闪电 VS 雷电:瞭望塔模式(下):商业模式

投研 区块谜 471 浏览

商业模式

暸望塔可以选择不同的策略货币化其服务,这些策略都有一些优点和缺点:


瞭望塔商业模式可扩展性隐私性用户体验可行性
1利他型瞭望塔不确定不可行
2靠防止欺诈获得奖励不可行
3为每一笔状态更新收取一次性费用中等不可行
4月费或年费会员中等可行
5为每一笔状态更新定时收取手续费可行
6为带宽数量定期收取手续费可行
7根据一笔状态更新的存储时长收取一次性费用不确定可行

 


如果你倾向于诉诸权威,那么读到这里就好了,但是如果你想自己寻找真相并有可能挑战我的观点,那么继续读下去吧,因为现在开始我将解释每种模式的结果。

旁注:有一种常见的误解是“用户体验以及隐私性可以很容易的随着时间的推移而得到完善”,所以需要注意:上图提到的糟糕的用户体验以及隐私性并不是指仅在初始阶段而是指经过大量开发的成熟产品。糟糕的用户体验和隐私性的根本原因不在于实现,而是模型本身。好的用户体验需要能够与 Visa,Paypal,微信,支付宝,PayTM 等集中式电子支付方式竞争,而高隐私需要能够提供与现金相当的隐私性。

1. 利他主义暸望塔(没有任何报酬)

闪电网络实验室的首席技术官 Loalu “roasbeef” Osuntokun 说,当前目标是“建立一个没有任何报酬的基础系统”。这是最简单的方法,但是由于暸望塔(特别是隐私导向型暸望塔)高昂的运营成本,这种方法将在全球范围内失败。


可追责性

目前尚不清楚如何在没有经济激励的情况下解决可追责问题,因为,由于暸望塔在经济上并不依附于其信誉,即使是基于信誉的系统也无法正常工作。

可扩展性

你可以争辩说,十亿次不同的状态更新也不会占用太多的空间,这是事实,但是隐私导向型暸望塔的数据库将逐渐增长,其对应的带宽需求也将增加,因此利他主义暸望塔最终将无法承担系统产生的交易量。

此外,这种模式还容易受到滥发交易攻击。

隐私

恶意暸望塔可能会提供免费服务,随后将其收集到的数据高价卖给别人,这将带来极大的隐私风险。当然,开发人员会说因为这些数据都是加密的,所以这种行为没有影响,但这明显是言过其实,因为对手将从中获得大量信息:

  • 每笔交易的时间

  • 交易频率和交易总额

也可能获得:

  • 与特定通道相关的所有交易 (RDN)

  • 同一通道或帐户进行的所有交易 (LN 的 eltoo & RDN)

  • IP地址(大多数外行人不会使用匿名器,除非匿名器内置在客户端中,并且是默认设置;此外,别忘了在很多受审查的地区,VPNS 甚至 Tor bridges 一般都是无法正常工作的,尤其是过去几年,由于独裁政府的崛起,审查技术在发展中国家得到了大规模的扩张。)

  • 通过流量相关性估算交易目的地址

某些实体能够对 Tor 网络进行流量分析,因此他们肯定会尝试对暸望塔数据进行类似的分析,试图对特定用户去匿名化(想想如今有多少钱花在金融监管上)。


用户体验

由于用户不需要执行任何额外操作,因此总体而言用户体验挺好的。

结论:

  • 可扩展性:困难

  • 隐私性:不确定

  • 用户体验:好

  • 可行性:不可行

 

2. 阻止欺诈时获得奖励

每当暸望塔代表用户成功广播处罚交易时,用户都给暸望塔一定的报酬。


可追责性

非常重要的是,暸望塔受到经济激励来广播处罚交易(在 RDN 的模式中是停止恶意结算)。然而,除非有一个用户体验极差的、非常复杂的信誉系统或者是某种类型的保证金系统,暸望塔即使不停止欺诈尝试,也不会有任何损失。

可扩展性

不幸的是,这种商业模式存在根本性的缺陷,因为为了保证暸望塔可以存在,需要足够频繁地发生欺诈交易,从而支撑暸望塔的运营成本。

就连闪电网络白皮书的共同作者 Tadge Dryja 也承认这不是一个可靠的可扩展系统。

本意是希望通道永远不会在无效状态下关闭,你却要为一些本不应该发生的事情而奖励他们(暸望塔),这种模式是不行的。

此外,如果用户意外关闭了他们处于无效状态的通道,不仅大型中心,就连暸望塔也可以获得经济回报,因为暸望塔可以通过广播处罚交易获得回报。这将激励大量链下实体开发可以关闭用户处于无效状态的通道的恶意软件,以便 “合法地” 盗取用户资产。

