比特币怎么解决双花攻击

⑴ 入门科普：什么是双花

想要了解区块链，首先要熟悉区块链相关的各种名词。就比如我们今天讲到的“双花”，可能有人就要问，双花是什么花？哈哈哈，开玩笑，让我们来学习一下什么是“双花”吧。

01

“双花”是什么？

双重支付又名“双花”，也就是双重花费的意思。 举个例子：如果我钱包里面有100元，我可以去购买等值的物品。当我去商店后，发现台灯和桌子都是100元，那我只能买其中一样东西。而我们所说的双花问题，正好与之相反，同样的100元，我可以购买两样东西。

在加密货币系统中，由于数据的可复制性，使得系统可能存在同一笔数字资产被重复使用的情况 ，这也称之为双花，又叫双重消费攻击。

02

双花问题是如何发生的？

在区块链系统中，双花问题会在以下情况下出现：

1、由于共识机制导致区块确认时间长，用一个数字货币去进行一次交易，可以在这笔交易还未被确认完成前，进行第二笔交易。

2、 控制算力来实现双花 ，第一次交易被验证通过并被记录入区块后，在该网络中有更高的算力验证出新的更长链条，在该链条中这笔钱被第二次花费，由于第二次花费的区块链条更长使第一次交易区块所在链条为无效链条，这样一来，第一次交易所在的区块链被区块链网络放弃，第一次花费的钱就又回到自己账户了，就导致了双花问题。

03

比特币如何避免双花问题？

为了解决双花问题，我们日常的数字资产使用依赖于第三方信任机构进行。这类机构对数据进行中心化管理，并通过实时修改账户余额的方法来防止双重支付的出现。而作为去中心化的点对点价值传输系统， 比特币通过UTXO、时间戳等技术的整合来解决双花问题。

1、首先每笔交易都要先确认对应比特币之前的情况，要检查它是否存在于用户的UTXO中。如果不在，那么该交易会被系统拒绝。

2、如果用户用同一笔UTXO付给两个人，系统中的节点只确认先接收到的那一笔。

3、当两笔时间上很接近的交易被不同节点确认，区块链将发生分叉。剩余节点选择在他们认为的最长链上构建新的区块。

4、当其中一笔交易被6个节点确认后，它将成为系统最长链，可以认为这笔交易获得了最终的确认。

⑵ 比特币机制研究

现今世界的电子支付系统已经十分发达，我们平时的各种消费基本上在支付宝和微信上都可以轻松解决。但是无论是支付宝、微信，其实本质上都依赖于一个中心化的金融系统，即使在大多数情况这个系统运行得很好，但是由于信任模型的存在，还是会存在着仲裁纠纷，有仲裁纠纷就意味着不存在 不可撤销的交易 ，这样对于 不可撤销的服务 来说，一定比例的欺诈是不可避免的。在比特币出来之前，不存在一个 不引入中心化的可信任方 就能解决在通信通道上支付的方案。
比特币的强大之处就在于：它是一个基于密码学原理而不是依赖于中心化机构的电子支付系统，它能够允许任何有交易意愿的双方能直接交易而不需要一个可信任的第三方。交易在数学计算上的不可撤销将保护 提供不可撤销服务 的商家不被欺诈，而用来保护买家的 程序化合约机制 也比较容易实现。

假设网络中有A, B ,C三个人。
A付给B 1比特币 ，B付给C 2比特币 ，C付给A 3比特币 。
如下图所示：

为了刺激比特币系统中的用户进行记账，记账是有奖励的。奖励来源主要有两方面：

比特币中每一笔交易都会有手续费，手续费会给记账者

记账会有打包区块的奖励，中本聪在08年设计的方案是： 每10分钟打一个包，每打一个包奖励50个比特币，每4年单次打包的奖励数减半，即4年后每打一个包奖励25个比特币，再过四年后就奖励12.5个比特币... 这样我们其实可以算出比特币的总量：

