比特币 10 年！ 比特币白皮书中的“对”与“错”

比特币白皮书理所当然地被认为是历史上最具原创性和影响力的计算机科学论文之一。

它已经启动了一个价值数十亿美元的产业和数千篇后续论文。

然而，值得批判性地审视一下这篇论文（以及论文中遗漏的原始比特币设计的元素），看看它是否做得对？ 什么地方出了错？ 哪些问题我们还不知道答案？

比特币的正确之处

一个真正成功的想法的标志之一是我们忘记了在这个想法出现之前人们是如何看待这个世界的。 比特币的许多最基本的贡献似乎只是事后诸葛亮。

人们很容易忘记，在 2000 年代的大部分时间里，加密货币都是一潭死水。 在 1990 年代多次尝试构建工作系统失败后（主要使用 David Chaum 在 1980 年代概述的想法），该领域发表的论文很少。 许多人只是认为非国家货币没有可行的市场。

在比特币出现之前的 2000 年代初期，去中心化系统（通常称为点对点网络）是一个活跃的研究领域，匿名研究随着 Tor 和其他系统的发展而发展。

但这些都不是支​​付系统的必要功能。 比特币有什么贡献？

1. 鼓励矿工。 比特币的核心贡献之一是通过通货膨胀和费用为矿工提供激励。 该模型总体上是成功的，可以说很少有人预见到它的到来。 在比特币时代之前，许多提供开放参与（任何人都可以运行节点）的 P2P 系统都受到 Sybil 攻击和其他问题的困扰。 已经有很多鼓励诚实参与的尝试，但在比特币出现之前，没有任何系统可以让它发挥作用。

2、轻客。 事实证明，比特币对全节点和轻（或SPV）节点的支持已经被证明是非常强大的，而比特币中嵌入的区块结构使得不仅可以实现轻客户端，还可以自然而然地实现。

3. 脚本。 尽管有限，但比特币的脚本支持（白皮书中根本没有讨论）已经启用了一些有用的功能，例如多重签名账户和支付网络。 设想一个支持简单支付的系统是明智的。

4. 认可长期激励。 中本聪没有预见到工业规模的挖矿或矿池，至少在白皮书中没有。 但这篇论文确实包含了一个关于中心化风险的非常有先见之明的观点：“[攻击者] 应该发现拥有比其他人包含更多新硬币的规则更有利可图，而不是破坏系统和其他人自己财富的有效性。”虽然此后有无数关于矿工理论上受到攻击的报道，但没有人真正尝试过。中本聪认识到一个强有力的原则：矿工有不攻击的长期动机，因为他们投资于生态系统的健康。

比特币有什么问题

在比特币代码的早期版本中，我们会忽略一些古怪的追溯功能，例如：支付 IP 地址和内置电子商务系统，这些都是以前从未见过的。

但比特币有几个看似“错误”的特性，今天构建的任何系统都不应该重复这些特性。

1.ECDSA。 这种签名算法虽然远优于RSA算法，但在各方面都不如EC-Schnorr。 中本聪很可能根本不知道这个选项（围绕 Schnorr 的软件专利的遗产）。 如今，如果不支持更高级的签名方案（例如 BLS），使用 Schnorr 代替它对阈值签名的支持显然是有利的。

2.交易可塑性。 这个意想不到的问题已经让支付网络等协议头疼，并引发了著名的 Mt. Gox 攻击。 今天，一个谨慎的设计将使用隔离见证（SegWit）来确保交易哈希是不可变的。

3. 功能自行添加。 显然，由于添加了软分叉，所以不包括一些流行的功能是错误的，例如 pay-to-script-hash (P2SH) 和 check-locktime-verify。

