編譯 姚人杰

美國計算科學(xué)家彼得·丹寧（Peter Danning）和泰德·劉易斯（Ted Lewis）認為：隨著加密貨幣的驗證方法在各個領(lǐng)域找到用武之地，加密貨幣的創(chuàng)新基礎(chǔ)也許會比貨幣本身存在得更久。

2 009年1月3日，中本聰開始銷售一種新形式的貨幣，并運營相關(guān)的支持系統(tǒng)，稱之為比特幣加密貨幣系統(tǒng)。之所以有比特幣（BTC）這個名字，是因為它是一種能夠像硬幣一樣使用的數(shù)字貨幣，而“加密”（crypto）二字表明：比特幣得到加密方法的保護。比特幣有著秘密的根源：世人仍然不知道中本聰是誰，但他可能是哈羅德·托馬斯·芬尼二世（Harold Thomas Finney II）。芬尼是一位著名的密碼學(xué)家，創(chuàng)造過一種擔保交易系統(tǒng)，類似于比特幣交易使用的系統(tǒng)。他也是完美隱私（PGP）公司雇用的開發(fā)員。（PGP是一種廣泛運用于個人編碼密鑰的協(xié)議。）2009年，芬尼是第一位接受比特幣的人。但我們也許永遠無法確切地知道中本聰是誰，因為芬尼在2014年過世了。

“比特幣”這個詞令人聯(lián)想起這樣一幅畫面：以比特型樣（bit pattern）為編碼的一枚真正錢幣。比特型樣最大的問題在于：擁有者可能保留一份數(shù)字副本，試圖用同一枚貨幣進行另一次付款。這一雙重支付難題困擾了所有虛擬貨幣概念。中本聰希望有個系統(tǒng)能夠確保一筆錢只能花出去一次，沒有雙重支付。

銀行早已知道如何避免雙重支付：一筆數(shù)字交易由銀行來完成，而不是由消費者。銀行對于所有帳戶的數(shù)據(jù)庫擁有完全控制權(quán)，能安全地從支付者轉(zhuǎn)移一筆資金到收款人的帳戶。銀行業(yè)的基礎(chǔ)是對于銀行系統(tǒng)的信任。中本聰摒棄了集中式數(shù)據(jù)庫的理念，轉(zhuǎn)而尋求一種沒有可信任媒介、或沒有單點故障的系統(tǒng)。無法侵入單個數(shù)據(jù)庫的分布式系統(tǒng)正合需要。

為了便捷地儲存用于交易的密鑰，比特幣用戶需要購買紙質(zhì)憑證或塑料卡片。一些儲存了密鑰的卡片制作得很精細，運用了全息圖之類的防篡改技術(shù)，就像這張卡片的特寫圖像中顯示的那樣。也能找到采用與硬幣相似的代幣形式的儲存裝置

從而，中本聰將比特幣定義為“數(shù)字簽名的鏈”。為了理解他的意思，就考慮一下這個例子，比如愛麗絲要支付1比特幣給鮑勃。愛麗絲可以生成一個憑證，即“愛麗絲支付了1比特幣給鮑勃，愛麗絲簽名”。憑證需要愛麗絲的數(shù)字密鑰簽名，數(shù)字密鑰對應(yīng)一個數(shù)字公鑰，任何人都可以用公鑰來核實愛麗絲的所有權(quán)。憑證是對交易的記錄，該筆交易儲存于記錄所有交易的賬簿中。愛麗絲的支付能力是由她的所有收支交易的整段歷史來決定。當交易完成時，賬簿會顯示愛麗絲的凈值減少1比特幣，而鮑勃的凈值增加1比特幣。換言之，加密貨幣是記錄于賬簿中的交易產(chǎn)生的值。我們掃描賬簿，可以查出任何人在任何時刻的凈值。

