跳到主要内容

第一章:比特币全面介绍

第一节:比特币核心概念

比特币诞生于 2008 年全球金融危机的废墟之上。2009 年 1 月 3 日,其匿名创始人中本聪(Satoshi Nakamoto)在比特币的创世区块(区块链中的第一个区块)中刻入了一则意味深长的信息——英国《泰晤士报》的头版标题:“财政大臣正处于实施第二轮银行救助的边缘。” 这是一段永久性的宣言,一段嵌入代码中的批判,矛头指向那些让世界失望的中心化金融体系。

比特币的设计理念源自密码朋克(cypherpunk)运动,该运动倡导用密码学保护个人自由和金融主权。比特币不依赖银行和政府,而是作为一个点对点的电子现金系统运行,没有任何可信的中间人。

其货币政策透明、可预测,并由数学而非央行行长来执行。它或许是世界上唯一一种供给总量可以被独立核实的稀缺资产。这种程序化的稀缺性与法定货币形成鲜明对比——法币可以无限增印;也与黄金等硬资产不同——黄金的供给理论上有限,但实际上没有人知道世界上黄金的确切总量。

但这一愿景引发了一个根本性的问题:散布全球的数千台计算机,如何在没有任何中央权威裁决纠纷的情况下,就谁拥有什么资产达成共识?

挖矿与工作量证明

比特币的工作量证明(PoW)系统使矿工能够证明他们付出了巨大的计算努力,且任何人都可以快速验证这一点。该过程的核心是哈希函数:一种接受任意输入数据并将其转换为固定长度字符串的数学运算。哈希函数的特殊之处在于它是单向的——你无法从输出恢复输入,即便对输入进行最微小的改动,也会产生完全不同且不可预测的输出。

矿工将交易打包成区块,然后尝试解决一道计算难题。可以想象成以天文级别的赔率掷骰子,试图得到低于某个阈值的数字——只不过矿工每秒要“掷”数万亿次。他们通过反复对区块数据运行 SHA-256 哈希算法来实现这一点(SHA-256 是美国政府标准化的密码学哈希函数,比特币将其应用两次以提高安全性)。每次运行都产生一个看似随机的输出。

每次尝试使用一个称为 nonce 的不同数字(本质上是从零到约 40 亿递增的计数器),每个 nonce 生成不同且不可预测的哈希结果。当矿工最终找到低于网络目标阈值的输出时,他们就解开了难题,可以将区块添加到区块链中。

但现代挖矿硬件如此之快,几秒内即可穷举所有 40 亿个 nonce 值。这时,矿工需要另一种方式来改变输入——这就是铸币(coinbase)交易的用武之地。每个区块都包含一笔特殊的铸币交易,向矿工支付区块奖励和交易手续费,实际上是“创造”新比特币。矿工可以修改铸币交易中称为“额外 nonce”的字段,或递增区块的时间戳,任一改变都会改变区块头哈希值,重置其搜索空间。

矿工进行这些尝试的速度称为算力,以 TH/s(太哈希/秒)或 EH/s(艾哈希/秒)为单位。网络会自动调整难度来补偿更高的算力——每 2,016 个区块(约两周),网络执行一次难度调整,测量这些区块实际花费的时间并相应调整目标,将调整幅度限制在上次难度的四分之一到四倍之间,使平均出块时间稳定在 10 分钟。

矿工使用专为 SHA-256 工作量证明设计的专用芯片(ASIC),这种芯片的效率比普通计算机高出数千倍。即便有最好的硬件,单独挖矿也像参加一场巨大的彩票,可能需要多年才能找到一个区块。为了平滑这种方差,矿工加入矿池,使用 Stratum 通信标准协调工作,提供稳定可预测的收益。

区块铸币交易新创造的比特币不能立即花费,必须等待其上再添加 100 个区块(约需 16-17 小时),使矿工更难通过改写近期区块历史来获利。

共识与链选择

比特币的网络由节点组成——运行比特币软件的计算机,独立验证每笔交易和区块以确保它们遵循规则。这些节点维护区块链的完整副本,并将有效信息中继给其他参与者。矿工通常自己运行节点以验证他们构建的区块,但许多参与者在不挖矿的情况下运行节点,只是为了独立验证比特币的状态并为网络去中心化做贡献。

