MimbleWimble
Grin核心开发者解析Mimblewimble“漏洞”:非根本性缺陷,Grin很安全
项目 • 8btc 发表了文章 • 2019-11-19 13:09
编者按:Mimblewimble协议的隐私性不存在“根本性缺陷”。 此前在Mimblewimble / Grin上描述的“攻击”是对已知的一种限制的误解。 尽管那篇文章提供了一些有关网络分析的有趣数字,但给出的结果实际上并不构成攻击,也不能支持该文章提出的耸人听闻的主张。
11月18日,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发文称,Mimblewimble协议的隐私性从根本上存在缺陷,只需每周支付60美元的AWS费用,就能实时发现96%的Grin交易发起者和收款者的确切地址。Ivan Bogatyy表示,该问题是Mimblewimble固有的,他认为没有办法予以修补,这意味着在隐私方面,Mimblewimble不应再被视为Zcash或Monero的可行替代方案。该文章展示了对Mimblewimble协议执行攻击的精确方法,在对Grin的真实测试中,揭开交易流信息的成功率达到96%。
此后不久,Mimblewimble的重要实施之一,Grin项目的核心开发者Daniel Lehnberg联合其他相关人士发文进行了反驳,指出Mimblewimble协议的隐私性并不存在“根本性的缺陷”,Ivan Bogatyy在文章中描述的对Mimblewimble / Grin的攻击是对已知限制的误解。
以下是Grin开发者的回应全文:
今天,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发表了一篇名为《打破Mimblewimble的隐私模型》的文章,作者断言他们以某种方式“打破了” Mimblewimble和Grin的隐私模型。
作者声称做出的“攻击”是经过充分记录的,并且讨论了交易图输入输出链接性问题。对于Grin团队中的任何人或研究过Mimblewimble协议的任何人来说,这都不陌生。 Grin在主网启动之前于2018年11月在其公共Wiki上发布的Privacy Primer中承认了能够在链上链接输出的功能。该问题包括Ian Mier提出的“手电筒攻击”,我们当时就将其列为开放研究问题之一。
实际上,包括这篇文章的标题在内的许多说法都不准确。从较高的角度看,这篇文章读起来并不那么含蓄,似乎是为了引人注目。但是,本文的结论包含许多逻辑上的飞跃,而这些逻辑飞跃并未通过所描述的网络分析练习得到证实。
Grin团队一直承认,Grin的隐私性远非完美。作为我们不断改进的隐私保护目标的一部分,交易可链接性是我们一直希望减轻的限制,但这并不能“打破” Mimblewimble,更不是能够导致Grin的隐私保护功能失效的“根本性缺陷”。
除了要逐篇反驳这篇文章外,我们还要指出这个研究及其结论中存在的主要问题。
1)Mimblewimble没有地址
Mimblewimble的最根本的隐私好处是该研究和相关文章存在最根本的问题:Mimblewimble没有诸如可能链接到特定比特币钱包的地址。 参与者通过将一笔一次性的输出添加到交易中来实现价值交换,任何时候都不会呈现给区块链网络或区块链数据的可识别“地址”。
2)无法链接到不存在的地址
对于这一点,这篇文章的研究人员似乎采取了不一致的方法。文章随附的github存储库指出:
“没有地址,只有作为Pedersen comitment隐藏的UTXO。”
随后,文章绘制以下方案:
“例如我是执法人员,我知道一个地址属于暗网市场上的供应商。当您将Grin币发送到Coinbase交易所时,Coinbase会将您的地址与您的姓名联系起来。”
文章继续:
“或者说,某个专制政府知道某个地址属于政见不同人士。您向异议人士发送一小笔捐款。”
目前尚不清楚执法人员如何知道一个根本不存在的地址,或者Coinbase如何将不存在的地址链接到所有者的名字。或就此而言,霸权政府将如何能够将一个不存在的地址与某个政见不同人士联系起来。
我们必须假设作者简单地将事务输出(TXO)与地址混淆了,但是二者并不是一回事。而且,正如我们已经详细介绍的那样,可以链接TXO并不是什么新闻。
3)数字95.5%接近100%。 但这也没有太大意义
文章中有关这个实际实验的详细信息被称为“攻击”。 所谓的“嗅探器节点(sniffer nodes)”收集从节点广播的交易,这是蒲公英(Dandelion)协议中茎(stem)和绒毛(fluff)阶段的一部分。 作者能够在特定时间段内收集网络上95.5%的交易。 除了能够知道“ Output A花费在Output B上”之外,目前尚不清楚在此确切地确定了什么,或者作者还可以利用这些信息来完成什么。
4)仅交易图并不能显示有关交易方的信息…
尽管在交易过程中最好能够避免泄漏交易图,但仅凭该图并不一定能揭示发送方和接收方的输出。 没有金额,就很难区分变更输出(output)和接收人输出(output)。 即使本文并未尝试实际执行此操作,这会是未来研究的一个有趣领域。
5)…作者似乎并没有意识到这一点
文章中提供的Github存储库写到:
“我们发现的是交易图:谁向谁付款的记录”
但实际并不是这样的。
让我们举一个具体的例子。 爱丽丝与Bob建立了交易(可能通过TOR,grinbox或直接文件交换)。 然后,她通过托管节点(例如使用wallet713)将此交易广播到网络。
在此示例中,监视网络的“嗅探器节点”将不会发现有关爱丽丝的任何信息,当然也不会发现谁向谁付款的记录。 “手电筒攻击”是一种主动攻击,其中对手正在参与交易构建过程。 那篇文章中的网络分析活动是被动的,这并成立。
6.文章标题具有误导性,并没有任何东西被“打破”
文章的标题是“打破Mimblewimble的隐私模型”。 Mimblewimble的隐私权模型并未涵盖阻止交易输出被监视节点链接的问题。
结论
您所获得的隐私性永远不会超过匿名集的大小
Grin是一种最小化的加密货币,旨在保护隐私,可扩展且公平。 它远非完美,但它实现了与比特币同等的安全模型,默认情况下启用了更好的隐私性,需要保留的数据更少。 在无需受信任的设置,没有ICO或预挖的情况下,它可完成所有这些工作。
但是,Grin仍很年轻,还没有发挥出全部潜力。 主网上线11个月以来,网络使用率仍然较低。 在最近的1000个区块中,有22%仅包含一个交易(而30%不包含交易),这意味着它们的输入(input)和输出(output)是轻微可链接的。 在网络使用率提高之前,这种情况不会改变,但这仍然并不意味着发送方和接收方的身份会被泄露。
团队协作可为隐私研究提供帮助
作为Grin的贡献者,我们很高兴看到对该项目产生了兴趣。我们社区欢迎对Grin的协议和代码库进行科学分析和审查,但同时也希望具有一定的严格性。实际上,如果我们被请求,我们甚至可以提供相关帮助。
Dragonfly Capital研究员发表的文章要求Haseeb,Oleg,Elena,Mohammed和Nader审查了他们的工作,但是不幸的是,他们没有要求Grin社区中的任何人参与,或者度他们要发布的东西提供(友好的)反馈。如果他们这样做了,我们可能就不会进行这次回应了,并且只会提高工作质量。在一条推文中,那篇文章的作者写道:
“重要的是,我非常尊重Grin社区和核心开发人员,他们在回答我的问题方面都提供了极大的帮助。”
听起来好像是他们在发布那篇文章时与我们联系了,但是在我们的Gitter频道或Keybase中,我们都没有看到任何有关该作者的东西。双方错过了进行高质量研究的机会。
本文联合作者:David Burkett, Jasper, @joltz, Quentin Le Sceller, Yeastplume.
更新:
同样采用Mimblewimble隐私技术的莱特币项目的创始人李启威对此在推特上回应称,
MimbleWimble协议的这种限制是众所周知的。MW基本上属于隐密交易,具有扩展优势和一定程度的不可链接性。为了获得更好的隐私,用户仍然可以在广播之前使用CoinJoin(CJ),并且由于CT(Confidential Transactions)和聚合的原因,CJ与MW运行的也很好。与BTC / LTC相比,MW上的CJ更加简单易用。
1. MW具有CT,因此所有数量都被隐藏,因此无需决定统一的输出大小;
2. 使用MW中的聚合,无需签署最终的CJ交易。因此,不能通过不签名来拒绝服务。
截至目前,Ivan Bogatyy发出更正文章称,Mimblewimble协议的隐私性不是根本性缺陷。
原文:https://medium.com/grin-mimblewimble/factual-inaccuracies-of-breaking-mimblewimbles-privacy-model-8063371839b9
作者:Daniel Lehnberg
编译:Kyle 查看全部
11月18日,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发文称,Mimblewimble协议的隐私性从根本上存在缺陷,只需每周支付60美元的AWS费用,就能实时发现96%的Grin交易发起者和收款者的确切地址。Ivan Bogatyy表示,该问题是Mimblewimble固有的,他认为没有办法予以修补,这意味着在隐私方面,Mimblewimble不应再被视为Zcash或Monero的可行替代方案。该文章展示了对Mimblewimble协议执行攻击的精确方法,在对Grin的真实测试中,揭开交易流信息的成功率达到96%。
此后不久,Mimblewimble的重要实施之一,Grin项目的核心开发者Daniel Lehnberg联合其他相关人士发文进行了反驳,指出Mimblewimble协议的隐私性并不存在“根本性的缺陷”,Ivan Bogatyy在文章中描述的对Mimblewimble / Grin的攻击是对已知限制的误解。
以下是Grin开发者的回应全文:
今天,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发表了一篇名为《打破Mimblewimble的隐私模型》的文章,作者断言他们以某种方式“打破了” Mimblewimble和Grin的隐私模型。
作者声称做出的“攻击”是经过充分记录的,并且讨论了交易图输入输出链接性问题。对于Grin团队中的任何人或研究过Mimblewimble协议的任何人来说,这都不陌生。 Grin在主网启动之前于2018年11月在其公共Wiki上发布的Privacy Primer中承认了能够在链上链接输出的功能。该问题包括Ian Mier提出的“手电筒攻击”,我们当时就将其列为开放研究问题之一。
实际上,包括这篇文章的标题在内的许多说法都不准确。从较高的角度看,这篇文章读起来并不那么含蓄,似乎是为了引人注目。但是,本文的结论包含许多逻辑上的飞跃,而这些逻辑飞跃并未通过所描述的网络分析练习得到证实。
Grin团队一直承认,Grin的隐私性远非完美。作为我们不断改进的隐私保护目标的一部分,交易可链接性是我们一直希望减轻的限制,但这并不能“打破” Mimblewimble,更不是能够导致Grin的隐私保护功能失效的“根本性缺陷”。
除了要逐篇反驳这篇文章外,我们还要指出这个研究及其结论中存在的主要问题。
1)Mimblewimble没有地址
Mimblewimble的最根本的隐私好处是该研究和相关文章存在最根本的问题:Mimblewimble没有诸如可能链接到特定比特币钱包的地址。 参与者通过将一笔一次性的输出添加到交易中来实现价值交换,任何时候都不会呈现给区块链网络或区块链数据的可识别“地址”。
2)无法链接到不存在的地址
对于这一点,这篇文章的研究人员似乎采取了不一致的方法。文章随附的github存储库指出:
“没有地址,只有作为Pedersen comitment隐藏的UTXO。”
随后,文章绘制以下方案:
“例如我是执法人员,我知道一个地址属于暗网市场上的供应商。当您将Grin币发送到Coinbase交易所时,Coinbase会将您的地址与您的姓名联系起来。”
文章继续:
“或者说,某个专制政府知道某个地址属于政见不同人士。您向异议人士发送一小笔捐款。”
目前尚不清楚执法人员如何知道一个根本不存在的地址,或者Coinbase如何将不存在的地址链接到所有者的名字。或就此而言,霸权政府将如何能够将一个不存在的地址与某个政见不同人士联系起来。
我们必须假设作者简单地将事务输出(TXO)与地址混淆了,但是二者并不是一回事。而且,正如我们已经详细介绍的那样,可以链接TXO并不是什么新闻。
3)数字95.5%接近100%。 但这也没有太大意义
文章中有关这个实际实验的详细信息被称为“攻击”。 所谓的“嗅探器节点(sniffer nodes)”收集从节点广播的交易,这是蒲公英(Dandelion)协议中茎(stem)和绒毛(fluff)阶段的一部分。 作者能够在特定时间段内收集网络上95.5%的交易。 除了能够知道“ Output A花费在Output B上”之外,目前尚不清楚在此确切地确定了什么,或者作者还可以利用这些信息来完成什么。
4)仅交易图并不能显示有关交易方的信息…
尽管在交易过程中最好能够避免泄漏交易图,但仅凭该图并不一定能揭示发送方和接收方的输出。 没有金额,就很难区分变更输出(output)和接收人输出(output)。 即使本文并未尝试实际执行此操作,这会是未来研究的一个有趣领域。
5)…作者似乎并没有意识到这一点
文章中提供的Github存储库写到:
“我们发现的是交易图:谁向谁付款的记录”
但实际并不是这样的。
让我们举一个具体的例子。 爱丽丝与Bob建立了交易(可能通过TOR,grinbox或直接文件交换)。 然后,她通过托管节点(例如使用wallet713)将此交易广播到网络。
在此示例中,监视网络的“嗅探器节点”将不会发现有关爱丽丝的任何信息,当然也不会发现谁向谁付款的记录。 “手电筒攻击”是一种主动攻击,其中对手正在参与交易构建过程。 那篇文章中的网络分析活动是被动的,这并成立。
6.文章标题具有误导性,并没有任何东西被“打破”
文章的标题是“打破Mimblewimble的隐私模型”。 Mimblewimble的隐私权模型并未涵盖阻止交易输出被监视节点链接的问题。
结论
您所获得的隐私性永远不会超过匿名集的大小
Grin是一种最小化的加密货币,旨在保护隐私,可扩展且公平。 它远非完美,但它实现了与比特币同等的安全模型,默认情况下启用了更好的隐私性,需要保留的数据更少。 在无需受信任的设置,没有ICO或预挖的情况下,它可完成所有这些工作。
但是,Grin仍很年轻,还没有发挥出全部潜力。 主网上线11个月以来,网络使用率仍然较低。 在最近的1000个区块中,有22%仅包含一个交易(而30%不包含交易),这意味着它们的输入(input)和输出(output)是轻微可链接的。 在网络使用率提高之前,这种情况不会改变,但这仍然并不意味着发送方和接收方的身份会被泄露。
团队协作可为隐私研究提供帮助
作为Grin的贡献者,我们很高兴看到对该项目产生了兴趣。我们社区欢迎对Grin的协议和代码库进行科学分析和审查,但同时也希望具有一定的严格性。实际上,如果我们被请求,我们甚至可以提供相关帮助。
Dragonfly Capital研究员发表的文章要求Haseeb,Oleg,Elena,Mohammed和Nader审查了他们的工作,但是不幸的是,他们没有要求Grin社区中的任何人参与,或者度他们要发布的东西提供(友好的)反馈。如果他们这样做了,我们可能就不会进行这次回应了,并且只会提高工作质量。在一条推文中,那篇文章的作者写道:
“重要的是,我非常尊重Grin社区和核心开发人员,他们在回答我的问题方面都提供了极大的帮助。”
听起来好像是他们在发布那篇文章时与我们联系了,但是在我们的Gitter频道或Keybase中,我们都没有看到任何有关该作者的东西。双方错过了进行高质量研究的机会。
本文联合作者:David Burkett, Jasper, @joltz, Quentin Le Sceller, Yeastplume.
更新:
同样采用Mimblewimble隐私技术的莱特币项目的创始人李启威对此在推特上回应称,
MimbleWimble协议的这种限制是众所周知的。MW基本上属于隐密交易,具有扩展优势和一定程度的不可链接性。为了获得更好的隐私,用户仍然可以在广播之前使用CoinJoin(CJ),并且由于CT(Confidential Transactions)和聚合的原因,CJ与MW运行的也很好。与BTC / LTC相比,MW上的CJ更加简单易用。
1. MW具有CT,因此所有数量都被隐藏,因此无需决定统一的输出大小;
2. 使用MW中的聚合,无需签署最终的CJ交易。因此,不能通过不签名来拒绝服务。
截至目前,Ivan Bogatyy发出更正文章称,Mimblewimble协议的隐私性不是根本性缺陷。
原文:https://medium.com/grin-mimblewimble/factual-inaccuracies-of-breaking-mimblewimbles-privacy-model-8063371839b9
作者:Daniel Lehnberg
编译:Kyle 查看全部
编者按:Mimblewimble协议的隐私性不存在“根本性缺陷”。 此前在Mimblewimble / Grin上描述的“攻击”是对已知的一种限制的误解。 尽管那篇文章提供了一些有关网络分析的有趣数字,但给出的结果实际上并不构成攻击,也不能支持该文章提出的耸人听闻的主张。
11月18日,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发文称,Mimblewimble协议的隐私性从根本上存在缺陷,只需每周支付60美元的AWS费用,就能实时发现96%的Grin交易发起者和收款者的确切地址。Ivan Bogatyy表示,该问题是Mimblewimble固有的,他认为没有办法予以修补,这意味着在隐私方面,Mimblewimble不应再被视为Zcash或Monero的可行替代方案。该文章展示了对Mimblewimble协议执行攻击的精确方法,在对Grin的真实测试中,揭开交易流信息的成功率达到96%。
此后不久,Mimblewimble的重要实施之一,Grin项目的核心开发者Daniel Lehnberg联合其他相关人士发文进行了反驳,指出Mimblewimble协议的隐私性并不存在“根本性的缺陷”,Ivan Bogatyy在文章中描述的对Mimblewimble / Grin的攻击是对已知限制的误解。
以下是Grin开发者的回应全文:
今天,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发表了一篇名为《打破Mimblewimble的隐私模型》的文章,作者断言他们以某种方式“打破了” Mimblewimble和Grin的隐私模型。
作者声称做出的“攻击”是经过充分记录的,并且讨论了交易图输入输出链接性问题。对于Grin团队中的任何人或研究过Mimblewimble协议的任何人来说,这都不陌生。 Grin在主网启动之前于2018年11月在其公共Wiki上发布的Privacy Primer中承认了能够在链上链接输出的功能。该问题包括Ian Mier提出的“手电筒攻击”,我们当时就将其列为开放研究问题之一。
实际上,包括这篇文章的标题在内的许多说法都不准确。从较高的角度看,这篇文章读起来并不那么含蓄,似乎是为了引人注目。但是,本文的结论包含许多逻辑上的飞跃,而这些逻辑飞跃并未通过所描述的网络分析练习得到证实。
Grin团队一直承认,Grin的隐私性远非完美。作为我们不断改进的隐私保护目标的一部分,交易可链接性是我们一直希望减轻的限制,但这并不能“打破” Mimblewimble,更不是能够导致Grin的隐私保护功能失效的“根本性缺陷”。
除了要逐篇反驳这篇文章外,我们还要指出这个研究及其结论中存在的主要问题。
1)Mimblewimble没有地址
Mimblewimble的最根本的隐私好处是该研究和相关文章存在最根本的问题:Mimblewimble没有诸如可能链接到特定比特币钱包的地址。 参与者通过将一笔一次性的输出添加到交易中来实现价值交换,任何时候都不会呈现给区块链网络或区块链数据的可识别“地址”。
2)无法链接到不存在的地址
对于这一点,这篇文章的研究人员似乎采取了不一致的方法。文章随附的github存储库指出:
“没有地址,只有作为Pedersen comitment隐藏的UTXO。”
随后,文章绘制以下方案:
“例如我是执法人员,我知道一个地址属于暗网市场上的供应商。当您将Grin币发送到Coinbase交易所时,Coinbase会将您的地址与您的姓名联系起来。”
文章继续:
“或者说,某个专制政府知道某个地址属于政见不同人士。您向异议人士发送一小笔捐款。”
目前尚不清楚执法人员如何知道一个根本不存在的地址,或者Coinbase如何将不存在的地址链接到所有者的名字。或就此而言,霸权政府将如何能够将一个不存在的地址与某个政见不同人士联系起来。
我们必须假设作者简单地将事务输出(TXO)与地址混淆了,但是二者并不是一回事。而且,正如我们已经详细介绍的那样,可以链接TXO并不是什么新闻。
3)数字95.5%接近100%。 但这也没有太大意义
文章中有关这个实际实验的详细信息被称为“攻击”。 所谓的“嗅探器节点(sniffer nodes)”收集从节点广播的交易,这是蒲公英(Dandelion)协议中茎(stem)和绒毛(fluff)阶段的一部分。 作者能够在特定时间段内收集网络上95.5%的交易。 除了能够知道“ Output A花费在Output B上”之外,目前尚不清楚在此确切地确定了什么,或者作者还可以利用这些信息来完成什么。
4)仅交易图并不能显示有关交易方的信息…
尽管在交易过程中最好能够避免泄漏交易图,但仅凭该图并不一定能揭示发送方和接收方的输出。 没有金额,就很难区分变更输出(output)和接收人输出(output)。 即使本文并未尝试实际执行此操作,这会是未来研究的一个有趣领域。
5)…作者似乎并没有意识到这一点
文章中提供的Github存储库写到:
“我们发现的是交易图:谁向谁付款的记录”
但实际并不是这样的。
让我们举一个具体的例子。 爱丽丝与Bob建立了交易(可能通过TOR,grinbox或直接文件交换)。 然后,她通过托管节点(例如使用wallet713)将此交易广播到网络。
在此示例中,监视网络的“嗅探器节点”将不会发现有关爱丽丝的任何信息,当然也不会发现谁向谁付款的记录。 “手电筒攻击”是一种主动攻击,其中对手正在参与交易构建过程。 那篇文章中的网络分析活动是被动的,这并成立。
6.文章标题具有误导性,并没有任何东西被“打破”
文章的标题是“打破Mimblewimble的隐私模型”。 Mimblewimble的隐私权模型并未涵盖阻止交易输出被监视节点链接的问题。
结论
您所获得的隐私性永远不会超过匿名集的大小
Grin是一种最小化的加密货币,旨在保护隐私,可扩展且公平。 它远非完美,但它实现了与比特币同等的安全模型,默认情况下启用了更好的隐私性,需要保留的数据更少。 在无需受信任的设置,没有ICO或预挖的情况下,它可完成所有这些工作。
但是,Grin仍很年轻,还没有发挥出全部潜力。 主网上线11个月以来,网络使用率仍然较低。 在最近的1000个区块中,有22%仅包含一个交易(而30%不包含交易),这意味着它们的输入(input)和输出(output)是轻微可链接的。 在网络使用率提高之前,这种情况不会改变,但这仍然并不意味着发送方和接收方的身份会被泄露。
团队协作可为隐私研究提供帮助
作为Grin的贡献者,我们很高兴看到对该项目产生了兴趣。我们社区欢迎对Grin的协议和代码库进行科学分析和审查,但同时也希望具有一定的严格性。实际上,如果我们被请求,我们甚至可以提供相关帮助。
Dragonfly Capital研究员发表的文章要求Haseeb,Oleg,Elena,Mohammed和Nader审查了他们的工作,但是不幸的是,他们没有要求Grin社区中的任何人参与,或者度他们要发布的东西提供(友好的)反馈。如果他们这样做了,我们可能就不会进行这次回应了,并且只会提高工作质量。在一条推文中,那篇文章的作者写道:
“重要的是,我非常尊重Grin社区和核心开发人员,他们在回答我的问题方面都提供了极大的帮助。”
听起来好像是他们在发布那篇文章时与我们联系了,但是在我们的Gitter频道或Keybase中,我们都没有看到任何有关该作者的东西。双方错过了进行高质量研究的机会。
本文联合作者:David Burkett, Jasper, @joltz, Quentin Le Sceller, Yeastplume.
更新:
同样采用Mimblewimble隐私技术的莱特币项目的创始人李启威对此在推特上回应称,
MimbleWimble协议的这种限制是众所周知的。MW基本上属于隐密交易,具有扩展优势和一定程度的不可链接性。为了获得更好的隐私,用户仍然可以在广播之前使用CoinJoin(CJ),并且由于CT(Confidential Transactions)和聚合的原因,CJ与MW运行的也很好。与BTC / LTC相比,MW上的CJ更加简单易用。
1. MW具有CT,因此所有数量都被隐藏,因此无需决定统一的输出大小;
2. 使用MW中的聚合,无需签署最终的CJ交易。因此,不能通过不签名来拒绝服务。
截至目前,Ivan Bogatyy发出更正文章称,Mimblewimble协议的隐私性不是根本性缺陷。
原文:https://medium.com/grin-mimblewimble/factual-inaccuracies-of-breaking-mimblewimbles-privacy-model-8063371839b9
作者:Daniel Lehnberg
编译:Kyle
Monero,Zcash和Grin谁才是匿名币之王?
攻略 • hellobtc 发表了文章 • 2019-06-25 17:31
自比特币 2009 年上线以来,其去中心化,抗通胀,低门槛等特性逐渐被大众所认可。但是,随着当今社会对个人隐私越发的重视,比特币其账本 100% 公开透明的特点也遭受诟病,一定程度上阻碍了比特币作为支付手段(灰色地带)的发展。
为了保护用户的隐私,基于各种技术的匿名币应运而生。存在即合理,匿名币注定会在区块链蓝图里占据重要一席。 今天,要和大家讨论的是匿名技术中三位典型的代表:门罗币(Monero),大零币(Zcash)和古灵币(Grin)。究竟谁才是匿名之王?
一、前世与今生
门罗币(Monero)于2014年4月18日主网上线。其代码从匿名币 ByteCoin 分叉而来。为什么会分叉?因为 ByteCoin 不够透明,80% 的代币被预挖,掌握在少数人手里,这也是为什么币安下架这个代币的原因之一。同时 ByteCoin 的代码质量极差引起了社区完美主义者的极度不满。
Monero 一词在世界语中代表着“货币“,该命名由社区投票选出,表达了社区希望 Monero 成为全世界通用匿名货币的初衷。Monero 采用 PoW 共识算法,到2022年5月,预计将开采出 1822.3 万枚代币(目前流通量为 1700 万枚),之后将保持每分钟发行 0.3XMR 的速度来继续激励矿工维护网络的安全。在还没有太多匿名币竞争者的蛮荒时代(2014年-2016年),Monero 在黑市越来越流行,从最初的 500 万美金市值,一路攀升到现在的 15 亿美金,涨幅高达 300 倍。
大零币(Zcash) 于2016年10月28日主网上线。其前身为 Zerocash 零协议,该协议于 2014 年创立,并由霍普金斯,麻省理工等大学实验室维护。零协议着重解决数字货币隐私的问题。Zcash 是第一个基于零协议,实现了零知识认证(Zero Knowledge Proof)的匿名币。 Zcash 由比特币代码分叉而来,因此 Zcash 许多特性和比特币相似,例如:Zcash 总量为 2100 万个,每四年减产一次等等(目前流通量为 680 万枚)。
Zcash 这个项目由一家名为 Electric Coin 的美国公司维护。在 Zcash 被开采的前四年,10%(流通量) 挖出来的币(按照 200 美金价格计算,10% 一共是 1.36 亿美金)会进到这家公司的口袋,以维持公司的经营。这也直接导致了社区的不满,出现很多 Zcash 的分叉币,例如:Horizen,Zclassic 等等。值得一提的是,Zcash 因为其慢启动的设计,即开采初期挖矿难度非常的高,一个 Zcash 曾一度达到 3000BTC 一个的天价。真是心疼当年接盘的老铁啊,这辈子应该也无法解套了。另外大零币并非强制要求链上所有的交易都是匿名的,只有当你选择使用隐地址(Shielded Address)时候,交易才会匿名。
古灵币 Grin 于2019年1月15日主网上线。Grin 采用了 MimbleWimble 协议。2016年,MimbleWimble 协议由一位化名为伏地魔的 Tom Elvis Jedusor 的程序员在 Bitcointalk 提出,主要的目的是解决比特币扩容和隐私的问题。同年10月,论坛上另一位匿名开发者发布了基于 MimbleWimble 协议的第一个项目,并命名为 Grin。Grin 除了捐赠,没有进行任何形式的融资,没有私募,lCO,也没有任何预挖。
为了稳定 Grin 的价格,Grin 发行总量没有上限,每分钟出一个块,每个区块奖励 60 枚 Grin,区块奖励将会逐渐的降低 。按照此方法计算,目前流通的 Grin 大约有 1300 万枚 Grin,一年后将会生成 3000 万枚 Grin,30 年后将会生成 10 亿枚Grin。同时 Grin 的 PoW 使用了两种算法:主要算法 Cuckatoo31+(ASIC友好) 和次要算法 Cuckatoo29(抗ASIC) ,其目的是:在主网发布初期,90% 的区块将被 Cuckatoo29(抗ASIC) 挖出,因为 Grin 开发者认为,当网络算力很小时,矿工很容易掌握大部分的算力导致网络过于中心化。当主网络稳定,算力足够大时,Grin 的挖矿方式则会慢慢切换到主要算力(ASIC友好),目的是鼓励矿机生产厂商制造 Grin 矿机,增加全网算力,提高网络的安全性。
二、匿名技术
1.门罗币:关键词: 隐地址,环签名,机密交易,Korvi
隐地址(Stealth Address)的作用是隐藏收款人的地址,保护收款人的隐私。Stealth Address 工作的原理是:每当有交易发起, 都会随机的生成一个新的收款人地址。这样做的好处是,就算有多笔交易发送给同一个人,每笔交易的交易记录都显示不同的收款地址。这让外界不可能将这些交易记录联系到同一个收款人身上,从而保护了收款人的隐私。
环签名(Ring Signature)的作用是隐藏发送人的地址,保护发送人的隐私。从 Ring Signature 字面意思可以略知一二,那就是通过一群人形成一个环(圈子),每个在环(圈子)里面的人都有相同的地位和权力,环(圈子)里的任何人都可以授权交易。如果使用环签名授权交易,从外界的交易记录来看,无法确认具体是环(圈子)里哪个人授权的交易,从而保护了发送人的隐私。
机密交易(RCT)的作用是用来隐藏交易金额。RCT 全称为 Ring Confidential Transaction,在引入 RCT 之前,门罗币要求只能把交易金额一样的交易串成一个环,比如张三手上有 20 个门罗币想给李四转账 10 个,但是当前并没有 10 的环,那么张三只能把交易拆分成 3 的环和 7 的环。在引入 RCT 之后,如果张三拥有 20 个门罗,但只想转移 10 个门罗给李四,但是RCT 要求把交易分成 10+10 两部分,一部分直接转移给李四,另外一部分转移给张三自己,从而隐藏交易信息。
Korvi 的作用是用来隐藏交易双方的 IP 地址。Korvi 不是简单的 VPN 网络 。你可以把 Korvi 理解为门罗特有的中继网络。在 Korvi 每个网络节点之间,每笔交易都会被节点自己掌握的私钥进行加密。就好比 A 给 B 发送交易,在实际的 Korvi 网络中,数据包经过的路径为A->D->E->F->C->B 。如果你想拦截翻译 AB 之间的交易信息,你需要获取A,D,E,F,C,B所有人的授权和私钥,这是非常非常困难的,因为路径一直在动态地更改。
2.大零币:关键词:zk-SNARK,零知识证明
大零币基于 zk-SNARK 协议, 采用了 零知识证明( Zero Knowledge Proof)的方式来保护用户的隐私。零知识证明即能够证明自己某种权益,但又不把相关信息泄露出去,即给外界的知识为零的一种证明方式。零知识证明需要满足三个特性:完整性,可靠性和零知识性。为了方便大家理解。大白举一个例子:
假设:张三和李四参加了币安组织的交易大赛,大赛规定:一等奖获得 200 个 BNB,二等奖获得 100 个 BNB,三等奖获得 50 个 BNB,参与奖 10 个 BNB。
实际情况:李四获得了第二名(100BNB),张三只获得了第三名(50BNB)。
问题:张三和李四想知道对方是否和自己取得了一样的成绩,因为面子问题,又不想把自己的具体获奖情况泄露给对方。
零知识证明法:
张三准备了四个信箱和四把钥匙,持有这四个信箱钥匙分别代表张三获得一等奖,二等奖,三等奖和参与奖。根据实际情况(张三获得三等奖),张三按照规定毁掉了1号,2号,4号信箱的钥匙,保留了3号信箱的钥匙。
李四准备了四封空白的信,在四封信上画微笑分别代表李四获得一等奖,二等奖,三等奖和参与奖。李四按照规定在2号信上画了一个笑脸(李四获得二等奖),并将几封信依次投入张三准备的信箱。
第二天,张三自己用钥匙打开3号信箱,查看李四投信,发现信是空白,张三便知道李四没有和自己得同样的奖,并把信归还给李四。李四收到回信后,发现信上没有笑脸,李四便知道张三和自己没有获得相同的名次。
上述过程,便是零知识证明的一个典型例子,其证明过程中没有泄露给外界任何信息。
3.古灵币:关键词:MimbleWimble
MimbleWimble 来自于《哈利波特》中的一句咒语,目的是让被施咒的人无法开口说话,保护秘密。MimbleWimble 没有采用比特币的 UTXO 模型,因此可以省略大量历史数据的中间数据,比如:A-B-C-D,可以直接压缩为A-D,从而压缩了大量数据。MimbleWimble 协议中没有地址,参与交易的双方需共同创建一个用于交易的多重签名,并用私钥验证交易。所以在MimbleWimble 中,只需要验证 2 个事情:1:该交易没有凭空产生新的币。2:交易双方拥有其私钥的所有权。
MimbleWimble 巧妙地利用了椭圆密码学(Elliptic Curve Cryptography)满足乘法交换率和结合律的特性,来引入致盲因子从而模糊交易信息,举个例子:
引入致盲因子之前交易信息为:10+5=15
引入致盲因子5之后:10*5+5*5=15*5 即 50+25=75,
等式依然成立,但只有参与了交易的双方掌握了致盲因子的私钥,才能够得将致盲因子分解出来,得到交易信息。
可以说,匿名币这三巨头的技术可谓各有千秋,那么一个项目的成功光靠技术是不行的,我们再来从其他的维度来对比一下这三个老大哥,具体见下表:
三、小结
最后我们来总结下这三个匿名币各自的优势和劣势吧:
门罗币(Monero):
优势:
1.匿名货币的鼻祖,其核心技术经过了时间的考验。
2. 背后团队完全匿名,项目完全由社区治理。
3. 知名度高,已上线大部分顶级交易所,流动性非常好。
4. 已经开采了 95% 以上,未来通货膨胀率低于 1%。
劣势:
1. 市值较高。
大零币(Zcash):
优势:
1. 第一个基于零知识证明的匿名币。
2. 背后的公司拥有充足的资金以支持项目的发展。
3. 匿名非强制性。
劣势:
1. 项目由公司主导,财务不够公开透明。2020 年之后,10% 挖矿收益将不再支付给其背后的公司,那么该公司是否还有动力继续维护该项目?还是说放任不管,归还给社区?其背后的公司是一颗大雷。
2. 目前为止,Zcash 链上只有 20% 不到的交易为匿名交易,大部分还是公开的交易!!
古灵币(Grin):
优势:
1. MimbleWimble 技术创新 :占用空间小,交易速度快。
2. 社区主导,未接受任何形式的融资 ,不涉及复杂的利益关系。
劣势:
1. Grin 因为设计,没有地址,因此用户体验不是很友好。
2. Grin 在前期通货膨胀非常严重:每个块生产 60 个 Grin,按季度减少出块奖励,第一季度通货膨胀为 400%,第二季度为 200%,第三季度为 133.3%......十年后通货膨胀仍然高达 10%。
3. Grin 没有资金上大的交易所,只能等交易所强上,比较被动。
作者:希多说币 希多 查看全部
为了保护用户的隐私,基于各种技术的匿名币应运而生。存在即合理,匿名币注定会在区块链蓝图里占据重要一席。 今天,要和大家讨论的是匿名技术中三位典型的代表:门罗币(Monero),大零币(Zcash)和古灵币(Grin)。究竟谁才是匿名之王?
一、前世与今生
门罗币(Monero)于2014年4月18日主网上线。其代码从匿名币 ByteCoin 分叉而来。为什么会分叉?因为 ByteCoin 不够透明,80% 的代币被预挖,掌握在少数人手里,这也是为什么币安下架这个代币的原因之一。同时 ByteCoin 的代码质量极差引起了社区完美主义者的极度不满。
Monero 一词在世界语中代表着“货币“,该命名由社区投票选出,表达了社区希望 Monero 成为全世界通用匿名货币的初衷。Monero 采用 PoW 共识算法,到2022年5月,预计将开采出 1822.3 万枚代币(目前流通量为 1700 万枚),之后将保持每分钟发行 0.3XMR 的速度来继续激励矿工维护网络的安全。在还没有太多匿名币竞争者的蛮荒时代(2014年-2016年),Monero 在黑市越来越流行,从最初的 500 万美金市值,一路攀升到现在的 15 亿美金,涨幅高达 300 倍。
大零币(Zcash) 于2016年10月28日主网上线。其前身为 Zerocash 零协议,该协议于 2014 年创立,并由霍普金斯,麻省理工等大学实验室维护。零协议着重解决数字货币隐私的问题。Zcash 是第一个基于零协议,实现了零知识认证(Zero Knowledge Proof)的匿名币。 Zcash 由比特币代码分叉而来,因此 Zcash 许多特性和比特币相似,例如:Zcash 总量为 2100 万个,每四年减产一次等等(目前流通量为 680 万枚)。
Zcash 这个项目由一家名为 Electric Coin 的美国公司维护。在 Zcash 被开采的前四年,10%(流通量) 挖出来的币(按照 200 美金价格计算,10% 一共是 1.36 亿美金)会进到这家公司的口袋,以维持公司的经营。这也直接导致了社区的不满,出现很多 Zcash 的分叉币,例如:Horizen,Zclassic 等等。值得一提的是,Zcash 因为其慢启动的设计,即开采初期挖矿难度非常的高,一个 Zcash 曾一度达到 3000BTC 一个的天价。真是心疼当年接盘的老铁啊,这辈子应该也无法解套了。另外大零币并非强制要求链上所有的交易都是匿名的,只有当你选择使用隐地址(Shielded Address)时候,交易才会匿名。
古灵币 Grin 于2019年1月15日主网上线。Grin 采用了 MimbleWimble 协议。2016年,MimbleWimble 协议由一位化名为伏地魔的 Tom Elvis Jedusor 的程序员在 Bitcointalk 提出,主要的目的是解决比特币扩容和隐私的问题。同年10月,论坛上另一位匿名开发者发布了基于 MimbleWimble 协议的第一个项目,并命名为 Grin。Grin 除了捐赠,没有进行任何形式的融资,没有私募,lCO,也没有任何预挖。
为了稳定 Grin 的价格,Grin 发行总量没有上限,每分钟出一个块,每个区块奖励 60 枚 Grin,区块奖励将会逐渐的降低 。按照此方法计算,目前流通的 Grin 大约有 1300 万枚 Grin,一年后将会生成 3000 万枚 Grin,30 年后将会生成 10 亿枚Grin。同时 Grin 的 PoW 使用了两种算法:主要算法 Cuckatoo31+(ASIC友好) 和次要算法 Cuckatoo29(抗ASIC) ,其目的是:在主网发布初期,90% 的区块将被 Cuckatoo29(抗ASIC) 挖出,因为 Grin 开发者认为,当网络算力很小时,矿工很容易掌握大部分的算力导致网络过于中心化。当主网络稳定,算力足够大时,Grin 的挖矿方式则会慢慢切换到主要算力(ASIC友好),目的是鼓励矿机生产厂商制造 Grin 矿机,增加全网算力,提高网络的安全性。
二、匿名技术
1.门罗币:关键词: 隐地址,环签名,机密交易,Korvi
隐地址(Stealth Address)的作用是隐藏收款人的地址,保护收款人的隐私。Stealth Address 工作的原理是:每当有交易发起, 都会随机的生成一个新的收款人地址。这样做的好处是,就算有多笔交易发送给同一个人,每笔交易的交易记录都显示不同的收款地址。这让外界不可能将这些交易记录联系到同一个收款人身上,从而保护了收款人的隐私。
环签名(Ring Signature)的作用是隐藏发送人的地址,保护发送人的隐私。从 Ring Signature 字面意思可以略知一二,那就是通过一群人形成一个环(圈子),每个在环(圈子)里面的人都有相同的地位和权力,环(圈子)里的任何人都可以授权交易。如果使用环签名授权交易,从外界的交易记录来看,无法确认具体是环(圈子)里哪个人授权的交易,从而保护了发送人的隐私。
机密交易(RCT)的作用是用来隐藏交易金额。RCT 全称为 Ring Confidential Transaction,在引入 RCT 之前,门罗币要求只能把交易金额一样的交易串成一个环,比如张三手上有 20 个门罗币想给李四转账 10 个,但是当前并没有 10 的环,那么张三只能把交易拆分成 3 的环和 7 的环。在引入 RCT 之后,如果张三拥有 20 个门罗,但只想转移 10 个门罗给李四,但是RCT 要求把交易分成 10+10 两部分,一部分直接转移给李四,另外一部分转移给张三自己,从而隐藏交易信息。
Korvi 的作用是用来隐藏交易双方的 IP 地址。Korvi 不是简单的 VPN 网络 。你可以把 Korvi 理解为门罗特有的中继网络。在 Korvi 每个网络节点之间,每笔交易都会被节点自己掌握的私钥进行加密。就好比 A 给 B 发送交易,在实际的 Korvi 网络中,数据包经过的路径为A->D->E->F->C->B 。如果你想拦截翻译 AB 之间的交易信息,你需要获取A,D,E,F,C,B所有人的授权和私钥,这是非常非常困难的,因为路径一直在动态地更改。
2.大零币:关键词:zk-SNARK,零知识证明
大零币基于 zk-SNARK 协议, 采用了 零知识证明( Zero Knowledge Proof)的方式来保护用户的隐私。零知识证明即能够证明自己某种权益,但又不把相关信息泄露出去,即给外界的知识为零的一种证明方式。零知识证明需要满足三个特性:完整性,可靠性和零知识性。为了方便大家理解。大白举一个例子:
假设:张三和李四参加了币安组织的交易大赛,大赛规定:一等奖获得 200 个 BNB,二等奖获得 100 个 BNB,三等奖获得 50 个 BNB,参与奖 10 个 BNB。
实际情况:李四获得了第二名(100BNB),张三只获得了第三名(50BNB)。
问题:张三和李四想知道对方是否和自己取得了一样的成绩,因为面子问题,又不想把自己的具体获奖情况泄露给对方。
零知识证明法:
张三准备了四个信箱和四把钥匙,持有这四个信箱钥匙分别代表张三获得一等奖,二等奖,三等奖和参与奖。根据实际情况(张三获得三等奖),张三按照规定毁掉了1号,2号,4号信箱的钥匙,保留了3号信箱的钥匙。
李四准备了四封空白的信,在四封信上画微笑分别代表李四获得一等奖,二等奖,三等奖和参与奖。李四按照规定在2号信上画了一个笑脸(李四获得二等奖),并将几封信依次投入张三准备的信箱。
第二天,张三自己用钥匙打开3号信箱,查看李四投信,发现信是空白,张三便知道李四没有和自己得同样的奖,并把信归还给李四。李四收到回信后,发现信上没有笑脸,李四便知道张三和自己没有获得相同的名次。
上述过程,便是零知识证明的一个典型例子,其证明过程中没有泄露给外界任何信息。
3.古灵币:关键词:MimbleWimble
MimbleWimble 来自于《哈利波特》中的一句咒语,目的是让被施咒的人无法开口说话,保护秘密。MimbleWimble 没有采用比特币的 UTXO 模型,因此可以省略大量历史数据的中间数据,比如:A-B-C-D,可以直接压缩为A-D,从而压缩了大量数据。MimbleWimble 协议中没有地址,参与交易的双方需共同创建一个用于交易的多重签名,并用私钥验证交易。所以在MimbleWimble 中,只需要验证 2 个事情:1:该交易没有凭空产生新的币。2:交易双方拥有其私钥的所有权。
MimbleWimble 巧妙地利用了椭圆密码学(Elliptic Curve Cryptography)满足乘法交换率和结合律的特性,来引入致盲因子从而模糊交易信息,举个例子:
引入致盲因子之前交易信息为:10+5=15
引入致盲因子5之后:10*5+5*5=15*5 即 50+25=75,
等式依然成立,但只有参与了交易的双方掌握了致盲因子的私钥,才能够得将致盲因子分解出来,得到交易信息。
可以说,匿名币这三巨头的技术可谓各有千秋,那么一个项目的成功光靠技术是不行的,我们再来从其他的维度来对比一下这三个老大哥,具体见下表:
三、小结
最后我们来总结下这三个匿名币各自的优势和劣势吧:
门罗币(Monero):
优势:
1.匿名货币的鼻祖,其核心技术经过了时间的考验。
2. 背后团队完全匿名,项目完全由社区治理。
3. 知名度高,已上线大部分顶级交易所,流动性非常好。
4. 已经开采了 95% 以上,未来通货膨胀率低于 1%。
劣势:
1. 市值较高。
大零币(Zcash):
优势:
1. 第一个基于零知识证明的匿名币。
2. 背后的公司拥有充足的资金以支持项目的发展。
3. 匿名非强制性。
劣势:
1. 项目由公司主导,财务不够公开透明。2020 年之后,10% 挖矿收益将不再支付给其背后的公司,那么该公司是否还有动力继续维护该项目?还是说放任不管,归还给社区?其背后的公司是一颗大雷。
2. 目前为止,Zcash 链上只有 20% 不到的交易为匿名交易,大部分还是公开的交易!!
古灵币(Grin):
优势:
1. MimbleWimble 技术创新 :占用空间小,交易速度快。
2. 社区主导,未接受任何形式的融资 ,不涉及复杂的利益关系。
劣势:
1. Grin 因为设计,没有地址,因此用户体验不是很友好。
2. Grin 在前期通货膨胀非常严重:每个块生产 60 个 Grin,按季度减少出块奖励,第一季度通货膨胀为 400%,第二季度为 200%,第三季度为 133.3%......十年后通货膨胀仍然高达 10%。
3. Grin 没有资金上大的交易所,只能等交易所强上,比较被动。
作者:希多说币 希多 查看全部
自比特币 2009 年上线以来,其去中心化,抗通胀,低门槛等特性逐渐被大众所认可。但是,随着当今社会对个人隐私越发的重视,比特币其账本 100% 公开透明的特点也遭受诟病,一定程度上阻碍了比特币作为支付手段(灰色地带)的发展。
为了保护用户的隐私,基于各种技术的匿名币应运而生。存在即合理,匿名币注定会在区块链蓝图里占据重要一席。 今天,要和大家讨论的是匿名技术中三位典型的代表:门罗币(Monero),大零币(Zcash)和古灵币(Grin)。究竟谁才是匿名之王?
一、前世与今生
门罗币(Monero)于2014年4月18日主网上线。其代码从匿名币 ByteCoin 分叉而来。为什么会分叉?因为 ByteCoin 不够透明,80% 的代币被预挖,掌握在少数人手里,这也是为什么币安下架这个代币的原因之一。同时 ByteCoin 的代码质量极差引起了社区完美主义者的极度不满。
Monero 一词在世界语中代表着“货币“,该命名由社区投票选出,表达了社区希望 Monero 成为全世界通用匿名货币的初衷。Monero 采用 PoW 共识算法,到2022年5月,预计将开采出 1822.3 万枚代币(目前流通量为 1700 万枚),之后将保持每分钟发行 0.3XMR 的速度来继续激励矿工维护网络的安全。在还没有太多匿名币竞争者的蛮荒时代(2014年-2016年),Monero 在黑市越来越流行,从最初的 500 万美金市值,一路攀升到现在的 15 亿美金,涨幅高达 300 倍。
大零币(Zcash) 于2016年10月28日主网上线。其前身为 Zerocash 零协议,该协议于 2014 年创立,并由霍普金斯,麻省理工等大学实验室维护。零协议着重解决数字货币隐私的问题。Zcash 是第一个基于零协议,实现了零知识认证(Zero Knowledge Proof)的匿名币。 Zcash 由比特币代码分叉而来,因此 Zcash 许多特性和比特币相似,例如:Zcash 总量为 2100 万个,每四年减产一次等等(目前流通量为 680 万枚)。
Zcash 这个项目由一家名为 Electric Coin 的美国公司维护。在 Zcash 被开采的前四年,10%(流通量) 挖出来的币(按照 200 美金价格计算,10% 一共是 1.36 亿美金)会进到这家公司的口袋,以维持公司的经营。这也直接导致了社区的不满,出现很多 Zcash 的分叉币,例如:Horizen,Zclassic 等等。值得一提的是,Zcash 因为其慢启动的设计,即开采初期挖矿难度非常的高,一个 Zcash 曾一度达到 3000BTC 一个的天价。真是心疼当年接盘的老铁啊,这辈子应该也无法解套了。另外大零币并非强制要求链上所有的交易都是匿名的,只有当你选择使用隐地址(Shielded Address)时候,交易才会匿名。
古灵币 Grin 于2019年1月15日主网上线。Grin 采用了 MimbleWimble 协议。2016年,MimbleWimble 协议由一位化名为伏地魔的 Tom Elvis Jedusor 的程序员在 Bitcointalk 提出,主要的目的是解决比特币扩容和隐私的问题。同年10月,论坛上另一位匿名开发者发布了基于 MimbleWimble 协议的第一个项目,并命名为 Grin。Grin 除了捐赠,没有进行任何形式的融资,没有私募,lCO,也没有任何预挖。
为了稳定 Grin 的价格,Grin 发行总量没有上限,每分钟出一个块,每个区块奖励 60 枚 Grin,区块奖励将会逐渐的降低 。按照此方法计算,目前流通的 Grin 大约有 1300 万枚 Grin,一年后将会生成 3000 万枚 Grin,30 年后将会生成 10 亿枚Grin。同时 Grin 的 PoW 使用了两种算法:主要算法 Cuckatoo31+(ASIC友好) 和次要算法 Cuckatoo29(抗ASIC) ,其目的是:在主网发布初期,90% 的区块将被 Cuckatoo29(抗ASIC) 挖出,因为 Grin 开发者认为,当网络算力很小时,矿工很容易掌握大部分的算力导致网络过于中心化。当主网络稳定,算力足够大时,Grin 的挖矿方式则会慢慢切换到主要算力(ASIC友好),目的是鼓励矿机生产厂商制造 Grin 矿机,增加全网算力,提高网络的安全性。
二、匿名技术
1.门罗币:关键词: 隐地址,环签名,机密交易,Korvi
隐地址(Stealth Address)的作用是隐藏收款人的地址,保护收款人的隐私。Stealth Address 工作的原理是:每当有交易发起, 都会随机的生成一个新的收款人地址。这样做的好处是,就算有多笔交易发送给同一个人,每笔交易的交易记录都显示不同的收款地址。这让外界不可能将这些交易记录联系到同一个收款人身上,从而保护了收款人的隐私。
环签名(Ring Signature)的作用是隐藏发送人的地址,保护发送人的隐私。从 Ring Signature 字面意思可以略知一二,那就是通过一群人形成一个环(圈子),每个在环(圈子)里面的人都有相同的地位和权力,环(圈子)里的任何人都可以授权交易。如果使用环签名授权交易,从外界的交易记录来看,无法确认具体是环(圈子)里哪个人授权的交易,从而保护了发送人的隐私。
机密交易(RCT)的作用是用来隐藏交易金额。RCT 全称为 Ring Confidential Transaction,在引入 RCT 之前,门罗币要求只能把交易金额一样的交易串成一个环,比如张三手上有 20 个门罗币想给李四转账 10 个,但是当前并没有 10 的环,那么张三只能把交易拆分成 3 的环和 7 的环。在引入 RCT 之后,如果张三拥有 20 个门罗,但只想转移 10 个门罗给李四,但是RCT 要求把交易分成 10+10 两部分,一部分直接转移给李四,另外一部分转移给张三自己,从而隐藏交易信息。
Korvi 的作用是用来隐藏交易双方的 IP 地址。Korvi 不是简单的 VPN 网络 。你可以把 Korvi 理解为门罗特有的中继网络。在 Korvi 每个网络节点之间,每笔交易都会被节点自己掌握的私钥进行加密。就好比 A 给 B 发送交易,在实际的 Korvi 网络中,数据包经过的路径为A->D->E->F->C->B 。如果你想拦截翻译 AB 之间的交易信息,你需要获取A,D,E,F,C,B所有人的授权和私钥,这是非常非常困难的,因为路径一直在动态地更改。
2.大零币:关键词:zk-SNARK,零知识证明
大零币基于 zk-SNARK 协议, 采用了 零知识证明( Zero Knowledge Proof)的方式来保护用户的隐私。零知识证明即能够证明自己某种权益,但又不把相关信息泄露出去,即给外界的知识为零的一种证明方式。零知识证明需要满足三个特性:完整性,可靠性和零知识性。为了方便大家理解。大白举一个例子:
假设:张三和李四参加了币安组织的交易大赛,大赛规定:一等奖获得 200 个 BNB,二等奖获得 100 个 BNB,三等奖获得 50 个 BNB,参与奖 10 个 BNB。
实际情况:李四获得了第二名(100BNB),张三只获得了第三名(50BNB)。
问题:张三和李四想知道对方是否和自己取得了一样的成绩,因为面子问题,又不想把自己的具体获奖情况泄露给对方。
零知识证明法:
张三准备了四个信箱和四把钥匙,持有这四个信箱钥匙分别代表张三获得一等奖,二等奖,三等奖和参与奖。根据实际情况(张三获得三等奖),张三按照规定毁掉了1号,2号,4号信箱的钥匙,保留了3号信箱的钥匙。
李四准备了四封空白的信,在四封信上画微笑分别代表李四获得一等奖,二等奖,三等奖和参与奖。李四按照规定在2号信上画了一个笑脸(李四获得二等奖),并将几封信依次投入张三准备的信箱。
第二天,张三自己用钥匙打开3号信箱,查看李四投信,发现信是空白,张三便知道李四没有和自己得同样的奖,并把信归还给李四。李四收到回信后,发现信上没有笑脸,李四便知道张三和自己没有获得相同的名次。
上述过程,便是零知识证明的一个典型例子,其证明过程中没有泄露给外界任何信息。
3.古灵币:关键词:MimbleWimble
MimbleWimble 来自于《哈利波特》中的一句咒语,目的是让被施咒的人无法开口说话,保护秘密。MimbleWimble 没有采用比特币的 UTXO 模型,因此可以省略大量历史数据的中间数据,比如:A-B-C-D,可以直接压缩为A-D,从而压缩了大量数据。MimbleWimble 协议中没有地址,参与交易的双方需共同创建一个用于交易的多重签名,并用私钥验证交易。所以在MimbleWimble 中,只需要验证 2 个事情:1:该交易没有凭空产生新的币。2:交易双方拥有其私钥的所有权。
MimbleWimble 巧妙地利用了椭圆密码学(Elliptic Curve Cryptography)满足乘法交换率和结合律的特性,来引入致盲因子从而模糊交易信息,举个例子:
引入致盲因子之前交易信息为:10+5=15
引入致盲因子5之后:10*5+5*5=15*5 即 50+25=75,
等式依然成立,但只有参与了交易的双方掌握了致盲因子的私钥,才能够得将致盲因子分解出来,得到交易信息。
可以说,匿名币这三巨头的技术可谓各有千秋,那么一个项目的成功光靠技术是不行的,我们再来从其他的维度来对比一下这三个老大哥,具体见下表:
三、小结
最后我们来总结下这三个匿名币各自的优势和劣势吧:
门罗币(Monero):
优势:
1.匿名货币的鼻祖,其核心技术经过了时间的考验。
2. 背后团队完全匿名,项目完全由社区治理。
3. 知名度高,已上线大部分顶级交易所,流动性非常好。
4. 已经开采了 95% 以上,未来通货膨胀率低于 1%。
劣势:
1. 市值较高。
大零币(Zcash):
优势:
1. 第一个基于零知识证明的匿名币。
2. 背后的公司拥有充足的资金以支持项目的发展。
3. 匿名非强制性。
劣势:
1. 项目由公司主导,财务不够公开透明。2020 年之后,10% 挖矿收益将不再支付给其背后的公司,那么该公司是否还有动力继续维护该项目?还是说放任不管,归还给社区?其背后的公司是一颗大雷。
2. 目前为止,Zcash 链上只有 20% 不到的交易为匿名交易,大部分还是公开的交易!!
古灵币(Grin):
优势:
1. MimbleWimble 技术创新 :占用空间小,交易速度快。
2. 社区主导,未接受任何形式的融资 ,不涉及复杂的利益关系。
劣势:
1. Grin 因为设计,没有地址,因此用户体验不是很友好。
2. Grin 在前期通货膨胀非常严重:每个块生产 60 个 Grin,按季度减少出块奖励,第一季度通货膨胀为 400%,第二季度为 200%,第三季度为 133.3%......十年后通货膨胀仍然高达 10%。
3. Grin 没有资金上大的交易所,只能等交易所强上,比较被动。
作者:希多说币 希多
Circle Research | MimbleWimble深度报告(下篇)
投研 • firstone 发表了文章 • 2019-03-28 11:40
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告下篇,主要讲述MW协议的具体用例及拓展等问题,相关原理背景可查看上篇文章,感谢支持!
MimbleWimble不是首个或唯一保护区块链隐私的方法。要对所有可用的隐私解决方案进行全面和深入的讨论超出了本报告的范围,但重要的是讨论替代方案。包括(但不限于)其他协议或底层匿名币(Zcash、Monero)、第二层隐私解决方案(Blockstream侧链)和交易层隐私(通过Samourai和Wasabi等钱包)。
匿名币
在Grin和Beam之前推出的2种匿名币是Zcash和Monero,这些币在协议层实现了匿名。Monero是一种基于CryptoNote协议的匿名币。Monero的一大优势是,默认情况下匿名。隐藏发送、接收地址和交易。Monero使用环形保密交易和隐蔽地址来实现匿名。环形签名会在交易中添加“诱饵”,而不会暴露哪些币经过签名,从而有效地混合了这些币。Monero的主要缺点是,即使使用了防弹技术,节省了大量空间,交易规模也是比特币交易的10倍。
Zcash的设计基于Zerocash协议。Zcash使用隐藏地址隐藏交易方,用zk-snark(一种零知识证明)隐藏交易金额。与Monero(以及基于mimblewimble的Grin和Beam)不同,Zcash默认不提供匿名性。在Zcash更新Sapling之前,创建一个保密交易需要大量的计算和时间。随着Sapling更新,隐藏交易所需的内存和时间减少了,这可能鼓励隐藏交易的使用。可选匿名性的另一个缺点是,隐藏交易可能被视为可疑。另一个受到批评的是Zcash信任设置。虽然Zooko Wilcox曾表示,破坏信任设置不会损害隐私,但比特币研究人员Peter Todd在与zk-snark开发者的交谈中表示反对。
侧链
侧链是一个通过双向锚定连接到一个基础层协议的独立区块链。双向锚定使得原来链上的币在验证过程中以固定比例与侧链资产交换。这些补充链可以支持基本层之外的其他特性和共识机制,以优化解决方案,包括但不仅限于匿名和扩容。比特币侧链公司Blockstream已经部署了一个这样的网络,最近推出的Liquid,默认情况下包含保密交易。Liquid使用一个由15个已知节点组成的小组(称为工作人员)来验证交易并生产区块,这以去中心化为代价加速了交易时间。虽然Liquid的治理更加中心化的,但是它解决了交易所遇到的特殊问题,例如赎回LBTC(Liquid的原生代币)。如果有单个网络节点宕机,这种模式将是非常有用的。此外,Liquid的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。Liquid的另一个缺点是,该平台的受信中介机构由Bitfinex和OKCoin等不受监管、历史上不安全的加密交易所组成。
匿名钱包
基于钱包的匿名解决方案(如Wasabi、Samourai或Breeze)的优势在于,它们可以在比特币(或其他币)的基础上构建,而无需更改底层协议。缺点是,如果没有在较短时间内找到匹配到资金,就会出现较小的匿名集和交易延迟。例如,Samourai的交错弹跳(Staggered Ricochet)可能需要2个小时才能到达接收方。此外,钱包对中心化平台的规则是匿名的。在2019年初,谷歌要求Samourai删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌应用商城的新规则。
尽管有很多增强隐私的方法,但这些技术尚处早期 (包括MimbleWimble、Grin和Beam)。每个人都有自己的权衡,目前还没有明确的答案来解决加密中的隐私问题。
Grin
Grin是MimbleWimble在编程语言Rust中的第一个开源实现。其白皮书由匿名开发者Ignotus Peverell于2016年10月20日发布。许多Grin核心开发者取了与哈利波特相关的绰号。Grin于2019年1月15日在主网上发布之前发布了4个测试网。无论过去还是现在,Grin备受加密社区赞扬,因为它与比特币相似,特别是它的匿名开发团队,公平发行(没有预挖矿、ICO或创始人奖励)和以捐赠为基础的资助模式。无论如何,Grin确实有几个显著特点:
· 货币政策:Grin被设计成一种交易媒介,而不是作为像比特币那样的价值储存手段。Grin的矿工奖励为60Grin/分钟(1Grin/秒)。早期会出现高通胀,但随着时间的推移,通胀会逐渐下降。
· 共识算法:在开始阶段,Grin将尝试通过使用两种PoW来实现去中心化,这两种算法都是Cuckoo Cycle的变形(一种是ASIC友好,另一种抗ASIC)。Cuckoo Cycle是一种新的、有争议的工作量证明算法;Handshake区块链白皮书描述了它的一些问题。
· 治理:Grin没有正式的治理流程,但有一个由8名成员组成的技术委员会,负责管理Grin的通用基金以及开发路线图,它还举行公开的治理和开发会议。
· 功能:Grin正在通过添加诸如无脚本脚本之类的功能来增强MimbleWimble协议,基于这样的功能来实现更复杂的「条件交易」功能。社区成员也在努力通过诸如grinbox和wallet713这样的解决方案来改善用户体验。
· 挑战:虽然Grin因其以捐赠为基础的资助模式而闻名,但依靠外部捐赠继续开发和改进也是一个挑战。此外,要使非技术用户使用Grin,还有很多工作要做。
自成立以来,Grin已在多家交易所上市,但它并没有请求上线交易所或支付上市费用。尽管社区乐于帮助交易所上线Grin,但Ignotus Peverell表示,他们“不会过多担心外部因素和(他们)无法真正控制的事情”。
挖矿算法
最初,Grin团队计划使用两种算法,一种是Cuckoo Cycle3 (John Tromp于2015年开发),另一种是Equihash算法Equigrin,该算法要求较高的内存。
由于对内存的需求,限制了CPU和高范围GPU的计算。在Cuckoo Cycle发展过程中,由于对静态随机存取存储器(SRAM)的要求,人们认为Cuckoo Cycle具有抗ASIC特性。受SRAM限制的算法使制造ASIC更加困难和昂贵。Cuckoo Cycle的创始人John Tromp说,“Cuckoo Cycle最初是为了让内存延迟成为瓶颈而设计的。现在,许多年过去了,我们意识到Cuckoo Cycle可以很好地利用…SRAM,在ASIC中使用SRAM相当便宜。我们期望ASIC比GPU具有更大的效率优势。”
2018年8月,社区承认(1)在现实中不可避免要使用ASIC,(2)在开始可能不利于启动分布式社区,但从长远来看并非坏事。相反,ASIC友好算法可以使网络更加安全,因为ASIC矿机增加了网络的哈希率,使攻击更加困难和昂贵。ASIC对于协议的长期成功是有好处的,因为投资了数千万美元的矿工在安全方面的诉求与协议保持一致。
另外,Derek Hsue认为,“任何产生持续抗ASIC的尝试都会产生秘密的ASIC芯片——这是有问题的。”
基于以上几点,Grin决定切换到由Cuckoo Cycle变形的工作量证明算法,这是,主要的ASIC友好(AF)算法和次要的抗ASIC(AR)算法,并逐步淘汰次要算法。Grin中的主要算法称为Cuckatoo31+,是Cuckoo Cycle的AF版本。被称为AF是因为它使用了数百MB的SRAM来提供比GPU更高的效率。第2种算法Cuckaroo29是一种内存硬AR PoW算法。然而,真正抗ASIC的唯一方法是进行有计划的硬分叉,不断调整算法(la Monero),使已生成的的ASIC作废。Grin将每6个月执行这样的分叉,以调整算法,以阻止该算法的ASIC生产,直到该算法在两年内逐步淘汰。
加密社区的一些成员密切关注Cuckoo Cycle算法的稳定性。John Tromp在2014年首次提出了这一概念,随着研究人员找到优化计算的方法,这一概念在短短时间内经历了数次修订。Cuckoo Cycle是基于图论问题。一个令人担忧的问题是,如果某个矿工比网络的其他矿工更快地计算出Cuckoo Cycle,那么它可能会获得优势。John Tromp认为,矿工的相对优势可能会随着迁移到更大的图论而增加。如果社区的其他成员实现相同的解决方案,这种优势就会消失。
一开始,Grin的结构是90%的区块用次算法挖矿,10%的区块用主算法挖矿。2年后,100%的区块将使用主算法进行挖矿。在未来2年,Cuckatoo31+(主算法)将获得更大比例的区块奖励,每月线性增长3.75%。Grin社区希望,到Cuckatoo31+占据100%的挖矿份额时,将出现多个ASIC制造商健康竞争的情况。Grin每经过60个区块窗口,会调整一次难度。
Grin矿池
miningpoolstats.com的数据显示,Cuckaroo29有15个矿池,Cuckatoo31+有11个矿池。在撰写本文时,前2个矿池星火矿池和鱼池)的算力之和是Cuckaroo29的82%,Cuckatoo31+的68%。星火矿池和鱼池都向Grin的开发者基金和通用基金提供了捐款。虽然算力似乎集中在矿池,但矿池由许多参与者组成,这些参与者可以选择离开矿池,并随意将其算力转移向其他地方。
第三大矿池是GrinMint,这是BlockCypher于2018年9月首次作为测试网推出的一个矿池,并于2019年1月在主网上推出。BlockCypher收取2.5%的费用,并表示将分配0.5%给Grin开发者社区。BlockCypher还有一位全职开发者为Grin工作(Quentin Le Sceller)。其他回馈Grin社区的矿池包括MimbleWimble Grin Pool和Grin -pool.org。
另一个值得批评的是,在Grin上线时,由风险资本支持的矿工控制了大量的算力。结果,原本是市场买家的投资人变成了加密货币的卖家。当矿池发现区块并获得挖矿奖励时,投资人会立即出售这些代币,因为其要以比特币支付矿工薪酬。
货币政策
Grin的线性发行率,以60Grin/分钟(1Grin/秒)的速率释放代币,供应无限。另一方面,比特币的硬顶为2100万,其供应通缩。每4年区块奖励减半,直到2140年左右达到接近0。该模型鼓励持有币,预期每枚币的价值会随着时间的推移而增加,使比特币作为一种价值储存手段变得有价值。
Grin的早期通胀率非常高,当有数百万枚币在流通,通胀率会随着时间的推移接近0,虽然它永远不会达到0。实际上,通胀率需要10年才能降到10%以下,25年才能降到4%(与2018年的比特币比率大致相同)。通胀率需要50年才能降到2%以下。然而在现实中,Grin团队认为,如果考虑币丢失的情况,通胀率将会降低。据团队称,每年丢失的币可能高达总供应量的2%,在计算通胀率时应将这部分排除在外。无限发行是缓解币丢失影响的一个潜在方案。
无限通货膨胀背后的另一个原因是,(1)与通缩相比,无论是否早期加入网络,通胀政策对参与者的回报和优惠更为公平(对于早期的矿工来说,这不是一个快速致富计划),和(2)如果预计明天的币价等同今天,它会更大的几率被用作交换媒介,这正是Grin的目标。由于币会被大幅稀释,短期到中期的高通胀会刺激消费,而非储蓄。社区认为,鼓励消费会扩大币的供应。
无限供应可以防止Grin最终只能依靠收费市场来确保网络安全——这也是比特币社区目前正在讨论/面临的挑战。一旦比特币的发行接近于0,该网络将必须转向仅收取交易费的模式,以奖励为保护比特币区块链而付出努力的矿工。这是一种新的区块链经济模式,但仍然会存在许多问题:1个区块打包多少交易?达到保护网络的每笔最低交易费是?以及旨在降低费用的第二层解决方案所带来的问题将如何影响底层区块链的安全性?
来源:grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者批评Grin的线性发行率没有上限,因为通胀降低了储蓄的购买力,这否定了将资产作为价值储存的观念。然而,Grin中的通胀是一种有意的设计,目的是鼓励消费,抢占币丢失问题的先机,并确保始终可以补偿那些保护网络安全的矿工。高通胀的一个不利之处是,区块奖励目前在总供应量中占相当大的比例,类似早期的比特币。由于矿池出售Grin奖励,换取比特币支付给矿工,可能会对比特币的价值产生负面影响。
治理
Grin的Lehnberg说:“治理是关于如何做出在参与者(参与决策的人)和利益相关者(受决策影响的人)看来合法的决策。目前Grin并没有一个明确的治理过程,但决策过程是透明的,并对社区开放。”
Grin有一个管理Grin通用基金并指导该项目发展的技术委员会。委员会成员包括Ignotus Peverell,Antioch Peverell,Hashmap, Jaspervdm,Lehnberg,Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner),John Tromp和Gary Yu。任何人都可以参加治理和开发会议,但通常最活跃的贡献者占据重要地位。
技术委员会每2周举行一次治理和开发会议,主题包括抗ASIC、筹资和指导资金使用、重大缺陷和漏洞、安全审计、交换集成、硬分叉等等。Grin还在Github页面上发布会议前后的议程、笔记和会议记录。在grin论坛上有一个关于治理的部分,其中有关于这个主题的帖子,表明社区正在积极思考如何从长远角度进行治理。
技术委员会使早期社区能快速和灵活地治理和开发,避免网络进程减慢。随着Grin的成长和成熟,人们一直在讨论建立一个更加结构化的治理过程,并进行检查和平衡。委员会成员和贡献者已明确表示,有必要确立一个更正式的流程:
· 为社区提供一种更结构化的方式来讨论和反馈
· 设置委员会的职权范围,以及向社区向委员会成员提供意见的规则。
· 所有利益相关方都可以提出自己的意见。包括核心开发者、一次性贡献者、矿工、用户、投资者、交易所等等。
缺点是,该委员会增加了中心化的因素,从长远来看,一个非官方的委员会不利于发展。一个例子是Burst PoCC,它的功能类似于Grin的技术委员会。有一天,他们对社区感到不满并意外退出,但仍然可以访问存储库、DNS注册等。他们还采取了其他恶意行为,如欺骗矿池和过早抛售,最终损害了Burst区块链。
融资
Grin是一个完全基于捐赠的开源项目。虽然它的发行很公平——没有ICO、预挖矿或创始人奖励,但缺点是开发和进展缓慢。Grin依靠无偿的兼职志愿者,为核心开发者基金、安全审计、营销和网络开发、会议等筹集捐款。
正如Tushar Jain指出,“没有资本主义的激励,发展将会被推迟。” Grin社区认识到了这一点。在通用基金页面上,他们说,“现实情况是,有了资金来源,将大大推动Grin的项目发展。这将使Grin更快、更稳定地发挥其潜力,有更好的基础设施支持,并有更大的机会与资金充足的区块链项目竞争(或共存)。”
Grin社区从2016年开始构建Grin,直到2019年1月才在主网上发布。MimbleWimble的另一个实现Beam(详见下方)——是一家由风投投资者支持的私人公司,从2018年初开始研发项目,并早于Grin一周推出。
此外,社区的核心开发者和贡献者Yeastplume (Michael Cordner),在最初难以筹集资金时,无法将全部精力投入Grin。只有在Ignotus Peverell对Cordner的募资活动(5.5万欧元)远未获得10%的资金表示失望之后,募资活动的捐款才开始上升。之后超额完成了筹资目标,在撰写本文时筹集了66,580欧元。
短期内依靠捐赠可能会奏效。然而,要维持发展并吸引人才加入该网络,Grin需要重新考虑其融资模式,因为它面临着资金充足、员工有薪项目的日益激烈竞争。
用户体验
如上所述,MimbleWimble去掉了地址。因此,发送方和接收方必须链下传递消息(称为“交易板”),交互式通信进行币的转让。有多种方法传递标准化的JSON消息。一种方法是文件传输,包含纯文本文件格式的JSON消息,可以通过多种方式传输(电子邮件、电报、Keybase、业余无线电、信鸽等),另一种方法是URL方法,其中API接受原始文本格式的JSON。
一组名为vault713的第三方开发者正在努力使Grin更加实用和更广泛采用。他们的第一个项目是交易协议Grinbox。这是一个消息中继服务,当与wallet713一起使用时,简化交易流程,wallet713由vault713的一个核心Grin钱包分叉而来,目前在Linux上运行。Grinbox和wallet713都旨在改进发送和存储Grin的流程。
首先,它们允许参与者创建公共地址来发送/接收资金,这样他们就不必公开IP地址。wallet713还允许用户将联系人姓名链接到其计算机本地存储的地址。此外,wallet713允许异步构建交易。vault713还在努力增加更多增强隐私和可用性的功能,如多签名支持、BTC和Grin之间的原子交换、在交易流入未确认交易池之前与其他wallet713用户联合使用CoinJoin、移动/网络/桌面GUI等等。
随着协议的成熟和人才的流入,将出现更多创建交易的方法。可能会出现基于NFC、QR、蓝牙等的近距离技术。最终,市场可能就一个方便且简单的方案达成一致,哪种方法能达成标准还有待时间考察。
Grin仅有几个月的历史,目前该协议最适合花时间和精力了解其工作原理的技术用户。虽然社区已经开始通过类似grinbox和wallet713来改善用户体验,但在让非技术用户舒服地在网络上交易之前,还需要时间进行迭代和教育。
结论
Grin最初吸引了密码朋克和密码无政府主义者,但其与比特币相似的精神也吸引了许多人。由于Grin匿名领导者、基于捐赠和草根性的资助模式、对隐私和去中心化的关注、以及其社区对推进项目而非快速赚钱的深切关注而受到赞扬。
但是主网上线只是Grin的第一步。要想让Grin获得长期成功并被广泛采用,还有大量工作要做。要解决的关键问题包括更可靠的筹资方式、更直观的用户体验以吸引更多用户进入网络,以及研究如何解决系统中的隐私漏洞(即监视节点创建交易图的能力)。
核心团队表示,其“主要关注点仍然是稳定性、性能和安全性。通过第三方开发团队将Grin集成到他们的服务和产品中来培育一个健康的生态系统,以提高采用和改进。”无需Grin核心开发者参与,相反,可由围绕Grin的生态系统的第三方开发者解决。
Grin仍然是一个非常新的项目,开创了未经测试的新思想、加密概念和技术。如果Grin解决关键挑战,就有可能成为一种将隐私交还给个人的方式。
Beam
Beam是一家由VC支持的初创公司,总部位于以色列,于2019年1月3日推出了一款基于MimbleWimble协议且专注于隐私的加密货币。它于2018年3月开始以C++做构建,并于2018年9月发布了测试网。虽然Beam和Grin的相似之处在于都是MimbleWimble的实现,旨在为用户增强隐私,但它们的方法不同。与Grin不同,Beam是一家雇佣开发者做开发的私营公司。Beam一开始是封闭其原始代码的,之后才开放。Beam的另一个重要区别是针对企业和监管机构的可选审计性。
· 货币政策:Beam的供应计划是通货紧缩,第1年后,区块奖励下降50%,之后每4年减半,直到达到2.63亿beam的硬顶。此外,20%区块奖励用作开发支付给Beam Treasury,以帮助为Beam未来的开发提供资金。
· 挖矿算法:Beam使用修改版的Equihash,一种工作量证明挖矿算法,提供网络共识。为了确保去中心化,Beam将在前12-18个月定期调整算法以抵抗ASIC。
· 治理:Beam目前是一家由VC支持的初创公司,拥有带薪员工。长期目标是将全面治理移交给管理Beam Treasury并维护协议的非盈利基金会。
· 功能:Beam正在添加一个可审计功能,这样企业就可以在不损害隐私的情况下证明其合规性并提供交易可见。Beam开发者还在探索一个安全的BBS系统,该系统将支持非交互式离线交易。
· 挑战:不断改进PoW协议是一项艰巨的任务,避免ASIC挖矿集成将使全网算力较低,从而网络攻击成本降低。此外,Beam目前是中心化的运营和治理结构,向更去中心化的模式转变需要避免所有投资方之间的权力斗争。
挖矿算法
Beam使用Equihash,这是卢森堡大学的Alex Biryukov和Dmitry Khovratovich创建的一种工作量证明算法。Equihash是一种基于广义生日问题的非对称内存约束算法。Equihash的另一个关键特性是随机挖矿,这意味着生成证明的可能性与过去的成功或失败无关。Equihash有2个参数可以调整:n(以位为单位的宽度)和k(长度),这2个参数决定了底层问题的复杂度,从而决定了算法的内存和时间复杂度。Beam上线时的Equihash参数:n=150, k=5。
Equihash在某种意义上是非对称的,因为它需要大量内存来生成一个证明,但不需要大量内存来验证它。这是Equihash的一个重要特性,因为大多数其他内存约束算法都对称,也就是说,验证证明与生成证明一样困难。内存限制指的是生成证明所花费的时间与内存而不是算力成比例。如果使用更少的内存,Equihash会不成比例地增加计算需求。
最初,内存是一种昂贵的资源,因此ASIC没有比常规CPU和GPU更好的内存优化。另一方面,ASIC比GPU有显著的带宽改进,而GPU又比CPU提供了显著的带宽改进。由于基础设施的改进,优化ASIC内存的成本低于预期。
Zcash也是一家专注于隐私的加密资产,也使用Equihash,最初选择Equihash是因为它抗ASIC。然而,比特大陆在2018年发布了蚂蚁矿机Z9mini,“通过与SRAM接口,以相对较低的成本”,比普通硬件更高效地开采Zcash。Beam在关于Equihash的帖子中强调,“卢森堡大学的研究人员发现,截至2018年5月,20%-30%的Equihash由ASIC挖矿。”
Beam表示,它已经设置了Equihash参数,让CPU和GPU矿工短期内比ASIC拥有优势,从而使币的初始分布更加广泛。然而,Beam认识到ASIC是不可避免的,甚至从长远来看是可取的,因为ASIC成本低廉,并且增加了网络哈希率,从而使其更安全,更难以攻击。
货币政策与融资
Beam的货币政策类似于比特币。特点是规定了一个硬顶和通缩发行计划,定期区块奖励减半(每开采一个区块可获得的代币数量减半),直到通胀率为0。因此,这家初创公司希望Beam能作为价值储存,而不是Grin这样的交换媒介。不过,比特币的相似之处就到此为止,然而,Beam的特殊之处还在于,Beam在第1年有更高的区块奖励,前5年区块奖励部分归于项目创始团队,出块时间为1分钟。
第1年,区块奖励为100 beam,高于通常的奖励,以激励矿工尽早加入网络,并将Beam引入市场。前5年收取20%(创始人费/开发税),所以第1年挖出的每个区块(包含100枚Beam),80枚将支付给矿工,20枚支付给Beam 基金会。在未来2到5年内,区块奖励减半至50枚beam,其中40枚beam支付给矿工,10枚beam支付给基金会。第6年,区块奖励将再次减半至25 枚beam(所有奖励都将支付给矿工),并在未来每4年减半一次,直到第129年。区块奖励将在第133年停止,届时Beam预计将拥有总计2.63亿beam的上限供应。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam采用了创始人奖励机制(也称为开发税),以回报投资者,并为正在进行的协议和工具开发提供财务激励。创始人奖励或费用是构建在区块链协议中的补充代码,该协议自动分割和发送区块奖励(coinbase交易)给区块矿工和创始人团队的地址。
这种方法显然不同于像ICO这样的预挖矿,或者像Dash这样的偷挖(insta-mine),给创始人一大笔流动资金作为报酬。尽管这2种方案都是早期团队成员所希望执行的,但这些报酬设计往往缺乏有效的资金管理或兑现计划。因此,在短期利益驱使下,资金挪用和骗局跑路的情况十分普遍。
创始人奖励则是指随着项目的发展逐渐补偿创始人。因此,初始的利益相关者更有动力去协调利益,维护网络的长期发展。Arjun Balaji指出:将奖励制度纳入协议,提供了透明且固有的资金分配和“以软或硬分叉降低退出摩擦”的自由。
创始人奖励结构最初是由Electric Coin Company(前身为Zcash Company)设计并推广。这家公司是专注于匿名加密资产Zcash的开发和维护Zacash的背后合资企业。起初,Zcash矿工只能获得80%区块奖励。剩下的20%将分配给Zcash基金会(一个支持Zcash开发的独立非盈利组织)、Electric Coin Company以及早期的Zcash开发者和顾问。继头4年之后,预先设定创始人奖励为0,以确保所有新发行的Zcash将全部归矿工直到达到2100万的硬顶。
Beam的融资模式与Zcash类似,在其早期阶段向Beam Treasury支付20%的创始人费。与Zcash不同的是,Beam将在头5年执行,包括第1年区块奖励为100Beam。在这5年结束时,应向Beam Treasury累计提供3150多万Beam。计划将35%的资金用于偿还早期投资者,另外45%的资金将分期偿还给核心团队成员和顾问。剩下的20%将用于支持Beam主权货币基金会(Beam Sovereign Money Foundation),这是该项目维护协议和治理的长期方案。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖励,Beam还从Recruit Co. LTD、Yeoman 's Capital和节点资本在内的各种风险投资基金筹集了500多万美元,用于聘请全职开发者来推进协议。这些投资者将定期获得Beam分期付款(创始人奖励的一部分),以协调每个利益相关者的利益。
Beam核心团队和早期投资者都认识到,更集中的努力将加快生产,并避免其它项目经常出现的长久不更新或主件延迟。因此,Beam的利益相关者选择了这种中心化的方法来指导项目度过初始阶段。随着Beam的不断成熟,其目标是实现更加去中心化的激励和治理结构,将区块奖励交给网络矿工,并将控制权交给社区。
不利的一面是,Beam没有让所有投资者平等参与。在主网上线之前就从投资者那里筹集资金,或者将部分资金分配给特定集团(即ICO、创始人奖励或预挖矿),都可能导致币的不平等分配。
与之相对的是与比特币和Grin类似的产品,在这些产品中,只能通过传统PoW挖矿获得加密资产。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络,挖出新的比特币或Grin。这样的发行往往会在网络用户之间展现出更公平的资金分配。
治理
目前Beam依靠一个位于特拉维夫的小型VC团队来确定所有协议更新和功能添加。因此,项目的组织结构更类似于私人创业公司,而不是大多数去中心化协议所显示的治理过程。这赋予Beam更能控制风险,以及快速转变和自由迭代,以满足市场需求,并加快其早期阶段的生产率。
Beam领导团队由首席执行官Alexander Saidelson、首席技术官Alex Romano、首席运营官Amir Aaronson和首席营销官Beni Issembert组成。其他核心成员主要由开发者以及一些设计人员和部门主管组成。该公司还从12位顾问那里获得见解,有OGroup首席执行官、通用电气(GE)新兴技术部门前首席信息官Maja Vujinovic和Genesis Mining首席执行官兼联合创始人Marco Streng。
随着协议的成熟,创始成员将把控制权从初始团队转移到Beam主权货币基金会(由杰出和受人尊敬的社区成员运营)。Beam认为,建立基金会将有助于实现其去中心化组织结构的目标。确定基金会职责和规则、纳入董事会成员的过程将在未来几个月进行,预计将于2019年底前启动。一旦基金会开始获得支持,当前的Beam公司计划转换为服务提供者的角色,在Beam协议的基础上构建最终用户应用程序。
大部分关于基金会的建立流程尚未公布,但已知的Beam基金会角色包括:
· 管理对Beam协议的改进提案和开发
· 资助和促进与Beam、MimbleWimble和蒲公英协议相关的研究
· 提高促进社区发展的意识
· 推动对数字货币和金融主权中对隐私重要性的认识
挑战
采用创业模式,Beam将面临与大多数创业公司相关的典型问题,并在缓和公众的看法,转向更去中心化的治理模式上处境更艰难。创业公司普遍失败率高,原因有很多,包括产品/市场不匹配、高消耗导致资金不足以及内部团队冲突。一个仅由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能陷整个项目于危境。
更艰巨的任务是获得足够的支持,以帮助将协议治理和开发工作从小型原始团队转移到整个社区。加密资产的一个重要评估指标是项目的去中心化程度,Beam有意延迟该指标。支持Beam策略的论点是项目早期“需要能够快速转动和迭代的自由”。用Arjun Balaji的话来说:“在早期优化去中心化的同时构建新型分布式网络几乎不可能”,因为这些目标本身就存在矛盾。
用户体验
Beam的钱包
Beam为非技术用户提供了图形用户界面(GUI)钱包,并为Mac、Windows和Linux提供了命令行界面(CLI)钱包。Beam桌面钱包创建了交易方可以彼此共享的公共地址。这些地址没有记录在区块链上。Beam最近还推出了Android手机钱包的测试版,并计划推出iOS手机钱包。该公司还表示,正在与硬件钱包供应商进行交流,以推出对Beam的支持。
SBBS
Beam试图通过使用安全公告牌系统(SBBS)使离线交易创建和异步通信更加无缝和安全。Beam的BBS是在上世纪80年代和90年代早期流行的电子公告板系统之后设计的。拥有家用电脑和调制解调器的用户可以通过固定电话与其他电脑连接,并在基于文本的公告牌系统(BBS)上留下信息,供他人查看。BBS主机是将计算机转换成地面数字会场。随着BBS变得越来越先进,用户可以玩基于文本的游戏,甚至可以方便地传输文件。
在Beam中,BBS钱包相当于家庭计算机加上调制解调器(它们是“客户端”),而Beam全节点相当于BBS主机(服务于服务器)。SBBS是节点软件的一部分,并且是链下维护。BBS全节点创建一个存储转发网络,将消息转发给脱机的接收方。消息使用公钥加密,然后通过Beam全节点转发到接收钱包。在这种情况下,公钥充当P2P系统中的地址。如果接收钱包离线, Beam的存储转发节点可以将消息存储在充当留言板的数据库中。参与者解密订阅留言板上的消息,但是只有具有相应私钥的参与者才能解密指向他们的消息。
Beam打算利用其钱包和SBBS,让用户体验类似于基于地址的区块链交易,并降低与基于MimbleWimble协议的加密资产交互的门槛。
Beam钱包面临的挑战
在1月9日发布后不久,Beam开发者就发现了钱包里的一个漏洞,这个漏洞会让用户的资金受到攻击。开发者发现他们在钱包代码中留下了一些不该留存的内容。虽然Beam在发布之前进行了多次代码审查和审计,但主要关注的是Beam加密实现的稳定性,这表明在审计钱包和SBBS时可能没有采用同样的严格标准。Beam宣布,补丁是在内部发现并修复的,没有资金被盗。建议用户卸载钱包,并从Beam网站重新下载更新后的版本。
1月21日,Beam出现了另一个问题,导致区块链在25,709区块暂停生产。原因是钱包使用不当。更具体地说,通过钱包克隆,单个交易中相同的UTXO发送到区块链上。这导致“不正确的核销处理,最终导致无效区块”。Beam在将近3个小时内没有生成区块,在大约5个小时内没有处理交易。
可审计性
Beam的一个关键区别在于,它专注于服务业务。除了MimbleWimble可能带来的改进之外,Beam还开发了一个可选合规和可审计功能(钱包审计或商业钱包),以帮助企业遵守法规并执行所需的审计。这允许企业创建一个附加审计员密钥的钱包,以便审计员识别由商业钱包创建的区块链上的标记交易。有了可选合规的功能,交易仍然匿名,而如果用户有需要,可以向审计人员报告。这为常规业务打开了加密资产的应用场景。
根据Zaidelson的说法,虽然实际的信息将由钱包生成并链下存储,但是区块链会将每个交易的信息引用存储为哈希值。Beam区块链不存储历史交易细节——它只存储引用过去交易的交易内核。在这次采访中,Zaidelson说Beam“可以用这个内核来存储额外的编码信息……包括发票或收据等压缩文件的哈希值。当用户进行审计时,审计人员可以检查数据是否与数据的加密哈希值匹配。
由于这个功能还在开发中,使它的实践具有不确定性。如果它成功了就可能会解决企业的一大痛点。一方面,像比特币这样的加密资产以向竞争对手披露保密信息为代价,提供了完全的透明度和可审计。另一方面,Zcash和Monero等加密资产中的匿名功能可以隐藏所有交易的痕迹,从而禁止任何类型的审计。
可审计性的挑战在于,企业必须安全地存储与哈希值对应的数据。此外,企业需要相信审计员不会与未经授权查看数据的其他方共享审计员密钥。虽然Beam可以创建一种共享私有数据的方法,但是审计人员可能不知道如何审计标记在Beam区块链上的交易。理论上,他们可以将这一功能外包出去,但这将扩大接触敏感数据的人群。
路线图
在主网上发布后不久,Beam发布了2019年的全面路线图。它分为2大类别,Beam Core(专注于改进和推进Beam核心协议)和Beam Compliance(专注于启动和迭代Beam对业务的合规性和可审核性计划)。长期来看,Beam已经的了一个名为“Lumini”的项目,将致力于在Beam和其他一些智能合同区块链(s)之间建立一座桥梁,并在Beam上推出保密资产。
Beam Core
Beam Core分为5个阶段——Agile Atom、Bright Boson、Clear Cathode、Double Doppler、和Eager Electron。路线图的亮点包括年底之前部署闪电网络作为第二层解决方案,实现Beam的快速支付,2019年3月以前推出Beam与比特币原子互换,按计划执行2个硬分叉来调整Equihash挖矿算法以抵抗ASIC,详细参加下图。我们认为Beam首先必须推出智能合约和多签名功能(例如,通过无脚本脚本)来支持第二层解决方案,如闪电网络。
Beam合规
Beam合规性跟踪的主要目标是使Beam商业可用。Beam计划在其合规套件中增添一个“合规钱包”和一个“监管界面”,预计将针对具体国家的监管规定量身定制,目前暂定的上线日期是2020年。
结论
Beam采用了一种商业方法来构建一种价值储存匿名币。它有VC支持,并有全身心投入项目的带薪员工。因此,Beam能在不到一年的时间里从开发到上线。在Beam钱包和安全消息系统方面明确关注用户体验和易用性。另一方面,它的桌面钱包已经出现了一些小问题,可能会导致资金损失,这对如此年轻的项目可能有害。
Beam在其2019年路线图中概述了大型计划,包括在Beam上建立闪电网络,以及为企业和监管机构提供可审计的解决方案。Beam的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了内置选项。然而,Beam的合规性和可审计性方案尚未推出,可能会开放其他攻击向量。Beam有雄心勃勃的目标,在发布到主网之前,应该对这些目标进行彻底的测试,以避免粗心大意的错误导致用户资金或数据受损。如果Beam能够实现其计划,它将提供一组独特的功能,为业务用户解决明显的问题。
回顾
MimbleWimble的新颖之处在于,它通过协议版本的保密交易、CoinJoin和区块内和区块间的核销组合,增强隐私和效率,使更多设备参与保护网络。
Grin和Beam都是MimbleWimble的实现,但它们的相似性仅限于此。Ignotus Peverell (Grin的创始人)指出,“一个常见的误解是,MimbleWimble描述了一个完整的加密货币解决方案,因此往往把Beam和(Grin)相提并论。”
虽然这两个项目都旨在为用户改进隐私和效率,但它们在大部分技术、结构和组织上存在差异。引发最多讨论的是Grin的捐赠和志愿者驱动/密码朋克式(类似于比特币和Monero)的可持续性,与Beam的VC支持的初创公司方法(类似于Zcash)的创始人奖励和付费员工的可持续性。时间会证明哪种方法更好。在此之前,看看这些项目如何相互作用并相互学习将是一件有趣的事情。
想要获取更多区块链项目资讯,欢迎添加助手微信号:go-first-one 查看全部
MimbleWimble不是首个或唯一保护区块链隐私的方法。要对所有可用的隐私解决方案进行全面和深入的讨论超出了本报告的范围,但重要的是讨论替代方案。包括(但不限于)其他协议或底层匿名币(Zcash、Monero)、第二层隐私解决方案(Blockstream侧链)和交易层隐私(通过Samourai和Wasabi等钱包)。
匿名币
在Grin和Beam之前推出的2种匿名币是Zcash和Monero,这些币在协议层实现了匿名。Monero是一种基于CryptoNote协议的匿名币。Monero的一大优势是,默认情况下匿名。隐藏发送、接收地址和交易。Monero使用环形保密交易和隐蔽地址来实现匿名。环形签名会在交易中添加“诱饵”,而不会暴露哪些币经过签名,从而有效地混合了这些币。Monero的主要缺点是,即使使用了防弹技术,节省了大量空间,交易规模也是比特币交易的10倍。
Zcash的设计基于Zerocash协议。Zcash使用隐藏地址隐藏交易方,用zk-snark(一种零知识证明)隐藏交易金额。与Monero(以及基于mimblewimble的Grin和Beam)不同,Zcash默认不提供匿名性。在Zcash更新Sapling之前,创建一个保密交易需要大量的计算和时间。随着Sapling更新,隐藏交易所需的内存和时间减少了,这可能鼓励隐藏交易的使用。可选匿名性的另一个缺点是,隐藏交易可能被视为可疑。另一个受到批评的是Zcash信任设置。虽然Zooko Wilcox曾表示,破坏信任设置不会损害隐私,但比特币研究人员Peter Todd在与zk-snark开发者的交谈中表示反对。
侧链
侧链是一个通过双向锚定连接到一个基础层协议的独立区块链。双向锚定使得原来链上的币在验证过程中以固定比例与侧链资产交换。这些补充链可以支持基本层之外的其他特性和共识机制,以优化解决方案,包括但不仅限于匿名和扩容。比特币侧链公司Blockstream已经部署了一个这样的网络,最近推出的Liquid,默认情况下包含保密交易。Liquid使用一个由15个已知节点组成的小组(称为工作人员)来验证交易并生产区块,这以去中心化为代价加速了交易时间。虽然Liquid的治理更加中心化的,但是它解决了交易所遇到的特殊问题,例如赎回LBTC(Liquid的原生代币)。如果有单个网络节点宕机,这种模式将是非常有用的。此外,Liquid的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。Liquid的另一个缺点是,该平台的受信中介机构由Bitfinex和OKCoin等不受监管、历史上不安全的加密交易所组成。
匿名钱包
基于钱包的匿名解决方案(如Wasabi、Samourai或Breeze)的优势在于,它们可以在比特币(或其他币)的基础上构建,而无需更改底层协议。缺点是,如果没有在较短时间内找到匹配到资金,就会出现较小的匿名集和交易延迟。例如,Samourai的交错弹跳(Staggered Ricochet)可能需要2个小时才能到达接收方。此外,钱包对中心化平台的规则是匿名的。在2019年初,谷歌要求Samourai删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌应用商城的新规则。
尽管有很多增强隐私的方法,但这些技术尚处早期 (包括MimbleWimble、Grin和Beam)。每个人都有自己的权衡,目前还没有明确的答案来解决加密中的隐私问题。
Grin
Grin是MimbleWimble在编程语言Rust中的第一个开源实现。其白皮书由匿名开发者Ignotus Peverell于2016年10月20日发布。许多Grin核心开发者取了与哈利波特相关的绰号。Grin于2019年1月15日在主网上发布之前发布了4个测试网。无论过去还是现在,Grin备受加密社区赞扬,因为它与比特币相似,特别是它的匿名开发团队,公平发行(没有预挖矿、ICO或创始人奖励)和以捐赠为基础的资助模式。无论如何,Grin确实有几个显著特点:
· 货币政策:Grin被设计成一种交易媒介,而不是作为像比特币那样的价值储存手段。Grin的矿工奖励为60Grin/分钟(1Grin/秒)。早期会出现高通胀,但随着时间的推移,通胀会逐渐下降。
· 共识算法:在开始阶段,Grin将尝试通过使用两种PoW来实现去中心化,这两种算法都是Cuckoo Cycle的变形(一种是ASIC友好,另一种抗ASIC)。Cuckoo Cycle是一种新的、有争议的工作量证明算法;Handshake区块链白皮书描述了它的一些问题。
· 治理:Grin没有正式的治理流程,但有一个由8名成员组成的技术委员会,负责管理Grin的通用基金以及开发路线图,它还举行公开的治理和开发会议。
· 功能:Grin正在通过添加诸如无脚本脚本之类的功能来增强MimbleWimble协议,基于这样的功能来实现更复杂的「条件交易」功能。社区成员也在努力通过诸如grinbox和wallet713这样的解决方案来改善用户体验。
· 挑战:虽然Grin因其以捐赠为基础的资助模式而闻名,但依靠外部捐赠继续开发和改进也是一个挑战。此外,要使非技术用户使用Grin,还有很多工作要做。
自成立以来,Grin已在多家交易所上市,但它并没有请求上线交易所或支付上市费用。尽管社区乐于帮助交易所上线Grin,但Ignotus Peverell表示,他们“不会过多担心外部因素和(他们)无法真正控制的事情”。
挖矿算法
最初,Grin团队计划使用两种算法,一种是Cuckoo Cycle3 (John Tromp于2015年开发),另一种是Equihash算法Equigrin,该算法要求较高的内存。
由于对内存的需求,限制了CPU和高范围GPU的计算。在Cuckoo Cycle发展过程中,由于对静态随机存取存储器(SRAM)的要求,人们认为Cuckoo Cycle具有抗ASIC特性。受SRAM限制的算法使制造ASIC更加困难和昂贵。Cuckoo Cycle的创始人John Tromp说,“Cuckoo Cycle最初是为了让内存延迟成为瓶颈而设计的。现在,许多年过去了,我们意识到Cuckoo Cycle可以很好地利用…SRAM,在ASIC中使用SRAM相当便宜。我们期望ASIC比GPU具有更大的效率优势。”
2018年8月,社区承认(1)在现实中不可避免要使用ASIC,(2)在开始可能不利于启动分布式社区,但从长远来看并非坏事。相反,ASIC友好算法可以使网络更加安全,因为ASIC矿机增加了网络的哈希率,使攻击更加困难和昂贵。ASIC对于协议的长期成功是有好处的,因为投资了数千万美元的矿工在安全方面的诉求与协议保持一致。
另外,Derek Hsue认为,“任何产生持续抗ASIC的尝试都会产生秘密的ASIC芯片——这是有问题的。”
基于以上几点,Grin决定切换到由Cuckoo Cycle变形的工作量证明算法,这是,主要的ASIC友好(AF)算法和次要的抗ASIC(AR)算法,并逐步淘汰次要算法。Grin中的主要算法称为Cuckatoo31+,是Cuckoo Cycle的AF版本。被称为AF是因为它使用了数百MB的SRAM来提供比GPU更高的效率。第2种算法Cuckaroo29是一种内存硬AR PoW算法。然而,真正抗ASIC的唯一方法是进行有计划的硬分叉,不断调整算法(la Monero),使已生成的的ASIC作废。Grin将每6个月执行这样的分叉,以调整算法,以阻止该算法的ASIC生产,直到该算法在两年内逐步淘汰。
加密社区的一些成员密切关注Cuckoo Cycle算法的稳定性。John Tromp在2014年首次提出了这一概念,随着研究人员找到优化计算的方法,这一概念在短短时间内经历了数次修订。Cuckoo Cycle是基于图论问题。一个令人担忧的问题是,如果某个矿工比网络的其他矿工更快地计算出Cuckoo Cycle,那么它可能会获得优势。John Tromp认为,矿工的相对优势可能会随着迁移到更大的图论而增加。如果社区的其他成员实现相同的解决方案,这种优势就会消失。
一开始,Grin的结构是90%的区块用次算法挖矿,10%的区块用主算法挖矿。2年后,100%的区块将使用主算法进行挖矿。在未来2年,Cuckatoo31+(主算法)将获得更大比例的区块奖励,每月线性增长3.75%。Grin社区希望,到Cuckatoo31+占据100%的挖矿份额时,将出现多个ASIC制造商健康竞争的情况。Grin每经过60个区块窗口,会调整一次难度。
Grin矿池
miningpoolstats.com的数据显示,Cuckaroo29有15个矿池,Cuckatoo31+有11个矿池。在撰写本文时,前2个矿池星火矿池和鱼池)的算力之和是Cuckaroo29的82%,Cuckatoo31+的68%。星火矿池和鱼池都向Grin的开发者基金和通用基金提供了捐款。虽然算力似乎集中在矿池,但矿池由许多参与者组成,这些参与者可以选择离开矿池,并随意将其算力转移向其他地方。
第三大矿池是GrinMint,这是BlockCypher于2018年9月首次作为测试网推出的一个矿池,并于2019年1月在主网上推出。BlockCypher收取2.5%的费用,并表示将分配0.5%给Grin开发者社区。BlockCypher还有一位全职开发者为Grin工作(Quentin Le Sceller)。其他回馈Grin社区的矿池包括MimbleWimble Grin Pool和Grin -pool.org。
另一个值得批评的是,在Grin上线时,由风险资本支持的矿工控制了大量的算力。结果,原本是市场买家的投资人变成了加密货币的卖家。当矿池发现区块并获得挖矿奖励时,投资人会立即出售这些代币,因为其要以比特币支付矿工薪酬。
货币政策
Grin的线性发行率,以60Grin/分钟(1Grin/秒)的速率释放代币,供应无限。另一方面,比特币的硬顶为2100万,其供应通缩。每4年区块奖励减半,直到2140年左右达到接近0。该模型鼓励持有币,预期每枚币的价值会随着时间的推移而增加,使比特币作为一种价值储存手段变得有价值。
Grin的早期通胀率非常高,当有数百万枚币在流通,通胀率会随着时间的推移接近0,虽然它永远不会达到0。实际上,通胀率需要10年才能降到10%以下,25年才能降到4%(与2018年的比特币比率大致相同)。通胀率需要50年才能降到2%以下。然而在现实中,Grin团队认为,如果考虑币丢失的情况,通胀率将会降低。据团队称,每年丢失的币可能高达总供应量的2%,在计算通胀率时应将这部分排除在外。无限发行是缓解币丢失影响的一个潜在方案。
无限通货膨胀背后的另一个原因是,(1)与通缩相比,无论是否早期加入网络,通胀政策对参与者的回报和优惠更为公平(对于早期的矿工来说,这不是一个快速致富计划),和(2)如果预计明天的币价等同今天,它会更大的几率被用作交换媒介,这正是Grin的目标。由于币会被大幅稀释,短期到中期的高通胀会刺激消费,而非储蓄。社区认为,鼓励消费会扩大币的供应。
无限供应可以防止Grin最终只能依靠收费市场来确保网络安全——这也是比特币社区目前正在讨论/面临的挑战。一旦比特币的发行接近于0,该网络将必须转向仅收取交易费的模式,以奖励为保护比特币区块链而付出努力的矿工。这是一种新的区块链经济模式,但仍然会存在许多问题:1个区块打包多少交易?达到保护网络的每笔最低交易费是?以及旨在降低费用的第二层解决方案所带来的问题将如何影响底层区块链的安全性?
来源:grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者批评Grin的线性发行率没有上限,因为通胀降低了储蓄的购买力,这否定了将资产作为价值储存的观念。然而,Grin中的通胀是一种有意的设计,目的是鼓励消费,抢占币丢失问题的先机,并确保始终可以补偿那些保护网络安全的矿工。高通胀的一个不利之处是,区块奖励目前在总供应量中占相当大的比例,类似早期的比特币。由于矿池出售Grin奖励,换取比特币支付给矿工,可能会对比特币的价值产生负面影响。
治理
Grin的Lehnberg说:“治理是关于如何做出在参与者(参与决策的人)和利益相关者(受决策影响的人)看来合法的决策。目前Grin并没有一个明确的治理过程,但决策过程是透明的,并对社区开放。”
Grin有一个管理Grin通用基金并指导该项目发展的技术委员会。委员会成员包括Ignotus Peverell,Antioch Peverell,Hashmap, Jaspervdm,Lehnberg,Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner),John Tromp和Gary Yu。任何人都可以参加治理和开发会议,但通常最活跃的贡献者占据重要地位。
技术委员会每2周举行一次治理和开发会议,主题包括抗ASIC、筹资和指导资金使用、重大缺陷和漏洞、安全审计、交换集成、硬分叉等等。Grin还在Github页面上发布会议前后的议程、笔记和会议记录。在grin论坛上有一个关于治理的部分,其中有关于这个主题的帖子,表明社区正在积极思考如何从长远角度进行治理。
技术委员会使早期社区能快速和灵活地治理和开发,避免网络进程减慢。随着Grin的成长和成熟,人们一直在讨论建立一个更加结构化的治理过程,并进行检查和平衡。委员会成员和贡献者已明确表示,有必要确立一个更正式的流程:
· 为社区提供一种更结构化的方式来讨论和反馈
· 设置委员会的职权范围,以及向社区向委员会成员提供意见的规则。
· 所有利益相关方都可以提出自己的意见。包括核心开发者、一次性贡献者、矿工、用户、投资者、交易所等等。
缺点是,该委员会增加了中心化的因素,从长远来看,一个非官方的委员会不利于发展。一个例子是Burst PoCC,它的功能类似于Grin的技术委员会。有一天,他们对社区感到不满并意外退出,但仍然可以访问存储库、DNS注册等。他们还采取了其他恶意行为,如欺骗矿池和过早抛售,最终损害了Burst区块链。
融资
Grin是一个完全基于捐赠的开源项目。虽然它的发行很公平——没有ICO、预挖矿或创始人奖励,但缺点是开发和进展缓慢。Grin依靠无偿的兼职志愿者,为核心开发者基金、安全审计、营销和网络开发、会议等筹集捐款。
正如Tushar Jain指出,“没有资本主义的激励,发展将会被推迟。” Grin社区认识到了这一点。在通用基金页面上,他们说,“现实情况是,有了资金来源,将大大推动Grin的项目发展。这将使Grin更快、更稳定地发挥其潜力,有更好的基础设施支持,并有更大的机会与资金充足的区块链项目竞争(或共存)。”
Grin社区从2016年开始构建Grin,直到2019年1月才在主网上发布。MimbleWimble的另一个实现Beam(详见下方)——是一家由风投投资者支持的私人公司,从2018年初开始研发项目,并早于Grin一周推出。
此外,社区的核心开发者和贡献者Yeastplume (Michael Cordner),在最初难以筹集资金时,无法将全部精力投入Grin。只有在Ignotus Peverell对Cordner的募资活动(5.5万欧元)远未获得10%的资金表示失望之后,募资活动的捐款才开始上升。之后超额完成了筹资目标,在撰写本文时筹集了66,580欧元。
短期内依靠捐赠可能会奏效。然而,要维持发展并吸引人才加入该网络,Grin需要重新考虑其融资模式,因为它面临着资金充足、员工有薪项目的日益激烈竞争。
用户体验
如上所述,MimbleWimble去掉了地址。因此,发送方和接收方必须链下传递消息(称为“交易板”),交互式通信进行币的转让。有多种方法传递标准化的JSON消息。一种方法是文件传输,包含纯文本文件格式的JSON消息,可以通过多种方式传输(电子邮件、电报、Keybase、业余无线电、信鸽等),另一种方法是URL方法,其中API接受原始文本格式的JSON。
一组名为vault713的第三方开发者正在努力使Grin更加实用和更广泛采用。他们的第一个项目是交易协议Grinbox。这是一个消息中继服务,当与wallet713一起使用时,简化交易流程,wallet713由vault713的一个核心Grin钱包分叉而来,目前在Linux上运行。Grinbox和wallet713都旨在改进发送和存储Grin的流程。
首先,它们允许参与者创建公共地址来发送/接收资金,这样他们就不必公开IP地址。wallet713还允许用户将联系人姓名链接到其计算机本地存储的地址。此外,wallet713允许异步构建交易。vault713还在努力增加更多增强隐私和可用性的功能,如多签名支持、BTC和Grin之间的原子交换、在交易流入未确认交易池之前与其他wallet713用户联合使用CoinJoin、移动/网络/桌面GUI等等。
随着协议的成熟和人才的流入,将出现更多创建交易的方法。可能会出现基于NFC、QR、蓝牙等的近距离技术。最终,市场可能就一个方便且简单的方案达成一致,哪种方法能达成标准还有待时间考察。
Grin仅有几个月的历史,目前该协议最适合花时间和精力了解其工作原理的技术用户。虽然社区已经开始通过类似grinbox和wallet713来改善用户体验,但在让非技术用户舒服地在网络上交易之前,还需要时间进行迭代和教育。
结论
Grin最初吸引了密码朋克和密码无政府主义者,但其与比特币相似的精神也吸引了许多人。由于Grin匿名领导者、基于捐赠和草根性的资助模式、对隐私和去中心化的关注、以及其社区对推进项目而非快速赚钱的深切关注而受到赞扬。
但是主网上线只是Grin的第一步。要想让Grin获得长期成功并被广泛采用,还有大量工作要做。要解决的关键问题包括更可靠的筹资方式、更直观的用户体验以吸引更多用户进入网络,以及研究如何解决系统中的隐私漏洞(即监视节点创建交易图的能力)。
核心团队表示,其“主要关注点仍然是稳定性、性能和安全性。通过第三方开发团队将Grin集成到他们的服务和产品中来培育一个健康的生态系统,以提高采用和改进。”无需Grin核心开发者参与,相反,可由围绕Grin的生态系统的第三方开发者解决。
Grin仍然是一个非常新的项目,开创了未经测试的新思想、加密概念和技术。如果Grin解决关键挑战,就有可能成为一种将隐私交还给个人的方式。
Beam
Beam是一家由VC支持的初创公司,总部位于以色列,于2019年1月3日推出了一款基于MimbleWimble协议且专注于隐私的加密货币。它于2018年3月开始以C++做构建,并于2018年9月发布了测试网。虽然Beam和Grin的相似之处在于都是MimbleWimble的实现,旨在为用户增强隐私,但它们的方法不同。与Grin不同,Beam是一家雇佣开发者做开发的私营公司。Beam一开始是封闭其原始代码的,之后才开放。Beam的另一个重要区别是针对企业和监管机构的可选审计性。
· 货币政策:Beam的供应计划是通货紧缩,第1年后,区块奖励下降50%,之后每4年减半,直到达到2.63亿beam的硬顶。此外,20%区块奖励用作开发支付给Beam Treasury,以帮助为Beam未来的开发提供资金。
· 挖矿算法:Beam使用修改版的Equihash,一种工作量证明挖矿算法,提供网络共识。为了确保去中心化,Beam将在前12-18个月定期调整算法以抵抗ASIC。
· 治理:Beam目前是一家由VC支持的初创公司,拥有带薪员工。长期目标是将全面治理移交给管理Beam Treasury并维护协议的非盈利基金会。
· 功能:Beam正在添加一个可审计功能,这样企业就可以在不损害隐私的情况下证明其合规性并提供交易可见。Beam开发者还在探索一个安全的BBS系统,该系统将支持非交互式离线交易。
· 挑战:不断改进PoW协议是一项艰巨的任务,避免ASIC挖矿集成将使全网算力较低,从而网络攻击成本降低。此外,Beam目前是中心化的运营和治理结构,向更去中心化的模式转变需要避免所有投资方之间的权力斗争。
挖矿算法
Beam使用Equihash,这是卢森堡大学的Alex Biryukov和Dmitry Khovratovich创建的一种工作量证明算法。Equihash是一种基于广义生日问题的非对称内存约束算法。Equihash的另一个关键特性是随机挖矿,这意味着生成证明的可能性与过去的成功或失败无关。Equihash有2个参数可以调整:n(以位为单位的宽度)和k(长度),这2个参数决定了底层问题的复杂度,从而决定了算法的内存和时间复杂度。Beam上线时的Equihash参数:n=150, k=5。
Equihash在某种意义上是非对称的,因为它需要大量内存来生成一个证明,但不需要大量内存来验证它。这是Equihash的一个重要特性,因为大多数其他内存约束算法都对称,也就是说,验证证明与生成证明一样困难。内存限制指的是生成证明所花费的时间与内存而不是算力成比例。如果使用更少的内存,Equihash会不成比例地增加计算需求。
最初,内存是一种昂贵的资源,因此ASIC没有比常规CPU和GPU更好的内存优化。另一方面,ASIC比GPU有显著的带宽改进,而GPU又比CPU提供了显著的带宽改进。由于基础设施的改进,优化ASIC内存的成本低于预期。
Zcash也是一家专注于隐私的加密资产,也使用Equihash,最初选择Equihash是因为它抗ASIC。然而,比特大陆在2018年发布了蚂蚁矿机Z9mini,“通过与SRAM接口,以相对较低的成本”,比普通硬件更高效地开采Zcash。Beam在关于Equihash的帖子中强调,“卢森堡大学的研究人员发现,截至2018年5月,20%-30%的Equihash由ASIC挖矿。”
Beam表示,它已经设置了Equihash参数,让CPU和GPU矿工短期内比ASIC拥有优势,从而使币的初始分布更加广泛。然而,Beam认识到ASIC是不可避免的,甚至从长远来看是可取的,因为ASIC成本低廉,并且增加了网络哈希率,从而使其更安全,更难以攻击。
货币政策与融资
Beam的货币政策类似于比特币。特点是规定了一个硬顶和通缩发行计划,定期区块奖励减半(每开采一个区块可获得的代币数量减半),直到通胀率为0。因此,这家初创公司希望Beam能作为价值储存,而不是Grin这样的交换媒介。不过,比特币的相似之处就到此为止,然而,Beam的特殊之处还在于,Beam在第1年有更高的区块奖励,前5年区块奖励部分归于项目创始团队,出块时间为1分钟。
第1年,区块奖励为100 beam,高于通常的奖励,以激励矿工尽早加入网络,并将Beam引入市场。前5年收取20%(创始人费/开发税),所以第1年挖出的每个区块(包含100枚Beam),80枚将支付给矿工,20枚支付给Beam 基金会。在未来2到5年内,区块奖励减半至50枚beam,其中40枚beam支付给矿工,10枚beam支付给基金会。第6年,区块奖励将再次减半至25 枚beam(所有奖励都将支付给矿工),并在未来每4年减半一次,直到第129年。区块奖励将在第133年停止,届时Beam预计将拥有总计2.63亿beam的上限供应。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam采用了创始人奖励机制(也称为开发税),以回报投资者,并为正在进行的协议和工具开发提供财务激励。创始人奖励或费用是构建在区块链协议中的补充代码,该协议自动分割和发送区块奖励(coinbase交易)给区块矿工和创始人团队的地址。
这种方法显然不同于像ICO这样的预挖矿,或者像Dash这样的偷挖(insta-mine),给创始人一大笔流动资金作为报酬。尽管这2种方案都是早期团队成员所希望执行的,但这些报酬设计往往缺乏有效的资金管理或兑现计划。因此,在短期利益驱使下,资金挪用和骗局跑路的情况十分普遍。
创始人奖励则是指随着项目的发展逐渐补偿创始人。因此,初始的利益相关者更有动力去协调利益,维护网络的长期发展。Arjun Balaji指出:将奖励制度纳入协议,提供了透明且固有的资金分配和“以软或硬分叉降低退出摩擦”的自由。
创始人奖励结构最初是由Electric Coin Company(前身为Zcash Company)设计并推广。这家公司是专注于匿名加密资产Zcash的开发和维护Zacash的背后合资企业。起初,Zcash矿工只能获得80%区块奖励。剩下的20%将分配给Zcash基金会(一个支持Zcash开发的独立非盈利组织)、Electric Coin Company以及早期的Zcash开发者和顾问。继头4年之后,预先设定创始人奖励为0,以确保所有新发行的Zcash将全部归矿工直到达到2100万的硬顶。
Beam的融资模式与Zcash类似,在其早期阶段向Beam Treasury支付20%的创始人费。与Zcash不同的是,Beam将在头5年执行,包括第1年区块奖励为100Beam。在这5年结束时,应向Beam Treasury累计提供3150多万Beam。计划将35%的资金用于偿还早期投资者,另外45%的资金将分期偿还给核心团队成员和顾问。剩下的20%将用于支持Beam主权货币基金会(Beam Sovereign Money Foundation),这是该项目维护协议和治理的长期方案。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖励,Beam还从Recruit Co. LTD、Yeoman 's Capital和节点资本在内的各种风险投资基金筹集了500多万美元,用于聘请全职开发者来推进协议。这些投资者将定期获得Beam分期付款(创始人奖励的一部分),以协调每个利益相关者的利益。
Beam核心团队和早期投资者都认识到,更集中的努力将加快生产,并避免其它项目经常出现的长久不更新或主件延迟。因此,Beam的利益相关者选择了这种中心化的方法来指导项目度过初始阶段。随着Beam的不断成熟,其目标是实现更加去中心化的激励和治理结构,将区块奖励交给网络矿工,并将控制权交给社区。
不利的一面是,Beam没有让所有投资者平等参与。在主网上线之前就从投资者那里筹集资金,或者将部分资金分配给特定集团(即ICO、创始人奖励或预挖矿),都可能导致币的不平等分配。
与之相对的是与比特币和Grin类似的产品,在这些产品中,只能通过传统PoW挖矿获得加密资产。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络,挖出新的比特币或Grin。这样的发行往往会在网络用户之间展现出更公平的资金分配。
治理
目前Beam依靠一个位于特拉维夫的小型VC团队来确定所有协议更新和功能添加。因此,项目的组织结构更类似于私人创业公司,而不是大多数去中心化协议所显示的治理过程。这赋予Beam更能控制风险,以及快速转变和自由迭代,以满足市场需求,并加快其早期阶段的生产率。
Beam领导团队由首席执行官Alexander Saidelson、首席技术官Alex Romano、首席运营官Amir Aaronson和首席营销官Beni Issembert组成。其他核心成员主要由开发者以及一些设计人员和部门主管组成。该公司还从12位顾问那里获得见解,有OGroup首席执行官、通用电气(GE)新兴技术部门前首席信息官Maja Vujinovic和Genesis Mining首席执行官兼联合创始人Marco Streng。
随着协议的成熟,创始成员将把控制权从初始团队转移到Beam主权货币基金会(由杰出和受人尊敬的社区成员运营)。Beam认为,建立基金会将有助于实现其去中心化组织结构的目标。确定基金会职责和规则、纳入董事会成员的过程将在未来几个月进行,预计将于2019年底前启动。一旦基金会开始获得支持,当前的Beam公司计划转换为服务提供者的角色,在Beam协议的基础上构建最终用户应用程序。
大部分关于基金会的建立流程尚未公布,但已知的Beam基金会角色包括:
· 管理对Beam协议的改进提案和开发
· 资助和促进与Beam、MimbleWimble和蒲公英协议相关的研究
· 提高促进社区发展的意识
· 推动对数字货币和金融主权中对隐私重要性的认识
挑战
采用创业模式,Beam将面临与大多数创业公司相关的典型问题,并在缓和公众的看法,转向更去中心化的治理模式上处境更艰难。创业公司普遍失败率高,原因有很多,包括产品/市场不匹配、高消耗导致资金不足以及内部团队冲突。一个仅由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能陷整个项目于危境。
更艰巨的任务是获得足够的支持,以帮助将协议治理和开发工作从小型原始团队转移到整个社区。加密资产的一个重要评估指标是项目的去中心化程度,Beam有意延迟该指标。支持Beam策略的论点是项目早期“需要能够快速转动和迭代的自由”。用Arjun Balaji的话来说:“在早期优化去中心化的同时构建新型分布式网络几乎不可能”,因为这些目标本身就存在矛盾。
用户体验
Beam的钱包
Beam为非技术用户提供了图形用户界面(GUI)钱包,并为Mac、Windows和Linux提供了命令行界面(CLI)钱包。Beam桌面钱包创建了交易方可以彼此共享的公共地址。这些地址没有记录在区块链上。Beam最近还推出了Android手机钱包的测试版,并计划推出iOS手机钱包。该公司还表示,正在与硬件钱包供应商进行交流,以推出对Beam的支持。
SBBS
Beam试图通过使用安全公告牌系统(SBBS)使离线交易创建和异步通信更加无缝和安全。Beam的BBS是在上世纪80年代和90年代早期流行的电子公告板系统之后设计的。拥有家用电脑和调制解调器的用户可以通过固定电话与其他电脑连接,并在基于文本的公告牌系统(BBS)上留下信息,供他人查看。BBS主机是将计算机转换成地面数字会场。随着BBS变得越来越先进,用户可以玩基于文本的游戏,甚至可以方便地传输文件。
在Beam中,BBS钱包相当于家庭计算机加上调制解调器(它们是“客户端”),而Beam全节点相当于BBS主机(服务于服务器)。SBBS是节点软件的一部分,并且是链下维护。BBS全节点创建一个存储转发网络,将消息转发给脱机的接收方。消息使用公钥加密,然后通过Beam全节点转发到接收钱包。在这种情况下,公钥充当P2P系统中的地址。如果接收钱包离线, Beam的存储转发节点可以将消息存储在充当留言板的数据库中。参与者解密订阅留言板上的消息,但是只有具有相应私钥的参与者才能解密指向他们的消息。
Beam打算利用其钱包和SBBS,让用户体验类似于基于地址的区块链交易,并降低与基于MimbleWimble协议的加密资产交互的门槛。
Beam钱包面临的挑战
在1月9日发布后不久,Beam开发者就发现了钱包里的一个漏洞,这个漏洞会让用户的资金受到攻击。开发者发现他们在钱包代码中留下了一些不该留存的内容。虽然Beam在发布之前进行了多次代码审查和审计,但主要关注的是Beam加密实现的稳定性,这表明在审计钱包和SBBS时可能没有采用同样的严格标准。Beam宣布,补丁是在内部发现并修复的,没有资金被盗。建议用户卸载钱包,并从Beam网站重新下载更新后的版本。
1月21日,Beam出现了另一个问题,导致区块链在25,709区块暂停生产。原因是钱包使用不当。更具体地说,通过钱包克隆,单个交易中相同的UTXO发送到区块链上。这导致“不正确的核销处理,最终导致无效区块”。Beam在将近3个小时内没有生成区块,在大约5个小时内没有处理交易。
可审计性
Beam的一个关键区别在于,它专注于服务业务。除了MimbleWimble可能带来的改进之外,Beam还开发了一个可选合规和可审计功能(钱包审计或商业钱包),以帮助企业遵守法规并执行所需的审计。这允许企业创建一个附加审计员密钥的钱包,以便审计员识别由商业钱包创建的区块链上的标记交易。有了可选合规的功能,交易仍然匿名,而如果用户有需要,可以向审计人员报告。这为常规业务打开了加密资产的应用场景。
根据Zaidelson的说法,虽然实际的信息将由钱包生成并链下存储,但是区块链会将每个交易的信息引用存储为哈希值。Beam区块链不存储历史交易细节——它只存储引用过去交易的交易内核。在这次采访中,Zaidelson说Beam“可以用这个内核来存储额外的编码信息……包括发票或收据等压缩文件的哈希值。当用户进行审计时,审计人员可以检查数据是否与数据的加密哈希值匹配。
由于这个功能还在开发中,使它的实践具有不确定性。如果它成功了就可能会解决企业的一大痛点。一方面,像比特币这样的加密资产以向竞争对手披露保密信息为代价,提供了完全的透明度和可审计。另一方面,Zcash和Monero等加密资产中的匿名功能可以隐藏所有交易的痕迹,从而禁止任何类型的审计。
可审计性的挑战在于,企业必须安全地存储与哈希值对应的数据。此外,企业需要相信审计员不会与未经授权查看数据的其他方共享审计员密钥。虽然Beam可以创建一种共享私有数据的方法,但是审计人员可能不知道如何审计标记在Beam区块链上的交易。理论上,他们可以将这一功能外包出去,但这将扩大接触敏感数据的人群。
路线图
在主网上发布后不久,Beam发布了2019年的全面路线图。它分为2大类别,Beam Core(专注于改进和推进Beam核心协议)和Beam Compliance(专注于启动和迭代Beam对业务的合规性和可审核性计划)。长期来看,Beam已经的了一个名为“Lumini”的项目,将致力于在Beam和其他一些智能合同区块链(s)之间建立一座桥梁,并在Beam上推出保密资产。
Beam Core
Beam Core分为5个阶段——Agile Atom、Bright Boson、Clear Cathode、Double Doppler、和Eager Electron。路线图的亮点包括年底之前部署闪电网络作为第二层解决方案,实现Beam的快速支付,2019年3月以前推出Beam与比特币原子互换,按计划执行2个硬分叉来调整Equihash挖矿算法以抵抗ASIC,详细参加下图。我们认为Beam首先必须推出智能合约和多签名功能(例如,通过无脚本脚本)来支持第二层解决方案,如闪电网络。
Beam合规
Beam合规性跟踪的主要目标是使Beam商业可用。Beam计划在其合规套件中增添一个“合规钱包”和一个“监管界面”,预计将针对具体国家的监管规定量身定制,目前暂定的上线日期是2020年。
结论
Beam采用了一种商业方法来构建一种价值储存匿名币。它有VC支持,并有全身心投入项目的带薪员工。因此,Beam能在不到一年的时间里从开发到上线。在Beam钱包和安全消息系统方面明确关注用户体验和易用性。另一方面,它的桌面钱包已经出现了一些小问题,可能会导致资金损失,这对如此年轻的项目可能有害。
Beam在其2019年路线图中概述了大型计划,包括在Beam上建立闪电网络,以及为企业和监管机构提供可审计的解决方案。Beam的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了内置选项。然而,Beam的合规性和可审计性方案尚未推出,可能会开放其他攻击向量。Beam有雄心勃勃的目标,在发布到主网之前,应该对这些目标进行彻底的测试,以避免粗心大意的错误导致用户资金或数据受损。如果Beam能够实现其计划,它将提供一组独特的功能,为业务用户解决明显的问题。
回顾
MimbleWimble的新颖之处在于,它通过协议版本的保密交易、CoinJoin和区块内和区块间的核销组合,增强隐私和效率,使更多设备参与保护网络。
Grin和Beam都是MimbleWimble的实现,但它们的相似性仅限于此。Ignotus Peverell (Grin的创始人)指出,“一个常见的误解是,MimbleWimble描述了一个完整的加密货币解决方案,因此往往把Beam和(Grin)相提并论。”
虽然这两个项目都旨在为用户改进隐私和效率,但它们在大部分技术、结构和组织上存在差异。引发最多讨论的是Grin的捐赠和志愿者驱动/密码朋克式(类似于比特币和Monero)的可持续性,与Beam的VC支持的初创公司方法(类似于Zcash)的创始人奖励和付费员工的可持续性。时间会证明哪种方法更好。在此之前,看看这些项目如何相互作用并相互学习将是一件有趣的事情。
想要获取更多区块链项目资讯,欢迎添加助手微信号:go-first-one 查看全部
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告下篇,主要讲述MW协议的具体用例及拓展等问题,相关原理背景可查看上篇文章,感谢支持!
MimbleWimble不是首个或唯一保护区块链隐私的方法。要对所有可用的隐私解决方案进行全面和深入的讨论超出了本报告的范围,但重要的是讨论替代方案。包括(但不限于)其他协议或底层匿名币(Zcash、Monero)、第二层隐私解决方案(Blockstream侧链)和交易层隐私(通过Samourai和Wasabi等钱包)。
匿名币
在Grin和Beam之前推出的2种匿名币是Zcash和Monero,这些币在协议层实现了匿名。Monero是一种基于CryptoNote协议的匿名币。Monero的一大优势是,默认情况下匿名。隐藏发送、接收地址和交易。Monero使用环形保密交易和隐蔽地址来实现匿名。环形签名会在交易中添加“诱饵”,而不会暴露哪些币经过签名,从而有效地混合了这些币。Monero的主要缺点是,即使使用了防弹技术,节省了大量空间,交易规模也是比特币交易的10倍。
Zcash的设计基于Zerocash协议。Zcash使用隐藏地址隐藏交易方,用zk-snark(一种零知识证明)隐藏交易金额。与Monero(以及基于mimblewimble的Grin和Beam)不同,Zcash默认不提供匿名性。在Zcash更新Sapling之前,创建一个保密交易需要大量的计算和时间。随着Sapling更新,隐藏交易所需的内存和时间减少了,这可能鼓励隐藏交易的使用。可选匿名性的另一个缺点是,隐藏交易可能被视为可疑。另一个受到批评的是Zcash信任设置。虽然Zooko Wilcox曾表示,破坏信任设置不会损害隐私,但比特币研究人员Peter Todd在与zk-snark开发者的交谈中表示反对。
侧链
侧链是一个通过双向锚定连接到一个基础层协议的独立区块链。双向锚定使得原来链上的币在验证过程中以固定比例与侧链资产交换。这些补充链可以支持基本层之外的其他特性和共识机制,以优化解决方案,包括但不仅限于匿名和扩容。比特币侧链公司Blockstream已经部署了一个这样的网络,最近推出的Liquid,默认情况下包含保密交易。Liquid使用一个由15个已知节点组成的小组(称为工作人员)来验证交易并生产区块,这以去中心化为代价加速了交易时间。虽然Liquid的治理更加中心化的,但是它解决了交易所遇到的特殊问题,例如赎回LBTC(Liquid的原生代币)。如果有单个网络节点宕机,这种模式将是非常有用的。此外,Liquid的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。Liquid的另一个缺点是,该平台的受信中介机构由Bitfinex和OKCoin等不受监管、历史上不安全的加密交易所组成。
匿名钱包
基于钱包的匿名解决方案(如Wasabi、Samourai或Breeze)的优势在于,它们可以在比特币(或其他币)的基础上构建,而无需更改底层协议。缺点是,如果没有在较短时间内找到匹配到资金,就会出现较小的匿名集和交易延迟。例如,Samourai的交错弹跳(Staggered Ricochet)可能需要2个小时才能到达接收方。此外,钱包对中心化平台的规则是匿名的。在2019年初,谷歌要求Samourai删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌应用商城的新规则。
尽管有很多增强隐私的方法,但这些技术尚处早期 (包括MimbleWimble、Grin和Beam)。每个人都有自己的权衡,目前还没有明确的答案来解决加密中的隐私问题。
Grin
Grin是MimbleWimble在编程语言Rust中的第一个开源实现。其白皮书由匿名开发者Ignotus Peverell于2016年10月20日发布。许多Grin核心开发者取了与哈利波特相关的绰号。Grin于2019年1月15日在主网上发布之前发布了4个测试网。无论过去还是现在,Grin备受加密社区赞扬,因为它与比特币相似,特别是它的匿名开发团队,公平发行(没有预挖矿、ICO或创始人奖励)和以捐赠为基础的资助模式。无论如何,Grin确实有几个显著特点:
· 货币政策:Grin被设计成一种交易媒介,而不是作为像比特币那样的价值储存手段。Grin的矿工奖励为60Grin/分钟(1Grin/秒)。早期会出现高通胀,但随着时间的推移,通胀会逐渐下降。
· 共识算法:在开始阶段,Grin将尝试通过使用两种PoW来实现去中心化,这两种算法都是Cuckoo Cycle的变形(一种是ASIC友好,另一种抗ASIC)。Cuckoo Cycle是一种新的、有争议的工作量证明算法;Handshake区块链白皮书描述了它的一些问题。
· 治理:Grin没有正式的治理流程,但有一个由8名成员组成的技术委员会,负责管理Grin的通用基金以及开发路线图,它还举行公开的治理和开发会议。
· 功能:Grin正在通过添加诸如无脚本脚本之类的功能来增强MimbleWimble协议,基于这样的功能来实现更复杂的「条件交易」功能。社区成员也在努力通过诸如grinbox和wallet713这样的解决方案来改善用户体验。
· 挑战:虽然Grin因其以捐赠为基础的资助模式而闻名,但依靠外部捐赠继续开发和改进也是一个挑战。此外,要使非技术用户使用Grin,还有很多工作要做。
自成立以来,Grin已在多家交易所上市,但它并没有请求上线交易所或支付上市费用。尽管社区乐于帮助交易所上线Grin,但Ignotus Peverell表示,他们“不会过多担心外部因素和(他们)无法真正控制的事情”。
挖矿算法
最初,Grin团队计划使用两种算法,一种是Cuckoo Cycle3 (John Tromp于2015年开发),另一种是Equihash算法Equigrin,该算法要求较高的内存。
由于对内存的需求,限制了CPU和高范围GPU的计算。在Cuckoo Cycle发展过程中,由于对静态随机存取存储器(SRAM)的要求,人们认为Cuckoo Cycle具有抗ASIC特性。受SRAM限制的算法使制造ASIC更加困难和昂贵。Cuckoo Cycle的创始人John Tromp说,“Cuckoo Cycle最初是为了让内存延迟成为瓶颈而设计的。现在,许多年过去了,我们意识到Cuckoo Cycle可以很好地利用…SRAM,在ASIC中使用SRAM相当便宜。我们期望ASIC比GPU具有更大的效率优势。”
2018年8月,社区承认(1)在现实中不可避免要使用ASIC,(2)在开始可能不利于启动分布式社区,但从长远来看并非坏事。相反,ASIC友好算法可以使网络更加安全,因为ASIC矿机增加了网络的哈希率,使攻击更加困难和昂贵。ASIC对于协议的长期成功是有好处的,因为投资了数千万美元的矿工在安全方面的诉求与协议保持一致。
另外,Derek Hsue认为,“任何产生持续抗ASIC的尝试都会产生秘密的ASIC芯片——这是有问题的。”
基于以上几点,Grin决定切换到由Cuckoo Cycle变形的工作量证明算法,这是,主要的ASIC友好(AF)算法和次要的抗ASIC(AR)算法,并逐步淘汰次要算法。Grin中的主要算法称为Cuckatoo31+,是Cuckoo Cycle的AF版本。被称为AF是因为它使用了数百MB的SRAM来提供比GPU更高的效率。第2种算法Cuckaroo29是一种内存硬AR PoW算法。然而,真正抗ASIC的唯一方法是进行有计划的硬分叉,不断调整算法(la Monero),使已生成的的ASIC作废。Grin将每6个月执行这样的分叉,以调整算法,以阻止该算法的ASIC生产,直到该算法在两年内逐步淘汰。
加密社区的一些成员密切关注Cuckoo Cycle算法的稳定性。John Tromp在2014年首次提出了这一概念,随着研究人员找到优化计算的方法,这一概念在短短时间内经历了数次修订。Cuckoo Cycle是基于图论问题。一个令人担忧的问题是,如果某个矿工比网络的其他矿工更快地计算出Cuckoo Cycle,那么它可能会获得优势。John Tromp认为,矿工的相对优势可能会随着迁移到更大的图论而增加。如果社区的其他成员实现相同的解决方案,这种优势就会消失。
一开始,Grin的结构是90%的区块用次算法挖矿,10%的区块用主算法挖矿。2年后,100%的区块将使用主算法进行挖矿。在未来2年,Cuckatoo31+(主算法)将获得更大比例的区块奖励,每月线性增长3.75%。Grin社区希望,到Cuckatoo31+占据100%的挖矿份额时,将出现多个ASIC制造商健康竞争的情况。Grin每经过60个区块窗口,会调整一次难度。
Grin矿池
miningpoolstats.com的数据显示,Cuckaroo29有15个矿池,Cuckatoo31+有11个矿池。在撰写本文时,前2个矿池星火矿池和鱼池)的算力之和是Cuckaroo29的82%,Cuckatoo31+的68%。星火矿池和鱼池都向Grin的开发者基金和通用基金提供了捐款。虽然算力似乎集中在矿池,但矿池由许多参与者组成,这些参与者可以选择离开矿池,并随意将其算力转移向其他地方。
第三大矿池是GrinMint,这是BlockCypher于2018年9月首次作为测试网推出的一个矿池,并于2019年1月在主网上推出。BlockCypher收取2.5%的费用,并表示将分配0.5%给Grin开发者社区。BlockCypher还有一位全职开发者为Grin工作(Quentin Le Sceller)。其他回馈Grin社区的矿池包括MimbleWimble Grin Pool和Grin -pool.org。
另一个值得批评的是,在Grin上线时,由风险资本支持的矿工控制了大量的算力。结果,原本是市场买家的投资人变成了加密货币的卖家。当矿池发现区块并获得挖矿奖励时,投资人会立即出售这些代币,因为其要以比特币支付矿工薪酬。
货币政策
Grin的线性发行率,以60Grin/分钟(1Grin/秒)的速率释放代币,供应无限。另一方面,比特币的硬顶为2100万,其供应通缩。每4年区块奖励减半,直到2140年左右达到接近0。该模型鼓励持有币,预期每枚币的价值会随着时间的推移而增加,使比特币作为一种价值储存手段变得有价值。
Grin的早期通胀率非常高,当有数百万枚币在流通,通胀率会随着时间的推移接近0,虽然它永远不会达到0。实际上,通胀率需要10年才能降到10%以下,25年才能降到4%(与2018年的比特币比率大致相同)。通胀率需要50年才能降到2%以下。然而在现实中,Grin团队认为,如果考虑币丢失的情况,通胀率将会降低。据团队称,每年丢失的币可能高达总供应量的2%,在计算通胀率时应将这部分排除在外。无限发行是缓解币丢失影响的一个潜在方案。
无限通货膨胀背后的另一个原因是,(1)与通缩相比,无论是否早期加入网络,通胀政策对参与者的回报和优惠更为公平(对于早期的矿工来说,这不是一个快速致富计划),和(2)如果预计明天的币价等同今天,它会更大的几率被用作交换媒介,这正是Grin的目标。由于币会被大幅稀释,短期到中期的高通胀会刺激消费,而非储蓄。社区认为,鼓励消费会扩大币的供应。
无限供应可以防止Grin最终只能依靠收费市场来确保网络安全——这也是比特币社区目前正在讨论/面临的挑战。一旦比特币的发行接近于0,该网络将必须转向仅收取交易费的模式,以奖励为保护比特币区块链而付出努力的矿工。这是一种新的区块链经济模式,但仍然会存在许多问题:1个区块打包多少交易?达到保护网络的每笔最低交易费是?以及旨在降低费用的第二层解决方案所带来的问题将如何影响底层区块链的安全性?
来源:grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者批评Grin的线性发行率没有上限,因为通胀降低了储蓄的购买力,这否定了将资产作为价值储存的观念。然而,Grin中的通胀是一种有意的设计,目的是鼓励消费,抢占币丢失问题的先机,并确保始终可以补偿那些保护网络安全的矿工。高通胀的一个不利之处是,区块奖励目前在总供应量中占相当大的比例,类似早期的比特币。由于矿池出售Grin奖励,换取比特币支付给矿工,可能会对比特币的价值产生负面影响。
治理
Grin的Lehnberg说:“治理是关于如何做出在参与者(参与决策的人)和利益相关者(受决策影响的人)看来合法的决策。目前Grin并没有一个明确的治理过程,但决策过程是透明的,并对社区开放。”
Grin有一个管理Grin通用基金并指导该项目发展的技术委员会。委员会成员包括Ignotus Peverell,Antioch Peverell,Hashmap, Jaspervdm,Lehnberg,Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner),John Tromp和Gary Yu。任何人都可以参加治理和开发会议,但通常最活跃的贡献者占据重要地位。
技术委员会每2周举行一次治理和开发会议,主题包括抗ASIC、筹资和指导资金使用、重大缺陷和漏洞、安全审计、交换集成、硬分叉等等。Grin还在Github页面上发布会议前后的议程、笔记和会议记录。在grin论坛上有一个关于治理的部分,其中有关于这个主题的帖子,表明社区正在积极思考如何从长远角度进行治理。
技术委员会使早期社区能快速和灵活地治理和开发,避免网络进程减慢。随着Grin的成长和成熟,人们一直在讨论建立一个更加结构化的治理过程,并进行检查和平衡。委员会成员和贡献者已明确表示,有必要确立一个更正式的流程:
· 为社区提供一种更结构化的方式来讨论和反馈
· 设置委员会的职权范围,以及向社区向委员会成员提供意见的规则。
· 所有利益相关方都可以提出自己的意见。包括核心开发者、一次性贡献者、矿工、用户、投资者、交易所等等。
缺点是,该委员会增加了中心化的因素,从长远来看,一个非官方的委员会不利于发展。一个例子是Burst PoCC,它的功能类似于Grin的技术委员会。有一天,他们对社区感到不满并意外退出,但仍然可以访问存储库、DNS注册等。他们还采取了其他恶意行为,如欺骗矿池和过早抛售,最终损害了Burst区块链。
融资
Grin是一个完全基于捐赠的开源项目。虽然它的发行很公平——没有ICO、预挖矿或创始人奖励,但缺点是开发和进展缓慢。Grin依靠无偿的兼职志愿者,为核心开发者基金、安全审计、营销和网络开发、会议等筹集捐款。
正如Tushar Jain指出,“没有资本主义的激励,发展将会被推迟。” Grin社区认识到了这一点。在通用基金页面上,他们说,“现实情况是,有了资金来源,将大大推动Grin的项目发展。这将使Grin更快、更稳定地发挥其潜力,有更好的基础设施支持,并有更大的机会与资金充足的区块链项目竞争(或共存)。”
Grin社区从2016年开始构建Grin,直到2019年1月才在主网上发布。MimbleWimble的另一个实现Beam(详见下方)——是一家由风投投资者支持的私人公司,从2018年初开始研发项目,并早于Grin一周推出。
此外,社区的核心开发者和贡献者Yeastplume (Michael Cordner),在最初难以筹集资金时,无法将全部精力投入Grin。只有在Ignotus Peverell对Cordner的募资活动(5.5万欧元)远未获得10%的资金表示失望之后,募资活动的捐款才开始上升。之后超额完成了筹资目标,在撰写本文时筹集了66,580欧元。
短期内依靠捐赠可能会奏效。然而,要维持发展并吸引人才加入该网络,Grin需要重新考虑其融资模式,因为它面临着资金充足、员工有薪项目的日益激烈竞争。
用户体验
如上所述,MimbleWimble去掉了地址。因此,发送方和接收方必须链下传递消息(称为“交易板”),交互式通信进行币的转让。有多种方法传递标准化的JSON消息。一种方法是文件传输,包含纯文本文件格式的JSON消息,可以通过多种方式传输(电子邮件、电报、Keybase、业余无线电、信鸽等),另一种方法是URL方法,其中API接受原始文本格式的JSON。
一组名为vault713的第三方开发者正在努力使Grin更加实用和更广泛采用。他们的第一个项目是交易协议Grinbox。这是一个消息中继服务,当与wallet713一起使用时,简化交易流程,wallet713由vault713的一个核心Grin钱包分叉而来,目前在Linux上运行。Grinbox和wallet713都旨在改进发送和存储Grin的流程。
首先,它们允许参与者创建公共地址来发送/接收资金,这样他们就不必公开IP地址。wallet713还允许用户将联系人姓名链接到其计算机本地存储的地址。此外,wallet713允许异步构建交易。vault713还在努力增加更多增强隐私和可用性的功能,如多签名支持、BTC和Grin之间的原子交换、在交易流入未确认交易池之前与其他wallet713用户联合使用CoinJoin、移动/网络/桌面GUI等等。
随着协议的成熟和人才的流入,将出现更多创建交易的方法。可能会出现基于NFC、QR、蓝牙等的近距离技术。最终,市场可能就一个方便且简单的方案达成一致,哪种方法能达成标准还有待时间考察。
Grin仅有几个月的历史,目前该协议最适合花时间和精力了解其工作原理的技术用户。虽然社区已经开始通过类似grinbox和wallet713来改善用户体验,但在让非技术用户舒服地在网络上交易之前,还需要时间进行迭代和教育。
结论
Grin最初吸引了密码朋克和密码无政府主义者,但其与比特币相似的精神也吸引了许多人。由于Grin匿名领导者、基于捐赠和草根性的资助模式、对隐私和去中心化的关注、以及其社区对推进项目而非快速赚钱的深切关注而受到赞扬。
但是主网上线只是Grin的第一步。要想让Grin获得长期成功并被广泛采用,还有大量工作要做。要解决的关键问题包括更可靠的筹资方式、更直观的用户体验以吸引更多用户进入网络,以及研究如何解决系统中的隐私漏洞(即监视节点创建交易图的能力)。
核心团队表示,其“主要关注点仍然是稳定性、性能和安全性。通过第三方开发团队将Grin集成到他们的服务和产品中来培育一个健康的生态系统,以提高采用和改进。”无需Grin核心开发者参与,相反,可由围绕Grin的生态系统的第三方开发者解决。
Grin仍然是一个非常新的项目,开创了未经测试的新思想、加密概念和技术。如果Grin解决关键挑战,就有可能成为一种将隐私交还给个人的方式。
Beam
Beam是一家由VC支持的初创公司,总部位于以色列,于2019年1月3日推出了一款基于MimbleWimble协议且专注于隐私的加密货币。它于2018年3月开始以C++做构建,并于2018年9月发布了测试网。虽然Beam和Grin的相似之处在于都是MimbleWimble的实现,旨在为用户增强隐私,但它们的方法不同。与Grin不同,Beam是一家雇佣开发者做开发的私营公司。Beam一开始是封闭其原始代码的,之后才开放。Beam的另一个重要区别是针对企业和监管机构的可选审计性。
· 货币政策:Beam的供应计划是通货紧缩,第1年后,区块奖励下降50%,之后每4年减半,直到达到2.63亿beam的硬顶。此外,20%区块奖励用作开发支付给Beam Treasury,以帮助为Beam未来的开发提供资金。
· 挖矿算法:Beam使用修改版的Equihash,一种工作量证明挖矿算法,提供网络共识。为了确保去中心化,Beam将在前12-18个月定期调整算法以抵抗ASIC。
· 治理:Beam目前是一家由VC支持的初创公司,拥有带薪员工。长期目标是将全面治理移交给管理Beam Treasury并维护协议的非盈利基金会。
· 功能:Beam正在添加一个可审计功能,这样企业就可以在不损害隐私的情况下证明其合规性并提供交易可见。Beam开发者还在探索一个安全的BBS系统,该系统将支持非交互式离线交易。
· 挑战:不断改进PoW协议是一项艰巨的任务,避免ASIC挖矿集成将使全网算力较低,从而网络攻击成本降低。此外,Beam目前是中心化的运营和治理结构,向更去中心化的模式转变需要避免所有投资方之间的权力斗争。
挖矿算法
Beam使用Equihash,这是卢森堡大学的Alex Biryukov和Dmitry Khovratovich创建的一种工作量证明算法。Equihash是一种基于广义生日问题的非对称内存约束算法。Equihash的另一个关键特性是随机挖矿,这意味着生成证明的可能性与过去的成功或失败无关。Equihash有2个参数可以调整:n(以位为单位的宽度)和k(长度),这2个参数决定了底层问题的复杂度,从而决定了算法的内存和时间复杂度。Beam上线时的Equihash参数:n=150, k=5。
Equihash在某种意义上是非对称的,因为它需要大量内存来生成一个证明,但不需要大量内存来验证它。这是Equihash的一个重要特性,因为大多数其他内存约束算法都对称,也就是说,验证证明与生成证明一样困难。内存限制指的是生成证明所花费的时间与内存而不是算力成比例。如果使用更少的内存,Equihash会不成比例地增加计算需求。
最初,内存是一种昂贵的资源,因此ASIC没有比常规CPU和GPU更好的内存优化。另一方面,ASIC比GPU有显著的带宽改进,而GPU又比CPU提供了显著的带宽改进。由于基础设施的改进,优化ASIC内存的成本低于预期。
Zcash也是一家专注于隐私的加密资产,也使用Equihash,最初选择Equihash是因为它抗ASIC。然而,比特大陆在2018年发布了蚂蚁矿机Z9mini,“通过与SRAM接口,以相对较低的成本”,比普通硬件更高效地开采Zcash。Beam在关于Equihash的帖子中强调,“卢森堡大学的研究人员发现,截至2018年5月,20%-30%的Equihash由ASIC挖矿。”
Beam表示,它已经设置了Equihash参数,让CPU和GPU矿工短期内比ASIC拥有优势,从而使币的初始分布更加广泛。然而,Beam认识到ASIC是不可避免的,甚至从长远来看是可取的,因为ASIC成本低廉,并且增加了网络哈希率,从而使其更安全,更难以攻击。
货币政策与融资
Beam的货币政策类似于比特币。特点是规定了一个硬顶和通缩发行计划,定期区块奖励减半(每开采一个区块可获得的代币数量减半),直到通胀率为0。因此,这家初创公司希望Beam能作为价值储存,而不是Grin这样的交换媒介。不过,比特币的相似之处就到此为止,然而,Beam的特殊之处还在于,Beam在第1年有更高的区块奖励,前5年区块奖励部分归于项目创始团队,出块时间为1分钟。
第1年,区块奖励为100 beam,高于通常的奖励,以激励矿工尽早加入网络,并将Beam引入市场。前5年收取20%(创始人费/开发税),所以第1年挖出的每个区块(包含100枚Beam),80枚将支付给矿工,20枚支付给Beam 基金会。在未来2到5年内,区块奖励减半至50枚beam,其中40枚beam支付给矿工,10枚beam支付给基金会。第6年,区块奖励将再次减半至25 枚beam(所有奖励都将支付给矿工),并在未来每4年减半一次,直到第129年。区块奖励将在第133年停止,届时Beam预计将拥有总计2.63亿beam的上限供应。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam采用了创始人奖励机制(也称为开发税),以回报投资者,并为正在进行的协议和工具开发提供财务激励。创始人奖励或费用是构建在区块链协议中的补充代码,该协议自动分割和发送区块奖励(coinbase交易)给区块矿工和创始人团队的地址。
这种方法显然不同于像ICO这样的预挖矿,或者像Dash这样的偷挖(insta-mine),给创始人一大笔流动资金作为报酬。尽管这2种方案都是早期团队成员所希望执行的,但这些报酬设计往往缺乏有效的资金管理或兑现计划。因此,在短期利益驱使下,资金挪用和骗局跑路的情况十分普遍。
创始人奖励则是指随着项目的发展逐渐补偿创始人。因此,初始的利益相关者更有动力去协调利益,维护网络的长期发展。Arjun Balaji指出:将奖励制度纳入协议,提供了透明且固有的资金分配和“以软或硬分叉降低退出摩擦”的自由。
创始人奖励结构最初是由Electric Coin Company(前身为Zcash Company)设计并推广。这家公司是专注于匿名加密资产Zcash的开发和维护Zacash的背后合资企业。起初,Zcash矿工只能获得80%区块奖励。剩下的20%将分配给Zcash基金会(一个支持Zcash开发的独立非盈利组织)、Electric Coin Company以及早期的Zcash开发者和顾问。继头4年之后,预先设定创始人奖励为0,以确保所有新发行的Zcash将全部归矿工直到达到2100万的硬顶。
Beam的融资模式与Zcash类似,在其早期阶段向Beam Treasury支付20%的创始人费。与Zcash不同的是,Beam将在头5年执行,包括第1年区块奖励为100Beam。在这5年结束时,应向Beam Treasury累计提供3150多万Beam。计划将35%的资金用于偿还早期投资者,另外45%的资金将分期偿还给核心团队成员和顾问。剩下的20%将用于支持Beam主权货币基金会(Beam Sovereign Money Foundation),这是该项目维护协议和治理的长期方案。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖励,Beam还从Recruit Co. LTD、Yeoman 's Capital和节点资本在内的各种风险投资基金筹集了500多万美元,用于聘请全职开发者来推进协议。这些投资者将定期获得Beam分期付款(创始人奖励的一部分),以协调每个利益相关者的利益。
Beam核心团队和早期投资者都认识到,更集中的努力将加快生产,并避免其它项目经常出现的长久不更新或主件延迟。因此,Beam的利益相关者选择了这种中心化的方法来指导项目度过初始阶段。随着Beam的不断成熟,其目标是实现更加去中心化的激励和治理结构,将区块奖励交给网络矿工,并将控制权交给社区。
不利的一面是,Beam没有让所有投资者平等参与。在主网上线之前就从投资者那里筹集资金,或者将部分资金分配给特定集团(即ICO、创始人奖励或预挖矿),都可能导致币的不平等分配。
与之相对的是与比特币和Grin类似的产品,在这些产品中,只能通过传统PoW挖矿获得加密资产。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络,挖出新的比特币或Grin。这样的发行往往会在网络用户之间展现出更公平的资金分配。
治理
目前Beam依靠一个位于特拉维夫的小型VC团队来确定所有协议更新和功能添加。因此,项目的组织结构更类似于私人创业公司,而不是大多数去中心化协议所显示的治理过程。这赋予Beam更能控制风险,以及快速转变和自由迭代,以满足市场需求,并加快其早期阶段的生产率。
Beam领导团队由首席执行官Alexander Saidelson、首席技术官Alex Romano、首席运营官Amir Aaronson和首席营销官Beni Issembert组成。其他核心成员主要由开发者以及一些设计人员和部门主管组成。该公司还从12位顾问那里获得见解,有OGroup首席执行官、通用电气(GE)新兴技术部门前首席信息官Maja Vujinovic和Genesis Mining首席执行官兼联合创始人Marco Streng。
随着协议的成熟,创始成员将把控制权从初始团队转移到Beam主权货币基金会(由杰出和受人尊敬的社区成员运营)。Beam认为,建立基金会将有助于实现其去中心化组织结构的目标。确定基金会职责和规则、纳入董事会成员的过程将在未来几个月进行,预计将于2019年底前启动。一旦基金会开始获得支持,当前的Beam公司计划转换为服务提供者的角色,在Beam协议的基础上构建最终用户应用程序。
大部分关于基金会的建立流程尚未公布,但已知的Beam基金会角色包括:
· 管理对Beam协议的改进提案和开发
· 资助和促进与Beam、MimbleWimble和蒲公英协议相关的研究
· 提高促进社区发展的意识
· 推动对数字货币和金融主权中对隐私重要性的认识
挑战
采用创业模式,Beam将面临与大多数创业公司相关的典型问题,并在缓和公众的看法,转向更去中心化的治理模式上处境更艰难。创业公司普遍失败率高,原因有很多,包括产品/市场不匹配、高消耗导致资金不足以及内部团队冲突。一个仅由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能陷整个项目于危境。
更艰巨的任务是获得足够的支持,以帮助将协议治理和开发工作从小型原始团队转移到整个社区。加密资产的一个重要评估指标是项目的去中心化程度,Beam有意延迟该指标。支持Beam策略的论点是项目早期“需要能够快速转动和迭代的自由”。用Arjun Balaji的话来说:“在早期优化去中心化的同时构建新型分布式网络几乎不可能”,因为这些目标本身就存在矛盾。
用户体验
Beam的钱包
Beam为非技术用户提供了图形用户界面(GUI)钱包,并为Mac、Windows和Linux提供了命令行界面(CLI)钱包。Beam桌面钱包创建了交易方可以彼此共享的公共地址。这些地址没有记录在区块链上。Beam最近还推出了Android手机钱包的测试版,并计划推出iOS手机钱包。该公司还表示,正在与硬件钱包供应商进行交流,以推出对Beam的支持。
SBBS
Beam试图通过使用安全公告牌系统(SBBS)使离线交易创建和异步通信更加无缝和安全。Beam的BBS是在上世纪80年代和90年代早期流行的电子公告板系统之后设计的。拥有家用电脑和调制解调器的用户可以通过固定电话与其他电脑连接,并在基于文本的公告牌系统(BBS)上留下信息,供他人查看。BBS主机是将计算机转换成地面数字会场。随着BBS变得越来越先进,用户可以玩基于文本的游戏,甚至可以方便地传输文件。
在Beam中,BBS钱包相当于家庭计算机加上调制解调器(它们是“客户端”),而Beam全节点相当于BBS主机(服务于服务器)。SBBS是节点软件的一部分,并且是链下维护。BBS全节点创建一个存储转发网络,将消息转发给脱机的接收方。消息使用公钥加密,然后通过Beam全节点转发到接收钱包。在这种情况下,公钥充当P2P系统中的地址。如果接收钱包离线, Beam的存储转发节点可以将消息存储在充当留言板的数据库中。参与者解密订阅留言板上的消息,但是只有具有相应私钥的参与者才能解密指向他们的消息。
Beam打算利用其钱包和SBBS,让用户体验类似于基于地址的区块链交易,并降低与基于MimbleWimble协议的加密资产交互的门槛。
Beam钱包面临的挑战
在1月9日发布后不久,Beam开发者就发现了钱包里的一个漏洞,这个漏洞会让用户的资金受到攻击。开发者发现他们在钱包代码中留下了一些不该留存的内容。虽然Beam在发布之前进行了多次代码审查和审计,但主要关注的是Beam加密实现的稳定性,这表明在审计钱包和SBBS时可能没有采用同样的严格标准。Beam宣布,补丁是在内部发现并修复的,没有资金被盗。建议用户卸载钱包,并从Beam网站重新下载更新后的版本。
1月21日,Beam出现了另一个问题,导致区块链在25,709区块暂停生产。原因是钱包使用不当。更具体地说,通过钱包克隆,单个交易中相同的UTXO发送到区块链上。这导致“不正确的核销处理,最终导致无效区块”。Beam在将近3个小时内没有生成区块,在大约5个小时内没有处理交易。
可审计性
Beam的一个关键区别在于,它专注于服务业务。除了MimbleWimble可能带来的改进之外,Beam还开发了一个可选合规和可审计功能(钱包审计或商业钱包),以帮助企业遵守法规并执行所需的审计。这允许企业创建一个附加审计员密钥的钱包,以便审计员识别由商业钱包创建的区块链上的标记交易。有了可选合规的功能,交易仍然匿名,而如果用户有需要,可以向审计人员报告。这为常规业务打开了加密资产的应用场景。
根据Zaidelson的说法,虽然实际的信息将由钱包生成并链下存储,但是区块链会将每个交易的信息引用存储为哈希值。Beam区块链不存储历史交易细节——它只存储引用过去交易的交易内核。在这次采访中,Zaidelson说Beam“可以用这个内核来存储额外的编码信息……包括发票或收据等压缩文件的哈希值。当用户进行审计时,审计人员可以检查数据是否与数据的加密哈希值匹配。
由于这个功能还在开发中,使它的实践具有不确定性。如果它成功了就可能会解决企业的一大痛点。一方面,像比特币这样的加密资产以向竞争对手披露保密信息为代价,提供了完全的透明度和可审计。另一方面,Zcash和Monero等加密资产中的匿名功能可以隐藏所有交易的痕迹,从而禁止任何类型的审计。
可审计性的挑战在于,企业必须安全地存储与哈希值对应的数据。此外,企业需要相信审计员不会与未经授权查看数据的其他方共享审计员密钥。虽然Beam可以创建一种共享私有数据的方法,但是审计人员可能不知道如何审计标记在Beam区块链上的交易。理论上,他们可以将这一功能外包出去,但这将扩大接触敏感数据的人群。
路线图
在主网上发布后不久,Beam发布了2019年的全面路线图。它分为2大类别,Beam Core(专注于改进和推进Beam核心协议)和Beam Compliance(专注于启动和迭代Beam对业务的合规性和可审核性计划)。长期来看,Beam已经的了一个名为“Lumini”的项目,将致力于在Beam和其他一些智能合同区块链(s)之间建立一座桥梁,并在Beam上推出保密资产。
Beam Core
Beam Core分为5个阶段——Agile Atom、Bright Boson、Clear Cathode、Double Doppler、和Eager Electron。路线图的亮点包括年底之前部署闪电网络作为第二层解决方案,实现Beam的快速支付,2019年3月以前推出Beam与比特币原子互换,按计划执行2个硬分叉来调整Equihash挖矿算法以抵抗ASIC,详细参加下图。我们认为Beam首先必须推出智能合约和多签名功能(例如,通过无脚本脚本)来支持第二层解决方案,如闪电网络。
Beam合规
Beam合规性跟踪的主要目标是使Beam商业可用。Beam计划在其合规套件中增添一个“合规钱包”和一个“监管界面”,预计将针对具体国家的监管规定量身定制,目前暂定的上线日期是2020年。
结论
Beam采用了一种商业方法来构建一种价值储存匿名币。它有VC支持,并有全身心投入项目的带薪员工。因此,Beam能在不到一年的时间里从开发到上线。在Beam钱包和安全消息系统方面明确关注用户体验和易用性。另一方面,它的桌面钱包已经出现了一些小问题,可能会导致资金损失,这对如此年轻的项目可能有害。
Beam在其2019年路线图中概述了大型计划,包括在Beam上建立闪电网络,以及为企业和监管机构提供可审计的解决方案。Beam的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了内置选项。然而,Beam的合规性和可审计性方案尚未推出,可能会开放其他攻击向量。Beam有雄心勃勃的目标,在发布到主网之前,应该对这些目标进行彻底的测试,以避免粗心大意的错误导致用户资金或数据受损。如果Beam能够实现其计划,它将提供一组独特的功能,为业务用户解决明显的问题。
回顾
MimbleWimble的新颖之处在于,它通过协议版本的保密交易、CoinJoin和区块内和区块间的核销组合,增强隐私和效率,使更多设备参与保护网络。
Grin和Beam都是MimbleWimble的实现,但它们的相似性仅限于此。Ignotus Peverell (Grin的创始人)指出,“一个常见的误解是,MimbleWimble描述了一个完整的加密货币解决方案,因此往往把Beam和(Grin)相提并论。”
虽然这两个项目都旨在为用户改进隐私和效率,但它们在大部分技术、结构和组织上存在差异。引发最多讨论的是Grin的捐赠和志愿者驱动/密码朋克式(类似于比特币和Monero)的可持续性,与Beam的VC支持的初创公司方法(类似于Zcash)的创始人奖励和付费员工的可持续性。时间会证明哪种方法更好。在此之前,看看这些项目如何相互作用并相互学习将是一件有趣的事情。
想要获取更多区块链项目资讯,欢迎添加助手微信号:go-first-one
Circle Research | MimbleWimble深度报告(上篇)
投研 • firstone 发表了文章 • 2019-03-28 10:36
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告上篇,主要讲述MW协议的背景原理和机制等问题,相关具体应用案例将在下篇文章中具体分析,敬请关注!
MimbleWimble
MimbleWimble是一种增强隐私和扩容的区块链协议。在不存储整个区块链历史记录的情况下,验证所有交易是否有效。它的名字来源于《哈利波特》中束缚舌头的咒语,这种咒语可以防止被施咒者泄露秘密。2016年,一个化名汤姆·埃尔维斯·杰多索的人在比特币奇才IRC聊天室分享了一个Tor链接,链接到一个概述MimbleWimble的文本文件,然后就消失了。
背景
Blockstream的数学家Andrew Poelstra对该协议很感兴趣,并于2016年10月发表了一篇关于MimbleWimble更详细、更强大的技术意见书。MimbleWimble是一个区块链协议,Grin和Beam是它的2个最初实现。在本篇报告中,我们将探索MimbleWimble、Grin和Beam。
来源:messari.io/onchainfx,coinmarketcap.com
加密社区的许多人一直在密切关注MimbleWimble协议,因为其旨在改进比特币和其他加密货币的关键问题,首次优化了隐私性和扩展性。
· 健全的隐私性:MimbleWimble将交易发送方、接收方和金额隐藏起来,让任何未参与交易的人无法查看。观察 者看到的交易由一些加密的输入和输出组成。他们可以验证已在链上的输入,并且等于输出货币的总和。这是对比特币等系统的改进,在比特币系统中,每个人都可以在比特币从一个地址转移到另一个地址时追踪其价值。
· 高效:MimbleWimble只允许验证者存储未使用的UTXO。所有其他加密货币强制矿工和外部验证者存储区块链的整个交易历史。这可以节省空间和更快的同步,因为随着区块链历史记录的增长,矿工可能被迫使用多个驱动器来存储整个历史记录。
验证者通过验证(1)输入的和等于输出的和,(2)交易不包含负数来检查MimbleWimble交易,以确保没有任何交易试图铸造新币。唯一可以铸币的交易是coinbase交易,这也是唯一可识别的交易。但是,验证者和观察者无法查看谁收到了区块奖励。
MimbleWimble的另一个重要特性是没有地址或公钥,只有输入和输出。每个UTXO都有一个密钥,接收方将UTXO密钥存储在他的钱包中。要发送UTXO,发送方必须在专用通道中与接收方联系,并执行多轮通信来构建交易。发送方使用自己的UTXO密钥对UTXO进行签名,而接收方通过通信获得了输出UTXO的新密钥。
问题
区块链是不可伪造的公共交易账簿。不可伪造意味着用户只能发送他们收到的资金——他们不能发送已使用资金或凭空创造资金。比特币和类似的区块链公开了发送方地址、接收方地址和交易金额,因此很容易验证发送的金额是否等于接收的金额,并且发送输入的是与这些输入对应的私钥。
比特币(以及其他加密资产)的公开性,可能会不被那些不想分享交易细节给所有人的人和企业的欢迎。此外,随着像Elliptic和Chainalysis这样的区块链分析公司崛起,研究人员可以将输出与非法交易联系起来,并将这些输出列入黑名单。币安的首席执行官曾在推特上表示,在社交媒体上报道了黑客向该交易所发送的资金后,他们能够冻结这些资金。然而,一些人认为这违反了非同质(fungibility)原则。非同质是指所有币都是一样,就像一张1美元的纸币与另一张1美元的纸币是一样的,不管这张纸币过去有什么活动。
比特币和所有其他区块链都要求矿工和其他验证者存储该链的整个交易历史,以验证所有交易都为有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这对希望与网络同步的新参与者在空间、时间和计算上有很大要求。在2019年之前,比特币区块链的大小约为200GB。
MIMBLEWIMBLE解决方案
MimbleWimble以一种聪明的方式使用密码学来实现不可伪造性,同时优化了隐私和扩展性。与比特币验证每个输出的整个历史不同,MimbleWimble检查所有输入减去区块链上所有输出之和是否为零来验证链(这加强了货币的一个基本特性,即发送的金额等于接收的金额)。MimbleWimble使用了保密交易、CoinJoin、范围证明和核销(cut-through)组合。
与比特币类似,MimbleWimble依赖于椭圆曲线密码学和UTXO模型。然而,MimbleWimble是一个更精简的版本,由于脚本的隐私性问题,它牺牲了可编程性。因此,无法执行更复杂和丰富的功能,如时间锁定或支付渠道(如闪电网络)。
快速了解:UTXO
比特币和MimbleWimble使用未花费的交易输出(UTXO)模型来计算余额。可以将此模型使用币与钞票或信用卡与借记卡支付商品和服务进行对比。例如,Alice想买一件30美元的衬衫,但她有2张20美元的钞票。她不能只给商人一张半的钞票。相反,她把2张钞票都给了商人,并收到一张10美元的钞票作为找零。
UTXO模型的功能与此类似:Alice有2个交易输出,分别是先前交易的1个BTC和0.5个BTC。她需要向商家支付1.3 BTC。她的钱包创建了一个交易,该交易发送1.5 BTC(2个新输出)。商户收到1.3个比特币,Alice收到0.2个比特币作为找零(扣除交易费用)。比特币用户查看区块浏览器,可以发现他们比特币地址发送的比特币数量通常比指定的要多。
快速了解:椭圆曲线密码学
椭圆曲线有几个特性,对复杂的密码协议非常有帮助。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点G,并将其乘以某个整数s,很容易得到另一个点P=sG。然而,给定(P,G),恢复s的值在计算上不可行。这使得我们可以使用(P,G)作为公钥,而s作为密钥。另一个性质是椭圆曲线上的点具有有用的代数性质:
1. 分配式:(a+b)G = aG+bG
2. 交换律:a(bG) = b(aG) = (ab)G
快速了解:佩德森承诺
佩德森承诺是结合了椭圆曲线的单向和代数特性的密码原语。对某些值(x,y)的承诺计算为P=xG+yH。虽然算出s=P/G在计算上不可行,但是从(P,G,H)计算出(x,y)也不可能,因为有无数的x和y的组合可以满足P=xG+yH关系。然而,知道单个(x,y)对满足这个等式的用户无法计算满足这个等式而不违反椭圆曲线单向特性的第二个 (x ',y ') 对。
保密交易
默认情况下,MimbleWimble依靠一种称为保密交易(CT)的加密概念来实现隐私。保密交易由Gregory Maxwell提出,他的灵感来自Adam Back对比特币的同态加密。保密交易使用佩德森承诺来隐藏UTXO的值。
在MimbleWimble中,交易输出或输入表示为佩德森承诺rG + vH。G和H是椭圆曲线上的随机点,是区块链的公共参数。V值为UTXO值,r为盲因子,是UTXO的密钥。rG值是对应的公钥。MimbleWimble使用佩德森承诺混淆敏感的交易信息,而不是显示明文的交易值。佩德森承诺允许使用基本算法来验证交易。
假设这样一个例子:我们有2个输入和1个输出。我们提供了样本值和盲因子,同时保留公共参数G和H作为变量。
交易内核
如上所述,保密交易的问题在于,它们要求输入和输出UTXO使用相同的盲因子,即接收方的密钥。如果发送方知道了接收方的盲因子值,她就可以窃取接收方的输出UTXO。MimbleWimble使用零知识证明克服了这个问题。
假设一个发送5个币的简单例子。发送方有一个未使用的UTXO,表示为承诺X=45G+5H,其中X=5,45是她的盲因子(r),或密钥。接收方选择一个随机盲因子7,并创建一个输出UTXO,表示为承诺Y=7G+5H。将输入与输出进行比较的验证者将看到超额的承诺:
X-Y = (45G+5H) - (7G+5H) = 38G
MimbleWimble将值38称为excess或内核,将值X-Y = 38G称为交易内核。在有效交易中,交易内核的形式总是X-Y = rG+0H,其中r是某个整数。即使使用多个输入和输出,如果输入值的和等于输出值的和,值乘以H等于零,等式成立。有效的交易内核总是公钥的形式,发送方和接收方都知道相应密钥的一部分。MimbleWimble有一个协议,该协议允许它们联合计算一个签名,使用它们的盲因子来签署交易。内核代表交易参与者的多重签名密钥。
范围证明
MimbleWimble协议要求交易金额为正,因此用户不能凭空创造币。正如我们所提到的,惟一能够铸造币的交易类型是coinbase交易。范围证明是一种密码技术,用于证明给定佩德森承诺X,证明者知道一对整数(r, min < v < max),使得X=rG+vH。MimbleWimble使用范围证明来证明v>0。MimbleWimble使用了最近介绍的防弹协议,一种范围证明方法,只需消耗~5000到~700字节。
无地址
如前所述,MimbleWimble不使用地址。删除地址背后的一个关键动机是增强隐私和扩大空间。在基于mimblewimb le的区块链中,用户必须在链下通信才能创建交易。发送方与接收方共享其控制一些币的证明,接收方接受对这些币的控制。由于没有公开分配币控制权的地址,因此没有发送交易的“标准”方式。因此,交易参与者需要设置一个聊天会话来共享控制证明并将控制传递给接收方。这与比特币(以及大多数其他区块链)很大不同,后者可以在没有接收方参与的情况下执行交易。
CoinJoin
解决交易公开性的一种方法是使用CoinJoin。CoinJoin是一种将输入组合成单个大交易的方法,这使得很难区分哪些输入在支付,哪些是输出。CoinJoin已在JoinMarket、ShufflePuff、DarkWallet、SharedCoin、Wasabi、Samourai中实现。基于钱包的CoinJoin的缺点是用户必须选择使用该服务。这降低了它的有效性,因为用户要么不知道这些服务,要么认为使用这些服务太麻烦,从而导致了一组小型CoinJoin交易(一个小型的“匿名集”)。这不能有效地隐藏原始地址和接收地址。此外,用户必须进行交互才能创建CoinJoin交易,因为每个输入所有者必须对整个组合交易签名才能对其进行身份验证。
在MimbleWimble中,默认情况下用户不需要选择CoinJoin。一个区块不会有单独交易,相反,它看起来像是一个大型交易。图1是下一个区块中包含的一组未改动交易的简化版本。在图2中,MimbleWimble以类似于CoinJoin的流程将交易连接在一起,这样就是一个单独交易,一个组合了所有输入和所有输出的列表。
核销(Cut-throuh)
保密交易比常规交易要大得多。CT比非CT小5倍。MimbleWimble使用一种称为核销的技术来解决这一挑战,以提高效率。
正如我们上面提到的,下载完整的比特币区块链占用了近200GB的空间,并且还在增加。如果比特币上的所有交易都是像MimbleWimble这样的保密交易,那么区块链的规模将会大上几个数量级。
MimbleWimble使用一个称为“核销”的流程来删除冗余输出,将这些输出再次用作同一区块内的输入,从而释放区块内的空间,减少需要存储在区块链上的数据量,同时保持相同的安全性。
在图3中,网络标识出绿色输出用作稍后的输入。网络从这个给定区块的输入/输出中删除这个冗余,以精简必须存储的数据。虽然MimbleWimble删除了输出,但它保留这些交易发生的授权,即内核。
微观层面上,MimbleWimble的区块没有使用该工具,而是在宏观层面上使用了核销,因此仅剩下区块头、UTXO和交易内核。节点可以使用这些关键数据片段来验证区块链。这意味着区块链可能会缩小,例如,如果有一个区块的输出花费的比创建的多。理论上,这可以减少证明分类账状态长期正确所需的数据量。
根据Grin的说法,假设1000万笔交易使用10万UTXO(相当于1个分类账),而不使用核销,则大约为130GB,其中包含128GB的交易数据、1GB的交易证明数据和250MB的区块头。通过核销,区块链的大小可以降低到1.8GB,输出数据为1GB, UTXO为520MB,区块头为250mb。Beam认为,当区块链达到同样规模时,其大小可能只是比特币的30%。
蒲公英协议
MimbleWimble隐私性面临的最大威胁是,节点可以在将交易广播到网络时记录这些交易,然后再将它们包含到一个区块中。在有核销之前,交易输出会在内存池(未经确认的交易池)中停留一些时间。这允许间谍节点构建交易图2,并可能发现发送方IP。
蒲公英协议不属于MimbleWimble,它是对Grin和Beam的补充。蒲公英试图降低间谍节点成功创建交易图的概率,方法是“在交易爆发之前先悄悄地在网络上转发,从而延迟交易在网络上出现”(Andreas Antonopoulos) 。
通常,当有人向区块链发送一个交易时,它会广播到网络上的所有节点。蒲公英将交易的广播分为2个阶段,从“stem”或“匿名”阶段开始,交易随机广播到一个节点,然后节点随机将交易发送到另一个节点,以此类推,直到达到系统将交易广播到整个网络的“fluff”阶段。这可以防止监视节点使用蒲公英将交易映射回原始地址。蒲公英++是对蒲公英的改进,使创建交易图更加困难。
在MimbleWimble中,还可以在stem阶段之前合并交易,使将输入链接到交易变得更加困难。Beam更进一步,在没有足够的输出进行合并的情况下,可以添加虚拟或诱饵输出。
蒲公英面临的一个关键挑战是,在stem阶段,如果将交易传递给随后离线的节点,交易将不会传播到网络。Grin和Beam解决了这一挑战——如果该交易没有在合理的时间内达到“fluff”阶段,交易自动广播到更广泛的网络。
无脚本脚本(Scriptless scripts)
MimbleWimble不支持交易脚本,而交易脚本是大多数区块链一个重要的特性。脚本是嵌入在交易中的代码,支持基本的智能合约功能。没有它,MimbleWimble就不能支持条件交易、使用时间锁、状态通道(例如闪电网络)、跨链原子交换等等。这是不可链接交易和核销付出的代价。验证者无法检查是否满足智能合约条件,因为相关UTXO及其条件可能已被删除。
当2016年8月发表第一篇MimbleWimble论文时,无条件交易对社区而言似乎还是一个限制。然而,Andrew Poelstra发现了一种用无脚本的脚本实现简单智能合约的方法。无脚本的脚本基于这样一种思想,即区块链验证者只需要检查签名是否存在并正确。它们不需要知道发生在链下的条件元素。Schnorr签名可用于支持无脚本的脚本。
具体地说,交易的参与者可以通过组合各自的签名密钥来创建Schnorr多重签名,从而交互式地生成签名,这个签名是唯一需要提交给节点并由节点验证的数据。
Aaron Van Wirdum解释,他举了一个网络用户想听艺术家歌曲的例子。艺术家和用户需要向区块链提交他们的组合Schnorr签名,以验证条件交易。艺术家拥有歌曲的版权,其对歌曲进行加密,密钥设为7000。
获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的Schnorr签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个适配器签名1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的Schnorr签名减去歌曲密钥的结果。然后用户也做Schnorr签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都在链下发生,除了艺术家和用户,没有人能发现单个值和步骤。验证者所看到的唯一内容是Schnorr组合签名13000。公众无法检测Schnorr签名。区块链上只记录了“交易结算”。可以通过添加支持Schnorr签名的新操作码来实现无脚本脚本。Grin和Beam正在实现无脚本脚本的过程中,并没有功能投入使用的确切时间。
无脚本的脚本可潜在支持保密资产、跨链原子交换和第二层扩容解决方案,比如在MimbleWimble区块链上使用闪电网络。无脚本脚本不一定要在MimbleWimble上实现,甚至可以扩展到其他区块链生态上。
结论
MimbleWimble基于经过验证的密码原语。其中一些区块构建已发表在同行评审的密码期刊上,以及写入公共白皮书和技术报告。首个MimbleWimble区块链Grin和Beam直到最近才推出。虽然MimbleWimble是一项新的实验性技术,但它有提供显著的隐私性和扩容优势的潜力,目前它还未解决用户体验和隐私方面的挑战。需要大量的测试和迭代,才能开源区块链上大规模地让隐私落实。目前,复杂的概念在实践中可能面临大量问题。
用户体验方面,没有地址,交易参与方需要交互并在线(虽然不一定同时在线)来签署和完成交易。与现有的加密资产相比较为复杂。
隐私方面,在CoinJoin和核销出现之前,矿工可以在mempool中看到交易。因此,监视网络的节点可以构建详细的交易图,从而损害隐私性,这违反了MimbleWimble的核心价值主张。虽然有蒲公英协议和虚拟UTXO等潜在的解决方案,但在实践中还有待完善。
欢迎添加小助手微信号:go-first-one 获取更多数据分析报告 查看全部
MimbleWimble
MimbleWimble是一种增强隐私和扩容的区块链协议。在不存储整个区块链历史记录的情况下,验证所有交易是否有效。它的名字来源于《哈利波特》中束缚舌头的咒语,这种咒语可以防止被施咒者泄露秘密。2016年,一个化名汤姆·埃尔维斯·杰多索的人在比特币奇才IRC聊天室分享了一个Tor链接,链接到一个概述MimbleWimble的文本文件,然后就消失了。
背景
Blockstream的数学家Andrew Poelstra对该协议很感兴趣,并于2016年10月发表了一篇关于MimbleWimble更详细、更强大的技术意见书。MimbleWimble是一个区块链协议,Grin和Beam是它的2个最初实现。在本篇报告中,我们将探索MimbleWimble、Grin和Beam。
来源:messari.io/onchainfx,coinmarketcap.com
加密社区的许多人一直在密切关注MimbleWimble协议,因为其旨在改进比特币和其他加密货币的关键问题,首次优化了隐私性和扩展性。
· 健全的隐私性:MimbleWimble将交易发送方、接收方和金额隐藏起来,让任何未参与交易的人无法查看。观察 者看到的交易由一些加密的输入和输出组成。他们可以验证已在链上的输入,并且等于输出货币的总和。这是对比特币等系统的改进,在比特币系统中,每个人都可以在比特币从一个地址转移到另一个地址时追踪其价值。
· 高效:MimbleWimble只允许验证者存储未使用的UTXO。所有其他加密货币强制矿工和外部验证者存储区块链的整个交易历史。这可以节省空间和更快的同步,因为随着区块链历史记录的增长,矿工可能被迫使用多个驱动器来存储整个历史记录。
验证者通过验证(1)输入的和等于输出的和,(2)交易不包含负数来检查MimbleWimble交易,以确保没有任何交易试图铸造新币。唯一可以铸币的交易是coinbase交易,这也是唯一可识别的交易。但是,验证者和观察者无法查看谁收到了区块奖励。
MimbleWimble的另一个重要特性是没有地址或公钥,只有输入和输出。每个UTXO都有一个密钥,接收方将UTXO密钥存储在他的钱包中。要发送UTXO,发送方必须在专用通道中与接收方联系,并执行多轮通信来构建交易。发送方使用自己的UTXO密钥对UTXO进行签名,而接收方通过通信获得了输出UTXO的新密钥。
问题
区块链是不可伪造的公共交易账簿。不可伪造意味着用户只能发送他们收到的资金——他们不能发送已使用资金或凭空创造资金。比特币和类似的区块链公开了发送方地址、接收方地址和交易金额,因此很容易验证发送的金额是否等于接收的金额,并且发送输入的是与这些输入对应的私钥。
比特币(以及其他加密资产)的公开性,可能会不被那些不想分享交易细节给所有人的人和企业的欢迎。此外,随着像Elliptic和Chainalysis这样的区块链分析公司崛起,研究人员可以将输出与非法交易联系起来,并将这些输出列入黑名单。币安的首席执行官曾在推特上表示,在社交媒体上报道了黑客向该交易所发送的资金后,他们能够冻结这些资金。然而,一些人认为这违反了非同质(fungibility)原则。非同质是指所有币都是一样,就像一张1美元的纸币与另一张1美元的纸币是一样的,不管这张纸币过去有什么活动。
比特币和所有其他区块链都要求矿工和其他验证者存储该链的整个交易历史,以验证所有交易都为有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这对希望与网络同步的新参与者在空间、时间和计算上有很大要求。在2019年之前,比特币区块链的大小约为200GB。
MIMBLEWIMBLE解决方案
MimbleWimble以一种聪明的方式使用密码学来实现不可伪造性,同时优化了隐私和扩展性。与比特币验证每个输出的整个历史不同,MimbleWimble检查所有输入减去区块链上所有输出之和是否为零来验证链(这加强了货币的一个基本特性,即发送的金额等于接收的金额)。MimbleWimble使用了保密交易、CoinJoin、范围证明和核销(cut-through)组合。
与比特币类似,MimbleWimble依赖于椭圆曲线密码学和UTXO模型。然而,MimbleWimble是一个更精简的版本,由于脚本的隐私性问题,它牺牲了可编程性。因此,无法执行更复杂和丰富的功能,如时间锁定或支付渠道(如闪电网络)。
快速了解:UTXO
比特币和MimbleWimble使用未花费的交易输出(UTXO)模型来计算余额。可以将此模型使用币与钞票或信用卡与借记卡支付商品和服务进行对比。例如,Alice想买一件30美元的衬衫,但她有2张20美元的钞票。她不能只给商人一张半的钞票。相反,她把2张钞票都给了商人,并收到一张10美元的钞票作为找零。
UTXO模型的功能与此类似:Alice有2个交易输出,分别是先前交易的1个BTC和0.5个BTC。她需要向商家支付1.3 BTC。她的钱包创建了一个交易,该交易发送1.5 BTC(2个新输出)。商户收到1.3个比特币,Alice收到0.2个比特币作为找零(扣除交易费用)。比特币用户查看区块浏览器,可以发现他们比特币地址发送的比特币数量通常比指定的要多。
快速了解:椭圆曲线密码学
椭圆曲线有几个特性,对复杂的密码协议非常有帮助。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点G,并将其乘以某个整数s,很容易得到另一个点P=sG。然而,给定(P,G),恢复s的值在计算上不可行。这使得我们可以使用(P,G)作为公钥,而s作为密钥。另一个性质是椭圆曲线上的点具有有用的代数性质:
1. 分配式:(a+b)G = aG+bG
2. 交换律:a(bG) = b(aG) = (ab)G
快速了解:佩德森承诺
佩德森承诺是结合了椭圆曲线的单向和代数特性的密码原语。对某些值(x,y)的承诺计算为P=xG+yH。虽然算出s=P/G在计算上不可行,但是从(P,G,H)计算出(x,y)也不可能,因为有无数的x和y的组合可以满足P=xG+yH关系。然而,知道单个(x,y)对满足这个等式的用户无法计算满足这个等式而不违反椭圆曲线单向特性的第二个 (x ',y ') 对。
保密交易
默认情况下,MimbleWimble依靠一种称为保密交易(CT)的加密概念来实现隐私。保密交易由Gregory Maxwell提出,他的灵感来自Adam Back对比特币的同态加密。保密交易使用佩德森承诺来隐藏UTXO的值。
在MimbleWimble中,交易输出或输入表示为佩德森承诺rG + vH。G和H是椭圆曲线上的随机点,是区块链的公共参数。V值为UTXO值,r为盲因子,是UTXO的密钥。rG值是对应的公钥。MimbleWimble使用佩德森承诺混淆敏感的交易信息,而不是显示明文的交易值。佩德森承诺允许使用基本算法来验证交易。
假设这样一个例子:我们有2个输入和1个输出。我们提供了样本值和盲因子,同时保留公共参数G和H作为变量。
交易内核
如上所述,保密交易的问题在于,它们要求输入和输出UTXO使用相同的盲因子,即接收方的密钥。如果发送方知道了接收方的盲因子值,她就可以窃取接收方的输出UTXO。MimbleWimble使用零知识证明克服了这个问题。
假设一个发送5个币的简单例子。发送方有一个未使用的UTXO,表示为承诺X=45G+5H,其中X=5,45是她的盲因子(r),或密钥。接收方选择一个随机盲因子7,并创建一个输出UTXO,表示为承诺Y=7G+5H。将输入与输出进行比较的验证者将看到超额的承诺:
X-Y = (45G+5H) - (7G+5H) = 38G
MimbleWimble将值38称为excess或内核,将值X-Y = 38G称为交易内核。在有效交易中,交易内核的形式总是X-Y = rG+0H,其中r是某个整数。即使使用多个输入和输出,如果输入值的和等于输出值的和,值乘以H等于零,等式成立。有效的交易内核总是公钥的形式,发送方和接收方都知道相应密钥的一部分。MimbleWimble有一个协议,该协议允许它们联合计算一个签名,使用它们的盲因子来签署交易。内核代表交易参与者的多重签名密钥。
范围证明
MimbleWimble协议要求交易金额为正,因此用户不能凭空创造币。正如我们所提到的,惟一能够铸造币的交易类型是coinbase交易。范围证明是一种密码技术,用于证明给定佩德森承诺X,证明者知道一对整数(r, min < v < max),使得X=rG+vH。MimbleWimble使用范围证明来证明v>0。MimbleWimble使用了最近介绍的防弹协议,一种范围证明方法,只需消耗~5000到~700字节。
无地址
如前所述,MimbleWimble不使用地址。删除地址背后的一个关键动机是增强隐私和扩大空间。在基于mimblewimb le的区块链中,用户必须在链下通信才能创建交易。发送方与接收方共享其控制一些币的证明,接收方接受对这些币的控制。由于没有公开分配币控制权的地址,因此没有发送交易的“标准”方式。因此,交易参与者需要设置一个聊天会话来共享控制证明并将控制传递给接收方。这与比特币(以及大多数其他区块链)很大不同,后者可以在没有接收方参与的情况下执行交易。
CoinJoin
解决交易公开性的一种方法是使用CoinJoin。CoinJoin是一种将输入组合成单个大交易的方法,这使得很难区分哪些输入在支付,哪些是输出。CoinJoin已在JoinMarket、ShufflePuff、DarkWallet、SharedCoin、Wasabi、Samourai中实现。基于钱包的CoinJoin的缺点是用户必须选择使用该服务。这降低了它的有效性,因为用户要么不知道这些服务,要么认为使用这些服务太麻烦,从而导致了一组小型CoinJoin交易(一个小型的“匿名集”)。这不能有效地隐藏原始地址和接收地址。此外,用户必须进行交互才能创建CoinJoin交易,因为每个输入所有者必须对整个组合交易签名才能对其进行身份验证。
在MimbleWimble中,默认情况下用户不需要选择CoinJoin。一个区块不会有单独交易,相反,它看起来像是一个大型交易。图1是下一个区块中包含的一组未改动交易的简化版本。在图2中,MimbleWimble以类似于CoinJoin的流程将交易连接在一起,这样就是一个单独交易,一个组合了所有输入和所有输出的列表。
核销(Cut-throuh)
保密交易比常规交易要大得多。CT比非CT小5倍。MimbleWimble使用一种称为核销的技术来解决这一挑战,以提高效率。
正如我们上面提到的,下载完整的比特币区块链占用了近200GB的空间,并且还在增加。如果比特币上的所有交易都是像MimbleWimble这样的保密交易,那么区块链的规模将会大上几个数量级。
MimbleWimble使用一个称为“核销”的流程来删除冗余输出,将这些输出再次用作同一区块内的输入,从而释放区块内的空间,减少需要存储在区块链上的数据量,同时保持相同的安全性。
在图3中,网络标识出绿色输出用作稍后的输入。网络从这个给定区块的输入/输出中删除这个冗余,以精简必须存储的数据。虽然MimbleWimble删除了输出,但它保留这些交易发生的授权,即内核。
微观层面上,MimbleWimble的区块没有使用该工具,而是在宏观层面上使用了核销,因此仅剩下区块头、UTXO和交易内核。节点可以使用这些关键数据片段来验证区块链。这意味着区块链可能会缩小,例如,如果有一个区块的输出花费的比创建的多。理论上,这可以减少证明分类账状态长期正确所需的数据量。
根据Grin的说法,假设1000万笔交易使用10万UTXO(相当于1个分类账),而不使用核销,则大约为130GB,其中包含128GB的交易数据、1GB的交易证明数据和250MB的区块头。通过核销,区块链的大小可以降低到1.8GB,输出数据为1GB, UTXO为520MB,区块头为250mb。Beam认为,当区块链达到同样规模时,其大小可能只是比特币的30%。
蒲公英协议
MimbleWimble隐私性面临的最大威胁是,节点可以在将交易广播到网络时记录这些交易,然后再将它们包含到一个区块中。在有核销之前,交易输出会在内存池(未经确认的交易池)中停留一些时间。这允许间谍节点构建交易图2,并可能发现发送方IP。
蒲公英协议不属于MimbleWimble,它是对Grin和Beam的补充。蒲公英试图降低间谍节点成功创建交易图的概率,方法是“在交易爆发之前先悄悄地在网络上转发,从而延迟交易在网络上出现”(Andreas Antonopoulos) 。
通常,当有人向区块链发送一个交易时,它会广播到网络上的所有节点。蒲公英将交易的广播分为2个阶段,从“stem”或“匿名”阶段开始,交易随机广播到一个节点,然后节点随机将交易发送到另一个节点,以此类推,直到达到系统将交易广播到整个网络的“fluff”阶段。这可以防止监视节点使用蒲公英将交易映射回原始地址。蒲公英++是对蒲公英的改进,使创建交易图更加困难。
在MimbleWimble中,还可以在stem阶段之前合并交易,使将输入链接到交易变得更加困难。Beam更进一步,在没有足够的输出进行合并的情况下,可以添加虚拟或诱饵输出。
蒲公英面临的一个关键挑战是,在stem阶段,如果将交易传递给随后离线的节点,交易将不会传播到网络。Grin和Beam解决了这一挑战——如果该交易没有在合理的时间内达到“fluff”阶段,交易自动广播到更广泛的网络。
无脚本脚本(Scriptless scripts)
MimbleWimble不支持交易脚本,而交易脚本是大多数区块链一个重要的特性。脚本是嵌入在交易中的代码,支持基本的智能合约功能。没有它,MimbleWimble就不能支持条件交易、使用时间锁、状态通道(例如闪电网络)、跨链原子交换等等。这是不可链接交易和核销付出的代价。验证者无法检查是否满足智能合约条件,因为相关UTXO及其条件可能已被删除。
当2016年8月发表第一篇MimbleWimble论文时,无条件交易对社区而言似乎还是一个限制。然而,Andrew Poelstra发现了一种用无脚本的脚本实现简单智能合约的方法。无脚本的脚本基于这样一种思想,即区块链验证者只需要检查签名是否存在并正确。它们不需要知道发生在链下的条件元素。Schnorr签名可用于支持无脚本的脚本。
具体地说,交易的参与者可以通过组合各自的签名密钥来创建Schnorr多重签名,从而交互式地生成签名,这个签名是唯一需要提交给节点并由节点验证的数据。
Aaron Van Wirdum解释,他举了一个网络用户想听艺术家歌曲的例子。艺术家和用户需要向区块链提交他们的组合Schnorr签名,以验证条件交易。艺术家拥有歌曲的版权,其对歌曲进行加密,密钥设为7000。
获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的Schnorr签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个适配器签名1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的Schnorr签名减去歌曲密钥的结果。然后用户也做Schnorr签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都在链下发生,除了艺术家和用户,没有人能发现单个值和步骤。验证者所看到的唯一内容是Schnorr组合签名13000。公众无法检测Schnorr签名。区块链上只记录了“交易结算”。可以通过添加支持Schnorr签名的新操作码来实现无脚本脚本。Grin和Beam正在实现无脚本脚本的过程中,并没有功能投入使用的确切时间。
无脚本的脚本可潜在支持保密资产、跨链原子交换和第二层扩容解决方案,比如在MimbleWimble区块链上使用闪电网络。无脚本脚本不一定要在MimbleWimble上实现,甚至可以扩展到其他区块链生态上。
结论
MimbleWimble基于经过验证的密码原语。其中一些区块构建已发表在同行评审的密码期刊上,以及写入公共白皮书和技术报告。首个MimbleWimble区块链Grin和Beam直到最近才推出。虽然MimbleWimble是一项新的实验性技术,但它有提供显著的隐私性和扩容优势的潜力,目前它还未解决用户体验和隐私方面的挑战。需要大量的测试和迭代,才能开源区块链上大规模地让隐私落实。目前,复杂的概念在实践中可能面临大量问题。
用户体验方面,没有地址,交易参与方需要交互并在线(虽然不一定同时在线)来签署和完成交易。与现有的加密资产相比较为复杂。
隐私方面,在CoinJoin和核销出现之前,矿工可以在mempool中看到交易。因此,监视网络的节点可以构建详细的交易图,从而损害隐私性,这违反了MimbleWimble的核心价值主张。虽然有蒲公英协议和虚拟UTXO等潜在的解决方案,但在实践中还有待完善。
欢迎添加小助手微信号:go-first-one 获取更多数据分析报告 查看全部
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告上篇,主要讲述MW协议的背景原理和机制等问题,相关具体应用案例将在下篇文章中具体分析,敬请关注!
