比特幣與以太坊帳戶模型深度比較：UTXO 與帳戶模型的技術、安全與設計哲學分析

概述

比特幣與以太坊代表了區塊鏈技術的兩個根本不同方向，這種差異在帳戶模型的設計上體現得淋漓盡致。比特幣採用 UTXO（Unspent Transaction Output）模型，而以太坊則採用帳戶（Account）模型。這兩種模型不僅是技術實現上的差異，更深刻反映了設計者對區塊鏈本質的不同理解。本文將從密碼學基礎、資料結構、交易驗證、隱私特性、擴展性等多個維度，深入分析這兩種帳戶模型的技術細節、安全考量與設計哲學差異。

理解 UTXO 與帳戶模型的底層差異，對於開發區塊鏈應用、設計安全架構、選擇合適的區塊鏈平台都具有重要的指導意義。同時，這兩種模型的比較也能幫助我們更好地理解區塊鏈技術的核心設計原則。

技術架構的基礎差異

UTXO 模型的技術實現

UTXO 模型的核心概念來源於比特幣的白皮書，其設計靈感來自於傳統金融系統中的票據概念。在 UTXO 模型中，每一筆交易都會消耗之前創建的輸出，並創建新的輸出。這種模型的工作方式類似於現金交易——你用一張鈔票購買商品，商家會找零給你。

比特幣的 UTXO 模型資料結構包含以下核心元素：

每一個 UTXO 輸出包含兩個主要部分：金額（amount）和鎖定腳本（locking script）。鎖定腳本定義了誰可以花費這個輸出，通常包含公鑰雜湊（PKH）或腳本雜湊（SH）。當要花費一個 UTXO 時，交易輸入必須提供一個解鎖腳本（unlocking script），這個腳本通常包含數位簽名和公鑰。

以下是比特幣中 UTXO 的簡化資料結構表示：

struct CTxOut {
    CAmount nValue;        // UTXO 的金額，以 satoshi 為單位
    CScript scriptPubKey;  // 鎖定腳本，定義花費條件
}

struct CTxIn {
    COutPoint prevout;     // 引用先前交易的輸出
    CScript scriptSig;    // 解鎖腳本
    uint32_t nSequence;    // 序列號，用於 RBF 或 CSV
}

UTXO 模型的一個重要特性是其「不可分割性」。每個 UTXO 必須作為整體被花費，不能部分花費。這就是為什麼比特幣交易通常會有一個「找零輸出」——將原本 UTXO 的剩餘部分發回給發送者。

帳戶模型的技術實現

以太坊的帳戶模型則更加接近傳統的銀行帳戶系統。在帳戶模型中，每個帳戶都有一個明確的餘額，餘額可以直接增加或減少，而不需像 UTXO 那樣處理不可分割的輸出。

以太坊的帳戶結構包含四個字段：

struct Account {
    uint64 nonce;          // 交易計數器，防止重放攻擊
    uint256 balance;       // 帳戶餘額（以 wei 為單位）
    bytes32 storageRoot;   // 帳戶儲存的 Merkle Patricia Trie 根雜湊
    bytes32 codeHash;      // 關聯的合約代碼雜湊（對於 EOA 為空）
}

以太坊有兩種類型的帳戶：外部擁有帳戶（EOA，External Owned Account）和合約帳戶（Contract Account）。EOA 由私鑰控制，沒有關聯的代碼；而合約帳戶由智能合約代碼控制，有自己的邏輯。

帳戶模型的交易結構也與 UTXO 模型不同：

struct Transaction {
    uint64 nonce;           // 發送帳戶的交易計數器
    uint256 gasPrice;       // 單位 Gas 的價格
    uint256 gasLimit;       // 最大 Gas 消耗量
    address to;             // 目標帳戶地址
    uint256 value;          // 轉帳金額
    bytes data;             // 調用資料（對於合約調用）
    uint8 v, r, s;          // 數位簽名 components
}

