一切从成本开始（精读比特币白皮书4）

继续用简单的语言精读比特币白皮书。 今天带来第四期。 本节白皮书的内容主要是工作量证明。 我之前在这方面发表过很多文章。 本文用通俗易懂的语言来说明。 这个话题不适合熟悉比特币的人。 比特币原理的学生

本题主要是通过仔细分析中本聪的白皮书，结合自己的理解，让大家快速上手。 方框内黑色字体为白皮书原文翻译，橙色注释段为本人理解。 我希望它可以帮助你。 我一直认为每个研究区块链的人都应该仔细阅读比特币白皮书。 这是第四期，从工作量证明开始：

由于POW工作量证明的文章很多，本来不想写的，但考虑到完整性和连贯性，还是用简单的语言来注释。 我会用不同于以往文章的语言来注释，尽量让没有基础的同学看懂。 我明白。 另外，白皮书的图片部分在中文翻译中也有不少错误。 从今天开始，全部使用英文原图。 我们先来看看本节第一部分的原文：

4. 工作量证明

为了在点对点的基础上构建一组去中心化的时间戳服务器，仅仅像报纸或全球新闻网络一样工作是不够的，我们还需要一个类似于 Adam Back 提出的哈希现金（Hashcash）。 在执行随机哈希操作时，工作量证明机制引入了对特定值的扫描，例如 SHA-256，其中随机哈希值以一个或多个零开头。 那么随着0个数的增加，求这个解所需的工作量会呈指数增长，但只需要一次随机哈希运算就可以查出结果。 我们在区块中附加一个随机数（Nonce），这个随机数使得给定区块的随机散列值根据需要出现尽可能多的零。 我们通过反复试验找到这个随机数，直到找到为止。 这样，我们就构建了一个工作量证明机制。 只要 CPU 消耗的工作量能够满足工作量证明机制，除非重新完成相当大的工作量，否则区块的信息是无法更改的。 由于此块之后链接了后续块，如果要更改此块中的信息，则需要重做所有后续块的所有工作量。

注：在第三讲中，我们知道了比特币的时间戳机制，有些人可能还有疑惑。 比特币虽然以多个节点和前几个区块的中位时间为标准，但仍然存在一个问题，如果有人恶意更改时间，同时修改比特币源代码跳过时间检测机制或恶意构造怎么办？一笔交易（图中的Tx）实现双花，需要一种机制来保证

这种机制是 POW 工作量证明。 简单来说，就是增加了作恶的成本。 当然，这也让正常的操作付出了更多的计算成本。 初学者不需要了解哈希现金的原理。 这里我举一个比较简单的。 比如我们经常在论坛里发现各种刷机的帖子。 只需启动程序即可轻松干扰正常内容（可视为攻击）。 这些东西干扰了我们的正常阅读。 一般论坛都会介绍人机识别机制，就是常见的图片验证码，包括12306使用的比较复杂的图片验证码。你可以把这些验证码想象成一种增加作恶成本的机制。 不同的是，人识别这些东西很快，而机器是因为识别需要更复杂的算法或者在某些领域这些机器识别技术无法完成，从而完成了“真人证明”。 这种机制的结果是恶意发帖者说他们可以像真人一样发帖。 那么在一个大多数人都正常的论坛中，只有少数令人不安的信息，保证了正常信息的发布。

比特币的工作量证明也有同样的想法。 它需要一种机制来确保正常节点和恶意节点支付相同的成本来生成块。 与“真人证明”不同的是，我们面对的只是运行程序。 涉及到如何保证正常程序和恶意程序付出相同的代价。 程序的复制和传输不需要太多成本。 程序运行最大的成本是硬件（CPU、内存）和消耗（电），所以比特币介绍了SHA256算法（原理不用懂），你只需要知道执行SHA256运算消耗大量的 CPU 时间和功率，这不像是添加操作可以在瞬间完成

POW利用了信息安全的另一个特点，即安全与成本的相关性。 这是我在之前的文章中反复强调的。 这个世界上没有绝对的安全。 安全性具有三个扩展级别：可管理、可检测和攻击成本。 比特币系统利用了可管理成本和攻击成本中的两个，通过原文《随机哈希值以一个或多个0开始。然后随着0的数量增加，找到这个解决方案所需的工作量将呈指数增长》 实现是可以管理的，用SHA256碰碰运气增加了攻击成本，所以比特币不讲究可检测性，你可以作恶，但没关系，因为没有人会花100元去搞定1元，属于经济学原理

有人会问，如果大多数人都做恶，我可以举个例子。 例如，骗子的存在就是为了欺骗好人。 假设每个骗子需要花1块钱骗好人1块钱，则需要5个骗子骗一个好人，每个骗子每次需要花1块钱才能得到0.2元。 这样的制度有意义吗？

