ROOT:讀懂比特幣協議重要里程碑：Schnorr簽名和Taproot軟分叉升級

編者按：本文來自鏈聞ChainNews，撰文：潘致雄，星球日報經授權發布。一次比特幣協議的升級，可能會預示著未來3至5年的趨勢，雖然大家并不關心比特幣的技術迭代，更關注安全和主流人群接受度，但最終所有人都會受益于這次升級。那個被你們認定為技術上不思進取的比特幣協議，終于引來了一次值得關注的技術升級。比特幣協議中具有里程碑意義的技術升級SchnorrSignature和Taproot已集成到剛剛發布的BitcoinCore0.21.0版本中——這絕對值得關注，因為該升級有可能會影響未來3至5年的比特幣生態，特別是針對機構級用戶和多簽的各種應用場景。當然，對于比特幣協議目前重要的關鍵詞是「穩健」和「安全」，所以哪怕這些技術上線之后，社區和生態通常都會相當謹慎，就算不集成支持其實也沒什么問題，不然還可能會引入不必要的風險和漏洞。由于這次的升級是需要經過軟分叉才能激活的，所以后續還需要看礦池和礦工對于該提案的支持程度，至少目前來看，礦池和礦工相當積極，大于90%的算力已經宣布會支持該升級。SchnorrSignature是以德國數學家和密碼學家Claus-PeterSchnorr命名的數字簽名算法，由于在2008年之前處于專利保護的狀態，所以中本聰在設計比特幣協議時并未使用該簽名算法，而是選用了當時更適合且開源的橢圓曲線數字簽名算法。但是比特幣核心開發者在將近十多年后卻認為，SchnorrSignature才是比特幣的未來，因為它在密碼學特性上的優勢，可以在幾乎同等安全的基礎上，更方便和「低調」地構建多簽名交易，也能為寸土寸金的區塊節省不少空間。比特幣協議中除了簽名算法之外，還設計了一套腳本語言定義如何使用比特幣。Taproot就是一套可以在SchnorrSignature的特性之下，讓比特幣更強大的全新腳本語言體系，并且，還設計了Tapscript腳本語言，對花費比特幣的方式進行了微調——具體的技術細節，這里就不繼續展開。在這些技術的組合下，比特幣多簽類地址可以不用暴露出自己的「多簽」身份，也可以支持數量眾多的多簽場景，同時在經濟層面上也有些許優勢，可以降低鏈上的交易費用，特別是對于需要高頻操作的地址而言，可以節省不少的成本。比特幣協議是如何升級的？

以太坊Layer 2總鎖倉量為84.8億美元，7日漲幅2.04%:金色財經報道，據L2BEAT數據顯示，以太坊Layer 2總鎖倉量為84.8億美元，7日漲幅2.04%。鎖倉量前三分別是Arbitrum One、Optimism和zkSync Era。[2023/6/18 21:44:26]

在介紹SchnorrSignature和Taproot之前，有必要先回顧一下比特幣協議升級的流程步驟，畢竟這是一件相比其他區塊鏈網絡升級低頻許多的事件，甚至許多區塊鏈從業人員也不甚了解。粗略來說，比特幣協議的升級分為六個階段：第一階段：所有的一切都誕生于一個點子或一個創新的想法，然后比特幣的核心開發者們會在郵件*中進行初步的闡述和討論。第二階段：提交*BIP**的草案，這個階段可能會通過GitHub進行歸檔。第三階段：核心開發者們在郵件中針對提案進行詳細的討論*，涉及所有的技術細節或可能的問題、挑戰。第四階段：進入正式的開發階段*，以及后續的測試，并將功能加入比特幣核心客戶端。*第五階段：進行投票，然后等待網絡逐步激活，也就是最終的上線。*第六階段：第三方應用集成支持。如果我們回顧此前比特幣比較重要的協議升級，會發現其實新功能的采用率并不高，而且通常是3年之后也僅僅是極低的采用率。

