比特币 Taproot 升级迫在眉睫：它的起源、内容和影响是什么？

吴说作者|元本

本期主编|吴小林

在不久的将来（2021年11月14日左右），比特币将迎来自己的重要事件 超过90%的矿工同意软分叉升级Taproot，因此不太可能出现社区分叉与 SegWit 升级有关的争论。看来这次升级并没有引起太多关注btc taproot升级，但也有很多文章称其为最重要的升级。

Taproot 升级到底是什么，它真的很令人兴奋吗？

Taproot 本身就是主根植物，大概如下图。 Taproot 的创始人 GregoryMaxwell 解释说，他希望在比特币交易支付的过程中，能够像主根植物一样关注大主根，隐藏那些不必要的小树枝。

通往不可能三角的道路

无论升级什么样的区块链，最终的解决方案都是区块链中的不可能三角问题。区块链世界中的不可能三角理论是由 Vitalik 在一篇名为《论分片区块链》的文章中提出的。这意味着在一个区块链网络中同时实现去中心化、安全性和性能（效率、可扩展性）三个条件是非常困难的。现实情况往往是，当我们改进某些两个条件时，我们不得不以牺牲第三个条件为代价。

而这次 Taproot 升级并没有脱离这个大框架。 Taproot升级主要对应两个方面。首要目的之一是进一步提高其匿名能力，即进一步提高安全性。另一方面，期望通过改变区块本身的数据结构来提高交易的性能，减少交易中不必要的数据负担。

分解主根

Taproot Upgrade 是三个互补 BIP 的统称，包括 Schnorr 签名 (BIP 340）、Taproot (BIP 341）) 和 TapScript (BIP 342）)。

Schnorr 签名

Schnorr 签名是由德国密码学家 Claus Schnorr 提出的，但由于专利原因，Schnorr 签名直到 2008 年才可以免费使用，这让 2008 年诞生的比特币怀念它（这里参考发表于2008)，使用 ECDSA 签名。

目前Schnorr签名几乎在性能上，安全性各方面都超过ECDSA签名，更重要的是Schnorr和ECDSA使用了相同的椭圆曲线算法，所以在升级问题上更容易实现。 Schnorr最亮眼的地方在于它作用于交易输出层级的聚合签名。

在多重签名的情况下，我们经常要在交易数据中放入多个签名，尤其是当签名很多时，会带来大量的交易费用和内存负担。但是通过聚合签名，我们可以将多个签名组合成一个签名，如下图所示。

同样，在Schnorr签名下，公钥也可以聚合，大大提升了比特币网络在交易过程中的性能。

在验证时，传统的ECDSA只能支持一对一的验证方式，但得益于聚合的思想，Schnoor可以对节点进行批量验证。

主根

我们知道，匿名性一直是比特币追求的一个重要安全问题，在地址层面，虽然比特币地址的伪匿名性在一定程度上隔离了物理世界身份和链上世界地址，但对于不同的交易，地址是非常不同的。这些地址的交易类型一目了然。这导致攻击者有可能对交易进行地址分析。

Taproot 的目标是提高比特币地址的匿名性，让所有的地址看起来都一样，你无法从地址分析交易类型。使用 Taproot 可以将独立的 P2PKH 和 P2SH 合并，使它们无法区分，但交易费用是一样的，这正是使用 Schnorr 的思路。

同时，Taproot 使用 Schnorr 创建了默克尔抽象法则树（MAST，一种融合抽象语法树和默克尔树的数据结构）。在前面的案例中，假设我们有一笔交易，设置条件是用户 A 可以在交易发起前 30 天使用该交易，用户 B 可以在交易发起 30 天后使用该交易。到头来，无论是谁使用了这笔交易btc taproot升级，用户A和B的信息都会暴露出来，这显然是没有必要的。

在MAST中，只有使用交易的用户会被暴露，其他用户的信息会被隐藏，极大的保护了用户的隐私。

TapScript

BIP 342 是关于 Taproot 脚本实现的具体内容。它添加了一些操作码，用于执行、部署 Taproot、Schnorr、软分叉和其他代码级功能。 ，例如“OP_CHECKSIGADD”。 “OP_CHECKMULTISIG”和“OP_CHECKMULTISIGVERIFY”等低效操作码被禁用。修订了“OP_CHECKSIG”和“OP_CHECKSIGVERIFY”以提供 Schnorr 功能。比特币脚本的内容已整体改进，以适应 Taproot 升级。

总结

综上所述，Taproot 升级确实有一些亮点，但更多 Taproot 更像是对 SegWit 遗留问题的完善和补充，如 bip-0341 中总结的那样：“本文档提出了新的 SegWit 版本 1 输出type ..." 这只是 SegWit 输出级别的新解决方案。

另外一个问题是Taproot升级是软分叉，真正激活Schnorr要到明年才能开始，所以Taproot本身的升级过程也不是一蹴而就的，如果P2TR（Taproot下的地址））未能成为主流，那么 P2TR 显然没有达到对其他地址匿名的目的。

此外，有声音质疑 Taproot 的实际有效性，认为 Taproot 会分割地址空间，让攻击者更容易分析。

对于普通用户来说，Taproot 最直观的好处就是降低了交易费用，提高了交易的匿名性和效率。无论如何，Taproot 升级对比特币会有什么影响，能否达到预期目标，只有时间才能证明。