中本聰共識數學證明：比特幣的安全性基礎

概述

比特幣網路的安全性建立在一种稱為「中本聰共識」（Nakamoto Consensus）的創新共識機制上。本文從數學角度證明中本聰共識的安全性，分析誠實節點與攻擊者之間的博弈，並推導確保系統安全的關鍵參數。

系統模型與假設

基本假設

1. 網路模型：異步網路，訊息可能延遲但最終可達
2. 敵手模型：攻擊者控制 ≤ 50% 算力（部分同步）
3. 誠實假設：誠實節點遵循協議

符號定義

安全性證明

雙花攻擊概率

定理：當攻擊者控制 β < 0.5 算力時，攻擊者成功進行雙花攻擊的概率隨確認區塊數增加呈指數衰減。

證明：

考慮攻擊者試圖建立一條比誠實鏈更長的私鏈。設：

• 攻擊者從第 z 個區塊開始構建私鏈
• 誠實網路已確認 z 個區塊

攻擊者需要趕上誠實鏈的概率可用泊松過程分析。

設 λ = α/β 為誠實與攻擊者的算力比。

二項分佈近似：

當 n 很大時，使用高斯近似：

$$P(\text{成功}) \approx \sum_{k=z}^{n} \binom{n}{k} \alpha^k (1-\alpha)^{n-k}$$

其中 n 為攻擊者生成的區塊數。

閉式解（Satoshi 白皮書推导）：

對於大 z：

$$P(\text{成功}) < \left(\frac{\alpha}{\beta}\right)^z = \left(\frac{\alpha}{1-\alpha}\right)^z$$

例如：

• α = 0.9, β = 0.1：P(成功) < (0.9/0.1)^z = 9^z
• α = 0.667, β = 0.333：P(成功) < (0.667/0.333)^z = 2^z

實用結論：

最長鏈原則的最優性

定理：在理性礦工假設下，最長鏈（共識難度最高）是最終一致的區塊鏈。

證明：

假設存在兩個衝突的區塊狀態 A 和 B。若：

• 誠實礦工遵循最長鏈原則
• 攻擊者算力 β < 0.5

則：

1. 當誠實礦工發現新區塊，他們會在已知最長鏈上繼續挖礦
2. 攻擊者無法長期維持領先（期望值為負）
3. 最終，誠實算力會使網路收斂至單一鏈

形式化證明：

設 X_n 為 n 輪後攻擊者相對於誠實網路的領先區塊數。

$$E[X{n+1} | Xn] = Xn + \beta - \alpha \cdot I(Xn > 0)$$

其中 I 為指示函數。當 β < 0.5 時，$E[X_n]$ 趨於 0。

激勵相容性

區塊獎勵與交易費用

定理：在合理假設下，遵循協議的收益嚴格大於串通攻擊收益。

證明：

設：

• R：區塊獎勵（當前 3.125 BTC）
• F：區塊內交易費用
• C：挖礦成本（電費、設備折舊）

誠實挖礦收益：

$$V_{\text{honest}} = \alpha \cdot (R + F) - C$$

攻擊收益（假設控制 β 算力）：

• 雙花收益：D
• 短期：可能獲得 R + F
• 長期：信譽損失導致比特幣貶值

激勵相容條件：

$$\alpha \cdot (R + F) > \beta \cdot (R + F) + D - \text{reputation\_loss}$$

當 D 不超過一定閾值且比特幣有足夠價值時，誠實挖礦始终是最佳策略。

交易費用市場

定理：在競爭性市場中，交易的納什均衡費用等於區塊空間的邊際價值。

證明：

用戶效用函數：$Ui(bi, vi)$，其中 bi 為支付的區塊空間，v_i 為估值。

區塊空間供給：固定 B bytes。

最優配置問題：

$$\max \sumi Ui(bi) \quad \text{s.t.} \quad \sumi b_i \leq B$$

在理性用戶假設下，費用的確定：

• 用戶根據區塊空間緊迫性設定費用上限
• 區塊空間邊際用戶決定市場費用
• 這解釋了為何在擁堵時費用飆升

難度調整機制

目標區塊時間證明

定理：難度調整確保區塊生成時間期望值為 T，與算力無關。

證明：

設：

• D：當前難度目標
• H：網路算力（hashes/秒）
• T：目標區塊時間

每次 Hash 成功概率：

$$P(\text{成功}) = \frac{2^{256}}{D} \cdot \frac{1}{H}$$

期望時間：

$$E[T] = \frac{D \cdot H}{2^{256}}$$

2016 區塊後調整難度：

$$D{new} = D{old} \cdot \frac{\text{actual\_time}}{2016 \times T}$$

在大數定律下，實際時間趨於期望值，確保難度自動適應算力變化。

自穩定性證明

定理：難度調整機制使系統具有自穩定性。

證明：

設算力攻擊導致 H 急劇下降：

1. 區塊生成變慢
2. 2016 區塊後難度下調
3. 區塊生成加快
4. 最終恢復正常

反之亦然。這個反饋機制確保：

• 即使算力大幅波動，系統仍能正常運作
• 攻擊者無法透過算力波動獲得長期優勢

拜占庭容錯分析

傳統 BFT vs 中本聰共識

安全性證明

定理：在部分同步網路模型下，當誠實算力 α > 0.5 時，中本聰共識滿足：

1. 安全性：不會產生衝突的區塊
2. 活躍性：新区块会持续产生

證明（安全性）：

假設存在兩個衝突區塊 B 和 B' 均被確認。令：

• C_B：B 的確認路徑
• C_B'：B' 的確認路徑

若 |CB| = |CB'| = z，則：

• 攻擊者需要同時控制兩條路徑的大部分算力
• 這要求 β > 0.5，與假設矛盾

證明（活躍性）：

誠實礦工持續發現區塊的概率：

$$P(\text{在} \Delta \text{內發現}) = 1 - (1 - \alpha)^{\frac{\Delta}{T}}$$

只要 α > 0 且網路連通，區塊將持續產生。

51% 攻擊分析

攻擊成本估算

定理：51% 攻擊的成本與收益分析。

證明：

攻擊成本（每小時）：

$$C{\text{attack}} = 0.51 \cdot H \cdot \text{electricity\cost}$$

攻擊收益（假設雙花）：

$$V{\text{attack}} = \text{exchange\volume} \times \text{price\_impact}$$

均衡條件：

$$C{\text{attack}} > V{\text{attack}}$$

比特幣的網路安全來自：

• 龐大的算力（> 500 EH/s）
• 分散的礦工
• 高昂的攻擊成本

現實考量

實際攻擊需考慮：

1. 算力收購成本：市場上無法快速獲得 51% 算力
2. 設備折舊：專用 ASIC 貶值風險
3. 比特幣價格：攻擊成功導致比特幣貶值
4. 法律風險：被起訴或被列入制裁

結論

中本聰共識的數學證明揭示了比特幣安全性的深層邏輯：

1. 雙花概率指數衰減：即使攻擊者有接近 50% 算力，增加確認數可大幅降低風險
2. 激勵相容：理性礦工的納什均衡是誠實挖礦
3. 自穩定：難度調整機制確保系統適應算力變化
4. 概率最終性：安全性與活躍性之間的最優權衡

這些數學特性使比特幣成為第一個在無信任環境下達成共識的系統，為數十億美元的價值提供了可證明的安全保障。

本文從數學角度嚴謹證明中本聰共識的安全性与活性。