以太坊白皮书：下一代智能合约和去中心化应用平台

Vitalik Buterin

当中本聪在2009年1月启动比特币区块链时，他同时向世界引入了两种未经测试的革命性的新概念。第一种就是比特币（bitcoin），一种去中心化的点对点的网上货币，在没有任何资产担保、内在价值或者中心发行者的情况下维持着价值。到目前为止，比特币已经吸引了大量的公众注意力, 就政治方面而言它是一种没有中央银行的货币并且有着剧烈的价格波动。然而，中本聪的伟大试验还有与比特币同等重要的一部分：基于工作量证明的区块链概念，使得人们可以就交易顺序达成共识。作为应用的比特币可以被描述为一个先申请（first-to-file）系统：如果某人有50BTC并且同时向A和B发送这50BTC，只有被首先被确认的交易才会生效。没有固有方法可以决定两笔交易哪一笔先到，这个问题阻碍了去中心化数字货币的发展许多年。中本聪的区块链是第一个可靠的去中心化解决办法。现在，开发者们的注意力开始迅速地转向比特币技术的第二部分，区块链怎样应用于货币以外的领域。

常被提及的应用包括：可以代表定制货币和金融工具的区块链上的数字资产（彩色币）、某种基础物理设备的所有权（智能资产）、如域名一样的没有可替代性的资产（域名币）以及那些更高级的应用，如：去中心化交易所，金融衍生品，点到点赌博和区块链上的身份和信誉系统等。另一个常被询问的重要领域是“智能合约”：根据事先任意制订的规则来自动转移数字资产的系统。例如，一个人可能有一个存储合约：“A可以每天最多提现X个币，B每天最多提现Y个币，A和B一起可以随意提取，A可以停掉B的提现权”。这种合约的逻辑扩展代表了一个概念：去中心化自治组织（DAOs）-拥有资产并将组织的规则编码的长期的智能合约。以太坊的目标就是提供一个内置成熟的图灵完备的编程语言的区块链，用这种语言可以创建合约来编码实现任意的状态转换功能，用户只要简单地用几行代码来实现逻辑，就能够创建以上提及的所有系统以及许多我们还想象不到的其它系统。

目录

以太坊白皮书：下一代智能合约和去中心化应用平台 1

历史 3

作为状态转换系统的比特币 3

挖矿 4

默克尔树 6

其它的区块链应用 7

脚本 8

以太坊 9

以太坊账户 9

消息和交易 9

以太坊状态转换函数 10

代码执行 11

区块链和挖矿 11

应用 12

令牌系统 12

金融衍生品和价值稳定的货币 13

身份和信誉系统 14

去中心化存储 14

去中心化自治组织 14

进一步的应用 15

杂项和关注 16

改进版幽灵协议的实施 16

费用 17

计算和图灵完备 18

货币和发行 19

发行分解 19

挖矿的中心化 20

扩展性 21

综述：去中心化应用 21

结论 22

注解与进阶阅读 22

注解 22

进阶阅读 22

历史

去中心化的数字货币概念，正如财产登记这样的替代应用一样，早在几十年以前就被提出来了。1980和1990年代的匿名电子现金协议，大部分是以乔姆盲签技术（Chaumian blinding）为基础的。这些电子现金协议提供具有高度隐私性的货币，但是这些协议都没有流行起来，因为它们都依赖于一个中心化的中介机构。1998年，戴伟（Wei Dai）的b-money首次引入了通过解决计算难题和去中心化共识创造货币的思想，但是该建议并未给出如何实现去中心化共识的具体方法。2005年，芬尼（Hal Finney）引入了“可重复使用的工作量证明机制”（reusable proofs of work）概念，它同时使用b-money的思想和Adam Back提出的计算困难的哈希现金（Hashcash）难题来创造密码学货币。但是，这种概念再次迷失于理想化，因为它依赖于可信任的计算作为后端。

因为货币是一个先申请应用，交易的顺序至关重要，所以去中心化的货币需要找到实现去中心化共识的方法。比特币以前的所有电子货币协议所遇到的主要障碍是，尽管对如何创建安全的拜占庭问题容错（Byzantine-fault-tolerant）多方共识系统的研究已经历时多年，但是上述协议只解决了问题的一半。这些协议假设系统的所有参与者是已知的，并产生如“如果有N方参与到系统中，那么系统可以容忍N/4的恶意参与者”这样形式的安全边界。然而这个假设的问题在于，在匿名的情况下，系统设置的安全边界容易遭受女巫攻击，因为一个攻击者可以在一台服务器或者僵尸网络上创建数以千计的节点，从而单方面确保拥有多数份额。

中本聪的创新是引入这样一个理念：将一个非常简单的基于节点的去中心化共识协议与工作量证明机制结合在一起。节点通过工作量证明机制获得参与到系统的权利，每十分钟将交易打包到“区块”中，从而创建出不断增长的区块链。拥有大量算力的节点有更大的影响力，但获得比整个网络更多的算力比创建一百万个节点困难得多。尽管比特币区块链模型非常简陋，但是实践证明它已经足够好用了，在未来五年，它将成为全世界两百种以上的货币和协议的基石。

作为状态转换系统的比特币

从技术角度讲，比特币账本可以被认为是一个状态转换系统，该系统包括所有现存的比特币所有权的状态和“状态转换函数”。状态转换函数以当前状态和交易为输入，输出新的状态。例如，在标准的银行系统中，状态就是一个资产负债表，一个从A账户向B账户转账X美元的请求是一笔交易，状态转换函数将从A账户中减去X美元，向B账户增加X美元。如果A账户的余额小于X美元，状态转换函数就会返回错误提示。所以我们可以如下定义状态转换函数：

