以保護(hù)隱私為要旨的加密數(shù)字貨幣MomoCash介紹

2009 年，中本聰提出比特幣的概念，自那以后，比特幣已迅速在主流應(yīng)用和商業(yè)用途中傳播開來，成為首個吸引大量用戶的數(shù)字貨幣，是數(shù)字貨幣史上的里程碑。不過從完成交易的角度來看比特幣接收的情形，我們可以發(fā)現(xiàn)一個重要問題，就是比特幣區(qū)塊確認(rèn)交易的時間過長，而傳統(tǒng)的支付公司已找出使買賣雙方實現(xiàn)比特幣交易零確認(rèn)的解決方案，但這一解決方案通常是要在協(xié)議之外采用可信賴的第三方完成交易。

比特幣提供匿名交易，實現(xiàn)發(fā)送者和接受者之間一對一交易的關(guān)系，并能永遠(yuǎn)記錄全網(wǎng)發(fā)生過的交易。比特幣只提供低層次的隱私保護(hù)，這點在學(xué)術(shù)界眾所周知，盡管有此不足，許多人仍然相信區(qū)塊鏈記錄的轉(zhuǎn)賬歷史。

基于中本聰成果，MomoCash 是以保護(hù)隱私為要旨的加密數(shù)字貨幣。我們在比特幣概念的基礎(chǔ)上進(jìn)行了一系列的改進(jìn)，由此誕生出一個去中心化的和具備良好匿名性的加密數(shù)字貨幣，它支持防篡改的即時交易，又有能為 MomoCash 網(wǎng)絡(luò)提供服務(wù)獎勵制的點對點次級網(wǎng)絡(luò)。

主節(jié)點網(wǎng)絡(luò)

全節(jié)點是運行在 p2p 網(wǎng)絡(luò)上的服務(wù)器，讓小節(jié)點使用它們來接受來自全網(wǎng)的動態(tài)變化。這些全節(jié)點需要顯著的流量和要消耗大量成本的其它資源，由此在一段時間內(nèi)會觀察到比特幣網(wǎng)絡(luò)上的這些節(jié)點數(shù)量呈現(xiàn)穩(wěn)步下降的趨勢，使區(qū)塊廣播的時間需要額外增加 40 秒。為解決這問題，提出了許多方案，例如引入微軟研究的新獎勵計劃和 Bitnodes 激勵計劃。這些節(jié)點對網(wǎng)絡(luò)的健康而言十分重要，它們能讓客戶端同步和通過全網(wǎng)快速廣播信息。我們提議增加次級網(wǎng)絡(luò)，名為MomoCash 主節(jié)點網(wǎng)絡(luò)。這些節(jié)點將具有高可用性，而且在為網(wǎng)絡(luò)提供符合一定要求的服務(wù)后能夠得到主節(jié)點服務(wù)獎勵。

1、主節(jié)點獎勵計劃——成本和獎勵

比特幣網(wǎng)絡(luò)全節(jié)點銳減的主要原因是缺乏對運行節(jié)點的獎勵。隨著時間的推移，全網(wǎng)接入的用戶會更多，對帶寬的需求會更高，對節(jié)點運行者的資金需求也更多，結(jié)果使運行全節(jié)點的成本提高?？紤]到成本的上升，節(jié)點運行者必須要降低他們的運行成本或者運行輕客戶端，但這樣完全不利于網(wǎng)絡(luò)健康。

正如比特幣網(wǎng)絡(luò)一樣，主節(jié)點是全節(jié)點，但不同的是主節(jié)點必須對全網(wǎng)提供一定的服務(wù)，并需要一定量的押金才能加入。押金不會丟失，在主節(jié)點運行時也是安全的。這可讓投資者為全網(wǎng)提供服務(wù)的同時，賺取一定的投資收益，減少了價格的波動性。

運行一個主節(jié)點，需要存儲 1000MOC。當(dāng)主節(jié)點生效時，它可為全網(wǎng)的客戶端提供服務(wù)，并以利息的形式獲取獎勵。這就使得用戶為這項服務(wù)投資，但同時得到一定的回報。主節(jié)點獲取的收益是來自同一個礦池，大約有 45%的區(qū)塊獎勵納入到這個計劃中。

