容量預言機:理解與衡量去中心化系統中的網路吞吐量

容量預言機:理解與衡量去中心化系統中的網路吞吐量

ethresear.ch·

這篇文章探討了容量預言機的設計,旨在委託驗證的區塊鏈模型中引導出關於可用計算資源的真實資訊,並解決女巫攻擊和激勵相容性等挑戰。

容量預言機 (Capacity oracles)

作者:maryammike;2026 年 4 月 23 日。

摘要: 區塊鏈協議設計中出現了一種新興模式,即「委託-驗證」(delegation-verification),其中一組專業節點執行計算密集型任務,而一組規模大得多的參與者則驗證其輸出。這種模式利用了「執行工作」與「驗證工作正確完成」之間的成本不對稱性。零知識證明(ZK proofs)是這方面的典型例子,但其他更通用的工作負載也適用於此範式。例如,運行 AI 推理的 TEE 可以透過驗證硬體生成的證明(attestation)來進行驗證。這些系統面臨著資訊獲取問題。潛在用戶可能想知道是否有足夠的額外容量來處理他們的工作負載,但他們無法直接看到工人的可用吞吐量。特別是,鏈上節點容量的唯一信號是已執行工作負載的事後視圖,這無法說明還有多少 額外 的工作可以被處理。本文提出了一個捕捉此問題的簡單模型。

目錄

(1) 簡介

\quad(1.1) 理解網路容量

(2) 模型

\quad(2.1) 模型評論

\quad(2.2) 非女巫攻擊環境下的幼稚解決方案

(3) 女巫攻擊 (Sybils)

\quad(3.1) 方法 1:關聯支付

\quad(3.2) 方法 2:加入質押與罰沒

(4) 女巫攻擊、罰沒與真相的代價

\quad(4.1) 線性獎勵仍然脆弱

\quad(4.2) 凸性獎勵

(5) 總結

1. 簡介

下一代區塊鏈協議的一種常見設計模式是取代原始的複製狀態機(每個節點都重放狀態更新歷史),轉而採用「複製驗證者」模型。在這種模型下,任務執行一次並驗證多次,這利用了驗證多個任務比執行它們更容易的事實。最典型的例子是為以太坊主網提議的 ZK-EVM 擴容方案,其中不再由網路中的每個節點重新執行每個區塊,而是隨區塊附帶一個證明,簡潔地驗證內容的正確性,而無需重新運行完整的交易列表。

原生內置 ZK-EVM 的初始實例要求每個區塊的完整證明由單個證明者在 12 秒的以太坊時隙(slot)內生成。這有兩個根本限制。首先,它沒有利用多個證明者的聚合資源(即這是一種贏家通吃模式)。其次,它僅能容納可在單個時隙內完成執行和證明的負載。更通用的方法是允許複數證明者並行處理不同的任務,理想情況下,將任務完成的時間線擴展為由用戶配置,而非受限於時隙時間。

為了理解為什麼這是必要的,請考慮在鏈上實現 AI 推理的目標。在那個世界中,每筆交易都可能調用具有不同要求的昂貴 AI 操作。與其依賴單個參與者對區塊中的所有內容進行批量證明(這會導致構建者市場進一步中心化),不如將任務的執行分配給廣泛的供應商節點集,非同步完成並最終在鏈上驗證,這更為自然。

這正是 Ritual 採用的方法。他們設想了具有不同資源需求(如硬體、模型訪問、頻寬、延遲等)的任務,並提出了一個雙邊市場(Resonance)來尋找任務與供應商的高效匹配,同時通過最終的鏈上驗證(Symphony)提供正確性保證。

區塊鏈擴容的這種演進啟發了我們的模型。

1.1 理解網路容量

在多供應商模型中,用戶可能會產生一個自然的問題:當前鏈的容量是多少? 這個問題的答案可能會影響用戶是否選擇該平台(而非中心化雲端服務商),因為用戶需要可靠性保證。考慮一種基本的先到先得(FCFS)採購機制,誰先完成任務誰就獲得報酬。FCFS 對鏈的真實容量是盲目的,因為只有贏家最終交付了完成的任務,而輸家會立即停止處理並丟棄其部分完成的任務,以避免浪費更多資源。^([1])

或者,我們可以通過拍賣徵求報價,希望能獲得更好的容量指標,但並非所有拍賣都能產生高質量的信號。例如,眾所周知,第一價格拍賣不會導致真實報告,這意味著報價可能會歪曲真實容量。這激發了「容量預言機」的想法,即採購機制的設計目標是提供鏈上可用容量的更好信號。例如,如果採購機制是嚴格佔優策略激勵相容(DSIC)的,那麼協議就擁有一個完美的預言機,因為均衡報價將給出鏈聚合容量的準確估計。

