BitcoinVault : 点对点防盗电子黄金 　　

　　

　　[摘要]中本聪最初对比特币的设想是创造一种点对点版本的电子现金。该协议的大多数成功分支试图进一步改善这一愿景，并提供一个更具可扩展性和效率的支付系统。我们认为，比特币最大的承诺不是交换手段，而是价值的存储——更好的黄金形式，而不是现金。我们提出了一组对原始协议的修改，旨在通过创建最终的电子价值存储来实现这一承诺。把比特币的有效交易确认时间从10分钟延长到24小时，就可以解决比特币最大的缺陷，也就是黄金的形态——对盗窃的敏感性。一个专注于减少咖啡支付，但更多用于让自己的生活完全自在的系统。在这个系统中，每一笔交易都会被警告链中的144块，在紧急情况下可以用从未用过的恢复密钥取消，所以无懈可击。系统的引导不是通过硬分叉，而是通过更公平的加速挖矿机制，让系统在短时间内赶上比特币。我们要感谢比特币皇家白皮书1的创造者，他创造了不偷电子黄金的愿景。作为一个团队，我们希望推进这一想法，开始实施下面提到的所有关键功能，并通过使用第3个私钥解决方案(第4.1节中的附加功能)使其更加先进。 　　

　　

　　1、 介绍 　　

　　

　　比特币2是一种创新的分散支付系统，于2009年推出，使各方能够直接进行交易，而不必通过受信任的金融机构。该系统依靠工作量证明来维护分布式分类帐，而不需要可信的操作员。只要诚实节点比任何合作攻击者节点组控制更多的CPU能力，它就是安全的。比特币最初被其创始人中本聪描述为“电子现金系统”。 　　

　　

　　多年来，许多对原始协议的成功修改都以比特币代码库分叉的形式发布。包括2011年推出的Litecoin 3，减少交易确认时间，改变工作量证明算法，支持消费级硬件(如GPU)；2017年推出的比特币现金4，通过增加块大小，扩大了原协议的交易吞吐量；和比特币黄金5也于2017年推出，以提供专门的采矿设备。通过改变哈希算法，它就过时了。 　　

　　

　　忠实于最初的愿景，这些分支和其他分支的主要重点是让比特币成为更好的现金系统。原始协议的局限性，如高交易成本、10分钟的确认时间和每秒仅4次交易的近似吞吐量，阻碍了比特币与当今占主导地位的集中式在线支付系统竞争的能力。 　　

　　

　　2、 电子现金或电子黄金 　　

　　

　　虽然比特币在消费者采用电子现金方面没有取得太大成功，但作为电子黄金的一种形式，它取得了更大的成功。业界长期以来一直在争论比特币作为交易媒介还是作为价值储存手段更优越。黄金不是日常商品和服务的有效支付方式。消费者投资黄金主要是为了对冲通胀，维持未来购买力。与国内货币不同，比特币固定的货币政策和有限的供应量使其在这方面特别有吸引力。 　　

　　

　　历史表明，很少有系统能够同时满足多个竞争目标。优化比特币成为更好的交易媒介，将削弱其作为价值储存手段的潜力。同样，通过进一步牺牲有用的电子现金所需的属性，我们可以大大提高其作为电子黄金的效用。在本文中，我们对原始的比特币协议提出了一系列修改，集中在一个目标上——创建最终的价值存储。 　　

　　

　　如果我们不再优先考虑作为在线支付系统的竞争，那么我们就不必关注交易成本或交易吞吐量。毕竟黄金的运输成本很高，一般都是买做长期投资。与我们的工作特别相关的一个属性是交易确认时间。在这方面做出权衡，比如大幅提高比特币的平均10分钟确认时间，可能会带来重大优势。这种牺牲似乎很自然，因为我们无论如何也不会在10分钟内把黄金运到各个地方。 　　

　　

　　3、 盗窃问题 　　

　　

　　储存的关键要求是不易腐烂。在处理任何贵重物品时，盗窃是丢失的主要风险之一。黄金在这方面表现不错。与任何对电子资产的虚拟攻击相比，实物盗窃黄金的执行风险要大得多。此外，盗贼很难躲避当局，尤其是要将大量被盗黄金跨境隐藏起来，躲避当局。在保持匿名的情况下清洗和清算大量被盗黄金并不容易。 　　

