比特币消息验证成功 比特币身份验证危险吗

一、比特币矿池的协议stratum

转自：

getblocktemplate协议诞生于2012年中叶，此时矿池已经出现。矿池采用getblocktemplate协议与节点客户端交互，采用stratum协议与矿工交互，这是最典型的矿池搭建模式。

与getwork相比，getblocktemplate协议最大的不同点是：getblocktemplate协议让矿工自行构造区块。如此一来，节点和挖矿完全分离。对于getwork来说，区块链是黑暗的，getwork对区块链一无所知，他只知道修改data字段的4个字节。对于getblocktemplate来说，整个区块链是透明的，getblocktemplate掌握区块链上与挖矿有关的所有信息，包括待确认交易池，getblocktemplate可以自己选择包含进区块的交易。

挖矿有两种方式，一种叫SOLO挖矿，另一种是去矿池挖矿。前文所述的在节点客户端直接启动CPU挖矿，以及依靠getwork+cgminer驱动显卡直接连接节点客户端挖矿，都是SOLO挖矿，SOLO好比自己独资买彩票，不轻易中奖，中奖则收益全部归自己所有。去矿池挖矿好比合买彩票，大家一起出钱，能买一堆彩票，中奖后按出资比率分配收益。理论上，矿机可以借助getblocktemplate协议链接节点客户端SOLO挖矿，但其实早已没有矿工会那么做，在写这篇文章时，比特币全网算力1600P+，而当前最先进的矿机算力10T左右，如此算来，单台矿机SOLO挖到一个块的概率不到16万分之一，矿工（人）投入真金白银购买矿机、交付电费，不会做风险那么高的投资，显然投入矿池抱团挖矿以降低风险，获得稳定收益更加适合。因此矿池的出现是必然，也不可消除，无论是否破坏系统的去中心化原则。

矿池的核心工作是给矿工分配任务，统计工作量并分发收益。矿池将区块难度分成很多难度更小的任务下发给矿工计算，矿工完成一个任务后将工作量提交给矿池，叫提交一个share。假如全网区块难度要求Hash运算结果的前70个比特位都是0，那么矿池给矿工分配的任务可能只要求前30位是0（根据矿工算力调节），矿工完成指定难度任务后上交share，矿池再检测在满足前30位为0的基础上，看看是否碰巧前70位都是0。

矿池会根据每个矿工的算力情况分配不同难度的任务，矿池是如何判断矿工算力大小以分配合适的任务难度呢？调节思路和比特币区块难度一样，矿池需要借助矿工的share率，矿池希望给每个矿工分配的任务都足够让矿工运算一定时间，比如说1秒，如果矿工在一秒之内完成了几次任务，说明矿池当前给到的难度低了，需要调高，反之。如此下来，经过一段时间调节，矿池能给矿工分配合理难度，并计算出矿工的算力。

矿池通过getblocktemplate协议与网络节点交互，以获得区块链的最新信息，通过stratum协议与矿工交互。此外，为了让之前用getwork协议挖矿的软件也可以连接到矿池挖矿，矿池一般也支持getwork协议，通过阶层挖矿代理机制实现（Stratum mining proxy）。须知在矿池刚出现时，显卡挖矿还是主力，getwork用起来非常方便，另外早期的FPGA矿机有些是用getwork实现的，stratum与矿池采用TCP方式通信，数据使用JSON封装格式。

先来说一下getblocktemplate遗留下来的几个问题：

矿工驱动：在getblocktemplate协议里，依然是由矿工主动通过HTTP方式调用RPC接口向节点申请挖矿数据，这就意味着，网络最新区块的变动无法及时告知矿工，造成算力损失。

数据负载：如上所述，如今正常的一次getblocktemplate调用节点都会反馈回1.5M左右的数据，其中主要数据是交易列表，矿工与矿池需频繁交互数据，显然不能每次分配工作都要给矿工附带那么多信息。再者巨大的内存需求将大大影响矿机性能，增加成本。

Stratum协议彻底解决了以上问题。

Stratum协议采用主动分配任务的方式，也就是说，矿池任何时候都可以给矿工指派新任务，对于矿工来说，如果收到矿池指派的新任务，应立即无条件转向新任务；矿工也可以主动跟矿池申请新任务。

