推出旨在保护隐私的加密数字货币MomoCash

2009年，中本聪提出了比特币的概念。 此后，比特币在主流应用和商业用途中迅速普及，成为第一个吸引大量用户的数字货币，在数字货币发展史上具有里程碑意义。 但是，从完成交易的角度，我们可以发现一个重要的问题，即比特币区块确认交易的时间过长，而传统支付公司已经想通了如何实现比特币交易之间的零确认。买家和卖家。 解决方案，但这种解决方案通常涉及使用协议之外的可信第三方来完成交易。

比特币提供匿名交易，实现了发送方和接收方一对一的交易关系，可以永久记录全网发生过的交易。 比特币仅提供低水平的隐私保护，这在学术界是众所周知的，尽管存在这一缺陷，但许多人仍然相信区块链记录的转账历史。

MomoCash基于中本聪的成就，是一种以保护隐私为目的的加密数字货币。 我们在比特币概念的基础上进行了一系列的改进，形成了一种去中心化、匿名性好的加密数字货币，支持不可篡改的即时交易，可以为MomoCash网络提供基于激励的点对点服务二级网络。

主节点网络

全节点是运行在 p2p 网络上的服务器，允许小节点使用它们来接受来自全网的动态变化。 这些完整节点需要大量流量和昂贵的其他资源，因此随着时间的推移，比特币网络上这些节点的数量将稳步下降，区块广播时间将增加 40 秒。 为了解决这个问题，已经提出了很多解决方案，例如引入新的微软研究院奖励计划和 Bitnodes 激励计划。 这些节点对网络的健康至关重要比特币匿名，允许客户端在网络上同步和快速广播信息。 我们建议添加一个名为 MomoCash 主节点网络的辅助网络。 这些节点将具有高可用性，在为网络提供满足一定要求的服务后，将能够获得主节点服务奖励。

1. Masternode奖励计划-成本和奖励

比特币网络全节点数量锐减的主要原因是运行节点缺乏奖励。 随着时间的推移，接入全网的用户会越来越多，对带宽的需求会越来越高，对节点运营商的资金要求也会越来越高，这会增加全节点运行的成本。 考虑到成本上升，节点运营商必须降低运营成本或运行轻客户端，但这对网络的健康是完全不利的。

就像比特币网络一样，主节点是一个全节点，但不同的是，主节点必须为全网提供一定的服务，需要一定的保证金才能加入。 存款不会丢失，并且在主节点运行时是安全的。 这使得投资者可以在为整个网络提供服务的同时赚取一定的投资收益，减少价格波动。

要运行主节点，需要存储 1000MOC。 当主节点生效后比特币匿名，可以为全网客户端提供服务，并以利息的形式获得奖励。 这使得用户可以对这项服务进行投资，但同时获得一定的回报。 主节点获得的收益来自同一个矿池，大约45%的区块奖励都包含在这个计划中。

考虑到主节点奖励计划的奖励比例为固定百分比，且主节点网络节点存在波动，预计主节点奖励将根据当前生效的主节点总数发生变化。 主节点运行一整天的收益可以通过以下计算公式计算：

n：运营商控制的主节点数量

t：主节点总数

r：当前区块奖励（当前平均奖励为5MOC）

b：平均每天出块数，当前MOC网络通常每天出块576个

a：主节点的平均奖励（每个区块平均奖励的 45%）

运行主节点的收益公式：

（公式中的变量同上）

运行主节点是有成本的，这对网络上的活动节点产生了硬限制和软限制。 目前有 100,000 个 MOC 在流通，只有 30 个节点可能在网络上运行。 软限额是由于配置节点的成本和平台的停滞体积造成的，因为MOC是流通的货币，不仅仅是投资。

2.确定顺序

使用特定的确定性算法创建主节点的伪随机排序。 使用为每个块设计的工作证明哈希算法，挖掘网络可以提供支持这种排序的安全性。

选择主节点的代码：

示例代码可以进一步扩展到主节点的排序，“第二”、“第三”、“第四”主节点的计算等。

3. 没有信任的群体

目前MOC网络约有30个活跃主节点，需要1000个MOC保证才能成为活跃主节点。 我们创建了一个系统，没有一个人可以控制整个主节点网络。 例如，如果有人想控制 50% 的主节点网络，他们必须从公开市场购买 30,000 个 MOC。 这样会大大提高币价，不可能获得这么多的MOC。