这种模式同样也很容易受垃圾交易的攻击,因为用户不是直接支付报酬给暸望塔服务的。

所以说,这种方法将导致严重的 COI(利益冲突)。一般而言,在网络安全的情况下,由于用户数量会增加,暸望塔将获益。但另一方面,暸望塔需要一定数量的用户定期由于 “无效状态关闭” 而利益受损,因为暸望塔需要广播足够多的处罚交易以支撑其运营成本。

隐私性

这种方式可以实现高水平的隐私性

用户体验

用户不需要进行任何额外操作,但是提高可追责性的信誉系统会降低用户体验。

结论:

可扩展性:低

隐私性:高

用户体验:较好

可行性:不可行

 

3. 为每个新的状态更新收取一次性费用

这是许多设计当前采用的方法——在发给暸望塔的每个包中包含一笔小额支付,或者在会话启动期间支付,会话启动时会保留一些“投币口”,随后用加密的blob(状态更新)填充这些“投币口”。


这种方法保证暸望塔即使在没有任何欺诈行为或者“无效状态关闭”的意外下也能承担运营成本。根据用户的经济活动,暸望塔还将能从用户那获得不同的奖励。

可追责性

这里的关键问题是,用户无法保证暸望塔在接下来几天/几个月/几年内不退出业务,因此用户必须相信暸望塔会一直存储他们的状态更新并监听他们的开放通道。

由于没有直接的经济激励来鼓励广播处罚交易,因此很可能存在一个用户体验不佳的复杂的信誉系统或者保证金机制,但是也有缺点:它无法阻止大规模退出欺诈。

可扩展性

扩展性问题主要在于隐私导向型暸望塔每次状态更新只能获得一次性补偿的同时需要永久存储数据(或者,在一些实现中,直到通道被关闭),因此即使新交易的资金流入保持在同一水准甚至是降低时,运营成本也将不断增加。这导致我们的系统只有在指数增长期间才能保持稳定,在活动减少期间,大多数暸望塔将被淘汰出局。

想象一下,一个隐私导向型业务,不管文件存储多长时间,针对每个上传文件都只向用户收取一次费用。这项业务的可行性如何呢?

有人可能会说,业务导向型暸望塔只需要存储最新的状态更新,因此他们不必永久存储每个状态更新。确实是这样,但这种方法的隐私性较低,因为暸望塔能够关联同一通道产生的所有状态更新;同时这种方法的用户体验不佳,由于一些状态更新只需要存储几分钟,而其他状态更新必须存储几个月,因此用户必须决定他们想要附加在每个状态更新上的的费用。目前还不清楚如何在保证安全的同时防止高额重叠费用。如果我们不关心隐私或用户体验,那么将有更多可行的商业模式(见下文),因此我认为,即使事业务导向型暸望塔,也没有理由为每个新的状态更新支付一次性费用。

隐私性

这种方法的优点是,如果与隐私导向型暸望塔一起实现,它将具有高度隐私性。

用户体验

用户不需要执行任何额外操作,但是他们需要为每笔交易支付额外费用,这将会降低用户体验;而提高可追责性的声誉系统以及保证金机制会进一步降低用户体验。

结论:

  • 可扩展性:困难

  • 隐私性:高

  • 用户体验:中等

  • 可行性:不可行

 

4. 月费或者年费会员

瞭望塔可以按月或者年收取服务费,这样尽管在没有任何作弊尝试或者意外的“无效状态关闭”事件时,也能确保他们的收入可以负担运营开销。很不幸的是,这种方法有几个问题。


可追责性

瞭望塔惩罚作弊者不会立即获得奖励,因此在这个设计中的可追责性问题非常重要。设计中很有可能会涉及到保证金机制或者一个信誉系统,这将会降低用户体验,并容易受到大规模退出(mass-exit)情况的影响。