要说明打包的记录以谁为准的问题，我们需要引入一个知名的 拜占庭将军问题 （Byzantine failures）。拜占庭将军问题是由莱斯利·兰伯特提出的点对点通信中的基本问题。含义是在存在消息丢失的不可靠信道上试图通过消息传递的方式达到一致性是不可能的。

假设有9个互相远离的将军包围了拜占庭帝国，除非有5个及以上的将军一起攻打，拜占庭帝国才能被打下来。而这9个将军之间是互不信任的，他们并不知道这其中是否有叛徒，那么如何通过远距离协商来让他们赢取战斗呢？

口头协议有3个默认规则：
1.每个信息都能够被准确接收
2.接收者知道是谁发送给他的
3.谁没有发送消息大家都知道
4.接受者不知道转发信息的转发者是谁
将军们遵循口头规则的话，那就是下面的场景：将军1对其他8个将军发送了信息，然后将军2~9将消息进行转达（广播），每个将军都是消息的接受者和转发者，这样一轮下来，总共就会有9×8=72次发送。这样将军就可以根据自己手中的信息，选择多数人的投票结果行动即可，这个时候即便有间谍，因为少数服从多数的原则，只要大部分将军同意攻打拜占庭，自己就去行动。
这个方案有很多缺点：
1.首先是发送量大，9个将军之间要发送72次，随着节点数的增加，工作量呈现几何增长。
2.再者是无法找出谁是叛徒，因为是口头协议，接受者不知道转发信息的转发者是谁，每个将军手里的数据仅仅只是一个数量的对比：

这里我们假设有3个叛徒，在一种最极端的情况下即叛徒转发信息时总是篡改为“不进攻”，那么我们最坏的结果就如上图所示。将军1根据手里的信息可以推出要进攻的结论，却无法获知将军里面谁是叛徒。
这样我们就有了方案二：书面协议。

书面协议即将军在接受到信息后可以进行签字，并且大家都能够识别出这个签字是否是本人，换种说法就是如果有人篡改签字大家可以知道。书面协议相对比口头协议就是增加了一个认证机制，所有的消息都有记录。一旦发现有人所给出的信息不一致，就是追查间谍。
有了书面协议，那么将军1手里的信息就是这样的：

可以很明显得看出，在最坏的一种情况——叛徒总是转发“不进攻”的消息之下，将军7、8、9是团队里的叛徒。
这个方案解决了口头协议里历史信息不可追溯的问题，但是在发送量方面并没有做到任何改进。

在我们的示例中，比特币系统里的每个用户发起了一笔交易，都会通过自己的私钥进行签名，用数学公式表示就是：

所以之前的区块就变成了这样：

这样每一笔交易都由交易发起者通过私钥进行数字签名，由于私钥是不公开的，所以交易信息也就无法被伪造了。

如书面协议末尾所说的那样，书面协议未能解决信息交流过多的问题。当比特币系统中存在上千万节点的时候，如果要互相广播验证，请求响应的次数那将是一个非常庞大的数字，显然势必会造成网络拥堵、节点处理变慢。为了解决这个问题，中本聪干脆让整个10分钟出一个区块，这个区块由谁来打包发出呢？这里就采用了工作量证明机制(PoW)。工作量证明，说白了就是解一个数学题，谁先解出来数学题，谁就能有打包区块的权力。换在拜占庭将军的例子中就是，谁先做出数学题，谁就成为将军们里面的总司令，其他将军听从他发号的命令。

首先，矿工会将区块头所占用的128字节的字符串进行两次sha256求值，即：

这样求得一个值Hash，将其与目标值相比对，如果符合条件，则视为工作量证明成功。
工作量证明成功的条件写在了区块链头部的 难度数 字段，它要求了最后进行两次sha256运算的Hash值必须小于定下的目标值；如果不是的话，那就改变区块头的 随机数 （nonce），通过一次次地重复计算检验，直到符合条件为止。

