如何真正衡量区块链的经济安全性？（不仅仅是钱）

• 密码学安全性确保底层技术（如数字签名）不会被破解。
• 智能合约安全性确保构建在区块链上的应用程序没有可能被利用来窃取或锁定资金的缺陷。

相比之下，经济安全性关乎激励和成本。假设密码学是健全的，任何人操纵共识、审查交易或窃取用户价值需要付出什么代价？

简单来说，经济安全关乎价值在区块链生态系统中的流动方式：

• 如果价值从用户流向了本不应获得这些价值的第三方，那么系统就遭受了经济攻击。
• 这些价值泄露可能由于被接管（例如，51%攻击后的双重支付）而发生，但也可能以更微妙的方式发生：抢先交易、为牟利而审查、验证者卡特尔或设计不佳的质押系统。

区块链本质上是协调技术 。

它们让互不信任的人能够安全地互动和交易。而这种协调的媒介就是以系统原生代币形式存在的资金。

链中的每一个机制，从共识到费用市场，都关乎如何管理资金的流动。当这些机制失效或被利用时，资金从预期流向中流失，就是不安全的真正代价。

所以当我们问：“比特币有多安全？以太坊有多安全？新一代 L1s 有多安全？”时，我们实际上是在问：

• 攻击它们需要付出什么代价？
• 这些攻击成功的可能性有多大？
• 如果它们成功了，用户可能会损失多少价值？

考虑到这一点，让我们从最简单也最关键的衡量标准开始： 总安全预算和停止一条链的成本 。

安全预算和停止链的成本

区块链让人们为他人的交易工作，并因此获得奖励——这创造了一个强大的激励飞轮。

一条链的价值越高，它就能投入越多资金来抵御攻击者，也就越难被攻破。这种防御性支出就是我们所说的安全预算。为了更好地理解它，我们来看看两个最大的区块链：比特币和以太坊。

比特币安全预算

比特币的防御来自运行 ASIC 的矿工。理论上，攻击者可以：

• **租用算力**。但在实践中，没有足够的可用容量，尝试租用会导致成本飙升。
• **直接购买硬件**。目前的估算表明，大约需要 700 万台 ASIC 矿机，成本约为 200 亿美元，外加每年 50 亿至 220 亿美元的电力费用，使得实际攻击预算接近 400 亿美元。

即便如此，矿工也不会轻易出售。一次成功的攻击将导致比特币价值崩溃，摧毁矿工未来的收入来源。任何攻击者不仅需要补偿今天的区块，还需要补偿**矿工放弃的全部未来**。

以太坊安全预算

以太坊通过权益证明（PoS）来保障自身安全。攻击者可以：

• **贿赂验证者**。但验证者会获得稳定的质押奖励。要让他们背叛，他们会要求多年的报酬，远远超过单个区块奖励。
• **自己质押 ETH**。目前约有 30%的 ETH（1500 亿美元）被质押。要达到三分之二的多数控制权，还需要约 2800 亿美元的 ETH，而流失限制会使每天的验证者进入数量限制在 1800 个。

这意味着需要数月的时间来积累，防御者有充足的时间做出反应。惩罚机制提高了风险：行为不端的验证者可能会被销毁 ETH，从而使攻击变成自我毁灭的行为。

重新思考安全预算

如果我们的模型假设攻击者可以进入无限的全球市场，并且所有验证者或矿工都是完全理性的逐利者，那么名义上的安全预算将是衡量安全性的可靠指标。但现实网络从未满足这些理想化的假设。

挖矿和质押市场深度不足，硬件和流动性稀缺，许多参与者不仅受利润驱动，还受对系统长期信念的驱动。

节点和验证者的去中心化

当验证者分散在数千人、不同国家和多个软件客户端时，任何人都很难协调攻击。

去中心化将攻击面分解成许多小块，攻击者不必收买或压倒一个群体，而是要应对一个由独立参与者组成的完整网络。

在实践中，这意味着攻击的真正成本不仅是表面上的安全预算，还包括说服、贿赂或压倒如此多样化的参与者的难度。

现在我们来谈谈不同类型的经济攻击是如何运作的。

超越安全预算：攻击的真实运作方式

真实的网络并非整洁的数学模型。流动性浅薄，硬件稀缺，许多参与者是出于信念而非仅仅为了利润。仅凭安全预算无法说明全部情况。

这类攻击大致分为三类：

• 全链攻击（多数控制）
• 部分链攻击（部分控制）
• 排序层攻击（MEV 和审查）

全链攻击（多数控制）

在以太坊中：

• 控制权达到或超过 33%，攻击者可以阻止交易最终完成。这使得他们能够重写最近的交易历史、撤销转账，或造成长时间延迟，从而扰乱交易所和其他服务。
• 控制权达到或超过 66%，攻击者可以最终确定无效状态，例如批准虚假交易。他们还可以永久审查交易，有效地阻止特定用户或应用程序使用区块链。

