首页
佟晓峰 著
从第一性原理出发,重建对比特币的完整理解。
序章 + 17 章 · 三部分:歧路 → 正本 → 清源
序章:一切从双花开始
一张百元钞票
想象一个最简单的场景。
你从钱包里抽出一张百元钞票,递给面前的咖啡店老板。他接过钞票,找你零钱,交易完成。
这个过程简单到不值一提。但它之所以成立,依赖一个你可能从未想过的前提:你把钞票递出去之后,你手里就没有了。
这不是废话。这是物理世界最深刻的事实之一。
一块石头、一枚硬币、一锭黄金——物质世界中的任何东西,一旦从一个人手里转移到另一个人手里,原来的持有者就不再拥有它。不是因为法律规定,不是因为道德约束,而是因为原子不可凭空复制。你没有办法把一枚硬币“复制粘贴“出第二枚。物理定律不允许。
人类几千年的实物货币交换——从贝壳到金属铸币再到金条——都建立在这个前提之上。我们之所以能用“钱“来交换物品,最底层的原因是:钱花出去就没有了。一笔钱不能同时花两次。
这件事太平凡了,平凡到我们不会注意它。但正因为太平凡,当我们进入另一个世界时,才会措手不及。
信息的本性
现在换一个场景。
你用微信给朋友发了一张照片。发完之后,你手机里还有这张照片吗?当然有。你发了一百次,手机里照样有。你可以复制一万份,每一份和原件一模一样。
这不是微信的特殊功能,也不是数字技术的副作用。这就是信息的本性。
信息是一种抽象的模式。一段文字、一首歌、一张图片——它们的本质是一串比特,一组0和1的排列。和物理世界中的原子不同,比特可以被精确、无损、以近乎零成本复制。你复制一个文件,原件不会少一个字节。比特和它的载体天然可分离——同一串数据可以同时存在于一万块硬盘上,每一份都是完美的原件。
物质不可复制,信息天然可复制。这是物质世界和信息世界之间最根本的差异。
不需要更多的理论了。仅凭这一条差异,你就能推导出一个让整个数字货币领域头疼了几十年的问题。
双花:一个不可避免的问题
现在设想你要在纯数字的世界里创造一种“货币“。
这种货币不是纸币,不是硬币,而是一段数字信息——一串比特。它记录着“张三拥有100元“。
问题来了。
张三决定用这100元买咖啡。他把这段数字信息发给了咖啡店老板,老板收到了“张三转账100元“的记录。交易似乎完成了。但张三手里还有这段信息的原件。他可以把同样的100元再发给隔壁的水果店老板。如果水果店老板也没有办法发现这100元已经被花过了,他也会接受这笔付款。
同一笔钱,花了两次。
这就是双花问题(double-spending problem)。
注意,这不是某个系统设计的漏洞,不是某个程序员写了个bug。这是信息可复制性在货币场景下的必然结果。 只要你的“钱“是用比特来表示的,它就天然可以被复制。只要它可以被复制,持有者就可以把同一笔钱花两次。
白皮书的摘要开篇就点明了这个问题的核心地位:
“Digital signatures provide part of the solution, but the main benefits are lost if a trusted third party is still required to prevent double-spending.”
“数字签名提供了部分解决方案,但如果仍需一个可信的第三方来防止双重支付,那么其主要优势就丧失了。”
数字签名——密码学中的公私钥技术——可以证明“这笔转账确实是该私钥的持有者授权的“。但它不能证明“这个持有者没有用同一笔钱给别人也转过一次“。签名解决的是授权问题,而双花是一个完全不同的问题:同一笔钱是否已经被花过?
这就是数字货币的原罪。在解决双花之前,数字世界里无法存在无需可信第三方的原生数字现金。
传统方案:找一个你信得过的人
人类对这个问题的第一反应,也是最自然的反应,是找一个中间人。
银行就是这个中间人。
当你用手机银行转账时,你的手机并没有直接把“钱“发给对方。你的手机把一条指令发给了银行:“请从我的账户里扣100元,加到对方的账户里。“银行收到指令后,检查你的账户余额是否够用,如果够用,就在自己维护的账本上修改两个数字——你的余额减100,对方的余额加100。
这个账本是银行的,只有银行能修改。
正是因为只有银行一个人能改账本,双花问题就被“解决“了:你不可能给两个人各转一次100元,因为银行在处理第一笔转账时就已经把你的余额扣掉了。当第二笔转账到达时,银行发现余额不足,直接拒绝。
这个方案有效。全球的电子支付系统——银行、支付宝、微信支付——全部基于这个逻辑运行。
但这个方案有一个代价,白皮书第一节说得很清楚:
“Commerce on the Internet has come to rely almost exclusively on financial institutions serving as trusted third parties to process electronic payments.”
“互联网上的商业活动已经几乎完全依赖于金融机构作为可信第三方来处理电子支付。”
代价就是:你必须信任这个中间人。
你必须相信银行不会伪造你的交易记录。你必须相信银行不会无故冻结你的账户。你必须相信银行不会把你的财务数据卖给第三方。你必须相信银行永远不会倒闭。你必须相信银行背后的政府不会在某一天决定你的钱不再属于你。
这不是理论上的风险。2013年,塞浦路斯在金融危机中对超过10万欧元存款保险上限的大额储户实施减记和强制转股,以救助濒临破产的银行。2022年,加拿大政府依据《紧急状态法》冻结了与“自由车队“抗议相关的指定人员的银行账户——无需事先经过法院审判。在这些事件中,人们突然意识到一个残酷的事实:存在银行里的钱,在某种意义上并不完全是“你的“。它的使用需要银行的配合,而银行的配合需要政府的许可。
白皮书对此的描述直截了当:
“While the system works well enough for most transactions, it still suffers from the inherent weaknesses of the trust based model.”
“虽然该系统对大多数交易运作得足够好,但它仍然受到基于信任模式固有弱点的困扰。”
“Works well enough”——“足够好”。这三个字里藏着一个巨大的妥协。大多数时候,银行确实不会对你搞鬼。但“大多数时候“不是“永远“。每一次金融危机、每一次资本管制、每一次账户冻结,都在提醒我们:基于信任的系统,其安全上限就是你信任对象的可靠程度。
白皮书还指出了信任模式带来的具体经济损失:
“The cost of mediation increases transaction costs, limiting the minimum practical transaction size and cutting off the possibility for small casual transactions.”
“调解成本增加了交易费用,限制了最低实际交易规模,切断了小额临时交易的可能性。”
因为中间机构要承担调解纠纷的责任,在传统银行卡网络和跨境支付体系中,每笔交易必须收取足够高的手续费来覆盖这个成本。这意味着小额支付在经济上变得不划算——给街头艺人打赏一块钱,手续费可能比打赏金额还高。信任的代价不仅是抽象的风险,还是实实在在的经济摩擦。
更深一层地看,传统方案并没有真正“解决“双花问题。它只是把问题转化了——从“如何防止数字货币被复制“变成了“如何信任这个记账的人“。双花的风险没有消失,只是从技术层面转移到了制度层面。
真正的问题于是浮出水面:能否在不依赖任何可信第三方的前提下,在纯数字环境中解决双花问题?
二十年的探索
在中本聪之前,一代密码学家和计算机科学家已经看到了这个问题,并为之奋斗了二十多年。
1983年,密码学家David Chaum提出了盲签名技术,奠定了匿名数字支付的理论基础。1989年,他创立了DigiCash,并于1994年开始与银行合作试点运营——这是第一个实际运行的匿名数字支付系统。DigiCash在密码学上是优雅的,但它运行的前提是有一家银行愿意作为可信第三方来验证交易、防止双花。当合作银行退出后,DigiCash于1998年破产。技术再优雅,也抵不过中心化的单点脆弱。
1997年,Adam Back提出了Hashcash,用计算难题来对抗垃圾邮件——这是工作量证明概念最具影响力的早期实现之一(更早的理论探讨可追溯到1992年Dwork和Naor的研究)。1998年,Wei Dai发表了b-money提案,第一次系统性地描述了去中心化数字货币的构想,但缺少可行的共识机制。同年,Nick Szabo构想了Bit Gold方案(后于2005年系统化阐述),结合了工作量证明和时间戳链,是所有前比特币设计中最接近终点的一个,但始终未能解决去中心化环境下的共识收敛问题。2004年,Hal Finney基于Hashcash构建了RPOW——可复用的工作量证明系统,但验证仍然依赖一台可信服务器。
这些先驱的努力画出了同一条轨迹:所有人都想摆脱可信第三方,但没有人找到一个能在去中心化环境中真正防止双花的方案。
一直到2008年。
排序:唯一的答案
让我们暂时忘掉比特币,忘掉区块链,回到双花问题本身。
同一笔100元,被花了两次——一次给了咖啡店的Alice,一次给了水果店的Bob。这两笔交易在数据层面都是合法的:签名正确,余额充足。怎么判定哪笔有效?
你可能已经想到了:看谁先。
如果能确定给Alice的交易发生在先,那它有效;给Bob的那笔发生在后,就是双花,应该被拒绝。反过来也一样——具体谁先谁后并不重要,重要的是存在一个所有人公认的先后顺序。
这不是诸多方案中的一种,而是逻辑上绑定的必然要求。
想一想银行是怎么解决双花的。你的两笔转账先后到达银行服务器,银行按到达的顺序处理:先到的那笔扣款成功,后到的那笔因余额不足被拒。银行做的事情,本质上就是排序——确定交易的先后顺序。
再想想现实世界。为什么排队买票不会出现“一张票卖给两个人“?因为先来后到。排在前面的人先买到票,排在后面的人发现票已卖完。排队就是一种排序机制。
**解决双花,就是确定交易顺序。**这是一个逻辑必然,不存在其他路径。
白皮书对此说得非常精确:
“We need a way for the payee to know that the previous owners did not sign any earlier transactions. For our purposes, the earliest transaction is the one that counts, so we don’t care about later attempts to double-spend.”
“我们需要一种方法让收款方确认之前的所有者没有签署过任何更早的交易。就我们的目的而言,最早的那笔交易才是有效的,因此我们不关心后续的双重支付尝试。”
“最早的那笔交易才是有效的”——这句话把双花问题完全归结为排序问题。一旦全局的交易顺序被确定,双花在逻辑上就不可能存在。
白皮书紧接着指出了实现这一点所需的条件:
“To accomplish this without a trusted party, transactions must be publicly announced, and we need a system for participants to agree on a single history of the order in which they were received.”
“要在没有可信方的情况下实现这一点,交易必须被公开宣布,并且我们需要一个系统让参与者对交易被接收的先后顺序达成单一的历史共识。”
关键词是“single history“——单一的历史。不是每个人都有自己版本的排序,而是所有人对同一个排序达成共识。
问题于是变得尖锐了:排序需要就“谁说了算“达成共识。银行充当排序者,代价是你必须信任银行。我们不想信任任何人。那么——如何在没有中心权威的前提下形成一套所有人公认的交易历史?
没有裁判的比赛
这就是中本聪面对的终极难题。
一群互不认识、互不信任的人,分布在全球各地,通过互联网连接。没有人知道其他人是谁,没有人有理由相信其他人是诚实的。在这种条件下,如何让所有人对交易的排序达成一致?
不能靠道德——你不知道对方是什么人。不能靠法律——参与者跨越不同国家,没有统一的司法管辖。不能靠投票——在匿名网络中,一个人可以伪造一万个身份,“一人一票“瞬间失效。
如果排序者不可信,排序本身就不可信。如果排序不可信,双花就无法被防止。如果双花无法被防止,数字货币就不可能存在。
二十年来,所有的先驱都困在这一步。
然后中本聪想到了一个办法。
他的思路可以用一句大白话来概括:如果不能信任任何一个人,那就让所有人去竞争出块——谁先找到满足难度要求的有效区块,谁就有机会把这一批交易写入历史;全网最终接受累计工作量最高的那条链。
“代价“是什么?是真金白银的能量消耗——电力。
这就是工作量证明(Proof of Work)。
用能量换取秩序
中本聪在白皮书第一节的最后一句话中,定义了他的方案:
“In this paper, we propose a solution to the double-spending problem using a peer-to-peer distributed timestamp server to generate computational proof of the chronological order of transactions.”
“在本文中,我们提出了一种利用点对点分布式时间戳服务器来生成交易时间顺序之计算证明的方案,以此解决双重支付问题。”
请注意这句话中的每一个关键词。
“Distributed timestamp server”——分布式时间戳服务器。比特币不仅仅是一个“加密货币系统“,也不仅仅是一个“去中心化数据库“。在中本聪的定义中,它的技术核心是一台给交易盖时间戳的机器。时间戳的功能是什么?确定先后顺序。先后顺序解决什么问题?双花。
“Computational proof”——计算证明。这个顺序不是某个权威宣布的,不是投票表决的,而是通过计算来证明的。什么样的计算?消耗真实能量的计算。
让我们看看这个机制是如何运作的。
想象一个场景:全球有成千上万的矿工,每个人都在自己的电脑前工作。他们做的事情本质上是这样的:
第一步,每个矿工收集网络中还没有被确认的交易,把它们打包成一个“候选区块“——你可以把它理解为一页账本草稿。
第二步,每个矿工开始解一道数学题。这道题没有捷径,只能一个一个地试。就像猜一个保险箱密码:你不知道密码是什么,只能从000001、000002一个一个地试,直到某个数字让保险箱打开。这个过程需要消耗大量的电力和计算资源。
第三步,第一个猜对的矿工赢得这一轮竞争。他把自己的那一页“账本草稿“广播给全网,其他矿工验证答案是否正确——这个验证过程极快,瞬间完成。验证通过后,这一页就成为账本的最新一页——一个区块。随着后续区块不断叠加在它之上,这条记录将越来越难被推翻。
第四步,所有矿工在这个新区块的基础上,开始下一轮竞争。
这个过程大约每十分钟发生一次。网络大约每2016个区块调整一次数学题的难度,长期目标是让平均出块时间保持在约十分钟。
注意一个关键细节:每个区块的出块权都是独立竞争的。上一轮赢了的矿工,在下一轮没有任何先发优势。排序权在每一个区块的时间尺度上都在被重新争夺——这不像是一个一旦当选就可以连任的总统,更像是一场永不停歇的公开竞拍,每十分钟重新来过。
白皮书第四节描述了这个过程的关键特性:
“Once the CPU effort has been expended to make it satisfy the proof-of-work, the block cannot be changed without redoing the work. As later blocks are chained after it, the work to change the block would include redoing all the blocks after it.”
“一旦CPU算力已被消耗以满足工作量证明,该区块就无法在不重做工作的情况下被更改。由于后续的区块在其之后链接,修改该区块的工作将包括重做其后所有区块的工作。”
这段话的意思是:每一个区块的背后,都凝结了大量的能量消耗。如果有人想篡改一个已经被写入的区块——比如把一笔已经确认的交易删掉,从而实现双花——他不仅需要重做这个区块的全部计算,还需要重做这个区块之后所有区块的计算。随着确认数增加,攻击者需要重做的累计工作量不断增长;在诚实方算力占优时,追上的成功概率会随确认数近似指数下降,很快就变得在经济上完全不可行。
这就是为什么比特币的交易随着确认数增加,逆转的可能性越来越小。不是因为有人规定不许逆转,而是因为逆转的代价随确认的增多而急剧攀升。
更妙的是,这个机制让“自私“和“诚实“指向同一个方向。矿工不需要是好人。他们完全可以是纯粹的逐利者。但在这个竞争机制下,在多数算力诚实的前提下,持续延长有效链通常是最稳健的长期收益策略。任何试图作弊的行为——比如故意篡改交易顺序——都会增加自己挖出的区块被网络拒绝的风险,白白浪费已经投入的电力成本。当理性的自利计算大体指向诚实行为时,系统的安全性就不再主要依赖于人性的善——而是依赖于人性的贪。后者是一个远比前者更可靠的假设。
为什么必须是能量
你可能会问:为什么非得消耗能量?不能用别的方式来竞争排序权吗?
这个问题比看上去更重要。答案涉及一个深层次的逻辑。
首先,代价必须是真实的。如果获得排序权不需要付出任何代价,那每个人都会抢着来排序,而且作弊没有损失。系统瞬间崩溃。
其次,代价必须是系统外部的。假设你设计一个系统,要求参与者质押系统内部的代币,作弊时没收质押物。听起来合理,但想一想:谁来判定“作弊“?系统中的其他参与者。谁来执行“没收“?还是这些参与者。如果超过一定比例的参与者决定串通呢?他们可以集体篡改规则,免除自己的罚款,甚至把被没收的代币还回去。这就像一场足球比赛,球员同时兼任裁判——判罚规则本身就可以被球员修改。
能量消耗不存在这个问题。矿工的电费付给了电网,硬件成本付给了制造商。这些支出发生在比特币系统之外,不受链上任何规则的管辖。无论链上发生什么事,花掉的电不会回来。没有任何多数派可以投票取消物理世界中已经发生的能量消耗。
最后,代价必须是可独立验证的。工作量证明有一个极其优雅的数学性质:做题极难,验题极易。矿工可能花了十分钟消耗了大量电力才找到一个合格的答案,但任何人都可以在毫秒级别内验证这个答案是否正确——不需要询问任何权威,不需要投票,只需要执行一次简单的数学运算。
真实的、外部的、可独立验证的。在开放、无许可、抗女巫攻击的公共网络里,能量消耗——也就是工作量证明——是目前最成熟、经长期实战检验的满足这三个条件的机制。
这不是中本聪的个人偏好,更不是一种可以被随意替换的“算法选择“。在解决“无信任环境下的全局排序“这个问题的约束条件下,工作量证明是逻辑推导的唯一终点。
从无序到有序
让我们退后一步,看看中本聪到底完成了什么。
在比特币出现之前,数字世界里的所有交易记录,其可信度都依赖于某个机构。银行的账本是可信的,因为你信任银行。支付宝的记录是可信的,因为你信任阿里巴巴。如果这些机构消失了、倒闭了、或者决定不再为你服务了,你的“钱“——那些数字——就变成了没有意义的比特。
比特币改变了这一切。
它从一个最基本的物理事实出发——物质不可复制,信息可以——推导出数字货币的根本障碍是双花;然后证明解决双花的唯一方式是全局排序;然后通过工作量证明,让一组互不信任的参与者在没有任何中心权威的条件下,对交易顺序达成共识。
白皮书的结论部分这样总结:
“We have proposed a system for electronic transactions without relying on trust. We started with the usual framework of coins made from digital signatures, which provides strong control of ownership, but is incomplete without a way to prevent double-spending. To solve this, we proposed a peer-to-peer network using proof-of-work to record a public history of transactions that quickly becomes computationally impractical for an attacker to change if honest nodes control a majority of CPU power.”
“我们提出了一种不依赖信任的电子交易系统。我们从由数字签名构成的常规货币框架出发,该框架提供了对所有权的强有力控制,但在缺乏防止双重支付的方法时是不完整的。为了解决这个问题,我们提出了一个点对点网络,使用工作量证明来记录交易的公开历史——只要诚实节点控制着大多数CPU算力,攻击者要篡改该历史将很快变得在计算上不可行。”
每一句话都指向同一个核心:防止双花。
数字签名解决了所有权控制——但不完整,因为没有解决双花。工作量证明补上了最后一块拼图——通过能量消耗来构建一个不可篡改的交易顺序。
数字世界里的“物理性“
比特币的真正突破,比大多数人理解的更加深刻。
回想一下物质世界。一块黄金之所以有价值,除了它好看之外,更根本的原因是:它是稀缺的(地球上只有那么多),它是排他的(你拿着别人就拿不了),它是持久的(不会腐烂消失)。这三个属性都是物理定律的直接结果——原子不可凭空创造,不可同时被两人持有,不可无痕消除。
数字世界本来不具备上述任何一条。比特可以无限复制,所以没有稀缺性。同一份数据可以同时存在于一万台机器上,所以没有排他性。修改一个比特不会留下任何痕迹,所以没有持久性。
但比特币通过工作量证明,在数字世界中第一次创造出了类似于物理属性的东西。
每一个区块的创建都需要消耗真实的能量——这赋予了数字记录以“制造成本“,就像开采黄金需要消耗体力和工具。一旦区块被写入并被后续区块确认,修改它的代价随时间急剧增长——这赋予了数字记录以“不可篡改性“,就像刻在石碑上的文字难以被无痕抹去。整个账本被全球数以万计的节点同步保存——这赋予了数字记录以“持久性“,就像一本被复印了一万份分发到世界各地的书,不可能被任何人销毁。
Hugo Nguyen对此有一个精辟的概括:PoW本质上是将物理现实印刻到数字世界的机制1。通过能量消耗这个中介,比特币的账本获得了一种数字信息本不该拥有的属性——物理性。比特是没有重量的,但凝结了能量的比特,有了重量。
这意味着什么?
意味着人类第一次在数字世界中创造了不可逆的稀缺性。
在比特币之前,数字世界里的一切“稀缺“都是人为制造的假象。一款限量版数字皮肤之所以“稀缺“,是因为游戏公司控制着服务器,决定只发行一万份。公司倒闭的那天,这种“稀缺“就烟消云散。
比特币的稀缺是真实的。2100万枚的总量上限不是某个公司的承诺,而是写入协议并由全网算力共同守护的共识规则——想要更改这个数字,就必须推翻保护它的庞大累积工作量。没有任何人、任何机构、任何政府可以凭空增发哪怕一个聪。这种稀缺不依赖于任何人的善意或承诺——它依赖于改写历史在能量上的不可行性。
如果把这个成就放在更宏大的历史背景下看,它的意义会更加清晰。人类文明的绝大多数制度——货币、法律、产权——都建立在“记录“之上。合同写在纸上,法律刻在石碑上,产权登记在册页中。纸张和石碑之所以能承载这些制度,是因为它们具备物理性:制造有成本,写上的字难以被无痕抹去,载体本身可以长期保存。
在比特币之前,数字世界从未拥有过这样的“纸张“。比特是完美的通信介质——传输快、复制易——却是糟糕的记录介质。所有数字世界中的“记录“,其可信度都不得不寄生于某个机构的信誉。比特币通过工作量证明,第一次在比特的世界里制造出了“纸“——一种具有物理属性的数字载体。这张纸上现在写着交易记录,但它能写的远不止于此。
正如白皮书所说,比特币网络“以其非结构化的简洁性而具有强健性“:
“The network is robust in its unstructured simplicity. Nodes work all at once with little coordination. They do not need to be identified, since messages are not routed to any particular place and only need to be delivered on a best effort basis. Nodes can leave and rejoin the network at will, accepting the proof-of-work chain as proof of what happened while they were gone.”
“该网络以其非结构化的简洁性而具有强健性。节点同时工作,几乎不需要协调。它们不需要被识别身份,因为消息不需要被定向发送给特定的人,只需要在网络中尽可能传播开来即可。节点可以随意离开和重新加入网络,接受工作量证明链作为它们离开期间所发生事件的证明。”
节点可以随意加入和离开,不需要任何人的批准。这个系统的运行不依赖于任何特定参与者的存在。它像物理定律一样,一旦启动就自行运转——有人来就加入,有人走就退出,账本不为任何人停顿。
一条清晰的逻辑链
让我们把整条推理串起来。
起点:物质不可复制,信息可以复制。
第一步:在数字世界中创造“货币“,必然面临双花问题——同一笔钱可以被花两次。
第二步:解决双花的唯一方式是确定交易的全局顺序——排序。
第三步:如果排序由一个中心机构来做,你就必须信任这个机构——这正是传统银行的模式。
第四步:如果要在不信任任何人的条件下实现排序,就需要一个去中心化的竞争机制,让竞争的代价是外部的、物理的、不可逆的。
第五步:工作量证明——通过消耗能量来竞争排序权——是满足上述所有条件的唯一已知方案。
终点:比特币,一个不依赖任何可信第三方的电子现金系统。
这条逻辑链中的每一步,都是前一步的必然推论。不是某种哲学主张,不是某种政治立场,而是从“信息可复制“这个物理事实出发,一步步推导出的工程必然。
这就是比特币。不多,不少。
被误解的突破
然而,事情并没有按照这条清晰的逻辑发展。
2008年,中本聪发布白皮书。2009年1月3日,创世区块诞生;1月9日,比特币软件公开发布。在最初的几年里,只有极少数密码学爱好者和技术极客在关注这个项目。然后比特币的价格开始上涨。然后更多的人涌入。然后“区块链“这个词被从比特币中抽离出来,变成了一个独立的概念。然后数以千计的“区块链项目“涌现——它们声称自己改进了比特币,但大多数对中本聪到底解决了什么问题一无所知。
人们把比特币理解为“一种加密货币“——这是对的,但极度肤浅。就像把飞机理解为“一种交通工具“——你没说错,但你完全没有触及空气动力学的核心。
人们把区块链理解为“一种分布式数据库“——这几乎是错的。区块链不是数据库。它是一个排序机制——一个通过工作量证明让互不信任的参与者对交易顺序达成共识的系统。如果你把基于能量消耗的排序机制拿掉(比如用权益证明替换工作量证明),系统就失去了与物理世界的锚定,在作者看来,它更接近一个依赖内部持币者自我裁决的分布式数据库——而这正是比特币试图超越的信任模型。
人们说“PoW太浪费能源了,我们应该用更环保的共识机制“——这就像说“建造大楼太浪费钢材了,我们应该用纸板来建“。能量消耗不是PoW的缺陷,恰恰是它的安全来源。你消耗的能量越多,篡改记录的代价越高。你“节省“下来的能量,就是你从安全性上减掉的保障。
这些误解不是无害的。它们直接导致了行业此后十余年的歧路。
比特币社区内部,围绕区块大小的争论最终导致了2017年的分裂。一方认为应该保持小区块,让每个人都能运行全节点;另一方认为应该扩大区块,让比特币成为真正的全球支付网络。这场争论的本质,归根结底,是对“比特币到底是什么“的不同理解。
而在比特币之外,以太坊、Solana以及数千个“区块链“项目,带着对比特币原始设计的各种误读,建造了一个越来越复杂、越来越碎片化的行业图景。用户需要在几十条链之间选择,稍有不慎就会丢失资产。开发者需要学习几十种不同的技术栈。整个行业看起来蒸蒸日上,但距离中本聪白皮书描述的那个简洁、强大、统一的“点对点电子现金系统“,似乎越来越远。
这些歧路是如何产生的?每一次偏离的逻辑是什么?哪些是善意的误解,哪些是利益驱动的扭曲?
这正是接下来我们要讲的故事。
-
Hugo Nguyen, “The Anatomy of Proof-of-Work”, 2018. ↩
第一章:区块链行业的现状
你转过 USDT 吗?
假设你要给朋友转一笔 USDT。
这应该是一件简单的事。USDT 就是美元稳定币,不管在哪里,1 USDT 都锚定 1 美元。你打开钱包,输入金额,输入对方地址——然后你停住了。屏幕上弹出一个选择:以太坊(ERC-20)、Tron(TRC-20)、BNB Chain(BEP-20)、Solana、Polygon、Arbitrum、Optimism……
你知道选错了会怎样吗?
如果你的朋友给你的是一个 TRC-20 的地址,而你选了 ERC-20 网络发送,这笔钱就会被永久锁死在目标网络中一个你无法触达的地址里。没有错误提示,没有自动退回,没有客服电话。链上的交易是不可逆的——你的钱还在,但你再也拿不到了。
这不是一个极端案例。在加密货币社区的各种论坛上,“发错链了怎么办“是最常见的求助帖之一。Reddit 的加密货币板块、Twitter 上的求助帖、各种 Telegram 群组——每天都有人在问同样的问题。有人因此丢了几百美元,有人丢了几万美元。有些情况下,如果接收方是一个中心化交易所,你可以提交工单请求人工找回,前提是交易所支持那条链、愿意帮你处理、并且收取一笔不菲的手续费。Coinbase 在其帮助文档中明确写道:发送到错误网络的加密资产通常无法找回。如果接收方是一个普通钱包地址——祝你好运。
而且这还只是“选错链“这一种错误。你还可能遇到:Gas 费不足导致交易卡住、合约地址和钱包地址混淆导致资产发到黑洞、不同链上的地址格式兼容但网络不兼容导致“成功发送“却永远收不到。在 EVM 兼容链的世界里,同一私钥在不同 EVM 网络上通常对应相同格式的地址——都是 0x 开头的一长串十六进制字符——但这些网络的资产账本彼此独立。这种表面上的相似性让错误变得更加容易发生。
截至 2026 年初,仅 USDT 一种稳定币就部署在至少十条主要公链上,并通过各种桥接协议扩展到数十个网络。根据 Tether 透明度页面的数据,USDT 总发行量已达千亿美元量级,其中大部分集中在 Tron 和以太坊上,其余分布在 BNB Chain、Solana、Arbitrum、Avalanche、Polygon 等网络中。
一种代币,十几条链,八十多个网络。用户每一次转账,都要面对一个选择题。选对了,几秒到账;选错了,资产蒸发。而且这些选项之间的差异,对普通用户来说几乎是不可理解的。ERC-20 和 TRC-20 有什么区别?一个跑在以太坊上,一个跑在 Tron 上。为什么同一种稳定币要跑在不同的链上?因为不同的链有不同的手续费和速度。那为什么不能只用一条链?这个问题的答案,涉及整个行业过去十几年走过的弯路——而这正是本章要讲的故事。
停下来想一想:你在银行转账时,需要选择“走哪条线路“吗?你用支付宝付款时,需要决定“这笔钱走哪个清算网络“吗?当然不需要。那些系统之所以好用,正是因为用户根本不需要知道底层的基础设施是什么——一切都在一个统一的系统里完成。
而区块链行业花了十七年,建造出的是一个让用户在转账前必须先搞清楚网络拓扑的系统。一个声称要“让金融回归普通人“的行业,却建造了一个比传统银行系统更复杂、更容易出错、更不友好的转账流程。
这只是问题的冰山一角。
碎片化的世界
多链并存不仅仅是用户体验的问题。它是整个行业最深层的结构性困境。
一项发表于近年的文献综述统计并表征了从 Layer 0 到 Layer 2 的共 147 条活跃区块链网络。而这还只是经过筛选后符合纳入标准的数量——如果算上所有曾经宣称自己是“公链“的项目,这个数字要翻好几倍。
每一条链都有自己的代币、自己的钱包、自己的生态、自己的开发工具、自己的用户社区。以太坊上的 DeFi 协议不能直接和 Solana 上的协议交互。你在 Arbitrum 上持有的资产,不能直接在 Optimism 上使用。BNB Chain 上的 NFT,在以太坊上看不到。即使在以太坊自己的 L2 生态内部,Arbitrum、Optimism、Base、zkSync 之间的资产也不能直接互通——你需要先把资产“桥接“回以太坊主网,再“桥接“到目标 L2 上,在采用 Optimistic Rollup 的标准提现路径中,这个过程可能要等七天,还要付两次跨链手续费(虽然也存在第三方快速桥等替代方案)。
这就好比互联网在 2025 年还停留在这样一个状态:你在中国移动的网络上写了一封电子邮件,但中国联通的用户收不到。要想发给联通用户,你得先把邮件“桥接“到一个中间服务器上,这个中间服务器把邮件格式转换一下,再转发到联通的网络。在这个过程中,邮件有可能丢失,有可能被篡改,而中间服务器本身随时可能被黑客攻破。
荒谬吗?这就是区块链行业今天的现实。
更糟糕的是,碎片化不是一个正在被解决的问题——它是一个正在加剧的问题。每隔几个月就有新的 Layer 1 公链宣布上线,每隔几周就有新的 Layer 2 发布。每一个新项目都声称自己解决了前辈的问题——更快、更安全、更便宜。但每一个新项目的出现,都让用户需要记住的链名又多了一个,需要安装的钱包又多了一个,需要理解的规则又多了一套。
碎片化创造了一种表面上的“繁荣“——看啊,这个行业有这么多创新,这么多选择!——但它的代价是,整个生态的流动性被切割成了无数个孤立的碎片,用户的资产被困在一个又一个围墙花园里。
对于开发者来说,情况同样糟糕甚至更糟。如果你想开发一个 DeFi 应用,你必须决定部署在哪条链上。部署在以太坊?Gas 费太高,小额用户用不起。部署在 Solana?生态不同,智能合约要用 Rust 重写。部署在 Arbitrum?那你只能覆盖以太坊生态的一部分用户。如果你想覆盖所有主流链的用户,你需要在每条链上都部署一个版本,然后维护它们之间的一致性——这是一项几乎不可能完成的工程任务。
传统互联网的开发者只需要写一个网站或一个 App,全世界的用户都能访问——不管用户用的是什么品牌的手机、什么运营商的网络。互联网之所以成功,正是因为 TCP/IP 协议提供了一个统一的通信标准。而区块链的开发者,要为每条链写一个版本。我们花了十七年,建造出了一个比互联网诞生之前还要碎片化的技术生态。这不是技术进步,这是技术倒退。
而把这些碎片连接起来的尝试,则带来了另一场灾难。
跨链桥:连接碎片的代价
既然资产被困在不同的链上,一个自然的想法就是建造“桥“来连接它们。这就是跨链桥(cross-chain bridge)的由来。
跨链桥的基本逻辑是:你把资产锁定在 A 链的一个智能合约里,然后桥在 B 链上铸造出等量的“包装资产“(wrapped token)。当你想把资产移回 A 链时,桥销毁 B 链上的包装资产,再释放 A 链上锁定的原始资产。
听起来很合理。但这个看似简单的流程,隐藏着一个致命的问题:许多桥会引入新的信任假设和额外的攻击面。你必须相信桥的智能合约没有漏洞,你必须相信桥的验证者没有被收买,你必须相信桥的私钥没有被泄露——具体风险取决于桥的验证模型、密钥管理和实现方式。如果这些信任中的任何一环失败,锁在合约里的所有资产——不只是你的,是所有人的——都会被洗劫一空。
这不是理论推演。这是已经反复发生的现实。
2021 年 8 月,Poly Network 被黑客攻击,损失约 6.11 亿美元。攻击者利用跨合约权限校验缺陷,控制了三条链上锁定的全部资产。这起事件后来有一个戏剧性的结尾——黑客声称自己只是为了“暴露漏洞“,大部分资产随后被返还。但并非每个黑客都这么“善良“。
2022 年 2 月,Wormhole 桥遭到攻击,损失 3.2 亿美元。黑客利用 Solana 端验证逻辑的漏洞,凭空铸造了 12 万枚包装以太币(wETH),然后将其兑换为真实资产。Wormhole 的母公司 Jump Crypto 自掏腰包补上了这个窟窿——普通项目没有这种财力。
2022 年 3 月,Ronin 桥被攻破,损失 6.25 亿美元。Ronin 是热门区块链游戏 Axie Infinity 的侧链,其桥采用多重签名机制,需要 9 个验证者中的 5 个签名才能执行提款。黑客——后被确认为朝鲜黑客组织 Lazarus Group——获取了 5 个验证者的私钥,直接批准了两笔巨额提款。最令人震惊的是,这次攻击发生后六天才被发现——因为有用户报告无法提款,团队才去检查桥的状况。
2022 年 8 月,Nomad 桥遭到攻击,损失约 1.9 亿美元。与前面的案例不同,Nomad 的漏洞被一个人发现后,攻击方法迅速被“开源“——数百个地址加入了抢劫,像一场链上的“零元购“。
这些只是最大的几起事件。自 2021 年以来,跨链桥攻击的累计损失已达数十亿美元量级,桥成为整个加密生态中被攻击最多的基础设施类别之一。仅 2022 年,数起桥攻击事件就造成了超过十亿美元的损失,占当年 Web3 安全事件总损失的半数以上。
以太坊创始人 Vitalik Buterin 自己在 2022 年初就曾公开警告跨链桥的安全风险,他的大意是:跨链桥的根本性安全局限性是他对多链未来乐观、但对跨链未来悲观的关键原因。
这句话值得细品。区块链行业最具影响力的人物之一,亲口承认跨链桥存在“根本性安全局限“。但行业并没有因此停下脚步。用户的资产仍然散落在几十条链上,跨链桥仍然是连接它们的唯一方式。每一座桥都是一个潜在的定时炸弹,而用户别无选择——除非你愿意把资产永远锁死在一条链上。
为什么桥的安全问题如此难以解决?因为这不是一个可以通过“更好的代码“来修复的工程问题。它是多链架构的结构性后果。当你有两条独立的区块链,它们各自有自己的共识机制、自己的安全保障。A 链的安全性由 A 链的矿工(或验证者)保护,B 链的安全性由 B 链的矿工保护。但桥横跨两条链——它的安全性既不由 A 链保护,也不由 B 链保护。它需要自己的一套安全机制,而这套机制的强度几乎总是弱于它所连接的任一条链。桥就是多链体系中最薄弱的环节——而攻击者永远盯着最薄弱的环节。
回想一下序章的内容。比特币解决的核心问题是什么?消除可信第三方。而跨链桥是什么?一个你必须信任的第三方。区块链行业用了十七年的时间,从“不需要信任中间人“的起点,走到了“你必须信任一座桥“的终点。
Layer 2:一个名不副实的承诺
跨链桥连接的是不同的 Layer 1 公链。但即使在同一个生态内部,碎片化的问题也同样严重。以太坊的 Layer 2(L2)就是最典型的例子。
以太坊的 L2 方案——以 Arbitrum 和 Optimism 为代表——承诺解决以太坊主网的拥堵和高 Gas 费问题。它们的基本逻辑是:把大量交易放到 L2 上执行,只把最终的结果提交到以太坊主网(L1)进行验证。这样既能享受以太坊的安全性,又能获得更高的速度和更低的费用。
这个叙事听起来很完美。但当你打开盖子看看里面的实际运作方式时,会发现一个令人不安的事实。
每一条 L2 的核心组件是“排序器“(sequencer)——负责收集用户交易、确定交易顺序、打包提交到 L1。而在几乎所有主流 L2 上,排序器都是由单一实体运行的。Arbitrum 的排序器由 Offchain Labs 运营。Optimism 的排序器由 OP Labs 运营。Base 的排序器由 Coinbase 运营。
单一的排序器意味着什么?
意味着你在 L2 上的每一笔交易,其排序权都掌握在一家公司手中。这家公司可以决定哪些交易先处理、哪些后处理。它可以审查特定的交易——虽然理论上用户可以通过“强制包含“机制绕过审查,但这个过程可能需要数小时甚至更长时间。它还可以从交易排序中提取价值——所谓的 MEV(最大可提取价值)——通过在用户交易前后插入自己的交易来获利。
更直接的风险是:如果排序器宕机,整条 L2 就瘫痪了。这不是假设——Arbitrum 的排序器在 2022 年 Nitro 升级以来已经经历了数次宕机,每次持续 30 分钟到 2 小时不等。2023 年 6 月,一个软件 bug 导致排序器停止将交易批次提交到以太坊主网。2023 年 12 月,一次铭文(inscription)流量激增导致排序器停摆近三个小时,用户面对的是交易失败和异常高涨的 Gas 价格。
L2 的支持者会说:排序器虽然是中心化的,但安全性仍然由以太坊 L1 保证。如果排序器作恶,理论上 Rollup 可通过欺诈证明(fraud proof)或有效性证明(validity proof)来约束作恶——但不同 L2 在证明系统的上线状态、权限设置和成熟度上并不相同。
这种说法在理论上是正确的。但它描述的安全模型本质上是“先信任,再申诉“——你先信任排序器会正确处理你的交易,如果它作弊了,你再通过一个复杂的链上挑战流程来纠正。这个挑战流程通常需要 7 天的等待期(在 Optimistic Rollup 中),在此期间你的资产被锁定。
“先信任,再申诉”。这难道不就是传统金融系统的运作方式吗?你先信任银行会正确处理你的转账,如果出了问题,你再去找银行投诉,走申诉流程。区别只是,在传统金融系统里,你至少还有消费者保护法和金融监管机构可以依靠。而在 L2 的世界里,你的“申诉对象“是一组智能合约——前提是你有足够的技术能力来发起链上挑战。
还有一个更深层的问题:L2 的排序器可以决定交易的执行顺序,而在去中心化金融(DeFi)的世界里,交易顺序直接决定了利润分配。一个大额的代币交换交易,如果被排序器提前“看到“,排序器就可以在这笔交易之前插入自己的买单、在之后插入卖单——所谓的“三明治攻击“——从用户的交易中榨取利润。在中心化排序器的架构下,这种行为几乎无法被外部审计或阻止。用户的每一笔交易,都在排序器的“全知视角“下裸奔。
L2 的愿景是“去中心化的扩容“。现实是:用户把自己的交易排序权交给了一家私人公司,然后被告知“如果出了问题你可以申诉“。这和中本聪白皮书描述的系统——不需要信任任何第三方的点对点电子现金——相距多远?
更值得思考的是:如果 L2 的安全性最终要靠 L1 来兜底,那 L2 到底解决了什么问题?用户在 L2 上获得了更快的速度和更低的费用,但代价是引入了一个新的信任中间层。这不正是序章中描述的“传统方案“吗——通过引入一个中间人来解决技术问题,而代价是你必须信任这个中间人?
中心化交易所:新时代的银行
如果说多链碎片化、跨链桥和 L2 的中心化是技术层面的问题,那么中心化交易所(CEX)的主导地位则是整个行业最明显的讽刺。
看数据。
2025 年,DEX(去中心化交易所)与 CEX(中心化交易所)的现货交易量比率大约在 20% 左右——也就是说,链上去中心化交易只占总交易量的五分之一,剩下的五分之四都发生在中心化交易所的服务器上。在衍生品市场,这个差距更加悬殊:DEX 的期货交易量仅占 CEX 的约 12%。
换句话说,在一个以“去中心化“为核心叙事的行业里,在现货市场,CEX 仍占近 80%;在衍生品市场,CEX 的优势更大。无论哪一类市场,中心化平台都仍占主导。即使 DEX 的份额在过去几年有所增长——2025 年的现货 DEX/CEX 比率已经从 2021 年的 6% 上升到了 20% 左右——绝对主导权仍然牢牢掌握在中心化交易所手中。
这些平台的运作方式和传统银行有什么本质区别吗?
当你在 Binance 上买卖比特币时,你的交易并没有在任何区块链上发生。Binance 在自己的数据库里修改了两个数字——你的余额减少,对手方的余额增加。这和你在银行转账时发生的事情一模一样。Binance 的服务器就是那个“中心化账本“,你必须信任 Binance 不会挪用你的资金,不会伪造交易记录,不会在某一天突然限制你的提款。
不仅如此,中心化交易所还拥有传统银行也不曾有过的权力。它们可以随意上线或下线某个交易对,可以在极端行情中单方面暂停交易或提款,可以冻结你的账户而不需要任何法律程序。2025 年,Binance 一家的 CEX 市场份额就维持在 38-40% 左右,远超第二名 Bybit 的约 10%。全球加密资产交易的命脉,集中在极少数几家公司的服务器上。
这正是中本聪白皮书第一段就要解决的问题——对可信第三方的依赖。
而 FTX 的崩盘,则以最惨烈的方式证明了这种信任的脆弱性。
FTX:一面照妖镜
2022 年 11 月,全球第三大加密货币交易所 FTX 在短短几天内轰然倒塌。
故事的导火索是一篇报道。2022 年 11 月 2 日,CoinDesk 披露了一份关于 Alameda Research(FTX 创始人 Sam Bankman-Fried 旗下的交易公司)资产负债表的文件,显示 Alameda 的主要资产是 FTX 自己发行的平台代币 FTT——一种由 FTX 自身背书、流动性极差的资产。消息传开后,用户开始恐慌性提款。然后人们发现:钱不够了。
调查最终揭露了真相:FTX 在未经客户授权、未做任何披露的情况下,将客户存放在交易所的数十亿美元资金转移给了 Alameda Research,用于风险投资、房地产购买、政治捐款,以及弥补 Alameda 的交易亏损。FTX 的账目上存在约 80 亿美元的缺口。
Sam Bankman-Fried 于 2024 年 3 月被判处 25 年联邦监禁,此前在七项欺诈、共谋和洗钱相关罪名上被判有罪,并被要求没收 110 亿美元。
让这件事情变得格外讽刺的是 FTX 崩盘前的形象。Sam Bankman-Fried 是国会山的常客,是政治捐款的大金主,是各种加密行业峰会上的座上宾。FTX 的广告出现在超级碗赛场上,其名字刻在迈阿密热火队的主场球馆上。他被《福布斯》和《财富》等主流媒体塑造为“加密行业的良心“——一个推崇“有效利他主义“的年轻亿万富翁。整个行业、监管机构、主流媒体,所有人都“信任“了他。然后这种信任在 72 小时内崩塌。
FTX 的崩盘不是一个“意外事故“。它是中心化信任模型的逻辑必然。当你把资产交给一个中心化实体保管时,你就把自己的命运交到了这个实体的手中。这和你把钱存在银行里没有任何本质区别——唯一的区别是,银行至少还有存款保险制度和监管审计,而加密交易所什么都没有。
FTX 之前,是 Mt. Gox——2014 年全球最大比特币交易所的倒闭,约 85 万枚比特币失踪。再往前,是无数更小的交易所悄无声息地关门跑路。FTX 之后,谁知道下一个是谁。
每一次 CEX 暴雷之后,行业都会掀起一阵“not your keys, not your coins“(不是你的私钥,就不是你的币)的呼声。然后风头过去,大多数人照旧把资产存在交易所里——因为自己管理私钥太麻烦了,因为链上交易太慢了、太贵了、太容易出错了(还记得选错链丢失资产的故事吗?)。
这就形成了一个恶性循环:链上体验糟糕 → 用户涌向中心化交易所 → 交易所变得越来越像银行 → 交易所暴雷 → 行业呼吁“回归去中心化“ → 但链上体验仍然糟糕 → 用户继续涌向下一个中心化交易所。
循环的每一轮,都让行业离中本聪的初始愿景更远一步。人们嘴上说着“去中心化“,手上做的却是把越来越多的资产交给越来越少的中心化实体。到了 2025 年,仅 Binance 一家就占据了 CEX 现货交易市场近 40% 的份额。全球加密货币交易的大半壁江山,掌握在一家注册在开曼群岛的私人公司手中。这和“华尔街大银行控制全球金融“的图景有什么本质区别?
全景图:我们到底建造了什么?
让我们退后一步,把上面描述的所有问题放在一起看。
碎片化:上百条互不兼容的链,用户的资产和流动性被切割成无数碎片。同一种稳定币要部署在十几条链上,用户转账前要先判断网络拓扑。
跨链桥:为了连接碎片而建造的基础设施,本身成为了最大的安全隐患。累计损失超过 25 亿美元,且问题没有根本性的解决方案。每一座桥都是一个新的信任中心。
L2 中心化:号称“去中心化扩容“的 Layer 2,其核心组件由单一公司运营。用户的交易排序权被集中在一个实体手中,安全模型是“先信任再申诉“。
CEX 主导:超过 80% 的交易量发生在中心化交易所的链下服务器上。用户把资产存放在一个私人公司控制的数据库里,和传统银行的模式没有本质区别。FTX 的崩盘证明了这种信任可以在一夜之间被摧毁。
现在问自己一个问题:这一切,和比特币白皮书描述的那个世界,有什么关系?
白皮书的核心精神可以概括为:一种不依赖信任的电子交易系统。
行业建造的是:几十条互不相通的链、需要信任的桥、需要信任的排序器、需要信任的交易所。
白皮书描述的是:一个点对点网络,使用工作量证明来记录交易的公开历史。
行业建造的是:一个由私人公司运营的排序器网络、一个由私人公司运营的交易撮合系统,链上只记录最终结果——如果有链上记录的话。
白皮书说的是:节点可以随意离开和重新加入网络。
行业建造的是:如果 Offchain Labs 的排序器宕机了,Arbitrum 的用户体验会严重退化,普通用户几乎只能被动等待。如果 Binance 决定下线某个交易对,你没有任何办法。
行业花了十七年,重新建造了比特币要摧毁的系统。
这不是夸张,也不是修辞。这是对行业现状的一个尖锐但不失公允的概括。
一个可信第三方(银行)被替换成了多个可信第三方(交易所、桥、排序器)。不但没有减少信任依赖,反而增加了——你现在需要同时信任交易所不会跑路、桥不会被黑、排序器不会审查你的交易。一个统一的清算网络被替换成了上百个互不兼容的碎片化网络。一个简单的转账流程被替换成了一个需要用户理解网络拓扑、选择正确链路、承担错误后果的复杂流程。
在每一个维度上,今天的“区块链行业“都比它声称要取代的传统金融系统更复杂、更脆弱、更依赖信任。传统银行系统至少有一个优点:它是一个统一的系统。你不需要在“工商银行链“和“建设银行链“之间选择转账路径。而区块链行业用了十七年的时间,把一个统一的愿景拆成了上百个互不兼容的碎片,然后又花了大量的资源去建造连接这些碎片的桥——而这些桥本身又成了新的安全隐患和信任瓶颈。
这一切是怎么发生的?
这是真正的问题。
如果你问行业里的大多数人,他们不会否认上述任何一个事实。多链碎片化是公认的痛点。跨链桥的安全问题是公认的难题。L2 排序器的中心化是公认的妥协。CEX 的主导地位是公认的讽刺。
但大多数人会把这些问题归结为“发展过程中的阵痛“。他们会说:多链竞争是市场的自然选择;跨链桥的安全性在不断改善;L2 的排序器去中心化正在推进(Arbitrum 早已多次承诺并推进排序器的去中心化路线);DEX 的市场份额在持续增长。一切都在变好,只是需要时间。
这种叙事令人安心。它把所有的问题都框定为暂时性的技术挑战,让人相信只要给足时间和资源,一切都会自然而然地得到解决。
但它回避了一个根本性的追问:为什么我们会走到这一步?
比特币白皮书发表于 2008 年,比特币网络上线于 2009 年。从那时到现在,将近十七年。一个以“消除可信第三方“为使命的行业,为什么在十七年后,比任何时候都更依赖可信第三方?
一个以“去中心化“为核心价值的行业,为什么在十七年后,其核心基础设施——排序器、桥、交易所——每一个都是中心化的?
一个以“统一的全球账本“为技术愿景的行业,为什么在十七年后,其生态碎片化到了用户转一笔钱都要先选网络的程度?
这不可能只是“发展过程中的阵痛“。阵痛意味着系统在朝正确的方向前进,只是途中遇到了暂时的困难。但我们看到的不是这样。多链碎片化在加剧而不是收敛。L2 的数量在增加而不是减少。CEX 的规模在膨胀而不是萎缩。跨链桥在 2025 年的损失已经超过了 2024 年全年。当一个行业朝着与其初始目标完全相反的方向走了十七年,而且偏离的速度还在加快时,问题不在于走得不够快,而在于方向本身就错了。
错在哪里?又是从什么时候开始错的?
有人会说,错误始于以太坊——它引入了“世界计算机“的概念,把区块链从支付工具变成了通用计算平台,由此打开了多链竞争的潘多拉魔盒。有人会说,错误始于比特币社区内部的分裂——围绕区块大小的争论导致了不可弥合的路线分歧。还有人会说,错误始于更早——始于人们对中本聪白皮书的第一次误读。
不管错误的起点在哪里,有一件事是确定的:今天行业面对的所有混乱——碎片化、桥的安全灾难、L2 的中心化妥协、CEX 的全面主导——都不是孤立的技术问题,不是可以各自解决的独立挑战。它们是同一个根本性错误的不同表征。这个错误不在于某一个项目的设计缺陷,而在于整个行业对“比特币到底解决了什么问题“的根本性误解。当你误解了出发点,每一步努力都会把你带到错误的方向上——走得越远,离目标越远。
要回答这个问题,我们需要回到起点。不是回到比特币的起点——序章已经讲过了。我们需要回到比特币之前,回到那些尝试创造数字货币的先驱们的起点。因为只有理解了他们失败的原因,才能真正理解比特币的突破到底在哪里——以及行业后来是如何把这个突破遗忘、误解、直至亲手拆毁的。
这就是接下来的故事。
第二章:比特币之前——数字货币的探索
一个被遗忘的起点
上一章描绘了今天的区块链行业:碎片化的网络、相互隔离的账本、让普通用户望而生畏的技术复杂性。整个行业看起来越来越像一台精密但失控的机器——零件越来越多,却似乎没有人记得这台机器最初是用来干什么的。
要理解这台机器为什么会走到今天这一步,我们需要回到起点。不是2009年比特币上线的那个起点,而是更早——早到1980年代,早到一个名叫David Chaum的密码学家第一次提出这样一个问题:
能不能在数字世界里创造真正的现金?
这个问题看似简单,却困住了一代又一代最聪明的头脑长达二十余年。序章中我们用一段话概述了这段历史——从Chaum的DigiCash到Finney的RPOW。但那只是一个轮廓。本章将深入每一个关键节点,展示每一次尝试解决了什么、遗留了什么、以及后来者如何从前人的失败中汲取养分。
在中本聪之前,至少有五个重要的尝试先后出现,每一个都比前一个更接近答案,每一个都在同一个地方功亏一篑。理解这段历史,你才能真正理解比特币到底解决了什么问题——以及为什么那个解决方案如此特殊。
David Chaum与DigiCash:密码学的优雅与商业的脆弱
1982年,还在加州大学伯克利分校攻读博士学位的David Chaum发表了一篇论文——《Blind Signatures for Untraceable Payments》(用于不可追踪支付的盲签名)。这篇论文提出了一项密码学创新:盲签名。
盲签名的原理,可以用一个生动的比喻来理解。想象你在一个信封里放了一张支票,信封里衬有一层复写纸。你把这个封好的信封递给银行。银行在信封外面签了字——签名透过复写纸印到了里面的支票上——然后把信封还给你。你打开信封,取出支票。现在这张支票上有了银行的签名,但银行从未看到过支票的内容。
这意味着什么?意味着银行可以证明“这张支票是合法的“(因为有银行的签名),但银行可以验证这枚 eCash 的真伪,但无法把后续支付记录对应回某次取款记录或具体付款人。付款行为和付款人之间的联系被密码学彻底切断了。
这是人类历史上第一次在数学层面解决了数字支付的匿名性问题。在此之前,所有的电子支付都像银行转账一样——每一笔交易都有完整的记录,谁给谁付了多少钱,一清二楚。Chaum的盲签名技术,第一次让数字支付拥有了类似于现金的匿名属性:你把一张百元钞票递给咖啡店老板,没有人知道这张钞票是你给的,也没有人能追踪这张钞票的流向。
1989年,Chaum在荷兰阿姆斯特丹创立了DigiCash公司,开始将盲签名理论变成实际产品——eCash。eCash是人类历史上第一个实际运行的匿名数字支付系统。它的运作流程是这样的:用户从银行取出一笔eCash(类似于从ATM取现金),获得一组经过盲签名处理的数字令牌;用户把这些令牌发给商家完成支付;商家把令牌交回银行验证,银行确认签名有效后入账。整个过程中,银行可以验证令牌的真伪,但无法将令牌和取款人关联起来。
1994年5月,在日内瓦举行的第一届万维网大会上,David Chaum展示了eCash的威力,第一笔匿名数字现金支付在此期间完成。1995年,美国密苏里州的马克吐温银行(Mark Twain Bank)成为全球第一家商业化运营eCash的银行,允许储户用eCash进行在线支付。
从技术角度看,eCash是一件精致的作品。匿名性、不可追踪性、密码学安全——它在理论上几乎无懈可击。
但它有一个致命的结构性缺陷。
eCash的整个运行逻辑依赖于一个不可或缺的角色:银行。用户从银行取出eCash,商家把eCash交回银行验证。银行是发行者,银行是验证者,银行是整个系统的枢纽。没有银行,eCash就是一堆没有意义的数字。
回忆序章中的逻辑:双花问题的传统解法是引入一个可信第三方。eCash正是如此——它用密码学保护了用户的隐私,但解决双花的方式仍然是最古老的那一种:让银行来检查每一枚令牌是否已经被花过。匿名性是新的,但信任模型是旧的。
这个结构性缺陷在商业层面暴露得淋漓尽致。马克吐温银行的eCash试验只吸引了大约5000名用户和300多个商家。据多方转述,Chaum拒绝了与ING等大型银行以及微软、网景等科技巨头的合作机会。据他后来回忆,“随着互联网的发展,用户的平均技术水平下降了。很难向他们解释隐私的重要性。”
1998年,DigiCash申请破产。
DigiCash的失败有多重原因——商业策略的失误、时机的不成熟、用户对隐私的冷漠。其架构决定了它难以获得后来比特币那种抗审查与抗单点失效的能力,但商业失败还受网络效应、推广策略和时代条件共同影响。Mark Twain/Mercantile试验结束后,eCash在美国失去了唯一的重要银行落地;全球其他试点也未形成网络效应,并随DigiCash破产而逐步式微。中心化的单点依赖,既是eCash的运行前提,也是它的致命弱点。
Chaum解决了匿名支付的密码学问题,但他没有解决——甚至没有试图解决——去除可信第三方的问题。他的系统需要你信任银行不会跑路、不会审查你、不会把你的取款记录和消费记录关联起来。换言之,他保护了你付钱时的隐私,但整个系统的存在仍然依赖于一个你必须信任的机构。
DigiCash的故事给后来者留下了两个教训。第一,密码学可以解决隐私问题,但不能解决信任问题——至少不能单独解决。第二,一个依赖于商业合作关系才能存活的货币系统,本质上和依赖银行没有区别——你只是把对银行的信任,替换成了对另一种商业安排的信任。
这是第一次尝试。优雅,但不够。
Hashcash:工作量证明的曙光
DigiCash破产的同一时期,另一个重要的拼图碎片在完全不同的领域出现了。
1997年,英国密码学家Adam Back提出了Hashcash。Hashcash要解决的不是数字货币问题,而是一个看似毫不相关的问题:垃圾邮件。
1990年代中后期,电子邮件正在被垃圾邮件淹没。这个问题在今天看来可能已经不那么紧迫了(多数邮件服务已经有了成熟的过滤系统),但在当时它是互联网面临的最严重的基础设施问题之一。问题的根源很简单:发送一封电子邮件的成本几乎为零。一个正常人一天发十几封邮件,一个垃圾邮件发送者一天可以发数百万封。当做某件事没有代价时,滥用就是必然结果。
Back的思路直截了当:让发送每一封邮件都有一个微小但不可避免的计算代价。具体来说,发件人在发送邮件之前,需要找到一个特定的数值,使得这个数值与邮件头信息一起经过SHA-1哈希运算后,产生一个以若干个零开头的哈希值。这个过程没有捷径,只能一个一个地尝试不同的数值——本质上就是“猜密码“。
对一个正常用户来说,为每封邮件花几秒钟的计算时间,几乎没有感觉。但对垃圾邮件发送者来说,如果每封邮件都需要几秒钟的计算,那么发送一百万封垃圾邮件就需要几十天的CPU时间。发送垃圾邮件从“几乎免费“变成了“昂贵到不划算“。
这个想法不是完全原创的。1992年,密码学家Cynthia Dwork和Moni Naor在一篇名为《Pricing via Processing, or Combatting Junk Mail》的论文中就提出了类似的概念——通过计算成本来对抗垃圾邮件。但Back的Hashcash方案有一个关键的改进:它基于哈希函数,具有天然的随机性。Hashcash的关键改进在于采用哈希型、可公开验证、无trapdoor的成本函数,使其更简单、更适合开放网络。由于哈希运算结果本质上是随机的,即使算力较弱的参与者也有机会率先找到合格值——这种随机性保证了竞争不会被算力最强者绝对垄断,为后来的去中心化共识提供了公平的博弈基础。
更关键的是,Hashcash确立了一个核心原则:生产困难,验证容易。 找到一个合格的哈希值可能需要几秒甚至几分钟的穷举计算,但验证这个值是否合格只需要执行一次哈希运算——毫秒级完成。这种不对称性意味着,你不需要信任任何人来确认“这个工作确实被做了“——你自己就能验证。
这就是工作量证明(Proof of Work)的原型。
Hashcash本身从未成为一个广泛使用的反垃圾邮件工具——电子邮件行业最终选择了其他方案来对付垃圾邮件。但它提出的核心机制——通过消耗计算资源来证明付出了真实代价,并且这个证明可以被任何人独立验证——成为了通向比特币之路上最重要的技术基石之一。
十一年后,中本聪在比特币白皮书中明确引用了Hashcash。白皮书第四节写道:
“To implement a distributed timestamp server on a peer-to-peer basis, we will need to use a proof-of-work system similar to Adam Back’s Hashcash.”
“要在点对点的基础上实现分布式时间戳服务器,我们需要使用类似于Adam Back的Hashcash的工作量证明系统。”
Back给了比特币一台发动机。但在1997年,这台发动机还没有找到它的车。Hashcash解决了“如何证明你付出了计算代价“的问题,但它不是货币——它没有总量限制,没有转移机制,没有账本。它是一个验证工具,不是一个价值系统。
从反垃圾邮件到数字货币,这一步看起来不远,实际上跨越了一个巨大的概念鸿沟。Hashcash的工作量证明是一次性的——你算出一个合格的哈希值,附在邮件上发出去,对方验证通过,然后这个证明就废了。它不能被转让,不能被积累,不能充当价值储存手段。它更像是一次性入场券,而非可以流通的货币。把工作量证明从“发邮件的门票“变成“数字世界的黄金“,需要一个完全不同层次的设计。
b-money:去中心化货币的第一张蓝图
1998年底,一个叫Wei Dai的密码学家在cypherpunks邮件列表上发表了一篇简短的提案——《b-money, an anonymous, distributed electronic cash system》(b-money:一种匿名的分布式电子现金系统)。
Wei Dai不是学术界的知名人物。他是一个密码学爱好者和软件工程师(他开发的Crypto++密码学库至今仍在广泛使用),活跃在cypherpunks(密码朋克)社区——这是一群相信密码学技术可以保护个人自由的技术极客。他们通过加密邮件列表交流想法,讨论隐私保护工具、匿名通信协议,以及——如何创造不受政府控制的数字货币。这个社区后来催生了许多改变世界的项目,而它对数字货币的执着追求贯穿了整个1990年代。
b-money的开篇就清晰地表达了它的目标。Dai写道,他对Tim May描述的“加密无政府主义“概念深感兴趣——一个政府不是被暴力推翻而是因为不再被需要而变得不相关的社区。在这样的社区中,需要一种不依赖政府的货币来完成交易。
Dai提出了两个版本的协议。
第一个版本描述了一个完全去中心化的方案。所有参与者各自维护一份账本,记录每个用户拥有多少钱。创造新货币的方式是解决计算难题——与Hashcash的思路一脉相承。当某人解决了一个公开宣布的计算问题,网络中的每个人都独立验证这个解的正确性和所消耗的计算量,然后在各自的账本上为解题者记入相应金额。转账则通过广播一条经过数字签名的消息来完成:我把X元转给某个公钥地址。
这个方案的革命性在于:它第一次系统性地描述了去中心化数字货币的完整构想——没有银行,没有中心服务器,所有人平等地维护同一套账本。在Chaum还在依赖银行来运行eCash的时候,Dai已经在思考一个根本不需要银行的世界。
但Dai自己也意识到了第一个方案的致命问题:它需要一个“同步且不可拦截的广播通道“。在现实的互联网中,消息有延迟,网络可能分区,参与者可能离线。如果两个人几乎同时广播了两笔相互矛盾的交易,不同的参与者可能看到不同的顺序。每个人维护自己的账本,但没有一个机制来确保所有人的账本最终一致。
换言之,b-money的第一个方案缺少一个共识机制。 它描述了去中心化货币应该是什么样子,但没有解决最关键的工程问题:在没有中心裁判的情况下,当不同参与者对交易顺序产生分歧时,谁说了算?
Dai显然意识到了这一点,所以他提出了第二个版本。在这个版本中,不是所有人都维护账本,而是由一组特定的“服务者“来负责记账。普通用户只需要检查服务者之间的账本是否一致。为了防止服务者作恶,每个服务者需要存入一笔保证金——如果被发现篡改账本,保证金就会被没收。
但这个“改进“本质上是一种妥协——它重新引入了一个需要被信任的群体。虽然服务者之间存在互相制衡,但系统的安全性仍然依赖于“大多数服务者是诚实的“这个假设。更深层地说,第二个方案的保证金机制面临一个循环问题:保证金是用b-money本身来质押的,而b-money的价值依赖于系统的安全性,系统的安全性又依赖于保证金的威慑力。用系统内部的资产来保障系统自身的安全——这是一个自指的逻辑环。
b-money从未被实现。它始终停留在邮件列表里的一篇提案。但它的历史地位不容忽视——它第一次画出了去中心化数字货币的完整蓝图,定义了这个领域的基本问题:如何在没有中心权威的情况下创造、分配和转移数字货币。十年后,中本聪在比特币白皮书的参考文献中将b-money列为第一条引用。
Dai看到了正确的方向,但他手里的工具不够。工作量证明在b-money中只被用来创造新货币,而没有被用来解决共识问题。那个关键的跳跃——用工作量证明来驱动交易排序——还需要再等十年。
Bit Gold:距离终点最近的一步
就在Wei Dai发表b-money的同一年——1998年——另一个人也在思考几乎完全相同的问题,而且走得更远。
Nick Szabo是一个极为罕见的跨界思考者。他既是计算机科学家,也是法律学者,还是经济学和博弈论的深度研究者。他提出的“智能合约“概念(Smart Contracts)比以太坊早了将近二十年。而他在1998年构思、2005年正式发表的Bit Gold方案,是所有比特币前身中最接近终点的一个——接近到许多人至今仍然猜测Szabo就是中本聪本人。
Szabo的思考起点是黄金。
黄金之所以能在数千年里充当货币,不是因为某个国王下令,而是因为它的物理属性恰好满足货币的需求:稀缺(地球上只有那么多,开采需要消耗大量劳动和资源)、耐久(不会腐烂、不会生锈)、可分割(可以切割成任意大小的碎片)、可验证(通过密度和化学测试可以辨别真伪)。更关键的是,黄金的价值不依赖于任何第三方的信用——一块金子就是一块金子,不管发行它的政府是否还存在。
Szabo的问题是:能否在数字世界中创造出具有黄金般属性的东西?
