引介 | 闪电 VS 雷电:瞭望塔模式(下):可追责性与商业模式

Ajian   |     |   2228 次阅读

闪电与雷电系列:

  1. 闪电网络与雷电网络瞭望塔服务的不同。(编者注:中译本见 《瞭望塔可拓展吗? (上):模式及运营成本》)
  2. 可扩展性问题解决方案及其权衡。(编者注:中译本见《瞭望塔模式(中):瞭望塔中的隐私保护与可扩展性
  3. 可追责性与可行业务模型(本篇)
  4. 完美瞭望塔(即将发表)。

免责声明:虽然我持有 比特币(BTC),以太币(ETH),比特币现金(BCH),雷电网络代币(RDN)等加密货币,但我的投资组合很分散, 因此我没有任何经济动机为任何加密货币当托。我一直在为雷电(Raiden)和 Celer 项目做贡献,我希望能够看到许多不同扩容方案的项目互相竞争,同时用户能够自由选择支付方案。如果你有不同立场,没有关系,我对此毫无意见并愿意与你继续探讨相关话题。感谢点对点(P2P) OTC 交易平台 LocalEthereum 对本文的支持。

介绍

瞭望塔服务将对支付通道用户产生巨大影响。在技术早期发展阶段,研究激励模型以及不同设计是非常重要的,本系列先前的两篇文章也因此能够在社区里引发激烈的讨论。不幸的是,关于这一主题的研究还满是空白,并且存在着普遍的误解。例如:“我们不应该在一开始就担心用户体验与隐私保护,因为它们可以随着时间的推移而改善”,这一点我们将在本文中予以驳斥。

我建议先阅读本系列的第一篇文章,了解为什么瞭望塔服务对于第二层扩展非常重要,以及瞭望塔服务的主要挑战是什么。此外,在第二篇文章中,你能够了解到关于目前隐私可扩展性问题的不同解决方案及其权衡。最后,在本篇文章中,是时候讨论业务模型可追责性了,以便弄清支付通道是否能够遍布全球,同时还不至于沦为全球金融监管的工具。

请注意,链下协议对于瞭望塔服务有许多不同的称呼,例如:雷电网络的监察服务、Celer 的状态监管网络或 PISA。然而,在本篇文章中,我们将把所有实现方案都称作 “瞭望塔”,除非需要特指的时候(例如:闪电网络瞭望塔(LN watchtowers)、雷电网络监察服务(RDN monitoring services)等。)

我们还将使用到一下术语:

  1. 业务导向型,指瞭望塔能够将同一通道或账户的所有状态更新链接在一起
  2. 隐私导向型,指瞭望塔不能够将同一通道或账户的所有状态更新链接在一起

关于这些模型的更多细节,请参阅第一篇文章

可追责性

每个用户都想要其租用的瞭望塔服务能够全天候保护他的资产安全,并且在发生任何争议的时候都站在他这一边,所以在本文开头,我们先快速浏览一下不同的瞭望塔追责模型,从而能够提升追责机制并尽量避免其缺点。

为了理解不同瞭望塔追责模型的主要差异,让我们对每个模型的关键特性进行粗略的评估。

瞭望塔追责模型 安全性 用户体验 可靠性 中心化水平
1 争议获胜会获得一些奖励 中等 中等
2 信誉系统
3 保证金(瞭望塔池) 不确定 中等 中等
4 保证金(独立瞭望塔) 中等

请记住,“高” 安全性并不意味着用户的资金是 100% 安全的,因为仍然存在许多共谋或黑客攻击可以利用的漏洞。

需要指出的是,这些追责方法可以组合在一起,还可以和不同业务模式(将在本文第二部分讲述)一起使用。因此,最终作用效果并不清楚。在本系列的最后一篇文章当中(即将发表),我们将讨论瞭望塔问题的完美解决方案。

现在,让我们更详细地讨论不同的追责模型。

1.恶意结算争议获胜奖励

这种方法可促使瞭望塔在大多数争议中站在用户一边。除非瞭望塔节点与恶意参与者(例如:一个大型中心)勾结,通过给欺诈活动放行来获取更高的收益。

本方法的用户体验很好。因为用户除了向瞭望塔发送状态更新外,不需要执行其他任何操作。

然而,这种方法将产生利益冲突。如果网络中存在许多有心或无意使用错误状态关闭通道的情况,那么瞭望塔节点能够获取很高收益。

2.信誉系统

虽然在点对点(P2P)平台上构建一个信誉系统是一种降低风险的流行方法,但它也有很多缺点:

