# Satoshi Scoop 周报, 2025 年 9 月 19 日

## 加密洞见

### Blockstream Research 研究员分享比特币密码学工作手册

Blockstream Research 的 Jonas Nick [分享了](https://delvingbitcoin.org/t/provable-cryptography-for-bitcoin-an-introduction-workbook/1974)他为某一比特币密码学研讨会所开发的工作手册。它旨在提供足够的背景知识，以便读者能够理解最新的密码学签名论文，特别是基于离散对数的多方签名及其安全性证明。其次，它希望培养形式化描述密码学原语安全性概念的能力。这项能力对于在设计和审查密码学协议时选择合适的原语，以及精确定义协议想要实现的目标都重要。

本工作手册包含定义、命题、引理、定理和练习，以及一本完整的针对练习解决方案的解答手册。

### 利用 BGP 拦截攻击，隔离比特币节点

作者[介绍了](https://delvingbitcoin.org/t/eclipsing-bitcoin-nodes-with-bgp-interception-attacks/1965/1)他关于如何利用拦截攻击（[interception attacks](https://www.sciencedirect.com/topics/computer-science/interception-attack)，SICO）—— [BGP 劫持](https://en.wikipedia.org/wiki/BGP_hijacking)的一种更隐蔽变体，来隔离比特币节点的研究结果。作者表示，拦截攻击对网络中许多节点都是可行的。他在隔离环境中针对自己的主网节点进行了攻击，并成功实现概念验证。为了阻止此类攻击，他研究了几种缓解措施，其中一些利用了节点自身可以独立观察到的网络数据。

### Ordinals 数据分析：BRC-20 交易对节点负担更大

通过回顾 Ordinal 相关数据， [BitMEX Research 注意](https://blog.bitmex.com/ordinals-impact-on-node-runners/)到，就交易数量而言，BRC-20 代币是 Ordinals 的主要形式：BRC-20 交易数量达 9250 万笔，而链上 Ordinal 图片仅有 270 万笔。然而，就数据量而言，图片类 Ordinals 与 BRC-20 Ordinals 的总体大小大致相同，约为 30GB。

他们从节点运营者的角度对此的解释是：拥有与普通交易相对类似结构的 BRC-20 相关交易的体积更小，这对节点来说是一个显著的负担。相比之下，图片类 Ordinals 体积更大、包含更多任意数据，这对节点资源的影响则是正面或中性的。因此，BRC-20 代币可能会成为部分节点运营者更为关注的问题。

### 紧凑区块过滤器设计指南：钱包开发者的实践参考

在构建比特币钱包时，开发者常常面临挑战：如何在不强制用户运行完整节点的情况下，实现快速、轻量且私密的钱包同步。对此，紧凑区块过滤器提供了一种实用的解决方案：通过下载体积很小的过滤器，而不是整个区块，钱包可以快速判断哪些区块可能包含相关交易。这在理论上听起来很优雅，但在实际实现中，许多开发者常常对过滤器的提供方式、请求逻辑和处理细节感到困惑。

为此，[本指南](https://rustaceanrob.com/blog/13-cbf-design)探讨紧凑区块过滤器的工作机制、“过滤器客户端”（compact block filter client）的含义，以及如何让钱包应用受益于这种高效并保护隐私的设计。

### Nostr 安全分析：由加密私信伪造导致的隐私泄露

去中心化社交网络服务（Social Networking Services, SNS）近年来受到广泛关注，作为传统中心化 SNS 的替代方案，去中心化 SNS 可以缓解用户隐私和自由方面的固有限制。[本文](https://eprint.iacr.org/2025/1459.pdf)对开源去中心化 SNS 协议的代表之一 Nostr 进行了首次深入的安全分析。

作者研究了 Nostr 的协议规范和客户端实现，并提出了多种实际攻击，这些攻击允许恶意用户或恶意服务器伪造多种对象，例如加密私信。研究进一步展示了一种针对加密私信的机密性攻击，该攻击利用了链接预览机制中的缺陷和 [Cipher Block Chaining（CBC）](https://www.sciencedirect.com/topics/computer-science/cipher-block-chaining)模式的可篡改性。

