前三期讲述了寻找中本聪的故事,接下来的几期,和读者朋友们一起重温一下中本聪传世经典的比特币白皮书。
2008年11月中本聪在一个密码学网站的邮件列表中,发表了这篇题为《比特币,一种点对点式的电子现金系统》的论文,详细描述了如何创建一套去中心化的电子交易体系,而且这种体系不需要创建在交易双方相互信任的基础之上。今天就带着大家一起看看这篇论文到底讲了些什么,中本聪设计比特币的初衷又是什么?
2009年1月,中本聪开发出了首个实现了比特币算法的软件程序,并首次进行了挖矿,获得了第一批的50个比特币。
2010年12月5日,在维基解密泄露美国外交电报这一事件期间,比特币社区呼吁维基解密能够接受比特币的捐款,以打破金融封锁。但是中本聪表示坚决反对,他认为比特币还处在摇篮中,经不起这种涉及政治的冲突和争议。
12月12日,中本聪在比特币论坛中发表了最后一篇文章,提及了最新版本的一些小问题,随后就不再露面了,Email通讯也逐渐终止了。目前比特币社区主要是由Bitcoin Core团队和比特币基金会来管理。
这篇载入史册的论文,一共9页,分为1个摘要,12个章节,大约3500字。中文版全文可以看我2025年11月1日公众号的文章。
比特币是一套复杂精密的系统,它涉及了非常多领域的技术知识,如果想要彻底搞懂比特币的原理,只看这一篇论文是不够的,还需要大量的延伸阅读,而对于Web3初学者,直接看中本聪的这篇论文门槛有一点高,因为内容比较抽象和跳跃,需要一定的密码学,计算机网络等领域的知识储备,但是它毕竟是学习比特币原理最权威第一手的资料。
接下来的几篇文章,我用相对简单的语言,分章节,来解读这篇论文的内核思想,能够让大家对比特币的设计原理有大体的了解,更重要的是,我们能一起来回顾中本聪发明比特币时的初衷。
论文的标题是,比特币,一个点对点的电子现金系统,然后是摘要部分,摘要里总结了作者设计比特币的目的和要解决的问题。(下面段落是摘要的原文)
“摘要:一种完全的点对点电子货币应当允许在线支付,从一方直接发送到另一 方,而不需要通过一个金融机构。数字签名提供了部分解决方案,但如果仍需一个可信任的第三方来防止双重支付,那就失去了电子货币的主要优点。我们提出一种使用点对点网络解决双重支付问题的方案。该网络通过将交易哈希进一条持续增长的基于哈希的工作量证明链来给交易打上时间戳,形成一条除非重做工作量证明否则不能更改的记录。最长的链不仅是被见证事件序列的证据,而且也是它本身是由最大CPU算力池产生的证据。只要多数的 CPU算力被不打算联合攻击网络的节点控制,这些节点就将生成最长的链并超过攻击者。这种网络本身只需极简的架构。信息将被尽力广播,节点可以随时离开和重新加入网络,只需接受最长的工作量证明链作为它们离开时发生事件的证 据。”
开宗明义的第一句话就是:一种完全的点对点电子货币,应当允许在线支付从一方直接发送到另一方,而不需要通过一个金融机构。这句话就是一切一切的内核,不要银行,去中心化。
中本聪说,比特币的目的就是通过构建完全点对点的技术,实现一种电子现金系统,达到无需金融中介,也无需双方信任的情况下实现在线的电子化支付。我们通过数字签名、时间戳、哈希算法、工作量证明、动态链式数据存储等技术,设计了一系列的机制,能够解决电子支付中的双重支付、记录篡改等问题,并且最终证明该系统安全有效、稳定可行。
“1.简介。互联网贸易已经变得几乎完全依赖金融机构作为可信任的第三方来处理电子支付。尽管对于大部分交易这种系统运行得足够好,但仍需忍受基于信任模型这个固有缺点。由于金融机构不可避免的需要仲裁纠纷,完全不可撤销的交易实际是做不到的。仲裁成本增加了交易成本,限制了最小实际交易额度从而杜绝了日常小额交易的可能性,而且由于不支持不可撤销支付,对不可撤销服务进行支付将需要更大的成本。由于存在交易被撤销的可能 性,对于信任的需求将更广泛。商家必须警惕他们的客户,麻烦他们提供更多他本不需要的信息。一定比例的欺诈被认为是不可避免的。虽可通过当面使用实物货币来避免这些成本及支付的不确定性,但不存在一个无可信任方而能在通信通道上进行支付的机制。