  • 基于信任的系统与加密货币的去信任特点相矛盾。
  • 与 P2P 交易平台不同,瞭望塔服务信誉系统无法防止大规模退出欺诈(mass-exit-scam)的情况。具体而言,如果一个 P2P OTC 平台的交易员决定开始行骗,他的信誉会迅速下降,他不能欺骗很多用户。然而,恶意的瞭望塔节点能够通过停止提供服务(一次性)欺骗它的所有用户,即便这些服务是预先支付的。此外,恶意瞭望塔可以与恶意中心或第三方实体串通,通过引起一个大规模退出的骗局来最大化其收益。
  • 目前还不清楚如何在瞭望塔节点未能履行它职责的时候,确保其信誉会降低。如果用户丢失了所有包含他最新状态更新的设备,就几乎不可能证明瞭望塔没有有效保护他。特别是对于某些外行,他们不懂技术也常常懒得主动报告此类事件。那么,用户怎么能相信一个瞭望塔的信誉评分是准确的,并且它在过去确实阻止了所有恶意结算呢?
  • 信誉系统的用户体验很差,因为用户必须在登录过程中进行一些额外的操作,使用聚合器或者 “瞭望塔市场” 来找到符合他需求的瞭望塔。但是,这样的市场会让已经很复杂的系统变得更加复杂,从而将更多极客以外的人拒之门外。
  • 如果(1)一个瞭望塔在没有欺骗任何人的情况下退出该业务,或者(2)一个瞭望塔的信誉已经严重下降,谁来通知用户这件事以及怎么通知呢?如果用户需要执行其他操作,是否应该再次信任第三方来通知他?
  • 如果瞭望塔决定退出该业务,但是持续接收状态更新与支付信息,而没有实际存储状态更新或监听区块链。那么需要多长时间用户才能发现瞭望塔已经不再保护他们了呢?
  • 信誉系统很容易受到女巫攻击(伪造的客户身份、黑稿等。)
  • 信誉系统增强了整体中心化水平,因为外行通常选择最受信任的服务提供方。

3.设置保证金来在经济上惩罚恶意瞭望塔节点

瞭望塔节点能够质押一些加密货币或代币,如果当一个恶意交易方出现时它不能正确处理结算争议,那么它就将失去质押这些资金。

该方案有两种不同的模型:一种是由算法依据瞭望塔保证金多少,从瞭望塔池中随机选择一个瞭望塔节点;亦或是每一位用户直接选择自己的瞭望塔。

3.1 瞭望塔池

由算法依据保证金多少,从瞭望塔池随机选择一个瞭望塔。从统计规律来看,一个瞭望塔保证金越多,它被分配监听用户状态并赚取收益的概率越大。其核心思想是,每个状态更新都分布式地存储在多个瞭望塔节点内(例如:3-5个),如果第一个瞭望塔未能及时履行职责,其他瞭望塔能够直接拿走其保证金。

Celer Network 使用的就是这种解决方案,该方案具有较强的抗合谋攻击等优点,但也存在一定的缺点及顾虑:

