背景知识：UTxO记账法

正常银行转账交易是从一个账户往另一个账户转移资产，比如张三给李四转账100元。 但是Cardano和比特币这种虚拟货币的交易略有不同。 交易的输出大体上差不多，唯一区别是可以有多个目标账号，比如一笔交易可以同时转70元给李四，30元给王五。 交易的输入就完全不同了，一笔交易的输入不是来自某个账户，而是来自其他交易。 举个例子，我们把这笔“给李四70元给王五30元”的交易叫做t1。

t1 输入: ...
   输出: 70元给李四, 30元给王五

现在如果李四想给赵六转50元，他可以创建一笔新交易说：用掉交易t1的第一个输出，然后给赵六50元，剩下20元给自己。

t2 输入: t1的第一个输出
   输出: 50元给赵六, 20元给李四

我们注意到李四需要把20元“找零”转回给自己，因为一个交易输出只能被使用(也就是用作另一笔交易的输入)一次。 这种风格的记账风格就叫做UTxO记账法。UTxO的意思就是未使用的交易输出。

而区块链就是许多这种交易组成的一个列表。对应的形式化定义差不多是这样的：

钱包

虚拟货币的钱包就是一个软件工具，它会监控区块链的状态，跟踪用户的资金（准确的说就是用户的UTxO），也支持往区块链发送新的交易请求。 普通用户主要通过钱包和区块链打交道。至于验证新交易的有效性以及决定是否打包到区块中，这些不是钱包的任务，也就不在本文讨论的范围内了。

钱包的形式规范是一个数学抽象，它只关心钱包最核心的功能，忽略无关的细节。在Cardano钱包的基本模型中，我们把钱包状态简化到只包含UTxO以及在途交易(pending transactions)。 这份规范简单到用一张纸就可以写完：

这个模型很简单，这样才方便进行更深入的研究，也方便提供相关属性的数学证明。 同时又足够精确，可以用来指导钱包的设计，也可以作为单元测试的基础，并驱动真实实现的开发。 他还可以用来研究可能存在的性能问题，以及如何来解决这些问题。

余额

钱包设计中有一些棘手的问题，余额的处理就是其中一个。 你可能觉得在钱包里展示余额应该是一件很简单的事情，但就算在传统银行账户中，也至少存在两种余额。比如张三给李四转100元之后，他的银行账户可能会说：

• 你当前余额为1000元
• 有一笔100元的在途交易，所以你的可用余额为900元

和传统银行交易不同，UTxO风格的交易多了一个找零的概念。 这就会产生三个余额的概念。我们还拿前面的t2交易为例，李四的钱包可能会这么汇报他的余额：

• 你的可用UTxO为1070元
• 有一笔在途交易t2，所以你的可用余额为1000元
• 交易t2会转回20元，所以你的总余额其实是1020元

注意到t2的找零只有当它被打包进区块链之后才可以使用。

目前为止，从钱包设计角度来看，问题还不算复杂，虽然用户界面的展示上可能还需要斟酌一下(要给用户展示哪个余额？)。真正的复杂性来自临时的区块分叉，也就是区块链上对于哪些交易需要被包含进来的分歧（分叉的产生以及如何解决不在本文探讨的范围）。

还是继续上面这个例子，假设t2在途，同时又出现了对t1的争议。争议解决后，钱包发现t1不在区块链中了（可能之后还会被重新包含进来）。 这个时候钱包的可用余额还是1000元，但是总余额如果还是1020元是否合理? 毕竟这样的话，总余额就大于可用UTxO了，倒不是说它一定不对，但总觉得不太舒服。

所以我们在形式规范中又定义了一个最小余额的概念：账户在各种可能出现的情况下，最小的那个余额。 在这个例子中，就是t1和t2都没有被打包进区块链的情况下，余额最小，为1000元 （注意不可能出现t2生效但t1不生效的情况，因为t2依赖t1）。 这个概念在直觉上似乎可行，但是为了让它更加精确并且可以计算，我们还需要引入另一个概念: ‘“预期UTxO”，也就是钱包期望包含进来但还没有被包含进来的UTxO。

