本文摘自Grin官方github源碼：https://github.com/mimblewimble/grin/blob/master/doc/intro.zh-cn.md

MimbleWimble是一個(gè)區(qū)塊鏈格式和協(xié)議，依托于健壯的加密原語(yǔ)蟆盹，提供非常好的可擴(kuò)展性锨络、隱私和可替代性。它解決了當(dāng)前幾乎所有實(shí)現(xiàn)的區(qū)塊鏈（與現(xiàn)實(shí)需求之間）差距拒课。MimbleWimble 的白皮書在本項(xiàng)目的WiKi中可以找到徐勃，WiKi是開(kāi)放的。

Grin是一個(gè)實(shí)現(xiàn)MimbleWimble區(qū)塊鏈的開(kāi)源軟件項(xiàng)目早像，并填補(bǔ)了（MimbleWimble協(xié)議所缺失的）實(shí)現(xiàn)一個(gè)完整的區(qū)塊鏈和加密貨幣必需的一些東西僻肖。

Grin 項(xiàng)目的主要目的和特性如下:

• 隱私保護(hù)的缺省特性。 這使它具備了完全可替代性卢鹦，且保留了按需選擇性披露信息的能力臀脏。
• 區(qū)塊大小與交易量相適配，歷史交易僅保留約100字節(jié)的交易核（transaction kernel）, 相比其它區(qū)塊鏈節(jié)省了大量空間。
• 強(qiáng)大且經(jīng)過(guò)驗(yàn)證的密碼學(xué)揉稚。 MimbleWimble只采用橢圓曲線密碼秒啦，該密碼技術(shù)已經(jīng)過(guò)了數(shù)十年的試用和測(cè)試。
• 簡(jiǎn)單的設(shè)計(jì)使得日后的代碼審查和維護(hù)變得容易搀玖。
• 社區(qū)驅(qū)動(dòng)余境。采用一種抗拒ASIC的挖礦算法(Cuckoo Cycle算法)，借此來(lái)鼓勵(lì)去中心化的挖礦灌诅。

Tongue Tying for Everyone

備注：MimbleWimble 出自《哈利波特》中的一句咒語(yǔ)葛超，詳見(jiàn)：Tongue-Tying Curse，這個(gè)標(biāo)題的涵義應(yīng)該是希望所有讀到這篇介紹的人都可以來(lái)為這個(gè)開(kāi)放社區(qū)做點(diǎn)貢獻(xiàn)延塑，真心希望如此绣张。

本文針對(duì)的讀者是已經(jīng)了解過(guò)區(qū)塊鏈并了解一些基本的密碼學(xué)知識(shí)的人群。我們嘗試解釋MimbleWimble的技術(shù)構(gòu)建关带，以及它如何應(yīng)用于Grin侥涵。我們希望這篇介紹能夠淺顯易懂，我們的目的是鼓勵(lì)您對(duì)Grin產(chǎn)生興趣宋雏，并加入Grin的開(kāi)放社區(qū)芜飘，以任何您可能的方式對(duì)其做出貢獻(xiàn)。

為了實(shí)現(xiàn)這個(gè)目標(biāo)磨总，我們將介紹一個(gè)主要概念：Grin是一個(gè)MimbleWimble實(shí)現(xiàn)嗦明。我們將從橢圓曲線密碼（ECC）的簡(jiǎn)短描述開(kāi)始，這是Grin的重要基礎(chǔ)蚪燕。然后描述MimbleWimble區(qū)塊鏈交易和區(qū)塊的所有關(guān)鍵要素娶牌。

橢圓曲線簡(jiǎn)介

我們首先簡(jiǎn)要介紹一下橢圓曲線密碼學(xué)（后面簡(jiǎn)稱為：ECC），只是簡(jiǎn)單說(shuō)明一下理解MimbleWimble如何工作所必需了解的ECC屬性馆纳，這里并不深入研究和討論ECC诗良。對(duì)于想要更多一點(diǎn)了解ECC的讀者，可以參考這個(gè)介紹： 了解更多.