他的方案是这样的:
第一步,通过计算难题创造“数字黄金“。 参与者需要解决一个计算难题(类似于Hashcash),找到一个满足特定条件的哈希值。这个过程消耗真实的计算资源和电力,就像开采黄金需要消耗体力和工具。找到的合格哈希值就是一单位的Bit Gold。
第二步,给每一单位Bit Gold打上时间戳。 找到的哈希值会被发送到一个分布式的时间戳服务中,记录它被创造的时间和顺序。
第三步,将Bit Gold的所有权记录在一个分布式的产权登记簿上。 这个登记簿类似于今天的区块链,记录每一单位Bit Gold属于谁,以及每一次所有权的转移。
第四步,下一个计算难题的输入包含上一个难题的解。 这使得Bit Gold的生成具有了时间上的不可逆性,形成了一种早期的链式依赖结构——尽管它还未能实现对交易账本的整体锚定。
看看这个设计:工作量证明创造货币、时间戳记录顺序、链式结构连接区块、分布式登记簿追踪所有权。如果你对比特币的结构稍有了解,你会发现Bit Gold与比特币的相似程度令人震惊。难怪有人说,Szabo“距离发明比特币只差了一步“。
但就是这“一步“,跨不过去。
Bit Gold本身只概述了timestamp service与distributed property title registry的需要。按Szabo在另一篇关于secure property titles的文章中的设想,这类registry会采用拜占庭容错(Byzantine Fault Tolerant)投票机制——但投票是基于“网络地址“而非“算力“。这意味着一个攻击者只需要伪造大量的虚假身份(即女巫攻击/Sybil Attack——单个节点通过伪造大量身份来控制整个网络),就可以在投票中占据多数,从而篡改账本。Szabo意识到了这个问题,但始终没有找到一个令人满意的解决方案。
更深层地说,Bit Gold缺少一个将工作量证明和共识机制融为一体的设计。在Bit Gold中,工作量证明用于创造货币,而共识(即大家对账本内容的一致同意)依赖于另一套独立的投票机制。这两个功能是分开的。Szabo没有看到——或者说没有找到工程方法来实现——一个让工作量证明同时解决货币发行和交易排序的统一框架。
Bit Gold还有一个实际的经济问题:不同时期创造的Bit Gold,其计算难度不同。随着计算能力的提升,后期创造的Bit Gold消耗的“真实成本“可能远低于早期的。这意味着不同时期的Bit Gold并非同质的——早期开采的和后期开采的“含金量“不同,这给交易和定价带来了巨大的复杂性。
比特币后来用一种优雅的方式解决了同质性问题:区块奖励的数量由协议统一规定(每个区块50个比特币,每21万个区块减半),与矿工实际消耗的算力无关。无论你用了多少电力挖出一个区块,奖励都是一样的。这把“劳动价值“和“货币面值“彻底脱钩了——比特币的价值不再直接锚定于挖掘它所消耗的单笔劳动量,而是成为了一个基于全局规则发行的、同质化的记账单位。Szabo在1998年还无法看到这一步。
Bit Gold从未被实现。它在1998年被构思,2005年被正式撰文发表,但始终停留在理论阶段。Szabo已经画出了几乎完整的蓝图,但蓝图上有一个他无法填补的空白——去中心化环境下的共识收敛。
RPOW:最后的中继站
2004年,另一位密码朋克接过了接力棒。
Hal Finney是加密领域的传奇人物。他是PGP(Pretty Good Privacy)加密软件的早期核心开发者之一,是cypherpunks邮件列表上最活跃的技术贡献者之一。他后来会成为比特币网络上第一笔转账的接收者——2009年1月12日,中本聪向他发送了10个比特币。
但在那之前的五年,Finney做了自己的尝试。
他的项目叫RPOW——Reusable Proofs of Work(可复用的工作量证明)。RPOW的灵感直接来自两个前辈:Adam Back的Hashcash和Nick Szabo的收藏品理论。Finney想解决的是Hashcash的一个根本局限:Hashcash生成的工作量证明是一次性的,用过就废了。就像一张电影票,看完一场电影后就变成了一张废纸。但如果工作量证明要充当货币,它就必须像现金一样可以被反复转手——你把它给我,我再把它给别人。
RPOW的解决方案是:用户用Hashcash生成一个工作量证明令牌,然后把它发送到RPOW服务器。服务器验证这个令牌确实代表了一定量的计算工作,然后签发一个等值的RPOW令牌。这个RPOW令牌可以被转让给其他人。接收者可以把它再次发送到RPOW服务器,兑换成一个新的RPOW令牌。每一步都由服务器检查,确保同一个令牌没有被花过两次——即防止双花。
Finney为了解决“凭什么信任这个服务器“的问题,采用了一个巧妙的技术方案。RPOW服务器运行在IBM 4758安全加密协处理器上——这是一种经过最高安全级别认证(FIPS-140 Level 4)的硬件模块。这块芯片有一个关键特性:其设备密钥在协处理器内部生成,且不会离开设备边界,甚至连硬件的所有者(Finney本人)都无法获取。更重要的是,IBM 4758支持“远程证明“——任何人都可以在线验证服务器上运行的软件确实是公开发布的那个版本,没有被篡改过。
这是一个工程上非常精巧的设计。Finney本质上是在说:你不需要信任我这个人,你只需要信任IBM的硬件和公开的源代码。通过将信任从人转移到硬件,RPOW在当时可能是最接近“最小化信任“的工作量证明货币系统。
但它仍然没有跨过那条线。
无论IBM 4758的安全等级有多高,RPOW系统的核心仍然是一台服务器。这台服务器可能被物理摧毁,可能被政府扣押,可能因为Finney个人的原因停止运行。更本质的问题是:系统的安全性不是由数学保证的,而是由一家硬件公司的制造质量保证的。你需要信任IBM的芯片没有后门,需要信任硬件不会被破解,需要信任服务器的物理安全。这些都是合理的信任——但它们仍然是信任,而非证明。
RPOW是一个可以工作的系统——Finney确实实现了它并让它上线运行。在那个年代,这已经是了不起的成就。在此之前,所有的去中心化数字货币方案都停留在纸面上——b-money是一篇短文,Bit Gold是一个构想。Finney是第一个把工作量证明货币从理论变成可运行代码的人。
但它本质上是一个“可信服务器模式的工作量证明货币“。它证明了工作量证明可以作为货币的基础,但没有回答那个终极问题:如何在不依赖任何服务器的情况下防止双花?
一条未完成的弧线
让我们退后一步,回顾这二十年探索画出的轨迹。
1982-1998年,Chaum的盲签名思想与DigiCash/eCash实践。 贡献:盲签名实现了匿名数字支付。瓶颈:依赖银行作为可信第三方来验证交易、防止双花。
1997年,Back的Hashcash。 贡献:工作量证明——通过消耗计算资源来产生可独立验证的证明。瓶颈:不是货币系统,只是一个反垃圾邮件工具。
1998年,Dai的b-money。 贡献:第一次完整描述了去中心化数字货币的概念框架。瓶颈:没有可行的共识机制来解决参与者之间的分歧。
1998年,Szabo的Bit Gold。 贡献:将工作量证明、时间戳链和分布式产权登记结合在一起,最接近比特币的前身。瓶颈:基于网络地址投票的共识机制无法抵御女巫攻击,未能实现去中心化共识收敛。
2004年,Finney的RPOW。 贡献:第一个实际运行的、以工作量证明为基础的货币原型。瓶颈:依赖可信硬件和单一服务器来防止双花。
你看到了这条弧线吗?
Chaum证明了密码学可以保护数字支付的隐私——但他的系统需要银行。Back证明了计算成本可以被密码学化——但他没有做货币。Dai画出了去中心化货币的蓝图——但他找不到共识机制。Szabo几乎拼完了整张拼图——但最关键的一块缺失了。Finney让工作量证明真正作为货币运行起来——但他退回到了可信服务器。
每一步都比前一步更近。每一步都在同一个地方卡住。
那个地方就是:可信第三方。
不管是银行、服务者群体、网络地址投票、还是可信硬件——每一个方案在面对“如何在不信任任何人的情况下防止双花“这个核心问题时,最终都不得不在某个地方引入一个需要被信任的环节。有些方案把这个“信任“藏得很深(比如RPOW的可信硬件),有些方案几乎把它消除了(比如Bit Gold的分布式架构),但没有一个方案真正做到了无需依赖中心化可信第三方。
白皮书摘要中的那句话,是对这二十年探索最精确的总结:
“Digital signatures provide part of the solution, but the main benefits are lost if a trusted third party is still required to prevent double-spending.”
“数字签名提供了部分解决方案,但如果仍需一个可信的第三方来防止双重支付,那么其主要优势就丧失了。”
数字签名、盲签名、工作量证明、分布式账本——所有这些密码学工具都提供了“部分解决方案“。但只要防止双花这个最核心的功能仍然依赖于某个可信方,整个系统的安全上限就被这个可信方的可靠程度所限制。DigiCash的银行可以破产,RPOW的服务器可以被关停,Bit Gold的投票可以被女巫攻击。每一种形式的“信任“都是一种脆弱性。任何需要信任的环节,都是系统安全链条中最薄弱的一环——不是因为被信任的对象一定会作恶,而是因为它有能力作恶。从“不会作恶“(won’t be evil)到“不能作恶“(can’t be evil),这个转变是所有先驱们共同追求的目标,但没有人完成了最后一步。
缺失的那一块
这些先驱们拥有的拼图碎片,加在一起几乎已经是完整的。
密码学签名——解决了身份和授权的问题(你证明这笔交易确实是你发起的)。盲签名——解决了隐私问题(付款行为无法被追踪)。工作量证明——解决了“代价必须是真实的“问题(你不可能凭空声称自己做了计算)。分布式账本——解决了单点故障问题(数据不存储在任何一个地方)。时间戳链——解决了排序问题的一半(每个事件都被记录了时间)。
缺失的那一块是什么?
是将工作量证明与交易排序直接绑定的机制。
在之前的所有方案中,工作量证明和交易排序是两件分开的事。在Hashcash中,工作量证明用于发邮件,和货币无关。在b-money中,工作量证明用于创造货币,但共识问题没有解决。在Bit Gold中,工作量证明用于创造货币,共识通过独立的投票机制来实现。在RPOW中,工作量证明用于创造和转移货币,但双花检测交给了可信服务器。
没有人想到——或者说没有人找到工程方法来实现——这样一个设计:让矿工通过消耗能量来竞争交易的排序权,让工作量证明本身成为共识机制。
这正是中本聪的突破。
中本聪没有发明新的密码学原语。他没有发明数字签名(那是几十年前的密码学成就),没有发明工作量证明(那是Back的Hashcash),没有发明去中心化货币的概念(那是Dai的b-money和Szabo的Bit Gold)。他做的事情,是把所有这些碎片以一种前所未有的方式组合在一起,并加入了一个关键的新元素:经济激励。
在比特币中,工作量证明不仅仅是创造货币的方式,更是——甚至首先是——确定交易顺序的方式。矿工消耗电力来竞争“谁来写下一页账本“的权利。赢得竞争的矿工获得区块奖励——新铸造的比特币。这个奖励是经济激励,它让矿工有理由持续参与竞争。而竞争的过程本身,就是在为全网的交易确定顺序。
更精妙的是,这个机制让作弊的代价变成了外部的、物理的、不可逆的。矿工消耗的电力付给了电网,这些支出发生在比特币系统之外,无论链上发生什么,花掉的电不会回来。没有任何多数派可以投票取消已经散逸的热量。这不是用系统内部的代币来惩罚作弊者——那种惩罚可以被同一群人修改规则来取消——而是用物理定律来惩罚作弊者。热力学第二定律不接受上诉。
这就是为什么前面所有方案都在同一个地方失败——它们要么用中心化的机构来强制规则(eCash的银行、RPOW的服务器),要么用系统内部的机制来维持共识(Bit Gold的网络地址投票、b-money第二方案的保证金),但没有一个把作弊的代价锚定在系统外部不可逆的物理世界里。
被遗忘的教训
二十年的探索画出了一条清晰的弧线:每一个方案都在朝着“消除可信第三方“的方向前进,每一个方案都因为在某个环节保留了可信第三方而受限。比特币是这条弧线的终点——它第一次把对特定主体的信任降到最低,将安全性转化为对公开规则、密码学和算力多数的依赖,从而在无需中心化中介的条件下解决了双花问题。
这不是一个天才灵光一闪的结果。这是二十年积累的必然产物。没有Chaum的盲签名,就没有密码学隐私的基础。没有Back的Hashcash,就没有工作量证明的工具。没有Dai的b-money,就没有去中心化货币的概念框架。没有Szabo的Bit Gold,就没有将工作量证明与时间戳链结合的思路。没有Finney的RPOW,就没有工作量证明货币的实际验证。中本聪站在这些巨人的肩膀上,看到了他们每个人因为位置所限而看不到的全景。
这段历史之所以重要,不仅因为它记录了通向比特币的技术演进,更因为今天很多方案又回到了这些老问题上。历史的讽刺在于,比特币出现之后,行业的发展方向反而开始偏离这条弧线。
人们开始说“区块链“而不是“比特币“。“区块链“被从比特币中抽离出来,变成了一个独立的概念——好像那个链式数据结构本身就是革命性的,好像把数据放进区块再连成链就自动获得了某种魔力。人们开始在“区块链“上构建各种各样的系统,但很多人从未真正理解比特币解决了什么问题——也从未理解为什么那个解决方案需要消耗能量。
“PoW太浪费了”,他们说。我们可以用更“环保“的方式来达成共识。
于是PoS(权益证明)出现了。验证者质押系统内部的代币,作弊时没收质押物。对于双签等客观可证明的违规行为,PoS协议可以自动执行slashing惩罚。但PoS更核心的争议在于弱主观性(weak subjectivity)和长程攻击——新节点或长期离线的节点如何确定哪条链才是规范链?这个问题最终需要某种形式的社会共识或检查点来解决。
这个问题,Dai在1998年的b-money第二方案中就已经遇到了。那个方案用保证金来约束服务者的行为——而保证金是用系统内部的货币来质押的。Szabo在1998年的Bit Gold中也遇到了类似的问题——基于网络地址的投票机制无法抵御身份伪造。Finney在2004年选择了可信硬件作为折中方案——本质上是用硬件信任替代了人的信任。
这些都是二十年前的教训。从比特币PoW的设计哲学看,更稳健的做法是把攻击成本锚定到系统外部且已沉没的物理成本;相比之下,依赖内部质押的机制在长程攻击与社会恢复上面临不同的权衡。
这些教训都被记录在案——Chaum的论文、Dai的提案、Szabo的文章、Finney的代码——都可以在网上找到。但行业选择性地遗忘了它们。
为什么?也许是因为比特币的成功来得太快,价格的上涨掩盖了技术的意义。人们看到比特币从一文不值涨到几万美元一枚,他们想要复制这个“成功“——但他们复制的是代币和涨幅,而不是那个花了二十年才被找到的、解决可信第三方问题的工程方案。
结果就是我们在上一章看到的景象:数以千计的“区块链项目“,其中大多数在技术层面退回到了比特币之前的状态——要么依赖一组已知的验证者来维持共识(类似于b-money的第二方案),要么依赖内部代币质押来保障安全(类似于Bit Gold未能解决的循环依赖),要么在极端情况下需要基金会在社交媒体上协调恢复(本质上就是一个可信第三方)。
二十年的探索解决了一个问题。然后行业用了十余年时间,把那个问题重新制造了出来。
这不是技术进步的必然代价。这是对历史的遗忘。
而遗忘的代价,就是我们在第一章看到的那个碎片化的、混乱的、让用户在转账前需要先选择网络拓扑的世界。
如果Chaum、Back、Dai、Szabo和Finney能在某个平行宇宙中坐到一起,回顾他们各自的成果,他们大概会惊讶地发现:答案就在他们的工作之间——在盲签名和工作量证明的交叉点,在去中心化账本和经济激励的交汇处。但在这个宇宙中,最先看到完整图景的人,署名中本聪。
下一章,我们将回到2008年,回到中本聪的白皮书本身,逐字逐句地看清楚他到底说了什么——以及,更重要的,他没说什么。
第三章:一个误解引发的连锁反应
一个十九岁少年的判断
2013 年末,一个十九岁的俄裔加拿大少年写出了一份白皮书的早期稿。
他叫 Vitalik Buterin。在此之前,他已经在比特币社区活跃了两年多——十七岁时参与创办了Bitcoin Magazine(并担任首席撰稿人),写过大量关于比特币技术和经济学的文章,对比特币的脚本系统有深入的了解。他不是一个门外汉。恰恰相反,他是当时比特币社区中最敏锐的年轻头脑之一。据Vitalik后来的回顾,他曾尝试在比特币生态内推进更通用的合约表达,但未获主流路线采纳。
但就是这个对比特币了如指掌的人,在他的白皮书中做出了一个关键判断:比特币的脚本语言太受限了。它不是图灵完备的,不支持循环,不能实现复杂的智能合约逻辑。如果想在区块链上构建去中心化应用——不只是转账,而是任意的、可编程的商业逻辑——就需要一个全新的平台。
这个判断,催生了以太坊。
以太坊后来成为市值第二大的加密货币,催生了 DeFi、NFT、ICO 等一系列现象级应用,重塑了整个行业的版图。数以千计的项目建立在它之上,数以百亿计的资金流入它的生态。以太坊将“通用型智能合约平台“推向主流,并重塑了这个品类。
但如果当初那个十九岁少年的判断本身就是错的呢?
如果比特币的脚本系统从来就能做智能合约,只是被人为阉割了呢?
这不是事后诸葛亮式的马后炮。这是一个需要被严肃审视的技术问题。因为如果起点是错的,那么从这个起点出发的整条路径——以太坊的架构选择、账户模型的设计、全局状态的引入、图灵完备虚拟机的构建——都需要被重新评估。一个误解,可能引发了一场持续十余年的连锁反应。
被削弱的比特币
要理解 Vitalik 的误解从何而来,必须先理解一段被大多数人遗忘的历史。
2009 年 1 月,中本聪发布了比特币的初始版本。这个版本中的脚本系统,远比今天大多数人想象的强大。它包含了丰富的操作码(opcodes):字符串拼接(OP_CAT)、子串提取(OP_SUBSTR)、位运算(OP_AND、OP_OR、OP_XOR)、乘法和除法(OP_MUL、OP_DIV)、左移右移(OP_LSHIFT、OP_RSHIFT)——这些操作码组合在一起,赋予了比特币脚本相当强大的数据处理能力。
然后,在 2010 年 8 月,中本聪做了一件事:他禁用了其中大量的操作码。
原因是安全漏洞。已明确记录的触发点包括OP_LSHIFT崩溃等漏洞,OP_CAT等操作码也被认为存在DoS风险,在同一轮安全收缩中一并禁用。这是一个真实的安全问题,中本聪选择了最直接的应对方式——直接禁用这些操作码。
这个决定在当时是合理的。比特币刚上线一年多,网络还很脆弱,用户极少,全网算力微乎其微,任何一个严重漏洞都可能是致命的。中本聪的做法类似于一个建筑师在发现脚手架不牢固时,先拆掉有问题的部分,等打好地基后再重新搭建。有观点认为,这些禁用本质上是临时的安全措施,一种解读是等网络成熟后可以评估如何安全地恢复——这是一个务实的工程决策。
中本聪在那段时间的其他行为也印证了这一点。他对比特币协议做了大量的修改和完善,始终保持着对代码的积极维护。禁用操作码是他整体安全加固工作的一部分,而不是某种对脚本功能的哲学性否定。
但问题是:中本聪在 2011 年离开了。
他没有留下一份路线图说“等网络稳定后,请恢复这些操作码“。他只是消失了。而接管比特币开发的 Bitcoin Core 团队,不但没有恢复这些操作码,反而在后来的版本中进一步限制了脚本的能力。需要指出的是,Bitcoin Core 也并非完全停止了脚本层面的演进——P2SH、CLTV、CSV、SegWit、Taproot 等升级在特定方向上增强了脚本的表达力和灵活性,但这些改进并未恢复早期被移除的通用数据处理操作码。这些被禁用的操作码,从“临时安全措施“变成了“永久性残疾“。
到 2013 年 Vitalik 审视比特币脚本系统时,他看到的是一个功能受限的版本。没有字符串操作,没有位运算,没有乘除法——一个难以承载通用应用逻辑的脚本系统。他得出“比特币脚本太受限“的结论,在当时的语境下,并不令人意外。
但这里存在一个关键的逻辑错误:他把人为施加的限制,当成了设计本身的局限。
这就好比看到一辆被拆掉了发动机的汽车,然后宣布“汽车不能自己移动,所以我们需要发明一种全新的交通工具“。汽车当然能自己移动——只是发动机被人拆了。你要做的不是发明新东西,而是把发动机装回去。
这个区分至关重要。如果比特币脚本的限制是设计层面的——即中本聪故意设计了一个功能受限的脚本系统——那么另建一个更强大的平台就是合理的选择。但如果限制是后天施加的——即比特币脚本本来就很强大,只是被人为禁用了——那么正确的做法应该是恢复它原有的能力,而不是推倒重来。
Vitalik没有推动比特币恢复原有能力,而是另起炉灶创建了以太坊。整个行业跟着他走上了一条完全不同的道路。
“世界计算机“的诞生
既然判断比特币“不能“做智能合约,Vitalik 的逻辑推演就顺理成章了:我们需要一个全新的区块链,一个从底层就为智能合约设计的平台。
2014 年,以太坊白皮书正式公开发布。在白皮书中,Vitalik 将比特币的脚本系统描述为“智能合约概念的一个弱版本“——这个判断精确地反映了他对比特币脚本能力的认知:不是完全没有,但远远不够。他的核心主张可以概括为一句话:构建一台“世界计算机“——一个去中心化的、图灵完备的计算平台,任何人都可以在上面部署和执行任意程序。
为了实现这个愿景,以太坊做出了一系列根本性的架构选择。这些选择在当时看起来都很合理,但每一个都埋下了日后的隐患。
第一个选择:图灵完备的虚拟机。
比特币脚本不支持循环——这在 Vitalik 看来是它最大的缺陷。以太坊的 EVM(以太坊虚拟机)支持循环,支持条件跳转,支持任意复杂的控制流。开发者可以用 Solidity 语言编写任何逻辑——理论上。
但图灵完备带来了一个经典的计算机科学问题:停机问题。对于任意一段图灵完备的代码,你无法在执行前判断它是否会终止。如果有人提交一段包含无限循环的智能合约,每个验证节点在执行它时都会陷入死循环,整个网络就瘫痪了。
比特币用一种极其优雅的方式回避了这个问题:由于不支持循环且存在多重资源限制(操作数大小、签名操作数、栈元素等),脚本执行具有静态上界。停机问题在语言层面被消除了。
以太坊选择了另一条路:引入 Gas 机制。每一步计算操作消耗一定数量的 Gas,用户在发起交易时预先支付 Gas 费用,Gas 耗尽时执行强制终止。这个方案可行,但代价是引入了一个全新的复杂子系统——Gas 价格需要估算(估高了浪费钱,估低了交易失败)、Gas费用受拥堵、MEV、区块空间竞争等因素影响,用户体验和费用可预测性长期是以太坊的一大难题、Out-of-Gas 导致交易回滚但手续费照扣(用户花了钱却什么都没得到)。比特币用一条简洁的语言约束解决的问题,以太坊用一套持续演化的经济机制来应对——而这套机制本身不断产生新的问题。
第二个选择:账户模型。
这是以太坊做出的最根本、影响最深远的架构决策。比特币使用 UTXO(未花费的交易输出)模型,以太坊选择了账户模型。Vitalik 选择账户模型的理由很直接:它更容易编程。对于习惯了传统数据库开发的程序员来说,账户模型就像银行系统的数据库——每个用户有一行记录,交易就是修改记录中的数字。直观、简单、上手快。而 UTXO 模型对大多数开发者来说是陌生的,它要求一种完全不同的思维方式。
但这两种模型之间的差异,不是开发便利性的差异,而是哲学层面的根本分歧。要理解以太坊后来遇到的几乎所有困境,都要从这个选择说起。
第三个选择:全局可变状态。
账户模型的直接后果是:以太坊需要维护一个全局的、可变的状态树。每个账户的余额、每个智能合约的存储数据,都记录在这棵巨大的状态树中。任何一笔交易都可能读取和修改这棵树上的任意节点。这个设计决策的后果,我们将在后面详细分析。
这三个选择——图灵完备虚拟机、账户模型、全局可变状态——共同构成了以太坊的架构基因。它们之间是紧密耦合的:因为选择了图灵完备,所以需要 Gas 机制来防止无限循环;因为选择了账户模型,所以需要全局状态来追踪每个账户的当前状态;因为有了全局可变状态,图灵完备的合约才能实现复杂的状态转换逻辑。
这套架构让开发者可以用接近传统编程的方式来编写智能合约——这是它的巨大优势,也是它迅速获得开发者青睐的原因。但这套架构也从第一天起就注定了以太坊将面临一系列结构性的困境——扩容瓶颈、状态膨胀、安全漏洞。这些不是可以通过“更好的代码“来修复的 bug,而是架构本身的必然产物。
硬币与账本:两种记账的哲学
要理解以太坊的困境从何而来,必须先理解 UTXO 模型和账户模型的根本差异。这不是两种技术方案之间的比较,而是两种完全不同的思维方式。
先从日常经验出发。
想象你身上有 100 块钱。在不同的记账方式下,这 100 块钱的“存在方式“完全不同。
UTXO 模型:硬币式记账。
你的 100 块钱不是一个数字,而是一堆具体的“硬币“——可能是一张 50 元纸币加两张 20 元加一张 10 元。每一张纸币都是一个独立的、具体的存在。当你要买一杯 30 元的咖啡时,你掏出那张 50 元纸币递给老板,老板找你 20 元。在这个过程中,那张 50 元纸币被“消费“了(不再属于你),同时产生了两个新的“硬币“:一个 30 元归老板,一个 20 元归你。
比特币的 UTXO(Unspent Transaction Output,未花费的交易输出)就是这样运作的。事实上,在比特币的源代码中,UTXO 的数据结构就叫 Coin——硬币。每一笔交易消费一组已有的“硬币“(输入),产生一组新的“硬币“(输出)。你的“余额“不是存储在某个地方的一个数字,而是所有属于你的、还没有被花费的“硬币“的总和。
账户模型:银行式记账。
你的 100 块钱就是银行数据库里的一个数字:“张三,余额 100 元”。当你买咖啡时,银行把你的余额从 100 改成 70,把咖啡店的余额加 30。没有“硬币“被传递,只有数字被修改。你的“钱“不是一个独立存在的东西,而是一个中心化数据库中一行记录的一个字段。
以太坊的账户模型就是这样运作的。每个地址都有一个“账户“,账户里记录着余额、nonce(交易计数器),如果是智能合约账户,还记录着合约代码和存储数据。转账就是修改两个账户的余额数字。所有这些账户信息汇聚在一起,构成了一棵巨大的全局状态树——以太坊的每个节点都必须维护这棵树的完整副本。
表面上看,账户模型更直观、更简单——毕竟我们每天使用的银行系统就是账户模型。但这种直觉上的“简单“,在区块链的语境下会带来一系列深刻的后果。
区别的本质在于:UTXO 模型中,“钱“是独立的对象;账户模型中,“钱“是共享状态的一个属性。
这句话听起来很抽象。让我用一个类比来说明它为什么重要。
想象一个巨大的农贸市场。在 UTXO 的世界里,每个人都拿着自己的硬币在不同的摊位前交易。你在东头买苹果,我在西头买白菜,两笔交易同时发生,互不干扰——因为你用的是你的硬币,我用的是我的硬币,我们之间没有任何共享的状态。一千个人可以同时在一千个摊位前交易,市场的吞吐量随摊位和交易者的数量线性增长。
而在账户模型的世界里,整个农贸市场只有一个收银台。每个人的余额都记录在收银台的大账本上。你买苹果——排队走到收银台——收银员翻开账本,找到你的名字,修改余额——然后下一个人。我要买白菜?对不起,请排队。因为收银员正在修改的那本账本是共享的,任何两笔涉及同一本账本的交易都必须排队——否则就会出现经典的数据库竞态条件:两个人同时读取余额100,各扣50,写回的都是50,结果只扣了50而不是100。
这就是 UTXO 模型和账户模型在并行处理能力上的根本差异。它不是一个可以通过优化来弥合的性能差距,而是数据结构本身决定的结构性差异。
全局状态的诅咒
账户模型的核心特征是全局状态——一个巨大的、所有节点都必须维护的状态树,记录着以太坊上每一个账户的余额、每一个智能合约的存储数据、每一段合约代码。
这棵状态树有多大?截至 2025 年,节点存储需求持续增长,全节点已在数TB量级,归档节点根据客户端与模式不同在数TB至20TB以上不等。这个数字还在持续增长。
但真正的问题不是存储空间的大小,而是全局状态对系统架构施加的一个不可逾越的约束:串行执行。
在以太坊中,任何一笔交易都可能读取和修改全局状态树上的任意节点。一个 DeFi 合约可能在一笔交易中同时访问多个代币合约的状态、价格预言机的数据、流动性池的余额。这意味着,在交易执行之前,你无法确定这笔交易会访问状态树的哪些部分。
当两笔交易可能访问状态树的相同部分时,它们就不能并行执行——必须一笔一笔按顺序来。而在以太坊的 DeFi 生态中,大量交易都会访问同一组热门合约(Uniswap、Aave、USDT 合约等),状态依赖无处不在。
结果是:当前以太坊主网执行以顺序语义为主;账户模型与全局状态使安全、通用的并行执行明显更难实现。
以太坊的 nonce 机制进一步强化了这种串行性。每个账户有一个递增的 nonce 值,从同一账户发出的交易必须严格按 nonce 顺序执行。即使网络中有一千笔来自不同账户的交易可以并行处理,只要其中有几笔涉及同一个热门合约,整个执行流水线就被卡住了。
这就是为什么以太坊的吞吐量始终无法突破每秒几十笔交易的数量级,即使硬件性能在这十多年间提升了几个数量级。瓶颈不在硬件,而在数据结构。你可以给汽车换一台更强劲的发动机,但如果道路只有一条单车道,再强劲的发动机也无法提高通行量。全局共享状态就是那条单车道。
UTXO 模型不存在这个问题。每个 UTXO 是一个独立的、自包含的状态单元,不引用任何全局状态。消费不同 UTXO 的两笔交易之间数据依赖为零,可以同时处理。冲突检测极其简单——只需检查两笔交易是否试图消费同一个 UTXO。这是最理想的并行化场景:零共享状态,零通信开销。
类比成计算机科学的术语:UTXO 模型是一个天然的无锁数据结构(lock-free data structure),而账户模型是一个需要全局锁的共享内存模型。任何一个有并发编程经验的工程师都知道,全局锁是性能的死敌。你可以加更多的 CPU 核心,但只要存在全局锁,多核的性能提升就会被锁竞争抵消殆尽——这就是著名的阿姆达尔定律(Amdahl’s Law)。
以太坊团队当然不是不知道这个问题。他们最初的扩容路线图就包含了“执行分片“——把状态树分成多个分片,每个分片独立执行交易,以此实现并行化。但这个方案最终被放弃了。原因很简单:账户模型下,跨分片交易极其难以处理。DeFi 的核心卖点是“可组合性“——一笔交易可以同时调用多个合约,像乐高积木一样组合。如果这些合约分布在不同的分片上,可组合性就会被打破。以太坊最终转向了 Rollup 路线——部分源于执行分片在账户模型和组合性要求下实现复杂、权衡困难,而不是单一原因导致的转向。
中本聪选择 UTXO 模型不是偶然的。扩容的瓶颈不应该在数据结构上——数据结构的限制是一堵硬墙,加再多硬件也突破不了。真正的瓶颈应该在带宽和存储上——而这些是随硬件技术进步持续改善的工程参数。UTXO 模型把瓶颈放在了正确的地方,账户模型把瓶颈焊死在了错误的地方。
一只价值六千万美元的蝴蝶
全局可变状态不仅造成了扩容困境,还带来了更加直接和惨痛的后果——安全灾难。
2016 年 6 月 17 日,以太坊历史上最臭名昭著的事件发生了。
“The DAO”——一个建立在以太坊上的去中心化投资基金——在上线仅两个月后被黑客攻破。The DAO 的构想很宏大:它通过众筹募集了价值约 1.5 亿美元的以太币(约1150万枚ETH),成为当时最大的众筹项目之一。投资者持有 DAO 代币,可以投票决定基金的投资方向——这是一个完全由代码驱动的、没有董事会的投资基金。但攻击者利用一个叫做“重入攻击“(reentrancy attack)的漏洞,从合约中转走了价值约 6000 万美元的以太币(其中约360万枚ETH在攻击中被转入child DAO)——占总资金池的三分之一,也占当时以太币总市值的近 15%。
重入攻击的原理,暴露了全局可变状态的致命缺陷。
简化来说,The DAO 的提款函数执行了这样的逻辑:先把钱发给用户,再更新用户的余额。看起来没什么问题——攻击者利用合约在接收转账时自动执行代码的特性,劫持了程序的执行流。直到你意识到,在以太坊的账户模型中,“发钱“这个操作本身可以触发接收方的代码执行。攻击者部署了一个恶意合约作为接收方,这个合约在收到钱的瞬间,立即再次调用 The DAO 的提款函数——而此时 The DAO 还没来得及更新余额,所以它会再次发钱。如此反复,将大量ETH递归转入child DAO;这些资金当时并非立即可提取,但足以触发全网危机与硬分叉争论。
用日常语言来描述:这就像你去银行取钱,银行先把钱给你,然后才在账本上更新余额。而你在银行更新余额之前,又跑去另一个柜台说“我要取钱“,银行一查账本——余额还没扣呢——于是又给你一次。如此循环,直到保险箱搬空。
在现实的银行系统中,这种事不会发生——因为银行的每一步操作都在一个事务(transaction)中原子性地完成,余额扣除和资金转出是同步的。但在以太坊的智能合约中,全局状态的修改顺序完全由合约代码决定。如果开发者写错了顺序——先转账、后更新状态——重入漏洞就出现了。
这不是某个程序员的低级错误。这是全局可变状态在智能合约环境中的结构性风险。
在传统软件工程中,全局可变状态(global mutable state)早已被公认为错误的温床。每一本软件工程教科书都会告诫你:尽量减少可变状态,尽量避免全局变量,因为当多个代码路径可以修改同一份数据时,bug 会以组合爆炸的方式增长。这就是为什么现代编程语言越来越强调不可变性(immutability)和局部状态(local state)。
而以太坊的智能合约环境,恰恰是全局可变状态的极端场景。所有合约共享同一个全局状态树。任何合约都可以调用任何其他合约,而被调用的合约可以修改全局状态,然后返回调用方——调用方可能完全不知道全局状态已经在它脚下被改变了。这种环境下,安全漏洞不是意外,而是必然。
The DAO 事件之后,以太坊社区做了什么?他们投票决定进行一次硬分叉——直接在协议层面把攻击者窃取的资金转回来。这个决定本身就充满了讽刺:一个号称“Code is Law“(代码即法律)的平台,在代码按照规则执行了一次攻击之后,选择了人为干预来逆转结果。这次硬分叉导致以太坊社区分裂为两条链——以太坊(ETH)和以太坊经典(ETC)。后者坚持“代码即法律“的原则,拒绝逆转交易。
但比硬分叉的哲学争议更重要的是,The DAO 事件暴露的安全问题从未被根本解决。重入攻击只是全局可变状态引发的安全漏洞中最早的、最有名的一种。在此之后,以太坊生态经历了一波又一波的安全事故:
整数溢出攻击、闪电贷操纵预言机、抢跑交易(front-running)、三明治攻击、代理合约升级漏洞、访问控制缺陷——全局可变状态显著放大了合约交互复杂度;与此同时,语言设计、mempool透明性、预言机架构和权限管理也分别构成独立风险源。每部署一个新合约,它就成为全局状态树上一个新的可读写节点,与所有其他合约产生潜在的交互——以及潜在的漏洞。
截至 2025 年,以太坊及其 EVM 兼容链上的智能合约安全事故累计造成的损失已达逾百亿美元。这不是因为开发者不够聪明,不是因为审计公司不够尽职——而是因为在全局可变状态的架构上编写安全的代码,从根本上来说就是一场永无止境的军备竞赛。攻击面是架构决定的,防御只能在应用层打补丁。
UTXO 模型的安全特性与此形成鲜明对比。在 UTXO 模型中,每个 UTXO 是独立的状态单元,脚本只能访问当前交易的输入和输出——没有全局状态可以被意外读取或修改。一笔交易的执行不会影响另一笔交易的状态。重入攻击在 UTXO 模型中根本不存在——因为没有“在转账过程中被回调“的可能性。脚本验证是纯函数式的:给定输入,产生确定的输出,没有副作用。
这不是说 UTXO 模型上的智能合约绝对不会有 bug。任何软件都可能有 bug。但 UTXO 模型的架构从结构上消除了整类安全漏洞——那些由全局可变状态引发的漏洞。就像函数式编程不能保证你的程序不出错,但它通过消除副作用,从结构上消除了并发 bug 中最常见、最难调试的一大类。这是架构层面的安全优势,不是应用层面的补丁。
状态膨胀:一个只会变大、不会变小的问题
全局状态还有一个更隐蔽、更长期的问题:它只增长,不收缩。
在以太坊上,任何人都可以创建一个智能合约,在合约中写入任意数据。这些数据一旦写入状态树,就永久存在。即使合约不再被使用,即使账户余额归零,它们在状态树中占据的空间也不会被释放。因为任何未来的交易都可能引用这些“过时“的状态——在全局可变状态的模型中,你无法安全地删除任何东西,因为你不知道是否有其他合约依赖它。
这就是“状态膨胀“(state bloat)问题。2025 年,以太坊基金会的 Stateless Consensus 研究团队公开警告:网络中不断膨胀的账户记录、合约存储和字节码数据,正在让节点运营者面对越来越沉重的存储、同步和服务负担。
状态膨胀造成的直接后果是:运行全节点的门槛越来越高。一个普通用户在家里的电脑上运行以太坊全节点,需要至少 2TB 的高速 SSD 存储、16GB 以上的内存、稳定的高速网络连接。这些硬件要求不是一次性的——随着状态的持续增长,你隔几年就需要升级一次硬件。当这个门槛高到只有数据中心和大型机构才能轻松承受时,网络的去中心化程度就会不知不觉地下降。少数大型节点运营商——Infura、Alchemy等基础设施服务商——它们在RPC访问与状态服务层面拥有很强的集中度,影响用户和开发者接入网络的方式,大多数用户和开发者通过这些中心化服务商来访问以太坊网络,而不是运行自己的节点。这与区块链“无需信任、无需许可“的初衷背道而驰。
以太坊社区正在研究多种应对方案——状态过期(State Expiry)、无状态客户端(Statelessness)、Verkle 树——但这些都是在既有架构上的补丁。它们试图缓解症状,但不能改变根因:账户模型需要全局状态,全局状态必然持续膨胀。
UTXO 模型没有这个问题。UTXO被消费后就从活跃集合中移除——活跃状态集具有天然回收机制,但链历史本身仍持续增长,两者需严格区分。UTXO 集合的大小取决于当前未花费的交易输出数量,而不是历史上所有交易的累积。这是一个自然的“垃圾回收“机制——旧的 UTXO 被花费,新的 UTXO 被创建,状态集合在动态平衡中保持合理的大小。你可以把它想象成一个水池,一边有水流入(新创建的 UTXO),一边有水流出(被花费的 UTXO),水位(状态大小)在进出之间保持大致稳定。而以太坊的全局状态更像一个只有进水管没有出水管的蓄水池——水位只能升,不能降。
连锁反应的全貌
现在我们可以回过头来,看清这场连锁反应的完整链条:
第一环:操作码被禁用。 2010年中本聪出于安全考虑禁用了大量操作码,这本是一个临时的安全措施。但中本聪的离开使得这个临时决策失去了纠正的机会。后续的 Bitcoin Core 团队不仅没有恢复这些操作码,反而在“小区块“的路线下进一步限制了比特币的能力。一个工程决策,就这样演变成了意识形态的一部分。
第二环:行业形成“比特币不能做智能合约“的共识。 当人们审视功能受限的比特币脚本系统时,看到的是一个功能极其有限的东西。没有人去追问“它本来能做什么“,所有人都接受了“它就是这样“的现状。这个误解从一个技术判断变成了行业共识,从行业共识变成了不言自明的前提。
第三环:以太坊诞生。 既然比特币“不能“做智能合约,那就需要一个新的平台。以太坊应运而生,带着全新的架构设计——账户模型、全局状态、图灵完备虚拟机。
第四环:账户模型的代价逐一浮现。 串行执行导致吞吐量瓶颈。全局可变状态导致安全漏洞层出不穷。状态膨胀导致节点成本持续攀升。每一个问题都有直接的经济后果——拥堵时高达数百美元的 Gas 费、The DAO 等安全事件中数十亿美元的损失、日益中心化的节点基础设施。
第五环:L2 和 Rollup 成为“解决方案“。 当主链扩容被架构瓶颈卡死时,行业转向了链下扩容——把交易推到 Layer 2 上执行。但正如上一章所分析的,许多现阶段L2在排序器、升级权限、退出路径等方面仍存在不同程度的信任假设,这与比特币式最小信任目标之间形成张力。
第六环:千链万链的碎片化世界。 以太坊的“成功“证明了“智能合约平台“这个品类的商业价值,于是 Solana、Avalanche、Cardano、Polkadot……数以百计的“以太坊杀手“涌现出来,每一个都宣称比以太坊更快、更便宜、更安全。它们各自做出了不同的工程取舍——有的选择更高的节点硬件要求来换取吞吐量,有的采用不同的共识机制,有的在编程语言上另辟蹊径——但没有一个从根本上反思账户模型本身的问题。结果就是第一章描述的那个碎片化世界——上百条互不兼容的链、资产被困在孤岛上、跨链桥成为黑客的提款机。
回顾这条链条,每一环都有其内在逻辑。Vitalik 看到了受限版的比特币脚本,得出了合理的结论;以太坊的架构设计在当时的认知水平下是一致的;L2 是在主链扩容受阻后的自然反应;其他公链的涌现是市场对以太坊不足的回应。每一步单独来看都“说得通“。
但如果第一环的前提就是错的——如果比特币脚本从来就能做智能合约,只是被人为阉割了——那么整条链条都建立在一个虚假的前提之上。
被遗忘的可能性
如果中本聪当初禁用操作码只是临时的安全措施,而不是永久的设计决策,那么正确的技术路径应该是什么?
答案其实不复杂:恢复比特币脚本原有的操作码,在 UTXO 模型的基础上实现智能合约。不需要发明新的共识机制,不需要设计新的虚拟机,不需要创建新的代币——若要沿这一路线推进,本质上仍需要新的共识升级——只是升级方向是恢复或重建早期被移除的能力,而非另起一种全局状态架构。然后在已经被证明有效的架构基础上向前发展。
单个比特币脚本确实不支持循环,因此单个脚本不是图灵完备的。但比特币的交易模型允许一种更深层的计算范式:每笔交易消费一组 UTXO,执行脚本验证,产生新的 UTXO 携带新状态。每笔交易是一个计算步骤,交易链是一个计算序列。单个步骤保证终止——没有无限循环的风险——但步骤序列可以无限延伸,从而实现任意复杂度的计算。
本文主张,若把跨交易状态传递纳入统一计算模型,UTXO系统可以逼近或实现通用计算能力——后续章节将进一步论证这一观点。安全性和计算能力在不同的层面上被分别保证。这是一个极其优雅的设计:在微观层面用简单性保证安全,在宏观层面用组合性实现通用计算。
这不是纯理论。sCrypt、RUN 等项目已经在实践中证明(值得注意的是,这些项目运行在 BSV 等恢复了原始操作码的 UTXO 链上,而非 BTC 主网):开发者可以使用高级语言编写基于 UTXO 模型的智能合约,已实现状态化智能合约、代币协议、零知识证明验证等功能。比特币不需要一个单独的“智能合约平台“——它本身就是一个。
但这个可能性,在 2013 年被行业集体忽略了。原因并不神秘:当时比特币脚本已经被削弱了三年,而 Bitcoin Core 团队没有任何恢复操作码的意愿。在这种现实下,Vitalik 选择另起炉灶,而不是说服比特币社区恢复脚本功能,是一个可以理解的决定。
问题不在于 Vitalik 的决定——问题在于整个行业在此后十多年间,从未回头审视那个最初的前提。“比特币不能做智能合约“这句话被重复了太多次,以至于没有人再去质疑它。一个由人为决策导致的临时限制,被当作了技术架构的固有属性。一代又一代的开发者在这个错误的前提上建造了整个生态系统。
关于比特币脚本的完整能力,以及 UTXO 模型如何在保持安全性的同时实现图灵完备的智能合约,我们将在第十四章中做详细的技术论证。这里只需要记住一个核心结论:以太坊要解决的那个问题——“在区块链上实现可编程的智能合约”——从一开始就不需要一个全新的平台来解决。
代价的清单
让我们用一张清单来总结这个误解造成的代价。
扩容困境。 账户模型的串行执行瓶颈使以太坊的吞吐量被锁死在每秒几十笔交易。即使硬件性能提升了几个数量级,这个瓶颈依然存在。UTXO 模型的天然并行性意味着吞吐量可以随硬件性能线性扩展——在并行验证上具有更好的工程潜力。
安全灾难。 全局可变状态催生了重入攻击、闪电贷操纵、三明治攻击等一整个类别的安全漏洞。自 The DAO 事件以来,以太坊生态因智能合约漏洞造成的累计损失达逾百亿美元。UTXO 模型的无全局状态设计从架构层面消除了这些漏洞类别。
状态膨胀。 全局状态只增不减,运行全节点的成本持续攀升,网络的去中心化程度在不知不觉中下降。UTXO 模型的自然状态回收机制不存在这个问题。
生态碎片化。 以太坊的“成功“催生了数百个竞争性公链,导致了第一章描述的碎片化灾难——资产困在孤岛上,跨链桥成为安全噩梦,用户转个账要先搞清楚网络拓扑。
L2 信任倒退。 主链扩容受阻后,行业转向 L2 方案,重新引入了中心化排序器和“先信任再申诉“的信任模型——这正是中本聪当初要消除的东西。
这些代价不是独立的事件,而是一条因果链上的环环相扣。每一个代价都可以追溯到同一个源头:在一个错误的前提上做出的架构选择。
历史无法重来。以太坊已经存在,它的生态已经建立,数以亿计的资金已经流入。成千上万的开发者在以太坊上投入了他们的才华和青春,构建了真实可用的应用——DeFi 让金融操作对任何人开放,NFT 让数字艺术有了稀缺性的可能,DAO 让组织治理有了全新的实验场。这些创新的价值是真实的,参与者的努力是值得尊重的。
但理解这段历史的意义在于:它帮助我们看清当下的困境不是偶然的,不是因为工程师不够聪明,不是因为资金不够充裕——而是因为在出发的那一刻,方向就偏了。以太坊试图解决的问题是真实的——区块链需要智能合约能力。但它给出的答案,建立在一个错误的前提之上。
好消息是:正确的技术路径并没有消失。它一直在那里,等待被重新发现。比特币的 UTXO 模型和脚本系统,经过恢复和完善,完全可以承载以太坊试图实现的一切功能——而且没有全局状态的诅咒、没有串行执行的瓶颈、没有状态膨胀的无底洞。
正本清源的第一步,是承认那个误解的存在。
第四章:扩容的死胡同
上一章我们追溯了以太坊的诞生逻辑:基于“比特币脚本能力有限、通用性不足“的技术判断,另起炉灶建了一个“世界计算机“。这个新系统的核心架构选择——账户模型和全局共享状态——在当时看来是对比特币“局限性“的合理改进。但架构选择不是免费的。每一个设计决策都有代价,有些代价在系统规模小的时候看不出来,只有在系统需要扩展到全球规模时,才会暴露出真面目。
这一章要回答一个问题:以太坊为什么扩不了容?不是“还没有扩好“,不是“正在努力“,而是——如果把问题限定为“仅靠以太坊 L1 单层直接承载全球规模高频交易“,其现有架构会面临极强的扩容约束;因此官方路线图已转向以 Rollup 为中心的分层扩容。而更糟糕的是,围绕这个不可能的目标,行业发明了一系列“解决方案“——分片、Rollup、L2、EVM 兼容链——每一个都许诺了美好的未来,每一个最终都通向同一条死胡同。
全局状态:焊死的天花板
要理解以太坊的扩容困境,必须先理解它的数据架构与比特币有什么根本不同。
比特币采用 UTXO 模型。每一笔比特币就像一枚独立的硬币——它有明确的来源(上一笔交易的输出),有明确的金额,有明确的所有权条件(锁定脚本)。你花一枚硬币,不需要查询任何“全局余额表“,只需要证明这枚硬币属于你、你有权花它。两个人同时花各自手里的硬币,互不干扰——因为两枚硬币之间没有任何数据依赖。
以太坊选了一条完全不同的路:账户模型。
在以太坊中,每个地址对应一个“账户“,账户里存着余额、nonce(交易序号)、合约代码和存储数据。所有这些信息构成一棵巨大的状态树——以太坊把它叫做“世界状态“(World State)。每一笔交易的执行,本质上都是对这棵状态树的一次读写操作:读取发送方的余额和 nonce,验证合法性,扣除余额,增加接收方余额,更新 nonce。如果涉及智能合约,还要读取合约的存储槽、执行合约逻辑、写回修改后的状态。
问题出在哪里?
出在“全局“二字。以太坊的世界状态是一个所有账户、所有合约共享的单一数据结构。对同一个账户的多笔交易,必须严格按顺序处理——先扣第一笔,再扣第二笔,不能并行。nonce 的严格递增进一步锁死了串行性:你的第 100 笔交易必须在第 99 笔之后才能被处理。
智能合约让这个问题更加严重。一个典型的 DeFi 交易——比如在 Uniswap 上兑换代币——可能涉及多个合约的状态:代币 A 的合约、代币 B 的合约、流动性池合约、路由合约……每个合约都有自己的存储状态,一笔交易可能需要同时读写多个合约的状态。当另一笔交易也涉及其中某个合约时,两笔交易就产生了状态冲突,必须串行执行。
以太坊虚拟机(EVM)正是因此被设计成严格顺序执行的:一笔接一笔,绝不并行。当前以太坊主流执行路径以顺序执行为主,并行执行的工程难度很高;即便能做,也需要显式依赖分析、冲突控制和额外协议复杂度。当你的整个系统共享一棵状态树,任何两笔涉及同一片状态的交易都必须排队等候,实用的并行化极其困难。
这就像一家银行只有一个柜台。不管外面排了多少人,每次只能办理一笔业务。你可以把柜台的办事速度提高——从十秒一笔变成五秒一笔——但你永远不可能通过加柜台来提速,因为所有业务都要操作同一本总账,而这本总账一次只能被一个柜员翻开。
这就是以太坊的扩容天花板。它不在带宽上,不在存储上,不在计算速度上——而是焊死在数据结构本身。全局共享状态的串行访问,是一道无法通过加处理器核心突破的硬墙。
截至 2025 年前后,以太坊的全节点数据早已突破数 TB,官方文档建议使用 2TB 级 SSD;而即便是核心的“活动状态“(MPT 树中的余额、合约代码等),其膨胀速度也远超硬件摩尔定律的增长,使得普通硬件运行全节点变得愈发困难。以太坊基金会的研究者自己发出了警告:不断增长的状态存储负担正在让运行全节点变得越来越昂贵和脆弱。官方讨论的缓解路径通常包括 history expiry、state expiry、statelessness,以及配套的 archive/partial stateless 方案;它们并非完全同一层级的三种并列路线,但注意用词:这些都是“缓解“策略,不是解决方案。因为根本问题——全局状态的串行瓶颈——是账户模型的基因缺陷,不是可以通过工程优化来消除的。
而比特币的 UTXO 模型天然不存在这个问题。每个 UTXO 是独立的状态单元,不引用任何全局状态。处理不同 UTXO 的交易之间数据依赖极低,可以被分配到不同的处理器核心上同时处理。冲突检测极其简单:只需检查两笔交易是否试图花费同一个 UTXO。UTXO 模型把状态拆成粒度更细的可消费输出,在执行层面实现了极低的数据依赖与状态竞争开销,比账户模型更容易做并行验证和冲突检测——尽管 UTXO 集本身仍是全网共享的共识状态,双花检测和节点间同步仍然存在通信开销。
中本聪选择 UTXO 模型不是偶然的。UTXO 模型通常把更多压力转移到带宽、传播和存储等更易工程优化的维度——这些维度随硬件技术进步持续改善,但仍会影响安全性与去中心化程度。账户模型则把瓶颈焊死在数据结构本身——无论硬件多快,全局共享状态的串行访问始终是那道硬墙。
分片:一个被放弃的承诺
以太坊社区很早就意识到了扩容问题。他们最初的答案是分片(sharding)。
分片的思路直觉上很诱人:既然一条链处理不了那么多交易,那就把链切成 64 片,每片独立处理一部分交易,总吞吐量不就提高 64 倍了吗?这个思路在传统数据库领域是成立的——大型互联网公司的数据库经常被分片以提高并行处理能力。以太坊在 2018 年前后制定了雄心勃勃的分片路线图,计划将网络拆分为 64 个分片,每个分片独立执行交易和维护状态。
但以太坊不是传统数据库。它有一个传统数据库没有的麻烦:DeFi 的可组合性。
以太坊上的 DeFi 协议之所以强大,很大程度上是因为它们可以像乐高积木一样互相调用。一笔交易可以在同一个区块中先从 Aave 借款,然后在 Uniswap 上交易,再到 Compound 上存入——所有操作在同一个原子交易中完成,要么全部成功,要么全部失败。这就是所谓的“同步可组合性“(synchronous composability),它是以太坊 DeFi 生态的基石。
一旦引入执行分片,这个基石就碎了。
如果 Aave 在分片 A 上,Uniswap 在分片 B 上,Compound 在分片 C 上——上面那笔原子交易要怎么执行?它需要同时读写三个分片上的状态,而分片之间的通信是异步的。你不能像在同一条链上那样保证“要么全部成功,要么全部失败“。你需要复杂的跨分片通信协议、锁机制、回滚机制……而这些机制本身的复杂性和开销,很可能把分片带来的性能提升全部吃掉。
更要命的是,在账户模型下,跨分片交易极难处理。两笔涉及同一个热门合约的交易——比如两个用户同时在 Uniswap 上交易——必须被路由到同一个分片上串行处理。结果是:最热门的合约所在的分片成了新的瓶颈,而冷清的分片闲置着。你用分片解决了一个瓶颈,却在另一个地方制造了同样的瓶颈。
以太坊社区花了将近五年时间试图解决这些问题。在 2020 至 2022 年间,以太坊公开转向以 Rollup 为中心的路线图(rollup-centric roadmap),执行分片逐步淡出;后续官方文档明确说明 shard chains 已不再是路线图的一部分。
这个转向的意义比大多数人理解的更加深刻。它不是一次“策略调整“,不是“我们找到了更好的方案“。它是以太坊核心开发者对账户模型固有局限性的隐性承认。如果账户模型真的适合分片——像 UTXO 模型那样,每个状态单元自包含、互不依赖——执行分片早就实现了。正是因为全局共享状态在分片环境下无法维持一致性和原子性,执行分片才不得不被放弃。
取而代之的是什么?是“数据分片“——不再尝试让多个分片独立执行交易,而只是让多个分片为 Rollup 提供更多的数据存储空间。L1 的重心明显转向结算与数据可用性,但并未完全停止自身执行层和节点层的改进。
换句话说:以太坊花了五年时间,得出了一个结论——它自己扩不了容,所以把扩容的希望全部押在了 Rollup 上。
那么 Rollup 靠谱吗?
Optimistic Rollup:先信任,再打官司
Rollup 的核心思路是这样的:既然以太坊 L1 处理交易太慢太贵,那就在链下处理交易,然后把结果提交回 L1 进行验证和记录。链下处理快且便宜,链上验证提供安全保障。听起来两全其美。
但魔鬼藏在细节里。
Optimistic Rollup——“乐观卷叠”——是目前使用最广泛的 Rollup 方案,Arbitrum、Optimism、Base 都采用这种技术。它的运作逻辑是这样的:
一个叫做“排序器“(sequencer)的角色负责收集用户提交的交易,将它们排序、打包、执行,然后把执行结果(状态根)和交易数据一起提交到以太坊 L1。这里的关键假设是“乐观“的——系统默认排序器提交的结果是正确的,除非有人提出挑战。
如果某个观察者发现排序器提交的结果有误,可以在“挑战期“内提交欺诈证明(fraud proof)。L1 上的合约会验证这个证明,如果确实有误,则回滚错误的状态,并惩罚排序器。
挑战期是多久?七天。
需要区分两种情况:普通 L2 交易通常在几分钟到几十分钟内达到较高确定性;但如果你要通过官方桥从 Optimistic Rollup 提现到 L1,常见要经历约七天挑战期。在这七天里,你的提现资产处于一种薛定谔的状态——理论上是你的,但你取不出来。如果排序器在这七天之内作恶呢?理论上只要有一个诚实观察者即可发起挑战,但现实中这引入了巨大的激励博弈问题:如果没有作恶,观察者就没有收益;如果没有收益,谁来承担昂贵的节点运行成本?如果所有的挑战者都被审查了呢?如果网络拥堵导致欺诈证明无法在截止时间前提交呢?
让我们把这个机制翻译成日常语言:你把钱交给一个中间人处理。这个中间人说“相信我,我做的都是对的“。如果他做错了,你有七天时间去告他。如果你在七天内没有告成功,他做的就自动变成“对的“了。
这像什么?这不就是“先信任银行,银行出错了再去法院起诉“吗?
中本聪在比特币白皮书的引言中就指出了这种信任模型的致命缺陷:系统运作得“足够好“,但它仍然受到基于信任模式固有弱点的困扰。Optimistic Rollup 没有消除对可信第三方的依赖,它只是换了一种方式来依赖——从“信任银行不作恶“变成了“信任排序器不作恶,如果作恶了信任挑战者能及时发现并成功挑战“。信任链条更长了,但信任的本质没有变。
更值得关注的是,目前几乎所有主流 Optimistic Rollup 的排序器都是中心化运行的。Arbitrum 的排序器由 Offchain Labs 运营。Optimism 的排序器由 OP Labs 运营。Base 的排序器由 Coinbase 运营。这些排序器决定了哪些交易被包含、以什么顺序执行。用户把交易发给排序器,排序器自行决定排序——这和用户把转账请求发给银行,银行自行处理,有什么本质区别?
“去中心化排序器“一直在各个 L2 项目的路线图上,但截至 2026 年初,没有任何一个主流 Optimistic Rollup 真正实现了排序器的去中心化。一个在路线图上待了三年以上的核心功能,始终没有落地——这本身就说明问题。去中心化排序器之所以难以实现,正是因为它重新引入了以太坊 L1 已经在解决的同一个难题:如何在不信任任何人的条件下达成交易排序共识。如果 L2 为了去中心化必须重建一套共识机制,那 L2 的存在意义是什么?
排序器存在单点故障风险,官方文档也专门讨论了 sequencer outage 场景。实际运行中,多个主流 L2 都曾出现过排序器不稳定甚至宕机的情况——区块生产失败,交易停滞。这是一个单点故障(single point of failure),和传统中心化系统的脆弱性一模一样。
Optimistic Rollup 许诺的是“以太坊级别的安全性,更低的成本“。实际交付的是:一个由中心化实体运营的交易处理系统,安全性依赖于一个七天挑战期的博弈机制,排序器可以审查交易、提取 MEV(最大可提取价值),用户提款需要等一周。这不是去中心化的扩容方案,这是把去中心化系统的交易外包给了中心化系统。
ZK Rollup:更精妙的中心化
ZK Rollup——零知识证明卷叠——是另一条 Rollup 路线。它的理论基础比 Optimistic Rollup 更优雅:不需要七天挑战期,因为每一批交易都附带一个数学证明(零知识证明或有效性证明),L1 合约可以直接验证这个证明的正确性。如果证明验证通过,状态更新立即生效。不需要“先信任再追诉“,而是“数学证明不会撒谎“。
这听起来确实更好。但“理论上更优雅“和“实际上能用“之间,隔着一条巨大的鸿沟。
首先是证明生成的中心化问题。生成零知识证明是一个计算密集型任务,需要大量的算力和内存。目前所有主流 ZK Rollup——zkSync、StarkNet、Scroll、Linea——在排序与运营上仍较集中,证明生成同样多由项目方运营的中心化证明器(prover)完成。需要注意的是,“完全控制权“主要来自排序和出块权(sequencer/operator),而非单纯的证明生成权;部分项目已在推进更开放的证明生成方案。但总体而言,当前的 ZK Rollup 生态在排序、运营和证明生成上都存在显著的中心化。
其次是 EVM 兼容性的困难。以太坊虚拟机不是为零知识证明设计的。将 EVM 的操作码一个个翻译成零知识证明电路(zkEVM),是一项极其复杂的工程。不同的 ZK Rollup 项目在 EVM 兼容性上做出了不同程度的妥协——有的完全兼容但证明生成极慢,有的牺牲兼容性换取更快的证明速度。在目前的工程实践中,zkEVM 仍普遍面临兼容性、性能、开发复杂度之间的工程权衡——完全的 EVM 兼容性(Type 1 zkEVM)与证明生成的实时性之间,存在着难以逾越的鸿沟。
再次是成本问题。即使证明生成变得更快,它仍然需要大量的计算资源。这些成本最终会转嫁给用户。虽然 ZK Rollup 在理论上可以通过批量化来分摊成本——一个证明覆盖成千上万笔交易——但如果交易量不足以填满一个批次,单笔交易的成本反而可能更高。
最后,也是最根本的问题:ZK Rollup 解决了什么?
它解决了“如何在不信任排序器的情况下验证交易正确性“的问题。但它没有解决排序器本身的中心化问题——交易仍然由一个中心化的排序器收集和排序。它没有减少对 L1 数据可用性的依赖——安全性仍要求相关数据可被任何验证者获取。它没有解决互操作性问题——不同 ZK Rollup 之间的资产转移仍然需要桥接。它没有解决碎片化问题——每一个 ZK Rollup 都是一个独立的执行环境,拥有自己的状态和用户。
零知识证明是一项强大的密码学技术。但把它用在 Rollup 上,不过是给一个中心化的交易处理系统贴上了一层数学安全外衣。底层的架构问题——全局状态的串行瓶颈、L1 的有限容量、碎片化的生态——一个都没有解决。
Dencun 升级:修补,而非突破
2024 年 3 月,以太坊完成了 Dencun 升级,核心内容是 EIP-4844,也叫 Proto-Danksharding。
这个名字本身就值得玩味。“Proto“意思是“原型”,“Danksharding“是一种数据分片方案。所以这个升级是“数据分片的原型”——连正式版都不是。
EIP-4844 引入了一种新的数据类型叫做“blob“(数据块)。Rollup 可以把交易数据打包成 blob 附在区块上,而不是写入以太坊的正式交易数据中。blob 有几个特点:对 EVM 不可见(合约无法读取 blob 中的数据),并且会在大约 18 天后自动删除。
这个升级确实降低了 Rollup 向 L1 发布数据的成本——据报道降低了约 10 倍。这意味着 L2 上的交易费用也相应降低。
但让我们看看这个升级的本质:以太坊 L1 为 Rollup 提供了更多、更便宜的临时数据存储空间。就是这样。L1 本身的执行能力没有任何提升。全局状态的串行瓶颈没有任何改变。Dencun 强化了以 Rollup 为中心的扩容方向,说明官方把更多扩容负载放在 L2;但这不等于 L1 停止演进。
以太坊的路线图现在很明确:L1 不打算处理普通用户的交易。L1 的角色被重新定义为“结算层“和“数据可用层“。所有实际的交易执行都将发生在 L2 上。
这意味着以太坊主动选择了这样一种架构:一个高成本、低吞吐的结算层,加上一堆各自为政的 L2 执行层。用户的交易在 L2 上被一个中心化排序器处理,处理结果和数据被提交到 L1 进行最终确认。
让我们把这个架构和传统金融做个对比。银行的日常交易在各个分行处理(L2),最终结算在央行(L1)。你在分行办业务不需要等央行,但分行的可信度依赖于银行这个机构。以太坊的 L2 架构和这个模式有什么本质区别?
