比特幣論文原文(中本聰)

1、比特幣:一種點(diǎn)對點(diǎn)的電子現(xiàn)金系統(tǒng) Bitcoin: APeer-to-Peer Electronic Cash System 作者:中本聰(Satoshi Nakamoto執(zhí)行翻譯: 巴比特 |關(guān)注虛擬經(jīng)濟(jì)獨(dú)家贊助:B1. 簡介互聯(lián)網(wǎng)上的貿(mào)易,幾乎都需要借助金融機(jī)構(gòu)作為可資信賴的第三方來處理電子支付 信息。雖然在絕大多數(shù)情況下這類系統(tǒng)都運(yùn)作良好,但是這類系統(tǒng)仍然內(nèi)生性地受 制于 “ 基于信用的模式 ” (trust based model的弱點(diǎn)。 人們無法實(shí)現(xiàn)完全不可逆的交易, 因?yàn)榻鹑跈C(jī)構(gòu)總是不可避免地會出面協(xié)調(diào)爭端。而金融中介的存在,也會增加交易 的成本,并且限制了實(shí)際可行的最小交易規(guī)模,

2、也限制了日常的小額支付交易。并 且潛在的損失還在于,很多商品和服務(wù)本身是無法退貨的,如果缺乏不可逆的支付 手段,互聯(lián)網(wǎng)的貿(mào)易就大大受限。因?yàn)橛袧撛诘耐丝畹目赡?就需要交易雙方擁有信任。此外,因?yàn)樯碳乙脖仨殞ψ约旱目蛻粜⌒奶岱?所以會 向客戶索取完全不必要的個(gè)人信息。而實(shí)際的商業(yè)行為中,一定比例的欺詐性客戶 也被認(rèn)為是不可避免的, 相關(guān)損失視作銷售費(fèi)用處理。 而在使用物理現(xiàn)金的情況下, 因?yàn)榇藭r(shí)沒有第三方信用中介的存在,這些銷售費(fèi)用和支付問題上的不確定性卻是 可以避免的。所以,我們非常需要這樣一種電子支付系統(tǒng),它基于密碼學(xué)原理而不 基于信用,使得任何達(dá)成一致的雙方,能夠直接進(jìn)行支付,從而不需要第

3、三方中介 的參與。杜絕回滾 (reverse支付交易的可能,這就可以保護(hù)特定的賣家免于欺詐; 而對于想要保護(hù)買家的人來說,在此環(huán)境下設(shè)立通常的第三方擔(dān)保機(jī)制也可謂輕松 加愉快。在這篇論文中,我們 (we將提出一種通過點(diǎn)對點(diǎn)分布式的時(shí)間戳服務(wù)器來 生成依照時(shí)間前后排列并加以記錄的電子交易證明,從而解決雙重支付問題。只要 誠實(shí)的節(jié)點(diǎn)所控制的計(jì)算能力的總和, 大于有合作關(guān)系的 (cooperating攻擊者的計(jì)算 能力的總和,該系統(tǒng)就是安全的。2. 交易 (Transactions我們定義,一枚電子貨幣(an electronic coin是這樣的一串?dāng)?shù)字簽名:每一位所 有者通過對前一次交易和下一位

4、擁有者的公鑰 (Public key 簽署一個(gè)隨機(jī)散列的數(shù)字簽名,并將這個(gè)簽名附加在這枚電子貨幣的末尾,電子貨幣就發(fā)送給了下一位所 有者。而收款人通過對簽名進(jìn)行檢驗(yàn),就能夠驗(yàn)證該鏈條的所有者。 該過程的問題在于,收款人將難以檢驗(yàn),之前的某位所有者,是否對這枚電子貨幣 進(jìn)行了雙重支付。通常的解決方案,就是引入信得過的第三方權(quán)威,或者類似于造 幣廠 (mint的機(jī)構(gòu), 來對每一筆交易進(jìn)行檢驗(yàn), 以防止雙重支付。 在每一筆交易結(jié)束 后,這枚電子貨幣就要被造幣廠回收,而造幣廠將發(fā)行一枚新的電子貨幣;而只有 造幣廠直接發(fā)行的電子貨幣,才算作有效,這樣就能夠防止雙重支付?？墒窃摻鉀Q 方案的問題在于,整個(gè)貨