然而,在區塊鏈環境中運行 DSIC 拍賣是出了名的困難,因為與傳統的拍賣設計環境不同,它們容易受到諸如創建多個虛假身份等偏差的影響。例如,在「論女巫證明拍賣」中,Pan 等人證明在正向拍賣設定中,唯一具備女巫證明且 DSIC 的機制是標準的第二價格拍賣,但這在鏈上很難運行,因為拍賣人是不受信任的,可能會注入虛假報價。對於反向拍賣(更接近我們的設定),「超越贏家通吃的採購拍賣」設計了 DSIC 但非女巫證明的採購機制,以及女巫證明但非 DSIC 的機制,但沒有一個能同時滿足這兩個屬性。

本文探討如何在區塊鏈採購設定中構建容量預言機。第 2 節 介紹了一個基本模型,並提出了一種在固定身份集下為 DSIC 但容易受到簡單女巫攻擊的幼稚機制。第 3 節 將模型擴展到包含女巫攻擊,並提出了兩種對抗女巫攻擊的方法(3.1 中的關聯支付和 3.2 中的罰沒)。第 4 節 研究了容量預言機的實際實例,並通過數值演示了協議成本與預言機準確性之間的權衡,為從業者提供圖表和具體結論。

2. 模型

我們考慮一組 $n$ 個供應商,每個供應商具有相同的線性單位生產成本和私有容量 $c_i \in \mathbb{R}+, i \in [n]$。我們將容量向量表示為 $\mathbf{c}$。每個供應商向協議提交一個報價 $b_i$,表示他們聲稱擁有的容量。協議定義了一個分配規則 $x: \mathbb{R}+^n \mapsto \mathbb{R}+^n$,將報價向量 $\mathbf{b}$ 映射到分配向量 $\mathbf{x}$。請注意,協議可以進行的分配量沒有限制,且分配可以是分數。你可以將其理解為協議始終可以選擇創建「虛假」工作分配給供應商,以證明他們擁有聲稱的容量。根據分配情況,供應商將決定是否「交付」分配給他們的工作。令 $d_i \in [0, c_i]$ 表示供應商 $i$ 交付的工作量(因為他們交付的量不能超過其真實容量 $c_i$),$\mathbf{d}$ 表示完整的交付向量。協議還定義了一個支付規則 $p : \mathbb{R}+^n \times \mathbb{R}+^n \mapsto \mathbb{R}+^n$,將報價 $\mathbf{b}$ 和交付 $\mathbf{d}$ 向量映射到支付向量 $\mathbf{p}$。完整的機制由元組 $(x,p)$ 定義。每個供應商 $i$ 具有擬線性效用,單位生產成本歸一化為 1:

$u_i(\mathbf{b}, \mathbf{d}) = p_i(\mathbf{b}, \mathbf{d}) - d_i$。

供應商的均衡報價行為可用於構建容量預言機。容量預言機是一個函數 $F: \mathbb{R}+^n \times \mathbb{R}+^n \mapsto \mathbb{R}+$,從均衡報價和交付向量映射到一個實數,試圖量化供應商的總可用容量。一個 完美 的容量預言機 $F$ 等於 $\sum{i \in [n]} c_i$。我們的目標是設計一個預期支付 $\sum_{i\in[n]} p_i$ 較小且能實現完美容量預言機的機制。^([2])

2.1 模型評論

有幾點值得明確指出。首先,我們考慮的是共同價值設定,即每個人的生產成本相同,但擁有私有的 容量。這已經偏離了採購拍賣的標準文獻,後者通常將私有資訊建模為僅供應商知道的「成本」(例如 「單參數代理的真實機制」)。對於我們的領域,我們更關心獲取網路的 容量 而非成本,因此為了易於處理,我們將成本固定為公開資訊。

此外,在我們的模型中,協議可以任意分配工作,這也與傳統採購機制有很大不同,後者的總可分配工作是固定的。在物理世界中,受限分配是有道理的。考慮政府徵求承包商建造橋樑的投標;只能建造一座橋,因此他們只能分配一個單位的工作。在數位設定中,「工作」是計算性的,協議可以任意構建任務供供應商執行。本著工作量證明(Proof-of-Work)的精神,創建難度可以任意增加的謎題,協議可以製造合成 AI 工作負載並專門為證明容量構建 ZK 挑戰。事實上,Aleo 已經探索過這種技術,儘管其目標不同,是為了吸引初始供應商集。當然,天下沒有白吃的午餐,根據個人理性(individual rationality),如果協議分配了 $k$ 單位的工作,它必須向參與者支付至少 $k$,以確保他們有動力首先加入遊戲。

