1. 论文基本信息 (Bibliographic Information)

• 标题 (Title): On the Instability of Bitcoin Without the Block Reward (论比特币在没有区块奖励下的不稳定性)
• 作者 (Authors): Miles Carlsten, Harry Kalodner, S. Matthew Weinberg, Arvind Narayanan。所有作者均来自普林斯顿大学 (Princeton University)，这是一个在密码学和计算机安全领域享有盛誉的研究团队。
• 发表期刊/会议 (Journal/Conference): ACM Conference on Computer and Communications Security (CCS)。CCS 是计算机安全领域的四大顶级学术会议之一，具有极高的声誉和影响力。
• 发表年份 (Publication Year): 2016
• 摘要 (Abstract): 比特币为矿工提供了两种激励：区块奖励和交易费。前者在系统初期占矿工收入的绝大部分，但随着区块奖励的递减，预期将过渡到后者。学界曾有一种隐含的信念，即无论矿工是通过区块奖励还是交易费获得报酬，都不会影响区块链的安全性。本文证明了事实并非如此。我们的核心洞见是：仅依靠交易费时，由于区块到达时间的指数分布特性，区块奖励的方差会变得非常高，这使得分叉一个“富裕”区块以“窃取”其中的奖励变得极具吸引力。我们证明了这将导致一种对比特币安全和性能不利的均衡状态，在某些情况下甚至无法达到均衡。我们还重新审视了自私挖矿，并证明了对于拥有任意低算力份额且网络连接任意差的矿工，该策略都可以变得有利可图。我们的结果通过理论分析得出，并由一个新颖的、可能具有独立研究价值的比特币挖矿模拟器所证实。我们讨论了这些结果对比特币未来安全的令人不安的影响，并为新加密货币的设计提供了经验教训。
• 原文链接 (Source Link): https://www.cs.princeton.edu/~arvindn/publications/mining_CCS.pdf (已正式发表于 CCS 2016)

2. 整体概括 (Executive Summary)

• 研究背景与动机 (Background & Motivation - Why):

  • 核心问题： 论文旨在探讨当比特币的固定区块奖励 (block reward) 完全消失，矿工的收入完全依赖于可变动的交易费 (transaction fees) 时，比特币系统的安全性和稳定性会发生什么变化。
  • 重要性与空白： 在这篇论文之前，社区普遍认为，从固定奖励过渡到交易费奖励，仅仅是激励形式的改变，不会从根本上影响系统的安全博弈。这种观点认为，只要矿工的总预期收入保持不变，他们的行为动机就不会改变。然而，这种信念未经严格检验，构成了比特币长期安全模型中的一个巨大研究空白 (Gap)。
  • 切入点/创新思路： 本文的创新之处在于，它敏锐地指出了两种奖励模式的根本区别：固定奖励是恒定的，而交易费奖励的方差极高。由于交易的产生是随机的，且区块的发现时间服从指数分布，导致某些区块可能包含远高于平均水平的交易费。这种“富裕”区块的存在，为矿工提供了偏离默认协议 (protocol) 的强大动机，例如通过分叉 (fork) 来窃取这些高额奖励。

• 核心贡献/主要发现 (Main Contribution/Findings - What):

  • 贡献1：揭示了交易费模型下的新攻击策略——undercutting attacks (削价攻击)。 论文发现，理性的矿工会偏离“诚实挖矿”协议，通过故意分叉并舍弃部分交易费来引诱其他矿工在自己的分叉链上继续挖矿，从而孤立掉最新的“富裕”区块，自己获利。这会导致区块链频繁分叉，降低共识的稳定性。
  • 贡献2：证明了交易费模型下存在不良均衡，甚至非均衡状态。 理论分析和模拟结果表明，在undercutting attacks下，系统会达到一个所有矿工都不打包全部交易的均衡状态，导致交易积压无限增长。在某些情况下，攻击行为会不断升级，导致系统无法达到稳定的均衡。
  • 贡献3：增强了已知的selfish mining (自私挖矿) 攻击。 论文证明，在交易费模型下，自私挖矿比在固定奖励模型下更有利可图。更重要的是，作者提出了一种改进的自私挖矿策略，该策略允许拥有任意低算力和任意差网络连接的矿工都能获利，且攻击即刻生效，不像传统自私挖矿需要等待难度调整周期。
  • 贡献4：开发并开源了一个通用的比特币挖矿策略模拟器。 这个模拟器支持多种参数配置（如算力分布、网络延迟、奖励方案）和策略学习（使用no-regret learning算法），为验证理论和未来研究提供了强大工具。

