原创 比特币和加密货币Altcoins为什么很值得研究分析

比特币已成为历史上最成功的加密货币。在20031年安静发布后的两年内，尽管只是粗略地分析了系统的设计，但比特币的经济价值仍高达数十亿美元。从那时起，越来越多的文献论证了该系统的属性，发现了对其的攻击行为，随后提出了有希望的替代方案，并指出了未来的困难挑战。与此同时，一个庞大而充满活力的开源社区提出并部署了大量修改和扩展。

我们提供了第一个系统的阐述，关于比特币和许多相关的加密货币或“Altcoins”。从零散的知识体系中，我们确定了比特币设计中可以解耦的三个关键组成部分。这使得对比特币特性和未来稳定性的分析更加深入。我们为许多提议的修改绘制了设计空间图，为其他共识机制、货币分配机制、计算难题和关键管理工具提供了比较分析。我们调查了比特币中的匿名问题，并提供了一个评估框架来分析各种增强隐私的建议。最后，我们提供了关于我们所称的非中介协议的新见解，它免除了在一组有趣的应用程序中对可信中介的需要。我们确定了三种普遍的非中介策略，并提供了详细的比较。

31.3 为什么比特币很值得研究

考虑一下关于稻草人形式的比特币的两种对立观点。第一个是，“比特币在实践中行得通，但在理论上行不通。”第二种观点是，比特币的稳定依赖于一种未知的社会经济因素组合，而这一组合难以用足够精确的模型进行建模，无法为比特币体系的健全提供令人信服的论据。

我们将说明这些简单观点的不足之处。首先，我们认为，尽管比特币迄今在实践中取得了令人惊讶的良好效果，但研究仍要确定为什么这是可能的。此外，要了解比特币是否仍将在实践中发挥作用。

对于第二种观点，我们认为，比特币正在填补一个重要的利基市场，它提供了一个虚拟货币系统，没有任何可信方，参与者之间也没有预先假定的身份。然而，在实践中，无论是在哲学上还是技术上，这些约束都很重要，比特币在这个模型中达成共识的方式令人深感意外，而且是一种根本性的贡献。简而言之，尽管比特币不容易建模，但它可能成为解决极其困难和重要问题的实际解决方案的基础，因此值得相当多的研究关注。

31.4 比特币的稳定性

A．交易有效性规则的稳定性

比特币生态系统的参与者是如何在交易有效性规则上达成共识的，目前还没有得到充分的分析。基本的哲学是这些规则是由Satoshi所定的，我们可以称之为规范主义。然而，规范主义无法完全解释比特币的当前规则，因为已经实现了添加新功能的更改。

在比特币内部，没有为更新交易验证规则指定流程。如果没有矿工之间的一致意见，任何变化都可能永久地分叉系统。因此，尽管人们普遍认为比特币是一个完全分散化的系统，但规则更改的需要意味着，要想在哪些区块链被视为比特币的问题上保持现实世界的共识，就必然需要某种程度的治理。目前，事实上的治理是由维护bitcoind的核心比特币开发者提供的，比特币基金会提供了一个基本的组织结构，并通过捐款筹集少量资金来支持开发团队。

B．共识协议的稳定性

假设对交易有效性规则达成共识，人们已经进行了各种尝试来描述区块链稳定的共识协议的特性。我们将各种分析提出的性质系统化为五个基本稳定性属性。

•最终达成共识。在任何时候，所有兼容节点都将同意将成为最终有效区块链的前缀。我们不能要求任何时刻最长的链完全是最终区块链的前缀，因为由于临时分叉，块可能被丢弃。

•指数收敛。深度为n的叉的概率为O()。这使用户高度放心，简单的“k确认”规则将确保他们的交易永久包含在高可信度中。

•活力。将继续增加新区块，并在合理的时间内将具有适当费用的有效交易包含在区块链中。

•正确性。最长链中的所有块只包含有效的事务。

•公平。在期望中，具有总计算能力的比例α的矿工将挖掘块的α比例（假设它们选择有效块）。

如果所有这些属性都成立，我们就可以说系统是稳定的，但不清楚是否都需要这些属性。

令人惊讶的是，实际货币并不需要正确性，因为参与者可以简单地忽略最长链中的任何无效交易。但是，正确性能够以SPV客户端的形式实现重要的性能优势，仅验证工作证明而非交易。