基于交易歷史來計算值的理念在許多領(lǐng)域得到應(yīng)用。一個熟悉的例子是對不動產(chǎn)的所有權(quán)。這份憑證中說，“到本日為止，愛麗絲是此處所描述的不動產(chǎn)的唯一擁有者；簽名、公證人。”當鮑勃想要購買這個不動產(chǎn)時，托管公司雇用產(chǎn)權(quán)調(diào)查事務(wù)所去審查之前的所有買賣和抵押記錄，追溯到房屋建成之時，以此來核實愛麗絲確實是唯一的合法所有者。不動產(chǎn)交易的蹤跡被稱為“鏈”。盡管當前的所有權(quán)是鏈整體的一部分，但所有權(quán)的正當性要視整段歷史而定。假如所有權(quán)公司被替換成電腦系統(tǒng)，交易統(tǒng)統(tǒng)變成電子資金轉(zhuǎn)撥，那么中本聰對值的定義與這樣的情景類似。

過去一年里以美元表示的比特幣價值顯示出極強的波動性

所有比特幣交易的記錄被匯編成約為4 MB大小的區(qū)塊。所有區(qū)塊（追溯至2009年比特幣橫空出世時）的鏈表稱為區(qū)塊鏈。盡管區(qū)塊鏈能夠儲存于中央數(shù)據(jù)庫，中本聰卻希望將它分布儲存于網(wǎng)絡(luò)的眾多計算節(jié)點，從而免除單點故障的風險。因此，在分布式的節(jié)點網(wǎng)絡(luò)中存有區(qū)塊鏈的許多副本，但通過對源自數(shù)字簽名和散列值的鏈進行復(fù)雜布置，整個區(qū)塊鏈得到保護，免于被篡改。多數(shù)同意原則的一種形式用來決定哪個區(qū)塊是有效的，能添加到區(qū)塊鏈中。要在未被察覺的情形下改動任何節(jié)點上的副本的內(nèi)容是近乎不可能的。

比特幣系統(tǒng)附帶有稱為“錢包”的用戶介面軟件。用戶登錄進入錢包，再具體指定交易。錢包處理所有具體事務(wù)，譬如：將交易表示成簽名憑證、向網(wǎng)絡(luò)廣播交易、從網(wǎng)絡(luò)接收交易等，這些交易會影響錢包中的資金。通過稱為比特幣兌換的經(jīng)紀系統(tǒng)，錢包將美元之類的貨幣兌換成比特幣。

簽名與散列值

區(qū)塊鏈是由區(qū)塊組成的鏈表，每個區(qū)塊包含交易記錄、前一個區(qū)塊的散列值（基于文件中的比特而生成的一串獨一無二的比特）、交易的默克爾散列值（這種方法重復(fù)地對一對散列值計算其散列值，直至僅剩下一個總散列值）和作為工作量證明（POW）副產(chǎn)物而產(chǎn)生的隨機數(shù)

在線上交易的世界里，兩個概念絕對是基本中的基本：數(shù)字簽名與散列值。用戶使用比特幣錢包的話，能獲得一對匹配的密鑰（一個公鑰與一個私鑰，每個密鑰一般都由256個比特的型樣組成），它們是公鑰密碼系統(tǒng)的基礎(chǔ)。在區(qū)塊鏈中，信息加密不重要，信息的真實性才重要。愛麗絲“支付1比特幣給鮑勃”的交易行為被編碼成“支付1比特幣給鮑勃的公鑰”，由愛麗絲的私鑰簽名，再提交給區(qū)塊鏈。只有鮑勃能“兌現(xiàn)”這筆交易，換句話來說，就是用他的私鑰去解鎖交易。數(shù)字簽名保證了交易的有效性記錄在賬簿中。

但簽名并未得到保護，無法抵御雙重支付。如果愛麗絲往區(qū)塊鏈里插入兩次相同的“支付給鮑勃”交易，雙重支付就可能發(fā)生。區(qū)塊鏈協(xié)議不會接受愛麗絲的重復(fù)交易，但如果鮑勃能在協(xié)議退回重復(fù)交易之前就“取現(xiàn)”成功，那么鮑勃獲得兩次支付，愛麗絲卻只支付過一次。