此外， 比特币有自己的一套难度控制系统，使得比特币系统要在全网不同的算力条件下，都保持10分钟生成一个区块的速率。这也就意味着：难度值必须根据全网算力的变化进行调整。难度调整的策略是由最新2016个区块的花费时长与期望时长（期望时长为20160分钟即两周，是按每10分钟一个区块的产生速率计算出的总时长）比较得出的，根据实际时长与期望时长的比值，进行相应调整（或变难或变易）。也就是说，如果区块产生的速率比10分钟快则增加难度，比10分钟慢则降低难度。

PoW其实在比特币中是做了以下的三件事情。

这样可以防止一台高性能机器同时跑上万个节点，因为每完成一个工作都要有足够的算力。

有经济奖励就会加速整个系统的去中心化，也鼓励大家不要去作恶，要积极地按照协议本来的执行方式去执行。(所以说，无币区块链其实是不可行的，无币区块链一定导致中心化。)

也就是说，每个节点都不能以自身硬件条件去控制出快速度。现在的比特币上平均10分钟出一个块，性能再好的机器也无法打破这个规则，这就能够保证 区块链是可以收敛到共同的主链上的 ，也就是我们所说的共识。

综上，共识只是PoW三个作用中的一点，事实上PoW设计的作用有点至少有这么三种。

默克尔树的概念其实很简单，如图所示

这样，我们区块的结构就大致完整了，这里分成了区块头和区块体两部分。

区块链的每个节点，都保存着区块链从创世到现在的每一区块，即每一笔交易都被保存在节点上，现在已经有几百个GB了。
每当比特币系统中有一笔新的交易生成，就会将新交易广播到所有的节点。每个节点都把新交易收集起来，并生成对应的默克尔根，拼接完区块头后，就开始调整区块头里的随机数值，然后就开始算数学题

将算出的result和网络中的目标值进行比对，如果是结果是小于的话，就全网广播答案。其他矿工收到了这个信息后，就会立马放下手里的运算，开始下一个区块的计算。
举个例子，当前A节点在挖38936个区块，A挖矿节点一旦完成计算，立刻将这个区块发给它的所有相邻节点。这些节点在接收并验证这个新区块后，也会继续传播此区块。当这个新区块在网络中扩散时，每个节点都会将它作为第38936个区块(前一个区块为38935)加到自身节点的区块链副本中。当挖矿节点收到并验证了这个新区块后，它们会放弃之前对构建这个相同高度区块的计算，并立即开始计算区块链中下一个区块的工作。
整个流程就像下一张图所展示的这样：

简单来说，双花问题是一笔钱重复花了两次。具体来讲，双花问题可分为两种情况：
1.同一笔钱被多次使用；
2.一笔钱只被使用过一次，但是通过黑客攻击或造假等方式，将这笔钱复制了一份，再次使用。
在我们生活的数字系统中，由于数据的可复制性，使得系统可能存在同一笔数字资产因不当操作被重复使用的情况，为了解决双花问题，日常生活中是依赖于第三方的信任机构的。这类机构对数据进行中心化管理，并通过实时修改账户余额的方法来防止双重支付的出现。而作为去中心化的点对点价值传输系统，比特币通过UTXO、时间戳等技术的整合来解决双花问题。

UTXO的英文全称是 unspent transaction outputs ，意为 未使用的交易输出 。UTXO是一种有别于传统记账方式的新的记账模型。
银行里传统的记账方式是基于账户的，主要是记录某个用户的账户余额。而UTXO的交易方式，是基于交易本身的，甚至没有账户的概念。在UTXO的记账机制里，除了货币发行外，所有的资金来源都必须来自于前面某一个或几个交易。任何一笔的交易总量必须等于交易输出总量。UTXO的记账机制使得比特币网络中的每一笔转账，都能够追溯到它前面一笔交易。
比特币的挖矿节点获得新区块的挖矿奖励，比如 12.5 个比特币，这时，它的钱包地址得到的就是一个 UTXO，即这个新区块的币基交易（也称创币交易）的输出。币基交易是一个特殊的交易，它没有输入，只有输出。
当甲要把一笔比特币转给乙时，这个过程是把甲的钱包地址中之前的一个 UTXO，用私钥进行签名，发送到乙的地址。这个过程是一个新的交易，而乙得到的是一个新的 UTXO。
这就是为什么有人说在这个世界上根本没有比特币，只有 UTXO，你的地址中的比特币是指没花掉的交易输出。
以Alice向Bob进行转账的过程举例的话：

