中本聪式信任的经济学极限:加密货币为何难以规模化?
编者按
2008年,中本聪提出了一种无需政府或法律支持的去中心化支付系统。十余年间,尽管他的真实身份至今仍是未解之谜,但由他开创的新领域:以比特币为代表的加密资产总市值一度突破3万亿美元,这引发了全球范围内对加密资产的追逐。然而,这种与政府和法治保持着相对独立性的信任机制,是否在经济上具有可行性?是否真的安全可控?本文在回顾中本聪区块链技术的基础上,基于经济学均衡分析构建模型,揭示了中本聪式信任的经济局限——该信任系统的安全成本随受保护价值的增加而线性攀升。这意味着,若区块链上承载的经济价值接近主流金融体系体量,维护系统安全的成本将极其高昂。最后,作者将这一信任模式与传统法治信任进行对比,并探讨了对中央银行数字货币(CBDC)发展的启示。“IMI财经观察”特推出此文,以飨读者。
规模化信任:加密货币与区块链的经济局限性
TRUST AT SCALE: THE ECONOMIC LIMITS OF
CRYPTOCURRENCIES AND BLOCKCHAINS
01
无政府信任体系,真的可行吗?
经济学家长期以来普遍认为,市场体系需要某种形式的政府和法治作为支撑。然而,中本聪在2008年的白皮书中提出了一种无需政府或法律支持的经济系统。该系统信任与安全源于密码学算法与经济激励的结合,所有参与者在一个完全匿名且去中心化的网络中协作维护公共账本。这一机制被称为“无许可共识”。
中本聪的发明吸引了全球的广泛关注。比特币及其他加密资产在巅峰时期的总市值曾高达约3万亿美元。然而,迄今为止,加密货币交易量的绝大部分仍属于投机性质。这种“无需政府与法治支持”的新型信任机制是否具有经济可行性,仍是一个有待回答的问题。
本文研究发现,在其纯粹形式下,中本聪式信任面临经济局限性:维持信任所需持续消耗的成本必须始终大于攻击系统的潜在收益,且这一成本随攻击价值的增加而线性上升。
为验证这一结论,本文构建了一个由三个方程组成的分析框架。第一个方程是零利润条件,刻画诚实参与者提供的“信任支持”规模。第二个方程是激励相容条件,描述系统抵御多数攻击所需的安全门槛。前两个方程共同推导出一个均衡约束,该约束表明维持信任的成本必须始终大于攻击收益。
在此基础上,本文分析了“双花攻击”的具体防御成本,讨论了专用资本能否缓解这一困局,并进一步将中本聪式信任与传统信任模型进行比较。最后总结研究结论并探讨其对中央银行数字货币(CBDC)发展的启示。
02
中本聪经济系统如何运行?
要理解中本聪式信任为何在经济上受限,首先需要了解这套系统的运行机制及相关概念。
(一)
交易与信任问题
加密货币交易包含四个基本要素:发送方地址、接收方地址、交易金额以及加密签名。发送方和接收方均以字母数字字符串表示,称为“地址”。加密签名则利用公钥密码学的标准原理,用来证明该交易由发送方发起。同时,加密签名还将接收方地址与交易金额等细节一并编码在内,使得交易内容在传输过程中无法被篡改。
但仅有加密签名还不足以构建一个可信的交易账本。如果交易记录存放在一个公开的电子表格中,那么任何拥有编辑权限的人都可以对其进行修改。发送方可以在余额不足的情况下发起交易,可以将同一笔资金同时发送给多个接收方,也可以直接删除已有的交易记录。
传统的解决办法是引入一个可信的第三方,比如银行或支付机构,由它来集中记账并判断每笔交易是否有效。这一模式虽然解决了上述问题,却将整个系统的信任系于中心化主体之上。而中本聪区块链的目的,则是构建一个无需任何特定可信方,却能让全体参与者共同认可的交易账本。
(二)
什么是中本聪区块链?
