# Satoshi Scoop 周报, 2025 年 11 月 7 日

## 加密洞见

### 从钱包开发者看比特币可扩展性的新选择：Spark 与 Ark 的对比分析

在探索为 Cake Wallet 提供非托管、用户友好的闪电网络接入方案过程中，作者研究了两种新的比特币二层协议——Spark 和 Ark。两者虽都能支持闪电支付并与比特币网络互操作，但在设计理念与实现方式上截然不同。他在[本文](https://bitcoinmagazine.com/technical/spark-and-ark-a-look-at-our-newest-bitcoin-layer-twos)中对二者进行了对比分析。

* **Ark**：利用虚拟 UTXO（VTXO）和多签轮次机制，实现比特币交易的链下迁移，但需信任 Ark Operator 并管理 VTXO 到期问题；其“回合制”的最终确认机制，以及 VTXO 到期刷新流程在移动端实现上较复杂。
    
    用户体验在许多方面类似于链上支付，但费用要低得多，交易时间也快得多。当用户想要发送或接收闪电支付时，他们可以与闪电网关合作，根据需要原子方式将 VTXO 交换为闪电支付。
    
* **Spark**：通过 leaves 机制扩展 Statechains，可快速进行信任最小化支付、支持 Lightning 原子交换和代币传输，允许单方离线收款。但在隐私和地址管理上仍存在不足。
    

总体来看，作者认为 Spark 与 Ark 都在降低 Lightning 实现难度、提升用户体验，同时提供可扩展功能，给比特币钱包开发者带来更多选择。尽管两者各有信任、隐私与最终性权衡，但共同标志着比特币扩展性进入务实与多样并存的新阶段，也为钱包开发者提供了较以往更易实现的闪电与代币支持方案。

### Knots 的交易过滤尝试，不过是一场失败的 DoS 攻击

Bitcoin Magazine 的作者 [Shinobi 认为](https://bitcoinmagazine.com/technical/bitcoin-knots-has-been-nothing-more-than-a-denial-of-service-attack-on-bitcoin)，Knots 对所谓“垃圾交易”的过滤尝试，本质上是一场无效的比特币网络 DoS 攻击。比特币区块链的设计初衷是通过手续费竞价机制来确认所有共识有效的交易，而非人为筛选交易内容。节点对交易的过滤与阻断，不仅未能阻止相关交易被矿工打包，反而因降低区块传播效率而轻微削弱网络性能。他批评这些做法违背比特币自由竞争和去中心化的设计逻辑，称其为“失败的 DoS 攻击”。

针对支持过滤的一方近期提出的临时软分叉提案，他亦认为该方案无法真正阻止“垃圾”交易，而只会迫使那些提交 spam 的人转向更具破坏性的占用网络资源的方式——使用虚假的 ScriptPubKeys 将其数据编码在不可花费的输出中，使得 UTXO 集膨胀，进一步损害网络健康。

### Primal 演示如何在直播中用 sats 进行小额打赏

Primal [演示了](https://x.com/primal_app/status/1984333566747275629%5D)在直播中使用 sats 进行实时小额打赏。


### 家庭矿工用开源硬件软件成功挖出比特币区块

近日一名家庭矿工[成功挖出](https://www.reddit.com/r/Bitcoin/comments/1ofqc7j/i_found_a_block_solo_mining/)比特币区块 920,440，获得 3.141 BTC 奖励。该矿工的成本为 6 台 nerdqaxe++ 和一台 Avalon Q 矿机（成本约为 3 千美元），用到约 120–130 TH/s 算力。值得一提的是，他使用的硬件和矿池软件均为开源，并通过自托管的 Public-Pool 参与挖矿。

这次成功块意味着，一个普通用户在无许可、无信任第三方的情况下，凭借几台开放设备与开源软件，能够独立完成数千笔交易的结算，并获得与大型矿业公司相同的挖矿权与奖励。尽管税务负担可能超过一半，矿工本人仍表示，能参与比特币去中心化共识、亲手挖出区块的经历，比奖励数字更令他激动。

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1762397830139/f3170b36-bc49-4f27-ac13-d5d9f287044c.png align="center")

*图片来源：*[*Reddit*](https://www.reddit.com/r/Bitcoin/comments/1ofqc7j/i_found_a_block_solo_mining/)