考慮到主節(jié)點獎勵計劃的獎勵率是固定的百分比，還有主節(jié)點網(wǎng)絡(luò)節(jié)點存在波動的事實，預(yù)計主節(jié)點獎勵會根據(jù)當(dāng)前生效的主節(jié)點總數(shù)作出變化。通過以下的計算公式可計算出運行主節(jié)點一整天的收益：

n： 運行者控制的主節(jié)點數(shù)

t： 主節(jié)點的總數(shù)

r： 當(dāng)前的區(qū)塊獎勵（當(dāng)前平均獎勵是 5MOC）

b： 平均每天的區(qū)塊數(shù)，當(dāng)前 MOC 網(wǎng)絡(luò)每天區(qū)塊通常是 576 個

a： 主節(jié)點的平均獎勵（平均每個區(qū)塊獎勵的 45%）

運行主節(jié)點的收益公式：

（式子中的變量與上述相同）

運行主節(jié)點需要成本，這在網(wǎng)絡(luò)上創(chuàng)建了生效節(jié)點的硬限制和軟限制。目前有10 萬 MOC 流通，只有 30 個節(jié)點可能可以在網(wǎng)絡(luò)上運行。軟限制由配置節(jié)點所花的成本和平臺的滯留量所致，因為 MOC 是流通的貨幣，而不僅僅是為投資所用。

2. 確定順序

使用特定的確定算法創(chuàng)建主節(jié)點的偽隨機(jī)排序。使用為每個區(qū)塊設(shè)計的工作量證明機(jī)制的哈希算法，挖礦網(wǎng)絡(luò)可以提供支持這個排序的安全性。

選擇主節(jié)點的代碼：

示例代碼還可以進(jìn)一步擴(kuò)展為主節(jié)點排序，“第二”，“第三”和“第四”個主節(jié)點的計算依此類推。

3、 非信任制的 Quorum

當(dāng)前 MOC 網(wǎng)絡(luò)大約具有 30 個生效的主節(jié)點，而需要 1000 MOC 擔(dān)保才可成為一個生效的主節(jié)點。我們創(chuàng)建了一個系統(tǒng)，其中沒有一人能控制整個主節(jié)點網(wǎng)絡(luò)。例如，如果有人想控制 50％的主節(jié)點網(wǎng)絡(luò)，他們將不得不從公開市場上購買 3萬個 MOC。這將極大提高幣價，所以獲得如此多 MOC 是不可能的。

在擁有主節(jié)點網(wǎng)絡(luò)和擔(dān)保條件的前提下，我們以非信任制的方式使用該次級網(wǎng)絡(luò)進(jìn)行高度敏感的任務(wù)，其中沒人能控制網(wǎng)絡(luò)的演變結(jié)果。從總池中選擇 N 個偽隨機(jī)主節(jié)點來執(zhí)行相同的任務(wù)，這些節(jié)點可以充當(dāng)裁判，過程無需整個網(wǎng)絡(luò)的參與。

例如，一個非信任制的 Quorum 發(fā)現(xiàn) InstantSend，InstantSend 會使用 Quorum確認(rèn)交易和鎖定輸入。

另一個例子是，非信任制的 Quorum 可以利用主節(jié)點網(wǎng)絡(luò)作為金融市場的去中心化預(yù)言者，這讓實現(xiàn)去中心化的合同成為可能。例如蘋果公司的股價在 2016 年12 月 31 日超過 300 美元的話，就提交公約 A，否則提交公約 B。

4、角色和服務(wù)量證明機(jī)制

主節(jié)點可以向網(wǎng)絡(luò)提供任意的額外服務(wù)。正如在概念中指出，我們的成功應(yīng)用是PrivateSend（匿名發(fā)送）和 InstantSend（即時支付）。使用我們稱之為“服務(wù)量證明”的機(jī)制，可以要求這些節(jié)點處于在線狀態(tài)，即使在正確的區(qū)塊高度上也要作出響應(yīng)。

