觀點 | 為什么說比特幣的打浦路（Taproot）比你想的寬_比特幣

作者：阿劍

原文標題:《打浦路比你想的寬》,文章題目來自Bitcoiner熊越。

比特幣的Taproot軟分叉升級將于比特幣區塊高度709632處激活。此次升級包含了許多重要而精彩的內容，然而，在中文世界里卻缺乏足夠的重視。本文將從技術角度簡要介紹Taproot的升級內容，并以此體現比特幣的發展方向。

常見的說法是，Taproot提升了比特幣的隱私性、智能合約功能性、同質性，云云。但是，要想理解Taproot升級的內容和想象空間，我們得先了解一些比特幣。

比特幣上的智能合約

許多人不了解的是，比特幣也支持編程智能合約2，只不過其智能合約的類型與其他區塊鏈的不同。詳細解釋這種區別需要專門的一篇文章，這種區別在這篇文章里也不重要。這里僅僅介紹比特幣智能合約編程的幾個常見的模塊3，方便大家理解其應用場景：

多簽名合約。比特幣支持多簽名授權使用資金：在N個記錄好的公鑰中，必須有M個公鑰所對應的私鑰簽名，該筆資金才可動用。比特幣支持最多15個公鑰的多簽名合約。時間鎖。用戶可以使用兩種類型的時間鎖來規定一筆資金的可用時段：CLTV，絕對時間鎖，以具體的時間或具體的區塊高度來定義，過了這個時間才可動用；CSV，相對時間鎖，比如生成該項資金的交易上鏈的1000個區塊后，該筆資金才可動用。多條件編程。即在腳本中使用“IF...ELSE...”式的語句，為同一筆資金設定多個解鎖條件，任一條件滿足即可使用該資金。比如：“A公鑰所對應的私鑰可解鎖，或者，在區塊高度XXXX以后，B公鑰所對應的私鑰可以解鎖，或者，在該交易上鏈的YYYY個區塊以后，A、B、C三個公鑰中任意兩個所對應的私鑰可以解鎖”如讀者可以想象的，這幾個模塊看起來非常簡單，組合起來可能性卻非常多：多簽名合約定義了不同主體的權限，可以適應極為豐富的應用場景，從公司運營，到家庭金庫；時間鎖則規定了不同主體在不同時段的權限。而多條件則顯著放大了這些權限控制的組合效果。

觀點：以太坊合并升級不會降低以太坊的Gas費:金色財經消息，加密貨幣領域的獨立研究員Andrey Sergeenkov在文章中表示，與大多數人的想法相反，TheMerge不會改變以太坊的 Gas費。它沒有擴展網絡容量，也沒有提供更高效的交易結構。這是共識機制的改變，將為未來的交易費用改進鋪平道路，但降低Gas費用不會來自合并。此外，投資司Sky Bridge Capital的創始人Anthony Scaramucci也表示，以太坊合并升級將降低該網絡的Gas費用是謠言。(Cryptoglobe)[2022/8/16 12:27:59]

你甚至僅憑幾個條件，就可以做出一個支持社交恢復、帶遺產分配效果的合約：“我可以控制這筆資金；如三個月無人動用，我和四個朋友，五取其三可以一起控制這筆資金；如果一年無人動用，我的妻子可以控制這筆資金”。

但是，這些合約要實際上派上用場，兩個因素就不能忽視：效率性和隱私性。

效率性的意思是，比特幣交易的手續費是根據交易的體積來計算的，更多條件的腳本會占用更大的空間，交易費也會更高。

隱私性的考量是，腳本曝光會使其他人知道某些公鑰之間是有身份關聯的，更容易分析出公鑰主人的真實身份。

在當前，比特幣的合約體現為P2SH“地址”。其特點是，在生成合約時，腳本可以不公開，有需要的直接給腳本的哈希值支付；但是，這些資金在花費時，與這個哈希值對應的腳本就要完全公開出來放到交易中。以多簽名合約為例，其他人可以直接給這個多簽名合約腳本的哈希值支付，但是，當多簽名合約的參與者要使用這些資金時，就必須把整個腳本公開3。

此外，在SegWit升級以前，單簽名的個人錢包與合約錢包是涇渭分明的，前者是P2PKH地址，后者是P2SH地址，僅從地址上就可以看出來，這又是一個對隱私不利的因素。在SegWit升級之后，支持隔離見證的個人錢包也可采取P2SH的形式，但原生隔離見證地址和合約地址仍然是涇渭分明的4。