区别在于:传统银行至少不会假装自己是“去中心化“的。
EVM 兼容链:复制缺陷的狂欢
当以太坊自己都扩不了容的时候,行业的另一个反应是:复制以太坊。
BNB Chain(原 BSC)、Polygon、Avalanche、Fantom、Cronos……数不清的公链选择了“EVM 兼容“这条路——直接复制以太坊的虚拟机,让以太坊上的智能合约可以几乎不做修改地部署到新链上。这在商业上是精明的策略:蹭以太坊的开发者生态和工具链,降低迁移成本,快速建立自己的 DeFi 生态。
但在技术上,这是什么?是把一个有根本性缺陷的架构复制了 N 份。
以太坊的账户模型导致全局状态串行瓶颈。BSC 复制了这个模型。Polygon 复制了这个模型。Avalanche 复制了这个模型。每一条 EVM 兼容链都继承了以太坊的基因缺陷——全局共享状态、顺序执行交易、状态膨胀。许多 EVM 兼容链的高性能,常常部分来自更小的验证者集、更强的运营权限或更高硬件要求,但也与其共识机制和工程实现有关,不能只归因于一个因素。总体趋势是:更少的验证者、更高的硬件门槛、更中心化的出块机制。
BSC 最初只有 21 个验证者,全部由币安选定。Polygon 的验证者集合也远小于以太坊。这些链的“高性能“建立在“更少的人参与验证“这个基础上——用去中心化换速度。但如果可以牺牲去中心化,为什么不直接用一个中心化的数据库?AWS 的吞吐量比任何区块链都高几个数量级。
更重要的是,多条 EVM 兼容链的存在不但没有解决扩容问题,反而制造了一个新问题:碎片化。
第一章已经描述过这个场景:一种 USDT,十几条链,八十多个网络。用户转一笔稳定币,要先搞清楚发送方在哪条链上、接收方在哪条链上、两条链之间有没有桥、桥的手续费是多少、过桥需要多长时间。一个声称要“让金融回归普通人“的行业,建造了一个比传统银行系统更复杂、更容易出错、更不友好的转账流程。
每增加一条 EVM 兼容链,碎片化就加剧一分。流动性被进一步分割,用户的认知负担进一步增加,跨链桥的攻击面进一步扩大。2022 年,仅 Ronin(6.25 亿美元)、Wormhole(3.26 亿美元)、Nomad(1.9 亿美元)三起跨链桥被盗事件的损失就超过 11 亿美元。截至 2022 年 8 月初,据 Chainalysis 估计,跨链桥被盗损失已约达 20 亿美元。这不是偶然的安全事故,这是碎片化架构的系统性风险——当你需要在几十条链之间搬运资产,每一座桥都是一个需要信任的中间人,每一个中间人都是一个潜在的攻击目标。
反观互联网的历史。1980 年代也有一堆互不兼容的封闭网络——CompuServe、AOL、Prodigy、BITNET、FidoNet。每一个都声称自己服务不同的用户群体,每一个都有自己的协议和客户端。网络之间的“互通“需要通过邮件网关——1980 年代的“跨链桥“。这些邮件网关同样不可靠、速度慢、经常丢失消息。
后来发生了什么?TCP/IP 作为统一的通信协议被采纳。所有封闭网络在不到十年内从主导地位变成了历史注脚。Metcalfe 定律不关心你的网络有多快或多便宜——它只关心有多少人在同一个网络里。一个拥有百万用户的统一网络,其价值远超十个各有十万用户的碎片网络之和。
今天的 EVM 兼容链生态,不是“互联网统一之后的应用层多样化“。它是“互联网统一之前的封闭网络时代“。
L2 不是“扩展“,是“外包“
让我们从更高的视角来看 L2 和 Rollup 的本质。
以太坊社区把 L2 描述为“扩展方案“——L2 在扩展以太坊的能力。但这个描述是误导性的。扩展(scaling)的本义是:同一个系统,处理更多的负载。一台服务器从处理 100 个请求/秒扩展到 10,000 个请求/秒,这是扩展。一个数据库从存储 1TB 扩展到 100TB,这是扩展。关键词是“同一个系统“。
L2 不是 L1 单层扩容,而是分层/模块化扩容——它降低了 L1 的直接执行负担,但也引入新的信任、互操作和体验成本。L2 把交易从以太坊 L1 搬到另一个地方去处理。这个“另一个地方“有自己的排序器、自己的执行环境、自己的状态。交易在 L2 上被执行后,只有一个压缩的结果被提交回 L1。
从 L1 的角度看,这更像是外包而非原地扩容。
就像一家餐厅因为厨房太小做不过来,不是扩大厨房(那太难了),而是把一部分订单外包给隔壁的外卖作坊。外卖作坊做好了端过来,餐厅在菜单上盖个章说“本店出品“。
问题在于:外卖作坊的卫生标准由谁保证?餐厅说“我们有检查机制“——乐观 Rollup 的检查机制是“如果七天内没人投诉就算合格“,ZK Rollup 的检查机制是“每批菜都附一张质检报告“。但不管哪种检查机制,外卖作坊本身的运营是不受餐厅控制的。它可以选择不接某些订单(审查交易),可以调整出餐顺序(提取 MEV),甚至可以暂停营业(排序器宕机)。
更根本的问题是:如果外包出去的部分需要和留在厨房的部分保持一致——调料、火候、口味——外包的成本和复杂性会急剧上升。这就是为什么跨 Rollup 操作如此困难:不同 L2 之间的资产转移需要通过桥,不同 L2 上的 DeFi 协议不能原子性地互相调用,用户在不同 L2 上需要分别持有 ETH 来支付 Gas 费。
以太坊的 L2 生态实际上创造了一个“链内碎片化“的奇观:同一条 L1 上的 L2 之间,资产不能直接互通。你在 Arbitrum 上有 1 ETH,想在 Base 上使用,需要先桥接回以太坊主网(等七天,如果用 Optimistic Rollup 的官方桥),再从主网桥接到 Base(又等一段时间)。或者用第三方快速桥——本质是一个做市商帮你垫资,收取手续费,并承担桥接风险。
L2 支持者常用互联网做类比:“以太坊是 TCP/IP,L2 是建在上面的应用。“这个类比在四个层面上都是错的。
第一,区块链不是传输层。TCP/IP 只搬运数据包,不关心数据包里是什么、数据包之间的顺序是什么。区块链做的是排序、验证和永久记录。区块链对应的不是 TCP/IP,而是整个互联网的功能集。
第二,L2 打破了端到端信任。在以太坊 L1 上,你的交易由全网矿工/验证者处理,安全性由以太坊的全部经济质押来保障。在 L2 上,你的交易由一个中心化排序器处理。这不是“在可信网络上构建应用“,而是“离开可信网络,进入一个需要额外信任假设的环境“。
第三,L2 不是 L1 之上的“应用层创新“,而是 L1 缺陷的产物。如果 L1 吞吐和成本问题显著改善,很多以“便宜/快“为卖点的 L2 价值会被削弱;但某些面向隐私、定制化或隔离场景的 L2 仍可能存在。就像互联网骨干网从 56kbps 升级到了光纤——每一次带宽升级都消灭了一批曾经“不得不存在“的专有网络方案。如果以太坊 L1 能处理百万笔交易每秒,多数以性能为卖点的 L2 将很难证明自己的存在价值。
第四,精确的对应关系不是“L1 = TCP/IP,L2 = 应用“,而是“L1 太慢 = 骨干网太慢,建 L2 = 建专有局域网“。各个 L2 对应的不是互联网上的多样化应用,而是互联网统一之前的 CompuServe、AOL 等封闭网络。L2 之间的跨链桥,对应的不是互联网上的 HTTP 链接,而是封闭网络之间的邮件网关。
以太坊的 L2 生态不是互联网的未来。它是互联网的过去。
奥卡姆剃刀:如无必要,勿增实体
让我们退后一步,用最朴素的逻辑来审视这一切。
以太坊生态现在的架构是什么?一条 L1 主链,几十条 L2 Rollup,数百条 EVM 兼容链,连接它们的几十座跨链桥。用户需要在这些链、层、桥之间做选择,需要理解每条链的特性、每座桥的风险、每个 L2 的取舍。开发者需要决定部署在哪条链上,可能还需要在多条链上同时部署和维护同一个应用。
14 世纪的逻辑学家奥卡姆的威廉有一条原则:如无必要,勿增实体(Entities should not be multiplied beyond necessity)。这条原则在科学和工程中被反复验证:最简单的解释通常是最好的解释,最简单的架构通常是最可靠的架构。
现在问一个简单的问题:如果一条链就能处理全球所有交易,我们还需要几百条链加几十座桥加几十个 L2 吗?
这不是一个修辞性的反问。这是一个严肃的工程问题。
互联网的历史已经给出了答案。1980 年代有几十个互不兼容的网络。每一个都声称服务不同的场景。反对统一的人说:“不同网络服务不同目的”,“单一网络无法处理所有流量”,“专用网络效率更高”。这些论点在当时都有合理性。然后 TCP/IP 来了。然后所有封闭网络在十年内消失了。
TCP/IP 在每一个单项指标上都不是最好的——有比它更快的协议,有比它更安全的协议,有比它更节能的协议。但它做到了一件事:让所有人在同一个网络里。Metcalfe 定律比任何技术优势都强大。
区块链行业正处于 1990 年代初的计算机网络阶段——封闭网络林立,互通困难,用户被困在各自的围墙花园里。行业主流的回应不是统一网络,而是建更多的桥来连接更多的封闭网络。这就像 1993 年,面对 CompuServe 和 AOL 之间不能通信的问题,解决方案不是推广 TCP/IP,而是在两者之间多建几条邮件网关。
这些邮件网关和今天的跨链桥有着惊人的相似——都不可靠,都容易丢失信息(资产),都增加延迟和成本,都是碎片化架构的补丁而非解决方案。
正确的问题不是“如何让几百条链更好地互通“,而是“为什么需要几百条链“。
答案回到了架构选择:因为以太坊的账户模型导致了 L1 无法扩容,所以需要 L2。因为 L2 之间不互通,所以需要桥。因为以太坊太贵,所以需要更便宜的 EVM 兼容链。因为 EVM 兼容链之间也不互通,所以需要更多的桥。每一个“解决方案“都在制造新的问题,每一个新的问题都催生新的“解决方案“。复杂性不断叠加,但根源性的问题——账户模型的串行瓶颈——始终没有被解决。
这就是在错误的地基上建楼的结果。地基歪了,你可以在一楼加支撑柱(分片),发现不行;可以在旁边盖附楼(L2),发现附楼和主楼之间走廊(桥)总是塌;可以多盖几栋类似的楼(EVM 兼容链),发现每栋楼都有同样的地基问题。所有这些操作加在一起,不等于修好了地基。
如果从一开始就选对了地基呢?
UTXO 模型的状态是自包含的——每个 UTXO 独立存在,不引用全局状态。这意味着天然的并行化——不同的交易可以被不同的处理器核心同时处理。扩容的瓶颈不在数据结构上,而在带宽和存储等更易工程优化的维度——这些维度随硬件技术持续改善。一条链,一个共识机制,一份账本,处理全球所有交易。不需要 L2,不需要桥,不需要几百条互不兼容的链。
这不是幻想。据 BSV 生态披露,Teranode 在 2025 年私有测试环境中曾达到约 104 万 TPS;这一性能尚未经公开主网在对抗性环境下的独立验证,但其实现路径值得关注——不是通过 L2,不是通过分片,而是通过回归比特币最初的并行处理基因,配合工业级的软件工程优化,在同一条链上、同一个共识机制下、同一份不可篡改的账本中。
奥卡姆剃刀在这里的应用再清晰不过:一条能扩容的链,比几百条不能扩容的链加几十座桥加几十个 L2,简单几个数量级。
碎片化的根源
让我们回到第一章。
第一章描述了一个荒谬的现实:一个用户要转一笔 USDT,需要在十几条链之间做选择。选错了,钱就没了。一个声称要“让金融回归普通人“的行业,建造了一个比传统银行更复杂的系统。
现在我们知道了这个荒谬现实的技术根源。
碎片化不是因为“技术还不够成熟“。碎片化不是因为“行业还在早期“。碎片化是因为以太坊选择了账户模型,账户模型导致了全局状态的串行瓶颈,串行瓶颈使得 L1 无法扩容,L1 无法扩容催生了 L2 和 EVM 兼容链,L2 和 EVM 兼容链之间互不兼容催生了跨链桥,跨链桥本身脆弱且昂贵催生了更多的复杂性。
这是一条完整的因果链。起点是一个架构选择,终点是第一章描述的用户噩梦。
更深层地看,以太坊的诞生源于一系列技术判断与路线选择——更强的可编程性诉求、开发者体验、账户模型偏好、应用愿景——共同促成了以太坊路线,而上一章论证的“比特币不能做智能合约“这一判断在其中扮演了重要角色。Vitalik Buterin 决定另建一个平台,为了让这个平台“更友好“,他选择了账户模型而非 UTXO 模型。账户模型带来了全局状态,全局状态带来了串行瓶颈,串行瓶颈带来了 L1 扩容的严重约束,扩容约束带来了碎片化。
这一系列技术判断与架构选择,导致了一个难以扩容的系统,深刻影响了整个行业长达十年的发展方向。
围绕这个无法扩容的系统,聪明人发明了分片——失败了。发明了 Optimistic Rollup——引入了可信第三方。发明了 ZK Rollup——引入了中心化证明器。发明了 EVM 兼容链——复制了同样的缺陷。发明了跨链桥——造成了数十亿美元的损失。发明了 Proto-Danksharding——承认 L1 放弃扩容。
每一个方案都足够巧妙。每一个方案背后都有才华横溢的工程师。但巧妙的方案无法弥补错误的基础。正如你无法通过在歪斜的地基上建造越来越精妙的支撑结构来解决地基的问题——你唯一能做的,是承认地基选错了,然后重新开始。
以太坊的扩容之路是一条死胡同。不是因为技术不够好,不是因为工程师不够聪明,而是因为——你走进了一条胡同,无论你走得多快、多优雅,前面都是墙。
真正的问题从来不是“如何扩容以太坊“,而是“为什么需要扩容以太坊“。如果比特币的原始设计从一开始就能承载智能合约、天然支持并行扩容,那么以太坊——以及围绕它的整个扩容工业——根本就不需要存在。
下一章,我们将把目光转向另一个方向:那些不复制以太坊、而是从零开始设计的高性能链——以 Solana 为代表。它们选择了完全不同的技术路线,但最终是否走出了死胡同?
第五章:分布式数据库不是区块链
速度的诱惑
2021 年的加密货币牛市中,有一个项目反复出现在每一个“以太坊杀手“榜单的榜首:Solana。
它的宣传口径简单而有力:每秒处理六万五千笔交易,出块时间四百毫秒,手续费不到一美分。在以太坊用户为一笔简单的代币转账支付几十美元 Gas 费、等待十几秒确认的时代,Solana 的数字看起来像来自另一个世界。投资者蜂拥而入,开发者纷纷迁移,SOL 的价格在 2021 年从不到 2 美元飙升至超过 250 美元。
“快“成了最大的卖点。在行业的叙事中,高 TPS(每秒交易数)几乎成了“先进“的代名词。以太坊每秒十几笔,太慢了;比特币每秒七笔,简直是上古遗物。Solana 每秒几万笔——这才是未来。
这个叙事有一个致命的隐含假设:TPS 高就等于可扩容,可扩容就等于好。
但如果我们从序章建立的第一性原理出发,一个尖锐的问题会自然浮现:这个速度是怎么来的?为了获得这个速度,牺牲了什么?
答案会让很多人不舒服。
在展开分析之前,有必要先明确本章的用词:当我们说“区块链“时,指的是比特币所开创的那种系统——一个无许可的、通过开放竞争产生排序权的分布式账本。行业中很多项目都自称“区块链“,但正如我们将看到的,如果一个系统的共识依赖于已知的参与者集合和中心化的协调机制,那么它在本质上更接近一个分布式数据库,而不是比特币意义上的区块链。
PoH:一个精巧的时钟,不是共识
Solana 最核心的技术创新叫做 Proof of History(历史证明,简称 PoH)。这个名字很有迷惑性——它听起来像是和 Proof of Work(工作量证明)、Proof of Stake(权益证明)并列的一种共识机制。很多人也确实这样理解。但这是一个根本性的误读。
PoH 是什么?它是一种可验证延迟函数(Verifiable Delay Function)的特定实现,其核心是一条连续的 SHA-256 哈希链。每一次哈希运算的输出,作为下一次运算的输入,如此不断循环。因为每一步都依赖前一步的结果,这条链只能按顺序生成,不能并行加速——但验证者可以通过并行验证来快速确认结果的正确性。这使得它成为一个可验证的密码学时钟:生成必须消耗时间,但验证可以很快完成,链上的每一个“滴答“都证明了一段时间已经过去。
当交易被插入这条哈希链时,它们获得了一个相对于其他交易的时间顺序。这就是“历史证明“名字的由来——它为事件提供了一个可验证的时间线索。
这个设计确实很精巧。但请注意一个关键区别:PoH 本身不决定哪些交易是有效的,不决定谁有权出块,也不解决节点之间的分歧。它只是一个计时器。
Solana 的实际共识机制是另一个东西:Tower BFT。
Tower BFT 是什么?它是 PBFT(实用拜占庭容错)的一个变体。在这个机制中,验证者通过投票来确认区块。每一票都有一个“锁定期“——你投了一票之后,在一定的时间窗口内不能改投其他分叉。随着你连续投票确认同一条链,锁定期呈指数增长,这使得验证者越来越难以回滚已确认的历史。
PoH 在这个过程中扮演的角色,是为 Tower BFT 提供一个统一的时钟参考,减少验证者之间的通信开销。没有 PoH,Tower BFT 仍然能工作,只是效率会降低。没有 Tower BFT,PoH 本身不能完成任何共识。
为什么这个区分至关重要?
因为 Tower BFT 是一个经典的 BFT 共识算法,而所有 BFT 算法都有一个共同的前提:参与者集合是已知的。 你必须事先知道有哪些节点参与共识,才能计算“三分之二多数“是多少。这和比特币的工作量证明有着根本性的差异——在比特币中,任何人随时可以加入或退出挖矿竞争,不需要任何人的许可,不需要任何注册,网络甚至不需要知道你的存在。
换句话说,PoH 让 Solana 更快了,但它没有让 Solana 变成区块链。Solana 的共识仍然建立在一个已知的、预先确定的验证者集合之上——更接近已知参与者集合的 BFT 型分布式系统,而不是比特币式的开放竞争系统。
被预选的秩序
让我们更仔细地看看 Solana 的出块机制。
在比特币中,没有人知道下一个区块将由谁挖出。全球的矿工同时竞争,谁先解出数学难题,谁就获得下一个区块的排序权。这是一场开放的、实时的、不可预知的竞争。
在 Solana 中,出块者是预先确定的。
Solana 的网络运行被划分为一个个“纪元“(epoch),每个纪元持续大约两到三天。在每个纪元开始之前,系统根据验证者的质押权重,通过一个伪随机算法生成一份“领导者时间表“(leader schedule)。这份时间表精确地规定了在接下来的每一个时间槽(slot,约 400 毫秒)中,由哪个验证者担任出块领导者。
这意味着:在任何给定的时刻,整个网络都知道谁是当前的领导者,谁是下一个领导者,以及接下来几天内每一个时间槽的领导者是谁。
从工程角度看,这种设计的优势显而易见:既然大家都知道下一个领导者是谁,交易可以提前被转发给他,不需要像比特币那样在所有矿工之间广播。这大幅减少了网络通信的冗余,直接推高了吞吐量。
但从去中心化的角度看,这种设计隐含着一个深刻的问题:排序权不是通过竞争获得的,而是被系统分配的。
回想序章的推导。比特币的核心突破在于:在没有可信第三方的条件下,通过能量消耗的竞争,让排序权以一种不可预测、不可操纵的方式产生。正是因为没有人能预知谁会赢得下一个区块,排序权才是不可被俘获的。
而 Solana 的领导者时间表,本质上是一种预先安排的轮值制度。虽然轮值的顺序受质押权重影响,但它仍然是由算法在事前确定的。这意味着攻击者可以提前知道目标——如果你知道某个验证者将在五分钟后出块,你可以提前对它发动针对性的 DDoS 攻击。Solana 确实经历过这种攻击。
更根本的是,这种预选机制将出块权从一个开放的竞争问题,变成了一个准入和分配问题。谁能成为验证者?谁的质押权重够大?谁能被选入领导者时间表?这些问题的答案,决定了谁拥有排序权——而在比特币中,这些问题根本不存在。
硬件的门槛
如果你想运行一个比特币全节点——注意,这里说的是验证节点而非挖矿节点——你需要什么?一台普通的个人电脑就够了。几百 GB 的硬盘空间,几个 GB 的内存,一条普通的家用宽带。任何人,在世界上的任何角落,都可以独立验证比特币的每一笔交易,不需要任何人的许可。
如果你想运行一个 Solana 验证器呢?
Solana 官方文档(Agave/Anza 客户端,2025 年版本)列出的推荐硬件要求是:12 核以上的高频 CPU(主频不低于 2.8 GHz,必须支持 SHA 扩展和 AVX2 指令集),256 GB 以上 ECC 内存,多块企业级 NVMe 固态硬盘(账户数据 1 TB 以上,账本数据 1 TB 以上,快照另需 500 GB 以上),以及至少 1 Gbps 的对称带宽,推荐 10 Gbps。
这是“推荐配置“。在实际运行中,社区普遍认为 512 GB 到 1 TB 的内存、24 核以上 4 GHz 主频的 CPU、以及企业级的网络连接才是具有竞争力的配置。一台合格的 Solana 验证器,硬件成本动辄数万美元。运营成本方面,仅投票交易费用上限约为每天 1.1 SOL,加上带宽、电力和托管费用,年运营成本因 SOL 价格波动而差异显著。
这些数字意味着什么?
意味着运行 Solana 验证器不是普通人能做的事。你需要专业的服务器硬件、专业的网络环境、专业的运维能力,以及持续的资金投入。这不像是在参与一个开放的网络,更像是在运营一个小型数据中心。
数据验证了这一点。尽管 Solana 验证者数量在 2024 年一度保持在 1,500 以上,但独立验证者的比例持续萎缩,大量小型验证者因入不敷出而退出。运营成本持续攀升,盈亏平衡所需的质押量高度依赖 SOL 价格、佣金率和 MEV 收入结构,但对大多数缺乏充足委托质押的小型验证者而言,维持运营在经济上是不可持续的。
这就是高 TPS 的隐藏账单。Solana 之所以快,不是因为它在技术上有什么魔法,而是因为它对验证者提出了极高的硬件要求。当你要求每个节点都配备 512 GB 内存和万兆网络时,网络当然可以处理更多交易——但代价是,只有少数人能够承担这些成本。
验证者的集中化是这种架构的结构性结果,不是偶然的。质押权重高度集中在头部验证者手中,少数大型机构验证者控制着网络的绝大部分共识权力。Solana Foundation Delegation Program 的退场机制——每引入一个新验证者(onboard 1),就有三个表现不达标的验证者失去基金会委托(offboard 3)——对硬件和性能设有极其严苛的考核标准,小型验证者因无法承担成本而被自然筛选出局,质押权重进一步向头部机构集中。
一个只有几百个高配置服务器组成的网络,验证者是已知实体,出块权按时间表轮换——这个描述听起来像什么?
它听起来像是一个分布式数据库集群。
当“区块链“需要人工重启
2021 年 9 月 14 日,Solana 网络遭遇了有史以来最严重的一次宕机。
事情的起因并不复杂。一个叫 Grape Protocol 的项目在 Raydium 上启动了代币发售(IDO),大量套利机器人涌入,每秒向网络发送超过 40 万笔交易——远超网络的处理能力。根据官方事故分析(RCA),这些洪泛流量导致验证者节点的 forwarder queue 无界增长,内存迅速耗尽。与此同时,资源密集型的区块加剧了节点负担,验证者纷纷崩溃,网络产生大量无法达成共识的分叉,最终共识完全停摆。
然后发生了什么?
全球各地的 Solana 工程师和验证者在 Discord 的 #mb-validators 频道上开始紧急协调。他们需要做的事情包括:诊断故障原因、编写修复补丁、发布新版本的客户端软件、协调全球一千多个验证者同时升级并重启、就从哪一个区块高度重新开始达成一致。
整个过程用了 17 个小时。
17 个小时里,整个网络完全瘫痪。没有任何交易被处理。任何人的资产都无法转移。用户能做的只有一件事:等待。等待工程师在 Discord 上商量出解决方案,等待验证者完成升级,等待网络重启。
这不是唯一的一次。
2022 年,Solana 至少经历了五次重大的网络性能事件。1 月份,高计算量交易和大量重复交易分别造成了两次网络拥堵。4 月 30 日,共识机制本身出现故障,网络停止出块。5 月 26 日,共识故障导致网络时钟漂移。6 月 1 日,主网再次停摆约 4.5 小时。9 月底到 10 月,一个验证器节点故障在错误的区块高度生成了重复区块,分叉选择逻辑中的 bug 导致其他验证者无法在正确的链上继续构建,网络再次停摆。
2023 年 2 月 25 日,若干自定义 block-forwarding 服务在处理异常大的区块数据时反复转发,最终压垮了去重逻辑与区块传播协议 Turbine,导致长时间的性能降级和部分不可用。
2024 年 2 月 6 日,一个叫 LoadedPrograms 的函数中的 bug 导致区块生产完全停止,宕机近五个小时。
而且这只是官方承认的宕机事件。第三方监控服务的记录显示,还存在多次未被官方公开报告的网络性能异常和中断,其中一些持续时间相当长。
每一次宕机,恢复流程都是相同的:工程师在 Discord 上发布通知,验证者在群组中讨论回滚到哪个区块高度,大家下载新版本的客户端,协调重启时间,然后手动重启各自的节点。整个过程需要验证者之间的人工协调——没有任何自动化机制可以让网络自行恢复。
现在,问一个简单的问题:这种恢复方式,与传统中心化系统的运维流程有什么本质区别?
2021 年 10 月,Facebook(Meta)经历了一次长达六小时的全球宕机。由于内部工具——包括 Workplace(内部通信)、门禁系统——同样依赖于自身基础设施,工程师一度连机房都无法进入。恢复的过程是紧急协调、手动排查、逐步重启。
Solana 的宕机恢复方式,与任何一家科技公司的运维流程,在本质上没有区别。都是一群已知的、可识别的技术人员,在一个中心化的通信渠道上,通过人工协调来恢复系统。Facebook 的工程师依赖内部工具协调,Solana 的验证者在 Discord 上协调——两者的恢复都依赖于链下的、中心化的通信基础设施。
对比一下比特币。
比特币自 2009 年 1 月 3 日上线以来,从未通过协调重启全网来恢复运行。当 2013 年 3 月的一个软件 bug 导致比特币网络短暂分叉时,开发者、矿池与商户之间确实发生了紧急协调——bitcoin.org 发出警报,建议运行 0.8.0 的大型矿池切回 0.7 版本,商户暂停处理交易。但关键区别在于:比特币网络本身从未停止运行。没有集群重启,没有基金会统一发布指令让所有节点同步重启。矿工们各自做出了回滚到更保守软件版本的决定,网络通过工作量证明的自然机制恢复了共识。
为什么?
因为比特币的共识机制不依赖于任何特定参与者的在线状态或配合。矿工来了就挖,走了就走。有人掉线了,其他矿工继续挖。算力波动了,难度自动调整。整个系统像一台自行运转的机器——它的设计目标就是不需要任何人来“管理“它。
而 Solana 的系统,从架构上就需要管理者。当网络停摆时,需要有人来决定从哪个区块高度重启。需要有人来发布修复补丁。需要有人来协调验证者的行动。这些“有人“,就是 Solana 基金会和核心开发团队。他们在 Solana 网络中扮演的角色,和银行的 IT 运维团队在银行系统中扮演的角色,是结构性相同的。
“可扩容“的真正含义
到了这里,支持者可能会说:“Solana 确实有一些中心化的问题,但至少它解决了区块链的可扩容性难题。以太坊每秒十几笔,比特币每秒七笔——这根本无法满足全球支付的需求。Solana 证明了高吞吐量是可能的。”
这个论点的前半部分是对的:比特币和以太坊当前的吞吐量确实不够。但后半部分隐含了一个致命的概念偷换。
什么是“可扩容“?
如果你问一个普通人,答案可能很简单:处理更多交易。TPS 越高,可扩容性越好。
但在分布式系统的语境中,“可扩容“有一个更精确的含义。它不仅仅是“TPS 高”。它是在不牺牲系统核心属性的前提下提升吞吐量的能力。
对于区块链来说,核心属性是什么?是去中心化和安全性。
一个中心化的数据库——比如 Visa 的支付网络——每秒可以处理数万笔交易。但没有人会把 Visa 叫做“高度可扩容的区块链“。为什么?因为它的高吞吐量是建立在完全中心化的架构之上的。Visa 有自己的数据中心,有自己的服务器集群,有自己的运维团队。它快,是因为它不需要在数千个独立节点之间达成共识。
如果“可扩容“仅仅意味着“TPS 高“,那最好的区块链就是一台强大的服务器上运行的 MySQL 数据库——它每秒能处理几十万笔交易,远超任何区块链。
这显然是荒谬的。
真正的可扩容,是在保持去中心化和安全性的前提下提升吞吐量。这才是困难的地方。因为去中心化意味着数据需要在多个独立节点之间传播和验证,这天然地对吞吐量施加了约束。突破这个约束而不损害去中心化——这才是“可扩容“这个词应该描述的成就。
Solana 做到了这一点吗?
它提升了 TPS。但它是通过提高硬件门槛、减少验证者数量、采用预选领导者机制来实现的。它的高吞吐量,不是“不牺牲去中心化的前提下获得的“,而恰恰是“以牺牲去中心化为代价换来的“。
这就像一个人通过截肢减轻了体重,然后宣布自己解决了肥胖问题。数字确实变了,但代价是你失去了一条腿。
两种截然不同的哲学
到此为止,我们已经从技术层面分析了 Solana 的架构选择。但更深层的分歧不在技术细节,而在设计哲学。
比特币的设计基于一个核心假设:秩序应该从竞争中自发涌现,而不是由某个权威来安排。
矿工们不是被分配了出块任务的“值班员“。他们是一群自利的经济人,在一个开放的竞技场上争夺每一个区块的排序权。谁能以最低的成本消耗最多的能量,谁就更有可能赢得下一个区块。这种竞争是无许可的——任何人可以随时加入或退出,不需要任何人的批准。出块权在每一个十分钟的周期里都被重新争夺,没有人享有永久的优势。
这种机制看起来“低效“——大量的能量被消耗在竞争中,最终只有一个矿工的区块被接受。但正是这种“低效“保证了排序权不会被任何人垄断。它是一种用能量换取去中心化的设计——效率低了,但安全高了,而且不依赖于任何参与者的善意。
Solana 的设计基于一个截然不同的假设:秩序应该被高效地安排和维护。
验证者是已知的实体,通过质押代币获得参与共识的资格。出块权按照时间表分配——系统知道接下来几天内每一个时间槽由谁出块。网络的性能通过对硬件的高要求来保障——验证者需要运行昂贵的专用服务器。当网络出现问题时,基金会协调验证者进行修复和重启。
这种设计的效率确实高。但它的逻辑,本质上是一种“受管理的秩序“——由已知的参与者、按照预定的规则、在中心化的协调下维护系统的运行。
序章中我们引用过白皮书的一段关键描述:
“Nodes can leave and rejoin the network at will, accepting the proof-of-work chain as proof of what happened while they were gone.”
“节点可以随意离开和重新加入网络,接受工作量证明链作为它们离开期间所发生事件的证明。”
比特币的节点可以随意来去。Solana 的验证者不能——如果你是当前时间槽的领导者却掉线了,这个时间槽就会被跳过,网络性能就会下降。系统的正常运行依赖于预选的验证者按时履职。
在比特币的世界观里,没有任何参与者是不可或缺的。在 Solana 的世界观里,预选的领导者是系统运转的必要条件。
这两种哲学的分歧,不是“哪种更好“的偏好问题。它们导向根本不同的系统属性:
一种系统的安全性来自物理世界的能量消耗——不受链上任何规则的管辖,不可被任何多数派投票推翻。
另一种系统的安全性来自内部代币的质押——如果足够多的质押者串通,规则本身就可以被修改。
一种系统在创建者消失后仍然可以永远运行——就像中本聪在 2011 年消失后比特币依然运转至今。
另一种系统在基金会停止运作的那一天,就面临着无法从下一次宕机中恢复的风险。
分布式系统的分类
让我们把视角拉高,看看 Solana 在分布式系统的谱系中处于什么位置。
在计算机科学中,“分布式系统“是一个宽泛的概念。任何由多台计算机协作完成任务的系统都是分布式系统。Google 的搜索引擎是分布式系统。亚马逊的云服务是分布式系统。你公司的内部数据库集群也可能是分布式系统。
分布式系统之间的差异,不在于“是否分布式“,而在于对参与者的假设。
传统的 BFT(拜占庭容错)系统——比如 PBFT——假设参与者集合是已知的、固定的。你需要事先确定有哪些节点参与共识,然后在这些节点之间运行投票协议。如果其中不超过三分之一的节点是恶意的,系统就能正确运行。
以太坊的 PoS 系统也假设参与者集合是已知的——验证者通过质押 ETH 来注册身份,系统知道有哪些验证者,并按权重分配出块权。
Solana 同样如此——验证者是已知实体,出块者按时间表预定,安全性依赖于三分之二质押多数的诚实假设。
比特币的 PoW 系统做了一个完全不同的假设:参与者集合是未知的、不断变化的。任何人可以随时开始挖矿,任何人可以随时停止。网络不需要知道有多少矿工、他们是谁、他们在哪里。系统的安全性不依赖于特定参与者的诚实,而依赖于一个经济学事实:诚实挖矿比作弊更赚钱。
| PBFT 等传统 BFT | 以太坊 PoS | Solana | 比特币 PoW | |
|---|---|---|---|---|
| 参与者 | 已知 | 已知 | 已知 | 任何人 |
| 出块者 | 预定 | 预定 | 预定 | 竞争产生 |
| 外部能耗 | 无 | 无 | 无 | 大量 |
| 宕机恢复 | 人工协调 | 社会共识 | 基金会协调 | 自动调整 |
前三列之间的差异是程度上的——参与门槛的高低、质押机制的细节、治理结构的形式。
它们与第四列之间的差异是性质上的。
比特币和前三者之间,存在一道不可逾越的鸿沟。Solana 在协议层是无许可的——任何人可以启动一个验证者节点加入主网。但有效参与共识的经济门槛极高,且活跃验证者集合是已知的、可枚举的。在比特币中,排序权通过消耗物理世界的能量来争夺——代价是外部的、不可逆的、不受链上规则管辖的。在 Solana(以及所有 PoS 系统)中,排序权通过质押内部代币来获得——代价是内部的、可逆的、受链上规则管辖的。
这不是程度的差异,是类别的差异。
Solana 是一个高性能的分布式数据库。它有出色的工程实现,有精巧的时钟机制,有令人印象深刻的吞吐量数字。但给分布式数据库加上一个代币,不会把它变成区块链——正如给一辆出租车加上一个计价器,不会把它变成一辆自动驾驶汽车。关键的区别不在于装备,而在于是否还需要一个司机。
真正的问题
整个 Part 1 的旅程走到了这里,一个更大的图景已经浮现。
第一章,我们看到了行业的碎片化——数百条链、数十种协议、无数座桥,用户在转一笔 USDT 时需要先搞清楚网络拓扑。这是多链世界的必然结果。
然后我们看到了 Layer 2 的虚假承诺、跨链桥的安全噩梦、PoS 系统的信任回归。每一个“解决方案“都制造了新的问题。每一次“创新“都在离中本聪的初衷越走越远。
而在本章,我们看到了一个最具代表性的案例:一个被誉为“区块链未来“的项目,在剥开所有的市场叙事之后,其核心架构竟然是一个需要基金会在 Discord 上协调重启的分布式数据库。
所有这些弯路,有一个共同的根源:它们都在试图用中心化的方法来解决去中心化的问题。
多链是因为单链不够用——但为什么不够用?因为以太坊的设计限制了吞吐量。为什么不直接扩大吞吐量?因为以太坊社区选择了 PoS 和分片的路径,而不是在 PoW 框架下的工程优化。Layer 2 是因为 Layer 1 太慢——但 Layer 2 引入了新的信任假设。跨链桥是因为资产被困在不同的链上——但桥本身就是一个可被攻击的信任中心。PoS 降低了能耗——但同时移除了安全机制。Solana 提升了 TPS——但代价是回归了中心化的架构。
一条弯路通向下一条弯路。每一个补丁都在创造下一个需要被补丁的漏洞。
问题不在于这些项目的工程师不够聪明——他们中的很多人极具才华。问题在于方向。当你走上了一条错误的路,走得越快,离目的地越远。
我们已经用了五章的篇幅,走遍了这个行业最主要的弯路。我们看到了碎片化的世界、断裂的桥梁、被稀释的共识、以及被伪装成区块链的分布式数据库。
这些弯路的共同之处在于:它们都偏离了一个原点。
那个原点是一篇九页的论文,发表于 2008 年 10 月 31 日,标题是《比特币:一种点对点的电子现金系统》。
现在,让我们回到源头,看看比特币到底是什么。
第六章:电子现金——一个被遗忘的定义
引子
2017年前后,类似的场景在媒体采访中反复出现。主持人问一位加密货币基金的创始人:“你能用一句话告诉我,比特币到底是什么?”
这位管理着数亿美元资产的基金经理沉默了几秒钟,然后说:“比特币是一种去中心化的数字资产,基于区块链技术,具有抗审查性和稀缺性,被广泛认为是数字黄金。”
主持人显然没有听懂。她追问:“所以它是货币?还是投资品?还是一种技术?”
基金经理的回答变得更加冗长,涉及了“价值存储“、“通缩模型”、“网络效应“和“梅特卡夫定律”。最后主持人礼貌地打断了他,转向下一个话题。
这个场景并非孤例。你可以在任何一场行业会议、任何一篇媒体报道、任何一个社交媒体帖子下面,看到对“比特币是什么“这个问题的无数种回答。数字黄金。加密货币。区块链的第一个应用。抗通胀资产。去中心化的支付网络。价值互联网的基础设施。每个人都有自己的版本,每个版本都包含一些事实,但没有一个版本触及了本质。
讽刺的是,这个问题的答案从一开始就写在那里——写在2008年那篇论文的标题上,明明白白,没有任何歧义:
Bitcoin: A Peer-to-Peer Electronic Cash System.
比特币:一种点对点的电子现金系统。
这个标题不是随意起的。它是中本聪对自己发明的精确定义。每一个词都经过了选择,每一个词都指向一个具体的设计意图。在过去的十几年里,行业发明了无数个新名词来描述比特币——加密货币、数字黄金、区块链资产——但没有哪一个比中本聪自己的定义更准确。
问题不在于这个定义太深奥、没有人能理解。问题在于它太简单了,简单到人们觉得它“不够用“,于是自作聪明地去寻找更复杂的解释。人们总是倾向于相信,一个改变世界的发明必须有一个复杂到难以理解的定义。但中本聪的天才之处恰恰在于简洁——用最少的词说最准确的话。
让我们回到这个被遗忘的定义,一个词一个词地读。
白皮书标题里的答案
Bitcoin:bit + coin
先看第一个词:Bitcoin。
这个词是两个英文单词的组合——bit和coin。Bit是信息的最小单位,一个二进制位,0或1。Coin是硬币,人类最古老的货币形态之一。把这两个词拼在一起:比特硬币——用信息技术实现的货币。
这不是一个巧妙的营销名称,而是一个精确的技术描述。
“Bit“这个词在计算机科学中有明确的含义。“Bit“一词通常归功于John W. Tukey于1947年提出,Claude Shannon在1948年的信息论奠基论文中将其正式写入学术文献——它是信息的基本度量单位。一个比特可以是0,也可以是1,仅此而已。所有的数字信息——文本、图片、视频、程序——归根结底都是比特的排列组合。当中本聪选择“bit“作为名称的一部分时,他明确地将自己的发明定位在数字信息的领域。比特币不是一个模糊的概念或一种文化运动,它首先是一个计算机科学的工程产物——用比特构建的、运行在计算机网络上的系统。
“Coin“这个词同样不是随意选择的。硬币是什么?硬币是你可以拿在手里、直接交给另一个人的东西。你不需要经过银行,不需要任何人的许可,不需要任何中间人。硬币的核心属性是直接的、点对点的可转移性。当中本聪选择“coin“而不是“credit”(信用)、“token”(令牌)或“asset“(资产)时,他强调的正是这种属性:比特币是可以像硬币一样直接从一个人传递给另一个人的东西。
白皮书第二节对此给出了精确的技术定义:
“We define an electronic coin as a chain of digital signatures. Each owner transfers the coin to the next by digitally signing a hash of the previous transaction and the public key of the next owner and adding these to the end of the coin.”
“我们将电子硬币定义为一条数字签名链。每一位所有者通过对前一笔交易的哈希和下一位所有者的公钥进行数字签名,并将签名附加到这枚硬币的末尾,来将硬币转让给下一位所有者。”
注意中本聪的措辞:“a chain of digital signatures”——一条数字签名链。一枚电子硬币不是一个余额数字,不是数据库中的一条记录,而是一条由连续的数字签名构成的链条。每一次转手,新的所有者的信息就被签名并附加到这条链上。这枚硬币的所有权历史,就刻写在它自身之中。
这个定义意味着什么?意味着比特币中的“钱“不是存储在某个中心服务器上的余额数字。它是一个可以被传递的对象——像一枚实体硬币一样,从一只手传到另一只手,每一次传递都留下了签名的印记。
这和你在支付宝或微信支付中看到的“余额“有着本质的不同。支付宝里的“100元“是什么?是一个数据库中的一条记录。支付宝的服务器上有一个字段写着“用户张三的余额=100“。当张三付款时,服务器修改两个字段——张三的余额减少,收款方的余额增加。钱从来没有“移动“过,变化的只是服务器上的数字。
但在比特币中,一枚“币“是一个真正可以被转移的东西。它有自己的历史——从被挖出的那一刻起,经过了哪些人的手,每一次转手都被密码学签名所记录。这种设计让比特币更接近于物理世界中的硬币,而不是银行数据库中的余额。(需要说明的是,这是白皮书中的概念化描述;在实际实现上,比特币采用的是UTXO模型,支付表现为花费旧输出并生成新输出,而非“同一枚硬币“沿着链条被整体传递。)
Peer-to-Peer:人对人
接下来看第二个关键词组:Peer-to-Peer,点对点。
在计算机网络的语境中,peer-to-peer通常被理解为一种网络拓扑结构:节点和节点直接通信,没有中心服务器。这个理解本身没有错,但它遗漏了中本聪使用这个词的真正意图。
白皮书摘要的第一句话是:
“A purely peer-to-peer version of electronic cash would allow online payments to be sent directly from one party to another without going through a financial institution.”
“一种纯粹的点对点电子现金系统,将允许在线支付从一方直接发送给另一方,而无需通过金融机构。”
请注意,这句话说的不是“从一个节点直接发送到另一个节点“,而是“from one party to another“——从一方到另一方。Party,是法律和经济学中的术语,更接近“交易当事方/主体“,强调的是交易关系,而非网络节点本身。
这个区分至关重要。
当人们说“比特币是一个P2P网络“时,他们想到的是BT下载、eDonkey这类文件共享协议——一堆计算机互相传输数据。这是对的,但只是技术实现层面的描述。中本聪说“peer-to-peer“时,他描述的是一种经济关系:两个人之间的直接交易,不需要经过任何中间人。
白皮书第一节进一步阐明了这个意图:
“What is needed is an electronic payment system based on cryptographic proof instead of trust, allowing any two willing parties to transact directly with each other without the need for a trusted third party.”
“我们需要的是一种基于密码学证明而非信任的电子支付系统,允许任何有交易意愿的双方直接进行交易,而无需一个可信的第三方。”
“Any two willing parties”——任何有交易意愿的双方。这是一种描述人与人之间关系的语言,不是描述机器与机器之间关系的语言。中本聪的目标从一开始就不是建造一个更好的网络协议,而是建造一种新的人际交易方式——一种不需要中间人的交易方式。
在传统金融体系中,你和咖啡店老板之间的一笔支付,实际上经过了至少三个中间环节:你的银行、支付网络(如Visa或银联)、以及咖啡店的银行。每一个中间环节都收取费用,每一个中间环节都有权拒绝或延迟你的交易,每一个中间环节都能看到你的交易数据。
比特币消除了对这些可信金融中介的依赖。你直接把钱给了对方,交易仍需经网络传播并获得确认,但不再需要银行或支付公司来做中间人。
这里有一个容易被忽视的深层含义。在传统的电子支付中,“支付“和“结算“是两个不同的过程。你在咖啡店刷卡,支付在几秒内完成,但结算——资金真正从你的银行转移到商家的银行——可能需要一天、两天甚至更久。在这个时间差里,实际上是中间机构在替你“担保“这笔钱会到账。如果中间机构出了问题,这笔钱可能永远不会到账。
而在比特币的点对点模型中,支付与结算合二为一。当一笔交易获得足够确认,价值的转移就具有了极高的最终性——没有单一中心机构可以像银行那样任意冻结或撤销已获得足够确认的交易。两个人之间的经济关系被大幅简化:你发送,我接收,确认完成后交易即告终结。
这就是“peer-to-peer“的真正含义——不是一种网络架构的描述,而是对人与人之间经济关系的重新定义。
值得注意的是,中本聪在白皮书中用了一个副词来修饰“peer-to-peer“——“purely”(纯粹的)。“A purely peer-to-peer version of electronic cash”——一种纯粹的点对点电子现金。为什么要强调“纯粹“?因为在中本聪之前,已经有过很多声称是“点对点“但实际上仍然依赖中心化环节的尝试。David Chaum的DigiCash/eCash依赖中心化发行方或银行——在线方案需要第三方验证,离线方案也仍然离不开中心化发行者。很多所谓的“P2P支付“应用,本质上只是在用户界面上隐藏了中间人的存在。中本聪用“purely“这个词明确划清了界限:比特币的点对点不是“差不多“的点对点,不是“大部分情况下“的点对点,而是彻底的、纯粹的、不存在任何中间环节的点对点。
Electronic Cash:电子现金
现在到了标题中最关键的两个词:Electronic Cash,电子现金。
不是electronic gold(电子黄金),不是electronic security(电子证券),不是electronic asset(电子资产),而是electronic cash——电子现金。
“现金“这个词在日常生活中太常见了,常见到我们几乎忘了它的精确含义。让我们重新审视它。
现金有三个核心属性,每一个都区别于其他所有支付方式。
第一,结算与支付的合一。 你把一百元纸币递给咖啡店老板,支付和结算在同一个动作中完成。不需要等待银行的确认,不需要T+1结算,不需要任何后续处理。钱离开你的手,进入他的手,交易结束。在比特币中,虽然交易需要经过网络传播和确认(最终性随确认数增加而增强),但它同样消除了传统金融中支付与清结算之间的漫长滞后期——不存在一个“结算日“让中间机构来最终交割资金。
第二,不可逆。 你把钞票递出去之后,不能打电话给某个机构要求把钱退回来。没有“撤销交易“这个选项。唯一的办法是对方自愿把钱还给你。这看似不方便,但正是这种不可逆性构成了现金交易的确定性——卖方收到钱之后,不用担心这笔钱会在三个月后因为“争议“被银行扣回去。
白皮书第一节专门讨论了这一点:
“Completely non-reversible transactions are not really possible, since financial institutions cannot avoid mediating disputes. The cost of mediation increases transaction costs, limiting the minimum practical transaction size and cutting off the possibility for small casual transactions.”
“完全不可逆的交易实际上是不可能的,因为金融机构无法避免调解纠纷。调解成本增加了交易费用,限制了最低实际交易规模,切断了小额临时交易的可能性。”
中本聪清楚地看到了现有电子支付系统的问题:因为交易可以被撤销,整个系统必须承担调解纠纷的成本。这个成本最终转嫁到每一笔交易上,导致小额交易在经济上不可行。而他设计比特币的目的之一,就是恢复现金交易的不可逆性:
“Transactions that are computationally impractical to reverse would protect sellers from fraud, and routine escrow mechanisms could easily be implemented to protect buyers.”
“计算上不可行的逆转交易将保护卖家免受欺诈,而常规的托管机制也可以轻松实现以保护买家。”
第三,持票人工具(bearer instrument)语义。 这是现金最深层的法律经济学含义。所谓持票人工具,也叫无记名工具,是指“谁持有它,谁就拥有它“。一张百元钞票不记名——不管它曾经属于谁,此刻在你手里,它就是你的。不需要银行确认,不需要身份验证,不需要任何第三方的承认。持有即拥有。
这和银行账户完全不同。你银行账户里的钱不是你“持有“的,是银行“替你保管“的。银行可以冻结它、扣押它、甚至在政府的命令下没收它。你对那笔钱的所有权,是通过银行这个中间人来实现的——如果中间人决定不配合,你的所有权就是一纸空文。
比特币恢复了持票人工具的语义。在常见的单签场景下,掌握对应私钥通常意味着能支配相关的比特币;更一般地说,控制权由能否满足其解锁条件决定(多签、时间锁等机制提供了更灵活的安排)。没有任何中间人可以冻结你的比特币,没有任何机构可以拒绝你的转账。这不是一个政治主张,这是数学和密码学的直接结果。
理解持票人工具语义,可以解释为什么白皮书在隐私模型上做了这样的设计。传统银行的隐私建立在“限制信息访问“上——只有银行和交易双方知道交易详情。但比特币选择了另一条路:交易本身是公开的,参与者通常呈现为化名式身份(pseudonymous),而非严格匿名——一旦地址与现实身份发生关联,历史交易就可能被追溯。这正是现金的逻辑。你在菜市场用现金买了一斤番茄,旁边的人可以看到有人买了番茄、付了多少钱,但他不知道买番茄的人是谁。比特币的隐私模型,本质上是对现金交易场景的数字化复现。
把这三个属性放在一起——支付与结算合一、不可逆、持票人工具——你得到的就是“现金“的完整定义。中本聪选择“electronic cash“这个词,不是因为它听起来好听,而是因为他的发明精确地实现了现金的这三个核心属性,只不过载体从纸张和金属变成了数字签名和工作量证明。
理解了“电子现金“的含义,你就能理解中本聪设计比特币时的核心优先级。他不是在设计一种投资品——投资品不需要即时结算。他不是在设计一种储值手段——储值手段不需要低摩擦的点对点转移。他是在设计一种可以在日常经济活动中被使用的支付工具——像纸币一样方便,但不需要任何中间人。
从这个角度回看白皮书第一节列举的那些问题——调解成本推高交易费用、小额支付不可行、商家被迫收集客户的多余信息——你会发现它们全都是支付场景中的摩擦。中本聪试图创造的不是一种新的资产类别,而是一种更高效的支付方式。“电子现金“四个字,精准地指向了这个目标。
还有一个经常被忽略的推论。现金是人类历史上存在最久的支付工具——从最早的贝壳和金属铸币,到今天的纸钞,现金已经在人类经济中运行了数千年。它的生命力来自于其极度的简洁性:不需要账户、不需要身份、不需要网络、不需要中间人。你拿着一枚硬币走进任何一家商店,不需要解释你是谁、从哪里来、为什么买东西。商家接受你的硬币,不是因为他信任你,而是因为他信任硬币本身。当中本聪选择“现金“作为他发明的定义时,他不是在追赶潮流,而是在回归一种经过了数千年验证的支付范式——然后用密码学和分布式计算,把这个范式搬到了互联网上。
System:一个完整系统
最后一个词:System,系统。
不是protocol(协议),不是network(网络),不是currency(货币),不是asset(资产),而是system——系统。
这个词的选择揭示了一个经常被忽略的事实:比特币不仅仅是一种货币,也不仅仅是一个网络协议。它是一个完整的系统——包括货币单位、交易机制、验证规则、激励结构、网络架构在内的一整套设计。
白皮书的结论部分这样总结:
“We have proposed a system for electronic transactions without relying on trust.”
“我们提出了一种不依赖信任的电子交易系统。”
一个系统,不是一个组件。你不能把比特币拆成零件然后只取其中一个——比如只要“区块链技术“不要工作量证明,或者只要“去中心化理念“不要具体的经济激励。这些组件是相互依存的:没有工作量证明,交易排序就没有安全保障;没有经济激励,矿工就没有理由消耗能量来维护网络;没有网络,电子现金就无法被传输和验证。
把比特币理解为一个系统,还意味着评价它的标准应该是系统性的。你不能只看它的交易速度,就像你不能只看一辆汽车的最高时速就判断它是不是好车——你还需要看它的安全性、可靠性、燃油经济性和维护成本。比特币每秒处理的交易数量确实不高,但它的系统目标从来就不是“最快“,而是“在不信任任何人的前提下,安全地结算价值“。
白皮书对这个系统的设计哲学有一个极其精炼的总结:
“The network is robust in its unstructured simplicity. Nodes work all at once with little coordination.”
“该网络以其非结构化的简洁性而具有强健性。节点同时工作,几乎不需要协调。”
“非结构化的简洁性”——这六个字几乎可以作为整个比特币系统的设计纲领。简洁不是简陋。比特币之所以强健,恰恰因为它没有复杂的分层架构、没有繁琐的协调协议、没有预设的角色分工。不同参与者遵循同一套共识规则,但承担的功能不同:全节点负责验证和中继,矿工负责出块与工作量证明,轻客户端负责简化验证。这种简洁性使得系统中没有可以被单独攻破的权力中枢——没有哪个角色拥有凌驾于规则之上的特权。
这也解释了为什么那些试图“改进“比特币的项目——添加智能合约层、引入分片机制、增设验证者角色——往往在增加复杂性的同时降低了系统的强健性。一个系统的每一个额外的组件,都是一个额外的故障点。中本聪的设计之所以能持续运行十几年并保持高可用——尽管历史上也出现过重大漏洞与分叉事故(如2010年的数值溢出漏洞和2013年的链分裂),并通过修复与协调恢复——不是因为它功能最丰富,而是因为它足够简洁,简洁到出错的空间极为有限。
六个词,一个完整定义
现在,让我们把标题的每个部分重新组合起来:
Bitcoin —— 用比特实现的硬币,数字世界中可以像实体货币一样流转的价值载体。
Peer-to-Peer —— 人对人直接交易,不经过任何中间机构。
Electronic Cash —— 具备支付与结算合一、不可逆、持票人工具语义的电子现金。
System —— 一个包含货币、协议、网络、激励的完整系统。
合在一起:比特币是一个让人们可以直接向彼此发送电子现金的完整系统,不需要经过任何金融中间人。
这就是中本聪的定义。六个英文单词,没有多余的修饰,没有模棱两可的空间。所有你需要知道的关于比特币“是什么“的答案,都在这个标题里。
仔细审视这个定义,你会发现一个有趣的事实:其中没有任何一个词提到了“去中心化“。尽管“去中心化“是比特币社区中使用频率最高的词汇之一,中本聪自己在标题中一个字都没用。为什么?因为去中心化是实现手段,不是目标本身。目标是“点对点的电子现金“——让人可以直接付钱给另一个人。去中心化是达成这个目标的技术路径之一,但它不是定义的一部分。当人们把“去中心化“本身当成目标,甚至当成一种意识形态来追求时,他们已经偏离了中本聪的本意。中本聪的出发点始终是务实的:我要解决一个具体的问题——在互联网上实现不需要中间人的现金交易。去中心化是通向这个目标的道路,不是目的地。
如果你在过去十五年里听到的关于比特币的描述——数字黄金、加密货币、区块链资产、投机工具——和这个定义不一致,那么错的不是这个定义,是那些描述。
这个结论可能让人不舒服。毕竟,“数字黄金“听起来比“电子现金“更宏大,“区块链革命“听起来比“点对点支付系统“更激动人心。但中本聪没有在写营销文案,他在写一篇技术论文。标题给出了最直接的原始自我定义,结合白皮书正文和后续实现来理解,这个定义的指向是清晰而一致的。让我们接下来看看,那些更“宏大“的描述,是如何一步步把人们引向误区的。
四个流行的错误
理解了白皮书标题的精确含义之后,让我们来清理四个最流行的、也最有害的对比特币的错误定义。这四个错误不是无害的术语偏差——每一个都系统性地扭曲了公众对比特币的理解,并直接催生了我们在Part 1中看到的种种歧路。
错误一:“加密货币”
打开任何一个财经新闻网站,比特币被归类在“加密货币“(cryptocurrency)板块下。这个词已经被使用了上万亿次,以至于没有人再去质疑它的准确性。
但“加密货币“这个中文译名容易让人误以为重点在加密隐藏。
Cryptocurrency中的“crypto-“来自cryptography(密码学),这是一个涵盖加密(encryption)、数字签名(digital signature)、哈希函数(hash function)等多个分支的大领域。比特币使用了密码学中的签名和哈希技术,但没有使用加密技术——比特币的交易是完全公开的。任何人都可以在区块链上看到每一笔交易的发送方地址、接收方地址和金额。在比特币的基础协议中,没有任何数据是为了防止被他人读取而进行“加密“处理的,一切都是为了验证有效性和不可篡改性。
更准确地说,比特币依赖的是密码学验证、公开账本和共识机制。数字签名的作用是证明身份和授权(“这笔交易确实是私钥持有者发起的”),哈希函数的作用是生成数据的唯一指纹(“这个区块的内容没有被篡改”)。两者都不涉及把信息“加密“起来让别人看不到。
白皮书对此说得很清楚:
“The public can see that someone is sending an amount to someone else, but without information linking the transaction to anyone.”
“公众可以看到有人正在向另一个人发送一笔金额,但没有将交易与任何人关联的信息。”
比特币的隐私模型不是“加密“,而是“化名“——交易本身是公开的,但交易者以公钥地址而非真实身份出现。这和加密是完全不同的概念。
这里有一个重要的术语辨析。密码学(cryptography)是一个大领域,包含加密(encryption)、数字签名(digital signature)、哈希函数(hash function)等多个分支。比特币使用了密码学中的签名和哈希技术,但没有使用加密技术。把“cryptography“缩写成“crypto“然后冠在“currency“前面,制造了一个暗示比特币“使用了加密“的名字——而事实恰恰相反,比特币的核心设计原则是公开透明,不是加密隐藏。
“加密货币“这个名字为什么有害?因为它把比特币归入了一个它不属于的类别。一旦比特币被称为“加密货币”,它就和以太坊、Solana、Dogecoin以及成千上万的其他代币归为一类——好像它们都是同一种东西的不同品牌。这就像把飞机和风筝归为“飞行器“——技术上没有错,但完全模糊了两者之间的本质差异。
比特币是一个通过工作量证明实现的、无需信任第三方的电子现金系统。以太坊是一个运行智能合约的分布式计算平台。Dogecoin是一个源自网络表情包的复制品。把它们放在同一个类别下,就像把心脏外科手术和贴创可贴都归类为“医疗行为“——技术上正确,但对于理解事物的本质毫无帮助。
错误二:“数字黄金”
“数字黄金“可能是比特币最流行的标签。它的逻辑听起来很有说服力:比特币总量有限(2100万枚),生产需要消耗能量(挖矿),随着时间推移产量递减(减半机制)——这些属性和黄金很像。所以比特币是“数字版的黄金”,对吗?
不对。至少中本聪从来没有这样定义过比特币。
白皮书中确实有一处提到了黄金:
“The steady addition of a constant of amount of new coins is analogous to gold miners expending resources to add gold to circulation. In our case, it is CPU time and electricity that is expended.”
“稳定地增加固定数量的新货币,类似于黄金矿工消耗资源将黄金加入流通。在我们的系统中,消耗的是CPU时间和电力。”
请注意中本聪的措辞:“analogous to”——“类似于”。这是一个类比,不是一个定义。中本聪用黄金矿工来类比比特币矿工,是为了帮助读者理解新币发行的机制,而不是在说比特币就是黄金。更关键的是,这段话的上下文是在讨论激励机制——如何让节点有动力支持网络——而不是在定义比特币的性质。
黄金的核心用途是什么?储存价值。你把黄金买来锁在保险柜里,期望它在十年后还能值那么多钱甚至更多。黄金不方便做支付——你不会拿金条去买咖啡。黄金的价值恰恰在于它的“不流动性“——它沉甸甸地待在那里,稳定而沉默。
但中本聪设计的比特币恰恰相反——它是为了流动而生的。白皮书从头到尾都在讨论“支付“(payment)、“交易”(transaction)、“转账”(transfer)。标题中的“electronic cash“——电子现金——是一种被设计来在人与人之间流转的东西,不是被设计来锁在保险柜里的东西。
白皮书第六节描述新币发行机制时说:
“This adds an incentive for nodes to support the network, and provides a way to initially distribute coins into circulation, since there is no central authority to issue them.”
“这为节点支持网络提供了激励,同时也提供了一种将货币初始分配到流通中的方式,因为不存在发行货币的中央机构。”
“Into circulation”——进入流通。中本聪明确地将新币发行视为向经济体注入流通性的过程,而不是创造一堆可以被囤积起来等增值的“数字金锭“。
“数字黄金“叙事的最大危害在于,它从根本上改变了人们对比特币的使用方式。如果比特币是黄金,那么正确的做法就是买入并持有——永远不要花掉它。这与“HODL“文化相互强化。HODL最初来自2013年Bitcointalk论坛上一个名为GameKyuubi的用户的醉酒帖子(他把“hold“拼成了“hodl”),后来被解释为“Hold On for Dear Life“(死命持有),并成为整个比特币社区最核心的信条之一。
但想一想:如果每个人都在HODL,没有人在花费比特币,那么比特币作为一个支付系统的价值从何体现?一种没有人使用的“货币“,还算是货币吗?
货币的生命力在于流通。一张百元钞票的价值不在于它被锁在抽屉里,而在于它在经济体中不断换手——从你的手到咖啡店老板的手,从咖啡店老板到咖啡豆供应商的手,从供应商到种植园工人的手。每一次换手都促成了一次真实的经济交换,创造了真实的价值。
当一个社区的核心信条是“永远不要花掉比特币“时,它实际上是在对中本聪的设计意图做一百八十度的逆转。中本聪设计比特币不是为了创造一种新的囤积物,而是为了创造一种新的交易媒介——一种可以让互联网上的陌生人直接进行经济交换的工具。
从经济学的角度看,HODL文化还制造了一个自我矛盾的循环。如果所有人都HODL,没有交易发生,那么矿工的手续费收入就趋近于零。而白皮书明确设计了一个从区块奖励向交易手续费过渡的激励模型:
“Once a predetermined number of coins have entered circulation, the incentive can transition entirely to transaction fees and be completely inflation free.”
“一旦预定数量的货币进入流通,激励就可以完全过渡到交易手续费,从而完全没有通货膨胀。”
如果没有人花费比特币,交易手续费就不存在。如果手续费不存在,矿工就失去了维护网络的经济动力。如果矿工停止工作,网络的安全性就会下降。换言之,如果交易活动长期不足,可能削弱手续费市场并加剧安全预算的不确定性——这一点在学界和社区仍有争论。但比特币的安全模型在长期依赖于人们使用它进行交易——这不是一个可选项,而是系统设计的内在要求。
错误三:“区块链技术”
2015年前后,“区块链“这个词突然火了。不是比特币火了——比特币当时正处于低谷。火的是“区块链“作为一种独立的技术概念。
突然之间,所有人都在谈论“区块链“。银行说要用区块链来提高结算效率。供应链公司说要用区块链来追踪货物。政府说要用区块链来防止选举舞弊。医疗机构说要用区块链来管理病历。每一个行业都在研究“区块链+X“的可能性。
一个短语开始频繁出现在媒体和会议上:“Blockchain, not Bitcoin”——要区块链,不要比特币。
这句话暴露了一个根本性的误解。
区块链是什么?在白皮书中,中本聪从未使用过“blockchain“这个词——他用的是“chain of blocks“(区块的链条)或“proof-of-work chain“(工作量证明链)。它不是一种独立的技术,而是比特币系统中的一个组成部分——具体来说,它是工作量证明的输出物,是矿工消耗能量后产生的、带有时间戳的交易记录。
把区块链从比特币中剥离出来,就像把发动机从汽车中拆出来,然后宣称“发动机技术“可以革命一切——造飞机、造船、造电梯。发动机当然可以用在很多地方,但脱离了汽车这个系统,单独谈论发动机的“革命性“是无意义的。发动机需要变速箱、传动系统和车轮才能驱动汽车;同样,区块链需要工作量证明、经济激励和点对点网络才能实现其安全保障。
那些脱离了工作量证明的“区块链“——无论是企业联盟链还是权益证明公链——本质上只是分布式数据库的变体。它们可能有自己的价值,但那个价值和中本聪发明的区块链完全不是一回事。我们在第五章已经详细分析了这一点。
“Blockchain, not Bitcoin“这个口号的流行,还有一个更深层的原因:它让传统机构可以“接受“区块链技术而不必触碰比特币带来的颠覆性含义。银行可以成立“区块链实验室“来展示创新姿态,而不必面对比特币对其中间人角色的根本挑战。企业可以发布“区块链白皮书“来吸引投资者的注意,而不必解释为什么一个中心化的数据库不能做同样的事。“区块链“成了一块遮羞布,让每个人都能声称自己参与了技术革命,同时完美地回避了革命的核心内容。
把比特币定义为“区块链技术“,就像把电灯定义为“灯泡技术“——你抓住了一个可见的组件,却忽略了让这个组件真正发挥作用的整个系统。灯泡离开了电力网络就是一个玻璃球。脱离工作量证明和开放竞争后,区块链的安全模型更接近带权限控制的分布式数据库,而非比特币式的无许可结算系统。
错误四:“投机品”
最后一个错误也许是最直接的:比特币是一种投机品。买入的唯一目的是等价格上涨后卖出。它没有“内在价值“,它的价格完全由市场情绪驱动,它是本世纪最大的泡沫。
这个判断在描述比特币市场的某些表现时并非全无道理。比特币的价格确实经历了极度的波动——从几美分涨到几万美元,中间穿插着多次80%以上的回撤。有大量的人参与比特币交易纯粹是为了投机获利。在这个意义上,说比特币市场存在投机行为,是一个事实陈述。
但把比特币定义为投机品,是把市场的早期表现和事物的本质混为一谈。
任何一种新出现的资产,在价格发现的早期阶段,都必然伴随剧烈的波动。美国股市在19世纪的波动程度不亚于今天的比特币。石油在20世纪初从少有人问的粘稠液体变成工业文明的血液,其间的价格波动同样惊心动魄。波动不是投机品的标志,而是市场对一种新事物进行价格发现的必然过程。
更关键的是,价格波动是一个市场现象,不是一个设计特性。中本聪设计比特币时,没有任何一行代码是为了让价格波动的。协议中没有“涨跌停板“的概念,没有“市场操纵“的机制,也没有“投机激励“的设计。价格波动完全是外部市场参与者的行为结果——买的人多了就涨,卖的人多了就跌。这和比特币系统本身的设计意图无关。
一个类比可能有助于理解这一点。互联网在1990年代也经历了疯狂的投机泡沫——大量互联网公司的股价被炒到天价,然后在2000年的“网络泡沫“中崩盘。但没有人因为互联网曾经被投机炒作,就把互联网定义为“投机品“。互联网是一个通信基础设施,它被投机是因为人们对其未来价值的预期存在巨大分歧,而不是因为互联网本身被设计来用于投机。比特币的情况完全相同。
白皮书从头到尾没有一个词提到“价格“、“价值存储“或“投资回报”。中本聪描述的是一个支付系统——一种让人们可以直接交易的工具。一把锤子被人拿去砸核桃,不代表锤子是核桃夹子。比特币被人拿去投机,不代表比特币是投机品。
白皮书的第一节就明确描述了比特币要解决的问题:交易成本太高,小额支付不可行,交易可逆性带来的信任成本太大。这些都是支付系统面临的问题,不是投资市场面临的问题。中本聪试图解决的是一个经济基础设施的效率问题——如何让全球任何两个人之间的价值交换变得像发一封电子邮件一样简单和廉价。
“With the possibility of reversal, the need for trust spreads. Merchants must be wary of their customers, hassling them for more information than they would otherwise need.”