UTXO 与我们熟悉的账户概念的差别很大。我们日常接触最多的是账户，比如，我在银行开设一个账户，账户里的余额就是我的钱。
但在比特币网络中没有账户的概念，你可以有多个钱包地址，每个钱包地址中都有着多个 UTXO，你的钱是所有这些地址中的 UTXO 加起来的总和。
中本聪发明比特币的目标是创建一个点对点的电子现金，UTXO 的设计正可以看成是借鉴了现金的思路：我们可能在这个口袋里装点现金，在那个柜子角落里放点现金，在这种情况下不存在一个账户，你放在各处的现金加起来就是你所有的钱。
采用 UTXO 设计还有一个技术上的理由，这种特别的数据结构可以让双重花费更容易验证。对比一下：

⑶ 比特币出现漏洞，手把手带你发起攻击，万一暴富了呢

针对所有的支付系统，有一种攻击方式叫作 双花攻击 。所谓双花攻击就是指一笔资金被花费多次，攻击者先将资金转出，获得收益后通过攻击的手段撤销该笔转账，让资金重新回到攻击者的账户上。那么我们能否对比特币发起双花攻击并从中获利呢？答案是肯定的！下面让我带你一起对比特币系统发起攻击。

在带领大家发起攻击之前，我们需要先了解一下比特币的转账原理，这是我们发起攻击的预备知识。

在比特币系统中，用户想要发起一笔转账，首先要把转账信息组装好，就像填写银行支票一样，写好付款方账户，收款方账户，转账金额，然后使用加密技术对转账信息签名，我们把这种签名好的转账请求叫作交易。交易被比特币系统处理以后，付款方的账户就会被扣除指定金额，收款方的账户就会增加指定金额。

用户的交易会被发送给比特币系统中的节点，节点收到交易后将其放在一个新的区块中，然后对这个区块进行哈希计算，也就是之前文章所说的计算数学题。哪一个节点优先计算出了这个区块的数学题答案，就获得了这个区块的打包权，被这个节点打包进区块的交易就相当于成交了，然后所有的节点会在新区块的基础上开始计算下一个区块的数学题。

知道了比特币的转账原理，下面我们就来看一下比特币的漏洞到底在哪里！

刚才我们说谁先算出答案谁负责打包区块，那如果有两个节点同时做出了同一个区块的答案该怎么办呢？为了解决这个问题，比特币系统设计了一个特殊的机制，叫作最长链原则。

通过上面的描述我们可以看出，比特币的这条链是有可能分叉的，分叉以后会以最长的链为准，那么在较短的分叉上的区块就被废弃了。 这不正为我们攻击比特币系统带来了可能性吗！

你可能已经想到了，既然比特币系统只认最长的那条链，我们是不是可以通过这样的方式对比特币进行双花攻击：

至此，你之前转出的比特币还在你的账户上，并且得到了你想要的东西，所以你的攻击成功了。

对比特币的攻击真的这么简单吗？答案当然是否定的！虽然我们说可以通过上述方法对比特币发起攻击，但是攻击是要付出代价的。

所以，如果你想要创建一个新的分叉，并且超过主链的区块长度，那么你需要比主链上所有节点的计算速度加在一起都要快。要想实现这样的结果，唯一的做法就是你要收买比特币系统中超过51%的节点算力，这就是比特币的51%攻击原理。

