區塊鏈：以太坊白皮書

時間 2019-11-11

原文原文鏈接

注：以太坊白皮書的翻譯，讀了一遍，不少意思仍是沒有理解明白，須要好好讀幾遍。html

翻譯原文參見：https://ethfans.org/posts/ethereum-whitepaper。git

當中本聰在2009年1月啓動比特幣區塊鏈時，他同時向世界引入了兩種未經測試的革命性的新概念。第一種就是比特幣（bitcoin），一種去中心化的點對點的網上貨幣，在沒有任何資產擔保、內在價值或者中心發行者的狀況下維持着價值。到目前爲止，比特幣已經吸引了大量的公衆注意力, 就政治方面而言，它是一種沒有中央銀行的貨幣，而且有着劇烈的價格波動。程序員

然而，中本聰的偉大試驗還有與比特幣同等重要的一部分：基於工做量證實的區塊鏈概念使得人們能夠就交易順序達成共識。做爲應用的比特幣能夠被描述爲一個先申請（first-to-file）系統：若是某人有50BTC而且同時向A和B發送這50BTC，只有被首先確認的交易纔會生效。沒有固有方法能夠決定兩筆交易哪一筆先到，這個問題阻礙了去中心化數字貨幣的發展許多年。中本聰的區塊鏈是第一個可靠的去中心化解決辦法。如今，開發者們的注意力開始迅速地轉向比特幣技術的第二部分，區塊鏈怎樣應用於貨幣之外的領域。github

常被說起的應用，包括使用鏈上數字資產來表明定製貨幣和金融工具（彩色幣），某種基礎物理設備的全部權（智能資產），如域名同樣的沒有可替代性的資產（域名幣）以及如去中心化交易所，金融衍生品，點到點賭博和鏈上身份和信譽系統等更高級的應用。算法

另外一個常被問詢的重要領域是「智能合約」- 根據事先任意制訂的規則來自動轉移數字資產的系統。例如，一我的可能有一個存儲合約，形式爲「A能夠天天最多提現X個幣，B天天最多Y個，A和B一塊兒能夠隨意提取，A能夠停掉B的提現權」。這種合約的符合邏輯的擴展就是去中心化自治組織（DAOs）-長期的包含一個組織的資產並把組織的規則編碼的智能合約。以太坊的目標就是提供一個帶有內置的成熟的圖靈完備語言的區塊鏈，用這種語言能夠建立合約來編碼任意狀態轉換功能，用戶只要簡單地用幾行代碼來實現邏輯，就可以建立以上說起的全部系統以及許多咱們還想象不到的的其它系統。數據庫

歷史

去中心化的數字貨幣概念，正如財產登記這樣的替代應用同樣，早在幾十年之前就被提出來了。1980和1990年代的匿名電子現金協議，大部分是以喬姆盲籤技術（Chaumian blinding）爲基礎的。這些電子現金協議提供具備高度隱私性的貨幣，可是這些協議都沒有流行起來，由於它們都依賴於一箇中心化的中介機構。1998年，戴偉（Wei Dai）的b-money首次引入了經過解決計算難題和去中心化共識創造貨幣的思想，可是該建議並未給出如何實現去中心化共識的具體方法。2005年，芬尼（Hal Finney）引入了「可重複使用的工做量證實機制」（reusable proofs of work）概念，它同時使用b-money的思想和Adam Back提出的計算困難的哈希現金（Hashcash）難題來創造密碼學貨幣。可是，這種概念再次迷失於理想化，由於它依賴於可信任的計算做爲後端。瀏覽器

由於貨幣是一個先申請應用，交易的順序相當重要，因此去中心化的貨幣須要找到實現去中心化共識的方法。比特幣之前的全部電子貨幣協議所遇到的主要障礙是，儘管對如何建立安全的拜占庭問題容錯（Byzantine-fault-tolerant）多方共識系統的研究已經歷時多年，可是上述協議只解決了問題的一半。這些協議假設系統的全部參與者是已知的，併產生如「若是有N方參與到系統中，那麼系統能夠容忍N/4的惡意參與者」這樣形式的安全邊界。然而這個假設的問題在於，在匿名的狀況下，系統設置的安全邊界容易遭受女巫攻擊（是什麼？），由於一個攻擊者能夠在一臺服務器或者僵屍網絡上建立數以千計的節點，從而單方面確保擁有多數份額。安全

中本聰的創新是引入這樣一個理念：將一個很是簡單的基於節點的去中心化共識協議與工做量證實機制結合在一塊兒。節點經過工做量證實機制得到參與到系統的權利，每十分鐘將交易打包到「區塊」中，從而建立出不斷增加的區塊鏈。擁有大量算力的節點有更大的影響力，但得到比整個網絡更多的算力比建立一百萬個節點困可貴多。儘管比特幣區塊鏈模型很是簡陋，可是實踐證實它已經足夠好用了，在將來五年，它將成爲全世界兩百個以上的貨幣和協議的基石。

做爲狀態轉換系統的比特幣

從技術角度講，比特幣帳本能夠被認爲是一個狀態轉換系統，該系統包括全部現存的比特幣全部權狀態和「狀態轉換函數」。狀態轉換函數以當前狀態和交易爲輸入，輸出新的狀態。例如，在標準的銀行系統中，狀態就是一個資產負債表，一個從A帳戶向B帳戶轉帳X美圓的請求是一筆交易，狀態轉換函數將從A帳戶中減去X美圓，向B帳戶增長X美圓。若是A帳戶的餘額小於X美圓，狀態轉換函數就會返回錯誤提示。因此咱們能夠以下定義狀態轉換函數：

APPLY(S,TX) > S’ or ERROR

在上面提到的銀行系統中，狀態轉換函數以下：

APPLY({ Alice: $50, Bob: $50 },」send $20 from Alice to Bob」) = { Alice: $30,Bob: $70 }

可是：

APPLY({ Alice: $50, Bob: $50 },」send $70 from Alice to Bob」) = ERROR

比特幣系統的「狀態」是全部已經被挖出的、沒有花費的比特幣（技術上稱爲「未花費的交易輸出，unspent transaction outputs 或UTXO」）的集合。每一個UTXO都有一個面值和全部者（由20個字節的本質上是密碼學公鑰的地址所定義[1]）。一筆交易包括一個或多個輸入和一個或多個輸出。每一個輸入包含一個對現有UTXO的引用和由與全部者地址相對應的私鑰建立的密碼學簽名。每一個輸出包含一個新的加入到狀態中的UTXO。

在比特幣系統中，狀態轉換函數APPLY(S,TX)->S’大致上能夠以下定義：

交易的每一個輸入：
- 若是引用的UTXO不存在於如今的狀態中（S），返回錯誤提示
- 若是簽名與UTXO全部者的簽名不一致，返回錯誤提示
若是全部的UTXO輸入面值總額小於全部的UTXO輸出面值總額，返回錯誤提示
返回新狀態S’,新狀態S’中移除了全部的輸入UTXO，增長了全部的輸出UTXO。

第一步的第一部分防止交易的發送者花費不存在的比特幣，第二部分防止交易的發送者花費其餘人的比特幣。第二步確保價值守恆。比特幣的支付協議以下。假設Alice想給Bob發送11.7BTC。事實上，Alice不可能正好有11.7BTC。假設，她能獲得的最小數額比特幣的方式是：6+4+2=12。因此，她能夠建立一筆有3個輸入，2個輸出的交易。第一個輸出的面值是11.7BTC，全部者是Bob（Bob的比特幣地址），第二個輸出的面值是0.3BTC，全部者是Alice本身，也就是找零。

挖礦

若是咱們擁有可信任的中心化服務機構，狀態轉換系統能夠很容易地實現，能夠簡單地將上述功能準確編碼。然而，咱們想把比特幣系統建成爲去中心化的貨幣系統，爲了確保每一個人都贊成交易的順序，咱們須要將狀態轉換系統與一個共識系統結合起來。比特幣的去中心化共識進程要求網絡中的節點不斷嘗試將交易打包成「區塊」。網絡被設計爲大約每十分鐘產生一個區塊，每一個區塊包含一個時間戳、一個隨機數、一個對上一個區塊的引用（即哈希）和上一區塊生成以來發生的全部交易列表。這樣隨着時間流逝就建立出了一個持續增加的區塊鏈，它不斷地更新，從而可以表明比特幣帳本的最新狀態。

