精通比特幣

在Bitcoin overview的概覽圖中, 我們看到比特幣系統由包含密鑰的錢包，通過網路傳播的交易，以及產生（通過競爭性計算）共識區塊鏈的礦工組成，區塊鏈是所有交易的權威帳本。

本章中的每個示例均基於在比特幣網路上進行的實際交易，通過從一個錢包向另一個錢包發送資金來模擬用戶（Joe，Alice，Bob和Gopesh）之間的交互。在通過比特幣網路跟蹤交易到區塊鏈的同時，我們將使用_blockchain explorer_網站可視化每個步驟。區塊鏈瀏覽器（blockchain explorer）是一個作為比特幣搜索引擎運行的Web應用，它允許你搜索地址、交易和區塊，並查看它們之間的關係和流程。

流行的區塊鏈瀏覽器包括：

其中每一個都有搜索功能，可以採用比特幣地址、交易雜湊值、區塊號或區塊雜湊值，從比特幣網路中檢索相應的訊息。對於每個交易或區塊示例，我們將提供一個URL，以便你可以自己查看並詳細研究它。

上一章介紹的Alice是剛剛獲得了第一個比特幣的新用戶。在獲得你的第一個比特幣中，Alice會見了她的朋友Joe，用現金交換了一些比特幣。Joe創造的交易把0.10BTC發送到了Alice的錢包。現在，Alice將進行她的第一筆零售交易，在加利福尼亞州帕洛阿爾託的Bob咖啡店購買一杯咖啡。

Bob咖啡最近開始接受比特幣支付，在其銷售系統中增加了一個比特幣選項。Bob咖啡的價格以當地貨幣（美元）列出，但在支付時，顧客可以選擇美元或比特幣。Alice下了一杯咖啡的訂單，Bob將它輸入到系統中，就像處理所有交易一樣。銷售系統自動將總價從美元轉換為比特幣，並以當前市場匯率以兩種貨幣進行顯示：

Bob說，"1.5美元, 或者15毫比特幣"

Bob的銷售系統也會自動創建一個包含_支付請求（payment request)_的特殊二維碼（參見Payment request QR code）。

與僅包含目標比特幣地址的二維碼不同，支付請求是URL的二維碼，其包含目標地址、付款金額以及諸如＂Bob’s Cafe＂的描述。這允許比特幣錢包應用預先填充用於發送付款的訊息，同時向用戶顯示可讀的訊息。你可以使用比特幣錢包應用掃描二維碼，以查看Alice會看到的內容。

Alice用她的手機掃描螢幕上的二維碼。她的手機顯示支付 0.0150 BTC 至 Bob's Cafe，她選擇＂發送＂以授權付款。在幾秒鐘內（大約與信用卡授權相同的時間），Bob在他的系統中看到交易，交易就完成了。

你可以使用區塊鏈瀏覽器網站（查看Alice的交易 blockchain.info）在區塊鏈中檢查Alice對Bob’s Cafe的交易：

交易就像複式簿記賬中的行一樣。每筆交易包含一個或多個＂輸入＂，就像比特幣賬戶的"借方"，在交易的另一端，有一個或多個＂輸出＂，就像比特幣賬戶中的"貸方"一樣。 輸入和輸出（借方和貸方）加起來不一定數額相同。相反，輸出加起來略少於輸入，差額代表隱含的_交易費用_，這是由礦工收取的一筆小額付款，該礦工將交易加入到賬本中。比特幣交易在Transaction as double-entry bookkeeping中顯示為賬本中的記錄條目。

該交易還包含每個正在被花費的比特幣（輸入）的所有權證明，以所有者的數位簽章的形式出現，任何人都可以獨立驗證。用比特幣的術語來說，＂花費＂正在簽署一項交易，它將來自前一筆交易的價值轉移給由比特幣地址標識的新的所有者。

Alice向Bob’s Cafe的付款使用先前交易的輸出作為其輸入。在上一章中，Alice從她的朋友Joe那裡用現金換取了比特幣。該交易創建了一個由Alice的密鑰鎖定的比特幣值。她向Bob’s Cafe的新交易引用之前的交易作為輸入，並創造新的輸出來支付咖啡錢並接收找零。交易形成一個鏈，最近一次交易的輸入與之前交易的輸出相對應。Alice的密鑰提供瞭解鎖先前那些交易輸出的簽名，從而向比特幣網路證明她擁有資金。她將咖啡的錢支付給Bob的地址，從而＂留置＂輸出，要求Bob必須簽名才能花費這筆金額。這代表了Alice和Bob之間的價值轉移。這個從Joe到Alice到Bob的交易鏈在A chain of transactions, where the output of one transaction is the input of the next transaction中進行了說明。

許多比特幣交易的輸出既引用新所有者的地址，又引用當前所有者的地址（這稱為_找零_地址）。這是因為交易輸入（像鈔票一樣）不能分開。如果你在商店購買價值5美元的物品，但使用20美元的美元賬單來支付該物品，你將獲得15美元的找零。相同的概念適用於比特幣交易的輸入。如果你購買的產品需要5比特幣，但只有20比特幣的輸入能使用，你可以將一個5比特幣的輸出發送給店主，並將一個15比特幣輸出作為找零（減去涉及的交易費用）。重要的是，找零地址不必與輸入地址相同，並且出於隱私方面考慮，通常是來自所有者錢包的新地址。

在彙集輸入以執行用戶的支付請求時，不同的錢包可以使用不同的策略。他們可能會彙集很多小的輸入，或者使用等於或大於期望付款的輸入。除非錢包能夠按照付款和交易費用的總額精確彙集輸入，否則錢包將需要產生一些零錢。這與人們處理現金非常相似。如果你總是使用口袋裡最大的鈔票，那麼最終你會得到一個充滿零錢的口袋。如果你只使用零錢，你將永遠只有大額賬單。人們潛意識地在這兩個極端之間尋找平衡點，比特幣錢包開發者努力寫程式實現這種平衡。

總之，交易_將_交易的輸入_的值移至_交易的輸出。輸入是對前一個交易輸出的引用，表示值來自哪裡。交易輸出將特定值指向新所有者的比特幣地址，並且可以將零錢輸出給原始所有者。來自一個交易的輸出可以用作新交易的輸入，因此當價值從一個所有者轉移到另一個所有者時會產生一個所有權鏈（參見 A chain of transactions, where the output of one transaction is the input of the next transaction）。

最常見的交易形式是從一個地址到另一個地址的簡單支付，通常包括一些＂零錢＂返回到原始所有者。這類交易有一個輸入和兩個輸出，參見Most common transaction：

另一種常見形式是彙集多個輸入到一個輸出的交易 (參見 Transaction aggregating funds). 這類似於現實世界中將一堆硬幣和紙幣換成單一較大面值的紙幣的情況。此類交易有時由錢包應用生成，以清理收到的大量小額零錢。

最後，比特幣賬本中經常出現的另一種交易形式是將一個輸入分配給代表多個收款人的多個輸出的交易（參見 Transaction distributing funds）。這類交易有時被企業用來分配資金，例如在向多個僱員支付工資時。

Alice的錢包應用首先必須找到可以支付她想要發送給Bob的金額的輸入。大多數錢包跟蹤屬於錢包中地址的所有可用輸出。因此，Alice的錢包將包含Joe的交易輸出的副本，該交易是由現金交換創建的（參見獲得你的第一個比特幣）。作為完整節點客戶端運行的比特幣錢包應用實際上包含區塊鏈中每筆交易的未使用輸出的副本。這允許錢包創建交易輸入，以及快速驗證傳入的交易具有正確的輸入。但是，由於全節點客戶端佔用大量硬碟空間，所以大多數用戶錢包運行＂輕量級＂客戶端，僅跟蹤用戶自己未使用的輸出。

如果錢包應用未保存未花費的交易的輸出的副本，它可以使用不同提供商提供的各種API，查詢比特幣網路，詢問完整節點來檢索該訊息。 Look up all the unspent outputs for Alice’s bitcoin address展示了一個API請求，向特定的URL發起HTTP GET請求。該URL將返回這個地址上所有未使用的交易的輸出，為應用提供構建交易輸入的訊息。我們使用簡單的命令行HTTP客戶端_cURL_來請求。

Look up all the unspent outputs for Alice’s bitcoin address中的響應展示了在Alice的地址 1Cdid9KFAaatwczBwBttQcwXYCpvK8h7FK 下有一筆未花費的輸出。響應內容包括包含這筆輸出的交易的引用，以及它的價值，1000萬（單位是聰），相當於0.10比特幣，利用這些訊息，Alice的錢包應用可以構建一個交易，將該值轉移到新的所有者地址。

如你所見， Alice 的錢包包含支付一杯咖啡的足夠的比特幣。否則，Alice的錢包應用可能需要"翻遍"一堆較小的未使用的輸出，就像從錢包中找硬幣一樣，直到它能夠找到足夠的錢來支付咖啡。在這兩種情況下，可能都需要進行一些找零，我們將在下一部分中看到，錢包應用創建交易輸出（付款）。

交易的輸出是以腳本形式創建的，該腳本在比特幣價值上創建了一個＂留置＂，只能通過提供腳本解決方案來進行提取。簡而言之，Alice的交易輸出將包含一個腳本，其內容如下：＂這筆支出屬於能使用Bob的公共地址對應的私鑰進行簽名的人。＂ 因為只有Bob擁有與該地址對應的私鑰，所以只有Bob的錢包可以提供這樣的簽名來提取該輸出。因此，Alice可以通過要求Bob的簽名，來＂限制＂這筆輸出的使用。

這筆交易還包括第二筆輸出，因為 Alice 的資金為0.10BTC，對於0.015BTC的咖啡來說太多了，需要找零0.085BTC。Alice的找零付款由Alice的錢包創建，作為Bob的付款的同一筆交易中的輸出。 Alice 的錢包將其資金分成兩筆付款：一筆給Bob，一份給自己。然後，她可以在後續交易中使用（花費）這次找零的輸出。

最後，為了讓網路及時處理這筆交易，Alice的錢包應用將增加一筆小額費用。這在交易中並不明確；這是由輸入和輸出的差值隱形包含的。如果Alice不創建0.085的找零，而是0.0845，就會剩下0.0005BTC（半毫比特幣）。輸入的0.10BTC沒有完全用於兩個輸出，因為它們的總和小於0.10。由此產生的差值就是礦工收取的_交易費用_，用於驗證交易並將交易包括到區塊鏈中。

生成的交易可以使用區塊鏈瀏覽器查看，如Alice’s transaction to Bob’s Cafe所示.

Alice的錢包應用創建的交易長度為258個字節，包含確認資金所有權和分配新的所有者所需的所有內容。現在，交易必須傳輸到比特幣網路，併成為區塊鏈的一部分。在下一節中，我們將看到交易如何成為新區塊的一部分，以及區塊如何被＂挖礦＂。最後，我們將看到當區塊加入區塊鏈後，會隨著區塊的增加越來越被網路信任。

預設情況下，本地副本將同步最新的程式碼，這可能是比特幣的不穩定版或beta版。編譯程式碼之前，通過檢查_tag_來選擇特定版本。這將使本地副本與由關鍵字標記標識的程式碼儲存庫的特定快照同步。開發人員使用標籤通過版本號標記程式碼的特定版本。首先，為了找到可用的標籤，我們使用 git tag 命令：

標籤列表顯示比特幣的所有發行版本。按照慣例，用於測試的_發行預覽版（release candidates）_具有後綴＂rc＂。可以在生產系統上運行的穩定版本沒有後綴。從上面的列表中選擇最高版本的發行版本，在撰寫本文時是v0.15.0。要使本地程式碼與此版本同步，請使用 git checkout 命令：

你可以通過命令 git status 來確認你已經＂檢出＂了所需的版本：

源程式碼包括文件，可以在許多檔案中找到。輸入 ** more README.md**，查看_bitcoin_目錄中的_README.md_主文件，可使用空格鍵進行翻頁。在本章中，我們將構建命令行比特幣客戶端（command-line bitcoin client），在Linux上也稱為 bitcoind。輸入 **more doc/build-unix.md** 來查看在你的平臺上編譯 bitcoind 的說明。macOS和Windows的說明可以在_doc_目錄中找到，分別為_build-osx.md_或_build-windows.md_。

仔細查看構建文件第一部分中的依賴庫，如boost-devel, libevent-devel, openssl-devel, gcc-c++，libdb4-cxx-devel，autoconf, automake，libtool等。在你開始編譯比特幣之前，這些庫必須存在於你的系統中，否則構建過程將失敗。如果因為漏掉了某些依賴庫而導致失敗，可以安裝它，然後從之前停止的地方恢復構建過程。你可以通過使用_autogen.sh_腳本生成一組構建腳本來啟動構建過程。

_autogen.sh_腳本創建一組自動配置腳本，它們將詢問你的系統以發現正確的設置，並確保你擁有編譯程式碼所需的全部庫。其中最重要的是 configure 腳本，它提供了許多不同的選項來定製構建過程。鍵入 **./configure --help** 查看各種選項。

configure 腳本允許你通過使用 -enable-FEATURE 和 -disable-FEATURE 標誌啟用或禁用 bitcoind 的某些功能，其中 FEATURE 被替換為幫助輸出中列出的特徵名稱。在本章中，我們將構建帶有所有預設功能的 bi​​tcoind 客戶端。我們不會使用配置標誌，但你應該查看它們以瞭解哪些可選功能是客戶端的一部分。如果你處於學術環境中，實驗室可能會要求你將應用程式安裝到你的主目錄中（例如，使用+-prefix=$HOME+）。

以下是覆蓋配置腳本預設行為的一些有用選項：

接下來，運行 configure 腳本，它會自動發現所有必要的庫，併為你的系統創建一個特定的構建腳本：

如果一切順利，configure 命令將創建允許我們編譯 bitcoind 的定製構建腳本並結束。如果有任何缺失的庫或錯誤，configure 命令將終止並顯示錯誤。如果發生錯誤，很可能是因為缺少或不兼容的庫。再次查看構建文件，並確保安裝缺少的先決條件。然後再次運行 configure 並查看是否修復了錯誤。

接下來，你將編譯源程式碼，這個過程可能需要一個小時才能完成，具體取決於CPU的速度和可用內存。在編譯過程中，你應該每隔幾秒或幾分鐘看一次輸出。如果發生錯誤，或者編譯過程中斷，可以通過再次輸入 make 恢復。鍵入 **make** 開始編譯可執行應用程式：

在具有多個CPU的系統上，你可以設置並行編譯作業的核數。例如，make -j 2 將使用兩個CPU核。如果一切順利，Bitcoin Core已經編譯完成，你應該使用 make check 運行單元測試套件，以確保鏈接庫不會中斷。最後一步是使用 make install 命令在你的系統上安裝可執行檔案。系統可能會提示你輸入用戶密碼，因為此步驟需要管理權限：

+bitcoind+預設安裝在 /usr/local/bin 中，你可以查看:

Bitcoin Core在每次啟動時會在其數據目錄中查找配置檔案。在本節中，我們將研究各種配置選項並進行配置。要找到配置檔案，請在終端中運行 bitcoind -printtoconsole 並查看前幾行。

確定了配置檔案的位置之後，你可以按Ctrl-C關閉該節點。通常配置檔案位於用戶主目錄下的_.bitcoin_數據目錄中。接下來在編輯器中打開配置檔案。

Bitcoin Core提供了超過100種配置選項，可以修改網路節點的行為，區塊鏈的儲存以及許多其他方面。要查看這些選項的列表，請運行 bitcoind --help：

以下是你可以在配置檔案中設置的一些最重要的選項，也可以作為 bitcoind 的命令行參數：

Sample configuration of a full-index node 展示瞭如何將前面的選項與完全索引的節點相結合，作為比特幣應用程式的API後端運行。

Sample configuration of a resource-constrained system 展示了資源受限節點的配置。

在按照你需求編輯了配置檔案之後，可以運行 bitcoind -printtoconsole 來測試

確認配置正確被加載後可以按Ctrl-C結束進程。

要將Bitcoin Core作為後臺進程運行，可以使用 bitcoind -daemon.

