第 03 讲：Bitcoin 机制设计与安全

• 区块、交易、脚本、矿工激励
• PoW 共识与攻击模型
• 安全性、匿名性、可扩展性张力
• 关键问题：Bitcoin 的安全来自算力、经济激励还是社会共识？

1.1 Bitcoin 的问题意识：点对点电子现金

• 目标：在互联网环境中实现无需中介的价值转移（P2P Electronic Cash）
• 难点：数字对象本质上可无限复制，必须解决双花（double-spending） 问题
• 约束：开放网络中参与者不可信，且可能对交易顺序产生争夺
• 传统方案依赖可信第三方（银行、清算所），引入对手方风险与运营成本
• 资料来源：Bitcoin White Paper（第 1-2 节）

1.2 为什么需要去中介化？

• 信任成本：第三方机构本身需要被信任，且存在单点故障风险
• 审查脆弱性：中介可冻结账户、拒绝服务，控制资金流动
• 跨境低效：国际支付依赖多层代理银行体系，结算周期以天计
• 金融排斥：全球仍有大量人口无法获得基本银行服务
• 关键洞察：数字稀缺性（digital scarcity）是去中介化的前提条件

1.3 核心解法：共享账本 + 共识排序

• 公开账本（public ledger）：所有参与者持有完整交易历史副本
• 共识机制（consensus mechanism）：决定谁有权将下一个区块追加至链上
• PoW（Proof of Work）：用可验证的计算成本换取排序权
• 去中心化验证：每个全节点独立验证交易与区块，无需信任任何特定节点
• 经济安全模型：攻击成本 > 潜在收益，使诚实行为成为理性选择

2.1 比特币的起源与发展

• 2008 年：中本聪发布白皮书《Bitcoin: A Peer-to-Peer Electronic Cash System》，提出 PoW 与 UTXO 模型
• 2009 年 1 月：创世区块（Genesis Block）启动主网，coinbase 嵌入《泰晤士报》标题，见证时间锚
• 2010 年：第一笔实物交易（10,000 BTC 购买披萨），早期客户端与协议漏洞修复
• 2013 年后：价格突破、媒体关注、监管介入，从技术实验演变为全球性加密资产
• 治理争议：区块大小之争导致 2017 年 Bitcoin Cash 分叉，凸显社区治理的挑战

2.2 Cypherpunk 理想与现实张力

• 精神源头：90 年代 cypherpunk 运动——密码学赋予个人隐私与自主权
• 理想：去中心化、抗审查、无需许可的电子现金系统
• 现实张力：
  • 支付系统 vs 价值储藏——功能定位分歧影响技术发展方向
  • 算力集中化趋势——矿池规模威胁去中心化假设
  • 监管合规要求——KYC/AML 与匿名性目标存在根本冲突
• 关键问题：Bitcoin 在多大程度上达成了创始愿景，又在何处做出了妥协？

3.1 区块链基本组成：区块结构总览

• 区块头（Block Header）：包含前块哈希、时间戳、难度目标（bits）、nonce、Merkle 根等元数据
• 区块体（Block Body）：交易集合，通常包含 coinbase 交易（出块奖励）与若干普通交易
• 链式结构：每个区块头包含前一个区块的哈希摘要，形成不可篡改的历史链
• 区块大小上限：1 MB（SegWit 后调整为区块权重上限 4 MWU），限制单区块交易容量
• 核心理解：区块链首先是一种可验证的排序（ordering）与记录（recording）机制

3.2 哈希指针与链式结构

• 哈希指针（hash pointer）：同时包含数据存储位置与数据内容哈希的复合引用
  • 检索：通过指针获取数据
  • 验证：通过哈希检查数据是否被篡改
• 每个区块头存储上一区块的哈希值，构成从头至尾的哈希链
• 篡改任意历史区块将导致其后所有区块的哈希指针失效，被全网节点检测
• 这种结构保证了历史不可逆性（immutability），是区块链安全性的基石