惡意者也可以運行主節(jié)點，但不會對網(wǎng)絡(luò)提供任何實質(zhì)性的服務(wù)。為了減少這些人使用系統(tǒng)做出對自己節(jié)點有利事情的概率，必須 ping 剩余網(wǎng)絡(luò)以確保它們保持活躍。這項工作通過主節(jié)點網(wǎng)絡(luò)在每個區(qū)塊選擇 2 個 Quorum 來完成。Quorum A檢查 Quorum B 每個區(qū)塊的服務(wù)。Quorum A 是與當(dāng)前區(qū)塊哈希最接近的節(jié)點，而Quorum B 是遠(yuǎn)離所說區(qū)塊哈希最遠(yuǎn)的節(jié)點。

主節(jié)點 A（1）檢查主節(jié)點 B（2300） 主節(jié)點 A（2）檢查主節(jié)點 B（2299） 主節(jié)點 A（3）檢查主節(jié)點 B（2298）

檢查網(wǎng)絡(luò)就是要驗證節(jié)點是生效的，這由主節(jié)點自身完成。全網(wǎng)區(qū)塊的 1％會受到檢查。這使整個網(wǎng)絡(luò)在一天中會被檢查大約 6 次。為了保持這個系統(tǒng)是非信任制的，我們使用 Quorum 系統(tǒng)中隨機(jī)選擇節(jié)點，但我們最少也需要六次檢查來排查一個惡意節(jié)點。

為達(dá)到欺騙系統(tǒng)的目的，攻擊者需要在一輪中被選中六次。否則，欺騙的目的就被系統(tǒng)發(fā)現(xiàn)，使其不會得逞，其它節(jié)點也是這樣。

表 1 在服務(wù)性證明機(jī)制失衡的情況下，一個獨立的主節(jié)點欺騙系統(tǒng)的概率n：攻擊者控制的主節(jié)點數(shù) t：全網(wǎng)主節(jié)點總數(shù) r：區(qū)塊鏈深度 基于 Quorum 系統(tǒng)，主節(jié)點的選擇是偽隨機(jī)的。

5. 主節(jié)點協(xié)議

主節(jié)點使用一系列擴(kuò)展協(xié)議在全網(wǎng)進(jìn)行廣播，包括主節(jié)點消息 announce 機(jī)制和主節(jié)點消息 ping 機(jī)制。這兩類機(jī)制用來確認(rèn)全網(wǎng)節(jié)點處于生效狀態(tài)，除了它們，執(zhí)行服務(wù)量證明機(jī)制需求的還有 PrivateSend 和 InstantSend。

在錢包中發(fā)送 1000MOC 到特定地址，就激活代碼自然生成能在全網(wǎng)進(jìn)行廣播的主節(jié)點， 隨之次級私鑰生成，它是用來對其它所有信息進(jìn)行簽名，另外在運行單機(jī)模式時還可用來完全鎖定錢包。

在兩臺獨立的機(jī)器上使用次級私鑰讓冷模式成為可能。主要的“熱”客戶端對1000 MOC 的輸入進(jìn)行簽名，此過程包含使用二級私鑰對信息進(jìn)行簽名。 之后，“冷”客戶端能發(fā)現(xiàn)包含次級私鑰的信息并將主節(jié)點激活。這讓“熱”客戶端失效（客戶端關(guān)閉），這樣攻擊者訪問激活后的主節(jié)點也不可能獲得竊取其中的1000MOC。

主節(jié)點開始運行時，會向全網(wǎng)發(fā)送“主節(jié)點廣播”信息，包含有：

信息：（1000MOC 輸入，可訪問的 IP 地址，簽名，簽名時間，含有 1000MOC 的公鑰，次級公鑰，用于捐贈的公鑰，捐贈的百分比）此后每隔 15 分鐘，一條 ping 信息會對外發(fā)送，證明節(jié)點生效中。

信息：（1000MOC 的輸入，簽名（使用次級私鑰），簽名時間）隨著時間的推移，網(wǎng)絡(luò)會移除失效的節(jié)點，讓該節(jié)點不再被客戶端利用或再用于支付。節(jié)點也可以不停地 ping 網(wǎng)絡(luò)，但如果它們的端口不打開，最終會被標(biāo)記為失效狀態(tài)，不再用于支付。