APPLY(S,TX) gt; S or ERROR

在上面提到的银行系统中，状态转换函数如下：

APPLY({ Alice: $50, Bob: $50 },'send $20 from Alice to Bob') = { Alice: $30,Bob: $70 }

但是：

APPLY({ Alice: $50, Bob: $50 },'send $70 from Alice to Bob') = ERROR

比特币系统的“状态”是所有已经被挖出的、没有花费的比特币（技术上称为“未花费的交易输出，unspent transaction outputs 或UTXO”）的集合。每个UTXO都有一个面值和所有者（由20个字节的本质上是密码学公钥的地址所定义^[1]）。一笔交易包括一个或多个输入和一个或多个输出。每个输入包含一个对现有UTXO的引用和由与所有者地址相对应的私钥创建的密码学签名。每个输出包含一个加入到状态中的新的UTXO。

在比特币系统中，状态转换函数APPLY(S,TX)-gt;Srsquo;大体上可以如下定义：

1. 遍历交易的每个输入：
   • 如果引用的UTXO不存在于现在的状态中（S），返回错误提示
   • 如果签名与UTXO所有者的签名不一致，返回错误提示
2. 如果所有的UTXO输入面值总额小于所有的UTXO输出面值总额，返回错误提示。
3. 返回新状态Srsquo;，新状态Srsquo;中移除了所有的输入UTXO，增加了所有的输出UTXO。

第一步的第一部分防止交易的发送者花费不存在的比特币，第二部分防止交易的发送者花费其他人的比特币。第二步确保价值守恒。比特币的支付协议如下。假设Alice想给Bob发送11.7BTC。事实上，Alice不可能正好有11.7BTC。假设，她能得到的最小数额比特币的方式是：6 4 2=12。所以，她可以创建一笔有3个输入，2个输出的交易。第一个输出的面值是11.7BTC，所有者是Bob（Bob的比特币地址），第二个输出的面值是0.3BTC，所有者是Alice自己，也就是找零。

挖矿

如果我们拥有可信任的中心化服务机构，状态转换系统可以很容易地实现，可以简单地将上述功能准确编码。然而，我们想把比特币系统建成为去中心化的货币系统，为了确保每个人都同意交易的顺序，我们需要将状态转换系统与一个共识系统结合起来。比特币的去中心化共识进程要求网络中的节点不断尝试将交易打包成“区块”。网络被设计为大约每十分钟产生一个区块，每个区块包含一个时间戳、一个随机数、一个对上一个区块的引用（即哈希）和上一区块生成以来发生的所有交易列表。这样随着时间流逝就创建出了一个持续增长的区块链，它不断地更新，从而能够代表比特币账本的最新状态。

检查一个区块是否有效的算法可以解释成这个范式，如下：

1. 检查区块引用的上一个区块是否存在且有效。
2. 检查区块的时间戳是否晚于以前的区块的时间戳，而且早于未来2小时^[2]。
3. 检查区块的工作量证明是否有效。
4. 将上一个区块的最终状态赋于S[0]。
5. 假设TX是区块的交易列表，包含n笔交易。对于属于0hellip;hellip;n-1的所有i，进行状态转换S[i 1] = APPLY(S[i],TX[i])。如果任何一笔交易i在状态转换中出错，退出程序，返回错误。
6. 返回正确，状态S[n]是这一区块的最终状态。

本质上，区块中的每笔交易必须提供一个正确的状态转换，要注意的是，“状态”并不是编码到区块的。它纯粹只是被校验节点记住的抽象概念，对于任意区块都可以从创世状态开始，按顺序加上每一个区块的每一笔交易，（妥妥地）计算出当前的状态。另外，需要注意矿工将交易收录进区块的顺序。如果一个区块中有A、B两笔交易，B花费的是A创建的UTXO，如果A在B以前，这个区块是有效的，否则，这个区块是无效的。

区块验证算法的有趣部分是“工作量证明”概念：对每个区块进行SHA256哈希处理，将得到的哈希视为长度为256比特的数值，该数值必须小于不断动态调整的目标数值，本书写作时目标数值大约是2^190。工作量证明的目的是使区块的创建变得困难，从而阻止女巫攻击者恶意重新生成区块链。因为SHA256是完全不可预测的伪随机函数，创建有效区块的唯一方法就是简单地不断试错，不断地增加随机数的数值，查看新的哈希数值是否小于目标数值。如果当前的目标数值是2^192，就意味着平均需要尝试2^64次才能生成有效的区块。一般而言，比特币网络每隔2016个区块重新设定目标数值，保证平均每十分钟生成一个区块。为了对矿工的计算工作进行奖励，每一个成功生成区块的矿工有权在区块中包含一笔凭空发给他们自己25BTC的交易。另外，如果交易的输入大于输出，差额部分就作为“交易费用”付给矿工。顺便提一下，对矿工的奖励是比特币发行的唯一机制，创世状态中并没有比特币。

为了更好地理解挖矿的目的，让我们分析比特币网络出现恶意攻击者时会发生什么。因为比特币的密码学基础是非常安全的，所以攻击者会选择攻击没有被密码学直接保

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[141300]，资料为PDF文档或Word文档，PDF文档可免费转换为Word