本文摘自Grin官方github源碼：https://github.com/mimblewimble/grin/blob/master/doc/intro.zh-cn.md

MimbleWimble是一個(gè)區(qū)塊鏈格式和協(xié)議，依托于健壯的加密原語(yǔ)，提供非常好的可擴(kuò)展性、隱私和可替代性。它解決了當(dāng)前幾乎所有實(shí)現(xiàn)的區(qū)塊鏈（與現(xiàn)實(shí)需求之間）差距。MimbleWimble 的白皮書(shū)在本項(xiàng)目的WiKi中可以找到，WiKi是開(kāi)放的。

Grin是一個(gè)實(shí)現(xiàn)MimbleWimble區(qū)塊鏈的開(kāi)源軟件項(xiàng)目，并填補(bǔ)了（MimbleWimble協(xié)議所缺失的）實(shí)現(xiàn)一個(gè)完整的區(qū)塊鏈和加密貨幣必需的一些東西。

Grin 項(xiàng)目的主要目的和特性如下:

• 隱私保護(hù)的缺省特性。 這使它具備了完全可替代性，且保留了按需選擇性披露信息的能力。
• 區(qū)塊大小與交易量相適配，歷史交易僅保留約100字節(jié)的交易核（transaction kernel）, 相比其它區(qū)塊鏈節(jié)省了大量空間。
• 強(qiáng)大且經(jīng)過(guò)驗(yàn)證的密碼學(xué)。 MimbleWimble只采用橢圓曲線密碼，該密碼技術(shù)已經(jīng)過(guò)了數(shù)十年的試用和測(cè)試。
• 簡(jiǎn)單的設(shè)計(jì)使得日后的代碼審查和維護(hù)變得容易。
• 社區(qū)驅(qū)動(dòng)。采用一種抗拒ASIC的挖礦算法(Cuckoo Cycle算法)，借此來(lái)鼓勵(lì)去中心化的挖礦。

Tongue Tying for Everyone

備注：MimbleWimble 出自《哈利波特》中的一句咒語(yǔ)，詳見(jiàn)：Tongue-Tying Curse，這個(gè)標(biāo)題的涵義應(yīng)該是希望所有讀到這篇介紹的人都可以來(lái)為這個(gè)開(kāi)放社區(qū)做點(diǎn)貢獻(xiàn)，真心希望如此。

本文針對(duì)的讀者是已經(jīng)了解過(guò)區(qū)塊鏈并了解一些基本的密碼學(xué)知識(shí)的人群。我們嘗試解釋MimbleWimble的技術(shù)構(gòu)建，以及它如何應(yīng)用于Grin。我們希望這篇介紹能夠淺顯易懂，我們的目的是鼓勵(lì)您對(duì)Grin產(chǎn)生興趣，并加入Grin的開(kāi)放社區(qū)，以任何您可能的方式對(duì)其做出貢獻(xiàn)。

為了實(shí)現(xiàn)這個(gè)目標(biāo)，我們將介紹一個(gè)主要概念：Grin是一個(gè)MimbleWimble實(shí)現(xiàn)。我們將從橢圓曲線密碼（ECC）的簡(jiǎn)短描述開(kāi)始，這是Grin的重要基礎(chǔ)。然后描述MimbleWimble區(qū)塊鏈交易和區(qū)塊的所有關(guān)鍵要素。

橢圓曲線簡(jiǎn)介

我們首先簡(jiǎn)要介紹一下橢圓曲線密碼學(xué)（后面簡(jiǎn)稱(chēng)為：ECC），只是簡(jiǎn)單說(shuō)明一下理解MimbleWimble如何工作所必需了解的ECC屬性，這里并不深入研究和討論ECC。對(duì)于想要更多一點(diǎn)了解ECC的讀者，可以參考這個(gè)介紹： 了解更多.

