比特币因爱迪生的失败而死亡

创新之路总是由过时技术的遗迹铺就。 纵观历史，这样的例子不胜枚举——某项技术看似很有可能成为“划时代”的东西而大行其道，但发现出现了一种新的技术，比它更能解决问题，还是令人难过. 推波助澜，你就会过时。

比特币也会如此吗？ 我不知道。 不幸的是，我没有水晶球可以告诉我。 但我认为推测更有趣。 比特币被狂热者描述为可能比互联网本身更伟大的东西（我不太理解这个说法，因为比特币是一种基于互联网的技术），但如果相反的情况发生，比特币将与流行的 Betamax 磁带或 Napster 浏览器在其功率达到顶峰时突然停止运行怎么样？

我不想像标题所说的那样残忍。 它也不打算成为像“比特币快死了”这样的负面文本。 我实际上认为比特币现在做得很好（尽管炒作有点过头了）。 在这里，我认为比特币存在一些问题，希望我能就开发人员如何在即将到来的加密货币 2.0 取代比特币之前尝试改进提出建设性的建议。

在讨论比特币之前，我想带大家回顾一些技术发展的整个进化路径被完全抛弃的历史实例，并给出关于迂回路径创新的一般性结论。 让我们在这种情况下讨论比特币。

增量优化：Newcomen 和 Watt Steam Engines

蒸汽机是第一次工业革命的标志。 如果让你说出一个与蒸汽机有关的人的名字，你可能会脱口而出——詹姆斯·瓦特。 但是在瓦特的蒸汽机出现的五十年前，英国已经使用了数百台蒸汽机来抽干矿井的水。 它们被称为纽科门蒸汽机。

瓦特蒸汽机的问世得益于詹姆斯·瓦特在修理纽科门蒸汽机时得到的启示：纽科门蒸汽机效率非常低，因为气缸必须反复加热和冷却，这是一种能源浪费。 瓦特的创新包括在 Newcomen 的现有设计中添加一个单独的冷凝室。 这使蒸汽机的效率翻了一番比特币和中天币的区别，而无需重新加热和冷却汽缸，从而使它们运行得更快。 它们不仅限于抽水，更多地用于驱动工厂和机车。

这可以与现有“替代币”的发展相提并论。 许多开发人员复制比特币的源代码并尝试改进其设计：要么通过尝试不同的工作量证明方法，提高区块计算的速率，要么在 Zerocoin 中添加新功能，例如零知识证明（当然我不不希望它出问题了）。 还有其他一些，例如闪电网络，旨在分散区块链本身。

到目前为止，这些改进都不能称为引人注目（也许添加一个可爱的吉祥物是），比特币的采用率仍然超过所有山寨币的总和几个数量级。 尽管如此，比特币协议之外的一些重要特性是否是更广泛采用的关键仍有待观察。

技术创新：爱迪生的直流电气系统和特斯拉的多相交流系统

爱迪生被认为是白炽灯泡的发明者，事实上，大部分功劳应该归功于刘易斯·拉蒂默 (Lewis Latimer)，他研究了一种可以持久工作的碳丝，没有它，爱迪生灯泡就没有实际寿命 (这是另一个例子，渐进式改进提供了巨大的影响力）。 基于电气设备可以取代危险的煤气灯的想法，爱迪生开始了他的电气化世界之旅。

只有一个问题：爱迪生的系统是基于直流电的，扩展性不是很好。 直流电力系统无法远距离传输电力，而直流电力产品的大规模应用似乎需要在这些设施和电力设备之间安装大量高度分布式的发电设施。

让我们来看看尼古拉·特斯拉的多重通信系统。 多相系统是渐进式改进的另一个例子。 特斯拉没有发现或发明交流电，但通过使用多相，他确实构思和设计了比爱迪生的直流系统更高效的设备。 历史是这样的：交流电源提供直流电源不具备的可扩展性，多相交流电气系统仍然是远距离传输电力的主要方式。 爱迪生尽管具有先发优势，但还是输掉了“电流之战”，因为他的系统在技术上处于劣势。 多相通讯系统是名符其实的“世界级”系统，现在也在间接渗透到地球上几乎所有人的生活中。

构建更快、更高效的加密货币

您可能已经注意到我试图通过这一系列示例说明的主题：效率。 技术之间继承和替代的主要动机之一是新技术远比现有技术更有效。

很多人看到这张如此大规模比特币矿场的照片，不禁产生疑问。 成千上万台计算机被用于挖矿的场景让很多人想知道这些资源是否可以以某种方式用于一些有益的事情：比如使用这些 CPU 资源（现在是 ASIC）来寻找治疗癌症的方法。 鉴于我是一名具有广泛密码学背景的技术专家，我认为具有挖矿特性的加密货币不会治愈癌症。 但我也怀疑是否有一种方法可以完全消除挖矿，如果在不牺牲系统安全性的情况下消除挖矿会产生更实用的加密货币。

