提起貨幣，你可能覺得再熟悉不過了。你的錢包里放著現(xiàn)金，銀行里有儲蓄，還有各種理財、投資。生活中的方方面面，似乎都離不開貨幣。

從人類發(fā)明貨幣那天至今，它的樣子發(fā)生過許多重大的變化，從原始粗糙的貝殼、金屬塊，到工藝精美的銅板、金幣，再到印刷考究、凝結(jié)著無數(shù)現(xiàn)代科技的防偽紙幣，這些都是看得見摸得著的實體貨幣。

而到了科技日新月異的今天，貨幣早已擺脫了實體形態(tài)，成為了一串虛擬的數(shù)字，也就是數(shù)字化的貨幣。比如早晨買早點，你用微信掃碼，付給賣早點的大媽 12 塊 8；再比如上個月你借給小張兩萬二買數(shù)碼產(chǎn)品，中午支付寶提示你收到了小張的還款，還附言說周末要請你吃飯；下午銀行發(fā)來短信，說你本月的房貸已經(jīng)扣除，這個月又要吃土了呢。

數(shù)字化的貨幣凝結(jié)了現(xiàn)代科技的諸多成果，然而它仍然只是傳統(tǒng)貨幣的一個替代品。自從人類政府取得了貨幣的鑄造權(quán)，大部分貨幣本身的價值和它代表的價值就不再是一個概念了。例如，一張100美元紙幣的生產(chǎn)成本大約是7.8美分，而數(shù)字化貨幣的成本則可能更低。

在傳統(tǒng)的貨幣體系里，實體貨幣的價值由中央銀行的信譽來保證。例如在金本位貨幣體系里，你相信政府的承諾，用你的紙幣可以兌換等值的黃金。而數(shù)字化貨幣的價值則和實體法定貨幣掛鉤，你相信你在銀行、支付寶、微信里的賬戶余額，可以在相應(yīng)的服務(wù)機構(gòu)里兌換成實體的法定貨幣。也就是說，傳統(tǒng)貨幣，包括數(shù)字化的傳統(tǒng)貨幣，其價值基于人們對于中央銀行這種權(quán)威中心機構(gòu)的信任。

然而信任，并不是一件很容易達成的事情呢。如果沒有一個可信的中心機構(gòu)，除了靠人品，還有什么辦法來達成信任呢？

答案就是：多年以來，一直沒有太好的答案……

直到 2008 年，一位化名中本聰?shù)纳衩厝耸堪l(fā)表了一篇論文：《比特幣：一種點對點式的電子現(xiàn)金系統(tǒng)》，提出了一個基于區(qū)塊鏈技術(shù)的“去中心化”數(shù)字貨幣系統(tǒng)，它就是今天大名鼎鼎、人氣爆棚的比特幣。

比特幣不是世界上第一個不依賴權(quán)威中心機構(gòu)的“去中心化”的貨幣系統(tǒng)，但它絕對是迄今為止世界上最成功的一個。

講到這里，可能很多朋友腦子里已經(jīng)冒出了一大堆關(guān)于比特幣的問題。比如：

沒有一個權(quán)威中心機構(gòu)，你擁有的比特幣保存在哪里？

如何確保你的錢不會被別人拿去花？

如何保證你的賬戶余額不會被黑客篡改呢？

比特幣怎么發(fā)行，如何避免比特幣數(shù)量暴增帶來的通貨膨脹呢？

帶著這些問題，可樂帶你來探索比特幣系統(tǒng)巧妙的設(shè)計和背后的技術(shù)。

事實上，在比特幣系統(tǒng)中，并不直接記錄每個賬戶的余額，而只是記錄交易流水。

例如，你的賬戶流水顯示，從古至今，你收到過一筆來自小A的10比特幣，以及一筆來自小C的20比特幣，并且這兩筆交易的收入都沒有被你花掉。那么你就擁有來自小 A 的 10 比特幣和來自小C的20比特幣這兩條記錄。只有把這兩筆交易收入加起來，你才能知道自己總共擁有 30 個比特幣。