中本聪区块链的核心设计由四个环节构成:待处理交易池、有效区块、挖矿竞赛以及最长链规则。
待处理交易池。用户发起交易后,交易信息首先进入一个公共的待处理池。该池汇集了全网已提交但尚未被纳入正式记录的交易。
有效区块。任何参与者均可从待处理池中选取一组交易,将其组织成一个“区块”。“区块链”一词描述了这一结构的特征,即交易被装入区块,区块之间通过哈希值首尾相连,形成一条链。一个有效的区块须同时满足以下三个条件:区块内每笔交易的签名均正确有效;发送方在已有记录中的余额充足;区块内部不存在相互冲突的交易。由于每个区块的哈希值取决于前序区块的全部数据,因此任何对历史记录的修改,都会使该区块及后续所有区块的哈希值发生变化,从而暴露篡改行为。
挖矿竞争。将新区块接入链上需通过一场计算竞赛来争夺记账权。参与竞赛的节点称为“矿工”。矿工需要为待接入的区块寻找一个特定的随机数,使得该区块的哈希值满足系统设定的难度要求。寻找过程依靠不断试错完成,消耗大量算力。而一旦找到,其他节点验证其正确性却极为简便。找到这样一个有效区块,就构成了“工作量证明”,以证明矿工投入了相应的算力。率先找到有效随机数的矿工将区块广播至全网,并获得两部分奖励:系统新发行的比特币,以及该区块内所有交易的手续费。
最长链规则。当区块链出现分叉,即同时存在多条区块链时,中本聪提出了最长链规则以引导矿工行为。该规则以累计计算工作量作为衡量标准,规定计算工作量最多的最长链为交易的官方共识记录。矿工遵循这一规则的激励在于,只有在最长链上构建的新区块才能被系统认可,并获得相应的区块奖励。中本聪从形式上证明:只要多数算力遵循最长链规则,最长链将以指数级收敛于1的概率击败攻击者,其概率取决于诚实多数者的算力份额以及攻击者需克服的算力缺口。
(三)
当算力过半:“多数攻击”如何瓦解信任
尽管最长链规则在诚实多数假设下能够有效运行,但中本聪区块链仍然容易受到“多数攻击”。一旦攻击者掌握了51%或更多的算力,就可以随时创建一条替代链来超越原有的诚实链,从而成为新的共识。
本文介绍了一种典型的“多数攻击”方式,即“双花攻击”。攻击者先在诚实链上发送比特币以进行交易,待交易被确认后,再利用算力优势构建一条不包含这些交易的替代链。一旦这条替代链被发布并成为新的最长链,原链上的交易记录便被删除,攻击者既获得了交易标的,又保留了已支付的比特币。原先支付过的比特币得以再次使用。
(四)
概念辨析
在介绍了中本聪区块链相关内容之后,有三个概念需要进一步讨论和区分。
第一,许可型区块链。随着“区块链”概念的泛化,许多由已知机构维护的分布式数据库也被冠以“区块链”之名。这类系统的信任基础仍是机构信用或法律安排,与本文所讨论的无许可共识存在本质区别。本文的分析对象是后者。
第二,智能合约。中本聪方案最初用于记录货币交易,但可扩展至任何可执行的计算机指令。本文的分析框架同样适用于运行智能合约的区块链。
第三,权益证明。权益证明(PoS)是工作量证明(PoW)外另一种防范多数攻击的共识机制,参与者通过质押加密货币而非消耗算力来竞争记账权。本文后续将讨论权益证明能否提升系统安全效率。
03
中本聪式信任的经济学分析:昂贵的安全成本
本文基于经济学均衡分析与博弈论方法,构建了一个用于分析中本聪区块链“无许可共识”安全性的理论模型,以探究维持系统安全需要承担何种程度的成本,并分析中本聪式信任的经济学局限。该模型由三个方程构成。
第一个方程刻画了诚实参与者的零利润条件。旨在回答:在自由进出的情况下,诚实参与者投入的总成本会达到什么水平?在无许可共识中,任何人都可以自由加入或退出。购买矿机投入算力,或质押代币参与权益证明,来竞争系统发放的区块奖励。由于自由进入,若存在超额利润,新参与者将不断涌入,竞争加剧使得每个人的获利空间被持续压缩。反之,若全行业亏损,部分参与者将退出,使剩余者的利润回升。这一过程将持续调整,直至所有参与者的预期经济利润趋近于零。方程揭示出该过程的均衡结果:在诚实参与者自由进入的均衡状态下,总信任支持成本等于系统为每个区块支付的奖励。