比特币使用密码学的工作量证明来解决一些问题，例如所谓的女巫攻击，攻击者可以利用在网络中创建特定角色来获得对网络的控制权。 此外比特币和中天币的区别，可以使用“抽签共识”机制来随机有效地选择那些节点来接收和重新发布已完成的交易，因此如果网络中有足够多的互斥参与者，任何一个组节点都无法决定哪些交易是可验证与否。

比特币可以调整这些工作因素，例如，网络在大约 10 分钟内生成新块。 这适用于替代异步汇款，例如现在用于在银行之间转移资金的自动清算所 (ACH) 系统，但不适用于零售支付，零售商希望客户在离开前付款经过验证。 如果零售商在验证付款之前就让顾客离开，这会让他们更容易受到欺诈，而比特币的问题更严重，因为它缺乏传统的“收费”机制来应对欺诈追溯（注：来自比特币社区经常建议似乎是让客户离开并承认欺诈。我猜他们认为欺诈是不可能的？）。

大约 10 分钟的间隔没有什么特别神奇的。 恰好中本聪选择了它。 这是许多山寨币试图加速的地方。 如果齐心协力，我相信很有可能推动比特币本身实现更快的区块创建速度，进而有助于缓解单个比特币区块的大小膨胀——Bitcoin Core 开发人员正计划提高每个区块的速率。 块大小最大为20M。

然而，如果根本不需要挖矿，系统不仅会更有效率（以消除硬件和电力消耗的挖矿费形式），而且会更快地达成共识。 而不是 10 分钟的时间窗口（可能更长，取决于获胜的矿工是否接受你的交易进入区块），非挖矿加密货币可以像现有的信用卡系统一样快速达成共识并处理交易。 这将释放加密货币在零售场景中使用的潜力，在这些场景中，商家需要快速了解付款是否被成功接受。

有许多潜在的“比特币杀手”技术正试图在不挖矿的情况下解决这种分布式共识问题。 我不确定他们中的任何一个是否准备好取代比特币。 但至少对我来说这不是一个棘手的问题。 然而，“Sybil”系统和蓄意的拒绝服务攻击仍然存在，需要创造性的解决方案。 幸运的是，人们开始尝试这些解决方案。

我发现现在至少有三个系统在这些主题上很有吸引力：

Stellar 共识协议 SCP：Stellar 不仅仅是一种加密货币，它是一种互联网级分布式共识协议（称为 Stellar 共识协议或 SCP），使用形式化方法开发并具有正确性证明。 分布式系统是出了名的困难。 除了比特币，分布式系统（例如 Paxos、Raft）通常是使用形式化方法开发的，并且具有类似的证明。 Stellar 共识协议依赖于配置信任列表的节点来抵御 Sybil 攻击。 实际工作条件还有待观察。

Hyperledger 是一种基于实用拜占庭容错 (PBFT) 算法的分布式交易账本——该算法已被正式证明是正确的。 Hyperledger 特意说明了这一点：它不是一种加密货币，而是一种共识协议，用于保存以您选择的货币计价的去中心化交易分类账。

Tendermint 是一种基于正式证明的 DLS 算法的分布式交易账本（但 Tendermint 本身不具备类似形式的证明）。 为了抵御 Sybil 攻击，Tendermint 使用“股权证明”，新验证者需要“购买”网络并参与诚实试用期，否则将失去他们购买的保证金。 Tendermint 作为分布式系统是否可靠，权益证明能否在实践中抵抗 Sybil 攻击还有待观察。

清单不胜枚举。 还有NXT、Ethereum的Slasher协议、Peercoin的权益证明协议等。

我并不是说 Stellar、Hyperledger、Tendermint 等是“比特币杀手”。 这还有待观察。 然而，它们展示了加密货币常见问题的解决方案：它们不仅快速高效，而且使用形式化方法开发，并具有正确的可证明性。 这些技术很合我的口味，因为作为密码学和分布式系统的双重爱好者，我个人希望看到下一代的加密货币。

值得一提的是，与 Stellar 的 Stellar 共识协议、Hyperledger 实用的拜占庭容错算法、Tendermint 的 DLS 算法不同，比特币没有正式的正确性证明。 相反，已经证明比特币是可以出错的，因为理论上无法解决拜占庭协议问题，而且在实践中也已经证明（这一点至少在专家圈是知道的）比特币存在网络分区或者使用比特币术语中的“区块链分叉”。 在一次分叉过程中，两个分支中的一个获胜，另一个失败，失败者上的交易完全丢失。

丢失已接受的写入操作（比特币“交易”）是分布式系统通常不可接受的属性。 通常分布式系统试图通过牺牲一致性来尝试高可用性或牺牲可用性（CAP定理中的AP或CP，三者不能结合）来保持一致性。 如果出现长时间的网络分区，比特币区块链会分叉，当分区恢复正常时，失败分叉中的所有交易都会丢失。