MimbleWimble
MimbleWimble是一种增强隐私和扩容的区块链协议。在不存储整个区块链历史记录的情况下,验证所有交易是否有效。它的名字来源于《哈利波特》中束缚舌头的咒语,这种咒语可以防止被施咒者泄露秘密。2016年,一个化名汤姆·埃尔维斯·杰多索的人在比特币奇才IRC聊天室分享了一个Tor链接,链接到一个概述MimbleWimble的文本文件,然后就消失了。
背景
Blockstream的数学家Andrew Poelstra对该协议很感兴趣,并于2016年10月发表了一篇关于MimbleWimble更详细、更强大的技术意见书。MimbleWimble是一个区块链协议,Grin和Beam是它的2个最初实现。在本篇报告中,我们将探索MimbleWimble、Grin和Beam。
来源:messari.io/onchainfx,coinmarketcap.com
加密社区的许多人一直在密切关注MimbleWimble协议,因为其旨在改进比特币和其他加密货币的关键问题,首次优化了隐私性和扩展性。
· 健全的隐私性:MimbleWimble将交易发送方、接收方和金额隐藏起来,让任何未参与交易的人无法查看。观察 者看到的交易由一些加密的输入和输出组成。他们可以验证已在链上的输入,并且等于输出货币的总和。这是对比特币等系统的改进,在比特币系统中,每个人都可以在比特币从一个地址转移到另一个地址时追踪其价值。
· 高效:MimbleWimble只允许验证者存储未使用的UTXO。所有其他加密货币强制矿工和外部验证者存储区块链的整个交易历史。这可以节省空间和更快的同步,因为随着区块链历史记录的增长,矿工可能被迫使用多个驱动器来存储整个历史记录。
验证者通过验证(1)输入的和等于输出的和,(2)交易不包含负数来检查MimbleWimble交易,以确保没有任何交易试图铸造新币。唯一可以铸币的交易是coinbase交易,这也是唯一可识别的交易。但是,验证者和观察者无法查看谁收到了区块奖励。
MimbleWimble的另一个重要特性是没有地址或公钥,只有输入和输出。每个UTXO都有一个密钥,接收方将UTXO密钥存储在他的钱包中。要发送UTXO,发送方必须在专用通道中与接收方联系,并执行多轮通信来构建交易。发送方使用自己的UTXO密钥对UTXO进行签名,而接收方通过通信获得了输出UTXO的新密钥。
问题
区块链是不可伪造的公共交易账簿。不可伪造意味着用户只能发送他们收到的资金——他们不能发送已使用资金或凭空创造资金。比特币和类似的区块链公开了发送方地址、接收方地址和交易金额,因此很容易验证发送的金额是否等于接收的金额,并且发送输入的是与这些输入对应的私钥。
比特币(以及其他加密资产)的公开性,可能会不被那些不想分享交易细节给所有人的人和企业的欢迎。此外,随着像Elliptic和Chainalysis这样的区块链分析公司崛起,研究人员可以将输出与非法交易联系起来,并将这些输出列入黑名单。币安的首席执行官曾在推特上表示,在社交媒体上报道了黑客向该交易所发送的资金后,他们能够冻结这些资金。然而,一些人认为这违反了非同质(fungibility)原则。非同质是指所有币都是一样,就像一张1美元的纸币与另一张1美元的纸币是一样的,不管这张纸币过去有什么活动。
比特币和所有其他区块链都要求矿工和其他验证者存储该链的整个交易历史,以验证所有交易都为有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这对希望与网络同步的新参与者在空间、时间和计算上有很大要求。在2019年之前,比特币区块链的大小约为200GB。
MIMBLEWIMBLE解决方案
MimbleWimble以一种聪明的方式使用密码学来实现不可伪造性,同时优化了隐私和扩展性。与比特币验证每个输出的整个历史不同,MimbleWimble检查所有输入减去区块链上所有输出之和是否为零来验证链(这加强了货币的一个基本特性,即发送的金额等于接收的金额)。MimbleWimble使用了保密交易、CoinJoin、范围证明和核销(cut-through)组合。
与比特币类似,MimbleWimble依赖于椭圆曲线密码学和UTXO模型。然而,MimbleWimble是一个更精简的版本,由于脚本的隐私性问题,它牺牲了可编程性。因此,无法执行更复杂和丰富的功能,如时间锁定或支付渠道(如闪电网络)。
快速了解:UTXO
比特币和MimbleWimble使用未花费的交易输出(UTXO)模型来计算余额。可以将此模型使用币与钞票或信用卡与借记卡支付商品和服务进行对比。例如,Alice想买一件30美元的衬衫,但她有2张20美元的钞票。她不能只给商人一张半的钞票。相反,她把2张钞票都给了商人,并收到一张10美元的钞票作为找零。
UTXO模型的功能与此类似:Alice有2个交易输出,分别是先前交易的1个BTC和0.5个BTC。她需要向商家支付1.3 BTC。她的钱包创建了一个交易,该交易发送1.5 BTC(2个新输出)。商户收到1.3个比特币,Alice收到0.2个比特币作为找零(扣除交易费用)。比特币用户查看区块浏览器,可以发现他们比特币地址发送的比特币数量通常比指定的要多。
快速了解:椭圆曲线密码学
椭圆曲线有几个特性,对复杂的密码协议非常有帮助。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点G,并将其乘以某个整数s,很容易得到另一个点P=sG。然而,给定(P,G),恢复s的值在计算上不可行。这使得我们可以使用(P,G)作为公钥,而s作为密钥。另一个性质是椭圆曲线上的点具有有用的代数性质:
1. 分配式:(a+b)G = aG+bG
2. 交换律:a(bG) = b(aG) = (ab)G
快速了解:佩德森承诺
佩德森承诺是结合了椭圆曲线的单向和代数特性的密码原语。对某些值(x,y)的承诺计算为P=xG+yH。虽然算出s=P/G在计算上不可行,但是从(P,G,H)计算出(x,y)也不可能,因为有无数的x和y的组合可以满足P=xG+yH关系。然而,知道单个(x,y)对满足这个等式的用户无法计算满足这个等式而不违反椭圆曲线单向特性的第二个 (x ',y ') 对。
保密交易
默认情况下,MimbleWimble依靠一种称为保密交易(CT)的加密概念来实现隐私。保密交易由Gregory Maxwell提出,他的灵感来自Adam Back对比特币的同态加密。保密交易使用佩德森承诺来隐藏UTXO的值。
在MimbleWimble中,交易输出或输入表示为佩德森承诺rG + vH。G和H是椭圆曲线上的随机点,是区块链的公共参数。V值为UTXO值,r为盲因子,是UTXO的密钥。rG值是对应的公钥。MimbleWimble使用佩德森承诺混淆敏感的交易信息,而不是显示明文的交易值。佩德森承诺允许使用基本算法来验证交易。
假设这样一个例子:我们有2个输入和1个输出。我们提供了样本值和盲因子,同时保留公共参数G和H作为变量。
交易内核
如上所述,保密交易的问题在于,它们要求输入和输出UTXO使用相同的盲因子,即接收方的密钥。如果发送方知道了接收方的盲因子值,她就可以窃取接收方的输出UTXO。MimbleWimble使用零知识证明克服了这个问题。
假设一个发送5个币的简单例子。发送方有一个未使用的UTXO,表示为承诺X=45G+5H,其中X=5,45是她的盲因子(r),或密钥。接收方选择一个随机盲因子7,并创建一个输出UTXO,表示为承诺Y=7G+5H。将输入与输出进行比较的验证者将看到超额的承诺:
X-Y = (45G+5H) - (7G+5H) = 38G
MimbleWimble将值38称为excess或内核,将值X-Y = 38G称为交易内核。在有效交易中,交易内核的形式总是X-Y = rG+0H,其中r是某个整数。即使使用多个输入和输出,如果输入值的和等于输出值的和,值乘以H等于零,等式成立。有效的交易内核总是公钥的形式,发送方和接收方都知道相应密钥的一部分。MimbleWimble有一个协议,该协议允许它们联合计算一个签名,使用它们的盲因子来签署交易。内核代表交易参与者的多重签名密钥。
范围证明
MimbleWimble协议要求交易金额为正,因此用户不能凭空创造币。正如我们所提到的,惟一能够铸造币的交易类型是coinbase交易。范围证明是一种密码技术,用于证明给定佩德森承诺X,证明者知道一对整数(r, min < v < max),使得X=rG+vH。MimbleWimble使用范围证明来证明v>0。MimbleWimble使用了最近介绍的防弹协议,一种范围证明方法,只需消耗~5000到~700字节。
无地址
如前所述,MimbleWimble不使用地址。删除地址背后的一个关键动机是增强隐私和扩大空间。在基于mimblewimb le的区块链中,用户必须在链下通信才能创建交易。发送方与接收方共享其控制一些币的证明,接收方接受对这些币的控制。由于没有公开分配币控制权的地址,因此没有发送交易的“标准”方式。因此,交易参与者需要设置一个聊天会话来共享控制证明并将控制传递给接收方。这与比特币(以及大多数其他区块链)很大不同,后者可以在没有接收方参与的情况下执行交易。
CoinJoin
解决交易公开性的一种方法是使用CoinJoin。CoinJoin是一种将输入组合成单个大交易的方法,这使得很难区分哪些输入在支付,哪些是输出。CoinJoin已在JoinMarket、ShufflePuff、DarkWallet、SharedCoin、Wasabi、Samourai中实现。基于钱包的CoinJoin的缺点是用户必须选择使用该服务。这降低了它的有效性,因为用户要么不知道这些服务,要么认为使用这些服务太麻烦,从而导致了一组小型CoinJoin交易(一个小型的“匿名集”)。这不能有效地隐藏原始地址和接收地址。此外,用户必须进行交互才能创建CoinJoin交易,因为每个输入所有者必须对整个组合交易签名才能对其进行身份验证。
在MimbleWimble中,默认情况下用户不需要选择CoinJoin。一个区块不会有单独交易,相反,它看起来像是一个大型交易。图1是下一个区块中包含的一组未改动交易的简化版本。在图2中,MimbleWimble以类似于CoinJoin的流程将交易连接在一起,这样就是一个单独交易,一个组合了所有输入和所有输出的列表。
核销(Cut-throuh)
保密交易比常规交易要大得多。CT比非CT小5倍。MimbleWimble使用一种称为核销的技术来解决这一挑战,以提高效率。
正如我们上面提到的,下载完整的比特币区块链占用了近200GB的空间,并且还在增加。如果比特币上的所有交易都是像MimbleWimble这样的保密交易,那么区块链的规模将会大上几个数量级。
MimbleWimble使用一个称为“核销”的流程来删除冗余输出,将这些输出再次用作同一区块内的输入,从而释放区块内的空间,减少需要存储在区块链上的数据量,同时保持相同的安全性。
在图3中,网络标识出绿色输出用作稍后的输入。网络从这个给定区块的输入/输出中删除这个冗余,以精简必须存储的数据。虽然MimbleWimble删除了输出,但它保留这些交易发生的授权,即内核。
微观层面上,MimbleWimble的区块没有使用该工具,而是在宏观层面上使用了核销,因此仅剩下区块头、UTXO和交易内核。节点可以使用这些关键数据片段来验证区块链。这意味着区块链可能会缩小,例如,如果有一个区块的输出花费的比创建的多。理论上,这可以减少证明分类账状态长期正确所需的数据量。
根据Grin的说法,假设1000万笔交易使用10万UTXO(相当于1个分类账),而不使用核销,则大约为130GB,其中包含128GB的交易数据、1GB的交易证明数据和250MB的区块头。通过核销,区块链的大小可以降低到1.8GB,输出数据为1GB, UTXO为520MB,区块头为250mb。Beam认为,当区块链达到同样规模时,其大小可能只是比特币的30%。
蒲公英协议
MimbleWimble隐私性面临的最大威胁是,节点可以在将交易广播到网络时记录这些交易,然后再将它们包含到一个区块中。在有核销之前,交易输出会在内存池(未经确认的交易池)中停留一些时间。这允许间谍节点构建交易图2,并可能发现发送方IP。
蒲公英协议不属于MimbleWimble,它是对Grin和Beam的补充。蒲公英试图降低间谍节点成功创建交易图的概率,方法是“在交易爆发之前先悄悄地在网络上转发,从而延迟交易在网络上出现”(Andreas Antonopoulos) 。
通常,当有人向区块链发送一个交易时,它会广播到网络上的所有节点。蒲公英将交易的广播分为2个阶段,从“stem”或“匿名”阶段开始,交易随机广播到一个节点,然后节点随机将交易发送到另一个节点,以此类推,直到达到系统将交易广播到整个网络的“fluff”阶段。这可以防止监视节点使用蒲公英将交易映射回原始地址。蒲公英++是对蒲公英的改进,使创建交易图更加困难。
在MimbleWimble中,还可以在stem阶段之前合并交易,使将输入链接到交易变得更加困难。Beam更进一步,在没有足够的输出进行合并的情况下,可以添加虚拟或诱饵输出。
蒲公英面临的一个关键挑战是,在stem阶段,如果将交易传递给随后离线的节点,交易将不会传播到网络。Grin和Beam解决了这一挑战——如果该交易没有在合理的时间内达到“fluff”阶段,交易自动广播到更广泛的网络。
无脚本脚本(Scriptless scripts)
MimbleWimble不支持交易脚本,而交易脚本是大多数区块链一个重要的特性。脚本是嵌入在交易中的代码,支持基本的智能合约功能。没有它,MimbleWimble就不能支持条件交易、使用时间锁、状态通道(例如闪电网络)、跨链原子交换等等。这是不可链接交易和核销付出的代价。验证者无法检查是否满足智能合约条件,因为相关UTXO及其条件可能已被删除。
当2016年8月发表第一篇MimbleWimble论文时,无条件交易对社区而言似乎还是一个限制。然而,Andrew Poelstra发现了一种用无脚本的脚本实现简单智能合约的方法。无脚本的脚本基于这样一种思想,即区块链验证者只需要检查签名是否存在并正确。它们不需要知道发生在链下的条件元素。Schnorr签名可用于支持无脚本的脚本。
具体地说,交易的参与者可以通过组合各自的签名密钥来创建Schnorr多重签名,从而交互式地生成签名,这个签名是唯一需要提交给节点并由节点验证的数据。
Aaron Van Wirdum解释,他举了一个网络用户想听艺术家歌曲的例子。艺术家和用户需要向区块链提交他们的组合Schnorr签名,以验证条件交易。艺术家拥有歌曲的版权,其对歌曲进行加密,密钥设为7000。
获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的Schnorr签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个适配器签名1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的Schnorr签名减去歌曲密钥的结果。然后用户也做Schnorr签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都在链下发生,除了艺术家和用户,没有人能发现单个值和步骤。验证者所看到的唯一内容是Schnorr组合签名13000。公众无法检测Schnorr签名。区块链上只记录了“交易结算”。可以通过添加支持Schnorr签名的新操作码来实现无脚本脚本。Grin和Beam正在实现无脚本脚本的过程中,并没有功能投入使用的确切时间。
无脚本的脚本可潜在支持保密资产、跨链原子交换和第二层扩容解决方案,比如在MimbleWimble区块链上使用闪电网络。无脚本脚本不一定要在MimbleWimble上实现,甚至可以扩展到其他区块链生态上。
结论
MimbleWimble基于经过验证的密码原语。其中一些区块构建已发表在同行评审的密码期刊上,以及写入公共白皮书和技术报告。首个MimbleWimble区块链Grin和Beam直到最近才推出。虽然MimbleWimble是一项新的实验性技术,但它有提供显著的隐私性和扩容优势的潜力,目前它还未解决用户体验和隐私方面的挑战。需要大量的测试和迭代,才能开源区块链上大规模地让隐私落实。目前,复杂的概念在实践中可能面临大量问题。
用户体验方面,没有地址,交易参与方需要交互并在线(虽然不一定同时在线)来签署和完成交易。与现有的加密资产相比较为复杂。
隐私方面,在CoinJoin和核销出现之前,矿工可以在mempool中看到交易。因此,监视网络的节点可以构建详细的交易图,从而损害隐私性,这违反了MimbleWimble的核心价值主张。虽然有蒲公英协议和虚拟UTXO等潜在的解决方案,但在实践中还有待完善。
欢迎添加小助手微信号:go-first-one 获取更多数据分析报告
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
项目 • chainnews 发表了文章 • 2019-03-22 16:01
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(1)
续上文……
管理
在目前的状态下,Beam 依靠位于特拉维夫的小型 VC 支持的团队来开发项目的所有更新并增加新的功能。因此,项目的组织结构类似于私人创业公司,而不是大多数区块链项目所展示的管理流程。这使得 Beam 能够控制项目风险并实现快速可控的迭代开发,从而在早期阶段提高项目研发效率并快速上线满足市场需求。
Beam 领导团队由首席执行官 Alexander Saidelson,首席技术官 Alex Romano,首席运营官 Amir Aaronson 和 CMO Beni Issembert 组成。其他核心成员主要由开发人员以及一些设计师和部门主管组成。该公司还从 12 位顾问那里获得了见解,其中包括 OGroup 的首席执行官、通用电气 (GE) 新兴技术部门前首席信息官玛嘉•武吉诺维奇 (Maja Vujinovic) 和 Genesis Mining 的首席执行官兼联合创始人马可•斯特兰 (Marco Streng)。
随着项目的逐渐成熟,创始成员将把控制权从创始团队手上转移到 Beam 主权货币基金会 (Beam Sovereign Money Foundation),这是一个独立的非盈利基金会,旨在由杰出和受人尊敬的社区成员运营。Beam 认为,建立基金会将有助于实现其分散组织结构的目标。预计在未来几个月内,2019 年底前,Beam 将会确定基金会职责和规则并组建董事会。,一旦基金会开始运作,当前的 Beam 公司将转换为基金供应商角色,在 Beam 区块链上开发上层用户应用程序。
关于基金会建立过程的大部分信息还尚未公布,但 Beam 基金会的作用包括:
管理 Beam 改进的提案并组织开发;
资助和促进与 Beam,MimbleWimble 和蒲公英技术相关的研究;
提高认知,帮助发展社区;
在数字货币和金融主权中强调隐私的重要性。
挑战
因为采用创业公司的模式,Beam 将面对与大多数区块链创业公司一样的问题:在维护用户看法的同时,转向更去中心化的管理模式的这一典型问题。创业公司普遍存在高失败率的问题,原因有很多,包括产品与市场不匹配、开销过大导致资金不足以解决团队内部冲突。一个由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能威胁到整个项目。
更艰巨的任务是需要获得足够的支持,以帮助将管理和开发工作从小型创始团队转移到整个社区。一个重要的区块链项目评估指标是项目的去中心化程度,而 Beam 有意选择延迟去中化的过程。支持 Beam 战略的论点是早期阶段的项目「需要能够快速推动和自主迭代」。用 Arjun Balaji 的话说:「在早期使得项目去中化的同时构建新型去中化区块链网络是几乎不可能的」,因为这些目标本身就是矛盾的。
用户体验
BEAM WALLET
Beam 为普通用户提供了图形用户界面钱包,以及用于 Mac,Windows 和 Linux 的命令行界面钱包。Beam 桌面钱包使交易各方可以彼此共享的公开的地址。这些地址并不会记录在区块链上。Beam 最近还推出了 Android 手机钱包的测试版,并计划推出 iOS 手机钱包。该公司还表示,正在与硬件钱包供应商进行沟通,以使硬件钱包增加对 Beam 的支持。
安全公告板系统(SBBS)
Beam 尝试使用安全公告板系统(SBBS)创建离线交易,利用异步通信使得交易更加无缝和安全。 Beam 的 BBS 是类似八十年代和九十年代早期流行的公告牌系统 BBS。拥有家用计算机和调制解调器的人可以通过固定电话拨号连接到其他计算机,并在基于文本的公告牌系统 (BBSes) 上留下信息,供他人查看。 BBS 主机将计算机转换为数字会议场所。随着它们越来越先进,用户可以玩基于文本的游戏,甚至可以方便的传输文件。
在 Beam 中,BBS 钱包可以类比为家用计算机和调制解调器(作为「客户端」),而 Beam 区块链全节点可类比为 BBS 主机(作为服务器)。 SBBS 是区块链节点软件的一部分,并且是在链外维护的。 BBS 节点创建存储转发网络,将消息中继到离线的接收人。消息使用公钥加密,然后通过 Beam 节点中继到接收方的钱包。在这种情况下,公钥充当 P2P 系统中的地址。如果接收钱包处于离线状态,则存储转发 Beam 节点可以将消息存储在类似留言板的数据库中。交易参与者尝试解密他们订阅的留言板上的消息,但只有掌握对应的私钥的参与者才能解密发给他们的消息。
Beam 打算利用其钱包和 SBBS,让用户体验类似于基于地址的区块链交易,并降低使用基于 MimbleWimble 协议的数字币的门槛。
BEAM 钱包面临的挑战
自 1 月 9 日推出后不久,Beam 开发人员发现其钱包中存在漏洞,导致用户资金遭到入侵。开发人员发现他们在钱包代码中留下了一些不应该存在的东西。虽然 Beam 在发布之前经历了多次代码审查和审核,但他们主要关注的是 Beam 的加密实现的稳健性,这表明在审计钱包和 SBBS 时可能没有采用与之相同的严格程度。 Beam 宣布,漏洞是在内部发现并修复的,并没有资金被盗,并建议用户卸载钱包软件后从 Beam 网站重新下载更新后的版本。
1 月 21 日,Beam 经历了另一个问题,因为钱包使用不当导致区块链暂出块在第 25,709 块上停止出块。当时,由于克隆的钱包产生了 UTXO 相同的两笔交易并被分别发送到区块链上,从而导致核销流程不能正常工作并最终引起出现无效的区块。 Beam 在将近 3 个小时内没有生成块,在大约 5 个小时内没有发生交易处理。
审计能力
Beam 的主要优势之一是专注于服务业务。除了 MimbleWimble 所做的改进之外,Beam 还开发了可选的合规性和可审计性功能(钱包审计功能或称为商业钱包),以帮助企业遵守法规并执行必要的审核。这允许企业创建一个附有审计员私钥的钱包,以便审计员可以识别由商业钱包创建的区块链上的交易。有了这个可选的合规性功能,交易仍然具有隐私性,但用户可以根据授权审计员查看交易情况。这为普通企业开辟了加密资产的使用场景。
根据 Zaidelson 的说法,虽然实际的交易关联信息将由钱包生成并离线存储,但区块链会保存每个交易关联信息的哈希值。 Beam 区块链不存储历史交易详细信息——它仅存储历史交易的交易内核。在这次访谈中,Zaidelson 说 Beam「可以在内核中存储额外的 [编码] 信息 ...... 包括压缩的文档,例如发票或收据。」当用户接受审计时,审计员可以检查数据哈希值是否是与交易关联信息的哈希值一致。
此功能仍在进行开发,其在实践中的效果还存在一些不确定性。然而,如果它成功了,它可能会解决企业的一个主要痛点,就是这些企业目前而言必须在加密资产的两个极端中做出选择:要么使用像比特币这样的数字币,从而有向竞争对手披露机密信息的代价,但提供了完全的透明度和可审核性;要么使用 Zcash 和 Monero 等具有隐私特性的数字币从而可以隐藏所有交易的痕迹,但也无法进行任何类型的审计。
可审计性面临的挑战是企业必须以安全的方式存储与哈希值相对应的交易关联数据。此外,企业需要相信审计员不会向未经授权的第三方泄漏查看数据的私钥。虽然 Beam 可以创建一种共享私有数据的方法,但普通的审计员可能缺乏对 Beam 区块链上的交易进行审计的技术手段。从理论上讲,他们可以外包这些技术工作,但这会扩大可以访问敏感数据的人群,进而提高数据泄漏的风险。
路线图
在主网上发布后不久,Beam 公布了 2019 年的综合路线图。它分为两个关键类别:Beam Core (专注于改进和推进核心协议)和 Beam Compliance (专注于启动和迭代 Beam 的合规性和可审计性)。从长远来看,Beam 已经在讨论一项名为 Project Lumini 的计划,该计划将专注于在 Beam 和其他一些智能合约区块链之间建立一座桥梁,并在 Beam 上推出加密资产。
BEAM 内核路线
Beam 核心分为五个阶段 - 敏捷原子,明亮玻色子,透明阴极,双多普勒和急切电子(Agile Atom, Bright Boson, Clear Cathode, Double Doppler, and Eager Electron)。路线图中的亮点包括将闪电网络作为 Beam 的第二层解决方案实施,以在今年年底之前实现快捷支付,在 2019 年 3 月底之前 Beam 将支持与比特币的原子互换并且,通过两次计划中的硬分叉保持 Equihash 算法的 ASIC 抗性,以及下面详述的其他举措。我们注意到首先 Beam 必须推出智能合约和多重签名功能(例如通过无脚本脚本),以支持闪电网络(Lightning Network)等第二层解决方案。
Beam 合规路线
Beam 合规路线的主要目标是使 Beam 能够被企业使用。Beam 计划在其合规套件中包含「合规钱包」和「监管接口」,预计将根据具体国家 / 地区的法规进行定制。 截至目前,暂定上线日期为 2020 年。
结论
Beam 采用商业方法构建一种价值存储隐私币。它由风险投资支持,并由其支付工资的员工进行全程推动。因此,Beam 能在不到一年的时间内就完成从开发到上线。它通过其在 Beam 钱包和安全消息系统上的工作,显著提供用户体验和易用性。另一方面,它经历了可能导致资金损失的桌面钱包的一些小问题,这可能对这样一个年轻的项目而言是不利。
Beam 已在其 2019 年路线图中概述了大型计划,包括在 Beam 上建立闪电网络以及为企业和监管机构提供可审核的解决方案。Beam 的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了新的选择。然而,Beam 的合规性性和可审核性解决方案尚未推出,可能带来新的安全性问题。Beam 有雄心勃勃的目标,在把新功能发布到主网之前,应该对这些新功能进行全面彻底的测试,以避免由于不小心造成的可能损害用户资金的失误。如果 Beam 能够实现其规划,这项工作将会为用户提供一组独特且明显有效的新特性。
概括
MimbleWimble 的新颖之处在于,它通过将保密交易技术、混币技术、交易核销技术综合运用,使更多设备可以参与保护网络,从而增强了隐私性和效率。
Grin 和 Beam 都是 MimbleWimble 的实现,但它们的相似之处仅限于此。 Ignotus Peverell (Grin 的创造者)指出「一个常见的误解是,人们认为 MimbleWimble 协议描述了一个完整的加密货币解决方案,因此往往把 Beam 和 (Grin) 放在同一个篮子里。」
虽然这两个项目都试图为用户提供隐私性和在区块链效率方面进行改进,但它们在大多数技术、结构和组织元素上存在差异。引发最多讨论的问题是 :Grin 基于捐赠与志愿者的充满密码朋克式的社区运作方式 (类似于比特币和 Monero) 与 Beam 的由基于 VC 支持的初创公司 (类似于 Zcash) 的包含创始人奖励和由付费员工推动的运作方式相比,哪一种方式更有可持续性?这还需要时间来证明。在此之前,了解这些项目是如何相互影响并相互学习的将是一件有趣的事情。
原文声明
本报告仅为提供信息而编制,不应作为做出投资决策的依据,亦不应被解释为建议从事投资交易,或就任何金融工具或其发行人提出投资策略。本报告并非根据旨在促进投资研究独立性的法律要求编写,亦不受《市场滥用规例》(欧盟) 第 596/2014 号对投资研究传播前交易的任何禁令约束。Circle Internet Financial Limited(「Circle」) 或其附属公司出具的报告,与提供投资、税务、法律、财务、会计、咨询或任何其他相关服务无关,也不建议买卖或持有任何资产。本报告所载的资料是根据被认为可靠但不保证完全准确的资料来源提供的。本文所表达的任何意见或估计均反映自发表之日起作出的判断,如有更改,恕不另行通知。数字资产的交易和投资风险巨大,包括价格波动和流动性不足,可能并不适合所有投资者。此外,Circle 及其附属公司现在或将来可能提供与本报告主题相关的资产相关的财务或其他支持。员工和其他相关人员现在或将来可以在本报告主题的数字资产中进行交易并持有头寸。因此,Circle 及其关联方、其雇员或其他相关人员在现在或将来可能就本报告主题的资产获得报酬,并可能与本报告的规定存在某些利益冲突。对于因使用本资料而引致的任何直接或间接损失,Circle 概不负责。
原文: circle.com 的 Mimble Wimble 报告
翻译:矿宝 程薇霖 查看全部
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(1)
续上文……
管理
在目前的状态下,Beam 依靠位于特拉维夫的小型 VC 支持的团队来开发项目的所有更新并增加新的功能。因此,项目的组织结构类似于私人创业公司,而不是大多数区块链项目所展示的管理流程。这使得 Beam 能够控制项目风险并实现快速可控的迭代开发,从而在早期阶段提高项目研发效率并快速上线满足市场需求。
Beam 领导团队由首席执行官 Alexander Saidelson,首席技术官 Alex Romano,首席运营官 Amir Aaronson 和 CMO Beni Issembert 组成。其他核心成员主要由开发人员以及一些设计师和部门主管组成。该公司还从 12 位顾问那里获得了见解,其中包括 OGroup 的首席执行官、通用电气 (GE) 新兴技术部门前首席信息官玛嘉•武吉诺维奇 (Maja Vujinovic) 和 Genesis Mining 的首席执行官兼联合创始人马可•斯特兰 (Marco Streng)。
随着项目的逐渐成熟,创始成员将把控制权从创始团队手上转移到 Beam 主权货币基金会 (Beam Sovereign Money Foundation),这是一个独立的非盈利基金会,旨在由杰出和受人尊敬的社区成员运营。Beam 认为,建立基金会将有助于实现其分散组织结构的目标。预计在未来几个月内,2019 年底前,Beam 将会确定基金会职责和规则并组建董事会。,一旦基金会开始运作,当前的 Beam 公司将转换为基金供应商角色,在 Beam 区块链上开发上层用户应用程序。
关于基金会建立过程的大部分信息还尚未公布,但 Beam 基金会的作用包括:
管理 Beam 改进的提案并组织开发;
资助和促进与 Beam,MimbleWimble 和蒲公英技术相关的研究;
提高认知,帮助发展社区;
在数字货币和金融主权中强调隐私的重要性。
挑战
因为采用创业公司的模式,Beam 将面对与大多数区块链创业公司一样的问题:在维护用户看法的同时,转向更去中心化的管理模式的这一典型问题。创业公司普遍存在高失败率的问题,原因有很多,包括产品与市场不匹配、开销过大导致资金不足以解决团队内部冲突。一个由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能威胁到整个项目。
更艰巨的任务是需要获得足够的支持,以帮助将管理和开发工作从小型创始团队转移到整个社区。一个重要的区块链项目评估指标是项目的去中心化程度,而 Beam 有意选择延迟去中化的过程。支持 Beam 战略的论点是早期阶段的项目「需要能够快速推动和自主迭代」。用 Arjun Balaji 的话说:「在早期使得项目去中化的同时构建新型去中化区块链网络是几乎不可能的」,因为这些目标本身就是矛盾的。
用户体验
BEAM WALLET
Beam 为普通用户提供了图形用户界面钱包,以及用于 Mac,Windows 和 Linux 的命令行界面钱包。Beam 桌面钱包使交易各方可以彼此共享的公开的地址。这些地址并不会记录在区块链上。Beam 最近还推出了 Android 手机钱包的测试版,并计划推出 iOS 手机钱包。该公司还表示,正在与硬件钱包供应商进行沟通,以使硬件钱包增加对 Beam 的支持。
安全公告板系统(SBBS)
Beam 尝试使用安全公告板系统(SBBS)创建离线交易,利用异步通信使得交易更加无缝和安全。 Beam 的 BBS 是类似八十年代和九十年代早期流行的公告牌系统 BBS。拥有家用计算机和调制解调器的人可以通过固定电话拨号连接到其他计算机,并在基于文本的公告牌系统 (BBSes) 上留下信息,供他人查看。 BBS 主机将计算机转换为数字会议场所。随着它们越来越先进,用户可以玩基于文本的游戏,甚至可以方便的传输文件。
在 Beam 中,BBS 钱包可以类比为家用计算机和调制解调器(作为「客户端」),而 Beam 区块链全节点可类比为 BBS 主机(作为服务器)。 SBBS 是区块链节点软件的一部分,并且是在链外维护的。 BBS 节点创建存储转发网络,将消息中继到离线的接收人。消息使用公钥加密,然后通过 Beam 节点中继到接收方的钱包。在这种情况下,公钥充当 P2P 系统中的地址。如果接收钱包处于离线状态,则存储转发 Beam 节点可以将消息存储在类似留言板的数据库中。交易参与者尝试解密他们订阅的留言板上的消息,但只有掌握对应的私钥的参与者才能解密发给他们的消息。
Beam 打算利用其钱包和 SBBS,让用户体验类似于基于地址的区块链交易,并降低使用基于 MimbleWimble 协议的数字币的门槛。
BEAM 钱包面临的挑战
自 1 月 9 日推出后不久,Beam 开发人员发现其钱包中存在漏洞,导致用户资金遭到入侵。开发人员发现他们在钱包代码中留下了一些不应该存在的东西。虽然 Beam 在发布之前经历了多次代码审查和审核,但他们主要关注的是 Beam 的加密实现的稳健性,这表明在审计钱包和 SBBS 时可能没有采用与之相同的严格程度。 Beam 宣布,漏洞是在内部发现并修复的,并没有资金被盗,并建议用户卸载钱包软件后从 Beam 网站重新下载更新后的版本。
1 月 21 日,Beam 经历了另一个问题,因为钱包使用不当导致区块链暂出块在第 25,709 块上停止出块。当时,由于克隆的钱包产生了 UTXO 相同的两笔交易并被分别发送到区块链上,从而导致核销流程不能正常工作并最终引起出现无效的区块。 Beam 在将近 3 个小时内没有生成块,在大约 5 个小时内没有发生交易处理。
审计能力
Beam 的主要优势之一是专注于服务业务。除了 MimbleWimble 所做的改进之外,Beam 还开发了可选的合规性和可审计性功能(钱包审计功能或称为商业钱包),以帮助企业遵守法规并执行必要的审核。这允许企业创建一个附有审计员私钥的钱包,以便审计员可以识别由商业钱包创建的区块链上的交易。有了这个可选的合规性功能,交易仍然具有隐私性,但用户可以根据授权审计员查看交易情况。这为普通企业开辟了加密资产的使用场景。
根据 Zaidelson 的说法,虽然实际的交易关联信息将由钱包生成并离线存储,但区块链会保存每个交易关联信息的哈希值。 Beam 区块链不存储历史交易详细信息——它仅存储历史交易的交易内核。在这次访谈中,Zaidelson 说 Beam「可以在内核中存储额外的 [编码] 信息 ...... 包括压缩的文档,例如发票或收据。」当用户接受审计时,审计员可以检查数据哈希值是否是与交易关联信息的哈希值一致。
此功能仍在进行开发,其在实践中的效果还存在一些不确定性。然而,如果它成功了,它可能会解决企业的一个主要痛点,就是这些企业目前而言必须在加密资产的两个极端中做出选择:要么使用像比特币这样的数字币,从而有向竞争对手披露机密信息的代价,但提供了完全的透明度和可审核性;要么使用 Zcash 和 Monero 等具有隐私特性的数字币从而可以隐藏所有交易的痕迹,但也无法进行任何类型的审计。
可审计性面临的挑战是企业必须以安全的方式存储与哈希值相对应的交易关联数据。此外,企业需要相信审计员不会向未经授权的第三方泄漏查看数据的私钥。虽然 Beam 可以创建一种共享私有数据的方法,但普通的审计员可能缺乏对 Beam 区块链上的交易进行审计的技术手段。从理论上讲,他们可以外包这些技术工作,但这会扩大可以访问敏感数据的人群,进而提高数据泄漏的风险。
路线图
在主网上发布后不久,Beam 公布了 2019 年的综合路线图。它分为两个关键类别:Beam Core (专注于改进和推进核心协议)和 Beam Compliance (专注于启动和迭代 Beam 的合规性和可审计性)。从长远来看,Beam 已经在讨论一项名为 Project Lumini 的计划,该计划将专注于在 Beam 和其他一些智能合约区块链之间建立一座桥梁,并在 Beam 上推出加密资产。
BEAM 内核路线
Beam 核心分为五个阶段 - 敏捷原子,明亮玻色子,透明阴极,双多普勒和急切电子(Agile Atom, Bright Boson, Clear Cathode, Double Doppler, and Eager Electron)。路线图中的亮点包括将闪电网络作为 Beam 的第二层解决方案实施,以在今年年底之前实现快捷支付,在 2019 年 3 月底之前 Beam 将支持与比特币的原子互换并且,通过两次计划中的硬分叉保持 Equihash 算法的 ASIC 抗性,以及下面详述的其他举措。我们注意到首先 Beam 必须推出智能合约和多重签名功能(例如通过无脚本脚本),以支持闪电网络(Lightning Network)等第二层解决方案。
Beam 合规路线
Beam 合规路线的主要目标是使 Beam 能够被企业使用。Beam 计划在其合规套件中包含「合规钱包」和「监管接口」,预计将根据具体国家 / 地区的法规进行定制。 截至目前,暂定上线日期为 2020 年。
结论
Beam 采用商业方法构建一种价值存储隐私币。它由风险投资支持,并由其支付工资的员工进行全程推动。因此,Beam 能在不到一年的时间内就完成从开发到上线。它通过其在 Beam 钱包和安全消息系统上的工作,显著提供用户体验和易用性。另一方面,它经历了可能导致资金损失的桌面钱包的一些小问题,这可能对这样一个年轻的项目而言是不利。
Beam 已在其 2019 年路线图中概述了大型计划,包括在 Beam 上建立闪电网络以及为企业和监管机构提供可审核的解决方案。Beam 的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了新的选择。然而,Beam 的合规性性和可审核性解决方案尚未推出,可能带来新的安全性问题。Beam 有雄心勃勃的目标,在把新功能发布到主网之前,应该对这些新功能进行全面彻底的测试,以避免由于不小心造成的可能损害用户资金的失误。如果 Beam 能够实现其规划,这项工作将会为用户提供一组独特且明显有效的新特性。
概括
MimbleWimble 的新颖之处在于,它通过将保密交易技术、混币技术、交易核销技术综合运用,使更多设备可以参与保护网络,从而增强了隐私性和效率。
Grin 和 Beam 都是 MimbleWimble 的实现,但它们的相似之处仅限于此。 Ignotus Peverell (Grin 的创造者)指出「一个常见的误解是,人们认为 MimbleWimble 协议描述了一个完整的加密货币解决方案,因此往往把 Beam 和 (Grin) 放在同一个篮子里。」
虽然这两个项目都试图为用户提供隐私性和在区块链效率方面进行改进,但它们在大多数技术、结构和组织元素上存在差异。引发最多讨论的问题是 :Grin 基于捐赠与志愿者的充满密码朋克式的社区运作方式 (类似于比特币和 Monero) 与 Beam 的由基于 VC 支持的初创公司 (类似于 Zcash) 的包含创始人奖励和由付费员工推动的运作方式相比,哪一种方式更有可持续性?这还需要时间来证明。在此之前,了解这些项目是如何相互影响并相互学习的将是一件有趣的事情。
原文声明
本报告仅为提供信息而编制,不应作为做出投资决策的依据,亦不应被解释为建议从事投资交易,或就任何金融工具或其发行人提出投资策略。本报告并非根据旨在促进投资研究独立性的法律要求编写,亦不受《市场滥用规例》(欧盟) 第 596/2014 号对投资研究传播前交易的任何禁令约束。Circle Internet Financial Limited(「Circle」) 或其附属公司出具的报告,与提供投资、税务、法律、财务、会计、咨询或任何其他相关服务无关,也不建议买卖或持有任何资产。本报告所载的资料是根据被认为可靠但不保证完全准确的资料来源提供的。本文所表达的任何意见或估计均反映自发表之日起作出的判断,如有更改,恕不另行通知。数字资产的交易和投资风险巨大,包括价格波动和流动性不足,可能并不适合所有投资者。此外,Circle 及其附属公司现在或将来可能提供与本报告主题相关的资产相关的财务或其他支持。员工和其他相关人员现在或将来可以在本报告主题的数字资产中进行交易并持有头寸。因此,Circle 及其关联方、其雇员或其他相关人员在现在或将来可能就本报告主题的资产获得报酬,并可能与本报告的规定存在某些利益冲突。对于因使用本资料而引致的任何直接或间接损失,Circle 概不负责。
原文: circle.com 的 Mimble Wimble 报告
翻译:矿宝 程薇霖
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(1)
项目 • chainnews 发表了文章 • 2019-03-22 14:47
这是一篇出自著名区块链公司 circle.com 的报告。虽然本文中有些内容有一定的错误,但本文依旧是难得一见的深入浅出、全面细致介绍 MimbleWimble 协议原理与特点的好文章,同时本文也细致介绍、分析、对比了 MimbleWimble 的两个实现 Grin 和 Beam 的详细情况。矿宝为了让更多中国用户、爱好者了解 MimbleWimble 协议和 Grin、Beam 项目,将本文翻译为中文,同时在文中补充勘误了一些信息。由于时间和水平的原因,翻译难免还有不尽甚至错误之处,也欢迎读者不吝指正。
MimbleWimble
MimbleWimble 是一种增强隐私性和可扩展性的区块链协议。MimbleWimble 协议不需要存储整个区块链的所有历史数据,就可以验证区块链的所有交易的有效性 [ 1 ]。MimbelWimble 是以小说《哈利波特》中的「结舌咒」[ 2 ] 来命名的,这个咒语用于防止泄密。该协议是由一个化名 Tom Elvis Jedusor (伏地魔的法语名字)的人于 2016 年提出的,他通过洋葱头加密通讯通道(Tor LIink),在一个名叫「比特币巫师」(Bitcoin wizards)的 IRC 网络聊天室上分享了一个概述 MimbleWimble 的文本 - 然后便消失了。
译者注:
[1] 相较于比特币,用户需要下载完整的交易历史(数据量庞大)来确认交易的有效性。
[2] 结舌咒即:舌头打结的咒语,用于让对手沉默。
背景
Blockstream 的数学家 Andrew Poelstra [1] 对 WimbleMimble 协议很感兴趣,并于 2016 年 10 月,发表了一篇论文,更详细、更严谨论证了关于 MinbleWimble 协议的技术细节。MimbleWimble 是一个区块链协议,而 Grin 和 Beam 是它最先落地的两项实现。我们将在本报告中探索 MimbleWimble、Grin 以及 Beam。
来源:messari.io/onchainfx,coinmarketcap.com (截至 2019 年 3 月 3 日)
[1] Andrew Poelstra 是侧链白皮书的合作者之一。
[2] 此处数据存疑,Grin 是无限挖模式,并没有设置发行量上线,对此数据的计算依据表示质疑。
在加密社区中的许多人都在密切关注 MimbleWimble 协议,因为它首次优化了隐私性和可扩展性,它的目标是改进比特币以及其他加密货币的下述关键性问题。
完全隐私:MimbleWimble 会对未参与交易的所有第三方隐藏交易的发起者、接收者以及交易金额的信息。第三方观察者只能在一个交易中,看到一系列经过加密处理的包含交易输入、输出的整体 [1],他们可以验证这些输入都在链上,并且输出和输入的虚拟货币的总数相同。这个设定便改善了在比特币等类似系统中「任何人都可以追溯一个资金从一个地址到另一个地址的转移过程」的问题。
效率:MimbleWimble 事务验证者只需要存储交易中未耗尽的 UTXO (交易记录)。而所有其他加密货币强制矿工和第三方验证者存储区块链的整个交易历史。MimbleWimble 这样做可以节省存储空间并加快同步速度,因为随着区块链历史的不断增长,矿工们可能会被迫使用更多的硬盘资源来存储整个历史记录。
一个验证者通过:(1)核实输出与输入的总和相等;以及(2)交易中不包含负数,保证交易过程中没有试图创造新的币;来验证一个 MimbleWimble 交易的有效性。挖矿是唯一可以产生新币的方式,这也是唯一可以识别身份的交易。但是,验证者和观察者并不会知道是谁获得了挖矿的区块奖励。
MimbleWimble 的另一个重要特性,就是这里只有交易的输入和输出而没有地址或公钥。每一个 UTXO 都有一个私钥,接收者将私钥存储在他的钱包中。要发出 UTXO,发起者必须在专用的通信通道里通知接收方,并执行多轮通信以构建交易。发起者要使用他的 UTXO 私钥对这个 UTXO 进行签名认证,并将签名结果发送给接受者。
[1] 即 Mimblewimble 只验证交易前后总数的一致性,输入(input)和输出(output)即交易前后的状态。
MimbleWimle 要解决的问题
区块链是不可伪造的公开交易账本。其不可伪造性意味着用户只能发送他们曾经收到的资金——他们无法发送属于别人的资金或是凭空创造资金。比特币和类似的区块链的发送方地址、接收方地址和交易金额都是公开的,所以很容易验证发送的金额等于收到的金额、发送方的私钥地址包含发送的资金。
比特币(包括其他加密资产)的公开性对于不希望公开交易细节的人或商业活动来说是不合适的。此外,随着像 Elliptic[1] 和 Chainalysis[2] 这样的区块链大数据分析公司的崛起,研究人员可以将非法交易的输出对应起来并将其列入黑名单。币安(Biance)首席执行官曾发布推文说,他们能够在被社交媒体上报道后,冻结黑客发送给交易所的资金。然而,有些人认为这违背了货币的可替代性的原则。可替代性原则是指所有被创造的货币都是相同的,就像一美元钞票等于另一美元钞票一样,无论钞票过去经过什么样的流通活动,这个钞票与其他美元钞票都应该是一样的。
比特币和所有其他区块链要求矿工和其他验证人记录链的整个交易历史,以验证所有交易是否有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这个设置使得想要与网络同步的新参与者需要大量空间、时间和计算资源。比特币区块链在 2019 年之前的大小约为 200GB。
[1] Elliptic: https://www.elliptic.co/(一家为加密货币公司,金融机构和政府机构提供可操作的情报的公司)
[2] Chainalysis: https://www.chainalysis.com/ (防止,检测和调查加密货币洗钱,欺诈和违规行为)
MimbleWimble 的解决方案
MimbleWimble 以巧妙的方式使用加密技术来实现不可伪造性,同时优化隐私性和可扩展性。 MimbleWimble 不是像比特币那样验证每个输出的整个历史记录,而是检查区块链上所有交易的输入的总和减去所有输出的总和为 0 以验证链(这种做法也加强了交易的一个基本属性:交易发出的金额等同于收到的金额)。MimbleWimble 综合使用保密交易 (Confidential Transactions)、混币(Coin Join)、 范围证明(Range Proof)和交易记录核销(Cut-through)技术来实现上述目标。
与比特币相似,MimbleWimble 依赖于椭圆曲线密码学和 UTXO 模型。然而,MimbleWimble 是一个更加轻量级的的版本,由于增强隐私性的要求,它牺牲了可编程性。因此,诸如闪电网络(Lightning Network)之类的时间锁定或支付渠道等更复杂和精细的功能目前还无法在 MinbleWimble 中使用 [1]。
[1] 译者注:Grin 和 Beam 都有对应的解决方案。
速成课程:UTXOS
比特币和 MimbleWimble 一样使用「未使用的交易输出」(Unspent Transaction Output UTXO)模型来计算余额。这类似于使用硬币或现金来支付商品和服务。例如,爱丽丝想买一件 30 美元的衬衫,但她有两张 20 美元的钞票。她不能只给商人一张半的钞票。相反,她给了商人两张钞票,并收到了一张 10 美元的钞票作为找零。
UTXO 模型以类似的方式运行:Alice 在之前的交易中获得了两个交易输出:1 BTC 和 0.5 BTC。现在 Alice 需要向一个商人支付 1.3 BTC。她的钱包创建了一个发送 1.5BTC 的交易,这个交易有两个输入(1BTC 和 0.5BTC)两个输出(1.3BTC 和 0.2BTC)。商户收到 1.3 个 BTC,Alice 收到 0.2 个 BTC (可以视为找零)。由于 UTXO 模型这一特性,比特币用户可以通过查询区块链浏览器,观察到他们的比特币地址经常发送出比指定数量更多的比特币。
速成课程:椭圆曲线加密
椭圆曲线有几个特性,使其可以用于复杂的加密协议。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点 G,乘以一个整数 s,得到椭圆曲线上的另一个点 P=sG。然而,给定(P,G)要求出 s 的值在计算上是不可行的。这使得我们可以将(P,G)作为公钥,将 s 作为私钥。椭圆曲线的另一个特性是椭圆曲线上的计算满足一些有用的代数特性:
分配律:(a+b)G = aG+bG
结合律:a(bG)=b(aG)=(ab)G
速成课程:Pedersen 表达式(Pedersen Commitments) Pedersen 表达式是结合椭圆曲线的单向性和代数性质的密码学术语。对给定的值(x,y)计算其 Pedersen 表达式为 P=xG+yH。由于计算 s=P/G 是不可行的,所以要通过 (P,G,H) 计算出(x,y)是不可能的。另外,由于有无数的 x 和 y 的组合可以满足关系 P=xG+yH,所以即使我们知道某 1 个满足此关系的解(x,y),我们依然无法计算出满足此关系且不违反椭圆曲线单项属性的第二对(x’,y’)。
保密交易(Confidential Transaction)
默认情况下,MimbleWimble 依靠一个称为保密交易的密码学概念来实现隐私性。保密交易是由 Gregory Maxwell[1] 提出的,他从 Adam Back[2] (亚当·贝克的比特币同态加密中汲取到灵感。保密交易使用 Pedersen 表达式来隐藏 UTXO 中的交易金额。
[1] Gregory Maxwell 是 Bitstream 的比特币核心开发人员和联合创始人兼首席技术官。
[2] Adam Back (1970 年 7 月出生)是英国密码学家和加密黑客,hashcash 的发明者。
在 MimbleWimble 中,交易输入和输出通过 Pedersen 表达式计算为「P=rG + vH」。G 和 H 是椭圆曲线上的随机点,并作为区块链的公共参数公开。值 v 是 UTXO 的交易金额。r 是致盲因子,用作 UTXO 的私钥,值 rG 是对应于 r 的公钥。MimbleWimble 使用 Pedersen 表达式使敏感交易信息模糊,替代明文交易金额。Pedersen 表达式允许使用基本算法来验证交易。
举个例子,我们有两个输入和一个输出。我们提供交易金额(v)和致盲因子(r),同时将 G 和 H 作为公开参数。
交易内核(Transaction Kernel)
上述保密交易的问题在于,它们需要输入和输出的 UTXO 使用相同的致盲因子,即接收者的私钥。如果发送者知道了接收者的致盲因子的值,她就可以窃取接收者输出的 UTXO。而 MimbleWimble 使用零知识证明 (zero-knowledge) 克服了这个问题。
举一个简单的例子:某交易发送的交易金额为 5。发送者有一个 UTXO 作为交易的输入,由 Pedersen 表达式计算交易的输入为 X=45G+5H,其中 5 是交易金额 (v),45 是致盲因子(r),也就发送方的私钥。接收方选择一个随机盲因子 7 并创建一个 UTXO,由 Pedersen 表达式计算为 Y=7G+5H。验证者将交易输入减去输出得到:
X-Y=(45G+5H)-(7G+5H)=38G
MimbleWimble 将值 38 称为超额或内核,并将值 X-Y = 38G 称之为交易内核(译者注:准确的说公钥 rG 只是交易内核的一部分,交易内核还包括用 r 做私钥对交易做的签名,见下述译者补充)。对于一个有效的交易,交易内核始终为 X-Y = rG + 0H,其中 r 是某个整数。即使交易里有多个输入和多个输出也是始终如此。如果输入值的总和等于输出值的总和,则 H 系数将恒为零。有效的交易内核始终采用公钥的形式。发起人和接收方都知道对应私钥的一部分(45 和 7)。 MimbleWimble 协议要求交易双方使用他们的致盲因子进行多重签名来签署交易,内核(45-7=38)就是交易参与者的多重签名私钥。(译者补充:交易双方使用内核作为私钥对交易进行签名,验证者首先计算 X-Y,如果 X-Y 是一个合法的交易,那么 X-Y 的结果应该等于交易签名公钥 rG,验证者再用 rG 做公钥验证交易签名的有效性,如果验证通过说明交易是合法的,也就是 H 的系数为 0。准确的说,交易内核包括了交易的公钥 rG、使用 r 做私钥对交易的签名以及交易手续费。MinbelWimble 区块链上主要记录信息就是对交易的输入和输出的 Pedersen 表达式计算结果 X 和 Y 以及交易内核。)
范围证明(RANGE PROOFS)
MimbleWimble 协议要求交易金额必须为正数,因此用户无法凭空创造出货币。正如我们所提到的,唯一可以创造币的交易类型是挖矿。 范围证明是一种加密技术,对于某一 Pedersen 表达式 X,通过范围证明技术可以证明给定一对整数(r,min <v <max)满足 X = rG + vH。MimbleWimble 的实现(Grin 和 Beam)使用范围证明来证明交易金额 v 大于零且没有溢出。MimbleWimble 使用最近使用的子弹证明技术(Bulletproofs)是一种仅消耗约 700-5000 字节的范围证明技术。
没有地址
正如我们提到的,MimbleWimble 不使用地址。不使用地址的主要动机是为了增强区块链的隐私性和防止地址膨胀问题。在基于 MimbleWimble 的区块链中,用户必须进行链外的通信来创建交易。使用通信信道,交易发起方向接收方证明其持有交易所需的数字币金额,并向接收方转移这些数字币的控制权。因为没有公开的地址,所以也没有「标准」通信方式来完成交易。因此,交易双方需要建立通信信道,从而发送数字币持有证明及转移数字币控制权。这与比特币(以及大多数其他区块链)非常不同,比特币可以在没有交易接收方参与的情况下完成交易。
混币技术(Coin Join)
混币技术是一种降低数据公开性的方法。 混币将多个交易组合成单个大型交易的方法,这使得很难区分哪些交易输入是对应哪些交易输出。混币技术已在 JoinMarket,ShufflePuff,DarkWallet,SharedCoin,Wasabi,Samourai 等项目中使用。基于钱包的混币技术的缺点是用户必须主动选择使用该功能。这降低了它的有效性,因为用户要么就不知道这一功能,要么就是由于麻烦而不使用该功能,这些都导致参与混币交易的交易数量不足对于混币技术而言,参与混淆的交易的数量太少就不能有效地隐藏交易的发送地址和接收地址。此外,参与混币的用户之间必须进行通信以创建混币交易,因为每个交易发送方都必须对最终组合起来的整个交易进行签名。
在 MimbleWimble 中,用户无需选择混币功能,这是 MimbleWimble 的默认功能。一个区块中不再记录单独的各个交易。相反,它看起来像一个大型的组合起来的交易。图 1 是要包含在下一个区块·中 2 笔摸交易集的示意图。在图 2 中,MimbleWimble 在类似于混币的过程中将两笔交易连接在一起,这样剩下的就是单个交易,它组合了 2 个交易所有输入和所有输出。
交易记录核销 (Cut-through)
保密交易比常规交易需要更大的存储空间。根据 Aaron Van Wirdum[1] 的说法,保密交易比非保密交易所需要的存储空间大 20 倍,计算资源大 30 倍。 MimbleWimble 使用一种名为交易记录核销的技术来解决这一挑战进而提高效率。
[1] Aaron Van Wirdum:BitcoinMagazine 技术编辑
正如我们上面提到的,下载完整的比特币区块链需要占用近 200GB 的空间,并且其正在不断增长。如果比特币上的所有交易都是像 MimbleWimble 这样的保密交易,那么区块链的大小将会大几个数量级。
MimbleWimble 使用称为交易记录核销的过程来删除冗余的交易输出以释放块内的空间并减少需要存储在区块链中的数据量,同时保持相同的安全性。冗余输出的特点是这些输出会在同一区块被作为输入使用。通过 Andrew Poelstra 演讲编制的图表可以很好地说明这一点。
在图 3 中,可以看到的某交易的青色输出在同一区块中后来又被作为某交易的输入,所以可以从区块中删除这笔冗余的输入和输出,以减少必须记录的数据。虽然 MimbleWimble 冗余的交易输出,但它保留了这些交易的交易内核。
MimbleWimble 在在区块内的微观层面和整体数据的宏观层面都使用交易核销技术,从在区块链上的信息只有:区块链首部信息(block header)、UTXO 和交易内核。节点可以使用这些关键数据来验证区块链。从而使得如果一个区块内核销掉的交易输出比这个区块内新增的交易输出多,则区块链的大小会缩小。从理论上讲,这将使得验证区块链所需的数据量会随时间发展越来越小。
Grin 作为 MimbleWimble 的第一个实现,认为 MimbleWimble 节点的数据量大小相比比特币会大大减少,「相比数 GB 大小的比特币区块链节点,Grin 节点大小可以做到数量级的优化,甚至到仅有几百 M 字节」按照 Grin 的描述,假设有 1000 万笔交易伴随着 100 万个 UTXOs,没有交易核销的区块链总大小约为 130GB,其中交易数据为 128GB、交易证明数据为 1GB,块头为 250MB。经过核销,区块链的总大小可以降至 1.8GB,包括 1GB 的输出数据,520MB 的 UTXO (译者注此处应该为交易内核或交易证明数据)和 250MB 的块头。 而 Beam 认为,当它达到与比特币相同的规模时,其区块链大小可能是比特币的 30%。
蒲公英技术(Dandelion)
对于 MimbleWimble 的隐私性而言,最大的威胁是区块链节点可以在打包并广播交易记录前记录交易的信息。在核销之前,交易输出在要在节点本地内存池(mempool)(未经验证的交易池)中保存一些时间。这使得恶意节点可以在构建交易图(transaction graph)并可能发现发送方的 IP 地址。
蒲公英技术不是 MimbleWimble 的一部分,而是 Grin 和 Beam 在实现时补充的功能。蒲公英试图降低恶意节点创建交易图的机会,方法是「在交易被确认之前先悄悄地在网络中转发它,从而延迟交易在网络上出现的时间」(Andreas Antonopoulos[1])。
通常,当有人向区块链发起交易时,交易信息会向所有的区块链节点广播。蒲公英将交易的广播划分为两个阶段,从「阀杆(stem)」或「匿名(anonymity)」阶段开始,在这一阶段,交易信息将其被随机广播到某一个节点,然后再由这个节点将交易信息发送到另一个随机挑选的节点,依此类推,直到收到交易信息的节点数目满足一定要求,则进入第二阶段。第二阶段称为绒毛阶段(fluff phase),在这一阶段交易信息会被广播到所有的节点。这样做可以防止观察节点将交易映射回原始地址。一种蒲公英技术的改进(Dandelion++)使得创建交易图变得更加困难。
在 MimbleWimble 中,交易也可以在匿名阶段之前进行混币,从而使将交易输入与交易映射关联更加困难。 Beam 通过增加占位空输出使得在没有足够的输出也可以进行上述混币操作。。
蒲公英技术的一个问题是,在匿名阶段,如果交易被传递到某一随机节点后,这个节点掉线,那么这笔交易将永远不会被传播到区块链网络。Grin 和 Beam 解决了这一问题——如果某交易没有在合理的时间内达到「绒毛阶段(fluff phase)」,则这个交易将被自动广播到更广泛的网络中。
[1] Andreas M. Antonopoulos (生于 1972 年)希腊 - 英国,比特币的拥护者。
无脚本脚本(Scriptless scripts)
MimbleWimble 不支持交易脚本,而交易脚本是大多数区块链的重要特征。脚本是嵌入在交易中以支持基本智能合约功能的代码。 没有它,MimbleWimble 就不能支持条件交易(conditional transaction),时间锁,状态通道(例如闪电网络),跨链原子交换等。这是不可链接交易和交易核销的代价。验证者无法检查是否满足智能合约条件,因为相关的 UTXO 及其条件可能已经被删除。
当于 2016 年 8 月,第一份 MimbleWimble 论文发布时,无法支持条件交易似乎是使用 MimbleWimble 的一个限制。然而,Andrew Poelstra 发现了一种通过使用无脚本脚本的方式实现智能合约的简单方法。无脚本脚本基于这样的想法:利用施诺尔签名技术(Schnorr signatures)支持无脚本脚本功能,区块链验证者如果需要知道链外发生的条件元素,只需检查签名是否存在且正确。
具体而言,交易的参与者可以通过组合其各自的签名的私钥来创建多重施诺尔签名,从而生成交互式的签名,该签名是提交给节点并由节点验证的唯一数据。
Aaron Van Wirdum 提供了一个很好的解释,便于我们理解。他举了一个想要收听艺术家歌曲的网络用户的例子。艺术家和用户需要将他们组合的施诺尔签名提交到区块链,以验证条件交易。拥有该歌曲版权的艺术家掌握对于这个歌曲加密的密钥,设为 7000,获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的施诺尔签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个施诺尔「适配器签名(adaptor signature)」,1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的施诺尔签名减去减去歌曲密钥的结果。然后用户也做施诺尔签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都发生在链外,这样除了艺术家和用户没有人会发现其中的步骤。区块链验证者唯一看到的内容是一个 13000 的施诺尔签名组合。适配器签名只被艺术家和用户掌握,对于第三方保密的。除了「结算交易」之外,区块链上没有任何交易记录内容。可以通过添加支持施诺尔签名的新操作码(Opcode)来实现无脚本脚本。 Grin 和 Beam 正在实现无脚本脚本,但是暂时没有这个功能何时上线的确切时间表。
基于无脚本脚本有可能实现机密资产(confidential assets),跨链原子交换和第二层扩展解决方案,比如在 MimbleWimble 区块链生态中使用闪电网络。无脚本脚本不一定要在 MimbleWimble 上实现,甚至可能会扩展到其他区块链生态上。
结论
MimbleWimble 基于经过严格证明的密码学技术。其中一些技术已在经同行评审的密码学期刊上发表,其他一些技术则是发布在白皮书和技术报告中。首个 MimbleWimble 区块链生态项目 Grin 和 Beam 最近才推出。虽然 MimbleWimble 是一种新的实验性技术,但它具有有显著提高隐私性和可扩展性的优势,虽然目前它的用户体验还不够好,且也没有彻底完全解决某些隐私方面的挑战。还需要进行大量的测试和迭代才能在大规模开放的区块链生态上实现高效的隐私交易。目前,这个看似难以理解的概念,在实践中可能会还会遇到意想不到的问题。
在用户体验方面,目前 MimbleWimble 没有地址和交易各方需要进行交互通信并且在线(虽然不一定同时)来签署并完成交易。这一要求与现有的加密货币相比很不一样,对于用户使用造成一些困扰。
从隐私性角度,矿工可以在混币和交易核销之前查看内存池(mempool)中的交易。因此,恶意观察节点就可以构建详细的交易图,从而对隐私性构成威胁,这直接挑战了 MimbleWimble 的隐私性这一核心价值主张。尽管有蒲公英技术和虚拟 UTXO 这样的潜在技术解决方案,但它们在实践中还有待完善。
其他隐私币解决方案
MimbleWimble 不是第一个或唯一一个区块链隐私币方案。对所有可用的隐私币解决方案进行全面而深思熟虑的讨论超出了本报告的范围,这里讨论其他可供选择的替代方案以供读者了解。这些包括但不限于其他区块链协议和在底层实现隐私性的币种(Zcash,Monero),通过第二层网络实现隐私解决方案(Blockstream 侧链)和通过交易层实现的隐私方案(例如通过像 Samourai 和 Wasabi 这样的钱包)。
隐私币
在 Grin 和 Beam 之前推出的两个隐私币是 Zcash 和 Monero,这些币在协议层实现了隐私性。Monero 是一款基于 CryptoNote 协议的隐私币,Monero 的一个关键优势是默认情况下即启用隐私功能,它隐藏发送方和接收地址以及交易金额。 Monero 使用环保密交易(Ring Confidential Transactions)和隐形地址来实现隐私性。环签名算法在交易中添加「诱饵」信息从而避免暴露真实的签名信息,进行有效地混淆交易信息。 Monero 的主要缺点是,即使使用子弹证明技术(Bulletproofs)大大减少了存储空间,其数据存储规模仍是比特币的十倍。
Zcash 是基于 Zerocash 协议设计的数字币, Zcash 使用地址加壳技术来隐藏交易方的地址并使用 zk-snarks (一种零知识证明)来隐藏交易金额。与 Monero 以及基于 MimbleWimble 协议的 Grin 和 Beam 不同,Zcash 不会在默认情况下启用隐私功能。在 Zcash 的 Sapling 更新之前,创建一个保密交易的计算量很大且非常耗时,这阻碍了用户的使用隐私功能。经过 Sapling 更新,对地址加壳所需的内存和时间已经减少,这某种程度上会鼓励用户使用保密交易功能。可选的隐私功能的另一个缺点是当用户选择使用加密交易信息时,这一行为可能会被视为可疑行为。Zcash 的另一个缺点是其可信设置(trusted setup)。虽然 Zooko Wilcox[1] 表示打破可信的设置不会影响隐私性,但 Peter Todd (比特币研究员)在某次与一个 zk-snaks 的开发人员的会谈中表示他不同意 Zooko 的看法。
[1] Zooko Wilcox-O'Hearn,左科·威尔科克斯(1974 年 5 月 13 日出生于亚利桑那州凤凰城的 Bryce Wilcox),是美国科罗拉多州的计算机安全专家,cypherpunk 和 Zcash 的首席执行官。
侧链
侧链是一个独立的区块链。侧链双向链接到一个基础层区块链协议。双向链接使得来自原始基础层链上的币在通过验证后,可以以固定的速率与侧链资产进行互换。这些补充作用的侧链可以提供基础层区块链没有的新区块链的功能、扩展并共识机制,从而对基础层区块链面对的问题提供一系列解决方案,包括但不限于隐私性和可扩展性。比特币侧链公司 Blockstream 已经部署了一个这样的网络,即最近推出的 Liquid,它在默认状态下进行保密交易。Liquid 使用一个由 15 个已知节点组成的小组 (称为工作成员小组) 来验证交易并打包区块,这以牺牲去中心化为代价加快了交易速度。虽然 Liquid 的管理更加中心化,但它针对的是交易所场景下的一些特殊问题。例如支持在联盟链内的任何节点随意兑换 LBTC 这一 Liquid 的本地 Token。如果某一个独立的网络节点宕机,此时这个设计会特别有用。Liquid 的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。对 Liquid 的一个轻微批评是,它信任的一些中介机构中包括一些不受监管的、历史上有不安全记录的加密货币交易所,如 Bitfinex 和 OKCoin 等。
隐私钱包(PRIVACY WALLETS)
此外,基于钱包的一些隐私解决方案(如 Wasabi,Samourai 或 Breeze)的优势在于它们可以在比特币(或其他币种)之上实现,而无需更改底层协议。一些批评的声音包括:如果没有在较短的时间内找到匹配的交易资金,就会出现较小的匿名集或者造成交易延迟。例如,Samourai 的交错弹跳(Staggered Ricochet)可能需要两个小时才能到达最终目的地从而完成交易。此外,由于钱包平台的中心化性质,钱包运营平台可以获得交易的隐私信息。在 2019 年初,谷歌要求 Samourai 删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌 Play store 的新规则。
尽管有许多增强隐私的选择,但这些都是早期技术(包括 MimbleWimble,Grin 和 Beam)。在这一点的选择上每个人都有自己的权衡取舍,并且对于什么才是隐私加密的最佳方法目前还没有明确的答案。
GRIN
Grin 是 MimbleWimble 的第一个开源实现。Grin 使用 Rust 语言开发。 Grin 文档于 2016 年 10 月 20 日由匿名开发人员 Lgnotus Peverell 发布。许多 Grin 的核心开发者都采用了来源《哈利波特》相关的绰号。 Grin 在 2019 年 1 月 15 日在主网上发布之前发布了四个测试网。由于其与比特币的相似性,Grin 受到加密货币社区的称赞——尤其是其匿名开发团队以、公平的数字币分发方式(没有预挖、没有 ICO、没有创始人奖励)和基于捐赠的资助模式。然而,Grin 确实有几个值得注意的差异。
货币政策 :Grin 被设计成一种交易媒介(MoE),而不是像比特币那样作为价值储存手段(SoV)。Grin 的矿工奖励是每分钟 1 个块,每个块 60 个 Grin (即每秒 1 个 Grin)。挖矿产生的 Grin 会按照这一规律一直持续下去,且没有减产。这使得 Grin 的通胀率在早期很高。随着时间的推移通胀率逐渐下降。
共识算法:在初期阶段,Grin 将尝试通过使用两种 PoW 算法来实现去中心化。这两种算法是 Cuckoo Cycle[1](布谷鸟环)的变体 (一种是 ASIC 友好的,另一种被认为是 ASIC 抗性的,因为它是内存瓶颈算法(memory-hard)。布谷鸟算法是一种全新的、有点争议的工作量证明(PoW)算法 ; 握手区块链(Handshake blockchain)的白皮书描述了这一问题。
管理:Grin 没有正式的管理流程。但 Grin 有一个 8 名成员组成的技术委员会,负责管理 Grin 的普通基金和发展路线图。Grin 举行对所有人开放的管理和开发会议。
功能:Grin 正在努力通过添加诸如无脚本脚本之类的功能来增强 MimbleWimble 协议,基于这个功能可以实现复杂的「条件交易」功能。社区成员还致力于通过 grinbox 和 wallet713 等解决方案改善用户体验。
挑战:虽然 Grin 因其基于捐赠的资助模式而受到赞赏,但仅依靠外部捐款继续建设和改进 Grin 也是一项挑战。此外,要使非技术用户能方便的使用 Grin,还有很多工作需要做。
自发布以来,Grin 已可以在多个交易所交易,即使它并未主动联系交易所上币也没有向交易所支付上币费。虽然社区很乐意帮助 Grin 上交易所,但 Ignotus Peverell 表示他们并不「过分担心外部因素和 [他们] 无法控制的事情」。
[1] 原作者注:Cuckoo Cycle 是在非常大的二部图中以寻找循环路径,因此其算法速度用每秒完成搜索的图的个数计算。 与大多数其他工作量证明算法相比,Cuckoo Cycle 消耗的功率要少得多,并且其是内存密集型而不是计算密集型算法。 Yeastplume 在一个播客节目中很好地解释了这一点:类似于我们在一张纸上绘制节点并随意在它们之间添加边。,该算法计算出是否可以在这些节点之间找到环,即从一个特定的节点开始并沿着边返回到相同的节点。
挖掘算法
最初,Grin 团队计划使用两种 PoW 算法,由于算法需要消耗大量内存而被认为是抗 ASIC 的:Cuckoo Cycle (由 John Tromp 在 2015 年开发)以及具有较高内存要求的 Equihash 算法,称为 Equigrin。
对内存要求高的算法被认为不是可以利用 CPU 和 GPU 的计算密集型算法。最初由于 Cuckoo Cycle 需要大量 SRAM (静态随机存取存储器),它被认为是 ASIC 抗性的。人们认为因为算法需要大量 SRAM 而在 ASIC 使用大量 SRAM 很昂贵,所以这使得制造 ASIC 更加困难。 Cuckoo Cycle 的创建者 John Tromp 表示,「最初的 Cuckoo Cycle 旨在使内存延迟成为瓶颈。现在,多年以后,我们意识到 Cuckoo Cycle 是可以很好地利用 [...] 的 SRAM 算法,而其实(与过去的想法不同)在 ASIC 制造中使用 SRAM 并不那么昂贵。我们希望 ASIC 比 GPU 具有更高的效率优势。」John Tromp 在一个播客节目中深入探讨了 Cuckoo Cycle。
在 2018 年 8 月,社区承认 ASIC (1)在实践中是不可避免的 [1],而且(2)可能在以开始时会不利于数字币的公平分配,但从长远来看并不一定是一件坏事。相反,ASIC 友好算法可以使网络更加安全,因为 ASIC 矿器增加了网络的算力,使攻击变得更加困难、代价更加高昂。 从长期来看,ASIC 可以有利于区块链协议的成功,因为投资数千万美元的的矿工在安全性方面的诉求与区块链项目的利益完全一致。此外,根据 Derek Hsue 的说法,「任何持续产生 ASIC 抗性的尝试都将导致秘密 ASIC 这个问题确实存在。」
鉴于上述观点,Grin 随后决定改变工作量证明(PoW)算法,这两种算法都是 Cuckoo Cycle 的变体,主算法是 ASIC 友好(AF)算法和第二算法是 ASIC 抗性(AR)算法,并在项目主网上线后逐步淘汰第二算法。 Grin 中的主 PoW 算法叫做 Cuckatoo31 +,是 Cuckoo Cycle 对 ASIC 更加友好的版本。 它被称为 ASIC 友好的是因为它可以使用数百 MB 的 SRAM 来提高性能使得 ASIC 算力超过 GPU。第二算法,称为 Cuckaroo29,是一种内存密集型的 AR PoW 算法。然而,真正保证 ASIC 抗性的唯一方法是有计划的进行硬分叉,不断调整算法(类似 Monero 的做法),使已生成的 ASIC 作废。 Grin 将每六个月执行一次这样的硬分支来调整算法,以抑制对该 AR 算法生产 ASIC 的积极性,直到该算法在两年内逐步淘汰。
加密社区里的一些成员非常关注 Cuckoo Cycle 中 PoW 算法的稳定性。 John Tromp 在 2014 年首次提出了这个概念,并在短时间内进行了多次修订,因为研究人员找到了优化算法的方法。 Cuckoo Cycle 基于一个 NP 完全的图论问题,一个令人担忧问题是,如果某个矿工通过优化 Cuckoo Cycle 算法获得比网络中其他矿工更大的算力,那么挖矿收益将无法公平分配。John Tromp 认为,这类优化算法获得的相对优势可能会随着迁移到更大的图而增加。但如果社区的其他成员对算法做相同的优化,这种优势就会消失。
一开始,Grin90% 的块用第二算法挖掘,10% 的块用主算法挖掘。两年后,100% 的区块将使用主算法进行挖掘。在未来两年,Cuckatoo31+将获得更大比例的区块奖励,每月线性增长 3.75%。Grin 社区希望,到 Cuckatoo31+占 100% 的矿业份额时,将有来自多个 ASIC 制造商生产出 ASIC 矿机,从而引导有序健康的竞争。Grin 基于最近 60 个区块的窗口对挖矿难度进行调整。
[1] 原作者注:Leo Zhang 说「2014 年,当 ASIC 矿工首次商业化时,由于 RAM 成本较高,使用内存硬算法抵制 ASIC 的策略是有道理的。但在过去几年中,RAM 成本的急剧下降使 ASIC 设计人员能够以越来越低的成本为这些网络制造机器。内存瓶颈算法无法无限期地保留 ASIC。」
GRIN 矿池
根据 miningpoolstats.com 的数据显示,Cuckaroo29 上有 15 个矿池,Cuckatoo31+上有 11 个矿池。在撰写本文时,前两名的矿池 (Sparkpool 和 F2pool) 的算力之和占 Cuckaroo29 的 82%,占 Cuckatoo31+的 68%。Sparkpool 和 F2pool 都向 Grin 的开发者基金和普通基金提供了捐款。虽然算力似乎集中在了矿池中,但矿池是由许多矿工参与者组成的,这些矿工可以选择随时离开矿池,并随意将其算力切换到其他矿池。
第三大矿池是 GrinMint,是 BlockCypher 于 2018 年 9 月首次推出的矿池,2019 年 1 月在主网上推出 .BlockCypher 收取 2.5%的费用,并表示将向 Grin 开发者社区捐赠 0.5%。 BlockCypher 还有一名全职开发人员致力于 Grin (Quentin Le Sceller)。其他回馈 Grin 社区的矿池包括 MimbleWimble Grin Pool 和 grin-pool.org。
对 Grin 的批评之一是,当 Grin 上线时,一些投资人投资挖矿并控制了大量的算力。这些投资人本来应该是通过买币投资 Grin,即是市场的买方。但由于这些投资人通过挖矿获得了 Grin,并在市场中卖出 Grin 获利,这些投资人反倒成了市场的卖方。当矿池挖出区块并获得挖矿奖励时,他们必须立即出售币,因为他们要用比特币支付给矿工 (译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
货币政策
Grin 具有线性的增发率,并且将以每分钟 60 Grin (每秒一 Grin)的速度增发 - 其供应量故意被设计成没有上限。而比特币的上限为 2100 万,并且具有通缩发行计划,比特币的块奖励每四年减半,直到接近零。因为比特币的发行模型使得其价值会算时间增加,所以比特币模型鼓励持有硬币。这使比特币成为价值存储工具(SoV)。
Grin 的早期通货膨胀率极高,但当有数百万枚 Grin 币流通时,随着时间的推移通货膨胀率将趋近于零,虽然它永远不会达到零。在实践中,通胀率需要在 10 年后才能降至 10%以下,25 年后才会降至 4%(与 2018 年比特币相同)。通胀率将需要 50 年才能降至 2%以下。然而,实际上,Grin 团队认为,当考虑到存在因为私钥丢失而造成的丢失的币时,通货膨胀将会比上述预想的低。根据团队的说法,每年丢失的币可能高达总供应量的 2%,在计算通货膨胀率时应该将这部分排除。永久性发行被视为缓解币丢失的影响的潜在解决方案。
永久通货膨胀背后的另一个原因是:(1)通胀模型比通缩模型更公平,通缩模型对于越早挖矿的矿工越有益,而通胀模型不会。(2)如果预计明天的币价与今天的相似,那么它有更大的机会被用作交换媒介(MoE),而这就恰恰是 Grin 项目所希望的。短期至中期的高通胀会激励消费而非储存,因为币会被显着的稀释。社区还认为,花钱的动力可能有助于更广泛地分发数字币。
此外,永久性发行可以防止 Grin 最终只能完全依赖交易的手续费来确保网络安全 - 这正是比特币社区正在讨论 / 面临的挑战。一旦比特币的发行量接近零,网络将不得不过渡到仅仅依赖交易费用奖励为保护比特币安全的矿工。仅依赖交易费奖励矿工是区块链的一种新的经济模式,但仍多存在许多问题:每个区块需要多少交易,每笔交易的最低费用是什么,以及如何解决与第二层方案(例如闪电网络)中致力于降低网络费的行为之间的矛盾。
来源 : grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者因为 Grin 没有上限的线性发行计划而批判 Grin,并因为高通胀率降低了数字币作为价值存储的购买力。然而,Grin 的开发者故意设计了这样的通胀率,其目的是鼓励消费、抵消丢失币的影响、确保 Grin 网络始终可以给矿工支付挖矿奖励以维护区块链安全。高通胀的一个不利之处是,与早期比特币相似,挖矿奖励在目前在总供给量中占了相当大的比例。这可能会对 Grin 币的价值产生负面影响,因为矿池出售 Grin 以换取比特币支付给矿工。
(译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
治理
Grin 的莱恩伯格(Lehnberg)说:「治理是关于如何做出在参与者 (参与决策的人) 和利益相关者 (受决策影响的人) 的角度看起来都合理的决策的过程。」 Grin 没有明确的治理流程,但对于没有结论的讨论是透明的且对社区完全开放。
Grin 有一个技术委员会负责管理 Grin 普通基金(Grin General Fund)并指导项目的开发。委员会成员包括 Ignotus Peverell, Antioch Peverell, Hashmap, Jaspervdm, Lehnberg, Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner)和 John Tromp。任何人都可以参与治理会有和开发者会议以及讨论,但是最活跃的贡献者通常还会发挥更大的作用。
技术委员会每两周举行一次管理会议和一次开发者会议,主题包括 ASIC 抗性,筹集和指导资金,重大缺陷和错误,安全审计,交换集成,硬分叉等。 Grin 还会在会议前后在 Github 上发布议程,笔记和会议记录。在 grin-forum 上还有一个管理部分,那上面上有一些主题一致的帖子,表明社区正在积极思考如何从长远来进行管理。
技术委员会主导的管理和开发过程使社区能够在早期快速灵活地运行,以避免减慢项目进程。然而,随着 Grin 的成长和成熟,人们一直在讨论如何建立一个更加结构化的管理流程并进行制衡。委员会成员和捐助者明确表示,有必要实施一个更正式的程序,来确立:
为社区提供一种更结构化的方式来交流关于管理和开发主题的反馈。
设置委员会的权限范围以及社区为委员会成员提供意见的规则。
所有利益相关者都有机会发表意见。利益相关者包括核心开发者,一次性贡献者,矿工,用户,投资者,交易所等。
该委员会的缺点是增加了项目的中心化程度。从长远来看,一个非官方的委员会可能是危险的。一个例子是 Burst PoCC,它具有与 Grin 技术委员会类似的功能。有一天,他们对社区感到不满并意外退出,但仍然可以访问项目代码库,管理 DNS 域名等等。他们还采取了额外的恶意行为,例如欺骗矿池和过早抛售 Burst,最终损害了 Burst 区块链。
资金
Grin 是一个完全基于捐赠的开源项目。虽然它的公平的数字币分配机制受到了称赞——没有 ICO、没有预挖、没有创始人奖励,但缺点是开发进展缓慢。Grin 的安全审计、市场营销、网站开发、运营活动等都依靠无偿的兼职志愿者和对核心开发者基金的捐赠。
正如 Tushar Jain 所指出的那样,「如果没有资本的促进,开发进度将被推迟。」这是 Grin 社区也认可的事实。在 Grin 普通基金的页面上,他们说,「现实情况是,有了资金支持,对 Grin 项目将会有很大帮助。这将使 Grin 能够更快,更可靠地发挥其潜力,拥有更好的基础设施支持,并且与资金充足的区块链项目竞争(或共存)的可能性会更大。」
Grin 社区于 2016 年开始开发 Grin,并于 2019 年 1 月才主网上线。同一时期,Beam 是 MimbleWimble 协议的另一个实现(下文将进一步详细讨论),是由一家获得风险投资者的私营公司开发的项目。他们从 2018 年初开始启动该项目,并于 Grin 主网上线前一周实现主网上线。
此外,Yeastplume (Michael Cordner),社区的核心开发人员和主要成员,在最初在筹集个人研发赞助资金时遇到了困难,无法将全部精力投入 Grin。只有在 Ignotus Peverell 在对 Yeastplume 的募资活动远未获得 (5.5 万欧元)10% 的资金表示失望之后,募资活动的捐款才开始上升。自那以后,它已经超额完成了募资目标,在撰写本文时筹集了 66,580 欧元。可以在 Grin 名人堂中查看完整的捐赠者名单。
依靠捐赠可能在短期内会奏效。然而,为了保持发展并吸引人才进入网络,Grin 将不得不重新考虑其融资模式,因为它面临着于那些资金充足并付费的项目日益激烈的竞争。在这个关于开发者激励政策的明确表达中,纳撒尼尔·惠特莫尔 (Nathaniel Whittemore) 提出了另一种全新的面向商业的激励模式,即(1)提供足够的激励来吸引顶尖人才加入项目,(2)同时继续为核心开发路线图做出贡献。即保证项目在既定路线图的规划下,使用经济措施鼓励更多优秀人才贡献力量。
用户体验
如上所述,MimbleWimble 是没有地址的。因此,交易的发起方和接收方必须传递消息 (称为「交易石板」),基于交互式通信进行币的转让。有多种方法可以标准化的传递 JSON 消息。一种方法是基于文件的传输,其中文件包含纯文本格式的 JSON 消息,可以通过多种方式传输文本 (电子邮件、Telegram、Keybase、业余无线电、信鸽等)。另一种方法是基于 HTTP URL 的方法,其中 API 接口接受文本格式的原始 JSON。
一组名为 vault713 的第三方开发人员正致力于使 Grin 可以更加实用并被广泛的使用。他们的第一个项目是一个名为 Grinbox 的交互协议。 Grinbox 是一种消息中继服务(message relaying service),当与 wallet713 一起使用时可以简化交易处理过程,wallet713 是目前在 Linux 上运行的 vault713 的 grin 钱包的核心分支。Grinbox 和 wallet713 旨在改善 Grin 的发送和存储过程。
第一步,Grinbox 允许参与者创建公开的地址用以发送 / 接收资金,这样他们就不必公开他们自己的 IP 地址。 wallet713 还允许用户将联系人姓名链接到他们计算机上的本地存储地址。此外,wallet713 允许异步交易构建。 vault713 还致力于添加更多增强隐私和可用性的功能,例如多重签名支持,BTC 和 Grin 之间的原子交换,在交易进入未经确认的内存池、移动 /web/ 桌面 GUI 等之前,与其他 wallet713 用户一同进行钱包层面的混币。
随着项目的成熟并吸引到更多人才,将出现更多利用不同通信信道创建交易可选方法。这可能包括利用 NFC,QR,蓝牙等的近场通信技术创建交易的方法。最终,用户选择一个方便且易于理解解决方案作为主要的交易通信方式。但是到达那一步还需要一些时间,还有待观察哪种方法可以成为标准。
Grin 只有几个月的历史,而且就目前而言,该项目适合精通技术的用户投入时间和精力来了解它的工作原理。虽然社区开始通过 grinbox 和 wallet713 等工作解决用户体验方面的问题,但要使非技术用户能舒适的在网络上进行交易还需要时间进行迭代和教育。
结论
Grin 是一个最初引起密码学朋克和无政府加密主义者注意的项目,但 Grin 与比特币相似的思想引起了许多人的注意。也就是说,Grin 因其匿名领导者、基于捐赠和草根的资助模式、专注于隐私和去中心、以及其社区非常关注对项目的推进而不是快速赚钱而受到赞扬。
但是 Grin 主网上线 Grin 只是第一步。要想让 Grin 获得长期成功并被广泛采用,还有很多工作要做。需要解决的关键挑战包括更可靠的筹资方式、更直观的用户体验以吸引更多用户使用 Grin,以及研究如何解决系统中的隐私漏洞 (即观察节点创建交易图的能力)。
核心团队表示,其主要关注点仍然是稳定性,性能以及安全性。通过第三方开发团队将 Grin 集成到他们的服务和产品中来培育一个健康的生态系统,这对提高使用率也是至关重要的。这并不一定需要 Grin 的核心开发人员来完成。相反,这些挑战可以在 Grin 区块链周围出现第三方开发人员生态系统时解决。
Grin 仍然是一个非常新的项目,它开创了全新的未经测试的想法,加密概念和技术。如果 Grin 能够应对关键挑战,那么它有可能成为将隐私重新置于个人手中的一种方式。
BEAM
Beam 是由一家总部位于以色列的 VC 支持的创业公司,于 2019 年 1 月 3 日推出了基于 MimbleWimble 协议的以隐私为重点的同名加密货币。它于 2018 年 3 月开始使用 C ++开发,并于 2018 年 9 月推出了测试网络。虽然 Beam 和 Grin 的相似之处在于它们都是 MimbleWimble 的实现,旨在为用户提供隐私增强功能,但它们的路径各不相同。与 Grin 不同,Beam 是一家私营公司,雇用开发人员来实施。 Beam 是从闭源开始,但后来开源了。 Beam 的另一个相比于 Grin 的重要区别是 Beam 提供了针对企业和监管机构的可选审计功能。
货币政策:Beam 的供应计划是通货紧缩型的,在第一年之后区块奖励下降 50%,之后每四年就会减少一半,直到达到 2.63 亿的硬性上限。此外,Beam 挖矿产出的 20% 将作为开发税进入 Beam Treasury 基金,用于并为 Beam 的未来开发提供资金。
挖矿算法:Beam 使用 Equihash 的修改版本(一种工作量证明挖掘算法)来提供网络共识。为了确保去中心化,Beam 将通过定期调整其算法使得 Beam 在前 12-18 个月保持 ASIC 抗性。
管理:Beam 目前由一家 VC 支持的创业公司运营,由付薪雇员组成。长期目标是完全将管理移交给管理 Beam Treasury 基金、维护区块链的非营利基金会。
功能:Beam 正在添加一个可审计的功能,这样企业就可以在不损害隐私性的情况下证明其合规性并提供交易的可预见性。Beam 开发人员还在探索一个安全的 BBS 系统,该系统将支持非交互式离线交易。
挑战:不断改进 PoW 协议是一项艰巨的任务,避免 ASIC 挖矿将使网络整体算力保持在较低水平,这也使得攻击网络的成本相对较低。此外,Beam 目前的运营和管理结构是中心化的,转向更去中心化的模式将需要避免所有投资方之间的权力斗争。
挖掘算法
Beam 使用 Equihash 算法,这是由卢森堡大学的 Alex Biryukov 和 Dmitry Khovratovich 创建的工作量证明算法。 Equihash 是一种基于广义生日问题的非对称内存密集型算法。 Equihash 的另一个关键属性是挖矿是随机的,这意味着生成 PoW 解的可能性与过去是否的成功挖矿是不相关。 Equihash 有两个可以调整的参数:n (bit 位宽)和 k (长度),它们决定了底层问题的复杂性,从而决定了算法的内存和时间复杂度。Beam 使用 Equihash 参数 n = 115 和 k = 5。
Equihash 在某种意义上是不对称的,因为它需要大量的内存来生成一个证明,但它不需要大量的内存来验证它。这是 Equihash 的一个重要特性,因为大多数其他内存密集型算法都是对称的,也就是说,验证与生成一个证明一样困难。内存密集型指的是生成一个证明所花费的时间与内存成正比,而不是与 CPU 计算能力成比例。如果使用更少的内存,Equihash 会不成比例地大大增加对计算能力的需求。
最初,内存是一种昂贵的资源,因此不假设 ASIC 比常规 CPU 和 GPU 更容易做出内存优化。另一方面,ASIC 与 GPU 相比提供了显著的带宽改进,而 GPU 又比 CPU 提供了显著的带宽改进。由于芯片设计技术的改进,为内存优化的 ASIC 矿机的成本不再像过去预期的那么高。
Zcash 是一个专注于以隐私性的加密货币,也使用 Equihash 算法。最初选择了 Equihash 是因为它被认为是 ASIC 抗性的。然而,在 2018 年,比特大陆发布了 Antminer Z9 mini 矿机,这个矿机通过降低 SRAM 的成本获得比通用硬件(CPU、GPU)更高的挖矿效率。在 Beam 的 Equihash 算法帖子中,他们强调「卢森堡大学的研究人员发现,截至 2018 年 5 月,20%-30%的 Equihash 是由 ASIC 矿机挖出的。」
Beam 表示,它们已经特别设置了 Equihash 参数,以便在短期内为 CPU 和 GPU 为矿工提供优于 ASIC 的优势,从而使币的初始分发更加广泛。然而,它认识到 ASIC 是不可避免的,甚至是在长期看是有用的,因为 ASIC 是一项成本可控的投资,并且增加了全网算力,从而使得区块链更安全且更难被攻击。
货币政策和资金
Beam 的货币政策类似于比特币。它的特点是规定了一个硬顶和通缩发行计划,并使用常规的区块奖励减半方法(每个区块的挖出的币数量下降 50%),直到通货膨胀率达到零。因此,这个初创公司是希望将 Beam 用作价值储存(SoV),而不是像 Grin 那样的交换媒介(MoE)。不过,其与比特币的相似性就到此为止了。与特别币不同的是:1. Beam 在第一年的挖矿奖励更多;2. 前 5 年的挖矿产出中部分归于项目创始人团队;3. Beam 每分钟一个块(比特币每 10 分钟一个块)。
在第一年,一个区块奖励将是 100Beam,高于之后的奖励,以激励矿工尽早加入网络并将 Beam 引入市场。头五年中 20% 的挖矿产出将给与创始人团队。所以第一年挖出的每个区块的 100 Beam 中 80 Beam 将支付给矿工,20Beam 将支付给 Beam 财富基金。在第 2 到第 5 年,区块奖励将下降 50%,变为 50 个 Beam,其中 40 个 Beam 支付给矿工,10 个 Beam 支付给 Beam 财富基金。在第 6 年,区块奖励将再次下降 50% 至 25 Beam,且所有奖励都将支付给矿工,并在未来改为每 4 年减半一次,直到第 129 年。区块奖励将在第 133 年停止,届时 Beam 预计的总供应量约为 2.63 亿。
来源 :medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam 采用了创始人奖励机制(Founders Reward),也称为开发税(Dev Tax),以回报投资者并为正在进行的协议和工具开发提供经济支持。创始人奖励费用是编写在区块链协议中的代码里,该协议在矿工和创始团队的已知地址之间的自动分配区块奖励
这种方法明显与 ICO 或预挖等不同,正如 Dash 所见,它以大量的流动资金来补偿加密资产的创始人。虽然 ICO 和预挖都是早期团队成员所希望的,但这类薪酬设计往往缺乏有效的资金监管和退出时间表。因此,在短期利益驱使下,挪用资金并跑路的骗局相当普遍。
「创始人奖励」的目的是随着项目的发展逐步补偿创始人。因此,最初的利益相关者更有动力去协调资源维护网络的长期成功。此外,奖励制度被纳入区块链协议,Arjun Balaji 指出:这种机制提供了固定资金分配比例带来的资金透明度,也为通过软或硬分叉修改现有分配方法提供可行性。
该创始人激励结构最初是由 Electric Coin Company(前身为 Zcash Company) 设计并推广的。这家公司是专注于隐私的加密货币 Zcash 的背后的开发和维护企业。起初,Zcash 矿工只能获得区块奖励的 80%。剩下的 20% 将分配给 Zcash 基金会 (一个支持 Zcash 开发的独立非盈利组织)、数字币公司以及早期的 Zcash 开发人员和顾问。在头四年之后,创始人奖金被预先设定为零,以确保在 2100 万美元的上限达到之前,所有新发行的 Zcash 将 100% 归矿工所有。
Beam 资金模型与 Zcash 的资金模式相似,在早期阶段其支付给 Beam 财富基金,创始人费用比例为 20%。与 Zcash 历时 4 年的创始人奖励不同,Beam 创始人奖励历时 5 年,包括第一年区块奖励为 100 Beam 的时候。在这五年结束时,累计有超过 3150 万的 Beam 被送给 Beam 财富基金。计划将基金中 35%的资金分配给早期投资者,另外 45%的资金补偿给核心团队成员和顾问,剩余的 20%将用于支持 Beam 主权货币基金会。这是该项目维护和管理的长期解决方案。
来源 : medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖金,Beam 还从包括 Recruit Co. LTD、Yeoman 's Capital 和 Node Capital 在内的各种风险投资基金中筹集了至少 500 万美元,用于聘请全职开发人员来推进开发。这些投资者将定期从创始人奖金中获得 Beam 以回报其早期投资。
Beam 的核心团队和早期投资者都认识到,更加中心化的推动项目可以加速产品研发、尽量避免在基于社区运营的项目中经常出现的项目延期的情况。因此,Beam 选择了这种更加中心化的管理方法来启动项目并度过项目的初始阶段。随着 Beam 的不断成熟,其目标是实现更加去中化的激励和管理结构,将区块奖励交给矿工,并将项目控制权交给社区。
不利的一面是,同时也是对 Beam 的批评之一,Beam 并没有让所有投资者都能平等参与。在主网上上线之前就从投资者那里筹集资金,或者将一部分资金投入专门的集团 (即 ICO、创始人奖励、预挖),这些都可能导致币的分配不公平。
与之相对的是与比特币和 Grin 类似的产品,在这些产品中,加密资产只能通过传统的 PoW 挖矿获得。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络挖出新的比特币或 Grin。这样的发行方式往往会在区块链网络用户之间更为公平。
继续阅读:Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
查看全部
MimbleWimble
MimbleWimble 是一种增强隐私性和可扩展性的区块链协议。MimbleWimble 协议不需要存储整个区块链的所有历史数据,就可以验证区块链的所有交易的有效性 [ 1 ]。MimbelWimble 是以小说《哈利波特》中的「结舌咒」[ 2 ] 来命名的,这个咒语用于防止泄密。该协议是由一个化名 Tom Elvis Jedusor (伏地魔的法语名字)的人于 2016 年提出的,他通过洋葱头加密通讯通道(Tor LIink),在一个名叫「比特币巫师」(Bitcoin wizards)的 IRC 网络聊天室上分享了一个概述 MimbleWimble 的文本 - 然后便消失了。
译者注:
[1] 相较于比特币,用户需要下载完整的交易历史(数据量庞大)来确认交易的有效性。
[2] 结舌咒即:舌头打结的咒语,用于让对手沉默。
背景
Blockstream 的数学家 Andrew Poelstra [1] 对 WimbleMimble 协议很感兴趣,并于 2016 年 10 月,发表了一篇论文,更详细、更严谨论证了关于 MinbleWimble 协议的技术细节。MimbleWimble 是一个区块链协议,而 Grin 和 Beam 是它最先落地的两项实现。我们将在本报告中探索 MimbleWimble、Grin 以及 Beam。
来源:messari.io/onchainfx,coinmarketcap.com (截至 2019 年 3 月 3 日)
[1] Andrew Poelstra 是侧链白皮书的合作者之一。
[2] 此处数据存疑,Grin 是无限挖模式,并没有设置发行量上线,对此数据的计算依据表示质疑。
在加密社区中的许多人都在密切关注 MimbleWimble 协议,因为它首次优化了隐私性和可扩展性,它的目标是改进比特币以及其他加密货币的下述关键性问题。
完全隐私:MimbleWimble 会对未参与交易的所有第三方隐藏交易的发起者、接收者以及交易金额的信息。第三方观察者只能在一个交易中,看到一系列经过加密处理的包含交易输入、输出的整体 [1],他们可以验证这些输入都在链上,并且输出和输入的虚拟货币的总数相同。这个设定便改善了在比特币等类似系统中「任何人都可以追溯一个资金从一个地址到另一个地址的转移过程」的问题。
效率:MimbleWimble 事务验证者只需要存储交易中未耗尽的 UTXO (交易记录)。而所有其他加密货币强制矿工和第三方验证者存储区块链的整个交易历史。MimbleWimble 这样做可以节省存储空间并加快同步速度,因为随着区块链历史的不断增长,矿工们可能会被迫使用更多的硬盘资源来存储整个历史记录。
一个验证者通过:(1)核实输出与输入的总和相等;以及(2)交易中不包含负数,保证交易过程中没有试图创造新的币;来验证一个 MimbleWimble 交易的有效性。挖矿是唯一可以产生新币的方式,这也是唯一可以识别身份的交易。但是,验证者和观察者并不会知道是谁获得了挖矿的区块奖励。
MimbleWimble 的另一个重要特性,就是这里只有交易的输入和输出而没有地址或公钥。每一个 UTXO 都有一个私钥,接收者将私钥存储在他的钱包中。要发出 UTXO,发起者必须在专用的通信通道里通知接收方,并执行多轮通信以构建交易。发起者要使用他的 UTXO 私钥对这个 UTXO 进行签名认证,并将签名结果发送给接受者。
[1] 即 Mimblewimble 只验证交易前后总数的一致性,输入(input)和输出(output)即交易前后的状态。
MimbleWimle 要解决的问题
区块链是不可伪造的公开交易账本。其不可伪造性意味着用户只能发送他们曾经收到的资金——他们无法发送属于别人的资金或是凭空创造资金。比特币和类似的区块链的发送方地址、接收方地址和交易金额都是公开的,所以很容易验证发送的金额等于收到的金额、发送方的私钥地址包含发送的资金。
比特币(包括其他加密资产)的公开性对于不希望公开交易细节的人或商业活动来说是不合适的。此外,随着像 Elliptic[1] 和 Chainalysis[2] 这样的区块链大数据分析公司的崛起,研究人员可以将非法交易的输出对应起来并将其列入黑名单。币安(Biance)首席执行官曾发布推文说,他们能够在被社交媒体上报道后,冻结黑客发送给交易所的资金。然而,有些人认为这违背了货币的可替代性的原则。可替代性原则是指所有被创造的货币都是相同的,就像一美元钞票等于另一美元钞票一样,无论钞票过去经过什么样的流通活动,这个钞票与其他美元钞票都应该是一样的。
比特币和所有其他区块链要求矿工和其他验证人记录链的整个交易历史,以验证所有交易是否有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这个设置使得想要与网络同步的新参与者需要大量空间、时间和计算资源。比特币区块链在 2019 年之前的大小约为 200GB。
[1] Elliptic: https://www.elliptic.co/(一家为加密货币公司,金融机构和政府机构提供可操作的情报的公司)
[2] Chainalysis: https://www.chainalysis.com/ (防止,检测和调查加密货币洗钱,欺诈和违规行为)
MimbleWimble 的解决方案
MimbleWimble 以巧妙的方式使用加密技术来实现不可伪造性,同时优化隐私性和可扩展性。 MimbleWimble 不是像比特币那样验证每个输出的整个历史记录,而是检查区块链上所有交易的输入的总和减去所有输出的总和为 0 以验证链(这种做法也加强了交易的一个基本属性:交易发出的金额等同于收到的金额)。MimbleWimble 综合使用保密交易 (Confidential Transactions)、混币(Coin Join)、 范围证明(Range Proof)和交易记录核销(Cut-through)技术来实现上述目标。
与比特币相似,MimbleWimble 依赖于椭圆曲线密码学和 UTXO 模型。然而,MimbleWimble 是一个更加轻量级的的版本,由于增强隐私性的要求,它牺牲了可编程性。因此,诸如闪电网络(Lightning Network)之类的时间锁定或支付渠道等更复杂和精细的功能目前还无法在 MinbleWimble 中使用 [1]。
[1] 译者注:Grin 和 Beam 都有对应的解决方案。
速成课程:UTXOS
比特币和 MimbleWimble 一样使用「未使用的交易输出」(Unspent Transaction Output UTXO)模型来计算余额。这类似于使用硬币或现金来支付商品和服务。例如,爱丽丝想买一件 30 美元的衬衫,但她有两张 20 美元的钞票。她不能只给商人一张半的钞票。相反,她给了商人两张钞票,并收到了一张 10 美元的钞票作为找零。
UTXO 模型以类似的方式运行:Alice 在之前的交易中获得了两个交易输出:1 BTC 和 0.5 BTC。现在 Alice 需要向一个商人支付 1.3 BTC。她的钱包创建了一个发送 1.5BTC 的交易,这个交易有两个输入(1BTC 和 0.5BTC)两个输出(1.3BTC 和 0.2BTC)。商户收到 1.3 个 BTC,Alice 收到 0.2 个 BTC (可以视为找零)。由于 UTXO 模型这一特性,比特币用户可以通过查询区块链浏览器,观察到他们的比特币地址经常发送出比指定数量更多的比特币。
速成课程:椭圆曲线加密
椭圆曲线有几个特性,使其可以用于复杂的加密协议。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点 G,乘以一个整数 s,得到椭圆曲线上的另一个点 P=sG。然而,给定(P,G)要求出 s 的值在计算上是不可行的。这使得我们可以将(P,G)作为公钥,将 s 作为私钥。椭圆曲线的另一个特性是椭圆曲线上的计算满足一些有用的代数特性:
分配律:(a+b)G = aG+bG
结合律:a(bG)=b(aG)=(ab)G
速成课程:Pedersen 表达式(Pedersen Commitments) Pedersen 表达式是结合椭圆曲线的单向性和代数性质的密码学术语。对给定的值(x,y)计算其 Pedersen 表达式为 P=xG+yH。由于计算 s=P/G 是不可行的,所以要通过 (P,G,H) 计算出(x,y)是不可能的。另外,由于有无数的 x 和 y 的组合可以满足关系 P=xG+yH,所以即使我们知道某 1 个满足此关系的解(x,y),我们依然无法计算出满足此关系且不违反椭圆曲线单项属性的第二对(x’,y’)。
保密交易(Confidential Transaction)
默认情况下,MimbleWimble 依靠一个称为保密交易的密码学概念来实现隐私性。保密交易是由 Gregory Maxwell[1] 提出的,他从 Adam Back[2] (亚当·贝克的比特币同态加密中汲取到灵感。保密交易使用 Pedersen 表达式来隐藏 UTXO 中的交易金额。
[1] Gregory Maxwell 是 Bitstream 的比特币核心开发人员和联合创始人兼首席技术官。
[2] Adam Back (1970 年 7 月出生)是英国密码学家和加密黑客,hashcash 的发明者。
在 MimbleWimble 中,交易输入和输出通过 Pedersen 表达式计算为「P=rG + vH」。G 和 H 是椭圆曲线上的随机点,并作为区块链的公共参数公开。值 v 是 UTXO 的交易金额。r 是致盲因子,用作 UTXO 的私钥,值 rG 是对应于 r 的公钥。MimbleWimble 使用 Pedersen 表达式使敏感交易信息模糊,替代明文交易金额。Pedersen 表达式允许使用基本算法来验证交易。
举个例子,我们有两个输入和一个输出。我们提供交易金额(v)和致盲因子(r),同时将 G 和 H 作为公开参数。
交易内核(Transaction Kernel)
上述保密交易的问题在于,它们需要输入和输出的 UTXO 使用相同的致盲因子,即接收者的私钥。如果发送者知道了接收者的致盲因子的值,她就可以窃取接收者输出的 UTXO。而 MimbleWimble 使用零知识证明 (zero-knowledge) 克服了这个问题。
举一个简单的例子:某交易发送的交易金额为 5。发送者有一个 UTXO 作为交易的输入,由 Pedersen 表达式计算交易的输入为 X=45G+5H,其中 5 是交易金额 (v),45 是致盲因子(r),也就发送方的私钥。接收方选择一个随机盲因子 7 并创建一个 UTXO,由 Pedersen 表达式计算为 Y=7G+5H。验证者将交易输入减去输出得到:
X-Y=(45G+5H)-(7G+5H)=38G
MimbleWimble 将值 38 称为超额或内核,并将值 X-Y = 38G 称之为交易内核(译者注:准确的说公钥 rG 只是交易内核的一部分,交易内核还包括用 r 做私钥对交易做的签名,见下述译者补充)。对于一个有效的交易,交易内核始终为 X-Y = rG + 0H,其中 r 是某个整数。即使交易里有多个输入和多个输出也是始终如此。如果输入值的总和等于输出值的总和,则 H 系数将恒为零。有效的交易内核始终采用公钥的形式。发起人和接收方都知道对应私钥的一部分(45 和 7)。 MimbleWimble 协议要求交易双方使用他们的致盲因子进行多重签名来签署交易,内核(45-7=38)就是交易参与者的多重签名私钥。(译者补充:交易双方使用内核作为私钥对交易进行签名,验证者首先计算 X-Y,如果 X-Y 是一个合法的交易,那么 X-Y 的结果应该等于交易签名公钥 rG,验证者再用 rG 做公钥验证交易签名的有效性,如果验证通过说明交易是合法的,也就是 H 的系数为 0。准确的说,交易内核包括了交易的公钥 rG、使用 r 做私钥对交易的签名以及交易手续费。MinbelWimble 区块链上主要记录信息就是对交易的输入和输出的 Pedersen 表达式计算结果 X 和 Y 以及交易内核。)
范围证明(RANGE PROOFS)
MimbleWimble 协议要求交易金额必须为正数,因此用户无法凭空创造出货币。正如我们所提到的,唯一可以创造币的交易类型是挖矿。 范围证明是一种加密技术,对于某一 Pedersen 表达式 X,通过范围证明技术可以证明给定一对整数(r,min <v <max)满足 X = rG + vH。MimbleWimble 的实现(Grin 和 Beam)使用范围证明来证明交易金额 v 大于零且没有溢出。MimbleWimble 使用最近使用的子弹证明技术(Bulletproofs)是一种仅消耗约 700-5000 字节的范围证明技术。
没有地址
正如我们提到的,MimbleWimble 不使用地址。不使用地址的主要动机是为了增强区块链的隐私性和防止地址膨胀问题。在基于 MimbleWimble 的区块链中,用户必须进行链外的通信来创建交易。使用通信信道,交易发起方向接收方证明其持有交易所需的数字币金额,并向接收方转移这些数字币的控制权。因为没有公开的地址,所以也没有「标准」通信方式来完成交易。因此,交易双方需要建立通信信道,从而发送数字币持有证明及转移数字币控制权。这与比特币(以及大多数其他区块链)非常不同,比特币可以在没有交易接收方参与的情况下完成交易。
混币技术(Coin Join)
混币技术是一种降低数据公开性的方法。 混币将多个交易组合成单个大型交易的方法,这使得很难区分哪些交易输入是对应哪些交易输出。混币技术已在 JoinMarket,ShufflePuff,DarkWallet,SharedCoin,Wasabi,Samourai 等项目中使用。基于钱包的混币技术的缺点是用户必须主动选择使用该功能。这降低了它的有效性,因为用户要么就不知道这一功能,要么就是由于麻烦而不使用该功能,这些都导致参与混币交易的交易数量不足对于混币技术而言,参与混淆的交易的数量太少就不能有效地隐藏交易的发送地址和接收地址。此外,参与混币的用户之间必须进行通信以创建混币交易,因为每个交易发送方都必须对最终组合起来的整个交易进行签名。
在 MimbleWimble 中,用户无需选择混币功能,这是 MimbleWimble 的默认功能。一个区块中不再记录单独的各个交易。相反,它看起来像一个大型的组合起来的交易。图 1 是要包含在下一个区块·中 2 笔摸交易集的示意图。在图 2 中,MimbleWimble 在类似于混币的过程中将两笔交易连接在一起,这样剩下的就是单个交易,它组合了 2 个交易所有输入和所有输出。
交易记录核销 (Cut-through)
保密交易比常规交易需要更大的存储空间。根据 Aaron Van Wirdum[1] 的说法,保密交易比非保密交易所需要的存储空间大 20 倍,计算资源大 30 倍。 MimbleWimble 使用一种名为交易记录核销的技术来解决这一挑战进而提高效率。
[1] Aaron Van Wirdum:BitcoinMagazine 技术编辑
正如我们上面提到的,下载完整的比特币区块链需要占用近 200GB 的空间,并且其正在不断增长。如果比特币上的所有交易都是像 MimbleWimble 这样的保密交易,那么区块链的大小将会大几个数量级。
MimbleWimble 使用称为交易记录核销的过程来删除冗余的交易输出以释放块内的空间并减少需要存储在区块链中的数据量,同时保持相同的安全性。冗余输出的特点是这些输出会在同一区块被作为输入使用。通过 Andrew Poelstra 演讲编制的图表可以很好地说明这一点。
在图 3 中,可以看到的某交易的青色输出在同一区块中后来又被作为某交易的输入,所以可以从区块中删除这笔冗余的输入和输出,以减少必须记录的数据。虽然 MimbleWimble 冗余的交易输出,但它保留了这些交易的交易内核。
MimbleWimble 在在区块内的微观层面和整体数据的宏观层面都使用交易核销技术,从在区块链上的信息只有:区块链首部信息(block header)、UTXO 和交易内核。节点可以使用这些关键数据来验证区块链。从而使得如果一个区块内核销掉的交易输出比这个区块内新增的交易输出多,则区块链的大小会缩小。从理论上讲,这将使得验证区块链所需的数据量会随时间发展越来越小。
Grin 作为 MimbleWimble 的第一个实现,认为 MimbleWimble 节点的数据量大小相比比特币会大大减少,「相比数 GB 大小的比特币区块链节点,Grin 节点大小可以做到数量级的优化,甚至到仅有几百 M 字节」按照 Grin 的描述,假设有 1000 万笔交易伴随着 100 万个 UTXOs,没有交易核销的区块链总大小约为 130GB,其中交易数据为 128GB、交易证明数据为 1GB,块头为 250MB。经过核销,区块链的总大小可以降至 1.8GB,包括 1GB 的输出数据,520MB 的 UTXO (译者注此处应该为交易内核或交易证明数据)和 250MB 的块头。 而 Beam 认为,当它达到与比特币相同的规模时,其区块链大小可能是比特币的 30%。
蒲公英技术(Dandelion)
对于 MimbleWimble 的隐私性而言,最大的威胁是区块链节点可以在打包并广播交易记录前记录交易的信息。在核销之前,交易输出在要在节点本地内存池(mempool)(未经验证的交易池)中保存一些时间。这使得恶意节点可以在构建交易图(transaction graph)并可能发现发送方的 IP 地址。
蒲公英技术不是 MimbleWimble 的一部分,而是 Grin 和 Beam 在实现时补充的功能。蒲公英试图降低恶意节点创建交易图的机会,方法是「在交易被确认之前先悄悄地在网络中转发它,从而延迟交易在网络上出现的时间」(Andreas Antonopoulos[1])。
通常,当有人向区块链发起交易时,交易信息会向所有的区块链节点广播。蒲公英将交易的广播划分为两个阶段,从「阀杆(stem)」或「匿名(anonymity)」阶段开始,在这一阶段,交易信息将其被随机广播到某一个节点,然后再由这个节点将交易信息发送到另一个随机挑选的节点,依此类推,直到收到交易信息的节点数目满足一定要求,则进入第二阶段。第二阶段称为绒毛阶段(fluff phase),在这一阶段交易信息会被广播到所有的节点。这样做可以防止观察节点将交易映射回原始地址。一种蒲公英技术的改进(Dandelion++)使得创建交易图变得更加困难。
在 MimbleWimble 中,交易也可以在匿名阶段之前进行混币,从而使将交易输入与交易映射关联更加困难。 Beam 通过增加占位空输出使得在没有足够的输出也可以进行上述混币操作。。
蒲公英技术的一个问题是,在匿名阶段,如果交易被传递到某一随机节点后,这个节点掉线,那么这笔交易将永远不会被传播到区块链网络。Grin 和 Beam 解决了这一问题——如果某交易没有在合理的时间内达到「绒毛阶段(fluff phase)」,则这个交易将被自动广播到更广泛的网络中。
[1] Andreas M. Antonopoulos (生于 1972 年)希腊 - 英国,比特币的拥护者。
无脚本脚本(Scriptless scripts)
MimbleWimble 不支持交易脚本,而交易脚本是大多数区块链的重要特征。脚本是嵌入在交易中以支持基本智能合约功能的代码。 没有它,MimbleWimble 就不能支持条件交易(conditional transaction),时间锁,状态通道(例如闪电网络),跨链原子交换等。这是不可链接交易和交易核销的代价。验证者无法检查是否满足智能合约条件,因为相关的 UTXO 及其条件可能已经被删除。
当于 2016 年 8 月,第一份 MimbleWimble 论文发布时,无法支持条件交易似乎是使用 MimbleWimble 的一个限制。然而,Andrew Poelstra 发现了一种通过使用无脚本脚本的方式实现智能合约的简单方法。无脚本脚本基于这样的想法:利用施诺尔签名技术(Schnorr signatures)支持无脚本脚本功能,区块链验证者如果需要知道链外发生的条件元素,只需检查签名是否存在且正确。
具体而言,交易的参与者可以通过组合其各自的签名的私钥来创建多重施诺尔签名,从而生成交互式的签名,该签名是提交给节点并由节点验证的唯一数据。
Aaron Van Wirdum 提供了一个很好的解释,便于我们理解。他举了一个想要收听艺术家歌曲的网络用户的例子。艺术家和用户需要将他们组合的施诺尔签名提交到区块链,以验证条件交易。拥有该歌曲版权的艺术家掌握对于这个歌曲加密的密钥,设为 7000,获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的施诺尔签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个施诺尔「适配器签名(adaptor signature)」,1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的施诺尔签名减去减去歌曲密钥的结果。然后用户也做施诺尔签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都发生在链外,这样除了艺术家和用户没有人会发现其中的步骤。区块链验证者唯一看到的内容是一个 13000 的施诺尔签名组合。适配器签名只被艺术家和用户掌握,对于第三方保密的。除了「结算交易」之外,区块链上没有任何交易记录内容。可以通过添加支持施诺尔签名的新操作码(Opcode)来实现无脚本脚本。 Grin 和 Beam 正在实现无脚本脚本,但是暂时没有这个功能何时上线的确切时间表。
基于无脚本脚本有可能实现机密资产(confidential assets),跨链原子交换和第二层扩展解决方案,比如在 MimbleWimble 区块链生态中使用闪电网络。无脚本脚本不一定要在 MimbleWimble 上实现,甚至可能会扩展到其他区块链生态上。
结论
MimbleWimble 基于经过严格证明的密码学技术。其中一些技术已在经同行评审的密码学期刊上发表,其他一些技术则是发布在白皮书和技术报告中。首个 MimbleWimble 区块链生态项目 Grin 和 Beam 最近才推出。虽然 MimbleWimble 是一种新的实验性技术,但它具有有显著提高隐私性和可扩展性的优势,虽然目前它的用户体验还不够好,且也没有彻底完全解决某些隐私方面的挑战。还需要进行大量的测试和迭代才能在大规模开放的区块链生态上实现高效的隐私交易。目前,这个看似难以理解的概念,在实践中可能会还会遇到意想不到的问题。
在用户体验方面,目前 MimbleWimble 没有地址和交易各方需要进行交互通信并且在线(虽然不一定同时)来签署并完成交易。这一要求与现有的加密货币相比很不一样,对于用户使用造成一些困扰。
从隐私性角度,矿工可以在混币和交易核销之前查看内存池(mempool)中的交易。因此,恶意观察节点就可以构建详细的交易图,从而对隐私性构成威胁,这直接挑战了 MimbleWimble 的隐私性这一核心价值主张。尽管有蒲公英技术和虚拟 UTXO 这样的潜在技术解决方案,但它们在实践中还有待完善。
其他隐私币解决方案
MimbleWimble 不是第一个或唯一一个区块链隐私币方案。对所有可用的隐私币解决方案进行全面而深思熟虑的讨论超出了本报告的范围,这里讨论其他可供选择的替代方案以供读者了解。这些包括但不限于其他区块链协议和在底层实现隐私性的币种(Zcash,Monero),通过第二层网络实现隐私解决方案(Blockstream 侧链)和通过交易层实现的隐私方案(例如通过像 Samourai 和 Wasabi 这样的钱包)。
隐私币
在 Grin 和 Beam 之前推出的两个隐私币是 Zcash 和 Monero,这些币在协议层实现了隐私性。Monero 是一款基于 CryptoNote 协议的隐私币,Monero 的一个关键优势是默认情况下即启用隐私功能,它隐藏发送方和接收地址以及交易金额。 Monero 使用环保密交易(Ring Confidential Transactions)和隐形地址来实现隐私性。环签名算法在交易中添加「诱饵」信息从而避免暴露真实的签名信息,进行有效地混淆交易信息。 Monero 的主要缺点是,即使使用子弹证明技术(Bulletproofs)大大减少了存储空间,其数据存储规模仍是比特币的十倍。
Zcash 是基于 Zerocash 协议设计的数字币, Zcash 使用地址加壳技术来隐藏交易方的地址并使用 zk-snarks (一种零知识证明)来隐藏交易金额。与 Monero 以及基于 MimbleWimble 协议的 Grin 和 Beam 不同,Zcash 不会在默认情况下启用隐私功能。在 Zcash 的 Sapling 更新之前,创建一个保密交易的计算量很大且非常耗时,这阻碍了用户的使用隐私功能。经过 Sapling 更新,对地址加壳所需的内存和时间已经减少,这某种程度上会鼓励用户使用保密交易功能。可选的隐私功能的另一个缺点是当用户选择使用加密交易信息时,这一行为可能会被视为可疑行为。Zcash 的另一个缺点是其可信设置(trusted setup)。虽然 Zooko Wilcox[1] 表示打破可信的设置不会影响隐私性,但 Peter Todd (比特币研究员)在某次与一个 zk-snaks 的开发人员的会谈中表示他不同意 Zooko 的看法。
[1] Zooko Wilcox-O'Hearn,左科·威尔科克斯(1974 年 5 月 13 日出生于亚利桑那州凤凰城的 Bryce Wilcox),是美国科罗拉多州的计算机安全专家,cypherpunk 和 Zcash 的首席执行官。
侧链
侧链是一个独立的区块链。侧链双向链接到一个基础层区块链协议。双向链接使得来自原始基础层链上的币在通过验证后,可以以固定的速率与侧链资产进行互换。这些补充作用的侧链可以提供基础层区块链没有的新区块链的功能、扩展并共识机制,从而对基础层区块链面对的问题提供一系列解决方案,包括但不限于隐私性和可扩展性。比特币侧链公司 Blockstream 已经部署了一个这样的网络,即最近推出的 Liquid,它在默认状态下进行保密交易。Liquid 使用一个由 15 个已知节点组成的小组 (称为工作成员小组) 来验证交易并打包区块,这以牺牲去中心化为代价加快了交易速度。虽然 Liquid 的管理更加中心化,但它针对的是交易所场景下的一些特殊问题。例如支持在联盟链内的任何节点随意兑换 LBTC 这一 Liquid 的本地 Token。如果某一个独立的网络节点宕机,此时这个设计会特别有用。Liquid 的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。对 Liquid 的一个轻微批评是,它信任的一些中介机构中包括一些不受监管的、历史上有不安全记录的加密货币交易所,如 Bitfinex 和 OKCoin 等。
隐私钱包(PRIVACY WALLETS)
此外,基于钱包的一些隐私解决方案(如 Wasabi,Samourai 或 Breeze)的优势在于它们可以在比特币(或其他币种)之上实现,而无需更改底层协议。一些批评的声音包括:如果没有在较短的时间内找到匹配的交易资金,就会出现较小的匿名集或者造成交易延迟。例如,Samourai 的交错弹跳(Staggered Ricochet)可能需要两个小时才能到达最终目的地从而完成交易。此外,由于钱包平台的中心化性质,钱包运营平台可以获得交易的隐私信息。在 2019 年初,谷歌要求 Samourai 删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌 Play store 的新规则。
尽管有许多增强隐私的选择,但这些都是早期技术(包括 MimbleWimble,Grin 和 Beam)。在这一点的选择上每个人都有自己的权衡取舍,并且对于什么才是隐私加密的最佳方法目前还没有明确的答案。
GRIN
Grin 是 MimbleWimble 的第一个开源实现。Grin 使用 Rust 语言开发。 Grin 文档于 2016 年 10 月 20 日由匿名开发人员 Lgnotus Peverell 发布。许多 Grin 的核心开发者都采用了来源《哈利波特》相关的绰号。 Grin 在 2019 年 1 月 15 日在主网上发布之前发布了四个测试网。由于其与比特币的相似性,Grin 受到加密货币社区的称赞——尤其是其匿名开发团队以、公平的数字币分发方式(没有预挖、没有 ICO、没有创始人奖励)和基于捐赠的资助模式。然而,Grin 确实有几个值得注意的差异。
货币政策 :Grin 被设计成一种交易媒介(MoE),而不是像比特币那样作为价值储存手段(SoV)。Grin 的矿工奖励是每分钟 1 个块,每个块 60 个 Grin (即每秒 1 个 Grin)。挖矿产生的 Grin 会按照这一规律一直持续下去,且没有减产。这使得 Grin 的通胀率在早期很高。随着时间的推移通胀率逐渐下降。
共识算法:在初期阶段,Grin 将尝试通过使用两种 PoW 算法来实现去中心化。这两种算法是 Cuckoo Cycle[1](布谷鸟环)的变体 (一种是 ASIC 友好的,另一种被认为是 ASIC 抗性的,因为它是内存瓶颈算法(memory-hard)。布谷鸟算法是一种全新的、有点争议的工作量证明(PoW)算法 ; 握手区块链(Handshake blockchain)的白皮书描述了这一问题。
管理:Grin 没有正式的管理流程。但 Grin 有一个 8 名成员组成的技术委员会,负责管理 Grin 的普通基金和发展路线图。Grin 举行对所有人开放的管理和开发会议。
功能:Grin 正在努力通过添加诸如无脚本脚本之类的功能来增强 MimbleWimble 协议,基于这个功能可以实现复杂的「条件交易」功能。社区成员还致力于通过 grinbox 和 wallet713 等解决方案改善用户体验。
挑战:虽然 Grin 因其基于捐赠的资助模式而受到赞赏,但仅依靠外部捐款继续建设和改进 Grin 也是一项挑战。此外,要使非技术用户能方便的使用 Grin,还有很多工作需要做。
自发布以来,Grin 已可以在多个交易所交易,即使它并未主动联系交易所上币也没有向交易所支付上币费。虽然社区很乐意帮助 Grin 上交易所,但 Ignotus Peverell 表示他们并不「过分担心外部因素和 [他们] 无法控制的事情」。
[1] 原作者注:Cuckoo Cycle 是在非常大的二部图中以寻找循环路径,因此其算法速度用每秒完成搜索的图的个数计算。 与大多数其他工作量证明算法相比,Cuckoo Cycle 消耗的功率要少得多,并且其是内存密集型而不是计算密集型算法。 Yeastplume 在一个播客节目中很好地解释了这一点:类似于我们在一张纸上绘制节点并随意在它们之间添加边。,该算法计算出是否可以在这些节点之间找到环,即从一个特定的节点开始并沿着边返回到相同的节点。
挖掘算法
最初,Grin 团队计划使用两种 PoW 算法,由于算法需要消耗大量内存而被认为是抗 ASIC 的:Cuckoo Cycle (由 John Tromp 在 2015 年开发)以及具有较高内存要求的 Equihash 算法,称为 Equigrin。
对内存要求高的算法被认为不是可以利用 CPU 和 GPU 的计算密集型算法。最初由于 Cuckoo Cycle 需要大量 SRAM (静态随机存取存储器),它被认为是 ASIC 抗性的。人们认为因为算法需要大量 SRAM 而在 ASIC 使用大量 SRAM 很昂贵,所以这使得制造 ASIC 更加困难。 Cuckoo Cycle 的创建者 John Tromp 表示,「最初的 Cuckoo Cycle 旨在使内存延迟成为瓶颈。现在,多年以后,我们意识到 Cuckoo Cycle 是可以很好地利用 [...] 的 SRAM 算法,而其实(与过去的想法不同)在 ASIC 制造中使用 SRAM 并不那么昂贵。我们希望 ASIC 比 GPU 具有更高的效率优势。」John Tromp 在一个播客节目中深入探讨了 Cuckoo Cycle。
在 2018 年 8 月,社区承认 ASIC (1)在实践中是不可避免的 [1],而且(2)可能在以开始时会不利于数字币的公平分配,但从长远来看并不一定是一件坏事。相反,ASIC 友好算法可以使网络更加安全,因为 ASIC 矿器增加了网络的算力,使攻击变得更加困难、代价更加高昂。 从长期来看,ASIC 可以有利于区块链协议的成功,因为投资数千万美元的的矿工在安全性方面的诉求与区块链项目的利益完全一致。此外,根据 Derek Hsue 的说法,「任何持续产生 ASIC 抗性的尝试都将导致秘密 ASIC 这个问题确实存在。」
鉴于上述观点,Grin 随后决定改变工作量证明(PoW)算法,这两种算法都是 Cuckoo Cycle 的变体,主算法是 ASIC 友好(AF)算法和第二算法是 ASIC 抗性(AR)算法,并在项目主网上线后逐步淘汰第二算法。 Grin 中的主 PoW 算法叫做 Cuckatoo31 +,是 Cuckoo Cycle 对 ASIC 更加友好的版本。 它被称为 ASIC 友好的是因为它可以使用数百 MB 的 SRAM 来提高性能使得 ASIC 算力超过 GPU。第二算法,称为 Cuckaroo29,是一种内存密集型的 AR PoW 算法。然而,真正保证 ASIC 抗性的唯一方法是有计划的进行硬分叉,不断调整算法(类似 Monero 的做法),使已生成的 ASIC 作废。 Grin 将每六个月执行一次这样的硬分支来调整算法,以抑制对该 AR 算法生产 ASIC 的积极性,直到该算法在两年内逐步淘汰。
加密社区里的一些成员非常关注 Cuckoo Cycle 中 PoW 算法的稳定性。 John Tromp 在 2014 年首次提出了这个概念,并在短时间内进行了多次修订,因为研究人员找到了优化算法的方法。 Cuckoo Cycle 基于一个 NP 完全的图论问题,一个令人担忧问题是,如果某个矿工通过优化 Cuckoo Cycle 算法获得比网络中其他矿工更大的算力,那么挖矿收益将无法公平分配。John Tromp 认为,这类优化算法获得的相对优势可能会随着迁移到更大的图而增加。但如果社区的其他成员对算法做相同的优化,这种优势就会消失。
一开始,Grin90% 的块用第二算法挖掘,10% 的块用主算法挖掘。两年后,100% 的区块将使用主算法进行挖掘。在未来两年,Cuckatoo31+将获得更大比例的区块奖励,每月线性增长 3.75%。Grin 社区希望,到 Cuckatoo31+占 100% 的矿业份额时,将有来自多个 ASIC 制造商生产出 ASIC 矿机,从而引导有序健康的竞争。Grin 基于最近 60 个区块的窗口对挖矿难度进行调整。
[1] 原作者注:Leo Zhang 说「2014 年,当 ASIC 矿工首次商业化时,由于 RAM 成本较高,使用内存硬算法抵制 ASIC 的策略是有道理的。但在过去几年中,RAM 成本的急剧下降使 ASIC 设计人员能够以越来越低的成本为这些网络制造机器。内存瓶颈算法无法无限期地保留 ASIC。」
GRIN 矿池
根据 miningpoolstats.com 的数据显示,Cuckaroo29 上有 15 个矿池,Cuckatoo31+上有 11 个矿池。在撰写本文时,前两名的矿池 (Sparkpool 和 F2pool) 的算力之和占 Cuckaroo29 的 82%,占 Cuckatoo31+的 68%。Sparkpool 和 F2pool 都向 Grin 的开发者基金和普通基金提供了捐款。虽然算力似乎集中在了矿池中,但矿池是由许多矿工参与者组成的,这些矿工可以选择随时离开矿池,并随意将其算力切换到其他矿池。
第三大矿池是 GrinMint,是 BlockCypher 于 2018 年 9 月首次推出的矿池,2019 年 1 月在主网上推出 .BlockCypher 收取 2.5%的费用,并表示将向 Grin 开发者社区捐赠 0.5%。 BlockCypher 还有一名全职开发人员致力于 Grin (Quentin Le Sceller)。其他回馈 Grin 社区的矿池包括 MimbleWimble Grin Pool 和 grin-pool.org。
对 Grin 的批评之一是,当 Grin 上线时,一些投资人投资挖矿并控制了大量的算力。这些投资人本来应该是通过买币投资 Grin,即是市场的买方。但由于这些投资人通过挖矿获得了 Grin,并在市场中卖出 Grin 获利,这些投资人反倒成了市场的卖方。当矿池挖出区块并获得挖矿奖励时,他们必须立即出售币,因为他们要用比特币支付给矿工 (译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
货币政策
Grin 具有线性的增发率,并且将以每分钟 60 Grin (每秒一 Grin)的速度增发 - 其供应量故意被设计成没有上限。而比特币的上限为 2100 万,并且具有通缩发行计划,比特币的块奖励每四年减半,直到接近零。因为比特币的发行模型使得其价值会算时间增加,所以比特币模型鼓励持有硬币。这使比特币成为价值存储工具(SoV)。
Grin 的早期通货膨胀率极高,但当有数百万枚 Grin 币流通时,随着时间的推移通货膨胀率将趋近于零,虽然它永远不会达到零。在实践中,通胀率需要在 10 年后才能降至 10%以下,25 年后才会降至 4%(与 2018 年比特币相同)。通胀率将需要 50 年才能降至 2%以下。然而,实际上,Grin 团队认为,当考虑到存在因为私钥丢失而造成的丢失的币时,通货膨胀将会比上述预想的低。根据团队的说法,每年丢失的币可能高达总供应量的 2%,在计算通货膨胀率时应该将这部分排除。永久性发行被视为缓解币丢失的影响的潜在解决方案。
永久通货膨胀背后的另一个原因是:(1)通胀模型比通缩模型更公平,通缩模型对于越早挖矿的矿工越有益,而通胀模型不会。(2)如果预计明天的币价与今天的相似,那么它有更大的机会被用作交换媒介(MoE),而这就恰恰是 Grin 项目所希望的。短期至中期的高通胀会激励消费而非储存,因为币会被显着的稀释。社区还认为,花钱的动力可能有助于更广泛地分发数字币。
此外,永久性发行可以防止 Grin 最终只能完全依赖交易的手续费来确保网络安全 - 这正是比特币社区正在讨论 / 面临的挑战。一旦比特币的发行量接近零,网络将不得不过渡到仅仅依赖交易费用奖励为保护比特币安全的矿工。仅依赖交易费奖励矿工是区块链的一种新的经济模式,但仍多存在许多问题:每个区块需要多少交易,每笔交易的最低费用是什么,以及如何解决与第二层方案(例如闪电网络)中致力于降低网络费的行为之间的矛盾。
来源 : grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者因为 Grin 没有上限的线性发行计划而批判 Grin,并因为高通胀率降低了数字币作为价值存储的购买力。然而,Grin 的开发者故意设计了这样的通胀率,其目的是鼓励消费、抵消丢失币的影响、确保 Grin 网络始终可以给矿工支付挖矿奖励以维护区块链安全。高通胀的一个不利之处是,与早期比特币相似,挖矿奖励在目前在总供给量中占了相当大的比例。这可能会对 Grin 币的价值产生负面影响,因为矿池出售 Grin 以换取比特币支付给矿工。
(译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
治理
Grin 的莱恩伯格(Lehnberg)说:「治理是关于如何做出在参与者 (参与决策的人) 和利益相关者 (受决策影响的人) 的角度看起来都合理的决策的过程。」 Grin 没有明确的治理流程,但对于没有结论的讨论是透明的且对社区完全开放。
Grin 有一个技术委员会负责管理 Grin 普通基金(Grin General Fund)并指导项目的开发。委员会成员包括 Ignotus Peverell, Antioch Peverell, Hashmap, Jaspervdm, Lehnberg, Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner)和 John Tromp。任何人都可以参与治理会有和开发者会议以及讨论,但是最活跃的贡献者通常还会发挥更大的作用。
技术委员会每两周举行一次管理会议和一次开发者会议,主题包括 ASIC 抗性,筹集和指导资金,重大缺陷和错误,安全审计,交换集成,硬分叉等。 Grin 还会在会议前后在 Github 上发布议程,笔记和会议记录。在 grin-forum 上还有一个管理部分,那上面上有一些主题一致的帖子,表明社区正在积极思考如何从长远来进行管理。
技术委员会主导的管理和开发过程使社区能够在早期快速灵活地运行,以避免减慢项目进程。然而,随着 Grin 的成长和成熟,人们一直在讨论如何建立一个更加结构化的管理流程并进行制衡。委员会成员和捐助者明确表示,有必要实施一个更正式的程序,来确立:
为社区提供一种更结构化的方式来交流关于管理和开发主题的反馈。
设置委员会的权限范围以及社区为委员会成员提供意见的规则。
所有利益相关者都有机会发表意见。利益相关者包括核心开发者,一次性贡献者,矿工,用户,投资者,交易所等。
该委员会的缺点是增加了项目的中心化程度。从长远来看,一个非官方的委员会可能是危险的。一个例子是 Burst PoCC,它具有与 Grin 技术委员会类似的功能。有一天,他们对社区感到不满并意外退出,但仍然可以访问项目代码库,管理 DNS 域名等等。他们还采取了额外的恶意行为,例如欺骗矿池和过早抛售 Burst,最终损害了 Burst 区块链。
资金
Grin 是一个完全基于捐赠的开源项目。虽然它的公平的数字币分配机制受到了称赞——没有 ICO、没有预挖、没有创始人奖励,但缺点是开发进展缓慢。Grin 的安全审计、市场营销、网站开发、运营活动等都依靠无偿的兼职志愿者和对核心开发者基金的捐赠。
正如 Tushar Jain 所指出的那样,「如果没有资本的促进,开发进度将被推迟。」这是 Grin 社区也认可的事实。在 Grin 普通基金的页面上,他们说,「现实情况是,有了资金支持,对 Grin 项目将会有很大帮助。这将使 Grin 能够更快,更可靠地发挥其潜力,拥有更好的基础设施支持,并且与资金充足的区块链项目竞争(或共存)的可能性会更大。」
Grin 社区于 2016 年开始开发 Grin,并于 2019 年 1 月才主网上线。同一时期,Beam 是 MimbleWimble 协议的另一个实现(下文将进一步详细讨论),是由一家获得风险投资者的私营公司开发的项目。他们从 2018 年初开始启动该项目,并于 Grin 主网上线前一周实现主网上线。
此外,Yeastplume (Michael Cordner),社区的核心开发人员和主要成员,在最初在筹集个人研发赞助资金时遇到了困难,无法将全部精力投入 Grin。只有在 Ignotus Peverell 在对 Yeastplume 的募资活动远未获得 (5.5 万欧元)10% 的资金表示失望之后,募资活动的捐款才开始上升。自那以后,它已经超额完成了募资目标,在撰写本文时筹集了 66,580 欧元。可以在 Grin 名人堂中查看完整的捐赠者名单。
依靠捐赠可能在短期内会奏效。然而,为了保持发展并吸引人才进入网络,Grin 将不得不重新考虑其融资模式,因为它面临着于那些资金充足并付费的项目日益激烈的竞争。在这个关于开发者激励政策的明确表达中,纳撒尼尔·惠特莫尔 (Nathaniel Whittemore) 提出了另一种全新的面向商业的激励模式,即(1)提供足够的激励来吸引顶尖人才加入项目,(2)同时继续为核心开发路线图做出贡献。即保证项目在既定路线图的规划下,使用经济措施鼓励更多优秀人才贡献力量。
用户体验
如上所述,MimbleWimble 是没有地址的。因此,交易的发起方和接收方必须传递消息 (称为「交易石板」),基于交互式通信进行币的转让。有多种方法可以标准化的传递 JSON 消息。一种方法是基于文件的传输,其中文件包含纯文本格式的 JSON 消息,可以通过多种方式传输文本 (电子邮件、Telegram、Keybase、业余无线电、信鸽等)。另一种方法是基于 HTTP URL 的方法,其中 API 接口接受文本格式的原始 JSON。
一组名为 vault713 的第三方开发人员正致力于使 Grin 可以更加实用并被广泛的使用。他们的第一个项目是一个名为 Grinbox 的交互协议。 Grinbox 是一种消息中继服务(message relaying service),当与 wallet713 一起使用时可以简化交易处理过程,wallet713 是目前在 Linux 上运行的 vault713 的 grin 钱包的核心分支。Grinbox 和 wallet713 旨在改善 Grin 的发送和存储过程。
第一步,Grinbox 允许参与者创建公开的地址用以发送 / 接收资金,这样他们就不必公开他们自己的 IP 地址。 wallet713 还允许用户将联系人姓名链接到他们计算机上的本地存储地址。此外,wallet713 允许异步交易构建。 vault713 还致力于添加更多增强隐私和可用性的功能,例如多重签名支持,BTC 和 Grin 之间的原子交换,在交易进入未经确认的内存池、移动 /web/ 桌面 GUI 等之前,与其他 wallet713 用户一同进行钱包层面的混币。
随着项目的成熟并吸引到更多人才,将出现更多利用不同通信信道创建交易可选方法。这可能包括利用 NFC,QR,蓝牙等的近场通信技术创建交易的方法。最终,用户选择一个方便且易于理解解决方案作为主要的交易通信方式。但是到达那一步还需要一些时间,还有待观察哪种方法可以成为标准。
Grin 只有几个月的历史,而且就目前而言,该项目适合精通技术的用户投入时间和精力来了解它的工作原理。虽然社区开始通过 grinbox 和 wallet713 等工作解决用户体验方面的问题,但要使非技术用户能舒适的在网络上进行交易还需要时间进行迭代和教育。
结论
Grin 是一个最初引起密码学朋克和无政府加密主义者注意的项目,但 Grin 与比特币相似的思想引起了许多人的注意。也就是说,Grin 因其匿名领导者、基于捐赠和草根的资助模式、专注于隐私和去中心、以及其社区非常关注对项目的推进而不是快速赚钱而受到赞扬。
但是 Grin 主网上线 Grin 只是第一步。要想让 Grin 获得长期成功并被广泛采用,还有很多工作要做。需要解决的关键挑战包括更可靠的筹资方式、更直观的用户体验以吸引更多用户使用 Grin,以及研究如何解决系统中的隐私漏洞 (即观察节点创建交易图的能力)。
核心团队表示,其主要关注点仍然是稳定性,性能以及安全性。通过第三方开发团队将 Grin 集成到他们的服务和产品中来培育一个健康的生态系统,这对提高使用率也是至关重要的。这并不一定需要 Grin 的核心开发人员来完成。相反,这些挑战可以在 Grin 区块链周围出现第三方开发人员生态系统时解决。
Grin 仍然是一个非常新的项目,它开创了全新的未经测试的想法,加密概念和技术。如果 Grin 能够应对关键挑战,那么它有可能成为将隐私重新置于个人手中的一种方式。
BEAM
Beam 是由一家总部位于以色列的 VC 支持的创业公司,于 2019 年 1 月 3 日推出了基于 MimbleWimble 协议的以隐私为重点的同名加密货币。它于 2018 年 3 月开始使用 C ++开发,并于 2018 年 9 月推出了测试网络。虽然 Beam 和 Grin 的相似之处在于它们都是 MimbleWimble 的实现,旨在为用户提供隐私增强功能,但它们的路径各不相同。与 Grin 不同,Beam 是一家私营公司,雇用开发人员来实施。 Beam 是从闭源开始,但后来开源了。 Beam 的另一个相比于 Grin 的重要区别是 Beam 提供了针对企业和监管机构的可选审计功能。
货币政策:Beam 的供应计划是通货紧缩型的,在第一年之后区块奖励下降 50%,之后每四年就会减少一半,直到达到 2.63 亿的硬性上限。此外,Beam 挖矿产出的 20% 将作为开发税进入 Beam Treasury 基金,用于并为 Beam 的未来开发提供资金。
挖矿算法:Beam 使用 Equihash 的修改版本(一种工作量证明挖掘算法)来提供网络共识。为了确保去中心化,Beam 将通过定期调整其算法使得 Beam 在前 12-18 个月保持 ASIC 抗性。
管理:Beam 目前由一家 VC 支持的创业公司运营,由付薪雇员组成。长期目标是完全将管理移交给管理 Beam Treasury 基金、维护区块链的非营利基金会。
功能:Beam 正在添加一个可审计的功能,这样企业就可以在不损害隐私性的情况下证明其合规性并提供交易的可预见性。Beam 开发人员还在探索一个安全的 BBS 系统,该系统将支持非交互式离线交易。
挑战:不断改进 PoW 协议是一项艰巨的任务,避免 ASIC 挖矿将使网络整体算力保持在较低水平,这也使得攻击网络的成本相对较低。此外,Beam 目前的运营和管理结构是中心化的,转向更去中心化的模式将需要避免所有投资方之间的权力斗争。
挖掘算法
Beam 使用 Equihash 算法,这是由卢森堡大学的 Alex Biryukov 和 Dmitry Khovratovich 创建的工作量证明算法。 Equihash 是一种基于广义生日问题的非对称内存密集型算法。 Equihash 的另一个关键属性是挖矿是随机的,这意味着生成 PoW 解的可能性与过去是否的成功挖矿是不相关。 Equihash 有两个可以调整的参数:n (bit 位宽)和 k (长度),它们决定了底层问题的复杂性,从而决定了算法的内存和时间复杂度。Beam 使用 Equihash 参数 n = 115 和 k = 5。
Equihash 在某种意义上是不对称的,因为它需要大量的内存来生成一个证明,但它不需要大量的内存来验证它。这是 Equihash 的一个重要特性,因为大多数其他内存密集型算法都是对称的,也就是说,验证与生成一个证明一样困难。内存密集型指的是生成一个证明所花费的时间与内存成正比,而不是与 CPU 计算能力成比例。如果使用更少的内存,Equihash 会不成比例地大大增加对计算能力的需求。
最初,内存是一种昂贵的资源,因此不假设 ASIC 比常规 CPU 和 GPU 更容易做出内存优化。另一方面,ASIC 与 GPU 相比提供了显著的带宽改进,而 GPU 又比 CPU 提供了显著的带宽改进。由于芯片设计技术的改进,为内存优化的 ASIC 矿机的成本不再像过去预期的那么高。
Zcash 是一个专注于以隐私性的加密货币,也使用 Equihash 算法。最初选择了 Equihash 是因为它被认为是 ASIC 抗性的。然而,在 2018 年,比特大陆发布了 Antminer Z9 mini 矿机,这个矿机通过降低 SRAM 的成本获得比通用硬件(CPU、GPU)更高的挖矿效率。在 Beam 的 Equihash 算法帖子中,他们强调「卢森堡大学的研究人员发现,截至 2018 年 5 月,20%-30%的 Equihash 是由 ASIC 矿机挖出的。」
Beam 表示,它们已经特别设置了 Equihash 参数,以便在短期内为 CPU 和 GPU 为矿工提供优于 ASIC 的优势,从而使币的初始分发更加广泛。然而,它认识到 ASIC 是不可避免的,甚至是在长期看是有用的,因为 ASIC 是一项成本可控的投资,并且增加了全网算力,从而使得区块链更安全且更难被攻击。
货币政策和资金
Beam 的货币政策类似于比特币。它的特点是规定了一个硬顶和通缩发行计划,并使用常规的区块奖励减半方法(每个区块的挖出的币数量下降 50%),直到通货膨胀率达到零。因此,这个初创公司是希望将 Beam 用作价值储存(SoV),而不是像 Grin 那样的交换媒介(MoE)。不过,其与比特币的相似性就到此为止了。与特别币不同的是:1. Beam 在第一年的挖矿奖励更多;2. 前 5 年的挖矿产出中部分归于项目创始人团队;3. Beam 每分钟一个块(比特币每 10 分钟一个块)。
在第一年,一个区块奖励将是 100Beam,高于之后的奖励,以激励矿工尽早加入网络并将 Beam 引入市场。头五年中 20% 的挖矿产出将给与创始人团队。所以第一年挖出的每个区块的 100 Beam 中 80 Beam 将支付给矿工,20Beam 将支付给 Beam 财富基金。在第 2 到第 5 年,区块奖励将下降 50%,变为 50 个 Beam,其中 40 个 Beam 支付给矿工,10 个 Beam 支付给 Beam 财富基金。在第 6 年,区块奖励将再次下降 50% 至 25 Beam,且所有奖励都将支付给矿工,并在未来改为每 4 年减半一次,直到第 129 年。区块奖励将在第 133 年停止,届时 Beam 预计的总供应量约为 2.63 亿。
来源 :medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam 采用了创始人奖励机制(Founders Reward),也称为开发税(Dev Tax),以回报投资者并为正在进行的协议和工具开发提供经济支持。创始人奖励费用是编写在区块链协议中的代码里,该协议在矿工和创始团队的已知地址之间的自动分配区块奖励
这种方法明显与 ICO 或预挖等不同,正如 Dash 所见,它以大量的流动资金来补偿加密资产的创始人。虽然 ICO 和预挖都是早期团队成员所希望的,但这类薪酬设计往往缺乏有效的资金监管和退出时间表。因此,在短期利益驱使下,挪用资金并跑路的骗局相当普遍。
「创始人奖励」的目的是随着项目的发展逐步补偿创始人。因此,最初的利益相关者更有动力去协调资源维护网络的长期成功。此外,奖励制度被纳入区块链协议,Arjun Balaji 指出:这种机制提供了固定资金分配比例带来的资金透明度,也为通过软或硬分叉修改现有分配方法提供可行性。
该创始人激励结构最初是由 Electric Coin Company(前身为 Zcash Company) 设计并推广的。这家公司是专注于隐私的加密货币 Zcash 的背后的开发和维护企业。起初,Zcash 矿工只能获得区块奖励的 80%。剩下的 20% 将分配给 Zcash 基金会 (一个支持 Zcash 开发的独立非盈利组织)、数字币公司以及早期的 Zcash 开发人员和顾问。在头四年之后,创始人奖金被预先设定为零,以确保在 2100 万美元的上限达到之前,所有新发行的 Zcash 将 100% 归矿工所有。
Beam 资金模型与 Zcash 的资金模式相似,在早期阶段其支付给 Beam 财富基金,创始人费用比例为 20%。与 Zcash 历时 4 年的创始人奖励不同,Beam 创始人奖励历时 5 年,包括第一年区块奖励为 100 Beam 的时候。在这五年结束时,累计有超过 3150 万的 Beam 被送给 Beam 财富基金。计划将基金中 35%的资金分配给早期投资者,另外 45%的资金补偿给核心团队成员和顾问,剩余的 20%将用于支持 Beam 主权货币基金会。这是该项目维护和管理的长期解决方案。
来源 : medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖金,Beam 还从包括 Recruit Co. LTD、Yeoman 's Capital 和 Node Capital 在内的各种风险投资基金中筹集了至少 500 万美元,用于聘请全职开发人员来推进开发。这些投资者将定期从创始人奖金中获得 Beam 以回报其早期投资。
Beam 的核心团队和早期投资者都认识到,更加中心化的推动项目可以加速产品研发、尽量避免在基于社区运营的项目中经常出现的项目延期的情况。因此,Beam 选择了这种更加中心化的管理方法来启动项目并度过项目的初始阶段。随着 Beam 的不断成熟,其目标是实现更加去中化的激励和管理结构,将区块奖励交给矿工,并将项目控制权交给社区。
不利的一面是,同时也是对 Beam 的批评之一,Beam 并没有让所有投资者都能平等参与。在主网上上线之前就从投资者那里筹集资金,或者将一部分资金投入专门的集团 (即 ICO、创始人奖励、预挖),这些都可能导致币的分配不公平。
与之相对的是与比特币和 Grin 类似的产品,在这些产品中,加密资产只能通过传统的 PoW 挖矿获得。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络挖出新的比特币或 Grin。这样的发行方式往往会在区块链网络用户之间更为公平。
继续阅读:Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
查看全部
这是一篇出自著名区块链公司 circle.com 的报告。虽然本文中有些内容有一定的错误,但本文依旧是难得一见的深入浅出、全面细致介绍 MimbleWimble 协议原理与特点的好文章,同时本文也细致介绍、分析、对比了 MimbleWimble 的两个实现 Grin 和 Beam 的详细情况。矿宝为了让更多中国用户、爱好者了解 MimbleWimble 协议和 Grin、Beam 项目,将本文翻译为中文,同时在文中补充勘误了一些信息。由于时间和水平的原因,翻译难免还有不尽甚至错误之处,也欢迎读者不吝指正。
MimbleWimble
MimbleWimble 是一种增强隐私性和可扩展性的区块链协议。MimbleWimble 协议不需要存储整个区块链的所有历史数据,就可以验证区块链的所有交易的有效性 [ 1 ]。MimbelWimble 是以小说《哈利波特》中的「结舌咒」[ 2 ] 来命名的,这个咒语用于防止泄密。该协议是由一个化名 Tom Elvis Jedusor (伏地魔的法语名字)的人于 2016 年提出的,他通过洋葱头加密通讯通道(Tor LIink),在一个名叫「比特币巫师」(Bitcoin wizards)的 IRC 网络聊天室上分享了一个概述 MimbleWimble 的文本 - 然后便消失了。
译者注:
[1] 相较于比特币,用户需要下载完整的交易历史(数据量庞大)来确认交易的有效性。
[2] 结舌咒即:舌头打结的咒语,用于让对手沉默。
背景
Blockstream 的数学家 Andrew Poelstra [1] 对 WimbleMimble 协议很感兴趣,并于 2016 年 10 月,发表了一篇论文,更详细、更严谨论证了关于 MinbleWimble 协议的技术细节。MimbleWimble 是一个区块链协议,而 Grin 和 Beam 是它最先落地的两项实现。我们将在本报告中探索 MimbleWimble、Grin 以及 Beam。
来源:messari.io/onchainfx,coinmarketcap.com (截至 2019 年 3 月 3 日)
[1] Andrew Poelstra 是侧链白皮书的合作者之一。
[2] 此处数据存疑,Grin 是无限挖模式,并没有设置发行量上线,对此数据的计算依据表示质疑。
在加密社区中的许多人都在密切关注 MimbleWimble 协议,因为它首次优化了隐私性和可扩展性,它的目标是改进比特币以及其他加密货币的下述关键性问题。
完全隐私:MimbleWimble 会对未参与交易的所有第三方隐藏交易的发起者、接收者以及交易金额的信息。第三方观察者只能在一个交易中,看到一系列经过加密处理的包含交易输入、输出的整体 [1],他们可以验证这些输入都在链上,并且输出和输入的虚拟货币的总数相同。这个设定便改善了在比特币等类似系统中「任何人都可以追溯一个资金从一个地址到另一个地址的转移过程」的问题。
效率:MimbleWimble 事务验证者只需要存储交易中未耗尽的 UTXO (交易记录)。而所有其他加密货币强制矿工和第三方验证者存储区块链的整个交易历史。MimbleWimble 这样做可以节省存储空间并加快同步速度,因为随着区块链历史的不断增长,矿工们可能会被迫使用更多的硬盘资源来存储整个历史记录。
一个验证者通过:(1)核实输出与输入的总和相等;以及(2)交易中不包含负数,保证交易过程中没有试图创造新的币;来验证一个 MimbleWimble 交易的有效性。挖矿是唯一可以产生新币的方式,这也是唯一可以识别身份的交易。但是,验证者和观察者并不会知道是谁获得了挖矿的区块奖励。
MimbleWimble 的另一个重要特性,就是这里只有交易的输入和输出而没有地址或公钥。每一个 UTXO 都有一个私钥,接收者将私钥存储在他的钱包中。要发出 UTXO,发起者必须在专用的通信通道里通知接收方,并执行多轮通信以构建交易。发起者要使用他的 UTXO 私钥对这个 UTXO 进行签名认证,并将签名结果发送给接受者。
[1] 即 Mimblewimble 只验证交易前后总数的一致性,输入(input)和输出(output)即交易前后的状态。
MimbleWimle 要解决的问题
区块链是不可伪造的公开交易账本。其不可伪造性意味着用户只能发送他们曾经收到的资金——他们无法发送属于别人的资金或是凭空创造资金。比特币和类似的区块链的发送方地址、接收方地址和交易金额都是公开的,所以很容易验证发送的金额等于收到的金额、发送方的私钥地址包含发送的资金。
比特币(包括其他加密资产)的公开性对于不希望公开交易细节的人或商业活动来说是不合适的。此外,随着像 Elliptic[1] 和 Chainalysis[2] 这样的区块链大数据分析公司的崛起,研究人员可以将非法交易的输出对应起来并将其列入黑名单。币安(Biance)首席执行官曾发布推文说,他们能够在被社交媒体上报道后,冻结黑客发送给交易所的资金。然而,有些人认为这违背了货币的可替代性的原则。可替代性原则是指所有被创造的货币都是相同的,就像一美元钞票等于另一美元钞票一样,无论钞票过去经过什么样的流通活动,这个钞票与其他美元钞票都应该是一样的。
比特币和所有其他区块链要求矿工和其他验证人记录链的整个交易历史,以验证所有交易是否有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这个设置使得想要与网络同步的新参与者需要大量空间、时间和计算资源。比特币区块链在 2019 年之前的大小约为 200GB。
[1] Elliptic: https://www.elliptic.co/(一家为加密货币公司,金融机构和政府机构提供可操作的情报的公司)
[2] Chainalysis: https://www.chainalysis.com/ (防止,检测和调查加密货币洗钱,欺诈和违规行为)
MimbleWimble 的解决方案
MimbleWimble 以巧妙的方式使用加密技术来实现不可伪造性,同时优化隐私性和可扩展性。 MimbleWimble 不是像比特币那样验证每个输出的整个历史记录,而是检查区块链上所有交易的输入的总和减去所有输出的总和为 0 以验证链(这种做法也加强了交易的一个基本属性:交易发出的金额等同于收到的金额)。MimbleWimble 综合使用保密交易 (Confidential Transactions)、混币(Coin Join)、 范围证明(Range Proof)和交易记录核销(Cut-through)技术来实现上述目标。
与比特币相似,MimbleWimble 依赖于椭圆曲线密码学和 UTXO 模型。然而,MimbleWimble 是一个更加轻量级的的版本,由于增强隐私性的要求,它牺牲了可编程性。因此,诸如闪电网络(Lightning Network)之类的时间锁定或支付渠道等更复杂和精细的功能目前还无法在 MinbleWimble 中使用 [1]。
[1] 译者注:Grin 和 Beam 都有对应的解决方案。
速成课程:UTXOS
比特币和 MimbleWimble 一样使用「未使用的交易输出」(Unspent Transaction Output UTXO)模型来计算余额。这类似于使用硬币或现金来支付商品和服务。例如,爱丽丝想买一件 30 美元的衬衫,但她有两张 20 美元的钞票。她不能只给商人一张半的钞票。相反,她给了商人两张钞票,并收到了一张 10 美元的钞票作为找零。
UTXO 模型以类似的方式运行:Alice 在之前的交易中获得了两个交易输出:1 BTC 和 0.5 BTC。现在 Alice 需要向一个商人支付 1.3 BTC。她的钱包创建了一个发送 1.5BTC 的交易,这个交易有两个输入(1BTC 和 0.5BTC)两个输出(1.3BTC 和 0.2BTC)。商户收到 1.3 个 BTC,Alice 收到 0.2 个 BTC (可以视为找零)。由于 UTXO 模型这一特性,比特币用户可以通过查询区块链浏览器,观察到他们的比特币地址经常发送出比指定数量更多的比特币。
速成课程:椭圆曲线加密
椭圆曲线有几个特性,使其可以用于复杂的加密协议。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点 G,乘以一个整数 s,得到椭圆曲线上的另一个点 P=sG。然而,给定(P,G)要求出 s 的值在计算上是不可行的。这使得我们可以将(P,G)作为公钥,将 s 作为私钥。椭圆曲线的另一个特性是椭圆曲线上的计算满足一些有用的代数特性:
分配律:(a+b)G = aG+bG
结合律:a(bG)=b(aG)=(ab)G
速成课程:Pedersen 表达式(Pedersen Commitments) Pedersen 表达式是结合椭圆曲线的单向性和代数性质的密码学术语。对给定的值(x,y)计算其 Pedersen 表达式为 P=xG+yH。由于计算 s=P/G 是不可行的,所以要通过 (P,G,H) 计算出(x,y)是不可能的。另外,由于有无数的 x 和 y 的组合可以满足关系 P=xG+yH,所以即使我们知道某 1 个满足此关系的解(x,y),我们依然无法计算出满足此关系且不违反椭圆曲线单项属性的第二对(x’,y’)。
保密交易(Confidential Transaction)
默认情况下,MimbleWimble 依靠一个称为保密交易的密码学概念来实现隐私性。保密交易是由 Gregory Maxwell[1] 提出的,他从 Adam Back[2] (亚当·贝克的比特币同态加密中汲取到灵感。保密交易使用 Pedersen 表达式来隐藏 UTXO 中的交易金额。
[1] Gregory Maxwell 是 Bitstream 的比特币核心开发人员和联合创始人兼首席技术官。
[2] Adam Back (1970 年 7 月出生)是英国密码学家和加密黑客,hashcash 的发明者。
在 MimbleWimble 中,交易输入和输出通过 Pedersen 表达式计算为「P=rG + vH」。G 和 H 是椭圆曲线上的随机点,并作为区块链的公共参数公开。值 v 是 UTXO 的交易金额。r 是致盲因子,用作 UTXO 的私钥,值 rG 是对应于 r 的公钥。MimbleWimble 使用 Pedersen 表达式使敏感交易信息模糊,替代明文交易金额。Pedersen 表达式允许使用基本算法来验证交易。
举个例子,我们有两个输入和一个输出。我们提供交易金额(v)和致盲因子(r),同时将 G 和 H 作为公开参数。
交易内核(Transaction Kernel)
上述保密交易的问题在于,它们需要输入和输出的 UTXO 使用相同的致盲因子,即接收者的私钥。如果发送者知道了接收者的致盲因子的值,她就可以窃取接收者输出的 UTXO。而 MimbleWimble 使用零知识证明 (zero-knowledge) 克服了这个问题。
举一个简单的例子:某交易发送的交易金额为 5。发送者有一个 UTXO 作为交易的输入,由 Pedersen 表达式计算交易的输入为 X=45G+5H,其中 5 是交易金额 (v),45 是致盲因子(r),也就发送方的私钥。接收方选择一个随机盲因子 7 并创建一个 UTXO,由 Pedersen 表达式计算为 Y=7G+5H。验证者将交易输入减去输出得到:
X-Y=(45G+5H)-(7G+5H)=38G
MimbleWimble 将值 38 称为超额或内核,并将值 X-Y = 38G 称之为交易内核(译者注:准确的说公钥 rG 只是交易内核的一部分,交易内核还包括用 r 做私钥对交易做的签名,见下述译者补充)。对于一个有效的交易,交易内核始终为 X-Y = rG + 0H,其中 r 是某个整数。即使交易里有多个输入和多个输出也是始终如此。如果输入值的总和等于输出值的总和,则 H 系数将恒为零。有效的交易内核始终采用公钥的形式。发起人和接收方都知道对应私钥的一部分(45 和 7)。 MimbleWimble 协议要求交易双方使用他们的致盲因子进行多重签名来签署交易,内核(45-7=38)就是交易参与者的多重签名私钥。(译者补充:交易双方使用内核作为私钥对交易进行签名,验证者首先计算 X-Y,如果 X-Y 是一个合法的交易,那么 X-Y 的结果应该等于交易签名公钥 rG,验证者再用 rG 做公钥验证交易签名的有效性,如果验证通过说明交易是合法的,也就是 H 的系数为 0。准确的说,交易内核包括了交易的公钥 rG、使用 r 做私钥对交易的签名以及交易手续费。MinbelWimble 区块链上主要记录信息就是对交易的输入和输出的 Pedersen 表达式计算结果 X 和 Y 以及交易内核。)
范围证明(RANGE PROOFS)
MimbleWimble 协议要求交易金额必须为正数,因此用户无法凭空创造出货币。正如我们所提到的,唯一可以创造币的交易类型是挖矿。 范围证明是一种加密技术,对于某一 Pedersen 表达式 X,通过范围证明技术可以证明给定一对整数(r,min <v <max)满足 X = rG + vH。MimbleWimble 的实现(Grin 和 Beam)使用范围证明来证明交易金额 v 大于零且没有溢出。MimbleWimble 使用最近使用的子弹证明技术(Bulletproofs)是一种仅消耗约 700-5000 字节的范围证明技术。
没有地址
正如我们提到的,MimbleWimble 不使用地址。不使用地址的主要动机是为了增强区块链的隐私性和防止地址膨胀问题。在基于 MimbleWimble 的区块链中,用户必须进行链外的通信来创建交易。使用通信信道,交易发起方向接收方证明其持有交易所需的数字币金额,并向接收方转移这些数字币的控制权。因为没有公开的地址,所以也没有「标准」通信方式来完成交易。因此,交易双方需要建立通信信道,从而发送数字币持有证明及转移数字币控制权。这与比特币(以及大多数其他区块链)非常不同,比特币可以在没有交易接收方参与的情况下完成交易。
混币技术(Coin Join)
混币技术是一种降低数据公开性的方法。 混币将多个交易组合成单个大型交易的方法,这使得很难区分哪些交易输入是对应哪些交易输出。混币技术已在 JoinMarket,ShufflePuff,DarkWallet,SharedCoin,Wasabi,Samourai 等项目中使用。基于钱包的混币技术的缺点是用户必须主动选择使用该功能。这降低了它的有效性,因为用户要么就不知道这一功能,要么就是由于麻烦而不使用该功能,这些都导致参与混币交易的交易数量不足对于混币技术而言,参与混淆的交易的数量太少就不能有效地隐藏交易的发送地址和接收地址。此外,参与混币的用户之间必须进行通信以创建混币交易,因为每个交易发送方都必须对最终组合起来的整个交易进行签名。
在 MimbleWimble 中,用户无需选择混币功能,这是 MimbleWimble 的默认功能。一个区块中不再记录单独的各个交易。相反,它看起来像一个大型的组合起来的交易。图 1 是要包含在下一个区块·中 2 笔摸交易集的示意图。在图 2 中,MimbleWimble 在类似于混币的过程中将两笔交易连接在一起,这样剩下的就是单个交易,它组合了 2 个交易所有输入和所有输出。
交易记录核销 (Cut-through)
保密交易比常规交易需要更大的存储空间。根据 Aaron Van Wirdum[1] 的说法,保密交易比非保密交易所需要的存储空间大 20 倍,计算资源大 30 倍。 MimbleWimble 使用一种名为交易记录核销的技术来解决这一挑战进而提高效率。
[1] Aaron Van Wirdum:BitcoinMagazine 技术编辑
正如我们上面提到的,下载完整的比特币区块链需要占用近 200GB 的空间,并且其正在不断增长。如果比特币上的所有交易都是像 MimbleWimble 这样的保密交易,那么区块链的大小将会大几个数量级。
MimbleWimble 使用称为交易记录核销的过程来删除冗余的交易输出以释放块内的空间并减少需要存储在区块链中的数据量,同时保持相同的安全性。冗余输出的特点是这些输出会在同一区块被作为输入使用。通过 Andrew Poelstra 演讲编制的图表可以很好地说明这一点。
在图 3 中,可以看到的某交易的青色输出在同一区块中后来又被作为某交易的输入,所以可以从区块中删除这笔冗余的输入和输出,以减少必须记录的数据。虽然 MimbleWimble 冗余的交易输出,但它保留了这些交易的交易内核。
MimbleWimble 在在区块内的微观层面和整体数据的宏观层面都使用交易核销技术,从在区块链上的信息只有:区块链首部信息(block header)、UTXO 和交易内核。节点可以使用这些关键数据来验证区块链。从而使得如果一个区块内核销掉的交易输出比这个区块内新增的交易输出多,则区块链的大小会缩小。从理论上讲,这将使得验证区块链所需的数据量会随时间发展越来越小。
Grin 作为 MimbleWimble 的第一个实现,认为 MimbleWimble 节点的数据量大小相比比特币会大大减少,「相比数 GB 大小的比特币区块链节点,Grin 节点大小可以做到数量级的优化,甚至到仅有几百 M 字节」按照 Grin 的描述,假设有 1000 万笔交易伴随着 100 万个 UTXOs,没有交易核销的区块链总大小约为 130GB,其中交易数据为 128GB、交易证明数据为 1GB,块头为 250MB。经过核销,区块链的总大小可以降至 1.8GB,包括 1GB 的输出数据,520MB 的 UTXO (译者注此处应该为交易内核或交易证明数据)和 250MB 的块头。 而 Beam 认为,当它达到与比特币相同的规模时,其区块链大小可能是比特币的 30%。
蒲公英技术(Dandelion)
对于 MimbleWimble 的隐私性而言,最大的威胁是区块链节点可以在打包并广播交易记录前记录交易的信息。在核销之前,交易输出在要在节点本地内存池(mempool)(未经验证的交易池)中保存一些时间。这使得恶意节点可以在构建交易图(transaction graph)并可能发现发送方的 IP 地址。
蒲公英技术不是 MimbleWimble 的一部分,而是 Grin 和 Beam 在实现时补充的功能。蒲公英试图降低恶意节点创建交易图的机会,方法是「在交易被确认之前先悄悄地在网络中转发它,从而延迟交易在网络上出现的时间」(Andreas Antonopoulos[1])。
通常,当有人向区块链发起交易时,交易信息会向所有的区块链节点广播。蒲公英将交易的广播划分为两个阶段,从「阀杆(stem)」或「匿名(anonymity)」阶段开始,在这一阶段,交易信息将其被随机广播到某一个节点,然后再由这个节点将交易信息发送到另一个随机挑选的节点,依此类推,直到收到交易信息的节点数目满足一定要求,则进入第二阶段。第二阶段称为绒毛阶段(fluff phase),在这一阶段交易信息会被广播到所有的节点。这样做可以防止观察节点将交易映射回原始地址。一种蒲公英技术的改进(Dandelion++)使得创建交易图变得更加困难。
在 MimbleWimble 中,交易也可以在匿名阶段之前进行混币,从而使将交易输入与交易映射关联更加困难。 Beam 通过增加占位空输出使得在没有足够的输出也可以进行上述混币操作。。
蒲公英技术的一个问题是,在匿名阶段,如果交易被传递到某一随机节点后,这个节点掉线,那么这笔交易将永远不会被传播到区块链网络。Grin 和 Beam 解决了这一问题——如果某交易没有在合理的时间内达到「绒毛阶段(fluff phase)」,则这个交易将被自动广播到更广泛的网络中。
[1] Andreas M. Antonopoulos (生于 1972 年)希腊 - 英国,比特币的拥护者。
无脚本脚本(Scriptless scripts)
MimbleWimble 不支持交易脚本,而交易脚本是大多数区块链的重要特征。脚本是嵌入在交易中以支持基本智能合约功能的代码。 没有它,MimbleWimble 就不能支持条件交易(conditional transaction),时间锁,状态通道(例如闪电网络),跨链原子交换等。这是不可链接交易和交易核销的代价。验证者无法检查是否满足智能合约条件,因为相关的 UTXO 及其条件可能已经被删除。
当于 2016 年 8 月,第一份 MimbleWimble 论文发布时,无法支持条件交易似乎是使用 MimbleWimble 的一个限制。然而,Andrew Poelstra 发现了一种通过使用无脚本脚本的方式实现智能合约的简单方法。无脚本脚本基于这样的想法:利用施诺尔签名技术(Schnorr signatures)支持无脚本脚本功能,区块链验证者如果需要知道链外发生的条件元素,只需检查签名是否存在且正确。
具体而言,交易的参与者可以通过组合其各自的签名的私钥来创建多重施诺尔签名,从而生成交互式的签名,该签名是提交给节点并由节点验证的唯一数据。
Aaron Van Wirdum 提供了一个很好的解释,便于我们理解。他举了一个想要收听艺术家歌曲的网络用户的例子。艺术家和用户需要将他们组合的施诺尔签名提交到区块链,以验证条件交易。拥有该歌曲版权的艺术家掌握对于这个歌曲加密的密钥,设为 7000,获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的施诺尔签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个施诺尔「适配器签名(adaptor signature)」,1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的施诺尔签名减去减去歌曲密钥的结果。然后用户也做施诺尔签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都发生在链外,这样除了艺术家和用户没有人会发现其中的步骤。区块链验证者唯一看到的内容是一个 13000 的施诺尔签名组合。适配器签名只被艺术家和用户掌握,对于第三方保密的。除了「结算交易」之外,区块链上没有任何交易记录内容。可以通过添加支持施诺尔签名的新操作码(Opcode)来实现无脚本脚本。 Grin 和 Beam 正在实现无脚本脚本,但是暂时没有这个功能何时上线的确切时间表。
基于无脚本脚本有可能实现机密资产(confidential assets),跨链原子交换和第二层扩展解决方案,比如在 MimbleWimble 区块链生态中使用闪电网络。无脚本脚本不一定要在 MimbleWimble 上实现,甚至可能会扩展到其他区块链生态上。
结论
MimbleWimble 基于经过严格证明的密码学技术。其中一些技术已在经同行评审的密码学期刊上发表,其他一些技术则是发布在白皮书和技术报告中。首个 MimbleWimble 区块链生态项目 Grin 和 Beam 最近才推出。虽然 MimbleWimble 是一种新的实验性技术,但它具有有显著提高隐私性和可扩展性的优势,虽然目前它的用户体验还不够好,且也没有彻底完全解决某些隐私方面的挑战。还需要进行大量的测试和迭代才能在大规模开放的区块链生态上实现高效的隐私交易。目前,这个看似难以理解的概念,在实践中可能会还会遇到意想不到的问题。
在用户体验方面,目前 MimbleWimble 没有地址和交易各方需要进行交互通信并且在线(虽然不一定同时)来签署并完成交易。这一要求与现有的加密货币相比很不一样,对于用户使用造成一些困扰。
从隐私性角度,矿工可以在混币和交易核销之前查看内存池(mempool)中的交易。因此,恶意观察节点就可以构建详细的交易图,从而对隐私性构成威胁,这直接挑战了 MimbleWimble 的隐私性这一核心价值主张。尽管有蒲公英技术和虚拟 UTXO 这样的潜在技术解决方案,但它们在实践中还有待完善。
其他隐私币解决方案
MimbleWimble 不是第一个或唯一一个区块链隐私币方案。对所有可用的隐私币解决方案进行全面而深思熟虑的讨论超出了本报告的范围,这里讨论其他可供选择的替代方案以供读者了解。这些包括但不限于其他区块链协议和在底层实现隐私性的币种(Zcash,Monero),通过第二层网络实现隐私解决方案(Blockstream 侧链)和通过交易层实现的隐私方案(例如通过像 Samourai 和 Wasabi 这样的钱包)。
隐私币
在 Grin 和 Beam 之前推出的两个隐私币是 Zcash 和 Monero,这些币在协议层实现了隐私性。Monero 是一款基于 CryptoNote 协议的隐私币,Monero 的一个关键优势是默认情况下即启用隐私功能,它隐藏发送方和接收地址以及交易金额。 Monero 使用环保密交易(Ring Confidential Transactions)和隐形地址来实现隐私性。环签名算法在交易中添加「诱饵」信息从而避免暴露真实的签名信息,进行有效地混淆交易信息。 Monero 的主要缺点是,即使使用子弹证明技术(Bulletproofs)大大减少了存储空间,其数据存储规模仍是比特币的十倍。
Zcash 是基于 Zerocash 协议设计的数字币, Zcash 使用地址加壳技术来隐藏交易方的地址并使用 zk-snarks (一种零知识证明)来隐藏交易金额。与 Monero 以及基于 MimbleWimble 协议的 Grin 和 Beam 不同,Zcash 不会在默认情况下启用隐私功能。在 Zcash 的 Sapling 更新之前,创建一个保密交易的计算量很大且非常耗时,这阻碍了用户的使用隐私功能。经过 Sapling 更新,对地址加壳所需的内存和时间已经减少,这某种程度上会鼓励用户使用保密交易功能。可选的隐私功能的另一个缺点是当用户选择使用加密交易信息时,这一行为可能会被视为可疑行为。Zcash 的另一个缺点是其可信设置(trusted setup)。虽然 Zooko Wilcox[1] 表示打破可信的设置不会影响隐私性,但 Peter Todd (比特币研究员)在某次与一个 zk-snaks 的开发人员的会谈中表示他不同意 Zooko 的看法。
[1] Zooko Wilcox-O'Hearn,左科·威尔科克斯(1974 年 5 月 13 日出生于亚利桑那州凤凰城的 Bryce Wilcox),是美国科罗拉多州的计算机安全专家,cypherpunk 和 Zcash 的首席执行官。
侧链
侧链是一个独立的区块链。侧链双向链接到一个基础层区块链协议。双向链接使得来自原始基础层链上的币在通过验证后,可以以固定的速率与侧链资产进行互换。这些补充作用的侧链可以提供基础层区块链没有的新区块链的功能、扩展并共识机制,从而对基础层区块链面对的问题提供一系列解决方案,包括但不限于隐私性和可扩展性。比特币侧链公司 Blockstream 已经部署了一个这样的网络,即最近推出的 Liquid,它在默认状态下进行保密交易。Liquid 使用一个由 15 个已知节点组成的小组 (称为工作成员小组) 来验证交易并打包区块,这以牺牲去中心化为代价加快了交易速度。虽然 Liquid 的管理更加中心化,但它针对的是交易所场景下的一些特殊问题。例如支持在联盟链内的任何节点随意兑换 LBTC 这一 Liquid 的本地 Token。如果某一个独立的网络节点宕机,此时这个设计会特别有用。Liquid 的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。对 Liquid 的一个轻微批评是,它信任的一些中介机构中包括一些不受监管的、历史上有不安全记录的加密货币交易所,如 Bitfinex 和 OKCoin 等。
隐私钱包(PRIVACY WALLETS)
此外,基于钱包的一些隐私解决方案(如 Wasabi,Samourai 或 Breeze)的优势在于它们可以在比特币(或其他币种)之上实现,而无需更改底层协议。一些批评的声音包括:如果没有在较短的时间内找到匹配的交易资金,就会出现较小的匿名集或者造成交易延迟。例如,Samourai 的交错弹跳(Staggered Ricochet)可能需要两个小时才能到达最终目的地从而完成交易。此外,由于钱包平台的中心化性质,钱包运营平台可以获得交易的隐私信息。在 2019 年初,谷歌要求 Samourai 删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌 Play store 的新规则。
尽管有许多增强隐私的选择,但这些都是早期技术(包括 MimbleWimble,Grin 和 Beam)。在这一点的选择上每个人都有自己的权衡取舍,并且对于什么才是隐私加密的最佳方法目前还没有明确的答案。
GRIN
Grin 是 MimbleWimble 的第一个开源实现。Grin 使用 Rust 语言开发。 Grin 文档于 2016 年 10 月 20 日由匿名开发人员 Lgnotus Peverell 发布。许多 Grin 的核心开发者都采用了来源《哈利波特》相关的绰号。 Grin 在 2019 年 1 月 15 日在主网上发布之前发布了四个测试网。由于其与比特币的相似性,Grin 受到加密货币社区的称赞——尤其是其匿名开发团队以、公平的数字币分发方式(没有预挖、没有 ICO、没有创始人奖励)和基于捐赠的资助模式。然而,Grin 确实有几个值得注意的差异。
货币政策 :Grin 被设计成一种交易媒介(MoE),而不是像比特币那样作为价值储存手段(SoV)。Grin 的矿工奖励是每分钟 1 个块,每个块 60 个 Grin (即每秒 1 个 Grin)。挖矿产生的 Grin 会按照这一规律一直持续下去,且没有减产。这使得 Grin 的通胀率在早期很高。随着时间的推移通胀率逐渐下降。
共识算法:在初期阶段,Grin 将尝试通过使用两种 PoW 算法来实现去中心化。这两种算法是 Cuckoo Cycle[1](布谷鸟环)的变体 (一种是 ASIC 友好的,另一种被认为是 ASIC 抗性的,因为它是内存瓶颈算法(memory-hard)。布谷鸟算法是一种全新的、有点争议的工作量证明(PoW)算法 ; 握手区块链(Handshake blockchain)的白皮书描述了这一问题。
管理:Grin 没有正式的管理流程。但 Grin 有一个 8 名成员组成的技术委员会,负责管理 Grin 的普通基金和发展路线图。Grin 举行对所有人开放的管理和开发会议。
功能:Grin 正在努力通过添加诸如无脚本脚本之类的功能来增强 MimbleWimble 协议,基于这个功能可以实现复杂的「条件交易」功能。社区成员还致力于通过 grinbox 和 wallet713 等解决方案改善用户体验。
挑战:虽然 Grin 因其基于捐赠的资助模式而受到赞赏,但仅依靠外部捐款继续建设和改进 Grin 也是一项挑战。此外,要使非技术用户能方便的使用 Grin,还有很多工作需要做。
自发布以来,Grin 已可以在多个交易所交易,即使它并未主动联系交易所上币也没有向交易所支付上币费。虽然社区很乐意帮助 Grin 上交易所,但 Ignotus Peverell 表示他们并不「过分担心外部因素和 [他们] 无法控制的事情」。
[1] 原作者注:Cuckoo Cycle 是在非常大的二部图中以寻找循环路径,因此其算法速度用每秒完成搜索的图的个数计算。 与大多数其他工作量证明算法相比,Cuckoo Cycle 消耗的功率要少得多,并且其是内存密集型而不是计算密集型算法。 Yeastplume 在一个播客节目中很好地解释了这一点:类似于我们在一张纸上绘制节点并随意在它们之间添加边。,该算法计算出是否可以在这些节点之间找到环,即从一个特定的节点开始并沿着边返回到相同的节点。
挖掘算法
最初,Grin 团队计划使用两种 PoW 算法,由于算法需要消耗大量内存而被认为是抗 ASIC 的:Cuckoo Cycle (由 John Tromp 在 2015 年开发)以及具有较高内存要求的 Equihash 算法,称为 Equigrin。
对内存要求高的算法被认为不是可以利用 CPU 和 GPU 的计算密集型算法。最初由于 Cuckoo Cycle 需要大量 SRAM (静态随机存取存储器),它被认为是 ASIC 抗性的。人们认为因为算法需要大量 SRAM 而在 ASIC 使用大量 SRAM 很昂贵,所以这使得制造 ASIC 更加困难。 Cuckoo Cycle 的创建者 John Tromp 表示,「最初的 Cuckoo Cycle 旨在使内存延迟成为瓶颈。现在,多年以后,我们意识到 Cuckoo Cycle 是可以很好地利用 [...] 的 SRAM 算法,而其实(与过去的想法不同)在 ASIC 制造中使用 SRAM 并不那么昂贵。我们希望 ASIC 比 GPU 具有更高的效率优势。」John Tromp 在一个播客节目中深入探讨了 Cuckoo Cycle。
在 2018 年 8 月,社区承认 ASIC (1)在实践中是不可避免的 [1],而且(2)可能在以开始时会不利于数字币的公平分配,但从长远来看并不一定是一件坏事。相反,ASIC 友好算法可以使网络更加安全,因为 ASIC 矿器增加了网络的算力,使攻击变得更加困难、代价更加高昂。 从长期来看,ASIC 可以有利于区块链协议的成功,因为投资数千万美元的的矿工在安全性方面的诉求与区块链项目的利益完全一致。此外,根据 Derek Hsue 的说法,「任何持续产生 ASIC 抗性的尝试都将导致秘密 ASIC 这个问题确实存在。」
鉴于上述观点,Grin 随后决定改变工作量证明(PoW)算法,这两种算法都是 Cuckoo Cycle 的变体,主算法是 ASIC 友好(AF)算法和第二算法是 ASIC 抗性(AR)算法,并在项目主网上线后逐步淘汰第二算法。 Grin 中的主 PoW 算法叫做 Cuckatoo31 +,是 Cuckoo Cycle 对 ASIC 更加友好的版本。 它被称为 ASIC 友好的是因为它可以使用数百 MB 的 SRAM 来提高性能使得 ASIC 算力超过 GPU。第二算法,称为 Cuckaroo29,是一种内存密集型的 AR PoW 算法。然而,真正保证 ASIC 抗性的唯一方法是有计划的进行硬分叉,不断调整算法(类似 Monero 的做法),使已生成的 ASIC 作废。 Grin 将每六个月执行一次这样的硬分支来调整算法,以抑制对该 AR 算法生产 ASIC 的积极性,直到该算法在两年内逐步淘汰。
加密社区里的一些成员非常关注 Cuckoo Cycle 中 PoW 算法的稳定性。 John Tromp 在 2014 年首次提出了这个概念,并在短时间内进行了多次修订,因为研究人员找到了优化算法的方法。 Cuckoo Cycle 基于一个 NP 完全的图论问题,一个令人担忧问题是,如果某个矿工通过优化 Cuckoo Cycle 算法获得比网络中其他矿工更大的算力,那么挖矿收益将无法公平分配。John Tromp 认为,这类优化算法获得的相对优势可能会随着迁移到更大的图而增加。但如果社区的其他成员对算法做相同的优化,这种优势就会消失。
一开始,Grin90% 的块用第二算法挖掘,10% 的块用主算法挖掘。两年后,100% 的区块将使用主算法进行挖掘。在未来两年,Cuckatoo31+将获得更大比例的区块奖励,每月线性增长 3.75%。Grin 社区希望,到 Cuckatoo31+占 100% 的矿业份额时,将有来自多个 ASIC 制造商生产出 ASIC 矿机,从而引导有序健康的竞争。Grin 基于最近 60 个区块的窗口对挖矿难度进行调整。
[1] 原作者注:Leo Zhang 说「2014 年,当 ASIC 矿工首次商业化时,由于 RAM 成本较高,使用内存硬算法抵制 ASIC 的策略是有道理的。但在过去几年中,RAM 成本的急剧下降使 ASIC 设计人员能够以越来越低的成本为这些网络制造机器。内存瓶颈算法无法无限期地保留 ASIC。」
GRIN 矿池
根据 miningpoolstats.com 的数据显示,Cuckaroo29 上有 15 个矿池,Cuckatoo31+上有 11 个矿池。在撰写本文时,前两名的矿池 (Sparkpool 和 F2pool) 的算力之和占 Cuckaroo29 的 82%,占 Cuckatoo31+的 68%。Sparkpool 和 F2pool 都向 Grin 的开发者基金和普通基金提供了捐款。虽然算力似乎集中在了矿池中,但矿池是由许多矿工参与者组成的,这些矿工可以选择随时离开矿池,并随意将其算力切换到其他矿池。
第三大矿池是 GrinMint,是 BlockCypher 于 2018 年 9 月首次推出的矿池,2019 年 1 月在主网上推出 .BlockCypher 收取 2.5%的费用,并表示将向 Grin 开发者社区捐赠 0.5%。 BlockCypher 还有一名全职开发人员致力于 Grin (Quentin Le Sceller)。其他回馈 Grin 社区的矿池包括 MimbleWimble Grin Pool 和 grin-pool.org。
对 Grin 的批评之一是,当 Grin 上线时,一些投资人投资挖矿并控制了大量的算力。这些投资人本来应该是通过买币投资 Grin,即是市场的买方。但由于这些投资人通过挖矿获得了 Grin,并在市场中卖出 Grin 获利,这些投资人反倒成了市场的卖方。当矿池挖出区块并获得挖矿奖励时,他们必须立即出售币,因为他们要用比特币支付给矿工 (译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
货币政策
Grin 具有线性的增发率,并且将以每分钟 60 Grin (每秒一 Grin)的速度增发 - 其供应量故意被设计成没有上限。而比特币的上限为 2100 万,并且具有通缩发行计划,比特币的块奖励每四年减半,直到接近零。因为比特币的发行模型使得其价值会算时间增加,所以比特币模型鼓励持有硬币。这使比特币成为价值存储工具(SoV)。
Grin 的早期通货膨胀率极高,但当有数百万枚 Grin 币流通时,随着时间的推移通货膨胀率将趋近于零,虽然它永远不会达到零。在实践中,通胀率需要在 10 年后才能降至 10%以下,25 年后才会降至 4%(与 2018 年比特币相同)。通胀率将需要 50 年才能降至 2%以下。然而,实际上,Grin 团队认为,当考虑到存在因为私钥丢失而造成的丢失的币时,通货膨胀将会比上述预想的低。根据团队的说法,每年丢失的币可能高达总供应量的 2%,在计算通货膨胀率时应该将这部分排除。永久性发行被视为缓解币丢失的影响的潜在解决方案。
永久通货膨胀背后的另一个原因是:(1)通胀模型比通缩模型更公平,通缩模型对于越早挖矿的矿工越有益,而通胀模型不会。(2)如果预计明天的币价与今天的相似,那么它有更大的机会被用作交换媒介(MoE),而这就恰恰是 Grin 项目所希望的。短期至中期的高通胀会激励消费而非储存,因为币会被显着的稀释。社区还认为,花钱的动力可能有助于更广泛地分发数字币。
此外,永久性发行可以防止 Grin 最终只能完全依赖交易的手续费来确保网络安全 - 这正是比特币社区正在讨论 / 面临的挑战。一旦比特币的发行量接近零,网络将不得不过渡到仅仅依赖交易费用奖励为保护比特币安全的矿工。仅依赖交易费奖励矿工是区块链的一种新的经济模式,但仍多存在许多问题:每个区块需要多少交易,每笔交易的最低费用是什么,以及如何解决与第二层方案(例如闪电网络)中致力于降低网络费的行为之间的矛盾。
来源 : grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者因为 Grin 没有上限的线性发行计划而批判 Grin,并因为高通胀率降低了数字币作为价值存储的购买力。然而,Grin 的开发者故意设计了这样的通胀率,其目的是鼓励消费、抵消丢失币的影响、确保 Grin 网络始终可以给矿工支付挖矿奖励以维护区块链安全。高通胀的一个不利之处是,与早期比特币相似,挖矿奖励在目前在总供给量中占了相当大的比例。这可能会对 Grin 币的价值产生负面影响,因为矿池出售 Grin 以换取比特币支付给矿工。
(译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
治理
Grin 的莱恩伯格(Lehnberg)说:「治理是关于如何做出在参与者 (参与决策的人) 和利益相关者 (受决策影响的人) 的角度看起来都合理的决策的过程。」 Grin 没有明确的治理流程,但对于没有结论的讨论是透明的且对社区完全开放。
Grin 有一个技术委员会负责管理 Grin 普通基金(Grin General Fund)并指导项目的开发。委员会成员包括 Ignotus Peverell, Antioch Peverell, Hashmap, Jaspervdm, Lehnberg, Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner)和 John Tromp。任何人都可以参与治理会有和开发者会议以及讨论,但是最活跃的贡献者通常还会发挥更大的作用。
技术委员会每两周举行一次管理会议和一次开发者会议,主题包括 ASIC 抗性,筹集和指导资金,重大缺陷和错误,安全审计,交换集成,硬分叉等。 Grin 还会在会议前后在 Github 上发布议程,笔记和会议记录。在 grin-forum 上还有一个管理部分,那上面上有一些主题一致的帖子,表明社区正在积极思考如何从长远来进行管理。
技术委员会主导的管理和开发过程使社区能够在早期快速灵活地运行,以避免减慢项目进程。然而,随着 Grin 的成长和成熟,人们一直在讨论如何建立一个更加结构化的管理流程并进行制衡。委员会成员和捐助者明确表示,有必要实施一个更正式的程序,来确立:
为社区提供一种更结构化的方式来交流关于管理和开发主题的反馈。
设置委员会的权限范围以及社区为委员会成员提供意见的规则。
所有利益相关者都有机会发表意见。利益相关者包括核心开发者,一次性贡献者,矿工,用户,投资者,交易所等。
该委员会的缺点是增加了项目的中心化程度。从长远来看,一个非官方的委员会可能是危险的。一个例子是 Burst PoCC,它具有与 Grin 技术委员会类似的功能。有一天,他们对社区感到不满并意外退出,但仍然可以访问项目代码库,管理 DNS 域名等等。他们还采取了额外的恶意行为,例如欺骗矿池和过早抛售 Burst,最终损害了 Burst 区块链。
资金
Grin 是一个完全基于捐赠的开源项目。虽然它的公平的数字币分配机制受到了称赞——没有 ICO、没有预挖、没有创始人奖励,但缺点是开发进展缓慢。Grin 的安全审计、市场营销、网站开发、运营活动等都依靠无偿的兼职志愿者和对核心开发者基金的捐赠。
正如 Tushar Jain 所指出的那样,「如果没有资本的促进,开发进度将被推迟。」这是 Grin 社区也认可的事实。在 Grin 普通基金的页面上,他们说,「现实情况是,有了资金支持,对 Grin 项目将会有很大帮助。这将使 Grin 能够更快,更可靠地发挥其潜力,拥有更好的基础设施支持,并且与资金充足的区块链项目竞争(或共存)的可能性会更大。」
Grin 社区于 2016 年开始开发 Grin,并于 2019 年 1 月才主网上线。同一时期,Beam 是 MimbleWimble 协议的另一个实现(下文将进一步详细讨论),是由一家获得风险投资者的私营公司开发的项目。他们从 2018 年初开始启动该项目,并于 Grin 主网上线前一周实现主网上线。
此外,Yeastplume (Michael Cordner),社区的核心开发人员和主要成员,在最初在筹集个人研发赞助资金时遇到了困难,无法将全部精力投入 Grin。只有在 Ignotus Peverell 在对 Yeastplume 的募资活动远未获得 (5.5 万欧元)10% 的资金表示失望之后,募资活动的捐款才开始上升。自那以后,它已经超额完成了募资目标,在撰写本文时筹集了 66,580 欧元。可以在 Grin 名人堂中查看完整的捐赠者名单。
依靠捐赠可能在短期内会奏效。然而,为了保持发展并吸引人才进入网络,Grin 将不得不重新考虑其融资模式,因为它面临着于那些资金充足并付费的项目日益激烈的竞争。在这个关于开发者激励政策的明确表达中,纳撒尼尔·惠特莫尔 (Nathaniel Whittemore) 提出了另一种全新的面向商业的激励模式,即(1)提供足够的激励来吸引顶尖人才加入项目,(2)同时继续为核心开发路线图做出贡献。即保证项目在既定路线图的规划下,使用经济措施鼓励更多优秀人才贡献力量。
用户体验
如上所述,MimbleWimble 是没有地址的。因此,交易的发起方和接收方必须传递消息 (称为「交易石板」),基于交互式通信进行币的转让。有多种方法可以标准化的传递 JSON 消息。一种方法是基于文件的传输,其中文件包含纯文本格式的 JSON 消息,可以通过多种方式传输文本 (电子邮件、Telegram、Keybase、业余无线电、信鸽等)。另一种方法是基于 HTTP URL 的方法,其中 API 接口接受文本格式的原始 JSON。
一组名为 vault713 的第三方开发人员正致力于使 Grin 可以更加实用并被广泛的使用。他们的第一个项目是一个名为 Grinbox 的交互协议。 Grinbox 是一种消息中继服务(message relaying service),当与 wallet713 一起使用时可以简化交易处理过程,wallet713 是目前在 Linux 上运行的 vault713 的 grin 钱包的核心分支。Grinbox 和 wallet713 旨在改善 Grin 的发送和存储过程。
第一步,Grinbox 允许参与者创建公开的地址用以发送 / 接收资金,这样他们就不必公开他们自己的 IP 地址。 wallet713 还允许用户将联系人姓名链接到他们计算机上的本地存储地址。此外,wallet713 允许异步交易构建。 vault713 还致力于添加更多增强隐私和可用性的功能,例如多重签名支持,BTC 和 Grin 之间的原子交换,在交易进入未经确认的内存池、移动 /web/ 桌面 GUI 等之前,与其他 wallet713 用户一同进行钱包层面的混币。
随着项目的成熟并吸引到更多人才,将出现更多利用不同通信信道创建交易可选方法。这可能包括利用 NFC,QR,蓝牙等的近场通信技术创建交易的方法。最终,用户选择一个方便且易于理解解决方案作为主要的交易通信方式。但是到达那一步还需要一些时间,还有待观察哪种方法可以成为标准。
Grin 只有几个月的历史,而且就目前而言,该项目适合精通技术的用户投入时间和精力来了解它的工作原理。虽然社区开始通过 grinbox 和 wallet713 等工作解决用户体验方面的问题,但要使非技术用户能舒适的在网络上进行交易还需要时间进行迭代和教育。
结论
Grin 是一个最初引起密码学朋克和无政府加密主义者注意的项目,但 Grin 与比特币相似的思想引起了许多人的注意。也就是说,Grin 因其匿名领导者、基于捐赠和草根的资助模式、专注于隐私和去中心、以及其社区非常关注对项目的推进而不是快速赚钱而受到赞扬。
但是 Grin 主网上线 Grin 只是第一步。要想让 Grin 获得长期成功并被广泛采用,还有很多工作要做。需要解决的关键挑战包括更可靠的筹资方式、更直观的用户体验以吸引更多用户使用 Grin,以及研究如何解决系统中的隐私漏洞 (即观察节点创建交易图的能力)。
核心团队表示,其主要关注点仍然是稳定性,性能以及安全性。通过第三方开发团队将 Grin 集成到他们的服务和产品中来培育一个健康的生态系统,这对提高使用率也是至关重要的。这并不一定需要 Grin 的核心开发人员来完成。相反,这些挑战可以在 Grin 区块链周围出现第三方开发人员生态系统时解决。
Grin 仍然是一个非常新的项目,它开创了全新的未经测试的想法,加密概念和技术。如果 Grin 能够应对关键挑战,那么它有可能成为将隐私重新置于个人手中的一种方式。
BEAM
Beam 是由一家总部位于以色列的 VC 支持的创业公司,于 2019 年 1 月 3 日推出了基于 MimbleWimble 协议的以隐私为重点的同名加密货币。它于 2018 年 3 月开始使用 C ++开发,并于 2018 年 9 月推出了测试网络。虽然 Beam 和 Grin 的相似之处在于它们都是 MimbleWimble 的实现,旨在为用户提供隐私增强功能,但它们的路径各不相同。与 Grin 不同,Beam 是一家私营公司,雇用开发人员来实施。 Beam 是从闭源开始,但后来开源了。 Beam 的另一个相比于 Grin 的重要区别是 Beam 提供了针对企业和监管机构的可选审计功能。
货币政策:Beam 的供应计划是通货紧缩型的,在第一年之后区块奖励下降 50%,之后每四年就会减少一半,直到达到 2.63 亿的硬性上限。此外,Beam 挖矿产出的 20% 将作为开发税进入 Beam Treasury 基金,用于并为 Beam 的未来开发提供资金。
挖矿算法:Beam 使用 Equihash 的修改版本(一种工作量证明挖掘算法)来提供网络共识。为了确保去中心化,Beam 将通过定期调整其算法使得 Beam 在前 12-18 个月保持 ASIC 抗性。
管理:Beam 目前由一家 VC 支持的创业公司运营,由付薪雇员组成。长期目标是完全将管理移交给管理 Beam Treasury 基金、维护区块链的非营利基金会。
功能:Beam 正在添加一个可审计的功能,这样企业就可以在不损害隐私性的情况下证明其合规性并提供交易的可预见性。Beam 开发人员还在探索一个安全的 BBS 系统,该系统将支持非交互式离线交易。
挑战:不断改进 PoW 协议是一项艰巨的任务,避免 ASIC 挖矿将使网络整体算力保持在较低水平,这也使得攻击网络的成本相对较低。此外,Beam 目前的运营和管理结构是中心化的,转向更去中心化的模式将需要避免所有投资方之间的权力斗争。
挖掘算法
Beam 使用 Equihash 算法,这是由卢森堡大学的 Alex Biryukov 和 Dmitry Khovratovich 创建的工作量证明算法。 Equihash 是一种基于广义生日问题的非对称内存密集型算法。 Equihash 的另一个关键属性是挖矿是随机的,这意味着生成 PoW 解的可能性与过去是否的成功挖矿是不相关。 Equihash 有两个可以调整的参数:n (bit 位宽)和 k (长度),它们决定了底层问题的复杂性,从而决定了算法的内存和时间复杂度。Beam 使用 Equihash 参数 n = 115 和 k = 5。
Equihash 在某种意义上是不对称的,因为它需要大量的内存来生成一个证明,但它不需要大量的内存来验证它。这是 Equihash 的一个重要特性,因为大多数其他内存密集型算法都是对称的,也就是说,验证与生成一个证明一样困难。内存密集型指的是生成一个证明所花费的时间与内存成正比,而不是与 CPU 计算能力成比例。如果使用更少的内存,Equihash 会不成比例地大大增加对计算能力的需求。
最初,内存是一种昂贵的资源,因此不假设 ASIC 比常规 CPU 和 GPU 更容易做出内存优化。另一方面,ASIC 与 GPU 相比提供了显著的带宽改进,而 GPU 又比 CPU 提供了显著的带宽改进。由于芯片设计技术的改进,为内存优化的 ASIC 矿机的成本不再像过去预期的那么高。
Zcash 是一个专注于以隐私性的加密货币,也使用 Equihash 算法。最初选择了 Equihash 是因为它被认为是 ASIC 抗性的。然而,在 2018 年,比特大陆发布了 Antminer Z9 mini 矿机,这个矿机通过降低 SRAM 的成本获得比通用硬件(CPU、GPU)更高的挖矿效率。在 Beam 的 Equihash 算法帖子中,他们强调「卢森堡大学的研究人员发现,截至 2018 年 5 月,20%-30%的 Equihash 是由 ASIC 矿机挖出的。」
Beam 表示,它们已经特别设置了 Equihash 参数,以便在短期内为 CPU 和 GPU 为矿工提供优于 ASIC 的优势,从而使币的初始分发更加广泛。然而,它认识到 ASIC 是不可避免的,甚至是在长期看是有用的,因为 ASIC 是一项成本可控的投资,并且增加了全网算力,从而使得区块链更安全且更难被攻击。
货币政策和资金
Beam 的货币政策类似于比特币。它的特点是规定了一个硬顶和通缩发行计划,并使用常规的区块奖励减半方法(每个区块的挖出的币数量下降 50%),直到通货膨胀率达到零。因此,这个初创公司是希望将 Beam 用作价值储存(SoV),而不是像 Grin 那样的交换媒介(MoE)。不过,其与比特币的相似性就到此为止了。与特别币不同的是:1. Beam 在第一年的挖矿奖励更多;2. 前 5 年的挖矿产出中部分归于项目创始人团队;3. Beam 每分钟一个块(比特币每 10 分钟一个块)。
在第一年,一个区块奖励将是 100Beam,高于之后的奖励,以激励矿工尽早加入网络并将 Beam 引入市场。头五年中 20% 的挖矿产出将给与创始人团队。所以第一年挖出的每个区块的 100 Beam 中 80 Beam 将支付给矿工,20Beam 将支付给 Beam 财富基金。在第 2 到第 5 年,区块奖励将下降 50%,变为 50 个 Beam,其中 40 个 Beam 支付给矿工,10 个 Beam 支付给 Beam 财富基金。在第 6 年,区块奖励将再次下降 50% 至 25 Beam,且所有奖励都将支付给矿工,并在未来改为每 4 年减半一次,直到第 129 年。区块奖励将在第 133 年停止,届时 Beam 预计的总供应量约为 2.63 亿。
来源 :medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam 采用了创始人奖励机制(Founders Reward),也称为开发税(Dev Tax),以回报投资者并为正在进行的协议和工具开发提供经济支持。创始人奖励费用是编写在区块链协议中的代码里,该协议在矿工和创始团队的已知地址之间的自动分配区块奖励
这种方法明显与 ICO 或预挖等不同,正如 Dash 所见,它以大量的流动资金来补偿加密资产的创始人。虽然 ICO 和预挖都是早期团队成员所希望的,但这类薪酬设计往往缺乏有效的资金监管和退出时间表。因此,在短期利益驱使下,挪用资金并跑路的骗局相当普遍。
「创始人奖励」的目的是随着项目的发展逐步补偿创始人。因此,最初的利益相关者更有动力去协调资源维护网络的长期成功。此外,奖励制度被纳入区块链协议,Arjun Balaji 指出:这种机制提供了固定资金分配比例带来的资金透明度,也为通过软或硬分叉修改现有分配方法提供可行性。
该创始人激励结构最初是由 Electric Coin Company(前身为 Zcash Company) 设计并推广的。这家公司是专注于隐私的加密货币 Zcash 的背后的开发和维护企业。起初,Zcash 矿工只能获得区块奖励的 80%。剩下的 20% 将分配给 Zcash 基金会 (一个支持 Zcash 开发的独立非盈利组织)、数字币公司以及早期的 Zcash 开发人员和顾问。在头四年之后,创始人奖金被预先设定为零,以确保在 2100 万美元的上限达到之前,所有新发行的 Zcash 将 100% 归矿工所有。
Beam 资金模型与 Zcash 的资金模式相似,在早期阶段其支付给 Beam 财富基金,创始人费用比例为 20%。与 Zcash 历时 4 年的创始人奖励不同,Beam 创始人奖励历时 5 年,包括第一年区块奖励为 100 Beam 的时候。在这五年结束时,累计有超过 3150 万的 Beam 被送给 Beam 财富基金。计划将基金中 35%的资金分配给早期投资者,另外 45%的资金补偿给核心团队成员和顾问,剩余的 20%将用于支持 Beam 主权货币基金会。这是该项目维护和管理的长期解决方案。
来源 : medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖金,Beam 还从包括 Recruit Co. LTD、Yeoman 's Capital 和 Node Capital 在内的各种风险投资基金中筹集了至少 500 万美元,用于聘请全职开发人员来推进开发。这些投资者将定期从创始人奖金中获得 Beam 以回报其早期投资。
Beam 的核心团队和早期投资者都认识到,更加中心化的推动项目可以加速产品研发、尽量避免在基于社区运营的项目中经常出现的项目延期的情况。因此,Beam 选择了这种更加中心化的管理方法来启动项目并度过项目的初始阶段。随着 Beam 的不断成熟,其目标是实现更加去中化的激励和管理结构,将区块奖励交给矿工,并将项目控制权交给社区。
不利的一面是,同时也是对 Beam 的批评之一,Beam 并没有让所有投资者都能平等参与。在主网上上线之前就从投资者那里筹集资金,或者将一部分资金投入专门的集团 (即 ICO、创始人奖励、预挖),这些都可能导致币的分配不公平。
与之相对的是与比特币和 Grin 类似的产品,在这些产品中,加密资产只能通过传统的 PoW 挖矿获得。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络挖出新的比特币或 Grin。这样的发行方式往往会在区块链网络用户之间更为公平。
继续阅读:Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
皆以匿名协议著称,Grin 和 ZCash 强弱对比
攻略 • grinup 发表了文章 • 2019-02-14 10:26
本文是 Grin 代码贡献最多的开发者 Ignotus Peverell 于 2016 年 11 月 1 日发布的一篇 Grin 和 MimbleWimble 协议与 ZCash 项目的比较。
Grin 作为一个实践项目,它的核心协议是具有匿名属性的 MimbleWimble,它和以匿名协议著称的 ZCash 之间的比较是合理自然的。在这里,我们尝试去比较最详尽的差异,希望不会有太多的偏颇之处。注意直到现在,MimbleWimble 协议也并没有在任何地方实现,Grin 也远未准备好。在我们有一个稳定的项目发布之前,ZCash 可以说一直是赢家,我们如下的说明都是一种猜想。
Grin Wins
无需信任设置(除了创世区块,没有任何其他种类的信任设置)。
优秀的渐近缩放与实际缩放。Grin 按照 UTXO 设置进行缩放,并且一段时间后每个 UTXO 都可以变得很小(因为可以最终放弃 rangeproof)。
在 MimbleWimble 中构建交易并验证它们在计算上是微不足道的,可以很容易地在智能手机或树莓派机器上完成。另一方面,在撰写本文时,构建 ZCash 的匿名交易需要大约 4GB 的内存和大约一分钟的计算。
默认情况下,MimbleWimble 中的所有交易都是不可见的,而此时 ZCash 的大多数交易在此刻似乎都是可见交易。
仅依赖于简单且经过良好审查的加密结构和假设。
绿色代码尽可能明确和简单,使未来的审计和维护更容易。
Grin 是一个社区驱动的实践,没有「创始人奖励」。
ZCash Wins
MimbleWimble 不支持脚本编写。虽然通过脚本在比特币中引入的一些功能,仍然可以存在于 MimbleWimble 中(如 multisig 和时间锁),但是缺少通用脚本使得其更加受限。请注意,此时 ZCash 也不支持通用脚本,为何不支持也没有理论上的原因。
虽然 Grin 交易输出完全匿名,但至少在某些时段,仍然可以追踪到那些输入相关的输出。目前尚不清楚从中可以得出什么信息。
ZCash 是基于 Bitcoin Core 代码分叉实现的,这是一个非常成熟(尽管很难维护)的代码库。
ZCash 由一家资金充足的公司提供支持。
相关讨论:https://www.reddit.com/r/Mimblewimble/comments/59qulw/mimblewimble_vs_zcash/
原文链接:https://github.com/mimblewimble/grin/wiki/Grin-and-MimbleWimble-vs-ZCash_ 查看全部
Grin 作为一个实践项目,它的核心协议是具有匿名属性的 MimbleWimble,它和以匿名协议著称的 ZCash 之间的比较是合理自然的。在这里,我们尝试去比较最详尽的差异,希望不会有太多的偏颇之处。注意直到现在,MimbleWimble 协议也并没有在任何地方实现,Grin 也远未准备好。在我们有一个稳定的项目发布之前,ZCash 可以说一直是赢家,我们如下的说明都是一种猜想。
Grin Wins
无需信任设置(除了创世区块,没有任何其他种类的信任设置)。
优秀的渐近缩放与实际缩放。Grin 按照 UTXO 设置进行缩放,并且一段时间后每个 UTXO 都可以变得很小(因为可以最终放弃 rangeproof)。
在 MimbleWimble 中构建交易并验证它们在计算上是微不足道的,可以很容易地在智能手机或树莓派机器上完成。另一方面,在撰写本文时,构建 ZCash 的匿名交易需要大约 4GB 的内存和大约一分钟的计算。
默认情况下,MimbleWimble 中的所有交易都是不可见的,而此时 ZCash 的大多数交易在此刻似乎都是可见交易。
仅依赖于简单且经过良好审查的加密结构和假设。
绿色代码尽可能明确和简单,使未来的审计和维护更容易。
Grin 是一个社区驱动的实践,没有「创始人奖励」。
ZCash Wins
MimbleWimble 不支持脚本编写。虽然通过脚本在比特币中引入的一些功能,仍然可以存在于 MimbleWimble 中(如 multisig 和时间锁),但是缺少通用脚本使得其更加受限。请注意,此时 ZCash 也不支持通用脚本,为何不支持也没有理论上的原因。
虽然 Grin 交易输出完全匿名,但至少在某些时段,仍然可以追踪到那些输入相关的输出。目前尚不清楚从中可以得出什么信息。
ZCash 是基于 Bitcoin Core 代码分叉实现的,这是一个非常成熟(尽管很难维护)的代码库。
ZCash 由一家资金充足的公司提供支持。
相关讨论:https://www.reddit.com/r/Mimblewimble/comments/59qulw/mimblewimble_vs_zcash/
原文链接:https://github.com/mimblewimble/grin/wiki/Grin-and-MimbleWimble-vs-ZCash_ 查看全部
本文是 Grin 代码贡献最多的开发者 Ignotus Peverell 于 2016 年 11 月 1 日发布的一篇 Grin 和 MimbleWimble 协议与 ZCash 项目的比较。
Grin 作为一个实践项目,它的核心协议是具有匿名属性的 MimbleWimble,它和以匿名协议著称的 ZCash 之间的比较是合理自然的。在这里,我们尝试去比较最详尽的差异,希望不会有太多的偏颇之处。注意直到现在,MimbleWimble 协议也并没有在任何地方实现,Grin 也远未准备好。在我们有一个稳定的项目发布之前,ZCash 可以说一直是赢家,我们如下的说明都是一种猜想。
Grin Wins
无需信任设置(除了创世区块,没有任何其他种类的信任设置)。
优秀的渐近缩放与实际缩放。Grin 按照 UTXO 设置进行缩放,并且一段时间后每个 UTXO 都可以变得很小(因为可以最终放弃 rangeproof)。
在 MimbleWimble 中构建交易并验证它们在计算上是微不足道的,可以很容易地在智能手机或树莓派机器上完成。另一方面,在撰写本文时,构建 ZCash 的匿名交易需要大约 4GB 的内存和大约一分钟的计算。
默认情况下,MimbleWimble 中的所有交易都是不可见的,而此时 ZCash 的大多数交易在此刻似乎都是可见交易。
仅依赖于简单且经过良好审查的加密结构和假设。
绿色代码尽可能明确和简单,使未来的审计和维护更容易。
Grin 是一个社区驱动的实践,没有「创始人奖励」。
ZCash Wins
MimbleWimble 不支持脚本编写。虽然通过脚本在比特币中引入的一些功能,仍然可以存在于 MimbleWimble 中(如 multisig 和时间锁),但是缺少通用脚本使得其更加受限。请注意,此时 ZCash 也不支持通用脚本,为何不支持也没有理论上的原因。
虽然 Grin 交易输出完全匿名,但至少在某些时段,仍然可以追踪到那些输入相关的输出。目前尚不清楚从中可以得出什么信息。
ZCash 是基于 Bitcoin Core 代码分叉实现的,这是一个非常成熟(尽管很难维护)的代码库。
ZCash 由一家资金充足的公司提供支持。
相关讨论:https://www.reddit.com/r/Mimblewimble/comments/59qulw/mimblewimble_vs_zcash/
原文链接:https://github.com/mimblewimble/grin/wiki/Grin-and-MimbleWimble-vs-ZCash_
中本聪圆桌会议硬核总结:闪电网络、隐私、侧链、证券通证、Grin
攻略 • 8btc 发表了文章 • 2019-02-12 10:51
前言:中本聪圆桌会议在比特币社区的地位类似于彼尔德伯格会议,而今年的中本聪圆桌会议属于历史上的第五届,该会议与一般的大型币圈会议不同,其参与者皆是业内最具影响力的开发者、公司创始人等,因此会议话题也较为硬核,而本文的作者Jameson Lopp则是这次会议的参与者之一,他将为读者阐述本次会议上其关注的闪电网络、隐私、侧链、证券通证、Grin等热门话题。
以下为译文:
很高兴再次参加布鲁斯·芬顿(Bruce Fenton)组织的中本聪圆桌会议,我享受每年参加这一活动,因为它有一个轻松的氛围,这里没有大量的人,它提供了很多机会,可以和行业中的人进行坦诚的面对面讨论(通常情况下,这些人都非常忙,因此很难聚到一块交谈)。圆桌会议是非结构化的,因此会有无数非正式的对话,以及几十个更正式的会议。因此,任何人都不可能对今年发生的事情作出全面的总结,我参加了我认为对我来说最有趣的谈话,并试图向大家传达这些讨论的结果。
闪电网络
闪电网络之所以是吸引人的,在于它支持了传统支付网络所无法实现的全新用例。我们已经看到了一些概念证明,比如Satoshi’s Place、Lightning Spin以及比特币墓地(Bitcoin Graveyard)。在利用闪电网络改善用户体验方面,还有很多未经发掘的机会。例如,在一台ATM机上出售比特币的过程相当糟糕,你必须存款,在等待确认后,然后返回以实际获得现金。而有了闪电网络存款,存款和取现的操作就可以立即发生。最近Twitter上的#LNTrustchain是一个有趣的演示!
