工作量證明

工作量證明（Proof-of-Work，PoW）是一種對應服務與資源濫用、或是阻斷服務攻擊的經濟對策。一般要求用戶進行一些耗時適當的複雜運算，並且答案能被服務方快速驗算，以此耗用的時間、裝置與能源做為擔保成本，以確保服務與資源是被真正的需求所使用。此概念最早由Cynthia Dwork（英語：Cynthia Dwork）和Moni Naor（英語：Moni Naor）於1993年的學術論文提出^[1]，而工作量證明一詞則是在1999年由Markus Jakobsson（英語：Markus Jakobsson）與Ari Juels.^[2]所發表。現時此技術成為了加密貨幣的主流共識機制之一，如比特幣所採用的技術。

工作量證明系統的核心特性在於其非對稱性：證明者需完成適度困難（但可行）的計算工作，而驗證者能極高效地驗證結果。Hal Finney於2004年透過「可重用工作量證明」（RPOW）概念將此機制應用於數碼代幣，採用160位元SHA-1演算法^[3]。

背景與發展

工作量證明的早期應用是1997年英國密碼學家Adam Back開發的Hashcash系統，該系統要求電子郵件傳送者執行少量計算任務，藉此抵禦垃圾郵件。其運作基於尋找符合特定特徵的雜湊值（如特定前導零數量），此過程需消耗計算資源，形成「證明」機制。

工作量證明演算法持續演進以應對新挑戰：

• 2009年比特幣採用SHA-256演算法，開創PoW於去中心化共識的應用，透過動態難度調整維持約10分鐘出塊時間。
• 2011年萊特幣引入Scrypt記憶體密集型演算法，旨在抵抗ASIC專業礦機，初期提升普通硬件參與度，後仍被專用ASIC突破。
• 抗ASIC演算法持續發展（如XMR的RandomX），透過增加記憶體依賴或隨機指令設計降低專業硬件優勢。

技術原理

工作量證明最常用的技術原理是雜湊函數。由於輸入雜湊函數${\displaystyle h}$的任意值${\displaystyle n}$，會對應到一個${\displaystyle h(n)}$結果，而${\displaystyle n}$只要變動一個位元，就會引起雪崩效應，所以幾乎無法從${\displaystyle h(n)}$反推回${\displaystyle n}$，因此藉由指定尋找${\displaystyle h(n)}$的特徵，讓用戶進行大量的窮舉運算，就可以達成工作量證明。

我們若指定${\displaystyle h(n)}$的16進位值的前四值，求${\displaystyle n}$，這樣統計上平均約要運行2¹⁶次${\displaystyle h(n)}$雜湊運算，才會得到答案，但驗算只要進行一次就可以了。如果想要增加難度，那就增加指定的位數即可。以SHA256函數舉例，假設我們要處理資料Hello World，並找出${\displaystyle h(n)}$前四值為0000的${\displaystyle n}$，如果從Hello World0開始加上一個十進位數ASCII進行窮舉猜測，到Hello World107105時才會得到符合條件的${\displaystyle h(n)}$：

0000BFE6AF4232F78B0C8EBA37A6BA6C17B9B8671473B0B82305880BE077EDD9

驗算時只要將Hello World107105代入SHA256函數一次即可。

協定類型

• 挑戰-響應協定：伺服器動態生成挑戰，客戶端求解後返回響應。難度可即時調整，搜尋空間通常有界。
• 解決方案-驗證協定：客戶端自主選擇問題並求解（如Hashcash），伺服器驗證問題與解的有效性。多屬無界概率迭代過程。

加密貨幣的應用

由於加密貨幣多由區塊鏈所建構，而區塊鏈本來就要依賴雜湊函數來做為資料正確無誤的擔保，所以在加密貨幣上使用工作量證明，是非常簡明的設計。由分散在各處的計算機，競賽誰能最早找出，搭配原本要打包的資料的窮舉猜測值（nonce），誰就等同獲得該區塊的打包權（記帳權）。此猜測值被找出後，與資料、雜湊值一起打包成塊後廣播，經多數節點確認與承認，打包者就能獲得打包該區塊所提供的獎勵。^[4]一般採用工作量證明的加密貨幣，好比比特幣，會設置成隨着參與競賽的算力增減，而調整找尋猜測值的難度，以維持合理的運作速度。

• 優點
  • 架構簡明扼要、有效可靠。
  • 由於要獲得多數節點承認，那攻擊者必須投入超過總體一半的運算量（51%攻擊），才能保證篡改結果。這使得攻擊成功的成本變得非常高昂，難以實現。
  • 某種程度上是公平的，你投入越多的算力，你獲得打包權的概率也等比增加。

• 缺點
  • 非常浪費能源。投入在一種加密貨幣上的能源，可能會超過一個小型國家的總使用量。^[5]
  • 由於加密貨幣在世界上已成為一種投資標的，所以技術人員開發出了由ASIC組成的特製計算裝置（礦機），壟斷算力。這與加密貨幣的去中心化思想背道而馳。
    • 也因此，後期開發的加密貨幣有針對抗ASIC的演算法設計，例如以太坊採用的Ethash（Dagger-Hashimoto）演算法。
    • 後期開發的加密貨幣陸續使用了POS機制（例如以太坊）或DPOS機制（例如位元股﹑EOS）。

工作量證明演算法類型

• CPU限制型：運算速度取決於處理器效能，易受硬件代際差異影響。
• 記憶體限制型：運算速度受記憶體延遲或頻寬制約，對硬件演進敏感度較低。
• 有用工作量證明 (PoUW)：2022年提出的Ofelimos協定將共識機制與優化問題求解結合，使計算資源產生實際價值^[6]。

比特幣的實現與挑戰

2021年比特幣電力消耗示意^[7]

• 能源消耗：根據劍橋大學研究，比特幣網絡年耗電量堪比中小型國家^[8]。
• 中心化風險：ASIC礦機與礦池興起導致算力集中，背離去中心化初衷^[9]。
• 安全弱點：
  • 51%攻擊：掌握過半算力者可篡改交易記錄^[10]。
  • 經濟安全不對稱：礦工控制網絡安全但非代幣主要持有者，隨區塊獎勵減半，安全預算相對市值持續下降^[11]。

環境爭議

工作量證明機制因高能耗引發環境擔憂：

• 2022年1月歐洲證券和市場管理局副主席呼籲歐盟禁止PoW，轉向能耗更低的權益證明^[12]。
• 2022年11月紐約州頒布禁令，暫停非完全使用可再生能源的新挖礦項目運營兩年^[13]。

截至 2025 年，使用 PoW 機制的虛擬貨幣，市值排名前十的為^[14][15]：

1. BTC 比特幣
2. DOGE 狗狗幣
3. LTC 萊特幣
4. BCH 比特幣現金
5. XMR 門羅幣
6. ETC 以太坊經典
7. KAS (Kaspa）
8. BSV (Bitcoin SV)
9. CFX (Conflux)
10. ZEC (Zcash)

參閱

• 區塊鏈
• 雜湊函數
• 加密貨幣
• 加密電子貨幣列表
• 持有量證明
• 權益證明
• 權威證明
• 空間證明
• 時間流逝證明