我认为这不适用于数字货币。 商品可能已被交换。 如果你已经付款了，网络分区问题解决后，商家会突然发现收到的比特币凭空消失了。

比特币密码系统崩溃

被更先进的技术取代并不是唯一可以摧毁比特币的东西。 也许比特币加密基础的灾难性失败也可能引发系统崩溃，或者至少是人们信心的崩溃。 由于我的主要兴趣是密码学，因此我一直对椭圆曲线密码学 (ECC) 很感兴趣。 我认为这将是一个有趣的猜测。 同样有趣的是，比特币 wiki 没有讨论这个话题，而是提供了一个简短的辩护词：

“SHA-256 和 ECDSA 目前被认为非常强大，但它们在未来可能会被破解。

比特币使用椭圆曲线数字签名算法 (ECDSA) 构建“钱包”。 在比特币中，每个“钱包”都有一对 ECDSA 密钥，私钥用于转账，公钥用于提供接收地址。 在钱包之间转移资金时将使用 ECDSA 签名。 这被发布给矿工，并最终被插入到比特币的区块链中。

ECDSA 受到 Dan Bernstein 等密码学家的严厉批评，认为它脆弱且容易出错，ECDSA 实施不当可能会在实践中泄露比特币私钥。 出于这个原因，比特币客户端作者应该实施确定性签名方案，例如 RFC 6979 中描述的方案。除非这样做，否则钱包密钥仍然存在无意泄露的风险。

不幸的是，RFC 6979 所做的 secp256k1 实现中有一个“可爱”但不太明显的后门可能性（这是 Matt Green 在上面的推文中提到的）。

“在从K值推导出R值的乘法中存在随机位反转，因为warped secp256k1是平滑区域，解决离散对数问题（DLP）相对容易，乘法中的单个位反转可以得到一个R值，并在251次尝试中恢复K值。

即使在使用 RFC6979 确定性签名时，试图防止重用或偏离随机数（也称为“R 值”），后门破坏密钥所需的全部只是乘法函数中的一位翻转。

secp256k1 的实现容易受到侧信道攻击，在这种攻击中，在同一硬件上运行的恶意软件可以通过观察缓存命中/未命中来恢复比特币私钥。 “Just A Little Bit”和“Just A Little Bit More”攻击使用刷新缓存+重新加载侧通道攻击从 OpenSSL 使用的 ECDSA 实现中恢复密钥。

Bitcoin的Github中的secp256k1 C类库理论上可以免疫这些攻击，但他们目前避免攻击的方法依赖于手动验证C编译器生成的汇编文件，这是一种易受攻击的方法。

比特币如何永久避免此类攻击？

EdDSA 是由 Dan Bernstein 和 Tanja Lange 等团队开发的下一代数字签名算法。 它采用了一种新型的椭圆曲线——扭曲的爱德华兹曲线（twisted Edwards curve），也称为Ed25519。 这与日益流行的用于签名的 Curve25519 相对应。 互联网研究专业任务组 (IRTF) 的密码学论坛讨论组 (CFRG) 刚刚选择用于 TLS 的下一代椭圆曲线。 OpenSSH 和 GPG 支持 Ed25519。

这些足以使加密货币崩溃吗？ 不，至少现在还没有。 但比特币使用的数字签名算法和椭圆曲线不足以激发信心。 在我看来，它为难以察觉的后门程序留下了太多空间，无法将其插入到受欢迎的客户端中。

综上所述

比特币证明了加密货币的可能性。 但是，比特币提供的解决方案“简单粗暴”，不能优雅地容忍网络分区。 这种方法还使比特币保持简单，易于理解它是什么，并使比特币可能成为唯一一种未经正式证明正确但被广泛使用的分布式共识算法。

但是比特币达成共识的速度很慢，效率极低，并且在发生长期网络分区时会丢失数据。 这些分区可以采取多种形式，例如网络中断或不兼容的软件版本。

比特币作为一种加密货币，是一项有趣的冒险，但现在围绕比特币的许多兴奋（或贬低、炒作）似乎都围绕并扩展了加密货币的领域，以包括去中心化数据库和共识系统。 有人说几乎可以将任何你能想到的东西转移到一个区块中：数字身份、DNS、即时消息，甚至整个政府。 一家创业公司看到很多莫名其妙的投资想要把矿机装进每一个设备，甚至是烤面包机，认为比特币是“相当于CPU、带宽、硬盘和内存的基础系统资源”。

我不认为比特币是实现各种想法的理想技术。 我理解并强烈同情迁移到分布式系统的愿望以及计划最终在该领域工作的愿望。 但由于比特币的效率问题和网络分区容忍度差，我认为它不适合人们想要的样子——一个通用的全球去中心化数据库。

下一代去中心化共识协议看起来更适合这项任务。引用 Fred Brooks 的话，这个问题

“这不是要创建一个试点系统然后扔掉它。你会这样做的。......所以准备好放手，无论如何你都会这样做。”

原文链接：