用于密碼學(xué)目的的橢圓曲線只是一大組我們稱(chēng)之為 C 的點(diǎn)。這些點(diǎn)可以被加、減或乘以整數(shù)（也稱(chēng)為標(biāo)量）。 給定一個(gè)整數(shù) k并使用標(biāo)量乘法運(yùn)算，我們可以計(jì)算k * H，這也是曲線 C 上的一個(gè)點(diǎn)。 給定另一個(gè)整數(shù) j，我們也可以計(jì)算（k + j）* H，它等于k * H + j * H。 橢圓曲線上的加法和標(biāo)量乘法運(yùn)算保持加法和乘法的交換率和結(jié)合律：

(k+j)*H = k*H + j*H

在ECC中，如果我們選擇一個(gè)非常大的數(shù)字 k 作為私鑰，則k * H被作為相應(yīng)的公鑰。 即使人們知道公鑰k * H的值，推導(dǎo) k幾乎不可能（或者換句話(huà)說(shuō)，橢圓曲線點(diǎn)的乘法計(jì)算是微不足道的，然而曲線點(diǎn)的“除法”計(jì)算卻極其困難。參見(jiàn)：橢圓曲線密碼學(xué)。

先前的公式（k + j）* H = k * H + j * H中， k 和 j 都是私鑰，演示了從兩個(gè)私鑰的加和獲取公鑰（k + j）* H，等價(jià)于每個(gè)私鑰的對(duì)應(yīng)公鑰加和（k * H + j * H）。在比特幣區(qū)塊鏈中，分層確定性錢(qián)包(HD Wallets/BIP32)嚴(yán)重依賴(lài)于這個(gè)原則。 MimbleWimble和Grin也是如此。

MimbleWimble 交易

交易結(jié)構(gòu)的設(shè)計(jì)顯示了MimbleWimble的一個(gè)關(guān)鍵原則：強(qiáng)大的隱私性和保密性。

MimbleWimble的交易確認(rèn)依賴(lài)于兩個(gè)基本屬性:

• 0和驗(yàn)證。 輸出總和減去輸入總是等于零，證明交易沒(méi)有憑空創(chuàng)造新的資金，而且不會(huì)顯示實(shí)際金額。
• 擁有私鑰即擁有交易輸出的所有權(quán)。 像大多數(shù)其他加密貨幣一樣，交易輸出通過(guò)擁有ECC私鑰來(lái)保證其所有權(quán)。 然而，在MimbleWimble中，證明一個(gè)所有者擁有這些私鑰并不是通過(guò)直接簽署交易來(lái)實(shí)現(xiàn)的。

下面介紹賬戶(hù)余額、所有權(quán)、變更和證明，并借此說(shuō)明上面的這兩個(gè)基本屬性是如何得以實(shí)現(xiàn)的。

等式平衡

基于上面描述的ECC的屬性，可以在交易數(shù)據(jù)中掩蓋實(shí)際交易值。

如果 v 是交易輸入或輸出的值，而 H 是橢圓曲線，我們可以簡(jiǎn)單地在交易中嵌入v * H而不是 v。 這是因?yàn)槭褂肊CC操作，我們?nèi)匀豢梢则?yàn)證交易的輸出總和等于輸入總和：

v1 + v2 = v3  =>  v1*H + v2*H = v3*H

驗(yàn)證每筆交易的這個(gè)屬性允許協(xié)議驗(yàn)證交易不會(huì)憑空創(chuàng)造出金錢(qián)，而無(wú)需了解實(shí)際的交易值是多少。但是，可用數(shù)值是有限的，攻擊者可以嘗試每一個(gè)可能的數(shù)值來(lái)猜測(cè)你的交易值。 另外，知道v1（來(lái)自 上面的交易示例）和v1 * H，就等于在整個(gè)區(qū)塊鏈中揭露了等于v1的交易。 出于這些原因，我們引入了第二個(gè)橢圓曲線 G（實(shí)際上 G 只是與 H 相同的曲線組上的另一個(gè)發(fā)生器點(diǎn)）和私鑰 r 用作致盲因子。