請注意,我們模型的基本解釋是協議僅為了確保可用性而創建工作,但更實際的解釋是僅 增加 自然需求的工作。如果某些時期有機需求足夠大,足以確保良好的容量預言機,那麼協議就不需要創建和補貼任何額外工作。然而,在低使用率期間,協議可以增加其產生的工作負載。從這個角度看,協議可以被視為一個控制器,確保存在足夠的工作以維持高質量的容量預言機和穩定的供應商集。

更廣泛地說,我們可以根據工作負載的成本高低,考慮不同類型的工作負載作為容量預言機的基礎。一方面,有機需求是「免費」的,因為是由用戶而非協議付費。在另一個極端,我們考慮的合成工作負載成本最高,因為協議負責支付其成本。作為折衷方案,我們可以想像對協議 有些 用處、但未由用戶全額付費的工作負載。一個很好的例子是 Ritual 的 定時交易,這些是協議預先知道的類似 cron 的作業,因此它可以提前執行它們作為可用性預言機的一部分。然而,如果它們的執行需要依賴較新的狀態,則可能需要重新執行其中一些。因此,它們是較便宜的合成作業,但仍非免費。在本文中,我們不會對這些進行顯式建模。

最後,請注意此模型的初始版本未捕捉女巫報告。我們提出一個熱身機制來建立直覺,並具體展示女巫報告可能造成損害的地方。在 第 3 節 中,我們開始明確考慮女巫攻擊以及如何應對。

2.2 非女巫攻擊環境下的幼稚解決方案

從非女巫環境開始,考慮以下分配和支付規則。

\begin{align*}
x_i(\mathbf{b}) &=
\begin{cases}
b_i & \text{ 以機率 } \varepsilon \
0 & \text{ 否則}
\end{cases}\
p_i(\mathbf{b}, \mathbf{d}) &=
\begin{cases}
b_i + r(b_i) & \text{ 若 } x_i = b_i = d_i \
0 & \text{否則}
\end{cases}
\end{align*}

我們在這裡做的是「隨機審計」,對於每個供應商,我們以某個微小機率分配給他們完整的聲稱容量 $b_i$。如果他們被分配了 $b_i$ 並完整交付了分配的工作,那麼我們在他們產生的生產成本之上支付一定的「獎勵」$r(b_i)$。

請注意,只要對於所有 $b_i > 0$,$r(b_i) > 0$ 且 $r$ 對 $b_i$ 是單調遞增的,我們就擁有一個完美的可用性預言機。由於每次分配都是獨立抽取的,我們可以只考慮一個供應商的效用而忽略其他人的行為。該供應商正在考慮如何報價。他們知道:

  • 無論報價多少,他們被選中的機率都是 $\varepsilon$。
  • 對於任何報價 $b_i$,如果他們被分配了工作,只有在完整交付(即 $d_i = b_i$)的情況下才會獲得報酬。
  • 他們的淨利潤 $r(b_i)$ 隨著報告和交付量的增加而單調遞增,直到其真實容量 $c_i$(超過此限度他們將無法交付,因此不會獲得報酬)。

因此,誠實報價嚴格優於其他策略,我們擁有完美的容量預言機。此外,協議可以將 $\varepsilon$ 設置為任意小,從而有效地免費獲得此資訊。然而,請注意,每個供應商的預期利潤僅為 $\varepsilon r(c_i)$,這是很小的。這激發了女巫攻擊,供應商可以藉此增加被選中並獲得獎勵的機會。

3. 女巫攻擊 (Sybils)

上述機制對於任何 $\varepsilon$ 和任何單調函數 $r$ 都運作良好,只要人們只能提交單個報價。 然而,存在一種基本的女巫攻擊,完全破壞了擁有良好容量預言機的目標。