一些参与者表示怀疑,对于普通人来说,闪电网络很容易在短时间内安全、轻松地使用它。他们指出,虽然让当前的比特币用户使用闪电网络并不太困难,但同时向新人解释比特币和闪电网络可能会是非常困难的。人们似乎普遍认为,如果闪电网络要获得主流的采用,那么需要从用户那里抽象出通道的概念。相反,用户应该只需要知道他们可以发送和接收的最大值是多少。由于目前可用的工具有限,这很难去管理,但是正在进行中的改进,如原子多路径支付、通道拼接、多方通道和流式支付(streaming payments),应使软件开发人员更容易改善引擎盖下的的通道管理。
用户采用的另一大主要挑战,在于寻找流动性来源。尽管我认为最佳的用户体验不应该要求用户去考虑它,但我确实希望,随着更多的交易所和流动性提供商加入闪电网络,我们将看到闪电网络钱包的集成,这会使得你的闪电网络钱包“充值”变得简单,体验类似于为完全的加密货币新手购买预付借记卡,甚至使那些已拥有交易所账户的人的体验更顺畅。
虽然像btcpay这样令人敬畏的开源软件能够让商家管理自己的节点和通道,但仍有可能很多商家会选择像Strike这样的托管支付处理服务。另一方面,即使闪电网络被托管公司采用的速度要比个人快,也有大量的效率提高。在撰写本文时,有相当多的服务拥有很多用户,这些用户定期通过各服务之间的链上交易发送价值,从区块空间使用的角度来看,这是非常低效的。如果这些服务仅在每日/每周的基础上彼此“结算”余额,那么它们可大大减少所需的链上交易量。但是,目前不可能这样做,因为服务A不知道哪些比特币地址属于服务B。如果这些托管服务使用闪电网络,它将自动处理服务之间的冗余链上支付,而不需要知道彼此的身份。
当我在BitGo构建基础设施时,我看到了类似于以下的定期可视化效果,我们自己的客户之间来回进行着成千上万笔交易,他们不知道他们所使用的这个全球账本有多低效。这让人很沮丧,但我们的头脑风暴,在如何解决我们自己的用户(以一种不破坏他们隐私的方式)的问题上还不够。这就是为什么我如此渴望看到闪电网络被采用的原因之一,它无缝地解决了这种巨大的效率低下问题。
主要服务之间资金流动的可视化
目前已知的一些最大的未知数涉及流动性。没有人真正知道什么样的投资回报率对流动性提供者来说是合理的,尽管有一些早期的努力试图量化“闪电网络参考率”。最终,分配给闪电网络通道资本的时间价值将与其他有息资产相比较,尽管公平地说,也许除了Maker DAO之外,没有高度相似的加密资产可本地产生利息。
如果交易费用主要转移到闪电网络,人们对比特币的热力学安全性的可持续性会更关注。在我看来,如果闪电网络允许用户将其链上交易减少X的系数,那么用户愿意支付低于平均比特币x(AVERAGE_BITCOIN_FEE * X)-平均闪电网络费*X(AVERAGE_LIGHTNING_FEE * X)的任何费用是有经济意义的。由于闪电网络支持了全新的用例(在链上是无法实现的),我预计随着用户开放和关闭通道,它将为比特币带来更多的经济活动(和挖矿费用)。闪电网络依赖于链上交易的一个有趣的结果是,一个广泛流行的闪电网络可以为链上交易创造比offload更多的需求,从而大幅增加用户愿意支付的链上费用。我们最终将看到新技术的采用,该技术允许用户通过聚合签名和多方闪电网络通道更有效地使用区块空间;如果很多用户“共享”单笔链上交易,那么很容易看到挖矿费用对于该交易来说可能相对较高,但从每个参与者的角度来看却是较低的。
最后,有一些关于比特币矿工闪电支付用例的讨论。如果哈希工作者们可以通过闪电网络直接获得报酬,那么它可以通过多种方式改变挖矿动态:
支出将不再需要进入保管池钱包;
自动支付不会让区块链充满粉尘UTXO;
哈希矿工可实现实时支付,因为股份提交无需等待区块被发现(这背后可能还有其他的博弈论影响,这将需要略低的支付保险目的);
通过将闪电网络支付与Matt Corallo的Betterhash挖矿协议相结合,它将进一步降低矿池的功率,提高比特币的审查抵抗力;
闪电网络是今年的热门话题,它在2018年取得了如此多的进展,但在我们充分发挥其潜力之前,仍有大量功能和基础设施需要我们去完善。
隐私话题
对于那些正在建设公司的人来说,隐私是一个棘手的问题,因为我们的公司受到国家行动者的干预。我们中的那些人有兴趣学习如何在不成为目标的情况下实现用户隐私。该组织的一些人指出,他们过去常常与很多用户一起运行服务,但在收到政府机构的大量信件后,他们决定不想处理这些麻烦,而是关闭服务从而避免翻车。我们经常在Casa讨论隐私问题,因为我们是一家重服务驱动的公司,所以我们需要与用户保持关系。我们能确定的最安全的方法是,尽可能少地存储有关用户的数据。我们必须假设,在某一时刻,我们可能会被迫交出我们存储的有关用户的所有数据。因此,“不能作恶”是一个比“不要作恶”更强有力的立场,因为它不仅仅是关于我们自己的意图。
加密货币网络隐私性不足造成的最大问题之一是,它损害了可互换性。现在有几家区块链监控公司在跟踪区块链资金并对其进行“污染分析”,并告诉服务部门资金来源“不合法”的可能性有多大。当然,这些都是基于概率的猜测,可能会导致无辜的用户陷入算法的拖网。这些工具显然导致很多比特币用户从各种服务平台中脱离了出来,因为他们被认为是风险客户。
会议上提出的一个特别有趣的观点是,没有人因为区块链分析而被起诉,因为它本身就没有足够的刑事指控证据。更确切地说,这只是调查人员用来更全面了解目标实际拥有多少资金的众多工具之一,这样他们就可确信癫痫发作更成功。。
来自“A Fistful of Bitcoins”论文的区块链分析
根据你所看到的UTXO历史的跳跃次数,你可能会找到一个很好的理由来认为它是“受污染的”,这很像大多数的法定货币都含有微量的可卡因。也许真正的问题来源于比特币的UTXO,如果更多的人混合了他们的UTXO,最终污染分析会为所有的UTXO产生相同的分数,我们将回到一个可互换性的公平竞争环境。但在那之前,先发劣势是那些有隐私意识的用户很可能会被标记为可疑用户。
区块链分析隐私性差的另一个缺点是,它为商业间谍活动打开了比特币业务的大门。很多与定期存款客户的交易和服务仍然没有采用非重用地址的最佳实践,使得对其资金的群集分析变得更容易!此外,对于精通技术的人来说,有可能将小额存款存入竞争对手的服务的地址,然后观看其UTXO的移动,以尝试测量其冷热钱包的价值和容量。
据指出,通过SPV钱包缺陷、Sybil Electrum服务器和网络观察者,IP地址与比特币地址的相关性存在广泛的问题。大多数这些问题的解决方案是运行一个全节点,这样所有的钱包查询都会在本地发生,并且不能被监视,但是反过来,如果您从全节点广播交易,它会为观察交易通过网络传播的网络观察者造成隐私泄漏问题。谢天谢地,Dandelion技术很快就会进入Bitcoin Core代码库,从而掩盖了广播交易的起源节点。
来源:Giulia Fanti,https://www.youtube.com/watch?V= SRE6KDBGI1O
比特币隐私本身就是一个完整的研究领域;对于那些希望深入研究比特币隐私的人,我建议查看开放式比特币隐私项目( Open Bitcoin Privacy Project)的威胁模型。
侧链和扩容
这是去年圆桌会议上发生的少数几个被反复讨论的话题之一。Paul Sztorc多年来一直致力于他的驱动链(Drivechain)概念,目的是减少我们所提提议所需的(硬分叉或软分叉)协议的更改内容。
分布式共识系统的一个棘手的问题是,它们往往忽略系统外部发生的所有事情;这使得系统对外部威胁更强,但也使得很难更改系统以添加新功能。因此,想要尝试异域的未经证实的想法的人,往往会从头开始构建自己的共识系统,最终在注意力和其他资源方面与比特币竞争。这最终激怒了很多比特币支持者,因为竞争项目的创建者成为了新货币的发行者。
驱动链(Drivechain)将使任何人都能建立起自己的网络,利用比特币矿工的力量,将新资产钉在比特币上。这基本上是一种维护者是矿工而非签名者联盟的比特币侧链方法。动态成员身份多方签名(挖矿)可以说比联合更为健壮,因为签名者可以来来去去,相互竞争。在不需要矿工特别参与的情况下,侧链的最佳形式将被钉住,但据我所知,没有人找到一种切实可行的方法来做到这一协议。(为了防止盗窃,可能需要有能力对侧链到比特币挂钩的SPV证明提出质疑,这将对比特币协议产生重大改变)
一个问题是闪电网络是否应被视为侧链。总的共识是,侧链是一个拥有全局共享状态和共识机制的系统,同时也有某种挂钩机制与另一个拥有独立全局共享状态和共识机制的系统。因此,即使你认为闪电网络与比特币挂钩,它也不能成为侧链。闪电网络没有由共识机制产生的全局共享状态。
还应指出的是,侧链的安全性取决于其受欢迎程度,因为它依赖于管理PEG的团队(矿工或联合会)的协调。但我们看到比特币在应对诸如UASF运动、2013年3月分叉决议和2010年通货膨胀事件等问题时出现了大量协调的例子,因此我们有理由抱有希望。
由于其依赖矿工的安全模型,驱动链(Drivechain)的概念仍然被一些开发者视为有问题的;它依赖用户激活的软分叉来通过矿工的共谋来对抗盗窃。看来,在安全性方面,驱动链(Drivechain)提供了一个中间地带-其不如比特币的基础层那么安全,但其比很多依赖可信第三方的系统要更安全。然而,驱动链(Drivechain)是一种无许可的创新-它们不需要更改比特币协议来构建。它只是需要矿工的支持,开始将所需的交易添加到区块中。自从上一次圆桌会议以来,我们获得了在测试网上运行驱动链(Drivechain)的能力;我敢打赌,我们将在下一次中本聪圆桌会议之前看到生产部署的驱动链。
安全硬件
由于各种原因,这是一个特别具有挑战性的问题。人们普遍认为,不可能构建安全的硬件来抵御具有无限时间和资源的攻击者。但是,合理安全的硬件至少应该为你提供更多的时间,以便在攻击者从被捕获的设备中提取私钥之前,将你的加密资产移动到一组新的私钥。
保护比特币硬件的一个挑战是,比特币ECDSA曲线(secp256k1)没有经FIPS认证的芯片。中本聪对这一曲线的选择是相当神秘的,因为它在10年前根本不受欢迎。与流行的NIST曲线不同,secp256k1的常数是以可预测的方式选择的,这大大降低了曲线创建者插入任何后门的可能性。另一方面,这一曲线并没有看到为其构建安全芯片所投入的相同水平的资源。
我们讨论了大多数硅芯片在物理攻击中的脆弱性-通过剥离芯片的顶层,可以将探针连接到硅上并直接读取数据。然而,安全元件的顶层设计,如果芯片被移除,它将完全摧毁芯片。它们通常也有独立的电源,这样具有物理访问权限的攻击者,就不能简单地在电源管道上放置探针来推断芯片内正在处理的数据。
通过https://saleemrashid.com/2018/11/26/breaking-into-bitbox读取和写入数据以保护芯片存储
安全元素的一个未被重视的方面是,它们通常带有经过认证的随机数生成器-大多数操作系统附带的生成器往往是可疑的。安全元素的缺点是,仍有人必须编写在其上运行的软件,这可能会造成信任问题和单点故障。运行不安全软件的安全硬件毕竟不安全。此外,安全元素通常不能执行复杂的操作,因为它们的计算能力有限-比特币交易的实际构造必须发生在安全元素之外和不太安全的微控制器上。
SaleemRashid在一篇关于Ledger Nano S的文章中讨论了这个设计的一些问题。
使用微控制器(MCU)与输入、输出和安全元件(SE)交互
最终,安全硬件的最大问题之一是它仍然依赖于所遵循的最佳实践-存在大量人为错误空间。正如多重签名不是创造一个完美安全钱包的法宝一样,硬件也不是,它是我们应共同使用的为用户构建强大解决方案的众多工具之一。
助记种子语标准
这一讨论深入到了技术领域,且与钱包开发者密切相关。一般的问题是,比特币钱包衍生受到“标准”问题的困扰,我们有BIP 32、BIP 39、BIP 44、BIP 49、BIP 84……而它们不一定都是相互兼容的。
https://xkcd.com/927/
层次确定性的钱包派生标准有一个特别令人沮丧的地方,那就是它们与地址格式标准不太匹配。由于BIP32没有为给定的派生路径指定地址格式,所以钱包开发人员建议修改扩展公钥的版本字节来实现这一点。随着比特币激活了隔离见证,对地址公钥进行编码的方式越来越多。虽然BIP 49提出了一种编码P2WPKH-nested-in-P2SH地址的方法,但它未能更改HD种子版本字节(保留xpub前缀),导致用户不可持续的混淆。用户必须知道xpub使用BIP 49派生,或者xpub的使用者必须扫描两个地址空间(P2PKH以及P2WPKH-in-P2SH)。从长远来看,这个问题可能会继续恶化,需要越来越复杂的扫描逻辑来寻找支持导入种子短语的钱包。
实际上,我去年遇到了这个问题,它引导我创建了这个xpub版本的字节转换器工具。当你构建支持非比特币加密资产的钱包时,问题就变得更加复杂了,这些资产的密钥都来自于一个主种子。目前,我们最接近的标准是中本聪实验室改进提议132,我们想知道提出一个HD标准是否更有意义,该标准为推导添加了一条路径,并将其从:
m/BIP/CoinType/Account/change/index
更改到
m/BIP/CoinType/Account/AddressType/change/index
我们还同意,如果建立一个安全地分割种子短语的标准,这将是非常有帮助的。保持恢复种子的安全是一个极其复杂的物理安全问题,因此我们在Casa开发了一个钱包,其完全摆脱了管理种子的需要。如果你丢失了一个设备,你可以很容易地在keymaster软件中执行密钥旋转,并且你不必直接处理私钥或种子。
我们怀疑很多正在分裂种子的人正在使用某种形式的Shamir秘密分享,但这有几个问题。首先,各种可用的开源SSS工具甚至不兼容……可能是因为它不容易实现!
2017年,Greg Maxwell在Armory的SSS实现中发现了一个用于碎片备份的漏洞。另外还有一个共识,即如果有一个种子分割方案,它还包括每个种子共享的校验和,这样你就可以在不必重新构建所有共享来查看数据是否损坏的情况下验证其完整性,那么这将是一个很大的改进。如果有人花时间制定一个提案,这似乎是一个相当大的胜利。
证券通证
我参加这一讨论是因为我曾故意不看好证券通证,证券通证仍处于萌芽阶段,其属性没有很好地定义,尽管我们似乎确定了一个一般定义:即它们是由一些政府机构作为证券管理的加密token。其中一项数据是,虽然ICO市场在2018年期间价值下降了约90%,但证券代币市场的价值却飙升了1000%。
为什么证券通证很有趣?我们被告知要从私募市场的角度来看待它们,私募市场每年筹集的资金通常比IPO多10倍。为什么要通证化证券?
你可以编程的“智能合约”功能在全球共识级别上强制执行它们的属性。想想股息、股东投票和锁定期;
原子化成为可能-在没有大量开销的情况下进行更细粒度投资的能力;
由于使用开放的、可审计的账本,监管者很友好;
建立全球可互操作股票市场的潜力;
通过分布式交易所和自动化KYC降低交易对手风险;
证券通证构建肯定比实用通证更具挑战性:
它们必须架起传统市场的桥梁,并获得监管机构的批准;
它们负担不起从头开始,放弃现有的功能;
目前必须对每个token重复AML/KYC/认证;
交易所的流动性低,标准的1年锁定无济于事;
如果基础账本平台上有一个分叉,你会怎么做?
区块链不具有很好的可扩展性,这就产生了压力,使其像传统的非区块链系统一样集中在几个交易所周围;
目前没有任何合格的保管者;
保管者必须如何处理分叉/空投的法律灰色区域。如果保管者有单独的自由裁量权,这是一种ERISA违规行为,这种情况发生的可能性会阻止机构投资;
有可能在代币发行时遵守相关规定,但一旦发生跨境交易(如超过某个国家允许的投资者数量),则会出现违规情况;
有人猜测,购买证券通证的人将来自于今天购买传统证券的参与者,他们甚至可能不会意识到基础管道已经改变为不同的系统。该领域的观察表明,迄今为止,证券通证市场已经有90%的交易是通过法币进行的,但在加密货币市场牛市期间,随着投资者寻求多样化,约80%的交易是通过加密货币进行的。
我仍然不认为它们和无需许可的加密资产一样有趣,但我必须承认,证券通证可改善用于管理受监管股权的传统金融系统。
关于Grin
从2016年底开始,我便对mimblewimble感兴趣了,现在有多个运用 MimbleWimble协议的网络正在运行,我们可以看到它们在竞争环境中的表现如何!
(旁白:我对Grin的兴趣不是投资建议。我不建议人们投资BTC,更不要说投资更具实验性质的竞争币。)
其中一个最大的问题是“为什么投资者对GRIN如此感兴趣?”,有几个猜测性的答案:
寻求类似风险敞口的投资者如果没有获得Beam的股权,可能会觉得grin更讨人喜欢;
考虑到GRIN的发行时间表,近期通胀率高以及它的长期排放计划,其价格可能会长期处于低位。
与其现在买grin,不如先把它卖掉,然后之后再以低价囤积它们;
Grin的优势:
其风气似乎与比特币和密码朋克的风气相当接近;
作为一个竞争币,其发布非常公平;
与比特币相同的脚本语言,但是作为秘密插入签名的“无脚本脚本”;
Grin的区块链是相对于用户数量而非交易量进行扩展的,每个用户大约扩展100字节;
你可以通过给出一个查看密钥来自动解除你的资金匿名性;
Grin的弱点:
Grin的经济模型是平均每秒1个的排放速度,并且永远会持续下去,这会挡住很多人。在足够长的时间内,其通胀率将低于法定货币的平均水平,但大多数人可能没有足够的耐心等待数十年的时间;
当它涉及到通过捐赠模式资助开发人员时,就遇到了所谓的公地悲剧问题。因为投资回报率是可测量的,而投资于开发的资金则不是可测量的,所以大量的资金投入到了挖矿业中。有人猜测,在通过矿业积累了一些价值后,这些基金可能会变得不那么吝啬,并将捐赠一部分开采的grin。Grinmint已选择将一定比例的资金捐赠给Grin开发团队。此外,Obelisk还承诺将其GRIN ASIC收入的一部分捐赠给GRIN开发;
交易签名是交互式的,这会造成复杂性。尤其是冷存储需要额外的步骤,例如,通过二维码将部分签名的交易转移到气隙机器上或从气隙机器上转移。
交互式签名的一个选择是通过连接对方的IP地址来实现,这当然是一个巨大的隐私问题;
交互式签名打开了中间人攻击的可能性-一个安全的通信通道是必要的;
我们还讨论了一般的隐私币,我了解到机构正在接受隐私加密货币,因为没有任何传统资产具有类似于区块链分析工具的东西;它们依赖于标准的AML/KYC流程。区块链分析工具实际上会让企业感到悲伤,因为很多人不明白法律不要求指定特定的UTXO,只是基金的总价值。因此,“受污染”的基金可能会被标记在已发生执法行动(扣押)的下游。
我期待着看到类似技术的发展,也许有一天我们会看到比特币的MW侧链。
比特币价格
哈哈,这是开玩笑的!价格讨论是很少的。最常见的是在主题演讲中讨论了S曲线和采用周期。我们确实听到了一些关于出生率的清晰见解,以及随着人口年龄的增长,出生率的上升或下降会产生连锁反应,从而导致各个领域出现泡沫。例如,男性购买摩托车的高峰期在40多岁左右,而哈雷戴维森(Harley Davidson)的销量(以及股票价格)也在婴儿潮一代人步入中年时达到顶峰。至于比特币,谁知道呢……在场的大多数人似乎都认为,我们还没有看到最后一次比特币泡沫,但不管是1年还是10年,这一切都悬而未决的。
中本聪圆桌会议上看到的唯一泡沫
回到BUIDL
和往常一样,这种不一致是从构建加密生态系统基础设施中获得的教育和娱乐性突破。2020年见!
原文:https://medium.com/@lopp/satoshi-roundtable-v-recap-151dab7548bb
作者:Jameson Lopp
编译:洒脱喜 查看全部
以下为译文:
很高兴再次参加布鲁斯·芬顿(Bruce Fenton)组织的中本聪圆桌会议,我享受每年参加这一活动,因为它有一个轻松的氛围,这里没有大量的人,它提供了很多机会,可以和行业中的人进行坦诚的面对面讨论(通常情况下,这些人都非常忙,因此很难聚到一块交谈)。圆桌会议是非结构化的,因此会有无数非正式的对话,以及几十个更正式的会议。因此,任何人都不可能对今年发生的事情作出全面的总结,我参加了我认为对我来说最有趣的谈话,并试图向大家传达这些讨论的结果。
闪电网络
闪电网络之所以是吸引人的,在于它支持了传统支付网络所无法实现的全新用例。我们已经看到了一些概念证明,比如Satoshi’s Place、Lightning Spin以及比特币墓地(Bitcoin Graveyard)。在利用闪电网络改善用户体验方面,还有很多未经发掘的机会。例如,在一台ATM机上出售比特币的过程相当糟糕,你必须存款,在等待确认后,然后返回以实际获得现金。而有了闪电网络存款,存款和取现的操作就可以立即发生。最近Twitter上的#LNTrustchain是一个有趣的演示!
一些参与者表示怀疑,对于普通人来说,闪电网络很容易在短时间内安全、轻松地使用它。他们指出,虽然让当前的比特币用户使用闪电网络并不太困难,但同时向新人解释比特币和闪电网络可能会是非常困难的。人们似乎普遍认为,如果闪电网络要获得主流的采用,那么需要从用户那里抽象出通道的概念。相反,用户应该只需要知道他们可以发送和接收的最大值是多少。由于目前可用的工具有限,这很难去管理,但是正在进行中的改进,如原子多路径支付、通道拼接、多方通道和流式支付(streaming payments),应使软件开发人员更容易改善引擎盖下的的通道管理。
用户采用的另一大主要挑战,在于寻找流动性来源。尽管我认为最佳的用户体验不应该要求用户去考虑它,但我确实希望,随着更多的交易所和流动性提供商加入闪电网络,我们将看到闪电网络钱包的集成,这会使得你的闪电网络钱包“充值”变得简单,体验类似于为完全的加密货币新手购买预付借记卡,甚至使那些已拥有交易所账户的人的体验更顺畅。
虽然像btcpay这样令人敬畏的开源软件能够让商家管理自己的节点和通道,但仍有可能很多商家会选择像Strike这样的托管支付处理服务。另一方面,即使闪电网络被托管公司采用的速度要比个人快,也有大量的效率提高。在撰写本文时,有相当多的服务拥有很多用户,这些用户定期通过各服务之间的链上交易发送价值,从区块空间使用的角度来看,这是非常低效的。如果这些服务仅在每日/每周的基础上彼此“结算”余额,那么它们可大大减少所需的链上交易量。但是,目前不可能这样做,因为服务A不知道哪些比特币地址属于服务B。如果这些托管服务使用闪电网络,它将自动处理服务之间的冗余链上支付,而不需要知道彼此的身份。
当我在BitGo构建基础设施时,我看到了类似于以下的定期可视化效果,我们自己的客户之间来回进行着成千上万笔交易,他们不知道他们所使用的这个全球账本有多低效。这让人很沮丧,但我们的头脑风暴,在如何解决我们自己的用户(以一种不破坏他们隐私的方式)的问题上还不够。这就是为什么我如此渴望看到闪电网络被采用的原因之一,它无缝地解决了这种巨大的效率低下问题。
主要服务之间资金流动的可视化
目前已知的一些最大的未知数涉及流动性。没有人真正知道什么样的投资回报率对流动性提供者来说是合理的,尽管有一些早期的努力试图量化“闪电网络参考率”。最终,分配给闪电网络通道资本的时间价值将与其他有息资产相比较,尽管公平地说,也许除了Maker DAO之外,没有高度相似的加密资产可本地产生利息。
如果交易费用主要转移到闪电网络,人们对比特币的热力学安全性的可持续性会更关注。在我看来,如果闪电网络允许用户将其链上交易减少X的系数,那么用户愿意支付低于平均比特币x(AVERAGE_BITCOIN_FEE * X)-平均闪电网络费*X(AVERAGE_LIGHTNING_FEE * X)的任何费用是有经济意义的。由于闪电网络支持了全新的用例(在链上是无法实现的),我预计随着用户开放和关闭通道,它将为比特币带来更多的经济活动(和挖矿费用)。闪电网络依赖于链上交易的一个有趣的结果是,一个广泛流行的闪电网络可以为链上交易创造比offload更多的需求,从而大幅增加用户愿意支付的链上费用。我们最终将看到新技术的采用,该技术允许用户通过聚合签名和多方闪电网络通道更有效地使用区块空间;如果很多用户“共享”单笔链上交易,那么很容易看到挖矿费用对于该交易来说可能相对较高,但从每个参与者的角度来看却是较低的。
最后,有一些关于比特币矿工闪电支付用例的讨论。如果哈希工作者们可以通过闪电网络直接获得报酬,那么它可以通过多种方式改变挖矿动态:
支出将不再需要进入保管池钱包;
自动支付不会让区块链充满粉尘UTXO;
哈希矿工可实现实时支付,因为股份提交无需等待区块被发现(这背后可能还有其他的博弈论影响,这将需要略低的支付保险目的);
通过将闪电网络支付与Matt Corallo的Betterhash挖矿协议相结合,它将进一步降低矿池的功率,提高比特币的审查抵抗力;
闪电网络是今年的热门话题,它在2018年取得了如此多的进展,但在我们充分发挥其潜力之前,仍有大量功能和基础设施需要我们去完善。
隐私话题
对于那些正在建设公司的人来说,隐私是一个棘手的问题,因为我们的公司受到国家行动者的干预。我们中的那些人有兴趣学习如何在不成为目标的情况下实现用户隐私。该组织的一些人指出,他们过去常常与很多用户一起运行服务,但在收到政府机构的大量信件后,他们决定不想处理这些麻烦,而是关闭服务从而避免翻车。我们经常在Casa讨论隐私问题,因为我们是一家重服务驱动的公司,所以我们需要与用户保持关系。我们能确定的最安全的方法是,尽可能少地存储有关用户的数据。我们必须假设,在某一时刻,我们可能会被迫交出我们存储的有关用户的所有数据。因此,“不能作恶”是一个比“不要作恶”更强有力的立场,因为它不仅仅是关于我们自己的意图。
加密货币网络隐私性不足造成的最大问题之一是,它损害了可互换性。现在有几家区块链监控公司在跟踪区块链资金并对其进行“污染分析”,并告诉服务部门资金来源“不合法”的可能性有多大。当然,这些都是基于概率的猜测,可能会导致无辜的用户陷入算法的拖网。这些工具显然导致很多比特币用户从各种服务平台中脱离了出来,因为他们被认为是风险客户。
会议上提出的一个特别有趣的观点是,没有人因为区块链分析而被起诉,因为它本身就没有足够的刑事指控证据。更确切地说,这只是调查人员用来更全面了解目标实际拥有多少资金的众多工具之一,这样他们就可确信癫痫发作更成功。。
来自“A Fistful of Bitcoins”论文的区块链分析
根据你所看到的UTXO历史的跳跃次数,你可能会找到一个很好的理由来认为它是“受污染的”,这很像大多数的法定货币都含有微量的可卡因。也许真正的问题来源于比特币的UTXO,如果更多的人混合了他们的UTXO,最终污染分析会为所有的UTXO产生相同的分数,我们将回到一个可互换性的公平竞争环境。但在那之前,先发劣势是那些有隐私意识的用户很可能会被标记为可疑用户。
区块链分析隐私性差的另一个缺点是,它为商业间谍活动打开了比特币业务的大门。很多与定期存款客户的交易和服务仍然没有采用非重用地址的最佳实践,使得对其资金的群集分析变得更容易!此外,对于精通技术的人来说,有可能将小额存款存入竞争对手的服务的地址,然后观看其UTXO的移动,以尝试测量其冷热钱包的价值和容量。
据指出,通过SPV钱包缺陷、Sybil Electrum服务器和网络观察者,IP地址与比特币地址的相关性存在广泛的问题。大多数这些问题的解决方案是运行一个全节点,这样所有的钱包查询都会在本地发生,并且不能被监视,但是反过来,如果您从全节点广播交易,它会为观察交易通过网络传播的网络观察者造成隐私泄漏问题。谢天谢地,Dandelion技术很快就会进入Bitcoin Core代码库,从而掩盖了广播交易的起源节点。
来源:Giulia Fanti,https://www.youtube.com/watch?V= SRE6KDBGI1O
比特币隐私本身就是一个完整的研究领域;对于那些希望深入研究比特币隐私的人,我建议查看开放式比特币隐私项目( Open Bitcoin Privacy Project)的威胁模型。
侧链和扩容
这是去年圆桌会议上发生的少数几个被反复讨论的话题之一。Paul Sztorc多年来一直致力于他的驱动链(Drivechain)概念,目的是减少我们所提提议所需的(硬分叉或软分叉)协议的更改内容。
分布式共识系统的一个棘手的问题是,它们往往忽略系统外部发生的所有事情;这使得系统对外部威胁更强,但也使得很难更改系统以添加新功能。因此,想要尝试异域的未经证实的想法的人,往往会从头开始构建自己的共识系统,最终在注意力和其他资源方面与比特币竞争。这最终激怒了很多比特币支持者,因为竞争项目的创建者成为了新货币的发行者。
驱动链(Drivechain)将使任何人都能建立起自己的网络,利用比特币矿工的力量,将新资产钉在比特币上。这基本上是一种维护者是矿工而非签名者联盟的比特币侧链方法。动态成员身份多方签名(挖矿)可以说比联合更为健壮,因为签名者可以来来去去,相互竞争。在不需要矿工特别参与的情况下,侧链的最佳形式将被钉住,但据我所知,没有人找到一种切实可行的方法来做到这一协议。(为了防止盗窃,可能需要有能力对侧链到比特币挂钩的SPV证明提出质疑,这将对比特币协议产生重大改变)
一个问题是闪电网络是否应被视为侧链。总的共识是,侧链是一个拥有全局共享状态和共识机制的系统,同时也有某种挂钩机制与另一个拥有独立全局共享状态和共识机制的系统。因此,即使你认为闪电网络与比特币挂钩,它也不能成为侧链。闪电网络没有由共识机制产生的全局共享状态。
还应指出的是,侧链的安全性取决于其受欢迎程度,因为它依赖于管理PEG的团队(矿工或联合会)的协调。但我们看到比特币在应对诸如UASF运动、2013年3月分叉决议和2010年通货膨胀事件等问题时出现了大量协调的例子,因此我们有理由抱有希望。
由于其依赖矿工的安全模型,驱动链(Drivechain)的概念仍然被一些开发者视为有问题的;它依赖用户激活的软分叉来通过矿工的共谋来对抗盗窃。看来,在安全性方面,驱动链(Drivechain)提供了一个中间地带-其不如比特币的基础层那么安全,但其比很多依赖可信第三方的系统要更安全。然而,驱动链(Drivechain)是一种无许可的创新-它们不需要更改比特币协议来构建。它只是需要矿工的支持,开始将所需的交易添加到区块中。自从上一次圆桌会议以来,我们获得了在测试网上运行驱动链(Drivechain)的能力;我敢打赌,我们将在下一次中本聪圆桌会议之前看到生产部署的驱动链。
安全硬件
由于各种原因,这是一个特别具有挑战性的问题。人们普遍认为,不可能构建安全的硬件来抵御具有无限时间和资源的攻击者。但是,合理安全的硬件至少应该为你提供更多的时间,以便在攻击者从被捕获的设备中提取私钥之前,将你的加密资产移动到一组新的私钥。
保护比特币硬件的一个挑战是,比特币ECDSA曲线(secp256k1)没有经FIPS认证的芯片。中本聪对这一曲线的选择是相当神秘的,因为它在10年前根本不受欢迎。与流行的NIST曲线不同,secp256k1的常数是以可预测的方式选择的,这大大降低了曲线创建者插入任何后门的可能性。另一方面,这一曲线并没有看到为其构建安全芯片所投入的相同水平的资源。
我们讨论了大多数硅芯片在物理攻击中的脆弱性-通过剥离芯片的顶层,可以将探针连接到硅上并直接读取数据。然而,安全元件的顶层设计,如果芯片被移除,它将完全摧毁芯片。它们通常也有独立的电源,这样具有物理访问权限的攻击者,就不能简单地在电源管道上放置探针来推断芯片内正在处理的数据。
通过https://saleemrashid.com/2018/11/26/breaking-into-bitbox读取和写入数据以保护芯片存储
安全元素的一个未被重视的方面是,它们通常带有经过认证的随机数生成器-大多数操作系统附带的生成器往往是可疑的。安全元素的缺点是,仍有人必须编写在其上运行的软件,这可能会造成信任问题和单点故障。运行不安全软件的安全硬件毕竟不安全。此外,安全元素通常不能执行复杂的操作,因为它们的计算能力有限-比特币交易的实际构造必须发生在安全元素之外和不太安全的微控制器上。
SaleemRashid在一篇关于Ledger Nano S的文章中讨论了这个设计的一些问题。
使用微控制器(MCU)与输入、输出和安全元件(SE)交互
最终,安全硬件的最大问题之一是它仍然依赖于所遵循的最佳实践-存在大量人为错误空间。正如多重签名不是创造一个完美安全钱包的法宝一样,硬件也不是,它是我们应共同使用的为用户构建强大解决方案的众多工具之一。
助记种子语标准
这一讨论深入到了技术领域,且与钱包开发者密切相关。一般的问题是,比特币钱包衍生受到“标准”问题的困扰,我们有BIP 32、BIP 39、BIP 44、BIP 49、BIP 84……而它们不一定都是相互兼容的。
https://xkcd.com/927/
层次确定性的钱包派生标准有一个特别令人沮丧的地方,那就是它们与地址格式标准不太匹配。由于BIP32没有为给定的派生路径指定地址格式,所以钱包开发人员建议修改扩展公钥的版本字节来实现这一点。随着比特币激活了隔离见证,对地址公钥进行编码的方式越来越多。虽然BIP 49提出了一种编码P2WPKH-nested-in-P2SH地址的方法,但它未能更改HD种子版本字节(保留xpub前缀),导致用户不可持续的混淆。用户必须知道xpub使用BIP 49派生,或者xpub的使用者必须扫描两个地址空间(P2PKH以及P2WPKH-in-P2SH)。从长远来看,这个问题可能会继续恶化,需要越来越复杂的扫描逻辑来寻找支持导入种子短语的钱包。
实际上,我去年遇到了这个问题,它引导我创建了这个xpub版本的字节转换器工具。当你构建支持非比特币加密资产的钱包时,问题就变得更加复杂了,这些资产的密钥都来自于一个主种子。目前,我们最接近的标准是中本聪实验室改进提议132,我们想知道提出一个HD标准是否更有意义,该标准为推导添加了一条路径,并将其从:
m/BIP/CoinType/Account/change/index
更改到
m/BIP/CoinType/Account/AddressType/change/index
我们还同意,如果建立一个安全地分割种子短语的标准,这将是非常有帮助的。保持恢复种子的安全是一个极其复杂的物理安全问题,因此我们在Casa开发了一个钱包,其完全摆脱了管理种子的需要。如果你丢失了一个设备,你可以很容易地在keymaster软件中执行密钥旋转,并且你不必直接处理私钥或种子。
我们怀疑很多正在分裂种子的人正在使用某种形式的Shamir秘密分享,但这有几个问题。首先,各种可用的开源SSS工具甚至不兼容……可能是因为它不容易实现!
2017年,Greg Maxwell在Armory的SSS实现中发现了一个用于碎片备份的漏洞。另外还有一个共识,即如果有一个种子分割方案,它还包括每个种子共享的校验和,这样你就可以在不必重新构建所有共享来查看数据是否损坏的情况下验证其完整性,那么这将是一个很大的改进。如果有人花时间制定一个提案,这似乎是一个相当大的胜利。
证券通证
我参加这一讨论是因为我曾故意不看好证券通证,证券通证仍处于萌芽阶段,其属性没有很好地定义,尽管我们似乎确定了一个一般定义:即它们是由一些政府机构作为证券管理的加密token。其中一项数据是,虽然ICO市场在2018年期间价值下降了约90%,但证券代币市场的价值却飙升了1000%。
为什么证券通证很有趣?我们被告知要从私募市场的角度来看待它们,私募市场每年筹集的资金通常比IPO多10倍。为什么要通证化证券?
你可以编程的“智能合约”功能在全球共识级别上强制执行它们的属性。想想股息、股东投票和锁定期;
原子化成为可能-在没有大量开销的情况下进行更细粒度投资的能力;
由于使用开放的、可审计的账本,监管者很友好;
建立全球可互操作股票市场的潜力;
通过分布式交易所和自动化KYC降低交易对手风险;
证券通证构建肯定比实用通证更具挑战性:
它们必须架起传统市场的桥梁,并获得监管机构的批准;
它们负担不起从头开始,放弃现有的功能;
目前必须对每个token重复AML/KYC/认证;
交易所的流动性低,标准的1年锁定无济于事;
如果基础账本平台上有一个分叉,你会怎么做?
区块链不具有很好的可扩展性,这就产生了压力,使其像传统的非区块链系统一样集中在几个交易所周围;
目前没有任何合格的保管者;
保管者必须如何处理分叉/空投的法律灰色区域。如果保管者有单独的自由裁量权,这是一种ERISA违规行为,这种情况发生的可能性会阻止机构投资;
有可能在代币发行时遵守相关规定,但一旦发生跨境交易(如超过某个国家允许的投资者数量),则会出现违规情况;
有人猜测,购买证券通证的人将来自于今天购买传统证券的参与者,他们甚至可能不会意识到基础管道已经改变为不同的系统。该领域的观察表明,迄今为止,证券通证市场已经有90%的交易是通过法币进行的,但在加密货币市场牛市期间,随着投资者寻求多样化,约80%的交易是通过加密货币进行的。
我仍然不认为它们和无需许可的加密资产一样有趣,但我必须承认,证券通证可改善用于管理受监管股权的传统金融系统。
关于Grin
从2016年底开始,我便对mimblewimble感兴趣了,现在有多个运用 MimbleWimble协议的网络正在运行,我们可以看到它们在竞争环境中的表现如何!
(旁白:我对Grin的兴趣不是投资建议。我不建议人们投资BTC,更不要说投资更具实验性质的竞争币。)
其中一个最大的问题是“为什么投资者对GRIN如此感兴趣?”,有几个猜测性的答案:
寻求类似风险敞口的投资者如果没有获得Beam的股权,可能会觉得grin更讨人喜欢;
考虑到GRIN的发行时间表,近期通胀率高以及它的长期排放计划,其价格可能会长期处于低位。
与其现在买grin,不如先把它卖掉,然后之后再以低价囤积它们;
Grin的优势:
其风气似乎与比特币和密码朋克的风气相当接近;
作为一个竞争币,其发布非常公平;
与比特币相同的脚本语言,但是作为秘密插入签名的“无脚本脚本”;
Grin的区块链是相对于用户数量而非交易量进行扩展的,每个用户大约扩展100字节;
你可以通过给出一个查看密钥来自动解除你的资金匿名性;
Grin的弱点:
Grin的经济模型是平均每秒1个的排放速度,并且永远会持续下去,这会挡住很多人。在足够长的时间内,其通胀率将低于法定货币的平均水平,但大多数人可能没有足够的耐心等待数十年的时间;
当它涉及到通过捐赠模式资助开发人员时,就遇到了所谓的公地悲剧问题。因为投资回报率是可测量的,而投资于开发的资金则不是可测量的,所以大量的资金投入到了挖矿业中。有人猜测,在通过矿业积累了一些价值后,这些基金可能会变得不那么吝啬,并将捐赠一部分开采的grin。Grinmint已选择将一定比例的资金捐赠给Grin开发团队。此外,Obelisk还承诺将其GRIN ASIC收入的一部分捐赠给GRIN开发;
交易签名是交互式的,这会造成复杂性。尤其是冷存储需要额外的步骤,例如,通过二维码将部分签名的交易转移到气隙机器上或从气隙机器上转移。
交互式签名的一个选择是通过连接对方的IP地址来实现,这当然是一个巨大的隐私问题;
交互式签名打开了中间人攻击的可能性-一个安全的通信通道是必要的;
我们还讨论了一般的隐私币,我了解到机构正在接受隐私加密货币,因为没有任何传统资产具有类似于区块链分析工具的东西;它们依赖于标准的AML/KYC流程。区块链分析工具实际上会让企业感到悲伤,因为很多人不明白法律不要求指定特定的UTXO,只是基金的总价值。因此,“受污染”的基金可能会被标记在已发生执法行动(扣押)的下游。
我期待着看到类似技术的发展,也许有一天我们会看到比特币的MW侧链。
比特币价格
哈哈,这是开玩笑的!价格讨论是很少的。最常见的是在主题演讲中讨论了S曲线和采用周期。我们确实听到了一些关于出生率的清晰见解,以及随着人口年龄的增长,出生率的上升或下降会产生连锁反应,从而导致各个领域出现泡沫。例如,男性购买摩托车的高峰期在40多岁左右,而哈雷戴维森(Harley Davidson)的销量(以及股票价格)也在婴儿潮一代人步入中年时达到顶峰。至于比特币,谁知道呢……在场的大多数人似乎都认为,我们还没有看到最后一次比特币泡沫,但不管是1年还是10年,这一切都悬而未决的。
中本聪圆桌会议上看到的唯一泡沫
回到BUIDL
和往常一样,这种不一致是从构建加密生态系统基础设施中获得的教育和娱乐性突破。2020年见!
原文:https://medium.com/@lopp/satoshi-roundtable-v-recap-151dab7548bb
作者:Jameson Lopp
编译:洒脱喜 查看全部
前言:中本聪圆桌会议在比特币社区的地位类似于彼尔德伯格会议,而今年的中本聪圆桌会议属于历史上的第五届,该会议与一般的大型币圈会议不同,其参与者皆是业内最具影响力的开发者、公司创始人等,因此会议话题也较为硬核,而本文的作者Jameson Lopp则是这次会议的参与者之一,他将为读者阐述本次会议上其关注的闪电网络、隐私、侧链、证券通证、Grin等热门话题。
以下为译文:
很高兴再次参加布鲁斯·芬顿(Bruce Fenton)组织的中本聪圆桌会议,我享受每年参加这一活动,因为它有一个轻松的氛围,这里没有大量的人,它提供了很多机会,可以和行业中的人进行坦诚的面对面讨论(通常情况下,这些人都非常忙,因此很难聚到一块交谈)。圆桌会议是非结构化的,因此会有无数非正式的对话,以及几十个更正式的会议。因此,任何人都不可能对今年发生的事情作出全面的总结,我参加了我认为对我来说最有趣的谈话,并试图向大家传达这些讨论的结果。
闪电网络
闪电网络之所以是吸引人的,在于它支持了传统支付网络所无法实现的全新用例。我们已经看到了一些概念证明,比如Satoshi’s Place、Lightning Spin以及比特币墓地(Bitcoin Graveyard)。在利用闪电网络改善用户体验方面,还有很多未经发掘的机会。例如,在一台ATM机上出售比特币的过程相当糟糕,你必须存款,在等待确认后,然后返回以实际获得现金。而有了闪电网络存款,存款和取现的操作就可以立即发生。最近Twitter上的#LNTrustchain是一个有趣的演示!
一些参与者表示怀疑,对于普通人来说,闪电网络很容易在短时间内安全、轻松地使用它。他们指出,虽然让当前的比特币用户使用闪电网络并不太困难,但同时向新人解释比特币和闪电网络可能会是非常困难的。人们似乎普遍认为,如果闪电网络要获得主流的采用,那么需要从用户那里抽象出通道的概念。相反,用户应该只需要知道他们可以发送和接收的最大值是多少。由于目前可用的工具有限,这很难去管理,但是正在进行中的改进,如原子多路径支付、通道拼接、多方通道和流式支付(streaming payments),应使软件开发人员更容易改善引擎盖下的的通道管理。
用户采用的另一大主要挑战,在于寻找流动性来源。尽管我认为最佳的用户体验不应该要求用户去考虑它,但我确实希望,随着更多的交易所和流动性提供商加入闪电网络,我们将看到闪电网络钱包的集成,这会使得你的闪电网络钱包“充值”变得简单,体验类似于为完全的加密货币新手购买预付借记卡,甚至使那些已拥有交易所账户的人的体验更顺畅。
虽然像btcpay这样令人敬畏的开源软件能够让商家管理自己的节点和通道,但仍有可能很多商家会选择像Strike这样的托管支付处理服务。另一方面,即使闪电网络被托管公司采用的速度要比个人快,也有大量的效率提高。在撰写本文时,有相当多的服务拥有很多用户,这些用户定期通过各服务之间的链上交易发送价值,从区块空间使用的角度来看,这是非常低效的。如果这些服务仅在每日/每周的基础上彼此“结算”余额,那么它们可大大减少所需的链上交易量。但是,目前不可能这样做,因为服务A不知道哪些比特币地址属于服务B。如果这些托管服务使用闪电网络,它将自动处理服务之间的冗余链上支付,而不需要知道彼此的身份。
当我在BitGo构建基础设施时,我看到了类似于以下的定期可视化效果,我们自己的客户之间来回进行着成千上万笔交易,他们不知道他们所使用的这个全球账本有多低效。这让人很沮丧,但我们的头脑风暴,在如何解决我们自己的用户(以一种不破坏他们隐私的方式)的问题上还不够。这就是为什么我如此渴望看到闪电网络被采用的原因之一,它无缝地解决了这种巨大的效率低下问题。
主要服务之间资金流动的可视化
目前已知的一些最大的未知数涉及流动性。没有人真正知道什么样的投资回报率对流动性提供者来说是合理的,尽管有一些早期的努力试图量化“闪电网络参考率”。最终,分配给闪电网络通道资本的时间价值将与其他有息资产相比较,尽管公平地说,也许除了Maker DAO之外,没有高度相似的加密资产可本地产生利息。
如果交易费用主要转移到闪电网络,人们对比特币的热力学安全性的可持续性会更关注。在我看来,如果闪电网络允许用户将其链上交易减少X的系数,那么用户愿意支付低于平均比特币x(AVERAGE_BITCOIN_FEE * X)-平均闪电网络费*X(AVERAGE_LIGHTNING_FEE * X)的任何费用是有经济意义的。由于闪电网络支持了全新的用例(在链上是无法实现的),我预计随着用户开放和关闭通道,它将为比特币带来更多的经济活动(和挖矿费用)。闪电网络依赖于链上交易的一个有趣的结果是,一个广泛流行的闪电网络可以为链上交易创造比offload更多的需求,从而大幅增加用户愿意支付的链上费用。我们最终将看到新技术的采用,该技术允许用户通过聚合签名和多方闪电网络通道更有效地使用区块空间;如果很多用户“共享”单笔链上交易,那么很容易看到挖矿费用对于该交易来说可能相对较高,但从每个参与者的角度来看却是较低的。
最后,有一些关于比特币矿工闪电支付用例的讨论。如果哈希工作者们可以通过闪电网络直接获得报酬,那么它可以通过多种方式改变挖矿动态:
支出将不再需要进入保管池钱包;
自动支付不会让区块链充满粉尘UTXO;
哈希矿工可实现实时支付,因为股份提交无需等待区块被发现(这背后可能还有其他的博弈论影响,这将需要略低的支付保险目的);
通过将闪电网络支付与Matt Corallo的Betterhash挖矿协议相结合,它将进一步降低矿池的功率,提高比特币的审查抵抗力;
闪电网络是今年的热门话题,它在2018年取得了如此多的进展,但在我们充分发挥其潜力之前,仍有大量功能和基础设施需要我们去完善。
隐私话题
对于那些正在建设公司的人来说,隐私是一个棘手的问题,因为我们的公司受到国家行动者的干预。我们中的那些人有兴趣学习如何在不成为目标的情况下实现用户隐私。该组织的一些人指出,他们过去常常与很多用户一起运行服务,但在收到政府机构的大量信件后,他们决定不想处理这些麻烦,而是关闭服务从而避免翻车。我们经常在Casa讨论隐私问题,因为我们是一家重服务驱动的公司,所以我们需要与用户保持关系。我们能确定的最安全的方法是,尽可能少地存储有关用户的数据。我们必须假设,在某一时刻,我们可能会被迫交出我们存储的有关用户的所有数据。因此,“不能作恶”是一个比“不要作恶”更强有力的立场,因为它不仅仅是关于我们自己的意图。
加密货币网络隐私性不足造成的最大问题之一是,它损害了可互换性。现在有几家区块链监控公司在跟踪区块链资金并对其进行“污染分析”,并告诉服务部门资金来源“不合法”的可能性有多大。当然,这些都是基于概率的猜测,可能会导致无辜的用户陷入算法的拖网。这些工具显然导致很多比特币用户从各种服务平台中脱离了出来,因为他们被认为是风险客户。
会议上提出的一个特别有趣的观点是,没有人因为区块链分析而被起诉,因为它本身就没有足够的刑事指控证据。更确切地说,这只是调查人员用来更全面了解目标实际拥有多少资金的众多工具之一,这样他们就可确信癫痫发作更成功。。
来自“A Fistful of Bitcoins”论文的区块链分析
根据你所看到的UTXO历史的跳跃次数,你可能会找到一个很好的理由来认为它是“受污染的”,这很像大多数的法定货币都含有微量的可卡因。也许真正的问题来源于比特币的UTXO,如果更多的人混合了他们的UTXO,最终污染分析会为所有的UTXO产生相同的分数,我们将回到一个可互换性的公平竞争环境。但在那之前,先发劣势是那些有隐私意识的用户很可能会被标记为可疑用户。
区块链分析隐私性差的另一个缺点是,它为商业间谍活动打开了比特币业务的大门。很多与定期存款客户的交易和服务仍然没有采用非重用地址的最佳实践,使得对其资金的群集分析变得更容易!此外,对于精通技术的人来说,有可能将小额存款存入竞争对手的服务的地址,然后观看其UTXO的移动,以尝试测量其冷热钱包的价值和容量。
据指出,通过SPV钱包缺陷、Sybil Electrum服务器和网络观察者,IP地址与比特币地址的相关性存在广泛的问题。大多数这些问题的解决方案是运行一个全节点,这样所有的钱包查询都会在本地发生,并且不能被监视,但是反过来,如果您从全节点广播交易,它会为观察交易通过网络传播的网络观察者造成隐私泄漏问题。谢天谢地,Dandelion技术很快就会进入Bitcoin Core代码库,从而掩盖了广播交易的起源节点。
来源:Giulia Fanti,https://www.youtube.com/watch?V= SRE6KDBGI1O
比特币隐私本身就是一个完整的研究领域;对于那些希望深入研究比特币隐私的人,我建议查看开放式比特币隐私项目( Open Bitcoin Privacy Project)的威胁模型。
侧链和扩容
这是去年圆桌会议上发生的少数几个被反复讨论的话题之一。Paul Sztorc多年来一直致力于他的驱动链(Drivechain)概念,目的是减少我们所提提议所需的(硬分叉或软分叉)协议的更改内容。
分布式共识系统的一个棘手的问题是,它们往往忽略系统外部发生的所有事情;这使得系统对外部威胁更强,但也使得很难更改系统以添加新功能。因此,想要尝试异域的未经证实的想法的人,往往会从头开始构建自己的共识系统,最终在注意力和其他资源方面与比特币竞争。这最终激怒了很多比特币支持者,因为竞争项目的创建者成为了新货币的发行者。
驱动链(Drivechain)将使任何人都能建立起自己的网络,利用比特币矿工的力量,将新资产钉在比特币上。这基本上是一种维护者是矿工而非签名者联盟的比特币侧链方法。动态成员身份多方签名(挖矿)可以说比联合更为健壮,因为签名者可以来来去去,相互竞争。在不需要矿工特别参与的情况下,侧链的最佳形式将被钉住,但据我所知,没有人找到一种切实可行的方法来做到这一协议。(为了防止盗窃,可能需要有能力对侧链到比特币挂钩的SPV证明提出质疑,这将对比特币协议产生重大改变)
一个问题是闪电网络是否应被视为侧链。总的共识是,侧链是一个拥有全局共享状态和共识机制的系统,同时也有某种挂钩机制与另一个拥有独立全局共享状态和共识机制的系统。因此,即使你认为闪电网络与比特币挂钩,它也不能成为侧链。闪电网络没有由共识机制产生的全局共享状态。
还应指出的是,侧链的安全性取决于其受欢迎程度,因为它依赖于管理PEG的团队(矿工或联合会)的协调。但我们看到比特币在应对诸如UASF运动、2013年3月分叉决议和2010年通货膨胀事件等问题时出现了大量协调的例子,因此我们有理由抱有希望。
由于其依赖矿工的安全模型,驱动链(Drivechain)的概念仍然被一些开发者视为有问题的;它依赖用户激活的软分叉来通过矿工的共谋来对抗盗窃。看来,在安全性方面,驱动链(Drivechain)提供了一个中间地带-其不如比特币的基础层那么安全,但其比很多依赖可信第三方的系统要更安全。然而,驱动链(Drivechain)是一种无许可的创新-它们不需要更改比特币协议来构建。它只是需要矿工的支持,开始将所需的交易添加到区块中。自从上一次圆桌会议以来,我们获得了在测试网上运行驱动链(Drivechain)的能力;我敢打赌,我们将在下一次中本聪圆桌会议之前看到生产部署的驱动链。
安全硬件
由于各种原因,这是一个特别具有挑战性的问题。人们普遍认为,不可能构建安全的硬件来抵御具有无限时间和资源的攻击者。但是,合理安全的硬件至少应该为你提供更多的时间,以便在攻击者从被捕获的设备中提取私钥之前,将你的加密资产移动到一组新的私钥。
保护比特币硬件的一个挑战是,比特币ECDSA曲线(secp256k1)没有经FIPS认证的芯片。中本聪对这一曲线的选择是相当神秘的,因为它在10年前根本不受欢迎。与流行的NIST曲线不同,secp256k1的常数是以可预测的方式选择的,这大大降低了曲线创建者插入任何后门的可能性。另一方面,这一曲线并没有看到为其构建安全芯片所投入的相同水平的资源。
我们讨论了大多数硅芯片在物理攻击中的脆弱性-通过剥离芯片的顶层,可以将探针连接到硅上并直接读取数据。然而,安全元件的顶层设计,如果芯片被移除,它将完全摧毁芯片。它们通常也有独立的电源,这样具有物理访问权限的攻击者,就不能简单地在电源管道上放置探针来推断芯片内正在处理的数据。
通过https://saleemrashid.com/2018/11/26/breaking-into-bitbox读取和写入数据以保护芯片存储
安全元素的一个未被重视的方面是,它们通常带有经过认证的随机数生成器-大多数操作系统附带的生成器往往是可疑的。安全元素的缺点是,仍有人必须编写在其上运行的软件,这可能会造成信任问题和单点故障。运行不安全软件的安全硬件毕竟不安全。此外,安全元素通常不能执行复杂的操作,因为它们的计算能力有限-比特币交易的实际构造必须发生在安全元素之外和不太安全的微控制器上。
SaleemRashid在一篇关于Ledger Nano S的文章中讨论了这个设计的一些问题。
使用微控制器(MCU)与输入、输出和安全元件(SE)交互
最终,安全硬件的最大问题之一是它仍然依赖于所遵循的最佳实践-存在大量人为错误空间。正如多重签名不是创造一个完美安全钱包的法宝一样,硬件也不是,它是我们应共同使用的为用户构建强大解决方案的众多工具之一。
助记种子语标准
这一讨论深入到了技术领域,且与钱包开发者密切相关。一般的问题是,比特币钱包衍生受到“标准”问题的困扰,我们有BIP 32、BIP 39、BIP 44、BIP 49、BIP 84……而它们不一定都是相互兼容的。
https://xkcd.com/927/
层次确定性的钱包派生标准有一个特别令人沮丧的地方,那就是它们与地址格式标准不太匹配。由于BIP32没有为给定的派生路径指定地址格式,所以钱包开发人员建议修改扩展公钥的版本字节来实现这一点。随着比特币激活了隔离见证,对地址公钥进行编码的方式越来越多。虽然BIP 49提出了一种编码P2WPKH-nested-in-P2SH地址的方法,但它未能更改HD种子版本字节(保留xpub前缀),导致用户不可持续的混淆。用户必须知道xpub使用BIP 49派生,或者xpub的使用者必须扫描两个地址空间(P2PKH以及P2WPKH-in-P2SH)。从长远来看,这个问题可能会继续恶化,需要越来越复杂的扫描逻辑来寻找支持导入种子短语的钱包。
实际上,我去年遇到了这个问题,它引导我创建了这个xpub版本的字节转换器工具。当你构建支持非比特币加密资产的钱包时,问题就变得更加复杂了,这些资产的密钥都来自于一个主种子。目前,我们最接近的标准是中本聪实验室改进提议132,我们想知道提出一个HD标准是否更有意义,该标准为推导添加了一条路径,并将其从:
m/BIP/CoinType/Account/change/index
更改到
m/BIP/CoinType/Account/AddressType/change/index
我们还同意,如果建立一个安全地分割种子短语的标准,这将是非常有帮助的。保持恢复种子的安全是一个极其复杂的物理安全问题,因此我们在Casa开发了一个钱包,其完全摆脱了管理种子的需要。如果你丢失了一个设备,你可以很容易地在keymaster软件中执行密钥旋转,并且你不必直接处理私钥或种子。
我们怀疑很多正在分裂种子的人正在使用某种形式的Shamir秘密分享,但这有几个问题。首先,各种可用的开源SSS工具甚至不兼容……可能是因为它不容易实现!
2017年,Greg Maxwell在Armory的SSS实现中发现了一个用于碎片备份的漏洞。另外还有一个共识,即如果有一个种子分割方案,它还包括每个种子共享的校验和,这样你就可以在不必重新构建所有共享来查看数据是否损坏的情况下验证其完整性,那么这将是一个很大的改进。如果有人花时间制定一个提案,这似乎是一个相当大的胜利。
证券通证
我参加这一讨论是因为我曾故意不看好证券通证,证券通证仍处于萌芽阶段,其属性没有很好地定义,尽管我们似乎确定了一个一般定义:即它们是由一些政府机构作为证券管理的加密token。其中一项数据是,虽然ICO市场在2018年期间价值下降了约90%,但证券代币市场的价值却飙升了1000%。
为什么证券通证很有趣?我们被告知要从私募市场的角度来看待它们,私募市场每年筹集的资金通常比IPO多10倍。为什么要通证化证券?
你可以编程的“智能合约”功能在全球共识级别上强制执行它们的属性。想想股息、股东投票和锁定期;
原子化成为可能-在没有大量开销的情况下进行更细粒度投资的能力;
由于使用开放的、可审计的账本,监管者很友好;
建立全球可互操作股票市场的潜力;
通过分布式交易所和自动化KYC降低交易对手风险;
证券通证构建肯定比实用通证更具挑战性:
它们必须架起传统市场的桥梁,并获得监管机构的批准;
它们负担不起从头开始,放弃现有的功能;
目前必须对每个token重复AML/KYC/认证;
交易所的流动性低,标准的1年锁定无济于事;
如果基础账本平台上有一个分叉,你会怎么做?
区块链不具有很好的可扩展性,这就产生了压力,使其像传统的非区块链系统一样集中在几个交易所周围;
目前没有任何合格的保管者;
保管者必须如何处理分叉/空投的法律灰色区域。如果保管者有单独的自由裁量权,这是一种ERISA违规行为,这种情况发生的可能性会阻止机构投资;
有可能在代币发行时遵守相关规定,但一旦发生跨境交易(如超过某个国家允许的投资者数量),则会出现违规情况;
有人猜测,购买证券通证的人将来自于今天购买传统证券的参与者,他们甚至可能不会意识到基础管道已经改变为不同的系统。该领域的观察表明,迄今为止,证券通证市场已经有90%的交易是通过法币进行的,但在加密货币市场牛市期间,随着投资者寻求多样化,约80%的交易是通过加密货币进行的。
我仍然不认为它们和无需许可的加密资产一样有趣,但我必须承认,证券通证可改善用于管理受监管股权的传统金融系统。
关于Grin
从2016年底开始,我便对mimblewimble感兴趣了,现在有多个运用 MimbleWimble协议的网络正在运行,我们可以看到它们在竞争环境中的表现如何!
(旁白:我对Grin的兴趣不是投资建议。我不建议人们投资BTC,更不要说投资更具实验性质的竞争币。)
其中一个最大的问题是“为什么投资者对GRIN如此感兴趣?”,有几个猜测性的答案:
寻求类似风险敞口的投资者如果没有获得Beam的股权,可能会觉得grin更讨人喜欢;
考虑到GRIN的发行时间表,近期通胀率高以及它的长期排放计划,其价格可能会长期处于低位。
与其现在买grin,不如先把它卖掉,然后之后再以低价囤积它们;
Grin的优势:
其风气似乎与比特币和密码朋克的风气相当接近;
作为一个竞争币,其发布非常公平;
与比特币相同的脚本语言,但是作为秘密插入签名的“无脚本脚本”;
Grin的区块链是相对于用户数量而非交易量进行扩展的,每个用户大约扩展100字节;
你可以通过给出一个查看密钥来自动解除你的资金匿名性;
Grin的弱点:
Grin的经济模型是平均每秒1个的排放速度,并且永远会持续下去,这会挡住很多人。在足够长的时间内,其通胀率将低于法定货币的平均水平,但大多数人可能没有足够的耐心等待数十年的时间;
当它涉及到通过捐赠模式资助开发人员时,就遇到了所谓的公地悲剧问题。因为投资回报率是可测量的,而投资于开发的资金则不是可测量的,所以大量的资金投入到了挖矿业中。有人猜测,在通过矿业积累了一些价值后,这些基金可能会变得不那么吝啬,并将捐赠一部分开采的grin。Grinmint已选择将一定比例的资金捐赠给Grin开发团队。此外,Obelisk还承诺将其GRIN ASIC收入的一部分捐赠给GRIN开发;
交易签名是交互式的,这会造成复杂性。尤其是冷存储需要额外的步骤,例如,通过二维码将部分签名的交易转移到气隙机器上或从气隙机器上转移。
交互式签名的一个选择是通过连接对方的IP地址来实现,这当然是一个巨大的隐私问题;
交互式签名打开了中间人攻击的可能性-一个安全的通信通道是必要的;
我们还讨论了一般的隐私币,我了解到机构正在接受隐私加密货币,因为没有任何传统资产具有类似于区块链分析工具的东西;它们依赖于标准的AML/KYC流程。区块链分析工具实际上会让企业感到悲伤,因为很多人不明白法律不要求指定特定的UTXO,只是基金的总价值。因此,“受污染”的基金可能会被标记在已发生执法行动(扣押)的下游。
我期待着看到类似技术的发展,也许有一天我们会看到比特币的MW侧链。
比特币价格
哈哈,这是开玩笑的!价格讨论是很少的。最常见的是在主题演讲中讨论了S曲线和采用周期。我们确实听到了一些关于出生率的清晰见解,以及随着人口年龄的增长,出生率的上升或下降会产生连锁反应,从而导致各个领域出现泡沫。例如,男性购买摩托车的高峰期在40多岁左右,而哈雷戴维森(Harley Davidson)的销量(以及股票价格)也在婴儿潮一代人步入中年时达到顶峰。至于比特币,谁知道呢……在场的大多数人似乎都认为,我们还没有看到最后一次比特币泡沫,但不管是1年还是10年,这一切都悬而未决的。
中本聪圆桌会议上看到的唯一泡沫
回到BUIDL
和往常一样,这种不一致是从构建加密生态系统基础设施中获得的教育和娱乐性突破。2020年见!
原文:https://medium.com/@lopp/satoshi-roundtable-v-recap-151dab7548bb
作者:Jameson Lopp
编译:洒脱喜
康奈尔大学教授:MimbleWimble并未解决实际问题,反而创造了新的问题
观点 • 8btc 发表了文章 • 2019-02-03 10:29
区块链伴随着比特币步入了第一个十年。在这十年间,比特币收获了一众忠粉,区块链也越来越被大众所青睐,但这项技术在普及的道路上依然面临着一些阻碍。
康奈尔大学教授Emin Gün Sirer认为,区块链的延展性问题是比特币发展道路上的重大挑战。技术出身的Sirer活跃于加密货币社区,对区块链扩容有着深入的研究。为了将自己的研究投入应用,他创立了区块链扩容基础设施bloXroute Labs。
该公司的扩容方案bloXroute是0层解决方案,其作用和互联网内容分发网络类似。他认为延展性问题要在共识层解决,而共识面临的瓶颈则在于0层。
在接受巴比特采访时,Sirer除了谈到对区块链扩容的看法以及康奈尔大学在区块链方面的布局之外,还对社区热点进行了分析。针对前段时间ETC网络的51%攻击事件,Sier透露,主要的问题在于该网络算力与币种价格的不对称,算力租赁市场的繁荣也是造成ETC遭受攻击的原因之一。另外,对于近期大火的Grin,Sier似乎并不看好。他认为MimbleWimble只是密码学上的数字游戏,并没有解决任何实际问题,反而带来了更多新的问题。
作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
以下是本次采访全文(有删减):
8btc:能否简单介绍一下bloXroute?
Emin Gün Sirer:BloXroute是0层(layer zero)解决方案,旨在提供用于区块链扩容的基础设施。bloXroute的目标是成为像阿卡迈(Akamai)一样的公司。在互联网诞生早期,其运转速度非常慢,常常会出现拥堵的状况,阿卡迈就为内容创造者提供了更好的基础设施。同样的,bloXroute也能为加密货币和区块链运作基础设施。bloXroute与阿卡迈的唯一区别在于,bloXroute不需要用户信任这家公司——即便是中心化的服务设施,也可以做到去信任化,这就意味着用户可以完全信任这一服务能够正常运行,不会存在违法行为。
8btc:能具体讲讲0层是什么吗?
Emin Gün Sirer:0层是经常会被遗忘的网络层。延展性问题需要在共识层解决,而共识的真正瓶颈在于0层。
8btc:bloXroute目前是否已经接入具体的区块链网络?
Emin Gün Sirer:bloXroute支持比特币和比特币现金(BCH)网络已经有两年的时间了,目前我们正在准备接入以太坊网络。
8btc:bloXroute的进展如何?
Emin Gün Sirer:和大多数同类公司相比,我们领先一步:我们的核心产品已经开发完成并且开始运作。bloXroute的基础设施在两个独立的网络中推动区块和交易已经有两年的时间了。建立在核心产品周围的商业基础设施和代币都是全新的概念,我们为这项核心技术的商业化所创造出的创新业务模式感到激动。
8btc:您认为解决比特币延展性问题的关键是什么?
Emin Gün Sirer:延展性问题并非比特币独有:现阶段所有区块链以及coinmarketcap上列出的所有币种都在以极低的速度运行。在这个时代,小型的嵌入式计算机每秒能够支持10万笔交易,物联网需要每秒1亿次的交易,而相比之下,比特币每秒只能处理3笔交易,以太坊只有15笔。而交易处理性能更高的系统可能会在去中心化方面做出牺牲。现有系统的瓶颈都在于网络层:不可能通过修改参数就能提高其吞吐量,这只会迫使矿工建立更紧密的联系,进行合作运行,导致加密货币的中心化。bloXroute就能解决这方面的问题。
8btc:延展性真的是阻碍比特币发展的关键吗?
Emin Gün Sirer:当然。如果委内瑞拉现在开始全民使用比特币,那么每一位成年人每36天只能完成一笔交易。这就告诉了我们,加密货币爱好者普及这一技术的梦想距离其真正能够实现的目标还有很远。我们需要缩小这样的差距,使其满足人们对这项技术的期待。
8btc:康奈尔大学在区块链方面有哪些布局?
Emin Gün Sirer:康奈尔大学的研究者在区块链技术方面的创新由来已久。尤其是我的团队在2002或2003年创造了一个PoW区块链,比中本聪公布比特币早了5到6年。我们还发现了中本聪共识存在的根本缺陷,也是第一个正确描述比特币安全限制的团队。我们打造出了速度最快的链下扩容方案Teechain。我们创造并运作的比特币和BCH中继网络Falcon已经正常运行两年的时间。
8btc:您认为PoW币种可以从ETC的51%攻击当中学到什么?您是否认为PoS是更好的选择?
Emin Gün Sirer:ETC遭受的51%攻击源于该币种算力与价格的不对称:用较低的算力保护较高价值的加密货币就相当于邀请黑客去租借算力。其他PoW币种应该意识到这两点:第一,提供大量算力的租赁市场;第二,算力高低与币种价值的联系。如果不存在超额算力,只有一种主流的币种并且所有算力都部署在这里,就没有什么好担心的了。如果存在较高算力,那也没什么好担心的,这就代表着攻击成本也很高。
然而,现阶段存在很多不同的币种,很多矿工都在蠢蠢欲动,计划发动51%攻击。因此,由于租借算力业务的存在,很多PoW币种就容易遭到51%攻击。相比之下,针对此类攻击,PoS能够起到更好的保护作用,但现有的PoS共识机制比较脆弱——容易遭到其他类型的攻击。
8btc:您对Grin和Beam这两种基于MimbleWimble的匿名币怎么看?
Emin Gün Sirer:MimbleWimble其实是一种数字把戏。密码学领域存在很多同类的把戏——有些甚至更加复杂,MimbleWimble其实并没有那么重要。其对UTXO集大小进行了特殊的优化,而UTXO集大小并非加密货币面临最重大且最紧迫的问题。
MimbleWimble提供的匿名性也并未做到最好——用户的行为在网络层依然是可见的。更糟糕的是,这类协议的运作方式带来了两个问题:收款方接收交易必须要保持在线状态,如果收款方在收到资金之后并未选择入账,那么区块链上也不会有任何可用的证据用于解决纠纷。最后,Grin和Beam使用了传统区块链,这就意味着无论他们把UTXO集大小优化到什么程度都不会有太大意义。
因此,总的来说我认为MimbleWimble协议只不过满足了些许求知欲,但在没有解决问题的同时还带来了很多新的问题。作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
8btc:新的一年,您想对比特币和区块链社区说什么?
Emin Gün Sirer:我们依然处于这一领域发展的早期阶段。所谓的‘区块链寒冬’对于任何伟大的事物来说都不罕见。专注你们的梦想,让区块链成为人与人之间不可或缺的支付机制,成为机器之间的交流方式。忽视激进主义:现有的区块链当中,没有一个能够帮助我们实现这个梦想,就像早期的计算机网络协议无法创造出今天的互联网一样。要支持能够解决最迫切问题的全新且稳定的技术。
作者:Wendy 查看全部
康奈尔大学教授Emin Gün Sirer认为,区块链的延展性问题是比特币发展道路上的重大挑战。技术出身的Sirer活跃于加密货币社区,对区块链扩容有着深入的研究。为了将自己的研究投入应用,他创立了区块链扩容基础设施bloXroute Labs。
该公司的扩容方案bloXroute是0层解决方案,其作用和互联网内容分发网络类似。他认为延展性问题要在共识层解决,而共识面临的瓶颈则在于0层。
在接受巴比特采访时,Sirer除了谈到对区块链扩容的看法以及康奈尔大学在区块链方面的布局之外,还对社区热点进行了分析。针对前段时间ETC网络的51%攻击事件,Sier透露,主要的问题在于该网络算力与币种价格的不对称,算力租赁市场的繁荣也是造成ETC遭受攻击的原因之一。另外,对于近期大火的Grin,Sier似乎并不看好。他认为MimbleWimble只是密码学上的数字游戏,并没有解决任何实际问题,反而带来了更多新的问题。
作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
以下是本次采访全文(有删减):
8btc:能否简单介绍一下bloXroute?
Emin Gün Sirer:BloXroute是0层(layer zero)解决方案,旨在提供用于区块链扩容的基础设施。bloXroute的目标是成为像阿卡迈(Akamai)一样的公司。在互联网诞生早期,其运转速度非常慢,常常会出现拥堵的状况,阿卡迈就为内容创造者提供了更好的基础设施。同样的,bloXroute也能为加密货币和区块链运作基础设施。bloXroute与阿卡迈的唯一区别在于,bloXroute不需要用户信任这家公司——即便是中心化的服务设施,也可以做到去信任化,这就意味着用户可以完全信任这一服务能够正常运行,不会存在违法行为。
8btc:能具体讲讲0层是什么吗?
Emin Gün Sirer:0层是经常会被遗忘的网络层。延展性问题需要在共识层解决,而共识的真正瓶颈在于0层。
8btc:bloXroute目前是否已经接入具体的区块链网络?
Emin Gün Sirer:bloXroute支持比特币和比特币现金(BCH)网络已经有两年的时间了,目前我们正在准备接入以太坊网络。
8btc:bloXroute的进展如何?
Emin Gün Sirer:和大多数同类公司相比,我们领先一步:我们的核心产品已经开发完成并且开始运作。bloXroute的基础设施在两个独立的网络中推动区块和交易已经有两年的时间了。建立在核心产品周围的商业基础设施和代币都是全新的概念,我们为这项核心技术的商业化所创造出的创新业务模式感到激动。
8btc:您认为解决比特币延展性问题的关键是什么?
Emin Gün Sirer:延展性问题并非比特币独有:现阶段所有区块链以及coinmarketcap上列出的所有币种都在以极低的速度运行。在这个时代,小型的嵌入式计算机每秒能够支持10万笔交易,物联网需要每秒1亿次的交易,而相比之下,比特币每秒只能处理3笔交易,以太坊只有15笔。而交易处理性能更高的系统可能会在去中心化方面做出牺牲。现有系统的瓶颈都在于网络层:不可能通过修改参数就能提高其吞吐量,这只会迫使矿工建立更紧密的联系,进行合作运行,导致加密货币的中心化。bloXroute就能解决这方面的问题。
8btc:延展性真的是阻碍比特币发展的关键吗?
Emin Gün Sirer:当然。如果委内瑞拉现在开始全民使用比特币,那么每一位成年人每36天只能完成一笔交易。这就告诉了我们,加密货币爱好者普及这一技术的梦想距离其真正能够实现的目标还有很远。我们需要缩小这样的差距,使其满足人们对这项技术的期待。
8btc:康奈尔大学在区块链方面有哪些布局?
Emin Gün Sirer:康奈尔大学的研究者在区块链技术方面的创新由来已久。尤其是我的团队在2002或2003年创造了一个PoW区块链,比中本聪公布比特币早了5到6年。我们还发现了中本聪共识存在的根本缺陷,也是第一个正确描述比特币安全限制的团队。我们打造出了速度最快的链下扩容方案Teechain。我们创造并运作的比特币和BCH中继网络Falcon已经正常运行两年的时间。
8btc:您认为PoW币种可以从ETC的51%攻击当中学到什么?您是否认为PoS是更好的选择?
Emin Gün Sirer:ETC遭受的51%攻击源于该币种算力与价格的不对称:用较低的算力保护较高价值的加密货币就相当于邀请黑客去租借算力。其他PoW币种应该意识到这两点:第一,提供大量算力的租赁市场;第二,算力高低与币种价值的联系。如果不存在超额算力,只有一种主流的币种并且所有算力都部署在这里,就没有什么好担心的了。如果存在较高算力,那也没什么好担心的,这就代表着攻击成本也很高。
然而,现阶段存在很多不同的币种,很多矿工都在蠢蠢欲动,计划发动51%攻击。因此,由于租借算力业务的存在,很多PoW币种就容易遭到51%攻击。相比之下,针对此类攻击,PoS能够起到更好的保护作用,但现有的PoS共识机制比较脆弱——容易遭到其他类型的攻击。
8btc:您对Grin和Beam这两种基于MimbleWimble的匿名币怎么看?
Emin Gün Sirer:MimbleWimble其实是一种数字把戏。密码学领域存在很多同类的把戏——有些甚至更加复杂,MimbleWimble其实并没有那么重要。其对UTXO集大小进行了特殊的优化,而UTXO集大小并非加密货币面临最重大且最紧迫的问题。
MimbleWimble提供的匿名性也并未做到最好——用户的行为在网络层依然是可见的。更糟糕的是,这类协议的运作方式带来了两个问题:收款方接收交易必须要保持在线状态,如果收款方在收到资金之后并未选择入账,那么区块链上也不会有任何可用的证据用于解决纠纷。最后,Grin和Beam使用了传统区块链,这就意味着无论他们把UTXO集大小优化到什么程度都不会有太大意义。
因此,总的来说我认为MimbleWimble协议只不过满足了些许求知欲,但在没有解决问题的同时还带来了很多新的问题。作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
8btc:新的一年,您想对比特币和区块链社区说什么?
Emin Gün Sirer:我们依然处于这一领域发展的早期阶段。所谓的‘区块链寒冬’对于任何伟大的事物来说都不罕见。专注你们的梦想,让区块链成为人与人之间不可或缺的支付机制,成为机器之间的交流方式。忽视激进主义:现有的区块链当中,没有一个能够帮助我们实现这个梦想,就像早期的计算机网络协议无法创造出今天的互联网一样。要支持能够解决最迫切问题的全新且稳定的技术。
作者:Wendy 查看全部
区块链伴随着比特币步入了第一个十年。在这十年间,比特币收获了一众忠粉,区块链也越来越被大众所青睐,但这项技术在普及的道路上依然面临着一些阻碍。
康奈尔大学教授Emin Gün Sirer认为,区块链的延展性问题是比特币发展道路上的重大挑战。技术出身的Sirer活跃于加密货币社区,对区块链扩容有着深入的研究。为了将自己的研究投入应用,他创立了区块链扩容基础设施bloXroute Labs。
该公司的扩容方案bloXroute是0层解决方案,其作用和互联网内容分发网络类似。他认为延展性问题要在共识层解决,而共识面临的瓶颈则在于0层。
在接受巴比特采访时,Sirer除了谈到对区块链扩容的看法以及康奈尔大学在区块链方面的布局之外,还对社区热点进行了分析。针对前段时间ETC网络的51%攻击事件,Sier透露,主要的问题在于该网络算力与币种价格的不对称,算力租赁市场的繁荣也是造成ETC遭受攻击的原因之一。另外,对于近期大火的Grin,Sier似乎并不看好。他认为MimbleWimble只是密码学上的数字游戏,并没有解决任何实际问题,反而带来了更多新的问题。
作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
以下是本次采访全文(有删减):
8btc:能否简单介绍一下bloXroute?
Emin Gün Sirer:BloXroute是0层(layer zero)解决方案,旨在提供用于区块链扩容的基础设施。bloXroute的目标是成为像阿卡迈(Akamai)一样的公司。在互联网诞生早期,其运转速度非常慢,常常会出现拥堵的状况,阿卡迈就为内容创造者提供了更好的基础设施。同样的,bloXroute也能为加密货币和区块链运作基础设施。bloXroute与阿卡迈的唯一区别在于,bloXroute不需要用户信任这家公司——即便是中心化的服务设施,也可以做到去信任化,这就意味着用户可以完全信任这一服务能够正常运行,不会存在违法行为。
8btc:能具体讲讲0层是什么吗?
Emin Gün Sirer:0层是经常会被遗忘的网络层。延展性问题需要在共识层解决,而共识的真正瓶颈在于0层。
8btc:bloXroute目前是否已经接入具体的区块链网络?
Emin Gün Sirer:bloXroute支持比特币和比特币现金(BCH)网络已经有两年的时间了,目前我们正在准备接入以太坊网络。
8btc:bloXroute的进展如何?
Emin Gün Sirer:和大多数同类公司相比,我们领先一步:我们的核心产品已经开发完成并且开始运作。bloXroute的基础设施在两个独立的网络中推动区块和交易已经有两年的时间了。建立在核心产品周围的商业基础设施和代币都是全新的概念,我们为这项核心技术的商业化所创造出的创新业务模式感到激动。
8btc:您认为解决比特币延展性问题的关键是什么?
Emin Gün Sirer:延展性问题并非比特币独有:现阶段所有区块链以及coinmarketcap上列出的所有币种都在以极低的速度运行。在这个时代,小型的嵌入式计算机每秒能够支持10万笔交易,物联网需要每秒1亿次的交易,而相比之下,比特币每秒只能处理3笔交易,以太坊只有15笔。而交易处理性能更高的系统可能会在去中心化方面做出牺牲。现有系统的瓶颈都在于网络层:不可能通过修改参数就能提高其吞吐量,这只会迫使矿工建立更紧密的联系,进行合作运行,导致加密货币的中心化。bloXroute就能解决这方面的问题。
8btc:延展性真的是阻碍比特币发展的关键吗?
Emin Gün Sirer:当然。如果委内瑞拉现在开始全民使用比特币,那么每一位成年人每36天只能完成一笔交易。这就告诉了我们,加密货币爱好者普及这一技术的梦想距离其真正能够实现的目标还有很远。我们需要缩小这样的差距,使其满足人们对这项技术的期待。
8btc:康奈尔大学在区块链方面有哪些布局?
Emin Gün Sirer:康奈尔大学的研究者在区块链技术方面的创新由来已久。尤其是我的团队在2002或2003年创造了一个PoW区块链,比中本聪公布比特币早了5到6年。我们还发现了中本聪共识存在的根本缺陷,也是第一个正确描述比特币安全限制的团队。我们打造出了速度最快的链下扩容方案Teechain。我们创造并运作的比特币和BCH中继网络Falcon已经正常运行两年的时间。
8btc:您认为PoW币种可以从ETC的51%攻击当中学到什么?您是否认为PoS是更好的选择?
Emin Gün Sirer:ETC遭受的51%攻击源于该币种算力与价格的不对称:用较低的算力保护较高价值的加密货币就相当于邀请黑客去租借算力。其他PoW币种应该意识到这两点:第一,提供大量算力的租赁市场;第二,算力高低与币种价值的联系。如果不存在超额算力,只有一种主流的币种并且所有算力都部署在这里,就没有什么好担心的了。如果存在较高算力,那也没什么好担心的,这就代表着攻击成本也很高。
然而,现阶段存在很多不同的币种,很多矿工都在蠢蠢欲动,计划发动51%攻击。因此,由于租借算力业务的存在,很多PoW币种就容易遭到51%攻击。相比之下,针对此类攻击,PoS能够起到更好的保护作用,但现有的PoS共识机制比较脆弱——容易遭到其他类型的攻击。
8btc:您对Grin和Beam这两种基于MimbleWimble的匿名币怎么看?
Emin Gün Sirer:MimbleWimble其实是一种数字把戏。密码学领域存在很多同类的把戏——有些甚至更加复杂,MimbleWimble其实并没有那么重要。其对UTXO集大小进行了特殊的优化,而UTXO集大小并非加密货币面临最重大且最紧迫的问题。
MimbleWimble提供的匿名性也并未做到最好——用户的行为在网络层依然是可见的。更糟糕的是,这类协议的运作方式带来了两个问题:收款方接收交易必须要保持在线状态,如果收款方在收到资金之后并未选择入账,那么区块链上也不会有任何可用的证据用于解决纠纷。最后,Grin和Beam使用了传统区块链,这就意味着无论他们把UTXO集大小优化到什么程度都不会有太大意义。
因此,总的来说我认为MimbleWimble协议只不过满足了些许求知欲,但在没有解决问题的同时还带来了很多新的问题。作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
8btc:新的一年,您想对比特币和区块链社区说什么?
Emin Gün Sirer:我们依然处于这一领域发展的早期阶段。所谓的‘区块链寒冬’对于任何伟大的事物来说都不罕见。专注你们的梦想,让区块链成为人与人之间不可或缺的支付机制,成为机器之间的交流方式。忽视激进主义:现有的区块链当中,没有一个能够帮助我们实现这个梦想,就像早期的计算机网络协议无法创造出今天的互联网一样。要支持能够解决最迫切问题的全新且稳定的技术。
作者:Wendy
Zcash创始人:Grin和Beam无法与我们竞争
项目 • 8btc 发表了文章 • 2019-02-01 16:27
Zcash是最早推出的隐私币之一,其吸引了大量的加密货币新用户。Zcash公司的CEO以及该项协议的核心开发者Zooko Wilcox近期表示,Grin和Beam的出现让他感到很高兴,但他并不认为这两种币可以和Zcash相提并论或者说并不是Zcash的竞争对手。
它们(Grin和Beam)比较脆弱,而且基础上存在局限。我认为它们的底层技术不够强大。
这可能源于Wilcox本人对Mimblewimble协议存在疑惑。他曾在推特上发问:
用户的私人数据会给谁看?是矿工吗?这一点我不能理解。
Grin和Beam这两种全新的隐私币自推出以来吸引了很多人的注意。Wilcox对两者做出的贡献表示肯定:
我很喜欢他们的社区还有创始人。开发者很友好……我们需要更多的隐私币。
但Wilcox并不认为Zcash是隐私币。
我不认为Zcash是隐私币,它是通用的互联网货币。
就像是用于加密浏览器链接的SSL(加密通讯协定)网页安全协议一样,“人人都会使用它。” Wilcox甚至认为最终能够取代比特币的币种就是Zcash,可能还需要30年的时间。
Zcash是唯一一种在隐私上有所创新,并且在主流加密社区得到普及和支持的币种。
比特币和以太坊都存在信息泄露的问题。比特币无法用于主流商业活动……如果没有隐私就不够安全。
Zcash在去年得到了纽约金融服务署的许可。Wilcox表示,去年的关注点在于合规,今年,他们将专注于网络发展。
Wilcox透露,今年的计划主要分为三个部分:
挖矿升级——Wilcox说,他们原先考虑从PoW切换到PoS,但他们认为这两种共识协议都存在缺陷,希望能够找出一个“混合方案”。目前他们暂未作出最终决定,但他们绝对会在今年对挖矿生态做出一些改变。
创始人奖励——Zcash奖励机制每年都会释放资金给利益相关者以确保其正常的开发工作。前四年,区块奖励的20%都会发给创始人、投资者、顾问以及Zcash基金会。目前他们正在讨论成立一个新的开发者基金以鼓励开发活动。
技术进展和研究——Zcash的首要目标就是大范围部署加密地址并且通过升级来改善Zcash网络的性能。Wilcox说除此之外他们还需要着眼于长远目标,利用他所说的“业内最优秀团队”来实现Zcash的进一步发展。
原文:https://www.theblockcrypto.com/2019/01/30/zcash-ceo-i-dont-see-grin-and-beam-as-competition/
作者:Isabel Woodford
编译:Wendy 查看全部
它们(Grin和Beam)比较脆弱,而且基础上存在局限。我认为它们的底层技术不够强大。
这可能源于Wilcox本人对Mimblewimble协议存在疑惑。他曾在推特上发问:
用户的私人数据会给谁看?是矿工吗?这一点我不能理解。
Grin和Beam这两种全新的隐私币自推出以来吸引了很多人的注意。Wilcox对两者做出的贡献表示肯定:
我很喜欢他们的社区还有创始人。开发者很友好……我们需要更多的隐私币。
但Wilcox并不认为Zcash是隐私币。
我不认为Zcash是隐私币,它是通用的互联网货币。
就像是用于加密浏览器链接的SSL(加密通讯协定)网页安全协议一样,“人人都会使用它。” Wilcox甚至认为最终能够取代比特币的币种就是Zcash,可能还需要30年的时间。
Zcash是唯一一种在隐私上有所创新,并且在主流加密社区得到普及和支持的币种。
比特币和以太坊都存在信息泄露的问题。比特币无法用于主流商业活动……如果没有隐私就不够安全。
Zcash在去年得到了纽约金融服务署的许可。Wilcox表示,去年的关注点在于合规,今年,他们将专注于网络发展。
Wilcox透露,今年的计划主要分为三个部分:
挖矿升级——Wilcox说,他们原先考虑从PoW切换到PoS,但他们认为这两种共识协议都存在缺陷,希望能够找出一个“混合方案”。目前他们暂未作出最终决定,但他们绝对会在今年对挖矿生态做出一些改变。
创始人奖励——Zcash奖励机制每年都会释放资金给利益相关者以确保其正常的开发工作。前四年,区块奖励的20%都会发给创始人、投资者、顾问以及Zcash基金会。目前他们正在讨论成立一个新的开发者基金以鼓励开发活动。
技术进展和研究——Zcash的首要目标就是大范围部署加密地址并且通过升级来改善Zcash网络的性能。Wilcox说除此之外他们还需要着眼于长远目标,利用他所说的“业内最优秀团队”来实现Zcash的进一步发展。
原文:https://www.theblockcrypto.com/2019/01/30/zcash-ceo-i-dont-see-grin-and-beam-as-competition/
作者:Isabel Woodford
编译:Wendy 查看全部
Zcash是最早推出的隐私币之一,其吸引了大量的加密货币新用户。Zcash公司的CEO以及该项协议的核心开发者Zooko Wilcox近期表示,Grin和Beam的出现让他感到很高兴,但他并不认为这两种币可以和Zcash相提并论或者说并不是Zcash的竞争对手。
它们(Grin和Beam)比较脆弱,而且基础上存在局限。我认为它们的底层技术不够强大。
这可能源于Wilcox本人对Mimblewimble协议存在疑惑。他曾在推特上发问:
用户的私人数据会给谁看?是矿工吗?这一点我不能理解。
Grin和Beam这两种全新的隐私币自推出以来吸引了很多人的注意。Wilcox对两者做出的贡献表示肯定:
我很喜欢他们的社区还有创始人。开发者很友好……我们需要更多的隐私币。
但Wilcox并不认为Zcash是隐私币。
我不认为Zcash是隐私币,它是通用的互联网货币。
就像是用于加密浏览器链接的SSL(加密通讯协定)网页安全协议一样,“人人都会使用它。” Wilcox甚至认为最终能够取代比特币的币种就是Zcash,可能还需要30年的时间。
Zcash是唯一一种在隐私上有所创新,并且在主流加密社区得到普及和支持的币种。
比特币和以太坊都存在信息泄露的问题。比特币无法用于主流商业活动……如果没有隐私就不够安全。
Zcash在去年得到了纽约金融服务署的许可。Wilcox表示,去年的关注点在于合规,今年,他们将专注于网络发展。
Wilcox透露,今年的计划主要分为三个部分:
挖矿升级——Wilcox说,他们原先考虑从PoW切换到PoS,但他们认为这两种共识协议都存在缺陷,希望能够找出一个“混合方案”。目前他们暂未作出最终决定,但他们绝对会在今年对挖矿生态做出一些改变。
创始人奖励——Zcash奖励机制每年都会释放资金给利益相关者以确保其正常的开发工作。前四年,区块奖励的20%都会发给创始人、投资者、顾问以及Zcash基金会。目前他们正在讨论成立一个新的开发者基金以鼓励开发活动。
技术进展和研究——Zcash的首要目标就是大范围部署加密地址并且通过升级来改善Zcash网络的性能。Wilcox说除此之外他们还需要着眼于长远目标,利用他所说的“业内最优秀团队”来实现Zcash的进一步发展。
原文:https://www.theblockcrypto.com/2019/01/30/zcash-ceo-i-dont-see-grin-and-beam-as-competition/
作者:Isabel Woodford
编译:Wendy
Monero,Zcash和Grin谁才是匿名币之王?
攻略 • hellobtc 发表了文章 • 2019-06-25 17:31
自比特币 2009 年上线以来,其去中心化,抗通胀,低门槛等特性逐渐被大众所认可。但是,随着当今社会对个人隐私越发的重视,比特币其账本 100% 公开透明的特点也遭受诟病,一定程度上阻碍了比特币作为支付手段(灰色地带)的发展。
为了保护用户的隐私,基于各种技术的匿名币应运而生。存在即合理,匿名币注定会在区块链蓝图里占据重要一席。 今天,要和大家讨论的是匿名技术中三位典型的代表:门罗币(Monero),大零币(Zcash)和古灵币(Grin)。究竟谁才是匿名之王?
一、前世与今生
门罗币(Monero)于2014年4月18日主网上线。其代码从匿名币 ByteCoin 分叉而来。为什么会分叉?因为 ByteCoin 不够透明,80% 的代币被预挖,掌握在少数人手里,这也是为什么币安下架这个代币的原因之一。同时 ByteCoin 的代码质量极差引起了社区完美主义者的极度不满。
Monero 一词在世界语中代表着“货币“,该命名由社区投票选出,表达了社区希望 Monero 成为全世界通用匿名货币的初衷。Monero 采用 PoW 共识算法,到2022年5月,预计将开采出 1822.3 万枚代币(目前流通量为 1700 万枚),之后将保持每分钟发行 0.3XMR 的速度来继续激励矿工维护网络的安全。在还没有太多匿名币竞争者的蛮荒时代(2014年-2016年),Monero 在黑市越来越流行,从最初的 500 万美金市值,一路攀升到现在的 15 亿美金,涨幅高达 300 倍。
大零币(Zcash) 于2016年10月28日主网上线。其前身为 Zerocash 零协议,该协议于 2014 年创立,并由霍普金斯,麻省理工等大学实验室维护。零协议着重解决数字货币隐私的问题。Zcash 是第一个基于零协议,实现了零知识认证(Zero Knowledge Proof)的匿名币。 Zcash 由比特币代码分叉而来,因此 Zcash 许多特性和比特币相似,例如:Zcash 总量为 2100 万个,每四年减产一次等等(目前流通量为 680 万枚)。
Zcash 这个项目由一家名为 Electric Coin 的美国公司维护。在 Zcash 被开采的前四年,10%(流通量) 挖出来的币(按照 200 美金价格计算,10% 一共是 1.36 亿美金)会进到这家公司的口袋,以维持公司的经营。这也直接导致了社区的不满,出现很多 Zcash 的分叉币,例如:Horizen,Zclassic 等等。值得一提的是,Zcash 因为其慢启动的设计,即开采初期挖矿难度非常的高,一个 Zcash 曾一度达到 3000BTC 一个的天价。真是心疼当年接盘的老铁啊,这辈子应该也无法解套了。另外大零币并非强制要求链上所有的交易都是匿名的,只有当你选择使用隐地址(Shielded Address)时候,交易才会匿名。
古灵币 Grin 于2019年1月15日主网上线。Grin 采用了 MimbleWimble 协议。2016年,MimbleWimble 协议由一位化名为伏地魔的 Tom Elvis Jedusor 的程序员在 Bitcointalk 提出,主要的目的是解决比特币扩容和隐私的问题。同年10月,论坛上另一位匿名开发者发布了基于 MimbleWimble 协议的第一个项目,并命名为 Grin。Grin 除了捐赠,没有进行任何形式的融资,没有私募,lCO,也没有任何预挖。
为了稳定 Grin 的价格,Grin 发行总量没有上限,每分钟出一个块,每个区块奖励 60 枚 Grin,区块奖励将会逐渐的降低 。按照此方法计算,目前流通的 Grin 大约有 1300 万枚 Grin,一年后将会生成 3000 万枚 Grin,30 年后将会生成 10 亿枚Grin。同时 Grin 的 PoW 使用了两种算法:主要算法 Cuckatoo31+(ASIC友好) 和次要算法 Cuckatoo29(抗ASIC) ,其目的是:在主网发布初期,90% 的区块将被 Cuckatoo29(抗ASIC) 挖出,因为 Grin 开发者认为,当网络算力很小时,矿工很容易掌握大部分的算力导致网络过于中心化。当主网络稳定,算力足够大时,Grin 的挖矿方式则会慢慢切换到主要算力(ASIC友好),目的是鼓励矿机生产厂商制造 Grin 矿机,增加全网算力,提高网络的安全性。
二、匿名技术
1.门罗币:关键词: 隐地址,环签名,机密交易,Korvi
隐地址(Stealth Address)的作用是隐藏收款人的地址,保护收款人的隐私。Stealth Address 工作的原理是:每当有交易发起, 都会随机的生成一个新的收款人地址。这样做的好处是,就算有多笔交易发送给同一个人,每笔交易的交易记录都显示不同的收款地址。这让外界不可能将这些交易记录联系到同一个收款人身上,从而保护了收款人的隐私。
环签名(Ring Signature)的作用是隐藏发送人的地址,保护发送人的隐私。从 Ring Signature 字面意思可以略知一二,那就是通过一群人形成一个环(圈子),每个在环(圈子)里面的人都有相同的地位和权力,环(圈子)里的任何人都可以授权交易。如果使用环签名授权交易,从外界的交易记录来看,无法确认具体是环(圈子)里哪个人授权的交易,从而保护了发送人的隐私。
机密交易(RCT)的作用是用来隐藏交易金额。RCT 全称为 Ring Confidential Transaction,在引入 RCT 之前,门罗币要求只能把交易金额一样的交易串成一个环,比如张三手上有 20 个门罗币想给李四转账 10 个,但是当前并没有 10 的环,那么张三只能把交易拆分成 3 的环和 7 的环。在引入 RCT 之后,如果张三拥有 20 个门罗,但只想转移 10 个门罗给李四,但是RCT 要求把交易分成 10+10 两部分,一部分直接转移给李四,另外一部分转移给张三自己,从而隐藏交易信息。
Korvi 的作用是用来隐藏交易双方的 IP 地址。Korvi 不是简单的 VPN 网络 。你可以把 Korvi 理解为门罗特有的中继网络。在 Korvi 每个网络节点之间,每笔交易都会被节点自己掌握的私钥进行加密。就好比 A 给 B 发送交易,在实际的 Korvi 网络中,数据包经过的路径为A->D->E->F->C->B 。如果你想拦截翻译 AB 之间的交易信息,你需要获取A,D,E,F,C,B所有人的授权和私钥,这是非常非常困难的,因为路径一直在动态地更改。
2.大零币:关键词:zk-SNARK,零知识证明
大零币基于 zk-SNARK 协议, 采用了 零知识证明( Zero Knowledge Proof)的方式来保护用户的隐私。零知识证明即能够证明自己某种权益,但又不把相关信息泄露出去,即给外界的知识为零的一种证明方式。零知识证明需要满足三个特性:完整性,可靠性和零知识性。为了方便大家理解。大白举一个例子:
假设:张三和李四参加了币安组织的交易大赛,大赛规定:一等奖获得 200 个 BNB,二等奖获得 100 个 BNB,三等奖获得 50 个 BNB,参与奖 10 个 BNB。
实际情况:李四获得了第二名(100BNB),张三只获得了第三名(50BNB)。
问题:张三和李四想知道对方是否和自己取得了一样的成绩,因为面子问题,又不想把自己的具体获奖情况泄露给对方。
零知识证明法:
张三准备了四个信箱和四把钥匙,持有这四个信箱钥匙分别代表张三获得一等奖,二等奖,三等奖和参与奖。根据实际情况(张三获得三等奖),张三按照规定毁掉了1号,2号,4号信箱的钥匙,保留了3号信箱的钥匙。
李四准备了四封空白的信,在四封信上画微笑分别代表李四获得一等奖,二等奖,三等奖和参与奖。李四按照规定在2号信上画了一个笑脸(李四获得二等奖),并将几封信依次投入张三准备的信箱。
第二天,张三自己用钥匙打开3号信箱,查看李四投信,发现信是空白,张三便知道李四没有和自己得同样的奖,并把信归还给李四。李四收到回信后,发现信上没有笑脸,李四便知道张三和自己没有获得相同的名次。
上述过程,便是零知识证明的一个典型例子,其证明过程中没有泄露给外界任何信息。
3.古灵币:关键词:MimbleWimble
MimbleWimble 来自于《哈利波特》中的一句咒语,目的是让被施咒的人无法开口说话,保护秘密。MimbleWimble 没有采用比特币的 UTXO 模型,因此可以省略大量历史数据的中间数据,比如:A-B-C-D,可以直接压缩为A-D,从而压缩了大量数据。MimbleWimble 协议中没有地址,参与交易的双方需共同创建一个用于交易的多重签名,并用私钥验证交易。所以在MimbleWimble 中,只需要验证 2 个事情:1:该交易没有凭空产生新的币。2:交易双方拥有其私钥的所有权。
MimbleWimble 巧妙地利用了椭圆密码学(Elliptic Curve Cryptography)满足乘法交换率和结合律的特性,来引入致盲因子从而模糊交易信息,举个例子:
引入致盲因子之前交易信息为:10+5=15
引入致盲因子5之后:10*5+5*5=15*5 即 50+25=75,
等式依然成立,但只有参与了交易的双方掌握了致盲因子的私钥,才能够得将致盲因子分解出来,得到交易信息。
可以说,匿名币这三巨头的技术可谓各有千秋,那么一个项目的成功光靠技术是不行的,我们再来从其他的维度来对比一下这三个老大哥,具体见下表:
三、小结
最后我们来总结下这三个匿名币各自的优势和劣势吧:
门罗币(Monero):
优势:
1.匿名货币的鼻祖,其核心技术经过了时间的考验。
2. 背后团队完全匿名,项目完全由社区治理。
3. 知名度高,已上线大部分顶级交易所,流动性非常好。
4. 已经开采了 95% 以上,未来通货膨胀率低于 1%。
劣势:
1. 市值较高。
大零币(Zcash):
优势:
1. 第一个基于零知识证明的匿名币。
2. 背后的公司拥有充足的资金以支持项目的发展。
3. 匿名非强制性。
劣势:
1. 项目由公司主导,财务不够公开透明。2020 年之后,10% 挖矿收益将不再支付给其背后的公司,那么该公司是否还有动力继续维护该项目?还是说放任不管,归还给社区?其背后的公司是一颗大雷。
2. 目前为止,Zcash 链上只有 20% 不到的交易为匿名交易,大部分还是公开的交易!!
古灵币(Grin):
优势:
1. MimbleWimble 技术创新 :占用空间小,交易速度快。
2. 社区主导,未接受任何形式的融资 ,不涉及复杂的利益关系。
劣势:
1. Grin 因为设计,没有地址,因此用户体验不是很友好。
2. Grin 在前期通货膨胀非常严重:每个块生产 60 个 Grin,按季度减少出块奖励,第一季度通货膨胀为 400%,第二季度为 200%,第三季度为 133.3%......十年后通货膨胀仍然高达 10%。
3. Grin 没有资金上大的交易所,只能等交易所强上,比较被动。
作者:希多说币 希多 查看全部
为了保护用户的隐私,基于各种技术的匿名币应运而生。存在即合理,匿名币注定会在区块链蓝图里占据重要一席。 今天,要和大家讨论的是匿名技术中三位典型的代表:门罗币(Monero),大零币(Zcash)和古灵币(Grin)。究竟谁才是匿名之王?
一、前世与今生
门罗币(Monero)于2014年4月18日主网上线。其代码从匿名币 ByteCoin 分叉而来。为什么会分叉?因为 ByteCoin 不够透明,80% 的代币被预挖,掌握在少数人手里,这也是为什么币安下架这个代币的原因之一。同时 ByteCoin 的代码质量极差引起了社区完美主义者的极度不满。
Monero 一词在世界语中代表着“货币“,该命名由社区投票选出,表达了社区希望 Monero 成为全世界通用匿名货币的初衷。Monero 采用 PoW 共识算法,到2022年5月,预计将开采出 1822.3 万枚代币(目前流通量为 1700 万枚),之后将保持每分钟发行 0.3XMR 的速度来继续激励矿工维护网络的安全。在还没有太多匿名币竞争者的蛮荒时代(2014年-2016年),Monero 在黑市越来越流行,从最初的 500 万美金市值,一路攀升到现在的 15 亿美金,涨幅高达 300 倍。
大零币(Zcash) 于2016年10月28日主网上线。其前身为 Zerocash 零协议,该协议于 2014 年创立,并由霍普金斯,麻省理工等大学实验室维护。零协议着重解决数字货币隐私的问题。Zcash 是第一个基于零协议,实现了零知识认证(Zero Knowledge Proof)的匿名币。 Zcash 由比特币代码分叉而来,因此 Zcash 许多特性和比特币相似,例如:Zcash 总量为 2100 万个,每四年减产一次等等(目前流通量为 680 万枚)。
Zcash 这个项目由一家名为 Electric Coin 的美国公司维护。在 Zcash 被开采的前四年,10%(流通量) 挖出来的币(按照 200 美金价格计算,10% 一共是 1.36 亿美金)会进到这家公司的口袋,以维持公司的经营。这也直接导致了社区的不满,出现很多 Zcash 的分叉币,例如:Horizen,Zclassic 等等。值得一提的是,Zcash 因为其慢启动的设计,即开采初期挖矿难度非常的高,一个 Zcash 曾一度达到 3000BTC 一个的天价。真是心疼当年接盘的老铁啊,这辈子应该也无法解套了。另外大零币并非强制要求链上所有的交易都是匿名的,只有当你选择使用隐地址(Shielded Address)时候,交易才会匿名。
古灵币 Grin 于2019年1月15日主网上线。Grin 采用了 MimbleWimble 协议。2016年,MimbleWimble 协议由一位化名为伏地魔的 Tom Elvis Jedusor 的程序员在 Bitcointalk 提出,主要的目的是解决比特币扩容和隐私的问题。同年10月,论坛上另一位匿名开发者发布了基于 MimbleWimble 协议的第一个项目,并命名为 Grin。Grin 除了捐赠,没有进行任何形式的融资,没有私募,lCO,也没有任何预挖。
为了稳定 Grin 的价格,Grin 发行总量没有上限,每分钟出一个块,每个区块奖励 60 枚 Grin,区块奖励将会逐渐的降低 。按照此方法计算,目前流通的 Grin 大约有 1300 万枚 Grin,一年后将会生成 3000 万枚 Grin,30 年后将会生成 10 亿枚Grin。同时 Grin 的 PoW 使用了两种算法:主要算法 Cuckatoo31+(ASIC友好) 和次要算法 Cuckatoo29(抗ASIC) ,其目的是:在主网发布初期,90% 的区块将被 Cuckatoo29(抗ASIC) 挖出,因为 Grin 开发者认为,当网络算力很小时,矿工很容易掌握大部分的算力导致网络过于中心化。当主网络稳定,算力足够大时,Grin 的挖矿方式则会慢慢切换到主要算力(ASIC友好),目的是鼓励矿机生产厂商制造 Grin 矿机,增加全网算力,提高网络的安全性。
二、匿名技术
1.门罗币:关键词: 隐地址,环签名,机密交易,Korvi
隐地址(Stealth Address)的作用是隐藏收款人的地址,保护收款人的隐私。Stealth Address 工作的原理是:每当有交易发起, 都会随机的生成一个新的收款人地址。这样做的好处是,就算有多笔交易发送给同一个人,每笔交易的交易记录都显示不同的收款地址。这让外界不可能将这些交易记录联系到同一个收款人身上,从而保护了收款人的隐私。
环签名(Ring Signature)的作用是隐藏发送人的地址,保护发送人的隐私。从 Ring Signature 字面意思可以略知一二,那就是通过一群人形成一个环(圈子),每个在环(圈子)里面的人都有相同的地位和权力,环(圈子)里的任何人都可以授权交易。如果使用环签名授权交易,从外界的交易记录来看,无法确认具体是环(圈子)里哪个人授权的交易,从而保护了发送人的隐私。
机密交易(RCT)的作用是用来隐藏交易金额。RCT 全称为 Ring Confidential Transaction,在引入 RCT 之前,门罗币要求只能把交易金额一样的交易串成一个环,比如张三手上有 20 个门罗币想给李四转账 10 个,但是当前并没有 10 的环,那么张三只能把交易拆分成 3 的环和 7 的环。在引入 RCT 之后,如果张三拥有 20 个门罗,但只想转移 10 个门罗给李四,但是RCT 要求把交易分成 10+10 两部分,一部分直接转移给李四,另外一部分转移给张三自己,从而隐藏交易信息。
Korvi 的作用是用来隐藏交易双方的 IP 地址。Korvi 不是简单的 VPN 网络 。你可以把 Korvi 理解为门罗特有的中继网络。在 Korvi 每个网络节点之间,每笔交易都会被节点自己掌握的私钥进行加密。就好比 A 给 B 发送交易,在实际的 Korvi 网络中,数据包经过的路径为A->D->E->F->C->B 。如果你想拦截翻译 AB 之间的交易信息,你需要获取A,D,E,F,C,B所有人的授权和私钥,这是非常非常困难的,因为路径一直在动态地更改。
2.大零币:关键词:zk-SNARK,零知识证明
大零币基于 zk-SNARK 协议, 采用了 零知识证明( Zero Knowledge Proof)的方式来保护用户的隐私。零知识证明即能够证明自己某种权益,但又不把相关信息泄露出去,即给外界的知识为零的一种证明方式。零知识证明需要满足三个特性:完整性,可靠性和零知识性。为了方便大家理解。大白举一个例子:
假设:张三和李四参加了币安组织的交易大赛,大赛规定:一等奖获得 200 个 BNB,二等奖获得 100 个 BNB,三等奖获得 50 个 BNB,参与奖 10 个 BNB。
实际情况:李四获得了第二名(100BNB),张三只获得了第三名(50BNB)。
问题:张三和李四想知道对方是否和自己取得了一样的成绩,因为面子问题,又不想把自己的具体获奖情况泄露给对方。
零知识证明法:
张三准备了四个信箱和四把钥匙,持有这四个信箱钥匙分别代表张三获得一等奖,二等奖,三等奖和参与奖。根据实际情况(张三获得三等奖),张三按照规定毁掉了1号,2号,4号信箱的钥匙,保留了3号信箱的钥匙。
李四准备了四封空白的信,在四封信上画微笑分别代表李四获得一等奖,二等奖,三等奖和参与奖。李四按照规定在2号信上画了一个笑脸(李四获得二等奖),并将几封信依次投入张三准备的信箱。
第二天,张三自己用钥匙打开3号信箱,查看李四投信,发现信是空白,张三便知道李四没有和自己得同样的奖,并把信归还给李四。李四收到回信后,发现信上没有笑脸,李四便知道张三和自己没有获得相同的名次。
上述过程,便是零知识证明的一个典型例子,其证明过程中没有泄露给外界任何信息。
3.古灵币:关键词:MimbleWimble
MimbleWimble 来自于《哈利波特》中的一句咒语,目的是让被施咒的人无法开口说话,保护秘密。MimbleWimble 没有采用比特币的 UTXO 模型,因此可以省略大量历史数据的中间数据,比如:A-B-C-D,可以直接压缩为A-D,从而压缩了大量数据。MimbleWimble 协议中没有地址,参与交易的双方需共同创建一个用于交易的多重签名,并用私钥验证交易。所以在MimbleWimble 中,只需要验证 2 个事情:1:该交易没有凭空产生新的币。2:交易双方拥有其私钥的所有权。
MimbleWimble 巧妙地利用了椭圆密码学(Elliptic Curve Cryptography)满足乘法交换率和结合律的特性,来引入致盲因子从而模糊交易信息,举个例子:
引入致盲因子之前交易信息为:10+5=15
引入致盲因子5之后:10*5+5*5=15*5 即 50+25=75,
等式依然成立,但只有参与了交易的双方掌握了致盲因子的私钥,才能够得将致盲因子分解出来,得到交易信息。
可以说,匿名币这三巨头的技术可谓各有千秋,那么一个项目的成功光靠技术是不行的,我们再来从其他的维度来对比一下这三个老大哥,具体见下表:
三、小结
最后我们来总结下这三个匿名币各自的优势和劣势吧:
门罗币(Monero):
优势:
1.匿名货币的鼻祖,其核心技术经过了时间的考验。
2. 背后团队完全匿名,项目完全由社区治理。
3. 知名度高,已上线大部分顶级交易所,流动性非常好。
4. 已经开采了 95% 以上,未来通货膨胀率低于 1%。
劣势:
1. 市值较高。
大零币(Zcash):
优势:
1. 第一个基于零知识证明的匿名币。
2. 背后的公司拥有充足的资金以支持项目的发展。
3. 匿名非强制性。
劣势:
1. 项目由公司主导,财务不够公开透明。2020 年之后,10% 挖矿收益将不再支付给其背后的公司,那么该公司是否还有动力继续维护该项目?还是说放任不管,归还给社区?其背后的公司是一颗大雷。
2. 目前为止,Zcash 链上只有 20% 不到的交易为匿名交易,大部分还是公开的交易!!
古灵币(Grin):
优势:
1. MimbleWimble 技术创新 :占用空间小,交易速度快。
2. 社区主导,未接受任何形式的融资 ,不涉及复杂的利益关系。
劣势:
1. Grin 因为设计,没有地址,因此用户体验不是很友好。
2. Grin 在前期通货膨胀非常严重:每个块生产 60 个 Grin,按季度减少出块奖励,第一季度通货膨胀为 400%,第二季度为 200%,第三季度为 133.3%......十年后通货膨胀仍然高达 10%。
3. Grin 没有资金上大的交易所,只能等交易所强上,比较被动。
作者:希多说币 希多 查看全部
自比特币 2009 年上线以来,其去中心化,抗通胀,低门槛等特性逐渐被大众所认可。但是,随着当今社会对个人隐私越发的重视,比特币其账本 100% 公开透明的特点也遭受诟病,一定程度上阻碍了比特币作为支付手段(灰色地带)的发展。
为了保护用户的隐私,基于各种技术的匿名币应运而生。存在即合理,匿名币注定会在区块链蓝图里占据重要一席。 今天,要和大家讨论的是匿名技术中三位典型的代表:门罗币(Monero),大零币(Zcash)和古灵币(Grin)。究竟谁才是匿名之王?
一、前世与今生
门罗币(Monero)于2014年4月18日主网上线。其代码从匿名币 ByteCoin 分叉而来。为什么会分叉?因为 ByteCoin 不够透明,80% 的代币被预挖,掌握在少数人手里,这也是为什么币安下架这个代币的原因之一。同时 ByteCoin 的代码质量极差引起了社区完美主义者的极度不满。
Monero 一词在世界语中代表着“货币“,该命名由社区投票选出,表达了社区希望 Monero 成为全世界通用匿名货币的初衷。Monero 采用 PoW 共识算法,到2022年5月,预计将开采出 1822.3 万枚代币(目前流通量为 1700 万枚),之后将保持每分钟发行 0.3XMR 的速度来继续激励矿工维护网络的安全。在还没有太多匿名币竞争者的蛮荒时代(2014年-2016年),Monero 在黑市越来越流行,从最初的 500 万美金市值,一路攀升到现在的 15 亿美金,涨幅高达 300 倍。
大零币(Zcash) 于2016年10月28日主网上线。其前身为 Zerocash 零协议,该协议于 2014 年创立,并由霍普金斯,麻省理工等大学实验室维护。零协议着重解决数字货币隐私的问题。Zcash 是第一个基于零协议,实现了零知识认证(Zero Knowledge Proof)的匿名币。 Zcash 由比特币代码分叉而来,因此 Zcash 许多特性和比特币相似,例如:Zcash 总量为 2100 万个,每四年减产一次等等(目前流通量为 680 万枚)。
Zcash 这个项目由一家名为 Electric Coin 的美国公司维护。在 Zcash 被开采的前四年,10%(流通量) 挖出来的币(按照 200 美金价格计算,10% 一共是 1.36 亿美金)会进到这家公司的口袋,以维持公司的经营。这也直接导致了社区的不满,出现很多 Zcash 的分叉币,例如:Horizen,Zclassic 等等。值得一提的是,Zcash 因为其慢启动的设计,即开采初期挖矿难度非常的高,一个 Zcash 曾一度达到 3000BTC 一个的天价。真是心疼当年接盘的老铁啊,这辈子应该也无法解套了。另外大零币并非强制要求链上所有的交易都是匿名的,只有当你选择使用隐地址(Shielded Address)时候,交易才会匿名。
古灵币 Grin 于2019年1月15日主网上线。Grin 采用了 MimbleWimble 协议。2016年,MimbleWimble 协议由一位化名为伏地魔的 Tom Elvis Jedusor 的程序员在 Bitcointalk 提出,主要的目的是解决比特币扩容和隐私的问题。同年10月,论坛上另一位匿名开发者发布了基于 MimbleWimble 协议的第一个项目,并命名为 Grin。Grin 除了捐赠,没有进行任何形式的融资,没有私募,lCO,也没有任何预挖。
为了稳定 Grin 的价格,Grin 发行总量没有上限,每分钟出一个块,每个区块奖励 60 枚 Grin,区块奖励将会逐渐的降低 。按照此方法计算,目前流通的 Grin 大约有 1300 万枚 Grin,一年后将会生成 3000 万枚 Grin,30 年后将会生成 10 亿枚Grin。同时 Grin 的 PoW 使用了两种算法:主要算法 Cuckatoo31+(ASIC友好) 和次要算法 Cuckatoo29(抗ASIC) ,其目的是:在主网发布初期,90% 的区块将被 Cuckatoo29(抗ASIC) 挖出,因为 Grin 开发者认为,当网络算力很小时,矿工很容易掌握大部分的算力导致网络过于中心化。当主网络稳定,算力足够大时,Grin 的挖矿方式则会慢慢切换到主要算力(ASIC友好),目的是鼓励矿机生产厂商制造 Grin 矿机,增加全网算力,提高网络的安全性。
二、匿名技术
1.门罗币:关键词: 隐地址,环签名,机密交易,Korvi
隐地址(Stealth Address)的作用是隐藏收款人的地址,保护收款人的隐私。Stealth Address 工作的原理是:每当有交易发起, 都会随机的生成一个新的收款人地址。这样做的好处是,就算有多笔交易发送给同一个人,每笔交易的交易记录都显示不同的收款地址。这让外界不可能将这些交易记录联系到同一个收款人身上,从而保护了收款人的隐私。
环签名(Ring Signature)的作用是隐藏发送人的地址,保护发送人的隐私。从 Ring Signature 字面意思可以略知一二,那就是通过一群人形成一个环(圈子),每个在环(圈子)里面的人都有相同的地位和权力,环(圈子)里的任何人都可以授权交易。如果使用环签名授权交易,从外界的交易记录来看,无法确认具体是环(圈子)里哪个人授权的交易,从而保护了发送人的隐私。
机密交易(RCT)的作用是用来隐藏交易金额。RCT 全称为 Ring Confidential Transaction,在引入 RCT 之前,门罗币要求只能把交易金额一样的交易串成一个环,比如张三手上有 20 个门罗币想给李四转账 10 个,但是当前并没有 10 的环,那么张三只能把交易拆分成 3 的环和 7 的环。在引入 RCT 之后,如果张三拥有 20 个门罗,但只想转移 10 个门罗给李四,但是RCT 要求把交易分成 10+10 两部分,一部分直接转移给李四,另外一部分转移给张三自己,从而隐藏交易信息。
Korvi 的作用是用来隐藏交易双方的 IP 地址。Korvi 不是简单的 VPN 网络 。你可以把 Korvi 理解为门罗特有的中继网络。在 Korvi 每个网络节点之间,每笔交易都会被节点自己掌握的私钥进行加密。就好比 A 给 B 发送交易,在实际的 Korvi 网络中,数据包经过的路径为A->D->E->F->C->B 。如果你想拦截翻译 AB 之间的交易信息,你需要获取A,D,E,F,C,B所有人的授权和私钥,这是非常非常困难的,因为路径一直在动态地更改。
2.大零币:关键词:zk-SNARK,零知识证明
大零币基于 zk-SNARK 协议, 采用了 零知识证明( Zero Knowledge Proof)的方式来保护用户的隐私。零知识证明即能够证明自己某种权益,但又不把相关信息泄露出去,即给外界的知识为零的一种证明方式。零知识证明需要满足三个特性:完整性,可靠性和零知识性。为了方便大家理解。大白举一个例子:
假设:张三和李四参加了币安组织的交易大赛,大赛规定:一等奖获得 200 个 BNB,二等奖获得 100 个 BNB,三等奖获得 50 个 BNB,参与奖 10 个 BNB。
实际情况:李四获得了第二名(100BNB),张三只获得了第三名(50BNB)。
问题:张三和李四想知道对方是否和自己取得了一样的成绩,因为面子问题,又不想把自己的具体获奖情况泄露给对方。
零知识证明法:
张三准备了四个信箱和四把钥匙,持有这四个信箱钥匙分别代表张三获得一等奖,二等奖,三等奖和参与奖。根据实际情况(张三获得三等奖),张三按照规定毁掉了1号,2号,4号信箱的钥匙,保留了3号信箱的钥匙。
李四准备了四封空白的信,在四封信上画微笑分别代表李四获得一等奖,二等奖,三等奖和参与奖。李四按照规定在2号信上画了一个笑脸(李四获得二等奖),并将几封信依次投入张三准备的信箱。
第二天,张三自己用钥匙打开3号信箱,查看李四投信,发现信是空白,张三便知道李四没有和自己得同样的奖,并把信归还给李四。李四收到回信后,发现信上没有笑脸,李四便知道张三和自己没有获得相同的名次。
上述过程,便是零知识证明的一个典型例子,其证明过程中没有泄露给外界任何信息。
3.古灵币:关键词:MimbleWimble
MimbleWimble 来自于《哈利波特》中的一句咒语,目的是让被施咒的人无法开口说话,保护秘密。MimbleWimble 没有采用比特币的 UTXO 模型,因此可以省略大量历史数据的中间数据,比如:A-B-C-D,可以直接压缩为A-D,从而压缩了大量数据。MimbleWimble 协议中没有地址,参与交易的双方需共同创建一个用于交易的多重签名,并用私钥验证交易。所以在MimbleWimble 中,只需要验证 2 个事情:1:该交易没有凭空产生新的币。2:交易双方拥有其私钥的所有权。
MimbleWimble 巧妙地利用了椭圆密码学(Elliptic Curve Cryptography)满足乘法交换率和结合律的特性,来引入致盲因子从而模糊交易信息,举个例子:
引入致盲因子之前交易信息为:10+5=15
引入致盲因子5之后:10*5+5*5=15*5 即 50+25=75,
等式依然成立,但只有参与了交易的双方掌握了致盲因子的私钥,才能够得将致盲因子分解出来,得到交易信息。
可以说,匿名币这三巨头的技术可谓各有千秋,那么一个项目的成功光靠技术是不行的,我们再来从其他的维度来对比一下这三个老大哥,具体见下表:
三、小结
最后我们来总结下这三个匿名币各自的优势和劣势吧:
门罗币(Monero):
优势:
1.匿名货币的鼻祖,其核心技术经过了时间的考验。
2. 背后团队完全匿名,项目完全由社区治理。
3. 知名度高,已上线大部分顶级交易所,流动性非常好。
4. 已经开采了 95% 以上,未来通货膨胀率低于 1%。
劣势:
1. 市值较高。
大零币(Zcash):
优势:
1. 第一个基于零知识证明的匿名币。
2. 背后的公司拥有充足的资金以支持项目的发展。
3. 匿名非强制性。
劣势:
1. 项目由公司主导,财务不够公开透明。2020 年之后,10% 挖矿收益将不再支付给其背后的公司,那么该公司是否还有动力继续维护该项目?还是说放任不管,归还给社区?其背后的公司是一颗大雷。
2. 目前为止,Zcash 链上只有 20% 不到的交易为匿名交易,大部分还是公开的交易!!
古灵币(Grin):
优势:
1. MimbleWimble 技术创新 :占用空间小,交易速度快。
2. 社区主导,未接受任何形式的融资 ,不涉及复杂的利益关系。
劣势:
1. Grin 因为设计,没有地址,因此用户体验不是很友好。
2. Grin 在前期通货膨胀非常严重:每个块生产 60 个 Grin,按季度减少出块奖励,第一季度通货膨胀为 400%,第二季度为 200%,第三季度为 133.3%......十年后通货膨胀仍然高达 10%。
3. Grin 没有资金上大的交易所,只能等交易所强上,比较被动。
作者:希多说币 希多
Circle Research | MimbleWimble深度报告(下篇)
投研 • firstone 发表了文章 • 2019-03-28 11:40
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告下篇,主要讲述MW协议的具体用例及拓展等问题,相关原理背景可查看上篇文章,感谢支持!
MimbleWimble不是首个或唯一保护区块链隐私的方法。要对所有可用的隐私解决方案进行全面和深入的讨论超出了本报告的范围,但重要的是讨论替代方案。包括(但不限于)其他协议或底层匿名币(Zcash、Monero)、第二层隐私解决方案(Blockstream侧链)和交易层隐私(通过Samourai和Wasabi等钱包)。
匿名币
在Grin和Beam之前推出的2种匿名币是Zcash和Monero,这些币在协议层实现了匿名。Monero是一种基于CryptoNote协议的匿名币。Monero的一大优势是,默认情况下匿名。隐藏发送、接收地址和交易。Monero使用环形保密交易和隐蔽地址来实现匿名。环形签名会在交易中添加“诱饵”,而不会暴露哪些币经过签名,从而有效地混合了这些币。Monero的主要缺点是,即使使用了防弹技术,节省了大量空间,交易规模也是比特币交易的10倍。
Zcash的设计基于Zerocash协议。Zcash使用隐藏地址隐藏交易方,用zk-snark(一种零知识证明)隐藏交易金额。与Monero(以及基于mimblewimble的Grin和Beam)不同,Zcash默认不提供匿名性。在Zcash更新Sapling之前,创建一个保密交易需要大量的计算和时间。随着Sapling更新,隐藏交易所需的内存和时间减少了,这可能鼓励隐藏交易的使用。可选匿名性的另一个缺点是,隐藏交易可能被视为可疑。另一个受到批评的是Zcash信任设置。虽然Zooko Wilcox曾表示,破坏信任设置不会损害隐私,但比特币研究人员Peter Todd在与zk-snark开发者的交谈中表示反对。
侧链
侧链是一个通过双向锚定连接到一个基础层协议的独立区块链。双向锚定使得原来链上的币在验证过程中以固定比例与侧链资产交换。这些补充链可以支持基本层之外的其他特性和共识机制,以优化解决方案,包括但不仅限于匿名和扩容。比特币侧链公司Blockstream已经部署了一个这样的网络,最近推出的Liquid,默认情况下包含保密交易。Liquid使用一个由15个已知节点组成的小组(称为工作人员)来验证交易并生产区块,这以去中心化为代价加速了交易时间。虽然Liquid的治理更加中心化的,但是它解决了交易所遇到的特殊问题,例如赎回LBTC(Liquid的原生代币)。如果有单个网络节点宕机,这种模式将是非常有用的。此外,Liquid的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。Liquid的另一个缺点是,该平台的受信中介机构由Bitfinex和OKCoin等不受监管、历史上不安全的加密交易所组成。
匿名钱包
基于钱包的匿名解决方案(如Wasabi、Samourai或Breeze)的优势在于,它们可以在比特币(或其他币)的基础上构建,而无需更改底层协议。缺点是,如果没有在较短时间内找到匹配到资金,就会出现较小的匿名集和交易延迟。例如,Samourai的交错弹跳(Staggered Ricochet)可能需要2个小时才能到达接收方。此外,钱包对中心化平台的规则是匿名的。在2019年初,谷歌要求Samourai删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌应用商城的新规则。
尽管有很多增强隐私的方法,但这些技术尚处早期 (包括MimbleWimble、Grin和Beam)。每个人都有自己的权衡,目前还没有明确的答案来解决加密中的隐私问题。
Grin
Grin是MimbleWimble在编程语言Rust中的第一个开源实现。其白皮书由匿名开发者Ignotus Peverell于2016年10月20日发布。许多Grin核心开发者取了与哈利波特相关的绰号。Grin于2019年1月15日在主网上发布之前发布了4个测试网。无论过去还是现在,Grin备受加密社区赞扬,因为它与比特币相似,特别是它的匿名开发团队,公平发行(没有预挖矿、ICO或创始人奖励)和以捐赠为基础的资助模式。无论如何,Grin确实有几个显著特点:
· 货币政策:Grin被设计成一种交易媒介,而不是作为像比特币那样的价值储存手段。Grin的矿工奖励为60Grin/分钟(1Grin/秒)。早期会出现高通胀,但随着时间的推移,通胀会逐渐下降。
· 共识算法:在开始阶段,Grin将尝试通过使用两种PoW来实现去中心化,这两种算法都是Cuckoo Cycle的变形(一种是ASIC友好,另一种抗ASIC)。Cuckoo Cycle是一种新的、有争议的工作量证明算法;Handshake区块链白皮书描述了它的一些问题。
· 治理:Grin没有正式的治理流程,但有一个由8名成员组成的技术委员会,负责管理Grin的通用基金以及开发路线图,它还举行公开的治理和开发会议。
· 功能:Grin正在通过添加诸如无脚本脚本之类的功能来增强MimbleWimble协议,基于这样的功能来实现更复杂的「条件交易」功能。社区成员也在努力通过诸如grinbox和wallet713这样的解决方案来改善用户体验。
· 挑战:虽然Grin因其以捐赠为基础的资助模式而闻名,但依靠外部捐赠继续开发和改进也是一个挑战。此外,要使非技术用户使用Grin,还有很多工作要做。
自成立以来,Grin已在多家交易所上市,但它并没有请求上线交易所或支付上市费用。尽管社区乐于帮助交易所上线Grin,但Ignotus Peverell表示,他们“不会过多担心外部因素和(他们)无法真正控制的事情”。
挖矿算法
最初,Grin团队计划使用两种算法,一种是Cuckoo Cycle3 (John Tromp于2015年开发),另一种是Equihash算法Equigrin,该算法要求较高的内存。
由于对内存的需求,限制了CPU和高范围GPU的计算。在Cuckoo Cycle发展过程中,由于对静态随机存取存储器(SRAM)的要求,人们认为Cuckoo Cycle具有抗ASIC特性。受SRAM限制的算法使制造ASIC更加困难和昂贵。Cuckoo Cycle的创始人John Tromp说,“Cuckoo Cycle最初是为了让内存延迟成为瓶颈而设计的。现在,许多年过去了,我们意识到Cuckoo Cycle可以很好地利用…SRAM,在ASIC中使用SRAM相当便宜。我们期望ASIC比GPU具有更大的效率优势。”
2018年8月,社区承认(1)在现实中不可避免要使用ASIC,(2)在开始可能不利于启动分布式社区,但从长远来看并非坏事。相反,ASIC友好算法可以使网络更加安全,因为ASIC矿机增加了网络的哈希率,使攻击更加困难和昂贵。ASIC对于协议的长期成功是有好处的,因为投资了数千万美元的矿工在安全方面的诉求与协议保持一致。
另外,Derek Hsue认为,“任何产生持续抗ASIC的尝试都会产生秘密的ASIC芯片——这是有问题的。”
基于以上几点,Grin决定切换到由Cuckoo Cycle变形的工作量证明算法,这是,主要的ASIC友好(AF)算法和次要的抗ASIC(AR)算法,并逐步淘汰次要算法。Grin中的主要算法称为Cuckatoo31+,是Cuckoo Cycle的AF版本。被称为AF是因为它使用了数百MB的SRAM来提供比GPU更高的效率。第2种算法Cuckaroo29是一种内存硬AR PoW算法。然而,真正抗ASIC的唯一方法是进行有计划的硬分叉,不断调整算法(la Monero),使已生成的的ASIC作废。Grin将每6个月执行这样的分叉,以调整算法,以阻止该算法的ASIC生产,直到该算法在两年内逐步淘汰。
加密社区的一些成员密切关注Cuckoo Cycle算法的稳定性。John Tromp在2014年首次提出了这一概念,随着研究人员找到优化计算的方法,这一概念在短短时间内经历了数次修订。Cuckoo Cycle是基于图论问题。一个令人担忧的问题是,如果某个矿工比网络的其他矿工更快地计算出Cuckoo Cycle,那么它可能会获得优势。John Tromp认为,矿工的相对优势可能会随着迁移到更大的图论而增加。如果社区的其他成员实现相同的解决方案,这种优势就会消失。
一开始,Grin的结构是90%的区块用次算法挖矿,10%的区块用主算法挖矿。2年后,100%的区块将使用主算法进行挖矿。在未来2年,Cuckatoo31+(主算法)将获得更大比例的区块奖励,每月线性增长3.75%。Grin社区希望,到Cuckatoo31+占据100%的挖矿份额时,将出现多个ASIC制造商健康竞争的情况。Grin每经过60个区块窗口,会调整一次难度。
Grin矿池
miningpoolstats.com的数据显示,Cuckaroo29有15个矿池,Cuckatoo31+有11个矿池。在撰写本文时,前2个矿池星火矿池和鱼池)的算力之和是Cuckaroo29的82%,Cuckatoo31+的68%。星火矿池和鱼池都向Grin的开发者基金和通用基金提供了捐款。虽然算力似乎集中在矿池,但矿池由许多参与者组成,这些参与者可以选择离开矿池,并随意将其算力转移向其他地方。
第三大矿池是GrinMint,这是BlockCypher于2018年9月首次作为测试网推出的一个矿池,并于2019年1月在主网上推出。BlockCypher收取2.5%的费用,并表示将分配0.5%给Grin开发者社区。BlockCypher还有一位全职开发者为Grin工作(Quentin Le Sceller)。其他回馈Grin社区的矿池包括MimbleWimble Grin Pool和Grin -pool.org。
另一个值得批评的是,在Grin上线时,由风险资本支持的矿工控制了大量的算力。结果,原本是市场买家的投资人变成了加密货币的卖家。当矿池发现区块并获得挖矿奖励时,投资人会立即出售这些代币,因为其要以比特币支付矿工薪酬。
货币政策
Grin的线性发行率,以60Grin/分钟(1Grin/秒)的速率释放代币,供应无限。另一方面,比特币的硬顶为2100万,其供应通缩。每4年区块奖励减半,直到2140年左右达到接近0。该模型鼓励持有币,预期每枚币的价值会随着时间的推移而增加,使比特币作为一种价值储存手段变得有价值。
Grin的早期通胀率非常高,当有数百万枚币在流通,通胀率会随着时间的推移接近0,虽然它永远不会达到0。实际上,通胀率需要10年才能降到10%以下,25年才能降到4%(与2018年的比特币比率大致相同)。通胀率需要50年才能降到2%以下。然而在现实中,Grin团队认为,如果考虑币丢失的情况,通胀率将会降低。据团队称,每年丢失的币可能高达总供应量的2%,在计算通胀率时应将这部分排除在外。无限发行是缓解币丢失影响的一个潜在方案。
无限通货膨胀背后的另一个原因是,(1)与通缩相比,无论是否早期加入网络,通胀政策对参与者的回报和优惠更为公平(对于早期的矿工来说,这不是一个快速致富计划),和(2)如果预计明天的币价等同今天,它会更大的几率被用作交换媒介,这正是Grin的目标。由于币会被大幅稀释,短期到中期的高通胀会刺激消费,而非储蓄。社区认为,鼓励消费会扩大币的供应。
无限供应可以防止Grin最终只能依靠收费市场来确保网络安全——这也是比特币社区目前正在讨论/面临的挑战。一旦比特币的发行接近于0,该网络将必须转向仅收取交易费的模式,以奖励为保护比特币区块链而付出努力的矿工。这是一种新的区块链经济模式,但仍然会存在许多问题:1个区块打包多少交易?达到保护网络的每笔最低交易费是?以及旨在降低费用的第二层解决方案所带来的问题将如何影响底层区块链的安全性?
来源:grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者批评Grin的线性发行率没有上限,因为通胀降低了储蓄的购买力,这否定了将资产作为价值储存的观念。然而,Grin中的通胀是一种有意的设计,目的是鼓励消费,抢占币丢失问题的先机,并确保始终可以补偿那些保护网络安全的矿工。高通胀的一个不利之处是,区块奖励目前在总供应量中占相当大的比例,类似早期的比特币。由于矿池出售Grin奖励,换取比特币支付给矿工,可能会对比特币的价值产生负面影响。
治理
Grin的Lehnberg说:“治理是关于如何做出在参与者(参与决策的人)和利益相关者(受决策影响的人)看来合法的决策。目前Grin并没有一个明确的治理过程,但决策过程是透明的,并对社区开放。”
Grin有一个管理Grin通用基金并指导该项目发展的技术委员会。委员会成员包括Ignotus Peverell,Antioch Peverell,Hashmap, Jaspervdm,Lehnberg,Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner),John Tromp和Gary Yu。任何人都可以参加治理和开发会议,但通常最活跃的贡献者占据重要地位。
技术委员会每2周举行一次治理和开发会议,主题包括抗ASIC、筹资和指导资金使用、重大缺陷和漏洞、安全审计、交换集成、硬分叉等等。Grin还在Github页面上发布会议前后的议程、笔记和会议记录。在grin论坛上有一个关于治理的部分,其中有关于这个主题的帖子,表明社区正在积极思考如何从长远角度进行治理。
技术委员会使早期社区能快速和灵活地治理和开发,避免网络进程减慢。随着Grin的成长和成熟,人们一直在讨论建立一个更加结构化的治理过程,并进行检查和平衡。委员会成员和贡献者已明确表示,有必要确立一个更正式的流程:
· 为社区提供一种更结构化的方式来讨论和反馈
· 设置委员会的职权范围,以及向社区向委员会成员提供意见的规则。
· 所有利益相关方都可以提出自己的意见。包括核心开发者、一次性贡献者、矿工、用户、投资者、交易所等等。
缺点是,该委员会增加了中心化的因素,从长远来看,一个非官方的委员会不利于发展。一个例子是Burst PoCC,它的功能类似于Grin的技术委员会。有一天,他们对社区感到不满并意外退出,但仍然可以访问存储库、DNS注册等。他们还采取了其他恶意行为,如欺骗矿池和过早抛售,最终损害了Burst区块链。
融资
Grin是一个完全基于捐赠的开源项目。虽然它的发行很公平——没有ICO、预挖矿或创始人奖励,但缺点是开发和进展缓慢。Grin依靠无偿的兼职志愿者,为核心开发者基金、安全审计、营销和网络开发、会议等筹集捐款。
正如Tushar Jain指出,“没有资本主义的激励,发展将会被推迟。” Grin社区认识到了这一点。在通用基金页面上,他们说,“现实情况是,有了资金来源,将大大推动Grin的项目发展。这将使Grin更快、更稳定地发挥其潜力,有更好的基础设施支持,并有更大的机会与资金充足的区块链项目竞争(或共存)。”
Grin社区从2016年开始构建Grin,直到2019年1月才在主网上发布。MimbleWimble的另一个实现Beam(详见下方)——是一家由风投投资者支持的私人公司,从2018年初开始研发项目,并早于Grin一周推出。
此外,社区的核心开发者和贡献者Yeastplume (Michael Cordner),在最初难以筹集资金时,无法将全部精力投入Grin。只有在Ignotus Peverell对Cordner的募资活动(5.5万欧元)远未获得10%的资金表示失望之后,募资活动的捐款才开始上升。之后超额完成了筹资目标,在撰写本文时筹集了66,580欧元。
短期内依靠捐赠可能会奏效。然而,要维持发展并吸引人才加入该网络,Grin需要重新考虑其融资模式,因为它面临着资金充足、员工有薪项目的日益激烈竞争。
用户体验
如上所述,MimbleWimble去掉了地址。因此,发送方和接收方必须链下传递消息(称为“交易板”),交互式通信进行币的转让。有多种方法传递标准化的JSON消息。一种方法是文件传输,包含纯文本文件格式的JSON消息,可以通过多种方式传输(电子邮件、电报、Keybase、业余无线电、信鸽等),另一种方法是URL方法,其中API接受原始文本格式的JSON。
一组名为vault713的第三方开发者正在努力使Grin更加实用和更广泛采用。他们的第一个项目是交易协议Grinbox。这是一个消息中继服务,当与wallet713一起使用时,简化交易流程,wallet713由vault713的一个核心Grin钱包分叉而来,目前在Linux上运行。Grinbox和wallet713都旨在改进发送和存储Grin的流程。
首先,它们允许参与者创建公共地址来发送/接收资金,这样他们就不必公开IP地址。wallet713还允许用户将联系人姓名链接到其计算机本地存储的地址。此外,wallet713允许异步构建交易。vault713还在努力增加更多增强隐私和可用性的功能,如多签名支持、BTC和Grin之间的原子交换、在交易流入未确认交易池之前与其他wallet713用户联合使用CoinJoin、移动/网络/桌面GUI等等。
随着协议的成熟和人才的流入,将出现更多创建交易的方法。可能会出现基于NFC、QR、蓝牙等的近距离技术。最终,市场可能就一个方便且简单的方案达成一致,哪种方法能达成标准还有待时间考察。
Grin仅有几个月的历史,目前该协议最适合花时间和精力了解其工作原理的技术用户。虽然社区已经开始通过类似grinbox和wallet713来改善用户体验,但在让非技术用户舒服地在网络上交易之前,还需要时间进行迭代和教育。
结论
Grin最初吸引了密码朋克和密码无政府主义者,但其与比特币相似的精神也吸引了许多人。由于Grin匿名领导者、基于捐赠和草根性的资助模式、对隐私和去中心化的关注、以及其社区对推进项目而非快速赚钱的深切关注而受到赞扬。
但是主网上线只是Grin的第一步。要想让Grin获得长期成功并被广泛采用,还有大量工作要做。要解决的关键问题包括更可靠的筹资方式、更直观的用户体验以吸引更多用户进入网络,以及研究如何解决系统中的隐私漏洞(即监视节点创建交易图的能力)。
核心团队表示,其“主要关注点仍然是稳定性、性能和安全性。通过第三方开发团队将Grin集成到他们的服务和产品中来培育一个健康的生态系统,以提高采用和改进。”无需Grin核心开发者参与,相反,可由围绕Grin的生态系统的第三方开发者解决。
Grin仍然是一个非常新的项目,开创了未经测试的新思想、加密概念和技术。如果Grin解决关键挑战,就有可能成为一种将隐私交还给个人的方式。
Beam
Beam是一家由VC支持的初创公司,总部位于以色列,于2019年1月3日推出了一款基于MimbleWimble协议且专注于隐私的加密货币。它于2018年3月开始以C++做构建,并于2018年9月发布了测试网。虽然Beam和Grin的相似之处在于都是MimbleWimble的实现,旨在为用户增强隐私,但它们的方法不同。与Grin不同,Beam是一家雇佣开发者做开发的私营公司。Beam一开始是封闭其原始代码的,之后才开放。Beam的另一个重要区别是针对企业和监管机构的可选审计性。
· 货币政策:Beam的供应计划是通货紧缩,第1年后,区块奖励下降50%,之后每4年减半,直到达到2.63亿beam的硬顶。此外,20%区块奖励用作开发支付给Beam Treasury,以帮助为Beam未来的开发提供资金。
· 挖矿算法:Beam使用修改版的Equihash,一种工作量证明挖矿算法,提供网络共识。为了确保去中心化,Beam将在前12-18个月定期调整算法以抵抗ASIC。
· 治理:Beam目前是一家由VC支持的初创公司,拥有带薪员工。长期目标是将全面治理移交给管理Beam Treasury并维护协议的非盈利基金会。
· 功能:Beam正在添加一个可审计功能,这样企业就可以在不损害隐私的情况下证明其合规性并提供交易可见。Beam开发者还在探索一个安全的BBS系统,该系统将支持非交互式离线交易。
· 挑战:不断改进PoW协议是一项艰巨的任务,避免ASIC挖矿集成将使全网算力较低,从而网络攻击成本降低。此外,Beam目前是中心化的运营和治理结构,向更去中心化的模式转变需要避免所有投资方之间的权力斗争。
挖矿算法
Beam使用Equihash,这是卢森堡大学的Alex Biryukov和Dmitry Khovratovich创建的一种工作量证明算法。Equihash是一种基于广义生日问题的非对称内存约束算法。Equihash的另一个关键特性是随机挖矿,这意味着生成证明的可能性与过去的成功或失败无关。Equihash有2个参数可以调整:n(以位为单位的宽度)和k(长度),这2个参数决定了底层问题的复杂度,从而决定了算法的内存和时间复杂度。Beam上线时的Equihash参数:n=150, k=5。
Equihash在某种意义上是非对称的,因为它需要大量内存来生成一个证明,但不需要大量内存来验证它。这是Equihash的一个重要特性,因为大多数其他内存约束算法都对称,也就是说,验证证明与生成证明一样困难。内存限制指的是生成证明所花费的时间与内存而不是算力成比例。如果使用更少的内存,Equihash会不成比例地增加计算需求。
最初,内存是一种昂贵的资源,因此ASIC没有比常规CPU和GPU更好的内存优化。另一方面,ASIC比GPU有显著的带宽改进,而GPU又比CPU提供了显著的带宽改进。由于基础设施的改进,优化ASIC内存的成本低于预期。
Zcash也是一家专注于隐私的加密资产,也使用Equihash,最初选择Equihash是因为它抗ASIC。然而,比特大陆在2018年发布了蚂蚁矿机Z9mini,“通过与SRAM接口,以相对较低的成本”,比普通硬件更高效地开采Zcash。Beam在关于Equihash的帖子中强调,“卢森堡大学的研究人员发现,截至2018年5月,20%-30%的Equihash由ASIC挖矿。”
Beam表示,它已经设置了Equihash参数,让CPU和GPU矿工短期内比ASIC拥有优势,从而使币的初始分布更加广泛。然而,Beam认识到ASIC是不可避免的,甚至从长远来看是可取的,因为ASIC成本低廉,并且增加了网络哈希率,从而使其更安全,更难以攻击。
货币政策与融资
Beam的货币政策类似于比特币。特点是规定了一个硬顶和通缩发行计划,定期区块奖励减半(每开采一个区块可获得的代币数量减半),直到通胀率为0。因此,这家初创公司希望Beam能作为价值储存,而不是Grin这样的交换媒介。不过,比特币的相似之处就到此为止,然而,Beam的特殊之处还在于,Beam在第1年有更高的区块奖励,前5年区块奖励部分归于项目创始团队,出块时间为1分钟。
第1年,区块奖励为100 beam,高于通常的奖励,以激励矿工尽早加入网络,并将Beam引入市场。前5年收取20%(创始人费/开发税),所以第1年挖出的每个区块(包含100枚Beam),80枚将支付给矿工,20枚支付给Beam 基金会。在未来2到5年内,区块奖励减半至50枚beam,其中40枚beam支付给矿工,10枚beam支付给基金会。第6年,区块奖励将再次减半至25 枚beam(所有奖励都将支付给矿工),并在未来每4年减半一次,直到第129年。区块奖励将在第133年停止,届时Beam预计将拥有总计2.63亿beam的上限供应。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam采用了创始人奖励机制(也称为开发税),以回报投资者,并为正在进行的协议和工具开发提供财务激励。创始人奖励或费用是构建在区块链协议中的补充代码,该协议自动分割和发送区块奖励(coinbase交易)给区块矿工和创始人团队的地址。
这种方法显然不同于像ICO这样的预挖矿,或者像Dash这样的偷挖(insta-mine),给创始人一大笔流动资金作为报酬。尽管这2种方案都是早期团队成员所希望执行的,但这些报酬设计往往缺乏有效的资金管理或兑现计划。因此,在短期利益驱使下,资金挪用和骗局跑路的情况十分普遍。
创始人奖励则是指随着项目的发展逐渐补偿创始人。因此,初始的利益相关者更有动力去协调利益,维护网络的长期发展。Arjun Balaji指出:将奖励制度纳入协议,提供了透明且固有的资金分配和“以软或硬分叉降低退出摩擦”的自由。
创始人奖励结构最初是由Electric Coin Company(前身为Zcash Company)设计并推广。这家公司是专注于匿名加密资产Zcash的开发和维护Zacash的背后合资企业。起初,Zcash矿工只能获得80%区块奖励。剩下的20%将分配给Zcash基金会(一个支持Zcash开发的独立非盈利组织)、Electric Coin Company以及早期的Zcash开发者和顾问。继头4年之后,预先设定创始人奖励为0,以确保所有新发行的Zcash将全部归矿工直到达到2100万的硬顶。
Beam的融资模式与Zcash类似,在其早期阶段向Beam Treasury支付20%的创始人费。与Zcash不同的是,Beam将在头5年执行,包括第1年区块奖励为100Beam。在这5年结束时,应向Beam Treasury累计提供3150多万Beam。计划将35%的资金用于偿还早期投资者,另外45%的资金将分期偿还给核心团队成员和顾问。剩下的20%将用于支持Beam主权货币基金会(Beam Sovereign Money Foundation),这是该项目维护协议和治理的长期方案。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖励,Beam还从Recruit Co. LTD、Yeoman 's Capital和节点资本在内的各种风险投资基金筹集了500多万美元,用于聘请全职开发者来推进协议。这些投资者将定期获得Beam分期付款(创始人奖励的一部分),以协调每个利益相关者的利益。
Beam核心团队和早期投资者都认识到,更集中的努力将加快生产,并避免其它项目经常出现的长久不更新或主件延迟。因此,Beam的利益相关者选择了这种中心化的方法来指导项目度过初始阶段。随着Beam的不断成熟,其目标是实现更加去中心化的激励和治理结构,将区块奖励交给网络矿工,并将控制权交给社区。
不利的一面是,Beam没有让所有投资者平等参与。在主网上线之前就从投资者那里筹集资金,或者将部分资金分配给特定集团(即ICO、创始人奖励或预挖矿),都可能导致币的不平等分配。
与之相对的是与比特币和Grin类似的产品,在这些产品中,只能通过传统PoW挖矿获得加密资产。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络,挖出新的比特币或Grin。这样的发行往往会在网络用户之间展现出更公平的资金分配。
治理
目前Beam依靠一个位于特拉维夫的小型VC团队来确定所有协议更新和功能添加。因此,项目的组织结构更类似于私人创业公司,而不是大多数去中心化协议所显示的治理过程。这赋予Beam更能控制风险,以及快速转变和自由迭代,以满足市场需求,并加快其早期阶段的生产率。
Beam领导团队由首席执行官Alexander Saidelson、首席技术官Alex Romano、首席运营官Amir Aaronson和首席营销官Beni Issembert组成。其他核心成员主要由开发者以及一些设计人员和部门主管组成。该公司还从12位顾问那里获得见解,有OGroup首席执行官、通用电气(GE)新兴技术部门前首席信息官Maja Vujinovic和Genesis Mining首席执行官兼联合创始人Marco Streng。
随着协议的成熟,创始成员将把控制权从初始团队转移到Beam主权货币基金会(由杰出和受人尊敬的社区成员运营)。Beam认为,建立基金会将有助于实现其去中心化组织结构的目标。确定基金会职责和规则、纳入董事会成员的过程将在未来几个月进行,预计将于2019年底前启动。一旦基金会开始获得支持,当前的Beam公司计划转换为服务提供者的角色,在Beam协议的基础上构建最终用户应用程序。
大部分关于基金会的建立流程尚未公布,但已知的Beam基金会角色包括:
· 管理对Beam协议的改进提案和开发
· 资助和促进与Beam、MimbleWimble和蒲公英协议相关的研究
· 提高促进社区发展的意识
· 推动对数字货币和金融主权中对隐私重要性的认识
挑战
采用创业模式,Beam将面临与大多数创业公司相关的典型问题,并在缓和公众的看法,转向更去中心化的治理模式上处境更艰难。创业公司普遍失败率高,原因有很多,包括产品/市场不匹配、高消耗导致资金不足以及内部团队冲突。一个仅由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能陷整个项目于危境。
更艰巨的任务是获得足够的支持,以帮助将协议治理和开发工作从小型原始团队转移到整个社区。加密资产的一个重要评估指标是项目的去中心化程度,Beam有意延迟该指标。支持Beam策略的论点是项目早期“需要能够快速转动和迭代的自由”。用Arjun Balaji的话来说:“在早期优化去中心化的同时构建新型分布式网络几乎不可能”,因为这些目标本身就存在矛盾。
用户体验
Beam的钱包
Beam为非技术用户提供了图形用户界面(GUI)钱包,并为Mac、Windows和Linux提供了命令行界面(CLI)钱包。Beam桌面钱包创建了交易方可以彼此共享的公共地址。这些地址没有记录在区块链上。Beam最近还推出了Android手机钱包的测试版,并计划推出iOS手机钱包。该公司还表示,正在与硬件钱包供应商进行交流,以推出对Beam的支持。
SBBS
Beam试图通过使用安全公告牌系统(SBBS)使离线交易创建和异步通信更加无缝和安全。Beam的BBS是在上世纪80年代和90年代早期流行的电子公告板系统之后设计的。拥有家用电脑和调制解调器的用户可以通过固定电话与其他电脑连接,并在基于文本的公告牌系统(BBS)上留下信息,供他人查看。BBS主机是将计算机转换成地面数字会场。随着BBS变得越来越先进,用户可以玩基于文本的游戏,甚至可以方便地传输文件。
在Beam中,BBS钱包相当于家庭计算机加上调制解调器(它们是“客户端”),而Beam全节点相当于BBS主机(服务于服务器)。SBBS是节点软件的一部分,并且是链下维护。BBS全节点创建一个存储转发网络,将消息转发给脱机的接收方。消息使用公钥加密,然后通过Beam全节点转发到接收钱包。在这种情况下,公钥充当P2P系统中的地址。如果接收钱包离线, Beam的存储转发节点可以将消息存储在充当留言板的数据库中。参与者解密订阅留言板上的消息,但是只有具有相应私钥的参与者才能解密指向他们的消息。
Beam打算利用其钱包和SBBS,让用户体验类似于基于地址的区块链交易,并降低与基于MimbleWimble协议的加密资产交互的门槛。
Beam钱包面临的挑战
在1月9日发布后不久,Beam开发者就发现了钱包里的一个漏洞,这个漏洞会让用户的资金受到攻击。开发者发现他们在钱包代码中留下了一些不该留存的内容。虽然Beam在发布之前进行了多次代码审查和审计,但主要关注的是Beam加密实现的稳定性,这表明在审计钱包和SBBS时可能没有采用同样的严格标准。Beam宣布,补丁是在内部发现并修复的,没有资金被盗。建议用户卸载钱包,并从Beam网站重新下载更新后的版本。
1月21日,Beam出现了另一个问题,导致区块链在25,709区块暂停生产。原因是钱包使用不当。更具体地说,通过钱包克隆,单个交易中相同的UTXO发送到区块链上。这导致“不正确的核销处理,最终导致无效区块”。Beam在将近3个小时内没有生成区块,在大约5个小时内没有处理交易。
可审计性
Beam的一个关键区别在于,它专注于服务业务。除了MimbleWimble可能带来的改进之外,Beam还开发了一个可选合规和可审计功能(钱包审计或商业钱包),以帮助企业遵守法规并执行所需的审计。这允许企业创建一个附加审计员密钥的钱包,以便审计员识别由商业钱包创建的区块链上的标记交易。有了可选合规的功能,交易仍然匿名,而如果用户有需要,可以向审计人员报告。这为常规业务打开了加密资产的应用场景。
根据Zaidelson的说法,虽然实际的信息将由钱包生成并链下存储,但是区块链会将每个交易的信息引用存储为哈希值。Beam区块链不存储历史交易细节——它只存储引用过去交易的交易内核。在这次采访中,Zaidelson说Beam“可以用这个内核来存储额外的编码信息……包括发票或收据等压缩文件的哈希值。当用户进行审计时,审计人员可以检查数据是否与数据的加密哈希值匹配。
由于这个功能还在开发中,使它的实践具有不确定性。如果它成功了就可能会解决企业的一大痛点。一方面,像比特币这样的加密资产以向竞争对手披露保密信息为代价,提供了完全的透明度和可审计。另一方面,Zcash和Monero等加密资产中的匿名功能可以隐藏所有交易的痕迹,从而禁止任何类型的审计。
可审计性的挑战在于,企业必须安全地存储与哈希值对应的数据。此外,企业需要相信审计员不会与未经授权查看数据的其他方共享审计员密钥。虽然Beam可以创建一种共享私有数据的方法,但是审计人员可能不知道如何审计标记在Beam区块链上的交易。理论上,他们可以将这一功能外包出去,但这将扩大接触敏感数据的人群。
路线图
在主网上发布后不久,Beam发布了2019年的全面路线图。它分为2大类别,Beam Core(专注于改进和推进Beam核心协议)和Beam Compliance(专注于启动和迭代Beam对业务的合规性和可审核性计划)。长期来看,Beam已经的了一个名为“Lumini”的项目,将致力于在Beam和其他一些智能合同区块链(s)之间建立一座桥梁,并在Beam上推出保密资产。
Beam Core
Beam Core分为5个阶段——Agile Atom、Bright Boson、Clear Cathode、Double Doppler、和Eager Electron。路线图的亮点包括年底之前部署闪电网络作为第二层解决方案,实现Beam的快速支付,2019年3月以前推出Beam与比特币原子互换,按计划执行2个硬分叉来调整Equihash挖矿算法以抵抗ASIC,详细参加下图。我们认为Beam首先必须推出智能合约和多签名功能(例如,通过无脚本脚本)来支持第二层解决方案,如闪电网络。
Beam合规
Beam合规性跟踪的主要目标是使Beam商业可用。Beam计划在其合规套件中增添一个“合规钱包”和一个“监管界面”,预计将针对具体国家的监管规定量身定制,目前暂定的上线日期是2020年。
结论
Beam采用了一种商业方法来构建一种价值储存匿名币。它有VC支持,并有全身心投入项目的带薪员工。因此,Beam能在不到一年的时间里从开发到上线。在Beam钱包和安全消息系统方面明确关注用户体验和易用性。另一方面,它的桌面钱包已经出现了一些小问题,可能会导致资金损失,这对如此年轻的项目可能有害。
Beam在其2019年路线图中概述了大型计划,包括在Beam上建立闪电网络,以及为企业和监管机构提供可审计的解决方案。Beam的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了内置选项。然而,Beam的合规性和可审计性方案尚未推出,可能会开放其他攻击向量。Beam有雄心勃勃的目标,在发布到主网之前,应该对这些目标进行彻底的测试,以避免粗心大意的错误导致用户资金或数据受损。如果Beam能够实现其计划,它将提供一组独特的功能,为业务用户解决明显的问题。
回顾
MimbleWimble的新颖之处在于,它通过协议版本的保密交易、CoinJoin和区块内和区块间的核销组合,增强隐私和效率,使更多设备参与保护网络。
Grin和Beam都是MimbleWimble的实现,但它们的相似性仅限于此。Ignotus Peverell (Grin的创始人)指出,“一个常见的误解是,MimbleWimble描述了一个完整的加密货币解决方案,因此往往把Beam和(Grin)相提并论。”
虽然这两个项目都旨在为用户改进隐私和效率,但它们在大部分技术、结构和组织上存在差异。引发最多讨论的是Grin的捐赠和志愿者驱动/密码朋克式(类似于比特币和Monero)的可持续性,与Beam的VC支持的初创公司方法(类似于Zcash)的创始人奖励和付费员工的可持续性。时间会证明哪种方法更好。在此之前,看看这些项目如何相互作用并相互学习将是一件有趣的事情。
想要获取更多区块链项目资讯,欢迎添加助手微信号:go-first-one 查看全部
MimbleWimble不是首个或唯一保护区块链隐私的方法。要对所有可用的隐私解决方案进行全面和深入的讨论超出了本报告的范围,但重要的是讨论替代方案。包括(但不限于)其他协议或底层匿名币(Zcash、Monero)、第二层隐私解决方案(Blockstream侧链)和交易层隐私(通过Samourai和Wasabi等钱包)。
匿名币
在Grin和Beam之前推出的2种匿名币是Zcash和Monero,这些币在协议层实现了匿名。Monero是一种基于CryptoNote协议的匿名币。Monero的一大优势是,默认情况下匿名。隐藏发送、接收地址和交易。Monero使用环形保密交易和隐蔽地址来实现匿名。环形签名会在交易中添加“诱饵”,而不会暴露哪些币经过签名,从而有效地混合了这些币。Monero的主要缺点是,即使使用了防弹技术,节省了大量空间,交易规模也是比特币交易的10倍。
Zcash的设计基于Zerocash协议。Zcash使用隐藏地址隐藏交易方,用zk-snark(一种零知识证明)隐藏交易金额。与Monero(以及基于mimblewimble的Grin和Beam)不同,Zcash默认不提供匿名性。在Zcash更新Sapling之前,创建一个保密交易需要大量的计算和时间。随着Sapling更新,隐藏交易所需的内存和时间减少了,这可能鼓励隐藏交易的使用。可选匿名性的另一个缺点是,隐藏交易可能被视为可疑。另一个受到批评的是Zcash信任设置。虽然Zooko Wilcox曾表示,破坏信任设置不会损害隐私,但比特币研究人员Peter Todd在与zk-snark开发者的交谈中表示反对。
侧链
侧链是一个通过双向锚定连接到一个基础层协议的独立区块链。双向锚定使得原来链上的币在验证过程中以固定比例与侧链资产交换。这些补充链可以支持基本层之外的其他特性和共识机制,以优化解决方案,包括但不仅限于匿名和扩容。比特币侧链公司Blockstream已经部署了一个这样的网络,最近推出的Liquid,默认情况下包含保密交易。Liquid使用一个由15个已知节点组成的小组(称为工作人员)来验证交易并生产区块,这以去中心化为代价加速了交易时间。虽然Liquid的治理更加中心化的,但是它解决了交易所遇到的特殊问题,例如赎回LBTC(Liquid的原生代币)。如果有单个网络节点宕机,这种模式将是非常有用的。此外,Liquid的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。Liquid的另一个缺点是,该平台的受信中介机构由Bitfinex和OKCoin等不受监管、历史上不安全的加密交易所组成。
匿名钱包
基于钱包的匿名解决方案(如Wasabi、Samourai或Breeze)的优势在于,它们可以在比特币(或其他币)的基础上构建,而无需更改底层协议。缺点是,如果没有在较短时间内找到匹配到资金,就会出现较小的匿名集和交易延迟。例如,Samourai的交错弹跳(Staggered Ricochet)可能需要2个小时才能到达接收方。此外,钱包对中心化平台的规则是匿名的。在2019年初,谷歌要求Samourai删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌应用商城的新规则。
尽管有很多增强隐私的方法,但这些技术尚处早期 (包括MimbleWimble、Grin和Beam)。每个人都有自己的权衡,目前还没有明确的答案来解决加密中的隐私问题。
Grin
Grin是MimbleWimble在编程语言Rust中的第一个开源实现。其白皮书由匿名开发者Ignotus Peverell于2016年10月20日发布。许多Grin核心开发者取了与哈利波特相关的绰号。Grin于2019年1月15日在主网上发布之前发布了4个测试网。无论过去还是现在,Grin备受加密社区赞扬,因为它与比特币相似,特别是它的匿名开发团队,公平发行(没有预挖矿、ICO或创始人奖励)和以捐赠为基础的资助模式。无论如何,Grin确实有几个显著特点:
· 货币政策:Grin被设计成一种交易媒介,而不是作为像比特币那样的价值储存手段。Grin的矿工奖励为60Grin/分钟(1Grin/秒)。早期会出现高通胀,但随着时间的推移,通胀会逐渐下降。
· 共识算法:在开始阶段,Grin将尝试通过使用两种PoW来实现去中心化,这两种算法都是Cuckoo Cycle的变形(一种是ASIC友好,另一种抗ASIC)。Cuckoo Cycle是一种新的、有争议的工作量证明算法;Handshake区块链白皮书描述了它的一些问题。
· 治理:Grin没有正式的治理流程,但有一个由8名成员组成的技术委员会,负责管理Grin的通用基金以及开发路线图,它还举行公开的治理和开发会议。
· 功能:Grin正在通过添加诸如无脚本脚本之类的功能来增强MimbleWimble协议,基于这样的功能来实现更复杂的「条件交易」功能。社区成员也在努力通过诸如grinbox和wallet713这样的解决方案来改善用户体验。
· 挑战:虽然Grin因其以捐赠为基础的资助模式而闻名,但依靠外部捐赠继续开发和改进也是一个挑战。此外,要使非技术用户使用Grin,还有很多工作要做。
自成立以来,Grin已在多家交易所上市,但它并没有请求上线交易所或支付上市费用。尽管社区乐于帮助交易所上线Grin,但Ignotus Peverell表示,他们“不会过多担心外部因素和(他们)无法真正控制的事情”。
挖矿算法
最初,Grin团队计划使用两种算法,一种是Cuckoo Cycle3 (John Tromp于2015年开发),另一种是Equihash算法Equigrin,该算法要求较高的内存。
由于对内存的需求,限制了CPU和高范围GPU的计算。在Cuckoo Cycle发展过程中,由于对静态随机存取存储器(SRAM)的要求,人们认为Cuckoo Cycle具有抗ASIC特性。受SRAM限制的算法使制造ASIC更加困难和昂贵。Cuckoo Cycle的创始人John Tromp说,“Cuckoo Cycle最初是为了让内存延迟成为瓶颈而设计的。现在,许多年过去了,我们意识到Cuckoo Cycle可以很好地利用…SRAM,在ASIC中使用SRAM相当便宜。我们期望ASIC比GPU具有更大的效率优势。”
2018年8月,社区承认(1)在现实中不可避免要使用ASIC,(2)在开始可能不利于启动分布式社区,但从长远来看并非坏事。相反,ASIC友好算法可以使网络更加安全,因为ASIC矿机增加了网络的哈希率,使攻击更加困难和昂贵。ASIC对于协议的长期成功是有好处的,因为投资了数千万美元的矿工在安全方面的诉求与协议保持一致。
另外,Derek Hsue认为,“任何产生持续抗ASIC的尝试都会产生秘密的ASIC芯片——这是有问题的。”
基于以上几点,Grin决定切换到由Cuckoo Cycle变形的工作量证明算法,这是,主要的ASIC友好(AF)算法和次要的抗ASIC(AR)算法,并逐步淘汰次要算法。Grin中的主要算法称为Cuckatoo31+,是Cuckoo Cycle的AF版本。被称为AF是因为它使用了数百MB的SRAM来提供比GPU更高的效率。第2种算法Cuckaroo29是一种内存硬AR PoW算法。然而,真正抗ASIC的唯一方法是进行有计划的硬分叉,不断调整算法(la Monero),使已生成的的ASIC作废。Grin将每6个月执行这样的分叉,以调整算法,以阻止该算法的ASIC生产,直到该算法在两年内逐步淘汰。
加密社区的一些成员密切关注Cuckoo Cycle算法的稳定性。John Tromp在2014年首次提出了这一概念,随着研究人员找到优化计算的方法,这一概念在短短时间内经历了数次修订。Cuckoo Cycle是基于图论问题。一个令人担忧的问题是,如果某个矿工比网络的其他矿工更快地计算出Cuckoo Cycle,那么它可能会获得优势。John Tromp认为,矿工的相对优势可能会随着迁移到更大的图论而增加。如果社区的其他成员实现相同的解决方案,这种优势就会消失。
一开始,Grin的结构是90%的区块用次算法挖矿,10%的区块用主算法挖矿。2年后,100%的区块将使用主算法进行挖矿。在未来2年,Cuckatoo31+(主算法)将获得更大比例的区块奖励,每月线性增长3.75%。Grin社区希望,到Cuckatoo31+占据100%的挖矿份额时,将出现多个ASIC制造商健康竞争的情况。Grin每经过60个区块窗口,会调整一次难度。
Grin矿池
miningpoolstats.com的数据显示,Cuckaroo29有15个矿池,Cuckatoo31+有11个矿池。在撰写本文时,前2个矿池星火矿池和鱼池)的算力之和是Cuckaroo29的82%,Cuckatoo31+的68%。星火矿池和鱼池都向Grin的开发者基金和通用基金提供了捐款。虽然算力似乎集中在矿池,但矿池由许多参与者组成,这些参与者可以选择离开矿池,并随意将其算力转移向其他地方。
第三大矿池是GrinMint,这是BlockCypher于2018年9月首次作为测试网推出的一个矿池,并于2019年1月在主网上推出。BlockCypher收取2.5%的费用,并表示将分配0.5%给Grin开发者社区。BlockCypher还有一位全职开发者为Grin工作(Quentin Le Sceller)。其他回馈Grin社区的矿池包括MimbleWimble Grin Pool和Grin -pool.org。
另一个值得批评的是,在Grin上线时,由风险资本支持的矿工控制了大量的算力。结果,原本是市场买家的投资人变成了加密货币的卖家。当矿池发现区块并获得挖矿奖励时,投资人会立即出售这些代币,因为其要以比特币支付矿工薪酬。
货币政策
Grin的线性发行率,以60Grin/分钟(1Grin/秒)的速率释放代币,供应无限。另一方面,比特币的硬顶为2100万,其供应通缩。每4年区块奖励减半,直到2140年左右达到接近0。该模型鼓励持有币,预期每枚币的价值会随着时间的推移而增加,使比特币作为一种价值储存手段变得有价值。
Grin的早期通胀率非常高,当有数百万枚币在流通,通胀率会随着时间的推移接近0,虽然它永远不会达到0。实际上,通胀率需要10年才能降到10%以下,25年才能降到4%(与2018年的比特币比率大致相同)。通胀率需要50年才能降到2%以下。然而在现实中,Grin团队认为,如果考虑币丢失的情况,通胀率将会降低。据团队称,每年丢失的币可能高达总供应量的2%,在计算通胀率时应将这部分排除在外。无限发行是缓解币丢失影响的一个潜在方案。
无限通货膨胀背后的另一个原因是,(1)与通缩相比,无论是否早期加入网络,通胀政策对参与者的回报和优惠更为公平(对于早期的矿工来说,这不是一个快速致富计划),和(2)如果预计明天的币价等同今天,它会更大的几率被用作交换媒介,这正是Grin的目标。由于币会被大幅稀释,短期到中期的高通胀会刺激消费,而非储蓄。社区认为,鼓励消费会扩大币的供应。
无限供应可以防止Grin最终只能依靠收费市场来确保网络安全——这也是比特币社区目前正在讨论/面临的挑战。一旦比特币的发行接近于0,该网络将必须转向仅收取交易费的模式,以奖励为保护比特币区块链而付出努力的矿工。这是一种新的区块链经济模式,但仍然会存在许多问题:1个区块打包多少交易?达到保护网络的每笔最低交易费是?以及旨在降低费用的第二层解决方案所带来的问题将如何影响底层区块链的安全性?
来源:grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者批评Grin的线性发行率没有上限,因为通胀降低了储蓄的购买力,这否定了将资产作为价值储存的观念。然而,Grin中的通胀是一种有意的设计,目的是鼓励消费,抢占币丢失问题的先机,并确保始终可以补偿那些保护网络安全的矿工。高通胀的一个不利之处是,区块奖励目前在总供应量中占相当大的比例,类似早期的比特币。由于矿池出售Grin奖励,换取比特币支付给矿工,可能会对比特币的价值产生负面影响。
治理
Grin的Lehnberg说:“治理是关于如何做出在参与者(参与决策的人)和利益相关者(受决策影响的人)看来合法的决策。目前Grin并没有一个明确的治理过程,但决策过程是透明的,并对社区开放。”
Grin有一个管理Grin通用基金并指导该项目发展的技术委员会。委员会成员包括Ignotus Peverell,Antioch Peverell,Hashmap, Jaspervdm,Lehnberg,Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner),John Tromp和Gary Yu。任何人都可以参加治理和开发会议,但通常最活跃的贡献者占据重要地位。
技术委员会每2周举行一次治理和开发会议,主题包括抗ASIC、筹资和指导资金使用、重大缺陷和漏洞、安全审计、交换集成、硬分叉等等。Grin还在Github页面上发布会议前后的议程、笔记和会议记录。在grin论坛上有一个关于治理的部分,其中有关于这个主题的帖子,表明社区正在积极思考如何从长远角度进行治理。
技术委员会使早期社区能快速和灵活地治理和开发,避免网络进程减慢。随着Grin的成长和成熟,人们一直在讨论建立一个更加结构化的治理过程,并进行检查和平衡。委员会成员和贡献者已明确表示,有必要确立一个更正式的流程:
· 为社区提供一种更结构化的方式来讨论和反馈
· 设置委员会的职权范围,以及向社区向委员会成员提供意见的规则。
· 所有利益相关方都可以提出自己的意见。包括核心开发者、一次性贡献者、矿工、用户、投资者、交易所等等。
缺点是,该委员会增加了中心化的因素,从长远来看,一个非官方的委员会不利于发展。一个例子是Burst PoCC,它的功能类似于Grin的技术委员会。有一天,他们对社区感到不满并意外退出,但仍然可以访问存储库、DNS注册等。他们还采取了其他恶意行为,如欺骗矿池和过早抛售,最终损害了Burst区块链。
融资
Grin是一个完全基于捐赠的开源项目。虽然它的发行很公平——没有ICO、预挖矿或创始人奖励,但缺点是开发和进展缓慢。Grin依靠无偿的兼职志愿者,为核心开发者基金、安全审计、营销和网络开发、会议等筹集捐款。
正如Tushar Jain指出,“没有资本主义的激励,发展将会被推迟。” Grin社区认识到了这一点。在通用基金页面上,他们说,“现实情况是,有了资金来源,将大大推动Grin的项目发展。这将使Grin更快、更稳定地发挥其潜力,有更好的基础设施支持,并有更大的机会与资金充足的区块链项目竞争(或共存)。”
Grin社区从2016年开始构建Grin,直到2019年1月才在主网上发布。MimbleWimble的另一个实现Beam(详见下方)——是一家由风投投资者支持的私人公司,从2018年初开始研发项目,并早于Grin一周推出。
此外,社区的核心开发者和贡献者Yeastplume (Michael Cordner),在最初难以筹集资金时,无法将全部精力投入Grin。只有在Ignotus Peverell对Cordner的募资活动(5.5万欧元)远未获得10%的资金表示失望之后,募资活动的捐款才开始上升。之后超额完成了筹资目标,在撰写本文时筹集了66,580欧元。
短期内依靠捐赠可能会奏效。然而,要维持发展并吸引人才加入该网络,Grin需要重新考虑其融资模式,因为它面临着资金充足、员工有薪项目的日益激烈竞争。
用户体验
如上所述,MimbleWimble去掉了地址。因此,发送方和接收方必须链下传递消息(称为“交易板”),交互式通信进行币的转让。有多种方法传递标准化的JSON消息。一种方法是文件传输,包含纯文本文件格式的JSON消息,可以通过多种方式传输(电子邮件、电报、Keybase、业余无线电、信鸽等),另一种方法是URL方法,其中API接受原始文本格式的JSON。
一组名为vault713的第三方开发者正在努力使Grin更加实用和更广泛采用。他们的第一个项目是交易协议Grinbox。这是一个消息中继服务,当与wallet713一起使用时,简化交易流程,wallet713由vault713的一个核心Grin钱包分叉而来,目前在Linux上运行。Grinbox和wallet713都旨在改进发送和存储Grin的流程。
首先,它们允许参与者创建公共地址来发送/接收资金,这样他们就不必公开IP地址。wallet713还允许用户将联系人姓名链接到其计算机本地存储的地址。此外,wallet713允许异步构建交易。vault713还在努力增加更多增强隐私和可用性的功能,如多签名支持、BTC和Grin之间的原子交换、在交易流入未确认交易池之前与其他wallet713用户联合使用CoinJoin、移动/网络/桌面GUI等等。
随着协议的成熟和人才的流入,将出现更多创建交易的方法。可能会出现基于NFC、QR、蓝牙等的近距离技术。最终,市场可能就一个方便且简单的方案达成一致,哪种方法能达成标准还有待时间考察。
Grin仅有几个月的历史,目前该协议最适合花时间和精力了解其工作原理的技术用户。虽然社区已经开始通过类似grinbox和wallet713来改善用户体验,但在让非技术用户舒服地在网络上交易之前,还需要时间进行迭代和教育。
结论
Grin最初吸引了密码朋克和密码无政府主义者,但其与比特币相似的精神也吸引了许多人。由于Grin匿名领导者、基于捐赠和草根性的资助模式、对隐私和去中心化的关注、以及其社区对推进项目而非快速赚钱的深切关注而受到赞扬。
但是主网上线只是Grin的第一步。要想让Grin获得长期成功并被广泛采用,还有大量工作要做。要解决的关键问题包括更可靠的筹资方式、更直观的用户体验以吸引更多用户进入网络,以及研究如何解决系统中的隐私漏洞(即监视节点创建交易图的能力)。
核心团队表示,其“主要关注点仍然是稳定性、性能和安全性。通过第三方开发团队将Grin集成到他们的服务和产品中来培育一个健康的生态系统,以提高采用和改进。”无需Grin核心开发者参与,相反,可由围绕Grin的生态系统的第三方开发者解决。
Grin仍然是一个非常新的项目,开创了未经测试的新思想、加密概念和技术。如果Grin解决关键挑战,就有可能成为一种将隐私交还给个人的方式。
Beam
Beam是一家由VC支持的初创公司,总部位于以色列,于2019年1月3日推出了一款基于MimbleWimble协议且专注于隐私的加密货币。它于2018年3月开始以C++做构建,并于2018年9月发布了测试网。虽然Beam和Grin的相似之处在于都是MimbleWimble的实现,旨在为用户增强隐私,但它们的方法不同。与Grin不同,Beam是一家雇佣开发者做开发的私营公司。Beam一开始是封闭其原始代码的,之后才开放。Beam的另一个重要区别是针对企业和监管机构的可选审计性。
· 货币政策:Beam的供应计划是通货紧缩,第1年后,区块奖励下降50%,之后每4年减半,直到达到2.63亿beam的硬顶。此外,20%区块奖励用作开发支付给Beam Treasury,以帮助为Beam未来的开发提供资金。
· 挖矿算法:Beam使用修改版的Equihash,一种工作量证明挖矿算法,提供网络共识。为了确保去中心化,Beam将在前12-18个月定期调整算法以抵抗ASIC。
· 治理:Beam目前是一家由VC支持的初创公司,拥有带薪员工。长期目标是将全面治理移交给管理Beam Treasury并维护协议的非盈利基金会。
· 功能:Beam正在添加一个可审计功能,这样企业就可以在不损害隐私的情况下证明其合规性并提供交易可见。Beam开发者还在探索一个安全的BBS系统,该系统将支持非交互式离线交易。
· 挑战:不断改进PoW协议是一项艰巨的任务,避免ASIC挖矿集成将使全网算力较低,从而网络攻击成本降低。此外,Beam目前是中心化的运营和治理结构,向更去中心化的模式转变需要避免所有投资方之间的权力斗争。
挖矿算法
Beam使用Equihash,这是卢森堡大学的Alex Biryukov和Dmitry Khovratovich创建的一种工作量证明算法。Equihash是一种基于广义生日问题的非对称内存约束算法。Equihash的另一个关键特性是随机挖矿,这意味着生成证明的可能性与过去的成功或失败无关。Equihash有2个参数可以调整:n(以位为单位的宽度)和k(长度),这2个参数决定了底层问题的复杂度,从而决定了算法的内存和时间复杂度。Beam上线时的Equihash参数:n=150, k=5。
Equihash在某种意义上是非对称的,因为它需要大量内存来生成一个证明,但不需要大量内存来验证它。这是Equihash的一个重要特性,因为大多数其他内存约束算法都对称,也就是说,验证证明与生成证明一样困难。内存限制指的是生成证明所花费的时间与内存而不是算力成比例。如果使用更少的内存,Equihash会不成比例地增加计算需求。
最初,内存是一种昂贵的资源,因此ASIC没有比常规CPU和GPU更好的内存优化。另一方面,ASIC比GPU有显著的带宽改进,而GPU又比CPU提供了显著的带宽改进。由于基础设施的改进,优化ASIC内存的成本低于预期。
Zcash也是一家专注于隐私的加密资产,也使用Equihash,最初选择Equihash是因为它抗ASIC。然而,比特大陆在2018年发布了蚂蚁矿机Z9mini,“通过与SRAM接口,以相对较低的成本”,比普通硬件更高效地开采Zcash。Beam在关于Equihash的帖子中强调,“卢森堡大学的研究人员发现,截至2018年5月,20%-30%的Equihash由ASIC挖矿。”
Beam表示,它已经设置了Equihash参数,让CPU和GPU矿工短期内比ASIC拥有优势,从而使币的初始分布更加广泛。然而,Beam认识到ASIC是不可避免的,甚至从长远来看是可取的,因为ASIC成本低廉,并且增加了网络哈希率,从而使其更安全,更难以攻击。
货币政策与融资
Beam的货币政策类似于比特币。特点是规定了一个硬顶和通缩发行计划,定期区块奖励减半(每开采一个区块可获得的代币数量减半),直到通胀率为0。因此,这家初创公司希望Beam能作为价值储存,而不是Grin这样的交换媒介。不过,比特币的相似之处就到此为止,然而,Beam的特殊之处还在于,Beam在第1年有更高的区块奖励,前5年区块奖励部分归于项目创始团队,出块时间为1分钟。
第1年,区块奖励为100 beam,高于通常的奖励,以激励矿工尽早加入网络,并将Beam引入市场。前5年收取20%(创始人费/开发税),所以第1年挖出的每个区块(包含100枚Beam),80枚将支付给矿工,20枚支付给Beam 基金会。在未来2到5年内,区块奖励减半至50枚beam,其中40枚beam支付给矿工,10枚beam支付给基金会。第6年,区块奖励将再次减半至25 枚beam(所有奖励都将支付给矿工),并在未来每4年减半一次,直到第129年。区块奖励将在第133年停止,届时Beam预计将拥有总计2.63亿beam的上限供应。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam采用了创始人奖励机制(也称为开发税),以回报投资者,并为正在进行的协议和工具开发提供财务激励。创始人奖励或费用是构建在区块链协议中的补充代码,该协议自动分割和发送区块奖励(coinbase交易)给区块矿工和创始人团队的地址。
这种方法显然不同于像ICO这样的预挖矿,或者像Dash这样的偷挖(insta-mine),给创始人一大笔流动资金作为报酬。尽管这2种方案都是早期团队成员所希望执行的,但这些报酬设计往往缺乏有效的资金管理或兑现计划。因此,在短期利益驱使下,资金挪用和骗局跑路的情况十分普遍。
创始人奖励则是指随着项目的发展逐渐补偿创始人。因此,初始的利益相关者更有动力去协调利益,维护网络的长期发展。Arjun Balaji指出:将奖励制度纳入协议,提供了透明且固有的资金分配和“以软或硬分叉降低退出摩擦”的自由。
创始人奖励结构最初是由Electric Coin Company(前身为Zcash Company)设计并推广。这家公司是专注于匿名加密资产Zcash的开发和维护Zacash的背后合资企业。起初,Zcash矿工只能获得80%区块奖励。剩下的20%将分配给Zcash基金会(一个支持Zcash开发的独立非盈利组织)、Electric Coin Company以及早期的Zcash开发者和顾问。继头4年之后,预先设定创始人奖励为0,以确保所有新发行的Zcash将全部归矿工直到达到2100万的硬顶。
Beam的融资模式与Zcash类似,在其早期阶段向Beam Treasury支付20%的创始人费。与Zcash不同的是,Beam将在头5年执行,包括第1年区块奖励为100Beam。在这5年结束时,应向Beam Treasury累计提供3150多万Beam。计划将35%的资金用于偿还早期投资者,另外45%的资金将分期偿还给核心团队成员和顾问。剩下的20%将用于支持Beam主权货币基金会(Beam Sovereign Money Foundation),这是该项目维护协议和治理的长期方案。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖励,Beam还从Recruit Co. LTD、Yeoman 's Capital和节点资本在内的各种风险投资基金筹集了500多万美元,用于聘请全职开发者来推进协议。这些投资者将定期获得Beam分期付款(创始人奖励的一部分),以协调每个利益相关者的利益。
Beam核心团队和早期投资者都认识到,更集中的努力将加快生产,并避免其它项目经常出现的长久不更新或主件延迟。因此,Beam的利益相关者选择了这种中心化的方法来指导项目度过初始阶段。随着Beam的不断成熟,其目标是实现更加去中心化的激励和治理结构,将区块奖励交给网络矿工,并将控制权交给社区。
不利的一面是,Beam没有让所有投资者平等参与。在主网上线之前就从投资者那里筹集资金,或者将部分资金分配给特定集团(即ICO、创始人奖励或预挖矿),都可能导致币的不平等分配。
与之相对的是与比特币和Grin类似的产品,在这些产品中,只能通过传统PoW挖矿获得加密资产。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络,挖出新的比特币或Grin。这样的发行往往会在网络用户之间展现出更公平的资金分配。
治理
目前Beam依靠一个位于特拉维夫的小型VC团队来确定所有协议更新和功能添加。因此,项目的组织结构更类似于私人创业公司,而不是大多数去中心化协议所显示的治理过程。这赋予Beam更能控制风险,以及快速转变和自由迭代,以满足市场需求,并加快其早期阶段的生产率。
Beam领导团队由首席执行官Alexander Saidelson、首席技术官Alex Romano、首席运营官Amir Aaronson和首席营销官Beni Issembert组成。其他核心成员主要由开发者以及一些设计人员和部门主管组成。该公司还从12位顾问那里获得见解,有OGroup首席执行官、通用电气(GE)新兴技术部门前首席信息官Maja Vujinovic和Genesis Mining首席执行官兼联合创始人Marco Streng。
随着协议的成熟,创始成员将把控制权从初始团队转移到Beam主权货币基金会(由杰出和受人尊敬的社区成员运营)。Beam认为,建立基金会将有助于实现其去中心化组织结构的目标。确定基金会职责和规则、纳入董事会成员的过程将在未来几个月进行,预计将于2019年底前启动。一旦基金会开始获得支持,当前的Beam公司计划转换为服务提供者的角色,在Beam协议的基础上构建最终用户应用程序。
大部分关于基金会的建立流程尚未公布,但已知的Beam基金会角色包括:
· 管理对Beam协议的改进提案和开发
· 资助和促进与Beam、MimbleWimble和蒲公英协议相关的研究
· 提高促进社区发展的意识
· 推动对数字货币和金融主权中对隐私重要性的认识
挑战
采用创业模式,Beam将面临与大多数创业公司相关的典型问题,并在缓和公众的看法,转向更去中心化的治理模式上处境更艰难。创业公司普遍失败率高,原因有很多,包括产品/市场不匹配、高消耗导致资金不足以及内部团队冲突。一个仅由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能陷整个项目于危境。
更艰巨的任务是获得足够的支持,以帮助将协议治理和开发工作从小型原始团队转移到整个社区。加密资产的一个重要评估指标是项目的去中心化程度,Beam有意延迟该指标。支持Beam策略的论点是项目早期“需要能够快速转动和迭代的自由”。用Arjun Balaji的话来说:“在早期优化去中心化的同时构建新型分布式网络几乎不可能”,因为这些目标本身就存在矛盾。
用户体验
Beam的钱包
Beam为非技术用户提供了图形用户界面(GUI)钱包,并为Mac、Windows和Linux提供了命令行界面(CLI)钱包。Beam桌面钱包创建了交易方可以彼此共享的公共地址。这些地址没有记录在区块链上。Beam最近还推出了Android手机钱包的测试版,并计划推出iOS手机钱包。该公司还表示,正在与硬件钱包供应商进行交流,以推出对Beam的支持。
SBBS
Beam试图通过使用安全公告牌系统(SBBS)使离线交易创建和异步通信更加无缝和安全。Beam的BBS是在上世纪80年代和90年代早期流行的电子公告板系统之后设计的。拥有家用电脑和调制解调器的用户可以通过固定电话与其他电脑连接,并在基于文本的公告牌系统(BBS)上留下信息,供他人查看。BBS主机是将计算机转换成地面数字会场。随着BBS变得越来越先进,用户可以玩基于文本的游戏,甚至可以方便地传输文件。
在Beam中,BBS钱包相当于家庭计算机加上调制解调器(它们是“客户端”),而Beam全节点相当于BBS主机(服务于服务器)。SBBS是节点软件的一部分,并且是链下维护。BBS全节点创建一个存储转发网络,将消息转发给脱机的接收方。消息使用公钥加密,然后通过Beam全节点转发到接收钱包。在这种情况下,公钥充当P2P系统中的地址。如果接收钱包离线, Beam的存储转发节点可以将消息存储在充当留言板的数据库中。参与者解密订阅留言板上的消息,但是只有具有相应私钥的参与者才能解密指向他们的消息。
Beam打算利用其钱包和SBBS,让用户体验类似于基于地址的区块链交易,并降低与基于MimbleWimble协议的加密资产交互的门槛。
Beam钱包面临的挑战
在1月9日发布后不久,Beam开发者就发现了钱包里的一个漏洞,这个漏洞会让用户的资金受到攻击。开发者发现他们在钱包代码中留下了一些不该留存的内容。虽然Beam在发布之前进行了多次代码审查和审计,但主要关注的是Beam加密实现的稳定性,这表明在审计钱包和SBBS时可能没有采用同样的严格标准。Beam宣布,补丁是在内部发现并修复的,没有资金被盗。建议用户卸载钱包,并从Beam网站重新下载更新后的版本。
1月21日,Beam出现了另一个问题,导致区块链在25,709区块暂停生产。原因是钱包使用不当。更具体地说,通过钱包克隆,单个交易中相同的UTXO发送到区块链上。这导致“不正确的核销处理,最终导致无效区块”。Beam在将近3个小时内没有生成区块,在大约5个小时内没有处理交易。
可审计性
Beam的一个关键区别在于,它专注于服务业务。除了MimbleWimble可能带来的改进之外,Beam还开发了一个可选合规和可审计功能(钱包审计或商业钱包),以帮助企业遵守法规并执行所需的审计。这允许企业创建一个附加审计员密钥的钱包,以便审计员识别由商业钱包创建的区块链上的标记交易。有了可选合规的功能,交易仍然匿名,而如果用户有需要,可以向审计人员报告。这为常规业务打开了加密资产的应用场景。
根据Zaidelson的说法,虽然实际的信息将由钱包生成并链下存储,但是区块链会将每个交易的信息引用存储为哈希值。Beam区块链不存储历史交易细节——它只存储引用过去交易的交易内核。在这次采访中,Zaidelson说Beam“可以用这个内核来存储额外的编码信息……包括发票或收据等压缩文件的哈希值。当用户进行审计时,审计人员可以检查数据是否与数据的加密哈希值匹配。
由于这个功能还在开发中,使它的实践具有不确定性。如果它成功了就可能会解决企业的一大痛点。一方面,像比特币这样的加密资产以向竞争对手披露保密信息为代价,提供了完全的透明度和可审计。另一方面,Zcash和Monero等加密资产中的匿名功能可以隐藏所有交易的痕迹,从而禁止任何类型的审计。
可审计性的挑战在于,企业必须安全地存储与哈希值对应的数据。此外,企业需要相信审计员不会与未经授权查看数据的其他方共享审计员密钥。虽然Beam可以创建一种共享私有数据的方法,但是审计人员可能不知道如何审计标记在Beam区块链上的交易。理论上,他们可以将这一功能外包出去,但这将扩大接触敏感数据的人群。
路线图
在主网上发布后不久,Beam发布了2019年的全面路线图。它分为2大类别,Beam Core(专注于改进和推进Beam核心协议)和Beam Compliance(专注于启动和迭代Beam对业务的合规性和可审核性计划)。长期来看,Beam已经的了一个名为“Lumini”的项目,将致力于在Beam和其他一些智能合同区块链(s)之间建立一座桥梁,并在Beam上推出保密资产。
Beam Core
Beam Core分为5个阶段——Agile Atom、Bright Boson、Clear Cathode、Double Doppler、和Eager Electron。路线图的亮点包括年底之前部署闪电网络作为第二层解决方案,实现Beam的快速支付,2019年3月以前推出Beam与比特币原子互换,按计划执行2个硬分叉来调整Equihash挖矿算法以抵抗ASIC,详细参加下图。我们认为Beam首先必须推出智能合约和多签名功能(例如,通过无脚本脚本)来支持第二层解决方案,如闪电网络。
Beam合规
Beam合规性跟踪的主要目标是使Beam商业可用。Beam计划在其合规套件中增添一个“合规钱包”和一个“监管界面”,预计将针对具体国家的监管规定量身定制,目前暂定的上线日期是2020年。
结论
Beam采用了一种商业方法来构建一种价值储存匿名币。它有VC支持,并有全身心投入项目的带薪员工。因此,Beam能在不到一年的时间里从开发到上线。在Beam钱包和安全消息系统方面明确关注用户体验和易用性。另一方面,它的桌面钱包已经出现了一些小问题,可能会导致资金损失,这对如此年轻的项目可能有害。
Beam在其2019年路线图中概述了大型计划,包括在Beam上建立闪电网络,以及为企业和监管机构提供可审计的解决方案。Beam的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了内置选项。然而,Beam的合规性和可审计性方案尚未推出,可能会开放其他攻击向量。Beam有雄心勃勃的目标,在发布到主网之前,应该对这些目标进行彻底的测试,以避免粗心大意的错误导致用户资金或数据受损。如果Beam能够实现其计划,它将提供一组独特的功能,为业务用户解决明显的问题。
回顾
MimbleWimble的新颖之处在于,它通过协议版本的保密交易、CoinJoin和区块内和区块间的核销组合,增强隐私和效率,使更多设备参与保护网络。
Grin和Beam都是MimbleWimble的实现,但它们的相似性仅限于此。Ignotus Peverell (Grin的创始人)指出,“一个常见的误解是,MimbleWimble描述了一个完整的加密货币解决方案,因此往往把Beam和(Grin)相提并论。”
虽然这两个项目都旨在为用户改进隐私和效率,但它们在大部分技术、结构和组织上存在差异。引发最多讨论的是Grin的捐赠和志愿者驱动/密码朋克式(类似于比特币和Monero)的可持续性,与Beam的VC支持的初创公司方法(类似于Zcash)的创始人奖励和付费员工的可持续性。时间会证明哪种方法更好。在此之前,看看这些项目如何相互作用并相互学习将是一件有趣的事情。
想要获取更多区块链项目资讯,欢迎添加助手微信号:go-first-one 查看全部
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告下篇,主要讲述MW协议的具体用例及拓展等问题,相关原理背景可查看上篇文章,感谢支持!
