想象一下,全球互联网的 “骨干网络” 在一天之内彻底崩溃。
原文:Inside Bitcoin’s 24 hour race to survive a global internet blackout
编译:哔哔 News
无论是人为错误、灾难性的软件漏洞、失控的计算机病毒,还是彻底的武装冲突——如果连接全球的物理互联网交换中心突然陷入瘫痪,比特币会发生什么?
如果法兰克福、伦敦、弗吉尼亚、新加坡和马赛同时下线,比特币网络将被分裂成三个独立的分区。
跨越大西洋、地中海以及主要跨太平洋通信线路的数据传输将陷入停滞,美洲、欧洲、非洲、中东、亚洲与大洋洲各地区将被迫拥有不同版本的比特币交易历史,直到网络连接恢复为止。
在每个分区内,区块的生成仍会根据可用的算力持续进行。以全球平均每 10 分钟出一个区块为基准,若某区域拥有 45% 的算力,每小时大约可生成 2.7 个区块;35% 的算力可生成约 2.1 个区块;20% 的算力则约为 1.2 个区块。由于各分区之间的节点无法交换区块头或交易信息,每个区域都会在彼此毫不知情的情况下,各自推进一条合法的链。
由此产生的结果,是一种 “自然分叉深度”,会随着时间推移以及算力分布的不同而不断加深。
由于网络被分区后每个区域都在各自独立地产生区块,这种分歧是系统结构导致的必然。我们可以为不同地区分配一个大致的算力比例来进行模拟,美洲占 45%,亚洲与大洋洲占 35%,欧洲与非洲占 20%。
美洲地区每两小时大约会新增 6 个区块,亚洲和大洋洲每小时大约会新增 4 到 5 个区块,欧洲和非洲则每小时大约新增 2 到 3 个区块。
一小时后,各地区的账本就已经会相差十几个区块。
半天后,这些差距会扩大到上百个区块。
到了一整天时,不同链之间已经相差数百个区块,这一分歧超出了常规链重组(reorganization)的范围,迫使各地的服务机构不得不将本地区的区块确仅视为暂时有效。
隔离时间越长,弱链的重组风险越深;哪怕只是短暂的 50/50 算力分裂,也可能引发严重的链重组风险。
本地区的内存池(mempool)会在断网后立即分裂。例如,在纽约广播的一笔交易将无法传达到新加坡。因此,发送方所在分区之外的节点在网络恢复之前完全无法看到这笔交易。
在各自独立的分区内,手续费市场(fee market)会转化为本地化的竞争。用户需要在有限的区块空间中竞争,二竞争的激烈程度取决于该地区的算力。因此,在算力较弱但交易需求仍然高的地区,手续费上涨得最迅猛。
同时,交易所、支付处理机构以及托管钱包通常会在全球确认机制失效时暂停提款与链上结算;而闪电网络(Lightning Network)的对手方也将陷入不确定状态,因为它们的承诺交易可能只在少数分区的链上被确认,从而带来结算风险。
当网络连接恢复时,节点会自动启动同步与对账过程
每个节点都会对比不同的区块链,并重组(reorganize)到拥有累计工作量最高的那条有效链上。
在实际操作中,这种过程带来的成本主要分为三个方面:
1. 使少数分区区块失效的重组深度。
2. 重新广播并排序那些此前只在失败分支上被 “确认” 的交易所需的工作量。
3. 交易所和托管机构在重新开放前执行的运营检查。
在 24 小时的网络分裂中,少数分区上生成的数十到上百个区块在网络恢复后可能会被孤立(即成为孤块)。服务提供商需要额外的数小时来重建内存池(mempool)、重新计算账户余额并重新开放提币。
