中本聪，比特币：一种点对点的电子现金系统

从比特币白皮书末尾的参考资料来看，时间戳显然是一个基本问题。 在 8 个参考文献中，有 3 个与时间戳相关：

如何为数字文档添加时间戳，S. Haber，WS Stornetta (1991)

“关于如何提高数字时间戳的效率和可靠性”，D. Bayer、S. Haber、WS Stornetta（1992 年）

How to Design a trust-Minimized Secure Timestamping Service, H. Massias, XS Avila, J.-J. 奎斯夸特 (1999)

正如 Haber 和 Stornetta 在 1991 年所描述的那样，数字时间戳是使用一种计算过程，使用户（或对手）无法向前或向后更改数字文档的日期。 与纸质文档不同，数字文档容易被篡改，而篡改并不一定会在物理介质上留下任何可见的痕迹。 在数字世界中，伪造和篡改可以做到刀枪不入。 鉴于信息的可塑性，加盖时间戳的数字文档是一个复杂的过程。 直观的解决方案根本不起作用。 对于文本文档，简单地在文档末尾附加日期是没有用的，因为任何人（包括您自己）都可以轻松更改日期。 更不用说，您首先可以伪造日期。

时间是因果链

极端地说，整个世界只不过是一张关系网。

— Tim Berners-Lee，编织万维网 (1999)

伪造日期是一个普遍存在的问题，而不仅仅是在数字世界中。 例如，在绑架案中，绑架者需要一种方法来验证绑架发生的时间。

- 时间证明 -

这种方法之所以奏效，是因为报纸难以伪造且易于验证。 由于报纸的头版都是前一天发生的事情，绑匪不可能提前预测头版新闻，提前几周伪造人质照片。 因此，照片中人质所持报纸的发行日期是人质还活着的证明。

这种方法突出了一个重要的概念：因果关系。 时间之箭反映了事件的因果关系。 没有因果关系，就没有时间。 在网络世界中，哈希函数对于解决时间戳问题至关重要，因为它引入了因果关系。 如果没有某个文档，我们就无法生成相应的密码哈希，因此文档和哈希之间存在因果关系：数据必须存在才能生成哈希（针对该数据）。 换句话说，如果没有单向函数的计算不可逆性，网络世界中就不会存在因果关系。

- B之前有A -

有了因果关系，我们就可以创建一系列相互关联的事件。 因此，安全的数字时间戳方案在没有时间的数字世界中创造了历史。

因果关系决定了事件的时间顺序。 如果一个事件是由它之前的某个事件引起的，而它之后的某个事件又是由它引起的，那么这个事件在历史上的位置是确定的，不能改变。

-拜耳、哈伯、斯托内塔 (1992)

不用说，因果关系是经济计算的核心。 由于账本实际上是多个合作伙伴之间经济计算的体现，因此因果关系对每个账本也至关重要。

我们需要一个所有参与者都可以就唯一历史达成一致的系统……我们提出的解决方案是基于时间戳服务器。

——中本聪 (2009)

有趣的是，让比特币发挥作用的所有组件都已经存在。 早在 1991 年，Haber 和 Stornetta 就推出了两种“可以有效防止时间戳伪造”的方案。 一种是依赖可信第三方的方案比特币是如何运作的，另一种是更复杂的不依赖可信第三方的“分布式信任”方案。 作者甚至揭示了相信事件因果链背后的内在问题，以及重写历史所需的条件。 换句话说，“唯一可能成功作恶的方法是准备一个足够长的时间戳链，即使是最可疑的挑战者也无法怀疑它。” 如今，Bitcoin Vector 中也存在类似的攻击，即 51% 攻击（详见下一节）。

一年后，Bayer、Haber 和 Stornetta 在之前的研究基础上提出使用“Merkle 树”而不是简单的链表来连接所有事件。 Merkle树是一种简单高效的数据结构，可以根据多个哈希值计算出某个哈希值。 从时间戳的角度来看，这意味着一个时间单位可以容纳多个事件。 此外，三位作者还提出改进他们在1991年提出的分布式信任模型，即不断举办“世界锦标赛”来确定唯一的“获胜者”，获胜者将发布在（类似于报纸）的地方计算出的散列值被公布。 听起来有点熟？

我们可以看到，报纸是一个很好的例子，说明如何更好地思考时间的第二个属性：不可预测性。

因果关系和不可预测性

时间不是现实 (hupostasis)，而是一个概念 (noêma) 或测量单位 (metron)...