5、幣系統(tǒng)的命運(yùn)完全依賴于運(yùn)作造幣廠的公司,因?yàn)槊恳还P 交易都要經(jīng)過該造幣廠的確認(rèn),而該造幣廠就好比是一家銀行。我們需要收款人有某種方法,能夠確保之前的所有者沒有對更早發(fā)生的交易實(shí)施簽 名。從邏輯上看,為了達(dá)到目的,實(shí)際上我們需要關(guān)注的只是于本交易之前發(fā)生的 交易,而不需要關(guān)注這筆交易發(fā)生之后是否會有雙重支付的嘗試。為了確保某一次 交易是不存在的,那么唯一的方法就是獲悉之前發(fā)生過的所有交易。在造幣廠模型 里面,造幣廠獲悉所有的交易,并且決定了交易完成的先后順序。如果想要在電子 系統(tǒng)中排除第三方中介機(jī)構(gòu), 那么交易信息就應(yīng)當(dāng)被公開宣布 (publicly announced 1,我們需要整個(gè)系統(tǒng)內(nèi)的

6、所有參與者,都有唯一公認(rèn)的歷史交易序列。收款人需要 確保在交易期間絕大多數(shù)的節(jié)點(diǎn)都認(rèn)同該交易是首次出現(xiàn)。3. 時(shí)間戳服務(wù)器 (Timestamp server本解決方案首先提出一個(gè) “ 時(shí)間戳服務(wù)器 ” 。 時(shí)間戳服務(wù)器通過對以區(qū)塊 (block形式存 在的一組數(shù)據(jù)實(shí)施隨機(jī)散列而加上時(shí)間戳,并將該隨機(jī)散列進(jìn)行廣播,就像在新聞 或世界性新聞組網(wǎng)絡(luò)(Usenet 的發(fā)帖一樣 2345。顯然,該時(shí)間戳能夠證實(shí)特定數(shù)據(jù) 必然于某特定時(shí)刻是的確存在的,因?yàn)橹挥性谠摃r(shí)刻存在了才能獲取相應(yīng)的隨機(jī)散 列值。每個(gè)時(shí)間戳應(yīng)當(dāng)將前一個(gè)時(shí)間戳納入其隨機(jī)散列值中,每一個(gè)隨后的時(shí)間戳 都對之前的一個(gè)時(shí)間戳進(jìn)行增強(qiáng) (re

7、inforcing,這樣就形成了一個(gè)鏈條(Chain 。 4. 工作量證明(Proof-of-Work 為了在點(diǎn)對點(diǎn)的基礎(chǔ)上構(gòu)建一組分散化的時(shí)間戳服務(wù)器,僅僅像報(bào)紙或世界性新聞 網(wǎng)絡(luò)組一樣工作是不夠的,我們還需要一個(gè)類似于亞當(dāng)·柏克(Adam Back提出的 哈?，F(xiàn)金(Hashcash 6。在進(jìn)行隨機(jī)散列運(yùn)算時(shí),工作量證明機(jī)制引入了對某一個(gè) 特定值的掃描工作,比方說 SHA-256 下,隨機(jī)散列值以一個(gè)或多個(gè) 0 開始。那么隨 著 0 的數(shù)目的上升 , 找到這個(gè)解所需要的工作量將呈指數(shù)增長,但是檢驗(yàn)結(jié)果僅需 要一次隨機(jī)散列運(yùn)算。我們在區(qū)塊中補(bǔ)增一個(gè)隨機(jī)數(shù) (Nonce,這個(gè)隨機(jī)數(shù)要使