可扩展性

尽管这个业务模型比上面列出的那些更可行,依旧存在许多的问题。

  • 运营开销将随用户的活动而变化很大。目前还不清楚月费要收多少。一些非常活跃的用户或者业务执行的交易可能比其他一些活跃度较低的用户多 1000 倍以上。当然,这个问题可以通过引入不同的月费来缓解,根据用户每个月执行的交易数量,或者所有更新和存储的状态数量,但是那样将会给系统增加更多的复杂性,从而进一步地降低用户体验。

  • 发展中国家无法支付同样的价格。即使是每个月几美元这样相对较小的费用,也可能会让全球性的使用泡汤,因为大多数人生活在发展中国家,那里的平均收入远低于发达国家。

  • 外行人只信任一个瞭望塔

用户需要从不同的瞭望塔购买多种按月订阅,从而缓和信任一个第三方实体带来的风险。不幸的是,使用这种方法,用户必须对每个在使用中的附加瞭望塔支付更多的费用,因此大多数外行人将会跳过这一步,只使用一个瞭望塔,这样就降低了整个网络的安全性。


隐私性

这种业务模型意味着瞭望塔将能够把同一个账户执行的所有状态更新都联系在一起,这样类似于传统的银行系统,为大规模的金融监管打开了一扇门。

用户体验

首先,用户必须找到一个瞭望塔,预先支付一周、一个月或者一年的订阅费,之后再定期付款,这相对于其他不需要任何瞭望塔的中心化电子支付方案已经是一个很差的用户体验了。

其次,如果用户忘记支付月/年费怎么办呢?好的,假设系统有自动支付选项,那么如果用户因为经济困难付不起费用怎么办呢?难道让所有的状态更新经过一段时间都被删除,瞭望塔也停止保护他免受欺诈攻击吗?这样会让用户面临损失资金的风险,将会更进一步地恶化他的处境。

结论:

  • 可扩展性:适中

  • 隐私性:低

  • 用户体验:差

  • 可用性:可用

 

5. 对每个存储的状态更新定期收取费用

对于隐私导向型的瞭望塔,最可行的业务模型包含一个基于订阅的系统,每个用户为存储在一个瞭望塔中的状态更新数量定期支付费用。


可追责性

如果对于广播处罚交易没有直接的经济激励,那么设计中将很有可能会有一个低用户体验的保证金系统,或者复杂的信誉系统,这种系统不能防止退出诈骗(exit-scam)的情况。

可扩展性

这种方法易于扩展,因为即使在没有任何违反尝试的情况下,业务导向型和隐私导向型的瞭望塔也会有足够的资金去负担其运营开销。

隐私性

不幸的是,这种模型意味着使用某种基于订阅的系统,因为用户必须对存储的状态更新数量支付月/年费,因此一个瞭望塔将能够关联某些账户的所有状态更新。这种业务模型将允许大规模的金融监管,破坏了隐私导向型瞭望塔设计的全部意图。

用户体验

这个模型的用户体验也很差,因为用户必须支付定期费用。当然,实现自动支付是很容易的,但是如果用户忘记在钱包里留有余额或者有经济困难怎么办呢?延迟支付定期费用会让用户面临丢失资金的风险。

另外,如果使用隐私导向型瞭望塔,用户将会受到经济激励去关闭 “拥挤的” 通道,发送请求去删除旧的状态更新,并打开新的通道,这又是比较差的用户体验。这种行为将会增加链上的压力,导致更高的链上费用。

结论:

  • 可扩展性:容易

  • 隐私性:低

  • 用户体验:差

  • 可用性:可用

 

6. 对带宽数量收取定期费用

这种方法适用于能链接同一个地址产生的所有状态更新的业务导向型瞭望塔,因此这种瞭望塔只需要存储最近的状态更新,这样数据存储要求就不是瓶颈。


瞭望塔可以对每天/月的交易数量收取费用,从而负担它们所有的运营开销,这是完全可行的业务模型,但是这种模型和前面所述模型一样,饱受隐私和追责性问题的困扰。

结论:

  • 可扩展性:容易

  • 隐私性:低

  • 用户体验:适中

  • 可行性:可行

 

7. 为状态更新存储一定时长而一次性收取相应费用

另一种可行的模型意味着,用户可以在每个发送给瞭望塔的状态更新中附加一定的费用,要求瞭望塔在一段时间内保护这个状态。Celer Network 正在使用这种方法。


可追责性

如果对于广播处罚交易没有直接的经济激励,那么设计中将很有可能会有一个低用户体验的保证金系统,或者复杂的信誉系统,这种系统不能防止退出诈骗(exit-scam)的情况。