——智者安提丰，论真理（公元 3 世纪）

因果关系虽然重要，但还不够。 时间的流逝也离不开不可预测性。 在物理世界中，我们通过观察自然过程来描述时间的流逝。 我们观察到熵在增加，称之为时间之箭。 虽然在大多数情况下，自然法则似乎与时间之箭无关，但有些事情其实是不可逆转的。 俗话说，破镜重圆。

同样，数字世界需要熵增函数来创造时间之箭。 SHA256 哈希和加密签名并非绝对不可破解，但就像破镜难复一样，SHA256 和加密签名也几乎无法破解。

如果熵没有增加，我们可以任意更改时间戳。 例如，斐波那契数列具有因果关系，但没有熵。 在斐波那契数列中，每个数字都是前两个数字的总和。 因此，斐波那契数列是一个因果链。 然而，斐波那契数列不能用于计时，因为它是完全可以预测的。 这就好比说，绑匪不能用一张人质的照片和日历来证明人质还活着。 我们不能用可预测的东西作为时间的证明，只能用不能提前预测的东西，比如当天报纸的头版。

比特币的不可预测性是通过交易和工作量证明实现的。 就像没有人能预测明天的报纸会刊登什么一样，没有人能预测下一个比特币区块会是什么样子。 你无法预测哪些交易会被包含在一个区块中，因为你无法预测哪些交易会在未来被广播。 更重要的是，你无法预测谁将解决当前的工作量证明难题，以及最终的解决方案是什么。

与报纸不同，工作量证明与已经发生的事件直接相关。 工作量证明不仅仅是事件的记录，而是事件本身。 正是这种基于概率的直接连接消除了对工作量证明信任的需求。 找到有效工作量证明的唯一方法是进行大量猜测，每次猜测都需要花费少量时间。 找到解决方案所需的猜测次数是概率性的，构成了比特币的时间链。

利用哈希链的因果顺序和工作量证明的不可预测性，比特币网络提供了一种机制来创建无争议的事件历史记录。 如果没有因果关系，我们就无法判断事件的先后顺序。 如果没有不可预测性，因果顺序就毫无意义。

关于上述绑架者的做法，其实早在1992年拜尔、哈伯和斯托内塔就给出了明确的解释：“如果要确定文件是在某个时间之后创建的，文件必须记录发生但不可预见的事件”

- 出版证明 -

正是这种因果关系和不可预测性的结合，使我们能够在一个永恒的数字世界中人为地定义“现在”。 正如 Bayer、Haber 和 Stornetta 在他们 1991 年的论文中指出的那样：“客户端请求时间戳的顺序和他们提交的哈希值是不可预测的。因此，如果我们在签名证书中包含先前客户端请求位的序列，知道证书有一个时间戳晚于这些请求......证书必须包含以前文档中的位的要求也可以指示另一个方向的时间顺序，因为时间戳机构不能预先颁发证书，除非它此时拥有请求。 “

所有组件都在这里。 中本聪的高明之处在于将这些组件组合在一起，从而消除了对时间戳机制的需求。

时间证明

虽然隐藏了原因，但结果是已知的。

——奥维德，《变形记》（公元 8 年）

让我们回顾一下：要在数字世界中花钱，我们必须依靠分类帐。 为了使分类帐可靠，我们必须指定交易顺序。 要指定顺序，我们必须使用时间戳。 因此，如果我们想在数字世界中创造无需信任的货币，我们必须移除任何创建和管理时间戳的实体，以及负责计时的单一实体。