3.3 Merkle 树与高效验证

• Merkle 树：将所有交易哈希配对组合，最终汇聚为区块头的 Merkle 根
• 功能：支持简单支付验证（SPV）——轻客户端只需存储区块头，通过 Merkle 证明验证交易是否被包含
• 效率：Merkle 证明大小仅为 $O(\log n)$，$n$ 为交易数量
• 安全性：修改任意交易会改变 Merkle 根，进而改变区块头哈希
• 实际意义：SPV 是移动端钱包和轻节点的核心技术基础

4.1 交易结构与 UTXO 模型

• 交易输入（inputs）：引用过去的未花费输出（UTXO），并附带解锁脚本（scriptSig）
• 交易输出（outputs）：定义新的资产归属与金额，附带锁定脚本（scriptPubKey）
• UTXO（Unspent Transaction Output）：比特币交易的基本单位，所有 UTXO 集合构成网络的当前状态
• UTXO 模型类比：可拆分、可组合的"数字现金券"——与账户余额模型存在本质差异
• 验证规则：
  • 输入引用的 UTXO 必须存在且未被花费
  • 交易的签名必须有效
  • 输入金额 $\geq$ 输出金额，差额作为矿工费

4.2 UTXO 的特性与设计意图

• 来源可追踪（provenance traceability）：每笔资金可沿交易链追溯至 coinbase 交易
• 天然并行性：不同 UTXO 可在无冲突情况下并发花费，无需全局锁
• 隐私保护：用户可生成多个地址，分散持有 UTXO，避免交易模式被关联分析
• 找零机制（change output）：当花费金额小于输入金额时，余额作为新 UTXO 返回同一用户的找零地址
• UTXO 与账户模型的比较：
  • UTXO 模型：面向交易，支持并行验证，隐私性更强
  • 账户模型：面向状态，编程灵活性更高（以太坊采用）

4.3 交易示例：从 Alice 到 Bob 的资金流动

• 场景：Alice 要向 Bob 发送 0.5 BTC
  • 输入：引用 Alice 拥有的 UTXO（1.0 BTC）
  • 输出 1：向 Bob 地址支付 0.5 BTC（Bob 获得新 UTXO）
  • 输出 2：找零 0.499 BTC 回到 Alice（剩余 0.001 BTC 作为矿工费）
• 交易哈希：所有字段序列化后的双重 SHA-256 哈希，作为交易的唯一标识符
• 确认机制：交易进入区块后获得首个确认，随后续区块增加，确认数上升，回滚难度指数增长
• 教学意义：理解交易结构是理解脚本验证、UTXO 追踪与手续费计算的前提

5.1 Genesis Block：区块结构拆解

• 创世区块（Block #0）是区块链的起点，也是理解字段含义的标准样本
• 关键字段：
  • timestamp（时间戳）：2009-01-03 18:15:05，标记区块创建时间
  • coinbase 信息：嵌入《泰晤士报》标题，证明区块在该时间点之后才被创建
  • merkle_root：单笔 coinbase 交易的哈希值（因为只有一笔交易）
  • nonce：2,083,236,892——矿工通过不断尝试得到的解
  • bits：0x1d00ffff——初始难度目标
• prev_hash：全部为 0，表示没有前驱区块

5.2 Coinbase 交易与区块奖励

• Coinbase 交易：每个区块的第一笔交易，特殊之处在于：
  • 没有输入 UTXO（凭空创建新币）
  • 输入脚本（coinbase script）可包含任意数据（用于写入额外信息或签名标记矿工）
  • 输出定义区块奖励与矿工费归属
• 奖励结构：
  • 初始区块奖励：50 BTC
  • 每 210,000 区块（约 4 年）减半一次
  • 2024 年减半后为 3.125 BTC
• 经济意义：区块奖励是矿工的主要收入来源，也是新币进入流通的唯一途径

6.1 PoW 与挖矿机制：本质与流程

• 挖矿不是"生产币"的本质，而是竞争记账权/排序权
• 工作机制：矿工不断尝试调整 nonce，使区块头哈希满足难度条件
  • 区块头包含：prev_hash、merkle_root、timestamp、bits、nonce
  • 条件：$H(block\_header) < target$
• 先找到有效解的矿工获得出块权，将新区块广播给全网
• 其他节点验证哈希与交易有效性后，将该区块追加到自己的链上
• 本质：用真实成本（算力/电力）换取排序权——costly signaling 机制