“由于存在交易撤销的可能性,对信任的需求不断扩散。商家必须对客户保持警惕,向他们索取本不需要的额外信息。”
中本聪关心的是商家和客户之间的信任摩擦,不是交易所的K线图。
把比特币定义为投机品的真正危害在于:它让人们完全忽略了比特币作为支付系统的能力。当所有的注意力都集中在价格曲线上时,没有人在讨论比特币如何降低跨境汇款的成本,如何让没有银行账户的人参与全球经济,如何为小额支付提供一个低摩擦的渠道。价格叙事吸走了房间里所有的氧气,留给“电子现金“叙事的空间几乎为零。
四个错误,四种偏离。“加密货币“模糊了比特币与其他代币的本质差异。“数字黄金“扭曲了比特币的使用方式——从流通变为囤积。“区块链技术“把比特币肢解成组件,丢掉了系统的整体性。“投机品“把市场行为误认为设计意图,让人们对比特币作为支付工具的能力视而不见。
每一个错误都不是无中生有的——它们各自捕捉了比特币的某个侧面。比特币确实使用了密码学技术,确实具有某些类似黄金的稀缺属性,确实包含了区块链这个组件,确实经历了价格波动。但把侧面当成本质,把表象当成定义,就像盲人摸象——每个人都认为自己摸到了大象,但没有人看到完整的画面。
这四个错误的流行不是偶然的。它们分别服务于不同群体的利益。“加密货币“这个标签让数千个项目可以声称自己与比特币属于同一物种,搭上比特币的便车融资。“数字黄金“叙事让华尔街的基金经理可以用传统的资产配置框架来销售比特币产品。“区块链技术“让企业和政府可以拥抱比特币的外壳而回避其内核。“投机品“叙事则给了批评者一个简便的理由,不必深入理解比特币就可以直接否定它。每一个错误标签的背后,都站着一群受益者。
但受害者只有一个:中本聪的原始设计意图。
完整的画面,从一开始就写在标题上:Bitcoin: A Peer-to-Peer Electronic Cash System.
小结
比特币是什么?答案不需要搜索引擎,不需要行业分析师,不需要数百页的研究报告。答案写在2008年那篇论文的标题里——一种点对点的电子现金系统。这几个英文单词,每一个都经过精心选择,共同构成了中本聪对自己发明的完整定义。
这个定义在过去十几年里被层层叠叠的新词汇所掩盖——加密货币、数字黄金、区块链资产、Web3基础设施。但无论市场怎样重新包装它,白皮书标题中的定义从未改变,也不需要改变。它是比特币最坚固的定义锚点:如果你对比特币的理解与这个标题不一致,那不是定义过时了,而是你的理解偏离了。在接下来的每一章中,我们都会反复回到这个锚点——用它来检验每一个关于比特币的论断是否站得住脚。
定义清楚了,地基就稳了。接下来的问题是:这个系统到底是如何运作的?一笔交易从发起到确认,经历了怎样的旅程?在下一章中,我们将跟随一笔比特币交易的完整生命周期,从内部看清这台精密机器的运转方式。
第七章:交易——产权转移的数字表达
引子
在中国农村的一些地方,至今还保留着一种古老的土地交易方式。
买卖双方坐在桌前,卖方拿出一张旧契约——上面写着这块地是谁卖给他的、什么时候、多少钱。然后他在这张契约的末尾写下新的内容:某年某月某日,本人将此地转让给某某,价格若干。写完之后,双方签字,中间人签字,按上指印。从此,这张纸就归买方持有。
下一次这块地再被转让时,新的买家不需要去查什么“土地登记数据库“。他只需要展开这张纸,从头到尾读一遍——每一次转手都写在上面,每一次都有签字和指印。这条从最初到最新的转让链条,就是产权的全部证明。纸可能会发黄,字迹可能会褪色,但只要签字和指印还能辨认,在当地民间交易的语境中,这张契约就是一份强有力的凭证。
这种契约方式在现代人看来原始而笨拙,在现代法律体系下也并不等同于法定登记证明。但它有一个今天的电子支付系统不具备的优点:产权的证明不依赖任何第三方机构。不需要房管局的数据库,不需要银行的确认,不需要任何中间人的背书。那张纸本身就是凭证,签名链本身就是产权链。
2008年,中本聪在设计比特币的交易机制时,选择了一种在本质上与这张土地契约惊人相似的结构。他没有选择银行的做法——维护一个中心化的账本,交易就是修改账本上的数字。他选择了一种更古老、更根本的方式:让“钱“本身成为一个可以被传递的对象,让产权的证明刻写在对象自身之上。
上一章我们明确了比特币的定义——点对点的电子现金。这一章,我们打开这台机器的引擎盖,看看“钱“在比特币中到底是如何从一个人的手里转移到另一个人手里的。
硬币铸造术:UTXO 模型的精妙设计
一枚电子硬币的真实面貌
白皮书第二节开宗明义:
“We define an electronic coin as a chain of digital signatures. Each owner transfers the coin to the next by digitally signing a hash of the previous transaction and the public key of the next owner and adding these to the end of the coin.”
“我们将电子货币定义为一条数字签名链。每一位所有者通过对前一笔交易的哈希和下一位所有者的公钥进行数字签名,并将签名附加到这枚货币的末尾,来将货币转让给下一位所有者。”
这段定义是理解比特币交易机制的钥匙。让我们一个词一个词地拆解。
“A chain of digital signatures”——一条数字签名链。一枚比特币不是一个余额数字,不是数据库中的一行记录。它是一个有历史的对象。从它被创造的那一刻起,每一次转手都通过一笔新的交易来完成,新交易引用前一笔交易的输出,并附上持有者的数字签名。这些交易通过引用关系首尾相连,构成一条可追溯的链条——谁创造了它,谁传递给谁,全部记录在案。时间顺序则主要由区块确认来近似锚定。
这和你钱包里的纸币有一个根本性的相似之处:它是一个可以被传递的独立对象。你把一枚硬币从左手放到右手,硬币还是那枚硬币。你把它递给面前的人,硬币从你的手里消失了——不是因为某个数据库修改了你的“余额“,而是因为物理对象离开了你的控制。更重要的是,这枚硬币自身就携带着所有必要的信息:它的面值写在上面,它的真伪可以通过物理特征来鉴定。它不需要“联网查询“才能证明自己是真钱。
比特币的交易机制模拟的正是这种物理传递的逻辑。在比特币的术语中,这些“电子硬币“有一个技术名称:UTXO,即 Unspent Transaction Output——未花费的交易输出。在 Bitcoin Core 的实现中,这个 UTXO 条目的类名更加直白:Coin,硬币。
消费旧硬币,铸造新硬币
理解UTXO模型的关键在于理解一句话:比特币中不存在“转账“这个操作。
这听起来不可思议——比特币不就是用来转账的吗?准确地说,比特币中的每一笔交易不是“从A的余额中扣除一笔钱,加到B的余额上“。它做的事情完全不同:销毁一组旧的硬币,同时铸造一组新的硬币。
用一个具体的例子来说明。
假设张三有一枚面值为50的UTXO(一枚50元的电子硬币)。他要付给李四30元。交易过程如下:
- 张三拿出那枚面值50的硬币作为输入(input)——这枚硬币将被销毁。
- 交易产生两个输出(output):一枚面值30的新硬币归李四,一枚面值20的新硬币归张三自己(找零)。
- 两个输出之和(30+20=50)等于输入(50)。如果输出总额小于输入总额,差额就是隐含的交易手续费,由出块矿工在该区块的创币交易(coinbase transaction)中领取。
交易完成后,那枚原始的面值50的UTXO不再存在——它已经被“花费“了,从此在比特币网络的记录中被标记为已消费。取而代之的是两枚全新的UTXO:一枚30归李四,一枚20归张三。
注意这个过程的对称性:没有任何“余额“被修改。没有任何“账户“被读取或更新。发生的只是一件事——旧硬币被销毁,新硬币被创造。每一枚新硬币都是一个全新的、独立的对象,它携带着自己的面值和使用条件,与网络中其他所有硬币完全无关。
白皮书第九节对此做了进一步说明:
“Although it would be possible to handle coins individually, it would be unwieldy to make a separate transaction for every cent in a transfer. To allow value to be split and combined, transactions contain multiple inputs and outputs.”
“虽然可以逐一处理每枚货币,但为每一分钱的转账都创建一笔单独的交易将非常笨拙。为了允许价值的分割和合并,交易包含多个输入和输出。”
一笔交易可以有多个输入(消费多枚旧硬币),也可以有多个输出(铸造多枚新硬币)。这就像你用一张50元纸币和两张20元纸币(三个输入,总额90元)去买一件80元的商品,收银员给你一件商品和一张10元纸币(两个输出——80元归商家,10元找零归你)。旧纸币被收走,新纸币被发出,但总金额保持平衡。
这种“消费+铸造“的机制,使得比特币中的价值可以被任意分割和合并。一枚面值100的UTXO可以被拆成十枚面值10的;反过来,十枚面值10的也可以被合并成一枚面值100的。灵活性完全不逊于实体货币——甚至更强,因为比特币的UTXO没有固定面额的限制,金额以 satoshi(一亿分之一比特币)为最小整数单位,在此精度范围内可以任意分割和组合,只要总账平衡。
交易即法律行为
理解了UTXO的机制之后,我们需要上升一个层次来审视它的含义。
一笔比特币交易不仅仅是一个技术操作。在形式结构上,它与一份产权转让协议惊人地相似——一个近乎不可逆的产权转移事件。
想想现实世界中的产权转移是如何发生的。你卖一辆车,需要签一份转让协议。协议上写着:甲方将某某牌照的车辆转让给乙方,转让价格为若干。双方签字,协议生效。从此,这辆车在法律上属于乙方。甲方不能事后反悔说“我没签过“——因为签名在那里,白纸黑字。
比特币交易的结构与此高度类似。每一笔交易就是一份数字化的产权转让声明。它声明:持有人将某些UTXO的控制权转让给新的所有者。这份声明由持有人的数字签名来授权,一旦被网络确认,就近乎不可逆转。
更准确地说,一笔比特币交易在形式结构上具备了与产权转让协议类似的要素:主体可辨识(通过公钥或脚本条件标识的交易双方)、意思表示可验证(通过数字签名证明交易确实由私钥持有者授权)、标的确定(具体哪些UTXO被花费、新的UTXO面值多少、归谁所有)、符合协议规则(输入总额不小于输出总额、签名有效、UTXO未被重复花费)。当然,这种结构上的相似不自动等于现实法律上的效力——法律行为还涉及真实身份确认、意思自由、合法合规等要件——但在协议层面,比特币交易已经以密码学方式满足了自身规则体系内的全部验证条件。
白皮书第一节明确指出了这种不可逆性的重要性:
“Transactions that are computationally impractical to reverse would protect sellers from fraud, and routine escrow mechanisms could easily be implemented to protect buyers.”
“计算上不可行的逆转交易将保护卖家免受欺诈,而常规的托管机制也可以轻松实现以保护买家。”
在传统金融体系中,交易的可逆性——信用卡的退款机制、银行转账的撤销流程——被视为消费者保护的手段。但中本聪看到了硬币的另一面:可逆性对卖家来说是一种系统性风险。任何交易都可能在事后被撤销,意味着商家永远无法确定一笔交易是否真正完成。这种不确定性不仅增加了信任成本,还让小额交易在经济上变得不划算——因为每一笔交易都必须为潜在的纠纷调解预留成本。
比特币交易的近乎不可逆性,本质上是在模拟物理世界中现金交易的终结性(finality)。确认数越多,逆转交易所需的计算成本越高、概率越低——白皮书原文的措辞是“计算上不可行的逆转“(computationally impractical to reverse),这是一种概率型终局性,而非数学上的绝对不可逆。但在工程实践中,经过足够确认的交易通常被视为最终的——没有“退款“按钮,没有30天的争议期,没有第三方仲裁。这种终结性不是缺陷,而是特性。它是商业活动中最古老、最可靠的交易形式的数字化重现。
数字签名:不是密码,而是签署
在UTXO模型中,数字签名扮演着至关重要的角色。但很多人对“数字签名“的理解是错误的——他们把它等同于“密码“或“口令“。
密码是什么?密码是一个只有你知道的秘密。你输入密码来证明“我是我“。但密码有一个致命缺陷:它依赖共享秘密。你知道密码,验证方也持有密码的哈希值或其他验证材料。如果验证方的数据库被泄露,你的密码就面临暴露风险。更重要的是,密码只能证明身份,不能证明意图——你输入密码可能是要登录,可能是要转账,可能是误操作,密码本身不携带任何关于“你想做什么“的信息。
数字签名完全不同。
数字签名是一种基于公钥密码学的签名机制。你有一把私钥(只有你知道)和一把公钥(所有人都可以知道)。当你要授权一笔交易时,你用私钥对交易的关键内容进行签名。这个签名有三个特性:
第一,它证明了你的身份。只有持有对应私钥的人才能产生与公钥匹配的签名。
第二,它绑定了你的意图。签名不是对一个空白文档的签署,而是对这笔具体交易的签署。签名会绑定其承诺的关键交易字段(具体范围由 SIGHASH 类型决定),篡改这些字段中的任何内容都会使签名失效。这意味着签名者不能说“我签了字但我不是要授权这笔转账“——你的签名与你同意的交易内容是密码学绑定的。
第三,它可以被任何人验证,但不能被任何人伪造。公钥是公开的,任何人都可以用公钥来验证签名的有效性,但没有私钥,任何人都无法伪造一个有效的签名。
这三个特性组合在一起,使得数字签名在法律意义上等同于——甚至优于——传统的手写签名。一个手写签名可以被伪造、可以被否认。但一个数字签名是密码学可验证的:要么私钥持有者确实签署了这笔交易,要么签名无效。没有中间地带。
在比特币的语境中,数字签名就是产权转移的授权机制。你不是输入一个“密码“来“解锁“你的比特币——你是签署一份产权转让声明,声明你同意将特定的UTXO转移给特定的接收者。这种“签署“行为的法律含义与在一份合同上亲笔签名完全一致:一旦签署,就代表了签署者的真实意思表示。
锁与钥匙:脚本的优雅
UTXO模型中还有一个精妙的设计:每一枚UTXO都携带着自己的使用条件。
在比特币中,这些条件被编码在两段脚本中:锁定脚本(也叫输出脚本或scriptPubKey)和解锁脚本(也叫输入脚本或scriptSig)。为便于理解,这里先用传统的 scriptPubKey/scriptSig 模型讲解;在现代比特币交易中(如 SegWit 和 Taproot),花费证明也可能位于独立的 witness 数据区。
锁定脚本附着在UTXO上,规定了“谁有权花费这枚硬币“。经典的锁定条件如 P2PKH(Pay-to-Public-Key-Hash):提供与某个公钥哈希对应的有效签名。但锁定条件远不限于此——脚本系统被刻意设计为无状态、非图灵完备,但仍可编码多种有限的条件。
解锁脚本则在花费UTXO时提供,它必须满足锁定脚本中设定的条件。如果解锁脚本能让锁定脚本的验证通过,这枚UTXO就可以被花费。如果不能,交易无效。
用物理世界的类比来理解:每枚UTXO就像一个保险箱,锁定脚本是保险箱上的锁,解锁脚本是打开锁的钥匙。制造保险箱的人(即创造这枚UTXO的上一笔交易的发起者)决定了装什么样的锁——是一把简单的钥匙锁(最常见的“支付到公钥哈希“模式:只需提供对应的公钥和签名),还是一个需要两把钥匙才能打开的双重锁(多重签名:比如三个合伙人中至少两个签字才能动用公司的资金),或者一个需要在特定时间之后才能打开的定时锁(时间锁:资金在某个区块高度之前不能被花费,可以用来实现遗嘱、分期付款等逻辑)。只有拿着正确钥匙的人,才能打开保险箱,取走里面的价值,然后铸造新的硬币。
这种设计的威力在于:锁的条件是由创造UTXO的人定义的,而不是由协议全局规定的。发送方在创造一枚UTXO时,实际上是在为这枚硬币定制一套专属的使用规则。这意味着比特币的交易条件不是千篇一律的“输入密码即可转账“,而是可以为每一枚硬币量身定制的程序化合约。每枚硬币都携带着自己的“法律条文“——什么条件下可以被花费,由锁定脚本一锤定音。
这个设计的优雅之处在于:每枚UTXO是自包含的。 它的使用条件刻写在自身之上,不引用任何外部状态。验证一枚UTXO是否可以被花费,核心上要检查:这枚UTXO是否存在且未被花费过,提供的解锁脚本是否满足锁定条件,同时还需满足金额守恒、锁定时间和其他协议规则。但关键在于:不需要查询任何“账户余额“,不需要读取任何“全局状态树“,不需要与网络中其他无关的UTXO发生交互。
这种自包含性是UTXO模型最深刻的架构优势之一。我们将在接下来的架构对比中进一步展开这一点。
产权链:不可断裂的历史
现在,让我们把前面所有的组件组合在一起,看看一个更宏大的图景。
每一枚比特币都有一条完整的历史——从它被创造的那一刻起,直到它当前的持有者。
这条历史始于一笔特殊的交易:创币交易(coinbase transaction)。白皮书第六节描述了它:
“By convention, the first transaction in a block is a special transaction that starts a new coin owned by the creator of the block.”
“按照惯例,区块中的第一笔交易是一笔特殊交易,它创造一枚新的货币归区块创建者所有。”
每一个区块的第一笔交易,就是一笔创币交易。它不消耗任何现有的UTXO——或者更准确地说,它的输入不是对之前交易输出的引用,而是一个特殊的“创币输入“(coinbase input),代表了货币从协议预设规则中“无中生有“的过程。它的输出是一枚或多枚全新的UTXO,归出块者所有。这是比特币唯一的“发行“方式。每一枚在网络中流通的比特币,最终都可以追溯到某个区块中的某笔创币交易。
从创币交易开始,这枚硬币每被转手一次,就经历一次“销毁+铸造“的过程。旧的UTXO被消费,新的UTXO被创造。但新UTXO的交易记录中保留着一个指向旧交易的引用——就像那张土地契约上每一次转手都写在前一次的下面。
如此一来,从创币交易到最新的持有者,每一步转移都被数字签名所记录、所证明。这就是白皮书所说的“a chain of digital signatures“——数字签名链。任何人都可以沿着这条链向回追溯:这枚硬币是谁创造的?什么时候创造的?经过了谁的手?每一次转移是否有合法的签名授权?每一步都公开透明、密码学可验证。
值得注意的是,白皮书第九节还指出了一个容易被忽略的要点:
“It should be noted that fan-out, where a transaction depends on several transactions, and those transactions depend on many more, is not a problem here. There is never the need to extract a complete standalone copy of a transaction’s history.”
“值得注意的是,扇出问题——即一笔交易依赖于多笔交易,而那些交易又依赖于更多交易——在这里不是问题。永远不需要提取一笔交易的完整独立历史副本。”
这句话的含义是:对于一个已经同步完成的节点来说,验证当前交易不需要实时回溯整条历史链。因为每一笔进入UTXO集合的硬币,都已经由网络在之前的区块中完成了追根溯源的验证。节点只需维护一个实时的“未花费硬币清单“(UTXO Set),即可实现快速的交易验证。当然,一个全新的节点从零启动时(即“初始区块下载“,IBD),仍然需要从创世区块开始完整验证全部历史,以建立可信的UTXO集合。但一旦同步完成,后续的交易验证就不再需要重复这个过程。这是一种优雅的效率设计——历史验证的工作量被分摊在过去,而不是在每次交易时重复承担。
这就是一条完整的产权链(chain of ownership)。它的可靠性不依赖任何第三方机构——不需要央行来确认你的比特币是“真的“,不需要银行来证明你是合法持有者。数字签名链本身就是产权的全部证明,正如那张从村口传到村尾的土地契约一样。
白皮书第二节对此做出了精确表述:
“A payee can verify the signatures to verify the chain of ownership.”
“收款方可以通过验证签名来验证所有权链。”
收款方——也就是交易的对手方——不需要信任付款人的自我声明,不需要查询某个中心数据库,只需要验证签名链。签名链完整且有效,产权就是合法的。这是一种纯粹基于密码学证明的产权验证机制。
把这个概念放在更宏观的视角下审视:传统金融体系中,产权的确认依赖于一个层层嵌套的信任结构。你相信银行的账本是对的,银行相信央行的清算系统是对的,央行相信会计审计是可靠的。链条中的任何一环出问题,产权的确认就会动摇。而在比特币中,产权链是自证的——不依赖于任何外部机构的信誉,主要依赖密码学证明、共识规则和公开可验证的链上历史。密码学不会倒闭,不会被收买,不会在周末休息。
为什么不存在“比特币余额“
理解了UTXO模型之后,一个常见的困惑可以被解开:为什么比特币钱包里显示的“余额“不是你实际拥有的比特币?
严格来说,比特币协议层面不存在“余额“这个概念。
你的“余额“只是你的钱包软件为了方便显示,把所有属于你的(即你持有私钥的)未花费UTXO的面值加在一起得出的一个数字。就像你把口袋里所有的硬币和纸币加在一起,说“我身上有247元“——这个“247元“不是存在于任何地方的一个数字,它只是你手里那些纸币和硬币面值的总和。
如果你有三枚UTXO,面值分别是0.5、0.3和0.2,你的钱包会显示“余额1.0“。但在协议层面,不存在一个叫做“1.0“的东西。存在的是三枚独立的硬币,散落在区块链的不同位置上,唯一的共同点是它们的锁定脚本(scriptPubKey)都对应你控制的私钥。当你要发起一笔0.7的支付时,钱包会自动选择用哪些硬币来凑够这个数——也许用0.5和0.3(总计0.8),然后找零0.1归你自己。这个选择过程叫做“币的选择“(coin selection),完全由钱包软件在本地完成,与比特币网络无关。
这不是一个无关紧要的技术细节。它揭示了UTXO模型和账户模型在最底层的哲学差异:UTXO模型中,“钱“是具体的对象;账户模型中,“钱“是抽象的数字。 前者你是持有者,后者你是债权人。前者你的财富证明在你自己手里,后者你的财富证明在别人的数据库里。这个差异的后果,远比表面看起来要深刻得多。
伪直觉的陷阱:UTXO模型常见误解
“账户模型更自然”
这可能是关于UTXO最流行的误解:账户模型更直觉、更简单,UTXO模型是一种不必要的复杂化。
持这种观点的人通常会说:我每天用银行账户,很好理解——账户里有多少钱就是多少钱,转账就是从一个账户扣、另一个账户加。为什么比特币要搞出UTXO这么复杂的东西?
这种“直觉“是被现代金融体系塑造出来的,而不是天然的。
事实上,在人类几千年的货币史中,“账户“是一个相对晚近的发明。在纸币和硬币的时代——占据了人类货币史的绝大部分——人们使用的就是UTXO模型。你口袋里有三张十元、两张五元和五个一元硬币,总共45元。你买一杯15元的咖啡,掏出两张十元,收回一张五元。旧纸币被“花费”,新纸币(找零)被“铸造“。没有任何“账户“被修改,没有任何“余额“被更新。
银行账户的出现——一个中心化机构为你记录一个余额数字——是近代金融基础设施发展的产物。它确实很方便,但它带来了一个隐含的前提:你必须信任那个记账的人。你的“余额“不是你持有的东西,而是银行欠你的债。如果银行说你的余额是0,你手里没有任何“东西“可以证明它错了。
UTXO模型把“钱“还原为一种可以被持有的对象,而不是依赖于某个机构的账面记录。在这个意义上,UTXO不是比账户模型更复杂,而是更原始、更根本——它回到了货币的本来面目。
所谓“账户模型更自然“,其实是“银行更自然“的另一种说法。如果你认为货币的天然存在形式就是银行数据库中的一行记录,那账户模型确实很自然。但如果你回到货币的第一性原理——一种可以在人与人之间直接传递的价值载体——UTXO才是忠实于这个原理的设计。中本聪创造的是“电子现金“,不是“电子银行账户“。选择UTXO模型,正是这个定义在技术层面的自然延伸。
“UTXO就是比特币的技术实现细节”
另一种常见的说法是:UTXO只是一种底层的技术实现方式,对普通用户来说无关紧要。反正钱包软件会把一切处理好,用户看到的还是一个“余额“数字。
这种说法忽略了一个关键事实:数据结构的选择决定了系统的根本属性。
在第三章中,我们详细分析了UTXO模型与账户模型的对比。这里我们从交易的角度做一个简要的回顾,因为这些属性直接关系到比特币作为支付系统的能力。
自包含性。 每枚UTXO是一个独立的状态单元。它知道自己的面值,知道自己的使用条件,不引用任何全局状态。验证一笔交易只需要检查它涉及的UTXO——不需要遍历整个网络的状态。这意味着什么?意味着交易验证可以高度并行化。你验证你的交易,我验证我的交易,我们互不干扰——因为我们花费的是不同的UTXO,它们之间没有任何依赖关系。
无账户余额式的全局状态。 比特币网络不需要维护一棵巨大的“全局状态树“来记录每个“账户“的余额。它维护的是一个UTXO集合——当前所有未被花费的硬币的集合。一枚UTXO被花费后就从集合中移除,新产生的UTXO加入集合。状态的增长是可控的:旧的UTXO不断被消费、移除;新的UTXO不断被创建、加入。系统天然地进行着“状态回收“。
天然并行。 因为每枚UTXO是独立的,消费不同UTXO的交易之间数据依赖为零。这使得比特币的交易处理可以大规模并行——理论上,只要两笔交易不试图消费同一枚UTXO,它们就可以同时被验证和处理。这不是一个需要复杂工程优化才能实现的特性,而是数据结构本身赋予的天然能力。
冲突检测的简洁性。 在UTXO模型中,判断两笔交易是否冲突极其简单:它们是否试图花费同一枚UTXO?是,则冲突;否,则不冲突。这是一个O(1)的操作——查一下这枚UTXO是否还在未花费集合中就够了。而在账户模型中,冲突检测需要考虑复杂的状态依赖——两笔交易是否访问同一个合约?是否读写同一个存储槽?是否依赖同一个账户的nonce?复杂度完全不在同一个量级。
这些不是抽象的理论优势。它们的直接后果是:UTXO模型更容易利用并行硬件,扩展空间更友好——更多的CPU核心意味着更多的交易可以被并行处理,更大的带宽意味着更多的交易可以被传播。当然,真实系统的扩展还受到区块传播、签名验证、磁盘I/O等工程约束,但UTXO的数据结构为利用硬件进步提供了正确的起点。
反观账户模型:无论你加多少CPU核心,只要两笔交易可能访问同一个全局状态,它们就必须串行执行。瓶颈不在硬件,而在数据结构——而数据结构是不会随着摩尔定律自动改进的。
中本聪选择UTXO模型,不是因为它对开发者更友好(事实上账户模型对开发者更直觉),而是因为它为系统的长期扩展保留了正确的架构空间。把性能瓶颈放在可以持续改善的地方(硬件),而不是焊死在不可改变的地方(数据结构)——这是一个面向未来几十年的架构决策。
“比特币交易太透明,没有隐私”
这个说法需要被纠正。
比特币的所有交易确实记录在公开的账本上,任何人都可以查看。但“公开“不等于“没有隐私“。
白皮书第十节专门讨论了这个问题:
“The traditional banking model achieves a level of privacy by limiting access to information to the parties involved and the trusted third party. The necessity to announce all transactions publicly precludes this method, but privacy can still be maintained by breaking the flow of information in another place: by keeping public keys anonymous.”
“传统银行模式通过限制相关各方和可信第三方对信息的访问来实现一定程度的隐私。公开宣布所有交易的必要性排除了这种方法,但仍然可以通过在另一个环节切断信息流来维护隐私:保持公钥的匿名性。”
传统银行的隐私模型是:交易信息只有银行和交易双方知道,对公众隐藏。但代价是银行知道你的一切——你买了什么、在哪里买的、花了多少钱。你对公众有隐私,但对银行没有。
比特币的隐私模型完全不同:交易信息对所有人公开,但交易者的身份与公钥之间的关联在设计上是被切断的。公众可以看到“某个地址向另一个地址转了多少比特币“,但在理想情况下不知道这些地址背后是谁。白皮书将此类比为证券交易所——交易的时间和金额是公开的,但交易者的身份是匿名的。当然,公开账本并不意味着绝对隐私——链上分析、地址聚类、KYC出入金关联和网络层信息泄露都可能将地址与真实身份重新关联。隐私的实际水平高度依赖于地址复用控制、币选择策略和链下身份隔离等实践。
在这方面,UTXO模型有一个结构性优势:每笔交易可以自然地使用全新的地址。白皮书建议“a new key pair should be used for each transaction“——每笔交易使用一个新的密钥对。在UTXO模型中,这很容易做到,因为每枚新创建的UTXO可以指向一个全新的公钥,找零也自然流向新地址。账户模型并非完全做不到地址轮换,但由于所有交易天然关联到同一个账户地址,链上行为的关联分析要容易得多。
“交易不可逆是缺陷”
这是从传统金融思维出发的一个典型误判。
在信用卡的世界里,交易可逆性被视为消费者保护的基石——你买了一件有缺陷的商品,可以发起退款。这个机制确实保护了消费者。但中本聪看到了它的另一面:可逆性本身就是一种系统性风险来源。
因为交易可以被撤销,商家永远无法确定一笔交易是否真的完成了。一个恶意的买家可以先收到商品,然后发起退款,声称交易未经授权。商家为了防范这种风险,不得不增加身份验证、收集额外的个人信息、提高价格来覆盖欺诈损失。这些成本最终转嫁给所有消费者——包括那些诚实的消费者。
比特币的近乎不可逆交易消除了这种信任不对称。一旦交易获得足够的网络确认,它在实践中就是最终的。买家不能在收到商品后撤销付款,正如你在路边摊用现金买了一个煎饼后不能“撤销“付款一样。卖家得到了确定性——这笔钱就是我的了——从而可以降低风险溢价,最终惠及所有市场参与者。
当然,这不意味着消费者保护不存在。白皮书提到了“routine escrow mechanisms“(常规托管机制)——如果交易双方不信任彼此,可以使用第三方托管来保护双方利益。而比特币的脚本系统天然支持这种机制:通过多重签名,可以轻松实现“2-of-3“的托管模式——买方、卖方和一个中立的仲裁方各持一把密钥,任意两方同意即可释放资金。如果交易顺利,买卖双方签字即可完成;如果出现争议,仲裁方介入,与受损一方共同签字来裁决资金的去向。
关键区别在于:在比特币中,托管是可选的,只在需要时引入;而在传统金融中,可逆性是强制的,所有交易都承担了这个机制的成本,无论你需不需要。买一杯5元的咖啡需要信用卡公司在背后做争议调解的准备吗?显然不需要。但在信用卡体系中,你为这杯咖啡支付的价格里已经包含了这个成本。
这正是比特币作为电子现金的精髓所在:把选择权还给交易双方,而不是强制所有人接受一种一刀切的信任模型。
回到本质:中本聪为什么选择UTXO
把所有这些线索串起来,我们可以回答一个更根本的问题:中本聪为什么选择UTXO模型而不是账户模型?
答案不是“因为UTXO更容易编程“——恰恰相反,账户模型对开发者更友好。答案也不是“因为UTXO在当时更流行“——当时根本没有先例可以参考。
答案是:UTXO模型是实现“电子现金“这个定义最贴切、也被实践证明极其成功的选择。
现金是什么?现金是独立的、可传递的价值载体。一枚硬币不依赖任何数据库来证明自己的存在。它不需要联网,不需要查询余额,不需要得到任何机构的确认。它就在你手里——你可以看到它、触摸它、直接把它递给另一个人。
UTXO就是这种属性的数字化对应。每枚UTXO是一个独立的、自包含的价值单元。它的产权证明(数字签名链)刻写在自身之上。验证它不需要查询任何全局状态。花费它只需要提供一个有效的签名——就像用物理硬币付款只需要把硬币递出去。
账户模型很难实现这种属性。在账户模型中,你的“钱“是数据库中的一个数字。你不“持有“你的钱——你持有的是一个查询数据库的权限。如果数据库不可访问,你的钱就不存在。这与“电子现金“的核心理念存在张力:现金应该是你可以直接持有和传递的东西,而不是某个共享数据库中的一行记录。
中本聪在白皮书标题中写下“Electronic Cash“的那一刻,UTXO模型就成为最符合这一愿景的选择。因为UTXO模型比账户模型更能在数字世界中再现现金的核心属性——独立性、可传递性、自证性。这不是一个随意的技术偏好,而是定义驱动设计的自然结果。
小结
比特币中的交易不是余额的增减,而是硬币的销毁与铸造——每一笔交易消费旧的UTXO,创造新的UTXO,用数字签名完成产权的近乎不可逆转移,构成一条从创币到当下的完整产权链。UTXO模型不是一个技术实现细节,而是“电子现金“这一定义在数据结构层面的忠实表达——它赋予了比特币自包含性、无账户余额式全局状态、天然并行的架构基因,为系统的长期扩展奠定了正确的基础。这个设计选择的影响如此深远,以至于后来整个行业在扩容路径上遇到的瓶颈与纷争,很大程度上源于对这一基础模型的偏离或误解。
交易机制解释了“钱怎么动“。但还有一个更基本的问题悬而未决:谁来保证这些交易不被篡改?谁来确保同一枚硬币不被花费两次?在序章中,我们说过解决双花的本质是排序——确定交易的先后次序。下一章,我们将看到比特币如何用一种令人叹为观止的方式来实现这个排序——不靠权威,不靠投票,而是靠物理世界中最不可伪造的东西:能量。
第八章:工作量证明——用能量锚定秩序
引子
1850年,热力学刚刚起步的年代,德国物理学家鲁道夫·克劳修斯提出了热力学第二定律的核心思想。随后在1865年,他正式定义了一个改变人类世界观的概念:熵。
克劳修斯观察到一个看似平凡的事实:热量总是自发地从高温物体流向低温物体,从不反过来。你把一杯热水放在桌上,它会慢慢变凉,直到与室温一致。但你从来不会看到一杯凉水自发地变热。这个方向性不需要任何外力来维持——它是宇宙的默认状态。
从这个观察出发,克劳修斯给出了热力学第二定律的经典表述:在一个孤立系统中,熵只会增加或保持不变,永远不会自发减少。 通俗地说:宇宙天然地趋向无序。要在任何地方创造秩序,你必须从外部输入能量——而且这个过程必然在别处制造出更多的无序。
秩序不是免费的。它的账单由能量来支付。
上一章我们拆解了比特币的交易机制——UTXO如何实现产权的不可逆转移。但交易机制只解决了“钱怎么动“的问题,还有一个更根本的悬念:谁来保证这些交易的顺序不被篡改?谁来确保同一枚硬币不被花费两次?在序章中我们已经确认,解决双花的本质就是确定排序。这一章,我们将深入这个排序机制的内部——工作量证明——看看它为什么不仅仅是一种“共识算法“,而是数字世界中秩序的物理根基。
时间戳铸造机:PoW 作为排序的物理担保
从时间戳服务器说起
序章已经介绍了PoW的基本运作方式——矿工竞争出块、能量消耗保证不可逆、自利即诚实。本章不再重复这些内容。我们要从一个更深的层次来理解PoW的本质。
白皮书第三节给出了一个极其重要但经常被忽略的定义:
“The solution we propose begins with a timestamp server. A timestamp server works by taking a hash of a block of items to be timestamped and widely publishing the hash.”
“我们提出的方案始于一个时间戳服务器。时间戳服务器的工作方式是对一组待加时间戳的数据项取哈希值,并广泛发布该哈希值。”
请注意中本聪用的词:timestamp server——时间戳服务器。不是“挖矿系统“,不是“区块生成器“,不是“共识引擎“。在他的概念框架中,比特币首先是一台盖时间戳的机器。
为什么是时间戳?因为时间戳的本质功能是存在性证明。当一组交易被哈希进一个区块,而这个区块的哈希又被发布到全网,它证明的是:这些交易在这个时间点之前已经存在。不是“可能存在“,不是“声称存在“,而是密码学意义上的确定存在——因为如果这些交易不存在,就不可能产生这个特定的哈希值。
白皮书紧接着指出了时间戳的累积效应:
“Each timestamp includes the previous timestamp in its hash, forming a chain, with each additional timestamp reinforcing the ones before it.”
“每个时间戳在其哈希中包含前一个时间戳,形成一条链,每一个新增的时间戳都强化了它之前的所有时间戳。”
这就是“链“的真正含义。每个区块不仅为自己包含的交易提供时间戳,还通过引用前一个区块的哈希,为之前所有区块的时间戳提供了额外的确认。区块越往后叠加,前面的时间戳就越牢固。这不是隐喻——这是数学结构。要篡改第100个区块中的一笔交易,你不仅要重做第100个区块的工作量证明,还要重做从第101到当前最新区块的所有工作量证明。随着新区块不断叠加,攻击者需要重做的累计工作量持续增加;若其算力低于诚实方,成功追上的概率会随确认数指数下降。
但这里有一个关键的问题:传统的时间戳服务器——比如报纸或Usenet帖子——依赖一个可信的发布者。白皮书第四节解决了这个问题:
“To implement a distributed timestamp server on a peer-to-peer basis, we will need to use a proof-of-work system similar to Adam Back’s Hashcash, rather than newspaper or Usenet posts.”
“要在点对点的基础上实现分布式时间戳服务器,我们需要使用类似于Adam Back的Hashcash的工作量证明系统,而不是报纸或Usenet帖子。”
这句话揭示了PoW在比特币架构中的精确位置:PoW是让时间戳服务器去中心化的手段。 传统时间戳靠权威机构的信誉来保证,比特币的时间戳靠能量消耗来保证。一个区块的工作量证明不是在“解无用的数学题“——它是这个区块作为时间戳的物理担保。没有这个担保,时间戳就只是一个声称,任何人都可以伪造;有了这个担保,伪造一个时间戳的代价等于重新消耗同等量级的能量。
让我们把这个逻辑连回序章的核心论点。双花问题的本质是排序问题;排序问题的本质是“在无信任环境下确定事件的先后顺序“;而“确定先后顺序“正是时间戳的功能。所以中本聪把比特币定义为“分布式时间戳服务器“不是一个随意的措辞——这是对比特币解决双花问题之路径的最精确描述。PoW就是让这台时间戳机器在没有可信操作员的条件下依然可靠运转的物理机制。
为什么不是“解数学题“
“矿工在解复杂的数学难题”——这可能是关于比特币流传最广、误导性最大的描述。
矿工做的事情,用技术语言说,是反复尝试不同的nonce值,使得区块头的SHA-256哈希值小于一个目标值。这个过程没有任何“数学“可言——没有方程要解,没有定理要证,没有算法上的巧妙。它是纯粹的暴力枚举:试一个数、算一次哈希、不满足就换下一个、再试、再算。
这看起来像是在做无用功。但“无用功“恰恰是关键。
设想一种替代方案:如果“出块权“是通过解一道真正有智力含量的数学题来决定的——比如分解一个大整数,或者证明一个数学猜想——那么拥有更高效算法的参与者就会获得不成比例的优势。一旦某个矿工发现了一个比暴力枚举更快的算法,他就可以用更少的能量消耗获得更多的出块权。这意味着排序权的分配不再与能量消耗成正比,而是与算法优势成正比。
PoW选择了一种刻意“没有捷径“的计算。SHA-256哈希函数的一个核心密码学性质是:已知输出,无法反推输入。没有比逐一尝试更好的方法。这保证了一件至关重要的事情:获得排序权的唯一途径是消耗能量。 没有聪明的捷径,没有数学上的后门。虽然今天算力已演化为ASIC芯片,但其本质未变:每一单位的哈希算力都代表了对等份额的能量支出——“一单位能量一票”,而每一票的成本是真实的电力。
白皮书对此的表述极为精确:
“Proof-of-work is essentially one-CPU-one-vote.”
“工作量证明本质上是一个CPU一票。”
“一个CPU一票“的前提是:每一票的代价相同,都是能量。如果存在不消耗能量就能投票的方式,这个前提就崩塌了。PoW的“无用计算“正是为了消灭一切非能量的竞争维度,确保排序权的分配严格锚定在物理世界的能量消耗上。
热力学视角:秩序必须被支付
现在我们可以从一个更深的层次来理解PoW的能量消耗。
想象一个房间里有一千颗台球,在桌面上随机滚动。你想把它们排成从1号到1000号的严格顺序。你需要做什么?你需要一颗一颗地把球捡起来、辨认号码、放到正确的位置上。这个过程需要做功——你的肌肉在消耗化学能。如果你什么都不做,台球不会自动排列成1到1000的顺序。永远不会。这就是热力学第二定律在日常生活中的表现。
比特币面对的是同样的局面,只是规模更大。在任何一个时刻,全球网络中有成千上万笔未确认交易在随机传播。不同的节点在不同的时间收到不同的交易,没有人知道全局状态是什么样的。这是高度无序的状态。而比特币账本要做的,是把这些随机传播的交易变成一个严格有序的结构——数十万个区块,每个区块内包含经过验证的交易,按确定的顺序排列,打上时间戳;区块之间通过哈希指针形成严格的单向链条。
从无序到有序。这就是熵减。
热力学第二定律告诉我们:熵减不会自发发生。要在局部创造秩序,必须从外部输入能量,而且这个过程必然在环境中产生更多的无序——矿机的散热风扇吹出热风,电厂燃烧化石燃料排放废气。比特币账本的有序程度越高,创建和维护这种秩序所需的能量就越大。这不是工程上的低效,而是物理学的硬约束。
有人可能会反驳:传统数据库也在创造秩序——银行的中心化账本同样把交易排列成有序的序列,但银行没有消耗那么多电力啊?这个反驳忽略了一个关键区别:银行的排序依赖于对银行的信任。信任是一种社会性的秩序来源——它降低了创建秩序的能量成本,但代价是引入了一个必须被信任的中心节点。比特币的排序不依赖于对任何人的信任。在一个没有信任、没有权威、参与者互不认识的环境中创造秩序,所需的能量代价不可避免地更高——因为你不能依靠任何“社会性“的捷径来降低熵减的成本。
让我们把这个逻辑链完整地写出来:
- 数字信息天然可复制 → 双花问题不可避免
- 解决双花的唯一方式是确定交易排序
- 排序意味着从无序到有序 → 这是一个熵减过程
- 热力学第二定律:熵减需要外部能量输入
- 因此:任何试图在无信任的竞争环境中维持全局排序却不消耗外部物理能量的机制,都与这条逻辑链相矛盾
需要说明的是,这里的“熵“是帮助理解的类比框架——账本排序与物理系统的热力学熵并非严格等价,上述推导不应被理解为对账本安全性的严格热力学证明。但这条逻辑链的启发性在于:不管你用什么“共识算法“,不管你的系统架构多么精巧,只要你想在数字世界中创建一个不依赖可信第三方的、不可篡改的交易排序,你就必须消耗外部能量——至少在当前已知的技术路径中,没有人找到绕过这一代价的方式。
从这个角度看,PoW的能量消耗不是一个需要被辩护的“缺点“,而是一个需要被理解的物理必然。矿机散发的热量是比特币账本有序性的热力学代价——就像你家冰箱的压缩机发热是食物低温保存的热力学代价一样。你不会说冰箱“浪费电“,因为你理解制冷需要做功。同样的逻辑,应该应用于理解比特币的能量消耗。
能量消耗同时是“城墙“
PoW的能量消耗有双重功能。第一重,如上所述,是创造秩序的热力学必要条件。第二重,是保护已创造秩序的安全屏障。
每一个被写入区块链的区块,其背后凝结的能量消耗是热力学不可逆的。电能转化为计算,计算产生的热量散逸到环境中——这个过程在原理上不可逆。花掉的电不会因为任何人的意志而回到发电厂。
这意味着:要改写比特币的历史,攻击者必须重新花费至少同等量级的能源。 而且,由于攻击者需要追赶诚实链不断增长的长度,他实际上需要的能源远超已有链的累积能耗。白皮书第四节对此有精确的数学描述:
“To modify a past block, an attacker would have to redo the proof-of-work of the block and all blocks after it and then catch up with and surpass the work of the honest nodes.”
“要修改一个过去的区块,攻击者必须重做该区块及其之后所有区块的工作量证明,然后赶上并超过诚实节点的工作。”
这道城墙的独特之处在于:它不是静态的,而是在持续增厚。每过十分钟,新的区块被添加,新的能量被注入,历史记录的不可逆性就更强一分。一笔被确认六个区块的交易,其背后约有六十分钟累积的全网算力做担保。攻击者要逆转这笔交易,需要在六十分钟内消耗超过全网在同一时间段消耗的能量——以2025年的比特币网络规模,这意味着需要同时控制海量专用矿机和为它们供电的电力基础设施。
可以借用Hugo Nguyen的一类表述来理解:PoW把数字账本与物理世界的成本连接起来。通过能量消耗这个中介,比特币的账本获得了一种数字信息本不该拥有的属性——物理性。比特是没有重量的,但凝结了能量的比特,有了重量。
难度调整:系统的自我校准
白皮书第四节还描述了一个常被低估的机制:
“To compensate for increasing hardware speed and varying interest in running nodes over time, the proof-of-work difficulty is determined by a moving average targeting an average number of blocks per hour. If they’re generated too fast, the difficulty increases.”
“为了补偿不断增长的硬件速度以及运行节点的兴趣随时间的变化,工作量证明的难度由一个移动平均值决定,目标是每小时产生固定数量的区块。如果区块产生得太快,难度就会增加。”
每2016个区块(约两周),比特币网络会自动重新计算挖矿难度。如果过去两周出块速度快于十分钟一个,难度上调;如果慢于十分钟,难度下调。这个调整不需要任何人的批准,不需要任何委员会的投票,不需要任何“治理“流程。它是写在协议中的数学规则,由每个节点独立计算和执行。
难度调整的深层意义在于:它使得比特币成为一个自我校准的系统。无论外部世界发生什么——算力翻倍、矿机迭代、电价波动、矿场迁移——系统大约每2016个区块调整一次难度,以把长期平均出块间隔拉回到约十分钟。这意味着比特币不需要运维团队,不需要人工干预,不需要任何形式的外部管理。它像一个恒温器:感知偏差,自动修正。
从2009年上线至今,比特币在绝大多数情况下能自动运行而无需人工干预——尽管历史上也出现过需要开发者、矿工和服务商协调处置的异常事件(如2013年3月的链分叉)。这种高度自治的技术根基,很大程度上来自难度调整机制。
逐块竞争与“真相“的涌现
序章提到过,PoW的竞争是逐块进行的——上一轮的获胜者在下一轮没有任何先发优势。这里需要深入探讨这个设计的一个微妙但关键的含义。
在分布式网络中,不存在绝对的全局时钟。Alice的交易和Bob的交易可能几乎同时被广播,由于网络延迟,矿工甲先收到Alice的,矿工乙先收到Bob的。在绝对意义上,哪笔交易“真的“先发生?这个问题没有答案——在没有全局时钟的分布式系统中,“绝对的先后顺序“本身就是一个不存在的概念。
矿工面对的不是客观真相(Truth),而是各自的实相(Reality)——他们实际观察到的交易顺序。在这个框架下,诚实不是“说出真相“,而是“如实报告自己看到的“。矿工只需在共识规则允许的范围内自主排序——现实中通常会优先选择更高费率或更高总收益的交易组合——只要不包含无效交易或尝试双花,就是诚实的。
当不同矿工观察到的“实相“产生分歧时——比如两个矿工几乎同时找到了合法区块,包含了不同的交易顺序——竞争机制发挥作用。网络中的其他矿工在最先收到的区块上继续工作,当下一个区块被找到时,更长的那条链胜出。“真相“不是被发现的,而是通过能量竞争涌现的。
比特币的核心工程成就正在于此:它没有试图在分布式网络中复原不存在的绝对真相,而是建立了一个机制,让一组自利的、互不信任的参与者,在没有裁判的情况下,持续就交易排序收敛到一致的结果。PoW不是在寻找真相——它是在创造共识。
值得一提的是,这个收敛过程还有一个自我强化的网络效应。矿工之间存在持续优化网络延迟的经济动力——如果你接收新区块的速度比竞争对手慢,你就更容易在已经过时的旧区块上浪费算力,面临更高的孤块风险。这个经济压力驱动矿工主动投资高带宽、低延迟的网络连接,使得主要矿工之间自然形成高度互联的网络拓扑。经济激励自动驱动网络结构趋向最优,无需任何协议层面的强制规定。这是PoW竞争机制的一个优雅的副产品:不仅交易排序是竞争的结果,连网络拓扑的优化也是竞争的结果。
清源:PoS 的结构性缺陷与“浪费“迷思
Proof of Stake:旧瓶装旧酒
序章简要提到了能量消耗为什么必须是外部的、物理的——用一个球员兼裁判的比喻说明了内部代价的循环性问题。现在让我们更系统地审视Proof of Stake。
第一,PoS取消了PoW那种开放式、实时算力竞赛的出块机制。 在PoW中,每个区块的出块权都是通过实时能量竞争决定的——在区块被挖出之前,没有人知道谁会赢。PoS改为预先选定提议者,再由其他验证者参与确认。谁来打包下一个区块,在区块产生之前就已经大致确定了(尽管以太坊PoS仍有提议者选择、见证投票、分叉选择等竞争环节,以及PBS/MEV-Boost架构下的builder竞争)。
如果把PoW比作公开拍卖——价高者得,PoS就是预先分配的排班表——按质押比例轮流值班。这不是竞争,是任命。而任命的依据——质押量——是系统内部的资产。谁的代币多,谁的排序权大。这个结构,与传统金融中“谁的资本多,谁的话语权大“没有本质区别。
第二,没有外部物理代价意味着作弊成本是虚拟的。 PoS的安全论证依赖一个核心假设:攻击者会因为代币贬值而遭受损失,因此不会发动攻击。但这个假设有一个致命的漏洞:如果攻击者通过做空代币对冲了风险,那么代币贬值恰恰可能成为攻击者的收益来源。做空工具会削弱部分基于币价损失的威慑,但其实际效果仍取决于流动性深度、借贷成本、持仓规模和罚没机制设计等现实约束。
更根本的问题是:PoS的安全性锚定在代币自身的市值上。账本的安全性依赖于代币的价值,而代币的价值依赖于账本的安全性——这是一个循环依赖。在平时,这个循环是良性的;但在压力下,它会断裂。PoW的部分成本锚定在电力和硬件市场——电价由系统外部决定,不会因比特币网络内部的事件而自循环崩塌。但需要承认的是,全网算力规模、安全预算和矿机投资都与BTC币价强相关。区别在于:PoW的攻击成本有一个由物理世界决定的硬底线,而不是完全锚定在被攻击系统自身的市值上。
第三,预选出块者重新引入了可信第三方。 PoS系统提前知道谁将出块。这创造了两个后果:一是可预见的出块者天然成为外部压力——审查要求、法律传票、DDoS攻击——的作用点。2022年8月OFAC制裁Tornado Cash之后,以太坊于同年9月合并到PoS;此后高峰期接近80%的区块经由OFAC-compliant relays构建,实质上排除了受制裁地址的交易。这些验证者不是被政府强制执行审查——他们是作为已知实体,主动选择了合规。当出块者是已知的、持续在线的实体时,他们就处于法律管辖之下。这是PoS架构的结构性结果,不是某个实现的偶然缺陷。
二是可预见的出块者催生了MEV(最大可提取价值)的制度化产业链。因为谁出下一个块是提前知道的,专业搜索者可以扫描交易内存池,发现可提取价值(例如三明治攻击),然后将策略打包卖给出块者。约90%的以太坊区块通过这条路径产出。交易的排序权——区块链最核心的权力——被拆解成了一条标准化的产业链,每个环节明码标价。PoS和PBS架构使这条产业链进一步制度化、分工化;但MEV并非PoS时代才出现——在以太坊PoW时期,MEV(最初称为Miner Extractable Value)和Flashbots就已高度活跃。PoS的变化在于,已知的出块者使得这条产业链更加系统化和可预测。
第四,存量资源与流量资源的根本区别。 PoW的算力是一种流量资源——你必须持续消耗电力来维持算力。一旦停止付电费,你的算力归零。这意味着PoW中的“51%攻击“是一场持续出血的战争:维持多数算力需要每秒向电网支付巨额费用,经济可行性随时间急剧恶化。
PoS的质押量是一种存量资源——你质押了代币之后,维持质押不需要额外的持续支出。若攻击者控制了超大比例的质押量(以太坊的设计中为总质押的2/3),便可能获得决定性影响力——尽管这种影响力是否能长期维持,还取决于罚没机制、退出队列和社会协调等因素。PoW是向物理世界持续交租,PoS是一次性夺城之后换掉了锁。
这个区别的深层含义是:PoW中的权力分配是动态的、可竞争的——任何新进入者都可以通过购买算力参与竞争,不需要现有参与者的许可。PoS中的权力分配倾向于固化。PoS存在资本集中与治理影响力集中的结构性风险——持有更多代币的人获得更多出块奖励,奖励进一步增加他们的质押量,形成正反馈循环。尤其在质押服务商和流动性质押占比提升时,这种趋势更值得警惕。
第五,PoS的终极安全阀暴露了它的本质。 PoS的支持者会指出还有最后一道防线:social slashing——当极端攻击发生时,社区可以在链下协调,通过硬分叉来没收攻击者的质押并恢复网络。但这个“防线“恰恰证明了问题所在:PoS的最终安全保障不在协议内,而在协议外。它依赖一群人在Discord或Twitter上讨论“哪条链才是正统的“,然后投票决定分叉方向。这是一个非正式的、主观的、不可预测的社会协调过程。
换言之,PoS在极端情况下的安全兜底机制,本质上就是一个可信第三方——只不过这个“第三方“不是一家公司,而是一个社区的社会共识。我们兜了一大圈,又回到了起点。
“PoW浪费能源”:错误的问题
“PoW浪费能源“是对比特币最常见的批评之一。这个批评之所以有力,是因为它基于一个看似合理的直觉:矿工消耗了大量电力,做了大量计算,但这些计算本身“没有产生任何有用的结果”——不像蛋白质折叠模拟、不像气候建模、不像科学研究。
但这个批评犯了一个范畴错误。
PoW的计算不是为了“产生有用的结果“。它的功能是消耗能量本身。就像银行金库的钢筋混凝土墙“没有产生任何有用的结果“——它不能住人、不能种菜、不能当艺术品欣赏——但它的功能恰恰是“在那里“,是物理性的存在本身。PoW消耗的能量就是比特币账本的“钢筋混凝土墙“。
从热力学角度看,这个批评需要被重新审视——不是在“值不值得“的层面,而是在“能不能“的层面。热力学第二定律告诉我们,创造和维护比特币账本这种程度的秩序,能量消耗有一个不可压缩的下限。问题不是“花这么多电值不值“——真正的问题是:你能不能不花这个代价就得到同样的东西?
热力学的回答是:不能。
PoS将能耗降低了约99.95%。这个数字常被当作优点。但从本文的推导框架来看,它恰恰暴露了问题:PoS没有通过能量消耗来构建安全性。那99.95%不是被“节省“下来的浪费,而是被移除的安全机制。就像把银行金库的墙从一米厚的钢筋混凝土换成一层纸板——你确实“节省“了99.95%的建材成本,但你同时失去了金库存在的意义。
ASIC专业化:特性,不是缺陷
比特币挖矿硬件的演化路径是:CPU → GPU → FPGA → ASIC。每一代的算力效率都比前一代高出几个数量级,而单位算力的能耗则持续下降。
批评者认为ASIC的出现使得挖矿变成了少数人的游戏,违背了“去中心化“的精神。这个批评混淆了两件事情。
第一,专业化是所有产业的自然演化方向。汽车制造从手工作坊到工厂流水线,不是“中心化“——这是效率优化。挖矿从笔记本电脑到专用矿场,遵循同样的经济逻辑。去中心化指的是排序机制不依赖单一实体,而不是要求所有人用同样低效的工具参与。
第二,ASIC专业化实际上提高了比特币的安全性。原因很直观:ASIC矿机除了挖比特币之外几乎没有其他用途。一台ASIC矿机的全部价值都绑定在比特币网络上——如果比特币网络崩溃,这台矿机的价值将大幅缩水。这意味着ASIC矿工与比特币网络的利益高度绑定:他们最不希望看到的就是网络被攻击,因为攻击会直接摧毁他们的资本投入。
更关键的是,ASIC专业化大幅提高了攻击门槛。在GPU挖矿时代,攻击者可以临时租用大量GPU算力(这些GPU平时用于图形渲染或AI训练),发动突袭后归还设备。ASIC矿机没有这种灵活性——你不能临时“借用“全球一半的比特币矿机。攻击者必须从头购买或制造ASIC矿机,而全球ASIC制造产能有限、交货周期漫长,这为比特币网络增加了一道物理性的护城河。
ASIC专业化还有一个被低估的效果:它持续降低了单位算力的能量消耗。从早期GPU矿机到最新一代ASIC矿机,每次哈希计算的能耗下降了数个数量级。这意味着同样的网络安全等级,所需的绝对能耗在持续下降。PoW的能量效率不是固定不变的——工程进步在持续优化它,就像汽车发动机的燃油效率在过去一百年里持续提高一样。
PoW的博弈有物理学兜底
让我们把PoW和PoS的安全性做一个最终的对比。
PoW的安全性当然包含博弈论成分——矿工在利润最大化和攻击之间做理性选择。但这个博弈论有一个物理学决定的硬底线:发动攻击所需的能源成本由电价、芯片制造成本和热力学效率共同决定,这些变量完全在比特币系统之外。即使你是一个纯粹的破坏者、一个不在乎利润的国家级攻击者,你仍然需要向物理世界支付真实的能源账单。
PoS的安全性也建立在博弈论之上——验证者在诚实出块和发动攻击之间做理性选择。但这个博弈论没有物理学下限。当攻击者不在乎代币价值、通过做空对冲了损失、或代币价格已因外部原因暴跌——没有任何物理层面的安全保障在下面接住。博弈论的屏障破了就是破了,底下是空的。
一个类比或许有助于理解这个区别。PoW的安全性像一座建在岩石上的城堡——你可以攻击城墙,但岩石本身不会消失。PoS的安全性像一座建在代币市值上的城堡——当市值坚挺时,城堡巍然矗立;当市值崩塌时,城堡和地基一起消失。
物理学是一个比博弈论更坚实的基础。能量守恒不会因为市场恐慌而失效,热力学第二定律不会因为代币价格下跌而暂停。比特币的安全性最终锚定在宇宙的物理结构上——这是PoS无论如何精巧都无法企及的。
本质:一张分类表
把上面的分析汇总,我们可以画一张清晰的分类表:
| 传统BFT | 以太坊PoS | Solana | 比特币PoW | |
|---|---|---|---|---|
| 准入方式 | 许可制 | 质押准入 | 质押准入 | 无需许可 |
| 出块者选定 | 预定 | 预先选定提议者 | 预先选定领导者 | 开放竞争 |
| 安全预算主要锚定 | 运营方信誉 | 质押代币价值 | 质押代币价值 | 外部能源与硬件 |
| 极端故障恢复 | 运营方协调 | 社会协调+硬分叉 | 验证者协调重启 | 难度自动调整 |
前三列之间的差异是程度上的——它们在预先选定出块者、依赖内部代币作为安全保证这些维度上属于同一类系统的不同实现。它们与第四列之间的差异是性质上的。PoS用代币质押替换了传统BFT中的准入许可,降低了参与门槛,但在出块者选定和安全模型上保持了类似的结构。
Solana的Proof of History是一个经常被用来混淆这个分类的例子。PoH本身是一种通过连续SHA-256哈希链实现的可验证时钟机制——它能证明两个事件之间经过了多少计算步骤。但PoH不是共识机制。Solana的实际共识由Tower BFT完成,验证者集合已知,领导者按计划轮换,安全性依赖于2/3质押多数的诚实假设。Solana多次全网宕机后的恢复方式——验证者运营方就重启指令进行协调——与公司运维团队凌晨重启数据库集群没有本质区别。
PoS和PoH代表了与比特币PoW非常不同的区块链设计路线,更接近高性能、权益驱动的共识架构。它们有价值,但在安全模型和去中心化特征上与比特币解决的是不同层次的问题。
小结
工作量证明不是“挖矿“——这个比喻遮蔽了它的真正功能。PoW是比特币的时间戳铸造机:它用不可逆的能量消耗为每一批交易锻造物理担保,将无序的交易流凝固为不可篡改的时间序列。这个过程消耗能量不是浪费,而是热力学第二定律对“在数字世界中创造秩序“的刚性要求。任何试图绕过这个代价的方案——无论叫PoS、PoH还是别的什么名字——都不是在“优化“PoW,而是在移除它所提供的物理担保。
排序机制已经就位。但排序权不是免费的——矿工为什么愿意消耗真金白银的电力来为全网交易排序?答案在于比特币精妙的经济激励设计。下一章,我们将拆解这个激励结构,看看比特币如何用区块奖励和交易手续费构建了一个自利即诚实的经济引擎。
第九章:激励与网络——自运行的经济机器
引子
1776年,亚当·斯密在《国富论》中写下了经济学史上最著名的比喻:“我们的晚餐不是来自屠夫、酿酒师或面包师的仁慈,而是来自他们对自身利益的关注。”
这句话描述的不是一个道德判断,而是一个机制设计原理:一个好的系统不需要参与者是好人。它只需要让参与者在追逐自身利益时,恰好做出对系统有益的事。英国没有一个“面包分配总局“来确保每个人都能买到面包。面包师烤面包是为了赚钱,消费者买面包是为了吃饱,价格信号在两者之间传递信息——这个过程不需要任何人“管理“,但面包从来没有断供过。
上一章我们拆解了工作量证明的机制——它用不可逆的能量消耗为交易排序提供物理担保。但我们留下了一个悬念:排序权不是免费的,矿工为什么愿意消耗真金白银的电力来为全网交易排序?答案不是理想主义——“为了去中心化的伟大事业”——而是利润。中本聪设计了一个比亚当·斯密的面包市场更精巧的经济机器:一个参与者为了自利而诚实、为了赚钱而维护规则的系统。这一章,我们将拆解这台机器的每一个齿轮。
自利即诚实:比特币的经济引擎
区块奖励:给排序者的酬劳
白皮书第六节开宗明义:
“By convention, the first transaction in a block is a special transaction that starts a new coin owned by the creator of the block. This adds an incentive for nodes to support the network, and provides a way to initially distribute coins into circulation, since there is no central authority to issue them.”
“按照惯例,区块中的第一笔交易是一笔特殊交易,它创造一枚新的货币归区块创建者所有。这为节点支持网络提供了激励,同时也提供了一种将货币初始分配到流通中的方式,因为不存在发行货币的中央机构。”
这段话包含两层含义,都极为重要。
第一层:区块奖励是矿工的劳动报酬。矿工消耗电力、购买硬件、投入资本来为全网交易排序——这不是慈善行为,这是一份工作。区块奖励是这份工作的工资。没有工资,没人会来上班;没有矿工,就没有排序;没有排序,比特币就是一堆未经确认的声称。整个系统的运转始于一个极其朴素的经济逻辑:做工就有报酬。
第二层:区块奖励是比特币的发行机制。没有央行、没有铸币厂、没有发行委员会。比特币唯一的诞生方式就是作为区块奖励被创造出来。这意味着协议层面每一枚新增比特币都必须经由PoW出块产生——它是某个矿工在某个时刻消耗了某个量级的电力之后才被铸造出来的。PoW限制的是新增供应,而不是每一次持有转移;普通用户可以通过交易、转账等方式获得已存在的比特币。白皮书用了一个精准的类比:
“The steady addition of a constant amount of new coins is analogous to gold miners expending resources to add gold to circulation. In our case, it is CPU time and electricity that is expended.”
“稳定地增加固定数量的新货币,类似于黄金矿工消耗资源将黄金加入流通。在我们的系统中,消耗的是CPU时间和电力。”
黄金不是“被分配“到流通中的,它是被“挖“出来的——你必须消耗真实的物理资源才能获得它。比特币的发行遵循完全相同的逻辑。没有人能凭空创造新的比特币,就像没有人能凭空创造黄金。这个类比不仅仅是修辞——它揭示了一个深刻的设计原则:货币的发行不应该是免费的。当发行货币没有成本时,发行者就有无限的动力滥发。PoW让新增发行必须付出真实成本,并受协议设定的发行曲线约束——每枚BTC的边际生产成本受难度调整、硬件效率、电价和币价等因素影响,并非固定不变,但发行总量和速率是确定的。
这个设计选择一举解决了两个问题:用什么激励矿工,以及用什么方式发行货币。一个机制,两个功能。这种设计上的经济性——一个结构同时服务多个目的——是中本聪工程才能的标志。
交易手续费:从补充到主角
区块补贴(block subsidy,即新发行的比特币部分)不是唯一的激励来源。白皮书紧接着描述了第二个收入渠道——交易手续费。两者合称“区块奖励“(block reward):
“The incentive can also be funded with transaction fees. If the output value of a transaction is less than its input value, the difference is a transaction fee that is added to the incentive value of the block containing the transaction.”