8、得該 給定區(qū)塊的隨機(jī)散列值出現(xiàn)了所需的那么多個(gè) 0。 我們通過反復(fù)嘗試來找到這個(gè)隨機(jī) 數(shù),找到為止。這樣我們就構(gòu)建了一個(gè)工作量證明機(jī)制。只要該 CPU 耗費(fèi)的工作量 能夠滿足該工作量證明機(jī)制,那么除非重新完成相當(dāng)?shù)墓ぷ髁?該區(qū)塊的信息就不 可更改。由于之后的區(qū)塊是鏈接在該區(qū)塊之后的,所以想要更改該區(qū)塊中的信息, 就還需要重新完成之后所有區(qū)塊的全部工作量。同時(shí),該工作量證明機(jī)制還解決了在集體投票表決時(shí),誰是大多數(shù)的問題。如果決 定大多數(shù)的方式是基于 IP 地址的,一 IP 地址一票,那么如果有人擁有分配大量 IP 地 址的權(quán)力,則該機(jī)制就被破壞了。而工作量證明機(jī)制的本質(zhì)則是一 CPU 一票。 “

9、 大多 數(shù) ” 的決定表達(dá)為最長的鏈, 因?yàn)樽铋L的鏈包含了最大的工作量。 如果大多數(shù)的 CPU 為誠實(shí)的節(jié)點(diǎn)控制, 那么誠實(shí)的鏈條將以最快的速度延長, 并超越其他的競爭鏈條。 如果想要對業(yè)已出現(xiàn)的區(qū)塊進(jìn)行修改,攻擊者必須重新完成該區(qū)塊的工作量外加該 區(qū)塊之后所有區(qū)塊的工作量,并最終趕上和超越誠實(shí)節(jié)點(diǎn)的工作量。我們將在后文 證明,設(shè)想一個(gè)較慢的攻擊者試圖趕上隨后的區(qū)塊,那么其成功概率將呈指數(shù)化遞 減。另一個(gè)問題是,硬件的運(yùn)算速度在高速增長,且節(jié)點(diǎn)參與網(wǎng)絡(luò)的程度會有所起 伏。為了解決這個(gè)問題,工作量證明的難度 (the proof-of-work difficulty將采用移動 平均目標(biāo)的方法來確

10、定,即令難度指向令每小時(shí)生成區(qū)塊的速度為某一預(yù)設(shè)的平均 數(shù)。如果區(qū)塊生成的速度過快,那么難度就會提高。5. 網(wǎng)絡(luò)運(yùn)行該網(wǎng)絡(luò)的步驟如下:1 新的交易向全網(wǎng)進(jìn)行廣播;2 每一個(gè)節(jié)點(diǎn)都將收到的交易信息納入一個(gè)區(qū)塊中;3 每個(gè)節(jié)點(diǎn)都嘗試在自己的區(qū)塊中找到一個(gè)具有足夠難度的工作量證明; 4 當(dāng)一個(gè)節(jié)點(diǎn)找到了一個(gè)工作量證明,它就向全網(wǎng)進(jìn)行廣播;5 當(dāng)且僅當(dāng)包含在該區(qū)塊中的所有交易都是有效的且之前未存在過的, 其他節(jié)點(diǎn)才 認(rèn)同該區(qū)塊的有效性;6 其他節(jié)點(diǎn)表示他們接受該區(qū)塊,而表示接受的方法,則是在跟隨該區(qū)塊的末尾, 制造新的區(qū)塊以延長該鏈條,而將被接受區(qū)塊的隨機(jī)散列值視為先于新區(qū)快的隨機(jī) 散列值。節(jié)點(diǎn)始終都

11、將最長的鏈條視為正確的鏈條,并持續(xù)工作和延長它。如果有兩個(gè)節(jié)點(diǎn) 同時(shí)廣播不同版本的新區(qū)塊,那么其他節(jié)點(diǎn)在接收到該區(qū)塊的時(shí)間上將存在先后差 別。當(dāng)此情形,他們將在率先收到的區(qū)塊基礎(chǔ)上進(jìn)行工作,但也會保留另外一個(gè)鏈 條,以防后者變成最長的鏈條。該僵局(tie 的打破要等到下一個(gè)工作量證明被發(fā) 現(xiàn),而其中的一條鏈條被證實(shí)為是較長的一條,那么在另一條分支鏈條上工作的節(jié) 點(diǎn)將轉(zhuǎn)換陣營,開始在較長的鏈條上工作。所謂 “ 新的交易要廣播 ” ,實(shí)際上不需要抵達(dá)全部的節(jié)點(diǎn)。只要交易信息能夠抵達(dá)足 夠多的節(jié)點(diǎn),那么他們將很快被整合進(jìn)一個(gè)區(qū)塊中。而區(qū)塊的廣播對被丟棄的信息 是具有容錯(cuò)能力 比特幣:一種點(diǎn)對點(diǎn) (P

