采用PoS共识的区块链项目从数量和市值规模上看，落后于采用PoW类共识的项目。为什么在已有成熟

理论的基础上，新的PoS项目进展仍然不及预期？PoS共识是否有足够的优势能够让人们接受它并在区块链共识领域占有一席之地？“权益经济”（Staking Economy）是否是区块链未来新的发展方向？

基于PoS共识的区块链网络中，所有成为“验证者”的节点都能够获得生产（或者发布）区块的权利，其概率取决于其拥有的“权益”多少。相比工作量证明，PoS共识的优势包括减少能源消耗、保障安全性、以及降低中心化风险。

早期的PoS共识面临着“无利害关系”危机，区块链容易分叉。“执剑人”机制通过加入对不诚实节点的惩罚措施解决以往PoS共识的无利害关系攻击。移动检查点和上下文感知机制能够预防针对PoS共识的“长程攻击”。

根据权益在共识经济模型中扮演的角色以及重要程度的不同，我们可以将PoS共识分为纯PoS共识、混合型PoS共识、DPoS以及仅有权益的概念四种，一般只将前两种作为PoS共识讨论。PoS代表的“权益经济”是一个与PoW共识不同的经济体系，一般采用通胀的经济模型，只有抵押通证参与网络共识过程才能获得利息收益。由于通胀的存在，“持币待涨”的守财奴策略不再适用于新型PoS共识，全体持有者都必须参与网络共识过程，在此需求基础上将有更多的金融应用场景出现。

我们还可以从经济角度分析PoS网络的安全性。在初始分配合理的情况下PoS能够保证不低于工作量证明的”经济学”安全性。但PoS经济模式同样没能解决垄断与中心化的问题。

长远来看，以PoS共识为基础的区块链网络将发展到与PoW共识区块链同等的规模。

风险提示：中心化风险、技术进展不及预期、市场波动风险。

1权益证明，一段简史

2权益证明的安全“执剑人”

2.1区块链世界的“公地悲剧”

2.2“执剑人”机制

2.3新的问题——“长程攻击”

3权益经济——PoS共识的经济理念

3.1PoS共识种类

3.2全体持有人参与共识的网络

3.3从经济角度“量化”PoS的安全性

3.4垄断与卡特尔组织

3.5目前主流PoS算法简介

4PoS的现在与未来

2012年，Scott Nadal和Sunny King在一篇论文中提出PoS权益证明，是一种中本聪工作量证明的替代共识。首个将PoS概念融入到共识机制中的Peercoin（点点币）于同年上线。随后的几年里，一些大型区块链项目例如Ethereum、Cosmos都提出了各自的PoS解决方案。但七年后的今天，主网采用PoS共识（这里不包括DPoS、PoW+PoS混合共识）的区块链项目从数量和市值规模上看，均落后于采用PoW类共识的项目。为什么在已有成熟理论的基础上，新的PoS项目进展仍然不及预期？PoS共识是否有足够的优势能够让人们接受它并在区块链共识领域占有一席之地？“权益经济”（Staking Economy）是否是区块链未来新的发展方向？

1

权益证明，一段简史

在基于PoS共识的区块链网络中，节点不再通过算力竞争记账权，获得记账权的概率取决于其拥有的权益多少。这里的“权益”（Stake）可以是节点持有的通证数量，也可以是关于通证数量的一个函数。例如下面的提到的Peercoin提出的“币龄”概念，节点持有通证的时间越长，累计的币龄也越多。相比工作量证明，PoS共识的优势包括减少能源消耗、保障安全性、以及降低中心化风险。

纵观PoS历史，可以将PoS的发展大致划分为三个阶段。

第一阶段是以Peercoin为代表的PoW+PoS混合共识。但是这类早期的混合共识仍然需要参与区块生产的节点进行一定量的哈希值计算，即以类似工作量的方式生产区块，只不过各节点通过计算寻找出合法区块的概率与节点持有的权益相关，即根据权益选择生产者，并且采用基于权益的激励方式。Peercoin并没有完全实现“降低能耗”的目标。

第二阶段是以Nextcoin为代表的纯PoS共识。这类PoS共识机制不需要或只需节点进行少量的哈希值计算，而采用分布式的、可验证的随机数生成函数来选择区块生产者，激励方式仍然与节点持有的权益相关。这类PoS共识相比工作量证明耗费更少的能源，但仍然有一个危及网络安全的隐患没有彻底解决——Nothing at Stake攻击（无利害攻击）。

