tendermint核心问题

为什么共识需要达到大于2/3的power？

faulty节点它希望做到分裂共识 或者无法共识。假设总power为N，合理的共识阈值为 X，faulty节点的权益是f。

如果共识的阈值太高，那么faulty节点可以不投票，让网络无法共识。因此X < N - f

如果共识的阈值太低，那么faulty节点可以分别欺骗诚实节点，让他们做出不同的投票行为，从而分裂共识。如当faulty节点作为proposer，

它可以向 1/2 的诚实节点发送其中一个 proposal， 向另 1/2 诚实节点发送发送不同的proposal，并且faulty节点向两个proposal都进行投票， 那么

需要满足X > (N-f)/2 + f

总结一下：

• 避免无法共识 需要满足X < N - f

• 避免分裂共识 需要满足X > (N-f)/2 + f

由(N-f)/2 + f< X < N - f

== >(N-f)/2 + f < N -f

== >N-f + 2f < 2N -2f

== >N > 3f

推论1： 为了解决拜占庭问题，参与共识的节点power应大于 3f

由X > (N-f)/2 + f

== >X > (3f-f)/2 +f

== >X > 2f

== >X > 2/3N

推论2：在满足faulty节点power小于1/3N前提下，达成共识的阈值应大于2/3N。

为什么需要经过两次（prevote，precommit）投票的共识？

假设只做一轮投票，就写入区块，其中一个节点确实收到了2/3+ power的投票，于是写入了区块。

而其他节点由于网络原因，并未收到2/3+ power的投票，于是进入了下一轮的出块投票，于是区块链分叉。

那么经过两次的投票是如何保证其他节点不会由于网络问题而进行新的一轮共识呢? 实际上当第一轮（prevote）的投票

达成共识后，第二轮的某个节点收到了2/3+ 的precommit，于是将区块写入数据库，但是其他节点并没有收到2/3+的precommit，

于是进行了新的一轮的投票，在新的一轮共识中，由于在上一轮共识过程中已经对proposal达成过了2/3+ 的prevote共识（成为Lock Proposal）,

这一轮共识proposer只能提出相同的proposal，其他节点也只接受Lock Proposal。因此即使进行了新的一轮共识，也只有相同的区块产生，避免了分叉。

同时consensus模块有WAL（write ahead Log）去保障即使节点异常重启，总是能够恢复得到Lock Proposal。

其他节点如何验证块的正确性？

在block中有一个last_commit 字段，记录上一个block的所有precommit投票。

为什么记录的是上一个块的precommit的投票而不是本高度的块的呢？ 那是因为每个节点收到的precommit投票的数量不同，甚至round也不同，

如果这个字段由每个peer自己决定的话，那么产生的块都会不一样。于是，将这个任务交给proposer，proposer把这个上一轮的precommits放入到这一轮

block的proposal中。

• 对于参与共识的节点而言，他们通过consensus协议，接受p2p网络中传输过来的validator的各种vote消息、blockPart消息和

proposal消息来达成共识决定这一轮的block。

• 对于不参与共识，只同步块的节点而言，需要同时获取到两个连续的block（blockA，blockB），用blockB中的last_commit来验证blockA的合法性。