要觀察節點的進程和運行時狀態，可使用 bitcoin-cli getblockchaininfo:

這展示了區塊鏈高度為0個區塊，有83999個區塊頭的節點。節點先獲取最佳鏈的區塊頭，然後繼續下載完整區塊。

在你完成選項配置之後，應該將比特幣添加到作業系統中的啟動腳本中，以便它可以持續運行並在作業系統重新啟動時重啟。你可以在 contrib/init 下找到比特幣源目錄中各種作業系統的啟動腳本示例以及顯示哪個系統使用哪個腳本的 README.md 檔案。

Bitcoin Core 通過 JSON-RPC 介面提供不同模塊的狀態報告。最重要的命令包括 getblockchaininfo, getmempoolinfo, getnetworkinfo 和 getwalletinfo。

比特幣的 getblockchaininfo RPC 命令之前已經介紹了。getnetworkinfo 命令用於展示比特幣網路節點的基本狀態訊息。使用 bitcoin-cli 調用:

數據通過JSON格式返回,可以被所有程式語言處理，而且是可讀的。在這些數據中，我們可以看到比特幣軟體客戶端版本號（150000）和比特幣協議版本號（70015），當前的連接數（8），以及有關比特幣網路的各種訊息與此客戶端相關的設置。

命令: getrawtransaction, decoderawtransaction

在 購買一杯咖啡 的案例中, Alice從Bob’s Cafe購買了一杯咖啡。她的交易ID (txid)為+0627052b6f28912f2703066a912ea577f2ce4da4caa5a5fbd8a57286c345c2f2+。讓我們使用API，通過交易ID來檢索和查看這筆交易：

getrawtransaction 命令以十六進制返回一個序列化的交易。將它作為 decoderawtransaction 命令的參數可以解碼：

解碼後的交易展示了此交易的所有組成部分，包括交易的輸入和輸出。我們看到將15mBitcoin轉到新地址的交易使用了一個輸入併產生了兩個輸出。此交易的輸入是以前確認的交易的輸出（vin中的 txid ，以 7957a35fe 開頭 ）。兩個輸出對應於15mBitcoin的款項，和返回給發送者的零錢。

我們可以通過使用 getrawtransaction 檢查此交易中引用的前一個交易的 txid 來進一步探索區塊鏈。我們可以追蹤一筆比特幣在不同所有者地址之間傳遞的交易鏈。

命令: getblock, getblockhash

檢查區塊與檢查交易類似。區塊可以通過區塊_高度（height）_或區塊_雜湊（hash）_來引用。首先，我們根據高度找到一個區塊。在 購買一杯咖啡 中，我們看到Alice的交易包含在區塊#277316中。

將區塊高度作為 getblockhash 命令的參數, ，將返回區塊的雜湊值:

現在我們知道Alice的交易被包含在哪個區塊中了，我們可以使用 getblock 命令，傳遞區塊雜湊值來查詢該區塊。

這個區塊包含 419 筆交易，第64個交易（0627052b...）是Alice的交易。height 欄位告訴我們它是區塊鏈中的第277316個區塊。

bitcoin-cli 助手對於探索Bitcoin Core API和測試功能非常有用。但API的重要功能是以寫程式方式訪問。在本節中，我們將演示如何通過另一個程序訪問Bitcoin Core。

Bitcoin Core的API是JSON-RPC介面. JSON代表JavaScript Object Notation，是一種非常方便人類和程序閱讀的數據格式。RPC代表遠程過程調用，這意味著我們通過網路協議調用遠程（在Bitcoin Core節點上的）函數。在這種情況下，網路協議是HTTP或HTTPS（用於加密連接）。

當我們使用 bitcoin-cli 命令獲取命令幫助時，它向我們展示了使用 curl（常用的命令行HTTP客戶端）構造JSON-RPC調用的示例：

此命令表示 curl 向本地主機（127.0.0.1）提交HTTP請求，連接到預設的比特幣端口（8332），並使用 text/plain 編碼為 getblockchaininfo 方法提交 jsonrpc 請求。

你可能會注意到curl會要求憑證隨請求一起發送。 Bitcoin Core在每次啟動時創建一個隨機密碼，並將其放置在名稱為 .cookie 的數據目錄中。 bitcoin-cli 助手可以根據數據目錄讀取此密碼檔案。同樣，你可以複製密碼並將其傳遞給curl（或任何更高級別的Bitcoin Core RPC包裝器）。或者，你可以使用Bitcoin Core源碼目錄中的 ./share/rpcuser/rpcuser.py 中提供的助手程序腳本創建一個靜態密碼。

你可以正在自己的程序中使用HTTP庫來實現JSON-RPC調用，類似於前面的 curl 示例。

然而，大多數程式語言都有一些＂包裝＂了Bitcoin Core API的庫，簡便很多。我們將使用 python-bitcoinlib 庫來簡化API訪問。你需要有一個正在運行的Bitcoin Core實例，用於進行JSON-RPC調用。

Running getblockchaininfo via Bitcoin Core’s JSON-RPC API 中的Python腳本調用 getblockchaininfo 並打印返回數據中的區塊個數。

運行它可以得到下面的結果:

它標明本地的Bitcoin Core節點在其區塊鏈中有394075個區塊。

接下來，讓我們使用 getrawtransaction 和 decodetransaction 調用來檢索Alice的咖啡交易細節。在Retrieving a transaction and iterating its outputs中，我們檢索Alice的交易並列出交易的輸出。對於每個輸出，我們顯示收件人地址和值。提醒一下，Alice的交易有一個支付給Bob’s Cafe的輸出和一個返回給Alice的找零輸出。

運行這段程式碼：

前面的兩個例子都很簡單。你並不需要寫程序來運行它們；你可以輕鬆使用 bitcoin-cli 助手。然而，下一個例子需要幾百次RPC調用，更清楚地說明了程式化介面的作用。

在 Retrieving a block and adding all the transaction outputs 中，我們首先檢索第277316個區塊，然後使用交易ID檢索區塊內419個交易中的每一個。接下來，我們遍歷每筆交易的輸出並累加起來。

運行這段程式碼：

我們的示例程式碼計算出此區塊的總價值為10322.07722534 BTC（包括25BTC獎勵和0.0909BTC費用）。通過在區塊瀏覽器中搜索雜湊或高度，進行數據比較。一些區塊瀏覽器報告不包括獎勵和排除費用的總價值，看看你是否可以發現差異。

還有各種程式語言的庫存在，還有更多的庫在開發。

公鑰密碼技術發明於20世紀70年代，是電腦和資訊安全的數學基礎。

公鑰密碼技術發明後，發現了一些合適的數學函數，例如質數指數運算和橢圓曲線乘法。這些數學函數實際上是不可逆的，這意味著它們很容易在一個方向上計算，但在相反方向上計算是不可行的。基於這些數學函數，密碼學可以創建數字密鑰和不可偽造的數位簽章。比特幣使用橢圓曲線乘法作為其密碼學的基礎。

在比特幣中，我們使用公鑰密碼技術來創建一個控制比特幣訪問的密鑰對。密鑰對由一個私鑰和從它派生的一個唯一的公鑰組成。公鑰用於接收資金，私鑰用於簽署交易以支付資金。

公鑰和私鑰之間存在數學關係，可以用私鑰生成一個訊息的簽名，然後使用公鑰在不公開私鑰的情況下驗證簽名。

在花費比特幣時，當前比特幣的所有者需要在交易中提供他的公鑰和簽名（每次都不同，但由相同的私鑰創建）。通過公鑰和簽名，比特幣網路中的每個人都可以驗證該交易的有效性並接受，從而確認轉讓這筆比特幣的人擁有它們。

比特幣錢包包含密鑰對兒的集合，每個密鑰對兒包含一個私鑰和一個公鑰。私鑰（k）是一個數字，通常隨機選取。我們使用橢圓曲線乘法（單向加密函數）通過私鑰生成公鑰（K）。從公鑰（K）中，我們使用單向加密雜湊函數來生成比特幣地址（A）。在本節中，我們將開始生成私鑰，查看用於將其轉換為公鑰的橢圓曲線數學運算，最後從公鑰生成一個比特幣地址。私鑰，公鑰和比特幣地址之間的關係如Private key, public key, and bitcoin address所示。

私鑰只是一個隨機選取的數字。對私鑰的所有權和控制權是用戶控制相應比特幣地址所關聯的所有資金的根本。私鑰用於通過證明交易中使用的資金的所有權來創建花費比特幣所需的簽名。私鑰在任何時候都必須保密，因為向第三方透露它相當於讓它們控制由該密鑰保護的比特幣。私鑰還必須備份和防止意外丟失，因為如果丟失了私鑰，它就無法恢復，並且它所保護的資金也會永遠丟失。

公鑰使用私鑰通過橢圓曲線乘法計算，這是不可逆的：K = k * G，其中 k 是私鑰，G 是一個稱為 生成點（generator point） 的固定的點，K 是公鑰。如果你知道 K ，那麼稱為＂尋找離散對數＂的逆運算與嘗試所有可能的 k 值（即蠻力搜索）一樣困難。在我們演示如何從私鑰生成公鑰之前，我們先來看一下橢圓曲線加密。

橢圓曲線密碼術是一種基於離散對數問題的非對稱或公鑰密碼技術，用橢圓曲線上的加法和乘法表示。

An elliptic curve 是一個橢圓曲線的示例，與比特幣使用的類似。

比特幣使用由美國國家標準與技術研究院（NIST）建立的稱為 secp256k1 的標準中定義的特定橢圓曲線和一組數學常數。secp256k1 曲線由以下函數定義，產生一個橢圓曲線：

or

mod p (模質數p) 表明該曲線位於質數階的有限域上。p, 也寫作 \(\( \mathbb{F}_p \)\), p = 2²⁵⁶ – 2³² – 2⁹ – 2⁸ – 2⁷ – 2⁶ – 2⁴ – 1, 是一個非常大的質數.

因為這條曲線是在有限的質數階上而不是在實數上定義的，所以它看起來像是一個散佈在二維中的點的模式，難以可視化。然而，運算與實數上的橢圓曲線的是相同的。作為示例，Elliptic curve cryptography: visualizing an elliptic curve over F(p), with p=17在一個更小的質數階17的有限域上顯示了相同的橢圓曲線，顯示了一個網格上的點的圖案。 可以認為+secp256k1+比特幣橢圓曲線是一個不可思議的大網格上的非常複雜的點陣。

例如，以下是座標為（x，y）的點P，它是 secp256k1 曲線上的一個點：

Using Python to confirm that this point is on the elliptic curve 展示瞭如何使用Python檢驗:

在橢圓曲線中，有一個叫做＂無限點＂的點，它大致相當於零點的作用。在電腦上，它有時用x = y = 0表示（它不滿足橢圓曲線方程，但它是一個容易區分的情況）。

還有一個 + 運算符, 稱為 "加法"，與傳統的實數加法有類似的屬性。給定橢圓曲線上的點 P₁ 和 P₂，則 P₃ = P₁ + P₂, 也在橢圓曲線上.

幾何上來說，P₃是通過在P₁和P₂之間畫一條直線來計算的。這條線將在另外一點與橢圓曲線相交，稱此點為 P₃' = (x, y)。然後在x軸上反射得到 P₃ =（x，-y）。 有幾個特殊情況解釋了＂無限點＂的需要。

如果 P₁ 和 P₂ 是同一點，則 P₁ 和 P₁ 之間的直線應該延伸到曲線上 P₁ 的切線。該切線恰好與曲線相交於一個新的點。你可以使用微積分技術來確定切線的斜率。儘管我們侷限在具有兩個整數座標的曲線上，但這些機制仍然可以神奇的運轉。

在某些情況下（如 P₁ 和 P₂ 具有相同的x值但不同的y值），切線將是垂直的，在這種情況下 P₃=＂無限點＂。

如果 P₁ 是＂無窮遠點＂，則 P₁ + P₂ = P₂。同樣，如果 P₂ 是無窮遠點，則 P₁ + P₂ = P₁。這展示了無窮遠點如何扮演零的角色。

+ 是可結合的，這意味著（A + B）+ C = A +（B + C）。這意味著我們可以書寫 A + B + C，沒有括號也沒有歧義。

現在我們已經定義了加法，我們可以用擴展加法的標準方式來定義乘法。對於橢圓曲線上的點P，如果k是整數, 則 kP = P + P + P + …​ + P (k 次). 在這種情況下，k有時會被混淆地稱為＂指數＂。

從一個隨機生成的私鑰 k 開始，我們將它乘以曲線上的一個預定點，稱為 生成點（generator point） G，以在曲線上的其他位置生成另一個點，這是相應的公鑰 K 。生成點被指定為 secp256k1 標準的一部分，並且對於比特幣中的所有密鑰都是相同的：

其中 k 是私鑰， G 是生成點， K 是生成的公鑰，即曲線上的一個點。由於所有比特幣用戶的生成點始終相同，因此_G_乘以_G_的私鑰始終會生成相同的公鑰_K_。 k 和 K 之間的關係是固定的，但只能從 k 到 K 的一個方向進行計算。這就是為什麼比特幣地址（從 K 派生）可以與任何人共享，並且不會洩露用戶的私鑰（ k ）。

實現橢圓曲線乘法，我們將先前生成的私鑰 k 與乘法生成點G相乘得到公鑰 K ：

公鑰_K_被定義為一個點 K = (x,y)

為了可視化一個點與整數的乘積，我們將使用簡單的橢圓曲線來代替實數 — 記住，演算法是相同的。我們的目標是找到生成點 G 的多個 kG ，這與將 G 自身相加 k 次相同。在橢圓曲線中，一個點自身相加相當於在該點上繪製切線並找到它再次與曲線相交的位置，然後在x軸上反射該點。

Elliptic curve cryptography: visualizing the multiplication of a point G by an integer k on an elliptic curve 展示了 G , 2G , 4G 在曲線上的幾何操作。

為了使用少量的符號，以緊湊的形式展示很長的數字，許多電腦系統使用基數（進制）高於10的混合字母數字表示。例如，傳統的十進制系統使用0到9的10個數字，十六進制使用16個（字母A到F作為六個附加符號）。以十六進制格式表示的數字比等效的十進製表示更短。更加緊湊的Base64表示使用26個小寫字母，26個大寫字母，10個數字和另外2個字符（如 "``" 和 ＂/＂ ）在基於文本的媒體（如電子郵件）上傳輸二進制數據。Base64最常用於向電子郵件添加二進制附件。Base58是一種基於文本的二進制編碼格式，用於比特幣和許多其他密碼貨幣。它在緊湊表示，可讀性和錯誤檢測與預防之間提供了平衡。Base58是Base64的一個子集，使用大小寫字母和數字，省略了一些經常被混淆的，或在使用某些字體顯示時看起來相同的。 具體來說，相比Base64，Base58沒有0（數字0），O（大寫o），l（小寫L），I（大寫i）和符號＂``＂和＂/＂。 Bitcoin’s Base58 alphabet 是完整的Base58字母表。

為了增加防範輸入錯誤或轉錄錯誤的額外安全性，Base58Check是有內置錯誤校驗程式碼的Base58編碼格式，經常在比特幣中使用。校驗碼是添加到編碼數據末尾的四個位元組。校驗碼來自編碼數據的雜湊雜湊值，可用於檢測和防止轉錄和輸入錯誤。當使用Base58Check程式碼時，解碼軟體將計算數據的校驗碼並將其與程式碼中包含的校驗碼進行比較。如果兩者不匹配，則會引入錯誤並且Base58Check數據無效。這可以防止錯誤的比特幣地址被錢包軟體接收，導致資金損失。

要將數據（數字）轉換為Base58Check格式，我們首先為數據添加一個名為＂版本字節＂的前綴，以便輕鬆識別編碼數據的類型。例如，比特幣地址的前綴為零（十六進制中的0x00），而編碼私鑰時使用的前綴為128（十六進制中的0x80）。常用的版本前綴參見 Base58Check version prefix and encoded result examples 。

接下來，我們計算＂double-SHA＂校驗和，在前面的結果（前綴和數據）上應用兩次SHA256雜湊演算法：

在產生的32位元組雜湊（hash-of-a-hash）中，我們只取前四個位元組，作為錯誤檢查程式碼或校驗碼。將校驗碼追加到最後。

結果由三項組成：前綴，數據和校驗碼。該結果使用前面描述的Base58字母表進行編碼。 Base58Check encoding: a Base58, versioned, and checksummed format for unambiguously encoding bitcoin data 展示了Base58Check編碼過程。

在比特幣中，大部分呈現給用戶的數據都是Base58Check編碼的，以使其緊湊，易於閱讀並易於檢測錯誤。 Base58Check編碼中的版本前綴用於創建容易區分的格式。這些字元使人們很容易得知編碼數據的類型以及如何使用它。例如，Base58Check編碼的比特幣地址以1開頭，Base58Check編碼的密鑰錢包匯入格式（WIF）以5開頭。一些示例版本前綴和Base58字元顯示在 Base58Check version prefix and encoded result examples中。

私鑰和公鑰都可以用不同的格式表示。即使這些格式看起來不同，但它們的編碼相同。這些格式主要用於使人們輕鬆閱讀和轉錄密鑰而不會引入錯誤。

私鑰必須保密，但對私鑰的＂保密性＂的需求是在實踐中很難實現，因為它與同樣重要的 可用性 安全目標相沖突。當你需要備份私鑰以避免丟失私鑰時，保持私鑰私密性更加困難。儲存在通過密碼加密的錢包中可能是安全的，但該錢包需要備份。有時，用戶需要將密鑰從一個錢包移動到另一個錢包 - 例如，升級或替換錢包軟體。私鑰的備份也可能儲存在紙張上（請參見紙錢包）或外部儲存介質（如USB閃存驅動器）中。但是如果備份本身被盜或丟失怎麼辦？這些相互衝突的安全目標促成了一種便攜式和便捷的加密私鑰的標準，這種加密方式可以被許多不同的錢包和比特幣客戶端理解，通過BIP-38標準化(參見 [appdxbitcoinimpproposals]).

BIP-38 提出了一個通用標準，用密碼對私鑰進行加密，並使用Base58Check對其進行編碼，以便它們可以安全地儲存在備份介質上，在錢包之間安全地傳輸，或保存在密鑰可能暴露的任何其他情況下。加密標準使用高級加密標準（AES），這是NIST建立的標準，廣泛用於商業和軍事應用的數據加密實現。

BIP-38加密方案將通常使用WIF編碼（前綴為＂5＂的Base58Check字串）的比特幣私鑰作為輸入。此外，BIP-38加密方案需要一個密碼短語，通常由幾個詞或一串複雜的字母數字字符組成。BIP-38加密的結果是以前綴+6P+開始的Base58Check加密私鑰。如果你看到一個以+6P+開頭的密鑰，則該密鑰是加密的，需要密碼才能將其轉換（解密）為可用於任何錢包的WIF格式的私鑰（前綴+5+）。許多錢包應用程式現在可識別BIP-38加密的私鑰，並提示用戶輸入密碼以解密並匯入密鑰。第三方應用程式，例如非常實用的基於瀏覽器的應用程式 Bit Address (Wallet Details tab), 可以用來解密BIP-38密鑰。

BIP-38加密密鑰最常見的用例是可用於備份私鑰的紙錢包。只要用戶選擇強密碼，帶有BIP-38加密私鑰的紙錢包就非常安全，並且是創建離線比特幣儲存（也稱為＂冷儲存＂）的好方法。

使用bitaddress.org測試Example of BIP-38 encrypted private key中的加密密鑰，瞭解如何通過輸入密碼來獲取解密的密鑰。

如我們所知，傳統的以數字＂1＂開頭的比特幣地址，源自公鑰，而公鑰又是通過私鑰生成的。儘管任何人都可以將比特幣發送到＂1＂地址，但只能通過提供相應的私鑰簽名和公鑰雜湊來花費比特幣。

以數字＂3＂開頭的比特幣地址是支付給腳本的雜湊（P2SH）地址，有時被錯誤地稱為多重簽名或多重地址。它們將比特幣交易的受益人指定為腳本的雜湊，而不是公鑰的所有者。該功能在2012年1月由BIP-16提出 (參見 [appdxbitcoinimpproposals]), 正在被廣泛採用，因為它提供了向地址本身添加功能的機會。與將資金＂發送＂到傳統的＂1＂比特幣地址（也稱為付費至公鑰的雜湊（P2PKH））的交易不同，發送至＂3＂地址的資金需要的不僅僅是一個公鑰雜湊和一個私鑰簽名作為所有權證明。這些要求是創建地址時在腳本中指定的，並且對該地址的所有輸入也要按照相同的要求進行設置。

P2SH地址由交易腳本創建，該腳本定義誰可以使用交易的輸出（有關更多詳細訊息，請參見支付到腳本雜湊 Pay-to-Script-Hash (P2SH)）。對P2SH地址進行編碼使用與創建比特幣地址時用到的相同的雙重雜湊函數，只是應用於腳本而不是公鑰:

生成的＂腳本雜湊＂使用前綴5進行Base58Check編碼，導致編碼地址以+3+開頭。P2SH地址的示例： 3F6i6kwkevjR7AsAd4te2YB2zZyASEm1HM, 可以使用Bitcoin Explorer的 script-encode, sha256, ripemd160, 和 base58check-encode 命令（參見 [appdx_bx]) 生成：