依照這個範式，檢查一個區塊是否有效的算法以下：

檢查區塊引用的上一個區塊是否存在且有效。
檢查區塊的時間戳是否晚於之前的區塊的時間戳，並且早於將來2小時[2]。
檢查區塊的工做量證實是否有效。
將上一個區塊的最終狀態賦於S[0]。
假設TX是區塊的交易列表，包含n筆交易。對於屬於0……n-1的全部i,進行狀態轉換S[i+1] = APPLY(S[i],TX[i])。若是任何一筆交易i在狀態轉換中出錯，退出程序，返回錯誤。
返回正確，狀態S[n]是這一區塊的最終狀態。

本質上，區塊中的每筆交易必須提供一個正確的狀態轉換，要注意的是，「狀態」並非編碼到區塊的。它純粹只是被校驗節點記住的抽象概念，對於任意區塊均可以從創世狀態開始，按順序加上每個區塊的每一筆交易，（妥妥地）計算出當前的狀態。另外，須要注意礦工將交易收錄進區塊的順序。若是一個區塊中有A、B兩筆交易，B花費的是A建立的UTXO，若是A在B之前，這個區塊是有效的，不然，這個區塊是無效的。

區塊驗證算法的有趣部分是「工做量證實」概念：對每一個區塊進行SHA256哈希處理，將獲得的哈希視爲長度爲256比特的數值，該數值必須小於不斷動態調整的目標數值，本書寫做時目標數值大約是2^190。工做量證實的目的是使區塊的建立變得困難，從而阻止女巫攻擊者惡意從新生成區塊鏈。由於SHA256是徹底不可預測的僞隨機函數，建立有效區塊的惟一方法就是簡單地不斷試錯，不斷地增長隨機數的數值，查看新的哈希數值是否小於目標數值。若是當前的目標數值是2^192，就意味着平均須要嘗試2^64次才能生成有效的區塊。通常而言，比特幣網絡每隔2016個區塊從新設定目標數值，保證平均每十分鐘生成一個區塊。爲了對礦工的計算工做進行獎勵，每個成功生成區塊的礦工有權在區塊中包含一筆憑空發給他們本身25BTC的交易。另外，若是交易的輸入大於輸出，差額部分就做爲「交易費用」付給礦工。順便提一下，對礦工的獎勵是比特幣發行的惟一機制，創世狀態中並無比特幣。

爲了更好地理解挖礦的目的，讓咱們分析比特幣網絡出現惡意攻擊者時會發生什麼。由於比特幣的密碼學基礎是很是安全的，因此攻擊者會選擇攻擊沒有被密碼學直接保護的部分：交易順序。攻擊者的策略很是簡單：

向賣家發送100BTC購買商品（尤爲是無需郵寄的電子商品）。
等待直至商品發出。
建立另外一筆交易，將相同的100BTC發送給本身的帳戶。
使比特幣網絡相信發送給本身帳戶的交易是最早發出的。

一旦步驟（1）發生，幾分鐘後礦工將把這筆交易打包到區塊，假設是第270000個區塊。大約一個小時之後，在此區塊後面將會有五個區塊，每一個區塊間接地指向這筆交易，從而確認這筆交易。這時賣家收到貨款，並向買家發貨。由於咱們假設這是數字商品，攻擊者能夠即時收到貨。如今，攻擊者建立另外一筆交易，將相同的100BTC發送到本身的帳戶。若是攻擊者只是向全網廣播這一消息，這一筆交易不會被處理。礦工會運行狀態轉換函數APPLY(S,TX)，發現這筆交易將花費已經不在狀態中的UTXO。因此，攻擊者會對區塊鏈進行分叉，將第269999個區塊做爲父區塊從新生成第270000個區塊，在此區塊中用新的交易取代舊的交易。由於區塊數據是不一樣的，這要求從新進行工做量證實。另外，由於攻擊者生成的新的第270000個區塊有不一樣的哈希，因此原來的第270001到第270005的區塊不指向它，所以原有的區塊鏈和攻擊者的新區塊是徹底分離的。在發生區塊鏈分叉時，區塊鏈長的分支被認爲是誠實的區塊鏈，合法的的礦工將會沿着原有的第270005區塊後挖礦，只有攻擊者一人在新的第270000區塊後挖礦。攻擊者爲了使得他的區塊鏈最長，他須要擁有比除了他之外的全網更多的算力來追趕（即51%攻擊）。

默克爾樹

左：僅提供默克爾樹（Merkle tree）上的少許節點已經足夠給出分支的合法證實。

右：任何對於默克爾樹的任何部分進行改變的嘗試都會最終致使鏈上某處的不一致。

比特幣系統的一個重要的可擴展特性是：它的區塊存儲在多層次的數據結構中。一個區塊的哈希實際上只是區塊頭的哈希，區塊頭是包含時間戳、隨機數、上個區塊哈希和存儲了全部的區塊交易的默克爾樹的根哈希的長度大約爲200字節的一段數據。

默克爾樹是一種二叉樹，由一組葉節點、一組中間節點和一個根節點構成。最下面的大量的葉節點包含基礎數據，每一箇中間節點是它的兩個子節點的哈希，根節點也是由它的兩個子節點的哈希，表明了默克爾樹的頂部。默克爾樹的目的是容許區塊的數據能夠零散地傳送：節點能夠從一個源下載區塊頭，從另外的源下載與其有關的樹的其它部分，而依然可以確認全部的數據都是正確的。之因此如此是由於哈希向上的擴散：若是一個惡意用戶嘗試在樹的下部加入一個僞造的交易，所引發的改動將致使樹的上層節點的改動，以及更上層節點的改動，最終致使根節點的改動以及區塊哈希的改動，這樣協議就會將其記錄爲一個徹底不一樣的區塊（幾乎能夠確定是帶着不正確的工做量證實的）。

默克爾樹協議對比特幣的長期持續性能夠說是相當重要的。在2014年4月，比特幣網絡中的一個全節點-存儲和處理全部區塊的所有數據的節點-須要佔用15GB的內存空間，並且還以每月超過1GB的速度增加。目前，這一存儲空間對臺式計算機來講尚可接受，可是手機已經負載不了如此巨大的數據了。將來只有商業機構和愛好者纔會充當完整節點。簡化支付確認（SPV)協議容許另外一種節點存在，這樣的節點被成爲「輕節點」，它下載區塊頭，使用區塊頭確認工做量證實，而後只下載與其交易相關的默克爾樹「分支」。這使得輕節點只要下載整個區塊鏈的一小部分，就能夠安全地肯定任何一筆比特幣交易的狀態和帳戶的當前餘額。

其它的區塊鏈應用

將區塊鏈的思想應用到其它領域的想法早就出現了。在2005年，尼克薩博提出了「用全部權爲財產冠名」的概念，文中描述了複製數據庫技術的發展如何使基於區塊鏈的系統能夠應用於登記土地全部權，建立包括例如房產權、違法侵佔和喬治亞州土地稅等概念的詳細框架。然而，不幸的是在那時尚未實用的複製數據庫系統，因此這個協議被沒有被付諸實踐。不過，自2009年比特幣系統的去中心化共識開發成功以來，許多區塊鏈的其它應用開始快速出現。

域名幣（namecoin）- 建立於2010年，被稱爲去中心化的名稱註冊數據庫。像Tor、Bitcoin和BitMessage這樣的去中心化協議，須要一些確認帳戶的方法，這樣其餘人才可以與用戶進行交互。可是，在全部的現存的解決方案中僅有的可用的身份標識是象1LW79wp5ZBqaHW1jL5TciBCrhQYtHagUWy這樣的僞隨機哈希。理想的狀況下，人們但願擁有一個帶有象「george」這樣的名稱的帳戶。然而，問題是若是有人能夠建立「george」帳戶，那麼其餘人一樣也能夠建立「george」帳戶來假扮。惟一的解決方法是先申請原則（first-to-file），只有第一個註冊者能夠成功註冊，第二個不能再次註冊同一個帳戶。這一問題就能夠利用比特幣的共識協議。域名幣是利用區塊鏈實現名稱註冊系統的最先的、最成功的系統。
彩色幣（Colored coins）- 彩色幣的目的是爲人們在比特幣區塊鏈上建立本身的數字貨幣，或者，在更重要的通常意義上的貨幣 – 數字令牌提供服務。依照彩色幣協議，人們能夠經過爲某一特別的比特幣UTXO指定顏色，發行新的貨幣。該協議遞歸地將其它UTXO定義爲與交易輸入UTXO相同的顏色。這就容許用戶保持只包含某一特定顏色的UTXO，發送這些UTXO就像發送普通的比特幣同樣，經過回溯所有的區塊鏈判斷收到的UTXO顏色。
元幣（Metacoins）- 元幣的理念是在比特幣區塊鏈上建立新的協議，利用比特幣的交易保存元幣的交易，可是採用了不一樣的狀態轉換函數APPLY’。由於元幣協議不能阻止比特幣區塊鏈上的無效的元幣交易，因此增長一個規則若是APPLY’(S,TX)返回錯誤，這一協議將默認APPLY’(S,TX) = S。這爲建立任意的、先進的不能在比特幣系統中實現的密碼學貨幣協議提供了一個簡單的解決方法，並且開發成本很是低，由於挖礦和網絡的問題已經由比特幣協議處理好了。

