圆的终极诠释:MimbleWimble协议下的两个保密硬币Grin和Beam

声明：本文不构成任何投资建议。

边肖：记得要集中注意力。

来源：链家新闻研究院

原标题：《circle.com 的 Mimble Wimble 报告》

翻译：邝宝成林炜

这是一篇来自区块链著名公司circle.com的报道。虽然文中部分内容存在错误，但本文仍然是一篇不可多得的全面细致介绍mimble原理和特点的通俗易懂的好文章。同时，本文还介绍、分析和比较了MimbleWimble的两种实现方法Grin和Beam。为了让国内更多的用户和爱好者了解MimbleWimble协议和Grin、Beam项目，包把这篇文章翻译成了中文，并在文章中做了一些更正。由于时间和水平原因，翻译中仍有一些错误，欢迎读者指正。

MimbleWimbleMimbleWimble一种区块链协议，可增强隐私性和可伸缩性。MimbleWimble协议可以验证区块链中所有交易的有效性，而不需要存储整个区块链的所有历史数据[1]。MimbelWimble得名于小说《哈利波特》中的“结舌咒”[2]，用于防止泄密。该协议是2016年由一名男子提出的，他的化名是汤姆埃尔维斯杰杜索尔(伏地魔的法语名字)。他通过洋葱加密通信频道(Tor LIink)在一个名为比特币巫师的IRC在线聊天室分享了一段概述MimbleWimble的文字——然后就消失了。

译者注：

[1]与比特币相比，用户需要下载完整的交易历史(海量数据)来确认交易的有效性。

[2]结舌咒：用来使对手沉默的结舌咒。

背景Andrew Poelstra [1]是Blockstream的数学家，他对温布尔登协议非常感兴趣，并在2016年10月发表了一篇论文，以更加详细和严谨的方式演示了MinbleWimble协议的技术细节。MimbleWimble是一个区块链协议，Grin和Beam是它的前两个实现。我们将在本报告中探讨MimbleWimble、Grin和Beam。来源：messari.io/onchainfx coinmarketcap.com(截至2019年3月3日)

[1] Andrew Poelstra是侧链白皮书的合作者之一。

[2]这里的数据值得怀疑。Grin是无限挖的模式，没有线上流通。这个数据的计算依据受到质疑。

加密社区中的许多人都在密切关注time协议，因为它首次优化了隐私和可伸缩性。它的目标是改善比特币和其他加密货币的以下关键问题。

完全隐私：MimbleWimble会对所有不参与交易的第三方隐藏交易的发起方、接收方、交易金额等信息。第三方观察者只能在一个交易中看到一系列包含交易输入和输出的加密整体[1]，他们可以验证这些输入都在链中，虚拟货币输出和输入的总数是相同的。这一设置改善了比特币等类似系统中“任何人都可以追踪资金从一个地址到另一个地址的转账过程”的问题。效率：MimbleWimble事务验证器只需要在事务中存储未使用的UTXO(事务记录)。而所有其他加密货币迫使矿工和第三方验证者存储区块链的全部交易历史。MimbleWimble可以节省存储空间，加快同步速度，因为随着区块链历史的不断增长，矿工可能会被迫使用更多的硬盘资源来存储整个历史。验证器通过：(1)验证输出和输入之和相等；以及(2)交易不包含负数，以确保在交易期间不会试图创造新的硬币；验证MimbleWimble事务的有效性。挖矿是产生新币的唯一途径，也是唯一可以识别人的交易。然而，核查人员和观察员不会知道谁赢得了采矿区块奖。

MimbleWimble的另一个重要特性是只有事务的输入和输出，没有地址和公钥。每个UTXO都有一个私钥，接收者将私钥存储在自己的钱包里。要发出UTXO，发起方必须在专用的通信通道中通知接收方，并执行几轮通信来构造事务。发起者将使用他的UTXO私钥对这个UTXO进行签名，并将签名结果发送给接收者。

[1]即Mimblewimble只验证事务前后总数的一致性，输入输出是事务前后的状态。

比特币(包括其他加密资产)的开放性，对于不愿意透露交易细节的人或商业活动是不合适的。此外，随着区块链大数据分析公司如Elliptic[1]和chain analysis[2]的兴起，研究人员可以对应非法交易的输出，并将它们列入黑名单。边策的首席执行官曾在推特上表示，在社交媒体上被报道后，他们能够冻结黑客向交易所发送的资金。但也有人认为这违背了货币可替代性原则。可替代性原则意味着所有创造出来的货币都是一样的，就像一美元钞票等于另一美元钞票一样。无论这张钞票过去经历过什么样的流通活动，这张钞票都应该和其他美元钞票一样。

比特币和所有其他区块链都需要矿工和其他验证人员记录整个交易链的交易历史，以验证所有交易是否有效。新参与者需要下载并检验整个区块链，以检验网络的当前状态。这种设置使得想要与网络同步的新参与者需要大量的空间、时间和计算资源。2019年之前的比特币区块链规模约为200GB。

[1]椭圆：https://www.elliptic.co/(一家为加密货币公司、金融机构和政府机构提供运营信息的公司)

[2]chain a analysis:https://www.chainalysis.com/(预防、侦查和调查加密货币洗钱、欺诈和违规行为)

MimbleWimble的解决方案MimbleWimble以一种巧妙的方式使用加密技术来实现不可伪造性，同时优化隐私和可扩展性。MimbleWimble不是像比特币一样验证每个输出的全部历史，而是检查区块链上所有交易的输入之和减去所有输出之和是否为0来验证链条(这种做法也强化了交易的一个基本属性：一个交易发出的金额等于收到的金额)。MimbleWimble使用保密交易、硬币加入、范围证明和直通技术来实现上述目标。

与比特币类似，MimbleWimble依赖于椭圆曲线密码和UTXO模型。但MimbleWimble是一个更轻量级的版本，由于增强私密性的要求，牺牲了可编程性。所以更复杂精密的功能比如时间锁定或者支付通道比如闪电网目前还不能在MinbleWimble中使用[1]。

[1]译者注：Grin和Beam都有相应的解。

速成班：UTXOS比特币使用“未使用交易输出UTXO”模型计算余额，就像MimbleWimble一样。这类似于用硬币或现金支付商品和服务。例如，爱丽丝想买一件30美元的衬衫，但她有两张20美元的钞票。她不能只给商人一张1.5美元的钞票。相反，她给了商人两张钞票，并收到了一张10美元的零钱。

UTXO模型的工作方式类似：Alice在前一个事务中获得了两个事务输出：1 BTC和0.5 BTC。现在爱丽丝需要付给一个商人1.3 BTC。她的钱包创建了一个发送1.5BTC的交易，有两个输入(1BTC和0.5BTC)，两个输出(1.3BTC和0.2BTC)。商人收了1.3 BTC，爱丽丝收了0.2 BTC(也算是找零)。由于UTXO模型的这一特性，比特币用户可以通过查询区块链浏览器，观察到他们的比特币地址经常发出超过指定数量的比特币。

加速课程：椭圆曲线加密

Ellipse有几个特点，使其适用于复杂的加密协议。椭圆曲线的一个性质是单向函数。取椭圆曲线上的任意一点G，乘以整数S，得到椭圆曲线上的另一点P=sG。然而，给定(p，g)，在计算上要求s的值是不可行的。这允许我们使用(p，g)作为公钥，s作为私钥。椭圆曲线的另一个特征是椭圆曲线上的计算满足一些有用的代数特征：

分划定律：(a b)G=aG bG结合律：a(bG)=b(aG)=(ab)G速成教程：Pedersen表达式(Pedersen Commitments) Pedersen表达式是结合了椭圆曲线的单向性质和代数性质的密码学术语。对于给定值(x，y)，计算其Pedersen表达式为P=xG yH。由于计算s=P/G是不可行的，所以不可能通过(P，G，H)计算(x，y)。另外，由于x和y有无数个组合可以满足关系P=xG yH，所以即使我们知道满足这个关系的一个解(x，y)，仍然无法计算出满足这个关系且不违反椭圆曲线单一属性的第二对(x \’，y \’)。

