📜 [專欄新文章] Merkle Tree in JavaScript

✍️ Johnson

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

這篇文章會說明 Merkle Tree 的運作原理，以及解釋 Merkle Proofs 的用意，並以 JavaScript / TypeScript 簡單實作出來。

本文為 Tornado Cash 研究系列的 Part 1，本系列以 tornado-core 為教材，學習開發 ZKP 的應用，另兩篇為：

Part 2：ZKP 與智能合約的開發入門

Part 3：Tornado Cash 實例解析

Special thanks to C.C. Liang for review and enlightenment.

本文中實作的 Merkle Tree 是以 TypeScript 重寫的版本，原始版本為 tornado-core 以 JavaScript 實作而成，基本上大同小異。

Merkle Tree 的原理

在理解 Merkle Tree 之前，最基本的先備知識是 hash function，利用 hash 我們可以對資料進行雜湊，而雜湊後的值是不可逆的，假設我們要對 x 值做雜湊，就以 H(x) 來表示，更多內容可參考：

一次搞懂密碼學中的三兄弟 — Encode、Encrypt 跟 Hash

SHA256 Online

而所謂的 Merkle Tree 就是利用特定的 hash function，將一大批資料兩兩進行雜湊，最後產生一個最頂層的雜湊值 root。

當有一筆資料假設是const leaves = [A, B, C, D]，我們就用function Hash(left, right)，開始製作這顆樹，產生H(H(A) + H(B))與H(H(C) + H(D))，再將這兩個值再做一次 Hash 變成 H(H(H(A) + H(B)) + H(H(C) + H(D)))，就會得到這批資料的唯一值，也就是 root。

本文中使用的命名如下：

root：Merkle Tree 最頂端的值，特色是只要底下的資料一有變動，root 值就會改變。

leaf：指單一個資料，如 H(A)。

levels：指樹的高度 (height)，以上述 4 個資料的假設，製作出來的 levels 是 2，levels 通常會作為遞迴的次數。

leaves：指 Merkle Tree 上的所有資料，如上述例子中的 H(A), H(B), H(C), H(D)。leaves 的數量會決定樹的 levels，公式是 leaves.length == 2**levels，這段建議先想清楚！

node：指的是非 leaves 也非 root 的節點，或稱作 branch，如上述例子中的H(H(A) + H(B)) 和 H(H(C) + H(D))。

index：指某個 leaf 所在的位置，leaf = leaves[index]，index 如果是偶數，leaf 一定在左邊，如果是奇數 leaf 一定在右邊。

Merkle Proofs

Merkle Proofs 的重點就是要證明資料有沒有在樹上。

如何證明？就是提供要證明的 leaf 以及其相對應的路徑 (path) ，經過計算後一旦能夠產生所需要的 root，就能證明這個 leaf 在這顆樹上。

因此這類要判斷資料有無在樹上的證明，類似的說法有：proving inclusion, proving existence, or proving membership。

這個 proof 的特點在於，我們只提供 leaf 和 path 就可以算出 root，而不需要提供所有的資料 (leaves) 去重新計算整顆 Merkle Tree。這讓我們在驗證資料有沒有在樹上時，不需要花費大量的計算時間，更棒的是，這讓我們只需要儲存 root 就好，而不需要儲存所有的資料。

在區塊鏈上，儲存資料的成本通常很高，也因此 Merkle Tree 的設計往往成為擴容上的重點。

我們知道 n 層的 Merkle Tree 可以存放 2**n 個葉子，以 Tornado Cash 的設計來說，他們設定 Merkle Tree 有 20 層，也就是一顆樹上會有 2**20 = 1048576 個葉子，而我們用一個 root 就代表了這 1048576 筆資料。

接續上段的例子，這顆 20 層的 Merkle Tree 所產生的 Proof ，其路徑 (path) 要從最底下的葉子 hash 幾次才能到達頂端的 root 呢？答案就是跟一棵樹的 levels 一樣，我們要驗證 Proof 所要遞迴的次數就會是 20 次。