“激励也可以通过交易手续费来提供。如果一笔交易的输出值小于其输入值,差额即为交易手续费,它被加到包含该交易的区块的激励值中。”
上一章解释过,比特币交易基于UTXO模型——输入减去输出的差额,就是手续费。这个手续费不是“交给“某个中介的服务费,而是留在区块中、由出块矿工收取的排序酬劳。
注意手续费的经济含义:它是一个市场信号。当你发出一笔交易并附上手续费时,你实际上在说:“我愿意为这笔交易被排序的优先级支付这个价格。“手续费越高,矿工越有动力将你的交易优先收入下一个区块。这不是矿工在“收保护费”——这是一个公开透明的竞价市场。所有人都在同一个规则下出价,矿工通常会在区块空间约束下,按费率及交易依赖关系优化打包,以提高单位区块空间的收益。
这正是序章提出的“排序即解“的具体实现。双花问题的本质是排序问题,而手续费为排序提供了市场化的优先级机制。你不需要一个中央调度员来决定哪笔交易先处理——价格信号自动完成了这个调度。面包师不需要面包分配总局告诉他给谁烤面包,交易的排序也不需要一个“排序委员会“来安排——手续费市场自动完成分配。
矿工的交易选择与排序权
矿工在打包区块时,面对的是一个优化问题:在有限的区块空间内,选择哪些交易、以什么顺序排列,使得自己的收入最大化。这个选择权是矿工通过竞争获得的——谁赢得了下一个区块的工作量证明,谁就获得了这批交易的排序权。
这个排序权的含义比表面看上去要深刻得多。
在传统金融中,交易的排序权掌握在中介手里——银行决定先处理谁的转账,交易所决定先撮合哪笔订单。这种权力是不透明的、可以被滥用的,也是利润丰厚的。华尔街为什么要花上亿美元把服务器搬到交易所机房隔壁?因为几毫秒的速度优势就意味着排序优先权,排序优先权就意味着利润。
比特币的设计把排序权从不透明的中介手中拿了出来,放进了一个公开竞争的市场。任何人都可以成为矿工参与竞争,排序的规则——按费率优化打包——对所有人透明,排序的结果——区块内容——对所有人可验证。矿工的排序权不是被授予的特权,而是每十分钟通过能量竞争赢得一次的临时权力。你这一轮赢了,下一轮又是从零开始。
从经济学的角度看,这是一个设计得极其精巧的拍卖机制。区块空间是稀缺资源,手续费是竞价,矿工是拍卖师。但与传统拍卖不同的是:拍卖师的资格本身也是通过竞争获得的——谁也不能永远霸占拍卖师的位置。权力是临时的、可竞争的、有代价的。
值得注意的是,比特币早期的节点实现曾遵循“first seen“规则——先收到的交易优先入块。但历史比这更复杂:中本聪的原始实现其实包含了基于nSequence的未确认交易替换机制,后来在0.3.12版本中被移除。此后节点长期采用first seen策略。现代BTC的opt-in RBF(BIP125)是未确认交易替换的传播/接收策略,而非链上共识层改写——它允许后到的高手续费交易替换先到的低手续费交易。关于这一演变及其争议,我们将在第三部分详细讨论。
2100万与减半:从奖励驱动到手续费驱动
比特币的总量被硬编码为2100万枚——准确地说是20,999,999.9769枚。这个上限通过“减半“机制实现:每210,000个区块(大约四年),区块奖励减半一次。最初每个区块奖励50枚比特币,2012年减半为25枚,2016年减半为12.5枚,2020年减半为6.25枚,2024年减半为3.125枚。这个过程将持续大约32次减半,在2140年前后结束,届时区块奖励将趋近于零,所有比特币都已进入流通。
减半的数学是优雅的。50 + 25 + 12.5 + 6.25 + … 这是一个等比级数,理论上的极限值恰好等于100。每个减半周期产出210,000个区块,100 × 210,000 = 21,000,000。但因为比特币以satoshi(聪)为最小单位进行整数截断,代码中的实际终值略低于理论值,为20,999,999.9769枚。供应上限不是一个任意的参数——它是减半机制的数学必然。
白皮书对此有一句极为关键的预言:
“Once a predetermined number of coins have entered circulation, the incentive can transition entirely to transaction fees and be completely inflation free.”
“一旦预定数量的货币进入流通,激励就可以完全过渡到交易手续费,从而完全没有通货膨胀。”
这句话被很多人理解为“比特币是通缩货币“。这个理解不算错,但遗漏了更重要的设计意图。
减半机制的真正含义是:它强制比特币系统从区块奖励驱动过渡到交易手续费驱动。 这不是一个被动的过程——“奖励自然减少了,手续费自然接上了”——而是一个主动的压力测试。随着区块奖励不断缩减,矿工的收入越来越依赖于交易手续费。如果网络上的交易量不够大、手续费总量不够高,矿工将无利可图,就会关机退出,网络的算力和安全性就会下降。
换句话说,减半机制向系统施加了一个持续递增的生存压力:要么网络承载足够多的交易来产生足够的手续费,要么网络的安全性将不可避免地下降。 这是一个工程约束,不是一个通缩承诺。中本聪设计的不是一个“稀缺的数字收藏品“,而是一个必须被大规模使用才能维持安全的交易网络。
这意味着长期安全更依赖手续费市场。如果交易量不足以产生足够的手续费收入来替代递减的区块补贴,系统的安全性就会面临挑战。至于如何实现足够的手续费收入——是通过更大的区块容量承载更多交易,还是通过其他机制——这正是后续路线之争的核心分歧,我们将在第三部分展开讨论。2100万的供应上限不是为了让比特币“稀缺“而设计的——它是一个倒计时器,驱动系统必须在补贴归零之前建立起可持续的手续费经济。
我们可以做一个简单的算术。假设比特币的目标是维持当前的安全水平——以全网算力和矿工总收入衡量。如果区块奖励继续减半直到忽略不计,那么手续费必须完全替代今天区块奖励所提供的收入。在一个每个区块只能容纳几千笔交易的网络中,每笔交易需要承担的手续费将高到令普通用户望而却步。但如果区块足够大、交易量足够多——比如每个区块包含数百万笔交易——即使每笔交易只收取极低的手续费,总额也可能足以支撑矿工的运营成本。当然,前提是新增容量能被真实的付费需求填满,且新增手续费足以覆盖更高的传播与验证成本。
这就是减半机制的深层逻辑:它不是在说“比特币要变得越来越稀缺“,而是在说“比特币必须承载越来越多的交易“。前者侧重于资产属性的解读,后者才是从工程角度出发的设计意图。
为什么诚实是最优策略
激励机制的最精妙之处在于它对作弊行为的处理。白皮书给出了一个看似简单却逻辑严密的推理:
“The incentive may help encourage nodes to stay honest. If a greedy attacker is able to assemble more CPU power than all the honest nodes, he would have to choose between using it to defraud people by stealing back his payments, or using it to generate new coins. He ought to find it more profitable to play by the rules, such rules that favour him with more new coins than everyone else combined, than to undermine the system and the validity of his own wealth.”
“激励机制可能有助于鼓励节点保持诚实。如果一个贪婪的攻击者能够集结比所有诚实节点更多的CPU算力,他将不得不在利用它来窃回自己的支付以欺诈他人,与利用它来生成新货币之间做出选择。他应该会发现,按规则行事更为有利可图——这些规则使他获得的新货币比其他所有人加起来还要多——而非破坏系统和他自身财富的有效性。”
让我们把这个推理拆解成一个清晰的经济模型。
假设一个矿工拥有超过全网51%的算力。他有两个选择:
选择A:诚实挖矿。 他将获得超过半数的区块奖励和手续费。如果比特币网络正常运行,这些收入是持续的、可预期的、以比特币计价的。随着网络的增长和采用率的提高,比特币的购买力可能还会持续上升。这是一个长期稳定的现金流。
选择B:发动双花攻击。 他需要构建一条秘密的替代链,在其中撤销自己之前的某笔支付。攻击成功后,他能追回那笔支付的金额。但攻击的代价是巨大的:首先,维持秘密链期间他的全部算力都在消耗电力但产出的区块可能最终被废弃;其次,攻击一旦被发现(而且一定会被发现,因为链的重组是公开可见的),市场信心将遭受重创,比特币价格可能暴跌;第三,他自己持有的比特币——通过诚实挖矿积累的全部财富——也将随之贬值。
这是一个简单的不等式:攻击者通过双花能追回的金额 < 攻击导致的算力浪费 + 自有比特币资产的贬值。 对于拥有全网多数算力的实体来说,他们在比特币中的沉没成本(硬件投资、电力合同、设施建设)是天文数字级别的。摧毁比特币的可信度就是摧毁自己全部投资的价值基础。这就好比你拥有一座金矿51%的股份——你有能力炸毁这座金矿,但这样做对你有什么好处?
这个博弈论的精妙之处在于:它不依赖矿工的道德品质,只依赖他们的理性判断。 矿工不需要是好人,他们只需要是聪明人——能算清楚哪个选择对自己更有利。在白皮书的“贪婪攻击者“模型下——即攻击者以经济利润为唯一目标——持续获得合法收入比一次性的破坏行为更有价值。不过,现实中还存在外部激励型攻击(如做空、政治干预、竞争性破坏),攻击者的动机可能不仅限于链上收益,这些场景需要另行分析。
更进一步说,这个激励结构随着网络的成长而不断强化。网络越大、算力越高、比特币价格越高,诚实挖矿的收入就越丰厚,而攻击的代价也越高昂。系统不是静态的——它是一个正反馈循环:更多用户→更多交易→更高手续费→更高矿工收入→更高算力投入→更高安全性→更多用户信任→更多用户。
中本聪没有设计一个需要参与者善良的系统。他设计了一个让自利行为恰好等于诚实行为的系统。亚当·斯密说屠夫不是因为仁慈才给你切肉,中本聪说矿工不是因为信仰才给你排序。两者的底层逻辑完全一致:好的机制把自私变成公益。
网络拓扑:小世界网络
理解了激励机制之后,我们可以来看网络本身的结构。
白皮书第五节描述了网络运行的六个步骤:
“1) New transactions are broadcast to all nodes. 2) Each node collects new transactions into a block. 3) Each node works on finding a difficult proof-of-work for its block. 4) When a node finds a proof-of-work, it broadcasts the block to all nodes. 5) Nodes accept the block only if all transactions in it are valid and not already spent. 6) Nodes express their acceptance of the block by working on creating the next block in the chain, using the hash of the accepted block as the previous hash.”
“1)新的交易被广播到所有节点。2)每个节点将新交易收集到一个区块中。3)每个节点为其区块寻找满足难度要求的工作量证明。4)当一个节点找到工作量证明时,它将该区块广播给所有节点。5)节点只有在区块中所有交易都有效且尚未被花费的情况下才接受该区块。6)节点通过使用已接受区块的哈希值作为前一个哈希值,在其上创建下一个区块来表达对该区块的接受。”
请仔细阅读这六个步骤。每一步——收集交易、构建区块、执行工作量证明、广播区块、验证交易、在新区块上继续工作——都是矿工的行为。没有一步是“被动接收并存储数据“。第五节描述的是参与打包和出块的节点行为。不过,白皮书第八节也区分了“full network node“和SPV用户,并提到“频繁收款的企业可能仍想运行自己的节点“。因此,更稳妥的理解是:白皮书第五节所描述的“节点“主要指参与出块竞争的矿工/出块者,但“节点“不宜简单等同于“矿工“这一个角色。
理解了这一点,网络的拓扑结构就自然浮现了。
矿工之间存在强烈的经济动力来优化彼此之间的连接。原因很简单:如果矿工A比矿工B更晚收到最新的区块,A就可能在一个已经过时的区块上浪费算力,产生一个注定成为孤块的无用区块——投入了真金白银的电力,但颗粒无收。这个经济惩罚驱动矿工主动投资高带宽、低延迟的网络基础设施,使得主要矿工之间自然形成高度互联的拓扑。
这恰好对应了网络科学中的“小世界网络“(Small World Network)结构——1998年由Watts和Strogatz提出:少数核心节点之间高度互联,平均路径极短,外围节点通过核心节点间接相连。部分研究者将比特币理想状态下的网络拓扑形象化地描述为“曼陀罗网络“(Mandala Network)——需要说明的是,这一术语并非白皮书原文,而是后来的解释框架,主要与大区块扩容路线的讨论相关:
-
核心层:大型矿工(节点)之间形成近完全图。它们投资专用高速网络互相连接,区块在核心层的传播时间以毫秒计。这些矿工运行在数据中心级别的基础设施上——这不是对比特币的威胁,而是比特币成熟形态的设计意图。
-
外围层:普通用户不需要参与核心层的竞争。他们通过SPV(简化支付验证)连接到最近的网络节点,获取自己需要的交易确认信息。就像你不需要运行一台Web服务器就能浏览网页一样。
-
中间层:频繁接收支付的企业——支付处理商、交易所、大型商户——可能选择运行自己的全验证节点甚至参与挖矿,以获得更快的交易确认和对排序过程的直接参与。它们既是核心层的一部分,也是外围层用户的服务提供者。
这个三层结构不是任何人规划出来的——它是经济激励的自然产物。没有哪个协议规定矿工必须建立高速互联,但孤块损失的经济压力自动驱动它们这样做。而且区块越大,孤块的经济损失越严重,优化网络的动力就越强。更大的区块会强化网络优化的动机,但也会提高传播与验证成本;争论的关键在于收益是否大于这些成本。
白皮书对网络的鲁棒性有一个常被忽略的重要声明:
“New transaction broadcasts do not necessarily need to reach all nodes. As long as they reach many nodes, they will get into a block before long.”
“新的交易广播不一定需要到达所有节点。只要它们到达足够多的节点,就会很快被收录进区块中。”
这句话的含义是:网络不需要完美的全连接。它是一个“尽力而为“(best effort)的系统,在容忍一定程度的消息丢失的同时依然可靠运行。这与互联网的设计哲学一脉相承——TCP/IP不保证每个数据包都能到达,但通过冗余和重传机制确保整体通信的可靠性。比特币的网络层遵循同样的工程原则:不追求理论上的完美,而是在实践中足够健壮。
白皮书在结论中也对此做了总结:
“The network is robust in its unstructured simplicity. Nodes work all at once with little coordination. They do not need to be identified, since messages are not routed to any particular place and only need to be delivered on a best effort basis.”
“该网络以其非结构化的简洁性而具有强健性。节点同时工作,几乎不需要协调。它们不需要被识别身份,因为消息不会被路由到任何特定位置,只需以尽力而为的方式传递即可。”
“Unstructured simplicity”——非结构化的简洁性。这是一个深刻的工程哲学。网络的健壮不是来自精密的控制,而是来自简单规则在大量参与者中的自发涌现。每个矿工只需要遵循同样的协议规则,网络就能自组织成一个高效的结构。不需要中央调度、不需要身份认证、不需要准入许可。节点随时可以加入、随时可以退出,网络继续运行。这种鲁棒性不是脆弱的精密机械式的——它是生态系统式的。
全节点的角色争论与去中心化的理解
节点的定义:白皮书说了什么
前面引用的白皮书第五节六步骤,已经给出了明确的定义。但为了避免任何含糊,让我们再看白皮书第六节的表述:
“Nodes express their acceptance of the block by working on creating the next block in the chain.”
“节点通过在其上创建下一个区块来表达对该区块的接受。”
“Express their acceptance by working on creating the next block”——通过创建下一个区块来表达接受。不是通过“存储“来表达接受,不是通过“转发“来表达接受,不是通过“验证并广播“来表达接受。是创建下一个区块——这是只有矿工才能做的事情。
白皮书第十二节(结论)进一步确认了这一点:
“They vote with their CPU power, expressing their acceptance of valid blocks by working on extending them and rejecting invalid blocks by refusing to work on them.”
“它们用CPU算力进行投票,通过在有效区块上继续工作来表达对其接受,通过拒绝在无效区块上工作来表达对其拒绝。”
“Vote with their CPU power”——用CPU算力投票。没有算力的机器没有投票权。在白皮书关于共识投票的框架中,“投票“特指拥有算力并参与出块竞争的行为。 一台下载了完整区块链数据但不参与出块的机器,在白皮书第五节的定义下不是“节点”。在决定“哪条是主链“这一共识层面,不产出工作量的节点确实没有投票权。但这并不意味着非挖矿全节点完全没有价值——它们可以为运行者提供独立验证、本地规则执行和交易中继等功能,只是在网络共识的形成上不起决定作用。
这不是语义上的吹毛求疵。这个定义直接决定了我们如何理解比特币的安全模型。
关于全节点作用的争论
在BTC社区中流行着这样一种叙事:比特币的安全性来自于大量分布式的“全节点“——这些节点不挖矿,但它们下载并验证每一笔交易,如果矿工违反规则,全节点会拒绝接受违规区块,从而对矿工形成制约。因此,为了维护去中心化和安全性,应该让尽可能多的普通人运行全节点;为了让普通人能运行全节点,区块必须保持足够小(在区块大小争论的历史语境里,BTC社区长期围绕1MB上限展开;SegWit后现行限制是4,000,000 weight units,实际区块可达约2-4MB)。
这套叙事环环相扣,听上去逻辑自洽。但每一环都经不起推敲。
第一个问题:不挖矿的“全节点“如何制约矿工? 假设矿工集体决定违反某条规则——比如增发比特币。你的非挖矿全节点可以检测到这个违规,然后呢?你可以拒绝接受这个区块。但矿工不在乎你接不接受——他们在乎的是其他矿工接不接受。因为只有矿工的行为会影响最长链的走向。你的全节点不出块,不产生工作量证明,不参与最长链的竞争——你的“拒绝“就像一个观众在体育场里喊“犯规“:裁判不会因为你喊了一声就改判。
有人会说:如果足够多的全节点拒绝接受违规区块,矿工的区块就“卖不出去“——没有人会接受他们产出的比特币。这个论点混淆了“拒绝“和“影响“。矿工的区块是否有效,由协议规则和最长链规则决定,不由非挖矿节点的数量决定。即使全世界所有非挖矿全节点都拒绝承认某个区块,只要该区块本身满足共识规则、且其他矿工在其上继续工作并延长了链,这个区块就会成为最佳有效链的一部分。需要注意的是,白皮书第十一节明确指出,诚实节点不会接受包含无效交易的区块——“最长链“的前提是“有效链”。全节点的“拒绝“是一种旁观者的姿态,不是一种治理权力。
第二个问题:如果你真的在乎规则被违反,正确的做法是什么? 答案是成为矿工。用你自己的算力来竞争出块,拒绝在违规区块上构建,用你自己的工作量证明来投票。这才是白皮书描述的安全机制——用算力投票,而不是用旁观投票。
一个类比可以说明这个问题。站在山顶上观看机场的飞机起降,你能看到每一架飞机、每一次起飞和降落。你可以判断哪次操作是违规的。但你无法影响塔台的任何一个调度决定。你不是空中交通管制员,你只是一个拿着望远镜的旁观者。看飞机不等于开飞机。运行非挖矿全节点不等于保护网络。
第三个问题:为了让普通人运行全节点而限制区块大小,这个取舍值得吗? 这个问题可以用一个简单的反问来回答:如果全节点不影响共识,那么为了增加一个不影响共识的指标,你愿意牺牲多少系统的实际处理能力?
答案显然是:不应该牺牲任何。为了一个对安全没有贡献的指标而限制系统的核心功能,这不是工程上的权衡取舍,这是概念上的错误。这就像为了让所有人都能看懂飞行仪表盘而限制飞机的最大飞行高度——旁观者能不能看懂,与飞机飞不飞得好,是两个完全不相关的问题。
SPV:中本聪的原始设计意图
上述叙事的另一个隐含假设是:每个用户都需要验证每一笔交易。白皮书不仅没有做出这个假设,还在第八节明确地设计了与之相反的方案——简化支付验证(SPV):
“It is possible to verify payments without running a full network node. A user only needs to keep a copy of the block headers of the longest proof-of-work chain, which he can get by querying network nodes until he’s convinced he has the longest chain, and obtain the Merkle branch linking the transaction to the block it’s timestamped in.”
“不运行完整的网络节点也可以验证支付。用户只需要保留最长工作量证明链的区块头副本——他可以通过查询网络节点来获取,直到确信自己拥有最长链——并获取将交易链接到其被加盖时间戳的区块的默克尔分支。”
SPV是白皮书的原始设计的一部分,而不是事后补丁——中本聪从一开始就预期普通用户将通过SPV而非全节点来使用比特币。但相对全验证,SPV确实存在更窄的安全边界:白皮书明确说SPV用户“无法自行检查交易“,且“在网络被攻击者压制时更脆弱“。
SPV的安全性建立在一个简洁的逻辑之上:
“He can’t check the transaction for himself, but by linking it to a place in the chain, he can see that a network node has accepted it, and blocks added after it further confirm the network has accepted it.”
“他无法自行检查交易,但通过将交易链接到链中的某个位置,他可以看到一个网络节点已经接受了它,而之后添加的区块进一步确认了网络已接受该交易。”
SPV用户不验证每一笔交易——他只验证自己关心的那笔交易是否被包含在最长链中。这个验证只需要区块头(每个80字节,一年大约4.2MB)和一条默克尔路径。上一章解释过默克尔树的对数级扩展能力:即使一个区块包含100万笔交易,证明其中某笔交易存在只需要20个哈希值(640字节)。
这个设计的工程意义是深远的。它意味着比特币可以在不要求每个用户下载全部数据的前提下扩展到任意规模。数据中心级别的矿工处理和存储所有交易,普通用户通过轻量级的SPV客户端获取自己需要的信息。这与互联网的架构完全类似:大型服务器集群处理和存储数据,普通用户通过浏览器访问。没有人认为互联网不够“去中心化“是因为普通人不运行Web服务器。
这个设计选择本身就是中本聪意图的有力证据。如果比特币只是为了每秒处理7笔交易而设计——一个区块最多几千笔交易——那么一个简单的交易列表就完全够用,根本不需要默克尔树这样的数据结构。默克尔树为SPV和裁剪历史数据提供了高效证明机制——即使在当前规模下它也是有价值的工程选择,而非只有超大区块才需要。但它的对数级扩展能力确实表明,中本聪在2008年就考虑了远超当时规模的使用场景——这不是事后的补丁,而是从一开始就为大规模使用做的架构准备。
白皮书也承认了SPV的局限性:
“As such, the verification is reliable as long as honest nodes control the network, but is more vulnerable if the network is overpowered by an attacker.”
“因此,只要诚实节点控制着网络,验证就是可靠的,但如果网络被攻击者所压制,则会更加脆弱。”
但这个局限性不是SPV特有的——它是整个比特币安全模型的前提。即使你运行一个全节点,如果攻击者控制了多数算力,你的全节点也无法阻止攻击。全节点能让你更早发现攻击,但它不能阻止攻击。阻止攻击的唯一力量是诚实矿工的算力优势——这就是为什么白皮书的安全假设是“只要多数算力由诚实节点控制“,而不是“只要有足够多的全节点“。
白皮书还指出,对于有特殊需求的企业用户:
“Businesses that receive frequent payments will probably still want to run their own nodes for more independent security and quicker verification.”
“频繁接收支付的企业可能仍然希望运行自己的节点,以获得更独立的安全性和更快的验证速度。”
注意这里的措辞:运行自己的节点。白皮书原文写的是“nodes“,未限定为“矿工节点“。对于大型支付处理商来说,运行自己的全验证节点不仅提供了更快的交易确认和更独立的安全性,也让他们更深入地参与网络。这是一个分层设计:大多数普通用户使用SPV,高频交易的企业运行全验证节点,纯粹出于自利的选择——不是义务,而是商业需要。
中本聪在BitcoinTalk上的发言(约2010年)也支持了“用户与重型节点分层“的趋势判断。他说过:“The design supports letting users just be users”(设计的意图是让用户只需要做用户),又说过:“I anticipate there will never be more than 100K nodes”(我预计节点数永远不会超过10万个)。这两句话表明中本聪预期网络将向分层结构演化:少数专业节点处理交易和构建区块,绝大多数用户通过SPV使用网络。需要说明的是,这些论坛发言是早期的趋势判断,不宜直接等同于对“专业节点即矿工“的严格定义。
“去中心化“的正确理解
这套关于全节点的叙事之所以有如此大的影响力,是因为它绑定了一个强大的意识形态标签:“去中心化”。如果你反对人人运行全节点,你就是在反对去中心化——谁敢反对去中心化?
但这个标签遮蔽了一个关键问题:去中心化的定义到底是什么?
如果去中心化意味着“尽可能多的人运行同样的软件做同样的事“,那么为了这个目标限制区块大小似乎有道理。但这个定义本身就是错的。
去中心化的正确定义不是“每个人都做同样的事“,而是**“没有任何单一实体拥有不可挑战的控制权”**。
互联网是去中心化的吗?绝大多数用户不运行服务器。谷歌、亚马逊、微软的数据中心处理了互联网流量的绝大部分。但互联网依然是去中心化的——因为任何人都可以架设服务器,任何人都可以接入网络,没有任何单一实体能关闭互联网。去中心化的关键不在于每个人都是服务器,而在于成为服务器的门是开着的。
比特币遵循完全相同的逻辑。去中心化不在于每个人都运行矿工节点——这既不现实也不必要。去中心化在于:
- 任何人都可以成为矿工。 没有许可证、没有准入审批、没有牌照。你只需要硬件、电力和软件。
- 没有单一矿工能永久控制网络。 因为挖矿的竞争优势——更便宜的电力、更高效的硬件——是动态变化的。今天的大矿工可能因为明天电价上涨而退出,新的竞争者可能因为找到更便宜的能源而进入。
- 规则的执行是自动的。 没有人能修改协议规则而不被检测到。无效区块会被其他矿工拒绝,无论这个无效区块是谁产出的。
- 历史记录是不可篡改的。 已确认的交易受到累积工作量证明的保护,篡改成本随时间指数级增长。
这才是比特币“去中心化“的含义:不是每个人都运行节点,而是没有人能凭一己之力控制系统。这两者之间有本质区别。前者是一种表象——节点数量多,看上去很分散。后者是一种实质——权力不可垄断,因为竞争始终存在。
用奥地利学派的框架来理解:去中心化的关键不是参与者的数量,而是自由进入与持续竞争。一个行业即使只有五家大公司,只要新进入者可以自由加入、在位者不拥有制度性壁垒,这个行业就是竞争性的。反过来,一个行业即使有一万家小公司,如果准入需要牌照、退出需要审批,它就是管制型的。比特币的矿工市场更接近前者:没有准入许可,没有退出惩罚,竞争优势——更便宜的电力、更高效的芯片——是动态变化的。今天的大矿工可能因为能源价格波动而萎缩,明天的新矿工可能因为找到了废弃的水电站而崛起。
数据中心化的矿工基础设施不是对去中心化的威胁——恰恰相反,它是去中心化的实现方式。正如互联网的去中心化是通过专业数据中心之间的竞争来实现的,比特币的去中心化是通过专业矿工之间的竞争来实现的。关键不在于设施的规模,而在于竞争的门是否永远敞开。
小结
比特币不需要人来管理,因为它不依赖人的善意——它依赖人的自利。区块奖励和交易手续费构成了一个精确的经济引擎:矿工为了利润而排序,为了保护利润而诚实,为了降低孤块损失而优化网络。2100万的供应上限不是通缩的承诺,而是迫使系统向交易手续费驱动过渡的压力装置。网络自然演化为曼陀罗结构——核心矿工高度互联,外围用户通过SPV接入——这不是背离去中心化,而是去中心化的成熟形态。
机器已经拆解完毕。从第六章的定义,到第七章的交易机制,到第八章的排序担保,到本章的经济引擎和网络架构——比特币的骨架已经完整地呈现在我们面前。下一章,我们将转向比特币的设计哲学,从一个常被误解的话题开始:隐私。比特币既不是匿名的,也不是透明的——它是一个精心设计的假名系统,在可审计性与隐私保护之间找到了独特的平衡点。
第十章:隐私——可审计的假名系统
引子
2013年10月,美国联邦调查局关闭了暗网市场“丝绸之路“(Silk Road),逮捕了其创始人Ross Ulbricht。丝绸之路是一个运行在Tor匿名网络上的黑市,使用比特币作为唯一的支付手段。毒品、伪造证件、黑客工具——几乎任何违禁品都可以在上面交易。在媒体的报道中,比特币因此被贴上了一个至今未能完全撕掉的标签:匿名货币。犯罪分子的数字现金。一种为逃避法律而生的暗网工具。
但这个标签隐藏了一个讽刺的事实:比特币的公开账本为执法机构追踪丝绸之路上的资金流向提供了关键线索之一。联邦探员从链上交易记录出发,逐笔追踪比特币的流转路径,并结合服务器取证、论坛记录、现场抓捕时获取的电脑证据等多条链下线索,最终将资金流与Ulbricht的真实身份关联起来。如果比特币真的是匿名的——如果它像现金一样不留任何痕迹——这个调查根本不可能成功。Ulbricht被判处终身监禁的事实本身就是对“比特币是匿名的“这个说法最有力的反驳。
这个案例揭示了比特币隐私模型中一个被普遍误解的事实:比特币不是匿名的。它从来都不是。它是假名的——交易完全公开,但交易者的身份隐藏在地址背后。(白皮书用的是“public keys“,但现代比特币实现中用户直接面对的通常是地址。)这种设计不是一个缺陷,也不是一个妥协,而是中本聪在隐私保护与公共可审计性之间做出的一个精确的工程权衡。白皮书第十节用了不到两百个英文单词就描述了这个模型——简洁到很多人一扫而过,但其中蕴含的设计智慧,值得我们仔细拆解。
假名系统:隐私的防火墙
传统银行的隐私模型
要理解比特币的隐私设计,首先要理解它替代的那个系统是怎么做的。
传统银行系统的隐私模型很简单:限制访问。你的银行账户余额、交易记录、转账明细——这些信息只有你和银行知道。外人看不到。白皮书第十节的开头精确地描述了这个模型:
“The traditional banking model achieves a level of privacy by limiting access to information to the parties involved and the trusted third party.”
“传统银行模式通过将信息访问权限仅限于交易参与方和可信第三方,来实现一定程度的隐私保护。”
注意中本聪的用词:“the parties involved and the trusted third party”——相关各方和可信第三方。银行知道一切。它知道你是谁,知道你给谁转了多少钱,知道你每个月的收入和支出模式。你的隐私不是对所有人的隐私——它只是对其他普通人的隐私。对银行来说,你是完全透明的。
这意味着传统隐私模型的安全上限取决于你对银行的信任。银行不泄露你的数据,你的隐私就存在;银行泄露了,你的隐私就消失了。而现实中,银行并不总是值得信任的。数据泄露事件屡见不鲜,内部员工的窥探行为难以杜绝,更不用说政府可以随时要求银行交出客户数据。你的财务隐私,本质上是一种由他人授予、也可以由他人收回的许可。
更根本的问题在于:传统模型要求你先交出身份,才能进行交易。你必须开户,开户需要身份证件、地址证明、收入证明。你的每一笔交易都与你的真实身份绑定。隐私是通过“不让外人看到“来维护的——但你的身份信息已经被收集了,被存储在银行的数据库里,随时可能被泄露、被滥用、被强制交出。
这不是真正的隐私。这是一种脆弱的、依赖于守门人善意的伪隐私。你的财务信息不是被保护了,而是被保管了——保管在一个你无法控制其行为的第三方手中。白皮书第一节曾指出,交易可逆性迫使商家向客户索取过多的个人信息:
“With the possibility of reversal, the need for trust spreads. Merchants must be wary of their customers, hassling them for more information than they would otherwise need.”
“由于存在交易撤销的可能性,对信任的需求不断扩散。商家必须对客户保持警惕,向他们索取本不需要的额外信息。”
传统模型的隐私困境不仅仅是银行知道你的信息——而是整个信任链条上的每一个环节都在收集你的信息。银行、支付处理商、商家、征信机构——每一次交易都在向更多的人暴露你的身份和财务数据。隐私不是被一堵墙保护着,而是在每一次交易中被一片片剥落。
比特币的隐私防火墙
比特币面临一个传统银行不必面对的约束:所有交易必须公开。
这是解决双花问题的必然代价。正如序章解释的,确认一笔交易不存在的唯一方法是知晓所有交易。白皮书第二节说得很明确:“transactions must be publicly announced”——交易必须被公开宣布。没有公开性,就没有办法验证一笔钱是否已经被花过。
那么在所有交易都公开的前提下,如何维护隐私?
中本聪的回答是:切断信息流的连接点。
“The necessity to announce all transactions publicly precludes this method, but privacy can still be maintained by breaking the flow of information in another place: by keeping public keys anonymous.”
“公开宣布所有交易的必要性排除了这种方法,但仍然可以通过在另一个环节切断信息流来维护隐私:保持公钥的匿名性。”
这段话是理解比特币隐私模型的钥匙。传统模型的信息流是:交易 → 可信第三方 → 身份。银行是中间人,它同时持有交易数据和身份数据,两者之间没有隔离。比特币的信息流是:交易 → 公开账本 | 身份。那条竖线是一道防火墙——交易数据在账本上公开可查,但账本上只有地址,没有身份信息。地址和身份之间的关联,不在比特币协议的管辖范围之内。
想象两种不同的出版方式。一种是在书的封面上印着你的真名、照片和家庭住址——任何人看到这本书都知道是你写的。另一种是用笔名出版——任何人都可以阅读书的内容,但除非你自己公开身份,否则没人知道作者是谁。比特币的隐私模型就是第二种:每个人都可以看到“笔名A转了10个比特币给笔名B“,但没人知道笔名A和笔名B背后是谁。
白皮书用了一个更精确的类比:
“This is similar to the level of information released by stock exchanges, where the time and size of individual trades, the ‘tape’, is made public, but without telling who the parties were.”
“这类似于证券交易所发布的信息级别——单笔交易的时间和规模(即’交易记录带’)是公开的,但不透露交易各方是谁。”
证券交易所的“交易记录带“(ticker tape)实时公布每一笔交易的价格和数量:某只股票在14:32以每股150美元成交了1000股。所有人都能看到这笔交易发生了,但没有人知道买方和卖方分别是谁。比特币的账本提供的正是同样级别的信息:所有人都能看到某个地址在某个时间向另一个地址转了多少比特币,但地址背后的身份不在账本上。
这就是假名(pseudonym)与匿名(anonymous)的本质区别。匿名意味着没有任何标识——你完全不可见,像一个在暗室中移动的影子,没有人知道你在那里,也没有人能追踪你的行踪。假名意味着你有一个持续的标识,但这个标识不与你的真实身份直接关联——你是可见的,你的行为是可追踪的,但你的真名被隐藏了。
这个区别至关重要,却在公众讨论中被反复混淆。“比特币是匿名的“这句话就像说“戴墨镜就是隐身”——墨镜遮住了你的眼睛,但你的身高、体型、衣着、行走路线对所有人都是可见的。比特币的地址就是这副墨镜:它隐藏了你的真实身份,但你用这个地址做的每一笔交易——金额、对手方地址——都清清楚楚地记录在公开账本上,任何人都可以查看。比特币的地址是一个假名标识符——当地址被复用时,它就会变成稳定的标识,所有与它相关的交易都可以被追踪和分析。但只要用户遵循每笔交易更换新地址的原则,这些标识符在链上就是碎片化的,难以直接拼凑出完整的身份画像。标识符本身不包含任何身份信息。
每笔交易一个新密钥对
中本聪并没有满足于基本的假名保护。他提出了一个额外的隐私层:
“As an additional firewall, a new key pair should be used for each transaction to keep them from being linked to a common owner.”
“作为额外的防火墙,每笔交易都应使用新的密钥对,以防止它们被关联到同一所有者。”
为什么需要这道额外的防火墙?因为如果你所有的交易都使用同一个地址,那么任何观察者都可以把你的所有交易关联起来。他虽然不知道你的名字,但他知道“地址X“在某个月收到了多少钱,花了多少钱,余额有多少,交易对手的地址是什么。随着交易数据的积累,这个行为画像可能足以推断出你的身份。
每笔交易使用新密钥对,就像每次写文章都换一个笔名。即使有人收集了所有这些笔名的文章,他也很难发现它们出自同一个人之手。在现代钱包实践中,更可操作的原则是避免地址复用,并为每次收款和找零生成新地址——这极大地增加了链上分析的难度。
但中本聪同时坦诚地指出了这种方法的局限:
“Some linking is still unavoidable with multi-input transactions, which necessarily reveal that their inputs were owned by the same owner.”
“在多输入交易中,某些关联仍然不可避免,因为多输入交易必然揭示其输入归属于同一所有者。”
当一笔交易需要消费多个UTXO(未花费交易输出,即比特币中可用于支付的最小余额单位)作为输入时——比如你用两个地址里的余额凑在一起来支付一笔大额交易——这些输入通常被推断为属于同一个人。多输入同属一人的判断是链分析中常用的有效启发式,但并非永远成立:协作式交易如CoinJoin、PayJoin会显著削弱这条规则。中本聪将其视为一种可控的信息泄露,而不是系统性的隐私破绽。只要用户遵循避免地址复用的最佳实践,多输入交易暴露的关联信息是局部的、有限的。
这个设计的核心洞见是:隐私不是非黑即白的,而是一个程度问题。 完全的匿名在一个需要公开验证的系统中是不可能的,但通过精心的工程设计,可以将身份暴露的风险降到足够低的水平。中本聪的方案不追求不可能的完美隐私,而是在系统约束内提供尽可能强的隐私保护。
密钥、身份与所有权:三个不同的概念
理解比特币的隐私模型,还需要厘清三个经常被混为一谈的概念:密钥(key)、身份(identity)、所有权(ownership)。
密钥证明的是控制权。你持有一个私钥,你就可以签署从对应地址发出的交易。这是一个密码学事实——数学不会撒谎。但控制权不等于身份。密钥上不写名字。协议不关心签名者是谁,它只验证签名是否有效。你可以用化名生成密钥对,协议照样接受你的交易。
同样重要的是,控制权不等于所有权。这是一个法律概念和技术概念之间的关键区分。
“Not your keys, not your coins”——这句话在比特币社区广为流传,被当作一条铁律。从技术角度看,它描述了一个事实:如果你不持有私钥,你就无法在协议层面直接控制你的比特币。你必须依赖持有私钥的第三方(比如交易所)来代你执行交易。在这个技术意义上,这句话是准确的。
但很多人把它错误地延伸为一个法律原则:持有密钥就等于拥有比特币。这是错的。
考虑一个场景:一个黑客通过钓鱼攻击窃取了你的私钥,然后把你的比特币转到了他控制的地址。在协议层面,这笔交易看起来和任何正常交易一模一样——有效的签名,有效的输入,有效的输出。比特币网络会忠实地处理它。但这笔交易构成盗窃。黑客虽然获得了比特币的控制权,但他没有获得法律上的所有权。在法律上,被盗的财产不因盗窃行为而转移所有权——这是一个跨越几乎所有法律体系的基本原则:nemo dat quod non habet——你不能给出你不拥有的东西。
密钥是技术层面的控制工具。身份是法律层面的主体标识。所有权是法律层面的产权归属。这三者之间有联系,但不是等号关系。比特币的隐私防火墙隔离的正是前两者——你可以在不暴露身份的情况下使用密钥控制比特币。但隐私保护不意味着法律真空。隐藏在假名后面的行为,依然受到现行法律的约束。
这个区分在后续的第十一章中会进一步展开。此处只需要记住一点:比特币的隐私设计保护的是身份信息不被不必要地暴露,而不是让违法行为变得不可追踪。
透明的审计轨迹:特性而非缺陷
比特币不是犯罪分子的朋友
“比特币是匿名的,所以它是犯罪分子的最爱”——这可能是比特币面对的最顽固的误解之一。现实恰恰相反。
比特币的公开账本是人类历史上最透明的金融记录系统。每一笔交易——从金额到输入输出信息,再到其被纳入某个区块的时间和位置——都被永久记录在一条任何人都可以查阅的公开链上。没有删除功能,没有编辑按钮,没有“阅后即焚“。一旦一笔交易被确认并写入区块链,它就永远在那里。
与之对比的是现金——真正匿名的支付手段。一张百元钞票从一只手传到另一只手,不留下任何记录。没有人知道这张钞票去过哪里,经过了谁的手。如果你想进行一笔完全不可追踪的交易,现金是你的最佳选择——不是比特币。
比特币的每一笔交易都留下了不可磨灭的痕迹。UTXO模型使每个未花费输出及其来源关系具有可追溯的转移链条——从它被矿工挖出的那一刻(创币交易),到之后每一次拆分、合并和转手,每一步都记录在案。这条转移链条不是存储在某个可以被黑客攻破的中心化数据库里,而是通过工作量证明被锚定在全网共识中。随着确认数增加,重组历史的成功概率会迅速下降,而所需额外工作量也持续上升。
这就是为什么链上追踪已成为执法调查的重要工具之一——不是因为犯罪分子用比特币,而是因为犯罪分子一旦用了它,就留下了一条比任何传统金融系统都更清晰、更持久、更难篡改的证据链。
UTXO链分析:从假名到真名
比特币的假名系统提供了隐私保护,但它不是铁幕。通过对链上交易图谱的系统性分析——通常被称为“链分析“(chain analysis)——观察者可以逐步将假名地址与真实身份关联起来。
链分析的基本逻辑并不复杂。它利用几个关键的信息泄露点:
多输入关联。 白皮书已经指出,多输入交易会暴露这些输入属于同一个人。链分析公司利用这一点,将大量看似不相关的地址聚类为“同一实体“。
已知地址标注。 当用户在交易所、商家或其他需要身份验证的服务上使用比特币时,这些服务的地址就变成了“已知地址“。一旦资金流入或流出一个已知地址,链分析就可以将链上行为与链下身份关联起来。
交易模式分析。 即使没有直接的身份关联,交易的时间模式、金额模式、找零地址的使用习惯等行为特征也可以作为推断线索。每个人的交易行为都有独特的“指纹“——就像写作风格可以暴露匿名作者的身份一样。
资金流追踪。 UTXO的链式结构意味着资金从一个地址到另一个地址的流转路径是清晰可见的。即使中间经过了多次转手,只要起点或终点与一个已知身份相关联,整条路径上的所有地址都可能被逐一识别。
丝绸之路案就是链分析实战的早期范例。执法机构通过追踪比特币的链上流向,将暗网市场上的交易与真实世界中的银行账户和身份信息关联起来。此后,专业的链分析公司——如Chainalysis、Elliptic——发展出了越来越精密的工具,帮助执法机构追踪比特币上的非法资金流动。Chainalysis等链分析公司的年度报告显示,链上追踪在涉及加密货币的执法调查中扮演着越来越重要的角色。
这不是比特币的系统性缺陷。这恰恰是公开账本带来的自然属性。回想白皮书第十节的设计:中本聪架设的隐私防火墙隔离的是链上交易与链下身份,但这道防火墙不是协议内置的选择性穿透机制——当公开账本上的交易数据与交易所、服务商、执法取证等链下信息相结合时,可追踪性自然浮现。其效果是:对普通观察者隐私保护足够强,对掌握链下信息的调查者则可能被穿透。
一个所有交易都公开记录在不可篡改的账本上的系统,天然地具备审计能力。中本聪没有试图让交易不可追踪——他只是在交易记录和交易者身份之间架设了一道可穿透的防火墙。这道防火墙对于普通观察者来说足够坚固——你的邻居不会通过浏览区块链就知道你的财务状况。但对于掌握额外信息的执法机构来说,这道防火墙是可以被合法穿透的——只要他们有足够的线索和合法的调查权限。
不可篡改的审计轨迹
比特币的审计能力不仅仅在于交易信息是公开的,更在于这些信息是不可篡改的。
在传统金融系统中,审计面临一个根本性的困难:被审计的记录存储在被审计对象控制的数据库中。银行的内部账本可以被修改——不是说银行一定会修改,但技术上存在这个可能性。公司的财务报表可以被美化。交易记录可以被“意外“删除。安然(Enron)的会计丑闻、各大银行的LIBOR操纵案、无数的财务造假事件——这些案例的共同特征是:掌控记录的人有能力也有动力修改记录。
比特币的账本不属于任何人。它由全网矿工通过工作量证明共同维护,任何已确认的交易记录都不可能在事后被修改——除非攻击者能够重做从该交易所在区块到当前区块的所有工作量证明,而随着后续区块的累积,成功重组的概率迅速下降,所需算力也持续上升。
这意味着比特币为每一笔交易提供了一个不可伪造的存在证明:这笔交易在这个时间点发生了,涉及了这些输入和输出,被包含在这个区块中,这个区块之上已经有了若干确认。这个证明不依赖任何单一机构的诚实——它依赖的是物理定律:逆转工作量证明需要消耗的能量使得篡改在经济上不可行。
对于法律和监管来说,这种不可篡改的审计轨迹是一个巨大的进步。法官不需要信任银行提供的交易记录是否被篡改过——比特币的账本能提供强有力的链上证据,证明某笔交易确实发生过。审计师不需要担心被审计对象“丢失“了关键数据——比特币的账本没有删除键。但需要明确的是,链上记录能证明交易的存在和顺序,身份归属、交易性质、税务处理等仍需结合链下材料认定。
从某种意义上说,比特币的审计能力超越了任何已知的金融系统。传统银行的审计依赖于银行的配合——银行可能延迟提供数据,可能声称数据丢失,可能提供不完整的记录。跨境审计更加困难——不同国家的法律管辖权限制了数据共享。但比特币的账本是全球统一的、公开的、任何人随时可以查阅的。一个在东京的交易和一个在纽约的交易,记录在同一条链上,遵循同样的格式,没有管辖权的壁垒。
比特币创造的不是一个无法监管的金融暗区,而是一个前所未有的透明记账系统。它不是犯罪分子的天堂——它是审计师的梦想。
可冻结、可追踪:矿工的角色
比特币的去中心化设计并不意味着它运行在法律真空中。矿工和矿池运营者——比特币区块生产和交易筛选的主要参与者——是现实世界中的商业实体。他们有办公地址,有员工,有电费账单,有税务义务。他们受到所在国法律的管辖,就像任何其他商业企业一样。
这意味着矿工可以——也必须——配合合法的法律要求。当法院发出命令要求冻结与某个地址相关的UTXO时,特定司法辖区内的矿池或出块方可以拒绝将涉及该地址的交易打包进区块。当大多数算力响应法律要求拒绝打包某笔交易时,该地址在实际效果上即被有效封锁——虽然这并非协议层面的全网冻结,但合规算力的占比越高,审查效果越接近完全。
这一点常常引起比特币社区中某些人的不安。他们认为“可冻结“意味着比特币不够“去中心化“,认为矿工配合法院命令是对比特币精神的背叛。这种反应源于一个根本性的误解:将比特币的设计目标等同于“抗审查“。
翻遍白皮书,你找不到“censorship resistance“(抗审查)这个词。白皮书也没有提到“对抗政府“、“逃避监管”、“法律之外”。白皮书更直接强调的是不需要可信第三方——中本聪要消除的是商业交易中对中间人的依赖,不是要消除法律。抗审查可被视为这一无许可架构带来的重要属性之一,但它与“旨在逃避法律制裁“是完全不同的两回事。
比特币的设计让你可以直接向对方付款,不需要经过银行——这是它的价值所在。但这不意味着这笔付款可以用来洗钱、资助恐怖主义或逃税。交易自由不等于违法自由。比特币给了你直接交易的技术能力,但没有给你超越法律的特权。
矿工配合法律要求的能力,不是比特币设计的缺陷——它是比特币能够在现实世界中长期生存的前提条件。一个公然与所有国家的法律体系对抗的支付系统,无论其技术多么精妙,最终都只能被逼入边缘的灰色地带,成为少数技术极客的玩具,而非全球经济的基础设施。
想想互联网的发展历程。早期互联网也曾被视为一个“法外之地“——黑客天堂,信息自由的乌托邦。但互联网之所以能从学术网络发展成全球商业基础设施,恰恰是因为它学会了在法律框架内运作。互联网服务提供商配合法院命令,域名注册商遵守知识产权法,电商平台遵守消费者保护法规。这些“配合“并没有摧毁互联网——它们让互联网变得可信,进而让主流社会愿意拥抱它。
比特币的生命力遵循同样的逻辑。它的价值不在于帮人逃避法律,而在于提供比传统银行更高效、更透明的支付和审计能力,同时不挑战法律的基本权威。
配合监管而非对抗监管
“比特币是为了对抗政府而发明的”——这个叙事在社区中广为流传,但它没有任何白皮书依据。
白皮书解决的问题是什么?是商业支付中对可信第三方的依赖。第一节开篇讲的是“commerce on the Internet“——互联网商业。中本聪关心的是交易成本太高、小额支付不可行、欺诈撤销带来的信任摩擦。这些是商业问题,不是政治问题。
比特币的透明账本和假名系统,实际上在资金流向追踪方面为监管提供了新的工具。在传统体系中,监管机构需要向每一家银行分别索取数据,不同银行的数据格式不同,跨境数据共享受到主权限制,而且银行提供的数据可能被篡改。在比特币的体系中,所有交易记录都在一个公开的、标准化的、不可篡改的账本上。监管机构不需要向任何人“索取“数据——数据就在那里,任何人都可以查阅。
这不是反监管。这是更好的监管基础设施。
传统金融系统的反洗钱(AML)和了解你的客户(KYC)合规,本质上是在用身份验证来弥补交易不透明的缺陷——因为银行的内部账本是不公开的,所以必须在入口处就确认交易者的身份,以便事后追踪。比特币的模型提供了另一种可能:交易本身是完全透明的,身份关联可以在需要时——比如在合法的执法调查中——通过链分析来实现,而不需要在每一笔交易发生之前就收集所有参与者的身份信息。
这并不是说比特币可以完全替代现有的KYC/AML框架——现行法规有其适用范围和法律效力。但它意味着比特币的隐私模型与监管目标之间不存在根本性的冲突。隐私保护和法律合规不是零和博弈——你可以在保护普通用户日常交易隐私的同时,为执法机构保留追踪非法活动的能力。比特币的假名系统加公开账本,恰恰实现了这种平衡。
白皮书的设计从未将比特币定位为法外之地。它设计了一个系统,在这个系统中,普通用户的日常交易隐私受到假名机制的保护,而犯罪行为留下的不可篡改的链上痕迹使其比使用现金更容易被追踪。
这里需要区分不同类型的隐私工具。托管式混币服务——将用户资金集中后混合以切断追踪链——确实试图将假名系统扭曲为匿名系统,这会提高监管和取证的难度。但钱包级的隐私增强技术——如地址轮换、UTXO管理、CoinJoin等协作式交易——更多是在白皮书“每笔交易一个新密钥“原则的延长线上,旨在强化假名系统本身的隐私效果,而非追求完全匿名。这两类工具的性质和影响不同,存在持续的争议。但比特币隐私设计的核心逻辑是清晰的:它是一个假名系统,不是一个匿名系统。
比特币在提升诚实交易效率的同时,也因公开账本提高了非法资金被追踪的可能性。
小结
比特币既不是匿名系统,也不是全透明系统——它是一个假名系统,在隐私保护与公共可审计性之间实现了精确的工程平衡。白皮书的隐私防火墙将交易记录与身份信息分离:所有交易公开可查,但地址背后的身份不在协议之内。密钥证明控制权,不证明身份,也不等同于法律上的所有权。UTXO的链式结构创造了不可篡改的审计轨迹,使比特币成为执法机构的盟友而非敌人。矿工作为受监管的商业实体可以配合法律要求——这不是对去中心化的背叛,而是比特币在现实世界中生存的前提。白皮书更直接强调的设计目标是消除对可信第三方的依赖,抗审查可被视为这一架构带来的重要属性之一。
隐私解决的是“谁在交易“的问题——它关乎身份与信息的边界。但比特币与现实世界的接口远不止于此。每一笔交易不仅是一次价值转移,更是一种法律行为,涉及合同的成立、产权的转移和争议的解决。下一章,我们将探讨一个更大的命题:比特币不是法律之外的系统,它从一开始就是为了在法律框架之内运作而设计的。
第十一章:比特币与法律——在法律框架内运作的系统
引子
2019年12月,英国商业法院受理了一起不寻常的案件。一家加拿大保险公司的计算机系统被黑客入侵,勒索者要求以比特币支付95万美元赎金。公司支付了赎金,但随后通过区块链追踪技术,追溯到了部分比特币的流向——它们被转移到了一家加密货币交易所的账户中。保险公司向法院申请财产禁令,要求冻结这些比特币。
布莱恩法官(Bryan J)面临一个在英格兰法上首次被系统论证的核心问题:比特币是“财产“吗?如果不是财产,就无法适用财产禁令;如果是财产,被盗的比特币就应当归还原主——无论它经过了多少次转手。
法官的裁决干净利落:至少在临时禁令阶段,比特币可被视为英格兰法上的财产(property),并可成为物权性救济的对象。这意味着传统财产的法律保护——包括追索权、禁令救济、信托义务——有可能延伸适用于比特币。这不是法律的“创新“,不是立法者为新技术量身定做的“新法律“,而是几百年历史的普通法财产原则对一种新形态资产的自然延伸。
这个判决——AA v Persons Unknown——揭示了一个被整个行业长期忽视的事实:比特币从一开始就是在法律框架内运作的系统。它不需要新法律来赋予合法性,因为它的设计本身就遵循了法律的底层逻辑。然而在加密货币社区中,流行的叙事恰恰相反——比特币被描绘成一个“法外“系统,一个“代码即法律“的自治王国,一个不需要也不应该受传统法律约束的新领地。这种叙事不仅是错的,而且与白皮书的原始设计意图背道而驰。
商业问题,不是技术问题——白皮书的法律基因
第一句话的秘密
重新打开白皮书,读第一节的第一句话:
“Commerce on the Internet has come to rely almost exclusively on financial institutions serving as trusted third parties to process electronic payments.”
“互联网上的商业活动已经几乎完全依赖于金融机构作为可信第三方来处理电子支付。”
请注意中本聪选择的第一个词:“Commerce”——商业。不是cryptography(密码学),不是computer science(计算机科学),不是distributed systems(分布式系统)。商业。
这个词的选择不是随意的。它定义了整篇论文的出发点:比特币要解决的是一个商业问题——互联网上的商业活动如何摆脱对金融中间人的依赖。密码学、哈希函数、工作量证明——这些都是解决方案的技术组件,但问题本身是商业的、经济的、法律的。
继续往下读。白皮书第一节没有讨论任何技术细节。它讨论的全部是商业和法律问题:
交易可逆性导致的信任成本:
“Completely non-reversible transactions are not really possible, since financial institutions cannot avoid mediating disputes.”
“完全不可逆的交易实际上是不可能的,因为金融机构无法避免调解纠纷。”
调解成本对商业效率的损害:
“The cost of mediation increases transaction costs, limiting the minimum practical transaction size and cutting off the possibility for small casual transactions.”
“调解成本增加了交易费用,限制了最低实际交易规模,切断了小额、偶发交易的可能性。”
欺诈对商家的威胁:
“With the possibility of reversal, the need for trust spreads. Merchants must be wary of their customers, hassling them for more information than they would otherwise need.”
“由于存在交易撤销的可能性,对信任的需求不断扩散。商家必须对客户保持警惕,向他们索取本不需要的额外信息。”
以及中本聪给出的解决方案的核心目标:
“Transactions that are computationally impractical to reverse would protect sellers from fraud, and routine escrow mechanisms could easily be implemented to protect buyers.”
“计算上不可行的逆转交易将保护卖家免受欺诈,而常规的托管机制也可以轻松实现以保护买家。”
“Protect sellers from fraud”——保护卖家免受欺诈。这是一句典型的商法语言。它出现在一篇常被归类为“计算机科学论文“的文章里,但它讨论的是卖家权益保护、交易纠纷调解、欺诈防范——这些全是法律和商业的核心关切。
如果从商法视角阅读白皮书第一节,会发现它高度关注交易纠纷、支付终局性和欺诈风险——这些全是商法的核心议题。中本聪指出了现有电子支付系统的结构性缺陷(交易可逆导致信任成本过高),然后提出了一种新的支付机制来弥补这个缺陷。技术——密码学、哈希、工作量证明——只是实现这个商法目标的工具。
理解这一点至关重要。当你意识到比特币的出发点是商业问题而不是技术问题时,你对整个系统的理解会发生根本性的转变。比特币不是一群程序员为了展示密码学技巧而建造的玩具。它是一个为了解决真实商业需求——安全、高效、低成本的电子支付——而精心设计的系统。技术是手段,商业是目的,法律是框架。
交易即合同
如果比特币的出发点是商业,那么它的核心操作——交易——自然也应该用商业和法律的语言来理解。
在普通法体系中,一份有效的合同需要三个要素:要约(offer)、承诺(acceptance)和对价(consideration)。要约是一方提出的交易条件;承诺是另一方对这些条件的接受;对价是双方各自付出的东西——有价值的交换。三个要素齐备,合同成立。
现在,让我们用这个框架来审视一笔比特币交易。
第七章解释了UTXO模型的运作方式:每个UTXO(未花费的交易输出)携带一个锁定脚本(locking script),规定了花费这笔资金所需满足的条件;花费者必须提供一个解锁脚本(unlocking script)来满足这些条件。
把这个技术结构翻译成法律语言:
锁定脚本 = 要约(offer)。 当一笔交易创造了一个新的UTXO并附上锁定脚本时,它实际上在说:“如果你能提供满足以下条件的证明,这笔价值就归你。“这就是一个条件性要约——提出了明确的交易条件,等待满足条件者来接受。
解锁脚本 = 承诺(acceptance)。 未来花费该UTXO时,由当前控制者在输入侧提供满足条件的数据(通常是一个有效的数字签名)。他实际上在说:“我接受你的条件,这是我的证明。“这是对要约的承诺——以行为(提供有效签名)而非语言来表达的承诺。
UTXO的价值 = 对价(consideration)。 每个UTXO包含明确的聪(satoshi)数量。这是具体的、可量化的、有经济价值的对价。
三个要素齐备。在涉及双方对价交换的付款场景中,一笔比特币交易可以作为合同履行、付款或权利处分的技术载体。当然,比特币交易也涵盖自转、归集、赠与等情形,并非所有交易都对应双方合同——这里的类比框架适用于有对价交换的商业场景。
在这一类比框架下,交易具备普通法下合同成立的要件:明确的条款(锁定脚本定义的条件)、双方的合意(满足条件的数据的提供证明了接受)、有价值的交换(UTXO中的比特币)。如果这笔交易发生争议,法院完全可以用传统的合同法原则来裁决——不需要发明任何新的法律概念。
这个认识的意义远超技术层面。它意味着,每一笔写入比特币区块链的交易,都是一份不可篡改的、有时间戳的、可公开验证的合同记录。全球任何一家法院都可以独立查验这份记录的真实性——不需要调取银行流水,不需要信任任何第三方的证词。链上记录是强证据,能证明某UTXO在某时点发生了某笔转移,但通常仍需结合交易所记录、设备控制证据、通信记录等链下信息,共同完成对地址背后自然人身份、授权链条和交易原因等事实的法律认定。
更进一步,比特币脚本的可编程性意味着交易可以表达远比简单转账更复杂的合同关系。多重签名脚本可以实现联署合同——需要多方共同签署才能执行。时间锁脚本可以实现定期合同——在指定时间之前,资金被锁定,到期后自动释放。哈希锁脚本可以实现条件合同——只有当特定条件被满足(提供正确的哈希原像)时,资金才能被使用。这些不是理论上的可能性——它们是比特币协议原生支持的功能,每一种都对应着真实的商业和法律需求。
白皮书第二节定义电子货币时使用的语言,进一步强化了交易的法律本质:
“We define an electronic coin as a chain of digital signatures. Each owner transfers the coin to the next by digitally signing a hash of the previous transaction and the public key of the next owner.”
“我们将电子货币定义为一条数字签名链。每一位所有者通过对前一笔交易的哈希和下一位所有者的公钥进行数字签名,来将货币转让给下一位所有者。”
“Each owner transfers the coin to the next”——每一位所有者将货币转让给下一位。“Transfer”(转让)是一个法律术语,指的是权利或财产从一方到另一方的合法移转。中本聪没有说“发送数据“或“广播信息“,他说的是“转让“——一个明确的法律行为。每一次转让都由数字签名来认证,就像传统法律文件上的签字一样。数字签名链构成了UTXO之间可验证的流转关系——由于UTXO存在合并与拆分,现实中的追踪更接近“资金流图“而非单枚硬币的线性产权链,但每一步流转都可追溯、可验证。
这就是为什么比特币的交易记录比传统金融系统的记录在法律上更有价值。银行的交易记录存储在银行自己的服务器上,理论上可以被修改、删除或伪造——它的可信度依赖于你对银行的信任。而比特币的交易记录由工作量证明保护,写入后在计算上不可逆转——它的可信度来自数学和物理,不来自任何机构的信誉。
电子现金的承载者工具属性
第六章已经详细解释了“电子现金“的三个核心属性:即时结算、不可逆、承载者工具语义。现在,让我们深入探讨第三个属性在法律上的含义。
承载者工具(bearer instrument)是一个有着数百年历史的法律概念。在传统法律中,承载者工具是指“持有即拥有“的文书——不记名支票、不记名债券、现金纸币都是承载者工具。谁物理地持有它,谁就在法律上拥有对它的权利。不需要登记,不需要第三方确认,不需要身份验证。
比特币的电子现金设计精确地实现了承载者工具的核心属性。一个UTXO由锁定脚本保护,通常要求持有对应私钥的人才能花费它。在很多普通收付款场景中,控制私钥的人通常也是事实上的控制人,但法律上的所有权仍取决于底层法律关系——正如后文将详细讨论的那样。他能花费它,就像手持现金的人能花掉手中的钞票一样。经足够确认后,比特币交易具有很强的事实终局性和高逆转成本——白皮书本身要求等待后续区块确认,其终局性是概率性的,随确认数增加而增强。
这种设计的商法意义是深远的。白皮书说得很清楚,比特币的目标之一是“protect sellers from fraud“——保护卖家免受欺诈。在传统电子支付中,买家可以在支付后向银行申请“拒付“(chargeback),声称交易未经授权或货物有问题。这种机制的初衷是保护消费者,但实际上被大量滥用——成为了一种系统性的商业欺诈手段。卖家发了货,收到了款,三个月后银行通知他“买家申请了退款“,款被扣回,货也追不回来。
在现金交易和承载者工具交易中,这种欺诈不可能发生。你付了现金,交易结束。没有“拒付“按钮,没有中间人可以追回已经支付的钱。对卖家来说,这是最安全的交易形式——一手交钱一手交货,钱货两清,交易终结。
比特币恢复了电子商务中的这种确定性。一旦交易被网络确认并写入区块链,它就是终局性的。没有银行可以撤销它,没有支付处理器可以拒付,没有中间机构可以干预。这不是“法外之地“的无序——恰恰相反,这是合同法中最基本的原则之一:已经履行的合同不应被单方面撤销。比特币只是用技术手段,让这个法律原则变得不可被违反。
私钥不等于所有权
这里要讨论一个至关重要的法律区分——可能是整个加密货币领域最被误解的法律概念。
“Not your keys, not your coins”——这是加密货币社区最流行的格言之一。它被印在T恤上、写在社交媒体的签名里、在各种会议上被反复引用。作为一个技术陈述,它是对的:如果你不控制私钥,你就无法花费对应的比特币。但作为一个法律陈述,它是危险的误导。
法律区分两个截然不同的概念:控制权(control)和所有权(ownership)。控制权是事实状态——谁能实际操作某样东西。所有权是法律状态——法律认定谁有权拥有某样东西。在大多数情况下,这两者是一致的:你控制你的钱包,你也拥有里面的钱。但在某些情况下——特别是涉及盗窃的情况——这两者会分离。
这里就要引入一个有着两千年历史的法律原则:Nemo dat quod non habet——“你不能给出你不拥有的东西”,即“无权处分原则“。
这个原则的含义是:如果一个人偷了你的财产,然后把它卖给第三方,第三方不会因此获得合法的所有权。即使第三方是善意的(他不知道东西是偷来的),即使他支付了合理的价格,法律仍然认定原始所有者才是真正的主人。盗窃不转移法律所有权。
把这个原则应用到比特币:如果黑客窃取了你的私钥并转移了你的比特币,黑客获得了控制权——他可以花费这些比特币。但他没有获得所有权——法律仍然认定你是这些比特币的合法所有者。
2020年新西兰高等法院在Ruscoe v Cryptopia一案中的裁决强化了这个原则。Cryptopia是一家加密货币交易所,2019年被黑客入侵,大约价值3000万新西兰元的加密货币被盗。随后交易所进入清算程序。法院面临的核心问题是:交易所持有的加密货币是用户的财产,还是交易所的财产?如果是用户的财产,它们就不能被用来偿还交易所的一般债务。
法院裁定:加密货币构成财产,且Cryptopia以信托方式为用户持有这些资产。这意味着即使交易所破产,用户仍然是加密货币的所有者——控制权的丧失(交易所被黑客攻击)不等于所有权的丧失。
回到“Not your keys, not your coins“这句话。它在技术上是正确的——没有私钥,你确实无法花费比特币。但在法律上,正确的表述应该是:“Not your keys, not your control — but possibly still your coins.”(没有私钥,你失去了控制权——但你可能仍然拥有那些比特币。)
这个区分的实际意义是巨大的。它意味着:
被盗的比特币可以被追索。法院已经在实践中对交易所、托管人和已识别的控制人发出过禁令和协助命令,要求配合追踪资金流向。至于直接面向矿工的命令,仍属高度争议且缺乏成熟先例。AA v Persons Unknown案在临时禁令阶段确认了这一方向的可行性。
交易所可能有托管义务。Cryptopia案说明,在特定条款与事实结构下,交易所对客户加密资产可能构成信托持有——交易所是受托人,用户是受益人。但是否成立信托,仍须逐案审查具体的合同条款和事实结构。
私钥被盗不意味着“你自己的错“。在加密货币社区的文化中,私钥被盗往往被视为个人责任——“你没保管好你的私钥”。但在法律上,盗窃就是盗窃,不管受害者的安全措施是否完善。法律保护的是所有权,不是保管能力。
不可篡改的审计轨迹
比特币为法律系统提供的最有价值的东西之一,是一条前所未有的审计轨迹。
在传统金融中,如果你需要追踪一笔资金的流向,你需要向银行申请交易记录,需要等待银行的配合,需要应对不同银行之间的格式差异和数据接口问题,还需要处理跨境司法管辖的复杂性。整个过程可能耗时数周甚至数月。更关键的是,银行提供的记录本身不是不可篡改的——理论上,银行可以修改或删除记录(当然这样做是违法的,但“能做“和“不能做“是两回事)。
比特币彻底改变了这个局面。每一笔交易都被写入一个由工作量证明保护的公开账本。这些记录:
公开可查。 任何人——法官、检察官、律师、审计师——都可以独立查验任何一笔交易的存在和内容,不需要任何机构的许可或配合。
不可篡改。 一旦一笔交易被写入区块链并被后续区块确认,修改它需要重做该区块及其后所有区块的工作量证明——这在计算上是不可行的。白皮书对此有明确的描述:
“Once the CPU effort has been expended to make it satisfy the proof-of-work, the block cannot be changed without redoing the work. As later blocks are chained after it, the work to change the block would include redoing all the blocks after it.”
“一旦CPU算力已被消耗以满足工作量证明,该区块就无法在不重做工作的情况下被更改。由于后续的区块在其之后链接,修改该区块的工作将包括重做其后所有区块的工作。”
带有时间戳。 每个区块都是一个时间戳证明——白皮书第三节的核心内容。这意味着每笔交易都有可靠的时间记录,可以证明“这笔交易在这个时间点之前已经存在“。
完整可追溯。 从创币交易(coinbase transaction)到最新的持有者,UTXO之间的可验证流转关系都记录在链上。由于UTXO存在合并与拆分,追踪更接近“资金流图“而非单枚硬币的线性产权链,但你仍可以追溯任何一笔资金的来源和流向,一直追溯到它被挖出的那一刻。
把这些属性放在一起,比特币为审计和追踪提供了前所未有的公开数据基础。银行的交易记录是私有的、可修改的、依赖信任的;比特币的交易记录是公开的、不可修改的、基于数学的。如果你是一位法官,面对一起涉及资金流向的纠纷,你会更信任哪一种记录?