机密事务默认情况下，MimbleWimble依靠一种称为机密事务的加密概念来实现隐私。保密性是格雷戈里麦克斯韦[1]提出的，他从亚当贝克[2](亚当贝克的比特币同态加密)中汲取灵感。机密性使用Pedersen表达式来隐藏UTXO中的交易金额。

[1] Gregory Maxwell是比特币核心开发者，Bitstream联合创始人兼首席技术官。

[2]Adam Back(1970年7月出生)是英国密码学家和加密黑客，hashcash的发明者。

在MimbleWimble中，事务输入和输出由Pedersen表达式计算为“P=rG vH”。g和h是椭圆曲线上的随机点，并且被公开为区块链的公共参数。值v是UTXO的交易金额。r是一个致盲因子，用作UTXO的私钥，值rG是r对应的公钥，MimbleWimble使用Pedersen表达式来模糊敏感的交易信息，而不是明文交易金额。彼得森表达式允许使用基本算法来验证交易。

例如，我们有两个输入和一个输出。我们提供交易量(V)和盲化因子(R)，同时将G和H作为公共参数。

事务内核上述机密事务的问题在于，它们要求输入和输出UTXO使用相同的隐蔽因子，即接收方的私钥。如果发送方知道接收方的盲因子的值，她就可以窃取接收方输出的UTXO。MimbleWimble通过使用零知识证明克服了这个问题。

举个简单的例子：一个交易发送的交易金额是5。发送方有一个UTXO作为事务的输入。彼得森表达式计算的交易的输入为X=45G 5H，其中5为交易金额(V)，45为盲因子(R)，即发送方的私钥。接收器选择随机盲因子7并创建UTXO，UTXO通过Pedersen表达式计算为Y=7G 5H。验证者从输出中减去交易输入，得到：

X-Y=(45G 5H)-(7G 5H)=38G

MimbleWimble调用值38 excess或kernel，值X-Y=38G事务内核(译者注：确切地说，公钥rG只是事务内核的一部分，事务内核还包括以R为私钥的事务的签名，见下面译者的补充)。对于有效的事务，事务内核总是X-Y=rG 0H，其中r是整数。即使在一个事务中有多个输入和多个输出，情况也总是如此。如果输入值之和等于输出值之和，则H系数将始终为零。有效的事务内核总是以公钥的形式存在。发起者和接收者都知道相应私钥的一部分(45和7)。MimbleWimble协议要求交易双方利用各自的盲因子对交易进行签名，内核(45-7=38)是交易参与者的多重签名私钥。(译者补充：交易双方使用内核作为私钥签署交易。验证者首先计算X-Y，如果X-Y是合法交易，那么X-Y的结果应该等于交易签名公钥rG。然后，验证者使用rG作为公钥来验证交易签名的有效性。如果验证证明交易合法，即H的系数为0。准确的说，交易内核包括交易的公钥rG，使用R作为私钥的交易签名，以及交易费用。MinbelWimble区块链上记录的主要信息是事务和事务内核的输入输出的Pedersen表达式的计算结果X和Y。)

RANGE proof)mimble wimble协议要求交易金额必须为正，因此用户不能凭空创造货币。正如我们提到的，唯一可以创造硬币的交易类型是采矿。范围证明是一种加密技术。对于Pedersen表达式X，可以通过范围证明技术证明给定的一对整数(r，min v max)满足X=rG vH。MimbleWimble (Grin和Beam)的实现使用了作用域证明，证明交易量V大于零，没有溢出。MimbleWimble使用最近使用的Bulletproofs技术，这是一种范围证明技术，只消耗大约700-5000字节。

没有地址正如我们提到的，MimbleWimble不使用地址。不使用地址的主要动机是为了增强区块链的隐私和防止地址膨胀。在基于MimbleWimble的区块链中，用户必须在链外进行通信才能创建事务。利用通信信道，交易发起者向接收者证明其持有交易所需的数字硬币的数量，并将这些数字硬币的控制权转移给接收者。因为没有公共地址，所以没有“标准”的通信方法来完成事务。因此，双方需要建立通信通道，从而发送数字货币持有证书，转移数字货币的控制权。这与比特币(以及大多数其他区块链)非常不同，比特币可以在没有交易接收方参与的情况下完成交易。

Coin Join Coin Join是一种降低数据开放性的方法。混币是一种将多笔交易合并成一笔大额交易的方法，很难区分哪些交易输入对应哪些交易输出。硬币混合技术已经在JoinMarket、ShufflePuff、DarkWallet、SharedCoin、Wasabi、Samourai等项目中使用。基于钱包的混币技术的缺点是用户必须选择主动使用该功能。这就降低了它的有效性，因为用户要么不知道这个功能，要么嫌麻烦不使用，导致混币交易涉及的交易笔数不足。对于混币技术，太少的交易涉及混淆，无法有效隐藏交易的发送地址和接收地址。此外，参与混合货币的用户必须相互通信以创建混合货币交易，因为每个交易发送者必须签署最终组合的整个交易。

在MimbleWimble中，用户不需要选择混币功能，这是MimbleWimble的默认功能。单独的交易不再记录在块中。相反，这看起来像是一笔大的合并交易。图1是将被包括在下一个块中的两个事务集的示意图。在图2中，MimbleWimble在一个类似于混合货币的流程中将两个事务连接在一起，这样剩下的就是一个事务，它将两个事务的所有输入和所有输出组合在一起。

直通保密交易比常规交易需要更多的存储空间。根据Aaron Van Wirdum[1]的说法，机密事务比非机密事务需要多20倍的存储空间和30倍的计算资源。MimbleWimble使用了一种叫做事务记录注销的技术来解决这个挑战，提高效率。

[1]aaron van wir dum:bitcoin magazine的技术编辑

正如我们上面提到的，下载完整的比特币区块链要占用将近200GB的空间，而且还在增长。如果比特币上的所有交易都是像MimbleWimble这样的保密交易，那么区块链的规模将会大几个数量级。

MimbleWimble使用一个称为事务记录注销的过程来删除冗余的事务输出，以释放块中的空间并减少需要存储在区块链中的数据量，同时保持相同的安全性。冗余的特点是这些输出将用作同一模块的输入。Andrew Poelstra演讲整理的图表可以很好的说明这一点。

在图3中，可以看出，某个事务的青色输出稍后被用作同一块中某个事务的输入，因此可以从该块中删除该冗余输入和输出，以减少必须记录的数据。尽管MimbleWimble有冗余的事务输出，但它保留了这些事务的事务核心。

MimbleWimble在块内的微观层次和整体数据的宏观层次都使用了事务注销技术。来自区块链的信息只有：区块链头信息、UTXO和事务内核。该节点可以使用这些密钥数据来验证区块链。因此，如果在一个块核心中售出的交易产量大于该块中新增加的交易产量，则区块链的大小将会减小。理论上，随着时间的推移，这将使验证区块链所需的数据量越来越少。

Grin作为MimbleWimble的第一个实现，认为MimbleWimble节点的数据量相比比特币会大大减少。“与几个GB的比特币区块链节点相比，Grin节点的大小可以优化一个数量级，甚至只有几百MB的字节。”根据Grin的描述，假设有1000万笔交易伴随着100万个UTXOs，不进行交易核销的区块链总大小约为130GB，其中交易数据128GB，交易证明数据1GB，块头250MB。核销后，区块链的总大小可降至1.8GB，包括1GB的输出数据、520MB的UTXO(此处译者注应为事务内核或事务证明数据)和250MB的块头。Beam认为，当它达到与比特币相同的规模时，它的区块链规模可能是比特币的30%。

蒲公英技术是MimbleWimble隐私的最大威胁。区块链节点可以在打包和广播交易记录之前记录交易信息。核销前，事务输出会在节点的本地内存池(未验证的事务池)中保存一段时间。这使得恶意节点能够构建事务图，并可能发现发送者的IP地址。

蒲公英技术不是MimbleWimble的一部分，而是Grin和Beam实现时的补充功能。Dandelion试图通过“在交易被确认之前在网络中悄悄转发交易，从而延迟交易出现在网络上的时间”(Andreas Antonopoulos[1])来减少恶意节点创建交易图的机会。