交易中的輸入或輸出值可以表示為：

r*G + v*H

其中：

• r 是一個(gè)私鑰，用作致盲因子， G 是一個(gè)橢圓曲線點(diǎn)，他們的乘積 r*G 是 r 在 G 上的公鑰。
• v 是輸入或輸出值，H 是另一個(gè)橢圓曲線點(diǎn)。

無(wú)論是 v 還是 r 都不能被推導(dǎo)出來(lái)，從而利用了橢圓曲線密碼學(xué)的基本屬性。 r * G + v * H被稱(chēng)為 Pedersen Commitment 。

作為一個(gè)例子，我們假設(shè)我們想用兩個(gè)輸入和一個(gè)輸出創(chuàng)建一筆交易。 我們有（忽略費(fèi)用）：

• vi1 和 vi2 作為輸入值
• vo3 作為輸出值

滿(mǎn)足：

vi1 + vi2 = vo3

為每個(gè)輸入值生成一個(gè)私鑰作為致盲因子，將上面的等式替換每個(gè)值為他們各自的 Pedersen Commitments，我們獲得：

(ri1*G + vi1*H) + (ri2*G + vi2*H) = (ro3*G + vo3*H)

并且要求:

ri1 + ri2 = ro3

這是MimbleWimble的第一個(gè)支柱：驗(yàn)證交易的算術(shù)運(yùn)算可以在完全不知道任何實(shí)際交易值的情況下完成。

補(bǔ)充最后一點(diǎn)說(shuō)明，這個(gè)想法實(shí)際上派生自Greg Maxwell的機(jī)密交易，機(jī)密交易本身是從Adam Back提出的用于比特幣的同態(tài)值提議中發(fā)展而來(lái)。

所有權(quán)

在前面的章節(jié)中，我們介紹了一個(gè)私鑰作為致盲因子來(lái)掩蓋實(shí)際交易值。MimbleWimble的第二個(gè)見(jiàn)解就是這個(gè)私鑰可以用來(lái)證明值的所有權(quán)。

Alice 給你發(fā)了3個(gè)幣并且隱藏了這個(gè)數(shù)字，你選擇了28作為你的致盲因子（請(qǐng)注意，在實(shí)踐中，致盲因子是一個(gè)私鑰，是一個(gè)非常大的數(shù)字）。 區(qū)塊鏈上的某處顯示以下交易輸出，并只能由你來(lái)用（做交易輸入）：

X = 28*G + 3*H

X, 上述加法的輸出值，是對(duì)所有人可見(jiàn)的。 但是值3只有你和 Alice 知道，而28就只有你自己知道了。

為了再次轉(zhuǎn)移這3個(gè)幣，協(xié)議要求（交易者）以某種方式知道28。 為了演示這是如何工作的，假設(shè)你想將這3個(gè)相同的幣轉(zhuǎn)移給Carol。 您需要構(gòu)建一個(gè)簡(jiǎn)單的交易，以便：

Xi => Y

其中 Xi 是一個(gè)輸入，它花掉你之前得到的輸出值 X ，而 Y 是 Carol 的輸出。如果不知道你的私鑰28，就沒(méi)有辦法建立這筆交易。的確，如果Carol要平衡這個(gè)交易，她既需要知道發(fā)送的值，也需要知道你的私鑰， 以便：

Y - Xi = (28*G + 3*H) - (28*G + 3*H) = 0*G + 0*H

通過(guò)檢查一切已被清零，我們可以再次確認(rèn)沒(méi)有創(chuàng)造新的金錢(qián)。

等等！ 停一下！ 現(xiàn)在你知道了 Carol的輸出中的私鑰（在上面的情況下，它必須與你的相同，為了讓等式兩邊平衡），所以你可以把錢(qián)從Carol那里偷回來(lái)！