6. 主節(jié)點列表的廣播

進(jìn)入 MOC 網(wǎng)絡(luò)的新客戶端必須發(fā)現(xiàn)當(dāng)前全網(wǎng)活躍的主節(jié)點，這樣才可以使用它們的服務(wù)。一旦它們加入網(wǎng)狀網(wǎng)絡(luò)，它們的節(jié)點就會收到請求主節(jié)點列表的指令。

設(shè)置緩存的目的是讓客戶端記錄主節(jié)點及其當(dāng)前狀態(tài)，因此當(dāng)客戶端重新啟動時，他們只需簡單加載該文件，不需重新請求主節(jié)點的完整列表。

7. 使用挖礦進(jìn)行支付和強(qiáng)制規(guī)定

為了確保每個主節(jié)點都獲得應(yīng)有的區(qū)塊獎勵，網(wǎng)絡(luò)必須強(qiáng)制每個區(qū)塊支付獎勵給正確的主節(jié)點。如果礦工不愿意的話，他們的區(qū)塊必須被網(wǎng)絡(luò)拒絕，否則作弊就會產(chǎn)生。

我們提出一個策略，就是一個主節(jié)點代表一個 Quorum，選擇其中優(yōu)勝的主節(jié)點然后廣播它們的信息。信息得到 N 次廣播后，會選擇同一目標(biāo)接收者，這樣達(dá)成共識后選中的區(qū)塊要對該主節(jié)點支付獎勵。

在網(wǎng)上挖礦時，礦池（礦池的作用是將單獨的礦工整合起來）使用 RPC API 接口獲取生成有關(guān)區(qū)塊的信息。為了向主節(jié)點支付獎勵，必須添加次級接收者到GetBlockTemplate 來擴(kuò)展接口。礦池之后廣播自己的成功開采的區(qū)塊，使自己和主節(jié)點之間保持同步。

匿名支付

我們相信，為了能在客戶端提高強(qiáng)度保護(hù)用戶隱私，實現(xiàn)標(biāo)準(zhǔn)的非信任制是很重要的。例如 electrum，Android 和 iPhone 這些客戶端，也會直接嵌入相同的匿名層和很好利用協(xié)議擴(kuò)展性。這讓用戶使用堅實穩(wěn)固的系統(tǒng)匿名發(fā)送資金時有著相同的體驗。

PrivateSend 是 CoinJoin（提供匿名技術(shù)的軟件）的改進(jìn)和擴(kuò)展版本。除了擁有 CoinJoin 的核心理念，我們還進(jìn)行一系列的改進(jìn)，例如去中心化、使用鏈接實現(xiàn)強(qiáng)匿名、相同面值和被動先進(jìn)的混幣技術(shù)。

在提高隱私和加密數(shù)字貨幣的可互換性時，最大的挑戰(zhàn)是，無法做到加密整個區(qū)塊鏈。在以比特幣為基礎(chǔ)的加密數(shù)字貨幣體系內(nèi)，能看到哪些輸出是沒發(fā)送，哪些是已發(fā)送，通常將其稱為 UTXO，全稱是未使用交易輸出。這讓每個用戶在公共帳本中都可充當(dāng)誠實交易保證者的角色。比特幣的協(xié)議是在不依賴第三方參與的前提下設(shè)計的，沒有第三方的參與，仍能通過公共區(qū)塊鏈隨時讀取用戶信息實現(xiàn)審計是至關(guān)重要的。我們的目標(biāo)是在不失去這些要素的前提下提高保密性和可互換性，我們堅信這是創(chuàng)建成功數(shù)字貨幣的關(guān)鍵。

使用數(shù)字貨幣范圍內(nèi)去中心化的混幣服務(wù)，我們能讓貨幣本身具備完全可互換的能力?？苫Q性是金錢的屬性，決定貨幣的各單位要保持平等。當(dāng)你以通貨的形式接收資金時，資金不應(yīng)該保留之前用戶的使用記錄，或者用戶能很輕易地與之前的使用歷史撇清開來，從而做到所有貨幣是平等的。與此同時，任何用戶在不影響他人隱私的情況下，保證公共賬本的每筆交易都是誠實的。

為了提高可互換性和保持公共區(qū)塊鏈的誠實性，我們提議使用先進(jìn)的非信任制去中心化混幣技術(shù)，為了保持通貨的可互換性，這項服務(wù)直接整合到這個貨幣體系中，對于每個用戶而言都可容易和安全使用。