这就是为什么比特币不是执法机构的敌人——恰恰相反,它为执法提供了强大的工具。在现金交易中,一旦纸币离开你的手,追踪它的流向几乎不可能。在传统电子支付中,追踪需要多方配合,耗时耗力。但在比特币中,每一次价值转移都永久地记录在一个全球公开的账本上。当然,法律归属与身份归因仍离不开链下证据——地址归属、混币、跨链等现实难题依然存在——但比特币的公开账本为追踪资金流向提供了前所未有的起点。
矿工的法律地位
第九章解释了矿工在比特币系统中的经济角色——他们是交易的排序者,通过工作量证明竞争获得排序权,并因此获得经济回报。但矿工不仅仅是经济角色,他们同时也是法律主体。
矿工在很大程度上是商业实体。主要的出块能力集中于可识别的商业化矿池或运营主体——他们投入资本购买硬件,支付电费,雇佣工程师,租赁或建造数据中心,向政府缴税,接受当地法律的管辖。当然,矿工生态并非完全同质——算力提供者、矿池运营者、区块模板构建者并不总是同一主体,也不一定都可被简单识别为“某国注册企业“。但总体而言,大部分出块能力背后是可追踪的商业主体。
这个法律身份意味着矿工可以——也应该——配合法律系统的要求。法院可以向矿工发出命令,要求他们:
拒绝将涉及已知被盗UTXO的交易写入自己构建的区块。需要注意的是,比特币协议不存在原生的“冻结“机制——单个矿工拒绝打包并不等于网络层面的永久冻结,其他矿工仍可能处理该交易。更现实的执法抓手通常是交易所、托管人和地址控制人的账户与日志数据。此外,矿工可以保存特定的交易记录以备调查取证之用。
有人会反对说:“如果矿工可以被法院命令冻结交易,那比特币和银行有什么区别?“区别在于:银行是唯一的中间人——一家银行拒绝你的交易,你的交易就无法完成。但矿工是竞争性的商业实体——全球有成百上千个矿工在竞争出块权。一个司法管辖区的法院可以命令其辖区内的矿工配合执法,但它无法命令全球所有矿工。这意味着法律的执行必须通过正当的司法程序、在具体的管辖权范围内进行——这恰恰是法治的核心原则。不是一个机构可以任意冻结你的资产,而是法院在正当程序下可以要求特定矿工配合执法。权力是分散的、有边界的、受程序约束的。
更重要的是,矿工配合法律的能力不依赖于改变比特币协议。协议本身不需要内置“冻结“或“审查“功能。矿工选择哪些交易入块,是在现有协议规则下的商业决策——就像一家快递公司可以拒绝运送违禁品,但这不需要改变邮政法规。矿工在法律框架内的自由裁量权,和协议层面的规则不变性,是两个不同层次的事情。
这不是比特币的“缺陷“——恰恰相反,这是比特币能够在法律框架内合法运作的关键条件之一。一个完全无法与法律系统互动的支付系统,最终只能存在于法律的灰色地带,迟早会被监管机构视为威胁而遭到打压。而比特币的设计——矿工作为可识别的商业实体、交易记录公开可查、产权链完整可追溯——使得它天然地与法律系统兼容。它不需要挑战法律来证明自己的价值,因为它在法律框架内就已经比传统系统更好。
白皮书对矿工的描述一直使用“nodes“(节点)这个词,但它对节点行为的描述——收集交易、验证交易、构建区块、广播区块——全部是可被监管的商业行为。白皮书第六节描述的激励机制——区块奖励和交易手续费——构成了矿工的商业收入模型。一个有收入、有成本、有利润的经济活动,天然属于法律监管的范畴。中本聪没有设计一个对抗法律的系统。他设计了一个在法律框架内更高效运作的系统。
协议锁定的法律必然性
第十二章将详细讨论比特币协议“set in stone“(写入石头)的原则。但在法律的语境下,我们需要提前理解这个原则的法律必然性。
回到“交易即合同“的框架。如果每笔比特币交易都是一份合同,那么合同的有效性依赖于什么?依赖于规则的可预测性和稳定性。
想象你签了一份商业合同,合同中的一个关键条款约定:“如果A条件满足,B方将获得X金额的支付。“你之所以愿意签署这份合同,是因为你信任“A条件”、“B方“和“X金额“的定义是明确且不变的。如果签完合同后,对方告诉你“我们修改了A条件的定义”,这份合同还有意义吗?
比特币协议就是所有比特币交易的“底层合同“。锁定脚本的含义、签名验证的规则、UTXO的花费条件——这些都是由协议定义的。如果协议可以被随意修改,那么基于旧规则创建的交易(合同)就可能在新规则下失效或改变含义。这不是技术问题——这是合同法的根本性问题。
合同法的一个基本原则是:合同的条款在签署后不应被单方面修改。比特币协议的锁定,是这个法律原则在技术层面的体现。它确保了所有基于该协议创建的交易——合同——在未来任何时刻都将按照创建时的规则被执行。没有任何一方可以事后更改游戏规则。
这也解释了为什么BTC对协议的修改令人担忧。SegWit引入了新的交易格式和见证数据分离结构,Taproot引入了新的输出类型和脚本语义——虽然它们以向后兼容的软分叉方式部署,既有脚本规则在技术上仍然有效,但新输出类型的引入和交易结构的变化,仍然在事实上扩展和改变了协议的能力边界。对于一个以合同稳定性为基础的系统而言,频繁的协议演进增加了法律上的不确定性。一个不断变化规则的系统,难以作为可靠的合同执行平台。
“Code is Law“的幻觉——法律不能被代码取代
代码不是法律
理解了比特币作为法律系统的本质之后,让我们来清理一个广泛流传的、危害极大的误解:“Code is Law”——代码即法律。
这个口号最初由Lawrence Lessig在1999年的著作《Code and Other Laws of Cyberspace》中提出,原意是描述代码对网络空间的规制作用——代码的架构决定了用户能做什么、不能做什么。但在加密货币社区中,这句话被扭曲成了一种完全不同的主张:智能合约的代码执行结果就是最终裁决,法律无权干涉。
2016年的The DAO事件是这种思想的极端体现。一个攻击者利用The DAO智能合约的代码漏洞,提取了价值约6000万美元的以太币。“Code is Law“的信奉者认为:代码允许的操作就是合法的操作;攻击者没有“窃取“任何东西,他只是按照代码的规则行事。
这个立场在法律上是荒谬的。更讽刺的是,以太坊社区自己也无法贯彻这个立场——他们最终通过硬分叉回滚了The DAO事件,把被“合法“转走的以太币强行追回。“Code is Law“在面对真金白银的损失时,瞬间被自己的信奉者抛弃了。这不是一个可以认真对待的法律哲学——它只是一句在不需要承担后果时才方便喊出的口号。
代码是工具,不是法律。代码可以有漏洞,就像保险箱可以被撬开一样。你能撬开一个保险箱,不意味着你有权拿走里面的东西。代码的执行能力(“我能做什么”)和法律的授权(“我有权做什么”)是两回事。法律从来不以“技术上能实现“作为合法性的标准——否则所有的银行抢劫都不算犯罪了,因为抢劫在物理上是“可以实现的“。
比特币的设计恰恰体现了对这个区别的清醒认识。白皮书第十一节在讨论攻击者的能力时,明确区分了技术能力和合法行为:
“Even if this is accomplished, it does not throw the system open to arbitrary changes, such as creating value out of thin air or taking money that never belonged to the attacker.”
“即使做到了这一点,也不会使系统面临任意更改的风险,例如凭空创造价值或夺取从不属于攻击者的资金。”
“Money that never belonged to the attacker”——“从不属于攻击者的资金。“中本聪用的是“belonged“这个词——一个法律上的所有权概念。他没有说“攻击者无法控制的资金”,而是说“不属于攻击者的资金“。控制权是技术问题,所有权是法律问题。中本聪清楚地知道这个区别。
法律决定所有权,技术提供控制权
“Code is Law“思想的根本错误在于混淆了两个不同层次的秩序。
技术层面的秩序——谁能操作什么——由代码和协议决定。比特币协议确保只有持有正确私钥的人才能花费对应的UTXO。这是控制权层面的规则,由数学和密码学保障。
法律层面的秩序——谁拥有什么——由法律决定。法律认定谁是合法的所有者、谁的财产权应当被保护、争议如何解决。这是所有权层面的规则,由法院和法律体系保障。
这两个层次相互补充,不能相互取代。比特币的技术保障了控制权的安全(没有私钥就无法花费UTXO),法律保障了所有权的安全(盗窃不转移合法所有权)。两者共同构成了完整的产权保护体系。
试图用代码取代法律的人,实际上是在削弱而不是加强产权保护。如果“Code is Law“是真的,那么任何通过技术手段获得的控制权都自动等于合法所有权。这意味着:黑客攻击是合法的(代码允许了)。利用漏洞转移他人资产是合法的(智能合约执行了)。窃取私钥是合法的(你获得了控制权)。
这显然是荒谬的。没有任何文明社会会接受“谁能拿到就归谁“作为财产法的基本原则。人类花了几千年建立起来的法律体系,正是为了确保“拥有“和“拿到“不是同一回事——确保暴力和欺诈不能成为获取财产的合法手段。
比特币不需要“Code is Law“。它需要的是“Code enforces law“——代码执行法律。比特币的协议和脚本系统提供了一套高效、可靠、不可篡改的合同执行机制。但合同的效力来自法律,不来自代码。代码只是让合同的执行更可靠、更高效、更难被违反——就像锁让财产更安全,但锁不是产权法。
比特币并不天然需要推翻既有法律框架
“Code is Law“思想的另一个变体是:“加密货币需要全新的法律框架。“每当政府讨论加密货币监管时,你都会听到这种声音——“传统法律不适用于区块链”、“我们需要专门的加密法规”、“数字资产是全新的法律类别”。
这种观点高估了技术的颠覆性,低估了法律的适应性。
普通法体系的强大之处在于它基于原则,而不是基于具体技术。合同法不关心合同是写在羊皮纸上还是写在区块链上——它关心的是要约、承诺和对价是否齐备。产权法不关心财产是实物还是数字——它关心的是所有权的合法转移是否发生。证据法不关心记录存储在银行服务器上还是存储在分布式账本上——它关心的是记录的真实性和完整性。
2019年的AA v Persons Unknown案证明了这一点。法官没有援引任何“新的加密货币法律“来裁决——他使用的是已有数百年历史的英国普通法财产原则。2020年的Ruscoe v Cryptopia案同样如此——新西兰法院使用的是传统的信托法原则。新加坡高等法院在确定加密资产的所在地(situs)时,提出可优先从“谁控制私钥、该控制人居住于何处“来判断——这是传统属地管辖权原则的自然延伸。
比特币并不天然需要推翻既有的合同法、财产法和信托法框架,因为它做的事情——价值转移、产权记录、合同执行——并不新。当然,在税务、反洗钱、托管、破产等监管层面,各法域仍可能发展出新的专门规则。新的只是实现方式:用数字签名代替手写签名,用工作量证明代替公证人,用区块链代替纸质档案。工具变了,但底层的法律关系没有变。一笔买卖就是一笔买卖,不管是用现金还是用比特币。一份合同就是一份合同,不管是写在纸上还是写在脚本里。一次盗窃就是一次盗窃,不管偷的是保险箱还是私钥。
那些呼吁“新法律“的人,往往有两类动机。一类是真诚的困惑——他们被技术术语迷惑了,以为比特币做了某种法律上前所未有的事情。但仔细想想:人类历史上每一次重大技术变革——印刷术、电报、电话、互联网——都曾引发“现有法律是否适用“的焦虑。最终的答案几乎总是:适用。合同不会因为是通过传真签署的就不是合同。诈骗不会因为是通过电子邮件实施的就不是诈骗。财产不会因为是数字形态的就不是财产。法律的原则足够抽象,以至于它能够自然地延伸到新的技术形态。
另一类动机则是有意的规避——他们希望利用“法律空白“来逃避监管和法律义务。“去中心化“被包装成一种法律免疫——“因为没有中心化主体,所以法律管不了。“这种逻辑在法律上站不住脚。法律管辖的是行为,不是架构。你用去中心化的方式实施了欺诈,欺诈仍然是欺诈。你用智能合约自动化了非法集资,非法集资仍然是非法集资。技术的架构不改变行为的法律性质。前者需要教育,后者需要警惕。
比特币的设计者在白皮书中从未提及“抗审查“(censorship resistance)。他从未声称比特币应该在法律之外运作。他描述的是一个更高效的商业系统——减少中间人成本、保护卖家权益、降低交易摩擦。这些全是在法律框架内追求的目标。比特币不是要取代法律,而是要在法律框架内提供一种更好的工具。
小结
比特币不是一个需要法律来适应的技术系统——它从一开始就是一个在法律框架内运作的商业系统。白皮书的第一个词是“Commerce“,不是“Cryptography“。它的交易结构可以作为合同履行和权利处分的技术载体。它的承载者工具属性来自数百年的商法传统。它的审计轨迹为司法取证提供了前所未有的公开数据基础。它的矿工是可识别的、受监管的商业实体。它的协议锁定原则是合同法稳定性要求的技术实现。
真正需要改变的不是法律,而是人们对比特币的认知。它不是法律的对立面,不是监管的敌人,不是无政府主义者的工具。它是一个让合同执行更可靠、让产权记录更安全、让商业交易更高效的系统——而这些,正是法律一直试图实现的目标。
下一章,我们将讨论比特币的另一个被深刻误解的维度:治理。如果比特币的协议是所有交易的“底层合同“,那么这份合同的条款由谁来决定?答案是:没有人。因为比特币的核心货币规则和验证哲学倾向于高度保守和锁定——尽管历史上并非没有协议升级,但其设计意图是让基础规则尽可能不变。
第十二章:治理——写入石头的规则
引子
约公元前1750年,巴比伦国王汉谟拉比做了一件当时看来极为奢侈的事情:他把282条法律刻在了一根两米多高的黑色玄武岩石柱上。
这不是随意的选择。在那个年代,法律可以写在泥板上——便宜、轻便、容易修改。但汉谟拉比选择了石头。石头不能涂改,不能追加,不能悄悄删掉一条对国王不利的条款。一旦刻上去,就是永久的。正因为如此,臣民们才能信任这些规则——不是信任国王的善意,而是信任石头的物理属性。
三千七百年后,中本聪在Bitcointalk论坛上写下了一段话,本质上表达的是同一个思想——核心设计应尽量前置完成、保持长期稳定:
“The nature of Bitcoin is such that once version 0.1 was released, the core design was set in stone for the rest of its lifetime.”
“比特币的性质决定了,一旦0.1版本发布,其核心设计就在其整个生命周期内被写入了石头。”
写入石头。不是写在纸上,不是存在数据库里,不是挂在某个委员会的议程上等待表决。是写入石头——不可更改,不可商量,不可投票推翻。
上一章我们论证了比特币是一个在法律框架内运作的系统——交易即合同,账本即证据,协议即商业世界运行的基础规则。但这一切成立的前提是什么?前提是规则本身不会变。如果底层协议随时可能被一群开发者投票修改,那么建立在它之上的一切——合同、产权、法律证据——都将成为流沙上的建筑。
这一章,我们要回答一个看似简单但至关重要的问题:比特币的协议为什么不能改?
石头上的规则:协议锁定的深层逻辑
改规则就是改游戏
理解“协议不可更改“的最直观方式,是想象一场正在进行的棋局。
你和对手下国际象棋,已经下了五十步。你的布局围绕一个核心策略展开——控制中心、保护王翼、准备后翼进攻。这个策略之所以有意义,是因为你知道规则是什么:马走日、象走斜、车走直线。
现在假设对手突然宣布:“从下一步开始,马可以走直线了。”
你的整个布局瞬间瓦解。不是因为你棋力不够,而是因为你所有的计算都建立在旧规则之上。马走日的前提下你精心构建的防线,在马走直线的新规则下可能漏洞百出。更糟糕的是,对手之所以提议改规则,恰恰是因为新规则对他有利——他早就把马摆在了能利用直线移动的位置上。
改规则从来不是中立的。改规则就是补贴一方,掠夺另一方。
比特币的协议就是这盘棋的规则。数以万计的矿工投入了数十亿美元的硬件和电力成本,基于当前的协议规则做出了长期投资决策。数百万用户和企业基于当前的协议规则设计了商业流程、签署了合同、规划了财务模型。每一次协议变更——无论被包装成“升级“、“优化“还是“改进”——都在事实上改变了这盘棋的规则。有人会从变更中获益,有人会因变更而受损。
这不是理论推演。2017年,BTC引入了隔离见证(SegWit),引入了新的见证序列化方式、区块weight规则和新的输出脚本类型,实质上改变了交易的验证逻辑和结构。这个变更对某些类型的交易有利,对另一些不利。它改变了手续费的计算方式,改变了区块空间的实际容量。SegWit提高了升级压力,并改变了部分参与者的工程与商业假设——那些在SegWit之前基于原始交易格式做出技术和商业决策的参与者,不得不重新评估自己的方案。
中本聪的“set in stone“原则,正是要从根本上消除这种可能性。不是因为0.1版本的协议在每个技术细节上都是完美的,而是因为规则的稳定性本身比任何单项“改进“都更有价值。
想想看,人类社会中最成功的规则系统——法律体系——是怎么运作的。没有任何一部法典是“完美的“。但正是因为法律不会每周修改一次,人们才能据此安排自己的生活:签合同、做投资、规划未来。如果法律像软件版本号一样频繁更新,每次更新都可能改变你行为的合法性,那么整个社会的运行基础就崩塌了。不是因为法律不需要改进——而是因为法律的稳定性比任何单项改进都更重要。
比特币的协议就是数字世界的基本法。它的价值不在于完美,而在于不变。
证据的可信度依赖载体的不变性
上一章论证了比特币的账本可以作为法律证据——每一笔交易都是公开可查的、不可篡改的、可独立验证的记录。但我们需要追问一个更深层的问题:法院为什么会信任这个账本?
法院信任纸质合同,因为纸上的墨迹一旦干透就不会自行变化。法院信任公证文件,因为公证处的印章和签名是不可伪造的。法院信任物理证据,因为DNA不会说谎,指纹不会自行改变。所有证据的可信度,归根结底都依赖于一个前提:证据的载体在记录完成后不会自行变化。
比特币的账本满足这个条件——工作量证明使已写入的数据在经济上极难被回滚或重写,随着确认数增加,篡改成本迅速上升。但账本的可信度不仅仅取决于数据不变,还取决于解读数据的规则不变。
想象一份用某种编码格式记录的合同。法院可以请专家来解读这份合同的内容。但如果编码格式本身在不断变化——今天一个字节代表“同意“,明天同一个字节被重新定义为“拒绝“——那么这份合同就失去了作为证据的价值。不是数据被篡改了,而是解读数据的规则被篡改了,效果完全一样。
比特币的协议就是解读账本的规则。一笔交易的有效性、一个UTXO的所有权、一段脚本的执行结果——所有这些都由协议规则决定。如果协议可以被修改,那么同一笔交易在旧规则下是有效的,在新规则下可能变成无效的。协议变更可能影响某些脚本的可花费条件或验证语义,使得原本可以正常花费的输出在新规则下受到不同的约束。
规则频繁变动会大幅提高举证和解释成本——关键在于是否能明确记录当时适用的规则版本。一个可以被一群开发者投票修改的协议,其法律可信度面临与银行单方面修改账本类似的质疑——你在很大程度上又回到了“信任第三方“的困境中。
协议锁定不是技术洁癖,而是法律必然。比特币要成为全球商业的基础设施,它的规则就必须像刻在石头上一样不可更改。
这一点值得进一步展开。考虑一个具体场景:一家企业与供应商签订了一份合同,合同条款被编码在一笔比特币交易的脚本中。三年后,双方发生争议,需要法院裁决。法院查看区块链上的交易记录——数据确实还在,没有被篡改。但如果在这三年间协议经历了几次“升级“,脚本的执行语义发生了变化,那么同一笔交易在今天的规则下执行的结果,可能与签约时完全不同。法官面对的将不是一个简单的“合同上写了什么“的问题,而是“在哪个版本的规则下解读这份合同“的问题。这让比特币作为证据系统的价值大打折扣。
相反,如果协议从未改变过——脚本的语义在2009年是什么,在2029年还是什么——那么法院可以毫无疑问地确认:交易在记录时是什么含义,现在就是什么含义。规则的不变性让时间失去了腐蚀证据的能力。
经济激励的可计算性
第九章详细分析了比特币的经济引擎:矿工基于利润最大化的理性计算来决定是否投入算力,投入多少算力,以及如何选择交易入块。这个经济模型之所以能运转,有一个往往被忽略的前提:矿工可以计算未来的收益。
矿工的投资决策是长期的。购买ASIC矿机的成本需要数月甚至数年才能回收。签署电力合同、建设矿场设施、雇佣运维团队——这些都是基于对未来收益预期的资本投入。矿工能够做出这些投资决策,是因为他们知道规则是什么:区块奖励的减半时间表是确定的,难度调整的算法是确定的,手续费的计量规则是确定的(尽管矿工实际手续费收入仍高度依赖市场条件)。
如果协议可以被修改,所有这些确定性就消失了。也许下一次“升级“会改变手续费的计算方式,让你的交易选择策略失效。也许某个新的BIP提案会修改难度调整算法,让你的算力投入回报率骤降。也许一群开发者会决定“为了环保“将共识机制从PoW改为PoS,显著压缩原有PoW挖矿业务的盈利空间,造成大量矿机资产折价——这正是以太坊在2022年合并升级中对PoW矿工做的事情。
规则风险会显著抬高资本成本、缩短投资期限,并削弱长期安全投入的激励。当矿工无法对未来收益做出可靠预期,长期投资意愿下降,算力随之萎缩,网络安全性也将受到威胁。
这条因果链清晰得不需要任何修饰。协议锁定不是对创新的压制,而是经济引擎运转的基本前提。一台发动机的汽缸壁必须是刚性的——不是因为工程师缺乏想象力,而是因为活塞只有在刚性汽缸中才能做功。比特币的协议就是这个汽缸壁。
以太坊2022年的“合并“(The Merge)是这个问题的最佳反面教材。以太坊基金会决定将共识机制从PoW切换到PoS。对于已经投入了数十亿美元购买GPU矿机的矿工来说,这等于宣布他们的核心业务模式即将失效——虽然GPU可以转作其他用途或二手出售,但盈利空间被急剧压缩。这些矿工不是做错了什么——他们按照当时的规则做出了理性的投资决策。但规则被改了,他们的投资血本无归。这不是市场风险——市场风险是币价下跌、电费上涨,这些你可以预见和对冲。这是规则风险——你按规则玩了三年,然后有人把规则改了。
如果比特币也允许这种事情发生,没有理性的矿工会做出长期投资。你今天投入一亿美元建矿场,怎么知道三年后开发者不会“为了环保“把PoW改成PoS?在一个规则可以随时改变的系统中,唯一理性的策略是短期投机——快进快出,赚一票就走。但短期投机不会带来长期安全——只有长期、大规模、不可逆的资本投入才能维持足够高的算力水平,为网络提供安全保障。
分叉是退出,不是升级
理解了协议锁定的逻辑之后,一个自然的问题浮现了:如果有人确实想改变规则,会发生什么?
答案是:他们可以分叉。
分叉(fork)在技术上是简单的——复制代码,修改规则,运行新网络。但在逻辑上,分叉的含义常常被误解。很多人把分叉理解为“升级“——就像手机操作系统从iOS 17升级到iOS 18一样,还是同一个系统,只是更好了。
这是一个根本性的误解。
手机操作系统的升级由同一个公司(苹果)发布,在同一个硬件上运行,服务同一批用户,沿用同一个应用生态。升级前后的连续性是由苹果这个中心化实体保证的。
比特币没有这样的中心化实体。比特币的身份由其协议规则定义——就像一个国家的身份由其宪法定义。如果你修改了宪法的根本条款——比如把“联邦共和制“改成“世袭君主制“——你创造的不是“更好的美国“,而是一个完全不同的国家。即使这个新国家坐落在同一块土地上、由同一群人口组成,它也不是美国了。
作者主张,同样的逻辑适用于比特币。修改区块大小限制、改变交易格式、替换共识机制——这些变更的规模足以构成对系统身份的重新定义,应视作另起系统,而非简单的“升级“。当然,在分布式系统中,“升级后是否仍为同一网络“由社会共识、实现兼容性和经济连续性共同决定,这本身是一个有争议的问题。但从协议锁定的视角看,比特币的身份由中本聪在2009年发布的那套协议规则定义——遵守这套规则的链是比特币,实质性修改了这套规则的链,则是一个不同的系统。
这就是为什么分叉是退出而不是升级。你有权退出——任何人都有权基于修改后的规则运行自己的网络。但你不能在退出的同时声称你还在原来的系统内,就像你不能在修改宪法之后声称你的新政体还是原来的共和国。
理解这一点对于理解比特币的历史至关重要。2017年,BTC通过SegWit改变了交易格式。2017年8月,BCH从BTC中分叉出来;2018年5月重启若干操作码,11月又因OP_CHECKDATASIG等规则变更引发内部分裂,催生了BSV。每一次改变都创造了一个新系统——即使它们沿用了比特币的名字和交易历史。交易历史的连续性不等于协议的连续性,正如一个国家领土的连续性不等于政体的连续性。苏联解体后,俄罗斯联邦继承了苏联的领土和核武器,但没有人会说俄罗斯联邦就是苏联。
分叉的自由是重要的——它确保了没有人被迫留在一个他不同意的系统中。但分叉的代价也是清晰的:你失去了原始协议的网络效应、法律连续性和经济确定性。这个代价不是惩罚,而是逻辑必然——当你改变了游戏规则,你就开始了一场新游戏。
“一CPU一票“的真正含义
白皮书第四节有一句被频繁引用但几乎总是被误解的话:
“Proof-of-work is essentially one-CPU-one-vote.”
“工作量证明本质上是一个CPU一票。”
很多人把这句话理解为:比特币是一个民主系统,矿工通过算力投票来决定规则应该是什么。持有更多算力的矿工有更大的话语权来决定协议的走向。
这个理解几乎完全颠倒了白皮书的含义。
让我们回到上下文。这句话出现在白皮书第四节——工作量证明一节。紧接着的下一句是:
“The majority decision is represented by the longest chain, which has the greatest proof-of-work effort invested in it.”
“多数决定由最长链代表,因为最长链投入了最大的工作量证明。”(注:准确的技术描述应为“最大累计工作量证明链“,中本聪在白皮书中将其简化表述为“最长链“。)
而在白皮书的结论部分,中本聪进一步明确了这个投票的内容:
“They vote with their CPU power, expressing their acceptance of valid blocks by working on extending them and rejecting invalid blocks by refusing to work on them.”
“它们用CPU算力进行投票,通过在有效区块上继续工作来表达对其接受,通过拒绝在无效区块上工作来表达对其拒绝。”
请仔细阅读这段话。矿工投票的对象是什么?是“valid blocks“——有效区块。矿工用算力来表达的是:这个区块中的交易是诚实的,还是不诚实的。这是一个关于事实的投票——“这笔交易是否有效?这个区块是否遵守了规则?”——而不是一个关于规则本身的投票——“规则应不应该改?”
这个区别是根本性的。
法院里的陪审团投票来裁定被告是否有罪。但陪审团不投票来决定法律应该是什么。“被告是否犯了谋杀罪“是陪审团的职责;“谋杀罪的量刑标准应该是什么“不是陪审团的职责,而是立法机构的职责。把事实裁定权和规则制定权混为一谈,是对司法制度的根本误解。
同样,矿工的“一CPU一票“是对事实的裁定——哪些交易有效、哪个区块诚实——而不是对规则的投票。矿工执行规则,但不创造规则。基础共识规则应在协议发布时尽可能前置确定,就像法律在颁布的那一刻就已经生效了。矿工的角色是法官和陪审团,不是国会议员。
还有一个更微妙但同样重要的含义往往被忽略。“一CPU一票“强调的是持续的投入——你必须不断消耗电力和算力才能持续拥有投票权。这是一个流量概念,不是存量概念。
这与权益证明(PoS)形成了鲜明对比。在PoS系统中,投票权基于你持有多少代币——这是存量。你买入代币之后,无需任何额外投入,就能永久参与共识。这意味着早期的大户可以凭借已有的持仓永久控制系统,形成寡头固化。
而在PoW系统中,你昨天消耗的电力不会给你今天的任何优势。每一轮出块竞争都是从零开始的。你必须持续投入真实的物理资源才能持续参与——相较于PoS,PoW更强调持续资源投入,使得竞争在结构上更为开放。但现实中仍可能出现算力集中和规模优势——矿池集中、ASIC资本门槛、电价差异等因素都会影响竞争的实际开放程度。
这个区分——流量vs存量——在治理问题上有深远的含义。如果投票权基于存量(持仓),那么早期积累了大量代币的参与者就拥有了永久的治理权力。这与传统世界中的世袭贵族没有本质区别——你的权力来自你祖先的积累,而不是你今天的贡献。PoW要求的是持续的、当下的投入:你此刻正在消耗电力,你此刻就有投票权;你停止消耗,你的投票权立即消失。这不是民主——这比民主更公平,因为它把权力与持续的真实代价绑定在一起。
矿工执行规则,不创造规则
前面的分析自然引出一个关于矿工角色的根本命题:矿工是规则的执行者,不是规则的创造者。
这一点在白皮书中体现得极为清晰。白皮书第五节描述了网络运行的六个步骤——收集交易、构建区块、执行工作量证明、广播区块、验证交易、在新区块上继续工作。注意:每一个步骤都是在既定规则框架内的操作。没有任何一个步骤涉及“讨论是否修改规则“或“投票决定新规则“。
矿工的权力是巨大的——他们决定哪些交易被打包入块,以什么顺序排列,这是第九章详细讨论过的排序权。但这个权力有一个明确的边界:矿工只能在规则允许的范围内行使权力。 矿工可以选择优先打包高手续费的交易,但不能凭空创造交易。矿工可以拒绝打包某笔交易,但不能修改别人的交易。矿工可以竞争下一个区块的出块权,但不能修改出块规则本身。
用一个现实世界的类比:矿工就像是物流公司的司机。司机可以决定先送哪个包裹、走哪条路线、在哪个站点停留。这些都是司机在工作范围内的合法决策。但司机不能修改交通法规——他不能决定高速公路的限速应该是多少,不能决定红绿灯的时长应该改为多少秒。交通法规是由另一个机构制定的,司机的工作是在法规框架内高效运营。
比特币的协议就是这套交通法规。矿工在协议框架内竞争、排序、赚取利润——这是他们的权利和激励。但协议本身不是矿工可以投票修改的对象。
如果矿工真的试图执行一条违反协议的规则——比如给自己发放超过规定数量的区块奖励——全验证节点会拒绝这个无效区块,其他矿工也不会在它上面构建后续区块。矿工在竞争出块,但规则的最终执行依赖全验证节点与网络参与者的独立校验。这个违规矿工消耗了电力但产出被全网忽略,白白亏损。协议规则的执行不是靠某个权威机构的命令,而是靠每个节点的独立验证和每个矿工的自利计算:接受违规区块 = 自己的后续区块也面临被拒绝的风险 = 亏损。诚实是理性自利的结果,而不是道德约束的产物。
这个角色定位——执行者而非立法者——对于理解比特币的治理模型至关重要。在人类社会中,权力分立是治理的基本原则:立法权、行政权和司法权不应该集中在同一个人或机构手中。比特币的设计贯彻了同样的原则。立法权(制定规则)属于协议本身——在发布的那一刻就固定了,此后不归任何人管辖。行政权(执行规则)属于矿工——他们通过算力竞争来打包交易、验证区块。这两种权力被严格分离:执行者无权改变他所执行的规则。
这种分离不是偶然的设计选择,而是消除腐败的必要条件。当一个人同时拥有制定规则和执行规则的权力时,他自然会制定对自己有利的规则。这是人性,不需要道德判断——只需要承认人是理性自利的。比特币通过把规则固化在协议中,从根本上剥夺了任何人“为自己量身定制规则“的可能性。
开发者治理的危险:当代码管理者变成立法者
BIP流程:一个精心包装的中心化权力
既然矿工不创造规则,那规则的制定者是谁?在中本聪的设计理念中,答案是:基础共识规则应在协议发布时尽可能前置完成,此后对任何变更都应极其谨慎。
但现实中发生了完全不同的事情。
在BTC生态中,协议的修改通过一个叫做BIP(Bitcoin Improvement Proposal,比特币改进提案)的流程进行。任何人都可以提交BIP,经过社区讨论和开发者审核后,如果获得足够的支持,就会被合并到Bitcoin Core客户端代码中。由于Bitcoin Core是绝大多数BTC节点运行的客户端软件,只有当节点运营者自愿下载并安装新版本、且满足激活条件时,新规则才可能被执行。
表面上看,这是一个开放、透明、社区驱动的流程。但剥开这层包装,你会看到一个完全不同的现实。
BIP提案的走向,很大程度上取决于Bitcoin Core的维护者——一小群拥有代码库提交权限的开发者。他们决定哪些提案值得认真对待,哪些应该被搁置。他们决定代码的合并时间表。他们决定新版本的发布节奏。他们是代码库的守门人。
维护者对议题进入主流实现有显著影响,但提案是否被采用,仍取决于实现者、节点运营者、矿工与经济多数的协调。尽管如此,由于Bitcoin Core在实践中的主导地位,这种影响力不容低估。他们不需要获得所有矿工的同意——他们只需要发布新版本的软件。由于网络效应和兼容性压力,矿工和用户几乎别无选择,只能更新到最新版本。反对者会被边缘化,最终不得不跟随大多数人的选择,或者分叉离开。
这正是2017年围绕SegWit发生的事情。SegWit的激活是一次复杂的经济与社会协调过程——涉及矿工信号、UASF(用户激活软分叉)压力、交易所与商家的表态等多方博弈。代码库控制是影响因素之一,但远非全部。最终,反对者分叉出了BCH(后来进一步分叉出了BSV),而BTC在多方力量的合力下完成了这次协议变更。
这个过程揭示了一个更深层的问题:BIP流程的开放性是一种错觉。是的,任何人都可以提交提案。但在实践中,只有一小群核心开发者的意见真正重要。他们通过在邮件列表中的讨论、在GitHub上的代码审查、以及在开发者会议中的共识形成来决定协议的走向。这个群体的规模通常在十人左右——有时甚至更少。
十个人决定了一个价值数万亿美元的全球金融系统的运行规则。而且他们不是通过选举产生的,没有任期限制,不受任何外部监管机构的约束。他们的权力来源是对代码库的控制——这是一种纯粹的技术权力,却在事实上具有立法效力。
这正是比特币要消除的
让我们退后一步,回忆一下比特币为什么存在。
白皮书第一节的第一句话:
“Commerce on the Internet has come to rely almost exclusively on financial institutions serving as trusted third parties to process electronic payments.”
“互联网上的商业活动已经几乎完全依赖于金融机构作为可信第三方来处理电子支付。”
比特币的全部意义在于消除对可信第三方的依赖。银行可以冻结你的账户、修改你的余额、改变服务条款——这是中心化权力的本质属性。比特币通过去中心化的工作量证明来消除这种权力:没有人能单方面修改账本,没有人能冻结你的UTXO,没有人能改变规则。
但如果一群开发者可以通过控制代码库来修改协议规则,那么他们就成了新的可信第三方。你必须信任他们的判断是正确的,信任他们没有利益冲突,信任他们不会在某个“改进“中塞入对自己有利的条款。
这与信任银行有什么本质区别?
银行修改你的服务条款时,至少还受到监管机构的约束。开发者修改比特币协议时,几乎没有任何外部制约——代码库是他们自己管理的,审核流程是他们自己设计的,发布节奏是他们自己控制的。
中本聪的“set in stone“原则,不是一种技术偏执,而是对这种危险的预防。协议锁定意味着:没有人——不是矿工,不是开发者,不是任何“社区领袖“——拥有修改规则的权力。规则是固定的,就像物理常数是固定的。你不能投票修改光速,你也不能投票修改比特币的协议。
有人会说:“但开发者是善意的,他们是在改进系统。“也许是的。但比特币的全部设计理念就建立在一个前提之上:系统的安全性不应该依赖于任何人的善意。 白皮书不假设矿工是善意的——它设计了一个让自私的矿工也不得不诚实的机制。同样的原则必须适用于开发者:即使开发者的意图是善意的,系统也不应该给他们修改规则的权力。善意不是治理的基础——约束才是。
软件更新不等于协议变更
有人可能会反驳:难道比特币的软件永远不能更新吗?Bug不修复吗?性能不优化吗?
这个反驳混淆了两个完全不同的概念:协议和实现。
协议是规则——区块奖励是多少、交易格式是什么、难度调整如何计算、脚本如何执行。这些是写入石头的部分,不可更改。
实现是遵循这些规则的具体软件——用什么编程语言、数据库如何优化、网络层如何传播区块。这些是可以改进的部分,而且应该持续改进。
一个类比:国际象棋的规则是固定的——马走日、象走斜、将杀即胜。但国际象棋的棋盘可以是木头的,也可以是电子的;棋子可以是传统的,也可以是现代设计的;计时器可以是机械的,也可以是数字的。棋盘、棋子、计时器都可以不断改进,但规则不能动。你可以造出世界上最精美的棋盘,但你不能在上面加第九列。
高性能节点实现方案(如BSV生态中的Teranode)就是一个例子。它对矿工软件的架构进行了根本性的重构——微服务化、水平扩展、数据库层优化——使得交易处理能力提升了几个数量级。但它没有改变任何一条协议规则。区块奖励没变,交易格式没变,脚本执行逻辑没变。它是一个更好的实现,不是一个新的协议。
这就是“set in stone“的精确含义:石头上刻的是规则,但你可以用更好的工具来阅读石头上的文字。
理解了这个区分,很多关于比特币“停滞不前“的批评就显得荒谬了。批评者说:“比特币的代码十几年没有重大更新了,这说明它在技术上已经过时。“这就像批评国际象棋的规则几百年没有更新,所以国际象棋“在游戏设计上已经过时”。规则不需要更新——规则的意义就在于不变。需要更新的是实现:更好的棋盘、更精确的计时器、更高效的比赛组织方式。比特币的实现在持续进化——从最初中本聪用C++写的原始客户端,到今天高度模块化的专业矿工软件——而协议规则纹丝不动。这不是停滞,这是正确的。
法律、经济、技术的三重必然
让我们把这一章的论证汇总成一个清晰的框架。比特币的协议不可更改,不是一个人的主张或一种哲学偏好,而是法律、经济和技术三个维度的共同必然。
法律维度:比特币要作为法律证据和商业基础设施,其规则必须像法典一样稳定。法院不会依赖一个随时可能变更规则的系统。合同的有效性建立在规则的可预测性之上——如果底层协议随时可能改变,任何基于它的合同都是不可靠的。
经济维度:矿工的长期投资决策依赖于规则的确定性。如果协议可以被修改,矿工面临的不确定性将使理性投资变得不可能,最终导致算力下降和安全性崩溃。更根本地,改规则就是在既有参与者之间进行财富再分配——补贴一方,掠夺另一方——这摧毁了系统的公平性和公信力。
技术维度:协议锁定消除了对开发者的信任依赖——这正是比特币存在的理由。如果协议可以被一小群开发者修改,比特币就不再是“不依赖可信第三方的电子现金系统“,而是“依赖开发者作为可信第三方的电子现金系统“。你只是把银行家换成了程序员,信任问题原封不动。
三条线索汇聚到同一个结论:协议必须锁定。 这不是教条,不是保守主义,不是对创新的抵触。这是从比特币的核心使命——消除对可信第三方的依赖——出发,逻辑推导出的唯一可能的治理模型。
回到汉谟拉比的石碑。三千多年过去了,那根石柱上的282条法律至今清晰可读。不是因为巴比伦的技术有多先进,而是因为石头忠实地保存了刻在上面的每一个字。如果汉谟拉比把法律写在沙地上,或者写在每周更换一次的羊皮纸上,我们今天将对巴比伦法律一无所知。载体的持久性决定了信息的持久性,规则的不变性决定了系统的可信度。
中本聪深刻地理解了这个道理。他设计比特币时,不仅让账本不可篡改(通过工作量证明),还让解读账本的规则不可篡改(通过协议锁定)。两者缺一不可。一个数据不变但规则可变的系统,就像一块石碑上刻着密文,而密码本每年换一次——你永远不知道去年刻下的到底是什么意思。比特币的“set in stone“同时锁定了数据和规则,使这个系统提供了一种极少见的、可公开验证且难以单方篡改的长期记录机制。
小结
比特币的治理答案出人意料地简单:没有单一治理者,但存在分布式、去人格化、低频且高成本的治理机制。作者主张,基础共识规则应在协议发布时尽可能前置确定,此后极其谨慎地对待任何变更。矿工执行规则,但不创造规则。开发者优化实现,但不修改协议。“一CPU一票“是对交易事实的裁定,不是对协议规则的公投。任何改变基础协议的行为都不是升级,而是退出——创建的是新系统,不是更好的比特币。
协议锁定是法律可信度、经济可计算性和去中心化承诺的共同要求。一个规则随时可变的系统,不可能成为全球商业的基础设施,正如一部随时可修改的宪法不可能维持一个稳定的法治社会。中本聪把规则写入了石头,不是因为石头很酷,而是因为只有石头才能承载信任。
治理的问题解决之后,我们可以转向一个更具体的技术话题:比特币的处理能力。如果比特币要成为全球电子现金系统,它必须承载全球规模的交易量。下一章,我们将论证比特币的扩容不需要Layer 2或侧链——一条链就够了。
第十三章:扩容——一条链承载全球
引子
2017年12月,比特币网络经历了一次窒息。
那个月,BTC的价格冲上了接近两万美元的历史新高,全球数以百万计的新用户涌入。交易量暴增,虽然SegWit已于当年8月激活,但由于采用率极低,有效容量仍然严重不足。结果是:内存池中积压了近十八万笔未确认交易,平均手续费飙升到五十多美元,确认时间从十分钟延长到数小时甚至数天。一笔两美元的咖啡交易,手续费比咖啡本身贵二十五倍。
那一刻,比特币作为“点对点电子现金“的功能被彻底摧毁了。
行业的主流叙事是:比特币天生不能扩容,所以我们需要闪电网络、需要L2、需要侧链来“帮助“它。第四章已经论证了为什么这些外部方案全部通向死胡同——它们无一例外地重新引入了可信第三方。但破完之后必须立。本章要回答一个更根本的问题:比特币到底能不能在链上直接扩容?
答案就写在白皮书里。不是藏在某个晦涩的段落中,而是明明白白地写在第七节和第八节。中本聪不仅预见了扩容的需要,而且从第一天起就设计了完整的扩容架构——默克尔树、简化支付验证(SPV)、磁盘空间回收——每一个设计选择都指向同一个方向:为承载全球规模的交易量做准备。1MB的限制从来不是设计参数——它是一个临时的反垃圾邮件措施,后来被异化成了不可触碰的教条。
白皮书的原始扩容设计:SPV与大区块
默克尔树:为十亿笔交易而造
要理解比特币的扩容架构,先要理解一个数据结构的选择:默克尔树(Merkle Tree)。
比特币区块中的交易不是简单地排成一个列表。它们被组织成一棵二叉哈希树——底层是每笔交易的哈希,两两配对向上合并,最终汇聚成一个树根(Merkle Root),这个树根被写入区块头。
这个设计选择本身就是最有力的证据。
如果中本聪设计比特币只是为了每秒处理七笔交易——1MB区块最多容纳约四千笔交易——默克尔树的对数级证明优势还不太明显。当然,默克尔树也服务于轻客户端验证与历史数据修剪,即便在较小规模下仍有工程价值。但它真正的威力,要在区块包含数百万乃至数十亿笔交易时才充分体现。
默克尔树的威力在于对数级的证明路径。树每增加一层,可容纳的交易数量翻倍,但证明一笔交易存在于区块中所需的数据只增加一个哈希值——32字节。具体来说:
- 一个包含4,096笔交易的区块,证明路径需要12个哈希(384字节)
- 一个包含100万笔交易的区块,证明路径需要20个哈希(640字节)
- 一个包含10亿笔交易的区块,证明路径也只需要30个哈希(960字节)
从四千笔到十亿笔,交易数量增加了二十五万倍,但证明路径只增加了18个哈希——576字节。
默克尔树这种对数级数据结构的选择,说明中本聪在2008年就充分考虑了系统的扩展性。这不是事后的优化,这是从第一天起就为大规模扩容做的架构准备——尽管默克尔树本身不能单独证明他预期了十亿级单块,但它确实是为容纳海量交易而选择的正确数据结构。
SPV:让用户只做用户
有了默克尔树,白皮书第八节给出的方案就水到渠成了:
“It is possible to verify payments without running a full network node. A user only needs to keep a copy of the block headers of the longest proof-of-work chain, which he can get by querying network nodes until he’s convinced he has the longest chain, and obtain the Merkle branch linking the transaction to the block it’s timestamped in.”
“不运行完整的网络节点也可以验证支付。用户只需要保留最长工作量证明链的区块头副本——他可以通过查询网络节点来获取,直到确信自己拥有最长链——并获取将交易链接到其被加盖时间戳的区块的默克尔分支。”
这就是简化支付验证(Simplified Payment Verification,SPV)。
一个区块头只有80字节。按每十分钟一个区块计算,一年的区块头总量约4.2MB。这意味着一部普通的智能手机就能存储比特币诞生以来所有的区块头——2009年至今十七年的全部区块头加起来也不到100MB。用户通过SPV验证一笔支付,只需要下载几百字节的默克尔路径,就能确认自己的交易已经被包含在具有最多工作量证明的区块链中。需要注意的是,SPV验证的是交易被收录于最长链的某个区块中,而非像全节点那样独立验证全部共识规则,因此在安全性和隐私性上弱于全节点验证。
这个设计的意义是什么?它彻底解耦了“使用比特币“和“运行比特币节点“这两件事。
白皮书第五节定义了节点的操作步骤:收集新交易、构建区块、寻找工作量证明、广播区块、验证并接受区块。每一步都涉及区块的构建或工作量证明的竞争。在白皮书第五节的语境中,节点描述的是参与出块的网络节点流程。需要注意,在后来的实现与社区术语中,“全节点“通常指独立验证共识规则的节点,不必参与挖矿——但白皮书原文中的“节点“侧重于参与出块的角色。
中本聪在BitcoinTalk论坛上进一步明确了这个设计意图:比特币网络在成熟形态下,将由少数大型专业节点(矿工)处理交易和构建区块,普通用户通过SPV进行支付验证。他预计网络最终不会有超过十万个节点——这里的节点指的是出块矿工,不是下载了区块链但不参与出块的旁观者。
这和互联网的架构完全一致。绝大多数互联网用户不运行Web服务器。你用浏览器访问网页,不需要自己架设一台Apache服务器。互联网的开放性不在于每个用户都运行服务器,而在于任何人都可以架设服务器、任何人都可以接入网络。比特币的去中心化遵循完全相同的逻辑——任何人都可以成为矿工参与出块,但大多数人只需要做用户。
“每个人都应该运行全节点“这个叙事有一个致命的逻辑漏洞。一台下载了完整区块链但不参与出块的机器,在白皮书的定义下根本不是节点。它不参与工作量证明,不构建区块,不对交易排序施加任何影响——对出块共识的直接贡献为零,尽管它在独立验证和网络传播上仍有一定作用。这就像站在山顶上观看机场的飞机起降:你能看到所有航班,但你无法影响塔台的任何一个调度决定。看到和影响是两回事。你为了维护一个对共识没有贡献的指标,牺牲了系统的实际处理能力——这不是工程上的权衡,这是逻辑上的混乱。
白皮书在SPV部分还特别指出了一个务实的分层:
“Businesses that receive frequent payments will probably still want to run their own nodes for more independent security and quicker verification.”
“频繁接收支付的企业可能仍然希望运行自己的节点,以获得更独立的安全性和更快的验证速度。”
这就是中本聪设想的网络分层:大型企业和交易所运行全节点(即矿工节点或连接到矿工的验证节点)以获得最高安全性,普通用户通过SPV在手机上完成日常支付。不同角色承担不同的基础设施责任,正如互联网上谷歌运行着数百万台服务器,而你用手机浏览器就够了。
磁盘空间回收:为海量数据而备
白皮书第七节讨论的“回收磁盘空间“同样是扩容设计的一部分:
“Once the latest transaction in a coin is buried under enough blocks, the spent transactions before it can be discarded to save disk space. To facilitate this without breaking the block’s hash, transactions are hashed in a Merkle Tree, with only the root included in the block’s hash.”
“一旦一枚货币的最新交易被足够多的区块所覆盖,之前已花费的交易就可以被丢弃以节省磁盘空间。为了在不破坏区块哈希的情况下实现这一点,交易被哈希到一棵默克尔树中,只有树的根节点被纳入区块的哈希。”
已花费的交易输出——就像一枚已经被使用过的硬币——可以从活跃的UTXO集合中移除。默克尔树的结构保证了即使底层的交易数据被修剪,区块头的哈希仍然有效。这意味着验证节点可以在完成全历史验证后修剪旧的区块数据,不需要永久存储所有历史交易。但需要澄清的是,这并非从一开始就只需保存UTXO集合与区块头——节点仍需先下载并验证完整历史,还需保留索引及近期链数据以应对可能的链重组。修剪后的历史交易数据可以由专门的存档服务保管,需要时再查询。
如果中本聪只预期每个区块几千笔交易,为什么要专门设计磁盘空间回收机制?答案和默克尔树一样:这些设计只有在海量交易的场景下才有意义。整个白皮书的数据架构——默克尔树、SPV、磁盘空间回收——构成了一套完整的、从第一天就设计好的大规模扩容方案。
设计意图的汇合
SPV + 大区块 = 白皮书从一开始就内置的扩容架构。默克尔树确保了验证效率与区块大小无关,SPV确保了普通用户不需要处理整个区块链的数据,磁盘空间回收确保了节点的存储负担不会无限膨胀。区块容量可以随硬件与网络条件持续扩大,而SPV用户的验证成本增长极为缓慢(仅区块头的线性增长)。当然,系统整体成本——矿工的传播和验证负担——会随区块增大而增长,但这些成本集中在基础设施层,由专业参与者承担。这是一个精巧的分层设计:底层的矿工网络承担重活——验证、存储、出块;上层的用户只需要几百字节的默克尔路径就能确认自己的交易。复杂性留在基础设施层,简洁性留给终端用户。
1MB:一个临时的反垃圾措施
既然白皮书的设计天然支持大区块,那1MB的限制是从哪来的?
2010年7月,中本聪在代码中加入了1MB的区块大小限制。在比特币诞生的最初阶段,网络极其脆弱,矿工数量很少,攻击者可以用极低的成本创造大量垃圾交易来膨胀区块、拖垮网络。1MB的限制是一个临时的安全阀——当网络还是一棵幼苗时,给它加一圈栅栏防止被踩踏。
这个限制从来不是比特币的“设计参数“,就像脚手架不是建筑的一部分。中本聪本人在论坛上多次讨论过将来提高区块大小的计划,他的语气是理所当然的——当然会提高,这有什么好争论的?
但后来发生了一件中本聪没有预料到的事:他在2011年离开了。而这个临时的1MB限制,在没有创始人主导的情况下,逐渐被一部分开发者重新诠释为“比特币的核心特性“。围绕它形成了一整套意识形态叙事——“小区块保护去中心化”、“每个人都应该运行全节点”、“比特币是数字黄金不需要处理日常交易”。
一个工程参数被异化成了政治图腾。一个临时的安全措施被供奉为不可触碰的教条。区块大小本应是一个根据技术条件和网络需求动态调整的工程参数——正如互联网带宽从56kbps升级到光纤,每一次跃迁都是工程师评估硬件能力和用户需求后做出的技术决策。但比特币社区把区块大小变成了一场持续十年的意识形态战争,一个本可以随硬件能力平滑升级的参数,在长达十余年间仅有极为有限的调整。BTC在2017年通过SegWit将区块限制改为4,000,000 weight units,理论上允许约4MB的区块,但实际平均区块大小远未达到上限,容量提升十分有限。
后果是严重的。即便在SegWit之后,BTC的链上吞吐量也仅约每秒7到15笔交易。全球每天约有数十亿笔电子支付交易——即使只承接其中千分之一(约数百万笔/天),也需要每秒处理数十到上百笔。即便这个门槛看似不高,要承载全球规模的支付量(数千乃至数万TPS),当前的容量仍然差了几个数量级。
更深层的后果是经济模型的扭曲。当区块空间被人为制造成稀缺资源时,交易手续费不是由市场的自然供需决定的,而是由人为限制制造的拥堵决定的——本质上是一种人为制造的拍卖。2017年12月的五十美元手续费,不是比特币网络运行的真实成本,而是人为瓶颈制造的溢价。
这就好比一条本可以是六车道的高速公路,被人为缩窄成了一条单车道的乡间小路。然后,当车辆排起长龙时,有人站出来说:“你看,这条路天生就只能通过这么多车。我们需要在旁边建一套空中轨道系统来分流。”
不。你需要做的,是把路拓宽。
闪电网络与高费模式:治标之药,致命之毒
闪电网络:因人为限制而生
闪电网络(Lightning Network)是1MB限制的直接产物。它的存在逻辑是这样的:既然主链每秒只能处理七笔交易,那就让大量交易在链下的“支付通道“中完成,只在开启和关闭通道时才使用主链。
这个方案的根本问题不在于技术实现的细节——虽然细节问题也很多——而在于它存在的前提就是错的。闪电网络不是因为比特币协议有内在的容量天花板才需要的。它是因为一个临时的1MB限制被拒绝移除,人为制造了主链拥堵,才“不得不“被发明出来的。
这就像一个人故意把自己家的门缩窄到只能侧身通过,然后花巨资在墙上开了一扇窗户来搬运家具。你问他为什么不把门拓宽,他说:“门的大小是不可更改的核心参数。窗户才是未来。”
但让我们暂时把前提问题放在一边,看看闪电网络本身的运作机制。
两个用户要通过闪电网络交易,首先需要在主链上开启一个双向支付通道,双方各锁定一定数量的比特币。之后,双方可以在通道内来回转账任意多次,每次转账不需要上链,只需要双方互相签署新的余额分配方案。当双方决定结束合作时,将最终的余额分配提交到主链上结算。
如果两个人之间没有直接的通道怎么办?那就需要通过中间节点路由——A付给B,B付给C,C付给D。这个路由过程需要每个中间节点都有足够的流动性锁定在通道中,而且路由路径必须在支付发起时就完整确定。
这个机制在本质上具有“延迟上链结算“的特征。
A给B签署一份余额分配方案,B给C签署一份类似的方案,C给D签署又一份。这些状态在链下更新,只有在最终结算时才转化为链上的真实交易。在结算之前,参与者持有的是由密码学约束的通道状态,而非链上已确认的资金转移。
这和传统金融中的票据贴现、银行之间的净额结算有相似之处吗?在“延迟结算“这一点上,确实有结构上的类似。但与传统信用票据不同,闪电网络的通道状态由多重签名、哈希时间锁合约(HTLC)和链上惩罚机制约束——如果一方试图作弊,另一方可以通过链上交易没收对方的资金。这种密码学执行力是传统票据系统不具备的。尽管如此,在通道状态尚未上链的期间,参与者面临的仍然是一种需要监控和及时响应的延迟结算风险。
双向通道的可用性困境
闪电网络的实际可用性面临一系列结构性问题。
流动性锁定。 每个支付通道都需要预先锁定资金。如果你想通过闪电网络支付最多1000美元,你和你的交易对手合计需要在通道中锁定至少1000美元。这些资金在通道关闭之前不能挪作他用。要让闪电网络覆盖日常支付场景,全网需要锁定的资金总量将是天文数字。
路由问题。 当网络规模扩大时,找到一条从支付方到收款方的有效路由路径变得越来越困难。每个中间节点必须在相应的通道中拥有足够的余额来转发支付——如果路径上任何一个节点的通道余额不足,整笔支付就会失败。用户经常遇到“支付路由失败“的错误提示,尤其是在尝试支付较大金额时。
在线要求。 接收方必须在线才能接收支付。这意味着你不能像发送一封邮件那样“发过去就行“——对方必须实时在线响应。对于一个声称要服务全球数十亿人口的支付网络来说,要求每个用户时刻保持在线是不现实的。
通道管理成本。 开启和关闭通道本身需要链上交易,而链上交易恰恰是闪电网络要避免的东西。如果链上手续费很高(这正是闪电网络存在的原因),那么开启和关闭通道的成本也很高。在链上拥堵时期,一个普通用户开通道的成本可能高达数十美元——这个入门成本足以把大量小额支付用户拒之门外。即使在低费时期成本较低,这种对链上费率的结构性依赖仍然是一个根本矛盾。
安全性依赖于监控。 闪电网络的安全模型要求用户持续监控链上状态,以防通道对手方提交过时的交易来窃取资金。如果你的节点离线太久,对方可以把一个旧的、对他有利的状态提交到链上。你需要在限定时间内发现并提交惩罚交易——否则资金就归对方所有。这种“需要持续在线监控否则可能被偷“的安全模型,对普通用户来说是不可接受的。
中心化趋势。 闪电网络的路由机制天然产生中心化压力。要成为一个有效的路由节点,你需要锁定大量资金在多条通道中,并保持节点24小时在线。谁有这个能力?大型机构——交易所、支付公司、专业流动性提供商。随着网络扩展,支付路由越来越倾向于经过这些大型枢纽节点。网络拓扑逐渐从理想中的“对等网状结构“演变为“中心辐射结构“——几个大节点成为大部分支付的必经之路。
这意味着什么?意味着闪电网络越成熟,就越可能在网络拓扑上呈现中心化特征——少数大型枢纽节点处理大部分交易路由。需要指出的是,闪电网络的路由节点并不托管用户资金,支付是原子性的(要么完成要么失败),这与银行托管模式有本质区别。但在可用性、流动性分配和网络拓扑上,它确实会引入中心化压力——这与“协议层面必须信任中间人托管资金“不是一回事,但会在实践中削弱点对点网络的理想形态。
这些不是可以通过工程优化解决的边缘问题。它们是双向支付通道这种机制的结构性限制。闪电网络在小规模、双方高频交易的场景下可以工作——比如两家经常互相结算的企业。但作为全球支付基础设施?它缺少的不是技术打磨,而是正确的架构基础。
让我们回到最根本的那个问题:如果主链本身可以每秒处理百万笔交易、每笔手续费不到一分钱,闪电网络的核心需求将大幅收缩。L2在即时交互、特定隐私模型或应用层场景上可能仍有一些价值,但作为解决容量瓶颈的核心方案?当瓶颈本身被拆除时,绕行方案的必要性就大打折扣了。
高费模式:摧毁比特币的现金本性
1MB限制带来的不仅是闪电网络这个技术绕行方案,更致命的是它扭曲了比特币的经济模型。
白皮书第一节明确指出了比特币要解决的问题:
“The cost of mediation increases transaction costs, limiting the minimum practical transaction size and cutting off the possibility for small casual transactions.”
“调解成本增加了交易费用,限制了最低实际交易规模,切断了小额临时交易的可能性。”
比特币被发明出来,恰恰是要消除小额支付中不合理的高成本。白皮书的标题写得清清楚楚——“A Peer-to-Peer Electronic Cash System”——点对点电子现金系统。现金的核心特征是什么?任何人都可以用,任何金额都可以交易,交易成本趋近于零。
当链上手续费高达数十美元时,比特币的现金属性被彻底摧毁了。一笔五美元的支付,手续费五十美元——谁会用这样的“现金“?小额支付用户被完全排斥在外。日常消费场景——买咖啡、坐公交、打赏内容创作者——全部变得不可能。比特币从“人人可用的电子现金“退化成了“富人之间的数字黄金搬运工具“。
更深层的经济逻辑是这样的。
比特币的区块奖励每四年减半。2024年第四次减半后,区块奖励已经降到3.125个BTC。2028年减半后为1.5625个,2032年减半后降至约0.78个,2036年减半后仅约0.39个。区块奖励最终将趋近于零。届时,矿工的收入将完全依赖交易手续费。
这就引出了一个关键问题:矿工的手续费收入靠什么支撑?
有两种模式:
模式一:少量交易 × 高手续费。 维持1MB的区块限制,制造人为稀缺,每笔交易收取高额手续费。这是BTC当前的路径。
模式二:海量交易 × 极低手续费。 移除区块大小限制,让链上处理数十亿笔交易,每笔手续费只有几分钱甚至更低。
做一道简单的算术。
模式一:假设每个区块容纳4,000笔交易,每笔手续费10美元。每个区块的手续费收入 = 4,000 × 10 = 40,000美元。
模式二:假设每个区块容纳1,000,000笔交易,每笔手续费0.01美元。每个区块的手续费收入 = 1,000,000 × 0.01 = 10,000美元。
进一步扩展:假设每个区块容纳1亿笔交易(百万级TPS已被工程验证),每笔手续费0.001美元。每个区块的手续费收入 = 100,000,000 × 0.001 = 100,000美元。
模式二不仅在总收入上可以超过模式一,而且它的经济模型是可持续的——因为低手续费吸引更多用户和更多交易场景,更多交易场景带来更多交易量,更多交易量带来更多手续费总收入。这是一个正向飞轮。
模式一是一个负向螺旋——高手续费赶走用户,用户减少导致交易量下降,交易量下降要求更高的单笔手续费来维持矿工收入,更高的手续费赶走更多用户。最终,当区块奖励趋近于零时,如果没有足够的交易量支撑,矿工将无利可图,算力下降,网络安全性降低——这是一条通向系统性衰退的道路。
而模式二的飞轮效应远不止于手续费本身。当每笔交易只需要千分之一美分的手续费时,大量此前不可能的商业场景被激活:物联网设备之间的微支付、流媒体的按秒计费、社交媒体的内容打赏、供应链上每个环节的自动结算、机器与机器之间的实时交易。这些场景中的每一笔交易金额可能极小——几分钱甚至几厘钱——但交易总量是天文数字的。全球八十亿人口加上数百亿联网设备,每天产生的微交易量可以轻松达到万亿级别。
白皮书第六节对此的描述精确得几乎是预言性的:
“The incentive can also be funded with transaction fees… Once a predetermined number of coins have entered circulation, the incentive can transition entirely to transaction fees and be completely inflation free.”
“激励也可以通过交易手续费来提供……一旦预定数量的货币进入流通,激励就可以完全过渡到交易手续费,从而完全没有通货膨胀。”
“完全过渡到交易手续费”——这句话隐含的前提是什么?是必须有足够多的交易来产生足够多的手续费。如果每个区块只有四千笔交易,每笔手续费必须高到什么程度才能养活矿工?答案是:高到足以摧毁比特币作为现金的实用性。
中本聪设计的经济模型,从第一天起就是为海量低费而准备的。1MB的限制不仅是技术上的错误——它是对整个经济模型的根本否定。这就像一家航空公司设计了一架可以坐五百人的大飞机,然后有人把机舱门锁上只允许七个人登机,再用每张票几千美元的高价来覆盖运营成本。正确的商业模式显然是:让五百个人都上来,每人一百美元,总收入五万美元——远超七个人乘以几千美元。
链上扩容的工程可行性
第四章论证了“为什么L2不行“。上一节论证了“为什么比特币的原始设计支持链上扩容“。现在要回答最后一个问题:“怎么扩?”
这是一个纯粹的工程问题。不是政治问题,不是哲学问题,不是信仰问题——而是“给定当前的硬件技术和网络条件,如何让一条链处理全球规模的交易量“。
UTXO:天然的并行引擎
第四章已经详细对比了UTXO模型和账户模型。这里只重申关键结论。
每个UTXO是一个独立的、自包含的状态单元——就像一枚独立的硬币。你在北京花一枚硬币买咖啡,不会阻塞纽约另一个人用另一枚硬币买面包。消费不同UTXO的两笔交易之间,数据依赖为零,可以同时处理。
这意味着比特币的交易处理天然更便于并行化。UTXO模型下,无冲突的交易可以分配到多个处理器核心同时验证,大幅提升吞吐量。当然,实际吞吐仍取决于冲突检测、UTXO状态锁定、磁盘提交等实现细节,并非简单的“核心数等于TPS“。但关键在于:扩容的主要路径是增加硬件资源,而非修改协议规则。
相比之下,以太坊的账户模型把所有账户的状态塞进了一棵全局状态树。对同一个账户的多笔交易必须严格串行处理。智能合约之间的状态依赖使情况更加复杂。EVM按严格顺序逐笔执行交易——这是账户模型的结构性必然,不是实现上的偶然。
UTXO模型把扩容的瓶颈推到了带宽和存储上——而这两者是随摩尔定律和硬件技术进步持续改善的纯工程变量。账户模型则把瓶颈焊死在数据结构本身——全局共享状态的串行访问是一道无法通过加处理器核心突破的硬墙。
中本聪选择UTXO模型不是偶然的。它是为链上扩容而做的架构准备。
值得强调的是,UTXO模型意味着比特币的扩容上限不是一个固定的数字,而是一个持续增长的函数。处理器核心数在增加,存储容量在增加,网络带宽在增加——这些都是持续了半个世纪的技术趋势。当你的架构瓶颈在这些工程变量上时,你的系统容量会随硬件进步自动增长。这和以太坊形成了根本对比:账户模型的串行瓶颈不会因为硬件更快而消失——一条只有一个车道的路,不管你把路面铺得多平整,一次还是只能过一辆车。
从单体架构到微服务
传统的比特币节点是一个单一进程,独自承担所有功能:接收交易、验证交易、管理UTXO集合、构建区块、进行工作量证明计算、传播区块。这是经典的单体架构(monolithic architecture)——就像一家只有一个员工的公司,这个人同时做前台、会计、仓储、物流和客服。公司小的时候没问题,但业务量增长十倍、百倍、万倍之后,一个人就扛不住了。
单体架构的扩容方式是垂直扩展——换更快的CPU、更大的内存、更快的硬盘。但垂直扩展有硬性天花板:单台机器的性能总是有上限的。
正确的扩容方式是水平扩展——不是让一台机器做所有事情,而是让很多台机器各做一部分。这就是微服务架构(microservice architecture),它是互联网基础设施过去二十年最核心的工程经验。
把比特币节点拆分为独立的微服务,每个微服务根据自身的瓶颈独立扩展:
交易验证是CPU密集型任务。UTXO模型下,不同交易的验证互不依赖,可以分配到任意数量的无状态验证器实例上并行执行。交易量翻倍?增加一倍的验证器实例。
UTXO存储是I/O密集型任务。UTXO集合可以按哈希分片,分布到多台存储节点上。每台存储节点只负责一部分UTXO的读写。数据量翻倍?增加一倍的存储节点。
网络传播可以通过多实例并行连接来扩展。每个实例负责维护与一部分对等节点的连接。网络节点数翻倍?增加一倍的传播实例。
区块组装可以通过增量式默克尔树构建来并行化。交易被分批插入默克尔树的不同子树,最后合并。
内存池——未确认交易的暂存区——可以分布式存储,按交易哈希分片。
各服务之间通过异步消息队列通信,松耦合。某个环节成为瓶颈时,只需要增加该环节的实例数,不需要改动其他环节。这和你给网站加服务器是同一个逻辑——淘宝在双十一时不是换一台超级计算机,而是临时增加几万台普通服务器。
这不是理论构想。这是互联网公司过去二十年每天都在做的事情。任何一个大型互联网服务——谷歌搜索、亚马逊购物、微信消息——背后都是数以万计的微服务实例在协同工作。比特币节点从单体架构升级到微服务架构,不需要任何范式创新,只需要把互联网基础设施领域已经成熟的工程实践应用到区块链节点上。
大区块传播:一个已经解决的问题
“大区块传播太慢“是反对链上扩容的最常见论据之一。一个1GB的区块,要在全球矿工之间传播,岂不是需要很长时间?如果传播太慢,不就会导致更多的孤块和网络分叉吗?