在拥有主节点网络和保证条件的前提下，我们将这个二级网络以去信任的方式用于高度敏感的任务，任何人都无法控制网络的演进。 从总池中选出 N 个伪随机主节点来执行相同的任务，这些节点可以在没有全网参与的情况下充当裁判。

例如，不信任的 Quorum 发现了 InstantSend，InstantSend 使用 Quorum 来确认交易和锁定输入。

另一个例子是，去信任的 Quorum 可以利用主节点网络作为金融市场的去中心化预言机，这使得去中心化合约的实施成为可能。 例如2016年12月31日苹果股价超过300美元，提交公约A，否则提交公约B。

4.角色和服务量证明机制

主节点可以为网络提供任意附加服务。 正如概念中所指出的，我们成功的应用是PrivateSend（匿名发送）和InstantSend（即时支付）。 使用我们称为“服务证明”的机制，这些节点可能需要在线并在正确的区块高度做出响应。

恶意行为者也可以运行主节点，但他们不会为网络提供任何实质性服务。 为了减少这些人使用系统做有利于他们节点的事情的机会，网络的其余部分必须被 ping 以确保他们保持活跃。 这项工作由主节点网络完成，每个块选择 2 个法定人数。 Quorum A 检查 Quorum B 的每个块的服务。 Quorum A 是距离当前区块哈希最近的节点，而 Quorum B 是距离该区块哈希最远的节点。

主节点 A (1) 检查主节点 B (2300) 主节点 A (2) 检查主节点 B (2299) 主节点 A (3) 检查主节点 B (2298)

检查网络是为了验证节点是否有效，这是由主节点自己完成的。 检查整个网络块的 1%。 这导致整个网络每天被检查大约 6 次。 为了保持这个系统的可信度，我们使用 Quorum 系统来随机选择节点，但我们也需要至少六次检查来排除恶意节点。

要欺骗系统，攻击者需要在一轮中被选中六次。 否则欺骗的目的会被系统发现，这样就不会得逞，其他节点也是如此。

表1 在服务证明机制不平衡的情况下，独立主节点欺骗系统的概率 n：攻击者控制的主节点数量 t：全网主节点总数 r：深度区块链基于Quorum系统，主节点的选择是伪随机的。

5. 主节点协议

主节点使用一系列扩展协议在全网进行广播，包括主节点消息通告机制和主节点消息ping机制。 这两类机制用于确认整个网络的节点处于有效状态。 除了它们之外，PrivateSend和InstantSend也需要实现服务量证明机制。

将1000MOC发送到钱包中的特定地址，激活码自然会生成一个可以在全网广播的主节点，然后生成二级私钥，用于对所有其他信息进行签名。 可用于完全锁定钱包。

在两台独立的机器上使用辅助私钥可以实现冷模式。 主要“热”客户端对 1000 MOC 的输入进行签名，这涉及使用辅助私钥对信息进行签名。 之后，“冷”客户端可以发现包含二级私钥的信息并激活主节点。 这会禁用“热”客户端（客户端关闭），这样攻击者就不可能访问激活的主节点并从中窃取 1000MOC。

当主节点开始运行时，会向全网发送“主节点广播”消息，包括：

信息：（1000MOC输入、可访问IP地址、签名、签名时间、包含1000MOC的公钥、二级公钥、用于捐赠的公钥、捐赠百分比）之后，每隔15分钟，将向公众发送一条ping消息发送以证明节点有效。

信息：（1000MOC输入，签名（使用二级私钥），签名时间）随着时间的推移，网络将移除无效节点，使该节点不能再被客户端使用或用于支付。 节点也可以无休止地 ping 网络，但如果它们的端口没有打开，它们最终将被标记为死亡，无法再进行支付。

