通過分佈式驗證器技術實現多數派分叉保護：一種新型的網絡彈性方法

感謝 Matheus Franco 的審閱。

抽象的

Holesky 測試網路事件揭示了以太坊共識機制的關鍵漏洞：當絕大多數驗證者因客戶端漏洞而錯誤地驗證了無效的鏈狀態時，網路將進入不可恢復的狀態，需要透過破壞性的非活躍度洩漏來恢復最終性。本文提出，採用異質運營商的分散式驗證者技術 (DVT) 可以提供一種保護機制，以應對此類多數分叉場景。透過在 DVT 叢集層級引入檢查點驗證，我們展示了多元化的驗證者營運商如何選擇性地拒絕驗證惡意分叉，從而在無需大規模懲罰的情況下阻止最終性確認。該機制以犧牲短期內對錯誤分叉的合理性為代價，換取了長期的網路安全，最終使誠實的少數驗證者能夠透過社會共識和非活躍度洩露來取得勝利。

1. 以太坊的根本設計選擇：活性優先於安全性

本文概述了以太坊基於「活躍性優先於安全性」的設計理念及其與非活躍資料外洩的關係。已了解相關知識的讀者可以直接跳到下一節。

1.1 CAP 定理與區塊鏈共識

以太坊的共識機制設計體現了一種深層的深思熟慮的選擇：當網路必須在安全性（防止衝突的最終狀態）和活性（持續生成和最終確定區塊）之間做出選擇時，以太坊優先考慮活性。這意味著它允許不同的分叉方案競爭網路的接受度。

這項選擇源自於CAP 定理。 CAP 定理指出，分散式系統無法同時保證一致性（安全性）、可用性（存活性）和分區容錯性。以太坊作為一個無需許可的系統，必須容忍網路分區，因此無法同時實現這三項特性。以太坊選擇在災難性故障期間犧牲一致性，以確保網路持續運作。

1.2 理由：不活躍洩露

以太坊透過不活躍洩漏機制正式確立了這個選擇。正如以太坊 Gasper 規範中所述，當區塊鏈連續四個 epoch 以上未能完成最終確認時，就會啟動不活躍洩漏機制。一旦激活，無論多數分叉是否有效，該機制都會逐步懲罰那些未對多數分叉進行驗證的驗證者。一個價值 32 ETH 的驗證者需要 4986 個 epoch（即 3 週）才會被從系統中移除。

該協定的邏輯是，臨時的網路可用性優於永久的安全保障。如果發生網路分裂，且大多數驗證者位於其中一方，則不活躍洩漏機制可確保該方最終能夠完成合併並恢復網路。另一方的少數誠實驗證者將受到懲罰，但他們最終可以透過社會共識（硬分叉）恢復並重新加入網路。

2. 霍爾斯基事件：基於錯誤假設的共識失敗案例研究

2.1 發生了什麼

2025年2月25日，以太坊Holesky測試網啟動了Pectra升級。數小時內，網路遭遇嚴重故障：三個主流執行層用戶端——Geth、Nethermind和Besu——配置錯誤，使用了錯誤的存款合約位址。受影響的客戶端無法正確追蹤驗證者的存款，導致共識出現不一致。最終，執行層和共識層失去同步。大多數驗證者開始在無效鏈上驗證區塊，無法偵測到底層執行狀態的錯誤。

結果是最終確認失敗，且無法挽回。為了恢復網絡，那些對錯誤鏈進行驗證的驗證者將面臨嚴厲的懲罰。不活躍洩漏機制必須緩慢地扣除離線驗證者的權益，直到正確的鏈重新獲得三分之二的絕對多數——這個過程大約耗時三週。儘管少數客戶端（一個執行客戶端）仍在持續產生有效區塊，但絕對多數的驗證者阻止了在正確鏈上完成最終確認。

2.2 違反誠實多數假設

以太坊共識協議基於一個基本的安全假設：誠實多數假設。 Casper FFG 最終性要求三分之二的驗證者對同一檢查點進行驗證。活性（區塊生成）則依賴於分叉選擇規則下的簡單多數。該協議旨在確保只要拜占庭驗證者（惡意或有缺陷的驗證者）少於三分之一，就能正確地最終確定狀態。

