1. 账号？不存在的

我们都知道，像银行卡、支付宝都是基于账号的设计，账号有其对应的余额。我们也经常看到别人这么讲解比特币的转账过程：A转给B 5个比特币，A账号里就会减少5个比特币，同时B账号里就会增加5个比特币，然后把这笔交易计入区块链。事实上这只是表面现象，因为比特币系统中并没有账号一说。你可能会说：不对，我用钱包时明明是有账号密码的，而且我账户里是有余额的。其实比特币系统并不知道你的账号，也不知道余额，那它知道什么呢？

2. 并没有什么比特币，只有 UTXO

• 比特币没有设计成基于账户的系统，而是发明了 UTXO 方案。比特币区块链记录的并不是一个个账号，也不是一个个比特币，而是由交易输入和交易输出组成的一笔笔交易。比特币系统中并没有比特币，只有UTXO。你可以理解为UTXO就是比特币。

• UTXO（Unspent Transaction Output）就是未花费交易输出。每笔交易都有若干交易输入，也就是资金来源，也都有若干笔交易输出，也就是资金去向。一般来说，每一笔交易都要花费至少一笔输入，产生至少一笔输出，而其所产生的输出，就是“未花费过的交易输出”，也就是 UTXO。。每一次的交易输入都可以追溯到之前的UTXO，直至最初的挖矿所得。由挖矿所得创建的比特币交易，是每个区块中的首个交易，又称之为coinbase交易，它由矿工创建，没有上一笔交易输出。

• UTXO本质上来讲就是用比特币拥有者的公钥哈希锁定一个数字（比特币数量），具体就是一个数字加一个锁定脚本。所有的UTXO都被存在数据库中，花费比特币其实是花费掉属于你的UTXO，并生成新的UTXO，用接受者的公钥哈希进行锁定。锁定脚本： OP_DUP OP_HASH160<pubKeyHash>OP_EQUALVERIFY OP_CHECKSIG，锁定脚本中只有公钥哈希是可变的，其它操作符都是固定的。锁定脚本里是谁的公钥哈希，谁就是这个UTXO的拥有者，谁就能花费这笔UTXO。

• pubKeyHash公钥哈希 是用公钥生成的：pubKeyHash = ripemd160(sha256(pubKey))，即先对公钥进行sha256运算，再对其结果进行ripemd160运算。

3. 怎么证明此UTXO属于你呢？

• 解锁脚本可以验证UTXO是否属于你，解锁脚本包括你的数字签名和你的公钥。上一章讲过用私钥签名，公钥可以验证签名。

• 比特币的脚本语言是一种基于逆波兰表示法和栈的执行语言。

  • 栈是一个非常简单的数据结构，有压栈和出栈两种操作，其特点是先进后出，后进先出。
  • 逆波兰表示法，在逆波兰表示法中，所有操作符置于操作数的后面，又被称为后缀表示法（我们传统的运算为中缀表示法，比如（1+2）*3）。逆波兰表示法不需要括号来标识操作符的优先级，只需按照表达式顺序求值即可。

在逆波兰表示法中，（1+2）*3可以写作1 2 + 3 *，先读取1和2两个操作数，然后遇到加号后1、2相加得出3，然后3后面又有一个3，之后遇到乘号，3再乘以3得出9 。

• 验证UTXO归属

  1. 将解锁脚本和锁定脚本组合在一起，即：<signature><pubKey>OP_DUP OP_HASH160<pubKeyHash>OP_EQUALVERIFY OP_CHECKSIG，在这个表达式里，签名、公钥和公钥哈希都是操作数，在验证不同人的UTXO时这3个都是不同的。而OP开头的都是指操作符。
  2. 计算的过程是遇到操作数就压栈，遇到操作符就进行相应的计算。由于数字签名和公钥都是操作数，所以先将它们进行压栈。
  3. 接着遇到OP_DUP，它会将栈顶的公钥复制一份，然后复制的公钥放置栈顶，此时，栈里的数据从下到上以次为：数字签名、公钥、公钥。
  4. 然后是OP_HASH160，对栈顶的公钥执行ripemd160(sha256(公钥))运算，其结果其实就是pubKeyHash。此时栈里的数据从下到上以次为：数字签名、公钥、公钥哈希
  5. 接着遇到公钥哈希，并将公钥哈希压栈，此时栈里的数据从下到上以次为：数字签名、公钥、公钥哈希、公钥哈希。然后遇到OP_EQUALVERIFY，此操作符是对比两个数据是否相等，所以先把栈顶的两个数据弹栈，如果相等则继续往下走，弹出来的两个数据也不再压栈。此时栈里的数据从下到上以次为：数字签名、公钥。
  6. 最后一个操作符是OP_CHECKSIG，其作用是验证签名是否正确。此时将栈内仅剩的签名和公钥弹栈，上一篇讲过用私钥进行签名，公钥可以验证签名，如果结果是true，则可以证明该UTXO属于该签名和公钥的所有者。
  • 举例：假如这笔UTXO是你的，那么锁定脚本里面的公钥哈希必然是用你的公钥生成的，解锁脚本里面的数字签名和公钥也是你的，那么在执行OP_HASH160时生成的公钥哈希必然和锁定脚本里的公钥哈希相等，在执行OP_CHECKSIG时，你的公钥也必然能验证你的数字签名。如果这笔UTXO是小明的，那么锁定脚本里面的公钥哈希就是小明的，你的公钥生成的公钥哈希必然与其不同。如果你在解锁脚本里用小明的公玥代替你的公钥，则在执行OP_EQUALVERIFY时是能成功的，但是你是不能拿到小明的数字签名的，所以最后执行OP_CHECKSIG时，小明的公钥必然不能验证你自己的签名，所以最后你是不能花费别人的UTXO的。

4.交易过程

1. 假如A分两次转给B 2个和3个比特币，此时B表面上就拥有了5个比特币，实质上是有2个UTXO，其中一个有2个比特币，另一个有3个。
2. B如果需要向C转4个比特币，此时的交易就会有2个输入，就是分别有2个和3个的那两个UTXO，这两个UTXO都是用B的地址锁定的。由于只需要向C转4个比特币，那么还会剩余一个（先不考虑手续费），那这个会存放在哪里呢？是不是某个UTXO里面会留一个？
3. 比特币的设计机制是只要某个UTXO被消耗掉，就会从数据库中永久删除，也就是说B的这两个UTXO都会被彻底删除。这时需要一个找零地址，将剩余的比特币用找零地址对应的公钥哈希生成一个新的UTXO。
4. 具体就是4个比特币用C的公钥哈希锁定生成一个新的UTXO，剩余的比特币用找零地址对应的公钥哈希再生成一个新的UTXO，这个找零地址可以是B现在的地址，也可以是一个新的地址。

ps.

• 最后再说下账号余额的问题，钱包之所以能显示某一个账号下余额是多少，是因为钱包通过遍历UTXO数据库获取该地址对应的UTXO计算出来的。
  To be continued...