6.主节点列表广播

进入 MOC 网络的新客户端必须发现整个网络中当前活跃的主节点，以便他们可以使用他们的服务。 一旦他们加入网状网络，他们的节点就会被指示请求主节点列表。

设置缓存的目的是让客户端记录主节点和它们当前的状态，这样当客户端重启时，他们可以简单地加载这个文件而不是重新请求主节点的完整列表。

7. 挖矿支付与执行

为了确保每个主节点都能获得应有的区块奖励，网络必须强制每个区块将奖励支付给正确的主节点。 如果矿工不愿意，他们的区块必须被网络拒绝，否则就会发生作弊。

我们提出了一种策略，其中一个主节点代表一个 Quorum，选择获胜的主节点并广播他们的信息。 信息广播 N 次后，将选择相同的目标接收者，这样，达成共识后选择的区块将向主节点支付奖励。

在线挖矿时，矿池（由个体矿工组成的矿池）使用RPC API接口获取生成的区块信息。 为了向主节点支付奖励，必须在 GetBlockTemplate 中添加子接收者以扩展接口。 然后，矿池广播自己成功挖出的区块，以保持与主节点的同步。

匿名支付

我们认为，为了能够加强客户端的用户隐私，实施标准的去信任化非常重要。 electrum、Android 和 iPhone 等客户端也将直接嵌入相同的匿名层，并充分利用协议的可扩展性。 这允许用户拥有与使用可靠和强大的系统匿名发送资金相同的体验。

PrivateSend 是 CoinJoin（提供匿名技术的软件）的改进和扩展版本。 除了拥有CoinJoin的核心理念外，我们还做了一系列的改进，比如去中心化、利用链接实现强匿名、同面值和被动先进的混币技术。

提高加密货币的隐私性和可替代性的最大挑战是不可能加密整个区块链。 在基于比特币的加密数字货币系统中，你可以看到哪些输出没有发送，哪些已经发送。 通常称为UTXO，全称Unused Transaction Output。 这允许每个用户充当公共分类账中诚实交易的担保人。 比特币协议是在不依赖第三方参与的前提下设计的。 在没有第三方参与的情况下，能够通过公有链随时读取用户信息，实现审计是至关重要的。 我们的目标是在不丢失这些元素的情况下提高机密性和可替代性，我们坚信这是创建成功数字货币的关键。

在数字货币范围内使用去中心化混币服务，我们可以让货币本身完全互换。 可互换性是货币的一个属性，它决定了每一单位的货币必须保持相等。 当你以货币形式收到资金时，资金不应保留之前用户的使用历史，否则用户可以很容易地从之前的使用历史中解脱出来，这样所有货币都是平等的。 同时，任何用户都可以确保公共账本中的每一笔交易都是诚实的，不会影响他人的隐私。

为了提高公有链的互换性和完整性，我们建议使用先进的去信任去中心化混币技术。 为了保持货币的互换性，该服务直接集成到货币系统中，每个用户都可以轻松安全地使用。

1. Coinjoin可以通过账户追踪资金流向

一个简单的策略是在现有比特币之上整合 Coinjoin，它只是将交易合并在一起。 通过跟踪联合交易中的用户资金流向，暴露了用户的身份。

图 2：将 2 个用户的交易合并为 Coinjoin 交易的示例

在这笔交易中，0.05 个比特币使用货币混合技术发送出去。 为了追查资金来源，只需要将右边的金额相加，与左边的金额相匹配即可。

重组交易

0.05+0.0499+0.0001（费用）= 0.10BTC。

0.0499+0.05940182+0.0001（费用）= 0.10940182BTC。

随着越来越多的用户加入混币过程，获得结果的难度呈指数级增长。 然而，在稍后的某个时间点，结果仍然可以被追踪并且匿名性丢失。

2.直接和中继链接

在 Coinjoin 的其他实现中，用户可以先将资金匿名化，最后将交易发送给知道发送者身份的平台或个人。 但这打破了匿名性，并允许其他人向前追踪用户的交易。 我们称这种类型的攻击为“中继链路”。