比特币通过一种称为中本聪共识(Nakamoto Consensus)的强大机制解决共识问题,通常被简化为“最长链规则”,但更准确的描述是“累积工作量最多的链”。节点遵循同样的原则:选择产生所需累积计算工作量最大的链。攻击者无法仅通过创建更多区块来改写历史,他们必须产生至少与诚实链同等的总工作量,并且还要更多。

偶尔,两名矿工几乎同时找到有效区块,造成区块链的临时分叉。当下一个区块被找到时,分叉得到解决——先被延伸的分叉胜出,所有节点切换到更长的链,放弃较短的链。落败分叉上的区块变成“孤块”,其交易重回未确认状态。这一过程通常在几分钟内解决。

这些链重组(reorg)是比特币运行的正常和预期部分。一个区块的重组偶尔发生,两个区块的重组很罕见,三个或更多的重组在没有攻击或严重网络分区的情况下极为罕见。这种概率性行为就是为何确认次数很重要:交易受重组影响的概率随每个额外区块指数级下降。商家通常等待多次确认(通常为六次)后才认为大额支付最终确定。

货币政策

比特币拥有可预测的算法货币政策和固定的发行时间表。区块奖励(补贴)每 210,000 个区块减半一次——这一事件称为减半,大约每四年发生一次。补贴从 50 BTC 开始,已依次减少至 25、12.5、6.25,最近的 2024 年减半后降至 3.125 BTC。

这一机制使比特币成为通缩性资产,其通胀率趋向于零。约在 2140 年,补贴将停止,矿工将完全依靠交易手续费获得报酬。由于减半时的整数舍入,终端供应量收敛至约 20,999,999.9769 BTC。截至 2026 年初,约 95% 的最终 2100 万 BTC 已经被挖出并在流通中。

矿工从两个来源获得收入:区块补贴(新发行 BTC)和用户支付的交易手续费。绝大多数矿工收入来自区块补贴——2024 年,区块补贴约占总收入的 94%。这一综合收入被称为安全预算,决定了攻击网络的成本。

比特币可预测的稀缺性构成了其价值储存主张的基础。然而,稀缺性本身并不能保证价格升值——价格最终取决于买家的持续需求。递减的发行量创造了有利的供应动态,但只有当买入压力超过市场卖出压力时,这才会转化为价格升值。

第二节:比特币技术架构

理解比特币的核心概念(挖矿、共识和货币政策)是基础。但要真正掌握比特币的工作原理,我们需要审视使这些概念运作的技术架构:所有权如何表示、交易如何结构化,以及系统如何在协议层面维护隐私和安全。

UTXO 模型

比特币通过其未花费交易输出(UTXO)模型以不同于传统银行的方式追踪所有权。最好用现金来类比理解这一点。

想象你钱包里的实物现金:不是单一账户余额,而是不同面额的独立纸币(比如一张 20 美元、两张 5 美元和一些 1 美元硬币)。当你购买价值 7 美元的东西时,你递出一张 5 美元和两张 1 美元,必要时找零。你无法分割单张纸币,你使用手头的面额并收回新面额。

比特币遵循同样的原则。你的钱包持有一系列 UTXO——不同金额的独立数字“硬币”。当你发送比特币时,你的钱包选择要花费的 UTXO(称为币种选择,涉及隐私和手续费的权衡),完全消耗它们,并创建新的 UTXO:一个给接收者,一个作为“找零”回到你。这种设计巧妙地防止了双重花费,因为一旦 UTXO 出现在已确认交易中,它就会永久从可花费集合中移除。

每个全节点通过验证整个区块链独立维护这个全球 UTXO 集合的视图。这些 UTXO 的所有权由私钥控制——极大的随机数(大约在 1 到 2²⁵⁶ 之间,约 10⁷⁷ 种可能)作为证明对资金控制权的密码学秘密。

简而言之:如果你控制花费特定 UTXO 所需的私钥,你就“拥有”比特币。如果你丢失这些密钥,这些比特币实际上永远消失。如果你妥善保管它们,只有你才能移动这些比特币。

花费这些 UTXO 的规则由 Bitcoin Script(一种简单的编程语言)定义。每个输出包含一个锁定脚本,设置花费条件——想象成一把指定需要什么钥匙的锁。当有人想花费该输出时,他们提供解锁数据(本质上是钥匙)来满足这些条件。比特币网络在允许交易前验证钥匙是否匹配锁。