虛榮地址是包含人類可讀訊息的有效比特幣地址。例如，1LoveBPzzD72PUXLzCkYAtGFYmK5vYNR33 是一個有效的地址，其中包含形成單詞＂Love＂的字母作為前四個Base-58字母。虛擬地址需要生成並測試數十億個候選私鑰，直到找到具有所需模式的比特幣地址。雖然在虛榮生成演算法中有一些優化，但這個過程主要包括隨機選擇一個私鑰，匯出公鑰，匯出比特幣地址，並檢查它是否符合所需的虛擬模式，重複數十億次，直到匹配被發現。

一旦找到與所需模式相匹配的虛擬地址，所有者就可以使用從中得到的私鑰來並以與其他地址完全相同的方式使用比特幣。虛擬地址的安全性不低於其他地址。它們依賴於與其他地址相同的橢圓曲線加密（ECC）和SHA。

在 概述 中, 我們介紹了在菲律賓開展業務的兒童慈善機構Eugenia。假設Eugenia正在組織比特幣籌款活動，並希望使用虛擬比特幣地址來宣傳籌款活動。Eugenia將創建一個以＂1Kids＂開頭的虛榮地址來宣傳兒童慈善籌款活動。讓我們看看這個虛榮的地址如何創建，以及它對於Eugenia慈善機構的安全意味著什麼。

紙錢包是印在紙上的比特幣私鑰。通常為方便起見，紙錢包還包括相應的比特幣地址，但這不是必須的，因為它可以用私鑰生成。紙錢包是創建備份或離線比特幣儲存（也稱為＂冷儲存＂）的非常有效的方式。作為備份機制，紙錢包可以防止由於電腦故障（如硬盤驅動器故障，被盜或意外刪除）而導緻密鑰丟失。作為一種＂冷儲存＂機制，如果紙錢包密鑰是離線生成的，永遠不會儲存在電腦系統中，可以很好的防範駭客，按鍵記錄器和其他在線電腦威脅。

紙錢包可以有許多形狀，大小和設計，最基本的只是紙上的密鑰和地址。 Simplest form of a paper wallet—a printout of the bitcoin address and private key 展示了紙錢包最簡單的形式。

例如位於_bitaddress.org_的客戶端JavaScript生成器的工具可以輕鬆生成紙錢包。此頁面包含生成密鑰和紙錢包所需的全部程式碼，即使與互聯網完全斷開。要使用它，請將HTML頁面保存在本地硬盤或外部USB儲存上，斷開互聯網並在瀏覽器中打開它。更好的是，使用乾淨的作業系統啟動電腦，例如可以從CD-ROM啟動的Linux作業系統。離線時使用此工具生成的任何密鑰都可以通過USB（非無線）在本地打印機上打印，從而創建紙錢包，其密鑰僅存在於紙張上，從未儲存在任何在線系統上。將這些紙錢包放入防火保險櫃中，並將比特幣＂發送＂至其比特幣地址，以實施簡單而高效的＂冷儲存＂解決方案。 An example of a simple paper wallet from bitaddress.org 展示了從bitaddress.org網站生成的紙錢包.

簡單紙錢包的缺點是印刷的鑰匙容易被盜。能夠訪問紙張的小偷可以竊取它或拍攝鑰匙，即可控制這些鑰匙鎖定的比特幣。更復雜的紙錢包儲存系統使用BIP-38加密的私人密鑰。紙錢包上印有的鑰匙受到由主人記在腦中的密碼保護。沒有密碼，加密的密鑰就沒用了。紙錢包仍然優於密碼保護的錢包，因為密鑰從未在線並且必須從安全或其他有物理保護的儲存裝置中獲取。 An example of an encrypted paper wallet from bitaddress.org. The passphrase is "test." 顯示在bitaddress.org網站上創建的帶有加密私鑰（BIP-38）的紙幣。

紙錢包可以有許多不同的設計和尺寸，和不同的特徵。一些用來當作禮物贈送，並具有季節性主題，如聖誕節和新年主題。其他設計用於存放在銀行保險庫或帶有隱藏的密碼保護的保險箱中，或者使用不透明的刮擦貼紙，或者使用防篡改粘貼箔摺疊和密封。圖 #paper_wallet_bpw 到 #paper_wallet_spw 顯示具有安全和備份功能的各種紙錢包示例。

其他設計還提供了鑰匙和地址的附加副本，形式為與票根類似的可拆卸存根，允許你儲存多個副本以防止火災，洪水或其他自然災害。

在第一個比特幣錢包（現在稱為Bitcoin Core）中，錢包是隨機生成的私鑰集合。例如，Bitcoin Core客戶端首次啟動時生成100個隨機私鑰，並根據需要生成更多的密鑰，每個密鑰只使用一次。這些錢包正在被確定性的錢包取代，因為它們的管理，備份和匯入很麻煩。隨機密鑰的缺點是，如果你生成了很多密鑰，你必須保留所有密鑰的副本，這意味著錢包必須經常備份。每個密鑰都必須備份，否則，如果錢包變得不可用，則其控制的資金將不可撤銷地丟失。這與避免地址重用的原則直接衝突，即每個比特幣地址僅用於一次交易。地址重用將多個交易和地址相互關聯來，會減少隱私。 0型非確定性錢包是窮人的選擇，如果你想避免地址重用，就要管理許多密鑰，頻繁備份。儘管Bitcoin Core客戶端包含0型錢包，但Bitcoin Core開發人員不鼓勵使用此錢包。 Type-0 nondeterministic (random) wallet: a collection of randomly generated keys 展示了一個非確定性錢包，它包含一個鬆散的隨機密鑰集合。

確定性的，或＂基於種子的＂錢包是包含私鑰的錢包，這些私鑰都是通過使用單向雜湊函數從公共種子派生的。種子是隨機生成的數字，與其他數據（如索引編號或＂chain code＂（參見​分層確定性錢包（HD Wallets）(BIP-32/BIP-44)））組合以匯出私鑰。在確定性錢包中，種子足以恢復所有的派生密鑰，因此在創建時一次備份就足夠了。種子對於錢包匯出或匯入也是足夠的，允許在不同的錢包實施之間輕鬆遷移所有用戶的密鑰。Type-1 deterministic (seeded) wallet: a deterministic sequence of keys derived from a seed 展示了確定性錢包的邏輯圖。

確定性錢包的開發使得從單個＂種子＂中獲得許多密鑰變得容易。確定性錢包的最高級形式是由BIP-32標準定義的HD錢包。HD錢包包含以樹結構匯出的密鑰，父密鑰可以匯出一系列的子密鑰，每個子密鑰可以匯出一系列孫子密鑰等等，可達到無限深度。這個樹結構在Type-2 HD wallet: a tree of keys generated from a single seed中進行了說明。

與隨機（非確定性）密鑰相比，HD錢包具有兩大優勢。首先，樹結構可以用來表達額外的組織含義，例如，使用子密鑰的特定分支來接收傳入的支付，使用另一個分支來接收支付時的零錢。分支的密鑰也可用於組織機構設置，將不同分支分配給部門，子公司，特定功能或會計類別。

HD錢包的第二個優點是用戶可以創建一系列公鑰而無需訪問相應的私鑰。這允許HD錢包用於不安全的伺服器或僅作為接收用途，為每次交易發出不同的公鑰。公鑰不需要事先預加載或派生，伺服器也沒有可以花費資金的私鑰。

HD錢包是管理許多密鑰和地址的非常強大的機制。如果將它們與標準化方式相結合，從一系列易於轉錄，匯出和跨錢包匯入的英語單詞創建種子，就更加有用。這被稱為 助記 ，BIP-39定義了這個標準。今天，大多數比特幣錢包（以及用於其他密碼貨幣的錢包）都使用此標準，並且可以使用可互操作的助記詞匯入和匯出種子以進行備份和恢復。

我們實際來看一下。下列哪類種子更易於轉錄，在紙上記錄，無誤地讀取，匯出/匯入另一個錢包？

隨著比特幣錢包技術的成熟，出現了一些常見的行業標準，使比特幣錢包具有廣泛的互操作性，易用性，安全性和靈活性。這些通用標準是：

這些標準可能會改變或因未來的發展而過時，但現在它們形成了一系列連鎖技術，這些技術已成為比特幣事實上的錢包標準。

這些標準已被軟體和硬體比特幣錢包廣泛採用，使所有這些錢包可以互操作。用戶可以匯出其中一個錢包上生成的助記詞並將其匯入另一個錢包，恢復所有交易，密鑰和地址。

支援這些標準的軟體錢包的一些例子包括（按字母順序排列）Breadwallet，Copay，Multibit HD和Mycelium。支援這些標準的硬體錢包的例子包括（按字母順序列出）Keepkey，Ledger和Trezor。

以下各節詳細介紹這些技術。

在 比特幣的用法，用戶和故事 中我們介紹了Gabriel, 一位在里約熱內盧的富有進取精神的年輕人，他正在經營一家簡單的網上商店，銷售比特幣品牌的T恤，咖啡杯和貼紙。

Gabriel 使用 Trezor 比特幣硬體錢包 (A Trezor device: a bitcoin HD wallet in hardware) 安全地管理他的比特幣。Trezor是一個有兩個按鈕的簡單的USB設備，用於儲存密鑰（以HD錢包的形式） ，簽署交易。Trezor錢包實現了本章介紹的所有工業標準，因此Gabriel並不依賴任何專有技術或單一供應商解決方案。

當Gabriel首次使用Trezor時，該設備通過內置硬體隨機數生成器生成助記符和種子。在這個初始化階段，錢包在螢幕上逐一顯示帶有編號的單詞序列（參見 Trezor displaying one of the mnemonic words）。

記錄下助記詞，Gabriel可以在他的Trezor設備丟失或損壞時使用備份的助記詞進行恢復。這種助記詞可以用於新的Trezor設備或任意一個兼容的軟體或硬體錢包。請注意，助記詞的順序很重要。

對於第一次網店實踐，Gabriel使用Trezor設備上生成的單個比特幣地址。所有客戶都可以使用這個地址進行所有訂單。正如我們將看到的，這種方法有一些缺點，可以通過HD錢包進行改進。

助記詞是表示（編碼）用作派生確定性錢包的種子的隨機數的一個單詞序列。單詞序列足以重新創建種子，並重新創建錢包和所有派生的密鑰。使用助記詞實現確定性錢包的錢包應用會在首次創建錢包時向用戶顯示12至24個單詞的序列。這個單詞序列是錢包的備份，可用於在相同或任何兼容的錢包應用中恢復和重新創建所有密鑰。與隨機數字序列相比，助記詞使得用戶更容易備份錢包，因為它們易於閱讀和正確轉錄。

助記詞在BIP-39中定義（參見[appdxbitcoinimpproposals]）。注意，BIP-39是助記詞標準的一個實現。還有一個不同的標準，使用一組不同的詞，在BIP-39之前由Electrum錢包使用。 BIP-39由生產Trezor硬體錢包的公司提出，與Electrum不兼容。但是，BIP-39現在已經獲得了廣泛的行業支援，數十種產品可以互操作，被視為事實上的行業標準。

BIP-39定義了助記詞和種子的創建方法，我們通過九個步驟來描述它。為了清楚起見，該過程分為兩部分：步驟1至6在 [generate_mnemonic_words] 中，步驟7至9在 從助記詞到種子 中。

HD錢包是由一個 根種子 root seed 創建的，是一個128位，256位或512位的隨機數。通常，這個種子是從 助記詞 mnemonic 生成的，詳見前一節。

HD錢包中的每個密鑰都是從這個根種子確定性地派生出來的，這使得可以在任何兼容的HD錢包中從該種子重新創建整個HD錢包。這使得備份，恢復，匯出和匯入包含數千乃至數百萬個密鑰的HD錢包變得很容易，只需傳輸根種子的助記詞即可。

創建 主密鑰 master keys 和主鏈碼 master chain code 的過程如 Creating master keys and chain code from a root seed 所示。

將根種子作為 HMAC-SHA512 演算法的輸入，生成的雜湊結果用來生成 主私鑰 master private key (m) 和 主鏈碼 master chain code (c)。

然後使用我們在 公鑰 中看到的橢圓曲線乘法 m * G 利用主密鑰（m）生成相應的主公鑰（M）。

主鏈碼（c）用於在從父鍵創建子鍵的函數中引入熵，我們將在下一節看到。

讓我們看看如何使用HD錢包繼續Gabriel的網上商店故事。

Gabriel 首先出於愛好建立了他的網上商店，基於簡單的Wordpress。他的商店非常簡單，只有幾個頁面和有一個比特幣地址的下單表單。

Gabriel 使用他的Trezor設備生成的第一個比特幣地址作為他的商店的主要比特幣地址。這樣，所有收到的付款都將支付給他的Trezor硬體錢包所控制的地址。

客戶將使用表單提交訂單並將支付款項發送至Gabriel發佈的比特幣地址，觸發一封電子郵件，其中包含Gabriel要處理的訂單詳情。每週只有幾個訂單，這個系統運行得很好。

然而，這家小型網上商店變得非常成功，吸引了當地的許多訂單。不久，Gabriel 便不知所措了。由於所有訂單都支付相同的地址，很難正確匹配訂單和交易，尤其是當同一數量的多個訂單緊密結合在一起時。

Gabriel 的 HD 錢包通過在不知道私鑰的情況下派生子公鑰的能力提供了更好的解決方案。Gabriel 可以在他的網站上加載一個擴展公鑰（xpub），用來為每個客戶訂單派生一個唯一的地址。Gabriel 可以從他的Trezor花費資金，但在網站上加載的 xpub 只能生成地址並獲得資金。HD錢包的這個特點是一個很好的安全功能。Gabriel 的網站不包含任何私鑰，因此不需要高度的安全性。

Gabriel將Web軟體與Trezor硬體錢包一起使用匯出xpub。必須插入Trezor設備才能匯出公鑰。請注意，硬體錢包永遠不會匯出私鑰 —— 這些密鑰始終保留在設備上。 Exporting an xpub from a Trezor hardware wallet 展示了Gabriel用於匯出xpub的Web界面。

Gabriel將 xpub 複製到他的網上商店的比特幣商店軟體中。並使用 Mycelium Gear ，這是一個開源的網上商店插件，用於各種網站託管和內容平臺。 Mycelium Gear使用 xpub 為每次購買生成一個唯一的地址。

實際的交易看起來與典型的區塊瀏覽器提供的非常不同。實際上，我們在各種比特幣應用界面中看到的高層次結構 並不實際存在於 比特幣系統中。

我們可以使用Bitcoin Core的命令行界面（ getrawtransaction 和 decoderawtransaction ）來檢索Alice的＂原始＂交易，對其進行解碼並查看它包含的內容。結果如下所示：

你可能只注意到有關此次交易的幾個訊息，大多數訊息缺失了！Alice的地址在哪裡？Bob的地址在哪裡？ Alice發送的0.1輸入在哪裡？在比特幣中，沒有硬幣，沒有發送者，沒有接收者，沒有餘額，沒有帳戶，也沒有地址。所有這些東西都是在更高層次上構建的，以使事情更易於理解。

你可能會注意到很多奇怪的，難以辨認的欄位和十六進制字串。別擔心，我們將在本章中詳細解釋每個欄位。

每筆比特幣交易都產生輸出，這些輸出記錄在比特幣賬本上。除了一個例外（參見 數據記錄輸出 (RETURN) ），幾乎所有這些輸出都創造了稱為UTXO的可支付的比特幣，由整個網路認可並可供所有者在未來的交易中花費。

每個完整節點比特幣客戶端都跟蹤UTXO。新交易消耗（花費）UTXO集合的一個或多個輸出。

交易輸出由兩部分組成:

這個謎題也被稱為 鎖定腳本 locking script ，見證腳本 witness script ，或者 scriptPubKey。

在 交易腳本和腳本語言 中詳細討論了前面提到的鎖定腳本中使用的交易腳本語言。

現在，我們來看看Alice的交易（ 交易背後 ），看看我們是否可以識別輸出。在JSON編碼中，輸出位於名為 vout 的陣列（列表）中：

如你所見，該交易包含兩個輸出。每個輸出由一個值和一個加密謎題定義。在Bitcoin Core顯示的編碼中，該值以比特幣為單位，但在交易本身中，它被記錄為以satoshis為單位的整數。每個輸出的第二部分是設置消費條件的加密謎題。 Bitcoin Core將其顯示為 scriptPubKey 並展示了該腳本的人類可讀的表示。

鎖定和解鎖UTXO的主題將在稍後的 創建腳本 ( 鎖定 + 解鎖 ) 中討論。在 交易腳本和腳本語言 中討論了 scriptPubKey 中使用的腳本語言。但在深入研究這些話題之前，我們需要了解交易輸入和輸出的總體結構。

交易輸入標識（通過引用）將使用哪個UTXO並通過解鎖腳本提供所有權證明。

為了建立交易，錢包從其控制的UTXO中選擇具有足夠價值的UTXO進行所請求的付款。有時候一個UTXO就足夠了，有時候需要多個UTXO。對於將用於進行此項付款的每個UTXO，錢包將創建一個指向UTXO的輸入，並使用解鎖腳本將其解鎖。

讓我們更詳細地看看輸入的組成部分。輸入的第一部分是指向UTXO的指針，引用交易的雜湊值和輸出索引，該索引標識該交易中特定的UTXO。第二部分是一個解鎖腳本，由錢包構建，為了滿足UTXO中設置的花費條件。大多數情況下，解鎖腳本是證明比特幣所有權的數位簽章和公鑰。但是，並非所有解鎖腳本都包含簽名。第三部分是序列號，稍後將進行討論。

考慮 交易背後 中的示例，交易的輸出是 vin 陣列:

如你所見，列表中只有一個輸入（因為這個UTXO包含足夠的值來完成此次付款）。輸入包含四個元素：

在Alice的交易中，輸入指向交易ID：

輸出索引 0（即由該交易創建的第一個UTXO）。解鎖腳本由Alice的錢包構建，首先檢索引用的UTXO，檢查其鎖定腳本，然後使用它構建必要的解鎖腳本以滿足它。

只看輸入內容，你可能已經注意到我們對這個UTXO一無所知，只有對包含它的交易的引用。我們不知道它的價值（satoshi的數量），也不知道設置花費條件的鎖定腳本。要找到這些訊息，我們必須通過檢索底層交易來檢索引用的UTXO。請注意，因為輸入值沒有明確說明，我們還必須使用引用的UTXO來計算將在此次交易中支付的費用（請參見 交易費用 ）。

不僅Alice的錢包需要檢索輸入中引用的UTXO。一旦這個交易被廣播到網路中，每個驗證節點也將需要檢索在交易輸入中引用的UTXO以驗證交易。

這些交易本身似乎不完整，因為它們缺乏上下文。他們在其輸入中引用UTXO，但不檢索該UTXO，我們不知道輸入值或鎖定條件。在編寫比特幣軟體時，只要你想要驗證交易，計算費用或檢查解鎖腳本，你的程式碼首先必須從區塊鏈中檢索引用的UTXO，以便構建輸入中引用的UTXO隱含但不包括的上下文。例如，要計算支付的費用金額，你必須知道輸入和輸出值的總和。如果不檢索輸入中引用的UTXO，則不知道它們的價值。因此，像單筆交易中計費的看似簡單的操作實際上涉及多個交易的多個步驟和數據。

我們可以使用在檢索Alice的交易時使用的相同的Bitcoin Core命令序列（ getrawtransaction 和 decoderawtransaction ）。得到前面輸入中引用的UTXO：

我們看到這個UTXO的值為 0.1 BTC，包含一個鎖定腳本（ scriptPubKey ）： "OP_DUP OP_HASH160…​".