　　

　　遗憾的是，相比之下，比特币表现不佳。基金协议受到一组加密私钥的保护。获得这些密钥的电子访问权限，以便攻击者可以远程、立即且不可撤销地扣押所有资金。由于交易是匿名的，清洗被盗资金也非常容易。使用混合器可以破坏可追溯性6，并且可以批量创建Sybil身份。因此，加密货币盗窃案件呈上升趋势，2018年盗窃金额超过10亿美元7。社区8策划的重大事件列表显示，即使是精通最新安全实践的专业组织也容易受到攻击。 　　

　　

　　事实证明，最终用户对私钥的安全管理是比特币的主要挑战之一。因为必须定期使用密钥来与资金进行交互，并且必须通过互联网传输已签名的交易，所以每个密钥最终都变得脆弱。诸如在“热”和“冷”钱包之间分配资金的安全意识做法很麻烦，根本解决不了问题。事件表明，热钱包必然会容纳大量的钱包9、10，而使用冷钱包只会减少与钥匙的交互，而不会完全消除钥匙11。 　　

　　

　　4、 防盗解决方案 　　

　　

　　作为消除盗窃的一种方式，我们建议将系统中所有交易的确认延迟24小时。当一个矿工将一个事务添加到一个新块时，该事务将不再被立即提交。相反，它将作为一个 　　

警报添加到链上，持续时间为144个块（假设块时间为10分钟）。如果保持144个块不受干扰，则事务将从警报状态更改为已确认。

　　

链上警报的好处是，硬币所有者在移动硬币时将收到不可审查的预先通知。所有者将有24小时对警报采取行动，并且在未经授权的情况下将能够覆盖转移。延迟提款是托管钱包和传统银行系统中公认的防盗行业标准。例如，Coinbase Vault <12>的等待时间为48小时。我们提出的解决方案无需受信任的第三方即可提供相同的保护。

　　

处于警报状态的事务的紧急覆盖需要特殊的恢复事务，并且可以立即执行，而不会受到标准的24小时延迟的影响。恢复交易需要特殊的恢复密钥，钱包所有者必须使用特殊的注册交易事先注册特殊的恢复密钥。恢复密钥一旦注册，就无法更改。

　　

　　

　　

专用恢复密钥旨在用作在紧急情况超控之前从未使用过的新密钥。该密钥可以脱机生成，并且永远不要连接到Internet或输入任何设备。注册过程仅需要此密钥的公共部分，以确保私有密钥可以保持未使用状态。与偶尔需要使用并因此容易被盗的冷钱包钥匙不同，该恢复钥匙将仅在紧急备用装置本身中首次使用，因此可以完全防盗。一旦使用了恢复密钥，就将其视为已泄露，所有资金应立即转移到新的未使用恢复密钥保护的新钱包中。

　　

将系统中的每笔交易延迟24小时可能会被视为一种极端的措施，它会影响可用性。在创建终极价值储存库的使命中，我们很乐意用不那么吸引人的现金与无法窃取的非常吸引人的黄金进行交易。这种折衷为缓慢移动和安全的基础层奠定了坚实的基础，仍然可以在诸如比特币闪电网络<13>之类的更高层中加速这一基础。

　　

4.1 第三私钥

　　

我们想添加一个额外的私钥（第三个），它将所需的144个确认减少到仅1个。此解决方案将交易时间从所需的24小时缩短到大约10分钟。将第三把钥匙与其他两个分开放置的用户将具有更高的安全级别，可以防止盗窃。

　　

5、 区块

　　

像原始的比特币协议一样，每个块都包含已确认交易的列表，并在其标头中保存这些交易的Merkle根哈希。由于常规交易必须在链上等待24小时，因此无法立即将其添加到区块的交易部分。而是将它们添加到原始比特币协议中不存在的新特殊部分-警报部分。警报部分的Merkle根哈希也存储在块标题中。

　　

当一个新的块被开采时，矿工回头看144个块并检查N-144块的警报部分。将确认所有仍有效的交易警报，并填充新块的交易部分。

　　

　　

开采区块N步骤如下：

　　