激励兼容性和博弈论。中本聪最初认为，只要所有矿工都遵循他们自己的经济激励措施，比特币就会保持稳定，这种财产称为激励兼容性。激励相容性从未在比特币或加密货币的背景下正式定义；它作为一个术语的流行可能源于其直观的吸引力和营销价值。在游戏理论术语中，如果普遍合规被证明是纳什均衡，那么这意味着比特币的激励兼容性，因为没有矿工会有任何单方面改变战略的动机。如果存在其他均衡，那么这意味着稳定性较弱的概念，如果普遍遵守是唯一的均衡，则意味着强稳定性。另一方面，如果非合规策略主导合规性，我们必须询问由此产生的策略均衡是否会导致共识协议的稳定性。

1）比特币计价效用的稳定性：我们讨论比特币稳定性的已知结果，假设矿工的目标纯粹是获得名义比特币。

简单的多数合规可能无法确保公平。一个有趣的不合规挖掘策略是临时阻止，其中矿工最初在找到它们之后保持密码。如果矿工发现自己在最长的公知链之前发现了两个区块，那么它可以有效地挖掘无对手，直到网络的其余部分赶上一个区块，此时可以发布保留的区块。

大多数合规性是完美信息的均衡。 Kroll等人分析了一个简化的模型，其中矿工拥有关于所有发现的块的完美信息（排除任何扣留）。在这个模型中，普遍服从是纳什均衡（虽然不是唯一的），这意味着比特币（弱）稳定。

多数遵守意味着趋同，共识和活跃。可以证明，大多数矿工表现得很顺从，一条最长的链条会迅速出现。如果大多数矿工遵循合规策略并且通信延迟与发现区块的预期时间相比较小，那么矿工最终会同意不断增长的交易历史前缀，无论如何不合规矿工的战略。这足以确保所有稳定性属性，除了公平性（由于潜在的临时扣留），所需的大多数的确切大小取决于网络和其他假设。

如果矿工可以勾结，稳定性是未知的。即使在没有多数矿工的情况下，较小的矿工也可能串通形成一个控制大部分采矿权的卡特尔，并模仿单一多数矿工可用的任何策略。

2）以外部计价效用的稳定性：实际上，矿工显然不仅仅对获得名义比特币感兴趣，而是获取现实世界的利润。对此进行建模需要为矿工开发效用函数，不仅包含他们赚取多少比特币，还包括他们如何有效地将比特币转换为实际价值或其他货币。由于三个相关因素，矿工的策略可能会影响他们将比特币计价的财富转换为实际价值的能力：

流动性限制。目前，以外币交易比特币的交易所通常流动性较低。因此，攻击者可能获得大量比特币，但无法将它们全部转换为外部值，或者只能以极低的汇率进行转换。

面对攻击时的汇率。一些不合规的策略，特别是那些以可见方式影响稳定性的策略，可能会破坏公众信心，从而在短期内削弱对比特币的需求。事实上，在实践中，人们发现汇率在系统面临技术故障时会下降。因此，在汇率能够做出反应之前，一个很快就能获得许多名义比特币但很可能会使汇率崩溃的策略可能难以兑现，特别是考虑到上述流动性限制。

以比特币计价的采矿业的长期股权回归。大多数大型矿业公司对维持比特币的汇率有额外的兴趣，因为他们在非流动性采矿硬件中拥有大量资金，如果汇率下降，它将失去价值。如果矿工期望他们将以低边际成本保持他们在未来的矿业份额，那么他们可能会避免采用比特币赚更多比特币的策略他们未来采矿奖励的预期价值。