兩種模型的關鍵差異對比

從技術實現角度來看，UTXO 模型和帳戶模型有以下核心差異：

第一，餘額表示方式不同。在 UTXO 模型中，餘額需要透過遍歷所有未花費的交易輸出來計算；而在帳戶模型中，餘額直接存儲在帳戶狀態中，讀取非常高效。

第二，併發處理能力不同。UTXO 模型天然支援並行處理，因為每個 UTXO 都是獨立的，不同地址的 UTXO 可以同時被花費；而帳戶模型在處理同一帳戶的併發交易時需要特別小心。

第三，交易結構不同。UTXO 模型的交易輸入必須引用先前交易的輸出，需要指定具體的 UTXO；而帳戶模型的交易只需要指定目標地址和金額。

密碼學基礎與簽名機制

比特幣的 ECDSA 簽名

比特幣使用橢圓曲線數位簽名算法（ECDSA）作為其簽名機制。具體來說，比特幣使用 secp256k1 曲線，這是一條橢圓曲線，其方程為 y² = x³ + 7。

比特幣交易的安全性基於離散對數問題的困難性。攻擊者想要從公鑰推導出私鑰，或者想要偽造有效簽名，都需要解決離散對數問題，這在計算上是不可行的。

比特幣的簽名過程涉及以下步驟：

首先，計算交易的雜湊值（通常使用 SHA-256 和 RIPEMD-160）。然後，使用私鑰對這個雜湊值進行簽名，產生 (r, s) 對。簽名還包括一個回覆值（recision value），用於確定使用哪個公鑰點。

以下是比特幣簽名的簡化數學表示：

選擇隨機 nonce k
計算 r = (k * G).x mod n
計算 s = k^(-1) * (hash + d * r) mod n
其中：
- G 是 secp256k1 的生成點
- d 是私鑰
- hash 是交易的雜湊值
- n 是曲線的階

以太坊的 ECDSA 與 EIP-155

以太坊同樣使用 ECDSA（secp256k1）進行簽名，但採用了不同的簽名格式和規則。以太坊的簽名包含三個部分：v、r、s。其中 v 是 recovery 參數，r 和 s 是簽名的核心 components。

以太坊的一個重要改進是 EIP-155，這個改進提案引入了「鏈 ID」的簽名重放保護。在 EIP-155 之前，如果用戶在以太坊主網上簽名了一筆交易，這筆交易的簽名在以太經典（ETC）網路上同樣有效，這導致了跨鏈的重放攻擊。EIP-155 通過在簽名計算中包含鏈 ID 來解決這個問題。

以太坊簽名的詳細過程：

簽名計算：
- transaction_hash = keccak256(rlp_encode(nonce, gasPrice, gasLimit, to, value, data, chain_id, 0, 0))
- signing_hash = keccak256(transaction_hash[0:32] || chain_id || 0 || 0)
- (r, s, v) = ECDSA_sign(signing_hash, private_key)

v 的計算：
- v = chain_id * 2 + 35 或 chain_id * 2 + 36
- 其中 35/36 是用於 EIP-155 的調整值

簽名驗證的效率比較

在簽名驗證方面，UTXO 模型和帳戶模型沒有本質的差異，兩者都使用相同的 ECDSA 算法。然而，在批量驗證和多筆交易處理方面，兩種模型有不同的效率特性。

UTXO 模型的优势在于可以进行并行验证。不同的 UTXO 相互独立，因此可以同时验证多个 UTXO 的花费交易。这种并行性在高性能节点实现中尤为重要。

帳戶模型的优势在于签名验证与状态更新可以更好地集成。以太坊的交易验证过程中，nonce 的检查和余额的验证可以与签名验证同时进行，提高了整体效率。

狀態管理與資料結構

比特幣的 UTXO 集合

比特幣的狀態完全由 UTXO 集合表示。比特幣節點維護一個 UTXO 集合（UTXO Set），這個集合包含所有尚未被花費的交易輸出。當新区块产生时，节点需要更新 UTXO 集合，移除被消费的输出，添加新创建的输出。

比特币使用 Merkle 树来组织区块中的交易，并使用 UTXO Commitment 机制（在 Taproot 升级后变得更加重要）来承诺 UTXO 集合的状态。这种设计允许轻节点验证特定交易是否包含在区块中，而无需下载整个 UTXO 集合。

