Chenxing Li

一年前，我发现一些模型在思维链中通过不断质疑自己兜圈子。本来以为只有小参数模型有这个问题，结果 Claude-4.6 也开始在思维链里兜圈子。 任务本身，是给 Conflux 一个改了很多次才改对的 bug 梳理一个文档。既然是改 bug，那肯定有很多中间版本是不正确甚至是反直觉的，然后 Claude-4.6 就在思维链里出不来了。 图片是我把 Claude 思维链喂给它自己，自己对思维链的分析结论。 通过提示词引导，把 reasoning_effort 降低都拦不住 Claude-4.6 在思维链里兜圈子（4.6 去掉 budget_tokens 参数了）。 通过在思维链里质疑自己，实现在标准数据集上刷一个高分，然后对于稍微有点反直觉的问题就开始兜圈子。这个现象不仅没有消失，而且蔓延到高级别模型上了。

Balancer 事件的原因复盘，暴露了 AI 多么不可靠。以及 AI 对于谣言传播的加持。 先说结论，所谓的 “manageUserBalance 的权限检查缺陷”是完全错误的原因分析，攻击事件和这里一点关系都没有。 图1，昨天下午 4 点 25，一个只有 3000 关注的号认为原因是 manageUserBalance 的权限检查出了问题。这个解释在社区持续发酵，直至 coindesk 转载。 https://t.co/m83DlAxKiQ 图2，ChatGPT 的深度研究引用了相关信息源。并解释是权限检查缺陷使攻击者绕开了相关检查。 图3，其实，只要你读一读代码就会发现。攻击者调用的所有接口，op.sender 就是攻击合约本身，交互方式是符合接口设计意图的。manageUserBalance 的相关操作就是攻击者在 claim 胜利果实，完全和合约缺陷无关。 图4，然而 AI 还在根据虚假的信息源，一本正经地胡扯攻击原因。甚至脑补 operation sender 可以不是 operation owner. 如果真有这种弱智 bug，根本活不过两个月就会被利用。 锅不能完全给 AI，因为这个“谣言”得到了 Web3 权威媒体的大面积转发。但是，相关新闻的作者和编辑，又多大程度上依赖了 AI 的协助呢？ 甚至，在 AI 加持的社会传播下，三人成虎。即使有人觉得代码与这个解释不对应，也会首先怀疑自己，强行找原因解释理由包括： 1. 认为是多处缺陷共同导���的； 2. 认为现在看到的合约是升级修补后的； 3. 认为 “op.sender == msg.sender 成立时放行”是缺陷本身。 第一，我对我的技术足够自信；第二，我不靠安全审计行业吃饭，不怕打脸。我来戳破这个皇帝的新衣： manageUserBalance 完全不是攻击利用的缺陷，相关说法和任何解释就是彻头彻尾的谣传。而 AI 可能对这个谣传的推波助澜起到了非常重要的作用。

最近社区热度上来了，各种“牛鬼蛇神”也跟着蹭热点。前几天，有小伙伴提醒我们，说有人冒充“树图官方”，打着“树图节点社区代替官方卖节点”的名义在搞推广。我们核实后确认，这和 Conflux 完全无关，是典型的资金盘 + 拉人头套路。随后，我们立即发了公告和声明，把风险扩散出去，提醒大家保持警惕。 这件事让我再次体会到，与社区保持联系有多重要。有时候，危险潜伏在我们平时注意不到的角落，正是社区的小伙伴第一时间反馈问题，我们才能及时回应和处理。很多人觉得自己不会被骗，其实只是因为还没遇到过“量身定制”的骗局。骗局盯的不是智商，而是欲望。在这个行业，“高收益 + 拉人分红”的剧本早就换了无数张皮，从“云算力”到“卖节点”，不过是同一出戏的不同版本。 社区的价值也在于此，在这片黑暗森林里，最重要的不是一个人多聪明，而是大家彼此提醒，避免孤军深入。