Bitcoin Script 还支持时间锁,使交易在指定时间或区块高度之前无效。这成就了复杂的合约,如闪电通道、保险库和托管安排。

地址类型和格式

比特币地址随时间演进,你会遇到几种格式。关键概念是:地址不等同于公钥,而是通常是公钥哈希或脚本哈希的更短编码版本。

私钥、公钥和地址之间的关系遵循特定的密码学链条。从你的私钥,比特币使用椭圆曲线密码学推导出公钥(这是一个单向数学函数:私钥转换为数学上相关但无法逆向计算的公钥)。然后将公钥哈希(通过单向函数压缩)以创建比特币地址。哈希使你的公钥在花费之前保持隐藏,并使地址更短更易于共享。

你会遇到的地址格式反映了这种演进:

  • Legacy 地址(以 1 开头):初代格式,在任何地方都有效,但通常手续费略高
  • P2SH 地址(以 3 开头):通常用于多重签名设置或旧版 SegWit 兼容的包装格式
  • 原生 SegWit 地址(以 bc1q 开头):现代默认格式,手续费更低,全小写字母便于错误检查
  • Taproot 地址(以 bc1p 开头):最新格式,不同于对公钥哈希的早期类型,Taproot 直接编码公钥的一个版本,使复杂脚本能够隐藏在看似简单的单密钥支付背后

对于大多数用户,只需使用你的钱包默认生成的任何地址类型——通常是原生 SegWit 或 Taproot,两者都提供良好的手续费效率和安全性。

交易结构与优先级

比特币交易由输入(被花费的 UTXO)和输出(新创建的 UTXO)组成。交易手续费等于输入总额减去输出总额。广播后,交易进入每个节点的内存池(mempool)——等待被包含在区块中的未确认交易池。

由于区块空间有限,矿工必须从内存池中选择包含哪些交易。他们自然会优先考虑最大化收入的交易。然而,交易大小各异,这就是矿工看重手续费率(每单位大小的手续费)而非绝对手续费的原因。手续费率以聪/虚拟字节(sats/vB)衡量,其中聪是比特币的最小单位(1 亿聪等于 1 比特币)。

这创造了一个用户为区块空间竞价的手续费市场。网络拥堵期间需要快速确认的用户支付更高的手续费率;可以等待的用户付得更少。如果交易卡住,用户可以使用**按手续费替换(RBF)广播更高手续费的替换,或使用子为父付(CPFP)**创建高手续费的子交易来激励矿工包含父交易。

隐私模型

比特币是伪匿名的,而非匿名。虽然地址不直接与现实身份关联,但交易图分析可用于聚类地址和追踪资金流动。地址重用会显著增加这种风险,这就是为什么对每次交易使用新地址被认为是最佳实践。此外,加密交易所的 KYC/AML 法规在链上活动与现实身份之间创建了联系。Chainalysis 等公司已在区块链去匿名化上建立了价值数十亿美元的业务。

在交易层面,这种伪匿名性有特定含义。当你接收比特币时,区块链上只出现你的地址(公钥哈希)。但当你花费比特币时,你必须显示你的实际公钥以及证明你知道对应私钥的数字签名。签名证明了所有权而不暴露私钥本身——任何人都可以验证签名与公钥匹配,且公钥哈希为接收资金的地址,但他们无法从这些信息推导出你的私钥。

UTXO 章节中提到的币种选择过程具有直接的隐私影响。在一笔交易中同时花费多个 UTXO 强烈暗示它们属于同一所有者;类似地,找回钱包的找零输出可以通过各种启发式方法被识别,进一步关联你的地址。

为了解决这些隐私限制,各种技术应运而生。常见的隐私实践包括避免地址重用,以及可选地利用 CoinJoin 类工具减少启发式关联——CoinJoin 将多个用户的输入合并到一笔产生多个相同(或接近相同)面额输出的交易中。由于所有输入签署同一笔交易,链上观察者无法可靠地确定哪个输入资助了哪个输出,打破了"多个输入属于同一所有者"等常见启发式规则,创造出一个每个比特币都可以合理属于任意参与者的匿名集合。

第三节:比特币升级与扩展

比特币的技术架构提供了坚实基础,但没有任何系统从一开始就是完美的。问题在于:去中心化的网络如何在没有中央权威的情况下演进?

