中本聰共識數學證明

中本聰共識（Nakamoto Consensus）是比特幣網路實現去中心化共識的核心機制，結合了工作量證明（Proof of Work）、最長鏈規則與激勵機制。本篇文章從數學角度證明中本聰共識的安全性，分析誠實節點與攻擊者之間的博弈，並推導確保系統安全的關鍵參數。

中本聰共識概述

共識機制的基本組成

比特幣的中本聰共識由以下幾個關鍵要素構成：

1. 工作量證明（PoW）：礦工必須完成計算密集型工作才能創建新區塊
2. 最長鏈規則：網路節點始終接受並延伸最長的區塊鏈
3. 概率確認：交易確認數越多，逆轉機率越低
4. 激勵機制：區塊獎勵與手續費激勵誠實挖礦

這個設計使得比特幣無需信任第三方即可達成共識，解決了拜占庭將軍問題在分散式系統中的應用。

與傳統共識的比較

傳統的拜占庭容錯（BFT）共識需要節點之間的多輪通信，且參與節點數量固定。中本聰共識與之相比：

安全性分析框架

攻擊者模型

分析中本聰共識的安全性，首先需要定義攻擊者能力：

假設條件

1. 攻擊者控制總算力的 α 比例（0 ≤ α < 1）
2. 誠實節點控制剩餘算力 1 - α
3. 攻擊者可以選擇挖礦策略（包括自私挖礦）
4. 攻擊者無法控制網路中誠實節點的全部通信
5. 攻擊者動機是最大化長期收益或進行雙花攻擊

攻擊者能力邊界

• 攻擊者無法偽造其他節點的簽章
• 攻擊者無法控制區塊傳播時間
• 攻擊者無法永遠領先誠實鏈（除非 α > 0.5）

區塊確認的數學基礎

比特幣區塊確認的可靠性基於以下觀察：攻擊者追上的概率隨著確認區塊數增加而指數下降。

雙花攻擊概率推導

基本模型假設

考慮以下場景：

• 攻擊者算力佔比：α
• 誠實節點算力佔比：1 - α
• 受害者等待確認數：z 個區塊

攻擊者從第 z 個區塊後開始追赶，嘗試生成一條更長的替代鏈。

單次嘗試的追上概率

令 p 表示誠實節點找到下一個區塊的概率，q 表示攻擊者找到下一個區塊的概率。

在離散時間模型中：

• p = 1 - α（誠實礦工找到區塊的概率）
• q = α（攻擊者找到區塊的概率）

攻擊者從落後 z 個區塊開始追赶，需要在誠實節點領先更多之前趕上。

泊松過程修正

更精確的模型使用泊松過程描述區塊發現：

令 λ 表示誠實節點的平均區塊發現率，μ 表示攻擊者的平均發現率。

在時間 t 內：

• 誠實節點發現的區塊數：Poisson(λt)
• 攻擊者發現的區塊數：Poisson(μt)

追上概率公式

攻擊者最終追上誠實鏈的概率為：

if (p ≤ q):
    probability = 1  # 攻擊者遲早追上
else:
    probability = (q/p)^z

其中：

• p = 誠實節點算力比例
• q = 攻擊者算力比例
• z = 確認區塊數

推導過程

設攻擊者在落後 z 個區塊時開始追赶。每次攻擊者與誠實節點同時發現區塊時，視為「平手」，攻擊者需要連續在 z 次獨立嘗試中成功（誠實節點失敗）z 次。

每次嘗試中攻擊者成功的概率為 q/p，因此 z 次嘗試都成功的概率為 (q/p)^z。

數值示例

從表中可以看出：

• 當 α < 50% 時，確認數超過 6 個後攻擊成功概率極低
• 當 α = 10% 時，即使只等待 1 個確認，攻擊成功概率也只有 1%

自私挖礦攻擊分析

攻擊機制

自私挖礦（Selfish Mining）是攻擊者的一種策略：當攻擊者發現區塊時，不立即公開，而是繼續挖礦直到：

1. 誠實節點公開區塊，攻擊者隨後公開自己的隱藏鏈
2. 攻擊者的隱藏鏈足夠長，可以取代誠實鏈

自私挖礦收益分析

令 γ 表示誠實節點在看到攻擊者區塊後繼續在攻擊者分支上挖礦的比例。

攻擊者的相對收益為：

if (α > 0.5):
    # 攻擊者必然主導，收益確定
    relative_revenue = 1
else:
    relative_revenue = (α(1-α)^2(1-γ) + α^2) / (1 - α(1 + (1-α)^2(1-γ)))

簡化形式：

relative_revenue = α / (1 - α)  # 當誠實節點在看到攻擊者區塊後不公平地選擇攻擊者鏈

臨界點計算

自私挖礦在以下條件下變得有利可圖：

α > p / (2p + q)

假設 p = 1 - α, q = α，則：

α > 1/3 ≈ 33.3%

這意味著當攻擊者控制超過 33.3% 算力時，自私挖礦策略開始有利可圖。

防範機制

比特幣網路透過以下機制降低自私挖礦的吸引力：

1. 區塊獎勵遞減：未來區塊獎勵減少使攻擊動機降低
2. 手續費比例上升：長期來看手續費成為主要收入，誠實行為更有利
3. 聲譽成本：公開的可疑行為會導致比特幣價值下跌

51% 攻擊的成本收益分析

發動攻擊的成本

假設攻擊者需要控制 α = 51% 的算力：

硬體成本

• 需要購買或控制 51% 的當前算力
• 假設每 TH/s 的 ASIC 成本為 $50
• 總硬體成本 = 500,000,000 TH/s × 51% × $50 ≈ $12.75 billion