考慮一個供應商提交其真實容量的多個副本 $[c_i, \ldots, c_i]$。(請注意,我們沒有在模型中明確引入女巫身份符號,因為這會使符號混亂,但女巫攻擊者正如你所預期的:單個供應商可以使用任意數量的身份報告任意容量。)由於每個身份都是以機率 $\varepsilon$ 獨立抽樣的,至少有一個身份被分配工作的機率會增加。如果他們的多個身份被分配了工作,只有一個能交付,但這沒有負面影響,因為其他身份不會因為未交付而受到任何懲罰。因此,該策略有很高的機率獲得完整利潤 $r(c_i)$,這比非女巫基準 $\varepsilon r(c_i)$ 大得多。此外,我們的容量預言機質量現在變得極差,因為我們在報價中看到了聚合後的巨大容量,卻不知道哪些身份實際上會交付。

顯然,我們機制的最基本形式是不夠的,因此我們考慮幾種解決方法。

3.1 方法 1:關聯支付

現在,讓我們考慮通過關聯供應商的分配和支付可以做些什麼。協議仍然對報價向量 $\mathbf{b}\in \mathbb{R}_+^n$ 進行操作,現在實施以下機制:

\begin{align*}
x(\mathbf{b}) &=
\begin{cases}
\mathbf{b} & \text{ 以機率 } \varepsilon^n \
0 & \text{ 否則}
\end{cases}\
p_i(\mathbf{b}, \mathbf{d}) &=
\begin{cases}
b_i + r(b_i) & \text{ 若 } \mathbf{x} = \mathbf{b} = \mathbf{d} \
0 & \text{否則}
\end{cases}
\end{align*}

這是最大程度關聯的機制,因為要麼 每個人都被完整分配並獲得報酬,要麼都沒有。請注意,現在供應商 $i$ 獲得交付報酬的前提是每個其他供應商也完整交付了他們的報價。

事實證明,儘管存在女巫攻擊的可能性,這仍能產生完美的容量預言機。再次考慮單個供應商的策略。他們知道如果過度報告(即其所有身份的聚合報告超過 $c_i$),他們保證獲得 0 效用,因為在被分配工作時他們將無法交付報告的容量。他們的利潤在總報告容量達到 $c_i$ 之前仍是單調遞增的,因此他們能做的最好的就是報告總計 $c_i$ 的容量(不失一般性,可以拆分到多個身份)。因此,在每個納許均衡中,產生的容量預言機都是完美的。

這看起來很神奇!我們防禦了女巫攻擊,且再次可以選擇任何 $\varepsilon$ 值和任何單調函數 $r$,並以任何價格保證完美的容量預言機。雖然這是一個巧妙的技巧,但考慮到它暴露的明顯「悲傷攻擊」(griefing)向量,它可能並不實用。特別是,作為供應商,我知道如果 任何人 未能交付他們報告的內容,那麼就沒有人能拿到錢。因此,單個惡意供應商就可以確保這種情況發生。此外,被分配工作變成了一個極低機率的事件,這使得供應商的利潤和協議的支出都具有高度波動性。

3.2 方法 2:加入質押與罰沒

鑑於關聯方法的脆弱性,讓我們回到幼稚機制中的非關聯審計。我們最初的機制出了什麼問題?嗯,因為不交付沒有代價,所以存在誤報的動機。另一種解決方法是加入質押,並允許我們的機制潛在地罰沒表現不佳的供應商。這些負向支付增加了一層問責制,可以抑制過度報告。

更正式地說,假設每個想參與的人都必須存入一定數量的質押金 $S$,如果他們不交付,這筆錢可能會被罰沒。我們將專注於 最具攻擊性 的懲罰函數,即如果交付量少於完整分配量 $d_i < x_i$,則全額罰沒抵押品。這使得協議能夠最大化要求質押的效果。^([3])

那麼我們有以下分配和支付規則:

\begin{align*}
x_i(\mathbf{b}) &=
\begin{cases}
b_i & \text{ 以機率 } \varepsilon \
0 & \text{ 否則}
\end{cases}\
p_i(\mathbf{b}, \mathbf{d}) &=
\begin{cases}
b_i + r(b_i) & \text{ 若 } x_i = b_i = d_i \
-S & \text{ 若 } x_i = b_i > d_i \
0 & \text{否則}
\end{cases}
\end{align*}

從供應商的角度來看,這要容易接受得多。因為沒有關聯性,他們不需要考慮其他供應商的行為,也沒有因為他人的不誠實而失去報酬的風險。此外,只有在無法交付報價時,他們才會收到負向支付。他們始終可以表現誠實並確保非負支付。