觀點：Aave是目前最好的DeFi協議之一:8月25日消息，DTC Capital投資者負責人Spencer Noon發推稱，Aave是目前最好的DeFi協議之一。即使Aave沒有運行流動性挖礦計劃，該項目中仍有價值近12.5億美元的數字資產被鎖定。產品與市場高度契合，并且基本面強勁。 對沖基金Multicoin Capital Management LLC聯合創始人Kyle Samani轉發其推文稱，如果他在接下來的兩年中僅需持有一項資產，他會選擇LEND。（fxstreet）[2020/8/25]

了解了這些以后，讓我們來看看Taproot升級的三大部分如何做得更好。

默克爾抽象語法樹

默克爾化抽象語法樹5的含義是，在比特幣的腳本驗證中支持驗證默克爾證據。

默克爾樹是將多個數據元素哈希成一個哈希值的密碼學方法。其結構和哈希函數的特點決定了，可以提供一些證據來證明，某個數據元素參與生成了這個哈希值。如下圖所示：我們將數據元素兩兩不斷哈希，最終生成一個默克爾根。

3

同理，如下圖，當我要證明紅色數據“Banana”參與生成了紫色的哈希值時，我只需提供紅色數據和三個綠色的哈希值就可以了，無需曝光實際上共同生成了默克爾根的其余7個元素。這就是默克爾樹和默克爾證據的作用。

IndividualMerkleproofsforBanana,PeachandKumquat

觀點：比特幣不會受美聯儲過度印鈔影響 救助計劃促使公眾轉向加密貨幣:加密貨幣評級機構韋氏評級（Weiss Ratings）區塊鏈分析師表示，比特幣不會受到美聯儲(Fed)過度印鈔的影響。他們本周譴責了美聯儲以7比1的杠桿率購買垃圾公司債券的最新決定。美聯儲上個月宣布的救助計劃將向企業信貸市場再注入7500億美元。這些資金將為大公司提供額外的流動性和信貸。但韋氏評級分析師Bruce Ng和Juan Villaverde在7月1日的一篇文章中指出，這并不能解決美國因冠狀病大流行而萎縮的經濟。分析師稱：“購買與有關聯的大型企業債券(如果不是無止境的救助，這些企業就會破產)并不能創造新的就業機會，也不能產生因大范圍封鎖而損失的數十億利潤。”分析師認為，正是這種救助計劃促使人們轉向比特幣和其他加密貨幣。他們接著說：“這就是為什么比特幣(和其他加密資產)將成為未來貨幣的原因。中央銀行正在摧毀世界上主要的紙幣，地球上沒有任何力量可以阻止它們。”（Decrypt）[2020/7/5]

聰明的讀者一定想到了，有了這個功能，合約的編寫者就可以把多個條件劃為不同的數據元素，哈希出一個默克爾根值來；在需要以某個條件來解鎖比特幣時，只需證明這個條件在這棵默克爾樹上即可，無需公開所有其他條件。

沒錯，這正是MAST的妙用。如下圖所示，這筆資金的解鎖條件有兩個，而編寫者把它們分割了開來，用默克爾樹抽象成了一個哈希值，在以任一個條件解鎖使用時，都不需要公開另一個。

005.png

MAST在P2SH的基礎上邁出了一大步，其提升效果首先體現在隱私性上：原本在P2SH中，合約在使用時就一定要公開全部的腳本內容，不論那些內容用到沒用到，都必須公開；現在，有了MAST，用戶就只需要公開需要用到的解鎖條件，無需公開全部內容了；同時，別人也根本不知道你還有多少個條件。

觀點：美國政府將Libra等視為對美元的真正威脅:Pantera Capital創始合伙人Steven Waterhouse近日表示，美國政府將擁有數億用戶的公司發行的加密貨幣視為對美元的真正威脅，“無論是Facebook還是Telegram或其他人，都可能挑戰中央銀行數字貨幣或現有中央銀行貨幣，這一定會引起監管機構的注意。這就是為什么我們對Facebook的Libra和Telegram的Gram都有如此強烈反應的原因。”（Cointelegraph）[2020/5/15]