中本聪等天才找到了解决方案：“为了实现点对点分布式时间戳服务器，我们需要使用工作量证明系统，类似于 Adam Back 的 Hashcash。”

我们需要使用工作证明系统的原因是因为我们需要数字世界原生的东西。 一旦您了解了数字世界的本质是信息性的，那么很明显，我们所拥有的就是计算。 如果你的世界是由数据构成的，那么就会有数据操纵。

工作量证明是一种点对点机制，因为它是无需信任的。 工作量证明是无需信任的，因为它与时钟或报纸等所有外部输入隔离。 它只取决于一件事：计算离不开工作量的输入。 在我们的世界中，产生工作量需要投入精力和时间。

时间的桥梁

我知道我被附身了。

我们跑过桥——燃烧的桥——

身后烈焰熊熊，

我们站在死亡的边缘，

亲爱的，你我都在反对这个世界。

——凯特·布什，《燃烧的桥》（1985 年）

如果没有工作量证明，我们将不可避免地遇到信息输入机制的问题，因为物理世界和信息世界之间永远存在着鸿沟。 数羊时牧羊人名单上的标记不是真的羊，地图不能与真实的领土进行比较，报纸上的新闻不一定是真实事件。 同样，即使您使用真实世界的时钟来创建时间戳，也不意味着它是实时的。

坦率地说，我们不能相信数据代表现实，除非它是数据本身固有的。 比特币的可调难度工作证明的卓越之处在于它创造了自己的现实，以及空间和时间。

工作量证明可以直接连接数字世界和物理世界。 只有这样的连接才能以无需信任的方式建立。 其他一切都取决于外部输入。

调整比特币的区块难度，以保持比特币时间与人类时间的联系。 就像发条一样，比特币系统每 2016 个区块重新调整一次挖矿难度。 难度调整旨在将平均出块时间保持在 10 分钟，从而在物理世界和数字世界之间建立稳定的联系。 因此，比特币时钟的计时需要重新调整以适应人类对时间的感知。 纯粹基于时钟的难度调整是不可行的，因为它会将比特币与人类世界完全分开。 难度调整的目的是防止人们出块速度过快（或过慢）。

正如爱因斯坦教导我们的那样，时间不是绝对的。 没有宇宙时间这样的东西。 时间是相对的，同时性是不存在的。 仅这一事实就使所有时间戳（尤其是那些跨越遥远空间的时间戳）本质上都是不可靠的比特币是如何运作的，即使参与者之间没有反对意见也是如此。 （顺便说一句，这就是为什么 GPS 卫星的时间戳必须不断调整的原因。）

人类时间戳不精确这一事实对比特币来说并不是很重要。 一开始就没有绝对的参照系并不重要。 时间戳的准确性只需要使基于2016个区块计算出的区块生成时间足够可靠即可。 为了保证这一点，只有满足以下两个条件时，块的“物理世界”时间戳才会被接受：

1、时间戳必须大于前11个区块的时间戳中值。

2.时间戳必须小于网络调整时间加上两个小时。 （“网络调整时间”只是您连接到的所有节点返回的时间戳的中值。）

换句话说，难度调整是为了保持时间不变，而不是安全、难度或能量消耗。 设计非常巧妙，因为好钱必须有高时间成本，而不是精力。 如果钱只和能源挂钩，还不足以造成绝对的稀缺，因为一旦能源生产技术提高，我们就可以创造更多的钱。 时间是唯一无法复制的东西。 正如 Julian Simon 所说，时间是最终的资源。 正因如此，比特币才是货币的终极形态，因为比特币的发行直接关系到宇宙的终极资源（时间）。

难度调整很关键。 如果不进行难度调整，随着越来越多的矿工加入网络，或者随着矿机变得越来越高效，比特币的内部时钟会运行得越来越快。 我们很快就会遇到协调问题。 一旦出块时间低于某个阈值（如 50 毫秒），系统就无法就共享状态达成共识，即使在理论上也是如此。 光从地球的一侧传播到另一侧大约需要 66 毫秒。