在實作之前，我們先來看 MerkleTree 在 client 端是怎麼調用的，這有助於我們理解 Merkle Proofs 在做什麼。

基本上一個 proof 的場景會有兩個人：prover 與 verifier。

在給定一筆 leaves 的樹，必定產生一特定 root。prover 標示他的 leaf 在樹上的 index 等於 2，也就是 leaves[2] == 30，以此來產生一個 proof，這個 proof 的內容大致上會是這個樣子：

對 verifier 來說，他要驗證這個 proof，就是用裡面的 leaf 去一個一個與 pathElements 的值做 hash，上述就是 H('30', 40) 後得出 node，再 hash 一次 H('19786...', node) 於是就能得出這棵樹的 root。

重點來了，這麼做有什麼意義？它的巧思在於對 verifier 來說，他只需要儲存一個 root，由 prover 提交證明給他，經過計算後產生的 root 如果跟 verifier 儲存的 root 一樣，那就證明了 prover 所提供的資料確實存在於這個樹上。

而 verifier 若不透過 proof ，要驗證某個 leaf 是否存在於樹上，也可以把 leaves = [10, 20 ,leaf ,40]整筆資料拿去做 MerkleTree 的演算法跑一趟也能產生特定的 root。

但由 prover 先行計算後所提交的 proof，讓 verifier 不必儲存整批資料，也省去了大量的計算時間，即可做出某資料有無在 Merkle Tree 上的判斷。

Sparse Merkle Tree

上述能夠證明資料有無在樹上的 Merkle Proofs 是屬於標準的 Merkle Tree 的功能。但接下來我們要實作的是稍微不一樣的樹，叫做 Sparse Merkle Tree。

Sparse Merkle Tree 的特色在於除了 proving inclusion 之外，還可以 proving non-inclusion。也就是能夠證明某筆資料不在某個 index，例如 H(A) 不在 index 2 ，這是一般 Merkle Tree 沒辦法做到的。

而要做到 non-membership 的功能其實也不難，就是我們要在沒有資料的葉子裡補上 zero value，或是說 null 值。更多內容請參考：What’s a Sparse Merkle Tree。

實作細節

本節將完整的程式碼分成三個片段來解釋。

首先，這裡使用的 Hash Function 是 MiMC，主要是為了之後在 ZKP 專案上的效率考量，你可以替換成其他較常見的 hash function 例如 node.js 內建 crypto 的 sha256：

crypto.createHash("sha256").update(data.toString()).digest("hex");

這裡定義簡單的 Merkle Tree 介面有 root, proof, and insert。

首先我們必須先給定這顆樹的 levels，也就是樹的高度先決定好，樹所能容納的資料量也因此固定為 2**levels 筆資料，至於要不要有 defaultLeaves 則看創建 Merkle Tree 的 client 自行決定，如果有 defaultLeaves 的話，constructor 就會跑下方一大段計算，對 default 資料開始作 hash 去建立 Merkle Tree。

如果沒有 defaultLeaves，我們的樹也不會是空白的，因為這是顆 Sparse Merkle Tree，這裡使用 zeroValue 作為沒有填上資料的值，zeros 陣列會儲存不同 level 所應該使用的 zero value。假設我們已經填上第 0 筆與第 1 筆資料，要填上第 2 筆資料時，第 2 筆資料就要跟 zeros[0] 做 hash，第 2 筆放左邊， zero value 放右邊。

我們將所有的點不論是 leaf, node, root 都用標籤 (index) 標示，並以 key-value 的形式儲存在 storage 裡面。例如第 0 筆資料會是 0–0，第 1 筆會是 0–1，這兩個 hash 後的節點 (node) 會是 1–0。假設 levels 是 2，1–0 節點就要跟 1–1 節點做 hash，即可產出 root (2–0)。

後半部份的重點在於 proof，先把 proof 和 traverse 看懂，基本上就算是打通任督二脈了，之後有興趣再看 insert 和 update。

sibling 是指要和 current 一起 hashLeftRight 的值…也就是相鄰在兩旁的 leaf (or node)。

到這裡程式碼的部分就結束了。

最後，讓我們回到一開始 client 調用 merkleTree 的例子：

以及 proof 的內容：

前面略過了 proof 裡頭的 pathIndices，pathIndices 告訴你的是當前的 leaf (or node) 是要放在左邊，還是放在右邊，大概是這個樣子：

if (indices == 0) hash(A, B);if (indices == 1) hash(B, A);

有興趣的讀者可以實作 verify function 看看就會知道了！

原始碼

TypeScript from gist

JavaScript from tornado-core

參考

Merkle Proofs Explained

What’s a Sparse Merkle Tree?

