摘要：一种完全的点对点电子货币应当允许在线支付从一方直接发送到另一方而不需要通过一个金融机构。数字签名提供了部分解决方案，但如果仍需一个可信任的第三方来防止双重支付，那就失去了电子货币的主要优点。我们提出一种使用点对点网络解决双重支付问题的方案。该网络通过将交易哈希进一条持续增长的基于哈希的工作量证明链来给交易打上时间戳，形成一条除非重做工作量证明否则不能更改的记录。最长链不仅是被见证事件序列的证据，而且也是它本身是由最大CPU算力池产生的证据。只要多数的CPU算力被不打算联合攻击网络的节点控制，这些节点就将生成最长的链而超过攻击者。这种网络本身只需要极简的架构。信息将被尽力广播，节点可以随时离开和重新加入网络，只需要接受最长的工作量证明链作为它们离开时发生事件的证据。

1 简介

互联网贸易已经变得几乎完全依赖金融机构作为可信任的第三方来处理电子支付。尽管对于大部分交易这种系统运行得足够好，但仍需忍受基于信任模型这个固有缺点。由于金融机构不可避免地需要仲裁纠纷，完全的不可撤销交易实际是做不到的。仲裁成本增加了交易成本，限制了最小实际交易额度从而杜绝了日常小额交易的可能性，而且由于不支持不可撤销支付，对于不可撤销服务进行支付将需要更大的成本。由于存在交易被撤销的可能性，对于新人的需要求将更广泛。商家必须警惕他们的客户，麻烦他们提供更多他本不必要的信息。一定比例的欺诈被认为是不可避免地。虽然通过当面使用实物货币来避免这些成本及支付的不确定性，但不存在不引入一个可信任方而能在通信通道上进行支付的机制。

我们需要的是一个基于密码学原理而不是信任的电子支付系统，该系统允许任何有交易意愿的双方能直接交易而不需要一个可信任的第三方。交易在计算机上的不可撤销将保护卖家不被欺诈，用来保护买家的程序化合约机制也应该较容易实现。在这篇论文中，我们提出一种使用点对点分布式时间戳服务器为基于时间的交易序列生成计算上的数据来解决双重支付问题的方案。只要诚实节点集体控制的CPU算力大于每一个合作攻击节点群的CPU算力，这个系统就是安全的。

2 交易

我们定义一枚数字货币就是一条数字签名链。每个拥有者都通过将上一次交易和下一个拥有者的公钥的哈希值的数字签名添加到此货币末尾的方式将这枚货币转移给下一个拥有者。收款人可以通过验证数字签名来证实其为该链的所有者。

这里的问题是收款人不能证实拥有者之一没有对此货币进行双重支付。通常做法是引入一个可信任的中央机构或铸币厂来检查每笔交易是否存在双重支付。每笔交易之后，都需要将这枚货币退回铸币厂以换取一枚新的货币，只有铸币厂直接发行的货币才能被确认有没有被双重支付 。这个方案的问题在于整个货币系统的命运都依赖于运营铸币厂的公司，每笔交易都需要经过他们，就像银行一样。

我们需要一种能让收款人知道上一个货币拥有者没有对任何更早的交易签名方法。对我们来说，最早的那一次是唯一有效的，所以我们不需要关心本次交易后面的双重支付尝试。唯一能确保一笔交易不存在的方法是知晓所有之前的交易。在铸币厂模型中，铸币厂知晓所有交易并能确定哪笔交易最先到达。在不引入一个可信任第三方的前提下要达到这个目的，所有交易就必须公开发布，而且需要一个能让所有参与者对交易收到顺序的单一历史达成共识系统。收款人在每笔交易时，都需要多数节点认同此交易最先收到的证据。

3 时间戳服务器

我们提出的方案从时间戳服务器开始。时间戳服务器计算包含多个需要被打时间戳的数据项的区块的哈希值并广泛地发布这个哈希值，。时间戳能证明要得到这个哈希值，显然这些数据当时一定是存在的。每个时间戳的哈希值都纳入了上一个时间戳，形成一条链，后面的时间戳进一步增强前一个时间戳。

4 工作量证明

5 网络

运行网络的步骤如下：

（1）新交易向所有节点广播

（2）每个节点交易将收集到一个区块

（3）每个节点为它的区块寻找工作量证明

（4）当一个节点找到了工作量证明，就向所有节点广播这个区块

（5）节点只有在区块内所有交易都是有效的且之前没有被支付的情况下接受这个区块

（6）节点通过使用这个区块哈希值作为上一个哈希值在区块中创建下一个区块的方式表示对这个区块的接受

6 激励

7 回收磁盘空间

8 简化的支付验证

同样的，只要诚实节点控制着网络这种简化验证就是可靠的，如果网络攻击者控制简化验证会变得比较脆弱。虽然网络节点可以验证他们自己的交易，但只要攻击者持续控制网络那么这种简化的方法就可能被攻击者的伪造交易欺骗。一种对策是接受其他网络节点发现哟个无效区块时发出的警告，提醒用户软件下载整个区块和被警告的交易来检查一致性。为了更加独立的安全性以及更快的支付确认，收款频繁的公司可能仍需运行他们自己的节点。

9 合并和分割交易额

10 隐私

11 计算

12 总结