插播:请记住,下面关注的是一个追责方案(瞭望塔池),而不是 Celer。然而,下面的一些顾虑也适用于 Celer 的 SGN。

  • 每一个状态更新都将由多个瞭望塔保护,这提高了整体的安全性,但同时增加了网络的运营成本、总体的链下交易费用并降低了隐私保护水平。
  • 为确保高安全性,瞭望塔的保证金规模应该与用户损失资金的最大值相匹配。但由于保证金不能正常流通,使得系统整体资金流动性降低。
  • 如果一个系统不要求瞭望塔的保证金规模与用户损失资金的最大值相匹配,那么在低竞争时期,平均保证金将会不断降低,使得系统无法应对多个实体共谋发起的大规模退出攻击。另一方面,在竞争激烈的情况下,瞭望塔服务的进入门槛又会过高,从而导致瞭望塔服务提供方中心化。
  • 如果一个瞭望塔在无法阻止任何恶意结算时失去了全部保证金,那么对于它来说,质押大额保证金是非常危险的。为了避免该风险,瞭望塔将试图将其保证金划分为多份,充当不同的独立瞭望塔。这将使得一个瞭望塔节点有更大机会接收到同一笔交易的全部状态更新,这将增加通过与恶意中心共谋等手段进行欺诈的风险。(译者:逻辑存疑)
  • 如果一个拥有大量保证金的瞭望塔被任命为提供服务瞭望塔的几率大于其保证金占全网的比例(例如:持有全网 20% 的保证金,但有 30% 被任命的概率),那么将增加系统中心化水平。
  • 该体系对于价格波动非常敏感(例如:在熊市期间,用户不太愿意成为瞭望塔节点,因为若成为瞭望塔节点,他们就必须质押不断贬值的资金;而在牛市期间,瞭望塔将有很大的经济激励,开始解冻期,出售其保证金)。
  • 如果用户丢失了全部保存有他最新状态更新的设备,并且无法通过云备份恢复,那么他将无法提交瞭望塔未能阻止恶意结算的证据,也就无法从该瞭望塔保证金中获取一定补偿。但是有一些解决方法,例如:Celer Network 正计划通过 SGN 全节点解决这个问题,这些节点基本上是存储了所有通道的全部最新状态更新信息,它们可以帮助用户惩罚恶意瞭望塔,并获取一定收益。然而,对于全节点模型的实现、隐私、可行性仍存在一些顾虑,例如:全节点的运营成本会很高(译者注:一般用户难以维持,而由特定群体来维护,又存在中心化问题)。
  • 如果用户在恶意瞭望塔已经取走其保证金后上线,那么他也无法证明瞭望塔存在恶意行为并获得赔偿。当然,瞭望塔取走保证金的时间应该很长,但是用户也可能存在长时间不在线的情况(例如:进入监狱、昏迷等)。

Mo Dong,Celer Network 联合创始人,对于这些问题比较乐观,你可以在这个 Twitter 帖子(有许多分支)上查看他对大多数问题的回答。

3.2 独立暸望塔

另一种方法是,每个用户选择一个特定的、在智能合约中锁定了大量资产作为“保证金”的暸望塔。PISA 就是使用的这种方法,但是它有存在一定的缺点和隐忧。

  • 对暸望塔严苛的质押要求将导致中心化
  • 存在两种不同的设计。(1)假设暸望塔在未能成功抵御攻击时仅损失一部分保证金,那么一旦大型暸望塔与大型中心勾结起来共同欺骗用户,系统将无法防止大规模退出欺诈。
  • 另一种设计是(PISA 最初的方法),如果暸望塔未能成功抵御攻击,即使是一次很小的攻击(例如:损失10美元),它也会损失所有保证金(例如:5万美元)。一方面,这种方式具有降低暸望塔与其他中心勾结的风险的优点,但是另一方面,它将增加运营暸望塔的商业风险,因为网络中断或者其他技术问题都有可能导致暸望塔损失所有的保证金。可以这么说:高昂的商业风险不仅会导致高额的手续费还会导致暸望塔之间的低竞争,进而导致更高程度的中心化。
  • 在漫长的熊市期间,人们不太愿意为了成为暸望塔而抵押大量保证金,这将导致更低的竞争以及更高程度的中心化。
  • 用户体验不佳,因为用户必须从包含 id/名字,保证金价值,保证金期限(如果有取款期限的话),监控费用等信息的数据库中找到确定其要选择的暸望塔。此外,由于监控费用可以随时变更,而暸望塔甚至可以取消质押保证金,因此那时用户必须再次寻找另一个可用的暸望塔。
  • 不佳的用户体验有可能进一步增加中心化程度,因为非专业人士倾向于使用最受欢迎的供应商。
  • 该模型还有一些与前述模型一样的缺点,例如大额保证金会降低整体流动性,系统在价格波动期间的稳定性较差,而且用户无法惩罚那些已经取消质押保证金的暸望塔。

PISA 的创建者 Patrick McCorry 不同意上述观点,并认为用户体验几乎不在链下协议设计的考虑范围内;你可以在这个推特贴子中了解他的观点(该帖子有很多分支)。

现在,我们对解决问责制的不同方法已经有了基础的认识了,接下来让我们开始本系列最令人激动的部分吧!

