【摘要】 Lava 是一个基于容量证明(Proof-of-Capacity, PoC)构建的数字加密基础设施、以及基于全球广义存储空间的“信任之根(Root of Trust)”与
Lava 是一个基于容量证明(Proof-of-Capacity, PoC)构建的数字加密基础设施、以及基于全球广义存储空间的“信任之根(Root of Trust)”与“顶层索引(Top-level Indexing)”。PoC 是一个高安全性、低能耗且公平开放的共识机制,有益于建立强大的链上信任基础,凝结更大范围的共识与价值。
Lava 使用了经改进的 PoC 机制(Lava-Firestone)极大程度地降低了维护去中心化网络的硬件门槛,使得任何人都可以轻松、低成本地利用闲置存储设备参与区块锻造活动。
Lava 的生态设计考虑了对全球存储空间的共识凝结和信任价值反哺两大作用,两者形成完整的闭环。共识凝结的概念来源于主链所采用的 PoC 共识机制,它需要一个庞大、分散的存储设备网络贡献“容量算力”以制造主链上的“信任之根”;
信任价值反哺是以 Lava 主链这一去中心化信任设施为基础,通过已被验证成熟的跨链扩展、虚拟染色、分布式内容寻址网络嵌合等技术方案,作为一个通用的、索引与调度全球存储空间资源的开放协议核心被第三方应用及服务所使用。
引入一种基于容量证明(PoC)的共识机制
A)基于容量证明的简要原理
PoC 是一种基于容量证明的共识机制,锻造人通过提供更大的存储空间容量来提高锻造区块的成功率。
PoC 锻造人依赖于静态存储的特殊数据参与锻造区块的竞争。这些特殊数据是按照特定哈希算法得到的一系列有序计算结果的阵列,由锻造人预先通过计算生成、并通过密码学手段绑定在锻造人地址下。由此方式处理完成的数据被称为 Plot 文件。
锻造过程中,共识机制通过待产出区块的数据,随机性指定 Plot 文件数据阵列中的特定位置。参与锻造的竞争者检索自身 Plot 文件中的对应数据,生成一个 Deadline;Deadline 表示节点可广播新区块前等待时间,因此产生最小 Deadline 意味着锻造成功。
考虑到 Plot 文件可以一次生成、长期保存并重复使用,而锻造过程所需要的工作仅限于网络广播、检索以及简单的验证性计算,因此 PoC 机制对高性能计算资源以及电力能源的消耗可以被降到最低限度。在同等安全条件下,PoC 运行所需的电力消耗仅为 PoW 机制的数百分之一数量级。
B)生成 Plot 文件
Plot 文件是一个由一系列哈希运算结果排列组合而成的数据阵列。在 Plot 文件中,每一个基本数据阵列单元被称为元胞(Nonce Cell)。每个 Cell 的数据容量是固定 256KB。锻造人的存储空间越大,就能存放越多的 Cell,增加成功锻造出块的几率。
Cell 的生成过程涉及 256bit 的 SHABAL256 哈希函数。SHABAL256 是一种计算十分缓慢的哈希算法,因此天然适合 PoC 算法的要求。
生成 Cell 的起点是用户地址。将地址(8Byte)与一个随机数种子(Nonce Number,8Byte)拼接,构成一个初始种子(Initial Seed,16Byte)。
对初始种子进行一次 SHABAL256 计算,得到第一个哈希结果#8191;
将#8191 添加在初始种子前面,形成一个新的种子(#8191+Initial Seed),进行 SHABAL256计算后得到第二个哈希结果#8190;
将#8190 添加在上一个种子前面,形成一个新的种子(#8190+#8191+Initial Seed),进行SHABAL256 计算后得到第三个哈希结果#8189;
因此类推,每一次都将上一个哈希结果添加在最新的种子前,直到生成最后一个种子(#0+#1+……+#8190+#8191+Initial Seed),进行 SHABAL256 计算后得到最终哈希(Final Hash)。
每一个哈希结果长度都为 32Byte;在进行哈希计算时,一旦种子长度超过 4096Byte,只取最后 4096Byte 长度。
然后,将刚才计算出的 8192 个哈希结果(#0、#1……#8191)分别于 Final Hash 进行 XOR操作,保存得到的 8192 个结果(仍然编入#0、#1……#8191)。
