工作量证明

工作量证明（Proof-of-Work，PoW）是一种对应服务与资源滥用、或是拒绝服务攻击的经济对策。一般要求用户进行一些耗时适当的复杂运算，并且答案能被服务方快速验算，以此耗用的时间、装置与能源做为担保成本，以确保服务与资源是被真正的需求所使用。此概念最早由Cynthia Dwork（英语：Cynthia Dwork）和Moni Naor（英语：Moni Naor）于1993年的学术论文提出^[1]，而工作量证明一词则是在1999年由Markus Jakobsson（英语：Markus Jakobsson）与Ari Juels.^[2]所发表。现时此技术成为了加密货币的主流共识机制之一，如比特币所采用的技术。

工作量证明系统的核心特性在于其非对称性：证明者需完成适度困难（但可行）的计算工作，而验证者能极高效地验证结果。Hal Finney于2004年透过“可重用工作量证明”（RPOW）概念将此机制应用于数码代币，采用160位SHA-1算法^[3]。

背景与发展

工作量证明的早期应用是1997年英国密码学家Adam Back开发的Hashcash系统，该系统要求电邮发送者执行少量计算任务，借此抵御垃圾邮件。其运作基于查找符合特定特征的散列值（如特定前导零数量），此过程需消耗计算资源，形成“证明”机制。

工作量证明算法持续演进以应对新挑战：

• 2009年比特币采用SHA-256算法，开创PoW于去中心化共识的应用，透过动态难度调整维持约10分钟出块时间。
• 2011年莱特币引入Scrypt存储器密集型算法，旨在抵抗ASIC专业矿机，初期提升普通硬件参与度，后仍被专用ASIC突破。
• 抗ASIC算法持续发展（如XMR的RandomX），透过增加存储器依赖或随机指令设计降低专业硬件优势。

技术原理

工作量证明最常用的技术原理是散列函数。由于输入散列函数${\displaystyle h}$的任意值${\displaystyle n}$，会对应到一个${\displaystyle h(n)}$结果，而${\displaystyle n}$只要变动一个位元，就会引起雪崩效应，所以几乎无法从${\displaystyle h(n)}$反推回${\displaystyle n}$，因此借由指定查找${\displaystyle h(n)}$的特征，让用户进行大量的穷举运算，就可以达成工作量证明。

我们若指定${\displaystyle h(n)}$的16进制值的前四值，求${\displaystyle n}$，这样统计上平均约要运行2¹⁶次${\displaystyle h(n)}$散列运算，才会得到答案，但验算只要进行一次就可以了。如果想要增加难度，那就增加指定的位数即可。以SHA256函数举例，假设我们要处理资料Hello World，并找出${\displaystyle h(n)}$前四值为0000的${\displaystyle n}$，如果从Hello World0开始加上一个十进制数ASCII进行穷举猜测，到Hello World107105时才会得到符合条件的${\displaystyle h(n)}$：

0000BFE6AF4232F78B0C8EBA37A6BA6C17B9B8671473B0B82305880BE077EDD9

验算时只要将Hello World107105代入SHA256函数一次即可。

协议类型

• 挑战-响应协议：伺服器动态生成挑战，客户端求解后返回响应。难度可即时调整，搜索空间通常有界。
• 解决方案-验证协议：客户端自主选择问题并求解（如Hashcash），伺服器验证问题与解的有效性。多属无界概率迭代过程。

加密货币的应用

由于加密货币多由区块链所建构，而区块链本来就要依赖散列函数来做为资料正确无误的担保，所以在加密货币上使用工作量证明，是非常简明的设计。由分散在各处的电脑，竞赛谁能最早找出，搭配原本要打包的资料的穷举猜测值（nonce），谁就等同获得该区块的打包权（记账权）。此猜测值被找出后，与资料、散列值一起打包成块后广播，经多数节点确认与承认，打包者就能获得打包该区块所提供的奖励。^[4]一般采用工作量证明的加密货币，好比比特币，会设置成随着参与竞赛的算力增减，而调整找寻猜测值的难度，以维持合理的运作速度。

• 优点
  • 架构简明扼要、有效可靠。
  • 由于要获得多数节点承认，那攻击者必须投入超过总体一半的运算量（51%攻击），才能保证篡改结果。这使得攻击成功的成本变得非常高昂，难以实现。
  • 某种程度上是公平的，你投入越多的算力，你获得打包权的几率也等比增加。

• 缺点
  • 非常浪费能源。投入在一种加密货币上的能源，可能会超过一个小型国家的总使用量。^[5]
  • 由于加密货币在世界上已成为一种投资标的，所以技术人员开发出了由ASIC组成的特制计算装置（矿机），垄断算力。这与加密货币的去中心化思想背道而驰。
    • 也因此，后期开发的加密货币有针对抗ASIC的算法设计，例如以太坊采用的Ethash（Dagger-Hashimoto）算法。
    • 后期开发的加密货币陆续使用了POS机制（例如以太坊）或DPOS机制（例如位元股﹑EOS）。

工作量证明算法类型

• CPU限制型：运算速度取决于处理器性能，易受硬件代际差异影响。
• 存储器限制型：运算速度受存储器延迟或带宽制约，对硬件演进敏感度较低。
• 有用工作量证明 (PoUW)：2022年提出的Ofelimos协议将共识机制与优化问题求解结合，使计算资源产生实际价值^[6]。

比特币的实现与挑战

2021年比特币电力消耗示意^[7]

• 能源消耗：根据剑桥大学研究，比特币网络年耗电量堪比中小型国家^[8]。
• 中心化风险：ASIC矿机与矿池兴起导致算力集中，背离去中心化初衷^[9]。
• 安全弱点：
  • 51%攻击：掌握过半算力者可篡改交易记录^[10]。
  • 经济安全不对称：矿工控制网络安全但非代币主要持有者，随区块奖励减半，安全预算相对市值持续下降^[11]。

环境争议

工作量证明机制因高能耗引发环境担忧：

• 2022年1月欧洲证券和市场管理局副主席呼吁欧盟禁止PoW，转向能耗更低的权益证明^[12]。
• 2022年11月纽约州颁布禁令，暂停非完全使用可再生能源的新挖矿项目运营两年^[13]。

截至 2025 年，使用 PoW 机制的虚拟货币，市值排名前十的为^[14][15]：

1. BTC 比特币
2. DOGE 狗狗币
3. LTC 莱特币
4. BCH 比特币现金
5. XMR 门罗币
6. ETC 以太坊经典
7. KAS (Kaspa）
8. BSV (Bitcoin SV)
9. CFX (Conflux)
10. ZEC (Zcash)

参阅

• 区块链
• 散列函数
• 加密货币
• 加密电子货币列表
• 持有量证明
• 权益证明
• 权威证明
• 空间证明
• 时间流逝证明