Bitcoin Core

比特币协议是定义比特币如何工作的规则集:什么使区块有效、交易如何结构化、创造多少新比特币等。Bitcoin Core 是实现这些规则的软件,是使用最广泛的比特币节点软件,最初由中本聪编写,现由全球开发者社区维护。

有趣的是,比特币没有独立于代码的正式书面规范——Bitcoin Core 的共识代码已成为事实上定义规则的参考。其他节点实现如 btcd 和 libbitcoin 通过匹配 Core 的行为来保持兼容性。这意味着 Core 之所以具有重大影响力,不是因为它控制着比特币,而是因为经济多数选择运行它。

共识规则与策略规则

理解比特币需要区分节点执行的两类规则。

共识规则是定义区块链上什么使区块或交易有效的基本法律——所有全节点在验证区块时执行这些规则,任何违反都会导致永久拒绝。示例包括:区块不超过 4,000,000 权重单位、输出不超过输入加铸币奖励、签名密码学有效。违反共识规则意味着交易或区块无效,无论获得多少矿工支持,都永远不会被区块链接受。

策略规则(也称内存池策略或中继策略)代表完全不同的层次——节点用于决定接受哪些未确认交易进入其内存池并中继给对等节点的可选标准。示例包括:最低中继手续费率、远低于区块限制的中继交易大小限制,以及倾向于常见模式的脚本标准性限制。

一个交易可以违反标准策略但仍然在共识规则下完全有效。使用非标准脚本的交易,大多数节点不会中继它,不会出现在大多数内存池中。然而,如果矿工直接收到它(例如用户直接联系矿工),矿工可以将其包含在区块中——一旦包含,所有节点都会接受该区块为有效。

变化如何发生

更改提议通过 **BIP(比特币改进提案)**提出。策略更改通过 Bitcoin Core 发行定期发生,无需广泛协调。共识更改要罕见得多且更重要,因为它们修改了关于什么使区块和交易有效的基本协议规则,需要整个网络就规则达成一致。

当共识规则确实改变时,它通过下面探讨的特定升级机制发生。Bitcoin Core 的谨慎开发流程、广泛测试和广泛采用使其成为标准参考实现,但最终控制权在于决定运行哪种软件和遵循哪些规则的用户和企业。

理解分叉类型

去中心化网络如何在没有人掌权的情况下进行升级?比特币有两种主要的升级机制,允许协议在保持共识的同时演进。

硬分叉

硬分叉是不兼容的升级,放宽或改变共识规则。比特币因协调挑战和网络永久分裂的风险而避免硬分叉。

一个值得关注的例子是 2017 年通过改变规则(特别是更大的区块)创建的比特币现金(BCH)——实践中,这种方式分裂了流动性和社区影响力。随着时间推移,BCH 只保留了比特币采用率、算力和市值的一小部分。大多数用户、开发者、矿工和交易所协调在原始较小区块的 BTC 链上作为主要"比特币",很大程度上是因为它使普通人更容易运行全节点并独立验证链。

重要的是,决定什么是“真正的比特币”并非代码能够命令的——没有中央权威,这是社会共识(用户、交易所、钱包和商家运行什么)、经济引力(流动性在哪里落脚)和安全假设(大多数全节点执行什么)的混合体。市场已决定性地将 BTC 视为谢林点,但这一结果最终是社会性的,而非天命。

软分叉

软分叉是向后兼容的协议升级,在不破坏网络的情况下收紧共识规则。想象成添加一条现有驾驶者自动遵守的新交通规则——未升级的比特币节点仍将新区块视为有效但自身不执行更严格的规则,允许网络升级而不分裂成不兼容的版本。它们需要多数支持以避免链分裂,例子包括 SegWit 和 Taproot。