12、eer-to-Peer 的電子現(xiàn)金系統(tǒng) 執(zhí)行翻譯 B 獨(dú) 家贊助 6的。 如果一個(gè)節(jié)點(diǎn)沒有收到某特定區(qū)塊, 那么該節(jié)點(diǎn)將會發(fā)現(xiàn)自己缺失了某個(gè)區(qū)塊, 也就可以提出自己下載該區(qū)塊的請求。6. 激勵(lì)我們約定如此:每個(gè)區(qū)塊的第一筆交易進(jìn)行特殊化處理,該交易產(chǎn)生一枚由該區(qū)塊 創(chuàng)造者擁有的新的電子貨幣。這樣就增加了節(jié)點(diǎn)支持該網(wǎng)絡(luò)的激勵(lì),并在沒有中央 集權(quán)機(jī)構(gòu)發(fā)行貨幣的情況下,提供了一種將電子貨幣分配到流通領(lǐng)域的一種方法。 這種將一定數(shù)量新貨幣持續(xù)增添到貨幣系統(tǒng)中的方法,非常類似于耗費(fèi)資源去挖掘 金礦并將黃金注入到流通領(lǐng)域。此時(shí), CPU 的時(shí)間和電力消耗就是消耗的資源。另 外一個(gè)激勵(lì)的來源則是交易費(fèi)(tr

13、ansaction fees。如果某筆交易的輸出值小于輸 入值,那么差額就是交易費(fèi),該交易費(fèi)將被增加到該區(qū)塊的激勵(lì)中。只要既定數(shù)量 的電子貨幣已經(jīng)進(jìn)入流通,那么激勵(lì)機(jī)制就可以逐漸轉(zhuǎn)換為完全依靠交易費(fèi),那么 本貨幣系統(tǒng)就能夠免于通貨膨脹。激勵(lì)系統(tǒng)也有助于鼓勵(lì)節(jié)點(diǎn)保持誠實(shí)。如果有一 個(gè)貪婪的攻擊者能夠調(diào)集比所有誠實(shí)節(jié)點(diǎn)加起來還要多的 CPU 計(jì)算力,那么他就面 臨一個(gè)選擇:要么將其用于誠實(shí)工作產(chǎn)生新的電子貨幣,或者將其用于進(jìn)行二次支 付攻擊。那么他就會發(fā)現(xiàn),按照規(guī)則行事、誠實(shí)工作是更有利可圖的。因?yàn)樵摰纫?guī) 則使得他能夠擁有更多的電子貨幣,而不是破壞這個(gè)系統(tǒng)使得其自身財(cái)富的有效性 受損。7. 回收硬

14、盤空間如果最近的交易已經(jīng)被納入了足夠多的區(qū)塊之中,那么就可以丟棄該交易之前的數(shù) 據(jù),以回收硬盤空間。為了同時(shí)確保不損害區(qū)塊的隨機(jī)散列值,交易信息被隨機(jī)散 列時(shí),被構(gòu)建成一種 Merkle 樹(Merkle tree 7的形態(tài),使得只有根 (root被納入了區(qū) 塊的隨機(jī)散列值。通過將該樹(tree 的分支拔除(stubbing 的方法,老區(qū)塊就能 被壓縮。而內(nèi)部的隨機(jī)散列值是不必保存的。7R.C. Merkle, "Protocols for public key cryptosystems," (公鑰密碼系統(tǒng)的協(xié)議 In Proc. 1980 Symposium on Se

15、curity and Privacy, IEEE Computer Society, pages 122-133, April 1980. S. Haber, W.S. Stornetta, "Secure names for bit-strings,"(比特 字串安全命名 In Proceedings of the 4th ACM Conference on Computer and Communications Security, pages 28-35, April 1997. on Computer and Communications Security, page