而假如你打算使用25個比特幣買套房，并且付出 0.001 比特幣的手續(xù)費，那么你需要創(chuàng)建這樣一筆交易：它的輸入為來自小A的 10比特幣和來自小C的20比特幣，輸出為付給房主小D的25比特幣，以及付給你自己的 4.999 比特幣找零。

現(xiàn)在你已經(jīng)在自己的賬本上記錄下“支付25比特幣給小D”，那小D認不認可這筆交易呢？當然不認可。要知道，所有比特幣的參與者都可以保存一份賬本副本，如果你無法說服所有的人都幫你記這筆帳，那么這筆賬不會受到大家的認可。

在比特幣系統(tǒng)中，所有參與系統(tǒng)的人通過網(wǎng)絡(luò)互相連接，以平等的身份組成了一個錯綜復(fù)雜的網(wǎng)絡(luò)，稱作“點對點網(wǎng)絡(luò)”。你要做的，就是把你的交易進行簽名，并且廣播到這個網(wǎng)絡(luò)里去。

那么，問題來了：該如何給交易數(shù)據(jù)簽名，來證明這筆交易是你本人發(fā)出的呢？

在日常生活中，一個獨一無二的簽名可以證明你對一筆交易做了授權(quán)，除了少數(shù)天才，很少有人能夠精確仿制出一個簽名；而在數(shù)字的世界，復(fù)制是一件極其容易的事情，如何保證你的簽名不被別人復(fù)制，從而被用于偽造你的授權(quán)呢？

這里給大家介紹一下，計算機世界里的數(shù)字簽名是如何進行的。首先，數(shù)字簽名技術(shù)基于一種被稱為“非對稱加密”的技術(shù)。在使用這種技術(shù)時，你擁有兩個鑰匙，一個稱作公鑰，一個稱作私鑰。在計算機的世界里，公鑰和私鑰其實是兩個數(shù)字，這兩個數(shù)字是配對使用的。公鑰，顧名思義，是可以公開給別人的，而私鑰則是需要使用方嚴格保密的。

使用私鑰，可以對一塊特定的數(shù)據(jù)進行一個計算，得出一個獨一無二的數(shù)字簽名。數(shù)據(jù)不同，輸出的數(shù)字簽名也不同。使用公鑰，可以對消息進行驗證。如果公鑰和私鑰是配對的，那么驗證通過，否則驗證不會通過；通過私鑰可以很容易計算出配對的公鑰，而只知道公鑰卻極難推導(dǎo)出私鑰。正是由于公鑰私鑰這樣的性質(zhì)，才使得我們可以用這種機制來進行數(shù)字簽名。

私鑰是你務(wù)必要妥善保存的，因為任何人掌握了你的私鑰，就意味著掌握了你的錢包，以及里面的資產(chǎn)。而你的公鑰，事實上就是你的比特幣收款地址，其他人需要知道你的地址，才能轉(zhuǎn)賬給你。由于公鑰是一個又長又難記的數(shù)字，因此比特幣系統(tǒng)使用了一系列的編碼轉(zhuǎn)換，將公鑰表示成類似這樣（1NE5ZK9H4TBopmbq3jwin8uCjo1ZKZQNGx）的錢包地址。盡管仍然很難記，但是比原始的數(shù)字短了很多呢。

在真實的比特幣系統(tǒng)中，使用私鑰為一筆交易的輸入進行簽名，并且交易的輸出要綁定收款人的公鑰。例如，你之前收到來自小A 的10比特幣收入，小A使用了你的錢包地址，也就是公鑰來綁定這10比特幣，要求必須用這個公鑰對應(yīng)的私鑰進行簽名，才可以花這筆錢。

當你打算花掉這10比特幣時，必須使用你的私鑰為它簽名。這樣，當網(wǎng)絡(luò)中的其他節(jié)點收到你的交易信息，就可以用這10比特幣上綁定的公鑰，來檢驗?zāi)愫灻暮戏ㄐ浴６阒付愕慕灰纵敵鰹榉恐餍，也就意味著你使用小D的公鑰綁定了付給他的25比特幣。另外還有一筆找零，當然是綁定上你自己的公鑰了。