中本聰使用一系列復(fù)雜的密碼技術(shù)解決了這個問題，而這些技術(shù)基于所謂的散列函數(shù)。由一個特別的函數(shù)接受一個文件的所有比特，進行拌碼，再將拌碼成果壓縮成固定數(shù)量的比特（一般為256個比特），最終產(chǎn)物就是散列值。設(shè)計巧妙的散列函數(shù)會對文件原本進行徹底的拌碼，輸入的信息改變1比特的話，都會導(dǎo)致輸出的大部分比特變動。散列函數(shù)是不可逆轉(zhuǎn)的：給定輸出結(jié)果，找到生成它的輸入信息的唯一辦法是搜索所有可能的輸入信息，這個過程耗費的時間會超過宇宙的余生。為了確保沒有人能夠篡改區(qū)塊鏈中的任何交易，每筆輸入?yún)^(qū)塊鏈的交易都伴隨著散列值。驗證一筆交易的有效性非常簡單：計算它的散列值、和伴隨交易一起儲存的散列值進行比較。

區(qū)塊鏈中一個交易區(qū)塊的散列值通過綜合如下的數(shù)值進行計算：前一個區(qū)塊的散列值、當前區(qū)塊的所有交易的散列值、隨機數(shù)（nonce，一個僅用一次的隨機數(shù)）。這種聯(lián)接區(qū)塊的方法稱為棘輪法，因為對一個區(qū)塊的任何變動都要求重新計算所有區(qū)塊的散列值，一直到區(qū)塊鏈盡頭為止。

工作量證明

使用一種被稱為“工作量證明”（POW）的算法后，使得計算出一個區(qū)塊的新散列值要：花費時間、費用昂貴、有意為之、理由充分。如果計算出散列值所需的時間差不多等同于網(wǎng)絡(luò)給區(qū)塊鏈添加新區(qū)塊所花費的時間，那么黑客就不可能追趕上，無法用重新計算后的區(qū)塊鏈來取代原始的區(qū)塊鏈。

隨機數(shù)在POW中扮演了關(guān)鍵角色。隨機數(shù)不是任意數(shù)字，而是特定的隨機數(shù)，導(dǎo)致區(qū)塊的散列值始于一定數(shù)量的前導(dǎo)零比特。例如，如果零的數(shù)量的參數(shù)是60，區(qū)塊散列值必須起始于60個零比特。要達到這種格式，唯一的方式是找到正確的隨機數(shù)，當該隨機數(shù)和區(qū)塊的所有其他散列值相結(jié)合時，會產(chǎn)生一個以60個零比特起始的區(qū)塊散列值。因為散列函數(shù)是不可逆轉(zhuǎn)的，這個過程只能通過重復(fù)嘗試隨機數(shù)來完成，每一次的隨機數(shù)會大于前一個隨機數(shù)。

比特幣的零的數(shù)量的參數(shù)調(diào)整頻繁，所以POW平均要花費大約10分鐘。這意味著一位黑客要預(yù)計花費大約10分鐘的計算時間去尋找到一個合適的隨機數(shù)，該隨機數(shù)為一個欺詐性的區(qū)塊生成有效的散列值。反過頭來，這意味著，黑客超過某位正在將新的有效區(qū)塊聯(lián)接到區(qū)塊鏈上的用戶的概率是微乎其微的。中本聰建立的系統(tǒng)確保POW越來越難（出現(xiàn)越來越多的前導(dǎo)零），因此新的隨機數(shù)也越來越難以發(fā)現(xiàn)。當比特幣總數(shù)達到2 100萬時，尋找新的隨機數(shù)變得近乎不可能。

礦工

礦工是一種特殊的節(jié)點，為區(qū)塊鏈所計劃的新區(qū)塊計算POW，通過執(zhí)行POW、添加區(qū)塊的方式來構(gòu)建區(qū)塊鏈。礦工的工作步驟如下：