想要攻击比特币系统并不是不可能，但是需要付出的代价可能远远超过作恶所获得的收益。在比特币系统中，节点越多，算力越强，攻击比特币系统的成本就越高，比特币系统就越安全。比特币越安全，它的价值就越高，就会吸引更多的节点加入来竞争比特币奖励。更多的节点进一步促进了系统的安全性，这是一个正向循环。

51%攻击不只是针对比特币的，所有采用 工作量证明共识算法 的区块链都面临着这个问题。对于已经日趋成熟的比特币系统来说，攻击比特币确实是不划算的，而且随着系统节点的越来越多，攻击比特币几乎成为了不可能的事情。但是一些新的链，在其刚起步的时候节点和算力还不多，这种攻击确实是真实有效的，并且这种攻击事件时有发生。

⑷ 区块链鼻祖比特币之8：分叉带来的双花支付、51%攻击与解决办法

分叉

前面讲到了比特币通过区块链+工作量证明的独特设计来解决了时间顺序，但是不能保证在同一时刻有两个节点算出了正确的解，虽然这种可能性很低很低。这就带来了区块的分叉。

虽然说几乎同时有两个节点计算出这一数学问题的可能性微乎其微，但是仍然存在这样的可能性，所以分叉就以为着同一个区块的后面可能会跟上两个不同的区块。

规则的打破一直要到下一个区块被人解开。则会立即转向最长的区块，而那些短的区块则会被抛弃。数学问题使得区块很难被同时拆解。要连续发生多次更是困难。最终区块链会稳定下来。也就是说所有人对最后几个区块顺序达成共识。分叉意味着，譬如，若你的交易出现在较短的支链，它就会失去进入区块链的位置。一般而言，只代表他会回到未确认交易池。然后被纳入到下一个区块。

比特币网络如何解决分叉带来的双花支付

可惜，交易失去区块位置的潜在可能，给了本来定序系统防范的重复支付攻击机会。考虑下面的一个攻击者A，其首先用自己的比特币交换B节点的货物，其立即又支付给自己。然后其通过努力的制造更长的链条来让自己的支付替代掉B节点的支付，从而实现了双重支付，B节点既得不到钱，还失去了货物。

这时交易会退回到未确认池中，因为A节点已经利用参照同样的input交易取而代之。节点就会认为Bob的交易无效。因为已使用掉。

你可能会猜测A节点会预先的计算出一支区块链，然后抓住时机发布到网络。但是每个区块的数学谜题阻挡了这个可能性。如前面所诉，解开区块是猜测出一个随机数的过程。一旦得出答案，解出的哈希值就会成为指纹一样的区块识别。只要区块内容有一丁点变化，下一个区块的参考值就会完全不同。此机制的结果就是无法在区块链中置换区块。在得到前一个区块之前，下位区块无法被解开。前一个区块的指纹也是杂凑函数的引数之一。

同时，该工作量证明机制还解决了在集体投票表决时，谁是大多数的问题。如果决定大多数的方式是基于IP地址的，一IP地址一票，那么如果有人拥有分配大量IP地址的权力，则该机制就被破坏了。而工作量证明机制的本质则是一CPU一票。“大多数”的决定表达为最长的链，因为最长的链包含了最大的工作量。如果大多数的CPU为诚实的节点控制，那么诚实的链条将以最快的速度延长，并超越其他的竞争链条。如果想要对业已出现的区块进行修改，攻击者必须重新完成该区块的工作量外加该区块之后所有区块的工作量，并最终赶上和超越诚实节点的工作量。我们将证明，设想一个较慢的攻击者试图赶上随后的区块，那么其成功概率将呈指数化递减。另一个问题是，硬件的运算速度在高速增长，而节点参与网络的程度则会有所起伏。为了解决这个问题，工作量证明的难度(the proof-of-work difficulty)将采用移动平均目标的方法来确定，即令难度指向令每小时生成区块的速度为某一个预定的平均数。如果区块生成的速度过快，那么难度就会提高。

