如何用Move編程語(yǔ)言來(lái)管理本地?cái)?shù)字資產(chǎn)的真正所有權(quán)

智能合約是一類專用于管理有價(jià)值數(shù)字資產(chǎn)所有權(quán)的獨(dú)特軟件。盡管現(xiàn)有的編程環(huán)境可以用來(lái)跟蹤資產(chǎn)的所有權(quán)，但是它們通常被用來(lái)反映所有權(quán)，而非直接定義所有權(quán)。智能合約的獨(dú)特之處在于，它們所代表的價(jià)值往往直接體現(xiàn)在它們所維持的狀態(tài)中。

隨著區(qū)塊鏈的持續(xù)發(fā)展，代表所有權(quán)的機(jī)制也在不斷發(fā)展。比特幣是由“未使用的交易輸出（unspent transaction outputs）”或UTXO所定義的所有權(quán)模型構(gòu)建的。

雖然UTXO模型非常高效，但它也非常復(fù)雜，并且可能會(huì)產(chǎn)生一些異常的邊緣情況，因此Ethereum采用了一種更直接的Ledger模型。

當(dāng)Libra區(qū)塊鏈發(fā)布時(shí)，圍繞該項(xiàng)目的主要關(guān)注點(diǎn)在于Facebook建立的區(qū)塊鏈的政治含義，但我們這群深入研究技術(shù)細(xì)節(jié)的人卻從中發(fā)現(xiàn)了一些很有意思的新想法。

尤其是，Libra團(tuán)隊(duì)以一個(gè)新的所有權(quán)模型為基礎(chǔ)，為他們的Move VM定義了新的編程模型。該所有權(quán)模型的靈感來(lái)源就是線性類型（Linear Types）：資源（Resources）。

“Resources”是一種在編程語(yǔ)言中直接表示資產(chǎn)所有權(quán)的新方法。工程師們常常使用“所有權(quán)（ownership）”這個(gè)術(shù)語(yǔ)來(lái)比喻：跟蹤某代碼以管理某種數(shù)據(jù)結(jié)構(gòu)或系統(tǒng)資源。

這種情況在編程環(huán)境中最為常見(jiàn)，在此環(huán)境中，內(nèi)存管理并沒(méi)有完全從程序員那里抽象獨(dú)立出來(lái)，如果說(shuō)代碼中寫(xiě)了一個(gè)對(duì)象，那么就意味著該代碼必須管理并釋放分配給該對(duì)象的內(nèi)存。

Resources將這一概念進(jìn)行了擴(kuò)展，我們可以利用一些機(jī)制來(lái)管理以前編程語(yǔ)言中的“所有權(quán)”，并用它來(lái)管理本地?cái)?shù)字資產(chǎn)的真正所有權(quán)。

源引于Move簡(jiǎn)介：

https://developers.libra.org/docs/move-overview#move-has-first-class-resources

Move 的關(guān)鍵特征是能夠定義自定義資源類型（resource types）。資源類型可用于對(duì)具有豐富可編程性的安全數(shù)字資產(chǎn)進(jìn)行加密。

Move 類型系統(tǒng)為資源提供了特殊的安全保障。Move資源不能被復(fù)制、重復(fù)使用或丟棄。資源類型只能由定義該類型的模塊創(chuàng)建或銷毀。這些保障是由Move虛擬機(jī)靜態(tài)執(zhí)行的。

Libra貨幣是作為一種資源類型實(shí)現(xiàn)的，在語(yǔ)言中并沒(méi)有特殊的地位，每個(gè)Move資源都享有同樣的保護(hù)。

最后這兩點(diǎn)非常重要：

1. Resource 對(duì)象的特殊狀態(tài)必須由運(yùn)行時(shí)（“Move虛擬機(jī)”）強(qiáng)制執(zhí)行；如果其只是編譯器抽象，那么惡意代碼很輕松即可打破屏障。

2.然而！如果你能夠正確地執(zhí)行這些規(guī)則，則可以讓網(wǎng)絡(luò)中最重要的資產(chǎn)——本機(jī)代幣——安全地存儲(chǔ)在由用戶提交的代碼控制的數(shù)據(jù)結(jié)構(gòu)中。厲害了！

1. 到底什么是Resource？

我們可以通過(guò)一個(gè)不可替代代幣（NFT）的示例（例如CryptoKitty）來(lái)理解Resource。每個(gè)CryptoKitty都是不可分割、不可復(fù)制的，并且有一個(gè)直接所有者，這與Resource編程結(jié)構(gòu)是相吻合的。