用于密碼學(xué)目的的橢圓曲線只是一大組我們稱之為 C 的點(diǎn)鲁驶。這些點(diǎn)可以被加鉴裹、減或乘以整數(shù)（也稱為標(biāo)量）。 給定一個(gè)整數(shù) k并使用標(biāo)量乘法運(yùn)算钥弯，我們可以計(jì)算k * H径荔，這也是曲線 C 上的一個(gè)點(diǎn)。 給定另一個(gè)整數(shù) j脆霎，我們也可以計(jì)算（k + j）* H总处，它等于k * H + j * H。 橢圓曲線上的加法和標(biāo)量乘法運(yùn)算保持加法和乘法的交換率和結(jié)合律：

(k+j)*H = k*H + j*H

在ECC中绪穆，如果我們選擇一個(gè)非常大的數(shù)字 k 作為私鑰辨泳，則k * H被作為相應(yīng)的公鑰虱岂。 即使人們知道公鑰k * H的值玖院，推導(dǎo) k幾乎不可能（或者換句話說(shuō)菠红，橢圓曲線點(diǎn)的乘法計(jì)算是微不足道的，然而曲線點(diǎn)的“除法”計(jì)算卻極其困難难菌。參見(jiàn)：橢圓曲線密碼學(xué)试溯。

先前的公式（k + j）* H = k * H + j * H中， k 和 j 都是私鑰郊酒，演示了從兩個(gè)私鑰的加和獲取公鑰（k + j）* H遇绞，等價(jià)于每個(gè)私鑰的對(duì)應(yīng)公鑰加和（k * H + j * H）。在比特幣區(qū)塊鏈中燎窘，分層確定性錢包(HD Wallets/BIP32)嚴(yán)重依賴于這個(gè)原則摹闽。 MimbleWimble和Grin也是如此。

MimbleWimble 交易

交易結(jié)構(gòu)的設(shè)計(jì)顯示了MimbleWimble的一個(gè)關(guān)鍵原則：強(qiáng)大的隱私性和保密性褐健。

MimbleWimble的交易確認(rèn)依賴于兩個(gè)基本屬性:

• 0和驗(yàn)證付鹿。 輸出總和減去輸入總是等于零，證明交易沒(méi)有憑空創(chuàng)造新的資金蚜迅，而且不會(huì)顯示實(shí)際金額舵匾。
• 擁有私鑰即擁有交易輸出的所有權(quán)。 像大多數(shù)其他加密貨幣一樣谁不，交易輸出通過(guò)擁有ECC私鑰來(lái)保證其所有權(quán)坐梯。 然而，在MimbleWimble中刹帕，證明一個(gè)所有者擁有這些私鑰并不是通過(guò)直接簽署交易來(lái)實(shí)現(xiàn)的吵血。

下面介紹賬戶余額、所有權(quán)偷溺、變更和證明践瓷，并借此說(shuō)明上面的這兩個(gè)基本屬性是如何得以實(shí)現(xiàn)的。

等式平衡

基于上面描述的ECC的屬性亡蓉，可以在交易數(shù)據(jù)中掩蓋實(shí)際交易值晕翠。

如果 v 是交易輸入或輸出的值，而 H 是橢圓曲線砍濒，我們可以簡(jiǎn)單地在交易中嵌入v * H而不是 v淋肾。 這是因?yàn)槭褂肊CC操作，我們?nèi)匀豢梢则?yàn)證交易的輸出總和等于輸入總和：

v1 + v2 = v3  =>  v1*H + v2*H = v3*H

驗(yàn)證每筆交易的這個(gè)屬性允許協(xié)議驗(yàn)證交易不會(huì)憑空創(chuàng)造出金錢爸邢，而無(wú)需了解實(shí)際的交易值是多少樊卓。但是，可用數(shù)值是有限的杠河，攻擊者可以嘗試每一個(gè)可能的數(shù)值來(lái)猜測(cè)你的交易值碌尔。 另外浇辜，知道v1（來(lái)自 上面的交易示例）和v1 * H，就等于在整個(gè)區(qū)塊鏈中揭露了等于v1的交易唾戚。 出于這些原因柳洋，我們引入了第二個(gè)橢圓曲線 G（實(shí)際上 G 只是與 H 相同的曲線組上的另一個(gè)發(fā)生器點(diǎn)）和私鑰 r 用作致盲因子。