MimbleWimble不是首个或唯一保护区块链隐私的方法。要对所有可用的隐私解决方案进行全面和深入的讨论超出了本报告的范围,但重要的是讨论替代方案。包括(但不限于)其他协议或底层匿名币(Zcash、Monero)、第二层隐私解决方案(Blockstream侧链)和交易层隐私(通过Samourai和Wasabi等钱包)。
匿名币
在Grin和Beam之前推出的2种匿名币是Zcash和Monero,这些币在协议层实现了匿名。Monero是一种基于CryptoNote协议的匿名币。Monero的一大优势是,默认情况下匿名。隐藏发送、接收地址和交易。Monero使用环形保密交易和隐蔽地址来实现匿名。环形签名会在交易中添加“诱饵”,而不会暴露哪些币经过签名,从而有效地混合了这些币。Monero的主要缺点是,即使使用了防弹技术,节省了大量空间,交易规模也是比特币交易的10倍。
Zcash的设计基于Zerocash协议。Zcash使用隐藏地址隐藏交易方,用zk-snark(一种零知识证明)隐藏交易金额。与Monero(以及基于mimblewimble的Grin和Beam)不同,Zcash默认不提供匿名性。在Zcash更新Sapling之前,创建一个保密交易需要大量的计算和时间。随着Sapling更新,隐藏交易所需的内存和时间减少了,这可能鼓励隐藏交易的使用。可选匿名性的另一个缺点是,隐藏交易可能被视为可疑。另一个受到批评的是Zcash信任设置。虽然Zooko Wilcox曾表示,破坏信任设置不会损害隐私,但比特币研究人员Peter Todd在与zk-snark开发者的交谈中表示反对。
侧链
侧链是一个通过双向锚定连接到一个基础层协议的独立区块链。双向锚定使得原来链上的币在验证过程中以固定比例与侧链资产交换。这些补充链可以支持基本层之外的其他特性和共识机制,以优化解决方案,包括但不仅限于匿名和扩容。比特币侧链公司Blockstream已经部署了一个这样的网络,最近推出的Liquid,默认情况下包含保密交易。Liquid使用一个由15个已知节点组成的小组(称为工作人员)来验证交易并生产区块,这以去中心化为代价加速了交易时间。虽然Liquid的治理更加中心化的,但是它解决了交易所遇到的特殊问题,例如赎回LBTC(Liquid的原生代币)。如果有单个网络节点宕机,这种模式将是非常有用的。此外,Liquid的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。Liquid的另一个缺点是,该平台的受信中介机构由Bitfinex和OKCoin等不受监管、历史上不安全的加密交易所组成。
匿名钱包
基于钱包的匿名解决方案(如Wasabi、Samourai或Breeze)的优势在于,它们可以在比特币(或其他币)的基础上构建,而无需更改底层协议。缺点是,如果没有在较短时间内找到匹配到资金,就会出现较小的匿名集和交易延迟。例如,Samourai的交错弹跳(Staggered Ricochet)可能需要2个小时才能到达接收方。此外,钱包对中心化平台的规则是匿名的。在2019年初,谷歌要求Samourai删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌应用商城的新规则。
尽管有很多增强隐私的方法,但这些技术尚处早期 (包括MimbleWimble、Grin和Beam)。每个人都有自己的权衡,目前还没有明确的答案来解决加密中的隐私问题。
Grin
Grin是MimbleWimble在编程语言Rust中的第一个开源实现。其白皮书由匿名开发者Ignotus Peverell于2016年10月20日发布。许多Grin核心开发者取了与哈利波特相关的绰号。Grin于2019年1月15日在主网上发布之前发布了4个测试网。无论过去还是现在,Grin备受加密社区赞扬,因为它与比特币相似,特别是它的匿名开发团队,公平发行(没有预挖矿、ICO或创始人奖励)和以捐赠为基础的资助模式。无论如何,Grin确实有几个显著特点:
· 货币政策:Grin被设计成一种交易媒介,而不是作为像比特币那样的价值储存手段。Grin的矿工奖励为60Grin/分钟(1Grin/秒)。早期会出现高通胀,但随着时间的推移,通胀会逐渐下降。
· 共识算法:在开始阶段,Grin将尝试通过使用两种PoW来实现去中心化,这两种算法都是Cuckoo Cycle的变形(一种是ASIC友好,另一种抗ASIC)。Cuckoo Cycle是一种新的、有争议的工作量证明算法;Handshake区块链白皮书描述了它的一些问题。
· 治理:Grin没有正式的治理流程,但有一个由8名成员组成的技术委员会,负责管理Grin的通用基金以及开发路线图,它还举行公开的治理和开发会议。
· 功能:Grin正在通过添加诸如无脚本脚本之类的功能来增强MimbleWimble协议,基于这样的功能来实现更复杂的「条件交易」功能。社区成员也在努力通过诸如grinbox和wallet713这样的解决方案来改善用户体验。
· 挑战:虽然Grin因其以捐赠为基础的资助模式而闻名,但依靠外部捐赠继续开发和改进也是一个挑战。此外,要使非技术用户使用Grin,还有很多工作要做。
自成立以来,Grin已在多家交易所上市,但它并没有请求上线交易所或支付上市费用。尽管社区乐于帮助交易所上线Grin,但Ignotus Peverell表示,他们“不会过多担心外部因素和(他们)无法真正控制的事情”。
挖矿算法
最初,Grin团队计划使用两种算法,一种是Cuckoo Cycle3 (John Tromp于2015年开发),另一种是Equihash算法Equigrin,该算法要求较高的内存。
由于对内存的需求,限制了CPU和高范围GPU的计算。在Cuckoo Cycle发展过程中,由于对静态随机存取存储器(SRAM)的要求,人们认为Cuckoo Cycle具有抗ASIC特性。受SRAM限制的算法使制造ASIC更加困难和昂贵。Cuckoo Cycle的创始人John Tromp说,“Cuckoo Cycle最初是为了让内存延迟成为瓶颈而设计的。现在,许多年过去了,我们意识到Cuckoo Cycle可以很好地利用…SRAM,在ASIC中使用SRAM相当便宜。我们期望ASIC比GPU具有更大的效率优势。”
2018年8月,社区承认(1)在现实中不可避免要使用ASIC,(2)在开始可能不利于启动分布式社区,但从长远来看并非坏事。相反,ASIC友好算法可以使网络更加安全,因为ASIC矿机增加了网络的哈希率,使攻击更加困难和昂贵。ASIC对于协议的长期成功是有好处的,因为投资了数千万美元的矿工在安全方面的诉求与协议保持一致。
另外,Derek Hsue认为,“任何产生持续抗ASIC的尝试都会产生秘密的ASIC芯片——这是有问题的。”
基于以上几点,Grin决定切换到由Cuckoo Cycle变形的工作量证明算法,这是,主要的ASIC友好(AF)算法和次要的抗ASIC(AR)算法,并逐步淘汰次要算法。Grin中的主要算法称为Cuckatoo31+,是Cuckoo Cycle的AF版本。被称为AF是因为它使用了数百MB的SRAM来提供比GPU更高的效率。第2种算法Cuckaroo29是一种内存硬AR PoW算法。然而,真正抗ASIC的唯一方法是进行有计划的硬分叉,不断调整算法(la Monero),使已生成的的ASIC作废。Grin将每6个月执行这样的分叉,以调整算法,以阻止该算法的ASIC生产,直到该算法在两年内逐步淘汰。
加密社区的一些成员密切关注Cuckoo Cycle算法的稳定性。John Tromp在2014年首次提出了这一概念,随着研究人员找到优化计算的方法,这一概念在短短时间内经历了数次修订。Cuckoo Cycle是基于图论问题。一个令人担忧的问题是,如果某个矿工比网络的其他矿工更快地计算出Cuckoo Cycle,那么它可能会获得优势。John Tromp认为,矿工的相对优势可能会随着迁移到更大的图论而增加。如果社区的其他成员实现相同的解决方案,这种优势就会消失。
一开始,Grin的结构是90%的区块用次算法挖矿,10%的区块用主算法挖矿。2年后,100%的区块将使用主算法进行挖矿。在未来2年,Cuckatoo31+(主算法)将获得更大比例的区块奖励,每月线性增长3.75%。Grin社区希望,到Cuckatoo31+占据100%的挖矿份额时,将出现多个ASIC制造商健康竞争的情况。Grin每经过60个区块窗口,会调整一次难度。
Grin矿池
miningpoolstats.com的数据显示,Cuckaroo29有15个矿池,Cuckatoo31+有11个矿池。在撰写本文时,前2个矿池星火矿池和鱼池)的算力之和是Cuckaroo29的82%,Cuckatoo31+的68%。星火矿池和鱼池都向Grin的开发者基金和通用基金提供了捐款。虽然算力似乎集中在矿池,但矿池由许多参与者组成,这些参与者可以选择离开矿池,并随意将其算力转移向其他地方。
第三大矿池是GrinMint,这是BlockCypher于2018年9月首次作为测试网推出的一个矿池,并于2019年1月在主网上推出。BlockCypher收取2.5%的费用,并表示将分配0.5%给Grin开发者社区。BlockCypher还有一位全职开发者为Grin工作(Quentin Le Sceller)。其他回馈Grin社区的矿池包括MimbleWimble Grin Pool和Grin -pool.org。
另一个值得批评的是,在Grin上线时,由风险资本支持的矿工控制了大量的算力。结果,原本是市场买家的投资人变成了加密货币的卖家。当矿池发现区块并获得挖矿奖励时,投资人会立即出售这些代币,因为其要以比特币支付矿工薪酬。
货币政策
Grin的线性发行率,以60Grin/分钟(1Grin/秒)的速率释放代币,供应无限。另一方面,比特币的硬顶为2100万,其供应通缩。每4年区块奖励减半,直到2140年左右达到接近0。该模型鼓励持有币,预期每枚币的价值会随着时间的推移而增加,使比特币作为一种价值储存手段变得有价值。
Grin的早期通胀率非常高,当有数百万枚币在流通,通胀率会随着时间的推移接近0,虽然它永远不会达到0。实际上,通胀率需要10年才能降到10%以下,25年才能降到4%(与2018年的比特币比率大致相同)。通胀率需要50年才能降到2%以下。然而在现实中,Grin团队认为,如果考虑币丢失的情况,通胀率将会降低。据团队称,每年丢失的币可能高达总供应量的2%,在计算通胀率时应将这部分排除在外。无限发行是缓解币丢失影响的一个潜在方案。
无限通货膨胀背后的另一个原因是,(1)与通缩相比,无论是否早期加入网络,通胀政策对参与者的回报和优惠更为公平(对于早期的矿工来说,这不是一个快速致富计划),和(2)如果预计明天的币价等同今天,它会更大的几率被用作交换媒介,这正是Grin的目标。由于币会被大幅稀释,短期到中期的高通胀会刺激消费,而非储蓄。社区认为,鼓励消费会扩大币的供应。
无限供应可以防止Grin最终只能依靠收费市场来确保网络安全——这也是比特币社区目前正在讨论/面临的挑战。一旦比特币的发行接近于0,该网络将必须转向仅收取交易费的模式,以奖励为保护比特币区块链而付出努力的矿工。这是一种新的区块链经济模式,但仍然会存在许多问题:1个区块打包多少交易?达到保护网络的每笔最低交易费是?以及旨在降低费用的第二层解决方案所带来的问题将如何影响底层区块链的安全性?
来源:grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者批评Grin的线性发行率没有上限,因为通胀降低了储蓄的购买力,这否定了将资产作为价值储存的观念。然而,Grin中的通胀是一种有意的设计,目的是鼓励消费,抢占币丢失问题的先机,并确保始终可以补偿那些保护网络安全的矿工。高通胀的一个不利之处是,区块奖励目前在总供应量中占相当大的比例,类似早期的比特币。由于矿池出售Grin奖励,换取比特币支付给矿工,可能会对比特币的价值产生负面影响。
治理
Grin的Lehnberg说:“治理是关于如何做出在参与者(参与决策的人)和利益相关者(受决策影响的人)看来合法的决策。目前Grin并没有一个明确的治理过程,但决策过程是透明的,并对社区开放。”
Grin有一个管理Grin通用基金并指导该项目发展的技术委员会。委员会成员包括Ignotus Peverell,Antioch Peverell,Hashmap, Jaspervdm,Lehnberg,Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner),John Tromp和Gary Yu。任何人都可以参加治理和开发会议,但通常最活跃的贡献者占据重要地位。
技术委员会每2周举行一次治理和开发会议,主题包括抗ASIC、筹资和指导资金使用、重大缺陷和漏洞、安全审计、交换集成、硬分叉等等。Grin还在Github页面上发布会议前后的议程、笔记和会议记录。在grin论坛上有一个关于治理的部分,其中有关于这个主题的帖子,表明社区正在积极思考如何从长远角度进行治理。
技术委员会使早期社区能快速和灵活地治理和开发,避免网络进程减慢。随着Grin的成长和成熟,人们一直在讨论建立一个更加结构化的治理过程,并进行检查和平衡。委员会成员和贡献者已明确表示,有必要确立一个更正式的流程:
· 为社区提供一种更结构化的方式来讨论和反馈
· 设置委员会的职权范围,以及向社区向委员会成员提供意见的规则。
· 所有利益相关方都可以提出自己的意见。包括核心开发者、一次性贡献者、矿工、用户、投资者、交易所等等。
缺点是,该委员会增加了中心化的因素,从长远来看,一个非官方的委员会不利于发展。一个例子是Burst PoCC,它的功能类似于Grin的技术委员会。有一天,他们对社区感到不满并意外退出,但仍然可以访问存储库、DNS注册等。他们还采取了其他恶意行为,如欺骗矿池和过早抛售,最终损害了Burst区块链。
融资
Grin是一个完全基于捐赠的开源项目。虽然它的发行很公平——没有ICO、预挖矿或创始人奖励,但缺点是开发和进展缓慢。Grin依靠无偿的兼职志愿者,为核心开发者基金、安全审计、营销和网络开发、会议等筹集捐款。
正如Tushar Jain指出,“没有资本主义的激励,发展将会被推迟。” Grin社区认识到了这一点。在通用基金页面上,他们说,“现实情况是,有了资金来源,将大大推动Grin的项目发展。这将使Grin更快、更稳定地发挥其潜力,有更好的基础设施支持,并有更大的机会与资金充足的区块链项目竞争(或共存)。”
Grin社区从2016年开始构建Grin,直到2019年1月才在主网上发布。MimbleWimble的另一个实现Beam(详见下方)——是一家由风投投资者支持的私人公司,从2018年初开始研发项目,并早于Grin一周推出。
此外,社区的核心开发者和贡献者Yeastplume (Michael Cordner),在最初难以筹集资金时,无法将全部精力投入Grin。只有在Ignotus Peverell对Cordner的募资活动(5.5万欧元)远未获得10%的资金表示失望之后,募资活动的捐款才开始上升。之后超额完成了筹资目标,在撰写本文时筹集了66,580欧元。
短期内依靠捐赠可能会奏效。然而,要维持发展并吸引人才加入该网络,Grin需要重新考虑其融资模式,因为它面临着资金充足、员工有薪项目的日益激烈竞争。
用户体验
如上所述,MimbleWimble去掉了地址。因此,发送方和接收方必须链下传递消息(称为“交易板”),交互式通信进行币的转让。有多种方法传递标准化的JSON消息。一种方法是文件传输,包含纯文本文件格式的JSON消息,可以通过多种方式传输(电子邮件、电报、Keybase、业余无线电、信鸽等),另一种方法是URL方法,其中API接受原始文本格式的JSON。
一组名为vault713的第三方开发者正在努力使Grin更加实用和更广泛采用。他们的第一个项目是交易协议Grinbox。这是一个消息中继服务,当与wallet713一起使用时,简化交易流程,wallet713由vault713的一个核心Grin钱包分叉而来,目前在Linux上运行。Grinbox和wallet713都旨在改进发送和存储Grin的流程。
首先,它们允许参与者创建公共地址来发送/接收资金,这样他们就不必公开IP地址。wallet713还允许用户将联系人姓名链接到其计算机本地存储的地址。此外,wallet713允许异步构建交易。vault713还在努力增加更多增强隐私和可用性的功能,如多签名支持、BTC和Grin之间的原子交换、在交易流入未确认交易池之前与其他wallet713用户联合使用CoinJoin、移动/网络/桌面GUI等等。
随着协议的成熟和人才的流入,将出现更多创建交易的方法。可能会出现基于NFC、QR、蓝牙等的近距离技术。最终,市场可能就一个方便且简单的方案达成一致,哪种方法能达成标准还有待时间考察。
Grin仅有几个月的历史,目前该协议最适合花时间和精力了解其工作原理的技术用户。虽然社区已经开始通过类似grinbox和wallet713来改善用户体验,但在让非技术用户舒服地在网络上交易之前,还需要时间进行迭代和教育。
结论
Grin最初吸引了密码朋克和密码无政府主义者,但其与比特币相似的精神也吸引了许多人。由于Grin匿名领导者、基于捐赠和草根性的资助模式、对隐私和去中心化的关注、以及其社区对推进项目而非快速赚钱的深切关注而受到赞扬。
但是主网上线只是Grin的第一步。要想让Grin获得长期成功并被广泛采用,还有大量工作要做。要解决的关键问题包括更可靠的筹资方式、更直观的用户体验以吸引更多用户进入网络,以及研究如何解决系统中的隐私漏洞(即监视节点创建交易图的能力)。
核心团队表示,其“主要关注点仍然是稳定性、性能和安全性。通过第三方开发团队将Grin集成到他们的服务和产品中来培育一个健康的生态系统,以提高采用和改进。”无需Grin核心开发者参与,相反,可由围绕Grin的生态系统的第三方开发者解决。
Grin仍然是一个非常新的项目,开创了未经测试的新思想、加密概念和技术。如果Grin解决关键挑战,就有可能成为一种将隐私交还给个人的方式。
Beam
Beam是一家由VC支持的初创公司,总部位于以色列,于2019年1月3日推出了一款基于MimbleWimble协议且专注于隐私的加密货币。它于2018年3月开始以C++做构建,并于2018年9月发布了测试网。虽然Beam和Grin的相似之处在于都是MimbleWimble的实现,旨在为用户增强隐私,但它们的方法不同。与Grin不同,Beam是一家雇佣开发者做开发的私营公司。Beam一开始是封闭其原始代码的,之后才开放。Beam的另一个重要区别是针对企业和监管机构的可选审计性。
· 货币政策:Beam的供应计划是通货紧缩,第1年后,区块奖励下降50%,之后每4年减半,直到达到2.63亿beam的硬顶。此外,20%区块奖励用作开发支付给Beam Treasury,以帮助为Beam未来的开发提供资金。
· 挖矿算法:Beam使用修改版的Equihash,一种工作量证明挖矿算法,提供网络共识。为了确保去中心化,Beam将在前12-18个月定期调整算法以抵抗ASIC。
· 治理:Beam目前是一家由VC支持的初创公司,拥有带薪员工。长期目标是将全面治理移交给管理Beam Treasury并维护协议的非盈利基金会。
· 功能:Beam正在添加一个可审计功能,这样企业就可以在不损害隐私的情况下证明其合规性并提供交易可见。Beam开发者还在探索一个安全的BBS系统,该系统将支持非交互式离线交易。
· 挑战:不断改进PoW协议是一项艰巨的任务,避免ASIC挖矿集成将使全网算力较低,从而网络攻击成本降低。此外,Beam目前是中心化的运营和治理结构,向更去中心化的模式转变需要避免所有投资方之间的权力斗争。
挖矿算法
Beam使用Equihash,这是卢森堡大学的Alex Biryukov和Dmitry Khovratovich创建的一种工作量证明算法。Equihash是一种基于广义生日问题的非对称内存约束算法。Equihash的另一个关键特性是随机挖矿,这意味着生成证明的可能性与过去的成功或失败无关。Equihash有2个参数可以调整:n(以位为单位的宽度)和k(长度),这2个参数决定了底层问题的复杂度,从而决定了算法的内存和时间复杂度。Beam上线时的Equihash参数:n=150, k=5。
Equihash在某种意义上是非对称的,因为它需要大量内存来生成一个证明,但不需要大量内存来验证它。这是Equihash的一个重要特性,因为大多数其他内存约束算法都对称,也就是说,验证证明与生成证明一样困难。内存限制指的是生成证明所花费的时间与内存而不是算力成比例。如果使用更少的内存,Equihash会不成比例地增加计算需求。
最初,内存是一种昂贵的资源,因此ASIC没有比常规CPU和GPU更好的内存优化。另一方面,ASIC比GPU有显著的带宽改进,而GPU又比CPU提供了显著的带宽改进。由于基础设施的改进,优化ASIC内存的成本低于预期。
Zcash也是一家专注于隐私的加密资产,也使用Equihash,最初选择Equihash是因为它抗ASIC。然而,比特大陆在2018年发布了蚂蚁矿机Z9mini,“通过与SRAM接口,以相对较低的成本”,比普通硬件更高效地开采Zcash。Beam在关于Equihash的帖子中强调,“卢森堡大学的研究人员发现,截至2018年5月,20%-30%的Equihash由ASIC挖矿。”
Beam表示,它已经设置了Equihash参数,让CPU和GPU矿工短期内比ASIC拥有优势,从而使币的初始分布更加广泛。然而,Beam认识到ASIC是不可避免的,甚至从长远来看是可取的,因为ASIC成本低廉,并且增加了网络哈希率,从而使其更安全,更难以攻击。
货币政策与融资
Beam的货币政策类似于比特币。特点是规定了一个硬顶和通缩发行计划,定期区块奖励减半(每开采一个区块可获得的代币数量减半),直到通胀率为0。因此,这家初创公司希望Beam能作为价值储存,而不是Grin这样的交换媒介。不过,比特币的相似之处就到此为止,然而,Beam的特殊之处还在于,Beam在第1年有更高的区块奖励,前5年区块奖励部分归于项目创始团队,出块时间为1分钟。
第1年,区块奖励为100 beam,高于通常的奖励,以激励矿工尽早加入网络,并将Beam引入市场。前5年收取20%(创始人费/开发税),所以第1年挖出的每个区块(包含100枚Beam),80枚将支付给矿工,20枚支付给Beam 基金会。在未来2到5年内,区块奖励减半至50枚beam,其中40枚beam支付给矿工,10枚beam支付给基金会。第6年,区块奖励将再次减半至25 枚beam(所有奖励都将支付给矿工),并在未来每4年减半一次,直到第129年。区块奖励将在第133年停止,届时Beam预计将拥有总计2.63亿beam的上限供应。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam采用了创始人奖励机制(也称为开发税),以回报投资者,并为正在进行的协议和工具开发提供财务激励。创始人奖励或费用是构建在区块链协议中的补充代码,该协议自动分割和发送区块奖励(coinbase交易)给区块矿工和创始人团队的地址。
这种方法显然不同于像ICO这样的预挖矿,或者像Dash这样的偷挖(insta-mine),给创始人一大笔流动资金作为报酬。尽管这2种方案都是早期团队成员所希望执行的,但这些报酬设计往往缺乏有效的资金管理或兑现计划。因此,在短期利益驱使下,资金挪用和骗局跑路的情况十分普遍。
创始人奖励则是指随着项目的发展逐渐补偿创始人。因此,初始的利益相关者更有动力去协调利益,维护网络的长期发展。Arjun Balaji指出:将奖励制度纳入协议,提供了透明且固有的资金分配和“以软或硬分叉降低退出摩擦”的自由。
创始人奖励结构最初是由Electric Coin Company(前身为Zcash Company)设计并推广。这家公司是专注于匿名加密资产Zcash的开发和维护Zacash的背后合资企业。起初,Zcash矿工只能获得80%区块奖励。剩下的20%将分配给Zcash基金会(一个支持Zcash开发的独立非盈利组织)、Electric Coin Company以及早期的Zcash开发者和顾问。继头4年之后,预先设定创始人奖励为0,以确保所有新发行的Zcash将全部归矿工直到达到2100万的硬顶。
Beam的融资模式与Zcash类似,在其早期阶段向Beam Treasury支付20%的创始人费。与Zcash不同的是,Beam将在头5年执行,包括第1年区块奖励为100Beam。在这5年结束时,应向Beam Treasury累计提供3150多万Beam。计划将35%的资金用于偿还早期投资者,另外45%的资金将分期偿还给核心团队成员和顾问。剩下的20%将用于支持Beam主权货币基金会(Beam Sovereign Money Foundation),这是该项目维护协议和治理的长期方案。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖励,Beam还从Recruit Co. LTD、Yeoman 's Capital和节点资本在内的各种风险投资基金筹集了500多万美元,用于聘请全职开发者来推进协议。这些投资者将定期获得Beam分期付款(创始人奖励的一部分),以协调每个利益相关者的利益。
Beam核心团队和早期投资者都认识到,更集中的努力将加快生产,并避免其它项目经常出现的长久不更新或主件延迟。因此,Beam的利益相关者选择了这种中心化的方法来指导项目度过初始阶段。随着Beam的不断成熟,其目标是实现更加去中心化的激励和治理结构,将区块奖励交给网络矿工,并将控制权交给社区。
不利的一面是,Beam没有让所有投资者平等参与。在主网上线之前就从投资者那里筹集资金,或者将部分资金分配给特定集团(即ICO、创始人奖励或预挖矿),都可能导致币的不平等分配。
与之相对的是与比特币和Grin类似的产品,在这些产品中,只能通过传统PoW挖矿获得加密资产。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络,挖出新的比特币或Grin。这样的发行往往会在网络用户之间展现出更公平的资金分配。
治理
目前Beam依靠一个位于特拉维夫的小型VC团队来确定所有协议更新和功能添加。因此,项目的组织结构更类似于私人创业公司,而不是大多数去中心化协议所显示的治理过程。这赋予Beam更能控制风险,以及快速转变和自由迭代,以满足市场需求,并加快其早期阶段的生产率。
Beam领导团队由首席执行官Alexander Saidelson、首席技术官Alex Romano、首席运营官Amir Aaronson和首席营销官Beni Issembert组成。其他核心成员主要由开发者以及一些设计人员和部门主管组成。该公司还从12位顾问那里获得见解,有OGroup首席执行官、通用电气(GE)新兴技术部门前首席信息官Maja Vujinovic和Genesis Mining首席执行官兼联合创始人Marco Streng。
随着协议的成熟,创始成员将把控制权从初始团队转移到Beam主权货币基金会(由杰出和受人尊敬的社区成员运营)。Beam认为,建立基金会将有助于实现其去中心化组织结构的目标。确定基金会职责和规则、纳入董事会成员的过程将在未来几个月进行,预计将于2019年底前启动。一旦基金会开始获得支持,当前的Beam公司计划转换为服务提供者的角色,在Beam协议的基础上构建最终用户应用程序。
大部分关于基金会的建立流程尚未公布,但已知的Beam基金会角色包括:
· 管理对Beam协议的改进提案和开发
· 资助和促进与Beam、MimbleWimble和蒲公英协议相关的研究
· 提高促进社区发展的意识
· 推动对数字货币和金融主权中对隐私重要性的认识
挑战
采用创业模式,Beam将面临与大多数创业公司相关的典型问题,并在缓和公众的看法,转向更去中心化的治理模式上处境更艰难。创业公司普遍失败率高,原因有很多,包括产品/市场不匹配、高消耗导致资金不足以及内部团队冲突。一个仅由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能陷整个项目于危境。
更艰巨的任务是获得足够的支持,以帮助将协议治理和开发工作从小型原始团队转移到整个社区。加密资产的一个重要评估指标是项目的去中心化程度,Beam有意延迟该指标。支持Beam策略的论点是项目早期“需要能够快速转动和迭代的自由”。用Arjun Balaji的话来说:“在早期优化去中心化的同时构建新型分布式网络几乎不可能”,因为这些目标本身就存在矛盾。
用户体验
Beam的钱包
Beam为非技术用户提供了图形用户界面(GUI)钱包,并为Mac、Windows和Linux提供了命令行界面(CLI)钱包。Beam桌面钱包创建了交易方可以彼此共享的公共地址。这些地址没有记录在区块链上。Beam最近还推出了Android手机钱包的测试版,并计划推出iOS手机钱包。该公司还表示,正在与硬件钱包供应商进行交流,以推出对Beam的支持。
SBBS
Beam试图通过使用安全公告牌系统(SBBS)使离线交易创建和异步通信更加无缝和安全。Beam的BBS是在上世纪80年代和90年代早期流行的电子公告板系统之后设计的。拥有家用电脑和调制解调器的用户可以通过固定电话与其他电脑连接,并在基于文本的公告牌系统(BBS)上留下信息,供他人查看。BBS主机是将计算机转换成地面数字会场。随着BBS变得越来越先进,用户可以玩基于文本的游戏,甚至可以方便地传输文件。
在Beam中,BBS钱包相当于家庭计算机加上调制解调器(它们是“客户端”),而Beam全节点相当于BBS主机(服务于服务器)。SBBS是节点软件的一部分,并且是链下维护。BBS全节点创建一个存储转发网络,将消息转发给脱机的接收方。消息使用公钥加密,然后通过Beam全节点转发到接收钱包。在这种情况下,公钥充当P2P系统中的地址。如果接收钱包离线, Beam的存储转发节点可以将消息存储在充当留言板的数据库中。参与者解密订阅留言板上的消息,但是只有具有相应私钥的参与者才能解密指向他们的消息。
Beam打算利用其钱包和SBBS,让用户体验类似于基于地址的区块链交易,并降低与基于MimbleWimble协议的加密资产交互的门槛。
Beam钱包面临的挑战
在1月9日发布后不久,Beam开发者就发现了钱包里的一个漏洞,这个漏洞会让用户的资金受到攻击。开发者发现他们在钱包代码中留下了一些不该留存的内容。虽然Beam在发布之前进行了多次代码审查和审计,但主要关注的是Beam加密实现的稳定性,这表明在审计钱包和SBBS时可能没有采用同样的严格标准。Beam宣布,补丁是在内部发现并修复的,没有资金被盗。建议用户卸载钱包,并从Beam网站重新下载更新后的版本。
1月21日,Beam出现了另一个问题,导致区块链在25,709区块暂停生产。原因是钱包使用不当。更具体地说,通过钱包克隆,单个交易中相同的UTXO发送到区块链上。这导致“不正确的核销处理,最终导致无效区块”。Beam在将近3个小时内没有生成区块,在大约5个小时内没有处理交易。
可审计性
Beam的一个关键区别在于,它专注于服务业务。除了MimbleWimble可能带来的改进之外,Beam还开发了一个可选合规和可审计功能(钱包审计或商业钱包),以帮助企业遵守法规并执行所需的审计。这允许企业创建一个附加审计员密钥的钱包,以便审计员识别由商业钱包创建的区块链上的标记交易。有了可选合规的功能,交易仍然匿名,而如果用户有需要,可以向审计人员报告。这为常规业务打开了加密资产的应用场景。
根据Zaidelson的说法,虽然实际的信息将由钱包生成并链下存储,但是区块链会将每个交易的信息引用存储为哈希值。Beam区块链不存储历史交易细节——它只存储引用过去交易的交易内核。在这次采访中,Zaidelson说Beam“可以用这个内核来存储额外的编码信息……包括发票或收据等压缩文件的哈希值。当用户进行审计时,审计人员可以检查数据是否与数据的加密哈希值匹配。
由于这个功能还在开发中,使它的实践具有不确定性。如果它成功了就可能会解决企业的一大痛点。一方面,像比特币这样的加密资产以向竞争对手披露保密信息为代价,提供了完全的透明度和可审计。另一方面,Zcash和Monero等加密资产中的匿名功能可以隐藏所有交易的痕迹,从而禁止任何类型的审计。
可审计性的挑战在于,企业必须安全地存储与哈希值对应的数据。此外,企业需要相信审计员不会与未经授权查看数据的其他方共享审计员密钥。虽然Beam可以创建一种共享私有数据的方法,但是审计人员可能不知道如何审计标记在Beam区块链上的交易。理论上,他们可以将这一功能外包出去,但这将扩大接触敏感数据的人群。
路线图
在主网上发布后不久,Beam发布了2019年的全面路线图。它分为2大类别,Beam Core(专注于改进和推进Beam核心协议)和Beam Compliance(专注于启动和迭代Beam对业务的合规性和可审核性计划)。长期来看,Beam已经的了一个名为“Lumini”的项目,将致力于在Beam和其他一些智能合同区块链(s)之间建立一座桥梁,并在Beam上推出保密资产。
Beam Core
Beam Core分为5个阶段——Agile Atom、Bright Boson、Clear Cathode、Double Doppler、和Eager Electron。路线图的亮点包括年底之前部署闪电网络作为第二层解决方案,实现Beam的快速支付,2019年3月以前推出Beam与比特币原子互换,按计划执行2个硬分叉来调整Equihash挖矿算法以抵抗ASIC,详细参加下图。我们认为Beam首先必须推出智能合约和多签名功能(例如,通过无脚本脚本)来支持第二层解决方案,如闪电网络。
Beam合规
Beam合规性跟踪的主要目标是使Beam商业可用。Beam计划在其合规套件中增添一个“合规钱包”和一个“监管界面”,预计将针对具体国家的监管规定量身定制,目前暂定的上线日期是2020年。
结论
Beam采用了一种商业方法来构建一种价值储存匿名币。它有VC支持,并有全身心投入项目的带薪员工。因此,Beam能在不到一年的时间里从开发到上线。在Beam钱包和安全消息系统方面明确关注用户体验和易用性。另一方面,它的桌面钱包已经出现了一些小问题,可能会导致资金损失,这对如此年轻的项目可能有害。
Beam在其2019年路线图中概述了大型计划,包括在Beam上建立闪电网络,以及为企业和监管机构提供可审计的解决方案。Beam的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了内置选项。然而,Beam的合规性和可审计性方案尚未推出,可能会开放其他攻击向量。Beam有雄心勃勃的目标,在发布到主网之前,应该对这些目标进行彻底的测试,以避免粗心大意的错误导致用户资金或数据受损。如果Beam能够实现其计划,它将提供一组独特的功能,为业务用户解决明显的问题。
回顾
MimbleWimble的新颖之处在于,它通过协议版本的保密交易、CoinJoin和区块内和区块间的核销组合,增强隐私和效率,使更多设备参与保护网络。
Grin和Beam都是MimbleWimble的实现,但它们的相似性仅限于此。Ignotus Peverell (Grin的创始人)指出,“一个常见的误解是,MimbleWimble描述了一个完整的加密货币解决方案,因此往往把Beam和(Grin)相提并论。”
虽然这两个项目都旨在为用户改进隐私和效率,但它们在大部分技术、结构和组织上存在差异。引发最多讨论的是Grin的捐赠和志愿者驱动/密码朋克式(类似于比特币和Monero)的可持续性,与Beam的VC支持的初创公司方法(类似于Zcash)的创始人奖励和付费员工的可持续性。时间会证明哪种方法更好。在此之前,看看这些项目如何相互作用并相互学习将是一件有趣的事情。
想要获取更多区块链项目资讯,欢迎添加助手微信号:go-first-one
Circle Research | MimbleWimble深度报告(上篇)
投研 • firstone 发表了文章 • 2019-03-28 10:36
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告上篇,主要讲述MW协议的背景原理和机制等问题,相关具体应用案例将在下篇文章中具体分析,敬请关注!
MimbleWimble
MimbleWimble是一种增强隐私和扩容的区块链协议。在不存储整个区块链历史记录的情况下,验证所有交易是否有效。它的名字来源于《哈利波特》中束缚舌头的咒语,这种咒语可以防止被施咒者泄露秘密。2016年,一个化名汤姆·埃尔维斯·杰多索的人在比特币奇才IRC聊天室分享了一个Tor链接,链接到一个概述MimbleWimble的文本文件,然后就消失了。
背景
Blockstream的数学家Andrew Poelstra对该协议很感兴趣,并于2016年10月发表了一篇关于MimbleWimble更详细、更强大的技术意见书。MimbleWimble是一个区块链协议,Grin和Beam是它的2个最初实现。在本篇报告中,我们将探索MimbleWimble、Grin和Beam。
来源:messari.io/onchainfx,coinmarketcap.com
加密社区的许多人一直在密切关注MimbleWimble协议,因为其旨在改进比特币和其他加密货币的关键问题,首次优化了隐私性和扩展性。
· 健全的隐私性:MimbleWimble将交易发送方、接收方和金额隐藏起来,让任何未参与交易的人无法查看。观察 者看到的交易由一些加密的输入和输出组成。他们可以验证已在链上的输入,并且等于输出货币的总和。这是对比特币等系统的改进,在比特币系统中,每个人都可以在比特币从一个地址转移到另一个地址时追踪其价值。
· 高效:MimbleWimble只允许验证者存储未使用的UTXO。所有其他加密货币强制矿工和外部验证者存储区块链的整个交易历史。这可以节省空间和更快的同步,因为随着区块链历史记录的增长,矿工可能被迫使用多个驱动器来存储整个历史记录。
验证者通过验证(1)输入的和等于输出的和,(2)交易不包含负数来检查MimbleWimble交易,以确保没有任何交易试图铸造新币。唯一可以铸币的交易是coinbase交易,这也是唯一可识别的交易。但是,验证者和观察者无法查看谁收到了区块奖励。
MimbleWimble的另一个重要特性是没有地址或公钥,只有输入和输出。每个UTXO都有一个密钥,接收方将UTXO密钥存储在他的钱包中。要发送UTXO,发送方必须在专用通道中与接收方联系,并执行多轮通信来构建交易。发送方使用自己的UTXO密钥对UTXO进行签名,而接收方通过通信获得了输出UTXO的新密钥。
问题
区块链是不可伪造的公共交易账簿。不可伪造意味着用户只能发送他们收到的资金——他们不能发送已使用资金或凭空创造资金。比特币和类似的区块链公开了发送方地址、接收方地址和交易金额,因此很容易验证发送的金额是否等于接收的金额,并且发送输入的是与这些输入对应的私钥。
比特币(以及其他加密资产)的公开性,可能会不被那些不想分享交易细节给所有人的人和企业的欢迎。此外,随着像Elliptic和Chainalysis这样的区块链分析公司崛起,研究人员可以将输出与非法交易联系起来,并将这些输出列入黑名单。币安的首席执行官曾在推特上表示,在社交媒体上报道了黑客向该交易所发送的资金后,他们能够冻结这些资金。然而,一些人认为这违反了非同质(fungibility)原则。非同质是指所有币都是一样,就像一张1美元的纸币与另一张1美元的纸币是一样的,不管这张纸币过去有什么活动。
比特币和所有其他区块链都要求矿工和其他验证者存储该链的整个交易历史,以验证所有交易都为有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这对希望与网络同步的新参与者在空间、时间和计算上有很大要求。在2019年之前,比特币区块链的大小约为200GB。
MIMBLEWIMBLE解决方案
MimbleWimble以一种聪明的方式使用密码学来实现不可伪造性,同时优化了隐私和扩展性。与比特币验证每个输出的整个历史不同,MimbleWimble检查所有输入减去区块链上所有输出之和是否为零来验证链(这加强了货币的一个基本特性,即发送的金额等于接收的金额)。MimbleWimble使用了保密交易、CoinJoin、范围证明和核销(cut-through)组合。
与比特币类似,MimbleWimble依赖于椭圆曲线密码学和UTXO模型。然而,MimbleWimble是一个更精简的版本,由于脚本的隐私性问题,它牺牲了可编程性。因此,无法执行更复杂和丰富的功能,如时间锁定或支付渠道(如闪电网络)。
快速了解:UTXO
比特币和MimbleWimble使用未花费的交易输出(UTXO)模型来计算余额。可以将此模型使用币与钞票或信用卡与借记卡支付商品和服务进行对比。例如,Alice想买一件30美元的衬衫,但她有2张20美元的钞票。她不能只给商人一张半的钞票。相反,她把2张钞票都给了商人,并收到一张10美元的钞票作为找零。
UTXO模型的功能与此类似:Alice有2个交易输出,分别是先前交易的1个BTC和0.5个BTC。她需要向商家支付1.3 BTC。她的钱包创建了一个交易,该交易发送1.5 BTC(2个新输出)。商户收到1.3个比特币,Alice收到0.2个比特币作为找零(扣除交易费用)。比特币用户查看区块浏览器,可以发现他们比特币地址发送的比特币数量通常比指定的要多。
快速了解:椭圆曲线密码学
椭圆曲线有几个特性,对复杂的密码协议非常有帮助。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点G,并将其乘以某个整数s,很容易得到另一个点P=sG。然而,给定(P,G),恢复s的值在计算上不可行。这使得我们可以使用(P,G)作为公钥,而s作为密钥。另一个性质是椭圆曲线上的点具有有用的代数性质:
1. 分配式:(a+b)G = aG+bG
2. 交换律:a(bG) = b(aG) = (ab)G
快速了解:佩德森承诺
佩德森承诺是结合了椭圆曲线的单向和代数特性的密码原语。对某些值(x,y)的承诺计算为P=xG+yH。虽然算出s=P/G在计算上不可行,但是从(P,G,H)计算出(x,y)也不可能,因为有无数的x和y的组合可以满足P=xG+yH关系。然而,知道单个(x,y)对满足这个等式的用户无法计算满足这个等式而不违反椭圆曲线单向特性的第二个 (x ',y ') 对。
保密交易
默认情况下,MimbleWimble依靠一种称为保密交易(CT)的加密概念来实现隐私。保密交易由Gregory Maxwell提出,他的灵感来自Adam Back对比特币的同态加密。保密交易使用佩德森承诺来隐藏UTXO的值。
在MimbleWimble中,交易输出或输入表示为佩德森承诺rG + vH。G和H是椭圆曲线上的随机点,是区块链的公共参数。V值为UTXO值,r为盲因子,是UTXO的密钥。rG值是对应的公钥。MimbleWimble使用佩德森承诺混淆敏感的交易信息,而不是显示明文的交易值。佩德森承诺允许使用基本算法来验证交易。
假设这样一个例子:我们有2个输入和1个输出。我们提供了样本值和盲因子,同时保留公共参数G和H作为变量。
交易内核
如上所述,保密交易的问题在于,它们要求输入和输出UTXO使用相同的盲因子,即接收方的密钥。如果发送方知道了接收方的盲因子值,她就可以窃取接收方的输出UTXO。MimbleWimble使用零知识证明克服了这个问题。
假设一个发送5个币的简单例子。发送方有一个未使用的UTXO,表示为承诺X=45G+5H,其中X=5,45是她的盲因子(r),或密钥。接收方选择一个随机盲因子7,并创建一个输出UTXO,表示为承诺Y=7G+5H。将输入与输出进行比较的验证者将看到超额的承诺:
X-Y = (45G+5H) - (7G+5H) = 38G
MimbleWimble将值38称为excess或内核,将值X-Y = 38G称为交易内核。在有效交易中,交易内核的形式总是X-Y = rG+0H,其中r是某个整数。即使使用多个输入和输出,如果输入值的和等于输出值的和,值乘以H等于零,等式成立。有效的交易内核总是公钥的形式,发送方和接收方都知道相应密钥的一部分。MimbleWimble有一个协议,该协议允许它们联合计算一个签名,使用它们的盲因子来签署交易。内核代表交易参与者的多重签名密钥。
范围证明
MimbleWimble协议要求交易金额为正,因此用户不能凭空创造币。正如我们所提到的,惟一能够铸造币的交易类型是coinbase交易。范围证明是一种密码技术,用于证明给定佩德森承诺X,证明者知道一对整数(r, min < v < max),使得X=rG+vH。MimbleWimble使用范围证明来证明v>0。MimbleWimble使用了最近介绍的防弹协议,一种范围证明方法,只需消耗~5000到~700字节。
无地址
如前所述,MimbleWimble不使用地址。删除地址背后的一个关键动机是增强隐私和扩大空间。在基于mimblewimb le的区块链中,用户必须在链下通信才能创建交易。发送方与接收方共享其控制一些币的证明,接收方接受对这些币的控制。由于没有公开分配币控制权的地址,因此没有发送交易的“标准”方式。因此,交易参与者需要设置一个聊天会话来共享控制证明并将控制传递给接收方。这与比特币(以及大多数其他区块链)很大不同,后者可以在没有接收方参与的情况下执行交易。
CoinJoin
解决交易公开性的一种方法是使用CoinJoin。CoinJoin是一种将输入组合成单个大交易的方法,这使得很难区分哪些输入在支付,哪些是输出。CoinJoin已在JoinMarket、ShufflePuff、DarkWallet、SharedCoin、Wasabi、Samourai中实现。基于钱包的CoinJoin的缺点是用户必须选择使用该服务。这降低了它的有效性,因为用户要么不知道这些服务,要么认为使用这些服务太麻烦,从而导致了一组小型CoinJoin交易(一个小型的“匿名集”)。这不能有效地隐藏原始地址和接收地址。此外,用户必须进行交互才能创建CoinJoin交易,因为每个输入所有者必须对整个组合交易签名才能对其进行身份验证。
在MimbleWimble中,默认情况下用户不需要选择CoinJoin。一个区块不会有单独交易,相反,它看起来像是一个大型交易。图1是下一个区块中包含的一组未改动交易的简化版本。在图2中,MimbleWimble以类似于CoinJoin的流程将交易连接在一起,这样就是一个单独交易,一个组合了所有输入和所有输出的列表。
核销(Cut-throuh)
保密交易比常规交易要大得多。CT比非CT小5倍。MimbleWimble使用一种称为核销的技术来解决这一挑战,以提高效率。
正如我们上面提到的,下载完整的比特币区块链占用了近200GB的空间,并且还在增加。如果比特币上的所有交易都是像MimbleWimble这样的保密交易,那么区块链的规模将会大上几个数量级。
MimbleWimble使用一个称为“核销”的流程来删除冗余输出,将这些输出再次用作同一区块内的输入,从而释放区块内的空间,减少需要存储在区块链上的数据量,同时保持相同的安全性。
在图3中,网络标识出绿色输出用作稍后的输入。网络从这个给定区块的输入/输出中删除这个冗余,以精简必须存储的数据。虽然MimbleWimble删除了输出,但它保留这些交易发生的授权,即内核。
微观层面上,MimbleWimble的区块没有使用该工具,而是在宏观层面上使用了核销,因此仅剩下区块头、UTXO和交易内核。节点可以使用这些关键数据片段来验证区块链。这意味着区块链可能会缩小,例如,如果有一个区块的输出花费的比创建的多。理论上,这可以减少证明分类账状态长期正确所需的数据量。
根据Grin的说法,假设1000万笔交易使用10万UTXO(相当于1个分类账),而不使用核销,则大约为130GB,其中包含128GB的交易数据、1GB的交易证明数据和250MB的区块头。通过核销,区块链的大小可以降低到1.8GB,输出数据为1GB, UTXO为520MB,区块头为250mb。Beam认为,当区块链达到同样规模时,其大小可能只是比特币的30%。
蒲公英协议
MimbleWimble隐私性面临的最大威胁是,节点可以在将交易广播到网络时记录这些交易,然后再将它们包含到一个区块中。在有核销之前,交易输出会在内存池(未经确认的交易池)中停留一些时间。这允许间谍节点构建交易图2,并可能发现发送方IP。
蒲公英协议不属于MimbleWimble,它是对Grin和Beam的补充。蒲公英试图降低间谍节点成功创建交易图的概率,方法是“在交易爆发之前先悄悄地在网络上转发,从而延迟交易在网络上出现”(Andreas Antonopoulos) 。
通常,当有人向区块链发送一个交易时,它会广播到网络上的所有节点。蒲公英将交易的广播分为2个阶段,从“stem”或“匿名”阶段开始,交易随机广播到一个节点,然后节点随机将交易发送到另一个节点,以此类推,直到达到系统将交易广播到整个网络的“fluff”阶段。这可以防止监视节点使用蒲公英将交易映射回原始地址。蒲公英++是对蒲公英的改进,使创建交易图更加困难。
在MimbleWimble中,还可以在stem阶段之前合并交易,使将输入链接到交易变得更加困难。Beam更进一步,在没有足够的输出进行合并的情况下,可以添加虚拟或诱饵输出。
蒲公英面临的一个关键挑战是,在stem阶段,如果将交易传递给随后离线的节点,交易将不会传播到网络。Grin和Beam解决了这一挑战——如果该交易没有在合理的时间内达到“fluff”阶段,交易自动广播到更广泛的网络。
无脚本脚本(Scriptless scripts)
MimbleWimble不支持交易脚本,而交易脚本是大多数区块链一个重要的特性。脚本是嵌入在交易中的代码,支持基本的智能合约功能。没有它,MimbleWimble就不能支持条件交易、使用时间锁、状态通道(例如闪电网络)、跨链原子交换等等。这是不可链接交易和核销付出的代价。验证者无法检查是否满足智能合约条件,因为相关UTXO及其条件可能已被删除。
当2016年8月发表第一篇MimbleWimble论文时,无条件交易对社区而言似乎还是一个限制。然而,Andrew Poelstra发现了一种用无脚本的脚本实现简单智能合约的方法。无脚本的脚本基于这样一种思想,即区块链验证者只需要检查签名是否存在并正确。它们不需要知道发生在链下的条件元素。Schnorr签名可用于支持无脚本的脚本。
具体地说,交易的参与者可以通过组合各自的签名密钥来创建Schnorr多重签名,从而交互式地生成签名,这个签名是唯一需要提交给节点并由节点验证的数据。
Aaron Van Wirdum解释,他举了一个网络用户想听艺术家歌曲的例子。艺术家和用户需要向区块链提交他们的组合Schnorr签名,以验证条件交易。艺术家拥有歌曲的版权,其对歌曲进行加密,密钥设为7000。
获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的Schnorr签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个适配器签名1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的Schnorr签名减去歌曲密钥的结果。然后用户也做Schnorr签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都在链下发生,除了艺术家和用户,没有人能发现单个值和步骤。验证者所看到的唯一内容是Schnorr组合签名13000。公众无法检测Schnorr签名。区块链上只记录了“交易结算”。可以通过添加支持Schnorr签名的新操作码来实现无脚本脚本。Grin和Beam正在实现无脚本脚本的过程中,并没有功能投入使用的确切时间。
无脚本的脚本可潜在支持保密资产、跨链原子交换和第二层扩容解决方案,比如在MimbleWimble区块链上使用闪电网络。无脚本脚本不一定要在MimbleWimble上实现,甚至可以扩展到其他区块链生态上。
结论
MimbleWimble基于经过验证的密码原语。其中一些区块构建已发表在同行评审的密码期刊上,以及写入公共白皮书和技术报告。首个MimbleWimble区块链Grin和Beam直到最近才推出。虽然MimbleWimble是一项新的实验性技术,但它有提供显著的隐私性和扩容优势的潜力,目前它还未解决用户体验和隐私方面的挑战。需要大量的测试和迭代,才能开源区块链上大规模地让隐私落实。目前,复杂的概念在实践中可能面临大量问题。
用户体验方面,没有地址,交易参与方需要交互并在线(虽然不一定同时在线)来签署和完成交易。与现有的加密资产相比较为复杂。
隐私方面,在CoinJoin和核销出现之前,矿工可以在mempool中看到交易。因此,监视网络的节点可以构建详细的交易图,从而损害隐私性,这违反了MimbleWimble的核心价值主张。虽然有蒲公英协议和虚拟UTXO等潜在的解决方案,但在实践中还有待完善。
欢迎添加小助手微信号:go-first-one 获取更多数据分析报告 查看全部
MimbleWimble
MimbleWimble是一种增强隐私和扩容的区块链协议。在不存储整个区块链历史记录的情况下,验证所有交易是否有效。它的名字来源于《哈利波特》中束缚舌头的咒语,这种咒语可以防止被施咒者泄露秘密。2016年,一个化名汤姆·埃尔维斯·杰多索的人在比特币奇才IRC聊天室分享了一个Tor链接,链接到一个概述MimbleWimble的文本文件,然后就消失了。
背景
Blockstream的数学家Andrew Poelstra对该协议很感兴趣,并于2016年10月发表了一篇关于MimbleWimble更详细、更强大的技术意见书。MimbleWimble是一个区块链协议,Grin和Beam是它的2个最初实现。在本篇报告中,我们将探索MimbleWimble、Grin和Beam。
来源:messari.io/onchainfx,coinmarketcap.com
加密社区的许多人一直在密切关注MimbleWimble协议,因为其旨在改进比特币和其他加密货币的关键问题,首次优化了隐私性和扩展性。
· 健全的隐私性:MimbleWimble将交易发送方、接收方和金额隐藏起来,让任何未参与交易的人无法查看。观察 者看到的交易由一些加密的输入和输出组成。他们可以验证已在链上的输入,并且等于输出货币的总和。这是对比特币等系统的改进,在比特币系统中,每个人都可以在比特币从一个地址转移到另一个地址时追踪其价值。
· 高效:MimbleWimble只允许验证者存储未使用的UTXO。所有其他加密货币强制矿工和外部验证者存储区块链的整个交易历史。这可以节省空间和更快的同步,因为随着区块链历史记录的增长,矿工可能被迫使用多个驱动器来存储整个历史记录。
验证者通过验证(1)输入的和等于输出的和,(2)交易不包含负数来检查MimbleWimble交易,以确保没有任何交易试图铸造新币。唯一可以铸币的交易是coinbase交易,这也是唯一可识别的交易。但是,验证者和观察者无法查看谁收到了区块奖励。
MimbleWimble的另一个重要特性是没有地址或公钥,只有输入和输出。每个UTXO都有一个密钥,接收方将UTXO密钥存储在他的钱包中。要发送UTXO,发送方必须在专用通道中与接收方联系,并执行多轮通信来构建交易。发送方使用自己的UTXO密钥对UTXO进行签名,而接收方通过通信获得了输出UTXO的新密钥。
问题
区块链是不可伪造的公共交易账簿。不可伪造意味着用户只能发送他们收到的资金——他们不能发送已使用资金或凭空创造资金。比特币和类似的区块链公开了发送方地址、接收方地址和交易金额,因此很容易验证发送的金额是否等于接收的金额,并且发送输入的是与这些输入对应的私钥。
比特币(以及其他加密资产)的公开性,可能会不被那些不想分享交易细节给所有人的人和企业的欢迎。此外,随着像Elliptic和Chainalysis这样的区块链分析公司崛起,研究人员可以将输出与非法交易联系起来,并将这些输出列入黑名单。币安的首席执行官曾在推特上表示,在社交媒体上报道了黑客向该交易所发送的资金后,他们能够冻结这些资金。然而,一些人认为这违反了非同质(fungibility)原则。非同质是指所有币都是一样,就像一张1美元的纸币与另一张1美元的纸币是一样的,不管这张纸币过去有什么活动。
比特币和所有其他区块链都要求矿工和其他验证者存储该链的整个交易历史,以验证所有交易都为有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这对希望与网络同步的新参与者在空间、时间和计算上有很大要求。在2019年之前,比特币区块链的大小约为200GB。
MIMBLEWIMBLE解决方案
MimbleWimble以一种聪明的方式使用密码学来实现不可伪造性,同时优化了隐私和扩展性。与比特币验证每个输出的整个历史不同,MimbleWimble检查所有输入减去区块链上所有输出之和是否为零来验证链(这加强了货币的一个基本特性,即发送的金额等于接收的金额)。MimbleWimble使用了保密交易、CoinJoin、范围证明和核销(cut-through)组合。
与比特币类似,MimbleWimble依赖于椭圆曲线密码学和UTXO模型。然而,MimbleWimble是一个更精简的版本,由于脚本的隐私性问题,它牺牲了可编程性。因此,无法执行更复杂和丰富的功能,如时间锁定或支付渠道(如闪电网络)。
快速了解:UTXO
比特币和MimbleWimble使用未花费的交易输出(UTXO)模型来计算余额。可以将此模型使用币与钞票或信用卡与借记卡支付商品和服务进行对比。例如,Alice想买一件30美元的衬衫,但她有2张20美元的钞票。她不能只给商人一张半的钞票。相反,她把2张钞票都给了商人,并收到一张10美元的钞票作为找零。
UTXO模型的功能与此类似:Alice有2个交易输出,分别是先前交易的1个BTC和0.5个BTC。她需要向商家支付1.3 BTC。她的钱包创建了一个交易,该交易发送1.5 BTC(2个新输出)。商户收到1.3个比特币,Alice收到0.2个比特币作为找零(扣除交易费用)。比特币用户查看区块浏览器,可以发现他们比特币地址发送的比特币数量通常比指定的要多。
快速了解:椭圆曲线密码学
椭圆曲线有几个特性,对复杂的密码协议非常有帮助。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点G,并将其乘以某个整数s,很容易得到另一个点P=sG。然而,给定(P,G),恢复s的值在计算上不可行。这使得我们可以使用(P,G)作为公钥,而s作为密钥。另一个性质是椭圆曲线上的点具有有用的代数性质:
1. 分配式:(a+b)G = aG+bG
2. 交换律:a(bG) = b(aG) = (ab)G
快速了解:佩德森承诺
佩德森承诺是结合了椭圆曲线的单向和代数特性的密码原语。对某些值(x,y)的承诺计算为P=xG+yH。虽然算出s=P/G在计算上不可行,但是从(P,G,H)计算出(x,y)也不可能,因为有无数的x和y的组合可以满足P=xG+yH关系。然而,知道单个(x,y)对满足这个等式的用户无法计算满足这个等式而不违反椭圆曲线单向特性的第二个 (x ',y ') 对。
保密交易
默认情况下,MimbleWimble依靠一种称为保密交易(CT)的加密概念来实现隐私。保密交易由Gregory Maxwell提出,他的灵感来自Adam Back对比特币的同态加密。保密交易使用佩德森承诺来隐藏UTXO的值。
在MimbleWimble中,交易输出或输入表示为佩德森承诺rG + vH。G和H是椭圆曲线上的随机点,是区块链的公共参数。V值为UTXO值,r为盲因子,是UTXO的密钥。rG值是对应的公钥。MimbleWimble使用佩德森承诺混淆敏感的交易信息,而不是显示明文的交易值。佩德森承诺允许使用基本算法来验证交易。
假设这样一个例子:我们有2个输入和1个输出。我们提供了样本值和盲因子,同时保留公共参数G和H作为变量。
交易内核
如上所述,保密交易的问题在于,它们要求输入和输出UTXO使用相同的盲因子,即接收方的密钥。如果发送方知道了接收方的盲因子值,她就可以窃取接收方的输出UTXO。MimbleWimble使用零知识证明克服了这个问题。
假设一个发送5个币的简单例子。发送方有一个未使用的UTXO,表示为承诺X=45G+5H,其中X=5,45是她的盲因子(r),或密钥。接收方选择一个随机盲因子7,并创建一个输出UTXO,表示为承诺Y=7G+5H。将输入与输出进行比较的验证者将看到超额的承诺:
X-Y = (45G+5H) - (7G+5H) = 38G
MimbleWimble将值38称为excess或内核,将值X-Y = 38G称为交易内核。在有效交易中,交易内核的形式总是X-Y = rG+0H,其中r是某个整数。即使使用多个输入和输出,如果输入值的和等于输出值的和,值乘以H等于零,等式成立。有效的交易内核总是公钥的形式,发送方和接收方都知道相应密钥的一部分。MimbleWimble有一个协议,该协议允许它们联合计算一个签名,使用它们的盲因子来签署交易。内核代表交易参与者的多重签名密钥。
范围证明
MimbleWimble协议要求交易金额为正,因此用户不能凭空创造币。正如我们所提到的,惟一能够铸造币的交易类型是coinbase交易。范围证明是一种密码技术,用于证明给定佩德森承诺X,证明者知道一对整数(r, min < v < max),使得X=rG+vH。MimbleWimble使用范围证明来证明v>0。MimbleWimble使用了最近介绍的防弹协议,一种范围证明方法,只需消耗~5000到~700字节。
无地址
如前所述,MimbleWimble不使用地址。删除地址背后的一个关键动机是增强隐私和扩大空间。在基于mimblewimb le的区块链中,用户必须在链下通信才能创建交易。发送方与接收方共享其控制一些币的证明,接收方接受对这些币的控制。由于没有公开分配币控制权的地址,因此没有发送交易的“标准”方式。因此,交易参与者需要设置一个聊天会话来共享控制证明并将控制传递给接收方。这与比特币(以及大多数其他区块链)很大不同,后者可以在没有接收方参与的情况下执行交易。
CoinJoin
解决交易公开性的一种方法是使用CoinJoin。CoinJoin是一种将输入组合成单个大交易的方法,这使得很难区分哪些输入在支付,哪些是输出。CoinJoin已在JoinMarket、ShufflePuff、DarkWallet、SharedCoin、Wasabi、Samourai中实现。基于钱包的CoinJoin的缺点是用户必须选择使用该服务。这降低了它的有效性,因为用户要么不知道这些服务,要么认为使用这些服务太麻烦,从而导致了一组小型CoinJoin交易(一个小型的“匿名集”)。这不能有效地隐藏原始地址和接收地址。此外,用户必须进行交互才能创建CoinJoin交易,因为每个输入所有者必须对整个组合交易签名才能对其进行身份验证。
在MimbleWimble中,默认情况下用户不需要选择CoinJoin。一个区块不会有单独交易,相反,它看起来像是一个大型交易。图1是下一个区块中包含的一组未改动交易的简化版本。在图2中,MimbleWimble以类似于CoinJoin的流程将交易连接在一起,这样就是一个单独交易,一个组合了所有输入和所有输出的列表。
核销(Cut-throuh)
保密交易比常规交易要大得多。CT比非CT小5倍。MimbleWimble使用一种称为核销的技术来解决这一挑战,以提高效率。
正如我们上面提到的,下载完整的比特币区块链占用了近200GB的空间,并且还在增加。如果比特币上的所有交易都是像MimbleWimble这样的保密交易,那么区块链的规模将会大上几个数量级。
MimbleWimble使用一个称为“核销”的流程来删除冗余输出,将这些输出再次用作同一区块内的输入,从而释放区块内的空间,减少需要存储在区块链上的数据量,同时保持相同的安全性。
在图3中,网络标识出绿色输出用作稍后的输入。网络从这个给定区块的输入/输出中删除这个冗余,以精简必须存储的数据。虽然MimbleWimble删除了输出,但它保留这些交易发生的授权,即内核。
微观层面上,MimbleWimble的区块没有使用该工具,而是在宏观层面上使用了核销,因此仅剩下区块头、UTXO和交易内核。节点可以使用这些关键数据片段来验证区块链。这意味着区块链可能会缩小,例如,如果有一个区块的输出花费的比创建的多。理论上,这可以减少证明分类账状态长期正确所需的数据量。
根据Grin的说法,假设1000万笔交易使用10万UTXO(相当于1个分类账),而不使用核销,则大约为130GB,其中包含128GB的交易数据、1GB的交易证明数据和250MB的区块头。通过核销,区块链的大小可以降低到1.8GB,输出数据为1GB, UTXO为520MB,区块头为250mb。Beam认为,当区块链达到同样规模时,其大小可能只是比特币的30%。
蒲公英协议
MimbleWimble隐私性面临的最大威胁是,节点可以在将交易广播到网络时记录这些交易,然后再将它们包含到一个区块中。在有核销之前,交易输出会在内存池(未经确认的交易池)中停留一些时间。这允许间谍节点构建交易图2,并可能发现发送方IP。
蒲公英协议不属于MimbleWimble,它是对Grin和Beam的补充。蒲公英试图降低间谍节点成功创建交易图的概率,方法是“在交易爆发之前先悄悄地在网络上转发,从而延迟交易在网络上出现”(Andreas Antonopoulos) 。
通常,当有人向区块链发送一个交易时,它会广播到网络上的所有节点。蒲公英将交易的广播分为2个阶段,从“stem”或“匿名”阶段开始,交易随机广播到一个节点,然后节点随机将交易发送到另一个节点,以此类推,直到达到系统将交易广播到整个网络的“fluff”阶段。这可以防止监视节点使用蒲公英将交易映射回原始地址。蒲公英++是对蒲公英的改进,使创建交易图更加困难。
在MimbleWimble中,还可以在stem阶段之前合并交易,使将输入链接到交易变得更加困难。Beam更进一步,在没有足够的输出进行合并的情况下,可以添加虚拟或诱饵输出。
蒲公英面临的一个关键挑战是,在stem阶段,如果将交易传递给随后离线的节点,交易将不会传播到网络。Grin和Beam解决了这一挑战——如果该交易没有在合理的时间内达到“fluff”阶段,交易自动广播到更广泛的网络。
无脚本脚本(Scriptless scripts)
MimbleWimble不支持交易脚本,而交易脚本是大多数区块链一个重要的特性。脚本是嵌入在交易中的代码,支持基本的智能合约功能。没有它,MimbleWimble就不能支持条件交易、使用时间锁、状态通道(例如闪电网络)、跨链原子交换等等。这是不可链接交易和核销付出的代价。验证者无法检查是否满足智能合约条件,因为相关UTXO及其条件可能已被删除。
当2016年8月发表第一篇MimbleWimble论文时,无条件交易对社区而言似乎还是一个限制。然而,Andrew Poelstra发现了一种用无脚本的脚本实现简单智能合约的方法。无脚本的脚本基于这样一种思想,即区块链验证者只需要检查签名是否存在并正确。它们不需要知道发生在链下的条件元素。Schnorr签名可用于支持无脚本的脚本。
具体地说,交易的参与者可以通过组合各自的签名密钥来创建Schnorr多重签名,从而交互式地生成签名,这个签名是唯一需要提交给节点并由节点验证的数据。
Aaron Van Wirdum解释,他举了一个网络用户想听艺术家歌曲的例子。艺术家和用户需要向区块链提交他们的组合Schnorr签名,以验证条件交易。艺术家拥有歌曲的版权,其对歌曲进行加密,密钥设为7000。
获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的Schnorr签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个适配器签名1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的Schnorr签名减去歌曲密钥的结果。然后用户也做Schnorr签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都在链下发生,除了艺术家和用户,没有人能发现单个值和步骤。验证者所看到的唯一内容是Schnorr组合签名13000。公众无法检测Schnorr签名。区块链上只记录了“交易结算”。可以通过添加支持Schnorr签名的新操作码来实现无脚本脚本。Grin和Beam正在实现无脚本脚本的过程中,并没有功能投入使用的确切时间。
无脚本的脚本可潜在支持保密资产、跨链原子交换和第二层扩容解决方案,比如在MimbleWimble区块链上使用闪电网络。无脚本脚本不一定要在MimbleWimble上实现,甚至可以扩展到其他区块链生态上。
结论
MimbleWimble基于经过验证的密码原语。其中一些区块构建已发表在同行评审的密码期刊上,以及写入公共白皮书和技术报告。首个MimbleWimble区块链Grin和Beam直到最近才推出。虽然MimbleWimble是一项新的实验性技术,但它有提供显著的隐私性和扩容优势的潜力,目前它还未解决用户体验和隐私方面的挑战。需要大量的测试和迭代,才能开源区块链上大规模地让隐私落实。目前,复杂的概念在实践中可能面临大量问题。
用户体验方面,没有地址,交易参与方需要交互并在线(虽然不一定同时在线)来签署和完成交易。与现有的加密资产相比较为复杂。
隐私方面,在CoinJoin和核销出现之前,矿工可以在mempool中看到交易。因此,监视网络的节点可以构建详细的交易图,从而损害隐私性,这违反了MimbleWimble的核心价值主张。虽然有蒲公英协议和虚拟UTXO等潜在的解决方案,但在实践中还有待完善。
欢迎添加小助手微信号:go-first-one 获取更多数据分析报告 查看全部
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告上篇,主要讲述MW协议的背景原理和机制等问题,相关具体应用案例将在下篇文章中具体分析,敬请关注!
MimbleWimble
MimbleWimble是一种增强隐私和扩容的区块链协议。在不存储整个区块链历史记录的情况下,验证所有交易是否有效。它的名字来源于《哈利波特》中束缚舌头的咒语,这种咒语可以防止被施咒者泄露秘密。2016年,一个化名汤姆·埃尔维斯·杰多索的人在比特币奇才IRC聊天室分享了一个Tor链接,链接到一个概述MimbleWimble的文本文件,然后就消失了。
背景
Blockstream的数学家Andrew Poelstra对该协议很感兴趣,并于2016年10月发表了一篇关于MimbleWimble更详细、更强大的技术意见书。MimbleWimble是一个区块链协议,Grin和Beam是它的2个最初实现。在本篇报告中,我们将探索MimbleWimble、Grin和Beam。
来源:messari.io/onchainfx,coinmarketcap.com
加密社区的许多人一直在密切关注MimbleWimble协议,因为其旨在改进比特币和其他加密货币的关键问题,首次优化了隐私性和扩展性。
· 健全的隐私性:MimbleWimble将交易发送方、接收方和金额隐藏起来,让任何未参与交易的人无法查看。观察 者看到的交易由一些加密的输入和输出组成。他们可以验证已在链上的输入,并且等于输出货币的总和。这是对比特币等系统的改进,在比特币系统中,每个人都可以在比特币从一个地址转移到另一个地址时追踪其价值。
· 高效:MimbleWimble只允许验证者存储未使用的UTXO。所有其他加密货币强制矿工和外部验证者存储区块链的整个交易历史。这可以节省空间和更快的同步,因为随着区块链历史记录的增长,矿工可能被迫使用多个驱动器来存储整个历史记录。
验证者通过验证(1)输入的和等于输出的和,(2)交易不包含负数来检查MimbleWimble交易,以确保没有任何交易试图铸造新币。唯一可以铸币的交易是coinbase交易,这也是唯一可识别的交易。但是,验证者和观察者无法查看谁收到了区块奖励。
MimbleWimble的另一个重要特性是没有地址或公钥,只有输入和输出。每个UTXO都有一个密钥,接收方将UTXO密钥存储在他的钱包中。要发送UTXO,发送方必须在专用通道中与接收方联系,并执行多轮通信来构建交易。发送方使用自己的UTXO密钥对UTXO进行签名,而接收方通过通信获得了输出UTXO的新密钥。
问题
区块链是不可伪造的公共交易账簿。不可伪造意味着用户只能发送他们收到的资金——他们不能发送已使用资金或凭空创造资金。比特币和类似的区块链公开了发送方地址、接收方地址和交易金额,因此很容易验证发送的金额是否等于接收的金额,并且发送输入的是与这些输入对应的私钥。
比特币(以及其他加密资产)的公开性,可能会不被那些不想分享交易细节给所有人的人和企业的欢迎。此外,随着像Elliptic和Chainalysis这样的区块链分析公司崛起,研究人员可以将输出与非法交易联系起来,并将这些输出列入黑名单。币安的首席执行官曾在推特上表示,在社交媒体上报道了黑客向该交易所发送的资金后,他们能够冻结这些资金。然而,一些人认为这违反了非同质(fungibility)原则。非同质是指所有币都是一样,就像一张1美元的纸币与另一张1美元的纸币是一样的,不管这张纸币过去有什么活动。
比特币和所有其他区块链都要求矿工和其他验证者存储该链的整个交易历史,以验证所有交易都为有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这对希望与网络同步的新参与者在空间、时间和计算上有很大要求。在2019年之前,比特币区块链的大小约为200GB。
MIMBLEWIMBLE解决方案
MimbleWimble以一种聪明的方式使用密码学来实现不可伪造性,同时优化了隐私和扩展性。与比特币验证每个输出的整个历史不同,MimbleWimble检查所有输入减去区块链上所有输出之和是否为零来验证链(这加强了货币的一个基本特性,即发送的金额等于接收的金额)。MimbleWimble使用了保密交易、CoinJoin、范围证明和核销(cut-through)组合。
与比特币类似,MimbleWimble依赖于椭圆曲线密码学和UTXO模型。然而,MimbleWimble是一个更精简的版本,由于脚本的隐私性问题,它牺牲了可编程性。因此,无法执行更复杂和丰富的功能,如时间锁定或支付渠道(如闪电网络)。
快速了解:UTXO
比特币和MimbleWimble使用未花费的交易输出(UTXO)模型来计算余额。可以将此模型使用币与钞票或信用卡与借记卡支付商品和服务进行对比。例如,Alice想买一件30美元的衬衫,但她有2张20美元的钞票。她不能只给商人一张半的钞票。相反,她把2张钞票都给了商人,并收到一张10美元的钞票作为找零。
UTXO模型的功能与此类似:Alice有2个交易输出,分别是先前交易的1个BTC和0.5个BTC。她需要向商家支付1.3 BTC。她的钱包创建了一个交易,该交易发送1.5 BTC(2个新输出)。商户收到1.3个比特币,Alice收到0.2个比特币作为找零(扣除交易费用)。比特币用户查看区块浏览器,可以发现他们比特币地址发送的比特币数量通常比指定的要多。
快速了解:椭圆曲线密码学
椭圆曲线有几个特性,对复杂的密码协议非常有帮助。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点G,并将其乘以某个整数s,很容易得到另一个点P=sG。然而,给定(P,G),恢复s的值在计算上不可行。这使得我们可以使用(P,G)作为公钥,而s作为密钥。另一个性质是椭圆曲线上的点具有有用的代数性质:
1. 分配式:(a+b)G = aG+bG
2. 交换律:a(bG) = b(aG) = (ab)G
快速了解:佩德森承诺
佩德森承诺是结合了椭圆曲线的单向和代数特性的密码原语。对某些值(x,y)的承诺计算为P=xG+yH。虽然算出s=P/G在计算上不可行,但是从(P,G,H)计算出(x,y)也不可能,因为有无数的x和y的组合可以满足P=xG+yH关系。然而,知道单个(x,y)对满足这个等式的用户无法计算满足这个等式而不违反椭圆曲线单向特性的第二个 (x ',y ') 对。
保密交易
默认情况下,MimbleWimble依靠一种称为保密交易(CT)的加密概念来实现隐私。保密交易由Gregory Maxwell提出,他的灵感来自Adam Back对比特币的同态加密。保密交易使用佩德森承诺来隐藏UTXO的值。
在MimbleWimble中,交易输出或输入表示为佩德森承诺rG + vH。G和H是椭圆曲线上的随机点,是区块链的公共参数。V值为UTXO值,r为盲因子,是UTXO的密钥。rG值是对应的公钥。MimbleWimble使用佩德森承诺混淆敏感的交易信息,而不是显示明文的交易值。佩德森承诺允许使用基本算法来验证交易。
假设这样一个例子:我们有2个输入和1个输出。我们提供了样本值和盲因子,同时保留公共参数G和H作为变量。
交易内核
如上所述,保密交易的问题在于,它们要求输入和输出UTXO使用相同的盲因子,即接收方的密钥。如果发送方知道了接收方的盲因子值,她就可以窃取接收方的输出UTXO。MimbleWimble使用零知识证明克服了这个问题。
假设一个发送5个币的简单例子。发送方有一个未使用的UTXO,表示为承诺X=45G+5H,其中X=5,45是她的盲因子(r),或密钥。接收方选择一个随机盲因子7,并创建一个输出UTXO,表示为承诺Y=7G+5H。将输入与输出进行比较的验证者将看到超额的承诺:
X-Y = (45G+5H) - (7G+5H) = 38G
MimbleWimble将值38称为excess或内核,将值X-Y = 38G称为交易内核。在有效交易中,交易内核的形式总是X-Y = rG+0H,其中r是某个整数。即使使用多个输入和输出,如果输入值的和等于输出值的和,值乘以H等于零,等式成立。有效的交易内核总是公钥的形式,发送方和接收方都知道相应密钥的一部分。MimbleWimble有一个协议,该协议允许它们联合计算一个签名,使用它们的盲因子来签署交易。内核代表交易参与者的多重签名密钥。
范围证明
MimbleWimble协议要求交易金额为正,因此用户不能凭空创造币。正如我们所提到的,惟一能够铸造币的交易类型是coinbase交易。范围证明是一种密码技术,用于证明给定佩德森承诺X,证明者知道一对整数(r, min < v < max),使得X=rG+vH。MimbleWimble使用范围证明来证明v>0。MimbleWimble使用了最近介绍的防弹协议,一种范围证明方法,只需消耗~5000到~700字节。
无地址
如前所述,MimbleWimble不使用地址。删除地址背后的一个关键动机是增强隐私和扩大空间。在基于mimblewimb le的区块链中,用户必须在链下通信才能创建交易。发送方与接收方共享其控制一些币的证明,接收方接受对这些币的控制。由于没有公开分配币控制权的地址,因此没有发送交易的“标准”方式。因此,交易参与者需要设置一个聊天会话来共享控制证明并将控制传递给接收方。这与比特币(以及大多数其他区块链)很大不同,后者可以在没有接收方参与的情况下执行交易。
CoinJoin
解决交易公开性的一种方法是使用CoinJoin。CoinJoin是一种将输入组合成单个大交易的方法,这使得很难区分哪些输入在支付,哪些是输出。CoinJoin已在JoinMarket、ShufflePuff、DarkWallet、SharedCoin、Wasabi、Samourai中实现。基于钱包的CoinJoin的缺点是用户必须选择使用该服务。这降低了它的有效性,因为用户要么不知道这些服务,要么认为使用这些服务太麻烦,从而导致了一组小型CoinJoin交易(一个小型的“匿名集”)。这不能有效地隐藏原始地址和接收地址。此外,用户必须进行交互才能创建CoinJoin交易,因为每个输入所有者必须对整个组合交易签名才能对其进行身份验证。
在MimbleWimble中,默认情况下用户不需要选择CoinJoin。一个区块不会有单独交易,相反,它看起来像是一个大型交易。图1是下一个区块中包含的一组未改动交易的简化版本。在图2中,MimbleWimble以类似于CoinJoin的流程将交易连接在一起,这样就是一个单独交易,一个组合了所有输入和所有输出的列表。
核销(Cut-throuh)
保密交易比常规交易要大得多。CT比非CT小5倍。MimbleWimble使用一种称为核销的技术来解决这一挑战,以提高效率。
正如我们上面提到的,下载完整的比特币区块链占用了近200GB的空间,并且还在增加。如果比特币上的所有交易都是像MimbleWimble这样的保密交易,那么区块链的规模将会大上几个数量级。
MimbleWimble使用一个称为“核销”的流程来删除冗余输出,将这些输出再次用作同一区块内的输入,从而释放区块内的空间,减少需要存储在区块链上的数据量,同时保持相同的安全性。
在图3中,网络标识出绿色输出用作稍后的输入。网络从这个给定区块的输入/输出中删除这个冗余,以精简必须存储的数据。虽然MimbleWimble删除了输出,但它保留这些交易发生的授权,即内核。
微观层面上,MimbleWimble的区块没有使用该工具,而是在宏观层面上使用了核销,因此仅剩下区块头、UTXO和交易内核。节点可以使用这些关键数据片段来验证区块链。这意味着区块链可能会缩小,例如,如果有一个区块的输出花费的比创建的多。理论上,这可以减少证明分类账状态长期正确所需的数据量。
根据Grin的说法,假设1000万笔交易使用10万UTXO(相当于1个分类账),而不使用核销,则大约为130GB,其中包含128GB的交易数据、1GB的交易证明数据和250MB的区块头。通过核销,区块链的大小可以降低到1.8GB,输出数据为1GB, UTXO为520MB,区块头为250mb。Beam认为,当区块链达到同样规模时,其大小可能只是比特币的30%。
蒲公英协议
MimbleWimble隐私性面临的最大威胁是,节点可以在将交易广播到网络时记录这些交易,然后再将它们包含到一个区块中。在有核销之前,交易输出会在内存池(未经确认的交易池)中停留一些时间。这允许间谍节点构建交易图2,并可能发现发送方IP。
蒲公英协议不属于MimbleWimble,它是对Grin和Beam的补充。蒲公英试图降低间谍节点成功创建交易图的概率,方法是“在交易爆发之前先悄悄地在网络上转发,从而延迟交易在网络上出现”(Andreas Antonopoulos) 。
通常,当有人向区块链发送一个交易时,它会广播到网络上的所有节点。蒲公英将交易的广播分为2个阶段,从“stem”或“匿名”阶段开始,交易随机广播到一个节点,然后节点随机将交易发送到另一个节点,以此类推,直到达到系统将交易广播到整个网络的“fluff”阶段。这可以防止监视节点使用蒲公英将交易映射回原始地址。蒲公英++是对蒲公英的改进,使创建交易图更加困难。
在MimbleWimble中,还可以在stem阶段之前合并交易,使将输入链接到交易变得更加困难。Beam更进一步,在没有足够的输出进行合并的情况下,可以添加虚拟或诱饵输出。
蒲公英面临的一个关键挑战是,在stem阶段,如果将交易传递给随后离线的节点,交易将不会传播到网络。Grin和Beam解决了这一挑战——如果该交易没有在合理的时间内达到“fluff”阶段,交易自动广播到更广泛的网络。
无脚本脚本(Scriptless scripts)
MimbleWimble不支持交易脚本,而交易脚本是大多数区块链一个重要的特性。脚本是嵌入在交易中的代码,支持基本的智能合约功能。没有它,MimbleWimble就不能支持条件交易、使用时间锁、状态通道(例如闪电网络)、跨链原子交换等等。这是不可链接交易和核销付出的代价。验证者无法检查是否满足智能合约条件,因为相关UTXO及其条件可能已被删除。
当2016年8月发表第一篇MimbleWimble论文时,无条件交易对社区而言似乎还是一个限制。然而,Andrew Poelstra发现了一种用无脚本的脚本实现简单智能合约的方法。无脚本的脚本基于这样一种思想,即区块链验证者只需要检查签名是否存在并正确。它们不需要知道发生在链下的条件元素。Schnorr签名可用于支持无脚本的脚本。
具体地说,交易的参与者可以通过组合各自的签名密钥来创建Schnorr多重签名,从而交互式地生成签名,这个签名是唯一需要提交给节点并由节点验证的数据。
Aaron Van Wirdum解释,他举了一个网络用户想听艺术家歌曲的例子。艺术家和用户需要向区块链提交他们的组合Schnorr签名,以验证条件交易。艺术家拥有歌曲的版权,其对歌曲进行加密,密钥设为7000。
获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的Schnorr签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个适配器签名1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的Schnorr签名减去歌曲密钥的结果。然后用户也做Schnorr签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都在链下发生,除了艺术家和用户,没有人能发现单个值和步骤。验证者所看到的唯一内容是Schnorr组合签名13000。公众无法检测Schnorr签名。区块链上只记录了“交易结算”。可以通过添加支持Schnorr签名的新操作码来实现无脚本脚本。Grin和Beam正在实现无脚本脚本的过程中,并没有功能投入使用的确切时间。
无脚本的脚本可潜在支持保密资产、跨链原子交换和第二层扩容解决方案,比如在MimbleWimble区块链上使用闪电网络。无脚本脚本不一定要在MimbleWimble上实现,甚至可以扩展到其他区块链生态上。
结论
MimbleWimble基于经过验证的密码原语。其中一些区块构建已发表在同行评审的密码期刊上,以及写入公共白皮书和技术报告。首个MimbleWimble区块链Grin和Beam直到最近才推出。虽然MimbleWimble是一项新的实验性技术,但它有提供显著的隐私性和扩容优势的潜力,目前它还未解决用户体验和隐私方面的挑战。需要大量的测试和迭代,才能开源区块链上大规模地让隐私落实。目前,复杂的概念在实践中可能面临大量问题。
用户体验方面,没有地址,交易参与方需要交互并在线(虽然不一定同时在线)来签署和完成交易。与现有的加密资产相比较为复杂。
隐私方面,在CoinJoin和核销出现之前,矿工可以在mempool中看到交易。因此,监视网络的节点可以构建详细的交易图,从而损害隐私性,这违反了MimbleWimble的核心价值主张。虽然有蒲公英协议和虚拟UTXO等潜在的解决方案,但在实践中还有待完善。
欢迎添加小助手微信号:go-first-one 获取更多数据分析报告
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
项目 • chainnews 发表了文章 • 2019-03-22 16:01
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(1)
续上文……
管理
在目前的状态下,Beam 依靠位于特拉维夫的小型 VC 支持的团队来开发项目的所有更新并增加新的功能。因此,项目的组织结构类似于私人创业公司,而不是大多数区块链项目所展示的管理流程。这使得 Beam 能够控制项目风险并实现快速可控的迭代开发,从而在早期阶段提高项目研发效率并快速上线满足市场需求。
Beam 领导团队由首席执行官 Alexander Saidelson,首席技术官 Alex Romano,首席运营官 Amir Aaronson 和 CMO Beni Issembert 组成。其他核心成员主要由开发人员以及一些设计师和部门主管组成。该公司还从 12 位顾问那里获得了见解,其中包括 OGroup 的首席执行官、通用电气 (GE) 新兴技术部门前首席信息官玛嘉•武吉诺维奇 (Maja Vujinovic) 和 Genesis Mining 的首席执行官兼联合创始人马可•斯特兰 (Marco Streng)。
随着项目的逐渐成熟,创始成员将把控制权从创始团队手上转移到 Beam 主权货币基金会 (Beam Sovereign Money Foundation),这是一个独立的非盈利基金会,旨在由杰出和受人尊敬的社区成员运营。Beam 认为,建立基金会将有助于实现其分散组织结构的目标。预计在未来几个月内,2019 年底前,Beam 将会确定基金会职责和规则并组建董事会。,一旦基金会开始运作,当前的 Beam 公司将转换为基金供应商角色,在 Beam 区块链上开发上层用户应用程序。
关于基金会建立过程的大部分信息还尚未公布,但 Beam 基金会的作用包括:
管理 Beam 改进的提案并组织开发;
资助和促进与 Beam,MimbleWimble 和蒲公英技术相关的研究;
提高认知,帮助发展社区;
在数字货币和金融主权中强调隐私的重要性。
挑战
因为采用创业公司的模式,Beam 将面对与大多数区块链创业公司一样的问题:在维护用户看法的同时,转向更去中心化的管理模式的这一典型问题。创业公司普遍存在高失败率的问题,原因有很多,包括产品与市场不匹配、开销过大导致资金不足以解决团队内部冲突。一个由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能威胁到整个项目。
更艰巨的任务是需要获得足够的支持,以帮助将管理和开发工作从小型创始团队转移到整个社区。一个重要的区块链项目评估指标是项目的去中心化程度,而 Beam 有意选择延迟去中化的过程。支持 Beam 战略的论点是早期阶段的项目「需要能够快速推动和自主迭代」。用 Arjun Balaji 的话说:「在早期使得项目去中化的同时构建新型去中化区块链网络是几乎不可能的」,因为这些目标本身就是矛盾的。
用户体验
BEAM WALLET
Beam 为普通用户提供了图形用户界面钱包,以及用于 Mac,Windows 和 Linux 的命令行界面钱包。Beam 桌面钱包使交易各方可以彼此共享的公开的地址。这些地址并不会记录在区块链上。Beam 最近还推出了 Android 手机钱包的测试版,并计划推出 iOS 手机钱包。该公司还表示,正在与硬件钱包供应商进行沟通,以使硬件钱包增加对 Beam 的支持。
安全公告板系统(SBBS)
Beam 尝试使用安全公告板系统(SBBS)创建离线交易,利用异步通信使得交易更加无缝和安全。 Beam 的 BBS 是类似八十年代和九十年代早期流行的公告牌系统 BBS。拥有家用计算机和调制解调器的人可以通过固定电话拨号连接到其他计算机,并在基于文本的公告牌系统 (BBSes) 上留下信息,供他人查看。 BBS 主机将计算机转换为数字会议场所。随着它们越来越先进,用户可以玩基于文本的游戏,甚至可以方便的传输文件。
在 Beam 中,BBS 钱包可以类比为家用计算机和调制解调器(作为「客户端」),而 Beam 区块链全节点可类比为 BBS 主机(作为服务器)。 SBBS 是区块链节点软件的一部分,并且是在链外维护的。 BBS 节点创建存储转发网络,将消息中继到离线的接收人。消息使用公钥加密,然后通过 Beam 节点中继到接收方的钱包。在这种情况下,公钥充当 P2P 系统中的地址。如果接收钱包处于离线状态,则存储转发 Beam 节点可以将消息存储在类似留言板的数据库中。交易参与者尝试解密他们订阅的留言板上的消息,但只有掌握对应的私钥的参与者才能解密发给他们的消息。
Beam 打算利用其钱包和 SBBS,让用户体验类似于基于地址的区块链交易,并降低使用基于 MimbleWimble 协议的数字币的门槛。
BEAM 钱包面临的挑战
自 1 月 9 日推出后不久,Beam 开发人员发现其钱包中存在漏洞,导致用户资金遭到入侵。开发人员发现他们在钱包代码中留下了一些不应该存在的东西。虽然 Beam 在发布之前经历了多次代码审查和审核,但他们主要关注的是 Beam 的加密实现的稳健性,这表明在审计钱包和 SBBS 时可能没有采用与之相同的严格程度。 Beam 宣布,漏洞是在内部发现并修复的,并没有资金被盗,并建议用户卸载钱包软件后从 Beam 网站重新下载更新后的版本。
1 月 21 日,Beam 经历了另一个问题,因为钱包使用不当导致区块链暂出块在第 25,709 块上停止出块。当时,由于克隆的钱包产生了 UTXO 相同的两笔交易并被分别发送到区块链上,从而导致核销流程不能正常工作并最终引起出现无效的区块。 Beam 在将近 3 个小时内没有生成块,在大约 5 个小时内没有发生交易处理。
审计能力
Beam 的主要优势之一是专注于服务业务。除了 MimbleWimble 所做的改进之外,Beam 还开发了可选的合规性和可审计性功能(钱包审计功能或称为商业钱包),以帮助企业遵守法规并执行必要的审核。这允许企业创建一个附有审计员私钥的钱包,以便审计员可以识别由商业钱包创建的区块链上的交易。有了这个可选的合规性功能,交易仍然具有隐私性,但用户可以根据授权审计员查看交易情况。这为普通企业开辟了加密资产的使用场景。
根据 Zaidelson 的说法,虽然实际的交易关联信息将由钱包生成并离线存储,但区块链会保存每个交易关联信息的哈希值。 Beam 区块链不存储历史交易详细信息——它仅存储历史交易的交易内核。在这次访谈中,Zaidelson 说 Beam「可以在内核中存储额外的 [编码] 信息 ...... 包括压缩的文档,例如发票或收据。」当用户接受审计时,审计员可以检查数据哈希值是否是与交易关联信息的哈希值一致。
此功能仍在进行开发,其在实践中的效果还存在一些不确定性。然而,如果它成功了,它可能会解决企业的一个主要痛点,就是这些企业目前而言必须在加密资产的两个极端中做出选择:要么使用像比特币这样的数字币,从而有向竞争对手披露机密信息的代价,但提供了完全的透明度和可审核性;要么使用 Zcash 和 Monero 等具有隐私特性的数字币从而可以隐藏所有交易的痕迹,但也无法进行任何类型的审计。
可审计性面临的挑战是企业必须以安全的方式存储与哈希值相对应的交易关联数据。此外,企业需要相信审计员不会向未经授权的第三方泄漏查看数据的私钥。虽然 Beam 可以创建一种共享私有数据的方法,但普通的审计员可能缺乏对 Beam 区块链上的交易进行审计的技术手段。从理论上讲,他们可以外包这些技术工作,但这会扩大可以访问敏感数据的人群,进而提高数据泄漏的风险。
路线图
在主网上发布后不久,Beam 公布了 2019 年的综合路线图。它分为两个关键类别:Beam Core (专注于改进和推进核心协议)和 Beam Compliance (专注于启动和迭代 Beam 的合规性和可审计性)。从长远来看,Beam 已经在讨论一项名为 Project Lumini 的计划,该计划将专注于在 Beam 和其他一些智能合约区块链之间建立一座桥梁,并在 Beam 上推出加密资产。
BEAM 内核路线
Beam 核心分为五个阶段 - 敏捷原子,明亮玻色子,透明阴极,双多普勒和急切电子(Agile Atom, Bright Boson, Clear Cathode, Double Doppler, and Eager Electron)。路线图中的亮点包括将闪电网络作为 Beam 的第二层解决方案实施,以在今年年底之前实现快捷支付,在 2019 年 3 月底之前 Beam 将支持与比特币的原子互换并且,通过两次计划中的硬分叉保持 Equihash 算法的 ASIC 抗性,以及下面详述的其他举措。我们注意到首先 Beam 必须推出智能合约和多重签名功能(例如通过无脚本脚本),以支持闪电网络(Lightning Network)等第二层解决方案。
Beam 合规路线
Beam 合规路线的主要目标是使 Beam 能够被企业使用。Beam 计划在其合规套件中包含「合规钱包」和「监管接口」,预计将根据具体国家 / 地区的法规进行定制。 截至目前,暂定上线日期为 2020 年。
结论
Beam 采用商业方法构建一种价值存储隐私币。它由风险投资支持,并由其支付工资的员工进行全程推动。因此,Beam 能在不到一年的时间内就完成从开发到上线。它通过其在 Beam 钱包和安全消息系统上的工作,显著提供用户体验和易用性。另一方面,它经历了可能导致资金损失的桌面钱包的一些小问题,这可能对这样一个年轻的项目而言是不利。
Beam 已在其 2019 年路线图中概述了大型计划,包括在 Beam 上建立闪电网络以及为企业和监管机构提供可审核的解决方案。Beam 的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了新的选择。然而,Beam 的合规性性和可审核性解决方案尚未推出,可能带来新的安全性问题。Beam 有雄心勃勃的目标,在把新功能发布到主网之前,应该对这些新功能进行全面彻底的测试,以避免由于不小心造成的可能损害用户资金的失误。如果 Beam 能够实现其规划,这项工作将会为用户提供一组独特且明显有效的新特性。
概括
MimbleWimble 的新颖之处在于,它通过将保密交易技术、混币技术、交易核销技术综合运用,使更多设备可以参与保护网络,从而增强了隐私性和效率。
Grin 和 Beam 都是 MimbleWimble 的实现,但它们的相似之处仅限于此。 Ignotus Peverell (Grin 的创造者)指出「一个常见的误解是,人们认为 MimbleWimble 协议描述了一个完整的加密货币解决方案,因此往往把 Beam 和 (Grin) 放在同一个篮子里。」
虽然这两个项目都试图为用户提供隐私性和在区块链效率方面进行改进,但它们在大多数技术、结构和组织元素上存在差异。引发最多讨论的问题是 :Grin 基于捐赠与志愿者的充满密码朋克式的社区运作方式 (类似于比特币和 Monero) 与 Beam 的由基于 VC 支持的初创公司 (类似于 Zcash) 的包含创始人奖励和由付费员工推动的运作方式相比,哪一种方式更有可持续性?这还需要时间来证明。在此之前,了解这些项目是如何相互影响并相互学习的将是一件有趣的事情。
原文声明
本报告仅为提供信息而编制,不应作为做出投资决策的依据,亦不应被解释为建议从事投资交易,或就任何金融工具或其发行人提出投资策略。本报告并非根据旨在促进投资研究独立性的法律要求编写,亦不受《市场滥用规例》(欧盟) 第 596/2014 号对投资研究传播前交易的任何禁令约束。Circle Internet Financial Limited(「Circle」) 或其附属公司出具的报告,与提供投资、税务、法律、财务、会计、咨询或任何其他相关服务无关,也不建议买卖或持有任何资产。本报告所载的资料是根据被认为可靠但不保证完全准确的资料来源提供的。本文所表达的任何意见或估计均反映自发表之日起作出的判断,如有更改,恕不另行通知。数字资产的交易和投资风险巨大,包括价格波动和流动性不足,可能并不适合所有投资者。此外,Circle 及其附属公司现在或将来可能提供与本报告主题相关的资产相关的财务或其他支持。员工和其他相关人员现在或将来可以在本报告主题的数字资产中进行交易并持有头寸。因此,Circle 及其关联方、其雇员或其他相关人员在现在或将来可能就本报告主题的资产获得报酬,并可能与本报告的规定存在某些利益冲突。对于因使用本资料而引致的任何直接或间接损失,Circle 概不负责。
原文: circle.com 的 Mimble Wimble 报告
翻译:矿宝 程薇霖 查看全部
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(1)
续上文……
管理
在目前的状态下,Beam 依靠位于特拉维夫的小型 VC 支持的团队来开发项目的所有更新并增加新的功能。因此,项目的组织结构类似于私人创业公司,而不是大多数区块链项目所展示的管理流程。这使得 Beam 能够控制项目风险并实现快速可控的迭代开发,从而在早期阶段提高项目研发效率并快速上线满足市场需求。
Beam 领导团队由首席执行官 Alexander Saidelson,首席技术官 Alex Romano,首席运营官 Amir Aaronson 和 CMO Beni Issembert 组成。其他核心成员主要由开发人员以及一些设计师和部门主管组成。该公司还从 12 位顾问那里获得了见解,其中包括 OGroup 的首席执行官、通用电气 (GE) 新兴技术部门前首席信息官玛嘉•武吉诺维奇 (Maja Vujinovic) 和 Genesis Mining 的首席执行官兼联合创始人马可•斯特兰 (Marco Streng)。
随着项目的逐渐成熟,创始成员将把控制权从创始团队手上转移到 Beam 主权货币基金会 (Beam Sovereign Money Foundation),这是一个独立的非盈利基金会,旨在由杰出和受人尊敬的社区成员运营。Beam 认为,建立基金会将有助于实现其分散组织结构的目标。预计在未来几个月内,2019 年底前,Beam 将会确定基金会职责和规则并组建董事会。,一旦基金会开始运作,当前的 Beam 公司将转换为基金供应商角色,在 Beam 区块链上开发上层用户应用程序。
关于基金会建立过程的大部分信息还尚未公布,但 Beam 基金会的作用包括:
管理 Beam 改进的提案并组织开发;
资助和促进与 Beam,MimbleWimble 和蒲公英技术相关的研究;
提高认知,帮助发展社区;
在数字货币和金融主权中强调隐私的重要性。
挑战
因为采用创业公司的模式,Beam 将面对与大多数区块链创业公司一样的问题:在维护用户看法的同时,转向更去中心化的管理模式的这一典型问题。创业公司普遍存在高失败率的问题,原因有很多,包括产品与市场不匹配、开销过大导致资金不足以解决团队内部冲突。一个由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能威胁到整个项目。
更艰巨的任务是需要获得足够的支持,以帮助将管理和开发工作从小型创始团队转移到整个社区。一个重要的区块链项目评估指标是项目的去中心化程度,而 Beam 有意选择延迟去中化的过程。支持 Beam 战略的论点是早期阶段的项目「需要能够快速推动和自主迭代」。用 Arjun Balaji 的话说:「在早期使得项目去中化的同时构建新型去中化区块链网络是几乎不可能的」,因为这些目标本身就是矛盾的。
用户体验
BEAM WALLET
Beam 为普通用户提供了图形用户界面钱包,以及用于 Mac,Windows 和 Linux 的命令行界面钱包。Beam 桌面钱包使交易各方可以彼此共享的公开的地址。这些地址并不会记录在区块链上。Beam 最近还推出了 Android 手机钱包的测试版,并计划推出 iOS 手机钱包。该公司还表示,正在与硬件钱包供应商进行沟通,以使硬件钱包增加对 Beam 的支持。
安全公告板系统(SBBS)
Beam 尝试使用安全公告板系统(SBBS)创建离线交易,利用异步通信使得交易更加无缝和安全。 Beam 的 BBS 是类似八十年代和九十年代早期流行的公告牌系统 BBS。拥有家用计算机和调制解调器的人可以通过固定电话拨号连接到其他计算机,并在基于文本的公告牌系统 (BBSes) 上留下信息,供他人查看。 BBS 主机将计算机转换为数字会议场所。随着它们越来越先进,用户可以玩基于文本的游戏,甚至可以方便的传输文件。
在 Beam 中,BBS 钱包可以类比为家用计算机和调制解调器(作为「客户端」),而 Beam 区块链全节点可类比为 BBS 主机(作为服务器)。 SBBS 是区块链节点软件的一部分,并且是在链外维护的。 BBS 节点创建存储转发网络,将消息中继到离线的接收人。消息使用公钥加密,然后通过 Beam 节点中继到接收方的钱包。在这种情况下,公钥充当 P2P 系统中的地址。如果接收钱包处于离线状态,则存储转发 Beam 节点可以将消息存储在类似留言板的数据库中。交易参与者尝试解密他们订阅的留言板上的消息,但只有掌握对应的私钥的参与者才能解密发给他们的消息。
Beam 打算利用其钱包和 SBBS,让用户体验类似于基于地址的区块链交易,并降低使用基于 MimbleWimble 协议的数字币的门槛。
BEAM 钱包面临的挑战
自 1 月 9 日推出后不久,Beam 开发人员发现其钱包中存在漏洞,导致用户资金遭到入侵。开发人员发现他们在钱包代码中留下了一些不应该存在的东西。虽然 Beam 在发布之前经历了多次代码审查和审核,但他们主要关注的是 Beam 的加密实现的稳健性,这表明在审计钱包和 SBBS 时可能没有采用与之相同的严格程度。 Beam 宣布,漏洞是在内部发现并修复的,并没有资金被盗,并建议用户卸载钱包软件后从 Beam 网站重新下载更新后的版本。
1 月 21 日,Beam 经历了另一个问题,因为钱包使用不当导致区块链暂出块在第 25,709 块上停止出块。当时,由于克隆的钱包产生了 UTXO 相同的两笔交易并被分别发送到区块链上,从而导致核销流程不能正常工作并最终引起出现无效的区块。 Beam 在将近 3 个小时内没有生成块,在大约 5 个小时内没有发生交易处理。
审计能力
Beam 的主要优势之一是专注于服务业务。除了 MimbleWimble 所做的改进之外,Beam 还开发了可选的合规性和可审计性功能(钱包审计功能或称为商业钱包),以帮助企业遵守法规并执行必要的审核。这允许企业创建一个附有审计员私钥的钱包,以便审计员可以识别由商业钱包创建的区块链上的交易。有了这个可选的合规性功能,交易仍然具有隐私性,但用户可以根据授权审计员查看交易情况。这为普通企业开辟了加密资产的使用场景。
根据 Zaidelson 的说法,虽然实际的交易关联信息将由钱包生成并离线存储,但区块链会保存每个交易关联信息的哈希值。 Beam 区块链不存储历史交易详细信息——它仅存储历史交易的交易内核。在这次访谈中,Zaidelson 说 Beam「可以在内核中存储额外的 [编码] 信息 ...... 包括压缩的文档,例如发票或收据。」当用户接受审计时,审计员可以检查数据哈希值是否是与交易关联信息的哈希值一致。
此功能仍在进行开发,其在实践中的效果还存在一些不确定性。然而,如果它成功了,它可能会解决企业的一个主要痛点,就是这些企业目前而言必须在加密资产的两个极端中做出选择:要么使用像比特币这样的数字币,从而有向竞争对手披露机密信息的代价,但提供了完全的透明度和可审核性;要么使用 Zcash 和 Monero 等具有隐私特性的数字币从而可以隐藏所有交易的痕迹,但也无法进行任何类型的审计。
可审计性面临的挑战是企业必须以安全的方式存储与哈希值相对应的交易关联数据。此外,企业需要相信审计员不会向未经授权的第三方泄漏查看数据的私钥。虽然 Beam 可以创建一种共享私有数据的方法,但普通的审计员可能缺乏对 Beam 区块链上的交易进行审计的技术手段。从理论上讲,他们可以外包这些技术工作,但这会扩大可以访问敏感数据的人群,进而提高数据泄漏的风险。
路线图
在主网上发布后不久,Beam 公布了 2019 年的综合路线图。它分为两个关键类别:Beam Core (专注于改进和推进核心协议)和 Beam Compliance (专注于启动和迭代 Beam 的合规性和可审计性)。从长远来看,Beam 已经在讨论一项名为 Project Lumini 的计划,该计划将专注于在 Beam 和其他一些智能合约区块链之间建立一座桥梁,并在 Beam 上推出加密资产。
BEAM 内核路线
Beam 核心分为五个阶段 - 敏捷原子,明亮玻色子,透明阴极,双多普勒和急切电子(Agile Atom, Bright Boson, Clear Cathode, Double Doppler, and Eager Electron)。路线图中的亮点包括将闪电网络作为 Beam 的第二层解决方案实施,以在今年年底之前实现快捷支付,在 2019 年 3 月底之前 Beam 将支持与比特币的原子互换并且,通过两次计划中的硬分叉保持 Equihash 算法的 ASIC 抗性,以及下面详述的其他举措。我们注意到首先 Beam 必须推出智能合约和多重签名功能(例如通过无脚本脚本),以支持闪电网络(Lightning Network)等第二层解决方案。
Beam 合规路线
Beam 合规路线的主要目标是使 Beam 能够被企业使用。Beam 计划在其合规套件中包含「合规钱包」和「监管接口」,预计将根据具体国家 / 地区的法规进行定制。 截至目前,暂定上线日期为 2020 年。
结论
Beam 采用商业方法构建一种价值存储隐私币。它由风险投资支持,并由其支付工资的员工进行全程推动。因此,Beam 能在不到一年的时间内就完成从开发到上线。它通过其在 Beam 钱包和安全消息系统上的工作,显著提供用户体验和易用性。另一方面,它经历了可能导致资金损失的桌面钱包的一些小问题,这可能对这样一个年轻的项目而言是不利。
Beam 已在其 2019 年路线图中概述了大型计划,包括在 Beam 上建立闪电网络以及为企业和监管机构提供可审核的解决方案。Beam 的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了新的选择。然而,Beam 的合规性性和可审核性解决方案尚未推出,可能带来新的安全性问题。Beam 有雄心勃勃的目标,在把新功能发布到主网之前,应该对这些新功能进行全面彻底的测试,以避免由于不小心造成的可能损害用户资金的失误。如果 Beam 能够实现其规划,这项工作将会为用户提供一组独特且明显有效的新特性。
概括
MimbleWimble 的新颖之处在于,它通过将保密交易技术、混币技术、交易核销技术综合运用,使更多设备可以参与保护网络,从而增强了隐私性和效率。
Grin 和 Beam 都是 MimbleWimble 的实现,但它们的相似之处仅限于此。 Ignotus Peverell (Grin 的创造者)指出「一个常见的误解是,人们认为 MimbleWimble 协议描述了一个完整的加密货币解决方案,因此往往把 Beam 和 (Grin) 放在同一个篮子里。」
虽然这两个项目都试图为用户提供隐私性和在区块链效率方面进行改进,但它们在大多数技术、结构和组织元素上存在差异。引发最多讨论的问题是 :Grin 基于捐赠与志愿者的充满密码朋克式的社区运作方式 (类似于比特币和 Monero) 与 Beam 的由基于 VC 支持的初创公司 (类似于 Zcash) 的包含创始人奖励和由付费员工推动的运作方式相比,哪一种方式更有可持续性?这还需要时间来证明。在此之前,了解这些项目是如何相互影响并相互学习的将是一件有趣的事情。
原文声明
本报告仅为提供信息而编制,不应作为做出投资决策的依据,亦不应被解释为建议从事投资交易,或就任何金融工具或其发行人提出投资策略。本报告并非根据旨在促进投资研究独立性的法律要求编写,亦不受《市场滥用规例》(欧盟) 第 596/2014 号对投资研究传播前交易的任何禁令约束。Circle Internet Financial Limited(「Circle」) 或其附属公司出具的报告,与提供投资、税务、法律、财务、会计、咨询或任何其他相关服务无关,也不建议买卖或持有任何资产。本报告所载的资料是根据被认为可靠但不保证完全准确的资料来源提供的。本文所表达的任何意见或估计均反映自发表之日起作出的判断,如有更改,恕不另行通知。数字资产的交易和投资风险巨大,包括价格波动和流动性不足,可能并不适合所有投资者。此外,Circle 及其附属公司现在或将来可能提供与本报告主题相关的资产相关的财务或其他支持。员工和其他相关人员现在或将来可以在本报告主题的数字资产中进行交易并持有头寸。因此,Circle 及其关联方、其雇员或其他相关人员在现在或将来可能就本报告主题的资产获得报酬,并可能与本报告的规定存在某些利益冲突。对于因使用本资料而引致的任何直接或间接损失,Circle 概不负责。
原文: circle.com 的 Mimble Wimble 报告
翻译:矿宝 程薇霖
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(1)
项目 • chainnews 发表了文章 • 2019-03-22 14:47
这是一篇出自著名区块链公司 circle.com 的报告。虽然本文中有些内容有一定的错误,但本文依旧是难得一见的深入浅出、全面细致介绍 MimbleWimble 协议原理与特点的好文章,同时本文也细致介绍、分析、对比了 MimbleWimble 的两个实现 Grin 和 Beam 的详细情况。矿宝为了让更多中国用户、爱好者了解 MimbleWimble 协议和 Grin、Beam 项目,将本文翻译为中文,同时在文中补充勘误了一些信息。由于时间和水平的原因,翻译难免还有不尽甚至错误之处,也欢迎读者不吝指正。
MimbleWimble
MimbleWimble 是一种增强隐私性和可扩展性的区块链协议。MimbleWimble 协议不需要存储整个区块链的所有历史数据,就可以验证区块链的所有交易的有效性 [ 1 ]。MimbelWimble 是以小说《哈利波特》中的「结舌咒」[ 2 ] 来命名的,这个咒语用于防止泄密。该协议是由一个化名 Tom Elvis Jedusor (伏地魔的法语名字)的人于 2016 年提出的,他通过洋葱头加密通讯通道(Tor LIink),在一个名叫「比特币巫师」(Bitcoin wizards)的 IRC 网络聊天室上分享了一个概述 MimbleWimble 的文本 - 然后便消失了。
译者注:
[1] 相较于比特币,用户需要下载完整的交易历史(数据量庞大)来确认交易的有效性。
[2] 结舌咒即:舌头打结的咒语,用于让对手沉默。
背景
Blockstream 的数学家 Andrew Poelstra [1] 对 WimbleMimble 协议很感兴趣,并于 2016 年 10 月,发表了一篇论文,更详细、更严谨论证了关于 MinbleWimble 协议的技术细节。MimbleWimble 是一个区块链协议,而 Grin 和 Beam 是它最先落地的两项实现。我们将在本报告中探索 MimbleWimble、Grin 以及 Beam。
来源:messari.io/onchainfx,coinmarketcap.com (截至 2019 年 3 月 3 日)
[1] Andrew Poelstra 是侧链白皮书的合作者之一。
[2] 此处数据存疑,Grin 是无限挖模式,并没有设置发行量上线,对此数据的计算依据表示质疑。
在加密社区中的许多人都在密切关注 MimbleWimble 协议,因为它首次优化了隐私性和可扩展性,它的目标是改进比特币以及其他加密货币的下述关键性问题。
完全隐私:MimbleWimble 会对未参与交易的所有第三方隐藏交易的发起者、接收者以及交易金额的信息。第三方观察者只能在一个交易中,看到一系列经过加密处理的包含交易输入、输出的整体 [1],他们可以验证这些输入都在链上,并且输出和输入的虚拟货币的总数相同。这个设定便改善了在比特币等类似系统中「任何人都可以追溯一个资金从一个地址到另一个地址的转移过程」的问题。
效率:MimbleWimble 事务验证者只需要存储交易中未耗尽的 UTXO (交易记录)。而所有其他加密货币强制矿工和第三方验证者存储区块链的整个交易历史。MimbleWimble 这样做可以节省存储空间并加快同步速度,因为随着区块链历史的不断增长,矿工们可能会被迫使用更多的硬盘资源来存储整个历史记录。
一个验证者通过:(1)核实输出与输入的总和相等;以及(2)交易中不包含负数,保证交易过程中没有试图创造新的币;来验证一个 MimbleWimble 交易的有效性。挖矿是唯一可以产生新币的方式,这也是唯一可以识别身份的交易。但是,验证者和观察者并不会知道是谁获得了挖矿的区块奖励。
MimbleWimble 的另一个重要特性,就是这里只有交易的输入和输出而没有地址或公钥。每一个 UTXO 都有一个私钥,接收者将私钥存储在他的钱包中。要发出 UTXO,发起者必须在专用的通信通道里通知接收方,并执行多轮通信以构建交易。发起者要使用他的 UTXO 私钥对这个 UTXO 进行签名认证,并将签名结果发送给接受者。
[1] 即 Mimblewimble 只验证交易前后总数的一致性,输入(input)和输出(output)即交易前后的状态。
MimbleWimle 要解决的问题
区块链是不可伪造的公开交易账本。其不可伪造性意味着用户只能发送他们曾经收到的资金——他们无法发送属于别人的资金或是凭空创造资金。比特币和类似的区块链的发送方地址、接收方地址和交易金额都是公开的,所以很容易验证发送的金额等于收到的金额、发送方的私钥地址包含发送的资金。
比特币(包括其他加密资产)的公开性对于不希望公开交易细节的人或商业活动来说是不合适的。此外,随着像 Elliptic[1] 和 Chainalysis[2] 这样的区块链大数据分析公司的崛起,研究人员可以将非法交易的输出对应起来并将其列入黑名单。币安(Biance)首席执行官曾发布推文说,他们能够在被社交媒体上报道后,冻结黑客发送给交易所的资金。然而,有些人认为这违背了货币的可替代性的原则。可替代性原则是指所有被创造的货币都是相同的,就像一美元钞票等于另一美元钞票一样,无论钞票过去经过什么样的流通活动,这个钞票与其他美元钞票都应该是一样的。
比特币和所有其他区块链要求矿工和其他验证人记录链的整个交易历史,以验证所有交易是否有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这个设置使得想要与网络同步的新参与者需要大量空间、时间和计算资源。比特币区块链在 2019 年之前的大小约为 200GB。
[1] Elliptic: https://www.elliptic.co/(一家为加密货币公司,金融机构和政府机构提供可操作的情报的公司)
[2] Chainalysis: https://www.chainalysis.com/ (防止,检测和调查加密货币洗钱,欺诈和违规行为)
MimbleWimble 的解决方案
MimbleWimble 以巧妙的方式使用加密技术来实现不可伪造性,同时优化隐私性和可扩展性。 MimbleWimble 不是像比特币那样验证每个输出的整个历史记录,而是检查区块链上所有交易的输入的总和减去所有输出的总和为 0 以验证链(这种做法也加强了交易的一个基本属性:交易发出的金额等同于收到的金额)。MimbleWimble 综合使用保密交易 (Confidential Transactions)、混币(Coin Join)、 范围证明(Range Proof)和交易记录核销(Cut-through)技术来实现上述目标。
与比特币相似,MimbleWimble 依赖于椭圆曲线密码学和 UTXO 模型。然而,MimbleWimble 是一个更加轻量级的的版本,由于增强隐私性的要求,它牺牲了可编程性。因此,诸如闪电网络(Lightning Network)之类的时间锁定或支付渠道等更复杂和精细的功能目前还无法在 MinbleWimble 中使用 [1]。
[1] 译者注:Grin 和 Beam 都有对应的解决方案。
速成课程:UTXOS
比特币和 MimbleWimble 一样使用「未使用的交易输出」(Unspent Transaction Output UTXO)模型来计算余额。这类似于使用硬币或现金来支付商品和服务。例如,爱丽丝想买一件 30 美元的衬衫,但她有两张 20 美元的钞票。她不能只给商人一张半的钞票。相反,她给了商人两张钞票,并收到了一张 10 美元的钞票作为找零。
UTXO 模型以类似的方式运行:Alice 在之前的交易中获得了两个交易输出:1 BTC 和 0.5 BTC。现在 Alice 需要向一个商人支付 1.3 BTC。她的钱包创建了一个发送 1.5BTC 的交易,这个交易有两个输入(1BTC 和 0.5BTC)两个输出(1.3BTC 和 0.2BTC)。商户收到 1.3 个 BTC,Alice 收到 0.2 个 BTC (可以视为找零)。由于 UTXO 模型这一特性,比特币用户可以通过查询区块链浏览器,观察到他们的比特币地址经常发送出比指定数量更多的比特币。
速成课程:椭圆曲线加密
椭圆曲线有几个特性,使其可以用于复杂的加密协议。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点 G,乘以一个整数 s,得到椭圆曲线上的另一个点 P=sG。然而,给定(P,G)要求出 s 的值在计算上是不可行的。这使得我们可以将(P,G)作为公钥,将 s 作为私钥。椭圆曲线的另一个特性是椭圆曲线上的计算满足一些有用的代数特性:
分配律:(a+b)G = aG+bG
结合律:a(bG)=b(aG)=(ab)G
速成课程:Pedersen 表达式(Pedersen Commitments) Pedersen 表达式是结合椭圆曲线的单向性和代数性质的密码学术语。对给定的值(x,y)计算其 Pedersen 表达式为 P=xG+yH。由于计算 s=P/G 是不可行的,所以要通过 (P,G,H) 计算出(x,y)是不可能的。另外,由于有无数的 x 和 y 的组合可以满足关系 P=xG+yH,所以即使我们知道某 1 个满足此关系的解(x,y),我们依然无法计算出满足此关系且不违反椭圆曲线单项属性的第二对(x’,y’)。
保密交易(Confidential Transaction)
默认情况下,MimbleWimble 依靠一个称为保密交易的密码学概念来实现隐私性。保密交易是由 Gregory Maxwell[1] 提出的,他从 Adam Back[2] (亚当·贝克的比特币同态加密中汲取到灵感。保密交易使用 Pedersen 表达式来隐藏 UTXO 中的交易金额。
[1] Gregory Maxwell 是 Bitstream 的比特币核心开发人员和联合创始人兼首席技术官。
[2] Adam Back (1970 年 7 月出生)是英国密码学家和加密黑客,hashcash 的发明者。
在 MimbleWimble 中,交易输入和输出通过 Pedersen 表达式计算为「P=rG + vH」。G 和 H 是椭圆曲线上的随机点,并作为区块链的公共参数公开。值 v 是 UTXO 的交易金额。r 是致盲因子,用作 UTXO 的私钥,值 rG 是对应于 r 的公钥。MimbleWimble 使用 Pedersen 表达式使敏感交易信息模糊,替代明文交易金额。Pedersen 表达式允许使用基本算法来验证交易。
举个例子,我们有两个输入和一个输出。我们提供交易金额(v)和致盲因子(r),同时将 G 和 H 作为公开参数。
交易内核(Transaction Kernel)
上述保密交易的问题在于,它们需要输入和输出的 UTXO 使用相同的致盲因子,即接收者的私钥。如果发送者知道了接收者的致盲因子的值,她就可以窃取接收者输出的 UTXO。而 MimbleWimble 使用零知识证明 (zero-knowledge) 克服了这个问题。
举一个简单的例子:某交易发送的交易金额为 5。发送者有一个 UTXO 作为交易的输入,由 Pedersen 表达式计算交易的输入为 X=45G+5H,其中 5 是交易金额 (v),45 是致盲因子(r),也就发送方的私钥。接收方选择一个随机盲因子 7 并创建一个 UTXO,由 Pedersen 表达式计算为 Y=7G+5H。验证者将交易输入减去输出得到:
X-Y=(45G+5H)-(7G+5H)=38G
MimbleWimble 将值 38 称为超额或内核,并将值 X-Y = 38G 称之为交易内核(译者注:准确的说公钥 rG 只是交易内核的一部分,交易内核还包括用 r 做私钥对交易做的签名,见下述译者补充)。对于一个有效的交易,交易内核始终为 X-Y = rG + 0H,其中 r 是某个整数。即使交易里有多个输入和多个输出也是始终如此。如果输入值的总和等于输出值的总和,则 H 系数将恒为零。有效的交易内核始终采用公钥的形式。发起人和接收方都知道对应私钥的一部分(45 和 7)。 MimbleWimble 协议要求交易双方使用他们的致盲因子进行多重签名来签署交易,内核(45-7=38)就是交易参与者的多重签名私钥。(译者补充:交易双方使用内核作为私钥对交易进行签名,验证者首先计算 X-Y,如果 X-Y 是一个合法的交易,那么 X-Y 的结果应该等于交易签名公钥 rG,验证者再用 rG 做公钥验证交易签名的有效性,如果验证通过说明交易是合法的,也就是 H 的系数为 0。准确的说,交易内核包括了交易的公钥 rG、使用 r 做私钥对交易的签名以及交易手续费。MinbelWimble 区块链上主要记录信息就是对交易的输入和输出的 Pedersen 表达式计算结果 X 和 Y 以及交易内核。)
范围证明(RANGE PROOFS)
MimbleWimble 协议要求交易金额必须为正数,因此用户无法凭空创造出货币。正如我们所提到的,唯一可以创造币的交易类型是挖矿。 范围证明是一种加密技术,对于某一 Pedersen 表达式 X,通过范围证明技术可以证明给定一对整数(r,min <v <max)满足 X = rG + vH。MimbleWimble 的实现(Grin 和 Beam)使用范围证明来证明交易金额 v 大于零且没有溢出。MimbleWimble 使用最近使用的子弹证明技术(Bulletproofs)是一种仅消耗约 700-5000 字节的范围证明技术。
没有地址
正如我们提到的,MimbleWimble 不使用地址。不使用地址的主要动机是为了增强区块链的隐私性和防止地址膨胀问题。在基于 MimbleWimble 的区块链中,用户必须进行链外的通信来创建交易。使用通信信道,交易发起方向接收方证明其持有交易所需的数字币金额,并向接收方转移这些数字币的控制权。因为没有公开的地址,所以也没有「标准」通信方式来完成交易。因此,交易双方需要建立通信信道,从而发送数字币持有证明及转移数字币控制权。这与比特币(以及大多数其他区块链)非常不同,比特币可以在没有交易接收方参与的情况下完成交易。
混币技术(Coin Join)
混币技术是一种降低数据公开性的方法。 混币将多个交易组合成单个大型交易的方法,这使得很难区分哪些交易输入是对应哪些交易输出。混币技术已在 JoinMarket,ShufflePuff,DarkWallet,SharedCoin,Wasabi,Samourai 等项目中使用。基于钱包的混币技术的缺点是用户必须主动选择使用该功能。这降低了它的有效性,因为用户要么就不知道这一功能,要么就是由于麻烦而不使用该功能,这些都导致参与混币交易的交易数量不足对于混币技术而言,参与混淆的交易的数量太少就不能有效地隐藏交易的发送地址和接收地址。此外,参与混币的用户之间必须进行通信以创建混币交易,因为每个交易发送方都必须对最终组合起来的整个交易进行签名。
在 MimbleWimble 中,用户无需选择混币功能,这是 MimbleWimble 的默认功能。一个区块中不再记录单独的各个交易。相反,它看起来像一个大型的组合起来的交易。图 1 是要包含在下一个区块·中 2 笔摸交易集的示意图。在图 2 中,MimbleWimble 在类似于混币的过程中将两笔交易连接在一起,这样剩下的就是单个交易,它组合了 2 个交易所有输入和所有输出。
交易记录核销 (Cut-through)
保密交易比常规交易需要更大的存储空间。根据 Aaron Van Wirdum[1] 的说法,保密交易比非保密交易所需要的存储空间大 20 倍,计算资源大 30 倍。 MimbleWimble 使用一种名为交易记录核销的技术来解决这一挑战进而提高效率。
[1] Aaron Van Wirdum:BitcoinMagazine 技术编辑
正如我们上面提到的,下载完整的比特币区块链需要占用近 200GB 的空间,并且其正在不断增长。如果比特币上的所有交易都是像 MimbleWimble 这样的保密交易,那么区块链的大小将会大几个数量级。
MimbleWimble 使用称为交易记录核销的过程来删除冗余的交易输出以释放块内的空间并减少需要存储在区块链中的数据量,同时保持相同的安全性。冗余输出的特点是这些输出会在同一区块被作为输入使用。通过 Andrew Poelstra 演讲编制的图表可以很好地说明这一点。
在图 3 中,可以看到的某交易的青色输出在同一区块中后来又被作为某交易的输入,所以可以从区块中删除这笔冗余的输入和输出,以减少必须记录的数据。虽然 MimbleWimble 冗余的交易输出,但它保留了这些交易的交易内核。
MimbleWimble 在在区块内的微观层面和整体数据的宏观层面都使用交易核销技术,从在区块链上的信息只有:区块链首部信息(block header)、UTXO 和交易内核。节点可以使用这些关键数据来验证区块链。从而使得如果一个区块内核销掉的交易输出比这个区块内新增的交易输出多,则区块链的大小会缩小。从理论上讲,这将使得验证区块链所需的数据量会随时间发展越来越小。
Grin 作为 MimbleWimble 的第一个实现,认为 MimbleWimble 节点的数据量大小相比比特币会大大减少,「相比数 GB 大小的比特币区块链节点,Grin 节点大小可以做到数量级的优化,甚至到仅有几百 M 字节」按照 Grin 的描述,假设有 1000 万笔交易伴随着 100 万个 UTXOs,没有交易核销的区块链总大小约为 130GB,其中交易数据为 128GB、交易证明数据为 1GB,块头为 250MB。经过核销,区块链的总大小可以降至 1.8GB,包括 1GB 的输出数据,520MB 的 UTXO (译者注此处应该为交易内核或交易证明数据)和 250MB 的块头。 而 Beam 认为,当它达到与比特币相同的规模时,其区块链大小可能是比特币的 30%。
蒲公英技术(Dandelion)
对于 MimbleWimble 的隐私性而言,最大的威胁是区块链节点可以在打包并广播交易记录前记录交易的信息。在核销之前,交易输出在要在节点本地内存池(mempool)(未经验证的交易池)中保存一些时间。这使得恶意节点可以在构建交易图(transaction graph)并可能发现发送方的 IP 地址。
蒲公英技术不是 MimbleWimble 的一部分,而是 Grin 和 Beam 在实现时补充的功能。蒲公英试图降低恶意节点创建交易图的机会,方法是「在交易被确认之前先悄悄地在网络中转发它,从而延迟交易在网络上出现的时间」(Andreas Antonopoulos[1])。
通常,当有人向区块链发起交易时,交易信息会向所有的区块链节点广播。蒲公英将交易的广播划分为两个阶段,从「阀杆(stem)」或「匿名(anonymity)」阶段开始,在这一阶段,交易信息将其被随机广播到某一个节点,然后再由这个节点将交易信息发送到另一个随机挑选的节点,依此类推,直到收到交易信息的节点数目满足一定要求,则进入第二阶段。第二阶段称为绒毛阶段(fluff phase),在这一阶段交易信息会被广播到所有的节点。这样做可以防止观察节点将交易映射回原始地址。一种蒲公英技术的改进(Dandelion++)使得创建交易图变得更加困难。
在 MimbleWimble 中,交易也可以在匿名阶段之前进行混币,从而使将交易输入与交易映射关联更加困难。 Beam 通过增加占位空输出使得在没有足够的输出也可以进行上述混币操作。。
蒲公英技术的一个问题是,在匿名阶段,如果交易被传递到某一随机节点后,这个节点掉线,那么这笔交易将永远不会被传播到区块链网络。Grin 和 Beam 解决了这一问题——如果某交易没有在合理的时间内达到「绒毛阶段(fluff phase)」,则这个交易将被自动广播到更广泛的网络中。
[1] Andreas M. Antonopoulos (生于 1972 年)希腊 - 英国,比特币的拥护者。
无脚本脚本(Scriptless scripts)
MimbleWimble 不支持交易脚本,而交易脚本是大多数区块链的重要特征。脚本是嵌入在交易中以支持基本智能合约功能的代码。 没有它,MimbleWimble 就不能支持条件交易(conditional transaction),时间锁,状态通道(例如闪电网络),跨链原子交换等。这是不可链接交易和交易核销的代价。验证者无法检查是否满足智能合约条件,因为相关的 UTXO 及其条件可能已经被删除。
当于 2016 年 8 月,第一份 MimbleWimble 论文发布时,无法支持条件交易似乎是使用 MimbleWimble 的一个限制。然而,Andrew Poelstra 发现了一种通过使用无脚本脚本的方式实现智能合约的简单方法。无脚本脚本基于这样的想法:利用施诺尔签名技术(Schnorr signatures)支持无脚本脚本功能,区块链验证者如果需要知道链外发生的条件元素,只需检查签名是否存在且正确。
具体而言,交易的参与者可以通过组合其各自的签名的私钥来创建多重施诺尔签名,从而生成交互式的签名,该签名是提交给节点并由节点验证的唯一数据。
Aaron Van Wirdum 提供了一个很好的解释,便于我们理解。他举了一个想要收听艺术家歌曲的网络用户的例子。艺术家和用户需要将他们组合的施诺尔签名提交到区块链,以验证条件交易。拥有该歌曲版权的艺术家掌握对于这个歌曲加密的密钥,设为 7000,获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的施诺尔签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个施诺尔「适配器签名(adaptor signature)」,1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的施诺尔签名减去减去歌曲密钥的结果。然后用户也做施诺尔签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都发生在链外,这样除了艺术家和用户没有人会发现其中的步骤。区块链验证者唯一看到的内容是一个 13000 的施诺尔签名组合。适配器签名只被艺术家和用户掌握,对于第三方保密的。除了「结算交易」之外,区块链上没有任何交易记录内容。可以通过添加支持施诺尔签名的新操作码(Opcode)来实现无脚本脚本。 Grin 和 Beam 正在实现无脚本脚本,但是暂时没有这个功能何时上线的确切时间表。
基于无脚本脚本有可能实现机密资产(confidential assets),跨链原子交换和第二层扩展解决方案,比如在 MimbleWimble 区块链生态中使用闪电网络。无脚本脚本不一定要在 MimbleWimble 上实现,甚至可能会扩展到其他区块链生态上。
结论
MimbleWimble 基于经过严格证明的密码学技术。其中一些技术已在经同行评审的密码学期刊上发表,其他一些技术则是发布在白皮书和技术报告中。首个 MimbleWimble 区块链生态项目 Grin 和 Beam 最近才推出。虽然 MimbleWimble 是一种新的实验性技术,但它具有有显著提高隐私性和可扩展性的优势,虽然目前它的用户体验还不够好,且也没有彻底完全解决某些隐私方面的挑战。还需要进行大量的测试和迭代才能在大规模开放的区块链生态上实现高效的隐私交易。目前,这个看似难以理解的概念,在实践中可能会还会遇到意想不到的问题。
在用户体验方面,目前 MimbleWimble 没有地址和交易各方需要进行交互通信并且在线(虽然不一定同时)来签署并完成交易。这一要求与现有的加密货币相比很不一样,对于用户使用造成一些困扰。
从隐私性角度,矿工可以在混币和交易核销之前查看内存池(mempool)中的交易。因此,恶意观察节点就可以构建详细的交易图,从而对隐私性构成威胁,这直接挑战了 MimbleWimble 的隐私性这一核心价值主张。尽管有蒲公英技术和虚拟 UTXO 这样的潜在技术解决方案,但它们在实践中还有待完善。
其他隐私币解决方案
MimbleWimble 不是第一个或唯一一个区块链隐私币方案。对所有可用的隐私币解决方案进行全面而深思熟虑的讨论超出了本报告的范围,这里讨论其他可供选择的替代方案以供读者了解。这些包括但不限于其他区块链协议和在底层实现隐私性的币种(Zcash,Monero),通过第二层网络实现隐私解决方案(Blockstream 侧链)和通过交易层实现的隐私方案(例如通过像 Samourai 和 Wasabi 这样的钱包)。
隐私币
在 Grin 和 Beam 之前推出的两个隐私币是 Zcash 和 Monero,这些币在协议层实现了隐私性。Monero 是一款基于 CryptoNote 协议的隐私币,Monero 的一个关键优势是默认情况下即启用隐私功能,它隐藏发送方和接收地址以及交易金额。 Monero 使用环保密交易(Ring Confidential Transactions)和隐形地址来实现隐私性。环签名算法在交易中添加「诱饵」信息从而避免暴露真实的签名信息,进行有效地混淆交易信息。 Monero 的主要缺点是,即使使用子弹证明技术(Bulletproofs)大大减少了存储空间,其数据存储规模仍是比特币的十倍。
Zcash 是基于 Zerocash 协议设计的数字币, Zcash 使用地址加壳技术来隐藏交易方的地址并使用 zk-snarks (一种零知识证明)来隐藏交易金额。与 Monero 以及基于 MimbleWimble 协议的 Grin 和 Beam 不同,Zcash 不会在默认情况下启用隐私功能。在 Zcash 的 Sapling 更新之前,创建一个保密交易的计算量很大且非常耗时,这阻碍了用户的使用隐私功能。经过 Sapling 更新,对地址加壳所需的内存和时间已经减少,这某种程度上会鼓励用户使用保密交易功能。可选的隐私功能的另一个缺点是当用户选择使用加密交易信息时,这一行为可能会被视为可疑行为。Zcash 的另一个缺点是其可信设置(trusted setup)。虽然 Zooko Wilcox[1] 表示打破可信的设置不会影响隐私性,但 Peter Todd (比特币研究员)在某次与一个 zk-snaks 的开发人员的会谈中表示他不同意 Zooko 的看法。
[1] Zooko Wilcox-O'Hearn,左科·威尔科克斯(1974 年 5 月 13 日出生于亚利桑那州凤凰城的 Bryce Wilcox),是美国科罗拉多州的计算机安全专家,cypherpunk 和 Zcash 的首席执行官。
侧链
侧链是一个独立的区块链。侧链双向链接到一个基础层区块链协议。双向链接使得来自原始基础层链上的币在通过验证后,可以以固定的速率与侧链资产进行互换。这些补充作用的侧链可以提供基础层区块链没有的新区块链的功能、扩展并共识机制,从而对基础层区块链面对的问题提供一系列解决方案,包括但不限于隐私性和可扩展性。比特币侧链公司 Blockstream 已经部署了一个这样的网络,即最近推出的 Liquid,它在默认状态下进行保密交易。Liquid 使用一个由 15 个已知节点组成的小组 (称为工作成员小组) 来验证交易并打包区块,这以牺牲去中心化为代价加快了交易速度。虽然 Liquid 的管理更加中心化,但它针对的是交易所场景下的一些特殊问题。例如支持在联盟链内的任何节点随意兑换 LBTC 这一 Liquid 的本地 Token。如果某一个独立的网络节点宕机,此时这个设计会特别有用。Liquid 的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。对 Liquid 的一个轻微批评是,它信任的一些中介机构中包括一些不受监管的、历史上有不安全记录的加密货币交易所,如 Bitfinex 和 OKCoin 等。
隐私钱包(PRIVACY WALLETS)
此外,基于钱包的一些隐私解决方案(如 Wasabi,Samourai 或 Breeze)的优势在于它们可以在比特币(或其他币种)之上实现,而无需更改底层协议。一些批评的声音包括:如果没有在较短的时间内找到匹配的交易资金,就会出现较小的匿名集或者造成交易延迟。例如,Samourai 的交错弹跳(Staggered Ricochet)可能需要两个小时才能到达最终目的地从而完成交易。此外,由于钱包平台的中心化性质,钱包运营平台可以获得交易的隐私信息。在 2019 年初,谷歌要求 Samourai 删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌 Play store 的新规则。
尽管有许多增强隐私的选择,但这些都是早期技术(包括 MimbleWimble,Grin 和 Beam)。在这一点的选择上每个人都有自己的权衡取舍,并且对于什么才是隐私加密的最佳方法目前还没有明确的答案。
GRIN
Grin 是 MimbleWimble 的第一个开源实现。Grin 使用 Rust 语言开发。 Grin 文档于 2016 年 10 月 20 日由匿名开发人员 Lgnotus Peverell 发布。许多 Grin 的核心开发者都采用了来源《哈利波特》相关的绰号。 Grin 在 2019 年 1 月 15 日在主网上发布之前发布了四个测试网。由于其与比特币的相似性,Grin 受到加密货币社区的称赞——尤其是其匿名开发团队以、公平的数字币分发方式(没有预挖、没有 ICO、没有创始人奖励)和基于捐赠的资助模式。然而,Grin 确实有几个值得注意的差异。
货币政策 :Grin 被设计成一种交易媒介(MoE),而不是像比特币那样作为价值储存手段(SoV)。Grin 的矿工奖励是每分钟 1 个块,每个块 60 个 Grin (即每秒 1 个 Grin)。挖矿产生的 Grin 会按照这一规律一直持续下去,且没有减产。这使得 Grin 的通胀率在早期很高。随着时间的推移通胀率逐渐下降。
共识算法:在初期阶段,Grin 将尝试通过使用两种 PoW 算法来实现去中心化。这两种算法是 Cuckoo Cycle[1](布谷鸟环)的变体 (一种是 ASIC 友好的,另一种被认为是 ASIC 抗性的,因为它是内存瓶颈算法(memory-hard)。布谷鸟算法是一种全新的、有点争议的工作量证明(PoW)算法 ; 握手区块链(Handshake blockchain)的白皮书描述了这一问题。
管理:Grin 没有正式的管理流程。但 Grin 有一个 8 名成员组成的技术委员会,负责管理 Grin 的普通基金和发展路线图。Grin 举行对所有人开放的管理和开发会议。
功能:Grin 正在努力通过添加诸如无脚本脚本之类的功能来增强 MimbleWimble 协议,基于这个功能可以实现复杂的「条件交易」功能。社区成员还致力于通过 grinbox 和 wallet713 等解决方案改善用户体验。
挑战:虽然 Grin 因其基于捐赠的资助模式而受到赞赏,但仅依靠外部捐款继续建设和改进 Grin 也是一项挑战。此外,要使非技术用户能方便的使用 Grin,还有很多工作需要做。
自发布以来,Grin 已可以在多个交易所交易,即使它并未主动联系交易所上币也没有向交易所支付上币费。虽然社区很乐意帮助 Grin 上交易所,但 Ignotus Peverell 表示他们并不「过分担心外部因素和 [他们] 无法控制的事情」。
[1] 原作者注:Cuckoo Cycle 是在非常大的二部图中以寻找循环路径,因此其算法速度用每秒完成搜索的图的个数计算。 与大多数其他工作量证明算法相比,Cuckoo Cycle 消耗的功率要少得多,并且其是内存密集型而不是计算密集型算法。 Yeastplume 在一个播客节目中很好地解释了这一点:类似于我们在一张纸上绘制节点并随意在它们之间添加边。,该算法计算出是否可以在这些节点之间找到环,即从一个特定的节点开始并沿着边返回到相同的节点。
挖掘算法
最初,Grin 团队计划使用两种 PoW 算法,由于算法需要消耗大量内存而被认为是抗 ASIC 的:Cuckoo Cycle (由 John Tromp 在 2015 年开发)以及具有较高内存要求的 Equihash 算法,称为 Equigrin。
对内存要求高的算法被认为不是可以利用 CPU 和 GPU 的计算密集型算法。最初由于 Cuckoo Cycle 需要大量 SRAM (静态随机存取存储器),它被认为是 ASIC 抗性的。人们认为因为算法需要大量 SRAM 而在 ASIC 使用大量 SRAM 很昂贵,所以这使得制造 ASIC 更加困难。 Cuckoo Cycle 的创建者 John Tromp 表示,「最初的 Cuckoo Cycle 旨在使内存延迟成为瓶颈。现在,多年以后,我们意识到 Cuckoo Cycle 是可以很好地利用 [...] 的 SRAM 算法,而其实(与过去的想法不同)在 ASIC 制造中使用 SRAM 并不那么昂贵。我们希望 ASIC 比 GPU 具有更高的效率优势。」John Tromp 在一个播客节目中深入探讨了 Cuckoo Cycle。
在 2018 年 8 月,社区承认 ASIC (1)在实践中是不可避免的 [1],而且(2)可能在以开始时会不利于数字币的公平分配,但从长远来看并不一定是一件坏事。相反,ASIC 友好算法可以使网络更加安全,因为 ASIC 矿器增加了网络的算力,使攻击变得更加困难、代价更加高昂。 从长期来看,ASIC 可以有利于区块链协议的成功,因为投资数千万美元的的矿工在安全性方面的诉求与区块链项目的利益完全一致。此外,根据 Derek Hsue 的说法,「任何持续产生 ASIC 抗性的尝试都将导致秘密 ASIC 这个问题确实存在。」
鉴于上述观点,Grin 随后决定改变工作量证明(PoW)算法,这两种算法都是 Cuckoo Cycle 的变体,主算法是 ASIC 友好(AF)算法和第二算法是 ASIC 抗性(AR)算法,并在项目主网上线后逐步淘汰第二算法。 Grin 中的主 PoW 算法叫做 Cuckatoo31 +,是 Cuckoo Cycle 对 ASIC 更加友好的版本。 它被称为 ASIC 友好的是因为它可以使用数百 MB 的 SRAM 来提高性能使得 ASIC 算力超过 GPU。第二算法,称为 Cuckaroo29,是一种内存密集型的 AR PoW 算法。然而,真正保证 ASIC 抗性的唯一方法是有计划的进行硬分叉,不断调整算法(类似 Monero 的做法),使已生成的 ASIC 作废。 Grin 将每六个月执行一次这样的硬分支来调整算法,以抑制对该 AR 算法生产 ASIC 的积极性,直到该算法在两年内逐步淘汰。
加密社区里的一些成员非常关注 Cuckoo Cycle 中 PoW 算法的稳定性。 John Tromp 在 2014 年首次提出了这个概念,并在短时间内进行了多次修订,因为研究人员找到了优化算法的方法。 Cuckoo Cycle 基于一个 NP 完全的图论问题,一个令人担忧问题是,如果某个矿工通过优化 Cuckoo Cycle 算法获得比网络中其他矿工更大的算力,那么挖矿收益将无法公平分配。John Tromp 认为,这类优化算法获得的相对优势可能会随着迁移到更大的图而增加。但如果社区的其他成员对算法做相同的优化,这种优势就会消失。
一开始,Grin90% 的块用第二算法挖掘,10% 的块用主算法挖掘。两年后,100% 的区块将使用主算法进行挖掘。在未来两年,Cuckatoo31+将获得更大比例的区块奖励,每月线性增长 3.75%。Grin 社区希望,到 Cuckatoo31+占 100% 的矿业份额时,将有来自多个 ASIC 制造商生产出 ASIC 矿机,从而引导有序健康的竞争。Grin 基于最近 60 个区块的窗口对挖矿难度进行调整。
[1] 原作者注:Leo Zhang 说「2014 年,当 ASIC 矿工首次商业化时,由于 RAM 成本较高,使用内存硬算法抵制 ASIC 的策略是有道理的。但在过去几年中,RAM 成本的急剧下降使 ASIC 设计人员能够以越来越低的成本为这些网络制造机器。内存瓶颈算法无法无限期地保留 ASIC。」
GRIN 矿池
根据 miningpoolstats.com 的数据显示,Cuckaroo29 上有 15 个矿池,Cuckatoo31+上有 11 个矿池。在撰写本文时,前两名的矿池 (Sparkpool 和 F2pool) 的算力之和占 Cuckaroo29 的 82%,占 Cuckatoo31+的 68%。Sparkpool 和 F2pool 都向 Grin 的开发者基金和普通基金提供了捐款。虽然算力似乎集中在了矿池中,但矿池是由许多矿工参与者组成的,这些矿工可以选择随时离开矿池,并随意将其算力切换到其他矿池。
第三大矿池是 GrinMint,是 BlockCypher 于 2018 年 9 月首次推出的矿池,2019 年 1 月在主网上推出 .BlockCypher 收取 2.5%的费用,并表示将向 Grin 开发者社区捐赠 0.5%。 BlockCypher 还有一名全职开发人员致力于 Grin (Quentin Le Sceller)。其他回馈 Grin 社区的矿池包括 MimbleWimble Grin Pool 和 grin-pool.org。
对 Grin 的批评之一是,当 Grin 上线时,一些投资人投资挖矿并控制了大量的算力。这些投资人本来应该是通过买币投资 Grin,即是市场的买方。但由于这些投资人通过挖矿获得了 Grin,并在市场中卖出 Grin 获利,这些投资人反倒成了市场的卖方。当矿池挖出区块并获得挖矿奖励时,他们必须立即出售币,因为他们要用比特币支付给矿工 (译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
货币政策
Grin 具有线性的增发率,并且将以每分钟 60 Grin (每秒一 Grin)的速度增发 - 其供应量故意被设计成没有上限。而比特币的上限为 2100 万,并且具有通缩发行计划,比特币的块奖励每四年减半,直到接近零。因为比特币的发行模型使得其价值会算时间增加,所以比特币模型鼓励持有硬币。这使比特币成为价值存储工具(SoV)。
Grin 的早期通货膨胀率极高,但当有数百万枚 Grin 币流通时,随着时间的推移通货膨胀率将趋近于零,虽然它永远不会达到零。在实践中,通胀率需要在 10 年后才能降至 10%以下,25 年后才会降至 4%(与 2018 年比特币相同)。通胀率将需要 50 年才能降至 2%以下。然而,实际上,Grin 团队认为,当考虑到存在因为私钥丢失而造成的丢失的币时,通货膨胀将会比上述预想的低。根据团队的说法,每年丢失的币可能高达总供应量的 2%,在计算通货膨胀率时应该将这部分排除。永久性发行被视为缓解币丢失的影响的潜在解决方案。
永久通货膨胀背后的另一个原因是:(1)通胀模型比通缩模型更公平,通缩模型对于越早挖矿的矿工越有益,而通胀模型不会。(2)如果预计明天的币价与今天的相似,那么它有更大的机会被用作交换媒介(MoE),而这就恰恰是 Grin 项目所希望的。短期至中期的高通胀会激励消费而非储存,因为币会被显着的稀释。社区还认为,花钱的动力可能有助于更广泛地分发数字币。
此外,永久性发行可以防止 Grin 最终只能完全依赖交易的手续费来确保网络安全 - 这正是比特币社区正在讨论 / 面临的挑战。一旦比特币的发行量接近零,网络将不得不过渡到仅仅依赖交易费用奖励为保护比特币安全的矿工。仅依赖交易费奖励矿工是区块链的一种新的经济模式,但仍多存在许多问题:每个区块需要多少交易,每笔交易的最低费用是什么,以及如何解决与第二层方案(例如闪电网络)中致力于降低网络费的行为之间的矛盾。
来源 : grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者因为 Grin 没有上限的线性发行计划而批判 Grin,并因为高通胀率降低了数字币作为价值存储的购买力。然而,Grin 的开发者故意设计了这样的通胀率,其目的是鼓励消费、抵消丢失币的影响、确保 Grin 网络始终可以给矿工支付挖矿奖励以维护区块链安全。高通胀的一个不利之处是,与早期比特币相似,挖矿奖励在目前在总供给量中占了相当大的比例。这可能会对 Grin 币的价值产生负面影响,因为矿池出售 Grin 以换取比特币支付给矿工。
(译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
治理
Grin 的莱恩伯格(Lehnberg)说:「治理是关于如何做出在参与者 (参与决策的人) 和利益相关者 (受决策影响的人) 的角度看起来都合理的决策的过程。」 Grin 没有明确的治理流程,但对于没有结论的讨论是透明的且对社区完全开放。
Grin 有一个技术委员会负责管理 Grin 普通基金(Grin General Fund)并指导项目的开发。委员会成员包括 Ignotus Peverell, Antioch Peverell, Hashmap, Jaspervdm, Lehnberg, Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner)和 John Tromp。任何人都可以参与治理会有和开发者会议以及讨论,但是最活跃的贡献者通常还会发挥更大的作用。
技术委员会每两周举行一次管理会议和一次开发者会议,主题包括 ASIC 抗性,筹集和指导资金,重大缺陷和错误,安全审计,交换集成,硬分叉等。 Grin 还会在会议前后在 Github 上发布议程,笔记和会议记录。在 grin-forum 上还有一个管理部分,那上面上有一些主题一致的帖子,表明社区正在积极思考如何从长远来进行管理。
技术委员会主导的管理和开发过程使社区能够在早期快速灵活地运行,以避免减慢项目进程。然而,随着 Grin 的成长和成熟,人们一直在讨论如何建立一个更加结构化的管理流程并进行制衡。委员会成员和捐助者明确表示,有必要实施一个更正式的程序,来确立:
为社区提供一种更结构化的方式来交流关于管理和开发主题的反馈。
设置委员会的权限范围以及社区为委员会成员提供意见的规则。
所有利益相关者都有机会发表意见。利益相关者包括核心开发者,一次性贡献者,矿工,用户,投资者,交易所等。
该委员会的缺点是增加了项目的中心化程度。从长远来看,一个非官方的委员会可能是危险的。一个例子是 Burst PoCC,它具有与 Grin 技术委员会类似的功能。有一天,他们对社区感到不满并意外退出,但仍然可以访问项目代码库,管理 DNS 域名等等。他们还采取了额外的恶意行为,例如欺骗矿池和过早抛售 Burst,最终损害了 Burst 区块链。
资金
Grin 是一个完全基于捐赠的开源项目。虽然它的公平的数字币分配机制受到了称赞——没有 ICO、没有预挖、没有创始人奖励,但缺点是开发进展缓慢。Grin 的安全审计、市场营销、网站开发、运营活动等都依靠无偿的兼职志愿者和对核心开发者基金的捐赠。
正如 Tushar Jain 所指出的那样,「如果没有资本的促进,开发进度将被推迟。」这是 Grin 社区也认可的事实。在 Grin 普通基金的页面上,他们说,「现实情况是,有了资金支持,对 Grin 项目将会有很大帮助。这将使 Grin 能够更快,更可靠地发挥其潜力,拥有更好的基础设施支持,并且与资金充足的区块链项目竞争(或共存)的可能性会更大。」
Grin 社区于 2016 年开始开发 Grin,并于 2019 年 1 月才主网上线。同一时期,Beam 是 MimbleWimble 协议的另一个实现(下文将进一步详细讨论),是由一家获得风险投资者的私营公司开发的项目。他们从 2018 年初开始启动该项目,并于 Grin 主网上线前一周实现主网上线。
此外,Yeastplume (Michael Cordner),社区的核心开发人员和主要成员,在最初在筹集个人研发赞助资金时遇到了困难,无法将全部精力投入 Grin。只有在 Ignotus Peverell 在对 Yeastplume 的募资活动远未获得 (5.5 万欧元)10% 的资金表示失望之后,募资活动的捐款才开始上升。自那以后,它已经超额完成了募资目标,在撰写本文时筹集了 66,580 欧元。可以在 Grin 名人堂中查看完整的捐赠者名单。
依靠捐赠可能在短期内会奏效。然而,为了保持发展并吸引人才进入网络,Grin 将不得不重新考虑其融资模式,因为它面临着于那些资金充足并付费的项目日益激烈的竞争。在这个关于开发者激励政策的明确表达中,纳撒尼尔·惠特莫尔 (Nathaniel Whittemore) 提出了另一种全新的面向商业的激励模式,即(1)提供足够的激励来吸引顶尖人才加入项目,(2)同时继续为核心开发路线图做出贡献。即保证项目在既定路线图的规划下,使用经济措施鼓励更多优秀人才贡献力量。
用户体验
如上所述,MimbleWimble 是没有地址的。因此,交易的发起方和接收方必须传递消息 (称为「交易石板」),基于交互式通信进行币的转让。有多种方法可以标准化的传递 JSON 消息。一种方法是基于文件的传输,其中文件包含纯文本格式的 JSON 消息,可以通过多种方式传输文本 (电子邮件、Telegram、Keybase、业余无线电、信鸽等)。另一种方法是基于 HTTP URL 的方法,其中 API 接口接受文本格式的原始 JSON。
一组名为 vault713 的第三方开发人员正致力于使 Grin 可以更加实用并被广泛的使用。他们的第一个项目是一个名为 Grinbox 的交互协议。 Grinbox 是一种消息中继服务(message relaying service),当与 wallet713 一起使用时可以简化交易处理过程,wallet713 是目前在 Linux 上运行的 vault713 的 grin 钱包的核心分支。Grinbox 和 wallet713 旨在改善 Grin 的发送和存储过程。
第一步,Grinbox 允许参与者创建公开的地址用以发送 / 接收资金,这样他们就不必公开他们自己的 IP 地址。 wallet713 还允许用户将联系人姓名链接到他们计算机上的本地存储地址。此外,wallet713 允许异步交易构建。 vault713 还致力于添加更多增强隐私和可用性的功能,例如多重签名支持,BTC 和 Grin 之间的原子交换,在交易进入未经确认的内存池、移动 /web/ 桌面 GUI 等之前,与其他 wallet713 用户一同进行钱包层面的混币。
随着项目的成熟并吸引到更多人才,将出现更多利用不同通信信道创建交易可选方法。这可能包括利用 NFC,QR,蓝牙等的近场通信技术创建交易的方法。最终,用户选择一个方便且易于理解解决方案作为主要的交易通信方式。但是到达那一步还需要一些时间,还有待观察哪种方法可以成为标准。
Grin 只有几个月的历史,而且就目前而言,该项目适合精通技术的用户投入时间和精力来了解它的工作原理。虽然社区开始通过 grinbox 和 wallet713 等工作解决用户体验方面的问题,但要使非技术用户能舒适的在网络上进行交易还需要时间进行迭代和教育。
结论
Grin 是一个最初引起密码学朋克和无政府加密主义者注意的项目,但 Grin 与比特币相似的思想引起了许多人的注意。也就是说,Grin 因其匿名领导者、基于捐赠和草根的资助模式、专注于隐私和去中心、以及其社区非常关注对项目的推进而不是快速赚钱而受到赞扬。
但是 Grin 主网上线 Grin 只是第一步。要想让 Grin 获得长期成功并被广泛采用,还有很多工作要做。需要解决的关键挑战包括更可靠的筹资方式、更直观的用户体验以吸引更多用户使用 Grin,以及研究如何解决系统中的隐私漏洞 (即观察节点创建交易图的能力)。
核心团队表示,其主要关注点仍然是稳定性,性能以及安全性。通过第三方开发团队将 Grin 集成到他们的服务和产品中来培育一个健康的生态系统,这对提高使用率也是至关重要的。这并不一定需要 Grin 的核心开发人员来完成。相反,这些挑战可以在 Grin 区块链周围出现第三方开发人员生态系统时解决。
Grin 仍然是一个非常新的项目,它开创了全新的未经测试的想法,加密概念和技术。如果 Grin 能够应对关键挑战,那么它有可能成为将隐私重新置于个人手中的一种方式。
BEAM
Beam 是由一家总部位于以色列的 VC 支持的创业公司,于 2019 年 1 月 3 日推出了基于 MimbleWimble 协议的以隐私为重点的同名加密货币。它于 2018 年 3 月开始使用 C ++开发,并于 2018 年 9 月推出了测试网络。虽然 Beam 和 Grin 的相似之处在于它们都是 MimbleWimble 的实现,旨在为用户提供隐私增强功能,但它们的路径各不相同。与 Grin 不同,Beam 是一家私营公司,雇用开发人员来实施。 Beam 是从闭源开始,但后来开源了。 Beam 的另一个相比于 Grin 的重要区别是 Beam 提供了针对企业和监管机构的可选审计功能。
货币政策:Beam 的供应计划是通货紧缩型的,在第一年之后区块奖励下降 50%,之后每四年就会减少一半,直到达到 2.63 亿的硬性上限。此外,Beam 挖矿产出的 20% 将作为开发税进入 Beam Treasury 基金,用于并为 Beam 的未来开发提供资金。
挖矿算法:Beam 使用 Equihash 的修改版本(一种工作量证明挖掘算法)来提供网络共识。为了确保去中心化,Beam 将通过定期调整其算法使得 Beam 在前 12-18 个月保持 ASIC 抗性。
管理:Beam 目前由一家 VC 支持的创业公司运营,由付薪雇员组成。长期目标是完全将管理移交给管理 Beam Treasury 基金、维护区块链的非营利基金会。
功能:Beam 正在添加一个可审计的功能,这样企业就可以在不损害隐私性的情况下证明其合规性并提供交易的可预见性。Beam 开发人员还在探索一个安全的 BBS 系统,该系统将支持非交互式离线交易。
挑战:不断改进 PoW 协议是一项艰巨的任务,避免 ASIC 挖矿将使网络整体算力保持在较低水平,这也使得攻击网络的成本相对较低。此外,Beam 目前的运营和管理结构是中心化的,转向更去中心化的模式将需要避免所有投资方之间的权力斗争。
挖掘算法
Beam 使用 Equihash 算法,这是由卢森堡大学的 Alex Biryukov 和 Dmitry Khovratovich 创建的工作量证明算法。 Equihash 是一种基于广义生日问题的非对称内存密集型算法。 Equihash 的另一个关键属性是挖矿是随机的,这意味着生成 PoW 解的可能性与过去是否的成功挖矿是不相关。 Equihash 有两个可以调整的参数:n (bit 位宽)和 k (长度),它们决定了底层问题的复杂性,从而决定了算法的内存和时间复杂度。Beam 使用 Equihash 参数 n = 115 和 k = 5。
Equihash 在某种意义上是不对称的,因为它需要大量的内存来生成一个证明,但它不需要大量的内存来验证它。这是 Equihash 的一个重要特性,因为大多数其他内存密集型算法都是对称的,也就是说,验证与生成一个证明一样困难。内存密集型指的是生成一个证明所花费的时间与内存成正比,而不是与 CPU 计算能力成比例。如果使用更少的内存,Equihash 会不成比例地大大增加对计算能力的需求。
最初,内存是一种昂贵的资源,因此不假设 ASIC 比常规 CPU 和 GPU 更容易做出内存优化。另一方面,ASIC 与 GPU 相比提供了显著的带宽改进,而 GPU 又比 CPU 提供了显著的带宽改进。由于芯片设计技术的改进,为内存优化的 ASIC 矿机的成本不再像过去预期的那么高。
Zcash 是一个专注于以隐私性的加密货币,也使用 Equihash 算法。最初选择了 Equihash 是因为它被认为是 ASIC 抗性的。然而,在 2018 年,比特大陆发布了 Antminer Z9 mini 矿机,这个矿机通过降低 SRAM 的成本获得比通用硬件(CPU、GPU)更高的挖矿效率。在 Beam 的 Equihash 算法帖子中,他们强调「卢森堡大学的研究人员发现,截至 2018 年 5 月,20%-30%的 Equihash 是由 ASIC 矿机挖出的。」
Beam 表示,它们已经特别设置了 Equihash 参数,以便在短期内为 CPU 和 GPU 为矿工提供优于 ASIC 的优势,从而使币的初始分发更加广泛。然而,它认识到 ASIC 是不可避免的,甚至是在长期看是有用的,因为 ASIC 是一项成本可控的投资,并且增加了全网算力,从而使得区块链更安全且更难被攻击。
货币政策和资金
Beam 的货币政策类似于比特币。它的特点是规定了一个硬顶和通缩发行计划,并使用常规的区块奖励减半方法(每个区块的挖出的币数量下降 50%),直到通货膨胀率达到零。因此,这个初创公司是希望将 Beam 用作价值储存(SoV),而不是像 Grin 那样的交换媒介(MoE)。不过,其与比特币的相似性就到此为止了。与特别币不同的是:1. Beam 在第一年的挖矿奖励更多;2. 前 5 年的挖矿产出中部分归于项目创始人团队;3. Beam 每分钟一个块(比特币每 10 分钟一个块)。
在第一年,一个区块奖励将是 100Beam,高于之后的奖励,以激励矿工尽早加入网络并将 Beam 引入市场。头五年中 20% 的挖矿产出将给与创始人团队。所以第一年挖出的每个区块的 100 Beam 中 80 Beam 将支付给矿工,20Beam 将支付给 Beam 财富基金。在第 2 到第 5 年,区块奖励将下降 50%,变为 50 个 Beam,其中 40 个 Beam 支付给矿工,10 个 Beam 支付给 Beam 财富基金。在第 6 年,区块奖励将再次下降 50% 至 25 Beam,且所有奖励都将支付给矿工,并在未来改为每 4 年减半一次,直到第 129 年。区块奖励将在第 133 年停止,届时 Beam 预计的总供应量约为 2.63 亿。
来源 :medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam 采用了创始人奖励机制(Founders Reward),也称为开发税(Dev Tax),以回报投资者并为正在进行的协议和工具开发提供经济支持。创始人奖励费用是编写在区块链协议中的代码里,该协议在矿工和创始团队的已知地址之间的自动分配区块奖励
这种方法明显与 ICO 或预挖等不同,正如 Dash 所见,它以大量的流动资金来补偿加密资产的创始人。虽然 ICO 和预挖都是早期团队成员所希望的,但这类薪酬设计往往缺乏有效的资金监管和退出时间表。因此,在短期利益驱使下,挪用资金并跑路的骗局相当普遍。
「创始人奖励」的目的是随着项目的发展逐步补偿创始人。因此,最初的利益相关者更有动力去协调资源维护网络的长期成功。此外,奖励制度被纳入区块链协议,Arjun Balaji 指出:这种机制提供了固定资金分配比例带来的资金透明度,也为通过软或硬分叉修改现有分配方法提供可行性。
该创始人激励结构最初是由 Electric Coin Company(前身为 Zcash Company) 设计并推广的。这家公司是专注于隐私的加密货币 Zcash 的背后的开发和维护企业。起初,Zcash 矿工只能获得区块奖励的 80%。剩下的 20% 将分配给 Zcash 基金会 (一个支持 Zcash 开发的独立非盈利组织)、数字币公司以及早期的 Zcash 开发人员和顾问。在头四年之后,创始人奖金被预先设定为零,以确保在 2100 万美元的上限达到之前,所有新发行的 Zcash 将 100% 归矿工所有。
Beam 资金模型与 Zcash 的资金模式相似,在早期阶段其支付给 Beam 财富基金,创始人费用比例为 20%。与 Zcash 历时 4 年的创始人奖励不同,Beam 创始人奖励历时 5 年,包括第一年区块奖励为 100 Beam 的时候。在这五年结束时,累计有超过 3150 万的 Beam 被送给 Beam 财富基金。计划将基金中 35%的资金分配给早期投资者,另外 45%的资金补偿给核心团队成员和顾问,剩余的 20%将用于支持 Beam 主权货币基金会。这是该项目维护和管理的长期解决方案。
来源 : medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖金,Beam 还从包括 Recruit Co. LTD、Yeoman 's Capital 和 Node Capital 在内的各种风险投资基金中筹集了至少 500 万美元,用于聘请全职开发人员来推进开发。这些投资者将定期从创始人奖金中获得 Beam 以回报其早期投资。
Beam 的核心团队和早期投资者都认识到,更加中心化的推动项目可以加速产品研发、尽量避免在基于社区运营的项目中经常出现的项目延期的情况。因此,Beam 选择了这种更加中心化的管理方法来启动项目并度过项目的初始阶段。随着 Beam 的不断成熟,其目标是实现更加去中化的激励和管理结构,将区块奖励交给矿工,并将项目控制权交给社区。
不利的一面是,同时也是对 Beam 的批评之一,Beam 并没有让所有投资者都能平等参与。在主网上上线之前就从投资者那里筹集资金,或者将一部分资金投入专门的集团 (即 ICO、创始人奖励、预挖),这些都可能导致币的分配不公平。
与之相对的是与比特币和 Grin 类似的产品,在这些产品中,加密资产只能通过传统的 PoW 挖矿获得。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络挖出新的比特币或 Grin。这样的发行方式往往会在区块链网络用户之间更为公平。
继续阅读:Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
查看全部
MimbleWimble
MimbleWimble 是一种增强隐私性和可扩展性的区块链协议。MimbleWimble 协议不需要存储整个区块链的所有历史数据,就可以验证区块链的所有交易的有效性 [ 1 ]。MimbelWimble 是以小说《哈利波特》中的「结舌咒」[ 2 ] 来命名的,这个咒语用于防止泄密。该协议是由一个化名 Tom Elvis Jedusor (伏地魔的法语名字)的人于 2016 年提出的,他通过洋葱头加密通讯通道(Tor LIink),在一个名叫「比特币巫师」(Bitcoin wizards)的 IRC 网络聊天室上分享了一个概述 MimbleWimble 的文本 - 然后便消失了。
译者注:
[1] 相较于比特币,用户需要下载完整的交易历史(数据量庞大)来确认交易的有效性。
[2] 结舌咒即:舌头打结的咒语,用于让对手沉默。
背景
Blockstream 的数学家 Andrew Poelstra [1] 对 WimbleMimble 协议很感兴趣,并于 2016 年 10 月,发表了一篇论文,更详细、更严谨论证了关于 MinbleWimble 协议的技术细节。MimbleWimble 是一个区块链协议,而 Grin 和 Beam 是它最先落地的两项实现。我们将在本报告中探索 MimbleWimble、Grin 以及 Beam。
来源:messari.io/onchainfx,coinmarketcap.com (截至 2019 年 3 月 3 日)
[1] Andrew Poelstra 是侧链白皮书的合作者之一。
[2] 此处数据存疑,Grin 是无限挖模式,并没有设置发行量上线,对此数据的计算依据表示质疑。
在加密社区中的许多人都在密切关注 MimbleWimble 协议,因为它首次优化了隐私性和可扩展性,它的目标是改进比特币以及其他加密货币的下述关键性问题。
完全隐私:MimbleWimble 会对未参与交易的所有第三方隐藏交易的发起者、接收者以及交易金额的信息。第三方观察者只能在一个交易中,看到一系列经过加密处理的包含交易输入、输出的整体 [1],他们可以验证这些输入都在链上,并且输出和输入的虚拟货币的总数相同。这个设定便改善了在比特币等类似系统中「任何人都可以追溯一个资金从一个地址到另一个地址的转移过程」的问题。
效率:MimbleWimble 事务验证者只需要存储交易中未耗尽的 UTXO (交易记录)。而所有其他加密货币强制矿工和第三方验证者存储区块链的整个交易历史。MimbleWimble 这样做可以节省存储空间并加快同步速度,因为随着区块链历史的不断增长,矿工们可能会被迫使用更多的硬盘资源来存储整个历史记录。
一个验证者通过:(1)核实输出与输入的总和相等;以及(2)交易中不包含负数,保证交易过程中没有试图创造新的币;来验证一个 MimbleWimble 交易的有效性。挖矿是唯一可以产生新币的方式,这也是唯一可以识别身份的交易。但是,验证者和观察者并不会知道是谁获得了挖矿的区块奖励。
MimbleWimble 的另一个重要特性,就是这里只有交易的输入和输出而没有地址或公钥。每一个 UTXO 都有一个私钥,接收者将私钥存储在他的钱包中。要发出 UTXO,发起者必须在专用的通信通道里通知接收方,并执行多轮通信以构建交易。发起者要使用他的 UTXO 私钥对这个 UTXO 进行签名认证,并将签名结果发送给接受者。
[1] 即 Mimblewimble 只验证交易前后总数的一致性,输入(input)和输出(output)即交易前后的状态。
MimbleWimle 要解决的问题
区块链是不可伪造的公开交易账本。其不可伪造性意味着用户只能发送他们曾经收到的资金——他们无法发送属于别人的资金或是凭空创造资金。比特币和类似的区块链的发送方地址、接收方地址和交易金额都是公开的,所以很容易验证发送的金额等于收到的金额、发送方的私钥地址包含发送的资金。
比特币(包括其他加密资产)的公开性对于不希望公开交易细节的人或商业活动来说是不合适的。此外,随着像 Elliptic[1] 和 Chainalysis[2] 这样的区块链大数据分析公司的崛起,研究人员可以将非法交易的输出对应起来并将其列入黑名单。币安(Biance)首席执行官曾发布推文说,他们能够在被社交媒体上报道后,冻结黑客发送给交易所的资金。然而,有些人认为这违背了货币的可替代性的原则。可替代性原则是指所有被创造的货币都是相同的,就像一美元钞票等于另一美元钞票一样,无论钞票过去经过什么样的流通活动,这个钞票与其他美元钞票都应该是一样的。
比特币和所有其他区块链要求矿工和其他验证人记录链的整个交易历史,以验证所有交易是否有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这个设置使得想要与网络同步的新参与者需要大量空间、时间和计算资源。比特币区块链在 2019 年之前的大小约为 200GB。
[1] Elliptic: https://www.elliptic.co/(一家为加密货币公司,金融机构和政府机构提供可操作的情报的公司)
[2] Chainalysis: https://www.chainalysis.com/ (防止,检测和调查加密货币洗钱,欺诈和违规行为)
MimbleWimble 的解决方案
MimbleWimble 以巧妙的方式使用加密技术来实现不可伪造性,同时优化隐私性和可扩展性。 MimbleWimble 不是像比特币那样验证每个输出的整个历史记录,而是检查区块链上所有交易的输入的总和减去所有输出的总和为 0 以验证链(这种做法也加强了交易的一个基本属性:交易发出的金额等同于收到的金额)。MimbleWimble 综合使用保密交易 (Confidential Transactions)、混币(Coin Join)、 范围证明(Range Proof)和交易记录核销(Cut-through)技术来实现上述目标。
与比特币相似,MimbleWimble 依赖于椭圆曲线密码学和 UTXO 模型。然而,MimbleWimble 是一个更加轻量级的的版本,由于增强隐私性的要求,它牺牲了可编程性。因此,诸如闪电网络(Lightning Network)之类的时间锁定或支付渠道等更复杂和精细的功能目前还无法在 MinbleWimble 中使用 [1]。
[1] 译者注:Grin 和 Beam 都有对应的解决方案。
速成课程:UTXOS
比特币和 MimbleWimble 一样使用「未使用的交易输出」(Unspent Transaction Output UTXO)模型来计算余额。这类似于使用硬币或现金来支付商品和服务。例如,爱丽丝想买一件 30 美元的衬衫,但她有两张 20 美元的钞票。她不能只给商人一张半的钞票。相反,她给了商人两张钞票,并收到了一张 10 美元的钞票作为找零。
UTXO 模型以类似的方式运行:Alice 在之前的交易中获得了两个交易输出:1 BTC 和 0.5 BTC。现在 Alice 需要向一个商人支付 1.3 BTC。她的钱包创建了一个发送 1.5BTC 的交易,这个交易有两个输入(1BTC 和 0.5BTC)两个输出(1.3BTC 和 0.2BTC)。商户收到 1.3 个 BTC,Alice 收到 0.2 个 BTC (可以视为找零)。由于 UTXO 模型这一特性,比特币用户可以通过查询区块链浏览器,观察到他们的比特币地址经常发送出比指定数量更多的比特币。
速成课程:椭圆曲线加密
椭圆曲线有几个特性,使其可以用于复杂的加密协议。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点 G,乘以一个整数 s,得到椭圆曲线上的另一个点 P=sG。然而,给定(P,G)要求出 s 的值在计算上是不可行的。这使得我们可以将(P,G)作为公钥,将 s 作为私钥。椭圆曲线的另一个特性是椭圆曲线上的计算满足一些有用的代数特性:
分配律:(a+b)G = aG+bG
结合律:a(bG)=b(aG)=(ab)G
速成课程:Pedersen 表达式(Pedersen Commitments) Pedersen 表达式是结合椭圆曲线的单向性和代数性质的密码学术语。对给定的值(x,y)计算其 Pedersen 表达式为 P=xG+yH。由于计算 s=P/G 是不可行的,所以要通过 (P,G,H) 计算出(x,y)是不可能的。另外,由于有无数的 x 和 y 的组合可以满足关系 P=xG+yH,所以即使我们知道某 1 个满足此关系的解(x,y),我们依然无法计算出满足此关系且不违反椭圆曲线单项属性的第二对(x’,y’)。
保密交易(Confidential Transaction)
默认情况下,MimbleWimble 依靠一个称为保密交易的密码学概念来实现隐私性。保密交易是由 Gregory Maxwell[1] 提出的,他从 Adam Back[2] (亚当·贝克的比特币同态加密中汲取到灵感。保密交易使用 Pedersen 表达式来隐藏 UTXO 中的交易金额。
[1] Gregory Maxwell 是 Bitstream 的比特币核心开发人员和联合创始人兼首席技术官。
[2] Adam Back (1970 年 7 月出生)是英国密码学家和加密黑客,hashcash 的发明者。
在 MimbleWimble 中,交易输入和输出通过 Pedersen 表达式计算为「P=rG + vH」。G 和 H 是椭圆曲线上的随机点,并作为区块链的公共参数公开。值 v 是 UTXO 的交易金额。r 是致盲因子,用作 UTXO 的私钥,值 rG 是对应于 r 的公钥。MimbleWimble 使用 Pedersen 表达式使敏感交易信息模糊,替代明文交易金额。Pedersen 表达式允许使用基本算法来验证交易。
举个例子,我们有两个输入和一个输出。我们提供交易金额(v)和致盲因子(r),同时将 G 和 H 作为公开参数。
交易内核(Transaction Kernel)
上述保密交易的问题在于,它们需要输入和输出的 UTXO 使用相同的致盲因子,即接收者的私钥。如果发送者知道了接收者的致盲因子的值,她就可以窃取接收者输出的 UTXO。而 MimbleWimble 使用零知识证明 (zero-knowledge) 克服了这个问题。
举一个简单的例子:某交易发送的交易金额为 5。发送者有一个 UTXO 作为交易的输入,由 Pedersen 表达式计算交易的输入为 X=45G+5H,其中 5 是交易金额 (v),45 是致盲因子(r),也就发送方的私钥。接收方选择一个随机盲因子 7 并创建一个 UTXO,由 Pedersen 表达式计算为 Y=7G+5H。验证者将交易输入减去输出得到:
X-Y=(45G+5H)-(7G+5H)=38G
MimbleWimble 将值 38 称为超额或内核,并将值 X-Y = 38G 称之为交易内核(译者注:准确的说公钥 rG 只是交易内核的一部分,交易内核还包括用 r 做私钥对交易做的签名,见下述译者补充)。对于一个有效的交易,交易内核始终为 X-Y = rG + 0H,其中 r 是某个整数。即使交易里有多个输入和多个输出也是始终如此。如果输入值的总和等于输出值的总和,则 H 系数将恒为零。有效的交易内核始终采用公钥的形式。发起人和接收方都知道对应私钥的一部分(45 和 7)。 MimbleWimble 协议要求交易双方使用他们的致盲因子进行多重签名来签署交易,内核(45-7=38)就是交易参与者的多重签名私钥。(译者补充:交易双方使用内核作为私钥对交易进行签名,验证者首先计算 X-Y,如果 X-Y 是一个合法的交易,那么 X-Y 的结果应该等于交易签名公钥 rG,验证者再用 rG 做公钥验证交易签名的有效性,如果验证通过说明交易是合法的,也就是 H 的系数为 0。准确的说,交易内核包括了交易的公钥 rG、使用 r 做私钥对交易的签名以及交易手续费。MinbelWimble 区块链上主要记录信息就是对交易的输入和输出的 Pedersen 表达式计算结果 X 和 Y 以及交易内核。)
范围证明(RANGE PROOFS)
MimbleWimble 协议要求交易金额必须为正数,因此用户无法凭空创造出货币。正如我们所提到的,唯一可以创造币的交易类型是挖矿。 范围证明是一种加密技术,对于某一 Pedersen 表达式 X,通过范围证明技术可以证明给定一对整数(r,min <v <max)满足 X = rG + vH。MimbleWimble 的实现(Grin 和 Beam)使用范围证明来证明交易金额 v 大于零且没有溢出。MimbleWimble 使用最近使用的子弹证明技术(Bulletproofs)是一种仅消耗约 700-5000 字节的范围证明技术。
没有地址
正如我们提到的,MimbleWimble 不使用地址。不使用地址的主要动机是为了增强区块链的隐私性和防止地址膨胀问题。在基于 MimbleWimble 的区块链中,用户必须进行链外的通信来创建交易。使用通信信道,交易发起方向接收方证明其持有交易所需的数字币金额,并向接收方转移这些数字币的控制权。因为没有公开的地址,所以也没有「标准」通信方式来完成交易。因此,交易双方需要建立通信信道,从而发送数字币持有证明及转移数字币控制权。这与比特币(以及大多数其他区块链)非常不同,比特币可以在没有交易接收方参与的情况下完成交易。
混币技术(Coin Join)
混币技术是一种降低数据公开性的方法。 混币将多个交易组合成单个大型交易的方法,这使得很难区分哪些交易输入是对应哪些交易输出。混币技术已在 JoinMarket,ShufflePuff,DarkWallet,SharedCoin,Wasabi,Samourai 等项目中使用。基于钱包的混币技术的缺点是用户必须主动选择使用该功能。这降低了它的有效性,因为用户要么就不知道这一功能,要么就是由于麻烦而不使用该功能,这些都导致参与混币交易的交易数量不足对于混币技术而言,参与混淆的交易的数量太少就不能有效地隐藏交易的发送地址和接收地址。此外,参与混币的用户之间必须进行通信以创建混币交易,因为每个交易发送方都必须对最终组合起来的整个交易进行签名。
在 MimbleWimble 中,用户无需选择混币功能,这是 MimbleWimble 的默认功能。一个区块中不再记录单独的各个交易。相反,它看起来像一个大型的组合起来的交易。图 1 是要包含在下一个区块·中 2 笔摸交易集的示意图。在图 2 中,MimbleWimble 在类似于混币的过程中将两笔交易连接在一起,这样剩下的就是单个交易,它组合了 2 个交易所有输入和所有输出。
交易记录核销 (Cut-through)
保密交易比常规交易需要更大的存储空间。根据 Aaron Van Wirdum[1] 的说法,保密交易比非保密交易所需要的存储空间大 20 倍,计算资源大 30 倍。 MimbleWimble 使用一种名为交易记录核销的技术来解决这一挑战进而提高效率。
[1] Aaron Van Wirdum:BitcoinMagazine 技术编辑
正如我们上面提到的,下载完整的比特币区块链需要占用近 200GB 的空间,并且其正在不断增长。如果比特币上的所有交易都是像 MimbleWimble 这样的保密交易,那么区块链的大小将会大几个数量级。
MimbleWimble 使用称为交易记录核销的过程来删除冗余的交易输出以释放块内的空间并减少需要存储在区块链中的数据量,同时保持相同的安全性。冗余输出的特点是这些输出会在同一区块被作为输入使用。通过 Andrew Poelstra 演讲编制的图表可以很好地说明这一点。
在图 3 中,可以看到的某交易的青色输出在同一区块中后来又被作为某交易的输入,所以可以从区块中删除这笔冗余的输入和输出,以减少必须记录的数据。虽然 MimbleWimble 冗余的交易输出,但它保留了这些交易的交易内核。
MimbleWimble 在在区块内的微观层面和整体数据的宏观层面都使用交易核销技术,从在区块链上的信息只有:区块链首部信息(block header)、UTXO 和交易内核。节点可以使用这些关键数据来验证区块链。从而使得如果一个区块内核销掉的交易输出比这个区块内新增的交易输出多,则区块链的大小会缩小。从理论上讲,这将使得验证区块链所需的数据量会随时间发展越来越小。
Grin 作为 MimbleWimble 的第一个实现,认为 MimbleWimble 节点的数据量大小相比比特币会大大减少,「相比数 GB 大小的比特币区块链节点,Grin 节点大小可以做到数量级的优化,甚至到仅有几百 M 字节」按照 Grin 的描述,假设有 1000 万笔交易伴随着 100 万个 UTXOs,没有交易核销的区块链总大小约为 130GB,其中交易数据为 128GB、交易证明数据为 1GB,块头为 250MB。经过核销,区块链的总大小可以降至 1.8GB,包括 1GB 的输出数据,520MB 的 UTXO (译者注此处应该为交易内核或交易证明数据)和 250MB 的块头。 而 Beam 认为,当它达到与比特币相同的规模时,其区块链大小可能是比特币的 30%。
蒲公英技术(Dandelion)
对于 MimbleWimble 的隐私性而言,最大的威胁是区块链节点可以在打包并广播交易记录前记录交易的信息。在核销之前,交易输出在要在节点本地内存池(mempool)(未经验证的交易池)中保存一些时间。这使得恶意节点可以在构建交易图(transaction graph)并可能发现发送方的 IP 地址。
蒲公英技术不是 MimbleWimble 的一部分,而是 Grin 和 Beam 在实现时补充的功能。蒲公英试图降低恶意节点创建交易图的机会,方法是「在交易被确认之前先悄悄地在网络中转发它,从而延迟交易在网络上出现的时间」(Andreas Antonopoulos[1])。
通常,当有人向区块链发起交易时,交易信息会向所有的区块链节点广播。蒲公英将交易的广播划分为两个阶段,从「阀杆(stem)」或「匿名(anonymity)」阶段开始,在这一阶段,交易信息将其被随机广播到某一个节点,然后再由这个节点将交易信息发送到另一个随机挑选的节点,依此类推,直到收到交易信息的节点数目满足一定要求,则进入第二阶段。第二阶段称为绒毛阶段(fluff phase),在这一阶段交易信息会被广播到所有的节点。这样做可以防止观察节点将交易映射回原始地址。一种蒲公英技术的改进(Dandelion++)使得创建交易图变得更加困难。
在 MimbleWimble 中,交易也可以在匿名阶段之前进行混币,从而使将交易输入与交易映射关联更加困难。 Beam 通过增加占位空输出使得在没有足够的输出也可以进行上述混币操作。。
蒲公英技术的一个问题是,在匿名阶段,如果交易被传递到某一随机节点后,这个节点掉线,那么这笔交易将永远不会被传播到区块链网络。Grin 和 Beam 解决了这一问题——如果某交易没有在合理的时间内达到「绒毛阶段(fluff phase)」,则这个交易将被自动广播到更广泛的网络中。
[1] Andreas M. Antonopoulos (生于 1972 年)希腊 - 英国,比特币的拥护者。
无脚本脚本(Scriptless scripts)
MimbleWimble 不支持交易脚本,而交易脚本是大多数区块链的重要特征。脚本是嵌入在交易中以支持基本智能合约功能的代码。 没有它,MimbleWimble 就不能支持条件交易(conditional transaction),时间锁,状态通道(例如闪电网络),跨链原子交换等。这是不可链接交易和交易核销的代价。验证者无法检查是否满足智能合约条件,因为相关的 UTXO 及其条件可能已经被删除。
当于 2016 年 8 月,第一份 MimbleWimble 论文发布时,无法支持条件交易似乎是使用 MimbleWimble 的一个限制。然而,Andrew Poelstra 发现了一种通过使用无脚本脚本的方式实现智能合约的简单方法。无脚本脚本基于这样的想法:利用施诺尔签名技术(Schnorr signatures)支持无脚本脚本功能,区块链验证者如果需要知道链外发生的条件元素,只需检查签名是否存在且正确。
具体而言,交易的参与者可以通过组合其各自的签名的私钥来创建多重施诺尔签名,从而生成交互式的签名,该签名是提交给节点并由节点验证的唯一数据。
Aaron Van Wirdum 提供了一个很好的解释,便于我们理解。他举了一个想要收听艺术家歌曲的网络用户的例子。艺术家和用户需要将他们组合的施诺尔签名提交到区块链,以验证条件交易。拥有该歌曲版权的艺术家掌握对于这个歌曲加密的密钥,设为 7000,获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的施诺尔签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个施诺尔「适配器签名(adaptor signature)」,1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的施诺尔签名减去减去歌曲密钥的结果。然后用户也做施诺尔签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都发生在链外,这样除了艺术家和用户没有人会发现其中的步骤。区块链验证者唯一看到的内容是一个 13000 的施诺尔签名组合。适配器签名只被艺术家和用户掌握,对于第三方保密的。除了「结算交易」之外,区块链上没有任何交易记录内容。可以通过添加支持施诺尔签名的新操作码(Opcode)来实现无脚本脚本。 Grin 和 Beam 正在实现无脚本脚本,但是暂时没有这个功能何时上线的确切时间表。
基于无脚本脚本有可能实现机密资产(confidential assets),跨链原子交换和第二层扩展解决方案,比如在 MimbleWimble 区块链生态中使用闪电网络。无脚本脚本不一定要在 MimbleWimble 上实现,甚至可能会扩展到其他区块链生态上。
结论
MimbleWimble 基于经过严格证明的密码学技术。其中一些技术已在经同行评审的密码学期刊上发表,其他一些技术则是发布在白皮书和技术报告中。首个 MimbleWimble 区块链生态项目 Grin 和 Beam 最近才推出。虽然 MimbleWimble 是一种新的实验性技术,但它具有有显著提高隐私性和可扩展性的优势,虽然目前它的用户体验还不够好,且也没有彻底完全解决某些隐私方面的挑战。还需要进行大量的测试和迭代才能在大规模开放的区块链生态上实现高效的隐私交易。目前,这个看似难以理解的概念,在实践中可能会还会遇到意想不到的问题。
在用户体验方面,目前 MimbleWimble 没有地址和交易各方需要进行交互通信并且在线(虽然不一定同时)来签署并完成交易。这一要求与现有的加密货币相比很不一样,对于用户使用造成一些困扰。
从隐私性角度,矿工可以在混币和交易核销之前查看内存池(mempool)中的交易。因此,恶意观察节点就可以构建详细的交易图,从而对隐私性构成威胁,这直接挑战了 MimbleWimble 的隐私性这一核心价值主张。尽管有蒲公英技术和虚拟 UTXO 这样的潜在技术解决方案,但它们在实践中还有待完善。
其他隐私币解决方案
MimbleWimble 不是第一个或唯一一个区块链隐私币方案。对所有可用的隐私币解决方案进行全面而深思熟虑的讨论超出了本报告的范围,这里讨论其他可供选择的替代方案以供读者了解。这些包括但不限于其他区块链协议和在底层实现隐私性的币种(Zcash,Monero),通过第二层网络实现隐私解决方案(Blockstream 侧链)和通过交易层实现的隐私方案(例如通过像 Samourai 和 Wasabi 这样的钱包)。
隐私币
在 Grin 和 Beam 之前推出的两个隐私币是 Zcash 和 Monero,这些币在协议层实现了隐私性。Monero 是一款基于 CryptoNote 协议的隐私币,Monero 的一个关键优势是默认情况下即启用隐私功能,它隐藏发送方和接收地址以及交易金额。 Monero 使用环保密交易(Ring Confidential Transactions)和隐形地址来实现隐私性。环签名算法在交易中添加「诱饵」信息从而避免暴露真实的签名信息,进行有效地混淆交易信息。 Monero 的主要缺点是,即使使用子弹证明技术(Bulletproofs)大大减少了存储空间,其数据存储规模仍是比特币的十倍。
Zcash 是基于 Zerocash 协议设计的数字币, Zcash 使用地址加壳技术来隐藏交易方的地址并使用 zk-snarks (一种零知识证明)来隐藏交易金额。与 Monero 以及基于 MimbleWimble 协议的 Grin 和 Beam 不同,Zcash 不会在默认情况下启用隐私功能。在 Zcash 的 Sapling 更新之前,创建一个保密交易的计算量很大且非常耗时,这阻碍了用户的使用隐私功能。经过 Sapling 更新,对地址加壳所需的内存和时间已经减少,这某种程度上会鼓励用户使用保密交易功能。可选的隐私功能的另一个缺点是当用户选择使用加密交易信息时,这一行为可能会被视为可疑行为。Zcash 的另一个缺点是其可信设置(trusted setup)。虽然 Zooko Wilcox[1] 表示打破可信的设置不会影响隐私性,但 Peter Todd (比特币研究员)在某次与一个 zk-snaks 的开发人员的会谈中表示他不同意 Zooko 的看法。
[1] Zooko Wilcox-O'Hearn,左科·威尔科克斯(1974 年 5 月 13 日出生于亚利桑那州凤凰城的 Bryce Wilcox),是美国科罗拉多州的计算机安全专家,cypherpunk 和 Zcash 的首席执行官。
侧链
侧链是一个独立的区块链。侧链双向链接到一个基础层区块链协议。双向链接使得来自原始基础层链上的币在通过验证后,可以以固定的速率与侧链资产进行互换。这些补充作用的侧链可以提供基础层区块链没有的新区块链的功能、扩展并共识机制,从而对基础层区块链面对的问题提供一系列解决方案,包括但不限于隐私性和可扩展性。比特币侧链公司 Blockstream 已经部署了一个这样的网络,即最近推出的 Liquid,它在默认状态下进行保密交易。Liquid 使用一个由 15 个已知节点组成的小组 (称为工作成员小组) 来验证交易并打包区块,这以牺牲去中心化为代价加快了交易速度。虽然 Liquid 的管理更加中心化,但它针对的是交易所场景下的一些特殊问题。例如支持在联盟链内的任何节点随意兑换 LBTC 这一 Liquid 的本地 Token。如果某一个独立的网络节点宕机,此时这个设计会特别有用。Liquid 的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。对 Liquid 的一个轻微批评是,它信任的一些中介机构中包括一些不受监管的、历史上有不安全记录的加密货币交易所,如 Bitfinex 和 OKCoin 等。
隐私钱包(PRIVACY WALLETS)
此外,基于钱包的一些隐私解决方案(如 Wasabi,Samourai 或 Breeze)的优势在于它们可以在比特币(或其他币种)之上实现,而无需更改底层协议。一些批评的声音包括:如果没有在较短的时间内找到匹配的交易资金,就会出现较小的匿名集或者造成交易延迟。例如,Samourai 的交错弹跳(Staggered Ricochet)可能需要两个小时才能到达最终目的地从而完成交易。此外,由于钱包平台的中心化性质,钱包运营平台可以获得交易的隐私信息。在 2019 年初,谷歌要求 Samourai 删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌 Play store 的新规则。
尽管有许多增强隐私的选择,但这些都是早期技术(包括 MimbleWimble,Grin 和 Beam)。在这一点的选择上每个人都有自己的权衡取舍,并且对于什么才是隐私加密的最佳方法目前还没有明确的答案。
GRIN
Grin 是 MimbleWimble 的第一个开源实现。Grin 使用 Rust 语言开发。 Grin 文档于 2016 年 10 月 20 日由匿名开发人员 Lgnotus Peverell 发布。许多 Grin 的核心开发者都采用了来源《哈利波特》相关的绰号。 Grin 在 2019 年 1 月 15 日在主网上发布之前发布了四个测试网。由于其与比特币的相似性,Grin 受到加密货币社区的称赞——尤其是其匿名开发团队以、公平的数字币分发方式(没有预挖、没有 ICO、没有创始人奖励)和基于捐赠的资助模式。然而,Grin 确实有几个值得注意的差异。
货币政策 :Grin 被设计成一种交易媒介(MoE),而不是像比特币那样作为价值储存手段(SoV)。Grin 的矿工奖励是每分钟 1 个块,每个块 60 个 Grin (即每秒 1 个 Grin)。挖矿产生的 Grin 会按照这一规律一直持续下去,且没有减产。这使得 Grin 的通胀率在早期很高。随着时间的推移通胀率逐渐下降。
共识算法:在初期阶段,Grin 将尝试通过使用两种 PoW 算法来实现去中心化。这两种算法是 Cuckoo Cycle[1](布谷鸟环)的变体 (一种是 ASIC 友好的,另一种被认为是 ASIC 抗性的,因为它是内存瓶颈算法(memory-hard)。布谷鸟算法是一种全新的、有点争议的工作量证明(PoW)算法 ; 握手区块链(Handshake blockchain)的白皮书描述了这一问题。
管理:Grin 没有正式的管理流程。但 Grin 有一个 8 名成员组成的技术委员会,负责管理 Grin 的普通基金和发展路线图。Grin 举行对所有人开放的管理和开发会议。
功能:Grin 正在努力通过添加诸如无脚本脚本之类的功能来增强 MimbleWimble 协议,基于这个功能可以实现复杂的「条件交易」功能。社区成员还致力于通过 grinbox 和 wallet713 等解决方案改善用户体验。
挑战:虽然 Grin 因其基于捐赠的资助模式而受到赞赏,但仅依靠外部捐款继续建设和改进 Grin 也是一项挑战。此外,要使非技术用户能方便的使用 Grin,还有很多工作需要做。
自发布以来,Grin 已可以在多个交易所交易,即使它并未主动联系交易所上币也没有向交易所支付上币费。虽然社区很乐意帮助 Grin 上交易所,但 Ignotus Peverell 表示他们并不「过分担心外部因素和 [他们] 无法控制的事情」。
[1] 原作者注:Cuckoo Cycle 是在非常大的二部图中以寻找循环路径,因此其算法速度用每秒完成搜索的图的个数计算。 与大多数其他工作量证明算法相比,Cuckoo Cycle 消耗的功率要少得多,并且其是内存密集型而不是计算密集型算法。 Yeastplume 在一个播客节目中很好地解释了这一点:类似于我们在一张纸上绘制节点并随意在它们之间添加边。,该算法计算出是否可以在这些节点之间找到环,即从一个特定的节点开始并沿着边返回到相同的节点。
