比特幣：一種點(diǎn)對(duì)點(diǎn)電子貨幣系統(tǒng)

PAGEPAGE1SatoshiNakamotoTranslatedintoSimplifiedChinesefrom/bitcoin.pdfby@shdxiang,xiaoxiang.ioBillZhao據(jù)，而且也是它本身是由最大CPU算力池產(chǎn)生的證據(jù)。只要多數(shù)的CPU算我們需要的是一個(gè)基于密碼學(xué)原理而不是信任的電子支付系統(tǒng)，該系統(tǒng)允許任何有交易意愿的雙方能直接交易而不需要一個(gè)可信任的第三方。交易在計(jì)算上的不可撤銷將保護(hù)賣家不被欺詐，用來(lái)保護(hù)買家的程序化合約機(jī)制也應(yīng)該較容易實(shí)現(xiàn)。在這篇論文中，我們提出一種使用點(diǎn)對(duì)點(diǎn)分布式時(shí)間戳服務(wù)器為基于時(shí)間的交易序列生成計(jì)算上的證據(jù)來(lái)解決雙重支付問(wèn)題的方案。只要誠(chéng)實(shí)節(jié)點(diǎn)集體控制的CPU算力大于任何的CPU算力，這個(gè)系統(tǒng)就是安全的。這里的問(wèn)題是收款人不能證實(shí)某個(gè)擁有者沒(méi)有對(duì)此貨幣進(jìn)行雙重支付。通常的做法是的公司，每筆交易都需要經(jīng)過(guò)它們，就像銀行一樣。我們需要一種能讓收款人知道上一個(gè)貨幣擁有者沒(méi)有對(duì)任何更早的交易簽名的方法。對(duì)我們來(lái)說(shuō)，最早的那次交易是唯一有效的，所以我們不需要關(guān)心本次交易后面的雙重支付嘗試。唯一能確認(rèn)一筆交易不存在的方法是知曉所有之前的交易。在鑄幣廠模型中，鑄幣廠知曉所有交易并能確定哪筆交易最先到達(dá)。在不引入一個(gè)可信任方的前提下要達(dá)到這個(gè)目的，所有交易就必須公開(kāi)發(fā)布[1]，我們提出的方案從時(shí)間戳服務(wù)項(xiàng)的區(qū)塊的哈希值并廣泛地發(fā)布這個(gè)哈希值，就像在報(bào)紙或新聞組帖子里25]。時(shí)間戳能證明要得到這個(gè)哈希值，顯然這些數(shù)據(jù)當(dāng)時(shí)一定是存在的。每個(gè)時(shí)間戳的哈希值都納入了上一個(gè)時(shí)間戳，形成一條鏈，后面的時(shí)間戳進(jìn)一步增強(qiáng)前一個(gè)時(shí)間戳。哈項(xiàng)項(xiàng)哈項(xiàng)項(xiàng)區(qū) 希貨幣[6] 個(gè)數(shù)，使得被哈希時(shí)（如使用SHA-256）得到的哈希值以數(shù)個(gè)0比特開(kāi)始。平均所需工 0比特呈指數(shù)級(jí)增長(zhǎng)而驗(yàn)證卻只需執(zhí)行一次哈希。滿足所需0 比特的數(shù)被找到的方式實(shí)現(xiàn)工作量證明。一旦消耗了CPU算力使區(qū)塊滿足了區(qū)塊后面的，改變這個(gè)區(qū)塊將需要重做所有后面的區(qū)塊區(qū)區(qū)區(qū)交交交交隨機(jī)上一個(gè)哈隨機(jī)上一個(gè)哈工作量證明同時(shí)解決了在多數(shù)決定中確定投票方式的問(wèn)題。如果多數(shù)是按 地址投來(lái)決定，那么它將可能被能分配大量IP 地址的人破壞。工作量證明本質(zhì)上是按CPU 多數(shù)的CPU算力被誠(chéng)實(shí)節(jié)點(diǎn)控制，誠(chéng)實(shí)的鏈就會(huì)增長(zhǎng)得最快并超過(guò)其他的競(jìng)爭(zhēng)鏈。要修改過(guò)誠(chéng)實(shí)節(jié)點(diǎn)的工作。我們后面會(huì)證明隨著后續(xù)的區(qū)塊被添加一個(gè)更慢的攻擊者趕上誠(chéng)實(shí)節(jié)點(diǎn)的概率將呈指數(shù)級(jí)遞減。為了抵消硬件運(yùn)算速度的增加及平衡不同時(shí)期運(yùn)行節(jié)點(diǎn)的利益，工作量證明的難度將由移動(dòng)平均數(shù)法來(lái)確定每小時(shí)生成區(qū)塊的平均數(shù)。如果區(qū)塊生成得過(guò)快，那么生成的難度就會(huì)增加。