ROOT:幣印潘志彪：Taproot，解決比特幣隱私問題丨2020全球區塊鏈算力大會

8月22日-23日，“共享新機遇——2020全球區塊鏈算力大會暨新基建礦業峰會”在成都舉行。本次大會由成都市新經濟委、成都市科技局及成都市成華區人民政府指導，由成都市成華區新經濟和科技局、成都市成華區投促局、巴比特、鏈節點、印比特主辦。在大會上，幣印創始人潘志彪帶來題為《Taproot-?特幣隱私之路》的主題分享。

Taproot是什么？如何解決比特幣隱私問題？潘志彪為我們介紹了技術層面解決方案。

以下為演講全文：

今天為從隱私問題角度為大家介紹比特幣即將要做的Taproot。以下圖片就是Taproot的意思，上面只能看到一個小葉，下面可能包含了各種復雜性。

聲音 | 幣印創始人潘志彪：Dapp從來沒起過規模:2月22日19點，幣信圈內人第一期開啟。本次圈內人的主題為「每次減半都在的人聊減半」。對話中，幣印創始人潘志彪提到：“Dapp從來沒起過規模，似乎涼涼了；Defi有幾個優點：抵押式去中心化的穩定幣；并且抵押物相對安全，鎖在智能合約里；缺點：報價需要預言機輸入，你得相信預言機合約；金融類的合約代碼復雜，一旦出問題，可能風險也不小。”[2020/2/22]

解決比特幣的隱私性問題，或者數字貨幣的隱私性問題有三大方向：第一，幣是怎么來的，從A轉給B，B再轉給C，這個流向是公開暴露的，所以我們要解決幣是怎么來的問題；第二，幣是怎么花的，往外轉的時候去了哪個地方，目前有很多專業的數據網站通過流量分析、流向分析來解決隱私性問題；第三，幣有多少數量，你給別人轉幣的時候，別人都是公開的，通過簡單的數學推理可以完成漂亮的數學運算。

聲音 | 幣印創始人：對于加密資產開發來說，隱私比可擴展性重要得多:幣印創始人潘志彪近期接受福布斯采訪時表示，比特幣的隱私性必須得到改善，目前的隱私功能使BTC容易受到潛在監管收緊的影響。對于加密資產的開發來說，隱私比可擴展性重要得多。潘志彪稱，從理論上講，有關部門或執法機構可能會開始要求礦工屏蔽某些接收或發送資金的地址。然而在這種情況下將是51%的BTC網絡。除非盡快找到解決這個問題的辦法，否則政府將有機會阻止某些地址的交易發生。如果政府或執法部門開始建立交易地址黑名單，將使某些交易無法打包。但如果有隱私，就不知道地址屬于誰，也無法確定金額，更無法控制比特幣系統。所以對我來說，如果隱私問題可以解決，比特幣基本上就沒有問題了。（U.Today）[2019/10/19]

Taproot

聲音 | 幣印礦池朱砝：正常礦池不會幫幣安進行區塊重組以恢復被盜BTC:針對此前幣安熱錢包被盜7000枚BTC，有關利用區塊重組恢復被盜BTC的討論在推特上持續發酵，對此，幣印礦池創始人朱砝發朋友圈稱，個人覺得這個事絕對辦不成，正常礦池不可能幫幣安做這個事情，做這件事的礦池壓根不懂比特幣，沒資格做比特幣礦池。

而針對利用區塊重組恢復被盜BTC，趙長鵬此前已發推表示，經討論后決定不采用重組方式來恢復被盜金額。主要考慮因素有：1.可能會影響比特幣的可信度；2.可能會導致比特幣網絡和社區分裂；3.這對于幣安來說是一個教訓。[2019/5/8]

Taproot是著名的GregoryMaxwell在2018年1月份提出的，在今年的時候他把這個代碼發出來了。開發者也在進行一些大膽的討論，很快可以進MAST分支上。MAST，JohnsonLau于2016年4月由BIP114提出的。