商业模式

暸望塔可以选择不同的策略货币化其服务,这些策略都有一些优点和缺点:

瞭望塔商业模式 可扩展性 隐私性 用户体验 可行性
1 利他型瞭望塔 不确定 不可行
2 靠防止欺诈获得奖励 不可行
3 为每一笔状态更新收取一次性费用 中等 不可行
4 月费或年费会员 中等 可行
5 为每一笔状态更新定时收取手续费 可行
6 为带宽数量定期收取手续费 可行
7 根据一笔状态更新的存储时长收取一次性费用 不确定 可行

如果你倾向于诉诸权威,那么读到这里就好了,但是如果你想自己寻找真相并有可能挑战我的观点,那么继续读下去吧,因为现在开始我将解释每种模式的结果。

旁注:有一种常见的误解是“用户体验以及隐私性可以很容易的随着时间的推移而得到完善”,所以需要注意:上图提到的糟糕的用户体验以及隐私性并不是指仅在初始阶段而是指经过大量开发的成熟产品。糟糕的用户体验和隐私性的根本原因不在于实现,而是模型本身。好的用户体验需要能够与 Visa,Paypal,微信,支付宝,PayTM 等集中式电子支付方式竞争,而高隐私需要能够提供与现金相当的隐私性。

1. 利他主义暸望塔(没有任何报酬)

闪电网络实验室的首席技术官 Loalu “roasbeef” Osuntokun ,当前目标是“建立一个没有任何报酬的基础系统”。这是最简单的方法,但是由于暸望塔(特别是隐私导向型暸望塔)高昂的运营成本,这种方法将在全球范围内失败。

可追责性

目前尚不清楚如何在没有经济激励的情况下解决可追责问题,因为,由于暸望塔在经济上并不依附于其信誉,即使是基于信誉的系统也无法正常工作。

可扩展性

你可以争辩说,十亿次不同的状态更新也不会占用太多的空间,这是事实,但是隐私导向型暸望塔的数据库将逐渐增长,其对应的带宽需求也将增加,因此利他主义暸望塔最终将无法承担系统产生的交易量。

此外,这种模式还容易受到滥发交易攻击。

隐私

恶意暸望塔可能会提供免费服务,随后将其收集到的数据高价卖给别人,这将带来极大的隐私风险。当然,开发人员会说因为这些数据都是加密的,所以这种行为没有影响,但这明显是言过其实,因为对手将从中获得大量信息:

  • 每笔交易的时间
  • 交易频率和交易总额

也可能获得:

  • 与特定通道相关的所有交易 (RDN)
  • 同一通道或帐户进行的所有交易 (LN 的 eltoo & RDN)
  • IP地址(大多数外行人不会使用匿名器,除非匿名器内置在客户端中,并且是默认设置;此外,别忘了在很多受审查的地区,VPNS 甚至 Tor bridges 一般都是无法正常工作的,尤其是过去几年,由于独裁政府的崛起,审查技术在发展中国家得到了大规模的扩张。)
  • 通过流量相关性估算交易目的地址

某些实体能够对 Tor 网络进行流量分析,因此他们肯定会尝试对暸望塔数据进行类似的分析,试图对特定用户去匿名化(想想如今有多少钱花在金融监管上)。

用户体验

由于用户不需要执行任何额外操作,因此总体而言用户体验挺好的。

结论:

  • 可扩展性:困难
  • 隐私性:不确定
  • 用户体验:好
  • 可行性:不可行

2. 阻止欺诈时获得奖励

每当暸望塔代表用户成功广播处罚交易时,用户都给暸望塔一定的报酬。

可追责性

非常重要的是,暸望塔受到经济激励来广播处罚交易(在 RDN 的模式中是停止恶意结算)。然而,除非有一个用户体验极差的、非常复杂的信誉系统或者是某种类型的保证金系统,暸望塔即使不停止欺诈尝试,也不会有任何损失。

可扩展性

不幸的是,这种商业模式存在根本性的缺陷,因为为了保证暸望塔可以存在,需要足够频繁地发生欺诈交易,从而支撑暸望塔的运营成本。

就连闪电网络白皮书的共同作者 Tadge Dryja承认这不是一个可靠的可扩展系统。

本意是希望通道永远不会在无效状态下关闭,你却要为一些本不应该发生的事情而奖励他们(暸望塔),这种模式是不行的。

此外,如果用户意外关闭了他们处于无效状态的通道,不仅大型中心,就连暸望塔也可以获得经济回报,因为暸望塔可以通过广播处罚交易获得回报。这将激励大量链下实体开发可以关闭用户处于无效状态的通道的恶意软件,以便 “合法地” 盗取用户资产。