大多數交易包括交易費用，以獎勵比特幣礦工，保證網路安全。費用本身也可以作為一種安全機制，因為攻擊者通過大量交易充斥網路在經濟上是不可行的。 挖礦和共識 更詳細地討論了礦工以及礦工收取的費用和獎勵。

本節探討交易費用如何包含在典型的交易中。大多數錢包會自動計算幷包含交易費用。但是，如果你以寫程式的方式構建交易或使用命令行界面，則必須手動進行計算幷包含這些費用。

交易費用是將交易納入下一個區塊的激勵措施，也是對每次交易徵收小額費用以抵制系統濫用的防範機制。交易費由礦工收集，該礦工將開採在區塊鏈上記錄交易的區塊。

交易費用是以交易數據的大小（KB）計算的，而不是比特幣交易的價值。總體而言，交易費用是根據比特幣網路內的市場力量設定的。礦工根據許多不同的優先條件（包括費用）處理交易，也可能在某些情況下免費處理交易。交易費用會影響處理優先權，這意味著如果交易費用足夠，交易就可能包含在下一個開採區塊中，而費用不足或不收費的交易可能會延遲，在幾個區塊後以盡力而為的方式處理，或者根本不處理。交易費用不是強制性的，沒有費用的交易最終可以被處理；但是，包括交易費用鼓勵優先處理。

隨著時間的推移，交易費用的計算方式以及它們對交易優先級的影響已經發生了變化。起初，交易費用在整個網路中是固定不變的。逐漸地，收費結構放鬆，並可能受到基於網路容量和交易量的市場力量的影響。至少從2016年初開始，比特幣的容量限制已經造成了交易之間的競爭，導致了更高的費用，使免費的交易成為了歷史。免費或低費用的交易很少能被開採，有時甚至不會通過網路傳播。

在Bitcoin Core中，收費中繼策略由 minrelaytxfee 選項設置。當前的預設值是每KB數據0.00001比特幣或0.01毫比特幣。因此，預設情況下，低於0.00001比特幣的交易將被視為免費，並且只在Memory pool有空間時才會被中轉；否則，它們將被丟棄。比特幣節點可以通過調整 minrelaytxfee 的值來覆蓋預設的收費中繼策略。

任何創建交易的比特幣服務，包括錢包，交易所，零售應用等，都 必須 實施動態費用。動態費用可以通過第三方費用估算服務或內置費用估算演算法來實現。如果你不確定，請先從第三方服務開始，如果你希望移除第三方依賴關係，設計並實現自己的演算法。

費用估算演算法根據容量和＂競爭＂交易提供的費用計算適當的費用。這些演算法的從簡單（最後一個區塊的平均費用或中值費用）到複雜（統計分析）。他們估計必要的費用（每字節多少satoshis），使交易被選中幷包含在一定數量的區塊內的可能性很高。大多數服務為用戶提供選擇高、中、低優先級費用的選項。高優先級意味著用戶支付更高的費用，但交易很可能包含在下一個區塊中。中等和低優先級意味著用戶支付較低的交易費用，但交易可能需要更長時間才能確認。

許多錢包應用使用第三方服務計算費用。一種流行的服務是 http://bitcoinfees.21.co，它提供了一個API和一個可視圖表，顯示了不同優先級的 satoshi/位元組 費用。

Fee estimation service bitcoinfees.21.co 中的圖表以10 satoshi/位元組的增量顯示實時的費用估算值，以及每個費用範圍內的預期確認時間（以分鐘和區塊數表示）。對於每個費用範圍（例如，61-70 satoshi/位元組），兩個橫條顯示了未確認交易的數量（1405）和過去24小時內的交易總數（102,975）。根據圖表，此時建議的高優先級費用為 80 satoshi /位元組，可能使交易在下一個區塊中開採（0區塊延遲）。交易規模的中位數為226位元組，所以此交易規模的建議費用為 18,080 satoshis（0.00018080 BTC）。

費用估算數據可以通過簡單的HTTP REST API檢索， https://bitcoinfees.21.co/api/v1/fees/recommended. 例如，在命令行中使用 curl 命令：

API返回一個帶有當前費用估計的JSON物件，包含最快速度確認（ fasterFee ），三個區塊內確認（ halfHourFee ）和六個區塊內確認（ hourFee ）的費用，單位是 satoshi/位元組。

交易的資料結構沒有費用欄位。相反，費用隱含表示為輸入總和與輸出總和的差額。從所有輸入中扣除所有輸出後剩餘的金額都是礦工收取的費用：

這是一個有點令人困惑的交易元素，也是需要理解的重要一點，因為如果你正在構建自己的交易，則必須確保你不會花費了很少的輸入卻無意中包含非常高的費用。這意味著你必須考慮所有輸入，必要時創建找零，否則最終會給礦工一個非常高的小費！

例如，如果你使用20比特幣UTXO進行1比特幣支付，則必須將19比特幣零錢輸出回你的錢包。否則，19比特幣將被算作交易費用，並將由礦工在一個區塊中進行交易。雖然你會得到優先處理並讓礦工很高興，但這可能不是你想要的。

我們再來看看Alice購買咖啡的情況，看看它在實踐中是如何運作的。 Alice 想花0.015比特幣來買咖啡。為確保此交易得到及時處理，她希望包含交易費用，例如0.001。這意味著交易的總成本將是0.016。她的錢包因此必須提供一些UTXO，加起來0.016比特幣或更多，如有必要，可以創建找零。假設她的錢包有一個0.2比特幣的UTXO。因此，它需要消費這個UTXO，創建一個給Bob 0.015的輸出，和一個0.184比特幣的零錢輸出，返回她自己的錢包，剩下0.001比特幣未分配，作為隱含的交易費用。

現在讓我們看看不同的場景。菲律賓的兒童慈善總監Eugenia已經完成了為兒童購買教科書的籌款活動。她收到了來自世界各地的數千人的小額捐款，共計50比特幣，所以她的錢包充滿了非常多的小額未使用輸出（UTXO）。現在她想從本地出版商處購買數百本教科書，用比特幣支付。

Eugenia的錢包應用試圖構建一個較大的付款交易，因此它必須從可用的小金額UTXO集合中獲取資金。這意味著由此產生的交易將有超過一百個小型UTXO輸入，只有一個輸出支付給書籍出版商。具有許多輸入的交易將大於一千位元組，也許幾千位元組大小。因此，它需要比中等規模交易高得多的費用。

Eugenia的錢包應用程式將通過衡量交易規模並將其乘以每千位元組的費用來計算適當的費用。許多錢包會為較大的交易多付費用，以確保交易得到及時處理。較高的費用並不是因為Eugenia花費更多的錢，而是因為她的交易規模更大更復雜 - 收費與交易的比特幣價值無關。

數位簽章是由兩部分組成的數學模式 mathematical scheme。第一部分是使用私鑰（簽名密鑰）從訊息（交易）創建簽名的演算法。第二部分是，允許任何人使用訊息和公鑰驗證簽名的演算法

要驗證簽名，必須拿到簽名（ R 和 S ），序列化交易和公鑰（對應的用於創建簽名的私鑰）。實質上，對簽名的驗證意味著＂只有生成此公鑰的私鑰的所有者才能在此交易上產生此簽名＂。

簽名驗證演算法採用訊息（交易或其部分數據的雜湊），簽名者的公鑰和簽名（ R 和 S 值），如果簽名對此訊息和公鑰有效，則返回TRUE。

數位簽章是應用於訊息的，對比特幣來說，訊息就是交易。簽名意味著簽名者對具體交易數據的 保證 commitment 。最簡單的形式是，簽名應用於整個交易，從而保證所有輸入，輸出和其他交易欄位。但是，簽名也可以只保證交易中的一部分數據，在許多場景下很有用，我們將在本節中看到。

比特幣的簽名可以使用 SIGHASH 指示交易數據的哪部分包含在由私鑰簽名的雜湊中。SIGHASH 標誌是附加到簽名後面的單個位元組。每個簽名都有一個 SIGHASH 標誌，並且該標誌對於不同輸入是不同的。具有三個簽名輸入的交易可以具有三個不同的帶有 SIGHASH 標誌的簽名，每個簽名簽署（保證）交易的不同部分。

請記住，每個輸入都能在其解鎖腳本中包含一個簽名。因此，包含多個輸入的交易可能具有不同的帶有 SIGHASH 標誌的簽名，這些標誌會在每個輸入中保證交易的不同部分。還要注意的是，比特幣交易可能包含來自不同＂所有者＂的輸入，他們可能在部分構建的（無效的）交易中僅簽署一個輸入，需要其他人合作收集所有必要的簽名才能進行有效交易。許多 SIGHASH 標誌類型只有在你認為多位參與者在比特幣網路之外協作並各自更新部分簽名的交易時才有意義。

另外，還有一個修飾符標誌 SIGHASH_ANYONECANPAY，它可以與前面的每個標誌結合使用。當設置了 ANYONECANPAY 時，只有一個輸入被簽名，剩下的（及其序列號）保持開放可以修改。 ANYONECANPAY 的值為 0x80，並按位OR應用，生成組合的標誌，如 SIGHASH types with modifiers and their meanings 所示。

在簽名和驗證過程中應用 SIGHASH 標誌的方式是創建交易的副本，將內部的某些欄位截斷（設置長度為零並清空）。將產生的交易序列化。將 SIGHASH 標誌添加到序列化交易的末尾，並對結果進行雜湊雜湊。雜湊本身就是被簽名的＂訊息＂。根據使用哪個 SIGHASH 標誌，交易的不同部分被截斷。結果雜湊取決於交易中數據的不同子集。在雜湊之前最後一步包含了 SIGHASH ，簽名也保證了 SIGHASH 類型，不能被（礦工）改變。

在Alice的交易示例中（請參見 簽名的序列化 (DER) 中的列表），我們看到DER編碼簽名的最後一部分是 01 ，它是 SIGHASH_ALL 標誌。這會鎖定交易數據，所以Alice的簽名會保證所有輸入和輸出的狀態。這是最常見的簽名形式。

讓我們看看其他類型的 SIGHASH 以及它們如何在實踐中使用：

有一些關於修改或擴展 SIGHASH 系統的建議。其中一個是 Blockstream 的 Glenn Willen 提出的 BitTek Sighash Modes ，是 Elements 項目的一部分。它旨在創建一個靈活的 SIGHASH 類型替代方案，允許＂輸入和輸出的任意的，礦工可重寫的位掩碼＂，可以表達＂更復雜的合同預先承諾方案，例如在分佈式資產交換中籤署帶有更改的報價"。

如前所述，簽名是由一個數學函數 F_sig 創建的，產生由兩個值 R 和 S 組成的簽名。在本節中，我們將更詳細地討論函數 F_sig。

簽名演算法首先生成 ephemeral（臨時）私鑰公鑰對。在涉及簽名私鑰和交易雜湊的轉換之後，此臨時密鑰對用於計算_R_和_S_值。

臨時密鑰對基於隨機數 k ，也就是臨時私鑰。從 k 開始，我們生成相應的臨時公鑰 P（按照_P = k * G_計算，與比特幣公鑰的生成方式相同；參見 公鑰 ）。數位簽章的 R 值就是臨時公鑰 P 的 x 座標。

演算法計算簽名的_S_值，如下：

S = k^-1 (Hash(m) + dA * R) mod p

其中:

＂驗證＂是簽名生成函數的反函數，使用 R，S 值和公鑰來計算一個值 P，它是橢圓曲線上的一個點（簽名創建中使用的臨時公鑰）：

P = S^-1 * Hash(m) * G + S^-1 * R * Qa

where:

如果計算點 P 的 x 座標等於 R ，那麼驗證者可以推斷簽名是有效的。

請注意，在驗證簽名時，沒有用到私鑰，也不會被洩露。

正如我們在 ECDSA 數學 中看到的，簽名生成演算法使用隨機密鑰 k 作為臨時私鑰/公鑰對的基礎。 k 的值並不重要，只要它是隨機的。如果使用相同的值 k 在不同的訊息（交易）上生成兩個簽名，那麼則任何人都可以計算簽名私鑰。在簽名演算法中重複使用 k 的相同值會導致私鑰的暴露！

這不僅僅是一種理論上的可能性。我們已經看到這個問題導致私鑰暴露在比特幣的幾種不同的交易簽名演算法中。由於無意中重複使用 k 值，有人資金被盜。重用 k 值的最常見原因是沒有初始化正確的隨機數生成器。

為避免此漏洞，最佳做法是不生成帶有熵的隨機數生成器的 k，而是使用通過交易數據本身作為種子的確定性隨機過程。這確保每筆交易產生不同的 k。 k 的確定性初始化的行業標準演算法在 Internet Engineering Task Force 發佈的 RFC 6979 中定義。

如果你正在實施一種演算法來簽署比特幣交易，你必須使用RFC 6979或類似的確定性隨機演算法來確保你為每筆交易生成不同的 k。

在 CHECKMULTISIG 的執行過程中有一個錯誤，需要稍微解決一下。當 CHECKMULTISIG 執行時，它應該消耗堆疊中的 M + N + 2 個項目作為參數。 但是，由於該錯誤，CHECKMULTISIG 會彈出額外的值或超出預期的值。

讓我們用前面的驗證示例更詳細地看一下：

首先，CHECKMULTISIG+彈出頂部元素，它是 +N（在本例中為＂3＂）。然後它彈出 N 個元素，這是可簽名的公鑰。在這個例子中，是公鑰 A，B 和 C 。然後，它彈出一個項目，即 M ，仲裁數（需要多少個簽名）。這裡 M = 2。此時，CHECKMULTISIG 應該彈出最後的 M 個元素，這是簽名，並查看它們是否有效。然而，不幸的是，實現中的一個錯誤會導致 CHECKMULTISIG 彈出另一個元素（ 總數為M + 1 ）。額外的項目在檢查簽名時被忽略，因此它對 CHECKMULTISIG 本身沒有直接影響。但是，必須存在額外的值，因為如果它不存在，當 CHECKMULTISIG 試圖彈出空堆疊時，它將導致堆疊錯誤和腳本失敗（將交易標記為無效）。由於額外的項目被忽略，它可以是任何東西，但通常使用 0。

由於這個bug成為了共識規則的一部分，現在必須永久複製。因此，正確的腳本驗證將如下所示：

所以，正確的解鎖腳本不是

而是:

從現在起，如果你看到一個 multisig 解鎖腳本，你應該在開始時看到一個額外的 0，其唯一目的是修正意外成為共識規則的錯誤。

P2SH功能的另一個重要部分是將腳本雜湊編碼為地址的能力，如BIP-13中所定義的那樣。P2SH地址是腳本的20字節雜湊的Base58Check編碼，就像比特幣地址是公鑰的20字節雜湊的Base58Check編碼一樣。 P2SH地址使用版本前綴＂5＂，這導致以＂3＂開頭的Base58Check編碼地址。

例如，Mohammed的複雜腳本，通過雜湊和Base58Check編碼，生成P2SH地址 39RF6JqABiHdYHkfChV6USGMe6Nsr66Gzw。我們可以用 bx 命令來確認

現在，Mohammed可以給他的客戶提供這個＂地址＂，他們幾乎可以使用任何比特幣錢包進行簡單付款，就像它是一個比特幣地址一樣。前綴3給他們一個暗示，這是一種特殊的地址類型，對應於腳本而不是公鑰，但是它的作用方式與支付比特幣地址的方式完全相同。

P2SH地址隱藏了所有的複雜性，因此付款人看不到腳本。

與在鎖定輸出時直接使用複雜腳本相比，P2SH具有以下優點：

在Bitcoin Core客戶端版本0.9.2之前，Pay-to-Script-Hash通過 IsStandard() 函數僅限於標準類型的比特幣交易腳本。這意味著消費交易中提供的贖回腳本只能是標準類型之一：P2PK，P2PKH或multisig。

從Bitcoin Cor客戶端版本0.9.2開始，P2SH交易可以包含任何有效的腳本，使P2SH標準更加靈活，並允許對許多新型和複雜類型的交易進行實驗。

你無法將P2SH放入P2SH贖回腳本中，因為P2SH規範不是遞歸的。另外，技術上可以在贖回腳本中包含 RETURN（ 參見 數據記錄輸出 (RETURN) ），規則中的任何內容都無法阻止你這樣做，但沒有實際意義，因為在驗證期間執行 RETURN 將導致交易被標記為無效。

請注意，因為贖回腳本在你嘗試使用P2SH的輸出之前未呈現給網路，所以如果你使用無效的贖回腳本的雜湊鎖定該輸出，它將被忽略。 UTXO將被成功鎖定，但你將無法花費這筆費用，包含贖回腳本的花費交易不會被接受，因為它是無效的腳本。這會產生風險，因為你可以將比特幣鎖定在以後不能使用的P2SH中。網路會接收對應於無效的贖回腳本的鎖定腳本。

從一開始，比特幣就具有交易級別的時間鎖定功能。交易鎖定時間是交易級別的設置（交易資料結構中的一個欄位），用於定義交易有效的最早時間，並且可以在網路上中轉或添加到區塊鏈。Locktime也被稱為 nLocktime ，來自Bitcoin Core程式碼庫中使用的變數名稱。在大多數交易中它被設置為0以表示立即傳播和執行。如果 nLocktime 非零且低於5億，會被解釋為為區塊高度，表示交易無效並且不會在指定區塊高度之前中轉或包含在區塊鏈中。如果它超過5億，它會被解釋為Unix紀元時間戳（自1970年1月1日以來的秒數），表示交易在指定時間之前無效。使用 nLocktime 指定未來區塊或時間的交易必須由發起的系統持有，只有在它們生效後才傳輸到比特幣網路。如果交易在指定的 nLocktime 之前傳輸到網路，交易將被第一個節點認為無效並拒絕，不會被中轉到其他節點。 nLocktime 的使用等同於推遲日期的紙質支票。

2015年12月，一種新的時間鎖形式作為軟分叉升級引入了比特幣。根據BIP-65中的規範，一種名為 CHECKLOCKTIMEVERIFY（CLTV）的腳本操作符添加到腳本語言中。 CLTV 是每個輸出的時間鎖，而不是 使用 nLocktime 情況下的每個交易的時間鎖。允許時間鎖的應用更加靈活。