激活机制

实施软分叉是一回事,但实际上在整个网络中激活它需要仔细协调。已开发出不同的方法来平衡矿工协调、经济节点参与和链分裂的风险。

**矿工激活软分叉(MASF)**依赖算力信号,矿工通过在区块头中包含版本位来表明准备就绪。BIP9 是标准的 MASF 框架,要求在定义的时间窗口内高比例(通常 95%)的区块信号支持。

**用户激活软分叉(UASF)**是经济节点协调“旗帜日”以开始执行更严格规则的替代方式,可能无论矿工信号如何都会进行。如果足够多的经济节点和服务提供商参与,矿工面临简单的激励:遵循新规则获得报酬,或挖一条大多数用户不会接受的链。

**快速试行(Speedy Trial)**是在 2,016 个区块窗口内具有 90% 阈值的短期矿工信号试验。如果锁定,激活在预设区块高度后发生;如果超时则不激活。此方法于 2021 年成功用于 Taproot 激活。

变化的挑战

许多开发者优先考虑协议固化——比特币应该随着成熟而越来越抗拒变化的理念。这种保守方式认识到一种反直觉的力量:比特币的力量部分来自它不做的事情。通过罕见地改变,比特币变得可预测。用户可以相信货币政策不会被改变。更改越少,引入可能危及数万亿美元资产的漏洞或意外后果的风险就越低。

还有一个经济反馈循环:随着比特币市值增长和更多经济活动依赖于它,“这次升级值得冒险”的门槛也相应上升。这不是缺陷,而是随着基础层重要性增加自然保护它的特性。

比特币的主要升级

隔离见证(SegWit,2017 年)

SegWit 是比特币治理中最重要的案例研究之一,展示了在真正去中心化的系统中协议升级如何运作(有时不起作用)。

SegWit 是一次里程碑式升级,解决了多个关键问题。在 SegWit 之前,存在一个关键漏洞:第三方可以在确认前更改交易的签名并改变其 ID(TXID),而不影响交易的有效性。这种交易可塑性使构建依赖交易或闪电网络等二层协议存在风险。

SegWit 将签名数据移至单独的“见证”结构,使创建后的交易 ID 不可变。它还引入了区块权重(新的测量系统,最大 4,000,000 权重单位替代简单的 1MB 限制),有效增加了区块容量同时激励采用更高效的 SegWit 地址——权重系统将见证数据计为四分之一权重(通常描述为“75% 折扣”),以向后兼容的方式增加了区块大小。

SegWit 激活的故事涉及博弈论和治理,值得详细说明。原始激活机制是 BIP9 的 MASF,阈值为 95%:在 2016 年 11 月 15 日至 2017 年 11 月 15 日窗口内的任意 2,016 个区块难度调整期间,如果 95% 或以上的挖出区块发出信号支持,升级将锁定。

比特币此前多年来一直在争论如何扩展:一些派系希望通过硬分叉大幅增加区块大小限制(最终导致比特币现金的诞生),而其他人则更喜欢 SegWit 解决交易可塑性并启用闪电网络等二层解决方案的方式。

虽然 SegWit 在开发者、企业和节点运营者中有广泛支持,但一些大型矿工反对它,因为他们更希望简单地增加区块大小。这些矿工可以通过拒绝信号来阻止激活——BIP9 机制假设信号意味着“我的软件技术上已准备好”,但这些矿工在用它作为政治投票。这创造了一个前所未有的治理危机,矿工的协调团体可以无限期否决有益的升级。

BIP 148 通过在 2017 年 8 月 1 日之后拒绝任何未信号区块改变了参与节点的共识规则。BIP 148 的威胁创造了强大的经济激励,最终解决了僵局:BIP 91 于 2017 年 7 月 21 日锁定,SegWit 于 2017 年 8 月 9 日锁定并于 8 月 24 日在区块 481,824 激活。

SegWit 激活展示了比特币治理的几个关键原则:当充分协调时,经济节点最终执行协议规则(即使面对矿工阻力);可信的威胁比实际部署更重要;比特币的治理被证明是反脆弱的——系统找到了绕过封锁并激活有益升级的方法。

Taproot(2021 年)

Taproot 在矿工、开发者和经济节点中享有广泛共识(不像 SegWit 那样充满争议),但即便如此,升级仍需要数年积极的社区讨论、仔细审查和协调以确保更改经过充分审查并安全部署。

Taproot 使用快速试行激活机制,矿工信号阈值为 90%。信号期于 2021 年 5 月开始,阈值很快达到,升级于 2021 年 6 月锁定,并于 2021 年 11 月在区块 709,632 激活。

技术改进是实质性的。Schnorr 签名实现了密钥和签名聚合,允许复杂的多方交易在链上显示为单个签名。**默克尔化抽象语法树(MAST)**高效地结构化复杂的花费条件,其中只需揭示满足的条件。