6.2 哈希指针：连接区块的安全基础

• 定义：同时包含数据存储位置与数据内容哈希的指针
  • 给定哈希指针，可请求数据并验证其未被篡改
  • 无需存储全部数据即可保证完整性
• 在区块链中的角色：
  • 每个区块的 prev_hash 指向上一区块的头部哈希
  • 修改任意区块会破坏其后所有区块的哈希指针链
  • 被篡改的区块会在第一时间被全节点拒绝
• 教学演示：假设攻击者篡改第 $i$ 个区块的交易
  • 则第 $i$ 个区块的哈希改变
  • 第 $i+1$ 个区块的 prev_hash 不再匹配
  • 若不重新计算第 $i+1$ 及之后所有区块的 PoW，篡改无效

6.3 PoW 的概率特性与分叉解决

• 概率最终性（probabilistic finality）：新区块被追加后，被推翻的概率随后续确认数指数下降
• 分叉（fork）解决：
  • 若两个矿工几乎同时出块，网络产生短暂临时分叉
  • 节点始终选择累积工作量最大的链（最长链原则）
  • 后续区块在某一分支上出块后，另一分支被抛弃（孤块/orphan block）
• 安全含义：
  • 攻击者需要在一条伪造链上持续产出区块并超越主链
  • 攻击所需算力成本随确认数线性增长
  • 6 次确认（约 1 小时）通常被视为安全阈值

7.1 Nonce 与难度调整机制

• Nonce：区块头中 4 字节的整数字段，矿工可自由调整
  • 通过遍历 nonce（0 到 $2^{32}-1$）来寻找满足 $H(block\_header) < target$ 的解
  • 当 4 字节 nonce 被穷举仍无解时，可额外调整 coinbase 交易中的 extra nonce 位
• 难度目标（target）：以一个 256 位数值的形式定义哈希约束
  • 区块头除了 nonce 之外的所有字段固定后，target 决定成功概率
  • $P(success) \approx target / 2^{256}$
• 难度调整：每 2016 个区块（约 2 周）调整一次
  • 公式：$target_{new} = target_{old} \times (actual\_time / 20160\ minutes)$
  • 保证平均出块时间稳定在 10 分钟左右

7.2 出块激励与安全经济学

• 激励结构：
  • 区块奖励（block subsidy）：新发行的比特币，每 4 年减半
  • 交易费（transaction fees）：交易输入与输出的金额差额
  • 当区块奖励逐步趋近于零后，交易费将成为矿工的主要收入来源
• 安全含义：
  • 攻击者要改写历史需要持续的算力投入，同时面临收益不确定性
  • 诚实挖矿的期望收益 > 攻击收益时，系统达到纳什均衡
  • 若区块奖励下降而交易费不足以激励矿工，安全预算面临挑战
• 关键概念：安全预算（security budget）——维护网络安全需要足够的经济激励

8.1 Bitcoin Script 设计哲学

• 非图灵完备（non-Turing complete）：
  • 不支持循环语句（无 for/while/goto）
  • 执行时间可预测，避免停机问题与无限循环
  • 降低攻击面：恶意脚本无法耗尽节点资源
• 基于栈的执行模型（stack-based）：
  • 所有操作在栈上进行
  • 操作码（opcode）从栈中弹出参数，将结果压回栈
  • 执行结束后，栈顶元素为 TRUE 表示验证通过
• 哲学：简单性作为安全特性——功能有限但行为可预测