只要有足夠的資本進行質押,供應商可以選擇提交多個任意報價。然而,任何未能交付的分配報告都是昂貴的,因此如果他們過度承諾而交付不足,就會面臨風險。

直觀上,這種風險隨著質押量 $S$ 的增加而增加,因為每個過度報告的身份都會被處以更大的罰款。自然的問題是,給定最大質押量,設計者能期望多準確的容量預言機? 下一節將展示一分錢一分貨:預言機的質量取決於協議的過度分配量。協議可以通過分配更多工作來提高預言機的準確性,但必須相應地增加支出以覆蓋生產成本。本文剩餘部分致力於數值化地展示這種權衡。

這是我們研究的第一個具有供應商採取非平凡策略均衡的機制。他們現在正在權衡被發現過度報告的風險與增加被分配工作機率從而賺取更大獎勵的收益。現在,供應商的決策高度依賴於獎勵函數 $r$ 的確切形狀,我們將在下一節中探討。始終完全誠實或成為最大女巫攻擊者的日子已經一去不復返了。

4. 女巫攻擊、罰沒與真相的代價

基於上述討論,我們將注意力集中在完全非關聯^([4])的分配規則和全額罰沒的懲罰函數上。這使得獎勵函數 $r$ 成為我們機制中唯一的自由參數。請記住,這是最終的分配和支付規則:

\begin{align*}
x_i(\mathbf{b}) &=
\begin{cases}
b_i & \text{ 以機率 } \varepsilon \
0 & \text{ 否則}
\end{cases}\
p_i(\mathbf{b}, \mathbf{d}) &=
\begin{cases}
b_i + r(b_i) & \text{ 若 } x_i = b_i = d_i \
-S & \text{ 若 } x_i = b_i > d_i \
0 & \text{否則}
\end{cases}
\end{align*}

我們目前的結果是通用的,僅依賴於 $r$ 的單調性。現在我們進入了一個新體系,供應商在均衡時的策略行為以及完美容量預言機的代價極大地取決於 $r$ 的形狀。

4.1 線性獎勵仍然脆弱

$r$ 的一個非常自然的選擇是報價的線性函數 $r(b_i) = \lambda b_i$,其中 $\lambda > 0$。有趣的是,無論 $-S$ 有多大,這都容易受到女巫攻擊!供應商不僅會將其真實容量拆分為較小的塊以減少獎勵的波動性,而且還有動力過度報告,以使其預期獎勵超過單個報價 $b_i=c_i$ 所產生的誠實值 $\varepsilon \lambda c_i$。

更正式地說,對於任何有限的質押 $S$ 和檢查率 $\varepsilon$,都存在一個 $N, \alpha > 1$,使得存在一個使用 $N$ 個身份且過度報告因子為 $\alpha$ 的獲利女巫策略。為了理解原因,我們將 $c_i=1$ 歸一化,並考慮提交 $N$ 個不同身份的方法,每個身份報價一個小的固定金額 $b_i = \alpha / N$,其中 $1 < \alpha < 1/ \varepsilon$。^([5]) 聚合起來,供應商報告了 $b_i N = \alpha$ 的容量,這是一個過度報告,因為 $\alpha > 1$。

通過執行此策略,被分配工作的身份數量是一個隨機變數 $X \sim \text{Binomial}(N, \varepsilon)$,因此供應商被分配的容量量為 $\alpha/ N \cdot X$。通過取較大的 $N$,供應商可以將其獎勵分佈集中在其均值 $\alpha \varepsilon < 1$ 上,同時使被過度分配的機率變得任意小。這對他們有利,因為他們獲得的獎勵接近 $\alpha \varepsilon \lambda > \varepsilon \lambda$。

下圖顯示了隨著 $N$ 值的增加,分佈如何集中在 0.97 上。請注意,1 右側的機率質量(會導致罰沒)可以變得任意小。

直觀上,供應商從拆分為許多小身份中獲益。儘管過度報告,他們總能使被罰沒的尾部機率小到足以抵消誤報的風險。這個結果很有趣,因為質押實際上沒有提供任何保護。攻擊者繼續細分,並能夠最小化因過度報告而被抓獲的風險。此外,因為獎勵函數是精確線性的,他們較小的報告會按比例獲得報酬。

解決此問題的一個務實方法是為可報告的報價 $b_i$ 設置下限。這絕對有效,但我們略過了這部分的數學運算,因為它不那麼有趣。一個更具原則性的方法是利用獎勵函數的 凸性(convexity)來抑制這種無限拆分行為。

4.2 凸性獎勵

讓我們考慮如果我們將 $r$ 設為凸函數會發生什麼。直觀上,這很有幫助,因為我們可以直接抑制女巫攻擊。例如,假設供應商 $i$ 的容量被完全分配,他們總是更傾向於使用單個身份報價 $c_i$,而不是使用兩個身份各報價 $c_i/2$,因為根據 $r$ 的凸性,$2r(c_i/2) < r(c_i)$。