3. 预备知识与相关工作 (Prerequisite Knowledge & Related Work)

• 基础概念 (Foundational Concepts):

  • 比特币挖矿 (Bitcoin Mining): 矿工通过消耗计算资源（算力）来解决一个数学难题（工作量证明，Proof-of-Work），从而获得创建新区块并将其添加到区块链的权利。
  • 区块奖励 (Block Reward): 成功创建新区块的矿工会获得一笔固定的、预先设定的比特币奖励。这个奖励大约每四年减半，最终将趋近于零。
  • 交易费 (Transaction Fees): 用户在发起比特币交易时，可以附加一笔费用给矿工，以激励矿工将他们的交易打包进区块。
  • 区块链分叉 (Blockchain Fork): 当两个或多个矿工几乎同时发现新区块时，区块链会暂时分裂成多个分支。协议规定，矿工应在最长的链上继续工作，最终较短的分叉链将被废弃，其上的区块被称为“孤块” (orphan blocks)。
  • 理性矿工 (Rational Miners): 经济学假设，即矿工是自私自利的，其所有行为的唯一目标是最大化自身收益。这是分析系统激励和安全性的基础。
  • 均衡 (Equilibrium): 在博弈论中，指一种稳定的状态，其中没有任何参与者（矿工）有动机单方面改变自己的策略。

• 前人工作 (Previous Works):

  • Eyal and Sirer [9] 的selfish mining (自私挖矿): 这是本文最重要的前人工作。该研究首次证明，一个算力超过一定阈值（例如 25%-33%）的矿工可以通过不立即广播自己挖到的区块，而是秘密地在自己的私有链上继续挖矿，从而获得超过其算力比例的收益。本文在此基础上进行了扩展，证明了在交易费模型下自私挖矿的威胁更大。
  • 关于交易费市场的研究 [14, 11, 21, 18]: 这些工作主要关注交易费市场如何形成，以及用户需要支付多少费用才能让交易被打包。本文的研究与之不同，它假设交易费市场已经稳定且费率可观，并在此基础上研究矿工的策略行为，指出即使在理想的交易费市场下，系统仍然存在不稳定性。
  • 比特币模拟器 [9, 8, 3, 17]: 已有工作开发了比特币模拟器，但大多是为特定攻击或场景量身定制的。本文的模拟器则更为通用，旨在支持对广泛策略和环境的探索。

• 差异化分析 (Differentiation):

  • 本文与之前所有工作的核心区别在于，它首次系统性地研究了从固定奖励到纯交易费奖励的转变对矿工激励和系统安全性的根本性影响。
  • 与selfish mining研究相比，本文不仅增强了该攻击，还发现了一类全新的、仅在交易费模型下才存在的undercutting attacks。
  • 与交易费市场研究相比，本文关注的是矿工端的策略博弈，而非用户端的费用定价。它揭示了即使交易费供给稳定，矿工的行为也会因奖励的高方差而变得不可预测和具有破坏性。

4. 方法论 (Methodology - Core Technology & Implementation Details)

方法原理 (Methodology Principles)

本文的方法论结合了博弈论理论分析和基于学习的模拟。核心思想是，交易费的高方差为矿工创造了新的策略空间，理性的矿工会利用这些策略来最大化收益，即使这会损害整个系统的健康。

方法步骤与流程 (Steps & Procedures)

1. 建立一个简化的比特币模型： 为了隔离变量，作者建立了一个理想化模型：

• 区块奖励为零，矿工收入完全来自交易费。
• 交易费以恒定的速率 $r$ 到达系统（例如，单位时间内产生 $r$ 数量的交易费）。
• 全网算力稳定，平均每单位时间发现一个区块。
• 理论分析中假设网络无延迟，但模拟器可以配置延迟。
• 矿工可以选择打包 [0, R] 范围内的任意数量的交易费，其中 $R$ 是当前可用的总交易费。