8.2 scriptPubKey 与 scriptSig

• scriptPubKey（锁定脚本）：附加在交易输出上，定义花费该 UTXO 的条件
  • 典型条件：提供与目标地址对应的公钥 + 对交易的数字签名
  • 格式：OP_DUP OP_HASH160 <pubkey_hash> OP_EQUALVERIFY OP_CHECKSIG
• scriptSig（解锁脚本）：附加在交易输入上，提供满足锁定脚本条件的数据
  • 格式：<sig> <pubkey>
• 验证流程：
  1. 将 scriptSig 中的元素压入栈
  2. 执行 scriptPubKey 的指令
  3. 若栈顶为 TRUE，则验证通过，UTXO 可被花费

8.3 常见脚本模式与功能扩展

• P2PKH（Pay-to-Public-Key-Hash）：最常用的标准交易类型
  • 锁定条件：提供公钥哈希的签名证明
  • 对应比特币地址（Base58Check 编码）
• P2SH（Pay-to-Script-Hash）：将复杂脚本的哈希值作为锁定条件
  • 解锁时需要提供完整脚本与满足条件的数据
  • 应用：多重签名（multisig）、时间锁交易
• OP_RETURN：在区块链中嵌入任意数据（最多 80 字节）
  • 输出被标记为"可丢弃"，不进入 UTXO 集
  • 用途：存证、公证、元数据记录
• 脚本是比特币灵活性的核心，也是智能合约的原始雏形

9.1 Bitcoin Core 全节点与数据同步

• Bitcoin Core：Bitcoin 的官方参考实现，由中本聪最初编写，社区维护
• 全节点完整功能：
  • 下载并验证从创世区块起的全部区块与交易
  • 独立验证所有规则——无需信任任何第三方提供的数据
  • 将验证后的交易转发给对等节点
• 同步过程：
  • Initial Block Download（IBD）：从其他节点获取区块数据
  • 逐区块验证：检查签名、UTXO 存在性、PoW 难度等
  • 构建 UTXO 集：遍历所有交易提取未花费输出
• 研究价值：具备完整链上数据副本，可离线进行任意深度分析

9.2 本地文件结构与数据目录

• 核心数据目录：
  • blocks/blk*.dat：原始区块数据文件（每个 128 MB）
  • blocks/index/*：区块索引（LevelDB 数据库），映射区块哈希到文件位置
  • chainstate/*：UTXO 集状态（LevelDB 数据库），当前所有未被花费的输出
• 数据组织：
  • blk*.dat 以网络序列化格式存储区块，可直接解析
  • LevelDB 提供高效的键值查询，支持快速 UTXO 验证
• 教学意义：理解协议层数据结构，而非停留在浏览器界面
  • 可编写脚本直接解析 blk*.dat 提取任意字段
  • 将"链上"理解为可重复、可审计的数据生成过程

10.1 区块解析实验：从 .dat 到区块头

10.2 交易解析：从十六进制到结构化数据

• 交易结构（非固定长度，变长字段）：
  • 4 字节：版本号
  • 1-9 字节（VarInt）：输入数量
  • 输入列表：每笔输入含 prev_tx_hash（32 字节） + output_index（4 字节） + scriptSig（变长） + sequence（4 字节）
  • 1-9 字节（VarInt）：输出数量
  • 输出列表：每笔输出含 value（8 字节，单位 satoshi） + scriptPubKey（变长）
  • 4 字节：锁定时间（lock_time）
• 示例（Genesis Block coinbase 交易原始十六进制见教材附录）
• 教学意义：将"区块/交易"从抽象概念还原为可编程操作的结构化对象

10.3 区块解析工具与资源

11.1 链上数据爬取：基础指标与数据来源

11.2 数据获取代码示例

import requests, csv, time

with open('btc_block_info.csv', 'w', newline='') as f:
    writer = csv.writer(f)
    writer.writerow(['height', 'hash', 'n_tx', 'time', 'size'])

    for i in range(10):
        url = f'https://blockchain.info/block-height/{i}?format=json'
        r = requests.get(url, headers={'User-Agent': 'Mozilla/5.0'})
        block = r.json()['blocks'][0]
        writer.writerow([
            i,
            block['hash'],
            block['n_tx'],
            block['time'],
            block.get('size', 'N/A')
        ])
        print(f'Block {i} completed')
        time.sleep(0.5)  # 遵守 API 调用频率限制