这个论据建立在一个过时的假设上:区块传播需要传输区块中的全部数据。
实际上,绝大多数交易在被打包进区块之前,就已经通过网络传播到了各个矿工的内存池中。矿工A构建了一个区块,其中包含一万笔交易。矿工B的内存池中可能已经有了其中9,990笔。矿工A不需要发送这9,990笔交易的完整数据——在BIP152的致密区块(Compact Block)协议下,他主要发送:
- 区块头(80字节)
- 每笔交易的6字节短交易ID(而非完整的32字节哈希)
- 少量预填充交易
矿工B收到后,对照自己的内存池,根据短ID匹配已有交易,发现只缺了少数几笔。他只需要向矿工A按需补取这些缺失交易的完整数据即可。
这就是致密区块传播技术的核心思想。一个包含一万笔交易、原始大小可能数兆字节的区块,实际传播开销可以压缩到极小的量级,传播所需的带宽可减少99%以上。对于更大的区块,传播效率同样显著提升,但具体开销取决于内存池命中率和区块规模。
传播效率的提升是指数级的——因为绝大多数交易数据已经“预分发“到了全网。区块传播不是在传输新信息,而是在同步“哪些已有交易被打包进了这个区块“这一决定。
再加上专用的矿工网络——大型矿工之间通过高带宽专线连接,区块头和交易ID列表的传播可以在毫秒级完成。
这个道理其实非常直觉。想想你在网上看一部两小时的电影。电影文件可能有几个GB,但你不需要等整部电影下载完才能开始看——流媒体技术让数据在传输的同时就被消费。区块传播的优化逻辑与此类似:不是在出块时才一次性传输所有数据,而是在交易产生时就持续地将数据“流“向全网。到出块时,真正需要传播的新信息只是“这些已有的交易被打包了“这一决定本身。
大区块传播不是一个理论问题,更不是一个不可解决的问题——它是一个已经被工程实践解决的问题。
已被验证的事实
上述所有工程方案不是纸上谈兵。
BSV(Bitcoin Satoshi Vision)的Teranode节点实现,正是采用了微服务架构——将交易验证、UTXO存储、网络传播、区块组装拆分为独立服务,利用UTXO模型的天然并行性实现水平扩展。据BSV Association与Aerospike的公开测试声明,Teranode在分布式测试网络中宣称达到了百万级TPS的链上处理能力,区块大小达到GB级别。2024年7月的联合测试中,报告的数据库层吞吐量为300万TPS(即底层键值对操作,对应约100万全局比特币交易每秒)。2025年10月,BSV协会公开发布了Teranode源代码,两个矿工已在BSV主网上使用Teranode成功出块。需要指出的是,目前这些性能数据主要来自项目方自报和受控测试环境,尚缺乏独立第三方的可复现验证和主网长期运行数据。
作为参照:BTC节点约7 TPS。Visa全球网络的官方峰值容量约为每秒65,000条交易消息,按2024财年约2,338亿笔交易计算,日均实际处理约7,400 TPS。
如果这些数据得到独立验证,百万级TPS意味着单条链的链上吞吐量有望超越全球主要传统支付网络的处理能力。不是通过L2,不是通过分片——而是在同一条链上、同一个共识机制下、同一份不可篡改的账本中。当然,这条路线对去中心化的影响仍然取决于矿工集中度、带宽门槛和节点进入门槛等因素——这是一条明确的工程路线主张,其最终效果有待实践检验。
扩容从来不是技术上做不到。阻止扩容发生的从来不是工程瓶颈,而是行业的政治分歧——围绕一个本应是技术参数的数字,打了十年的意识形态战争。
这里有一个值得深思的现象。我们总是听到“比特币信仰“这个词——对去中心化的信仰,对数字黄金的信仰。但“信仰“这个词本身就说明了问题。我们之所以用“信仰“这种虚无缥缈的词汇,恰恰是因为它还没有被真正实现。没有人说“我信仰互联网“,没有人说“TCP/IP是我的信仰“。互联网不需要任何人的信仰——它就在那里,你打开浏览器就能用。比特币应该走同样的路。扩容不是一个需要站队的政治立场,而是一个已经被验证的工程方案。当比特币真正完成了它的工程使命——一条可以无限扩容的、承载全球交易的公共账本——“比特币信仰“这个词将自然消亡。就像“互联网信仰“从未存在过一样,因为没有人需要信仰一个你每天都在使用的基础设施。
小结
第四章论证了L2、多链、跨链桥为什么不行——它们无一例外地重新引入了可信第三方。本章论证了比特币为什么能在链上直接扩容——SPV和默克尔树是白皮书的原始设计,1MB限制是一个被异化的临时措施,UTXO的天然并行性为水平扩展提供了数据结构基础,微服务架构和致密区块传播已经在工程上验证了百万级TPS的可行性。
一条链,一个共识,一份账本,承载全球。这是一条已经展现出工程可行性的路线,其大规模落地仍需持续验证。互联网用三十年证明了一条网络可以承载全球所有的信息交换。比特币要证明的是同一件事——一条链可以承载全球所有的价值交换和数据确权。方法是相同的:不是因为协议本身有什么魔法,而是因为正确的架构选择使得系统容量可以随硬件进步持续增长,没有人为设定的天花板。
但一条能承载全球交易的链,如果只用来转账,那它还只是一条“管道“。白皮书给比特币的定义不仅是支付系统,它的脚本系统赋予了账本远超转账的能力。下一章,我们将看到这张“数字白纸“能写什么。
第十四章:脚本与智能合约——图灵完备的比特币
引子
1960年代,计算机科学家Charles H. Moore在美国国家射电天文台工作期间,开始构思并逐步发明了一种编程语言(初版约完成于1968年,首个完整独立实现则在1971年)。这种语言极其简洁——没有复杂的语法结构,没有华丽的抽象层,只有一个栈和一组操作符。你把数据压入栈中,操作符从栈顶取数、计算、再把结果放回去。整个计算过程像流水线一样,一步接一步,清晰透明,没有任何隐藏的状态。
这种语言叫Forth。
Forth从来没有成为主流编程语言。它太底层、太简洁,不符合大多数程序员对“现代语言“的审美期待。但它在一个特殊的领域获得了压倒性的成功:嵌入式系统和关键任务控制。NASA的航天器控制软件用Forth编写。医疗设备的固件用Forth编写。工业控制器、邮政分拣机、甚至某些核电站的监控系统——在对确定性和可靠性有极端要求的场景中,Forth长期占有一席之地。原因很简单:它的执行过程是完全可预测的。没有垃圾回收的暂停,没有动态分派的开销,没有隐藏的副作用。给定一段Forth代码和一组输入,你可以精确地预测每一步的栈状态和最终输出。
五十年后,中本聪为比特币设计交易验证语言时,选择了Forth作为蓝本。这不是巧合,也不是偶然。对于一个需要在全球数千个互不信任的节点上执行、且执行结果必须完全一致的脚本系统来说,确定性不是一个“有则更好“的特性——它是唯一的选择。
比特币脚本(Bitcoin Script)就是这样诞生的:一种高度借鉴了Forth哲学、基于栈操作的、确定性的脚本语言。在Forth的影响下,比特币脚本使用逆波兰表示法(Reverse Polish Notation)——先写操作数,再写操作符。数据被压入栈中,操作符从栈中取出数据、计算、把结果压回栈。整个过程没有变量名,没有对象引用,没有隐式的内存分配——每一步都是对栈的显式操作,完全透明,完全可追踪。
这种语言被设计来回答一个简单而关键的问题:谁有权花费这笔钱?
这个问题听起来简单,但它的答案空间远比你想象的大。一个条件可以是一个签名,可以是两个签名中的任意一个,可以是一个时间限制加一个签名,可以是一段数据的哈希值的匹配——可以是任何你能用逻辑表达的条件。
这意味着比特币脚本从诞生的第一天起,就不只是一个“验证密码“的工具。它是一种编程语言——一种为特定场景极度优化的、简洁到极致的编程语言。而这种语言的能力,远远超出了大多数人的认知。
被遗忘的图灵机:比特币脚本的原始设计与复兴
一种被严重低估的语言
大多数人对比特币脚本的印象,停留在“它只能做简单的转账验证“。这个印象不是完全错误的——如果你看的是当代BTC规则集下的比特币脚本的话。但如果你看的是中本聪2009年发布的原始版本,你会看到一个截然不同的东西。
比特币脚本的工作原理很直观。以传统交易格式为例,每一笔交易都包含两段脚本:一段叫“锁定脚本“(scriptPubKey),附着在每一个交易输出(UTXO)上,定义了“满足什么条件才能花这笔钱“;另一段叫“解锁脚本“(scriptSig),由花费者提供,包含满足条件的证据。(在BTC的SegWit/Taproot交易中,花费数据还可能位于witness等结构中,但基本原理相同。)验证时,解锁脚本和锁定脚本首尾相接,在一个栈上从左到右依次执行。如果执行完毕后栈顶值为“真“,交易有效;否则无效。
这就是全部了。没有虚拟机,没有全局状态,没有运行时环境。一个栈、两段脚本、一个真假判断。
但简洁不等于简陋。中本聪在原始版本中为这个脚本系统配备了丰富的操作码(opcodes):
- 算术操作:加减乘除(OP_ADD、OP_SUB、OP_MUL、OP_DIV)、取模(OP_MOD)
- 位运算:与或异或(OP_AND、OP_OR、OP_XOR)、取反(OP_INVERT)
- 字符串操作:拼接(OP_CAT)、截取(OP_SUBSTR、OP_LEFT、OP_RIGHT)
- 移位操作:左移右移(OP_LSHIFT、OP_RSHIFT)
- 密码学操作:多种哈希函数(OP_SHA256、OP_HASH160、OP_RIPEMD160)、签名验证(OP_CHECKSIG、OP_CHECKMULTISIG)
- 流程控制:条件分支(OP_IF、OP_ELSE、OP_ENDIF)、断言检查(OP_VERIFY,栈顶为假则立即失败)、显式终止(OP_RETURN)
把这些操作码组合起来,你能做的事情远不止“验证一个签名“。你可以构建多重签名方案——要求三个人中至少两个签名才能花费。你可以施加时间约束——通过交易级的nLockTime机制,让资金只能在某个时间点之后才能被移动(脚本级的绝对/相对时间锁如OP_CHECKLOCKTIMEVERIFY则是后续引入的能力)。你可以实现哈希锁——只有提供正确原像(preimage)的人才能解锁资金。你可以编写复杂的条件逻辑——“如果是Alice的签名,直接放行;如果是Bob的签名,必须等24小时;如果Alice和Bob都签名,可以立即转给第三方”。
这些不是理论推演。这些能力在2009年的比特币中就已经存在了。
更进一步地说,“谁有权花费这笔钱“这个看似简单的问题,实际上可以编码极其丰富的商业逻辑。一份合同本质上是什么?是一组关于“在什么条件下谁可以做什么“的规则。一份保险合同说“如果发生特定事件,保险公司支付赔款”。一份期权合约说“在到期日之前,持有者有权以约定价格买入标的资产“。一份多方合伙协议说“任何支出超过一万元,需要至少两位合伙人签名批准“。相当一部分与资金控制相关的合同条款,可以被抽象为“在什么条件下谁有权花费这笔钱“的形式——而这正是比特币脚本的表达域。当然,涉及外部事实、价格喂价、长期状态与复杂交互时,仍需要预言机、交易链设计或更高层协议的配合。
中本聪在设计比特币脚本时,给出的操作码集合远非只够做“简单转账“。他显然预见了更复杂的使用场景。字符串操作可以处理复杂的数据结构,位运算可以实现紧凑的状态编码,乘除法可以进行精确的金额计算。这些操作码的组合空间,足以表达相当复杂的商业逻辑。
事实上,中本聪在早期与其他开发者的交流中,多次提到了比特币脚本的扩展潜力。他设计的操作码集合不是为了“刚好够用“,而是为了提供一个足够丰富的基础工具箱,让未来的开发者可以在上面构建各种应用。用编程语言的术语来说,这些操作码构成了一个足够表达力的指令集——就像CPU的指令集不需要为每种应用定制专门的指令,只需要提供足够丰富的基础操作,剩下的由软件层面的组合来实现。
一次影响深远的“临时措施“
第三章已经详细叙述了这段历史,这里简要回顾关键节点。
2010年,比特币上线仅一年多,有人发现了脚本系统的安全漏洞。某些操作码的组合可以被恶意利用:OP_LSHIFT存在一个能让节点崩溃的bug;OP_CAT配合OP_DUP可以构造出指数级增长的数据,让验证节点的内存爆炸。面对这些真实的攻击向量,中本聪做了一个果断的决定:直接禁用存在风险的操作码。OP_CAT、OP_SUBSTR、OP_MUL、OP_DIV、OP_AND、OP_OR、OP_XOR、OP_LSHIFT、OP_RSHIFT——一批操作码被标记为禁用,执行到它们时脚本直接返回失败。
在当时的语境下,这是一个合理的工程决策。比特币刚上线一年多,全网算力极低,用户极少。一个严重漏洞就可能致命。先禁用,等网络成熟后再评估如何安全地恢复——这是正确的应急策略。
然后中本聪在2011年消失了。
接管代码库的Bitcoin Core团队不仅没有恢复这些操作码,反而在后续版本中通过共识规则和策略层规则进一步限制了脚本能力——脚本大小限制、操作码数量限制、栈深度限制相继被引入或保留,把一个原本灵活强大的脚本系统显著收窄了可用表达空间。被禁用的操作码从“临时的安全补丁“变成了长期未恢复的功能缺失。
到2013年Vitalik Buterin审视比特币脚本系统时,他看到的就是这个被大幅限制后的版本——一个连乘法都做不了的语言。他得出“比特币脚本太受限,不能做智能合约“的结论,是基于当时BTC代码的事实观察。他的批评中,有一部分针对的是当时被人为禁用的操作码和施加的限制,有一部分则针对UTXO+Script范式本身的约束(如缺乏状态感知和价值感知)。前者是可以恢复的人为限制,后者则是架构取舍的争论——是否足以因此另起炉灶,至今仍是一个可争辩的问题。
2018年,BSV(Bitcoin Satoshi Vision)项目启动,其核心目标之一就是恢复中本聪原始协议中被禁用的操作码,并移除Bitcoin Core后来添加的人为限制。到2020年的“Genesis“升级,BSV恢复了原始操作码并移除了多项人为施加的共识级限制,部分参数改为矿工可配置;后续的Chronicle升级仍在继续放宽。
这不是在比特币上“添加“新功能,而是把被拆掉的零件重新装回去。
这个区分至关重要。以太坊是在一个全新的架构上从零构建智能合约能力——新的虚拟机、新的数据模型、新的状态管理机制、新的共识规则。BSV是在中本聪的原始架构上恢复已有的能力——不需要新的虚拟机(脚本系统本身就是执行引擎),不需要新的数据模型(UTXO就是状态载体),不需要新的状态管理(每个UTXO自带状态,花费即回收),不需要新的共识规则(工作量证明和最长链规则原封不动)。一个是推倒重建,一个是修旧如初。两条路径的工程复杂度和风险完全不同。
打个比方:一台汽车的发动机被拆掉了。你有两个选择——把发动机装回去,或者从头发明一种全新的动力系统。前者需要的是机械师和原厂零件,后者需要的是数十年的研发和数十亿的投资,而且新动力系统很可能带来原始设计中不存在的新问题。以太坊走的是后一条路,BSV走的是前一条路。
不需要循环也能图灵完备
恢复操作码之后,比特币脚本的能力引出了一个核心问题:它是否图灵完备?
这个问题的答案需要分两个层面来理解。
第一个层面:单个脚本不是图灵完备的。
比特币脚本没有循环指令。没有OP_LOOP,没有OP_GOTO,没有任何允许执行流回到之前位置的操作码。脚本从第一个操作码执行到最后一个操作码,一条直线走到底。这意味着给定一段脚本,你可以在执行前就精确地知道它需要多少步才能执行完毕——步数等于操作码的数量。
这是一个刻意的设计选择,不是一个缺陷。
在计算机科学中,有一个著名的不可判定性结果叫“停机问题“(Halting Problem):对于一段图灵完备的代码,不存在通用的算法能在执行前判断它是否会终止。换句话说,如果你允许循环,你就无法保证每段代码都会执行完毕——它可能陷入无限循环,永远不停下来。
在以太坊中,这个问题通过Gas机制来处理:每一步计算消耗一定量的Gas,Gas耗尽时强制终止。这是一个可行的方案,但代价是巨大的复杂性——Gas价格需要估算、Gas市场可以被操纵、Gas耗尽导致交易失败但手续费照扣。
比特币在语言层面直接消除了这个问题。没有循环,就不存在无限循环的可能性。每段脚本的执行时间有确定的上界,验证节点可以在接受脚本之前就知道验证它需要多少资源。不需要Gas机制,不需要运行时计量,不需要任何额外的复杂性。
这就是Forth哲学在比特币中的体现:用语言层面的约束来保证运行时的安全性。
很多人把“没有循环“视为一种限制。但这恰恰是看问题的角度决定了结论。从功能的角度看,没有循环确实意味着单个脚本的计算能力是有限的。但从安全的角度看,没有循环意味着验证节点在接受一笔交易之前,可以精确地知道验证它需要消耗多少计算资源。这种可预测性在去中心化网络中是极其宝贵的——如果验证一笔交易的成本不可预测,恶意用户就可以构造消耗巨大资源的交易来瘫痪网络。以太坊为此付出了沉重的代价:2016年的“上海攻击“(Shanghai DoS Attack)正是利用了EVM中某些操作码的Gas定价过低,构造了执行极其缓慢的交易来瘫痪网络,迫使以太坊进行紧急硬分叉来修改Gas价格表。在比特币中,这类攻击在语言层面就被消除了。
第二个层面:在交易链迭代的建模下,比特币系统可以被论证为图灵完备的。
单个脚本不能循环,但交易可以链接。
回忆一下UTXO模型的工作方式:每笔交易消费一组UTXO作为输入,产生新的UTXO作为输出。每个输出UTXO上附着一段锁定脚本,定义了下一次花费的条件。当这个UTXO被花费时,花费者提供解锁脚本,两段脚本一起执行来验证交易的有效性。
现在,想象这样一个场景:交易A产生了一个UTXO,这个UTXO的锁定脚本不仅检查花费条件,还要求下一笔交易的输出UTXO必须包含特定格式的锁定脚本——也就是说,当前交易对未来的交易施加了约束。交易B花费了A的输出,执行了一步计算,把结果编码在新的UTXO中,同时继续对未来的交易施加约束。交易C花费了B的输出,执行下一步计算,以此类推。
每一笔交易是一个计算步骤。每个步骤保证终止(因为单个脚本没有循环)。但步骤的序列——交易链——可以无限延伸。
这就是比特币实现图灵完备性的论证路线:不是在单个脚本内部通过循环来实现,而是通过交易链的迭代来实现。单个脚本是有界的计算步骤,交易链是无界的计算序列——这种“空间换时间“的逻辑,将原本需要在一个循环内完成的计算,横向展开到了时间轴上的交易链中。安全性和计算完备性在不同的层面上被分别保证。需要指出的是,这一论证依赖于将UTXO状态传递与交易链迭代视为合法的计算模型,这是一种特定的建模方式,而非学术界的无争议定论。
这个论证不是纯理论的。sCrypt团队在比特币上实现了图灵机的直接模拟——每一步状态转换是一笔链上交易,磁带状态编码在UTXO中。他们还实现了Conway的生命游戏(Game of Life)和Rule 110元胞自动机——这两个系统都已被数学证明具有图灵完备性。这些实现构成了支持该观点的有力演示,尽管从有限实现到平台完备性的严格证明之间,仍需补充更正式的模型假设与证明链条。
让我们用一个更通俗的类比来理解这个设计。
想象一条工厂的流水线。每个工位执行一个固定的操作——切割、焊接、打磨、组装。没有哪个工位会“循环“执行自己的动作无数次——那会卡住整条流水线。每个工位做完自己的一步,把半成品传递给下一个工位。但整条流水线可以生产任意复杂的产品——复杂性来自工位之间的组合和传递,而不是来自单个工位的内部循环。
比特币的设计与此完全类似。单个脚本是一个工位——执行有限的操作,保证完成。交易链是整条流水线——工位之间通过UTXO传递状态,实现任意复杂度的计算。这种设计在微观层面保证了安全(每个工位必然终止),在宏观层面实现了完备(流水线可以任意延长)。
这里必须指出一个关键的语义区别。图灵完备不要求无限的资源——图灵在他1936年的原始论文中描述的是一个“无界“(unbounded)的系统,而不是“无限“(infinite)的系统。你不需要一条无限长的纸带,你只需要一条“需要多长就能有多长“的纸带。比特币交易链正好满足这个条件:没有硬性的上限规定交易链的最大长度,你可以根据计算需求创建任意数量的交易。
以太坊选择了在单个合约内部实现图灵完备性——代价是停机问题和Gas机制。比特币选择了在系统层面通过交易链实现图灵完备性——代价是某些计算需要多笔交易才能完成。但后者的代价是工程层面的不便,而前者的代价是架构层面的复杂性。工程不便可以通过工具来消解,架构复杂性则会永久地增加系统的攻击面。
换一种方式来理解这两种选择的差异。以太坊的方式就像在一栋大楼里建一个无限大的会议室——你可以在里面讨论任何话题,但你也必须雇保安来防止有人在里面赖着不走(Gas机制)。比特币的方式是建一排标准大小的会议室——每个会议室的使用时间是固定的,到时间就清场,但你可以预约任意多个会议室来连续开会,完成任意复杂的议程。前者的风险是有人占着会议室不走导致整栋楼瘫痪,后者没有这个风险——但需要一个好的预约系统来协调连续的会议。
这个“好的预约系统“,就是高级开发工具的职责所在。而好消息是,这样的工具已经存在。
UTXO合约 vs 账户合约:两种范式的本质差异
理解了比特币脚本的能力之后,我们可以正式比较两种智能合约范式。第三章从架构层面分析了UTXO模型和账户模型的差异——并行性、安全性、状态膨胀。这里我们从智能合约开发的角度,看看这种差异在实践中意味着什么。
以太坊的账户合约:共享状态的世界。
以太坊的智能合约是一段部署在链上的代码,拥有自己的存储空间(合约状态)。任何人都可以发起交易来调用这段代码,代码执行时可以读取和修改自己的存储,也可以调用其他合约。所有合约共享同一个全局状态环境,但每个合约只直接拥有自己的存储;跨合约交互需要通过调用接口完成。
这种模型对开发者来说很直观——它就像传统的服务器端编程。你写一个函数,函数读取数据库、修改数据库、返回结果。状态是持久的、可变的、全局可访问的。
但正如第三章所论证的,这种“直觉上的简单“带来了结构性的代价:串行执行(因为需要避免状态竞争)、安全漏洞(因为全局可变状态创造了无数的攻击向量)、状态膨胀(因为全局状态只增不减)。
比特币的UTXO合约:独立状态的世界。
比特币的智能合约不是一段驻留在链上的持久代码。它是附着在UTXO上的锁定脚本——定义了“在什么条件下这笔资金可以被花费“。合约的“状态“不是存储在某个全局数据库中的,而是编码在UTXO本身之中。当UTXO被花费时,旧状态被消费,新状态被编码在新的UTXO中。
每一个UTXO是一个独立的、自包含的状态单元。它不引用任何外部状态,不依赖任何其他UTXO的当前值。验证一笔交易只需要检查这笔交易本身的输入和输出——不需要查询全局状态树,不需要知道网络中其他交易的情况。
这种模型的直接后果是:
天然可并行。 两笔消费不同UTXO的交易之间没有任何数据依赖,可以完全并行验证。不需要锁,不需要排队,不需要全局协调。吞吐量可以随硬件性能线性扩展。
确定性执行。 给定一笔交易的输入和脚本,执行结果是完全确定的。没有“当前区块号“、“当前时间戳”、“其他合约的状态“等外部变量可以影响执行结果。脚本验证是纯函数——相同的输入永远产生相同的输出。
结构性安全。 没有全局状态可以被意外读取或修改。没有“在转账过程中被回调“的可能性。重入攻击等依赖共享可变状态的攻击面,在UTXO模型中会显著缩小或改变形态。不过,排序博弈、抢跑等与交易排序相关的问题并不会因为UTXO模型就完全消失,只是其表现形式与账户模型不同。
自然回收。 UTXO被花费后从活跃集合中移除,不再占用节点需要维护的状态空间。活跃状态的大小取决于当前未花费的UTXO数量,而不是历史上所有交易的累积。状态增长形态不同于账户模型:已花费输出可移出活跃集合,但UTXO集本身仍可能膨胀,只是其治理方式与账户模型不同。
用一个更具体的例子来说明这种差异。假设你要在链上实现一个代币交易市场。
在以太坊上,你部署一个合约,合约里维护一张全局的订单簿——所有买单和卖单都记录在这个合约的存储中。每当有人提交新订单或撮合交易时,合约读取全局订单簿、执行匹配逻辑、修改余额、更新订单状态。因为所有操作都在同一个全局状态上进行,所有交易必须排队执行——你的买单和他的卖单不能同时处理,因为它们可能修改同一份数据。在交易高峰期,用户争抢区块空间,Gas价格飙升,普通用户被高频交易者的“三明治攻击“夹在中间吃亏。
在比特币的UTXO模型上,每一个订单是一个独立的UTXO。订单的状态——价格、数量、方向——编码在UTXO的脚本中。撮合交易就是消费两个匹配的UTXO(一个买单、一个卖单),产生新的UTXO代表交易结果。两组不相关的买卖订单可以同时被撮合,因为它们消费的是不同的UTXO,之间没有任何数据依赖。没有全局订单簿需要排队访问,没有全局状态可以被操纵——UTXO结构可以降低某些共享状态依赖带来的攻击面,但是否能完全避免三明治攻击和MEV问题,仍取决于撮合机制、订单可见性与排序规则的具体设计。
当然,UTXO合约也有不同于账户合约的编程挑战。状态传递需要通过交易链来实现,跨UTXO的交互需要通过精心设计的交易结构来协调。对于习惯了“读数据库——改数据库——写数据库“这种思维方式的开发者来说,UTXO模型需要一种范式转换——从“修改共享状态“的思维切换到“传递独立状态“的思维。
但这恰恰是工具层面的问题——而工具是可以不断改进的。正如C语言让程序员不再需要手写汇编代码,高级的智能合约开发框架可以让开发者在不直接面对UTXO底层细节的情况下,享受UTXO模型的架构优势。
工具的成熟:从底层脚本到开发者生态
sCrypt:让比特币说TypeScript
如果你让一个以太坊开发者直接用操作码编写比特币脚本,他大概率会在十分钟内放弃。这就好比让一个习惯了Python的程序员去写汇编语言——不是不能做,而是效率太低,出错率太高,心智负担太重。
这正是sCrypt要解决的问题。
sCrypt是一个基于TypeScript的比特币智能合约开发框架。它的核心思路很简单:让开发者用他们已经熟悉的高级语言编写智能合约逻辑,由编译器负责将高级代码转换成底层的比特币脚本。开发者不需要理解每一个操作码的栈操作细节,就像C语言的程序员不需要理解每一条CPU指令一样——编译器处理了这个翻译过程。
为什么选择TypeScript?因为它是全球最流行的编程语言之一。根据GitHub的年度统计,TypeScript/JavaScript是使用人数最多的语言家族,全球有超过两千万开发者。选择TypeScript作为宿主语言,能显著降低语法门槛,并复用现有编辑器与类型系统;但开发者仍需学习UTXO合约模型与链上约束。这不是一个微不足道的工程决策——它决定了比特币智能合约生态能否获得足够大的开发者基础。
sCrypt的技术架构值得简要说明。sCrypt严格来说是TypeScript的一个子集——所有sCrypt代码都是合法的TypeScript代码,但不是所有TypeScript代码都是合法的sCrypt代码。这种“子集“关系意味着开发者可以直接使用现有的TypeScript工具链——VS Code的语法高亮、代码补全、类型检查都直接可用。sCrypt还提供了完整的开发工具链:集成开发环境、包管理器、调试器、SDK和API,覆盖了从编写到测试到部署的全流程。
更重要的是sCrypt能做什么。以下列举的不是理论能力,而是已经被实现和验证的功能:
代币和NFT。 在UTXO模型上发行和管理代币,代币本身就是UTXO,每一笔代币转移就是一笔标准的比特币交易。不需要“代币标准“(如以太坊的ERC-20),不需要单独的“代币合约“维护全局余额表——代币的所有权由UTXO的拥有者直接决定。
去中心化交易所(DEX)。 通过原子交换(atomic swap)和链上订单簿实现无需信任第三方的代币交易。在以太坊上,DEX需要一个合约来维护流动性池的全局状态,每笔交易都要修改这个全局状态,因此所有交易必须串行执行。在UTXO模型上,每笔交易是独立的UTXO消费和创建,可以完全并行处理。
零知识证明验证。 这是最能说明比特币脚本能力的例子。零知识证明(Zero-Knowledge Proof,ZKP)被公认为区块链领域最复杂的密码学应用——它允许一方向另一方证明某个陈述为真,而不泄露任何额外信息。sCrypt已经在比特币上实现了ZKP的链上验证——这直接否定了“比特币脚本太简单,做不了复杂密码学运算“的说法。这说明脚本能力并不只停留在简单签名校验层面;但是否适合实际部署,还取决于成本、工具成熟度与开发复杂度。
深度神经网络。 sCrypt团队甚至在比特币脚本中实现了深度神经网络的推理过程。这不是为了证明比特币应该用来训练AI——而是为了证明一个更根本的论点:比特币脚本的计算能力没有理论上的限制,限制只存在于工具的成熟度和开发者的想象力。
ZK-Rollup。 sCrypt在比特币上实现了ZK-Rollup——一种将大量交易在链下批量处理、然后通过零知识证明在链上验证正确性的方案。在以太坊生态中,ZK-Rollup被视为扩容的核心路径之一。但在以太坊上,ZK-Rollup是因为主链吞吐量不足而被迫采用的妥协方案。在BSV的扩容路线叙事中,由于主链追求更高的吞吐量,ZK-Rollup可被视为附加的效率优化而非必需的扩容手段;这一判断并不适用于当前BTC。
sCrypt的意义不仅仅在于它是一个好用的开发工具。它的意义在于它用实际的代码和部署在链上的合约,彻底粉碎了“比特币不能做智能合约“的迷思。每一个在比特币上运行的sCrypt合约,都是对这个迷思的一次实证反驳。
值得强调的是,sCrypt在比特币上实现这些功能时,不需要对比特币协议做任何修改。它使用的是比特币脚本原生的操作码——只要这些操作码没有被人为禁用。sCrypt的能力不是来自某个“升级“或“扩展“,而是来自比特币脚本本身的原始设计。它只是让这种能力变得易于使用而已。
Runar:面向企业的多语言编译器
如果说sCrypt是为Web3开发者提供的进入比特币智能合约世界的入口,那么Runar则是为企业级应用打开了另一扇门。
Runar是由BSV Association的Siggi Óskarsson主导开发的一个智能合约编译器。它的核心理念是:不要求开发者学习新语言,而是让他们用已经会的语言来编写比特币智能合约。
Runar支持五种编程语言:TypeScript、Go、Rust、Python,以及类似Solidity和Move风格的语言。开发者用这些语言编写智能合约逻辑,Runar将其编译为比特币脚本。这意味着一个用Rust编写系统软件的团队,一个用Python做数据分析的团队,一个用Go构建微服务的团队,都可以在不切换技术栈的情况下开始在比特币上构建智能合约。
Runar的工程品质值得特别关注。它的五种语言实现彼此完全独立——不是一个实现的封装或翻译,而是五套从头编写的独立编译器。设计目标是:五套编译器对相同的输入必须产生字节级一致的输出。这种“多重独立实现、交叉验证“的方法论直接借鉴自航空航天工业的安全标准——飞行控制软件的可靠性不是通过一个完美的实现来保证的,而是通过多个独立实现的一致性来保证的。如果三套独立编写的程序对相同输入产生了相同输出,你可以高度确信输出是正确的。
Runar内置了16种示例合约,涵盖了常见的企业应用场景:多种支付授权模式、代币管理、状态机、预言机集成、可证明公平的博弈系统,以及零知识证明。
特别值得一提的是Runar的后量子安全特性。量子计算的发展对当前基于椭圆曲线的数字签名构成了潜在威胁——理论上,足够强大的量子计算机可以破解ECDSA签名。行业中对此的讨论往往停留在“未来某天需要应对“的层面,但Runar已经提供了现成的解决方案:它内置了两种后量子签名方案的验证——WOTS+和SLH-DSA(即FIPS 205/SPHINCS+标准,美国国家标准技术研究院正式发布的后量子密码学标准)。据其文档介绍,开发者只需数行代码就可以创建一个抗量子计算攻击的钱包,编译后生成紧凑的比特币脚本。这种前瞻性不是来自对比特币协议的修改,而是来自比特币脚本本身的表达能力——操作码集合足够丰富,可以在脚本层面实现新的密码学原语,而不需要在协议层面添加新的功能。
sCrypt和Runar代表了两种互补的路径:sCrypt面向Web3原生开发者,提供最接近TypeScript体验的开发环境;Runar面向企业和系统级开发者,提供多语言支持和航空级的工程可靠性。两者共同构成了比特币智能合约生态的开发者基础设施——不是在比特币之上叠加一层新的复杂性,而是让比特币自身的脚本能力变得易于使用。
这里有一个值得深思的对比。以太坊的智能合约生态从一开始就需要开发者学习一门全新的语言——Solidity。Solidity是专门为以太坊设计的,语法借鉴了JavaScript和C++,但其语义和运行模型与所有传统语言都不同。开发者不仅要学习新语法,还要理解EVM的执行模型、Gas的计量方式、全局状态的交互规则、合约之间的调用关系——这是一个陡峭的学习曲线,也是安全漏洞的温床。Solidity开发者犯的很多错误,根源在于他们用传统编程的直觉来理解一个全新的执行环境。
相比之下,sCrypt和Runar选择了一条完全不同的路径:不要求开发者学习新语言,而是让已有的语言成为进入比特币智能合约世界的桥梁。这不是偷懒——这是对开发者体验的深思熟虑的设计选择。当你用TypeScript写sCrypt合约时,你的类型检查、调试工具、编程直觉都是通用的,只有编译目标是比特币脚本。这大幅降低了犯错的概率,因为开发者在熟悉的环境中工作。
从“不能“到“已经在做“
让我们后退一步,看看全局。
十年前,“比特币不能做智能合约“是行业的共识。这个共识如此强大,以至于催生了以太坊和它之后的数百条竞争链——一个市值数千亿美元的“智能合约平台“品类。
今天,在恢复了原始操作码的比特币上:
- 图灵机可以被直接模拟,每一步状态转换是一笔链上交易
- Conway的生命游戏和Rule 110元胞自动机——两个被数学证明具有图灵完备性的系统——已经在比特币上运行
- 零知识证明——被公认为最复杂的密码学应用——可以在比特币脚本中验证
- 代币、NFT、DEX等以太坊生态的标志性应用,都可以在UTXO模型上实现
- 企业级的多语言编译器已经提供了生产级的开发工具链
这些不是路线图上的愿景,不是白皮书里的承诺。这些是已经部署在链上的、可以验证的事实。
“比特币不能做智能合约“这句话的前提,从一开始就是错的。它描述的不是比特币的设计局限,而是一个被人为限制后的代码库的当时状态。当你把被拆掉的零件装回去,比特币的脚本系统不仅能做智能合约——它用一种在安全性、并行性和确定性上都优于账户模型的方式来做智能合约。
这正是第三章留下的悬念的完整回答。第三章提出了这样一个问题:如果比特币脚本从来就能做智能合约,只是被人为限制了,那么以太坊要解决的那个问题——在区块链上实现可编程的智能合约——从一开始就不需要一个全新的平台来解决。本章用技术事实证明了这一点。中本聪的脚本系统,加上UTXO模型的交易链迭代,构成了一个图灵完备的、安全的、可并行的智能合约平台。sCrypt和Runar等工具让这个平台对开发者变得友好和易用。
一个误解催生了一个行业。纠正这个误解,不会让那个行业消失——已经建造的东西不会因为你指出它的地基有问题就凭空蒸发。但纠正这个误解可以让我们看清:未来的正确方向在哪里。
小结
比特币的脚本系统,从中本聪的原始设计起,就是一个远比行业认知强大得多的工具。它基于Forth语言的栈操作范式,在语言层面通过禁止循环来保证每段脚本必然终止——这不是缺陷,而是安全特性。而在系统层面,通过交易链的迭代,比特币实现了图灵完备的计算能力——单个步骤有界,步骤序列无界。sCrypt和Runar等工具的成熟,让这种能力不再停留在理论论证中,而是成为开发者可以直接使用的生产力。
回扣第三章的论证:Vitalik Buterin在2013年看到的“比特币不能做智能合约“的现实,是人为限制的产物,不是设计的局限。把被禁用的操作码恢复,把被施加的限制移除,比特币的脚本系统完全可以承载以太坊试图实现的一切功能——而且在UTXO模型的架构上,天然具备账户模型所不具备的并行性、安全性和确定性。
至此,我们完成了对比特币作为一个系统的完整论证——从电子现金的定义(第六章),到交易的UTXO结构(第七章),到工作量证明的物理担保(第八章),到激励机制的经济引擎(第九章),到隐私模型的精确权衡(第十章),到法律框架内的运作方式(第十一章),到协议锁定的治理逻辑(第十二章),到处理能力的扩容路径(第十三章),到本章的脚本与智能合约能力。这九章共同回答了一个问题:比特币是什么,它能做什么。
答案是:按本书所采纳的原始协议路线来看,比特币是一个完整的系统。许多被认为需要Layer 2、外部平台或协议升级才能实现的能力,可以在更大程度上回到主链与脚本体系内解决。中本聪在2009年发布的那套设计——UTXO模型、工作量证明、经济激励、假名隐私、脚本系统——已经包含了一个全球电子现金系统所需要的一切。每一个组件都服务于整体,每一个设计选择都互相支撑,组成了一个自洽而完备的工程架构。
但如果比特币的设计如此完整,为什么今天行业的现状与这个设计如此割裂?为什么最大的“比特币“网络(BTC)反而是偏离原始设计最远的那一个?为什么一个不需要修改的协议被反复修改,一个设计好的扩容路径被主动堵死,一个本该完整的系统被人为削减成了“数字黄金“?
第三部分将回答这些问题。我们将从“正本“——比特币是什么——转向“清源“——比特币发生了什么。
第十五章:比特币与 BTC——协议分裂的真相
一个名字的继承
假设一个人去世了,留下了一份详细的遗嘱:房子留给长子,但不得拆除或改建;花园必须对邻居开放;书房的藏书不得出售。长子继承了房子,拿到了房产证,名字也过户到了他名下。然后他拆掉了花园的围墙,把它改成了私人停车场;他锁上了书房的门,把藏书搬去了地下室;他在客厅打了隔断,改成了三间出租屋。
从法律上说,这栋房子仍然登记在同一个地址,仍然挂着同一个门牌号。但从遗嘱的角度看,这栋房子已经不是父亲留下的那栋房子了。门牌号还在,但契约已经被违背。
这个比喻并不完美,但它捕捉到了比特币与BTC之间关系的核心张力。本章要探讨的问题是:BTC对原始比特币协议的修改,是否已经足以构成一种结构性的偏离?判断标准是:以白皮书和0.1版本代码所定义的协议规则为参照系,逐一检视BTC的每一次重大协议变更。BTC继承了比特币的名字、ticker符号、交易历史和品牌认知。在绝大多数人的心目中,BTC就是比特币,比特币就是BTC。但如果我们认真对照中本聪发布的白皮书和0.1版本代码——那份“遗嘱“——就会发现,BTC在过去十几年中对原始协议做出了一系列根本性的修改。每一次修改都有充分的技术理由,每一次都被包装成“升级“或“改进“,但累积起来的效果是:今天运行在BTC网络上的协议,与中本聪设计的协议之间,已经存在结构性的差异。
第二部分的九章——从第六章到第十四章——完整地论证了比特币的原始设计:电子现金的定义、UTXO交易模型、工作量证明、经济激励、隐私架构、法律定位、协议锁定、链上扩容、脚本与智能合约。现在,读者已经掌握了完整的参照系。有了这个参照系,我们可以逐一检视BTC的每一次“升级“,看看它到底改变了什么。
第一刀:操作码禁用(2010年)
故事要从最早的一次改变说起。
2010年8月15日,中本聪在Bitcoin的代码库中提交了一次关键修改:禁用了大量脚本操作码。被禁用的包括OP_CAT(字符串拼接)、OP_SUBSTR(子串提取)、OP_LEFT和OP_RIGHT(字符串截取)、OP_INVERT、OP_AND、OP_OR、OP_XOR(位运算)、OP_MUL和OP_DIV(乘法和除法)、OP_MOD(取模)、OP_LSHIFT和OP_RSHIFT(位移)等十多个操作码。
禁用的理由是安全:某些操作码的组合可能被恶意利用来发动拒绝服务(DoS)攻击。例如,OP_CAT与OP_DUP配合使用,攻击者可以构造出栈数据指数级增长的脚本,让验证节点的内存耗尽。这是一个真实的安全隐患,中本聪选择了最快速的应对——直接禁用。
第三章已经详细讨论了这次禁用的技术背景,第十四章则论证了这些操作码对比特币脚本能力的重要性。在这里,我们需要从协议变更的角度来审视这件事。
关键事实是:这次禁用是中本聪本人做出的,目的是应对紧急安全漏洞。它在当时的语境下是合理的——网络刚刚起步,节点数量极少,一次成功的DoS攻击可能直接杀死这个项目。但中本聪的应急处理,和后来BTC开发者对这些操作码的永久放弃,是两件完全不同的事情。
打一个比方:你家的窗户玻璃碎了,冷风灌进来。你先用纸板临时糊上——这是应急措施。但如果你事后不去换一块新玻璃,反而用水泥把整个窗户封死,然后告诉家人“我们家不需要窗户“——这就不再是应急了,这是对房屋结构的永久改变。
中本聪禁用操作码的行为,相当于糊上纸板。合理的后续操作是修复漏洞——给有问题的操作码加上资源限制(比如限制OP_CAT可以拼接的数据长度),然后重新启用它们。但在BTC的历史上,这件事从未发生。那块纸板变成了水泥墙。十多年来,部分Bitcoin Core开发者和研究者不仅没有推动修复并重启这些操作码,反而主张将操作码的缺失视为一种“特性“——比特币脚本“不需要“那么多功能,比特币“不应该“做智能合约。
第十四章已经论证了这种说法的偏颇:恢复这些操作码后,比特币脚本的表达能力将显著增强,可以支持更复杂的验证逻辑与合约模式——例如代币系统、链上原子交换、以及更丰富的条件支付结构。操作码的禁用不是一个无关紧要的细节,它是比特币脚本能力被大幅削减的起点,也是“比特币不能做智能合约“这一行业级误解的技术根源。
第二刀:1MB 区块限制的固化
如果说操作码禁用是对比特币功能维度的截断,那么1MB区块限制的固化就是对比特币容量维度的绞杀。
2010年7月,中本聪在代码中静默加入了一个挖矿软上限:矿工产出的区块不得超过1MB。同年9月的 v0.3.1 版本进一步引入了共识硬限制——网络将在区块高度79,400之后拒绝接受任何大于1,000,000字节的区块。
这个限制被引入时,没有任何公开声明,没有正式讨论,没有白皮书修订。它被悄悄地加入了代码。根据可追溯的讨论记录,这个限制最初是作为反垃圾交易的临时措施——在网络早期,一个攻击者可以用极低的成本创建巨大的区块来瘫痪网络。1MB在当时远远超过实际需求——当时最大的区块也远不到1MB——所以这个限制不会影响正常使用,只是阻止恶意攻击。
但“临时“这两个字,在后来的历史中被彻底遗忘了。
比特币的原始设计中包含了一套完整的扩容架构(第十三章有详细论证):默克尔树提供对数级的证明路径,使得即便区块中包含百万级交易,验证单笔交易的开销仍然极小;简化支付验证(SPV)允许用户在不下载完整区块的情况下验证交易;磁盘空间回收机制通过修剪已花费的交易来控制存储增长。这三个设计组件构成了一个完整的扩容架构,它们的存在显示中本聪至少考虑过更大区块的可能性,并为此预先设计了配套机制,使得区块可以随着需求增长而增大。
白皮书第七节对磁盘空间的计算也暗示了这一点。中本聪写道:“假设每10分钟产生一个区块,80字节×6×24×365 = 每年4.2MB。“他在做这个计算时,讨论的是区块头的存储需求——因为完整的区块数据可以被修剪,只有区块头需要永久保存。如果他的设计预期是每个区块永远只有1MB,为什么要特别设计一套让大多数节点不需要存储完整区块数据的机制?
中本聪本人在2010年10月的一篇帖子中,对这个问题给出了直接回答。当有人讨论提高区块大小限制的补丁时,他写道:
“It can be phased in, like: if (blocknumber > 115000) maxblocksize = largerlimit.”
这句话清楚地表明,在中本聪的规划中,1MB限制是有终点的——在某个区块高度之后,限制应该被提高。这不是一个永久的设计参数,而是一个有到期日的临时措施。
但从2010年中本聪离开比特币项目,到2017年区块容量危机全面爆发,这个限制不仅没有被提高,反而被异化成了一种设计哲学。Bitcoin Core开发者中的主流观点逐渐演变为:小区块是比特币的核心特性,它保证了“去中心化“——因为更小的区块意味着更低的节点运行成本,从而更多的人可以运行全节点。
这个论点在逻辑上存在根本缺陷。第十三章已经论证过:在白皮书的工作量证明投票语境下,出块节点以算力表达对规则的接受,共识的形成依赖于矿工的算力投票——而不是只验证和转发数据的“非挖矿全节点“。中本聪的扩容设计明确预期大多数用户将使用SPV模式,而不是运行全节点。将“人人都能运行全节点“提升为比特币的核心价值,然后以此为理由拒绝提高区块大小——这是在用一个原始设计中不存在的目标,来阻止原始设计中明确规划的扩容路径。
区块战争:2015-2017
围绕区块大小限制的争论,最终演变成了比特币历史上最剧烈的内部冲突——所谓的“区块战争“(Block Size War)。这场持续了近三年的争论,不仅决定了BTC的技术路径,也从根本上改变了比特币社区的权力结构。
大区块阵营的尝试
2015年,比特币的早期核心开发者Mike Hearn和Gavin Andresen——后者是中本聪离开后比特币项目的首席维护者——发布了Bitcoin XT,提议将区块大小限制提高到8MB。Bitcoin XT没有获得足够的矿工支持,未能激活。随后出现了Bitcoin Classic(提议提高到2MB)和Bitcoin Unlimited(提议取消硬编码限制,让矿工自行决定区块大小),但都没有达到激活所需的共识阈值。
值得注意的是,大区块阵营的核心人物——Gavin Andresen和Mike Hearn——是比特币最早期的开发者,他们对中本聪的原始设计意图有直接的了解。他们的立场始终一致:中本聪设计比特币时预期区块会增大,1MB限制是临时的。
香港协议和纽约协议
2016年2月,一群矿工和部分Bitcoin Core开发者以个人身份在香港达成了一项协议:推进SegWit(隔离见证)方案,同时开发一个将区块大小提高到2MB的硬分叉方案。这被称为“香港协议“。但协议中的区块大小增加部分从未被履行——需要指出的是,这并非Bitcoin Core项目的正式承诺,而是部分开发者的个人表态。
2017年5月,在纽约,包括超过80%算力的矿工和数十家主要比特币企业签署了“纽约协议“(也称SegWit2x):先激活SegWit,然后在六个月后通过硬分叉将基础区块大小提高到2MB。这主要是矿工和企业联盟推动的方案,大部分Bitcoin Core开发者并未参与。SegWit于2017年8月激活——纽约协议的第一部分被执行了。但第二部分——2MB的区块大小提升——在2017年11月8日被宣布取消,理由是“缺乏共识“。
两次关于2MB扩容的路线最终均未落地。区块大小始终没有提高。
UASF:用户激活软分叉
SegWit的激活过程本身就值得深思。在矿工多数不愿独立激活SegWit的情况下,一群BTC的支持者发起了“用户激活软分叉“(UASF,BIP148)运动——威胁从2017年8月1日起,运行UASF的节点将拒绝不包含SegWit信号的区块。BIP148形成了对矿工的施压背景,而实际的关键节点是BIP91的先行锁定——它以较低的激活阈值要求矿工发出SegWit就绪信号,随后SegWit按既定的BIP9机制正式激活。整个过程中,BIP148更多是施压工具,BIP91才是直接促成激活的技术路径。
在白皮书的设计中,节点(矿工)“用CPU算力进行投票”——这是共识机制的核心。UASF运动的实质是:非挖矿节点试图通过威胁链分裂来迫使矿工接受一项协议变更。无论对SegWit的技术优劣持何种看法,这种激活方式本身就偏离了白皮书定义的共识模型。
结局:分裂
2017年8月1日,不愿接受SegWit的一部分矿工和开发者选择了另一条路:他们将区块大小提高到8MB(后来进一步提高到32MB),保留了传统的交易格式,不包含SegWit变更。这就是Bitcoin Cash(BCH)的诞生。
区块战争的结局,在技术层面上是SegWit的激活和大区块方案的失败。但在更深的层面上,它确立了一个先例:BTC的协议可以被一小群核心开发者的技术偏好所主导,即使这种偏好与原始设计的方向相悖,即使矿工和企业的多数支持另一种方案。
第三刀:隔离见证(2017年8月)
区块战争以SegWit的激活告终。现在让我们仔细审视这个被称为“升级“的改变到底做了什么。
SegWit(Segregated Witness,隔离见证),正式编号BIP141,于2017年8月24日在BTC网络上激活。它的核心改变是:将交易的签名数据(“见证数据”)从交易的主体结构中分离出来,放到一个单独的数据区域中。
这个改变有多个层面的影响。
交易结构的变异
回忆第七章对比特币交易的论证。白皮书第二节定义了电子货币:“我们将电子货币定义为一条数字签名链。每一位所有者通过对前一笔交易的哈希和下一位所有者的公钥进行数字签名,并将签名附加到这枚货币的末尾,来将货币转让给下一位所有者。”
在这个定义中,数字签名是交易的组成部分。签名不是交易的附属品,不是可以被分离出去的注脚——它是交易本身的一部分,是“电子硬币“这条签名链上的一个环节。所有者的身份验证和产权转移,在同一个数据结构中完成。
SegWit做的事情,恰恰是把签名从交易中拆出来。在SegWit格式的交易中,交易ID(TXID)的计算不再包含签名数据。签名被移到了一个叫做“witness“(见证)的独立数据区域。交易本身和证明交易合法性的签名,不再存在于同一个数据结构中。
用第七章的土地契约比喻来说:原始的比特币交易就像那张传统的土地契约——每一次转让的记录和签字都写在同一张纸上。SegWit做的事情,相当于把签字撕下来,单独存放在另一个文件夹里。那张纸上仍然写着“某人将此地转让给某人“,但签字不在这张纸上了——你需要去另一个地方才能看到签字。
这不是一个无关紧要的数据格式调整。SegWit实际上引入了双重标识体系:传统的txid不再覆盖见证数据,而新增的wtxid则包含完整的交易信息(含见证数据)。区块通过coinbase交易中的witness commitment来承诺所有交易的wtxid。这意味着签名数据的完整性保证从txid层面转移到了wtxid和witness commitment层面。从原始设计的角度看,关键的变化在于:txid——这个比特币系统中引用交易的基本标识——不再覆盖签名数据。在原始格式中,txid涵盖了交易的全部信息,包括签名;在SegWit格式中,txid只覆盖交易的非见证部分。这改变了“电子硬币是一条数字签名链“这个基本定义在txid层面的物理实现。
见证数据的折扣
SegWit还引入了一个新的概念:“区块权重”(block weight)。原来的1MB区块大小限制被替换为400万权重单位(4MWU)的限制。交易主体数据每字节计为4个权重单位,而见证数据(主要是签名及相关解锁数据,包括公钥和赎回脚本等)每字节只计为1个权重单位。
这意味着签名数据在“付费“上得到了75%的折扣。一个使用SegWit格式的交易,其签名数据占用的有效“空间“只有传统格式的四分之一。这个折扣的实际效果是:在400万权重单位的限制下,一个SegWit区块在常见的交易类型混合下,实际数据大小通常在1.7MB到2.1MB的范围内(协议上限为约4MB的极端理论值),其中大约1MB是交易主体,其余是折扣后的见证数据。
表面上看,这增加了区块的有效容量。但它是以一种极其扭曲的方式实现的——不是直接提高区块大小(这是原始设计中预期的扩容方式),而是通过给签名数据“打折“来在不提高名义区块大小的前提下塞入更多数据。这种复杂的间接方式之所以被选择,有一个政治原因:它可以作为软分叉实施,不需要所有节点升级——而直接提高区块大小需要硬分叉,需要全网共识。
第十二章论证了协议锁定的原则:比特币的核心设计在0.1版本发布时就被“写入石头“。从这个角度看,SegWit不是升级——它是对交易数据结构的根本性改变。白皮书定义的交易格式中,签名是交易的一部分。SegWit改变了这个定义。无论改变的理由多么充分(解决交易延展性、为闪电网络铺路),改变本身就构成了对原始协议的偏离。
为什么解决延展性不需要SegWit
SegWit的支持者提出的一个核心理由是解决“交易延展性“(transaction malleability)问题——在原始交易格式中,签名数据在被打包之前可以被第三方修改(虽然这不影响交易的有效性),导致交易ID发生变化,这给依赖未确认交易ID的应用(尤其是支付通道和闪电网络)带来了麻烦。
但交易延展性并不是一个需要重构交易数据结构才能解决的问题。事实上,存在更保守的方案思路——例如BIP66(严格DER签名编码)确实消除了部分延展性来源,而BIP62试图通过规范协议规则来系统性地消除延展性,尽管后者因实现复杂且无法完全覆盖所有边缘情况而最终被废弃。这些方案不能等价替代SegWit对交易标识层面的处理,但它们说明了一种可能性:无需像SegWit那样重构整个交易数据结构,也能在很大程度上缓解延展性问题。选择SegWit而非沿着这些更保守的路径继续探索,更多是为了绕过硬分叉的政治决定,其技术上的必要性是值得质疑的。
第四刀:Replace-by-Fee(2016年)
虽然在时间线上早于SegWit的激活,但RBF(手续费替换)对比特币“现金“属性的杀伤力同样致命。在SegWit引发大规模争论的同一时期,BTC引入了这个影响深远但获得关注远少于SegWit的改变。
Replace-by-Fee(RBF),正式编号BIP125,由Peter Todd在2015年提出,并在2016年2月发布的Bitcoin Core 0.12.0中实现为“选择性加入“(opt-in)的功能。RBF允许交易发送者用一笔手续费更高的新交易替换一笔尚未被确认的旧交易——只要旧交易标记了“可替换“信号。
这个改变废弃了比特币早期实现中长期采用的一项默认内存池和交易转发策略:首次看到规则(first-seen rule)。需要说明的是,首次看到规则并非白皮书中明确写下的共识层规则,而是Bitcoin早期软件在内存池管理和交易传播层面采用的默认策略——但这一策略对比特币的“电子现金“功能有重要的实践意义。
在比特币的原始实现中,节点在收到一笔交易后,会将它放入内存池并转发给其他节点。如果之后收到另一笔花费相同输入的交易——即使这笔新交易的手续费更高——节点会直接拒绝它。这就是“首次看到规则“:先到的交易被保留在内存池中,后到的冲突交易被拒绝转发。
这个规则对比特币的“电子现金“功能至关重要。第六章论证了比特币的核心定义是点对点的电子现金。电子现金的一个基本要求是:在交易被广播后、被确认之前的那段时间里,收款方需要有一个合理的信心基础来判断这笔交易大概率会被确认。首次看到规则提供了这个基础——一旦交易被网络中的大多数节点接受并传播,发送者就很难用一笔冲突交易来替换它,因为大多数节点会拒绝后到的交易。
这就是“零确认交易“(zero-confirmation transaction)可以在实际商业中被接受的一个重要技术前提。即便在没有RBF的情况下,零确认交易也从来不是绝对安全的——竞速双花(race attack)、Finney攻击等风险一直存在。但首次看到规则大幅提高了双花的难度和成本:一旦交易被网络中的大多数节点接受并传播,发送者就很难用一笔冲突交易来替换它。这使得零确认交易的风险在许多商业场景中处于可接受的范围内,类似于信用卡退款的风险在商业上也是可以接受的。
RBF进一步提高了零确认收款的复杂度和风险。在RBF机制下,发送者可以在交易被确认之前用一笔新交易替换它——把收款地址改成自己的地址,同时提高手续费。节点不仅不会拒绝这笔新交易,反而会优先接受它。这大幅降低了双花的技术门槛:收款方看到一笔交易被广播,提供了商品或服务,然后发送者用RBF把交易替换掉,把钱转回给自己。
BTC的辩护是:RBF最初是“选择性加入“的——只有标记了特定信号的交易才能被替换。但这个辩护站不住脚,原因有二。第一,对于收款方来说,他无法控制发送方的交易是否标记了可替换信号。第二,也是更根本的,BTC后来的发展证实了滑坡效应:2022年,Bitcoin Core 24.0.1引入了mempoolfullrbf选项(“完全RBF”)——允许节点替换任何未确认交易,无论它是否标记了可替换信号。随着2023年后越来越多的节点开启了这一选项,零确认交易在BTC网络上几乎失去了商业实操性。虽然这个选项默认关闭,但它的存在本身就标志着首次看到规则在BTC网络中已经不再是一个可靠的保障。
让我们用白皮书的语言来评估这个改变。白皮书摘要说得很清楚:比特币是一种“点对点电子现金系统“。电子现金必须能够在日常商业场景中使用——你付钱,对方收钱,交易完成。RBF让这个场景变得不可靠。在一个RBF广泛存在的网络中,商家必须等待至少一个区块确认才能信任一笔交易——而在1MB区块限制下,这意味着至少等待十分钟,在网络拥堵时可能等待数小时。
一个不能做即时支付的电子现金系统,还是电子现金吗?
第五刀:Taproot(2021年11月)
2021年11月14日,BTC在区块高度709,632处激活了Taproot升级,包含三个比特币改进提案:BIP340(Schnorr签名)、BIP341(Taproot)和BIP342(Tapscript)。
Taproot的改变比SegWit更安静——它没有引发大规模的社区分裂,部分原因是反对BTC路线的人在2017年已经离开了。但从协议偏离的角度看,Taproot的改变同样深刻。
签名方案的替换
BIP340为新的Taproot输出类型(spend path)引入了Schnorr签名方案;旧的输出类型仍然可以继续使用ECDSA签名。Schnorr签名在数学上确实有一些优势——线性特性允许多重签名被聚合成一个单一签名,提高了隐私性和效率。但这不是问题的关键。
问题的关键是:白皮书和0.1版本代码定义的签名方案是ECDSA。Taproot虽然没有废除ECDSA,但为协议引入了一套全新的签名验证逻辑,改变了“电子硬币是一条数字签名链“中“签名“这个词在新输出类型下的含义。如果SegWit是把签名从交易中拆出来,Taproot则是在新的花费路径上把签名换成了另一种东西。
脚本语义的改变
BIP342(Tapscript)修改了比特币脚本中签名验证操作码的行为。OP_CHECKSIG和OP_CHECKSIGVERIFY——比特币脚本中最基本的两个操作码——在Tapscript环境中被修改为验证Schnorr签名而非ECDSA签名。这意味着在Taproot输出的tapscript花费路径中执行的脚本,其签名验证语义与传统比特币脚本不同——相同的操作码在tapscript上下文中验证的是Schnorr签名,而在传统上下文中验证的是ECDSA签名。
这是一种协议层面的语义分裂。一个操作码的行为取决于它是在“传统“上下文还是“Tapscript“上下文中执行——这增加了系统的复杂性,也打破了脚本语义的一致性。
MAST:有条件地隐藏脚本
BIP341引入了默克尔化抽象语法树(MAST),允许一笔交易包含多个可能的花费条件,但在花费时只需要揭示实际使用的那个条件。未使用的条件保持隐藏。
这个功能本身有其技术价值——它提高了复杂交易的隐私性和效率。但从第十章论证的比特币隐私模型来看,MAST引入了一种与原始设计不同的隐私策略。白皮书的隐私模型是通过匿名公钥来实现的——“公众可以看到有人正在向另一个人发送一笔金额,但没有将交易与任何人关联的信息。“这是一种透明但匿名的模型。MAST则引入了一种选择性隐藏的模型——不是所有信息都可见但不可关联,而是某些信息被主动隐藏。
这两种隐私模型的哲学是不同的,而BTC将后者叠加到了前者之上——不是替换,而是增加了一层新的复杂性。
偏离的模式:从修补到变异
回顾这五次主要的协议改变,一个清晰的模式浮现出来。
| 改变 | 时间 | 影响 | 偏离的维度 |
|---|---|---|---|
| 操作码禁用 | 2010年8月 | 脚本能力被阉割 | 功能 |
| 1MB区块限制固化 | 2010年至今 | 扩容路径被堵死 | 容量 |
| RBF | 2016年 | 零确认交易不再可靠 | 现金功能 |
| SegWit | 2017年8月 | 交易结构被改变 | 数据模型 |
| Taproot | 2021年11月 | 签名方案和脚本语义被改变 | 密码学实现 |
每一次改变都有合理的技术叙事——安全修复、容量优化、延展性解决、隐私增强。但它们的累积效果是一个根本性的事实:今天的BTC协议与2009年的比特币协议之间,存在结构性差异。交易的数据格式不同了(SegWit)。签名的算法不同了(Taproot/Schnorr)。脚本的能力不同了(操作码禁用)。区块的容量被锁死了(1MB)。未确认交易的行为不同了(RBF)。
如果一艘船的木板被逐一替换,直到没有一块是原来的木板,它还是原来那艘船吗?这是哲学史上著名的忒修斯之船悖论。但比特币的情况比忒修斯之船更极端——BTC不仅替换了“木板“(技术实现),还改变了“设计图纸“(协议规则)。忒修斯之船至少保持了船的形状和功能不变。BTC改变的是船的结构本身。
Ticker ≠ 协议
这就引出了一个核心问题:BTC是比特币吗?
要回答这个问题,需要区分两个完全不同的概念:ticker符号和协议。
Ticker符号是市场标识。当你在交易所看到“BTC“这三个字母时,你看到的是一种可交易资产的标识符——就像“AAPL“代表苹果公司的股票。ticker符号是由交易所分配的,它的唯一功能是告诉你“这个价格对应哪个资产“。ticker符号不包含任何技术信息——它不告诉你这个资产的底层协议是什么,不告诉你交易的数据结构是什么样的,不告诉你签名用的是哪种算法。
协议是技术规范。比特币的协议定义了:交易的格式(UTXO模型、输入输出结构)、签名的方式(ECDSA on secp256k1)、共识规则(工作量证明、最长链规则)、脚本的语法和语义(操作码集合及其行为)、区块的结构(头部+交易列表+Merkle根)。这些规则在白皮书中被定义,在0.1版本代码中被实现。
BTC继承了比特币的ticker符号。在2017年分叉时,BTC保留了“BTC“这个代号,Bitcoin Cash获得了“BCH“。从市场标识的角度看,BTC就是“比特币“。交易所这么叫它,媒体这么叫它,绝大多数人这么认为。
但BTC没有完整地继承比特币的协议。SegWit改变了交易格式。Taproot改变了签名方案。操作码禁用削弱了脚本能力。1MB限制堵死了链上扩容路径。RBF破坏了零确认交易的可靠性。
一个继承了名字但改变了规则的系统,应该被如何称呼?
这不是一个文字游戏。它关系到一个根本性的问题:当我们说“比特币“时,我们指的是什么?是一个ticker符号——一种在交易所可以买卖的资产?还是一套协议——中本聪定义的那套规则?
如果“比特币“指的是ticker符号,那么BTC当然是比特币——因为交易所就是这么标记它的。
如果“比特币“指的是协议——白皮书定义的那套规则——那么BTC与比特币之间已经存在结构性的差异。它仍然是一条运行着的区块链,它仍然使用工作量证明,它仍然有2100万的供应上限。但它的交易格式、签名方案、脚本能力、区块容量和未确认交易的行为,都与原始设计不同了。
“数字黄金”:扩容失败后的退路
理解了BTC对原始协议的偏离之后,一个自然的问题是:BTC的社区和开发者如何解释这种偏离?