UTXO 集合的資料結構通常使用哈希表实现，键是交易的 ID 加上输出索引，值是 UTXO 本身。这种设计使得查找和删除特定 UTXO 的操作非常高效。

以下是比特幣 UTXO 集合管理的基本流程：

當新区块被接收時：
1. 驗證區塊中的每筆交易
2. 對於每筆交易的輸入：
   - 從 UTXO 集合中查找引用的 UTXO
   - 驗證解鎖腳本
   - 驗證簽名
   - 從 UTXO 集合中移除該 UTXO
3. 對於每筆交易的輸出：
   - 創建新的 UTXO
   - 將新 UTXO 添加到 UTXO 集合
4. 更新區塊鏈狀態

以太坊的狀態樹

以太坊使用更加複雜的資料結構來管理狀態。以太坊的狀態被組織在一個 Merkle Patricia Trie（MPT）中，這是一種結合了 Merkle 樹和 Patricia Trie 優點的資料結構。

MPT 的設計目的是支持高效的状态查询、插入和删除操作。在 MPT 中，每個帳戶都有一個唯一的鍵（帳戶地址），值是帳戶的狀態（包括餘額、nonce、儲存根和代碼雜湊）。通過這種組織方式，以太坊可以高效地驗證任何帳戶的狀態，並生成整個狀態的雜湊承諾。

以太坊的 MPT 結構包含以下節點類型：

分支節點（Branch Node）最多有 17 個子節點，其中 16 個對應十六進制的字元，1個用於值的存儲。葉子節點（Leaf Node）包含鍵的前綴和值。擴展節點（Extension Node）包含共享的前綴和下一個節點的引用。

MPT 的根雜湊代表了整個以太坊狀態的承諾。任何人都可以通過根雜湊驗證狀態的完整性，而無需信任節點運營者。這種設計是以太坊輕客戶端安全的基礎。

狀態大小的擴展性考量

UTXO 模型和帳戶模型在狀態大小方面有不同的擴展特性。

比特幣的 UTXO 集合大小主要取決於未花費輸出的數量。截至 2026 年初，比特幣的 UTXO 集合大小約為數百 MB，包含約 1 億多個 UTXO。UTXO 集合的增長主要來自於新 UTXO 的創建速度快於被消費的速度。

以太坊的狀態大小則更加龐大，因為每個帳戶都有自己的存儲空間。合約帳戶的存儲可以包含複雜的鍵值對，這些都需要被節點存儲。以太坊的狀態大小已經達到數十 GB，這對節點運營者提出了更高的硬體要求。

兩種模型都面臨著狀態爆炸的問題，但解決方案有所不同。比特幣通過 UTXO Commitment 鼓勵剪枝（pruning）；以太坊則通過狀態租金（state rent）等提案來解決問題。

隱私特性的深度分析

UTXO 模型的隱私優勢

UTXO 模型在隱私方面有一些固有的優勢。首先，UTXO 模型天然支持地址分離。每筆交易可以創建新的找零地址，這使得追踪資金流變得更加困難。用戶可以為每筆交易使用不同的地址，這種做法稱為「地址輪換」。

其次，UTXO 模型的事務邊界更加清晰。在 UTXO 模型中，每筆交易的輸入和輸出都是明確的，這使得分析資金流更加直接；但同時，也正是因為這種明確性，使得鏈上分析工具可以更精確地追蹤資金。

比特幣的隱私增強技術，如 CoinJoin、TumbleBit、PayJoin 等，都是利用 UTXO 模型的特性來實現的。CoinJoin 將多筆交易混合在一起，使得外部觀察者難以確定資金的流向。

以下是 CoinJoin 的基本原理：

假設有三個用戶 A、B、C 各有 1 BTC 要轉帳：
傳統方式：用戶 A -> A'，用戶 B -> B'，用戶 C -> C'
CoinJoin：A、B、C 的輸入混合在一起
         A、B、C 的輸出也混合在一起
         外部觀察者無法確定哪個輸出屬於哪個輸入