制作出一筆合法的交易記錄，然后簽名之后，需要廣播到比特幣網(wǎng)絡(luò)中。那什么又叫廣播到網(wǎng)絡(luò)里去呢？簡單地說，就是把你的交易發(fā)送給網(wǎng)絡(luò)中和你相鄰的計算機節(jié)點，然后這些節(jié)點驗證了你的交易簽名，又把它發(fā)送給他們相鄰的其他節(jié)點，一傳十，十傳百，最終你的交易就會被傳遍全網(wǎng)。

如果全世界都知道了這筆交易，那你就無法賴賬了。

這時，如果你再試圖創(chuàng)建一筆交易，把已經(jīng)花掉的10比特幣和20比特幣當作輸入付給別人，網(wǎng)絡(luò)中的所有人都會拒絕接受。不過，聰明的你可能會想，如果把買房的交易發(fā)給網(wǎng)絡(luò)中一部分節(jié)點，而又用同一筆錢創(chuàng)建另一筆交易買豪車，發(fā)給網(wǎng)絡(luò)中另一部分節(jié)點，那會產(chǎn)生什么樣的結(jié)果呢？

首先，有一部分節(jié)點先收到了你的第一筆交易，他們會記錄下來，傳播出去；另一部分節(jié)點收到了你的第二筆交易，他們也會記錄下來，傳播出去。隨著時間的推移，有一些節(jié)點先后收到了你的兩筆交易。怎么辦呢？很簡單，他們把先收到的交易記錄下來，然后認為后一筆收到的交易是不合法的，直接丟掉。

這時，網(wǎng)絡(luò)中的節(jié)點出現(xiàn)了不一致：一部分節(jié)點認可你的第一筆交易，另一部分節(jié)點認可你的第二筆交易。作為一個貨幣系統(tǒng)，比特幣當然只會承認其中一筆。具體怎么做呢？比特幣系統(tǒng)引入了一個競賽，讓節(jié)點們互相競爭，最終達成一致。

說到這里，有必要為大家介紹一下比特幣的底層技術(shù)——區(qū)塊鏈，是如何工作的。

在比特幣系統(tǒng)中，節(jié)點是這么組織交易的：發(fā)生時間相近的交易會被放在一起，形成一個“區(qū)塊”，然后每個區(qū)塊按照時間順序首尾相接，后一個區(qū)塊里會寫著前一個區(qū)塊的編號，所有區(qū)塊組成一個鏈條的形狀。這個鏈條從第一個區(qū)塊（也就是創(chuàng)始塊）開始，到最新的一個區(qū)塊為止，記錄了比特幣歷史上所有已經(jīng)確認的交易記錄。

回到剛才的問題。網(wǎng)絡(luò)中一部分節(jié)點認可了你的第一筆交易，把它放在了新生成的區(qū)塊里；另一部分節(jié)點認可了你的第二筆交易，也把它放在了他們新生成的區(qū)塊里。那么，誰說了算呢？

畫外音：人多的說了算唄？

嗯，一定程度上是對的，不過比特幣系統(tǒng)還要更復(fù)雜一點。實際上，把一個區(qū)塊打包加入到區(qū)塊鏈里，也被設(shè)計成了一件非常困難的事情。

當一個節(jié)點收集到一批交易信息，制作出來一個區(qū)塊，它還需要先把這個區(qū)塊合法化，才能把它加入到區(qū)塊鏈里，被整個網(wǎng)絡(luò)認可。中本聰在設(shè)計比特幣系統(tǒng)時，要求一個區(qū)塊必須滿足一個非常苛刻的條件，才能被認為是區(qū)塊鏈里的一個合法區(qū)塊。