这种模式同样也很容易受垃圾交易的攻击,因为用户不是直接支付报酬给暸望塔服务的。

所以说,这种方法将导致严重的 COI(利益冲突)。一般而言,在网络安全的情况下,由于用户数量会增加,暸望塔将获益。但另一方面,暸望塔需要一定数量的用户定期由于 “无效状态关闭” 而利益受损,因为暸望塔需要广播足够多的处罚交易以支撑其运营成本。

隐私性

这种方式可以实现高水平的隐私性

用户体验

用户不需要进行任何额外操作,但是提高可追责性的信誉系统会降低用户体验。

结论:

可扩展性:低

隐私性:高

用户体验:较好

可行性:不可行

3. 为每个新的状态更新收取一次性费用

这是许多设计当前采用的方法——在发给暸望塔的每个包中包含一笔小额支付,或者在会话启动期间支付,会话启动时会保留一些“投币口”,随后用加密的blob(状态更新)填充这些“投币口”。

这种方法保证暸望塔即使在没有任何欺诈行为或者“无效状态关闭”的意外下也能承担运营成本。根据用户的经济活动,暸望塔还将能从用户那获得不同的奖励。

可追责性

这里的关键问题是,用户无法保证暸望塔在接下来几天/几个月/几年内不退出业务,因此用户必须相信暸望塔会一直存储他们的状态更新并监听他们的开放通道。

由于没有直接的经济激励来鼓励广播处罚交易,因此很可能存在一个用户体验不佳的复杂的信誉系统或者保证金机制,但是也有缺点:它无法阻止大规模退出欺诈。

可扩展性

扩展性问题主要在于隐私导向型暸望塔每次状态更新只能获得一次性补偿的同时需要永久存储数据(或者,在一些实现中,直到通道被关闭),因此即使新交易的资金流入保持在同一水准甚至是降低时,运营成本也将不断增加。这导致我们的系统只有在指数增长期间才能保持稳定,在活动减少期间,大多数暸望塔将被淘汰出局。

想象一下,一个隐私导向型业务,不管文件存储多长时间,针对每个上传文件都只向用户收取一次费用。这项业务的可行性如何呢?

有人可能会说,业务导向型暸望塔只需要存储最新的状态更新,因此他们不必永久存储每个状态更新。确实是这样,但这种方法的隐私性较低,因为暸望塔能够关联同一通道产生的所有状态更新;同时这种方法的用户体验不佳,由于一些状态更新只需要存储几分钟,而其他状态更新必须存储几个月,因此用户必须决定他们想要附加在每个状态更新上的的费用。目前还不清楚如何在保证安全的同时防止高额重叠费用。如果我们不关心隐私或用户体验,那么将有更多可行的商业模式(见下文),因此我认为,即使事业务导向型暸望塔,也没有理由为每个新的状态更新支付一次性费用。

隐私性

这种方法的优点是,如果与隐私导向型暸望塔一起实现,它将具有高度隐私性。

用户体验

用户不需要执行任何额外操作,但是他们需要为每笔交易支付额外费用,这将会降低用户体验;而提高可追责性的声誉系统以及保证金机制会进一步降低用户体验。

结论:

  • 可扩展性:困难
  • 隐私性:高
  • 用户体验:中等
  • 可行性:不可行

4. 月费或者年费会员

瞭望塔可以按月或者年收取服务费,这样尽管在没有任何作弊尝试或者意外的“无效状态关闭”事件时,也能确保他们的收入可以负担运营开销。很不幸的是,这种方法有几个问题。

可追责性

瞭望塔惩罚作弊者不会立即获得奖励,因此在这个设计中的可追责性问题非常重要。设计中很有可能会涉及到保证金机制或者一个信誉系统,这将会降低用户体验,并容易受到大规模退出(mass-exit)情况的影响。

