比特币白皮书13周年，13个关键知识点

2008 年 10 月 31 日 18:10:00 UTC 和北京时间 11 月 1 日 2:10:00，密码学邮件列表发送了一条自称中本聪的消息。这封电子邮件是由主题为“比特币 P2P 电子现金纸”的人发送的。邮件正文直截了当：

我一直在研究一个新的电子现金系统，它完全

点对点，没有受信任的第三方。

论文可在：

主要性能：

通过点对点网络防止双重支出。

没有铸币厂或其他受信任方。

参与者可以是匿名的。

新币由 Hashcash 风格的工作量证明制成。

新代币的工作量证明也支持

网络以防止双重支出。

我正在设计一个新的电子现金系统，它完全是点对点的，没有受信任的第三方。

论文可在：

主要特点：

通过点对点网络防止双重支出。

没有 Mint 或其他受信任方。

参与者可以是匿名的。

新币由 HashCash 风格的工作量证明生成。

新代币生成的工作证明还为网络提供了防止双重支出的能力。

这份 9 页的论文也被称为比特币白皮书。去年，在白皮书发表12周年之际，六角链公众号发布了《比特币12周年与中本聪12个预言》

第一个知识点：电子硬币是一串数字签名。位置：白皮书第 2 页，第 2 小节“交易”。

令许多人惊讶的是，比特币区块链上没有比特币，只有电子硬币。这些硬币的面额是自然数，单位为 0.00000001 BTC。后来，比特币社区将该单位命名为“sats”，以纪念中本聪。

所以，没有“1 个比特币”这样的东西。不同面额的电子硬币只有很多，例如一种面额为100,000,000（1 BTC），另一种面额为5,000,000（0.05 BTC）等等。

电子硬币的结构是什么？实际上，电子硬币就是一系列的电子签名，是每一次硬币变化的记录，是一次硬币变化的整个交易历史。

移交交易是花费旧币和生成新币的过程。新币是由旧币的所有者对要花费的旧币和收款人地址进行数字签名，确认所有权转移而生成的。

值得注意的是，比特币白皮书中并没有出现UTXO（未使用的交易输出）这个词。这个概念通常是指尚未使用的新币。

在比特币的硬币模型中，与传统金融系统中常用的账户模型不同，电子硬币只有两种状态，要么完全用完，要么还没有用完。没有花一半或一半这样的事情。

第二个知识点：使用哈希链的区块链作为时间戳服务器。位置：白皮书第 2 页，第 3 小节“时间戳服务器”。

区块链最大的作用其实就是对交易进行排序，也就是确定交易的顺序。有秩序，才有历史。有历史，就有时间的概念。

比特币的区块链本身就是一个滴答作响的时钟。每个区块的哈希值就像石英钟的秒针每秒跳动一样。时间不是连续的，至少在比特币时钟内。

比特币的内生时间是自成一体的，不依赖于区块链之外的计算机时间，也称为壁时——挂在墙上的时钟的时间。

值得注意的是，复合词区块链并未包含在比特币白皮书中。这个词是后人拼凑而成的。

第三个知识点：使用工作量证明在分布式点对点网络上实现时间戳服务器。位置：白皮书第 3 页，第 4 小节“工作证明”。

Proof of Work，英文Proof-of-Work，简称PoW。业界总是把 PoW，以及后来的 PoS、PBFT、DPoS 等称为所谓的“共识算法”或“共识机制”，其实是有误导性的。

与PBFT等算法类似，设计目标确实是解决节点之间的共识问题，也就是所谓的共识问题。在开放网络条件下（互联网是一个封闭网络），这个问题也被称为拜占庭将军问题。

但是中本聪引入PoW绝不是针对拜占庭一般问题，虽然最终的效果确实是解决了这个问题，而是旨在发明和创造一个势不可挡的超级时钟，传播到世界各地.

所以，虽然比特币肯定克服了拜占庭一般问题，而且 PoW 链或时间链确实是解决拜占庭一般问题的方法，但中本聪在白皮书正文或参考文献中均未提及。而这个困扰分布式系统领域数十年的问题。

第四个知识点：通过调整工作量证明的计算难度，适应网络算力的波动，保证出块速度保持稳定。位置：白皮书第 3 页，第 4 小节“工作证明”。

任何对比特币如何运作有深入了解的人都会惊讶于比特币网络在没有集中协调的情况下能够调整自己的超级时钟，以便区块间隔在统计上跟踪世界 10 分钟的现实。

有点像计数器。比特币本身会面对手表，一个是它自己的超级时钟，一个是现实世界中的挂钟。

第五个知识点：网络节点通过最长链原则达成共识。位置：白皮书第 3 页，第 5 小节“网络”。

使用全局超级时钟，可以对事务进行排序。

网络不需要特殊的拓扑结构（比如DPoS指定多少个超级节点），通信可以用最简单的八卦，网络传输不需要特别的保证，只需要尽力而为的原则这使得达成全球共识变得容易，您只需要相信一个谢林点，即包含最多工作量证明的链（最长的链）。