所以，通常而言，創建共識協議有兩種方法：創建一個獨立的網絡和在比特幣網絡上創建協議。雖然像域名幣這樣的應用使用第一種方法已經得到了成功，可是該方法的實施很是困難，由於每個應用須要建立獨立的區塊鏈和創建、測試全部狀態轉換和網絡代碼。另外，咱們預測去中心化共識技術的應用將會服從冪律分佈，大多數的應用過小不足以保證自由區塊鏈的安全，咱們還注意到大量的去中心化應用，尤爲是去中心化自治組織，須要進行應用之間的交互。

另外一方面，基於比特幣的方法存在缺點，它沒有繼承比特幣能夠進行簡化確認支付（SPV) 的特性。比特幣能夠實現簡化確認支付，由於比特幣能夠將區塊鏈深度做爲有效性確認代理。在某一點上，一旦一筆交易的祖先們距離如今足夠遠時，就能夠認爲它們是合法狀態的一部分。與之相反，基於比特幣區塊鏈的元幣協議不能強迫區塊鏈不包括不符合元幣協議的交易。所以，安全的元幣協議的簡化支付確認須要後向掃描全部的區塊，直到區塊鏈的初始點，以確認某一交易是否有效。目前，全部基於比特幣的元幣協議的「輕」實施都依賴可信任的服務器提供數據，這對主要目的之一是消除信任須要的密碼學貨幣而言，只是一個至關次優的結果。

腳本

即便不對比特幣協議進行擴展，它也能在必定程度上實現」智能合約」。比特幣的UTXO能夠被不僅一個公鑰擁有，也能夠被用基於堆棧的編程語言所編寫的更加複雜的腳本所擁有。在這一模式下，花費這樣的UTXO，必須提供知足腳本的數據。事實上，基本的公鑰全部權機制也是經過腳本實現的：腳本將橢圓曲線簽名做爲輸入，驗證交易和擁有這一UTXO的地址，若是驗證成功，返回1，不然返回0。更加複雜的腳本用於其它不一樣的應用狀況。例如，人們能夠建立要求集齊三把私鑰中的兩把才能進行交易確認的腳本（多重簽名），對公司帳戶、儲蓄帳戶和某些商業代理來講，這種腳本是很是有用的。腳本也能用來對解決計算問題的用戶發送獎勵。人們甚至能夠建立這樣的腳本「若是你可以提供你已經發送必定數額的的狗幣給個人簡化確認支付證實，這一比特幣UTXO就是你的了」，本質上，比特幣系統容許不一樣的密碼學貨幣進行去中心化的兌換。

然而，比特幣系統的腳本語言存在一些嚴重的限制：

缺乏圖靈完備性 – 這就是說，儘管比特幣腳本語言能夠支持多種計算，可是它不能支持全部的計算。最主要的缺失是循環語句。不支持循環語句的目的是避免交易確認時出現無限循環。理論上，對於腳本程序員來講，這是能夠克服的障礙，由於任何循環均可以用屢次重複if 語句的方式來模擬，可是這樣作會致使腳本空間利用上的低效率，例如，實施一個替代的橢圓曲線簽名算法可能將須要256次重複的乘法，而每次都須要單獨編碼。
價值盲（Value-blindness）。UTXO腳本不能爲帳戶的取款額度提供精細的控制。例如，預言機合約（oracle contract）的一個強大應用是對衝合約，A和B各自向對衝合約中發送價值1000美圓的比特幣，30天之後，腳本向A發送價值1000美圓的比特幣，向B發送剩餘的比特幣。雖然實現對衝合約須要一個預言機（oracle）決定一比特幣值多少美圓，可是與如今徹底中心化的解決方案相比，這一機制已經在減小信任和基礎設施方面有了巨大的進步。然而，由於UTXO是不可分割的，爲實現此合約，惟一的方法是很是低效地採用許多有不一樣面值的UTXO（例如對應於最大爲30的每一個k，有一個2^k的UTXO)並使預言機挑出正確的UTXO發送給A和B。
缺乏狀態 – UTXO只能是已花費或者未花費狀態，這就沒有給須要任何其它內部狀態的多階段合約或者腳本留出生存空間。這使得實現多階段期權合約、去中心化的交換要約或者兩階段加密承諾協議（對確保計算獎勵很是必要）很是困難。這也意味着UTXO只能用於創建簡單的、一次性的合約，而不是例如去中心化組織這樣的有着更加複雜的狀態的合約，使得元協議難以實現。二元狀態與價值盲結合在一塊兒意味着另外一個重要的應用-取款限額-是不可能實現的。
區塊鏈盲（Blockchain-blindness）- UTXO看不到區塊鏈的數據，例如隨機數和上一個區塊的哈希。這一缺陷剝奪了腳本語言所擁有的基於隨機性的潛在價值，嚴重地限制了博彩等其它領域應用。

咱們已經考察了在密碼學貨幣上創建高級應用的三種方法：創建一個新的區塊鏈，在比特幣區塊鏈上使用腳本，在比特幣區塊鏈上創建元幣協議。創建新區塊鏈的方法能夠自由地實現任意的特性，成本是開發時間和培育努力。使用腳本的方法很是容易實現和標準化，可是它的能力有限。元幣協議儘管很是容易實現，可是存在擴展性差的缺陷。在以太坊系統中，咱們的目的是創建一個可以同時具備這三種模式的全部優點的通用框架。

以太坊

以太坊的目的是基於腳本、競爭幣和鏈上元協議（on-chain meta-protocol）概念進行整合和提升，使得開發者可以建立任意的基於共識的、可擴展的、標準化的、特性完備的、易於開發的和協同的應用。以太坊經過創建終極的抽象的基礎層-內置有圖靈完備編程語言的區塊鏈-使得任何人都可以建立合約和去中心化應用，並在其中設立他們自由定義的全部權規則、交易方式和狀態轉換函數。域名幣的主體框架只須要兩行代碼就能夠實現，諸如貨幣和信譽系統等其它協議只須要不到二十行代碼就能夠實現。智能合約-包含價值並且只有知足某些條件才能打開的加密箱子-也能在咱們的平臺上建立，而且由於圖靈完備性、價值知曉（value-awareness）、區塊鏈知曉（blockchain-awareness）和多狀態所增長的力量，而比比特幣腳本所能提供的智能合約強大得多。

以太坊帳戶

在以太坊系統中，狀態是由被稱爲「帳戶」（每一個帳戶由一個20字節的地址）的對象和在兩個帳戶之間轉移價值和信息的狀態轉換構成的。以太坊的帳戶包含四個部分：

隨機數，用於肯定每筆交易只能被處理一次的計數器
帳戶目前的以太幣餘額
帳戶的合約代碼，若是有的話
帳戶的存儲（默認爲空）

以太幣（Ether）是以太坊內部的主要加密燃料，用於支付交易費用。通常而言，以太坊有兩種類型的帳戶：外部全部的帳戶（由私鑰控制的）和合約帳戶（由合約代碼控制）。外部全部的帳戶沒有代碼，人們能夠經過建立和簽名一筆交易從一個外部帳戶發送消息。每當合約帳戶收到一條消息，合約內部的代碼就會被激活，容許它對內部存儲進行讀取和寫入，和發送其它消息或者建立合約。

消息和交易

以太坊的消息在某種程度上相似於比特幣的交易，可是二者之間存在三點重要的不一樣。第一，以太坊的消息能夠由外部實體或者合約建立，然而比特幣的交易只能從外部建立。第二，以太坊消息能夠選擇包含數據。第三，若是以太坊消息的接受者是合約帳戶，能夠選擇進行迴應，這意味着以太坊消息也包含函數概念。

以太坊中「交易」是指存儲從外部帳戶發出的消息的簽名數據包。交易包含消息的接收者、用於確認發送者的簽名、以太幣帳戶餘額、要發送的數據和兩個被稱爲STARTGAS和GASPRICE的數值。爲了防止代碼的指數型爆炸和無限循環，每筆交易須要對執行代碼所引起的計算步驟-包括初始消息和全部執行中引起的消息-作出限制。STARTGAS就是限制，GASPRICE是每一計算步驟須要支付礦工的費用。若是執行交易的過程當中，「用完了燃料」，全部的狀態改變恢復原狀態，可是已經支付的交易費用不可收回了。若是執行交易停止時還剩餘燃料，那麼這些燃料將退還給發送者。建立合約有單獨的交易類型和相應的消息類型；合約的地址是基於帳號隨機數和交易數據的哈希計算出來的。