说句题外话，之前看过一篇生物学文章。 据说在进化的过程中，其实有一个长寿的细胞可以无限分裂。 也就是说，已经出现了不朽的生灵。 为什么这个生物不存在呢，因为旧的生物永不消亡，挤压着新生代的生存空间。 同时，没有突变，最终被自然淘汰。 现有的癌细胞是典型的可以无限分裂的细胞残余物。 结果就是癌细胞无限分裂，最后导致个体的死亡，癌细胞就完了

这与比特币系统有多么相似。 如果实现51%的攻击，攻击者的目的就达到了，但是整个系统的价值就会崩溃，所以攻击中获得的比特币就没有意义了，攻击者付出的大量硬件投资和电费都是没有意义的，所以发起51%攻击的人要考虑是不是把自己变成癌细胞，最终导致系统死亡

我花了很多时间讲POW的意义，就是告诉初学者攻击成本原理和攻击结果的经济原理。 了解原理后，技术其实很容易学。 介绍POW的技术文章很多。 复述（请看文后延伸阅读）

我们继续看白皮书中我认为值得思考的部分：

同时，工作量证明机制也解决了集体投票时谁占多数的问题。 如果确定多数的方式是基于IP地址，一个IP地址，一票，那么如果有人有权分配大量IP地址，这个机制就被打破了。 工作量证明机制的本质是一个CPU，一票。 “多数”决定表示为最长的链，因为最长的链包含最大的工作量。 如果大部分 CPU 由诚实节点控制，那么诚实链将以最快的速度扩展并超越其他竞争链。 如果要修改一个已经出现的区块，攻击者必须重新完成这个区块的工作量加上这个区块之后所有区块的工作量，最终赶上并超过诚实节点的工作量。 稍后我们将证明，如果较慢的攻击者试图追赶后续区块，成功的概率会呈指数下降。

另一个问题是硬件的计算速度正在快速提高，节点在网络中的参与程度会出现波动。 为了解决这个问题，工作量证明难度（the proof-of-work difficulty）将使用移动平均目标的方法来确定，即难度指向以预定平均值每小时产生块的速度数字。 如果块生成得太快，难度会增加。

注：本节解释为什么不使用基于IP地址的投票权（IP地址共识机制），原因很简单，因为IP地址分配是一个中心化的问题（IP地址分配由ICP控制，政府组织可以轻松回收和控制这些ip地址资源），可见中本聪设计的一切都是为了去中心化考虑的比特币成本价，包括很多细节

其实基于CPU，也是有缺陷的，但是当时中本聪的设计还是非常完美的。 毕竟，中本聪不是神。 比特币诞生后，一大批竞币也着力完善POW机制，包括引入POS机制力求完美。 数字货币，目前为止，我认为前期的POW机制+后期的POS机制是比较好的选择（个人观点），可以有效避免算力集中，实现全民致富； 这也是为什么目前比特币BU的争议需要得到大量矿场的支持，普通比特币用户基本都是吃瓜群众的原因。 当数字货币需要倾听每一位用户的声音时，DAC才会真正实现

本节白皮书传达的另一个重要信息是，根据比特币的“大多数人的正义”设计，比特币区块链只承认最长的链（交易记录），因为它一开始就是由正义的人构建的。 是的，后来者需要付出指数级的代价才能改变，这验证了POW的有效性

此外，“白皮书中的另一个问题是硬件的计算速度正在高速增长，节点参与网络的程度会出现波动”，这意味着中本聪考虑了硬件的摩尔定律增长未来几年设计的时候，也许有一天海量计算能力的硬件会很便宜，一天需要计算的工作量可能1秒就完成； 中本聪的解决方案非常巧妙，算力的提升会加快区块产生数据的速度。 那么我们就要让区块的增长与计算难度相关比特币成本价，通过上一节的“SHA算法的0碰撞”，越需要找出连续0的个数，根据的原理SHA算法，你需要消耗的算力也呈指数增长，抵消了硬件计算成本的下降。 也就是说，你还需要花1000元去买一台486的机器，能做以前花1000元做的事情。 只需一台小电脑就可以做到

白皮书这一部分最需要理解的是经济学中成本的概念。 理解了计算、作恶和成本的关系，并且这个成本还考虑了单位算力成本的不断下降和抵消，你就会明白比特币POW的核心思想了

关于这篇文章

只谈安全而忽略成本是不合适的。 没有绝对安全的系统，但有基于成本的安全系统； 您也可以分享这篇文章，让更多人了解这些知识。 您的支持和鼓励是我最大的动力，长按二维码关注

长按关注探索未来

相关阅读