1. Coinjoin 通過賬戶可追蹤資金流向

一個簡單的策略是在現(xiàn)有的比特幣基礎(chǔ)上整合 Coinjoin，就是單純將交易合并在一起。通過追蹤聯(lián)合交易的用戶資金流向就會將用戶的身份暴露出來。

圖 2：例如將 2 個用戶的交易整合為 Coinjoin 交易

在這項交易里，0.05 個比特幣使用混幣技術(shù)對外發(fā)送，為了追蹤這筆資金的來源，僅需要把右邊的數(shù)額加起來再和左邊的數(shù)額匹配就可得知。

重新組合交易

0.05+0.0499+0.0001（fee） = 0.10BTC.

0.0499+0.05940182+0.0001（fee） = 0.10940182BTC.

隨著更多用戶加入到混幣的過程中，獲得結(jié)果的難度會以指數(shù)級增長。然而，在以后某個時間點結(jié)果還是可以被追蹤出來，匿名性失效。

2. 直接鏈接和中繼鏈接

在 Coinjoin 其它實現(xiàn)的應(yīng)用里，用戶先把資金匿名化，最后把交易發(fā)送到知道發(fā)送者身份的平臺或個體，這點是有可能實現(xiàn)的。但這打破了匿名性，能讓其它人往前追蹤用戶的交易，我們稱這類型的攻擊為“中繼鏈接”。

圖 3： 中繼轉(zhuǎn)換鏈接

在這個例子中，Alice 匿名發(fā)送 1.2BTC，分別以 1BTC 和 0.2BTC 對外輸出，然后從 1BTC 的輸出中再對外輸出 0.7BTC，剩余 0.3BTC，這 0.3BTC 輸出發(fā)送到可識別對象去，但實質(zhì)上 Alice 已經(jīng)將 0.7BTC 成功匿名發(fā)送出去。

為了確定匿名交易的發(fā)送者身份，要從“交換交易”環(huán)節(jié)開始，通過區(qū)塊鏈往前追溯，直至找到“Alice 匿名發(fā)送 0.7 個 BTC”。一旦找到的話，你會發(fā)現(xiàn)那是你的用戶最近匿名購買了東西，從而看透這個匿名交易。我們稱這種類型的攻擊為“中介轉(zhuǎn)換鏈接”。

圖 4：中介轉(zhuǎn)換鏈接

在第二個例子中，Alice 在 coinbase 處花費了 1.2BTC，然后將這數(shù)額匿名化再以 1BTC 輸出。接著，她又花費 1BTC，剩余 0.3BTC 再結(jié)合之前的 0.2BTC，組成為 0.5BTC 對外輸出。

結(jié)合匿名交易和 CoinJoin 交易，將前后的整個交易歷史整理一遍，從而可徹底看穿這個匿名功能。

3. 增強(qiáng)的隱私和 DOS 防護(hù)

多方的交易可以合并為一個交易，PrivateSend 很好地利用了這點，它將多方的資金合并在一起對外發(fā)送，這樣一旦整合后就無法再次拆分?？紤]到PrivateSend 交易是專門為用戶支付設(shè)置的，這個系統(tǒng)是高度安全防盜竊，用戶的貨幣是十分安全的。目前，使用 PrivateSend 的混幣技術(shù)至少需要 3 方參與。

三個用戶的資金合并到一個共同交易，用戶會以新的打亂過的形式對外輸出資金。

為了從整體上增強(qiáng)系統(tǒng)的隱私性，我們提以使用 0.1MOC，1MOC，10MOC 和 100MOC的相同面值。在每輪混幣過程中，所有用戶應(yīng)該以相同面值的形式輸入和輸出資金。除了使用相同面值外，交易手續(xù)費會被移除，而且所有交易會分解成分散的、獨立的、前后沒有關(guān)聯(lián)的小交易。

接下是應(yīng)對可能的 DOS 攻擊，我們提議所有用戶在加入時把交易以押金的形式提交到礦池去，交易最后還是輸出到用戶，同時又可向礦工支付一筆高的報酬。也就是說，用戶向混幣池提高請求時，交易一開始就要提供押金。如果某個時候用戶不合作了，例如拒絕簽名，押金交易會自動在全網(wǎng)廣播，若要在匿名網(wǎng)絡(luò)上進(jìn)行持續(xù)攻擊，所付出的代價是極其高昂的。