通常，当有人向区块链发起交易时，交易信息将被广播到所有区块链节点。蒲公英交易的播出分为两个阶段，从“梗”或者说“匿名”阶段开始。在这个阶段，交易信息被随机广播到某个节点，然后该节点将交易信息发送到另一个随机选择的节点。以此类推，直到接收交易信息的节点数量满足一定要求，进入第二阶段。第二个阶段称为fluff阶段，在这个阶段，事务信息被广播到所有节点。这防止观察节点将事务映射回原始地址。蒲公英技术的提高，让创建交易图变得更加困难。

在MimbleWimble中，事务还可以在匿名阶段之前混合，这使得将事务输入与事务映射关联起来更加困难。Beam通过增加空输出，即使输出不够也能进行上述混币操作。

蒲公英技术的一个问题是，在匿名阶段，如果一个交易被传递到一个随机的节点，而这个节点掉线了，那么这个交易将永远不会传播到区块链网络。Grin和Beam解决了这个问题。——如果一个交易在合理的时间内没有达到“绒毛阶段”，该交易将自动广播到更广泛的网络。

[1] Andreas M. Antonopoulos(生于1972年)希腊-英国，比特币的倡导者。

无脚本)MimbleWimble不支持事务脚本，而事务脚本是大多数区块链的一个重要特性。脚本是嵌入交易中的代码，用于支持基本的智能合约功能。没有它，MimbleWimble就无法支持条件事务、时间锁、状态通道(如闪电网)、跨链原子交换等。这是未关联交易和交易注销的价格。验证程序无法检查是否满足智能协定条件，因为相关的UTXO及其条件可能已被删除。

当2016年8月第一篇关于mimble的论文发表时，无法支持条件交易似乎是使用mimble的一个限制。然而，Andrew Poelstra找到了一种简单的方法，通过使用无脚本脚本来实现智能合约。无脚本脚本是基于Schnorr签名技术用于支持无脚本的思想。如果区块链验证者需要知道发生在链外的条件元素，他只需要检查签名是否存在以及是否正确。

具体地，事务中的参与者可以通过组合他们各自签名的私钥来创建多施诺尔签名，从而生成交互签名，这是提交给节点并由节点验证的唯一数据。

Aaron Van Wirdum为我们提供了一个很好的解释。他举了一个想听艺术家歌曲的在线用户的例子。艺术家和用户需要向区块链提交他们的组合施诺尔签名，以验证有条件的交易。拥有这首歌版权的艺人有这首歌的加密密钥，设置为7000，拿到这个密钥后就可以听歌了。这位艺术家持有的施诺尔签名有一半是8000个。艺术家可以通过从她的签名(8000)中减去歌曲的基调(7000)来创建施诺尔的“适配器签名”(1000)。然后，艺术家在这个适配器上签名，并将其发送给用户。用户验证确认1000是等于艺术家的施诺尔签名减去歌曲密钥的结果。然后用户也在施诺尔上签名，并将签名发送给艺术家，假设签名是5000。将艺术家的两个施诺尔签名(8000 5000=13000)组合起来，提交给区块链。此时用户获得13000的组合签名，可以计算出该艺术家的签名为13000-5000=8000。最后用户通过计算8000-1000=7000获得歌曲的加密密钥，这样就可以听歌了。

这一切都发生在外链之外，这样除了美工和用户没有人会发现步骤。区块链验证者唯一看到的是13000个施诺尔签名组合。适配器的签名只有美工和用户掌握，对第三方保密。除“结算交易”外，区块链没有任何交易记录。可以通过添加支持施诺尔签名的新操作码来实现无脚本脚本。Grin和Beam正在实现无脚本脚本，但该功能何时上线还没有确切的时间表。

有可能实现基于无脚本的机密资产、跨链原子交换和二层扩展解决方案，比如在MimbleWimble区块链生态中使用闪电网。无脚本脚本不必在mimble上实现，甚至可以扩展到其他区块链生态系统。

结论MimbleWimble基于严格证明的密码学。其中一些技术已经发表在同行评审的密码学期刊上，而另一些则发表在白皮书和技术报告中。Grin和Beam是第一个mimble区块链生态项目，最近才启动。虽然MimbleWimble是一种新的实验技术，但它具有显著提高隐私性和可扩展性的优势。虽然目前它的用户体验还不够好，但也没有完全解决一些隐私挑战。要在大规模开放的区块链生态系统中实现高效的隐私交易，还需要大量的测试和迭代。目前来看，这个看似不可理解的概念在实践中可能会遇到意想不到的问题。

在用户体验方面，目前MimbleWimble没有地址，交易各方需要进行交互沟通，并在线签名完成交易(虽然不一定是同时)。这个要求和现有的加密货币有很大的不同，给用户造成了一些困扰。

在用户体验方面，目前MimbleWimble没有地址，交易各方需要进行交互沟通，并在线签名完成交易(虽然不一定是同时)。这个要求和现有的加密货币有很大的不同，给用户造成了一些困扰。

其他隐私硬币解决方案Mimblecoin不是第一个也不是唯一一个区块链隐私硬币解决方案。对所有可用的隐私币解决方案进行全面而深入的讨论超出了本报告的范围。这里讨论了其他替代解决方案，以便读者了解。其中包括但不限于在底层实现隐私的其他区块链协议和货币(Zcash，Monero)，通过第二层网络实现的隐私解决方案(Blockstream side chain)和通过交易层实现的隐私解决方案(例如，通过Samourai和Wasabi这样的钱包)。

Grin和Beam之前推出的两个隐私币是Zcash和Monero，在协议层实现隐私。Monero是一种基于CryptoNote协议的保密硬币。Monero的一个主要优势是默认启用隐私功能，隐藏发送方和接收方地址以及交易金额。Monero使用环保密交易和隐形地址来实现隐私。环签名算法在交易中加入“诱饵”信息，避免暴露真实签名信息，有效混淆交易信息。Monero的主要缺点是其数据存储规模仍然是比特币的十倍，即使通过Bulletproofs大大减少了存储空间。

Zcash是基于Zerocash协议设计的数字货币。Zcash使用地址外壳技术隐藏交易对手的地址，zk-snarks(一种零知识证明)隐藏交易金额。与Monero和Grin以及基于MimbleWimble协议的Beam不同，Zcash默认不启用隐私。在Zcash的树苗更新之前，创建一个保密交易的计算量巨大且耗时，阻碍了用户对隐私功能的使用。树苗更新后，外壳地址所需的内存和时间都有所减少，这在一定程度上会鼓励用户使用保密交易功能。可选隐私功能的另一个缺点是，当用户选择使用加密的交易信息时，这种行为可能会被视为可疑行为。Zcash的另一个缺点是它的可信设置。虽然Zooko Wilcox[1]表示，破坏可信设置不会影响隐私，但Peter Todd(比特币研究员)在与zk-snaks的一名开发者会面时表示，他不同意Zooko的观点。

[1]佐科威尔科克斯(Zoko Wilcox-O \’ hearn)，佐科威尔科克斯(Zoko willcocks，1974年5月13日出生于亚利桑那州凤凰城布莱斯威尔科克斯)，美国科罗拉多州计算机安全专家，cypherpunk和Zcash的CEO。

肩并肩链是一个独立的区块链。侧链双向链接到基本层区块链协议。双向链接使得来自原始基础链的货币能够在被验证之后以固定的比率与侧链资产交换。这些互补的侧链可以提供基本区块链所不具备的新区块链的功能、扩展和共识机制，从而为基本区块链所面临的问题提供一系列解决方案，包括但不限于隐私和可扩展性。比特币侧链公司Blockstream已经部署了这样一个网络，即最近推出的Liquid，它默认进行保密交易。Liquid使用一个由15个已知节点组成的组(称为工作成员组)来验证事务和打包块，以去中心化为代价来加速事务。虽然对液体的管理更加集中，但是针对的是交换场景下的一些特殊问题。例如，联盟链中的任何节点都可以自由交换液体的本地令牌LBTC。当一个独立的网络节点出现故障时，这种设计尤其有用。Liquid的设计使得单个工作成员无法直接控制托管的比特币，无论其声誉和网络状态如何。对Liquid的一点批评是，它信任的一些中介包括一些不受监管的加密货币交易所，记录不安全，如Bitfinex和OKCoin。

