与这个问题相关的另一个概念是“欺诈证明”（ fraud proof ）。

看到我前面说“无法证明一个币是不是被花掉”，你八成会感到不服气——这怎么就不可能做到了？只要把后来花掉这个币的交易（以及对应的 Merkle 路径）给出来不就证明了么？

这个问题比直觉上复杂一些，但是也不是那么复杂，很多开发者都总结过各种可能的伪造数据方式，然后给出对策。大体上说，这需要对比特币的区块结构稍微增补一些数据，让矿工多登记一些证明数据。

其实，中本聪的白皮书里也有提到，SPV 轻钱包会盲目跟随多数算力，所以可能是需要一种警报机制，让 SPV 可以知道哪条链是违反规则的，不要去跟随这种非法链，这样即使攻击者掌控 51%的算力也无法任意地打破规则。

简单说，“欺诈证明”，就是一段非常简短的数据，任何节点（不需要有算力，甚至未必需要是全节点）都可以生成，而且其他节点收到后可以立即作出判断，如果“欺诈证明”本身没问题，那就一定是它指向的那条链有问题，所以那条链一定是非法的，不能跟随。


曾经，core 开发者认为 segwit 可以更方便地实现这一点，后来他们又否认了这一点，声明 segwit 并不会让欺诈证明更容易实现，而且后来他们还弃坑了。

弃坑的理由也很简单：即便我们可以生成这种简短的“欺诈证明”，也防不住恶意矿工把区块里非法的部分暂时藏匿起来。如果要亲自确证一条区块链是不是有被藏匿起来的部分，那只能是像全节点那样从头完整下载一遍。

@blueberryman 你应该这样理解：比特币区块链上只有“历史转账记录”，没有“最终余额状态”；也就是说只有“过程”，没有“结果”。“最终余额状态”，也就是 UTXO 集合，这个是每一个全节点根据区块链（也就是历史交易记录）自己推算出来的。
历史记录当然是没有必要去改动的。

我感觉中本聪本来想把“交易记录”和“最终余额”合为一体的，也就是“交易”和“币”一体两面。所以他才会在白皮书里写“利用 Merkle 树剪枝来回收磁盘空间”
但实际上，稍加思考，就会这个想法不靠谱——Merkle 树只能证明一笔交易确实在链上，无法证明一个币是不是被花掉了，所以，恶意节点（不需要挖矿算力）完全可以把已经花掉的币重新加回来，或者把本来没花掉的币“修剪”掉。

以太坊就有“世界状态”这种设定，也就是把这个“最终余额状态”也算出一个 hash，登记到链上。
比特币呢，很多年前 Pieter Wuille 等开发者就提出了 UTXO commitment，不过这个争议比较大，至今也没有实现、部署。按照一般的搞法，新节点只能是从创世区块开始同步。虽然你直接拷一个同步好的数据目录过来也没人拦得住你，但很显然开发者不鼓励这种行为。

@memorybox
我想杠一下。

不足 50%的算力也有一定概率能让攻击链追上原链，然后就成功覆盖了原链。50%以上算力，只要坚持足够久，是 100%概率成功，所以才叫 51%攻击。
http [V 站] s://bitcoin. [真烦人] org/en/bitcoin-core/features/validation 下面的 chain rewrite，还给了一张图表，横轴算力占比，纵轴等效 BTC 金额。

所以说，虽然区块链和挖矿就是用来对付双花的，但是这也只能是“假共识”，每时每刻都不能完全保证是不是有人偷偷藏了一条攻击链暂时没放出来，一旦放出来，就有一段历史要被改写。

另外，51%攻击也不止能双花，还可以 DoS，也就是拒绝正常打包交易。

总之，51%攻击也可以被视作一种恶意的软分叉（在原规则的基础上新加一条恶意的规则）。

@Rheinmetal 我也看到了。
《中科院发现 30 种药物可能对新型冠状病毒有效》这篇报道里也有提到 remdesivir。

不过，即便是相对较容易破解的情况，穷举破解的难度一般也令人绝望……

@autoxbc 我感觉即便是固实的，也未必非得完整解完一个文件，只要确定无误地知道数据流的开头是啥，应该也可以。不过想知道这个可能就比较困难了。

从他说的来看，LZ 的需求还是有可能满足的，也就是“截取一部分相对不敏感的数据，发过去破解”。
不过具体咋做就没说了，我也不清楚。应该需要具体搞懂压缩包的格式——做到这种程度的话，也许可以自己想办法租个云服务什么的了，也不用找什么 X 宝商家了。