第二个方程定义了系统安全所需满足的激励相容条件。无许可共识的关键安全漏洞在于多数攻击:一旦某一参与者掌握了超过半数的信任支持,即可创建替代链以取代原有共识,从而篡改系统状态。在这一条件下,攻击者需额外投入一定倍数的信任支持以形成多数,并在攻击持续期间承担这一成本。攻击持续的时间越长、规模越大,累计成本越高。方程揭示了激励相容门槛,即只有当发动多数攻击的总成本大于攻击带来的潜在收益时,攻击者才无利可图,系统的安全条件才能成立。
第三个均衡约束方程由零利润条件与激励相容条件联立得出。该均衡约束旨在揭示中本聪式信任的经济学局限。一是信任形式极其昂贵,系统的安全依赖持续不断的流量开支和金钱投入来维持,而非一次性投入;二是中本聪式信任与传统法治信任存在根本区别,传统法治信任依靠事后惩戒降低安全成本,而中本聪信任因完全匿名且去中心化,无法借助这一机制。三是安全成本随保护价值的增加而线性增长。若攻击收益增长一千倍,安全投入也必须相应增加一千倍,不存在防御方优势。
最后,本节在极端假设下讨论了攻击净成本趋近于零的情形,并从博弈论与重复互动的视角对模型加以补充验证。结果同样证实,中本聪式信任作为安全机制具有内在脆弱性,其信任模式极其昂贵且难以规模化扩展。
04
双花攻击的防御成本估算
第三节的均衡约束从理论上探讨了中本聪式信任的内在局限。本节在此基础上,以中本聪工作量证明最长链协议为分析对象,针对双花攻击这一具体场景,对该信任模式所需的经济成本进行量化估算。
(一)
双花攻击的运作机制
双花攻击是多数攻击的典型形式,其运作机制遵循以下步骤。第一步,攻击者在诚实链上正常发起交易,用比特币换取商品或资产。第二步,这些交易按常规流程被确认并添加入链。第三步,攻击者在私下秘密构建一条不包含上述交易的替代链。在这条链上,同一笔比特币被重新分配给攻击者自己,而非最初交易的接收方。第四步,攻击者等待交易托管期结束,确保已收到所购商品或资产。第五步,攻击者将替代链公开发布。由于替代链不含最初的支付记录,原交易被系统撤销,攻击者因此既保留商品,又收回比特币。同一笔资金得以重复使用。
图1 双花攻击的运作机制
(二)
双花攻击的防御成本
基于第三节的理论模型,双花攻击的成本由攻击者算力相对于诚实参与者的倍数和攻击的预期持续时间共同决定。倍数越大,攻击越快,但每秒的算力成本也越高。攻击者需在规模与速度之间寻找最优组合,以最小化总成本。在基准场景下:假设交易托管期和攻击发起的交易量合计约12个区块,成本最低的攻击者需要掌握约59%的算力,攻击耗时约14个区块,总攻击成本约为诚实参与者每区块总成本的20倍。
将上述攻击成本代入均衡约束方程,为保证系统安全运行,每个区块支付的奖励必须大到足以让攻击无利可图。本小节通过两个思想实验,估算这一防御成本的具体数量级。
第一个思想实验以攻击价值为基准。在基准场景下,每生成一个区块所需的安全成本约为受保护价值的5%。每笔交易约需支付受保护价值0.0025%的安全费用。然而,这一成本随受保护价值的增加而线性上升:若要保护系统免受10亿美元的双花攻击,每笔交易的安全费用高达2.5万美元,年度安全支出约2.6万亿美元;若要抵御400亿美元的攻击,年度安全成本将超过全球GDP。
第二个思想实验以诚实交易量为基准,考察防御成本占诚实交易量的比例。结果显示,托管期越长、攻击窗口越短,防御成本越低:当托管期为一小时,每区块防御成本相当于诚实交易量的30%;若托管期延长至一天,该成本降至约3.3%。相反,攻击窗口越大,防御成本越高:若托管期不变而攻击者可双花一整天的交易量,防御成本将飙升至79%,并随攻击窗口的扩大逐步趋向100%。
通过估算双花攻击的防御成本,本节得出结论:区块链的安全成本与链上承载的经济价值呈线性关系。当经济价值接近主流金融体系,安全开支将膨胀至难以维系的水平。这也意味着,中本聪信任在经济逻辑上难以承担主流金融体系所要求的大规模信任功能。
05
专用资本:能否克服安全成本困局?