2. 识别并形式化新的偏离策略： 作者定义了一个形式化语言来描述矿工策略的三个关键决策维度：

• Which block to extend (扩展哪个区块): 决定是在最长链的头部挖矿，还是在某个历史区块上分叉。

• How much of the available transactions to include (打包多少交易): 决定打包全部可用交易费，还是只打包一部分。

• When to publish found blocks (何时发布区块): 决定是立即发布挖到的区块，还是像自私挖矿那样暂时扣留。

  基于此框架，作者逐步引入了一系列从温和到激进的偏离策略：

• 阶段一: PETTYCOMPLIANT (小利计较的合规者):

  • 行为: 该策略在大多数情况下遵循默认协议。唯一的区别是，当遇到分叉（两条链一样长）时，它不会像默认客户端那样选择先听到的区块，而是选择那个打包了更少交易费的区块进行扩展。
  • 动机: 这样做可以让它在自己的新区块中打包更多的未确认交易费，从而最大化单次收益。
  • 影响: 这个策略本身危害不大，但它的存在为后续更具攻击性的策略铺平了道路，因为它创造了一个可被利用的环境。

• 阶段二: Lazy Undercutting (懒惰的削价攻击):

  • 行为: 当一个矿工看到最新的区块（我们称之为B_head）打包了大量交易费，而网络中剩余的未打包交易费很少时，它会考虑一个替代方案：放弃在B_head上挖矿，转而在B_head的父区块上挖一个新块B_fork。为了激励PETTYCOMPLIANT矿工跟随自己的分叉，B_fork会故意只打包比B_head少一点点的交易费。

  • 动机: 如下图所示，如果B_head打包了100 BTC，剩余5 BTC，矿工扩展它只能得到5 BTC。但如果它分叉，可以打包55 BTC，同时为下一个矿工留下50 BTC。由于50 > 0，PETTYCOMPLIANT矿工会选择在B_fork上继续挖矿，从而使B_head被孤立。

    图像 2: 该图直观展示了undercutting攻击的动机。选项一是常规挖矿，收益低。选项二是分叉攻击，通过为后续矿工留下更多未打包的交易费（50 vs 0），来激励他们跟随自己的分叉，从而使自己获得更高的短期收益（55 vs 5）。

• 阶段三: Aggressive Undercutting (激进的削价攻击) 与均衡分析:

  • 行为: 矿工们会使用一个函数 $f(x)$ 来决定在可用交易费为 $x$ 的情况下，打包 $f(x)$ 的费用。$f(x)$ 的选择是一个在“最大化当前收益”和“最小化被他人削价”之间的权衡。
  • 均衡分析: 作者从理论上证明，存在一个特定的函数 $f(x)$（基于朗伯W函数 Lambert W function），当所有矿工都采用该策略 FUNCTION-FORK(f) 时，系统达到一个纳什均衡。
  • 不良后果: 在这个均衡状态下，所有矿工都只会打包一部分可用的交易费（即 $f(x) < x$），这导致未确认交易的积压会随着时间无限增长，理论上增长速度为 $\Theta(\sqrt{n})$，其中 $n$ 是时间步。

3. 重新审视和改进自私挖矿：

• SELFISH-MINE(β) (带阈值的自私挖矿):
  • 行为: 传统自私挖矿在挖到任何区块后都会先隐藏。改进策略增加了一个决策阈值 $\beta$。当矿工挖到一个区块时，它会检查该区块包含的交易费 $V$：
    • 如果 $V < \beta$ (区块价值不高)，则执行自私挖矿策略，隐藏该区块。因为即使丢失，损失也不大。
    • 如果 $V \geq \beta$ (区块非常“富裕”)，则立即广播该区块，像诚实矿工一样行事，以避免丢失这笔巨额收入的风险。
  • 影响: 该策略通过动态决策，平衡了自私挖矿的潜在高收益和风险，使得即使算力很低的矿工也能通过选择一个合适的 $\beta$ 来获利。

数学公式与关键细节 (Mathematical Formulas & Key Details)

论文的核心理论成果之一是undercutting均衡策略的推导。

• 均衡策略函数 $f(x)$: 作者证明，当满足特定条件时，以下分段函数构成的策略 FUNCTION-FORK(f) 是一个均衡： $$f(x) = \begin{cases} x, & \forall x \leq y \\ -W_0(-ye^{x-2y}), & \forall y < x < 2y - \ln(y) - 1 \\ 1, & \forall x \geq 2y - \ln(y) - 1 \end{cases}$$