答案是一个叙事的转换。
比特币的白皮书标题是“一种点对点的电子现金系统“。在比特币的头几年,社区对这个定义没有争议——比特币就是电子现金,目标是替代传统支付系统,让人们可以点对点地、无需中间人地进行交易。
但当1MB区块限制导致网络拥堵、交易费飙升、确认时间延长之后,比特币作为电子现金的功能事实上被摧毁了。例如2017年12月高峰期,一度出现五十美元以上的手续费加上数小时的确认时间,让“用比特币买咖啡“变成了一个笑话。这时候,一个新的叙事开始在BTC社区中兴起:“比特币不是用来买咖啡的,比特币是数字黄金。”
这个叙事转换的时间线非常能说明问题:
“数字黄金“的说法虽然早有零星出现,但在扩容争论中被显著强化,成为BTC社区的主流叙事。这一转变恰恰发生在比特币的电子现金功能因为人为的容量限制而退化之后。先是扩容失败,然后才是叙事转变。不是因为社区“发现“了比特币作为价值存储的独特属性,而是因为比特币作为支付工具的功能被废掉了,需要一个新的故事来解释“为什么这仍然有价值”。
“数字黄金“叙事在逻辑上有两个根本性的缺陷。
第一,它与白皮书直接矛盾。白皮书的标题是“电子现金系统“,不是“电子黄金系统“。白皮书第一节讨论的是支付——商业交易、小额支付、交易成本。白皮书第六节关于激励机制的设计,明确预期交易手续费将在区块奖励减半后成为矿工收入的主要来源——这要求大量的链上交易,而不是少量的高价值转账。一个“数字黄金“——以囤积而非流通为主要用途——无法产生足够的交易手续费来维持网络的安全性。
第二,“数字黄金“叙事混淆了结果和原因。比特币确实具有某些与黄金类似的属性——供应有限、不可伪造、不需要信任发行方。但这些属性是比特币作为电子现金的副产品,不是它的核心目的。在不少货币理论中,交换媒介功能有助于货币形成价值储藏属性——这也是为什么黄金是先作为交易媒介被使用、然后才成为价值储存手段的。一种不能用来交易的“货币”,凭什么储存价值?
把比特币从电子现金重新定义为数字黄金,不是一个自然的认知演化。它是扩容路线被人为堵死后,不得不进行的叙事退却。当你的车跑不了了,你不是去修引擎,而是宣布“这其实是一件雕塑“。
“最长诚实链“的重新理解
白皮书中有一段经常被引用但很少被准确理解的话:
“Nodes always consider the longest chain to be the correct one and will keep working on extending it.”
“节点始终认为最长的链是正确的,并将持续在其上工作以延长它。”
在BTC社区的通常解读中,这句话被理解为:BTC拥有最多的算力、最长的链,所以BTC就是“正确的“比特币。谁的链最长,谁就是比特币。
但这种解读忽略了一个关键的限定条件。白皮书同一节中明确写道:
“Nodes accept the block only if all transactions in it are valid and not already spent.”
“节点只有在区块中所有交易都有效且尚未被花费的情况下才接受该区块。”
以及:
“They vote with their CPU power, expressing their acceptance of valid blocks by working on extending them and rejecting invalid blocks by refusing to work on them.”
“它们用CPU算力进行投票,通过在有效区块上继续工作来表达对其接受,通过拒绝在无效区块上工作来表达对其拒绝。”
关键词是“valid“——有效的。最长链规则不是说“最长的任意链就是正确的“。它说的是“最长的有效链就是正确的“。什么是“有效“?遵守协议规则的链才是有效的。
现在问题变得尖锐了:如果协议规则本身被改变了呢?
一条按照修改后的规则运行的链,和一条按照原始规则运行的链,哪一条才是“有效“的?白皮书定义了一套规则,然后说“遵守这些规则的最长链是正确的“。如果有人改变了规则然后说“看,遵守新规则的链更长,所以新规则是正确的“——这就是循环论证了。
第十二章论证了中本聪的“set in stone“原则:“比特币的性质决定了,一旦0.1版本发布,其核心设计就在其整个生命周期内被写入了石头。“若接受这个原则——协议规则是固定的——那么“最长诚实链“的含义就很清楚:它是遵守原始规则的最长链,不是遵守某个修改版规则的最长链。若不接受这个前提——即认为协议可以通过社区共识合法演进——则会得出不同的结论。本书的立场是前者,但读者应当意识到这一分歧的存在。
这不意味着BTC没有价值。它是一条运行着的区块链,有真实的算力在维护它,有真实的市场在为它定价。但“有价值“和“是比特币“是两个不同的命题。一条改变了比特币原始规则的链,无论它积累了多少算力、获得了多少市场认可,从协议定义的角度看,它与比特币之间已经存在了不可调和的差异。
分叉不是升级,是退出
“升级“这个词本身就包含了一个未经审视的假设:改变后的系统优于改变前的系统,而且改变后的系统仍然是同一个系统。
当你的手机操作系统从iOS 17升级到iOS 18时,它仍然是iOS。核心功能保持一致,API接口向后兼容,应用程序照常运行。这是升级。
但如果你的手机突然运行了一个不同的操作系统——它看起来像iOS,图标风格相似,但底层架构不同,某些核心功能的行为发生了改变,部分原有API不再兼容——这不是升级,这是操作系统的替换。你仍然在用你的手机,但手机上运行的系统已经不是原来的那个了。
BTC对比特币协议的改变,更接近后者而非前者。SegWit不是对交易格式的优化,它是交易格式的改变。Taproot不是对签名方案的增强,它是签名方案的替换。RBF不是对交易传播的改进,它是对首次看到规则的废弃。这些改变不是在原有系统内的渐进调整——它们改变了系统的基本规则。
在传统的协议治理中,当一部分参与者想要运行一套不同的规则时,正确的做法是分叉出去——创建一条新链,使用新的名称,让市场决定哪条链更有价值。以太坊和以太坊经典的历史恰好提供了一个参照:DAO分叉后,改变规则的一方(回滚DAO攻击)保留了“Ethereum“的名称和ETH代号,而坚持原始规则、拒绝回滚的一方反而被冠以“Ethereum Classic“(ETC)的新名称。换言之,在以太坊的案例中,改变规则的一方同样保留了原始品牌——这与比特币的情况形成了平行而非对照。
比特币的分裂中也遵循了同样的模式。改变规则的一方保留了原始的名称和ticker符号,而坚持原始规则的一方反而被要求使用新名称。BTC改变了交易格式、签名方案、扩容路径和零确认行为,但它仍然叫“比特币“。而保留了原始交易格式和大区块扩容路径的Bitcoin Cash,被称为“分叉币“。
这就好比一栋楼的业主委员会投票改变了楼的结构——拆掉了花园、封死了窗户、改变了电路——然后对不同意这些改变的住户说:“你们才是违规的。这栋楼还是原来的楼。”
从协议定义的角度看,每一次改变规则的硬分叉或实质性软分叉,在逻辑上都不是“升级“,而是“退出“——退出原始规则,进入一套新的规则。改变规则的链不再是原来的链,无论它保留了什么名字。
小结
本章的论证可以归纳为以下几点。
第一,BTC在过去十几年中对比特币的原始协议做出了一系列根本性的改变:操作码禁用削弱了脚本能力,1MB区块限制堵死了链上扩容路径,SegWit改变了交易数据结构,RBF废弃了首次看到规则,Taproot改变了签名方案和脚本语义。这些不是边际调整,而是对协议核心组件的修改。
第二,每一次改变都有技术理由,但技术理由不能改变一个事实:改变后的协议与原始协议不同了。安全修复、效率优化、功能增强——这些都是合理的工程目标。但如果实现这些目标的方式是修改比特币的基本规则,那么修改后的系统就不再是严格意义上的“比特币“了。它是一个基于比特币的衍生系统。
第三,BTC继承了比特币的ticker符号和品牌认知,但ticker符号不等于协议。“BTC“这三个字母告诉你的是交易所的资产代码,不是底层协议的技术规范。把ticker等同于协议,就像把一家公司的股票代码等同于公司的章程——代码不变不代表章程没有被修改。
第四,“数字黄金“叙事是扩容失败后的退路,不是比特币的原始愿景。白皮书定义的是电子现金系统,不是价值存储工具。先堵死现金功能,再宣布“本来就不是现金”——这不是认知的深化,而是叙事的退却。
第五,“最长链就是比特币“是对白皮书的误读。白皮书说的是“最长的有效链”,而“有效“的前提是遵守原始协议规则。改变了规则的链,无论多长,都不能用自己的长度来证明自己的规则变更是合法的。
理解了BTC如何偏离原始设计之后,下一章将探讨一个更尖锐的问题:BSV——声称自己最忠实于原始设计的那条链——到底在多大程度上恢复了中本聪的比特币?它在技术上做对了什么,在治理上犯了什么错?它离中本聪的原始愿景还有多远?
第十六章:BSV——回归原始协议
上一章详细检视了BTC对比特币原始协议的一系列修改:操作码禁用、1MB区块限制固化、SegWit改变交易结构、RBF废弃首次看到规则、Taproot改变签名方案。每一次修改都有技术理由,但累积的效果是一个与中本聪设计显著不同的系统。
这一章要讲的是另一条路径——声称自己最忠实于原始设计的那条链:BSV。
“BSV“三个字母代表“Bitcoin Satoshi Vision”——中本聪的愿景。这个名字本身就是一种宣言:我们要恢复比特币的原始协议。宣言是否兑现了?技术上做到了什么?还差什么?面对市场的冷遇,又该怎么理解?
本章的目标不是推销BSV,而是如实记录:一个试图回归原始协议的工程项目,到底做了哪些事情,做到了什么程度,以及为什么“技术正确“和“市场胜利“之间的距离,远比大多数人想象的要大。
从分裂到独立:一段不愉快的历史
BSV的诞生源于一场不那么体面的冲突。
2017年8月,比特币第一次分裂。BTC坚持1MB区块限制加SegWit路线,另一部分社区分叉出了BCH(Bitcoin Cash),将区块大小提高到8MB,后来又提高到32MB。BCH的初衷是恢复比特币作为电子现金的功能——至少在区块大小这一点上,BCH比BTC更接近中本聪的设计。
但BCH内部很快也出现了分歧。
2018年8月,BCH提出了一次升级方案,包含两个关键变更:规范交易排序(CTOR)和新操作码OP_CHECKDATASIG。以Craig Wright和Calvin Ayre为代表的一方强烈反对,认为这些修改偏离了原始协议设计,引入了不必要的复杂性。支持升级的一方——以Bitcoin ABC开发团队为核心——认为这些是合理的技术改进。
2018年11月15日,BCH正式分裂。两条链使用相同的SHA-256挖矿算法,这导致了所谓的“算力大战“(Hash War)——双方调动算力,试图证明自己才是“真正的“BCH。这场大战持续了大约十天,最终以永久分裂告终:BCH ABC保留了BCH的ticker符号和大多数交易所的支持,而另一条链以“BSV“的名义独立运行。
从市场角度来看,BSV在这场分裂中是“输家“——它没有继承BCH的品牌,也没有获得主流交易所的普遍认可。但从协议设计的角度看,BSV的立场有其逻辑自洽性:如果比特币的价值在于其原始协议的稳定性,那么任何对协议的修改——无论理由多么充分——都应该被审慎对待。BCH提出的CTOR改变了交易在区块内的排序方式,而中本聪的原始设计并没有强制规范排序。OP_CHECKDATASIG引入了一个原始协议中不存在的新操作码。在BSV看来,这些不是“改进“,而是“偏离“。
当然,这段历史不能只看协议层面。Craig Wright声称自己是中本聪的身份争议,给BSV带来了巨大的负面效应。2024年3月14日,英国高等法院在COPA诉Wright案中,由Mellor法官当庭宣布Wright并非中本聪;同年5月20日发布了详细的书面判决,12月20日又下达了藐视法庭令(contempt order)。这一系列司法裁定是理解BSV市场处境的重要背景。
早在2019年4月,币安CEO赵长鹏就公开称Wright为“骗子“,随即将BSV从币安下架。Kraken、ShapeShift等交易所紧随其后。这场大规模下架引发了BSV价格的显著下跌,更重要的是,它使BSV在主流加密货币市场中被严重边缘化。
一个项目的技术方向,不应该因为其支持者的个人争议而被否定或肯定。但市场不这么运作。在加密货币世界里,叙事和社区共识的力量往往大于技术论证。一条推文就能让一个代币暴涨或暴跌,一场交易所下架就能让一个项目从主流视野中消失。BSV的遭遇是这种市场逻辑的极端案例:一个在技术方向上可能最忠实于原始设计的项目,因为与它关联的个人争议,被主流市场几乎完全拒绝。
这段历史的教训是深刻的:在去中心化的世界里,人物崇拜和人物厌恶都是危险的。比特币的原始设计之所以优雅,恰恰是因为它不依赖于任何个人。中本聪的匿名消失,从某种意义上说,是比特币设计中最精妙的一步——它确保了协议不会被绑定在任何人的声誉上。BSV的困境恰好从反面证明了这一点。这是BSV必须面对的现实,也是本章后面会详细讨论的问题。
Genesis:回到创世
抛开人物争议和市场博弈,让我们聚焦在BSV的技术路径上。
BSV团队从独立之初就设定了一个明确的目标:恢复比特币的原始协议。不是在原始协议的基础上做“改进“,不是在原始协议的基础上做“创新“,而是尽可能回到中本聪2009年发布的0.1版本所定义的规则。这个目标在整个加密货币行业中是独一无二的——几乎所有其他项目都在追求“超越“比特币,只有BSV在追求“回到“比特币。
这个逻辑的前提是本书前两部分建立的论证:比特币的原始设计已经足够完备,它不需要被“改进“,需要的是被正确地实施和扩展。如果这个前提成立,那么协议恢复就不是倒退,而是纠错。
这个目标通过一系列阶段性升级来实现。2018年独立后,BSV首先在区块大小上迈出了步伐——从128MB到512MB再到2GB,每一步都在测试网络在更大区块下的表现。但真正的里程碑是2020年2月4日的Genesis升级——一个名字直接致敬创世区块的硬分叉。
Genesis升级在区块高度620538处生效,它做了几件关键的事情。
第一,将固定区块大小上限改为矿工可配置的共识参数。不是把限制从32MB提到128MB或1GB——而是将最大区块大小交由矿工根据市场力量和网络条件自行决定,配置上可设为近似无限(如设为0表示不设上限),但软件层面仍存在实际的处理边界。这正是中本聪的原始设计意图:协议本身不应该对区块大小设置固定上限,就像TCP/IP协议不应该限制网页的大小一样。第十三章已经论证过,中本聪在白皮书中设计了默克尔树、SPV和磁盘空间回收这三个组件,构成了一个完整的链上扩容架构。Genesis升级将区块上限改为可配置,是这套扩容架构得以发挥作用的前提。
第二,恢复被禁用的操作码。第十五章记录了中本聪在2010年因安全漏洞紧急禁用大量操作码的历史——OP_MUL、OP_DIV、OP_MOD、OP_LSHIFT、OP_RSHIFT、OP_CAT、OP_SUBSTR等十多个操作码被一刀切地禁用。BSV从2018年开始逐步恢复这些操作码:先是OP_MUL、OP_INVERT、OP_LSHIFT、OP_RSHIFT,然后在Genesis升级中恢复了相当一部分剩余操作码(但仍有若干操作码和脚本规则留待后续的Chronicle升级处理)。同时,OP_RETURN的处理方式也发生了变化。在BTC中,OP_RETURN的存在会导致脚本直接判定为无效;Genesis升级后,OP_RETURN保留了作为脚本终止符的特性,但不再因其存在而使脚本自动无效。这允许开发者使用OP_FALSE OP_RETURN模式在交易中嵌入大量数据,脚本在执行到该操作码时即视为成功结束。需要注意的是,这与中本聪原始代码中OP_RETURN的确切语义并不完全相同——原始OP_RETURN会根据栈顶元素判定脚本成败——但其效果是恢复了OP_RETURN作为脚本流程控制工具的实用性。
第三,大幅放宽脚本层面的各种人为限制。BTC在发展过程中对脚本施加了越来越多的限制:脚本大小上限、操作码数量上限、栈元素大小上限、“标准交易“类型的白名单。这些限制将比特币脚本从一个通用计算引擎降格为只能执行几种固定模式的签名验证工具。Genesis升级移除或大幅放宽了这些限制中的大部分——但并未一次性取消所有约束。部分规则(如解锁脚本的PUSHDATA-only要求、清洁栈规则等)仍被保留或改为可配置,需要在后续的Chronicle升级中继续调整。总体效果是让脚本重新接近一个通用的、堆栈式的计算系统。
第四,恢复对非标准交易的支持。BTC的“标准性“规则意味着只有特定类型的交易——P2PKH、P2SH、多重签名等——会被默认中继和打包。任何使用了复杂脚本逻辑的交易都被视为“非标准“,在默认节点策略下通常不会被中继或打包——这不等于协议层面判定交易无效,但实际效果是绝大多数复杂脚本交易无法上链。这相当于一个操作系统只允许运行预先批准的几款软件。Genesis升级取消了这个限制:只要交易的脚本是合法的比特币脚本,矿工就可以接受和处理它。
如果把这四项变更放在一起看,它们的逻辑是一致的:移除后来添加的人为限制,恢复原始协议的开放性。区块大小改为矿工可配置——让市场决定容量;操作码大规模恢复——让脚本重获强大的计算能力;脚本限制大幅放宽——让开发者可以构造复杂逻辑;非标准交易取消限制——让协议不预设“正确“的使用方式。Genesis是第一阶段的大规模恢复,完成了最繁重的工作,但仍有若干余项留待后续处理。
用第十五章的比喻来说:如果BTC对原始协议的修改是“把窗户用水泥封死“,那么Genesis升级就是“凿开了大部分水泥,重新装上玻璃“——而剩下的部分留给Chronicle来完成。凿开水泥比封上水泥更难——因为你需要小心翼翼地恢复原始结构,而不是简单地添加新的限制。每一个被恢复的操作码都需要经过安全审计,确保2010年导致禁用的漏洞已经通过其他方式(如资源限制)得到了解决。每一个被移除的限制都需要评估其对网络稳定性的影响。这不是简单的“把旧代码复制回来“,而是一个需要分阶段推进的审慎工程过程。
Genesis升级之后,BSV的协议在核心层面已经大幅接近中本聪0.1版本的设计。当然,“大幅接近“不等于“完全相同”——多年来的各种补丁、修复和兼容性调整意味着没有任何实现能与2009年的代码完全一致,且Genesis并未完成所有恢复工作。但在协议规则的层面上——什么交易是合法的、区块有多大、脚本能做什么——Genesis之后的BSV是所有现存比特币分叉中最接近原始设计的版本。
截至2026年3月,BSV官方计划于2026年4月7日在主网区块高度943816处激活Chronicle升级——这被定位为协议恢复的最后一步,即补齐Genesis中未完成的余项并做协议收口。Chronicle计划重新引入Genesis中尚未恢复的若干操作码,支持原始交易摘要算法(OTDA),并移除“清洁栈规则“等后来添加的限制。若如期完成,BSV官方将其定位为协议恢复的终点,并宣称此后协议进入“锁定“阶段——除了必要的安全修复外,协议规则将不再改变。
协议锁定是一个重大的哲学承诺。它意味着BSV不会像BTC那样不断通过软分叉或硬分叉来“改进“协议。这一立场直接呼应了第十二章论证的原始治理模型:比特币协议应该像法律一样稳定,开发者不是立法者,没有权力修改规则。
为什么协议锁定对企业用户至关重要?想象你是一家物流公司的CTO,你正在评估是否将供应链数据锚定到某条区块链上。你最大的顾虑不是性能,不是费用,而是稳定性——这条链的规则五年后还一样吗?我今天写的智能合约,三年后还能正常执行吗?如果协议随时可能被一群开发者通过投票修改,你就面临一个无法评估的系统性风险。协议锁定消除了这个风险。它承诺:你在BSV上部署的任何应用,将永远按照相同的规则运行。这正是基础协议层面的承诺——就像TCP/IP的核心规则保持了强兼容演进,使得建立在其上的应用可以长期运行。
当然,协议锁定也有代价。如果未来出现了某个当前无法预见的技术需求,BSV将无法通过修改协议来应对。BSV的回答是:原始协议的脚本系统足够通用,可以在应用层面适应未来的需求,不需要修改底层规则。这个判断是否正确,只有时间能给出答案。
Teranode:链上扩容的工程实践
恢复原始协议只是第一步。如果区块大小的限制被移除了,但节点软件本身处理不了大区块,那协议层面的“不设限“就只是一张空头支票。
这就是Teranode项目要解决的问题。
传统的比特币节点——无论是BTC的Bitcoin Core还是BSV早期使用的SV Node——都是单体架构:一个进程处理所有事务,包括接收交易、验证脚本、打包区块、存储数据、与其他节点通信。这种架构在区块较小时没有问题,但当区块增长到数百MB甚至GB级别时,单体架构就成了瓶颈:一个进程无法充分利用多核CPU,内存成为限制因素,I/O操作相互阻塞。
Teranode的解决方案是将单体节点拆解为微服务架构。交易验证、区块组装、网络通信、数据存储——每个功能被拆分为独立的服务,可以在不同的服务器上运行,可以独立扩展。如果交易验证是瓶颈,就增加更多的验证服务实例;如果存储是瓶颈,就扩展存储集群。这种水平扩展的能力意味着,理论上,处理能力可以随着硬件的增加而线性增长,不存在架构层面的容量天花板。
在数据库层面,Teranode采用了Aerospike——一个专为高吞吐量场景设计的NoSQL数据库。Aerospike的特点是将索引存储在内存中,将数据存储在SSD上,兼顾了访问速度和成本控制。BSV协会与Aerospike合作进行的基准测试中,数据库层面达到了超过300万TPS(每秒交易数)的吞吐量。
但这里必须做一个关键区分,因为混淆测试数据和生产数据是技术讨论中最常见的误导手法之一。
300万TPS是数据库层面的基准测试结果——它测量的是Aerospike作为存储引擎的原始读写能力,不包含交易验证、脚本执行、网络传播、共识达成等完整的区块链处理流程。当BSV协会宣称Teranode实现了“超过100万TPS“时,这个数字来自全球分布式环境下的端到端测试,包含了网络延迟和跨节点协调的开销,但仍然是在受控的测试环境中获得的数据。
而在实际的主网运行中,情况完全不同。
2024年12月,TAAL在区块高度875980处用Teranode软件挖出了主网上的第一个Teranode区块。2025年12月,GorillaPool在区块高度927546处用其“GorillaNode“(基于Teranode的实现)挖出了第一个区块。截至2026年初,已有多家矿工在主网上运行Teranode软件。但主网的实际日常交易量远没有达到测试环境中的百万TPS级别。BSV主网的日常实际吞吐量远低于测试环境中的峰值——现阶段更多讨论的是工程容量上限而非自然需求。在2025年5月的一次压力测试中,BSV在24小时内处理了1.52亿笔链上交易,刷新了记录——但正如其名,这是“压力测试“,大部分交易来自测试工具的自动生成,而非有机的用户需求。
这个差距说明了什么?
它说明Teranode的架构设计在理论上是可行的。微服务架构、水平扩展、Aerospike数据库——这些工程选择本身是合理的。300万TPS的数据库基准测试证明了存储层不是瓶颈。100万TPS的全球测试证明了端到端的处理流程可以在分布式环境中运行。但从“技术上可行“到“生产中必要“之间,还有一个决定性的因素:需求。
一条每天自然产生几万笔交易的区块链,不需要百万TPS的处理能力。Teranode展示的不是当前的需求,而是未来的容量——如果BSV的链上交易量真的增长到每天数十亿笔(物联网数据、供应链追踪、微支付等场景),Teranode的架构确保了网络不会因为容量不足而崩溃。这是一个“先建高速公路,再等车流增长“的策略。这个策略是否正确,取决于车流是否真的会来。
2025年10月,BSV协会将Teranode的代码以“源码可用“(source-available)的方式公开在GitHub上,采用的是Open BSV License——该许可证允许查看和使用源代码,但明确限定仅可在BSV区块链上使用。这意味着外部开发者可以审查、测试和贡献代码,但不能将代码用于其他区块链项目。这一步对增加代码的透明性和接受外部审查有积极意义,但Open BSV License与MIT或Apache等开源许可证有本质区别——后者不限定使用场景,前者则将代码绑定在BSV生态之内。
值得注意的是,Teranode的设计思路——微服务化、水平扩展、使用高性能数据库——并不是什么前沿技术。这些都是互联网行业处理大规模数据时的标准工程实践。Google搜索、Amazon购物、微信支付——所有处理海量请求的系统都采用类似的架构。Teranode的意义不在于它发明了什么新技术,而在于它证明了区块链节点可以采用与互联网行业相同的工程方法来扩展。换句话说,比特币的扩容不需要密码学突破,不需要新的共识协议,只需要好的软件工程——这恰好印证了中本聪在白皮书中的判断:比特币的扩展依赖于摩尔定律和网络带宽的自然增长。
总结一下Teranode的现状:架构设计合理,基准测试数据亮眼,已在主网出块验证可行性,但实际日常吞吐量受限于需求侧而非供给侧。它解决了“比特币能不能在链上扩容“的工程问题,但没有解决“谁来用这些容量“的市场问题。
生态现状:在建设中的系统
协议恢复了,扩容能力准备好了,接下来的问题是:谁在上面建东西?
BSV的生态系统目前处于一个尴尬但真实的阶段:技术基础设施日趋完善,但应用层的丰富度和用户规模远远落后于BTC和以太坊。让我们逐一审视几个关键组成部分。
sCrypt:智能合约平台。 sCrypt是BSV生态中最重要的开发工具之一。它是一个嵌入TypeScript的领域特定语言(DSL),让开发者可以用熟悉的TypeScript语法来编写、部署和管理BSV上的智能合约。BSV协会已将sCrypt确定为BSV区块链的官方智能合约语言。
sCrypt的技术路径与以太坊的Solidity有根本区别。Solidity运行在以太坊虚拟机(EVM)上,采用账户模型,合约拥有持久化的链上状态。sCrypt则直接编译为比特币脚本,运行在UTXO模型上——合约的“状态“通过UTXO的链式传递来表达。第十四章已经论证过,UTXO模型的智能合约在并行处理能力上具有天然优势:不同的UTXO之间没有共享状态,可以被独立验证,不存在以太坊那种全局状态导致的串行化瓶颈。
sCrypt生态中还包括一个值得注意的工具:Transpiler——一个可以将Solidity合约转换为sCrypt代码的编译器。这意味着以太坊上的现有合约逻辑,理论上可以被迁移到BSV上运行。当然,“理论上“和“实际上“之间的差距不容忽视——两种模型之间的根本差异意味着自动转换后的代码通常需要大量手动调整。
sCrypt当前面临的核心挑战不是技术能力——它已经展示了在BSV上实现复杂智能合约的可行性——而是开发者社区的规模。在一个以太坊拥有数十万活跃开发者、Solidity教程遍布互联网的世界里,sCrypt的开发者社区仍然很小。BSV协会通过举办工作坊、发布教育资源和建设在线课程来吸引开发者,但生态的增长速度远不能与以太坊相比。
代币协议。 在BTC上,由于脚本能力被限制,代币协议(如BRC-20)不得不依赖一些“hack“式的方案来实现。在以太坊上,ERC-20和ERC-721标准依赖全局状态和账户模型。BSV的原生脚本能力支持在UTXO模型上直接实现代币系统——不需要额外的虚拟机层,代币逻辑可以直接写在交易脚本中。不过,BSV上的代币技术路线并不单一:既有直接利用脚本约束的方案(如STAS、Tokenized),也有带有铭文或封装数据特征的协议(如BSV-20、1Sat Ordinals)。
其中,STAS(基于智能合约的代币标准)和Tokenized(面向合规资产的代币化协议)等利用BSV的完整脚本能力和大区块容量,可以在链上直接实现代币的发行、转让和管理,而不需要牺牲去中心化性或引入额外的信任假设。但与以太坊上成千上万的ERC-20代币和蓬勃的DeFi生态相比,BSV的代币生态仍处于早期阶段。
企业级应用。 BSV的定位一直强调“企业级“——低交易费用、高吞吐量、大数据容量使其适合需要处理海量数据的商业场景。BSV协会明确将目标市场定位在金融支付、物流与物联网、医疗健康、供应链管理和政府应用等领域。
在数据完整性方面,BSV的大区块和低费用使其可以作为一个不可篡改的数据公证层——企业将关键数据的哈希值写入BSV区块链,获得一个有时间戳、有工作量证明保护的存在证明。这比维护一个私有的“区块链“更有意义,因为公链的安全性不依赖于企业自身的诚实。
在微支付方面,BSV的交易费用通常低于0.01美元(在2025年5月的压力测试中,平均每笔交易费用约为0.00137美元),这使得“按次付费“的商业模式成为可能——为每MB流量付费、为每次API调用付费、为每条数据记录付费。HandCash等钱包应用已经在探索这些方向,提供基于用户名(而非区块链地址)的即时支付,并向游戏和数字内容领域拓展。
在物联网领域,BSV的低费用和高吞吐量使其成为机器对机器(M2M)微支付的潜在基础设施。设想一个由数十亿IoT设备组成的网络——传感器、智能电表、自动驾驶汽车——这些设备需要实时交换数据并为数据付费。每次数据交换的金额可能只有千分之一美分,但交易量可能达到每天数百亿笔。传统支付系统无法处理这种规模和粒度的交易——信用卡的最低手续费就足以让整个模式不可行。BSV的链上微支付架构理论上可以支撑这种场景。但“理论上“是关键词——截至目前,这些应用场景仍处于概念和原型阶段。
我们必须诚实地面对一个事实:截至目前,BSV上的企业级应用大多还处于概念验证或早期部署阶段。与IBM的供应链区块链、微软的去中心化身份项目、或者以太坊上数百亿美元规模的DeFi协议相比,BSV的企业应用尚未产生具有行业影响力的标杆案例。技术能力的“可以做到“和商业落地的“已经做到“之间,存在巨大的鸿沟。这个鸿沟不是BSV独有的——整个区块链行业在企业级应用方面都面临类似的挑战——但BSV因为生态规模更小,这个鸿沟显得尤为突出。
坦诚面对现实:技术正确不等于市场胜利
这是本章最重要的一节,也是这本书的知识诚信的试金石。
截至2026年初,BSV的市值约在3亿美元左右,在加密货币市场排名约第100位上下。BTC的市值超过万亿美元。以太坊的市值超过千亿美元。BSV与这两个生态之间的差距,不是“有差距“,而是数量级的悬殊。
BSV被币安、Kraken等主要交易所下架后,流动性大幅萎缩。虽然它仍然在OKX、HTX等交易所交易,并在2026年2月获得了受监管交易所LCX的上架,但与BTC和ETH在全球几乎每一个交易所都有交易对的普及度相比,BSV的可及性严重不足。
在开发者社区方面,以太坊拥有数以万计的活跃开发者和数千个去中心化应用。BTC拥有一个庞大的、高度活跃的开源社区。BSV的开发者社区则小得多。GitHub上的代码活动、Stack Overflow上的问答数量、技术会议上的参与度——在所有这些衡量生态健康度的指标上,BSV都远远落后。
在公众认知方面,BSV在主流加密货币讨论中几乎是隐形的。大多数加密货币投资者、分析师和媒体对BSV的认知,停留在“Craig Wright创建的那个分叉“的层面。技术上的论证——操作码恢复、区块限制移除、协议锁定——几乎从未进入主流讨论。
为什么会这样?
如果BSV在技术上最忠实于原始协议——而本书前面十五章论证了原始协议的设计是合理的、完整的、自洽的——那为什么市场如此冷淡?
这个问题有多个层面的答案,每一个都值得认真对待。
第一,技术正确性和市场采用是两个不同维度的问题。 技术史上充满了“技术上更优但市场上失败“的案例。Betamax在画质上优于VHS,但VHS赢得了录像带战争。OS/2在技术设计上优于早期的Windows,但Windows凭借生态系统和商业策略占据了市场。TCP/IP甚至不是当时技术评价最高的网络协议栈,但它凭借开放性和实用性击败了OSI七层模型。
市场竞争中,技术只是因素之一。网络效应、先发优势、品牌认知、生态系统的丰富度、进入门槛的高低——这些因素往往比技术本身更能决定胜负。BTC拥有“比特币“这个名字、十多年的品牌积累、全球最大的矿工网络、最广泛的交易所支持和最多的持有者。这些优势不是BSV通过“更忠实于白皮书“就能抵消的。
第二,交易所下架是一个毁灭性的打击。 在加密货币市场中,交易所是流动性的核心来源。一个不在主流交易所上市的代币,就像一只不在任何证券交易所挂牌的股票——无论公司基本面多好,投资者买不到就等于不存在。2019年的大规模下架从根本上切断了BSV进入主流投资者视野的通道。而下架的原因——Craig Wright的身份争议——与BSV的技术设计毫无关系。这是一个典型的“因人废事“的案例:BSV的协议设计不应该因为某个支持者的个人争议而被否定,但市场不会做这种理性的区分。
第三,“协议锁定“的哲学在快速迭代的行业中是逆潮流的。 加密货币行业的主流文化是“快速迭代、不断升级”。以太坊从PoW转向PoS,从单链转向分片,协议每隔几个月就有一次重大升级。在这种文化中,“我们要锁定协议,不再改变规则“听起来像是固步自封。但这恰恰是比特币原始设计的核心理念——协议是规则,规则不应该被规则制定者随意修改。这种理念在短期内看起来是劣势(缺乏“创新“的叙事),但在长期可能是优势(提供稳定的基础设施预期)。当然,“长期“到底有多长,没有人知道。
第四,BSV的叙事策略存在问题。 “恢复中本聪的愿景“是一个技术性的叙事——它吸引的是那些深入研究过白皮书和原始协议的人。但这样的人在全球加密货币参与者中只占极小的比例。大多数人进入加密货币市场的动机是投资收益,而不是协议考古。BSV需要一个能够触及更广泛受众的价值主张——比如“每笔交易费用不到一美分“或“可以在链上存储任意数据”——但这些叙事在市场上的传播力度远远不及BTC的“数字黄金“或以太坊的“世界计算机“。
第五,生态系统存在“冷启动“困境。 开发者去用户多的平台,用户去应用多的平台,应用去开发者多的平台。这是一个典型的鸡生蛋问题。以太坊在2017-2020年间通过ICO热潮和DeFi爆发突破了这个困境——大量的资金涌入创造了大量的项目,大量的项目吸引了大量的开发者,大量的开发者创造了更多的工具和基础设施,形成了正向循环。BTC通过“数字黄金“叙事和机构投资者的涌入突破了这个困境——华尔街的认可带来了天量的资金流入,资金流入推高了价格,价格上涨吸引了更多的关注和参与。BSV还没有找到自己的“突破口“。Teranode的扩容能力、sCrypt的智能合约、微支付的经济模型——这些都是好的积木,但它们还没有组合出一个让普通用户无法拒绝的“杀手级应用“。
冷启动困境对BSV来说尤其严峻,因为它的核心价值主张——“我们是真正的比特币”——本身就隐含着对BTC的否定。这意味着BSV不太可能从BTC的现有社区中获得支持,反而会招致敌意。而从其他生态中吸引用户和开发者,又需要提供超越现有平台的明确优势。BSV在技术层面确实具有优势——更低的费用、更大的区块、更完整的脚本能力——但这些优势对大多数终端用户来说是不可感知的。用户不关心他们的交易是在1MB的区块里还是在1GB的区块里处理的,他们只关心应用好不好用、资产安不安全、有没有人一起玩。
一个被忽视的数据点
在讨论BSV的市场困境之前,有一个容易被忽视的数据值得记录。
BSV区块链的总数据量早在2021年就已超过BTC区块链。截至2025年底,BSV链上数据总量已达约15TB量级,远超BTC的约750GB。这个数字的含义是:一条市值不到BTC千分之一的区块链,在链上承载的数据量上已经超过BTC一个数量级以上。
这个反差揭示了两种截然不同的区块链使用模式。BTC的区块链传统上主要记录简单的价值转移交易——从地址A转账到地址B。虽然自2023年起,BTC链上也出现了大规模的Ordinals/Inscriptions/BRC-20等非纯转账数据活动,但相较BSV,BTC的区块容量限制和较高的交易费用仍然对链上数据承载能力形成了更强的约束。而BSV由于将区块大小改为矿工可配置且交易费用极低,链上不仅有转账交易,还有大量的数据存储——文件哈希、应用状态、日志记录等,其链上数据承载的规模和形态与BTC有着显著差异。
当然,这个数据点也需要被诚实地解读。BSV链上数据量的很大一部分来自压力测试和自动化工具生成的交易,而非有机的用户需求。数据量大不等于有效使用量大。但它至少证明了一件事:BSV的链上扩容不仅仅是理论上的可能性,它已经在实践中发生了。一条区块链确实可以处理比BTC更多的数据,而且天没有塌下来——网络没有崩溃,节点没有因为存储压力而退出,矿工没有因为大区块而无法同步。
这是一个重要的工程验证,即使市场对此视而不见。
一个工程判断
让我们回到本书的核心框架来总结这一章。
本书的前两部分——歧路和正本——建立了一个评价区块链项目的技术参照系:白皮书定义了什么是比特币,以及比特币为什么被这样设计。在这个参照系下,评价BSV可以从两个独立的维度展开。
在“协议忠实度“的维度上,BSV的表现是所有现存分叉中最好的。Genesis升级大规模恢复了操作码,将区块大小改为矿工可配置,大幅放宽了脚本层面的人为限制。Chronicle升级计划补齐余项并锁定协议。Teranode的微服务架构证明了链上扩容在工程上的可行性。sCrypt展示了UTXO模型智能合约的技术潜力。这些工作在技术层面上是严肃的、有实质的、方向正确的。
在“生态健康度“的维度上,BSV的表现远不能令人满意。市值排名百名开外,主要交易所缺席,开发者社区规模有限,企业级应用尚未产生标杆案例,公众认知被人物争议严重干扰。这些问题是真实的、严重的,不会因为“技术上是对的“就自动消失。
一个理性的评价应该同时承认两个事实:BSV在协议恢复方面做了正确的工程工作;BSV在市场采用方面面临巨大的挑战。这两个判断并不矛盾。技术正确性是市场成功的必要条件之一,但远不是充分条件。一个协议设计再完美,如果没有人使用它,它就只是一组运行在少数服务器上的代码。一个生态再繁荣,如果它建立在有缺陷的基础架构上,它的繁荣就是脆弱的。理想的状态是技术正确性与市场采用的统一——但现实世界很少如此理想。
有人可能会问:如果BSV的技术方向是正确的,但市场不买账,那“正确“还有什么意义?
这个问题的答案取决于你的时间尺度。
在短期内——一年、三年、五年——市场认知、叙事力量和生态网络效应是决定性因素。在这个时间尺度上,BTC的“数字黄金“叙事和以太坊的“智能合约平台“叙事远比BSV的“原始协议“叙事更有力量。BSV的市场地位在可预见的未来不太可能发生根本性改变。
但如果我们把时间尺度拉长——十年、二十年、五十年——那么基础架构的正确性就变得更加重要。互联网协议栈最终胜出的不是最初最流行的方案,而是设计最合理的方案。TCP/IP在1980年代远不如IBM的SNA或DEC的DECnet流行,但它的开放性和可扩展性最终使它成为全球互联网的基础。当然,这种类比有其局限性——加密货币的竞争动态与网络协议的竞争动态并不完全相同。网络协议的竞争最终由技术实用性决定,而加密货币的竞争还涉及金融投机、监管政策、社区文化等更多维度。历史不会简单地重复。
本书不做预测。预测是分析师的工作,不是技术作者的工作。本书只做事实记录和逻辑分析。事实是:BSV在技术上恢复了比特币的原始协议,在工程上证明了链上扩容的可行性。事实也是:BSV的市场地位、生态规模和公众认知远远落后于主流竞争者。这两组事实并存,不需要用一组去否定另一组。
读者可以自行判断:在一个“技术正确“和“市场流行“并不一致的世界里,哪个因素最终会占据上风。但无论判断如何,理解BSV在做什么、做到了什么、以及它面临的真实挑战,是形成任何有意义判断的前提。
这正是本章试图提供的。
有一件事是确定的:无论BSV的市场命运如何,它的技术路径本身具有独立的价值——它证明了比特币的原始协议不仅仅是一份2008年的历史文档,而是一个至今仍然可以被实施、可以被扩展、可以承载大规模应用的技术架构。即使BSV作为一个市场实体最终未能突破当前的困境,它所做的工程工作——大规模恢复操作码、将区块上限改为可配置、实现微服务扩容——也为理解比特币的原始设计提供了不可替代的实践证据。
下一章将从BSV的具体实践中抽身出来,回到一个更宏观的问题:在中本聪离开之后的十几年里,比特币世界发生的一切——分裂、偏离、尝试回归——给我们留下了什么教训?比特币的未来,到底取决于什么?
第十七章:全球账本——数字经济的基础设施
上一章结尾留下了一个问题:比特币的未来,到底取决于什么?
在回答这个问题之前,让我们先回到本书第一章的起点。
2008年,中本聪发布了一篇九页的论文,描述了一个不需要信任任何第三方的电子现金系统。十七年后,这个行业建造出了什么?上百条互不兼容的链,需要信任的跨链桥,需要信任的排序器,需要信任的中心化交易所。用户转一笔稳定币,需要先判断对方的地址属于哪条链。开发者写一个应用,需要在十几条链上各部署一个版本。一个以“消除可信第三方“为使命的行业,在十七年后比任何时候都更依赖可信第三方。
行业花了十多年,重建了比特币要摧毁的系统。
这是第一章的结论。现在,在全书的最后一章,我们要问一个不同的问题:如果行业走偏了,那么正确的终点在哪里?
答案不需要猜测。它写在白皮书里,写在原始协议的每一个设计选择里,写在本书前十六章逐步展开的逻辑推演中。比特币的终局不是数字黄金,不是投机工具,不是某个小圈子的政治图腾。它是人类首个无需中心清算机构即可运行的公共账本基础设施——一个全球统一的、不可篡改的、任何人都可以使用的账本。
这一章要做的,就是把这个终局的具体图景展开。
当交易成本趋近于零
白皮书第一节指出了传统支付系统的一个结构性缺陷:
“The cost of mediation increases transaction costs, limiting the minimum practical transaction size and cutting off the possibility for small casual transactions.”
“调解成本增加了交易费用,限制了最低实际交易规模,使日常小额交易难以成立。”
这段话在2008年是对现状的批评。但它同时也是对未来的描述——如果这个缺陷被移除,会发生什么?
传统支付系统的每一笔交易都有一个最低成本:信用卡的固定手续费、银行转账的服务费、支付平台的抽成。这个成本存在的原因不是技术限制,而是信任模型的代价——银行需要维护客户身份系统、欺诈检测系统、纠纷调解流程,这些人力和制度成本最终都分摊到每一笔交易上。
在比特币的原始设计中,交易的成本由区块空间的供需关系决定。在区块空间供给充裕、且矿工最低费率足够低时,交易费用可以显著下降,甚至接近零。据生态媒体报道,BSV主网在2025年5月的压力测试中,平均每笔交易费用约为0.00137美元——1美元就能处理超过700笔链上交易。
当交易成本降到这个量级时,一整类在传统支付系统中不可能存在的经济活动,突然变得可行了。
考虑微支付。今天,如果你想为一篇在线文章付费0.01美元,主流银行卡和第三方收单体系通常难以经济地处理这笔交易——信用卡的最低手续费就要0.30美元,你付的手续费是内容价格的三十倍。所以整个互联网的内容商业模式被迫走向两个极端:要么免费(靠广告和数据变现),要么订阅制(强制用户为一整捆内容付费,即使他只想看其中一篇)。
支付摩擦是其中一个重要原因——支付系统的最低粒度太粗。好比你想在自动售货机里买一颗糖果,但售货机只接受百元大钞——不是糖果太便宜了,是找零系统太笨了。
当交易费用降到千分之一美分的量级时,微支付不再是一个概念,而是一种基础能力。你可以为每一篇阅读的文章付费0.01美元,为每一首听过的歌付费0.001美元,为每一段观看的视频按秒计费。内容创作者不再需要通过迎合算法或广告商来获取分成——每一份内容的触达都能转化为实时到账的微支付。
这种粒度的支付能力,对物联网世界的意义更加深远。
想象一个城市的交通网络。数百万辆车、数万个传感器、数千个充电桩,每时每刻都在交换数据和服务。一辆自动驾驶汽车接近一个路口,向交通传感器请求实时路况数据——这次数据交换值多少钱?也许千分之一美分。传感器提供数据,汽车支付费用。整个过程近实时发起和授权,不需要账户、不需要登录、不需要预付费套餐。
一辆电动车驶入一个共享充电桩,不需要注册会员,不需要下载App,不需要绑定信用卡。充电桩和汽车之间直接进行点对点的微支付——按每千瓦时计费,充多少付多少,精确到分。充电结束,交易完成,双方各走各路。
这些场景在传统支付系统中完全不可行。不是因为技术做不到——传感器和汽车之间的通信早已实现——而是因为没有一个支付系统能以足够低的成本处理如此频繁、如此微小的交易。传统支付渠道的最低交易粒度都太粗了,难以覆盖这种量级的高频微额交易。
比特币的原始设计——无限可扩展的区块、趋近于零的交易费用、UTXO模型的天然并行性——恰好提供了这种支付能力。每一笔微支付都是链上的一笔真实交易,有工作量证明保护的时间戳,有不可篡改的记录。不需要对账,不需要结算,不需要信任对方,不需要任何中间人。
白皮书写的是“点对点电子现金系统“。当交易成本趋近于零时,“点对点“不仅仅指人与人之间的支付——它同样指机器与机器之间的支付。在一个由数百亿台联网设备构成的世界里,机器间的经济活动规模将远超人与人之间的交易。而承载这种规模的支付基础设施,必须具备两个特征:极低的单笔交易成本,和极高的总吞吐量。这正是比特币原始设计所指向的方向。
数字产权:不需要登记机构的所有权
序章论证了比特币的核心突破:通过工作量证明,在数字世界中第一次创造出了具有物理属性的记录——不可篡改、有制造成本、可独立验证。序章中写道:
“比特币通过工作量证明,第一次在比特的世界里制造出了’纸’——一种具有物理属性的数字载体。这张纸上现在写着交易记录,但它能写的远不止于此。”
这句话指向的,是比特币作为基础设施的另一个维度:产权记录。
想想你拥有的那些“东西“:一套房子、一辆车、一份专利、一首歌的版权、一个域名、一个游戏角色的装备。在物理世界中,你对一块土地的所有权,最终依赖于政府的土地登记机构。登记簿上写着“这块地属于张三“,所以这块地就属于张三。如果登记簿丢失了、被篡改了、或者登记机构本身不再运作了,你的所有权就悬在了半空中。
在数字世界里,情况更加脆弱。你在某个游戏里花了三年时间打出一套稀有装备——你“拥有“它吗?技术上说,这套装备的数据存储在游戏公司的服务器上。公司可以随时修改你的装备属性,可以随时封禁你的账号,可以随时关停服务器。当公司倒闭的那一天,你的所有数字资产——无论你为之投入了多少时间和金钱——全部归零。你的域名、你的社交媒体账号、你的云端文件,本质上都面临同样的问题:它们的“所有权“不是真正的所有权,而是某个中心化实体授予你的使用许可。
比特币的UTXO模型提供了一种完全不同的所有权范式。
在UTXO模型中,“拥有“一笔资产意味着:在全球账本上存在一条记录,写着“这个输出只能被持有对应私钥的人花费”。这条记录被工作量证明保护,被全球数以万计的节点同步保存。没有任何个人、公司或政府可以单方面修改或删除这条记录。只要你持有私钥,你就拥有对这笔链上资产的控制权——不是因为某个机构授予你权限,而是因为数学和物理定律保证了这种控制力。至于这种链上控制权是否等同于法律所有权,取决于具体资产类型与司法框架。
当比特币的脚本系统被恢复到原始设计的完整能力——正如第十六章记录的BSV协议恢复工作——UTXO可以承载的不仅仅是货币价值。任何可以用数字形式表达的所有权,都可以被编码进一笔交易的脚本中:一栋房产的产权证明、一首歌曲的版权归属、一个专利的授权记录、一份合同的签署证明。
关键区别在于:区块链可作为产权证明、授权记录或交易日志的技术载体,其记录的存在性和完整性不再依赖于任何单一登记机构。传统的产权登记需要一个你信任的机构来维护——房管局、版权局、专利局。这些机构的可信度依赖于它们背后的法律体系和政府权力。但政府会更迭,机构会腐败,法律会被修改,服务器会被黑客攻破。在人类历史上,没有任何一个中心化的产权登记系统能够保证百年不变的可信度。当然,链上记录的法律效力仍取决于相应司法体系是否承认——技术解决的是记录的可信性问题,而非法权的自动生效。
而一个由工作量证明保护的全球公共账本,其不可篡改性不依赖于任何人的善意——它依赖于物理定律。随着确认数增加,重写历史所需成本迅速上升,攻击成功概率显著下降——篡改一条已被数千个区块确认的记录,在经济上几乎不可行。这种安全保障不会因为政权更迭而消失,不会因为公司倒闭而失效,不会因为法律修改而被推翻。
这意味着什么?意味着人类历史上第一次有可能建立一个不依赖于任何特定国家、政府或机构的全球产权登记系统。一个巴西的小农户,可以在同一个账本上证明自己对一块土地的所有权,这个证明和一个纽约的投资人在同一个账本上记录的股权凭证具有相同的技术可信度。不需要巴西政府和美国政府之间的互信,不需要国际条约,不需要第三方公证。账本就在那里,记录就在那里,工作量证明就在那里。
这不是乌托邦式的幻想。这是工程上可实现的目标——前提是存在一条能够承载海量数据、交易费用趋近于零、脚本系统具备完整表达能力的公共区块链。而本书前面的章节已经论证了:比特币的原始设计恰好具备这些特征。
更重要的是,技术可以提供跨境统一的记录层和证明层,即使各国法律体系尚未统一。传统的跨境产权确认极其复杂——你在A国注册的专利在B国不一定被承认,你在C国购买的房产的产权证明在D国可能毫无法律效力。每一个国家都有自己的登记系统、自己的法律框架、自己的确认流程。一个所有人都能访问、所有人都能验证、没有人能篡改的全球账本,为跨越主权边界的产权记录提供了一个中性的、无需许可的技术基础。法律可以在上面运行,但账本本身不属于任何法律体系。当然,法权的最终承认仍需各司法辖区的对接——技术统一了记录格式,但不能单方面取代法权承认。
网络效应:为什么终局只能是一条链
本书第一章描述了区块链行业的碎片化现状:上百条链、几十座桥、十几个L2。但碎片化不仅仅是用户体验的问题,不仅仅是安全的问题。它从根本上违背了网络经济的基本定律。
鲍勃·梅特卡夫(Bob Metcalfe)在1980年前后提出了一个关于网络价值的经验法则:一个网络的价值与其用户数量的平方成正比。1993年,乔治·吉尔德(George Gilder)将这一观察广泛传播并命名为“梅特卡夫定律“(Metcalfe’s Law)。
这条定律的直觉非常简单。一部电话如果世界上只有你一个人有,它毫无价值——你打给谁?如果有两个人有电话,它有一个连接的价值。如果有一百万人有电话,它有将近五千亿个潜在连接的价值。网络的价值不是随用户数量线性增长的,而是加速增长的。
现在把这个逻辑应用到区块链上。
假设全球有一百万个用户需要使用区块链服务。在单链模型下,这一百万用户都在同一条链上,他们之间可以无摩擦地交易、交互、构建应用。根据梅特卡夫定律,这个网络的价值与一百万的平方成正比——也就是一万亿的量级。
现在假设这一百万用户被分散到十条不同的链上,每条链有十万用户。每条链的网络价值与十万的平方成正比——也就是一百亿的量级。十条链的价值总和是一千亿——仅为单链模型的十分之一。
同样的用户数量,碎片化之后,网络总价值变成了十分之一。
若按梅特卡夫式近似估值,碎片化会显著削弱网络效应。碎片化不仅仅是“不方便“——它在网络经济学意义上大幅削减了网络价值。每一条新链的出现,如果它从现有网络中分流了用户,它对整体网络效应的损害可能远大于它自身创造的价值。这就是为什么多链生态的总体效率很难达到单链的水平——不管桥有多安全,不管跨链协议有多快。
梅特卡夫定律不是一个理论模型,它在互联网的历史中得到了反复验证。而互联网的历史,恰好为我们提供了一面清晰的镜子。
互联网的教训:从碎片化到统一
1980年代的计算机网络世界,与今天的区块链世界惊人地相似。
那时候不存在“互联网“这个统一的东西。存在的是一堆互不兼容的封闭网络:CompuServe、AOL、Prodigy、BITNET、FidoNet。每一个都有自己的地址格式、通信协议、客户端软件、用户社区。如果你是CompuServe的用户,你只能和CompuServe上的人通信。要给AOL上的人发消息?你需要通过“邮件网关“——一种不可靠的、速度慢的、经常丢失消息的中间服务。
是不是很眼熟?把“CompuServe“换成“以太坊“,把“AOL“换成“Solana“,把“邮件网关“换成“跨链桥“。一模一样的故事。
当年反对网络统一的声音,与今天反对单链的论据也一一对应:
“不同网络服务不同目的”——今天的版本是“不同链服务不同场景“。
“单一网络无法处理所有流量”——今天的版本是“一条链无法处理所有交易“。
“专用网络效率更高”——今天的版本是“Solana比以太坊快得多“。
“安全需要隔离”——今天的版本是“跨链桥是安全风险,所以各链应该保持独立“。
每一条在当时都有合理性。每一条在事后都被证明是错的。
TCP/IP在几乎每一个单项技术指标上都不是最好的。IBM的SNA在企业网络管理上更强,DEC的DECnet在点对点通信上更优雅,OSI七层模型在理论完备性上更胜一筹。但TCP/IP赢了。为什么?
因为统一网络的经济价值远超碎片化网络之和。梅特卡夫定律不关心你的协议栈有多优雅——它只关心有多少人在同一个网络里。
时间线值得注意:ARPANET 1969年上线,1983年TCP/IP成为标准协议,1991年互联网开始商业化——从ARPANET到商业化花了约22年。但临界点一旦到达,收敛的速度令人震惊:1991年大部分流量仍在封闭网络中,到1995年互联网流量的增长率已形成对封闭网络的绝对碾压,收敛临界点不可逆转。这是一个结构性类比,不是一一映射——但从碎片化到收敛趋势确立,只用了约四年。
那些封闭网络不是被某个竞争对手打败的。它们是被一个开放的、统一的、无需许可的公共网络吞噬的。CompuServe的高管们不会在某天早上醒来决定“我们输了“——他们只是慢慢发现,越来越多的用户在注销CompuServe账号,因为互联网上能做的事情越来越多,而CompuServe能做的事情永远只有那么几样。网络效应是一个正反馈循环:用户越多→应用越多→价值越大→吸引更多用户。一旦这个循环在某一个网络上启动,其他网络的衰落就只是时间问题。
区块链行业今天正处于1980年代末计算机网络的位置:碎片化达到了顶峰,每条“链“都在自己的围墙花园里运行,跨链桥充当着不可靠的邮件网关。比特币诞生于2009年,我们现在是2026年。如果互联网的时间线有任何参考价值,那么从碎片化到收敛的临界点,可能并不像大多数人以为的那么遥远。
当然,区块链的竞争动态不完全等同于网络协议的竞争。加密货币还涉及金融投机、监管政策、社区文化等更多维度。历史不会简单重复。但经济规律是共通的:网络效应奖励统一,惩罚碎片化。这条定律不会因为你的链上有更酷的技术特性就给你豁免。
全球账本:从第一性原理推导的终点
让我们像序章那样,把整条逻辑链串起来。但这一次,我们不是从双花问题推导到比特币的设计,而是从比特币的设计推导到它的终局。
第一步:物质不可复制,信息天然可复制。这是物理世界和数字世界的根本差异。
第二步:工作量证明通过能量消耗,在数字世界中制造了“物理性“——不可篡改、有制造成本、可独立验证的记录。人类第一次拥有了不依赖任何机构的数字“纸张“。
第三步:这张“纸“上可以写的不仅仅是货币交易。任何需要确权、需要不可篡改记录的信息——产权、合同、证据、身份——都可以写在上面。这意味着比特币不仅仅是一个支付系统,它是一个通用的公共记录基础设施。
第四步:这个基础设施的价值服从梅特卡夫定律——参与者越多,价值越大,而且是平方级增长。因此,所有需要这种记录能力的交易和数据,最终一定会汇聚到同一个网络上,因为这是效率最高、成本最低、摩擦最小的方案。经济规律会驱动这个结果的发生。
第五步:一个承载全球所有价值记录的网络,必须能够无限扩容。而本书第十三章论证了中本聪的原始设计已经包含了链上扩容的完整架构——默克尔树、SPV、磁盘空间回收。第十六章记录了BSV的Teranode节点在分布式测试网试验中持续达到百万TPS级别(BSV Association, 2025-10-14),其主网长期稳定性仍待更多验证。扩容不是一个未解的理论问题,而是一个正在被验证的工程方向。
终点:同一条公共链可以承载统一的结算层和证明层,为所有需要确权、记录和转移的价值提供基础设施——但这不意味着所有原始数据都应直接上链,隐私、合规与选择性披露仍是现实约束。一条链,一个账本,全球基础设施。
如果前述前提成立,这条推理链中的每一步都是前一步的逻辑延伸。没有跳跃,没有信仰飞跃——但每一步的前提是否完全成立,读者可以自行检验。
这就是“全球账本“的含义。不是一个营销口号,不是一种愿景宣言,而是从第一性原理出发、经过严格逐步推演得出的逻辑终点。
有人会说:这太理想化了。现实世界比逻辑推导复杂得多。政治博弈、监管阻力、既得利益者的抵制、行业内部的分裂——这些力量每一个都足以延缓甚至暂时逆转这个趋势。
这些担忧是合理的。但它们混淆了两个不同的问题:“会不会到达“和“什么时候到达”。
互联网的发展也曾面对同样的阻力。电信巨头们不希望一个开放的公共网络取代它们的封闭系统。政府对不受控制的信息流通充满疑虑。大多数普通人看不懂TCP/IP是什么,也不关心。但经济规律不等人。一旦统一网络的价值在数学上压倒了碎片化方案,收敛就不再是一个选项——它是一个必然。快或慢,但方向不可逆。
回到起点
让我们最后做一件事。把全书的逻辑闭合。
序章从一个最基本的物理事实出发——物质不可复制,信息可以复制——推导出数字货币的根本障碍是双花问题。然后证明解决双花的唯一方式是全局排序。然后通过工作量证明,让一组互不信任的参与者在没有任何中心权威的条件下,对交易顺序达成共识。
第一章展示了行业的现状:十七年后,那个清晰的愿景被埋没在了上百条链、几十座桥、和一个比传统银行更复杂的信任依赖体系之下。从2008年到2026年,行业重建了比特币要摧毁的系统。
第二到五章追溯了歧路的源头:从以太坊对“世界计算机“的误解,到PoS对安全模型的根本妥协,到分片和L2对统一账本的割裂,到联盟链对“去中心化“概念的彻底偷换。
第六到九章回到白皮书,逐字逐句地还原比特币的原始设计:它是电子现金,不是数字黄金;UTXO是产权而非余额;工作量证明是排序机制而非“挖矿“;经济激励让自私和诚实指向同一方向。
第十到十四章展开比特币被忽视的深层设计:隐私模型、与法律的关系、治理哲学、扩容架构、脚本系统的完整性。每一个维度都指向同一个结论:原始协议的设计比大多数人理解的更加完备。
第十五到十六章记录了分裂和回归:BTC对原始协议的一系列偏离,以及BSV试图恢复原始设计的工程实践。
而这最后一章,把所有线索汇聚到一个终点:比特币的设计从第一天起就指向终局——一条链、一个账本、全球基础设施。
这个终局不是后人附加的解读。它就在白皮书的设计中。
中本聪为什么设计默克尔树?不是为了一个每十分钟处理两千笔交易的系统需要默克尔树。是为了当每个区块包含数百万笔交易时,SPV节点仍然能高效验证。
中本聪为什么设计SPV——简化支付验证?不是为了让每个人都运行全节点。恰恰相反——是为了让普通用户在不运行全节点的情况下仍然能安全地使用网络。白皮书的SPV设计与中本聪后续的论坛讨论共同指向了这种分工:全节点将由专业化的大型参与者运营,普通用户通过SPV参与网络。这是一个为全球规模设计的架构。
中本聪为什么设计磁盘空间回收机制?为什么在白皮书中专门用一节来说明“已花费交易可以被安全丢弃“?因为一个承载全球交易的账本,其数据量将增长到任何单一机器无法完整存储的程度。磁盘空间回收确保了旧数据可以被修剪而不影响账本的完整性——这是一个为无限增长设计的机制。
把这些设计放在一起看:无上限的区块容量、SPV让普通用户无需全节点、默克尔树支持海量交易的高效验证、磁盘空间回收应对无限增长的数据。这不是一个“小而美“的实验性系统的设计。这是一个全球基础设施的蓝图。
中本聪在白皮书中没有使用“全球账本“这个词。但他设计的每一个组件,都指向这个方向。就像一个建筑师不需要在图纸上写“这是一栋摩天大楼“——如果图纸上画的是深打桩基础、钢结构框架、高速电梯井道和抗风支撑系统,那么他设计的就是一栋摩天大楼,无论他在标题里怎么称呼它。
正本清源
本书的标题是“正本清源比特币“。现在,在全书的终点,让我们把“正本“和“清源“的含义说清楚。
“正本”——回到比特币的原始设计,理解它到底是什么、为什么这样设计、每一个组件的功能是什么。不是通过社区的口耳相传来理解比特币,不是通过交易所的价格走势来定义比特币,不是通过某个开发者团队的路线图来诠释比特币。回到白皮书,回到原始代码,回到设计本身。
“清源”——追溯行业偏离的源头,理解每一次偏离的逻辑和代价。不是为了指责谁做错了什么——历史的偏航有各种复杂的原因,不是所有偏离都是出于恶意。但理解偏离的逻辑,是回归正轨的前提。
如果这本书的论证是成立的——比特币的原始协议提供了一个完备的、可无限扩展的、不依赖信任的公共账本——那么行业过去十七年所经历的一切混乱,其根源就在于对这个原始设计的误解和偏离。碎片化、跨链桥的安全灾难、L2的中心化妥协、CEX的全面主导——这些不是“发展中的阵痛“,而是方向性错误的必然后果。当你把一条链拆成一百条链时,你不是在扩展网络,你是在摧毁网络效应。当你把交易推到链下处理时,你不是在扩容,你是在重建比特币要消除的信任中间层。
正本清源不是考古工作。它是面向未来的。
理解比特币的原始设计,不是为了崇拜一个2008年的历史文档,而是为了看清一个仍然可以被实现的工程目标。白皮书描述的不是一段过去的历史,而是一个尚未完成的工程。那条从双花问题到全球账本的逻辑链,从第一天起就是完整的。只是行业走了太多弯路,以至于大多数人已经忘记了出发时的方向。
这不是预测
本书不做预测。
本书不预测BTC会不会放弃1MB区块限制。不预测以太坊的PoS会不会遇到根本性安全危机。不预测BSV会不会突破当前的市场困境。不预测多链格局会在什么时间点开始收敛。不预测哪一年、通过什么契机,人类会迎来一个统一的全球公共账本。
预测是分析师和投资人的工作。本书做的是一件不同的事:从第一性原理出发,推导出逻辑终点。
推导和预测的区别在于:预测依赖于对未来事件的猜测,推导依赖于对逻辑关系的论证。你可以不同意我的推导——你可以指出推理链中的某一步是不成立的,某一个前提是错误的,某一个论证是不严谨的。这些都是有意义的批评。但你不能说“现实世界很复杂,所以逻辑推导不重要“——因为如果逻辑推导不重要,那么任何技术讨论都将沦为观点的自由市场,而不是论证的角力场。
本书论证的是:从物质与信息的根本差异出发,经过双花问题、排序需求、工作量证明、链上扩容、网络效应的逐步推演,全球统一账本是逻辑上的必然终点。到达这个终点的路径可能曲折,时间可能漫长,中间可能经历无数我们今天无法预见的波折。但方向是确定的——就像你可以不知道一条河到达大海的确切路径,但你知道它最终一定会到达大海,因为水往低处流。
结语:白皮书的第一句话
2008年10月31日,一个化名中本聪的人在密码学邮件列表上发布了一篇论文。论文的标题是:
“Bitcoin: A Peer-to-Peer Electronic Cash System”
“比特币:一种点对点的电子现金系统”
不是“点对点的数字黄金系统“。不是“去中心化的投机平台“。不是“抗审查的价值储存工具“。
电子现金。
这两个字的分量,在十七年后的今天,比2008年更重。
“现金“意味着它是用来花的,不是用来囤的。它的价值来自流通,不是来自稀缺性叙事。每一笔交易——无论多么微小——都应该能够在这个系统上被经济地、近实时地发起,并通过链上确认获得最终结算。
“电子“意味着它是数字原生的。不是物理世界的模拟品,不是黄金的数字替身。它天然属于互联网,天然服务于数字经济。
“点对点“意味着没有中间人。不需要银行来转账,不需要交易所来交易,不需要桥来跨链——因为根本不应该存在需要“跨“的多条链。一条链,一个网络,所有人直接连接。
“系统“意味着它是一套完整的基础设施,不是一个单一功能的应用。支付是这个系统能做的事情之一,但远不是全部。任何需要不可篡改记录的场景——产权、合同、身份、数据——都在这个系统的服务范围之内。
白皮书的标题,八个英文单词,已经包含了全部的设计意图。行业花了十七年,试图把比特币变成它不是的东西——数字黄金、投机筹码、地缘政治工具、社交媒体上的部落图腾。而白皮书的标题从第一天起就写得明明白白。
正本清源,不过是回到这八个字而已。
一种点对点的电子现金系统。这不是过去式。这是现在进行时。它的工程仍在继续,它的逻辑从未被推翻,它所指向的终局——一个全球统一的、无需信任的价值互联网——仍然在前方。
不远,也不近。就在那里。等着被建成。