隐私钱包此外，一些基于钱包的隐私解决方案(如Wasabi、Samourai或Breeze)的优势在于，它们可以在比特币(或其他货币)之上实现，而无需更改底层协议。一些批评意见包括：如果短时间内找不到匹配的交易资金，将会出现更小的匿名集或延迟交易。例如，Samourai的交错跳弹可能需要两个小时才能到达最终目的地，以完成交易。此外，由于钱包平台的集中性，钱包运营平台可以获取交易的隐私信息。2019年初，谷歌要求Samourai删除其应用程序中的某些隐私和安全功能，因为它违反了Google Play商店的新规则。

虽然有很多增强隐私的选择，但这些都是早期的技术(包括MimbleWimble、Grin和Beam)。每个人在这个选择上都有自己的取舍，对于什么是最好的隐私加密方法也没有明确的答案。

GRINGrin是mimble的第一个开源实现。Grin是用Rust语言开发的。Grin文档由匿名开发者Lgnotus Peverell于2016年10月20日发布。Grin的很多核心开发者都采用了与源相关的昵称《哈利波特》。Grin于2019年1月15日在主网上映前发布了四个测试网。由于与比特币的相似性，Grin因其公平的数字货币分配(无预挖、无ICO、无创始人奖励)和基于捐赠的资助模式而受到加密货币社区，尤其是其匿名开发团队的称赞。然而，Grin确实有几个显著的不同之处。

货币政策：Grin被设计为交易媒介(MoE)，而不是像比特币一样作为价值储存手段(SoV)。Grin的矿工奖励是每分钟1块，每块60磨(即每秒1 grin)。采矿产生研磨将根据这一法律继续下去，产量不会减少。这使得Grin早期的通货膨胀率很高。随着时间的推移，通货膨胀率逐渐下降。共识算法：在初始阶段，Grin会尝试使用两种PoW算法来实现去中心化。这两种算法都是Cuckoo Cycle[1]的变体(一种是ASIC友好的，另一种被认为是抗ASIC的，因为它是一种内存硬算法)。布谷鸟算法是一种新的有争议的工作量证明(PoW)算法。区块链握手白皮书描述了这个问题。管理：Grin没有正式的管理流程。但是Grin有一个八人技术委员会，负责管理Grin的通用基金和发展路线图。Grin举行向所有人开放的管理和发展会议。功能：Grin正在尝试通过添加无脚本脚本等功能来增强MimbleWimble协议，在此基础上可以实现复杂的“条件交易”功能。社区成员也致力于通过grinbox和wallet713等解决方案改善用户体验。挑战：虽然Grin因其基于捐赠的资助模式而受到赞赏，但仅靠外部捐赠来继续建立和改进Grin也是一个挑战。此外，要让Grin方便非技术用户，还有很多工作要做。自发布以来，Grin已经能够在几家交易所进行交易，即使它没有主动联系交易所支付款项，也没有向交易所支付货币费用。虽然社区很乐意帮助Grin加入交易所，但Ignotus Peverell表示，他们并不“过度担心外部因素和(超出他们控制的)事情”。

[1]原作者注：布谷鸟循环是在一个非常大的二分图中寻找一条循环路径，所以它的算法速度是以每秒完成搜索的图的数量来计算的。与大多数其他工作负载证明算法相比，Cuckoo Cycle消耗的功率要少得多，并且它是内存密集型而不是计算密集型的。Yeastplume在一个播客节目中很好地解释了这一点：类似于我们在一张纸上绘制节点，并随意在它们之间添加边。算法计算在这些节点之间是否能找到一个环，即从一个特定的节点出发，沿着边返回到同一个节点。

挖掘算法最初，Grin团队计划使用两种PoW算法，因为它们的内存消耗很大，所以被认为是抗ASIC的：Cuckoo Cycle(由John Tromp在2015年开发)和内存要求很高的Equihash算法，称为Equigrin。

具有高内存要求的算法不被认为是可以利用CPU和GPU的计算密集型算法。起初，Cuckoo Cycle被认为是抗ASIC的，因为它需要大量的SRAM(静态随机存取存储器)。认为在ASIC中使用大量的SRAM是昂贵的，因为算法需要大量的SRAM，这增加了制造ASIC的难度。布谷鸟循环的创始人约翰特罗姆普(John Tromp)说，“最初的布谷鸟循环是为了让内存延迟成为瓶颈。现在，很多年后，我们意识到布谷鸟周期是一个SRAM算法，可以很好地利用[.]，但实际上(与过去不同)在ASIC制造中使用SRAM并没有那么贵。我们希望ASIC比GPU有更高的效率优势。John Tromp在播客中深入探讨了布谷鸟周期。

2018年8月，社区认识到ASIC (1)在实践中是不可避免的[1]，而(2)在一开始可能不利于数字硬币的公平分配，但长期来看未必是坏事。相反，ASIC友好的算法可以使网络更加安全，因为ASIC挖掘设备增加了网络的计算能力，使得攻击更加困难和昂贵。从长远来看，ASIC可能有利于区块链协议的成功，因为在安全方面投入数千万美元的矿工的要求与区块链项目的利益完全一致。此外，根据Derek Hsue的说法，“任何持续产生ASIC抗性的尝试都会导致秘密ASIC的问题。」

鉴于上述观点，Grin随后决定改变工作负载证明(PoW)算法，两者都是布谷鸟循环的变种。主要算法为ASIC友好(AF)算法，第二种算法为抗ASIC(AR)算法，第二种算法将在项目主网上线后逐步淘汰。Grin中的主要功率算法称为Cuckatoo31，这是一个更加ASIC友好的Cuckoo Cycle版本。之所以称之为ASIC友好，是因为它可以使用数百MB的SRAM来提高性能，这使得ASIC的计算能力超过了GPU。第二种算法称为Cuckaroo29，是一种内存密集型AR PoW算法。但真正保证ASIC抗力的唯一方法就是做一个有计划的硬分叉，不断调整算法(类似Monero的做法)，让生成的ASIC失效。Grin会每半年进行一次这样的硬分支来调整算法，以此来打压用这种AR算法生产ASIC的积极性，直到两年内算法被淘汰。

加密社区的一些成员非常关心布谷鸟循环中PoW算法的稳定性。约翰特罗姆普(John Tromp)在2014年首次提出了这个概念，并在短时间内多次修改，因为研究人员找到了优化算法的方法。布谷鸟循环是基于一个NP-完全图论问题。一个令人担忧的问题是，如果一个矿工通过优化布谷鸟循环算法获得了比网络中其他矿工更多的计算能力，那么挖掘收益将不会得到公平分配。根据John Tromp的说法，通过这种优化算法获得的相对优势可能会随着迁移到更大的图而增加。但是如果社区的其他成员对算法进行同样的优化，这种优势就会消失。

首先，Grin的90%的块由第二种算法挖掘，其中10%由主算法挖掘。两年后，将使用主算法开采100%的区块。未来两年，Cuckatoo31将获得更大比例的区块奖，每月线性增长3.75%。Grin社区希望到Cuckatoo31占矿份额100%的时候，会有很多ASIC厂商生产ASIC矿机，从而引导有序健康的竞争。Grin根据最后60块的窗口调整挖掘难度。

[1]原作者注：张立嘉说，“2014年，ASIC矿工第一次商业化的时候，因为RAM成本高，所以用内存硬算法抵制ASIC是合理的。但在过去几年中，RAM成本的大幅下降使ASIC设计人员能够以越来越低的成本为这些网络制造机器。内存瓶颈算法不能无限期保留ASIC。」

根据miningpoolstats.com的数据，Cuckaroo29上有15个矿池，Cuckatoo31上有11个矿池。写这篇文章的时候，前两个矿池(Sparkpool和F2pool)的计算能力之和占了Cuckaroo29的82%，Cuckatoo31的68%。Sparkpool和F2pool都向Grin的开发者基金和普通基金捐款。虽然计算能力看似集中在矿池，但矿池是由很多矿工组成的，他们可以随时选择离开矿池，随意将计算能力切换到其他矿上。