11.3 数据质量、局限性与伦理考量

• 数据质量评估：
  • API 返回的时间戳为 Unix 时间戳（秒级），需转换为可读日期
  • 交易数量 n_tx 包含 coinbase 交易（非普通用户交易）
  • 区块大小非定值，受 SegWit 折扣规则影响
• 局限性：
  • 公开 API 有调用频率限制，高并发需要 API Key 或本地节点
  • 链上数据反映的是交易记录，而非"用户"行为（地址 ≠ 身份）
  • 缺乏链下信息（订单来源、交易目的等）
• 伦理提醒：
  • 遵守 API 服务条款，不进行破坏性爬取
  • 链上数据虽公开，但分析结果应尊重隐私与匿名性假设

12.1 双花攻击：机制与防御

• 双花（Double-spending）问题：同一笔 UTXO 被重复支付给不同接收方
• 攻击场景：
  • 种族攻击（Race Attack）：攻击者向商家发送交易的同时，在另一分支挖出包含冲突交易的区块。商家若零确认接受，则可能被欺诈
  • Finney 攻击：攻击者预挖一个包含冲突交易的区块，在花费该币后释放预挖区块
  • 50% 以上攻击：攻击者掌控 > 50% 算力，可秘密构建更长链以回滚交易
• Bitcoin 的防御策略：
  • 多数情况下等待 1 个以上确认（约 10 分钟）
  • 高价值交易等待 6 次确认
  • 全节点独立验证每个交易的输入 UTXO 是否存在

12.2 Sybil 攻击与 DoS 攻击

• Sybil 攻击（女巫攻击）：
  • 攻击者创建大量伪造节点身份，试图包围目标节点或操控网络传播
  • 影响：阻止特定交易传播、隔离目标节点（日蚀攻击/eclipse attack）
  • Bitcoin 缓解：连接限制、反 Sybil 机制、随机节点选择
• DoS 攻击（拒绝服务攻击）：
  • 通过广播大量无效交易或区块消耗节点资源
  • 针对内存池（mempool）洪水攻击：塞满未确认交易
  • 缓解：交易 relay 费门槛、脚本执行限制、区块大小限制
• 设计原则：Bitcoin 不是"消灭风险"，而是通过成本和验证规则抬高攻击代价

12.3 Bitcoin 的层次化安全体系

13.1 Bitcoin 的核心优势

13.2 Bitcoin 的能力边界与局限

13.3 从 Bitcoin 到更广阔的加密生态

• 扩容之争推动创新：
  • 链上扩容：Bitcoin Cash 增大区块尺寸
  • 链下扩容：Lightning Network 实现微支付通道
  • 侧链方案：Liquid Network、RSK 提供扩展功能
• 另类币的探索
  • 莱特币（Litecoin）：更短的出块时间，不同哈希算法
  • 域名币（Namecoin）：基于区块链的去中心化 DNS
  • 狗币（Dogecoin）：社区驱动的另类币文化
• 能力边界推动以太坊出现：图灵完备脚本 + 账户模型打开了智能合约的新范式
• 课程过渡：下一讲进入以太坊与智能合约的世界

13.4 Bitcoin 网络现状数据（2025）

数据来源：Bitcoin Visuals, Mempool.space, CoinMetrics（数据截至 2025 Q1）

13.5 讨论：Bitcoin 的定位之争——数字黄金还是电子现金？

本讲总结

• Bitcoin 的核心创新在于用 PoW + 经济激励解决了开放网络中的共识排序问题
• 从交易结构（UTXO）到脚本验证（Script），再到全节点同步，每个层面都围绕可验证性设计
• 安全性不是来自单一机制，而是密码学、共识规则、经济激励和去中心化验证的多层次体系
• Bitcoin 的能力边界（低吞吐、弱脚本、高延迟）推动后续技术的演进
• 关键问题回顾：Bitcoin 的安全来自算力、经济激励还是社会共识？
  • 答案是三者缺一不可——算力提供成本屏障，激励保证理性行为，共识确保规则执行的合法性