消息機制的一個重要後果是以太坊的「頭等公民」財產-合約與外部帳戶擁有一樣權利，包括髮送消息和建立其它合約的權利。這使得合約能夠同時充當多個不一樣的角色，例如，用戶能夠使去中心化組織（一個合約）的一個成員成爲一箇中介帳戶（另外一個合約），爲一個偏執的使用定製的基於量子證實的蘭波特簽名（第三個合約）的我的和一個自身使用由五個私鑰保證安全的帳戶（第四個合約）的共同簽名實體提供居間服務。以太坊平臺的強大之處在於去中心化的組織和代理合約不須要關心合約的每一參與方是什麼類型的帳戶。

以太坊狀態轉換函數

以太坊的狀態轉換函數：APPLY(S,TX) -> S’，能夠定義以下：

檢查交易的格式是否正確（即有正確數值）、簽名是否有效和隨機數是否與發送者帳戶的隨機數匹配。如否，返回錯誤。
計算交易費用:fee=STARTGAS * GASPRICE，並從簽名中肯定發送者的地址。從發送者的帳戶中減去交易費用和增長髮送者的隨機數。若是帳戶餘額不足，返回錯誤。
設定初值GAS = STARTGAS，並根據交易中的字節數減去必定量的燃料值。
從發送者的帳戶轉移價值到接收者帳戶。若是接收帳戶還不存在，建立此帳戶。若是接收帳戶是一個合約，運行合約的代碼，直到代碼運行結束或者燃料用完。
若是由於發送者帳戶沒有足夠的錢或者代碼執行耗盡燃料致使價值轉移失敗，恢復原來的狀態，可是還須要支付交易費用，交易費用加至礦工帳戶。
不然，將全部剩餘的燃料歸還給發送者，消耗掉的燃料做爲交易費用發送給礦工。

例如，假設合約的代碼以下：

if !contract.storage[msg.data[0]]:

contract.storage[msg.data[0]] = msg.data[1]

須要注意的是，在現實中合約代碼是用底層以太坊虛擬機（EVM）代碼寫成的。上面的合約是用咱們的高級語言Serpent語言寫成的，它能夠被編譯成EVM代碼。假設合約存儲器開始時是空的，一個值爲10以太，燃料爲2000，燃料價格爲0.001以太而且兩個數據字段值爲[ 2, ‘CHARLIE’ ] [3]的交易發送後，狀態轉換函數的處理過程以下：

檢查交易是否有效、格式是否正確。
檢查交易發送者至少有2000*0.001=2個以太幣。若是有，從發送者帳戶中減去2個以太幣。
初始設定gas=2000,假設交易長爲170字節，每字節的費用是5，減去850，因此還剩1150。
從發送者帳戶減去10個以太幣，爲合約帳戶增長10個以太幣。
運行代碼。在這個合約中，運行代碼很簡單：它檢查合約存儲器索引爲2處是否已使用，注意到它未被使用，而後將其值置爲CHARLIE。假設這消耗了187單位的燃料，因而剩餘的燃料爲1150 – 187 = 963。

６. 向發送者的帳戶增長963*0.001=0.963個以太幣，返回最終狀態。

若是沒有合約接收交易，那麼全部的交易費用就等於GASPRICE乘以交易的字節長度，交易的數據就與交易費用無關了。另外，須要注意的是，合約發起的消息能夠對它們產生的計算分配燃料限額，若是子計算的燃料用完了，它只恢復到消息發出時的狀態。所以，就像交易同樣，合約也能夠經過對它產生的子計算設置嚴格的限制，保護它們的計算資源。

代碼執行

以太坊合約的代碼使用低級的基於堆棧的字節碼的語言寫成的，被稱爲「以太坊虛擬機代碼」或者「EVM代碼」。代碼由一系列字節構成，每個字節表明一種操做。通常而言，代碼執行是無限循環，程序計數器每增長一（初始值爲零）就執行一次操做，直到代碼執行完畢或者遇到錯誤，STOP或者RETURN指令。操做能夠訪問三種存儲數據的空間：

堆棧，一種後進先出的數據存儲，32字節的數值能夠入棧，出棧。
內存，可無限擴展的字節隊列。
合約的長期存儲，一個祕鑰/數值的存儲，其中祕鑰和數值都是32字節大小，與計算結束即重置的堆棧和內存不一樣，存儲內容將長期保持。

代碼能夠象訪問區塊頭數據同樣訪問數值，發送者和接受到的消息中的數據，代碼還能夠返回數據的字節隊列做爲輸出。

EVM代碼的正式執行模型使人驚訝地簡單。當以太坊虛擬機運行時，它的完整的計算狀態能夠由元組(block_state, transaction, message, code, memory, stack, pc, gas)來定義，這裏block_state是包含全部帳戶餘額和存儲的全局狀態。每輪執行時，經過調出代碼的第pc（程序計數器）個字節，當前指令被找到，每一個指令都有定義本身如何影響元組。例如，ADD將兩個元素出棧並將它們的和入棧，將gas（燃料）減一併將pc加一，SSTORE將頂部的兩個元素出棧並將第二個元素插入到由第一個元素定義的合約存儲位置，一樣減小最多200的gas值並將pc加一，雖然有許多方法經過即時編譯去優化以太坊，但以太坊的基礎性的實施能夠用幾百行代碼實現。

區塊鏈和挖礦

雖然有一些不一樣，但以太坊的區塊鏈在不少方面相似於比特幣區塊鏈。它們的區塊鏈架構的不一樣在於，以太坊區塊不只包含交易記錄和最近的狀態，還包含區塊序號和難度值。以太坊中的區塊確認算法以下：

檢查區塊引用的上一個區塊是否存在和有效。
檢查區塊的時間戳是否比引用的上一個區塊大，並且小於15分鐘。
檢查區塊序號、難度值、交易根，叔根和燃料限額（許多以太坊特有的底層概念）是否有效。
檢查區塊的工做量證實是否有效。
將S[0]賦值爲上一個區塊的STATE_ROOT。
將TX賦值爲區塊的交易列表，一共有n筆交易。對於屬於0……n-1的i，進行狀態轉換S[i+1] = APPLY(S[i],TX[i])。若是任何一個轉換髮生錯誤，或者程序執行到此處所花費的燃料（gas）超過了GASLIMIT，返回錯誤。
用S[n]給S_FINAL賦值, 向礦工支付區塊獎勵。
檢查S-FINAL是否與STATE_ROOT相同。若是相同，區塊是有效的。不然，區塊是無效的。

這一確認方法乍看起來彷佛效率很低，由於它須要存儲每一個區塊的全部狀態，可是事實上以太坊的確認效率能夠與比特幣相提並論。緣由是狀態存儲在樹結構中（tree structure），每增長一個區塊只須要改變樹結構的一小部分。所以，通常而言，兩個相鄰的區塊的樹結構的大部分應該是相同的，所以存儲一次數據，能夠利用指針（即子樹哈希）引用兩次。一種被稱爲「帕特里夏樹」（「Patricia Tree」）的樹結構能夠實現這一點，其中包括了對默克爾樹概念的修改，不只容許改變節點，並且還能夠插入和刪除節點。另外，由於全部的狀態信息是最後一個區塊的一部分，因此沒有必要存儲所有的區塊歷史-這一方法若是可以能夠應用到比特幣系統中，經計算能夠對存儲空間有10-20倍的節省。

應用

通常來說，以太坊之上有三種應用。第一類是金融應用，爲用戶提供更強大的用他們的錢管理和參與合約的方法。包括子貨幣，金融衍生品，對衝合約，儲蓄錢包，遺囑，甚至一些種類的全面的僱傭合約。第二類是半金融應用，這裏有錢的存在但也有很重的非金錢的方面，一個完美的例子是爲解決計算問題而設的自我強制懸賞。最後，還有在線投票和去中心化治理這樣的徹底的非金融應用。

令牌系統

鏈上令牌系統有不少應用，從表明如美圓或黃金等資產的子貨幣到公司股票，單獨的令牌表明智能資產，安全的不可僞造的優惠券，甚至與傳統價值徹底沒有聯繫的用來進行積分獎勵的令牌系統。在以太坊中實施令牌系統容易得讓人吃驚。關鍵的一點是理解，全部的貨幣或者令牌系統，從根本上來講是一個帶有以下操做的數據庫：從A中減去X單位並把X單位加到B上，前提條件是(1)A在交易以前有至少X單位以及(2)交易被A批准。實施一個令牌系統就是把這樣一個邏輯實施到一個合約中去。

