以太坊 Gasper 共識協議完整數學安全性分析：從密碼學假設到經濟保證

概述

Gasper 是以太坊當前使用的共識協議，它結合了 Casper the Friendly Finality Gadget（Casper-FFG）的最終性保證和 LMD Ghost（Latest Message Driven Greediest Heaviest Observed SubTree）的分叉選擇規則。理解 Gasper 的安全性證明對於評估以太坊網路的抗攻擊能力、質押經濟學設計，以及協議未來演進方向至關重要。

本文從密碼學和博弈論的視角，完整推導 Gasper 協議的安全性證明。我們將涵蓋：攻擊者模型的形式化定義、Casper-FFG 的最終性保證數學推導、LMD Ghost 的活性證明、以及經濟安全性分析。所有推導都將附帶具體的數值示例，幫助讀者建立直觀理解。

一、密碼學基礎與安全假設

1.1 離散對數假設

Gasper 協議的安全性建立在橢圓曲線離散對數問題（ECDLP）的困難性之上。設 $G$ 為橢圓曲線上的生成元，$q$ 為群的階。

定義（離散對數困難性）：對於給定的 $P \in \langle G \rangle$ 和 $Q = x \cdot P$，計算 $x$ 是計算上不可行的。

即對於任意概率多項式時間（PPT）攻擊者 $\mathcal{A}$：

$$\Pr[\mathcal{A}(G, q, P, Q) = x] < \epsilon(\lambda)$$

其中 $\epsilon(\lambda)$ 是可忽略函數，$\lambda$ 是安全參數。

以太坊使用的 secp256k1 曲線，群的階為：

$$q = 2^{256} - 432420386565659656852420866394968145599$$

這個巨大的數值確保了離散對數問題在實際中是困難的。

1.2 BLS 簽名的安全性

以太坊驗證者使用 BLS 簽名實現簽名聚合。BLS 簽名的安全性建立在以下假設之上：

定義（Bilinear Diffie-Hellman 困難性，BDH）：對於給定三元組 $(P, aP, bP, cP) \in \mathbb{G}1^4$，計算 $e(P, P)^{abc} \in \mathbb{G}2$ 是計算上不可行的。

其中 $e: \mathbb{G}1 \times \mathbb{G}2 \rightarrow \mathbb{G}_T$ 是一個配對函數，滿足雙線性性質：

$$e(aP, bQ) = e(P, Q)^{ab}$$

定理（BLS 簽名的不可偽造性）：在 BDH 假設下，BLS 簽名是存在性不可偽造的（existentially unforgeable under adaptive chosen message attack，EUF-CMA）。

證明概要：

假設攻擊者 $\mathcal{A}$ 能夠偽造消息 $m$ 的有效簽名 $\sigma$。則我們可以構造一個 BDH 求解器 $\mathcal{B}$：

1. $\mathcal{B}接收 (P, aP, bP, cP)$
2. $\mathcal{B}訓練 \mathcal{A}直到它要求查詢消息 m_i 的簽名$
3. 當 $\mathcal{A}偽造消息 m^$ 的簽名 \sigma^$ 時：

• 設 $H(m^) = Q^ \in \mathbb{G}_2$
• 偽造的簽名為 $\sigma^ = a \cdot Q^$
• 計算 $e(P, \sigma^)^{c/a} = e(P, aQ^)^{c/a} = e(P, Q^*)^c$
• 這正是 BDH 的解 $e(P, P)^{abc}$

因此，如果存在偽造攻擊者，則存在 BDH 求解器，與 BDH 困難性矛盾。$\square$

1.3 驗證者集合的信任模型

Gasper 假設驗證者集合是「誠性多數」的：誠實驗證者控制超過 $2/3$ 的質押份額。這個假設可以用數學語言精確描述：

定義（誠性多數假設）：設 $V$ 為驗證者集合，$Sh \subset V$ 為誠實驗證者集合，$Sa = V \setminus S_h$ 為攻擊者集合。則：

$$\frac{\sum{v \in Sh} \text{stake}(v)}{\sum_{v \in V} \text{stake}(v)} > \frac{2}{3}$$

這個假設是合理的，因為：

1. 質押是公開的，攻擊者無法隱藏其質押份額
2. 質押 ETH 是一種公開、可驗證的「獎金」（stake）
3. 攻擊者自身也會因網路攻擊而遭受損失

二、Casper-FFG 最終性保證

2.1 檢查點與時期結構

Casper-FFG 將區塊組織成檢查點（Checkpoint）的層次結構：

定義（檢查點）：檢查點是區塊頭被驗證者投票確認的「時期邊界」。每個時期（Epoch）包含 $32$ 個槽（Slot），每個槽理論上 $12$ 秒。

設 $Ei$ 為第 $i$ 個時期的檢查點區塊，$H(Ei)$ 為其哈希值。時期結構如圖所示：

時期 0       時期 1       時期 2       時期 3
  |           |           |           |
  v           v           v           v
[E0]---->[E1]---->[E2]---->[E3]---->[E4]
  ^           ^           ^           ^
  |           |           |           |
  └───────────┴───────────┴───────────┘
              時期邊界（Epoch Boundary）