部分链攻击（部分控制）

少数验证者群体可以利用系统来破坏可靠性。即使只有少数节点也能阻止交易、延迟跨链提款或强制应用程序暂停。即使攻击者没有获得多数控制权，这些攻击也会对用户产生实际影响。

• 不活跃（扣留投票）。 验证者应该对区块进行投票，以便网络能够“最终确定”它们。如果太多验证者保持沉默，无论是故意的还是由于错误，链会继续生成区块，但它们不会最终确定。
  • 2023 年，以太坊曾一度停止最终确定区块近一小时。
  • 这不是一次攻击：它的发生是因为一些验证者客户端存在漏洞并错过了投票。
  • 然而，结果与攻击无异 ：桥接和交易所不得不停止运行，因为它们依赖于最终性保证。

• 过度活跃。 验证者为同一时隙签署相互冲突的区块，从而创建分叉。诚实的验证者浪费时间解决这些问题。以太坊通过惩罚来应对这种情况，即被发现的验证者会损失部分质押并被逐出。
• 弹跳攻击（操纵分叉选择）。 验证者协调在分叉之间不断切换投票，阻止最终性锁定。链看起来是活的，但没有交易会变得永久。

排序层攻击（MEV 和审查）

这些情况的发生并非因为验证者完全控制了链，而是因为他们控制着区块内的交易排序。即使是小部分验证者也能提取 MEV 或审查用户以谋取私利。

• MEV（最大可提取价值）。验证者通过抢先交易（有害）、三明治攻击（有害）、尾随交易（中性）来重新排序或插入交易以获利。
• 审查牟利 ：验证者可以排除或延迟交易，从而从中获利或出售包含这些交易的权利。
  • 在以太坊上，一些构建者会审查内存池交易，直到私人订单支付更多费用，或者直到交易符合政府规定。

为什么我们迄今为止讨论的大多数例子都来自以太坊？

为什么以太坊是黄金标准

以太坊是经济安全方面研究最充分的例子，因为几乎所有类型的攻击都经过了理论化、测试或在实践中观察到。虽然并非无懈可击，但其设计反复证明了其韧性，即使在现实世界的压力下也是如此。

最终性延迟与重组

2023 年 5 月，一个客户端错误导致许多验证者下线，最终性停滞了近一个小时。 以太坊的不活跃泄露机制自动启动，惩罚闲置的验证者，直到系统重新平衡。

区块持续生成，交易继续处理，最终性得以恢复——这证明部分中断并不会使网络瘫痪。

到目前为止，以太坊尚未经历过重大的恶意重组。由于其 PoS 最终性，回滚已确认的历史需要如此大规模的协同努力，以至于在经济上不值得。

MEV 与抗审查性

虽然以太坊提供了许多 MEV 机会，但目前正在研究提议者-构建者分离（PBS），以防止中心化。目前，少数构建者创建了大多数区块。然而，协议层内置的 PBS（ePBS）将更均匀地分配这种权力，以降低少数实体获得过多控制权的风险。

2022 年末，超过一半的区块符合 OFAC 规定，引发了人们对政府影响力的担忧。

• 然而，新的非审查中继出现，导致审查率从70-80%下降到30-40%左右。
• 即使在高峰期，被审查的交易也只是被延迟，而非永久性地被阻止，这表明以太坊在压力下仍能适应并保持中立。

质押卡特尔与再质押风险

像 Lido 这样的流动质押协议，有时会达到所有质押 ETH 的 1/3，这凸显了质押集中化的风险。

以太坊的安全性取决于去中心化，它通过以下几种方式实现：

• 鼓励独立质押者
• 支持多个质押池
• 推广多样化的客户端软件。

随着 Obol 和 SSV 等分布式验证器技术（DVT）协议的使用，质押风险正在降低。

像 EigenLayer 这样的再质押系统引入了“ 联盟风险 ”，即验证者的质押也与外部协议绑定。这可能会使以太坊面临核心共识之外的罚没条件或激励。

虽然这有望促进创新，但它也增加了新的相互关联的风险层。这还会带来一种风险 ，即通过让验证者承担不同的任务，使以太坊的共识变得困难。

受以太坊及其广泛的安全研究启发，我们现在可以尝试构建一个更广泛的框架，以评估不同 Layer-1 区块链的经济安全性。

经济安全框架

为了系统地评估权益证明和混合 L1 的经济安全性，我们使用以下指标。根据可用数据，每个指标都可以进行定性评分或定量测量。

参数 1. 安全预算与支出

这是链每年用于奖励验证者以维护其安全性的总金额。这些奖励来自区块补贴、质押收益和费用，构成了链的安全预算 。 更大的预算会使攻击成本更高，但同时也意味着代币持有者的通胀率更高。

安全预算必须在以下两者之间取得平衡：过高的通胀会损害代币持有者的利益，而过低的通胀则会抑制验证者的参与。合适的水平取决于链所保护的总价值，这是一个有争议的话题。

参数2：共识稳健性与恢复

此类别衡量网络被破坏的难易程度及其恢复能力：

• 重组阈值： 验证者重组区块历史的难易程度。
• 最终性延迟： 攻击者或中断导致交易最终性停滞的难易程度。
• 停止阈值： 使链完全停止所需的验证者比例。
• 恢复与惩罚： 用于恢复安全性（超时证书、不活跃泄露）和惩罚攻击者（罚没）的协议机制。