不幸的是，汇率很难被纳入一个易于处理的博弈论模型，因为它本质上依赖于人类的判断和市场信心。更正式地对汇率和实际效用函数的影响进行建模是一个重大的开放问题。

3）除采矿收入外的其他激励措施的稳定性：至少分析了两种策略，对于效用并非纯粹来自采矿奖励的矿工来说，这两种策略可能是有利的。

金手指攻击。如果多数矿工的目标显然是破坏比特币的稳定性，从而破坏其作为货币的效用，他们可以很容易地做到这一点。例如，一个国家希望破坏比特币，以避免与本国货币的竞争，或者一个个人大量投资于一种竞争货币，可能会有动机尝试这样的攻击。在这些攻击中，比特币矿工成功地发起了针对采矿能力较低的新竞争货币的深度分支攻击。如果成熟的期货市场出现，矿工可以在比特币汇率上做空大量头寸，那么“金手指”式的攻击可能会直接获利。

羽毛分叉。 Miller提出了羽毛分叉策略，其中矿工试图通过公开承诺，如果列入链中包含列入黑名单的交易来审查交易黑名单，则攻击者将通过忽略包含目标交易的块，来进行报复并试图分叉区块链。攻击者的分叉将继续，直到它要么超过主分支并获胜，要么落后于k块，此时攻击者将承认目标交易的发布。 α<50％的采矿能力的攻击者将会在预期中赔钱，但会以正概率成功阻止黑名单交易。

但是，如果攻击者能够令人信服地表明他们认真对待报复性分叉，那么其他矿工将被激励避开目标交易，因为如果攻击者进行报复，他们也会失去预期。因此，只要所有其他矿工认为攻击者如果经过测试就会执行代价高昂的羽毛式报复，攻击者就可以执行他们的黑名单而无需实际成本。

C．采矿池的稳定性

采矿池依赖于参与者在发现有效区块时提交有效区块，并且易于向参与者提交部分股票以换取补偿，但扣留有效区块以降低池的盈利能力。虽然这种攻击早已为人所知，但看起来具有自我破坏性，因为除了降低池中其他成员的收入外，还降低了自己的收入。然而，已经证明大型采矿者（或池）实际上可以通过提交部分股份，但保留有效块，利用其采矿能力渗透到另一个池中，从而获利。好处是，用于渗透的能力不会增加采矿难题的难度（因为区块没有公布），但仍然可以赚取利润。这种策略对于大型采矿池是有利的，它跨越了攻击者和渗透池的一系列采掘能力。

D．对等层的稳定性

几乎所有比特币分析都假设对等层按照规定运行，并且一般来说，大多数参与者将在合理的时间范围内学习几乎所有可用的协议状态信息。但是，Babaioff等人证明了点对点层的信息传播并不总是相容的。目前尚不清楚参与者是否将来自对等网络的足够价值作为一种公共产品来内化，以证明传播信息的机会成本是合理的，或者在外部观察到的信息传播平衡是不稳定的，并最终可能会崩溃。

31.5 客户端安全

A．简化支付验证（SPV）安全性

尽管参考比特币客户端维护整个区块链的有效副本，但这将给移动设备带来难以承受的负担。一个简单的观察引出了一个轻量级的替代方案：假设大多数节点只在有效链上开采，那么客户机只需要验证工作证明，并且相信最长链只包含有效的交易。这样的SPV证明使不受信任的节点能够有效地向轻量级客户机证明交易已包含在商定的历史记录中。

SPV是在BitcoinJ库中实现的，它位于大多数移动比特币客户端之下。SPV验证需要处理不断增长的工作证明解决方案链，尽管可以进行优化，比如从硬编码检查点开始。SPV还带有隐私保护措施，因为它要求向第三方披露客户感兴趣的地址集。

B．密钥管理

比特币依靠公钥加密技术进行用户自动识别，而如今几乎所有其他形式的在线商务都依赖密码或机密信用卡信息。比特币软件的开发人员尝试了多种方法来解决密钥存储和管理方面的长期可用性问题。