為了解決這個(gè)問(wèn)題，我們?cè)试SCarol增加她選擇的另一個(gè)值。 113，最后在區(qū)塊鏈上的結(jié)果變成了：

Y - Xi = (113*G + 3*H) - (28*G + 3*H) = 85*G + 0*H

現(xiàn)在交易不會(huì)再歸零了，我們?cè)?em>G上有一個(gè) excess value（85），這是所有致盲因子總和的結(jié)果。 但是因?yàn)?code>85 * G是橢圓曲線 G 上的有效公鑰，85， 對(duì)于任何x和y，只有y = 0是 G 上的x * G + y * H有效公鑰。

因此，協(xié)議需要驗(yàn)證的其實(shí)就是：（Y - Xi）是G上的一個(gè)有效公鑰，以及交易者知道私鑰（我們與Carol的交易中的85）。最簡(jiǎn)單的方法就是要求使用excess value（85）進(jìn)行簽名，然后驗(yàn)證：

• 交易者知道這個(gè)交易輸出的私鑰
• 交易輸出的和，減去輸入，加起來(lái)等于0

這個(gè)關(guān)聯(lián)到每筆交易的簽名，附加一些額外數(shù)據(jù)（比如交易費(fèi)），被稱(chēng)為交易核（transaction kernel）。

一些更深入的細(xì)節(jié)

本節(jié)闡述創(chuàng)建交易，通過(guò)討論交易的找零機(jī)制和范圍證明的要求以便所有值都被證明為非負(fù)。 這些都不是了解MimbleWimble和Grin的必需內(nèi)容，所以如果你想快速了解，隨時(shí)可以直接跳過(guò)本節(jié)內(nèi)容，直接到Putting It All Together.

找零

在上面的例子中，你必須分享你的私人密鑰（致盲因子）給Carol。 一般來(lái)說(shuō)，即使私鑰永遠(yuǎn)不會(huì)被重用，這也不是一個(gè)十分可取的方法。 實(shí)際上，這不是問(wèn)題，因?yàn)榻灰装ㄕ伊爿敵觥?/p>

比方說(shuō)，你只想從你收到的來(lái)自Alice的3個(gè)幣里送出2個(gè)幣給Carol。你簡(jiǎn)單地生成另一個(gè)私鑰（比如12）作為一個(gè)致盲因子來(lái)保護(hù)你的找零輸出，并告訴Carol 你正在發(fā)送2個(gè)幣給她。Carol像以前一樣使用自己的私鑰：

Your change output:  12*G + 1*H
Carol's output:      113*G + 2*H

最終，鏈中發(fā)生的交易基本上就是上述這種過(guò)程。簽名使用excess value，例如這個(gè)例子當(dāng)中就是97。

(12*G + 1*H) + (113*G + 2*H) - (28*G + 3*H) = 97*G + 0*H

范圍證明（Range Proofs）

在所有上述計(jì)算中，我們都依賴(lài)交易值始終為正值。如果可能的話(huà)，引入負(fù)值將是非常有問(wèn)題的，由于可以在每筆交易中憑空捏造新的金錢(qián)。

例如，可以創(chuàng)建一個(gè)輸入為2并且輸出為5和-3的交易，并且依照前面章節(jié)中的定義仍然可以獲得平衡的事務(wù)。 這是不容易被檢測(cè)到的，因?yàn)榧词箈是負(fù)數(shù)，ECDSA曲線上的對(duì)應(yīng)點(diǎn)x.H看起來(lái)也是任何值。

為了解決這個(gè)問(wèn)題，MimbleWimble利用了另一個(gè)加密概念（也來(lái)自機(jī)密交易），稱(chēng)為范圍證明：一個(gè)數(shù)字落在給定范圍內(nèi)的證明，而不會(huì)泄露數(shù)字。 我們不會(huì)詳細(xì)說(shuō)明范圍證明，您只需要知道，對(duì)于任何r.G + v.H，我們都可以創(chuàng)建一個(gè)證明，證明 v 大于零且不會(huì)溢出。

同樣重要的是要注意，為了從上面的示例中創(chuàng)建有效的范圍證明，必須知道在創(chuàng)建和簽署excess value時(shí)使用的值113和28。 其原因以及范圍證明的更詳細(xì)描述在range proof paper中進(jìn)一步詳述。