现在最核心的问题是如何让矿工获得更大的搜索空间，如果参照getwork协议，仅仅给矿工可以改变nNonce和nTime字段，则交互的数据量很少，但这点搜索空间肯定是不够的。想增加搜索空间，只能在hashMerkleroot下功夫，如果让矿工自己构造coinbase，那么搜索空间的问题将迎刃而解，但代价是必要要把区块包含的所有交易都交给矿工，矿工才能构造交易列表的Merkleroot，这对于矿工来说压力更大，对于矿池带宽要求也更高。

Stratum协议巧妙解决了这个问题，成功实现既可以给矿工增加足够的搜索空间，又只需要交互很少的数据量，这也是Stratum协议最具创新的地方。

再来回顾一下区块头的6个字段80字节，这个很关键，nVersion，nBits，hashPrevBlock这3个字段是固定的，nNonce，nTime这两个字段是矿工现在就可以改变的。增加搜索空间只能从hashMerkleroot下手，这个绕不过去。Stratum协议让矿工自己构造coinbase交易，coinbase的scriptSig字段有很多字节可以让矿工自由填充，而coinbase的改动意味着hashMerkleroot的改变。从coinbase构造hashMerkleroot无需全部交易，

如上图所示，假如区块将包含13笔交易，矿池先对这13笔交易进行处理，最后只要把图中的4个黑点（Hash值）交付给矿工，同时将构造coinbase需要的信息交付给矿工，矿工就可以自己构造hashMerkleroot（图中的绿点都是矿工自行计算获得，两两合并Hash时，规定下一个黑点代表的hash值总是放在右边）

。按照这种方式，假如区块包含N笔交易，矿池可以浓缩成log2(N)个hash值交付给矿工，这大大降低了矿池和矿工交互的数据量。

Stratum协议严格规定了矿工和矿池交互的接口数据结构和交互逻辑，具体如下：

1.矿工订阅任务

启动挖矿机器，使用mining.subscribe方法链接矿池

返回数据很重要，矿工需本地记录，在整个挖矿过程中都用到，其中：

Extranonce1，和 Extranonce2对于挖矿很重要，增加的搜索空间就在这里，现在，我们至少有了8个字节的搜索空间，即nNonce的4个字节，以及 Extranonce2的4个字节。

2.矿池授权

在矿池注册一个账号，添加矿工，矿池允许每个账号任意添加矿工数，并取不同名字以区分。矿工使用mining.authorize方法申请授权，只有被矿池授权的矿工才能收到矿池指派任务。

3.矿池分配任务

以上每个字段信息都是必不可少，其中：

有了以上信息，再加上之前拿到的Extranonce1和Extranonce2_size，就可以挖矿了。

4.挖矿

1)构造coinbase交易

用到的信息包括Coinb1, Extranonce1, Extranonce2_size以及Coinb2，构造很简单：

为啥可以这样，因为矿池帮矿工做了很多工作，矿池已经构建了coinbase交易，系列化后在指定位置分割成coinb1和coinb2，coinb1和coinb2包含指定信息，比如coinb1包含区块高度，coinb2包含了矿工的收益地址和收益额等信息，但是这些信息对于矿工来说无关紧要，矿工挖矿的地方只是Extranonce2的4个字节。另外Extranonce1是矿池写入区块的指定信息，一般来说，每个矿池会写入自己矿池的信息，比如矿池名字或者域名，我们就是根据这个信息统计每个矿池在全网的算力比重。

2)构建Merkleroot

利用coinbase和merkle_branch，按照上图方式构造hashMerkleroot字段。

3)构建区块头

填充余下的5个字段，现在，矿池可以在nNonce和Extranonce2里搜索进行挖矿，如果嫌搜索空间还不够，只要增加Extranonce2_size为多几个字节就可轻而易举解决。

5.矿工提交工作量

当矿工找到一个符合难度的shares时，提交给矿池，提交的信息量很少，都是必不可少的字段：

矿池拿到以上5个字段后，首先根据任务号ID找出之前分配任务前存储的信息（主要是构建的coinbase交易以及包含的交易列表等），然后重构区块，再验证shares难度，对于符合难度要求的shares，再检测是否符合全网难度。

6.矿池给矿工调节难度

矿池记录每个矿工的难度，并根据shares率不断调节以指定合适难度。矿池可以随时通过mining.set_difficulty方法给矿工发消息另其改变难度。

如上，Stratum协议核心理念基本解析清楚，在getblocktemplate协议和Stratum协议的配合下，矿池终于可以大声的对矿工说，让算力来的更猛烈些吧。