Holesky 事件打破了這個假設。該漏洞導致誠實的驗證者對網路表現出對抗行為。客戶端多數實際上變成了拜占庭式的，投票支持了一個無效狀態。

關鍵在於，以太坊的安全性依賴拜占庭驗證者數量少於三分之一。當三個主流用戶端同時發生相同故障時，它們將佔網路總數的三分之一以上，從而破壞安全保障。

2.3 為什麼不作為造成的資訊外洩具有破壞性

一旦網路進入分叉狀態，以太坊為了確保網路的活躍度，不得不犧牲安全性來維持其恢復。不活躍度洩漏機制會逐步降低未驗證多數派分叉的驗證者的有效餘額。這個過程會持續進行，直到這些未驗證者的餘額降至極低，最終退出驗證者集合，從而使剩餘的（正確的）驗證者達到三分之二的份額。

然而，這種機制在幾個方面都具有破壞性：

1. 經濟損失：多數派（錯誤）分叉上的驗證者將受到懲罰，永久損失 ETH。少數派（正確）分叉上的驗證者將因明顯的不活躍狀態而受到懲罰。
2. 分叉風險：如果非活躍洩漏持續足夠長的時間，兩個分區可能會分別達到三分之二的權益，並最終形成獨立的歷史記錄版本。
3. 恢復時間：整個過程持續了數週，在此期間，網路無法完成交易，也無法為使用者和應用程式提供確定性。

3. DVT PBFT 問題：為什麼簡單的基於法定人數的認證會失敗

3.1 簡易的深部靜脈血栓形成處理方法

分散式驗證器技術利用閾值密碼學和秘密共享技術，將單一驗證器的簽章金鑰分配給多個獨立的運營商。每個運營商持有一個密鑰份額，並參與拜占庭容錯（BFT）共識機制，以就各自承擔的職責達成協議。

在一個簡單的DVT設計中，一旦BFT共識就某個操作達成一致，所有操作員都會簽署並提交證明。邏輯很簡單：如果BFT共識達到法定人數，則該決定是正確的。

然而，這種邏輯可能會讓我們陷入多數派分叉陷阱。

3.2 誘捕性能

非正式直覺

一旦驗證者投票決定推進某個分叉上的檢查點的最終確定，它就會在該時間點被本地鎖定到該分叉上。

更具體地說，假設有兩個相互衝突的分支（A）和（B），並且分支（A）比分支（B）進展得更遠。如果驗證者（V）投出一票（（s_a，t_a）），該票有助於分支（A）上檢查點（a）的最終確定，那麼從那時起，（V）就不能對目標紀元為（t_a）或更晚的分支（B）投出任何票，否則將違反 Casper FFG 懲罰規則。

直觀地說，驗證者透過投票最終確定分支 (a)，即承諾在分支 (A) 上使用特定的 epoch 間隔。任何試圖透過投票在相同或更晚的 epoch 上設置檢查點來「追趕」分支 (B) 的行為，要么會導致：

• 對同一目標紀元進行雙重投票，或
• 圍繞先前的投票，

這兩項都是應被減刑的犯規。

因此，在投票決定最終確定分支 (a) 後，驗證者會陷入分支 (B) 的困境：除非分支 (B) 首先將其合理的檢查點推進到驗證者鎖定範圍之外的紀元，否則驗證者無法幫助分支 (B) 最終確定。在此之前，驗證者無法在不違反這種困境的情況下為分支 (B) 的最終確定做出貢獻。

為了明確這一點，讓我們將其正式化。

卡斯柏 FFG 回顧

首先，快速回顧一下Casper FFG的投票機制：

每次認證都會引發一次目標檢查點投票，試圖證明某個紀元的合理性，以及一次源檢查點投票，試圖最終確定該紀元。一個紀元只有獲得超過三分之二的目標投票才能被認定為合理。而一個紀元只有在以下情況下才能最終確定：它之前已被認定為合理，獲得了超過三分之二的源投票，並且在它正上方的紀元處創建了一個新的、具有相同認證集的、已被認定為合理的檢查點。

現在，讓我們回顧一下斜線規則：

令（s_a，s_b）表示兩個不同的來源投票。
令 (t_a, t_b) 表示兩個不同的目標投票。
令 (h(x)) 表示任何投票或檢查點的高度（紀元）。

若投票由同一驗證者發出，則該投票會因以下任一原因累積罰沒違規：

1. 重複投票規則：（h(t_a) = h(t_b)）
2. 環繞投票規則：（h(s_b) < h(s_a)）且（h(t_a) < h(t_b)）

Casper FFG 的論文正是根據這些規則推導出以下性質：

（iv）至多存在一個高度為（n）的合理檢查點。

捕獲屬性的形式化定義

預賽

令 (a, b) 為不同分支 ((A) 和 (B)) 上的最新合理檢查點，它們分別可以通過投票 ((s_a, t_a)) 或 ((s_b, t_b)) 推進到最終階段，其中 (h(s_a) = h(a)) 且 (h(b) = h(s_b))。