簡而言之，通過在輸出的贖回腳本中添加 CLTV 操作碼，可以限制輸出只能在指定的時間過後才能使用。

CLTV 並沒有取代 nLocktime，而是限制特定UTXO，以使它們只能在 nLocktime 設置為更大或相等的值的未來交易中使用。

CLTV 操作碼將一個參數作為輸入，該參數以與 nLocktime（區塊高度或Unix紀元時間）相同的格式表示。如 VERIFY 後綴所示，CLTV 是在結果為 FALSE 時停止執行腳本的操作碼。如果結果為TRUE，則繼續執行。

為了用 CLTV 鎖定輸出，可以在創建這筆輸出的交易中，將其插入到輸出的贖回腳本中。例如，如果Alice正在向Bob的地址支付，輸出通常會包含如下所示的P2PKH腳本：

為了將其鎖定一段時間，比如從現在開始3個月，這筆交易將帶有如下的贖回腳本：

其中 <now {plus} 3 months> 是從這筆交易被開採後3個月的區塊高度或者時間戳估計，當前區塊高度 + 12,960 (區塊) 或者 當前Unix時間戳 + 7,760,000 (秒). 現在，不要在意 CHECKLOCKTIMEVERIFY 之後的 DROP 操作符，我們之後會解釋。

當Bob嘗試花費這個UTXO時，構建一個以UTXO作為輸入的交易，在輸入的解鎖腳本中使用他的簽名和公鑰，並將交易的 nLocktime 設置為等於或大於 CHECKLOCKTIMEVERIFY 中Alice設置的 timelock，然後在比特幣網路上廣播交易。

Bob的交易被進行如下的評估，如果Alice設置的 CHECKLOCKTIMEVERIFY 的參數小於或等於消費交易的 nLocktime，則腳本執行繼續（如同執行 "no operation" 或NOP操作碼一樣）。否則，腳本執行會停止，並且交易被視為無效。

更準確地說，CHECKLOCKTIMEVERIFY 失敗並暫停執行，標記交易無效，如果達成以下條件（來源：BIP-65）：

執行後，如果滿足 CLTV，則其前面的時間參數將保留為堆疊頂元素，需要使用 DROP 將其刪除，以正確執行後續腳本操作碼。出於這個原因，你經常會在腳本中看到 CHECKLOCKTIMEVERIFY 和 DROP。

通過將 nLocktime 與 CLTV 結合使用，交易鎖定時間限制 中描述的場景會發生變化。Alice不能再花費這筆資金了（因為它被Bob的密鑰鎖定），Bob在3個月的鎖定時間到期之前也不能花費。

通過將時間鎖功能直接引入腳本語言，CLTV 允許我們開發一些非常有趣的複雜腳本。

標準的定義參見 BIP-65 (CHECKLOCKTIMEVERIFY)。

nLocktime 和 CLTV 都是 絕對的時間鎖 absolute timelocks，表示一個絕對的時間點。接下來我們要研究的兩個時間鎖功能是 相對時間鎖 relative timelocks，它們指定從輸出在區塊鏈中被確認時開始的一段時間，作為花費輸出的條件。

相對時間鎖是有用的，它們允許兩個或多個相互依賴的交易組成的交易鏈進行脫鏈處理，對一個依賴於前一個交易確認後一段時間的交易施加時間限制。換句話說，直到UTXO被記錄在區塊鏈上時，時鐘才會開始計數。這個功能在雙向狀態通道（bidirectional state channels）和閃電網路（Lightning Networks）中特別有用，我們將在 支付通道和狀態通道 Payment Channels and State Channels 中看到。

相對時間鎖與絕對時間鎖一樣，都是通過交易級功能和腳本級操作碼實現的。交易級別的相對時間鎖實現為 nSequence（每個交易輸入中設置的欄位）值的共識規則。腳本級別的相對時間鎖使用 CHECKSEQUENCEVERIFY（CSV）操作碼實現。

相對時間鎖是根據 BIP-68, Relative lock-time using consensus-enforced sequence numbers 和 BIP-112, CHECKSEQUENCEVERIFY 中的規範實現的。

BIP-68和BIP-112於2016年5月作為共識規則的軟分叉升級啟用。

通過設置 nSequence 欄位，可以在交易的每個輸入上設置相對時間鎖。

與CLTV和 nLocktime 一樣，有一個在腳本中使用 nSequence 值作為相對時間鎖的腳本操作碼。該操作碼是 CHECKSEQUENCEVERIFY，通常簡稱為 CSV。

在UTXO的贖回腳本中執行時，CSV 操作碼僅允許輸入的 nSequence 值大於或等於 CSV 參數的交易。從本質上講，這限制了UTXO直到相對於UTXO開採的時間已經過去了一定數量的區塊或秒之後才能被花費。

與CLTV一樣，CSV 中的值必須與相應的 nSequence 值中的格式匹配。如果 CSV 指定的是區塊數量，nSequence 也必須是區塊數量。如果 CSV 指定的是秒，那麼 nSequence 也必須是秒。

當幾個（鏈接的）交易被創建和簽名，但保持＂脫鏈＂狀態不會傳播時，使用 CSV 的相對時間鎖特別有用。直到父交易被傳播，開採和沉澱到相對時間鎖定中指定的時間後，才能使用子交易。可以在 支付通道和狀態通道 Payment Channels and State Channels 和 路由支付通道（閃電網路） 中看到這個用例的應用。

CSV 在 BIP-112, CHECKSEQUENCEVERIFY 中詳細定義。

作為啟用相對時間鎖的一部分，時間鎖（絕對和相對）的＂時間＂計算方式有所變化。在比特幣中，實際時間（wall time）和共識時間（consensus time）之間存在著微妙但重要的差異。比特幣是一個去中心化的網路，這意味著每個參與者都有自己的時間視角。網路上的事件並不是每時每刻都在發生。必須在每個節點的角度考慮網路延遲。最終，所有內容都會同步,創建一個公共的賬本。與 過去 一樣，比特幣每隔10分鐘就會對賬本的狀態達成共識。

區塊頭中的時間戳是由礦工設置的。共識規則留有一定的餘地來解決分散的節點之間的時鐘精度差異。然而，這帶來了一種不幸的激勵，促使礦工在一個區塊內對時間撒謊，以便通過納入尚未成熟的時間鎖定交易來收取額外的費用。有關更多訊息，請參見下面的部分。

為了消除對撒謊的激勵，並加強時間鎖的安全性，BIP-113與關於相對時間鎖的BIP同時提出並被啟用，它定義了一個稱為 過去中位時間 Median-Time-Past 的新的一直的時間測量方法。

Median-Time-Past 過去11個區塊的時間戳並的中位數。中位時間成為共識時間，並用於所有時間鎖的計算。通過取過去大約兩個小時的中點，任何一個區塊的時間戳影響都會減小。通過結合11個區塊，沒有一個礦工可以為了獲得尚未成熟的時間鎖定交易費用而影響時間戳。

Median-Time-Past改變了 nLocktime，CLTV，nSequence 和 CSV 的時間計算實現。由Median-Time-Past計算的共識時間總是比實際時間晚大約一個小時。如果你創建時間鎖定交易，應該在估計 nLocktime，nSequence，CLTV 和 CSV 中編碼的時間時考慮這一點。

Median-Time-Past 在 BIP-113 中被定義。

費用狙擊（Fee-sniping）是一種理論上的攻擊場景，表示試圖改寫過去的區塊的礦工＂狙擊＂未來區塊中更高費用的交易，來最大化盈利的方法。

例如，假設現在的最高區塊是區塊＃100,000。一些礦工嘗試重新開採區塊 #100,000，而不是嘗試開採區塊＃100,001來增長區塊鏈。這些礦工可以選擇在他們的候選區塊＃100,000中包含任何有效的交易（尚未開採）。他們不必通過相同的交易來重新開採區塊。事實上，他們有動力選擇最有利可圖的（每KB最高費用）交易幷包含在他們的區塊中。它們可以包括任何在＂舊＂區塊＃100,000中的交易，也可以包含來自當前mempool的任何交易。本質上，當他們重新創建區塊＃100,000時，他們可以選擇將交易從＂現在＂轉移到重寫的＂過去＂。

今天，這種攻擊不是很有利可圖，因為區塊獎勵遠高於每個區塊的總費用。但是在將來，交易費用將成為獎勵的一大部分（甚至獎勵的全部）。那時候，這種情況就不可避免了。

在Bitcoin Core創建交易時，為了防止＂費用狙擊＂，會預設使用 nLocktime 將其限制為＂下一個區塊＂。在我們的場景中，Bitcoin Core會在其創建的任何交易中將 nLocktime 設置為100,001。正常情況下，這個 nLocktime 不起作用 —— 無論如何，交易只能包含在＃100001區塊中；這是下一個區塊。

但是，在區塊鏈分叉攻擊下，礦工們將無法從mempool中獲取高額交易，因為所有這些交易都會被鎖定到＃100,001區塊。他們只能使用當時有效的交易重新計算＃100,000，實質上不會獲得新的費用。

為此，Bitcoin Core將所有新交易的 nLocktime 設置為 <當前區塊＃+ 1>，並將所有輸入的 nSequence 設置為0xFFFFFFFE以啟用 nLocktime。

比特幣腳本中另外一種條件形式是以 VERIFY 結尾的任何操作碼。VERIFY 後綴表示如果所評估的條件不是 TRUE，腳本將立即終止執行，並且交易被視為無效。

與 IF 語句提供不同的執行路徑不同，VERIFY 後綴用作 守護語句 guard clause, 只有滿足前面的條件時繼續執行。

例如，以下腳本需要Bob的簽名和產生特定雜湊的原象（pre-image）（密鑰）。必須滿足這兩個條件才能解鎖：

為了贖回這筆資金, Bob 必須創建提供原象（pre-image）和簽名的解鎖腳本：

在不提供原象的情況下，Bob無法執行到檢查其簽名的腳本部分。

這個腳本可以用 IF 語句寫成:

Bob的解鎖腳本是相同的:

帶 IF 的腳本與使用 VERIFY 後綴的操作碼的功能相同；他們都作為守護語句運行。但是，VERIFY 構造更高效，使用兩個較少的操作碼。

那什麼時候使用 VERIFY，什麼時候使用 IF 呢？如果我們只是附加一個先決條件（guard clause），那麼 VERIFY 更好。但是，如果有多個執行路徑（流程控制），那麼需要使用 IF...ELSE 流程控制語句。

比特幣腳本中，流程控制的一個常見用途是構建贖回腳本，提供多個執行路徑，每種贖回方式都可以贖回UTXO。

看一個簡單的例子，有兩個簽名者，Alice和Bob，任何一個都可以兌換。使用multisig時，這將表示為 1-of-2 的多重簽名腳本。為了演示，我們使用 IF 語句做同樣的事情：

看到這個贖回腳本，你可能會想：＂條件在哪裡？在 IF 語句之前沒有任何東西啊！＂

條件不是贖回腳本的一部分。而是在解鎖腳本中提供，從而允許 Alice 和 Bob ＂選擇＂ 他們想要的執行路徑。

Alice使用以下解鎖腳本進行贖回：

最後的 1 作為條件（TRUE），使 IF 語句執行Alice簽名的第一個贖回路徑。

如果Bob要贖回，他必須通過給 IF 語句提供一個 FALSE 值來選擇第二個執行路徑：

Bob的解鎖腳本在堆疊上放置了 0，導致 IF 語句執行第二個（ ELSE ）腳本，從而需要Bob的簽名。

由於 IF 語句可以嵌套，我們可以創建執行路徑的＂迷宮＂。解鎖腳本可以提供一個選擇執行路徑實際執行的＂映射＂：

在這種情況下，有三個執行路徑（腳本A，腳本B 和 腳本C）。解鎖腳本以 TRUE 或 FALSE 值的順序提供路徑。例如，要選擇路徑 腳本B，解鎖腳本必須以 1 0（ TRUE，FALSE ）結尾。這些值將被壓入堆疊，以便第二個值（ FALSE ）作為堆疊頂部。外層的 IF 語句彈出 FALSE 並執行第一個 ELSE 語句。然後 TRUE 移動到堆疊頂，並由內部的（嵌套的）IF 判斷，從而選擇 B 執行路徑。

使用這種構造，我們可以用數十或數百個執行路徑構贖回腳本，每個腳本都提供了一種不同的方式來贖回UTXO。為了花費UTXO，我們構建一個解鎖腳本，通過在每個流程控制點的堆疊上放置相應的 TRUE 和 FALSE 來選擇執行路徑。

隔離見證是一種體系結構變化，它對比特幣的可擴展性，安全性，經濟效益和性能有以下影響：

隔離見證看起來改變了交易如何構建，是交易層面的特性，但事實並非如此。相反，隔離見證是對如何花費單個UTXO的改變，因此是每個輸出層面的特性。

交易可以花費隔離見證的輸出或傳統（內聯見證）的輸出，或同時花費兩者。因此，將交易稱為＂隔離見證交易＂沒有什麼意義。我們應該將具體的交易輸出稱為＂隔離見證輸出＂。

當交易花費UTXO時，它必須提供見證。在傳統的UTXO中，鎖定腳本要求在花費UTXO的交易的輸入部分提供 在線的 見證數據。然而，隔離見證UTXO指定了一個鎖定腳本，它可以被輸入之外的（隔離的）見證數據滿足。

隔離見證是輸出和交易架構方式的重大變化。這種改變通常需要每個比特幣節點和錢包同時改變以升級共識規則 —— 所謂的硬分叉。然而，隔離見證的引入具有較少的破壞性變化，是向後兼容的，被稱為軟分叉。這種類型的升級允許非升級軟體忽略更改並繼續運行而不會中斷。

隔離見證構建的輸出，使不能識別"見證"的舊系統仍然可以驗證它們。對於舊的錢包或節點，隔離見證輸出看起來像是任何人都可以花費的輸出。這樣的輸出可以用一個空的簽名來花費，交易內部沒有簽名（隔離的）並不會使交易失效。然而，較新的錢包和挖礦節點會看到隔離見證輸出，並期望在交易的見證數據中找到有效的見證。

讓我們來看一些示例交易，看它們將如何隨著隔離見證改變。首先看一下如何使用隔離見證程序來轉換Pay-to-Public-Key-Hash（P2PKH）。然後，看一下Pay-to-Script-Hash（P2SH）腳本的隔離見證等價物。最後，我們將看看如何將之前的隔離見證程序嵌入到P2SH腳本中。

從前面的例子可以看出，升級為隔離見證是一個兩步的過程。首先，錢包必須創建特殊的隔離型輸出。然後，這些輸出可以被知道如何構建隔離見證交易的錢包花費。在這些例子中，Alice的錢包支持segwit，能夠使用Segregated Witness腳本創建特殊輸出。 Bob 的錢包也是支持segwit的，能夠花費那些輸出。從這個例子中可能不明顯的是，在實踐中，Alice的錢包需要知道Bob使用了一個支持segwit的錢包並可以使用這些輸出。否則，如果Bob的錢包沒有升級，當Alice試圖向Bob進行segwit支付，那麼Bob的錢包將無法檢測到這些支付。

隔離見證不會在整個網路中同時實施。而是向後兼容的升級，新老客戶可以共存。錢包開發人員將獨立升級錢包軟體以添加隔離見證功能。當付款人和收款人都支持隔離見證時，可以使用P2WPKH和P2WSH付款類型。傳統的P2PKH和P2SH將繼續為沒有升級的錢包工作。這留下了兩個重要的場景，下一節將討論這些：

隔離見證修改了四種簽名驗證函數（CHECKSIG，CHECKSIGVERIFY，CHECKMULTISIG 和 CHECKMULTISIGVERIFY）的語義，改變了交易保證雜湊的計算方式。

比特幣交易中的簽名應用於_commitment hash_，這是根據交易數據計算的，鎖定數據的特定部分，表明簽名者對這些值的保證。例如，在簡單的 SIGHASH_ALL 類型簽名中，保證雜湊包括所有輸入和輸出。

不幸的是，計算保證雜湊的方式引入了驗證簽名的節點可能被迫執行大量雜湊計算的可能性。具體而言，雜湊操作相對於交易中的簽名操作的數量以 O(n²) 的複雜度增長。因此，攻擊者可以創建帶有大量簽名操作的交易，導致整個比特幣網路必須執行數百或數千次雜湊操作才能驗證交易。

Segwit提供了通過改變保證雜湊計算方式來解決這個問題的機會。對於segwit版本0見證程序，使用BIP-143中規定的改進的保證雜湊演算法進行簽名驗證。

新演算法實現了兩個重要目標。首先，雜湊操作的數量隨著簽名操作的數量逐漸以 O(n) 增長，減少了用過於複雜的交易創建拒絕服務攻擊的機會。其次，保證雜湊現在還將每個輸入的值（金額）作為雜湊的一部分，這意味著簽名者無需＂獲取＂並檢查輸入引用的前一個交易就可以保證特定的輸入值。對於離線設備（例如硬體錢包），這大大簡化了主機與硬體錢包之間的通信，消除了對以前的交易進行驗證的需要。硬體錢包可以接受不受信任的主機＂所聲明的＂輸入值，因為如果輸入值不正確則簽名無效，硬體錢包在簽名輸入前不需要驗證該值。

比特幣挖礦節點和完整節點會產生用於支持比特幣網路和區塊鏈的資源的成本。隨著比特幣交易量的增加，資源成本（CPU，網路頻寬，硬碟空間，內存）也不斷增加。礦工通過收取與每次交易的大小（位元組）成比例的費用來補償這些成本。非挖礦（Nonmining）完整節點沒有得到補償，蒙受了損失，因為他們需要運行一個權威的完全驗證的全索引節點，可能是因為他們使用節點來經營比特幣業務。

如果沒有交易費用，比特幣數據的增長可能會大幅增加。費用旨在通過基於市場的價格發現機制，將比特幣用戶的需求與交易對網路帶來的負擔相匹配。

基於交易規模的費用計算將交易中的所有數據視為成本相同的。但是從完整節點和礦工的角度來看，交易的某些部分承擔了更高的成本。添加到比特幣網路的每筆交易都會影響節點上四種資源的消耗：

從列表中可以看出，並非交易的每個部分都對運行節點的成本或比特幣支持更多交易的能力產生同等影響。交易中最昂貴的部分是新創建的輸出，因為它們被添加到內存中的UTXO集合中。相比之下，簽名（又名見證數據）為增加了最小的網路負擔和節點運行成本，因為見證數據只被驗證一次，然後再也不會使用。此外，在收到新的交易並驗證見證數據之後，節點立即丟棄該見證數據。如果費用是根據交易規模計算的，而不區分這兩種數據，那麼市場化的費用激勵就不符合交易實際施加的成本。實際上，目前的費用結構實際上鼓勵了相反的行為，因為見證數據是交易的最大部分。