比如，約三年前的隔離見證升級，為區塊提供了些許的擴容，使用隔離見證的地址可以降低一些轉賬成本。而根據txstats.com的數據，目前儲存在隔離見證地址中的比特幣數量不到8%。出現這樣的情況，一方面的原因是很多BTC資產可能已經丟失，或者對于大型機構而言改造這套體系需要付出太多成本，同時也會引入一些不必要的風險，畢竟安全更重要。不過從積極的方面來看，網絡中接近一半的新交易都采用了隔離見證。而閃電網絡協議也是比特幣自2018年以來持續迭代更新的Layer2擴容支付通道技術，目前這個網絡的容量還處于一個非常小的規模，僅占BTC總量不到萬分之一。所以對于SchnorrSignature和Taproot而言，雖然在最新客戶端中已經植入了該功能，但是功能是否會激活啟用，以及后續的生態如何支持，還需要看之后三至五年的發展了。錢包、托管商、交易所、大型機構都會按照自己的用戶需求、安全需求、功能需求綜合考慮，逐步引入。三年多的布局，由Blockstream主導

DeFi保險項目Nexus Mutual V2版已上線以太坊主網:金色財經報道，據官方推特消息，DeFi保險項目Nexus Mutual宣布其V2版本已上線以太坊主網。該協議已轉變為風險管理層，專家可以在其中建立業務，包括：創立資本、啟動質押池、管理和定價風險、開發新產品等。V2旨在實現與原生DeFi和第三方用戶界面的無縫集成和產品覆蓋。[2023/3/17 13:09:15]

當我們整理比特幣核心開發者針對SchnorrSignature和Taproot進行討論和研究的時間線時，發現這個方案從提出到集成已經超過了3年的時間。

雖然SchnorrSignature是Taproot得以實現的基礎，但是最早被提出的其實是Taproot——這是一套可以豐富比特幣腳本的方案，最初由Blockstream聯合創始人GregoryMaxwell在比特幣核心開發者郵件組中提出。半年后，Blockstream另一位聯合創始人PieterWuille則提出SchnorrSignature替代比特幣現有的橢圓曲線簽名，通過其特有的「線性」特點，實現密鑰的聚合、提升區塊驗證速度。在此之后，這兩個技術也就被組合起來作為一個大的方案，共同推進，最后在去年初形成了三個正式版BIP，進入開發階段：BIP-340**:在secp256k1曲線上實現SchnorrSignatureBIP-341**:Taproot：隔離見證V1版本的花費規則BIP-342**:Taproot腳本的驗證方式雖然GregoryMaxwell和PieterWuille先后離開了Blockstream，但是SchnorrSignature和Taproot的大多數核心參與者都來自于Blockstream，只有AnthonyTowns一人除外——他之前是Xapo的工程師，后來加入了投資機構Paradigm。SchnorrSignature有什么用？

數據：加密錢包市場2030年將達到482.7億美元:金色財經報道，根據researchandmarkets.com的研究，到2030年，加密貨幣錢包市場的規模將達到482.7億美元。研究顯示，在2022年到2030年期間，該市場將以24.4%的復合年增長率增長。（atmmarketplace）[2023/1/6 10:58:45]

在比特幣協議中，判斷用戶是否有權限使用一筆資產時，除了需要經典的「數字簽名」算法這個密碼學組件之外，還構建了一種基于「鎖定腳本」和「解鎖腳本」的概念。在此之前，中本聰在設計比特幣協議時，需要考慮到簽名算法的簽名長度、是否開源、是否有專利、是否經過足夠長時間的安全驗證、性能等多種條件，最終選擇了橢圓曲線數字簽名算法，還在其他專家的建議下選擇了一條特殊的橢圓曲線secp256k1。但是能滿足上述這些條件的數字簽名算法不止有ECDSA，特別是有SchnorrSignature這個從各個方面都不亞于ECDSA的數字簽名算法。而此前中本聰沒有采用的理由可能是因為在比特幣白皮書誕生的那一年，SchnorrSignature的專利才失效。沒錯，德國數學家和密碼學家Claus-PeterSchnorr在1990年提交了相關專利申請并獲批，而對于開源社區來說，在專利失效前是無法采用這套技術的，不然中本聰還真有可能在初版比特幣協議實現中采用這套簽名算法機制。相比較ECDSA，SchnorrSignature更像是比特幣簽名算法應該有的樣子。性能提升和簽名長短的優勢就不提了，更重要的是它的「線性」特點，可以很方便的進行密鑰聚合，而不是通過其他特殊技巧實現多簽。這個「線性」也很好理解，各個密鑰的參與方可以通過簡單的機制處理就可以聚合生成一個新的密鑰。而這個聚合的機制可以通過很多種方式進行，比如Blockstream就提出了MuSig和后面的更新版MuSig2。在MuSig2的方案中，多個簽名可以從他們各自的私鑰中創建一個聚合公鑰，然后共同為該公鑰創建一個有效簽名，并且從原來的三輪交互優化為只需要兩輪的交互即可。