我們注意到，如果 (h(a) = h(b))，則至少 (1/3) 的驗證者犯了懲罰違規 (1)。

誘捕屬性

不失一般性，如果 (h(a) > h(b))，並且 (V) 是一個驗證者，它投票以 ((s_a, t_a)) 投票最終確定 (a)，那麼 (V) 不能創建任何 ((s_b, t_b)) 投票，使得 (h(t_b) \ge h(t_a))，而不造成懲罰。

從這裡很容易看出，現在 (V) 如果不進行斜線操作，就無法對 (B) 上的任何檢查點的最終化做出貢獻。

證明

如果 V 發出一個 ((s_b, t_b)) 使得 (h(t_b) = h(t_a))，則明顯違反了雙重投票規則。因此，為了越過分支 (A)，V 必須發出一個 (t_b) 使得 (h(t_b) > h(t_a))。由於 (b) 是最新的合理檢查點，V 必須對 (s_b) 進行投票。已知 (h(s_b) = h(b) < h(a) = h(s_a))，因此該投票構成了斜杠違規。

3.2 多數派分叉陷阱：範例場景

場景設定：

• DVT 叢集有 4 個運算子：（O_1）、（O_2）、（O_3）、（O_4）。
• 法定人數為 3 位操作員。
• 這個網絡在 Epoch (X+1) 上經歷了一次分叉：鏈 (A)（網絡的大多數）和鏈 (B)（少數，正確的鏈）。
• （A）和（B）都沒有足夠的驗證者來證明檢查點的合理性或最終確定性。
• BFT 領導者（透過循環選出）現在是（O_1）。

場景：

1. （O_1）位於鏈（A）（多數分支）。
2. （O_1）作為 BFT 領導者，向 DVT 集群提議：「證明鏈（A）：源投票於紀元（X）進行，目標投票於紀元（X+1）進行」。
3. （O_2）和（O_3）恰好在鏈（B）上，但它們只檢查提案是否會導致懲罰違規。
4. BFT 共識達到法定人數：(O_1)、(O_2)、(O_3) 批准鏈 (A)、區塊 (X) 的證明。
5. 該證明由DVT集群簽署並提交。
6. 在該紀元結束時，鏈 (B) 上沒有建立或完成任何檢查點。
7. 下一個 Epoch (O_2) 是 BFT 領導者，並向 DVT 集群提議：在鏈 (B) 上進行驗證：源投票在 epoch (X) 上進行，目標投票在 epoch (X+2) 上進行。
8. 由於這不是重複投票，也沒有包圍先前的投票，所以不能被刪除，因此予以接受。
9. DVT叢集會在鏈(A)和鏈(B)之間不斷輪換認證，從而獲得兩個分叉鏈的獎勵。注意：由於單一鏈上的驗證者數量較少，可能會出現認證槽位缺失的情況。這將抵消上述正面影響，因為認證將難以被納入。
10. 經過 4 個 epoch 後，兩個分叉鏈上的不活躍漏洞都被啟動。對於每條鏈，DVT 驗證器的不活躍分數在每個不活躍 epoch 時增加 4，在每個活躍 epoch 時減少 1。
11. 鏈 (A) 在鏈 (B) 之前就開始驗證檢查點。一旦 DVT 驗證器推進來源投票，它實際上就會被困在鏈 (A) 上。
12. DVT 簇不活動分數從 (B) 開始每週期增加 (4)。
13. 此時，DVT 簇只有在下列情況下才能逃脫 (A)：
    a. 它停止對（A）進行認證
    b. 它在（B）的非活躍性洩漏中倖存了下來
    c. 鏈（B）證明檢查點的高度高於 DVT 目標投票決定的高度（A）。

後果：

DVT集群迫使少數派運營商與多數派運營商保持一致。

如果大多數人誠實，那麼這是一種有益的行為。
DVT驗證器同時參與兩條鏈的運行，因為它事先並不知道哪條鏈最終會成為標準鏈。它將基於率先恢復三分之二多數支持的那條鏈進行構建。