向所有節(jié)點廣播新的交易。

每個節(jié)點將新的交易收集進一個區(qū)塊。

每個礦工節(jié)點執(zhí)行POW，尋找新區(qū)塊的散列值。

并行工作的不同礦工會發(fā)現(xiàn)不同的隨機值和散列值。

當一個礦工節(jié)點完成POW，它向所有節(jié)點廣播區(qū)塊及它的散列值。

一個節(jié)點通過核實簽名和所有交易的散列值，驗證新區(qū)塊有效，再將新區(qū)塊添加到區(qū)塊鏈的本地副本中。

接受區(qū)塊之后，礦工節(jié)點開始工作，目標是生成區(qū)塊鏈中的下一個區(qū)塊，并使用已接受的區(qū)塊的散列值作為前一個散列值。所有其他礦工都不再嘗試去驗證新區(qū)塊，而是從頭開挖下一個區(qū)塊。

第一個發(fā)現(xiàn)新區(qū)塊散列值的礦工獲得若干比特幣的獎賞。

礦工不斷尋找積聚大量計算能力的方式，以便贏得添加新區(qū)塊到區(qū)塊鏈的競賽，從而獲得獎賞。挖礦是一門大生意，如今出現(xiàn)了專為計算散列值而設(shè)計的芯片。這種環(huán)境鼓勵礦工卡特爾組織的形成，該組織總共控制了全網(wǎng)絡(luò)51%以上的計算能力，他們合作制造新區(qū)塊、分享獎賞。他們擁有至少51%的計算能力，能比網(wǎng)絡(luò)中的任何節(jié)點更快完成POW。這一幕被稱為“51%攻擊”，因為它也可以用來給區(qū)塊鏈添加欺詐性區(qū)塊。

為了避免這樣的作弊，中本聰系統(tǒng)嚴重依賴自我利益而不是信任。他宣稱，“假如一位貪婪的攻擊者能夠聚集起比所有誠實節(jié)點更多的CPU能力，他會在兩種做法之中選擇其一：要么使用那些計算能力來欺騙別人，竊取他們的支付款；要么用那些計算能力來生成新比特幣。他應(yīng)該會發(fā)現(xiàn)，按照規(guī)矩來辦更加有利可圖，這樣的規(guī)矩利于他獲得比所有其他用戶加在一起更多的新比特幣，好過削弱整個系統(tǒng)和他自身財富的有效性?！钡斜韭敽鲆暳擞嬎隳芰_到51%的卡特爾組織的可能性。

區(qū)塊鏈的衍生產(chǎn)物

盡管區(qū)塊鏈是為了比特幣而發(fā)明出來的，但許多人看到了區(qū)塊鏈用于其他用途的潛力，譬如處理去中心化網(wǎng)絡(luò)中的公共記錄和組織記錄。有人提議將互聯(lián)網(wǎng)的DNS（域名系統(tǒng)）遷移到區(qū)塊鏈中，這樣會運行得更快，又有足夠的靈活性應(yīng)付停電。盡管支持者有巨大的熱忱，但依然存在一些重要問題需要暫停，需要在區(qū)塊鏈獲得廣泛采用之前獲得解決方案。這些問題包括區(qū)塊鏈的性能、信任、加密貨幣的波動性、可靠性，以及運營區(qū)塊鏈帶來的全球能源總損耗。

性能

按照設(shè)計，中本聰?shù)膮^(qū)塊鏈的更新有著極大的計算量。結(jié)果就是：比特幣網(wǎng)絡(luò)的總產(chǎn)出大約為每秒7筆交易，而一筆交易提交后，大約需要10分鐘才能結(jié)束這筆交易。相比之下，當今的信用卡公司和銀行每秒鐘能處理數(shù)千筆交易，而且結(jié)束交易差不多只需要瞬息的響應(yīng)時間。2017年8月1日，當比特幣區(qū)塊鏈的區(qū)塊從1 MB變成4 MB時，區(qū)塊鏈經(jīng)歷了一次硬分叉（hard fork），比特幣的一個更輕盈的版本（被稱為“比特幣現(xiàn)金”）被創(chuàng)造出來，旨在改善交易的處理速度。

