# Satoshi Scoop 周报, 2025 年 12 月 12 日

### SPHINCS 后量子签名得到重大提速，速度接近椭圆曲线

后量子签名算法 SLH-DSA（stateless hash-based digital signature algorithm，无状态基于哈希的数字签名算法，前称 SPHINCS+）正被视为比特币的抗量子软分叉升级候选方案，涉及 [BIP360](https://github.com/bitcoin/bips/pull/1670)。然而，SLH-DSA 如果实现得很简单，不但非常慢，签名也很大。

开发者 conduition 一直在尝试各种性能优化，目标是最小化签名大小，并加快签名、验证和密钥生成速度。他于近日 [公布了](bitcoinops.org/en/newsletters/2025/12/05/)新一轮优化成果，可让 SLH-DSA 速度提升 10 到 100 倍。目前，SLH-DSA 验证的运行时的性能现在开始接近量子出现前的椭圆曲线水平，但签名的成本仍高出椭圆曲线两个数量级。由于签名和密钥生成需要数兆字节的内存，因此它在硬件钱包等资源有限的环境中无效，只有专用哈希加速芯片或 FPGA 更适合这些用例。更多细节见详细的[调查记录](https://conduition.io/code/fast-slh-dsa/)。

### MuSig2 + 零知识证明：Halseth 推出新的类比特币金库安全方案原型

Halseth 公布了一项基于盲化协签者（blinded co-signers）与 MuSig2 多签协议的类比特币金库安全方案原型 blind-vault，通过零知识证明保护链上资金的移动。blind-vault 支持在 regtest 与 signet 环境中测试，展示了其在增强交易安全方面的潜力。项目未来将重点优化零知识证明的生成时间，以提升实用性。更多细节见 [GitHub](https://github.com/halseth/blind-vault)。

### 三种比特币激励攻击的短期收益与长期效率研究

[该研究](https://arxiv.org/abs/2511.11538)对比特币难度调整算法（Difficulty Adjustment Algorithm，DAA）下的激励性攻击进行了系统分析，包括自私挖矿、区块扣留（block withholding）和跳币（coin hopping）策略。针对这些激励性攻击，作者研究了攻击方和诚实矿工每单位算力在短期内的收益变化；针对长期影响，他们引入了新的效率指标——攻击者和诚实矿工每单位算力每单位时间的收益与成本比。

研究发现：

* 短期内，间歇性挖矿带来的收益微乎其微；而长期来看，自私挖矿效率更高；
    
* 跳币策略在短期内对忠诚矿工和跳币者收益相当；
    
* 对于区块扣留攻击，矿池外的诚实矿工会从攻击中获利，通常在短期和长期内的收益甚至高于攻击者。此外，采用算力调节的扣留攻击者在短期内不一定会出现收益滞后。长期以来，人们普遍认为自私挖矿的收益滞后是此类攻击在实际中未被观察到的主要原因之一。我们的研究表明，这一障碍并不适用于算力调节攻击，相对较小的矿池会面临立即的威胁。
    

### 假公钥，真教训：通过 Counterparty 事件理解比特币共识层与策略层的差异

Counterparty 曾经通过在 1/3 裸多重签名输出（1-of-3 bare multisig output）中将有效载荷编码在假公钥中，系统性地将任意数据嵌入比特币，突破了 OP\_RETURN 的存储限制。

[这篇分析](https://medium.com/@aaron.recompile/why-counterpartys-fake-pubkey-grinding-reveals-the-real-boundary-between-bitcoin-consensus-and-3c891f0e7ec9)回顾了 Counterparty 的这一在比特币上存储数据的案例，揭示了比特币共识层（Consensus）与策略层（Policy）之间的重要区别：

* 共识层：严格逻辑，广泛权限
    
* 政策层：务实、本地、保护
    

共识层只保证交易在规则上可被验证和理论上可花费，而策略层负责节点的实际转发与网络健康。换句话说，比特币允许技术上可行的“滥用”，但策略层会通过 mempool 规则限制其传播。

作者认为，近期比特币辩论中 OP\_RETURN 政策变更、Ordinals 论证、BitVM 锚定，以及 knothole 讨论，都源于同样的误解：混淆了共识规则（what is allowed）和政策规则（what is relayed or encouraged）。Counterparty 事件对于理解当下诸如 Ordinals、BitVM 等争论及比特币协议演进依然有重要意义。

### 钒（Vanadium）：为硬件签名设备重塑嵌入式开发的 RISC-V 虚拟机

比特币社区的开发团队 Salvatoshi 推出了一款面向硬件签名设备的 RISC-V 虚拟机“钒”(Vanadium)。钒通过在安全隔离区中运行应用程序（V-Apps），将大部分内存需求外包到受控环境，并通过加密页交换强化安全性，大幅降低了开发复杂度。该方案被视为加密硬件领域的重要进展，但团队也表示仍需要优化内存访问模式并进行完整的安全审计。更多细节见 [GitHub](https://github.com/LedgerHQ/vanadium)。

### 中文圈首个 Bitcoin Optech Newsletter 解读

[该节目](https://x.com/zzmjxy/status/1997493767025164386?s=20)的目标是把 Bitcoin 前沿研究者与 Core Dev 的工程视角、提案背景、邮件组争议，全部用中文讲清楚。内容拟包括：最新 Optech Newsletter 精读、最近提案（BIPs / PRs）脉络分析、mempool & policy 更新、邮件组争议（为什么提出、影响什么），以及历史文章、代码实现、demo 等扩展。节目主讲人为 Aaron Zhang（[@zzmjxy](https://x.com/zzmjxy)），联合主持 Dapangdun（[@dapangdun](https://x.com/dapangdun)）。