我们需要的是一个基于密码学原理而不是信任的电子支付系统,该系统允许任何有交 易意愿的双方能直接交易而不需要一个可信任的第三方。交易在计算上的不可撤销将保护卖家不被欺诈,用来保护买家的程序化合约机制也应该较容易实现。在这篇论文中,我们提出一种使用点对点分布式时间戳服务器为基于时间的交易序列生成计算上的证据来解决双重支付问题的方案。只要诚实节点集体控制的 CPU 算力大于任何一个合作攻击节点群的CPU 算力,这个系统就是安全的。”
第一章,简介 Introduction, 中本聪说,目前网上的交易主要是基于信用模式的,交易往往由第三方金融机构来承担交易双方的信用评估、担保还有资金清算的工作。阿里巴巴的支付宝就是典型的这种模式。
他说这种模式有两点弊端,第一点就是金融中介的存在增加了交易的成本,也增加了对交易规模、交易金额的限制。第二点是,线上支付存在一种可逆性,因此它并不适用于一些不可逆的商品或服务。
这个观点是什么意思呢?首先,支付的可逆性就是交易后如果发生了争端,顾客可以通过第三方支付机构申请退款,第三方机构有权在违背商家意愿的情况下,强制划扣他的收入,当然这种情况下买方也要退货给卖方。但是有一些商品和服务是不可退的,比如餐饮业、服务业,如果你想要的服务不满意,你又要把钱退回来,这样的话就开始扯皮了。所以如果双方没有创建足够的信任,商家就要时刻提防客户,并且索要大量个人信息来防止客户欺诈。现实中这种欺诈并不少见,商家往往只能自认倒霉。
中本聪说,如果有一种不可逆的支付手段,那这种收款的不确定性而产生的问题是可以避免的。其实现金就是一种不可逆的支付方式,所以有一些交易,卖家就更倾向于收取现金。这就是为什么中本聪称,比特币是一种电子现金系统,因为它跟现金一样,它是一种不可逆的支付手段。总结起来,中本聪认为比特币支付系统有三点特性:
第一,它用密码学,也就是数学代替了信用,因为人的信用不一定可靠,但是数学是可靠的。
第二,去金融中介化,这样提升的效率也实现了纯粹的点对点支付。
第三,杜绝了可逆支付,它能保护卖家不被欺诈,系统也可以兼容第三方担保机制来保护买方的利益。
最后他还强调,我们的系统能够通过点对点的分布式技术,基于密码学的工作量证明等机制来解决双重支付问题,同时只要这些节点和算力足够的分散,诚实节点算力大于攻击者的算力,整个系统就能够保证安全。
中本聪反复强调的双重支付问题,double spending problem, 简称双花问题,就是指同一笔钱,比如比特币,被重复支付了两次,却不被发现或者发现时为时已晚。其实比特币中的各种复杂机制,主要就是为了解决双花问题。
“2.交易
我们将一枚电子货币定义为一条数字签名链。每个拥有者都通过将上一次交易和下一个拥有者的公钥的哈希值的数字签名,添加到此货币末尾的方式,将这枚货币转移给下一个拥有者。收款人可以通过验证数字签名来证实其为该链的所有者。
这里的问题是收款人不能证实某个拥有者没有对此货币进行双重支付。通常的做法是引入一个可信任的中央机构或铸币厂来检查每笔交易是否存在双重支付。每笔交易之后, 都需要将这枚货币退回铸币厂以换取发行一枚新的货币,只有由铸币厂直接发行的货币才能被确认没有被双重支付。这个方案的问题在于整个货币系统的命运都依赖于运营铸币厂的公司,每笔交易都需要经过它们,就像银行一样。
我们需要一种能让收款人知道上一个货币拥有者没有对任何更早的交易签名的方法。 对我们来说,最早的那次交易是唯一有效的,所以我们不需要关心本次交易后面的双重支付尝试。唯一能确认一笔交易不存在的方法是知晓所有之前的交易。在铸币厂模型中,铸币厂知晓所有交易并能确定哪笔交易最先到达。在不引入一个可信任方的前提下要达到这个目的,所有交易就必须公开发布[1],而且需要一个能让所有参与者对交易收到顺序的单一历史达成共识的系统。收款人在每笔交易时,都需要多数节点认同此交易是最先收到的证据。”
第二章,交易transactions,这一章讲了比特币中非常重要的概念,就是交易和记账体系,因为对于一个货币系统如何完成收付款,验证交易的有效性以及存储交易记录,是首当其冲的一个问题。