交易中的輸入或輸出值可以表示為：

r*G + v*H

其中：

• r 是一個(gè)私鑰叹坦，用作致盲因子熊镣， G 是一個(gè)橢圓曲線點(diǎn)，他們的乘積 r*G 是 r 在 G 上的公鑰募书。
• v 是輸入或輸出值绪囱，H 是另一個(gè)橢圓曲線點(diǎn)。

無(wú)論是 v 還是 r 都不能被推導(dǎo)出來(lái)莹捡，從而利用了橢圓曲線密碼學(xué)的基本屬性鬼吵。 r * G + v * H被稱為 Pedersen Commitment 。

作為一個(gè)例子篮赢，我們假設(shè)我們想用兩個(gè)輸入和一個(gè)輸出創(chuàng)建一筆交易齿椅。 我們有（忽略費(fèi)用）：

• vi1 和 vi2 作為輸入值
• vo3 作為輸出值

滿足：

vi1 + vi2 = vo3

為每個(gè)輸入值生成一個(gè)私鑰作為致盲因子，將上面的等式替換每個(gè)值為他們各自的 Pedersen Commitments荷逞，我們獲得：

(ri1*G + vi1*H) + (ri2*G + vi2*H) = (ro3*G + vo3*H)

并且要求:

ri1 + ri2 = ro3

這是MimbleWimble的第一個(gè)支柱：驗(yàn)證交易的算術(shù)運(yùn)算可以在完全不知道任何實(shí)際交易值的情況下完成媒咳。

補(bǔ)充最后一點(diǎn)說(shuō)明，這個(gè)想法實(shí)際上派生自Greg Maxwell的機(jī)密交易种远，機(jī)密交易本身是從Adam Back提出的用于比特幣的同態(tài)值提議中發(fā)展而來(lái)涩澡。

所有權(quán)

在前面的章節(jié)中，我們介紹了一個(gè)私鑰作為致盲因子來(lái)掩蓋實(shí)際交易值坠敷。MimbleWimble的第二個(gè)見(jiàn)解就是這個(gè)私鑰可以用來(lái)證明值的所有權(quán)妙同。

Alice 給你發(fā)了3個(gè)幣并且隱藏了這個(gè)數(shù)字，你選擇了28作為你的致盲因子（請(qǐng)注意膝迎，在實(shí)踐中粥帚，致盲因子是一個(gè)私鑰，是一個(gè)非常大的數(shù)字）限次。 區(qū)塊鏈上的某處顯示以下交易輸出芒涡，并只能由你來(lái)用（做交易輸入）：

X = 28*G + 3*H

X, 上述加法的輸出值，是對(duì)所有人可見(jiàn)的卖漫。 但是值3只有你和 Alice 知道费尽，而28就只有你自己知道了。

為了再次轉(zhuǎn)移這3個(gè)幣羊始，協(xié)議要求（交易者）以某種方式知道28旱幼。 為了演示這是如何工作的，假設(shè)你想將這3個(gè)相同的幣轉(zhuǎn)移給Carol突委。 您需要構(gòu)建一個(gè)簡(jiǎn)單的交易柏卤，以便：

Xi => Y

其中 Xi 是一個(gè)輸入冬三，它花掉你之前得到的輸出值 X ，而 Y 是 Carol 的輸出缘缚。如果不知道你的私鑰28勾笆，就沒(méi)有辦法建立這筆交易。的確忙灼，如果Carol要平衡這個(gè)交易匠襟，她既需要知道發(fā)送的值钝侠，也需要知道你的私鑰该园， 以便：

Y - Xi = (28*G + 3*H) - (28*G + 3*H) = 0*G + 0*H

通過(guò)檢查一切已被清零，我們可以再次確認(rèn)沒(méi)有創(chuàng)造新的金錢帅韧。

等等里初！ 停一下！ 現(xiàn)在你知道了 Carol的輸出中的私鑰（在上面的情況下忽舟，它必須與你的相同双妨，為了讓等式兩邊平衡），所以你可以把錢從Carol那里偷回來(lái)叮阅！