延伸：Verkle Tree

Merkle Tree in JavaScript was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

這幾天更新的 開源封包分析程式 BruteShark

https://github.com/odedshimon/BruteShark
重點功能
1.提取未加密協議用戶名和密碼（HTTP，FTP，Telnet，IMAP，SMTP ...）
2.提取身份驗證哈希並使用Hashcat（Kerberos，NTLM，CRAM-MD5，HTTP-Digest ...）對其進行破解
3.建立可視化網絡圖（網絡節點和用戶）
4.重建所有TCP會話

安裝好後 如果沒有現成環境錄下封包, 這邊有封包樣本可以下載

https://wiki.wireshark.org/SampleCaptures
自己打開練習分析
可練習案例中的 SMB3.1 handshake 封包中
NTLMv2 抓到hash後送入hashcat爆破

如果有其他封包分析程式歡迎討論跟分享 (以前都用cain)

#OSSLab #封包分析

📜 [專欄新文章] ELI5! 區塊鏈到底在幹嘛？
✍️ Juin Chiu
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

用生活化的例子輕鬆學會區塊鏈技術的重要概念

前言

我們熟知的世界正在慢慢地被區塊鏈技術瓦解與重建。不論背景，有愈來愈多人想對區塊鏈技術一探究竟，或許更進一步成為從業者、貢獻者或佈道者。

不幸的是，初學者若想學習區塊鏈技術，第一個問題可能會是高學習門檻，這是因為目前在各種主流平台上所流傳的區塊鏈知識或資源，都不免會大量使用艱澀的術語，長久以來便塑造出區塊鏈高大上的距離感，好似區塊鏈是只專屬於一小群駭客或者專業人士才能理解的技術。然而這是不準確的，事實上，區塊鏈技術中許多概念都能用一般常識理解，頂多只需要國小數學。

本文中，筆者將化繁為簡，試著把區塊鏈技術中的每個元素都使用生活化的例子比擬，讓區塊鏈愛好者與初學者不需用到密碼學/經濟學/資訊科學，也能領會區塊鏈技術的精髓之處。

本文將提及的概念如下：

什麼是帳本？

什麼是交易？

為什麼需要區塊？

有哪些共識機制？

區塊鏈安全嗎？

智能合約如何運作？

以下正文開始：

區塊鏈：一個公平的記錄系統

簡單來說，區塊鏈技術旨在打造一個去中心化的（Decentralized）狀態紀錄系統，更準確一點：區塊鏈技術旨在打造是一個追求真正「公平」的系統。

區塊鏈實現公平的關鍵在於：它完全仰賴自然法則運作，只透過一系列精細的規則就能保證系統的正確，這打破了人類社會一直以來的仰賴的中心化系統，使促成不平等的最大因素不復存在。

區塊鏈技術可以打造出具世界規模的去中心化運算平台，由數千甚至數萬個參與者共同維護狀態並提供計算資源。如果這個運算平台是應用在貨幣與資產的場景中，那麼這個平台可被稱為分散式帳本。

在接下來的段落，筆者將用一個例子展示一個極度精簡、只用紙跟筆的就可以運作的分散式帳本。在這個例子中，一群學生可以使用區塊鏈技術發行屬於他們自己的虛擬幣：「考卷幣」（Exam Paper Coin, EPC）。