经济层面的全面恢复通常会滞后于协议层的重新收敛,因为法币支付通道、合规审查以及通道管理等环节都需要人工核查。
如果将网络 “隔离” 视为可访问算力(hashrate)的百分比,而不是节点数量,系统动态会更容易理解。
当 30% 的算力被隔离时,少数链每小时大约能新增 1.8 个区块。这意味着在该分区中,一个获得 6 次确认的常规支付大约在 3 小时 20 分钟后就会变得有风险——因为当剩余 70% 的网络构建出更长的主链时,这 6 个区块可能被孤立掉。
在接近 50/50 的分裂中,双方分区累积的工作量几乎相同,因此即使分裂持续时间很短,也会在两边形成相互竞争的 “已确认” 交易历史。当网络重新连接时,哪一条链被保留、哪一条被舍弃的结果将呈现随机性(stochastic)。
在 80/20 的分裂中,占多数算力的一方几乎必然获胜;而算力较小的那一方在一天内产生的大约 29 个区块,将在链合并时被孤立(orphaned),导致该地区许多原本已被确认的交易被回滚或作废。
重组风险(Reorg risk)取决于时间和较小分区的算力这两个因素的乘积。风险最高的情况是在分裂持续时间较长且双方算力几乎相等的区域。
一些弹性抗风险工具的存在很大程度上决定了实际影响的大小。
卫星下行链路、高频无线电中继、延迟容忍网络(DTN)、网状网络,以及诸如 Tor 桥接等替代传输方式,都可以在网络受损的情况下,继续传递区块头或最小化的交易数据流。
这些通信路径虽然带宽狭窄、延迟较高,但即便是间歇性的跨分区传播,也能通过让部分区块和交易穿透到其他分区来减少分叉深度。
矿工节点的对等连接多样性、交易所基础设施的多宿主网络架构(multi-homed)、以及矿池的地理分布广泛性,都能提高算力工作量通过这些 “侧信道” 在全球范围内传播的可能性。这样一来,当互联网主干恢复时,就能有效限制区块链重组的深度和持续时间。
当网络分裂发生时,市场参与者的应对措施其实很简单。
l 暂停跨分区结算,将所有交易确认视为临时性结果,并强化手续费估算机制,以防局部手续费激增。
l 交易所可以在暂停提币的情况下,启用储备证明(proof-of-reserve)验证机制,提高交易确认门槛,以应对少数分区风险,并公布确定性政策,将隔离持续时间与所需确认次数进行对应说明。
l 钱包应在界面上明确提示交易仅具区域性确认效力,暂时关闭自动通道平衡功能,并将有高时效性要求的支付暂存排队,等待网络恢复后再重新发送。
l 矿工应保持多样化的上游连接,并在链条重新同步过程中避免进行任何偏离标准最长链选择规则的人工干预。
该协议之所以能够在设计层面存活下来,是因为节点一旦重新连接,就会自动汇聚到累积工作量最高的链上。
然而,在网络分裂期间,用户体验就没那么理想了,因为经济最终性依赖于全球范围内的一致传播。
在持续一天的多枢纽网络中断下,可能性最大的最坏情形是:跨境可用性暂时崩溃、交易费用剧烈且不均衡地波动,以及深度重组导致区域性确认被作废。
当网络链接恢复后,软件会以确定性的方式解决账本分歧,各项服务也会在完成运行检查后恢复全部功能。
最后一步是当账户余额和交易历史记录一致后,重新开放提币与通道操作。
这是一种可恢复的情况——但如果这种断裂永远无法修复,又会怎样呢?
第三次世界大战爆发期间比特币会发生什么?
那么,如果我在开头提到的那些骨干集线器再也没有回来怎么办?
