什么是可验证随机函数（VRF）？

定义及核心机制

1. 可验证的随机函数是一种密码原语，它产生与特定输入和密钥相关的伪随机输出。

2. 对于给定的输入和私钥，输出是确定性的，但对于不知道私钥的任何人来说，输出都是统计随机的。

3. 除了每个输出之外，该函数还会生成一个加密证明，仅使用相应的公钥和输入即可公开验证该证明。

4. 该证明确认输出已正确计算，而无需泄露私钥或启用对未来输出的预测。

5. 与标准哈希函数不同，VRF 提供唯一性保证：假设加密硬度假设成立，则在同一密钥下，没有两个不同的输入会产生相同的输出。

区块链共识协议中的角色

1. VRF嵌入到Ouroboros Praos和Cardano的Shelley时代等共识机制中，以去中心化、抗偏见的方式选择区块生产者。

2. 验证者根据其权益、纪元号和前一个区块的哈希值计算 VRF 评估，以确定提议下一个区块的资格。

3. 结果输出和证明包含在块头中，允许节点在不信任提议者的情况下验证选择的公平性。

4. 这消除了集中的随机源，并防止参与者操纵输入以获得不公平优势的磨削攻击。

5. 在以太坊即将推出的 PBS（提议者-构建者分离）增强中，VRF 派生的随机性可能支持分布式提议者之间的公平插槽分配。

与第 2 层随机预言机集成

1. Arbitrum 和 Optimism 等 Rollup 协议依赖链上随机性来实现公平排序、争议解决时间和 NFT 铸造顺序。

2. 基于 VRF 的预言机（例如 Chainlink VRF）通过在链外生成输出并在链上发布证明进行验证来提供加密安全的随机性。

3. 每个请求都会使用块哈希和请求者的种子触发 VRF 评估，确保块最终确定之前的不可预测性。

4. 智能合约使用经过验证的输出来执行依赖于随机性的逻辑，包括抽奖、游戏结果和加权代币分配。

5. 无论输入复杂程度如何，证明大小都保持不变，即使在网络拥堵严重的情况下也能实现低gas验证。

安全性能和抗攻击能力

1. 唯一性保证对于任何输入和私钥，只存在一对有效的输出证明，防止参与共识时出现歧义。

2. 伪随机性保证对于缺乏私钥的对手来说，输出在计算上无法与统一的随机字符串区分开。

3. 可验证性允许任何观察者仅使用公钥、输入、输出和证明来确认正确性，无需可信设置或交互。

4. 抗冲突性可防止对手在同一密钥下找到映射到同一输出的两个不同输入，从而保持权益加权选择的公平性。

5. 抗密钥暴露意味着即使攻击者观察到许多输入输出证明三元组，他们也无法推导出私钥或预测未来的输出。

常见问题解答

Q1. VRF 与标准数字签名有何不同？数字签名证明消息的真实性和完整性； VRF 证明了伪随机输出的正确性及其对于给定输入和密钥的唯一性——签名不能保证输入之间的随机性或唯一性。

Q2。 VRF 输出可以在不同的链上重复使用吗？是的，只要使用相同的私钥和输入，但跨链重用需要在每条链上进行独立验证，因为公钥和验证逻辑必须单独部署。

Q3。为什么矿工不能操纵 VRF 输入来偏差结果？因为 VRF 输入通常包括最近的区块哈希值，这些哈希值只有在区块最终确定后才会被知晓；任何磨削输入的尝试都需要重写先前的区块，违反共识规则并产生高昂的成本。

Q4。 VRF证明生成过程是链上还是链下？证明生成通常由密钥持有者在链外执行，而证明验证始终使用 EVM 兼容环境支持的轻量级椭圆曲线配对操作在链上进行。