第三大矿池是GrinMint，由BlockCypher于2018年9月首次推出。2019年1月，BlockCypher收取2.5%的费用，并表示将向Grin开发者社区捐赠0.5%。BlockCypher还有一个全职开发人员在Grin上工作(Quentin Le Sceller)。其他回馈格林社区的采矿池包括MimbleWimble Grin Pool和grin-pool.org。

对Grin的批评之一是，当Grin上线时，一些投资者投资了采矿，并控制了大量的计算能力。这些投资者应该是通过买币的方式投资了Grin，也就是市场的购买者。但由于这些投资者通过采矿获得Grin，并在市场上出售Grin获利，这些投资者反而成了市场上的卖家。矿池挖完块，拿到采矿奖励，就必须马上卖币，因为要用比特币支付矿工。(译者注：这是本文的一大错误。事实上，大多数Grin矿池都是向矿工分发研磨物，而不是出售研磨物来向矿工支付比特币。)

货币政策Grin的发行利率是线性的，它将以每分钟60 Grin(每秒1 Grin)的速度发行——它的供应量被刻意设计成没有上限。比特币上限2100万，有通缩发行计划。比特币的块报酬每四年减半，直到趋近于零。因为比特币的发行模式使其价值在时间上增值，比特币模式鼓励持币。这使得比特币成为一种价值存储工具(SoV)。

Grin早期的通货膨胀率极高，但当数百万Grin硬币流通时，通货膨胀率会随着时间的推移而趋近于零，虽然永远不会达到零。实际上，通货膨胀率降到10%以下需要10年，降到4%需要25年(2018年和比特币一样)。通货膨胀率降到2%以下需要50年。但实际上，Grin的团队认为，在考虑到存在因私钥丢失而导致的丢失硬币的情况下，通货膨胀会低于上述预期。根据该团队的说法，每年损失的钱可能高达总供应量的2%，在计算通货膨胀率时应将其排除在外。永久发行被认为是缓解货币损失影响的潜在解决方案。

永久通货膨胀背后的另一个原因是：(1)通货膨胀模型比通货紧缩模型更公平，通货紧缩模型更有利于早挖矿的矿工，而通货膨胀模型则不然。(2)如果预计明天的货币价格与今天相似，那么它有更大的机会被用作交换媒介(MoE)，这正是Grin项目所希望的。中短期的高通胀会刺激消费而不是储存，因为货币会被大幅稀释。该社区还认为，花钱的动机可能有助于更广泛地分发数字硬币。

此外，永久发行可以防止Grin最终完全依赖交易费来确保网络安全——这正是比特币社区正在讨论/面临的挑战。一旦比特币的发行量接近于零，网络将不得不过渡到只依靠交易费来奖励保护比特币安全的矿工。仅用交易费奖励矿工是区块链的一种新经济模式，但仍然存在很多问题：每个区块需要多少次交易，每次交易的最低成本是多少，如何解决与致力于降低网费的二线方案(如闪电网)的矛盾。

怀疑论者批评Grin是因为其没有上限的线性发行计划，还因为高通胀率降低了数字货币作为价值储存手段的购买力。然而，Grin的开发者故意设计了这样一个通货膨胀率，目的是鼓励消费，抵消丢失硬币的影响，确保Grin网络能够始终支付矿工采矿奖励，以维护区块链安全。高通胀的一个弊端是，类似于早期的比特币，现在挖矿激励在总供给中占了相当大的比例。这可能会对Grin币的价值产生负面影响，因为矿池出售Grin来换取比特币支付给矿工。(译者注：这是本文的一大错误。事实上，大多数Grin池都是向矿工分发Grin，而不是出售Grin向矿工支付比特币。)

Grin的Lineberger说：“治理是如何做出从参与者(参与决策的人)和利益相关者(受决策影响的人)的角度看起来合理的决策的过程。Grin没有明确的治理流程，但是没有结论的讨论是透明的，对社区完全开放。

Grin有一个技术委员会，负责管理Grin普通基金和指导项目的发展。委员会成员包括Ignatus Peverell、Antioch Peverell、Hashmap、Jasper VDM、Lehnberg、Quentin Le Sceller (Block Cypher)、Last Plume (Michael Cordner)和John Tromp。任何人都可以参与治理。会有与开发人员的会议和讨论，但是最活跃的贡献者通常会发挥更大的作用。

技术委员会每两周召开一次管理会议和开发者会议。主题包括ASIC阻力、筹集和引导资金、重大缺陷和错误、安全审计、交换集成、硬分叉等。Grin还会在会议前后在Github上发布议程、笔记和会议纪要。在grin-forum上也有一个管理板块，里面有一些主题相同的帖子，这表明社区正在积极思考如何长期管理。

由技术委员会领导的管理和开发过程使社区能够在早期快速灵活地运行，以避免减缓项目进程。然而，随着Grin的成长和成熟，人们一直在讨论如何建立一个更加结构化的、具有制衡机制的管理流程。委员会成员和捐助者明确表示，有必要实施一个更正式的程序，以确定：

为社区提供一种更加结构化的方式来交流关于管理和发展主题的反馈。设定委员会的权限范围和社区向委员会成员提供意见的规则。所有利益攸关方都有机会表达自己的意见。利益相关者包括核心开发者、一次性贡献者、矿工、用户、投资者、交易所等。这个委员会的缺点是增加了项目的集中化。从长远来看，一个非官方的委员会可能是危险的。Burst PoCC就是一个例子，其功能与Grin技术委员会类似。有一天，他们对社区不满，意外退出，但仍然可以访问项目代码库，管理DNS域名等等。他们还采取了额外的恶意行动，如欺骗矿池和过早出售爆裂，最终损害了爆裂区块链。

基金Grin是一个完全基于捐赠的开源项目。虽然其公平的数字货币分配机制备受好评，3354没有ICO，没有预挖，没有创始人奖励，但缺点是开发进度较慢。Grin的安全审计、市场营销、网站开发、运营活动都依赖于无偿的兼职志愿者和对核心开发者基金的捐赠。

正如图沙尔贾因所指出的，“没有资本的推动，发展进度就会被延缓。这是Grin社区公认的事实。在Grin通用基金的页面上，他们说，“现实是，有了资金支持，对Grin项目会有很大帮助。这将使Grin更快更可靠地开发其潜力，拥有更好的基础设施支持，并有更大的可能性与资金充足的区块链项目竞争(或共存)。」

Grin社区2016年开始开发Grin，2019年1月才开始上线。在同一时期，Beam是MimbleWimble协议的另一个实现(下面将进一步详细讨论)，它是由一家私人公司开发的项目，该公司获得了风险资本投资者。他们在2018年初启动项目，比Grin主上线早一周实现主上线。

此外，核心开发者和社区主要成员Yeastplume (Michael Cordner)起初在筹集个人R&D赞助资金时遇到困难，无法将全部精力投入到Grin上。只是在Ignotus Peverell对Yeastplume的筹款活动远远没有收到(5.5万欧元)10%的资金表示失望之后，筹款活动的捐款才开始上升。自那以后，它已经超过了其筹款目标，在编写本报告时筹集了66，580欧元。完整的捐赠者名单可以在格林名人堂查看。

依靠捐款可能在短期内有效。然而，为了保持发展并吸引人才进入网络，Grin将不得不重新考虑其融资模式，因为它面临着来自那些资金充足和付费项目的日益激烈的竞争。在开发者激励政策的这一明确表述中，Nathaniel Whittemore提出了另一种全新的面向业务的激励模式，即(1)提供足够的激励以吸引顶尖人才加入项目，(2)继续为核心开发路线图做出贡献。也就是说，在既定路线图的规划下，项目会用经济手段鼓励更多的优秀人才做出贡献。

用户体验如上所述，MimbleWimble没有地址。因此，交易的发起者和接收者必须传递消息(称为“交易清单”)以基于交互通信来转移货币。有许多方法可以以标准化的方式传递JSON消息。一种方法是基于文件的传输，其中文件包含纯文本格式的JSON消息，文本可以通过多种方式传输(电子邮件、电报、密钥库、业余无线电、信鸽等。).另一种方法是基于HTTP URL，其中API接口接受文本格式的原始JSON。