存储在设备上的密钥。将密钥池直接存储在磁盘上是最简单的模型，但是密钥可能被专门设计的恶意软件窃取。

分离控制。为了避免单点故障并提高安全性，可以使用k-of-n多签名脚本存储比特币，该脚本指定n个公钥。要赎回脚本，必须从这n个键中提供k个有效签名。

有密码保护的钱包。比特币客户端可能允许使用来自用户选择密码的密钥对存储的密钥池文件（称为钱包）进行加密。

密码衍生的钱包。密钥池可以确定地从单个用户选择的秘密派生而来，如果秘密被提交到内存中，则允许跨设备使用。

离线存储。钱包离线存储在被动式便携媒体中，如纸张或USB的 u盘，增强了防盗功能，免受基于恶意软件的威胁，并提供了一种熟悉的心理安全模型。但是，必须在密钥池耗尽时更新它们。

气隙和硬件存储。气隙存储是离线存储的一种特殊情况，持有密钥的设备可以执行计算，比如为其持有的密钥签署事务。有气隙的设备可以防止某些类型的盗窃，因为它从不将钥匙直接暴露给联网设备

托管的钱包。第三方web服务通过标准的web身份验证机制（如密码或双因素身份验证）提供密钥存储、管理和事务功能。这提供了最接近传统网上银行的体验，但它需要信任主机。

31.6 比特币的改进

A．升级比特币本身

我们可以从以下几个层面来区分变化：

•硬分叉。如果协议更改启用了事务或块，则需要硬分叉，而这些事务或块在前面的规则下是无效的，例如增加块奖励、更改固定块大小限制或添加新的操作码。如果矿机更新到新协议，它们可能会生成被其他节点拒绝的块，从而导致永久（因此是“硬”）分叉。因此，涉及硬分叉的变更需要在实践中几乎取得一致。

•软分叉。与硬分叉相反，软分叉更改是与现有客户机向后兼容的更改；通常，这涉及到哪些块或事务被认为是有效的限制。这样的改变只需要大多数矿工的支持就可以升级，因为老客户将继续认为他们的区块是有效的。不升级的矿机可能会生成其他网络认为无效和忽略的块，从而浪费计算工作，但它总是会重新加入大多数矿机找到的最长的链。

•转发策略更新。节点在它们将要传递的内容中实施了比它们实际接受的有效内容更严格的策略。更改此策略或者通信网络的其他方面需要最少的协调，因为通常可以采用向后兼容的方式，并使用节点发布其协议版本号。

B．Altcoins

由于不使用硬分支就能改变比特币的种种限制，数百种被称为“Altcoins”的衍生系统出现了，它们采用了不同的设计方法。Altcoins必须引导货币的初始分配来吸引用户参与，这可以通过以下几种方式实现：

•新的成因块。 Altcoins可能只是从头开始一个新的区块链，就像比特币在早期那样为初始矿工分配资金。

•分叉比特币。为了避免让创始人享有特权，Altcoin可能会有意选择在某个时间点使用比特币，接受之前的交易历史和资金所有权。

从技术上讲，这就像硬分叉一样，只是没有声称该分叉是合法的比特币区块链。有趣的是，这种方法似乎没有被认真对待过。

•烧钱证明。继承比特币分配的一种比较流行的方法是烧钱证明，其中用户必须可证明地销毁一定数量的比特币，通常是通过将比特币中的资金转移到其私钥无法找到的特殊地址，比如散列为所有零的密钥。这种方法具有永久降低比特币的流通数量。

•挂钩侧链。最近，一些有影响力的比特币开发商提出了侧链，比特币可以转移到侧链上，并最终兑换成比特币。添加验证规则来从侧链中赎回货币，至少需要一个软的比特币分支。

31.7 可替代的共识协议

比特币的共识协议一直是其争议最激烈的组成部分，原因包括对稳定性的公开质疑、对协议性能和可伸缩性的担忧，以及对其计算难题浪费资源的担忧。在本节中，我们评估了共识的备选提案，并指出在每种情况下，拟议变更的稳定性影响都是未知的，而备选提案很少定义它们声称提供的任何特定稳定性属性。

A.参数变化

比特币的共识协议包含许多参数，几乎每一种Altcoin都至少改变了其中的一些参数，然而这些修改常常是有争议的，对于如何选择这些参数以及它们如何影响稳定性，我们仍然只有几个明确的指导方针。

