比特幣:鄒傳偉：技術解析比特幣應對雙花攻擊的安全性問題_區塊鏈

從數學角度深入論證比特幣分布式賬本面對雙花攻擊的安全問題，核心是誠實節點和惡意節點在挖礦中的競爭。

撰文：鄒傳偉，萬向區塊鏈首席科學家

中本聰在比特幣白皮書技術部分討論了比特幣分布式賬本面對雙花攻擊的安全問題，核心是誠實節點和惡意節點在挖礦中的競爭。這部分內容非常重要，但中本聰的表述非常簡略，省去了關鍵論證過程。區塊鏈行業中有專家對這部分內容做了說明，但都存在一些疏漏之處。本文在前人工作的基礎上，試圖給出一個嚴謹解析。

比特幣挖礦的數學過程

比特幣挖礦的本質上通過不斷運行哈希計算，以找出一個符合要求的Nonce，使其前若干位等于0。如果將Nonce視為一個十六進制小數，那么其可以視為一個在0和1之間均勻分布的隨機變量，合格Nonce需小于α。α由比特幣算法根據全網算力調整。

現場 | 鄒傳偉：DC/EP交易筆數達312多萬筆 交易金額超11億元:金色財經現場報道，由Web3基金會主辦的Web3大會10月29日在上海舉行。萬向區塊鏈實驗室首席經濟學家鄒傳偉在會上透露，截至2020年8月底，DC/EP全國落地試點場景達6700 個，覆蓋生活繳費、餐飲服務、交通出行、購物消費、政務服務等領域；累計開立個人錢包11.33 萬個、對公錢包8859個，交易312多萬筆，交易金額超過11億。支持條碼支付、刷臉支付和碰一碰等多元支付方式。[2020/10/29]

用Η表示全網算力，含義是每秒可運行哈希計算的次數。用隨機變量τ表示找到合格Nonce的時點，τ是概率論上的停時概念。因為不同次哈希計算的結果相互獨立，所以對任意t>0，

因此，隨機變量τ的累積概率分布函數等于

(1)表示參數為-ln(1-α)Η的指數分布。根據指數分布的性質，找到一個合格區塊的平均時間為

現場 | 萬向鄒傳偉：需要在去信任環境中引入信任:金色財經現場報道，10月28日，第六屆區塊鏈全球峰會的數字金融主題論壇于上海開幕，論壇上，萬向區塊鏈首席經濟學家鄒傳偉演講表示，DeFi是針對金融功能模塊構建的，包含支付清結算、聚集資源、跨時空轉移資源、管理風險、提供信息、解決激勵等。DeFi是一個離散時間金融，DeFi的頻率由公鏈時間決定，而出塊時間是一個隨機變量，離散時間決定鏈活動效率、價格發現等。以出塊時間為時間單位，可以把利息理論引入DeFi，這是對DeFi進行定量分析的基礎。但因為TPS有限制，DeFi需要拉長付款周期，更需要精確計算利息，

區塊鏈雖是去信任化的，但地址是匿名的，沒有身份和信譽，這顯示了開放性，但會導致作出承諾需要超額抵押。而因為超額抵押，DeFi借貸的風險定價效率很低，最終需要在去信任環境中引入信任，用信任消減對未來的不確定性，例如地址與鏈外身份和信譽關聯，例如公鏈內重復博弈等。[2020/10/28]

用T表示平均出塊時間。那么，存在如下關系

萬向區塊鏈鄒傳偉：數字人民幣仍面臨三大挑戰:萬向區塊鏈首席經濟學家鄒傳偉表示，展望未來，數字人民幣仍面臨如下挑戰。一是客戶使用體驗和接受度，能不能真正用起來，二是數字人民幣系統的安全和效率，能不能支持十四億中國人使用，三是數字人民幣能否發揮其天然便于跨境支付的特點，走出國門應用。（經濟參考報）[2020/9/24]

(2)就是比特幣的難度系數調整機制。

誠實節點與惡意節點之間的挖礦競爭

假設全網算力H不變，誠實節點與惡意節點的算力分別為Hg和Hb，H=HgHb。它們找到合格區塊的時間分別為τg和τb。根據前文的分析，和均服從指數分布，參數分別是

誠實節點先找到合格區塊的概率是

同理，惡意節點先找到合規區塊的概率是

(3)和(4)說明，先找到合規區塊的概率與算力成正比。

萬向區塊鏈鄒傳偉：央行數字貨幣會是人民幣國家化的新工具:美東時間6月24日，在哈佛大學肯尼迪政府學院的貝爾弗中心智庫展開了一場由中心主任Aditi Kumar主持的關于數字貨幣的研討會。萬向區塊鏈首席經濟師學家鄒傳偉表示，因為數字貨幣技術存在變革當前的跨國支付系統，而且中國政府大力推動人民幣國際化，央行數字貨幣會是人民幣國家化的新工具。但這之中并沒有地緣目標，從技術講，當前的賬戶范式的SWIFT和通證范式的DCEP系統并不相同。天秤幣并不是美國政府的海外先鋒，且會對貨幣替代和貨幣主權有深遠影響。（巴比特）[2020/6/26]

惡意節點從落后追趕誠實節點的問題

假設全網算力H、誠實節點的算力Hg和惡意節點的算力Hb均保持不變。假設惡意節點落后誠實節點個區塊，接下來考慮惡意節點趕上誠實節點的概率。站在惡意節點的角度，引入如下計數函數