可扩展性

尽管这个业务模型比上面列出的那些更可行,依旧存在许多的问题。

  • 运营开销将随用户的活动而变化很大。目前还不清楚月费要收多少。一些非常活跃的用户或者业务执行的交易可能比其他一些活跃度较低的用户多 1000 倍以上。当然,这个问题可以通过引入不同的月费来缓解,根据用户每个月执行的交易数量,或者所有更新和存储的状态数量,但是那样将会给系统增加更多的复杂性,从而进一步地降低用户体验。
  • 发展中国家无法支付同样的价格。即使是每个月几美元这样相对较小的费用,也可能会让全球性的使用泡汤,因为大多数人生活在发展中国家,那里的平均收入远低于发达国家。
  • 外行人只信任一个瞭望塔

用户需要从不同的瞭望塔购买多种按月订阅,从而缓和信任一个第三方实体带来的风险。不幸的是,使用这种方法,用户必须对每个在使用中的附加瞭望塔支付更多的费用,因此大多数外行人将会跳过这一步,只使用一个瞭望塔,这样就降低了整个网络的安全性。

隐私性

这种业务模型意味着瞭望塔将能够把同一个账户执行的所有状态更新都联系在一起,这样类似于传统的银行系统,为大规模的金融监管打开了一扇门。

用户体验

首先,用户必须找到一个瞭望塔,预先支付一周、一个月或者一年的订阅费,之后再定期付款,这相对于其他不需要任何瞭望塔的中心化电子支付方案已经是一个很差的用户体验了。

其次,如果用户忘记支付月/年费怎么办呢?好的,假设系统有自动支付选项,那么如果用户因为经济困难付不起费用怎么办呢?难道让所有的状态更新经过一段时间都被删除,瞭望塔也停止保护他免受欺诈攻击吗?这样会让用户面临损失资金的风险,将会更进一步地恶化他的处境。

结论:

  • 可扩展性:适中
  • 隐私性:低
  • 用户体验:差
  • 可用性:可用

5. 对每个存储的状态更新定期收取费用

对于隐私导向型的瞭望塔,最可行的业务模型包含一个基于订阅的系统,每个用户为存储在一个瞭望塔中的状态更新数量定期支付费用。

可追责性

如果对于广播处罚交易没有直接的经济激励,那么设计中将很有可能会有一个低用户体验的保证金系统,或者复杂的信誉系统,这种系统不能防止退出诈骗(exit-scam)的情况。

可扩展性

这种方法易于扩展,因为即使在没有任何违反尝试的情况下,业务导向型和隐私导向型的瞭望塔也会有足够的资金去负担其运营开销。

隐私性

不幸的是,这种模型意味着使用某种基于订阅的系统,因为用户必须对存储的状态更新数量支付月/年费,因此一个瞭望塔将能够关联某些账户的所有状态更新。这种业务模型将允许大规模的金融监管,破坏了隐私导向型瞭望塔设计的全部意图。

用户体验

这个模型的用户体验也很差,因为用户必须支付定期费用。当然,实现自动支付是很容易的,但是如果用户忘记在钱包里留有余额或者有经济困难怎么办呢?延迟支付定期费用会让用户面临丢失资金的风险。

另外,如果使用隐私导向型瞭望塔,用户将会受到经济激励去关闭 “拥挤的” 通道,发送请求去删除旧的状态更新,并打开新的通道,这又是比较差的用户体验。这种行为将会增加链上的压力,导致更高的链上费用。

结论:

  • 可扩展性:容易
  • 隐私性:低
  • 用户体验:差
  • 可用性:可用

6. 对带宽数量收取定期费用

这种方法适用于能链接同一个地址产生的所有状态更新的业务导向型瞭望塔,因此这种瞭望塔只需要存储最近的状态更新,这样数据存储要求就不是瓶颈。

瞭望塔可以对每天/月的交易数量收取费用,从而负担它们所有的运营开销,这是完全可行的业务模型,但是这种模型和前面所述模型一样,饱受隐私和追责性问题的困扰。

结论:

  • 可扩展性:容易
  • 隐私性:低
  • 用户体验:适中
  • 可行性:可行

7. 为状态更新存储一定时长而一次性收取相应费用

另一种可行的模型意味着,用户可以在每个发送给瞭望塔的状态更新中附加一定的费用,要求瞭望塔在一段时间内保护这个状态。Celer Network 正在使用这种方法。

可追责性

如果对于广播处罚交易没有直接的经济激励,那么设计中将很有可能会有一个低用户体验的保证金系统,或者复杂的信誉系统,这种系统不能防止退出诈骗(exit-scam)的情况。