用Serpent語言實施一個令牌系統的基本代碼以下：

from = msg.sender

to = msg.data[0]

value = msg.data[1]

if contract.storage[from] >= value:

contract.storage[from] = contract.storage[from] value

contract.storage[to] = contract.storage[to] + value

這從本質上來講是本文將要進一步描述的「銀行系統」狀態轉變功能的一個最小化實施。須要增長一些額外的代碼以提供在初始和其它一些邊緣狀況下分發貨幣的功能，理想狀況下會增長一個函數讓其它合約來查詢一個地址的餘額。就足夠了。理論上，基於以太坊的充當子貨幣的令牌系統可能包括一個基於比特幣的鏈上元幣所缺少的重要功能：直接用這種貨幣支付交易費的能力。實現這種能力的方法是在合約裏維護一個以太幣帳戶以用來爲發送者支付交易費，經過收集被用來充當交易費用的內部貨幣並把它們在一個不斷運行的拍賣中拍賣掉，合約不斷爲該以太幣帳戶注資。這樣用戶須要用以太幣「激活」他們的帳戶，但一旦帳戶中有以太幣它將會被重複使用由於每次合約都會爲其充值。

金融衍生品和價值穩定的貨幣

金融衍生品是「智能合約」的最廣泛的應用，也是最易於用代碼實現的之一。實現金融合約的主要挑戰是它們中的大部分須要參照一個外部的價格發佈器；例如，一個需求很是大的應用是一個用來對衝以太幣（或其它密碼學貨幣）相對美圓價格波動的智能合約，但該合約須要知道以太幣相對美圓的價格。最簡單的方法是經過由某特定機構（例如納斯達克）維護的「數據提供「合約進行，該合約的設計使得該機構可以根據須要更新合約，並提供一個接口使得其它合約可以經過發送一個消息給該合約以獲取包含價格信息的回覆。

當這些關鍵要素都齊備，對衝合約看起來會是下面的樣子：

等待A輸入1000以太幣。.

等待B 輸入1000以太幣。

經過查詢數據提供合約，將1000以太幣的美圓價值，例如，x美圓，記錄至存儲器。

30天后，容許A或B「從新激活「合約以發送價值x美圓的以太幣（從新查詢數據提供合約，以獲取新價格並計算）給A並將剩餘的以太幣發送給B。

這樣的合約在密碼學商務中有非同尋常的潛力。密碼學貨幣常常被詬病的一個問題就是其價格的波動性；雖然大量的用戶和商家可能須要密碼學資產所帶來的安全和便利，可他們不太會樂意麪對一天中資產跌去23%價值的情形。直到如今，最爲常見的推薦方案是發行者背書資產；思想是發行者建立一種子貨幣，對此種子貨幣他們有權發行和贖回，給予（線下）提供給他們一個單位特定相關資產（例如黃金，美圓）的人一個單位子貨幣。發行者承諾當任何人送還一個單位密碼學資產時。發還一個單位的相關資產。這種機制可以使任何非密碼學資產被「升級「爲密碼學資產，若是發行者值得信任的話。

然而實踐中發行者並不是老是值得信任的，而且一些狀況下銀行體系太脆弱，或者不夠誠實守信從而使這樣的服務沒法存在。金融衍生品提供了一種替代方案。這裏將再也不有提供儲備以支撐一種資產的單獨的發行者，取而代之的是一個由賭一種密碼學資產的價格會上升的投機者構成的去中心化市場。與發行者不一樣，投機者一方沒有討價還價的權利，由於對衝合約把他們的儲備凍結在了契約中。注意這種方法並不是是徹底去中心化的，由於依然須要一個可信任的提供價格信息的數據源，儘管依然有爭議這依然是在下降基礎設施需求（與發行者不一樣，一個價格發佈器不須要牌照而且彷佛可歸爲自由言論一類）和下降潛在欺詐風險方面的一個巨大的進步。

身份和信譽系統

最先的替代幣，域名幣，嘗試使用一個類比特幣塊鏈來提供一個名稱註冊系統，在那裏用戶能夠將他們的名稱和其它數據一塊兒在一個公共數據庫註冊。最經常使用的應用案例把象「bitcoin.org「（或者再域名幣中，」bitcoin.bit「）同樣的域名與一個IP地址對應的域名系統。其它的應用案例包括電子郵件驗證系統和潛在的更先進的信譽系統。這裏是以太坊中提供與域名幣相似的的名稱註冊系統的基礎合約：

if !contract.storage[tx.data[0]]:

contract.storage[tx.data[0]] = tx.data[1]

合約很是簡單；就是一個以太坊網絡中的能夠被添加但不能被修改或移除的數據庫。任何人均可以把一個名稱註冊爲一個值並永遠不變。一個更復雜的名稱註冊合約將包含容許其餘合約查詢的「功能條款「，以及一個讓一個名稱的」擁有者「（即第一個註冊者）修改數據或者轉讓全部權的機制。甚至能夠在其上添加信譽和信任網絡功能。

去中心化存儲

在過去的幾年裏出現了一些大衆化的在線文件存儲初創公司，最突出的是Dropbox，它尋求容許用戶上傳他們的硬盤備份，提供備份存儲服務並容許用戶訪問從而按月向用戶收取費用。然而，在這一點上這個文件存儲市場有時相對低效；對現存服務的粗略觀察代表，特別地在「神祕谷「20-200GB這一既沒有免費空間也沒有企業級用戶折扣的水平上，主流文件存儲成本每個月的價格意味着支付在一個月裏支付整個硬盤的成本。以太坊合約容許去中心化存儲生態的開發，這樣用戶經過將他們本身的硬盤或未用的網絡空間租出去以得到少許收益，從而下降了文件存儲的成本。

這樣的設施的基礎性構件就是咱們所謂的「去中心化Dropbox合約「。這個合約工做原理以下。首先，某人將須要上傳的數據分紅塊，對每一塊數據加密以保護隱私，而且以此構建一個默克爾樹。而後建立一個含如下規則的合約，每N個塊，合約將從默克爾樹中抽取一個隨機索引（使用可以被合約代碼訪問的上一個塊的哈希來提供隨機性），而後給第一個實體X以太以支撐一個帶有相似簡化驗證支付（SPV）的在樹中特定索引處的塊的全部權證實。當一個用戶想從新下載他的文件，他能夠使用微支付通道協議（例如每32k字節支付1薩博）恢復文件；從費用上講最高效的方法是支付者不到最後不發佈交易，而是用一個略微更合算的帶有一樣隨機數的交易在每32k字節以後來代替原交易。

這個協議的一個重要特徵是，雖然看起來象是一我的信任許多不許備丟失文件的隨機節點，可是他能夠經過祕密分享把文件分紅許多小塊，而後經過監視合同得知每一個小塊都還被某個節點的保存着。若是一個合約依然在付款，那麼就提供了某我的依然在保存文件的證據。

去中心化自治組織（DAO）

一般意義上「去中心化自治組織（DAO, decentralized autonomous organization）」的概念指的是一個擁有必定數量成員或股東的虛擬實體，依靠好比67%多數來決定花錢以及修改代碼。成員會集體決定組織如何分配資金。分配資金的方法多是懸賞，工資或者更有吸引力的機制好比用內部貨幣獎勵工做。這僅僅使用密碼學塊鏈技術就從根本上覆制了傳統公司或者非營利組織的法律意義以實現強制執行。至此許多圍繞DAO的討論都是圍繞一個帶有接受分成的股東和可交易的股份的「去中心化自治公司（DAC，decentralized autonomous corporation）」的「資本家」模式；做爲替代者，一個被描述爲「去中心化自治社區（decentralized autonomous community）」的實體將使全部成員都在決策上擁有同等的權利而且在增減成員時要求67%多數贊成。每一個人都只能擁有一個成員資格這一規則須要被羣體強制實施。

下面是一個如何用代碼實現DO的綱要。最簡單的設計就是一段若是三分之二成員贊成就能夠自我修改的代碼。雖然理論上代碼是不可更改的，然而經過把代碼主幹放在一個單獨的合約內而且把合約調用的地址指向一個可更改的存儲依然能夠容易地繞開障礙而使代碼變得可修改，在一個這樣的DAO合約的簡單實現中有三種交易類型，由交易提供的數據區分：