鄒傳偉：區塊鏈會為金融交易后處理帶來新的問題:4月13日消息，萬向區塊鏈公司首席經濟學家鄒傳偉刊文稱，區塊鏈會為金融交易后處理帶來新的問題，包括但不限于：1.結算的最終性；2.有效處理差錯和例外情況；3.在去中心化環境下軋差后凈額結算的可行性；4.跨賬本DvP的可行性。 區塊鏈應用于金融交易后處理，是從賬戶范式到Token范式的轉換。但僅靠范式轉換不足以支持在金融交易后處理中引入區塊鏈的必要性和合理性，關鍵要證明區塊鏈能提高效率，降低風險，并保留目前模式的優點。（第一財經）[2020/4/13]

其中，-z表示初始時惡意節點落后誠實節點z個區塊。Ii(τb<τg)表示第i個合格區塊是否由惡意節點生成。若是，則L(n)增加1；否則，L(n)減少1。換言之，L(n)刻畫了在n個區塊后，惡意節點領先于誠實節點的區塊數量。

惡意節點與誠實節點之間開展的是「最長鏈競爭」。用qz表示惡意節點趕上誠實節點的概率，數學表述是：

(6)的含義是，惡意節點從落后z個區塊出發，能超越誠實節點1個區塊的概率。

考慮第1個區塊的情況。如果這個區塊由惡意節點生成，則惡意節點領先于誠實節點的區塊數量變為-z1，此情形的概率為Pr(τb<τg)=q；反之，這個區塊由誠實節點生成，惡意節點領先于誠實節點的區塊數量變為-z-1，此情形的概率為Pr(τb>τg)=p。因此，

另外，q-1=1。但僅憑(7)和這個邊界條件不足以求解，需要將這個問題轉換為「賭徒破產」問題。

假設惡意節點在落后誠實節點N個區塊后放棄追趕，惡意節點在超越誠實節點1個區塊后贏得「最長鏈競爭」。這兩種情況都對應著「最長鏈競爭」停止，表示成「賭徒破產」問題是：

其中，τc也是概率論上的停時概念，L(τc)=-1表示惡意節點贏得「最長鏈競爭」，L(τc)=-N表示惡意節點退出「最長鏈競爭」。此時，(6)等價于

(7)仍然成立，但有兩個邊界條件：

(7)可以等價表述為，

也就是

迭代可知，

將上述迭代結果累加起來可得，

(12)

考慮邊界條件(10)，存在兩種情況。

第一，q>p。因為q/p>1，所以

第二，q

p=q=0.5

在上述求解過程中，N->∞的含義是惡意節點為了贏得「最長鏈競爭」可以容忍任何大的成本。這當然是一個過于理想化的假設，只考慮了惡意節點從落后追趕誠實節點在技術上的可行性。實際上，惡意節點會衡量追趕的成本和收益，在很多情況下成本超過收益，說明追趕即使在技術上可行，在經濟學上不可行。這會為比特幣分布式賬本帶來安全保障。

這就對應著比特幣白皮書第6頁給出的如下公式。需要說明的是，比特幣白皮書討論的是惡意節點從落后追平誠實節點的概率，而(15)給出的是惡意節點至少超過誠實節點1個區塊的概率。

分布式賬本面對雙花攻擊的安全性

這是比特幣白皮書重點討論的問題。此問題的關鍵是泊松過程與指數分布之間的關系。如果從任意時點開始統計區塊生成數量，由此得到的計數過程就是泊松分布：

任意兩個不重疊的時間段內區塊生成數量是互相獨立的隨機變量；在任意長度為的時間段內，區塊生成數量服從泊松分布

換言之，在相鄰兩個區塊之間的時間間隔服從參數為-ln(1-α)H的指數分布時，與其對應的計數過程服從參數為-ln(1-α)H的泊松過程。

在雙花攻擊中，假設交易發起者等待了z個區塊。這些區塊由誠實節點生成，對應的時間等于

假設惡意節點在這個時間段內在私下生成區塊，累計生成區塊生成數量Z服從泊松分布，參數等于

這對應著比特幣白皮書第7頁的如下公式：

根據泊松分布的定義，

在時0<=Z<=z，惡意節點落后的區塊數為z-Z；在Z>=z1時，惡意節點已完成雙花攻擊。因此，惡意節點雙花成功的概率等于（只討論q

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

比特幣

比特幣

比特幣Bitcoin，一種去中心化、非普遍全球可支付的加密數字貨幣，而多數國家則認為比特幣屬于虛擬商品，并非貨幣。比特幣的概念，誕生于2008年署名為中本聰的一篇論文，并于2009年1月3日，基于無國界的對等網絡，用共識主動性開源軟件發明創立。比特幣協議數量上限為2100萬枚，以避免通貨膨脹問題。使用比特幣是通過私鑰作為數字簽名，允許個人直接支付給他人，不需經過如銀行、清算中心、證券商等第三方機構，從而避免了高手續費、繁瑣流程以及受監管性的問題，任何用戶只要擁有可連接互聯網的數字設備皆可使用。比特幣BTCBitcoin查看更多

Tags：比特幣區塊鏈EFIDEF小比特幣什么時候上市區塊鏈專業是什么意思BTCDEFIRamp DeFi

屎幣