4. 被動的資金和區(qū)塊鏈匿名

PrivateSend 每輪的混幣限制為 1000MOC，并多輪混幣才能匿名混合相當(dāng)數(shù)量的資金。為了讓用戶體驗方便和攻擊變得困難，PrivateSend 以被動的模式運行。同時設(shè)定時間間隔，用戶的客戶端要通過主節(jié)點連接其它客戶端。一旦進(jìn)入主節(jié)點，用戶要求需要匿名的面值數(shù)額會在全網(wǎng)依次排隊廣播，但是沒有信息會將用戶的身份暴露出來。

每輪的 PrivateSend 過程可視為增強(qiáng)用戶資金匿名性的獨立事件，然而每輪只限制 3 個參與者，因此觀察者有三分之一的機(jī)會追蹤交易，為了提高匿名的質(zhì)量，會采用鏈接的方法，將資金通過多個主節(jié)點依次發(fā)送出去。

5. 安全性考慮

由于交易合并在一起，主節(jié)點在用戶資金流過時有可能進(jìn)行“窺探”。由于每個主節(jié)點都被要求持有 1000 MOC 和用戶選用隨機(jī)主節(jié)點來部署他們的資金，所以“窺探”的影響性不大。通過區(qū)塊鏈追蹤交易的概率計算如下所示。

n： 攻擊者控制總的節(jié)點數(shù) t： 全網(wǎng)主節(jié)點總數(shù) r： 區(qū)塊鏈深度 主節(jié)點的選

擇是隨機(jī)的

考慮到 MOC 的有限供應(yīng)（此時此刻撰寫白皮書時有 530 萬個 MOC 在流通）和市場上低的流動性，在一次攻擊中控制如此之多的主節(jié)點是不可能的。

通過遮掩主節(jié)點上發(fā)生的交易來擴(kuò)展系統(tǒng)，也會大大提高系統(tǒng)的安全性。

6. 使用中繼系統(tǒng)遮掩主節(jié)點

在4 一節(jié)，我們描述了使用 PrivateSend 多輪混幣技術(shù)追蹤單一交易的概率。這可以進(jìn)一步通過遮掩主節(jié)點加以強(qiáng)化，使他們不能看到用戶輸入/輸出方向。要做到這一點，我們提出一個簡單的可讓用戶保護(hù)自己的身份的中繼系統(tǒng)。

我們不讓用戶向礦池直接提交輸入和輸出的交易，而是讓他們從全網(wǎng)隨機(jī)選擇主節(jié)點然后要求它將輸入/輸出/的簽名中繼傳輸?shù)侥繕?biāo)主節(jié)點。這意味著，主節(jié)點將接收 N 次的輸入/輸出和 N 組簽名。每輪混幣只為其中一個用戶服務(wù)，但主節(jié)點無法知道究竟是哪個用戶。

使用 InstantSend 進(jìn)行即時交易

使用主節(jié)點的 Quorum，用戶能夠發(fā)送和接收即時不可逆轉(zhuǎn)交易。一旦 Quorum 形成，該交易的輸入被鎖定到對應(yīng)的特定交易去，而目前全網(wǎng)交易鎖定的時間是大約 4 秒。如果在主節(jié)點網(wǎng)絡(luò)達(dá)成鎖定的共識，所有與之沖突的交易和區(qū)塊將被永遠(yuǎn)拒絕，除非它們能匹配當(dāng)時鎖定的交易對應(yīng) ID。

這將允許商家在現(xiàn)實商業(yè)中使用移動設(shè)備來替換傳統(tǒng) POS 機(jī)器，用戶可像使用傳統(tǒng)紙幣一樣快速進(jìn)行面對面的非商業(yè)交易。這過程是沒有中心權(quán)威的干預(yù)。此功能的廣泛綜述可以在 InstantSend 白皮書中找到。

其他改進(jìn)