[0,i,K,V] 註冊索引爲i 的對存儲地址索引爲K 至 v 的內容的更改建議。
[0,i] 註冊對建議i 的投票。
[2,i] 若有足夠投票則確認建議i。

而後合約對每一項都有具體的條款。它將維護一個全部開放存儲的更改記錄以及一個誰投票表決的表。還有一個全部成員的表。當任何存儲內容的更改得到了三分之二多數贊成，一個最終的交易將執行這項更改。一個更加複雜的框架會增長內置的選舉功能以實現如發送交易，增減成員，甚至提供委任制民主一類的投票表明（即任何人均可以委託另一我的來表明本身投票，並且這種委託關係是能夠傳遞的，因此若是A委託了B而後B委託了C那麼C將決定A的投票）。這種設計將使DAO做爲一個去中心化社區有機地成長，令人們最終可以把挑選合適人選的任務交給專家，與當前系統不一樣，隨着社區成員不斷改變他們的站隊假以時日專家會容易地出現和消失。

一個替代的模式是去中心化公司，那裏任何帳戶能夠擁有0到更多的股份，決策須要三分之二多數的股份贊成。一個完整的框架將包括資產管理功能-能夠提交買賣股份的訂單以及接受這種訂單的功能（前提是合約裏有訂單匹配機制）。表明依然以委任制民主的方式存在，產生了「董事會」的概念。

更先進的組織治理機制可能會在未來實現；如今一個去中心化組織（DO）能夠從去中心化自治組織（DAO）開始描述。DO和DAO的區別是模糊的，一個大體的分割線是治理是否能夠經過一個相似政治的過程或者一個「自動」過程實現，一個不錯的直覺測試是「無通用語言」標準：若是兩個成員不說一樣的語言組織還能正常運行嗎？顯然，一個簡單的傳統的持股式公司會失敗，而像比特幣協議這樣的卻極可能成功，羅賓·漢森的「futarchy」，一個經過預測市場實現組織化治理的機制是一個真正的說明「自治」式治理多是什麼樣子的好例子。注意一我的無需假設全部DAO比全部DO優越；自治只是一個在一些特定場景下有很大優點的，但在其它地方未必可行的範式，許多半DAO可能存在。

進一步的應用 1. 儲蓄錢包。假設Alice想確保她的資金安全，但她擔憂丟失或者被黑客盜走私鑰。她把以太幣放到和Bob簽定的一個合約裏，以下所示，這合同是一個銀行： Alice單獨天天最多可提取1%的資金。 Bob單獨天天最多可提取1%的資金，但Alice能夠用她的私鑰建立一個交易取消Bob的提現權限。 Alice 和 Bob 一塊兒能夠任意提取資金。通常來說，天天1%對Alice足夠了，若是Alice想提現更多她能夠聯繫Bob尋求幫助。若是Alice的私鑰被盜，她能夠當即找到Bob把她的資金轉移到一個新合同裏。若是她弄丟了她的私鑰，Bob能夠慢慢地把錢提出。若是Bob表現出了惡意，她能夠關掉他的提現權限。 2. 做物保險。一我的能夠很容易地以天氣狀況而不是任何價格指數做爲數據輸入來建立一個金融衍生品合約。若是一個愛荷華的農民購買了一個基於愛荷華的降雨狀況進行反向賠付的金融衍生品，那麼若是遇到乾旱，該農民將自動地收到賠付資金而若是有足量的降雨他會很開心由於他的做物收成會很好。 3. 一個去中心化的數據發佈器。對於基於差別的金融合約，事實上經過過「謝林點」協議將數據發佈器去中心化是可能的。謝林點的工做原理以下：N方爲某個指定的數據提供輸入值到系統（例如ETH/USD價格），全部的值被排序，每一個提供25%到75%之間的值的節點都會得到獎勵，每一個人都有激勵去提供他人將提供的答案，大量玩家能夠真正贊成的答案明顯默認就是正確答案，這構造了一個能夠在理論上提供不少數值，包括ETH/USD價格，柏林的溫度甚至某個特別困難的計算的結果的去中心化協議。 4. 多重簽名智能契約。比特幣容許基於多重簽名的交易合約，例如，5把私鑰裏集齊3把就能夠使用資金。以太坊能夠作得更細化，例如，5把私鑰裏集齊4把能夠花所有資金，若是隻3把則天天最多花10%的資金，只有2把就只能天天花0.5%的資金。另外，以太坊裏的多重簽名是異步的，意思是說，雙方能夠在不一樣時間在區塊鏈上註冊簽名，最後一個簽名到位後就會自動發送交易。 5. 雲計算。EVM技術還可被用來建立一個可驗證的計算環境，容許用戶邀請他人進行計算而後選擇性地要求提供在必定的隨機選擇的檢查點上計算被正確完成的證據。這使得建立一個任何用戶均可以用他們的臺式機，筆記本電腦或者專用服務器參與的雲計算市場成爲可能，現場檢查和安全保證金能夠被用來確保系統是值得信任的（即沒有節點能夠因欺騙獲利）。雖然這樣一個系統可能並不適用全部任務；例如，須要高級進程間通訊的任務就不易在一個大的節點雲上完成。然而一些其它的任務就很容易實現並行；SETI@home, folding@home和基因算法這樣的項目就很容易在這樣的平臺上進行。 6. 點對點賭博。任意數量的點對點賭博協議均可以搬到以太坊的區塊鏈上，例如Frank Stajano和Richard Clayton的Cyberdice。最簡單的賭博協議事實上是這樣一個簡單的合約，它用來賭下一個區塊的哈稀值與猜想值之間的差額, 據此能夠建立更復雜的賭博協議，以實現近乎零費用和無欺騙的賭博服務。 7. 預測市場。無論是有神諭仍是有謝林幣，預測市場都會很容易實現，帶有謝林幣的預測市場可能會被證實是第一個主流的做爲去中心化組織管理協議的「 futarchy」應用。 8. 鏈上去中心化市場，以身份和信譽系統爲基礎。

雜項和關注

改進版幽靈協議的實施

「幽靈「協議（」Greedy Heaviest Observed Subtree」 (GHOST) protocol）是由Yonatan Sompolinsky 和 Aviv Zohar在2013年12月引入的創新。幽靈協議提出的動機是當前快速確認的塊鏈由於區塊的高做廢率而受到低安全性困擾；由於區塊須要花必定時間（設爲t）擴散至全網，若是礦工A挖出了一個區塊而後礦工B碰巧在A的區塊擴散至B以前挖出了另一個區塊，礦工B的區塊就會做廢而且沒有對網絡安全做出貢獻。此外，這裏還有中心化問題：若是A是一個擁有全網30%算力的礦池而B擁有10%的算力，A將面臨70%的時間都在產生做廢區塊的風險而B在90%的時間裏都在產生做廢區塊。所以，若是做廢率高，A將簡單地由於更高的算力份額而更有效率，綜合這兩個因素，區塊產生速度快的塊鏈極可能致使一個礦池擁有實際上可以控制挖礦過程的算力份額。

正如Sompolinsky 和 Zohar所描述的，經過在計算哪條鏈「最長」的時候把廢區塊也包含進來，幽靈協議解決了下降網絡安全性的第一個問題；這就是說，不只一個區塊的父區塊和更早的祖先塊，祖先塊的做廢的後代區塊（以太坊術語中稱之爲「叔區塊」）也被加進來以計算哪個區塊擁有支持其的最大工做量證實。咱們超越了Sompolinsky 和 Zohar所描述的協議以解決第二個問題 – 中心化傾向，以太坊付給以「叔區塊」身份爲新塊確認做出貢獻的廢區塊87.5%的獎勵，把它們歸入計算的「侄子區塊」將得到獎勵的12.5%，不過，交易費用不獎勵給叔區塊。

以太坊實施了一個只下探到第五層的簡化版本的幽靈協議。其特色是，廢區塊只能以叔區塊的身份被其父母的第二代至第五代後輩區塊，而不是更遠關係的後輩區塊（例如父母區塊的第六代後輩區塊，或祖父區塊的第三代後輩區塊）歸入計算。這樣作有幾個緣由。首先，無條件的幽靈協議將給計算給定區塊的哪個叔區塊合法帶來過多的複雜性。其次，帶有以太坊所使用的補償的無條件的幽靈協議剝奪了礦工在主鏈而不是一個公開攻擊者的鏈上挖礦的激勵。最後，計算代表帶有激勵的五層幽靈協議即便在出塊時間爲15s的狀況下也實現了了95%以上的效率，而擁有25%算力的礦工從中心化獲得的益處小於3%。

