本文翻译自:https://learneos.dev/Learn_EOS_Randomness_preview.pdf,有删减。
1. 引言
在公开的区块链中得到真正意义上的随机数是很难的。在大多数编程语言中,调用一个random()函数即可返回随机数。但在开发EOS或者以太坊的编程语言中并没有这种函数,由于若干节点要通过执行智能合约以验证交易的有效性,为达成一致,所有执行过程必须是确定的,这与随机性相违背。
有许多方法用于在智能合约中产生随机数,大致可以分为三类:
(1) 从其他链上数据得到;
(2) 从非互信双方交互中获得可证明公平的随机数;
(3) 通过“预言机”抓取链下数据获得。
我们将分析各类方法的优缺点和使用场景。
2. 从其他链上数据产生随机数
这是最简单生成随机数的方法,只需要利用已有区块链的数据,这是的智能合约可以直接获取到数据。可惜的是,这也是最不安全、最容易被预测的随机数生成方法,原因也在于随机数可以通过公开获取的链上数据确定。你可以调用多个数据源作为种子数,越难预测越好。例如:
(1)当前区块时间;
(2)tapos_block_prefix / tapos_block_num;
(3)其他智能合约数据,如当前RAM价格。
这是最简单的生成随机数方法,一般用在非关键领域。千万别用在需要真正随机数的地方,如掷色子之类的菠菜游戏,扯上了币的小心被黑。
3. 从非互信双方交互中获得可证明公平的随机数
如果你需要在关键领域中用到真正的随机数,就需要使用更复杂的算法。链上数据很容易被预测,我们需要依靠链下数据通过一个动作注入智能合约。本节中我们探讨从双方(或者多方)独立提供随机数,产生共享随机数。见下图:
Alice与Bob双方各提供一个随机数给智能合约,并计算r = x ^ y(^为异或运算)。这个方法最大的好处在于即使Alice或者Bob中一方没有提供随机数,计算结果r依然是随机的。也就是说即使涉及各方之间互不信任,依然可以得到随机数,只要有一方是诚实的即可。在区块链上的掷色子游戏中,用户只要自己产生的是随机数,就可以相信随机数是公平的,没有被机构操纵。对于机构来说也是一样。
保证公平的原因在于我们本质上是在计算cryptographic one-time pad,可以从数学上证明。
对于这个简单的算法来说,还是有个破绽。理想状态下,Alice与Bob是同时提交随机数给智能合约的,但现实中是不可能的。这就可能让后提交者可以控制随机数结果。
如果Alice先提交给菠菜游戏智能合约一个随机数x,Bob可以设定一个数r',并计算出一个数字y=r'*x提交给智能合约。智能合约将计算出:
r = x ^ y = x ^ ( r' ^ x)= (x ^ x) ^ r' = 0 ^ r' =r'
我们需要隐藏起先输入合约的值,让Bob无法作弊。为了实现这个,我们又要引入另外一个加密学概念-承诺方法。Alice计算一个随机数,并加密该数,把加密的随机数传给智能合约。Bob提交随机数给智能合约后,Alice再公布未加密的随机数给智能合约,最后计算出一个共享随机数。除了隐藏的特性,另外一个承诺方法的特点是绑定性。绑定性意思是说Alice只能公布他承诺的随机数,而不能是其他数。这可以避免Alice看到Bob传的随机数而作弊。
其实承诺方法很容易实现,只需要用一下哈希算法。Alice为了承诺将来会公开x值,计算c=H(x),H为哈希算法。为了验证Alice传来的值是否为x,只需要再计算一下H(x)。见下图:
这个算法已经比较安全了。随机数无法被预测,并且可以保证各方公平。在各种菠菜游戏和应用中被广泛采用。缺点在于需要至少两方三轮的交互才能产生随机数。当然其中一方可能是服务器,一直在扫描动作,并自动回应。这也是很多菠菜程序使用的方式。但这也以牺牲去中心化为代价。DAPP需要依靠中心化的服务器来运行。一旦服务器宕机怎么办?一旦服务器不公布赌局怎么办?如果发生意外或者被人为操纵结果怎么办?一个公平的去中心化的菠菜智能合约需要考虑这些,否则与不使用区块链有什么区别。
4. 通过“预言机”抓取链下数据获得
另外一种有趣的方法是通过“预言机”抓取随机数。“预言机”是一种将外部数据引入区块链的方法。我们也可以通过请求外部可信的网站,如wolfram alpha或者random.org,以获得随机数。优点是不需要与多方交互。缺点是运行“预言机”的公司需要收取小额手续费,而且需要等待一段响应时间。最大的缺点在于,你必须相信random.org和“预言机”提供的数据。
下一篇文章介绍了用本文第二类随机数生成方法制作的菠菜游戏。