这些特性共同提供了重大好处:对于密钥路径花费,复杂交易与简单支付无法区分,提供了重大的隐私和可扩展性改进;对于脚本路径花费,只有揭示的分支被披露,保持了未使用条件的隐私。

第四节:比特币网络运营与安全模型

挖矿与节点的相互作用

全节点验证交易和区块,而矿工竞争产出新区块。矿工几乎普遍运行自己的全节点,因为他们需要独立验证交易,在最新有效区块上构建,并确保他们产出的区块遵循所有共识规则——产出无效区块的矿工会失去奖励,因为网络会拒绝它。

并非所有参与者都需要运行全节点。修剪节点通过在验证后丢弃旧区块数据来提供与全节点相同的验证安全性但节省磁盘空间。**SPV(简化支付验证)**客户端(常见于手机钱包)通过只下载区块头并依赖全节点进行交易验证来采用更轻量的方式。

矿工拥有重大但有限的影响力——他们控制交易包含和排序,决定在哪个有效分叉上挖矿,并可以在现有规则内尝试短期审查。然而,正如 SegWit 激活故事所展示的,经济节点最终掌握权力——矿工必须产出更广泛经济体会接受的区块,否则他们得不到报酬。

攻击向量与经济安全

比特币的安全依赖于使攻击代价太高而无利可图。最常被引用的威胁是 51% 攻击,控制网络多数算力的实体可以尝试改写近期历史或双重花费自己的比特币。对于追求利润的攻击者,获取和运行这种硬件的巨大成本,加上成功攻击会使他们正在攻击的资产贬值这一事实,使这种策略在经济上是非理性的。

理论上,民族国家或意识形态攻击者可以忽略直接经济损失并出于政治或战略原因进行攻击。但即便如此,他们也面临重大的实际障碍:采购和运营足够的专用硬件和能源,在不被检测到的情况下协调攻击,并在防御响应面前保持攻击(交易所暂停提款、用户等待更多确认、矿工重组,甚至社区驱动的挖矿算法更改)。

实际上,民族国家有比尝试永久主导比特币算力更廉价和有效的工具——监管、征税、监控,以及对交易所和托管机构的压力。

安全预算

安全预算是使攻击代价昂贵的经济基础,由区块补贴加交易手续费组成,决定了矿工部署以保护网络的算力。虽然以 BTC 计算这个预算很简单,但衡量攻击抵抗力的相关指标是每单位时间的美元,因为矿工和潜在攻击者都以法定货币采购硬件、设施和能源。

比特币更像黄金而非支付网络——大多数比特币长期被动地坐在钱包中,大额持有者很少触动资金。这种“设置后忘记”的思维方式意味着与支付网络相比,交易量保持相对较低,为长期安全预算带来影响。

比特币的减半时间表创造了核心安全挑战:随着区块补贴在 2140 年趋向零,交易手续费最终必须承担整个安全预算。然而,如果比特币主要是被持有而非频繁交易,手续费生成可能保持适中。来自结算支付、二层运营、数据铭文、rollup 承诺或其他区块空间用途的持久手续费需求是否会出现,仍是对比特币长期安全模型至关重要的开放问题。

每个后续区块以指数级增加更改交易所需的工作量。系统设计使经济激励强烈奖励矿工的诚实行为,以安全预算代表的经济资源为后盾。

比特币被设计为反脆弱的,从压力和攻击中变得更强。其韧性源于几个因素:节点和矿工的地理分布抵御局部破坏;协议固化或抗变化增强了稳定性和可预测性;其设计假设了对抗性环境,在恶意行为者面前也能运作。

第五节:比特币二层与扩展

扩展:L2 分类与信任模型

在审视特定扩展解决方案之前,了解什么真正符合二层(L2)以及给定比特币当前能力可能提供什么安全保证至关重要。

真正 L2 的定义性挑战在于:仅使用密码学证明就允许用户单方面退回到主链,无需任何第三方许可;基础层的共识机制可以直接裁决争议并执行 L2 的规则。然而,当前大多数比特币扩展解决方案更准确地描述为侧链或具有比特币桥的联合网络,因为它们需要用户依赖比特币自身共识之外的外部验证者。