中本聪说,我们定义电子货币是一条数字签名链,每个拥有者都通过将上一次交易和下一个拥有者公钥哈希值的数字签名,添加到此货币末尾的方式,将这枚货币转移给下一个拥有者。收款人可以通过验证数字签名来证实,他是这条链的所有者。
这里说的有一些抽象,因为这并不是我们常规理解的基于账户和余额的记账体系,比如银行系统中,我们每个人有一个账户,账户里记录了余额,同时记录了我们每一笔交易,分为收入和支出,这些交易对应了账户余额的增减,所有交易的支出和收入相加,总额跟余额应该是相等的,这很好理解。
但是比特币不是,比特币是基于中本聪称为UTXO的记账模型,英文全称是Unspent Transaction Output, 也叫未花费交易输出,这是一种基于交易的记账体系,在这个体系中,数据库记录了一笔笔交易,包括收付款双方的信息,金额,上一笔交易哈希值等信息。如果我们要计算某个账户拥有多少枚电子货币,需要在账本中找到其参与的交易,来计算该账户当前的余额。我们看论文中的配图,图中就是由一笔笔交易构成的链式结构,其实比特币每个区块中都存了大量的这种交易数据。
图中记录了三笔交易,完成了从0号拥有者到1号拥有者,最终到3号拥有者的转账数据。我们可以分别标记为第一,第二,第三笔交易。我们看这个图中的第二笔交易就是中间这一笔,付款方是1号拥有者,收款方是2号拥有者。这笔交易首先记录了2号拥有者的公钥,我们将第一笔交易的全部数据拼接2号交易者,也就是收款方的公钥,生成一个哈希值,然后用1号拥有者,也就是付款方的私钥来进行签名。我们也打包在交易记录中,这就记录了一次交易的主要数据。那么这笔交易是否真实有效呢?也就是付款方的钱是真的吗?其实收款方可以用付款方的公钥来验证他的签名是否是其本人,因为所有人的公钥都是公开的,后面的交易也是一样的原理,以此类推。
这里提及了三个概念,公钥、私钥和数字签名,这些都是密码学里的概念,我简单解释一下。非对称加密算法会生成一对公钥和私钥,公钥通常是公开的信息,私钥是非公开的,只有解密权的人能够拥有它。用于解密和签名。数字签名是一种应用,通常是发起者用私钥来进行签名,接收者只需要用发起者的公钥就可以进行验证。图中就是一次发起者用私钥加密和签名,接收者验证签名有效性的过程,也就是验证签名跟发起者的公钥是不是匹配。
比特币使用椭圆曲线算法生成公钥和私钥,公钥是公开信息,用于标识用户,验证比特币的所有权,私钥只有比特币的拥有者才所有,保证了比特币的归属权,并且用于转账和交易。如果实在难以理解的话,我们可以把公钥想象成银行卡号,私钥理解成银行卡密码。实际上公钥的确是对应了我们每个人的比特币钱包地址,也就是收款账号,而私钥用于签名和授权付款。
比特币的数字签名就是持有比特币的付款方,生成了一段防伪字符串。通过验证这个字符串,一方面可以证明这一笔交易是付款方本人发起的,另一方面可以证明交易信息在传输中没有被篡改。
比特币系统中涉及了许多的密码学的概念,正如中本聪所说,他要用密码学来代替信用。通过数字签名的技术,收款人已经能够验证付款方身份的真实性,但是他还不能证实付款方没有进行双重支付,也就是说他是否同时给多人支付了这枚电子货币。中本聪说,通常情况下会引入一个可靠的第三方机构,比如央行或者铸币厂,由他们来负责发行、结算和审核交易,这样就可以解决这个问题,但是比特币的使命就是不再依赖第三方金融中介,所以这种方案肯定是不行的。
另一个方案是,我们可以让收款人知道付款人最近的其他交易,这样就可以判断在这笔交易前,付款人没有造成双重支付的其他交易。如果系统不依赖任何第三方来审核账本,那么我们就需要公开所有的交易数据,让所有的参与者来监督和维护共同的一个账本,并且达成一种历史性的共识,最终只有一个有效的带有时间顺序的记账数据,并且公之于众。这就是比特币使用的分布式记账系统。
这一篇讲述了白皮书的摘要和两个章节的内容,下一篇继续解读
此公众号内容为区块链技术科普文章,不构成任何投资的意见和建议。