将 8192 个哈希结果按相邻两个为一组排列,每一组称为一个 Scoop,得到 4096 个 Scoop,填入 Cell 中。由此,Cell 构造完成。
在生成 Cell 的过程中,计算机必须利用缓存记录所有的中间结果,才能获取最终的哈希结果。由于每个 Cell 包含 8192 个 SHABAL256 哈希结果,每个哈希结果长度 32Byte,因此每个 Cell将固定占用 256KB 空间。
反复进行生成 Cell 的操作,再将所有 Cell 进行优化排列,填满 Plot 文件。至此,Plot 文件准备完成。
C)区块锻造与验证
锻造者准备 Plot 文件后,即可开始参与区块锻造工作。
锻造时,Miner 程序接收被广播的交易并打包,生成待产出的区块。Miner 程序会从该区块中获取当前难度、块高(Height)以及 Generation Signature,其中对 GenSig+块高做 SHABAL256运算,得到 GenHash;以 GenHash 对 4096 取模,得到此次锻造的 Scoop Number。
Miner 程序检索并取出 Plot 文件中所有对应 Scoop Number 的 Scoop 数据,分别后附 GenSig并做 SHABAL256 运算,得到 Target;将 Target 除以一个代表难度的系统参数 BaseTarget,得到 Deadline(8Byte)。
Deadline 是一个强制性等待时间,代表自上个区块时间戳后,新的区块时间戳需要等待的延时。延时没有被满足之前,生成的区块是不合法的,不会被网络所接受。
Miner 程序如果接收到网络广播的新区块,会对该区块的提供的数据进行校验。这些数据包括被选中 Cell 的初始种子与 Deadline。任何网络节点的 Miner 程序都可以在短时间内完成验证。
Lava-Firestone 共识
A)共识的概述
1)共识的需要:
共识(Consensus)是为解决由异步通讯构建的网络集群如何达成一致性状态问题而设计的中间过程。共识过程需要假定网络中存在一定比例的诚实个体,在作弊者(或攻击者)占多数的网络中,共识将难以达成。一般而言,共识过程或通过物质性奖励、或通过物质性惩罚,使得网络中诚实个体保持行为规范。
在点对点、去中心化的网络中,达成共识的结构基础越分散,共识的效率低,但是可靠性高;达成共识的结构基础越集中,共识的效率高,但可靠性低,系统趋于中心化。可靠性也被一般性地诠释为“去中心化的程度”,因此优秀的共识机制应当平衡效率和可靠性,并且具备开放、公平、对硬件和环境友好的特性。
2)共识的实践:
PBFT 是基于拜占庭容错的共识机制。PBFT 可以在保持其安全性的条件下,实现(N-1)/3 的容错性。但是,PBFT 要求的时间复杂度为 O(N^2),因此不具备扩展性。此外,PBFT 一定程度上是一个 permissioned 网络,同样损害其开放性。
工作量证明(PoW)是基于竞争、基于物质性奖励的共识机制。Adam Back 于 90 年代提出的HashCash 概念,即利用工作量证明筛选系统中的不诚实者,被广泛应用于过滤垃圾邮件。越高难度的工作量证明可以最大限度地排除作弊者,是一种可以取得相对理想共识效果的方案。但是,工作量证明在实际应用中被证明存在两个重要缺陷:a)维持共识效果的能耗巨大;b)算力 ASIC 化不可逆问题。
权益证明(PoS)通过给予持有代币者权重,减少或避免了争夺记账权的算力竞争强度。相比于工作量证明的可靠性来自于物质性奖励的诱惑,权益证明则通过人的损失厌恶属性来保持共识效果。但是,权益证明缺乏持续的开放性,权益的初始分配存在排他性。
B)PoC 解决的问题
容量证明(PoC)为去中心化系统提供了一种优越的共识机制,同时具备强健、开放、清洁的特征。
1)PoC 的强健性:
PoC 共识要求锻造人向网络证明其占有的存储介质容量,通过区块奖励激励锻造人积极参与区块锻造竞争,维护去中心化网络的安全与可信。PoC 共识的实现过程决定了:
· PoC 是一种竞争性共识;
· PoC 是一种随机性共识;
· PoC 锻造人需要付出工作(或代价),且其工作(或代价)可以被第三方以较低的成本验证。
