Taproot 升級

Taproot 概述

Taproot 是比特幣自 SegWit 以來最重要的升級，於 2021 年 11 月在區塊高度 709,632 激活。 它由三個相關的 BIP 組成：BIP-340（Schnorr 簽名）、BIP-341（Taproot）和 BIP-342（Tapscript）。 這次升級大幅提升了比特幣的隱私性、效率和智能合約能力。

Schnorr 簽名 (BIP-340)

Schnorr 簽名是一種比 ECDSA 更優雅的簽名算法，由 Claus Schnorr 發明。 由於專利已過期，比特幣終於可以採用這項技術。

Schnorr vs ECDSA

密鑰聚合

Schnorr 簽名最強大的特性是線性密鑰聚合。多個公鑰可以組合成單一聚合公鑰：

# MuSig2 密鑰聚合
P_agg = P_1 + P_2 + P_3

# 聚合簽名
s_agg = s_1 + s_2 + s_3

優勢：
- n-of-n 多簽看起來像單一簽名
- 鏈上無法區分單簽和多簽
- 節省空間和費用
    

Taproot 結構 (BIP-341)

Taproot 輸出（P2TR）結合了密鑰路徑和腳本路徑兩種花費方式：

Taproot 輸出公鑰：
Q = P + H(P || merkle_root) * G

其中：
P = 內部密鑰（可用於密鑰路徑花費）
merkle_root = 腳本樹的 Merkle 根
G = 橢圓曲線生成點
H = tagged hash 函數
    

花費路徑

MAST（Merkle 化抽象語法樹）

MAST 允許將多個腳本組織成 Merkle 樹，花費時只需揭示使用的腳本：

                    Merkle Root
                   /            \
              Hash(AB)          Hash(CD)
              /     \          /      \
         Hash(A)  Hash(B)  Hash(C)  Hash(D)
            |        |        |        |
         Script A Script B Script C Script D

花費 Script B 需要：
- Script B 本身
- Hash(A) 作為兄弟證明
- Hash(CD) 作為叔節點證明

優勢：
- 只揭示使用的腳本
- 其他腳本保持隱私
- 證明大小為 O(log n)
    

Tapscript (BIP-342)

Tapscript 是 Taproot 腳本路徑中使用的腳本版本，對傳統 Script 進行了改進：

實際應用場景

閃電網絡通道

使用 MuSig2 聚合雙方公鑰，通道開啟和合作關閉看起來像普通交易：

Key Path: Alice + Bob 聚合密鑰
Script Path:
  - Alice + timelock（單方面關閉）
  - Bob + timelock（單方面關閉）
  - 懲罰腳本
    

多簽錢包

3-of-5 多簽在合作情況下看起來像單簽：

Key Path: 所有 5 人的 MuSig 聚合（需要 5/5）
Script Path: 10 個 3-of-3 組合的 MAST
  - A+B+C, A+B+D, A+B+E
  - A+C+D, A+C+E, A+D+E
  - B+C+D, B+C+E, B+D+E
  - C+D+E
    

繼承規劃

結合時間鎖和多重簽名的遺產繼承方案：

Key Path: 所有者密鑰（日常使用）
Script Path:
  - 所有者 + 配偶（緊急情況）
  - 配偶 + 2年時間鎖（所有者失聯）
  - 3-of-5 繼承人 + 5年時間鎖（最後手段）
    

隱私提升

未來發展

Taproot 為未來的比特幣改進奠定了基礎：

• OP_CAT 重新啟用字符串連接，啟用更強大的合約能力
• SIGHASH_ANYPREVOUT 支持 Eltoo 等更優雅的閃電網絡協議
• OP_VAULT 原生保險庫支持
• 跨輸入聚合 進一步提升多輸入交易的效率

延伸閱讀

• • BIP-340：Schnorr 簽名規範
• • BIP-341：Taproot 規範
• • BIP-342：Tapscript 規範
• • 閃電網絡：了解 Taproot 如何改進閃電網絡