帳戶模型的隱私挑戰

帳戶模型在隱私方面面臨更大的挑戰。首先，帳戶餘額是直接可見的，任何人都可以查詢任何帳戶的餘額。這與 UTXO 模型不同，UTXO 模型需要遍歷整個 UTXO 集合才能計算餘額。

其次，帳戶模型的地址重用問題更加嚴重。在以太坊中，通常用戶會長期使用同一個地址，這使得地址很容易被關聯到用戶的真實身份。雖然用戶可以創建新地址，但這需要手動管理私鑰，使用體驗不佳。

以太坊的隱私解決方案包括：

混隱私服務（Privacy Mixer）如 Tornado Cash，通過將資金放入一個智慧合約池中，然後從另一個地址提取，來實現資金的隱匿。這種技術類似於比特幣的 CoinJoin，但實現方式不同。

零知識證明（Zero-Knowledge Proof）是最有前途的以太坊隱私解決方案。通過 zkSNARK 或 zkSTARK，用戶可以證明自己滿足某些條件（如餘額大於某個閾值）而不透露實際餘額。這種技術已經被應用於 Tornado Cash、Aztec Network 等隱私協議中。

以下是使用 zkSNARK 實現隱私交易的簡化概念：

存款過程：
1. 用戶生成一個隨機的秘密 s
2. 用戶計算承諾 C = hash(s, r)，其中 r 是隨機數
3. 用戶將資金發送到智慧合約，並提交 C
4. 合約記錄 C 作為「note」

提款過程：
1. 用戶生成零知識證明 π，證明自己知道某個 C 對應的秘密
2. 用戶提供 zkSNARK 證明
3. 合約驗證 π，驗證通過後將資金發送到指定地址
4. 外部觀察者無法確定哪個存款對應哪個提款

智慧合約與可程式性

比特幣腳本語言的限制

比特幣的腳本語言（Script）是專門為比特幣交易設計的簡單語言。它是一種基於堆疊的語言，沒有循環，也不支援複雜的邏輯。這種「圖靈不完備」的設計是刻意的選擇，而非缺陷。

比特幣腳本語言的主要特性包括：

基於堆疊的執行模型：所有操作都對堆疊進行操作，沒有變量的概念。有限的指令集：比特幣腳本只包含約 80 個操作碼（opcodes），包括基本的算術運算、密碼學操作、條件跳轉等。

無循環支持：這意味著腳本的執行時間總是有限的，不會出現無限循環導致的拒絕服務攻擊。

靜態語義：腳本的含義在執行前就可以完全確定，沒有動態代碼生成的能力。

以下是比特幣 P2PKH（Pay to Public Key Hash）腳本的示例：

鎖定腳本（輸出）：
OP_DUP OP_HASH160 <pubKeyHash> OP_EQUALVERIFY OP_CHECKSIG

解鎖腳本（輸入）：
<sig> <pubKey>

執行過程：
1. 將 <pubKey> 推入堆疊
2. OP_DUP 複製頂部元素
3. OP_HASH160 計算 RIPEMD-160(SHA-256(pubKey))
4. 將 <pubKeyHash> 推入堆疊
5. OP_EQUALVERIFY 驗證兩個雜湊是否相等
6. OP_CHECKSIG 驗證簽名

比特幣腳本語言的限制決定了它主要只能用於基本的價值轉移。要實現更複雜的功能，如托管escrow、去中心化交易所等，需要使用更複雜的腳本結構，如時間鎖定、腳本哈希（P2SH）等。

以太坊 EVM 的圖靈不完備性

以太坊的以太坊虛擬機（EVM）是一個圖靈完備的虛擬機，這意味著原則上它可以執行任何可計算的計算。然而，以太坊通過 Gas 機制來防止無限循環和拒絕服務攻擊。

EVM 的設計核心包括：

256 位字節碼：EVM 使用 256 位（32 字節）的字作為基本資料類型，這對於密碼學操作非常方便。

堆疊架構：EVM 使用堆疊機架構，指令從堆疊中取操作數，結果推回堆疊。

Gas 機制：每個操作碼都有固定的 Gas 成本，交易有一個 Gas 上限。這防止了無限循環，同時也為礦工提供了經濟激勵。

以下是 EVM 中簡單轉帳交易的 Gas 消耗示例：

基本轉帳（EOA 到 EOA）：
- Base fee: 21000 gas

調用智慧合約：
- Base fee: 21000 gas
- 智慧合約執行: 根據操作碼計算
- 儲存操作: 20000 gas (寫入) / 5000 gas (修改)