作者使用的攻击源于协议规范和客户端实现中的密码学缺陷，其中一些缺陷结合在一起会将伪造攻击升级为机密性泄露。研究通过概念验证实现验证了这些攻击的可行性，并讨论了可能的缓解措施。

### 支付通道网络边缘的路径规划

在支付通道网络（Payment Channel Networks, PCNs）中，若要在没有直接通道连接的两个节点之间完成支付，必须确定一条支付路径——用一系列支付通道组成、连接这两个节点。这种路径规划是一项计算开销很大的任务，对于边缘设备来说通常难以完成。

[本论文](https://dl.acm.org/doi/abs/10.1145/3761828)提出了一种新方法来解决这一挑战。该方法允许边缘设备借助服务提供商完成路径规划任务。然而，与服务提供商共享支付数据可能会侵犯用户隐私。为缓解这一问题，研究集成了两种隐私保护机制：

* 第一种：泛化现有的盲化路径，能够同时混淆支付路径的起点和终点。
    
* 第二种：通过生成具有说服力的伪造请求，并利用它们来混淆真实请求。
    

此外，研究通过在闪电网络上模拟支付尝试进行实验验证，对该方法与“蹦床支付”（trampoline payments）进行了对比评估，后者是一种被广泛引用的、通过服务提供商协助路径规划的方法。

### 渗透式自私挖矿：用双赢思维走出矿工困境

[该论文](https://dl.acm.org/doi/10.1145/3708821.3736191)提出了一种新的“渗透式自私挖矿”（Infiltrated Selfish Mining, ISM）攻击。在某些情况下，该攻击能让攻击者获得比“延迟提交分叉攻击”（Fork After Withholding, FAW）攻击更高的奖励，同时它的执行难度比“算力调整延迟提交攻击”（Power Adjusting Withholding, PAW） 和 FWAP 更低。通过渗透矿池并延迟提交发现的区块，ISM 攻击者不仅能够制造一个有意图的分叉，还能生成一个领先公有链一个区块的无对手私有区块（rivalless secret block）。据研究者所知，ISM 是首个能够在多个矿池互相攻击的博弈中避免矿工困境（[miner’s delimma](https://arxiv.org/abs/1411.7099)），且不导致损失的矿池攻击，并给出了相应的理论获胜条件。

研究通过形式化分析证明，在 ISM 博弈中，ISM 可以为所有发起攻击的矿池带来双赢结果，这与先前仅有利于大矿池的“矿池规模博弈”攻击形成对比。ISM 的双赢思维使其对攻击者更具吸引力，也因此危害更大。作为应对措施，研究者还提出了一种奖励机制，并结合新的惩罚方案，作为对 ISM 的潜在防御手段。

### 对阈值 Schnorr 签名自适应安全性的合理攻击

[该论文](https://eprint.iacr.org/2025/1001.pdf)提出了一种对阈值 Schnorr 签名方案的自适应安全性的攻击，该方案使用 Shamir 秘密共享密钥。研究我们展示了一类范围很广的方案，包括所有 FROST、Sparkle 和 Lindell’22 的变体，如果不进行修改或不假设我们定义的搜索问题 P 的困难性，就无法在接近 t−1 个腐化参与方的情况下证明其自适应安全性（阈值为 t）。

### Citrea 集成 TOOP，为基于乱码电路的解决方案提供动力

Citrea 的 Ekrem Balamir 在最近的 Bitcoin++ 会议上[展示了](https://x.com/ekrembal_) Citrea 如何将 “所有权转让协议”（[Transfer of Ownership Protocol, TOOP](https://eprint.iacr.org/2025/964)）与乱码电路的集成。

TOOP 由 Fairgate 团队开发，旨在解决了所有现有的类似 BitVM 协议（以及整个 UTXO 区块链）的一个限制——该限制将解锁转账（unlocking transfers）限定在锁定和设置期间已知和已预先注册的地址的范围内。对此，TOOP 避免了“前置支付再报销”（front-and-reimburse）这种既成本高昂、又存在合规问题且容易导致拥堵的范式。目前除 Citrea 外，BOB 和 Cardano 也采用了 TOOP。