图 3：继电器转换链路

本例中Alice匿名发送1.2BTC，分别输出1BTC和0.2BTC，然后从1BTC的输出中输出0.7BTC，剩下0.3BTC。 这 0.3BTC 的输出被发送到一个可识别的对象，但本质上 Alice 已经成功地匿名发送了 0.7BTC。

为了确定匿名交易发送方的身份，需要从“兑换交易”环节开始，通过区块链向前追溯，直到“爱丽丝匿名发送了0.7 BTC”。 一旦找到，你会发现你的用户最近匿名购买了东西，所以你可以看穿这个匿名交易。 我们称这种类型的攻击为“中间转换链接”。

图4：中介转换环节

在第二个例子中，Alice 在 coinbase 花费了 1.2BTC，然后将这笔金额匿名化并输出为 1BTC。 然后，她又花了1个BTC，把剩下的0.3个BTC和之前的0.2个BTC组合起来，形成了一个0.5个BTC的对外输出。

结合匿名交易和CoinJoin交易，梳理前后整个交易历史，让这个匿名功能彻底看透。

3.增强隐私和DOS保护

多方交易可以合并为一笔交易，PrivateSend很好地利用了这一点。 它将多方的资金合并在一起发送出去，一旦合并就不能再拆分。 考虑到PrivateSend交易是专门为用户支付设置的，该系统防盗性高，用户的币非常安全。 目前，使用PrivateSend的混币技术需要至少3方参与。

三个用户的资金合并为一个共同的交易，用户将以新的加密形式导出资金。

为了增强系统整体的隐私性，我们建议使用相同面值的0.1MOC、1MOC、10MOC和100MOC。 在每一轮混币中，所有用户均应以相同的面值投入和产出资金。 除了使用相同的面值外，交易手续费将被取消，所有交易将被分解成离散的、独立的、不相关的小交易。

下一步是处理可能的 DOS 攻击。 我们建议所有用户在加入时以保证金的形式向矿池提交交易。 交易最终会输出给用户，同时可以给矿工高额的奖励。 也就是说，当用户向混合币池提出请求时，需要在交易开始时进行押金。 如果用户在某个时刻不配合，比如拒绝签名，充值交易会自动全网广播。 如果要对匿名网络进行连续攻击，付出的代价是极其高昂的。

4. 被动资金与区块链匿名性

PrivateSend的混币上限为每轮1000MOC，需要多轮混币才能匿名混出相当数量的资金。 为了让用户体验更方便，攻击更难，PrivateSend 以被动模式运行。 同时设置时间间隔，用户客户端需要通过主节点连接其他客户端。 一旦进入主节点，用户匿名请求的面额数量将在全网排队广播，但不会有任何信息暴露用户身份。

每一轮的PrivateSend过程都可以看作是一个独立的事件，增强了用户资金的匿名性。 但是，每轮仅限 3 名参与者，因此观察者有三分之一的机会跟踪交易。 为了提高匿名性，链式方法，资金通过多个主节点顺序发送出去。

5. 安全考虑

由于交易合并在一起，主节点有可能在用户资金流经时“窥探”。 由于每个主节点都需要持有 1000 个 MOC，用户随机选择主节点来部署资金，“窥探”效果不大。 通过区块链追踪交易的概率计算如下所示。

n：攻击者控制的节点总数 t：全网主节点总数 r：区块链深度主节点选择

随机的

鉴于 MOC 的供应量有限（撰写白皮书时流通的 MOC 为 530 万个）和市场流动性低，不可能在一次攻击中控制如此多的主节点。

通过模糊主节点上发生的交易来扩展系统也将大大提高系统的安全性。

6.使用中继系统伪装主节点

在第 4 节中，我们描述了使用 PrivateSend 多轮混合技术跟踪单个交易的概率。 这可以通过屏蔽主要节点使它们看不到用户输入/输出的方向来进一步增强。 为此，我们提出了一个简单的中继系统，允许用户保护他们的身份。