例子：簡單的 ERC-20 轉帳
- 調用轉帳函數: 21000 gas
- 讀取餘額: 2100 gas  
- 寫入餘額變更: 2900 gas
- 事件日誌: 375 gas
- 總計: 約 27000-32000 gas

兩種模型的可程式性對比

比特幣和以太坊在可程式性方面的差異反映了兩種不同的設計哲學。

比特幣的「簡約」哲學：比特幣的設計者選擇了一個受限但安全的模型。腳本的有限性意味著攻擊面很小，審計和驗證也更加簡單。比特幣腳本的語義是靜態的，這使得形式化驗證變得相對容易。

以太坊的「開放」哲學：以太坊的設計者選擇了一個強大但更複雜的模型。圖靈完備意味著原則上可以實現任何功能，但同時也帶來了更多的安全風險。智能合約漏洞已經成為以太坊生態系統的主要威脅。

從實際應用角度來看：

比特幣適合：簡單的價值轉移、时间锁定的资金释放、多签托管、原子交换等基本场景。

以太坊適合：复杂的金融合约（借贷、保险、衍生品）、去中心化交易所、NFT、DAO 组织、复杂的业务流程等场景。

安全模型與攻擊面向

UTXO 模型的安全特性

UTXO 模型的安全特性主要体现在以下几个方面：

明確的所有權邊界：每個 UTXO 都有明確的所有者（通過鎖定腳本定義），花費時必須滿足鎖定腳本指定的條件。這種設計使得所有權的概念非常清晰。

交易的原子性：比特幣交易是原子的——要么完全执行，要么完全不执行。不存在部分执行的情况，这简化了错误处理和状态恢复。

無狀態驗證：UTXO 模型的驗證是無狀態的——每筆交易的驗證只需要考慮該交易本身和被引用的 UTXO，不需要考慮區塊鏈的全局狀態。這使得驗證非常高效，也更容易并行化。

然而，UTXO 模型也存在一些安全挑戰：

交易定型問題（Transaction Malleability）：在特定条件下，攻击者可以修改交易的签名形式而不改变其有效性，导致交易 ID 变化。这虽然不会影响资金安全，但会给依赖交易 ID 的应用带来问题。SegWit 升级已经解决了这个主要问题。

灰名單攻擊（Grey-listing）：某些矿池可能会拒绝包含特定类型交易的区块，这可能导致这些交易被延迟确认。

帳戶模型的安全特性

帳戶模型的安全特性與 UTXO 模型有顯著不同：

帳戶 nonce 機制：以太坊使用 nonce（交易計數器）來防止重放攻擊。每筆交易必須有一個唯一的 nonce，nonce 必須遞增。這確保了每筆交易只能被執行一次。

帳戶隔離：不同的帳戶是相互隔離的，一個帳戶的錯誤不會直接影響其他帳戶（除非存在合約邏輯的依賴關係）。

狀態一致性：以太坊的狀態轉換是確定性的，在相同的初始狀態下，相同的交易序列總是產生相同的最終狀態。

帳戶模型的安全挑戰包括：

重放攻擊（未保護的情況下）：在 EIP-155 之前，以太坊交易可以在不同的鏈上重放。EIP-155 通過在簽名中包含鏈 ID 來解決這個問題。

智能合約漏洞：帳戶模型的图灵完备性意味着智能合约可能包含漏洞，如重入攻击（Reentrancy）、整数溢出、访问控制错误等。这些漏洞已经被多次利用，造成了巨大的资金损失。

以下是著名的 The DAO 攻击的技术分析：

攻擊合約代碼（簡化）：
function withdraw() public {
    // 檢查餘額
    require(balances[msg.sender] >= amount);
    