这为 L2 桥和 rollup 创造了安全约束。当有人想从 L2 将资金提取回比特币主链时,系统需要一种方法来验证提款根据 L2 的状态是合法的。然而,比特币脚本无法实际检查诸如“此提款与 L2 状态树中的条目匹配”这样的内容——脚本缺乏在不依赖中间人的情况下使这一点可行的契约和内省原语。

结果,当今的比特币 L2 解决方案退回到第三方验证者、签名者联合、多重签名安排或程序化证明者来验证和共同签署提款。这些签名者可能分布在多方之间,但仍代表根本的托管风险:如果他们勾结、被破坏或其软件有漏洞,用户资金可能被审查或盗取。

潜在解决方案:契约与替代方案

契约(Covenants):最直接的解决方案涉及通过软分叉升级比特币本身,添加新操作码。领先候选方案包括重新启用 OP_CAT 和添加 CTV(CheckTemplateVerify)等工具。对于 L2 桥,这将具有变革意义——比特币的区块链可以自己检查数学并自动执行退出规则,你可以只使用密码学证明提取资金,没有联合体可以阻止你。这些提案都尚未激活,需要比特币社区的广泛共识来实施。

BitVM:BitVM 及其更新版本(BitVM2 和 BitVM3)在不需要任何升级的情况下使用优化模型——运营商对 L2 上发生的事情提出声明;如果他们撒谎,任何人都可以在一定窗口内(通常几天到两周)在比特币区块链上挑战他们,成功的挑战使运营商损失他们作为抵押品投入的资金。这些系统仍处于实验阶段,2025 年 7 月的一个版本在研究人员发现安全漏洞后不得不撤回。

关键区别在于谁执行规则:当今基于联合体的系统要求你相信大多数签名者会诚实;契约支持的系统会将执行移入比特币自身的共识规则,使无效提款无论任何联合体尝试什么都从字面上不可能包含在区块链中——这将是重大的安全升级。比特币是否会实际采用这些更改以及何时采用,在开发社区中仍是开放问题。

闪电网络

比特币的基础层针对高保证结算进行了优化,这使得小额日常支付在经济上效率低下。闪电网络尝试通过将小额频繁支付移离主区块链来解决这一问题。

基本概念很简单:两方可以通过锁定需要双方签名才能花费的特殊链上交易中的资金来开启私人支付通道。一旦通道开启,他们可以通过创建资金如何分割的新版本以及惩罚试图通过广播旧状态作弊者的密码学惩罚来进行链下余额更新。完成交易后,他们可以关闭通道并将最终余额结算回主链。

通过路由,网络变得更强大。用户不需要与每个想要支付的人都有直接通道——如果 Alice 与 Bob 有通道,Bob 与 Carol 有通道,Alice 可以通过 Bob 支付 Carol。网络使用向中间节点隐藏完整支付路径的路由技术,提供比反复使用相同链上地址更好的隐私,尽管隐私并不完美。

闪电的优势

当闪电运作良好时,它提供了引人注目的优势。支付在秒内结算(而非等待区块确认),使其适用于销售点交易和交互式应用。交易成本降至可忽略不计的金额,通常只有几聪,使在基础层完全不切实际的微支付成为可能。链下支付的特性提供了比反复使用相同链上地址更好的隐私,中间路由节点只能看到加密的支付数据。

流动性挑战

用户只能在其一侧有足够余额时发送支付(出站容量),只有在另一侧有足够空间时才能接收支付(入站容量)。这种流动性约束是闪电最大的实际限制。

当通道在正确方向缺乏足够流动性时,支付失败或必须分割到多条路线。一些技术改进有所帮助:支付可以自动跨多条路径分割以提高成功率,专业服务提供商可以帮助用户获取接收支付所需的入站容量。即便有这些工具,在正确时间在正确位置拥有流动性的根本挑战仍然存在。

运营现实

闪电面临几个采用障碍。与即使接收者离线时支付也会自动到达的比特币基础层不同,闪电通常需要用户在线才能接收支付。一些服务可以在你离线时监控通道以防止欺诈,但这不能实现离线接收本身。钱包提供商提供的允许你离线接收的变通方法通常涉及信任对服务提供商的某些托管或控制。

