工作证明
0 K0 j% \- j( s: ]3 S工作证明(Proof Of Work，简称POW)，顾名思义，即工作量的证明。通常来说只能从结果证明，因为监测工作过程通常是繁琐与低效的。
+ d/ J2 _2 [& {/ Z6 J4 A. r比特币在Block的生成过程中使用了POW机制，一个符合要求的Block Hash由N个前导零构成，零的个数取决于网络的难度值。要得到合理的Block Hash需要经过大量尝试计算，计算时间取决于机器的哈希运算速度。当某个节点提供出一个合理的Block Hash值，说明该节点确实经过了大量的尝试计算，当然，并不能得出计算次数的绝对值，因为寻找合理hash是一个概率事件。当节点拥有占全网n%的算力时，该节点即有n/100的概率找到Block Hash。
: |! T$ b8 l3 G0 j- ^2 ]工作证明机制看似很神秘，其实在社会中的应用非常广泛。例如，毕业证、学位证等证书，就是工作证明，拥有证书即表明你在过去投入了学习与工作。生活大部分事情都是通过结果来判断的。4 N9 L( c# [" k% Z% _
挖矿
& C. Z, W4 @! f7 w. F挖矿即不断接入新的Block延续Block Chain的过程。! N' J) _9 F0 g6 E1 b! s; [! n2 [

9 j8 Z) Y4 q* r6 k. R: F2 H8 k挖矿为整个系统的运转提供原动力，是比特币的发动机，没有挖矿就没有比特币。挖矿有三个重要功能：# z! l! i) L: j
发行新的货币（总量达到之前）维系货币的支付功能通过算力保障系统安全0 b, V' i1 |" `" _; i, F5 R# ]
金矿消耗资源将黄金注入流通经济，比特币通过“挖矿”完成相同的事情，只不过消耗的是CPU时间与电力。当然，比特币的挖矿意义远大于此。5 f% P. e- c4 D9 E+ x
; d$ |. U, [- R7 z6 z3 ]
Block Hash算法. U: a8 v( C2 ]: c7 g
Block头部信息的构成：5 S/ ^9 {, e8 A/ n/ c8 k
8 y" V; M( N: H' N9 w0 z* o
下面采用高度为125552的block数据为例，演示block hash的计算过程：
6 j0 v; |9 G, ^) N" n+ W, Z& S+ q" H4 c# y: v6 ?; r; z  U
该计算过程简单明了：首先将数个字段合并成一块数据，然后对这块数据进行双SHA256运算。! v% f# T% j9 R$ f$ V9 ^
产量调节
) W2 j7 C& Q. t$ nBlock的产量为大约每两周2016个，即每10分钟一块。该规则在每个节点的代码里都固定了。
* f! `, i' C3 C, b9 h// 目标时间窗口长度：两周
* w: N0 u7 y$ L$ p- h0 d! Dstatic const int64 nTargetTimespan = 14 * 24 * 60 * 60;
3 g: @" d- f8 m// block频率，每10分钟一块5 G1 N, h0 p# D7 \% {1 E' U
static const int64 nTargetSpacing  = 10 * 60;
9 F3 X. f5 j* V' s- Y8 D. H6 @, ^// 每两周的产量2016，也是调节周期2 B! x: J. W/ u5 n/ }, ~( Y3 T; o( T
static const int64 nInterval       = nTargetTimespan / nTargetSpacing;" M: i+ w# A) L8 \$ }
但由于实际算力总是不断变化的（目前一直是快速上升的），所以需根据最近2016个块的耗费时间来调整难度值，维持每10分钟一个block的频率.