    // 轉帳 ETH（危險：重入點）
    (bool success, ) = msg.sender.call{value: amount}("");
    require(success);
    
    // 更新餘額（在轉帳之後）
    balances[msg.sender] -= amount;
}

攻擊過程：
1. 攻擊者部署惡意合約
2. 攻擊合約調用目標合約的 withdraw()
3. 目標合約檢查餘額通過
4. 目標合約調用攻擊合約的 receive() 回調
5. 攻擊合約在 receive() 中再次調用目標合約的 withdraw()
6. 由於餘額尚未更新，第 2 次調用也通過檢查
7. 重複步驟 4-6，直到目標合約資金耗盡
8. 最後更新餘額（那時候已經來不及了）

損失：約 360 萬 ETH（當時價值約 6000 萬美元）

擴展性與性能考量

UTXO 模型的擴展特性

比特幣的 UTXO 模型在扩展性方面有一些独特的优势：

高效的區塊驗證：UTXO 模型的區塊驗證可以高度並行化。不同的交易可以同時被驗證，只要它們不引用共同的 UTXO。這種並行性對於提高區塊處理吞吐量非常重要。

狀態修剪：比特幣的 UTXO 集合可以進行完整修剪——一旦 UTXO 被花費，它就可以從活跃状态中移除，不需要永久保存。這使得比特币节点的存储需求相对可控。

UTXO Commitment：Taproot 升级引入的 UTXO Commitment 机制允许节点验证 UTXO 集合的状态，而无需下载整个集合。

比特幣的擴展方案：

閃電網路（Lightning Network）是比特幣的二層擴展方案，基於支付通道技術。用戶可以在鏈下進行多次交易，只在通道開啟和關閉時與區塊鏈交互。這使得比特幣可以支援每秒數百萬筆交易。

帳戶模型的擴展特性

以太坊的帳戶模型在扩展性方面面临更大的挑战：

狀態訪問瓶頸：由於所有帳戶都在同一個MPT 中，讀取任何帳戶的狀態都需要訪問完整的MPT結構。這限制了並行處理的效率。

狀態增長：以太坊的狀態持續增長，現在已經達到數十 GB。節點運營者需要越來越多的存儲空間。

以太坊的擴展方案：

Layer 2 擴展：以太坊採用了多種 Layer 2 擴展方案，包括 Rollups（Optimistic Rollups 和 zkRollups）、Validiums 等。這些方案將計算和存儲移到鏈下，但仍然繼承以太坊的安全性。

分片（Sharding）：以太坊的長期擴展路線圖包括分片技術，將整個網路分割成多個分片，每個分片處理交易的不同子集。

狀態通道：類似於比特幣的閃電網路，以太坊也有狀態通道解決方案，允許用戶在鏈下進行狀態更新。

結論與設計哲學總結

UTXO 模型和帳戶模型代表了區塊鏈設計的兩種根本不同的方法。每一種都有其獨特的優勢和劣勢，適用於不同的應用場景。

比特幣的 UTXO 模型體現了「簡約、安全優先」的設計哲學。通過限制功能，比特幣獲得 了更強的安全性和可預測性。UTXO 模型適合簡單的價值轉移場景，並且為二層擴展方案提供了良好的基礎。

以太坊的帳戶模型體現了「功能優先、實用主義」的設計哲學。通過圖靈完備的智慧合約，以太坊開創了 DeFi、NFT、DAO 等創新應用。雖然這帶來了更多的安全風險，但也釋放了區塊鏈技術的巨大潛力。

選擇哪種模型取決於具體的應用需求。如果只需要簡單的價值轉移，比特幣的 UTXO 模型可能更合適。如果需要複雜的邏輯和應用，以太坊的帳戶模型則是更好的選擇。

未來的區塊鏈設計可能會融合兩種模型的優點。例如，新一代的區塊鏈項目如 Cardano 採用了 Extended UTXO（EUTXO）模型，試圖結合 UTXO 模型的安全性和帳戶模型的表現力。這種融合代表了區塊鏈技術持續演進的方向。