Transit Swap：將100%承擔用戶被盜損失，10月7日退還部分資產:10月5日消息，去中心化交易協議Transit Swap公布被盜事件最新進展，表示愿意100%承擔用戶被盜的損失，將于10月7日先退還黑客已歸還的資產給用戶，用戶查看和領取網址現已公布，剩余資產的退還計劃將在后續的公告中公布。

同時，Transit Swap官方進一步表示，希望所有參與該事件的黑客、攻擊模仿者、搶跑套利者，根據漏洞賞金及退款獎勵（相關金額的5%）進行友好協商，并退回用戶剩余的資產。此前該項目曾表示，盜取最大資金的黑客已歸還超1890萬美元的被盜資金，占其盜取金額80%以上，占總被盜金額約65%。

截止2022年10月8日，Transit Swap官方將視未退還用戶資產的黑客、攻擊模仿者、搶跑套利者為攻擊者，并協助受損用戶一起開啟相關的法律程序，尋求執法機關的介入，直至找到攻擊者并追繳所有被盜資金為止。[2022/10/6 18:40:21]

所以以一個2-3的多簽交易來看，原來的傳統方式是需要三個公鑰加上兩個簽名才可以發起交易。

在SchnorrSignature場景中，鏈上交易只需要一個聚合的公鑰和一個簽名即可，同時也就能降低很多的交易字節數，也就是降低了轉賬成本。

所以，這也就又能帶來兩個額外的優勢：私密性和超級多簽。由于只需要暴露一個簽名和公鑰，所以對于使用SchnorrSignature的地址，很難判斷這是否是一個多簽的地址，那也就無法得知多簽的組成是什么樣的，對于外部觀察者而言，這就是一個普通的地址。而對于之前的比特幣腳本，在交易時是需要暴露出部分多簽細節的，所以這也是為什么可以知道地址的多簽構成。

OpenSea已上線Goerli測試網:9月3日消息，區塊鏈開發平臺Alchemy在Twitter上表示，已幫助OpenSea上線Goerli測試網。Alchemy表示，Goerli測試網是以太坊主網合并后應用開發者的首選測試網，開發者之后可以選擇在Goerli測試網上測試OpenSea上的合約。[2022/9/3 13:06:33]

_BitInfoCharts的比特幣富豪榜，后面這個小標記標注了多簽地址以及多簽規則_此前，因為腳本的限制而無法支持很大數量的多簽，也因SchnorrSignature得以實現，這可能會打開很多此前無法想象的應用場景，比如開啟一個幾百個地址規模的多簽地址，實現更去中心化或更多樣化的資產托管等。但可能會提升鏈下交互的復雜度，只能寄希望于MuSig2這些機制可以更快的研發和迭代。Taproot是什么？

Taproot是一套全新的比特幣腳本結構，定義了如何使用和收取Taproot類交易的地址。它最早的概念來自于比特幣開發者提出的MAST，所以Taproot可以算是MAST的一種特殊實現。相比之前的比特幣腳本邏輯，MAST概念中最主要的優勢是可以以更私密的方式，實現更多樣化的邏輯。

在構建一個MAST結構時，可以支持數量很多的腳本，如果這里以兩個為例，用戶可以提前準備一個主要的支付腳本和一個備用的支付腳本，最終生成一個遞歸上去的MAST根的哈希值。在使用這筆資產時，用戶可以解鎖主要的支付腳本，且不暴露備用的支付腳本細節，而是用它的哈希值。這也就意味著，對于一個無論多復雜包含多少解鎖方案的的MAST根，用戶在解鎖這筆資產時，只需要暴露其中的一個腳本即可，其他更多的邏輯都可以用哈希值體現，而不暴露任何其他細節。說回到Taproot，其本質也是類似的。而且這其中需要簽名算法的「線性」特性，所以Taproot才需要和SchnorrSignature綁定在一起。Taproot也是隔離見證的延續