16、s 28-35, April 1997. H. Massias, X.S. Avila, and J.-J. Quisquater, "Design of a secure timestamping service with minimal trust requirements,"(在最小化信任 的條件下設(shè)計(jì)一種時(shí)間戳服務(wù)器 In 20th Symposium on Information Theory in the Benelux, May 1999. 比特幣:一種點(diǎn)對點(diǎn)(Peer-to-Peer 的電子現(xiàn)金系統(tǒng) 執(zhí)行翻譯 B 獨(dú)家贊助 7 不含交易信息的區(qū)塊頭(Bloc

17、k header大小僅有 80字節(jié)。如果我們設(shè)定區(qū)塊生成 的速率為每 10分鐘一個(gè), 那么每一年產(chǎn)生的數(shù)據(jù)位 4.2MB 。 (80 bytes * 6 * 24 * 365 = 4.2MB。 2008年, PC 系統(tǒng)通常的內(nèi)存容量為 2GB ,按照摩爾定律的預(yù)言,即使 將全部的區(qū)塊頭存儲于內(nèi)存之中都不是問題。8. 簡化的支付確認(rèn)(Simplified Payment Verification在不運(yùn)行完整網(wǎng)絡(luò)節(jié)點(diǎn)的情況下,也能夠?qū)χЦ哆M(jìn)行檢驗(yàn)。一個(gè)用戶需要保留最長 的工作量證明鏈條的區(qū)塊頭的拷貝,它可以不斷向網(wǎng)絡(luò)發(fā)起詢問,直到它確信自己 擁有最長的鏈條,并能夠通過 merkle 的分支通向它被

18、加上時(shí)間戳并納入?yún)^(qū)塊的那次 交易。節(jié)點(diǎn)想要自行檢驗(yàn)該交易的有效性原本是不可能的,但通過追溯到鏈條的某 個(gè)位置,它就能看到某個(gè)節(jié)點(diǎn)曾經(jīng)接受過它,并且于其后追加的區(qū)塊也進(jìn)一步證明 全網(wǎng)曾經(jīng)接受了它。 當(dāng)此情形,只要誠實(shí)的節(jié)點(diǎn)控制了網(wǎng)絡(luò),檢驗(yàn)機(jī)制就是可靠的。但是,當(dāng)全網(wǎng)被一 個(gè)計(jì)算力占優(yōu)的攻擊者攻擊時(shí),將變得較為脆弱。因?yàn)榫W(wǎng)絡(luò)節(jié)點(diǎn)能夠自行確認(rèn)交易 的有效性,只要攻擊者能夠持續(xù)地保持計(jì)算力優(yōu)勢,簡化的機(jī)制會被攻擊者焊接的 (fabricated 交易欺騙。那么一個(gè)可行的策略就是,只要他們發(fā)現(xiàn)了一個(gè)無效的區(qū)塊,就立刻發(fā)出警報(bào),收到警報(bào)的用戶將立刻開始下載被警告有問題的區(qū)塊或交易的完整信息, 以便對信息的

19、不一致進(jìn)行判定。 對于日常會發(fā)生大量收付的商業(yè)機(jī)構(gòu), 可能仍會希望運(yùn)行他們自己的完整節(jié)點(diǎn), 以保持較大的獨(dú)立完全性和檢驗(yàn)的快速性。9. 價(jià)值的組合與分割(Combining and Splitting Value雖然可以單個(gè)單個(gè)地對電子貨幣進(jìn)行處理,但是對于每一枚電子貨幣單獨(dú)發(fā)起一次 交易將是一種笨拙的辦法。為了使得價(jià)值易于組合與分割,交易被設(shè)計(jì)為可以納入多個(gè)輸 入和輸出。一般而言是某次價(jià)值較大的前次交易構(gòu)成的單一輸入,或者由某幾個(gè)價(jià) 值較小的前次交易共同構(gòu)成的并行輸入,但是輸出最多只有兩個(gè):一個(gè)用于支付, 另一個(gè)用于找零(如有。需要指出的是,雖然一筆交易依賴于之前的多筆交易、 這些交易又各自