  W" b3 r" R7 ^  @0 U6 g// Only change once per interval' e% C; s1 }5 D7 N3 W% `
if ((pindexLast->nHeight+1) % nInterval != 0) {& T) G4 g2 y) t; ?1 V7 G
    // 未达到周期个数，无需调节
. M0 p# t; ^6 s- u8 ]1 U    return pindexLast->nBits;& n1 Y( K: R5 @4 o) X& H
}
/ D  v9 w: h+ }& {( f& X// Go back by what we want to be 14 days worth of blocks
4 U+ H4 `2 d3 D% Xconst CBlockIndex* pindexFirst = pindexLast;
. [  N8 i* R# E( Vfor (int i = 0; pindexFirst && i pprev;1 ~  W3 C# U0 o( y+ c- N" \- F) A$ O
// 计算本次2016个块的实际产生时间( [+ x- G+ j. Y& j* x& ~
// Limit adjustment step' C% a8 V: v' u  h9 o; I4 T
int64 nActualTimespan = pindexLast->GetBlockTime() - pindexFirst->GetBlockTime();
7 o+ w. G1 f7 S// 限定幅度，最低为1/4，最高为4倍
5 h) h. K& h0 U) M7 gif (nActualTimespan  nTargetTimespan*4)  h; d0 W& \6 R- B" I7 E1 O
    nActualTimespan = nTargetTimespan*4;' C: {: |4 A% X; S: s1 h; L
// 根据最近2016个块的时间，重新计算目标难度
8 P4 R1 `! `: N! F1 ?4 b- C  R// Retarget
# M8 @/ \8 g1 k3 B. y/ i4 BCBigNum bnNew;
5 T6 k/ k: c8 L9 n- _2 L9 r) A( ?, IbnNew.SetCompact(pindexLast->nBits);
2 U0 L+ S! ?+ g2 D# WbnNew *= nActualTimespan;5 H2 n& u* [  z6 P
bnNew /= nTargetTimespan;
# _4 E- A" m( g9 z 6 P" J% F6 G* v5 W+ ^, }% q" M
if (bnNew > bnProofOfWorkLimit)2 t+ V% i5 _2 J5 v) m
    bnNew = bnProofOfWorkLimit;& @0 {; ~4 T3 e  v
: v9 C) V% k/ t/ }" j8 C) e
return bnNew.GetCompact();* j) F" x. n: b7 }
Block字段详解
3 g" m7 J, F7 j! _. O/ M2 n/ vVersion，版本号，很少变动，一般用于软件全网升级时做标识hashPrevBlock，前向Block Hash值，该字段强制多个Block之间形成链接hashMerkleRoot，交易Hash树的根节点Hash值，起校验作用，保障Block在网络传输过程中的数据一致性，有新交易加入即发生变化Time，Unix时间戳，每秒自增一，标记Block的生成时间，同时为block hash探寻引入一个频繁的变动因子Bits，可以推算出难度值，用于验证block hash难度是否达标Nonce，随机数，在上面数个字段都固定的情况下，不停地更换随机数来探寻0 s/ y# M6 J& [7 h( j( j
最为关键的字段是hashPrevBlock，该字段使得Block之间链接起来，形成一个巨大的“链条”。Block本是稀松平常的数据结构，但以链式结构组织起来后却使得它们具有非常深远的意义：  P' }. o: m0 Q
1 V& R; ~( y# r  o. O$ `& w8 L
形成分支博弈，使得算力总是在主分支上角逐算力攻击的概率难度呈指数上升（泊松分布）$ N; e5 {/ Y. y
1 z$ W( m8 H2 d* J$ d% x
每个block都必须指向前一个block，否则无法验证通过。追溯至源头，便是高度为零的创世纪块(Genesis Block)，这里是Block Chain的起点，其前向block hash为零，或者说为空。/ L* ~, I' r+ L# ~$ r3 n
