犯者依然发现了一个拒绝服务缝隙，该缝隙运用之前进犯所导致的胀大状况，迫使客户端在每个区块中进行数万次缓慢的磁盘I/O操作。客户端多样性赢得了成功，由于当开发人员努力修正Geth中的缝隙时，以太坊能够持续运用替代性的Parity客户端，该客户端没有遭受同样的缝隙。

　　由于有多个客户端，上海进犯是能够康复的，但假如一个相似的bug影响了大都共同客户端，状况或许会截然不同。假如一个“共同客户端”与其时Geth被进犯时有着相同的主导性位置，那么以太坊量将无法完成敲定，由于此刻大大都验证者将无法对区块进行证明。InactivityLeak将被激活，由于只要少于1/3的ETH质押金可用于进行证明。

　　Insecura链

　　“长途进犯”的可行性最近在Pyrmont测验网得到了证明。其主意是树立一组验证者来证明一个备用的区块链前史。然后，这些验证者被用来诱骗新的验证者参加这条不诚笃的“Insecura”链，然后逐步添加被影响的验证者的数量，终究到达中止区块链敲定、激活InactivityLeak并耗尽诚笃大都验证者的ETH质押金的程度。终究，这或许导致受影响的客户端终究敲定自己版别的区块链。尽管所需求的时刻和金钱的投入使这种行为不太或许成为进犯向量，但相似的动态或许导致一个占主导位置的共同客户端中的一个bug感染网络的大部分。

　　Medalla测验网

　　此前由于Prysm客户端的时钟问题，Medalla测验网的活泼验证者数量忽然下降。这条链无法进行敲定，由于太多的验证者退出了网络，以至于2/3绝大大都被质押的ETH现已不再可用于进行证明。其康复是渐进的，由于这依赖于验证者将客户端从Prysm切换到其他少量客户端上。然后，实在的时刻与Prysm客户端过错的时钟时刻赶在一同，之前无效的证明忽然间变得有用了。这导致Prysm客户端陷入阻滞，一起Teku和Lighthouse客户端也因忽然处理很多的证明而遭遇了巨大的状况胀大。假如Prysm是Medalla测验网的仅有客户端，那么整个网络都现已阻滞了；假如Prysm客户端操控了少于1/3的ETH总质押金，那么许多混乱就能够防止了。

　　Prysm的存款根bug

　　2021年头，Prysm客户端遇到了一个与Eth1存款根验证相关的bug。其时，Prysm客户端能够生成无效的存款根(depositroot)，并将其传递给其他Prysm节点。由于Prysm具有如此大的验证者比例，这种无效的存款根很快在网络中传播，且由于Prysm遵循绝大大都投票机制而非在每个区块中显性地验证存款根，因而加快了其传播。尽管该bug带来的影响很小，没有中止信标链的敲定，也没有对验证者带来重大的经济赏罚，但这个事情从两个方面证明了客户端多样性的重要性：首要，假如Prysm客户端有着较小的验证者比例，那么就会约束该bug在整个网络的传播，削减其影响；其次，该事情产生后的剖析文章描述了怎么运用替代性客户端完成作为基准，帮助开发人员快速辨认和修正该bug。显然，假如没有多个活跃保护的客户端，这是不或许完成的。

　　其时的客户端多样性

　　上图为其时以太坊客户端的多样性状况：左边为实行客户端的占比状况，右边为共同客户端的占比状况。

　　上面的两个饼状图显现了以太坊实行层和共同层的其时客户多样性的快照(到2022年1月撰写本文时)：实行层由Geth客户端主导，OpenEthereum客户端远远排在第二，Erigon客户端排第三，Nethermind排第四，其他客户端只占不到网络的1%。共同层上最常用的客户端Prysm尽管不像实行层的Geth客户端那样占主导位置，但依然具有了超越60%的网络，Lighthouse和Teku分别占20%和14%，其他客户端则很少运用。

　　实行层数据于2022年1月23日经过Ethernodes网站(ethernodes.org/)获取；共同客户端的数据来自MichaelSproul(github.com/sigp/blockprint)。共同客户端数据要更难获取，由于信标链客户端并不总是具有能够用来辨认它们的清晰踪迹。这些数据是运用一种分类算法生成的，这种算法有时会弄错一些少量客户端。但是，很明显，共同层的大部分网络节点都在运转Prysm。Prysm的优势有时更高，超越68%。尽管仅仅快照，但图中的占比状况供给了客户端多样性的其时状况的杰出整体认识。

　　实行层的客户端多样性包括在上图中，由于影响实行客户端的bug或许也会传播到共同层，这是由于兼并之后，共同层和实行层将耦合在一同，且实行客户端生成的实行负载(executionpayload)将是信标区块的中心组件。

　　个人质押者&质押池

　　处理客户端分配不平衡的问题，需求首要买卖所和押注池(stkingpools)采取行动。但是，个人质押者也能够经过挑选运转非Geth/Prysm客户端组合来发挥作用。建立少量客户端的阐明须知能够在这个clientdiversity.org页面找到：

　　https://clientdiversity.org/

　　关于持有量少于32ETH或许不想要承担运转验证者的职责的质押者来说，有一些质押服务供给商能够运用。一些首要的中心化买卖所供给ETH质押服务，但他们的质押池中的客户端分布状况通常是隐秘的，并且这些买卖所供给的ETH质押代币的可买卖性是有限的。出于这些和其他的原因，不主张运用这些中心化的服务商。

　　一个更好的挑选是运用更去中心化的流动性押注服务供给商，如Lido或Rocketpool。这些服务商供给ETH质押服务，一起还供给了一种流动性代币(比方用户经过Lido协议质押ETH将取得具有流动性的stETH代币)，这些流动性代币的价值将跟着验证者累积的奖赏而添加。这些代币能够进行买卖，或许用于赚取DeFi收益。这些流动性质押平台的客户端分布状况也要愈加通明，比方Lido会发布季度更新，而Rocketpool现在也发布了他们的季度更新。关于不能或不愿意运转自己的验证器者的用户，这些服务是完成更好的客户端多样性的途径。

　　总结

　　信标链的奖罚协议直接鼓励了客户端多样性。单个客户端占主导位置将是对以太坊的潜在要挟，当单个主导性客户端体现杰出时，这种要挟是无形的，但当该客户端呈现共同bug时，这种要挟或许是灾难性的。具有多个客户端是以太坊的共同优势，也是开发者社区勤奋努力的证明。但是，当一个客户端操控了大部分ETH质押金时，这种(以太坊开发者社区的)努力就会被削弱。理想的状况是在至少4个客户端上平均分配ETH质押金，给每个客户端最多1/4的ETH质押金。经过运用现在可用的出产就绪的客户端，这是很简单完成的。

　　{买卖矿机矿机托管上矿机收回网联系电话18108888591}