### Gossip Observer：闪电网络 p2p 监控新项目

开发者 jonhbit 通过一个名为 [gossip\_observer](https://github.com/jharveyb/gossip_observer) 的工具监控闪电 gossip 网络，并于近日[公布了](https://tldr.bitcoinsearch.xyz/summary/delvingbitcoin/Dec_2025/combined_Gossip-Observer-New-project-to-monitor-the-Lightning-P2P-network)目前所观察到的问题：

* 随着闪电网络默认采用更多点对点连接，网络消息传播的收敛延迟显著下降：75% 消息传播时间从约 500 秒减少到 200 秒
    
* 大量消息只由少数节点发送给观测节点。这可能是由于 p2p 链接图不连贯导致，或者是闪电网络实现中的某些过滤策略所致
    
* `channel_update` 消息占总量的 60%，部分 20% 通道消息量超过 144 条
    
* `node_announcement` 的消息占总消息的 30%，其中 2.5%的节点被宣布超过 144 次
    

未来他会收集来自更多不同地理位置和 p2p 图的 gossip 数据，以便更深入研究消息传播。讨论还提到闪电网络有望借鉴 Erlay 与 BIP 的方法，降低延迟和传播延迟。

### LND v0.20 发布：通道图迁移至 SQL、吞吐量提升 57 倍

LND 团队近日[发布 v0.20-beta](https://lightning.engineering/posts/2025-12-03-lnd-0.20-launch/)，为节点带来显著的性能提升和更高的可控性。此次更新的重点包括：

* **更快的节点启动和支付处理**：通道图全面迁移至 SQL 数据库（sqlite/postgres），节点启动和查询速度提升高达 99%
    
* **网络同步优化**：改进 gossip 机制，节点间同步速度提升约 57 倍，并支持 DNS 公告，让连接更稳定。
    
* **用户体验优化**：节点个性化设置不再重置，`PendingChannel` 提供更清晰的确认信息，新增 RPC 支持删除取消的发票和更精细的转发历史查询。
    
* **更强的流动性控制**：通过 `-blind` 功能，用户可为 blinded invoice 指定入账通道，更好地管理流动性与隐私。
    

### 在 CKB 上实现隐形地址 Lock Script

[隐形地址（Stealth Address）](https://vitalik.eth.limo/general/2023/01/20/stealth.html)是一种通过为每笔交易生成一次性地址来隐藏公链交易的技术。CKB 社区最近推出了[隐形地址 Lock Scirpt](https://t.co/WfaTY8uPoQ)，并附带钱包演示 。 该实现遵循了早期比特币提案中的隐形地址模式，实现了以下功能：

* 支付地址不可关联
    
* 不会在链上暴露接收方的真实公钥
    
* 发送方和接收方之间无需任何交互
    

该 Lock Script 通过 `ckb-auth`使用到了 CKB 标准的 secp256k1 验证，并与现有工具保持兼容。

### 量子计算与区块链：紧迫性与实际威胁的匹配

a16zcrypto 的研究员 [Justin Thaler](https://a16zcrypto.com/team/justin-thaler/) 通过[这篇文章](https://a16zcrypto.com/posts/article/quantum-computing-misconceptions-realities-blockchains-planning-migrations/#where-are-we-on-timing)，澄清了关于量子威胁密码学的常见误解。他指出，实现密码学相关量子计算机的时间线常被夸大——这导致人们呼吁紧急、全面地向后量子密码学转型。但这些呼声忽视了过早迁移的成本和风险，以及不同密码学原语之间截然不同的风险特征。仓促升级可能带来更大的现实风险。而且现阶段许多抗量子算法存在显著性能成本、实现复杂性、甚至被经典算法直接攻破的历史案例。例如，主流后量子签名如 ML-DSA、Falcon 都比当前签名大数十倍甚至上百倍，且实现容易遭受侧信道攻击、浮点漏洞或参数错误导致密钥泄漏。

他强调，成功向后量子密码学迁移的真正挑战在于：如何将紧迫性与实际威胁相匹配。 因此，区块链不应盲目迁移，而应采用分阶段、多轨制、可替换架构的策略：

* 立即部署混合加密——同时使用后量子安全方案和现有方案
    
* 当基于哈希的签名体积大且可接受时立即使用
    
* 对于加密或隐藏交易细节的隐私链，如果性能可接受，优先优先进行过渡
    
* 近期应优先考虑实施安全，而非缓解量子威胁
    

### Elliptic JS 库漏洞披露：缺失模块缩减和长度检查引发风险

网络安全团队 Trail of Bits 近日披露了一个名为 [elliptic](https://www.npmjs.com/package/elliptic) 的 JavaScript 库中的两个漏洞。这些漏洞由缺失的模块缩减和长度检查的缺失引起，可能使攻击者伪造签名或阻止有效签名被验证。而 Elliptic 正被广泛使用，它每周下载量超过 1000 万次，被近 3000 个项目采用。

这些漏洞是通过测试向量集合 Wycheproof 被发现的。[这篇文章](https://blog.trailofbits.com/2025/11/18/we-found-cryptography-bugs-in-the-elliptic-library-using-wycheproof/)介绍了如何使用 Wycheproof 测试椭圆库，从而发现这些漏洞是如何工作的，以及它们如何实现签名伪造或阻止签名验证。