块间时间和难度调整窗口。比特币会自动调整其对抗性难题的难度，以便（平均）在10分钟内找到解决方案。这种设置主要受网络延迟的限制；如果解决方案的速率过高，那么采掘者通常会在它们被传播之前找到冗余块。另一方面，较慢的块速率直接增加了用户等待事务确认所需的时间。

限制块和交易的大小。最具争议的提议之一是增加块大小的1MB限制。随着交易量持续稳步增长，这一极限可能很快就会达到。一旦达到这一限制，交易将需要有效地使用他们的费用来竞标稀缺资源。这可能会提高使用比特币的成本，可能会减缓比特币的普及，但会增加矿商的收入。它还可能导致用户依赖于聚合和结算场外交易的中介机构。

货币政策。比特币的共识协议有效地规定了一种货币政策，通过新货币的铸造速度和这一速度变化的时间表。通过强制规定货币数量的上限，比特币实际上具有通货紧缩的货币政策，这导致多位经济学家预测，比特币体系最终将被通货紧缩螺旋式上升破坏稳定，在这种螺旋式上升中，没有人愿意花钱购买比特币，因为囤积比特币被认为更有利可图。

B．可替代的计算难题

Miller等人提出了一种难题，它本质上必须分解成单独的尝试。此属性通常被称为“无进程”的难题。“这就保证了每个方块的创造者都是由计算能力的加权随机样本选出的，即使是小参与者也能因他们的贡献获得（成比例的）奖励，而且连续的拼图解决方案之间的间隔时间足够大，可以传播拼图解决方案。”

抗ASIC难题。虽然比特币开采最初是使用通用处理器进行的，但开采的竞争性质已导致向更强大和更节能的定制硬件的稳步发展。如今，ASICs占据了比特币计算能力的大部分。Taylor提供了一个很好的关于大规模高效计算SHA-256的技术挑战的调查，并估计今天的ASIC已经在理论效率限制的数量级之内。理想情况下，使用商用硬件可以有效地解决抗ASIC难题，而定制硬件只能获得较小的性能提升。到目前为止，主要的方法是设计“难以记忆”的谜题，这些谜题旨在要求有效地访问大容量存储器。

有用的谜题。从计算消耗的能源和用于制造采矿设备的能源和资源来看，通过竞争性难题达成共识似乎都是浪费。Becker等人还假设，比特币最终可能会被控制世界能源供应的现实实体所主导。一个常见的建议是将搜索功能应用于科学研究，比如流行的Folding@Home项目。对于有用的谜题，一个挑战是它们必须在没有可信方的情况下自动生成和验证，否则该方可以选择他们已经领先的谜题。

不可外包的谜题。大型采矿池的增长及其促进共谋和卡特尔形成的潜力，推动了难以外包的谜题的设计。“不可外包”的谜题确保执行挖掘工作的人可以在找到区块时为自己申请奖励，从而阻碍池的执行机制，并断绝了大型池匿名参与者之间的可能性。

C．虚拟挖掘和股权证明

与其让参与者用他们的财富交换计算资源来“开采”（这些计算资源随后被交换为开采奖励），不如让他们直接用财富交换选择区块的能力，通过当前的财富分配加权随机样本。我们可以将这种方法称为虚拟挖掘，有时也被称为“股权证明”。

虚拟挖掘提供了两个主要好处：首先，对于攻击者来说，获得足够多的数字货币可能比获得足够强大的计算设备更困难。第二，避免消耗实际资源，没有实际的资源被浪费。

•货币年龄的证明。Peercoin建议通过发布交易来证明拥有一定数量的货币，从而进行采矿。每一种货币的数量都以其“货币年龄”（最后一次移动的时间）来加权。

•存款证明。参与采矿需要在时间锁定的债券账户中存入货币，在此期间他们不能被移动。

•烧钱证明。Stewart提出通过破坏货币进行挖掘（将它们发送到一个不可靠的地址）。

•活动证明。 Bentov等建议，默认情况下，让每个硬币所有者都隐式地参与矿业彩票；定期使用信标的随机值从系统中的所有硬币中随机选择；中奖硬币的当前拥有者必须在一段时间间隔内回复一条签名信息。