在像Ethereum這樣的Ledger模型中，所有的CryptoKitTIes都以巨型列表的形式被存儲(chǔ)在一個(gè)智能合約中。

通過(guò)在中央分類賬中存儲(chǔ)每個(gè)所有者的帳戶ID來(lái)跟蹤每個(gè)Kitty的所有權(quán)，更改Kitty所有權(quán)的唯一方法是聯(lián)系該中央分類賬并要求其更新與該Kitty相關(guān)的帳戶ID。

contract KittyLedger {

struct Kitty {

priv let kitTIes： {Int： Kitty}

fun transfer（kittyId： Int， newOwner： AccounTId） {

if （msg.sender == kitTIes［kittyId］.owner） {

kitties［kittyId］.owner = newOwner

}

}

}

transaction（signer： Account） {

// tells the central ledger to assign ownership of

// myKittyId to a different account

centralKittyLedger.transfer（myKittyId， receiverAccountId）

}

在Resource模型中，Kitty本身被表示為一個(gè)Resource對(duì)象，被直接存儲(chǔ)在擁有它的帳戶中。就像在現(xiàn)實(shí)世界中一樣，通過(guò)占有來(lái)表示所有權(quán)。

你無(wú)需通過(guò)中央分類帳來(lái)查看自己是否擁有某物，你可以把它存在自己的帳戶中，也可以不存。如果你擁有它，你就可以對(duì)其進(jìn)行轉(zhuǎn)移或控制；如果你沒(méi)有擁有它，則無(wú)法捕獲或改變它。

contract CryptoKitties {

// Accounts store a collection in their account storage

resource KittyCollection {

// Each collection has functions to

// move stored resources in and out

fun withdraw（kittyId： int）： CryptoKitty

fun deposit（kitty： CryptoKitty）

}

// The resource objects that can be stored in the collection

resource CryptoKitty {}

}

transaction（signer： Account） {

// Removes the Kitty from signer‘s collection， and stores it

// temporarily on the stack.

let theKitty 《- signer.kittyCollection.withdraw（kittyId： myKittyId）

// Moves the Kitty into the receiver’s account

let receiver = getAccount（receiverAccountId）

receiver.kittyCollection.deposit（kitty： 《-theKitty）

注意：為了將重點(diǎn)放在分類賬和直接所有權(quán)模型之間的差異上，上面的兩個(gè)例子都忽略了訪問(wèn)控制、定義每個(gè)變量、以及實(shí)時(shí)代碼相關(guān)的其他因素。

簡(jiǎn)而言之，將某個(gè)東西標(biāo)記為Resource就是在告訴編程環(huán)境：這個(gè)數(shù)據(jù)結(jié)構(gòu)代表了某種有形的價(jià)值，與該數(shù)據(jù)結(jié)構(gòu)進(jìn)行交互的所有代碼都需要遵循一系列特殊的規(guī)則，以維護(hù)該數(shù)據(jù)結(jié)構(gòu)的價(jià)值。

那么，這些規(guī)則都有什么呢？

1.每個(gè)Resource 在某一時(shí)刻只能存在于一個(gè)地方。Resources不能通過(guò)編程錯(cuò)誤或惡意代碼進(jìn)行復(fù)制或意外刪除。

2.Resource 的所有權(quán)由其存儲(chǔ)位置決定。在確定所有權(quán)時(shí)，無(wú)需查閱中央分類賬。

3.只有所有者可以對(duì)Resource上的方法進(jìn)行訪問(wèn)。例如，只有CryptoKitty的所有者才可以產(chǎn)生新Kitty。

2. 為什么Resource非常重要？

就像簡(jiǎn)介中提到的，智能合約特別適合管理貴重資產(chǎn)的所有權(quán)，但是大多數(shù)編程語(yǔ)言（甚至是專門(mén)為智能合約而設(shè)計(jì)的編程語(yǔ)言）都沒(méi)有任何用于管理所有權(quán)的本機(jī)抽象（native abstractions）。在協(xié)議級(jí)中包含這樣的抽象顯然意義重大。

但是，使用Resources還有一些其他值得一提的好處：

· 狀態(tài)租金（State Rent）

可擴(kuò)展的智能合約平臺(tái)需要通過(guò)某種方式來(lái)收取狀態(tài)租金（state rent），以便為存儲(chǔ)在區(qū)塊鏈上的數(shù)據(jù)支付費(fèi)用或?qū)⑵鋸墓ぷ骷袆h除。

在分類賬模型下，很難知道該由誰(shuí)來(lái)支付這些租金。例如，CryptoKitties合約代表了數(shù)以萬(wàn)計(jì)的用戶，有近200萬(wàn)Kitties和超過(guò)111MB的鏈上數(shù)據(jù)。Ethereum無(wú)法公正地向所有這些Kitty所有者收取租金。

通過(guò)使用Resource Types的直接所有權(quán)模型，可以將每個(gè)Kitty都（與該用戶的其他資產(chǎn)一起）存儲(chǔ)在其所有者的賬戶中。支付存儲(chǔ)付費(fèi)的責(zé)任十分明確。此外，個(gè)人用戶（在其客戶端軟件的幫助下）可以歸檔未使用的資產(chǎn)，以降低成本并減少網(wǎng)絡(luò)負(fù)載。