如果多數派惡意分叉，則 DVT 叢集會被多數派分叉所困。之後，當不活躍洩漏導致網路恢復且鏈 (B) 成為規範鏈時，DVT 叢集的驗證者將面臨因質疑鏈 (B) 或放棄鏈 (B)（接受損失）而受到的懲罰。

關鍵問題在於：即使並非所有操作者都認同多數派的分叉方案，DVT叢集也被迫投票支持該方案。 BFT共識機制其實成為了一種迫使少數派操作者接受多數派選擇的手段。

4. 解決方案：檢查點驗證和叢集級棄權

4.1 引入檢查點驗證

為了解決多數分支陷阱， DVT 叢集可以在對檢查點進行認證之前實現檢查點驗證。

檢查點驗證規則：

對於 DVT 集群，要證明其在紀元 (E) 的檢查點 (C) 正確：

1. 每個操作員都必須驗證紀元層級的檢查點結構是否有效。
2. 每個操作員都必須獨立驗證來源的曆元。
   目標檢查點與他們的本地視圖相符。
3. 如果達到法定人數的操作員（例如，2/3）同意，則 DVT 予以證明。
4. 如果無法達到法定人數，DVT 將不會出庭作證。

 func shouldSignAttestation (own, proposed Attestation) bool { return own.SourceCheckpoint.Epoch == proposed.SourceCheckpoint.Epoch && own.TargetCheckpoint.Epoch == proposed.TargetCheckpoint.Epoch} 

4.2 當證明失效時：棄權機制

關鍵機制在於：如果沒有足夠的操作員就紀元層級的檢查點結構達成一致，叢集將不會進行認證。

與必須進行驗證（否則將面臨不活躍處罰）的單一驗證者不同，DVT 群集可以選擇性地退出驗證。這是一個關鍵優勢：DVT 叢集的設計目標是容錯和冗餘，而不是保證參與。

當深部靜脈血栓簇停止活動時會發生什麼：

1. 深部靜脈血栓被標記為非活動性。
2. 帳戶會開始累積不活躍罰款，但不會被大幅削減。
3. DVT 之後可以切換回驗證正確的叉子。

5. 網路級安全：多元化 DVT 如何防止多數派分叉最終確定

5.1 異質性假設

整個機制依賴於一個關鍵假設： DVT 聚集體必須是異質的。

如果所有 DVT 叢集都使用相同的執行客戶端（例如，都使用 Geth），那麼在類似 Holesky 漏洞的事件中，它們都會遇到相同的漏洞。它們都會處於同一個多數分支上，並被迫進行驗證（透過 BFT 共識）。在這種情況下，DVT 無法提供任何保護。

但是，如果 DVT 叢集由使用不同客戶端的獨立各方營運（有些使用 Geth，有些使用 Nethermind，有些使用 Besu），情況就會改變：
一旦分支被證明是合理的，檢查點驗證就會啟動棄權機制。

5.2 關鍵閾值：防止多數派分叉最終確定

以太坊的最終性規則要求超過三分之二（66.7%）的驗證者同意一個檢查點才能最終確定。

如果以太坊驗證者中有足夠比例的驗證者是具有異質運營商的分散式驗證者，那麼：

• 多數派分支上的決策者將棄權（如果他們發現分歧）。
• 多數派方案無法獲得三分之二的同意，因此無法最終確定。

計算範例：
讓我們以目前SSV網路的滲透率為基礎：

• DVs：14%（全部棄權以進行最終表決）。
• 在多數分叉過程中，假設 80% 的網路（錯誤地）流向了多數分叉。
• 傳統驗證者：69% 證明多數派分叉，17% 證明少數派分叉。
• 多數派最終達成協議，DVT 未參與其中。

但是，假設以太坊 30% 的驗證者是具有異質運營商的分散式驗證者。

• 70%是傳統驗證者。
• 在多數分叉過程中，假設 90% 的網路（錯誤地）分叉到了多數分叉。
• 操作人員不同的DV：30%的人棄權。
• 傳統驗證者：63% 證明多數派分叉，7% 證明少數派分叉。
• 尚未最終確定。

5.3 網路穩定性論證

關鍵洞見：如果深部靜脈栓塞人群足夠多樣化，那麼在沒有他們的配合下，就很難最終確定一個糟糕的方案。這就形成了一個自然的止步點：

1. 多數派分支試圖完成最終決策。
2. 不同的決策者會偵測出這種不一致之處並予以迴避。
3. 最終化過程被阻止，從而阻止了規範鏈的分裂。
4. 網路處於「停滯」狀態，尚未最終解決。
5. 不活躍洩漏機制啟動。
6. 誠實的社區有時間協調。

