智能合約是一類專用于管理有價(jià)值數(shù)字資產(chǎn)所有權(quán)的獨(dú)特軟件。盡管現(xiàn)有的編程環(huán)境可以用來(lái)跟蹤資產(chǎn)的所有權(quán),但是它們通常被用來(lái)反映所有權(quán),而非直接定義所有權(quán)。智能合約的獨(dú)特之處在于,它們所代表的價(jià)值往往直接體現(xiàn)在它們所維持的狀態(tài)中。
隨著區(qū)塊鏈的持續(xù)發(fā)展,代表所有權(quán)的機(jī)制也在不斷發(fā)展。比特幣是由“未使用的交易輸出(unspent transaction outputs)”或UTXO所定義的所有權(quán)模型構(gòu)建的。
雖然UTXO模型非常高效,但它也非常復(fù)雜,并且可能會(huì)產(chǎn)生一些異常的邊緣情況,因此Ethereum采用了一種更直接的Ledger模型。
當(dāng)Libra區(qū)塊鏈發(fā)布時(shí),圍繞該項(xiàng)目的主要關(guān)注點(diǎn)在于Facebook建立的區(qū)塊鏈的政治含義,但我們這群深入研究技術(shù)細(xì)節(jié)的人卻從中發(fā)現(xiàn)了一些很有意思的新想法。
尤其是,Libra團(tuán)隊(duì)以一個(gè)新的所有權(quán)模型為基礎(chǔ),為他們的Move VM定義了新的編程模型。該所有權(quán)模型的靈感來(lái)源就是線性類型(Linear Types):資源(Resources)。
“Resources”是一種在編程語(yǔ)言中直接表示資產(chǎn)所有權(quán)的新方法。工程師們常常使用“所有權(quán)(ownership)”這個(gè)術(shù)語(yǔ)來(lái)比喻:跟蹤某代碼以管理某種數(shù)據(jù)結(jié)構(gòu)或系統(tǒng)資源。
這種情況在編程環(huán)境中最為常見(jiàn),在此環(huán)境中,內(nèi)存管理并沒(méi)有完全從程序員那里抽象獨(dú)立出來(lái),如果說(shuō)代碼中寫了一個(gè)對(duì)象,那么就意味著該代碼必須管理并釋放分配給該對(duì)象的內(nèi)存。
Resources將這一概念進(jìn)行了擴(kuò)展,我們可以利用一些機(jī)制來(lái)管理以前編程語(yǔ)言中的“所有權(quán)”,并用它來(lái)管理本地?cái)?shù)字資產(chǎn)的真正所有權(quán)。
源引于Move簡(jiǎn)介:
https://developers.libra.org/docs/move-overview#move-has-first-class-resources
Move 的關(guān)鍵特征是能夠定義自定義資源類型(resource types)。資源類型可用于對(duì)具有豐富可編程性的安全數(shù)字資產(chǎn)進(jìn)行加密。
Move 類型系統(tǒng)為資源提供了特殊的安全保障。Move資源不能被復(fù)制、重復(fù)使用或丟棄。資源類型只能由定義該類型的模塊創(chuàng)建或銷毀。這些保障是由Move虛擬機(jī)靜態(tài)執(zhí)行的。
Libra貨幣是作為一種資源類型實(shí)現(xiàn)的,在語(yǔ)言中并沒(méi)有特殊的地位,每個(gè)Move資源都享有同樣的保護(hù)。
最后這兩點(diǎn)非常重要:
1. Resource 對(duì)象的特殊狀態(tài)必須由運(yùn)行時(shí)(“Move虛擬機(jī)”)強(qiáng)制執(zhí)行;如果其只是編譯器抽象,那么惡意代碼很輕松即可打破屏障。
2.然而!如果你能夠正確地執(zhí)行這些規(guī)則,則可以讓網(wǎng)絡(luò)中最重要的資產(chǎn)——本機(jī)代幣——安全地存儲(chǔ)在由用戶提交的代碼控制的數(shù)據(jù)結(jié)構(gòu)中。厲害了!
1. 到底什么是Resource?