4.硬币的分割性有限。 比特币有 2100 万个比特币的上限，但更重要的是，它的原子单位大约是 2^52 聪。 如果比特币真的成为地球上唯一的支付系统，那将提供每人不到 100 万个单位。 这不足以涵盖日常交易（甚至四舍五入到相当于十分之一美元）以及大量持股。 用几十个额外的位来扩展它是相当便宜的，这样可分割性就不会成为问题。

5.形成一个简单的链条。 考虑到“区块链”这个流行词已经发展到何种程度比特币的发展历史论文，值得指出的是，将区块放入线性链中是一种疏忽，这使得超轻量级客户端验证旧区块包含在当前链中的中间价格很高。 比特币正确地将交易放入树中比特币的发展历史论文，那么为什么不让区块自己做呢？ 跳过列表将是另一个重大改进。 有趣的是，Certificate Transparency 项目（独立于同时代的比特币而设计）很好地实现了这一点，并将每次更新放在树上，而比特币的几个后继者则偏离了线性链设计。

6. 任何国家承诺。 比特币矿工都将系统状态作为一组未使用的交易输出 (UTXO) 进行跟踪。 但这并不是对每个社区的承诺，必须从历史中推断出来。 这使得轻量级客户端很难确认当前状态以及交易是否已被消费。 向每个区块添加 UTXO 承诺很容易，许多后续系统（如以太坊）都这样做。

7、简单的攻击分析。 比特币白皮书用了相当大的篇幅（约占正文的四分之一）来分析只有不到 51% 的矿工有幸成功推出餐叉的概率。 随后的分析确定了许多其他攻击媒介（例如自私挖矿），这些现在看来已经过时了。

8. 一CPU一票。 中本聪将比特币描述为一个系统，其中大多数参与者都是使用 CPU 的矿工。 多年来情况并非如此，因为采矿业由专用硬件主导。 虽然 ASIC 挖矿是好的还是坏的发展值得商榷，但它肯定不是原始白皮书中提到的。

我们还不知道的

1. SHA-256 谜题。 比特币对基于哈希的计算难题（“工作量证明”）的使用一直是争论最热烈的话题之一。 它消耗太多能量吗？ ASIC 是否像为基于 GPU 的挖矿设计的那样鼓励集中化，或者存储受限的挖矿是否会以更低的成本提供更好的激励？ 权益证明最终会获胜吗？

2. 块大小和其他参数限制。 1 MB 的块大小限制一直是争论的焦点，至少可以说，块之间的 10 分钟间隔也是如此（在较小程度上）。 许多后续系统在更大或更频繁的区块上蓬勃发展。 从长远来看，比特币的保守设计是否明智？

3. 匿名。 由于交易图分析的发展，白皮书中描述的比特币匿名性的论点，因为只公开了公钥，现在被认为是不完整的。 机密交易、Monero 或 Zcash 等系统提供更强的加密隐私。 另一方面，已经提出了许多向后兼容的方案来通过混合来混淆比特币区块链上的活动。 匿名是一个需要内置支持的关键特性吗？

4.通货膨胀。 比特币的设计是为了避免通货膨胀，但许多经济学家指出它实际上是通货紧缩的，因为最终只有在密钥丢失的情况下，硬币才能退出流通（或者硬币被故意通过“燃烧证明”进行交易，所以他们不能使用）。 零通胀实际上需要发行少量的新货币来跟上货币的贬值。 如果这是比特币的错，我们可能多年都不会意识到这一点，因为通货膨胀正在逐渐减弱。

5.转向交易费用。 比特币硬编码了从主要通过通货膨胀奖励矿工到主要通过交易费用奖励矿工的缓慢过渡。 没有人知道这将如何发展，但一些研究表明，这可能会导致后通胀世界出现严重的不稳定。

6. 有限的可编程性。 比特币对其可编程性施加了严格的限制，以保持交易易于验证（并且成本可预测）。 以太坊项目已经证明非常需要更丰富的编程模型，尽管它的模型引入了额外的扩展问题。 从长远来看，比特币会因其较弱的编程模型而受到阻碍吗？