以上特性保证了 PoC 锻造机制是一种极为强健的共识。强健性(Robustness),是用以评价控制系统对系统特征或外界参数的不敏感性,即在来自系统内外部的、尤其是不可控因素的干扰下,仍能保持稳定有效运行的能力。
PoC 锻造人需要在锻造过程中持续占用其所拥有或可控制的存储介质,并提前准备 Plot 文件以备锻造过程使用。锻造人无法在不准备 Plot 文件的情况下,通过实时的高性能计算,制造可以在锻造竞争中胜出的 Deadline 数据。这是由于,Deadline 数据即被当前区块的信息所决定,同时也被Nonce 数据所决定;Nonce 数据强制要求锻造人通过一定顺序且对存储空间敏感的算法所决定。因此,PoC 锻造过程在微观层面是随机的;通俗地说,此类作弊成功的可能性低如恰好发生哈希碰撞的几率。
此外,PoC 锻造人需要随待产出区块提交制造 Deadline 的必要原始数据,则制造 Deadline 的完整过程可被第三方验证。任何人在任何时刻,都可以回溯验证区块链历史状态中锻造活动的合法性,进一步保证了 PoC 的可信程度和不可篡改性。
最后,高度竞争的锻造过程则导致作弊成本被极大地提高,以至于参与者没有动力尝试作弊。如果仅以竞争性角度评价,PoC 共识与 PoW 共识是高度类似的;PoW 共识是典型的通过工作量竞争筛除作弊者的共识机制。此类竞争性共识的优势在于,共识的建立依赖短期内不可复制的资源,因此信任存在一定的不可逆成本。
2)PoC 的开放性:
PoC 是具有优异开放性(Openness)的共识机制。开放性要求:
· 共识对参与者提出尽量低的参与门槛;
· 参与门槛的标准是稳定的、或可稳定预期的;
· 潜在参与者可随时加入共识、或随时退出共识;
· 共识具有可无限拓展锻造算力的属性;
PoC 则可以满足以上任意一点。
PoC 要求参与者提供存储介质并接入互联网即可参与锻造活动,这种共识机制的参与者总是几乎可以得到等比例于其存储空间(我们也可称之为“算力”)的回报,其数值可以通过预估全网锻造算力被具体量化,不存在非线性回报问题。
其次,PoC 参与者可以任意加入或退出锻造过程,不会受到任何约束。考虑到存在准备 Plot 文件的过程,全新加入网络的大额锻造算力无法在极短时间内完成算力切入并导致算力突变;但是,这一机制仅仅平滑了算力变动,没有实质上造成算力进入或退出的阻碍。并且,PoC 无论网络现有算力规模为何,都能够随时随地、不设上限地容纳新加入的算力。
PoW 虽然也具有上述特征,但是其对高性能计算硬件的要求导致了硬件 ASIC 化不可逆问题。这是因为,哈希算力对计算硬件的架构是敏感的,例如:CPU 架构效率低于 GPU 架构、GPU 架构效率低于 FPGA 定制化电路、FPGA 定制化电路效率低于大规模集成化 ASIC 设备,这一点是难以避免的。因此我们认为由于 PoW 对硬件高度敏感的特征,会导致这种共识存在参与者专业化、集中化且不可逆的趋势。这一趋势有损共识的开放性。
进一步地,我们必须意识到:
· 开放性是公平性的重要基础;
· 开放性是维持去中心化程度的基础;
因此,PoC 很好地满足了共识协议的开放性要求,有益于去中心化系统的形成和长期存续。
3)PoC 的清洁性:
PoC 的清洁性,主要针对 PoW 来说。前文提到,PoC 与 PoW 同属于竞争性共识,因此在清洁性问题上有可比性;而 PoS、DPoS、PBFT 等作为非竞争性共识,在去中心化程度与系统开放性等层面存在逻辑瑕疵,因此在该问题上不具有可比性。
通俗地说,如果 PoW 被定位为“热”锻造,那么 PoC 则是“冷”锻造,这一过程相比之下几乎是完全静态的。
原理在于,PoC 锻造过程要求锻造人事先准备 Plot 文件,并允许长期反复使用。在锻造过程中,锻造人无需重复计算并生成 Plot 文件,只需进行简单的搜寻、验证性计算即可。因此,PoC 锻造过程对电能的需求被维持在一个最低的限度,即维持存储设备正常工作的量级上。
前文提到,PoW 可无限拓展锻造算力的属性;但从能源消耗及经济角度评价,这一属性事实上是不成立的。电能是有限且有社会意义资源,产生电能的底层资源不一定是可再生的。这一事实将PoW 共识由一个虚拟领域问题转换为社会问题,其扩张的持续性受到质疑。PoC 的“静态锻造”特征使得我们几乎无需关心能源消耗的问题。