考卷幣：使用區塊鏈技術發行的虛擬幣

考卷幣（EPC）是一種使用區塊鏈技術發行的虛擬幣，並存在於分散式帳本中。它的用途是為考卷加分，這將會吸引想考高分或者擔心被當的人學生持有。為什麼 EPC 只能被稱作虛擬幣，而不被稱作密碼貨幣？這是因為 EPC 的發行不會使用任何有關密碼學的技術，因此 EPC 嚴格來說不是密碼貨幣。

在分散式帳本被創建之初，沒有任何人擁有 EPC ，那麼 EPC 是怎麼「鑄造」與分配的？至少可以肯定的是，EPC 不能憑空產生，否則所有參與者就能不斷製造 EPC，使分散式帳本崩潰。事實上，EPC 的價值奠基於參與者的「付出」。

分散式帳本中最重要的角色非記帳者莫屬。每當記帳者成功完成工作，它便可以獲得固定數量的 EPC 作為報酬。於是，分散式帳本中的 EPC 便如此逐步地被鑄造出來。將 EPC 賦予具有貢獻的記帳者除了能夠公平分配 EPC，同時也是一種激勵機制（Incentivizing Mechanism），提供參與者維護帳本的動機。

那麼每個人所具有的 EPC 是怎麼記錄在帳本中的？

帳本： EPC 都要記錄下來

帳本即為依時間順序與特定格式記錄價值的系統。在分散式帳本中，每一批紀錄都會由某一個特定的「記帳者」維護，而記帳者會以特定的規則從所有的參與者中選出，因此分散式帳本是具有多個「記帳者」的系統。

為了確保能公平選出 EPC 的所有記帳者，分散式帳本不會使用任何記帳者的個人資訊，例如姓名、電話，做為帳本上的識別。記帳者可以自由地使用假名（Pseudonym）作為帳本上唯一的識別（Identifier），或者稱為地址（Address）。所以王小庭同學可以使用 Alice 這個假名，而且如果王小庭同學喜歡的話，他也可以同時使用 Bob 這個假名。

EPC 使用如下的格式記錄每個地址幣的數量：

Alice 100 EPCBob 0 EPCCharlie 0 EPCDavid 0 EPCEva 0 EPC

多數區塊鏈稱其識別為地址（Address），其為非對稱密碼學中公鑰（Public Key）的雜湊值（Hash）。地址具有統一的格式，例如以太坊的地址為長度 160 位元的 16 進位數字。

交易：把我的 EPC 轉移給別人

EPC 是可以轉移的，現在 Alice 可以將它持有的 100 EPC 中的 60 EPC 轉移給 Bob，以幫助 Bob 在下一次考試中免於被當。這樣的轉幣紀錄稱為交易（Transaction, Tx），可以如下表示：

Tx1

60 EPC, from [Alice] to [Bob]

而這筆交易會由 Alice 以上述格式記在紙條上，以 Tx1 表示。

簽章：讓參與者的所有動作都不可抵賴

EPC 的每個參與者的每個行為，例如交易，都必須附帶簽章（Signature），證明「這個動作確實是由我本人發起的」，簽署者不可抵賴，任何沒有附帶簽名的動作都是不被承認的。一個附帶簽名的交易紙條會像這樣：

Tx1

60 EPC, from [Alice] to [Bob], ALICE

簽章分為簽署（Sign）及驗證（Verify）兩個動作。驗證即是確認簽章是否確實是由行為發起者所簽署。在這個例子中，僅用一個簡單的驗證：若簽章與識別相符，則驗證成功。例如 Tx1 中，簽名 ALICE 確實與交易發起者 Alice 相符，因此驗證成功。

簽章就是區塊鏈的數位簽章（Digital Signature），其使用私鑰（Private Key）簽署，公鑰（Public Key）驗證，非常難以偽造。

訊息的散佈：怎麼讓所有參與者都收到訊息？

由於 Tx1 是由 Alice 發起的，因此 Alice 將於它自己的帳本記下這筆交易，接著 Alice 必須把這筆交易的內容也轉達所有的參與者，讓所有參與者皆具有所有的交易內容。