電力成本

• 假設平均功耗為 40 W/TH/s
• 每日電力成本 = 500,000,000 TH/s × 51% × 40 W/TH/s × 24h × $0.05/kWh
• ≈ $24.5 million/天

攻擊收益

雙花收益

假設攻擊者進行一筆大型雙花交易：

• 交易金額：$1 billion
• 成功的話可以獲得雙倍（$2 billion）
• 但比特幣價格會暴跌，假設下跌 50%

長期收益計算複雜，但顯而易見的是：攻擊比特幣網路會摧毁比特幣的價值主張，使攻擊者持有的比特幣資產大幅貶值。

理性攻擊者的結論

從純粹的經濟角度看，51% 攻擊幾乎從來不是理性選擇：

• 一次性攻擊成本極高
• 攻擊導致比特幣價值暴跌
• 攻擊者自身持有的比特幣也會損失

這正是比特幣「最大化攻擊成本」的設計哲學。

區塊時間與難度穩定性

難度調整機制

比特幣協議每 2,016 個區塊（約兩週）調整一次難度：

new_difficulty = old_difficulty × (actual_time / target_time)

目標時間 = 2,016 × 10 分鐘 = 20,160 分鐘（兩週）

難度調整的安全性

難度調整機制確保比特幣網路在以下情況下仍能穩定運作：

1. 算力突然下降：難度下降，保持區塊產出穩定
2. 算力突然上升：難度上升，防止區塊過快產生
3. 長期趨勢：難度只增不減，反映網路安全投入增加

區塊時間分佈

比特幣區塊時間服從指數分佈（平均 10 分鐘）：

P(T > t) = e^(-λt)

其中 λ = 1/10 分鐘⁻¹

這意味著：

• 下個區塊在 10 分鐘內出現的概率：63.2%
• 下個區塊在 1 分鐘內出現的概率：9.5%
• 下個區塊在 30 分鐘後出現的概率：4.8%

激勵機制的博弈分析

誠實挖礦的期望收益

假設區塊獎勵為 B，網路總算力為 1：

• 誠實礦工的期望收益：p × B = (1 - α) × B
• 攻擊者期望收益：q × B = α × B

激勵相容性

比特幣的設計確保了誠實行為是最優策略：

1. 區塊獎勵固定：挖到區塊的獎勵與攻擊無關
2. 手續費競爭：用戶選擇手續費，攻擊者無法壟斷
3. 網路效應：比特幣價值與網路健康相關

長期均衡

在長期均衡中，假設：

• 比特幣價格反映其效用
• 誠實挖礦的回報率與風險成正比
• 攻擊者無法獲得額外優勢

則有：

誠實挖礦收益 = 攻擊收益

這保證了網路的長期穩定性。

密碼學安全性

雜湊函數安全性

比特幣使用的 SHA-256 雜湊函數具有以下安全特性：

原像抗性：給定雜湊值 h，找到滿足 SHA-256(m) = h 的 m 在計算上不可行

第二原像抗性：給定 m1，找到滿足 SHA-256(m1) = SHA-256(m2) 的 m2 ≠ m1 在計算上不可行

碰撞抗性：找到任意滿足 SHA-256(m1) = SHA-256(m2) 的 (m1, m2) 在計算上不可行

數位簽章安全性

比特幣使用的 ECDSA（橢圓曲線數位簽章演算法）基於離散對數問題：

• 已知公鑰 Q，計算私鑰 k 在計算上不可行
• 簽章無法被偽造
• 量子電腦對 ECDSA 構成威脅，但目前距離實用仍遠

量子威脅展望

量子電腦對比特幣的潛在威脅：

比特幣社群正在討論 Taproot 之後的後量子遷移路徑。

網路通信安全性

P2P 網路特點

比特幣 P2P 網路是對等通信，沒有中心化伺服器：

1. 節點發現：透過 DNS seed 或已知節點列表
2. 區塊傳播：使用「區塊優先」傳播機制
3. 交易傳播：交易池傳播與區塊包含

Sybil 攻擊

Sybil 攻擊者創建大量假節點：

• 風險：控制網路視圖，進行 Eclipse 攻擊
• 緩解：識別並阻斷異常連接
• 比特幣節點通常連接到多個對等節點

Eclipse 攻擊

隔離特定節點，只接收攻擊者的信息：

• 風險：對特定節點進行雙花攻擊
• 緩解：隨機選擇對等節點，頻繁更換連接

結論與安全性總結

比特幣的中本聰共識機制經過數學驗證，展示了在開放式分散式系統中達成安全共識的可能性。關鍵結論如下：

安全性條件

1. 誠實多數假設：只要 α < 50%，比特幣網路基本安全
2. 確認數選擇：大額交易建議等待 6 個以上確認
3. 經濟激勵：理性攻擊者發現攻擊不划算

風險因素

1. 算力集中化：任何單一實體控制過高算力都是風險
2. 協議漏洞：軟體 bug 可能被利用
3. 外部威脅：政府禁令可能影響網路運作

設計哲學

比特幣的安全性來自於：

• 密碼學假設的穩固性
• 激勵機制的精心設計
• 網路的去中心化程度

這些因素共同鑄造了比特幣作為「最大程度去信任化」的數位貨幣系統。

相關文章：

• 比特幣工作量證明機制
• 比特幣節點運作
• 比特幣腳本語言深度教學