我們可以通過(guò)一個(gè)不可替代代幣(NFT)的示例(例如CryptoKitty)來(lái)理解Resource。每個(gè)CryptoKitty都是不可分割、不可復(fù)制的,并且有一個(gè)直接所有者,這與Resource編程結(jié)構(gòu)是相吻合的。
在像Ethereum這樣的Ledger模型中,所有的CryptoKitties都以巨型列表的形式被存儲(chǔ)在一個(gè)智能合約中。
通過(guò)在中央分類賬中存儲(chǔ)每個(gè)所有者的帳戶ID來(lái)跟蹤每個(gè)Kitty的所有權(quán),更改Kitty所有權(quán)的唯一方法是聯(lián)系該中央分類賬并要求其更新與該Kitty相關(guān)的帳戶ID。
contract KittyLedger {
struct Kitty {
priv let kitties: {Int: Kitty}
fun transfer(kittyId: Int, newOwner: AccountId) {
if (msg.sender == kitties[kittyId].owner) {
kitties[kittyId].owner = newOwner
}
}
}
transaction(signer: Account) {
// tells the central ledger to assign ownership of
// myKittyId to a different account
centralKittyLedger.transfer(myKittyId, receiverAccountId)
}
在Resource模型中,Kitty本身被表示為一個(gè)Resource對(duì)象,被直接存儲(chǔ)在擁有它的帳戶中。就像在現(xiàn)實(shí)世界中一樣,通過(guò)占有來(lái)表示所有權(quán)。
你無(wú)需通過(guò)中央分類帳來(lái)查看自己是否擁有某物,你可以把它存在自己的帳戶中,也可以不存。如果你擁有它,你就可以對(duì)其進(jìn)行轉(zhuǎn)移或控制;如果你沒(méi)有擁有它,則無(wú)法捕獲或改變它。
contract CryptoKitties {
// Accounts store a collection in their account storage
resource KittyCollection {
// Each collection has functions to
// move stored resources in and out
fun withdraw(kittyId: int): CryptoKitty
fun deposit(kitty: CryptoKitty)
}
// The resource objects that can be stored in the collection
resource CryptoKitty {}
}
transaction(signer: Account) {
// Removes the Kitty from signer‘s collection, and stores it
// temporarily on the stack.
let theKitty 《- signer.kittyCollection.withdraw(kittyId: myKittyId)
// Moves the Kitty into the receiver’s account
let receiver = getAccount(receiverAccountId)
receiver.kittyCollection.deposit(kitty: 《-theKitty)
注意:為了將重點(diǎn)放在分類賬和直接所有權(quán)模型之間的差異上,上面的兩個(gè)例子都忽略了訪問(wèn)控制、定義每個(gè)變量、以及實(shí)時(shí)代碼相關(guān)的其他因素。
簡(jiǎn)而言之,將某個(gè)東西標(biāo)記為Resource就是在告訴編程環(huán)境:這個(gè)數(shù)據(jù)結(jié)構(gòu)代表了某種有形的價(jià)值,與該數(shù)據(jù)結(jié)構(gòu)進(jìn)行交互的所有代碼都需要遵循一系列特殊的規(guī)則,以維護(hù)該數(shù)據(jù)結(jié)構(gòu)的價(jià)值。
那么,這些規(guī)則都有什么呢?
1.每個(gè)Resource 在某一時(shí)刻只能存在于一個(gè)地方。Resources不能通過(guò)編程錯(cuò)誤或惡意代碼進(jìn)行復(fù)制或意外刪除。
2.Resource 的所有權(quán)由其存儲(chǔ)位置決定。在確定所有權(quán)時(shí),無(wú)需查閱中央分類賬。
3.只有所有者可以對(duì)Resource上的方法進(jìn)行訪問(wèn)。例如,只有CryptoKitty的所有者才可以產(chǎn)生新Kitty。
2. 為什么Resource非常重要?
就像簡(jiǎn)介中提到的,智能合約特別適合管理貴重資產(chǎn)的所有權(quán),但是大多數(shù)編程語(yǔ)言(甚至是專門為智能合約而設(shè)計(jì)的編程語(yǔ)言)都沒(méi)有任何用于管理所有權(quán)的本機(jī)抽象(native abstractions)。在協(xié)議級(jí)中包含這樣的抽象顯然意義重大。
但是,使用Resources還有一些其他值得一提的好處:
· 狀態(tài)租金(State Rent)
可擴(kuò)展的智能合約平臺(tái)需要通過(guò)某種方式來(lái)收取狀態(tài)租金(state rent),以便為存儲(chǔ)在區(qū)塊鏈上的數(shù)據(jù)支付費(fèi)用或?qū)⑵鋸墓ぷ骷袆h除。
在分類賬模型下,很難知道該由誰(shuí)來(lái)支付這些租金。例如,CryptoKitties合約代表了數(shù)以萬(wàn)計(jì)的用戶,有近200萬(wàn)Kitties和超過(guò)111MB的鏈上數(shù)據(jù)。Ethereum無(wú)法公正地向所有這些Kitty所有者收取租金。
