从零开始的区块链：比特币会被攻击者破坏吗？

今天是比特币白皮书的最后一篇。

本系列历史文章列表

从零开始的区块链：什么是点对点和电子现金？ ——比特币经典论文研究（一）

从零开始的区块链：如何防止一笔钱花两次？ ——比特币经典论文研究（二）

从零开始的区块链：如何证明计算机工作？ ——比特币经典论文研究（三）

从零开始的区块链：比特币是如何开采的？ ——比特币经典论文研究（四）

10.磁盘空间恢复

如果块不断增长，它会占用太多磁盘空间吗？ 比特币设计了磁盘回收机制。 具体原则如下：

(1) 如果最新的交易已经在足够多的区块中，可以丢弃较早的交易数据以节省存储空间，但为了不影响哈希值的结果，交易以默克尔树的形式存储，并且只有根哈希。 其下的子节点可以直接切出，不用存储。

(2) 一个没有交易的区块头数据大约为80字节。 如果每10分钟出一个块，一年产生4.2M的数据量，扔进内存是没有问题的。

什么是默克尔树？ 这也称为散列数，是密码学中常用的数据结构。 这棵树的每个叶子节点都是一个数据块的哈希值； 每个非叶节点都是一个子节点的哈希值。 所以这是一个逐层散列合并的数据结构。 逐层锁定数据的完整性。 修改任何地方都会引起一系列后续反应。 因此，从完整性和节省空间的考虑，可以先保存一个根哈希节点。

图8：默克尔树示例，图片来自维基百科

11. 简单的支付验证

比特币的每个节点都可以验证支付的有效性，而无需全网节点的所有信息，可以节省资源和空间。 节点只需要保存最长链节点的区块头数据。 而如果想得到最长的头节点，只需要请求网络节点，直到得到最长的链。 这样节点就得到了默克尔树的结构，通过时间戳知道一笔交易被打包到了哪个区块中。 节点本身无法验证交易，但知道交易在链上的具体位置，可以确认网络节点已经接受交易，后续区块进一步确认交易。

这样，只要诚实节点控制网络，验证就是可靠的。 但是如果攻击者有更多的计算能力，这个验证就更弱了。 如果攻击者拥有更多的计算能力，他就可以伪造交易记录。 应对这种风险的策略是，如果节点发现无效区块，会发出警告，让比特币客户端软件下载所有节点数据关于比特币的论文3000字，并对不一致的区块进行验证。 对于交易频繁的商业应用，通常会下载所有数据，因此验证更安全、更快捷。

这一段可以理解为工程实践中的折中优化。 由于 P2P 的分布式特性，理论上最好每个节点都保存所有的网络信息。 但由于各种客观条件和资源限制，不能支持理想的情况，所以这里提出一种简单的支付验证方式。 因为比特币区块的设计属性也支持这种简单的验证方式，从流程上来说是可行的。 但是既然已经简化了，那肯定是有代价的，这是一种工程上的权衡。 所以验证在安全性上会有一些折扣，但也有应急的解决方案。

12. 币种划分与组合

在第一篇文章中，我们谈到了电子现金需要具备的几个属性，其中一个就是可分性：

“（5）现金是可分割的。价值C元的现金可以分割成许多面额较小的现金，这些现金的总和等于C。”

本节介绍比特币如何支持一笔钱的拆解，或者不同币值的钱的组合。

(1) 虽然可以单独处理每个比特币，但这样做太麻烦了。 为了支持币值的拆分和合并，一笔交易支付多个输入和输出。 通常，输入可以来自先前金额较大的交易，或金额较小的多笔交易。 但是最多有两个输出，一个用于支付，一个用于返回给付款人的找零。

（2）对于“扇出”的案例，笔者认为没有必要将交易的历史记录全部提取出来。 fan-out 就是一个事务依赖多个事务，然后这些事务有更多的依赖，所以级联。

在数字电路中，如果一个电路门需要依赖其他门的输出作为输入关于比特币的论文3000字，就会被称为“扇入”。 如果一个电路门的信号输出到其他门作为输入，则称为“扇入”。 扇出”。

图 9(a) 扇入为 3 的门 图 9(b) 扇出为 N 的门

另外，最近和ScalersTalk成长俱乐部的朋友一起看《资本论》[17]，里面提到“金银不是自然货币，货币自然是金银”。 这句话在讨论比特币的价值时，经常被圈内人引用。 此外，与本节标题相对应的还有一句“货币商品也必定只有数量上的差异，而且必须能够随意分装，金银自然具有这种属性”。