当然，就算不通过形式化的方法，我们也可以提出最小余额的概念，并且想出对应的算法。但是有这份形式规范可以让我们对这些问题研究地更加透彻，排除掉真实实现过程中周边的细节问题，专注于最核心的概念。

内部一致性：不变量

当我们引入一个像“预期UTxO”这样的新鲜概念的时候，我们怎么知道它是对的？ 其实，既然新概念是我们自己定义的，再问它是否正确没有太大意义，我们应该问的是，它是否有用？

回答这个问题的一个办法就是找出不变量。不变量就是永远为真的属性。 比如上面展示的基本模型中就有这样一个不变量：

不变量3.4 txins pending ⊆ dom utxo

这个不变量是说，在途交易只能使用UTxO中的输出。这一点在直觉上貌似是显然的：钱包不能让用户使用它自己没有的资金。 然而，就像上面展示的，当我们开始考虑临时分叉的时候，这个不变量就不成立了。 李四提交的t2，使用了t1的一个输出，随后t1被回滚，这个时候他就使用了一个不在当前UTxO中的输出了。

这个时候我们又需要用上“预期UTxO”的概念了，在完整模型中，这个不变量需要改成这样：

不变量7.8 txins pending ⊆ dom (utxo expected)

换句话说，在途交易只能花费UTxO或者预期UTxO。

另一个不变量能够帮助我们巩固对“预期UTxO”这个概念的直觉理解： 一个输出不能既在UTxO中也在预期UTxO中。

不变量7.6 dom utxo 相交 dom expected = ∅

毕竟如果一个预期UTxO出现在当前UTxO里的话就很奇怪了。 列出这样的不变量可以让我们对新概念的直觉理解变得精确， 而证明他们的正确性也能为形式规范的合理性以及内部一致性提供很强的保证。

半形式化开发

形式化地证明上面这样的不变量不光很耗时，还需要专业的数学训练。 如果能够证明他们当然是最完美的，但本文想说的是，尽管我们没有去证明，这个方法依然为我们提供巨大的帮助。 毕竟，我们之所以选择用Haskell编程，就是因为我们可以很容易地在Haskell代码和数学语言之间来回转换。

为了把形式规范中的钱包模型翻译成Haskell，我们使用一个在之前文章中介绍过的方法： Haskell中的面向对象编程 (我们发明这个方法就是用来干这个的)。下面就是把基本模型翻译到Haskell代码的样子：

mkWallet :: (Hash h a, Ord a, Buildable st)
         => Ours a -> Lens' st (State h a) -> WalletConstr h a st
mkWallet ours l self st =
  (mkDefaultWallet (l . statePending) self st) {
      utxo       = st ^. l . stateUtxo
    , ours       = ours
    , applyBlock = \b -> self (st & l %~ applyBlock' ours b)
    }

applyBlock' :: Hash h a
            => Ours a -> Block h a -> State h a -> State h a
applyBlock' ours b State{..} = State {
    _stateUtxo    = updateUtxo ours b _stateUtxo
  , _statePending = updatePending   b _statePending
  }

updateUtxo :: forall h a. Hash h a
           => Ours a -> Block h a -> Utxo h a -> Utxo h a
updateUtxo p b = remSpent . addNew
  where
    addNew, remSpent :: Utxo h a -> Utxo h a
    addNew   = utxoUnion (utxoRestrictToOurs p (txOuts b))
    remSpent = utxoRemoveInputs (txIns b)

updatePending :: Hash h a
              => Block h a -> Pending h a -> Pending h a
updatePending b = Map.filter $ \t -> disjoint (trIns t) (txIns b)