為了解決這個(gè)問(wèn)題刁品，我們?cè)试SCarol增加她選擇的另一個(gè)值。 113浩姥，最后在區(qū)塊鏈上的結(jié)果變成了：

Y - Xi = (113*G + 3*H) - (28*G + 3*H) = 85*G + 0*H

現(xiàn)在交易不會(huì)再歸零了挑随，我們?cè)?em>G上有一個(gè) excess value（85），這是所有致盲因子總和的結(jié)果勒叠。 但是因?yàn)?code>85 * G是橢圓曲線 G 上的有效公鑰兜挨，85， 對(duì)于任何x和y眯分，只有y = 0是 G 上的x * G + y * H有效公鑰拌汇。

因此，協(xié)議需要驗(yàn)證的其實(shí)就是：（Y - Xi）是G上的一個(gè)有效公鑰弊决，以及交易者知道私鑰（我們與Carol的交易中的85）噪舀。最簡(jiǎn)單的方法就是要求使用excess value（85）進(jìn)行簽名，然后驗(yàn)證：

• 交易者知道這個(gè)交易輸出的私鑰
• 交易輸出的和飘诗，減去輸入与倡，加起來(lái)等于0

這個(gè)關(guān)聯(lián)到每筆交易的簽名，附加一些額外數(shù)據(jù)（比如交易費(fèi)）疚察，被稱為交易核（transaction kernel）蒸走。

一些更深入的細(xì)節(jié)

本節(jié)闡述創(chuàng)建交易，通過(guò)討論交易的找零機(jī)制和范圍證明的要求以便所有值都被證明為非負(fù)貌嫡。 這些都不是了解MimbleWimble和Grin的必需內(nèi)容比驻，所以如果你想快速了解该溯，隨時(shí)可以直接跳過(guò)本節(jié)內(nèi)容，直接到Putting It All Together.

找零

在上面的例子中别惦，你必須分享你的私人密鑰（致盲因子）給Carol狈茉。 一般來(lái)說(shuō)，即使私鑰永遠(yuǎn)不會(huì)被重用掸掸，這也不是一個(gè)十分可取的方法氯庆。 實(shí)際上，這不是問(wèn)題扰付，因?yàn)榻灰装ㄕ伊爿敵觥?/p>

比方說(shuō)堤撵，你只想從你收到的來(lái)自Alice的3個(gè)幣里送出2個(gè)幣給Carol。你簡(jiǎn)單地生成另一個(gè)私鑰（比如12）作為一個(gè)致盲因子來(lái)保護(hù)你的找零輸出羽莺，并告訴Carol 你正在發(fā)送2個(gè)幣給她实昨。Carol像以前一樣使用自己的私鑰：

Your change output:  12*G + 1*H
Carol's output:      113*G + 2*H

最終，鏈中發(fā)生的交易基本上就是上述這種過(guò)程盐固。簽名使用excess value荒给，例如這個(gè)例子當(dāng)中就是97。

(12*G + 1*H) + (113*G + 2*H) - (28*G + 3*H) = 97*G + 0*H

范圍證明（Range Proofs）

在所有上述計(jì)算中刁卜，我們都依賴交易值始終為正值志电。如果可能的話，引入負(fù)值將是非常有問(wèn)題的蛔趴，由于可以在每筆交易中憑空捏造新的金錢挑辆。

例如，可以創(chuàng)建一個(gè)輸入為2并且輸出為5和-3的交易夺脾，并且依照前面章節(jié)中的定義仍然可以獲得平衡的事務(wù)之拨。 這是不容易被檢測(cè)到的，因?yàn)榧词箈是負(fù)數(shù)咧叭，ECDSA曲線上的對(duì)應(yīng)點(diǎn)x.H看起來(lái)也是任何值蚀乔。

為了解決這個(gè)問(wèn)題，MimbleWimble利用了另一個(gè)加密概念（也來(lái)自機(jī)密交易）菲茬，稱為范圍證明：一個(gè)數(shù)字落在給定范圍內(nèi)的證明吉挣，而不會(huì)泄露數(shù)字。 我們不會(huì)詳細(xì)說(shuō)明范圍證明婉弹，您只需要知道睬魂，對(duì)于任何r.G + v.H，我們都可以創(chuàng)建一個(gè)證明镀赌，證明 v 大于零且不會(huì)溢出氯哮。