目前还没有任何模型假设的形式化，Poelstra认为消费外部资源是区块链安全所必需的，因此虚拟开采方案在本质上是不可行的。核心论点是，虚拟采矿容易受到成本低廉的模拟攻击；构建一种不同的历史观（其中货币配置的演变是不同的）并不需要任何成本。

D．指定机构

尽管比特币的分散性已被证明是一个有效的卖点，但如果我们能够依赖少量指定的权威机构接收、顺序订购和签署交易，达成共识将会更加简单。这将使稳定性假设更容易推理，同时消除对浪费计算的担忧。Laurie首先提出使用指定的权威名单和标准的拜占庭协议协议。类似的观点是，大型比特币矿工不会受到攻击的激励，因为它们与未来汇率息息相关。

31.8 匿名和隐私

比特币提供了一种有限形式的不可链接性：用户可以在任何时候创建新的假名（地址）。但是假名很可能由同一个人控制。在本节中，我们将讨论对比特币用户隐私的威胁，并提出增强隐私的设计。

A．去匿名化

不可链接性的实际水平在很大程度上取决于实现细节，我们将这些实现细节称为习惯用法。链接可以过渡地应用于产生地址簇；这是交易图分析的一个实例。对手的一个主要挑战是这些习惯用法是脆弱的：随着实现的发展，它们可能产生误报并随着时间的推移而失去准确性。新的链接技术也可能出现。为了消除匿名，对手必须采取进一步的步骤，将地址集群链接到真实身份。

网络去匿名化。反匿名工作的另一个主要目标是点对点网络。节点在广播事务时泄漏IP地址。因此，匿名网络对隐私至关重要。然而，Biryukov等人指出，DoS攻击是为了断开Tor出口节点与比特币网络的连接。比特币的P2P层是否会进化到更好地利用Tor，或者是否会开发一个专用的匿名网络，这些都还有待观察。最后，由于难以私下检索客户端感兴趣的事务列表，当前SPV实现提供的匿名性很少。

B．改进匿名性的建议

匿名提议主要有三类。表31-1提供了关于五个安全性和部署属性的比较。

表31-1 匿名技术的比较评价

点对点。在P2P混合协议中，一组比特币持有者共同创建一系列交易，这些交易（私下）置换了他们的比特币所有权，使得每个参与者在这组交易中都是匿名的。

实现这一目标的直接机制是Coin-Join，在一组标准的用户形成一个比特币交易从每个用户一个输入和一个新的输出地址控制每个用户，没有外部方检查事务知道哪些输入对应的输出（提供外部不可链接性）。任何用户都可以拒绝签署交易，如果他们想要的输出地址不包括在内，防止盗窃，但使其易受DoS的任何个人。在普通的CoinJoin中，用户向其他用户声明他们的输出地址（不提供内部不可链接性）。这可以通过切换一个新的Tor电路或其他特殊的方法来解决。为了获得健壮的内部不可链接性，CoinShuffle是一种覆盖协议，用于通过加密混合协议形成CoinJoin事务。它也部分通过识别哪些参与方中止来防止DoS。

分布式混合网络。在Mixcoin中，用户向第三方mix发送标准大小的交易，并从其他相同mix的用户提交的硬币中收取相同的金额。这提供了对外部实体的匿名性和部分内部匿名性，因为组合将知道用户和输出之间的链接，但其他用户不会。其他用户也不能破坏协议。

具有集成不可链接性的Altcoins。Zerocoin是一种集成了不可链接性的Altcoin，它使用一种类似比特币的基础货币和一种名为Zerocoins的匿名影子货币。用户只使用基本货币进行交易，但是可以使用相对于所有零硬币的集合的匿名性将基本货币循环进零硬币和出零硬币。然而，它与比特币不兼容，必须实现为Altcoin（或硬分叉）。PinnochioCoin是一个使用不同密码结构的类似方案。

