本文探讨比特币系统的具体实现与安全性分析。区块链本质上是一个去中心化的账本,而比特币系统采用的是基于交易的去中心化账本模式。在比特币的每个区块中,记录的都是具体的交易信息(包括转账交易和铸币交易)。系统并没有显式地记录每个账户的余额,要计算某个账户的余额,必须通过遍历区块链上的交易记录,推算出转入该地址的比特币总数,并减去已经花费的部分。
1. 基于交易的账本模式与 UTXO 数据结构
为了高效地验证交易和检测“双花攻击”(Double Spending),比特币系统的全节点需要在内存中维护一个核心数据结构——UTXO(Unspent Transaction Output,未花费的交易输出)。
在区块链上,有些交易的输出已经被花掉,而有些还未被花费。UTXO集合正是由所有未被花掉的交易输出所构成的。需要注意的是,同一个交易可能包含多个输出,其中被花掉的输出会被移出UTXO 集合,而尚未被花掉的输出则继续保留在其中。
UTXO集合中的每个元素包含两个关键信息:产生该输出的交易哈希值,以及该输出在此交易中属于第几个输出。依靠这两个信息,系统可以精确定位到任何一笔未花费的资金。全节点维护UTXO 集合的主要目的就是为了快速验证新发布的交易是否合法——只有当试图花费的比特币存在于 UTXO集合中时,该交易才被认为是合法的,否则说明该币不存在或已经被花过。
随着新交易的不断发布,系统会消耗掉旧的 UTXO,同时产生新的 UTXO。那些密钥遗失或持币者(如中本聪)永久不花的比特币,将永远保留在 UTXO集合中。随着交易量的增加,UTXO 集合在不断增大,但目前将其保存在普通服务器的内存中仍然毫无压力。
此外,比特币的每笔交易可以有多个输入和多个输出,且要求 总输入金额(Total Inputs)= 总输出金额(Total Outputs)(由于存在交易费,实际总输入会略大于总输出)。多个输入往往来自不同的地址,这也是为什么一笔交易有时需要提供多个地址的对应签名。
相比之下,以太坊等其他系统采用了基于账户的模式(Account-based Ledger),显式地记录每个账户的余额,类似于传统的银行系统。基于账户的模式符合直觉,而比特币基于交易的模式则在隐私保护上更具优势,其代价是每笔转账都必须明确说明币的来源。
2. 矿工的激励机制:出块奖励与交易费
在交易中,有时总输入会略大于总输出,两者之间的差额即为交易费(Transaction Fee)。交易费连同系统规定的出块奖励(Block Reward),共同构成了给予获得记账权并发布区块的矿工的报酬。
出块奖励是比特币系统中产生新比特币的唯一途径,通常通过区块中的“铸币交易”(Coinbase Transaction)发放。但由于出块奖励每隔 21万个区块(约 4 年)就会减半,系统必须设计第二种激励机制,即交易费。
如果没有交易费,自私的矿工为了节省验证交易的算力成本、减小区块体积以加快网络传播速度,可能会选择只打包自己的交易甚至打包空块。交易费的存在类似于“小费”,激励矿工将用户的交易打包进区块。虽然在当前阶段,矿工的主要动力仍是丰厚的出块奖励(例如从早期的 50个减至 12.5 个,目前仍在持续减半),但随着时间推移,出块奖励趋于零,交易费将逐渐成为维持系统运转的主要激励来源。
3. 区块结构与挖矿原理
在比特币的区块信息中,包含区块序号(Height)、时间戳(Timestamp)、挖矿难度(Difficulty)以及随机数(Nonce)等字段。其中,挖矿难度每隔 2016个区块会调整一次,以确保平均出块时间稳定在 10 分钟左右。
通过观察区块的哈希值可以发现,合格区块的块头哈希值以及前一个区块的块头哈希值(HashPrevBlock)都以一长串的“0”开头。所谓的“挖矿”,本质上就是不断尝试调整块头中的Nonce 值,使得整个块头(Block Header)的哈希值小于或等于给定的目标阈值(在 16 进制下表现为前导零)。
然而,块头中的 Nonce 字段是一个 32 位的无符号整数,最多只有 2^{32} 种取值可能。在当前极高的挖矿难度下,仅靠遍历这2的32次方个值,大概率无法找到符合要求的哈希值。由于块头中的版本号(Version)、前一区块哈希、难度目标等字段无法随意更改,时间戳的调整范围也非常有限,矿工只能通过修改Merkle Root(默克尔树根哈希值)来扩大搜索空间。
修改 Merkle Root 的途径在于区块内的铸币交易(Coinbase Transaction)。由于该交易没有输入来源,其内部的 coinbase字段可以写入任何内容(例如写入 Digital Commitment 的哈希值)。矿工通常将该字段的前若干字节作为额外随机数(Extra Nonce)。修改 Extra Nonce 会改变铸币交易的哈希值,进而沿着 Merkle Tree 结构向上传递,最终改变块头中的 Merkle Root。 因此,实际的挖矿过程包含两层循环:
- 外层循环:调整铸币交易中的 Extra Nonce,重新计算 Merkle Root
- 内层循环:遍历块头中的 32 位 Nonce