至關重要的是，這結果優於霍爾斯基情境：

• 正確鏈上的驗證者不會被罰沒。
• 誠實的少數派沒有義務接受多數派的分支作為正統版本。
• 社會共識可以決定正確的復甦路徑。
• 在此之前，兩個分支都保持運作狀態。

6. 權衡取捨：無需最終定論即可進行論證

6.1 為什麼決策驗證可能為糟糕的分叉提供正當理由（但並非最終決定因素）

我們提出的檢查點驗證機制有意不檢查狀態根。這是一個關鍵的設計選擇，它造成了一個根本性的限制：即使DVT叢集無法最終確認一個錯誤的派生，它們仍然可以證明（並因此證明）該派生是合理的。

為何排除狀態根檢查：

比較 DVT 算子之間的完整狀態根需要：

1. 所有操作符都已處理並驗證了完全相同的區塊狀態
2. 在給定時隙對整個執行層狀態達成一致
3. 即使狀態偏差很小，任何區塊都會被拒絕。

這會造成一個致命的問題：由於網路延遲和區塊傳播延遲，營運商可能無法在同一時刻擁有完全相同的狀態根。有些業者會比其他業者略早收到區塊 X。如果要求狀態根完全一致，則 DVT 叢集幾乎永遠不會進行認證——這將導致持續的非活躍狀態懲罰，並使 DVT 在經濟上不可行。在對抗場景下，這個問題會更加嚴重。

為了解決這個問題，機制有意放寬了驗證規則：僅驗證檢查點的紀元結構，而非完整的執行狀態。這樣，即使操作者對目前 HEAD 槽的看法略有不同，只要紀元層級的共識結構（來源檢查點、目標檢查點、已驗證的檢查點）保持一致，他們仍然可以進行驗證。

權衡取捨：

這種設計選擇會產生直接後果：由於 DVT 群集不驗證狀態根，它們將有助於證明分叉的合理性。

在分岔的第一個時期：

1. DVT操作員看到2個不同的叉子。
2. 每個分支上的紀元層級檢查點結構似乎都是有效的。
3. BFT 共識很容易達到法定人數，從而對領導者做出的任何決定（很可能是多數人的決定）予以確認。

後果：
依賴驗證者可能會因為底層結構表面上正確，就為錯誤的衍生版本辯護（累積超過三分之一的驗證結果）。如果不透過持續的驗證失敗來損害可用性，就無法阻止他們這樣做。

6.2 為什麼這是可以接受的

從DVT驗證者的角度來看，這是可取的，並且與其激勵機制非常契合：

1. 網路可用性：透過排除狀態根檢查，我們保證了DVT的可用性。即使在網路分區或臨時狀態分歧期間，DVT集群也能繼續參與共識，這對於網路的活性至關重要。
2. 最終化仍然受到保護：儘管分散式驗證程序可能會為糟糕的分叉辯護，但只要它們有多樣化的設置，它們就不會最終化它。
3. 可逆性：經過論證後，決策者始終可以選擇切換到另一個分支而不會受到懲罰，從而最大限度地提高他們可以從任一鏈中獲得的收益。
4. 減少不活動洩漏的影響：DV 會根據其在每條鏈上的群集組成比例進行驗證，直到達到合理性閾值。過早停止意味著要承受不活動洩漏的嚴重後果。

7. 其他驗證者的兩難：懲罰與最終確認之間的權衡

7.1 非DVT驗證者面臨的問題

一旦 DVT 叢集確認了多數派分叉，網路上的其他驗證者就面臨著一個兩難的境地：

情況：

• DVs（證明多數人支持分叉）+多數傳統驗證者 > 66.7%。
• 錯誤的分支是合理的，導致 DV 在下一個 epoch 中棄權。
• 即使傳統驗證者無法最終確定分叉，他們也可能因為投票推進源分支而陷入困境。

後果：
被困的驗證者無法幫助完成正確的分叉。

7.2 DVT 的機會：邁向更強網路韌性的途徑

從網路安全角度來看，這種結果並不理想。儘管如此，DVT叢集仍然有動力避免因在兩條鏈上都進行驗證而加速自身的不活躍資訊外洩。對於擔心災難性多數分叉事件的驗證者而言，採取積極主動的措施有助於降低風險。