交易在其輸入中花費UTXO，並在輸出中創建新的UTXO。因此，一個輸入數量大於輸出數量的交易將導致UTXO集的減少，而一個輸出數量大於輸入數量的交易將導致UTXO集的增加。讓我們考慮輸入和輸出之間的_差異_，並稱之為"淨增UTXO"（"Net-new-UTXO"）。這是一個重要的指標，因為它告訴我們一個交易將對網路中最昂貴的資源(即內存裡的UTXO集)產生什麼影響。Net-new-UTXO為正的交易增加負擔，Net-new-UTXO為負的交易減少負擔。因此，我們希望鼓勵Net-new-UTXO為負或為0的交易。

讓我們看一個例子，說明在有無隔離見證的情況下，交易費用計算產生了哪些激勵。我們將看兩個不同的交易。交易A是有3個輸入2個輸出的交易，Net-new-UTXO為-1。交易B是2個輸入3個輸出的交易，Net-new-UTXO為1，意味著它增加了一個UTXO到UTXO集，給整個比特幣網路帶來了額外的成本。這兩筆交易都使用多重簽名（2-of-3）腳本來說明覆雜腳本如何增加隔離見證對費用的影響。假設交易費為每位元組30 satoshi，見證數據擁有75％的費用折扣：

這兩種交易在實施隔離見證時都較為便宜。但是比較這兩筆交易的成本，我們發現在隔離見證之前，Net-new-UTXO為負的交易費用較高。在隔離見證後，交易費用與鼓勵減少新的UTXO產生的激勵相一致，不會無意地懲罰有許多輸入的交易。

因此，隔離見證對比特幣用戶支付的費用有兩個主要影響。首先，segwit通過見證數據折扣，和增加比特幣區塊鏈的能力，來降低交易的總體成本。其次，segwit對見證數據的折扣糾正了可能無意中導致UTXO集合中更加膨脹的激勵錯配。

布林過濾器被實現為具有N個二進制數字（比特位）的可變大小陣列，和可變數量的M個雜湊函數。雜湊函數被設計為始終產生1到N之間的輸出，對應於二進制數字的陣列。雜湊函數是確定性地生成的，以便任何實現布林過濾器的節點將總是使用相同的雜湊函數，並且針對特定輸入獲得相同的結果。通過選擇不同長度（N）布林過濾器和不同數量（M）的雜湊函數，可以調整布林過濾器，從而改變準確性水平和隱私。

在 An example of a simplistic 布林 filter, with a 16-bit field and three hash functions 中, 我們使用非常小的16位陣列和三個雜湊函數來演示布林過濾器如何工作。

布林過濾器將位陣列全部初始化為零。要將模式添加到布林過濾器，依次由每個雜湊函數雜湊。將第一個雜湊函數應用於輸入會產生一個介於1和N之間的數字。找到陣列中的相應位（從1到N編號）並設置為 1 ，從而記錄雜湊函數的輸出。然後，下一個雜湊函數被用來設置另一個位等等。應用了所有M個雜湊函數之後，搜索模式將在布林過濾器中被＂記錄＂為從 0 變為 1 的M個位。

Adding a pattern "A" to our simple 布林 filter 是向 An example of a simplistic 布林 filter, with a 16-bit field and three hash functions 中所示的簡單布林過濾器添加模式＂A＂的示例。

添加第二個模式與重複此過程一樣簡單。該模式依次由每個雜湊函數進行雜湊，並通過對應的位設置為 1 來記錄結果。請注意，由於布林過濾器填充了更多模式，因此雜湊函數結果可能與已設置為 1 的位重合，在這種情況下該位不會更改。本質上，隨著更多模式記錄重疊位，布林過濾器開始變得飽和，更多位設置為 1 ，濾波器的準確性降低。這就是為什麼過濾器是一個概率資料結構 —— 隨著更多模式的添加，它變得不太準確。精確度取決於所添加的模式的數量與位陣列（N）的大小和雜湊函數（M）的數量。更大的位陣列和更多的雜湊函數可以以更高的準確度記錄更多的模式。較小的位陣列或更少的雜湊函數將記錄較少的模式併產生較低的準確性。

Adding a second pattern "B" to our simple 布林 filter 是向簡單布林過濾器添加第二個模式＂B＂的示例。

為了測試一個模式是否是布林過濾器的一部分，使用每個雜湊函數對模式進行雜湊處理，並根據比特陣列測試最終的位模式。如果由雜湊函數索引的所有位被設置為 1，則該模式 可能 在布林過濾器中記錄。因為這些比特可能因為多重模式的重疊而被設置，所以答案不確定，而是相當可能的。簡而言之，布林 Filter正面匹配是＂可能是＂。

Testing the existence of pattern "X" in the 布林 filter. The result is a probabilistic positive match, meaning "Maybe." 是在簡單布林過濾器中測試模式＂X＂的存在的示例。相應的位被設置為 1 ，所以模式可能是匹配的。

相反，如果模式針對布林過濾器進行測試，並且任意一個比特設置為 0 ，則這證明該模式沒有記錄在布林過濾器中。否定的結果不是概率，而是肯定的。簡而言之，布林過濾器上的負面匹配是＂絕對不是！＂

Testing the existence of pattern "Y" in the 布林 filter. The result is a definitive negative match, meaning "Definitely Not!" 是在簡單布林過濾器中測試模式＂Y＂的存在的一個例子。其中一個相應的位設置為 0，因此該模式絕對不匹配。

Tor 代表 洋蔥路由網路 The Onion Routing network，是一個軟體項目，也是一種網路，通過具有匿名性，不可追蹤性和隱私性的隨機網路路徑，來提供數據加密和封裝。

Bitcoin Core提供了幾個配置選項，允許你運行比特幣節點，通過Tor網路傳輸流量。此外，Bitcoin Core還可以提供Tor隱藏服務，允許其他Tor節點直接通過Tor連接到你的節點。

從Bitcoin Core 0.12開始，如果節點能夠連接到本地的Tor服務，它將自動提供Tor隱藏服務。如果你安裝了Tor並且Bitcoin Core進程作為具有訪問Tor認證cookie權限的用戶運行，則它應該自動運行。使用 debug 標誌打開Bitcoin Core的Tor服務調試，如下所示：

你應該在日誌中看到 "tor: ADD_ONION successful"，表明Bitcoin Core已經為Tor網路添加了隱藏服務。

你可以在Bitcoin Core文件（ docs/tor.md ）和各種在線教程中找到關於將Bitcoin Core作為Tor隱藏服務運行的更多說明。

兩項比特幣改進建議，BIP-150和BIP-151，增加了對比特幣P2P網路中P2P認證和加密的支援。這兩個BIP定義了可能由兼容的比特幣節點提供的可選服務。 BIP-151為兩個支援BIP-151的節點之間的所有通信啟用協商加密。BIP-150提供可選的對等身份驗證，允許節點使用ECDSA和私鑰對彼此的身份進行身份驗證。 BIP-150要求在驗證之前，兩個節點按照BIP-151建立了加密通信。

截至2017年1月，BIP-150和BIP-151未在Bitcoin Core中實施。這兩個提案已經至少由一個名為bcoin的替代比特幣客戶端實施。

BIP-150和BIP-151允許用戶使用加密和身份驗證來運行連接到可信完整節點的SPV客戶端，以保護SPV客戶端的隱私。

此外，身份驗證可用於創建可信的比特幣節點網路並防止中間人攻擊（Man-in-the-Middle attacks）。最後，如果廣泛部署P2P加密，將會加強比特幣對流量分析和隱私侵蝕監控的阻力，特別是在網路使用受到嚴格控制和監控的極權主義國家。

標準定義在 BIP-150 (Peer Authentication) 和 BIP-151 (Peer-to-Peer Communication Encryption) 中。

Testnet是用於測試目的的測試區塊鏈，網路和貨幣的名稱。測試網是一個全功能的活躍P2P網路，包括錢包，測試比特幣（testnet硬幣），挖礦以及 mainnet 的所有其他功能。實際上只有兩個區別：測試網點的硬幣價值很低，挖礦難度應該足夠低，以便任何人都可以相對容易地開採測試網硬幣。

任何擬用於比特幣主網生產的軟體開發應首先使用測試幣在測試網上進行測試。這可以保護開發人員免受由於錯誤導致的資金損失，並保護網路免受由於錯誤導致的意外行為。

然而，保持硬幣毫無價值並且容易挖，並不容易。儘管開發者提出了要求，但有些人使用高級挖礦設備（GPU和ASIC）在測試網上進行挖礦，增加了難度，使得不可能用CPU進行挖礦，最終使其難以獲得，人們開始評估它們的價值，因此它們也不是毫無價值的。因此，現在或者之後，測試網必須被廢棄並從新的創世區塊重新啟動，重新設置難度。

當前的測試網成為 testnet3，第三代 testnet，2011年2月重啟，重置了前一代測試網的難度。

請記住，testnet3是一個大型的區塊鏈，2017年初超過了20GB。耗盡電腦資源完全同步需要一天左右的時間。不如mainnet大，但也不是＂輕量級＂的。運行測試網路節點的一個好的方法是作為專用於此目的的虛擬機映像（例如，VirtualBox，Docker，雲伺服器等）。

2016年啟動了一個特殊用途的測試網，幫助開發和測試隔離見證（又名segwit；見 隔離見證 Segregated Witness）。該測試區塊鏈被稱為 segnet，可以通過運行Bitcoin Core的特殊版本（分支）加入。

由於segwit已添加到testnet3，因此不再需要使用segnet來測試segwit功能。

未來，我們可能會看到其他像segnet一樣，專門設計用於測試單個功能或主要架構更改的testnet區塊鏈。

Regtest代表＂迴歸測試＂，它是一種Bitcoin Core功能，允許你為測試目的創建本地區塊鏈。與公共測試區塊鏈testnet3不同，regtest區塊鏈旨在作為封閉系統運行以進行本地測試。你從零開始啟動一個regtest區塊鏈，創建一個本地創世區塊。你可以將其他節點添加到網路，或者僅使用單個節點運行它來測試Bitcoin Core軟體。

要以 regtest 模式啟動 Bitcoin Core，使用 regtest 選項：

與testnet一樣，Bitcoin Core會在你的bitcoind預設目錄的 regtest 子目錄下初始化一個新的區塊鏈：

要使用命令行工具，你需要指定 regtest 標誌：

如你所見，現在還沒有區塊。讓我們挖一些（500區塊）並獲得獎勵：

只需要幾秒鐘的時間來挖出這些區塊，這使得測試很容易。如果你檢查你的錢包餘額，你會看到你獲得了前400個區塊的獎勵（coinbase獎勵必須達到在100個區塊後才可以消費）：

比特幣在創建每個區塊時以固定和遞減的速度被＂鑄造＂。平均每10分鐘產生一個包含全新的比特幣的區塊，憑空產生。每隔21萬個區塊，或大約每四年，貨幣發行速率就會下降50％。在網路運轉的前四年，每個區塊包含50個新的比特幣。

2012年11月，比特幣發行速率降至每區塊25比特幣。2016年7月，再次下降到每區塊12.5比特幣。它將在630,000區塊區塊再次減半至6.25比特幣，這將是2020年的某個時間。新硬幣的比率將按照指數規律進行32次＂減半＂，直到6,720,000區塊（大約在2137年開採），達到最低貨幣單位，1 satoshi。大約2140年之後，將有690萬個區塊，發行近2,099,999,997,690,000個satoshis，即將近2100萬比特幣。此後，區塊將不包含新的比特幣，礦工將僅通過交易費獲得獎勵。 Supply of bitcoin currency over time based on a geometrically decreasing issuance rate 展示了隨時間推移流通的比特幣總量，貨幣發行量下降。

在 A script for calculating how much total bitcoin will be issued 的示例程式碼中，我們計算比特幣的發行總量。

Running the max_money.py script 展示了運行腳本的結果

有限和遞減的發行，保證了固定的貨幣供應量，可以抵制通貨膨脹。不同於法定貨幣中央銀行的無限印錢，比特幣永遠不會因印錢而膨脹。

區塊中的第一筆交易是一筆特殊的交易，叫做 幣基交易 coinbase transaction。這筆交易是 Jing 的節點創建的，包含對他的挖礦努力的獎勵。

Jing的節點創建了coinbase交易，對自己錢包的支付：＂支付給Jing的地址25.09094928比特幣＂。Jing開採一個區塊所收取的獎勵總額是幣基獎勵(25個新比特幣)和該區塊所有交易的費用（0.09094928）之和，如 Coinbase transaction 所示。

與一般交易不同，幣基交易不消耗（花費）UTXO作為輸入。它只有一個輸入，叫做 coinbase 幣基，從無創造比特幣。幣基交易有一筆輸出，可支付給礦工自己的比特幣地址。幣基交易的輸出將 25.09094928 比特幣發送到礦工的比特幣地址；在這個例子中，是：1MxTkeEP2PmHSMze5tUZ1hAV3YTKu2Gh1N.

為了創建幣基交易，Jing的節點首先通過累計418筆交易的輸入和輸出計算所有交易費用。計算方式如下：

在區塊 277,316 中，總的交易費用為 0.09094928 比特幣。

接下來，Jing的節點計算新區塊的正確獎勵。獎勵是根據區塊的高度來計算的，從每區塊50比特幣開始，每21萬個區塊減少一半。因為這個方區塊的高度是277,316，正確的獎勵是25比特幣。

在 Bitcoin Core 客戶端的 GetBlockSubsidy 方法中可以看到，如 Calculating the block reward —— Function GetBlockSubsidy, Bitcoin Core Client, main.cpp 所示：

最初的獎勵以 聰（satoshis）為單位，通過50乘以 COIN 常數（100,000,000聰）。這將初始獎勵設置為 50億 satoshis。

然後，方法計算 halvings （減半）的次數，當前區塊高度除減半區間（ SubsidyHalvingInterval ），在這個例子中，是 277,316 / 210,000，結果為1。

最大的減半次數為 64，所以如果超過 64 次減半，程式碼返回 0 （只獎勵費用）獎勵。

接下來，該函數使用二進制右移運算符將獎勵（ nSubsidy ）分為兩半。在277,316區塊的情況下，對50億 satoshis 的獎勵進行二元右移（一次減半），結果為 25億 satoshis 或25個比特幣。使用二進制右移運算符是因為它比多次除法更有效率。為了避免潛在的錯誤，位移操作在63次減半後跳過，補貼設置為0。

最後，幣基獎勵 (nSubsidy) 被加到交易費上 (nFees), 返回總和。

通過這些計算，Jing的節點通過支付其自己 25.09094928 比特幣構建幣基交易。

如你在 Coinbase transaction 中看到, 幣基交易有特殊的格式。不同於指定一個要花費的之前的UTXO的交易輸入，它有一個 "coinbase" 輸入。我們在 [tx_in_stracture] 中檢查交易輸入。讓我們比較一下普通交易輸入和幣基交易輸入。The structure of a "normal" transaction input 展示了普通交易輸入的結構，The structure of a coinbase transaction input 展示了幣基交易輸入的結構。

在幣基交易中，前兩個欄位被設置為不引用UTXO的值。不同於＂交易的Hash＂，第一個欄位填充32個字節，全部設置為零。 ＂輸出索引＂ 填充4個字節，全部設置為0xFF（十進制255）。＂解鎖腳本＂（ scriptSig ）被幣基數據（Coinbase Data）取代，這是礦工使用的數據欄位，我們將在下面看到。

幣基交易沒有解鎖腳本（ scriptSig ）欄位。這個欄位被 coinbase data 替代，該欄位必須包含 2-100 個位元組。除了前幾個位元組，其他的可由礦工填充任意數據。

例如，中本聰在創世區塊的 coinbase data 中加入了文本 "The Times 03/Jan/2009 Chancellor on brink of second bailout for banks", 將它作為日期的證明，並傳達了一個訊息. 現在，礦工使用 coinbase data 存放額外的隨機值，和識別礦池的字串。

幣基的前幾個位元組以前是隨機的，但現在不是了。根據BIP-34，version-2區塊（版本號為2）必須在幣基交易欄位的開頭包含區塊高度作為腳本 push 操作。

在區塊 277,316 中我們看到的幣基（ 參見 Coinbase transaction ），位於交易輸入的解鎖腳本或 scriptSig 欄位，包含十六進制值 03443b0403858402062f503253482f。讓我們解碼它。

第一個位元組 03 指示腳本執行引擎將接下來的三個位元組壓入腳本堆疊(參見 [tx_script_ops_table_pushdata] )。接下來的三個位元組，0x443b04，是用小端序編碼的區塊高度(倒序，低位位元組優先)。反轉位元組的順序，結果是 0x043b44 ，十進制是277,316。

接下來的幾個十六進制數據（0385840206），編碼了額外的隨機數（參見 額外隨機數解決方案），用於找到PoW的解決方案。

幣基數據的最後部分（ 2f503253482f ）是ASCII編碼的字串 /P2SH/，表明挖到這個區塊的節點支援 BIP-16 中定義的 P2SH 交易。P2SH 能力的引入要求礦工認可BIP-16或BIP-17。支援BIP-16的人將在他們的coinbase數據中包含 /P2SH/。支援P2SH的BIP-17實現的人將字串 p2sh/CHV 包含在他們的coinbase數據中。BIP-16勝出，許多礦工繼續在他們的coinbase中包含字串 /P2SH/ ，以表示對該特性的支援。

Extract the coinbase data from the genesis block 使用 可選的客戶端、程序庫和工具包 中介紹的 libbitcoin 庫從創世區塊中提取幣基數據，展示中本聰的訊息。注意，libbitcoin 庫包含一份創世區塊的靜態副本，所以示例程式碼可以直接從庫中檢索到創世區塊。

我們使用 GNU C++ 編譯器編譯和運行：

密碼雜湊演算法的關鍵特徵是，在計算上不可能找到產生相同指紋的兩個不同輸入（稱為 碰撞 collision）。作為推論，除了嘗試隨機輸入之外，通過選擇輸入以產生期望的指紋的方式實際上也是不可能的。

使用SHA256，無論輸入是什麼，輸出總是256位的。在 SHA256 example 中，我們使用Python解釋器計算 "I am Satoshi Nakamoto." 的SHA256雜湊值。

SHA256 example 展示了 "I am Satoshi Nakamoto" 的雜湊結果：5d7c7ba21cbbcd75d14800b100252d5b428e5b1213d27c385bc141ca6b47989e. 這個 256位的數字是這句話的 雜湊 hash 或 摘要 digest，基於這句話的每部分。添加一個字母、標點符號，或其他任何字元都將產生不一樣的雜湊值。