小結(jié)

MimbleWimble交易包括以下內(nèi)容：

• 一組輸入，參考和花費(fèi)一組以前的輸出。
• 一組新的輸出包括：
  • 一個(gè)值和一個(gè)致盲因子（它只是一個(gè)新的私鑰）在曲線上相乘并相加為r.G + v.H.
  • 范圍證明顯示v是非負(fù)的。
• 明確的交易費(fèi)用。
• 一個(gè)簽名，通過(guò)采取excess value（所有輸出加費(fèi)用之和減去輸入）并將其用作私鑰來(lái)計(jì)算。

區(qū)塊狀態(tài)和鏈狀態(tài)

我們已經(jīng)在上面解釋了MimbleWimble交易如何在保持有效區(qū)塊鏈所需的屬性的同時(shí)提供強(qiáng)大的匿名性保證，即交易不會(huì)憑空捏造出貨幣，并且通過(guò)私鑰建立所有權(quán)證明。

MimbleWimble區(qū)塊格式通過(guò)引入一個(gè)附加概念來(lái)構(gòu)建：核銷(xiāo)（cut-through）。 有了這個(gè)補(bǔ)充，一個(gè)MimbleWimble鏈可獲得：

• 極大的可擴(kuò)展性，因?yàn)榻^大部分交易數(shù)據(jù)主體可以隨時(shí)間消除，而不會(huì)影響安全性。
• 通過(guò)混合和刪除交易數(shù)據(jù)進(jìn)一步匿名。
• 新節(jié)點(diǎn)能夠非常高效地與網(wǎng)絡(luò)其余部分同步。

交易聚合（Transaction Aggregation）

回顧一下一筆交易的組成：

• 一系列交易輸入，用來(lái)引用并花掉一系列以前的交易輸出
• 一些列新的交易輸出（Pedersen commitments）
• 一個(gè)交易核，包含：
  • kernel excess，用來(lái)確保等式平衡
  • 交易簽名（采用kernel excess作為簽名公鑰）

例如：

(42*G + 1*H) + (99*G + 2*H) - (113*G + 3*H) = 28*G + 0*H

這個(gè)例子中使用的簽名公鑰是 28*G。

任何一筆交易必須滿(mǎn)足以下條件： （為了描述簡(jiǎn)便，這里忽略掉交易費(fèi)部分）

sum(outputs) - sum(inputs) = kernel_excess

這個(gè)條件同樣適用于區(qū)塊，因?yàn)閰^(qū)塊只是一系列聚合的交易輸入、交易輸出和交易核。我們可以把所有的交易輸出加起來(lái)，減去所有的交易輸入，將結(jié)果與所有交易核中的kernel excess之和做比較：

sum(outputs) - sum(inputs) = sum(kernel_excess)

簡(jiǎn)單來(lái)說(shuō)，（依然忽略交易費(fèi)部分）我們可以認(rèn)為，對(duì)MimbleWimble區(qū)塊的處理方法和對(duì)MimbleWimble交易的處理方法是嚴(yán)格一致的。

交易核偏移因子（Kernel Offsets）

上面描述的MimbleWimble區(qū)塊和交易設(shè)計(jì)有一個(gè)小問(wèn)題，有可能從一個(gè)區(qū)塊中的數(shù)據(jù)來(lái)重建交易（即找出一筆或幾筆完整的交易，分辨哪一筆交易輸入對(duì)應(yīng)哪一筆交易輸出）。這個(gè)對(duì)于隱私而言當(dāng)然是不好的事情。這個(gè)問(wèn)題也被稱(chēng)為子集問(wèn)題（"subset" problem） - 給定一系列交易輸入、交易輸出和交易核，有可能能夠從中分辨出一個(gè)子集來(lái)重新拼出對(duì)應(yīng)的完整的交易（很像拼圖游戲）。

例如，假如有下面的兩筆交易：

(in1, in2) -> (out1), (kern1)
(in3) -> (out2), (kern2)