金色相對論 |?幣印潘志彪：閃電網絡隱私方面做得非常好:在本期金色相對論之“閃電網絡：Hello，TPS”上，金色財經合伙人佟揚對話幣印創始人潘志彪，針對閃電網絡未來的演化路徑及應用前景會是怎么樣的問題，潘志彪表示：閃電網絡是各種節點相互連接形成的網絡。僅有大節點整個網絡是無法工作的。網絡中分布著節點，有個人的，也有企業的。有的節點很大，幾萬個通道；有的節點很小，幾個通道。閃電網絡的節點，是門檻相對較低的，任何一個軟件工程師都可以很快速搭一個節點，普通人借助技術工具也可以快速搭建。只要是市場是開放的，競爭是自由的，那么網絡就基本上保持著去中心化。關于抗審查性，因為流經過N個節點，隱私性遠遠好于直接發出來的比特幣交易。絕大部分交易所都是需要做KYC的，鏈上交易簡直沒有隱私可言，而閃電網絡隱私方面非常好。關于演化路徑及應用前景，主要是支付領域，目前來看依然是獨立節點占主流。當前大部分的閃電網絡錢包，依然不是真正意義上的閃電網絡錢包。普及閃電網絡的方向仍是onchain+獨立節點。[2019/3/7]

比特幣的腳本演進基本有三個階段：

第一是P2PKH；

第二是P2SH，可以做一些多重簽名，還有一些復雜的腳本也可以往里面放；

第三是Taproot/MAST，Taproot在某種程度上可以取代MAST，或者MAST的應用可以轉成Taproot來做。MAST的腳本輸出非常簡單，只要有一個簽名就可以通過，通過簡單的OP碼來完成，它其實是語法樹的結構，里邊有一個分支，里邊有一個值。展開的MAST語法樹上面有一個樹根，然后往下拆分。

MAST具有幾個特性：它支持非常復雜、大型的腳本；可以輕松支持10層以上的二叉樹結構，突破單個腳本520Bytes字節限制，它不需要構造平衡。

Schnorr簽名

Schnorr簽名是由德國數學家、密碼學家ClausSchnorr提出的，并于1990年申請了專利。這個專利2008年2月份才失效，基本在全方面碾壓ECDSA，因為ECDSA并不是那么簡潔。SchnorrSig可以與ECDSA使用同一個橢圓曲線。

Schnorr相比ECDSA更安全，?前Schnorr簽名有安全證明，?ECDSA?前并沒有類似的證明。Schnorr無延展性困擾，ECDSA簽名是可延展性的。Schnorr是線性的，因為它的簽名是線性的，所以公鑰、私鑰層級可以直接疊加，可以在這上面做出以前做不出來的新東西。Taproot一個輸出可以有兩個執行方式，一個是簽名模式，所有的都簽名，還有是可以走一個腳本，不需要暴露出整個腳本。N個參與方，把它疊加在一起就形成一個新的值，這個值叫做主公鑰，主公鑰里邊再疊加一個主公鑰和腳本的哈希值，主公鑰的哈希值是所有參與方都知道的。在交易的輸出里邊就直接填入Segwit的格式，填一個版本號，把主公鑰填進去。因為Segwit激活了，后邊做分叉是很輕松的，保留一個字節可以支持很多個，為后面就鋪平了道路。

我們做一個Taproot實例說明。

方式一、簽名模式花費，有兩個參與方A、B，其組公鑰是C。定義之后B簽名就可以把B花掉，然后形成一個新的P，把C的哈希值乘以橢圓曲線，所以P是這么來的，如果要分解就是三個方A、B、D。所有人簽名，就會得到每一把對應的簽名。

第二是腳本模式，腳本模式因為有一方拒絕簽名，所以沒有辦法拿到公鑰P對應的簽名，就要走公鑰C腳本S，以及能把這個腳本S驗證通過的數據，這樣就可以把這個B花掉。Taproot只有在非合作時才會暴露并執行腳本。

Taproot通常是多方參與的，一方也可以，但沒有太大意義。在條件執行里很多時候基本上是按照設定走的，所以這個腳本里面的細節是完全不需要暴露的，這就是正常的簽名。有一些很典型的應用場景，里面有具體的執行模式，但看不出來在調腳本。

Taproot其實是很靈活的，將來會有很多新的應用，還可以解決比特幣金額的問題。目前MimbleWimble最簡單，但是現在軟分叉不好做，我們只能通過擴展區塊來實現，這樣相對簡單。目前MimbleWimble在萊特社區上開始推薦。

今天分享就到這里，謝謝大家。

Tags：ROOTPROAPRROOOneRootPROMumbrellaprotocolProof

MANA