挖掘算法
最初,Grin 团队计划使用两种 PoW 算法,由于算法需要消耗大量内存而被认为是抗 ASIC 的:Cuckoo Cycle (由 John Tromp 在 2015 年开发)以及具有较高内存要求的 Equihash 算法,称为 Equigrin。
对内存要求高的算法被认为不是可以利用 CPU 和 GPU 的计算密集型算法。最初由于 Cuckoo Cycle 需要大量 SRAM (静态随机存取存储器),它被认为是 ASIC 抗性的。人们认为因为算法需要大量 SRAM 而在 ASIC 使用大量 SRAM 很昂贵,所以这使得制造 ASIC 更加困难。 Cuckoo Cycle 的创建者 John Tromp 表示,「最初的 Cuckoo Cycle 旨在使内存延迟成为瓶颈。现在,多年以后,我们意识到 Cuckoo Cycle 是可以很好地利用 [...] 的 SRAM 算法,而其实(与过去的想法不同)在 ASIC 制造中使用 SRAM 并不那么昂贵。我们希望 ASIC 比 GPU 具有更高的效率优势。」John Tromp 在一个播客节目中深入探讨了 Cuckoo Cycle。
在 2018 年 8 月,社区承认 ASIC (1)在实践中是不可避免的 [1],而且(2)可能在以开始时会不利于数字币的公平分配,但从长远来看并不一定是一件坏事。相反,ASIC 友好算法可以使网络更加安全,因为 ASIC 矿器增加了网络的算力,使攻击变得更加困难、代价更加高昂。 从长期来看,ASIC 可以有利于区块链协议的成功,因为投资数千万美元的的矿工在安全性方面的诉求与区块链项目的利益完全一致。此外,根据 Derek Hsue 的说法,「任何持续产生 ASIC 抗性的尝试都将导致秘密 ASIC 这个问题确实存在。」
鉴于上述观点,Grin 随后决定改变工作量证明(PoW)算法,这两种算法都是 Cuckoo Cycle 的变体,主算法是 ASIC 友好(AF)算法和第二算法是 ASIC 抗性(AR)算法,并在项目主网上线后逐步淘汰第二算法。 Grin 中的主 PoW 算法叫做 Cuckatoo31 +,是 Cuckoo Cycle 对 ASIC 更加友好的版本。 它被称为 ASIC 友好的是因为它可以使用数百 MB 的 SRAM 来提高性能使得 ASIC 算力超过 GPU。第二算法,称为 Cuckaroo29,是一种内存密集型的 AR PoW 算法。然而,真正保证 ASIC 抗性的唯一方法是有计划的进行硬分叉,不断调整算法(类似 Monero 的做法),使已生成的 ASIC 作废。 Grin 将每六个月执行一次这样的硬分支来调整算法,以抑制对该 AR 算法生产 ASIC 的积极性,直到该算法在两年内逐步淘汰。
加密社区里的一些成员非常关注 Cuckoo Cycle 中 PoW 算法的稳定性。 John Tromp 在 2014 年首次提出了这个概念,并在短时间内进行了多次修订,因为研究人员找到了优化算法的方法。 Cuckoo Cycle 基于一个 NP 完全的图论问题,一个令人担忧问题是,如果某个矿工通过优化 Cuckoo Cycle 算法获得比网络中其他矿工更大的算力,那么挖矿收益将无法公平分配。John Tromp 认为,这类优化算法获得的相对优势可能会随着迁移到更大的图而增加。但如果社区的其他成员对算法做相同的优化,这种优势就会消失。
一开始,Grin90% 的块用第二算法挖掘,10% 的块用主算法挖掘。两年后,100% 的区块将使用主算法进行挖掘。在未来两年,Cuckatoo31+将获得更大比例的区块奖励,每月线性增长 3.75%。Grin 社区希望,到 Cuckatoo31+占 100% 的矿业份额时,将有来自多个 ASIC 制造商生产出 ASIC 矿机,从而引导有序健康的竞争。Grin 基于最近 60 个区块的窗口对挖矿难度进行调整。
[1] 原作者注:Leo Zhang 说「2014 年,当 ASIC 矿工首次商业化时,由于 RAM 成本较高,使用内存硬算法抵制 ASIC 的策略是有道理的。但在过去几年中,RAM 成本的急剧下降使 ASIC 设计人员能够以越来越低的成本为这些网络制造机器。内存瓶颈算法无法无限期地保留 ASIC。」
GRIN 矿池
根据 miningpoolstats.com 的数据显示,Cuckaroo29 上有 15 个矿池,Cuckatoo31+上有 11 个矿池。在撰写本文时,前两名的矿池 (Sparkpool 和 F2pool) 的算力之和占 Cuckaroo29 的 82%,占 Cuckatoo31+的 68%。Sparkpool 和 F2pool 都向 Grin 的开发者基金和普通基金提供了捐款。虽然算力似乎集中在了矿池中,但矿池是由许多矿工参与者组成的,这些矿工可以选择随时离开矿池,并随意将其算力切换到其他矿池。
第三大矿池是 GrinMint,是 BlockCypher 于 2018 年 9 月首次推出的矿池,2019 年 1 月在主网上推出 .BlockCypher 收取 2.5%的费用,并表示将向 Grin 开发者社区捐赠 0.5%。 BlockCypher 还有一名全职开发人员致力于 Grin (Quentin Le Sceller)。其他回馈 Grin 社区的矿池包括 MimbleWimble Grin Pool 和 grin-pool.org。
对 Grin 的批评之一是,当 Grin 上线时,一些投资人投资挖矿并控制了大量的算力。这些投资人本来应该是通过买币投资 Grin,即是市场的买方。但由于这些投资人通过挖矿获得了 Grin,并在市场中卖出 Grin 获利,这些投资人反倒成了市场的卖方。当矿池挖出区块并获得挖矿奖励时,他们必须立即出售币,因为他们要用比特币支付给矿工 (译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
货币政策
Grin 具有线性的增发率,并且将以每分钟 60 Grin (每秒一 Grin)的速度增发 - 其供应量故意被设计成没有上限。而比特币的上限为 2100 万,并且具有通缩发行计划,比特币的块奖励每四年减半,直到接近零。因为比特币的发行模型使得其价值会算时间增加,所以比特币模型鼓励持有硬币。这使比特币成为价值存储工具(SoV)。
Grin 的早期通货膨胀率极高,但当有数百万枚 Grin 币流通时,随着时间的推移通货膨胀率将趋近于零,虽然它永远不会达到零。在实践中,通胀率需要在 10 年后才能降至 10%以下,25 年后才会降至 4%(与 2018 年比特币相同)。通胀率将需要 50 年才能降至 2%以下。然而,实际上,Grin 团队认为,当考虑到存在因为私钥丢失而造成的丢失的币时,通货膨胀将会比上述预想的低。根据团队的说法,每年丢失的币可能高达总供应量的 2%,在计算通货膨胀率时应该将这部分排除。永久性发行被视为缓解币丢失的影响的潜在解决方案。
永久通货膨胀背后的另一个原因是:(1)通胀模型比通缩模型更公平,通缩模型对于越早挖矿的矿工越有益,而通胀模型不会。(2)如果预计明天的币价与今天的相似,那么它有更大的机会被用作交换媒介(MoE),而这就恰恰是 Grin 项目所希望的。短期至中期的高通胀会激励消费而非储存,因为币会被显着的稀释。社区还认为,花钱的动力可能有助于更广泛地分发数字币。
此外,永久性发行可以防止 Grin 最终只能完全依赖交易的手续费来确保网络安全 - 这正是比特币社区正在讨论 / 面临的挑战。一旦比特币的发行量接近零,网络将不得不过渡到仅仅依赖交易费用奖励为保护比特币安全的矿工。仅依赖交易费奖励矿工是区块链的一种新的经济模式,但仍多存在许多问题:每个区块需要多少交易,每笔交易的最低费用是什么,以及如何解决与第二层方案(例如闪电网络)中致力于降低网络费的行为之间的矛盾。
来源 : grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者因为 Grin 没有上限的线性发行计划而批判 Grin,并因为高通胀率降低了数字币作为价值存储的购买力。然而,Grin 的开发者故意设计了这样的通胀率,其目的是鼓励消费、抵消丢失币的影响、确保 Grin 网络始终可以给矿工支付挖矿奖励以维护区块链安全。高通胀的一个不利之处是,与早期比特币相似,挖矿奖励在目前在总供给量中占了相当大的比例。这可能会对 Grin 币的价值产生负面影响,因为矿池出售 Grin 以换取比特币支付给矿工。
(译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
治理
Grin 的莱恩伯格(Lehnberg)说:「治理是关于如何做出在参与者 (参与决策的人) 和利益相关者 (受决策影响的人) 的角度看起来都合理的决策的过程。」 Grin 没有明确的治理流程,但对于没有结论的讨论是透明的且对社区完全开放。
Grin 有一个技术委员会负责管理 Grin 普通基金(Grin General Fund)并指导项目的开发。委员会成员包括 Ignotus Peverell, Antioch Peverell, Hashmap, Jaspervdm, Lehnberg, Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner)和 John Tromp。任何人都可以参与治理会有和开发者会议以及讨论,但是最活跃的贡献者通常还会发挥更大的作用。
技术委员会每两周举行一次管理会议和一次开发者会议,主题包括 ASIC 抗性,筹集和指导资金,重大缺陷和错误,安全审计,交换集成,硬分叉等。 Grin 还会在会议前后在 Github 上发布议程,笔记和会议记录。在 grin-forum 上还有一个管理部分,那上面上有一些主题一致的帖子,表明社区正在积极思考如何从长远来进行管理。
技术委员会主导的管理和开发过程使社区能够在早期快速灵活地运行,以避免减慢项目进程。然而,随着 Grin 的成长和成熟,人们一直在讨论如何建立一个更加结构化的管理流程并进行制衡。委员会成员和捐助者明确表示,有必要实施一个更正式的程序,来确立:
为社区提供一种更结构化的方式来交流关于管理和开发主题的反馈。
设置委员会的权限范围以及社区为委员会成员提供意见的规则。
所有利益相关者都有机会发表意见。利益相关者包括核心开发者,一次性贡献者,矿工,用户,投资者,交易所等。
该委员会的缺点是增加了项目的中心化程度。从长远来看,一个非官方的委员会可能是危险的。一个例子是 Burst PoCC,它具有与 Grin 技术委员会类似的功能。有一天,他们对社区感到不满并意外退出,但仍然可以访问项目代码库,管理 DNS 域名等等。他们还采取了额外的恶意行为,例如欺骗矿池和过早抛售 Burst,最终损害了 Burst 区块链。
资金
Grin 是一个完全基于捐赠的开源项目。虽然它的公平的数字币分配机制受到了称赞——没有 ICO、没有预挖、没有创始人奖励,但缺点是开发进展缓慢。Grin 的安全审计、市场营销、网站开发、运营活动等都依靠无偿的兼职志愿者和对核心开发者基金的捐赠。
正如 Tushar Jain 所指出的那样,「如果没有资本的促进,开发进度将被推迟。」这是 Grin 社区也认可的事实。在 Grin 普通基金的页面上,他们说,「现实情况是,有了资金支持,对 Grin 项目将会有很大帮助。这将使 Grin 能够更快,更可靠地发挥其潜力,拥有更好的基础设施支持,并且与资金充足的区块链项目竞争(或共存)的可能性会更大。」
Grin 社区于 2016 年开始开发 Grin,并于 2019 年 1 月才主网上线。同一时期,Beam 是 MimbleWimble 协议的另一个实现(下文将进一步详细讨论),是由一家获得风险投资者的私营公司开发的项目。他们从 2018 年初开始启动该项目,并于 Grin 主网上线前一周实现主网上线。
此外,Yeastplume (Michael Cordner),社区的核心开发人员和主要成员,在最初在筹集个人研发赞助资金时遇到了困难,无法将全部精力投入 Grin。只有在 Ignotus Peverell 在对 Yeastplume 的募资活动远未获得 (5.5 万欧元)10% 的资金表示失望之后,募资活动的捐款才开始上升。自那以后,它已经超额完成了募资目标,在撰写本文时筹集了 66,580 欧元。可以在 Grin 名人堂中查看完整的捐赠者名单。
依靠捐赠可能在短期内会奏效。然而,为了保持发展并吸引人才进入网络,Grin 将不得不重新考虑其融资模式,因为它面临着于那些资金充足并付费的项目日益激烈的竞争。在这个关于开发者激励政策的明确表达中,纳撒尼尔·惠特莫尔 (Nathaniel Whittemore) 提出了另一种全新的面向商业的激励模式,即(1)提供足够的激励来吸引顶尖人才加入项目,(2)同时继续为核心开发路线图做出贡献。即保证项目在既定路线图的规划下,使用经济措施鼓励更多优秀人才贡献力量。
用户体验
如上所述,MimbleWimble 是没有地址的。因此,交易的发起方和接收方必须传递消息 (称为「交易石板」),基于交互式通信进行币的转让。有多种方法可以标准化的传递 JSON 消息。一种方法是基于文件的传输,其中文件包含纯文本格式的 JSON 消息,可以通过多种方式传输文本 (电子邮件、Telegram、Keybase、业余无线电、信鸽等)。另一种方法是基于 HTTP URL 的方法,其中 API 接口接受文本格式的原始 JSON。
一组名为 vault713 的第三方开发人员正致力于使 Grin 可以更加实用并被广泛的使用。他们的第一个项目是一个名为 Grinbox 的交互协议。 Grinbox 是一种消息中继服务(message relaying service),当与 wallet713 一起使用时可以简化交易处理过程,wallet713 是目前在 Linux 上运行的 vault713 的 grin 钱包的核心分支。Grinbox 和 wallet713 旨在改善 Grin 的发送和存储过程。
第一步,Grinbox 允许参与者创建公开的地址用以发送 / 接收资金,这样他们就不必公开他们自己的 IP 地址。 wallet713 还允许用户将联系人姓名链接到他们计算机上的本地存储地址。此外,wallet713 允许异步交易构建。 vault713 还致力于添加更多增强隐私和可用性的功能,例如多重签名支持,BTC 和 Grin 之间的原子交换,在交易进入未经确认的内存池、移动 /web/ 桌面 GUI 等之前,与其他 wallet713 用户一同进行钱包层面的混币。
随着项目的成熟并吸引到更多人才,将出现更多利用不同通信信道创建交易可选方法。这可能包括利用 NFC,QR,蓝牙等的近场通信技术创建交易的方法。最终,用户选择一个方便且易于理解解决方案作为主要的交易通信方式。但是到达那一步还需要一些时间,还有待观察哪种方法可以成为标准。
Grin 只有几个月的历史,而且就目前而言,该项目适合精通技术的用户投入时间和精力来了解它的工作原理。虽然社区开始通过 grinbox 和 wallet713 等工作解决用户体验方面的问题,但要使非技术用户能舒适的在网络上进行交易还需要时间进行迭代和教育。
结论
Grin 是一个最初引起密码学朋克和无政府加密主义者注意的项目,但 Grin 与比特币相似的思想引起了许多人的注意。也就是说,Grin 因其匿名领导者、基于捐赠和草根的资助模式、专注于隐私和去中心、以及其社区非常关注对项目的推进而不是快速赚钱而受到赞扬。
但是 Grin 主网上线 Grin 只是第一步。要想让 Grin 获得长期成功并被广泛采用,还有很多工作要做。需要解决的关键挑战包括更可靠的筹资方式、更直观的用户体验以吸引更多用户使用 Grin,以及研究如何解决系统中的隐私漏洞 (即观察节点创建交易图的能力)。
核心团队表示,其主要关注点仍然是稳定性,性能以及安全性。通过第三方开发团队将 Grin 集成到他们的服务和产品中来培育一个健康的生态系统,这对提高使用率也是至关重要的。这并不一定需要 Grin 的核心开发人员来完成。相反,这些挑战可以在 Grin 区块链周围出现第三方开发人员生态系统时解决。
Grin 仍然是一个非常新的项目,它开创了全新的未经测试的想法,加密概念和技术。如果 Grin 能够应对关键挑战,那么它有可能成为将隐私重新置于个人手中的一种方式。
BEAM
Beam 是由一家总部位于以色列的 VC 支持的创业公司,于 2019 年 1 月 3 日推出了基于 MimbleWimble 协议的以隐私为重点的同名加密货币。它于 2018 年 3 月开始使用 C ++开发,并于 2018 年 9 月推出了测试网络。虽然 Beam 和 Grin 的相似之处在于它们都是 MimbleWimble 的实现,旨在为用户提供隐私增强功能,但它们的路径各不相同。与 Grin 不同,Beam 是一家私营公司,雇用开发人员来实施。 Beam 是从闭源开始,但后来开源了。 Beam 的另一个相比于 Grin 的重要区别是 Beam 提供了针对企业和监管机构的可选审计功能。
货币政策:Beam 的供应计划是通货紧缩型的,在第一年之后区块奖励下降 50%,之后每四年就会减少一半,直到达到 2.63 亿的硬性上限。此外,Beam 挖矿产出的 20% 将作为开发税进入 Beam Treasury 基金,用于并为 Beam 的未来开发提供资金。
挖矿算法:Beam 使用 Equihash 的修改版本(一种工作量证明挖掘算法)来提供网络共识。为了确保去中心化,Beam 将通过定期调整其算法使得 Beam 在前 12-18 个月保持 ASIC 抗性。
管理:Beam 目前由一家 VC 支持的创业公司运营,由付薪雇员组成。长期目标是完全将管理移交给管理 Beam Treasury 基金、维护区块链的非营利基金会。
功能:Beam 正在添加一个可审计的功能,这样企业就可以在不损害隐私性的情况下证明其合规性并提供交易的可预见性。Beam 开发人员还在探索一个安全的 BBS 系统,该系统将支持非交互式离线交易。
挑战:不断改进 PoW 协议是一项艰巨的任务,避免 ASIC 挖矿将使网络整体算力保持在较低水平,这也使得攻击网络的成本相对较低。此外,Beam 目前的运营和管理结构是中心化的,转向更去中心化的模式将需要避免所有投资方之间的权力斗争。
挖掘算法
Beam 使用 Equihash 算法,这是由卢森堡大学的 Alex Biryukov 和 Dmitry Khovratovich 创建的工作量证明算法。 Equihash 是一种基于广义生日问题的非对称内存密集型算法。 Equihash 的另一个关键属性是挖矿是随机的,这意味着生成 PoW 解的可能性与过去是否的成功挖矿是不相关。 Equihash 有两个可以调整的参数:n (bit 位宽)和 k (长度),它们决定了底层问题的复杂性,从而决定了算法的内存和时间复杂度。Beam 使用 Equihash 参数 n = 115 和 k = 5。
Equihash 在某种意义上是不对称的,因为它需要大量的内存来生成一个证明,但它不需要大量的内存来验证它。这是 Equihash 的一个重要特性,因为大多数其他内存密集型算法都是对称的,也就是说,验证与生成一个证明一样困难。内存密集型指的是生成一个证明所花费的时间与内存成正比,而不是与 CPU 计算能力成比例。如果使用更少的内存,Equihash 会不成比例地大大增加对计算能力的需求。
最初,内存是一种昂贵的资源,因此不假设 ASIC 比常规 CPU 和 GPU 更容易做出内存优化。另一方面,ASIC 与 GPU 相比提供了显著的带宽改进,而 GPU 又比 CPU 提供了显著的带宽改进。由于芯片设计技术的改进,为内存优化的 ASIC 矿机的成本不再像过去预期的那么高。
Zcash 是一个专注于以隐私性的加密货币,也使用 Equihash 算法。最初选择了 Equihash 是因为它被认为是 ASIC 抗性的。然而,在 2018 年,比特大陆发布了 Antminer Z9 mini 矿机,这个矿机通过降低 SRAM 的成本获得比通用硬件(CPU、GPU)更高的挖矿效率。在 Beam 的 Equihash 算法帖子中,他们强调「卢森堡大学的研究人员发现,截至 2018 年 5 月,20%-30%的 Equihash 是由 ASIC 矿机挖出的。」
Beam 表示,它们已经特别设置了 Equihash 参数,以便在短期内为 CPU 和 GPU 为矿工提供优于 ASIC 的优势,从而使币的初始分发更加广泛。然而,它认识到 ASIC 是不可避免的,甚至是在长期看是有用的,因为 ASIC 是一项成本可控的投资,并且增加了全网算力,从而使得区块链更安全且更难被攻击。
货币政策和资金
Beam 的货币政策类似于比特币。它的特点是规定了一个硬顶和通缩发行计划,并使用常规的区块奖励减半方法(每个区块的挖出的币数量下降 50%),直到通货膨胀率达到零。因此,这个初创公司是希望将 Beam 用作价值储存(SoV),而不是像 Grin 那样的交换媒介(MoE)。不过,其与比特币的相似性就到此为止了。与特别币不同的是:1. Beam 在第一年的挖矿奖励更多;2. 前 5 年的挖矿产出中部分归于项目创始人团队;3. Beam 每分钟一个块(比特币每 10 分钟一个块)。
在第一年,一个区块奖励将是 100Beam,高于之后的奖励,以激励矿工尽早加入网络并将 Beam 引入市场。头五年中 20% 的挖矿产出将给与创始人团队。所以第一年挖出的每个区块的 100 Beam 中 80 Beam 将支付给矿工,20Beam 将支付给 Beam 财富基金。在第 2 到第 5 年,区块奖励将下降 50%,变为 50 个 Beam,其中 40 个 Beam 支付给矿工,10 个 Beam 支付给 Beam 财富基金。在第 6 年,区块奖励将再次下降 50% 至 25 Beam,且所有奖励都将支付给矿工,并在未来改为每 4 年减半一次,直到第 129 年。区块奖励将在第 133 年停止,届时 Beam 预计的总供应量约为 2.63 亿。
来源 :medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam 采用了创始人奖励机制(Founders Reward),也称为开发税(Dev Tax),以回报投资者并为正在进行的协议和工具开发提供经济支持。创始人奖励费用是编写在区块链协议中的代码里,该协议在矿工和创始团队的已知地址之间的自动分配区块奖励
这种方法明显与 ICO 或预挖等不同,正如 Dash 所见,它以大量的流动资金来补偿加密资产的创始人。虽然 ICO 和预挖都是早期团队成员所希望的,但这类薪酬设计往往缺乏有效的资金监管和退出时间表。因此,在短期利益驱使下,挪用资金并跑路的骗局相当普遍。
「创始人奖励」的目的是随着项目的发展逐步补偿创始人。因此,最初的利益相关者更有动力去协调资源维护网络的长期成功。此外,奖励制度被纳入区块链协议,Arjun Balaji 指出:这种机制提供了固定资金分配比例带来的资金透明度,也为通过软或硬分叉修改现有分配方法提供可行性。
该创始人激励结构最初是由 Electric Coin Company(前身为 Zcash Company) 设计并推广的。这家公司是专注于隐私的加密货币 Zcash 的背后的开发和维护企业。起初,Zcash 矿工只能获得区块奖励的 80%。剩下的 20% 将分配给 Zcash 基金会 (一个支持 Zcash 开发的独立非盈利组织)、数字币公司以及早期的 Zcash 开发人员和顾问。在头四年之后,创始人奖金被预先设定为零,以确保在 2100 万美元的上限达到之前,所有新发行的 Zcash 将 100% 归矿工所有。
Beam 资金模型与 Zcash 的资金模式相似,在早期阶段其支付给 Beam 财富基金,创始人费用比例为 20%。与 Zcash 历时 4 年的创始人奖励不同,Beam 创始人奖励历时 5 年,包括第一年区块奖励为 100 Beam 的时候。在这五年结束时,累计有超过 3150 万的 Beam 被送给 Beam 财富基金。计划将基金中 35%的资金分配给早期投资者,另外 45%的资金补偿给核心团队成员和顾问,剩余的 20%将用于支持 Beam 主权货币基金会。这是该项目维护和管理的长期解决方案。
来源 : medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖金,Beam 还从包括 Recruit Co. LTD、Yeoman 's Capital 和 Node Capital 在内的各种风险投资基金中筹集了至少 500 万美元,用于聘请全职开发人员来推进开发。这些投资者将定期从创始人奖金中获得 Beam 以回报其早期投资。
Beam 的核心团队和早期投资者都认识到,更加中心化的推动项目可以加速产品研发、尽量避免在基于社区运营的项目中经常出现的项目延期的情况。因此,Beam 选择了这种更加中心化的管理方法来启动项目并度过项目的初始阶段。随着 Beam 的不断成熟,其目标是实现更加去中化的激励和管理结构,将区块奖励交给矿工,并将项目控制权交给社区。
不利的一面是,同时也是对 Beam 的批评之一,Beam 并没有让所有投资者都能平等参与。在主网上上线之前就从投资者那里筹集资金,或者将一部分资金投入专门的集团 (即 ICO、创始人奖励、预挖),这些都可能导致币的分配不公平。
与之相对的是与比特币和 Grin 类似的产品,在这些产品中,加密资产只能通过传统的 PoW 挖矿获得。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络挖出新的比特币或 Grin。这样的发行方式往往会在区块链网络用户之间更为公平。
继续阅读:Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
查看全部
这是一篇出自著名区块链公司 circle.com 的报告。虽然本文中有些内容有一定的错误,但本文依旧是难得一见的深入浅出、全面细致介绍 MimbleWimble 协议原理与特点的好文章,同时本文也细致介绍、分析、对比了 MimbleWimble 的两个实现 Grin 和 Beam 的详细情况。矿宝为了让更多中国用户、爱好者了解 MimbleWimble 协议和 Grin、Beam 项目,将本文翻译为中文,同时在文中补充勘误了一些信息。由于时间和水平的原因,翻译难免还有不尽甚至错误之处,也欢迎读者不吝指正。
MimbleWimble
MimbleWimble 是一种增强隐私性和可扩展性的区块链协议。MimbleWimble 协议不需要存储整个区块链的所有历史数据,就可以验证区块链的所有交易的有效性 [ 1 ]。MimbelWimble 是以小说《哈利波特》中的「结舌咒」[ 2 ] 来命名的,这个咒语用于防止泄密。该协议是由一个化名 Tom Elvis Jedusor (伏地魔的法语名字)的人于 2016 年提出的,他通过洋葱头加密通讯通道(Tor LIink),在一个名叫「比特币巫师」(Bitcoin wizards)的 IRC 网络聊天室上分享了一个概述 MimbleWimble 的文本 - 然后便消失了。
译者注:
[1] 相较于比特币,用户需要下载完整的交易历史(数据量庞大)来确认交易的有效性。
[2] 结舌咒即:舌头打结的咒语,用于让对手沉默。
背景
Blockstream 的数学家 Andrew Poelstra [1] 对 WimbleMimble 协议很感兴趣,并于 2016 年 10 月,发表了一篇论文,更详细、更严谨论证了关于 MinbleWimble 协议的技术细节。MimbleWimble 是一个区块链协议,而 Grin 和 Beam 是它最先落地的两项实现。我们将在本报告中探索 MimbleWimble、Grin 以及 Beam。
来源:messari.io/onchainfx,coinmarketcap.com (截至 2019 年 3 月 3 日)
[1] Andrew Poelstra 是侧链白皮书的合作者之一。
[2] 此处数据存疑,Grin 是无限挖模式,并没有设置发行量上线,对此数据的计算依据表示质疑。
在加密社区中的许多人都在密切关注 MimbleWimble 协议,因为它首次优化了隐私性和可扩展性,它的目标是改进比特币以及其他加密货币的下述关键性问题。
完全隐私:MimbleWimble 会对未参与交易的所有第三方隐藏交易的发起者、接收者以及交易金额的信息。第三方观察者只能在一个交易中,看到一系列经过加密处理的包含交易输入、输出的整体 [1],他们可以验证这些输入都在链上,并且输出和输入的虚拟货币的总数相同。这个设定便改善了在比特币等类似系统中「任何人都可以追溯一个资金从一个地址到另一个地址的转移过程」的问题。
效率:MimbleWimble 事务验证者只需要存储交易中未耗尽的 UTXO (交易记录)。而所有其他加密货币强制矿工和第三方验证者存储区块链的整个交易历史。MimbleWimble 这样做可以节省存储空间并加快同步速度,因为随着区块链历史的不断增长,矿工们可能会被迫使用更多的硬盘资源来存储整个历史记录。
一个验证者通过:(1)核实输出与输入的总和相等;以及(2)交易中不包含负数,保证交易过程中没有试图创造新的币;来验证一个 MimbleWimble 交易的有效性。挖矿是唯一可以产生新币的方式,这也是唯一可以识别身份的交易。但是,验证者和观察者并不会知道是谁获得了挖矿的区块奖励。
MimbleWimble 的另一个重要特性,就是这里只有交易的输入和输出而没有地址或公钥。每一个 UTXO 都有一个私钥,接收者将私钥存储在他的钱包中。要发出 UTXO,发起者必须在专用的通信通道里通知接收方,并执行多轮通信以构建交易。发起者要使用他的 UTXO 私钥对这个 UTXO 进行签名认证,并将签名结果发送给接受者。
[1] 即 Mimblewimble 只验证交易前后总数的一致性,输入(input)和输出(output)即交易前后的状态。
MimbleWimle 要解决的问题
区块链是不可伪造的公开交易账本。其不可伪造性意味着用户只能发送他们曾经收到的资金——他们无法发送属于别人的资金或是凭空创造资金。比特币和类似的区块链的发送方地址、接收方地址和交易金额都是公开的,所以很容易验证发送的金额等于收到的金额、发送方的私钥地址包含发送的资金。
比特币(包括其他加密资产)的公开性对于不希望公开交易细节的人或商业活动来说是不合适的。此外,随着像 Elliptic[1] 和 Chainalysis[2] 这样的区块链大数据分析公司的崛起,研究人员可以将非法交易的输出对应起来并将其列入黑名单。币安(Biance)首席执行官曾发布推文说,他们能够在被社交媒体上报道后,冻结黑客发送给交易所的资金。然而,有些人认为这违背了货币的可替代性的原则。可替代性原则是指所有被创造的货币都是相同的,就像一美元钞票等于另一美元钞票一样,无论钞票过去经过什么样的流通活动,这个钞票与其他美元钞票都应该是一样的。
比特币和所有其他区块链要求矿工和其他验证人记录链的整个交易历史,以验证所有交易是否有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这个设置使得想要与网络同步的新参与者需要大量空间、时间和计算资源。比特币区块链在 2019 年之前的大小约为 200GB。
[1] Elliptic: https://www.elliptic.co/(一家为加密货币公司,金融机构和政府机构提供可操作的情报的公司)
[2] Chainalysis: https://www.chainalysis.com/ (防止,检测和调查加密货币洗钱,欺诈和违规行为)
MimbleWimble 的解决方案
MimbleWimble 以巧妙的方式使用加密技术来实现不可伪造性,同时优化隐私性和可扩展性。 MimbleWimble 不是像比特币那样验证每个输出的整个历史记录,而是检查区块链上所有交易的输入的总和减去所有输出的总和为 0 以验证链(这种做法也加强了交易的一个基本属性:交易发出的金额等同于收到的金额)。MimbleWimble 综合使用保密交易 (Confidential Transactions)、混币(Coin Join)、 范围证明(Range Proof)和交易记录核销(Cut-through)技术来实现上述目标。
与比特币相似,MimbleWimble 依赖于椭圆曲线密码学和 UTXO 模型。然而,MimbleWimble 是一个更加轻量级的的版本,由于增强隐私性的要求,它牺牲了可编程性。因此,诸如闪电网络(Lightning Network)之类的时间锁定或支付渠道等更复杂和精细的功能目前还无法在 MinbleWimble 中使用 [1]。
[1] 译者注:Grin 和 Beam 都有对应的解决方案。
速成课程:UTXOS
比特币和 MimbleWimble 一样使用「未使用的交易输出」(Unspent Transaction Output UTXO)模型来计算余额。这类似于使用硬币或现金来支付商品和服务。例如,爱丽丝想买一件 30 美元的衬衫,但她有两张 20 美元的钞票。她不能只给商人一张半的钞票。相反,她给了商人两张钞票,并收到了一张 10 美元的钞票作为找零。
UTXO 模型以类似的方式运行:Alice 在之前的交易中获得了两个交易输出:1 BTC 和 0.5 BTC。现在 Alice 需要向一个商人支付 1.3 BTC。她的钱包创建了一个发送 1.5BTC 的交易,这个交易有两个输入(1BTC 和 0.5BTC)两个输出(1.3BTC 和 0.2BTC)。商户收到 1.3 个 BTC,Alice 收到 0.2 个 BTC (可以视为找零)。由于 UTXO 模型这一特性,比特币用户可以通过查询区块链浏览器,观察到他们的比特币地址经常发送出比指定数量更多的比特币。
速成课程:椭圆曲线加密
椭圆曲线有几个特性,使其可以用于复杂的加密协议。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点 G,乘以一个整数 s,得到椭圆曲线上的另一个点 P=sG。然而,给定(P,G)要求出 s 的值在计算上是不可行的。这使得我们可以将(P,G)作为公钥,将 s 作为私钥。椭圆曲线的另一个特性是椭圆曲线上的计算满足一些有用的代数特性:
分配律:(a+b)G = aG+bG
结合律:a(bG)=b(aG)=(ab)G
速成课程:Pedersen 表达式(Pedersen Commitments) Pedersen 表达式是结合椭圆曲线的单向性和代数性质的密码学术语。对给定的值(x,y)计算其 Pedersen 表达式为 P=xG+yH。由于计算 s=P/G 是不可行的,所以要通过 (P,G,H) 计算出(x,y)是不可能的。另外,由于有无数的 x 和 y 的组合可以满足关系 P=xG+yH,所以即使我们知道某 1 个满足此关系的解(x,y),我们依然无法计算出满足此关系且不违反椭圆曲线单项属性的第二对(x’,y’)。
保密交易(Confidential Transaction)
默认情况下,MimbleWimble 依靠一个称为保密交易的密码学概念来实现隐私性。保密交易是由 Gregory Maxwell[1] 提出的,他从 Adam Back[2] (亚当·贝克的比特币同态加密中汲取到灵感。保密交易使用 Pedersen 表达式来隐藏 UTXO 中的交易金额。
[1] Gregory Maxwell 是 Bitstream 的比特币核心开发人员和联合创始人兼首席技术官。
[2] Adam Back (1970 年 7 月出生)是英国密码学家和加密黑客,hashcash 的发明者。
在 MimbleWimble 中,交易输入和输出通过 Pedersen 表达式计算为「P=rG + vH」。G 和 H 是椭圆曲线上的随机点,并作为区块链的公共参数公开。值 v 是 UTXO 的交易金额。r 是致盲因子,用作 UTXO 的私钥,值 rG 是对应于 r 的公钥。MimbleWimble 使用 Pedersen 表达式使敏感交易信息模糊,替代明文交易金额。Pedersen 表达式允许使用基本算法来验证交易。
举个例子,我们有两个输入和一个输出。我们提供交易金额(v)和致盲因子(r),同时将 G 和 H 作为公开参数。
交易内核(Transaction Kernel)
上述保密交易的问题在于,它们需要输入和输出的 UTXO 使用相同的致盲因子,即接收者的私钥。如果发送者知道了接收者的致盲因子的值,她就可以窃取接收者输出的 UTXO。而 MimbleWimble 使用零知识证明 (zero-knowledge) 克服了这个问题。
举一个简单的例子:某交易发送的交易金额为 5。发送者有一个 UTXO 作为交易的输入,由 Pedersen 表达式计算交易的输入为 X=45G+5H,其中 5 是交易金额 (v),45 是致盲因子(r),也就发送方的私钥。接收方选择一个随机盲因子 7 并创建一个 UTXO,由 Pedersen 表达式计算为 Y=7G+5H。验证者将交易输入减去输出得到:
X-Y=(45G+5H)-(7G+5H)=38G
MimbleWimble 将值 38 称为超额或内核,并将值 X-Y = 38G 称之为交易内核(译者注:准确的说公钥 rG 只是交易内核的一部分,交易内核还包括用 r 做私钥对交易做的签名,见下述译者补充)。对于一个有效的交易,交易内核始终为 X-Y = rG + 0H,其中 r 是某个整数。即使交易里有多个输入和多个输出也是始终如此。如果输入值的总和等于输出值的总和,则 H 系数将恒为零。有效的交易内核始终采用公钥的形式。发起人和接收方都知道对应私钥的一部分(45 和 7)。 MimbleWimble 协议要求交易双方使用他们的致盲因子进行多重签名来签署交易,内核(45-7=38)就是交易参与者的多重签名私钥。(译者补充:交易双方使用内核作为私钥对交易进行签名,验证者首先计算 X-Y,如果 X-Y 是一个合法的交易,那么 X-Y 的结果应该等于交易签名公钥 rG,验证者再用 rG 做公钥验证交易签名的有效性,如果验证通过说明交易是合法的,也就是 H 的系数为 0。准确的说,交易内核包括了交易的公钥 rG、使用 r 做私钥对交易的签名以及交易手续费。MinbelWimble 区块链上主要记录信息就是对交易的输入和输出的 Pedersen 表达式计算结果 X 和 Y 以及交易内核。)
范围证明(RANGE PROOFS)
MimbleWimble 协议要求交易金额必须为正数,因此用户无法凭空创造出货币。正如我们所提到的,唯一可以创造币的交易类型是挖矿。 范围证明是一种加密技术,对于某一 Pedersen 表达式 X,通过范围证明技术可以证明给定一对整数(r,min <v <max)满足 X = rG + vH。MimbleWimble 的实现(Grin 和 Beam)使用范围证明来证明交易金额 v 大于零且没有溢出。MimbleWimble 使用最近使用的子弹证明技术(Bulletproofs)是一种仅消耗约 700-5000 字节的范围证明技术。
没有地址
正如我们提到的,MimbleWimble 不使用地址。不使用地址的主要动机是为了增强区块链的隐私性和防止地址膨胀问题。在基于 MimbleWimble 的区块链中,用户必须进行链外的通信来创建交易。使用通信信道,交易发起方向接收方证明其持有交易所需的数字币金额,并向接收方转移这些数字币的控制权。因为没有公开的地址,所以也没有「标准」通信方式来完成交易。因此,交易双方需要建立通信信道,从而发送数字币持有证明及转移数字币控制权。这与比特币(以及大多数其他区块链)非常不同,比特币可以在没有交易接收方参与的情况下完成交易。
混币技术(Coin Join)
混币技术是一种降低数据公开性的方法。 混币将多个交易组合成单个大型交易的方法,这使得很难区分哪些交易输入是对应哪些交易输出。混币技术已在 JoinMarket,ShufflePuff,DarkWallet,SharedCoin,Wasabi,Samourai 等项目中使用。基于钱包的混币技术的缺点是用户必须主动选择使用该功能。这降低了它的有效性,因为用户要么就不知道这一功能,要么就是由于麻烦而不使用该功能,这些都导致参与混币交易的交易数量不足对于混币技术而言,参与混淆的交易的数量太少就不能有效地隐藏交易的发送地址和接收地址。此外,参与混币的用户之间必须进行通信以创建混币交易,因为每个交易发送方都必须对最终组合起来的整个交易进行签名。
在 MimbleWimble 中,用户无需选择混币功能,这是 MimbleWimble 的默认功能。一个区块中不再记录单独的各个交易。相反,它看起来像一个大型的组合起来的交易。图 1 是要包含在下一个区块·中 2 笔摸交易集的示意图。在图 2 中,MimbleWimble 在类似于混币的过程中将两笔交易连接在一起,这样剩下的就是单个交易,它组合了 2 个交易所有输入和所有输出。
交易记录核销 (Cut-through)
保密交易比常规交易需要更大的存储空间。根据 Aaron Van Wirdum[1] 的说法,保密交易比非保密交易所需要的存储空间大 20 倍,计算资源大 30 倍。 MimbleWimble 使用一种名为交易记录核销的技术来解决这一挑战进而提高效率。
[1] Aaron Van Wirdum:BitcoinMagazine 技术编辑
正如我们上面提到的,下载完整的比特币区块链需要占用近 200GB 的空间,并且其正在不断增长。如果比特币上的所有交易都是像 MimbleWimble 这样的保密交易,那么区块链的大小将会大几个数量级。
MimbleWimble 使用称为交易记录核销的过程来删除冗余的交易输出以释放块内的空间并减少需要存储在区块链中的数据量,同时保持相同的安全性。冗余输出的特点是这些输出会在同一区块被作为输入使用。通过 Andrew Poelstra 演讲编制的图表可以很好地说明这一点。
在图 3 中,可以看到的某交易的青色输出在同一区块中后来又被作为某交易的输入,所以可以从区块中删除这笔冗余的输入和输出,以减少必须记录的数据。虽然 MimbleWimble 冗余的交易输出,但它保留了这些交易的交易内核。
MimbleWimble 在在区块内的微观层面和整体数据的宏观层面都使用交易核销技术,从在区块链上的信息只有:区块链首部信息(block header)、UTXO 和交易内核。节点可以使用这些关键数据来验证区块链。从而使得如果一个区块内核销掉的交易输出比这个区块内新增的交易输出多,则区块链的大小会缩小。从理论上讲,这将使得验证区块链所需的数据量会随时间发展越来越小。
Grin 作为 MimbleWimble 的第一个实现,认为 MimbleWimble 节点的数据量大小相比比特币会大大减少,「相比数 GB 大小的比特币区块链节点,Grin 节点大小可以做到数量级的优化,甚至到仅有几百 M 字节」按照 Grin 的描述,假设有 1000 万笔交易伴随着 100 万个 UTXOs,没有交易核销的区块链总大小约为 130GB,其中交易数据为 128GB、交易证明数据为 1GB,块头为 250MB。经过核销,区块链的总大小可以降至 1.8GB,包括 1GB 的输出数据,520MB 的 UTXO (译者注此处应该为交易内核或交易证明数据)和 250MB 的块头。 而 Beam 认为,当它达到与比特币相同的规模时,其区块链大小可能是比特币的 30%。
蒲公英技术(Dandelion)
对于 MimbleWimble 的隐私性而言,最大的威胁是区块链节点可以在打包并广播交易记录前记录交易的信息。在核销之前,交易输出在要在节点本地内存池(mempool)(未经验证的交易池)中保存一些时间。这使得恶意节点可以在构建交易图(transaction graph)并可能发现发送方的 IP 地址。
蒲公英技术不是 MimbleWimble 的一部分,而是 Grin 和 Beam 在实现时补充的功能。蒲公英试图降低恶意节点创建交易图的机会,方法是「在交易被确认之前先悄悄地在网络中转发它,从而延迟交易在网络上出现的时间」(Andreas Antonopoulos[1])。
通常,当有人向区块链发起交易时,交易信息会向所有的区块链节点广播。蒲公英将交易的广播划分为两个阶段,从「阀杆(stem)」或「匿名(anonymity)」阶段开始,在这一阶段,交易信息将其被随机广播到某一个节点,然后再由这个节点将交易信息发送到另一个随机挑选的节点,依此类推,直到收到交易信息的节点数目满足一定要求,则进入第二阶段。第二阶段称为绒毛阶段(fluff phase),在这一阶段交易信息会被广播到所有的节点。这样做可以防止观察节点将交易映射回原始地址。一种蒲公英技术的改进(Dandelion++)使得创建交易图变得更加困难。
在 MimbleWimble 中,交易也可以在匿名阶段之前进行混币,从而使将交易输入与交易映射关联更加困难。 Beam 通过增加占位空输出使得在没有足够的输出也可以进行上述混币操作。。
蒲公英技术的一个问题是,在匿名阶段,如果交易被传递到某一随机节点后,这个节点掉线,那么这笔交易将永远不会被传播到区块链网络。Grin 和 Beam 解决了这一问题——如果某交易没有在合理的时间内达到「绒毛阶段(fluff phase)」,则这个交易将被自动广播到更广泛的网络中。
[1] Andreas M. Antonopoulos (生于 1972 年)希腊 - 英国,比特币的拥护者。
无脚本脚本(Scriptless scripts)
MimbleWimble 不支持交易脚本,而交易脚本是大多数区块链的重要特征。脚本是嵌入在交易中以支持基本智能合约功能的代码。 没有它,MimbleWimble 就不能支持条件交易(conditional transaction),时间锁,状态通道(例如闪电网络),跨链原子交换等。这是不可链接交易和交易核销的代价。验证者无法检查是否满足智能合约条件,因为相关的 UTXO 及其条件可能已经被删除。
当于 2016 年 8 月,第一份 MimbleWimble 论文发布时,无法支持条件交易似乎是使用 MimbleWimble 的一个限制。然而,Andrew Poelstra 发现了一种通过使用无脚本脚本的方式实现智能合约的简单方法。无脚本脚本基于这样的想法:利用施诺尔签名技术(Schnorr signatures)支持无脚本脚本功能,区块链验证者如果需要知道链外发生的条件元素,只需检查签名是否存在且正确。
具体而言,交易的参与者可以通过组合其各自的签名的私钥来创建多重施诺尔签名,从而生成交互式的签名,该签名是提交给节点并由节点验证的唯一数据。
Aaron Van Wirdum 提供了一个很好的解释,便于我们理解。他举了一个想要收听艺术家歌曲的网络用户的例子。艺术家和用户需要将他们组合的施诺尔签名提交到区块链,以验证条件交易。拥有该歌曲版权的艺术家掌握对于这个歌曲加密的密钥,设为 7000,获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的施诺尔签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个施诺尔「适配器签名(adaptor signature)」,1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的施诺尔签名减去减去歌曲密钥的结果。然后用户也做施诺尔签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都发生在链外,这样除了艺术家和用户没有人会发现其中的步骤。区块链验证者唯一看到的内容是一个 13000 的施诺尔签名组合。适配器签名只被艺术家和用户掌握,对于第三方保密的。除了「结算交易」之外,区块链上没有任何交易记录内容。可以通过添加支持施诺尔签名的新操作码(Opcode)来实现无脚本脚本。 Grin 和 Beam 正在实现无脚本脚本,但是暂时没有这个功能何时上线的确切时间表。
基于无脚本脚本有可能实现机密资产(confidential assets),跨链原子交换和第二层扩展解决方案,比如在 MimbleWimble 区块链生态中使用闪电网络。无脚本脚本不一定要在 MimbleWimble 上实现,甚至可能会扩展到其他区块链生态上。
结论
MimbleWimble 基于经过严格证明的密码学技术。其中一些技术已在经同行评审的密码学期刊上发表,其他一些技术则是发布在白皮书和技术报告中。首个 MimbleWimble 区块链生态项目 Grin 和 Beam 最近才推出。虽然 MimbleWimble 是一种新的实验性技术,但它具有有显著提高隐私性和可扩展性的优势,虽然目前它的用户体验还不够好,且也没有彻底完全解决某些隐私方面的挑战。还需要进行大量的测试和迭代才能在大规模开放的区块链生态上实现高效的隐私交易。目前,这个看似难以理解的概念,在实践中可能会还会遇到意想不到的问题。
在用户体验方面,目前 MimbleWimble 没有地址和交易各方需要进行交互通信并且在线(虽然不一定同时)来签署并完成交易。这一要求与现有的加密货币相比很不一样,对于用户使用造成一些困扰。
从隐私性角度,矿工可以在混币和交易核销之前查看内存池(mempool)中的交易。因此,恶意观察节点就可以构建详细的交易图,从而对隐私性构成威胁,这直接挑战了 MimbleWimble 的隐私性这一核心价值主张。尽管有蒲公英技术和虚拟 UTXO 这样的潜在技术解决方案,但它们在实践中还有待完善。
其他隐私币解决方案
MimbleWimble 不是第一个或唯一一个区块链隐私币方案。对所有可用的隐私币解决方案进行全面而深思熟虑的讨论超出了本报告的范围,这里讨论其他可供选择的替代方案以供读者了解。这些包括但不限于其他区块链协议和在底层实现隐私性的币种(Zcash,Monero),通过第二层网络实现隐私解决方案(Blockstream 侧链)和通过交易层实现的隐私方案(例如通过像 Samourai 和 Wasabi 这样的钱包)。
隐私币
在 Grin 和 Beam 之前推出的两个隐私币是 Zcash 和 Monero,这些币在协议层实现了隐私性。Monero 是一款基于 CryptoNote 协议的隐私币,Monero 的一个关键优势是默认情况下即启用隐私功能,它隐藏发送方和接收地址以及交易金额。 Monero 使用环保密交易(Ring Confidential Transactions)和隐形地址来实现隐私性。环签名算法在交易中添加「诱饵」信息从而避免暴露真实的签名信息,进行有效地混淆交易信息。 Monero 的主要缺点是,即使使用子弹证明技术(Bulletproofs)大大减少了存储空间,其数据存储规模仍是比特币的十倍。
Zcash 是基于 Zerocash 协议设计的数字币, Zcash 使用地址加壳技术来隐藏交易方的地址并使用 zk-snarks (一种零知识证明)来隐藏交易金额。与 Monero 以及基于 MimbleWimble 协议的 Grin 和 Beam 不同,Zcash 不会在默认情况下启用隐私功能。在 Zcash 的 Sapling 更新之前,创建一个保密交易的计算量很大且非常耗时,这阻碍了用户的使用隐私功能。经过 Sapling 更新,对地址加壳所需的内存和时间已经减少,这某种程度上会鼓励用户使用保密交易功能。可选的隐私功能的另一个缺点是当用户选择使用加密交易信息时,这一行为可能会被视为可疑行为。Zcash 的另一个缺点是其可信设置(trusted setup)。虽然 Zooko Wilcox[1] 表示打破可信的设置不会影响隐私性,但 Peter Todd (比特币研究员)在某次与一个 zk-snaks 的开发人员的会谈中表示他不同意 Zooko 的看法。
[1] Zooko Wilcox-O'Hearn,左科·威尔科克斯(1974 年 5 月 13 日出生于亚利桑那州凤凰城的 Bryce Wilcox),是美国科罗拉多州的计算机安全专家,cypherpunk 和 Zcash 的首席执行官。
侧链
侧链是一个独立的区块链。侧链双向链接到一个基础层区块链协议。双向链接使得来自原始基础层链上的币在通过验证后,可以以固定的速率与侧链资产进行互换。这些补充作用的侧链可以提供基础层区块链没有的新区块链的功能、扩展并共识机制,从而对基础层区块链面对的问题提供一系列解决方案,包括但不限于隐私性和可扩展性。比特币侧链公司 Blockstream 已经部署了一个这样的网络,即最近推出的 Liquid,它在默认状态下进行保密交易。Liquid 使用一个由 15 个已知节点组成的小组 (称为工作成员小组) 来验证交易并打包区块,这以牺牲去中心化为代价加快了交易速度。虽然 Liquid 的管理更加中心化,但它针对的是交易所场景下的一些特殊问题。例如支持在联盟链内的任何节点随意兑换 LBTC 这一 Liquid 的本地 Token。如果某一个独立的网络节点宕机,此时这个设计会特别有用。Liquid 的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。对 Liquid 的一个轻微批评是,它信任的一些中介机构中包括一些不受监管的、历史上有不安全记录的加密货币交易所,如 Bitfinex 和 OKCoin 等。
隐私钱包(PRIVACY WALLETS)
此外,基于钱包的一些隐私解决方案(如 Wasabi,Samourai 或 Breeze)的优势在于它们可以在比特币(或其他币种)之上实现,而无需更改底层协议。一些批评的声音包括:如果没有在较短的时间内找到匹配的交易资金,就会出现较小的匿名集或者造成交易延迟。例如,Samourai 的交错弹跳(Staggered Ricochet)可能需要两个小时才能到达最终目的地从而完成交易。此外,由于钱包平台的中心化性质,钱包运营平台可以获得交易的隐私信息。在 2019 年初,谷歌要求 Samourai 删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌 Play store 的新规则。
尽管有许多增强隐私的选择,但这些都是早期技术(包括 MimbleWimble,Grin 和 Beam)。在这一点的选择上每个人都有自己的权衡取舍,并且对于什么才是隐私加密的最佳方法目前还没有明确的答案。
GRIN
Grin 是 MimbleWimble 的第一个开源实现。Grin 使用 Rust 语言开发。 Grin 文档于 2016 年 10 月 20 日由匿名开发人员 Lgnotus Peverell 发布。许多 Grin 的核心开发者都采用了来源《哈利波特》相关的绰号。 Grin 在 2019 年 1 月 15 日在主网上发布之前发布了四个测试网。由于其与比特币的相似性,Grin 受到加密货币社区的称赞——尤其是其匿名开发团队以、公平的数字币分发方式(没有预挖、没有 ICO、没有创始人奖励)和基于捐赠的资助模式。然而,Grin 确实有几个值得注意的差异。
货币政策 :Grin 被设计成一种交易媒介(MoE),而不是像比特币那样作为价值储存手段(SoV)。Grin 的矿工奖励是每分钟 1 个块,每个块 60 个 Grin (即每秒 1 个 Grin)。挖矿产生的 Grin 会按照这一规律一直持续下去,且没有减产。这使得 Grin 的通胀率在早期很高。随着时间的推移通胀率逐渐下降。
共识算法:在初期阶段,Grin 将尝试通过使用两种 PoW 算法来实现去中心化。这两种算法是 Cuckoo Cycle[1](布谷鸟环)的变体 (一种是 ASIC 友好的,另一种被认为是 ASIC 抗性的,因为它是内存瓶颈算法(memory-hard)。布谷鸟算法是一种全新的、有点争议的工作量证明(PoW)算法 ; 握手区块链(Handshake blockchain)的白皮书描述了这一问题。
管理:Grin 没有正式的管理流程。但 Grin 有一个 8 名成员组成的技术委员会,负责管理 Grin 的普通基金和发展路线图。Grin 举行对所有人开放的管理和开发会议。
功能:Grin 正在努力通过添加诸如无脚本脚本之类的功能来增强 MimbleWimble 协议,基于这个功能可以实现复杂的「条件交易」功能。社区成员还致力于通过 grinbox 和 wallet713 等解决方案改善用户体验。
挑战:虽然 Grin 因其基于捐赠的资助模式而受到赞赏,但仅依靠外部捐款继续建设和改进 Grin 也是一项挑战。此外,要使非技术用户能方便的使用 Grin,还有很多工作需要做。
自发布以来,Grin 已可以在多个交易所交易,即使它并未主动联系交易所上币也没有向交易所支付上币费。虽然社区很乐意帮助 Grin 上交易所,但 Ignotus Peverell 表示他们并不「过分担心外部因素和 [他们] 无法控制的事情」。
[1] 原作者注:Cuckoo Cycle 是在非常大的二部图中以寻找循环路径,因此其算法速度用每秒完成搜索的图的个数计算。 与大多数其他工作量证明算法相比,Cuckoo Cycle 消耗的功率要少得多,并且其是内存密集型而不是计算密集型算法。 Yeastplume 在一个播客节目中很好地解释了这一点:类似于我们在一张纸上绘制节点并随意在它们之间添加边。,该算法计算出是否可以在这些节点之间找到环,即从一个特定的节点开始并沿着边返回到相同的节点。
挖掘算法
最初,Grin 团队计划使用两种 PoW 算法,由于算法需要消耗大量内存而被认为是抗 ASIC 的:Cuckoo Cycle (由 John Tromp 在 2015 年开发)以及具有较高内存要求的 Equihash 算法,称为 Equigrin。
对内存要求高的算法被认为不是可以利用 CPU 和 GPU 的计算密集型算法。最初由于 Cuckoo Cycle 需要大量 SRAM (静态随机存取存储器),它被认为是 ASIC 抗性的。人们认为因为算法需要大量 SRAM 而在 ASIC 使用大量 SRAM 很昂贵,所以这使得制造 ASIC 更加困难。 Cuckoo Cycle 的创建者 John Tromp 表示,「最初的 Cuckoo Cycle 旨在使内存延迟成为瓶颈。现在,多年以后,我们意识到 Cuckoo Cycle 是可以很好地利用 [...] 的 SRAM 算法,而其实(与过去的想法不同)在 ASIC 制造中使用 SRAM 并不那么昂贵。我们希望 ASIC 比 GPU 具有更高的效率优势。」John Tromp 在一个播客节目中深入探讨了 Cuckoo Cycle。
在 2018 年 8 月,社区承认 ASIC (1)在实践中是不可避免的 [1],而且(2)可能在以开始时会不利于数字币的公平分配,但从长远来看并不一定是一件坏事。相反,ASIC 友好算法可以使网络更加安全,因为 ASIC 矿器增加了网络的算力,使攻击变得更加困难、代价更加高昂。 从长期来看,ASIC 可以有利于区块链协议的成功,因为投资数千万美元的的矿工在安全性方面的诉求与区块链项目的利益完全一致。此外,根据 Derek Hsue 的说法,「任何持续产生 ASIC 抗性的尝试都将导致秘密 ASIC 这个问题确实存在。」
鉴于上述观点,Grin 随后决定改变工作量证明(PoW)算法,这两种算法都是 Cuckoo Cycle 的变体,主算法是 ASIC 友好(AF)算法和第二算法是 ASIC 抗性(AR)算法,并在项目主网上线后逐步淘汰第二算法。 Grin 中的主 PoW 算法叫做 Cuckatoo31 +,是 Cuckoo Cycle 对 ASIC 更加友好的版本。 它被称为 ASIC 友好的是因为它可以使用数百 MB 的 SRAM 来提高性能使得 ASIC 算力超过 GPU。第二算法,称为 Cuckaroo29,是一种内存密集型的 AR PoW 算法。然而,真正保证 ASIC 抗性的唯一方法是有计划的进行硬分叉,不断调整算法(类似 Monero 的做法),使已生成的 ASIC 作废。 Grin 将每六个月执行一次这样的硬分支来调整算法,以抑制对该 AR 算法生产 ASIC 的积极性,直到该算法在两年内逐步淘汰。
加密社区里的一些成员非常关注 Cuckoo Cycle 中 PoW 算法的稳定性。 John Tromp 在 2014 年首次提出了这个概念,并在短时间内进行了多次修订,因为研究人员找到了优化算法的方法。 Cuckoo Cycle 基于一个 NP 完全的图论问题,一个令人担忧问题是,如果某个矿工通过优化 Cuckoo Cycle 算法获得比网络中其他矿工更大的算力,那么挖矿收益将无法公平分配。John Tromp 认为,这类优化算法获得的相对优势可能会随着迁移到更大的图而增加。但如果社区的其他成员对算法做相同的优化,这种优势就会消失。
一开始,Grin90% 的块用第二算法挖掘,10% 的块用主算法挖掘。两年后,100% 的区块将使用主算法进行挖掘。在未来两年,Cuckatoo31+将获得更大比例的区块奖励,每月线性增长 3.75%。Grin 社区希望,到 Cuckatoo31+占 100% 的矿业份额时,将有来自多个 ASIC 制造商生产出 ASIC 矿机,从而引导有序健康的竞争。Grin 基于最近 60 个区块的窗口对挖矿难度进行调整。
[1] 原作者注:Leo Zhang 说「2014 年,当 ASIC 矿工首次商业化时,由于 RAM 成本较高,使用内存硬算法抵制 ASIC 的策略是有道理的。但在过去几年中,RAM 成本的急剧下降使 ASIC 设计人员能够以越来越低的成本为这些网络制造机器。内存瓶颈算法无法无限期地保留 ASIC。」
GRIN 矿池
根据 miningpoolstats.com 的数据显示,Cuckaroo29 上有 15 个矿池,Cuckatoo31+上有 11 个矿池。在撰写本文时,前两名的矿池 (Sparkpool 和 F2pool) 的算力之和占 Cuckaroo29 的 82%,占 Cuckatoo31+的 68%。Sparkpool 和 F2pool 都向 Grin 的开发者基金和普通基金提供了捐款。虽然算力似乎集中在了矿池中,但矿池是由许多矿工参与者组成的,这些矿工可以选择随时离开矿池,并随意将其算力切换到其他矿池。
第三大矿池是 GrinMint,是 BlockCypher 于 2018 年 9 月首次推出的矿池,2019 年 1 月在主网上推出 .BlockCypher 收取 2.5%的费用,并表示将向 Grin 开发者社区捐赠 0.5%。 BlockCypher 还有一名全职开发人员致力于 Grin (Quentin Le Sceller)。其他回馈 Grin 社区的矿池包括 MimbleWimble Grin Pool 和 grin-pool.org。
对 Grin 的批评之一是,当 Grin 上线时,一些投资人投资挖矿并控制了大量的算力。这些投资人本来应该是通过买币投资 Grin,即是市场的买方。但由于这些投资人通过挖矿获得了 Grin,并在市场中卖出 Grin 获利,这些投资人反倒成了市场的卖方。当矿池挖出区块并获得挖矿奖励时,他们必须立即出售币,因为他们要用比特币支付给矿工 (译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
货币政策
Grin 具有线性的增发率,并且将以每分钟 60 Grin (每秒一 Grin)的速度增发 - 其供应量故意被设计成没有上限。而比特币的上限为 2100 万,并且具有通缩发行计划,比特币的块奖励每四年减半,直到接近零。因为比特币的发行模型使得其价值会算时间增加,所以比特币模型鼓励持有硬币。这使比特币成为价值存储工具(SoV)。
Grin 的早期通货膨胀率极高,但当有数百万枚 Grin 币流通时,随着时间的推移通货膨胀率将趋近于零,虽然它永远不会达到零。在实践中,通胀率需要在 10 年后才能降至 10%以下,25 年后才会降至 4%(与 2018 年比特币相同)。通胀率将需要 50 年才能降至 2%以下。然而,实际上,Grin 团队认为,当考虑到存在因为私钥丢失而造成的丢失的币时,通货膨胀将会比上述预想的低。根据团队的说法,每年丢失的币可能高达总供应量的 2%,在计算通货膨胀率时应该将这部分排除。永久性发行被视为缓解币丢失的影响的潜在解决方案。
永久通货膨胀背后的另一个原因是:(1)通胀模型比通缩模型更公平,通缩模型对于越早挖矿的矿工越有益,而通胀模型不会。(2)如果预计明天的币价与今天的相似,那么它有更大的机会被用作交换媒介(MoE),而这就恰恰是 Grin 项目所希望的。短期至中期的高通胀会激励消费而非储存,因为币会被显着的稀释。社区还认为,花钱的动力可能有助于更广泛地分发数字币。
此外,永久性发行可以防止 Grin 最终只能完全依赖交易的手续费来确保网络安全 - 这正是比特币社区正在讨论 / 面临的挑战。一旦比特币的发行量接近零,网络将不得不过渡到仅仅依赖交易费用奖励为保护比特币安全的矿工。仅依赖交易费奖励矿工是区块链的一种新的经济模式,但仍多存在许多问题:每个区块需要多少交易,每笔交易的最低费用是什么,以及如何解决与第二层方案(例如闪电网络)中致力于降低网络费的行为之间的矛盾。
来源 : grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者因为 Grin 没有上限的线性发行计划而批判 Grin,并因为高通胀率降低了数字币作为价值存储的购买力。然而,Grin 的开发者故意设计了这样的通胀率,其目的是鼓励消费、抵消丢失币的影响、确保 Grin 网络始终可以给矿工支付挖矿奖励以维护区块链安全。高通胀的一个不利之处是,与早期比特币相似,挖矿奖励在目前在总供给量中占了相当大的比例。这可能会对 Grin 币的价值产生负面影响,因为矿池出售 Grin 以换取比特币支付给矿工。
(译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
治理
Grin 的莱恩伯格(Lehnberg)说:「治理是关于如何做出在参与者 (参与决策的人) 和利益相关者 (受决策影响的人) 的角度看起来都合理的决策的过程。」 Grin 没有明确的治理流程,但对于没有结论的讨论是透明的且对社区完全开放。
Grin 有一个技术委员会负责管理 Grin 普通基金(Grin General Fund)并指导项目的开发。委员会成员包括 Ignotus Peverell, Antioch Peverell, Hashmap, Jaspervdm, Lehnberg, Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner)和 John Tromp。任何人都可以参与治理会有和开发者会议以及讨论,但是最活跃的贡献者通常还会发挥更大的作用。
技术委员会每两周举行一次管理会议和一次开发者会议,主题包括 ASIC 抗性,筹集和指导资金,重大缺陷和错误,安全审计,交换集成,硬分叉等。 Grin 还会在会议前后在 Github 上发布议程,笔记和会议记录。在 grin-forum 上还有一个管理部分,那上面上有一些主题一致的帖子,表明社区正在积极思考如何从长远来进行管理。
技术委员会主导的管理和开发过程使社区能够在早期快速灵活地运行,以避免减慢项目进程。然而,随着 Grin 的成长和成熟,人们一直在讨论如何建立一个更加结构化的管理流程并进行制衡。委员会成员和捐助者明确表示,有必要实施一个更正式的程序,来确立:
为社区提供一种更结构化的方式来交流关于管理和开发主题的反馈。
设置委员会的权限范围以及社区为委员会成员提供意见的规则。
所有利益相关者都有机会发表意见。利益相关者包括核心开发者,一次性贡献者,矿工,用户,投资者,交易所等。
该委员会的缺点是增加了项目的中心化程度。从长远来看,一个非官方的委员会可能是危险的。一个例子是 Burst PoCC,它具有与 Grin 技术委员会类似的功能。有一天,他们对社区感到不满并意外退出,但仍然可以访问项目代码库,管理 DNS 域名等等。他们还采取了额外的恶意行为,例如欺骗矿池和过早抛售 Burst,最终损害了 Burst 区块链。
资金
Grin 是一个完全基于捐赠的开源项目。虽然它的公平的数字币分配机制受到了称赞——没有 ICO、没有预挖、没有创始人奖励,但缺点是开发进展缓慢。Grin 的安全审计、市场营销、网站开发、运营活动等都依靠无偿的兼职志愿者和对核心开发者基金的捐赠。
正如 Tushar Jain 所指出的那样,「如果没有资本的促进,开发进度将被推迟。」这是 Grin 社区也认可的事实。在 Grin 普通基金的页面上,他们说,「现实情况是,有了资金支持,对 Grin 项目将会有很大帮助。这将使 Grin 能够更快,更可靠地发挥其潜力,拥有更好的基础设施支持,并且与资金充足的区块链项目竞争(或共存)的可能性会更大。」
Grin 社区于 2016 年开始开发 Grin,并于 2019 年 1 月才主网上线。同一时期,Beam 是 MimbleWimble 协议的另一个实现(下文将进一步详细讨论),是由一家获得风险投资者的私营公司开发的项目。他们从 2018 年初开始启动该项目,并于 Grin 主网上线前一周实现主网上线。
此外,Yeastplume (Michael Cordner),社区的核心开发人员和主要成员,在最初在筹集个人研发赞助资金时遇到了困难,无法将全部精力投入 Grin。只有在 Ignotus Peverell 在对 Yeastplume 的募资活动远未获得 (5.5 万欧元)10% 的资金表示失望之后,募资活动的捐款才开始上升。自那以后,它已经超额完成了募资目标,在撰写本文时筹集了 66,580 欧元。可以在 Grin 名人堂中查看完整的捐赠者名单。
依靠捐赠可能在短期内会奏效。然而,为了保持发展并吸引人才进入网络,Grin 将不得不重新考虑其融资模式,因为它面临着于那些资金充足并付费的项目日益激烈的竞争。在这个关于开发者激励政策的明确表达中,纳撒尼尔·惠特莫尔 (Nathaniel Whittemore) 提出了另一种全新的面向商业的激励模式,即(1)提供足够的激励来吸引顶尖人才加入项目,(2)同时继续为核心开发路线图做出贡献。即保证项目在既定路线图的规划下,使用经济措施鼓励更多优秀人才贡献力量。
用户体验
如上所述,MimbleWimble 是没有地址的。因此,交易的发起方和接收方必须传递消息 (称为「交易石板」),基于交互式通信进行币的转让。有多种方法可以标准化的传递 JSON 消息。一种方法是基于文件的传输,其中文件包含纯文本格式的 JSON 消息,可以通过多种方式传输文本 (电子邮件、Telegram、Keybase、业余无线电、信鸽等)。另一种方法是基于 HTTP URL 的方法,其中 API 接口接受文本格式的原始 JSON。
一组名为 vault713 的第三方开发人员正致力于使 Grin 可以更加实用并被广泛的使用。他们的第一个项目是一个名为 Grinbox 的交互协议。 Grinbox 是一种消息中继服务(message relaying service),当与 wallet713 一起使用时可以简化交易处理过程,wallet713 是目前在 Linux 上运行的 vault713 的 grin 钱包的核心分支。Grinbox 和 wallet713 旨在改善 Grin 的发送和存储过程。
第一步,Grinbox 允许参与者创建公开的地址用以发送 / 接收资金,这样他们就不必公开他们自己的 IP 地址。 wallet713 还允许用户将联系人姓名链接到他们计算机上的本地存储地址。此外,wallet713 允许异步交易构建。 vault713 还致力于添加更多增强隐私和可用性的功能,例如多重签名支持,BTC 和 Grin 之间的原子交换,在交易进入未经确认的内存池、移动 /web/ 桌面 GUI 等之前,与其他 wallet713 用户一同进行钱包层面的混币。
随着项目的成熟并吸引到更多人才,将出现更多利用不同通信信道创建交易可选方法。这可能包括利用 NFC,QR,蓝牙等的近场通信技术创建交易的方法。最终,用户选择一个方便且易于理解解决方案作为主要的交易通信方式。但是到达那一步还需要一些时间,还有待观察哪种方法可以成为标准。
Grin 只有几个月的历史,而且就目前而言,该项目适合精通技术的用户投入时间和精力来了解它的工作原理。虽然社区开始通过 grinbox 和 wallet713 等工作解决用户体验方面的问题,但要使非技术用户能舒适的在网络上进行交易还需要时间进行迭代和教育。
结论
Grin 是一个最初引起密码学朋克和无政府加密主义者注意的项目,但 Grin 与比特币相似的思想引起了许多人的注意。也就是说,Grin 因其匿名领导者、基于捐赠和草根的资助模式、专注于隐私和去中心、以及其社区非常关注对项目的推进而不是快速赚钱而受到赞扬。
但是 Grin 主网上线 Grin 只是第一步。要想让 Grin 获得长期成功并被广泛采用,还有很多工作要做。需要解决的关键挑战包括更可靠的筹资方式、更直观的用户体验以吸引更多用户使用 Grin,以及研究如何解决系统中的隐私漏洞 (即观察节点创建交易图的能力)。
核心团队表示,其主要关注点仍然是稳定性,性能以及安全性。通过第三方开发团队将 Grin 集成到他们的服务和产品中来培育一个健康的生态系统,这对提高使用率也是至关重要的。这并不一定需要 Grin 的核心开发人员来完成。相反,这些挑战可以在 Grin 区块链周围出现第三方开发人员生态系统时解决。
Grin 仍然是一个非常新的项目,它开创了全新的未经测试的想法,加密概念和技术。如果 Grin 能够应对关键挑战,那么它有可能成为将隐私重新置于个人手中的一种方式。
BEAM
Beam 是由一家总部位于以色列的 VC 支持的创业公司,于 2019 年 1 月 3 日推出了基于 MimbleWimble 协议的以隐私为重点的同名加密货币。它于 2018 年 3 月开始使用 C ++开发,并于 2018 年 9 月推出了测试网络。虽然 Beam 和 Grin 的相似之处在于它们都是 MimbleWimble 的实现,旨在为用户提供隐私增强功能,但它们的路径各不相同。与 Grin 不同,Beam 是一家私营公司,雇用开发人员来实施。 Beam 是从闭源开始,但后来开源了。 Beam 的另一个相比于 Grin 的重要区别是 Beam 提供了针对企业和监管机构的可选审计功能。
货币政策:Beam 的供应计划是通货紧缩型的,在第一年之后区块奖励下降 50%,之后每四年就会减少一半,直到达到 2.63 亿的硬性上限。此外,Beam 挖矿产出的 20% 将作为开发税进入 Beam Treasury 基金,用于并为 Beam 的未来开发提供资金。
挖矿算法:Beam 使用 Equihash 的修改版本(一种工作量证明挖掘算法)来提供网络共识。为了确保去中心化,Beam 将通过定期调整其算法使得 Beam 在前 12-18 个月保持 ASIC 抗性。
管理:Beam 目前由一家 VC 支持的创业公司运营,由付薪雇员组成。长期目标是完全将管理移交给管理 Beam Treasury 基金、维护区块链的非营利基金会。
功能:Beam 正在添加一个可审计的功能,这样企业就可以在不损害隐私性的情况下证明其合规性并提供交易的可预见性。Beam 开发人员还在探索一个安全的 BBS 系统,该系统将支持非交互式离线交易。
挑战:不断改进 PoW 协议是一项艰巨的任务,避免 ASIC 挖矿将使网络整体算力保持在较低水平,这也使得攻击网络的成本相对较低。此外,Beam 目前的运营和管理结构是中心化的,转向更去中心化的模式将需要避免所有投资方之间的权力斗争。
挖掘算法
Beam 使用 Equihash 算法,这是由卢森堡大学的 Alex Biryukov 和 Dmitry Khovratovich 创建的工作量证明算法。 Equihash 是一种基于广义生日问题的非对称内存密集型算法。 Equihash 的另一个关键属性是挖矿是随机的,这意味着生成 PoW 解的可能性与过去是否的成功挖矿是不相关。 Equihash 有两个可以调整的参数:n (bit 位宽)和 k (长度),它们决定了底层问题的复杂性,从而决定了算法的内存和时间复杂度。Beam 使用 Equihash 参数 n = 115 和 k = 5。
Equihash 在某种意义上是不对称的,因为它需要大量的内存来生成一个证明,但它不需要大量的内存来验证它。这是 Equihash 的一个重要特性,因为大多数其他内存密集型算法都是对称的,也就是说,验证与生成一个证明一样困难。内存密集型指的是生成一个证明所花费的时间与内存成正比,而不是与 CPU 计算能力成比例。如果使用更少的内存,Equihash 会不成比例地大大增加对计算能力的需求。
最初,内存是一种昂贵的资源,因此不假设 ASIC 比常规 CPU 和 GPU 更容易做出内存优化。另一方面,ASIC 与 GPU 相比提供了显著的带宽改进,而 GPU 又比 CPU 提供了显著的带宽改进。由于芯片设计技术的改进,为内存优化的 ASIC 矿机的成本不再像过去预期的那么高。
Zcash 是一个专注于以隐私性的加密货币,也使用 Equihash 算法。最初选择了 Equihash 是因为它被认为是 ASIC 抗性的。然而,在 2018 年,比特大陆发布了 Antminer Z9 mini 矿机,这个矿机通过降低 SRAM 的成本获得比通用硬件(CPU、GPU)更高的挖矿效率。在 Beam 的 Equihash 算法帖子中,他们强调「卢森堡大学的研究人员发现,截至 2018 年 5 月,20%-30%的 Equihash 是由 ASIC 矿机挖出的。」
Beam 表示,它们已经特别设置了 Equihash 参数,以便在短期内为 CPU 和 GPU 为矿工提供优于 ASIC 的优势,从而使币的初始分发更加广泛。然而,它认识到 ASIC 是不可避免的,甚至是在长期看是有用的,因为 ASIC 是一项成本可控的投资,并且增加了全网算力,从而使得区块链更安全且更难被攻击。
货币政策和资金
Beam 的货币政策类似于比特币。它的特点是规定了一个硬顶和通缩发行计划,并使用常规的区块奖励减半方法(每个区块的挖出的币数量下降 50%),直到通货膨胀率达到零。因此,这个初创公司是希望将 Beam 用作价值储存(SoV),而不是像 Grin 那样的交换媒介(MoE)。不过,其与比特币的相似性就到此为止了。与特别币不同的是:1. Beam 在第一年的挖矿奖励更多;2. 前 5 年的挖矿产出中部分归于项目创始人团队;3. Beam 每分钟一个块(比特币每 10 分钟一个块)。
在第一年,一个区块奖励将是 100Beam,高于之后的奖励,以激励矿工尽早加入网络并将 Beam 引入市场。头五年中 20% 的挖矿产出将给与创始人团队。所以第一年挖出的每个区块的 100 Beam 中 80 Beam 将支付给矿工,20Beam 将支付给 Beam 财富基金。在第 2 到第 5 年,区块奖励将下降 50%,变为 50 个 Beam,其中 40 个 Beam 支付给矿工,10 个 Beam 支付给 Beam 财富基金。在第 6 年,区块奖励将再次下降 50% 至 25 Beam,且所有奖励都将支付给矿工,并在未来改为每 4 年减半一次,直到第 129 年。区块奖励将在第 133 年停止,届时 Beam 预计的总供应量约为 2.63 亿。
来源 :medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam 采用了创始人奖励机制(Founders Reward),也称为开发税(Dev Tax),以回报投资者并为正在进行的协议和工具开发提供经济支持。创始人奖励费用是编写在区块链协议中的代码里,该协议在矿工和创始团队的已知地址之间的自动分配区块奖励
这种方法明显与 ICO 或预挖等不同,正如 Dash 所见,它以大量的流动资金来补偿加密资产的创始人。虽然 ICO 和预挖都是早期团队成员所希望的,但这类薪酬设计往往缺乏有效的资金监管和退出时间表。因此,在短期利益驱使下,挪用资金并跑路的骗局相当普遍。
「创始人奖励」的目的是随着项目的发展逐步补偿创始人。因此,最初的利益相关者更有动力去协调资源维护网络的长期成功。此外,奖励制度被纳入区块链协议,Arjun Balaji 指出:这种机制提供了固定资金分配比例带来的资金透明度,也为通过软或硬分叉修改现有分配方法提供可行性。
该创始人激励结构最初是由 Electric Coin Company(前身为 Zcash Company) 设计并推广的。这家公司是专注于隐私的加密货币 Zcash 的背后的开发和维护企业。起初,Zcash 矿工只能获得区块奖励的 80%。剩下的 20% 将分配给 Zcash 基金会 (一个支持 Zcash 开发的独立非盈利组织)、数字币公司以及早期的 Zcash 开发人员和顾问。在头四年之后,创始人奖金被预先设定为零,以确保在 2100 万美元的上限达到之前,所有新发行的 Zcash 将 100% 归矿工所有。
Beam 资金模型与 Zcash 的资金模式相似,在早期阶段其支付给 Beam 财富基金,创始人费用比例为 20%。与 Zcash 历时 4 年的创始人奖励不同,Beam 创始人奖励历时 5 年,包括第一年区块奖励为 100 Beam 的时候。在这五年结束时,累计有超过 3150 万的 Beam 被送给 Beam 财富基金。计划将基金中 35%的资金分配给早期投资者,另外 45%的资金补偿给核心团队成员和顾问,剩余的 20%将用于支持 Beam 主权货币基金会。这是该项目维护和管理的长期解决方案。
来源 : medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖金,Beam 还从包括 Recruit Co. LTD、Yeoman 's Capital 和 Node Capital 在内的各种风险投资基金中筹集了至少 500 万美元,用于聘请全职开发人员来推进开发。这些投资者将定期从创始人奖金中获得 Beam 以回报其早期投资。
Beam 的核心团队和早期投资者都认识到,更加中心化的推动项目可以加速产品研发、尽量避免在基于社区运营的项目中经常出现的项目延期的情况。因此,Beam 选择了这种更加中心化的管理方法来启动项目并度过项目的初始阶段。随着 Beam 的不断成熟,其目标是实现更加去中化的激励和管理结构,将区块奖励交给矿工,并将项目控制权交给社区。
不利的一面是,同时也是对 Beam 的批评之一,Beam 并没有让所有投资者都能平等参与。在主网上上线之前就从投资者那里筹集资金,或者将一部分资金投入专门的集团 (即 ICO、创始人奖励、预挖),这些都可能导致币的分配不公平。
与之相对的是与比特币和 Grin 类似的产品,在这些产品中,加密资产只能通过传统的 PoW 挖矿获得。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络挖出新的比特币或 Grin。这样的发行方式往往会在区块链网络用户之间更为公平。
继续阅读:Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
皆以匿名协议著称,Grin 和 ZCash 强弱对比
攻略 • grinup 发表了文章 • 2019-02-14 10:26
本文是 Grin 代码贡献最多的开发者 Ignotus Peverell 于 2016 年 11 月 1 日发布的一篇 Grin 和 MimbleWimble 协议与 ZCash 项目的比较。
Grin 作为一个实践项目,它的核心协议是具有匿名属性的 MimbleWimble,它和以匿名协议著称的 ZCash 之间的比较是合理自然的。在这里,我们尝试去比较最详尽的差异,希望不会有太多的偏颇之处。注意直到现在,MimbleWimble 协议也并没有在任何地方实现,Grin 也远未准备好。在我们有一个稳定的项目发布之前,ZCash 可以说一直是赢家,我们如下的说明都是一种猜想。
Grin Wins
无需信任设置(除了创世区块,没有任何其他种类的信任设置)。
优秀的渐近缩放与实际缩放。Grin 按照 UTXO 设置进行缩放,并且一段时间后每个 UTXO 都可以变得很小(因为可以最终放弃 rangeproof)。
在 MimbleWimble 中构建交易并验证它们在计算上是微不足道的,可以很容易地在智能手机或树莓派机器上完成。另一方面,在撰写本文时,构建 ZCash 的匿名交易需要大约 4GB 的内存和大约一分钟的计算。
默认情况下,MimbleWimble 中的所有交易都是不可见的,而此时 ZCash 的大多数交易在此刻似乎都是可见交易。
仅依赖于简单且经过良好审查的加密结构和假设。
绿色代码尽可能明确和简单,使未来的审计和维护更容易。
Grin 是一个社区驱动的实践,没有「创始人奖励」。
ZCash Wins
MimbleWimble 不支持脚本编写。虽然通过脚本在比特币中引入的一些功能,仍然可以存在于 MimbleWimble 中(如 multisig 和时间锁),但是缺少通用脚本使得其更加受限。请注意,此时 ZCash 也不支持通用脚本,为何不支持也没有理论上的原因。
虽然 Grin 交易输出完全匿名,但至少在某些时段,仍然可以追踪到那些输入相关的输出。目前尚不清楚从中可以得出什么信息。
ZCash 是基于 Bitcoin Core 代码分叉实现的,这是一个非常成熟(尽管很难维护)的代码库。
ZCash 由一家资金充足的公司提供支持。
相关讨论:https://www.reddit.com/r/Mimblewimble/comments/59qulw/mimblewimble_vs_zcash/
原文链接:https://github.com/mimblewimble/grin/wiki/Grin-and-MimbleWimble-vs-ZCash_ 查看全部
Grin 作为一个实践项目,它的核心协议是具有匿名属性的 MimbleWimble,它和以匿名协议著称的 ZCash 之间的比较是合理自然的。在这里,我们尝试去比较最详尽的差异,希望不会有太多的偏颇之处。注意直到现在,MimbleWimble 协议也并没有在任何地方实现,Grin 也远未准备好。在我们有一个稳定的项目发布之前,ZCash 可以说一直是赢家,我们如下的说明都是一种猜想。
Grin Wins
无需信任设置(除了创世区块,没有任何其他种类的信任设置)。
优秀的渐近缩放与实际缩放。Grin 按照 UTXO 设置进行缩放,并且一段时间后每个 UTXO 都可以变得很小(因为可以最终放弃 rangeproof)。
在 MimbleWimble 中构建交易并验证它们在计算上是微不足道的,可以很容易地在智能手机或树莓派机器上完成。另一方面,在撰写本文时,构建 ZCash 的匿名交易需要大约 4GB 的内存和大约一分钟的计算。
默认情况下,MimbleWimble 中的所有交易都是不可见的,而此时 ZCash 的大多数交易在此刻似乎都是可见交易。
仅依赖于简单且经过良好审查的加密结构和假设。
绿色代码尽可能明确和简单,使未来的审计和维护更容易。
Grin 是一个社区驱动的实践,没有「创始人奖励」。
ZCash Wins
MimbleWimble 不支持脚本编写。虽然通过脚本在比特币中引入的一些功能,仍然可以存在于 MimbleWimble 中(如 multisig 和时间锁),但是缺少通用脚本使得其更加受限。请注意,此时 ZCash 也不支持通用脚本,为何不支持也没有理论上的原因。
虽然 Grin 交易输出完全匿名,但至少在某些时段,仍然可以追踪到那些输入相关的输出。目前尚不清楚从中可以得出什么信息。
ZCash 是基于 Bitcoin Core 代码分叉实现的,这是一个非常成熟(尽管很难维护)的代码库。
ZCash 由一家资金充足的公司提供支持。
相关讨论:https://www.reddit.com/r/Mimblewimble/comments/59qulw/mimblewimble_vs_zcash/
原文链接:https://github.com/mimblewimble/grin/wiki/Grin-and-MimbleWimble-vs-ZCash_ 查看全部
本文是 Grin 代码贡献最多的开发者 Ignotus Peverell 于 2016 年 11 月 1 日发布的一篇 Grin 和 MimbleWimble 协议与 ZCash 项目的比较。
Grin 作为一个实践项目,它的核心协议是具有匿名属性的 MimbleWimble,它和以匿名协议著称的 ZCash 之间的比较是合理自然的。在这里,我们尝试去比较最详尽的差异,希望不会有太多的偏颇之处。注意直到现在,MimbleWimble 协议也并没有在任何地方实现,Grin 也远未准备好。在我们有一个稳定的项目发布之前,ZCash 可以说一直是赢家,我们如下的说明都是一种猜想。
Grin Wins
无需信任设置(除了创世区块,没有任何其他种类的信任设置)。
优秀的渐近缩放与实际缩放。Grin 按照 UTXO 设置进行缩放,并且一段时间后每个 UTXO 都可以变得很小(因为可以最终放弃 rangeproof)。
在 MimbleWimble 中构建交易并验证它们在计算上是微不足道的,可以很容易地在智能手机或树莓派机器上完成。另一方面,在撰写本文时,构建 ZCash 的匿名交易需要大约 4GB 的内存和大约一分钟的计算。
默认情况下,MimbleWimble 中的所有交易都是不可见的,而此时 ZCash 的大多数交易在此刻似乎都是可见交易。
仅依赖于简单且经过良好审查的加密结构和假设。
绿色代码尽可能明确和简单,使未来的审计和维护更容易。
Grin 是一个社区驱动的实践,没有「创始人奖励」。
ZCash Wins
MimbleWimble 不支持脚本编写。虽然通过脚本在比特币中引入的一些功能,仍然可以存在于 MimbleWimble 中(如 multisig 和时间锁),但是缺少通用脚本使得其更加受限。请注意,此时 ZCash 也不支持通用脚本,为何不支持也没有理论上的原因。
虽然 Grin 交易输出完全匿名,但至少在某些时段,仍然可以追踪到那些输入相关的输出。目前尚不清楚从中可以得出什么信息。
ZCash 是基于 Bitcoin Core 代码分叉实现的,这是一个非常成熟(尽管很难维护)的代码库。
ZCash 由一家资金充足的公司提供支持。
相关讨论:https://www.reddit.com/r/Mimblewimble/comments/59qulw/mimblewimble_vs_zcash/
原文链接:https://github.com/mimblewimble/grin/wiki/Grin-and-MimbleWimble-vs-ZCash_
中本聪圆桌会议硬核总结:闪电网络、隐私、侧链、证券通证、Grin
攻略 • 8btc 发表了文章 • 2019-02-12 10:51
前言:中本聪圆桌会议在比特币社区的地位类似于彼尔德伯格会议,而今年的中本聪圆桌会议属于历史上的第五届,该会议与一般的大型币圈会议不同,其参与者皆是业内最具影响力的开发者、公司创始人等,因此会议话题也较为硬核,而本文的作者Jameson Lopp则是这次会议的参与者之一,他将为读者阐述本次会议上其关注的闪电网络、隐私、侧链、证券通证、Grin等热门话题。
以下为译文:
很高兴再次参加布鲁斯·芬顿(Bruce Fenton)组织的中本聪圆桌会议,我享受每年参加这一活动,因为它有一个轻松的氛围,这里没有大量的人,它提供了很多机会,可以和行业中的人进行坦诚的面对面讨论(通常情况下,这些人都非常忙,因此很难聚到一块交谈)。圆桌会议是非结构化的,因此会有无数非正式的对话,以及几十个更正式的会议。因此,任何人都不可能对今年发生的事情作出全面的总结,我参加了我认为对我来说最有趣的谈话,并试图向大家传达这些讨论的结果。
闪电网络
闪电网络之所以是吸引人的,在于它支持了传统支付网络所无法实现的全新用例。我们已经看到了一些概念证明,比如Satoshi’s Place、Lightning Spin以及比特币墓地(Bitcoin Graveyard)。在利用闪电网络改善用户体验方面,还有很多未经发掘的机会。例如,在一台ATM机上出售比特币的过程相当糟糕,你必须存款,在等待确认后,然后返回以实际获得现金。而有了闪电网络存款,存款和取现的操作就可以立即发生。最近Twitter上的#LNTrustchain是一个有趣的演示!
一些参与者表示怀疑,对于普通人来说,闪电网络很容易在短时间内安全、轻松地使用它。他们指出,虽然让当前的比特币用户使用闪电网络并不太困难,但同时向新人解释比特币和闪电网络可能会是非常困难的。人们似乎普遍认为,如果闪电网络要获得主流的采用,那么需要从用户那里抽象出通道的概念。相反,用户应该只需要知道他们可以发送和接收的最大值是多少。由于目前可用的工具有限,这很难去管理,但是正在进行中的改进,如原子多路径支付、通道拼接、多方通道和流式支付(streaming payments),应使软件开发人员更容易改善引擎盖下的的通道管理。
用户采用的另一大主要挑战,在于寻找流动性来源。尽管我认为最佳的用户体验不应该要求用户去考虑它,但我确实希望,随着更多的交易所和流动性提供商加入闪电网络,我们将看到闪电网络钱包的集成,这会使得你的闪电网络钱包“充值”变得简单,体验类似于为完全的加密货币新手购买预付借记卡,甚至使那些已拥有交易所账户的人的体验更顺畅。
虽然像btcpay这样令人敬畏的开源软件能够让商家管理自己的节点和通道,但仍有可能很多商家会选择像Strike这样的托管支付处理服务。另一方面,即使闪电网络被托管公司采用的速度要比个人快,也有大量的效率提高。在撰写本文时,有相当多的服务拥有很多用户,这些用户定期通过各服务之间的链上交易发送价值,从区块空间使用的角度来看,这是非常低效的。如果这些服务仅在每日/每周的基础上彼此“结算”余额,那么它们可大大减少所需的链上交易量。但是,目前不可能这样做,因为服务A不知道哪些比特币地址属于服务B。如果这些托管服务使用闪电网络,它将自动处理服务之间的冗余链上支付,而不需要知道彼此的身份。
当我在BitGo构建基础设施时,我看到了类似于以下的定期可视化效果,我们自己的客户之间来回进行着成千上万笔交易,他们不知道他们所使用的这个全球账本有多低效。这让人很沮丧,但我们的头脑风暴,在如何解决我们自己的用户(以一种不破坏他们隐私的方式)的问题上还不够。这就是为什么我如此渴望看到闪电网络被采用的原因之一,它无缝地解决了这种巨大的效率低下问题。
主要服务之间资金流动的可视化
目前已知的一些最大的未知数涉及流动性。没有人真正知道什么样的投资回报率对流动性提供者来说是合理的,尽管有一些早期的努力试图量化“闪电网络参考率”。最终,分配给闪电网络通道资本的时间价值将与其他有息资产相比较,尽管公平地说,也许除了Maker DAO之外,没有高度相似的加密资产可本地产生利息。
如果交易费用主要转移到闪电网络,人们对比特币的热力学安全性的可持续性会更关注。在我看来,如果闪电网络允许用户将其链上交易减少X的系数,那么用户愿意支付低于平均比特币x(AVERAGE_BITCOIN_FEE * X)-平均闪电网络费*X(AVERAGE_LIGHTNING_FEE * X)的任何费用是有经济意义的。由于闪电网络支持了全新的用例(在链上是无法实现的),我预计随着用户开放和关闭通道,它将为比特币带来更多的经济活动(和挖矿费用)。闪电网络依赖于链上交易的一个有趣的结果是,一个广泛流行的闪电网络可以为链上交易创造比offload更多的需求,从而大幅增加用户愿意支付的链上费用。我们最终将看到新技术的采用,该技术允许用户通过聚合签名和多方闪电网络通道更有效地使用区块空间;如果很多用户“共享”单笔链上交易,那么很容易看到挖矿费用对于该交易来说可能相对较高,但从每个参与者的角度来看却是较低的。
最后,有一些关于比特币矿工闪电支付用例的讨论。如果哈希工作者们可以通过闪电网络直接获得报酬,那么它可以通过多种方式改变挖矿动态:
支出将不再需要进入保管池钱包;
自动支付不会让区块链充满粉尘UTXO;
哈希矿工可实现实时支付,因为股份提交无需等待区块被发现(这背后可能还有其他的博弈论影响,这将需要略低的支付保险目的);
通过将闪电网络支付与Matt Corallo的Betterhash挖矿协议相结合,它将进一步降低矿池的功率,提高比特币的审查抵抗力;
闪电网络是今年的热门话题,它在2018年取得了如此多的进展,但在我们充分发挥其潜力之前,仍有大量功能和基础设施需要我们去完善。
隐私话题
对于那些正在建设公司的人来说,隐私是一个棘手的问题,因为我们的公司受到国家行动者的干预。我们中的那些人有兴趣学习如何在不成为目标的情况下实现用户隐私。该组织的一些人指出,他们过去常常与很多用户一起运行服务,但在收到政府机构的大量信件后,他们决定不想处理这些麻烦,而是关闭服务从而避免翻车。我们经常在Casa讨论隐私问题,因为我们是一家重服务驱动的公司,所以我们需要与用户保持关系。我们能确定的最安全的方法是,尽可能少地存储有关用户的数据。我们必须假设,在某一时刻,我们可能会被迫交出我们存储的有关用户的所有数据。因此,“不能作恶”是一个比“不要作恶”更强有力的立场,因为它不仅仅是关于我们自己的意图。
加密货币网络隐私性不足造成的最大问题之一是,它损害了可互换性。现在有几家区块链监控公司在跟踪区块链资金并对其进行“污染分析”,并告诉服务部门资金来源“不合法”的可能性有多大。当然,这些都是基于概率的猜测,可能会导致无辜的用户陷入算法的拖网。这些工具显然导致很多比特币用户从各种服务平台中脱离了出来,因为他们被认为是风险客户。
会议上提出的一个特别有趣的观点是,没有人因为区块链分析而被起诉,因为它本身就没有足够的刑事指控证据。更确切地说,这只是调查人员用来更全面了解目标实际拥有多少资金的众多工具之一,这样他们就可确信癫痫发作更成功。。
来自“A Fistful of Bitcoins”论文的区块链分析
根据你所看到的UTXO历史的跳跃次数,你可能会找到一个很好的理由来认为它是“受污染的”,这很像大多数的法定货币都含有微量的可卡因。也许真正的问题来源于比特币的UTXO,如果更多的人混合了他们的UTXO,最终污染分析会为所有的UTXO产生相同的分数,我们将回到一个可互换性的公平竞争环境。但在那之前,先发劣势是那些有隐私意识的用户很可能会被标记为可疑用户。
区块链分析隐私性差的另一个缺点是,它为商业间谍活动打开了比特币业务的大门。很多与定期存款客户的交易和服务仍然没有采用非重用地址的最佳实践,使得对其资金的群集分析变得更容易!此外,对于精通技术的人来说,有可能将小额存款存入竞争对手的服务的地址,然后观看其UTXO的移动,以尝试测量其冷热钱包的价值和容量。
据指出,通过SPV钱包缺陷、Sybil Electrum服务器和网络观察者,IP地址与比特币地址的相关性存在广泛的问题。大多数这些问题的解决方案是运行一个全节点,这样所有的钱包查询都会在本地发生,并且不能被监视,但是反过来,如果您从全节点广播交易,它会为观察交易通过网络传播的网络观察者造成隐私泄漏问题。谢天谢地,Dandelion技术很快就会进入Bitcoin Core代码库,从而掩盖了广播交易的起源节点。
来源:Giulia Fanti,https://www.youtube.com/watch?V= SRE6KDBGI1O
比特币隐私本身就是一个完整的研究领域;对于那些希望深入研究比特币隐私的人,我建议查看开放式比特币隐私项目( Open Bitcoin Privacy Project)的威胁模型。
侧链和扩容
这是去年圆桌会议上发生的少数几个被反复讨论的话题之一。Paul Sztorc多年来一直致力于他的驱动链(Drivechain)概念,目的是减少我们所提提议所需的(硬分叉或软分叉)协议的更改内容。
分布式共识系统的一个棘手的问题是,它们往往忽略系统外部发生的所有事情;这使得系统对外部威胁更强,但也使得很难更改系统以添加新功能。因此,想要尝试异域的未经证实的想法的人,往往会从头开始构建自己的共识系统,最终在注意力和其他资源方面与比特币竞争。这最终激怒了很多比特币支持者,因为竞争项目的创建者成为了新货币的发行者。
驱动链(Drivechain)将使任何人都能建立起自己的网络,利用比特币矿工的力量,将新资产钉在比特币上。这基本上是一种维护者是矿工而非签名者联盟的比特币侧链方法。动态成员身份多方签名(挖矿)可以说比联合更为健壮,因为签名者可以来来去去,相互竞争。在不需要矿工特别参与的情况下,侧链的最佳形式将被钉住,但据我所知,没有人找到一种切实可行的方法来做到这一协议。(为了防止盗窃,可能需要有能力对侧链到比特币挂钩的SPV证明提出质疑,这将对比特币协议产生重大改变)
一个问题是闪电网络是否应被视为侧链。总的共识是,侧链是一个拥有全局共享状态和共识机制的系统,同时也有某种挂钩机制与另一个拥有独立全局共享状态和共识机制的系统。因此,即使你认为闪电网络与比特币挂钩,它也不能成为侧链。闪电网络没有由共识机制产生的全局共享状态。
还应指出的是,侧链的安全性取决于其受欢迎程度,因为它依赖于管理PEG的团队(矿工或联合会)的协调。但我们看到比特币在应对诸如UASF运动、2013年3月分叉决议和2010年通货膨胀事件等问题时出现了大量协调的例子,因此我们有理由抱有希望。
由于其依赖矿工的安全模型,驱动链(Drivechain)的概念仍然被一些开发者视为有问题的;它依赖用户激活的软分叉来通过矿工的共谋来对抗盗窃。看来,在安全性方面,驱动链(Drivechain)提供了一个中间地带-其不如比特币的基础层那么安全,但其比很多依赖可信第三方的系统要更安全。然而,驱动链(Drivechain)是一种无许可的创新-它们不需要更改比特币协议来构建。它只是需要矿工的支持,开始将所需的交易添加到区块中。自从上一次圆桌会议以来,我们获得了在测试网上运行驱动链(Drivechain)的能力;我敢打赌,我们将在下一次中本聪圆桌会议之前看到生产部署的驱动链。
安全硬件
由于各种原因,这是一个特别具有挑战性的问题。人们普遍认为,不可能构建安全的硬件来抵御具有无限时间和资源的攻击者。但是,合理安全的硬件至少应该为你提供更多的时间,以便在攻击者从被捕获的设备中提取私钥之前,将你的加密资产移动到一组新的私钥。
保护比特币硬件的一个挑战是,比特币ECDSA曲线(secp256k1)没有经FIPS认证的芯片。中本聪对这一曲线的选择是相当神秘的,因为它在10年前根本不受欢迎。与流行的NIST曲线不同,secp256k1的常数是以可预测的方式选择的,这大大降低了曲线创建者插入任何后门的可能性。另一方面,这一曲线并没有看到为其构建安全芯片所投入的相同水平的资源。
我们讨论了大多数硅芯片在物理攻击中的脆弱性-通过剥离芯片的顶层,可以将探针连接到硅上并直接读取数据。然而,安全元件的顶层设计,如果芯片被移除,它将完全摧毁芯片。它们通常也有独立的电源,这样具有物理访问权限的攻击者,就不能简单地在电源管道上放置探针来推断芯片内正在处理的数据。
通过https://saleemrashid.com/2018/11/26/breaking-into-bitbox读取和写入数据以保护芯片存储
安全元素的一个未被重视的方面是,它们通常带有经过认证的随机数生成器-大多数操作系统附带的生成器往往是可疑的。安全元素的缺点是,仍有人必须编写在其上运行的软件,这可能会造成信任问题和单点故障。运行不安全软件的安全硬件毕竟不安全。此外,安全元素通常不能执行复杂的操作,因为它们的计算能力有限-比特币交易的实际构造必须发生在安全元素之外和不太安全的微控制器上。
SaleemRashid在一篇关于Ledger Nano S的文章中讨论了这个设计的一些问题。
使用微控制器(MCU)与输入、输出和安全元件(SE)交互
最终,安全硬件的最大问题之一是它仍然依赖于所遵循的最佳实践-存在大量人为错误空间。正如多重签名不是创造一个完美安全钱包的法宝一样,硬件也不是,它是我们应共同使用的为用户构建强大解决方案的众多工具之一。
助记种子语标准
这一讨论深入到了技术领域,且与钱包开发者密切相关。一般的问题是,比特币钱包衍生受到“标准”问题的困扰,我们有BIP 32、BIP 39、BIP 44、BIP 49、BIP 84……而它们不一定都是相互兼容的。
https://xkcd.com/927/
层次确定性的钱包派生标准有一个特别令人沮丧的地方,那就是它们与地址格式标准不太匹配。由于BIP32没有为给定的派生路径指定地址格式,所以钱包开发人员建议修改扩展公钥的版本字节来实现这一点。随着比特币激活了隔离见证,对地址公钥进行编码的方式越来越多。虽然BIP 49提出了一种编码P2WPKH-nested-in-P2SH地址的方法,但它未能更改HD种子版本字节(保留xpub前缀),导致用户不可持续的混淆。用户必须知道xpub使用BIP 49派生,或者xpub的使用者必须扫描两个地址空间(P2PKH以及P2WPKH-in-P2SH)。从长远来看,这个问题可能会继续恶化,需要越来越复杂的扫描逻辑来寻找支持导入种子短语的钱包。
实际上,我去年遇到了这个问题,它引导我创建了这个xpub版本的字节转换器工具。当你构建支持非比特币加密资产的钱包时,问题就变得更加复杂了,这些资产的密钥都来自于一个主种子。目前,我们最接近的标准是中本聪实验室改进提议132,我们想知道提出一个HD标准是否更有意义,该标准为推导添加了一条路径,并将其从:
m/BIP/CoinType/Account/change/index
更改到
m/BIP/CoinType/Account/AddressType/change/index
我们还同意,如果建立一个安全地分割种子短语的标准,这将是非常有帮助的。保持恢复种子的安全是一个极其复杂的物理安全问题,因此我们在Casa开发了一个钱包,其完全摆脱了管理种子的需要。如果你丢失了一个设备,你可以很容易地在keymaster软件中执行密钥旋转,并且你不必直接处理私钥或种子。
我们怀疑很多正在分裂种子的人正在使用某种形式的Shamir秘密分享,但这有几个问题。首先,各种可用的开源SSS工具甚至不兼容……可能是因为它不容易实现!
2017年,Greg Maxwell在Armory的SSS实现中发现了一个用于碎片备份的漏洞。另外还有一个共识,即如果有一个种子分割方案,它还包括每个种子共享的校验和,这样你就可以在不必重新构建所有共享来查看数据是否损坏的情况下验证其完整性,那么这将是一个很大的改进。如果有人花时间制定一个提案,这似乎是一个相当大的胜利。
证券通证
我参加这一讨论是因为我曾故意不看好证券通证,证券通证仍处于萌芽阶段,其属性没有很好地定义,尽管我们似乎确定了一个一般定义:即它们是由一些政府机构作为证券管理的加密token。其中一项数据是,虽然ICO市场在2018年期间价值下降了约90%,但证券代币市场的价值却飙升了1000%。
为什么证券通证很有趣?我们被告知要从私募市场的角度来看待它们,私募市场每年筹集的资金通常比IPO多10倍。为什么要通证化证券?
你可以编程的“智能合约”功能在全球共识级别上强制执行它们的属性。想想股息、股东投票和锁定期;
原子化成为可能-在没有大量开销的情况下进行更细粒度投资的能力;
由于使用开放的、可审计的账本,监管者很友好;
建立全球可互操作股票市场的潜力;
通过分布式交易所和自动化KYC降低交易对手风险;
证券通证构建肯定比实用通证更具挑战性:
它们必须架起传统市场的桥梁,并获得监管机构的批准;
它们负担不起从头开始,放弃现有的功能;
目前必须对每个token重复AML/KYC/认证;
交易所的流动性低,标准的1年锁定无济于事;
如果基础账本平台上有一个分叉,你会怎么做?
区块链不具有很好的可扩展性,这就产生了压力,使其像传统的非区块链系统一样集中在几个交易所周围;
目前没有任何合格的保管者;
保管者必须如何处理分叉/空投的法律灰色区域。如果保管者有单独的自由裁量权,这是一种ERISA违规行为,这种情况发生的可能性会阻止机构投资;
有可能在代币发行时遵守相关规定,但一旦发生跨境交易(如超过某个国家允许的投资者数量),则会出现违规情况;
有人猜测,购买证券通证的人将来自于今天购买传统证券的参与者,他们甚至可能不会意识到基础管道已经改变为不同的系统。该领域的观察表明,迄今为止,证券通证市场已经有90%的交易是通过法币进行的,但在加密货币市场牛市期间,随着投资者寻求多样化,约80%的交易是通过加密货币进行的。
我仍然不认为它们和无需许可的加密资产一样有趣,但我必须承认,证券通证可改善用于管理受监管股权的传统金融系统。
关于Grin
从2016年底开始,我便对mimblewimble感兴趣了,现在有多个运用 MimbleWimble协议的网络正在运行,我们可以看到它们在竞争环境中的表现如何!
(旁白:我对Grin的兴趣不是投资建议。我不建议人们投资BTC,更不要说投资更具实验性质的竞争币。)
其中一个最大的问题是“为什么投资者对GRIN如此感兴趣?”,有几个猜测性的答案:
寻求类似风险敞口的投资者如果没有获得Beam的股权,可能会觉得grin更讨人喜欢;
考虑到GRIN的发行时间表,近期通胀率高以及它的长期排放计划,其价格可能会长期处于低位。
与其现在买grin,不如先把它卖掉,然后之后再以低价囤积它们;
Grin的优势:
其风气似乎与比特币和密码朋克的风气相当接近;
作为一个竞争币,其发布非常公平;
与比特币相同的脚本语言,但是作为秘密插入签名的“无脚本脚本”;
Grin的区块链是相对于用户数量而非交易量进行扩展的,每个用户大约扩展100字节;
你可以通过给出一个查看密钥来自动解除你的资金匿名性;
Grin的弱点:
Grin的经济模型是平均每秒1个的排放速度,并且永远会持续下去,这会挡住很多人。在足够长的时间内,其通胀率将低于法定货币的平均水平,但大多数人可能没有足够的耐心等待数十年的时间;
当它涉及到通过捐赠模式资助开发人员时,就遇到了所谓的公地悲剧问题。因为投资回报率是可测量的,而投资于开发的资金则不是可测量的,所以大量的资金投入到了挖矿业中。有人猜测,在通过矿业积累了一些价值后,这些基金可能会变得不那么吝啬,并将捐赠一部分开采的grin。Grinmint已选择将一定比例的资金捐赠给Grin开发团队。此外,Obelisk还承诺将其GRIN ASIC收入的一部分捐赠给GRIN开发;
交易签名是交互式的,这会造成复杂性。尤其是冷存储需要额外的步骤,例如,通过二维码将部分签名的交易转移到气隙机器上或从气隙机器上转移。
交互式签名的一个选择是通过连接对方的IP地址来实现,这当然是一个巨大的隐私问题;
交互式签名打开了中间人攻击的可能性-一个安全的通信通道是必要的;
我们还讨论了一般的隐私币,我了解到机构正在接受隐私加密货币,因为没有任何传统资产具有类似于区块链分析工具的东西;它们依赖于标准的AML/KYC流程。区块链分析工具实际上会让企业感到悲伤,因为很多人不明白法律不要求指定特定的UTXO,只是基金的总价值。因此,“受污染”的基金可能会被标记在已发生执法行动(扣押)的下游。
我期待着看到类似技术的发展,也许有一天我们会看到比特币的MW侧链。
比特币价格
哈哈,这是开玩笑的!价格讨论是很少的。最常见的是在主题演讲中讨论了S曲线和采用周期。我们确实听到了一些关于出生率的清晰见解,以及随着人口年龄的增长,出生率的上升或下降会产生连锁反应,从而导致各个领域出现泡沫。例如,男性购买摩托车的高峰期在40多岁左右,而哈雷戴维森(Harley Davidson)的销量(以及股票价格)也在婴儿潮一代人步入中年时达到顶峰。至于比特币,谁知道呢……在场的大多数人似乎都认为,我们还没有看到最后一次比特币泡沫,但不管是1年还是10年,这一切都悬而未决的。
中本聪圆桌会议上看到的唯一泡沫
回到BUIDL
和往常一样,这种不一致是从构建加密生态系统基础设施中获得的教育和娱乐性突破。2020年见!
原文:https://medium.com/@lopp/satoshi-roundtable-v-recap-151dab7548bb
作者:Jameson Lopp
编译:洒脱喜 查看全部
以下为译文:
很高兴再次参加布鲁斯·芬顿(Bruce Fenton)组织的中本聪圆桌会议,我享受每年参加这一活动,因为它有一个轻松的氛围,这里没有大量的人,它提供了很多机会,可以和行业中的人进行坦诚的面对面讨论(通常情况下,这些人都非常忙,因此很难聚到一块交谈)。圆桌会议是非结构化的,因此会有无数非正式的对话,以及几十个更正式的会议。因此,任何人都不可能对今年发生的事情作出全面的总结,我参加了我认为对我来说最有趣的谈话,并试图向大家传达这些讨论的结果。
闪电网络
闪电网络之所以是吸引人的,在于它支持了传统支付网络所无法实现的全新用例。我们已经看到了一些概念证明,比如Satoshi’s Place、Lightning Spin以及比特币墓地(Bitcoin Graveyard)。在利用闪电网络改善用户体验方面,还有很多未经发掘的机会。例如,在一台ATM机上出售比特币的过程相当糟糕,你必须存款,在等待确认后,然后返回以实际获得现金。而有了闪电网络存款,存款和取现的操作就可以立即发生。最近Twitter上的#LNTrustchain是一个有趣的演示!
一些参与者表示怀疑,对于普通人来说,闪电网络很容易在短时间内安全、轻松地使用它。他们指出,虽然让当前的比特币用户使用闪电网络并不太困难,但同时向新人解释比特币和闪电网络可能会是非常困难的。人们似乎普遍认为,如果闪电网络要获得主流的采用,那么需要从用户那里抽象出通道的概念。相反,用户应该只需要知道他们可以发送和接收的最大值是多少。由于目前可用的工具有限,这很难去管理,但是正在进行中的改进,如原子多路径支付、通道拼接、多方通道和流式支付(streaming payments),应使软件开发人员更容易改善引擎盖下的的通道管理。
用户采用的另一大主要挑战,在于寻找流动性来源。尽管我认为最佳的用户体验不应该要求用户去考虑它,但我确实希望,随着更多的交易所和流动性提供商加入闪电网络,我们将看到闪电网络钱包的集成,这会使得你的闪电网络钱包“充值”变得简单,体验类似于为完全的加密货币新手购买预付借记卡,甚至使那些已拥有交易所账户的人的体验更顺畅。
虽然像btcpay这样令人敬畏的开源软件能够让商家管理自己的节点和通道,但仍有可能很多商家会选择像Strike这样的托管支付处理服务。另一方面,即使闪电网络被托管公司采用的速度要比个人快,也有大量的效率提高。在撰写本文时,有相当多的服务拥有很多用户,这些用户定期通过各服务之间的链上交易发送价值,从区块空间使用的角度来看,这是非常低效的。如果这些服务仅在每日/每周的基础上彼此“结算”余额,那么它们可大大减少所需的链上交易量。但是,目前不可能这样做,因为服务A不知道哪些比特币地址属于服务B。如果这些托管服务使用闪电网络,它将自动处理服务之间的冗余链上支付,而不需要知道彼此的身份。
当我在BitGo构建基础设施时,我看到了类似于以下的定期可视化效果,我们自己的客户之间来回进行着成千上万笔交易,他们不知道他们所使用的这个全球账本有多低效。这让人很沮丧,但我们的头脑风暴,在如何解决我们自己的用户(以一种不破坏他们隐私的方式)的问题上还不够。这就是为什么我如此渴望看到闪电网络被采用的原因之一,它无缝地解决了这种巨大的效率低下问题。
主要服务之间资金流动的可视化
目前已知的一些最大的未知数涉及流动性。没有人真正知道什么样的投资回报率对流动性提供者来说是合理的,尽管有一些早期的努力试图量化“闪电网络参考率”。最终,分配给闪电网络通道资本的时间价值将与其他有息资产相比较,尽管公平地说,也许除了Maker DAO之外,没有高度相似的加密资产可本地产生利息。
如果交易费用主要转移到闪电网络,人们对比特币的热力学安全性的可持续性会更关注。在我看来,如果闪电网络允许用户将其链上交易减少X的系数,那么用户愿意支付低于平均比特币x(AVERAGE_BITCOIN_FEE * X)-平均闪电网络费*X(AVERAGE_LIGHTNING_FEE * X)的任何费用是有经济意义的。由于闪电网络支持了全新的用例(在链上是无法实现的),我预计随着用户开放和关闭通道,它将为比特币带来更多的经济活动(和挖矿费用)。闪电网络依赖于链上交易的一个有趣的结果是,一个广泛流行的闪电网络可以为链上交易创造比offload更多的需求,从而大幅增加用户愿意支付的链上费用。我们最终将看到新技术的采用,该技术允许用户通过聚合签名和多方闪电网络通道更有效地使用区块空间;如果很多用户“共享”单笔链上交易,那么很容易看到挖矿费用对于该交易来说可能相对较高,但从每个参与者的角度来看却是较低的。
最后,有一些关于比特币矿工闪电支付用例的讨论。如果哈希工作者们可以通过闪电网络直接获得报酬,那么它可以通过多种方式改变挖矿动态:
支出将不再需要进入保管池钱包;
自动支付不会让区块链充满粉尘UTXO;
哈希矿工可实现实时支付,因为股份提交无需等待区块被发现(这背后可能还有其他的博弈论影响,这将需要略低的支付保险目的);
通过将闪电网络支付与Matt Corallo的Betterhash挖矿协议相结合,它将进一步降低矿池的功率,提高比特币的审查抵抗力;
闪电网络是今年的热门话题,它在2018年取得了如此多的进展,但在我们充分发挥其潜力之前,仍有大量功能和基础设施需要我们去完善。
隐私话题
对于那些正在建设公司的人来说,隐私是一个棘手的问题,因为我们的公司受到国家行动者的干预。我们中的那些人有兴趣学习如何在不成为目标的情况下实现用户隐私。该组织的一些人指出,他们过去常常与很多用户一起运行服务,但在收到政府机构的大量信件后,他们决定不想处理这些麻烦,而是关闭服务从而避免翻车。我们经常在Casa讨论隐私问题,因为我们是一家重服务驱动的公司,所以我们需要与用户保持关系。我们能确定的最安全的方法是,尽可能少地存储有关用户的数据。我们必须假设,在某一时刻,我们可能会被迫交出我们存储的有关用户的所有数据。因此,“不能作恶”是一个比“不要作恶”更强有力的立场,因为它不仅仅是关于我们自己的意图。
加密货币网络隐私性不足造成的最大问题之一是,它损害了可互换性。现在有几家区块链监控公司在跟踪区块链资金并对其进行“污染分析”,并告诉服务部门资金来源“不合法”的可能性有多大。当然,这些都是基于概率的猜测,可能会导致无辜的用户陷入算法的拖网。这些工具显然导致很多比特币用户从各种服务平台中脱离了出来,因为他们被认为是风险客户。
会议上提出的一个特别有趣的观点是,没有人因为区块链分析而被起诉,因为它本身就没有足够的刑事指控证据。更确切地说,这只是调查人员用来更全面了解目标实际拥有多少资金的众多工具之一,这样他们就可确信癫痫发作更成功。。
来自“A Fistful of Bitcoins”论文的区块链分析
根据你所看到的UTXO历史的跳跃次数,你可能会找到一个很好的理由来认为它是“受污染的”,这很像大多数的法定货币都含有微量的可卡因。也许真正的问题来源于比特币的UTXO,如果更多的人混合了他们的UTXO,最终污染分析会为所有的UTXO产生相同的分数,我们将回到一个可互换性的公平竞争环境。但在那之前,先发劣势是那些有隐私意识的用户很可能会被标记为可疑用户。
区块链分析隐私性差的另一个缺点是,它为商业间谍活动打开了比特币业务的大门。很多与定期存款客户的交易和服务仍然没有采用非重用地址的最佳实践,使得对其资金的群集分析变得更容易!此外,对于精通技术的人来说,有可能将小额存款存入竞争对手的服务的地址,然后观看其UTXO的移动,以尝试测量其冷热钱包的价值和容量。
据指出,通过SPV钱包缺陷、Sybil Electrum服务器和网络观察者,IP地址与比特币地址的相关性存在广泛的问题。大多数这些问题的解决方案是运行一个全节点,这样所有的钱包查询都会在本地发生,并且不能被监视,但是反过来,如果您从全节点广播交易,它会为观察交易通过网络传播的网络观察者造成隐私泄漏问题。谢天谢地,Dandelion技术很快就会进入Bitcoin Core代码库,从而掩盖了广播交易的起源节点。
来源:Giulia Fanti,https://www.youtube.com/watch?V= SRE6KDBGI1O
比特币隐私本身就是一个完整的研究领域;对于那些希望深入研究比特币隐私的人,我建议查看开放式比特币隐私项目( Open Bitcoin Privacy Project)的威胁模型。
侧链和扩容
这是去年圆桌会议上发生的少数几个被反复讨论的话题之一。Paul Sztorc多年来一直致力于他的驱动链(Drivechain)概念,目的是减少我们所提提议所需的(硬分叉或软分叉)协议的更改内容。
分布式共识系统的一个棘手的问题是,它们往往忽略系统外部发生的所有事情;这使得系统对外部威胁更强,但也使得很难更改系统以添加新功能。因此,想要尝试异域的未经证实的想法的人,往往会从头开始构建自己的共识系统,最终在注意力和其他资源方面与比特币竞争。这最终激怒了很多比特币支持者,因为竞争项目的创建者成为了新货币的发行者。
驱动链(Drivechain)将使任何人都能建立起自己的网络,利用比特币矿工的力量,将新资产钉在比特币上。这基本上是一种维护者是矿工而非签名者联盟的比特币侧链方法。动态成员身份多方签名(挖矿)可以说比联合更为健壮,因为签名者可以来来去去,相互竞争。在不需要矿工特别参与的情况下,侧链的最佳形式将被钉住,但据我所知,没有人找到一种切实可行的方法来做到这一协议。(为了防止盗窃,可能需要有能力对侧链到比特币挂钩的SPV证明提出质疑,这将对比特币协议产生重大改变)
一个问题是闪电网络是否应被视为侧链。总的共识是,侧链是一个拥有全局共享状态和共识机制的系统,同时也有某种挂钩机制与另一个拥有独立全局共享状态和共识机制的系统。因此,即使你认为闪电网络与比特币挂钩,它也不能成为侧链。闪电网络没有由共识机制产生的全局共享状态。
还应指出的是,侧链的安全性取决于其受欢迎程度,因为它依赖于管理PEG的团队(矿工或联合会)的协调。但我们看到比特币在应对诸如UASF运动、2013年3月分叉决议和2010年通货膨胀事件等问题时出现了大量协调的例子,因此我们有理由抱有希望。
由于其依赖矿工的安全模型,驱动链(Drivechain)的概念仍然被一些开发者视为有问题的;它依赖用户激活的软分叉来通过矿工的共谋来对抗盗窃。看来,在安全性方面,驱动链(Drivechain)提供了一个中间地带-其不如比特币的基础层那么安全,但其比很多依赖可信第三方的系统要更安全。然而,驱动链(Drivechain)是一种无许可的创新-它们不需要更改比特币协议来构建。它只是需要矿工的支持,开始将所需的交易添加到区块中。自从上一次圆桌会议以来,我们获得了在测试网上运行驱动链(Drivechain)的能力;我敢打赌,我们将在下一次中本聪圆桌会议之前看到生产部署的驱动链。
安全硬件
由于各种原因,这是一个特别具有挑战性的问题。人们普遍认为,不可能构建安全的硬件来抵御具有无限时间和资源的攻击者。但是,合理安全的硬件至少应该为你提供更多的时间,以便在攻击者从被捕获的设备中提取私钥之前,将你的加密资产移动到一组新的私钥。
保护比特币硬件的一个挑战是,比特币ECDSA曲线(secp256k1)没有经FIPS认证的芯片。中本聪对这一曲线的选择是相当神秘的,因为它在10年前根本不受欢迎。与流行的NIST曲线不同,secp256k1的常数是以可预测的方式选择的,这大大降低了曲线创建者插入任何后门的可能性。另一方面,这一曲线并没有看到为其构建安全芯片所投入的相同水平的资源。
我们讨论了大多数硅芯片在物理攻击中的脆弱性-通过剥离芯片的顶层,可以将探针连接到硅上并直接读取数据。然而,安全元件的顶层设计,如果芯片被移除,它将完全摧毁芯片。它们通常也有独立的电源,这样具有物理访问权限的攻击者,就不能简单地在电源管道上放置探针来推断芯片内正在处理的数据。
通过https://saleemrashid.com/2018/11/26/breaking-into-bitbox读取和写入数据以保护芯片存储
安全元素的一个未被重视的方面是,它们通常带有经过认证的随机数生成器-大多数操作系统附带的生成器往往是可疑的。安全元素的缺点是,仍有人必须编写在其上运行的软件,这可能会造成信任问题和单点故障。运行不安全软件的安全硬件毕竟不安全。此外,安全元素通常不能执行复杂的操作,因为它们的计算能力有限-比特币交易的实际构造必须发生在安全元素之外和不太安全的微控制器上。
SaleemRashid在一篇关于Ledger Nano S的文章中讨论了这个设计的一些问题。
使用微控制器(MCU)与输入、输出和安全元件(SE)交互
最终,安全硬件的最大问题之一是它仍然依赖于所遵循的最佳实践-存在大量人为错误空间。正如多重签名不是创造一个完美安全钱包的法宝一样,硬件也不是,它是我们应共同使用的为用户构建强大解决方案的众多工具之一。
助记种子语标准
这一讨论深入到了技术领域,且与钱包开发者密切相关。一般的问题是,比特币钱包衍生受到“标准”问题的困扰,我们有BIP 32、BIP 39、BIP 44、BIP 49、BIP 84……而它们不一定都是相互兼容的。
https://xkcd.com/927/
层次确定性的钱包派生标准有一个特别令人沮丧的地方,那就是它们与地址格式标准不太匹配。由于BIP32没有为给定的派生路径指定地址格式,所以钱包开发人员建议修改扩展公钥的版本字节来实现这一点。随着比特币激活了隔离见证,对地址公钥进行编码的方式越来越多。虽然BIP 49提出了一种编码P2WPKH-nested-in-P2SH地址的方法,但它未能更改HD种子版本字节(保留xpub前缀),导致用户不可持续的混淆。用户必须知道xpub使用BIP 49派生,或者xpub的使用者必须扫描两个地址空间(P2PKH以及P2WPKH-in-P2SH)。从长远来看,这个问题可能会继续恶化,需要越来越复杂的扫描逻辑来寻找支持导入种子短语的钱包。
实际上,我去年遇到了这个问题,它引导我创建了这个xpub版本的字节转换器工具。当你构建支持非比特币加密资产的钱包时,问题就变得更加复杂了,这些资产的密钥都来自于一个主种子。目前,我们最接近的标准是中本聪实验室改进提议132,我们想知道提出一个HD标准是否更有意义,该标准为推导添加了一条路径,并将其从:
m/BIP/CoinType/Account/change/index
更改到
m/BIP/CoinType/Account/AddressType/change/index
我们还同意,如果建立一个安全地分割种子短语的标准,这将是非常有帮助的。保持恢复种子的安全是一个极其复杂的物理安全问题,因此我们在Casa开发了一个钱包,其完全摆脱了管理种子的需要。如果你丢失了一个设备,你可以很容易地在keymaster软件中执行密钥旋转,并且你不必直接处理私钥或种子。
我们怀疑很多正在分裂种子的人正在使用某种形式的Shamir秘密分享,但这有几个问题。首先,各种可用的开源SSS工具甚至不兼容……可能是因为它不容易实现!
2017年,Greg Maxwell在Armory的SSS实现中发现了一个用于碎片备份的漏洞。另外还有一个共识,即如果有一个种子分割方案,它还包括每个种子共享的校验和,这样你就可以在不必重新构建所有共享来查看数据是否损坏的情况下验证其完整性,那么这将是一个很大的改进。如果有人花时间制定一个提案,这似乎是一个相当大的胜利。
证券通证
我参加这一讨论是因为我曾故意不看好证券通证,证券通证仍处于萌芽阶段,其属性没有很好地定义,尽管我们似乎确定了一个一般定义:即它们是由一些政府机构作为证券管理的加密token。其中一项数据是,虽然ICO市场在2018年期间价值下降了约90%,但证券代币市场的价值却飙升了1000%。
为什么证券通证很有趣?我们被告知要从私募市场的角度来看待它们,私募市场每年筹集的资金通常比IPO多10倍。为什么要通证化证券?
你可以编程的“智能合约”功能在全球共识级别上强制执行它们的属性。想想股息、股东投票和锁定期;
原子化成为可能-在没有大量开销的情况下进行更细粒度投资的能力;
由于使用开放的、可审计的账本,监管者很友好;
建立全球可互操作股票市场的潜力;
通过分布式交易所和自动化KYC降低交易对手风险;
证券通证构建肯定比实用通证更具挑战性:
它们必须架起传统市场的桥梁,并获得监管机构的批准;
它们负担不起从头开始,放弃现有的功能;
目前必须对每个token重复AML/KYC/认证;
交易所的流动性低,标准的1年锁定无济于事;
如果基础账本平台上有一个分叉,你会怎么做?
区块链不具有很好的可扩展性,这就产生了压力,使其像传统的非区块链系统一样集中在几个交易所周围;
目前没有任何合格的保管者;
保管者必须如何处理分叉/空投的法律灰色区域。如果保管者有单独的自由裁量权,这是一种ERISA违规行为,这种情况发生的可能性会阻止机构投资;
有可能在代币发行时遵守相关规定,但一旦发生跨境交易(如超过某个国家允许的投资者数量),则会出现违规情况;
有人猜测,购买证券通证的人将来自于今天购买传统证券的参与者,他们甚至可能不会意识到基础管道已经改变为不同的系统。该领域的观察表明,迄今为止,证券通证市场已经有90%的交易是通过法币进行的,但在加密货币市场牛市期间,随着投资者寻求多样化,约80%的交易是通过加密货币进行的。
我仍然不认为它们和无需许可的加密资产一样有趣,但我必须承认,证券通证可改善用于管理受监管股权的传统金融系统。
关于Grin
从2016年底开始,我便对mimblewimble感兴趣了,现在有多个运用 MimbleWimble协议的网络正在运行,我们可以看到它们在竞争环境中的表现如何!
(旁白:我对Grin的兴趣不是投资建议。我不建议人们投资BTC,更不要说投资更具实验性质的竞争币。)
其中一个最大的问题是“为什么投资者对GRIN如此感兴趣?”,有几个猜测性的答案:
寻求类似风险敞口的投资者如果没有获得Beam的股权,可能会觉得grin更讨人喜欢;
考虑到GRIN的发行时间表,近期通胀率高以及它的长期排放计划,其价格可能会长期处于低位。
与其现在买grin,不如先把它卖掉,然后之后再以低价囤积它们;
Grin的优势:
其风气似乎与比特币和密码朋克的风气相当接近;
作为一个竞争币,其发布非常公平;
与比特币相同的脚本语言,但是作为秘密插入签名的“无脚本脚本”;
Grin的区块链是相对于用户数量而非交易量进行扩展的,每个用户大约扩展100字节;
你可以通过给出一个查看密钥来自动解除你的资金匿名性;
Grin的弱点:
Grin的经济模型是平均每秒1个的排放速度,并且永远会持续下去,这会挡住很多人。在足够长的时间内,其通胀率将低于法定货币的平均水平,但大多数人可能没有足够的耐心等待数十年的时间;
当它涉及到通过捐赠模式资助开发人员时,就遇到了所谓的公地悲剧问题。因为投资回报率是可测量的,而投资于开发的资金则不是可测量的,所以大量的资金投入到了挖矿业中。有人猜测,在通过矿业积累了一些价值后,这些基金可能会变得不那么吝啬,并将捐赠一部分开采的grin。Grinmint已选择将一定比例的资金捐赠给Grin开发团队。此外,Obelisk还承诺将其GRIN ASIC收入的一部分捐赠给GRIN开发;
交易签名是交互式的,这会造成复杂性。尤其是冷存储需要额外的步骤,例如,通过二维码将部分签名的交易转移到气隙机器上或从气隙机器上转移。
交互式签名的一个选择是通过连接对方的IP地址来实现,这当然是一个巨大的隐私问题;
交互式签名打开了中间人攻击的可能性-一个安全的通信通道是必要的;
我们还讨论了一般的隐私币,我了解到机构正在接受隐私加密货币,因为没有任何传统资产具有类似于区块链分析工具的东西;它们依赖于标准的AML/KYC流程。区块链分析工具实际上会让企业感到悲伤,因为很多人不明白法律不要求指定特定的UTXO,只是基金的总价值。因此,“受污染”的基金可能会被标记在已发生执法行动(扣押)的下游。
我期待着看到类似技术的发展,也许有一天我们会看到比特币的MW侧链。
比特币价格
哈哈,这是开玩笑的!价格讨论是很少的。最常见的是在主题演讲中讨论了S曲线和采用周期。我们确实听到了一些关于出生率的清晰见解,以及随着人口年龄的增长,出生率的上升或下降会产生连锁反应,从而导致各个领域出现泡沫。例如,男性购买摩托车的高峰期在40多岁左右,而哈雷戴维森(Harley Davidson)的销量(以及股票价格)也在婴儿潮一代人步入中年时达到顶峰。至于比特币,谁知道呢……在场的大多数人似乎都认为,我们还没有看到最后一次比特币泡沫,但不管是1年还是10年,这一切都悬而未决的。
中本聪圆桌会议上看到的唯一泡沫
回到BUIDL
和往常一样,这种不一致是从构建加密生态系统基础设施中获得的教育和娱乐性突破。2020年见!
原文:https://medium.com/@lopp/satoshi-roundtable-v-recap-151dab7548bb
作者:Jameson Lopp
编译:洒脱喜 查看全部
前言:中本聪圆桌会议在比特币社区的地位类似于彼尔德伯格会议,而今年的中本聪圆桌会议属于历史上的第五届,该会议与一般的大型币圈会议不同,其参与者皆是业内最具影响力的开发者、公司创始人等,因此会议话题也较为硬核,而本文的作者Jameson Lopp则是这次会议的参与者之一,他将为读者阐述本次会议上其关注的闪电网络、隐私、侧链、证券通证、Grin等热门话题。
以下为译文:
很高兴再次参加布鲁斯·芬顿(Bruce Fenton)组织的中本聪圆桌会议,我享受每年参加这一活动,因为它有一个轻松的氛围,这里没有大量的人,它提供了很多机会,可以和行业中的人进行坦诚的面对面讨论(通常情况下,这些人都非常忙,因此很难聚到一块交谈)。圆桌会议是非结构化的,因此会有无数非正式的对话,以及几十个更正式的会议。因此,任何人都不可能对今年发生的事情作出全面的总结,我参加了我认为对我来说最有趣的谈话,并试图向大家传达这些讨论的结果。
闪电网络
闪电网络之所以是吸引人的,在于它支持了传统支付网络所无法实现的全新用例。我们已经看到了一些概念证明,比如Satoshi’s Place、Lightning Spin以及比特币墓地(Bitcoin Graveyard)。在利用闪电网络改善用户体验方面,还有很多未经发掘的机会。例如,在一台ATM机上出售比特币的过程相当糟糕,你必须存款,在等待确认后,然后返回以实际获得现金。而有了闪电网络存款,存款和取现的操作就可以立即发生。最近Twitter上的#LNTrustchain是一个有趣的演示!
一些参与者表示怀疑,对于普通人来说,闪电网络很容易在短时间内安全、轻松地使用它。他们指出,虽然让当前的比特币用户使用闪电网络并不太困难,但同时向新人解释比特币和闪电网络可能会是非常困难的。人们似乎普遍认为,如果闪电网络要获得主流的采用,那么需要从用户那里抽象出通道的概念。相反,用户应该只需要知道他们可以发送和接收的最大值是多少。由于目前可用的工具有限,这很难去管理,但是正在进行中的改进,如原子多路径支付、通道拼接、多方通道和流式支付(streaming payments),应使软件开发人员更容易改善引擎盖下的的通道管理。
用户采用的另一大主要挑战,在于寻找流动性来源。尽管我认为最佳的用户体验不应该要求用户去考虑它,但我确实希望,随着更多的交易所和流动性提供商加入闪电网络,我们将看到闪电网络钱包的集成,这会使得你的闪电网络钱包“充值”变得简单,体验类似于为完全的加密货币新手购买预付借记卡,甚至使那些已拥有交易所账户的人的体验更顺畅。
虽然像btcpay这样令人敬畏的开源软件能够让商家管理自己的节点和通道,但仍有可能很多商家会选择像Strike这样的托管支付处理服务。另一方面,即使闪电网络被托管公司采用的速度要比个人快,也有大量的效率提高。在撰写本文时,有相当多的服务拥有很多用户,这些用户定期通过各服务之间的链上交易发送价值,从区块空间使用的角度来看,这是非常低效的。如果这些服务仅在每日/每周的基础上彼此“结算”余额,那么它们可大大减少所需的链上交易量。但是,目前不可能这样做,因为服务A不知道哪些比特币地址属于服务B。如果这些托管服务使用闪电网络,它将自动处理服务之间的冗余链上支付,而不需要知道彼此的身份。
当我在BitGo构建基础设施时,我看到了类似于以下的定期可视化效果,我们自己的客户之间来回进行着成千上万笔交易,他们不知道他们所使用的这个全球账本有多低效。这让人很沮丧,但我们的头脑风暴,在如何解决我们自己的用户(以一种不破坏他们隐私的方式)的问题上还不够。这就是为什么我如此渴望看到闪电网络被采用的原因之一,它无缝地解决了这种巨大的效率低下问题。
主要服务之间资金流动的可视化
目前已知的一些最大的未知数涉及流动性。没有人真正知道什么样的投资回报率对流动性提供者来说是合理的,尽管有一些早期的努力试图量化“闪电网络参考率”。最终,分配给闪电网络通道资本的时间价值将与其他有息资产相比较,尽管公平地说,也许除了Maker DAO之外,没有高度相似的加密资产可本地产生利息。
如果交易费用主要转移到闪电网络,人们对比特币的热力学安全性的可持续性会更关注。在我看来,如果闪电网络允许用户将其链上交易减少X的系数,那么用户愿意支付低于平均比特币x(AVERAGE_BITCOIN_FEE * X)-平均闪电网络费*X(AVERAGE_LIGHTNING_FEE * X)的任何费用是有经济意义的。由于闪电网络支持了全新的用例(在链上是无法实现的),我预计随着用户开放和关闭通道,它将为比特币带来更多的经济活动(和挖矿费用)。闪电网络依赖于链上交易的一个有趣的结果是,一个广泛流行的闪电网络可以为链上交易创造比offload更多的需求,从而大幅增加用户愿意支付的链上费用。我们最终将看到新技术的采用,该技术允许用户通过聚合签名和多方闪电网络通道更有效地使用区块空间;如果很多用户“共享”单笔链上交易,那么很容易看到挖矿费用对于该交易来说可能相对较高,但从每个参与者的角度来看却是较低的。
最后,有一些关于比特币矿工闪电支付用例的讨论。如果哈希工作者们可以通过闪电网络直接获得报酬,那么它可以通过多种方式改变挖矿动态:
支出将不再需要进入保管池钱包;
自动支付不会让区块链充满粉尘UTXO;
哈希矿工可实现实时支付,因为股份提交无需等待区块被发现(这背后可能还有其他的博弈论影响,这将需要略低的支付保险目的);
通过将闪电网络支付与Matt Corallo的Betterhash挖矿协议相结合,它将进一步降低矿池的功率,提高比特币的审查抵抗力;
闪电网络是今年的热门话题,它在2018年取得了如此多的进展,但在我们充分发挥其潜力之前,仍有大量功能和基础设施需要我们去完善。
隐私话题
对于那些正在建设公司的人来说,隐私是一个棘手的问题,因为我们的公司受到国家行动者的干预。我们中的那些人有兴趣学习如何在不成为目标的情况下实现用户隐私。该组织的一些人指出,他们过去常常与很多用户一起运行服务,但在收到政府机构的大量信件后,他们决定不想处理这些麻烦,而是关闭服务从而避免翻车。我们经常在Casa讨论隐私问题,因为我们是一家重服务驱动的公司,所以我们需要与用户保持关系。我们能确定的最安全的方法是,尽可能少地存储有关用户的数据。我们必须假设,在某一时刻,我们可能会被迫交出我们存储的有关用户的所有数据。因此,“不能作恶”是一个比“不要作恶”更强有力的立场,因为它不仅仅是关于我们自己的意图。
加密货币网络隐私性不足造成的最大问题之一是,它损害了可互换性。现在有几家区块链监控公司在跟踪区块链资金并对其进行“污染分析”,并告诉服务部门资金来源“不合法”的可能性有多大。当然,这些都是基于概率的猜测,可能会导致无辜的用户陷入算法的拖网。这些工具显然导致很多比特币用户从各种服务平台中脱离了出来,因为他们被认为是风险客户。
会议上提出的一个特别有趣的观点是,没有人因为区块链分析而被起诉,因为它本身就没有足够的刑事指控证据。更确切地说,这只是调查人员用来更全面了解目标实际拥有多少资金的众多工具之一,这样他们就可确信癫痫发作更成功。。
来自“A Fistful of Bitcoins”论文的区块链分析
根据你所看到的UTXO历史的跳跃次数,你可能会找到一个很好的理由来认为它是“受污染的”,这很像大多数的法定货币都含有微量的可卡因。也许真正的问题来源于比特币的UTXO,如果更多的人混合了他们的UTXO,最终污染分析会为所有的UTXO产生相同的分数,我们将回到一个可互换性的公平竞争环境。但在那之前,先发劣势是那些有隐私意识的用户很可能会被标记为可疑用户。
区块链分析隐私性差的另一个缺点是,它为商业间谍活动打开了比特币业务的大门。很多与定期存款客户的交易和服务仍然没有采用非重用地址的最佳实践,使得对其资金的群集分析变得更容易!此外,对于精通技术的人来说,有可能将小额存款存入竞争对手的服务的地址,然后观看其UTXO的移动,以尝试测量其冷热钱包的价值和容量。
据指出,通过SPV钱包缺陷、Sybil Electrum服务器和网络观察者,IP地址与比特币地址的相关性存在广泛的问题。大多数这些问题的解决方案是运行一个全节点,这样所有的钱包查询都会在本地发生,并且不能被监视,但是反过来,如果您从全节点广播交易,它会为观察交易通过网络传播的网络观察者造成隐私泄漏问题。谢天谢地,Dandelion技术很快就会进入Bitcoin Core代码库,从而掩盖了广播交易的起源节点。
来源:Giulia Fanti,https://www.youtube.com/watch?V= SRE6KDBGI1O
比特币隐私本身就是一个完整的研究领域;对于那些希望深入研究比特币隐私的人,我建议查看开放式比特币隐私项目( Open Bitcoin Privacy Project)的威胁模型。
侧链和扩容
这是去年圆桌会议上发生的少数几个被反复讨论的话题之一。Paul Sztorc多年来一直致力于他的驱动链(Drivechain)概念,目的是减少我们所提提议所需的(硬分叉或软分叉)协议的更改内容。
分布式共识系统的一个棘手的问题是,它们往往忽略系统外部发生的所有事情;这使得系统对外部威胁更强,但也使得很难更改系统以添加新功能。因此,想要尝试异域的未经证实的想法的人,往往会从头开始构建自己的共识系统,最终在注意力和其他资源方面与比特币竞争。这最终激怒了很多比特币支持者,因为竞争项目的创建者成为了新货币的发行者。
驱动链(Drivechain)将使任何人都能建立起自己的网络,利用比特币矿工的力量,将新资产钉在比特币上。这基本上是一种维护者是矿工而非签名者联盟的比特币侧链方法。动态成员身份多方签名(挖矿)可以说比联合更为健壮,因为签名者可以来来去去,相互竞争。在不需要矿工特别参与的情况下,侧链的最佳形式将被钉住,但据我所知,没有人找到一种切实可行的方法来做到这一协议。(为了防止盗窃,可能需要有能力对侧链到比特币挂钩的SPV证明提出质疑,这将对比特币协议产生重大改变)
一个问题是闪电网络是否应被视为侧链。总的共识是,侧链是一个拥有全局共享状态和共识机制的系统,同时也有某种挂钩机制与另一个拥有独立全局共享状态和共识机制的系统。因此,即使你认为闪电网络与比特币挂钩,它也不能成为侧链。闪电网络没有由共识机制产生的全局共享状态。
还应指出的是,侧链的安全性取决于其受欢迎程度,因为它依赖于管理PEG的团队(矿工或联合会)的协调。但我们看到比特币在应对诸如UASF运动、2013年3月分叉决议和2010年通货膨胀事件等问题时出现了大量协调的例子,因此我们有理由抱有希望。
由于其依赖矿工的安全模型,驱动链(Drivechain)的概念仍然被一些开发者视为有问题的;它依赖用户激活的软分叉来通过矿工的共谋来对抗盗窃。看来,在安全性方面,驱动链(Drivechain)提供了一个中间地带-其不如比特币的基础层那么安全,但其比很多依赖可信第三方的系统要更安全。然而,驱动链(Drivechain)是一种无许可的创新-它们不需要更改比特币协议来构建。它只是需要矿工的支持,开始将所需的交易添加到区块中。自从上一次圆桌会议以来,我们获得了在测试网上运行驱动链(Drivechain)的能力;我敢打赌,我们将在下一次中本聪圆桌会议之前看到生产部署的驱动链。
安全硬件
由于各种原因,这是一个特别具有挑战性的问题。人们普遍认为,不可能构建安全的硬件来抵御具有无限时间和资源的攻击者。但是,合理安全的硬件至少应该为你提供更多的时间,以便在攻击者从被捕获的设备中提取私钥之前,将你的加密资产移动到一组新的私钥。
保护比特币硬件的一个挑战是,比特币ECDSA曲线(secp256k1)没有经FIPS认证的芯片。中本聪对这一曲线的选择是相当神秘的,因为它在10年前根本不受欢迎。与流行的NIST曲线不同,secp256k1的常数是以可预测的方式选择的,这大大降低了曲线创建者插入任何后门的可能性。另一方面,这一曲线并没有看到为其构建安全芯片所投入的相同水平的资源。
我们讨论了大多数硅芯片在物理攻击中的脆弱性-通过剥离芯片的顶层,可以将探针连接到硅上并直接读取数据。然而,安全元件的顶层设计,如果芯片被移除,它将完全摧毁芯片。它们通常也有独立的电源,这样具有物理访问权限的攻击者,就不能简单地在电源管道上放置探针来推断芯片内正在处理的数据。
通过https://saleemrashid.com/2018/11/26/breaking-into-bitbox读取和写入数据以保护芯片存储
安全元素的一个未被重视的方面是,它们通常带有经过认证的随机数生成器-大多数操作系统附带的生成器往往是可疑的。安全元素的缺点是,仍有人必须编写在其上运行的软件,这可能会造成信任问题和单点故障。运行不安全软件的安全硬件毕竟不安全。此外,安全元素通常不能执行复杂的操作,因为它们的计算能力有限-比特币交易的实际构造必须发生在安全元素之外和不太安全的微控制器上。
SaleemRashid在一篇关于Ledger Nano S的文章中讨论了这个设计的一些问题。
使用微控制器(MCU)与输入、输出和安全元件(SE)交互
最终,安全硬件的最大问题之一是它仍然依赖于所遵循的最佳实践-存在大量人为错误空间。正如多重签名不是创造一个完美安全钱包的法宝一样,硬件也不是,它是我们应共同使用的为用户构建强大解决方案的众多工具之一。
助记种子语标准
这一讨论深入到了技术领域,且与钱包开发者密切相关。一般的问题是,比特币钱包衍生受到“标准”问题的困扰,我们有BIP 32、BIP 39、BIP 44、BIP 49、BIP 84……而它们不一定都是相互兼容的。
https://xkcd.com/927/
层次确定性的钱包派生标准有一个特别令人沮丧的地方,那就是它们与地址格式标准不太匹配。由于BIP32没有为给定的派生路径指定地址格式,所以钱包开发人员建议修改扩展公钥的版本字节来实现这一点。随着比特币激活了隔离见证,对地址公钥进行编码的方式越来越多。虽然BIP 49提出了一种编码P2WPKH-nested-in-P2SH地址的方法,但它未能更改HD种子版本字节(保留xpub前缀),导致用户不可持续的混淆。用户必须知道xpub使用BIP 49派生,或者xpub的使用者必须扫描两个地址空间(P2PKH以及P2WPKH-in-P2SH)。从长远来看,这个问题可能会继续恶化,需要越来越复杂的扫描逻辑来寻找支持导入种子短语的钱包。
实际上,我去年遇到了这个问题,它引导我创建了这个xpub版本的字节转换器工具。当你构建支持非比特币加密资产的钱包时,问题就变得更加复杂了,这些资产的密钥都来自于一个主种子。目前,我们最接近的标准是中本聪实验室改进提议132,我们想知道提出一个HD标准是否更有意义,该标准为推导添加了一条路径,并将其从:
m/BIP/CoinType/Account/change/index
更改到
m/BIP/CoinType/Account/AddressType/change/index
我们还同意,如果建立一个安全地分割种子短语的标准,这将是非常有帮助的。保持恢复种子的安全是一个极其复杂的物理安全问题,因此我们在Casa开发了一个钱包,其完全摆脱了管理种子的需要。如果你丢失了一个设备,你可以很容易地在keymaster软件中执行密钥旋转,并且你不必直接处理私钥或种子。
我们怀疑很多正在分裂种子的人正在使用某种形式的Shamir秘密分享,但这有几个问题。首先,各种可用的开源SSS工具甚至不兼容……可能是因为它不容易实现!
2017年,Greg Maxwell在Armory的SSS实现中发现了一个用于碎片备份的漏洞。另外还有一个共识,即如果有一个种子分割方案,它还包括每个种子共享的校验和,这样你就可以在不必重新构建所有共享来查看数据是否损坏的情况下验证其完整性,那么这将是一个很大的改进。如果有人花时间制定一个提案,这似乎是一个相当大的胜利。
证券通证
我参加这一讨论是因为我曾故意不看好证券通证,证券通证仍处于萌芽阶段,其属性没有很好地定义,尽管我们似乎确定了一个一般定义:即它们是由一些政府机构作为证券管理的加密token。其中一项数据是,虽然ICO市场在2018年期间价值下降了约90%,但证券代币市场的价值却飙升了1000%。
为什么证券通证很有趣?我们被告知要从私募市场的角度来看待它们,私募市场每年筹集的资金通常比IPO多10倍。为什么要通证化证券?
你可以编程的“智能合约”功能在全球共识级别上强制执行它们的属性。想想股息、股东投票和锁定期;
原子化成为可能-在没有大量开销的情况下进行更细粒度投资的能力;
由于使用开放的、可审计的账本,监管者很友好;
建立全球可互操作股票市场的潜力;
通过分布式交易所和自动化KYC降低交易对手风险;
证券通证构建肯定比实用通证更具挑战性:
它们必须架起传统市场的桥梁,并获得监管机构的批准;
它们负担不起从头开始,放弃现有的功能;
目前必须对每个token重复AML/KYC/认证;
交易所的流动性低,标准的1年锁定无济于事;
如果基础账本平台上有一个分叉,你会怎么做?
区块链不具有很好的可扩展性,这就产生了压力,使其像传统的非区块链系统一样集中在几个交易所周围;
目前没有任何合格的保管者;
保管者必须如何处理分叉/空投的法律灰色区域。如果保管者有单独的自由裁量权,这是一种ERISA违规行为,这种情况发生的可能性会阻止机构投资;
有可能在代币发行时遵守相关规定,但一旦发生跨境交易(如超过某个国家允许的投资者数量),则会出现违规情况;
有人猜测,购买证券通证的人将来自于今天购买传统证券的参与者,他们甚至可能不会意识到基础管道已经改变为不同的系统。该领域的观察表明,迄今为止,证券通证市场已经有90%的交易是通过法币进行的,但在加密货币市场牛市期间,随着投资者寻求多样化,约80%的交易是通过加密货币进行的。
我仍然不认为它们和无需许可的加密资产一样有趣,但我必须承认,证券通证可改善用于管理受监管股权的传统金融系统。
关于Grin
从2016年底开始,我便对mimblewimble感兴趣了,现在有多个运用 MimbleWimble协议的网络正在运行,我们可以看到它们在竞争环境中的表现如何!
(旁白:我对Grin的兴趣不是投资建议。我不建议人们投资BTC,更不要说投资更具实验性质的竞争币。)
其中一个最大的问题是“为什么投资者对GRIN如此感兴趣?”,有几个猜测性的答案:
寻求类似风险敞口的投资者如果没有获得Beam的股权,可能会觉得grin更讨人喜欢;
考虑到GRIN的发行时间表,近期通胀率高以及它的长期排放计划,其价格可能会长期处于低位。
与其现在买grin,不如先把它卖掉,然后之后再以低价囤积它们;
Grin的优势:
其风气似乎与比特币和密码朋克的风气相当接近;
作为一个竞争币,其发布非常公平;
与比特币相同的脚本语言,但是作为秘密插入签名的“无脚本脚本”;
Grin的区块链是相对于用户数量而非交易量进行扩展的,每个用户大约扩展100字节;
你可以通过给出一个查看密钥来自动解除你的资金匿名性;
Grin的弱点:
Grin的经济模型是平均每秒1个的排放速度,并且永远会持续下去,这会挡住很多人。在足够长的时间内,其通胀率将低于法定货币的平均水平,但大多数人可能没有足够的耐心等待数十年的时间;
当它涉及到通过捐赠模式资助开发人员时,就遇到了所谓的公地悲剧问题。因为投资回报率是可测量的,而投资于开发的资金则不是可测量的,所以大量的资金投入到了挖矿业中。有人猜测,在通过矿业积累了一些价值后,这些基金可能会变得不那么吝啬,并将捐赠一部分开采的grin。Grinmint已选择将一定比例的资金捐赠给Grin开发团队。此外,Obelisk还承诺将其GRIN ASIC收入的一部分捐赠给GRIN开发;
交易签名是交互式的,这会造成复杂性。尤其是冷存储需要额外的步骤,例如,通过二维码将部分签名的交易转移到气隙机器上或从气隙机器上转移。
交互式签名的一个选择是通过连接对方的IP地址来实现,这当然是一个巨大的隐私问题;
交互式签名打开了中间人攻击的可能性-一个安全的通信通道是必要的;
我们还讨论了一般的隐私币,我了解到机构正在接受隐私加密货币,因为没有任何传统资产具有类似于区块链分析工具的东西;它们依赖于标准的AML/KYC流程。区块链分析工具实际上会让企业感到悲伤,因为很多人不明白法律不要求指定特定的UTXO,只是基金的总价值。因此,“受污染”的基金可能会被标记在已发生执法行动(扣押)的下游。
我期待着看到类似技术的发展,也许有一天我们会看到比特币的MW侧链。
比特币价格
哈哈,这是开玩笑的!价格讨论是很少的。最常见的是在主题演讲中讨论了S曲线和采用周期。我们确实听到了一些关于出生率的清晰见解,以及随着人口年龄的增长,出生率的上升或下降会产生连锁反应,从而导致各个领域出现泡沫。例如,男性购买摩托车的高峰期在40多岁左右,而哈雷戴维森(Harley Davidson)的销量(以及股票价格)也在婴儿潮一代人步入中年时达到顶峰。至于比特币,谁知道呢……在场的大多数人似乎都认为,我们还没有看到最后一次比特币泡沫,但不管是1年还是10年,这一切都悬而未决的。
中本聪圆桌会议上看到的唯一泡沫
回到BUIDL
和往常一样,这种不一致是从构建加密生态系统基础设施中获得的教育和娱乐性突破。2020年见!
原文:https://medium.com/@lopp/satoshi-roundtable-v-recap-151dab7548bb
作者:Jameson Lopp
编译:洒脱喜
Grin 搅动交易所
项目 • odaily 发表了文章 • 2019-01-26 17:12
Grin,2019 年的第一条「鲶鱼」,正搅动着整个交易所市场。仅 1 月 24 日,就有 KuCoin 和 CoinAll 两家交易所先后上线 Grin。上线 Grin 的队列中还出现了三大交易所的影子。
据一位接近 Grin 核心开发团队的人士透露,三大交易所的其中之一正在对接 Grin 核心开发团队,以期尽快上线 Grin。
那些借上线 Grin 实现 30% 的 PV 增长甚至是 100% 用户增长的交易所们,正赶在大交易所没上之前,攫取一波红利。
率先挑起 Grin 大旗的小交易所们,在经历了和矿池合谋、一番明争暗斗之后,绝对不想将到手的肥肉拱手于人。然而,小交易所撑不起流动性和市场参与度,而作为一个「无庄之币」,Grin 要想向更快发展,的确需要拥抱大交易所和更多用户。
上演用户争夺「无间道」
如果说 Grin 之前,币圈对项目的普遍认知是历经基石轮、私募轮以及交易所发行、市值管理团队的「一条龙服务」,那 Grin 的出现则打破人们的固有认知。
在 Grin 的世界里,没有坐镇操盘的「庄家」,只有不停寻找买家的 Grin 矿工们。更独特的是,Grin 没有项目方、没有工资,核心开发者靠捐赠养活团队。
Grin 是近期风行币圈和矿圈的项目。它的设计和比特币有许多相似之处,如其底层采用 Mimblewimble 协议,协议和项目均由匿名人士发布,社区去中心化和理想主义氛围浓厚。
此外,其开发团队不接受投资,所有人都只能以挖矿的形式获得 Grin。因而,Grin 获得很多早期比特币社区成员推荐。
但 Grin 的货币政策相较比特币又有创新之处,其设计不设发行上限,稳定增长,希望不通胀也不通缩。
Grin 开发于 2016 年,在 2019 年 1 月 16 日上线主网。在此之前,Grin 因没有 ICO 和预挖矿,被不少人认为是比特币原教旨的回归,因此风靡国内外,成为熊市中的明星项目。
按照 Grin 的匿名性机制,其对钱包构成了不小的挑战,一般的持币者很难配置一份自己的钱包。
交易所 BitMesh 合伙人王福强解释;「你可以把这个过程理解为面对面交易,一手交钱一手交货,比较安全。若 A 转账给 B,B 钱包不在线,此时转账的币会被冻结。这时 A 有两种选择:第一种,取消转账,币会退回到钱包;第二种,等待 B 钱包上线,然后交易成功。」
因其上述特性,目前 Grin 在矿工、矿池、交易所这个链条上,主动权被牢牢掌握在矿池和交易所手里。又因其搅动市场带来币价大幅涨跌,巨额利润空间又让矿池和交易所想尽办法攫取主动权。
「Grin 现在已经让矿池这个小小的服务环节,跃升为整个链条的宠儿。」王福强如此评价道。
也因此,F2Pool 鱼池创始人「神鱼」在一次行业交流会上直言,Grin 对于行业小白来说简直是灾难,这其中的一个问题就是包括存储钱包在内的配套环节尚处于缺失状态。
矿工搞不定钱包,就无法提币。此时,交易所就成了 Grin 流向的不二途径。用户可以提币到交易所变现,也可以先存在交易所中。
既然矿池的币总是要流向交易所,那么,流向哪里就有可操作的空间。据王福强介绍,为了能吸引更多的用户,一些交易所有可能和矿池达成某种合作来获取优先导流。
具体操作的方式是,矿池会在矿工提币的页面推荐一些交易所。就像百度的网页排名一样,排在前面的网页,点击率可能更高。待矿工通过矿池链接成功提币至合作交易所后,该交易所就会向给矿池返点。
这一判断并非凭空想象。一位不愿具名的矿工表示,UU 矿池的 Grin 提币页面,一度只有对接了币夫一家交易所。
另外,据王福强介绍,1 月 18 日,BitMesh 在全网的交易量迅速攀升。「鱼池」当日共产出大约 2 万枚 Grin,其中的 8000 枚流向了 BitMesh。
这时,BitMesh 收到某前五矿池的橄榄枝。该矿池到向 BitMesh 开诚布公地出价,称只要 BitMesh 给矿池 1% 的返点,该矿池即可为 BitMesh 导流;同时还称已于其他交易所达成了合作。
当矿池与交易所合谋成为默认的潜规则,交易所与交易所之前也充满了尔虞我诈的「争夺」。
比如说,有些交易所为了争取用户而卧底竞争对手的微信群,上演争夺 Grin 用户的「无间道」。
刚上线 Grin 的头两天是最忙的时候。开发自动充提系统、解决新网络和新用户的问题,让全员只有七个人的 BitMesh 团队忙得不可开交。
王福强告诉记者,当时,团队的几个人全把床铺在了办公室,连续数日不分昼夜地在干活。
「就在这时,还有竞对潜入到我们的客户群里捣乱,真是让人哭笑不得。」王福强摆手一笑。
「怎么看出来的呢?他们进了我们的客户群就演双簧,一问一答的,说 XX 交易所有多好,试图把客户拉过去。」
有没有可能是矿工的自发分享的心得体验呢?
王福强否定了这个判断。「我也在想 XX 交易所是不是真的很好用。但后来我在好多 Grin 群发现,就是那几个人反复在说一样的话。时间长了,就发现他们是 XX 交易所过来的。」
「他们还假装是我们客服,问了不少问题,后来又各种套话,想知道到底我们的自动充值提现系统是怎么做的。」王福强说。
引发交易所上币潮
熊市之下,交易所不再是站在食物链顶端的角色,不论是三大交易所还是中小型交易所,收入来源(主要是上币费和交易手续费)一片惨淡,不少交易所正战略收缩以求生存。
而 Grin 的明星效应一直延续到上线之后,这个「微笑币」给市场带来了不小震荡。
王福强向记者表示,BitMesh 上线之后一直没有起色。正式上线一周后,BitMesh 迎来了和 Grin 使用同一个协议的 Beam 的主网上线。Beam 为 BitMesh 带来 200 位用户,而 Grin 的上线则将这个数字提高至数千名。
除了 BitMesh 外,还有一大批交易所争相上线 Grin。据不完全统计,截至 1 月 23 日,已经有
Bibox、币夫等二十余家交易所主动上线 Grin。
一位不愿具名的知情人士透露,截止 1 月 19 日,已经有两家交易所和 Grin 核心开发团队对接上线 Grin 事宜,其中一家是「三大交易所」(火币、OKEx、币安)之一。
那么 Grin 究竟有什么魔力呢?
币夫 CEO Garett Jin 透露,在 Grin 主网上线一周前,币夫开始准备上线事宜,Garett 看重的是 Grin 带来的关注度。
据 Garett 介绍,Grin 上线后,币夫的 PV (访问量)和 UV (独立访客)实现了 30% 以上的增长。
Grin 的出现也让王福强看到了希望,目前 BitMesh 已实现盈亏平衡,BitMesh 的日成交额为 10 余个 BTC,主要收入是 Grin 的交易手续费。
但是,Grin 给交易所注入熊市之光的同时,也为其带来新的竞争与挑战。
一方面,Grin 不比此前的 ICO 项目,它没有项目方「操盘」,一切从零开始,价格波动大、流动性不高。
根据 Mytoken 统计的全网数据,Grin 从 1 月 17 日上午 9 点蹿升至 19.2 美元后直线下落。截至 23 日下午 1 点,Grin 的价格已经变为 3.26 美元。
区块律动 CEO 王帅在社交平台上表示,「Grin 价格掉这么快正好说明没有炒作的人在,或者炒作的人也觉得无利可图。」
的确,一面,交易所上线 Grin 没有上币费可收,另一面在配置钱包、提供流动性上也需付出诸多精力。
在经过这些准备后,不少交易所都在以各种方式宣布自己的不俗战绩。
Garett 称,币夫占据 Grin 全网交易量 80% 以上,而王福强也称 BitMesh 占据 Grin 全网交易量 15%。
而根据非小号 1 月 23 日的数据,Bit.cc 才是大头,占全网交易的 64.85%;根据 Mytoken 的数据,AEX 以 324 万美元的 24 小时交易额占据第一。根据 MiningPoolStats 的数据,hotbit 以 267 万美元名列日交易量首位。
但另一边,不少交易所也承认这里面有交易所刷量的情况,「不然怎么会出现那么多交易量。」
扑朔迷离间,Grin 就像一只蝴蝶,扑哧煽动每个人的情绪和欲望,熊市里交易所久陷平静的水面被打破了。
熊市之光恐熄灭?
流动性是摆在这些中小交易所眼前的问题。
在被问及当前最急需的资源时,王福强表示;「我们尤其需要做市商,通过做量化、搬砖来提供流动性,不然很难做好用户体验。」
为此,王福强甚至表示愿意出让股份来和做市商寻求合作。
提供流动性就像是个鸡生蛋还是蛋生鸡的问题。因为没有流动性所以需要做市商,但没有流动性做市商也很难做量化。尤其是,Grin 这个没有 ICO 的项目,甚至没人向做市商出资赞助。
想在交易所间买卖 Grin 套利的交易人员常凯告诉记者,「现在搬砖的速度很慢,我们试过在 Grin 价格差得大的两个交易所之间搬砖,但因为交易所的技术问题,提的币没及时到账,等了 1 个小时后,行情早没了。」
简而言之,此时恐怕难有大批做市商为 Grin 持有者解套。
也正是由于流动性问题,一些交易所和用户(主要是 Grin 矿工)发生了不可调和的矛盾。
1 月 22 日,矿工黎少茂在群里号召矿友们联合起来,「如果 23 号币夫还不能提现的话,我们就联名去公安局报警,说币夫诈骗、非法开交易所」。
群内的矿工对于币夫只能充币不能提币的做法,亦是怨声载道。
黎少茂告诉记者,1 月 17 日,各大矿池开始给矿工打 Grin 。当时交易所正开着高价买单,最高时一个 Grin 能卖一个 BTC,矿工们看到价格后纷纷将币提到矿池推荐的交易所。
黎少茂就是在这样眼红脑热的情况下把自己的 Grin 打到币夫上。但当时他并没有看到,币夫交易所 23 日才能提币的公告。
1 月 15 日,币夫交易所在上线 Grin 交易对前发布了一则公告,称将在 1 月 23 日(也就是在开放充币的 7 天后)才能提币。
黎少茂打币至交易所中,准备卖出时才发现这个「潜规则」。黎少茂无法理解,他不明白交易所为什么要扣留用户的币那么久,与此同时,其他交易所在开放充币的同时就提供提币服务。
对此,Garrett 称,提现延迟几天对于交易所而言是很常规的做法,可以给交易所的技术、流程的磨合留出一定时间。当时币夫评估后决定这么做,也许在决策方面没有充分考虑矿工的需求,这个可在之后进行改正。「后面看到用户反馈需求了,我们觉得既然宣传出去了就没必要朝更夕改。」
「鲶鱼」搅动三大交易所
正当各个交易所竞争得不亦乐乎时,王福强担心的事情悄然发生。
在 MiningPoolStats 上,OKEx 赫然出现在上线 Grin 的交易所中,并且有三对交易对:GAIN/BTC、GRIN/USDT、GRIN/ETH,背后或许暗示着 OKEx 即将上线 Grin。
另外,Grin 的 discord 官方社群里出现的截图亦显示,OKEx 的 API 里出现了 Grin 的身影。
对此,记者向 OKEx 求证,对方表示「只能等通知,没有明确消息要上(Grin)」。
或许,三大交易早已开始觊觎 Grin 这块蛋糕。
据一位接近 Grin 核心开发团队的人士透露,除了 OKEx 外,三大交易所中还有一家正在对接 Grin 核心开发团队,以期尽快上线 Grin。
「现在交易所行业已经很拥挤了,大牌交易所要上了 Grin 的话,那小交易所几乎就没戏了。」王福强表示。
1 月 24 日下午,KuCoin 交易所也宣布上线 Grin。不到 4 小时后,Coinall 也宣布上线 Grin。
这迫使大部分交易所抓紧筹备上线 Grin,只为抢占这个已被一些人啃过的「先机」。
另一边,胡亮透露,由于大型交易所繁琐的流程以及复杂的风控体系,上线 Grin 需要一个相对漫长的过程。
没有项目方,没有上币费,也没有讨价还价,所有交易所都站在同一起跑线,比拼的是速度和体验。
无论是互相抹黑还是与矿池合纵连横,皆是为了瓜分 Grin 这个蛋糕。在 Grin 出现之前,和前几大交易所竞争存量用户是妄图的。
毕竟这一次不需要上币费,也不需要投票上币,没有做市商,Grin 作为 2019 年第一头鲶鱼闯进了交易所市场,让 BitMesh 这样的新型交易所看到希望,也给三大交易所敲响了警钟。
交易所的世界需要更多像 Grin 一样的币种,让后面的创新交易所不断挑战前面的权威,也让投资者认清交易所的真实面目。 查看全部
据一位接近 Grin 核心开发团队的人士透露,三大交易所的其中之一正在对接 Grin 核心开发团队,以期尽快上线 Grin。
那些借上线 Grin 实现 30% 的 PV 增长甚至是 100% 用户增长的交易所们,正赶在大交易所没上之前,攫取一波红利。
率先挑起 Grin 大旗的小交易所们,在经历了和矿池合谋、一番明争暗斗之后,绝对不想将到手的肥肉拱手于人。然而,小交易所撑不起流动性和市场参与度,而作为一个「无庄之币」,Grin 要想向更快发展,的确需要拥抱大交易所和更多用户。
上演用户争夺「无间道」
如果说 Grin 之前,币圈对项目的普遍认知是历经基石轮、私募轮以及交易所发行、市值管理团队的「一条龙服务」,那 Grin 的出现则打破人们的固有认知。
在 Grin 的世界里,没有坐镇操盘的「庄家」,只有不停寻找买家的 Grin 矿工们。更独特的是,Grin 没有项目方、没有工资,核心开发者靠捐赠养活团队。
Grin 是近期风行币圈和矿圈的项目。它的设计和比特币有许多相似之处,如其底层采用 Mimblewimble 协议,协议和项目均由匿名人士发布,社区去中心化和理想主义氛围浓厚。
此外,其开发团队不接受投资,所有人都只能以挖矿的形式获得 Grin。因而,Grin 获得很多早期比特币社区成员推荐。
但 Grin 的货币政策相较比特币又有创新之处,其设计不设发行上限,稳定增长,希望不通胀也不通缩。
Grin 开发于 2016 年,在 2019 年 1 月 16 日上线主网。在此之前,Grin 因没有 ICO 和预挖矿,被不少人认为是比特币原教旨的回归,因此风靡国内外,成为熊市中的明星项目。
按照 Grin 的匿名性机制,其对钱包构成了不小的挑战,一般的持币者很难配置一份自己的钱包。
交易所 BitMesh 合伙人王福强解释;「你可以把这个过程理解为面对面交易,一手交钱一手交货,比较安全。若 A 转账给 B,B 钱包不在线,此时转账的币会被冻结。这时 A 有两种选择:第一种,取消转账,币会退回到钱包;第二种,等待 B 钱包上线,然后交易成功。」
因其上述特性,目前 Grin 在矿工、矿池、交易所这个链条上,主动权被牢牢掌握在矿池和交易所手里。又因其搅动市场带来币价大幅涨跌,巨额利润空间又让矿池和交易所想尽办法攫取主动权。
「Grin 现在已经让矿池这个小小的服务环节,跃升为整个链条的宠儿。」王福强如此评价道。
也因此,F2Pool 鱼池创始人「神鱼」在一次行业交流会上直言,Grin 对于行业小白来说简直是灾难,这其中的一个问题就是包括存储钱包在内的配套环节尚处于缺失状态。
矿工搞不定钱包,就无法提币。此时,交易所就成了 Grin 流向的不二途径。用户可以提币到交易所变现,也可以先存在交易所中。
既然矿池的币总是要流向交易所,那么,流向哪里就有可操作的空间。据王福强介绍,为了能吸引更多的用户,一些交易所有可能和矿池达成某种合作来获取优先导流。
具体操作的方式是,矿池会在矿工提币的页面推荐一些交易所。就像百度的网页排名一样,排在前面的网页,点击率可能更高。待矿工通过矿池链接成功提币至合作交易所后,该交易所就会向给矿池返点。
这一判断并非凭空想象。一位不愿具名的矿工表示,UU 矿池的 Grin 提币页面,一度只有对接了币夫一家交易所。
另外,据王福强介绍,1 月 18 日,BitMesh 在全网的交易量迅速攀升。「鱼池」当日共产出大约 2 万枚 Grin,其中的 8000 枚流向了 BitMesh。
这时,BitMesh 收到某前五矿池的橄榄枝。该矿池到向 BitMesh 开诚布公地出价,称只要 BitMesh 给矿池 1% 的返点,该矿池即可为 BitMesh 导流;同时还称已于其他交易所达成了合作。
当矿池与交易所合谋成为默认的潜规则,交易所与交易所之前也充满了尔虞我诈的「争夺」。
比如说,有些交易所为了争取用户而卧底竞争对手的微信群,上演争夺 Grin 用户的「无间道」。
刚上线 Grin 的头两天是最忙的时候。开发自动充提系统、解决新网络和新用户的问题,让全员只有七个人的 BitMesh 团队忙得不可开交。
王福强告诉记者,当时,团队的几个人全把床铺在了办公室,连续数日不分昼夜地在干活。
「就在这时,还有竞对潜入到我们的客户群里捣乱,真是让人哭笑不得。」王福强摆手一笑。
「怎么看出来的呢?他们进了我们的客户群就演双簧,一问一答的,说 XX 交易所有多好,试图把客户拉过去。」
有没有可能是矿工的自发分享的心得体验呢?
王福强否定了这个判断。「我也在想 XX 交易所是不是真的很好用。但后来我在好多 Grin 群发现,就是那几个人反复在说一样的话。时间长了,就发现他们是 XX 交易所过来的。」
「他们还假装是我们客服,问了不少问题,后来又各种套话,想知道到底我们的自动充值提现系统是怎么做的。」王福强说。
引发交易所上币潮
熊市之下,交易所不再是站在食物链顶端的角色,不论是三大交易所还是中小型交易所,收入来源(主要是上币费和交易手续费)一片惨淡,不少交易所正战略收缩以求生存。
而 Grin 的明星效应一直延续到上线之后,这个「微笑币」给市场带来了不小震荡。
王福强向记者表示,BitMesh 上线之后一直没有起色。正式上线一周后,BitMesh 迎来了和 Grin 使用同一个协议的 Beam 的主网上线。Beam 为 BitMesh 带来 200 位用户,而 Grin 的上线则将这个数字提高至数千名。
除了 BitMesh 外,还有一大批交易所争相上线 Grin。据不完全统计,截至 1 月 23 日,已经有
Bibox、币夫等二十余家交易所主动上线 Grin。
一位不愿具名的知情人士透露,截止 1 月 19 日,已经有两家交易所和 Grin 核心开发团队对接上线 Grin 事宜,其中一家是「三大交易所」(火币、OKEx、币安)之一。
那么 Grin 究竟有什么魔力呢?
币夫 CEO Garett Jin 透露,在 Grin 主网上线一周前,币夫开始准备上线事宜,Garett 看重的是 Grin 带来的关注度。
据 Garett 介绍,Grin 上线后,币夫的 PV (访问量)和 UV (独立访客)实现了 30% 以上的增长。
Grin 的出现也让王福强看到了希望,目前 BitMesh 已实现盈亏平衡,BitMesh 的日成交额为 10 余个 BTC,主要收入是 Grin 的交易手续费。
但是,Grin 给交易所注入熊市之光的同时,也为其带来新的竞争与挑战。
一方面,Grin 不比此前的 ICO 项目,它没有项目方「操盘」,一切从零开始,价格波动大、流动性不高。
根据 Mytoken 统计的全网数据,Grin 从 1 月 17 日上午 9 点蹿升至 19.2 美元后直线下落。截至 23 日下午 1 点,Grin 的价格已经变为 3.26 美元。
区块律动 CEO 王帅在社交平台上表示,「Grin 价格掉这么快正好说明没有炒作的人在,或者炒作的人也觉得无利可图。」
的确,一面,交易所上线 Grin 没有上币费可收,另一面在配置钱包、提供流动性上也需付出诸多精力。
在经过这些准备后,不少交易所都在以各种方式宣布自己的不俗战绩。
Garett 称,币夫占据 Grin 全网交易量 80% 以上,而王福强也称 BitMesh 占据 Grin 全网交易量 15%。
而根据非小号 1 月 23 日的数据,Bit.cc 才是大头,占全网交易的 64.85%;根据 Mytoken 的数据,AEX 以 324 万美元的 24 小时交易额占据第一。根据 MiningPoolStats 的数据,hotbit 以 267 万美元名列日交易量首位。
但另一边,不少交易所也承认这里面有交易所刷量的情况,「不然怎么会出现那么多交易量。」
扑朔迷离间,Grin 就像一只蝴蝶,扑哧煽动每个人的情绪和欲望,熊市里交易所久陷平静的水面被打破了。
熊市之光恐熄灭?
流动性是摆在这些中小交易所眼前的问题。
在被问及当前最急需的资源时,王福强表示;「我们尤其需要做市商,通过做量化、搬砖来提供流动性,不然很难做好用户体验。」
为此,王福强甚至表示愿意出让股份来和做市商寻求合作。
提供流动性就像是个鸡生蛋还是蛋生鸡的问题。因为没有流动性所以需要做市商,但没有流动性做市商也很难做量化。尤其是,Grin 这个没有 ICO 的项目,甚至没人向做市商出资赞助。
想在交易所间买卖 Grin 套利的交易人员常凯告诉记者,「现在搬砖的速度很慢,我们试过在 Grin 价格差得大的两个交易所之间搬砖,但因为交易所的技术问题,提的币没及时到账,等了 1 个小时后,行情早没了。」
简而言之,此时恐怕难有大批做市商为 Grin 持有者解套。
也正是由于流动性问题,一些交易所和用户(主要是 Grin 矿工)发生了不可调和的矛盾。
1 月 22 日,矿工黎少茂在群里号召矿友们联合起来,「如果 23 号币夫还不能提现的话,我们就联名去公安局报警,说币夫诈骗、非法开交易所」。
群内的矿工对于币夫只能充币不能提币的做法,亦是怨声载道。
黎少茂告诉记者,1 月 17 日,各大矿池开始给矿工打 Grin 。当时交易所正开着高价买单,最高时一个 Grin 能卖一个 BTC,矿工们看到价格后纷纷将币提到矿池推荐的交易所。
黎少茂就是在这样眼红脑热的情况下把自己的 Grin 打到币夫上。但当时他并没有看到,币夫交易所 23 日才能提币的公告。
1 月 15 日,币夫交易所在上线 Grin 交易对前发布了一则公告,称将在 1 月 23 日(也就是在开放充币的 7 天后)才能提币。
黎少茂打币至交易所中,准备卖出时才发现这个「潜规则」。黎少茂无法理解,他不明白交易所为什么要扣留用户的币那么久,与此同时,其他交易所在开放充币的同时就提供提币服务。
对此,Garrett 称,提现延迟几天对于交易所而言是很常规的做法,可以给交易所的技术、流程的磨合留出一定时间。当时币夫评估后决定这么做,也许在决策方面没有充分考虑矿工的需求,这个可在之后进行改正。「后面看到用户反馈需求了,我们觉得既然宣传出去了就没必要朝更夕改。」
「鲶鱼」搅动三大交易所
正当各个交易所竞争得不亦乐乎时,王福强担心的事情悄然发生。
在 MiningPoolStats 上,OKEx 赫然出现在上线 Grin 的交易所中,并且有三对交易对:GAIN/BTC、GRIN/USDT、GRIN/ETH,背后或许暗示着 OKEx 即将上线 Grin。
另外,Grin 的 discord 官方社群里出现的截图亦显示,OKEx 的 API 里出现了 Grin 的身影。
对此,记者向 OKEx 求证,对方表示「只能等通知,没有明确消息要上(Grin)」。
或许,三大交易早已开始觊觎 Grin 这块蛋糕。
据一位接近 Grin 核心开发团队的人士透露,除了 OKEx 外,三大交易所中还有一家正在对接 Grin 核心开发团队,以期尽快上线 Grin。
「现在交易所行业已经很拥挤了,大牌交易所要上了 Grin 的话,那小交易所几乎就没戏了。」王福强表示。
1 月 24 日下午,KuCoin 交易所也宣布上线 Grin。不到 4 小时后,Coinall 也宣布上线 Grin。
这迫使大部分交易所抓紧筹备上线 Grin,只为抢占这个已被一些人啃过的「先机」。
另一边,胡亮透露,由于大型交易所繁琐的流程以及复杂的风控体系,上线 Grin 需要一个相对漫长的过程。
没有项目方,没有上币费,也没有讨价还价,所有交易所都站在同一起跑线,比拼的是速度和体验。
无论是互相抹黑还是与矿池合纵连横,皆是为了瓜分 Grin 这个蛋糕。在 Grin 出现之前,和前几大交易所竞争存量用户是妄图的。
毕竟这一次不需要上币费,也不需要投票上币,没有做市商,Grin 作为 2019 年第一头鲶鱼闯进了交易所市场,让 BitMesh 这样的新型交易所看到希望,也给三大交易所敲响了警钟。
交易所的世界需要更多像 Grin 一样的币种,让后面的创新交易所不断挑战前面的权威,也让投资者认清交易所的真实面目。 查看全部
Grin,2019 年的第一条「鲶鱼」,正搅动着整个交易所市场。仅 1 月 24 日,就有 KuCoin 和 CoinAll 两家交易所先后上线 Grin。上线 Grin 的队列中还出现了三大交易所的影子。
据一位接近 Grin 核心开发团队的人士透露,三大交易所的其中之一正在对接 Grin 核心开发团队,以期尽快上线 Grin。
那些借上线 Grin 实现 30% 的 PV 增长甚至是 100% 用户增长的交易所们,正赶在大交易所没上之前,攫取一波红利。
率先挑起 Grin 大旗的小交易所们,在经历了和矿池合谋、一番明争暗斗之后,绝对不想将到手的肥肉拱手于人。然而,小交易所撑不起流动性和市场参与度,而作为一个「无庄之币」,Grin 要想向更快发展,的确需要拥抱大交易所和更多用户。
上演用户争夺「无间道」
如果说 Grin 之前,币圈对项目的普遍认知是历经基石轮、私募轮以及交易所发行、市值管理团队的「一条龙服务」,那 Grin 的出现则打破人们的固有认知。
在 Grin 的世界里,没有坐镇操盘的「庄家」,只有不停寻找买家的 Grin 矿工们。更独特的是,Grin 没有项目方、没有工资,核心开发者靠捐赠养活团队。
Grin 是近期风行币圈和矿圈的项目。它的设计和比特币有许多相似之处,如其底层采用 Mimblewimble 协议,协议和项目均由匿名人士发布,社区去中心化和理想主义氛围浓厚。
此外,其开发团队不接受投资,所有人都只能以挖矿的形式获得 Grin。因而,Grin 获得很多早期比特币社区成员推荐。
但 Grin 的货币政策相较比特币又有创新之处,其设计不设发行上限,稳定增长,希望不通胀也不通缩。
Grin 开发于 2016 年,在 2019 年 1 月 16 日上线主网。在此之前,Grin 因没有 ICO 和预挖矿,被不少人认为是比特币原教旨的回归,因此风靡国内外,成为熊市中的明星项目。
按照 Grin 的匿名性机制,其对钱包构成了不小的挑战,一般的持币者很难配置一份自己的钱包。
交易所 BitMesh 合伙人王福强解释;「你可以把这个过程理解为面对面交易,一手交钱一手交货,比较安全。若 A 转账给 B,B 钱包不在线,此时转账的币会被冻结。这时 A 有两种选择:第一种,取消转账,币会退回到钱包;第二种,等待 B 钱包上线,然后交易成功。」
因其上述特性,目前 Grin 在矿工、矿池、交易所这个链条上,主动权被牢牢掌握在矿池和交易所手里。又因其搅动市场带来币价大幅涨跌,巨额利润空间又让矿池和交易所想尽办法攫取主动权。
「Grin 现在已经让矿池这个小小的服务环节,跃升为整个链条的宠儿。」王福强如此评价道。
也因此,F2Pool 鱼池创始人「神鱼」在一次行业交流会上直言,Grin 对于行业小白来说简直是灾难,这其中的一个问题就是包括存储钱包在内的配套环节尚处于缺失状态。
矿工搞不定钱包,就无法提币。此时,交易所就成了 Grin 流向的不二途径。用户可以提币到交易所变现,也可以先存在交易所中。
既然矿池的币总是要流向交易所,那么,流向哪里就有可操作的空间。据王福强介绍,为了能吸引更多的用户,一些交易所有可能和矿池达成某种合作来获取优先导流。
具体操作的方式是,矿池会在矿工提币的页面推荐一些交易所。就像百度的网页排名一样,排在前面的网页,点击率可能更高。待矿工通过矿池链接成功提币至合作交易所后,该交易所就会向给矿池返点。
这一判断并非凭空想象。一位不愿具名的矿工表示,UU 矿池的 Grin 提币页面,一度只有对接了币夫一家交易所。
另外,据王福强介绍,1 月 18 日,BitMesh 在全网的交易量迅速攀升。「鱼池」当日共产出大约 2 万枚 Grin,其中的 8000 枚流向了 BitMesh。
这时,BitMesh 收到某前五矿池的橄榄枝。该矿池到向 BitMesh 开诚布公地出价,称只要 BitMesh 给矿池 1% 的返点,该矿池即可为 BitMesh 导流;同时还称已于其他交易所达成了合作。
当矿池与交易所合谋成为默认的潜规则,交易所与交易所之前也充满了尔虞我诈的「争夺」。
比如说,有些交易所为了争取用户而卧底竞争对手的微信群,上演争夺 Grin 用户的「无间道」。
刚上线 Grin 的头两天是最忙的时候。开发自动充提系统、解决新网络和新用户的问题,让全员只有七个人的 BitMesh 团队忙得不可开交。
王福强告诉记者,当时,团队的几个人全把床铺在了办公室,连续数日不分昼夜地在干活。
「就在这时,还有竞对潜入到我们的客户群里捣乱,真是让人哭笑不得。」王福强摆手一笑。
「怎么看出来的呢?他们进了我们的客户群就演双簧,一问一答的,说 XX 交易所有多好,试图把客户拉过去。」
有没有可能是矿工的自发分享的心得体验呢?
王福强否定了这个判断。「我也在想 XX 交易所是不是真的很好用。但后来我在好多 Grin 群发现,就是那几个人反复在说一样的话。时间长了,就发现他们是 XX 交易所过来的。」
「他们还假装是我们客服,问了不少问题,后来又各种套话,想知道到底我们的自动充值提现系统是怎么做的。」王福强说。
引发交易所上币潮
熊市之下,交易所不再是站在食物链顶端的角色,不论是三大交易所还是中小型交易所,收入来源(主要是上币费和交易手续费)一片惨淡,不少交易所正战略收缩以求生存。
而 Grin 的明星效应一直延续到上线之后,这个「微笑币」给市场带来了不小震荡。
王福强向记者表示,BitMesh 上线之后一直没有起色。正式上线一周后,BitMesh 迎来了和 Grin 使用同一个协议的 Beam 的主网上线。Beam 为 BitMesh 带来 200 位用户,而 Grin 的上线则将这个数字提高至数千名。
除了 BitMesh 外,还有一大批交易所争相上线 Grin。据不完全统计,截至 1 月 23 日,已经有
Bibox、币夫等二十余家交易所主动上线 Grin。
一位不愿具名的知情人士透露,截止 1 月 19 日,已经有两家交易所和 Grin 核心开发团队对接上线 Grin 事宜,其中一家是「三大交易所」(火币、OKEx、币安)之一。
那么 Grin 究竟有什么魔力呢?
币夫 CEO Garett Jin 透露,在 Grin 主网上线一周前,币夫开始准备上线事宜,Garett 看重的是 Grin 带来的关注度。
据 Garett 介绍,Grin 上线后,币夫的 PV (访问量)和 UV (独立访客)实现了 30% 以上的增长。
Grin 的出现也让王福强看到了希望,目前 BitMesh 已实现盈亏平衡,BitMesh 的日成交额为 10 余个 BTC,主要收入是 Grin 的交易手续费。
但是,Grin 给交易所注入熊市之光的同时,也为其带来新的竞争与挑战。
一方面,Grin 不比此前的 ICO 项目,它没有项目方「操盘」,一切从零开始,价格波动大、流动性不高。
根据 Mytoken 统计的全网数据,Grin 从 1 月 17 日上午 9 点蹿升至 19.2 美元后直线下落。截至 23 日下午 1 点,Grin 的价格已经变为 3.26 美元。
区块律动 CEO 王帅在社交平台上表示,「Grin 价格掉这么快正好说明没有炒作的人在,或者炒作的人也觉得无利可图。」
的确,一面,交易所上线 Grin 没有上币费可收,另一面在配置钱包、提供流动性上也需付出诸多精力。
在经过这些准备后,不少交易所都在以各种方式宣布自己的不俗战绩。
Garett 称,币夫占据 Grin 全网交易量 80% 以上,而王福强也称 BitMesh 占据 Grin 全网交易量 15%。
而根据非小号 1 月 23 日的数据,Bit.cc 才是大头,占全网交易的 64.85%;根据 Mytoken 的数据,AEX 以 324 万美元的 24 小时交易额占据第一。根据 MiningPoolStats 的数据,hotbit 以 267 万美元名列日交易量首位。
但另一边,不少交易所也承认这里面有交易所刷量的情况,「不然怎么会出现那么多交易量。」
扑朔迷离间,Grin 就像一只蝴蝶,扑哧煽动每个人的情绪和欲望,熊市里交易所久陷平静的水面被打破了。
熊市之光恐熄灭?
流动性是摆在这些中小交易所眼前的问题。
在被问及当前最急需的资源时,王福强表示;「我们尤其需要做市商,通过做量化、搬砖来提供流动性,不然很难做好用户体验。」
为此,王福强甚至表示愿意出让股份来和做市商寻求合作。
提供流动性就像是个鸡生蛋还是蛋生鸡的问题。因为没有流动性所以需要做市商,但没有流动性做市商也很难做量化。尤其是,Grin 这个没有 ICO 的项目,甚至没人向做市商出资赞助。
想在交易所间买卖 Grin 套利的交易人员常凯告诉记者,「现在搬砖的速度很慢,我们试过在 Grin 价格差得大的两个交易所之间搬砖,但因为交易所的技术问题,提的币没及时到账,等了 1 个小时后,行情早没了。」
简而言之,此时恐怕难有大批做市商为 Grin 持有者解套。
也正是由于流动性问题,一些交易所和用户(主要是 Grin 矿工)发生了不可调和的矛盾。
1 月 22 日,矿工黎少茂在群里号召矿友们联合起来,「如果 23 号币夫还不能提现的话,我们就联名去公安局报警,说币夫诈骗、非法开交易所」。
群内的矿工对于币夫只能充币不能提币的做法,亦是怨声载道。
黎少茂告诉记者,1 月 17 日,各大矿池开始给矿工打 Grin 。当时交易所正开着高价买单,最高时一个 Grin 能卖一个 BTC,矿工们看到价格后纷纷将币提到矿池推荐的交易所。
黎少茂就是在这样眼红脑热的情况下把自己的 Grin 打到币夫上。但当时他并没有看到,币夫交易所 23 日才能提币的公告。
1 月 15 日,币夫交易所在上线 Grin 交易对前发布了一则公告,称将在 1 月 23 日(也就是在开放充币的 7 天后)才能提币。
黎少茂打币至交易所中,准备卖出时才发现这个「潜规则」。黎少茂无法理解,他不明白交易所为什么要扣留用户的币那么久,与此同时,其他交易所在开放充币的同时就提供提币服务。
对此,Garrett 称,提现延迟几天对于交易所而言是很常规的做法,可以给交易所的技术、流程的磨合留出一定时间。当时币夫评估后决定这么做,也许在决策方面没有充分考虑矿工的需求,这个可在之后进行改正。「后面看到用户反馈需求了,我们觉得既然宣传出去了就没必要朝更夕改。」
「鲶鱼」搅动三大交易所
正当各个交易所竞争得不亦乐乎时,王福强担心的事情悄然发生。
在 MiningPoolStats 上,OKEx 赫然出现在上线 Grin 的交易所中,并且有三对交易对:GAIN/BTC、GRIN/USDT、GRIN/ETH,背后或许暗示着 OKEx 即将上线 Grin。
另外,Grin 的 discord 官方社群里出现的截图亦显示,OKEx 的 API 里出现了 Grin 的身影。
对此,记者向 OKEx 求证,对方表示「只能等通知,没有明确消息要上(Grin)」。
或许,三大交易早已开始觊觎 Grin 这块蛋糕。
据一位接近 Grin 核心开发团队的人士透露,除了 OKEx 外,三大交易所中还有一家正在对接 Grin 核心开发团队,以期尽快上线 Grin。
「现在交易所行业已经很拥挤了,大牌交易所要上了 Grin 的话,那小交易所几乎就没戏了。」王福强表示。
1 月 24 日下午,KuCoin 交易所也宣布上线 Grin。不到 4 小时后,Coinall 也宣布上线 Grin。
这迫使大部分交易所抓紧筹备上线 Grin,只为抢占这个已被一些人啃过的「先机」。
另一边,胡亮透露,由于大型交易所繁琐的流程以及复杂的风控体系,上线 Grin 需要一个相对漫长的过程。
没有项目方,没有上币费,也没有讨价还价,所有交易所都站在同一起跑线,比拼的是速度和体验。
无论是互相抹黑还是与矿池合纵连横,皆是为了瓜分 Grin 这个蛋糕。在 Grin 出现之前,和前几大交易所竞争存量用户是妄图的。
毕竟这一次不需要上币费,也不需要投票上币,没有做市商,Grin 作为 2019 年第一头鲶鱼闯进了交易所市场,让 BitMesh 这样的新型交易所看到希望,也给三大交易所敲响了警钟。
交易所的世界需要更多像 Grin 一样的币种,让后面的创新交易所不断挑战前面的权威,也让投资者认清交易所的真实面目。
关于 Grin 的流言、谣言和谎言
项目 • chainnews 发表了文章 • 2019-01-26 10:58
链闻是最早关注并报道隐私币 Grin 的中文媒体之一。我们投入精力关注这个项目的原因非常简单:我们相信,注重隐私保护的 MimbleWimble 协议是密码世界中一项重要的技术创新结晶。而 Grin,是最早开始完善并让该协议真正实现的项目。这个项目极具特点,一小队理想主义者,用近乎笨拙和原始的方式,在一个已经混入太多沽名钓誉者的密码世界中试图建立一个纯碎的乌托邦。随着 Grin 上线,中国的区块链社区中出现大量关于 Grin 的讨论,这些讨论不乏真知灼见,但也有不少荒谬的、杜撰出来只为了吸引眼球的流言和谣言。
一名 Grin 爱好者和 Grin 社区的长期深度潜水员为链闻发来一篇自己撰写的文章,一一澄清中文社区中充斥的关于 Grin 的不准确信息,以及作者的一些所观所感。我们发表这篇文章,希望给关注 Grin 发展的朋友一些有价值的信息。
撰文:Ginny
隐私币 Grin 的火爆引发了不少讨论,但是,也出现了不少似是而非的流言、谣言和谎言。
作为一名 Grin 的爱好者和 Grin 社区的长期深度潜水员,我把我看到的一些广泛传播的错误信息汇集于此,希望作一点点 Grin 科普,也算是给 Grin 贡献一点绵薄之力了。目的非常简单:对于任何项目,只有基于准确的事实,才能展开分析和讨论,否则,只能是以讹传讹。
误读 1
「Grin 不支持 ASIC 算法挖矿。」
事实
Grin 当然支持 ASIC 挖矿 ,只是截至目前,专门用于挖 Grin 的 ASIC 矿机还没有上市。从公开资料看,目前已经宣布的最早的 Grin 矿机初步计划是到 2019 年 10 月才能出货。
Grin 反对的是秘密的 ASIC 矿机研发和生产,因为秘密的 ASIC 研制和生产会导致算力集中。而一切公开的 ASIC 市场行为,都是受到 Grin 社区欢迎的。
Grin 从一开始就支持了双 PoW 算法,一个是抗 ASIC 的 cuck(AR)oo 算法,另一个是 ASIC 友好的 cuck(AT)oo 算法。其中,「AR」是「ASIC Resistant,抗 ASIC」的缩写;AT 是「ASIC Tuned / Tweaked / Targeted,支持 ASIC」的缩写。
在两种 PoW 算法的使用上,Grin 对两种 PoW 算法的区块占比做了自动化的动态分配:在主网上线之初,抗 ASIC 的 PoW 算法占 90% 的区块比例,支持 ASIC 的 PoW 算法占 10% 的区块比例;而后,在两年的时间内,抗 ASIC 的 PoW 算法的区块比例会从开始的 90% 比例逐步下降到 0%,而支持 ASIC 的 PoW 算法的区块比例会从开始的 10% 比例逐步上升到 100%。调整速度大约为抗 ASIC/ 支持 ASIC 的比例每 8 天各自下降 / 上升大约 1%。
经过这样的两年调整之后,Grin 将只剩下 ASIC 矿机,显卡矿机将退出 Grin 生态。
经过计算,大致的双 PoW 区块比例调整时间为:
2019/1/15—1/23 抗 ASIC 的 PoW 区块占 90%,支持 ASIC 的 PoW 区块占 10%
2019/1/23—1/31 抗 ASIC 的 PoW 区块占 89%,支持 ASIC 的 PoW 区块占 11%
2019/1/31—2/08 抗 ASIC 的 PoW 区块占 88%,支持 ASIC 的 PoW 区块占 12%
… …
2020/12/31—1/07 抗 ASIC 的 PoW 区块占 2%,支持 ASIC 的 PoW 区块占 98%
2021/1/07—1/15 抗 ASIC 的 PoW 区块占 1%,支持 ASIC 的 PoW 区块占 99%
2021/1/15 以后抗 ASIC 的 PoW 区块占 0%,支持 ASIC 的 PoW 区块占 100%
具体细节,可参阅 Grin 论坛上的信息:https://www.grin-forum.org/t/choice-of-asic-resistant-pow-for-gpu-miners/1017
为什么 Grin 会对 ASIC 持欢迎态度?这是来自 Grin 社区长期探讨、研究和最终达成的共识。
社区中的普遍共识是,ASIC 矿机的单位算力能耗是显卡矿机的数十分之一,而且 ASIC 矿机的单位算力成本也远远小于显卡矿机,因此,ASIC 矿机相比显卡矿机更加环保和经济。此外,从 Grin 的算力安全和避免 51% 攻击的角度而言,ASIC 矿机也会使得 Grin 的全网算力大幅提升,51% 攻击成本也将同步大幅提升,因此,Grin 会更加安全。
而设计两年的过渡期,是为了让 ASIC 芯片研发和制造商、矿机生产商能够更平滑地进入 Grin 生态。
必须指出,Grin 核心开发者和 Grin 社区提倡和欢迎公开的针对 Grin 的 PoW 算法的 ASIC 研发和生产,但直到有 ASIC 厂商自己公布研发和生产信息之前,并不清楚是否有厂商计划或正在研发 ASIC。原因也很简单:Grin 是一个开放的社区治理型项目,不附属于任何商业实体,也不会为任何商业实体背书,所有关于 Grin 矿机的开发活动,都是第三方自发行为。
Grin 社区也只能从公开信息获得关于矿机生产商的开发信息。我注意到,第一个公开宣布开发 ASIC Grin 矿机的是 Obelisk。该公司 2019 年 1 月 17 日宣布,将开发 Obelisk ASIC GRN1,具体信息,可参考 Obelisk 在 Medium 上的博客文章:「The Obelisk GRN1: An ASIC for Grin」。
误读 2
Grin 核心技术 MimbleWimble 诞生于比特币社区,但因比特币最重要是安全稳定无法用到。
曾经直面怒怼比特大陆和 BCH 的「矿霸」吴忌寒的比特币社群领导人 Cobra 即使对 Grin 赞赏有加,也毫不留情指出了其问题所在:「我认为如果 Mimblewimble 是如此的伟大,那么比特币侧链早就使用这样的技术了。任何技术都可以复制,但比特币网络不能复制。」
Cobra 指出了问题的核心所在:相较比特币, Grin 完全没有实质的进步。
事实
以上文字完全属于以讹传讹,甚至涉嫌移花接木!
我看到上述文字的时候的确也吃了一惊!不禁无比惊奇 Cobra 怎么会说出这么自相矛盾的话来?!
于是我努力找出出处。顺便提醒一下写这段文字的媒体朋友,请下次注明出处!害我一通好找!还算顺利,几分钟以后,我在 Cobra 1 月 16 日的 Twitter 上找到了,原文如下:
翻译版:「Grin 很容易成为比特币发布以来技术最先进,最引人入胜的加密货币。很有意思的是,我们看到比特币原教旨主义者据此积极推广 Grin。就个人而言,我个人是一个 Grin 的大粉丝,会买很多!」
这个推文是满怀赞许啊!所谓的 「Grin 完全没有实质的进步」的指责在哪里呢?
直到我看到这条推文下面的评论,我才恍然大悟。截屏如下:
原来,一名叫做「 cryptocorda」的人的对 @CobraBitcoin 推文进行了评论,和上述错误的中文翻译内容完全一致!
这下我终于明白了,原来是粗心的中文文章作者张冠李戴,将一个吃瓜粉丝在 Cobra 推文下面发的一条无知评论当成是 Cobra 的言论了。这简直是浪费时间!拜托这位作者朋友,下次别这么粗心好不?这样,在有意或无意间误导了读者,形同蓄意抹黑。
那么, Grin 在底层技术方面到底有没有实质进步?事实如何呢?
MimbleWimble 的确诞生于比特币社区,但是要在比特币中用 MimbleWimble 来增强隐私存在协议兼容性问题。比特币最终没有采纳 MimbleWimble 原因有很多方面。我认为最主要有两个原因:第一,MimbleWimble 协议不支持脚本;第二,MimbleWimble 协议没有钱包地址,交易是一种交互式交易。这些与比特币核心架构和设计相抵触,或者说完全不兼容。
我找到一篇发表于 2016 年 8 月 25 日的「古董」文,几乎是在白皮书投放的第一时间,就以中文介绍了 MimbleWimble 协议。这么早的介绍值得赞一个啊!有兴趣的可以参阅 @kyle 的这篇靠谱的介绍文章:「伏地魔发动咒语『Mimblewimble』帮助比特币解决扩容问题」,链接是:https://www.8btc.com/article/101630
或者,也可以去比较久远的 Reddit 上的 MimbleWimble 讨论组找到一些著名的比特币核心开发者们在 2016 年到 2017 年间的讨论。具体可以参见:https://www.reddit.com/r/Mimblewimble
通过阅读那些准确和深入的技术讨论,才能真正理解,为什么比特币没有实现 MimbleWimble 了。
至此,我相信 「相较比特币,Grin 完全没有实质的进步」这类说法,是无知的谣言。
Grin 的创新点和技术亮点,其实除了隐私保护,还有轻量、高效等等,以及发行政策。而且 Grin 依然在继续研究和开发,相信将来随着研究的进一步深入,会有更多特色功能推出。
误读 3
很多人以为 Grin 是集旷世技术之大成的惊天之币,真是疯狂。现在能用的匿名币都已经有好几个了, Grin 最慢出来,而且是最难用的,除了轻量级区块链这个亮点,能火靠的主要是情怀。
事实
我想先来讨论一下「Grin 最慢出来」这个说法。
看样子,这段文字的作者是把 Grin 和其它几个隐私币当成同一起跑线上的选手,是最晚一个跑到指定地点 即主网上线 的,所以可以评为「最慢」选手。
为了帮作者更容易看清楚信息,我用上表比较了一下比较早出现的几个具有代表性的隐私币,其中包括门罗币和 Zcash 的发布时间。
如果按照作者的逻辑,Zcash 也很慢呢!因为门罗币发布之后又过了两年半 Zcash 才发布。所以,问题其实在于作者在做毫无逻辑的时间比较,仿佛只要是隐私币,都是同样一个东西。
作者的头脑简单的一段评论只有两个词稍微靠谱一点:「轻量级」和「情怀」。不过作者的略带调侃的「能火靠的主要是情怀」中的情怀可不是比特币原教旨主义者所称道的 Grin 的「情怀」了。
我需要认真解释一下为什么 Grin「最慢」,即为什么 Grin 是 2019 年 1 月 15 日发布,而不是 2014 年,也不是 2016 年。
Grin 的底层协议用的是 MimbleWimble,而 MimbleWimble 白皮书是 2016 年 8 月 1 日发表的。所以,对不起了,再牛的开发者也赶不过同年 3 个月以后的 Zcash 发布了!