EPC 的參與者們不以口語，而是以傳紙條的方式互相交換訊息。紙條要如何有效率地傳播訊息給所有在教室中的參與者呢？可以使用「一傳十、十傳百」的策略。也就是：一次傳 10 張紙條給自己周圍的參與者，參與者收到後再抄寫 10 次後傳給周圍尚未收到該紀錄的其他參與者，逐步將訊息擴散致所有參與者。

這樣的傳播策略正如同流言被散佈的方式，因此也被稱為流言散佈協定（Gossip Protocol）。紙條傳播的網路就是對等網路（Peer-to-peer Network），紙條就是對等網路的封包（Packet）。關於對等網路的介紹，可以參考筆者日前的撰文：

隱私、區塊鏈與洋蔥路由

區塊：記錄一段時間內的交易順序

經過一段時間之後，每個 EPC 參與者手上都會有許多來自別的參與者的紙條，每張紙條都記載著不同的交易。在理想狀況下，如果所有參與者收到紙條的順序都相同，且每個參與者都收到了所有紙條，則所有參與者的帳本上的狀態，也就是餘額，都會相同。然而，若採用上述的訊息散佈策略，會發生兩種情況：每個參與者收到紙條的順序會不同，或者某些紙條可能會被遺漏。這些情況都會讓每個參與者的帳本產生差異，使帳本不可靠。而一個不可靠的帳本，不能作為貨幣發行的工具。

有沒有辦法能使所有 EPC 參與者用相同的交易順序記帳呢？這便是區塊鏈技術的奧秘之處。

為此，我們需要使用一個精心設計的結構：區塊（Block）。每個參與者皆會將一段時間內收到的交易紙條的編號，依照自己的順序寫在另一張紙條上，這張紙條就是區塊紙條，簡稱區塊，產出區塊的參與者則稱為區塊生產者。收到區塊紙條的其他參與者便會知道區塊生產者在這段時間內的交易順序。

為了要讓所有帳本都具有一致的狀態，EPC 的所有參與者必須要選出其中一個區塊作為所有參與者的共識（Consensus）。所有參與者都必須要遵照共識區塊的交易順序來更新自己的帳本，而這個區塊生產者就是記帳者。由於記帳者可以獲得報酬，因此在利益的驅使下，所有參與者都會努力生產區塊以爭取記帳權。

值得注意的是，每個區塊當中都會記錄前一個已達成共識的區塊的編號。例如接下來的範例，Bk15 的前一個已達成共識的區塊為 Bk3：

Bk15

Last Block: Bk3

Height: 15

Transactions:- Tx1- Tx5- Tx4- Tx10- Tx7- Tx13

Nonce: 1

Signature: CHARLIE

由於每個新的共識區塊都會指向前一個共識區塊，如此便會形成一條長鏈般的結構，已形成共識的區塊接成一條鏈，這就是區塊鏈（Blockchain）名稱的由來。

而當 EPC 參與者在收取共識的區塊後，將按照共識依序為每個交易內容進行帳本餘額的轉換。如此，所有的帳本都將具有一致的狀態。

依據特定輸入及轉換函數（Transition Function）執行狀態更新的系統，稱為狀態機複製（State Machine Replication）

摘要：濃縮紙條上的訊息

在介紹達成共識的方法前，筆者要先來介紹一個樸實無華但重要的概念：摘要（Digest），其顧名思義就是一段內容經過消化的產物。假設有一種摘要產生器，這個機器可以放入一張紙條，然後透過 3 個步驟計算出紙條的摘要。

摘要產生器將記載訊息的紙條切成一條一條固定寬度的細長條狀紙帶，如下圖：

2. 將這些紙帶依照順序接成一個長條紙帶。紙帶上有字跡的黑色部分與沒字跡的白色部分會出現不規則相間，測量每個黑色區塊之間相鄰的距離，如下圖：

3. 每段距離的數字相乘後的數字就是這個紙條的摘要（Digest）。

每個 EPC 參與者都會有一台摘要產生器，而它需要上緊發條才能開始工作，且每計算完一張紙條便須重新上一次發條。

摘要的計算雖然簡單，卻具有一些很有用的特性：

首先，摘要會隨著紙條內容的變動而更動。只要更動了任何一點紙條內容，例如區塊的交易順序，或者流水號（Nonce），都會使摘要改變。因此一個附上摘要的紙條，可以讓收到紙條的人在收到後再自行計算一次摘要並比對兩者，以驗證紙條的內容是否被修改過。因此，摘要是可驗證的（Verifiable）。