二、【2019-07-12】比特币的钱包地址验证

第一步，随机选取一个32字节的数，大小介于1~0xFFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFE BAAE DCE6 AF48 A03B BFD2 5E8C D036 4141之间，作为私钥

18e14a7b6a307f426a94f8114701e7c8e774e7f9a47e2c2035db29a206321725

第二步，使用椭圆曲线加密算法（ECDSA-SECP256k1）计算私钥所对应的非压缩公钥（共65字节，1字节0x04，32字节为x坐标，32字节为y坐标）。

0450863AD64A87AE8A2FE83C1AF1A8403CB53F53E486D8511DAD8A04887E5B23522CD470243453A299FA9E77237716103ABC11A1DF38855ED6F2EE187E9C582BA6

第三步，计算公钥的SHA-256哈希值

600FFE422B4E00731A59557A5CCA46CC183944191006324A447BDB2D98D4B408

第四步，计算上一步哈希值的RIPEMD-160哈希值

010966776006953D5567439E5E39F86A0D273BEE

第五步，在上一步结果之间加入地址版本号（如比特币主网版本号"0x00"）

00010966776006953D5567439E5E39F86A0D273BEE

第六步，计算上一步结果的SHA-256哈希值

445C7A8007A93D8733188288BB320A8FE2DEBD2AE1B47F0F50BC10BAE845C094

第七步，再次计算上一步结果的SHA-256哈希值

D61967F63C7DD183914A4AE452C9F6AD5D462CE3D277798075B107615C1A8A30

第八步，取上一步结果的前4个字节（8位十六进制数）D61967F6，把这4个字节加在第五步结果的后面，作为校验（这就是比特币地址的16进制形态）

00010966776006953D5567439E5E39F86A0D273BEED61967F6

第九步，用base58表示法变换一下地址（这就是最常见的比特币地址形态）

16UwLL9Risc3QfPqBUvKofHmBQ7wMtjvM

如果给你个地址你只要：

base58->二进制->这时是第8步，

如果我们把后面4个字节拿掉，

就是第5步的结果，你只要重复以上步骤到第8步

取前4个和地址后4位比较就可以得到答案了

三、比特币机制研究

现今世界的电子支付系统已经十分发达，我们平时的各种消费基本上在支付宝和微信上都可以轻松解决。但是无论是支付宝、微信，其实本质上都依赖于一个中心化的金融系统，即使在大多数情况这个系统运行得很好，但是由于信任模型的存在，还是会存在着仲裁纠纷，有仲裁纠纷就意味着不存在不可撤销的交易，这样对于不可撤销的服务来说，一定比例的欺诈是不可避免的。在比特币出来之前，不存在一个不引入中心化的可信任方就能解决在通信通道上支付的方案。

比特币的强大之处就在于：它是一个基于密码学原理而不是依赖于中心化机构的电子支付系统，它能够允许任何有交易意愿的双方能直接交易而不需要一个可信任的第三方。交易在数学计算上的不可撤销将保护提供不可撤销服务的商家不被欺诈，而用来保护买家的程序化合约机制也比较容易实现。

假设网络中有A, B,C三个人。

A付给B 1比特币，B付给C 2比特币，C付给A 3比特币。

如下图所示：

为了刺激比特币系统中的用户进行记账，记账是有奖励的。奖励来源主要有两方面：

比特币中每一笔交易都会有手续费，手续费会给记账者

记账会有打包区块的奖励，中本聪在08年设计的方案是：每10分钟打一个包，每打一个包奖励50个比特币，每4年单次打包的奖励数减半，即4年后每打一个包奖励25个比特币，再过四年后就奖励12.5个比特币...这样我们其实可以算出比特币的总量：

要说明打包的记录以谁为准的问题，我们需要引入一个知名的拜占庭将军问题（Byzantine failures）。拜占庭将军问题是由莱斯利·兰伯特提出的点对点通信中的基本问题。含义是在存在消息丢失的不可靠信道上试图通过消息传递的方式达到一致性是不可能的。

假设有9个互相远离的将军包围了拜占庭帝国，除非有5个及以上的将军一起攻打，拜占庭帝国才能被打下来。而这9个将军之间是互不信任的，他们并不知道这其中是否有叛徒，那么如何通过远距离协商来让他们赢取战斗呢？