感谢张博士的分享。在 2018 年，Conflux 与 Nervos 同为 PoW 共识的探索者，我们都曾宣传 PoS 机制存在的问题。 时至今日，Conflux 也并未完全转向 PoS 共识，我们依然正视 PoS 的固有挑战；也没有全盘否定 PoW，Conflux 一万个共识节点的高性能，还是仰仗 PoW 才能实现。 或许我们应该跳出 PoW 与 PoS 的阵营之争，更深入地探讨一个日益被忽视的核心议题：共识安全。 1. 外部利益：所有共识协议的共同威�� 首先，我想强调的是，所有区块链共识协议都必须面对一个共同挑战：共识参与者可能受到外部利益的驱动，从而做出偏离协议预期的行为。 在计算机系统与安全领域的学术论文中，“诚实多数”是一个普遍的基本假设。无论是 Juan A. Garay 的《The Bitcoin Backbone Protocol》，还是 Rafael Pass 的《Analysis of the blockchain protocol in asynchronous networks》，我曾仔细研读过这些论文在多数诚实假设下的数学推导过程，对中本聪共识在特定假设下的协议安全性证明。从这个角度出发，认为门罗币（Monero）遭遇的问题并非中本聪共识本身的安全缺陷，是完全成立的。 我也想澄清一点：所谓中本聪共识的“落后”，指的是其性能而非安全性。在我看来，中本聪共识是实现安全最为简洁的协议。然而，在满足上述两篇论文同等安全目标和假设的前提下，确实存在许多性能优于中本聪共识的 PoW 协议，张博士也很熟悉。 当然，没有哪个协议是完美的。当一篇论文出现在另一篇的“相关工作”（Related Work）部分时，一定会被找出一些问题或局限性。然而，我认为，应对真实世界系统所面临的最迫切威胁，才是重中之重。正是中本聪共识的性能局限性，导致门罗币在明知存在 45% 算力威胁的情况下，或许是出于业务连续性和用户体验的考量，未能及时调整至足够安全的确认时间。 此外，基于博弈论对中本聪共识的研究，虽然将“诚实多数”假设扩展到了“理性人”假设，但其讨论范围也往往局限于挖矿成本与收益的内部博弈，并未充分涵盖外部利益的影响。 合并挖矿（Merged Mining）正是引入外部利益的典型例子。我赞同张博士的观点：合并挖矿可能带来巨大风险，必须谨慎对待。同样，在 PoS 领域，以太坊生态中声势浩大的再质押（Re-staking），也可能为共识协议引入潜在的安全隐患。 关键在于，这类外部利益是无法拒绝的。正如 Qubic 对门罗币发起的算力攻击，整个过程无需门罗币社区的任何许可。 链上高额交易是另一种形式的外部利益。试想，如果一小时的攻击成本仅为 1000 美元，那么一笔 100 万美元的转账需要等待多久，才能确保其不会被双花攻击逆转？ 2. 安全壁垒：如何抵御外部利益的侵蚀？ 那么，我们该如何构筑抵御外部利益侵蚀的安全壁垒呢？ 对于 PoW 机制，最直接的方案是效仿比特币：通过足够高的挖矿奖励，吸引并维持足够庞大的算力。 然而，这对绝大多数公链做不到。PoW 链普遍每小时的挖矿奖励仅为数千美元，这意味着其全网算力的运营成本上限也在这个水平。对于采用 CPU/GPU 挖矿的链，虽然发动攻击存在一定的收集算力的门槛，但也并非遥不可及。 PoW 如何破局？张博士在其分享中提到了 Nervos 的方案：ASIC 化。 ASIC 矿工通常表现出更高的忠诚度，因为一旦其所挖的链失败，他们的设备将沦为废铁。攻击者不仅难以在短时间内购买专用 ASIC 矿机，甚至很难通过小利来收买或租用 ASIC 算力，因为算力持有者的忠诚度。 这种机制，��否可以看作是���过购买 ASIC 矿机（一种形式的 Proof-of-Burn）获得了一种可交易的“特许经营权”或“采矿许可证”？以 Nervos CKB 为例，根据当前二手市场矿机价格估算，其全网算力所代表的“采矿证”总价值已达千万美元级别，这构成了坚实的护城河。 张博士对我说的“火药桶”论述不满，我也承认，ASIC 矿机方案是拆掉了这个火药桶的。我应当把范围局限在通用计算设备挖矿的 PoW. 不过，这引发了一个有趣的思考：如果在一个 PoW 经济模型中，正式引入“Proof-of-Burn”来购买采矿权，并结合一个抗 ASIC 的 CPU 友好型挖矿算法，最终会呈现出怎样的生态格局？用 Proof-of-Stake 呢？我相信应该有过大量研究，但我确实没太关注这一领域。 至于 PoS，其安全门槛在于控制超过 2/3 的总质押代币。这个门槛的资金量级通常远超 PoW 链的小时攻击成本，同样可达到千万美元甚至更高。 3. 学术与现实：理论风险与真实挑战的距离 学术研究所关注的焦点，与真实系统运营所面临的挑战，究竟有多大差距？ 七年前，我也曾频繁讨论 PoS 的理论风险，例如长程攻击（Long-range Attack）、弱主观性（Weak Subjectivity）等。但在维护一条公链长达五年后，我愈发感到，许多论文中的焦点问题，在现实世界中或许并非主要矛盾。 以长程攻击为例，在 Conflux 节点的默认配置下，无论是在纯 PoW 还是混合共识阶段，系统都无法处理长达一天的大规模回滚——多数节点会直接崩溃。面对此类恶性事件，让全链暂停运行，进行社区协调，或许反而是比维持链的运转更稳妥的应对策略。 再比如权益流失攻击（Stake-Bleeding Attack），该攻击模型假设 PoS 协议在分叉时总是选择最长链。然而，实际实现并非如此。在 Diem 和 Conflux 的 PoS 实现中，如果一个节点长期隐瞒（withhold）���条分叉链的数据，其他节点在收到过期高度的区块时会直接丢弃相关数据。因为 PoS 是有 100% 最终性的。 2019 年，王嘉平老师的分片方案 Monoxide 提出了一个非常“离谱”的假设。该分片方案假设，一条链 80% 的 PoW 算力集中在少数矿池手中，而这些矿池有能力部署超级节点。基于此，方案提出让矿池参与所有分片，而独立矿工仅加入少数分片，从而在理论上同时实现性能提升、去中心化和各分片的安全保障。 起初我认为这个假设过于“投机取巧”，但时至今日，它显得颇为务实，只是分片方案已经走下性能扩容的历史舞台了，至少 10000 TPS 的性能是不需要分片的。 这也印证了我之前的观点：一篇论文在学术层面、在特定假设下存在的局限性或缺陷，并不意味着这些问题会在真实的、动态演进的系统中构成威胁。 在我看来，当前 PoS 机制最现实的问题，在于项目方往往持有大量零成本或极低成本的代币。正是出于对权力制衡的考量，Conflux 采用了 PoW 和 PoS 并行的混合共识，而非彻底转向 PoS。 这也许解释了为何大量以太坊生态项目转向再质押（Re-staking），选择质押 ETH 而非自身代币。然而，无论是对于以太坊主网还是项目方，再质押都引入了新的、复杂的外部利益影响，其潜在风险同样值得警惕。 最后，回到 PoW 与 PoS 的路线之争。 我认为，除了能规避通用计算设备挖矿带来的低攻击成本问题外，PoS 的核心价值主张并非体现在安全性上。它的主要吸引力在于更简洁的系统实现、更中心化的共识治理、以及对代币市值管理更为有利。（当前市场对“去中心化”的关注似乎正在减弱，从 Solana 和 Tron 等治理相对中心化的项目依然能获得广泛的市场认可，便可见一斑。）