在比特幣協議中，「鎖定腳本」定義了如何收取比特幣的規則，「解鎖腳本」定義了如何使用比特幣的規則，如果說前者是創造一個鎖，那后者就是一把鑰匙。在三年前的隔離見證升級時，比特幣的腳本規則進行了一次大規模的升級，提出了兩種全新的腳本規則P2WPKH和P2WSH，也就是現在那些以bc1開頭的地址，都是采用了上述的腳本規則之一。P2WPKH通常用在普通的地址上，P2WSH通常用在多簽地址中。另外在隔離見證的升級中，腳本中還預留了一個版本號的概念，所有之前的Segwit腳本規則都采用了V0作為版本號，所以也可以稱為SegwitV0。而Taproot則是在Segwit的框架上進行了升級，版本號升級為V1，這也就是BIP341標題中SegwitV1的由來，或者這套腳本規則也可以稱為P2TR，以對應P2WPKH和P2WSH的名字。

比如在某一筆交易中，輸出腳本中Segwit版本號是V0甚至可以構建多樣化的多簽體系

在SchnorrSignature和Taproot的組合下，構建多簽的方式也是多種多樣的，比如比特幣布道者SteveLee就介紹(https://www.youtube.com/watch?v=fDJRy6K_3yo)過兩種方法，分別是門限簽名和Musig樹。比如對于一個交易所的熱錢包而言，可能是通過三個私鑰進行2-3的多簽，分別是「交易所私鑰」、「可信第三方私鑰」、「冷錢包備份私鑰」。在門限簽名中，多個簽名者需要利用MuSig機制預先構建收款地址；使用時將兩個簽名進行聚合，即可實現交易。

而在樹狀結構中構建多簽，就可以充分利用Taproot和MAST的優勢了。同樣是三種可以花費BTC的情況，將一種花費方式放在MAST的外部，而另外兩種方式儲存在MAST的兩個節點中，以此構建收款地址。

如果擁有交易所密鑰和第三方密鑰的簽名，就可以繞過MAST樹狀結構，直接生成一個聚合的Taproot簽名，以花費這筆交易。

或者用戶可以通過解鎖「第三方密鑰+冷錢包密鑰」的腳本，加上MAST樹另一邊腳本的哈希，就可以構建出Taproot簽名，以花費這筆交易。當然，用戶還有第三種方式花費，也是一樣的邏輯。

兼容性：問題不大

SchnorrSignature和Taproot需要通過軟分叉的形式升級，也就是舊版本協議和客戶端可以繼續運行，無需做其他調整。但是未升級的節點是無法驗證SegwitV1版本的Taproot類腳本的，會把他們當作是任何人都可以花費的腳本。而對于那些未升級的錢包，可以繼續接受和發送SegWitV0版本隔離見證地址，或者更早的傳統地址類型。對于部分實施了BIP173邏輯的錢包而言，可能是可以支持將BTC發送給Taproot地址。不過，核心開發者依舊是鼓勵大家升級，以便支持驗證這些新型的交易。礦工算力支持度已超過90%

軟分叉一般可以通過多種方式激活，之前多次軟分叉是使用BIP9的規則激活的，需要依據大量的算力發出支持的信號，而BIP8也是類似的規則。所以最終這套方案的上線還是需要礦工和礦池來投票和激活的。根據幣印礦池整理的這份Taproot軟分叉升級算力支持度來看，目前支持度已經超過90%。而選擇哪個具體的激活規則，很多礦池還未公開確認。

來源：https://taprootactivation.com激活提案的種類還是挺多的，不過從目前已經投票的情況來看，很多都傾向于BIP8的這個方式，也就是這個軟分叉并不會強制激活，有1年的投票區間，如果投票通過閾值，就會激活。

但Taproot生態發展速度可能更慢

在Taproot激活后，接下去的事情就交給下游生態了，不過這應該是一個相比Segwit更漫長的普及之路。由于SchnorrSignature和Taproot改進的更多是多簽相關的場景，所以可以預料到第三方錢包、交易所都會比較謹慎，畢竟這不是一個立竿見影的技術升級。而對于那些有更復雜多簽需求的專業用戶、專業機構、甚至是依賴于多簽的項目，更可能是第一批吃螃蟹的人。無論如何，哪怕這不是一個用戶感知度很高的技術升級，它最終也會因為各種基礎設施的集成，實現更多樣化的多簽、私密性更強的地址類型、潛在的復雜邏輯支持、降低交易成本等各個方面，最終影響到生態內所有的用戶。

Tags：比特幣TapPROROOT比特幣挖出來的樣子Metaple FinanceBiskit ProtocolgROOT

加密貨幣