前述模型分析假设攻击者只需支付攻击期间的流量成本。然而,现实中维持区块链安全的资本往往是专用的。例如,比特币矿机是只能计算SHA-256哈希的ASIC芯片,一旦比特币因攻击而崩盘,这些设备将变得毫无价值;以太坊权益证明中的质押资产本身即是协议内代币,其价值与区块链深度绑定。因此,如果攻击者的专用资本会因攻击而贬值,攻击成本便不再仅是短期流量消耗,而是整个资本存量的损失。
本节估算,将专用资本的存量损失计入攻击成本后,安全效率可提升约2500倍。这一数字在一定程度上解释了为何比特币和以太坊至今未遭大规模多数攻击。
虽然专用资本带来的安全效率提升幅度十分显著,但要使攻击者真正承担专用资本方面的损失,只能依靠系统崩溃、协议罚没或法律制裁。这些路径均难以成为纯粹的、去中心化信任体系的稳定基石。据此,本节得出结论:专用资本无法从根本上克服中本聪信任的规模不经济。
06
中本聪式信任与传统信任的比较
前文从经济学均衡分析角度,论证了中本聪式信任内在局限。本节进一步将中本聪式信任与法治、信誉、关系、抵押品等传统信任机制加以对照。
传统信任依靠法治、声誉与抵押品等机制,以固定成本支撑大规模交易,具有规模经济属性。以法治为例,法院系统的建设与维护构成一项固定成本,其威慑效应并非仅作用于单笔交易,而是覆盖全社会。使得任何潜在的违约者均面临被追责的威胁。因此,这项成本被海量交易分摊后,单笔交易的边际威慑成本趋近于零。这一逻辑同样适用于品牌、声誉与抵押品等信任机制。正基于此,美国金融业的信任成本仅占其交易总量的约0.1%,大额交易费用甚至低于0.01%。
中本聪式信任则缺乏这种规模经济,某一时刻的安全成本由该时刻投入的算力或质押资产规模所决定。此前的投入无法威慑当下的攻击者,信任无法作为存量资本而被积累。这意味着安全成本随攻击收益的增长而线性攀升。在纯粹的、无需法治支持的无许可共识中,攻击的潜在收益往往等于甚至超过诚实交易的规模。因此,安全成本非但不会随交易量的扩大而摊薄,反而可能因系统承载价值的增长而系统性攀升。
07
总结
本文对中本聪式信任进行了系统的经济学分析。研究表明,这种完全匿名、去中心化的信任机制面临经济局限性。维持系统安全的成本必须始终大于攻击系统的潜在收益,且这一成本随受保护价值的增加而线性攀升,当承载的经济价值接近主流金融体系时,安全开支便将膨胀至难以维系的水平。传统信任依托法治、声誉与抵押品等固定资本投入,能够在海量交易中摊薄安全成本;而中本聪式信任完全依赖即时投入的资源流量,缺乏这种规模经济。
同时,本文的研究结果对理解中央银行数字货币(CBDC)的发展方向具有参考意义。CBDC在技术上沿用了加密货币的某些设计要素,但其共识机制并非中本聪式的无许可共识,而是以央行信用与法治框架为信任基础。正因如此,CBDC享有传统信任的规模经济,不会面临本文所揭示的中本聪信任的规模困境。