一组名为vault713的第三方开发者正在努力使Grin更加实用和广泛使用。他们的第一个项目是一个叫做Grinbox的交互协议。Grinbox是一种消息中继服务，当与wallet713一起使用时，它可以简化交易过程，wallet 713目前是一种运行在Linux上的vau。

lt713 的 grin 钱包的核心分支。Grinbox 和 wallet713 旨在改善 Grin 的发送和存储过程。

第一步，Grinbox 允许参与者创建公开的地址用以发送 / 接收资金，这样他们就不必公开他们自己的 IP 地址。 wallet713 还允许用户将联系人姓名链接到他们计算机上的本地存储地址。此外，wallet713 允许异步交易构建。 vault713 还致力于添加更多增强隐私和可用性的功能，例如多重签名支持，BTC 和 Grin 之间的原子交换，在交易进入未经确认的内存池、移动 /web/ 桌面 GUI 等之前，与其他 wallet713 用户一同进行钱包层面的混币。

随着项目的成熟并吸引到更多人才，将出现更多利用不同通信信道创建交易可选方法。这可能包括利用 NFC，QR，蓝牙等的近场通信技术创建交易的方法。最终，用户选择一个方便且易于理解解决方案作为主要的交易通信方式。但是到达那一步还需要一些时间，还有待观察哪种方法可以成为标准。

Grin 只有几个月的历史，而且就目前而言，该项目适合精通技术的用户投入时间和精力来了解它的工作原理。虽然社区开始通过 grinbox 和 wallet713 等工作解决用户体验方面的问题，但要使非技术用户能舒适的在网络上进行交易还需要时间进行迭代和教育。

结论

Grin 是一个最初引起密码学朋克和无政府加密主义者注意的项目，但 Grin 与比特币相似的思想引起了许多人的注意。也就是说，Grin 因其匿名领导者、基于捐赠和草根的资助模式、专注于隐私和去中心、以及其社区非常关注对项目的推进而不是快速赚钱而受到赞扬。

但是 Grin 主网上线 Grin 只是第一步。要想让 Grin 获得长期成功并被广泛采用，还有很多工作要做。需要解决的关键挑战包括更可靠的筹资方式、更直观的用户体验以吸引更多用户使用 Grin，以及研究如何解决系统中的隐私漏洞 (即观察节点创建交易图的能力)。

核心团队表示，其主要关注点仍然是稳定性，性能以及安全性。通过第三方开发团队将 Grin 集成到他们的服务和产品中来培育一个健康的生态系统，这对提高使用率也是至关重要的。这并不一定需要 Grin 的核心开发人员来完成。相反，这些挑战可以在 Grin 区块链周围出现第三方开发人员生态系统时解决。

Grin 仍然是一个非常新的项目，它开创了全新的未经测试的想法，加密概念和技术。如果 Grin 能够应对关键挑战，那么它有可能成为将隐私重新置于个人手中的一种方式。

BEAM

Beam 是由一家总部位于以色列的 VC 支持的创业公司，于 2019 年 1 月 3 日推出了基于 MimbleWimble 协议的以隐私为重点的同名加密货币。它于 2018 年 3 月开始使用 C ++开发，并于 2018 年 9 月推出了测试网络。虽然 Beam 和 Grin 的相似之处在于它们都是 MimbleWimble 的实现，旨在为用户提供隐私增强功能，但它们的路径各不相同。与 Grin 不同，Beam 是一家私营公司，雇用开发人员来实施。 Beam 是从闭源开始，但后来开源了。 Beam 的另一个相比于 Grin 的重要区别是 Beam 提供了针对企业和监管机构的可选审计功能。

货币政策：Beam 的供应计划是通货紧缩型的，在第一年之后区块奖励下降 50%，之后每四年就会减少一半，直到达到 2.63 亿的硬性上限。此外，Beam 挖矿产出的 20% 将作为开发税进入 Beam Treasury 基金，用于并为 Beam 的未来开发提供资金。挖矿算法：Beam 使用 Equihash 的修改版本（一种工作量证明挖掘算法）来提供网络共识。为了确保去中心化，Beam 将通过定期调整其算法使得 Beam 在前 12-18 个月保持 ASIC 抗性。管理：Beam 目前由一家 VC 支持的创业公司运营，由付薪雇员组成。长期目标是完全将管理移交给管理 Beam Treasury 基金、维护区块链的非营利基金会。功能：Beam 正在添加一个可审计的功能，这样企业就可以在不损害隐私性的情况下证明其合规性并提供交易的可预见性。Beam 开发人员还在探索一个安全的 BBS 系统，该系统将支持非交互式离线交易。挑战：不断改进 PoW 协议是一项艰巨的任务，避免 ASIC 挖矿将使网络整体算力保持在较低水平，这也使得攻击网络的成本相对较低。此外，Beam 目前的运营和管理结构是中心化的，转向更去中心化的模式将需要避免所有投资方之间的权力斗争。

挖掘算法

Beam 使用 Equihash 算法，这是由卢森堡大学的 Alex Biryukov 和 Dmitry Khovratovich 创建的工作量证明算法。 Equihash 是一种基于广义生日问题的非对称内存密集型算法。 Equihash 的另一个关键属性是挖矿是随机的，这意味着生成 PoW 解的可能性与过去是否的成功挖矿是不相关。 Equihash 有两个可以调整的参数：n （bit 位宽）和 k （长度），它们决定了底层问题的复杂性，从而决定了算法的内存和时间复杂度。Beam 使用 Equihash 参数 n = 115 和 k = 5。

Equihash 在某种意义上是不对称的，因为它需要大量的内存来生成一个证明，但它不需要大量的内存来验证它。这是 Equihash 的一个重要特性，因为大多数其他内存密集型算法都是对称的，也就是说，验证与生成一个证明一样困难。内存密集型指的是生成一个证明所花费的时间与内存成正比，而不是与 CPU 计算能力成比例。如果使用更少的内存，Equihash 会不成比例地大大增加对计算能力的需求。

最初，内存是一种昂贵的资源，因此不假设 ASIC 比常规 CPU 和 GPU 更容易做出内存优化。另一方面，ASIC 与 GPU 相比提供了显著的带宽改进，而 GPU 又比 CPU 提供了显著的带宽改进。由于芯片设计技术的改进，为内存优化的 ASIC 矿机的成本不再像过去预期的那么高。

Zcash 是一个专注于以隐私性的加密货币，也使用 Equihash 算法。最初选择了 Equihash 是因为它被认为是 ASIC 抗性的。然而，在 2018 年，比特大陆发布了 Antminer Z9 mini 矿机，这个矿机通过降低 SRAM 的成本获得比通用硬件（CPU、GPU）更高的挖矿效率。在 Beam 的 Equihash 算法帖子中，他们强调「卢森堡大学的研究人员发现，截至 2018 年 5 月，20％-30％的 Equihash 是由 ASIC 矿机挖出的。」

Beam 表示，它们已经特别设置了 Equihash 参数，以便在短期内为 CPU 和 GPU 为矿工提供优于 ASIC 的优势，从而使币的初始分发更加广泛。然而，它认识到 ASIC 是不可避免的，甚至是在长期看是有用的，因为 ASIC 是一项成本可控的投资，并且增加了全网算力，从而使得区块链更安全且更难被攻击。

货币政策和资金

Beam 的货币政策类似于比特币。它的特点是规定了一个硬顶和通缩发行计划，并使用常规的区块奖励减半方法（每个区块的挖出的币数量下降 50％），直到通货膨胀率达到零。因此，这个初创公司是希望将 Beam 用作价值储存（SoV），而不是像 Grin 那样的交换媒介（MoE）。不过，其与比特币的相似性就到此为止了。与特别币不同的是：1. Beam 在第一年的挖矿奖励更多；2. 前 5 年的挖矿产出中部分归于项目创始人团队；3. Beam 每分钟一个块（比特币每 10 分钟一个块）。

在第一年，一个区块奖励将是 100Beam，高于之后的奖励，以激励矿工尽早加入网络并将 Beam 引入市场。头五年中 20% 的挖矿产出将给与创始人团队。所以第一年挖出的每个区块的 100 Beam 中 80 Beam 将支付给矿工，20Beam 将支付给 Beam 财富基金。在第 2 到第 5 年，区块奖励将下降 50%，变为 50 个 Beam，其中 40 个 Beam 支付给矿工，10 个 Beam 支付给 Beam 财富基金。在第 6 年，区块奖励将再次下降 50% 至 25 Beam，且所有奖励都将支付给矿工，并在未来改为每 4 年减半一次，直到第 129 年。区块奖励将在第 133 年停止，届时 Beam 预计的总供应量约为 2.63 亿。

