Merkle Tree

默克爾樹的計算步驟是什麼，為什麼它比「把所有交易哈希一次」更有效率？默克爾樹的計算過程可以用四筆交易（A、B、C、D）舉例說明。第一步，葉節點（Leaf Nodes）：對每一筆交易分別計算哈希值，得到 Hash(A)、Hash(B)、Hash(C)、Hash(D）。第二步，中間節點：把相鄰的兩個哈希值配對並再次哈希，得到 Hash(AB) = Hash(Hash(A) + Hash(B))、Hash(CD) = Hash(Hash(C) + Hash(D))。第三步，根節點（Merkle Root）：對最後一層的所有哈希值重複這個過程，直到只剩下一個哈希值，即默克爾根。為什麼比直接哈希所有交易更有效率：若你想驗證「交易 A 確實在這個區塊裡」，不需要知道所有其他交易的內容——你只需要 Hash(B)（與 Hash(A) 配對）和 Hash(CD)（和 Hash(AB) 配對），加上根哈希，就可以在三步以內驗證。即使一個區塊有 1,000 筆交易，驗證任何一筆也只需要約 10 個哈希值（log₂ 1000），而不是下載全部 1,000 筆的完整數據。

默克爾樹在比特幣和以太坊中各有哪些具體應用，兩者有什麼差別？在比特幣中：每個區塊的區塊頭包含一個「交易默克爾根」（Transaction Merkle Root），匯總了區塊內所有交易的完整性指紋。比特幣的輕節點（SPV 節點，Simplified Payment Verification）只需下載區塊頭（每個區塊約 80 字節）而不是完整的區塊（可能幾 MB），配合默克爾樹的「默克爾路徑（Merkle Proof）」驗證特定交易是否在鏈上——大幅降低了驗證的資源要求。在以太坊中：以太坊的結構更複雜，使用了三棵默克爾樹的變種——Merkle Patricia Trie（MPT）：交易樹（Transaction Trie）、收據樹（Receipts Trie）和狀態樹（State Trie）。狀態樹最重要，它記錄了以太坊上每個地址的當前狀態（餘額、合約代碼、存儲數據），讓任何人可以在不重放整個歷史的情況下驗證當前的全局狀態。應用場景的延伸：Proof of Reserves（交易所儲備金證明）廣泛使用默克爾樹——交易所把所有用戶的帳戶餘額放進默克爾樹，讓用戶可以驗證自己的餘額被包含在總儲備金中，而不需要看到其他用戶的餘額（隱私保護）。

什麼是默克爾路徑（Merkle Proof），它是怎麼讓輕節點在不下載整個區塊的情況下驗證交易的？默克爾路徑（Merkle Proof，又稱默克爾包含證明）是一個讓你用最少的數據證明「某一筆交易確實存在於某個區塊中」的密碼學工具。以一個有 4 筆交易（A、B、C、D）的區塊為例，想驗證「交易 A 是否在這個區塊裡」的步驟：你持有 Hash(A) 和根哈希（Merkle Root）。你的節點向全節點請求「默克爾路徑」，全節點返回：Hash(B)（與 Hash(A) 配對需要的同伴）和 Hash(CD)（Hash(AB) 向上計算需要的同伴）。你用 Hash(A) 和 Hash(B) 計算 Hash(AB)，再用 Hash(AB) 和 Hash(CD) 計算你自己的「重建根哈希」，若等於已知的 Merkle Root，則交易 A 確實在這個區塊裡。整個過程你只需要 2 個哈希值（而非下載整個區塊的所有交易），計算量極小。對於有 1000 萬筆交易的區塊，默克爾路徑的長度也只是 log₂(1000萬) ≈ 23 個哈希值。

為什麼默克爾樹在 ZK Rollup 和 Proof of Reserves 中都那麼重要？在 ZK Rollup 中：ZK Rollup 的有效性證明（Validity Proof），本質上是一個關於「一批交易執行正確性」的數學聲明。這個聲明的構建需要一個可驗證的「交易集合摘要」——這就是通過默克爾樹（具體是 Merkle Patricia Trie 或類似的結構）實現的。ZK Rollup 的 L1 合約在驗證有效性證明時，同時驗證「這些交易的狀態根（State Root）是正確的」，而狀態根正是默克爾樹的根哈希。在 Proof of Reserves 中：FTX 倒閉後，業界開始廣泛使用默克爾樹來做交易所的「儲備金透明度證明」——每個用戶的帳戶餘額作為葉節點，所有用戶的餘額默克爾根被公開，且任何用戶可以請求一個「默克爾包含證明」，在不透露其他用戶隱私的情況下，驗證自己的帳戶確實被包含在交易所公告的總儲備金中。兩個應用的共同點：默克爾樹讓「在不洩露完整數據的情況下驗證部分內容」成為可能，是隱私和可驗證性之間的橋梁。