通過(guò)使用Resource Types的直接所有權(quán)模型,可以將每個(gè)Kitty都(與該用戶的其他資產(chǎn)一起)存儲(chǔ)在其所有者的賬戶中。支付存儲(chǔ)付費(fèi)的責(zé)任十分明確。此外,個(gè)人用戶(在其客戶端軟件的幫助下)可以歸檔未使用的資產(chǎn),以降低成本并減少網(wǎng)絡(luò)負(fù)載。
· 靈活所有權(quán)(Flexible Ownership)
將分類賬模型用于所有權(quán)會(huì)限制可用的所有者關(guān)系種類。例如,ERC-721為NFT定義了一個(gè)所有權(quán)模型,該模型假定只有Ethereum地址才能擁有NFT。然而,在某些用例中,資產(chǎn)本身?yè)碛衅渌Y產(chǎn)(比如CryptoKitty擁有一副漂亮的墨鏡)的想法非常有意思,這就需要?jiǎng)?chuàng)建新的規(guī)范(ERC-998)。
不可否認(rèn),ERC-998非常強(qiáng)大,但它也比ERC-721要復(fù)雜得多。要想正確地執(zhí)行該規(guī)范是非常困難的,而且實(shí)際上,要將其有效地應(yīng)用于現(xiàn)有的ERC-721資產(chǎn)是不可能實(shí)現(xiàn)的。
直接所有權(quán)模型能夠讓任何使用Resource Types進(jìn)行建模的資產(chǎn)安全地存儲(chǔ)在系統(tǒng)中的任何位置,包括其他資產(chǎn)“內(nèi)部”(如果適用的話)。
所有的安全性和價(jià)值保障都可以由運(yùn)行時(shí)系統(tǒng)進(jìn)行維護(hù)。在為開(kāi)發(fā)人員提供靈活性的同時(shí),又不會(huì)帶來(lái)不必要的復(fù)雜性。
· 基于能力的安全性(Capability-Based Security)
Resource Types為實(shí)現(xiàn)基于能力的安全性模型中的“功能(Capabilities)”概念提供了所需的一切保障。Capabilities是定義安全系統(tǒng)的強(qiáng)大機(jī)制,能夠讓遵循最小特權(quán)原則(Principle of Least Privilege)(安全系統(tǒng)中常見(jiàn)的最佳實(shí)踐)變得更加容易。
通常認(rèn)為,基于能力的安全性模型在提供了更強(qiáng)靈活性的同時(shí),也更容易進(jìn)行推理(這增強(qiáng)了安全性)。
· 消除可重入性Bugs(Eliminating Reentrancy Bugs)
Ethereum歷史上最著名的智能合約bug是由可重入性問(wèn)題引起的,Solidity開(kāi)發(fā)人員需要不斷提高警惕,防止引入易受可重入性攻擊的邏輯流。
Ethereum歷史上最著名的智能合約bug:
https://www.wired.com/2016/06/50-million-hack-just-showed-dao-human/
幸運(yùn)的是,定義在Resource對(duì)象上的方法不會(huì)成為任何可重入性bug的受害者。
這似乎是一個(gè)十分大膽的主張!然而,它僅僅是自然地遵循了Resources的定義方式:每個(gè)Resources都有一個(gè)單獨(dú)的所有者,并且只有其所有者可以調(diào)用Resources上的方法。如果一個(gè)Resources方法在“堆棧上”,那么我們就知道該對(duì)象的單個(gè)所有者引用已在使用中。我們從該方法內(nèi)部調(diào)用的任何代碼都不可能(盡管是間接地)獲得對(duì)該對(duì)象的第二個(gè)引用以進(jìn)行可重入方法調(diào)用。
當(dāng)然,直接使用全局共享狀態(tài)(繞過(guò)Resource對(duì)象的使用)仍然可能創(chuàng)建易受可重入性bug影響的代碼。
這就是慣用的Cadence style對(duì)所有共享狀態(tài)使用Resources的原因,精通Resources的智能合約作者無(wú)需再擔(dān)憂可重入性錯(cuò)誤問(wèn)題!
Flow的編程語(yǔ)言Cadence使用Resources
去年,在對(duì)更好的智能合約語(yǔ)言進(jìn)行了學(xué)術(shù)研究后,F(xiàn)low開(kāi)發(fā)團(tuán)隊(duì)調(diào)查了區(qū)塊鏈環(huán)境下Linear Types的使用。幾乎在同一時(shí)間,Libra的團(tuán)隊(duì)發(fā)布了其最初公告,其中包括MoveVM的技術(shù)細(xì)節(jié)。
學(xué)術(shù)研究:
http://www.cs.cmu.edu/~balzers/publications/digital_contracts_as_session_types.pdf
Resource Types的強(qiáng)大功能令我們震驚,它是Flow的智能合約編程語(yǔ)言Cadence的定義功能之一。Resources解鎖了比EVM或WASM更豐富的可組合性選項(xiàng),是數(shù)字資產(chǎn)的完美選擇(尤其是NFT!)
可組合性:
https://hackernoon.com/software-composability-in-crypto-a705700c3816
Cadence具有舒適的、符合人體工程學(xué)的語(yǔ)法,易于閱讀。它通過(guò)一個(gè)強(qiáng)大的靜態(tài)類型系統(tǒng)來(lái)最大程度地減少運(yùn)行時(shí)錯(cuò)誤,并且允許所有方法、接口和事務(wù)包含前置和后置條件,以強(qiáng)制執(zhí)行預(yù)期的行為。我們認(rèn)為,這會(huì)使語(yǔ)言變得更易于學(xué)習(xí)和審核,最終,會(huì)比現(xiàn)有的所有選擇都更加高效。
責(zé)任編輯;zl
評(píng)論
查看更多