可扩展性

这种方法易于扩展,因为在没有任何违反尝试的情况下,瞭望塔也会有足够的资金去负担它们的运营开销。

隐私性

这种模型的优势在于,如果和隐私导向型瞭望塔结合起来,就可以实现相对较高水平的隐私性。然而,当前的雷电网络和 Celer 对于瞭望塔的设计都遵循了业务导向型的方法,闪电网络的 eltoo 为了降低存储容量的要求,使用经济激励让闪电网络中的瞭望塔把相同用户的状态更新关联在一起。

即使用户不做任何交易,也会暴露他的在线时间行程,这会有一些隐私性上的问题,因为支付保护期过期后,他仍然必须重新发送先前的状态更新。

用户体验

第一点,对每个交易支付额外的费用将会降低用户体验。当然,可能会有按月支付,但是与中心化的零费用电子支付方案相比,这依然会降低用户体验,并且会显著地降低隐私性,因为一个瞭望塔能够联系某个账户的所有状态更新。

第二点,外行人对于一门技术和博弈论没有深刻理解的情况下,必须有意识地决定他的状态更新应该被保护多长时间,以及为了他的链下资金安全应该支付多少钱。这个问题可以通过默认设置解决,但是这样可能会降低网络的整体安全性,因为对手方能知道最通用费用和保护时间。

第三点,因为状态更新只会被存储有限的时间,用户必须不断地向一个瞭望塔重新发送先前的状态更新。当然,这可以被自动执行,但是用户必须在线才能重新发送状态更新,因此目前并不清楚自动重发功能要如何运行。

  • 如果在前一个保护期过期前的几个小时/分钟重发状态更新,那么可能会造成安全风险,因为用户可能在下一次同步/重发时不在线,那么除非他再次上线并发送最新状态,否则他的资金就将一直面临风险。

  • 如果在前一个保护期过期前的几天重发状态更新,那么这意味着(1)也许会有很多重叠的支付,将会增加用户支付的费用(2)平均保护时间将会很长,这再一次引发了对运营开销和费用的担忧。

目前有一些变通方法,比如:

  • 用户可以仅仅延长现有保护周期的时间,但是这个实现目前尚不清晰。

  • 用户可以在智能合约中存一些钱,即使用户不在线,智能合约也能够自动延长他的保护周期,但是这样的解决方案存在很多关于实现、安全性和用户体验的隐忧。

  • 另外,为了解决重叠费用的问题,应该设置一个交换新旧状态更新的函数。

第四点,一个用户在下线很长时间前,要么必须设置很长的保护周期并完成支付,要么必须关闭他的所有链下通道(island,Everest,Vipassana 等等)我们应该铭记在心,如果用户突然下线很长时间(进监狱了,昏迷不醒了等等情况),那么他的资金将会面临风险。


结论:

  • 可扩展性:容易

  • 隐私性:不确定

  • 用户体验:差

  • 可用性:可用

总结

对于瞭望塔问题,假定存在一个简单的解决方案是不现实的,因为大多数方法都有严重的缺点,所以目前有很多担忧,要么瞭望塔因为差的用户体验和低安全性不能扩展,要么最终会成为大规模监管的工具。

另一方面,很多团队,包括我自己,正在致力于解决这个问题,因此交流我们的经验并且持续社区主导的研究是非常重要的。这个系列的最后一篇文章,我们将会结合多种解决方案,考虑瞭望塔的完美设计。

免责声明:我并不是一个权威的金融顾问,这篇文章也并非理财建议。本文提供的信息仅供教育用途,且仅代表我个人观点,并非事实。加密货币非常不稳定,波动非常大。对于因使用或信赖本文所提的任何内容、商品、服务或公司而造成或生成造成任何损害或损失的情况,我本人不直接或间接负责。如需投资,请向专业人士咨询。

 

原文链接:

https://medium.com/crypto-punks/lightning-vs-raiden-watchtowers-accountability-business-models-celer-pisa-833384f01ad0

作者: Sam Aiken

翻译&校对: storm pang, Aisling & 阿剑


声明:本文为文章作者或转发者向区势传媒的投稿,观点绝不代表区势传媒立场,亦不构成任何投资意见或建议。

评论(0)

最新评论