同年 10 月 21 日,Grin 开源项目创始人 Ignotus Peverell 在 Github 上提交了 Grin 的初始代码,并在 MimbleWimble 白皮书发布的同一个 IRC 上宣布了 Grin 项目成立。随后在 2 年多的时间里,吸引了 600 多名开发者参与 Grin 的开发讨论,并且 100 多名开发者直接贡献了代码到 Grin 的代码仓库。
次年,斯坦福大学博士Benedikt Bunz、伦敦大学学院的Jonathan Bootle博士 、斯坦福大学教授Dan BonehBLS 签名的发明人,哥德尔奖获得者,ACM Prize in Computing 2014 年得主、以及比特币核心开发者Pieter Wuille和Greg Maxwell博士 ,以及 Blockstream 的数学家Andrew Poelstra于 2017 年共同发表隐私交易密码学的重量级论文「Bulletproofs: Short Proofs for Confidential Transactions and More」,为非交互式零知识证明提供了一种新的构造方式,大大缩减了范围证明的大小,奠定了 Grin 的隐私交易最重要的基础之一。原始论文参见_2018 IEEE Symposium on Security and Privacy - S &P; 2018 pages 319-338._
也就是说,Grin 不仅仅是 2016 年 8 月 1 日的 MimbleWimble 白皮书,还集成了另外几项重量级的研究成果。除了上面说的 Bulletproofs 以外,还包括 Gregory Maxwell 博士等人 2018 年 1 月发表的 Schnorr-based MuSig 签名方案;参见论文 「Simple Schnorr Multi-Signatures with Applications to Bitcoin」https://eprint.iacr.org/2018/068.pdf
Giulia Fanti 等人于 2018 年 5 月发表的 Dandelion++,进一步保护交易隐私,等等。在此就不一个一个罗列下去了。
为了保证安全和质量,Grin 做了长期的测试工作,主网发布之前共经历了 5 个测试网,从 2017 年 11 月发布的 Testnet1 ,直到最近的 Tesetnet4 以及永久性的测试网 Floonet。
综上所述,Grin 在 2019 年 1 月 15 日发布主网可以说是历经艰辛,在这中间,学术研究和开发以及测试同步进行,不断迭代,最终水到渠成的结果。
说 Grin 是「集旷世技术之大成的惊天之币」固然过于夸张,但是,我认为:Grin 既是区块链隐私保护技术发展的重要里程碑,也是整个区块链技术发展过程中的重要里程碑!Grin 的发布不光是靠一群核心开发者,Grin 背后的一批密码学者和比特币研究者以及整个 Grin 社区的共同努力,才终于在 MimbleWimble 白皮书发布大约 2 年半之后推出了 Grin。
这里还值得强调的一点是,Grin 的核心开发者除了其中一名靠募捐拿了一点点基本「工资」以外 确切来说,是一年零 1 个月时间募集了 12 万欧元,其他开发者全部都是免费为 Grin 开发。而且核心开发者一共才 8 个人,近一半人还是兼职开发。
所以,以后想说 Grin 慢的朋友请先搞清楚 Grin 是什么,然后把位子摆得稍微公允一点再评论不迟。
关于 Grin 的发展经历,一个热心的 Grin 粉丝还为此特意做了一个网站:https://grinhistory.info
再来说一下「Grin 是最难用的」这个说法。我并不知道该作者到底有没有「用过」Grin。如果真用过了,那么是和哪些币做过对比,之后发现 Grin 相比而言最难用?具体难用在哪些地方?
我期待听到真正的 Grin 使用者提供的反馈,同时,也坚决反对泛泛而谈的莫须有的责备。
最后,来点评一下「情怀」二字。
Grin 之所以被比特币原教旨主义者力挺,除了技术先进性之外,最重要的一个因素就是这个「情怀」。
什么是 Grin 的情怀?
Grin 继承了几乎所有令比特币如此强大的社会特性:匿名创始人、无领导的团队、PoW、无 ICO、无预挖矿、无开发税等,以及,致敬中本聪。这就是 Grin 的情怀!
在 2016 年至 2018 年这三年间,正是 ICO 横行大把捞钱的时代,Grin 开发者们坚守阵地,埋头研究和开发,成为近年来所有加密货币开发项目中最清贫的项目团队。
必须指出,在 Grin 项目展开的这 2 年半的时间,Grin 社区累计募捐大约 12 万欧元 +17 个比特币,其中 17 个比特币是用于代码安全审计的专项资金,12 万欧元是给其中一名核心开发者 @yeastplume 一年的基本工资。
这个清贫的团队,花了 2 年半的时间保质保量地将 Grin 项目开发完成,并公平地发布,这就是被比特币原教旨主义者所称道的 Grin 情怀!
所以,调侃 Grin「能火靠的主要是情怀」的评论者们显然并不明白「情怀」的含有具体指的是什么。我强烈建议、也鼓励对 Grin 项目感兴趣的朋友多多参与 Grin 社区各种互动,多多与 Grin 核心团队成员交流。你对这个项目了解更多,你就越会理解 Grin 社区的「情怀」究竟是什么。
误读 4
「回归去中心化」的初心,还是进一步中心化?如果是另一个团队,这个名字或许只是巧合;但一个哈利波特的粉丝团队为自己的成果起名为「Grin」,其背后含义就让人不得不深思了。
Grin 是《哈利·波特》系列中第一代黑魔王格林德沃 Grindelwald 的简写,而格林德沃一直以来倡导强者天然有统治弱者的权力,这听起来作为比特币继承人有点不太恰当。
事实
作者显然不了解 Grin 的名字由来。
Grin 和哈利波特的关系相信大家都已经了解了:Grin 底层协议是 MimbleWimble,这个 MimbleWimble 的名字是出自哈利波特书中的一句魔法咒语,可以让人舌头打结说不了话。MimbleWimble 协议的作者是匿名的,发布白皮书以后就再也没有出现过了,其起名的本意已经无人得知了。人们猜测,这个名字可能意思是使用这个协议以后就可以实现隐私交易功能,就像念了咒语让人保守秘密一样。
而 Grin 的名字据信来自「Gringotts Wizarding Bank」,在哈利波特一书中是「the only bank of the wizarding world」,意思是「魔法世界的唯一银行」。
所以,将项目命名为 Grin 是取其「银行」之意,还蛮贴切的。所以,简单一句话就解释好了。希望今后不要再妖魔化 Grin 了啊,和黑魔王什么的毫无关系。
误读 5
Grin 社区关注量极少,只有一千多人。
事实
首先要说明下,Grin 项目完全不同于任何商业项目,不做商业推广,即现在和将来都不会砸钱买流量买粉丝。
在 Grin 约两年半的开发过程中,Grin 爱好者自发组建了多个社交群组。其中,比较早的 Discord 群目前有 6 千多名关注者。链接:https://discord.gg/9pTs2Bw
另外,_GrinCoins_和_GrinFans_两个电报群都是在 Grin 主网上线前后新组建的,目前分别有大约 1500 人和 2000 人。
而核心开发者主要所在的_Gitter_群虽然历史最久,但因为主要偏重开发以及 Grin 治理,目前为止也只有 3500 多人。链接:https://gitter.im/grin_community_
综上,客观地说,考虑各个社群可能有重复的人员,Grin 社群总人数估计在 1 万左右。和上面谣传的「只有 1 千人」还是有数量级的差距的。
但是无论如何,我们不应该将一个 Grin 这样的完全开源的非商业项目和动辄数万的商业公司的中心化社群人数相提并论。
误读 6
中国社区聚会 Grincon 是试图在中国炒作 Grin。
事实
Grincon 会议是 Grin 爱好者自发组织的线下会议,目前大多偏重研究和开发。最早的 Grincon0 发生在去年 11 月 9 日,在德国柏林举行,会议的组织者在 YouTube 上全场直播了这次会议。因为会议筹备充分,大部分非匿名的核心开发者都参加了这次会议。有趣的是,会议组织者还销售印有 Grin 笑脸图标的文化衫,并且全部收入都捐给了 Grin 开发资金。会议内容可参见网站:https://grincon.org/
此前和之后,全球各地的 Grin 爱好者组织也组织过不少小型的聚会。在 Grin 发布之后,各地还有多个庆祝活动,但规模都不大。
早在几个月之前,Grin 支持者就已经在筹划 1 月 28 日在美国旧金山的第一次 Grincon US 会议。为了支持 Grin,会议销售入场券,并承诺会议的所有收益将全部捐给 Grin 开发资金。前文讲过,Grin 项目是一个极为清贫的项目,参见前文所述。会议详情可参阅链接:https://grincon.us/
Grincon US 筹划和安排非常精细,邀请到了大部分开发者、Grin 背后的部分学术研究者、以及 Grin 生态中一些第三方项目开发方等做主题演讲。相比之下,Grincon 中国的第一次会议在 1 月 19 日组织时略显仓促,也没有看到专门的网站,并且因为时间仓促,只邀请到了一名 Grin 核心开发者 @garyyu 参加,而距离较远的其他核心开发者悉数缺席,和 Grincon US 的规模和影响相比相去甚远。
有人和媒体用阴谋论的方式拿这个中国聚会为理由,质疑 Grin 在「中国大势炒作」,显然不是事实。相比柏林和旧金山的 Grincon 会议规模以及学术气氛,中国的 Grin 会议内容极为单薄,人气也较低。
另外,甚至在某些品质堪忧的媒体上,还看到有评论宣称对 Grin 核心开发者出席 Grincon 中国会议表示失望。原文如下:
可以说这位做报告的 Gary 与想象中的「极客文化」、「密码朋克精神」有不小距离了。说好的纯匿名,说好的海外团队打造呢?莫非这位核心开发者仅仅是大中华区代表?
GitHub 上的个人资料显示, @garyyu 是一名新加坡的开发者,是华人。但是因为 Gary Yu 是华人,所以就用阴谋论的腔调宣称「Grin 是一个中国项目」,荒谬可笑可见一斑。如果 Grincon0 和 Grincon US 上露面的核心开发者们看到中国媒体如此这般的评论,不知该作何感想。
事实是,Grin 核心开发者中除了两名开发者匿名外 包括项目创始人,其余都公开身份,就如比特币的核心开发者除了中本聪和少数开发者之外,大多都是公开身份一样。
至于说「说好的海外团队打造」这种评论,多少有些崇洋媚外的自卑心理作祟。Grin 核心开发者中出现了一名黄皮肤黑头发的中国人这件事,难道不应该高兴和自豪才对?
除了以上几个显然是误读的信息,必须纠正之外,另外还有一些观点,我也希望能够澄清一下,与社区朋友多多交流交流。
待商榷的观点 1
Grin 无限发行等于无限期的通胀,竞争币层出不穷,Grin 的币价会长期保持下跌态势。原文摘录如下:
由于 Grin 的无限期通货膨胀机制,矿工将倾向于出售挖矿得来的 Grin,而 Grin 的币价长期来看还会保持下跌态势,因此 Grin 并不适用于投资者持有。在这种情况下,大部分投资者将缺乏购买 Grin 的意愿,而购买将是大部分用户使用 Grin 的前提,在竞争币层出不穷的背景下,Grin 的大规模普及、流通所需要的时间可能将极大地放缓,其成为通用支付货币的设想可能更加遥远。
Grin 的发行机制,蕴藏着通胀危机。
我的看法
先来看下 Grin 的 「无限期通货膨胀机制」。首先,我个人觉得 Grin 的无限线性发行机制并不能简单理解为「无限通胀」。
上图出自 @CryptoProfG 的一篇 Medium 博客文章,有兴趣的朋友不妨找来一读。
经过计算可以得出,到 2039 年,Grin 的年通胀率将是 5%;而等到 2059 年,这个数字将降低到 2.5%;等到了 2099 年,Grin 的年通胀率将变成 1.25%。如果对比 1935 年以来的美元,从 2039 年左右开始,Grin 的年通胀率就已经小于或远小于美元同期的通胀率了。
另外,重要的一点是,Grin 在开始 4 年的线性发行和比特币是一模一样的机制,只是 Grin 没有设计成像比特币一样每 4 年减半发行。主要原因是,Grin 的愿景是希望在流动性上超越比特币。
众所周知,比特币的流动性极低,日交易量只占现有比特币的 0.5%,而黄金的这一指标都能接近 3%。Grin 希望未来能有远远超过比特币的流动性指标。
希望可以通过以上澄清,能够消除「Grin 的发行机制,蕴藏着通胀危机」这一类的肤浅认识。
请允许我再来评论一下所谓「矿工将倾向于出售挖矿得来的 Grin」的说法。
到我写这篇东西的时候 2019 年 1 月 23 日为止,Grin 上线不足 8 天。如此短的时间,加上非常有限的 Grin 供应量,拿目前市场上 Grin 的交易信息判断其未来走势,没有任何意义。
任何一个密码货币的币价形成,都需要一个过程,取决于供需双方的博弈。除非有巨大的利益诱惑,有利可图,没有矿工会傻到在币价未正式形成之前大笔甩卖辛苦挖到的 Grin。
@kovalskee 在 Grin 主网上线之际在 Medium 上发表了一篇 Grin 的价格形成研究,有兴趣的朋友可以参阅,题目是「Price of Grin pre-launch」,里面有比较详细的分析。
不过需要声明:推荐阅读并不代表我完全同意文中的 Grin 价格预测,我推荐的是其分析问题的严肃和认真的态度。
最后,说一下「在竞争币层出不穷的背景下,Grin 的大规模普及、流通所需要的时间可能将极大地放缓,其成为通用支付货币的设想可能更加遥远」这个观点。
我真是佩服这位作者,Grin 才上线几天,Grin 社区中一些严肃的研究者都在做认真的分析和观察,偶尔小心翼翼地做出多种可能性的预测,而作者就如先知一般做出了果断的预测,无需论据考究,无需分析假设,真乃神人!
至于「在竞争币层出不穷的背景下」这个说法,我个人持保留意见。层出不穷的是各种名目的 ICO 才对。现实情况是,像 Grin 这样的项目难得一见。我能看到的事实是,Grin 社区中活跃着目前世界上最顶级的密码学术专家,他们支持 Grin 项目背后所采用的各项技术,对 Grin 的发展寄予厚望。
举个例子。1 月 28 日,在美国加州会举办一场 Grin 社区的聚会「Grincon」。如果真的了解密码学领域的大咖和牛人,就会明白这场聚会的意义。关于这场聚会的信息和购票可以访问这个网站:https://grincon.us/(备注:所有会议收入全部贡献给 Grin 开发资金。)
另外,我也想附上部分参会人员名单供真正懂行的朋友参考:
Grin 项目创始人 Ignotus Peverell
斯坦福大学教授 Dan Boneh BLS 签名的发明人,哥德尔奖获得者
Blockstream 数学家及比特币核心开发者 Andrew Poelstra
斯坦福大学博士 Benedikt Bunz
布谷鸟 PoW 算法发明者,计算机科学家及 Grin 核心开发者 John Tromp
Grin 核心开发者 Michael Cordner 即 @yeastplume
等等。
待商榷的观点 2
「币价大跌,大量套牢;短期会被大炒,长期看一文不值」。原文分别摘录如下:
Grin 的爆红,虽然不是一场精心策划的炒作,而是一场自发性炒作,但还是对 Grin 本身形成较大的伤害,其价格已然呈现出大涨大跌的态势,跌幅最高达到 97%,大量投资者被套牢并成为这场炒作的牺牲品。
匿名币很容易出现炒作行为,就好比曾经风光无限、单价被炒至 3000 BTC 的匿名币 Zcash。所以 Grin
在短期内会被大炒,但长期来看却「一文不值」。
Grin 团队对无限膨胀的 Grin 的定位为一种真正的日常生活中的货币,而不是像比特币那样作为一种价值储存手段。
我的看法
说实在话,我并不太关心具体的 Grin 币价以及涨跌。钱包决定思维。我必须声明,当前我的钱包中共有 Grin 100 枚,涨 10 倍我也发不了财,所以以下言论无关个人私利。
前几天,Grin 的全网算力最高到达 700K GPS,最低回落到 500K GPS,目前稳定在 600K GPS 左右,相当于 20 万 ~ 30 万块显卡在提供 Grin 算力。就目前的阶段而言虽然已经足够安全,但是相比 Grin 的影响力以及前期核心开发团队的 100 万块显卡的预测数据而言,这只是达到了 20%~30% 而已,总体还是偏低。
但是,关于「其价格已然呈现出大涨大跌的态势,跌幅最高达到 97%」的说法,值得商榷,只有了解了所谓「大涨大跌」的背景,才能明白这种「流言」实际意义不大。
我还是推荐上文提到的 @kovalskee 在 Grin 主网上线之前写的那篇文章,很好的分析了 Grin 价格形成的过程,以及未来的预期:
We don’t know how Grin’s first weeks, months or years will play out.However, Grin’s launch process as explained by the lead team is unique and clear. It will be slower vs「ICOs」due to no pre-mine. It is likely that each Grin coin will be highly valued initially — there will be few around and there’s much interest. Grin’s price could overshoot after mainnet launch, not necessary immediately but even in the months after opening.
翻译过来大概意思是说:
我们不知道 Grin 的开始几周、几个月、或者几年价格会怎么走。然而,Grin 团队对 Grin 独特的线性发行机制已经说得很清楚和明白了。由于没有预挖矿,也不像 ICO 模式一开始就有巨大的供应量,很可能一上市交易就会被过高地估价,因为一开始的供应量太少了,而感兴趣的人很多。 Grin 的价格在上线之初可能会过高,也许不是马上就看到,可能要几个月后才会出现 Grin 价格过高。
所以,刚上线时价格大幅波动并不令人意外,其实早有预见,毕竟供需总量都太少。将单个交易所出现过的极少的成交量所对应的每枚 Grin 币价格 100 美元作为依据,对外宣称「Grin 大跌 97%,大量投资者被套牢」,不科学、也极不负责。这只是制造醒目标题,吸引阅读量。
做标题党固然无可厚非,但是在文中将事情说清楚也好啊,结果后面再来一句「Grin 在短期内会被大炒,但长期来看却一文不值」,这种评论也不专业了,毫无可信度。
在这里,我附上某交易所的 100 美元初始无 微 量成交价的情况共供参考:
看到这个成交状况,在「100 美元」的价位基本没有成交量,拿这个成交价格说事情,没有任何意义。如果以此展开评论,称 「虽然 Grin 的设计机制围绕着公平出发的原则,但是随着币价的暴跌以及质疑声渐起,Grin 多日来的热潮正在逐步消退,在行业分歧与争议越来越大的情况下,它似乎正在越发远离设计初衷,更像是一场比谁跑得快的游戏,而狂热的投资者注定是这场游戏的牺牲者」,非常不严谨。
关于「Grin 团队对无限膨胀的 Grin 的定位为一种真正的日常生活中的货币,而不是像比特币那样作为一种价值储存手段」这种说法,前半句可以参考前文的解释,准确表述应该是「Grin 希望未来能有很好的流动性的指标特性」,后半句则又是一种歪曲和错误理解了。
Grin 社区中达成的共识是,希望通过线性发行机制,在提供公平的同时,还可以解决较早的一些隐私币出现的供应总量不足的问题,以及比特币流动性指标偏低的问题。
正如上面所提的 @kovalskee 的那篇「Price of Grin」的博文中所言:
In the first years it is mass distribution and adoption by merchants and services will be the key over time to realizing Grin’s vision, and over a long time horizon Grin can likely become a store of value. Perhaps that which will drive demand will be a single privacy- or micropayment-focused service「killer app」 the holy grail so highly sought out in the「crypto」space that will propel usage of Grin. Perhaps it’ll be an array of applications or use-cases focused on privacy. It might be in the developing world, in some authoritarian regime,in emerging markets, or in the West.
我就不完整翻译了,核心的意思是说「开始几年逐步被大量企业和服务所采用是世界意识到 Grin 美好 愿景的关键,可能 过了很久之后 Grin 能够成为一种 像比特币一样的 价值储存手段…」
简单来说,Grin 希望提供较好的流动性,Grin 希望币价相对稳定,但是从来没在社区中看到 Grin「不会成为价值储存手段」这样的说法。
相反,Grin 的发行机制设计希望在供应总量上能够解决较早的一些隐私币的总量偏小的问题。很显然,这是需要时间的。我就不展开讨论这个话题了,推荐有兴趣的朋友加入 Grin 论坛和 Grin 社群,那里有很多更有资格探讨这个经济学问题的专业人士。
待商榷的观点 3
Grin 的强匿名性使得它难以收到政府的认可。原文分别摘录如下:
Grin 强匿名性的特点可能也会使得它难以受到政府的认可。相比之下,比特币虽然也具有匿名性,但它的交易可追溯性一定程度上弱化了其匿名效果,比特币也正是因此被一些国家认可为货币或者纳入监管范围,这将是 Grin 未来进一步拓展的重要劣势。
Grin 的匿名属性,或成为绊脚石。
我的看法
这个问题只能拭目以待,目前来看,争辩无益。我只是想说, 经济发展和科技进步使得人们也越来越注重隐私,这似乎是人类文明发展的必然。
另外,「比特币虽然也具有匿名性,但它的交易可追溯性一定程度上弱化了其匿名效果,比特币也正是因此被一些国家认可为货币或者纳入监管范围」这个观点,我个人并不认同。
我认为这是常识性错误。我粗略翻看了一下各国的比特币政策,参见维基百科上「比特币在各国或地区的合法性」条目 https://zh.wikipedia.org,并没看到有哪个国家是根据比特币的匿名性强弱来决定开放和禁止的。
待商榷的观点 4
Grin 不该被推到「韭菜」面前。原文如下:
Grin 本该是一个暂时停留在极客圈子的玩具,却被推到了韭菜面前,无异于捧杀。
我的看法
关于「Grin 本该是一个暂时停留在极客圈子的玩具」,这句评论不知道是否同样适用于较早推出的门罗币和 Zcash?据我所知,并没听说门罗和 Zcash 曾经被视为「玩具」。
我非常认同的说法是,密码社区的朋友需要更多的了解 Grin 的特性,而不是跟风炒作。毕竟,Grin 的经济模型设计并不适合炒作。
前文讲过,Grin 在 2019 年 1 月 15 日发布之前,经过了 5 个测试网阶段,历时近两年半的时间。比起一年、甚至半年发币的 ICO 项目来说,显然是脚踏实地,兢兢业业。
至于「却被推到了韭菜面前,无异于捧杀」的说法,我的看法是,Grin 的愿景非常理想主义,但再美的理想也是要用现实来检验的,总要有推出的时候。历时 2 年半研究和开发,Grin 选择 2019 年 1 月发布,当为水到渠成之举。对于 Grin 的长远的发展之路,这又是一个新的开始。
Grin 主网的发布,获得了中外众多媒体的关注,有褒有贬,这本是好事。但是,所有的评论,应该站在了解事实的基础上,而不是以讹传讹。
至于 Grin 的投资价值,更是一个仁者见仁、智者见智的话题。
我希望密码货币的投资者,每个人都不是「韭菜」,不应该任由骗子宰割。但是,避免成为一个「韭菜」,最重要的是擦亮眼睛,了解准确的事实,不被虚假信息、流言、谣言和谎言欺骗。
作为一名 Grin 的爱好者,我希望通过这篇文章,澄清一些让我看来令人惊诧的对 Grin 的错误解读。 查看全部
一名 Grin 爱好者和 Grin 社区的长期深度潜水员为链闻发来一篇自己撰写的文章,一一澄清中文社区中充斥的关于 Grin 的不准确信息,以及作者的一些所观所感。我们发表这篇文章,希望给关注 Grin 发展的朋友一些有价值的信息。
撰文:Ginny
隐私币 Grin 的火爆引发了不少讨论,但是,也出现了不少似是而非的流言、谣言和谎言。
作为一名 Grin 的爱好者和 Grin 社区的长期深度潜水员,我把我看到的一些广泛传播的错误信息汇集于此,希望作一点点 Grin 科普,也算是给 Grin 贡献一点绵薄之力了。目的非常简单:对于任何项目,只有基于准确的事实,才能展开分析和讨论,否则,只能是以讹传讹。
误读 1
「Grin 不支持 ASIC 算法挖矿。」
事实
Grin 当然支持 ASIC 挖矿 ,只是截至目前,专门用于挖 Grin 的 ASIC 矿机还没有上市。从公开资料看,目前已经宣布的最早的 Grin 矿机初步计划是到 2019 年 10 月才能出货。
Grin 反对的是秘密的 ASIC 矿机研发和生产,因为秘密的 ASIC 研制和生产会导致算力集中。而一切公开的 ASIC 市场行为,都是受到 Grin 社区欢迎的。
Grin 从一开始就支持了双 PoW 算法,一个是抗 ASIC 的 cuck(AR)oo 算法,另一个是 ASIC 友好的 cuck(AT)oo 算法。其中,「AR」是「ASIC Resistant,抗 ASIC」的缩写;AT 是「ASIC Tuned / Tweaked / Targeted,支持 ASIC」的缩写。
在两种 PoW 算法的使用上,Grin 对两种 PoW 算法的区块占比做了自动化的动态分配:在主网上线之初,抗 ASIC 的 PoW 算法占 90% 的区块比例,支持 ASIC 的 PoW 算法占 10% 的区块比例;而后,在两年的时间内,抗 ASIC 的 PoW 算法的区块比例会从开始的 90% 比例逐步下降到 0%,而支持 ASIC 的 PoW 算法的区块比例会从开始的 10% 比例逐步上升到 100%。调整速度大约为抗 ASIC/ 支持 ASIC 的比例每 8 天各自下降 / 上升大约 1%。
经过这样的两年调整之后,Grin 将只剩下 ASIC 矿机,显卡矿机将退出 Grin 生态。
经过计算,大致的双 PoW 区块比例调整时间为:
2019/1/15—1/23 抗 ASIC 的 PoW 区块占 90%,支持 ASIC 的 PoW 区块占 10%
2019/1/23—1/31 抗 ASIC 的 PoW 区块占 89%,支持 ASIC 的 PoW 区块占 11%
2019/1/31—2/08 抗 ASIC 的 PoW 区块占 88%,支持 ASIC 的 PoW 区块占 12%
… …
2020/12/31—1/07 抗 ASIC 的 PoW 区块占 2%,支持 ASIC 的 PoW 区块占 98%
2021/1/07—1/15 抗 ASIC 的 PoW 区块占 1%,支持 ASIC 的 PoW 区块占 99%
2021/1/15 以后抗 ASIC 的 PoW 区块占 0%,支持 ASIC 的 PoW 区块占 100%
具体细节,可参阅 Grin 论坛上的信息:https://www.grin-forum.org/t/choice-of-asic-resistant-pow-for-gpu-miners/1017
为什么 Grin 会对 ASIC 持欢迎态度?这是来自 Grin 社区长期探讨、研究和最终达成的共识。
社区中的普遍共识是,ASIC 矿机的单位算力能耗是显卡矿机的数十分之一,而且 ASIC 矿机的单位算力成本也远远小于显卡矿机,因此,ASIC 矿机相比显卡矿机更加环保和经济。此外,从 Grin 的算力安全和避免 51% 攻击的角度而言,ASIC 矿机也会使得 Grin 的全网算力大幅提升,51% 攻击成本也将同步大幅提升,因此,Grin 会更加安全。
而设计两年的过渡期,是为了让 ASIC 芯片研发和制造商、矿机生产商能够更平滑地进入 Grin 生态。
必须指出,Grin 核心开发者和 Grin 社区提倡和欢迎公开的针对 Grin 的 PoW 算法的 ASIC 研发和生产,但直到有 ASIC 厂商自己公布研发和生产信息之前,并不清楚是否有厂商计划或正在研发 ASIC。原因也很简单:Grin 是一个开放的社区治理型项目,不附属于任何商业实体,也不会为任何商业实体背书,所有关于 Grin 矿机的开发活动,都是第三方自发行为。
Grin 社区也只能从公开信息获得关于矿机生产商的开发信息。我注意到,第一个公开宣布开发 ASIC Grin 矿机的是 Obelisk。该公司 2019 年 1 月 17 日宣布,将开发 Obelisk ASIC GRN1,具体信息,可参考 Obelisk 在 Medium 上的博客文章:「The Obelisk GRN1: An ASIC for Grin」。
误读 2
Grin 核心技术 MimbleWimble 诞生于比特币社区,但因比特币最重要是安全稳定无法用到。
曾经直面怒怼比特大陆和 BCH 的「矿霸」吴忌寒的比特币社群领导人 Cobra 即使对 Grin 赞赏有加,也毫不留情指出了其问题所在:「我认为如果 Mimblewimble 是如此的伟大,那么比特币侧链早就使用这样的技术了。任何技术都可以复制,但比特币网络不能复制。」
Cobra 指出了问题的核心所在:相较比特币, Grin 完全没有实质的进步。
事实
以上文字完全属于以讹传讹,甚至涉嫌移花接木!
我看到上述文字的时候的确也吃了一惊!不禁无比惊奇 Cobra 怎么会说出这么自相矛盾的话来?!
于是我努力找出出处。顺便提醒一下写这段文字的媒体朋友,请下次注明出处!害我一通好找!还算顺利,几分钟以后,我在 Cobra 1 月 16 日的 Twitter 上找到了,原文如下:
翻译版:「Grin 很容易成为比特币发布以来技术最先进,最引人入胜的加密货币。很有意思的是,我们看到比特币原教旨主义者据此积极推广 Grin。就个人而言,我个人是一个 Grin 的大粉丝,会买很多!」
这个推文是满怀赞许啊!所谓的 「Grin 完全没有实质的进步」的指责在哪里呢?
直到我看到这条推文下面的评论,我才恍然大悟。截屏如下:
原来,一名叫做「 cryptocorda」的人的对 @CobraBitcoin 推文进行了评论,和上述错误的中文翻译内容完全一致!
这下我终于明白了,原来是粗心的中文文章作者张冠李戴,将一个吃瓜粉丝在 Cobra 推文下面发的一条无知评论当成是 Cobra 的言论了。这简直是浪费时间!拜托这位作者朋友,下次别这么粗心好不?这样,在有意或无意间误导了读者,形同蓄意抹黑。
那么, Grin 在底层技术方面到底有没有实质进步?事实如何呢?
MimbleWimble 的确诞生于比特币社区,但是要在比特币中用 MimbleWimble 来增强隐私存在协议兼容性问题。比特币最终没有采纳 MimbleWimble 原因有很多方面。我认为最主要有两个原因:第一,MimbleWimble 协议不支持脚本;第二,MimbleWimble 协议没有钱包地址,交易是一种交互式交易。这些与比特币核心架构和设计相抵触,或者说完全不兼容。
我找到一篇发表于 2016 年 8 月 25 日的「古董」文,几乎是在白皮书投放的第一时间,就以中文介绍了 MimbleWimble 协议。这么早的介绍值得赞一个啊!有兴趣的可以参阅 @kyle 的这篇靠谱的介绍文章:「伏地魔发动咒语『Mimblewimble』帮助比特币解决扩容问题」,链接是:https://www.8btc.com/article/101630
或者,也可以去比较久远的 Reddit 上的 MimbleWimble 讨论组找到一些著名的比特币核心开发者们在 2016 年到 2017 年间的讨论。具体可以参见:https://www.reddit.com/r/Mimblewimble
通过阅读那些准确和深入的技术讨论,才能真正理解,为什么比特币没有实现 MimbleWimble 了。
至此,我相信 「相较比特币,Grin 完全没有实质的进步」这类说法,是无知的谣言。
Grin 的创新点和技术亮点,其实除了隐私保护,还有轻量、高效等等,以及发行政策。而且 Grin 依然在继续研究和开发,相信将来随着研究的进一步深入,会有更多特色功能推出。
误读 3
很多人以为 Grin 是集旷世技术之大成的惊天之币,真是疯狂。现在能用的匿名币都已经有好几个了, Grin 最慢出来,而且是最难用的,除了轻量级区块链这个亮点,能火靠的主要是情怀。
事实
我想先来讨论一下「Grin 最慢出来」这个说法。
看样子,这段文字的作者是把 Grin 和其它几个隐私币当成同一起跑线上的选手,是最晚一个跑到指定地点 即主网上线 的,所以可以评为「最慢」选手。
为了帮作者更容易看清楚信息,我用上表比较了一下比较早出现的几个具有代表性的隐私币,其中包括门罗币和 Zcash 的发布时间。
如果按照作者的逻辑,Zcash 也很慢呢!因为门罗币发布之后又过了两年半 Zcash 才发布。所以,问题其实在于作者在做毫无逻辑的时间比较,仿佛只要是隐私币,都是同样一个东西。
作者的头脑简单的一段评论只有两个词稍微靠谱一点:「轻量级」和「情怀」。不过作者的略带调侃的「能火靠的主要是情怀」中的情怀可不是比特币原教旨主义者所称道的 Grin 的「情怀」了。
我需要认真解释一下为什么 Grin「最慢」,即为什么 Grin 是 2019 年 1 月 15 日发布,而不是 2014 年,也不是 2016 年。
Grin 的底层协议用的是 MimbleWimble,而 MimbleWimble 白皮书是 2016 年 8 月 1 日发表的。所以,对不起了,再牛的开发者也赶不过同年 3 个月以后的 Zcash 发布了!
同年 10 月 21 日,Grin 开源项目创始人 Ignotus Peverell 在 Github 上提交了 Grin 的初始代码,并在 MimbleWimble 白皮书发布的同一个 IRC 上宣布了 Grin 项目成立。随后在 2 年多的时间里,吸引了 600 多名开发者参与 Grin 的开发讨论,并且 100 多名开发者直接贡献了代码到 Grin 的代码仓库。
次年,斯坦福大学博士Benedikt Bunz、伦敦大学学院的Jonathan Bootle博士 、斯坦福大学教授Dan BonehBLS 签名的发明人,哥德尔奖获得者,ACM Prize in Computing 2014 年得主、以及比特币核心开发者Pieter Wuille和Greg Maxwell博士 ,以及 Blockstream 的数学家Andrew Poelstra于 2017 年共同发表隐私交易密码学的重量级论文「Bulletproofs: Short Proofs for Confidential Transactions and More」,为非交互式零知识证明提供了一种新的构造方式,大大缩减了范围证明的大小,奠定了 Grin 的隐私交易最重要的基础之一。原始论文参见_2018 IEEE Symposium on Security and Privacy - S &P; 2018 pages 319-338._
也就是说,Grin 不仅仅是 2016 年 8 月 1 日的 MimbleWimble 白皮书,还集成了另外几项重量级的研究成果。除了上面说的 Bulletproofs 以外,还包括 Gregory Maxwell 博士等人 2018 年 1 月发表的 Schnorr-based MuSig 签名方案;参见论文 「Simple Schnorr Multi-Signatures with Applications to Bitcoin」https://eprint.iacr.org/2018/068.pdf
Giulia Fanti 等人于 2018 年 5 月发表的 Dandelion++,进一步保护交易隐私,等等。在此就不一个一个罗列下去了。
为了保证安全和质量,Grin 做了长期的测试工作,主网发布之前共经历了 5 个测试网,从 2017 年 11 月发布的 Testnet1 ,直到最近的 Tesetnet4 以及永久性的测试网 Floonet。
综上所述,Grin 在 2019 年 1 月 15 日发布主网可以说是历经艰辛,在这中间,学术研究和开发以及测试同步进行,不断迭代,最终水到渠成的结果。
说 Grin 是「集旷世技术之大成的惊天之币」固然过于夸张,但是,我认为:Grin 既是区块链隐私保护技术发展的重要里程碑,也是整个区块链技术发展过程中的重要里程碑!Grin 的发布不光是靠一群核心开发者,Grin 背后的一批密码学者和比特币研究者以及整个 Grin 社区的共同努力,才终于在 MimbleWimble 白皮书发布大约 2 年半之后推出了 Grin。
这里还值得强调的一点是,Grin 的核心开发者除了其中一名靠募捐拿了一点点基本「工资」以外 确切来说,是一年零 1 个月时间募集了 12 万欧元,其他开发者全部都是免费为 Grin 开发。而且核心开发者一共才 8 个人,近一半人还是兼职开发。
所以,以后想说 Grin 慢的朋友请先搞清楚 Grin 是什么,然后把位子摆得稍微公允一点再评论不迟。
关于 Grin 的发展经历,一个热心的 Grin 粉丝还为此特意做了一个网站:https://grinhistory.info
再来说一下「Grin 是最难用的」这个说法。我并不知道该作者到底有没有「用过」Grin。如果真用过了,那么是和哪些币做过对比,之后发现 Grin 相比而言最难用?具体难用在哪些地方?
我期待听到真正的 Grin 使用者提供的反馈,同时,也坚决反对泛泛而谈的莫须有的责备。
最后,来点评一下「情怀」二字。
Grin 之所以被比特币原教旨主义者力挺,除了技术先进性之外,最重要的一个因素就是这个「情怀」。
什么是 Grin 的情怀?
Grin 继承了几乎所有令比特币如此强大的社会特性:匿名创始人、无领导的团队、PoW、无 ICO、无预挖矿、无开发税等,以及,致敬中本聪。这就是 Grin 的情怀!
在 2016 年至 2018 年这三年间,正是 ICO 横行大把捞钱的时代,Grin 开发者们坚守阵地,埋头研究和开发,成为近年来所有加密货币开发项目中最清贫的项目团队。
必须指出,在 Grin 项目展开的这 2 年半的时间,Grin 社区累计募捐大约 12 万欧元 +17 个比特币,其中 17 个比特币是用于代码安全审计的专项资金,12 万欧元是给其中一名核心开发者 @yeastplume 一年的基本工资。
这个清贫的团队,花了 2 年半的时间保质保量地将 Grin 项目开发完成,并公平地发布,这就是被比特币原教旨主义者所称道的 Grin 情怀!
所以,调侃 Grin「能火靠的主要是情怀」的评论者们显然并不明白「情怀」的含有具体指的是什么。我强烈建议、也鼓励对 Grin 项目感兴趣的朋友多多参与 Grin 社区各种互动,多多与 Grin 核心团队成员交流。你对这个项目了解更多,你就越会理解 Grin 社区的「情怀」究竟是什么。
误读 4
「回归去中心化」的初心,还是进一步中心化?如果是另一个团队,这个名字或许只是巧合;但一个哈利波特的粉丝团队为自己的成果起名为「Grin」,其背后含义就让人不得不深思了。
Grin 是《哈利·波特》系列中第一代黑魔王格林德沃 Grindelwald 的简写,而格林德沃一直以来倡导强者天然有统治弱者的权力,这听起来作为比特币继承人有点不太恰当。
事实
作者显然不了解 Grin 的名字由来。
Grin 和哈利波特的关系相信大家都已经了解了:Grin 底层协议是 MimbleWimble,这个 MimbleWimble 的名字是出自哈利波特书中的一句魔法咒语,可以让人舌头打结说不了话。MimbleWimble 协议的作者是匿名的,发布白皮书以后就再也没有出现过了,其起名的本意已经无人得知了。人们猜测,这个名字可能意思是使用这个协议以后就可以实现隐私交易功能,就像念了咒语让人保守秘密一样。
而 Grin 的名字据信来自「Gringotts Wizarding Bank」,在哈利波特一书中是「the only bank of the wizarding world」,意思是「魔法世界的唯一银行」。
所以,将项目命名为 Grin 是取其「银行」之意,还蛮贴切的。所以,简单一句话就解释好了。希望今后不要再妖魔化 Grin 了啊,和黑魔王什么的毫无关系。
误读 5
Grin 社区关注量极少,只有一千多人。
事实
首先要说明下,Grin 项目完全不同于任何商业项目,不做商业推广,即现在和将来都不会砸钱买流量买粉丝。
在 Grin 约两年半的开发过程中,Grin 爱好者自发组建了多个社交群组。其中,比较早的 Discord 群目前有 6 千多名关注者。链接:https://discord.gg/9pTs2Bw
另外,_GrinCoins_和_GrinFans_两个电报群都是在 Grin 主网上线前后新组建的,目前分别有大约 1500 人和 2000 人。
而核心开发者主要所在的_Gitter_群虽然历史最久,但因为主要偏重开发以及 Grin 治理,目前为止也只有 3500 多人。链接:https://gitter.im/grin_community_
综上,客观地说,考虑各个社群可能有重复的人员,Grin 社群总人数估计在 1 万左右。和上面谣传的「只有 1 千人」还是有数量级的差距的。
但是无论如何,我们不应该将一个 Grin 这样的完全开源的非商业项目和动辄数万的商业公司的中心化社群人数相提并论。
误读 6
中国社区聚会 Grincon 是试图在中国炒作 Grin。
事实
Grincon 会议是 Grin 爱好者自发组织的线下会议,目前大多偏重研究和开发。最早的 Grincon0 发生在去年 11 月 9 日,在德国柏林举行,会议的组织者在 YouTube 上全场直播了这次会议。因为会议筹备充分,大部分非匿名的核心开发者都参加了这次会议。有趣的是,会议组织者还销售印有 Grin 笑脸图标的文化衫,并且全部收入都捐给了 Grin 开发资金。会议内容可参见网站:https://grincon.org/
此前和之后,全球各地的 Grin 爱好者组织也组织过不少小型的聚会。在 Grin 发布之后,各地还有多个庆祝活动,但规模都不大。
早在几个月之前,Grin 支持者就已经在筹划 1 月 28 日在美国旧金山的第一次 Grincon US 会议。为了支持 Grin,会议销售入场券,并承诺会议的所有收益将全部捐给 Grin 开发资金。前文讲过,Grin 项目是一个极为清贫的项目,参见前文所述。会议详情可参阅链接:https://grincon.us/
Grincon US 筹划和安排非常精细,邀请到了大部分开发者、Grin 背后的部分学术研究者、以及 Grin 生态中一些第三方项目开发方等做主题演讲。相比之下,Grincon 中国的第一次会议在 1 月 19 日组织时略显仓促,也没有看到专门的网站,并且因为时间仓促,只邀请到了一名 Grin 核心开发者 @garyyu 参加,而距离较远的其他核心开发者悉数缺席,和 Grincon US 的规模和影响相比相去甚远。
有人和媒体用阴谋论的方式拿这个中国聚会为理由,质疑 Grin 在「中国大势炒作」,显然不是事实。相比柏林和旧金山的 Grincon 会议规模以及学术气氛,中国的 Grin 会议内容极为单薄,人气也较低。
另外,甚至在某些品质堪忧的媒体上,还看到有评论宣称对 Grin 核心开发者出席 Grincon 中国会议表示失望。原文如下:
可以说这位做报告的 Gary 与想象中的「极客文化」、「密码朋克精神」有不小距离了。说好的纯匿名,说好的海外团队打造呢?莫非这位核心开发者仅仅是大中华区代表?
GitHub 上的个人资料显示, @garyyu 是一名新加坡的开发者,是华人。但是因为 Gary Yu 是华人,所以就用阴谋论的腔调宣称「Grin 是一个中国项目」,荒谬可笑可见一斑。如果 Grincon0 和 Grincon US 上露面的核心开发者们看到中国媒体如此这般的评论,不知该作何感想。
事实是,Grin 核心开发者中除了两名开发者匿名外 包括项目创始人,其余都公开身份,就如比特币的核心开发者除了中本聪和少数开发者之外,大多都是公开身份一样。
至于说「说好的海外团队打造」这种评论,多少有些崇洋媚外的自卑心理作祟。Grin 核心开发者中出现了一名黄皮肤黑头发的中国人这件事,难道不应该高兴和自豪才对?
除了以上几个显然是误读的信息,必须纠正之外,另外还有一些观点,我也希望能够澄清一下,与社区朋友多多交流交流。
待商榷的观点 1
Grin 无限发行等于无限期的通胀,竞争币层出不穷,Grin 的币价会长期保持下跌态势。原文摘录如下:
由于 Grin 的无限期通货膨胀机制,矿工将倾向于出售挖矿得来的 Grin,而 Grin 的币价长期来看还会保持下跌态势,因此 Grin 并不适用于投资者持有。在这种情况下,大部分投资者将缺乏购买 Grin 的意愿,而购买将是大部分用户使用 Grin 的前提,在竞争币层出不穷的背景下,Grin 的大规模普及、流通所需要的时间可能将极大地放缓,其成为通用支付货币的设想可能更加遥远。
Grin 的发行机制,蕴藏着通胀危机。
我的看法
先来看下 Grin 的 「无限期通货膨胀机制」。首先,我个人觉得 Grin 的无限线性发行机制并不能简单理解为「无限通胀」。
上图出自 @CryptoProfG 的一篇 Medium 博客文章,有兴趣的朋友不妨找来一读。
经过计算可以得出,到 2039 年,Grin 的年通胀率将是 5%;而等到 2059 年,这个数字将降低到 2.5%;等到了 2099 年,Grin 的年通胀率将变成 1.25%。如果对比 1935 年以来的美元,从 2039 年左右开始,Grin 的年通胀率就已经小于或远小于美元同期的通胀率了。
另外,重要的一点是,Grin 在开始 4 年的线性发行和比特币是一模一样的机制,只是 Grin 没有设计成像比特币一样每 4 年减半发行。主要原因是,Grin 的愿景是希望在流动性上超越比特币。
众所周知,比特币的流动性极低,日交易量只占现有比特币的 0.5%,而黄金的这一指标都能接近 3%。Grin 希望未来能有远远超过比特币的流动性指标。
希望可以通过以上澄清,能够消除「Grin 的发行机制,蕴藏着通胀危机」这一类的肤浅认识。
请允许我再来评论一下所谓「矿工将倾向于出售挖矿得来的 Grin」的说法。
到我写这篇东西的时候 2019 年 1 月 23 日为止,Grin 上线不足 8 天。如此短的时间,加上非常有限的 Grin 供应量,拿目前市场上 Grin 的交易信息判断其未来走势,没有任何意义。
任何一个密码货币的币价形成,都需要一个过程,取决于供需双方的博弈。除非有巨大的利益诱惑,有利可图,没有矿工会傻到在币价未正式形成之前大笔甩卖辛苦挖到的 Grin。
@kovalskee 在 Grin 主网上线之际在 Medium 上发表了一篇 Grin 的价格形成研究,有兴趣的朋友可以参阅,题目是「Price of Grin pre-launch」,里面有比较详细的分析。
不过需要声明:推荐阅读并不代表我完全同意文中的 Grin 价格预测,我推荐的是其分析问题的严肃和认真的态度。
最后,说一下「在竞争币层出不穷的背景下,Grin 的大规模普及、流通所需要的时间可能将极大地放缓,其成为通用支付货币的设想可能更加遥远」这个观点。
我真是佩服这位作者,Grin 才上线几天,Grin 社区中一些严肃的研究者都在做认真的分析和观察,偶尔小心翼翼地做出多种可能性的预测,而作者就如先知一般做出了果断的预测,无需论据考究,无需分析假设,真乃神人!
至于「在竞争币层出不穷的背景下」这个说法,我个人持保留意见。层出不穷的是各种名目的 ICO 才对。现实情况是,像 Grin 这样的项目难得一见。我能看到的事实是,Grin 社区中活跃着目前世界上最顶级的密码学术专家,他们支持 Grin 项目背后所采用的各项技术,对 Grin 的发展寄予厚望。
举个例子。1 月 28 日,在美国加州会举办一场 Grin 社区的聚会「Grincon」。如果真的了解密码学领域的大咖和牛人,就会明白这场聚会的意义。关于这场聚会的信息和购票可以访问这个网站:https://grincon.us/(备注:所有会议收入全部贡献给 Grin 开发资金。)
另外,我也想附上部分参会人员名单供真正懂行的朋友参考:
Grin 项目创始人 Ignotus Peverell
斯坦福大学教授 Dan Boneh BLS 签名的发明人,哥德尔奖获得者
Blockstream 数学家及比特币核心开发者 Andrew Poelstra
斯坦福大学博士 Benedikt Bunz
布谷鸟 PoW 算法发明者,计算机科学家及 Grin 核心开发者 John Tromp
Grin 核心开发者 Michael Cordner 即 @yeastplume
等等。
待商榷的观点 2
「币价大跌,大量套牢;短期会被大炒,长期看一文不值」。原文分别摘录如下:
Grin 的爆红,虽然不是一场精心策划的炒作,而是一场自发性炒作,但还是对 Grin 本身形成较大的伤害,其价格已然呈现出大涨大跌的态势,跌幅最高达到 97%,大量投资者被套牢并成为这场炒作的牺牲品。
匿名币很容易出现炒作行为,就好比曾经风光无限、单价被炒至 3000 BTC 的匿名币 Zcash。所以 Grin
在短期内会被大炒,但长期来看却「一文不值」。
Grin 团队对无限膨胀的 Grin 的定位为一种真正的日常生活中的货币,而不是像比特币那样作为一种价值储存手段。
我的看法
说实在话,我并不太关心具体的 Grin 币价以及涨跌。钱包决定思维。我必须声明,当前我的钱包中共有 Grin 100 枚,涨 10 倍我也发不了财,所以以下言论无关个人私利。
前几天,Grin 的全网算力最高到达 700K GPS,最低回落到 500K GPS,目前稳定在 600K GPS 左右,相当于 20 万 ~ 30 万块显卡在提供 Grin 算力。就目前的阶段而言虽然已经足够安全,但是相比 Grin 的影响力以及前期核心开发团队的 100 万块显卡的预测数据而言,这只是达到了 20%~30% 而已,总体还是偏低。
但是,关于「其价格已然呈现出大涨大跌的态势,跌幅最高达到 97%」的说法,值得商榷,只有了解了所谓「大涨大跌」的背景,才能明白这种「流言」实际意义不大。
我还是推荐上文提到的 @kovalskee 在 Grin 主网上线之前写的那篇文章,很好的分析了 Grin 价格形成的过程,以及未来的预期:
We don’t know how Grin’s first weeks, months or years will play out.However, Grin’s launch process as explained by the lead team is unique and clear. It will be slower vs「ICOs」due to no pre-mine. It is likely that each Grin coin will be highly valued initially — there will be few around and there’s much interest. Grin’s price could overshoot after mainnet launch, not necessary immediately but even in the months after opening.
翻译过来大概意思是说:
我们不知道 Grin 的开始几周、几个月、或者几年价格会怎么走。然而,Grin 团队对 Grin 独特的线性发行机制已经说得很清楚和明白了。由于没有预挖矿,也不像 ICO 模式一开始就有巨大的供应量,很可能一上市交易就会被过高地估价,因为一开始的供应量太少了,而感兴趣的人很多。 Grin 的价格在上线之初可能会过高,也许不是马上就看到,可能要几个月后才会出现 Grin 价格过高。
所以,刚上线时价格大幅波动并不令人意外,其实早有预见,毕竟供需总量都太少。将单个交易所出现过的极少的成交量所对应的每枚 Grin 币价格 100 美元作为依据,对外宣称「Grin 大跌 97%,大量投资者被套牢」,不科学、也极不负责。这只是制造醒目标题,吸引阅读量。
做标题党固然无可厚非,但是在文中将事情说清楚也好啊,结果后面再来一句「Grin 在短期内会被大炒,但长期来看却一文不值」,这种评论也不专业了,毫无可信度。
在这里,我附上某交易所的 100 美元初始无 微 量成交价的情况共供参考:
看到这个成交状况,在「100 美元」的价位基本没有成交量,拿这个成交价格说事情,没有任何意义。如果以此展开评论,称 「虽然 Grin 的设计机制围绕着公平出发的原则,但是随着币价的暴跌以及质疑声渐起,Grin 多日来的热潮正在逐步消退,在行业分歧与争议越来越大的情况下,它似乎正在越发远离设计初衷,更像是一场比谁跑得快的游戏,而狂热的投资者注定是这场游戏的牺牲者」,非常不严谨。
关于「Grin 团队对无限膨胀的 Grin 的定位为一种真正的日常生活中的货币,而不是像比特币那样作为一种价值储存手段」这种说法,前半句可以参考前文的解释,准确表述应该是「Grin 希望未来能有很好的流动性的指标特性」,后半句则又是一种歪曲和错误理解了。
Grin 社区中达成的共识是,希望通过线性发行机制,在提供公平的同时,还可以解决较早的一些隐私币出现的供应总量不足的问题,以及比特币流动性指标偏低的问题。
正如上面所提的 @kovalskee 的那篇「Price of Grin」的博文中所言:
In the first years it is mass distribution and adoption by merchants and services will be the key over time to realizing Grin’s vision, and over a long time horizon Grin can likely become a store of value. Perhaps that which will drive demand will be a single privacy- or micropayment-focused service「killer app」 the holy grail so highly sought out in the「crypto」space that will propel usage of Grin. Perhaps it’ll be an array of applications or use-cases focused on privacy. It might be in the developing world, in some authoritarian regime,in emerging markets, or in the West.
我就不完整翻译了,核心的意思是说「开始几年逐步被大量企业和服务所采用是世界意识到 Grin 美好 愿景的关键,可能 过了很久之后 Grin 能够成为一种 像比特币一样的 价值储存手段…」
简单来说,Grin 希望提供较好的流动性,Grin 希望币价相对稳定,但是从来没在社区中看到 Grin「不会成为价值储存手段」这样的说法。
相反,Grin 的发行机制设计希望在供应总量上能够解决较早的一些隐私币的总量偏小的问题。很显然,这是需要时间的。我就不展开讨论这个话题了,推荐有兴趣的朋友加入 Grin 论坛和 Grin 社群,那里有很多更有资格探讨这个经济学问题的专业人士。
待商榷的观点 3
Grin 的强匿名性使得它难以收到政府的认可。原文分别摘录如下:
Grin 强匿名性的特点可能也会使得它难以受到政府的认可。相比之下,比特币虽然也具有匿名性,但它的交易可追溯性一定程度上弱化了其匿名效果,比特币也正是因此被一些国家认可为货币或者纳入监管范围,这将是 Grin 未来进一步拓展的重要劣势。
Grin 的匿名属性,或成为绊脚石。
我的看法
这个问题只能拭目以待,目前来看,争辩无益。我只是想说, 经济发展和科技进步使得人们也越来越注重隐私,这似乎是人类文明发展的必然。
另外,「比特币虽然也具有匿名性,但它的交易可追溯性一定程度上弱化了其匿名效果,比特币也正是因此被一些国家认可为货币或者纳入监管范围」这个观点,我个人并不认同。
我认为这是常识性错误。我粗略翻看了一下各国的比特币政策,参见维基百科上「比特币在各国或地区的合法性」条目 https://zh.wikipedia.org,并没看到有哪个国家是根据比特币的匿名性强弱来决定开放和禁止的。
待商榷的观点 4
Grin 不该被推到「韭菜」面前。原文如下:
Grin 本该是一个暂时停留在极客圈子的玩具,却被推到了韭菜面前,无异于捧杀。
我的看法
关于「Grin 本该是一个暂时停留在极客圈子的玩具」,这句评论不知道是否同样适用于较早推出的门罗币和 Zcash?据我所知,并没听说门罗和 Zcash 曾经被视为「玩具」。
我非常认同的说法是,密码社区的朋友需要更多的了解 Grin 的特性,而不是跟风炒作。毕竟,Grin 的经济模型设计并不适合炒作。
前文讲过,Grin 在 2019 年 1 月 15 日发布之前,经过了 5 个测试网阶段,历时近两年半的时间。比起一年、甚至半年发币的 ICO 项目来说,显然是脚踏实地,兢兢业业。
至于「却被推到了韭菜面前,无异于捧杀」的说法,我的看法是,Grin 的愿景非常理想主义,但再美的理想也是要用现实来检验的,总要有推出的时候。历时 2 年半研究和开发,Grin 选择 2019 年 1 月发布,当为水到渠成之举。对于 Grin 的长远的发展之路,这又是一个新的开始。
Grin 主网的发布,获得了中外众多媒体的关注,有褒有贬,这本是好事。但是,所有的评论,应该站在了解事实的基础上,而不是以讹传讹。
至于 Grin 的投资价值,更是一个仁者见仁、智者见智的话题。
我希望密码货币的投资者,每个人都不是「韭菜」,不应该任由骗子宰割。但是,避免成为一个「韭菜」,最重要的是擦亮眼睛,了解准确的事实,不被虚假信息、流言、谣言和谎言欺骗。
作为一名 Grin 的爱好者,我希望通过这篇文章,澄清一些让我看来令人惊诧的对 Grin 的错误解读。 查看全部
链闻是最早关注并报道隐私币 Grin 的中文媒体之一。我们投入精力关注这个项目的原因非常简单:我们相信,注重隐私保护的 MimbleWimble 协议是密码世界中一项重要的技术创新结晶。而 Grin,是最早开始完善并让该协议真正实现的项目。这个项目极具特点,一小队理想主义者,用近乎笨拙和原始的方式,在一个已经混入太多沽名钓誉者的密码世界中试图建立一个纯碎的乌托邦。随着 Grin 上线,中国的区块链社区中出现大量关于 Grin 的讨论,这些讨论不乏真知灼见,但也有不少荒谬的、杜撰出来只为了吸引眼球的流言和谣言。
一名 Grin 爱好者和 Grin 社区的长期深度潜水员为链闻发来一篇自己撰写的文章,一一澄清中文社区中充斥的关于 Grin 的不准确信息,以及作者的一些所观所感。我们发表这篇文章,希望给关注 Grin 发展的朋友一些有价值的信息。
撰文:Ginny
隐私币 Grin 的火爆引发了不少讨论,但是,也出现了不少似是而非的流言、谣言和谎言。
作为一名 Grin 的爱好者和 Grin 社区的长期深度潜水员,我把我看到的一些广泛传播的错误信息汇集于此,希望作一点点 Grin 科普,也算是给 Grin 贡献一点绵薄之力了。目的非常简单:对于任何项目,只有基于准确的事实,才能展开分析和讨论,否则,只能是以讹传讹。
误读 1
「Grin 不支持 ASIC 算法挖矿。」
事实
Grin 当然支持 ASIC 挖矿 ,只是截至目前,专门用于挖 Grin 的 ASIC 矿机还没有上市。从公开资料看,目前已经宣布的最早的 Grin 矿机初步计划是到 2019 年 10 月才能出货。
Grin 反对的是秘密的 ASIC 矿机研发和生产,因为秘密的 ASIC 研制和生产会导致算力集中。而一切公开的 ASIC 市场行为,都是受到 Grin 社区欢迎的。
Grin 从一开始就支持了双 PoW 算法,一个是抗 ASIC 的 cuck(AR)oo 算法,另一个是 ASIC 友好的 cuck(AT)oo 算法。其中,「AR」是「ASIC Resistant,抗 ASIC」的缩写;AT 是「ASIC Tuned / Tweaked / Targeted,支持 ASIC」的缩写。
在两种 PoW 算法的使用上,Grin 对两种 PoW 算法的区块占比做了自动化的动态分配:在主网上线之初,抗 ASIC 的 PoW 算法占 90% 的区块比例,支持 ASIC 的 PoW 算法占 10% 的区块比例;而后,在两年的时间内,抗 ASIC 的 PoW 算法的区块比例会从开始的 90% 比例逐步下降到 0%,而支持 ASIC 的 PoW 算法的区块比例会从开始的 10% 比例逐步上升到 100%。调整速度大约为抗 ASIC/ 支持 ASIC 的比例每 8 天各自下降 / 上升大约 1%。
经过这样的两年调整之后,Grin 将只剩下 ASIC 矿机,显卡矿机将退出 Grin 生态。
经过计算,大致的双 PoW 区块比例调整时间为:
2019/1/15—1/23 抗 ASIC 的 PoW 区块占 90%,支持 ASIC 的 PoW 区块占 10%
2019/1/23—1/31 抗 ASIC 的 PoW 区块占 89%,支持 ASIC 的 PoW 区块占 11%
2019/1/31—2/08 抗 ASIC 的 PoW 区块占 88%,支持 ASIC 的 PoW 区块占 12%
… …
2020/12/31—1/07 抗 ASIC 的 PoW 区块占 2%,支持 ASIC 的 PoW 区块占 98%
2021/1/07—1/15 抗 ASIC 的 PoW 区块占 1%,支持 ASIC 的 PoW 区块占 99%
2021/1/15 以后抗 ASIC 的 PoW 区块占 0%,支持 ASIC 的 PoW 区块占 100%
具体细节,可参阅 Grin 论坛上的信息:https://www.grin-forum.org/t/choice-of-asic-resistant-pow-for-gpu-miners/1017
为什么 Grin 会对 ASIC 持欢迎态度?这是来自 Grin 社区长期探讨、研究和最终达成的共识。
社区中的普遍共识是,ASIC 矿机的单位算力能耗是显卡矿机的数十分之一,而且 ASIC 矿机的单位算力成本也远远小于显卡矿机,因此,ASIC 矿机相比显卡矿机更加环保和经济。此外,从 Grin 的算力安全和避免 51% 攻击的角度而言,ASIC 矿机也会使得 Grin 的全网算力大幅提升,51% 攻击成本也将同步大幅提升,因此,Grin 会更加安全。
而设计两年的过渡期,是为了让 ASIC 芯片研发和制造商、矿机生产商能够更平滑地进入 Grin 生态。
必须指出,Grin 核心开发者和 Grin 社区提倡和欢迎公开的针对 Grin 的 PoW 算法的 ASIC 研发和生产,但直到有 ASIC 厂商自己公布研发和生产信息之前,并不清楚是否有厂商计划或正在研发 ASIC。原因也很简单:Grin 是一个开放的社区治理型项目,不附属于任何商业实体,也不会为任何商业实体背书,所有关于 Grin 矿机的开发活动,都是第三方自发行为。
Grin 社区也只能从公开信息获得关于矿机生产商的开发信息。我注意到,第一个公开宣布开发 ASIC Grin 矿机的是 Obelisk。该公司 2019 年 1 月 17 日宣布,将开发 Obelisk ASIC GRN1,具体信息,可参考 Obelisk 在 Medium 上的博客文章:「The Obelisk GRN1: An ASIC for Grin」。
误读 2
Grin 核心技术 MimbleWimble 诞生于比特币社区,但因比特币最重要是安全稳定无法用到。
曾经直面怒怼比特大陆和 BCH 的「矿霸」吴忌寒的比特币社群领导人 Cobra 即使对 Grin 赞赏有加,也毫不留情指出了其问题所在:「我认为如果 Mimblewimble 是如此的伟大,那么比特币侧链早就使用这样的技术了。任何技术都可以复制,但比特币网络不能复制。」
Cobra 指出了问题的核心所在:相较比特币, Grin 完全没有实质的进步。
事实
以上文字完全属于以讹传讹,甚至涉嫌移花接木!
我看到上述文字的时候的确也吃了一惊!不禁无比惊奇 Cobra 怎么会说出这么自相矛盾的话来?!
于是我努力找出出处。顺便提醒一下写这段文字的媒体朋友,请下次注明出处!害我一通好找!还算顺利,几分钟以后,我在 Cobra 1 月 16 日的 Twitter 上找到了,原文如下:
翻译版:「Grin 很容易成为比特币发布以来技术最先进,最引人入胜的加密货币。很有意思的是,我们看到比特币原教旨主义者据此积极推广 Grin。就个人而言,我个人是一个 Grin 的大粉丝,会买很多!」
这个推文是满怀赞许啊!所谓的 「Grin 完全没有实质的进步」的指责在哪里呢?
直到我看到这条推文下面的评论,我才恍然大悟。截屏如下:
原来,一名叫做「 cryptocorda」的人的对 @CobraBitcoin 推文进行了评论,和上述错误的中文翻译内容完全一致!
这下我终于明白了,原来是粗心的中文文章作者张冠李戴,将一个吃瓜粉丝在 Cobra 推文下面发的一条无知评论当成是 Cobra 的言论了。这简直是浪费时间!拜托这位作者朋友,下次别这么粗心好不?这样,在有意或无意间误导了读者,形同蓄意抹黑。
那么, Grin 在底层技术方面到底有没有实质进步?事实如何呢?
MimbleWimble 的确诞生于比特币社区,但是要在比特币中用 MimbleWimble 来增强隐私存在协议兼容性问题。比特币最终没有采纳 MimbleWimble 原因有很多方面。我认为最主要有两个原因:第一,MimbleWimble 协议不支持脚本;第二,MimbleWimble 协议没有钱包地址,交易是一种交互式交易。这些与比特币核心架构和设计相抵触,或者说完全不兼容。
我找到一篇发表于 2016 年 8 月 25 日的「古董」文,几乎是在白皮书投放的第一时间,就以中文介绍了 MimbleWimble 协议。这么早的介绍值得赞一个啊!有兴趣的可以参阅 @kyle 的这篇靠谱的介绍文章:「伏地魔发动咒语『Mimblewimble』帮助比特币解决扩容问题」,链接是:https://www.8btc.com/article/101630
或者,也可以去比较久远的 Reddit 上的 MimbleWimble 讨论组找到一些著名的比特币核心开发者们在 2016 年到 2017 年间的讨论。具体可以参见:https://www.reddit.com/r/Mimblewimble
通过阅读那些准确和深入的技术讨论,才能真正理解,为什么比特币没有实现 MimbleWimble 了。
至此,我相信 「相较比特币,Grin 完全没有实质的进步」这类说法,是无知的谣言。
Grin 的创新点和技术亮点,其实除了隐私保护,还有轻量、高效等等,以及发行政策。而且 Grin 依然在继续研究和开发,相信将来随着研究的进一步深入,会有更多特色功能推出。
误读 3
很多人以为 Grin 是集旷世技术之大成的惊天之币,真是疯狂。现在能用的匿名币都已经有好几个了, Grin 最慢出来,而且是最难用的,除了轻量级区块链这个亮点,能火靠的主要是情怀。
事实
我想先来讨论一下「Grin 最慢出来」这个说法。
看样子,这段文字的作者是把 Grin 和其它几个隐私币当成同一起跑线上的选手,是最晚一个跑到指定地点 即主网上线 的,所以可以评为「最慢」选手。
为了帮作者更容易看清楚信息,我用上表比较了一下比较早出现的几个具有代表性的隐私币,其中包括门罗币和 Zcash 的发布时间。
如果按照作者的逻辑,Zcash 也很慢呢!因为门罗币发布之后又过了两年半 Zcash 才发布。所以,问题其实在于作者在做毫无逻辑的时间比较,仿佛只要是隐私币,都是同样一个东西。
作者的头脑简单的一段评论只有两个词稍微靠谱一点:「轻量级」和「情怀」。不过作者的略带调侃的「能火靠的主要是情怀」中的情怀可不是比特币原教旨主义者所称道的 Grin 的「情怀」了。
我需要认真解释一下为什么 Grin「最慢」,即为什么 Grin 是 2019 年 1 月 15 日发布,而不是 2014 年,也不是 2016 年。
Grin 的底层协议用的是 MimbleWimble,而 MimbleWimble 白皮书是 2016 年 8 月 1 日发表的。所以,对不起了,再牛的开发者也赶不过同年 3 个月以后的 Zcash 发布了!
同年 10 月 21 日,Grin 开源项目创始人 Ignotus Peverell 在 Github 上提交了 Grin 的初始代码,并在 MimbleWimble 白皮书发布的同一个 IRC 上宣布了 Grin 项目成立。随后在 2 年多的时间里,吸引了 600 多名开发者参与 Grin 的开发讨论,并且 100 多名开发者直接贡献了代码到 Grin 的代码仓库。
次年,斯坦福大学博士Benedikt Bunz、伦敦大学学院的Jonathan Bootle博士 、斯坦福大学教授Dan BonehBLS 签名的发明人,哥德尔奖获得者,ACM Prize in Computing 2014 年得主、以及比特币核心开发者Pieter Wuille和Greg Maxwell博士 ,以及 Blockstream 的数学家Andrew Poelstra于 2017 年共同发表隐私交易密码学的重量级论文「Bulletproofs: Short Proofs for Confidential Transactions and More」,为非交互式零知识证明提供了一种新的构造方式,大大缩减了范围证明的大小,奠定了 Grin 的隐私交易最重要的基础之一。原始论文参见_2018 IEEE Symposium on Security and Privacy - S &P; 2018 pages 319-338._
也就是说,Grin 不仅仅是 2016 年 8 月 1 日的 MimbleWimble 白皮书,还集成了另外几项重量级的研究成果。除了上面说的 Bulletproofs 以外,还包括 Gregory Maxwell 博士等人 2018 年 1 月发表的 Schnorr-based MuSig 签名方案;参见论文 「Simple Schnorr Multi-Signatures with Applications to Bitcoin」https://eprint.iacr.org/2018/068.pdf
Giulia Fanti 等人于 2018 年 5 月发表的 Dandelion++,进一步保护交易隐私,等等。在此就不一个一个罗列下去了。
为了保证安全和质量,Grin 做了长期的测试工作,主网发布之前共经历了 5 个测试网,从 2017 年 11 月发布的 Testnet1 ,直到最近的 Tesetnet4 以及永久性的测试网 Floonet。
综上所述,Grin 在 2019 年 1 月 15 日发布主网可以说是历经艰辛,在这中间,学术研究和开发以及测试同步进行,不断迭代,最终水到渠成的结果。
说 Grin 是「集旷世技术之大成的惊天之币」固然过于夸张,但是,我认为:Grin 既是区块链隐私保护技术发展的重要里程碑,也是整个区块链技术发展过程中的重要里程碑!Grin 的发布不光是靠一群核心开发者,Grin 背后的一批密码学者和比特币研究者以及整个 Grin 社区的共同努力,才终于在 MimbleWimble 白皮书发布大约 2 年半之后推出了 Grin。
这里还值得强调的一点是,Grin 的核心开发者除了其中一名靠募捐拿了一点点基本「工资」以外 确切来说,是一年零 1 个月时间募集了 12 万欧元,其他开发者全部都是免费为 Grin 开发。而且核心开发者一共才 8 个人,近一半人还是兼职开发。
所以,以后想说 Grin 慢的朋友请先搞清楚 Grin 是什么,然后把位子摆得稍微公允一点再评论不迟。
关于 Grin 的发展经历,一个热心的 Grin 粉丝还为此特意做了一个网站:https://grinhistory.info
再来说一下「Grin 是最难用的」这个说法。我并不知道该作者到底有没有「用过」Grin。如果真用过了,那么是和哪些币做过对比,之后发现 Grin 相比而言最难用?具体难用在哪些地方?
我期待听到真正的 Grin 使用者提供的反馈,同时,也坚决反对泛泛而谈的莫须有的责备。
最后,来点评一下「情怀」二字。
Grin 之所以被比特币原教旨主义者力挺,除了技术先进性之外,最重要的一个因素就是这个「情怀」。
什么是 Grin 的情怀?
Grin 继承了几乎所有令比特币如此强大的社会特性:匿名创始人、无领导的团队、PoW、无 ICO、无预挖矿、无开发税等,以及,致敬中本聪。这就是 Grin 的情怀!
在 2016 年至 2018 年这三年间,正是 ICO 横行大把捞钱的时代,Grin 开发者们坚守阵地,埋头研究和开发,成为近年来所有加密货币开发项目中最清贫的项目团队。
必须指出,在 Grin 项目展开的这 2 年半的时间,Grin 社区累计募捐大约 12 万欧元 +17 个比特币,其中 17 个比特币是用于代码安全审计的专项资金,12 万欧元是给其中一名核心开发者 @yeastplume 一年的基本工资。
这个清贫的团队,花了 2 年半的时间保质保量地将 Grin 项目开发完成,并公平地发布,这就是被比特币原教旨主义者所称道的 Grin 情怀!
所以,调侃 Grin「能火靠的主要是情怀」的评论者们显然并不明白「情怀」的含有具体指的是什么。我强烈建议、也鼓励对 Grin 项目感兴趣的朋友多多参与 Grin 社区各种互动,多多与 Grin 核心团队成员交流。你对这个项目了解更多,你就越会理解 Grin 社区的「情怀」究竟是什么。
误读 4
「回归去中心化」的初心,还是进一步中心化?如果是另一个团队,这个名字或许只是巧合;但一个哈利波特的粉丝团队为自己的成果起名为「Grin」,其背后含义就让人不得不深思了。
Grin 是《哈利·波特》系列中第一代黑魔王格林德沃 Grindelwald 的简写,而格林德沃一直以来倡导强者天然有统治弱者的权力,这听起来作为比特币继承人有点不太恰当。
事实
作者显然不了解 Grin 的名字由来。
Grin 和哈利波特的关系相信大家都已经了解了:Grin 底层协议是 MimbleWimble,这个 MimbleWimble 的名字是出自哈利波特书中的一句魔法咒语,可以让人舌头打结说不了话。MimbleWimble 协议的作者是匿名的,发布白皮书以后就再也没有出现过了,其起名的本意已经无人得知了。人们猜测,这个名字可能意思是使用这个协议以后就可以实现隐私交易功能,就像念了咒语让人保守秘密一样。
而 Grin 的名字据信来自「Gringotts Wizarding Bank」,在哈利波特一书中是「the only bank of the wizarding world」,意思是「魔法世界的唯一银行」。
所以,将项目命名为 Grin 是取其「银行」之意,还蛮贴切的。所以,简单一句话就解释好了。希望今后不要再妖魔化 Grin 了啊,和黑魔王什么的毫无关系。
误读 5
Grin 社区关注量极少,只有一千多人。
事实
首先要说明下,Grin 项目完全不同于任何商业项目,不做商业推广,即现在和将来都不会砸钱买流量买粉丝。
在 Grin 约两年半的开发过程中,Grin 爱好者自发组建了多个社交群组。其中,比较早的 Discord 群目前有 6 千多名关注者。链接:https://discord.gg/9pTs2Bw
另外,_GrinCoins_和_GrinFans_两个电报群都是在 Grin 主网上线前后新组建的,目前分别有大约 1500 人和 2000 人。
而核心开发者主要所在的_Gitter_群虽然历史最久,但因为主要偏重开发以及 Grin 治理,目前为止也只有 3500 多人。链接:https://gitter.im/grin_community_
综上,客观地说,考虑各个社群可能有重复的人员,Grin 社群总人数估计在 1 万左右。和上面谣传的「只有 1 千人」还是有数量级的差距的。
但是无论如何,我们不应该将一个 Grin 这样的完全开源的非商业项目和动辄数万的商业公司的中心化社群人数相提并论。
误读 6
中国社区聚会 Grincon 是试图在中国炒作 Grin。
事实
Grincon 会议是 Grin 爱好者自发组织的线下会议,目前大多偏重研究和开发。最早的 Grincon0 发生在去年 11 月 9 日,在德国柏林举行,会议的组织者在 YouTube 上全场直播了这次会议。因为会议筹备充分,大部分非匿名的核心开发者都参加了这次会议。有趣的是,会议组织者还销售印有 Grin 笑脸图标的文化衫,并且全部收入都捐给了 Grin 开发资金。会议内容可参见网站:https://grincon.org/
此前和之后,全球各地的 Grin 爱好者组织也组织过不少小型的聚会。在 Grin 发布之后,各地还有多个庆祝活动,但规模都不大。
早在几个月之前,Grin 支持者就已经在筹划 1 月 28 日在美国旧金山的第一次 Grincon US 会议。为了支持 Grin,会议销售入场券,并承诺会议的所有收益将全部捐给 Grin 开发资金。前文讲过,Grin 项目是一个极为清贫的项目,参见前文所述。会议详情可参阅链接:https://grincon.us/
Grincon US 筹划和安排非常精细,邀请到了大部分开发者、Grin 背后的部分学术研究者、以及 Grin 生态中一些第三方项目开发方等做主题演讲。相比之下,Grincon 中国的第一次会议在 1 月 19 日组织时略显仓促,也没有看到专门的网站,并且因为时间仓促,只邀请到了一名 Grin 核心开发者 @garyyu 参加,而距离较远的其他核心开发者悉数缺席,和 Grincon US 的规模和影响相比相去甚远。
有人和媒体用阴谋论的方式拿这个中国聚会为理由,质疑 Grin 在「中国大势炒作」,显然不是事实。相比柏林和旧金山的 Grincon 会议规模以及学术气氛,中国的 Grin 会议内容极为单薄,人气也较低。
另外,甚至在某些品质堪忧的媒体上,还看到有评论宣称对 Grin 核心开发者出席 Grincon 中国会议表示失望。原文如下:
可以说这位做报告的 Gary 与想象中的「极客文化」、「密码朋克精神」有不小距离了。说好的纯匿名,说好的海外团队打造呢?莫非这位核心开发者仅仅是大中华区代表?
GitHub 上的个人资料显示, @garyyu 是一名新加坡的开发者,是华人。但是因为 Gary Yu 是华人,所以就用阴谋论的腔调宣称「Grin 是一个中国项目」,荒谬可笑可见一斑。如果 Grincon0 和 Grincon US 上露面的核心开发者们看到中国媒体如此这般的评论,不知该作何感想。
事实是,Grin 核心开发者中除了两名开发者匿名外 包括项目创始人,其余都公开身份,就如比特币的核心开发者除了中本聪和少数开发者之外,大多都是公开身份一样。
至于说「说好的海外团队打造」这种评论,多少有些崇洋媚外的自卑心理作祟。Grin 核心开发者中出现了一名黄皮肤黑头发的中国人这件事,难道不应该高兴和自豪才对?
除了以上几个显然是误读的信息,必须纠正之外,另外还有一些观点,我也希望能够澄清一下,与社区朋友多多交流交流。
待商榷的观点 1
Grin 无限发行等于无限期的通胀,竞争币层出不穷,Grin 的币价会长期保持下跌态势。原文摘录如下:
由于 Grin 的无限期通货膨胀机制,矿工将倾向于出售挖矿得来的 Grin,而 Grin 的币价长期来看还会保持下跌态势,因此 Grin 并不适用于投资者持有。在这种情况下,大部分投资者将缺乏购买 Grin 的意愿,而购买将是大部分用户使用 Grin 的前提,在竞争币层出不穷的背景下,Grin 的大规模普及、流通所需要的时间可能将极大地放缓,其成为通用支付货币的设想可能更加遥远。
Grin 的发行机制,蕴藏着通胀危机。
我的看法
先来看下 Grin 的 「无限期通货膨胀机制」。首先,我个人觉得 Grin 的无限线性发行机制并不能简单理解为「无限通胀」。
上图出自 @CryptoProfG 的一篇 Medium 博客文章,有兴趣的朋友不妨找来一读。
经过计算可以得出,到 2039 年,Grin 的年通胀率将是 5%;而等到 2059 年,这个数字将降低到 2.5%;等到了 2099 年,Grin 的年通胀率将变成 1.25%。如果对比 1935 年以来的美元,从 2039 年左右开始,Grin 的年通胀率就已经小于或远小于美元同期的通胀率了。
另外,重要的一点是,Grin 在开始 4 年的线性发行和比特币是一模一样的机制,只是 Grin 没有设计成像比特币一样每 4 年减半发行。主要原因是,Grin 的愿景是希望在流动性上超越比特币。
众所周知,比特币的流动性极低,日交易量只占现有比特币的 0.5%,而黄金的这一指标都能接近 3%。Grin 希望未来能有远远超过比特币的流动性指标。
希望可以通过以上澄清,能够消除「Grin 的发行机制,蕴藏着通胀危机」这一类的肤浅认识。
请允许我再来评论一下所谓「矿工将倾向于出售挖矿得来的 Grin」的说法。
到我写这篇东西的时候 2019 年 1 月 23 日为止,Grin 上线不足 8 天。如此短的时间,加上非常有限的 Grin 供应量,拿目前市场上 Grin 的交易信息判断其未来走势,没有任何意义。
任何一个密码货币的币价形成,都需要一个过程,取决于供需双方的博弈。除非有巨大的利益诱惑,有利可图,没有矿工会傻到在币价未正式形成之前大笔甩卖辛苦挖到的 Grin。
@kovalskee 在 Grin 主网上线之际在 Medium 上发表了一篇 Grin 的价格形成研究,有兴趣的朋友可以参阅,题目是「Price of Grin pre-launch」,里面有比较详细的分析。
不过需要声明:推荐阅读并不代表我完全同意文中的 Grin 价格预测,我推荐的是其分析问题的严肃和认真的态度。
最后,说一下「在竞争币层出不穷的背景下,Grin 的大规模普及、流通所需要的时间可能将极大地放缓,其成为通用支付货币的设想可能更加遥远」这个观点。
我真是佩服这位作者,Grin 才上线几天,Grin 社区中一些严肃的研究者都在做认真的分析和观察,偶尔小心翼翼地做出多种可能性的预测,而作者就如先知一般做出了果断的预测,无需论据考究,无需分析假设,真乃神人!
至于「在竞争币层出不穷的背景下」这个说法,我个人持保留意见。层出不穷的是各种名目的 ICO 才对。现实情况是,像 Grin 这样的项目难得一见。我能看到的事实是,Grin 社区中活跃着目前世界上最顶级的密码学术专家,他们支持 Grin 项目背后所采用的各项技术,对 Grin 的发展寄予厚望。
举个例子。1 月 28 日,在美国加州会举办一场 Grin 社区的聚会「Grincon」。如果真的了解密码学领域的大咖和牛人,就会明白这场聚会的意义。关于这场聚会的信息和购票可以访问这个网站:https://grincon.us/(备注:所有会议收入全部贡献给 Grin 开发资金。)
另外,我也想附上部分参会人员名单供真正懂行的朋友参考:
Grin 项目创始人 Ignotus Peverell
斯坦福大学教授 Dan Boneh BLS 签名的发明人,哥德尔奖获得者
Blockstream 数学家及比特币核心开发者 Andrew Poelstra
斯坦福大学博士 Benedikt Bunz
布谷鸟 PoW 算法发明者,计算机科学家及 Grin 核心开发者 John Tromp
Grin 核心开发者 Michael Cordner 即 @yeastplume
等等。
待商榷的观点 2
「币价大跌,大量套牢;短期会被大炒,长期看一文不值」。原文分别摘录如下:
Grin 的爆红,虽然不是一场精心策划的炒作,而是一场自发性炒作,但还是对 Grin 本身形成较大的伤害,其价格已然呈现出大涨大跌的态势,跌幅最高达到 97%,大量投资者被套牢并成为这场炒作的牺牲品。
匿名币很容易出现炒作行为,就好比曾经风光无限、单价被炒至 3000 BTC 的匿名币 Zcash。所以 Grin
在短期内会被大炒,但长期来看却「一文不值」。
Grin 团队对无限膨胀的 Grin 的定位为一种真正的日常生活中的货币,而不是像比特币那样作为一种价值储存手段。
我的看法
说实在话,我并不太关心具体的 Grin 币价以及涨跌。钱包决定思维。我必须声明,当前我的钱包中共有 Grin 100 枚,涨 10 倍我也发不了财,所以以下言论无关个人私利。
前几天,Grin 的全网算力最高到达 700K GPS,最低回落到 500K GPS,目前稳定在 600K GPS 左右,相当于 20 万 ~ 30 万块显卡在提供 Grin 算力。就目前的阶段而言虽然已经足够安全,但是相比 Grin 的影响力以及前期核心开发团队的 100 万块显卡的预测数据而言,这只是达到了 20%~30% 而已,总体还是偏低。
但是,关于「其价格已然呈现出大涨大跌的态势,跌幅最高达到 97%」的说法,值得商榷,只有了解了所谓「大涨大跌」的背景,才能明白这种「流言」实际意义不大。
我还是推荐上文提到的 @kovalskee 在 Grin 主网上线之前写的那篇文章,很好的分析了 Grin 价格形成的过程,以及未来的预期:
We don’t know how Grin’s first weeks, months or years will play out.However, Grin’s launch process as explained by the lead team is unique and clear. It will be slower vs「ICOs」due to no pre-mine. It is likely that each Grin coin will be highly valued initially — there will be few around and there’s much interest. Grin’s price could overshoot after mainnet launch, not necessary immediately but even in the months after opening.
翻译过来大概意思是说:
我们不知道 Grin 的开始几周、几个月、或者几年价格会怎么走。然而,Grin 团队对 Grin 独特的线性发行机制已经说得很清楚和明白了。由于没有预挖矿,也不像 ICO 模式一开始就有巨大的供应量,很可能一上市交易就会被过高地估价,因为一开始的供应量太少了,而感兴趣的人很多。 Grin 的价格在上线之初可能会过高,也许不是马上就看到,可能要几个月后才会出现 Grin 价格过高。
所以,刚上线时价格大幅波动并不令人意外,其实早有预见,毕竟供需总量都太少。将单个交易所出现过的极少的成交量所对应的每枚 Grin 币价格 100 美元作为依据,对外宣称「Grin 大跌 97%,大量投资者被套牢」,不科学、也极不负责。这只是制造醒目标题,吸引阅读量。
做标题党固然无可厚非,但是在文中将事情说清楚也好啊,结果后面再来一句「Grin 在短期内会被大炒,但长期来看却一文不值」,这种评论也不专业了,毫无可信度。
在这里,我附上某交易所的 100 美元初始无 微 量成交价的情况共供参考:
看到这个成交状况,在「100 美元」的价位基本没有成交量,拿这个成交价格说事情,没有任何意义。如果以此展开评论,称 「虽然 Grin 的设计机制围绕着公平出发的原则,但是随着币价的暴跌以及质疑声渐起,Grin 多日来的热潮正在逐步消退,在行业分歧与争议越来越大的情况下,它似乎正在越发远离设计初衷,更像是一场比谁跑得快的游戏,而狂热的投资者注定是这场游戏的牺牲者」,非常不严谨。
关于「Grin 团队对无限膨胀的 Grin 的定位为一种真正的日常生活中的货币,而不是像比特币那样作为一种价值储存手段」这种说法,前半句可以参考前文的解释,准确表述应该是「Grin 希望未来能有很好的流动性的指标特性」,后半句则又是一种歪曲和错误理解了。
Grin 社区中达成的共识是,希望通过线性发行机制,在提供公平的同时,还可以解决较早的一些隐私币出现的供应总量不足的问题,以及比特币流动性指标偏低的问题。
正如上面所提的 @kovalskee 的那篇「Price of Grin」的博文中所言:
In the first years it is mass distribution and adoption by merchants and services will be the key over time to realizing Grin’s vision, and over a long time horizon Grin can likely become a store of value. Perhaps that which will drive demand will be a single privacy- or micropayment-focused service「killer app」 the holy grail so highly sought out in the「crypto」space that will propel usage of Grin. Perhaps it’ll be an array of applications or use-cases focused on privacy. It might be in the developing world, in some authoritarian regime,in emerging markets, or in the West.
我就不完整翻译了,核心的意思是说「开始几年逐步被大量企业和服务所采用是世界意识到 Grin 美好 愿景的关键,可能 过了很久之后 Grin 能够成为一种 像比特币一样的 价值储存手段…」
简单来说,Grin 希望提供较好的流动性,Grin 希望币价相对稳定,但是从来没在社区中看到 Grin「不会成为价值储存手段」这样的说法。
相反,Grin 的发行机制设计希望在供应总量上能够解决较早的一些隐私币的总量偏小的问题。很显然,这是需要时间的。我就不展开讨论这个话题了,推荐有兴趣的朋友加入 Grin 论坛和 Grin 社群,那里有很多更有资格探讨这个经济学问题的专业人士。
待商榷的观点 3
Grin 的强匿名性使得它难以收到政府的认可。原文分别摘录如下:
Grin 强匿名性的特点可能也会使得它难以受到政府的认可。相比之下,比特币虽然也具有匿名性,但它的交易可追溯性一定程度上弱化了其匿名效果,比特币也正是因此被一些国家认可为货币或者纳入监管范围,这将是 Grin 未来进一步拓展的重要劣势。
Grin 的匿名属性,或成为绊脚石。
我的看法
这个问题只能拭目以待,目前来看,争辩无益。我只是想说, 经济发展和科技进步使得人们也越来越注重隐私,这似乎是人类文明发展的必然。
另外,「比特币虽然也具有匿名性,但它的交易可追溯性一定程度上弱化了其匿名效果,比特币也正是因此被一些国家认可为货币或者纳入监管范围」这个观点,我个人并不认同。
我认为这是常识性错误。我粗略翻看了一下各国的比特币政策,参见维基百科上「比特币在各国或地区的合法性」条目 https://zh.wikipedia.org,并没看到有哪个国家是根据比特币的匿名性强弱来决定开放和禁止的。
待商榷的观点 4
Grin 不该被推到「韭菜」面前。原文如下:
Grin 本该是一个暂时停留在极客圈子的玩具,却被推到了韭菜面前,无异于捧杀。
我的看法
关于「Grin 本该是一个暂时停留在极客圈子的玩具」,这句评论不知道是否同样适用于较早推出的门罗币和 Zcash?据我所知,并没听说门罗和 Zcash 曾经被视为「玩具」。
我非常认同的说法是,密码社区的朋友需要更多的了解 Grin 的特性,而不是跟风炒作。毕竟,Grin 的经济模型设计并不适合炒作。
前文讲过,Grin 在 2019 年 1 月 15 日发布之前,经过了 5 个测试网阶段,历时近两年半的时间。比起一年、甚至半年发币的 ICO 项目来说,显然是脚踏实地,兢兢业业。
至于「却被推到了韭菜面前,无异于捧杀」的说法,我的看法是,Grin 的愿景非常理想主义,但再美的理想也是要用现实来检验的,总要有推出的时候。历时 2 年半研究和开发,Grin 选择 2019 年 1 月发布,当为水到渠成之举。对于 Grin 的长远的发展之路,这又是一个新的开始。
Grin 主网的发布,获得了中外众多媒体的关注,有褒有贬,这本是好事。但是,所有的评论,应该站在了解事实的基础上,而不是以讹传讹。
至于 Grin 的投资价值,更是一个仁者见仁、智者见智的话题。
我希望密码货币的投资者,每个人都不是「韭菜」,不应该任由骗子宰割。但是,避免成为一个「韭菜」,最重要的是擦亮眼睛,了解准确的事实,不被虚假信息、流言、谣言和谎言欺骗。
作为一名 Grin 的爱好者,我希望通过这篇文章,澄清一些让我看来令人惊诧的对 Grin 的错误解读。
门罗开发者首谈Grin:并不害怕被取代
项目 • 8btc 发表了文章 • 2019-01-22 09:45
Grin和Beam已经成为了最近隐私领域最炙手可热的话题,这两种币都基于MimbleWimble协议,旨在实现比特币所没有的隐私性和延展性。上周,Grin几乎每天都上头条,因为其被视为最接近比特币的币种,但在上线之后的短短几天内就下跌了97%。
MimbleWimble协议诞生于2016年,其作者是匿名开发者Tom Elvis Jedusor,这两个名字都取自哈利波特系列。该项协议的核心是隐私,在交易过程中,没有人能够看到具体的币种数量以及地址,只需要公开一些用于验证交易的信息。
这一协议也即将进入门罗网络,作为其侧链存在。门罗首席开发者Riccardo Spagni在推特透露,“门罗正在部署一条MimbleWimble侧链。”
在近期的一场活动中,Blockstream CSO缪永权(Samson Mow)、莱特币创始人李启威(Charlie Lee)、fluffypony(Riccardo Spagni)以及Whale Panda讨论了有关Grin和Beam的话题。
当被问到是否因这个新的隐私币感到不安时,Spagni回答,他对一切能够改善隐私的事物都表示支持。
我们对Zcash的批评并非针对其隐私技术。我认为其隐私技术如果能够正确部署,总体来说将会产生积极影响。我未来也绝对会批评Grin和Beam,因为我认为有批评是好事。有了批评,门罗才能变得更好,因此这些批评的声音应该被视为是正面的因素。
他说自己之所有没有觉得受到了威胁是因为这两种新匿名币的出现并不会影响门罗继续存在:
我认为门罗是一个非常有意思的项目,无论其用户数量是1个还是100个还是100万个,无论其价格是2美分还是20美分还是2美元,对于技术社区来说真的没那么重要,因为他们只关注不同的代码库。
随后,Charlie Lee也对Grin和Beam做出了评价,认为它们能够“在不做出任何妥协的情况下实现隐私和延展性”。另外,Lee认为MimbleWimble技术在保证系统隐私方面的能力很有意思,并指出其能够打造比比特币延展性更强的币种。
当被问到这一协议是否可能作为侧链部署到比特币网络或直接进入比特币网络时,Lee回答,重点在于侧链的安全性。
原文:https://ambcrypto.com/mimblewimbles-grin-and-beam-have-the-potential-to-be-more-scalable-than-bitcoin-says-litecoin-creator/
作者:Priya
编译:Wendy 查看全部
MimbleWimble协议诞生于2016年,其作者是匿名开发者Tom Elvis Jedusor,这两个名字都取自哈利波特系列。该项协议的核心是隐私,在交易过程中,没有人能够看到具体的币种数量以及地址,只需要公开一些用于验证交易的信息。
这一协议也即将进入门罗网络,作为其侧链存在。门罗首席开发者Riccardo Spagni在推特透露,“门罗正在部署一条MimbleWimble侧链。”
在近期的一场活动中,Blockstream CSO缪永权(Samson Mow)、莱特币创始人李启威(Charlie Lee)、fluffypony(Riccardo Spagni)以及Whale Panda讨论了有关Grin和Beam的话题。
当被问到是否因这个新的隐私币感到不安时,Spagni回答,他对一切能够改善隐私的事物都表示支持。
我们对Zcash的批评并非针对其隐私技术。我认为其隐私技术如果能够正确部署,总体来说将会产生积极影响。我未来也绝对会批评Grin和Beam,因为我认为有批评是好事。有了批评,门罗才能变得更好,因此这些批评的声音应该被视为是正面的因素。
他说自己之所有没有觉得受到了威胁是因为这两种新匿名币的出现并不会影响门罗继续存在:
我认为门罗是一个非常有意思的项目,无论其用户数量是1个还是100个还是100万个,无论其价格是2美分还是20美分还是2美元,对于技术社区来说真的没那么重要,因为他们只关注不同的代码库。
随后,Charlie Lee也对Grin和Beam做出了评价,认为它们能够“在不做出任何妥协的情况下实现隐私和延展性”。另外,Lee认为MimbleWimble技术在保证系统隐私方面的能力很有意思,并指出其能够打造比比特币延展性更强的币种。
当被问到这一协议是否可能作为侧链部署到比特币网络或直接进入比特币网络时,Lee回答,重点在于侧链的安全性。
原文:https://ambcrypto.com/mimblewimbles-grin-and-beam-have-the-potential-to-be-more-scalable-than-bitcoin-says-litecoin-creator/
作者:Priya
编译:Wendy 查看全部
Grin和Beam已经成为了最近隐私领域最炙手可热的话题,这两种币都基于MimbleWimble协议,旨在实现比特币所没有的隐私性和延展性。上周,Grin几乎每天都上头条,因为其被视为最接近比特币的币种,但在上线之后的短短几天内就下跌了97%。
MimbleWimble协议诞生于2016年,其作者是匿名开发者Tom Elvis Jedusor,这两个名字都取自哈利波特系列。该项协议的核心是隐私,在交易过程中,没有人能够看到具体的币种数量以及地址,只需要公开一些用于验证交易的信息。
这一协议也即将进入门罗网络,作为其侧链存在。门罗首席开发者Riccardo Spagni在推特透露,“门罗正在部署一条MimbleWimble侧链。”
在近期的一场活动中,Blockstream CSO缪永权(Samson Mow)、莱特币创始人李启威(Charlie Lee)、fluffypony(Riccardo Spagni)以及Whale Panda讨论了有关Grin和Beam的话题。
当被问到是否因这个新的隐私币感到不安时,Spagni回答,他对一切能够改善隐私的事物都表示支持。
我们对Zcash的批评并非针对其隐私技术。我认为其隐私技术如果能够正确部署,总体来说将会产生积极影响。我未来也绝对会批评Grin和Beam,因为我认为有批评是好事。有了批评,门罗才能变得更好,因此这些批评的声音应该被视为是正面的因素。
他说自己之所有没有觉得受到了威胁是因为这两种新匿名币的出现并不会影响门罗继续存在:
我认为门罗是一个非常有意思的项目,无论其用户数量是1个还是100个还是100万个,无论其价格是2美分还是20美分还是2美元,对于技术社区来说真的没那么重要,因为他们只关注不同的代码库。
随后,Charlie Lee也对Grin和Beam做出了评价,认为它们能够“在不做出任何妥协的情况下实现隐私和延展性”。另外,Lee认为MimbleWimble技术在保证系统隐私方面的能力很有意思,并指出其能够打造比比特币延展性更强的币种。
当被问到这一协议是否可能作为侧链部署到比特币网络或直接进入比特币网络时,Lee回答,重点在于侧链的安全性。
原文:https://ambcrypto.com/mimblewimbles-grin-and-beam-have-the-potential-to-be-more-scalable-than-bitcoin-says-litecoin-creator/
作者:Priya
编译:Wendy
Grin核心开发者解析Mimblewimble“漏洞”:非根本性缺陷,Grin很安全
项目 • 8btc 发表了文章 • 2019-11-19 13:09
编者按:Mimblewimble协议的隐私性不存在“根本性缺陷”。 此前在Mimblewimble / Grin上描述的“攻击”是对已知的一种限制的误解。 尽管那篇文章提供了一些有关网络分析的有趣数字,但给出的结果实际上并不构成攻击,也不能支持该文章提出的耸人听闻的主张。
11月18日,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发文称,Mimblewimble协议的隐私性从根本上存在缺陷,只需每周支付60美元的AWS费用,就能实时发现96%的Grin交易发起者和收款者的确切地址。Ivan Bogatyy表示,该问题是Mimblewimble固有的,他认为没有办法予以修补,这意味着在隐私方面,Mimblewimble不应再被视为Zcash或Monero的可行替代方案。该文章展示了对Mimblewimble协议执行攻击的精确方法,在对Grin的真实测试中,揭开交易流信息的成功率达到96%。
此后不久,Mimblewimble的重要实施之一,Grin项目的核心开发者Daniel Lehnberg联合其他相关人士发文进行了反驳,指出Mimblewimble协议的隐私性并不存在“根本性的缺陷”,Ivan Bogatyy在文章中描述的对Mimblewimble / Grin的攻击是对已知限制的误解。
以下是Grin开发者的回应全文:
今天,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发表了一篇名为《打破Mimblewimble的隐私模型》的文章,作者断言他们以某种方式“打破了” Mimblewimble和Grin的隐私模型。
作者声称做出的“攻击”是经过充分记录的,并且讨论了交易图输入输出链接性问题。对于Grin团队中的任何人或研究过Mimblewimble协议的任何人来说,这都不陌生。 Grin在主网启动之前于2018年11月在其公共Wiki上发布的Privacy Primer中承认了能够在链上链接输出的功能。该问题包括Ian Mier提出的“手电筒攻击”,我们当时就将其列为开放研究问题之一。
实际上,包括这篇文章的标题在内的许多说法都不准确。从较高的角度看,这篇文章读起来并不那么含蓄,似乎是为了引人注目。但是,本文的结论包含许多逻辑上的飞跃,而这些逻辑飞跃并未通过所描述的网络分析练习得到证实。
Grin团队一直承认,Grin的隐私性远非完美。作为我们不断改进的隐私保护目标的一部分,交易可链接性是我们一直希望减轻的限制,但这并不能“打破” Mimblewimble,更不是能够导致Grin的隐私保护功能失效的“根本性缺陷”。
除了要逐篇反驳这篇文章外,我们还要指出这个研究及其结论中存在的主要问题。
1)Mimblewimble没有地址
Mimblewimble的最根本的隐私好处是该研究和相关文章存在最根本的问题:Mimblewimble没有诸如可能链接到特定比特币钱包的地址。 参与者通过将一笔一次性的输出添加到交易中来实现价值交换,任何时候都不会呈现给区块链网络或区块链数据的可识别“地址”。
2)无法链接到不存在的地址
对于这一点,这篇文章的研究人员似乎采取了不一致的方法。文章随附的github存储库指出:
“没有地址,只有作为Pedersen comitment隐藏的UTXO。”
随后,文章绘制以下方案:
“例如我是执法人员,我知道一个地址属于暗网市场上的供应商。当您将Grin币发送到Coinbase交易所时,Coinbase会将您的地址与您的姓名联系起来。”
文章继续:
“或者说,某个专制政府知道某个地址属于政见不同人士。您向异议人士发送一小笔捐款。”
目前尚不清楚执法人员如何知道一个根本不存在的地址,或者Coinbase如何将不存在的地址链接到所有者的名字。或就此而言,霸权政府将如何能够将一个不存在的地址与某个政见不同人士联系起来。
我们必须假设作者简单地将事务输出(TXO)与地址混淆了,但是二者并不是一回事。而且,正如我们已经详细介绍的那样,可以链接TXO并不是什么新闻。
3)数字95.5%接近100%。 但这也没有太大意义
文章中有关这个实际实验的详细信息被称为“攻击”。 所谓的“嗅探器节点(sniffer nodes)”收集从节点广播的交易,这是蒲公英(Dandelion)协议中茎(stem)和绒毛(fluff)阶段的一部分。 作者能够在特定时间段内收集网络上95.5%的交易。 除了能够知道“ Output A花费在Output B上”之外,目前尚不清楚在此确切地确定了什么,或者作者还可以利用这些信息来完成什么。
4)仅交易图并不能显示有关交易方的信息…
尽管在交易过程中最好能够避免泄漏交易图,但仅凭该图并不一定能揭示发送方和接收方的输出。 没有金额,就很难区分变更输出(output)和接收人输出(output)。 即使本文并未尝试实际执行此操作,这会是未来研究的一个有趣领域。
5)…作者似乎并没有意识到这一点
文章中提供的Github存储库写到:
“我们发现的是交易图:谁向谁付款的记录”
但实际并不是这样的。
让我们举一个具体的例子。 爱丽丝与Bob建立了交易(可能通过TOR,grinbox或直接文件交换)。 然后,她通过托管节点(例如使用wallet713)将此交易广播到网络。
在此示例中,监视网络的“嗅探器节点”将不会发现有关爱丽丝的任何信息,当然也不会发现谁向谁付款的记录。 “手电筒攻击”是一种主动攻击,其中对手正在参与交易构建过程。 那篇文章中的网络分析活动是被动的,这并成立。
6.文章标题具有误导性,并没有任何东西被“打破”
文章的标题是“打破Mimblewimble的隐私模型”。 Mimblewimble的隐私权模型并未涵盖阻止交易输出被监视节点链接的问题。
结论
您所获得的隐私性永远不会超过匿名集的大小
Grin是一种最小化的加密货币,旨在保护隐私,可扩展且公平。 它远非完美,但它实现了与比特币同等的安全模型,默认情况下启用了更好的隐私性,需要保留的数据更少。 在无需受信任的设置,没有ICO或预挖的情况下,它可完成所有这些工作。
但是,Grin仍很年轻,还没有发挥出全部潜力。 主网上线11个月以来,网络使用率仍然较低。 在最近的1000个区块中,有22%仅包含一个交易(而30%不包含交易),这意味着它们的输入(input)和输出(output)是轻微可链接的。 在网络使用率提高之前,这种情况不会改变,但这仍然并不意味着发送方和接收方的身份会被泄露。
团队协作可为隐私研究提供帮助
作为Grin的贡献者,我们很高兴看到对该项目产生了兴趣。我们社区欢迎对Grin的协议和代码库进行科学分析和审查,但同时也希望具有一定的严格性。实际上,如果我们被请求,我们甚至可以提供相关帮助。
Dragonfly Capital研究员发表的文章要求Haseeb,Oleg,Elena,Mohammed和Nader审查了他们的工作,但是不幸的是,他们没有要求Grin社区中的任何人参与,或者度他们要发布的东西提供(友好的)反馈。如果他们这样做了,我们可能就不会进行这次回应了,并且只会提高工作质量。在一条推文中,那篇文章的作者写道:
“重要的是,我非常尊重Grin社区和核心开发人员,他们在回答我的问题方面都提供了极大的帮助。”
听起来好像是他们在发布那篇文章时与我们联系了,但是在我们的Gitter频道或Keybase中,我们都没有看到任何有关该作者的东西。双方错过了进行高质量研究的机会。
本文联合作者:David Burkett, Jasper, @joltz, Quentin Le Sceller, Yeastplume.
更新:
同样采用Mimblewimble隐私技术的莱特币项目的创始人李启威对此在推特上回应称,
MimbleWimble协议的这种限制是众所周知的。MW基本上属于隐密交易,具有扩展优势和一定程度的不可链接性。为了获得更好的隐私,用户仍然可以在广播之前使用CoinJoin(CJ),并且由于CT(Confidential Transactions)和聚合的原因,CJ与MW运行的也很好。与BTC / LTC相比,MW上的CJ更加简单易用。
1. MW具有CT,因此所有数量都被隐藏,因此无需决定统一的输出大小;
2. 使用MW中的聚合,无需签署最终的CJ交易。因此,不能通过不签名来拒绝服务。
截至目前,Ivan Bogatyy发出更正文章称,Mimblewimble协议的隐私性不是根本性缺陷。
原文:https://medium.com/grin-mimblewimble/factual-inaccuracies-of-breaking-mimblewimbles-privacy-model-8063371839b9
作者:Daniel Lehnberg
编译:Kyle 查看全部
11月18日,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发文称,Mimblewimble协议的隐私性从根本上存在缺陷,只需每周支付60美元的AWS费用,就能实时发现96%的Grin交易发起者和收款者的确切地址。Ivan Bogatyy表示,该问题是Mimblewimble固有的,他认为没有办法予以修补,这意味着在隐私方面,Mimblewimble不应再被视为Zcash或Monero的可行替代方案。该文章展示了对Mimblewimble协议执行攻击的精确方法,在对Grin的真实测试中,揭开交易流信息的成功率达到96%。
此后不久,Mimblewimble的重要实施之一,Grin项目的核心开发者Daniel Lehnberg联合其他相关人士发文进行了反驳,指出Mimblewimble协议的隐私性并不存在“根本性的缺陷”,Ivan Bogatyy在文章中描述的对Mimblewimble / Grin的攻击是对已知限制的误解。
以下是Grin开发者的回应全文:
今天,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发表了一篇名为《打破Mimblewimble的隐私模型》的文章,作者断言他们以某种方式“打破了” Mimblewimble和Grin的隐私模型。
作者声称做出的“攻击”是经过充分记录的,并且讨论了交易图输入输出链接性问题。对于Grin团队中的任何人或研究过Mimblewimble协议的任何人来说,这都不陌生。 Grin在主网启动之前于2018年11月在其公共Wiki上发布的Privacy Primer中承认了能够在链上链接输出的功能。该问题包括Ian Mier提出的“手电筒攻击”,我们当时就将其列为开放研究问题之一。
实际上,包括这篇文章的标题在内的许多说法都不准确。从较高的角度看,这篇文章读起来并不那么含蓄,似乎是为了引人注目。但是,本文的结论包含许多逻辑上的飞跃,而这些逻辑飞跃并未通过所描述的网络分析练习得到证实。
Grin团队一直承认,Grin的隐私性远非完美。作为我们不断改进的隐私保护目标的一部分,交易可链接性是我们一直希望减轻的限制,但这并不能“打破” Mimblewimble,更不是能够导致Grin的隐私保护功能失效的“根本性缺陷”。
除了要逐篇反驳这篇文章外,我们还要指出这个研究及其结论中存在的主要问题。
1)Mimblewimble没有地址
Mimblewimble的最根本的隐私好处是该研究和相关文章存在最根本的问题:Mimblewimble没有诸如可能链接到特定比特币钱包的地址。 参与者通过将一笔一次性的输出添加到交易中来实现价值交换,任何时候都不会呈现给区块链网络或区块链数据的可识别“地址”。
2)无法链接到不存在的地址
对于这一点,这篇文章的研究人员似乎采取了不一致的方法。文章随附的github存储库指出:
“没有地址,只有作为Pedersen comitment隐藏的UTXO。”
随后,文章绘制以下方案:
“例如我是执法人员,我知道一个地址属于暗网市场上的供应商。当您将Grin币发送到Coinbase交易所时,Coinbase会将您的地址与您的姓名联系起来。”
文章继续:
“或者说,某个专制政府知道某个地址属于政见不同人士。您向异议人士发送一小笔捐款。”
目前尚不清楚执法人员如何知道一个根本不存在的地址,或者Coinbase如何将不存在的地址链接到所有者的名字。或就此而言,霸权政府将如何能够将一个不存在的地址与某个政见不同人士联系起来。
我们必须假设作者简单地将事务输出(TXO)与地址混淆了,但是二者并不是一回事。而且,正如我们已经详细介绍的那样,可以链接TXO并不是什么新闻。
3)数字95.5%接近100%。 但这也没有太大意义
文章中有关这个实际实验的详细信息被称为“攻击”。 所谓的“嗅探器节点(sniffer nodes)”收集从节点广播的交易,这是蒲公英(Dandelion)协议中茎(stem)和绒毛(fluff)阶段的一部分。 作者能够在特定时间段内收集网络上95.5%的交易。 除了能够知道“ Output A花费在Output B上”之外,目前尚不清楚在此确切地确定了什么,或者作者还可以利用这些信息来完成什么。
4)仅交易图并不能显示有关交易方的信息…
尽管在交易过程中最好能够避免泄漏交易图,但仅凭该图并不一定能揭示发送方和接收方的输出。 没有金额,就很难区分变更输出(output)和接收人输出(output)。 即使本文并未尝试实际执行此操作,这会是未来研究的一个有趣领域。
5)…作者似乎并没有意识到这一点
文章中提供的Github存储库写到:
“我们发现的是交易图:谁向谁付款的记录”
但实际并不是这样的。
让我们举一个具体的例子。 爱丽丝与Bob建立了交易(可能通过TOR,grinbox或直接文件交换)。 然后,她通过托管节点(例如使用wallet713)将此交易广播到网络。
在此示例中,监视网络的“嗅探器节点”将不会发现有关爱丽丝的任何信息,当然也不会发现谁向谁付款的记录。 “手电筒攻击”是一种主动攻击,其中对手正在参与交易构建过程。 那篇文章中的网络分析活动是被动的,这并成立。
6.文章标题具有误导性,并没有任何东西被“打破”
文章的标题是“打破Mimblewimble的隐私模型”。 Mimblewimble的隐私权模型并未涵盖阻止交易输出被监视节点链接的问题。
结论
您所获得的隐私性永远不会超过匿名集的大小
Grin是一种最小化的加密货币,旨在保护隐私,可扩展且公平。 它远非完美,但它实现了与比特币同等的安全模型,默认情况下启用了更好的隐私性,需要保留的数据更少。 在无需受信任的设置,没有ICO或预挖的情况下,它可完成所有这些工作。
但是,Grin仍很年轻,还没有发挥出全部潜力。 主网上线11个月以来,网络使用率仍然较低。 在最近的1000个区块中,有22%仅包含一个交易(而30%不包含交易),这意味着它们的输入(input)和输出(output)是轻微可链接的。 在网络使用率提高之前,这种情况不会改变,但这仍然并不意味着发送方和接收方的身份会被泄露。
团队协作可为隐私研究提供帮助
作为Grin的贡献者,我们很高兴看到对该项目产生了兴趣。我们社区欢迎对Grin的协议和代码库进行科学分析和审查,但同时也希望具有一定的严格性。实际上,如果我们被请求,我们甚至可以提供相关帮助。
Dragonfly Capital研究员发表的文章要求Haseeb,Oleg,Elena,Mohammed和Nader审查了他们的工作,但是不幸的是,他们没有要求Grin社区中的任何人参与,或者度他们要发布的东西提供(友好的)反馈。如果他们这样做了,我们可能就不会进行这次回应了,并且只会提高工作质量。在一条推文中,那篇文章的作者写道:
“重要的是,我非常尊重Grin社区和核心开发人员,他们在回答我的问题方面都提供了极大的帮助。”
听起来好像是他们在发布那篇文章时与我们联系了,但是在我们的Gitter频道或Keybase中,我们都没有看到任何有关该作者的东西。双方错过了进行高质量研究的机会。
本文联合作者:David Burkett, Jasper, @joltz, Quentin Le Sceller, Yeastplume.
更新:
同样采用Mimblewimble隐私技术的莱特币项目的创始人李启威对此在推特上回应称,
MimbleWimble协议的这种限制是众所周知的。MW基本上属于隐密交易,具有扩展优势和一定程度的不可链接性。为了获得更好的隐私,用户仍然可以在广播之前使用CoinJoin(CJ),并且由于CT(Confidential Transactions)和聚合的原因,CJ与MW运行的也很好。与BTC / LTC相比,MW上的CJ更加简单易用。
1. MW具有CT,因此所有数量都被隐藏,因此无需决定统一的输出大小;
2. 使用MW中的聚合,无需签署最终的CJ交易。因此,不能通过不签名来拒绝服务。
截至目前,Ivan Bogatyy发出更正文章称,Mimblewimble协议的隐私性不是根本性缺陷。
原文:https://medium.com/grin-mimblewimble/factual-inaccuracies-of-breaking-mimblewimbles-privacy-model-8063371839b9
作者:Daniel Lehnberg
编译:Kyle 查看全部
编者按:Mimblewimble协议的隐私性不存在“根本性缺陷”。 此前在Mimblewimble / Grin上描述的“攻击”是对已知的一种限制的误解。 尽管那篇文章提供了一些有关网络分析的有趣数字,但给出的结果实际上并不构成攻击,也不能支持该文章提出的耸人听闻的主张。
11月18日,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发文称,Mimblewimble协议的隐私性从根本上存在缺陷,只需每周支付60美元的AWS费用,就能实时发现96%的Grin交易发起者和收款者的确切地址。Ivan Bogatyy表示,该问题是Mimblewimble固有的,他认为没有办法予以修补,这意味着在隐私方面,Mimblewimble不应再被视为Zcash或Monero的可行替代方案。该文章展示了对Mimblewimble协议执行攻击的精确方法,在对Grin的真实测试中,揭开交易流信息的成功率达到96%。
此后不久,Mimblewimble的重要实施之一,Grin项目的核心开发者Daniel Lehnberg联合其他相关人士发文进行了反驳,指出Mimblewimble协议的隐私性并不存在“根本性的缺陷”,Ivan Bogatyy在文章中描述的对Mimblewimble / Grin的攻击是对已知限制的误解。
以下是Grin开发者的回应全文:
今天,区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发表了一篇名为《打破Mimblewimble的隐私模型》的文章,作者断言他们以某种方式“打破了” Mimblewimble和Grin的隐私模型。
作者声称做出的“攻击”是经过充分记录的,并且讨论了交易图输入输出链接性问题。对于Grin团队中的任何人或研究过Mimblewimble协议的任何人来说,这都不陌生。 Grin在主网启动之前于2018年11月在其公共Wiki上发布的Privacy Primer中承认了能够在链上链接输出的功能。该问题包括Ian Mier提出的“手电筒攻击”,我们当时就将其列为开放研究问题之一。
实际上,包括这篇文章的标题在内的许多说法都不准确。从较高的角度看,这篇文章读起来并不那么含蓄,似乎是为了引人注目。但是,本文的结论包含许多逻辑上的飞跃,而这些逻辑飞跃并未通过所描述的网络分析练习得到证实。
Grin团队一直承认,Grin的隐私性远非完美。作为我们不断改进的隐私保护目标的一部分,交易可链接性是我们一直希望减轻的限制,但这并不能“打破” Mimblewimble,更不是能够导致Grin的隐私保护功能失效的“根本性缺陷”。
除了要逐篇反驳这篇文章外,我们还要指出这个研究及其结论中存在的主要问题。
1)Mimblewimble没有地址
Mimblewimble的最根本的隐私好处是该研究和相关文章存在最根本的问题:Mimblewimble没有诸如可能链接到特定比特币钱包的地址。 参与者通过将一笔一次性的输出添加到交易中来实现价值交换,任何时候都不会呈现给区块链网络或区块链数据的可识别“地址”。
2)无法链接到不存在的地址
对于这一点,这篇文章的研究人员似乎采取了不一致的方法。文章随附的github存储库指出:
“没有地址,只有作为Pedersen comitment隐藏的UTXO。”
随后,文章绘制以下方案:
“例如我是执法人员,我知道一个地址属于暗网市场上的供应商。当您将Grin币发送到Coinbase交易所时,Coinbase会将您的地址与您的姓名联系起来。”
文章继续:
“或者说,某个专制政府知道某个地址属于政见不同人士。您向异议人士发送一小笔捐款。”
目前尚不清楚执法人员如何知道一个根本不存在的地址,或者Coinbase如何将不存在的地址链接到所有者的名字。或就此而言,霸权政府将如何能够将一个不存在的地址与某个政见不同人士联系起来。
我们必须假设作者简单地将事务输出(TXO)与地址混淆了,但是二者并不是一回事。而且,正如我们已经详细介绍的那样,可以链接TXO并不是什么新闻。
3)数字95.5%接近100%。 但这也没有太大意义
文章中有关这个实际实验的详细信息被称为“攻击”。 所谓的“嗅探器节点(sniffer nodes)”收集从节点广播的交易,这是蒲公英(Dandelion)协议中茎(stem)和绒毛(fluff)阶段的一部分。 作者能够在特定时间段内收集网络上95.5%的交易。 除了能够知道“ Output A花费在Output B上”之外,目前尚不清楚在此确切地确定了什么,或者作者还可以利用这些信息来完成什么。
4)仅交易图并不能显示有关交易方的信息…
尽管在交易过程中最好能够避免泄漏交易图,但仅凭该图并不一定能揭示发送方和接收方的输出。 没有金额,就很难区分变更输出(output)和接收人输出(output)。 即使本文并未尝试实际执行此操作,这会是未来研究的一个有趣领域。
5)…作者似乎并没有意识到这一点
文章中提供的Github存储库写到:
“我们发现的是交易图:谁向谁付款的记录”
但实际并不是这样的。
让我们举一个具体的例子。 爱丽丝与Bob建立了交易(可能通过TOR,grinbox或直接文件交换)。 然后,她通过托管节点(例如使用wallet713)将此交易广播到网络。
在此示例中,监视网络的“嗅探器节点”将不会发现有关爱丽丝的任何信息,当然也不会发现谁向谁付款的记录。 “手电筒攻击”是一种主动攻击,其中对手正在参与交易构建过程。 那篇文章中的网络分析活动是被动的,这并成立。
6.文章标题具有误导性,并没有任何东西被“打破”
文章的标题是“打破Mimblewimble的隐私模型”。 Mimblewimble的隐私权模型并未涵盖阻止交易输出被监视节点链接的问题。
结论
您所获得的隐私性永远不会超过匿名集的大小
Grin是一种最小化的加密货币,旨在保护隐私,可扩展且公平。 它远非完美,但它实现了与比特币同等的安全模型,默认情况下启用了更好的隐私性,需要保留的数据更少。 在无需受信任的设置,没有ICO或预挖的情况下,它可完成所有这些工作。
但是,Grin仍很年轻,还没有发挥出全部潜力。 主网上线11个月以来,网络使用率仍然较低。 在最近的1000个区块中,有22%仅包含一个交易(而30%不包含交易),这意味着它们的输入(input)和输出(output)是轻微可链接的。 在网络使用率提高之前,这种情况不会改变,但这仍然并不意味着发送方和接收方的身份会被泄露。
团队协作可为隐私研究提供帮助
作为Grin的贡献者,我们很高兴看到对该项目产生了兴趣。我们社区欢迎对Grin的协议和代码库进行科学分析和审查,但同时也希望具有一定的严格性。实际上,如果我们被请求,我们甚至可以提供相关帮助。
Dragonfly Capital研究员发表的文章要求Haseeb,Oleg,Elena,Mohammed和Nader审查了他们的工作,但是不幸的是,他们没有要求Grin社区中的任何人参与,或者度他们要发布的东西提供(友好的)反馈。如果他们这样做了,我们可能就不会进行这次回应了,并且只会提高工作质量。在一条推文中,那篇文章的作者写道:
“重要的是,我非常尊重Grin社区和核心开发人员,他们在回答我的问题方面都提供了极大的帮助。”
听起来好像是他们在发布那篇文章时与我们联系了,但是在我们的Gitter频道或Keybase中,我们都没有看到任何有关该作者的东西。双方错过了进行高质量研究的机会。
本文联合作者:David Burkett, Jasper, @joltz, Quentin Le Sceller, Yeastplume.
更新:
同样采用Mimblewimble隐私技术的莱特币项目的创始人李启威对此在推特上回应称,
MimbleWimble协议的这种限制是众所周知的。MW基本上属于隐密交易,具有扩展优势和一定程度的不可链接性。为了获得更好的隐私,用户仍然可以在广播之前使用CoinJoin(CJ),并且由于CT(Confidential Transactions)和聚合的原因,CJ与MW运行的也很好。与BTC / LTC相比,MW上的CJ更加简单易用。
1. MW具有CT,因此所有数量都被隐藏,因此无需决定统一的输出大小;
2. 使用MW中的聚合,无需签署最终的CJ交易。因此,不能通过不签名来拒绝服务。
截至目前,Ivan Bogatyy发出更正文章称,Mimblewimble协议的隐私性不是根本性缺陷。
原文:https://medium.com/grin-mimblewimble/factual-inaccuracies-of-breaking-mimblewimbles-privacy-model-8063371839b9
作者:Daniel Lehnberg
编译:Kyle
Monero,Zcash和Grin谁才是匿名币之王?
攻略 • hellobtc 发表了文章 • 2019-06-25 17:31
自比特币 2009 年上线以来,其去中心化,抗通胀,低门槛等特性逐渐被大众所认可。但是,随着当今社会对个人隐私越发的重视,比特币其账本 100% 公开透明的特点也遭受诟病,一定程度上阻碍了比特币作为支付手段(灰色地带)的发展。
为了保护用户的隐私,基于各种技术的匿名币应运而生。存在即合理,匿名币注定会在区块链蓝图里占据重要一席。 今天,要和大家讨论的是匿名技术中三位典型的代表:门罗币(Monero),大零币(Zcash)和古灵币(Grin)。究竟谁才是匿名之王?
一、前世与今生
门罗币(Monero)于2014年4月18日主网上线。其代码从匿名币 ByteCoin 分叉而来。为什么会分叉?因为 ByteCoin 不够透明,80% 的代币被预挖,掌握在少数人手里,这也是为什么币安下架这个代币的原因之一。同时 ByteCoin 的代码质量极差引起了社区完美主义者的极度不满。
Monero 一词在世界语中代表着“货币“,该命名由社区投票选出,表达了社区希望 Monero 成为全世界通用匿名货币的初衷。Monero 采用 PoW 共识算法,到2022年5月,预计将开采出 1822.3 万枚代币(目前流通量为 1700 万枚),之后将保持每分钟发行 0.3XMR 的速度来继续激励矿工维护网络的安全。在还没有太多匿名币竞争者的蛮荒时代(2014年-2016年),Monero 在黑市越来越流行,从最初的 500 万美金市值,一路攀升到现在的 15 亿美金,涨幅高达 300 倍。
大零币(Zcash) 于2016年10月28日主网上线。其前身为 Zerocash 零协议,该协议于 2014 年创立,并由霍普金斯,麻省理工等大学实验室维护。零协议着重解决数字货币隐私的问题。Zcash 是第一个基于零协议,实现了零知识认证(Zero Knowledge Proof)的匿名币。 Zcash 由比特币代码分叉而来,因此 Zcash 许多特性和比特币相似,例如:Zcash 总量为 2100 万个,每四年减产一次等等(目前流通量为 680 万枚)。
Zcash 这个项目由一家名为 Electric Coin 的美国公司维护。在 Zcash 被开采的前四年,10%(流通量) 挖出来的币(按照 200 美金价格计算,10% 一共是 1.36 亿美金)会进到这家公司的口袋,以维持公司的经营。这也直接导致了社区的不满,出现很多 Zcash 的分叉币,例如:Horizen,Zclassic 等等。值得一提的是,Zcash 因为其慢启动的设计,即开采初期挖矿难度非常的高,一个 Zcash 曾一度达到 3000BTC 一个的天价。真是心疼当年接盘的老铁啊,这辈子应该也无法解套了。另外大零币并非强制要求链上所有的交易都是匿名的,只有当你选择使用隐地址(Shielded Address)时候,交易才会匿名。
古灵币 Grin 于2019年1月15日主网上线。Grin 采用了 MimbleWimble 协议。2016年,MimbleWimble 协议由一位化名为伏地魔的 Tom Elvis Jedusor 的程序员在 Bitcointalk 提出,主要的目的是解决比特币扩容和隐私的问题。同年10月,论坛上另一位匿名开发者发布了基于 MimbleWimble 协议的第一个项目,并命名为 Grin。Grin 除了捐赠,没有进行任何形式的融资,没有私募,lCO,也没有任何预挖。
为了稳定 Grin 的价格,Grin 发行总量没有上限,每分钟出一个块,每个区块奖励 60 枚 Grin,区块奖励将会逐渐的降低 。按照此方法计算,目前流通的 Grin 大约有 1300 万枚 Grin,一年后将会生成 3000 万枚 Grin,30 年后将会生成 10 亿枚Grin。同时 Grin 的 PoW 使用了两种算法:主要算法 Cuckatoo31+(ASIC友好) 和次要算法 Cuckatoo29(抗ASIC) ,其目的是:在主网发布初期,90% 的区块将被 Cuckatoo29(抗ASIC) 挖出,因为 Grin 开发者认为,当网络算力很小时,矿工很容易掌握大部分的算力导致网络过于中心化。当主网络稳定,算力足够大时,Grin 的挖矿方式则会慢慢切换到主要算力(ASIC友好),目的是鼓励矿机生产厂商制造 Grin 矿机,增加全网算力,提高网络的安全性。
二、匿名技术
1.门罗币:关键词: 隐地址,环签名,机密交易,Korvi
隐地址(Stealth Address)的作用是隐藏收款人的地址,保护收款人的隐私。Stealth Address 工作的原理是:每当有交易发起, 都会随机的生成一个新的收款人地址。这样做的好处是,就算有多笔交易发送给同一个人,每笔交易的交易记录都显示不同的收款地址。这让外界不可能将这些交易记录联系到同一个收款人身上,从而保护了收款人的隐私。
环签名(Ring Signature)的作用是隐藏发送人的地址,保护发送人的隐私。从 Ring Signature 字面意思可以略知一二,那就是通过一群人形成一个环(圈子),每个在环(圈子)里面的人都有相同的地位和权力,环(圈子)里的任何人都可以授权交易。如果使用环签名授权交易,从外界的交易记录来看,无法确认具体是环(圈子)里哪个人授权的交易,从而保护了发送人的隐私。
机密交易(RCT)的作用是用来隐藏交易金额。RCT 全称为 Ring Confidential Transaction,在引入 RCT 之前,门罗币要求只能把交易金额一样的交易串成一个环,比如张三手上有 20 个门罗币想给李四转账 10 个,但是当前并没有 10 的环,那么张三只能把交易拆分成 3 的环和 7 的环。在引入 RCT 之后,如果张三拥有 20 个门罗,但只想转移 10 个门罗给李四,但是RCT 要求把交易分成 10+10 两部分,一部分直接转移给李四,另外一部分转移给张三自己,从而隐藏交易信息。
Korvi 的作用是用来隐藏交易双方的 IP 地址。Korvi 不是简单的 VPN 网络 。你可以把 Korvi 理解为门罗特有的中继网络。在 Korvi 每个网络节点之间,每笔交易都会被节点自己掌握的私钥进行加密。就好比 A 给 B 发送交易,在实际的 Korvi 网络中,数据包经过的路径为A->D->E->F->C->B 。如果你想拦截翻译 AB 之间的交易信息,你需要获取A,D,E,F,C,B所有人的授权和私钥,这是非常非常困难的,因为路径一直在动态地更改。
2.大零币:关键词:zk-SNARK,零知识证明
大零币基于 zk-SNARK 协议, 采用了 零知识证明( Zero Knowledge Proof)的方式来保护用户的隐私。零知识证明即能够证明自己某种权益,但又不把相关信息泄露出去,即给外界的知识为零的一种证明方式。零知识证明需要满足三个特性:完整性,可靠性和零知识性。为了方便大家理解。大白举一个例子:
假设:张三和李四参加了币安组织的交易大赛,大赛规定:一等奖获得 200 个 BNB,二等奖获得 100 个 BNB,三等奖获得 50 个 BNB,参与奖 10 个 BNB。
实际情况:李四获得了第二名(100BNB),张三只获得了第三名(50BNB)。
问题:张三和李四想知道对方是否和自己取得了一样的成绩,因为面子问题,又不想把自己的具体获奖情况泄露给对方。
零知识证明法:
张三准备了四个信箱和四把钥匙,持有这四个信箱钥匙分别代表张三获得一等奖,二等奖,三等奖和参与奖。根据实际情况(张三获得三等奖),张三按照规定毁掉了1号,2号,4号信箱的钥匙,保留了3号信箱的钥匙。
李四准备了四封空白的信,在四封信上画微笑分别代表李四获得一等奖,二等奖,三等奖和参与奖。李四按照规定在2号信上画了一个笑脸(李四获得二等奖),并将几封信依次投入张三准备的信箱。
第二天,张三自己用钥匙打开3号信箱,查看李四投信,发现信是空白,张三便知道李四没有和自己得同样的奖,并把信归还给李四。李四收到回信后,发现信上没有笑脸,李四便知道张三和自己没有获得相同的名次。
上述过程,便是零知识证明的一个典型例子,其证明过程中没有泄露给外界任何信息。
3.古灵币:关键词:MimbleWimble
MimbleWimble 来自于《哈利波特》中的一句咒语,目的是让被施咒的人无法开口说话,保护秘密。MimbleWimble 没有采用比特币的 UTXO 模型,因此可以省略大量历史数据的中间数据,比如:A-B-C-D,可以直接压缩为A-D,从而压缩了大量数据。MimbleWimble 协议中没有地址,参与交易的双方需共同创建一个用于交易的多重签名,并用私钥验证交易。所以在MimbleWimble 中,只需要验证 2 个事情:1:该交易没有凭空产生新的币。2:交易双方拥有其私钥的所有权。
MimbleWimble 巧妙地利用了椭圆密码学(Elliptic Curve Cryptography)满足乘法交换率和结合律的特性,来引入致盲因子从而模糊交易信息,举个例子:
引入致盲因子之前交易信息为:10+5=15
引入致盲因子5之后:10*5+5*5=15*5 即 50+25=75,
等式依然成立,但只有参与了交易的双方掌握了致盲因子的私钥,才能够得将致盲因子分解出来,得到交易信息。
可以说,匿名币这三巨头的技术可谓各有千秋,那么一个项目的成功光靠技术是不行的,我们再来从其他的维度来对比一下这三个老大哥,具体见下表:
三、小结
最后我们来总结下这三个匿名币各自的优势和劣势吧:
门罗币(Monero):
优势:
1.匿名货币的鼻祖,其核心技术经过了时间的考验。
2. 背后团队完全匿名,项目完全由社区治理。
3. 知名度高,已上线大部分顶级交易所,流动性非常好。
4. 已经开采了 95% 以上,未来通货膨胀率低于 1%。
劣势:
1. 市值较高。
大零币(Zcash):
优势:
1. 第一个基于零知识证明的匿名币。
2. 背后的公司拥有充足的资金以支持项目的发展。
3. 匿名非强制性。
劣势:
1. 项目由公司主导,财务不够公开透明。2020 年之后,10% 挖矿收益将不再支付给其背后的公司,那么该公司是否还有动力继续维护该项目?还是说放任不管,归还给社区?其背后的公司是一颗大雷。
2. 目前为止,Zcash 链上只有 20% 不到的交易为匿名交易,大部分还是公开的交易!!
古灵币(Grin):
优势:
1. MimbleWimble 技术创新 :占用空间小,交易速度快。
2. 社区主导,未接受任何形式的融资 ,不涉及复杂的利益关系。
劣势:
1. Grin 因为设计,没有地址,因此用户体验不是很友好。
2. Grin 在前期通货膨胀非常严重:每个块生产 60 个 Grin,按季度减少出块奖励,第一季度通货膨胀为 400%,第二季度为 200%,第三季度为 133.3%......十年后通货膨胀仍然高达 10%。
3. Grin 没有资金上大的交易所,只能等交易所强上,比较被动。
作者:希多说币 希多 查看全部
为了保护用户的隐私,基于各种技术的匿名币应运而生。存在即合理,匿名币注定会在区块链蓝图里占据重要一席。 今天,要和大家讨论的是匿名技术中三位典型的代表:门罗币(Monero),大零币(Zcash)和古灵币(Grin)。究竟谁才是匿名之王?
一、前世与今生
门罗币(Monero)于2014年4月18日主网上线。其代码从匿名币 ByteCoin 分叉而来。为什么会分叉?因为 ByteCoin 不够透明,80% 的代币被预挖,掌握在少数人手里,这也是为什么币安下架这个代币的原因之一。同时 ByteCoin 的代码质量极差引起了社区完美主义者的极度不满。
Monero 一词在世界语中代表着“货币“,该命名由社区投票选出,表达了社区希望 Monero 成为全世界通用匿名货币的初衷。Monero 采用 PoW 共识算法,到2022年5月,预计将开采出 1822.3 万枚代币(目前流通量为 1700 万枚),之后将保持每分钟发行 0.3XMR 的速度来继续激励矿工维护网络的安全。在还没有太多匿名币竞争者的蛮荒时代(2014年-2016年),Monero 在黑市越来越流行,从最初的 500 万美金市值,一路攀升到现在的 15 亿美金,涨幅高达 300 倍。
大零币(Zcash) 于2016年10月28日主网上线。其前身为 Zerocash 零协议,该协议于 2014 年创立,并由霍普金斯,麻省理工等大学实验室维护。零协议着重解决数字货币隐私的问题。Zcash 是第一个基于零协议,实现了零知识认证(Zero Knowledge Proof)的匿名币。 Zcash 由比特币代码分叉而来,因此 Zcash 许多特性和比特币相似,例如:Zcash 总量为 2100 万个,每四年减产一次等等(目前流通量为 680 万枚)。
Zcash 这个项目由一家名为 Electric Coin 的美国公司维护。在 Zcash 被开采的前四年,10%(流通量) 挖出来的币(按照 200 美金价格计算,10% 一共是 1.36 亿美金)会进到这家公司的口袋,以维持公司的经营。这也直接导致了社区的不满,出现很多 Zcash 的分叉币,例如:Horizen,Zclassic 等等。值得一提的是,Zcash 因为其慢启动的设计,即开采初期挖矿难度非常的高,一个 Zcash 曾一度达到 3000BTC 一个的天价。真是心疼当年接盘的老铁啊,这辈子应该也无法解套了。另外大零币并非强制要求链上所有的交易都是匿名的,只有当你选择使用隐地址(Shielded Address)时候,交易才会匿名。
古灵币 Grin 于2019年1月15日主网上线。Grin 采用了 MimbleWimble 协议。2016年,MimbleWimble 协议由一位化名为伏地魔的 Tom Elvis Jedusor 的程序员在 Bitcointalk 提出,主要的目的是解决比特币扩容和隐私的问题。同年10月,论坛上另一位匿名开发者发布了基于 MimbleWimble 协议的第一个项目,并命名为 Grin。Grin 除了捐赠,没有进行任何形式的融资,没有私募,lCO,也没有任何预挖。
为了稳定 Grin 的价格,Grin 发行总量没有上限,每分钟出一个块,每个区块奖励 60 枚 Grin,区块奖励将会逐渐的降低 。按照此方法计算,目前流通的 Grin 大约有 1300 万枚 Grin,一年后将会生成 3000 万枚 Grin,30 年后将会生成 10 亿枚Grin。同时 Grin 的 PoW 使用了两种算法:主要算法 Cuckatoo31+(ASIC友好) 和次要算法 Cuckatoo29(抗ASIC) ,其目的是:在主网发布初期,90% 的区块将被 Cuckatoo29(抗ASIC) 挖出,因为 Grin 开发者认为,当网络算力很小时,矿工很容易掌握大部分的算力导致网络过于中心化。当主网络稳定,算力足够大时,Grin 的挖矿方式则会慢慢切换到主要算力(ASIC友好),目的是鼓励矿机生产厂商制造 Grin 矿机,增加全网算力,提高网络的安全性。
二、匿名技术
1.门罗币:关键词: 隐地址,环签名,机密交易,Korvi
隐地址(Stealth Address)的作用是隐藏收款人的地址,保护收款人的隐私。Stealth Address 工作的原理是:每当有交易发起, 都会随机的生成一个新的收款人地址。这样做的好处是,就算有多笔交易发送给同一个人,每笔交易的交易记录都显示不同的收款地址。这让外界不可能将这些交易记录联系到同一个收款人身上,从而保护了收款人的隐私。
环签名(Ring Signature)的作用是隐藏发送人的地址,保护发送人的隐私。从 Ring Signature 字面意思可以略知一二,那就是通过一群人形成一个环(圈子),每个在环(圈子)里面的人都有相同的地位和权力,环(圈子)里的任何人都可以授权交易。如果使用环签名授权交易,从外界的交易记录来看,无法确认具体是环(圈子)里哪个人授权的交易,从而保护了发送人的隐私。
机密交易(RCT)的作用是用来隐藏交易金额。RCT 全称为 Ring Confidential Transaction,在引入 RCT 之前,门罗币要求只能把交易金额一样的交易串成一个环,比如张三手上有 20 个门罗币想给李四转账 10 个,但是当前并没有 10 的环,那么张三只能把交易拆分成 3 的环和 7 的环。在引入 RCT 之后,如果张三拥有 20 个门罗,但只想转移 10 个门罗给李四,但是RCT 要求把交易分成 10+10 两部分,一部分直接转移给李四,另外一部分转移给张三自己,从而隐藏交易信息。
Korvi 的作用是用来隐藏交易双方的 IP 地址。Korvi 不是简单的 VPN 网络 。你可以把 Korvi 理解为门罗特有的中继网络。在 Korvi 每个网络节点之间,每笔交易都会被节点自己掌握的私钥进行加密。就好比 A 给 B 发送交易,在实际的 Korvi 网络中,数据包经过的路径为A->D->E->F->C->B 。如果你想拦截翻译 AB 之间的交易信息,你需要获取A,D,E,F,C,B所有人的授权和私钥,这是非常非常困难的,因为路径一直在动态地更改。
2.大零币:关键词:zk-SNARK,零知识证明
大零币基于 zk-SNARK 协议, 采用了 零知识证明( Zero Knowledge Proof)的方式来保护用户的隐私。零知识证明即能够证明自己某种权益,但又不把相关信息泄露出去,即给外界的知识为零的一种证明方式。零知识证明需要满足三个特性:完整性,可靠性和零知识性。为了方便大家理解。大白举一个例子:
假设:张三和李四参加了币安组织的交易大赛,大赛规定:一等奖获得 200 个 BNB,二等奖获得 100 个 BNB,三等奖获得 50 个 BNB,参与奖 10 个 BNB。
实际情况:李四获得了第二名(100BNB),张三只获得了第三名(50BNB)。
问题:张三和李四想知道对方是否和自己取得了一样的成绩,因为面子问题,又不想把自己的具体获奖情况泄露给对方。
零知识证明法:
张三准备了四个信箱和四把钥匙,持有这四个信箱钥匙分别代表张三获得一等奖,二等奖,三等奖和参与奖。根据实际情况(张三获得三等奖),张三按照规定毁掉了1号,2号,4号信箱的钥匙,保留了3号信箱的钥匙。
李四准备了四封空白的信,在四封信上画微笑分别代表李四获得一等奖,二等奖,三等奖和参与奖。李四按照规定在2号信上画了一个笑脸(李四获得二等奖),并将几封信依次投入张三准备的信箱。
第二天,张三自己用钥匙打开3号信箱,查看李四投信,发现信是空白,张三便知道李四没有和自己得同样的奖,并把信归还给李四。李四收到回信后,发现信上没有笑脸,李四便知道张三和自己没有获得相同的名次。
上述过程,便是零知识证明的一个典型例子,其证明过程中没有泄露给外界任何信息。
3.古灵币:关键词:MimbleWimble
MimbleWimble 来自于《哈利波特》中的一句咒语,目的是让被施咒的人无法开口说话,保护秘密。MimbleWimble 没有采用比特币的 UTXO 模型,因此可以省略大量历史数据的中间数据,比如:A-B-C-D,可以直接压缩为A-D,从而压缩了大量数据。MimbleWimble 协议中没有地址,参与交易的双方需共同创建一个用于交易的多重签名,并用私钥验证交易。所以在MimbleWimble 中,只需要验证 2 个事情:1:该交易没有凭空产生新的币。2:交易双方拥有其私钥的所有权。
MimbleWimble 巧妙地利用了椭圆密码学(Elliptic Curve Cryptography)满足乘法交换率和结合律的特性,来引入致盲因子从而模糊交易信息,举个例子:
引入致盲因子之前交易信息为:10+5=15
引入致盲因子5之后:10*5+5*5=15*5 即 50+25=75,
等式依然成立,但只有参与了交易的双方掌握了致盲因子的私钥,才能够得将致盲因子分解出来,得到交易信息。
可以说,匿名币这三巨头的技术可谓各有千秋,那么一个项目的成功光靠技术是不行的,我们再来从其他的维度来对比一下这三个老大哥,具体见下表:
三、小结
最后我们来总结下这三个匿名币各自的优势和劣势吧:
门罗币(Monero):
优势:
1.匿名货币的鼻祖,其核心技术经过了时间的考验。
2. 背后团队完全匿名,项目完全由社区治理。
3. 知名度高,已上线大部分顶级交易所,流动性非常好。
4. 已经开采了 95% 以上,未来通货膨胀率低于 1%。
劣势:
1. 市值较高。
大零币(Zcash):
优势:
1. 第一个基于零知识证明的匿名币。
2. 背后的公司拥有充足的资金以支持项目的发展。
3. 匿名非强制性。
劣势:
1. 项目由公司主导,财务不够公开透明。2020 年之后,10% 挖矿收益将不再支付给其背后的公司,那么该公司是否还有动力继续维护该项目?还是说放任不管,归还给社区?其背后的公司是一颗大雷。
2. 目前为止,Zcash 链上只有 20% 不到的交易为匿名交易,大部分还是公开的交易!!
古灵币(Grin):
优势:
1. MimbleWimble 技术创新 :占用空间小,交易速度快。
2. 社区主导,未接受任何形式的融资 ,不涉及复杂的利益关系。
劣势:
1. Grin 因为设计,没有地址,因此用户体验不是很友好。
2. Grin 在前期通货膨胀非常严重:每个块生产 60 个 Grin,按季度减少出块奖励,第一季度通货膨胀为 400%,第二季度为 200%,第三季度为 133.3%......十年后通货膨胀仍然高达 10%。
3. Grin 没有资金上大的交易所,只能等交易所强上,比较被动。
作者:希多说币 希多 查看全部
自比特币 2009 年上线以来,其去中心化,抗通胀,低门槛等特性逐渐被大众所认可。但是,随着当今社会对个人隐私越发的重视,比特币其账本 100% 公开透明的特点也遭受诟病,一定程度上阻碍了比特币作为支付手段(灰色地带)的发展。
为了保护用户的隐私,基于各种技术的匿名币应运而生。存在即合理,匿名币注定会在区块链蓝图里占据重要一席。 今天,要和大家讨论的是匿名技术中三位典型的代表:门罗币(Monero),大零币(Zcash)和古灵币(Grin)。究竟谁才是匿名之王?
一、前世与今生
门罗币(Monero)于2014年4月18日主网上线。其代码从匿名币 ByteCoin 分叉而来。为什么会分叉?因为 ByteCoin 不够透明,80% 的代币被预挖,掌握在少数人手里,这也是为什么币安下架这个代币的原因之一。同时 ByteCoin 的代码质量极差引起了社区完美主义者的极度不满。
Monero 一词在世界语中代表着“货币“,该命名由社区投票选出,表达了社区希望 Monero 成为全世界通用匿名货币的初衷。Monero 采用 PoW 共识算法,到2022年5月,预计将开采出 1822.3 万枚代币(目前流通量为 1700 万枚),之后将保持每分钟发行 0.3XMR 的速度来继续激励矿工维护网络的安全。在还没有太多匿名币竞争者的蛮荒时代(2014年-2016年),Monero 在黑市越来越流行,从最初的 500 万美金市值,一路攀升到现在的 15 亿美金,涨幅高达 300 倍。
大零币(Zcash) 于2016年10月28日主网上线。其前身为 Zerocash 零协议,该协议于 2014 年创立,并由霍普金斯,麻省理工等大学实验室维护。零协议着重解决数字货币隐私的问题。Zcash 是第一个基于零协议,实现了零知识认证(Zero Knowledge Proof)的匿名币。 Zcash 由比特币代码分叉而来,因此 Zcash 许多特性和比特币相似,例如:Zcash 总量为 2100 万个,每四年减产一次等等(目前流通量为 680 万枚)。
Zcash 这个项目由一家名为 Electric Coin 的美国公司维护。在 Zcash 被开采的前四年,10%(流通量) 挖出来的币(按照 200 美金价格计算,10% 一共是 1.36 亿美金)会进到这家公司的口袋,以维持公司的经营。这也直接导致了社区的不满,出现很多 Zcash 的分叉币,例如:Horizen,Zclassic 等等。值得一提的是,Zcash 因为其慢启动的设计,即开采初期挖矿难度非常的高,一个 Zcash 曾一度达到 3000BTC 一个的天价。真是心疼当年接盘的老铁啊,这辈子应该也无法解套了。另外大零币并非强制要求链上所有的交易都是匿名的,只有当你选择使用隐地址(Shielded Address)时候,交易才会匿名。
古灵币 Grin 于2019年1月15日主网上线。Grin 采用了 MimbleWimble 协议。2016年,MimbleWimble 协议由一位化名为伏地魔的 Tom Elvis Jedusor 的程序员在 Bitcointalk 提出,主要的目的是解决比特币扩容和隐私的问题。同年10月,论坛上另一位匿名开发者发布了基于 MimbleWimble 协议的第一个项目,并命名为 Grin。Grin 除了捐赠,没有进行任何形式的融资,没有私募,lCO,也没有任何预挖。
为了稳定 Grin 的价格,Grin 发行总量没有上限,每分钟出一个块,每个区块奖励 60 枚 Grin,区块奖励将会逐渐的降低 。按照此方法计算,目前流通的 Grin 大约有 1300 万枚 Grin,一年后将会生成 3000 万枚 Grin,30 年后将会生成 10 亿枚Grin。同时 Grin 的 PoW 使用了两种算法:主要算法 Cuckatoo31+(ASIC友好) 和次要算法 Cuckatoo29(抗ASIC) ,其目的是:在主网发布初期,90% 的区块将被 Cuckatoo29(抗ASIC) 挖出,因为 Grin 开发者认为,当网络算力很小时,矿工很容易掌握大部分的算力导致网络过于中心化。当主网络稳定,算力足够大时,Grin 的挖矿方式则会慢慢切换到主要算力(ASIC友好),目的是鼓励矿机生产厂商制造 Grin 矿机,增加全网算力,提高网络的安全性。
二、匿名技术
1.门罗币:关键词: 隐地址,环签名,机密交易,Korvi
隐地址(Stealth Address)的作用是隐藏收款人的地址,保护收款人的隐私。Stealth Address 工作的原理是:每当有交易发起, 都会随机的生成一个新的收款人地址。这样做的好处是,就算有多笔交易发送给同一个人,每笔交易的交易记录都显示不同的收款地址。这让外界不可能将这些交易记录联系到同一个收款人身上,从而保护了收款人的隐私。
环签名(Ring Signature)的作用是隐藏发送人的地址,保护发送人的隐私。从 Ring Signature 字面意思可以略知一二,那就是通过一群人形成一个环(圈子),每个在环(圈子)里面的人都有相同的地位和权力,环(圈子)里的任何人都可以授权交易。如果使用环签名授权交易,从外界的交易记录来看,无法确认具体是环(圈子)里哪个人授权的交易,从而保护了发送人的隐私。
机密交易(RCT)的作用是用来隐藏交易金额。RCT 全称为 Ring Confidential Transaction,在引入 RCT 之前,门罗币要求只能把交易金额一样的交易串成一个环,比如张三手上有 20 个门罗币想给李四转账 10 个,但是当前并没有 10 的环,那么张三只能把交易拆分成 3 的环和 7 的环。在引入 RCT 之后,如果张三拥有 20 个门罗,但只想转移 10 个门罗给李四,但是RCT 要求把交易分成 10+10 两部分,一部分直接转移给李四,另外一部分转移给张三自己,从而隐藏交易信息。
Korvi 的作用是用来隐藏交易双方的 IP 地址。Korvi 不是简单的 VPN 网络 。你可以把 Korvi 理解为门罗特有的中继网络。在 Korvi 每个网络节点之间,每笔交易都会被节点自己掌握的私钥进行加密。就好比 A 给 B 发送交易,在实际的 Korvi 网络中,数据包经过的路径为A->D->E->F->C->B 。如果你想拦截翻译 AB 之间的交易信息,你需要获取A,D,E,F,C,B所有人的授权和私钥,这是非常非常困难的,因为路径一直在动态地更改。
2.大零币:关键词:zk-SNARK,零知识证明
大零币基于 zk-SNARK 协议, 采用了 零知识证明( Zero Knowledge Proof)的方式来保护用户的隐私。零知识证明即能够证明自己某种权益,但又不把相关信息泄露出去,即给外界的知识为零的一种证明方式。零知识证明需要满足三个特性:完整性,可靠性和零知识性。为了方便大家理解。大白举一个例子:
假设:张三和李四参加了币安组织的交易大赛,大赛规定:一等奖获得 200 个 BNB,二等奖获得 100 个 BNB,三等奖获得 50 个 BNB,参与奖 10 个 BNB。
实际情况:李四获得了第二名(100BNB),张三只获得了第三名(50BNB)。
问题:张三和李四想知道对方是否和自己取得了一样的成绩,因为面子问题,又不想把自己的具体获奖情况泄露给对方。
零知识证明法:
张三准备了四个信箱和四把钥匙,持有这四个信箱钥匙分别代表张三获得一等奖,二等奖,三等奖和参与奖。根据实际情况(张三获得三等奖),张三按照规定毁掉了1号,2号,4号信箱的钥匙,保留了3号信箱的钥匙。
李四准备了四封空白的信,在四封信上画微笑分别代表李四获得一等奖,二等奖,三等奖和参与奖。李四按照规定在2号信上画了一个笑脸(李四获得二等奖),并将几封信依次投入张三准备的信箱。
第二天,张三自己用钥匙打开3号信箱,查看李四投信,发现信是空白,张三便知道李四没有和自己得同样的奖,并把信归还给李四。李四收到回信后,发现信上没有笑脸,李四便知道张三和自己没有获得相同的名次。
上述过程,便是零知识证明的一个典型例子,其证明过程中没有泄露给外界任何信息。
3.古灵币:关键词:MimbleWimble
MimbleWimble 来自于《哈利波特》中的一句咒语,目的是让被施咒的人无法开口说话,保护秘密。MimbleWimble 没有采用比特币的 UTXO 模型,因此可以省略大量历史数据的中间数据,比如:A-B-C-D,可以直接压缩为A-D,从而压缩了大量数据。MimbleWimble 协议中没有地址,参与交易的双方需共同创建一个用于交易的多重签名,并用私钥验证交易。所以在MimbleWimble 中,只需要验证 2 个事情:1:该交易没有凭空产生新的币。2:交易双方拥有其私钥的所有权。
MimbleWimble 巧妙地利用了椭圆密码学(Elliptic Curve Cryptography)满足乘法交换率和结合律的特性,来引入致盲因子从而模糊交易信息,举个例子:
引入致盲因子之前交易信息为:10+5=15
引入致盲因子5之后:10*5+5*5=15*5 即 50+25=75,
等式依然成立,但只有参与了交易的双方掌握了致盲因子的私钥,才能够得将致盲因子分解出来,得到交易信息。
可以说,匿名币这三巨头的技术可谓各有千秋,那么一个项目的成功光靠技术是不行的,我们再来从其他的维度来对比一下这三个老大哥,具体见下表:
三、小结
最后我们来总结下这三个匿名币各自的优势和劣势吧:
门罗币(Monero):
优势:
1.匿名货币的鼻祖,其核心技术经过了时间的考验。
2. 背后团队完全匿名,项目完全由社区治理。
3. 知名度高,已上线大部分顶级交易所,流动性非常好。
4. 已经开采了 95% 以上,未来通货膨胀率低于 1%。
劣势:
1. 市值较高。
大零币(Zcash):
优势:
1. 第一个基于零知识证明的匿名币。
2. 背后的公司拥有充足的资金以支持项目的发展。
3. 匿名非强制性。
劣势:
1. 项目由公司主导,财务不够公开透明。2020 年之后,10% 挖矿收益将不再支付给其背后的公司,那么该公司是否还有动力继续维护该项目?还是说放任不管,归还给社区?其背后的公司是一颗大雷。
2. 目前为止,Zcash 链上只有 20% 不到的交易为匿名交易,大部分还是公开的交易!!
古灵币(Grin):
优势:
1. MimbleWimble 技术创新 :占用空间小,交易速度快。
2. 社区主导,未接受任何形式的融资 ,不涉及复杂的利益关系。
劣势:
1. Grin 因为设计,没有地址,因此用户体验不是很友好。
2. Grin 在前期通货膨胀非常严重:每个块生产 60 个 Grin,按季度减少出块奖励,第一季度通货膨胀为 400%,第二季度为 200%,第三季度为 133.3%......十年后通货膨胀仍然高达 10%。
3. Grin 没有资金上大的交易所,只能等交易所强上,比较被动。
作者:希多说币 希多
Circle Research | MimbleWimble深度报告(下篇)
投研 • firstone 发表了文章 • 2019-03-28 11:40
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告下篇,主要讲述MW协议的具体用例及拓展等问题,相关原理背景可查看上篇文章,感谢支持!
MimbleWimble不是首个或唯一保护区块链隐私的方法。要对所有可用的隐私解决方案进行全面和深入的讨论超出了本报告的范围,但重要的是讨论替代方案。包括(但不限于)其他协议或底层匿名币(Zcash、Monero)、第二层隐私解决方案(Blockstream侧链)和交易层隐私(通过Samourai和Wasabi等钱包)。
匿名币
在Grin和Beam之前推出的2种匿名币是Zcash和Monero,这些币在协议层实现了匿名。Monero是一种基于CryptoNote协议的匿名币。Monero的一大优势是,默认情况下匿名。隐藏发送、接收地址和交易。Monero使用环形保密交易和隐蔽地址来实现匿名。环形签名会在交易中添加“诱饵”,而不会暴露哪些币经过签名,从而有效地混合了这些币。Monero的主要缺点是,即使使用了防弹技术,节省了大量空间,交易规模也是比特币交易的10倍。
Zcash的设计基于Zerocash协议。Zcash使用隐藏地址隐藏交易方,用zk-snark(一种零知识证明)隐藏交易金额。与Monero(以及基于mimblewimble的Grin和Beam)不同,Zcash默认不提供匿名性。在Zcash更新Sapling之前,创建一个保密交易需要大量的计算和时间。随着Sapling更新,隐藏交易所需的内存和时间减少了,这可能鼓励隐藏交易的使用。可选匿名性的另一个缺点是,隐藏交易可能被视为可疑。另一个受到批评的是Zcash信任设置。虽然Zooko Wilcox曾表示,破坏信任设置不会损害隐私,但比特币研究人员Peter Todd在与zk-snark开发者的交谈中表示反对。
侧链
侧链是一个通过双向锚定连接到一个基础层协议的独立区块链。双向锚定使得原来链上的币在验证过程中以固定比例与侧链资产交换。这些补充链可以支持基本层之外的其他特性和共识机制,以优化解决方案,包括但不仅限于匿名和扩容。比特币侧链公司Blockstream已经部署了一个这样的网络,最近推出的Liquid,默认情况下包含保密交易。Liquid使用一个由15个已知节点组成的小组(称为工作人员)来验证交易并生产区块,这以去中心化为代价加速了交易时间。虽然Liquid的治理更加中心化的,但是它解决了交易所遇到的特殊问题,例如赎回LBTC(Liquid的原生代币)。如果有单个网络节点宕机,这种模式将是非常有用的。此外,Liquid的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。Liquid的另一个缺点是,该平台的受信中介机构由Bitfinex和OKCoin等不受监管、历史上不安全的加密交易所组成。
匿名钱包
基于钱包的匿名解决方案(如Wasabi、Samourai或Breeze)的优势在于,它们可以在比特币(或其他币)的基础上构建,而无需更改底层协议。缺点是,如果没有在较短时间内找到匹配到资金,就会出现较小的匿名集和交易延迟。例如,Samourai的交错弹跳(Staggered Ricochet)可能需要2个小时才能到达接收方。此外,钱包对中心化平台的规则是匿名的。在2019年初,谷歌要求Samourai删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌应用商城的新规则。
尽管有很多增强隐私的方法,但这些技术尚处早期 (包括MimbleWimble、Grin和Beam)。每个人都有自己的权衡,目前还没有明确的答案来解决加密中的隐私问题。
Grin
Grin是MimbleWimble在编程语言Rust中的第一个开源实现。其白皮书由匿名开发者Ignotus Peverell于2016年10月20日发布。许多Grin核心开发者取了与哈利波特相关的绰号。Grin于2019年1月15日在主网上发布之前发布了4个测试网。无论过去还是现在,Grin备受加密社区赞扬,因为它与比特币相似,特别是它的匿名开发团队,公平发行(没有预挖矿、ICO或创始人奖励)和以捐赠为基础的资助模式。无论如何,Grin确实有几个显著特点:
· 货币政策:Grin被设计成一种交易媒介,而不是作为像比特币那样的价值储存手段。Grin的矿工奖励为60Grin/分钟(1Grin/秒)。早期会出现高通胀,但随着时间的推移,通胀会逐渐下降。
· 共识算法:在开始阶段,Grin将尝试通过使用两种PoW来实现去中心化,这两种算法都是Cuckoo Cycle的变形(一种是ASIC友好,另一种抗ASIC)。Cuckoo Cycle是一种新的、有争议的工作量证明算法;Handshake区块链白皮书描述了它的一些问题。
· 治理:Grin没有正式的治理流程,但有一个由8名成员组成的技术委员会,负责管理Grin的通用基金以及开发路线图,它还举行公开的治理和开发会议。
· 功能:Grin正在通过添加诸如无脚本脚本之类的功能来增强MimbleWimble协议,基于这样的功能来实现更复杂的「条件交易」功能。社区成员也在努力通过诸如grinbox和wallet713这样的解决方案来改善用户体验。
· 挑战:虽然Grin因其以捐赠为基础的资助模式而闻名,但依靠外部捐赠继续开发和改进也是一个挑战。此外,要使非技术用户使用Grin,还有很多工作要做。
自成立以来,Grin已在多家交易所上市,但它并没有请求上线交易所或支付上市费用。尽管社区乐于帮助交易所上线Grin,但Ignotus Peverell表示,他们“不会过多担心外部因素和(他们)无法真正控制的事情”。
挖矿算法
最初,Grin团队计划使用两种算法,一种是Cuckoo Cycle3 (John Tromp于2015年开发),另一种是Equihash算法Equigrin,该算法要求较高的内存。
由于对内存的需求,限制了CPU和高范围GPU的计算。在Cuckoo Cycle发展过程中,由于对静态随机存取存储器(SRAM)的要求,人们认为Cuckoo Cycle具有抗ASIC特性。受SRAM限制的算法使制造ASIC更加困难和昂贵。Cuckoo Cycle的创始人John Tromp说,“Cuckoo Cycle最初是为了让内存延迟成为瓶颈而设计的。现在,许多年过去了,我们意识到Cuckoo Cycle可以很好地利用…SRAM,在ASIC中使用SRAM相当便宜。我们期望ASIC比GPU具有更大的效率优势。”
2018年8月,社区承认(1)在现实中不可避免要使用ASIC,(2)在开始可能不利于启动分布式社区,但从长远来看并非坏事。相反,ASIC友好算法可以使网络更加安全,因为ASIC矿机增加了网络的哈希率,使攻击更加困难和昂贵。ASIC对于协议的长期成功是有好处的,因为投资了数千万美元的矿工在安全方面的诉求与协议保持一致。
另外,Derek Hsue认为,“任何产生持续抗ASIC的尝试都会产生秘密的ASIC芯片——这是有问题的。”
基于以上几点,Grin决定切换到由Cuckoo Cycle变形的工作量证明算法,这是,主要的ASIC友好(AF)算法和次要的抗ASIC(AR)算法,并逐步淘汰次要算法。Grin中的主要算法称为Cuckatoo31+,是Cuckoo Cycle的AF版本。被称为AF是因为它使用了数百MB的SRAM来提供比GPU更高的效率。第2种算法Cuckaroo29是一种内存硬AR PoW算法。然而,真正抗ASIC的唯一方法是进行有计划的硬分叉,不断调整算法(la Monero),使已生成的的ASIC作废。Grin将每6个月执行这样的分叉,以调整算法,以阻止该算法的ASIC生产,直到该算法在两年内逐步淘汰。
加密社区的一些成员密切关注Cuckoo Cycle算法的稳定性。John Tromp在2014年首次提出了这一概念,随着研究人员找到优化计算的方法,这一概念在短短时间内经历了数次修订。Cuckoo Cycle是基于图论问题。一个令人担忧的问题是,如果某个矿工比网络的其他矿工更快地计算出Cuckoo Cycle,那么它可能会获得优势。John Tromp认为,矿工的相对优势可能会随着迁移到更大的图论而增加。如果社区的其他成员实现相同的解决方案,这种优势就会消失。
一开始,Grin的结构是90%的区块用次算法挖矿,10%的区块用主算法挖矿。2年后,100%的区块将使用主算法进行挖矿。在未来2年,Cuckatoo31+(主算法)将获得更大比例的区块奖励,每月线性增长3.75%。Grin社区希望,到Cuckatoo31+占据100%的挖矿份额时,将出现多个ASIC制造商健康竞争的情况。Grin每经过60个区块窗口,会调整一次难度。
Grin矿池
miningpoolstats.com的数据显示,Cuckaroo29有15个矿池,Cuckatoo31+有11个矿池。在撰写本文时,前2个矿池星火矿池和鱼池)的算力之和是Cuckaroo29的82%,Cuckatoo31+的68%。星火矿池和鱼池都向Grin的开发者基金和通用基金提供了捐款。虽然算力似乎集中在矿池,但矿池由许多参与者组成,这些参与者可以选择离开矿池,并随意将其算力转移向其他地方。
第三大矿池是GrinMint,这是BlockCypher于2018年9月首次作为测试网推出的一个矿池,并于2019年1月在主网上推出。BlockCypher收取2.5%的费用,并表示将分配0.5%给Grin开发者社区。BlockCypher还有一位全职开发者为Grin工作(Quentin Le Sceller)。其他回馈Grin社区的矿池包括MimbleWimble Grin Pool和Grin -pool.org。
另一个值得批评的是,在Grin上线时,由风险资本支持的矿工控制了大量的算力。结果,原本是市场买家的投资人变成了加密货币的卖家。当矿池发现区块并获得挖矿奖励时,投资人会立即出售这些代币,因为其要以比特币支付矿工薪酬。
货币政策
Grin的线性发行率,以60Grin/分钟(1Grin/秒)的速率释放代币,供应无限。另一方面,比特币的硬顶为2100万,其供应通缩。每4年区块奖励减半,直到2140年左右达到接近0。该模型鼓励持有币,预期每枚币的价值会随着时间的推移而增加,使比特币作为一种价值储存手段变得有价值。
Grin的早期通胀率非常高,当有数百万枚币在流通,通胀率会随着时间的推移接近0,虽然它永远不会达到0。实际上,通胀率需要10年才能降到10%以下,25年才能降到4%(与2018年的比特币比率大致相同)。通胀率需要50年才能降到2%以下。然而在现实中,Grin团队认为,如果考虑币丢失的情况,通胀率将会降低。据团队称,每年丢失的币可能高达总供应量的2%,在计算通胀率时应将这部分排除在外。无限发行是缓解币丢失影响的一个潜在方案。
无限通货膨胀背后的另一个原因是,(1)与通缩相比,无论是否早期加入网络,通胀政策对参与者的回报和优惠更为公平(对于早期的矿工来说,这不是一个快速致富计划),和(2)如果预计明天的币价等同今天,它会更大的几率被用作交换媒介,这正是Grin的目标。由于币会被大幅稀释,短期到中期的高通胀会刺激消费,而非储蓄。社区认为,鼓励消费会扩大币的供应。
无限供应可以防止Grin最终只能依靠收费市场来确保网络安全——这也是比特币社区目前正在讨论/面临的挑战。一旦比特币的发行接近于0,该网络将必须转向仅收取交易费的模式,以奖励为保护比特币区块链而付出努力的矿工。这是一种新的区块链经济模式,但仍然会存在许多问题:1个区块打包多少交易?达到保护网络的每笔最低交易费是?以及旨在降低费用的第二层解决方案所带来的问题将如何影响底层区块链的安全性?
来源:grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者批评Grin的线性发行率没有上限,因为通胀降低了储蓄的购买力,这否定了将资产作为价值储存的观念。然而,Grin中的通胀是一种有意的设计,目的是鼓励消费,抢占币丢失问题的先机,并确保始终可以补偿那些保护网络安全的矿工。高通胀的一个不利之处是,区块奖励目前在总供应量中占相当大的比例,类似早期的比特币。由于矿池出售Grin奖励,换取比特币支付给矿工,可能会对比特币的价值产生负面影响。
治理
Grin的Lehnberg说:“治理是关于如何做出在参与者(参与决策的人)和利益相关者(受决策影响的人)看来合法的决策。目前Grin并没有一个明确的治理过程,但决策过程是透明的,并对社区开放。”
Grin有一个管理Grin通用基金并指导该项目发展的技术委员会。委员会成员包括Ignotus Peverell,Antioch Peverell,Hashmap, Jaspervdm,Lehnberg,Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner),John Tromp和Gary Yu。任何人都可以参加治理和开发会议,但通常最活跃的贡献者占据重要地位。
技术委员会每2周举行一次治理和开发会议,主题包括抗ASIC、筹资和指导资金使用、重大缺陷和漏洞、安全审计、交换集成、硬分叉等等。Grin还在Github页面上发布会议前后的议程、笔记和会议记录。在grin论坛上有一个关于治理的部分,其中有关于这个主题的帖子,表明社区正在积极思考如何从长远角度进行治理。
技术委员会使早期社区能快速和灵活地治理和开发,避免网络进程减慢。随着Grin的成长和成熟,人们一直在讨论建立一个更加结构化的治理过程,并进行检查和平衡。委员会成员和贡献者已明确表示,有必要确立一个更正式的流程:
· 为社区提供一种更结构化的方式来讨论和反馈
· 设置委员会的职权范围,以及向社区向委员会成员提供意见的规则。
· 所有利益相关方都可以提出自己的意见。包括核心开发者、一次性贡献者、矿工、用户、投资者、交易所等等。
缺点是,该委员会增加了中心化的因素,从长远来看,一个非官方的委员会不利于发展。一个例子是Burst PoCC,它的功能类似于Grin的技术委员会。有一天,他们对社区感到不满并意外退出,但仍然可以访问存储库、DNS注册等。他们还采取了其他恶意行为,如欺骗矿池和过早抛售,最终损害了Burst区块链。
融资
Grin是一个完全基于捐赠的开源项目。虽然它的发行很公平——没有ICO、预挖矿或创始人奖励,但缺点是开发和进展缓慢。Grin依靠无偿的兼职志愿者,为核心开发者基金、安全审计、营销和网络开发、会议等筹集捐款。
正如Tushar Jain指出,“没有资本主义的激励,发展将会被推迟。” Grin社区认识到了这一点。在通用基金页面上,他们说,“现实情况是,有了资金来源,将大大推动Grin的项目发展。这将使Grin更快、更稳定地发挥其潜力,有更好的基础设施支持,并有更大的机会与资金充足的区块链项目竞争(或共存)。”
Grin社区从2016年开始构建Grin,直到2019年1月才在主网上发布。MimbleWimble的另一个实现Beam(详见下方)——是一家由风投投资者支持的私人公司,从2018年初开始研发项目,并早于Grin一周推出。
此外,社区的核心开发者和贡献者Yeastplume (Michael Cordner),在最初难以筹集资金时,无法将全部精力投入Grin。只有在Ignotus Peverell对Cordner的募资活动(5.5万欧元)远未获得10%的资金表示失望之后,募资活动的捐款才开始上升。之后超额完成了筹资目标,在撰写本文时筹集了66,580欧元。
短期内依靠捐赠可能会奏效。然而,要维持发展并吸引人才加入该网络,Grin需要重新考虑其融资模式,因为它面临着资金充足、员工有薪项目的日益激烈竞争。
用户体验
如上所述,MimbleWimble去掉了地址。因此,发送方和接收方必须链下传递消息(称为“交易板”),交互式通信进行币的转让。有多种方法传递标准化的JSON消息。一种方法是文件传输,包含纯文本文件格式的JSON消息,可以通过多种方式传输(电子邮件、电报、Keybase、业余无线电、信鸽等),另一种方法是URL方法,其中API接受原始文本格式的JSON。
一组名为vault713的第三方开发者正在努力使Grin更加实用和更广泛采用。他们的第一个项目是交易协议Grinbox。这是一个消息中继服务,当与wallet713一起使用时,简化交易流程,wallet713由vault713的一个核心Grin钱包分叉而来,目前在Linux上运行。Grinbox和wallet713都旨在改进发送和存储Grin的流程。
首先,它们允许参与者创建公共地址来发送/接收资金,这样他们就不必公开IP地址。wallet713还允许用户将联系人姓名链接到其计算机本地存储的地址。此外,wallet713允许异步构建交易。vault713还在努力增加更多增强隐私和可用性的功能,如多签名支持、BTC和Grin之间的原子交换、在交易流入未确认交易池之前与其他wallet713用户联合使用CoinJoin、移动/网络/桌面GUI等等。
随着协议的成熟和人才的流入,将出现更多创建交易的方法。可能会出现基于NFC、QR、蓝牙等的近距离技术。最终,市场可能就一个方便且简单的方案达成一致,哪种方法能达成标准还有待时间考察。
Grin仅有几个月的历史,目前该协议最适合花时间和精力了解其工作原理的技术用户。虽然社区已经开始通过类似grinbox和wallet713来改善用户体验,但在让非技术用户舒服地在网络上交易之前,还需要时间进行迭代和教育。
结论
Grin最初吸引了密码朋克和密码无政府主义者,但其与比特币相似的精神也吸引了许多人。由于Grin匿名领导者、基于捐赠和草根性的资助模式、对隐私和去中心化的关注、以及其社区对推进项目而非快速赚钱的深切关注而受到赞扬。
但是主网上线只是Grin的第一步。要想让Grin获得长期成功并被广泛采用,还有大量工作要做。要解决的关键问题包括更可靠的筹资方式、更直观的用户体验以吸引更多用户进入网络,以及研究如何解决系统中的隐私漏洞(即监视节点创建交易图的能力)。
核心团队表示,其“主要关注点仍然是稳定性、性能和安全性。通过第三方开发团队将Grin集成到他们的服务和产品中来培育一个健康的生态系统,以提高采用和改进。”无需Grin核心开发者参与,相反,可由围绕Grin的生态系统的第三方开发者解决。
Grin仍然是一个非常新的项目,开创了未经测试的新思想、加密概念和技术。如果Grin解决关键挑战,就有可能成为一种将隐私交还给个人的方式。
Beam
Beam是一家由VC支持的初创公司,总部位于以色列,于2019年1月3日推出了一款基于MimbleWimble协议且专注于隐私的加密货币。它于2018年3月开始以C++做构建,并于2018年9月发布了测试网。虽然Beam和Grin的相似之处在于都是MimbleWimble的实现,旨在为用户增强隐私,但它们的方法不同。与Grin不同,Beam是一家雇佣开发者做开发的私营公司。Beam一开始是封闭其原始代码的,之后才开放。Beam的另一个重要区别是针对企业和监管机构的可选审计性。
· 货币政策:Beam的供应计划是通货紧缩,第1年后,区块奖励下降50%,之后每4年减半,直到达到2.63亿beam的硬顶。此外,20%区块奖励用作开发支付给Beam Treasury,以帮助为Beam未来的开发提供资金。
· 挖矿算法:Beam使用修改版的Equihash,一种工作量证明挖矿算法,提供网络共识。为了确保去中心化,Beam将在前12-18个月定期调整算法以抵抗ASIC。
· 治理:Beam目前是一家由VC支持的初创公司,拥有带薪员工。长期目标是将全面治理移交给管理Beam Treasury并维护协议的非盈利基金会。
· 功能:Beam正在添加一个可审计功能,这样企业就可以在不损害隐私的情况下证明其合规性并提供交易可见。Beam开发者还在探索一个安全的BBS系统,该系统将支持非交互式离线交易。
· 挑战:不断改进PoW协议是一项艰巨的任务,避免ASIC挖矿集成将使全网算力较低,从而网络攻击成本降低。此外,Beam目前是中心化的运营和治理结构,向更去中心化的模式转变需要避免所有投资方之间的权力斗争。
挖矿算法
Beam使用Equihash,这是卢森堡大学的Alex Biryukov和Dmitry Khovratovich创建的一种工作量证明算法。Equihash是一种基于广义生日问题的非对称内存约束算法。Equihash的另一个关键特性是随机挖矿,这意味着生成证明的可能性与过去的成功或失败无关。Equihash有2个参数可以调整:n(以位为单位的宽度)和k(长度),这2个参数决定了底层问题的复杂度,从而决定了算法的内存和时间复杂度。Beam上线时的Equihash参数:n=150, k=5。
Equihash在某种意义上是非对称的,因为它需要大量内存来生成一个证明,但不需要大量内存来验证它。这是Equihash的一个重要特性,因为大多数其他内存约束算法都对称,也就是说,验证证明与生成证明一样困难。内存限制指的是生成证明所花费的时间与内存而不是算力成比例。如果使用更少的内存,Equihash会不成比例地增加计算需求。
最初,内存是一种昂贵的资源,因此ASIC没有比常规CPU和GPU更好的内存优化。另一方面,ASIC比GPU有显著的带宽改进,而GPU又比CPU提供了显著的带宽改进。由于基础设施的改进,优化ASIC内存的成本低于预期。
Zcash也是一家专注于隐私的加密资产,也使用Equihash,最初选择Equihash是因为它抗ASIC。然而,比特大陆在2018年发布了蚂蚁矿机Z9mini,“通过与SRAM接口,以相对较低的成本”,比普通硬件更高效地开采Zcash。Beam在关于Equihash的帖子中强调,“卢森堡大学的研究人员发现,截至2018年5月,20%-30%的Equihash由ASIC挖矿。”
Beam表示,它已经设置了Equihash参数,让CPU和GPU矿工短期内比ASIC拥有优势,从而使币的初始分布更加广泛。然而,Beam认识到ASIC是不可避免的,甚至从长远来看是可取的,因为ASIC成本低廉,并且增加了网络哈希率,从而使其更安全,更难以攻击。
货币政策与融资
Beam的货币政策类似于比特币。特点是规定了一个硬顶和通缩发行计划,定期区块奖励减半(每开采一个区块可获得的代币数量减半),直到通胀率为0。因此,这家初创公司希望Beam能作为价值储存,而不是Grin这样的交换媒介。不过,比特币的相似之处就到此为止,然而,Beam的特殊之处还在于,Beam在第1年有更高的区块奖励,前5年区块奖励部分归于项目创始团队,出块时间为1分钟。
第1年,区块奖励为100 beam,高于通常的奖励,以激励矿工尽早加入网络,并将Beam引入市场。前5年收取20%(创始人费/开发税),所以第1年挖出的每个区块(包含100枚Beam),80枚将支付给矿工,20枚支付给Beam 基金会。在未来2到5年内,区块奖励减半至50枚beam,其中40枚beam支付给矿工,10枚beam支付给基金会。第6年,区块奖励将再次减半至25 枚beam(所有奖励都将支付给矿工),并在未来每4年减半一次,直到第129年。区块奖励将在第133年停止,届时Beam预计将拥有总计2.63亿beam的上限供应。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam采用了创始人奖励机制(也称为开发税),以回报投资者,并为正在进行的协议和工具开发提供财务激励。创始人奖励或费用是构建在区块链协议中的补充代码,该协议自动分割和发送区块奖励(coinbase交易)给区块矿工和创始人团队的地址。
这种方法显然不同于像ICO这样的预挖矿,或者像Dash这样的偷挖(insta-mine),给创始人一大笔流动资金作为报酬。尽管这2种方案都是早期团队成员所希望执行的,但这些报酬设计往往缺乏有效的资金管理或兑现计划。因此,在短期利益驱使下,资金挪用和骗局跑路的情况十分普遍。
创始人奖励则是指随着项目的发展逐渐补偿创始人。因此,初始的利益相关者更有动力去协调利益,维护网络的长期发展。Arjun Balaji指出:将奖励制度纳入协议,提供了透明且固有的资金分配和“以软或硬分叉降低退出摩擦”的自由。
创始人奖励结构最初是由Electric Coin Company(前身为Zcash Company)设计并推广。这家公司是专注于匿名加密资产Zcash的开发和维护Zacash的背后合资企业。起初,Zcash矿工只能获得80%区块奖励。剩下的20%将分配给Zcash基金会(一个支持Zcash开发的独立非盈利组织)、Electric Coin Company以及早期的Zcash开发者和顾问。继头4年之后,预先设定创始人奖励为0,以确保所有新发行的Zcash将全部归矿工直到达到2100万的硬顶。
Beam的融资模式与Zcash类似,在其早期阶段向Beam Treasury支付20%的创始人费。与Zcash不同的是,Beam将在头5年执行,包括第1年区块奖励为100Beam。在这5年结束时,应向Beam Treasury累计提供3150多万Beam。计划将35%的资金用于偿还早期投资者,另外45%的资金将分期偿还给核心团队成员和顾问。剩下的20%将用于支持Beam主权货币基金会(Beam Sovereign Money Foundation),这是该项目维护协议和治理的长期方案。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖励,Beam还从Recruit Co. LTD、Yeoman 's Capital和节点资本在内的各种风险投资基金筹集了500多万美元,用于聘请全职开发者来推进协议。这些投资者将定期获得Beam分期付款(创始人奖励的一部分),以协调每个利益相关者的利益。
Beam核心团队和早期投资者都认识到,更集中的努力将加快生产,并避免其它项目经常出现的长久不更新或主件延迟。因此,Beam的利益相关者选择了这种中心化的方法来指导项目度过初始阶段。随着Beam的不断成熟,其目标是实现更加去中心化的激励和治理结构,将区块奖励交给网络矿工,并将控制权交给社区。
不利的一面是,Beam没有让所有投资者平等参与。在主网上线之前就从投资者那里筹集资金,或者将部分资金分配给特定集团(即ICO、创始人奖励或预挖矿),都可能导致币的不平等分配。
与之相对的是与比特币和Grin类似的产品,在这些产品中,只能通过传统PoW挖矿获得加密资产。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络,挖出新的比特币或Grin。这样的发行往往会在网络用户之间展现出更公平的资金分配。
治理
目前Beam依靠一个位于特拉维夫的小型VC团队来确定所有协议更新和功能添加。因此,项目的组织结构更类似于私人创业公司,而不是大多数去中心化协议所显示的治理过程。这赋予Beam更能控制风险,以及快速转变和自由迭代,以满足市场需求,并加快其早期阶段的生产率。
Beam领导团队由首席执行官Alexander Saidelson、首席技术官Alex Romano、首席运营官Amir Aaronson和首席营销官Beni Issembert组成。其他核心成员主要由开发者以及一些设计人员和部门主管组成。该公司还从12位顾问那里获得见解,有OGroup首席执行官、通用电气(GE)新兴技术部门前首席信息官Maja Vujinovic和Genesis Mining首席执行官兼联合创始人Marco Streng。
随着协议的成熟,创始成员将把控制权从初始团队转移到Beam主权货币基金会(由杰出和受人尊敬的社区成员运营)。Beam认为,建立基金会将有助于实现其去中心化组织结构的目标。确定基金会职责和规则、纳入董事会成员的过程将在未来几个月进行,预计将于2019年底前启动。一旦基金会开始获得支持,当前的Beam公司计划转换为服务提供者的角色,在Beam协议的基础上构建最终用户应用程序。
大部分关于基金会的建立流程尚未公布,但已知的Beam基金会角色包括:
· 管理对Beam协议的改进提案和开发
· 资助和促进与Beam、MimbleWimble和蒲公英协议相关的研究
· 提高促进社区发展的意识
· 推动对数字货币和金融主权中对隐私重要性的认识
挑战
采用创业模式,Beam将面临与大多数创业公司相关的典型问题,并在缓和公众的看法,转向更去中心化的治理模式上处境更艰难。创业公司普遍失败率高,原因有很多,包括产品/市场不匹配、高消耗导致资金不足以及内部团队冲突。一个仅由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能陷整个项目于危境。
更艰巨的任务是获得足够的支持,以帮助将协议治理和开发工作从小型原始团队转移到整个社区。加密资产的一个重要评估指标是项目的去中心化程度,Beam有意延迟该指标。支持Beam策略的论点是项目早期“需要能够快速转动和迭代的自由”。用Arjun Balaji的话来说:“在早期优化去中心化的同时构建新型分布式网络几乎不可能”,因为这些目标本身就存在矛盾。
用户体验
Beam的钱包
Beam为非技术用户提供了图形用户界面(GUI)钱包,并为Mac、Windows和Linux提供了命令行界面(CLI)钱包。Beam桌面钱包创建了交易方可以彼此共享的公共地址。这些地址没有记录在区块链上。Beam最近还推出了Android手机钱包的测试版,并计划推出iOS手机钱包。该公司还表示,正在与硬件钱包供应商进行交流,以推出对Beam的支持。
SBBS
Beam试图通过使用安全公告牌系统(SBBS)使离线交易创建和异步通信更加无缝和安全。Beam的BBS是在上世纪80年代和90年代早期流行的电子公告板系统之后设计的。拥有家用电脑和调制解调器的用户可以通过固定电话与其他电脑连接,并在基于文本的公告牌系统(BBS)上留下信息,供他人查看。BBS主机是将计算机转换成地面数字会场。随着BBS变得越来越先进,用户可以玩基于文本的游戏,甚至可以方便地传输文件。
在Beam中,BBS钱包相当于家庭计算机加上调制解调器(它们是“客户端”),而Beam全节点相当于BBS主机(服务于服务器)。SBBS是节点软件的一部分,并且是链下维护。BBS全节点创建一个存储转发网络,将消息转发给脱机的接收方。消息使用公钥加密,然后通过Beam全节点转发到接收钱包。在这种情况下,公钥充当P2P系统中的地址。如果接收钱包离线, Beam的存储转发节点可以将消息存储在充当留言板的数据库中。参与者解密订阅留言板上的消息,但是只有具有相应私钥的参与者才能解密指向他们的消息。
Beam打算利用其钱包和SBBS,让用户体验类似于基于地址的区块链交易,并降低与基于MimbleWimble协议的加密资产交互的门槛。
Beam钱包面临的挑战
在1月9日发布后不久,Beam开发者就发现了钱包里的一个漏洞,这个漏洞会让用户的资金受到攻击。开发者发现他们在钱包代码中留下了一些不该留存的内容。虽然Beam在发布之前进行了多次代码审查和审计,但主要关注的是Beam加密实现的稳定性,这表明在审计钱包和SBBS时可能没有采用同样的严格标准。Beam宣布,补丁是在内部发现并修复的,没有资金被盗。建议用户卸载钱包,并从Beam网站重新下载更新后的版本。
1月21日,Beam出现了另一个问题,导致区块链在25,709区块暂停生产。原因是钱包使用不当。更具体地说,通过钱包克隆,单个交易中相同的UTXO发送到区块链上。这导致“不正确的核销处理,最终导致无效区块”。Beam在将近3个小时内没有生成区块,在大约5个小时内没有处理交易。
可审计性
Beam的一个关键区别在于,它专注于服务业务。除了MimbleWimble可能带来的改进之外,Beam还开发了一个可选合规和可审计功能(钱包审计或商业钱包),以帮助企业遵守法规并执行所需的审计。这允许企业创建一个附加审计员密钥的钱包,以便审计员识别由商业钱包创建的区块链上的标记交易。有了可选合规的功能,交易仍然匿名,而如果用户有需要,可以向审计人员报告。这为常规业务打开了加密资产的应用场景。
根据Zaidelson的说法,虽然实际的信息将由钱包生成并链下存储,但是区块链会将每个交易的信息引用存储为哈希值。Beam区块链不存储历史交易细节——它只存储引用过去交易的交易内核。在这次采访中,Zaidelson说Beam“可以用这个内核来存储额外的编码信息……包括发票或收据等压缩文件的哈希值。当用户进行审计时,审计人员可以检查数据是否与数据的加密哈希值匹配。
由于这个功能还在开发中,使它的实践具有不确定性。如果它成功了就可能会解决企业的一大痛点。一方面,像比特币这样的加密资产以向竞争对手披露保密信息为代价,提供了完全的透明度和可审计。另一方面,Zcash和Monero等加密资产中的匿名功能可以隐藏所有交易的痕迹,从而禁止任何类型的审计。
可审计性的挑战在于,企业必须安全地存储与哈希值对应的数据。此外,企业需要相信审计员不会与未经授权查看数据的其他方共享审计员密钥。虽然Beam可以创建一种共享私有数据的方法,但是审计人员可能不知道如何审计标记在Beam区块链上的交易。理论上,他们可以将这一功能外包出去,但这将扩大接触敏感数据的人群。
路线图
在主网上发布后不久,Beam发布了2019年的全面路线图。它分为2大类别,Beam Core(专注于改进和推进Beam核心协议)和Beam Compliance(专注于启动和迭代Beam对业务的合规性和可审核性计划)。长期来看,Beam已经的了一个名为“Lumini”的项目,将致力于在Beam和其他一些智能合同区块链(s)之间建立一座桥梁,并在Beam上推出保密资产。
Beam Core
Beam Core分为5个阶段——Agile Atom、Bright Boson、Clear Cathode、Double Doppler、和Eager Electron。路线图的亮点包括年底之前部署闪电网络作为第二层解决方案,实现Beam的快速支付,2019年3月以前推出Beam与比特币原子互换,按计划执行2个硬分叉来调整Equihash挖矿算法以抵抗ASIC,详细参加下图。我们认为Beam首先必须推出智能合约和多签名功能(例如,通过无脚本脚本)来支持第二层解决方案,如闪电网络。
Beam合规
Beam合规性跟踪的主要目标是使Beam商业可用。Beam计划在其合规套件中增添一个“合规钱包”和一个“监管界面”,预计将针对具体国家的监管规定量身定制,目前暂定的上线日期是2020年。
结论
Beam采用了一种商业方法来构建一种价值储存匿名币。它有VC支持,并有全身心投入项目的带薪员工。因此,Beam能在不到一年的时间里从开发到上线。在Beam钱包和安全消息系统方面明确关注用户体验和易用性。另一方面,它的桌面钱包已经出现了一些小问题,可能会导致资金损失,这对如此年轻的项目可能有害。
Beam在其2019年路线图中概述了大型计划,包括在Beam上建立闪电网络,以及为企业和监管机构提供可审计的解决方案。Beam的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了内置选项。然而,Beam的合规性和可审计性方案尚未推出,可能会开放其他攻击向量。Beam有雄心勃勃的目标,在发布到主网之前,应该对这些目标进行彻底的测试,以避免粗心大意的错误导致用户资金或数据受损。如果Beam能够实现其计划,它将提供一组独特的功能,为业务用户解决明显的问题。
回顾
MimbleWimble的新颖之处在于,它通过协议版本的保密交易、CoinJoin和区块内和区块间的核销组合,增强隐私和效率,使更多设备参与保护网络。
Grin和Beam都是MimbleWimble的实现,但它们的相似性仅限于此。Ignotus Peverell (Grin的创始人)指出,“一个常见的误解是,MimbleWimble描述了一个完整的加密货币解决方案,因此往往把Beam和(Grin)相提并论。”
虽然这两个项目都旨在为用户改进隐私和效率,但它们在大部分技术、结构和组织上存在差异。引发最多讨论的是Grin的捐赠和志愿者驱动/密码朋克式(类似于比特币和Monero)的可持续性,与Beam的VC支持的初创公司方法(类似于Zcash)的创始人奖励和付费员工的可持续性。时间会证明哪种方法更好。在此之前,看看这些项目如何相互作用并相互学习将是一件有趣的事情。
想要获取更多区块链项目资讯,欢迎添加助手微信号:go-first-one 查看全部
MimbleWimble不是首个或唯一保护区块链隐私的方法。要对所有可用的隐私解决方案进行全面和深入的讨论超出了本报告的范围,但重要的是讨论替代方案。包括(但不限于)其他协议或底层匿名币(Zcash、Monero)、第二层隐私解决方案(Blockstream侧链)和交易层隐私(通过Samourai和Wasabi等钱包)。
匿名币
在Grin和Beam之前推出的2种匿名币是Zcash和Monero,这些币在协议层实现了匿名。Monero是一种基于CryptoNote协议的匿名币。Monero的一大优势是,默认情况下匿名。隐藏发送、接收地址和交易。Monero使用环形保密交易和隐蔽地址来实现匿名。环形签名会在交易中添加“诱饵”,而不会暴露哪些币经过签名,从而有效地混合了这些币。Monero的主要缺点是,即使使用了防弹技术,节省了大量空间,交易规模也是比特币交易的10倍。
Zcash的设计基于Zerocash协议。Zcash使用隐藏地址隐藏交易方,用zk-snark(一种零知识证明)隐藏交易金额。与Monero(以及基于mimblewimble的Grin和Beam)不同,Zcash默认不提供匿名性。在Zcash更新Sapling之前,创建一个保密交易需要大量的计算和时间。随着Sapling更新,隐藏交易所需的内存和时间减少了,这可能鼓励隐藏交易的使用。可选匿名性的另一个缺点是,隐藏交易可能被视为可疑。另一个受到批评的是Zcash信任设置。虽然Zooko Wilcox曾表示,破坏信任设置不会损害隐私,但比特币研究人员Peter Todd在与zk-snark开发者的交谈中表示反对。
侧链
侧链是一个通过双向锚定连接到一个基础层协议的独立区块链。双向锚定使得原来链上的币在验证过程中以固定比例与侧链资产交换。这些补充链可以支持基本层之外的其他特性和共识机制,以优化解决方案,包括但不仅限于匿名和扩容。比特币侧链公司Blockstream已经部署了一个这样的网络,最近推出的Liquid,默认情况下包含保密交易。Liquid使用一个由15个已知节点组成的小组(称为工作人员)来验证交易并生产区块,这以去中心化为代价加速了交易时间。虽然Liquid的治理更加中心化的,但是它解决了交易所遇到的特殊问题,例如赎回LBTC(Liquid的原生代币)。如果有单个网络节点宕机,这种模式将是非常有用的。此外,Liquid的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。Liquid的另一个缺点是,该平台的受信中介机构由Bitfinex和OKCoin等不受监管、历史上不安全的加密交易所组成。
匿名钱包
基于钱包的匿名解决方案(如Wasabi、Samourai或Breeze)的优势在于,它们可以在比特币(或其他币)的基础上构建,而无需更改底层协议。缺点是,如果没有在较短时间内找到匹配到资金,就会出现较小的匿名集和交易延迟。例如,Samourai的交错弹跳(Staggered Ricochet)可能需要2个小时才能到达接收方。此外,钱包对中心化平台的规则是匿名的。在2019年初,谷歌要求Samourai删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌应用商城的新规则。
尽管有很多增强隐私的方法,但这些技术尚处早期 (包括MimbleWimble、Grin和Beam)。每个人都有自己的权衡,目前还没有明确的答案来解决加密中的隐私问题。
Grin
Grin是MimbleWimble在编程语言Rust中的第一个开源实现。其白皮书由匿名开发者Ignotus Peverell于2016年10月20日发布。许多Grin核心开发者取了与哈利波特相关的绰号。Grin于2019年1月15日在主网上发布之前发布了4个测试网。无论过去还是现在,Grin备受加密社区赞扬,因为它与比特币相似,特别是它的匿名开发团队,公平发行(没有预挖矿、ICO或创始人奖励)和以捐赠为基础的资助模式。无论如何,Grin确实有几个显著特点:
· 货币政策:Grin被设计成一种交易媒介,而不是作为像比特币那样的价值储存手段。Grin的矿工奖励为60Grin/分钟(1Grin/秒)。早期会出现高通胀,但随着时间的推移,通胀会逐渐下降。
· 共识算法:在开始阶段,Grin将尝试通过使用两种PoW来实现去中心化,这两种算法都是Cuckoo Cycle的变形(一种是ASIC友好,另一种抗ASIC)。Cuckoo Cycle是一种新的、有争议的工作量证明算法;Handshake区块链白皮书描述了它的一些问题。
· 治理:Grin没有正式的治理流程,但有一个由8名成员组成的技术委员会,负责管理Grin的通用基金以及开发路线图,它还举行公开的治理和开发会议。
· 功能:Grin正在通过添加诸如无脚本脚本之类的功能来增强MimbleWimble协议,基于这样的功能来实现更复杂的「条件交易」功能。社区成员也在努力通过诸如grinbox和wallet713这样的解决方案来改善用户体验。
· 挑战:虽然Grin因其以捐赠为基础的资助模式而闻名,但依靠外部捐赠继续开发和改进也是一个挑战。此外,要使非技术用户使用Grin,还有很多工作要做。
自成立以来,Grin已在多家交易所上市,但它并没有请求上线交易所或支付上市费用。尽管社区乐于帮助交易所上线Grin,但Ignotus Peverell表示,他们“不会过多担心外部因素和(他们)无法真正控制的事情”。
挖矿算法
最初,Grin团队计划使用两种算法,一种是Cuckoo Cycle3 (John Tromp于2015年开发),另一种是Equihash算法Equigrin,该算法要求较高的内存。
由于对内存的需求,限制了CPU和高范围GPU的计算。在Cuckoo Cycle发展过程中,由于对静态随机存取存储器(SRAM)的要求,人们认为Cuckoo Cycle具有抗ASIC特性。受SRAM限制的算法使制造ASIC更加困难和昂贵。Cuckoo Cycle的创始人John Tromp说,“Cuckoo Cycle最初是为了让内存延迟成为瓶颈而设计的。现在,许多年过去了,我们意识到Cuckoo Cycle可以很好地利用…SRAM,在ASIC中使用SRAM相当便宜。我们期望ASIC比GPU具有更大的效率优势。”
2018年8月,社区承认(1)在现实中不可避免要使用ASIC,(2)在开始可能不利于启动分布式社区,但从长远来看并非坏事。相反,ASIC友好算法可以使网络更加安全,因为ASIC矿机增加了网络的哈希率,使攻击更加困难和昂贵。ASIC对于协议的长期成功是有好处的,因为投资了数千万美元的矿工在安全方面的诉求与协议保持一致。
另外,Derek Hsue认为,“任何产生持续抗ASIC的尝试都会产生秘密的ASIC芯片——这是有问题的。”
基于以上几点,Grin决定切换到由Cuckoo Cycle变形的工作量证明算法,这是,主要的ASIC友好(AF)算法和次要的抗ASIC(AR)算法,并逐步淘汰次要算法。Grin中的主要算法称为Cuckatoo31+,是Cuckoo Cycle的AF版本。被称为AF是因为它使用了数百MB的SRAM来提供比GPU更高的效率。第2种算法Cuckaroo29是一种内存硬AR PoW算法。然而,真正抗ASIC的唯一方法是进行有计划的硬分叉,不断调整算法(la Monero),使已生成的的ASIC作废。Grin将每6个月执行这样的分叉,以调整算法,以阻止该算法的ASIC生产,直到该算法在两年内逐步淘汰。
加密社区的一些成员密切关注Cuckoo Cycle算法的稳定性。John Tromp在2014年首次提出了这一概念,随着研究人员找到优化计算的方法,这一概念在短短时间内经历了数次修订。Cuckoo Cycle是基于图论问题。一个令人担忧的问题是,如果某个矿工比网络的其他矿工更快地计算出Cuckoo Cycle,那么它可能会获得优势。John Tromp认为,矿工的相对优势可能会随着迁移到更大的图论而增加。如果社区的其他成员实现相同的解决方案,这种优势就会消失。
一开始,Grin的结构是90%的区块用次算法挖矿,10%的区块用主算法挖矿。2年后,100%的区块将使用主算法进行挖矿。在未来2年,Cuckatoo31+(主算法)将获得更大比例的区块奖励,每月线性增长3.75%。Grin社区希望,到Cuckatoo31+占据100%的挖矿份额时,将出现多个ASIC制造商健康竞争的情况。Grin每经过60个区块窗口,会调整一次难度。
Grin矿池
miningpoolstats.com的数据显示,Cuckaroo29有15个矿池,Cuckatoo31+有11个矿池。在撰写本文时,前2个矿池星火矿池和鱼池)的算力之和是Cuckaroo29的82%,Cuckatoo31+的68%。星火矿池和鱼池都向Grin的开发者基金和通用基金提供了捐款。虽然算力似乎集中在矿池,但矿池由许多参与者组成,这些参与者可以选择离开矿池,并随意将其算力转移向其他地方。
第三大矿池是GrinMint,这是BlockCypher于2018年9月首次作为测试网推出的一个矿池,并于2019年1月在主网上推出。BlockCypher收取2.5%的费用,并表示将分配0.5%给Grin开发者社区。BlockCypher还有一位全职开发者为Grin工作(Quentin Le Sceller)。其他回馈Grin社区的矿池包括MimbleWimble Grin Pool和Grin -pool.org。
另一个值得批评的是,在Grin上线时,由风险资本支持的矿工控制了大量的算力。结果,原本是市场买家的投资人变成了加密货币的卖家。当矿池发现区块并获得挖矿奖励时,投资人会立即出售这些代币,因为其要以比特币支付矿工薪酬。
货币政策
Grin的线性发行率,以60Grin/分钟(1Grin/秒)的速率释放代币,供应无限。另一方面,比特币的硬顶为2100万,其供应通缩。每4年区块奖励减半,直到2140年左右达到接近0。该模型鼓励持有币,预期每枚币的价值会随着时间的推移而增加,使比特币作为一种价值储存手段变得有价值。
Grin的早期通胀率非常高,当有数百万枚币在流通,通胀率会随着时间的推移接近0,虽然它永远不会达到0。实际上,通胀率需要10年才能降到10%以下,25年才能降到4%(与2018年的比特币比率大致相同)。通胀率需要50年才能降到2%以下。然而在现实中,Grin团队认为,如果考虑币丢失的情况,通胀率将会降低。据团队称,每年丢失的币可能高达总供应量的2%,在计算通胀率时应将这部分排除在外。无限发行是缓解币丢失影响的一个潜在方案。
无限通货膨胀背后的另一个原因是,(1)与通缩相比,无论是否早期加入网络,通胀政策对参与者的回报和优惠更为公平(对于早期的矿工来说,这不是一个快速致富计划),和(2)如果预计明天的币价等同今天,它会更大的几率被用作交换媒介,这正是Grin的目标。由于币会被大幅稀释,短期到中期的高通胀会刺激消费,而非储蓄。社区认为,鼓励消费会扩大币的供应。
无限供应可以防止Grin最终只能依靠收费市场来确保网络安全——这也是比特币社区目前正在讨论/面临的挑战。一旦比特币的发行接近于0,该网络将必须转向仅收取交易费的模式,以奖励为保护比特币区块链而付出努力的矿工。这是一种新的区块链经济模式,但仍然会存在许多问题:1个区块打包多少交易?达到保护网络的每笔最低交易费是?以及旨在降低费用的第二层解决方案所带来的问题将如何影响底层区块链的安全性?