因此，即使我们的计算机和路由器再完美，我们也会束手无策：面对两个事件，我们无法断言它们的顺序。 如果我们不定期调整比特币的出块时间，我们就会陷入困境——协调问题必须以比光速更快的速度解决。 时间也是密码学中不稳定问题的来源（详见第 1 章）。 密码学之所以有效，是因为它利用了时间上的不对称性：建立一堵密码墙需要一瞬间，但打破它却需要很长时间，除非你有钥匙。 因此，从某种意义上说，工作量证明和难度调整是在人为地减慢时间，至少从比特币网络的角度来看是这样。 也就是说，比特币是在强行控制内部节奏，通过低频为对等节点之间的通信延迟提供足够的缓冲空间。 每开采 2016 个区块，比特币的内部时钟就会重置。 因此，平均每 10 分钟只会开采出一个有效区块。

从外部的角度来看，比特币是在全球范围内广播到平行宇宙中的异步消息的集合。 这个平行宇宙有自己的规则，也有时空概念。 从比特币网络的角度来看，交易池中的交易是没有时间属性的。 只有打包成有效区块的交易才会被赋予时间：交易所在区块的编号。

- 比特币 v0.01 ALPHA (2009) -

这个解决方案的独创性是无法言喻的。 一旦您可以自己定义时间，您就可以轻松辨别事件的顺序。 因此，人们也很容易就发生了什么、发生了什么顺序、谁欠谁什么达成共识。

难度调整确保比特币内部节拍器持续节拍。 是比特币管弦乐队的指挥使音乐保持活力。

但为什么你认为“工作量”是最终值得依赖的东西呢？ 答案是三方面的。 首先，因为计算需要工作； 制作作品需要时间； 在我们的例子中，工作——猜测随机数——是不会被欺骗的。

基于概率的时间

时间不断地分岔，通往无数的未来。 — 博尔赫斯，分岔路的花园 (1958)

为比特币区块寻找有效的随机数是一种猜谜游戏，类似于骰子、掷硬币或轮盘赌。 本质上，您正在寻找一个天文数字。 每一次猜测都不会让你更接近答案。 要么猜对，要么重新开始。

每次你抛硬币，都有 50% 的机会得到正面或反面——即使你之前抛过 20 次硬币并且每次都是正面。 同样，在比特币挖矿过程中，每秒出现一个有效区块的概率约为0.16%。 最后一个块何时被发现并不重要。 找到下一个区块之前等待的时间总是相同的：大约 10 分钟。

因此，比特币时钟的每一个“滴答声”都是不可预测的。 与我们人类使用的时钟相比，比特币时钟显得粗糙且不准确。 正如 Gregory Trubet?skoy 所说：“这个时钟是否准确并不重要，重要的是每个人的时钟都是一样的，而且整个链条的状态显然与时钟的走时有关。” 虽然比特币的时钟是基于概率的，但这并不是幻觉。

时间是一种幻觉。 午餐时间尤其如此。 — 道格拉斯·亚当斯，银河系漫游指南 (1979)

然而，在比特币系统中，“现在”绝对是一种幻觉。 由于网络中没有中央权威，因此可能会出现奇怪的情况。 不太可能，但如果两个人同时找到有效区块怎么办？ （再次向所有物理学家致歉。）也就是说，不同位置的两个时钟同时滴答作响。 这两个块的内容很可能不同。 它们包含不同的历史，但都同样有效。

这被称为链分裂，是中本聪共识运行中的自然现象。 就像一群候鸟，时而分成两列，时而连在一起。 随着时间的推移，由于猜测的概率性质，比特币网络中的节点最终形成了共享历史。