图 10 《资本论》，第 1 卷，第 43 页

13.隐私

传统银行模式下的隐私保护主要是通过限制相关方信息的获取来实现的，即“不给你看”是保护隐私的主要方式。 但是，比特币需要向全网公开所有的交易信息，这样“不给你看”的方式就失效了。 但是你仍然可以从信息流中的另一个环节入手：公钥匿名。 在公共网络上，可以看到有人向另一个人转账，但是这个交易信息不能对应谁在向谁转账。 这有点类似于股票交易市场的信息披露。 您可以看到每笔交易的时间和大小。 这些记录是公开的，但你不知道对应的交易者是谁。

作为额外的安全考虑，每个交易都应该生成一个新的公私密钥对，这样同一个身份就不会位于不同的交易中。 但对于多笔输入交易的情况，必然会关联到一个身份。 这会带来一个风险。 如果将一个公钥映射到某个身份，则该公钥对应的其他交易也可以映射到同一个人。

本节讲的是比特币的隐私，讲这个的前提是前面几章已经搭建了比特币系统。

14.计算

这部分计算攻击者的获胜率。 如果攻击者生成区块链的速度比诚实节点快，系统就不能随意改变，比如凭空造币，或者盗用别人的币，这些都是不可能的。 网络节点不会接受这样的交易，诚实的节点也永远不会接受包含这样的交易的区块。 攻击者只能修改自己的交易，把花掉的钱改回来。

攻击者生成的攻击链与诚实节点生成的诚实链之间的竞争可以用二项式随机过程来描述。 成功事件是向诚实链添加了一个区块，领先度为+1，失败事件是向攻击链添加了一个区块，领先度为-1。 这个攻击者追逐差距的问题类似于“赌徒破产”问题。 如果有一个无限的赌徒，输了钱再去赌，次数是没有限制的，最终他会把钱还回来。 可以计算出赌徒回归的概率，也就是攻击者追上诚实节点的概率。

作者引入了以下变量：

p代表诚实节点先找到下一个区块

q 表示攻击者首先找到下一个块

q_z 表示攻击者在 z 个块后追上诚实节点

假设 p>q，那么随着要追上的块数的增加，概率呈指数下降。 在这种逆境中，进攻者如果没有突如其来的爆发力，越是落后，就越不可能追上来。

在这里，我们讨论交易的接收者需要等待多长时间才能确信交易不会被篡改。 假设付款人是攻击者，在付款一段时间后，将钱还给自己。 收款人最终会发现，但付款人希望稍后知道。

收款人生成一对新的密钥，并将公钥发送给付款人，然后进行签名。 这可以防止付款人提前计算区块，直到他们有幸在执行交易之前取得成功。 这意味着接收方尽量减少支付方提前准备的时间，不给攻击方（支付方）太多时间。 一旦发送方发送交易，攻击者就开始计算包含该交易的另一条链。

接收方等到交易被添加到区块中，并且随后在确认交易之前生成 z 个区块。 接收方不知道支付方进行到哪一步，但如果诚实块的计算时间等于平均值​​，则攻击者的进度服从期望为λ=zq/p的泊松分布。 之后作者将泊松分布的概率密度函数与第k次追上的概率结合起来，整理出概率公式，用C语言代码实现。 可以看出，概率对于z值呈指数下降趋势。

15.结论

本文提出了一种无需信任的电子交易系统。 文章首先讨论了电子签名的通用货币框架，可以保证币的所有权，但在防止双花方面无法有效实施。 所以作者提出使用P2P网络，使用工作量证明来记录公开的历史交易。 这样，只要诚实节点拥有多数算力，攻击者就无法修改交易记录。

P2P网络采用非结构化形式，简单、健壮。 这些节点在没有太多协调的情况下一起工作。 不需要明确标识节点，因为不需要将消息路由到特定的排序规则，只需要尽力传递。 节点可以随意离开或加入网络，接受离开网络期间产生的工作证明作为链。 节点通过CPU算力进行投票，通过延长链条来表示对有效区块的支持，通过不延长某个区块来表示拒绝。 在这种共识机制下可以使用任意规则和激励。

结语是本文的总结，总结了比特币设计的一些要点。 这篇论文也被称为比特币白皮书。 至此我们完成了第一篇比特币相关论文的学习。

如果你读到这里，你会发现这些也是比较基础的内容，因为涉及到目前比特币的很多细节，后续还需要进一步了解。

总体而言，本文通过共识机制、去中心化、工作量证明三个关键点，构建了比特币最基本的原型。 随着比特币当前价格的波动，有很多关于比特币未来前景的讨论。 为了不成为韭菜，我们每个人还是需要静下心来，钻研一些具体的技术细节，掌握一些基本原理，这样在面对波动的时候，内心才会更加平静。

参考

[17] 卡尔·马克思。 资本论（三册）[M]． 上海三联书店，2009.