費用

由於每一個發佈到區塊鏈的交易都佔用了下載和驗證的成本，須要有一個包括交易費的規範機制來防範濫發交易。比特幣使用的默認方法是純自願的交易費用，依靠礦工擔當守門人並設定動態的最低費用。由於這種方法是「基於市場的」，使得礦工和交易發送者可以按供需來決訂價格，因此這種方法在比特幣社區被很順利地接受了。然而，這個邏輯的問題在於，交易處理並不是一個市場；雖然根據直覺把交易處理解釋成礦工給發送者提供的服務是頗有吸引力的，但事實上一個礦工收錄的交易是須要網絡中每一個節點處理的，因此交易處理中最大部分的成本是由第三方而不是決定是否收錄交易的礦工承擔的。因而，很是有可能發生公地悲劇。

然而，當給出一個特殊的不夠精確的簡化假設時，這個基於市場的機制的漏洞很神奇地消除了本身的影響。論證以下。假設：

一個交易帶來 k 步操做, 提供獎勵 kR給任何收錄該交易的礦工，這裏 R 由交易發佈者設定， k 和 R 對於礦工都是事先（大體上）可見的。
每一個節點處理每步操做的成本都是 C (即全部節點的效率一致)。
有 N 個挖礦節點，每一個算力一致(即全網算力的1/N)。
沒有不挖礦的全節點。

當預期獎勵大於成本時，礦工願意挖礦。這樣，由於礦工有1/N 的機會處理下一個區塊，因此預期的收益是 kR/N , 礦工的處理成本簡單爲 kC. 這樣當 kR/N > kC，即 R > NC時。礦工願意收錄交易。注意 R 是由交易發送者提供的每步費用，是礦工從處理交易中獲益的下限。 NC 是全網處理一個操做的成本。因此，礦工僅有動機去收錄那些收益大於成本的交易。

然而，這些假設與實際狀況有幾點重要的偏離：

1，由於額外的驗證時間延遲了塊的廣播於是增長了塊成爲廢塊的機會，處理交易的礦工比其它的驗證節點付出了更高的成本。

2，不挖礦的全節點是存在的。

3，實踐中算力分佈可能最後是極端不平均的。

4，以破壞網絡爲己任的投機者，政敵和瘋子確實存在，而且他們可以聰明地設置合同使得他們的成本比其它驗證節點低得多。

上面第1點驅使礦工收錄更少的交易，第2點增長了 NC; 所以這兩點的影響至少部分互相抵消了. 第3點和第4點是主要問題；做爲解決方案咱們簡單地創建了一個浮動的上限：沒有區塊可以包含比BLK_LIMIT_FACTOR 倍長期指數移動平均值更多的操做數。具體地：

blk.oplimit = floor((blk.parent.oplimit * (EMAFACTOR – 1) + floor(parent.opcount * BLK_LIMIT_FACTOR)) /EMA_FACTOR)

BLK_LIMIT_FACTOR 和 EMA_FACTOR 是暫且被設爲 65536 和 1.5 的常數，但可能會在更深刻的分析後調整。

計算和圖靈完備

須要強調的是以太坊虛擬機是圖靈完備的；這意味着EVM代碼能夠實現任何能夠想象的計算，包括無限循環。EVM代碼有兩種方式實現循環。首先，JUMP 指令可讓程序跳回至代碼前面某處，還有容許如 while x < 27: x = x * 2 同樣的條件語句的JUMPI 指令實現條件跳轉。其次，合約能夠調用其它合約，有經過遞歸實現循環的潛力。這很天然地致使了一個問題：惡意用戶可以經過迫使礦工和全節點進入無限循環而不得不關機嗎？這問題出現是由於計算機科學中一個叫停機問題的問題：通常意義上沒有辦法知道，一個給定的程序是否能在有限的時間內結束運行。

正如在狀態轉換章節所述，咱們的方案經過爲每個交易設定運行執行的最大計算步數來解決問題，若是超過則計算被恢復原狀但依然要支付費用。消息以一樣的方式工做。爲顯示這一方案背後的動機，請考慮下面的例子：

一個攻擊者建立了一個運行無限循環的合約，而後發送了一個激活循環的交易給礦工，礦工將處理交易，運行無限循環直到燃料耗盡。即便燃料耗盡交易半途中止，交易依然正確（回到原處）而且礦工依然從攻擊者哪裏掙到了每一步計算的費用。

一個攻擊者建立一個很是長的無限循環意圖迫使礦工長時間內一直計算導致在計算結束前若干區塊已經產生因而礦工沒法收錄交易以賺取費用。然而，攻擊者須要發佈一個 STARTGAS 值以限制可執行步數，於是礦工將提早知道計算將耗費過多的步數。

一個攻擊者看到一個包含諸如 send(A,contract.storage[A]); contract.storage[A] = 0格式的合約而後發送帶有隻夠執行第一步的費用的而不夠執行第二步的交易（即提現但不減小帳戶餘額）。合約做者無需擔憂防衛相似攻擊，由於若是執行中途中止則全部變動都被回覆。

一個金融合約靠提取九個專用數據發佈器的中值來工做以最小化風險，一個攻擊者接管了其中一個數據提供器，而後把這個按DAO章節所述的可變地址調用機制設計成可更改的數據提供器轉爲運行一個無限循環，以求嘗試逼迫任何今後金融合約索要資金的嘗試都會因燃料耗盡而停止。然而，該金融合約能夠在消息裏設置燃料限制以防範此類問題。

圖靈完備的替代是圖靈不完備，這裏 JUMP 和 JUMPI 指令不存在而且在某個給定時間每一個合約只容許有一個拷貝存在於調用堆棧內。在這樣的系統裏，上述的費用系統和圍繞咱們的方案的效率的不肯定性可能都是不須要的，由於執行一個合約的成本將被它的大小決定。此外，圖靈不完備甚至不是一個大的限制，在咱們內部設想的全部合約例子中，至今只有一個須要循環，並且即便這循環也能夠被26個單行代碼段的重複所代替。考慮到圖靈完備帶來的嚴重的麻煩和有限的益處，爲何不簡單地使用一種圖靈不完備語言呢？事實上圖靈不完備遠非一個簡潔的解決方案。爲何？請考慮下面的合約：

C0: call(C1); call(C1);

C1: call(C2); call(C2);

C2: call(C3); call(C3);

…

C49: call(C50); call(C50);

C50: (run one step of a program and record the change in storage)

如今，發送一個這樣的交易給A，這樣，在51個交易中，咱們有了一個須要花費250 步計算的合約，礦工可能嘗試經過爲每個合約維護一個最高可執行步數而且對於遞歸調用其它合約的合約計算可能執行步數從而預先檢測這樣的邏輯炸彈，可是這會使礦工禁止建立其它合約的合約（由於上面26個合約的建立和執行能夠很容易地放入一個單獨合約內）。另一個問題點是一個消息的地址字段是一個變量，因此一般來說可能甚至沒法預先知道一個合約將要調用的另一個合約是哪個。因而，最終咱們有了一個驚人的結論：圖靈完備的管理驚人地容易，而在缺少一樣的控制時圖靈不完備的管理驚人地困難- 那爲何不讓協議圖靈完備呢？

貨幣和發行

以太坊網絡包含自身的內置貨幣以太幣，以太幣扮演雙重角色，爲各類數字資產交易提供主要的流動性，更重要的是提供了了支付交易費用的一種機制。爲便利及避免未來的爭議期間（參見當前的mBTC/uBTC/聰的爭論），不一樣面值的名稱將被提早設置：

1: 偉
10^12: 薩博
10^15: 芬尼
10^18: 以太

這應該被看成是「元」和「分」或者「比特幣」和「聰」的概念的擴展版，在不遠的未來，咱們指望「以太」被用做普通交易，「芬尼」用來進行微交易，「薩博」和「偉」用來進行關於費用和協議實施的討論。

發行模式以下：

經過發售活動，以太幣將以每BTC 1337-2000以太的價格發售，一個旨在爲以太坊組織籌資而且爲開發者支付報酬的機制已經在其它一些密碼學貨幣平臺上成功使用。早期購買者會享受較大的折扣，發售所得的BTC將徹底用來支付開發者和研究者的工資和懸賞，以及投入密碼學貨幣生態系統的項目。
0.099x （x爲發售總量）將被分配給BTC融資或其它的肯定性融資成功以前參與開發的早期貢獻者，另一個0.099x將分配給長期研究項目。
自上線時起每一年都將有0.26x（x爲發售總量）被礦工挖出。

