比特币:潘志彪：简析 Taproot 如何降低比特币合约交易成本并改善隐私_Tap

Taproot对比特币合约来说，实现了交易成本极小化与隐私极大化，但仍无法做到资金流向和数额隐匿。

Taproot对于比特币合约来说，即实现了交易成本极小化，又使得隐私极大化。

生活中的合约、合同通常有以下一些特征：

通常，合约是双方或多方的。

合约的双方并不绝对信任对方，如果可以绝对信任对方，则不需要合约。

合约的双方一般假设对方大概率会履约：如果还没交易就已经认为对方不会履约，可能会选择不交易，或使用一些合约条款保证对方履约。

设计正确的合约，应该让双方在履约的情况下均会得到较大利益

因此在绝大部份情况下，合约都不会有争议，双方都会合作实行合约条款。在这种情况下，合约条款一般会得到保密，不为第三方所知。

声音 | 币印联合创始人潘志彪：无币区块链才是最好的 2021年闪电网络才会爆发:11月23日，币印联合创始人潘志彪表示，无币区块链才是最好的。同时，他还称，2021年闪电网络才会爆发，现在肯定是很低迷的状态，因为现在根本不堵。以后比特币涨到10万美金一个，必须有闪电网络。[2019/11/24]

若过程中出现争议的情况，需要由第三方机构进行仲裁。在这种情况下，合约条款需要公开，提供给律师、法官等。

比特币链上是可以写简单合约的，例如n/m式的多重签名机制、闪电网络等。区块链的合约通常称为智能合约。

所有合约的特性都适用于智能合约，只是区块链规则担当了仲裁的角色，换言之CodeisLaw。

但现在比特币的智能合约，不论是2009年中本聪的原始设计，2012年出现的P2SH，还是2017年的隔离见证(P2WSH)，都有一个共同的问题：无论立约双方是否合作，合约内容必须完全公开，即合约脚本必须公开。当花费时必须提供合约脚本全部内容才能进行校验。

声音 | 币印矿池CTO潘志彪：价值洼地的电力才是矿工首选:在币印主办的的“中本聪之夜”活动上，币印矿池CTO潘志彪表示，看2018年的发电量分布图，山东、江苏等沿海城市是最多的，但因为经济发展原因消耗也大，因此唯有发电量大但是供大于求的内蒙、四川等省份成了中国算力分布最密集的地区。[2019/9/21]

公开合约内容主要带来两个问题：

交易成本：智能合约一般都需要多个签名，加上合约内容脚本本身，占用更多区块空间，令交易手续费上升。

隐私问题：第三方可以监控区块链数据，通过合约内容的特征，追踪资金的流向和推断合约参与者的身份。

ECDSA

ECDSA是比特币诞生到现在唯一的签名验证机制。

声音 | 潘志彪：抽税币的抽税方利益会慢慢与社区利益不一致:微博用户@BTC狙击手发微博称，有技术创新的币也会不负责任，最典型的就是ZEC，开发组拿了矿工税，搞了这么多年，连个像话的官方客户端都没有。币印联合创始人潘志彪转发评论称，抽税币共同的问题，抽税方利益会慢慢与社区利益不一致，动作慢慢变形，最终一地鸡毛。[2019/9/14]

数字签名是比特币认证交易合法性的最重要手段，确权的唯一标准。

自2009年以来，比特币均使用ECDSA为数字签名标准，包括P2PK和P2PKH，以及2012年的P2SH，2017年的P2WPKH和P2WSH。

比特币的公/私钥系统是线性的，因此我们可以把多个私钥相加，也可以把对应的多个公钥相加，这样产生的新私钥和新公钥仍然是一对。这是HD钱包的理论基础。

金色相对论 |?币印潘志彪：闪电网络隐私方面做得非常好:在本期金色相对论之“闪电网络：Hello，TPS”上，金色财经合伙人佟扬对话币印创始人潘志彪，针对闪电网络未来的演化路径及应用前景会是怎么样的问题，潘志彪表示：闪电网络是各种节点相互连接形成的网络。仅有大节点整个网络是无法工作的。网络中分布着节点，有个人的，也有企业的。有的节点很大，几万个通道；有的节点很小，几个通道。闪电网络的节点，是门槛相对较低的，任何一个软件工程师都可以很快速搭一个节点，普通人借助技术工具也可以快速搭建。只要是市场是开放的，竞争是自由的，那么网络就基本上保持着去中心化。关于抗审查性，因为流经过N个节点，隐私性远远好于直接发出来的比特币交易。绝大部分交易所都是需要做KYC的，链上交易简直没有隐私可言，而闪电网络隐私方面非常好。关于演化路径及应用前景，主要是支付领域，目前来看依然是独立节点占主流。当前大部分的闪电网络钱包，依然不是真正意义上的闪电网络钱包。普及闪电网络的方向仍是onchain+独立节点。[2019/3/7]

但ECDSA的签名是非线性的，因此简单的把多个签名结果加起来，则不再是有效的签名。

因此一直以来，比特币的多签交易均需要在区块链公开多个签名，问题和智能合约相同。

201方的多方签名人数的理论极限。

Schnorr

再说一下Schnorr签名算法。

Schnorr签名的专利于2008年才失效，当时没有广泛的开源实现及应用，所以2009年诞生的比特币也没有使用，中本聪还是比较谨慎的。签名算法通常是需要深厚的数学理论基础才能设计。一个小的理解偏差、编码错误则可能导致严重问题。

Schnorr签名使用的公/私钥系统和ECDSA相同，因此现有的私钥管理(如BIP32)可以继续使用。

Schnorr和ECDSA的区别在于：Schnorr签名是线性的。对于同一内容X，如果用多个私钥各自签名，然后把对应的多个公钥相加，再把多个签名相加，得出的新签名会是新公钥对内容X的有效签名。

利用这个特性，签名人数没有理论极限。只要各方一致合作，就可以把签名相加起来，看起来和单方签名无异。

Schnorr签名算法的安全性于2012年得到数学证明。

Taproot解决的问题

Taproot以Schnorr签名算法为基础。

以Taproot进行的智能合约，如果双方合作，不但无需公开合约内容，而且交易会和最简单普遍的单方签名交易看起来没有分别。即交易成本极小化及隐私极大化。

如果双方不合作，申诉方仍需要公开合约脚本内容以供区块链仲裁，暴露脚本全部或部分内容，由节点验证执行之。

通过使用MAST，申诉方只需要公开合约的相关部分，而非所有合约条款，也因此尽量降低交易成本和对隐私的影响。合约可能有多条执行路径，仅公布即将执行的路径即可。

Taproot没有解决的问题

Taproot没有把交易金额隐藏，因此仍可以通过分析输入和输出金额估计资金流向。Taproot地址和旧式地址一样，会在区块链公开。如果使用者重复使用Taproot地址，那和重复使用旧式地址有相同的隐私问题：太多交易信息集中在一个地址上。

总结

比特币在隐私方向上，有两大待攻克的难题。一是流向隐匿，这在UTXO系统里是比较棘手的；二是金额隐匿，可以通过类似Grin的技术来解决，需要扩展区块或分叉来实现。

即使上述两大难点并没有解决掉，但Taproot对于比特币合约来说，即实现了交易成本极小化，又使得隐私极大化。还是一个显著的进步。

来源链接：card.weibo.com

原文标题：《Taproot简介之二》

撰文：潘志彪，币印创始人

标签：比特币ROOTAPRTap比特币上市第一天的价格ROOT币MAPRTAPT价格

区块链热门资讯