其次，它還在效率上有所提升：用戶只需提供需要用到的部分腳本，及其默克爾證據，在整個腳本比較龐大時，這種體積節約的效果會非常明顯。

由此，未來的比特幣用戶可以編寫條件非常多的合約，獲得更好的控制效果而只需支付更少的手續費；甚至，可以有意包含一些垃圾條件來充實默克爾樹，獲得隱私提升的效果。

這也是本篇副標題“哈希即銀行”的由來：比特幣的腳本實際上全部圍繞著資金的控制，實現這種控制的關鍵一環正是多條件，而有了MAST，即使是極多條件的資產管理腳本，也可以壓縮成一個哈希值，在使用時僅需暴露一部分。成本的降低可以打開非常多的可能性，等待錢包開發者去一探究竟。

Schnorr簽名

Taproot升級之后，比特幣將不僅支持基于橢圓曲線的密碼學簽名，還支持Schnorr數字簽名方案6。

Schnorr簽名的構造方法在此不提，我們僅介紹其重要屬性：簽名/密鑰聚合——多個私鑰的簽名，可以聚合成一個簽名，看起來仿佛是一把私鑰簽出的。簽名時，仍然是各私鑰持有者各自簽名的；驗簽時，卻仿佛這些簽名是一把對應于已知公鑰的私鑰簽出的。

也就是說，有了Schnorr簽名，其他人就無法分辨一個簽名到底是單人簽出的，還是多人共同簽出的了；多簽名的解鎖條件，可以用一個聚合公鑰來替代。所有n-n的多簽名合約，都可以享受到Schnorr簽名提供的隱私保護。其最顯然的應用就是閃電網絡通道，因為閃電網絡通道是一個2-2的多簽名合約；此后，其他人就無法憑借簽名的數量來分辨支付通道和個人用戶了。

動態 | 觀點：比特幣作為言論是否受到美國憲法第一修正案的保護取決于具體情況:針對“美國憲法第一修正案能否規范比特幣作為言論自由的合法性”，美國自由論壇研究所憲法第一修正案研究中心執行主任Lata Nott表示，雖然一些法院已經承認代碼是言論，但最高法院并沒有對此進行權衡，所以我不認為這是一個既定的法律領域。使用代碼創建視頻游戲可以被認為是受第一修正案保護的表達行為。使用代碼發起拒絕服務攻擊可能不會。利用區塊鏈向事業捐款可以受到第一修正案的保護，但利用它來實施一項智能合約可能不會受到保護。（Cointelegraph）[2019/8/26]

至于m-n的多簽名合約，也不用擔心，別忘了我們有MAST：我們可以把所有可能解鎖的情形都化成一個分支，在使用某個分支時，所提供的簽名也只需是聚合簽名。例如，假設我們要做一個2-3的多簽名合約，在公鑰A、B、C中三取其二，這個多簽名合約效果等同于“要么解鎖、要么解鎖、要么解鎖”，這可以理解為一個多條件的腳本，每個條件都是一個2-2多簽名，因此也都可以用相應的聚合公鑰來定義解鎖條件。所以，當我們需要以某種組合解鎖資金時，只需用MAST暴露一個分支、提供一個簽名，他人依然不知道這到底是一個人，還是兩個人，還是多個人。

還沒完呢。

Taproot

按我們這種理解的路徑，Taproot升級的最后一個部分就是Taproot，是其名字的由來。在提出這個概念時，GregoryMaxwell寫道7：

在討論默克爾化腳本時，一個大家常常提起的問題是，我們能否實現一種精巧的合約，使其與最常見、最無聊的支付沒有分別。不然的話，使用這些時髦技術的輸出的匿名集，也就是另一個小眾集合而已，在實踐中沒有多大的意義。在這里，Maxwell敏銳地抓住了問題的要點：比特幣的隱私保障來自于“大隱隱于市”，最好所有的資金單元看起來都一個樣，這樣用戶的真實身份、真實構成才最難把握。但是，在引入新的功能時，總免不了要提出新的“地址”類型，如果使用這種功能的用戶很少，則每一個用戶暴露真實身份的可能性都會大大增加，而這一點可能導致這些新功能根本不會被使用，從而失去意義。

而且，盡管MAST在合約的隱私性上有重大作用，但如果還像過去那樣，個人錢包是個人錢包，合約錢包是合約錢包，一目了然的話，就不能不說，這樣的隱私性仍然是有瑕疵的。

人們亟需一種辦法，來終結這種個人錢包/合約錢包的區分，為比特幣的隱私性補上點睛之筆。為此，最起碼要實現的一點是，這種帶有合約的錢包，在用戶個人日常使用中，其代價與普通的個人錢包沒有區別。