对于用户,管理通道很复杂:他们必须获得入站容量来接收支付,保持在线或使用可信服务,并在 L1 和 L2 之间导航。对于非技术用户,这种运营开销很困难。

托管的权衡

这些限制导致许多用户转向代表其管理通道和流动性的托管或半托管闪电钱包服务。虽然这显著改善了用户体验和支付可靠性,但它重新引入了比特币旨在消除的信任要求和脆弱性。用户面临托管风险:资金可能被冻结、账户可能被关闭、服务可能失败,且必须信任提供商不会错误管理或盗取资金。这代表了可用性与吸引许多人到比特币的自我主权之间的根本张力。

超越支付:比特币作为数据层

序数理论

序数理论是将个别聪视为独特的可收集单位而非可互换货币的方式。核心想法很简单:根据聪被挖出的时间为每个聪分配序列号。这个编号系统允许特定的聪在交易中被追踪,类似于你可能通过序列号追踪美元纸币的方式。

这个追踪系统实现了称为铭文的实践,用户将任意数据(图像、文本或其他内容)附加到特定的聪上。铭文的聪成为该数字内容的载体,直接在比特币区块链上创造了类似数字收藏品或 NFT 的东西。

铭文使用两步过程。首先,交易承诺将要铭刻的内容;然后,第二笔交易通过将实际内容包含在交易的见证数据中来揭示它,将内容直接存储在区块链上而非只存储对外部数据的引用。

铭文数据存在于见证空间中,不想在验证后存储它的节点可以修剪。归档节点和专门的索引器维护完整的铭文历史,即使许多节点已修剪,用户也可以检索内容。

比特币原生 NFT

铭刻的聪作为比特币原生 NFT 运作:具有链上内容和来源的独特代币,通过移动该特定聪来转移。架构差异与以太坊 NFT 相比值得注意——以太坊依赖 ERC-721 等智能合约标准,媒体通常存储在 IPFS 等链外服务;比特币通过序数编号实现唯一性,媒体字节直接嵌入区块链的见证数据中。

转移铭文需要精确控制花费哪些聪——用户必须确保他们交易的输入和输出排序移动目标铭刻的聪而非周围的聪。专用钱包和专门工具提供这种精确的聪选择能力。专家建议将铭刻的聪保存在单独的地址中以避免意外合并或花费,而市场经常使用部分签名交易,以便用户在签名前可以验证确切转移的是哪个铭文。

BRC-20:实验性同质化代币

虽然序数创造了独特的数字艺术品,BRC-20 将这一概念扩展到比特币上的同质化代币。BRC-20 不使用智能合约,而是使用描述三种基本操作的小型 JSON 铭文:deploy(创建新代币)、mint(创造新单位)和 transfer(向某人发送代币)。社区运营的索引器通过读取这些铭文的有序历史来重建代币余额,创建了一个“约定规则”系统而非由比特币脚本语言执行的系统。

BRC-20 转移遵循两步过程,类似书写支票:首先,通过制作转移铭文创建“支票”(标记要发送的资金);然后,必须通过将包含该铭文的交易输出发送给接收者来“递交支票”。当该交易确认时,索引器扣除发送者的余额并记入接收者。

争议

序数和铭文的出现在比特币社区内引发了重大辩论。批评者认为存储任意数据消耗了应为金融交易保留的宝贵区块空间,创造了持续的手续费压力使小额用户被排除在外,并代表了对比特币作为点对点电子现金设计的滥用。支持者则反驳,所有共识有效的交易都是网络的合法使用,铭文活动产生的手续费收入对于随着区块补贴减少而维持长期矿工可持续性至关重要,且阻止用户嵌入数据将需要与比特币免许可精神相冲突的争议性更改。

这种张力反映了关于比特币目的和演进的更深层问题:它纯粹是支付和结算层,还是可以容纳利用其不可变性和审查阻力独特属性的多样用例?

优势与局限性

序数和 BRC-20 展示了比特币基础层如何通过创造性地使用现有功能来支持数字资产系统,而不需要新的操作码或共识更改——区块链本身保持不变。

然而,这种方式固有局限性。整个系列的规则、版税和代币供应执行存在于比特币脚本语言之外,依赖索引器和社区惯例而非密码学保证。BRC-20 尤其明确是实验性的,即使其原创者也指向替代系统作为更具针对性的解决方案。两个系统今天都在多个钱包和市场中运作,但最好理解为锚定在真实比特币交易上的社会惯例,而非协议执行的机制。