它比形式规范涉及到更多细节；比如它把具体的hash类型和地址类型抽象出去了。虽然它比规范稍微复杂一点，但也很接近了。 它依然是一个模型：没有处理任何网络或者存储方面的问题，可能也不是很高效，等等。也就是说，这个代码还不是真实钱包的设计。 但有这个模型还是有用的，两个原因，一个是我们可以用它来测试真实的钱包，我们会在下一节讨论这个话题； 另一个是我们可以用这个模型来测试不变量。比如下面的代码就是对上面提到的不变量7.8和7.6的Haskell翻译：

pendingInUtxoOrExpected :: WalletInv h a
pendingInUtxoOrExpected l e =
  invariant (l <> "/pendingInUtxoOrExpected") e $ \w ->
   checkSubsetOf
    ("txins pending",
      txIns (pending w))
    ("utxo ∪ expected",
      utxoDomain (utxo w) `Set.union` utxoDomain (expectedUtxo w))

utxoExpectedDisjoint :: WalletInv h a
utxoExpectedDisjoint l e =
  invariant (l <> "/utxoExpectedDisjoint") e $ \w ->
   checkDisjoint
    ("dom utxo",
      utxoDomain (utxo w))
    ("dom expected",
      utxoDomain (expectedUtxo w))

和刚才的钱包实现一样，Haskell代码比对应的形式规范涉及更多细节；比如上面这个代码和形式规范主要区别是可以在不变量不成立时提供详细的错误信息。除此之外，大体上还是对规范的直接翻译。

这样做的好处是，我们可以用QuickCheck来测试这些不变量。 我们为钱包生成随机(但有效)的事件（"应用这个区块"，"提交这笔新交易"，"切换到另一个分叉"），然后检查这些不变量在每一个时间点都成立。 比如规范发布第一个版本的时候就有一个低级错误：当钱包收到一个新区块时，它从预期UTxO里把该区块的输入移除了，而不是输出。一个很蠢的错误，但是如果人工审核的话很容易被忽视。 当然，证明的话可以发现这个问题，但是用QuickCheck也可以：

Wallet unit tests
  Test pure wallets
    Using Cardano model FAILED [1]

Failures:

  test/unit/Test/Spec/Models.hs:36:
  1) Wallet unit tests, Test pure wallets, Using Cardano model
       predicate failed on: Invalid [] InvariantViolation {
           name:     full/utxoExpectedDisjoint
         , evidence: NotSubsetOf {
                 dom utxo: ..
               , dom expected: ..
               , dom utxo `intersection` dom expected: ..
             }
         , events:   {
                 state: ..
               , action: ApplyBlock ..
               , state: ..
               , action: NewPending Transaction{ .. }
               , state: ..
               ..
               , action: Rollback
               ..
             }
         }

它不光告诉我们这个不变量不成立了；它还输出了能重现问题的事件序列以及相应的钱包状态（包括所有的中间状态），并且它还显示UTxO和预期UTxO的domain以及他们的交集是什么(他们的交集应该为空，却不为空)。

测试真实的实现

上面说到Haskell对钱包规范的翻译依然是一个模型，其中忽略了大量真实世界的复杂情况，而这些情况是完整的钱包实现必须处理的。 甚至模型中实现的数据类型也是真实版本的简化：交易中没有包含签名，区块只是一个交易列表而不是真实的区块等等。

尽管如此，我们还是可以用这个模型实现来测试真实实现。我们可以把简化版的类型转换到真实版本。既然我们已经有了针对简化类型的QuickCheck测试数据生成器，并且我们也已经能够对模型实现进行测试，我们就可以用下图的方式对真实实现进行测试：

我们先用QuickCheck生成器生成简化模型的钱包事件，然后：

1. 在简化类型的测试数据上执行模型实现，然后把结果翻译到真实实现
2. 我们先把测试数据翻译到真实类型，然后执行真实钱包的实现

我们可以比对两条执行路径的结果，如果相同的话，我们就可以认为真实钱包正确地实现了这个模型。 我们在每一步都去验证这一点，加上我们前面保证了模型实现中的不变量在每一步都成立，那么我们就能得出结论：不变量在真实实现中也在每一步都成立。

比如，如果真实钱包中有一个bug重复计算了在途交易的找零(比如一笔在途交易使用另一笔在途交易的找零作为输入，这只在分叉的情况下才会出现)，测试用例生成器就会找到一个反例，使得两条执行路径的结果不一致，并且告诉我们导致不一致的具体的钱包事件序列以及相应的钱包状态，以及不一致的具体值。