我去，还是说反了。
应该是：RAR 里，加密文件名（打开时直接询问解压密码，不能看到文件列表）比不加密文件名（可以打开看到文件列表）好破。

简而言之：ZIP 比 RAR 好破，RAR 里不加密文件名（可以打开看到文件列表）比加密文件名好破。

V2 不让发链接，蛋疼。
搜索：damoncare zip 密码破解相比 RAR 为什么那么快？
（貌似百度搜不到，不知道为啥）

已经有了 Ian Coleman BIP39 Tool、Bitcoin Core、Electrum、blockchain web wallet，很多区块浏览器也支持交易播报……为啥还需要这个东西？

还有，3 楼我忘了加一个狗头，或者 /s，希望楼主不要误解。

你说小额 UTXO 会变成花不出去的粉尘，我的想法是：谁也不知道比特币能存续到什么时候，而且很多炒币的韭菜可能也不关心这个问题。

我想，真正无人问津死掉的币，链上都是空空如也的吧。所以，就算比特币哪天崩盘了，估计也不是被直接“堵死”的，可能是因为有别的币崛起了，或者整个币圈人去楼空了。

啊，我好像完美地避开了要点——你说的这个是交易所的“充提币收费”，也就是币进出交易所的时候一次性收取的手续费。后面在交易所里无论怎么炒，都和链上交易无关的。就算有手续费，那也是交易所直接在自己的数据库里把用户的金额扣掉而已，和区块链可以说毫无关系。

哎，币圈说一千道一万，还是 number going up——只要能涨就是好币。至于为什么能涨、能涨多久，我可以给你解释，如果你还问，那就是你话多了。

>目前各个大的交易平台每笔交易费用约在 0.0005 个 BTC

首先，这个不一定是给矿工的，可能有交易所自己拿走的一部分。

其次，矿工费的费率本质上是竞争出来的。
如果某一时间段内，大家都挤破头去争先恐后地转账，那就又堵又贵；
如果没什么人去链上转账，那矿工费就只有几分钱。
交易所只不过是人为规定一个数值，不管实际情况赌不赌，都定一个比较高的数额，这样就可以让小白们不用挠头去搜哪里能看到内存池交易积压的状况，减少客服跟小白解释的麻烦。


最后，币圈说一千道一万，还是 number going up——只要能涨就是好币。韭菜并不会在乎这背后有什么细节，能在交易所炒一炒就行了，输了下海干活，这不香么……

有一点要注意，手续费是竞争产生的。

区块用满的时候，自然而然地，就是愿意多掏钱付矿工费的用户优先，剩下的等排队。如果一直堵，就一直等。

有一种说法，是“长期不被确认，就会退回钱包”——这种说法其实不准确，理论上并不能保证一定会“退回”。每个节点的内存池里一般都设置了超时时间。但是，交易本身是不会超时的。不管是几个小时后还是几个月后，都可以重新发出去，然后又有机会被确认进链。

如果区块没被用满，那就可以只付一个人为规定的最低费率（ 1sat/B ），乘上一笔通常交易的几百字节，这样只有几分钱吧。

以前就有人说过，BTC 堵了，用户会自然而然地跑去用别的币，然后 BTC 失去“币王”地位（ dethroning ），竞争币崛起。2017 年末到 2018 年初这段时间最突出。

尤其是 BCH，他们的基本上就是“通过干掉 BTC 来帮助比特币扩容”……

现在嘛，BTC 市场占比又回升了，所以铁粉们都在嘲讽“blockchain good, bitcoin bad”这种说法（把无币区块链和各种带币的区块链放在一起嘲讽）。

模拟的版本是 Android 10 x86_64 Google Play，设备是 Pixel 2

通知栏里有一个提示：“AndroidWifi has limited connectivity （ Tap to connect anyway ）”，点了这个，可以让它保持连接，不过设置里仍然显示 limited connection。
代理的问题，我也不指望模拟器自带的代理设置了，我干脆在里面装了一个 shadowsocks。

哎，这样也基本能用吧……