若想在不更動摘要的情況下同時變動紙條內容，只能不斷嘗試用不同內容產生摘要，直到發生碰撞（Collision） — 意即兩個不同內容的紙條出現相同摘要。

其次，摘要也是單向的：一個紙條很容易產出摘要，但摘要很難還原出原本的紙條內容。這也代表摘要是隨機且難以預測的，因此摘要可以作為一種亂數（Random Number）來源。

正式的區塊鏈使用更難預測且更不易碰撞的的密碼雜湊函數（Cryptograpgic Hash Function）產生訊息摘要。

理解關於區塊鏈技術的基本要件後，接下來就來看看區塊鏈技術的精妙之處：共識機制。

共識機制：如何達成共識？

在區塊鏈技術中，大致上有兩種方式可以產生共識：抽彩（Lottery）或表決（Vote），它們各自有不同特性，每一種分散式帳本都會使用其中之一作為共識機制。

抽彩

在抽彩機制中，唯有摘要小於門檻值的「合法」區塊才會被所有參與者收受。然而，區塊生產者無法預測摘要，且可驗證的摘要使區塊生產者難以作弊。因此若想生產數字小於門檻值的摘要，區塊生產者必須不斷改動區塊內容，例如流水號或者交易順序，直到找到摘要小於門檻值的區塊，就像抽彩一樣。只有合法的區塊才會被區塊生產者散佈給其他 EPC 參與者。

在這樣的規則下，可能會同時出現多個合法區塊。還記得區塊鏈中「鏈」的部分嗎？當收受多個低於門檻的區塊時，該選哪個區塊作為上一個區塊呢？這裡我們可以用一些簡單的規則來做抉擇：選擇合法區塊中高度（Height）最高的區塊，若高度一樣則選擇摘要數字較低的區塊。

區塊紙條的摘要就是正式區塊鏈中的區塊雜湊值。在正式的區塊鏈中，門檻值愈低，困難度（Difficulty）也愈高。區塊的選擇規則也稱為分岔選擇規則（Fork Choice Rule），使用可驗證的亂數作為共識的做法又稱為中本共識（Nakamoto Consensus）。

表決

有別於複雜的抽彩，表決機制相當直觀：所有參與者針對某個預先選出的領袖（Leader）的提案（Proposal），也就是區塊，進行投票。領袖是怎麼選出的？一個直覺的做法是按照假名的順序，按照 Alice / Bob / Charlie 的順序，所有參與者輪流擔任領袖。

所有參與者在收到提案後，可以選擇同意或反對這個區塊的內容，若同意的話，則將自己對提案的同意票記在紙條上，並將這個投票紙條散佈給所有其他參與者。若多數的參與者同意了提案，則所有參與者皆須認定該提案為共識。

然而，表決機制雖然直觀，卻不如抽彩具有可驗證性，參與者若想作弊則相對容易：例如，參與者可以重複投票，或者串通其他參與者一起不投票，以破壞帳本；另一方面，表決比抽彩來得有效率，因其不需要所有參與者都費功去製造可能將不被收受的區塊。

拜占庭錯誤（Byzantine Fault）特指這些不在預期內的行為，表決機制事實上也就是拜占庭容錯（Byzantine-fault-tolerant, BFT）演算法。PBFT 家族的協定是目前拜占庭容錯演算法的主流，然而其至多只能容忍不超過參與者總數一半的拜占庭錯誤。若想了解更多 PBFT 的細節，可以參考筆者日前的撰文：

