-
@ Cryptape
2025-05-02 02:10:09加密洞见
secp256k1lab:一个不安全的 Python 库,如何让比特币更安全
一些比特币开发者长期以来一直认为应该有一个统一的、可重用的加密 BIP 参考 secp256k1 代码标准。Blockstream 研究团队发布了 secp256k1lab (GitHub Repo)—— 一个新的、故意不安全的 Python 库,用于原型开发、实验和 BIP 规范的制定。
该库并不用于生产的(因为没有常数时间防护,因此易受侧道攻击),但填补了一个空白:提供了一个干净且一致的 secp256k1 功能参考实现,包括 BIP-340 风格的 Schnorr 签名、ECDH 以及底层的域/群运算。该库的目标是:通过避免重复的、一次性的实现,让未来编写 BIP 变得更简单、更安全。对于 BIP 作者来说,这意味着更少的自定义代码和规范问题,以及一条更清晰的从原型到正式提案的路径。
使用基于时间的一次性密码(TOTP)在软件钱包中进行密码验证和访问控制
本文介绍了一种在比特币软件钱包中,使用基于区块的时间同步一次性密码(TOTP, Time-based One-Time Password)机制进行密码验证和钱包访问控制的方法。 与传统的 TOTP 系统不同,这种方法将区块链数据——特别是比特币的区块高度和区块哈希 ——同一个安全存储的加密信息结合,来生成一个动态变化的 6 位数验证码,具备以下安全属性:
-
双重保护:结合了设备持有性和基于区块链衍生的、基于时间的数据(blockchain-derived time-based data)。
-
抗重放攻击:验证码随每个新区块(约 10 分钟一个周期)更新。
-
最小攻击面:无需输入或复制密码短语。
-
硬件加密保护秘密信息:移动端应用的秘密信息存储在不可导出的安全硬件中。
比特币特征矩阵:跟踪比特币产品/服务的互操作性
Bitcoin Opentech 在此页汇集并跟踪比特币相关产品/服务的互操作性。
汇集各种比特币软分叉提案的网站
bitcoin.softforks.org 网站汇集了各种比特币软分叉提案,包含组件、实现原语等关键软分叉信息,以及使用该分叉的使用案例和用户等。
以太坊社区热议 RISC-V 替代 EVM,CKB-VM 经验倍受关注
Vitalik 近日在 Ethereum 的论坛上提出了将用 RISC‑V 代替 EVM 的设想,并提到 CKB-VM 的设计作为参考范例,引发了两个社区对 RISC-V 技术决策的关注和探讨。随着讨论的展开,CKB-VM 当年的设计考量又重新被提起,并吸引了更多人回顾和学习相关经验。CKB 是 Nervos Network 的 Layer 1 公链,其支持智能合约的 Cell 模型受比特币 UTXO 模型启发,并使用基于 RISC-V 的 CKB-VM 虚拟机,实现高效且支持多语言的合约执行。了解更多 CKB-VM 详情:
在 Ark 中集成 Taproot Assets 的概念验证
Ark Labs 分享了如何将 Taproot 资产集成到 Ark 的链下批处理层中:在 Ark 标准交易流程上,引入了 tVTXO(tokenized Virtual Transaction Output)——嵌入 Taproot 资产承诺的虚拟输出。tVTXO 的行为与任何其他 VTXO 一样,可在 Ark 的链下层花费,可预先签名以实现单边退出,但它包括两个关键附加功能:
-
资产承诺(Asset Commitments):使用 Taproot 的内部密钥和 TapTree 结构嵌入到 PkScript 中。
-
传输证明文件(Transfer Proof Files)是一条加密见证的确定性链,通过链下树跟踪资产的包含路径。这些证明可以通过链上元数据激活,从而退出 Taproot Asset 生态。
Erk:改进 Ark 协议,无需用户轮次交互
Erk 是 Ark 协议的一种新颖变体,引入了具有可重新绑定签名的「退款交易」(refund transactions),允许用户提前提供可应用于未来输出的签名。然后,服务器可以安全地刷新 VTXO,而无需用户在每一轮都处于联机状态。这解决了 Ark 的关键限制之一——要求用户在 VTXO 到期之前上线。
Erk 的另一个强大功能是「永久离线刷新」——用户可以按顺序批量预签名未来的刷新。通过 watchtower 监控协议,用户可以在资金保持安全的情况下无限期地保持离线状态。
Robosats:无 KYC 闪电网络 P2P 交易,支持人民币通过微信交易
RoboSats 是一个无 KYC 的开源闪电网络交易平台,使用LN Hodl invoices 最大限度地减少托管和信任要求。用户通过 Tor 浏览器操作,体验简单且交易费用低廉的 P2P 交易。
平台目前也支持通过微信进行人民币。
值得关注的几个闪电网络基础设施项目
OpenSats 的这篇文章重点关注闪电网络在基础设施上的推进,提到以下项目:
-
Lighting Splicing: 允许用户在不停机的情况下动态调整通道容量。通过消除关闭和重新打开通道的需要,Splicing 即减少了摩擦和成本,又简化了流动性管理。
-
Validating Lightning Signer (VLS): 通过将密钥存储和交易验证转移给外部签名者,来解决闪电网络传统的、将私钥直接存储在节点上用于交易签名的方式的风险,从而确保即使闪电节点遭到入侵,攻击者也无法访问或滥用私钥来窃取资金。