1.Neoscrypt 算法

采用的挖礦算法是 Neoscrypt 算法。它是一款新的專為普通計算機(jī)硬件設(shè)計的內(nèi)存密集型加密算法。 Neoscrypt 算法的主要作用是防礦機(jī)， 它是一種主要基于 Salsa20 和 ChaCha20 算法，采用串聯(lián)或并聯(lián)運行模式。Neoscrypt 算法可以采用 CPUGPU 挖礦，不僅支持 AMD 顯卡，而且對 Nvidia 顯卡也很友好。當(dāng)ASIC 突破此算法后，MomoCash 將采用改進(jìn)升級 POW 算法。

跨鏈哈希運算的另一個好處是高端的 CPU 有著跟同級 GPU 接近的平均回報。GPU消耗的功率已有 30-50%的下降，比大多數(shù)加密數(shù)字貨幣使用的 Scrypt 算法的功率少得多。

在密碼學(xué)中，密鑰導(dǎo)出函數(shù)（KDF）使用偽隨機(jī)函數(shù)從秘密值（eg.主密鑰）導(dǎo)出一個或多個密鑰。KDF 可用于將密鑰擴(kuò)展到更長的密鑰或獲得所需格式的密鑰（eg.將作為 Diffie-Hellman 密鑰交換的結(jié)果的組元素轉(zhuǎn)換為用于 AES 的對稱密鑰）。密鑰加密哈希函數(shù)是用于密鑰推導(dǎo)的偽隨機(jī)函數(shù)的流行示例。密鑰導(dǎo)出函數(shù)通常與非秘密參數(shù)一起使用，以從公共秘密值導(dǎo)出一個或多個密鑰。這樣的使用可以防止獲得派生密鑰的攻擊者學(xué)習(xí)關(guān)于輸入秘密值或任何其他導(dǎo)出密鑰的有用信息；也可以使用 KDF 來確保派生密鑰具有其他期望的屬性，諸如在某些特定加密系統(tǒng)中避免“弱密鑰”。KDFs 最常見的用途是將密碼散列的方法來密碼驗證，我們將非秘密參數(shù)稱之為 salt。KDFs 也通常用作多方密鑰協(xié)商協(xié)議的組成部分，這些關(guān)鍵推導(dǎo)函數(shù)的示例包括 KDF1 和 ANSI X9.42 中的類似功能。特別的，基于 HMAC 的提取和擴(kuò)展密鑰導(dǎo)出功能（HKDF） 是一種簡單的基于 HMAC的 KDF，可用作各種協(xié)議和應(yīng)用暴力攻擊的難度隨著迭代次數(shù)的增加而增加。迭代計數(shù)的實際限制是用戶不愿容忍登錄計算機(jī)或看到解密消息的可察覺延遲。使用 salt 可以防止攻擊者預(yù)先計算派生密鑰的字典。類似的，當(dāng)下還有另一種方法叫做密鑰強(qiáng)化（key strengthening），使用隨機(jī)鹽擴(kuò)展鍵，但是不像密鑰延伸一樣可以安全地刪除 salt。這將強(qiáng)制攻擊者和合法用戶對 salt 值執(zhí)行強(qiáng)力搜索。

2. 挖礦供應(yīng)

MOC 采用另一種可降低挖礦引起的通脹的方法，就是每年的供應(yīng)進(jìn)行 7%的減產(chǎn)，這不同于其它數(shù)字貨幣的減半。另外，每個區(qū)塊的供應(yīng)量與全網(wǎng)的礦工數(shù)直接相關(guān)，更多礦工的參與意味著更少的挖礦獎勵。

MOC 的開取計劃會在本世紀(jì)持續(xù)，慢慢直至到下世紀(jì)中葉，最終在 2150 年左右挖礦才會停止。

結(jié)論

本文介紹各種旨在提高比特幣協(xié)議的概念，這對于普通用戶來說意味著，有更好的隱私性、可互換性、更少的價格波動和全網(wǎng)更快的信息廣播。這一切都是通過使用 two-tier 激勵模型，而不是借用其它數(shù)字貨幣如比特幣現(xiàn)有的single-TIer 模型來實現(xiàn)。使用這個可替代的網(wǎng)絡(luò)設(shè)計讓添加更多類型的服務(wù)成為可能，例如去中心化的混幣技術(shù)、即時交易和使用主節(jié)點 quorum 的去中心化預(yù)言。