Beam 采用了创始人奖励机制（Founders Reward），也称为开发税（Dev Tax），以回报投资者并为正在进行的协议和工具开发提供经济支持。创始人奖励费用是编写在区块链协议中的代码里，该协议在矿工和创始团队的已知地址之间的自动分配区块奖励

这种方法明显与 ICO 或预挖等不同，正如 Dash 所见，它以大量的流动资金来补偿加密资产的创始人。虽然 ICO 和预挖都是早期团队成员所希望的，但这类薪酬设计往往缺乏有效的资金监管和退出时间表。因此，在短期利益驱使下，挪用资金并跑路的骗局相当普遍。

「创始人奖励」的目的是随着项目的发展逐步补偿创始人。因此，最初的利益相关者更有动力去协调资源维护网络的长期成功。此外，奖励制度被纳入区块链协议，Arjun Balaji 指出：这种机制提供了固定资金分配比例带来的资金透明度，也为通过软或硬分叉修改现有分配方法提供可行性。

该创始人激励结构最初是由 Electric Coin Company(前身为 Zcash Company) 设计并推广的。这家公司是专注于隐私的加密货币 Zcash 的背后的开发和维护企业。起初，Zcash 矿工只能获得区块奖励的 80%。剩下的 20% 将分配给 Zcash 基金会 (一个支持 Zcash 开发的独立非盈利组织)、数字币公司以及早期的 Zcash 开发人员和顾问。在头四年之后，创始人奖金被预先设定为零，以确保在 2100 万美元的上限达到之前，所有新发行的 Zcash 将 100% 归矿工所有。

Beam 资金模型与 Zcash 的资金模式相似，在早期阶段其支付给 Beam 财富基金，创始人费用比例为 20％。与 Zcash 历时 4 年的创始人奖励不同，Beam 创始人奖励历时 5 年，包括第一年区块奖励为 100 Beam 的时候。在这五年结束时，累计有超过 3150 万的 Beam 被送给 Beam 财富基金。计划将基金中 35％的资金分配给早期投资者，另外 45％的资金补偿给核心团队成员和顾问，剩余的 20％将用于支持 Beam 主权货币基金会。这是该项目维护和管理的长期解决方案。

除了创始人奖金，Beam 还从包括 Recruit Co. LTD、Yeoman \’s Capital 和 Node Capital 在内的各种风险投资基金中筹集了至少 500 万美元，用于聘请全职开发人员来推进开发。这些投资者将定期从创始人奖金中获得 Beam 以回报其早期投资。

Beam 的核心团队和早期投资者都认识到，更加中心化的推动项目可以加速产品研发、尽量避免在基于社区运营的项目中经常出现的项目延期的情况。因此，Beam 选择了这种更加中心化的管理方法来启动项目并度过项目的初始阶段。随着 Beam 的不断成熟，其目标是实现更加去中化的激励和管理结构，将区块奖励交给矿工，并将项目控制权交给社区。

不利的一面是，同时也是对 Beam 的批评之一，Beam 并没有让所有投资者都能平等参与。在主网上上线之前就从投资者那里筹集资金，或者将一部分资金投入专门的集团 (即 ICO、创始人奖励、预挖)，这些都可能导致币的分配不公平。

与之相对的是与比特币和 Grin 类似的产品，在这些产品中，加密资产只能通过传统的 PoW 挖矿获得。抛开技术障碍不谈，任何感兴趣的投资者都可以加入这个网络挖出新的比特币或 Grin。这样的发行方式往往会在区块链网络用户之间更为公平。

管理

在目前的状态下，Beam 依靠位于特拉维夫的小型 VC 支持的团队来开发项目的所有更新并增加新的功能。因此，项目的组织结构类似于私人创业公司，而不是大多数区块链项目所展示的管理流程。这使得 Beam 能够控制项目风险并实现快速可控的迭代开发，从而在早期阶段提高项目研发效率并快速上线满足市场需求。

Beam 领导团队由首席执行官 Alexander Saidelson，首席技术官 Alex Romano，首席运营官 Amir Aaronson 和 CMO Beni Issembert 组成。其他核心成员主要由开发人员以及一些设计师和部门主管组成。该公司还从 12 位顾问那里获得了见解，其中包括 OGroup 的首席执行官、通用电气 (GE) 新兴技术部门前首席信息官玛嘉•武吉诺维奇 (Maja Vujinovic) 和 Genesis Mining 的首席执行官兼联合创始人马可•斯特兰 (Marco Streng)。

随着项目的逐渐成熟，创始成员将把控制权从创始团队手上转移到 Beam 主权货币基金会 (Beam Sovereign Money Foundation)，这是一个独立的非盈利基金会，旨在由杰出和受人尊敬的社区成员运营。Beam 认为，建立基金会将有助于实现其分散组织结构的目标。预计在未来几个月内，2019 年底前，Beam 将会确定基金会职责和规则并组建董事会。，一旦基金会开始运作，当前的 Beam 公司将转换为基金供应商角色，在 Beam 区块链上开发上层用户应用程序。

关于基金会建立过程的大部分信息还尚未公布，但 Beam 基金会的作用包括：

管理 Beam 改进的提案并组织开发；资助和促进与 Beam，MimbleWimble 和蒲公英技术相关的研究；提高认知，帮助发展社区；在数字货币和金融主权中强调隐私的重要性。挑战

因为采用创业公司的模式，Beam 将面对与大多数区块链创业公司一样的问题：在维护用户看法的同时，转向更去中心化的管理模式的这一典型问题。创业公司普遍存在高失败率的问题，原因有很多，包括产品与市场不匹配、开销过大导致资金不足以解决团队内部冲突。一个由经验丰富的企业家和顾问组成的团队远不能保证长期的成功，一个内部冲突就可能威胁到整个项目。

更艰巨的任务是需要获得足够的支持，以帮助将管理和开发工作从小型创始团队转移到整个社区。一个重要的区块链项目评估指标是项目的去中心化程度，而 Beam 有意选择延迟去中化的过程。支持 Beam 战略的论点是早期阶段的项目「需要能够快速推动和自主迭代」。用 Arjun Balaji 的话说：「在早期使得项目去中化的同时构建新型去中化区块链网络是几乎不可能的」，因为这些目标本身就是矛盾的。

用户体验

BEAM WALLET

Beam 为普通用户提供了图形用户界面钱包，以及用于 Mac，Windows 和 Linux 的命令行界面钱包。Beam 桌面钱包使交易各方可以彼此共享的公开的地址。这些地址并不会记录在区块链上。Beam 最近还推出了 Android 手机钱包的测试版，并计划推出 iOS 手机钱包。该公司还表示，正在与硬件钱包供应商进行沟通，以使硬件钱包增加对 Beam 的支持。

安全公告板系统（SBBS）

Beam 尝试使用安全公告板系统（SBBS）创建离线交易，利用异步通信使得交易更加无缝和安全。 Beam 的 BBS 是类似八十年代和九十年代早期流行的公告牌系统 BBS。拥有家用计算机和调制解调器的人可以通过固定电话拨号连接到其他计算机，并在基于文本的公告牌系统 (BBSes) 上留下信息，供他人查看。 BBS 主机将计算机转换为数字会议场所。随着它们越来越先进，用户可以玩基于文本的游戏，甚至可以方便的传输文件。

在 Beam 中，BBS 钱包可以类比为家用计算机和调制解调器（作为「客户端」），而 Beam 区块链全节点可类比为 BBS 主机（作为服务器）。 SBBS 是区块链节点软件的一部分，并且是在链外维护的。 BBS 节点创建存储转发网络，将消息中继到离线的接收人。消息使用公钥加密，然后通过 Beam 节点中继到接收方的钱包。在这种情况下，公钥充当 P2P 系统中的地址。如果接收钱包处于离线状态，则存储转发 Beam 节点可以将消息存储在类似留言板的数据库中。交易参与者尝试解密他们订阅的留言板上的消息，但只有掌握对应的私钥的参与者才能解密发给他们的消息。