来源:grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者批评Grin的线性发行率没有上限,因为通胀降低了储蓄的购买力,这否定了将资产作为价值储存的观念。然而,Grin中的通胀是一种有意的设计,目的是鼓励消费,抢占币丢失问题的先机,并确保始终可以补偿那些保护网络安全的矿工。高通胀的一个不利之处是,区块奖励目前在总供应量中占相当大的比例,类似早期的比特币。由于矿池出售Grin奖励,换取比特币支付给矿工,可能会对比特币的价值产生负面影响。
治理
Grin的Lehnberg说:“治理是关于如何做出在参与者(参与决策的人)和利益相关者(受决策影响的人)看来合法的决策。目前Grin并没有一个明确的治理过程,但决策过程是透明的,并对社区开放。”
Grin有一个管理Grin通用基金并指导该项目发展的技术委员会。委员会成员包括Ignotus Peverell,Antioch Peverell,Hashmap, Jaspervdm,Lehnberg,Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner),John Tromp和Gary Yu。任何人都可以参加治理和开发会议,但通常最活跃的贡献者占据重要地位。
技术委员会每2周举行一次治理和开发会议,主题包括抗ASIC、筹资和指导资金使用、重大缺陷和漏洞、安全审计、交换集成、硬分叉等等。Grin还在Github页面上发布会议前后的议程、笔记和会议记录。在grin论坛上有一个关于治理的部分,其中有关于这个主题的帖子,表明社区正在积极思考如何从长远角度进行治理。
技术委员会使早期社区能快速和灵活地治理和开发,避免网络进程减慢。随着Grin的成长和成熟,人们一直在讨论建立一个更加结构化的治理过程,并进行检查和平衡。委员会成员和贡献者已明确表示,有必要确立一个更正式的流程:
· 为社区提供一种更结构化的方式来讨论和反馈
· 设置委员会的职权范围,以及向社区向委员会成员提供意见的规则。
· 所有利益相关方都可以提出自己的意见。包括核心开发者、一次性贡献者、矿工、用户、投资者、交易所等等。
缺点是,该委员会增加了中心化的因素,从长远来看,一个非官方的委员会不利于发展。一个例子是Burst PoCC,它的功能类似于Grin的技术委员会。有一天,他们对社区感到不满并意外退出,但仍然可以访问存储库、DNS注册等。他们还采取了其他恶意行为,如欺骗矿池和过早抛售,最终损害了Burst区块链。
融资
Grin是一个完全基于捐赠的开源项目。虽然它的发行很公平——没有ICO、预挖矿或创始人奖励,但缺点是开发和进展缓慢。Grin依靠无偿的兼职志愿者,为核心开发者基金、安全审计、营销和网络开发、会议等筹集捐款。
正如Tushar Jain指出,“没有资本主义的激励,发展将会被推迟。” Grin社区认识到了这一点。在通用基金页面上,他们说,“现实情况是,有了资金来源,将大大推动Grin的项目发展。这将使Grin更快、更稳定地发挥其潜力,有更好的基础设施支持,并有更大的机会与资金充足的区块链项目竞争(或共存)。”
Grin社区从2016年开始构建Grin,直到2019年1月才在主网上发布。MimbleWimble的另一个实现Beam(详见下方)——是一家由风投投资者支持的私人公司,从2018年初开始研发项目,并早于Grin一周推出。
此外,社区的核心开发者和贡献者Yeastplume (Michael Cordner),在最初难以筹集资金时,无法将全部精力投入Grin。只有在Ignotus Peverell对Cordner的募资活动(5.5万欧元)远未获得10%的资金表示失望之后,募资活动的捐款才开始上升。之后超额完成了筹资目标,在撰写本文时筹集了66,580欧元。
短期内依靠捐赠可能会奏效。然而,要维持发展并吸引人才加入该网络,Grin需要重新考虑其融资模式,因为它面临着资金充足、员工有薪项目的日益激烈竞争。
用户体验
如上所述,MimbleWimble去掉了地址。因此,发送方和接收方必须链下传递消息(称为“交易板”),交互式通信进行币的转让。有多种方法传递标准化的JSON消息。一种方法是文件传输,包含纯文本文件格式的JSON消息,可以通过多种方式传输(电子邮件、电报、Keybase、业余无线电、信鸽等),另一种方法是URL方法,其中API接受原始文本格式的JSON。
一组名为vault713的第三方开发者正在努力使Grin更加实用和更广泛采用。他们的第一个项目是交易协议Grinbox。这是一个消息中继服务,当与wallet713一起使用时,简化交易流程,wallet713由vault713的一个核心Grin钱包分叉而来,目前在Linux上运行。Grinbox和wallet713都旨在改进发送和存储Grin的流程。
首先,它们允许参与者创建公共地址来发送/接收资金,这样他们就不必公开IP地址。wallet713还允许用户将联系人姓名链接到其计算机本地存储的地址。此外,wallet713允许异步构建交易。vault713还在努力增加更多增强隐私和可用性的功能,如多签名支持、BTC和Grin之间的原子交换、在交易流入未确认交易池之前与其他wallet713用户联合使用CoinJoin、移动/网络/桌面GUI等等。
随着协议的成熟和人才的流入,将出现更多创建交易的方法。可能会出现基于NFC、QR、蓝牙等的近距离技术。最终,市场可能就一个方便且简单的方案达成一致,哪种方法能达成标准还有待时间考察。
Grin仅有几个月的历史,目前该协议最适合花时间和精力了解其工作原理的技术用户。虽然社区已经开始通过类似grinbox和wallet713来改善用户体验,但在让非技术用户舒服地在网络上交易之前,还需要时间进行迭代和教育。
结论
Grin最初吸引了密码朋克和密码无政府主义者,但其与比特币相似的精神也吸引了许多人。由于Grin匿名领导者、基于捐赠和草根性的资助模式、对隐私和去中心化的关注、以及其社区对推进项目而非快速赚钱的深切关注而受到赞扬。
但是主网上线只是Grin的第一步。要想让Grin获得长期成功并被广泛采用,还有大量工作要做。要解决的关键问题包括更可靠的筹资方式、更直观的用户体验以吸引更多用户进入网络,以及研究如何解决系统中的隐私漏洞(即监视节点创建交易图的能力)。
核心团队表示,其“主要关注点仍然是稳定性、性能和安全性。通过第三方开发团队将Grin集成到他们的服务和产品中来培育一个健康的生态系统,以提高采用和改进。”无需Grin核心开发者参与,相反,可由围绕Grin的生态系统的第三方开发者解决。
Grin仍然是一个非常新的项目,开创了未经测试的新思想、加密概念和技术。如果Grin解决关键挑战,就有可能成为一种将隐私交还给个人的方式。
Beam
Beam是一家由VC支持的初创公司,总部位于以色列,于2019年1月3日推出了一款基于MimbleWimble协议且专注于隐私的加密货币。它于2018年3月开始以C++做构建,并于2018年9月发布了测试网。虽然Beam和Grin的相似之处在于都是MimbleWimble的实现,旨在为用户增强隐私,但它们的方法不同。与Grin不同,Beam是一家雇佣开发者做开发的私营公司。Beam一开始是封闭其原始代码的,之后才开放。Beam的另一个重要区别是针对企业和监管机构的可选审计性。
· 货币政策:Beam的供应计划是通货紧缩,第1年后,区块奖励下降50%,之后每4年减半,直到达到2.63亿beam的硬顶。此外,20%区块奖励用作开发支付给Beam Treasury,以帮助为Beam未来的开发提供资金。
· 挖矿算法:Beam使用修改版的Equihash,一种工作量证明挖矿算法,提供网络共识。为了确保去中心化,Beam将在前12-18个月定期调整算法以抵抗ASIC。
· 治理:Beam目前是一家由VC支持的初创公司,拥有带薪员工。长期目标是将全面治理移交给管理Beam Treasury并维护协议的非盈利基金会。
· 功能:Beam正在添加一个可审计功能,这样企业就可以在不损害隐私的情况下证明其合规性并提供交易可见。Beam开发者还在探索一个安全的BBS系统,该系统将支持非交互式离线交易。
· 挑战:不断改进PoW协议是一项艰巨的任务,避免ASIC挖矿集成将使全网算力较低,从而网络攻击成本降低。此外,Beam目前是中心化的运营和治理结构,向更去中心化的模式转变需要避免所有投资方之间的权力斗争。
挖矿算法
Beam使用Equihash,这是卢森堡大学的Alex Biryukov和Dmitry Khovratovich创建的一种工作量证明算法。Equihash是一种基于广义生日问题的非对称内存约束算法。Equihash的另一个关键特性是随机挖矿,这意味着生成证明的可能性与过去的成功或失败无关。Equihash有2个参数可以调整:n(以位为单位的宽度)和k(长度),这2个参数决定了底层问题的复杂度,从而决定了算法的内存和时间复杂度。Beam上线时的Equihash参数:n=150, k=5。
Equihash在某种意义上是非对称的,因为它需要大量内存来生成一个证明,但不需要大量内存来验证它。这是Equihash的一个重要特性,因为大多数其他内存约束算法都对称,也就是说,验证证明与生成证明一样困难。内存限制指的是生成证明所花费的时间与内存而不是算力成比例。如果使用更少的内存,Equihash会不成比例地增加计算需求。
最初,内存是一种昂贵的资源,因此ASIC没有比常规CPU和GPU更好的内存优化。另一方面,ASIC比GPU有显著的带宽改进,而GPU又比CPU提供了显著的带宽改进。由于基础设施的改进,优化ASIC内存的成本低于预期。
Zcash也是一家专注于隐私的加密资产,也使用Equihash,最初选择Equihash是因为它抗ASIC。然而,比特大陆在2018年发布了蚂蚁矿机Z9mini,“通过与SRAM接口,以相对较低的成本”,比普通硬件更高效地开采Zcash。Beam在关于Equihash的帖子中强调,“卢森堡大学的研究人员发现,截至2018年5月,20%-30%的Equihash由ASIC挖矿。”
Beam表示,它已经设置了Equihash参数,让CPU和GPU矿工短期内比ASIC拥有优势,从而使币的初始分布更加广泛。然而,Beam认识到ASIC是不可避免的,甚至从长远来看是可取的,因为ASIC成本低廉,并且增加了网络哈希率,从而使其更安全,更难以攻击。
货币政策与融资
Beam的货币政策类似于比特币。特点是规定了一个硬顶和通缩发行计划,定期区块奖励减半(每开采一个区块可获得的代币数量减半),直到通胀率为0。因此,这家初创公司希望Beam能作为价值储存,而不是Grin这样的交换媒介。不过,比特币的相似之处就到此为止,然而,Beam的特殊之处还在于,Beam在第1年有更高的区块奖励,前5年区块奖励部分归于项目创始团队,出块时间为1分钟。
第1年,区块奖励为100 beam,高于通常的奖励,以激励矿工尽早加入网络,并将Beam引入市场。前5年收取20%(创始人费/开发税),所以第1年挖出的每个区块(包含100枚Beam),80枚将支付给矿工,20枚支付给Beam 基金会。在未来2到5年内,区块奖励减半至50枚beam,其中40枚beam支付给矿工,10枚beam支付给基金会。第6年,区块奖励将再次减半至25 枚beam(所有奖励都将支付给矿工),并在未来每4年减半一次,直到第129年。区块奖励将在第133年停止,届时Beam预计将拥有总计2.63亿beam的上限供应。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam采用了创始人奖励机制(也称为开发税),以回报投资者,并为正在进行的协议和工具开发提供财务激励。创始人奖励或费用是构建在区块链协议中的补充代码,该协议自动分割和发送区块奖励(coinbase交易)给区块矿工和创始人团队的地址。
这种方法显然不同于像ICO这样的预挖矿,或者像Dash这样的偷挖(insta-mine),给创始人一大笔流动资金作为报酬。尽管这2种方案都是早期团队成员所希望执行的,但这些报酬设计往往缺乏有效的资金管理或兑现计划。因此,在短期利益驱使下,资金挪用和骗局跑路的情况十分普遍。
创始人奖励则是指随着项目的发展逐渐补偿创始人。因此,初始的利益相关者更有动力去协调利益,维护网络的长期发展。Arjun Balaji指出:将奖励制度纳入协议,提供了透明且固有的资金分配和“以软或硬分叉降低退出摩擦”的自由。
创始人奖励结构最初是由Electric Coin Company(前身为Zcash Company)设计并推广。这家公司是专注于匿名加密资产Zcash的开发和维护Zacash的背后合资企业。起初,Zcash矿工只能获得80%区块奖励。剩下的20%将分配给Zcash基金会(一个支持Zcash开发的独立非盈利组织)、Electric Coin Company以及早期的Zcash开发者和顾问。继头4年之后,预先设定创始人奖励为0,以确保所有新发行的Zcash将全部归矿工直到达到2100万的硬顶。
Beam的融资模式与Zcash类似,在其早期阶段向Beam Treasury支付20%的创始人费。与Zcash不同的是,Beam将在头5年执行,包括第1年区块奖励为100Beam。在这5年结束时,应向Beam Treasury累计提供3150多万Beam。计划将35%的资金用于偿还早期投资者,另外45%的资金将分期偿还给核心团队成员和顾问。剩下的20%将用于支持Beam主权货币基金会(Beam Sovereign Money Foundation),这是该项目维护协议和治理的长期方案。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖励,Beam还从Recruit Co. LTD、Yeoman 's Capital和节点资本在内的各种风险投资基金筹集了500多万美元,用于聘请全职开发者来推进协议。这些投资者将定期获得Beam分期付款(创始人奖励的一部分),以协调每个利益相关者的利益。
Beam核心团队和早期投资者都认识到,更集中的努力将加快生产,并避免其它项目经常出现的长久不更新或主件延迟。因此,Beam的利益相关者选择了这种中心化的方法来指导项目度过初始阶段。随着Beam的不断成熟,其目标是实现更加去中心化的激励和治理结构,将区块奖励交给网络矿工,并将控制权交给社区。
不利的一面是,Beam没有让所有投资者平等参与。在主网上线之前就从投资者那里筹集资金,或者将部分资金分配给特定集团(即ICO、创始人奖励或预挖矿),都可能导致币的不平等分配。
与之相对的是与比特币和Grin类似的产品,在这些产品中,只能通过传统PoW挖矿获得加密资产。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络,挖出新的比特币或Grin。这样的发行往往会在网络用户之间展现出更公平的资金分配。
治理
目前Beam依靠一个位于特拉维夫的小型VC团队来确定所有协议更新和功能添加。因此,项目的组织结构更类似于私人创业公司,而不是大多数去中心化协议所显示的治理过程。这赋予Beam更能控制风险,以及快速转变和自由迭代,以满足市场需求,并加快其早期阶段的生产率。
Beam领导团队由首席执行官Alexander Saidelson、首席技术官Alex Romano、首席运营官Amir Aaronson和首席营销官Beni Issembert组成。其他核心成员主要由开发者以及一些设计人员和部门主管组成。该公司还从12位顾问那里获得见解,有OGroup首席执行官、通用电气(GE)新兴技术部门前首席信息官Maja Vujinovic和Genesis Mining首席执行官兼联合创始人Marco Streng。
随着协议的成熟,创始成员将把控制权从初始团队转移到Beam主权货币基金会(由杰出和受人尊敬的社区成员运营)。Beam认为,建立基金会将有助于实现其去中心化组织结构的目标。确定基金会职责和规则、纳入董事会成员的过程将在未来几个月进行,预计将于2019年底前启动。一旦基金会开始获得支持,当前的Beam公司计划转换为服务提供者的角色,在Beam协议的基础上构建最终用户应用程序。
大部分关于基金会的建立流程尚未公布,但已知的Beam基金会角色包括:
· 管理对Beam协议的改进提案和开发
· 资助和促进与Beam、MimbleWimble和蒲公英协议相关的研究
· 提高促进社区发展的意识
· 推动对数字货币和金融主权中对隐私重要性的认识
挑战
采用创业模式,Beam将面临与大多数创业公司相关的典型问题,并在缓和公众的看法,转向更去中心化的治理模式上处境更艰难。创业公司普遍失败率高,原因有很多,包括产品/市场不匹配、高消耗导致资金不足以及内部团队冲突。一个仅由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能陷整个项目于危境。
更艰巨的任务是获得足够的支持,以帮助将协议治理和开发工作从小型原始团队转移到整个社区。加密资产的一个重要评估指标是项目的去中心化程度,Beam有意延迟该指标。支持Beam策略的论点是项目早期“需要能够快速转动和迭代的自由”。用Arjun Balaji的话来说:“在早期优化去中心化的同时构建新型分布式网络几乎不可能”,因为这些目标本身就存在矛盾。
用户体验
Beam的钱包
Beam为非技术用户提供了图形用户界面(GUI)钱包,并为Mac、Windows和Linux提供了命令行界面(CLI)钱包。Beam桌面钱包创建了交易方可以彼此共享的公共地址。这些地址没有记录在区块链上。Beam最近还推出了Android手机钱包的测试版,并计划推出iOS手机钱包。该公司还表示,正在与硬件钱包供应商进行交流,以推出对Beam的支持。
SBBS
Beam试图通过使用安全公告牌系统(SBBS)使离线交易创建和异步通信更加无缝和安全。Beam的BBS是在上世纪80年代和90年代早期流行的电子公告板系统之后设计的。拥有家用电脑和调制解调器的用户可以通过固定电话与其他电脑连接,并在基于文本的公告牌系统(BBS)上留下信息,供他人查看。BBS主机是将计算机转换成地面数字会场。随着BBS变得越来越先进,用户可以玩基于文本的游戏,甚至可以方便地传输文件。
在Beam中,BBS钱包相当于家庭计算机加上调制解调器(它们是“客户端”),而Beam全节点相当于BBS主机(服务于服务器)。SBBS是节点软件的一部分,并且是链下维护。BBS全节点创建一个存储转发网络,将消息转发给脱机的接收方。消息使用公钥加密,然后通过Beam全节点转发到接收钱包。在这种情况下,公钥充当P2P系统中的地址。如果接收钱包离线, Beam的存储转发节点可以将消息存储在充当留言板的数据库中。参与者解密订阅留言板上的消息,但是只有具有相应私钥的参与者才能解密指向他们的消息。
Beam打算利用其钱包和SBBS,让用户体验类似于基于地址的区块链交易,并降低与基于MimbleWimble协议的加密资产交互的门槛。
Beam钱包面临的挑战
在1月9日发布后不久,Beam开发者就发现了钱包里的一个漏洞,这个漏洞会让用户的资金受到攻击。开发者发现他们在钱包代码中留下了一些不该留存的内容。虽然Beam在发布之前进行了多次代码审查和审计,但主要关注的是Beam加密实现的稳定性,这表明在审计钱包和SBBS时可能没有采用同样的严格标准。Beam宣布,补丁是在内部发现并修复的,没有资金被盗。建议用户卸载钱包,并从Beam网站重新下载更新后的版本。
1月21日,Beam出现了另一个问题,导致区块链在25,709区块暂停生产。原因是钱包使用不当。更具体地说,通过钱包克隆,单个交易中相同的UTXO发送到区块链上。这导致“不正确的核销处理,最终导致无效区块”。Beam在将近3个小时内没有生成区块,在大约5个小时内没有处理交易。
可审计性
Beam的一个关键区别在于,它专注于服务业务。除了MimbleWimble可能带来的改进之外,Beam还开发了一个可选合规和可审计功能(钱包审计或商业钱包),以帮助企业遵守法规并执行所需的审计。这允许企业创建一个附加审计员密钥的钱包,以便审计员识别由商业钱包创建的区块链上的标记交易。有了可选合规的功能,交易仍然匿名,而如果用户有需要,可以向审计人员报告。这为常规业务打开了加密资产的应用场景。
根据Zaidelson的说法,虽然实际的信息将由钱包生成并链下存储,但是区块链会将每个交易的信息引用存储为哈希值。Beam区块链不存储历史交易细节——它只存储引用过去交易的交易内核。在这次采访中,Zaidelson说Beam“可以用这个内核来存储额外的编码信息……包括发票或收据等压缩文件的哈希值。当用户进行审计时,审计人员可以检查数据是否与数据的加密哈希值匹配。
由于这个功能还在开发中,使它的实践具有不确定性。如果它成功了就可能会解决企业的一大痛点。一方面,像比特币这样的加密资产以向竞争对手披露保密信息为代价,提供了完全的透明度和可审计。另一方面,Zcash和Monero等加密资产中的匿名功能可以隐藏所有交易的痕迹,从而禁止任何类型的审计。
可审计性的挑战在于,企业必须安全地存储与哈希值对应的数据。此外,企业需要相信审计员不会与未经授权查看数据的其他方共享审计员密钥。虽然Beam可以创建一种共享私有数据的方法,但是审计人员可能不知道如何审计标记在Beam区块链上的交易。理论上,他们可以将这一功能外包出去,但这将扩大接触敏感数据的人群。
路线图
在主网上发布后不久,Beam发布了2019年的全面路线图。它分为2大类别,Beam Core(专注于改进和推进Beam核心协议)和Beam Compliance(专注于启动和迭代Beam对业务的合规性和可审核性计划)。长期来看,Beam已经的了一个名为“Lumini”的项目,将致力于在Beam和其他一些智能合同区块链(s)之间建立一座桥梁,并在Beam上推出保密资产。
Beam Core
Beam Core分为5个阶段——Agile Atom、Bright Boson、Clear Cathode、Double Doppler、和Eager Electron。路线图的亮点包括年底之前部署闪电网络作为第二层解决方案,实现Beam的快速支付,2019年3月以前推出Beam与比特币原子互换,按计划执行2个硬分叉来调整Equihash挖矿算法以抵抗ASIC,详细参加下图。我们认为Beam首先必须推出智能合约和多签名功能(例如,通过无脚本脚本)来支持第二层解决方案,如闪电网络。
Beam合规
Beam合规性跟踪的主要目标是使Beam商业可用。Beam计划在其合规套件中增添一个“合规钱包”和一个“监管界面”,预计将针对具体国家的监管规定量身定制,目前暂定的上线日期是2020年。
结论
Beam采用了一种商业方法来构建一种价值储存匿名币。它有VC支持,并有全身心投入项目的带薪员工。因此,Beam能在不到一年的时间里从开发到上线。在Beam钱包和安全消息系统方面明确关注用户体验和易用性。另一方面,它的桌面钱包已经出现了一些小问题,可能会导致资金损失,这对如此年轻的项目可能有害。
Beam在其2019年路线图中概述了大型计划,包括在Beam上建立闪电网络,以及为企业和监管机构提供可审计的解决方案。Beam的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了内置选项。然而,Beam的合规性和可审计性方案尚未推出,可能会开放其他攻击向量。Beam有雄心勃勃的目标,在发布到主网之前,应该对这些目标进行彻底的测试,以避免粗心大意的错误导致用户资金或数据受损。如果Beam能够实现其计划,它将提供一组独特的功能,为业务用户解决明显的问题。
回顾
MimbleWimble的新颖之处在于,它通过协议版本的保密交易、CoinJoin和区块内和区块间的核销组合,增强隐私和效率,使更多设备参与保护网络。
Grin和Beam都是MimbleWimble的实现,但它们的相似性仅限于此。Ignotus Peverell (Grin的创始人)指出,“一个常见的误解是,MimbleWimble描述了一个完整的加密货币解决方案,因此往往把Beam和(Grin)相提并论。”
虽然这两个项目都旨在为用户改进隐私和效率,但它们在大部分技术、结构和组织上存在差异。引发最多讨论的是Grin的捐赠和志愿者驱动/密码朋克式(类似于比特币和Monero)的可持续性,与Beam的VC支持的初创公司方法(类似于Zcash)的创始人奖励和付费员工的可持续性。时间会证明哪种方法更好。在此之前,看看这些项目如何相互作用并相互学习将是一件有趣的事情。
想要获取更多区块链项目资讯,欢迎添加助手微信号:go-first-one 查看全部
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告下篇,主要讲述MW协议的具体用例及拓展等问题,相关原理背景可查看上篇文章,感谢支持!
MimbleWimble不是首个或唯一保护区块链隐私的方法。要对所有可用的隐私解决方案进行全面和深入的讨论超出了本报告的范围,但重要的是讨论替代方案。包括(但不限于)其他协议或底层匿名币(Zcash、Monero)、第二层隐私解决方案(Blockstream侧链)和交易层隐私(通过Samourai和Wasabi等钱包)。
匿名币
在Grin和Beam之前推出的2种匿名币是Zcash和Monero,这些币在协议层实现了匿名。Monero是一种基于CryptoNote协议的匿名币。Monero的一大优势是,默认情况下匿名。隐藏发送、接收地址和交易。Monero使用环形保密交易和隐蔽地址来实现匿名。环形签名会在交易中添加“诱饵”,而不会暴露哪些币经过签名,从而有效地混合了这些币。Monero的主要缺点是,即使使用了防弹技术,节省了大量空间,交易规模也是比特币交易的10倍。
Zcash的设计基于Zerocash协议。Zcash使用隐藏地址隐藏交易方,用zk-snark(一种零知识证明)隐藏交易金额。与Monero(以及基于mimblewimble的Grin和Beam)不同,Zcash默认不提供匿名性。在Zcash更新Sapling之前,创建一个保密交易需要大量的计算和时间。随着Sapling更新,隐藏交易所需的内存和时间减少了,这可能鼓励隐藏交易的使用。可选匿名性的另一个缺点是,隐藏交易可能被视为可疑。另一个受到批评的是Zcash信任设置。虽然Zooko Wilcox曾表示,破坏信任设置不会损害隐私,但比特币研究人员Peter Todd在与zk-snark开发者的交谈中表示反对。
侧链
侧链是一个通过双向锚定连接到一个基础层协议的独立区块链。双向锚定使得原来链上的币在验证过程中以固定比例与侧链资产交换。这些补充链可以支持基本层之外的其他特性和共识机制,以优化解决方案,包括但不仅限于匿名和扩容。比特币侧链公司Blockstream已经部署了一个这样的网络,最近推出的Liquid,默认情况下包含保密交易。Liquid使用一个由15个已知节点组成的小组(称为工作人员)来验证交易并生产区块,这以去中心化为代价加速了交易时间。虽然Liquid的治理更加中心化的,但是它解决了交易所遇到的特殊问题,例如赎回LBTC(Liquid的原生代币)。如果有单个网络节点宕机,这种模式将是非常有用的。此外,Liquid的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。Liquid的另一个缺点是,该平台的受信中介机构由Bitfinex和OKCoin等不受监管、历史上不安全的加密交易所组成。
匿名钱包
基于钱包的匿名解决方案(如Wasabi、Samourai或Breeze)的优势在于,它们可以在比特币(或其他币)的基础上构建,而无需更改底层协议。缺点是,如果没有在较短时间内找到匹配到资金,就会出现较小的匿名集和交易延迟。例如,Samourai的交错弹跳(Staggered Ricochet)可能需要2个小时才能到达接收方。此外,钱包对中心化平台的规则是匿名的。在2019年初,谷歌要求Samourai删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌应用商城的新规则。
尽管有很多增强隐私的方法,但这些技术尚处早期 (包括MimbleWimble、Grin和Beam)。每个人都有自己的权衡,目前还没有明确的答案来解决加密中的隐私问题。
Grin
Grin是MimbleWimble在编程语言Rust中的第一个开源实现。其白皮书由匿名开发者Ignotus Peverell于2016年10月20日发布。许多Grin核心开发者取了与哈利波特相关的绰号。Grin于2019年1月15日在主网上发布之前发布了4个测试网。无论过去还是现在,Grin备受加密社区赞扬,因为它与比特币相似,特别是它的匿名开发团队,公平发行(没有预挖矿、ICO或创始人奖励)和以捐赠为基础的资助模式。无论如何,Grin确实有几个显著特点:
· 货币政策:Grin被设计成一种交易媒介,而不是作为像比特币那样的价值储存手段。Grin的矿工奖励为60Grin/分钟(1Grin/秒)。早期会出现高通胀,但随着时间的推移,通胀会逐渐下降。
· 共识算法:在开始阶段,Grin将尝试通过使用两种PoW来实现去中心化,这两种算法都是Cuckoo Cycle的变形(一种是ASIC友好,另一种抗ASIC)。Cuckoo Cycle是一种新的、有争议的工作量证明算法;Handshake区块链白皮书描述了它的一些问题。
· 治理:Grin没有正式的治理流程,但有一个由8名成员组成的技术委员会,负责管理Grin的通用基金以及开发路线图,它还举行公开的治理和开发会议。
· 功能:Grin正在通过添加诸如无脚本脚本之类的功能来增强MimbleWimble协议,基于这样的功能来实现更复杂的「条件交易」功能。社区成员也在努力通过诸如grinbox和wallet713这样的解决方案来改善用户体验。
· 挑战:虽然Grin因其以捐赠为基础的资助模式而闻名,但依靠外部捐赠继续开发和改进也是一个挑战。此外,要使非技术用户使用Grin,还有很多工作要做。
自成立以来,Grin已在多家交易所上市,但它并没有请求上线交易所或支付上市费用。尽管社区乐于帮助交易所上线Grin,但Ignotus Peverell表示,他们“不会过多担心外部因素和(他们)无法真正控制的事情”。
挖矿算法
最初,Grin团队计划使用两种算法,一种是Cuckoo Cycle3 (John Tromp于2015年开发),另一种是Equihash算法Equigrin,该算法要求较高的内存。
由于对内存的需求,限制了CPU和高范围GPU的计算。在Cuckoo Cycle发展过程中,由于对静态随机存取存储器(SRAM)的要求,人们认为Cuckoo Cycle具有抗ASIC特性。受SRAM限制的算法使制造ASIC更加困难和昂贵。Cuckoo Cycle的创始人John Tromp说,“Cuckoo Cycle最初是为了让内存延迟成为瓶颈而设计的。现在,许多年过去了,我们意识到Cuckoo Cycle可以很好地利用…SRAM,在ASIC中使用SRAM相当便宜。我们期望ASIC比GPU具有更大的效率优势。”
2018年8月,社区承认(1)在现实中不可避免要使用ASIC,(2)在开始可能不利于启动分布式社区,但从长远来看并非坏事。相反,ASIC友好算法可以使网络更加安全,因为ASIC矿机增加了网络的哈希率,使攻击更加困难和昂贵。ASIC对于协议的长期成功是有好处的,因为投资了数千万美元的矿工在安全方面的诉求与协议保持一致。
另外,Derek Hsue认为,“任何产生持续抗ASIC的尝试都会产生秘密的ASIC芯片——这是有问题的。”
基于以上几点,Grin决定切换到由Cuckoo Cycle变形的工作量证明算法,这是,主要的ASIC友好(AF)算法和次要的抗ASIC(AR)算法,并逐步淘汰次要算法。Grin中的主要算法称为Cuckatoo31+,是Cuckoo Cycle的AF版本。被称为AF是因为它使用了数百MB的SRAM来提供比GPU更高的效率。第2种算法Cuckaroo29是一种内存硬AR PoW算法。然而,真正抗ASIC的唯一方法是进行有计划的硬分叉,不断调整算法(la Monero),使已生成的的ASIC作废。Grin将每6个月执行这样的分叉,以调整算法,以阻止该算法的ASIC生产,直到该算法在两年内逐步淘汰。
加密社区的一些成员密切关注Cuckoo Cycle算法的稳定性。John Tromp在2014年首次提出了这一概念,随着研究人员找到优化计算的方法,这一概念在短短时间内经历了数次修订。Cuckoo Cycle是基于图论问题。一个令人担忧的问题是,如果某个矿工比网络的其他矿工更快地计算出Cuckoo Cycle,那么它可能会获得优势。John Tromp认为,矿工的相对优势可能会随着迁移到更大的图论而增加。如果社区的其他成员实现相同的解决方案,这种优势就会消失。
一开始,Grin的结构是90%的区块用次算法挖矿,10%的区块用主算法挖矿。2年后,100%的区块将使用主算法进行挖矿。在未来2年,Cuckatoo31+(主算法)将获得更大比例的区块奖励,每月线性增长3.75%。Grin社区希望,到Cuckatoo31+占据100%的挖矿份额时,将出现多个ASIC制造商健康竞争的情况。Grin每经过60个区块窗口,会调整一次难度。
Grin矿池
miningpoolstats.com的数据显示,Cuckaroo29有15个矿池,Cuckatoo31+有11个矿池。在撰写本文时,前2个矿池星火矿池和鱼池)的算力之和是Cuckaroo29的82%,Cuckatoo31+的68%。星火矿池和鱼池都向Grin的开发者基金和通用基金提供了捐款。虽然算力似乎集中在矿池,但矿池由许多参与者组成,这些参与者可以选择离开矿池,并随意将其算力转移向其他地方。
第三大矿池是GrinMint,这是BlockCypher于2018年9月首次作为测试网推出的一个矿池,并于2019年1月在主网上推出。BlockCypher收取2.5%的费用,并表示将分配0.5%给Grin开发者社区。BlockCypher还有一位全职开发者为Grin工作(Quentin Le Sceller)。其他回馈Grin社区的矿池包括MimbleWimble Grin Pool和Grin -pool.org。
另一个值得批评的是,在Grin上线时,由风险资本支持的矿工控制了大量的算力。结果,原本是市场买家的投资人变成了加密货币的卖家。当矿池发现区块并获得挖矿奖励时,投资人会立即出售这些代币,因为其要以比特币支付矿工薪酬。
货币政策
Grin的线性发行率,以60Grin/分钟(1Grin/秒)的速率释放代币,供应无限。另一方面,比特币的硬顶为2100万,其供应通缩。每4年区块奖励减半,直到2140年左右达到接近0。该模型鼓励持有币,预期每枚币的价值会随着时间的推移而增加,使比特币作为一种价值储存手段变得有价值。
Grin的早期通胀率非常高,当有数百万枚币在流通,通胀率会随着时间的推移接近0,虽然它永远不会达到0。实际上,通胀率需要10年才能降到10%以下,25年才能降到4%(与2018年的比特币比率大致相同)。通胀率需要50年才能降到2%以下。然而在现实中,Grin团队认为,如果考虑币丢失的情况,通胀率将会降低。据团队称,每年丢失的币可能高达总供应量的2%,在计算通胀率时应将这部分排除在外。无限发行是缓解币丢失影响的一个潜在方案。
无限通货膨胀背后的另一个原因是,(1)与通缩相比,无论是否早期加入网络,通胀政策对参与者的回报和优惠更为公平(对于早期的矿工来说,这不是一个快速致富计划),和(2)如果预计明天的币价等同今天,它会更大的几率被用作交换媒介,这正是Grin的目标。由于币会被大幅稀释,短期到中期的高通胀会刺激消费,而非储蓄。社区认为,鼓励消费会扩大币的供应。
无限供应可以防止Grin最终只能依靠收费市场来确保网络安全——这也是比特币社区目前正在讨论/面临的挑战。一旦比特币的发行接近于0,该网络将必须转向仅收取交易费的模式,以奖励为保护比特币区块链而付出努力的矿工。这是一种新的区块链经济模式,但仍然会存在许多问题:1个区块打包多少交易?达到保护网络的每笔最低交易费是?以及旨在降低费用的第二层解决方案所带来的问题将如何影响底层区块链的安全性?
来源:grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者批评Grin的线性发行率没有上限,因为通胀降低了储蓄的购买力,这否定了将资产作为价值储存的观念。然而,Grin中的通胀是一种有意的设计,目的是鼓励消费,抢占币丢失问题的先机,并确保始终可以补偿那些保护网络安全的矿工。高通胀的一个不利之处是,区块奖励目前在总供应量中占相当大的比例,类似早期的比特币。由于矿池出售Grin奖励,换取比特币支付给矿工,可能会对比特币的价值产生负面影响。
治理
Grin的Lehnberg说:“治理是关于如何做出在参与者(参与决策的人)和利益相关者(受决策影响的人)看来合法的决策。目前Grin并没有一个明确的治理过程,但决策过程是透明的,并对社区开放。”
Grin有一个管理Grin通用基金并指导该项目发展的技术委员会。委员会成员包括Ignotus Peverell,Antioch Peverell,Hashmap, Jaspervdm,Lehnberg,Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner),John Tromp和Gary Yu。任何人都可以参加治理和开发会议,但通常最活跃的贡献者占据重要地位。
技术委员会每2周举行一次治理和开发会议,主题包括抗ASIC、筹资和指导资金使用、重大缺陷和漏洞、安全审计、交换集成、硬分叉等等。Grin还在Github页面上发布会议前后的议程、笔记和会议记录。在grin论坛上有一个关于治理的部分,其中有关于这个主题的帖子,表明社区正在积极思考如何从长远角度进行治理。
技术委员会使早期社区能快速和灵活地治理和开发,避免网络进程减慢。随着Grin的成长和成熟,人们一直在讨论建立一个更加结构化的治理过程,并进行检查和平衡。委员会成员和贡献者已明确表示,有必要确立一个更正式的流程:
· 为社区提供一种更结构化的方式来讨论和反馈
· 设置委员会的职权范围,以及向社区向委员会成员提供意见的规则。
· 所有利益相关方都可以提出自己的意见。包括核心开发者、一次性贡献者、矿工、用户、投资者、交易所等等。
缺点是,该委员会增加了中心化的因素,从长远来看,一个非官方的委员会不利于发展。一个例子是Burst PoCC,它的功能类似于Grin的技术委员会。有一天,他们对社区感到不满并意外退出,但仍然可以访问存储库、DNS注册等。他们还采取了其他恶意行为,如欺骗矿池和过早抛售,最终损害了Burst区块链。
融资
Grin是一个完全基于捐赠的开源项目。虽然它的发行很公平——没有ICO、预挖矿或创始人奖励,但缺点是开发和进展缓慢。Grin依靠无偿的兼职志愿者,为核心开发者基金、安全审计、营销和网络开发、会议等筹集捐款。
正如Tushar Jain指出,“没有资本主义的激励,发展将会被推迟。” Grin社区认识到了这一点。在通用基金页面上,他们说,“现实情况是,有了资金来源,将大大推动Grin的项目发展。这将使Grin更快、更稳定地发挥其潜力,有更好的基础设施支持,并有更大的机会与资金充足的区块链项目竞争(或共存)。”
Grin社区从2016年开始构建Grin,直到2019年1月才在主网上发布。MimbleWimble的另一个实现Beam(详见下方)——是一家由风投投资者支持的私人公司,从2018年初开始研发项目,并早于Grin一周推出。
此外,社区的核心开发者和贡献者Yeastplume (Michael Cordner),在最初难以筹集资金时,无法将全部精力投入Grin。只有在Ignotus Peverell对Cordner的募资活动(5.5万欧元)远未获得10%的资金表示失望之后,募资活动的捐款才开始上升。之后超额完成了筹资目标,在撰写本文时筹集了66,580欧元。
短期内依靠捐赠可能会奏效。然而,要维持发展并吸引人才加入该网络,Grin需要重新考虑其融资模式,因为它面临着资金充足、员工有薪项目的日益激烈竞争。
用户体验
如上所述,MimbleWimble去掉了地址。因此,发送方和接收方必须链下传递消息(称为“交易板”),交互式通信进行币的转让。有多种方法传递标准化的JSON消息。一种方法是文件传输,包含纯文本文件格式的JSON消息,可以通过多种方式传输(电子邮件、电报、Keybase、业余无线电、信鸽等),另一种方法是URL方法,其中API接受原始文本格式的JSON。
一组名为vault713的第三方开发者正在努力使Grin更加实用和更广泛采用。他们的第一个项目是交易协议Grinbox。这是一个消息中继服务,当与wallet713一起使用时,简化交易流程,wallet713由vault713的一个核心Grin钱包分叉而来,目前在Linux上运行。Grinbox和wallet713都旨在改进发送和存储Grin的流程。
首先,它们允许参与者创建公共地址来发送/接收资金,这样他们就不必公开IP地址。wallet713还允许用户将联系人姓名链接到其计算机本地存储的地址。此外,wallet713允许异步构建交易。vault713还在努力增加更多增强隐私和可用性的功能,如多签名支持、BTC和Grin之间的原子交换、在交易流入未确认交易池之前与其他wallet713用户联合使用CoinJoin、移动/网络/桌面GUI等等。
随着协议的成熟和人才的流入,将出现更多创建交易的方法。可能会出现基于NFC、QR、蓝牙等的近距离技术。最终,市场可能就一个方便且简单的方案达成一致,哪种方法能达成标准还有待时间考察。
Grin仅有几个月的历史,目前该协议最适合花时间和精力了解其工作原理的技术用户。虽然社区已经开始通过类似grinbox和wallet713来改善用户体验,但在让非技术用户舒服地在网络上交易之前,还需要时间进行迭代和教育。
结论
Grin最初吸引了密码朋克和密码无政府主义者,但其与比特币相似的精神也吸引了许多人。由于Grin匿名领导者、基于捐赠和草根性的资助模式、对隐私和去中心化的关注、以及其社区对推进项目而非快速赚钱的深切关注而受到赞扬。
但是主网上线只是Grin的第一步。要想让Grin获得长期成功并被广泛采用,还有大量工作要做。要解决的关键问题包括更可靠的筹资方式、更直观的用户体验以吸引更多用户进入网络,以及研究如何解决系统中的隐私漏洞(即监视节点创建交易图的能力)。
核心团队表示,其“主要关注点仍然是稳定性、性能和安全性。通过第三方开发团队将Grin集成到他们的服务和产品中来培育一个健康的生态系统,以提高采用和改进。”无需Grin核心开发者参与,相反,可由围绕Grin的生态系统的第三方开发者解决。
Grin仍然是一个非常新的项目,开创了未经测试的新思想、加密概念和技术。如果Grin解决关键挑战,就有可能成为一种将隐私交还给个人的方式。
Beam
Beam是一家由VC支持的初创公司,总部位于以色列,于2019年1月3日推出了一款基于MimbleWimble协议且专注于隐私的加密货币。它于2018年3月开始以C++做构建,并于2018年9月发布了测试网。虽然Beam和Grin的相似之处在于都是MimbleWimble的实现,旨在为用户增强隐私,但它们的方法不同。与Grin不同,Beam是一家雇佣开发者做开发的私营公司。Beam一开始是封闭其原始代码的,之后才开放。Beam的另一个重要区别是针对企业和监管机构的可选审计性。
· 货币政策:Beam的供应计划是通货紧缩,第1年后,区块奖励下降50%,之后每4年减半,直到达到2.63亿beam的硬顶。此外,20%区块奖励用作开发支付给Beam Treasury,以帮助为Beam未来的开发提供资金。
· 挖矿算法:Beam使用修改版的Equihash,一种工作量证明挖矿算法,提供网络共识。为了确保去中心化,Beam将在前12-18个月定期调整算法以抵抗ASIC。
· 治理:Beam目前是一家由VC支持的初创公司,拥有带薪员工。长期目标是将全面治理移交给管理Beam Treasury并维护协议的非盈利基金会。
· 功能:Beam正在添加一个可审计功能,这样企业就可以在不损害隐私的情况下证明其合规性并提供交易可见。Beam开发者还在探索一个安全的BBS系统,该系统将支持非交互式离线交易。
· 挑战:不断改进PoW协议是一项艰巨的任务,避免ASIC挖矿集成将使全网算力较低,从而网络攻击成本降低。此外,Beam目前是中心化的运营和治理结构,向更去中心化的模式转变需要避免所有投资方之间的权力斗争。
挖矿算法
Beam使用Equihash,这是卢森堡大学的Alex Biryukov和Dmitry Khovratovich创建的一种工作量证明算法。Equihash是一种基于广义生日问题的非对称内存约束算法。Equihash的另一个关键特性是随机挖矿,这意味着生成证明的可能性与过去的成功或失败无关。Equihash有2个参数可以调整:n(以位为单位的宽度)和k(长度),这2个参数决定了底层问题的复杂度,从而决定了算法的内存和时间复杂度。Beam上线时的Equihash参数:n=150, k=5。
Equihash在某种意义上是非对称的,因为它需要大量内存来生成一个证明,但不需要大量内存来验证它。这是Equihash的一个重要特性,因为大多数其他内存约束算法都对称,也就是说,验证证明与生成证明一样困难。内存限制指的是生成证明所花费的时间与内存而不是算力成比例。如果使用更少的内存,Equihash会不成比例地增加计算需求。
最初,内存是一种昂贵的资源,因此ASIC没有比常规CPU和GPU更好的内存优化。另一方面,ASIC比GPU有显著的带宽改进,而GPU又比CPU提供了显著的带宽改进。由于基础设施的改进,优化ASIC内存的成本低于预期。
Zcash也是一家专注于隐私的加密资产,也使用Equihash,最初选择Equihash是因为它抗ASIC。然而,比特大陆在2018年发布了蚂蚁矿机Z9mini,“通过与SRAM接口,以相对较低的成本”,比普通硬件更高效地开采Zcash。Beam在关于Equihash的帖子中强调,“卢森堡大学的研究人员发现,截至2018年5月,20%-30%的Equihash由ASIC挖矿。”
Beam表示,它已经设置了Equihash参数,让CPU和GPU矿工短期内比ASIC拥有优势,从而使币的初始分布更加广泛。然而,Beam认识到ASIC是不可避免的,甚至从长远来看是可取的,因为ASIC成本低廉,并且增加了网络哈希率,从而使其更安全,更难以攻击。
货币政策与融资
Beam的货币政策类似于比特币。特点是规定了一个硬顶和通缩发行计划,定期区块奖励减半(每开采一个区块可获得的代币数量减半),直到通胀率为0。因此,这家初创公司希望Beam能作为价值储存,而不是Grin这样的交换媒介。不过,比特币的相似之处就到此为止,然而,Beam的特殊之处还在于,Beam在第1年有更高的区块奖励,前5年区块奖励部分归于项目创始团队,出块时间为1分钟。
第1年,区块奖励为100 beam,高于通常的奖励,以激励矿工尽早加入网络,并将Beam引入市场。前5年收取20%(创始人费/开发税),所以第1年挖出的每个区块(包含100枚Beam),80枚将支付给矿工,20枚支付给Beam 基金会。在未来2到5年内,区块奖励减半至50枚beam,其中40枚beam支付给矿工,10枚beam支付给基金会。第6年,区块奖励将再次减半至25 枚beam(所有奖励都将支付给矿工),并在未来每4年减半一次,直到第129年。区块奖励将在第133年停止,届时Beam预计将拥有总计2.63亿beam的上限供应。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam采用了创始人奖励机制(也称为开发税),以回报投资者,并为正在进行的协议和工具开发提供财务激励。创始人奖励或费用是构建在区块链协议中的补充代码,该协议自动分割和发送区块奖励(coinbase交易)给区块矿工和创始人团队的地址。
这种方法显然不同于像ICO这样的预挖矿,或者像Dash这样的偷挖(insta-mine),给创始人一大笔流动资金作为报酬。尽管这2种方案都是早期团队成员所希望执行的,但这些报酬设计往往缺乏有效的资金管理或兑现计划。因此,在短期利益驱使下,资金挪用和骗局跑路的情况十分普遍。
创始人奖励则是指随着项目的发展逐渐补偿创始人。因此,初始的利益相关者更有动力去协调利益,维护网络的长期发展。Arjun Balaji指出:将奖励制度纳入协议,提供了透明且固有的资金分配和“以软或硬分叉降低退出摩擦”的自由。
创始人奖励结构最初是由Electric Coin Company(前身为Zcash Company)设计并推广。这家公司是专注于匿名加密资产Zcash的开发和维护Zacash的背后合资企业。起初,Zcash矿工只能获得80%区块奖励。剩下的20%将分配给Zcash基金会(一个支持Zcash开发的独立非盈利组织)、Electric Coin Company以及早期的Zcash开发者和顾问。继头4年之后,预先设定创始人奖励为0,以确保所有新发行的Zcash将全部归矿工直到达到2100万的硬顶。
Beam的融资模式与Zcash类似,在其早期阶段向Beam Treasury支付20%的创始人费。与Zcash不同的是,Beam将在头5年执行,包括第1年区块奖励为100Beam。在这5年结束时,应向Beam Treasury累计提供3150多万Beam。计划将35%的资金用于偿还早期投资者,另外45%的资金将分期偿还给核心团队成员和顾问。剩下的20%将用于支持Beam主权货币基金会(Beam Sovereign Money Foundation),这是该项目维护协议和治理的长期方案。
来源:medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖励,Beam还从Recruit Co. LTD、Yeoman 's Capital和节点资本在内的各种风险投资基金筹集了500多万美元,用于聘请全职开发者来推进协议。这些投资者将定期获得Beam分期付款(创始人奖励的一部分),以协调每个利益相关者的利益。
Beam核心团队和早期投资者都认识到,更集中的努力将加快生产,并避免其它项目经常出现的长久不更新或主件延迟。因此,Beam的利益相关者选择了这种中心化的方法来指导项目度过初始阶段。随着Beam的不断成熟,其目标是实现更加去中心化的激励和治理结构,将区块奖励交给网络矿工,并将控制权交给社区。
不利的一面是,Beam没有让所有投资者平等参与。在主网上线之前就从投资者那里筹集资金,或者将部分资金分配给特定集团(即ICO、创始人奖励或预挖矿),都可能导致币的不平等分配。
与之相对的是与比特币和Grin类似的产品,在这些产品中,只能通过传统PoW挖矿获得加密资产。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络,挖出新的比特币或Grin。这样的发行往往会在网络用户之间展现出更公平的资金分配。
治理
目前Beam依靠一个位于特拉维夫的小型VC团队来确定所有协议更新和功能添加。因此,项目的组织结构更类似于私人创业公司,而不是大多数去中心化协议所显示的治理过程。这赋予Beam更能控制风险,以及快速转变和自由迭代,以满足市场需求,并加快其早期阶段的生产率。
Beam领导团队由首席执行官Alexander Saidelson、首席技术官Alex Romano、首席运营官Amir Aaronson和首席营销官Beni Issembert组成。其他核心成员主要由开发者以及一些设计人员和部门主管组成。该公司还从12位顾问那里获得见解,有OGroup首席执行官、通用电气(GE)新兴技术部门前首席信息官Maja Vujinovic和Genesis Mining首席执行官兼联合创始人Marco Streng。
随着协议的成熟,创始成员将把控制权从初始团队转移到Beam主权货币基金会(由杰出和受人尊敬的社区成员运营)。Beam认为,建立基金会将有助于实现其去中心化组织结构的目标。确定基金会职责和规则、纳入董事会成员的过程将在未来几个月进行,预计将于2019年底前启动。一旦基金会开始获得支持,当前的Beam公司计划转换为服务提供者的角色,在Beam协议的基础上构建最终用户应用程序。
大部分关于基金会的建立流程尚未公布,但已知的Beam基金会角色包括:
· 管理对Beam协议的改进提案和开发
· 资助和促进与Beam、MimbleWimble和蒲公英协议相关的研究
· 提高促进社区发展的意识
· 推动对数字货币和金融主权中对隐私重要性的认识
挑战
采用创业模式,Beam将面临与大多数创业公司相关的典型问题,并在缓和公众的看法,转向更去中心化的治理模式上处境更艰难。创业公司普遍失败率高,原因有很多,包括产品/市场不匹配、高消耗导致资金不足以及内部团队冲突。一个仅由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能陷整个项目于危境。
更艰巨的任务是获得足够的支持,以帮助将协议治理和开发工作从小型原始团队转移到整个社区。加密资产的一个重要评估指标是项目的去中心化程度,Beam有意延迟该指标。支持Beam策略的论点是项目早期“需要能够快速转动和迭代的自由”。用Arjun Balaji的话来说:“在早期优化去中心化的同时构建新型分布式网络几乎不可能”,因为这些目标本身就存在矛盾。
用户体验
Beam的钱包
Beam为非技术用户提供了图形用户界面(GUI)钱包,并为Mac、Windows和Linux提供了命令行界面(CLI)钱包。Beam桌面钱包创建了交易方可以彼此共享的公共地址。这些地址没有记录在区块链上。Beam最近还推出了Android手机钱包的测试版,并计划推出iOS手机钱包。该公司还表示,正在与硬件钱包供应商进行交流,以推出对Beam的支持。
SBBS
Beam试图通过使用安全公告牌系统(SBBS)使离线交易创建和异步通信更加无缝和安全。Beam的BBS是在上世纪80年代和90年代早期流行的电子公告板系统之后设计的。拥有家用电脑和调制解调器的用户可以通过固定电话与其他电脑连接,并在基于文本的公告牌系统(BBS)上留下信息,供他人查看。BBS主机是将计算机转换成地面数字会场。随着BBS变得越来越先进,用户可以玩基于文本的游戏,甚至可以方便地传输文件。
在Beam中,BBS钱包相当于家庭计算机加上调制解调器(它们是“客户端”),而Beam全节点相当于BBS主机(服务于服务器)。SBBS是节点软件的一部分,并且是链下维护。BBS全节点创建一个存储转发网络,将消息转发给脱机的接收方。消息使用公钥加密,然后通过Beam全节点转发到接收钱包。在这种情况下,公钥充当P2P系统中的地址。如果接收钱包离线, Beam的存储转发节点可以将消息存储在充当留言板的数据库中。参与者解密订阅留言板上的消息,但是只有具有相应私钥的参与者才能解密指向他们的消息。
Beam打算利用其钱包和SBBS,让用户体验类似于基于地址的区块链交易,并降低与基于MimbleWimble协议的加密资产交互的门槛。
Beam钱包面临的挑战
在1月9日发布后不久,Beam开发者就发现了钱包里的一个漏洞,这个漏洞会让用户的资金受到攻击。开发者发现他们在钱包代码中留下了一些不该留存的内容。虽然Beam在发布之前进行了多次代码审查和审计,但主要关注的是Beam加密实现的稳定性,这表明在审计钱包和SBBS时可能没有采用同样的严格标准。Beam宣布,补丁是在内部发现并修复的,没有资金被盗。建议用户卸载钱包,并从Beam网站重新下载更新后的版本。
1月21日,Beam出现了另一个问题,导致区块链在25,709区块暂停生产。原因是钱包使用不当。更具体地说,通过钱包克隆,单个交易中相同的UTXO发送到区块链上。这导致“不正确的核销处理,最终导致无效区块”。Beam在将近3个小时内没有生成区块,在大约5个小时内没有处理交易。
可审计性
Beam的一个关键区别在于,它专注于服务业务。除了MimbleWimble可能带来的改进之外,Beam还开发了一个可选合规和可审计功能(钱包审计或商业钱包),以帮助企业遵守法规并执行所需的审计。这允许企业创建一个附加审计员密钥的钱包,以便审计员识别由商业钱包创建的区块链上的标记交易。有了可选合规的功能,交易仍然匿名,而如果用户有需要,可以向审计人员报告。这为常规业务打开了加密资产的应用场景。
根据Zaidelson的说法,虽然实际的信息将由钱包生成并链下存储,但是区块链会将每个交易的信息引用存储为哈希值。Beam区块链不存储历史交易细节——它只存储引用过去交易的交易内核。在这次采访中,Zaidelson说Beam“可以用这个内核来存储额外的编码信息……包括发票或收据等压缩文件的哈希值。当用户进行审计时,审计人员可以检查数据是否与数据的加密哈希值匹配。
由于这个功能还在开发中,使它的实践具有不确定性。如果它成功了就可能会解决企业的一大痛点。一方面,像比特币这样的加密资产以向竞争对手披露保密信息为代价,提供了完全的透明度和可审计。另一方面,Zcash和Monero等加密资产中的匿名功能可以隐藏所有交易的痕迹,从而禁止任何类型的审计。
可审计性的挑战在于,企业必须安全地存储与哈希值对应的数据。此外,企业需要相信审计员不会与未经授权查看数据的其他方共享审计员密钥。虽然Beam可以创建一种共享私有数据的方法,但是审计人员可能不知道如何审计标记在Beam区块链上的交易。理论上,他们可以将这一功能外包出去,但这将扩大接触敏感数据的人群。
路线图
在主网上发布后不久,Beam发布了2019年的全面路线图。它分为2大类别,Beam Core(专注于改进和推进Beam核心协议)和Beam Compliance(专注于启动和迭代Beam对业务的合规性和可审核性计划)。长期来看,Beam已经的了一个名为“Lumini”的项目,将致力于在Beam和其他一些智能合同区块链(s)之间建立一座桥梁,并在Beam上推出保密资产。
Beam Core
Beam Core分为5个阶段——Agile Atom、Bright Boson、Clear Cathode、Double Doppler、和Eager Electron。路线图的亮点包括年底之前部署闪电网络作为第二层解决方案,实现Beam的快速支付,2019年3月以前推出Beam与比特币原子互换,按计划执行2个硬分叉来调整Equihash挖矿算法以抵抗ASIC,详细参加下图。我们认为Beam首先必须推出智能合约和多签名功能(例如,通过无脚本脚本)来支持第二层解决方案,如闪电网络。
Beam合规
Beam合规性跟踪的主要目标是使Beam商业可用。Beam计划在其合规套件中增添一个“合规钱包”和一个“监管界面”,预计将针对具体国家的监管规定量身定制,目前暂定的上线日期是2020年。
结论
Beam采用了一种商业方法来构建一种价值储存匿名币。它有VC支持,并有全身心投入项目的带薪员工。因此,Beam能在不到一年的时间里从开发到上线。在Beam钱包和安全消息系统方面明确关注用户体验和易用性。另一方面,它的桌面钱包已经出现了一些小问题,可能会导致资金损失,这对如此年轻的项目可能有害。
Beam在其2019年路线图中概述了大型计划,包括在Beam上建立闪电网络,以及为企业和监管机构提供可审计的解决方案。Beam的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了内置选项。然而,Beam的合规性和可审计性方案尚未推出,可能会开放其他攻击向量。Beam有雄心勃勃的目标,在发布到主网之前,应该对这些目标进行彻底的测试,以避免粗心大意的错误导致用户资金或数据受损。如果Beam能够实现其计划,它将提供一组独特的功能,为业务用户解决明显的问题。
回顾
MimbleWimble的新颖之处在于,它通过协议版本的保密交易、CoinJoin和区块内和区块间的核销组合,增强隐私和效率,使更多设备参与保护网络。
Grin和Beam都是MimbleWimble的实现,但它们的相似性仅限于此。Ignotus Peverell (Grin的创始人)指出,“一个常见的误解是,MimbleWimble描述了一个完整的加密货币解决方案,因此往往把Beam和(Grin)相提并论。”
虽然这两个项目都旨在为用户改进隐私和效率,但它们在大部分技术、结构和组织上存在差异。引发最多讨论的是Grin的捐赠和志愿者驱动/密码朋克式(类似于比特币和Monero)的可持续性,与Beam的VC支持的初创公司方法(类似于Zcash)的创始人奖励和付费员工的可持续性。时间会证明哪种方法更好。在此之前,看看这些项目如何相互作用并相互学习将是一件有趣的事情。
想要获取更多区块链项目资讯,欢迎添加助手微信号:go-first-one
Circle Research | MimbleWimble深度报告(上篇)
投研 • firstone 发表了文章 • 2019-03-28 10:36
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告上篇,主要讲述MW协议的背景原理和机制等问题,相关具体应用案例将在下篇文章中具体分析,敬请关注!
MimbleWimble
MimbleWimble是一种增强隐私和扩容的区块链协议。在不存储整个区块链历史记录的情况下,验证所有交易是否有效。它的名字来源于《哈利波特》中束缚舌头的咒语,这种咒语可以防止被施咒者泄露秘密。2016年,一个化名汤姆·埃尔维斯·杰多索的人在比特币奇才IRC聊天室分享了一个Tor链接,链接到一个概述MimbleWimble的文本文件,然后就消失了。
背景
Blockstream的数学家Andrew Poelstra对该协议很感兴趣,并于2016年10月发表了一篇关于MimbleWimble更详细、更强大的技术意见书。MimbleWimble是一个区块链协议,Grin和Beam是它的2个最初实现。在本篇报告中,我们将探索MimbleWimble、Grin和Beam。
来源:messari.io/onchainfx,coinmarketcap.com
加密社区的许多人一直在密切关注MimbleWimble协议,因为其旨在改进比特币和其他加密货币的关键问题,首次优化了隐私性和扩展性。
· 健全的隐私性:MimbleWimble将交易发送方、接收方和金额隐藏起来,让任何未参与交易的人无法查看。观察 者看到的交易由一些加密的输入和输出组成。他们可以验证已在链上的输入,并且等于输出货币的总和。这是对比特币等系统的改进,在比特币系统中,每个人都可以在比特币从一个地址转移到另一个地址时追踪其价值。
· 高效:MimbleWimble只允许验证者存储未使用的UTXO。所有其他加密货币强制矿工和外部验证者存储区块链的整个交易历史。这可以节省空间和更快的同步,因为随着区块链历史记录的增长,矿工可能被迫使用多个驱动器来存储整个历史记录。
验证者通过验证(1)输入的和等于输出的和,(2)交易不包含负数来检查MimbleWimble交易,以确保没有任何交易试图铸造新币。唯一可以铸币的交易是coinbase交易,这也是唯一可识别的交易。但是,验证者和观察者无法查看谁收到了区块奖励。
MimbleWimble的另一个重要特性是没有地址或公钥,只有输入和输出。每个UTXO都有一个密钥,接收方将UTXO密钥存储在他的钱包中。要发送UTXO,发送方必须在专用通道中与接收方联系,并执行多轮通信来构建交易。发送方使用自己的UTXO密钥对UTXO进行签名,而接收方通过通信获得了输出UTXO的新密钥。
问题
区块链是不可伪造的公共交易账簿。不可伪造意味着用户只能发送他们收到的资金——他们不能发送已使用资金或凭空创造资金。比特币和类似的区块链公开了发送方地址、接收方地址和交易金额,因此很容易验证发送的金额是否等于接收的金额,并且发送输入的是与这些输入对应的私钥。
比特币(以及其他加密资产)的公开性,可能会不被那些不想分享交易细节给所有人的人和企业的欢迎。此外,随着像Elliptic和Chainalysis这样的区块链分析公司崛起,研究人员可以将输出与非法交易联系起来,并将这些输出列入黑名单。币安的首席执行官曾在推特上表示,在社交媒体上报道了黑客向该交易所发送的资金后,他们能够冻结这些资金。然而,一些人认为这违反了非同质(fungibility)原则。非同质是指所有币都是一样,就像一张1美元的纸币与另一张1美元的纸币是一样的,不管这张纸币过去有什么活动。
比特币和所有其他区块链都要求矿工和其他验证者存储该链的整个交易历史,以验证所有交易都为有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这对希望与网络同步的新参与者在空间、时间和计算上有很大要求。在2019年之前,比特币区块链的大小约为200GB。
MIMBLEWIMBLE解决方案
MimbleWimble以一种聪明的方式使用密码学来实现不可伪造性,同时优化了隐私和扩展性。与比特币验证每个输出的整个历史不同,MimbleWimble检查所有输入减去区块链上所有输出之和是否为零来验证链(这加强了货币的一个基本特性,即发送的金额等于接收的金额)。MimbleWimble使用了保密交易、CoinJoin、范围证明和核销(cut-through)组合。
与比特币类似,MimbleWimble依赖于椭圆曲线密码学和UTXO模型。然而,MimbleWimble是一个更精简的版本,由于脚本的隐私性问题,它牺牲了可编程性。因此,无法执行更复杂和丰富的功能,如时间锁定或支付渠道(如闪电网络)。
快速了解:UTXO
比特币和MimbleWimble使用未花费的交易输出(UTXO)模型来计算余额。可以将此模型使用币与钞票或信用卡与借记卡支付商品和服务进行对比。例如,Alice想买一件30美元的衬衫,但她有2张20美元的钞票。她不能只给商人一张半的钞票。相反,她把2张钞票都给了商人,并收到一张10美元的钞票作为找零。
UTXO模型的功能与此类似:Alice有2个交易输出,分别是先前交易的1个BTC和0.5个BTC。她需要向商家支付1.3 BTC。她的钱包创建了一个交易,该交易发送1.5 BTC(2个新输出)。商户收到1.3个比特币,Alice收到0.2个比特币作为找零(扣除交易费用)。比特币用户查看区块浏览器,可以发现他们比特币地址发送的比特币数量通常比指定的要多。
快速了解:椭圆曲线密码学
椭圆曲线有几个特性,对复杂的密码协议非常有帮助。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点G,并将其乘以某个整数s,很容易得到另一个点P=sG。然而,给定(P,G),恢复s的值在计算上不可行。这使得我们可以使用(P,G)作为公钥,而s作为密钥。另一个性质是椭圆曲线上的点具有有用的代数性质:
1. 分配式:(a+b)G = aG+bG
2. 交换律:a(bG) = b(aG) = (ab)G
快速了解:佩德森承诺
佩德森承诺是结合了椭圆曲线的单向和代数特性的密码原语。对某些值(x,y)的承诺计算为P=xG+yH。虽然算出s=P/G在计算上不可行,但是从(P,G,H)计算出(x,y)也不可能,因为有无数的x和y的组合可以满足P=xG+yH关系。然而,知道单个(x,y)对满足这个等式的用户无法计算满足这个等式而不违反椭圆曲线单向特性的第二个 (x ',y ') 对。
保密交易
默认情况下,MimbleWimble依靠一种称为保密交易(CT)的加密概念来实现隐私。保密交易由Gregory Maxwell提出,他的灵感来自Adam Back对比特币的同态加密。保密交易使用佩德森承诺来隐藏UTXO的值。
在MimbleWimble中,交易输出或输入表示为佩德森承诺rG + vH。G和H是椭圆曲线上的随机点,是区块链的公共参数。V值为UTXO值,r为盲因子,是UTXO的密钥。rG值是对应的公钥。MimbleWimble使用佩德森承诺混淆敏感的交易信息,而不是显示明文的交易值。佩德森承诺允许使用基本算法来验证交易。
假设这样一个例子:我们有2个输入和1个输出。我们提供了样本值和盲因子,同时保留公共参数G和H作为变量。
交易内核
如上所述,保密交易的问题在于,它们要求输入和输出UTXO使用相同的盲因子,即接收方的密钥。如果发送方知道了接收方的盲因子值,她就可以窃取接收方的输出UTXO。MimbleWimble使用零知识证明克服了这个问题。
假设一个发送5个币的简单例子。发送方有一个未使用的UTXO,表示为承诺X=45G+5H,其中X=5,45是她的盲因子(r),或密钥。接收方选择一个随机盲因子7,并创建一个输出UTXO,表示为承诺Y=7G+5H。将输入与输出进行比较的验证者将看到超额的承诺:
X-Y = (45G+5H) - (7G+5H) = 38G
MimbleWimble将值38称为excess或内核,将值X-Y = 38G称为交易内核。在有效交易中,交易内核的形式总是X-Y = rG+0H,其中r是某个整数。即使使用多个输入和输出,如果输入值的和等于输出值的和,值乘以H等于零,等式成立。有效的交易内核总是公钥的形式,发送方和接收方都知道相应密钥的一部分。MimbleWimble有一个协议,该协议允许它们联合计算一个签名,使用它们的盲因子来签署交易。内核代表交易参与者的多重签名密钥。
范围证明
MimbleWimble协议要求交易金额为正,因此用户不能凭空创造币。正如我们所提到的,惟一能够铸造币的交易类型是coinbase交易。范围证明是一种密码技术,用于证明给定佩德森承诺X,证明者知道一对整数(r, min < v < max),使得X=rG+vH。MimbleWimble使用范围证明来证明v>0。MimbleWimble使用了最近介绍的防弹协议,一种范围证明方法,只需消耗~5000到~700字节。
无地址
如前所述,MimbleWimble不使用地址。删除地址背后的一个关键动机是增强隐私和扩大空间。在基于mimblewimb le的区块链中,用户必须在链下通信才能创建交易。发送方与接收方共享其控制一些币的证明,接收方接受对这些币的控制。由于没有公开分配币控制权的地址,因此没有发送交易的“标准”方式。因此,交易参与者需要设置一个聊天会话来共享控制证明并将控制传递给接收方。这与比特币(以及大多数其他区块链)很大不同,后者可以在没有接收方参与的情况下执行交易。
CoinJoin
解决交易公开性的一种方法是使用CoinJoin。CoinJoin是一种将输入组合成单个大交易的方法,这使得很难区分哪些输入在支付,哪些是输出。CoinJoin已在JoinMarket、ShufflePuff、DarkWallet、SharedCoin、Wasabi、Samourai中实现。基于钱包的CoinJoin的缺点是用户必须选择使用该服务。这降低了它的有效性,因为用户要么不知道这些服务,要么认为使用这些服务太麻烦,从而导致了一组小型CoinJoin交易(一个小型的“匿名集”)。这不能有效地隐藏原始地址和接收地址。此外,用户必须进行交互才能创建CoinJoin交易,因为每个输入所有者必须对整个组合交易签名才能对其进行身份验证。
在MimbleWimble中,默认情况下用户不需要选择CoinJoin。一个区块不会有单独交易,相反,它看起来像是一个大型交易。图1是下一个区块中包含的一组未改动交易的简化版本。在图2中,MimbleWimble以类似于CoinJoin的流程将交易连接在一起,这样就是一个单独交易,一个组合了所有输入和所有输出的列表。
核销(Cut-throuh)
保密交易比常规交易要大得多。CT比非CT小5倍。MimbleWimble使用一种称为核销的技术来解决这一挑战,以提高效率。
正如我们上面提到的,下载完整的比特币区块链占用了近200GB的空间,并且还在增加。如果比特币上的所有交易都是像MimbleWimble这样的保密交易,那么区块链的规模将会大上几个数量级。
MimbleWimble使用一个称为“核销”的流程来删除冗余输出,将这些输出再次用作同一区块内的输入,从而释放区块内的空间,减少需要存储在区块链上的数据量,同时保持相同的安全性。
在图3中,网络标识出绿色输出用作稍后的输入。网络从这个给定区块的输入/输出中删除这个冗余,以精简必须存储的数据。虽然MimbleWimble删除了输出,但它保留这些交易发生的授权,即内核。
微观层面上,MimbleWimble的区块没有使用该工具,而是在宏观层面上使用了核销,因此仅剩下区块头、UTXO和交易内核。节点可以使用这些关键数据片段来验证区块链。这意味着区块链可能会缩小,例如,如果有一个区块的输出花费的比创建的多。理论上,这可以减少证明分类账状态长期正确所需的数据量。
根据Grin的说法,假设1000万笔交易使用10万UTXO(相当于1个分类账),而不使用核销,则大约为130GB,其中包含128GB的交易数据、1GB的交易证明数据和250MB的区块头。通过核销,区块链的大小可以降低到1.8GB,输出数据为1GB, UTXO为520MB,区块头为250mb。Beam认为,当区块链达到同样规模时,其大小可能只是比特币的30%。
蒲公英协议
MimbleWimble隐私性面临的最大威胁是,节点可以在将交易广播到网络时记录这些交易,然后再将它们包含到一个区块中。在有核销之前,交易输出会在内存池(未经确认的交易池)中停留一些时间。这允许间谍节点构建交易图2,并可能发现发送方IP。
蒲公英协议不属于MimbleWimble,它是对Grin和Beam的补充。蒲公英试图降低间谍节点成功创建交易图的概率,方法是“在交易爆发之前先悄悄地在网络上转发,从而延迟交易在网络上出现”(Andreas Antonopoulos) 。
通常,当有人向区块链发送一个交易时,它会广播到网络上的所有节点。蒲公英将交易的广播分为2个阶段,从“stem”或“匿名”阶段开始,交易随机广播到一个节点,然后节点随机将交易发送到另一个节点,以此类推,直到达到系统将交易广播到整个网络的“fluff”阶段。这可以防止监视节点使用蒲公英将交易映射回原始地址。蒲公英++是对蒲公英的改进,使创建交易图更加困难。
在MimbleWimble中,还可以在stem阶段之前合并交易,使将输入链接到交易变得更加困难。Beam更进一步,在没有足够的输出进行合并的情况下,可以添加虚拟或诱饵输出。
蒲公英面临的一个关键挑战是,在stem阶段,如果将交易传递给随后离线的节点,交易将不会传播到网络。Grin和Beam解决了这一挑战——如果该交易没有在合理的时间内达到“fluff”阶段,交易自动广播到更广泛的网络。
无脚本脚本(Scriptless scripts)
MimbleWimble不支持交易脚本,而交易脚本是大多数区块链一个重要的特性。脚本是嵌入在交易中的代码,支持基本的智能合约功能。没有它,MimbleWimble就不能支持条件交易、使用时间锁、状态通道(例如闪电网络)、跨链原子交换等等。这是不可链接交易和核销付出的代价。验证者无法检查是否满足智能合约条件,因为相关UTXO及其条件可能已被删除。
当2016年8月发表第一篇MimbleWimble论文时,无条件交易对社区而言似乎还是一个限制。然而,Andrew Poelstra发现了一种用无脚本的脚本实现简单智能合约的方法。无脚本的脚本基于这样一种思想,即区块链验证者只需要检查签名是否存在并正确。它们不需要知道发生在链下的条件元素。Schnorr签名可用于支持无脚本的脚本。
具体地说,交易的参与者可以通过组合各自的签名密钥来创建Schnorr多重签名,从而交互式地生成签名,这个签名是唯一需要提交给节点并由节点验证的数据。
Aaron Van Wirdum解释,他举了一个网络用户想听艺术家歌曲的例子。艺术家和用户需要向区块链提交他们的组合Schnorr签名,以验证条件交易。艺术家拥有歌曲的版权,其对歌曲进行加密,密钥设为7000。
获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的Schnorr签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个适配器签名1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的Schnorr签名减去歌曲密钥的结果。然后用户也做Schnorr签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都在链下发生,除了艺术家和用户,没有人能发现单个值和步骤。验证者所看到的唯一内容是Schnorr组合签名13000。公众无法检测Schnorr签名。区块链上只记录了“交易结算”。可以通过添加支持Schnorr签名的新操作码来实现无脚本脚本。Grin和Beam正在实现无脚本脚本的过程中,并没有功能投入使用的确切时间。
无脚本的脚本可潜在支持保密资产、跨链原子交换和第二层扩容解决方案,比如在MimbleWimble区块链上使用闪电网络。无脚本脚本不一定要在MimbleWimble上实现,甚至可以扩展到其他区块链生态上。
结论
MimbleWimble基于经过验证的密码原语。其中一些区块构建已发表在同行评审的密码期刊上,以及写入公共白皮书和技术报告。首个MimbleWimble区块链Grin和Beam直到最近才推出。虽然MimbleWimble是一项新的实验性技术,但它有提供显著的隐私性和扩容优势的潜力,目前它还未解决用户体验和隐私方面的挑战。需要大量的测试和迭代,才能开源区块链上大规模地让隐私落实。目前,复杂的概念在实践中可能面临大量问题。
用户体验方面,没有地址,交易参与方需要交互并在线(虽然不一定同时在线)来签署和完成交易。与现有的加密资产相比较为复杂。
隐私方面,在CoinJoin和核销出现之前,矿工可以在mempool中看到交易。因此,监视网络的节点可以构建详细的交易图,从而损害隐私性,这违反了MimbleWimble的核心价值主张。虽然有蒲公英协议和虚拟UTXO等潜在的解决方案,但在实践中还有待完善。
欢迎添加小助手微信号:go-first-one 获取更多数据分析报告 查看全部
MimbleWimble
MimbleWimble是一种增强隐私和扩容的区块链协议。在不存储整个区块链历史记录的情况下,验证所有交易是否有效。它的名字来源于《哈利波特》中束缚舌头的咒语,这种咒语可以防止被施咒者泄露秘密。2016年,一个化名汤姆·埃尔维斯·杰多索的人在比特币奇才IRC聊天室分享了一个Tor链接,链接到一个概述MimbleWimble的文本文件,然后就消失了。
背景
Blockstream的数学家Andrew Poelstra对该协议很感兴趣,并于2016年10月发表了一篇关于MimbleWimble更详细、更强大的技术意见书。MimbleWimble是一个区块链协议,Grin和Beam是它的2个最初实现。在本篇报告中,我们将探索MimbleWimble、Grin和Beam。
来源:messari.io/onchainfx,coinmarketcap.com
加密社区的许多人一直在密切关注MimbleWimble协议,因为其旨在改进比特币和其他加密货币的关键问题,首次优化了隐私性和扩展性。
· 健全的隐私性:MimbleWimble将交易发送方、接收方和金额隐藏起来,让任何未参与交易的人无法查看。观察 者看到的交易由一些加密的输入和输出组成。他们可以验证已在链上的输入,并且等于输出货币的总和。这是对比特币等系统的改进,在比特币系统中,每个人都可以在比特币从一个地址转移到另一个地址时追踪其价值。
· 高效:MimbleWimble只允许验证者存储未使用的UTXO。所有其他加密货币强制矿工和外部验证者存储区块链的整个交易历史。这可以节省空间和更快的同步,因为随着区块链历史记录的增长,矿工可能被迫使用多个驱动器来存储整个历史记录。
验证者通过验证(1)输入的和等于输出的和,(2)交易不包含负数来检查MimbleWimble交易,以确保没有任何交易试图铸造新币。唯一可以铸币的交易是coinbase交易,这也是唯一可识别的交易。但是,验证者和观察者无法查看谁收到了区块奖励。
MimbleWimble的另一个重要特性是没有地址或公钥,只有输入和输出。每个UTXO都有一个密钥,接收方将UTXO密钥存储在他的钱包中。要发送UTXO,发送方必须在专用通道中与接收方联系,并执行多轮通信来构建交易。发送方使用自己的UTXO密钥对UTXO进行签名,而接收方通过通信获得了输出UTXO的新密钥。
问题
区块链是不可伪造的公共交易账簿。不可伪造意味着用户只能发送他们收到的资金——他们不能发送已使用资金或凭空创造资金。比特币和类似的区块链公开了发送方地址、接收方地址和交易金额,因此很容易验证发送的金额是否等于接收的金额,并且发送输入的是与这些输入对应的私钥。
比特币(以及其他加密资产)的公开性,可能会不被那些不想分享交易细节给所有人的人和企业的欢迎。此外,随着像Elliptic和Chainalysis这样的区块链分析公司崛起,研究人员可以将输出与非法交易联系起来,并将这些输出列入黑名单。币安的首席执行官曾在推特上表示,在社交媒体上报道了黑客向该交易所发送的资金后,他们能够冻结这些资金。然而,一些人认为这违反了非同质(fungibility)原则。非同质是指所有币都是一样,就像一张1美元的纸币与另一张1美元的纸币是一样的,不管这张纸币过去有什么活动。
比特币和所有其他区块链都要求矿工和其他验证者存储该链的整个交易历史,以验证所有交易都为有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这对希望与网络同步的新参与者在空间、时间和计算上有很大要求。在2019年之前,比特币区块链的大小约为200GB。
MIMBLEWIMBLE解决方案
MimbleWimble以一种聪明的方式使用密码学来实现不可伪造性,同时优化了隐私和扩展性。与比特币验证每个输出的整个历史不同,MimbleWimble检查所有输入减去区块链上所有输出之和是否为零来验证链(这加强了货币的一个基本特性,即发送的金额等于接收的金额)。MimbleWimble使用了保密交易、CoinJoin、范围证明和核销(cut-through)组合。
与比特币类似,MimbleWimble依赖于椭圆曲线密码学和UTXO模型。然而,MimbleWimble是一个更精简的版本,由于脚本的隐私性问题,它牺牲了可编程性。因此,无法执行更复杂和丰富的功能,如时间锁定或支付渠道(如闪电网络)。
快速了解:UTXO
比特币和MimbleWimble使用未花费的交易输出(UTXO)模型来计算余额。可以将此模型使用币与钞票或信用卡与借记卡支付商品和服务进行对比。例如,Alice想买一件30美元的衬衫,但她有2张20美元的钞票。她不能只给商人一张半的钞票。相反,她把2张钞票都给了商人,并收到一张10美元的钞票作为找零。
UTXO模型的功能与此类似:Alice有2个交易输出,分别是先前交易的1个BTC和0.5个BTC。她需要向商家支付1.3 BTC。她的钱包创建了一个交易,该交易发送1.5 BTC(2个新输出)。商户收到1.3个比特币,Alice收到0.2个比特币作为找零(扣除交易费用)。比特币用户查看区块浏览器,可以发现他们比特币地址发送的比特币数量通常比指定的要多。
快速了解:椭圆曲线密码学
椭圆曲线有几个特性,对复杂的密码协议非常有帮助。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点G,并将其乘以某个整数s,很容易得到另一个点P=sG。然而,给定(P,G),恢复s的值在计算上不可行。这使得我们可以使用(P,G)作为公钥,而s作为密钥。另一个性质是椭圆曲线上的点具有有用的代数性质:
1. 分配式:(a+b)G = aG+bG
2. 交换律:a(bG) = b(aG) = (ab)G
快速了解:佩德森承诺
佩德森承诺是结合了椭圆曲线的单向和代数特性的密码原语。对某些值(x,y)的承诺计算为P=xG+yH。虽然算出s=P/G在计算上不可行,但是从(P,G,H)计算出(x,y)也不可能,因为有无数的x和y的组合可以满足P=xG+yH关系。然而,知道单个(x,y)对满足这个等式的用户无法计算满足这个等式而不违反椭圆曲线单向特性的第二个 (x ',y ') 对。
保密交易
默认情况下,MimbleWimble依靠一种称为保密交易(CT)的加密概念来实现隐私。保密交易由Gregory Maxwell提出,他的灵感来自Adam Back对比特币的同态加密。保密交易使用佩德森承诺来隐藏UTXO的值。
在MimbleWimble中,交易输出或输入表示为佩德森承诺rG + vH。G和H是椭圆曲线上的随机点,是区块链的公共参数。V值为UTXO值,r为盲因子,是UTXO的密钥。rG值是对应的公钥。MimbleWimble使用佩德森承诺混淆敏感的交易信息,而不是显示明文的交易值。佩德森承诺允许使用基本算法来验证交易。
假设这样一个例子:我们有2个输入和1个输出。我们提供了样本值和盲因子,同时保留公共参数G和H作为变量。
交易内核
如上所述,保密交易的问题在于,它们要求输入和输出UTXO使用相同的盲因子,即接收方的密钥。如果发送方知道了接收方的盲因子值,她就可以窃取接收方的输出UTXO。MimbleWimble使用零知识证明克服了这个问题。
假设一个发送5个币的简单例子。发送方有一个未使用的UTXO,表示为承诺X=45G+5H,其中X=5,45是她的盲因子(r),或密钥。接收方选择一个随机盲因子7,并创建一个输出UTXO,表示为承诺Y=7G+5H。将输入与输出进行比较的验证者将看到超额的承诺:
X-Y = (45G+5H) - (7G+5H) = 38G
MimbleWimble将值38称为excess或内核,将值X-Y = 38G称为交易内核。在有效交易中,交易内核的形式总是X-Y = rG+0H,其中r是某个整数。即使使用多个输入和输出,如果输入值的和等于输出值的和,值乘以H等于零,等式成立。有效的交易内核总是公钥的形式,发送方和接收方都知道相应密钥的一部分。MimbleWimble有一个协议,该协议允许它们联合计算一个签名,使用它们的盲因子来签署交易。内核代表交易参与者的多重签名密钥。
范围证明
MimbleWimble协议要求交易金额为正,因此用户不能凭空创造币。正如我们所提到的,惟一能够铸造币的交易类型是coinbase交易。范围证明是一种密码技术,用于证明给定佩德森承诺X,证明者知道一对整数(r, min < v < max),使得X=rG+vH。MimbleWimble使用范围证明来证明v>0。MimbleWimble使用了最近介绍的防弹协议,一种范围证明方法,只需消耗~5000到~700字节。
无地址
如前所述,MimbleWimble不使用地址。删除地址背后的一个关键动机是增强隐私和扩大空间。在基于mimblewimb le的区块链中,用户必须在链下通信才能创建交易。发送方与接收方共享其控制一些币的证明,接收方接受对这些币的控制。由于没有公开分配币控制权的地址,因此没有发送交易的“标准”方式。因此,交易参与者需要设置一个聊天会话来共享控制证明并将控制传递给接收方。这与比特币(以及大多数其他区块链)很大不同,后者可以在没有接收方参与的情况下执行交易。
CoinJoin
解决交易公开性的一种方法是使用CoinJoin。CoinJoin是一种将输入组合成单个大交易的方法,这使得很难区分哪些输入在支付,哪些是输出。CoinJoin已在JoinMarket、ShufflePuff、DarkWallet、SharedCoin、Wasabi、Samourai中实现。基于钱包的CoinJoin的缺点是用户必须选择使用该服务。这降低了它的有效性,因为用户要么不知道这些服务,要么认为使用这些服务太麻烦,从而导致了一组小型CoinJoin交易(一个小型的“匿名集”)。这不能有效地隐藏原始地址和接收地址。此外,用户必须进行交互才能创建CoinJoin交易,因为每个输入所有者必须对整个组合交易签名才能对其进行身份验证。
在MimbleWimble中,默认情况下用户不需要选择CoinJoin。一个区块不会有单独交易,相反,它看起来像是一个大型交易。图1是下一个区块中包含的一组未改动交易的简化版本。在图2中,MimbleWimble以类似于CoinJoin的流程将交易连接在一起,这样就是一个单独交易,一个组合了所有输入和所有输出的列表。
核销(Cut-throuh)
保密交易比常规交易要大得多。CT比非CT小5倍。MimbleWimble使用一种称为核销的技术来解决这一挑战,以提高效率。
正如我们上面提到的,下载完整的比特币区块链占用了近200GB的空间,并且还在增加。如果比特币上的所有交易都是像MimbleWimble这样的保密交易,那么区块链的规模将会大上几个数量级。
MimbleWimble使用一个称为“核销”的流程来删除冗余输出,将这些输出再次用作同一区块内的输入,从而释放区块内的空间,减少需要存储在区块链上的数据量,同时保持相同的安全性。
在图3中,网络标识出绿色输出用作稍后的输入。网络从这个给定区块的输入/输出中删除这个冗余,以精简必须存储的数据。虽然MimbleWimble删除了输出,但它保留这些交易发生的授权,即内核。
微观层面上,MimbleWimble的区块没有使用该工具,而是在宏观层面上使用了核销,因此仅剩下区块头、UTXO和交易内核。节点可以使用这些关键数据片段来验证区块链。这意味着区块链可能会缩小,例如,如果有一个区块的输出花费的比创建的多。理论上,这可以减少证明分类账状态长期正确所需的数据量。
根据Grin的说法,假设1000万笔交易使用10万UTXO(相当于1个分类账),而不使用核销,则大约为130GB,其中包含128GB的交易数据、1GB的交易证明数据和250MB的区块头。通过核销,区块链的大小可以降低到1.8GB,输出数据为1GB, UTXO为520MB,区块头为250mb。Beam认为,当区块链达到同样规模时,其大小可能只是比特币的30%。
蒲公英协议
MimbleWimble隐私性面临的最大威胁是,节点可以在将交易广播到网络时记录这些交易,然后再将它们包含到一个区块中。在有核销之前,交易输出会在内存池(未经确认的交易池)中停留一些时间。这允许间谍节点构建交易图2,并可能发现发送方IP。
蒲公英协议不属于MimbleWimble,它是对Grin和Beam的补充。蒲公英试图降低间谍节点成功创建交易图的概率,方法是“在交易爆发之前先悄悄地在网络上转发,从而延迟交易在网络上出现”(Andreas Antonopoulos) 。
通常,当有人向区块链发送一个交易时,它会广播到网络上的所有节点。蒲公英将交易的广播分为2个阶段,从“stem”或“匿名”阶段开始,交易随机广播到一个节点,然后节点随机将交易发送到另一个节点,以此类推,直到达到系统将交易广播到整个网络的“fluff”阶段。这可以防止监视节点使用蒲公英将交易映射回原始地址。蒲公英++是对蒲公英的改进,使创建交易图更加困难。
在MimbleWimble中,还可以在stem阶段之前合并交易,使将输入链接到交易变得更加困难。Beam更进一步,在没有足够的输出进行合并的情况下,可以添加虚拟或诱饵输出。
蒲公英面临的一个关键挑战是,在stem阶段,如果将交易传递给随后离线的节点,交易将不会传播到网络。Grin和Beam解决了这一挑战——如果该交易没有在合理的时间内达到“fluff”阶段,交易自动广播到更广泛的网络。
无脚本脚本(Scriptless scripts)
MimbleWimble不支持交易脚本,而交易脚本是大多数区块链一个重要的特性。脚本是嵌入在交易中的代码,支持基本的智能合约功能。没有它,MimbleWimble就不能支持条件交易、使用时间锁、状态通道(例如闪电网络)、跨链原子交换等等。这是不可链接交易和核销付出的代价。验证者无法检查是否满足智能合约条件,因为相关UTXO及其条件可能已被删除。
当2016年8月发表第一篇MimbleWimble论文时,无条件交易对社区而言似乎还是一个限制。然而,Andrew Poelstra发现了一种用无脚本的脚本实现简单智能合约的方法。无脚本的脚本基于这样一种思想,即区块链验证者只需要检查签名是否存在并正确。它们不需要知道发生在链下的条件元素。Schnorr签名可用于支持无脚本的脚本。
具体地说,交易的参与者可以通过组合各自的签名密钥来创建Schnorr多重签名,从而交互式地生成签名,这个签名是唯一需要提交给节点并由节点验证的数据。
Aaron Van Wirdum解释,他举了一个网络用户想听艺术家歌曲的例子。艺术家和用户需要向区块链提交他们的组合Schnorr签名,以验证条件交易。艺术家拥有歌曲的版权,其对歌曲进行加密,密钥设为7000。
获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的Schnorr签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个适配器签名1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的Schnorr签名减去歌曲密钥的结果。然后用户也做Schnorr签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都在链下发生,除了艺术家和用户,没有人能发现单个值和步骤。验证者所看到的唯一内容是Schnorr组合签名13000。公众无法检测Schnorr签名。区块链上只记录了“交易结算”。可以通过添加支持Schnorr签名的新操作码来实现无脚本脚本。Grin和Beam正在实现无脚本脚本的过程中,并没有功能投入使用的确切时间。
无脚本的脚本可潜在支持保密资产、跨链原子交换和第二层扩容解决方案,比如在MimbleWimble区块链上使用闪电网络。无脚本脚本不一定要在MimbleWimble上实现,甚至可以扩展到其他区块链生态上。
结论
MimbleWimble基于经过验证的密码原语。其中一些区块构建已发表在同行评审的密码期刊上,以及写入公共白皮书和技术报告。首个MimbleWimble区块链Grin和Beam直到最近才推出。虽然MimbleWimble是一项新的实验性技术,但它有提供显著的隐私性和扩容优势的潜力,目前它还未解决用户体验和隐私方面的挑战。需要大量的测试和迭代,才能开源区块链上大规模地让隐私落实。目前,复杂的概念在实践中可能面临大量问题。
用户体验方面,没有地址,交易参与方需要交互并在线(虽然不一定同时在线)来签署和完成交易。与现有的加密资产相比较为复杂。
隐私方面,在CoinJoin和核销出现之前,矿工可以在mempool中看到交易。因此,监视网络的节点可以构建详细的交易图,从而损害隐私性,这违反了MimbleWimble的核心价值主张。虽然有蒲公英协议和虚拟UTXO等潜在的解决方案,但在实践中还有待完善。
欢迎添加小助手微信号:go-first-one 获取更多数据分析报告 查看全部
*声明:本文来源于Circle Research,由头等仓@Tracy 进行翻译。本文为报告上篇,主要讲述MW协议的背景原理和机制等问题,相关具体应用案例将在下篇文章中具体分析,敬请关注!
MimbleWimble
MimbleWimble是一种增强隐私和扩容的区块链协议。在不存储整个区块链历史记录的情况下,验证所有交易是否有效。它的名字来源于《哈利波特》中束缚舌头的咒语,这种咒语可以防止被施咒者泄露秘密。2016年,一个化名汤姆·埃尔维斯·杰多索的人在比特币奇才IRC聊天室分享了一个Tor链接,链接到一个概述MimbleWimble的文本文件,然后就消失了。
背景
Blockstream的数学家Andrew Poelstra对该协议很感兴趣,并于2016年10月发表了一篇关于MimbleWimble更详细、更强大的技术意见书。MimbleWimble是一个区块链协议,Grin和Beam是它的2个最初实现。在本篇报告中,我们将探索MimbleWimble、Grin和Beam。
来源:messari.io/onchainfx,coinmarketcap.com
加密社区的许多人一直在密切关注MimbleWimble协议,因为其旨在改进比特币和其他加密货币的关键问题,首次优化了隐私性和扩展性。
· 健全的隐私性:MimbleWimble将交易发送方、接收方和金额隐藏起来,让任何未参与交易的人无法查看。观察 者看到的交易由一些加密的输入和输出组成。他们可以验证已在链上的输入,并且等于输出货币的总和。这是对比特币等系统的改进,在比特币系统中,每个人都可以在比特币从一个地址转移到另一个地址时追踪其价值。
· 高效:MimbleWimble只允许验证者存储未使用的UTXO。所有其他加密货币强制矿工和外部验证者存储区块链的整个交易历史。这可以节省空间和更快的同步,因为随着区块链历史记录的增长,矿工可能被迫使用多个驱动器来存储整个历史记录。
验证者通过验证(1)输入的和等于输出的和,(2)交易不包含负数来检查MimbleWimble交易,以确保没有任何交易试图铸造新币。唯一可以铸币的交易是coinbase交易,这也是唯一可识别的交易。但是,验证者和观察者无法查看谁收到了区块奖励。
MimbleWimble的另一个重要特性是没有地址或公钥,只有输入和输出。每个UTXO都有一个密钥,接收方将UTXO密钥存储在他的钱包中。要发送UTXO,发送方必须在专用通道中与接收方联系,并执行多轮通信来构建交易。发送方使用自己的UTXO密钥对UTXO进行签名,而接收方通过通信获得了输出UTXO的新密钥。
问题
区块链是不可伪造的公共交易账簿。不可伪造意味着用户只能发送他们收到的资金——他们不能发送已使用资金或凭空创造资金。比特币和类似的区块链公开了发送方地址、接收方地址和交易金额,因此很容易验证发送的金额是否等于接收的金额,并且发送输入的是与这些输入对应的私钥。
比特币(以及其他加密资产)的公开性,可能会不被那些不想分享交易细节给所有人的人和企业的欢迎。此外,随着像Elliptic和Chainalysis这样的区块链分析公司崛起,研究人员可以将输出与非法交易联系起来,并将这些输出列入黑名单。币安的首席执行官曾在推特上表示,在社交媒体上报道了黑客向该交易所发送的资金后,他们能够冻结这些资金。然而,一些人认为这违反了非同质(fungibility)原则。非同质是指所有币都是一样,就像一张1美元的纸币与另一张1美元的纸币是一样的,不管这张纸币过去有什么活动。
比特币和所有其他区块链都要求矿工和其他验证者存储该链的整个交易历史,以验证所有交易都为有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这对希望与网络同步的新参与者在空间、时间和计算上有很大要求。在2019年之前,比特币区块链的大小约为200GB。
MIMBLEWIMBLE解决方案
MimbleWimble以一种聪明的方式使用密码学来实现不可伪造性,同时优化了隐私和扩展性。与比特币验证每个输出的整个历史不同,MimbleWimble检查所有输入减去区块链上所有输出之和是否为零来验证链(这加强了货币的一个基本特性,即发送的金额等于接收的金额)。MimbleWimble使用了保密交易、CoinJoin、范围证明和核销(cut-through)组合。
与比特币类似,MimbleWimble依赖于椭圆曲线密码学和UTXO模型。然而,MimbleWimble是一个更精简的版本,由于脚本的隐私性问题,它牺牲了可编程性。因此,无法执行更复杂和丰富的功能,如时间锁定或支付渠道(如闪电网络)。
快速了解:UTXO
比特币和MimbleWimble使用未花费的交易输出(UTXO)模型来计算余额。可以将此模型使用币与钞票或信用卡与借记卡支付商品和服务进行对比。例如,Alice想买一件30美元的衬衫,但她有2张20美元的钞票。她不能只给商人一张半的钞票。相反,她把2张钞票都给了商人,并收到一张10美元的钞票作为找零。
UTXO模型的功能与此类似:Alice有2个交易输出,分别是先前交易的1个BTC和0.5个BTC。她需要向商家支付1.3 BTC。她的钱包创建了一个交易,该交易发送1.5 BTC(2个新输出)。商户收到1.3个比特币,Alice收到0.2个比特币作为找零(扣除交易费用)。比特币用户查看区块浏览器,可以发现他们比特币地址发送的比特币数量通常比指定的要多。
快速了解:椭圆曲线密码学
椭圆曲线有几个特性,对复杂的密码协议非常有帮助。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点G,并将其乘以某个整数s,很容易得到另一个点P=sG。然而,给定(P,G),恢复s的值在计算上不可行。这使得我们可以使用(P,G)作为公钥,而s作为密钥。另一个性质是椭圆曲线上的点具有有用的代数性质:
1. 分配式:(a+b)G = aG+bG
2. 交换律:a(bG) = b(aG) = (ab)G
快速了解:佩德森承诺
佩德森承诺是结合了椭圆曲线的单向和代数特性的密码原语。对某些值(x,y)的承诺计算为P=xG+yH。虽然算出s=P/G在计算上不可行,但是从(P,G,H)计算出(x,y)也不可能,因为有无数的x和y的组合可以满足P=xG+yH关系。然而,知道单个(x,y)对满足这个等式的用户无法计算满足这个等式而不违反椭圆曲线单向特性的第二个 (x ',y ') 对。
保密交易
默认情况下,MimbleWimble依靠一种称为保密交易(CT)的加密概念来实现隐私。保密交易由Gregory Maxwell提出,他的灵感来自Adam Back对比特币的同态加密。保密交易使用佩德森承诺来隐藏UTXO的值。
在MimbleWimble中,交易输出或输入表示为佩德森承诺rG + vH。G和H是椭圆曲线上的随机点,是区块链的公共参数。V值为UTXO值,r为盲因子,是UTXO的密钥。rG值是对应的公钥。MimbleWimble使用佩德森承诺混淆敏感的交易信息,而不是显示明文的交易值。佩德森承诺允许使用基本算法来验证交易。
假设这样一个例子:我们有2个输入和1个输出。我们提供了样本值和盲因子,同时保留公共参数G和H作为变量。
交易内核
如上所述,保密交易的问题在于,它们要求输入和输出UTXO使用相同的盲因子,即接收方的密钥。如果发送方知道了接收方的盲因子值,她就可以窃取接收方的输出UTXO。MimbleWimble使用零知识证明克服了这个问题。
假设一个发送5个币的简单例子。发送方有一个未使用的UTXO,表示为承诺X=45G+5H,其中X=5,45是她的盲因子(r),或密钥。接收方选择一个随机盲因子7,并创建一个输出UTXO,表示为承诺Y=7G+5H。将输入与输出进行比较的验证者将看到超额的承诺:
X-Y = (45G+5H) - (7G+5H) = 38G
MimbleWimble将值38称为excess或内核,将值X-Y = 38G称为交易内核。在有效交易中,交易内核的形式总是X-Y = rG+0H,其中r是某个整数。即使使用多个输入和输出,如果输入值的和等于输出值的和,值乘以H等于零,等式成立。有效的交易内核总是公钥的形式,发送方和接收方都知道相应密钥的一部分。MimbleWimble有一个协议,该协议允许它们联合计算一个签名,使用它们的盲因子来签署交易。内核代表交易参与者的多重签名密钥。
范围证明
MimbleWimble协议要求交易金额为正,因此用户不能凭空创造币。正如我们所提到的,惟一能够铸造币的交易类型是coinbase交易。范围证明是一种密码技术,用于证明给定佩德森承诺X,证明者知道一对整数(r, min < v < max),使得X=rG+vH。MimbleWimble使用范围证明来证明v>0。MimbleWimble使用了最近介绍的防弹协议,一种范围证明方法,只需消耗~5000到~700字节。
无地址
如前所述,MimbleWimble不使用地址。删除地址背后的一个关键动机是增强隐私和扩大空间。在基于mimblewimb le的区块链中,用户必须在链下通信才能创建交易。发送方与接收方共享其控制一些币的证明,接收方接受对这些币的控制。由于没有公开分配币控制权的地址,因此没有发送交易的“标准”方式。因此,交易参与者需要设置一个聊天会话来共享控制证明并将控制传递给接收方。这与比特币(以及大多数其他区块链)很大不同,后者可以在没有接收方参与的情况下执行交易。
CoinJoin
解决交易公开性的一种方法是使用CoinJoin。CoinJoin是一种将输入组合成单个大交易的方法,这使得很难区分哪些输入在支付,哪些是输出。CoinJoin已在JoinMarket、ShufflePuff、DarkWallet、SharedCoin、Wasabi、Samourai中实现。基于钱包的CoinJoin的缺点是用户必须选择使用该服务。这降低了它的有效性,因为用户要么不知道这些服务,要么认为使用这些服务太麻烦,从而导致了一组小型CoinJoin交易(一个小型的“匿名集”)。这不能有效地隐藏原始地址和接收地址。此外,用户必须进行交互才能创建CoinJoin交易,因为每个输入所有者必须对整个组合交易签名才能对其进行身份验证。
在MimbleWimble中,默认情况下用户不需要选择CoinJoin。一个区块不会有单独交易,相反,它看起来像是一个大型交易。图1是下一个区块中包含的一组未改动交易的简化版本。在图2中,MimbleWimble以类似于CoinJoin的流程将交易连接在一起,这样就是一个单独交易,一个组合了所有输入和所有输出的列表。
核销(Cut-throuh)
保密交易比常规交易要大得多。CT比非CT小5倍。MimbleWimble使用一种称为核销的技术来解决这一挑战,以提高效率。
正如我们上面提到的,下载完整的比特币区块链占用了近200GB的空间,并且还在增加。如果比特币上的所有交易都是像MimbleWimble这样的保密交易,那么区块链的规模将会大上几个数量级。
MimbleWimble使用一个称为“核销”的流程来删除冗余输出,将这些输出再次用作同一区块内的输入,从而释放区块内的空间,减少需要存储在区块链上的数据量,同时保持相同的安全性。
在图3中,网络标识出绿色输出用作稍后的输入。网络从这个给定区块的输入/输出中删除这个冗余,以精简必须存储的数据。虽然MimbleWimble删除了输出,但它保留这些交易发生的授权,即内核。
微观层面上,MimbleWimble的区块没有使用该工具,而是在宏观层面上使用了核销,因此仅剩下区块头、UTXO和交易内核。节点可以使用这些关键数据片段来验证区块链。这意味着区块链可能会缩小,例如,如果有一个区块的输出花费的比创建的多。理论上,这可以减少证明分类账状态长期正确所需的数据量。
根据Grin的说法,假设1000万笔交易使用10万UTXO(相当于1个分类账),而不使用核销,则大约为130GB,其中包含128GB的交易数据、1GB的交易证明数据和250MB的区块头。通过核销,区块链的大小可以降低到1.8GB,输出数据为1GB, UTXO为520MB,区块头为250mb。Beam认为,当区块链达到同样规模时,其大小可能只是比特币的30%。
蒲公英协议
MimbleWimble隐私性面临的最大威胁是,节点可以在将交易广播到网络时记录这些交易,然后再将它们包含到一个区块中。在有核销之前,交易输出会在内存池(未经确认的交易池)中停留一些时间。这允许间谍节点构建交易图2,并可能发现发送方IP。
蒲公英协议不属于MimbleWimble,它是对Grin和Beam的补充。蒲公英试图降低间谍节点成功创建交易图的概率,方法是“在交易爆发之前先悄悄地在网络上转发,从而延迟交易在网络上出现”(Andreas Antonopoulos) 。
通常,当有人向区块链发送一个交易时,它会广播到网络上的所有节点。蒲公英将交易的广播分为2个阶段,从“stem”或“匿名”阶段开始,交易随机广播到一个节点,然后节点随机将交易发送到另一个节点,以此类推,直到达到系统将交易广播到整个网络的“fluff”阶段。这可以防止监视节点使用蒲公英将交易映射回原始地址。蒲公英++是对蒲公英的改进,使创建交易图更加困难。
在MimbleWimble中,还可以在stem阶段之前合并交易,使将输入链接到交易变得更加困难。Beam更进一步,在没有足够的输出进行合并的情况下,可以添加虚拟或诱饵输出。
蒲公英面临的一个关键挑战是,在stem阶段,如果将交易传递给随后离线的节点,交易将不会传播到网络。Grin和Beam解决了这一挑战——如果该交易没有在合理的时间内达到“fluff”阶段,交易自动广播到更广泛的网络。
无脚本脚本(Scriptless scripts)
MimbleWimble不支持交易脚本,而交易脚本是大多数区块链一个重要的特性。脚本是嵌入在交易中的代码,支持基本的智能合约功能。没有它,MimbleWimble就不能支持条件交易、使用时间锁、状态通道(例如闪电网络)、跨链原子交换等等。这是不可链接交易和核销付出的代价。验证者无法检查是否满足智能合约条件,因为相关UTXO及其条件可能已被删除。
当2016年8月发表第一篇MimbleWimble论文时,无条件交易对社区而言似乎还是一个限制。然而,Andrew Poelstra发现了一种用无脚本的脚本实现简单智能合约的方法。无脚本的脚本基于这样一种思想,即区块链验证者只需要检查签名是否存在并正确。它们不需要知道发生在链下的条件元素。Schnorr签名可用于支持无脚本的脚本。
具体地说,交易的参与者可以通过组合各自的签名密钥来创建Schnorr多重签名,从而交互式地生成签名,这个签名是唯一需要提交给节点并由节点验证的数据。
Aaron Van Wirdum解释,他举了一个网络用户想听艺术家歌曲的例子。艺术家和用户需要向区块链提交他们的组合Schnorr签名,以验证条件交易。艺术家拥有歌曲的版权,其对歌曲进行加密,密钥设为7000。
获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的Schnorr签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个适配器签名1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的Schnorr签名减去歌曲密钥的结果。然后用户也做Schnorr签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都在链下发生,除了艺术家和用户,没有人能发现单个值和步骤。验证者所看到的唯一内容是Schnorr组合签名13000。公众无法检测Schnorr签名。区块链上只记录了“交易结算”。可以通过添加支持Schnorr签名的新操作码来实现无脚本脚本。Grin和Beam正在实现无脚本脚本的过程中,并没有功能投入使用的确切时间。
无脚本的脚本可潜在支持保密资产、跨链原子交换和第二层扩容解决方案,比如在MimbleWimble区块链上使用闪电网络。无脚本脚本不一定要在MimbleWimble上实现,甚至可以扩展到其他区块链生态上。
结论
MimbleWimble基于经过验证的密码原语。其中一些区块构建已发表在同行评审的密码期刊上,以及写入公共白皮书和技术报告。首个MimbleWimble区块链Grin和Beam直到最近才推出。虽然MimbleWimble是一项新的实验性技术,但它有提供显著的隐私性和扩容优势的潜力,目前它还未解决用户体验和隐私方面的挑战。需要大量的测试和迭代,才能开源区块链上大规模地让隐私落实。目前,复杂的概念在实践中可能面临大量问题。
用户体验方面,没有地址,交易参与方需要交互并在线(虽然不一定同时在线)来签署和完成交易。与现有的加密资产相比较为复杂。
隐私方面,在CoinJoin和核销出现之前,矿工可以在mempool中看到交易。因此,监视网络的节点可以构建详细的交易图,从而损害隐私性,这违反了MimbleWimble的核心价值主张。虽然有蒲公英协议和虚拟UTXO等潜在的解决方案,但在实践中还有待完善。
欢迎添加小助手微信号:go-first-one 获取更多数据分析报告
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
项目 • chainnews 发表了文章 • 2019-03-22 16:01
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(1)
续上文……
管理
在目前的状态下,Beam 依靠位于特拉维夫的小型 VC 支持的团队来开发项目的所有更新并增加新的功能。因此,项目的组织结构类似于私人创业公司,而不是大多数区块链项目所展示的管理流程。这使得 Beam 能够控制项目风险并实现快速可控的迭代开发,从而在早期阶段提高项目研发效率并快速上线满足市场需求。
Beam 领导团队由首席执行官 Alexander Saidelson,首席技术官 Alex Romano,首席运营官 Amir Aaronson 和 CMO Beni Issembert 组成。其他核心成员主要由开发人员以及一些设计师和部门主管组成。该公司还从 12 位顾问那里获得了见解,其中包括 OGroup 的首席执行官、通用电气 (GE) 新兴技术部门前首席信息官玛嘉•武吉诺维奇 (Maja Vujinovic) 和 Genesis Mining 的首席执行官兼联合创始人马可•斯特兰 (Marco Streng)。
随着项目的逐渐成熟,创始成员将把控制权从创始团队手上转移到 Beam 主权货币基金会 (Beam Sovereign Money Foundation),这是一个独立的非盈利基金会,旨在由杰出和受人尊敬的社区成员运营。Beam 认为,建立基金会将有助于实现其分散组织结构的目标。预计在未来几个月内,2019 年底前,Beam 将会确定基金会职责和规则并组建董事会。,一旦基金会开始运作,当前的 Beam 公司将转换为基金供应商角色,在 Beam 区块链上开发上层用户应用程序。
关于基金会建立过程的大部分信息还尚未公布,但 Beam 基金会的作用包括:
管理 Beam 改进的提案并组织开发;
资助和促进与 Beam,MimbleWimble 和蒲公英技术相关的研究;
提高认知,帮助发展社区;
在数字货币和金融主权中强调隐私的重要性。
挑战
因为采用创业公司的模式,Beam 将面对与大多数区块链创业公司一样的问题:在维护用户看法的同时,转向更去中心化的管理模式的这一典型问题。创业公司普遍存在高失败率的问题,原因有很多,包括产品与市场不匹配、开销过大导致资金不足以解决团队内部冲突。一个由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能威胁到整个项目。
更艰巨的任务是需要获得足够的支持,以帮助将管理和开发工作从小型创始团队转移到整个社区。一个重要的区块链项目评估指标是项目的去中心化程度,而 Beam 有意选择延迟去中化的过程。支持 Beam 战略的论点是早期阶段的项目「需要能够快速推动和自主迭代」。用 Arjun Balaji 的话说:「在早期使得项目去中化的同时构建新型去中化区块链网络是几乎不可能的」,因为这些目标本身就是矛盾的。
用户体验
BEAM WALLET
Beam 为普通用户提供了图形用户界面钱包,以及用于 Mac,Windows 和 Linux 的命令行界面钱包。Beam 桌面钱包使交易各方可以彼此共享的公开的地址。这些地址并不会记录在区块链上。Beam 最近还推出了 Android 手机钱包的测试版,并计划推出 iOS 手机钱包。该公司还表示,正在与硬件钱包供应商进行沟通,以使硬件钱包增加对 Beam 的支持。
安全公告板系统(SBBS)
Beam 尝试使用安全公告板系统(SBBS)创建离线交易,利用异步通信使得交易更加无缝和安全。 Beam 的 BBS 是类似八十年代和九十年代早期流行的公告牌系统 BBS。拥有家用计算机和调制解调器的人可以通过固定电话拨号连接到其他计算机,并在基于文本的公告牌系统 (BBSes) 上留下信息,供他人查看。 BBS 主机将计算机转换为数字会议场所。随着它们越来越先进,用户可以玩基于文本的游戏,甚至可以方便的传输文件。
在 Beam 中,BBS 钱包可以类比为家用计算机和调制解调器(作为「客户端」),而 Beam 区块链全节点可类比为 BBS 主机(作为服务器)。 SBBS 是区块链节点软件的一部分,并且是在链外维护的。 BBS 节点创建存储转发网络,将消息中继到离线的接收人。消息使用公钥加密,然后通过 Beam 节点中继到接收方的钱包。在这种情况下,公钥充当 P2P 系统中的地址。如果接收钱包处于离线状态,则存储转发 Beam 节点可以将消息存储在类似留言板的数据库中。交易参与者尝试解密他们订阅的留言板上的消息,但只有掌握对应的私钥的参与者才能解密发给他们的消息。
Beam 打算利用其钱包和 SBBS,让用户体验类似于基于地址的区块链交易,并降低使用基于 MimbleWimble 协议的数字币的门槛。
BEAM 钱包面临的挑战
自 1 月 9 日推出后不久,Beam 开发人员发现其钱包中存在漏洞,导致用户资金遭到入侵。开发人员发现他们在钱包代码中留下了一些不应该存在的东西。虽然 Beam 在发布之前经历了多次代码审查和审核,但他们主要关注的是 Beam 的加密实现的稳健性,这表明在审计钱包和 SBBS 时可能没有采用与之相同的严格程度。 Beam 宣布,漏洞是在内部发现并修复的,并没有资金被盗,并建议用户卸载钱包软件后从 Beam 网站重新下载更新后的版本。
1 月 21 日,Beam 经历了另一个问题,因为钱包使用不当导致区块链暂出块在第 25,709 块上停止出块。当时,由于克隆的钱包产生了 UTXO 相同的两笔交易并被分别发送到区块链上,从而导致核销流程不能正常工作并最终引起出现无效的区块。 Beam 在将近 3 个小时内没有生成块,在大约 5 个小时内没有发生交易处理。
审计能力
Beam 的主要优势之一是专注于服务业务。除了 MimbleWimble 所做的改进之外,Beam 还开发了可选的合规性和可审计性功能(钱包审计功能或称为商业钱包),以帮助企业遵守法规并执行必要的审核。这允许企业创建一个附有审计员私钥的钱包,以便审计员可以识别由商业钱包创建的区块链上的交易。有了这个可选的合规性功能,交易仍然具有隐私性,但用户可以根据授权审计员查看交易情况。这为普通企业开辟了加密资产的使用场景。
根据 Zaidelson 的说法,虽然实际的交易关联信息将由钱包生成并离线存储,但区块链会保存每个交易关联信息的哈希值。 Beam 区块链不存储历史交易详细信息——它仅存储历史交易的交易内核。在这次访谈中,Zaidelson 说 Beam「可以在内核中存储额外的 [编码] 信息 ...... 包括压缩的文档,例如发票或收据。」当用户接受审计时,审计员可以检查数据哈希值是否是与交易关联信息的哈希值一致。
此功能仍在进行开发,其在实践中的效果还存在一些不确定性。然而,如果它成功了,它可能会解决企业的一个主要痛点,就是这些企业目前而言必须在加密资产的两个极端中做出选择:要么使用像比特币这样的数字币,从而有向竞争对手披露机密信息的代价,但提供了完全的透明度和可审核性;要么使用 Zcash 和 Monero 等具有隐私特性的数字币从而可以隐藏所有交易的痕迹,但也无法进行任何类型的审计。
可审计性面临的挑战是企业必须以安全的方式存储与哈希值相对应的交易关联数据。此外,企业需要相信审计员不会向未经授权的第三方泄漏查看数据的私钥。虽然 Beam 可以创建一种共享私有数据的方法,但普通的审计员可能缺乏对 Beam 区块链上的交易进行审计的技术手段。从理论上讲,他们可以外包这些技术工作,但这会扩大可以访问敏感数据的人群,进而提高数据泄漏的风险。
路线图
在主网上发布后不久,Beam 公布了 2019 年的综合路线图。它分为两个关键类别:Beam Core (专注于改进和推进核心协议)和 Beam Compliance (专注于启动和迭代 Beam 的合规性和可审计性)。从长远来看,Beam 已经在讨论一项名为 Project Lumini 的计划,该计划将专注于在 Beam 和其他一些智能合约区块链之间建立一座桥梁,并在 Beam 上推出加密资产。
BEAM 内核路线
Beam 核心分为五个阶段 - 敏捷原子,明亮玻色子,透明阴极,双多普勒和急切电子(Agile Atom, Bright Boson, Clear Cathode, Double Doppler, and Eager Electron)。路线图中的亮点包括将闪电网络作为 Beam 的第二层解决方案实施,以在今年年底之前实现快捷支付,在 2019 年 3 月底之前 Beam 将支持与比特币的原子互换并且,通过两次计划中的硬分叉保持 Equihash 算法的 ASIC 抗性,以及下面详述的其他举措。我们注意到首先 Beam 必须推出智能合约和多重签名功能(例如通过无脚本脚本),以支持闪电网络(Lightning Network)等第二层解决方案。
Beam 合规路线
Beam 合规路线的主要目标是使 Beam 能够被企业使用。Beam 计划在其合规套件中包含「合规钱包」和「监管接口」,预计将根据具体国家 / 地区的法规进行定制。 截至目前,暂定上线日期为 2020 年。
结论
Beam 采用商业方法构建一种价值存储隐私币。它由风险投资支持,并由其支付工资的员工进行全程推动。因此,Beam 能在不到一年的时间内就完成从开发到上线。它通过其在 Beam 钱包和安全消息系统上的工作,显著提供用户体验和易用性。另一方面,它经历了可能导致资金损失的桌面钱包的一些小问题,这可能对这样一个年轻的项目而言是不利。
Beam 已在其 2019 年路线图中概述了大型计划,包括在 Beam 上建立闪电网络以及为企业和监管机构提供可审核的解决方案。Beam 的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了新的选择。然而,Beam 的合规性性和可审核性解决方案尚未推出,可能带来新的安全性问题。Beam 有雄心勃勃的目标,在把新功能发布到主网之前,应该对这些新功能进行全面彻底的测试,以避免由于不小心造成的可能损害用户资金的失误。如果 Beam 能够实现其规划,这项工作将会为用户提供一组独特且明显有效的新特性。
概括
MimbleWimble 的新颖之处在于,它通过将保密交易技术、混币技术、交易核销技术综合运用,使更多设备可以参与保护网络,从而增强了隐私性和效率。
Grin 和 Beam 都是 MimbleWimble 的实现,但它们的相似之处仅限于此。 Ignotus Peverell (Grin 的创造者)指出「一个常见的误解是,人们认为 MimbleWimble 协议描述了一个完整的加密货币解决方案,因此往往把 Beam 和 (Grin) 放在同一个篮子里。」
虽然这两个项目都试图为用户提供隐私性和在区块链效率方面进行改进,但它们在大多数技术、结构和组织元素上存在差异。引发最多讨论的问题是 :Grin 基于捐赠与志愿者的充满密码朋克式的社区运作方式 (类似于比特币和 Monero) 与 Beam 的由基于 VC 支持的初创公司 (类似于 Zcash) 的包含创始人奖励和由付费员工推动的运作方式相比,哪一种方式更有可持续性?这还需要时间来证明。在此之前,了解这些项目是如何相互影响并相互学习的将是一件有趣的事情。
原文声明
本报告仅为提供信息而编制,不应作为做出投资决策的依据,亦不应被解释为建议从事投资交易,或就任何金融工具或其发行人提出投资策略。本报告并非根据旨在促进投资研究独立性的法律要求编写,亦不受《市场滥用规例》(欧盟) 第 596/2014 号对投资研究传播前交易的任何禁令约束。Circle Internet Financial Limited(「Circle」) 或其附属公司出具的报告,与提供投资、税务、法律、财务、会计、咨询或任何其他相关服务无关,也不建议买卖或持有任何资产。本报告所载的资料是根据被认为可靠但不保证完全准确的资料来源提供的。本文所表达的任何意见或估计均反映自发表之日起作出的判断,如有更改,恕不另行通知。数字资产的交易和投资风险巨大,包括价格波动和流动性不足,可能并不适合所有投资者。此外,Circle 及其附属公司现在或将来可能提供与本报告主题相关的资产相关的财务或其他支持。员工和其他相关人员现在或将来可以在本报告主题的数字资产中进行交易并持有头寸。因此,Circle 及其关联方、其雇员或其他相关人员在现在或将来可能就本报告主题的资产获得报酬,并可能与本报告的规定存在某些利益冲突。对于因使用本资料而引致的任何直接或间接损失,Circle 概不负责。
原文: circle.com 的 Mimble Wimble 报告
翻译:矿宝 程薇霖 查看全部
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(1)
续上文……
管理
在目前的状态下,Beam 依靠位于特拉维夫的小型 VC 支持的团队来开发项目的所有更新并增加新的功能。因此,项目的组织结构类似于私人创业公司,而不是大多数区块链项目所展示的管理流程。这使得 Beam 能够控制项目风险并实现快速可控的迭代开发,从而在早期阶段提高项目研发效率并快速上线满足市场需求。
Beam 领导团队由首席执行官 Alexander Saidelson,首席技术官 Alex Romano,首席运营官 Amir Aaronson 和 CMO Beni Issembert 组成。其他核心成员主要由开发人员以及一些设计师和部门主管组成。该公司还从 12 位顾问那里获得了见解,其中包括 OGroup 的首席执行官、通用电气 (GE) 新兴技术部门前首席信息官玛嘉•武吉诺维奇 (Maja Vujinovic) 和 Genesis Mining 的首席执行官兼联合创始人马可•斯特兰 (Marco Streng)。
随着项目的逐渐成熟,创始成员将把控制权从创始团队手上转移到 Beam 主权货币基金会 (Beam Sovereign Money Foundation),这是一个独立的非盈利基金会,旨在由杰出和受人尊敬的社区成员运营。Beam 认为,建立基金会将有助于实现其分散组织结构的目标。预计在未来几个月内,2019 年底前,Beam 将会确定基金会职责和规则并组建董事会。,一旦基金会开始运作,当前的 Beam 公司将转换为基金供应商角色,在 Beam 区块链上开发上层用户应用程序。
关于基金会建立过程的大部分信息还尚未公布,但 Beam 基金会的作用包括:
管理 Beam 改进的提案并组织开发;
资助和促进与 Beam,MimbleWimble 和蒲公英技术相关的研究;
提高认知,帮助发展社区;
在数字货币和金融主权中强调隐私的重要性。
挑战
因为采用创业公司的模式,Beam 将面对与大多数区块链创业公司一样的问题:在维护用户看法的同时,转向更去中心化的管理模式的这一典型问题。创业公司普遍存在高失败率的问题,原因有很多,包括产品与市场不匹配、开销过大导致资金不足以解决团队内部冲突。一个由经验丰富的企业家和顾问组成的团队远不能保证长期的成功,一个内部冲突就可能威胁到整个项目。
更艰巨的任务是需要获得足够的支持,以帮助将管理和开发工作从小型创始团队转移到整个社区。一个重要的区块链项目评估指标是项目的去中心化程度,而 Beam 有意选择延迟去中化的过程。支持 Beam 战略的论点是早期阶段的项目「需要能够快速推动和自主迭代」。用 Arjun Balaji 的话说:「在早期使得项目去中化的同时构建新型去中化区块链网络是几乎不可能的」,因为这些目标本身就是矛盾的。
用户体验
BEAM WALLET
Beam 为普通用户提供了图形用户界面钱包,以及用于 Mac,Windows 和 Linux 的命令行界面钱包。Beam 桌面钱包使交易各方可以彼此共享的公开的地址。这些地址并不会记录在区块链上。Beam 最近还推出了 Android 手机钱包的测试版,并计划推出 iOS 手机钱包。该公司还表示,正在与硬件钱包供应商进行沟通,以使硬件钱包增加对 Beam 的支持。
安全公告板系统(SBBS)
Beam 尝试使用安全公告板系统(SBBS)创建离线交易,利用异步通信使得交易更加无缝和安全。 Beam 的 BBS 是类似八十年代和九十年代早期流行的公告牌系统 BBS。拥有家用计算机和调制解调器的人可以通过固定电话拨号连接到其他计算机,并在基于文本的公告牌系统 (BBSes) 上留下信息,供他人查看。 BBS 主机将计算机转换为数字会议场所。随着它们越来越先进,用户可以玩基于文本的游戏,甚至可以方便的传输文件。
在 Beam 中,BBS 钱包可以类比为家用计算机和调制解调器(作为「客户端」),而 Beam 区块链全节点可类比为 BBS 主机(作为服务器)。 SBBS 是区块链节点软件的一部分,并且是在链外维护的。 BBS 节点创建存储转发网络,将消息中继到离线的接收人。消息使用公钥加密,然后通过 Beam 节点中继到接收方的钱包。在这种情况下,公钥充当 P2P 系统中的地址。如果接收钱包处于离线状态,则存储转发 Beam 节点可以将消息存储在类似留言板的数据库中。交易参与者尝试解密他们订阅的留言板上的消息,但只有掌握对应的私钥的参与者才能解密发给他们的消息。
Beam 打算利用其钱包和 SBBS,让用户体验类似于基于地址的区块链交易,并降低使用基于 MimbleWimble 协议的数字币的门槛。
BEAM 钱包面临的挑战
自 1 月 9 日推出后不久,Beam 开发人员发现其钱包中存在漏洞,导致用户资金遭到入侵。开发人员发现他们在钱包代码中留下了一些不应该存在的东西。虽然 Beam 在发布之前经历了多次代码审查和审核,但他们主要关注的是 Beam 的加密实现的稳健性,这表明在审计钱包和 SBBS 时可能没有采用与之相同的严格程度。 Beam 宣布,漏洞是在内部发现并修复的,并没有资金被盗,并建议用户卸载钱包软件后从 Beam 网站重新下载更新后的版本。
1 月 21 日,Beam 经历了另一个问题,因为钱包使用不当导致区块链暂出块在第 25,709 块上停止出块。当时,由于克隆的钱包产生了 UTXO 相同的两笔交易并被分别发送到区块链上,从而导致核销流程不能正常工作并最终引起出现无效的区块。 Beam 在将近 3 个小时内没有生成块,在大约 5 个小时内没有发生交易处理。
审计能力
Beam 的主要优势之一是专注于服务业务。除了 MimbleWimble 所做的改进之外,Beam 还开发了可选的合规性和可审计性功能(钱包审计功能或称为商业钱包),以帮助企业遵守法规并执行必要的审核。这允许企业创建一个附有审计员私钥的钱包,以便审计员可以识别由商业钱包创建的区块链上的交易。有了这个可选的合规性功能,交易仍然具有隐私性,但用户可以根据授权审计员查看交易情况。这为普通企业开辟了加密资产的使用场景。
根据 Zaidelson 的说法,虽然实际的交易关联信息将由钱包生成并离线存储,但区块链会保存每个交易关联信息的哈希值。 Beam 区块链不存储历史交易详细信息——它仅存储历史交易的交易内核。在这次访谈中,Zaidelson 说 Beam「可以在内核中存储额外的 [编码] 信息 ...... 包括压缩的文档,例如发票或收据。」当用户接受审计时,审计员可以检查数据哈希值是否是与交易关联信息的哈希值一致。
此功能仍在进行开发,其在实践中的效果还存在一些不确定性。然而,如果它成功了,它可能会解决企业的一个主要痛点,就是这些企业目前而言必须在加密资产的两个极端中做出选择:要么使用像比特币这样的数字币,从而有向竞争对手披露机密信息的代价,但提供了完全的透明度和可审核性;要么使用 Zcash 和 Monero 等具有隐私特性的数字币从而可以隐藏所有交易的痕迹,但也无法进行任何类型的审计。
可审计性面临的挑战是企业必须以安全的方式存储与哈希值相对应的交易关联数据。此外,企业需要相信审计员不会向未经授权的第三方泄漏查看数据的私钥。虽然 Beam 可以创建一种共享私有数据的方法,但普通的审计员可能缺乏对 Beam 区块链上的交易进行审计的技术手段。从理论上讲,他们可以外包这些技术工作,但这会扩大可以访问敏感数据的人群,进而提高数据泄漏的风险。
路线图
在主网上发布后不久,Beam 公布了 2019 年的综合路线图。它分为两个关键类别:Beam Core (专注于改进和推进核心协议)和 Beam Compliance (专注于启动和迭代 Beam 的合规性和可审计性)。从长远来看,Beam 已经在讨论一项名为 Project Lumini 的计划,该计划将专注于在 Beam 和其他一些智能合约区块链之间建立一座桥梁,并在 Beam 上推出加密资产。
BEAM 内核路线
Beam 核心分为五个阶段 - 敏捷原子,明亮玻色子,透明阴极,双多普勒和急切电子(Agile Atom, Bright Boson, Clear Cathode, Double Doppler, and Eager Electron)。路线图中的亮点包括将闪电网络作为 Beam 的第二层解决方案实施,以在今年年底之前实现快捷支付,在 2019 年 3 月底之前 Beam 将支持与比特币的原子互换并且,通过两次计划中的硬分叉保持 Equihash 算法的 ASIC 抗性,以及下面详述的其他举措。我们注意到首先 Beam 必须推出智能合约和多重签名功能(例如通过无脚本脚本),以支持闪电网络(Lightning Network)等第二层解决方案。
Beam 合规路线
Beam 合规路线的主要目标是使 Beam 能够被企业使用。Beam 计划在其合规套件中包含「合规钱包」和「监管接口」,预计将根据具体国家 / 地区的法规进行定制。 截至目前,暂定上线日期为 2020 年。
结论
Beam 采用商业方法构建一种价值存储隐私币。它由风险投资支持,并由其支付工资的员工进行全程推动。因此,Beam 能在不到一年的时间内就完成从开发到上线。它通过其在 Beam 钱包和安全消息系统上的工作,显著提供用户体验和易用性。另一方面,它经历了可能导致资金损失的桌面钱包的一些小问题,这可能对这样一个年轻的项目而言是不利。
Beam 已在其 2019 年路线图中概述了大型计划,包括在 Beam 上建立闪电网络以及为企业和监管机构提供可审核的解决方案。Beam 的独特之处在于,它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了新的选择。然而,Beam 的合规性性和可审核性解决方案尚未推出,可能带来新的安全性问题。Beam 有雄心勃勃的目标,在把新功能发布到主网之前,应该对这些新功能进行全面彻底的测试,以避免由于不小心造成的可能损害用户资金的失误。如果 Beam 能够实现其规划,这项工作将会为用户提供一组独特且明显有效的新特性。
概括
MimbleWimble 的新颖之处在于,它通过将保密交易技术、混币技术、交易核销技术综合运用,使更多设备可以参与保护网络,从而增强了隐私性和效率。
Grin 和 Beam 都是 MimbleWimble 的实现,但它们的相似之处仅限于此。 Ignotus Peverell (Grin 的创造者)指出「一个常见的误解是,人们认为 MimbleWimble 协议描述了一个完整的加密货币解决方案,因此往往把 Beam 和 (Grin) 放在同一个篮子里。」
虽然这两个项目都试图为用户提供隐私性和在区块链效率方面进行改进,但它们在大多数技术、结构和组织元素上存在差异。引发最多讨论的问题是 :Grin 基于捐赠与志愿者的充满密码朋克式的社区运作方式 (类似于比特币和 Monero) 与 Beam 的由基于 VC 支持的初创公司 (类似于 Zcash) 的包含创始人奖励和由付费员工推动的运作方式相比,哪一种方式更有可持续性?这还需要时间来证明。在此之前,了解这些项目是如何相互影响并相互学习的将是一件有趣的事情。
原文声明
本报告仅为提供信息而编制,不应作为做出投资决策的依据,亦不应被解释为建议从事投资交易,或就任何金融工具或其发行人提出投资策略。本报告并非根据旨在促进投资研究独立性的法律要求编写,亦不受《市场滥用规例》(欧盟) 第 596/2014 号对投资研究传播前交易的任何禁令约束。Circle Internet Financial Limited(「Circle」) 或其附属公司出具的报告,与提供投资、税务、法律、财务、会计、咨询或任何其他相关服务无关,也不建议买卖或持有任何资产。本报告所载的资料是根据被认为可靠但不保证完全准确的资料来源提供的。本文所表达的任何意见或估计均反映自发表之日起作出的判断,如有更改,恕不另行通知。数字资产的交易和投资风险巨大,包括价格波动和流动性不足,可能并不适合所有投资者。此外,Circle 及其附属公司现在或将来可能提供与本报告主题相关的资产相关的财务或其他支持。员工和其他相关人员现在或将来可以在本报告主题的数字资产中进行交易并持有头寸。因此,Circle 及其关联方、其雇员或其他相关人员在现在或将来可能就本报告主题的资产获得报酬,并可能与本报告的规定存在某些利益冲突。对于因使用本资料而引致的任何直接或间接损失,Circle 概不负责。
原文: circle.com 的 Mimble Wimble 报告
翻译:矿宝 程薇霖
Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(1)
项目 • chainnews 发表了文章 • 2019-03-22 14:47
这是一篇出自著名区块链公司 circle.com 的报告。虽然本文中有些内容有一定的错误,但本文依旧是难得一见的深入浅出、全面细致介绍 MimbleWimble 协议原理与特点的好文章,同时本文也细致介绍、分析、对比了 MimbleWimble 的两个实现 Grin 和 Beam 的详细情况。矿宝为了让更多中国用户、爱好者了解 MimbleWimble 协议和 Grin、Beam 项目,将本文翻译为中文,同时在文中补充勘误了一些信息。由于时间和水平的原因,翻译难免还有不尽甚至错误之处,也欢迎读者不吝指正。
MimbleWimble
MimbleWimble 是一种增强隐私性和可扩展性的区块链协议。MimbleWimble 协议不需要存储整个区块链的所有历史数据,就可以验证区块链的所有交易的有效性 [ 1 ]。MimbelWimble 是以小说《哈利波特》中的「结舌咒」[ 2 ] 来命名的,这个咒语用于防止泄密。该协议是由一个化名 Tom Elvis Jedusor (伏地魔的法语名字)的人于 2016 年提出的,他通过洋葱头加密通讯通道(Tor LIink),在一个名叫「比特币巫师」(Bitcoin wizards)的 IRC 网络聊天室上分享了一个概述 MimbleWimble 的文本 - 然后便消失了。
译者注:
[1] 相较于比特币,用户需要下载完整的交易历史(数据量庞大)来确认交易的有效性。
[2] 结舌咒即:舌头打结的咒语,用于让对手沉默。
背景
Blockstream 的数学家 Andrew Poelstra [1] 对 WimbleMimble 协议很感兴趣,并于 2016 年 10 月,发表了一篇论文,更详细、更严谨论证了关于 MinbleWimble 协议的技术细节。MimbleWimble 是一个区块链协议,而 Grin 和 Beam 是它最先落地的两项实现。我们将在本报告中探索 MimbleWimble、Grin 以及 Beam。
来源:messari.io/onchainfx,coinmarketcap.com (截至 2019 年 3 月 3 日)
[1] Andrew Poelstra 是侧链白皮书的合作者之一。
[2] 此处数据存疑,Grin 是无限挖模式,并没有设置发行量上线,对此数据的计算依据表示质疑。
在加密社区中的许多人都在密切关注 MimbleWimble 协议,因为它首次优化了隐私性和可扩展性,它的目标是改进比特币以及其他加密货币的下述关键性问题。
完全隐私:MimbleWimble 会对未参与交易的所有第三方隐藏交易的发起者、接收者以及交易金额的信息。第三方观察者只能在一个交易中,看到一系列经过加密处理的包含交易输入、输出的整体 [1],他们可以验证这些输入都在链上,并且输出和输入的虚拟货币的总数相同。这个设定便改善了在比特币等类似系统中「任何人都可以追溯一个资金从一个地址到另一个地址的转移过程」的问题。
效率:MimbleWimble 事务验证者只需要存储交易中未耗尽的 UTXO (交易记录)。而所有其他加密货币强制矿工和第三方验证者存储区块链的整个交易历史。MimbleWimble 这样做可以节省存储空间并加快同步速度,因为随着区块链历史的不断增长,矿工们可能会被迫使用更多的硬盘资源来存储整个历史记录。
一个验证者通过:(1)核实输出与输入的总和相等;以及(2)交易中不包含负数,保证交易过程中没有试图创造新的币;来验证一个 MimbleWimble 交易的有效性。挖矿是唯一可以产生新币的方式,这也是唯一可以识别身份的交易。但是,验证者和观察者并不会知道是谁获得了挖矿的区块奖励。
MimbleWimble 的另一个重要特性,就是这里只有交易的输入和输出而没有地址或公钥。每一个 UTXO 都有一个私钥,接收者将私钥存储在他的钱包中。要发出 UTXO,发起者必须在专用的通信通道里通知接收方,并执行多轮通信以构建交易。发起者要使用他的 UTXO 私钥对这个 UTXO 进行签名认证,并将签名结果发送给接受者。
[1] 即 Mimblewimble 只验证交易前后总数的一致性,输入(input)和输出(output)即交易前后的状态。
MimbleWimle 要解决的问题
区块链是不可伪造的公开交易账本。其不可伪造性意味着用户只能发送他们曾经收到的资金——他们无法发送属于别人的资金或是凭空创造资金。比特币和类似的区块链的发送方地址、接收方地址和交易金额都是公开的,所以很容易验证发送的金额等于收到的金额、发送方的私钥地址包含发送的资金。
比特币(包括其他加密资产)的公开性对于不希望公开交易细节的人或商业活动来说是不合适的。此外,随着像 Elliptic[1] 和 Chainalysis[2] 这样的区块链大数据分析公司的崛起,研究人员可以将非法交易的输出对应起来并将其列入黑名单。币安(Biance)首席执行官曾发布推文说,他们能够在被社交媒体上报道后,冻结黑客发送给交易所的资金。然而,有些人认为这违背了货币的可替代性的原则。可替代性原则是指所有被创造的货币都是相同的,就像一美元钞票等于另一美元钞票一样,无论钞票过去经过什么样的流通活动,这个钞票与其他美元钞票都应该是一样的。
比特币和所有其他区块链要求矿工和其他验证人记录链的整个交易历史,以验证所有交易是否有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这个设置使得想要与网络同步的新参与者需要大量空间、时间和计算资源。比特币区块链在 2019 年之前的大小约为 200GB。
[1] Elliptic: https://www.elliptic.co/(一家为加密货币公司,金融机构和政府机构提供可操作的情报的公司)
[2] Chainalysis: https://www.chainalysis.com/ (防止,检测和调查加密货币洗钱,欺诈和违规行为)
MimbleWimble 的解决方案
MimbleWimble 以巧妙的方式使用加密技术来实现不可伪造性,同时优化隐私性和可扩展性。 MimbleWimble 不是像比特币那样验证每个输出的整个历史记录,而是检查区块链上所有交易的输入的总和减去所有输出的总和为 0 以验证链(这种做法也加强了交易的一个基本属性:交易发出的金额等同于收到的金额)。MimbleWimble 综合使用保密交易 (Confidential Transactions)、混币(Coin Join)、 范围证明(Range Proof)和交易记录核销(Cut-through)技术来实现上述目标。
与比特币相似,MimbleWimble 依赖于椭圆曲线密码学和 UTXO 模型。然而,MimbleWimble 是一个更加轻量级的的版本,由于增强隐私性的要求,它牺牲了可编程性。因此,诸如闪电网络(Lightning Network)之类的时间锁定或支付渠道等更复杂和精细的功能目前还无法在 MinbleWimble 中使用 [1]。
[1] 译者注:Grin 和 Beam 都有对应的解决方案。
速成课程:UTXOS
比特币和 MimbleWimble 一样使用「未使用的交易输出」(Unspent Transaction Output UTXO)模型来计算余额。这类似于使用硬币或现金来支付商品和服务。例如,爱丽丝想买一件 30 美元的衬衫,但她有两张 20 美元的钞票。她不能只给商人一张半的钞票。相反,她给了商人两张钞票,并收到了一张 10 美元的钞票作为找零。
UTXO 模型以类似的方式运行:Alice 在之前的交易中获得了两个交易输出:1 BTC 和 0.5 BTC。现在 Alice 需要向一个商人支付 1.3 BTC。她的钱包创建了一个发送 1.5BTC 的交易,这个交易有两个输入(1BTC 和 0.5BTC)两个输出(1.3BTC 和 0.2BTC)。商户收到 1.3 个 BTC,Alice 收到 0.2 个 BTC (可以视为找零)。由于 UTXO 模型这一特性,比特币用户可以通过查询区块链浏览器,观察到他们的比特币地址经常发送出比指定数量更多的比特币。
速成课程:椭圆曲线加密
椭圆曲线有几个特性,使其可以用于复杂的加密协议。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点 G,乘以一个整数 s,得到椭圆曲线上的另一个点 P=sG。然而,给定(P,G)要求出 s 的值在计算上是不可行的。这使得我们可以将(P,G)作为公钥,将 s 作为私钥。椭圆曲线的另一个特性是椭圆曲线上的计算满足一些有用的代数特性:
分配律:(a+b)G = aG+bG
结合律:a(bG)=b(aG)=(ab)G
速成课程:Pedersen 表达式(Pedersen Commitments) Pedersen 表达式是结合椭圆曲线的单向性和代数性质的密码学术语。对给定的值(x,y)计算其 Pedersen 表达式为 P=xG+yH。由于计算 s=P/G 是不可行的,所以要通过 (P,G,H) 计算出(x,y)是不可能的。另外,由于有无数的 x 和 y 的组合可以满足关系 P=xG+yH,所以即使我们知道某 1 个满足此关系的解(x,y),我们依然无法计算出满足此关系且不违反椭圆曲线单项属性的第二对(x’,y’)。
保密交易(Confidential Transaction)
默认情况下,MimbleWimble 依靠一个称为保密交易的密码学概念来实现隐私性。保密交易是由 Gregory Maxwell[1] 提出的,他从 Adam Back[2] (亚当·贝克的比特币同态加密中汲取到灵感。保密交易使用 Pedersen 表达式来隐藏 UTXO 中的交易金额。
[1] Gregory Maxwell 是 Bitstream 的比特币核心开发人员和联合创始人兼首席技术官。
[2] Adam Back (1970 年 7 月出生)是英国密码学家和加密黑客,hashcash 的发明者。
在 MimbleWimble 中,交易输入和输出通过 Pedersen 表达式计算为「P=rG + vH」。G 和 H 是椭圆曲线上的随机点,并作为区块链的公共参数公开。值 v 是 UTXO 的交易金额。r 是致盲因子,用作 UTXO 的私钥,值 rG 是对应于 r 的公钥。MimbleWimble 使用 Pedersen 表达式使敏感交易信息模糊,替代明文交易金额。Pedersen 表达式允许使用基本算法来验证交易。
举个例子,我们有两个输入和一个输出。我们提供交易金额(v)和致盲因子(r),同时将 G 和 H 作为公开参数。
交易内核(Transaction Kernel)
上述保密交易的问题在于,它们需要输入和输出的 UTXO 使用相同的致盲因子,即接收者的私钥。如果发送者知道了接收者的致盲因子的值,她就可以窃取接收者输出的 UTXO。而 MimbleWimble 使用零知识证明 (zero-knowledge) 克服了这个问题。
举一个简单的例子:某交易发送的交易金额为 5。发送者有一个 UTXO 作为交易的输入,由 Pedersen 表达式计算交易的输入为 X=45G+5H,其中 5 是交易金额 (v),45 是致盲因子(r),也就发送方的私钥。接收方选择一个随机盲因子 7 并创建一个 UTXO,由 Pedersen 表达式计算为 Y=7G+5H。验证者将交易输入减去输出得到:
X-Y=(45G+5H)-(7G+5H)=38G
MimbleWimble 将值 38 称为超额或内核,并将值 X-Y = 38G 称之为交易内核(译者注:准确的说公钥 rG 只是交易内核的一部分,交易内核还包括用 r 做私钥对交易做的签名,见下述译者补充)。对于一个有效的交易,交易内核始终为 X-Y = rG + 0H,其中 r 是某个整数。即使交易里有多个输入和多个输出也是始终如此。如果输入值的总和等于输出值的总和,则 H 系数将恒为零。有效的交易内核始终采用公钥的形式。发起人和接收方都知道对应私钥的一部分(45 和 7)。 MimbleWimble 协议要求交易双方使用他们的致盲因子进行多重签名来签署交易,内核(45-7=38)就是交易参与者的多重签名私钥。(译者补充:交易双方使用内核作为私钥对交易进行签名,验证者首先计算 X-Y,如果 X-Y 是一个合法的交易,那么 X-Y 的结果应该等于交易签名公钥 rG,验证者再用 rG 做公钥验证交易签名的有效性,如果验证通过说明交易是合法的,也就是 H 的系数为 0。准确的说,交易内核包括了交易的公钥 rG、使用 r 做私钥对交易的签名以及交易手续费。MinbelWimble 区块链上主要记录信息就是对交易的输入和输出的 Pedersen 表达式计算结果 X 和 Y 以及交易内核。)
范围证明(RANGE PROOFS)
MimbleWimble 协议要求交易金额必须为正数,因此用户无法凭空创造出货币。正如我们所提到的,唯一可以创造币的交易类型是挖矿。 范围证明是一种加密技术,对于某一 Pedersen 表达式 X,通过范围证明技术可以证明给定一对整数(r,min <v <max)满足 X = rG + vH。MimbleWimble 的实现(Grin 和 Beam)使用范围证明来证明交易金额 v 大于零且没有溢出。MimbleWimble 使用最近使用的子弹证明技术(Bulletproofs)是一种仅消耗约 700-5000 字节的范围证明技术。
没有地址
正如我们提到的,MimbleWimble 不使用地址。不使用地址的主要动机是为了增强区块链的隐私性和防止地址膨胀问题。在基于 MimbleWimble 的区块链中,用户必须进行链外的通信来创建交易。使用通信信道,交易发起方向接收方证明其持有交易所需的数字币金额,并向接收方转移这些数字币的控制权。因为没有公开的地址,所以也没有「标准」通信方式来完成交易。因此,交易双方需要建立通信信道,从而发送数字币持有证明及转移数字币控制权。这与比特币(以及大多数其他区块链)非常不同,比特币可以在没有交易接收方参与的情况下完成交易。
混币技术(Coin Join)
混币技术是一种降低数据公开性的方法。 混币将多个交易组合成单个大型交易的方法,这使得很难区分哪些交易输入是对应哪些交易输出。混币技术已在 JoinMarket,ShufflePuff,DarkWallet,SharedCoin,Wasabi,Samourai 等项目中使用。基于钱包的混币技术的缺点是用户必须主动选择使用该功能。这降低了它的有效性,因为用户要么就不知道这一功能,要么就是由于麻烦而不使用该功能,这些都导致参与混币交易的交易数量不足对于混币技术而言,参与混淆的交易的数量太少就不能有效地隐藏交易的发送地址和接收地址。此外,参与混币的用户之间必须进行通信以创建混币交易,因为每个交易发送方都必须对最终组合起来的整个交易进行签名。
在 MimbleWimble 中,用户无需选择混币功能,这是 MimbleWimble 的默认功能。一个区块中不再记录单独的各个交易。相反,它看起来像一个大型的组合起来的交易。图 1 是要包含在下一个区块·中 2 笔摸交易集的示意图。在图 2 中,MimbleWimble 在类似于混币的过程中将两笔交易连接在一起,这样剩下的就是单个交易,它组合了 2 个交易所有输入和所有输出。
交易记录核销 (Cut-through)
保密交易比常规交易需要更大的存储空间。根据 Aaron Van Wirdum[1] 的说法,保密交易比非保密交易所需要的存储空间大 20 倍,计算资源大 30 倍。 MimbleWimble 使用一种名为交易记录核销的技术来解决这一挑战进而提高效率。
[1] Aaron Van Wirdum:BitcoinMagazine 技术编辑
正如我们上面提到的,下载完整的比特币区块链需要占用近 200GB 的空间,并且其正在不断增长。如果比特币上的所有交易都是像 MimbleWimble 这样的保密交易,那么区块链的大小将会大几个数量级。
MimbleWimble 使用称为交易记录核销的过程来删除冗余的交易输出以释放块内的空间并减少需要存储在区块链中的数据量,同时保持相同的安全性。冗余输出的特点是这些输出会在同一区块被作为输入使用。通过 Andrew Poelstra 演讲编制的图表可以很好地说明这一点。
在图 3 中,可以看到的某交易的青色输出在同一区块中后来又被作为某交易的输入,所以可以从区块中删除这笔冗余的输入和输出,以减少必须记录的数据。虽然 MimbleWimble 冗余的交易输出,但它保留了这些交易的交易内核。
MimbleWimble 在在区块内的微观层面和整体数据的宏观层面都使用交易核销技术,从在区块链上的信息只有:区块链首部信息(block header)、UTXO 和交易内核。节点可以使用这些关键数据来验证区块链。从而使得如果一个区块内核销掉的交易输出比这个区块内新增的交易输出多,则区块链的大小会缩小。从理论上讲,这将使得验证区块链所需的数据量会随时间发展越来越小。
Grin 作为 MimbleWimble 的第一个实现,认为 MimbleWimble 节点的数据量大小相比比特币会大大减少,「相比数 GB 大小的比特币区块链节点,Grin 节点大小可以做到数量级的优化,甚至到仅有几百 M 字节」按照 Grin 的描述,假设有 1000 万笔交易伴随着 100 万个 UTXOs,没有交易核销的区块链总大小约为 130GB,其中交易数据为 128GB、交易证明数据为 1GB,块头为 250MB。经过核销,区块链的总大小可以降至 1.8GB,包括 1GB 的输出数据,520MB 的 UTXO (译者注此处应该为交易内核或交易证明数据)和 250MB 的块头。 而 Beam 认为,当它达到与比特币相同的规模时,其区块链大小可能是比特币的 30%。
蒲公英技术(Dandelion)
对于 MimbleWimble 的隐私性而言,最大的威胁是区块链节点可以在打包并广播交易记录前记录交易的信息。在核销之前,交易输出在要在节点本地内存池(mempool)(未经验证的交易池)中保存一些时间。这使得恶意节点可以在构建交易图(transaction graph)并可能发现发送方的 IP 地址。
蒲公英技术不是 MimbleWimble 的一部分,而是 Grin 和 Beam 在实现时补充的功能。蒲公英试图降低恶意节点创建交易图的机会,方法是「在交易被确认之前先悄悄地在网络中转发它,从而延迟交易在网络上出现的时间」(Andreas Antonopoulos[1])。
通常,当有人向区块链发起交易时,交易信息会向所有的区块链节点广播。蒲公英将交易的广播划分为两个阶段,从「阀杆(stem)」或「匿名(anonymity)」阶段开始,在这一阶段,交易信息将其被随机广播到某一个节点,然后再由这个节点将交易信息发送到另一个随机挑选的节点,依此类推,直到收到交易信息的节点数目满足一定要求,则进入第二阶段。第二阶段称为绒毛阶段(fluff phase),在这一阶段交易信息会被广播到所有的节点。这样做可以防止观察节点将交易映射回原始地址。一种蒲公英技术的改进(Dandelion++)使得创建交易图变得更加困难。
在 MimbleWimble 中,交易也可以在匿名阶段之前进行混币,从而使将交易输入与交易映射关联更加困难。 Beam 通过增加占位空输出使得在没有足够的输出也可以进行上述混币操作。。
蒲公英技术的一个问题是,在匿名阶段,如果交易被传递到某一随机节点后,这个节点掉线,那么这笔交易将永远不会被传播到区块链网络。Grin 和 Beam 解决了这一问题——如果某交易没有在合理的时间内达到「绒毛阶段(fluff phase)」,则这个交易将被自动广播到更广泛的网络中。
[1] Andreas M. Antonopoulos (生于 1972 年)希腊 - 英国,比特币的拥护者。
无脚本脚本(Scriptless scripts)
MimbleWimble 不支持交易脚本,而交易脚本是大多数区块链的重要特征。脚本是嵌入在交易中以支持基本智能合约功能的代码。 没有它,MimbleWimble 就不能支持条件交易(conditional transaction),时间锁,状态通道(例如闪电网络),跨链原子交换等。这是不可链接交易和交易核销的代价。验证者无法检查是否满足智能合约条件,因为相关的 UTXO 及其条件可能已经被删除。
当于 2016 年 8 月,第一份 MimbleWimble 论文发布时,无法支持条件交易似乎是使用 MimbleWimble 的一个限制。然而,Andrew Poelstra 发现了一种通过使用无脚本脚本的方式实现智能合约的简单方法。无脚本脚本基于这样的想法:利用施诺尔签名技术(Schnorr signatures)支持无脚本脚本功能,区块链验证者如果需要知道链外发生的条件元素,只需检查签名是否存在且正确。
具体而言,交易的参与者可以通过组合其各自的签名的私钥来创建多重施诺尔签名,从而生成交互式的签名,该签名是提交给节点并由节点验证的唯一数据。
Aaron Van Wirdum 提供了一个很好的解释,便于我们理解。他举了一个想要收听艺术家歌曲的网络用户的例子。艺术家和用户需要将他们组合的施诺尔签名提交到区块链,以验证条件交易。拥有该歌曲版权的艺术家掌握对于这个歌曲加密的密钥,设为 7000,获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的施诺尔签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个施诺尔「适配器签名(adaptor signature)」,1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的施诺尔签名减去减去歌曲密钥的结果。然后用户也做施诺尔签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都发生在链外,这样除了艺术家和用户没有人会发现其中的步骤。区块链验证者唯一看到的内容是一个 13000 的施诺尔签名组合。适配器签名只被艺术家和用户掌握,对于第三方保密的。除了「结算交易」之外,区块链上没有任何交易记录内容。可以通过添加支持施诺尔签名的新操作码(Opcode)来实现无脚本脚本。 Grin 和 Beam 正在实现无脚本脚本,但是暂时没有这个功能何时上线的确切时间表。
基于无脚本脚本有可能实现机密资产(confidential assets),跨链原子交换和第二层扩展解决方案,比如在 MimbleWimble 区块链生态中使用闪电网络。无脚本脚本不一定要在 MimbleWimble 上实现,甚至可能会扩展到其他区块链生态上。
结论
MimbleWimble 基于经过严格证明的密码学技术。其中一些技术已在经同行评审的密码学期刊上发表,其他一些技术则是发布在白皮书和技术报告中。首个 MimbleWimble 区块链生态项目 Grin 和 Beam 最近才推出。虽然 MimbleWimble 是一种新的实验性技术,但它具有有显著提高隐私性和可扩展性的优势,虽然目前它的用户体验还不够好,且也没有彻底完全解决某些隐私方面的挑战。还需要进行大量的测试和迭代才能在大规模开放的区块链生态上实现高效的隐私交易。目前,这个看似难以理解的概念,在实践中可能会还会遇到意想不到的问题。
在用户体验方面,目前 MimbleWimble 没有地址和交易各方需要进行交互通信并且在线(虽然不一定同时)来签署并完成交易。这一要求与现有的加密货币相比很不一样,对于用户使用造成一些困扰。
从隐私性角度,矿工可以在混币和交易核销之前查看内存池(mempool)中的交易。因此,恶意观察节点就可以构建详细的交易图,从而对隐私性构成威胁,这直接挑战了 MimbleWimble 的隐私性这一核心价值主张。尽管有蒲公英技术和虚拟 UTXO 这样的潜在技术解决方案,但它们在实践中还有待完善。
其他隐私币解决方案
MimbleWimble 不是第一个或唯一一个区块链隐私币方案。对所有可用的隐私币解决方案进行全面而深思熟虑的讨论超出了本报告的范围,这里讨论其他可供选择的替代方案以供读者了解。这些包括但不限于其他区块链协议和在底层实现隐私性的币种(Zcash,Monero),通过第二层网络实现隐私解决方案(Blockstream 侧链)和通过交易层实现的隐私方案(例如通过像 Samourai 和 Wasabi 这样的钱包)。
隐私币
在 Grin 和 Beam 之前推出的两个隐私币是 Zcash 和 Monero,这些币在协议层实现了隐私性。Monero 是一款基于 CryptoNote 协议的隐私币,Monero 的一个关键优势是默认情况下即启用隐私功能,它隐藏发送方和接收地址以及交易金额。 Monero 使用环保密交易(Ring Confidential Transactions)和隐形地址来实现隐私性。环签名算法在交易中添加「诱饵」信息从而避免暴露真实的签名信息,进行有效地混淆交易信息。 Monero 的主要缺点是,即使使用子弹证明技术(Bulletproofs)大大减少了存储空间,其数据存储规模仍是比特币的十倍。
Zcash 是基于 Zerocash 协议设计的数字币, Zcash 使用地址加壳技术来隐藏交易方的地址并使用 zk-snarks (一种零知识证明)来隐藏交易金额。与 Monero 以及基于 MimbleWimble 协议的 Grin 和 Beam 不同,Zcash 不会在默认情况下启用隐私功能。在 Zcash 的 Sapling 更新之前,创建一个保密交易的计算量很大且非常耗时,这阻碍了用户的使用隐私功能。经过 Sapling 更新,对地址加壳所需的内存和时间已经减少,这某种程度上会鼓励用户使用保密交易功能。可选的隐私功能的另一个缺点是当用户选择使用加密交易信息时,这一行为可能会被视为可疑行为。Zcash 的另一个缺点是其可信设置(trusted setup)。虽然 Zooko Wilcox[1] 表示打破可信的设置不会影响隐私性,但 Peter Todd (比特币研究员)在某次与一个 zk-snaks 的开发人员的会谈中表示他不同意 Zooko 的看法。
[1] Zooko Wilcox-O'Hearn,左科·威尔科克斯(1974 年 5 月 13 日出生于亚利桑那州凤凰城的 Bryce Wilcox),是美国科罗拉多州的计算机安全专家,cypherpunk 和 Zcash 的首席执行官。
侧链
侧链是一个独立的区块链。侧链双向链接到一个基础层区块链协议。双向链接使得来自原始基础层链上的币在通过验证后,可以以固定的速率与侧链资产进行互换。这些补充作用的侧链可以提供基础层区块链没有的新区块链的功能、扩展并共识机制,从而对基础层区块链面对的问题提供一系列解决方案,包括但不限于隐私性和可扩展性。比特币侧链公司 Blockstream 已经部署了一个这样的网络,即最近推出的 Liquid,它在默认状态下进行保密交易。Liquid 使用一个由 15 个已知节点组成的小组 (称为工作成员小组) 来验证交易并打包区块,这以牺牲去中心化为代价加快了交易速度。虽然 Liquid 的管理更加中心化,但它针对的是交易所场景下的一些特殊问题。例如支持在联盟链内的任何节点随意兑换 LBTC 这一 Liquid 的本地 Token。如果某一个独立的网络节点宕机,此时这个设计会特别有用。Liquid 的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。对 Liquid 的一个轻微批评是,它信任的一些中介机构中包括一些不受监管的、历史上有不安全记录的加密货币交易所,如 Bitfinex 和 OKCoin 等。
隐私钱包(PRIVACY WALLETS)
此外,基于钱包的一些隐私解决方案(如 Wasabi,Samourai 或 Breeze)的优势在于它们可以在比特币(或其他币种)之上实现,而无需更改底层协议。一些批评的声音包括:如果没有在较短的时间内找到匹配的交易资金,就会出现较小的匿名集或者造成交易延迟。例如,Samourai 的交错弹跳(Staggered Ricochet)可能需要两个小时才能到达最终目的地从而完成交易。此外,由于钱包平台的中心化性质,钱包运营平台可以获得交易的隐私信息。在 2019 年初,谷歌要求 Samourai 删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌 Play store 的新规则。
尽管有许多增强隐私的选择,但这些都是早期技术(包括 MimbleWimble,Grin 和 Beam)。在这一点的选择上每个人都有自己的权衡取舍,并且对于什么才是隐私加密的最佳方法目前还没有明确的答案。
GRIN
Grin 是 MimbleWimble 的第一个开源实现。Grin 使用 Rust 语言开发。 Grin 文档于 2016 年 10 月 20 日由匿名开发人员 Lgnotus Peverell 发布。许多 Grin 的核心开发者都采用了来源《哈利波特》相关的绰号。 Grin 在 2019 年 1 月 15 日在主网上发布之前发布了四个测试网。由于其与比特币的相似性,Grin 受到加密货币社区的称赞——尤其是其匿名开发团队以、公平的数字币分发方式(没有预挖、没有 ICO、没有创始人奖励)和基于捐赠的资助模式。然而,Grin 确实有几个值得注意的差异。
货币政策 :Grin 被设计成一种交易媒介(MoE),而不是像比特币那样作为价值储存手段(SoV)。Grin 的矿工奖励是每分钟 1 个块,每个块 60 个 Grin (即每秒 1 个 Grin)。挖矿产生的 Grin 会按照这一规律一直持续下去,且没有减产。这使得 Grin 的通胀率在早期很高。随着时间的推移通胀率逐渐下降。
共识算法:在初期阶段,Grin 将尝试通过使用两种 PoW 算法来实现去中心化。这两种算法是 Cuckoo Cycle[1](布谷鸟环)的变体 (一种是 ASIC 友好的,另一种被认为是 ASIC 抗性的,因为它是内存瓶颈算法(memory-hard)。布谷鸟算法是一种全新的、有点争议的工作量证明(PoW)算法 ; 握手区块链(Handshake blockchain)的白皮书描述了这一问题。
管理:Grin 没有正式的管理流程。但 Grin 有一个 8 名成员组成的技术委员会,负责管理 Grin 的普通基金和发展路线图。Grin 举行对所有人开放的管理和开发会议。
功能:Grin 正在努力通过添加诸如无脚本脚本之类的功能来增强 MimbleWimble 协议,基于这个功能可以实现复杂的「条件交易」功能。社区成员还致力于通过 grinbox 和 wallet713 等解决方案改善用户体验。
挑战:虽然 Grin 因其基于捐赠的资助模式而受到赞赏,但仅依靠外部捐款继续建设和改进 Grin 也是一项挑战。此外,要使非技术用户能方便的使用 Grin,还有很多工作需要做。
自发布以来,Grin 已可以在多个交易所交易,即使它并未主动联系交易所上币也没有向交易所支付上币费。虽然社区很乐意帮助 Grin 上交易所,但 Ignotus Peverell 表示他们并不「过分担心外部因素和 [他们] 无法控制的事情」。
[1] 原作者注:Cuckoo Cycle 是在非常大的二部图中以寻找循环路径,因此其算法速度用每秒完成搜索的图的个数计算。 与大多数其他工作量证明算法相比,Cuckoo Cycle 消耗的功率要少得多,并且其是内存密集型而不是计算密集型算法。 Yeastplume 在一个播客节目中很好地解释了这一点:类似于我们在一张纸上绘制节点并随意在它们之间添加边。,该算法计算出是否可以在这些节点之间找到环,即从一个特定的节点开始并沿着边返回到相同的节点。
挖掘算法
最初,Grin 团队计划使用两种 PoW 算法,由于算法需要消耗大量内存而被认为是抗 ASIC 的:Cuckoo Cycle (由 John Tromp 在 2015 年开发)以及具有较高内存要求的 Equihash 算法,称为 Equigrin。
对内存要求高的算法被认为不是可以利用 CPU 和 GPU 的计算密集型算法。最初由于 Cuckoo Cycle 需要大量 SRAM (静态随机存取存储器),它被认为是 ASIC 抗性的。人们认为因为算法需要大量 SRAM 而在 ASIC 使用大量 SRAM 很昂贵,所以这使得制造 ASIC 更加困难。 Cuckoo Cycle 的创建者 John Tromp 表示,「最初的 Cuckoo Cycle 旨在使内存延迟成为瓶颈。现在,多年以后,我们意识到 Cuckoo Cycle 是可以很好地利用 [...] 的 SRAM 算法,而其实(与过去的想法不同)在 ASIC 制造中使用 SRAM 并不那么昂贵。我们希望 ASIC 比 GPU 具有更高的效率优势。」John Tromp 在一个播客节目中深入探讨了 Cuckoo Cycle。
在 2018 年 8 月,社区承认 ASIC (1)在实践中是不可避免的 [1],而且(2)可能在以开始时会不利于数字币的公平分配,但从长远来看并不一定是一件坏事。相反,ASIC 友好算法可以使网络更加安全,因为 ASIC 矿器增加了网络的算力,使攻击变得更加困难、代价更加高昂。 从长期来看,ASIC 可以有利于区块链协议的成功,因为投资数千万美元的的矿工在安全性方面的诉求与区块链项目的利益完全一致。此外,根据 Derek Hsue 的说法,「任何持续产生 ASIC 抗性的尝试都将导致秘密 ASIC 这个问题确实存在。」
鉴于上述观点,Grin 随后决定改变工作量证明(PoW)算法,这两种算法都是 Cuckoo Cycle 的变体,主算法是 ASIC 友好(AF)算法和第二算法是 ASIC 抗性(AR)算法,并在项目主网上线后逐步淘汰第二算法。 Grin 中的主 PoW 算法叫做 Cuckatoo31 +,是 Cuckoo Cycle 对 ASIC 更加友好的版本。 它被称为 ASIC 友好的是因为它可以使用数百 MB 的 SRAM 来提高性能使得 ASIC 算力超过 GPU。第二算法,称为 Cuckaroo29,是一种内存密集型的 AR PoW 算法。然而,真正保证 ASIC 抗性的唯一方法是有计划的进行硬分叉,不断调整算法(类似 Monero 的做法),使已生成的 ASIC 作废。 Grin 将每六个月执行一次这样的硬分支来调整算法,以抑制对该 AR 算法生产 ASIC 的积极性,直到该算法在两年内逐步淘汰。
加密社区里的一些成员非常关注 Cuckoo Cycle 中 PoW 算法的稳定性。 John Tromp 在 2014 年首次提出了这个概念,并在短时间内进行了多次修订,因为研究人员找到了优化算法的方法。 Cuckoo Cycle 基于一个 NP 完全的图论问题,一个令人担忧问题是,如果某个矿工通过优化 Cuckoo Cycle 算法获得比网络中其他矿工更大的算力,那么挖矿收益将无法公平分配。John Tromp 认为,这类优化算法获得的相对优势可能会随着迁移到更大的图而增加。但如果社区的其他成员对算法做相同的优化,这种优势就会消失。
一开始,Grin90% 的块用第二算法挖掘,10% 的块用主算法挖掘。两年后,100% 的区块将使用主算法进行挖掘。在未来两年,Cuckatoo31+将获得更大比例的区块奖励,每月线性增长 3.75%。Grin 社区希望,到 Cuckatoo31+占 100% 的矿业份额时,将有来自多个 ASIC 制造商生产出 ASIC 矿机,从而引导有序健康的竞争。Grin 基于最近 60 个区块的窗口对挖矿难度进行调整。
[1] 原作者注:Leo Zhang 说「2014 年,当 ASIC 矿工首次商业化时,由于 RAM 成本较高,使用内存硬算法抵制 ASIC 的策略是有道理的。但在过去几年中,RAM 成本的急剧下降使 ASIC 设计人员能够以越来越低的成本为这些网络制造机器。内存瓶颈算法无法无限期地保留 ASIC。」
GRIN 矿池
根据 miningpoolstats.com 的数据显示,Cuckaroo29 上有 15 个矿池,Cuckatoo31+上有 11 个矿池。在撰写本文时,前两名的矿池 (Sparkpool 和 F2pool) 的算力之和占 Cuckaroo29 的 82%,占 Cuckatoo31+的 68%。Sparkpool 和 F2pool 都向 Grin 的开发者基金和普通基金提供了捐款。虽然算力似乎集中在了矿池中,但矿池是由许多矿工参与者组成的,这些矿工可以选择随时离开矿池,并随意将其算力切换到其他矿池。
第三大矿池是 GrinMint,是 BlockCypher 于 2018 年 9 月首次推出的矿池,2019 年 1 月在主网上推出 .BlockCypher 收取 2.5%的费用,并表示将向 Grin 开发者社区捐赠 0.5%。 BlockCypher 还有一名全职开发人员致力于 Grin (Quentin Le Sceller)。其他回馈 Grin 社区的矿池包括 MimbleWimble Grin Pool 和 grin-pool.org。
对 Grin 的批评之一是,当 Grin 上线时,一些投资人投资挖矿并控制了大量的算力。这些投资人本来应该是通过买币投资 Grin,即是市场的买方。但由于这些投资人通过挖矿获得了 Grin,并在市场中卖出 Grin 获利,这些投资人反倒成了市场的卖方。当矿池挖出区块并获得挖矿奖励时,他们必须立即出售币,因为他们要用比特币支付给矿工 (译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
货币政策
Grin 具有线性的增发率,并且将以每分钟 60 Grin (每秒一 Grin)的速度增发 - 其供应量故意被设计成没有上限。而比特币的上限为 2100 万,并且具有通缩发行计划,比特币的块奖励每四年减半,直到接近零。因为比特币的发行模型使得其价值会算时间增加,所以比特币模型鼓励持有硬币。这使比特币成为价值存储工具(SoV)。
Grin 的早期通货膨胀率极高,但当有数百万枚 Grin 币流通时,随着时间的推移通货膨胀率将趋近于零,虽然它永远不会达到零。在实践中,通胀率需要在 10 年后才能降至 10%以下,25 年后才会降至 4%(与 2018 年比特币相同)。通胀率将需要 50 年才能降至 2%以下。然而,实际上,Grin 团队认为,当考虑到存在因为私钥丢失而造成的丢失的币时,通货膨胀将会比上述预想的低。根据团队的说法,每年丢失的币可能高达总供应量的 2%,在计算通货膨胀率时应该将这部分排除。永久性发行被视为缓解币丢失的影响的潜在解决方案。
永久通货膨胀背后的另一个原因是:(1)通胀模型比通缩模型更公平,通缩模型对于越早挖矿的矿工越有益,而通胀模型不会。(2)如果预计明天的币价与今天的相似,那么它有更大的机会被用作交换媒介(MoE),而这就恰恰是 Grin 项目所希望的。短期至中期的高通胀会激励消费而非储存,因为币会被显着的稀释。社区还认为,花钱的动力可能有助于更广泛地分发数字币。
此外,永久性发行可以防止 Grin 最终只能完全依赖交易的手续费来确保网络安全 - 这正是比特币社区正在讨论 / 面临的挑战。一旦比特币的发行量接近零,网络将不得不过渡到仅仅依赖交易费用奖励为保护比特币安全的矿工。仅依赖交易费奖励矿工是区块链的一种新的经济模式,但仍多存在许多问题:每个区块需要多少交易,每笔交易的最低费用是什么,以及如何解决与第二层方案(例如闪电网络)中致力于降低网络费的行为之间的矛盾。
来源 : grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者因为 Grin 没有上限的线性发行计划而批判 Grin,并因为高通胀率降低了数字币作为价值存储的购买力。然而,Grin 的开发者故意设计了这样的通胀率,其目的是鼓励消费、抵消丢失币的影响、确保 Grin 网络始终可以给矿工支付挖矿奖励以维护区块链安全。高通胀的一个不利之处是,与早期比特币相似,挖矿奖励在目前在总供给量中占了相当大的比例。这可能会对 Grin 币的价值产生负面影响,因为矿池出售 Grin 以换取比特币支付给矿工。
(译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
治理
Grin 的莱恩伯格(Lehnberg)说:「治理是关于如何做出在参与者 (参与决策的人) 和利益相关者 (受决策影响的人) 的角度看起来都合理的决策的过程。」 Grin 没有明确的治理流程,但对于没有结论的讨论是透明的且对社区完全开放。
Grin 有一个技术委员会负责管理 Grin 普通基金(Grin General Fund)并指导项目的开发。委员会成员包括 Ignotus Peverell, Antioch Peverell, Hashmap, Jaspervdm, Lehnberg, Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner)和 John Tromp。任何人都可以参与治理会有和开发者会议以及讨论,但是最活跃的贡献者通常还会发挥更大的作用。
技术委员会每两周举行一次管理会议和一次开发者会议,主题包括 ASIC 抗性,筹集和指导资金,重大缺陷和错误,安全审计,交换集成,硬分叉等。 Grin 还会在会议前后在 Github 上发布议程,笔记和会议记录。在 grin-forum 上还有一个管理部分,那上面上有一些主题一致的帖子,表明社区正在积极思考如何从长远来进行管理。
技术委员会主导的管理和开发过程使社区能够在早期快速灵活地运行,以避免减慢项目进程。然而,随着 Grin 的成长和成熟,人们一直在讨论如何建立一个更加结构化的管理流程并进行制衡。委员会成员和捐助者明确表示,有必要实施一个更正式的程序,来确立:
为社区提供一种更结构化的方式来交流关于管理和开发主题的反馈。
设置委员会的权限范围以及社区为委员会成员提供意见的规则。
所有利益相关者都有机会发表意见。利益相关者包括核心开发者,一次性贡献者,矿工,用户,投资者,交易所等。
该委员会的缺点是增加了项目的中心化程度。从长远来看,一个非官方的委员会可能是危险的。一个例子是 Burst PoCC,它具有与 Grin 技术委员会类似的功能。有一天,他们对社区感到不满并意外退出,但仍然可以访问项目代码库,管理 DNS 域名等等。他们还采取了额外的恶意行为,例如欺骗矿池和过早抛售 Burst,最终损害了 Burst 区块链。
资金
Grin 是一个完全基于捐赠的开源项目。虽然它的公平的数字币分配机制受到了称赞——没有 ICO、没有预挖、没有创始人奖励,但缺点是开发进展缓慢。Grin 的安全审计、市场营销、网站开发、运营活动等都依靠无偿的兼职志愿者和对核心开发者基金的捐赠。
正如 Tushar Jain 所指出的那样,「如果没有资本的促进,开发进度将被推迟。」这是 Grin 社区也认可的事实。在 Grin 普通基金的页面上,他们说,「现实情况是,有了资金支持,对 Grin 项目将会有很大帮助。这将使 Grin 能够更快,更可靠地发挥其潜力,拥有更好的基础设施支持,并且与资金充足的区块链项目竞争(或共存)的可能性会更大。」
Grin 社区于 2016 年开始开发 Grin,并于 2019 年 1 月才主网上线。同一时期,Beam 是 MimbleWimble 协议的另一个实现(下文将进一步详细讨论),是由一家获得风险投资者的私营公司开发的项目。他们从 2018 年初开始启动该项目,并于 Grin 主网上线前一周实现主网上线。
此外,Yeastplume (Michael Cordner),社区的核心开发人员和主要成员,在最初在筹集个人研发赞助资金时遇到了困难,无法将全部精力投入 Grin。只有在 Ignotus Peverell 在对 Yeastplume 的募资活动远未获得 (5.5 万欧元)10% 的资金表示失望之后,募资活动的捐款才开始上升。自那以后,它已经超额完成了募资目标,在撰写本文时筹集了 66,580 欧元。可以在 Grin 名人堂中查看完整的捐赠者名单。
依靠捐赠可能在短期内会奏效。然而,为了保持发展并吸引人才进入网络,Grin 将不得不重新考虑其融资模式,因为它面临着于那些资金充足并付费的项目日益激烈的竞争。在这个关于开发者激励政策的明确表达中,纳撒尼尔·惠特莫尔 (Nathaniel Whittemore) 提出了另一种全新的面向商业的激励模式,即(1)提供足够的激励来吸引顶尖人才加入项目,(2)同时继续为核心开发路线图做出贡献。即保证项目在既定路线图的规划下,使用经济措施鼓励更多优秀人才贡献力量。
用户体验
如上所述,MimbleWimble 是没有地址的。因此,交易的发起方和接收方必须传递消息 (称为「交易石板」),基于交互式通信进行币的转让。有多种方法可以标准化的传递 JSON 消息。一种方法是基于文件的传输,其中文件包含纯文本格式的 JSON 消息,可以通过多种方式传输文本 (电子邮件、Telegram、Keybase、业余无线电、信鸽等)。另一种方法是基于 HTTP URL 的方法,其中 API 接口接受文本格式的原始 JSON。
一组名为 vault713 的第三方开发人员正致力于使 Grin 可以更加实用并被广泛的使用。他们的第一个项目是一个名为 Grinbox 的交互协议。 Grinbox 是一种消息中继服务(message relaying service),当与 wallet713 一起使用时可以简化交易处理过程,wallet713 是目前在 Linux 上运行的 vault713 的 grin 钱包的核心分支。Grinbox 和 wallet713 旨在改善 Grin 的发送和存储过程。
第一步,Grinbox 允许参与者创建公开的地址用以发送 / 接收资金,这样他们就不必公开他们自己的 IP 地址。 wallet713 还允许用户将联系人姓名链接到他们计算机上的本地存储地址。此外,wallet713 允许异步交易构建。 vault713 还致力于添加更多增强隐私和可用性的功能,例如多重签名支持,BTC 和 Grin 之间的原子交换,在交易进入未经确认的内存池、移动 /web/ 桌面 GUI 等之前,与其他 wallet713 用户一同进行钱包层面的混币。
随着项目的成熟并吸引到更多人才,将出现更多利用不同通信信道创建交易可选方法。这可能包括利用 NFC,QR,蓝牙等的近场通信技术创建交易的方法。最终,用户选择一个方便且易于理解解决方案作为主要的交易通信方式。但是到达那一步还需要一些时间,还有待观察哪种方法可以成为标准。
Grin 只有几个月的历史,而且就目前而言,该项目适合精通技术的用户投入时间和精力来了解它的工作原理。虽然社区开始通过 grinbox 和 wallet713 等工作解决用户体验方面的问题,但要使非技术用户能舒适的在网络上进行交易还需要时间进行迭代和教育。
结论
Grin 是一个最初引起密码学朋克和无政府加密主义者注意的项目,但 Grin 与比特币相似的思想引起了许多人的注意。也就是说,Grin 因其匿名领导者、基于捐赠和草根的资助模式、专注于隐私和去中心、以及其社区非常关注对项目的推进而不是快速赚钱而受到赞扬。
但是 Grin 主网上线 Grin 只是第一步。要想让 Grin 获得长期成功并被广泛采用,还有很多工作要做。需要解决的关键挑战包括更可靠的筹资方式、更直观的用户体验以吸引更多用户使用 Grin,以及研究如何解决系统中的隐私漏洞 (即观察节点创建交易图的能力)。
核心团队表示,其主要关注点仍然是稳定性,性能以及安全性。通过第三方开发团队将 Grin 集成到他们的服务和产品中来培育一个健康的生态系统,这对提高使用率也是至关重要的。这并不一定需要 Grin 的核心开发人员来完成。相反,这些挑战可以在 Grin 区块链周围出现第三方开发人员生态系统时解决。
Grin 仍然是一个非常新的项目,它开创了全新的未经测试的想法,加密概念和技术。如果 Grin 能够应对关键挑战,那么它有可能成为将隐私重新置于个人手中的一种方式。
BEAM
Beam 是由一家总部位于以色列的 VC 支持的创业公司,于 2019 年 1 月 3 日推出了基于 MimbleWimble 协议的以隐私为重点的同名加密货币。它于 2018 年 3 月开始使用 C ++开发,并于 2018 年 9 月推出了测试网络。虽然 Beam 和 Grin 的相似之处在于它们都是 MimbleWimble 的实现,旨在为用户提供隐私增强功能,但它们的路径各不相同。与 Grin 不同,Beam 是一家私营公司,雇用开发人员来实施。 Beam 是从闭源开始,但后来开源了。 Beam 的另一个相比于 Grin 的重要区别是 Beam 提供了针对企业和监管机构的可选审计功能。
货币政策:Beam 的供应计划是通货紧缩型的,在第一年之后区块奖励下降 50%,之后每四年就会减少一半,直到达到 2.63 亿的硬性上限。此外,Beam 挖矿产出的 20% 将作为开发税进入 Beam Treasury 基金,用于并为 Beam 的未来开发提供资金。
挖矿算法:Beam 使用 Equihash 的修改版本(一种工作量证明挖掘算法)来提供网络共识。为了确保去中心化,Beam 将通过定期调整其算法使得 Beam 在前 12-18 个月保持 ASIC 抗性。
管理:Beam 目前由一家 VC 支持的创业公司运营,由付薪雇员组成。长期目标是完全将管理移交给管理 Beam Treasury 基金、维护区块链的非营利基金会。
功能:Beam 正在添加一个可审计的功能,这样企业就可以在不损害隐私性的情况下证明其合规性并提供交易的可预见性。Beam 开发人员还在探索一个安全的 BBS 系统,该系统将支持非交互式离线交易。
挑战:不断改进 PoW 协议是一项艰巨的任务,避免 ASIC 挖矿将使网络整体算力保持在较低水平,这也使得攻击网络的成本相对较低。此外,Beam 目前的运营和管理结构是中心化的,转向更去中心化的模式将需要避免所有投资方之间的权力斗争。
挖掘算法
Beam 使用 Equihash 算法,这是由卢森堡大学的 Alex Biryukov 和 Dmitry Khovratovich 创建的工作量证明算法。 Equihash 是一种基于广义生日问题的非对称内存密集型算法。 Equihash 的另一个关键属性是挖矿是随机的,这意味着生成 PoW 解的可能性与过去是否的成功挖矿是不相关。 Equihash 有两个可以调整的参数:n (bit 位宽)和 k (长度),它们决定了底层问题的复杂性,从而决定了算法的内存和时间复杂度。Beam 使用 Equihash 参数 n = 115 和 k = 5。
Equihash 在某种意义上是不对称的,因为它需要大量的内存来生成一个证明,但它不需要大量的内存来验证它。这是 Equihash 的一个重要特性,因为大多数其他内存密集型算法都是对称的,也就是说,验证与生成一个证明一样困难。内存密集型指的是生成一个证明所花费的时间与内存成正比,而不是与 CPU 计算能力成比例。如果使用更少的内存,Equihash 会不成比例地大大增加对计算能力的需求。
最初,内存是一种昂贵的资源,因此不假设 ASIC 比常规 CPU 和 GPU 更容易做出内存优化。另一方面,ASIC 与 GPU 相比提供了显著的带宽改进,而 GPU 又比 CPU 提供了显著的带宽改进。由于芯片设计技术的改进,为内存优化的 ASIC 矿机的成本不再像过去预期的那么高。
Zcash 是一个专注于以隐私性的加密货币,也使用 Equihash 算法。最初选择了 Equihash 是因为它被认为是 ASIC 抗性的。然而,在 2018 年,比特大陆发布了 Antminer Z9 mini 矿机,这个矿机通过降低 SRAM 的成本获得比通用硬件(CPU、GPU)更高的挖矿效率。在 Beam 的 Equihash 算法帖子中,他们强调「卢森堡大学的研究人员发现,截至 2018 年 5 月,20%-30%的 Equihash 是由 ASIC 矿机挖出的。」
Beam 表示,它们已经特别设置了 Equihash 参数,以便在短期内为 CPU 和 GPU 为矿工提供优于 ASIC 的优势,从而使币的初始分发更加广泛。然而,它认识到 ASIC 是不可避免的,甚至是在长期看是有用的,因为 ASIC 是一项成本可控的投资,并且增加了全网算力,从而使得区块链更安全且更难被攻击。
货币政策和资金
Beam 的货币政策类似于比特币。它的特点是规定了一个硬顶和通缩发行计划,并使用常规的区块奖励减半方法(每个区块的挖出的币数量下降 50%),直到通货膨胀率达到零。因此,这个初创公司是希望将 Beam 用作价值储存(SoV),而不是像 Grin 那样的交换媒介(MoE)。不过,其与比特币的相似性就到此为止了。与特别币不同的是:1. Beam 在第一年的挖矿奖励更多;2. 前 5 年的挖矿产出中部分归于项目创始人团队;3. Beam 每分钟一个块(比特币每 10 分钟一个块)。
在第一年,一个区块奖励将是 100Beam,高于之后的奖励,以激励矿工尽早加入网络并将 Beam 引入市场。头五年中 20% 的挖矿产出将给与创始人团队。所以第一年挖出的每个区块的 100 Beam 中 80 Beam 将支付给矿工,20Beam 将支付给 Beam 财富基金。在第 2 到第 5 年,区块奖励将下降 50%,变为 50 个 Beam,其中 40 个 Beam 支付给矿工,10 个 Beam 支付给 Beam 财富基金。在第 6 年,区块奖励将再次下降 50% 至 25 Beam,且所有奖励都将支付给矿工,并在未来改为每 4 年减半一次,直到第 129 年。区块奖励将在第 133 年停止,届时 Beam 预计的总供应量约为 2.63 亿。
来源 :medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam 采用了创始人奖励机制(Founders Reward),也称为开发税(Dev Tax),以回报投资者并为正在进行的协议和工具开发提供经济支持。创始人奖励费用是编写在区块链协议中的代码里,该协议在矿工和创始团队的已知地址之间的自动分配区块奖励
这种方法明显与 ICO 或预挖等不同,正如 Dash 所见,它以大量的流动资金来补偿加密资产的创始人。虽然 ICO 和预挖都是早期团队成员所希望的,但这类薪酬设计往往缺乏有效的资金监管和退出时间表。因此,在短期利益驱使下,挪用资金并跑路的骗局相当普遍。
「创始人奖励」的目的是随着项目的发展逐步补偿创始人。因此,最初的利益相关者更有动力去协调资源维护网络的长期成功。此外,奖励制度被纳入区块链协议,Arjun Balaji 指出:这种机制提供了固定资金分配比例带来的资金透明度,也为通过软或硬分叉修改现有分配方法提供可行性。
该创始人激励结构最初是由 Electric Coin Company(前身为 Zcash Company) 设计并推广的。这家公司是专注于隐私的加密货币 Zcash 的背后的开发和维护企业。起初,Zcash 矿工只能获得区块奖励的 80%。剩下的 20% 将分配给 Zcash 基金会 (一个支持 Zcash 开发的独立非盈利组织)、数字币公司以及早期的 Zcash 开发人员和顾问。在头四年之后,创始人奖金被预先设定为零,以确保在 2100 万美元的上限达到之前,所有新发行的 Zcash 将 100% 归矿工所有。
Beam 资金模型与 Zcash 的资金模式相似,在早期阶段其支付给 Beam 财富基金,创始人费用比例为 20%。与 Zcash 历时 4 年的创始人奖励不同,Beam 创始人奖励历时 5 年,包括第一年区块奖励为 100 Beam 的时候。在这五年结束时,累计有超过 3150 万的 Beam 被送给 Beam 财富基金。计划将基金中 35%的资金分配给早期投资者,另外 45%的资金补偿给核心团队成员和顾问,剩余的 20%将用于支持 Beam 主权货币基金会。这是该项目维护和管理的长期解决方案。
来源 : medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖金,Beam 还从包括 Recruit Co. LTD、Yeoman 's Capital 和 Node Capital 在内的各种风险投资基金中筹集了至少 500 万美元,用于聘请全职开发人员来推进开发。这些投资者将定期从创始人奖金中获得 Beam 以回报其早期投资。
Beam 的核心团队和早期投资者都认识到,更加中心化的推动项目可以加速产品研发、尽量避免在基于社区运营的项目中经常出现的项目延期的情况。因此,Beam 选择了这种更加中心化的管理方法来启动项目并度过项目的初始阶段。随着 Beam 的不断成熟,其目标是实现更加去中化的激励和管理结构,将区块奖励交给矿工,并将项目控制权交给社区。
不利的一面是,同时也是对 Beam 的批评之一,Beam 并没有让所有投资者都能平等参与。在主网上上线之前就从投资者那里筹集资金,或者将一部分资金投入专门的集团 (即 ICO、创始人奖励、预挖),这些都可能导致币的分配不公平。
与之相对的是与比特币和 Grin 类似的产品,在这些产品中,加密资产只能通过传统的 PoW 挖矿获得。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络挖出新的比特币或 Grin。这样的发行方式往往会在区块链网络用户之间更为公平。
继续阅读:Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
查看全部
MimbleWimble
MimbleWimble 是一种增强隐私性和可扩展性的区块链协议。MimbleWimble 协议不需要存储整个区块链的所有历史数据,就可以验证区块链的所有交易的有效性 [ 1 ]。MimbelWimble 是以小说《哈利波特》中的「结舌咒」[ 2 ] 来命名的,这个咒语用于防止泄密。该协议是由一个化名 Tom Elvis Jedusor (伏地魔的法语名字)的人于 2016 年提出的,他通过洋葱头加密通讯通道(Tor LIink),在一个名叫「比特币巫师」(Bitcoin wizards)的 IRC 网络聊天室上分享了一个概述 MimbleWimble 的文本 - 然后便消失了。
译者注:
[1] 相较于比特币,用户需要下载完整的交易历史(数据量庞大)来确认交易的有效性。
[2] 结舌咒即:舌头打结的咒语,用于让对手沉默。
背景
Blockstream 的数学家 Andrew Poelstra [1] 对 WimbleMimble 协议很感兴趣,并于 2016 年 10 月,发表了一篇论文,更详细、更严谨论证了关于 MinbleWimble 协议的技术细节。MimbleWimble 是一个区块链协议,而 Grin 和 Beam 是它最先落地的两项实现。我们将在本报告中探索 MimbleWimble、Grin 以及 Beam。
来源:messari.io/onchainfx,coinmarketcap.com (截至 2019 年 3 月 3 日)
[1] Andrew Poelstra 是侧链白皮书的合作者之一。
[2] 此处数据存疑,Grin 是无限挖模式,并没有设置发行量上线,对此数据的计算依据表示质疑。
在加密社区中的许多人都在密切关注 MimbleWimble 协议,因为它首次优化了隐私性和可扩展性,它的目标是改进比特币以及其他加密货币的下述关键性问题。
完全隐私:MimbleWimble 会对未参与交易的所有第三方隐藏交易的发起者、接收者以及交易金额的信息。第三方观察者只能在一个交易中,看到一系列经过加密处理的包含交易输入、输出的整体 [1],他们可以验证这些输入都在链上,并且输出和输入的虚拟货币的总数相同。这个设定便改善了在比特币等类似系统中「任何人都可以追溯一个资金从一个地址到另一个地址的转移过程」的问题。
效率:MimbleWimble 事务验证者只需要存储交易中未耗尽的 UTXO (交易记录)。而所有其他加密货币强制矿工和第三方验证者存储区块链的整个交易历史。MimbleWimble 这样做可以节省存储空间并加快同步速度,因为随着区块链历史的不断增长,矿工们可能会被迫使用更多的硬盘资源来存储整个历史记录。
一个验证者通过:(1)核实输出与输入的总和相等;以及(2)交易中不包含负数,保证交易过程中没有试图创造新的币;来验证一个 MimbleWimble 交易的有效性。挖矿是唯一可以产生新币的方式,这也是唯一可以识别身份的交易。但是,验证者和观察者并不会知道是谁获得了挖矿的区块奖励。
MimbleWimble 的另一个重要特性,就是这里只有交易的输入和输出而没有地址或公钥。每一个 UTXO 都有一个私钥,接收者将私钥存储在他的钱包中。要发出 UTXO,发起者必须在专用的通信通道里通知接收方,并执行多轮通信以构建交易。发起者要使用他的 UTXO 私钥对这个 UTXO 进行签名认证,并将签名结果发送给接受者。
[1] 即 Mimblewimble 只验证交易前后总数的一致性,输入(input)和输出(output)即交易前后的状态。
MimbleWimle 要解决的问题
区块链是不可伪造的公开交易账本。其不可伪造性意味着用户只能发送他们曾经收到的资金——他们无法发送属于别人的资金或是凭空创造资金。比特币和类似的区块链的发送方地址、接收方地址和交易金额都是公开的,所以很容易验证发送的金额等于收到的金额、发送方的私钥地址包含发送的资金。
比特币(包括其他加密资产)的公开性对于不希望公开交易细节的人或商业活动来说是不合适的。此外,随着像 Elliptic[1] 和 Chainalysis[2] 这样的区块链大数据分析公司的崛起,研究人员可以将非法交易的输出对应起来并将其列入黑名单。币安(Biance)首席执行官曾发布推文说,他们能够在被社交媒体上报道后,冻结黑客发送给交易所的资金。然而,有些人认为这违背了货币的可替代性的原则。可替代性原则是指所有被创造的货币都是相同的,就像一美元钞票等于另一美元钞票一样,无论钞票过去经过什么样的流通活动,这个钞票与其他美元钞票都应该是一样的。
比特币和所有其他区块链要求矿工和其他验证人记录链的整个交易历史,以验证所有交易是否有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这个设置使得想要与网络同步的新参与者需要大量空间、时间和计算资源。比特币区块链在 2019 年之前的大小约为 200GB。
[1] Elliptic: https://www.elliptic.co/(一家为加密货币公司,金融机构和政府机构提供可操作的情报的公司)
[2] Chainalysis: https://www.chainalysis.com/ (防止,检测和调查加密货币洗钱,欺诈和违规行为)
MimbleWimble 的解决方案
MimbleWimble 以巧妙的方式使用加密技术来实现不可伪造性,同时优化隐私性和可扩展性。 MimbleWimble 不是像比特币那样验证每个输出的整个历史记录,而是检查区块链上所有交易的输入的总和减去所有输出的总和为 0 以验证链(这种做法也加强了交易的一个基本属性:交易发出的金额等同于收到的金额)。MimbleWimble 综合使用保密交易 (Confidential Transactions)、混币(Coin Join)、 范围证明(Range Proof)和交易记录核销(Cut-through)技术来实现上述目标。
与比特币相似,MimbleWimble 依赖于椭圆曲线密码学和 UTXO 模型。然而,MimbleWimble 是一个更加轻量级的的版本,由于增强隐私性的要求,它牺牲了可编程性。因此,诸如闪电网络(Lightning Network)之类的时间锁定或支付渠道等更复杂和精细的功能目前还无法在 MinbleWimble 中使用 [1]。
[1] 译者注:Grin 和 Beam 都有对应的解决方案。
速成课程:UTXOS
比特币和 MimbleWimble 一样使用「未使用的交易输出」(Unspent Transaction Output UTXO)模型来计算余额。这类似于使用硬币或现金来支付商品和服务。例如,爱丽丝想买一件 30 美元的衬衫,但她有两张 20 美元的钞票。她不能只给商人一张半的钞票。相反,她给了商人两张钞票,并收到了一张 10 美元的钞票作为找零。
UTXO 模型以类似的方式运行:Alice 在之前的交易中获得了两个交易输出:1 BTC 和 0.5 BTC。现在 Alice 需要向一个商人支付 1.3 BTC。她的钱包创建了一个发送 1.5BTC 的交易,这个交易有两个输入(1BTC 和 0.5BTC)两个输出(1.3BTC 和 0.2BTC)。商户收到 1.3 个 BTC,Alice 收到 0.2 个 BTC (可以视为找零)。由于 UTXO 模型这一特性,比特币用户可以通过查询区块链浏览器,观察到他们的比特币地址经常发送出比指定数量更多的比特币。
速成课程:椭圆曲线加密
椭圆曲线有几个特性,使其可以用于复杂的加密协议。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点 G,乘以一个整数 s,得到椭圆曲线上的另一个点 P=sG。然而,给定(P,G)要求出 s 的值在计算上是不可行的。这使得我们可以将(P,G)作为公钥,将 s 作为私钥。椭圆曲线的另一个特性是椭圆曲线上的计算满足一些有用的代数特性:
分配律:(a+b)G = aG+bG
结合律:a(bG)=b(aG)=(ab)G
速成课程:Pedersen 表达式(Pedersen Commitments) Pedersen 表达式是结合椭圆曲线的单向性和代数性质的密码学术语。对给定的值(x,y)计算其 Pedersen 表达式为 P=xG+yH。由于计算 s=P/G 是不可行的,所以要通过 (P,G,H) 计算出(x,y)是不可能的。另外,由于有无数的 x 和 y 的组合可以满足关系 P=xG+yH,所以即使我们知道某 1 个满足此关系的解(x,y),我们依然无法计算出满足此关系且不违反椭圆曲线单项属性的第二对(x’,y’)。
保密交易(Confidential Transaction)
默认情况下,MimbleWimble 依靠一个称为保密交易的密码学概念来实现隐私性。保密交易是由 Gregory Maxwell[1] 提出的,他从 Adam Back[2] (亚当·贝克的比特币同态加密中汲取到灵感。保密交易使用 Pedersen 表达式来隐藏 UTXO 中的交易金额。