结论

软件的规范，就算存在，一般也都是些非形式化的文档，使用自然语言描述一下软件预期的功能。 这样的规范不能用来做校验，甚至对测试也用处不大。 另一方面，对所有属性都在数学上加以证明的完整的形式规范，成本很高也很耗时，而且需要相关领域的专家才能搞定。这种做的效果当然是最完美的，但是我们可以有这么一个折中的方案：形式化地描述模型及其属性，然后我们可以用QuickCheck对其属性进行测试。 另外，基于这个模型我们可以对核心功能进行分析，并最终和真实实现进行比对。

IOHK对新钱包的开发是开源的，相关代码可以在 Github 上找到。 有趣的是，IOHK最近还招了人去实现Coq版本的钱包规范，这会把整个规范建立在更加坚实的基础之上。当然，这不代表目前的工作就没有意义，虽然这样的话，在模型实现中去测试不变量不再必要，但是有QuickCheck生成器去测试真实实现还是很有价值的。另外，在实际去证明不变量之前先用QuickCheck测试一遍，如果这个不变量确实不成立的话，可以帮助我们提早发现问题，从而节省宝贵的时间。

编译运行Cardano钱包后端

Windows和Mac系统，直接使用官方发布的钱包安装包即可。

Linux系统需要自己编译，编译过程如下：

1. 安装nix ，在非root账户下运行:

   $ curl https://nixos.org/nix/install | sh
   

   运行后会自动配置当前环境，重新登录当前终端即可生效。

2. 配置IOHK的Binary Cache：

   $ sudo mkdir -p /etc/nix
   $ sudo vi /etc/nix/nix.conf       # ..or any other editor, if you prefer
   

   添加：

   binary-caches            = https://cache.nixos.org https://hydra.iohk.io
   binary-cache-public-keys = hydra.iohk.io:f/Ea+s+dFdN+3Y/G+FDgSq+a5NEWhJGzdjvKNGv0/EQ=
   

3. 取cardano源代码：

   $ git clone https://github.com/input-output-hk/cardano-sl.git
   $ cd cardano-sl
   $ git checkout -b release/1.2.0 origin/release/1.2.0
   

4. 编译：

   $ nix-env -A cardano-sl-wallet-new --install --file .
   

   因为有Binary Cache，应该很快，成功后在目录 ~/.nix-profile/bin/ 中会多一个 cardano-node 的可执行文件，这个目录在安装nix的时候已经加入到 PATH 了。

5. 另外整一个运行的目录，把相关配置拷贝过来：

   $ mkdir ~/cardano-wallet
   $ cd ~/cardano-wallet
   $ mkdir lib
   $ cp /path/to/cardano-sl/lib/{configuration.yaml,mainnet-genesis.json} lib
   $ mkdir scripts
   $ cp -r /path/to/cardano-sl/scripts/tls-files scripts/
   

6. 创建文件 wallet-topology.yaml ，内容如下：

   wallet:
     fallbacks: 7
     valency: 1
     relays:
     - - host: relays.cardano-mainnet.iohk.io
   

7. 运行:

   $ cardano-node --topology wallet-topology.yaml --configuration-key mainnet_wallet_linux64
   

8. 验证钱包V1 API工作正常：

   $ curl --cacert scripts/tls-files/ca.crt https://localhost:8090/api/v1/node-info
   {"data":{"syncProgress":{"quantity":92,"unit":"percent"},"blockchainHeight":{"quantity":1072633,"unit":"blocks"},"localBlockchainHeight":{"quantity":996101,"unit":"blocks"},"localTimeInformation":{"differenceFromNtpServer":{"quantity":-147487,"unit":"microseconds"}}},"status":"success","meta":{"pagination":{"totalPages":1,"page":1,"perPage":1,"totalEntries":1}}}
   

使用V1 API实现冲提

Cardano钱包API是符合swagger规范的，使用任何语言对swagger的封装即可使用，这里提供一个 使用python的pyswagger的示例 。

可验证随机函数(VRF)