Beam 打算利用其钱包和 SBBS，让用户体验类似于基于地址的区块链交易，并降低使用基于 MimbleWimble 协议的数字币的门槛。

BEAM 钱包面临的挑战

自 1 月 9 日推出后不久，Beam 开发人员发现其钱包中存在漏洞，导致用户资金遭到入侵。开发人员发现他们在钱包代码中留下了一些不应该存在的东西。虽然 Beam 在发布之前经历了多次代码审查和审核，但他们主要关注的是 Beam 的加密实现的稳健性，这表明在审计钱包和 SBBS 时可能没有采用与之相同的严格程度。 Beam 宣布，漏洞是在内部发现并修复的，并没有资金被盗，并建议用户卸载钱包软件后从 Beam 网站重新下载更新后的版本。

1 月 21 日，Beam 经历了另一个问题，因为钱包使用不当导致区块链暂出块在第 25,709 块上停止出块。当时，由于克隆的钱包产生了 UTXO 相同的两笔交易并被分别发送到区块链上，从而导致核销流程不能正常工作并最终引起出现无效的区块。 Beam 在将近 3 个小时内没有生成块，在大约 5 个小时内没有发生交易处理。

审计能力

Beam 的主要优势之一是专注于服务业务。除了 MimbleWimble 所做的改进之外，Beam 还开发了可选的合规性和可审计性功能（钱包审计功能或称为商业钱包），以帮助企业遵守法规并执行必要的审核。这允许企业创建一个附有审计员私钥的钱包，以便审计员可以识别由商业钱包创建的区块链上的交易。有了这个可选的合规性功能，交易仍然具有隐私性，但用户可以根据授权审计员查看交易情况。这为普通企业开辟了加密资产的使用场景。

根据 Zaidelson 的说法，虽然实际的交易关联信息将由钱包生成并离线存储，但区块链会保存每个交易关联信息的哈希值。 Beam 区块链不存储历史交易详细信息——它仅存储历史交易的交易内核。在这次访谈中，Zaidelson 说 Beam「可以在内核中存储额外的 [编码] 信息 …… 包括压缩的文档，例如发票或收据。」当用户接受审计时，审计员可以检查数据哈希值是否是与交易关联信息的哈希值一致。

此功能仍在进行开发，其在实践中的效果还存在一些不确定性。然而，如果它成功了，它可能会解决企业的一个主要痛点，就是这些企业目前而言必须在加密资产的两个极端中做出选择：要么使用像比特币这样的数字币，从而有向竞争对手披露机密信息的代价，但提供了完全的透明度和可审核性；要么使用 Zcash 和 Monero 等具有隐私特性的数字币从而可以隐藏所有交易的痕迹，但也无法进行任何类型的审计。

可审计性面临的挑战是企业必须以安全的方式存储与哈希值相对应的交易关联数据。此外，企业需要相信审计员不会向未经授权的第三方泄漏查看数据的私钥。虽然 Beam 可以创建一种共享私有数据的方法，但普通的审计员可能缺乏对 Beam 区块链上的交易进行审计的技术手段。从理论上讲，他们可以外包这些技术工作，但这会扩大可以访问敏感数据的人群，进而提高数据泄漏的风险。

路线图

在主网上发布后不久，Beam 公布了 2019 年的综合路线图。它分为两个关键类别：Beam Core （专注于改进和推进核心协议）和 Beam Compliance （专注于启动和迭代 Beam 的合规性和可审计性）。从长远来看，Beam 已经在讨论一项名为 Project Lumini 的计划，该计划将专注于在 Beam 和其他一些智能合约区块链之间建立一座桥梁，并在 Beam 上推出加密资产。

BEAM 内核路线

Beam 核心分为五个阶段 – 敏捷原子，明亮玻色子，透明阴极，双多普勒和急切电子（Agile Atom, Bright Boson, Clear Cathode, Double Doppler, and Eager Electron）。路线图中的亮点包括将闪电网络作为 Beam 的第二层解决方案实施，以在今年年底之前实现快捷支付，在 2019 年 3 月底之前 Beam 将支持与比特币的原子互换并且，通过两次计划中的硬分叉保持 Equihash 算法的 ASIC 抗性，以及下面详述的其他举措。我们注意到首先 Beam 必须推出智能合约和多重签名功能（例如通过无脚本脚本），以支持闪电网络（Lightning Network）等第二层解决方案。

Beam 合规路线

Beam 合规路线的主要目标是使 Beam 能够被企业使用。Beam 计划在其合规套件中包含「合规钱包」和「监管接口」，预计将根据具体国家 / 地区的法规进行定制。 截至目前，暂定上线日期为 2020 年。

结论

Beam 采用商业方法构建一种价值存储隐私币。它由风险投资支持，并由其支付工资的员工进行全程推动。因此，Beam 能在不到一年的时间内就完成从开发到上线。它通过其在 Beam 钱包和安全消息系统上的工作，显著提供用户体验和易用性。另一方面，它经历了可能导致资金损失的桌面钱包的一些小问题，这可能对这样一个年轻的项目而言是不利。

Beam 已在其 2019 年路线图中概述了大型计划，包括在 Beam 上建立闪电网络以及为企业和监管机构提供可审核的解决方案。Beam 的独特之处在于，它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了新的选择。然而，Beam 的合规性性和可审核性解决方案尚未推出，可能带来新的安全性问题。Beam 有雄心勃勃的目标，在把新功能发布到主网之前，应该对这些新功能进行全面彻底的测试，以避免由于不小心造成的可能损害用户资金的失误。如果 Beam 能够实现其规划，这项工作将会为用户提供一组独特且明显有效的新特性。

概括

MimbleWimble 的新颖之处在于，它通过将保密交易技术、混币技术、交易核销技术综合运用，使更多设备可以参与保护网络，从而增强了隐私性和效率。

Grin 和 Beam 都是 MimbleWimble 的实现，但它们的相似之处仅限于此。 Ignotus Peverell （Grin 的创造者）指出「一个常见的误解是，人们认为 MimbleWimble 协议描述了一个完整的加密货币解决方案，因此往往把 Beam 和 (Grin) 放在同一个篮子里。」

虽然这两个项目都试图为用户提供隐私性和在区块链效率方面进行改进，但它们在大多数技术、结构和组织元素上存在差异。引发最多讨论的问题是 :Grin 基于捐赠与志愿者的充满密码朋克式的社区运作方式 (类似于比特币和 Monero) 与 Beam 的由基于 VC 支持的初创公司 (类似于 Zcash) 的包含创始人奖励和由付费员工推动的运作方式相比，哪一种方式更有可持续性？这还需要时间来证明。在此之前，了解这些项目是如何相互影响并相互学习的将是一件有趣的事情。

原文声明

本报告仅为提供信息而编制，不应作为做出投资决策的依据，亦不应被解释为建议从事投资交易，或就任何金融工具或其发行人提出投资策略。本报告并非根据旨在促进投资研究独立性的法律要求编写，亦不受《市场滥用规例》(欧盟) 第 596/2014 号对投资研究传播前交易的任何禁令约束。Circle Internet Financial Limited(「Circle」) 或其附属公司出具的报告，与提供投资、税务、法律、财务、会计、咨询或任何其他相关服务无关，也不建议买卖或持有任何资产。本报告所载的资料是根据被认为可靠但不保证完全准确的资料来源提供的。本文所表达的任何意见或估计均反映自发表之日起作出的判断，如有更改，恕不另行通知。数字资产的交易和投资风险巨大，包括价格波动和流动性不足，可能并不适合所有投资者。此外，Circle 及其附属公司现在或将来可能提供与本报告主题相关的资产相关的财务或其他支持。员工和其他相关人员现在或将来可以在本报告主题的数字资产中进行交易并持有头寸。因此，Circle 及其关联方、其雇员或其他相关人员在现在或将来可能就本报告主题的资产获得报酬，并可能与本报告的规定存在某些利益冲突。对于因使用本资料而引致的任何直接或间接损失，Circle 概不负责。