Zerocash是一种更强大的匿名Altcoin方案。零现金交易是一种特殊类型的零知识证明，称为SNARKs，它完全不显示关于金额或接收者的任何信息，从而支持一个完全不可追踪的分类账，其中没有公开披露任何信息。SNARKs是一种新的密码原语，迄今没有任何实际部署，需要可信方生成初始的秘密参数；然而，最近的工作表明，这种初始设置可以分布在一组互不信任的参与方中。

CryptoNote是一种使用环签名的密码混合协议，它已经被用作几个关注隐私的Altcoins的基础。与Zerocoin或Zerocash相比，该方案具有更好的性能，但较弱的匿名性。

31.9 比特币的功能扩展

我们使用“非中介化”这个术语来指代设计事务的一般过程，这些事务不再需要可信的中介。

A．如今比特币的非中介化

原子性。在许多情况下，可以使用区块链提供的功能和事务可以是原子性的这一事实直接强制执行所需的安全性属性，直到多方签名才生效。CoinJoin是一个简单的例子，在所有参与者签名之前，没有人交换硬币。

抵押品。在其他情况下，当所需的安全支持不能直接执行时，比特币可以通过张贴存款或债券提供一个可接受的补救措施，只有在行为正确的情况下才能退还。

可审核性。即使比特币不是用来对不诚实的一方立即采取补救措施，它仍然可以在提供证据证明不诚实的一方有罪方面发挥关键作用。

B．比特币作为一种数据存储

扩展比特币的另一种方法是只将其用作任何人都可以写入的全局仅追加日志。

安全时间戳。因为区块链是（模块化分支）仅追加的，所以它可以立即作为安全时间戳服务使用，这在各种安全协议中都很有用。

数字令牌：彩色硬币。彩色硬币使用区块链的历史跟踪功能作为一个功能。总的来说，我们已经观察到，每一笔交易输出都有一个独特的追溯历史，这可能对不同的用户有意义，这意味着从长远来看，比特币并不能保证具有可替代性。

覆盖协议：Mastercoin，一个更灵活的解决方案是使用比特币的共识机制，但定义完全不同的交易语法（使用任意有效的规则），可以作为区块链上的任意数据编写。这种设计去掉了比特币共识机制通常提供的正确性属性，因为比特币矿工不会知道新的交易类型。因此，无效的覆盖事务可能会被发布，需要覆盖系统中的参与者忽略。

C．扩展比特币的交易语义

比特币脚本语言是故意限制的；事实上，最初的源代码包含了一种更加通用的语言，但是大多数操作码都被标记为不可用。

31.10 结论

我们基于学术和在线文献对比特币进行了广泛的分析，这表明在设计一个实用的加密货币方面出现了新想法的复兴，这是计算机安全社区面临的一个长期挑战。创新并不仅限于新的加密货币协议设计，而是涉及计算机安全，分布式系统，硬件设计和经济学等许多领域。

然而，我们的认识仍有不足。如果有机会从头设计一个货币体系，我们不清楚与比特币有什么明显的偏离是可取的，也不清楚它们在实际中会产生什么影响。这并不是说比特币就像它的许多设计怪癖所显示的那样完美无缺。在一些领域，如匿名性，也有明显的优秀设计被提出。然而，就比特币的基本稳定性和效率而言，目前尚不清楚是否有可能设计出另一种分散的共识系统来改进比特币。文献甚至没有提供足够的工具来评估比特币本身在何种经济和社会假设下会保持稳定。同样，在设计具有新功能的非中介协议时，我们也不清楚如何在不破坏比特币的稳定性的前提下扩展比特币的功能。

总的来说，我们只是没有一个科学的模型，具有足够的预测能力来回答有关比特币或相关系统在不同参数或不同环境下可能如何运行的问题。尽管比特币社区偶尔会对学术计算机科学研究产生疑虑，但我们主张在研究中扮演重要角色，而不是简单地“让市场来决定”。如今，很难评估比特币相对于Altcoins的成功在多大程度上是由于其特定的设计选择，而不是它的先发优势。

比特币是一个实践似乎领先于理论的罕见案例。我们认为，这对研究领域来说是一个巨大的机会，可以解决我们提出的许多关于比特币的公开问题。