# Satoshi Scoop 周报, 2025 年 12 月 19 日

### Blockstream：对基于哈希的后量子密码解决方案的研究

Blockstream 团队近日发布论文 [*Hash-based Signature Schemes for Bitcoin*](https://eprint.iacr.org/2025/2203)。基于哈希的签名方案被认为是为比特币提供了一个有前景的后量子替代方案，因为其安全性完全依赖于哈希函数假设，这与比特币现有设计的安全基础一致。

该论文全面介绍了这些方案，从基础基本原则到 SPHINCS+及其变体，并探讨了针对比特币具体需求的参数选择。通过应用如 SPHINCS+C、TL-WOTS-TW 和 PORS+FP 等最新优化，并减少每个公钥允许的签名数，相较于标准化的 SPHINCS+（SLH-DSA）实现了显著的尺寸提升。研究提供了可重复性的公开脚本，并讨论密钥派生、多重签名和阈值签名的局限性。

此外，Blockstream 还设立了 [SPHINCS-Parameters 库](https://github.com/BlockstreamResearch/SPHINCS-Parameters)，用于探索 SPHINCS+参数权衡、计算安全级别、签名大小及签名/验证成本的脚本。

### DustSweep：轻量级 UTXO 尘埃清理方案

减少长期 UTXO 集的增长，实现经济的尘埃整合，同时避免引入垃圾载体或费用市场扭曲，开发者 Defenwycke 提出了解决方案 DustSweep（[GitHub](https://github.com/defenwycke/bip-dust-sweep)）。它仅限于策略使用，允许节点和矿工在严格控制条件下，以每个输入 1 个聪的严格货币 UTXO 压缩交易（strictly-monetary UTXO-compaction transactions）进行中继和包含。

### BitMEX：比特币交易安全漏洞，64 字节交易的风险

BitMEX 的[这份研究](https://www.bitmex.com/blog/64-Byte-Transactions)关注 64 字节交易的问题。作者指出，Merkle 树中内部节点所包含的数据为 64 字节。比特币交易的哈希值（TXID）为 32 字节。在 Merkle 树倒数第二层的内部分支节点中，会对两个拼接在一起的比特币 TXID 进行哈希，其拼接后的总长度正好是 64 字节。而一个 64 字节的比特币交易可能会被误认为是比特币 Merkle 树中的中间哈希步骤。这就出现了安全漏洞，被用来欺骗简单支付验证（SPV）客户，让他们误以为已收到付款。

虽然实施这些攻击非常复杂且漏洞不严重，但它有一个相对简单的修复方法，即 BIP 54——通过软分叉禁止所有见证剥离字节大小为 64 字节的交易。

### 通向共识的时间：分析比特币的 6 个区块规则

[本研究](https://arxiv.org/abs/2511.12687)考察了 Nakamoto 型区块链中的共识达成时间问题，将系统建模为诚实方与最坏情形下的对手之间相互竞争的增长过程，并确定一个诚实过程永久超过敌对过程的时间点。

通过排队论（queueing theory）的方法，论文对一个风格化的比特币模型推导了共识时间的拉普拉斯变换与尾部分布衰减特性，并在更一般的框架下证明了达到共识所需周期数具有指数级尾界。研究表明，比特币的“6 个区块确认规则”可能建立在较为保守的系统参数之上，同时在考虑区块传播延迟的情况下，为区块链协议提供了一种基于时间维度的全新安全性解释。

### 随机闪电路径的支付失败时间分析：通道容量是关键

[*Payment-failure times for random Lightning paths*](https://arxiv.org/abs/2511.16376) 研究了一种受闪电网络启发的图上随机过程，在考虑图拓扑结构与通道容量的情况下，分析支付失败发生之前的时间。