除了大規(guī)模計算能力，區(qū)塊鏈還需要大量的存儲。2017年，區(qū)塊鏈占用了100 GB的存儲空間，在一臺個人計算機中下載和驗證一個新副本要花費好多天時間。要支持一種有數(shù)十億用戶的加密貨幣的話，區(qū)塊鏈需要達到極大的規(guī)模。這種區(qū)塊鏈顯然無法按比例增加到那種規(guī)模。

至少還有十多種其他區(qū)塊鏈架構(gòu)，所有架構(gòu)都旨在降低驗證新區(qū)快、將它添加到區(qū)塊鏈中所需的計算工作量。最有前景的一種方案是以太坊（Ethereum），采用權(quán)益證明（POS）而不是工作量證明（POW）：在POS中，當一個新區(qū)塊將要添加進區(qū)塊鏈中時，擁有更多貨幣的節(jié)點在投票決定中擁有更大的權(quán)重。但是和比特幣相比的話，這些類型的加密貨幣看來更容易受到51%攻擊的影響。對于這些加密貨幣進行測試，查明哪些貨幣可靠、容易擴大規(guī)模、能抵御黑客攻擊，將會花費一些時間。

另一種替代方案正在由超級賬本（Hyperledger.org）項目進行探索，它的目標是生成一種商業(yè)區(qū)塊鏈的開放式架構(gòu)。他們已經(jīng)定義了一系列的“層”，每種層提供一種關(guān)鍵功能。其中對于性能最為至關(guān)重要的是共識層，一旦節(jié)點間的一個共識達成后，它就向區(qū)塊鏈添加提議中的新區(qū)塊。他們正在試驗POW的替代方案，這些方案需要的計算量會少得多，譬如使用抽獎機制選擇出一個節(jié)點，接著由那個節(jié)點提供提議中的新區(qū)塊，或者只有當多數(shù)投票接受新區(qū)塊時，才接受提議中的新區(qū)塊。當放松關(guān)于信任的假設(shè)時，這些新選擇就成為可能。在中本聰?shù)木W(wǎng)絡(luò)中，大家都不信任其他人；其系統(tǒng)的設(shè)計是：在每個節(jié)點保持匿名和認為其他節(jié)點都不值得信任的情況下，形成關(guān)于往區(qū)塊鏈添加新區(qū)塊的共識。在新系統(tǒng)中，某個組織內(nèi)的成員可以暴露自己的身份，從而擁有更高的基本信任水平。

信任

有效交易構(gòu)成的正常區(qū)塊鏈由區(qū)塊A1至A7組成。一名黑客嘗試插入欺詐性區(qū)塊B4。因為使用了工作量證明（POW）算法，黑客不得不復(fù)制從A4至A7的所有區(qū)塊，令區(qū)塊鏈分叉，重新計算它們的散列值。POW使得重新計算一個區(qū)塊的散列值的時間與將下一個新區(qū)塊添加進區(qū)塊鏈的時間相同，黑客永遠無法追趕上，也就無法強行用分叉的區(qū)塊鏈取代正確的區(qū)塊鏈

區(qū)塊鏈網(wǎng)絡(luò)的礦工正在變成高度專業(yè)化的職業(yè)人士，依賴專門為POW設(shè)計出的昂貴芯片。因為許多普通用戶負擔不起當?shù)V工的花費，大多數(shù)計算能力就集中在網(wǎng)絡(luò)中的少數(shù)派手中。在近期發(fā)生的價值7900萬美元的以太幣遭竊事件之后，礦工提議相互合作，這樣他們就能回溯和修改區(qū)塊鏈，刪除那些實施盜竊的交易。盡管這種做法會讓犯罪分子喪失賊贓，但它也會侵蝕網(wǎng)絡(luò)的信任基礎(chǔ)。礦工的聯(lián)合體還可能做其他什么事呢？