可验证随机函数是一个密码学的工具，一种伪随机函数，可以使用私钥参与随机数的计算，同时别人可以使用公钥对计算结果进行验证。

-- 计算随机数
vrf :: PrivateKey -> Seed -> (a, VrfProof)
-- 验证随机数
verifyVrf :: PublicKey -> Seed -> (a, VrfProof) -> Bool
-- 区分不同slot
slotSeed :: SlotIndex -> EpochSeed -> Seed

使用这个工具，每个节点可以使用不同的伪随机函数判定自己是否是slot leader，具体方法是判定产生的随机数是否低于一个阀值，该阀值的值和节点stake比例相关。 如果是leader则直接出块，并在块中包含验证需要的proof信息。其他节点直到收到区块，才知道谁是slot leader。

因为每个节点随机函数是独立的，所以并不能像原始Ouroboros那样保证每个slot都刚好有且只有一个leader，可能没有人选中，也可能选中多个。不过praos新的安全性论证，已经考虑进这些情况，并且建立在半同步网络模型上，依然可以保证原来的安全属性。意味着praos的slot时长可以大大降低，也意味着这个版本性能将大大提升。

最后每个区块出块者会额外生成一个随机数放在区块中，用于产生下一个epoch的seed。

Key Evolving Signature Schemes

Praos引入KES解决另一个PoS的问题，就是恶意用户如果盗用了stake holder的私钥的情况，可以对它任意时刻出的块重新签名。

KES模式下，每次签名后都产生新的key，并抛弃旧的key。这样就算被黑掉当前的key，也无法伪造过去产生的区块签名。

Eclipse Attack

Eclipse Attack是指恶意节点通过某种手段“包围”了目标节点，使得目标节点所有连接的都是恶意节点，之后恶意节点可以过滤或伪造消息，进一步对目标节点发起各种攻击，比如：

• 攻击共识算法

  双花，自私挖矿等。

• 攻击闪电网络等二级网络

  当闪电网络的通道关闭后，不告诉商家节点通道已关闭，继续发送付费消息并得到服务。

• 攻击智能合约

  恶意节点可以引导受害节点的智能合约存储错误的状态，智能合约的逻辑的是依赖这些状态的，经过智能合约的运算，这种错误会得到放大，产生不可预料的问题。

2015年就有研究人员研究过对比特币网络进行Eclipse Attack的研究(Eclipse Attacks on Bitcoin’s Peer-to-Peer Network)， 比特币经过改进，现在已经不是一般的攻击者能够实现的了。

2018年初又有研究人员发表了针对以太坊网络的Eclipse Attack研究(Low-Resource Eclipse Attacks on Ethereum’s Peer-to-Peer Network)，发现攻击成本非常低， 两台普通机器连上以太坊就能成功发起攻击，当然以太坊后续版本已经加上了反制措施。 我们可以了解一下大概的攻击方法：

• 连接垄断

  以太坊设定的每个节点维持最多13个连接，并且外部发起的和自己发起的连接是平等的。 攻击者可以等待目标节点重启（或者给目标节点发送"重启包"强制重启），然后主动连上去，占满目标节点的可用连接。

  解决方案：要求节点至少要有一部分主动对外的连接。

• 占有路由表

  因为以太坊节点ID就是一个ECDSA公钥，而公钥生成成本很低，并且同一台电脑上就可以运行大量节点。 攻击者可以根据目标节点ID生成大量和目标节点ID距离很近的节点，并主动ping目标节点。 当目标节点重启后，路由表清空，会迅速被恶意节点占领。 当目标节点主动发起连接，依然会大概率连上恶意节点。

  解决方案：

  • 因为这个攻击方式利用了Kademlia距离函数是公开并且对称的特点，如果我们把距离函数改成非对称的， 引入本地生成的随机数： dist(s1, SHA3(n, s2)) ，这样攻击节点就无法批量生成和目标节点距离短的节点ID了。 目前以太坊没有实现这个策略，因为它其实破坏了Kademlia网络的结构，会提高查找特定节点的通讯复杂度，虽然区块链应用场景下目前并不需要这种操作。
  • 目前以太坊的反制措施是限制路由表中来自同一个网段中节点数量，让这种攻击方式的成本提高一些。