第三阶段是以以太坊Casper为代表的新型PoS共识。这类共识通常将PoS作为共识算法的一部分：以PoW的方式生产区块，每间隔一定数量的区块以PoS方式确认共识的最终性；或是以PoS的方式生产区块，使用BFT类算法进行区块验证。这类PoS共识不以采用的具体算法为划分依据，它们的共同点是实行“权益经济”，节点能够通过参与网络共识，根据持有权益的比例获取区块奖励。不同于早期的PoS，这类共识通过加入对不诚实节点的经济惩罚，解决了“无利害关系”问题，增强了PoS共识的安全性。

除此之外，以BitShares、EOS为代表的“委托”类（DelegatedPoS）共识也被公众熟知。但这类共识中，权益仅仅体现在投票选举“超级节点”上，而与经济模型、激励惩罚无关，因此一般不作为PoS共识讨论。

根据区块链生产的过程可以将PoS共识分为两类：

基于“链”的PoS（Chain-based Proof of Stake）。类似BTC PoW生产区块的原理，算法每隔一定的时间内根据节点持有的权益随机选择一个节点负责生产区块，这个区块必须附加在一个合法区块之后，当分叉产生时，通过共识算法规定的规则选择一条链作为共识链。

“拜占庭”类PoS（BFT-style Proof of Stake）。算法每隔一定的时间内根据节点持有的权益随机选择节点发布一个区块，但这个区块是否合法、能被附加到共识链之后需要得到一定比例的验证者投票确认。

2

权益证明的安全“执剑人”

与PoW共识中的算力竞争，即通过引入稀缺的外部资源，并以通证对节点付出的算力予以奖励来保证区块链网络的安全性的模式不同，PoS希望依托区块链经济体系内生力量来解决安全性问题。PoS共识按“权益”分配区块记账权与网络奖励，并通过一系列创新性的解决方案保证共识的安全性，并在此基础上开创了区块链世界独特的“权益经济”。

2.1区块链世界的“公地悲剧”

早期的PoS共识面临着容易产生分叉的危机。哈丁教授在《公地悲剧》（Tragedy of the commons）一文中描述了这样一个故事：一些牧羊人在一片公共的草原上放牧，由于草原的资源是有限的，因此当羊群数量超过草原能承载的最大数量后，羊群的总产值会下降。考虑一个简单的由两名牧羊人构成的模型，假设草原合理的放牧量为两只，两名牧羊人各有一只羊，此时每只羊的产值为1个单位，每增加一只羊，羊群的总产值会有所下降。

每个牧羊人面临两个选择：增加一只羊或是维持现状。如果牧羊人是理性的，那增加一只羊将是两种情况下的最优策略，然而当两名牧羊人都选择放牧时，草原的总产值下降了。“公地悲剧”给人们的启示是，个体对公共资源无节制的开发利用会导致整体利益的受损。

早期的PoS共识同样面临着类似的难题，即“理性分叉”。在以“链”为基础的区块链网络中，当节点发现同样高度的两个区块，即网络出现分叉时，节点面临两个选择：一、根据共识规则，选择其中的一个节点作为主链，在此基础上生产新区块；二、在两条分叉链上同时生产新区块。

区块链作为一种无形的技术，承载的生态是其价值重要的一部分。在“公地悲剧”的例子中，被滥用的草原资源是有限的，虽然区块链生态仍在飞速发展中，但无限制分叉势必会造成区块链开发人员、社区、生态系统的割裂，分叉链之间的竞争相对没有分叉来说会降低它们的总体价值。

在PoW共识区块链中，这样的选择其实是不成立的。节点拥有的算力是固定的，如果节点分配一部分算力在分叉链上挖矿，那么首先要承担该分叉链最终不具有任何价值的风险，节点会损失因为在分叉链上挖矿而在主链上减少的收益。如果该分叉链价值得到认可，那么其他理性的节点会迅速将算力切换到分叉链上，从而达到两条链上单位算力收益的平衡。如果节点的算力占全网算力的比例没有变化，那么它并不能因此获取超额收益。一个理性节点的选择是在最有可能成为主链的链上继续挖矿。

而PoS共识下，分叉链在分叉高度之前的区块与原链完全相同，因此节点在分叉链上也拥有相同数量的通证。从而有相应的权益能够在分叉链上继续生产区块，两条链上的挖矿互不影响，因此理性的节点会默许分叉链的存在。

有一种观点认为，通证的持有者如果可以预见到这种分裂带来的危害，会为了维护自己的利益而拒绝在分叉链上生产区块的行为。但事实上，群体中的大部分个体都是短视的，如果没有其他的规则加以限制，很少有节点会放弃分叉链上的权益。这又被称为“无利害攻击”（Nothing-at-Stake）。