波動性

加密貨幣的匯率具有相當?shù)牟▌有?，這就慫恿投機者大量買進和囤積比特幣。比特幣總數(shù)有著2 100萬的上限，這個稀缺性因素進一步增加了比特幣的波動性。沒有中央政府的銀行監(jiān)控比特幣和保持幣值的穩(wěn)定。出于這個原因，中國政府已經(jīng)禁止了ICO（首次代幣發(fā)行）的投機行為，禁止以加密貨幣來換取對初創(chuàng)企業(yè)的投資。

比特幣價值的波動性很可能與社會和政治的不確定性相關(guān)，尤其是當人們對政府的信心下降時。有段時間，傳聞中國掌握最多數(shù)量的流通比特幣，導(dǎo)致比特幣價格激增，因為大家擔心中國可能將人民幣貶值。2016至2017年間比特幣匯率的指數(shù)式增長也許是對歐洲和美國政治變化的反應(yīng)。

經(jīng)濟學(xué)家威廉·盧瑟（William Luther）來自俄亥俄州的凱尼恩學(xué)院，他宣稱：比特幣已經(jīng)失敗，無法流行起來，因為將資金從政府擔保的貨幣轉(zhuǎn)換成比特幣的花費過高。比特幣接受者需要有自己的賬簿副本（在2017年，賬簿占據(jù)100 GB的存儲空間）和足夠大的計算能力來快速計算散列值和進行數(shù)字簽名。就算他們進行了兌換，比特幣的波動性也非?？赡軍Z走他們的財富。

能耗問題

我們認為，最大的問題在于POW點子本身。POW的用意是要消耗大量的計算量，甚至是在配置了全球最強大的電腦和專門設(shè)計的芯片之后。這種巨大的計算荷載意味著POW要消耗大量能源。各種估量表示，全球所有數(shù)據(jù)中心當前的電力需求量大約占全球用電量的7%。區(qū)塊鏈的大規(guī)模運用會顯著增加這個總量。這套貨幣系統(tǒng)要求將地球如此多的能源用于發(fā)電，我們真的想要這樣的貨幣系統(tǒng)嗎？假如某人找到辦法來關(guān)閉電力網(wǎng)的話，貨幣系統(tǒng)是不是變得更加容易全面崩潰？

創(chuàng)造新系統(tǒng)

現(xiàn)在看來，最有可能發(fā)生的情況是：比特幣的應(yīng)用仍然會受到限制，直到關(guān)于比特幣安全性和適應(yīng)性的問題得到大家都贊成的解答，但這類解答在眼下尚不明顯。另一方面，區(qū)塊鏈棘輪機制的構(gòu)思早已經(jīng)傳播到相關(guān)技術(shù)中，假如它的一些問題能夠解決的話，它能夠發(fā)展得更遠。譬如說，諸如Instagram和Facebook的社交網(wǎng)站中使用的信號協(xié)議（Signal Protocol）利用了棘輪機制，就是受到區(qū)塊鏈技術(shù)的啟發(fā)。這是技術(shù)應(yīng)用出現(xiàn)意料之外的轉(zhuǎn)向的又一個范例。要判定哪些科技新發(fā)展會經(jīng)受住時間的檢驗？這才是難以預(yù)測的問題。

資料來源 American Scientist

鏈 接

多數(shù)共識（Majority Consensus）是否奏效？

對于任何分布式賬簿，在決定新區(qū)塊的哪個副本有效和哪個副本應(yīng)該拋棄時存在嚴重的問題。如下事實加劇了問題的復(fù)雜性，即有些礦工可能不誠實，會試圖插入欺詐性區(qū)塊（那會給他們許多比特幣的回報）。2017年，比特幣區(qū)塊鏈中有將近5 000名礦工。中本聰?shù)墓ぷ髁孔C明（POW）是一種聰明的方式，使用多數(shù)成員的計算能力來克服不誠實的少數(shù)成員。此外，挖礦需要非?？斓碾娔X，會消耗大量電力。比特幣礦工只有在他們贏得POW競賽時才獲得酬勞。假如一位礦工變得極其強大，讓所有其他礦工都失去了生計，會發(fā)生什么情況？挖礦群體會萎縮至十幾位參與者，只有他們才負擔得起非常昂貴、快速、耗能巨大的計算機。