  • $x$: 当前可打包的总交易费。

  • $f(x)$: 矿工实际选择打包的交易费。

  • $y$: 一个常数，满足 $y \le 1/2$ 且 $2y - \ln(y) \ge 2$。

  • $W_0$: 朗伯W函数 (Lambert W function) 的主分支，满足 $W_0(ze^z) = z$。

    这个复杂的函数形式精确地刻画了矿工在最大化自身利益（打包更多费用）和防止被他人undercutting（留下足够多的费用以保持竞争力）之间的最佳平衡点。

    ![该图像为函数曲线图，横轴为变量x，纵轴为函数值f(x)。曲线在x接近1时迅速上升并趋向无穷大，表现出f(x)在x=1处存在竖直渐近线，整体函数在区间0,… 图像 5: 该图展示了导致均衡的策略函数 $f(x)$ 的形状。可以看出，当可用交易费 $x$ 较少时，矿工会全部打包 ($f(x)=x$)；随着 $x$ 增加，矿工打包的比例逐渐减小；当 $x$ 足够大时，打包的费用趋于一个常数。

5. 实验设置 (Experimental Setup)

• 数据集 (Datasets): 实验不依赖于现实世界的数据集。相反，它在一个模拟环境中进行，其中交易费按照预设的模型（恒定速率）生成。这是一种典型的理论和模拟驱动研究的方法。

• 评估指标 (Evaluation Metrics):

  • 收益份额 (Fraction of profits earned): 衡量一个矿工或一种策略在一段时间内获得的奖励占总奖励的比例。这是评估策略优劣的核心指标。
  • 策略权重 (Strategy Weight): 在基于学习的模拟中，系统会为每种策略分配一个权重，代表其历史表现。权重越高的策略，在下一轮博弈中被矿工选择的概率就越大。观察策略权重的变化可以揭示哪种策略最终会胜出。

• 对比基线 (Baselines):

  • DEFAULTCOMPLIANT: 比特币客户端的默认挖矿策略，是所有 deviant (偏离) 策略进行比较的基准。
  • 多种策略的混合博弈: 实验的核心不是简单的A/B测试，而是将多种策略（如不同参数的FUNCTION-FORK策略、SELFISH-MINE策略等）放入同一个模拟环境中，让它们通过no-regret learning算法相互竞争，观察最终的均衡状态。

6. 实验结果与分析 (Results & Analysis)

核心结果分析 (Core Results Analysis)

1. Undercutting 攻击的演化:

• 模拟显示，当矿工群体从诚实挖矿开始学习时，他们会首先转向PETTYCOMPLIANT。一旦PETTYCOMPLIANT矿工存在，更激进的undercutting策略就开始变得有利可图。

• 非原子矿工 (Non-Atomic Miners) 的情况: 当模拟大量微小矿工时，他们会不断采取比当前主流策略更激进一点点的undercutting策略。如下图所示，策略权重会从f(x)=x/8逐渐转移到f(x)=x/16，再到f(x)=x/32，表现出一种“军备竞赛”式的不断升级，最终导致不稳定的非均衡状态。

  图像 6: 此图展示了在非原子矿工（只关心当前收益）的模拟中，更激进的削价策略（分母更大的 $f(x)$）会依次成为最优策略，导致策略权重不断向更激进的方向漂移。

• 原子矿工 (Atomic Miners) 的情况: 当模拟少数几个大矿工时，情况有所不同。因为大矿工有更高的概率连续挖到两个区块，从而“免费”地巩固自己的区块。这使得他们不愿采取过于激进的undercutting策略，因为这会增加自己第一个区块被孤立的风险。如下图所示，较为温和的策略（如f(x)=x/2）最终占据了主导地位。

  图像 7: 此图展示了在原子矿工（大矿工）的模拟中，由于他们有能力连续出块来保护自己的收益，过于激进的策略不再占优，最终较为温和的策略（如f(x)=x/2）与f(x)=x达到了一个稳定的平衡。

  2. 理论均衡的验证:

• 当将理论推导出的基于朗伯W函数的均衡策略Lambert加入到模拟中时，即使初始权重很低，该策略最终也能在竞争中胜出，成为主导策略。这强有力地证实了理论分析的正确性。

   图像 8: 此图显示，理论上推导出的`Lambert`均衡策略在与一系列线性削价策略的竞争中，最终脱颖而出，其策略权重趋近于1，验证了该均衡的稳定性。

  3. 改进的自私挖矿的有效性:

• 理论和模拟均证实，在交易费模型下，经典的自私挖矿比在固定奖励模型下收益更高。

  图像 9: 该图展示了在不同网络传播参数\gamma下，自私挖矿的理论收益（曲线）与模拟结果（点）高度吻合。\gamma代表矿工在广播竞赛中获胜的概率。

• 更重要的是，带有阈值\beta的改进自私挖矿策略 Selfish Mining with cutoff 在所有算力水平\alpha下都严格优于默认策略和经典自私挖矿策略。如下图所示，紫色曲线（改进策略）始终位于绿色（默认）和浅蓝色（经典自私）曲线上方。

  图像 3: 该图是论文的关键结果之一，清晰地展示了改进后的自私挖矿策略（紫色曲线）在不同算力占比\alpha下的收益都高于传统自私挖矿（浅蓝色曲线）和诚实挖矿（绿色直线）。这证明了其普适的优越性。

• 最优阈值\beta的选择与矿工的算力\alpha正相关。算力越高的矿工，越有能力进行自私挖矿，因此可以承担隐藏更高价值区块的风险，其最优\beta值也越高。

  图像 10: 该图展示了最优截断因子\beta随矿工算力占比`\alpha$ 的变化关系。随着矿工算力增强，其愿意冒险隐藏的区块价值也随之指数级增长。

7. 总结与思考 (Conclusion & Personal Thoughts)

• 结论总结 (Conclusion Summary):

  • 论文颠覆了“比特币从区块奖励过渡到交易费奖励是平稳且安全的”这一传统观念。
  • 研究表明，仅依靠交易费的激励机制由于其内在的高方差性，会催生出undercutting attacks等新的不稳定因素，导致频繁分叉和交易积压。
  • 同时，该模型也使得selfish mining等已知攻击变得对更小算力的矿工有利可图，从而扩大了攻击面。
  • 最终结论是，区块奖励不仅仅是比特币冷启动的临时工具，它作为一个稳定、低方差的收入来源，对维持整个挖矿博弈的稳定性至关重要。

• 局限性与未来工作 (Limitations & Future Work):

  • 模型简化: 作者承认他们的模型是简化的，例如假设交易费以恒定速率到达，而现实世界中交易费的到达可能是阵发性的。
  • 未考虑矿池: 模拟器没有对矿池 (mining pools) 的内部动态进行建模，而矿池是现代挖矿生态的主体。
  • 策略空间: 尽管模拟器探索了广阔的策略空间，但仍可能有未被发现的、更复杂的攻击策略。
  • 未来工作: 作者指出，理解undercutting和selfish mining两种策略结合使用时的复杂交互，以及在区块大小受限情况下的博弈动态，是重要的未来研究方向。

• 个人启发与批判 (Personal Insights & Critique):

  • 对加密货币设计的启示: 这篇论文对所有加密货币的设计者都提出了一个深刻的警示：经济激励的设计必须优先考虑稳定性，而非仅仅是通缩的理想。为了系统的长期安全，或许永久性的、低水平的通货膨胀（即永不停止的区块奖励，如以太坊后来的设计）是一个比纯交易费模型更优的选择。这直接挑战了比特币“总量恒定”的核心叙事。

  • 博弈论在系统安全中的力量: 本文是利用博弈论分析去中心化系统安全性的典范。它揭示了协议设计中看似微小的改变（奖励从固定变为可变）是如何从根本上改变参与者的行为，并导致灾难性的系统级后果。

  • 潜在的改进空间: 论文的分析主要集中在矿工的收益上。一个可以深入的方向是量化这些不稳定行为对普通用户的具体影响，例如交易确认时间的增加、双花攻击 (double-spending) 风险的提升等，从而更全面地评估其危害。此外，也可以研究是否存在一些协议层面的改进措施（例如改变分叉选择规则）来缓解这些问题。

    ---