2.2 投票與雙重鏈約束

每個驗證者在每個時期開始時提交一次投票。一張投票 $v$ 由以下元素組成：

$$v = (s, t, h1, h2)$$

其中：

• $s$：來源檢查點
• $t$：目標檢查點（$t$ 必須在 $s$ 的時期之後）
• $h_1$：$s$ 的哈希值
• $h_2$：$t$ 的哈希值

定義（雙重鏈約束）：同一驗證者不能在同一時期內對兩條「衝突」的鏈投票。兩條鏈衝突當且僅當存在一個檢查點 $c$，使得 $c$ 在一條鏈上但不在另一條鏈上。

形式化地，對於驗證者 $v$ 的兩張投票 $v1 = (s1, t1, h1^{(1)}, h1^{(2)})$ 和 $v2 = (s2, t2, h2^{(1)}, h2^{(2)})$，約束為：

條件 A（非環繞約束）：

$$(s1 < t1 < s2 < t2) \lor (s2 < t2 < s1 < t1) \lor \neg(\text{交叉})$$

條件 B（非雙重投票約束）：

$$(s1, t1) \neq (s2, t2)$$

違反這些約束的投票稱為「無效投票」，將觸發 Slash 條件。

2.3 最終性保證的數學推導

定義（ justification 和 finalization）：

• 一個檢查點 $c$ 被 justified 當且僅當超過 $2/3$ 的驗證者投票給以 $c$ 為目標的投票
• 一個檢查點 $c$ 被 finalized 當且僅當 $c$ 被 justified 且超過 $2/3$ 的驗證者投票給「環繞」$c$ 的投票

引理 1（連續 justification）：如果檢查點 $Ei$ 被 finalized，則 $Ei$ 的所有祖先檢查點都被 justified。

引理 2（無分歧引理）：不可能同時存在兩個 finalized 的衝突檢查點。

證明（引理 2）：

假設存在兩個冲突的 finalized 檢查點 $Ei$ 和 $Ej$（不失一般性，設 $i < j$）。

根據 finalization 的定義：

1. $E_j$ 被 finalized 意味著存在一個投票 $(s, t)$ 使得：

• $s$ justified $E_j$ 或其祖先
• $t = E_j$
• 這個投票「環繞」$Ei$（即 $s$ 在 $Ei$ 之前，$t$ 在 $E_i$ 之後）

1. $E_i$ 被 finalized 意味著存在另一個投票 $(s', t')$ 使得：

• $t' = E_i$
• 這個投票也「環繞」某個檢查點

由雙重鏈約束，同一驗證者不能同時提交環繞 $(s, Ej)$ 和環繞 $(s', Ei)$ 的投票，其中 $s$ 在 $Ei$ 之前而 $Ej$ 在 $E_i$ 之後。

設 $V1$ 為投給 $(s, Ej)$ 的驗證者集合，$V2$ 為投給 $(s', Ei)$ 的驗證者集合。

由於 $Ej$ 被 finalized，$|V1| > 2n/3$（$n$ 為總驗證者數）。

由於 $Ei$ 被 finalized，$|V2| > 2n/3$。

但 $|V1| + |V2| > n$，這意味著至少有一個驗證者同時屬於 $V1$ 和 $V2$，與雙重鏈約束矛盾。$\square$

定理（最終性保證）：一旦檢查點 $Ei$ 被 finalized，在誠性多數假設下，$Ei$ 和所有祖先檢查點永遠無法被逆轉。

證明：

假設存在逆轉 $Ei$ 的攻擊。這意味著存在一條新鏈，其中 $Ei$ 不是最終確定的。

要逆轉 $E_i$，攻擊者需要控制足夠多的驗證者來：

1. 否決所有將 $E_i$ 作為祖先的投票
2. 建立一條「替代」最終確定的鏈

由引理 2，不可能同時存在兩個 finalized 的冲突檢查點。因此，逆轉 $Ei$ 需要先「unfinalize」$Ei$，然後最終確定替代檢查點。

但根據雙重鏈約束，任何最終確定的替代檢查點都需要與原始最終檢查點有足够多的共同投票，這與誠性多數假設矛盾。$\square$

2.4 最終性延遲分析

最終性延遲（Finality Delay）是指從區塊產生到最終確定的時間間隔。在 Gasper 中，這個延遲由以下因素決定：

定理（預期最終性延遲）：在正常網路條件下，區塊的預期最終性延遲為 $2$ 個時期（Epoch）。

推導：

• 時期 0：區塊被提議，成為檢查點候選
• 時期 1：驗證者投票給時期 0 的檢查點，達到 $2/3$ 投票，時期 0 被 justified
• 時期 2：驗證者投票「環繞」時期 0，達到 $2/3$ 投票，時期 0 被 finalized