同樣重要的是要注意商佛，為了從上面的示例中創(chuàng)建有效的范圍證明幔戏，必須知道在創(chuàng)建和簽署excess value時(shí)使用的值113和28垒玲。 其原因以及范圍證明的更詳細(xì)描述在range proof paper中進(jìn)一步詳述叮雳。

小結(jié)

MimbleWimble交易包括以下內(nèi)容：

• 一組輸入寞焙，參考和花費(fèi)一組以前的輸出呛牲。
• 一組新的輸出包括：
  • 一個(gè)值和一個(gè)致盲因子（它只是一個(gè)新的私鑰）在曲線上相乘并相加為r.G + v.H.
  • 范圍證明顯示v是非負(fù)的琐旁。
• 明確的交易費(fèi)用擅羞。
• 一個(gè)簽名，通過(guò)采取excess value（所有輸出加費(fèi)用之和減去輸入）并將其用作私鑰來(lái)計(jì)算碱工。

區(qū)塊狀態(tài)和鏈狀態(tài)

我們已經(jīng)在上面解釋了MimbleWimble交易如何在保持有效區(qū)塊鏈所需的屬性的同時(shí)提供強(qiáng)大的匿名性保證娃承，即交易不會(huì)憑空捏造出貨幣，并且通過(guò)私鑰建立所有權(quán)證明怕篷。

MimbleWimble區(qū)塊格式通過(guò)引入一個(gè)附加概念來(lái)構(gòu)建：核銷（cut-through）历筝。 有了這個(gè)補(bǔ)充，一個(gè)MimbleWimble鏈可獲得：

• 極大的可擴(kuò)展性廊谓，因?yàn)榻^大部分交易數(shù)據(jù)主體可以隨時(shí)間消除梳猪，而不會(huì)影響安全性。
• 通過(guò)混合和刪除交易數(shù)據(jù)進(jìn)一步匿名蒸痹。
• 新節(jié)點(diǎn)能夠非常高效地與網(wǎng)絡(luò)其余部分同步春弥。

交易聚合（Transaction Aggregation）

回顧一下一筆交易的組成：

• 一系列交易輸入，用來(lái)引用并花掉一系列以前的交易輸出
• 一些列新的交易輸出（Pedersen commitments）
• 一個(gè)交易核叠荠，包含：
  • kernel excess啤月，用來(lái)確保等式平衡
  • 交易簽名（采用kernel excess作為簽名公鑰）

例如：

(42*G + 1*H) + (99*G + 2*H) - (113*G + 3*H) = 28*G + 0*H

這個(gè)例子中使用的簽名公鑰是 28*G俯逾。

任何一筆交易必須滿足以下條件： （為了描述簡(jiǎn)便，這里忽略掉交易費(fèi)部分）

sum(outputs) - sum(inputs) = kernel_excess

這個(gè)條件同樣適用于區(qū)塊，因?yàn)閰^(qū)塊只是一系列聚合的交易輸入辙售、交易輸出和交易核爽锥。我們可以把所有的交易輸出加起來(lái)肃晚，減去所有的交易輸入秽荤，將結(jié)果與所有交易核中的kernel excess之和做比較：

sum(outputs) - sum(inputs) = sum(kernel_excess)

簡(jiǎn)單來(lái)說(shuō)，（依然忽略交易費(fèi)部分）我們可以認(rèn)為黄鳍，對(duì)MimbleWimble區(qū)塊的處理方法和對(duì)MimbleWimble交易的處理方法是嚴(yán)格一致的推姻。

交易核偏移因子（Kernel Offsets）

上面描述的MimbleWimble區(qū)塊和交易設(shè)計(jì)有一個(gè)小問(wèn)題，有可能從一個(gè)區(qū)塊中的數(shù)據(jù)來(lái)重建交易（即找出一筆或幾筆完整的交易际起，分辨哪一筆交易輸入對(duì)應(yīng)哪一筆交易輸出）拾碌。這個(gè)對(duì)于隱私而言當(dāng)然是不好的事情。這個(gè)問(wèn)題也被稱為子集問(wèn)題（"subset" problem） - 給定一系列交易輸入街望、交易輸出和交易核校翔，有可能能夠從中分辨出一個(gè)子集來(lái)重新拼出對(duì)應(yīng)的完整的交易（很像拼圖游戲）。