注意比特币知识点，最长链不是指区块数量最多，而是指链中包含的每个区块的PoW难度，过去13年的累积，总价值最大的链。

如果我们阅读 Leslie Lamport 关于 1980 年代拜占庭将军问题的原始论文，中本聪的担忧就非同寻常了。

BFT 研究人员（包括后来的分布式共识算法，例如非开放网络中的 Paxos）通常将他们的研究重点放在协商方法上，例如投票机制。而且他们自动将时钟同步假设作为默认前提条件，甚至在论文中都没有讨论它。

我猜可能是因为FLP定理，拜占庭将军问题在异步网络下无法解决。

但中本聪将深入研究很少被关注和讨论的时钟同步假设。如果我们不能做出这样的假设会发生什么？

中本聪的回答是，我们需要先发明一个全球超级时钟。

他发明了这个超级时钟。然后我们发现，所谓的拜占庭一般问题，一路走来就解决了。

第六个知识点：网络通过区块奖励和交易费用来激励区块生产者，让他们保持诚实。位置：白皮书第 4 页，第 6 小节“激励措施”。

这是一个聪明的博弈论设计。

区块链是一个公共分类账。如果维护账本的安全性和正确性没有任何好处，如果篡改和销毁账本会导致欺诈利润，那么每个人都会销毁账本，最终比特币会归零，没有人会获得任何好处这是经典的“公地悲剧”问题。

这种每个人都选择理性的自身利益最大化，但最终导致所有利润最小化的情况，在博弈论中称为“囚徒困境”。囚徒困境中各方的理性选择陷入了无人能逃脱的均衡，称为“纳什均衡”。

在人类过去的历史中，为了克服这个问题，采取的方法是集中的方法。通过引入中心化的权威来惩罚做坏事的人，就像我们现实社会中的各种法律法规一样，大多是惩罚机制，利用外力推动纳什均衡的运动，扭转历史的悲剧。公地。 ，让人们摆脱相互伤害的囚徒困境。

这是中本聪创造性发明的去中心化系统，它还通过自动施加奖励机制，辅以对作恶能力的密码约束，神奇地促进了纳什平衡点的移动。扭转公地悲剧，摆脱囚徒困境的内卷博弈。

至于奖励的目标，就是PoW的计算。公平公开。由于 PoW 计算，作弊是不可能的。

区块链行业的创新层出不穷，有很多项目模仿比特币设计各种挖矿激励机制。但是，很难找到一个公平公正的奖励目标，它与 PoW 一样好，没有作弊，没有后门。

第七个知识点：区块奖励也是一种实现比特币去中心化发行的方法。位置：白皮书第 4 页，第 6 小节“激励措施”。

更好的是，区块奖励用于改变游戏结构，同时从头开始完成比特币的发行和分配。

由于奖励是去中心化的，奖励的行为是去中心化的，比特币的发行是自动去中心化的。

第八个知识点：使用Merkle树将交易数据从区块中分离出来，剩下的数据称为区块头，数据量较小。位置：白皮书第 4 页，第 7 小节“回收磁盘空间”。

这是一种优化。数据拆分后，块头中剩余的数据量非常少，可以很方便的加载到内存中进行快速计算。

同时比特币知识点，Merkle 树也支持剪枝，可以剪枝掉用过的币数据，节省磁盘空间。这是硬币模型相对于帐户模型的一个好处。硬币只有两种状态，未使用和已使用。用完可以剪掉。

2017年，为了在不损害比特币安全性的前提下扩大比特币的容量，核心开发团队最终决定保留区块的物理大小限制，并更改交易数据的签名部分，也称为见证数据，从块中拆分出来，从而达到逻辑扩展的目的。这种技术被称为“隔离见证”（segwit）。