簡單地說，所有新產(chǎn)生的區(qū)塊，除了交易記錄、上一個區(qū)塊的地址等數(shù)據(jù)之外，還必須添加一個（稱作 nonce 的）小塊數(shù)據(jù)，使得整個區(qū)塊經(jīng)過一個（稱作哈希計算的）數(shù)學(xué)運算之后，得到的結(jié)果滿足指定的條件。而找到滿足這樣條件的小塊數(shù)字（nonce），至少對于現(xiàn)在計算機的計算能力來說，是一件非常困難的事情。

這里，比特幣對區(qū)塊做的數(shù)學(xué)運算稱作哈希計算。在計算機科學(xué)里，哈希計算是一系列計算的統(tǒng)稱，這類計算能夠?qū)⒁粔K數(shù)據(jù)，映射成一小串固定長度的數(shù)字，我們稱作哈希值。

哈希計算有幾個特點：

一是，給定輸入數(shù)據(jù)，可以很快計算出來它的哈希值；反之只給出哈希值，則幾乎不可能算出原始數(shù)據(jù)。

二是，輸入的數(shù)據(jù)哪怕只是改變一點點，算出來的哈希值也會發(fā)生翻天覆地的變化。

也就是說，通過哈希計算，我們的區(qū)塊（包含交易記錄、上一個區(qū)塊的地址以及額外的一小塊數(shù)據(jù)），會算出一個固定長度的哈希值來。比特幣系統(tǒng)要求合法的區(qū)塊計算出來的哈希值小于某一個閾值，因此，比特幣中的計算節(jié)點們就需要不停嘗試不同的數(shù)字，使得整個區(qū)塊的哈希值滿足條件。

由于計算產(chǎn)生新區(qū)塊是一件非常困難的事情，為了鼓勵網(wǎng)絡(luò)中參與區(qū)塊鏈建設(shè)的節(jié)點，比特幣系統(tǒng)協(xié)議允許生成合法新區(qū)塊的節(jié)點得到兩種收益。

一種收益是交易手續(xù)費，還記得你的買房交易里有一筆 0.001 比特幣的手續(xù)費嗎？這個手續(xù)費就是獎勵給把你的交易打包進區(qū)塊鏈的節(jié)點的。這個手續(xù)費是可選的，不過包含適量的手續(xù)費可以使得你的交易更快地被打包進區(qū)塊鏈。

另一種收益來自一種稱作 coinbase 的交易，這是比特幣系統(tǒng)中一個特殊的交易，也是唯一一種無需包含輸入，而只有輸出的交易。比特幣系統(tǒng)中的所有節(jié)點都認可這個規(guī)則，計算出合法區(qū)塊的節(jié)點，可以在區(qū)塊中包含一筆這樣的交易，寫上自己的錢包地址，獎勵給自己一些比特幣。最初這個獎勵的金額是 50 比特幣，大約每四年這個獎勵金額就會減半，按照系統(tǒng)設(shè)計，2140年這個獎勵就消失了，目前這個獎勵大約是 12.5 比特幣。

由于 coinbase 交易“憑空”創(chuàng)造出了比特幣，它也是比特幣發(fā)行的唯一方式。

參與比特幣記賬的節(jié)點要通過復(fù)雜而費力的計算工作來添加新區(qū)塊，從而得到交易手續(xù)費和系統(tǒng)獎勵，因此這種工作也被人們形象地稱為“挖礦”，參與挖礦的計算機節(jié)點被稱作“礦機”，控制礦機的人們則自稱“礦工”。

在比特幣系統(tǒng)中，并非所有參與者都會選擇成為礦工。事實上，大多數(shù)參與比特幣交易的普通人，只需要讀取數(shù)據(jù)或者發(fā)起交易。

有了經(jīng)濟上的利益誘惑，所有參與記賬的礦工節(jié)點，在組成一個新區(qū)塊之后，就開始不停地計算，尋找這個能使整個區(qū)塊合法的數(shù)字。所有的節(jié)點都參與競爭，每當有一個節(jié)點率先算出來了合法的區(qū)塊，它就會興奮地通知周圍的節(jié)點，把這個新的區(qū)塊廣播給大家。