我們能夠聚合它們并構(gòu)建下面的區(qū)塊（或一筆聚合交易（aggregate transaction））：

(in1, in2, in3) -> (out1, out2), (kern1, kern2)

很容易利用等式平衡關(guān)系用窮舉法試驗(yàn)所有可能的組合，從而找出原始的交易關(guān)系：

(in1, in2) -> (out1), (kern1)

只要找出了一筆交易，那么剩下的當(dāng)然也是符合等式平衡關(guān)系的，于是很容易就拼湊出另一筆交易：

(in3) -> (out2), (kern2)

為了大幅降低這個(gè)拼湊的可能性，從而緩解這個(gè)問(wèn)題的不利影響，我們?cè)O(shè)計(jì)一個(gè)交易核偏移因子（kernel offset）給每一個(gè)交易核。 這也是一個(gè)致盲因子（或者說(shuō)一個(gè)私鑰），它需要加到kernel excess當(dāng)中用于驗(yàn)證等式平衡關(guān)系：

sum(outputs) - sum(inputs) = kernel_excess + kernel_offset

當(dāng)我們聚合這些交易到區(qū)塊的時(shí)候，我們?cè)趨^(qū)塊頭中存儲(chǔ)一個(gè)（且僅一個(gè)）聚合偏移因子（aggregate offset）（即所有交易核偏移因子的總和）。這樣一來(lái)，因?yàn)槲覀円粋€(gè)區(qū)塊只有一個(gè)偏移因子，再也不可能將其分拆對(duì)應(yīng)到每一筆交易的交易核偏移因子了，從而也就不可能再?gòu)膮^(qū)塊中拼湊出任何一筆交易了。

sum(outputs) - sum(inputs) = sum(kernel_excess) + kernel_offset

具體的實(shí)現(xiàn)方法就是，在創(chuàng)建交易時(shí)將 k 分割成 k1+k2。 對(duì)于交易核 (k1+k2)*G，我們?cè)诮灰缀酥邪l(fā)布出去的是 k1*G（稱(chēng)之為：the excess），以及 k2（稱(chēng)為：the offset），并跟以前一樣使用 k1*G 作為公鑰來(lái)對(duì)交易進(jìn)行簽名。 在礦工構(gòu)建區(qū)塊的時(shí)候，我們對(duì)打包的所有交易的k2（the offset）求和，以生成一個(gè)單個(gè)的聚合值（aggregate k2 offset）用于該區(qū)塊所打包的所有交易。一旦區(qū)塊打包完成并發(fā)布和被鏈所接受，其原始的對(duì)應(yīng)每筆交易的k2 （the offset）即成為不可恢復(fù)的。

核銷(xiāo)（Cut-through）

區(qū)塊讓礦工將多個(gè)交易組合成一個(gè)單個(gè)集合添加到鏈中。 在下面的區(qū)塊表示中，包含3個(gè)交易，我們只顯示交易的輸入和輸出。 輸入關(guān)聯(lián)其花費(fèi)的輸出。 前一個(gè)區(qū)塊中包含的輸出標(biāo)記為小寫(xiě)字母x。

I1(x1) --- O1
        |- O2

I2(x2) --- O3
I3(O2) -|

I4(O3) --- O4
        |- O5

我們注意到以下兩個(gè)屬性：

• 在這個(gè)區(qū)塊內(nèi)，一些輸出直接被包含的輸入消耗（I3花費(fèi)O2并且I4花費(fèi)O3）。
• 每筆交易的結(jié)構(gòu)并不重要。 由于所有的單個(gè)交易均歸于零，因此所有交易輸入和輸出的總和也必須為零。

與單個(gè)交易類(lèi)似，所有需要在一個(gè)區(qū)塊中進(jìn)行檢查的是所有權(quán)已經(jīng)被證實(shí)（來(lái)自交易內(nèi)核 transaction kernels），并且整個(gè)區(qū)塊沒(méi)有增加任何貨幣供應(yīng)（除了coinbase所允許的之外）。 因此，匹配輸入和輸出可以被消除，因?yàn)樗鼈儗?duì)總和的貢獻(xiàn)被抵消了。 這導(dǎo)致了以下更緊湊的塊：