口头协议有3个默认规则：

1.每个信息都能够被准确接收

2.接收者知道是谁发送给他的

3.谁没有发送消息大家都知道

4.接受者不知道转发信息的转发者是谁

将军们遵循口头规则的话，那就是下面的场景：将军1对其他8个将军发送了信息，然后将军2~9将消息进行转达（广播），每个将军都是消息的接受者和转发者，这样一轮下来，总共就会有9×8=72次发送。这样将军就可以根据自己手中的信息，选择多数人的投票结果行动即可，这个时候即便有间谍，因为少数服从多数的原则，只要大部分将军同意攻打拜占庭，自己就去行动。

这个方案有很多缺点：

1.首先是发送量大，9个将军之间要发送72次，随着节点数的增加，工作量呈现几何增长。

2.再者是无法找出谁是叛徒，因为是口头协议，接受者不知道转发信息的转发者是谁，每个将军手里的数据仅仅只是一个数量的对比：

这里我们假设有3个叛徒，在一种最极端的情况下即叛徒转发信息时总是篡改为“不进攻”，那么我们最坏的结果就如上图所示。将军1根据手里的信息可以推出要进攻的结论，却无法获知将军里面谁是叛徒。

这样我们就有了方案二：书面协议。

书面协议即将军在接受到信息后可以进行签字，并且大家都能够识别出这个签字是否是本人，换种说法就是如果有人篡改签字大家可以知道。书面协议相对比口头协议就是增加了一个认证机制，所有的消息都有记录。一旦发现有人所给出的信息不一致，就是追查间谍。

有了书面协议，那么将军1手里的信息就是这样的：

可以很明显得看出，在最坏的一种情况——叛徒总是转发“不进攻”的消息之下，将军7、8、9是团队里的叛徒。

这个方案解决了口头协议里历史信息不可追溯的问题，但是在发送量方面并没有做到任何改进。

在我们的示例中，比特币系统里的每个用户发起了一笔交易，都会通过自己的私钥进行签名，用数学公式表示就是：

所以之前的区块就变成了这样：

这样每一笔交易都由交易发起者通过私钥进行数字签名，由于私钥是不公开的，所以交易信息也就无法被伪造了。

如书面协议末尾所说的那样，书面协议未能解决信息交流过多的问题。当比特币系统中存在上千万节点的时候，如果要互相广播验证，请求响应的次数那将是一个非常庞大的数字，显然势必会造成网络拥堵、节点处理变慢。为了解决这个问题，中本聪干脆让整个10分钟出一个区块，这个区块由谁来打包发出呢？这里就采用了工作量证明机制(PoW)。工作量证明，说白了就是解一个数学题，谁先解出来数学题，谁就能有打包区块的权力。换在拜占庭将军的例子中就是，谁先做出数学题，谁就成为将军们里面的总司令，其他将军听从他发号的命令。

首先，矿工会将区块头所占用的128字节的字符串进行两次sha256求值，即：

这样求得一个值Hash，将其与目标值相比对，如果符合条件，则视为工作量证明成功。

工作量证明成功的条件写在了区块链头部的难度数字段，它要求了最后进行两次sha256运算的Hash值必须小于定下的目标值；如果不是的话，那就改变区块头的随机数（nonce），通过一次次地重复计算检验，直到符合条件为止。

此外，比特币有自己的一套难度控制系统，使得比特币系统要在全网不同的算力条件下，都保持10分钟生成一个区块的速率。这也就意味着：难度值必须根据全网算力的变化进行调整。难度调整的策略是由最新2016个区块的花费时长与期望时长（期望时长为20160分钟即两周，是按每10分钟一个区块的产生速率计算出的总时长）比较得出的，根据实际时长与期望时长的比值，进行相应调整（或变难或变易）。也就是说，如果区块产生的速率比10分钟快则增加难度，比10分钟慢则降低难度。

PoW其实在比特币中是做了以下的三件事情。

这样可以防止一台高性能机器同时跑上万个节点，因为每完成一个工作都要有足够的算力。

有经济奖励就会加速整个系统的去中心化，也鼓励大家不要去作恶，要积极地按照协议本来的执行方式去执行。(所以说，无币区块链其实是不可行的，无币区块链一定导致中心化。)