### Block 的工程团队应对 AWS 大规模故障：多区域架构保障核心服务不中断

亚马逊云科技（AWS）于 10 月 20 日，在其美国东部 -1 区经历了一次重大中断。作为世界上最繁忙的数据中心之一，这次中断波及整个互联网，包括 Block——其许多品牌（Square、Cash App、Afterpay 和 TIDAL）都依赖 AWS 来支持核心服务。

Block 在[这篇文章](https://engineering.block.xyz/blog/building-for-resilience)中，分享了他们设计系统的经验，保证每个品牌都以适合其产品和风险模型的方式构建韧性。作者强调了以下关键经验：

* 区域多样性有效：多区域和多可用区策略控制了爆炸半径，并保持了基本的客户体验在线。
    
* 跨品牌协作很重要：集中监控和共享事件工具可实现更快的通信和统一的恢复跟踪。
    
* 支持系统需要冗余：电话、消息传递和供应商 API 等依赖项必须遵循与核心产品相同的可靠性标准。
    
* 定期演练与故障演练：能提升团队应对真实事件的效率和信心。
    

### NCC Group 系列研究上线：区块链私钥安全现状与最佳实践

专注网络安全的 [NCC group](https://www.nccgroup.com/) 发布了《私钥安全的最新技术》（State of the Art of Private Key Security in Blockchain）系列研究，为数字资产管理的开发者、安全专家与机构提供系统性的最佳实践指南与架构参考。研究回顾了不同类型的托管和签名策略、托管解决方案中涉及的典型架构元素以及一些常见的托管架构。该系列分为四篇文章，分别深入讨论：

* [钱包的概念、类型和签名策略](https://www.nccgroup.com/research-blog/state-of-the-art-of-private-key-security-in-blockchain-ops-1-concepts-types-of-wallets-and-signing-strategies/)
    
* [通用托管解决方案架构](https://www.nccgroup.com/research-blog/state-of-the-art-of-private-key-security-in-blockchain-ops-2-common-custody-solutions-architectures/)
    
* [私钥存储和签名模块](https://www.nccgroup.com/research-blog/state-of-the-art-of-private-key-security-in-blockchain-ops-3-private-key-storage-and-signing-module/)
    
* [审批和政策](https://www.nccgroup.com/research-blog/state-of-the-art-of-private-key-security-in-blockchain-ops-4-approvals-and-policies/)
    

### 研究揭示后量子加密实现层面重大漏洞，可通过激光攻击成功破解

随着各国加速部署抗量子加密标准，美国国家标准与技术研究院（NIST）已将 ML-KEM 和 ML-DSA 确认为未来网络与通信安全的核心方案。然而，[这项](https://eprint.iacr.org/2025/2009)研究指出，尽管这些算法理论上高度安全，但在实现中却存在严重隐患。

研究团队发现，多项式采样阶段的随机种子指针存在单点故障风险。只要攻击者干扰这一微小环节，就可以完全攻破密钥体系、恢复私钥并伪造签名，从而绕过传统防护机制。实验中，研究人员针对这一弱点成功进行了攻击。他们在 STM32H7 微控制器上使用激光故障注入实现了高达 100% 的攻击成功率。研究还进一步验证了这种实现方式存在于广泛使用的公共库（包括 PQM4、LibOQS、PQClean 和 WolfSSL）中。研究者也提出了有效的防御手段来缓解这一长期被忽视却严重的威胁。

### 评估 CoinJoin 的隐私提升表现：短期匿名下降，长期依然难以追踪

Coinjoin 协议旨在通过协作交易提升比特币及类似区块链的交易隐私，其方式是打破常见分析启发式背后的假设。由于隐私效果受多种因素影响且计算复杂度高，量化 Coinjoin 的隐私提升一直是一个关键但未解决的问题。

[该研究](https://arxiv.org/abs/2510.17284)将链上分析工具 BlockSci 适配到 Coinjoin 交易分析中，发现对三大使用中心协调器的方案 Whirlpool、Wasabi 1.x 和 Wasabi 2.x 而言，其平均混币后匿名集规模显著下降（10–50%）。匿名性下降在混币后首日最为明显，而在一年后几乎可以忽略不计。

此外，研究设计了一种精确且可并行化的隐私评估方法，考虑到了 Coinjoin 费用、实现层面的特定限制、用户混币后的行为模式。研究者在一组模拟和现实的 Wasabi 2.x Coinjoin 交易上详细评估了该方法，并推算其在拥有数百条输入和输出的最大规模 Coinjoin 中的表现。

结论表明，尽管用户在混币后的行为可能降低匿名性，但即便使用改进之后的分析算法，准确识别资产所有者依然极具难度。