2.2“执剑人”机制

以太坊Casper共识应用了“执剑人”（Slashers，又译“剑手”）机制，在共识机制中引入惩罚措施，解决以往PoS共识的公共地悲剧。该协议的核心内容是，参与区块生产的节点（被称为验证者）需要抵押一定的保证金，并规定一系列的惩罚条件。当发现节点采取了惩罚条件中列出的行动之后，节点抵押的保证金将被没收，并收回验证者权利。会被惩罚的行为通常包括同时在两条链上生产区块、没有在最新高度上生产区块等恶意行为。对表现出可能的恶意行为的节点进行经济制裁（Slashing），改变了节点在可能出现分叉链时挖与不挖两种选择的预期收益，只要节点挖分叉链，或者发动攻击行为能获得的预期收益小于其抵押的保证金，那么理性节点的选择将是遵守规则，做一个诚实的节点，从而化解了无利害关系攻击。

科幻小说《三体》中的“执剑人”在当三体舰队对地球发动攻击时发送三体星系坐标，毁灭三体星系与太阳系，是地球制约三体攻击者的关键力量。新一代PoS共识中的“执剑人”机制也是制约潜在攻击者的利器，通过规定合理的惩罚条件与抵押金额，能够有效增强共识机制抵御各类网络攻击的能力。

2.3新的问题——“长程攻击”

基于链的PoS共识在讲解确定共识的最终性上更加复杂。PoS抛弃了“以累计工作量最大的链作为主链”的概念，在节点可以自由加入或退出的PoS网络中，抵押金的变动是动态的，验证者需要获取最新的其他验证者信息，才能判断哪些区块是真正有效的。不同于PoW网络判断区块是否合法仅仅依赖几个客观的信息：交易合法性、区块头哈希是否满足要求，判断主链采用确定的最长链原则，PoS还需要考虑“长程攻击”的可能性。

“长程攻击”是PoS共识中威胁最大的攻击形式，当一个节点收回了他的抵押金时，虽然它不再拥有验证以后的区块的权利，但是仍然可以对收回抵押之前的区块进行回滚，并且由于它不再会受到没收押金惩罚，因此攻击者能够通过贿赂这些节点，收集足够的“幽灵”抵押金（这些抵押金已经被收回了），重新构造一条足够长的攻击链，尝试替换这些节点在作为验证者期间曾经验证过的区块。

一种解决策略是移动检查点。即每隔一定的区块间隔设置检查点，只有检查点之后的区块可能会被重组。检查点的间隔一般少于要求的最短抵押金抵押时间，从而保证有充足可能性的区块都是由还有缴纳了抵押金的节点验证的。另一种解决策略是“上下文感知交易”（Context-Aware transactions）。在构造一笔交易时，在交易中记录前一个或前几个区块的哈希值，这样就能将一笔交易和特定的区块分支联系起来，在分叉链上伪造交易就变得困难。

3

权益经济——PoS共识的经济理念

3.1?PoS共识种类

根据权益（Stake）在共识经济模型扮演的角色不同，我们可以将PoS再细分为上面这些几类。

在后两种共识机制中，权益在共识过程中没有起到决定性作用，因此一般不将其作为PoS共识讨论。它们与前两种PoS共识的区别在于网络的经济激励是否按照节点拥有的权益多少进行分配。一些PoS共识虽然也是通过投票选举出有限数量的验证者参与共识过程，但这种选举是通过智能合约将通证“委托”给验证者实现的。验证者对委托的通证不具有使用权，并且验证者获得的区块奖励按通证数量分配给其所有者。而DPoS共识中，区块奖励仅分配给超级节点以及一定数量的候选人节点。

纯粹PoS和混合型PoS共识的区别在于选择验证人的过程是否与其持有的权益相关。对应PoW共识中选择区块生产者的概率与其算力相关。混合型PoS共识一般通过PoS为区块链提供”最终性”检验，而区块的生产、验证者的选择通过其他方式完成。如果节点取得记账权的概率与它抵押的权益相关，那么可以认为此类共识是纯PoS共识。

这样定义的纯PoS并不是不能包含其他的共识算法，事实上大部分PoS共识都使用BFT类算法完成对区块的投票。例如，Tendermint的基础算法是PoS+pBFT，Proof of Activity的基础算法是PoS+PoW，Casper FFG的基础算法是PoW+PoS+BFT，PoS未来的发展趋势也将是混合型共识。