然而,單靠凸性並不能 保證 真實報價,因為拆分並過度報告可能仍然是值得的。本文剩餘部分研究了一個特定的凸獎勵函數族,以說明協議在考慮要求的質押量、獎勵函數的曲率以及由此產生的完美容量預言機成本時所面臨的權衡。

我們將研究凸單項式 $r(x) = x^p, p > 1$ 的通用族。這些單項式的曲率是一個單一參數 $p$,我們可以增加它來抑制拆分。此外,單項式具有 $r'(0) = 0$ 的優良性質。因此,我們知道報價無限小值的價值為 0(即當 $\varepsilon \to 0$ 時,$r(\varepsilon) \to 0$)。^([6])

我們將不失一般性地考慮一個具有單位容量的供應商。供應商不需要考慮其他供應商的行為,因為他們的分配和支付是獨立的。我們考慮他們提交 $N$ 個報價、每個價值為 $\alpha$ 的動作空間。這是一個 同質 策略,他們可能會過度報告(通過提交超過 $1/\alpha$ 個報價),但他們不考慮提交不同大小的報價 $(\alpha_1, \alpha_2, \ldots)$。我們相信這在不失一般性的情況下是成立的,除非存在微小的捨入誤差(例如,最優策略可能是提交 $[\frac{1}{2}, \frac{1}{2}, \frac{1}{2}, \frac{1}{100}]$,其中最後一個小報價僅微幅增加預期利潤)。

被抽樣的身份數量為 $X \sim \text{Binomial}(N, \varepsilon)$,供應商可以精確履行其中的 $\lfloor 1/\alpha \rfloor$ 個,如果 $X - \lfloor 1/\alpha \rfloor > 0$,則為剩餘身份支付罰沒金。這給出了該策略的完整效用函數:

$U(N,\alpha) = \alpha^p\mathbb{E}[\min(X,\lfloor 1/\alpha \rfloor)] - S \mathbb{E}[\max(X-\lfloor 1/\alpha \rfloor,0)]$。

如果 $U(N,\alpha)$ 在 $N=1, \alpha=1$ 處取得最大值,則會發生真實性。這沒有閉式解,因此我們將進行數值計算。回想一下,我們專注於攻擊者以 $N$ 個女巫身份報價 $\alpha$ 的策略。我們現在觀察到,只需考慮 $\alpha \in {1, \frac{1}{2}, \frac{1}{3}, \ldots }$ 就足夠了,因為對於該集合中兩點之間的任何 $\alpha$,供應商仍然只能交付 $\lfloor 1/\alpha \rfloor$ 個,因此會選擇區間的右端點。此外,由於誠實行為賺取的效用為 $\varepsilon$,我們只需要考慮可能導致 $U(N,\alpha) > \varepsilon$ 的 $\alpha$ 值。注意 $U(N,\alpha) < \alpha^{p-1}$,因此:

\begin{align}
U(N,\alpha) > \varepsilon &\implies \alpha^{p-1} > \varepsilon \
&\implies \alpha > \varepsilon^{\frac{1}{p-1}}
\end{align}

因此,我們只需要檢查滿足上述條件的有限個 $\alpha$ 值。可以證明,當我們固定 $\alpha$ 值時,效用對 $N$ 是單峰的(但我們將略過證明,因為它不那麼有趣)。直觀上,這告訴我們對於每個 $\alpha$,存在一個唯一的最佳 $N$ 值,表示攻擊者將使用的最佳身份數量。因此,我們可以查看 $N$ 和 $\alpha$ 的最佳值是否為 1,以確定對於給定的 $S, \varepsilon$,真實報告是否為最優。

下圖數值化地顯示了兩個例子。

圖的左側子圖顯示 $\varepsilon = 0.017$。對於每個 $\alpha$ 值,我們考慮每個可能的身份數量 $N$,並用點表示最大效用。當 $\alpha=1/5$ 時,報告 $N=44$ 個女巫身份產生的效用為 0.0245,遠高於誠實效用 0.017。在右側,我們看到隨著 $\varepsilon$ 的增加,這些效用如何急劇下降。在這裡, $\alpha=1, N=1$ 達到了 $\varepsilon=0.034$ 的誠實效用,所有女巫策略都變得更糟。這表明較高的 $\varepsilon$ 會產生更準確的容量預言機,正如預期的那樣。然而,由於較高的審計機率,我們確實必須支付較大的金額。