如果有一台超级电脑，能够在区块解题中获胜？

即便是一台超级电脑，或者时几百上千台电脑也很难赢得解一个区块的胜利，因为竞争对手不是任一台电脑，而是整个比特币网络。你可以用买彩票来比拟。操作千百台电脑，如同买了千百张彩票一样。

51%攻击是指的什么

根据前面的例子，我们知道，要想有50%的概率领先其他人解题得到胜利，就需要掌握全网50%以上的算力。要连续领先他人解出区块，掌握的运算能力还需要高得多。所以区块链中的交易是受到数学竞赛所保护。恶意用户必须和整个网络较量。区块连接建立的结果，使得在支链越前方的交易越安全。恶意的用户必须在更长的时间赢过全网络，来达成重复支付，替换前面的区块链。所以，系统只有支端末尾易受到重复支付攻击。这也是为什么系统建议多等几个区块，才能确认收款成功。

个人博客：https://dreamerjonson.com/

⑸ 双花理论是什么概念

在学习区块链的过程中，大家一定对会听到“双花”这个词，意思就是双重支付，或者更直白点就是一笔资金被花费了两次。这篇文章我们来简单的分析一下为什么会有双花，比特币是如何避免双花的。

在传统的交易中，因为有银行这样的中心化机构，所以是不会存在双花问题的：每一笔支付都将从你的银行账户中扣除相应的资金，所有的明细在银行都有记录。但是在比特币中，因为没有账户的概念，而是引入了UTXO即未花费交易输出。因为没有银行这样的中心化机构的保证，当发生一笔交易时就可能存在着双花的危险：比方说A有一个比特币，然后他同时构造两笔交易T1和T2来花费这1个比特币，其中一个给了B，从B那里买件衣服，一个给了C，从C那里买双鞋。如果不引入某种机制来避免这种情况，那作为数字货币的比特币将没有任何存在的意义。接下来就来分析一下比特币是如何做到防止这种“双花”攻击的。

(1) 正常情况

首先我们来看看正常情况，说白了就是绝大多数时候，区块链的共识机制就能将双花消灭在萌芽状态。我们还是以上面提到的例子来做说明：

假设A构造了两笔交易T1和T2，将自己价值1btc的UTXO分别转给了B和C，妄图同时从B和C那里获得好处。然后A几乎在同一时间将构造好的这两笔交易广播至网络。

假设网络中的矿工节点先收到了交易T1，发现这笔交易的资金来源确实没有被花费过，于是将T1加入到自己的内存交易池中等待打包进区块。

大部分情况下，这个矿工节点会在不久后又收到交易T2，此时因为T2所指向的交易输入与已经加入交易池的T1相同，于是矿工节点会拒绝处理该交易。网络中其他的矿工节点都类似，因此A试图双花的尝试胎死腹中。

(2) 分叉情况

上面说的是正常的情况，但是也有非正常的情况要考虑：假设矿工节点M1和M2几乎在同一时间挖出了区块，并且很不幸M1挖到区块时只收到了交易T1，而M2挖到的区块时只收到了交易T2，这样交易T1和T2被分别打包进两个区块。因为这两个区块是差不多同一时间被挖出，于是造成了区块链的分叉：

网络中某些节点（可能是离M1近的）先收到了M1打包的区块BLK1，于是用该区块延长自己的区块链，而另外一些节点（邻近M2的）则先收到M2打包的区块BLK2，用该区块延长自己的区块链，于是整个区块链网络

⑹ 想知道比特币持有权有保障吗娱乐场怎样解决问题

具体来说比特币持有权的保障主要依赖于其技术保障、去中心化特性、早期矿工的持续参与、网络攻击难度较高以及交易安全性等方面，经过多年的印证，其安全性还是比较强的，只是比特币的波动无法避免。比特币娱乐场通过采用UTXO技术来解决双花问题，X.Game认为今年需要谨防投资者撤资的风险，毕竟仅两个月比特币的波动比较大。