· 靈活所有權(quán)（Flexible Ownership）

將分類賬模型用于所有權(quán)會(huì)限制可用的所有者關(guān)系種類。例如，ERC-721為NFT定義了一個(gè)所有權(quán)模型，該模型假定只有Ethereum地址才能擁有NFT。然而，在某些用例中，資產(chǎn)本身?yè)碛衅渌Y產(chǎn)（比如CryptoKitty擁有一副漂亮的墨鏡）的想法非常有意思，這就需要?jiǎng)?chuàng)建新的規(guī)范（ERC-998）。

不可否認(rèn)，ERC-998非常強(qiáng)大，但它也比ERC-721要復(fù)雜得多。要想正確地執(zhí)行該規(guī)范是非常困難的，而且實(shí)際上，要將其有效地應(yīng)用于現(xiàn)有的ERC-721資產(chǎn)是不可能實(shí)現(xiàn)的。

直接所有權(quán)模型能夠讓任何使用Resource Types進(jìn)行建模的資產(chǎn)安全地存儲(chǔ)在系統(tǒng)中的任何位置，包括其他資產(chǎn)“內(nèi)部”（如果適用的話）。

所有的安全性和價(jià)值保障都可以由運(yùn)行時(shí)系統(tǒng)進(jìn)行維護(hù)。在為開(kāi)發(fā)人員提供靈活性的同時(shí)，又不會(huì)帶來(lái)不必要的復(fù)雜性。

· 基于能力的安全性（Capability-Based Security）

Resource Types為實(shí)現(xiàn)基于能力的安全性模型中的“功能（Capabilities）”概念提供了所需的一切保障。Capabilities是定義安全系統(tǒng)的強(qiáng)大機(jī)制，能夠讓遵循最小特權(quán)原則（Principle of Least Privilege）（安全系統(tǒng)中常見(jiàn)的最佳實(shí)踐）變得更加容易。

通常認(rèn)為，基于能力的安全性模型在提供了更強(qiáng)靈活性的同時(shí)，也更容易進(jìn)行推理（這增強(qiáng)了安全性）。

· 消除可重入性Bugs（Eliminating Reentrancy Bugs）

Ethereum歷史上最著名的智能合約bug是由可重入性問(wèn)題引起的，Solidity開(kāi)發(fā)人員需要不斷提高警惕，防止引入易受可重入性攻擊的邏輯流。

Ethereum歷史上最著名的智能合約bug：

https://www.wired.com/2016/06/50-million-hack-just-showed-dao-human/

幸運(yùn)的是，定義在Resource對(duì)象上的方法不會(huì)成為任何可重入性bug的受害者。

這似乎是一個(gè)十分大膽的主張！然而，它僅僅是自然地遵循了Resources的定義方式：每個(gè)Resources都有一個(gè)單獨(dú)的所有者，并且只有其所有者可以調(diào)用Resources上的方法。如果一個(gè)Resources方法在“堆棧上”，那么我們就知道該對(duì)象的單個(gè)所有者引用已在使用中。我們從該方法內(nèi)部調(diào)用的任何代碼都不可能（盡管是間接地）獲得對(duì)該對(duì)象的第二個(gè)引用以進(jìn)行可重入方法調(diào)用。

當(dāng)然，直接使用全局共享狀態(tài)（繞過(guò)Resource對(duì)象的使用）仍然可能創(chuàng)建易受可重入性bug影響的代碼。

這就是慣用的Cadence style對(duì)所有共享狀態(tài)使用Resources的原因，精通Resources的智能合約作者無(wú)需再擔(dān)憂可重入性錯(cuò)誤問(wèn)題！

Flow的編程語(yǔ)言Cadence使用Resources

去年，在對(duì)更好的智能合約語(yǔ)言進(jìn)行了學(xué)術(shù)研究后，F(xiàn)low開(kāi)發(fā)團(tuán)隊(duì)調(diào)查了區(qū)塊鏈環(huán)境下Linear Types的使用。幾乎在同一時(shí)間，Libra的團(tuán)隊(duì)發(fā)布了其最初公告，其中包括MoveVM的技術(shù)細(xì)節(jié)。

學(xué)術(shù)研究：

http://www.cs.cmu.edu/~balzers/publications/digital_contracts_as_session_types.pdf

Resource Types的強(qiáng)大功能令我們震驚，它是Flow的智能合約編程語(yǔ)言Cadence的定義功能之一。Resources解鎖了比EVM或WASM更豐富的可組合性選項(xiàng)，是數(shù)字資產(chǎn)的完美選擇（尤其是NFT！）

可組合性：

https://hackernoon.com/software-composability-in-crypto-a705700c3816

Cadence具有舒適的、符合人體工程學(xué)的語(yǔ)法，易于閱讀。它通過(guò)一個(gè)強(qiáng)大的靜態(tài)類型系統(tǒng)來(lái)最大程度地減少運(yùn)行時(shí)錯(cuò)誤，并且允許所有方法、接口和事務(wù)包含前置和后置條件，以強(qiáng)制執(zhí)行預(yù)期的行為。我們認(rèn)為，這會(huì)使語(yǔ)言變得更易于學(xué)習(xí)和審核，最終，會(huì)比現(xiàn)有的所有選擇都更加高效。