尋找使誠實報告(例如 $\alpha=1, N=1$)成為最優的最小 $\varepsilon$ 值是很自然的。這是因為較高的 $\varepsilon$ 需要較高的支付來補償。更正式地說,對於固定的質押 $S$ 和冪次 $p$,我們想要解決以下問題:

\begin{align*}
\varepsilon^* (p, S) := \inf{\varepsilon\in [0,1] : \max_{N\geq 1, \alpha \in {1, 1/2, \ldots}} U(N,\alpha) \leq \varepsilon}
\end{align*}

效用函數的最大值沒有閉式解,因此我們可以使用以下迭代數值程序來尋找 $\varepsilon^*$。

  • 固定 $p, S$ 並考慮檢查率 $\varepsilon$。
  • 對於每個候選 $\alpha$,找到使 $U(N, \alpha)$ 最大化的 $N$。
  • 檢查是否所有 $\alpha$ 值的 $N$ 均為 1。如果是,則返回 $\varepsilon$,否則繼續。

此程序可用於尋找 $\varepsilon^$。在這個單位成本示例中,協議最終支付 $2 \varepsilon^$,因為單位容量真實報告的獎勵函數為 $(1+1^p)\cdot \varepsilon^$。對於非單位容量,協議的成本與 $\varepsilon^$ 成線性關係。下圖顯示了單位容量示例中協議成本作為 $S, p$ 函數的數值計算熱圖。

協議成本的單位是美元,表示「供應商執行一個單位工作的成本」。例如,我們看到當 $S=8$ 且 $p=2$ 時,協議成本為 0.2,協議應預期支付總容量營運成本的 20% 來獲取完美的容量預言機。$S$ 的單位也是美元。例如,$S=8$ 的值意味著每個供應商質押的金額是執行一個單位工作成本的 8 倍。

關於該圖的幾點說明:

  • 你真的需要 一些罰沒 ($S \approx 10$)。 在質押量較低的情況下,協議成本會收斂到 1,這意味著我們必須支付最大容量才能獲得完美的預言機。這是最壞的情況,因為將工作完全分配給每個報價者的平凡預言機也是完美的,且成本為 1。
  • 你真的需要 一點曲率 ($p \approx 1.5$)。 如果曲率更低,拆分攻擊就太強大了,協議成本會保持在 0.5 左右,這相當高。獎勵函數中少量的凸性大有幫助。
  • 質押量和曲率的邊際效益迅速遞減。 超過上述兩個要點的閾值後,協議成本變化不快。這很有幫助,因為這意味著我們不需要要求太多的質押,也不需要將獎勵函數的曲率調得太高。

同樣值得注意的是,上述第三點對較小規模的供應商有利。高質押要求不利於資本獲取能力較弱的團隊。此外,更凸的獎勵函數會不成比例地有利於高容量供應商,並可能引發中心化擔憂。因此,我們可以用相對較低的質押和較低的曲率獲得完美的容量預言機,這一點很有前景。設置最低報價可以進一步減輕女巫攻擊的風險,並有助於降低協議成本。

總體而言,此分析只是協議可以使用的凸性支付的一個自然族。擴展這項工作,以對設計容量預言機的最佳方式做出更通用的陳述,是一個令人興奮的未來研究方向。此外,考慮實施容量預言機的團隊可以借鑒此處的定性分析,以決定如何為其領域實施低成本協議。

5. 總結

我們涵蓋了很多內容!總結來說,我們的目標是設計一個協議,使其能夠良好地觀察其去中心化供應商集的容量。我們關注委託-驗證框架,其中執行工作很昂貴,但驗證工作正確完成卻幾乎沒有成本。該模型在以下假設下運行:

  • 單一資源: 協議試圖從一組可以自由創建新身份的匿名供應商那裡獲取單一類型的資源(例如計算)。
  • 單位成本: 每個供應商具有共同的、公開已知的單位生產成本。當獲取的資源是商品時,此假設是有道理的。
  • 免費驗證: 假設工作交付後,協議可以免費驗證其正確性。
  • 私有容量: 每個供應商擁有私有容量(資源量)。這是協議試圖通過容量預言機估計的內容。
  • 任意分配: 協議可以通過分配任何數量的額外工作來增加對資源的有機需求。這在數位採購設定中是獨有的。
  • 報價、分配和交付階段: 協議使用報價來獲取鏈的真實容量。這使得協議能夠追究供應商對其聲稱但未交付容量的責任。
  • 協議目標: 協議試圖在最小化向供應商支付的同時,創建一個完美的容量預言機。