發行分解

永久線性增加模型下降了在比特幣中出現的財富過於集中的風險，而且給予了活在當下和未來的人公平的機會去獲取貨幣，同時保持了對獲取和持有以太幣的激勵，由於長期來看「貨幣供應增加率」是趨於零的。咱們還推斷，隨着時間流逝總會發生由於粗心和死亡等緣由帶來的幣的遺失，假設幣的遺失是每一年貨幣供應量的一個固定比例，則最終總的流通中的貨幣供應量會穩定在一個等於年貨幣發行量除以遺失率的值上（例如，當遺失率爲1%時，當供應量達到30x時，每一年有0.3x被挖出同時有0.3x丟失，達到一個均衡）。

除了線性的發行方式外，和比特幣同樣以太幣的的供應量增加率長期來看也趨於零。

挖礦的中心化

比特幣挖礦算法基本上是讓礦工千萬次地輕微改動區塊頭，直到最終某個節點的改動版本的哈希小於目標值（目前是大約2190）。然而，這種挖礦算法容易被兩種形式的中心化攻擊。第一種，挖礦生態系統被專門設計的於是在比特幣挖礦這一特殊任務上效率提升上千倍的ASICs（專用集成電路）和電腦芯片控制。這意味着比特幣挖礦再也不是高度去中心化的和追求平等主義的，而是須要鉅額資本的有效參與。第二種，大部分比特幣礦工事實上再也不在本地完成區塊驗證；而是依賴中心化的礦池提供區塊頭。這個問題能夠說很嚴重：在本文寫做時，最大的兩個礦池間接地控制了大約全網50%的算力，雖然當一個礦池或聯合體嘗試51%攻擊時礦工能夠轉換到其它礦池這一事實減輕了問題的嚴重性。

以太坊如今的目的是使用一個基於爲每1000個隨機數隨機產生惟一哈希的函數的挖礦算法，用足夠寬的計算域，去除專用硬件的優點。這樣的策略固然不會使中心化的收益減小爲零，可是也不須要。注意每單個用戶使用他們的私人筆記本電腦或臺式機就能夠幾乎免費地完成必定量的挖礦活動，但當到了100%的CPU使用率以後更多地挖礦就會須要他們支付電力和硬件成本。ASIC挖礦公司須要從第一個哈希開始就爲電力和硬件支付成本。因此，若是中心化收益可以保持在(E + H) /E 如下，那麼即便ASICs被製造出來普通礦工依然有生存空間。另外，咱們計劃將挖礦算法設計成挖礦須要訪問整個區塊鏈，迫使礦工存儲完成的區塊鏈或者至少可以驗證每筆交易。這去除了對中心化礦池的須要；雖然礦池依然能夠扮演平滑收益分配的隨機性的角色，但這功能能夠被沒有中心化控制的P2P礦池完成地一樣好。這樣即便大部分普通用戶依然傾向選擇輕客戶端，經過增長網絡中的全節點數量也有助於抵禦中心化。

擴展性

擴展性問題是以太坊常被關注的地方，與比特幣同樣，以太坊也遭受着每一個交易都須要網絡中的每一個節點處理這一困境的折磨。比特幣的當前區塊鏈大小約爲20GB，以每小時1MB的速度增加。若是比特幣網絡處理Visa級的2000tps的交易，它將以每三秒1MB的速度增加（1GB每小時，8TB每一年）。以太坊可能也會經歷類似的甚至更糟的增加模式，由於在以太坊區塊鏈之上還有不少應用，而不是像比特幣只是簡單的貨幣，但以太坊全節點只需存儲狀態而不是完整的區塊鏈歷史這一事實讓狀況獲得了改善。

大區塊鏈的問題是中心化風險。若是塊鏈大小增長至好比100TB，可能的場景將是隻有很是小數目的大商家會運行全節點，而常規用戶使用輕的SPV節點。這會增長對全節點合夥欺詐牟利（例如更改區塊獎勵，給他們本身BTC）的風險的擔心。輕節點將沒有辦法馬上檢測到這種欺詐。固然，至少可能存在一個誠實的全節點，而且幾個小時以後有關詐騙的信息會經過Reddit這樣的渠道泄露，但這時已經太晚：任憑普通用戶作出怎樣的努力去廢除已經產生的區塊，他們都會遇到與發動一次成功的51%攻擊同等規模的巨大的不可行的協調問題。在比特幣這裏，如今這是一個問題，但Peter Todd建議的一個改動能夠緩解這個問題。

近期，以太坊會使用兩個附加的策略以應對此問題。首先，由於基於區塊鏈的挖礦算法，至少每一個礦工會被迫成爲一個全節點，這保證了必定數量的全節點。其次，更重要的是，處理完每筆交易後，咱們會把一箇中間狀態樹的根包含進區塊鏈。即便區塊驗證是中心化的，只要有一個誠實的驗證節點存在，中心化的問題就能夠經過一個驗證協議避免。若是一個礦工發佈了一個不正確的區塊，這區塊要麼是格式錯，要麼狀態S[n]是錯的。由於S[0]是正確的，必然有第一個錯誤狀態S[i]但S[i-1]是正確的，驗證節點將提供索引i，一塊兒提供的還有處理APPLY(S[i-1],TX[i]) -> S[i]所需的帕特里夏樹節點的子集。這些節點將受命進行這部分計算，看產生的S[i]與先前提供的值是否一致。

另外，更復雜的是惡意礦工發佈不完整區塊進行攻擊，形成沒有足夠的信息去肯定區塊是否正確。解決方案是質疑-迴應協議：驗證節點對目標交易索引起起質疑，接受到質疑信息的輕節點會對相應的區塊取消信任，直到另一個礦工或者驗證者提供一個帕特里夏節點子集做爲正確的證據。

綜述：去中心化應用

上述合約機制使得任何一我的可以在一個虛擬機上創建經過全網共識來運行命令行應用（從根本上來講是），它可以更改一個全網可訪問的狀態做爲它的「硬盤」。然而，對於多數人來講，用做交易發送機制的命令行接口缺少足夠的用戶友好使得去中心化成爲有吸引力的替代方案。最後，一個完整的「去中心化應用」應該包括底層的商業邏輯組件【不管是否在以太坊完整實施，使用以太坊和其它系統組合（如一個P2P消息層，其中一個正在計劃放入以太坊客戶端）或者僅有其它系統的方式】和上層的圖形用戶接口組件。以太坊客戶端被設計成一個網絡瀏覽器，但包括對「eth」 Javascript API對象的支持，可被客戶端裏看到的特定的網頁用來與以太坊區塊鏈交互。從「傳統」網頁的角度看來，這些網頁是徹底靜態的內容，由於區塊鏈和其它去中心化協議將徹底代替服務器來處理用戶發起的請求。最後，去中心化協議有但願本身利用某種方式使用以太坊來存儲網頁。

結論

以太坊協議最初是做爲一個經過高度通用的語言提供如鏈上契約，提現限制和金融合約，賭博市場等高級功能的升級版密碼學貨幣來構思的。以太坊協議將不直接「支持」任何應用，但圖靈完備編程語言的存在乎味着理論上任意的合約均可覺得任何交易類型和應用建立出來。然而關於以太坊更有趣的是，以太坊協議比單純的貨幣走得更遠，圍繞去中心化存儲，去中心化計算和去中心化預測市場以及數十個相似概念創建的協議和去中心化應用，有潛力從根本上提高計算行業的效率，並經過首次添加經濟層爲其它的P2P協議提供有力支撐，最終，一樣會有大批與金錢毫無關係的應用出現。

以太坊協議實現的任意狀態轉換概念提供了一個具備獨特潛力的平臺；與封閉式的，爲諸如數據存儲，賭博或金融等單一目的設計的協議不一樣，以太坊從設計上是開放式的，而且咱們相信它極其適合做爲基礎層服務於在未來的年份裏出現的極其大量的金融和非金融協議。

註解與進階閱讀

註解

一個有經驗的讀者會注意到事實上比特幣地址是橢圓曲線公鑰的哈希，而非公鑰自己，然而事實上從密碼學術語角度把公鑰哈希稱爲公鑰徹底合理。這是由於比特幣密碼學能夠被認爲是一個定製的數字簽名算法，公鑰由橢圓曲線公鑰的哈希組成，簽名由橢圓曲線簽名鏈接的橢圓曲線公鑰組成，而驗證算法包括用做爲公鑰提供的橢圓曲線公鑰哈希來檢查橢圓曲線公鑰，以及以後的用橢圓曲線公鑰來驗證橢圓曲線簽名。
技術上來講，前11個區塊的中值。
在內部，2和「CHARLIE」都是數字，後一個有巨大的base256編碼格式，數字能夠從0到2^256-1。

進階閱讀