而當一個節(jié)點收到了別人傳來的合法區(qū)塊，它就會先去校驗這個區(qū)塊是否滿足合法條件。如果校驗通過，也就意味著自己在剛才這場競爭中失敗了，于是它就放棄自己正在進行的計算，把別人傳來的區(qū)塊加入到自己的區(qū)塊鏈中 ，然后重整旗鼓，參與下一個區(qū)塊的計算。

再回到前面的情況，當你把用同一筆錢買房的交易和買車的交易都發(fā)送到網(wǎng)絡(luò)上之后，一部分節(jié)點可能先收到了買房這筆交易，于是嘗試把這筆交易加入到它們的下一個區(qū)塊里，而這些節(jié)點稍后再收到買車這筆交易時，就簡單地忽略掉它；而另一部分節(jié)點則可能剛好相反，它們嘗試把買車這筆交易加入到它們下一個區(qū)塊里。在絕大多數(shù)情況下，只有一方能夠先勝出。假設(shè)買房的交易先勝出，那么當包含這筆交易的區(qū)塊迅速被網(wǎng)絡(luò)上所有節(jié)點都認可之后，買車這筆交易就再也沒有機會被人接受了。

此外，由于產(chǎn)生新區(qū)塊非常困難，想篡改區(qū)塊鏈中的交易記錄（造分叉）也成了一件很困難的事情。假設(shè)你付給房主小 D 房款之后，你的交易被打包到了一個最新的區(qū)塊 X 里，而 X 的上一個區(qū)塊是 W。如果你想賴賬，抹掉這筆交易，那么你需要把區(qū)塊 X 里的交易拿出來，去掉你的交易，重新計算一個新的區(qū)塊 X-1。如果你成功了，那就意味著你在W之后制造了一個區(qū)塊鏈的分叉。

這時比特幣系統(tǒng)有一個簡單的策略來彌合分叉這種不一致的情況，那就是：所有比特幣網(wǎng)絡(luò)中的節(jié)點，都只在當前最長的區(qū)塊鏈分叉上計算新塊，而忽略較短的分叉。

此時網(wǎng)絡(luò)中所有其他的節(jié)點都在嘗試往 X 之后構(gòu)建新的區(qū)塊 Y，你必須趕在他們之前構(gòu)造出區(qū)塊X-1，然后在其他人算出 Y 之前，計算出X-1 后的新區(qū)塊 Y-1，這樣才能說服所有人放棄 X，切換到 X-1 和 Y-1 這個分支上來。除非你的計算能力爆棚，超過了全網(wǎng)計算能力的 50%，否則這已經(jīng)是一件幾乎不可能完成的任務(wù)了。

那如果你想篡改的交易X已經(jīng)被計算出來若干個新區(qū)塊了呢？你必須從X開始逐一重新計算，試圖制作出一條更長的區(qū)塊鏈分支來說服大家。這不僅是幾乎不可能的事情，而且會讓嘗試做這樣事情的人損失巨大的能源、計算機節(jié)點資源。有這個能力，你完全可以做個正常的礦工，賺取每個區(qū)塊產(chǎn)生的收益。因此，你的交易在區(qū)塊鏈里時間越久，前面產(chǎn)生的新區(qū)塊越多，你的交易也就越安全。

雖然由偽造導(dǎo)致的分叉在實際情況中不常發(fā)生，但因為不同節(jié)點收到交易的先后順序不同、選擇策略不同，而網(wǎng)絡(luò)則又不總是可靠，比特幣偶爾也會出現(xiàn)分叉。

產(chǎn)生區(qū)塊的過程稱為工作量證明方法，這種方法使得篡改、偽造區(qū)塊鏈變得代價高昂，從而確保了在沒有中心權(quán)威的情況下，參與系統(tǒng)的各方出于保障自己的經(jīng)濟利益的目的，去遵守和維護系統(tǒng)規(guī)則。這樣就使得人們對系統(tǒng)產(chǎn)生了信任，從而賦予了比特幣價值。

怎么樣，是不是非常精巧和神奇呢？

（摘自微信公眾號“中科物理所”）