新block诞生过程
. _! B& `/ t' u. T# M- }* K下面是一个简单的步骤描述，实际矿池运作会有区别，复杂一些：, S- J0 H1 d' U7 E
节点监听全网交易，通过验证的交易进入节点的内存池(Tx Mem Pool)，并更新交易数据的Merkle Hash值更新时间戳尝试不同的随机数(Nonce)，进行hash计算重复该过程至找到合理的hash打包block：先装入block meta信息，然后是交易数据对外部广播出新block其他节点验证通过后，链接至Block Chain，主链高度加一，然后切换至新block后面挖矿5 }; K5 q* q9 I5 e" `0 ~
由于hashPrevBlock字段的存在，使得大家总是在最新的block后面开挖，稍后会分析原因。1 Y& ?- z; P- L1 q. G

+ a2 O( @! E0 t6 ]) s1 s! q# V主链分叉- o) G2 w3 P' b5 J# O+ s
从block hash算法我们知道，合理的block并不是唯一的，同一高度存在多个block的可能性。那么，当同一个高度出现多个时，主链即出现分叉(Fork)。遇到分叉时，网络会根据下列原则选举出Best Chain：" Y3 h, S& w* X8 w% p
不同高度的分支，总是接受最高（即最长）的那条分支
& N6 N+ f$ o. I' C: B相同高度的，接受难度最大的1 P7 Y3 f: t2 d4 d+ E
高度相同且难度一致的，接受时间最早的; R# P# p& F2 a7 {4 W
若所有均相同，则按照从网络接受的顺序
2 \) D9 y% j# a5 J9 j  B! D等待Block Chain高度增一，则重新选择Best Chain+ |% Z: h" w4 }) J8 i
& z- L7 u1 _6 T
按照这个规则运作的节点，称为诚实节点(Honest Nodes)。节点可以诚实也可以不诚实。
: ?% g* l5 c$ C; A) |* Z. L- H分支博弈
# Q# W2 y1 O" L+ q+ W6 ]" L! |我们假设所有的节点：/ c) i3 z( E) M( f4 ^2 l
都是理性的，追求收益最大化都是不诚实的，且不惜任何手段获取利益' L, E6 \3 x" Y7 z1 _" P' M3 p
6 T9 f; U0 ^/ g6 \  e. O
所有节点均独自挖矿不理会其他节点，并将所得收益放入自己口袋，现象就是一个节点挖一个分支。由于机器的配置总是有差别的，那么算力最强的节点挖得的分支必然是最长的，如果一个节点的分支不是最长的，意味其收益存在不被认可的风险（即零收益）。为了降低、逃避此风险，一些节点肯定会联合起来一起挖某个分支，试图成为最长的分支或保持最长分支优势。
# J8 U: N6 h/ T8 T: D一旦出现有少量的节点联合，那么其他节点必然会效仿，否则他们收益为零的风险会更大。于是，分支迅速合并汇集，所有节点都会选择算力更强的分支，只有这样才能保持收益风险最小。最终，只会存在一个这样的分支，就是主干分支(Best/Main Chain)。" G8 F9 r4 I! E
对于不诚实节点来说，结局是无奈的：能且只能加入主干挖矿。不加入即意味被抛弃，零收益；加入就是老实干活，按占比分成。
4 |: _! ^4 }, A" @, n9 {) k9 NHash Dance
. v7 B: J& t; U2 ?4 dBlock hash的计算是随机概率事件，当有节点广播出难度更高的block后，大家便跑到那个分支。在比特币系统运行过程中，算力经常在分支间跳来跳去，此现象称为Hash Dance。一般情况下，分支的高度为1~2，没有大的故障很难出现高于2的分支。& [0 R5 ?4 K8 P$ L1 o" ~
Hash Dance起名源于Google Dance.$ G2 ~& @4 |% X+ ]; r6 }
算力攻击的概率
% R7 B- W" N6 `2 B本节内容参考：Bitcoin: A Peer-to-Peer Electronic Cash System
! X2 G: _' i& ]% S, n算力攻击是一个概率问题，这里作简单叙述：# x9 E- T! e% @8 n, U* {# q  T
p = 诚实节点挖出block概率q = 攻击者挖出block概率，q = 1 - pqz = 攻击者从z个block追上的概率
2 v9 [# h5 d$ k9 C8 Y
" a, Q9 S  {2 l; S3 I
, ]" z" |# G/ {8 V) O" ?& I我们假设p>q，否则攻击者掌握了一半以上的算力，那么概率上永远是赢的。该事件（攻击者胜出）的概率是固定，且N次事件之间是相互独立的，那么这一系列随机过程符合泊松分布(Poisson Distribution)。Z个块时，攻击者胜出的期望为lambda：3 R* j$ w0 z8 g0 l0 d" G