1）将新的常规交易添加到“阻止N个警报”部分（未确认）。

　　

2）将新的注册交易添加到第N个交易部分（已确认）。

　　

3）将新的恢复交易添加到第N个交易部分（已确认）。

　　

4）遍历N-144警报部分，并将有效交易添加到N交易部分（已确认）。

　　

6、 交易

　　

硬币转账使用与比特币协议中相同的常规交易进行。从警告部分移至交易部分时，其格式不会更改。

　　

注册交易只有一个输入，用于指定钱包所有者的密钥。恢复密钥在第一个输出中指定，其值必须为零。使用同一钱包的密钥可以允许其他输出。在处理过程中，注册事务将创建旨在用于首次恢复的零值UTXO。钱包的密钥和恢复密钥可以用任何通用脚本（例如multisig）代替。

　　

恢复事务有两个输入。首先是要恢复的UTXO，它必须属于钱包的密钥。第二个是属于恢复密钥的零值UTXO。第一个输出必须指定恢复密钥并且其值为零。允许其他输出。处理后，恢复事务将创建一个新的零值UTXO，用于下一次恢复。处理恢复事务时，将花费恢复的UTXO，从而使依赖于该UTXO的所有现有警报失效，并防止其在24小时延迟后被确认。

　　

挖矿合作 留言评论

　　

7、 兼容性

　　

我们的设计试图使该协议与标准比特币协议尽可能兼容。基本目标是最大程度地减少对现有比特币完整节点、客户端和钱包进行必要的代码更改。

　　

块中的Alerts部分是与原始协议的主要差异，必须以向后兼容的方式构造。为了避免更改块标题的格式，警报部分的Merkle根哈希存储在标准coinbase事务的输入中。不知道其比特币的现有比特币客户存在将忽略该部分及其所有警报。尽管如此，由于已确认的交易会在24小时后由矿工以标准方式添加到区块中，因此它们仍将正确显示交易确认。

　　

8、 激励措施

　　

总的来说，该系统借鉴了过去十年来证明自己成功的比特币激励模型。合并警报需要对此模型进行较小的修改。激励矿工增加新交易，作为警报添加到区块在这些交易中支付的交易费用。这意味着警报部分必须以该区块的矿工生成的单独的警报币库交易开始，以分配来自警报部分中所有交易的交易费用。当然，这些费用不会立即分配，而是必须等待144个区块，以供将来的矿工使用，以创建确认该区块并将其添加到其交易部分的区块。

　　

未来的矿工将不会收到从过去警报部分移出的已确认交易的费用，但仍将获得开采新区块的区块奖励以及立即确认的新交易的所有费用（例如注册交易和追回交易）。当未来矿工为该区块创建标准币库交易时，必须将过去警报币库交易的输出添加到该交易中，以最终确定费用分配。此机制意味着使过去警报无效的任何恢复交易必须补偿该警报中的交易费用。

　　

我们需要减轻的潜在攻击是盗窃和矿工通过收费贿赂相结合。考虑一个攻击者，该攻击者已控制了钱包的私钥，并创建了未经授权的交易警报，该警报支付了钱包余额的大部分费用。由于任何追回交易都必须补偿矿工的费用，因此无法收回所有被盗的资金。我们建议在协议级别限制每笔交易的最高费用。这种行为已经在包括Bitcoin Core在内的钱包中普遍存在，以保护用户免受意外伤害。

　　

9、 引导程序

　　

比特币协议通过区块奖励逐步将新硬币引入流通。在该协议的早期，这种行为在循环供应中产生了非常强烈的通货膨胀，这种通货膨胀随着时间的流逝而逐渐减弱。由于供应稀缺对于价值存储至关重要，因此，如果重新启动该系统将无法长期有效地实现其预期目标。另一方面，比特币在这方面已经达到了成熟点。到2020年底，比特币的通货膨胀率将低于1.8％，相当于黄金的1.6％<14>。我们建议将系统赶上与比特币相同的阶段，以享有相同的成熟度。通过简化与比特币的比较，这也将有助于市场评估这一新资产的价值。

　　