隔离见证技术扩展了比特币区块的逻辑容量，缓解了应对交易量增加的压力。

第9个知识点：允许用户只保留最长链的区块头数据。这项技术称为简化支付验证 (SPV)。位置：白皮书第 5 页，第 8 小节“简化付款验证”。

我们剥离交易数据后，剩下的区块头数据非常少。它甚至可以安装到移动设备中。这可用于实现轻量级钱包或轻量级节点。

但是，对于很多货币用户来说，他们可能已经投机多年，他们只会使用中心化交易所来托管自己的比特币。这种建议就是尽快学习掌握《如何用私钥保管比特币》

第十个知识点：一笔转账交易可以允许多输入多输出。位置：白皮书第 5 页，第 9 小节“合并和拆分价值”。

类似于金币的熔化和重铸。比特币交易允许多个 UTXO 作为输入，然后拆分为多个输出，分发到不同的地址，等等。

这为比特币转账交易提供了很大的灵活性。它还使我们能够使用只有两种状态的硬币来响应任何付款需求。

我们可以选择一个足够满足需求的大币，也可以组合多个小币完成支付需求，将剩余的金额转移到我们自己的新地址。这个新地址通常被称为“更改地址”。

输入量与输出量之和往往不相等。它们之间是有区别的。输出小于输入。差异是表示交易愿意支付给区块矿工的交易费用，也称为“矿工费”。

别忘了设置找零地址。否则，您可能会将所有剩余金额都交给矿工！比如你输入1 BTC给张三0.1 BTC，并且没有设置找零，则交易隐含的矿工费为0.9 BTC。

有些人为了偷懒省事，把输入地址重用为找零地址。比特币网络不会阻止你这样做。但是，这里存在安全问题以及隐私问题。隐私问题将在以下两个知识点中提及。安全问题与量子计算机有关。

量子计算，如果可以实用（虽然还有108000英里），理论上可以破解ECDSA签名算法，但是很难破解SHA-256哈希算法。一个没有做过交易的干净地址，签名公钥不在链上。链上只有公钥的哈希值，即从未移动过硬币的比特币地址具有足够的抗量子能力，可以保护其中的资产免受量子计算机的攻击。<​​/p>

第11个知识点：比特币网络不收集任何用户隐私数据。位置：白皮书第 6 页，第 10 小节“隐私”。

在当今大数据时代，隐私已成为一个严重的社会问题。而这一切早在 1993 年 Eric Hughes 撰写 The Cypherpunk Manifesto 时就已经预见到了。

比特币的意识形态起源来自密码朋克。密码朋克宣言中提到的隐私货币是比特币的先见之明。

导致隐私问题的是全收集、免费使用的互联网商业模式。传统的解决方案是引入集中式强监管。

监管方法有几个可能的缺点： 1. 立法滞后； 2.执法成本高； 3. 集中贪污受贿的可能性。

中本聪给出的解决方案更为激进：从一开始就拒绝触及任何个人隐私。请勿触摸，更不要收集。

第十二个知识点：中本聪建议为每笔交易更改一个地址，以更好地保护隐私。位置：白皮书第 6 页，第 10 小节“隐私”。

虽然比特币系统不收集任何隐私，但互联网系统是一个千疮百孔的筛子。您的个人隐私信息在互联网上无处不在。如果你碰巧泄露了你的地址，通过大数据分析很容易将你的身份和地址关联起来。

因此中本聪建议，“试一试，换个地方”。

如果用在商业场景中，比如支持比特币支付的电商网站，最好为每个订单生成一个单独的地址。

但管理这些地址需要做很多工作。为了简化这项工作，后来的社区提出了所谓的HD钱包技术，也称为Hierarchical Deterministic Wallet技术。

第13个知识点：随着全网算力的增加，不需要等6个区块才能确认账户。位置：白皮书第 8 页，第 11 小节“计算”。

很多人都听说过比特币到达所需的所谓 6 块确认。 6个区块，平均每10分钟，6个区块确认是一个小时等待。因此，有人批评比特币交易速度慢等。

但是当我打开比特币白皮书时，并没有等待6个区块被确认的事情。

其实所谓的6块确认，真的是后人对比特币白皮书刻板研究的结果。

中本聪在白皮书第 8 页进行了大量计算后得出了一系列数字。结论性数据是：要将确认后被推翻的概率降低到千分之一以下，那么当恶意算力相当于全网算力的10%时，需要等待5个区块扩展（包括打包交易的第一个区块，一共6个区块）。

这只是中本聪计算的第一个结果。后来，他陆续给出了更多的结果。例如，如果恶意算力相当于 15%，则等待 8 个区块。 ...

在整个比特币网络的算力已经达到150E的今天，恶意算力很难掌握10%的算力。或者，另一方面，掌握高达 10% 计算能力的人不会有兴趣欺骗你。他可以利用这个算力认真挖比特币，这样收益会更稳定更高。这就是比特币如何将恶引向善。

有些币把人变成鬼，比特币把鬼变成人。

中本聪所推断的是最坏的情况。 （即便如此，coinbase 等对欺诈最敏感的交易所已经将比特币存款的确认数量减少到 3 个区块）

很多时候，我们可以做出更乐观的假设。

例如，星巴克可以假设为咖啡付费的顾客几乎不会为了数十美元的咖啡而攻击比特币系统。例如，您可以假设您的朋友和熟人几乎不会欺骗您。那么在这些外部信任的情况下，确认次数可以大大缩短，甚至可以实现零区块确认。

中心化系统，由平台确认收款与否。去中心化系统，收与不收由你决定。

去中心化的比特币，赋予个人权力，将权力还给人民，是全面而彻底的。

谢谢你，中本聪。