-
BLAST (Big Lightning Automated Simulation Tool): 目标是为闪电网络提供稳定的建模和仿真框架,为研究和开发人员和节点运营商提供更准确地反映真实网络状况的大规模测试环境。
-
Lampo: 提供了一个基于 Lightning 开发工具包(LDK)构建的模块化、社区驱动的开发工具和节点实现方案。
-
Lnprototest: 提供了一个基于 Python 的测试库,可帮助开发人员验证不同实现中的协议合规性,确保交叉兼容性并防止回归,以免影响实际用户。
Citrea 推出基于 BitVM 的信任最小化双向挂钩桥 Clementine
Rollup 项目 Citrea 在比特币测试网上部署了 Clementine Bridge,这是比特币测试网上第一个完整的 BitVM 桥设计。Clementine 桥是 Citrea 基于 BitVM 的信任最小化双向挂钩方案,核心组件包括:
-
比特币和 Citrea 的轻客户端证明
-
BitVM 中的零知识证明验证器
只要 BitVM 设置中的单个验证器是诚实的,Clementine 就会保持安全。这是对现有解决方案(开放和封闭联合)的重大改进。Clementine 桥的设计和 Citrea 的去信任轻客户端一起,最大限度减少了对 Citrea 双向挂钩的信任要求,且无需软分叉。
详情可参考 Clementine 白皮书,以及特征简介。
RISC-V 成为 BitVMX 验证系统最佳选择的五个关键原因
作为 BitVMX 的主要开发者的 Fairgate Labs 概述了 RISC-V 成为 BitVMX 验证系统最佳选择的五大关键:
-
开放且通用:RISC-V 作为标准,无 IP 障碍
-
成熟的工具支持:编译器和调试器的丰富生态系统
-
操作码简单
-
支持高级语言
-
支持通用验证
精彩无限,不止于链
违规却挡不住需求:深圳的 LuckyMiner 在争议中推动家用小型矿机普及
LuckyMiner 是一家深圳的比特币挖矿初创公司,它们生产家用迷你矿机正越来越受欢迎。LuckyMiner 模仿的主要对象是美国产的开源的小型矿机 Bitaxe。虽然开源,但 Bitaxe 适用于 CERN-OHL-S-2.0 规则,要求任何修改都需公开,而 LuckyMiner 并未遵循此规则。
这条推文的发帖人称跟 LuckyMiner 的创始人吃了饭,后者并不遮掩 LuckyMiner 违反了许可,并表示,除了零售的 LuckyMiner 之外,它们也为 B 端客户生产符合开源许可的 Bitaxes,并且同时仿造 braiins 的挖矿设备。
在对负担得起的家用采矿设备的需求不断增长的推动下,LuckyMiner 已经取得了成功。虽然存在争议,但低成本矿工的崛起表明草根阶层对比特币感兴趣,尤其是在亚洲努力应对日益增长的威权主义和金融压迫的时候。
反对销毁受易量子攻击的比特币
关于如何处理易受攻击的地址里的比特币,Jameson Lopp 在此前的文章中,表示它反对恢复这些代币,并主张原地销毁,以防止资金被量子计算的获胜者拿走。
而 UTXO Management 的 Guillaume Girard 在此反驳了 Lopp 的主张,出于以下考虑:
-
侵犯财产权:未经持有者同意就销毁这些币,违反了财产权原则。强制让这些币不可使用,破坏了比特币中对所有权和控制权的基本尊重
-
伦理问题:尽管销毁易受攻击的币是为了防止未来量子攻击者盗币,但实际上也会无差别地惩罚那些遗失钱包或不了解量子威胁的用户。这种做法在伦理上存在严重问题,因为不给用户自救的机会。
他提出了一些更具建设性的替代方案来取代销毁策略:
- Hourglass(沙漏机制):旨在减轻“没收式销毁”和“市场抛售”这两种方式带来的负面影响。它通过限制量子攻击事件可能引发的供应冲击,既不烧毁币,也不导致市场被抛压所淹没。
这一方案由 Hunter Beast 提出,试图成为“破坏性最小”的解决方案,目前正在开发者社区中接受评估。此外,Hunter Beast 也已经提出了 BIP 360,以引入抗量子密码学(PQC)并新增一种比特币地址类型。
让旧矿机继续发挥余热:边挖矿边供暖的未来可能
BitMEX 对 Heatbit Trio 比特币挖矿加热器做了测评。该产品本质上是一个旧矿机,配备有一个安静的风扇,适用于房间供暖。
作者表示 Heatbit 的商业模式很吸引人,结合挖矿机和加热器的领域也值得长期关注。因为从长远来看,部分由于摩尔定律的物理限制,ASIC 效率的提高速度将下降,因此 ASIC 可以经济地开采比特币更长的时间(如 10 年)。随着涉及的新风险技术的减少,生产成本也应该会下降。当这种情况发生到足够程度时,将比特币挖矿与加热设备相结合可能是有意义的,例如,游泳池、商用锅炉、住宅锅炉以及商用和住宅电加热系统。
开放、即时和无国界支付:稳定币未来
a16z 的该报告探讨了稳定币会如何颠覆全球支付行业,以及谁将从中受益最大等问题。
作者将稳定币的到来称为赚钱的「WhatsApp 时刻」,因为它使国际交易几乎免费、即时、开放。此外,文章指出只有两种稳定币是被认可的:法币或资产支持的稳定币,而 「策略支持的合成美元 」(Strategy-backed synthetic dollars, SBSD)并不被承认是可靠的价值储存或交换媒介。
-