運(yùn)行網(wǎng)絡(luò)的步驟如下新交易向所有節(jié)點(diǎn)廣播每個(gè)節(jié)點(diǎn)將新交易收集到一個(gè)區(qū)塊每個(gè)節(jié)點(diǎn)為它的區(qū)塊尋找工作量證明當(dāng)一個(gè)節(jié)點(diǎn)找到了工作量證明，就向所有節(jié)點(diǎn)廣播這個(gè)區(qū)塊節(jié)點(diǎn)只有在區(qū)塊內(nèi)所有交易都是有效的且之前沒(méi)有被支付的情況下接收這個(gè)區(qū)塊節(jié)點(diǎn)總是認(rèn)為最長(zhǎng)的鏈為正確的并持續(xù)致力于延長(zhǎng)它。如果兩個(gè)節(jié)點(diǎn)同時(shí)廣播了不同的下一個(gè)區(qū)塊，有些節(jié)點(diǎn)可能先收到其中一個(gè)而其他節(jié)點(diǎn)先收到另一個(gè)。這種情況，節(jié)點(diǎn)基于他們收到的第一個(gè)區(qū)塊工作，但是也保存另一個(gè)分支以防它變?yōu)楦L(zhǎng)的鏈。當(dāng)下一個(gè)工作量證明被找到后僵局就會(huì)被打破，從而其中一個(gè)分支變得更長(zhǎng)；在另一個(gè)分支上工作的節(jié)點(diǎn)將切換到更長(zhǎng)的鏈上來(lái)。新交易的廣播不必到達(dá)所有的節(jié)點(diǎn)。只要到達(dá)一些節(jié)點(diǎn)，不久就會(huì)進(jìn)入到一個(gè)區(qū)塊。區(qū)塊廣播也是能容忍消息丟失的。如果一個(gè)節(jié)點(diǎn)沒(méi)有收到某個(gè)區(qū)塊，它將在收到下一個(gè)區(qū)塊時(shí)發(fā)現(xiàn)它丟失了一個(gè)區(qū)塊然后去請(qǐng)求這個(gè)區(qū)塊。黃金到流通領(lǐng)域一樣。對(duì)我們而言，消耗的是CPU時(shí)間和電力激勵(lì)也可以由交易費(fèi)充當(dāng)。如果交易的輸出值小于其輸入值，差價(jià)就作為交易費(fèi)被加到包含此交易的區(qū)塊的激勵(lì)中。一旦預(yù)定量的貨幣進(jìn)入了流通領(lǐng)域，激勵(lì)將變?yōu)橹缓薪灰踪M(fèi)，這樣可以完全避免通貨膨脹。激勵(lì)會(huì)有助于鼓勵(lì)節(jié)點(diǎn)保持誠(chéng)實(shí)。如果一個(gè)貪心的攻擊者有能力聚集比所有誠(chéng)實(shí)節(jié)點(diǎn)更多的PU算力，他將面臨是以騙回已付款的方式欺詐別人還是使用這些算力生成新貨一旦某個(gè)貨幣的最新交易已經(jīng)被足夠多的區(qū)塊覆蓋，這之前的支付交易就可以被丟棄以省磁盤空間。為便于此而又不破壞區(qū)塊的哈希值，交易將被哈希進(jìn)默克爾樹(shù)[7][2][5]，有根節(jié)點(diǎn)被納入到區(qū)塊的哈希值。老的區(qū)塊可通過(guò)剪除樹(shù)枝的方式被壓縮。樹(shù)枝內(nèi)部的哈希不需要被保存。 區(qū)區(qū)希 He(交易被哈希進(jìn)默克爾 從區(qū)塊中剪除交易0-每個(gè)不包含交易的區(qū)塊頭大約是80bytes。如果每10分鐘生成一個(gè)區(qū)塊，每年80bytes*6*24*365=4.2MB，2008年在售的典型計(jì)算機(jī)有2GB律預(yù)測(cè)目前每年內(nèi)存增加1.2GB，所以就算區(qū)塊頭一定要存在內(nèi)存里，存儲(chǔ)也不是問(wèn)題最長(zhǎng)的工作量證明區(qū)區(qū)塊區(qū)塊區(qū)塊哈希默克爾默克爾默克爾隨機(jī)上一個(gè)哈隨機(jī)上一個(gè)哈隨機(jī)上一個(gè)哈交易3默克爾分交交易哈希哈希哈希哈希哈希哈希交交輸輸輸注意這里的扇出，即一筆交易依賴數(shù)筆交易，這數(shù)筆交易又依賴更多的交易，在是不存在問(wèn)題的。永遠(yuǎn)不會(huì)需要獲取一筆交易歷史的完整獨(dú)立副本作為額外的防火墻，對(duì)每筆交易使用新密鑰對(duì)可以防止他們被關(guān)聯(lián)到一個(gè)共同的擁有者。由于多輸入值交易存在，有些關(guān)聯(lián)仍不可避免，因?yàn)槎噍斎胫到灰妆厝槐┞镀涠鄠€(gè)輸入是屬于同一個(gè)擁有者的。風(fēng)險(xiǎn)就在于如果一個(gè)密鑰的擁有者被暴露，關(guān)聯(lián)性將暴露屬于同一個(gè)擁有者的其他交易。誠(chéng)實(shí)鏈與攻擊者鏈之間的競(jìng)爭(zhēng)可描述為二項(xiàng)隨機(jī)漫步。成功事件是誠(chéng)實(shí)節(jié)點(diǎn)被延長(zhǎng)一個(gè)區(qū)塊，兩條鏈的差距加1，失敗事件是攻擊者的鏈延長(zhǎng)一個(gè)區(qū)塊，兩條鏈的差距減1攻擊者從某一落后位置趕上誠(chéng)實(shí)鏈的概率類似于賭徒破產(chǎn)理論。