一個關鍵選擇是過渡到分散式驗證樹（DVT）群集。分散式驗證的廣泛應用甚至可以解決 客戶端多樣性問題：面對不同的運營商配置，DVT 驗證器可以有效地整合跨多個客戶端實現的檢查，從而增強整個生態系統。

8. 深部靜脈栓塞多數患者的重要性

8.1 關鍵安全屬性

以太坊的最終性機制（Casper FFG）要求三分之二的驗證者才能確認並最終確認一個檢查點。如果超過三分之一的網路由不同的分散式驗證者（DV）組成，那麼就能保證任何分叉都不會在沒有社會共識的情況下最終確認。

8.2 解除驗證者的陷阱

由於在給出理由後棄權可以避免陷阱，因此，一旦達成社會共識，決策者就可以轉而證明正確的叉子。

一旦選定的分叉點比錯誤的分叉點高出足夠的高度，被困的傳統驗證器就可以安全地切換了。

DVT 成員越多，選定的分叉就能越快最終確定，不活躍漏洞也能越快消失。如果這個過程夠快，被困的驗證者就能在達成社會共識後不久脫離困境。

8.3 實際效果

實際上，這意味著：

1. Holesky 事件得以避免：如果在 Holesky 事件期間，40% 的驗證節點是來自不同營運商的分散式驗證節點 (DV)，則多數分支可能無法最終完成。這樣，長達三週的不活躍資料外洩也就不可能發生。
2. 社會共識窗口：網路獲得時間（數天至數週）來協調達成社會共識。不會發生不可逆轉的分裂。

9. 限制與假設：當深部靜脈血栓保護失效時

9.1 同質性深部靜脈血栓形成情景

整個機制依賴異構的DVT運營商。如果DVT叢集由關聯方營運或僅使用一種用戶端實現，則其提供的保護有限甚至沒有保護。

9.2 協同作戰攻擊

如果 DVT 群集的運作者受到激勵而圍繞某個特定的分支進行協調（例如，他們出於與正確性無關的經濟原因而集體偏好分支 A），則檢查點驗證機制無法阻止這種情況。

DVT的加密安全性確保任何單一操作員都無法竊取驗證器金鑰。然而，它並不能強制操作員的行為符合網路利益。如果一定數量的操作員心懷惡意或相互勾結，他們可以強迫叢集對任何分叉進行認證。

9.3 客戶絕對多數問題

在 Holesky 事件期間，有三個執行客戶端受到影響：Geth、Nethermind 和 Besu。如果這三個用戶端佔所有驗證者（包括獨立驗證者和分散式驗證者）的 66.7% 以上，那麼所有使用這些用戶端的分散式驗證者都將位於多數派分叉上。

9.4 未能避免不活動洩露

驗證者會在鎖定到陷阱區塊之前，在少數鏈上進行驗證，驗證頻率與其委員會成員中認為該陷阱區塊為規範區塊的比例成正比。然而，由於大多數驗證者並未提議區塊，驗證結果的註冊會有延遲。因此，無論驗證者的表現如何，都可能因不活躍而受到資料外洩懲罰。

10. 結論：通往韌性共識之路

分散式驗證器技術（DVT）結合異構運維人員提供了一種新穎的解決方案。透過在群集層級實施檢查點驗證，DVT 可以選擇性地避免多數派分叉。如果有足夠的驗證器採用不同的 DVT，網路將具備以下能力：

1. 防止不良分支最終形成，而無需進行大規模的切割。
2. 透過阻止不可逆轉的分裂來維護社會共識的恢復路徑。
3. 為誠實的社群提供時間和空間，以便協調硬分叉復原工作。
4. 在協議層面創造激勵機制，以促進客戶和營運商的持續多元化。

這種機制並非萬能之策，它需要：

• DVT 的採用率足夠高（>33.3% 的驗證者）。
• 客戶和營運商分佈不均。
• DVT操作員之間不存在協調一致的複雜行為。

然而，即使有這些假設，它也代表著比當前狀態的重大改進，在當前狀態下，客戶端的絕對多數故障可能會不受控制地導致網路分叉。

未來的發展方向是積極推廣DVT的採用，確保營運商和客戶端的廣泛參與，並將檢查點驗證作為DVT共識機制的標準組成部分。隨著以太坊的成熟，這一層保護對於網路的長期穩定性將變得日益重要。