例如灾前，假如有下面的兩筆交易：

(in1, in2) -> (out1), (kern1)
(in3) -> (out2), (kern2)

我們能夠聚合它們并構(gòu)建下面的區(qū)塊（或一筆聚合交易（aggregate transaction））：

(in1, in2, in3) -> (out1, out2), (kern1, kern2)

很容易利用等式平衡關(guān)系用窮舉法試驗(yàn)所有可能的組合防症，從而找出原始的交易關(guān)系：

(in1, in2) -> (out1), (kern1)

只要找出了一筆交易，那么剩下的當(dāng)然也是符合等式平衡關(guān)系的，于是很容易就拼湊出另一筆交易：

(in3) -> (out2), (kern2)

為了大幅降低這個(gè)拼湊的可能性蔫敲，從而緩解這個(gè)問(wèn)題的不利影響饲嗽，我們?cè)O(shè)計(jì)一個(gè)交易核偏移因子（kernel offset）給每一個(gè)交易核。 這也是一個(gè)致盲因子（或者說(shuō)一個(gè)私鑰）奈嘿，它需要加到kernel excess當(dāng)中用于驗(yàn)證等式平衡關(guān)系：

sum(outputs) - sum(inputs) = kernel_excess + kernel_offset

當(dāng)我們聚合這些交易到區(qū)塊的時(shí)候貌虾，我們?cè)趨^(qū)塊頭中存儲(chǔ)一個(gè)（且僅一個(gè)）聚合偏移因子（aggregate offset）（即所有交易核偏移因子的總和）。這樣一來(lái)裙犹，因?yàn)槲覀円粋€(gè)區(qū)塊只有一個(gè)偏移因子尽狠，再也不可能將其分拆對(duì)應(yīng)到每一筆交易的交易核偏移因子了，從而也就不可能再?gòu)膮^(qū)塊中拼湊出任何一筆交易了叶圃。

sum(outputs) - sum(inputs) = sum(kernel_excess) + kernel_offset

具體的實(shí)現(xiàn)方法就是袄膏，在創(chuàng)建交易時(shí)將 k 分割成 k1+k2。 對(duì)于交易核 (k1+k2)*G掺冠，我們?cè)诮灰缀酥邪l(fā)布出去的是 k1*G（稱之為：the excess）沉馆，以及 k2（稱為：the offset），并跟以前一樣使用 k1*G 作為公鑰來(lái)對(duì)交易進(jìn)行簽名德崭。 在礦工構(gòu)建區(qū)塊的時(shí)候斥黑，我們對(duì)打包的所有交易的k2（the offset）求和，以生成一個(gè)單個(gè)的聚合值（aggregate k2 offset）用于該區(qū)塊所打包的所有交易接癌。一旦區(qū)塊打包完成并發(fā)布和被鏈所接受心赶，其原始的對(duì)應(yīng)每筆交易的k2 （the offset）即成為不可恢復(fù)的。

核銷（Cut-through）

區(qū)塊讓礦工將多個(gè)交易組合成一個(gè)單個(gè)集合添加到鏈中缺猛。 在下面的區(qū)塊表示中，包含3個(gè)交易椭符，我們只顯示交易的輸入和輸出荔燎。 輸入關(guān)聯(lián)其花費(fèi)的輸出。 前一個(gè)區(qū)塊中包含的輸出標(biāo)記為小寫字母x销钝。

I1(x1) --- O1
        |- O2

I2(x2) --- O3
I3(O2) -|

I4(O3) --- O4
        |- O5

我們注意到以下兩個(gè)屬性：

• 在這個(gè)區(qū)塊內(nèi)有咨，一些輸出直接被包含的輸入消耗（I3花費(fèi)O2并且I4花費(fèi)O3）。
• 每筆交易的結(jié)構(gòu)并不重要蒸健。 由于所有的單個(gè)交易均歸于零座享，因此所有交易輸入和輸出的總和也必須為零。

與單個(gè)交易類似似忧，所有需要在一個(gè)區(qū)塊中進(jìn)行檢查的是所有權(quán)已經(jīng)被證實(shí)（來(lái)自交易內(nèi)核 transaction kernels）渣叛，并且整個(gè)區(qū)塊沒(méi)有增加任何貨幣供應(yīng)（除了coinbase所允許的之外）。 因此盯捌，匹配輸入和輸出可以被消除淳衙，因?yàn)樗鼈儗?duì)總和的貢獻(xiàn)被抵消了。 這導(dǎo)致了以下更緊湊的塊：