参数 3. 验证者去中心化

安全性取决于验证者权力分布的广泛程度。关键维度包括：

• TVL 分布公平性。 这是一个新的衡量指标，用于衡量质押价值和流动性在验证者之间分布的均匀程度。分数越低表示去中心化程度越好。
• 地理和实体多样性。 指验证者是否集中在单一区域或由少数大型提供商控制。
• 客户端多样性。 衡量验证者使用的不同软件客户端的种类和使用份额。
• 硬件与状态增长。 指运行验证者节点的技术要求，包括硬件规格和存储区块链历史所需的空间。
• 最低质押门槛 。成为验证者所需的成本。

参数 4. 交易层面的提取与审查

除了全链攻击，经济泄露也发生在交易层面：

• **MEV 易用性：** 这指的是验证者通过抢先交易、三明治攻击或捆绑包窃取等方法重新排序、插入或窃取交易的灵活性。

  **抗审查性：** 这衡量的是交易是否能保证被包含在区块链上（如以太坊的公共内存池），或者它们是否面临被永久丢弃的风险（如某些 Solana 交易的情况）。

主要 L1 的经济安全性评估

我们选择根据特定参数比较几个主要 L1 区块链的经济安全性。虽然这个框架可以用于评估任何 L1，但我们的分析侧重于以太坊、Solana、Sui、Aptos 和 Sei。

安全预算

在本节中，我们比较了一些相对直接的指标，例如总质押价值（Total Value Staked）和年化收益率（APR），以及一些不那么明显的指标，例如估计年度安全支出（Estimated Annual Security Expenditure），后者代表每年支付给验证者的总奖励。

在这里，情况是相关的：链上质押的总价值越低，其估计的年度安全支出就越低。Solana 在这方面可以被视为一个异类，因为其大部分奖励来自 SOL 通胀。

共识稳健性与恢复

在下一节中，我们将衡量与风险相关的各种参数：重组、最终性延迟、最终性停止阈值、恢复和惩罚。

所有链的重组风险都非常低，其中 Sui 的最终性延迟风险最高。关于停止阈值，所有权益证明（PoS）链都是一致的：控制总权益的三分之一就可能导致问题。

目前只有以太坊启用了罚没机制，而在其他链上，该机制要么尚未实现，要么已在代码中实现（例如 Sei）但尚未激活。

验证者去中心化指标

在本节中，我们将评估与验证者相关的所有方面：他们的全球地理分布、权益分布、客户端多样性、状态增长率以及运行节点的准入门槛。

• 在验证者数量方面，以太坊显著超越所有其他链。然而，尽管其验证者数量是 Solana 的 1000 倍，但其质押价值却仅是 Solana 的两倍。
• Solana 也是拥有两个以上客户端的链，其中单个客户端（Jito）持有超过 90%的权益。
• 基于 Move 的链对运行节点的要求明显更高：Sui 需要 3000 万美元，Aptos 需要 1200 万美元，而以太坊节点的初始设置成本约为 11.8 万美元。
• Solana 是唯一没有最低质押要求的链，但实际上，需要大约 5,000 SOL（90 万美元）才能有竞争力地运行。由于硬件、带宽需求和投票交易，运营支出（OPEX）很高。

交易层面提取

我们将本节分为两个不同的子部分：MEV 和抗审查性。

基于 DAG 的链（Sui、Aptos、Sei）消除了重组带来的 MEV，即攻击者重组链以捕获另一个验证者的 MEV，这本身就将其 MEV 易用性评级降低了一颗星。

在下表中，星级数量越多，表示该链提取 MEV 的便利性越高。

抗审查性关注交易可用性及相关风险。值得注意的是，Sui 因其共享仲裁存储而提供了最强的抗审查保护。

结果/结论

以太坊至今仍是经济安全性的基准：攻击成本高昂，研究成果丰富，并拥有广泛的验证者基础。其惩罚机制、不活跃泄露和客户端多样性等架构意味着任何试图破坏其稳定的行为都将面临高昂的经济和社会成本。

与以太坊相比，Solana、Sui、Aptos 和 Sei 等新兴链看起来更像是为了在安全性方面进行权衡而进行的实验。有些链追求最大吞吐量，有些链旨在实现即时最终性，还有些链试图最小化 MEV，但这样做，它们也缩小了自身的容错空间。

以太坊提供的是缓慢而有弹性的冗余，而这些较新的 L1 则追求效率、速度或可访问性，但往往以更深层次的中心化风险或在压力下的脆弱性为代价。

这种对比凸显了一个更广泛的事实： 经济安全不仅仅关乎预算和惩罚，还关乎时间和信任 。以太坊通过去中心化和冗余赢得时间；而替代性 L1 则通过更紧密的协调和更高的验证者门槛来优先考虑速度。这两种模式都代表了有效的实验，它们的成功将在未来显现。