中本聪共识只要求正确的历史记录在最重的链上（即包含最多工作量证明的链）。 因此，如果我们有两个历史 A 和 B，一些矿工将继续在 A 上写入历史，而一些矿工将继续在 B 上写入历史。一旦一方的矿工找到下一个有效区块，另一方的矿工就会承认他们在错误的区块上挖矿历史并移动到最重的链（根据定义，代表实际发生的事情的链）。 在比特币中，历史是由胜利者书写的。 收款人需要有证据证明，当每笔交易发生时，大多数节点都同意自己先收到了这笔交易……当同一笔交易有多个支付对象时，只有一个有效。

收件人必须等待一个小时左右才能相信交易有效。 届时，网络将能够解决任何可能的多次花费竞赛。 ——中本聪 (2009)

上面这段话揭示了分布式协调问题的秘密。 就这样，中本聪一劳永逸地解决了上面提到的“同时支付”问题。 让相对论见鬼去吧！

由于比特币时钟的概率性质，“现在”（我们称之为链顶）永远不确定。 过去（链顶下方的区块）永远是最终的。

要更深入地了解它，我们必须回到过去。 ——戈登·克拉克，《从基督教的角度理解人和事》（1951 年）

结果，对于某些同行来说，比特币时钟有时会倒退一两个滴答声。 如果你的链顶（现在）碰巧输给了另一个链顶，你的时钟就会来回走动，覆盖你认为正确的历史。 如果你的时钟是概率性的，那么你对历史的记忆也必须是概率性的。

滴答滴答——几点了？ 滴答滴答……停在了c619。 真的吗？ 会不会很慢？ 准不准：8在9之前是不会错的准时有鬼，中心化不好！ 这个时钟在滴答作响，滴答滴答，打得不好是不好的，滴答了下一个障碍。 ——关于比特币与时间的小诗（2020）

总结

315泛指国际消费者权益日。 成立的目的是扩大消费者权益保护的宣传，使其在世界范围内得到重视，从而促进各国和地区消费者组织之间的合作与交流。

在信息世界中跟踪事物意味着跟踪一系列事件，因此也就是时间。 追踪时间需要对“现在”（永远连接过去和未来的时间点）达成共识。 在比特币系统中，“现在”是最重的工作量证明链的端点。

对于时间结构，两个最重要的组成部分是因果关系和不可预测性。 因果是用来定义过去的，不可预知的事件是用来建构未来的。 如果事件的顺序是可预测的，则有可能跳过。 如果每个事件之间没有联系，就很容易改变过去。 由于比特币系统定义了内部时间，因此很难作弊。 如果一个人想作弊，就必须改写过去或预见未来。 比特币的时间链可以有效防止这两点。

如果我们从时间的角度来看比特币，应该清楚“区块链（通过因果关系连接多个事件的数据结构）”并不是一个重大的创新，甚至不是一个新的想法。 我们只要研究一下以前关于时间戳的文献，就能发现这一点。

区块链只是一个数据块链。 ——彼得·托德

中本聪的创新之处在于各方如何在没有中心化协调的情况下独立地就事件的历史达成共识。 中本聪找到了一种实现去中心化时间戳机制的方法。 该机制(a) 不依赖时间戳机构或服务器，(b) 不需要报纸或任何其他物理媒体作为证据，以及(c) 可以确保时间节奏基本不变，即使在CPU 更快的环境中时钟时间 跑步也是如此。

计时需要因果关系、不可预测性和协调性。 在比特币中，因果关系由单向函数提供，即比特币协议核心的加密哈希函数和数字签名。 不可预测性是通过工作量证明难题和节点交互实现的：您无法提前预测其他节点在做什么，也无法提前预测工作量证明难题的解决方案。 协调是通过难度调整来实现的，秘诀就是将比特币时间与人类时间联系起来。 只有连接物理世界和信息世界，才能仅依靠数据就时间达成共识。

比特币在多个方面都是时间。 比特币的最小单位聪，是时间，因为它是一种货币； 比特币网络也是时间，因为它是一个去中心化的时钟。 正是因为比特币的时钟在不知疲倦地转动着，比特币才能拥有这些神奇的属性。 否则，整个比特币系统就会分崩离析。 也正是因为如此，这种神奇的互联网货币才能造福于每一个人。