这种机制将搜索空间扩展到了2的96次方 甚至更高,足以满足当前的挖矿需求。
在验证普通转账交易的合法性时,系统并非将同一笔交易内的输入脚本和输出脚本配对,而是将该交易的输入脚本(Input Script)与提供币源的前一笔交易的输出脚本(Output Script)拼接。如果拼接后的脚本能够顺利执行且不出错,即判定交易合法。
4. 挖矿的概率分析与无记忆性
每次尝试 Nonce 求解哈希谜题(Puzzle),都可以看作是一次伯努利试验(Bernoulli Trial),类似于抛硬币。由于成功的概率微乎其微,且试验次数极为庞大,这个伯努利过程可以用泊松过程(Poisson Process)来近似。
根据概率推导,系统产生下一个区块的时间服从指数分布(Exponential Distribution)。指数分布具有一个核心特性——无记忆性(Progress-free)。这意味着矿工过去已经花费的时间和算力,对未来能否挖出区块没有任何影响。无论已经等了多久,预期还要等待的时间依然是 10分钟。
虽然“无记忆性”看似无情(过去的工作仿佛白费了),但它恰恰是保证挖矿公平性的基石。如果系统不是 Progress-free的,那么算力越强的矿工在经过大量尝试后,单次成功的概率就会增加,从而获得不成比例的竞争优势。正因为无记忆性,矿工获得记账权的概率始终严格等同于其算力占全网总算力的比例。
此外,基于“每 10 分钟出块”和“每 21万个区块奖励减半”的规则,比特币的出块奖励构成了一个等比数列。通过计算该等比数列的极限,可得出比特币的发行总量被永久限定在 2100万枚。
总体而言,挖矿求解哈希谜题本身虽然没有实际意义,但它提供了一种“凭借算力投票”的有效手段。只要系统中大部分算力掌握在诚实节点手中,就能确保账本的安全,这就是所谓的“Bitcoin is secured by mining”。
5. 比特币系统的安全性与攻击场景分析
假设系统内大部分算力掌握在诚实矿工手中,恶意节点(哪怕拥有 10% 的算力)能够对系统造成什么破坏?
5.1 恶意节点能否伪造交易偷币?
不能。
即使恶意节点获得了记账权,由于它没有受害者账户的私钥,无法伪造有效的数字签名。如果它强行将伪造的交易打包进区块并发布,诚实节点在验证时会发现签名不合法,从而拒绝接收该区块。恶意节点的区块将作废,其不但偷不到币,还会白白损失丰厚的出块奖励。
5.2 恶意节点能否进行“双花攻击”(Double Spending)?
存在可能,但防范方法明确。
恶意节点可以发起分叉攻击(Forking Attack):例如,恶意节点用比特币向商家支付购买商品,交易被打包进区块后,商家发货。随后,恶意节点利用手中算力,从该交易发生前的区块开始“另起炉灶”挖掘一条包含“将同一笔钱转给自己”的新链。如果这条新链的长度超过了原有的链,原交易就会被回滚作废,从而实现既拿走商品又退回货款的目的。
防范策略:多等几个确认(Confirmations)。
比特币协议默认最长合法链生效。如果商家在交易刚写入区块(1个确认)时就发货,风险较大。如果等待该区块后方继续生成 5个区块(即达到 6 个确认,通常耗时约 1 小时),由于诚实节点占据绝大算力,恶意节点想要在落后 6个区块的情况下追赶并反超最长链,在概率上呈指数级下降,几乎不可能成功。因此,区块链的“不可篡改性”本质上是一种概率保证,经过足够多的确认后,篡改概率趋近于零。
5.3 什么是“零确认”(Zero Confirmation)交易?
“零确认”是指交易已在全网广播,但尚未被写入任何区块的时间节点。尽管未写入账本,许多电商平台依然接受零确认支付,原因有二:
- 比特币网络中,节点通常默认接受其“最先听到”的那笔交易。恶意节点如果发布双花交易,大概率会被大部分诚实节点拒绝;
- 现实商业运作存在天然的处理延迟(如次日发货)。如果在发货前发现交易最终未被写入主链,商家可以直接取消订单。
5.4 恶意节点能否审查/拒绝打包特定交易?
可以,但影响不大。
恶意节点在获得记账权时,可以故意不把某些合法交易打包进自己的区块。然而,只要接下来的区块由诚实节点挖出,这些被遗漏的交易依然会被写入账本。需要指出的是,正常情况下由于区块大小限制(如上限 1MB),交易过多时也会出现部分合法交易需排队等待下一个区块打包的情况。
5.5 自私挖矿(Selfish Mining)
这是一种特殊的攻击/策略手段。正常情况下,矿工挖出新区块后会立即发布以争取奖励。但在“自私挖矿”策略中,矿工挖出区块后选择隐藏不发,继续在自己的私有链上挖矿,让全网其他节点在旧区块上浪费算力竞争。
这种策略的主要目的有两个:
- 分叉攻击准备:提前储备一条长链,在关键时刻一次性公布,以覆盖掉网络上的现有记录(如同打牌时手中藏着“炸弹”一次性打出)
- 减少竞争,赚取更多奖励:在自身算力占优的情况下,利用信息差诱导别人做无用功
然而,自私挖矿风险极高。如果在隐藏期间其他矿工先挖出了合法区块并公布,自私矿工此前的工作可能会全部作废。因此,除非该矿工(或矿池)拥有极其庞大的算力(例如接近或超过 51%),否则实施这种策略得不偿失。这也再次印证了在算力分散的假设下,诚实挖矿是最优策略。