實際上，由於網路延遲和驗證者可用性，最終性延遲通常為 $2-4$ 個時期，即約 $12-25$ 分鐘。

三、LMD Ghost 分叉選擇規則

3.1 亞穩態安全性

LMD Ghost 的核心思想是利用「最新消息驅動」的亞穩態（metastability）來實現安全的分叉選擇。

定義（亞穩態）：在網路分區或短暫不一致的情況下，LMD Ghost 可能出現「分歧」狀態，但只要誠實驗證者佔多數，分歧最終會收斂到唯一的「正確」分支。

定理（LMD Ghost 收斂性）：如果誠實驗證者佔超過 $50\%$ 的質押份額，則 LMD Ghost 分叉選擇將在有限時間內收斂。

證明：

設網路中有一個誠實驗證者 $h$ 和一個攻擊者 $a$。在每次 Slot 中：

• 誠實驗證者 $h$ 只對自己看到的「最新」消息投票
• 攻擊者 $a$ 可以選擇任意分支投票或延遲投票

設 $WH(t)$ 為時刻 $t$ 诚实分支的總權重，$WA(t)$ 為攻擊者分支的總權重。

由假設，誠實驗證者佔超過 $50\%$，即：

$$WH(0) > 0.5 \cdot (WH(0) + W_A(0))$$

每個新 Slot，誠實驗證者對當前看到的最佳分支投票。攻擊者可以：

1. 在攻擊者分支投票（增加 $W_A$）
2. 延遲投票（不增加任何分支）

但攻擊者無法阻止誠實驗證者投票。由於每個 Slot 都有一個誠實驗證者被選為提議者，隨著時間推移：

$$WH(t) - WA(t) \to +\infty$$

這確保了最終只有一個分支會被「確認」。$\square$

3.2 蓄意攻擊分析

LMD Ghost 的活性（liveness）在面對「自適應攻擊者」時可能受損。自適應攻擊者可以：

1. 腐敗（corrupt）部分驗證者
2. 協調多個驗證者
3. 控制網路分區

定理（自適應攻擊者下的安全性）：即使面對自適應攻擊者，只要攻擊者控制的質押不超過 $1/3$，Gasper 仍然提供最終性保證。

證明：

考慮最壞情況：攻擊者可以在任意時刻腐敗驗證者，但每次腐敗都需要時間和金錢。

設 $f$ 為攻擊者控制的質押份額。在 Gasper 中，要打破最終性，需要滿足以下條件之一：

1. 雙重投票攻擊：攻擊者需要說服 $2f$ 比例的驗證者進行雙重投票。但這會觸發 Slash，攻擊者損失其質押。

1. 最終性逆轉攻擊：要逆轉已最終確定的區塊，需要超過 $1/3$ 的驗證者參與。這在自適應攻擊下同樣需要巨額成本。

由經濟動機，即使攻擊者可以自適應腐敗驗證者，腐敗成本 + Slash 風險 > 攻擊收益，因此理性攻擊者不會發動此類攻擊。$\square$

四、經濟安全性分析

4.1 攻擊成本模型

定義（經濟安全性）：Gasper 的經濟安全性是指攻擊者發動成功攻擊所需的最低成本。

定理（逆轉最終區塊的成本）：逆轉一個已最終確定的區塊需要至少 $1/3$ 的驗證者被 Slash。

推導：

要逆轉最終區塊 $B$，攻擊者需要：

1. 控制超過 $1/3$ 的驗證者
2. 這些驗證者必須違反共識規則

根據 Slash 條件計算：

• 單個驗證者的 effective balance 上限為 32 ETH
• 雙重投票的最小 Slash 為 1 ETH
• 考慮後續沒收（Correlation Penalty），總 Slash 可達 $100\%$

因此，攻擊成本為：

$$\text{Cost} = \frac{1}{3} \times \text{Total Staked ETH} \times \text{Slash Rate}$$