I1(x1) | O1
I2(x2) | O4
       | O5

請(qǐng)注意，所有的交易結(jié)構(gòu)已被消除，輸入和輸出的順序已不再成問(wèn)題。 但是，該塊中所有輸出的總和減去輸入，仍然保證為零。

一個(gè)塊的建立來(lái)自：

• 塊頭。
• 核銷(xiāo)（cut-through） 后剩余的輸入列表。
• 核銷(xiāo)（cut-through） 后剩余的輸出列表。
• 每個(gè)交易的交易核(transaction kernels)包含：
  • 從所有commitments總和中獲得的公鑰r * G。
  • 使用excess value生成的簽名。
  • 挖礦費(fèi)用 (fee)。

當(dāng)區(qū)塊以這種方式構(gòu)建時(shí)，MimbleWimble區(qū)塊提供了非常好的隱私保證：

• 更多的交易可能已經(jīng)完成，但不會(huì)顯式出現(xiàn)（在區(qū)塊中）。
• 所有的輸出看起來(lái)都是一樣的：只是一些非常大的數(shù)字，不可能相互區(qū)分。 如果有人想排除某些輸出，他們將不得不排除所有輸出。
• 所有的交易結(jié)構(gòu)已被刪除，使得區(qū)分哪個(gè)輸出與哪個(gè)輸入匹配成為不可能任務(wù)。

然而，區(qū)塊仍然可驗(yàn)證！

盡可能多地核銷(xiāo)（Cut-through）

回到前面的示例塊，I1和I2花費(fèi)的輸出x1和x2必須先前出現(xiàn)在區(qū)塊鏈中。因此，在添加此區(qū)塊后，這些輸出以及I1和I2也可以從整體鏈中移除，因?yàn)樗鼈儾粫?huì)影響整體總和。

總而言之，我們得出結(jié)論：任何時(shí)間點(diǎn)的鏈狀態(tài)（不包括區(qū)塊頭）都可以通過(guò)這些信息來(lái)概括：

1. 鏈中采礦產(chǎn)生的硬幣總量。
2. 未使用的交易輸出(即UTXO)的完整集合。
3. 每筆交易的交易內(nèi)核。

第一條信息可以使用塊高度（與起始?jí)K的距離）推導(dǎo)出來(lái)。未使用的輸出和交易內(nèi)核都非常緊湊。這有兩個(gè)重要的后果：

• MimbleWimble區(qū)塊鏈中給定的節(jié)點(diǎn)需要維護(hù)的狀態(tài)非常?。▽?duì)于比特幣大小的區(qū)塊鏈，幾個(gè)G字節(jié)大小的數(shù)量級(jí)，可能優(yōu)化到幾百兆字節(jié)）。
• 當(dāng)新節(jié)點(diǎn)加入構(gòu)建MimbleWimble鏈的網(wǎng)絡(luò)時(shí)，需要傳輸?shù)男畔⒘恳卜浅Ｐ　?/li>

另外，未使用的交易輸出(即UTXO)組成的完整集是不可篡改的，即使只是想去添加或刪除一些交易輸出。這樣做會(huì)導(dǎo)致交易內(nèi)核中所有致盲因因子的總和與輸出中致盲因素的總和不同。

結(jié)論

在本文中，我們介紹了基于MimbleWimble區(qū)塊鏈的基本原則。 通過(guò)使用橢圓曲線密碼的附加屬性，我們能夠構(gòu)建完全不透明但仍可以正確驗(yàn)證的交易。 通過(guò)將這些屬性，我們可以消除大量區(qū)塊鏈數(shù)據(jù)，從而實(shí)現(xiàn)新對(duì)等點(diǎn)的大規(guī)模部署和快速同步。