评论一下 Qubic 和 Monero 近期的事情。 先说结论：PoW 自身的安全风险是一个火药桶，Qubic 只是点燃火药桶那根火柴。 首先，Monero 和 Bitcoin 一样，用的是中本聪共识，这是一种简单但落后，对算力优势要求非常高的共识协议。 常规认知里的 6 个确认区块，在攻击者拥有 30% 算力的情况下，就拥有超过 1% 的攻击成功率了。平均下来，每个星期，就能成功一次。注意，这只是 30% 算力。 所谓的 50% 攻击者算力以下就安全，仅仅限于确认块足够多的情况下：当 Qubic 达到 Monero 哈希率的 45% 以上时，需要等待多达 70 个区块才能确保攻击成功率低于百万分之一。 然而， Monero 在知道 45% 的恶意算力以后，仅仅将建议区块确认数量延长到 10. 我曾经反复提醒过关注共识协议的安全性，通过正确的数学模型估算共识参数，但它确实是长期以来受到忽略的地方。 第二，在真实的世界中，我们应该如何理解 PoW 的安全性？ 当前第二大 PoW 链 BCH，每小时的挖矿奖励大概一万美元。 那一笔价值一百万美元的转账，需要等多久？ 概率模型可以告诉你，如果恶意算力不超过 45%，等待 70 个区块可以抵御 。 但是，学术论文可以“如果”，真实世界都是利益优先啊。当攻击收益远高于攻击成本的时候，你还敢信算力不超过 50% 的假设吗？ 矿工 70 个区块的收入都只有 10 万美元左右，你觉得矿工的运营成本有多少，攻击者的攻击成本又是多少？ 第三，Qubic 在这里起了多大作用？ Qubic 现在才出场，因为他确实不本质。 要成功攻击 Monero, 需要大概 6 万个 3990X, 按 0.1 美元一度电，攻击一小时电费只需要 1680 美元。 这点运营成本根本不算什么。几千美元就有如此影响力，这样的机会有多少主任收多少。 难点在于怎么搞那么多算力，这就是项目忽悠的本事了。 当年的算力租借平台格局太小，不如我去中心化算力基础设施的叙事宏大，不如我 PoW + AI 双挖的叙事炫酷。 AI 用一个很好的噱头召集了一大批社区的参与者，来干这件和 AI 毫无关系的事情。 还有一个原因是，过去，有能力召集算力的机构（比如矿池），利益上都更愿意维护生态而不是破坏生态，不然就是砸饭碗。 现在，我把挖矿市场砸了，我还有 AI 啊。 但是，真的是这样吗？ 看上面这个帖子，Qubic 虽然是 AI 的叙事，但主要收益来源还是挖矿。吃饭砸锅了属于是。 最后，Conflux 慌不慌啊？ 当然慌啊，不然为什么会有 CIP-43 呢？ CIP-43 激活以后，把 PoW/PoS 混合共识上了以后，就没这个问题了。 你问我 Conflux 3.0 是否包含？这是 Conflux 2.0 的 feature 啊，跑 3 年多了都。