在那个反乌托邦的场景中,我们所知道的比特币不会重新出现。
你会得到永久的地理分区,这些分区的行为类似于单独的比特币网络,共享相同的规则,但它们之间没有通信。
每个分区不断挖矿,按照自己的时间表调整难度,发展自己的经济、订单簿和费用市场。如果不恢复连接或协调单个链的手动选择,就没有协调历史记录的机制。
这是这种稳定状态的样子。
共识与难度
l 在每个分区到达下一个 2016 区块重定向之前,区块时间根据可达到的哈希率运行缓慢或快速。重定向后,每个分区在本地重新居中约 10 分钟。
使用我们的近似份额,第一次重定向的预期时间为:
在第一次重定向之后,每个分区在大约 10 分钟内生成区块,然后继续减半并独立调整。
如果没有跨洋链接,区域分别需要 31 天、40 天和 70 天才能达到第一个难度重定向。
减半日期随时间出现偏差,因为每个区域在第一次重定向之前,各地区到达减半区块高度的速度不同。
供应和 “什么是 BTC”:费用、内存池和支付
在每个分区内,每条链的 2100 万个上限仍然适用。在全球范围内,所有分区的币总数超过 2100 万枚,因为每个链继续独立发放补贴。从经济上讲,这会产生三种不兼容的 BTC 资产,它们共享地址和密钥,但具有不同的 UTXO 集 。
l 密钥在每个分区上同时控制同一种币。如果用户在两个地区花费相同的 UTXO,你们两次支出在各自的本地链上都有效,从而产生永久的 “分裂币”,具有相同的分裂前历史和不同的分裂后历史。
l 内存池永远是本地的。跨分区付款不会传播。任何向另一个分区中的某人付款的尝试都永远不会到达他们手中。
l 费用市场在各地逐渐形成局部均衡。在难度重新调整之前的较长时期,较小算力的分区往往具有更紧凑的容量,在难度调整完成后,市场才会恢复正常水平。
l 跨不同分区的用户的闪电通道无法路由。HTLC 会因为超时失效,节点对等方会发布承诺交易,而这些关闭交易只会在各自的本地区块链上得到确认。跨分区的流动性因此被困住。
安全、市场和基础设施
每个分区的安全预算等于其本地哈希率和手续费费用。一个仅拥有分裂前 20% 算力的地区,其被攻击的绝对成本会低于整个全球网络。随着时间推移,矿工可能会迁移到币价更高、能源更便宜的分区,从而再次改变网络的安全格局。
如果各分区之间没有区块头传输路径,那么某个分区中的攻击者无法篡改另一个分区的历史;因此,攻击将被限制在特定的区域内。
l 交易所变得区域化,价格行情出现分歧。实际上,你会看到 BTC-A、BTC-E 和 BTC-X 等不同版本的价格,即使它们在各自区域内都仍称自己为 BTC。
l 法币入口、托管服务、衍生品以及结算通道都会针对各自的区域链进行专门化运作。指数提供商和数据供应商则必须为每个市场选择一个特定链,或发布包含多条链的数据综合指数。
l 依赖全球数据源的跨链资产和预言机将会失效,或分裂成各自区域的独立版本。
协议规则将保持不变,除非某个分区内部协调修改规则。若某一分区单方面进行升级,其他分区不会同步启用,从而随着时间推移导致规则体系的逐渐分化。
矿池软件、区块浏览器和钱包都会在各自的分区上运行独立的基础设施。而对于连接多个分区的服务来说,如果没有人工制定的规则,就无法在不同链之间对账或统一余额。
没有这些集线器,分区还能协调吗?
如果通信路径永远无法恢复,协议层面的共识就不可能实现。要重新回到单一账本,唯一的办法是通过社会性与操作性手段,例如协调一致地选择某个分区的链作为主链(canonical chain),并放弃或重新同步其他分区的链。
经过数周的严重分叉,自动重组为单一历史记录已经不可行。
运营要点
我们必须把这种永久性分裂视为一次拥有共同分裂前历史的硬分叉。管理密钥,以便可以安全地使用拆分的币,使用仅存在于一个区域的输出来避免跨分区的意外重放,并维护每个分区的独立账务、定价和风险控制。
矿工、交易所和托管机构应当选择一个所属的主分区,公布所使用的链标识,并明确说明各条链上充值与提现的具体政策。
简而言之,如果这些网络枢纽永远无法恢复,且没有任何替代路径能够重新连接它们,比特币不会 “死亡”,而是会分裂成若干个彼此独立、永不合并的比特币体系。
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。