在完全图的情况下，论文证明了支付失败时间在上、下界意义下几乎是紧的，该时间作为节点数量和边容量的函数；之后，研究展示了这种随机过程与边介数中心性（edge-betweenness centrality）的关系，并对任意图基于边介数和容量推导了支付失败时间的上界与下界。大量仿真实验在多种图类型上验证了理论结果，其中包括真实闪电网络的快照数据，并揭示了通道容量分布对支付失败率的显著影响。

### Cardinal：比特币跨链桥实现所有权保全

Cardano [提出了 Cardinal](https://eprint.iacr.org/2025/2196.pdf)，一种基于 BitVM 的比特币跨链桥，解决了所有权保全（ownership preservation）的问题，确保用户始终提取他们存入的精确币，这是属性多重签名和以往基于 BitVM 的桥都无法实现的。Cardinal 通过一个名为 ChainVM 的通用执行层扩展了 BitVM 模型，论文展示了如何使用 BitVMX 实现该框架。

该最小信任设计已在比特币与 Cardano 上实现，避免了操作方资金预付，并支持包括 Bitcoin Ordinal NFTs 在内的资产双向跨链转移。Cardinal 的安全性在严格建模框架下经过形式化证明，使用了 HTLC、比特币 Covenants 签名委员会，以及用于 BitVM 无关实现的新 ChainVM 抽象。

### 扩展 SPHINCS+ 框架：可变树高度与链长度的设计

SPHINCS+ 框架是现代抗量子、无状态、基于哈希的数字签名方案的基础架构，其代表包括 NIST 标准 SLH-DSA 以及 SPHINCS+、SPHINCS+C 等变体。

[*Extending the SPHINCS+ Framework: Varying the Tree Heights and Chain Lengths*](https://eprint.iacr.org/2025/2236) 这项研究扩展了 SPHINCS+ 所使用的超树（hypertree）结构，允许不同层使用不同高度的 Merkle 树，并在其中引入链长度不同的一次性哈希签名方案。只要底层一次性签名所使用的编码函数是单射且不可比较的，这些结构上的变化并不会破坏 SPHINCS+ 原有的安全性证明。同时，这种扩展显著扩大了设计空间，使得在签名大小、签名速度和验证速度之间进行更精细的权衡。

研究通过系统性的参数空间搜索，并辅以严格的理论成本分析，找到了多个在性能上优于现有无状态哈希签名方案的参数配置。在某些情况下，可以在不同时优化所有性能指标的前提下，获得显著改进。例如，研究提出的一组 128 位安全性参数配置，其签名大小比 SPHINCS+C-128s 小 8.1%，比 SPHINCS+-128s 小 26.2%，比 SPHINCS-128s 小 16.7%。该方案在验证速度上更快，但签名速度略慢。若进一步牺牲速度，还可获得更小的签名尺寸。此外，研究还提供了实现代码及代表性参数配置的基准测试结果。

### Golden: 轻量级的非交互式分布式密钥生成（DKG） 协议

[本论文](https://eprint.iacr.org/2025/1924)提出了 Golden，一种新的非交互式（non-interactive）分布式密钥生成（DKG）协议。与以往方案不同，Golden 以一种轻量级的方式实现了公开可验证性，使得所有参与者都可以在无需交互的情况下验证其他参与者是否正确执行了协议，从而在单轮中实现了轻量级的公开可验证性。这一点对于分布式系统尤为重要，因为参与者可能随时离线，减少通信轮数可以显著提升系统鲁棒性。

作为 Golden 的基础构件，研究定义了一种指数型可验证随机函数（eVRF）。该 eVRF 使用非交互式密钥交换（NIKE）来生成 Diffie–Hellman 共享密钥，并提供该密钥正确性的公开证明。在 Golden 中，参与者使用 eVRF 为彼此生成一次性密钥，用于加密 Shamir 秘密分享，同时保持公开可验证性。因此，Golden 避免使用 ElGamal、Paillier 或类群等公钥加密方案。此外，eVRF 本身也可独立用于其他需要公开可验证加密的场景。