設(shè)想一個(gè)擁有無(wú)限籌碼到盈虧平衡，即一個(gè)攻擊者趕上誠(chéng)實(shí)鏈的概率，如下[8]：p=誠(chéng)實(shí)節(jié)點(diǎn)找到下一個(gè)區(qū)塊的概q=攻擊者找到下一個(gè)區(qū)塊的概z qz=攻擊者從落后z個(gè)區(qū)塊趕上誠(chéng)z ifq/ ifp我們假設(shè)p>q，概率將隨著攻擊者需要趕上的區(qū)塊數(shù)增加而呈指數(shù)下降。由于形勢(shì)對(duì)他我們現(xiàn)在考慮一個(gè)新交易的收款人要等多久才能確保付款人不能再改變這個(gè)交易。我們假設(shè)作為攻擊者的付款人是想讓收款人相信他暫時(shí)已經(jīng)付款，然后在一段時(shí)間后轉(zhuǎn)換回自己。這時(shí)收款人會(huì)收到警告，但付款人希望警告已為時(shí)已晚。收款人等到交易被加到區(qū)塊中且其后追加了z個(gè)區(qū)塊。他不知道攻擊者確切的進(jìn)度，但是假設(shè)誠(chéng)實(shí)的區(qū)塊按期望的平均時(shí)間生成，攻擊者可能的進(jìn)度將是一個(gè)泊松分布，其期望值為：p=zpkk ifk∞ke??{q/pzkk ifk變換以避免對(duì)分布的無(wú)限尾部求和∑?zke??∑

z?k qk k轉(zhuǎn)換成C語(yǔ)言代碼#includedoubleAttackerSuccessProbability(doubleq,int{doublep=1.0-doublelambda=z*(q/p);doublesum=1.0;inti,for(k=0;k<=z;{doublepoisson=exp(-lambda);for(i=1;i<=k;i++)poisson*=lambda/sum-=poisson*(1-pow(q/p,z-}return}運(yùn)行得到一些結(jié)果，我們可以看到概率隨z呈指數(shù)下降P小于0.1%的解P<我們已經(jīng)提出了一種不依賴信任的電子交易系統(tǒng)。我們從通用的數(shù)字簽名貨幣體系開(kāi)始，這體系提供了強(qiáng)有力的所有權(quán)控制，但由于缺乏防止雙重支付的方法而不完善。為解決這個(gè)問(wèn)題，我們提出一種使用工作量證明來(lái)記錄公共交易歷史的點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)，只要誠(chéng)實(shí)節(jié)點(diǎn)控制了多數(shù)的CPU其結(jié)構(gòu)簡(jiǎn)潔性而強(qiáng)大。節(jié)點(diǎn)只需很少的協(xié)調(diào)就能同時(shí)工作。它們不需要被認(rèn)證，因?yàn)樾畔⒉粫?huì)被發(fā)送到某個(gè)特殊的位置，只需被盡力傳播。節(jié)點(diǎn)可以隨時(shí)離開(kāi)和重新加入網(wǎng)絡(luò)，只需接受工作量證明鏈作為它們離開(kāi)時(shí)發(fā)生事件的證據(jù)。節(jié)點(diǎn)使用CPUW.Dai,"b-money,"/bmoney.txt,H.Massias,X.S.Avila,andJ.-J.Quisquater,"Designofasecuretimestampingservicewithminimaltrustrequirements,"In20thSymposiumonInformationTheoryintheBenelux,May1999.S.Haber,W.S.Stornetta,"Howtotime-stampadigitaldocument,"InJournalofCryptology,vol3,no2,pages99-111,1991.D.Bayer,S.Haber,W.S.Stornetta,"Improvingtheefficiencyandreliabilityofdigitaltime-stamping,"InSequencesII:MethodsinCommunication,SecurityandComputerScience,pages329-334,1993.S.Haber,W.S.Stornetta,"Securenamesforbit-strings,"InProceedingsofthe4thACMConferenceonComputerandCommunicationsSecurity,pages28-35,April1997.A.Back,"Hashcash-adenialofservicecounter-measure,"/papers/hashcash.pd