I1(x1) | O1
I2(x2) | O4
       | O5

請(qǐng)注意，所有的交易結(jié)構(gòu)已被消除箫攀，輸入和輸出的順序已不再成問(wèn)題肠牲。 但是，該塊中所有輸出的總和減去輸入靴跛，仍然保證為零缀雳。

一個(gè)塊的建立來(lái)自：

• 塊頭。
• 核銷（cut-through） 后剩余的輸入列表梢睛。
• 核銷（cut-through） 后剩余的輸出列表俏险。
• 每個(gè)交易的交易核(transaction kernels)包含：
  • 從所有commitments總和中獲得的公鑰r * G。
  • 使用excess value生成的簽名扬绪。
  • 挖礦費(fèi)用 (fee)竖独。

當(dāng)區(qū)塊以這種方式構(gòu)建時(shí)，MimbleWimble區(qū)塊提供了非常好的隱私保證：

• 更多的交易可能已經(jīng)完成挤牛，但不會(huì)顯式出現(xiàn)（在區(qū)塊中）莹痢。
• 所有的輸出看起來(lái)都是一樣的：只是一些非常大的數(shù)字，不可能相互區(qū)分墓赴。 如果有人想排除某些輸出竞膳，他們將不得不排除所有輸出。
• 所有的交易結(jié)構(gòu)已被刪除诫硕，使得區(qū)分哪個(gè)輸出與哪個(gè)輸入匹配成為不可能任務(wù)坦辟。

然而，區(qū)塊仍然可驗(yàn)證章办！

盡可能多地核銷（Cut-through）

回到前面的示例塊锉走，I1和I2花費(fèi)的輸出x1和x2必須先前出現(xiàn)在區(qū)塊鏈中。因此藕届，在添加此區(qū)塊后挪蹭，這些輸出以及I1和I2也可以從整體鏈中移除，因?yàn)樗鼈儾粫?huì)影響整體總和休偶。

總而言之梁厉，我們得出結(jié)論：任何時(shí)間點(diǎn)的鏈狀態(tài)（不包括區(qū)塊頭）都可以通過(guò)這些信息來(lái)概括：

1. 鏈中采礦產(chǎn)生的硬幣總量。
2. 未使用的交易輸出(即UTXO)的完整集合踏兜。
3. 每筆交易的交易內(nèi)核词顾。

第一條信息可以使用塊高度（與起始?jí)K的距離）推導(dǎo)出來(lái)。未使用的輸出和交易內(nèi)核都非常緊湊碱妆。這有兩個(gè)重要的后果：

• MimbleWimble區(qū)塊鏈中給定的節(jié)點(diǎn)需要維護(hù)的狀態(tài)非常腥忭铩（對(duì)于比特幣大小的區(qū)塊鏈，幾個(gè)G字節(jié)大小的數(shù)量級(jí)山橄，可能優(yōu)化到幾百兆字節(jié)）垮媒。
• 當(dāng)新節(jié)點(diǎn)加入構(gòu)建MimbleWimble鏈的網(wǎng)絡(luò)時(shí)舍悯，需要傳輸?shù)男畔⒘恳卜浅Ｐ　?/li>

另外，未使用的交易輸出(即UTXO)組成的完整集是不可篡改的睡雇，即使只是想去添加或刪除一些交易輸出萌衬。這樣做會(huì)導(dǎo)致交易內(nèi)核中所有致盲因因子的總和與輸出中致盲因素的總和不同。

結(jié)論

在本文中它抱，我們介紹了基于MimbleWimble區(qū)塊鏈的基本原則秕豫。 通過(guò)使用橢圓曲線密碼的附加屬性，我們能夠構(gòu)建完全不透明但仍可以正確驗(yàn)證的交易观蓄。 通過(guò)將這些屬性混移，我們可以消除大量區(qū)塊鏈數(shù)據(jù)，從而實(shí)現(xiàn)新對(duì)等點(diǎn)的大規(guī)模部署和快速同步侮穿。