C)有意义存储的实现层次
1)对“无意义存储”的担忧:
人们普遍担忧去中心化数字货币基于 PoW 的浪费大量的计算资源和电力;而 PoC 并非也全无此问题,既然 PoC 要求锻造人提供存储介质作为不可或的缺锻造资料,就会涉及将大量哈希值阵列占据这些存储介质的行为。
那么,这种行为是否是有意义的?我们试图从不同层次说明,Lava 对有意义存储、以及去中心化存储生态的理解,以及打算如何解决此问题的论证。
2)最大化空间资源利用导向:
竞争性挖矿(PoW 以及 PoC)都利用了短期内不可复制资源(计算单元、存储单元的物理设备)外加时间(或空间)的累积来换取锻造权利。这一资源的占用客观形成了去中心化信任的基础,而区块链被期待用于实现协作模式变革与商业模式变革,必然高度依赖于去信任化的基础设施。因而,PoW 投入的算力设备、PoC 投入的存储空间,都如同制造公路所使用的大量沥青,并非是一种完全意义上的浪费;当然,PoC 对电力资源的节省仍然将产生巨大的社会价值。
Lava 倡导的 PoC 共识在物质激励层面鼓励了对剩余存储空间的利用,是一种最大化资源利用的导向。存储空间是客观存在的资源,这种资源的空置也是具有普遍性的。空置导致设备利用率降低,带来社会资源层面的浪费。
中本聪在设计比特币之初所希望实现的“One CPU One Vote”,正是出于“利用闲置算力维护点对点电子现金系统”的美好初衷,然而因 PoW 自身缺陷导致 ASIC化不可逆,带来了今天 PoW 高能耗、高硬件门槛的现状。因此,PoC 将比 PoW 更进一步,更充分和彻底地实现了中本聪最初提及的愿景。
3)Lava 作为去中心化存储的基础设施:
我们认为,以上提及的论点仅仅局限于对共识过程消耗必要资源的理论解释,并不能真正表达Lava 的愿景。“有意义”存储必须有助于产生实际社会价值,无论其实现方式是否是以去中心化形式体现。Lava 计划逐步实现:
· 通过 PoC 机制凝结全球存储空间共识,成为去中心化存储生态的的信任之根(Root ofTrust);
· 将积累的信任价值反哺于基于存储空间的应用与服务,尤其是去中心化存储应用与服务的信任基础设施;
· 作为信任基础设施,承担全球存储空间的顶层索引(Lava as Top-level Indexing 协议架构)职能;
· 将去中心化存储应用与服务的生态嵌入(Lava Layer2 Embedment 协议架构)到 Lava 主链,并在通信技术、资产流转与经济激励三个方面实现跨链嵌入;
Lava 这一愿景建立于一系列底层技术、底层生态的发展成熟,包括但不限于:
· 基于双向锚定(2-way peg)的跨链资产交易技术;
· 基于脚本的跨链原子交换技术;
· 链下拓展方案、支付通道以及状态通道技术;
· 基于内容寻址的分布式存储网络;
· 分布式存储网络 DHT 机制及其变种;
· 文件存储与检索的可信证明机制,包括 Proof-of-Retrieval 以及 Proof-of-Spacetime;
· Web 规模的无服务计算架构,包括 Lambda、Fargate;
例如,Lava 主链可通过跨链方案,将不限地域、不限数量的基于内容寻址分布式存储网络进行Layer2 嵌入,通过主链的“空间算力”提供去信任化的基础环境,以实现对分布式存储网络资源的顶层索引、资源调度以及相应交易行为的撮合和记录。如此衍生,基于 Lava as Top-level Indexing、Lava Layer2 Embedment 协议架构,可支持诸如以下应用场景:
· 闲置存储资源交易的记录、调度和资产管理;
· 基于内容寻址的分布式网络的去中心化 DNS 系统;
· 可信去中心化数据存证;
· 可信计算环境;
· 基于中心化服务的分布式存储任务调度结算;
鉴于本文的撰写仅以介绍 Lava 主链、基于 PoC 的 Lava-Firestone 共识机制为主旨,对上文提及技术背景以及应用场景不做更详细的描述。如有兴趣,请关注该项目开发进度以及 Lava 基金会作进一步了解。
D)Lava-Firestone 共识
1)介绍 Lava-Firestone 共识:
Lava 采用经改进的 PoC 共识机制,即 Lava-Firestone 共识。该共识针对以下因素进行设计、重构或优化:
· 优化 PoC 共识的发行方式、Plot 文件生成算法,使其更加稳定、适合于长期生态发展;
· 前期倾向于基于 PoC 的信任积累,后期倾向于鼓励有意义存储、基于去中心化存储的应用或服务;
· 考虑基于跨链、链下拓展、Layer2 嵌入的技术方案以及经济激励方案;
· 考虑设置系统内置凭证火石(Firestone);
· 考虑基于火石的染色方案(Stone-Coloring);
2)火石 Firestone:
Firestone 机制创新性地引入了一种基于虚拟分层(Virtual Layering)的通证概念,即被称为“火石(Firestone)”的凭证。
火石是:
· 基于虚拟分层(Virtual Layering)设计的系统内置凭证;
· 占用或享有 Lava 系统资源份额的代表物;
· Lava 生态的贡献凭证;
· Lava 生态的治理权利凭证;
· 链上治理投票的权利承载体;
· Lava 生态的经济权利凭证;
· 一种非永久性、可定制化、非同质性的凭证。火石的分配、使用和流转:
· 对系统安全、共识凝结作出贡献的任何参与者;
· 对有意义存储生态作出贡献的系统成员;
· 通过染色(Coloring)机制由基于自身信用背书的个人、组织或机构通过定制化方式产生并分配;
· 一般情况下,火石主要以通过冻结或抵押 Lava 方式生成;
· 火石的使用方式以及流转方式是可定制化、非同质性的,因为基于 Lava 生态提供的去中心化存储类或计算类应用与服务也是非同质性的。Lava 生态的应用或服务提供商可以定义不同的使用规则。
3)生态发展期的火石生成和奖励机制:
Lava 区块链自上线开始、到有意义存储生态成熟之前的时期被定义为生态发展期。为解决该期间信任基础设施的冷启动问题,系统参与者可通过发起交易冻结 Lava 的方式获得火石。
该机制采用一种特殊的“动态冻结(Dynamic Freezing)”方式生产火石:
· Lava 区块链按照每 2048 块块高分割,分割后的段落称为 Slot。
· 用户通过发起一笔交易冻结 Lava 获得火石。
· 用户在第 N-1 个 Slot 中获得的火石,仅在第 N 个(下一个)Slot 内全程有效;第 N 个 Slot结束后,火石自动作废、冻结资金返还。
· 生态发展期,全额区块奖励由 50%的基础奖励、50%的生态奖励构成。当锻造人成功锻造区块时,可无条件获取基础奖励部分;如果该锻造人消耗一个已生效的火石,则还可以额外获得生态奖励部分。
用户发起冻结交易时,需要按照一个动态调整的冻结比率获取火石。冻结比率可以简易理解为火石的“价格”,即每冻结多少 Lava 可以获取一个火石。
冻结比率在每个 Slot 开始时动态调整。当上一个 Slot 中的火石数量超过目标值 2048 时,该Slot 的冻结比率将提高 5%;当上一个 Slot 中的火石数量不足目标值 2048 时,该 Slot 的冻结比率将降低 5%。
技术实现
A) Lava 区块链数据结构
1)区块结构:
2)交易结构:
B) 生成攻击 Generation Attack
生成攻击(Generation Attack)是一类针对存储证明网络的攻击形式。恶意锻造人可以通过高效率低成本的软件,按需生成大量的存储资源信息,从而“欺骗”过共识网络层的节点验证,这种方式使得恶意锻造人能获取大量的区块收益(存储空间越高收益越高) 。
在 PoC 的生态网络中,锻造人最为重要的资源就是存储设备,而如何避免恶意锻造人通过生成攻击,即形成答案值去提交答案,从而造成 PoC 生态的不公平行为,是每一个 PoC 网络需要考虑的重要攻击场景。
在 PoC 的场景下,生成攻击的形成有较为清楚的定义:
· 定义 1.1.(生成攻击) 在 PoC 网络中,存在验证角色 Sv、存储角色 Sp 和 Sp 所申明的资源R。Sp 在每一轮的 PoC出块过程中,需要 Sv 能够验证答案有效性并较为准确的衡量 Sp 的存储资源 R。
定义 3.1 清楚的指出了 2 个关键点,第一是 Sp 需要在每一轮的出块时间内提交答案(nonceid);第二是 Sv 能够很清楚的在共识层面对存储资源 R 进行衡量。Lava 对于这两点进行了深度的思考:
1) 对于出块时间的控制
Lava 通过对难度值 baseTarget 的调整,将预期的出块时间限制在了 4 分钟。这个值的产生是锻造过程中合法形成答案(nonce id),存储设备扫描的速度而得出的期望值。具体的推导过程为:
推导 1.1. (出块时间) 由于 Shabal256 算法的特殊性(无法并行计算),如果恶意锻造人发动生成攻击,对于市面上平均性能的单核 CPU,形成一个 nonce 并自我验证通过的正常时间为 300ms,即每一轮能够生成 800 次提交,但有效提交一定是远远低于 800 次(因为 deadline 的取值范围为0~2^64-1,而有效 deadline 为 86400)。而对于目前的 PoC 网络,平均 48TB 的算力会在一轮出块中提交*(2~5)*3*次的答案,对于一个拥有数百 PB 算力的网络来说,想通过生成攻击对抗全网算力,是几乎无法做到的事情。
2) 对于存储资源 R 的衡量
虽然不满足第一个必要条件,恶意锻造人基本就不存在发动生成攻击的可能性,但 Lava 依然对存储资源进行衡量这个必要条件进行了思考,确保整个 Lava 网络更加安全和健壮。
定义 1.2.(算力估算) 在 PoC 网络中,对于存储角色 Sp,验证角色 Sv,Sp 每一轮提交答案次数 originalNConf 和提交的答案 deadline 与 Sv 对 Sp 所估算的存储空间大小 plotSize,存在以下数学关系:
· m:为人工选取的区块 chunk,也就是 1 天的区块总数,一般设定为 360(通过全网出块时间的期望值得出);
· originalConf:是这个锻造人在 m 个块内,提交的 target 数据集的次数。
· nConf:这个锻造人在 m 个块内,提交的 target 筛选后数据集的次数,该数据集经过剔除了筛选奇异点和 fastblock 中重复的数据,一般情况下认为 originalNConf 相等。
· sum(BT*Target) :前 m 块 BaseTarget 和 Target 的乘积和,而其中
· GenesisBaseTarget:固定值,18325193796L
Lava 网络的钱包节点应用了这个公式,对公式得出的算力估算值对每一个锻造人的算力进行了科学合理的估算,并能够在共识层面对每一个 minerAddress 进行验证。这使得恶意锻造人更难通过生成攻击对算力进行造假。
C)寄生虫链的攻击(Parasite Chain Attack)
寄生虫链攻击(parasite chain attack)是一种恶意钱包节点的作恶行为,其在不被主链(MainChain)发现的前提下,秘密的互相验证并出块,构建一条私链(PrivateChain),并在恰当的时间与主链的某个地址发生交易,并将交易出块并且互相验证通过。在恰当的时间,其合并到主链,创建一笔双花转账,造成交易的修改并浪费全网节点双倍成本去做交易的验证。
为了解决这个问题,Lava 在 Blacklist(黑名单)层引入了 CDF 算法(Cumulative Difficulty Algorithm)。
从数学建模角度,整个网络节点,恶意节点如果要对 PoC 进行攻击,则需要在突破在共识层面被主链合并时提出的挑战,即对其合并的累计难度大小进行共识层面的验算,提高恶意节点与的数量,从而提高计生虫链的作恶成本(需要更长的出块来保证其累计难度值)。
虽然我们认为具有如此大量的串通节点攻击对于大型全球网络来说几乎是不会发生的,但无论使用何种高效的选举算法,拜占庭容错的理论得出的恶意节点数量的限制,对于整个 Lava 网络也是存在的。
Lava 的可信层具有额外的安全措施。探索节点可能从 Lava 网络中的整个节点集中选择适合且可用的节点组成可信子集。给定 N 作为 Lava 网络中的节点总数,并且 T 作为可信层可用和合适节点的数量,其中 T⊂N(T 是 N 的子集),这样共谋的恶意节点将不得不接受整个 Lava 网络 N 的 33%而不仅仅是子集 T.
此外,集合 N 的所有成员都经常作为 Lava 网络的一部分进行审查,一旦有作恶行为就会被网络中的其他节点列入黑名单,这有效地阻止他们被选入集合 T.(考拉)