我们不是让用户直接向池中提交输入和输出交易，而是让他们从整个网络中随机选择一个主节点，并要求它将输入/输出/的签名中继到目标主节点。 这意味着，主节点将收到 N 次输入/输出和 N 组签名。 每轮混币只为其中一个用户服务，主节点无法知道是哪个用户。

使用 InstantSend 进行即时交易

使用主节点的法定人数，用户能够发送和接收即时不可逆转的交易。 一旦Quorum形成，交易的输入就被锁定到对应的具体交易上，目前全网交易锁定时间约为4秒。 如果在主节点网络中达成锁定共识，则所有冲突的交易和区块将被永远拒绝，除非它们与当时锁定交易的相应 ID 匹配。

这将使商户可以在实体商业中使用移动设备替代传统POS机，用户可以像传统纸币一样快速进行面对面的非商业交易。 这个过程没有中央机构的干预。 可以在 InstantSend 白皮书中找到有关此功能的广泛概述。

其他改进

1. Neoscrypt算法

使用的挖矿算法是 Neoscrypt 算法。 它是为普通计算机硬件设计的一种新的内存密集型加密算法。 Neoscrypt算法的主要作用是防止矿机。 它主要基于Salsa20和ChaCha20算法，采用串联或并联的运行方式。 Neoscrypt算法可以使用CPU\GPU进行挖矿，不仅支持AMD显卡，而且对Nvidia显卡也很友好。 当ASIC突破该算法后，MomoCash将采用改进升级的POW算法。

跨链哈希的另一个好处是高端 CPU 的平均收益接近于同类 GPU。 GPU的功耗降低了30-50%，远低于大多数加密数字货币使用的Scrypt算法的功耗。

在密码学中，密钥导出函数 (KDF) 使用伪随机函数从秘密值（例如主密钥）中导出一个或多个密钥。 KDF 可用于将密钥扩展为更长的密钥或获得所需格式的密钥（例如，将作为 Diffie-Hellman 密钥交换结果的组元素转换为 AES 的对称密钥）。 密钥加密哈希函数是用于密钥派生的伪随机函数的一个流行示例。 密钥派生函数通常与非秘密参数一起使用，以从公共秘密值派生一个或多个密钥。 这种使用可以防止获得派生密钥的攻击者了解有关输入秘密值或任何其他派生密钥的有用信息； KDF 还可用于确保派生密钥具有其他所需的属性，例如在某些密码系统中避免使用“弱密钥”。 KDF 最常见的用途是对密码进行散列以进行密码验证，我们将非秘密参数称为盐。 KDF 也通常用作多方密钥协商协议的组成部分，这些密钥派生函数的示例包括 KDF1 和 ANSI X9.42 中的类似函数。 特别是，基于 HMAC 的提取和扩展密钥派生函数 (HKDF) 是一种简单的基于 HMAC 的 KDF，可用于各种协议和应用程序。 暴力攻击的难度随着迭代次数的增加而增加。 迭代计数的一个实际限制是用户不愿意容忍在登录计算机或查看解密消息时出现的感知延迟。 使用盐可以防止攻击者预先计算从中派生密钥的字典。 同样，目前还有另一种方法称为密钥加强（key strengthening），它使用随机加盐来扩展密钥，但并不像密钥扩展那样安全地去除加盐。 这迫使攻击者和合法用户对盐值执行暴力搜索。

2. 挖矿供应

MOC采用了另一种可以降低挖矿引起的通货膨胀的方法，即每年供应量减少7%，这与其他数字货币减半不同。 此外，每个区块的供应量与全网矿工数量直接相关，矿工参与越多，挖矿奖励越少。

MOC的挖矿计划会在本世纪继续，慢慢到下个世纪中叶，最终在2150年左右停止挖矿。

综上所述

本文介绍了旨在改进比特币协议的各种概念，这意味着，对于普通用户来说，更好的隐私、可替代性、更小的价格波动以及更快的网络信息传播。 所有这一切都是通过使用双层激励模型而不是借用比特币等其他数字货币现有的单层模型来实现的。 使用这种替代网络设计可以添加更多类型的服务，例如去中心化硬币混合、即时交易和使用主节点仲裁的去中心化预言机。