現在，如果我們改變語句，會會看到完全不同的雜湊值。讓我們使用 SHA256 script for generating many hashes by iterating on a nonce 中簡單的Python腳本嘗試在尾部添加陣列。

運行它將產生幾個短語的雜湊，通過在文本末尾添加一個數字來使其不同。通過增加數字，我們可以得到不同的雜湊，如 SHA256 output of a script for generating many hashes by iterating on a nonce 所示。

每個短語產生一個完全不同的雜湊結果。它們看起來完全是隨機的，但是你可以在使用Python的任何電腦上再次生成這個示例中的結果，並看到相同的雜湊。

在這種場景中用作變數的數字稱為_nonce_。nonce用於改變加密函數的輸出，在本例中，是為了改變短語的SHA256指紋。

要對這個演算法提出挑戰，我們來設置一個目標:找到一個短語，它生成一個以0開頭的十六進制雜湊。幸運的是,這並不難! [sha256_example_generator_generator_output ] 顯示："I’m Satoshi Nakamoto13" 這個短語產生的是一個符合我們的標準的雜湊值：0ebc56d59a34f5082aaef3d661696c2b618e6243272169531041a5。花了13次才找到它。在概率方面,如果雜湊函數的輸出是均勻分佈的，我們可以期望每16次找到一個以0開頭的結果（16個十六進制數字0到F中的一個）。在數值方面，這就意味著找到一個雜湊值,小於 0 x1000000000000000000000000000000000000000000000000000000000000000。我們將這個閾值稱為_target_，目標是找到一個在數值上小於目標的雜湊值。如果我們減少目標，查找小於目標的雜湊值的任務將變得越來越困難。

打個簡單的比方，想象這樣一個遊戲：玩家不斷地擲一副骰子，試圖擲得比指定的目標少。在第一輪，目標是12個。除非你擲雙六，否則你就能贏。下一輪的目標是11。玩家必須投出10或更少的數值才能獲勝。這同樣是一項簡單的任務，假設幾輪之後，目標是5。現在，超過一半的結果將超過目標而無效。隨著目標降低，要想贏得勝利，擲骰子的次數要成倍增加。最終，當目標是2（可能的最小值）時，每36次投擲中只有一次，或其中的2%，會產生一個勝利的結果。

從一個知道骰子游戲的目標是2的觀察者的角度來看，如果有人成功地投出了一個成功的結果，那麼可以假設他們平均嘗試了36次。換句話說，一個人可以從目標設定的難度中估計成功所需要的工作量。當演算法是基於確定性函數（如SHA256）時，輸入本身就構成了 證明 proof，證明做了一定量的 工作 work 才產生低於目標的結果。所以稱為, Proof-of-Work。

在 SHA256 output of a script for generating many hashes by iterating on a nonce 中, 獲勝的＂nonce＂是13，這個結果可以被任何人獨立的驗證。任何人都可以在短語＂我是中本聰＂後面加上數字13，然後計算雜湊，驗證它是否小於目標。成功的結果也是工作的證明，因為它證明我們做了工作去發現那一次。雖然只需要一次雜湊計算就可以驗證，但我們需要13次雜湊計算才能找到一個有效的nonce。如果我們有一個更低的目標(更高的難度)，那麼需要更多的雜湊計算才能找到一個合適的nonce，但是對於任何人來說，只有一個雜湊計算需要驗證。此外，通過了解目標，任何人都可以使用統計數據來估計困難程度，從而知道需要做多少工作才能找到這樣一個nonce。

比特幣的PoW與 SHA256 output of a script for generating many hashes by iterating on a nonce 所展示的挑戰非常相似。礦機構造一個充滿交易的候選區塊。接下來，挖礦程序計算這個區塊頭的雜湊，看看它是否小於當前的 target。如果雜湊值不小於目標，那麼礦機將修改nonce(通常只將其遞增1次)，並再次嘗試。在比特幣網路目前的難度下，礦工必須嘗試千萬億次，才能找到一個能產生足夠低的區塊頭雜湊的nonce。

一個非常簡單的PoW在 Simplified Proof-of-Work implementation 中以Python實現

運行這段程式碼，你可以設置所需的難度(以位為單位，有多少位前導位必須為零)，並查看電腦需要多長時間才能找到解決方案。在 [pow_example_output] 中，你可以看到它在普通的筆記本上是如何工作的。

如你所見，將難度增加1位會使找到解決方案所需的時間增加一倍。如果考慮整個256位的數字空間，每次將多一個位限制為0，搜索空間就減少了一半。在 [pow_example_output ] 中，需要8400萬次雜湊才能找到一個nonce，它產生的雜湊有26個前導位為零。即使以每秒超過12萬次雜湊的速度，在筆記本上也需要10分鐘才能找到這個解決方案。

在編寫本文時，網路正在嘗試查找一個小於以下值的區塊頭雜湊：

如你所見，目標的開頭有很多0，這意味著可以接受的雜湊範圍要小得多，很難找到一個有效的雜湊值。網路要發現下一個區塊，平均每秒需要超過1.8 zeta-hashes(thousand billion billion hashes)。這似乎是一項不可能完成的任務，但幸運的是，網路有每秒產生3個exa-hashes(EH/sec)的處理能力，平均10分鐘就能找到一個block。

在 Using the command line to retrieve block 277,316 中，我們看到這個區塊包含了目標，以一個稱為＂target bits＂或只是＂bits＂，在區塊277,316中的值為 0x1903a30c。該表示法將工作量證明的驗證目標表示為係數/指數格式，前兩個十六進制數字是指數，後六個十六進制數字是係數。因此，在這個區塊中，指數為 0x19，係數為 0x03a30c。

這種表達方式下計算難度目標的公式是：

使用這個公式，和難度bits值 0x1903a30c，可以得到：

十進制就是：

轉換為十六進制：

這意味著高度為277,316的有效區塊是區塊頭的雜湊值小於目標的區塊。在二進制中，該數字必須有超過60個前導位設置為零。有了這樣的難度，一個礦工每秒處理1萬億次雜湊，平均只能每8,496個區塊或每59天尋找到一次解決方案。

正如我們所看到的，目標確定了難度，因此影響了找到工作證明演算法的解決方案所需的時間。這就引出了一個明顯的問題：為什麼困難是可以調整的，由誰來調整，以及如何調整?

比特幣的區塊平均每10分鐘生成一次。這是比特幣的心跳，支撐著貨幣發行的頻率和交易結算的速度。它必須保持不變，不僅是短期的，而是持續幾十年。在這段時間裡，預計電腦的能力將繼續快速增長。此外，參與挖礦的人和電腦的數目也不斷變化。為了保持10分鐘的生成時間，必須考慮這些變化調整挖礦的難度。事實上，工作證明的目標是一個動態參數，它定期調整以滿足10分鐘的區塊間隔目標。簡單地說，可以設置目標值，使當前的挖礦能力導致10分鐘的區塊間隔。

那麼，這種調整是如何在一個完全分散的網路中進行的呢？重新設定目標是獨立地在每個節點上自動進行的。每產生2016個區塊，所有節點都重新設定PoW目標。重新設定目標的公式衡量了找到最後2016個區塊所需的時間，並與預期的20160分鐘(2016個區塊乘以期望的10分鐘區塊間隔)進行了比較。計算實際時間間隔和期望時間間隔的比例，並對目標按比例進行調整(向上或向下)。簡單地說：如果網路發現區塊的速度比每10分鐘快，難度就會增加(目標範圍縮小)。如果區塊發現速度比預期的要慢，那麼難度就會降低(目標範圍增加)。

公式如下：

Retargeting the Proof-of-Work —— CalculateNextWorkRequired() in pow.cpp 展示了 Bitcoin Core 客戶端使用的程式碼。

Interval (2,016 個區塊) 和 TargetTimespan (兩週時間，1,209,600 seconds) 兩個參數在 chainparams.cpp 中定義.

為了避免難度的極端波動，重新設定目標的調整必須小於每個週期4倍。如果所需的目標調整大於4倍，則調整為4倍而不是更多。任何進一步的調整都將在下一個重新設定目標期間完成，因為這種不平衡將持續到下一個2016個區塊。因此，雜湊算力和難度之間的巨大差異可能需要幾個2,016區塊週期來平衡。

請注意，目標與交易的數量或價值無關。這意味著雜湊的算力以及用於保障比特幣安全鎖消耗的電量也完全獨立於交易數量。比特幣可以擴大規模，實現更廣泛的應用，並保持安全，而不需要增加目前的雜湊算力水平。隨著新礦工進入市場競爭獎勵，雜湊算力的增加代表市場的力量。只要足夠的雜湊算力在礦工誠實追求獎勵的控制下進行，就足以防止＂接管＂攻擊，因此足以保證比特幣的安全。

挖礦的難度與電力成本相關，以及比特幣與用於支付電力的貨幣的匯率。高性能的挖礦系統在當前硅片製造方面儘可能地高效，將電力盡可能高地轉化為雜湊算力。對挖礦市場的主要影響是1千瓦小時的比特幣電價，因為這決定了挖礦的盈利能力，因此影響了進入或退出挖礦市場的選擇。

因為區塊鏈是一個去中心化的資料結構，所以它的不同副本並不總是一致的。區塊可能在不同的時間到達不同的節點，導致節點具有不同的區塊鏈的視圖。為了解決這個問題，每個節點總是選擇並嘗試擴展表示最大工作量證明的區塊的鏈，也稱為最長鏈或最大累計工作量鏈。通過將記錄在鏈中的每個區塊中的工作量相加，節點可以計算創建鏈所花費的總工作量。只要所有節點都選擇最大累積工作量的鏈，全球比特幣網路最終就會收斂到一致的狀態。分叉作為區塊鏈版本之間的臨時不一致而出現，隨著其中一個分叉添加更多區塊時，將最終重新聚合並解決。

下面的幾張圖，我們跟蹤網路一個＂分叉＂事件。這些圖是簡化的比特幣網路表示。為方便說明，不同的區塊以不同的形狀表示。網路中的每個節點表示為圓圈。

每個節點都有自己的全局區塊鏈視角。每個節點從鄰居節點接收區塊，更新自己的區塊鏈副本，選擇最大累計工作量的鏈。為方便說明，每個節點包含一個代表當前主鏈的頂部的形狀。所以，你在節點中看到的星形，表示它是主鏈的頂部。

在第一張圖 Before the fork —— all nodes have the same perspective 中，網路對區塊鏈有統一的視角，星形（star）區塊代表主鏈的頂部。

當有兩個候選區塊爭奪形成最長鏈時，發生＂分叉＂。這通常在兩個礦工在相近的時間段內同時解決了Proof-of-Work演算法。兩個區塊發現它們的候選區塊的解決方案後，立即廣播它們的＂獲勝的＂區塊給鄰居節點，以使它們在網路上傳播。每個收到有效區塊的節點都將其整合進區塊鏈，將其擴展一個區塊。如果節點之後收到擴展相同父區塊的區塊，則將其視為次級鏈上的候選區塊。結果是，一些節點先看到第一個候選區塊，另一些則先看到第二個，這就形成了區塊鏈的兩個競爭版本。

在 Visualization of a blockchain fork event: two blocks found simultaneously 中，我們看到兩個礦工（ 節點X 和 節點Y ）幾乎同時挖出了兩個不同的區塊。這兩個區塊都是星形區塊的子區塊，在其之上擴展區塊鏈。為了便於我們追蹤，節點X 產生的標記為三角形（triangle），節點Y產生的標記為倒三角（upside-down triangle）。

例如，我們假設節點X為一個擴展區塊鏈的區塊 ＂triangle＂ 找到了一個PoW解決方案，構建在父區塊 ＂star＂ 之上。幾乎與此同時，同樣從＂star＂擴展鏈的節點Y找到了區塊 ＂upside-down triangle＂ 的解決方案，這是它的候選區塊。兩個區塊都是有效的，兩個區塊都包含一個有效的工作證明解決方案，並且兩個區塊都擴展了相同的父區塊(區塊＂star＂)。這兩個區塊可能包含大部分相同的交易，交易的順序可能只有很少的差異。

當兩個區塊傳播時，一些節點首先接收區塊到＂triangle＂，一些節點首先接收區塊＂upside-down triangle＂。如 Visualization of a blockchain fork event: two blocks propagate, splitting the network ，網路分割為區塊鏈的兩種不同視角：一邊是 triangle，另一邊是 upside-down triangle 。

在圖中，一個隨機選擇的＂節點X＂首先接收到triangle區塊，並用它擴展star鏈。節點X選擇有＂triangle＂區塊的鏈作為主鏈。之後，節點X也接收到＂upside-down triangle＂區塊。由於它是第二名，被認為已經＂輸掉＂了比賽。然而，＂upside-down triangle＂ 區塊並沒有被丟棄。它與＂star＂區塊父鏈相連，形成一個次級鏈。雖然節點X假設它已經正確地選擇了獲勝鏈，但它保留了＂失敗的＂鏈，這樣它就有必要的訊息，如果＂失敗的＂鏈最終＂獲勝＂，則需要重新聚合。

在網路的另一端，節點Y基於自己對事件序列的看法構建區塊鏈。它首先接受了＂upside-down triangle＂，並選擇了那個鏈條作為＂贏家＂。當它後來接收到 ＂triangle＂ 區塊時，它將它作為一個次級鏈連接到＂star＂父區塊。

哪一邊都不是＂正確的＂，或者＂錯誤的＂。兩個都是有效的區塊鏈視角。之後只有一個會勝出，這取決於這兩個相互競爭的鏈如何被後續的工作量擴展。

挖礦視角類似於節點X的節點將立即開始挖一個候選區塊，該區塊以＂triangle＂作為其頂端擴展鏈。通過將＂triangle＂鏈接為候選區塊的父元素，它們使用雜湊算力投票。他們的投票支援了他們選出來的主鏈。

挖礦視角類似於節點Y的節點都將開始以＂upside-down triangle＂為父節點構建候選節點，擴展他們認為是主鏈的鏈。所以，比賽又開始了。

分叉幾乎總是在一個區塊中解決。雖然網路雜湊算力的一部分在＂triangle＂的頂部構建，而另一部分在＂upside-down triangle＂的頂部構建。即使雜湊算力幾乎是平均分配的，也很有可能在一組礦工找到任何解決方案之前，另一組礦工可能已經找到解決方案並傳播它。例如，假設在 ＂triangle＂ 頂部建造的礦工找到了一個新的區塊＂rhombus＂（菱形），它擴展了鏈（例如，star-triangle-rhombus）。它們立即傳播這個新區塊，整個網路將其視為有效的解決方案，如 Visualization of a blockchain fork event: a new block extends one fork, reconverging the network 所示。

所有在前一輪中選擇＂triangle＂作為獲勝者的節點，只需將鏈再延長一個block。然而，選擇＂upside-down triangle＂作為獲勝者的節點現在將看到兩條鏈：star-triangle-rhombus 和 star-upside-down-triangle。star-triangle-rhombus 鏈現在比其他鏈長(累積工作量更多)。因此，這些節點將 star-triangle-rhombus 鏈作為主鏈，將 star-upside-down-triangle 鏈轉化為二級鏈，如 Visualization of a blockchain fork event: the network reconverges on a new longest chain 所示。這是一個鏈的重新收斂，因為這些節點被迫修改他們對區塊鏈的看法，以納入更長的鏈的新證據。任何致力於將鏈基於 upside-down triangle 進行擴展的礦工現在都會停止工作，因為他們的候選區塊是一個＂孤兒＂，因為它的父區塊＂upside-down triangle＂不再是最長的鏈。不屬於＂triangle＂的＂upside-down triangle＂內的交易被重新插入到mempool中，以便在下一個區塊中包含，從而成為主鏈的一部分。整個網路在一個區塊鏈 star-triangle-rhombus 上重新收斂，＂rhombus＂是鏈中的最後一個區塊。所有的礦工立即開始在以 ＂rhombus＂ 作為父區塊的候選區塊上工作，以擴展 star-triangle-rhombus。

理論上，如果礦工在前一個分叉的相對面上幾乎同時發現了兩個區塊，那麼這個分叉可能延伸到兩個區塊。然而，發生這種情況的可能性很小。而一個區塊的fork可能每天都出現，而兩個區塊的fork則最多每隔幾周出現一次。

比特幣區塊的10分鐘間隔是快速確認時間（交易結算）和分叉概率之間的設計折中。更快的區塊時間會使交易清除更快，但會導致更頻繁的區塊鏈分叉，而較慢的區塊時間會減少分叉數量，但會降低交易速度。

自2012年以來，比特幣挖礦已經發展到解決區塊頭結構的根本性限制。在比特幣的早期，礦工可以通過遍歷nonce來找到一個區塊，直到產生的雜湊值低於目標值。隨著困難的增加，礦工經常循環遍歷所有40億個臨時值，而沒有發現區塊。但是，通過更新區塊時間戳以考慮已用時間，這很容易解決。由於時間戳是標題的一部分，所以更改將允許礦工重新遍歷隨機數的值，並獲得不同的結果。但是，一旦挖礦硬體超過 4GH/秒，這種方法變得越來越困難，因為nonce值在不到一秒鐘內就被耗盡了。隨著ASIC挖礦設備開始推進並超過TH /秒雜湊算力，挖礦軟體需要更多的空間來儲存nonce值，以便找到有效的區塊。時間戳可能會稍微延長，但將其變為將來的值會導致該區塊無效。區塊頭中需要新的＂更改＂來源。解決方案是使用幣基交易作為額外的隨機值的來源。因為幣基腳本可以儲存2到100個字節的數據，所以礦工開始使用這個空間作為額外的nonce空間，允許他們探索更大範圍的區塊標題值以找到有效的區塊。幣基交易包含在merkle樹中，這意味著幣基腳本中的任何更改都會導致merkle根發生更改。八個字節的額外隨機數加上4個字節的＂標準＂隨機數允許礦工在不必修改時間戳的情況下總共探索 2⁹⁶（一個8，後接28個0）個可能性。如果將來，礦工可以運行所有這些可能性，他們可以修改時間戳。 幣基腳本中還有更多空間用於將來擴展額外的隨機數空間。

在這個競爭激烈的環境中，獨自工作的礦工（也被稱為獨立礦工）沒有機會。他們發現一個區塊來抵消他們的電力和硬體成本的可能性非常低，所以它代表著賭博，就像玩彩票一樣。即使是最快的ASIC挖礦系統也無法跟上在水力發電附近的巨型倉庫中堆疊數以萬計這些晶片的商業系統。礦工們現在合作形成礦池，彙集他們的算力，在數千名參與者中分享獎勵。通過參與礦池，礦工獲得的整體獎勵佔有率較小，但通常每天都會得到獎勵，從而減少不確定性。