$ [6 ^$ j( V6 _' v' p1 T1 n攻击者在攻击时已经偷偷的计算了k个块，那么这k个块概率符合泊松分布(下图左侧部分)，若k! b8 d6 r  S* a+ i
) h% N: Z8 [4 D+ F! d7 x5 F3 M
展开为如下形式：
7 ~% x# B$ \/ c6 U+ c/ l3 q9 ~& j9 e4 h6 |
计算该过程的C语言代码如下：
. o+ }, C/ X; a1 P3 `6 O: _- U+ \% y#include 4 b8 b' X9 y0 K7 Z( G0 ~) F- t4 ]' _
double AttackerSuccessProbability(double q, int z)
* X/ Q3 S$ V( g/ R8 n; v  v' ~8 Q$ I{
. i2 p6 e# @' U" T4 f) F/ \    double sum    = 1.0;. P. w. g! P! t6 {; ~. L7 h
    double p      = 1.0 - q;( g1 \0 K6 B  ]- p* j1 g. Z  V: l2 J
    double lambda = z * (q / p);$ s8 ~3 `6 D0 y6 X& R
    int i, k;
* x0 g2 g: @# ?- i5 L- q    for (k = 0; k
. K7 X& n0 A: W" M  k我们选取几个值，结果如下：
% w% p2 `) N; I! {4 @
* I+ G5 B8 f6 J1 s% I可以看到，由于block的链式形式，随着块数的上升，攻击者赢得的概率呈指数下降。这是很多应用等待六个甚至六个以上确认的原因，一旦超过N个确认，攻击者得逞的可能微乎其微，概率值快速趋近零。- Z6 j9 w, M' O. I! i, E5 }
当攻击者的算力超过50%时，便可以控制Block Chain，俗称51%攻击。
; S; \7 D# F# u算力攻击的危害
) p1 F, \$ V. T9 t% k3 R: N" G攻击者算出block后，block&Txs必须能够通过验证，否则其他节点都会拒掉，攻击便无意义。攻击者无法做出下列行为：1 k) G# k& u7 i" R5 J
偷盗他人的币。消费某个地址的币时，需要对应的ECDSA私钥签名，而私钥是无法破解的。凭空制造比特币。每个block奖励的币值是统一的规则，篡改奖励币值会导致其他节点会拒绝该block。
/ U: m" _0 n0 q- f
7 T4 d( c+ f9 O9 o唯一的益处是可以选择性的收录进入block的交易，对自己的币进行多重消费(Double Spending)。
5 a( c" K2 j  Q) W& A过程是这样的：假设现在block高度为100，攻击者给商户发了一个交易10BTC，记作交易A，通常这笔交易会被收录进高度101的block中，当商户在101块中看到这笔交易后，就把货物给了攻击者。此时，攻击者便开始构造另一个高度为101的block，但用交易B替换了交易A，交易B中的输入是同一笔，使得发给商户的那笔钱发给他自己。同时，攻击者需要努力计算block，使得他的分支能够赶上主分支，并合并(Merge)被大家接受，一旦接受，便成功地完成了一次Double Spending。
, E- j- p7 V' Z; I- `2 F7 V8 g攻击难度呈指数上升，所以成功的Double Spending通常是一个极小概率事件。6 `2 h$ t* p8 d6 l( \7 R8 M
算力巨头
( o2 U4 }: P& d7 A2 i1 v全网算力的上升对比特币是极其有利的，这是毫无疑问的。但目前大矿池与矿业巨头使得算力高度集中化，这与中本聪所设想的一CPU一票（one-CPU-one-vote）的分散局面背道而驰，或许是他未曾预料的。' ?4 \6 q# C7 {& Y
挖矿是一项专业劳动，最后必然会交给最专业的人或团队，因为这样才能实现资源配置最优，效率最高。普通投资人通过购买算力巨头的股票：1. 完成投资；2. 分享算力红利。看似中心化的背后其实依然是分散的：4 h. w+ g- D* P; c& w& Q0 P% P
1.矿业公司的背后是无数分散的投资人
, t( x( ?9 `9 V5 }: s) T2.矿池背后是无数分散的个体算力
$ S) u5 N, M8 u  i- B既得利益使得算力巨头倾向于维护系统而不是破坏，因其收益均建立在比特币系统之上，既得利益者断然不会搬石头砸自己脚。甚至很多巨头在达到一定算力占比后会主动控制算力增长，使得低于某阈值内。