Taproot就是這樣的一種辦法，它利用了密鑰聚合的特點，提出了自帶兩種使用路徑的腳本模式：一種是n-n的多簽名合約；另一種是用戶自定義的合約腳本。

沿用Maxwell原文中的例子：假設兩個用戶各有公鑰A、B，兩人聚合公鑰A+B=C，再生成最終公鑰P=C+H(C||S)*G，其中S為自定義的腳本。就以這個最終公鑰P來定義資金的解鎖條件。假設兩個用戶都在線，他們很容易可以共同使用這筆資金，只要其中一方在簽名時在自己的私鑰里加上H(C||S)即可；如果只有其中一方在線，比如S定義了B可以花費資金的條件，Taproot的規則使得公鑰B用戶可通過揭示聚合公鑰P以及H(C||S)并提供可以滿足S的條件來使用資金。這里用的是2-2多簽名合約，但用戶可以想到，只要密鑰聚合的技術可用，1-1也就是單簽名同樣可以利用這種編寫腳本的辦法。重要的是：盡管這是一個帶有自定義合約的資金，但在不動用合約、僅使用n-n多簽名時，其手續費成本與單簽名解鎖的資金沒有區別！在n-n多簽名使用時，他人完全不知道這筆資金還可以用其他方式來解鎖使用！

這樣一來，個人用戶和合約用戶都可以統一在一種腳本模式下，個人用戶放心給自己的資金加上合約，無需擔心日常會付出更高的手續費代價；合約用戶與個人用戶因為使用同一種“地址”而享受到更大的匿名集，甚至于在大部分情況下都無需暴露自己使用了合約。皆大歡喜。

總而言之，在Taproot之后，他人將無法從地址形式上分辨一個P2TR地址到底是個人用戶還是合約用戶；由于Schnorr簽名的效果，當這個地址里的資金使用單簽名來解鎖時，他人將無法分辨這到底是一個人在使用，還是n個人一起使用，也無法知道這個地址是否還有自定義的腳本；由于MAST的效果，當用戶使用自定義的腳本來花費資金時，只需暴露需要用到的部分腳本；他人雖然知道了這個地址有自定義的腳本，但整個腳本到底包括哪些條件，仍然是不可知的。

因此，盡管有人質疑Taproot可能反過來給比特幣的隱私性帶來損害7，但我完全不這么擔心。因為Taproot“地址”在便利性、隱私性、經濟性上，都已毫無疑問是比特幣史上最佳，它完全有希望可以統一比特幣的“地址”類型，形成比特幣有史以來最大的匿名集。

結語

對于了解一些密碼學技術的人來說，學習比特幣的開發和升級是很愉快，乃至令人眼界大開的事。在其升級中，你可以看到人們孜孜不倦地使用密碼學來不斷優化這個系統——得益于這個系統本身的模塊化特性，這些優化都真實可感。Taproot正是其中的代表。

我相信，學習比特幣的過程會告訴讀者，什么才是真正的“密碼學貨幣”。

Taproot可能是比特幣歷史上最重要的一次升級，將造就有史以來最純粹的密碼學貨幣——將密碼學利用到極致、最輕量、生命力最頑強的貨幣。

致謝

感謝@hou123，@曾汨對本文的富有教益的反饋。

腳注：

比特幣升級提案Taproot技術解讀，https://www.btcstudy.org/2021/09/29/bitcoin-taproot-a-technical-explanation/BitcoinWiki·智能合約，https://en.wikipedia.org/wiki/Smart_contract精通比特幣中譯本·第七章：高級交易和腳本，https://github.com/tianmingyun/MasterBitcoin2CN/blob/master/ch07.mdTypesofBitcointransactions-PartIISegwit，https://blog.susanka.eu/types-of-bitcoin-transactions-part-ii-segwit/什么是比特幣默克爾化抽象語法樹，https://www.btcstudy.org/2021/09/07/what-is-a-bitcoin-merklized-abstract-syntax-tree-mast/Schnorr簽名如何提升比特幣，https://www.btcstudy.org/2021/09/09/how-schnorr-signatures-may-improve-bitcoin/Taproot:Privacypreservingswitchablescripting，https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2018-January/015614.html用大白話解釋Taproot對隱私性的影響，https://www.btcstudy.org/2021/09/23/explain-like-im-not-a-developer-taproot-privacy/

Tags：比特幣PROROOAPR比特幣和萊特幣哪個好FIO ProtocolROONEXAPR價格

比特幣價格今日行情