TCC（太一）：比特币发明者是谁重要吗？

TCC(太一)表示，比特币的发明人究竟是谁并不重要，重要的是现在谁也无法改变比特币的向前发展的进程，因为比特币区块链技术旨在以去中心化的方式运行，重要的是这项技术所运行的代码。也因为“他”的构想，才有了比特币的诞生及后来的故事。

据外媒报道，数字资产价格普遍大跌，主流货币：比特币价格最近24小时跌约10%，自11月13日以来首次跌破6000美元关口。当然数字资产之所以能发展到今天，应该归功于所用到的一个：“神秘协议”。

说到开源协议，比特币的独特之处之一在于它的协议极难做出调整。不像其他的协议，特性可以在一瞬间就完成增加、修改、或者废弃的动作，在比特币的世界里，就算是最轻微的改动也需要整个比特币网络中的绝大多数同时合作。原因很简单：比特币世界，并且只在比特币世界，要求完全的共识。在像HTML和CSS这样的因特网协议里，如果一个网页浏览器错误的解析了一些样式元素，能发生的最糟糕的情况也就是页面渲染不正确。而在比特币这，单单一笔交易被错误的判断成有效或者无效就会让整个块失效，并可能像2013年3月的那次那样，引起整个网络的一分为二。所以，中本聪在2008年做出的绝大多数决策我们都坚持着。尽管中本聪的选择绝对不是完美的，但幸运的是他正确的次数经常比错误要多;事实上，有几个实例，因为中本聪的选择我们获得了更好的结果，而更好结果的原因可能中本聪自己都没想到过。

这个“神秘协议”安全性怎么样我用一个，“论证来说明一下”。

设想如下场景：一个攻击者试图比诚实节点产生链条更快地制造替代性区块链。即便它达到了这一目的，但是整个系统也并非就此完全受制于攻击者的独断意志了，比方说凭空创造价值，或者掠夺本不属于攻击者的货币。这是因为节点将不会接受无效的交易，而诚实的节点永远不会接受一个包含了无效信息的区块。一个攻击者能做的，最多是更改他自己的交易信息，并试图拿回他刚刚付给别人的钱。　　诚实链条和攻击者链条之间的竞赛，可以用二叉树随机漫步(Binomial Random Walk)来描述。成功事件定义为诚实链条延长了一个区块，使其领先性+1，而失败事件则是攻击者的链条被延长了一个区块，使得差距-1。　　攻击者成功填补某一既定差距的可能性，可以近似地看做赌徒破产问题(Gambler’s Ruin problem)。假定一个赌徒拥有无限的透支信用，然后开始进行潜在次数为无穷的赌博，试图填补上自己的亏空。那么我们可以计算他填补上亏空的概率，也就是该攻击者赶上诚实链条，如下所示[8]：p=诚实节点制造出下一个节点的概率q=攻击者制造出下一个节点的概率qz=攻击者最终消弭了z个区块的落后差距

假定p>q，那么攻击成功的概率就因为区块数的增长而呈现指数化下降。由于概率是攻击者的敌人，如果他不能幸运且快速地获得成功，那么他获得成功的机会随着时间的流逝就变得愈发渺茫。那么我们考虑一个收款人需要等待多长时间，才能足够确信付款人已经难以更改交易了。我们假设付款人是一个支付攻击者，希望让收款人在一段时间内相信他已经付过款了，然后立即将支付的款项重新支付给自己。虽然收款人届时会发现这一点，但为时已晚。　　收款人生成了新的一对密钥组合，然后只预留一个较短的时间将公钥发送给付款人。这将可以防止以下情况：付款人预先准备好一个区块链然后持续地对此区块进行运算，直到运气让他的区块链超越了诚实链条，方才立即执行支付。当此情形，只要交易一旦发出，攻击者就开始秘密地准备一条包含了该交易替代版本的平行链条。　　然后收款人将等待交易出现在首个区块中，然后在等到z个区块链接其后。此时，他仍然不能确切知道攻击者已经进展了多少个区块，但是假设诚实区块将耗费平均预期时间以产生一个区块，那么攻击者的潜在进展就是一个泊松分布，分布的期望值为：

当此情形，为了计算攻击者追赶上的概率，我们将攻击者取得进展区块数量的泊松分布的概率密度，乘以在该数量下攻击者依然能够追赶上的概率。

化为如下形式，避免对无限数列求和：

写为如下C语言代码：#includedouble AttackerSuccessProbability(double q, int z){double p = 1.0 - q;double lambda = z * (q / p);double sum = 1.0;int i, k;for (k = 0; k <= z; k++){double poisson = exp(-lambda)for (i = 1; i <= k; i++)poisson *= lambda / i;sum -= poisson * (1 - pow(q / p, z - k));}return sum;}对其进行运算，我们可以得到如下的概率结果，发现概率对z值呈指数下降。当q=0.1时z=0 P=1.0000000 z=1 P=0.2045873 z=2 P=0.0509779 z=3 P=0.0131722 z=4 P=0.0034552 z=5 P=0.0009137 z=6 P=0.0002428 z=7 P=0.0000647 z=8 P=0.0000173 z=9 P=0.0000046 z=10 P=0.0000012 当q=0.3时 z=0 P=1.0000000 z=5 P=0.1773523 z=10 P=0.0416605 z=15 P=0.0101008 z=20 P=0.0024804 z=25 P=0.0006132z=30 P=0.0001522z=35 P=0.0000379 z=40 P=0.0000095 z=45 P=0.0000024 z=50 P=0.0000006 求解令P<0.1%的z值： 为使P<0.001，则 q=0.10 z=5 q=0.15 z=8 q=0.20 z=11 q=0.25 z=15 q=0.30 z=24 q=0.35 z=41 q=0.40 z=89 q=0.45 z=340

参考文献[1] W Dai(戴伟),a scheme for a group of untraceable digital pseudonyms to pay each other with money and to enforce contracts amongst themselves without outside help(一种能够借助电子假名在群体内部相互支付并迫使个体遵守规则且不需要外界协助的电子现金机制), “B-money”, http://www.weidai.com/bmoney.txt, 1998[2] H. Massias, X.S. Avila, and J.-J. Quisquater, "Design of a secure timestamping service with minimal trust requirements,"(在最小化信任的基础上设计一种时间戳服务器) In 20th Symposium on Information Theory in the Benelux, May 1999.[3] S. Haber, W.S. Stornetta, "How to time-stamp a digital document," (怎样为电子文件添加时间戳)In Journal of Cryptology, vol 3, No.2, pages 99-111, 1991.[4] D. Bayer, S. Haber, W.S. Stornetta, "Improving the efficiency and reliability of digital time-stamping,"(提升电子时间戳的效率和可靠性) In Sequences II: Methods in Communication, Security and Computer Science, pages 329-334, 1993.[5] S. Haber, W.S. Stornetta, "Secure names for bit-strings,"(比特字串的安全命名) In Proceedings of the 4th ACM Conference on Computer and Communications Security, pages 28-35, April 1997. on Computer and Communications Security, pages 28-35, April 1997.[6] A. Back, "Hashcash - a denial of service counter-measure,"(哈希现金——拒绝服务式攻击的克制方法)http://www.hashcash.org/papers/hashcash.pdf, 2002.

“如果没有中本聪，去中心化的数字货币的诞生可能要推迟好几年，我们对货币的想象可能还没有这么远。”