我們來看一個具體的例子。假定礦工已經購買了具有 14,000千兆位/秒（GH/s）或 14TH/s 的雜湊算力的挖礦硬體。 2017年，這臺設備的成本約為2,500美元。硬體在運行時耗電 1375瓦（1.3千瓦），每天耗電33千瓦時，電費非常低，每天花費1美元到2美元。在目前的比特幣難度下，礦工大概每隔4年可以獨自開礦1次。我們如何計算出這個概率？它基於 3EH/sec（2017年）的網路雜湊算力和這個礦工的 14TH/sec 算力：

…​其中 21240 是每4年的區塊數量。礦工每4年找到一個區塊的概率為98%，基於當時的全球雜湊算力。

如果礦工在該時間段內確實找到一個區塊，則可獲得12.5比特幣（每比特幣約1,000美元），一次性收入12,500美元，約7,000美元的淨利潤。但是，在4年內發現區塊的概率取決於礦工的運氣。他可能會在4年內找到兩個區塊並賺取鉅額利潤。或者他可能在5年內找不到一個區塊並遭受更大的經濟損失。更糟糕的是，在當前雜湊算力增長率下，比特幣工作量證明演算法的難度可能會顯著增加，這意味著礦工在硬體過時，必須被更強大的挖礦硬體取代之前最多隻有一年的時間。如果這位礦工參加礦池，而不是等待四年一度的12,500美元的暴利，他將能夠每週賺取大約50美元至60美元。來自礦池的定期收入將幫助他分攤硬體和電力的成本，而不會承擔巨大的風險。硬體在一兩年後仍會過時，風險仍然很高，但在這段時間內收入至少是穩定可靠的。在經濟上，這隻有在非常低的電力成本（每千瓦小時不到1美分）和非常大的規模時才有意義。

礦池通過專門的礦池挖礦協議協調成百上千的礦工。在創建了池中的帳戶後，各個礦工將他們的挖礦設備配置為連接到池伺服器。他們的挖礦硬體在挖礦時仍與池伺服器連接，與其他礦工同步工作。因此，礦池礦工共同努力挖出一區塊，然後分享獎勵。

成功的區塊支付到礦池的比特幣地址，而不是單獨的礦工。池伺服器將定期向礦工的比特幣地址付款，當他們的獎勵的佔有率達到一定的閾值時。通常，池伺服器為提供池挖礦服務收取獎勵的百分比的費用。

加入礦池的礦工將尋找候選區塊解決方案的工作拆分，根據他們的挖礦貢獻贏得＂分成＂。礦池為獲得股份設定了更廣的目標（較低的難度），通常比比特幣網路的目標要容易1000倍以上。當礦池中的某人成功地開採了一個區塊時，獎勵將由礦池賺取，然後與所有參與努力的礦工按比例分成。

礦池開放給任何礦工，無論大小，專業或業餘。因此，一個礦池將有一些參與者擁有一臺小型挖礦機，而其他人則擁有一個裝滿高端挖礦硬體的車庫。一些將採用幾十千瓦的電力進行挖礦，另一些將運行耗用兆瓦級電力的數據中心。礦池如何衡量個人的貢獻，以公平分配獎勵，而不會有作弊的可能性？答案是使用比特幣的Proof-of-Work演算法來衡量每個礦池礦工的貢獻，但設置的難度較小，因此即使是最小的礦池礦工也能夠頻繁贏得一些佔有率，以便為礦池做出貢獻。通過設定較低的賺取佔有率的難度，該池衡量每個礦工完成的工作量。每當一名礦池礦工發現一個區塊頭雜湊值小於池目標時，她就證明她已完成雜湊工作找到了結果。更重要的是，尋求佔有率的工作以統計上可測量的方式貢獻於總體努力，以找到比比特幣網路的目標更低的雜湊值。成千上萬試圖尋找小雜湊值的礦工最終會找到一個足以滿足比特幣網路目標的礦工。

讓我們回到骰子游戲的比喻。如果骰子玩家投擲骰子的目標是投擲出少於4（整體網路難度）的值，則遊戲池將設定更容易的目標，計算遊戲池玩家投擲結果小於8的次數。當選手擲出少於8（池目標）的值時，他們將獲得佔有率，但是他們沒有贏得比賽，因為他們沒有達到比賽目標（少於4）。池玩家可以更頻繁地獲得更容易的池目標，即使他們沒有實現贏得比賽的更難的目標，也可以非常經常地贏得他們的佔有率。無論何時，其中一名球員將擲出少於4的值，並且贏得比賽。然後，收入可以根據他們獲得的佔有率分配給池玩家。儘管8或更少的目標沒有獲勝，但這是測量玩家擲骰子的公平方法，偶爾會產生少於4的投擲。

類似地，礦池將設置（更高和更容易）的池目標，以確保個體池礦工能夠找到經常低於池目標的區塊頭雜湊值，從而獲得佔有率。每隔一段時間，這些嘗試中的一個會產生一個比比特幣網路目標小的區塊頭雜湊值，使其成為一個有效的區塊，並且整個池都會贏。

在 [fork] 中，我們研究了比特幣網路可能會有短暫的分歧，在短時間內，在區塊鏈的兩個不同分支的網路中有兩個部分。我們看到這個過程是如何自然地發生的，作為網路正常運行的一部分，以及在挖一個或多個區塊之後，網路如何在公共區塊鏈上重新收斂。

在另一種情況下，網路可能會分化成以下兩個鏈：共識規則的改變。這種類型的分叉稱為 硬分叉 hard fork，因為在分叉之後，網路不會重新聚合到單個鏈上。相反，這兩條鏈是獨立進化的。當網路的一部分在一組不同於網路其他部分的共識規則下運行時，就會出現硬分叉。這可能是由於錯誤或共識規則執行過程中故意更改而導致的。

硬分叉可以用來改變共識規則，但是它們需要系統中所有參與者之間的協作。任何不升級到新的共識規則的節點都不能參與共識機制，並在硬分叉時被迫進入一個單獨的鏈。因此，硬分叉引入的更改可以被認為是不＂向前兼容＂的，因為在非升級的系統中不能再處理新的共識規則。

讓我們通過一個例子來查看硬分叉的結構。

[blockchainwithfork] 展示了區塊鏈和兩個分叉，在區塊高度為4的地方，出現一個單區塊分叉。這是我們在 [fork] 中看到的自發性分叉類型。在第5區塊的挖礦中，網路在一個鏈上重新聚合，分叉被解決。

然而，稍後，在區塊高6處，出現硬分叉。讓我們假設客戶端的新實現隨共識規則的更改而釋放。從區塊高度7開始，運行這個新實現的礦工將接受一種新的數位簽章類型，我們稱之為＂Smores＂簽名，它不是基於ECDSA的。緊接著，運行新實現的節點將創建一個包含Smores簽名的交易，並運行最新軟體的礦工，挖包含該交易的區塊7b。

任何沒有升級軟體以驗證Smores簽名的節點或礦工現在都無法處理第7b區塊。從他們的角度來看，包含Smores簽名的交易和包含該交易的block 7b都是無效的，因為它們是基於舊的共識規則進行評估的。這些節點將拒絕交易和區塊，不會傳播它們。任何使用舊規則的挖礦人員都不會接受第7b區塊，並將繼續挖父區塊為第6區塊的候選區塊。事實上，如果使用舊規則的礦工連接到的所有節點都遵守舊規則，因此不傳播該區塊，那麼他們甚至可能不會接收到block 7b。最終，他們將能夠挖第7a區塊，該區塊在舊規則下是有效的，不包含任何帶有Smores簽名的交易。

這兩條鏈從這一點開始繼續偏離。＂b＂鏈上的礦工將繼續接受和挖出包含Smores簽名的交易，而＂a＂鏈上的礦工將繼續忽略這些交易。即使block 8b不包含任何經過Smores簽名的交易，＂a＂鏈上的礦工也不能處理它。對他們來說，它似乎是一個孤立的區塊，因為它的父＂7b＂不被認為是一個有效的區塊。

對於軟體開發人員來說，＂fork＂ 這個詞還有另外一個含義，給 ＂hard fork＂ 這個詞增加了混淆。在開放源碼軟體中，當一組開發人員選擇遵循不同的軟體路線圖並啟動一個開放源碼項目的競爭性實現時，就會出現一個fork。我們已經討論了導致硬分叉的兩種情況:共識規則中的錯誤和共識規則的故意修改。在故意改變共識規則的情況下，軟分叉優先於硬分叉。然而，對於這種類型的硬分叉，必須開發、採用和啟動共識規則的新軟體實現。

試圖改變共識規則的軟體分叉的例子包括Bitcoin XT、Bitcoin Classic，以及最近的Bitcoin Unlimited。然而，這些軟體的分叉都沒有帶來一個硬的叉。雖然軟體fork是一個必要的先決條件，但它本身並不足以出現硬fork。要實現一個硬的fork，必須採用競爭的實現，以及由礦商、錢包和中間節點啟用的新規則。相反，有許多Bitcoin Core的替代實現，甚至是軟體分支，它們不會改變共識規則，也不會排除bug，它們可以在網路上共存並互操作，而不會造成硬分叉。

共識規則在交易或區塊的驗證中可能以明顯和明確的方式存在差異。這些規則還可能在更微妙的方面有所不同，比如在適用於比特幣腳本或數位簽章等密碼基元的共識規則的實現上。最後，由於系統限制或實現細節所造成的隱式共識約束，共識規則可能會因未預期的方式而有所不同。在將Bitcoin Core0.7升級到0.8的過程中，在意料之外的硬分叉中可以看到後者的一個例子，這是由於用於儲存區塊的Berkley DB實現的限制造成的。

從概念上講，我們可以把硬分叉看作是分四個階段發展的：軟體分叉、網路分叉、挖礦分叉和鏈分叉。

當開發人員創建修改了共識規則的客戶端替代實現時，流程就開始了。

當這個分叉實現部署到網路中時，一定比例的礦工、錢包用戶和中間節點可以採用並運行這個實現。產生的分叉將取決於新的共識規則是否適用於區塊、交易或系統的其他方面。如果新的共識規則與交易相關，那麼在新規則下創建交易的錢包可能會生成一個網路分叉，然後當交易被挖出到一個區塊時，會出現一個硬分叉。如果新規則涉及到區塊，那麼當在新規則下挖出區塊時，硬分叉過程將開始。

首先，網路將會分叉。基於共識規則的原始實現的節點將拒絕在新規則下創建的任何交易和區塊。此外，遵循原始共識規則的節點將臨時禁止並斷開與發送這些無效交易和區塊的任何節點的連接。因此，網路將被劃分為兩個部分：舊節點只會繼續連接舊節點，新節點只會連接到新節點。基於新規則的單個交易或區塊將在網路中產生連鎖反應，並導致分成兩個網路。

一旦一名礦工使用新規則開採一個區塊，開採算力和鏈也將分叉。新礦工將在新區塊的頂部挖礦，而老礦工將在舊規則的基礎上開採一個單獨的鏈條。分割後的網路將使在獨立的共識規則下操作的礦工不可能接收到彼此的區塊，因為他們連接到兩個獨立的網路。

當礦工們分別開採兩個不同的鏈條時，它們的雜湊算力就會被分割開來。在這兩個鏈之間，可以按任何比例分割挖礦算力。新規則可能只會被少數人遵守，或者被絕大多數算力的礦工遵守。

例如，我們假設 80% —— 20% 分割，大多數挖礦算力使用新的共識規則。假設分叉在重新設定目標的階段後立即開始。

這兩個鏈將從重新設定目標階段繼承難度。新的共識規則將有80%的先前的算力委託給他們。從這條鏈的角度來看，與前一時期相比，挖礦算力突然下降了20%。平均每12.5分鐘就會發現一些區塊，這代表了延伸這條鏈的挖礦算力下降了20%。這種區塊發行速度將持續下去（除非雜湊功率發生變化），直到2016年區塊被開採，這將需要大約25,200分鐘（每區塊12.5分鐘），或17.5天。17.5天后，重新設定目標，難度調整（減少20%），基於該鏈中雜湊算力的減少，再次生成10分鐘的區塊。

在舊規則下，只有20%的雜湊算力，將面臨更加困難的任務。在這條鏈條上，現在平均每50分鐘開採一區塊。接下來2016區塊礦的難度將不會調整，這將需要100,800分鐘，或者大約10周。假設每個區塊有固定的容量，這也將導致交易容量減少5倍，因為每小時記錄交易的區塊更少。

這是共識軟體開發的曙光。正如開源開發改變了軟體的方法和產品，並隨之創造了新的方法、新的工具和新的社區，共識軟體開發也代表了電腦科學的一個新的前沿。從比特幣發展路線圖的辯論、實驗和磨難中，我們將看到新的開發工具、實踐、方法和社區出現。

硬分叉被認為是有風險的，因為它們迫使少數人要麼升級，要麼留在少數人的鏈條上。許多人認為，將整個系統分割成兩個相互競爭的系統的風險是不可接受的。因此，許多開發人員不願意使用硬分叉機制來實現對共識規則的升級，除非整個網路幾乎一致支援。任何沒有得到一致支援的硬分叉提議都被認為太＂有爭議＂，不可能在不危及系統分割的情況下嘗試。

硬分叉的問題在比特幣開發界引起了極大的爭議，尤其是當它涉及對控制最大區塊大小限制的共識規則的任何擬議更改時。一些開發人員反對任何形式的硬分叉，認為這樣做風險太大。另一些人認為，硬分叉機制是升級共識規則的重要工具，以避免＂技術債務＂，並與過去徹底決裂。最後，一些開發人員認為硬分叉是一種應該很少使用的機制，需要進行大量的預先規劃，而且只有在達成幾乎一致的意見下才能使用。

我們已經看到了解決＂硬分叉＂風險的新方法的出現。在下一節中，我們將討論軟分叉，以及BIP-34和BIP-9方法，用於通知和激活共識的修改。

並非所有共識規則的改變都會導致硬分叉。只有共識的變更是向前不兼容的，才會產生一個分叉。如果更改的實現方式使得未修改的客戶端仍然認為交易或區塊在以前的規則下是有效的，那麼更改可以在沒有分叉的情況下發生。

引入_soft fork_這一術語，將這種升級方法與＂硬分叉＂區分開來。實際上，軟分叉根本不是分叉。軟分是對共識規則的向前兼容更改，允許未升級的客戶端繼續與新規則一致地運行。

軟分叉的一個方面並不明顯，即軟分叉升級只能用於約束共識，而不能擴展它們。為了向前兼容，在新規則下創建的交易和區塊也必須在舊規則下有效，反之亦然。新規則只能限制什麼是有效的；否則，在舊規則下被拒絕時，它們將觸發硬分叉。

軟分叉可以通過多種方式實現 —— 這個術語不指定特定的方法，而是一組方法，它們都有一個共同點：不需要所有節點進行升級，也不需要強制不升級的節點退出共識。

基於NOP操作碼的軟分叉相對來說是沒有爭議的。NOP操作碼放在比特幣腳本中，明確的目標是允許非破壞性升級。

然而，許多開發人員擔心其他的軟分叉升級方法會導致不可接受的折衷。對軟分叉變化的常見批評包括：

在BIP-34中，第一個使用了區塊版本號欄位的實現，允許礦工發出信號，表示已經準備好進行特定的共識規則更改。在BIP-34之前，區塊版本號根據約定設置為＂1＂，不以共識執行。

BIP-34定義了一個共識規則變更，要求幣基交易的coinbase欄位（輸入）包含區塊高度。在BIP-34之前，這個欄位可以包含任意數據。激活BIP-34之後，有效的區塊必須在coinbase的起始處包含特定的區塊高度，並用大於或等於＂2＂的版本號進行標識。

為了表明BIP-34的變化和激活，礦工將區塊版本設置為＂2＂而不是＂1＂。這並沒有立即使版本＂1＂區塊無效。一旦激活，版本＂1＂區塊將變得無效，並且所有版本＂2＂區塊將被要求在coinbase欄位中包含區塊高度才有效。

BIP-34基於1000區塊的滾動窗口定義了兩步激活的機制。礦工將通過構建具有＂2＂作為版本號的區塊來表示他或她對BIP-34的個人準備狀態。嚴格地說，這些區塊並不需要遵守在幣基交易中包含區塊高度的新共識規則，因為共識規則尚未激活。共識規則分兩步啟動：

在BIP-34規則下成功發送信號和啟用後，該機制被再次使用兩次以啟用軟分叉：

在啟用BIP-65後，BIP-34的信號傳導和啟用機制退役並被接下來描述的BIP-9信號傳導機制取代。

標準定義在 BIP-34 (Block v2, Height in Coinbase) 中。

BIP-34，BIP-66和BIP-65使用的機制成功地啟用了三個軟分叉。但是，它被替換了，因為它有幾個限制：

BIP-9 被提出以克服這些挑戰，提高實施未來變革的速度和容易度。

BIP-9 將區塊版本解釋為位域而不是整數。由於區塊版本最初被用作整數使用，版本號1至4，因此有29位可用的位，可用於獨立同時發出29個不同提案的準備就緒信號。

BIP-9 還設置信號和啟用的最長時間。這樣，礦工不需要永遠發出信號。如果提案在 TIMEOUT 期限內（在提案中定義）未啟用，則提議被視為被拒。該建議可能會重新提交以用不同的位進行信號傳輸，從而更新啟用期。

此外，在超過 TIMEOUT 並且某個功能被激活或拒絕之後，信號位可以被重新用於其他功能而不會造成混淆。因此，多達29個變化可以並行發送，TIMEOUT 之後可以＂循環＂以提出新的更改。

建議的更改由包含以下欄位的資料結構標識：

與BIP-34不同，BIP-9基於2016個區塊的難度重新設定目標階段計算整個區間的啟用信號。對於每個重新定位週期，如果支援提案的信號的區塊的總數超過95％（2016區塊中1916區塊），則該提議將在下一個重新設定目標階段內啟用。

BIP-9 提供了一個提案狀態圖，以說明提案的各個階段和狀態轉換，如 BIP-9 state transition diagram 中所示。

一旦參數在比特幣軟體中已知（定義），提案就以 DEFINED 狀態開始。對於MTP在開始時間之後的區塊，提案狀態將轉換為 STARTED。如果在重新設定目標週期內超過投票閾值並且沒有超時，則提案狀態轉換為 LOCKED_IN。一個重新設定目標週期後，提案變為 ACTIVE 。一旦它們達到該狀態，建議一直保持 ACTIVE 狀態。如果在達到投票閾值之前超時，提案狀態更改為 FAILED，表示被拒絕的提案。 FAILED 提案永遠處於該狀態。

BIP-9 首先用於激活 CHECKSEQUENCEVERIFY 和相關的 BIP（68,112,113）。名為＂csv＂的提案已於2016年7月成功啟用。

標準定義在 BIP-9 (Version bits with timeout and delay) 中.