在此模型下,我們研究了審計機制,協議隨機選擇一部分供應商進行分配,如果他們完整交付則支付報酬,否則予以懲罰。從這項分析中,我們可以為從業者總結出許多高層次的結論:

  • 隨機審計有效: 正如我們在 第 4 節 中通過數值展示的,在我們建立的現實模型以及關於協議可以要求的質押量的合理假設下,即使在沒有有機需求的情況下,也可以用大約 20% 的全容量運行成本獲取完美的容量預言機。當存在真實需求時,用戶支付可以幫助抵消容量預言機的成本。
  • 質押量: 質押在系統中很重要,因為它為協議提供了一層問責制。這減輕了供應商誤報其真實容量的風險。幸運的是,所需的質押量相對溫和。例如,如果你能要求 10 倍於全容量運行成本的抵押品,那麼罰沒足以在大多數情況下抑制過度報告。
  • 獎勵函數的曲率: 協議還可以通過獎勵函數本身的形狀來防禦誤報。我們展示了即使是輕微的凸性也可以大大降低獲取完美容量預言機的協議成本。
  • 最低報價: 如果協議可以要求最低可報告容量,則應該這樣做。這有助於防止供應商激進地將其容量細分為越來越小的單位。
  • 關聯支付: 如果可能,讓支付具有一定的關聯性也可以使協議受益。例如,如果你能在 50% 的分配工作未交付時避免向任何人支付,那麼攻擊者的策略空間就會受到極大限制。通過罰沒,關聯性可以通過關聯分配但非關聯支付的非對稱方式實現:如果所有參與者同時被分配工作,那麼只有交付的人獲得報酬,未交付的人被罰沒。這消除了在非罰沒、關聯環境中存在的悲傷攻擊向量,儘管它仍然面臨吞吐量突發性和獎勵高波動性的問題。
  • 中心化力量: 另一個重要的考慮因素是協議在多大程度上偏袒大型供應商。顯然,獲得完美容量預言機和可靠供應商的最簡單方法是明確限制合格供應商集(例如 權威證明),並依賴他們作為雲端服務商的聲譽和正常運行時間。這是一個無趣的解決方案。因此,我們上面描述的方法使得在沒有太多協議成本的情況下,理解許可制供應商集的容量成為可能。儘管如此,設計中的元素(高質押和曲率)可能會偏袒擁有更多資本或計算資源的各方,因此協議應意識到這種影響。

我們認為這裡的基礎模型為設計良好容量預言機的理論問題提供了良好的見解,從業者可以從數值結果中獲得許多定性想法。正如全文和腳註中所詳述的,有很多方法可以推廣此模型。然而,從從業者的角度來看,最重要的問題可能是容量預言機如何擴展到非同質資源。我們預計委託-驗證模型將支持的計算任務集將遠大於單一的「計算」資源。

感謝閱讀!

-maryam & mike

  • 注意這裡與工作量證明的相似之處。在比特幣網路中,估計算力容量是可能的,因為謎題是一個簡單、定義明確的任務,且難度調整機制給出了尋找下一個區塊所需哈希次數的一維度量。在異構環境中,任務具有各種計算成本(例如運行 LLM 與生成 ZK 證明),且供應商可以以不同方式專業化(例如 TPU 與 FPGA),容量估計問題變得難以處理得多。↩︎
  • 為了本文的可讀性,我們僅關注完美預言機,但一個自然的後續問題是量化預言機質量下降的速度和/或不完美預言機的成本。↩︎
  • 其他罰沒函數也可能是合理的。例如,如果你想減輕懲罰,可以僅按未交付分配量的比例進行罰沒,這會激進部分履行。但為了最大程度地威懾拆分,最具攻擊性的罰沒函數是最有效的。↩︎
  • 關聯程度同樣是一個可以深入研究的設計參數。例如,與其完全關聯每個人的支付,你可以根據供應商行為的子集進行部分關聯(例如,如果 至少 1/3 的分配工作已交付,則進行支付)。為了易於處理,我們這裡專注於完全非關聯的版本。↩︎
  • 當然,你必須有預算為協議中的每個身份提供質押金 $S$。既然我們在做最壞情況分析,讓我們假設攻擊者有足夠的資本使該策略值得執行。↩︎
  • 還有許多其他潛在有趣的獎勵函數形狀。在不同條件下表徵最優形狀是這項工作的另一個有趣的理論擴展。↩︎

ethresear.ch

相關文章

其他收藏 · 0