20、依賴于多筆交易,但是這并不存在任何問題。因?yàn)檫@個(gè)工作機(jī)制并 不需要展開檢驗(yàn)之前發(fā)生的所有交易歷史。10. 隱私(Privacy 傳統(tǒng)的造幣廠模型為交易的參與者提供了一定程度的隱私保護(hù),因?yàn)樵噲D向可信任的第三方索取交易信息是嚴(yán)格受限的。但是如果將交易信息向全網(wǎng)進(jìn)行廣播,就意 味著這樣的方法失效了。但是隱私依然可以得到保護(hù):將公鑰保持為匿名。公眾得 知的信息僅僅是有某個(gè)人將一定數(shù)量的貨幣發(fā)所給了另外一個(gè)人,但是難以將該交 易同某個(gè)特定的人聯(lián)系在一起,也就是說,公眾難以確信,這些人究竟是誰。這同 股票交易所發(fā)布的信息是類似的,每一手股票買賣發(fā)生的時(shí)間、交易量是記錄在案 且可供查詢的,但是交易雙方的身

21、份信息卻不予透露。作為額外的預(yù)防措施,使用 者可以讓每次交易都生成一個(gè)新的地址,以確保這些交易不被追溯到一個(gè)共同的所 有者。不過由于存在并行輸入,一定程度上的追溯還是不可避免的,因?yàn)椴⑿休斎?暗示這些貨幣都屬于同一個(gè)所有者。此時(shí)的風(fēng)險(xiǎn)在于,如果某個(gè)人的某一個(gè)公鑰被 確認(rèn)屬于他,那么就可以追溯出此人的其它很多交易。11. 計(jì)算設(shè)想如下場景:一個(gè)攻擊者試圖比誠實(shí)節(jié)點(diǎn)產(chǎn)生鏈條更快地制造替代性區(qū)塊鏈。即 便它達(dá)到了這一目的,但是整個(gè)系統(tǒng)也并非就此完全受制于攻擊者的獨(dú)斷意志了, 比方說憑空創(chuàng)造價(jià)值,或者掠奪本不屬于攻擊者的貨幣。這是因?yàn)楣?jié)點(diǎn)將不會接受 無效的交易,而誠實(shí)的節(jié)點(diǎn)永遠(yuǎn)不會接受一個(gè)包含了無效信

22、息的區(qū)塊。一個(gè)攻擊者 能做的,最多是更改他自己的交易信息,并試圖拿回他剛剛付給別人的錢。誠實(shí)鏈條和攻擊者鏈條之間的競賽, 可以用二叉樹隨機(jī)漫步 (Binomial Random Walk來描述。成功事件定義為誠實(shí)鏈條延長了一個(gè)區(qū)塊,使其領(lǐng)先性 +1,而失敗事件則 是攻擊者的鏈條被延長了一個(gè)區(qū)塊,使得差距 -1。攻擊者成功填補(bǔ)某一既定差距的可能性, 可以近似地看做賭徒破產(chǎn)問題 (Gamblers Ruin problem。假定一個(gè)賭徒擁有無限的透支信用,然后開始進(jìn)行潛在次數(shù)為無 窮的賭博,試圖填補(bǔ)上自己的虧空。那么我們可以計(jì)算他填補(bǔ)上虧空的概率,也就 是該攻擊者趕上誠實(shí)鏈條,如下所示假定 p>q, 那么攻擊成功的概率就因?yàn)閰^(qū)塊數(shù)的增長而呈現(xiàn)指數(shù)化下降。 由于概率是 攻擊者的敵人,如果他不能幸運(yùn)且快速地獲得成功,那么他獲得成功的機(jī)會隨著時(shí) 間的流逝就變得愈發(fā)渺茫。那么我們考慮一個(gè)收款人需要等待多長時(shí)間,才能足夠 確信付款人已經(jīng)難以更改交易了。我們假設(shè)付款人是一個(gè)支付攻擊者,希望讓收款人在一段時(shí)間內(nèi)相信他已經(jīng)