一种常见的追赶方法是依靠原始的创世块并在发行时艰难地分叉比特币分类账。这将以1:1的比例从比特币导入所有现有余额。我们认为这种方法对于存储价值并不理想，因为大多数供应将提供给为实现该价值付出了零努力的个人。

　　

作为更公平的替代方案，我们建议从一个新的成因区块出发，并在较短的周期内加快开采速度。该期限最多应持续一年，可能会缩短，以适应下一次比特币减半的象征性事件。在此引导期内，矿工的区块奖励将大大高于平时，以期与比特币的流通量相匹配。一旦加速采矿期结束，系统将继续按照原始协议的区块奖励时间表与比特币并行进行。这种方法的另一个好处是可以在启动时积极吸引矿工，因此，在引导程序结束时，当系统准备好用作价值存储时，大量的哈希功能已经可以保护网络。

　　

欲挖btcv请评论留言

　　

10、相关工作

　　

MalteMser等人的工作给我们留下了特别深刻的印象。关于比特币契约<15>。它们对比特币脚本语言的扩展使将来对硬币的使用受到限制，这些硬币可用于实施各种安全措施。主要是金库交易，类似于我们建议的延迟提款机制。

　　

我们选择了一种更简单的实现方式，该方式不需要由钱包实现递归自定义脚本的数组。我们的建议不仅仅是一个可选的扩展，它是对协议的根本更改，对所有交易都具有广泛的强制性影响。将实施的负担转移给矿工，并使最终用户的交易体验与默认情况相同，这使我们能够更好地履行创建真正的电子黄金的使命。

　　

【参考文献】

　　

<1> Ian Duoteli Fleming,https://bitcoinroyale.org/bitcoinroyale.pdf

　　

<2> S. Nakamoto, “Bitcoin: A Peer-to-Peer ElectronicCash System”,

　　

https://www.bitcoin.org/bitcoin.pdf, 2008.

　　

<3> Litecoin Project, “Litecoin, open source P2Pdigital currency”, https://litecoin.org, 2014.

　　

<4> “Bitcoin Cash”, https://www.bitcoincash.org, 2018.

　　

<5> bitcoingold.org, “Bitcoin Gold”,https://bitcoingold.org, 2018.

　　

<6> J. H. Ziegeldorf, F. Grossmann, M. Henze, N. Inden,and K. Wehrle,

　　

“Coinparty: Secure multi-party mixing of bitcoins”, In:CODASPY ’15, 2015.

　　

<7> CipherTrace, “Cryptocurrency Anti-Money LaunderingReport, 2018 Q4”,

　　

https://ciphertrace.com/crypto-aml-report-2018q4, 2019.

　　

<8> “BLOCKCHAIN GRAVEYARD”,https://magoo.github.io/Blockchain-Graveyard, 2019.

　　

<9> C. Zhao, “Binance Security Breach Update (May 72019)”,

　　

https://binance.zendesk.com/hc/en-us/articles/360028031711,2019.

　　

<10> J. Buck, “Coincheck: Stolen $534M ln NEM WereStored On Low Security Hot Wallet“,

　　

https://cointelegraph.com/news/coincheck-stolen-534-mln-nem-were-stored-on-lowsecurity-

　　

hot-wallet, 2018.

　　

<11> J. Preissler, “Important Notice: Only trade TIO ontrade.io”,

　　

https://medium.com/@trade.io/important-notice-only-trade-tio-on-trade-io-823d59fd7104,

　　

2018.

　　

<12> KM. Cutler, “Coinbase Launches A More SecureBitcoin Storage Option Called ‘Vault’”,

　　

https://techcrunch.com/2014/07/02/coinbase-vault, 2014.

　　

<13> J. Poon and T. Dryja, “The Bitcoin LightningNetwork: Scalable Off-Chain Instant Payments”,

　　

https://lightning.network/lightning-network-paper.pdf(draft), 2016.

　　

<14> World Gold Council, “How much gold has beenmined?”,

　　

https://www.gold.org/about-gold/gold-supply/gold-mining/how-much-gold,2018.

　　

<15> M. Mser, I. Eyal, E. Gün Sirer, “Bitcoin Covenants”,In: Financial Cryptography and Data Security,

　　

FC 2016, Lecture Notes in Computer Science, Vol. 9604.Springer, Berlin, Heidelberg.