也就是说，每个节点都不能以自身硬件条件去控制出快速度。现在的比特币上平均10分钟出一个块，性能再好的机器也无法打破这个规则，这就能够保证区块链是可以收敛到共同的主链上的，也就是我们所说的共识。

综上，共识只是PoW三个作用中的一点，事实上PoW设计的作用有点至少有这么三种。

默克尔树的概念其实很简单，如图所示

这样，我们区块的结构就大致完整了，这里分成了区块头和区块体两部分。

区块链的每个节点，都保存着区块链从创世到现在的每一区块，即每一笔交易都被保存在节点上，现在已经有几百个GB了。

每当比特币系统中有一笔新的交易生成，就会将新交易广播到所有的节点。每个节点都把新交易收集起来，并生成对应的默克尔根，拼接完区块头后，就开始调整区块头里的随机数值，然后就开始算数学题

将算出的result和网络中的目标值进行比对，如果是结果是小于的话，就全网广播答案。其他矿工收到了这个信息后，就会立马放下手里的运算，开始下一个区块的计算。

举个例子，当前A节点在挖38936个区块，A挖矿节点一旦完成计算，立刻将这个区块发给它的所有相邻节点。这些节点在接收并验证这个新区块后，也会继续传播此区块。当这个新区块在网络中扩散时，每个节点都会将它作为第38936个区块(前一个区块为38935)加到自身节点的区块链副本中。当挖矿节点收到并验证了这个新区块后，它们会放弃之前对构建这个相同高度区块的计算，并立即开始计算区块链中下一个区块的工作。

整个流程就像下一张图所展示的这样：

简单来说，双花问题是一笔钱重复花了两次。具体来讲，双花问题可分为两种情况：

1.同一笔钱被多次使用；

2.一笔钱只被使用过一次，但是通过黑客攻击或造假等方式，将这笔钱复制了一份，再次使用。

在我们生活的数字系统中，由于数据的可复制性，使得系统可能存在同一笔数字资产因不当操作被重复使用的情况，为了解决双花问题，日常生活中是依赖于第三方的信任机构的。这类机构对数据进行中心化管理，并通过实时修改账户余额的方法来防止双重支付的出现。而作为去中心化的点对点价值传输系统，比特币通过UTXO、时间戳等技术的整合来解决双花问题。

UTXO的英文全称是 unspent transaction outputs，意为未使用的交易输出。UTXO是一种有别于传统记账方式的新的记账模型。

银行里传统的记账方式是基于账户的，主要是记录某个用户的账户余额。而UTXO的交易方式，是基于交易本身的，甚至没有账户的概念。在UTXO的记账机制里，除了货币发行外，所有的资金来源都必须来自于前面某一个或几个交易。任何一笔的交易总量必须等于交易输出总量。UTXO的记账机制使得比特币网络中的每一笔转账，都能够追溯到它前面一笔交易。

比特币的挖矿节点获得新区块的挖矿奖励，比如 12.5个比特币，这时，它的钱包地址得到的就是一个 UTXO，即这个新区块的币基交易（也称创币交易）的输出。币基交易是一个特殊的交易，它没有输入，只有输出。

当甲要把一笔比特币转给乙时，这个过程是把甲的钱包地址中之前的一个 UTXO，用私钥进行签名，发送到乙的地址。这个过程是一个新的交易，而乙得到的是一个新的 UTXO。

这就是为什么有人说在这个世界上根本没有比特币，只有 UTXO，你的地址中的比特币是指没花掉的交易输出。

以Alice向Bob进行转账的过程举例的话：

UTXO与我们熟悉的账户概念的差别很大。我们日常接触最多的是账户，比如，我在银行开设一个账户，账户里的余额就是我的钱。

但在比特币网络中没有账户的概念，你可以有多个钱包地址，每个钱包地址中都有着多个 UTXO，你的钱是所有这些地址中的 UTXO加起来的总和。

中本聪发明比特币的目标是创建一个点对点的电子现金，UTXO的设计正可以看成是借鉴了现金的思路：我们可能在这个口袋里装点现金，在那个柜子角落里放点现金，在这种情况下不存在一个账户，你放在各处的现金加起来就是你所有的钱。

采用 UTXO设计还有一个技术上的理由，这种特别的数据结构可以让双重花费更容易验证。对比一下：