[1] Gregory Maxwell 是 Bitstream 的比特币核心开发人员和联合创始人兼首席技术官。
[2] Adam Back (1970 年 7 月出生)是英国密码学家和加密黑客,hashcash 的发明者。
在 MimbleWimble 中,交易输入和输出通过 Pedersen 表达式计算为「P=rG + vH」。G 和 H 是椭圆曲线上的随机点,并作为区块链的公共参数公开。值 v 是 UTXO 的交易金额。r 是致盲因子,用作 UTXO 的私钥,值 rG 是对应于 r 的公钥。MimbleWimble 使用 Pedersen 表达式使敏感交易信息模糊,替代明文交易金额。Pedersen 表达式允许使用基本算法来验证交易。
举个例子,我们有两个输入和一个输出。我们提供交易金额(v)和致盲因子(r),同时将 G 和 H 作为公开参数。
交易内核(Transaction Kernel)
上述保密交易的问题在于,它们需要输入和输出的 UTXO 使用相同的致盲因子,即接收者的私钥。如果发送者知道了接收者的致盲因子的值,她就可以窃取接收者输出的 UTXO。而 MimbleWimble 使用零知识证明 (zero-knowledge) 克服了这个问题。
举一个简单的例子:某交易发送的交易金额为 5。发送者有一个 UTXO 作为交易的输入,由 Pedersen 表达式计算交易的输入为 X=45G+5H,其中 5 是交易金额 (v),45 是致盲因子(r),也就发送方的私钥。接收方选择一个随机盲因子 7 并创建一个 UTXO,由 Pedersen 表达式计算为 Y=7G+5H。验证者将交易输入减去输出得到:
X-Y=(45G+5H)-(7G+5H)=38G
MimbleWimble 将值 38 称为超额或内核,并将值 X-Y = 38G 称之为交易内核(译者注:准确的说公钥 rG 只是交易内核的一部分,交易内核还包括用 r 做私钥对交易做的签名,见下述译者补充)。对于一个有效的交易,交易内核始终为 X-Y = rG + 0H,其中 r 是某个整数。即使交易里有多个输入和多个输出也是始终如此。如果输入值的总和等于输出值的总和,则 H 系数将恒为零。有效的交易内核始终采用公钥的形式。发起人和接收方都知道对应私钥的一部分(45 和 7)。 MimbleWimble 协议要求交易双方使用他们的致盲因子进行多重签名来签署交易,内核(45-7=38)就是交易参与者的多重签名私钥。(译者补充:交易双方使用内核作为私钥对交易进行签名,验证者首先计算 X-Y,如果 X-Y 是一个合法的交易,那么 X-Y 的结果应该等于交易签名公钥 rG,验证者再用 rG 做公钥验证交易签名的有效性,如果验证通过说明交易是合法的,也就是 H 的系数为 0。准确的说,交易内核包括了交易的公钥 rG、使用 r 做私钥对交易的签名以及交易手续费。MinbelWimble 区块链上主要记录信息就是对交易的输入和输出的 Pedersen 表达式计算结果 X 和 Y 以及交易内核。)
范围证明(RANGE PROOFS)
MimbleWimble 协议要求交易金额必须为正数,因此用户无法凭空创造出货币。正如我们所提到的,唯一可以创造币的交易类型是挖矿。 范围证明是一种加密技术,对于某一 Pedersen 表达式 X,通过范围证明技术可以证明给定一对整数(r,min <v <max)满足 X = rG + vH。MimbleWimble 的实现(Grin 和 Beam)使用范围证明来证明交易金额 v 大于零且没有溢出。MimbleWimble 使用最近使用的子弹证明技术(Bulletproofs)是一种仅消耗约 700-5000 字节的范围证明技术。
没有地址
正如我们提到的,MimbleWimble 不使用地址。不使用地址的主要动机是为了增强区块链的隐私性和防止地址膨胀问题。在基于 MimbleWimble 的区块链中,用户必须进行链外的通信来创建交易。使用通信信道,交易发起方向接收方证明其持有交易所需的数字币金额,并向接收方转移这些数字币的控制权。因为没有公开的地址,所以也没有「标准」通信方式来完成交易。因此,交易双方需要建立通信信道,从而发送数字币持有证明及转移数字币控制权。这与比特币(以及大多数其他区块链)非常不同,比特币可以在没有交易接收方参与的情况下完成交易。
混币技术(Coin Join)
混币技术是一种降低数据公开性的方法。 混币将多个交易组合成单个大型交易的方法,这使得很难区分哪些交易输入是对应哪些交易输出。混币技术已在 JoinMarket,ShufflePuff,DarkWallet,SharedCoin,Wasabi,Samourai 等项目中使用。基于钱包的混币技术的缺点是用户必须主动选择使用该功能。这降低了它的有效性,因为用户要么就不知道这一功能,要么就是由于麻烦而不使用该功能,这些都导致参与混币交易的交易数量不足对于混币技术而言,参与混淆的交易的数量太少就不能有效地隐藏交易的发送地址和接收地址。此外,参与混币的用户之间必须进行通信以创建混币交易,因为每个交易发送方都必须对最终组合起来的整个交易进行签名。
在 MimbleWimble 中,用户无需选择混币功能,这是 MimbleWimble 的默认功能。一个区块中不再记录单独的各个交易。相反,它看起来像一个大型的组合起来的交易。图 1 是要包含在下一个区块·中 2 笔摸交易集的示意图。在图 2 中,MimbleWimble 在类似于混币的过程中将两笔交易连接在一起,这样剩下的就是单个交易,它组合了 2 个交易所有输入和所有输出。
交易记录核销 (Cut-through)
保密交易比常规交易需要更大的存储空间。根据 Aaron Van Wirdum[1] 的说法,保密交易比非保密交易所需要的存储空间大 20 倍,计算资源大 30 倍。 MimbleWimble 使用一种名为交易记录核销的技术来解决这一挑战进而提高效率。
[1] Aaron Van Wirdum:BitcoinMagazine 技术编辑
正如我们上面提到的,下载完整的比特币区块链需要占用近 200GB 的空间,并且其正在不断增长。如果比特币上的所有交易都是像 MimbleWimble 这样的保密交易,那么区块链的大小将会大几个数量级。
MimbleWimble 使用称为交易记录核销的过程来删除冗余的交易输出以释放块内的空间并减少需要存储在区块链中的数据量,同时保持相同的安全性。冗余输出的特点是这些输出会在同一区块被作为输入使用。通过 Andrew Poelstra 演讲编制的图表可以很好地说明这一点。
在图 3 中,可以看到的某交易的青色输出在同一区块中后来又被作为某交易的输入,所以可以从区块中删除这笔冗余的输入和输出,以减少必须记录的数据。虽然 MimbleWimble 冗余的交易输出,但它保留了这些交易的交易内核。
MimbleWimble 在在区块内的微观层面和整体数据的宏观层面都使用交易核销技术,从在区块链上的信息只有:区块链首部信息(block header)、UTXO 和交易内核。节点可以使用这些关键数据来验证区块链。从而使得如果一个区块内核销掉的交易输出比这个区块内新增的交易输出多,则区块链的大小会缩小。从理论上讲,这将使得验证区块链所需的数据量会随时间发展越来越小。
Grin 作为 MimbleWimble 的第一个实现,认为 MimbleWimble 节点的数据量大小相比比特币会大大减少,「相比数 GB 大小的比特币区块链节点,Grin 节点大小可以做到数量级的优化,甚至到仅有几百 M 字节」按照 Grin 的描述,假设有 1000 万笔交易伴随着 100 万个 UTXOs,没有交易核销的区块链总大小约为 130GB,其中交易数据为 128GB、交易证明数据为 1GB,块头为 250MB。经过核销,区块链的总大小可以降至 1.8GB,包括 1GB 的输出数据,520MB 的 UTXO (译者注此处应该为交易内核或交易证明数据)和 250MB 的块头。 而 Beam 认为,当它达到与比特币相同的规模时,其区块链大小可能是比特币的 30%。
蒲公英技术(Dandelion)
对于 MimbleWimble 的隐私性而言,最大的威胁是区块链节点可以在打包并广播交易记录前记录交易的信息。在核销之前,交易输出在要在节点本地内存池(mempool)(未经验证的交易池)中保存一些时间。这使得恶意节点可以在构建交易图(transaction graph)并可能发现发送方的 IP 地址。
蒲公英技术不是 MimbleWimble 的一部分,而是 Grin 和 Beam 在实现时补充的功能。蒲公英试图降低恶意节点创建交易图的机会,方法是「在交易被确认之前先悄悄地在网络中转发它,从而延迟交易在网络上出现的时间」(Andreas Antonopoulos[1])。
通常,当有人向区块链发起交易时,交易信息会向所有的区块链节点广播。蒲公英将交易的广播划分为两个阶段,从「阀杆(stem)」或「匿名(anonymity)」阶段开始,在这一阶段,交易信息将其被随机广播到某一个节点,然后再由这个节点将交易信息发送到另一个随机挑选的节点,依此类推,直到收到交易信息的节点数目满足一定要求,则进入第二阶段。第二阶段称为绒毛阶段(fluff phase),在这一阶段交易信息会被广播到所有的节点。这样做可以防止观察节点将交易映射回原始地址。一种蒲公英技术的改进(Dandelion++)使得创建交易图变得更加困难。
在 MimbleWimble 中,交易也可以在匿名阶段之前进行混币,从而使将交易输入与交易映射关联更加困难。 Beam 通过增加占位空输出使得在没有足够的输出也可以进行上述混币操作。。
蒲公英技术的一个问题是,在匿名阶段,如果交易被传递到某一随机节点后,这个节点掉线,那么这笔交易将永远不会被传播到区块链网络。Grin 和 Beam 解决了这一问题——如果某交易没有在合理的时间内达到「绒毛阶段(fluff phase)」,则这个交易将被自动广播到更广泛的网络中。
[1] Andreas M. Antonopoulos (生于 1972 年)希腊 - 英国,比特币的拥护者。
无脚本脚本(Scriptless scripts)
MimbleWimble 不支持交易脚本,而交易脚本是大多数区块链的重要特征。脚本是嵌入在交易中以支持基本智能合约功能的代码。 没有它,MimbleWimble 就不能支持条件交易(conditional transaction),时间锁,状态通道(例如闪电网络),跨链原子交换等。这是不可链接交易和交易核销的代价。验证者无法检查是否满足智能合约条件,因为相关的 UTXO 及其条件可能已经被删除。
当于 2016 年 8 月,第一份 MimbleWimble 论文发布时,无法支持条件交易似乎是使用 MimbleWimble 的一个限制。然而,Andrew Poelstra 发现了一种通过使用无脚本脚本的方式实现智能合约的简单方法。无脚本脚本基于这样的想法:利用施诺尔签名技术(Schnorr signatures)支持无脚本脚本功能,区块链验证者如果需要知道链外发生的条件元素,只需检查签名是否存在且正确。
具体而言,交易的参与者可以通过组合其各自的签名的私钥来创建多重施诺尔签名,从而生成交互式的签名,该签名是提交给节点并由节点验证的唯一数据。
Aaron Van Wirdum 提供了一个很好的解释,便于我们理解。他举了一个想要收听艺术家歌曲的网络用户的例子。艺术家和用户需要将他们组合的施诺尔签名提交到区块链,以验证条件交易。拥有该歌曲版权的艺术家掌握对于这个歌曲加密的密钥,设为 7000,获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的施诺尔签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个施诺尔「适配器签名(adaptor signature)」,1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的施诺尔签名减去减去歌曲密钥的结果。然后用户也做施诺尔签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都发生在链外,这样除了艺术家和用户没有人会发现其中的步骤。区块链验证者唯一看到的内容是一个 13000 的施诺尔签名组合。适配器签名只被艺术家和用户掌握,对于第三方保密的。除了「结算交易」之外,区块链上没有任何交易记录内容。可以通过添加支持施诺尔签名的新操作码(Opcode)来实现无脚本脚本。 Grin 和 Beam 正在实现无脚本脚本,但是暂时没有这个功能何时上线的确切时间表。
基于无脚本脚本有可能实现机密资产(confidential assets),跨链原子交换和第二层扩展解决方案,比如在 MimbleWimble 区块链生态中使用闪电网络。无脚本脚本不一定要在 MimbleWimble 上实现,甚至可能会扩展到其他区块链生态上。
结论
MimbleWimble 基于经过严格证明的密码学技术。其中一些技术已在经同行评审的密码学期刊上发表,其他一些技术则是发布在白皮书和技术报告中。首个 MimbleWimble 区块链生态项目 Grin 和 Beam 最近才推出。虽然 MimbleWimble 是一种新的实验性技术,但它具有有显著提高隐私性和可扩展性的优势,虽然目前它的用户体验还不够好,且也没有彻底完全解决某些隐私方面的挑战。还需要进行大量的测试和迭代才能在大规模开放的区块链生态上实现高效的隐私交易。目前,这个看似难以理解的概念,在实践中可能会还会遇到意想不到的问题。
在用户体验方面,目前 MimbleWimble 没有地址和交易各方需要进行交互通信并且在线(虽然不一定同时)来签署并完成交易。这一要求与现有的加密货币相比很不一样,对于用户使用造成一些困扰。
从隐私性角度,矿工可以在混币和交易核销之前查看内存池(mempool)中的交易。因此,恶意观察节点就可以构建详细的交易图,从而对隐私性构成威胁,这直接挑战了 MimbleWimble 的隐私性这一核心价值主张。尽管有蒲公英技术和虚拟 UTXO 这样的潜在技术解决方案,但它们在实践中还有待完善。
其他隐私币解决方案
MimbleWimble 不是第一个或唯一一个区块链隐私币方案。对所有可用的隐私币解决方案进行全面而深思熟虑的讨论超出了本报告的范围,这里讨论其他可供选择的替代方案以供读者了解。这些包括但不限于其他区块链协议和在底层实现隐私性的币种(Zcash,Monero),通过第二层网络实现隐私解决方案(Blockstream 侧链)和通过交易层实现的隐私方案(例如通过像 Samourai 和 Wasabi 这样的钱包)。
隐私币
在 Grin 和 Beam 之前推出的两个隐私币是 Zcash 和 Monero,这些币在协议层实现了隐私性。Monero 是一款基于 CryptoNote 协议的隐私币,Monero 的一个关键优势是默认情况下即启用隐私功能,它隐藏发送方和接收地址以及交易金额。 Monero 使用环保密交易(Ring Confidential Transactions)和隐形地址来实现隐私性。环签名算法在交易中添加「诱饵」信息从而避免暴露真实的签名信息,进行有效地混淆交易信息。 Monero 的主要缺点是,即使使用子弹证明技术(Bulletproofs)大大减少了存储空间,其数据存储规模仍是比特币的十倍。
Zcash 是基于 Zerocash 协议设计的数字币, Zcash 使用地址加壳技术来隐藏交易方的地址并使用 zk-snarks (一种零知识证明)来隐藏交易金额。与 Monero 以及基于 MimbleWimble 协议的 Grin 和 Beam 不同,Zcash 不会在默认情况下启用隐私功能。在 Zcash 的 Sapling 更新之前,创建一个保密交易的计算量很大且非常耗时,这阻碍了用户的使用隐私功能。经过 Sapling 更新,对地址加壳所需的内存和时间已经减少,这某种程度上会鼓励用户使用保密交易功能。可选的隐私功能的另一个缺点是当用户选择使用加密交易信息时,这一行为可能会被视为可疑行为。Zcash 的另一个缺点是其可信设置(trusted setup)。虽然 Zooko Wilcox[1] 表示打破可信的设置不会影响隐私性,但 Peter Todd (比特币研究员)在某次与一个 zk-snaks 的开发人员的会谈中表示他不同意 Zooko 的看法。
[1] Zooko Wilcox-O'Hearn,左科·威尔科克斯(1974 年 5 月 13 日出生于亚利桑那州凤凰城的 Bryce Wilcox),是美国科罗拉多州的计算机安全专家,cypherpunk 和 Zcash 的首席执行官。
侧链
侧链是一个独立的区块链。侧链双向链接到一个基础层区块链协议。双向链接使得来自原始基础层链上的币在通过验证后,可以以固定的速率与侧链资产进行互换。这些补充作用的侧链可以提供基础层区块链没有的新区块链的功能、扩展并共识机制,从而对基础层区块链面对的问题提供一系列解决方案,包括但不限于隐私性和可扩展性。比特币侧链公司 Blockstream 已经部署了一个这样的网络,即最近推出的 Liquid,它在默认状态下进行保密交易。Liquid 使用一个由 15 个已知节点组成的小组 (称为工作成员小组) 来验证交易并打包区块,这以牺牲去中心化为代价加快了交易速度。虽然 Liquid 的管理更加中心化,但它针对的是交易所场景下的一些特殊问题。例如支持在联盟链内的任何节点随意兑换 LBTC 这一 Liquid 的本地 Token。如果某一个独立的网络节点宕机,此时这个设计会特别有用。Liquid 的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。对 Liquid 的一个轻微批评是,它信任的一些中介机构中包括一些不受监管的、历史上有不安全记录的加密货币交易所,如 Bitfinex 和 OKCoin 等。
隐私钱包(PRIVACY WALLETS)
此外,基于钱包的一些隐私解决方案(如 Wasabi,Samourai 或 Breeze)的优势在于它们可以在比特币(或其他币种)之上实现,而无需更改底层协议。一些批评的声音包括:如果没有在较短的时间内找到匹配的交易资金,就会出现较小的匿名集或者造成交易延迟。例如,Samourai 的交错弹跳(Staggered Ricochet)可能需要两个小时才能到达最终目的地从而完成交易。此外,由于钱包平台的中心化性质,钱包运营平台可以获得交易的隐私信息。在 2019 年初,谷歌要求 Samourai 删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌 Play store 的新规则。
尽管有许多增强隐私的选择,但这些都是早期技术(包括 MimbleWimble,Grin 和 Beam)。在这一点的选择上每个人都有自己的权衡取舍,并且对于什么才是隐私加密的最佳方法目前还没有明确的答案。
GRIN
Grin 是 MimbleWimble 的第一个开源实现。Grin 使用 Rust 语言开发。 Grin 文档于 2016 年 10 月 20 日由匿名开发人员 Lgnotus Peverell 发布。许多 Grin 的核心开发者都采用了来源《哈利波特》相关的绰号。 Grin 在 2019 年 1 月 15 日在主网上发布之前发布了四个测试网。由于其与比特币的相似性,Grin 受到加密货币社区的称赞——尤其是其匿名开发团队以、公平的数字币分发方式(没有预挖、没有 ICO、没有创始人奖励)和基于捐赠的资助模式。然而,Grin 确实有几个值得注意的差异。
货币政策 :Grin 被设计成一种交易媒介(MoE),而不是像比特币那样作为价值储存手段(SoV)。Grin 的矿工奖励是每分钟 1 个块,每个块 60 个 Grin (即每秒 1 个 Grin)。挖矿产生的 Grin 会按照这一规律一直持续下去,且没有减产。这使得 Grin 的通胀率在早期很高。随着时间的推移通胀率逐渐下降。
共识算法:在初期阶段,Grin 将尝试通过使用两种 PoW 算法来实现去中心化。这两种算法是 Cuckoo Cycle[1](布谷鸟环)的变体 (一种是 ASIC 友好的,另一种被认为是 ASIC 抗性的,因为它是内存瓶颈算法(memory-hard)。布谷鸟算法是一种全新的、有点争议的工作量证明(PoW)算法 ; 握手区块链(Handshake blockchain)的白皮书描述了这一问题。
管理:Grin 没有正式的管理流程。但 Grin 有一个 8 名成员组成的技术委员会,负责管理 Grin 的普通基金和发展路线图。Grin 举行对所有人开放的管理和开发会议。
功能:Grin 正在努力通过添加诸如无脚本脚本之类的功能来增强 MimbleWimble 协议,基于这个功能可以实现复杂的「条件交易」功能。社区成员还致力于通过 grinbox 和 wallet713 等解决方案改善用户体验。
挑战:虽然 Grin 因其基于捐赠的资助模式而受到赞赏,但仅依靠外部捐款继续建设和改进 Grin 也是一项挑战。此外,要使非技术用户能方便的使用 Grin,还有很多工作需要做。
自发布以来,Grin 已可以在多个交易所交易,即使它并未主动联系交易所上币也没有向交易所支付上币费。虽然社区很乐意帮助 Grin 上交易所,但 Ignotus Peverell 表示他们并不「过分担心外部因素和 [他们] 无法控制的事情」。
[1] 原作者注:Cuckoo Cycle 是在非常大的二部图中以寻找循环路径,因此其算法速度用每秒完成搜索的图的个数计算。 与大多数其他工作量证明算法相比,Cuckoo Cycle 消耗的功率要少得多,并且其是内存密集型而不是计算密集型算法。 Yeastplume 在一个播客节目中很好地解释了这一点:类似于我们在一张纸上绘制节点并随意在它们之间添加边。,该算法计算出是否可以在这些节点之间找到环,即从一个特定的节点开始并沿着边返回到相同的节点。
挖掘算法
最初,Grin 团队计划使用两种 PoW 算法,由于算法需要消耗大量内存而被认为是抗 ASIC 的:Cuckoo Cycle (由 John Tromp 在 2015 年开发)以及具有较高内存要求的 Equihash 算法,称为 Equigrin。
对内存要求高的算法被认为不是可以利用 CPU 和 GPU 的计算密集型算法。最初由于 Cuckoo Cycle 需要大量 SRAM (静态随机存取存储器),它被认为是 ASIC 抗性的。人们认为因为算法需要大量 SRAM 而在 ASIC 使用大量 SRAM 很昂贵,所以这使得制造 ASIC 更加困难。 Cuckoo Cycle 的创建者 John Tromp 表示,「最初的 Cuckoo Cycle 旨在使内存延迟成为瓶颈。现在,多年以后,我们意识到 Cuckoo Cycle 是可以很好地利用 [...] 的 SRAM 算法,而其实(与过去的想法不同)在 ASIC 制造中使用 SRAM 并不那么昂贵。我们希望 ASIC 比 GPU 具有更高的效率优势。」John Tromp 在一个播客节目中深入探讨了 Cuckoo Cycle。
在 2018 年 8 月,社区承认 ASIC (1)在实践中是不可避免的 [1],而且(2)可能在以开始时会不利于数字币的公平分配,但从长远来看并不一定是一件坏事。相反,ASIC 友好算法可以使网络更加安全,因为 ASIC 矿器增加了网络的算力,使攻击变得更加困难、代价更加高昂。 从长期来看,ASIC 可以有利于区块链协议的成功,因为投资数千万美元的的矿工在安全性方面的诉求与区块链项目的利益完全一致。此外,根据 Derek Hsue 的说法,「任何持续产生 ASIC 抗性的尝试都将导致秘密 ASIC 这个问题确实存在。」
鉴于上述观点,Grin 随后决定改变工作量证明(PoW)算法,这两种算法都是 Cuckoo Cycle 的变体,主算法是 ASIC 友好(AF)算法和第二算法是 ASIC 抗性(AR)算法,并在项目主网上线后逐步淘汰第二算法。 Grin 中的主 PoW 算法叫做 Cuckatoo31 +,是 Cuckoo Cycle 对 ASIC 更加友好的版本。 它被称为 ASIC 友好的是因为它可以使用数百 MB 的 SRAM 来提高性能使得 ASIC 算力超过 GPU。第二算法,称为 Cuckaroo29,是一种内存密集型的 AR PoW 算法。然而,真正保证 ASIC 抗性的唯一方法是有计划的进行硬分叉,不断调整算法(类似 Monero 的做法),使已生成的 ASIC 作废。 Grin 将每六个月执行一次这样的硬分支来调整算法,以抑制对该 AR 算法生产 ASIC 的积极性,直到该算法在两年内逐步淘汰。
加密社区里的一些成员非常关注 Cuckoo Cycle 中 PoW 算法的稳定性。 John Tromp 在 2014 年首次提出了这个概念,并在短时间内进行了多次修订,因为研究人员找到了优化算法的方法。 Cuckoo Cycle 基于一个 NP 完全的图论问题,一个令人担忧问题是,如果某个矿工通过优化 Cuckoo Cycle 算法获得比网络中其他矿工更大的算力,那么挖矿收益将无法公平分配。John Tromp 认为,这类优化算法获得的相对优势可能会随着迁移到更大的图而增加。但如果社区的其他成员对算法做相同的优化,这种优势就会消失。
一开始,Grin90% 的块用第二算法挖掘,10% 的块用主算法挖掘。两年后,100% 的区块将使用主算法进行挖掘。在未来两年,Cuckatoo31+将获得更大比例的区块奖励,每月线性增长 3.75%。Grin 社区希望,到 Cuckatoo31+占 100% 的矿业份额时,将有来自多个 ASIC 制造商生产出 ASIC 矿机,从而引导有序健康的竞争。Grin 基于最近 60 个区块的窗口对挖矿难度进行调整。
[1] 原作者注:Leo Zhang 说「2014 年,当 ASIC 矿工首次商业化时,由于 RAM 成本较高,使用内存硬算法抵制 ASIC 的策略是有道理的。但在过去几年中,RAM 成本的急剧下降使 ASIC 设计人员能够以越来越低的成本为这些网络制造机器。内存瓶颈算法无法无限期地保留 ASIC。」
GRIN 矿池
根据 miningpoolstats.com 的数据显示,Cuckaroo29 上有 15 个矿池,Cuckatoo31+上有 11 个矿池。在撰写本文时,前两名的矿池 (Sparkpool 和 F2pool) 的算力之和占 Cuckaroo29 的 82%,占 Cuckatoo31+的 68%。Sparkpool 和 F2pool 都向 Grin 的开发者基金和普通基金提供了捐款。虽然算力似乎集中在了矿池中,但矿池是由许多矿工参与者组成的,这些矿工可以选择随时离开矿池,并随意将其算力切换到其他矿池。
第三大矿池是 GrinMint,是 BlockCypher 于 2018 年 9 月首次推出的矿池,2019 年 1 月在主网上推出 .BlockCypher 收取 2.5%的费用,并表示将向 Grin 开发者社区捐赠 0.5%。 BlockCypher 还有一名全职开发人员致力于 Grin (Quentin Le Sceller)。其他回馈 Grin 社区的矿池包括 MimbleWimble Grin Pool 和 grin-pool.org。
对 Grin 的批评之一是,当 Grin 上线时,一些投资人投资挖矿并控制了大量的算力。这些投资人本来应该是通过买币投资 Grin,即是市场的买方。但由于这些投资人通过挖矿获得了 Grin,并在市场中卖出 Grin 获利,这些投资人反倒成了市场的卖方。当矿池挖出区块并获得挖矿奖励时,他们必须立即出售币,因为他们要用比特币支付给矿工 (译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
货币政策
Grin 具有线性的增发率,并且将以每分钟 60 Grin (每秒一 Grin)的速度增发 - 其供应量故意被设计成没有上限。而比特币的上限为 2100 万,并且具有通缩发行计划,比特币的块奖励每四年减半,直到接近零。因为比特币的发行模型使得其价值会算时间增加,所以比特币模型鼓励持有硬币。这使比特币成为价值存储工具(SoV)。
Grin 的早期通货膨胀率极高,但当有数百万枚 Grin 币流通时,随着时间的推移通货膨胀率将趋近于零,虽然它永远不会达到零。在实践中,通胀率需要在 10 年后才能降至 10%以下,25 年后才会降至 4%(与 2018 年比特币相同)。通胀率将需要 50 年才能降至 2%以下。然而,实际上,Grin 团队认为,当考虑到存在因为私钥丢失而造成的丢失的币时,通货膨胀将会比上述预想的低。根据团队的说法,每年丢失的币可能高达总供应量的 2%,在计算通货膨胀率时应该将这部分排除。永久性发行被视为缓解币丢失的影响的潜在解决方案。
永久通货膨胀背后的另一个原因是:(1)通胀模型比通缩模型更公平,通缩模型对于越早挖矿的矿工越有益,而通胀模型不会。(2)如果预计明天的币价与今天的相似,那么它有更大的机会被用作交换媒介(MoE),而这就恰恰是 Grin 项目所希望的。短期至中期的高通胀会激励消费而非储存,因为币会被显着的稀释。社区还认为,花钱的动力可能有助于更广泛地分发数字币。
此外,永久性发行可以防止 Grin 最终只能完全依赖交易的手续费来确保网络安全 - 这正是比特币社区正在讨论 / 面临的挑战。一旦比特币的发行量接近零,网络将不得不过渡到仅仅依赖交易费用奖励为保护比特币安全的矿工。仅依赖交易费奖励矿工是区块链的一种新的经济模式,但仍多存在许多问题:每个区块需要多少交易,每笔交易的最低费用是什么,以及如何解决与第二层方案(例如闪电网络)中致力于降低网络费的行为之间的矛盾。
来源 : grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者因为 Grin 没有上限的线性发行计划而批判 Grin,并因为高通胀率降低了数字币作为价值存储的购买力。然而,Grin 的开发者故意设计了这样的通胀率,其目的是鼓励消费、抵消丢失币的影响、确保 Grin 网络始终可以给矿工支付挖矿奖励以维护区块链安全。高通胀的一个不利之处是,与早期比特币相似,挖矿奖励在目前在总供给量中占了相当大的比例。这可能会对 Grin 币的价值产生负面影响,因为矿池出售 Grin 以换取比特币支付给矿工。
(译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
治理
Grin 的莱恩伯格(Lehnberg)说:「治理是关于如何做出在参与者 (参与决策的人) 和利益相关者 (受决策影响的人) 的角度看起来都合理的决策的过程。」 Grin 没有明确的治理流程,但对于没有结论的讨论是透明的且对社区完全开放。
Grin 有一个技术委员会负责管理 Grin 普通基金(Grin General Fund)并指导项目的开发。委员会成员包括 Ignotus Peverell, Antioch Peverell, Hashmap, Jaspervdm, Lehnberg, Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner)和 John Tromp。任何人都可以参与治理会有和开发者会议以及讨论,但是最活跃的贡献者通常还会发挥更大的作用。
技术委员会每两周举行一次管理会议和一次开发者会议,主题包括 ASIC 抗性,筹集和指导资金,重大缺陷和错误,安全审计,交换集成,硬分叉等。 Grin 还会在会议前后在 Github 上发布议程,笔记和会议记录。在 grin-forum 上还有一个管理部分,那上面上有一些主题一致的帖子,表明社区正在积极思考如何从长远来进行管理。
技术委员会主导的管理和开发过程使社区能够在早期快速灵活地运行,以避免减慢项目进程。然而,随着 Grin 的成长和成熟,人们一直在讨论如何建立一个更加结构化的管理流程并进行制衡。委员会成员和捐助者明确表示,有必要实施一个更正式的程序,来确立:
为社区提供一种更结构化的方式来交流关于管理和开发主题的反馈。
设置委员会的权限范围以及社区为委员会成员提供意见的规则。
所有利益相关者都有机会发表意见。利益相关者包括核心开发者,一次性贡献者,矿工,用户,投资者,交易所等。
该委员会的缺点是增加了项目的中心化程度。从长远来看,一个非官方的委员会可能是危险的。一个例子是 Burst PoCC,它具有与 Grin 技术委员会类似的功能。有一天,他们对社区感到不满并意外退出,但仍然可以访问项目代码库,管理 DNS 域名等等。他们还采取了额外的恶意行为,例如欺骗矿池和过早抛售 Burst,最终损害了 Burst 区块链。
资金
Grin 是一个完全基于捐赠的开源项目。虽然它的公平的数字币分配机制受到了称赞——没有 ICO、没有预挖、没有创始人奖励,但缺点是开发进展缓慢。Grin 的安全审计、市场营销、网站开发、运营活动等都依靠无偿的兼职志愿者和对核心开发者基金的捐赠。
正如 Tushar Jain 所指出的那样,「如果没有资本的促进,开发进度将被推迟。」这是 Grin 社区也认可的事实。在 Grin 普通基金的页面上,他们说,「现实情况是,有了资金支持,对 Grin 项目将会有很大帮助。这将使 Grin 能够更快,更可靠地发挥其潜力,拥有更好的基础设施支持,并且与资金充足的区块链项目竞争(或共存)的可能性会更大。」
Grin 社区于 2016 年开始开发 Grin,并于 2019 年 1 月才主网上线。同一时期,Beam 是 MimbleWimble 协议的另一个实现(下文将进一步详细讨论),是由一家获得风险投资者的私营公司开发的项目。他们从 2018 年初开始启动该项目,并于 Grin 主网上线前一周实现主网上线。
此外,Yeastplume (Michael Cordner),社区的核心开发人员和主要成员,在最初在筹集个人研发赞助资金时遇到了困难,无法将全部精力投入 Grin。只有在 Ignotus Peverell 在对 Yeastplume 的募资活动远未获得 (5.5 万欧元)10% 的资金表示失望之后,募资活动的捐款才开始上升。自那以后,它已经超额完成了募资目标,在撰写本文时筹集了 66,580 欧元。可以在 Grin 名人堂中查看完整的捐赠者名单。
依靠捐赠可能在短期内会奏效。然而,为了保持发展并吸引人才进入网络,Grin 将不得不重新考虑其融资模式,因为它面临着于那些资金充足并付费的项目日益激烈的竞争。在这个关于开发者激励政策的明确表达中,纳撒尼尔·惠特莫尔 (Nathaniel Whittemore) 提出了另一种全新的面向商业的激励模式,即(1)提供足够的激励来吸引顶尖人才加入项目,(2)同时继续为核心开发路线图做出贡献。即保证项目在既定路线图的规划下,使用经济措施鼓励更多优秀人才贡献力量。
用户体验
如上所述,MimbleWimble 是没有地址的。因此,交易的发起方和接收方必须传递消息 (称为「交易石板」),基于交互式通信进行币的转让。有多种方法可以标准化的传递 JSON 消息。一种方法是基于文件的传输,其中文件包含纯文本格式的 JSON 消息,可以通过多种方式传输文本 (电子邮件、Telegram、Keybase、业余无线电、信鸽等)。另一种方法是基于 HTTP URL 的方法,其中 API 接口接受文本格式的原始 JSON。
一组名为 vault713 的第三方开发人员正致力于使 Grin 可以更加实用并被广泛的使用。他们的第一个项目是一个名为 Grinbox 的交互协议。 Grinbox 是一种消息中继服务(message relaying service),当与 wallet713 一起使用时可以简化交易处理过程,wallet713 是目前在 Linux 上运行的 vault713 的 grin 钱包的核心分支。Grinbox 和 wallet713 旨在改善 Grin 的发送和存储过程。
第一步,Grinbox 允许参与者创建公开的地址用以发送 / 接收资金,这样他们就不必公开他们自己的 IP 地址。 wallet713 还允许用户将联系人姓名链接到他们计算机上的本地存储地址。此外,wallet713 允许异步交易构建。 vault713 还致力于添加更多增强隐私和可用性的功能,例如多重签名支持,BTC 和 Grin 之间的原子交换,在交易进入未经确认的内存池、移动 /web/ 桌面 GUI 等之前,与其他 wallet713 用户一同进行钱包层面的混币。
随着项目的成熟并吸引到更多人才,将出现更多利用不同通信信道创建交易可选方法。这可能包括利用 NFC,QR,蓝牙等的近场通信技术创建交易的方法。最终,用户选择一个方便且易于理解解决方案作为主要的交易通信方式。但是到达那一步还需要一些时间,还有待观察哪种方法可以成为标准。
Grin 只有几个月的历史,而且就目前而言,该项目适合精通技术的用户投入时间和精力来了解它的工作原理。虽然社区开始通过 grinbox 和 wallet713 等工作解决用户体验方面的问题,但要使非技术用户能舒适的在网络上进行交易还需要时间进行迭代和教育。
结论
Grin 是一个最初引起密码学朋克和无政府加密主义者注意的项目,但 Grin 与比特币相似的思想引起了许多人的注意。也就是说,Grin 因其匿名领导者、基于捐赠和草根的资助模式、专注于隐私和去中心、以及其社区非常关注对项目的推进而不是快速赚钱而受到赞扬。
但是 Grin 主网上线 Grin 只是第一步。要想让 Grin 获得长期成功并被广泛采用,还有很多工作要做。需要解决的关键挑战包括更可靠的筹资方式、更直观的用户体验以吸引更多用户使用 Grin,以及研究如何解决系统中的隐私漏洞 (即观察节点创建交易图的能力)。
核心团队表示,其主要关注点仍然是稳定性,性能以及安全性。通过第三方开发团队将 Grin 集成到他们的服务和产品中来培育一个健康的生态系统,这对提高使用率也是至关重要的。这并不一定需要 Grin 的核心开发人员来完成。相反,这些挑战可以在 Grin 区块链周围出现第三方开发人员生态系统时解决。
Grin 仍然是一个非常新的项目,它开创了全新的未经测试的想法,加密概念和技术。如果 Grin 能够应对关键挑战,那么它有可能成为将隐私重新置于个人手中的一种方式。
BEAM
Beam 是由一家总部位于以色列的 VC 支持的创业公司,于 2019 年 1 月 3 日推出了基于 MimbleWimble 协议的以隐私为重点的同名加密货币。它于 2018 年 3 月开始使用 C ++开发,并于 2018 年 9 月推出了测试网络。虽然 Beam 和 Grin 的相似之处在于它们都是 MimbleWimble 的实现,旨在为用户提供隐私增强功能,但它们的路径各不相同。与 Grin 不同,Beam 是一家私营公司,雇用开发人员来实施。 Beam 是从闭源开始,但后来开源了。 Beam 的另一个相比于 Grin 的重要区别是 Beam 提供了针对企业和监管机构的可选审计功能。
货币政策:Beam 的供应计划是通货紧缩型的,在第一年之后区块奖励下降 50%,之后每四年就会减少一半,直到达到 2.63 亿的硬性上限。此外,Beam 挖矿产出的 20% 将作为开发税进入 Beam Treasury 基金,用于并为 Beam 的未来开发提供资金。
挖矿算法:Beam 使用 Equihash 的修改版本(一种工作量证明挖掘算法)来提供网络共识。为了确保去中心化,Beam 将通过定期调整其算法使得 Beam 在前 12-18 个月保持 ASIC 抗性。
管理:Beam 目前由一家 VC 支持的创业公司运营,由付薪雇员组成。长期目标是完全将管理移交给管理 Beam Treasury 基金、维护区块链的非营利基金会。
功能:Beam 正在添加一个可审计的功能,这样企业就可以在不损害隐私性的情况下证明其合规性并提供交易的可预见性。Beam 开发人员还在探索一个安全的 BBS 系统,该系统将支持非交互式离线交易。
挑战:不断改进 PoW 协议是一项艰巨的任务,避免 ASIC 挖矿将使网络整体算力保持在较低水平,这也使得攻击网络的成本相对较低。此外,Beam 目前的运营和管理结构是中心化的,转向更去中心化的模式将需要避免所有投资方之间的权力斗争。
挖掘算法
Beam 使用 Equihash 算法,这是由卢森堡大学的 Alex Biryukov 和 Dmitry Khovratovich 创建的工作量证明算法。 Equihash 是一种基于广义生日问题的非对称内存密集型算法。 Equihash 的另一个关键属性是挖矿是随机的,这意味着生成 PoW 解的可能性与过去是否的成功挖矿是不相关。 Equihash 有两个可以调整的参数:n (bit 位宽)和 k (长度),它们决定了底层问题的复杂性,从而决定了算法的内存和时间复杂度。Beam 使用 Equihash 参数 n = 115 和 k = 5。
Equihash 在某种意义上是不对称的,因为它需要大量的内存来生成一个证明,但它不需要大量的内存来验证它。这是 Equihash 的一个重要特性,因为大多数其他内存密集型算法都是对称的,也就是说,验证与生成一个证明一样困难。内存密集型指的是生成一个证明所花费的时间与内存成正比,而不是与 CPU 计算能力成比例。如果使用更少的内存,Equihash 会不成比例地大大增加对计算能力的需求。
最初,内存是一种昂贵的资源,因此不假设 ASIC 比常规 CPU 和 GPU 更容易做出内存优化。另一方面,ASIC 与 GPU 相比提供了显著的带宽改进,而 GPU 又比 CPU 提供了显著的带宽改进。由于芯片设计技术的改进,为内存优化的 ASIC 矿机的成本不再像过去预期的那么高。
Zcash 是一个专注于以隐私性的加密货币,也使用 Equihash 算法。最初选择了 Equihash 是因为它被认为是 ASIC 抗性的。然而,在 2018 年,比特大陆发布了 Antminer Z9 mini 矿机,这个矿机通过降低 SRAM 的成本获得比通用硬件(CPU、GPU)更高的挖矿效率。在 Beam 的 Equihash 算法帖子中,他们强调「卢森堡大学的研究人员发现,截至 2018 年 5 月,20%-30%的 Equihash 是由 ASIC 矿机挖出的。」
Beam 表示,它们已经特别设置了 Equihash 参数,以便在短期内为 CPU 和 GPU 为矿工提供优于 ASIC 的优势,从而使币的初始分发更加广泛。然而,它认识到 ASIC 是不可避免的,甚至是在长期看是有用的,因为 ASIC 是一项成本可控的投资,并且增加了全网算力,从而使得区块链更安全且更难被攻击。
货币政策和资金
Beam 的货币政策类似于比特币。它的特点是规定了一个硬顶和通缩发行计划,并使用常规的区块奖励减半方法(每个区块的挖出的币数量下降 50%),直到通货膨胀率达到零。因此,这个初创公司是希望将 Beam 用作价值储存(SoV),而不是像 Grin 那样的交换媒介(MoE)。不过,其与比特币的相似性就到此为止了。与特别币不同的是:1. Beam 在第一年的挖矿奖励更多;2. 前 5 年的挖矿产出中部分归于项目创始人团队;3. Beam 每分钟一个块(比特币每 10 分钟一个块)。
在第一年,一个区块奖励将是 100Beam,高于之后的奖励,以激励矿工尽早加入网络并将 Beam 引入市场。头五年中 20% 的挖矿产出将给与创始人团队。所以第一年挖出的每个区块的 100 Beam 中 80 Beam 将支付给矿工,20Beam 将支付给 Beam 财富基金。在第 2 到第 5 年,区块奖励将下降 50%,变为 50 个 Beam,其中 40 个 Beam 支付给矿工,10 个 Beam 支付给 Beam 财富基金。在第 6 年,区块奖励将再次下降 50% 至 25 Beam,且所有奖励都将支付给矿工,并在未来改为每 4 年减半一次,直到第 129 年。区块奖励将在第 133 年停止,届时 Beam 预计的总供应量约为 2.63 亿。
来源 :medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam 采用了创始人奖励机制(Founders Reward),也称为开发税(Dev Tax),以回报投资者并为正在进行的协议和工具开发提供经济支持。创始人奖励费用是编写在区块链协议中的代码里,该协议在矿工和创始团队的已知地址之间的自动分配区块奖励
这种方法明显与 ICO 或预挖等不同,正如 Dash 所见,它以大量的流动资金来补偿加密资产的创始人。虽然 ICO 和预挖都是早期团队成员所希望的,但这类薪酬设计往往缺乏有效的资金监管和退出时间表。因此,在短期利益驱使下,挪用资金并跑路的骗局相当普遍。
「创始人奖励」的目的是随着项目的发展逐步补偿创始人。因此,最初的利益相关者更有动力去协调资源维护网络的长期成功。此外,奖励制度被纳入区块链协议,Arjun Balaji 指出:这种机制提供了固定资金分配比例带来的资金透明度,也为通过软或硬分叉修改现有分配方法提供可行性。
该创始人激励结构最初是由 Electric Coin Company(前身为 Zcash Company) 设计并推广的。这家公司是专注于隐私的加密货币 Zcash 的背后的开发和维护企业。起初,Zcash 矿工只能获得区块奖励的 80%。剩下的 20% 将分配给 Zcash 基金会 (一个支持 Zcash 开发的独立非盈利组织)、数字币公司以及早期的 Zcash 开发人员和顾问。在头四年之后,创始人奖金被预先设定为零,以确保在 2100 万美元的上限达到之前,所有新发行的 Zcash 将 100% 归矿工所有。
Beam 资金模型与 Zcash 的资金模式相似,在早期阶段其支付给 Beam 财富基金,创始人费用比例为 20%。与 Zcash 历时 4 年的创始人奖励不同,Beam 创始人奖励历时 5 年,包括第一年区块奖励为 100 Beam 的时候。在这五年结束时,累计有超过 3150 万的 Beam 被送给 Beam 财富基金。计划将基金中 35%的资金分配给早期投资者,另外 45%的资金补偿给核心团队成员和顾问,剩余的 20%将用于支持 Beam 主权货币基金会。这是该项目维护和管理的长期解决方案。
来源 : medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖金,Beam 还从包括 Recruit Co. LTD、Yeoman 's Capital 和 Node Capital 在内的各种风险投资基金中筹集了至少 500 万美元,用于聘请全职开发人员来推进开发。这些投资者将定期从创始人奖金中获得 Beam 以回报其早期投资。
Beam 的核心团队和早期投资者都认识到,更加中心化的推动项目可以加速产品研发、尽量避免在基于社区运营的项目中经常出现的项目延期的情况。因此,Beam 选择了这种更加中心化的管理方法来启动项目并度过项目的初始阶段。随着 Beam 的不断成熟,其目标是实现更加去中化的激励和管理结构,将区块奖励交给矿工,并将项目控制权交给社区。
不利的一面是,同时也是对 Beam 的批评之一,Beam 并没有让所有投资者都能平等参与。在主网上上线之前就从投资者那里筹集资金,或者将一部分资金投入专门的集团 (即 ICO、创始人奖励、预挖),这些都可能导致币的分配不公平。
与之相对的是与比特币和 Grin 类似的产品,在这些产品中,加密资产只能通过传统的 PoW 挖矿获得。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络挖出新的比特币或 Grin。这样的发行方式往往会在区块链网络用户之间更为公平。
继续阅读:Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
查看全部
这是一篇出自著名区块链公司 circle.com 的报告。虽然本文中有些内容有一定的错误,但本文依旧是难得一见的深入浅出、全面细致介绍 MimbleWimble 协议原理与特点的好文章,同时本文也细致介绍、分析、对比了 MimbleWimble 的两个实现 Grin 和 Beam 的详细情况。矿宝为了让更多中国用户、爱好者了解 MimbleWimble 协议和 Grin、Beam 项目,将本文翻译为中文,同时在文中补充勘误了一些信息。由于时间和水平的原因,翻译难免还有不尽甚至错误之处,也欢迎读者不吝指正。
MimbleWimble
MimbleWimble 是一种增强隐私性和可扩展性的区块链协议。MimbleWimble 协议不需要存储整个区块链的所有历史数据,就可以验证区块链的所有交易的有效性 [ 1 ]。MimbelWimble 是以小说《哈利波特》中的「结舌咒」[ 2 ] 来命名的,这个咒语用于防止泄密。该协议是由一个化名 Tom Elvis Jedusor (伏地魔的法语名字)的人于 2016 年提出的,他通过洋葱头加密通讯通道(Tor LIink),在一个名叫「比特币巫师」(Bitcoin wizards)的 IRC 网络聊天室上分享了一个概述 MimbleWimble 的文本 - 然后便消失了。
译者注:
[1] 相较于比特币,用户需要下载完整的交易历史(数据量庞大)来确认交易的有效性。
[2] 结舌咒即:舌头打结的咒语,用于让对手沉默。
背景
Blockstream 的数学家 Andrew Poelstra [1] 对 WimbleMimble 协议很感兴趣,并于 2016 年 10 月,发表了一篇论文,更详细、更严谨论证了关于 MinbleWimble 协议的技术细节。MimbleWimble 是一个区块链协议,而 Grin 和 Beam 是它最先落地的两项实现。我们将在本报告中探索 MimbleWimble、Grin 以及 Beam。
来源:messari.io/onchainfx,coinmarketcap.com (截至 2019 年 3 月 3 日)
[1] Andrew Poelstra 是侧链白皮书的合作者之一。
[2] 此处数据存疑,Grin 是无限挖模式,并没有设置发行量上线,对此数据的计算依据表示质疑。
在加密社区中的许多人都在密切关注 MimbleWimble 协议,因为它首次优化了隐私性和可扩展性,它的目标是改进比特币以及其他加密货币的下述关键性问题。
完全隐私:MimbleWimble 会对未参与交易的所有第三方隐藏交易的发起者、接收者以及交易金额的信息。第三方观察者只能在一个交易中,看到一系列经过加密处理的包含交易输入、输出的整体 [1],他们可以验证这些输入都在链上,并且输出和输入的虚拟货币的总数相同。这个设定便改善了在比特币等类似系统中「任何人都可以追溯一个资金从一个地址到另一个地址的转移过程」的问题。
效率:MimbleWimble 事务验证者只需要存储交易中未耗尽的 UTXO (交易记录)。而所有其他加密货币强制矿工和第三方验证者存储区块链的整个交易历史。MimbleWimble 这样做可以节省存储空间并加快同步速度,因为随着区块链历史的不断增长,矿工们可能会被迫使用更多的硬盘资源来存储整个历史记录。
一个验证者通过:(1)核实输出与输入的总和相等;以及(2)交易中不包含负数,保证交易过程中没有试图创造新的币;来验证一个 MimbleWimble 交易的有效性。挖矿是唯一可以产生新币的方式,这也是唯一可以识别身份的交易。但是,验证者和观察者并不会知道是谁获得了挖矿的区块奖励。
MimbleWimble 的另一个重要特性,就是这里只有交易的输入和输出而没有地址或公钥。每一个 UTXO 都有一个私钥,接收者将私钥存储在他的钱包中。要发出 UTXO,发起者必须在专用的通信通道里通知接收方,并执行多轮通信以构建交易。发起者要使用他的 UTXO 私钥对这个 UTXO 进行签名认证,并将签名结果发送给接受者。
[1] 即 Mimblewimble 只验证交易前后总数的一致性,输入(input)和输出(output)即交易前后的状态。
MimbleWimle 要解决的问题
区块链是不可伪造的公开交易账本。其不可伪造性意味着用户只能发送他们曾经收到的资金——他们无法发送属于别人的资金或是凭空创造资金。比特币和类似的区块链的发送方地址、接收方地址和交易金额都是公开的,所以很容易验证发送的金额等于收到的金额、发送方的私钥地址包含发送的资金。
比特币(包括其他加密资产)的公开性对于不希望公开交易细节的人或商业活动来说是不合适的。此外,随着像 Elliptic[1] 和 Chainalysis[2] 这样的区块链大数据分析公司的崛起,研究人员可以将非法交易的输出对应起来并将其列入黑名单。币安(Biance)首席执行官曾发布推文说,他们能够在被社交媒体上报道后,冻结黑客发送给交易所的资金。然而,有些人认为这违背了货币的可替代性的原则。可替代性原则是指所有被创造的货币都是相同的,就像一美元钞票等于另一美元钞票一样,无论钞票过去经过什么样的流通活动,这个钞票与其他美元钞票都应该是一样的。
比特币和所有其他区块链要求矿工和其他验证人记录链的整个交易历史,以验证所有交易是否有效。新参与者需要下载并验证整个区块链,以验证网络的当前状态。这个设置使得想要与网络同步的新参与者需要大量空间、时间和计算资源。比特币区块链在 2019 年之前的大小约为 200GB。
[1] Elliptic: https://www.elliptic.co/(一家为加密货币公司,金融机构和政府机构提供可操作的情报的公司)
[2] Chainalysis: https://www.chainalysis.com/ (防止,检测和调查加密货币洗钱,欺诈和违规行为)
MimbleWimble 的解决方案
MimbleWimble 以巧妙的方式使用加密技术来实现不可伪造性,同时优化隐私性和可扩展性。 MimbleWimble 不是像比特币那样验证每个输出的整个历史记录,而是检查区块链上所有交易的输入的总和减去所有输出的总和为 0 以验证链(这种做法也加强了交易的一个基本属性:交易发出的金额等同于收到的金额)。MimbleWimble 综合使用保密交易 (Confidential Transactions)、混币(Coin Join)、 范围证明(Range Proof)和交易记录核销(Cut-through)技术来实现上述目标。
与比特币相似,MimbleWimble 依赖于椭圆曲线密码学和 UTXO 模型。然而,MimbleWimble 是一个更加轻量级的的版本,由于增强隐私性的要求,它牺牲了可编程性。因此,诸如闪电网络(Lightning Network)之类的时间锁定或支付渠道等更复杂和精细的功能目前还无法在 MinbleWimble 中使用 [1]。
[1] 译者注:Grin 和 Beam 都有对应的解决方案。
速成课程:UTXOS
比特币和 MimbleWimble 一样使用「未使用的交易输出」(Unspent Transaction Output UTXO)模型来计算余额。这类似于使用硬币或现金来支付商品和服务。例如,爱丽丝想买一件 30 美元的衬衫,但她有两张 20 美元的钞票。她不能只给商人一张半的钞票。相反,她给了商人两张钞票,并收到了一张 10 美元的钞票作为找零。
UTXO 模型以类似的方式运行:Alice 在之前的交易中获得了两个交易输出:1 BTC 和 0.5 BTC。现在 Alice 需要向一个商人支付 1.3 BTC。她的钱包创建了一个发送 1.5BTC 的交易,这个交易有两个输入(1BTC 和 0.5BTC)两个输出(1.3BTC 和 0.2BTC)。商户收到 1.3 个 BTC,Alice 收到 0.2 个 BTC (可以视为找零)。由于 UTXO 模型这一特性,比特币用户可以通过查询区块链浏览器,观察到他们的比特币地址经常发送出比指定数量更多的比特币。
速成课程:椭圆曲线加密
椭圆曲线有几个特性,使其可以用于复杂的加密协议。椭圆曲线的一个性质是单向函数。在椭圆曲线上取一个随机点 G,乘以一个整数 s,得到椭圆曲线上的另一个点 P=sG。然而,给定(P,G)要求出 s 的值在计算上是不可行的。这使得我们可以将(P,G)作为公钥,将 s 作为私钥。椭圆曲线的另一个特性是椭圆曲线上的计算满足一些有用的代数特性:
分配律:(a+b)G = aG+bG
结合律:a(bG)=b(aG)=(ab)G
速成课程:Pedersen 表达式(Pedersen Commitments) Pedersen 表达式是结合椭圆曲线的单向性和代数性质的密码学术语。对给定的值(x,y)计算其 Pedersen 表达式为 P=xG+yH。由于计算 s=P/G 是不可行的,所以要通过 (P,G,H) 计算出(x,y)是不可能的。另外,由于有无数的 x 和 y 的组合可以满足关系 P=xG+yH,所以即使我们知道某 1 个满足此关系的解(x,y),我们依然无法计算出满足此关系且不违反椭圆曲线单项属性的第二对(x’,y’)。
保密交易(Confidential Transaction)
默认情况下,MimbleWimble 依靠一个称为保密交易的密码学概念来实现隐私性。保密交易是由 Gregory Maxwell[1] 提出的,他从 Adam Back[2] (亚当·贝克的比特币同态加密中汲取到灵感。保密交易使用 Pedersen 表达式来隐藏 UTXO 中的交易金额。
[1] Gregory Maxwell 是 Bitstream 的比特币核心开发人员和联合创始人兼首席技术官。
[2] Adam Back (1970 年 7 月出生)是英国密码学家和加密黑客,hashcash 的发明者。
在 MimbleWimble 中,交易输入和输出通过 Pedersen 表达式计算为「P=rG + vH」。G 和 H 是椭圆曲线上的随机点,并作为区块链的公共参数公开。值 v 是 UTXO 的交易金额。r 是致盲因子,用作 UTXO 的私钥,值 rG 是对应于 r 的公钥。MimbleWimble 使用 Pedersen 表达式使敏感交易信息模糊,替代明文交易金额。Pedersen 表达式允许使用基本算法来验证交易。
举个例子,我们有两个输入和一个输出。我们提供交易金额(v)和致盲因子(r),同时将 G 和 H 作为公开参数。
交易内核(Transaction Kernel)
上述保密交易的问题在于,它们需要输入和输出的 UTXO 使用相同的致盲因子,即接收者的私钥。如果发送者知道了接收者的致盲因子的值,她就可以窃取接收者输出的 UTXO。而 MimbleWimble 使用零知识证明 (zero-knowledge) 克服了这个问题。
举一个简单的例子:某交易发送的交易金额为 5。发送者有一个 UTXO 作为交易的输入,由 Pedersen 表达式计算交易的输入为 X=45G+5H,其中 5 是交易金额 (v),45 是致盲因子(r),也就发送方的私钥。接收方选择一个随机盲因子 7 并创建一个 UTXO,由 Pedersen 表达式计算为 Y=7G+5H。验证者将交易输入减去输出得到:
X-Y=(45G+5H)-(7G+5H)=38G
MimbleWimble 将值 38 称为超额或内核,并将值 X-Y = 38G 称之为交易内核(译者注:准确的说公钥 rG 只是交易内核的一部分,交易内核还包括用 r 做私钥对交易做的签名,见下述译者补充)。对于一个有效的交易,交易内核始终为 X-Y = rG + 0H,其中 r 是某个整数。即使交易里有多个输入和多个输出也是始终如此。如果输入值的总和等于输出值的总和,则 H 系数将恒为零。有效的交易内核始终采用公钥的形式。发起人和接收方都知道对应私钥的一部分(45 和 7)。 MimbleWimble 协议要求交易双方使用他们的致盲因子进行多重签名来签署交易,内核(45-7=38)就是交易参与者的多重签名私钥。(译者补充:交易双方使用内核作为私钥对交易进行签名,验证者首先计算 X-Y,如果 X-Y 是一个合法的交易,那么 X-Y 的结果应该等于交易签名公钥 rG,验证者再用 rG 做公钥验证交易签名的有效性,如果验证通过说明交易是合法的,也就是 H 的系数为 0。准确的说,交易内核包括了交易的公钥 rG、使用 r 做私钥对交易的签名以及交易手续费。MinbelWimble 区块链上主要记录信息就是对交易的输入和输出的 Pedersen 表达式计算结果 X 和 Y 以及交易内核。)
范围证明(RANGE PROOFS)
MimbleWimble 协议要求交易金额必须为正数,因此用户无法凭空创造出货币。正如我们所提到的,唯一可以创造币的交易类型是挖矿。 范围证明是一种加密技术,对于某一 Pedersen 表达式 X,通过范围证明技术可以证明给定一对整数(r,min <v <max)满足 X = rG + vH。MimbleWimble 的实现(Grin 和 Beam)使用范围证明来证明交易金额 v 大于零且没有溢出。MimbleWimble 使用最近使用的子弹证明技术(Bulletproofs)是一种仅消耗约 700-5000 字节的范围证明技术。
没有地址
正如我们提到的,MimbleWimble 不使用地址。不使用地址的主要动机是为了增强区块链的隐私性和防止地址膨胀问题。在基于 MimbleWimble 的区块链中,用户必须进行链外的通信来创建交易。使用通信信道,交易发起方向接收方证明其持有交易所需的数字币金额,并向接收方转移这些数字币的控制权。因为没有公开的地址,所以也没有「标准」通信方式来完成交易。因此,交易双方需要建立通信信道,从而发送数字币持有证明及转移数字币控制权。这与比特币(以及大多数其他区块链)非常不同,比特币可以在没有交易接收方参与的情况下完成交易。
混币技术(Coin Join)
混币技术是一种降低数据公开性的方法。 混币将多个交易组合成单个大型交易的方法,这使得很难区分哪些交易输入是对应哪些交易输出。混币技术已在 JoinMarket,ShufflePuff,DarkWallet,SharedCoin,Wasabi,Samourai 等项目中使用。基于钱包的混币技术的缺点是用户必须主动选择使用该功能。这降低了它的有效性,因为用户要么就不知道这一功能,要么就是由于麻烦而不使用该功能,这些都导致参与混币交易的交易数量不足对于混币技术而言,参与混淆的交易的数量太少就不能有效地隐藏交易的发送地址和接收地址。此外,参与混币的用户之间必须进行通信以创建混币交易,因为每个交易发送方都必须对最终组合起来的整个交易进行签名。
在 MimbleWimble 中,用户无需选择混币功能,这是 MimbleWimble 的默认功能。一个区块中不再记录单独的各个交易。相反,它看起来像一个大型的组合起来的交易。图 1 是要包含在下一个区块·中 2 笔摸交易集的示意图。在图 2 中,MimbleWimble 在类似于混币的过程中将两笔交易连接在一起,这样剩下的就是单个交易,它组合了 2 个交易所有输入和所有输出。
交易记录核销 (Cut-through)
保密交易比常规交易需要更大的存储空间。根据 Aaron Van Wirdum[1] 的说法,保密交易比非保密交易所需要的存储空间大 20 倍,计算资源大 30 倍。 MimbleWimble 使用一种名为交易记录核销的技术来解决这一挑战进而提高效率。
[1] Aaron Van Wirdum:BitcoinMagazine 技术编辑
正如我们上面提到的,下载完整的比特币区块链需要占用近 200GB 的空间,并且其正在不断增长。如果比特币上的所有交易都是像 MimbleWimble 这样的保密交易,那么区块链的大小将会大几个数量级。
MimbleWimble 使用称为交易记录核销的过程来删除冗余的交易输出以释放块内的空间并减少需要存储在区块链中的数据量,同时保持相同的安全性。冗余输出的特点是这些输出会在同一区块被作为输入使用。通过 Andrew Poelstra 演讲编制的图表可以很好地说明这一点。
在图 3 中,可以看到的某交易的青色输出在同一区块中后来又被作为某交易的输入,所以可以从区块中删除这笔冗余的输入和输出,以减少必须记录的数据。虽然 MimbleWimble 冗余的交易输出,但它保留了这些交易的交易内核。
MimbleWimble 在在区块内的微观层面和整体数据的宏观层面都使用交易核销技术,从在区块链上的信息只有:区块链首部信息(block header)、UTXO 和交易内核。节点可以使用这些关键数据来验证区块链。从而使得如果一个区块内核销掉的交易输出比这个区块内新增的交易输出多,则区块链的大小会缩小。从理论上讲,这将使得验证区块链所需的数据量会随时间发展越来越小。
Grin 作为 MimbleWimble 的第一个实现,认为 MimbleWimble 节点的数据量大小相比比特币会大大减少,「相比数 GB 大小的比特币区块链节点,Grin 节点大小可以做到数量级的优化,甚至到仅有几百 M 字节」按照 Grin 的描述,假设有 1000 万笔交易伴随着 100 万个 UTXOs,没有交易核销的区块链总大小约为 130GB,其中交易数据为 128GB、交易证明数据为 1GB,块头为 250MB。经过核销,区块链的总大小可以降至 1.8GB,包括 1GB 的输出数据,520MB 的 UTXO (译者注此处应该为交易内核或交易证明数据)和 250MB 的块头。 而 Beam 认为,当它达到与比特币相同的规模时,其区块链大小可能是比特币的 30%。
蒲公英技术(Dandelion)
对于 MimbleWimble 的隐私性而言,最大的威胁是区块链节点可以在打包并广播交易记录前记录交易的信息。在核销之前,交易输出在要在节点本地内存池(mempool)(未经验证的交易池)中保存一些时间。这使得恶意节点可以在构建交易图(transaction graph)并可能发现发送方的 IP 地址。
蒲公英技术不是 MimbleWimble 的一部分,而是 Grin 和 Beam 在实现时补充的功能。蒲公英试图降低恶意节点创建交易图的机会,方法是「在交易被确认之前先悄悄地在网络中转发它,从而延迟交易在网络上出现的时间」(Andreas Antonopoulos[1])。
通常,当有人向区块链发起交易时,交易信息会向所有的区块链节点广播。蒲公英将交易的广播划分为两个阶段,从「阀杆(stem)」或「匿名(anonymity)」阶段开始,在这一阶段,交易信息将其被随机广播到某一个节点,然后再由这个节点将交易信息发送到另一个随机挑选的节点,依此类推,直到收到交易信息的节点数目满足一定要求,则进入第二阶段。第二阶段称为绒毛阶段(fluff phase),在这一阶段交易信息会被广播到所有的节点。这样做可以防止观察节点将交易映射回原始地址。一种蒲公英技术的改进(Dandelion++)使得创建交易图变得更加困难。
在 MimbleWimble 中,交易也可以在匿名阶段之前进行混币,从而使将交易输入与交易映射关联更加困难。 Beam 通过增加占位空输出使得在没有足够的输出也可以进行上述混币操作。。
蒲公英技术的一个问题是,在匿名阶段,如果交易被传递到某一随机节点后,这个节点掉线,那么这笔交易将永远不会被传播到区块链网络。Grin 和 Beam 解决了这一问题——如果某交易没有在合理的时间内达到「绒毛阶段(fluff phase)」,则这个交易将被自动广播到更广泛的网络中。
[1] Andreas M. Antonopoulos (生于 1972 年)希腊 - 英国,比特币的拥护者。
无脚本脚本(Scriptless scripts)
MimbleWimble 不支持交易脚本,而交易脚本是大多数区块链的重要特征。脚本是嵌入在交易中以支持基本智能合约功能的代码。 没有它,MimbleWimble 就不能支持条件交易(conditional transaction),时间锁,状态通道(例如闪电网络),跨链原子交换等。这是不可链接交易和交易核销的代价。验证者无法检查是否满足智能合约条件,因为相关的 UTXO 及其条件可能已经被删除。
当于 2016 年 8 月,第一份 MimbleWimble 论文发布时,无法支持条件交易似乎是使用 MimbleWimble 的一个限制。然而,Andrew Poelstra 发现了一种通过使用无脚本脚本的方式实现智能合约的简单方法。无脚本脚本基于这样的想法:利用施诺尔签名技术(Schnorr signatures)支持无脚本脚本功能,区块链验证者如果需要知道链外发生的条件元素,只需检查签名是否存在且正确。
具体而言,交易的参与者可以通过组合其各自的签名的私钥来创建多重施诺尔签名,从而生成交互式的签名,该签名是提交给节点并由节点验证的唯一数据。
Aaron Van Wirdum 提供了一个很好的解释,便于我们理解。他举了一个想要收听艺术家歌曲的网络用户的例子。艺术家和用户需要将他们组合的施诺尔签名提交到区块链,以验证条件交易。拥有该歌曲版权的艺术家掌握对于这个歌曲加密的密钥,设为 7000,获得这个密钥就可以收听歌曲。这个艺术家掌握的一半的施诺尔签名是 8000。艺术家可以通过将她的签名(8000)减去歌曲的密钥(7000)来创建一个施诺尔「适配器签名(adaptor signature)」,1000。然后,艺术家把这个适配器签名发给用户。用户使用密码学技术验证确认 1000 是等于艺术家的施诺尔签名减去减去歌曲密钥的结果。然后用户也做施诺尔签名并向艺术家发送该签名,假设签名是 5000。艺术家将两部分施诺尔签名组合(8000 + 5000 = 13000)并提交到区块链上。这时用户获得组合后的签名 13000,并可以计算出艺术家的签名是 13000-5000=8000。最后用户通过计算 8000-1000=7000 获得了歌曲的加密密钥,从而可以收听歌曲。
这一切都发生在链外,这样除了艺术家和用户没有人会发现其中的步骤。区块链验证者唯一看到的内容是一个 13000 的施诺尔签名组合。适配器签名只被艺术家和用户掌握,对于第三方保密的。除了「结算交易」之外,区块链上没有任何交易记录内容。可以通过添加支持施诺尔签名的新操作码(Opcode)来实现无脚本脚本。 Grin 和 Beam 正在实现无脚本脚本,但是暂时没有这个功能何时上线的确切时间表。
基于无脚本脚本有可能实现机密资产(confidential assets),跨链原子交换和第二层扩展解决方案,比如在 MimbleWimble 区块链生态中使用闪电网络。无脚本脚本不一定要在 MimbleWimble 上实现,甚至可能会扩展到其他区块链生态上。
结论
MimbleWimble 基于经过严格证明的密码学技术。其中一些技术已在经同行评审的密码学期刊上发表,其他一些技术则是发布在白皮书和技术报告中。首个 MimbleWimble 区块链生态项目 Grin 和 Beam 最近才推出。虽然 MimbleWimble 是一种新的实验性技术,但它具有有显著提高隐私性和可扩展性的优势,虽然目前它的用户体验还不够好,且也没有彻底完全解决某些隐私方面的挑战。还需要进行大量的测试和迭代才能在大规模开放的区块链生态上实现高效的隐私交易。目前,这个看似难以理解的概念,在实践中可能会还会遇到意想不到的问题。
在用户体验方面,目前 MimbleWimble 没有地址和交易各方需要进行交互通信并且在线(虽然不一定同时)来签署并完成交易。这一要求与现有的加密货币相比很不一样,对于用户使用造成一些困扰。
从隐私性角度,矿工可以在混币和交易核销之前查看内存池(mempool)中的交易。因此,恶意观察节点就可以构建详细的交易图,从而对隐私性构成威胁,这直接挑战了 MimbleWimble 的隐私性这一核心价值主张。尽管有蒲公英技术和虚拟 UTXO 这样的潜在技术解决方案,但它们在实践中还有待完善。
其他隐私币解决方案
MimbleWimble 不是第一个或唯一一个区块链隐私币方案。对所有可用的隐私币解决方案进行全面而深思熟虑的讨论超出了本报告的范围,这里讨论其他可供选择的替代方案以供读者了解。这些包括但不限于其他区块链协议和在底层实现隐私性的币种(Zcash,Monero),通过第二层网络实现隐私解决方案(Blockstream 侧链)和通过交易层实现的隐私方案(例如通过像 Samourai 和 Wasabi 这样的钱包)。
隐私币
在 Grin 和 Beam 之前推出的两个隐私币是 Zcash 和 Monero,这些币在协议层实现了隐私性。Monero 是一款基于 CryptoNote 协议的隐私币,Monero 的一个关键优势是默认情况下即启用隐私功能,它隐藏发送方和接收地址以及交易金额。 Monero 使用环保密交易(Ring Confidential Transactions)和隐形地址来实现隐私性。环签名算法在交易中添加「诱饵」信息从而避免暴露真实的签名信息,进行有效地混淆交易信息。 Monero 的主要缺点是,即使使用子弹证明技术(Bulletproofs)大大减少了存储空间,其数据存储规模仍是比特币的十倍。
Zcash 是基于 Zerocash 协议设计的数字币, Zcash 使用地址加壳技术来隐藏交易方的地址并使用 zk-snarks (一种零知识证明)来隐藏交易金额。与 Monero 以及基于 MimbleWimble 协议的 Grin 和 Beam 不同,Zcash 不会在默认情况下启用隐私功能。在 Zcash 的 Sapling 更新之前,创建一个保密交易的计算量很大且非常耗时,这阻碍了用户的使用隐私功能。经过 Sapling 更新,对地址加壳所需的内存和时间已经减少,这某种程度上会鼓励用户使用保密交易功能。可选的隐私功能的另一个缺点是当用户选择使用加密交易信息时,这一行为可能会被视为可疑行为。Zcash 的另一个缺点是其可信设置(trusted setup)。虽然 Zooko Wilcox[1] 表示打破可信的设置不会影响隐私性,但 Peter Todd (比特币研究员)在某次与一个 zk-snaks 的开发人员的会谈中表示他不同意 Zooko 的看法。
[1] Zooko Wilcox-O'Hearn,左科·威尔科克斯(1974 年 5 月 13 日出生于亚利桑那州凤凰城的 Bryce Wilcox),是美国科罗拉多州的计算机安全专家,cypherpunk 和 Zcash 的首席执行官。
侧链
侧链是一个独立的区块链。侧链双向链接到一个基础层区块链协议。双向链接使得来自原始基础层链上的币在通过验证后,可以以固定的速率与侧链资产进行互换。这些补充作用的侧链可以提供基础层区块链没有的新区块链的功能、扩展并共识机制,从而对基础层区块链面对的问题提供一系列解决方案,包括但不限于隐私性和可扩展性。比特币侧链公司 Blockstream 已经部署了一个这样的网络,即最近推出的 Liquid,它在默认状态下进行保密交易。Liquid 使用一个由 15 个已知节点组成的小组 (称为工作成员小组) 来验证交易并打包区块,这以牺牲去中心化为代价加快了交易速度。虽然 Liquid 的管理更加中心化,但它针对的是交易所场景下的一些特殊问题。例如支持在联盟链内的任何节点随意兑换 LBTC 这一 Liquid 的本地 Token。如果某一个独立的网络节点宕机,此时这个设计会特别有用。Liquid 的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。对 Liquid 的一个轻微批评是,它信任的一些中介机构中包括一些不受监管的、历史上有不安全记录的加密货币交易所,如 Bitfinex 和 OKCoin 等。
隐私钱包(PRIVACY WALLETS)
此外,基于钱包的一些隐私解决方案(如 Wasabi,Samourai 或 Breeze)的优势在于它们可以在比特币(或其他币种)之上实现,而无需更改底层协议。一些批评的声音包括:如果没有在较短的时间内找到匹配的交易资金,就会出现较小的匿名集或者造成交易延迟。例如,Samourai 的交错弹跳(Staggered Ricochet)可能需要两个小时才能到达最终目的地从而完成交易。此外,由于钱包平台的中心化性质,钱包运营平台可以获得交易的隐私信息。在 2019 年初,谷歌要求 Samourai 删除其应用程序中的某些隐私和安全功能,因为它违反了谷歌 Play store 的新规则。
尽管有许多增强隐私的选择,但这些都是早期技术(包括 MimbleWimble,Grin 和 Beam)。在这一点的选择上每个人都有自己的权衡取舍,并且对于什么才是隐私加密的最佳方法目前还没有明确的答案。
GRIN
Grin 是 MimbleWimble 的第一个开源实现。Grin 使用 Rust 语言开发。 Grin 文档于 2016 年 10 月 20 日由匿名开发人员 Lgnotus Peverell 发布。许多 Grin 的核心开发者都采用了来源《哈利波特》相关的绰号。 Grin 在 2019 年 1 月 15 日在主网上发布之前发布了四个测试网。由于其与比特币的相似性,Grin 受到加密货币社区的称赞——尤其是其匿名开发团队以、公平的数字币分发方式(没有预挖、没有 ICO、没有创始人奖励)和基于捐赠的资助模式。然而,Grin 确实有几个值得注意的差异。
货币政策 :Grin 被设计成一种交易媒介(MoE),而不是像比特币那样作为价值储存手段(SoV)。Grin 的矿工奖励是每分钟 1 个块,每个块 60 个 Grin (即每秒 1 个 Grin)。挖矿产生的 Grin 会按照这一规律一直持续下去,且没有减产。这使得 Grin 的通胀率在早期很高。随着时间的推移通胀率逐渐下降。
共识算法:在初期阶段,Grin 将尝试通过使用两种 PoW 算法来实现去中心化。这两种算法是 Cuckoo Cycle[1](布谷鸟环)的变体 (一种是 ASIC 友好的,另一种被认为是 ASIC 抗性的,因为它是内存瓶颈算法(memory-hard)。布谷鸟算法是一种全新的、有点争议的工作量证明(PoW)算法 ; 握手区块链(Handshake blockchain)的白皮书描述了这一问题。
管理:Grin 没有正式的管理流程。但 Grin 有一个 8 名成员组成的技术委员会,负责管理 Grin 的普通基金和发展路线图。Grin 举行对所有人开放的管理和开发会议。
功能:Grin 正在努力通过添加诸如无脚本脚本之类的功能来增强 MimbleWimble 协议,基于这个功能可以实现复杂的「条件交易」功能。社区成员还致力于通过 grinbox 和 wallet713 等解决方案改善用户体验。
挑战:虽然 Grin 因其基于捐赠的资助模式而受到赞赏,但仅依靠外部捐款继续建设和改进 Grin 也是一项挑战。此外,要使非技术用户能方便的使用 Grin,还有很多工作需要做。
自发布以来,Grin 已可以在多个交易所交易,即使它并未主动联系交易所上币也没有向交易所支付上币费。虽然社区很乐意帮助 Grin 上交易所,但 Ignotus Peverell 表示他们并不「过分担心外部因素和 [他们] 无法控制的事情」。
[1] 原作者注:Cuckoo Cycle 是在非常大的二部图中以寻找循环路径,因此其算法速度用每秒完成搜索的图的个数计算。 与大多数其他工作量证明算法相比,Cuckoo Cycle 消耗的功率要少得多,并且其是内存密集型而不是计算密集型算法。 Yeastplume 在一个播客节目中很好地解释了这一点:类似于我们在一张纸上绘制节点并随意在它们之间添加边。,该算法计算出是否可以在这些节点之间找到环,即从一个特定的节点开始并沿着边返回到相同的节点。
挖掘算法
最初,Grin 团队计划使用两种 PoW 算法,由于算法需要消耗大量内存而被认为是抗 ASIC 的:Cuckoo Cycle (由 John Tromp 在 2015 年开发)以及具有较高内存要求的 Equihash 算法,称为 Equigrin。
对内存要求高的算法被认为不是可以利用 CPU 和 GPU 的计算密集型算法。最初由于 Cuckoo Cycle 需要大量 SRAM (静态随机存取存储器),它被认为是 ASIC 抗性的。人们认为因为算法需要大量 SRAM 而在 ASIC 使用大量 SRAM 很昂贵,所以这使得制造 ASIC 更加困难。 Cuckoo Cycle 的创建者 John Tromp 表示,「最初的 Cuckoo Cycle 旨在使内存延迟成为瓶颈。现在,多年以后,我们意识到 Cuckoo Cycle 是可以很好地利用 [...] 的 SRAM 算法,而其实(与过去的想法不同)在 ASIC 制造中使用 SRAM 并不那么昂贵。我们希望 ASIC 比 GPU 具有更高的效率优势。」John Tromp 在一个播客节目中深入探讨了 Cuckoo Cycle。
在 2018 年 8 月,社区承认 ASIC (1)在实践中是不可避免的 [1],而且(2)可能在以开始时会不利于数字币的公平分配,但从长远来看并不一定是一件坏事。相反,ASIC 友好算法可以使网络更加安全,因为 ASIC 矿器增加了网络的算力,使攻击变得更加困难、代价更加高昂。 从长期来看,ASIC 可以有利于区块链协议的成功,因为投资数千万美元的的矿工在安全性方面的诉求与区块链项目的利益完全一致。此外,根据 Derek Hsue 的说法,「任何持续产生 ASIC 抗性的尝试都将导致秘密 ASIC 这个问题确实存在。」
鉴于上述观点,Grin 随后决定改变工作量证明(PoW)算法,这两种算法都是 Cuckoo Cycle 的变体,主算法是 ASIC 友好(AF)算法和第二算法是 ASIC 抗性(AR)算法,并在项目主网上线后逐步淘汰第二算法。 Grin 中的主 PoW 算法叫做 Cuckatoo31 +,是 Cuckoo Cycle 对 ASIC 更加友好的版本。 它被称为 ASIC 友好的是因为它可以使用数百 MB 的 SRAM 来提高性能使得 ASIC 算力超过 GPU。第二算法,称为 Cuckaroo29,是一种内存密集型的 AR PoW 算法。然而,真正保证 ASIC 抗性的唯一方法是有计划的进行硬分叉,不断调整算法(类似 Monero 的做法),使已生成的 ASIC 作废。 Grin 将每六个月执行一次这样的硬分支来调整算法,以抑制对该 AR 算法生产 ASIC 的积极性,直到该算法在两年内逐步淘汰。
加密社区里的一些成员非常关注 Cuckoo Cycle 中 PoW 算法的稳定性。 John Tromp 在 2014 年首次提出了这个概念,并在短时间内进行了多次修订,因为研究人员找到了优化算法的方法。 Cuckoo Cycle 基于一个 NP 完全的图论问题,一个令人担忧问题是,如果某个矿工通过优化 Cuckoo Cycle 算法获得比网络中其他矿工更大的算力,那么挖矿收益将无法公平分配。John Tromp 认为,这类优化算法获得的相对优势可能会随着迁移到更大的图而增加。但如果社区的其他成员对算法做相同的优化,这种优势就会消失。
一开始,Grin90% 的块用第二算法挖掘,10% 的块用主算法挖掘。两年后,100% 的区块将使用主算法进行挖掘。在未来两年,Cuckatoo31+将获得更大比例的区块奖励,每月线性增长 3.75%。Grin 社区希望,到 Cuckatoo31+占 100% 的矿业份额时,将有来自多个 ASIC 制造商生产出 ASIC 矿机,从而引导有序健康的竞争。Grin 基于最近 60 个区块的窗口对挖矿难度进行调整。
[1] 原作者注:Leo Zhang 说「2014 年,当 ASIC 矿工首次商业化时,由于 RAM 成本较高,使用内存硬算法抵制 ASIC 的策略是有道理的。但在过去几年中,RAM 成本的急剧下降使 ASIC 设计人员能够以越来越低的成本为这些网络制造机器。内存瓶颈算法无法无限期地保留 ASIC。」
GRIN 矿池
根据 miningpoolstats.com 的数据显示,Cuckaroo29 上有 15 个矿池,Cuckatoo31+上有 11 个矿池。在撰写本文时,前两名的矿池 (Sparkpool 和 F2pool) 的算力之和占 Cuckaroo29 的 82%,占 Cuckatoo31+的 68%。Sparkpool 和 F2pool 都向 Grin 的开发者基金和普通基金提供了捐款。虽然算力似乎集中在了矿池中,但矿池是由许多矿工参与者组成的,这些矿工可以选择随时离开矿池,并随意将其算力切换到其他矿池。
第三大矿池是 GrinMint,是 BlockCypher 于 2018 年 9 月首次推出的矿池,2019 年 1 月在主网上推出 .BlockCypher 收取 2.5%的费用,并表示将向 Grin 开发者社区捐赠 0.5%。 BlockCypher 还有一名全职开发人员致力于 Grin (Quentin Le Sceller)。其他回馈 Grin 社区的矿池包括 MimbleWimble Grin Pool 和 grin-pool.org。
对 Grin 的批评之一是,当 Grin 上线时,一些投资人投资挖矿并控制了大量的算力。这些投资人本来应该是通过买币投资 Grin,即是市场的买方。但由于这些投资人通过挖矿获得了 Grin,并在市场中卖出 Grin 获利,这些投资人反倒成了市场的卖方。当矿池挖出区块并获得挖矿奖励时,他们必须立即出售币,因为他们要用比特币支付给矿工 (译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
货币政策
Grin 具有线性的增发率,并且将以每分钟 60 Grin (每秒一 Grin)的速度增发 - 其供应量故意被设计成没有上限。而比特币的上限为 2100 万,并且具有通缩发行计划,比特币的块奖励每四年减半,直到接近零。因为比特币的发行模型使得其价值会算时间增加,所以比特币模型鼓励持有硬币。这使比特币成为价值存储工具(SoV)。
Grin 的早期通货膨胀率极高,但当有数百万枚 Grin 币流通时,随着时间的推移通货膨胀率将趋近于零,虽然它永远不会达到零。在实践中,通胀率需要在 10 年后才能降至 10%以下,25 年后才会降至 4%(与 2018 年比特币相同)。通胀率将需要 50 年才能降至 2%以下。然而,实际上,Grin 团队认为,当考虑到存在因为私钥丢失而造成的丢失的币时,通货膨胀将会比上述预想的低。根据团队的说法,每年丢失的币可能高达总供应量的 2%,在计算通货膨胀率时应该将这部分排除。永久性发行被视为缓解币丢失的影响的潜在解决方案。
永久通货膨胀背后的另一个原因是:(1)通胀模型比通缩模型更公平,通缩模型对于越早挖矿的矿工越有益,而通胀模型不会。(2)如果预计明天的币价与今天的相似,那么它有更大的机会被用作交换媒介(MoE),而这就恰恰是 Grin 项目所希望的。短期至中期的高通胀会激励消费而非储存,因为币会被显着的稀释。社区还认为,花钱的动力可能有助于更广泛地分发数字币。
此外,永久性发行可以防止 Grin 最终只能完全依赖交易的手续费来确保网络安全 - 这正是比特币社区正在讨论 / 面临的挑战。一旦比特币的发行量接近零,网络将不得不过渡到仅仅依赖交易费用奖励为保护比特币安全的矿工。仅依赖交易费奖励矿工是区块链的一种新的经济模式,但仍多存在许多问题:每个区块需要多少交易,每笔交易的最低费用是什么,以及如何解决与第二层方案(例如闪电网络)中致力于降低网络费的行为之间的矛盾。
来源 : grin-forum.org/t/emmission-rate-of-grin/171/21
怀疑论者因为 Grin 没有上限的线性发行计划而批判 Grin,并因为高通胀率降低了数字币作为价值存储的购买力。然而,Grin 的开发者故意设计了这样的通胀率,其目的是鼓励消费、抵消丢失币的影响、确保 Grin 网络始终可以给矿工支付挖矿奖励以维护区块链安全。高通胀的一个不利之处是,与早期比特币相似,挖矿奖励在目前在总供给量中占了相当大的比例。这可能会对 Grin 币的价值产生负面影响,因为矿池出售 Grin 以换取比特币支付给矿工。
(译者注:这是本文很大的错误,事实上绝大部分 Grin 矿池都是给矿工分 Grin,而不是卖出 Grin 向矿工支付比特币。)
治理
Grin 的莱恩伯格(Lehnberg)说:「治理是关于如何做出在参与者 (参与决策的人) 和利益相关者 (受决策影响的人) 的角度看起来都合理的决策的过程。」 Grin 没有明确的治理流程,但对于没有结论的讨论是透明的且对社区完全开放。
Grin 有一个技术委员会负责管理 Grin 普通基金(Grin General Fund)并指导项目的开发。委员会成员包括 Ignotus Peverell, Antioch Peverell, Hashmap, Jaspervdm, Lehnberg, Quentin le Sceller (BlockCypher), Yeastplume (Michael Cordner)和 John Tromp。任何人都可以参与治理会有和开发者会议以及讨论,但是最活跃的贡献者通常还会发挥更大的作用。
技术委员会每两周举行一次管理会议和一次开发者会议,主题包括 ASIC 抗性,筹集和指导资金,重大缺陷和错误,安全审计,交换集成,硬分叉等。 Grin 还会在会议前后在 Github 上发布议程,笔记和会议记录。在 grin-forum 上还有一个管理部分,那上面上有一些主题一致的帖子,表明社区正在积极思考如何从长远来进行管理。
技术委员会主导的管理和开发过程使社区能够在早期快速灵活地运行,以避免减慢项目进程。然而,随着 Grin 的成长和成熟,人们一直在讨论如何建立一个更加结构化的管理流程并进行制衡。委员会成员和捐助者明确表示,有必要实施一个更正式的程序,来确立:
为社区提供一种更结构化的方式来交流关于管理和开发主题的反馈。
设置委员会的权限范围以及社区为委员会成员提供意见的规则。
所有利益相关者都有机会发表意见。利益相关者包括核心开发者,一次性贡献者,矿工,用户,投资者,交易所等。
该委员会的缺点是增加了项目的中心化程度。从长远来看,一个非官方的委员会可能是危险的。一个例子是 Burst PoCC,它具有与 Grin 技术委员会类似的功能。有一天,他们对社区感到不满并意外退出,但仍然可以访问项目代码库,管理 DNS 域名等等。他们还采取了额外的恶意行为,例如欺骗矿池和过早抛售 Burst,最终损害了 Burst 区块链。
资金
Grin 是一个完全基于捐赠的开源项目。虽然它的公平的数字币分配机制受到了称赞——没有 ICO、没有预挖、没有创始人奖励,但缺点是开发进展缓慢。Grin 的安全审计、市场营销、网站开发、运营活动等都依靠无偿的兼职志愿者和对核心开发者基金的捐赠。
正如 Tushar Jain 所指出的那样,「如果没有资本的促进,开发进度将被推迟。」这是 Grin 社区也认可的事实。在 Grin 普通基金的页面上,他们说,「现实情况是,有了资金支持,对 Grin 项目将会有很大帮助。这将使 Grin 能够更快,更可靠地发挥其潜力,拥有更好的基础设施支持,并且与资金充足的区块链项目竞争(或共存)的可能性会更大。」
Grin 社区于 2016 年开始开发 Grin,并于 2019 年 1 月才主网上线。同一时期,Beam 是 MimbleWimble 协议的另一个实现(下文将进一步详细讨论),是由一家获得风险投资者的私营公司开发的项目。他们从 2018 年初开始启动该项目,并于 Grin 主网上线前一周实现主网上线。
此外,Yeastplume (Michael Cordner),社区的核心开发人员和主要成员,在最初在筹集个人研发赞助资金时遇到了困难,无法将全部精力投入 Grin。只有在 Ignotus Peverell 在对 Yeastplume 的募资活动远未获得 (5.5 万欧元)10% 的资金表示失望之后,募资活动的捐款才开始上升。自那以后,它已经超额完成了募资目标,在撰写本文时筹集了 66,580 欧元。可以在 Grin 名人堂中查看完整的捐赠者名单。
依靠捐赠可能在短期内会奏效。然而,为了保持发展并吸引人才进入网络,Grin 将不得不重新考虑其融资模式,因为它面临着于那些资金充足并付费的项目日益激烈的竞争。在这个关于开发者激励政策的明确表达中,纳撒尼尔·惠特莫尔 (Nathaniel Whittemore) 提出了另一种全新的面向商业的激励模式,即(1)提供足够的激励来吸引顶尖人才加入项目,(2)同时继续为核心开发路线图做出贡献。即保证项目在既定路线图的规划下,使用经济措施鼓励更多优秀人才贡献力量。
用户体验
如上所述,MimbleWimble 是没有地址的。因此,交易的发起方和接收方必须传递消息 (称为「交易石板」),基于交互式通信进行币的转让。有多种方法可以标准化的传递 JSON 消息。一种方法是基于文件的传输,其中文件包含纯文本格式的 JSON 消息,可以通过多种方式传输文本 (电子邮件、Telegram、Keybase、业余无线电、信鸽等)。另一种方法是基于 HTTP URL 的方法,其中 API 接口接受文本格式的原始 JSON。
一组名为 vault713 的第三方开发人员正致力于使 Grin 可以更加实用并被广泛的使用。他们的第一个项目是一个名为 Grinbox 的交互协议。 Grinbox 是一种消息中继服务(message relaying service),当与 wallet713 一起使用时可以简化交易处理过程,wallet713 是目前在 Linux 上运行的 vault713 的 grin 钱包的核心分支。Grinbox 和 wallet713 旨在改善 Grin 的发送和存储过程。
第一步,Grinbox 允许参与者创建公开的地址用以发送 / 接收资金,这样他们就不必公开他们自己的 IP 地址。 wallet713 还允许用户将联系人姓名链接到他们计算机上的本地存储地址。此外,wallet713 允许异步交易构建。 vault713 还致力于添加更多增强隐私和可用性的功能,例如多重签名支持,BTC 和 Grin 之间的原子交换,在交易进入未经确认的内存池、移动 /web/ 桌面 GUI 等之前,与其他 wallet713 用户一同进行钱包层面的混币。
随着项目的成熟并吸引到更多人才,将出现更多利用不同通信信道创建交易可选方法。这可能包括利用 NFC,QR,蓝牙等的近场通信技术创建交易的方法。最终,用户选择一个方便且易于理解解决方案作为主要的交易通信方式。但是到达那一步还需要一些时间,还有待观察哪种方法可以成为标准。
Grin 只有几个月的历史,而且就目前而言,该项目适合精通技术的用户投入时间和精力来了解它的工作原理。虽然社区开始通过 grinbox 和 wallet713 等工作解决用户体验方面的问题,但要使非技术用户能舒适的在网络上进行交易还需要时间进行迭代和教育。
结论
Grin 是一个最初引起密码学朋克和无政府加密主义者注意的项目,但 Grin 与比特币相似的思想引起了许多人的注意。也就是说,Grin 因其匿名领导者、基于捐赠和草根的资助模式、专注于隐私和去中心、以及其社区非常关注对项目的推进而不是快速赚钱而受到赞扬。
但是 Grin 主网上线 Grin 只是第一步。要想让 Grin 获得长期成功并被广泛采用,还有很多工作要做。需要解决的关键挑战包括更可靠的筹资方式、更直观的用户体验以吸引更多用户使用 Grin,以及研究如何解决系统中的隐私漏洞 (即观察节点创建交易图的能力)。
核心团队表示,其主要关注点仍然是稳定性,性能以及安全性。通过第三方开发团队将 Grin 集成到他们的服务和产品中来培育一个健康的生态系统,这对提高使用率也是至关重要的。这并不一定需要 Grin 的核心开发人员来完成。相反,这些挑战可以在 Grin 区块链周围出现第三方开发人员生态系统时解决。
Grin 仍然是一个非常新的项目,它开创了全新的未经测试的想法,加密概念和技术。如果 Grin 能够应对关键挑战,那么它有可能成为将隐私重新置于个人手中的一种方式。
BEAM
Beam 是由一家总部位于以色列的 VC 支持的创业公司,于 2019 年 1 月 3 日推出了基于 MimbleWimble 协议的以隐私为重点的同名加密货币。它于 2018 年 3 月开始使用 C ++开发,并于 2018 年 9 月推出了测试网络。虽然 Beam 和 Grin 的相似之处在于它们都是 MimbleWimble 的实现,旨在为用户提供隐私增强功能,但它们的路径各不相同。与 Grin 不同,Beam 是一家私营公司,雇用开发人员来实施。 Beam 是从闭源开始,但后来开源了。 Beam 的另一个相比于 Grin 的重要区别是 Beam 提供了针对企业和监管机构的可选审计功能。
货币政策:Beam 的供应计划是通货紧缩型的,在第一年之后区块奖励下降 50%,之后每四年就会减少一半,直到达到 2.63 亿的硬性上限。此外,Beam 挖矿产出的 20% 将作为开发税进入 Beam Treasury 基金,用于并为 Beam 的未来开发提供资金。
挖矿算法:Beam 使用 Equihash 的修改版本(一种工作量证明挖掘算法)来提供网络共识。为了确保去中心化,Beam 将通过定期调整其算法使得 Beam 在前 12-18 个月保持 ASIC 抗性。
管理:Beam 目前由一家 VC 支持的创业公司运营,由付薪雇员组成。长期目标是完全将管理移交给管理 Beam Treasury 基金、维护区块链的非营利基金会。
功能:Beam 正在添加一个可审计的功能,这样企业就可以在不损害隐私性的情况下证明其合规性并提供交易的可预见性。Beam 开发人员还在探索一个安全的 BBS 系统,该系统将支持非交互式离线交易。
挑战:不断改进 PoW 协议是一项艰巨的任务,避免 ASIC 挖矿将使网络整体算力保持在较低水平,这也使得攻击网络的成本相对较低。此外,Beam 目前的运营和管理结构是中心化的,转向更去中心化的模式将需要避免所有投资方之间的权力斗争。
挖掘算法
Beam 使用 Equihash 算法,这是由卢森堡大学的 Alex Biryukov 和 Dmitry Khovratovich 创建的工作量证明算法。 Equihash 是一种基于广义生日问题的非对称内存密集型算法。 Equihash 的另一个关键属性是挖矿是随机的,这意味着生成 PoW 解的可能性与过去是否的成功挖矿是不相关。 Equihash 有两个可以调整的参数:n (bit 位宽)和 k (长度),它们决定了底层问题的复杂性,从而决定了算法的内存和时间复杂度。Beam 使用 Equihash 参数 n = 115 和 k = 5。
Equihash 在某种意义上是不对称的,因为它需要大量的内存来生成一个证明,但它不需要大量的内存来验证它。这是 Equihash 的一个重要特性,因为大多数其他内存密集型算法都是对称的,也就是说,验证与生成一个证明一样困难。内存密集型指的是生成一个证明所花费的时间与内存成正比,而不是与 CPU 计算能力成比例。如果使用更少的内存,Equihash 会不成比例地大大增加对计算能力的需求。
最初,内存是一种昂贵的资源,因此不假设 ASIC 比常规 CPU 和 GPU 更容易做出内存优化。另一方面,ASIC 与 GPU 相比提供了显著的带宽改进,而 GPU 又比 CPU 提供了显著的带宽改进。由于芯片设计技术的改进,为内存优化的 ASIC 矿机的成本不再像过去预期的那么高。
Zcash 是一个专注于以隐私性的加密货币,也使用 Equihash 算法。最初选择了 Equihash 是因为它被认为是 ASIC 抗性的。然而,在 2018 年,比特大陆发布了 Antminer Z9 mini 矿机,这个矿机通过降低 SRAM 的成本获得比通用硬件(CPU、GPU)更高的挖矿效率。在 Beam 的 Equihash 算法帖子中,他们强调「卢森堡大学的研究人员发现,截至 2018 年 5 月,20%-30%的 Equihash 是由 ASIC 矿机挖出的。」
Beam 表示,它们已经特别设置了 Equihash 参数,以便在短期内为 CPU 和 GPU 为矿工提供优于 ASIC 的优势,从而使币的初始分发更加广泛。然而,它认识到 ASIC 是不可避免的,甚至是在长期看是有用的,因为 ASIC 是一项成本可控的投资,并且增加了全网算力,从而使得区块链更安全且更难被攻击。
货币政策和资金
Beam 的货币政策类似于比特币。它的特点是规定了一个硬顶和通缩发行计划,并使用常规的区块奖励减半方法(每个区块的挖出的币数量下降 50%),直到通货膨胀率达到零。因此,这个初创公司是希望将 Beam 用作价值储存(SoV),而不是像 Grin 那样的交换媒介(MoE)。不过,其与比特币的相似性就到此为止了。与特别币不同的是:1. Beam 在第一年的挖矿奖励更多;2. 前 5 年的挖矿产出中部分归于项目创始人团队;3. Beam 每分钟一个块(比特币每 10 分钟一个块)。
在第一年,一个区块奖励将是 100Beam,高于之后的奖励,以激励矿工尽早加入网络并将 Beam 引入市场。头五年中 20% 的挖矿产出将给与创始人团队。所以第一年挖出的每个区块的 100 Beam 中 80 Beam 将支付给矿工,20Beam 将支付给 Beam 财富基金。在第 2 到第 5 年,区块奖励将下降 50%,变为 50 个 Beam,其中 40 个 Beam 支付给矿工,10 个 Beam 支付给 Beam 财富基金。在第 6 年,区块奖励将再次下降 50% 至 25 Beam,且所有奖励都将支付给矿工,并在未来改为每 4 年减半一次,直到第 129 年。区块奖励将在第 133 年停止,届时 Beam 预计的总供应量约为 2.63 亿。
来源 :medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
Beam 采用了创始人奖励机制(Founders Reward),也称为开发税(Dev Tax),以回报投资者并为正在进行的协议和工具开发提供经济支持。创始人奖励费用是编写在区块链协议中的代码里,该协议在矿工和创始团队的已知地址之间的自动分配区块奖励
这种方法明显与 ICO 或预挖等不同,正如 Dash 所见,它以大量的流动资金来补偿加密资产的创始人。虽然 ICO 和预挖都是早期团队成员所希望的,但这类薪酬设计往往缺乏有效的资金监管和退出时间表。因此,在短期利益驱使下,挪用资金并跑路的骗局相当普遍。
「创始人奖励」的目的是随着项目的发展逐步补偿创始人。因此,最初的利益相关者更有动力去协调资源维护网络的长期成功。此外,奖励制度被纳入区块链协议,Arjun Balaji 指出:这种机制提供了固定资金分配比例带来的资金透明度,也为通过软或硬分叉修改现有分配方法提供可行性。
该创始人激励结构最初是由 Electric Coin Company(前身为 Zcash Company) 设计并推广的。这家公司是专注于隐私的加密货币 Zcash 的背后的开发和维护企业。起初,Zcash 矿工只能获得区块奖励的 80%。剩下的 20% 将分配给 Zcash 基金会 (一个支持 Zcash 开发的独立非盈利组织)、数字币公司以及早期的 Zcash 开发人员和顾问。在头四年之后,创始人奖金被预先设定为零,以确保在 2100 万美元的上限达到之前,所有新发行的 Zcash 将 100% 归矿工所有。
Beam 资金模型与 Zcash 的资金模式相似,在早期阶段其支付给 Beam 财富基金,创始人费用比例为 20%。与 Zcash 历时 4 年的创始人奖励不同,Beam 创始人奖励历时 5 年,包括第一年区块奖励为 100 Beam 的时候。在这五年结束时,累计有超过 3150 万的 Beam 被送给 Beam 财富基金。计划将基金中 35%的资金分配给早期投资者,另外 45%的资金补偿给核心团队成员和顾问,剩余的 20%将用于支持 Beam 主权货币基金会。这是该项目维护和管理的长期解决方案。
来源 : medium.com/beam-mw/mimblewimble-emission-schedule-215551948259
除了创始人奖金,Beam 还从包括 Recruit Co. LTD、Yeoman 's Capital 和 Node Capital 在内的各种风险投资基金中筹集了至少 500 万美元,用于聘请全职开发人员来推进开发。这些投资者将定期从创始人奖金中获得 Beam 以回报其早期投资。
Beam 的核心团队和早期投资者都认识到,更加中心化的推动项目可以加速产品研发、尽量避免在基于社区运营的项目中经常出现的项目延期的情况。因此,Beam 选择了这种更加中心化的管理方法来启动项目并度过项目的初始阶段。随着 Beam 的不断成熟,其目标是实现更加去中化的激励和管理结构,将区块奖励交给矿工,并将项目控制权交给社区。
不利的一面是,同时也是对 Beam 的批评之一,Beam 并没有让所有投资者都能平等参与。在主网上上线之前就从投资者那里筹集资金,或者将一部分资金投入专门的集团 (即 ICO、创始人奖励、预挖),这些都可能导致币的分配不公平。
与之相对的是与比特币和 Grin 类似的产品,在这些产品中,加密资产只能通过传统的 PoW 挖矿获得。抛开技术障碍不谈,任何感兴趣的投资者都可以加入这个网络挖出新的比特币或 Grin。这样的发行方式往往会在区块链网络用户之间更为公平。
继续阅读:Circle 极致解读 : MimbleWimble 及两个实现 Grin 与 Beam(2)
皆以匿名协议著称,Grin 和 ZCash 强弱对比
攻略 • grinup 发表了文章 • 2019-02-14 10:26
本文是 Grin 代码贡献最多的开发者 Ignotus Peverell 于 2016 年 11 月 1 日发布的一篇 Grin 和 MimbleWimble 协议与 ZCash 项目的比较。
Grin 作为一个实践项目,它的核心协议是具有匿名属性的 MimbleWimble,它和以匿名协议著称的 ZCash 之间的比较是合理自然的。在这里,我们尝试去比较最详尽的差异,希望不会有太多的偏颇之处。注意直到现在,MimbleWimble 协议也并没有在任何地方实现,Grin 也远未准备好。在我们有一个稳定的项目发布之前,ZCash 可以说一直是赢家,我们如下的说明都是一种猜想。
Grin Wins
无需信任设置(除了创世区块,没有任何其他种类的信任设置)。
优秀的渐近缩放与实际缩放。Grin 按照 UTXO 设置进行缩放,并且一段时间后每个 UTXO 都可以变得很小(因为可以最终放弃 rangeproof)。
在 MimbleWimble 中构建交易并验证它们在计算上是微不足道的,可以很容易地在智能手机或树莓派机器上完成。另一方面,在撰写本文时,构建 ZCash 的匿名交易需要大约 4GB 的内存和大约一分钟的计算。
默认情况下,MimbleWimble 中的所有交易都是不可见的,而此时 ZCash 的大多数交易在此刻似乎都是可见交易。
仅依赖于简单且经过良好审查的加密结构和假设。
绿色代码尽可能明确和简单,使未来的审计和维护更容易。
Grin 是一个社区驱动的实践,没有「创始人奖励」。
ZCash Wins
MimbleWimble 不支持脚本编写。虽然通过脚本在比特币中引入的一些功能,仍然可以存在于 MimbleWimble 中(如 multisig 和时间锁),但是缺少通用脚本使得其更加受限。请注意,此时 ZCash 也不支持通用脚本,为何不支持也没有理论上的原因。
虽然 Grin 交易输出完全匿名,但至少在某些时段,仍然可以追踪到那些输入相关的输出。目前尚不清楚从中可以得出什么信息。
ZCash 是基于 Bitcoin Core 代码分叉实现的,这是一个非常成熟(尽管很难维护)的代码库。
ZCash 由一家资金充足的公司提供支持。
相关讨论:https://www.reddit.com/r/Mimblewimble/comments/59qulw/mimblewimble_vs_zcash/
原文链接:https://github.com/mimblewimble/grin/wiki/Grin-and-MimbleWimble-vs-ZCash_ 查看全部
Grin 作为一个实践项目,它的核心协议是具有匿名属性的 MimbleWimble,它和以匿名协议著称的 ZCash 之间的比较是合理自然的。在这里,我们尝试去比较最详尽的差异,希望不会有太多的偏颇之处。注意直到现在,MimbleWimble 协议也并没有在任何地方实现,Grin 也远未准备好。在我们有一个稳定的项目发布之前,ZCash 可以说一直是赢家,我们如下的说明都是一种猜想。
Grin Wins
无需信任设置(除了创世区块,没有任何其他种类的信任设置)。
优秀的渐近缩放与实际缩放。Grin 按照 UTXO 设置进行缩放,并且一段时间后每个 UTXO 都可以变得很小(因为可以最终放弃 rangeproof)。
在 MimbleWimble 中构建交易并验证它们在计算上是微不足道的,可以很容易地在智能手机或树莓派机器上完成。另一方面,在撰写本文时,构建 ZCash 的匿名交易需要大约 4GB 的内存和大约一分钟的计算。
默认情况下,MimbleWimble 中的所有交易都是不可见的,而此时 ZCash 的大多数交易在此刻似乎都是可见交易。
仅依赖于简单且经过良好审查的加密结构和假设。
绿色代码尽可能明确和简单,使未来的审计和维护更容易。
Grin 是一个社区驱动的实践,没有「创始人奖励」。
ZCash Wins
MimbleWimble 不支持脚本编写。虽然通过脚本在比特币中引入的一些功能,仍然可以存在于 MimbleWimble 中(如 multisig 和时间锁),但是缺少通用脚本使得其更加受限。请注意,此时 ZCash 也不支持通用脚本,为何不支持也没有理论上的原因。
虽然 Grin 交易输出完全匿名,但至少在某些时段,仍然可以追踪到那些输入相关的输出。目前尚不清楚从中可以得出什么信息。
ZCash 是基于 Bitcoin Core 代码分叉实现的,这是一个非常成熟(尽管很难维护)的代码库。
ZCash 由一家资金充足的公司提供支持。
相关讨论:https://www.reddit.com/r/Mimblewimble/comments/59qulw/mimblewimble_vs_zcash/
原文链接:https://github.com/mimblewimble/grin/wiki/Grin-and-MimbleWimble-vs-ZCash_ 查看全部
本文是 Grin 代码贡献最多的开发者 Ignotus Peverell 于 2016 年 11 月 1 日发布的一篇 Grin 和 MimbleWimble 协议与 ZCash 项目的比较。
Grin 作为一个实践项目,它的核心协议是具有匿名属性的 MimbleWimble,它和以匿名协议著称的 ZCash 之间的比较是合理自然的。在这里,我们尝试去比较最详尽的差异,希望不会有太多的偏颇之处。注意直到现在,MimbleWimble 协议也并没有在任何地方实现,Grin 也远未准备好。在我们有一个稳定的项目发布之前,ZCash 可以说一直是赢家,我们如下的说明都是一种猜想。
Grin Wins
无需信任设置(除了创世区块,没有任何其他种类的信任设置)。
优秀的渐近缩放与实际缩放。Grin 按照 UTXO 设置进行缩放,并且一段时间后每个 UTXO 都可以变得很小(因为可以最终放弃 rangeproof)。
在 MimbleWimble 中构建交易并验证它们在计算上是微不足道的,可以很容易地在智能手机或树莓派机器上完成。另一方面,在撰写本文时,构建 ZCash 的匿名交易需要大约 4GB 的内存和大约一分钟的计算。
默认情况下,MimbleWimble 中的所有交易都是不可见的,而此时 ZCash 的大多数交易在此刻似乎都是可见交易。
仅依赖于简单且经过良好审查的加密结构和假设。
绿色代码尽可能明确和简单,使未来的审计和维护更容易。
Grin 是一个社区驱动的实践,没有「创始人奖励」。
ZCash Wins
MimbleWimble 不支持脚本编写。虽然通过脚本在比特币中引入的一些功能,仍然可以存在于 MimbleWimble 中(如 multisig 和时间锁),但是缺少通用脚本使得其更加受限。请注意,此时 ZCash 也不支持通用脚本,为何不支持也没有理论上的原因。
虽然 Grin 交易输出完全匿名,但至少在某些时段,仍然可以追踪到那些输入相关的输出。目前尚不清楚从中可以得出什么信息。
ZCash 是基于 Bitcoin Core 代码分叉实现的,这是一个非常成熟(尽管很难维护)的代码库。
ZCash 由一家资金充足的公司提供支持。
相关讨论:https://www.reddit.com/r/Mimblewimble/comments/59qulw/mimblewimble_vs_zcash/
原文链接:https://github.com/mimblewimble/grin/wiki/Grin-and-MimbleWimble-vs-ZCash_
中本聪圆桌会议硬核总结:闪电网络、隐私、侧链、证券通证、Grin
攻略 • 8btc 发表了文章 • 2019-02-12 10:51
前言:中本聪圆桌会议在比特币社区的地位类似于彼尔德伯格会议,而今年的中本聪圆桌会议属于历史上的第五届,该会议与一般的大型币圈会议不同,其参与者皆是业内最具影响力的开发者、公司创始人等,因此会议话题也较为硬核,而本文的作者Jameson Lopp则是这次会议的参与者之一,他将为读者阐述本次会议上其关注的闪电网络、隐私、侧链、证券通证、Grin等热门话题。
以下为译文:
很高兴再次参加布鲁斯·芬顿(Bruce Fenton)组织的中本聪圆桌会议,我享受每年参加这一活动,因为它有一个轻松的氛围,这里没有大量的人,它提供了很多机会,可以和行业中的人进行坦诚的面对面讨论(通常情况下,这些人都非常忙,因此很难聚到一块交谈)。圆桌会议是非结构化的,因此会有无数非正式的对话,以及几十个更正式的会议。因此,任何人都不可能对今年发生的事情作出全面的总结,我参加了我认为对我来说最有趣的谈话,并试图向大家传达这些讨论的结果。
闪电网络
闪电网络之所以是吸引人的,在于它支持了传统支付网络所无法实现的全新用例。我们已经看到了一些概念证明,比如Satoshi’s Place、Lightning Spin以及比特币墓地(Bitcoin Graveyard)。在利用闪电网络改善用户体验方面,还有很多未经发掘的机会。例如,在一台ATM机上出售比特币的过程相当糟糕,你必须存款,在等待确认后,然后返回以实际获得现金。而有了闪电网络存款,存款和取现的操作就可以立即发生。最近Twitter上的#LNTrustchain是一个有趣的演示!
一些参与者表示怀疑,对于普通人来说,闪电网络很容易在短时间内安全、轻松地使用它。他们指出,虽然让当前的比特币用户使用闪电网络并不太困难,但同时向新人解释比特币和闪电网络可能会是非常困难的。人们似乎普遍认为,如果闪电网络要获得主流的采用,那么需要从用户那里抽象出通道的概念。相反,用户应该只需要知道他们可以发送和接收的最大值是多少。由于目前可用的工具有限,这很难去管理,但是正在进行中的改进,如原子多路径支付、通道拼接、多方通道和流式支付(streaming payments),应使软件开发人员更容易改善引擎盖下的的通道管理。
用户采用的另一大主要挑战,在于寻找流动性来源。尽管我认为最佳的用户体验不应该要求用户去考虑它,但我确实希望,随着更多的交易所和流动性提供商加入闪电网络,我们将看到闪电网络钱包的集成,这会使得你的闪电网络钱包“充值”变得简单,体验类似于为完全的加密货币新手购买预付借记卡,甚至使那些已拥有交易所账户的人的体验更顺畅。
虽然像btcpay这样令人敬畏的开源软件能够让商家管理自己的节点和通道,但仍有可能很多商家会选择像Strike这样的托管支付处理服务。另一方面,即使闪电网络被托管公司采用的速度要比个人快,也有大量的效率提高。在撰写本文时,有相当多的服务拥有很多用户,这些用户定期通过各服务之间的链上交易发送价值,从区块空间使用的角度来看,这是非常低效的。如果这些服务仅在每日/每周的基础上彼此“结算”余额,那么它们可大大减少所需的链上交易量。但是,目前不可能这样做,因为服务A不知道哪些比特币地址属于服务B。如果这些托管服务使用闪电网络,它将自动处理服务之间的冗余链上支付,而不需要知道彼此的身份。
当我在BitGo构建基础设施时,我看到了类似于以下的定期可视化效果,我们自己的客户之间来回进行着成千上万笔交易,他们不知道他们所使用的这个全球账本有多低效。这让人很沮丧,但我们的头脑风暴,在如何解决我们自己的用户(以一种不破坏他们隐私的方式)的问题上还不够。这就是为什么我如此渴望看到闪电网络被采用的原因之一,它无缝地解决了这种巨大的效率低下问题。
主要服务之间资金流动的可视化
目前已知的一些最大的未知数涉及流动性。没有人真正知道什么样的投资回报率对流动性提供者来说是合理的,尽管有一些早期的努力试图量化“闪电网络参考率”。最终,分配给闪电网络通道资本的时间价值将与其他有息资产相比较,尽管公平地说,也许除了Maker DAO之外,没有高度相似的加密资产可本地产生利息。
如果交易费用主要转移到闪电网络,人们对比特币的热力学安全性的可持续性会更关注。在我看来,如果闪电网络允许用户将其链上交易减少X的系数,那么用户愿意支付低于平均比特币x(AVERAGE_BITCOIN_FEE * X)-平均闪电网络费*X(AVERAGE_LIGHTNING_FEE * X)的任何费用是有经济意义的。由于闪电网络支持了全新的用例(在链上是无法实现的),我预计随着用户开放和关闭通道,它将为比特币带来更多的经济活动(和挖矿费用)。闪电网络依赖于链上交易的一个有趣的结果是,一个广泛流行的闪电网络可以为链上交易创造比offload更多的需求,从而大幅增加用户愿意支付的链上费用。我们最终将看到新技术的采用,该技术允许用户通过聚合签名和多方闪电网络通道更有效地使用区块空间;如果很多用户“共享”单笔链上交易,那么很容易看到挖矿费用对于该交易来说可能相对较高,但从每个参与者的角度来看却是较低的。
最后,有一些关于比特币矿工闪电支付用例的讨论。如果哈希工作者们可以通过闪电网络直接获得报酬,那么它可以通过多种方式改变挖矿动态:
支出将不再需要进入保管池钱包;
自动支付不会让区块链充满粉尘UTXO;
哈希矿工可实现实时支付,因为股份提交无需等待区块被发现(这背后可能还有其他的博弈论影响,这将需要略低的支付保险目的);
通过将闪电网络支付与Matt Corallo的Betterhash挖矿协议相结合,它将进一步降低矿池的功率,提高比特币的审查抵抗力;
闪电网络是今年的热门话题,它在2018年取得了如此多的进展,但在我们充分发挥其潜力之前,仍有大量功能和基础设施需要我们去完善。
隐私话题
对于那些正在建设公司的人来说,隐私是一个棘手的问题,因为我们的公司受到国家行动者的干预。我们中的那些人有兴趣学习如何在不成为目标的情况下实现用户隐私。该组织的一些人指出,他们过去常常与很多用户一起运行服务,但在收到政府机构的大量信件后,他们决定不想处理这些麻烦,而是关闭服务从而避免翻车。我们经常在Casa讨论隐私问题,因为我们是一家重服务驱动的公司,所以我们需要与用户保持关系。我们能确定的最安全的方法是,尽可能少地存储有关用户的数据。我们必须假设,在某一时刻,我们可能会被迫交出我们存储的有关用户的所有数据。因此,“不能作恶”是一个比“不要作恶”更强有力的立场,因为它不仅仅是关于我们自己的意图。
加密货币网络隐私性不足造成的最大问题之一是,它损害了可互换性。现在有几家区块链监控公司在跟踪区块链资金并对其进行“污染分析”,并告诉服务部门资金来源“不合法”的可能性有多大。当然,这些都是基于概率的猜测,可能会导致无辜的用户陷入算法的拖网。这些工具显然导致很多比特币用户从各种服务平台中脱离了出来,因为他们被认为是风险客户。
会议上提出的一个特别有趣的观点是,没有人因为区块链分析而被起诉,因为它本身就没有足够的刑事指控证据。更确切地说,这只是调查人员用来更全面了解目标实际拥有多少资金的众多工具之一,这样他们就可确信癫痫发作更成功。。
来自“A Fistful of Bitcoins”论文的区块链分析
根据你所看到的UTXO历史的跳跃次数,你可能会找到一个很好的理由来认为它是“受污染的”,这很像大多数的法定货币都含有微量的可卡因。也许真正的问题来源于比特币的UTXO,如果更多的人混合了他们的UTXO,最终污染分析会为所有的UTXO产生相同的分数,我们将回到一个可互换性的公平竞争环境。但在那之前,先发劣势是那些有隐私意识的用户很可能会被标记为可疑用户。
区块链分析隐私性差的另一个缺点是,它为商业间谍活动打开了比特币业务的大门。很多与定期存款客户的交易和服务仍然没有采用非重用地址的最佳实践,使得对其资金的群集分析变得更容易!此外,对于精通技术的人来说,有可能将小额存款存入竞争对手的服务的地址,然后观看其UTXO的移动,以尝试测量其冷热钱包的价值和容量。
据指出,通过SPV钱包缺陷、Sybil Electrum服务器和网络观察者,IP地址与比特币地址的相关性存在广泛的问题。大多数这些问题的解决方案是运行一个全节点,这样所有的钱包查询都会在本地发生,并且不能被监视,但是反过来,如果您从全节点广播交易,它会为观察交易通过网络传播的网络观察者造成隐私泄漏问题。谢天谢地,Dandelion技术很快就会进入Bitcoin Core代码库,从而掩盖了广播交易的起源节点。
来源:Giulia Fanti,https://www.youtube.com/watch?V= SRE6KDBGI1O
比特币隐私本身就是一个完整的研究领域;对于那些希望深入研究比特币隐私的人,我建议查看开放式比特币隐私项目( Open Bitcoin Privacy Project)的威胁模型。
侧链和扩容
这是去年圆桌会议上发生的少数几个被反复讨论的话题之一。Paul Sztorc多年来一直致力于他的驱动链(Drivechain)概念,目的是减少我们所提提议所需的(硬分叉或软分叉)协议的更改内容。
分布式共识系统的一个棘手的问题是,它们往往忽略系统外部发生的所有事情;这使得系统对外部威胁更强,但也使得很难更改系统以添加新功能。因此,想要尝试异域的未经证实的想法的人,往往会从头开始构建自己的共识系统,最终在注意力和其他资源方面与比特币竞争。这最终激怒了很多比特币支持者,因为竞争项目的创建者成为了新货币的发行者。
驱动链(Drivechain)将使任何人都能建立起自己的网络,利用比特币矿工的力量,将新资产钉在比特币上。这基本上是一种维护者是矿工而非签名者联盟的比特币侧链方法。动态成员身份多方签名(挖矿)可以说比联合更为健壮,因为签名者可以来来去去,相互竞争。在不需要矿工特别参与的情况下,侧链的最佳形式将被钉住,但据我所知,没有人找到一种切实可行的方法来做到这一协议。(为了防止盗窃,可能需要有能力对侧链到比特币挂钩的SPV证明提出质疑,这将对比特币协议产生重大改变)
一个问题是闪电网络是否应被视为侧链。总的共识是,侧链是一个拥有全局共享状态和共识机制的系统,同时也有某种挂钩机制与另一个拥有独立全局共享状态和共识机制的系统。因此,即使你认为闪电网络与比特币挂钩,它也不能成为侧链。闪电网络没有由共识机制产生的全局共享状态。
还应指出的是,侧链的安全性取决于其受欢迎程度,因为它依赖于管理PEG的团队(矿工或联合会)的协调。但我们看到比特币在应对诸如UASF运动、2013年3月分叉决议和2010年通货膨胀事件等问题时出现了大量协调的例子,因此我们有理由抱有希望。
由于其依赖矿工的安全模型,驱动链(Drivechain)的概念仍然被一些开发者视为有问题的;它依赖用户激活的软分叉来通过矿工的共谋来对抗盗窃。看来,在安全性方面,驱动链(Drivechain)提供了一个中间地带-其不如比特币的基础层那么安全,但其比很多依赖可信第三方的系统要更安全。然而,驱动链(Drivechain)是一种无许可的创新-它们不需要更改比特币协议来构建。它只是需要矿工的支持,开始将所需的交易添加到区块中。自从上一次圆桌会议以来,我们获得了在测试网上运行驱动链(Drivechain)的能力;我敢打赌,我们将在下一次中本聪圆桌会议之前看到生产部署的驱动链。
安全硬件
由于各种原因,这是一个特别具有挑战性的问题。人们普遍认为,不可能构建安全的硬件来抵御具有无限时间和资源的攻击者。但是,合理安全的硬件至少应该为你提供更多的时间,以便在攻击者从被捕获的设备中提取私钥之前,将你的加密资产移动到一组新的私钥。
保护比特币硬件的一个挑战是,比特币ECDSA曲线(secp256k1)没有经FIPS认证的芯片。中本聪对这一曲线的选择是相当神秘的,因为它在10年前根本不受欢迎。与流行的NIST曲线不同,secp256k1的常数是以可预测的方式选择的,这大大降低了曲线创建者插入任何后门的可能性。另一方面,这一曲线并没有看到为其构建安全芯片所投入的相同水平的资源。
我们讨论了大多数硅芯片在物理攻击中的脆弱性-通过剥离芯片的顶层,可以将探针连接到硅上并直接读取数据。然而,安全元件的顶层设计,如果芯片被移除,它将完全摧毁芯片。它们通常也有独立的电源,这样具有物理访问权限的攻击者,就不能简单地在电源管道上放置探针来推断芯片内正在处理的数据。
通过https://saleemrashid.com/2018/11/26/breaking-into-bitbox读取和写入数据以保护芯片存储
安全元素的一个未被重视的方面是,它们通常带有经过认证的随机数生成器-大多数操作系统附带的生成器往往是可疑的。安全元素的缺点是,仍有人必须编写在其上运行的软件,这可能会造成信任问题和单点故障。运行不安全软件的安全硬件毕竟不安全。此外,安全元素通常不能执行复杂的操作,因为它们的计算能力有限-比特币交易的实际构造必须发生在安全元素之外和不太安全的微控制器上。
SaleemRashid在一篇关于Ledger Nano S的文章中讨论了这个设计的一些问题。
使用微控制器(MCU)与输入、输出和安全元件(SE)交互
最终,安全硬件的最大问题之一是它仍然依赖于所遵循的最佳实践-存在大量人为错误空间。正如多重签名不是创造一个完美安全钱包的法宝一样,硬件也不是,它是我们应共同使用的为用户构建强大解决方案的众多工具之一。
助记种子语标准
这一讨论深入到了技术领域,且与钱包开发者密切相关。一般的问题是,比特币钱包衍生受到“标准”问题的困扰,我们有BIP 32、BIP 39、BIP 44、BIP 49、BIP 84……而它们不一定都是相互兼容的。
https://xkcd.com/927/
层次确定性的钱包派生标准有一个特别令人沮丧的地方,那就是它们与地址格式标准不太匹配。由于BIP32没有为给定的派生路径指定地址格式,所以钱包开发人员建议修改扩展公钥的版本字节来实现这一点。随着比特币激活了隔离见证,对地址公钥进行编码的方式越来越多。虽然BIP 49提出了一种编码P2WPKH-nested-in-P2SH地址的方法,但它未能更改HD种子版本字节(保留xpub前缀),导致用户不可持续的混淆。用户必须知道xpub使用BIP 49派生,或者xpub的使用者必须扫描两个地址空间(P2PKH以及P2WPKH-in-P2SH)。从长远来看,这个问题可能会继续恶化,需要越来越复杂的扫描逻辑来寻找支持导入种子短语的钱包。
实际上,我去年遇到了这个问题,它引导我创建了这个xpub版本的字节转换器工具。当你构建支持非比特币加密资产的钱包时,问题就变得更加复杂了,这些资产的密钥都来自于一个主种子。目前,我们最接近的标准是中本聪实验室改进提议132,我们想知道提出一个HD标准是否更有意义,该标准为推导添加了一条路径,并将其从:
m/BIP/CoinType/Account/change/index
更改到
m/BIP/CoinType/Account/AddressType/change/index
我们还同意,如果建立一个安全地分割种子短语的标准,这将是非常有帮助的。保持恢复种子的安全是一个极其复杂的物理安全问题,因此我们在Casa开发了一个钱包,其完全摆脱了管理种子的需要。如果你丢失了一个设备,你可以很容易地在keymaster软件中执行密钥旋转,并且你不必直接处理私钥或种子。
我们怀疑很多正在分裂种子的人正在使用某种形式的Shamir秘密分享,但这有几个问题。首先,各种可用的开源SSS工具甚至不兼容……可能是因为它不容易实现!
2017年,Greg Maxwell在Armory的SSS实现中发现了一个用于碎片备份的漏洞。另外还有一个共识,即如果有一个种子分割方案,它还包括每个种子共享的校验和,这样你就可以在不必重新构建所有共享来查看数据是否损坏的情况下验证其完整性,那么这将是一个很大的改进。如果有人花时间制定一个提案,这似乎是一个相当大的胜利。
证券通证
我参加这一讨论是因为我曾故意不看好证券通证,证券通证仍处于萌芽阶段,其属性没有很好地定义,尽管我们似乎确定了一个一般定义:即它们是由一些政府机构作为证券管理的加密token。其中一项数据是,虽然ICO市场在2018年期间价值下降了约90%,但证券代币市场的价值却飙升了1000%。
为什么证券通证很有趣?我们被告知要从私募市场的角度来看待它们,私募市场每年筹集的资金通常比IPO多10倍。为什么要通证化证券?
你可以编程的“智能合约”功能在全球共识级别上强制执行它们的属性。想想股息、股东投票和锁定期;
原子化成为可能-在没有大量开销的情况下进行更细粒度投资的能力;
由于使用开放的、可审计的账本,监管者很友好;
建立全球可互操作股票市场的潜力;
通过分布式交易所和自动化KYC降低交易对手风险;
证券通证构建肯定比实用通证更具挑战性:
它们必须架起传统市场的桥梁,并获得监管机构的批准;
它们负担不起从头开始,放弃现有的功能;
目前必须对每个token重复AML/KYC/认证;
交易所的流动性低,标准的1年锁定无济于事;
如果基础账本平台上有一个分叉,你会怎么做?
区块链不具有很好的可扩展性,这就产生了压力,使其像传统的非区块链系统一样集中在几个交易所周围;
目前没有任何合格的保管者;
保管者必须如何处理分叉/空投的法律灰色区域。如果保管者有单独的自由裁量权,这是一种ERISA违规行为,这种情况发生的可能性会阻止机构投资;
有可能在代币发行时遵守相关规定,但一旦发生跨境交易(如超过某个国家允许的投资者数量),则会出现违规情况;
有人猜测,购买证券通证的人将来自于今天购买传统证券的参与者,他们甚至可能不会意识到基础管道已经改变为不同的系统。该领域的观察表明,迄今为止,证券通证市场已经有90%的交易是通过法币进行的,但在加密货币市场牛市期间,随着投资者寻求多样化,约80%的交易是通过加密货币进行的。
我仍然不认为它们和无需许可的加密资产一样有趣,但我必须承认,证券通证可改善用于管理受监管股权的传统金融系统。
关于Grin
从2016年底开始,我便对mimblewimble感兴趣了,现在有多个运用 MimbleWimble协议的网络正在运行,我们可以看到它们在竞争环境中的表现如何!
(旁白:我对Grin的兴趣不是投资建议。我不建议人们投资BTC,更不要说投资更具实验性质的竞争币。)
其中一个最大的问题是“为什么投资者对GRIN如此感兴趣?”,有几个猜测性的答案:
寻求类似风险敞口的投资者如果没有获得Beam的股权,可能会觉得grin更讨人喜欢;
考虑到GRIN的发行时间表,近期通胀率高以及它的长期排放计划,其价格可能会长期处于低位。
与其现在买grin,不如先把它卖掉,然后之后再以低价囤积它们;
Grin的优势:
其风气似乎与比特币和密码朋克的风气相当接近;
作为一个竞争币,其发布非常公平;
与比特币相同的脚本语言,但是作为秘密插入签名的“无脚本脚本”;
Grin的区块链是相对于用户数量而非交易量进行扩展的,每个用户大约扩展100字节;
你可以通过给出一个查看密钥来自动解除你的资金匿名性;
Grin的弱点:
Grin的经济模型是平均每秒1个的排放速度,并且永远会持续下去,这会挡住很多人。在足够长的时间内,其通胀率将低于法定货币的平均水平,但大多数人可能没有足够的耐心等待数十年的时间;
当它涉及到通过捐赠模式资助开发人员时,就遇到了所谓的公地悲剧问题。因为投资回报率是可测量的,而投资于开发的资金则不是可测量的,所以大量的资金投入到了挖矿业中。有人猜测,在通过矿业积累了一些价值后,这些基金可能会变得不那么吝啬,并将捐赠一部分开采的grin。Grinmint已选择将一定比例的资金捐赠给Grin开发团队。此外,Obelisk还承诺将其GRIN ASIC收入的一部分捐赠给GRIN开发;
交易签名是交互式的,这会造成复杂性。尤其是冷存储需要额外的步骤,例如,通过二维码将部分签名的交易转移到气隙机器上或从气隙机器上转移。
交互式签名的一个选择是通过连接对方的IP地址来实现,这当然是一个巨大的隐私问题;
交互式签名打开了中间人攻击的可能性-一个安全的通信通道是必要的;
我们还讨论了一般的隐私币,我了解到机构正在接受隐私加密货币,因为没有任何传统资产具有类似于区块链分析工具的东西;它们依赖于标准的AML/KYC流程。区块链分析工具实际上会让企业感到悲伤,因为很多人不明白法律不要求指定特定的UTXO,只是基金的总价值。因此,“受污染”的基金可能会被标记在已发生执法行动(扣押)的下游。
我期待着看到类似技术的发展,也许有一天我们会看到比特币的MW侧链。
比特币价格
哈哈,这是开玩笑的!价格讨论是很少的。最常见的是在主题演讲中讨论了S曲线和采用周期。我们确实听到了一些关于出生率的清晰见解,以及随着人口年龄的增长,出生率的上升或下降会产生连锁反应,从而导致各个领域出现泡沫。例如,男性购买摩托车的高峰期在40多岁左右,而哈雷戴维森(Harley Davidson)的销量(以及股票价格)也在婴儿潮一代人步入中年时达到顶峰。至于比特币,谁知道呢……在场的大多数人似乎都认为,我们还没有看到最后一次比特币泡沫,但不管是1年还是10年,这一切都悬而未决的。
中本聪圆桌会议上看到的唯一泡沫
回到BUIDL
和往常一样,这种不一致是从构建加密生态系统基础设施中获得的教育和娱乐性突破。2020年见!
原文:https://medium.com/@lopp/satoshi-roundtable-v-recap-151dab7548bb
作者:Jameson Lopp
编译:洒脱喜 查看全部
以下为译文:
很高兴再次参加布鲁斯·芬顿(Bruce Fenton)组织的中本聪圆桌会议,我享受每年参加这一活动,因为它有一个轻松的氛围,这里没有大量的人,它提供了很多机会,可以和行业中的人进行坦诚的面对面讨论(通常情况下,这些人都非常忙,因此很难聚到一块交谈)。圆桌会议是非结构化的,因此会有无数非正式的对话,以及几十个更正式的会议。因此,任何人都不可能对今年发生的事情作出全面的总结,我参加了我认为对我来说最有趣的谈话,并试图向大家传达这些讨论的结果。
闪电网络
闪电网络之所以是吸引人的,在于它支持了传统支付网络所无法实现的全新用例。我们已经看到了一些概念证明,比如Satoshi’s Place、Lightning Spin以及比特币墓地(Bitcoin Graveyard)。在利用闪电网络改善用户体验方面,还有很多未经发掘的机会。例如,在一台ATM机上出售比特币的过程相当糟糕,你必须存款,在等待确认后,然后返回以实际获得现金。而有了闪电网络存款,存款和取现的操作就可以立即发生。最近Twitter上的#LNTrustchain是一个有趣的演示!
一些参与者表示怀疑,对于普通人来说,闪电网络很容易在短时间内安全、轻松地使用它。他们指出,虽然让当前的比特币用户使用闪电网络并不太困难,但同时向新人解释比特币和闪电网络可能会是非常困难的。人们似乎普遍认为,如果闪电网络要获得主流的采用,那么需要从用户那里抽象出通道的概念。相反,用户应该只需要知道他们可以发送和接收的最大值是多少。由于目前可用的工具有限,这很难去管理,但是正在进行中的改进,如原子多路径支付、通道拼接、多方通道和流式支付(streaming payments),应使软件开发人员更容易改善引擎盖下的的通道管理。
用户采用的另一大主要挑战,在于寻找流动性来源。尽管我认为最佳的用户体验不应该要求用户去考虑它,但我确实希望,随着更多的交易所和流动性提供商加入闪电网络,我们将看到闪电网络钱包的集成,这会使得你的闪电网络钱包“充值”变得简单,体验类似于为完全的加密货币新手购买预付借记卡,甚至使那些已拥有交易所账户的人的体验更顺畅。
虽然像btcpay这样令人敬畏的开源软件能够让商家管理自己的节点和通道,但仍有可能很多商家会选择像Strike这样的托管支付处理服务。另一方面,即使闪电网络被托管公司采用的速度要比个人快,也有大量的效率提高。在撰写本文时,有相当多的服务拥有很多用户,这些用户定期通过各服务之间的链上交易发送价值,从区块空间使用的角度来看,这是非常低效的。如果这些服务仅在每日/每周的基础上彼此“结算”余额,那么它们可大大减少所需的链上交易量。但是,目前不可能这样做,因为服务A不知道哪些比特币地址属于服务B。如果这些托管服务使用闪电网络,它将自动处理服务之间的冗余链上支付,而不需要知道彼此的身份。
当我在BitGo构建基础设施时,我看到了类似于以下的定期可视化效果,我们自己的客户之间来回进行着成千上万笔交易,他们不知道他们所使用的这个全球账本有多低效。这让人很沮丧,但我们的头脑风暴,在如何解决我们自己的用户(以一种不破坏他们隐私的方式)的问题上还不够。这就是为什么我如此渴望看到闪电网络被采用的原因之一,它无缝地解决了这种巨大的效率低下问题。
主要服务之间资金流动的可视化
目前已知的一些最大的未知数涉及流动性。没有人真正知道什么样的投资回报率对流动性提供者来说是合理的,尽管有一些早期的努力试图量化“闪电网络参考率”。最终,分配给闪电网络通道资本的时间价值将与其他有息资产相比较,尽管公平地说,也许除了Maker DAO之外,没有高度相似的加密资产可本地产生利息。
如果交易费用主要转移到闪电网络,人们对比特币的热力学安全性的可持续性会更关注。在我看来,如果闪电网络允许用户将其链上交易减少X的系数,那么用户愿意支付低于平均比特币x(AVERAGE_BITCOIN_FEE * X)-平均闪电网络费*X(AVERAGE_LIGHTNING_FEE * X)的任何费用是有经济意义的。由于闪电网络支持了全新的用例(在链上是无法实现的),我预计随着用户开放和关闭通道,它将为比特币带来更多的经济活动(和挖矿费用)。闪电网络依赖于链上交易的一个有趣的结果是,一个广泛流行的闪电网络可以为链上交易创造比offload更多的需求,从而大幅增加用户愿意支付的链上费用。我们最终将看到新技术的采用,该技术允许用户通过聚合签名和多方闪电网络通道更有效地使用区块空间;如果很多用户“共享”单笔链上交易,那么很容易看到挖矿费用对于该交易来说可能相对较高,但从每个参与者的角度来看却是较低的。
最后,有一些关于比特币矿工闪电支付用例的讨论。如果哈希工作者们可以通过闪电网络直接获得报酬,那么它可以通过多种方式改变挖矿动态:
支出将不再需要进入保管池钱包;
自动支付不会让区块链充满粉尘UTXO;
哈希矿工可实现实时支付,因为股份提交无需等待区块被发现(这背后可能还有其他的博弈论影响,这将需要略低的支付保险目的);
通过将闪电网络支付与Matt Corallo的Betterhash挖矿协议相结合,它将进一步降低矿池的功率,提高比特币的审查抵抗力;
闪电网络是今年的热门话题,它在2018年取得了如此多的进展,但在我们充分发挥其潜力之前,仍有大量功能和基础设施需要我们去完善。
隐私话题
对于那些正在建设公司的人来说,隐私是一个棘手的问题,因为我们的公司受到国家行动者的干预。我们中的那些人有兴趣学习如何在不成为目标的情况下实现用户隐私。该组织的一些人指出,他们过去常常与很多用户一起运行服务,但在收到政府机构的大量信件后,他们决定不想处理这些麻烦,而是关闭服务从而避免翻车。我们经常在Casa讨论隐私问题,因为我们是一家重服务驱动的公司,所以我们需要与用户保持关系。我们能确定的最安全的方法是,尽可能少地存储有关用户的数据。我们必须假设,在某一时刻,我们可能会被迫交出我们存储的有关用户的所有数据。因此,“不能作恶”是一个比“不要作恶”更强有力的立场,因为它不仅仅是关于我们自己的意图。
加密货币网络隐私性不足造成的最大问题之一是,它损害了可互换性。现在有几家区块链监控公司在跟踪区块链资金并对其进行“污染分析”,并告诉服务部门资金来源“不合法”的可能性有多大。当然,这些都是基于概率的猜测,可能会导致无辜的用户陷入算法的拖网。这些工具显然导致很多比特币用户从各种服务平台中脱离了出来,因为他们被认为是风险客户。
会议上提出的一个特别有趣的观点是,没有人因为区块链分析而被起诉,因为它本身就没有足够的刑事指控证据。更确切地说,这只是调查人员用来更全面了解目标实际拥有多少资金的众多工具之一,这样他们就可确信癫痫发作更成功。。
来自“A Fistful of Bitcoins”论文的区块链分析
根据你所看到的UTXO历史的跳跃次数,你可能会找到一个很好的理由来认为它是“受污染的”,这很像大多数的法定货币都含有微量的可卡因。也许真正的问题来源于比特币的UTXO,如果更多的人混合了他们的UTXO,最终污染分析会为所有的UTXO产生相同的分数,我们将回到一个可互换性的公平竞争环境。但在那之前,先发劣势是那些有隐私意识的用户很可能会被标记为可疑用户。
区块链分析隐私性差的另一个缺点是,它为商业间谍活动打开了比特币业务的大门。很多与定期存款客户的交易和服务仍然没有采用非重用地址的最佳实践,使得对其资金的群集分析变得更容易!此外,对于精通技术的人来说,有可能将小额存款存入竞争对手的服务的地址,然后观看其UTXO的移动,以尝试测量其冷热钱包的价值和容量。
据指出,通过SPV钱包缺陷、Sybil Electrum服务器和网络观察者,IP地址与比特币地址的相关性存在广泛的问题。大多数这些问题的解决方案是运行一个全节点,这样所有的钱包查询都会在本地发生,并且不能被监视,但是反过来,如果您从全节点广播交易,它会为观察交易通过网络传播的网络观察者造成隐私泄漏问题。谢天谢地,Dandelion技术很快就会进入Bitcoin Core代码库,从而掩盖了广播交易的起源节点。
来源:Giulia Fanti,https://www.youtube.com/watch?V= SRE6KDBGI1O
比特币隐私本身就是一个完整的研究领域;对于那些希望深入研究比特币隐私的人,我建议查看开放式比特币隐私项目( Open Bitcoin Privacy Project)的威胁模型。
侧链和扩容
这是去年圆桌会议上发生的少数几个被反复讨论的话题之一。Paul Sztorc多年来一直致力于他的驱动链(Drivechain)概念,目的是减少我们所提提议所需的(硬分叉或软分叉)协议的更改内容。
分布式共识系统的一个棘手的问题是,它们往往忽略系统外部发生的所有事情;这使得系统对外部威胁更强,但也使得很难更改系统以添加新功能。因此,想要尝试异域的未经证实的想法的人,往往会从头开始构建自己的共识系统,最终在注意力和其他资源方面与比特币竞争。这最终激怒了很多比特币支持者,因为竞争项目的创建者成为了新货币的发行者。
驱动链(Drivechain)将使任何人都能建立起自己的网络,利用比特币矿工的力量,将新资产钉在比特币上。这基本上是一种维护者是矿工而非签名者联盟的比特币侧链方法。动态成员身份多方签名(挖矿)可以说比联合更为健壮,因为签名者可以来来去去,相互竞争。在不需要矿工特别参与的情况下,侧链的最佳形式将被钉住,但据我所知,没有人找到一种切实可行的方法来做到这一协议。(为了防止盗窃,可能需要有能力对侧链到比特币挂钩的SPV证明提出质疑,这将对比特币协议产生重大改变)
一个问题是闪电网络是否应被视为侧链。总的共识是,侧链是一个拥有全局共享状态和共识机制的系统,同时也有某种挂钩机制与另一个拥有独立全局共享状态和共识机制的系统。因此,即使你认为闪电网络与比特币挂钩,它也不能成为侧链。闪电网络没有由共识机制产生的全局共享状态。
还应指出的是,侧链的安全性取决于其受欢迎程度,因为它依赖于管理PEG的团队(矿工或联合会)的协调。但我们看到比特币在应对诸如UASF运动、2013年3月分叉决议和2010年通货膨胀事件等问题时出现了大量协调的例子,因此我们有理由抱有希望。
由于其依赖矿工的安全模型,驱动链(Drivechain)的概念仍然被一些开发者视为有问题的;它依赖用户激活的软分叉来通过矿工的共谋来对抗盗窃。看来,在安全性方面,驱动链(Drivechain)提供了一个中间地带-其不如比特币的基础层那么安全,但其比很多依赖可信第三方的系统要更安全。然而,驱动链(Drivechain)是一种无许可的创新-它们不需要更改比特币协议来构建。它只是需要矿工的支持,开始将所需的交易添加到区块中。自从上一次圆桌会议以来,我们获得了在测试网上运行驱动链(Drivechain)的能力;我敢打赌,我们将在下一次中本聪圆桌会议之前看到生产部署的驱动链。
安全硬件
由于各种原因,这是一个特别具有挑战性的问题。人们普遍认为,不可能构建安全的硬件来抵御具有无限时间和资源的攻击者。但是,合理安全的硬件至少应该为你提供更多的时间,以便在攻击者从被捕获的设备中提取私钥之前,将你的加密资产移动到一组新的私钥。
保护比特币硬件的一个挑战是,比特币ECDSA曲线(secp256k1)没有经FIPS认证的芯片。中本聪对这一曲线的选择是相当神秘的,因为它在10年前根本不受欢迎。与流行的NIST曲线不同,secp256k1的常数是以可预测的方式选择的,这大大降低了曲线创建者插入任何后门的可能性。另一方面,这一曲线并没有看到为其构建安全芯片所投入的相同水平的资源。
我们讨论了大多数硅芯片在物理攻击中的脆弱性-通过剥离芯片的顶层,可以将探针连接到硅上并直接读取数据。然而,安全元件的顶层设计,如果芯片被移除,它将完全摧毁芯片。它们通常也有独立的电源,这样具有物理访问权限的攻击者,就不能简单地在电源管道上放置探针来推断芯片内正在处理的数据。
通过https://saleemrashid.com/2018/11/26/breaking-into-bitbox读取和写入数据以保护芯片存储
安全元素的一个未被重视的方面是,它们通常带有经过认证的随机数生成器-大多数操作系统附带的生成器往往是可疑的。安全元素的缺点是,仍有人必须编写在其上运行的软件,这可能会造成信任问题和单点故障。运行不安全软件的安全硬件毕竟不安全。此外,安全元素通常不能执行复杂的操作,因为它们的计算能力有限-比特币交易的实际构造必须发生在安全元素之外和不太安全的微控制器上。
SaleemRashid在一篇关于Ledger Nano S的文章中讨论了这个设计的一些问题。
使用微控制器(MCU)与输入、输出和安全元件(SE)交互
最终,安全硬件的最大问题之一是它仍然依赖于所遵循的最佳实践-存在大量人为错误空间。正如多重签名不是创造一个完美安全钱包的法宝一样,硬件也不是,它是我们应共同使用的为用户构建强大解决方案的众多工具之一。
助记种子语标准
这一讨论深入到了技术领域,且与钱包开发者密切相关。一般的问题是,比特币钱包衍生受到“标准”问题的困扰,我们有BIP 32、BIP 39、BIP 44、BIP 49、BIP 84……而它们不一定都是相互兼容的。
https://xkcd.com/927/
层次确定性的钱包派生标准有一个特别令人沮丧的地方,那就是它们与地址格式标准不太匹配。由于BIP32没有为给定的派生路径指定地址格式,所以钱包开发人员建议修改扩展公钥的版本字节来实现这一点。随着比特币激活了隔离见证,对地址公钥进行编码的方式越来越多。虽然BIP 49提出了一种编码P2WPKH-nested-in-P2SH地址的方法,但它未能更改HD种子版本字节(保留xpub前缀),导致用户不可持续的混淆。用户必须知道xpub使用BIP 49派生,或者xpub的使用者必须扫描两个地址空间(P2PKH以及P2WPKH-in-P2SH)。从长远来看,这个问题可能会继续恶化,需要越来越复杂的扫描逻辑来寻找支持导入种子短语的钱包。
实际上,我去年遇到了这个问题,它引导我创建了这个xpub版本的字节转换器工具。当你构建支持非比特币加密资产的钱包时,问题就变得更加复杂了,这些资产的密钥都来自于一个主种子。目前,我们最接近的标准是中本聪实验室改进提议132,我们想知道提出一个HD标准是否更有意义,该标准为推导添加了一条路径,并将其从:
m/BIP/CoinType/Account/change/index
更改到
m/BIP/CoinType/Account/AddressType/change/index
我们还同意,如果建立一个安全地分割种子短语的标准,这将是非常有帮助的。保持恢复种子的安全是一个极其复杂的物理安全问题,因此我们在Casa开发了一个钱包,其完全摆脱了管理种子的需要。如果你丢失了一个设备,你可以很容易地在keymaster软件中执行密钥旋转,并且你不必直接处理私钥或种子。
我们怀疑很多正在分裂种子的人正在使用某种形式的Shamir秘密分享,但这有几个问题。首先,各种可用的开源SSS工具甚至不兼容……可能是因为它不容易实现!
2017年,Greg Maxwell在Armory的SSS实现中发现了一个用于碎片备份的漏洞。另外还有一个共识,即如果有一个种子分割方案,它还包括每个种子共享的校验和,这样你就可以在不必重新构建所有共享来查看数据是否损坏的情况下验证其完整性,那么这将是一个很大的改进。如果有人花时间制定一个提案,这似乎是一个相当大的胜利。
证券通证
我参加这一讨论是因为我曾故意不看好证券通证,证券通证仍处于萌芽阶段,其属性没有很好地定义,尽管我们似乎确定了一个一般定义:即它们是由一些政府机构作为证券管理的加密token。其中一项数据是,虽然ICO市场在2018年期间价值下降了约90%,但证券代币市场的价值却飙升了1000%。
为什么证券通证很有趣?我们被告知要从私募市场的角度来看待它们,私募市场每年筹集的资金通常比IPO多10倍。为什么要通证化证券?
你可以编程的“智能合约”功能在全球共识级别上强制执行它们的属性。想想股息、股东投票和锁定期;
原子化成为可能-在没有大量开销的情况下进行更细粒度投资的能力;
由于使用开放的、可审计的账本,监管者很友好;
建立全球可互操作股票市场的潜力;
通过分布式交易所和自动化KYC降低交易对手风险;
证券通证构建肯定比实用通证更具挑战性:
它们必须架起传统市场的桥梁,并获得监管机构的批准;
它们负担不起从头开始,放弃现有的功能;
目前必须对每个token重复AML/KYC/认证;
交易所的流动性低,标准的1年锁定无济于事;
如果基础账本平台上有一个分叉,你会怎么做?
区块链不具有很好的可扩展性,这就产生了压力,使其像传统的非区块链系统一样集中在几个交易所周围;
目前没有任何合格的保管者;
保管者必须如何处理分叉/空投的法律灰色区域。如果保管者有单独的自由裁量权,这是一种ERISA违规行为,这种情况发生的可能性会阻止机构投资;
有可能在代币发行时遵守相关规定,但一旦发生跨境交易(如超过某个国家允许的投资者数量),则会出现违规情况;
有人猜测,购买证券通证的人将来自于今天购买传统证券的参与者,他们甚至可能不会意识到基础管道已经改变为不同的系统。该领域的观察表明,迄今为止,证券通证市场已经有90%的交易是通过法币进行的,但在加密货币市场牛市期间,随着投资者寻求多样化,约80%的交易是通过加密货币进行的。
我仍然不认为它们和无需许可的加密资产一样有趣,但我必须承认,证券通证可改善用于管理受监管股权的传统金融系统。
关于Grin
从2016年底开始,我便对mimblewimble感兴趣了,现在有多个运用 MimbleWimble协议的网络正在运行,我们可以看到它们在竞争环境中的表现如何!
(旁白:我对Grin的兴趣不是投资建议。我不建议人们投资BTC,更不要说投资更具实验性质的竞争币。)
其中一个最大的问题是“为什么投资者对GRIN如此感兴趣?”,有几个猜测性的答案:
寻求类似风险敞口的投资者如果没有获得Beam的股权,可能会觉得grin更讨人喜欢;
考虑到GRIN的发行时间表,近期通胀率高以及它的长期排放计划,其价格可能会长期处于低位。
与其现在买grin,不如先把它卖掉,然后之后再以低价囤积它们;
Grin的优势:
其风气似乎与比特币和密码朋克的风气相当接近;
作为一个竞争币,其发布非常公平;
与比特币相同的脚本语言,但是作为秘密插入签名的“无脚本脚本”;
Grin的区块链是相对于用户数量而非交易量进行扩展的,每个用户大约扩展100字节;
你可以通过给出一个查看密钥来自动解除你的资金匿名性;
Grin的弱点:
Grin的经济模型是平均每秒1个的排放速度,并且永远会持续下去,这会挡住很多人。在足够长的时间内,其通胀率将低于法定货币的平均水平,但大多数人可能没有足够的耐心等待数十年的时间;
当它涉及到通过捐赠模式资助开发人员时,就遇到了所谓的公地悲剧问题。因为投资回报率是可测量的,而投资于开发的资金则不是可测量的,所以大量的资金投入到了挖矿业中。有人猜测,在通过矿业积累了一些价值后,这些基金可能会变得不那么吝啬,并将捐赠一部分开采的grin。Grinmint已选择将一定比例的资金捐赠给Grin开发团队。此外,Obelisk还承诺将其GRIN ASIC收入的一部分捐赠给GRIN开发;
交易签名是交互式的,这会造成复杂性。尤其是冷存储需要额外的步骤,例如,通过二维码将部分签名的交易转移到气隙机器上或从气隙机器上转移。
交互式签名的一个选择是通过连接对方的IP地址来实现,这当然是一个巨大的隐私问题;
交互式签名打开了中间人攻击的可能性-一个安全的通信通道是必要的;
我们还讨论了一般的隐私币,我了解到机构正在接受隐私加密货币,因为没有任何传统资产具有类似于区块链分析工具的东西;它们依赖于标准的AML/KYC流程。区块链分析工具实际上会让企业感到悲伤,因为很多人不明白法律不要求指定特定的UTXO,只是基金的总价值。因此,“受污染”的基金可能会被标记在已发生执法行动(扣押)的下游。
我期待着看到类似技术的发展,也许有一天我们会看到比特币的MW侧链。
比特币价格
哈哈,这是开玩笑的!价格讨论是很少的。最常见的是在主题演讲中讨论了S曲线和采用周期。我们确实听到了一些关于出生率的清晰见解,以及随着人口年龄的增长,出生率的上升或下降会产生连锁反应,从而导致各个领域出现泡沫。例如,男性购买摩托车的高峰期在40多岁左右,而哈雷戴维森(Harley Davidson)的销量(以及股票价格)也在婴儿潮一代人步入中年时达到顶峰。至于比特币,谁知道呢……在场的大多数人似乎都认为,我们还没有看到最后一次比特币泡沫,但不管是1年还是10年,这一切都悬而未决的。
中本聪圆桌会议上看到的唯一泡沫
回到BUIDL
和往常一样,这种不一致是从构建加密生态系统基础设施中获得的教育和娱乐性突破。2020年见!
原文:https://medium.com/@lopp/satoshi-roundtable-v-recap-151dab7548bb
作者:Jameson Lopp
编译:洒脱喜 查看全部
前言:中本聪圆桌会议在比特币社区的地位类似于彼尔德伯格会议,而今年的中本聪圆桌会议属于历史上的第五届,该会议与一般的大型币圈会议不同,其参与者皆是业内最具影响力的开发者、公司创始人等,因此会议话题也较为硬核,而本文的作者Jameson Lopp则是这次会议的参与者之一,他将为读者阐述本次会议上其关注的闪电网络、隐私、侧链、证券通证、Grin等热门话题。
以下为译文:
很高兴再次参加布鲁斯·芬顿(Bruce Fenton)组织的中本聪圆桌会议,我享受每年参加这一活动,因为它有一个轻松的氛围,这里没有大量的人,它提供了很多机会,可以和行业中的人进行坦诚的面对面讨论(通常情况下,这些人都非常忙,因此很难聚到一块交谈)。圆桌会议是非结构化的,因此会有无数非正式的对话,以及几十个更正式的会议。因此,任何人都不可能对今年发生的事情作出全面的总结,我参加了我认为对我来说最有趣的谈话,并试图向大家传达这些讨论的结果。
闪电网络
闪电网络之所以是吸引人的,在于它支持了传统支付网络所无法实现的全新用例。我们已经看到了一些概念证明,比如Satoshi’s Place、Lightning Spin以及比特币墓地(Bitcoin Graveyard)。在利用闪电网络改善用户体验方面,还有很多未经发掘的机会。例如,在一台ATM机上出售比特币的过程相当糟糕,你必须存款,在等待确认后,然后返回以实际获得现金。而有了闪电网络存款,存款和取现的操作就可以立即发生。最近Twitter上的#LNTrustchain是一个有趣的演示!
一些参与者表示怀疑,对于普通人来说,闪电网络很容易在短时间内安全、轻松地使用它。他们指出,虽然让当前的比特币用户使用闪电网络并不太困难,但同时向新人解释比特币和闪电网络可能会是非常困难的。人们似乎普遍认为,如果闪电网络要获得主流的采用,那么需要从用户那里抽象出通道的概念。相反,用户应该只需要知道他们可以发送和接收的最大值是多少。由于目前可用的工具有限,这很难去管理,但是正在进行中的改进,如原子多路径支付、通道拼接、多方通道和流式支付(streaming payments),应使软件开发人员更容易改善引擎盖下的的通道管理。
用户采用的另一大主要挑战,在于寻找流动性来源。尽管我认为最佳的用户体验不应该要求用户去考虑它,但我确实希望,随着更多的交易所和流动性提供商加入闪电网络,我们将看到闪电网络钱包的集成,这会使得你的闪电网络钱包“充值”变得简单,体验类似于为完全的加密货币新手购买预付借记卡,甚至使那些已拥有交易所账户的人的体验更顺畅。
虽然像btcpay这样令人敬畏的开源软件能够让商家管理自己的节点和通道,但仍有可能很多商家会选择像Strike这样的托管支付处理服务。另一方面,即使闪电网络被托管公司采用的速度要比个人快,也有大量的效率提高。在撰写本文时,有相当多的服务拥有很多用户,这些用户定期通过各服务之间的链上交易发送价值,从区块空间使用的角度来看,这是非常低效的。如果这些服务仅在每日/每周的基础上彼此“结算”余额,那么它们可大大减少所需的链上交易量。但是,目前不可能这样做,因为服务A不知道哪些比特币地址属于服务B。如果这些托管服务使用闪电网络,它将自动处理服务之间的冗余链上支付,而不需要知道彼此的身份。
当我在BitGo构建基础设施时,我看到了类似于以下的定期可视化效果,我们自己的客户之间来回进行着成千上万笔交易,他们不知道他们所使用的这个全球账本有多低效。这让人很沮丧,但我们的头脑风暴,在如何解决我们自己的用户(以一种不破坏他们隐私的方式)的问题上还不够。这就是为什么我如此渴望看到闪电网络被采用的原因之一,它无缝地解决了这种巨大的效率低下问题。
主要服务之间资金流动的可视化
目前已知的一些最大的未知数涉及流动性。没有人真正知道什么样的投资回报率对流动性提供者来说是合理的,尽管有一些早期的努力试图量化“闪电网络参考率”。最终,分配给闪电网络通道资本的时间价值将与其他有息资产相比较,尽管公平地说,也许除了Maker DAO之外,没有高度相似的加密资产可本地产生利息。
如果交易费用主要转移到闪电网络,人们对比特币的热力学安全性的可持续性会更关注。在我看来,如果闪电网络允许用户将其链上交易减少X的系数,那么用户愿意支付低于平均比特币x(AVERAGE_BITCOIN_FEE * X)-平均闪电网络费*X(AVERAGE_LIGHTNING_FEE * X)的任何费用是有经济意义的。由于闪电网络支持了全新的用例(在链上是无法实现的),我预计随着用户开放和关闭通道,它将为比特币带来更多的经济活动(和挖矿费用)。闪电网络依赖于链上交易的一个有趣的结果是,一个广泛流行的闪电网络可以为链上交易创造比offload更多的需求,从而大幅增加用户愿意支付的链上费用。我们最终将看到新技术的采用,该技术允许用户通过聚合签名和多方闪电网络通道更有效地使用区块空间;如果很多用户“共享”单笔链上交易,那么很容易看到挖矿费用对于该交易来说可能相对较高,但从每个参与者的角度来看却是较低的。
最后,有一些关于比特币矿工闪电支付用例的讨论。如果哈希工作者们可以通过闪电网络直接获得报酬,那么它可以通过多种方式改变挖矿动态:
支出将不再需要进入保管池钱包;
自动支付不会让区块链充满粉尘UTXO;
哈希矿工可实现实时支付,因为股份提交无需等待区块被发现(这背后可能还有其他的博弈论影响,这将需要略低的支付保险目的);
通过将闪电网络支付与Matt Corallo的Betterhash挖矿协议相结合,它将进一步降低矿池的功率,提高比特币的审查抵抗力;
闪电网络是今年的热门话题,它在2018年取得了如此多的进展,但在我们充分发挥其潜力之前,仍有大量功能和基础设施需要我们去完善。
隐私话题
对于那些正在建设公司的人来说,隐私是一个棘手的问题,因为我们的公司受到国家行动者的干预。我们中的那些人有兴趣学习如何在不成为目标的情况下实现用户隐私。该组织的一些人指出,他们过去常常与很多用户一起运行服务,但在收到政府机构的大量信件后,他们决定不想处理这些麻烦,而是关闭服务从而避免翻车。我们经常在Casa讨论隐私问题,因为我们是一家重服务驱动的公司,所以我们需要与用户保持关系。我们能确定的最安全的方法是,尽可能少地存储有关用户的数据。我们必须假设,在某一时刻,我们可能会被迫交出我们存储的有关用户的所有数据。因此,“不能作恶”是一个比“不要作恶”更强有力的立场,因为它不仅仅是关于我们自己的意图。
加密货币网络隐私性不足造成的最大问题之一是,它损害了可互换性。现在有几家区块链监控公司在跟踪区块链资金并对其进行“污染分析”,并告诉服务部门资金来源“不合法”的可能性有多大。当然,这些都是基于概率的猜测,可能会导致无辜的用户陷入算法的拖网。这些工具显然导致很多比特币用户从各种服务平台中脱离了出来,因为他们被认为是风险客户。
会议上提出的一个特别有趣的观点是,没有人因为区块链分析而被起诉,因为它本身就没有足够的刑事指控证据。更确切地说,这只是调查人员用来更全面了解目标实际拥有多少资金的众多工具之一,这样他们就可确信癫痫发作更成功。。
来自“A Fistful of Bitcoins”论文的区块链分析
根据你所看到的UTXO历史的跳跃次数,你可能会找到一个很好的理由来认为它是“受污染的”,这很像大多数的法定货币都含有微量的可卡因。也许真正的问题来源于比特币的UTXO,如果更多的人混合了他们的UTXO,最终污染分析会为所有的UTXO产生相同的分数,我们将回到一个可互换性的公平竞争环境。但在那之前,先发劣势是那些有隐私意识的用户很可能会被标记为可疑用户。
区块链分析隐私性差的另一个缺点是,它为商业间谍活动打开了比特币业务的大门。很多与定期存款客户的交易和服务仍然没有采用非重用地址的最佳实践,使得对其资金的群集分析变得更容易!此外,对于精通技术的人来说,有可能将小额存款存入竞争对手的服务的地址,然后观看其UTXO的移动,以尝试测量其冷热钱包的价值和容量。
据指出,通过SPV钱包缺陷、Sybil Electrum服务器和网络观察者,IP地址与比特币地址的相关性存在广泛的问题。大多数这些问题的解决方案是运行一个全节点,这样所有的钱包查询都会在本地发生,并且不能被监视,但是反过来,如果您从全节点广播交易,它会为观察交易通过网络传播的网络观察者造成隐私泄漏问题。谢天谢地,Dandelion技术很快就会进入Bitcoin Core代码库,从而掩盖了广播交易的起源节点。
来源:Giulia Fanti,https://www.youtube.com/watch?V= SRE6KDBGI1O
比特币隐私本身就是一个完整的研究领域;对于那些希望深入研究比特币隐私的人,我建议查看开放式比特币隐私项目( Open Bitcoin Privacy Project)的威胁模型。
侧链和扩容
这是去年圆桌会议上发生的少数几个被反复讨论的话题之一。Paul Sztorc多年来一直致力于他的驱动链(Drivechain)概念,目的是减少我们所提提议所需的(硬分叉或软分叉)协议的更改内容。
分布式共识系统的一个棘手的问题是,它们往往忽略系统外部发生的所有事情;这使得系统对外部威胁更强,但也使得很难更改系统以添加新功能。因此,想要尝试异域的未经证实的想法的人,往往会从头开始构建自己的共识系统,最终在注意力和其他资源方面与比特币竞争。这最终激怒了很多比特币支持者,因为竞争项目的创建者成为了新货币的发行者。
驱动链(Drivechain)将使任何人都能建立起自己的网络,利用比特币矿工的力量,将新资产钉在比特币上。这基本上是一种维护者是矿工而非签名者联盟的比特币侧链方法。动态成员身份多方签名(挖矿)可以说比联合更为健壮,因为签名者可以来来去去,相互竞争。在不需要矿工特别参与的情况下,侧链的最佳形式将被钉住,但据我所知,没有人找到一种切实可行的方法来做到这一协议。(为了防止盗窃,可能需要有能力对侧链到比特币挂钩的SPV证明提出质疑,这将对比特币协议产生重大改变)
一个问题是闪电网络是否应被视为侧链。总的共识是,侧链是一个拥有全局共享状态和共识机制的系统,同时也有某种挂钩机制与另一个拥有独立全局共享状态和共识机制的系统。因此,即使你认为闪电网络与比特币挂钩,它也不能成为侧链。闪电网络没有由共识机制产生的全局共享状态。
还应指出的是,侧链的安全性取决于其受欢迎程度,因为它依赖于管理PEG的团队(矿工或联合会)的协调。但我们看到比特币在应对诸如UASF运动、2013年3月分叉决议和2010年通货膨胀事件等问题时出现了大量协调的例子,因此我们有理由抱有希望。
由于其依赖矿工的安全模型,驱动链(Drivechain)的概念仍然被一些开发者视为有问题的;它依赖用户激活的软分叉来通过矿工的共谋来对抗盗窃。看来,在安全性方面,驱动链(Drivechain)提供了一个中间地带-其不如比特币的基础层那么安全,但其比很多依赖可信第三方的系统要更安全。然而,驱动链(Drivechain)是一种无许可的创新-它们不需要更改比特币协议来构建。它只是需要矿工的支持,开始将所需的交易添加到区块中。自从上一次圆桌会议以来,我们获得了在测试网上运行驱动链(Drivechain)的能力;我敢打赌,我们将在下一次中本聪圆桌会议之前看到生产部署的驱动链。
安全硬件
由于各种原因,这是一个特别具有挑战性的问题。人们普遍认为,不可能构建安全的硬件来抵御具有无限时间和资源的攻击者。但是,合理安全的硬件至少应该为你提供更多的时间,以便在攻击者从被捕获的设备中提取私钥之前,将你的加密资产移动到一组新的私钥。
保护比特币硬件的一个挑战是,比特币ECDSA曲线(secp256k1)没有经FIPS认证的芯片。中本聪对这一曲线的选择是相当神秘的,因为它在10年前根本不受欢迎。与流行的NIST曲线不同,secp256k1的常数是以可预测的方式选择的,这大大降低了曲线创建者插入任何后门的可能性。另一方面,这一曲线并没有看到为其构建安全芯片所投入的相同水平的资源。
我们讨论了大多数硅芯片在物理攻击中的脆弱性-通过剥离芯片的顶层,可以将探针连接到硅上并直接读取数据。然而,安全元件的顶层设计,如果芯片被移除,它将完全摧毁芯片。它们通常也有独立的电源,这样具有物理访问权限的攻击者,就不能简单地在电源管道上放置探针来推断芯片内正在处理的数据。
通过https://saleemrashid.com/2018/11/26/breaking-into-bitbox读取和写入数据以保护芯片存储
安全元素的一个未被重视的方面是,它们通常带有经过认证的随机数生成器-大多数操作系统附带的生成器往往是可疑的。安全元素的缺点是,仍有人必须编写在其上运行的软件,这可能会造成信任问题和单点故障。运行不安全软件的安全硬件毕竟不安全。此外,安全元素通常不能执行复杂的操作,因为它们的计算能力有限-比特币交易的实际构造必须发生在安全元素之外和不太安全的微控制器上。
SaleemRashid在一篇关于Ledger Nano S的文章中讨论了这个设计的一些问题。
使用微控制器(MCU)与输入、输出和安全元件(SE)交互
最终,安全硬件的最大问题之一是它仍然依赖于所遵循的最佳实践-存在大量人为错误空间。正如多重签名不是创造一个完美安全钱包的法宝一样,硬件也不是,它是我们应共同使用的为用户构建强大解决方案的众多工具之一。
助记种子语标准
这一讨论深入到了技术领域,且与钱包开发者密切相关。一般的问题是,比特币钱包衍生受到“标准”问题的困扰,我们有BIP 32、BIP 39、BIP 44、BIP 49、BIP 84……而它们不一定都是相互兼容的。
https://xkcd.com/927/
层次确定性的钱包派生标准有一个特别令人沮丧的地方,那就是它们与地址格式标准不太匹配。由于BIP32没有为给定的派生路径指定地址格式,所以钱包开发人员建议修改扩展公钥的版本字节来实现这一点。随着比特币激活了隔离见证,对地址公钥进行编码的方式越来越多。虽然BIP 49提出了一种编码P2WPKH-nested-in-P2SH地址的方法,但它未能更改HD种子版本字节(保留xpub前缀),导致用户不可持续的混淆。用户必须知道xpub使用BIP 49派生,或者xpub的使用者必须扫描两个地址空间(P2PKH以及P2WPKH-in-P2SH)。从长远来看,这个问题可能会继续恶化,需要越来越复杂的扫描逻辑来寻找支持导入种子短语的钱包。
实际上,我去年遇到了这个问题,它引导我创建了这个xpub版本的字节转换器工具。当你构建支持非比特币加密资产的钱包时,问题就变得更加复杂了,这些资产的密钥都来自于一个主种子。目前,我们最接近的标准是中本聪实验室改进提议132,我们想知道提出一个HD标准是否更有意义,该标准为推导添加了一条路径,并将其从:
m/BIP/CoinType/Account/change/index
更改到
m/BIP/CoinType/Account/AddressType/change/index
我们还同意,如果建立一个安全地分割种子短语的标准,这将是非常有帮助的。保持恢复种子的安全是一个极其复杂的物理安全问题,因此我们在Casa开发了一个钱包,其完全摆脱了管理种子的需要。如果你丢失了一个设备,你可以很容易地在keymaster软件中执行密钥旋转,并且你不必直接处理私钥或种子。
我们怀疑很多正在分裂种子的人正在使用某种形式的Shamir秘密分享,但这有几个问题。首先,各种可用的开源SSS工具甚至不兼容……可能是因为它不容易实现!
2017年,Greg Maxwell在Armory的SSS实现中发现了一个用于碎片备份的漏洞。另外还有一个共识,即如果有一个种子分割方案,它还包括每个种子共享的校验和,这样你就可以在不必重新构建所有共享来查看数据是否损坏的情况下验证其完整性,那么这将是一个很大的改进。如果有人花时间制定一个提案,这似乎是一个相当大的胜利。
证券通证
我参加这一讨论是因为我曾故意不看好证券通证,证券通证仍处于萌芽阶段,其属性没有很好地定义,尽管我们似乎确定了一个一般定义:即它们是由一些政府机构作为证券管理的加密token。其中一项数据是,虽然ICO市场在2018年期间价值下降了约90%,但证券代币市场的价值却飙升了1000%。
为什么证券通证很有趣?我们被告知要从私募市场的角度来看待它们,私募市场每年筹集的资金通常比IPO多10倍。为什么要通证化证券?
你可以编程的“智能合约”功能在全球共识级别上强制执行它们的属性。想想股息、股东投票和锁定期;
原子化成为可能-在没有大量开销的情况下进行更细粒度投资的能力;
由于使用开放的、可审计的账本,监管者很友好;
建立全球可互操作股票市场的潜力;
通过分布式交易所和自动化KYC降低交易对手风险;
证券通证构建肯定比实用通证更具挑战性:
它们必须架起传统市场的桥梁,并获得监管机构的批准;
它们负担不起从头开始,放弃现有的功能;
目前必须对每个token重复AML/KYC/认证;
交易所的流动性低,标准的1年锁定无济于事;
如果基础账本平台上有一个分叉,你会怎么做?
区块链不具有很好的可扩展性,这就产生了压力,使其像传统的非区块链系统一样集中在几个交易所周围;
目前没有任何合格的保管者;
保管者必须如何处理分叉/空投的法律灰色区域。如果保管者有单独的自由裁量权,这是一种ERISA违规行为,这种情况发生的可能性会阻止机构投资;
有可能在代币发行时遵守相关规定,但一旦发生跨境交易(如超过某个国家允许的投资者数量),则会出现违规情况;
有人猜测,购买证券通证的人将来自于今天购买传统证券的参与者,他们甚至可能不会意识到基础管道已经改变为不同的系统。该领域的观察表明,迄今为止,证券通证市场已经有90%的交易是通过法币进行的,但在加密货币市场牛市期间,随着投资者寻求多样化,约80%的交易是通过加密货币进行的。
我仍然不认为它们和无需许可的加密资产一样有趣,但我必须承认,证券通证可改善用于管理受监管股权的传统金融系统。
关于Grin
从2016年底开始,我便对mimblewimble感兴趣了,现在有多个运用 MimbleWimble协议的网络正在运行,我们可以看到它们在竞争环境中的表现如何!
(旁白:我对Grin的兴趣不是投资建议。我不建议人们投资BTC,更不要说投资更具实验性质的竞争币。)
其中一个最大的问题是“为什么投资者对GRIN如此感兴趣?”,有几个猜测性的答案:
寻求类似风险敞口的投资者如果没有获得Beam的股权,可能会觉得grin更讨人喜欢;
考虑到GRIN的发行时间表,近期通胀率高以及它的长期排放计划,其价格可能会长期处于低位。
与其现在买grin,不如先把它卖掉,然后之后再以低价囤积它们;
Grin的优势:
其风气似乎与比特币和密码朋克的风气相当接近;
作为一个竞争币,其发布非常公平;
与比特币相同的脚本语言,但是作为秘密插入签名的“无脚本脚本”;
Grin的区块链是相对于用户数量而非交易量进行扩展的,每个用户大约扩展100字节;
你可以通过给出一个查看密钥来自动解除你的资金匿名性;
Grin的弱点:
Grin的经济模型是平均每秒1个的排放速度,并且永远会持续下去,这会挡住很多人。在足够长的时间内,其通胀率将低于法定货币的平均水平,但大多数人可能没有足够的耐心等待数十年的时间;
当它涉及到通过捐赠模式资助开发人员时,就遇到了所谓的公地悲剧问题。因为投资回报率是可测量的,而投资于开发的资金则不是可测量的,所以大量的资金投入到了挖矿业中。有人猜测,在通过矿业积累了一些价值后,这些基金可能会变得不那么吝啬,并将捐赠一部分开采的grin。Grinmint已选择将一定比例的资金捐赠给Grin开发团队。此外,Obelisk还承诺将其GRIN ASIC收入的一部分捐赠给GRIN开发;
交易签名是交互式的,这会造成复杂性。尤其是冷存储需要额外的步骤,例如,通过二维码将部分签名的交易转移到气隙机器上或从气隙机器上转移。
交互式签名的一个选择是通过连接对方的IP地址来实现,这当然是一个巨大的隐私问题;
交互式签名打开了中间人攻击的可能性-一个安全的通信通道是必要的;
我们还讨论了一般的隐私币,我了解到机构正在接受隐私加密货币,因为没有任何传统资产具有类似于区块链分析工具的东西;它们依赖于标准的AML/KYC流程。区块链分析工具实际上会让企业感到悲伤,因为很多人不明白法律不要求指定特定的UTXO,只是基金的总价值。因此,“受污染”的基金可能会被标记在已发生执法行动(扣押)的下游。
我期待着看到类似技术的发展,也许有一天我们会看到比特币的MW侧链。
比特币价格
哈哈,这是开玩笑的!价格讨论是很少的。最常见的是在主题演讲中讨论了S曲线和采用周期。我们确实听到了一些关于出生率的清晰见解,以及随着人口年龄的增长,出生率的上升或下降会产生连锁反应,从而导致各个领域出现泡沫。例如,男性购买摩托车的高峰期在40多岁左右,而哈雷戴维森(Harley Davidson)的销量(以及股票价格)也在婴儿潮一代人步入中年时达到顶峰。至于比特币,谁知道呢……在场的大多数人似乎都认为,我们还没有看到最后一次比特币泡沫,但不管是1年还是10年,这一切都悬而未决的。
中本聪圆桌会议上看到的唯一泡沫
回到BUIDL
和往常一样,这种不一致是从构建加密生态系统基础设施中获得的教育和娱乐性突破。2020年见!
原文:https://medium.com/@lopp/satoshi-roundtable-v-recap-151dab7548bb
作者:Jameson Lopp
编译:洒脱喜
康奈尔大学教授:MimbleWimble并未解决实际问题,反而创造了新的问题
观点 • 8btc 发表了文章 • 2019-02-03 10:29
区块链伴随着比特币步入了第一个十年。在这十年间,比特币收获了一众忠粉,区块链也越来越被大众所青睐,但这项技术在普及的道路上依然面临着一些阻碍。
康奈尔大学教授Emin Gün Sirer认为,区块链的延展性问题是比特币发展道路上的重大挑战。技术出身的Sirer活跃于加密货币社区,对区块链扩容有着深入的研究。为了将自己的研究投入应用,他创立了区块链扩容基础设施bloXroute Labs。
该公司的扩容方案bloXroute是0层解决方案,其作用和互联网内容分发网络类似。他认为延展性问题要在共识层解决,而共识面临的瓶颈则在于0层。
在接受巴比特采访时,Sirer除了谈到对区块链扩容的看法以及康奈尔大学在区块链方面的布局之外,还对社区热点进行了分析。针对前段时间ETC网络的51%攻击事件,Sier透露,主要的问题在于该网络算力与币种价格的不对称,算力租赁市场的繁荣也是造成ETC遭受攻击的原因之一。另外,对于近期大火的Grin,Sier似乎并不看好。他认为MimbleWimble只是密码学上的数字游戏,并没有解决任何实际问题,反而带来了更多新的问题。
作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
以下是本次采访全文(有删减):
8btc:能否简单介绍一下bloXroute?
Emin Gün Sirer:BloXroute是0层(layer zero)解决方案,旨在提供用于区块链扩容的基础设施。bloXroute的目标是成为像阿卡迈(Akamai)一样的公司。在互联网诞生早期,其运转速度非常慢,常常会出现拥堵的状况,阿卡迈就为内容创造者提供了更好的基础设施。同样的,bloXroute也能为加密货币和区块链运作基础设施。bloXroute与阿卡迈的唯一区别在于,bloXroute不需要用户信任这家公司——即便是中心化的服务设施,也可以做到去信任化,这就意味着用户可以完全信任这一服务能够正常运行,不会存在违法行为。
8btc:能具体讲讲0层是什么吗?
Emin Gün Sirer:0层是经常会被遗忘的网络层。延展性问题需要在共识层解决,而共识的真正瓶颈在于0层。
8btc:bloXroute目前是否已经接入具体的区块链网络?
Emin Gün Sirer:bloXroute支持比特币和比特币现金(BCH)网络已经有两年的时间了,目前我们正在准备接入以太坊网络。
8btc:bloXroute的进展如何?
Emin Gün Sirer:和大多数同类公司相比,我们领先一步:我们的核心产品已经开发完成并且开始运作。bloXroute的基础设施在两个独立的网络中推动区块和交易已经有两年的时间了。建立在核心产品周围的商业基础设施和代币都是全新的概念,我们为这项核心技术的商业化所创造出的创新业务模式感到激动。
8btc:您认为解决比特币延展性问题的关键是什么?
Emin Gün Sirer:延展性问题并非比特币独有:现阶段所有区块链以及coinmarketcap上列出的所有币种都在以极低的速度运行。在这个时代,小型的嵌入式计算机每秒能够支持10万笔交易,物联网需要每秒1亿次的交易,而相比之下,比特币每秒只能处理3笔交易,以太坊只有15笔。而交易处理性能更高的系统可能会在去中心化方面做出牺牲。现有系统的瓶颈都在于网络层:不可能通过修改参数就能提高其吞吐量,这只会迫使矿工建立更紧密的联系,进行合作运行,导致加密货币的中心化。bloXroute就能解决这方面的问题。
8btc:延展性真的是阻碍比特币发展的关键吗?
Emin Gün Sirer:当然。如果委内瑞拉现在开始全民使用比特币,那么每一位成年人每36天只能完成一笔交易。这就告诉了我们,加密货币爱好者普及这一技术的梦想距离其真正能够实现的目标还有很远。我们需要缩小这样的差距,使其满足人们对这项技术的期待。
8btc:康奈尔大学在区块链方面有哪些布局?
Emin Gün Sirer:康奈尔大学的研究者在区块链技术方面的创新由来已久。尤其是我的团队在2002或2003年创造了一个PoW区块链,比中本聪公布比特币早了5到6年。我们还发现了中本聪共识存在的根本缺陷,也是第一个正确描述比特币安全限制的团队。我们打造出了速度最快的链下扩容方案Teechain。我们创造并运作的比特币和BCH中继网络Falcon已经正常运行两年的时间。
8btc:您认为PoW币种可以从ETC的51%攻击当中学到什么?您是否认为PoS是更好的选择?
Emin Gün Sirer:ETC遭受的51%攻击源于该币种算力与价格的不对称:用较低的算力保护较高价值的加密货币就相当于邀请黑客去租借算力。其他PoW币种应该意识到这两点:第一,提供大量算力的租赁市场;第二,算力高低与币种价值的联系。如果不存在超额算力,只有一种主流的币种并且所有算力都部署在这里,就没有什么好担心的了。如果存在较高算力,那也没什么好担心的,这就代表着攻击成本也很高。
然而,现阶段存在很多不同的币种,很多矿工都在蠢蠢欲动,计划发动51%攻击。因此,由于租借算力业务的存在,很多PoW币种就容易遭到51%攻击。相比之下,针对此类攻击,PoS能够起到更好的保护作用,但现有的PoS共识机制比较脆弱——容易遭到其他类型的攻击。
8btc:您对Grin和Beam这两种基于MimbleWimble的匿名币怎么看?
Emin Gün Sirer:MimbleWimble其实是一种数字把戏。密码学领域存在很多同类的把戏——有些甚至更加复杂,MimbleWimble其实并没有那么重要。其对UTXO集大小进行了特殊的优化,而UTXO集大小并非加密货币面临最重大且最紧迫的问题。
MimbleWimble提供的匿名性也并未做到最好——用户的行为在网络层依然是可见的。更糟糕的是,这类协议的运作方式带来了两个问题:收款方接收交易必须要保持在线状态,如果收款方在收到资金之后并未选择入账,那么区块链上也不会有任何可用的证据用于解决纠纷。最后,Grin和Beam使用了传统区块链,这就意味着无论他们把UTXO集大小优化到什么程度都不会有太大意义。
因此,总的来说我认为MimbleWimble协议只不过满足了些许求知欲,但在没有解决问题的同时还带来了很多新的问题。作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
8btc:新的一年,您想对比特币和区块链社区说什么?
Emin Gün Sirer:我们依然处于这一领域发展的早期阶段。所谓的‘区块链寒冬’对于任何伟大的事物来说都不罕见。专注你们的梦想,让区块链成为人与人之间不可或缺的支付机制,成为机器之间的交流方式。忽视激进主义:现有的区块链当中,没有一个能够帮助我们实现这个梦想,就像早期的计算机网络协议无法创造出今天的互联网一样。要支持能够解决最迫切问题的全新且稳定的技术。
作者:Wendy 查看全部
康奈尔大学教授Emin Gün Sirer认为,区块链的延展性问题是比特币发展道路上的重大挑战。技术出身的Sirer活跃于加密货币社区,对区块链扩容有着深入的研究。为了将自己的研究投入应用,他创立了区块链扩容基础设施bloXroute Labs。
该公司的扩容方案bloXroute是0层解决方案,其作用和互联网内容分发网络类似。他认为延展性问题要在共识层解决,而共识面临的瓶颈则在于0层。
在接受巴比特采访时,Sirer除了谈到对区块链扩容的看法以及康奈尔大学在区块链方面的布局之外,还对社区热点进行了分析。针对前段时间ETC网络的51%攻击事件,Sier透露,主要的问题在于该网络算力与币种价格的不对称,算力租赁市场的繁荣也是造成ETC遭受攻击的原因之一。另外,对于近期大火的Grin,Sier似乎并不看好。他认为MimbleWimble只是密码学上的数字游戏,并没有解决任何实际问题,反而带来了更多新的问题。
作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
以下是本次采访全文(有删减):
8btc:能否简单介绍一下bloXroute?
Emin Gün Sirer:BloXroute是0层(layer zero)解决方案,旨在提供用于区块链扩容的基础设施。bloXroute的目标是成为像阿卡迈(Akamai)一样的公司。在互联网诞生早期,其运转速度非常慢,常常会出现拥堵的状况,阿卡迈就为内容创造者提供了更好的基础设施。同样的,bloXroute也能为加密货币和区块链运作基础设施。bloXroute与阿卡迈的唯一区别在于,bloXroute不需要用户信任这家公司——即便是中心化的服务设施,也可以做到去信任化,这就意味着用户可以完全信任这一服务能够正常运行,不会存在违法行为。
8btc:能具体讲讲0层是什么吗?
Emin Gün Sirer:0层是经常会被遗忘的网络层。延展性问题需要在共识层解决,而共识的真正瓶颈在于0层。
8btc:bloXroute目前是否已经接入具体的区块链网络?
Emin Gün Sirer:bloXroute支持比特币和比特币现金(BCH)网络已经有两年的时间了,目前我们正在准备接入以太坊网络。
8btc:bloXroute的进展如何?
Emin Gün Sirer:和大多数同类公司相比,我们领先一步:我们的核心产品已经开发完成并且开始运作。bloXroute的基础设施在两个独立的网络中推动区块和交易已经有两年的时间了。建立在核心产品周围的商业基础设施和代币都是全新的概念,我们为这项核心技术的商业化所创造出的创新业务模式感到激动。
8btc:您认为解决比特币延展性问题的关键是什么?
Emin Gün Sirer:延展性问题并非比特币独有:现阶段所有区块链以及coinmarketcap上列出的所有币种都在以极低的速度运行。在这个时代,小型的嵌入式计算机每秒能够支持10万笔交易,物联网需要每秒1亿次的交易,而相比之下,比特币每秒只能处理3笔交易,以太坊只有15笔。而交易处理性能更高的系统可能会在去中心化方面做出牺牲。现有系统的瓶颈都在于网络层:不可能通过修改参数就能提高其吞吐量,这只会迫使矿工建立更紧密的联系,进行合作运行,导致加密货币的中心化。bloXroute就能解决这方面的问题。
8btc:延展性真的是阻碍比特币发展的关键吗?
Emin Gün Sirer:当然。如果委内瑞拉现在开始全民使用比特币,那么每一位成年人每36天只能完成一笔交易。这就告诉了我们,加密货币爱好者普及这一技术的梦想距离其真正能够实现的目标还有很远。我们需要缩小这样的差距,使其满足人们对这项技术的期待。
8btc:康奈尔大学在区块链方面有哪些布局?
Emin Gün Sirer:康奈尔大学的研究者在区块链技术方面的创新由来已久。尤其是我的团队在2002或2003年创造了一个PoW区块链,比中本聪公布比特币早了5到6年。我们还发现了中本聪共识存在的根本缺陷,也是第一个正确描述比特币安全限制的团队。我们打造出了速度最快的链下扩容方案Teechain。我们创造并运作的比特币和BCH中继网络Falcon已经正常运行两年的时间。
8btc:您认为PoW币种可以从ETC的51%攻击当中学到什么?您是否认为PoS是更好的选择?
Emin Gün Sirer:ETC遭受的51%攻击源于该币种算力与价格的不对称:用较低的算力保护较高价值的加密货币就相当于邀请黑客去租借算力。其他PoW币种应该意识到这两点:第一,提供大量算力的租赁市场;第二,算力高低与币种价值的联系。如果不存在超额算力,只有一种主流的币种并且所有算力都部署在这里,就没有什么好担心的了。如果存在较高算力,那也没什么好担心的,这就代表着攻击成本也很高。
然而,现阶段存在很多不同的币种,很多矿工都在蠢蠢欲动,计划发动51%攻击。因此,由于租借算力业务的存在,很多PoW币种就容易遭到51%攻击。相比之下,针对此类攻击,PoS能够起到更好的保护作用,但现有的PoS共识机制比较脆弱——容易遭到其他类型的攻击。
8btc:您对Grin和Beam这两种基于MimbleWimble的匿名币怎么看?
Emin Gün Sirer:MimbleWimble其实是一种数字把戏。密码学领域存在很多同类的把戏——有些甚至更加复杂,MimbleWimble其实并没有那么重要。其对UTXO集大小进行了特殊的优化,而UTXO集大小并非加密货币面临最重大且最紧迫的问题。
MimbleWimble提供的匿名性也并未做到最好——用户的行为在网络层依然是可见的。更糟糕的是,这类协议的运作方式带来了两个问题:收款方接收交易必须要保持在线状态,如果收款方在收到资金之后并未选择入账,那么区块链上也不会有任何可用的证据用于解决纠纷。最后,Grin和Beam使用了传统区块链,这就意味着无论他们把UTXO集大小优化到什么程度都不会有太大意义。
因此,总的来说我认为MimbleWimble协议只不过满足了些许求知欲,但在没有解决问题的同时还带来了很多新的问题。作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
8btc:新的一年,您想对比特币和区块链社区说什么?
Emin Gün Sirer:我们依然处于这一领域发展的早期阶段。所谓的‘区块链寒冬’对于任何伟大的事物来说都不罕见。专注你们的梦想,让区块链成为人与人之间不可或缺的支付机制,成为机器之间的交流方式。忽视激进主义:现有的区块链当中,没有一个能够帮助我们实现这个梦想,就像早期的计算机网络协议无法创造出今天的互联网一样。要支持能够解决最迫切问题的全新且稳定的技术。
作者:Wendy 查看全部
区块链伴随着比特币步入了第一个十年。在这十年间,比特币收获了一众忠粉,区块链也越来越被大众所青睐,但这项技术在普及的道路上依然面临着一些阻碍。
康奈尔大学教授Emin Gün Sirer认为,区块链的延展性问题是比特币发展道路上的重大挑战。技术出身的Sirer活跃于加密货币社区,对区块链扩容有着深入的研究。为了将自己的研究投入应用,他创立了区块链扩容基础设施bloXroute Labs。
该公司的扩容方案bloXroute是0层解决方案,其作用和互联网内容分发网络类似。他认为延展性问题要在共识层解决,而共识面临的瓶颈则在于0层。
在接受巴比特采访时,Sirer除了谈到对区块链扩容的看法以及康奈尔大学在区块链方面的布局之外,还对社区热点进行了分析。针对前段时间ETC网络的51%攻击事件,Sier透露,主要的问题在于该网络算力与币种价格的不对称,算力租赁市场的繁荣也是造成ETC遭受攻击的原因之一。另外,对于近期大火的Grin,Sier似乎并不看好。他认为MimbleWimble只是密码学上的数字游戏,并没有解决任何实际问题,反而带来了更多新的问题。
作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
以下是本次采访全文(有删减):
8btc:能否简单介绍一下bloXroute?
Emin Gün Sirer:BloXroute是0层(layer zero)解决方案,旨在提供用于区块链扩容的基础设施。bloXroute的目标是成为像阿卡迈(Akamai)一样的公司。在互联网诞生早期,其运转速度非常慢,常常会出现拥堵的状况,阿卡迈就为内容创造者提供了更好的基础设施。同样的,bloXroute也能为加密货币和区块链运作基础设施。bloXroute与阿卡迈的唯一区别在于,bloXroute不需要用户信任这家公司——即便是中心化的服务设施,也可以做到去信任化,这就意味着用户可以完全信任这一服务能够正常运行,不会存在违法行为。
8btc:能具体讲讲0层是什么吗?
Emin Gün Sirer:0层是经常会被遗忘的网络层。延展性问题需要在共识层解决,而共识的真正瓶颈在于0层。
8btc:bloXroute目前是否已经接入具体的区块链网络?
Emin Gün Sirer:bloXroute支持比特币和比特币现金(BCH)网络已经有两年的时间了,目前我们正在准备接入以太坊网络。
8btc:bloXroute的进展如何?
Emin Gün Sirer:和大多数同类公司相比,我们领先一步:我们的核心产品已经开发完成并且开始运作。bloXroute的基础设施在两个独立的网络中推动区块和交易已经有两年的时间了。建立在核心产品周围的商业基础设施和代币都是全新的概念,我们为这项核心技术的商业化所创造出的创新业务模式感到激动。
8btc:您认为解决比特币延展性问题的关键是什么?
Emin Gün Sirer:延展性问题并非比特币独有:现阶段所有区块链以及coinmarketcap上列出的所有币种都在以极低的速度运行。在这个时代,小型的嵌入式计算机每秒能够支持10万笔交易,物联网需要每秒1亿次的交易,而相比之下,比特币每秒只能处理3笔交易,以太坊只有15笔。而交易处理性能更高的系统可能会在去中心化方面做出牺牲。现有系统的瓶颈都在于网络层:不可能通过修改参数就能提高其吞吐量,这只会迫使矿工建立更紧密的联系,进行合作运行,导致加密货币的中心化。bloXroute就能解决这方面的问题。
8btc:延展性真的是阻碍比特币发展的关键吗?
Emin Gün Sirer:当然。如果委内瑞拉现在开始全民使用比特币,那么每一位成年人每36天只能完成一笔交易。这就告诉了我们,加密货币爱好者普及这一技术的梦想距离其真正能够实现的目标还有很远。我们需要缩小这样的差距,使其满足人们对这项技术的期待。
8btc:康奈尔大学在区块链方面有哪些布局?
Emin Gün Sirer:康奈尔大学的研究者在区块链技术方面的创新由来已久。尤其是我的团队在2002或2003年创造了一个PoW区块链,比中本聪公布比特币早了5到6年。我们还发现了中本聪共识存在的根本缺陷,也是第一个正确描述比特币安全限制的团队。我们打造出了速度最快的链下扩容方案Teechain。我们创造并运作的比特币和BCH中继网络Falcon已经正常运行两年的时间。
8btc:您认为PoW币种可以从ETC的51%攻击当中学到什么?您是否认为PoS是更好的选择?
Emin Gün Sirer:ETC遭受的51%攻击源于该币种算力与价格的不对称:用较低的算力保护较高价值的加密货币就相当于邀请黑客去租借算力。其他PoW币种应该意识到这两点:第一,提供大量算力的租赁市场;第二,算力高低与币种价值的联系。如果不存在超额算力,只有一种主流的币种并且所有算力都部署在这里,就没有什么好担心的了。如果存在较高算力,那也没什么好担心的,这就代表着攻击成本也很高。
然而,现阶段存在很多不同的币种,很多矿工都在蠢蠢欲动,计划发动51%攻击。因此,由于租借算力业务的存在,很多PoW币种就容易遭到51%攻击。相比之下,针对此类攻击,PoS能够起到更好的保护作用,但现有的PoS共识机制比较脆弱——容易遭到其他类型的攻击。
8btc:您对Grin和Beam这两种基于MimbleWimble的匿名币怎么看?
Emin Gün Sirer:MimbleWimble其实是一种数字把戏。密码学领域存在很多同类的把戏——有些甚至更加复杂,MimbleWimble其实并没有那么重要。其对UTXO集大小进行了特殊的优化,而UTXO集大小并非加密货币面临最重大且最紧迫的问题。
MimbleWimble提供的匿名性也并未做到最好——用户的行为在网络层依然是可见的。更糟糕的是,这类协议的运作方式带来了两个问题:收款方接收交易必须要保持在线状态,如果收款方在收到资金之后并未选择入账,那么区块链上也不会有任何可用的证据用于解决纠纷。最后,Grin和Beam使用了传统区块链,这就意味着无论他们把UTXO集大小优化到什么程度都不会有太大意义。
因此,总的来说我认为MimbleWimble协议只不过满足了些许求知欲,但在没有解决问题的同时还带来了很多新的问题。作为一个技术专家,我认为长期来看这种协议没有什么能够吸引我的。不过,相关币种的价格可能会起起落落,一些内部人士可能会赚到很多钱。
8btc:新的一年,您想对比特币和区块链社区说什么?
Emin Gün Sirer:我们依然处于这一领域发展的早期阶段。所谓的‘区块链寒冬’对于任何伟大的事物来说都不罕见。专注你们的梦想,让区块链成为人与人之间不可或缺的支付机制,成为机器之间的交流方式。忽视激进主义:现有的区块链当中,没有一个能够帮助我们实现这个梦想,就像早期的计算机网络协议无法创造出今天的互联网一样。要支持能够解决最迫切问题的全新且稳定的技术。
作者:Wendy
Zcash创始人:Grin和Beam无法与我们竞争
项目 • 8btc 发表了文章 • 2019-02-01 16:27
Zcash是最早推出的隐私币之一,其吸引了大量的加密货币新用户。Zcash公司的CEO以及该项协议的核心开发者Zooko Wilcox近期表示,Grin和Beam的出现让他感到很高兴,但他并不认为这两种币可以和Zcash相提并论或者说并不是Zcash的竞争对手。
它们(Grin和Beam)比较脆弱,而且基础上存在局限。我认为它们的底层技术不够强大。
这可能源于Wilcox本人对Mimblewimble协议存在疑惑。他曾在推特上发问:
用户的私人数据会给谁看?是矿工吗?这一点我不能理解。
Grin和Beam这两种全新的隐私币自推出以来吸引了很多人的注意。Wilcox对两者做出的贡献表示肯定:
我很喜欢他们的社区还有创始人。开发者很友好……我们需要更多的隐私币。
但Wilcox并不认为Zcash是隐私币。
我不认为Zcash是隐私币,它是通用的互联网货币。
就像是用于加密浏览器链接的SSL(加密通讯协定)网页安全协议一样,“人人都会使用它。” Wilcox甚至认为最终能够取代比特币的币种就是Zcash,可能还需要30年的时间。
Zcash是唯一一种在隐私上有所创新,并且在主流加密社区得到普及和支持的币种。
比特币和以太坊都存在信息泄露的问题。比特币无法用于主流商业活动……如果没有隐私就不够安全。
Zcash在去年得到了纽约金融服务署的许可。Wilcox表示,去年的关注点在于合规,今年,他们将专注于网络发展。
Wilcox透露,今年的计划主要分为三个部分:
挖矿升级——Wilcox说,他们原先考虑从PoW切换到PoS,但他们认为这两种共识协议都存在缺陷,希望能够找出一个“混合方案”。目前他们暂未作出最终决定,但他们绝对会在今年对挖矿生态做出一些改变。
创始人奖励——Zcash奖励机制每年都会释放资金给利益相关者以确保其正常的开发工作。前四年,区块奖励的20%都会发给创始人、投资者、顾问以及Zcash基金会。目前他们正在讨论成立一个新的开发者基金以鼓励开发活动。
技术进展和研究——Zcash的首要目标就是大范围部署加密地址并且通过升级来改善Zcash网络的性能。Wilcox说除此之外他们还需要着眼于长远目标,利用他所说的“业内最优秀团队”来实现Zcash的进一步发展。
原文:https://www.theblockcrypto.com/2019/01/30/zcash-ceo-i-dont-see-grin-and-beam-as-competition/
作者:Isabel Woodford
编译:Wendy 查看全部
它们(Grin和Beam)比较脆弱,而且基础上存在局限。我认为它们的底层技术不够强大。
这可能源于Wilcox本人对Mimblewimble协议存在疑惑。他曾在推特上发问:
用户的私人数据会给谁看?是矿工吗?这一点我不能理解。
Grin和Beam这两种全新的隐私币自推出以来吸引了很多人的注意。Wilcox对两者做出的贡献表示肯定:
我很喜欢他们的社区还有创始人。开发者很友好……我们需要更多的隐私币。
但Wilcox并不认为Zcash是隐私币。
我不认为Zcash是隐私币,它是通用的互联网货币。
就像是用于加密浏览器链接的SSL(加密通讯协定)网页安全协议一样,“人人都会使用它。” Wilcox甚至认为最终能够取代比特币的币种就是Zcash,可能还需要30年的时间。
Zcash是唯一一种在隐私上有所创新,并且在主流加密社区得到普及和支持的币种。
比特币和以太坊都存在信息泄露的问题。比特币无法用于主流商业活动……如果没有隐私就不够安全。
Zcash在去年得到了纽约金融服务署的许可。Wilcox表示,去年的关注点在于合规,今年,他们将专注于网络发展。
Wilcox透露,今年的计划主要分为三个部分:
挖矿升级——Wilcox说,他们原先考虑从PoW切换到PoS,但他们认为这两种共识协议都存在缺陷,希望能够找出一个“混合方案”。目前他们暂未作出最终决定,但他们绝对会在今年对挖矿生态做出一些改变。
创始人奖励——Zcash奖励机制每年都会释放资金给利益相关者以确保其正常的开发工作。前四年,区块奖励的20%都会发给创始人、投资者、顾问以及Zcash基金会。目前他们正在讨论成立一个新的开发者基金以鼓励开发活动。
技术进展和研究——Zcash的首要目标就是大范围部署加密地址并且通过升级来改善Zcash网络的性能。Wilcox说除此之外他们还需要着眼于长远目标,利用他所说的“业内最优秀团队”来实现Zcash的进一步发展。
原文:https://www.theblockcrypto.com/2019/01/30/zcash-ceo-i-dont-see-grin-and-beam-as-competition/
作者:Isabel Woodford
编译:Wendy 查看全部
Zcash是最早推出的隐私币之一,其吸引了大量的加密货币新用户。Zcash公司的CEO以及该项协议的核心开发者Zooko Wilcox近期表示,Grin和Beam的出现让他感到很高兴,但他并不认为这两种币可以和Zcash相提并论或者说并不是Zcash的竞争对手。
它们(Grin和Beam)比较脆弱,而且基础上存在局限。我认为它们的底层技术不够强大。
这可能源于Wilcox本人对Mimblewimble协议存在疑惑。他曾在推特上发问:
用户的私人数据会给谁看?是矿工吗?这一点我不能理解。
Grin和Beam这两种全新的隐私币自推出以来吸引了很多人的注意。Wilcox对两者做出的贡献表示肯定:
我很喜欢他们的社区还有创始人。开发者很友好……我们需要更多的隐私币。
但Wilcox并不认为Zcash是隐私币。
我不认为Zcash是隐私币,它是通用的互联网货币。
就像是用于加密浏览器链接的SSL(加密通讯协定)网页安全协议一样,“人人都会使用它。” Wilcox甚至认为最终能够取代比特币的币种就是Zcash,可能还需要30年的时间。
Zcash是唯一一种在隐私上有所创新,并且在主流加密社区得到普及和支持的币种。
比特币和以太坊都存在信息泄露的问题。比特币无法用于主流商业活动……如果没有隐私就不够安全。
Zcash在去年得到了纽约金融服务署的许可。Wilcox表示,去年的关注点在于合规,今年,他们将专注于网络发展。
Wilcox透露,今年的计划主要分为三个部分:
挖矿升级——Wilcox说,他们原先考虑从PoW切换到PoS,但他们认为这两种共识协议都存在缺陷,希望能够找出一个“混合方案”。目前他们暂未作出最终决定,但他们绝对会在今年对挖矿生态做出一些改变。
创始人奖励——Zcash奖励机制每年都会释放资金给利益相关者以确保其正常的开发工作。前四年,区块奖励的20%都会发给创始人、投资者、顾问以及Zcash基金会。目前他们正在讨论成立一个新的开发者基金以鼓励开发活动。
技术进展和研究——Zcash的首要目标就是大范围部署加密地址并且通过升级来改善Zcash网络的性能。Wilcox说除此之外他们还需要着眼于长远目标,利用他所说的“业内最优秀团队”来实现Zcash的进一步发展。
原文:https://www.theblockcrypto.com/2019/01/30/zcash-ceo-i-dont-see-grin-and-beam-as-competition/
作者:Isabel Woodford
编译:Wendy