可扩展性

这种方法易于扩展,因为在没有任何违反尝试的情况下,瞭望塔也会有足够的资金去负担它们的运营开销。

隐私性

这种模型的优势在于,如果和隐私导向型瞭望塔结合起来,就可以实现相对较高水平的隐私性。然而,当前的雷电网络和 Celer 对于瞭望塔的设计都遵循了业务导向型的方法,闪电网络的 eltoo 为了降低存储容量的要求,使用经济激励让闪电网络中的瞭望塔把相同用户的状态更新关联在一起。

即使用户不做任何交易,也会暴露他的在线时间行程,这会有一些隐私性上的问题,因为支付保护期过期后,他仍然必须重新发送先前的状态更新。

用户体验

第一点,对每个交易支付额外的费用将会降低用户体验。当然,可能会有按月支付,但是与中心化的零费用电子支付方案相比,这依然会降低用户体验,并且会显著地降低隐私性,因为一个瞭望塔能够联系某个账户的所有状态更新。

第二点,外行人对于一门技术和博弈论没有深刻理解的情况下,必须有意识地决定他的状态更新应该被保护多长时间,以及为了他的链下资金安全应该支付多少钱。这个问题可以通过默认设置解决,但是这样可能会降低网络的整体安全性,因为对手方能知道最通用费用和保护时间。

第三点,因为状态更新只会被存储有限的时间,用户必须不断地向一个瞭望塔重新发送先前的状态更新。当然,这可以被自动执行,但是用户必须在线才能重新发送状态更新,因此目前并不清楚自动重发功能要如何运行。

  • 如果在前一个保护期过期前的几个小时/分钟重发状态更新,那么可能会造成安全风险,因为用户可能在下一次同步/重发时不在线,那么除非他再次上线并发送最新状态,否则他的资金就将一直面临风险。
  • 如果在前一个保护期过期前的几天重发状态更新,那么这意味着(1)也许会有很多重叠的支付,将会增加用户支付的费用(2)平均保护时间将会很长,这再一次引发了对运营开销和费用的担忧。

目前有一些变通方法,比如:

  • 用户可以仅仅延长现有保护周期的时间,但是这个实现目前尚不清晰。
  • 用户可以在智能合约中存一些钱,即使用户不在线,智能合约也能够自动延长他的保护周期,但是这样的解决方案存在很多关于实现、安全性和用户体验的隐忧。
  • 另外,为了解决重叠费用的问题,应该设置一个交换新旧状态更新的函数。

第四点,一个用户在下线很长时间前,要么必须设置很长的保护周期并完成支付,要么必须关闭他的所有链下通道(island,Everest,Vipassana 等等)我们应该铭记在心,如果用户突然下线很长时间(进监狱了,昏迷不醒了等等情况),那么他的资金将会面临风险。

结论:

  • 可扩展性:容易
  • 隐私性:不确定
  • 用户体验:差
  • 可用性:可用

总结

对于瞭望塔问题,假定存在一个简单的解决方案是不现实的,因为大多数方法都有严重的缺点,所以目前有很多担忧,要么瞭望塔因为差的用户体验和低安全性不能扩展,要么最终会成为大规模监管的工具。

另一方面,很多团队,包括我自己,正在致力于解决这个问题,因此交流我们的经验并且持续社区主导的研究是非常重要的。这个系列的最后一篇文章,我们将会结合多种解决方案,考虑瞭望塔的完美设计。

免责声明:我并不是一个权威的金融顾问,这篇文章也并非理财建议。本文提供的信息仅供教育用途,且仅代表我个人观点,并非事实。加密货币非常不稳定,波动非常大。对于因使用或信赖本文所提的任何内容、商品、服务或公司而造成或生成造成任何损害或损失的情况,我本人不直接或间接负责。如需投资,请向专业人士咨询。


原文链接: https://medium.com/crypto-punks/lightning-vs-raiden-watchtowers-accountability-business-models-celer-pisa-833384f01ad0
作者: Sam Aiken
翻译&校对: storm pang, Aisling & 阿剑

本文由作者授权 EthFans 翻译及再出版。


你可能还会喜欢:

Devcon4 | Josh Stark:Making Sense of Layer 2
观点 | Multicoin:论 Layer 1 和 Layer 2 的价值捕获
教程 | 简易锁定合约:Part 1

 
0 人喜欢