截至 2026 年 Q1：

• 質押總量約 3200 萬 ETH
• $1/3$ 質押約 1067 萬 ETH
• 假設 ETH 價格為 \$4,000，攻擊成本超過 \$400 億美元

4.2 Slash 經濟學的博弈論分析

定義（博弈論安全性）：從博弈論角度，Gasper 的 Slash 機制構成一個「承諾博弈」。

設驗證者的策略空間為 $\{$誠實，攻擊$\}$。支付矩陣為：

其中：

• $R$：誠實驗證的收益（質押獎勵）
• $c$：誠實成本（設備、電力等）
• $C$：攻擊成本（Slash + 機會成本）

定理（子博弈完美均衡）：在重複博弈中，誠實策略是唯一的子博弈完美均衡（Subgame Perfect Equilibrium）。

證明：

考慮單階段博弈。給定其他驗證者的策略：

• 如果其他驗證者誠實，則攻擊的期望收益為 $(-C) < (R - c)$（假設 $C > c$）
• 如果其他驗證者攻擊，則攻擊的期望收益為 $(-C) < (R)$（因為 Slash 會失敗）

因此，無論其他驗證者的策略如何，誠實都是驗證者的嚴格劣策略（dominant strategy）。

在重複博弈中，通過「觸發策略」（trigger strategy）：如果檢測到攻擊，則所有驗證者永久轉向攻擊策略。這確保了即使單階段存在微小激勵偏差，長期博弈仍然收斂到誠實均衡。$\square$

4.3 時間鎖定與延遲 reveal

Gasper 設計了一個「延遲 reveal」機制來防止「近視攻擊」：

定義（Epoch 秘密承諾）：在每個 Epoch 開始時，驗證者提交自己對下一 Epoch 隨機種子的「承諾」$C = \text{hash}(s)$。Epoch 結束後揭示秘密 $s$。

定理（秘密承諾的安全性）：攻擊者無法在揭示秘密之前預測或操控隨機種子。

證明：

假設攻擊者可以預測秘密 $s$。則：

1. 攻擊者知道下一 Epoch 的提議者選擇
2. 攻擊者可以選擇性地延遲或操控某些驗證者的投票
3. 這構成對 LMD Ghost 的可預測性攻擊

由密碼學假設，Hash 是抗預映像（preimage resistance）的。在秘密 $s$ 揭示之前，承諾 $C$ 不透露任何關於 $s$ 的信息。因此，攻擊者無法預測未來的隨機種子。$\square$

五、實證數據與量化分析

5.1 驗證者行為統計

根據 Beaconcha.in 的數據（2026 年 Q1）：

5.2 網路活性指標

以太坊網路的活性指標顯示 Gasper 協議運行良好：

Attestation 效率：超過 $99\%$ 的有效 Attestation 被及時包含在區塊中。

區塊提議成功率：超過 $95\%$ 的 Slot 有有效區塊被提議。

最終性達成率：幾乎 $100\%$ 的正常區塊在 2 個 Epoch 內被最終確定。

5.3 安全性事件分析

典型 Slash 事件：

1. 雙重提議：驗證者因網路問題或軟體 bug 在同一 Slot 提議了兩個區塊
2. Attestation 衝突：驗證者對冲突的檢查點投票

大多數 Slash 事件是由於：

• 節點配置錯誤
• 網路延遲
• 客戶端 bug

而非惡意攻擊。

結論

Gasper 共識協議的設計體現了密碼學、博弈論和分散式系統設計的深度融合。通過形式化的數學推導，我們可以證明：

1. 密碼學安全性：BLS 簽名聚合的安全性建立在 BDH 困難性假設之上。

1. 最終性保證：Casper-FFG 的雙重鏈約束和 Slash 條件確保了最終性的不可逆轉性。

1. 活性保證：LMD Ghost 的亞穩態設計在誠性多數假設下保證了網路的持續運作。

1. 經濟安全性：Slash 機制和質押經濟學使得攻擊成本遠高於攻擊收益。

這些安全保證使得以太坊能夠支持高價值的去中心化應用，為 Web3 生態系統的發展提供了堅實的基礎。

參考文獻

1. Buterin, V., & Griffith, V. (2017). "Casper the Friendly Finality Gadget." arXiv:1710.09437.
2. Dang, H., et al. (2019). "Towards Formal Verification of the Gasper Consensus Protocol." Ethereum Foundation Research.
3. Boneh, D., Lynn, B., & Shacham, H. (2004). "Short Signatures from the Weil Pairing." Journal of Cryptology.
4. Buterin, V. (2021). "Combining GHOST and Casper." Ethereum Research.
5. beaconcha.in. "Ethereum Validator Statistics." https://beaconcha.in
6. Ethereum Foundation. "Beacon Chain Specification." https://github.com/ethereum/consensus-specs

標籤

ethereum, consensus, gasper, casper, proof-of-stake, security, formal-verification, cryptoeconomics

難度

advanced