若想搞懂區塊鏈就不能忽視的經典：PBFT

女巫：如何避免帳本被單一個體掌控？

上文提到：為了保證公平的記帳權，帳本上的識別都是假名，如上文提及，Alice 跟 Bob 實際上都是由同一個參與者王小庭所控制，其他參與者不僅難以得知，而且王小庭喜歡的話，他愛用幾個假名就用幾個假名 — 掌控多個假名的王小庭就成為了「女巫」（Sybil）。

不論是採取何種共識機制，女巫的存在都會破壞分散式帳本的安全性：

在抽彩機制中，如果多數的參與者皆由女巫控制，則女巫有很大的機會可以無視規則，不需抽彩便竄改帳本。

在表決機制中，如果由女巫控制的參與者可以集體進行不在預期內的行為，例如重複投票或者不投票。

因此，抵抗女巫對於分散式帳本的安全至關重要。對此，一個直覺的思路是：讓每個假名的行為都必須付出有限的資源，例如錢跟力。因此有兩種方式可以抵抗女巫：要嘛出錢，要嘛出力。

出力：在抽彩機制中，每個合法區塊的生產都必須附有低於門檻的摘要，而摘要的計算需要參與者出力不斷地重上發條。

出錢：在表決機制中，抵押一定數量 EPC 的參與者才能獲選為領袖被生產提案，且若違反規則，參與者的押金將會被沒收。

出力即是工作證明（Proof of Work, PoW）；出錢即是權益證明（Proof of Stake, PoS），抵抗女巫的機制稱為抗女巫機制（Sybil-control Mechanism）。

合約：進行條件式的交易

回顧一下本文開頭所提：區塊鏈技術可以用來打造去中心化的運算平台，它可以用以記錄任何資訊，不止餘額，例如一段合約（Contract）。合約就是指一段會依據不同條件而達成不同執行結果的語句。例如：

CheckAndPay

給定 A、B 兩個假名，若 A 的餘額大於/等於 30 EPC，則 A 支付 20 EPC 給 B ，否則 A 不支付任何 EPC。

這個合約就可以被記錄在帳本中：

Alice 100 EPCBob 0 EPCCharlie 0 EPCDavid 0 EPCEva 0 EPCCheckAndPay "給定 A、B 兩個假名，若 A 的餘額大於/等於 30 EPC，則 A 支付 20 EPC 給 B ，否則 A 不支付任何 EPC。"

之後 Alice 就可以發起像這樣的交易：

Tx 99

CheckAndPay, {[Alice], [Bob]}, ALICE

如此，若 Alice 的 EPC 餘額不足 30 EPC 則不會支付 Bob。

觸發合約的 Tx 99 ，它的執行過程比較煩瑣：執行 Tx 99 的參與者首先會從帳本中尋找 CheckAndPay 的合約內容，並從 Tx 99 中取出合約需要的輸入：A 與 B，接著參與者再解讀合約的語句，依照條件進行帳本的狀態轉換。其中，為了使參與者能解讀合約，合約需用所有參與者皆能看懂的語言書寫。

合約又稱智能合約（Smart Contract）。正式的區塊鏈使用虛擬機（Virtual Machine）來解讀與執行合約。事實上，智能合約能做的事情非常多，這使具有智能合約功能的分散式帳本得以成為去中心化的運算平台，例如以太坊（Ethereum）。

總結： 分散式帳本究竟是一個怎樣的系統？

如果以上環節皆運作順利，那麼便能成功只用紙筆便發行了專由學生使用的貨幣。最後再次強調一次：這是一個為了便於使初學者掌握核心觀念而極度簡化的例子。正式運行的區塊鏈，例如以太坊，其實際運作遠遠複雜得多。

還有一些比較進階的概念，雖然礙於篇幅未在此文章提及，但部分主題筆者曾撰文介紹：

可擴展性（Scalability）：第二層方案（Layer 2）與分片（Sharding）

隱私（Privacy）與匿名（Anonymity）

共識機制的安全性（Safety）與活躍性（Liveness）

最後，如果日後朋友/家人問起「什麼是區塊鏈」時，我想你會知道如何解釋了:)

ELI5! 區塊鏈到底在幹嘛？ was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