SatUSD
文明靠价格协调。
价格需要一把尺子。
文明立于经济,经济系于市场,市场生于供需,供需显于价格,价格归于货币。价格是人类最大的分布式计算——亿万个体的局部知识,被压缩进一个个数字;这台计算机的精度取决于它的计量单位,也就是钱,这把尺子。今天它坏了两次:法币的尺子在被发行者悄悄压短——同一份购买力,今年要更多美元;比特币的尺子还在剧烈震颤。SatUSD 的工作,是在不改动比特币一行代码的前提下,给一个正在比特币化的世界,一把现在就能用的尺子。
同一根金条,三段命运。左:法币——尺子单向变短(通胀永不回弹)。中:BTC——剧烈震颤,但振幅在长期衰减(货币化的心电图终将归于平稳)。右:SatUSD——橙色长方框是 1 SatUSD 这个「容器」(denomination 是 USD,与法币同压、还在变窄;并逐渐由实线转虚线、最终消失,因为 SatUSD 本就只是过渡产物);橙点是 sats,依旧锚在金条之上,数量随 BTC 反向;容器淡出后留下的就是它——美元退场,BTC 稳了,sats 成了仅剩的单位。
「我们不可能从政府手里夺回货币。我们能做的,只是用某种迂回而巧妙的方式,引入一种他们无法阻止的东西。」
— F. A. Hayek, 1984
第一种坏法 · 被控制的尺子
当钱变成权力的传感器。
法币的问题不止贬值。它的每一次流动都要经过一个可以说「不」的节点:账户可冻结、交易可撤销、黑名单可追加;而增发在所有人无法投票的地方稀释所有人。这不是哪家坏银行的丑闻,是架构属性:只要那个节点存在,它终将被使用。法币稳定币把美元搬上了链——也把整个节点原封不动搬了上来。
上方:所有资金流穿过同一道阀门——它随时会对任何一束流关闭(红)。下方:点对点的流,没有阀门可以安装的位置。
第二种坏法 · 还在震颤的尺子
波动不是缺陷。
波动是「早」的签名。
一个小市场在为一个巨大的未来定价,价格必然剧烈摆动——这是货币化进程的心电图,不是病。比特币已经修好了第一种坏法:2,100 万,写死,无人能压短这把尺子。但它还没修好第二种:没人愿意用一个明天可能贵 10% 的单位,签一份 30 天后付款的合同。从「价值存储」到「记账单位」之间的这段时间差,就是 SatUSD 存在的全部理由——也是它终将退役的原因。
货币化 S 曲线:采用率上升,波动包络收窄。灰色阶梯:供应量逼近 2,100 万的渐近线(已解决的问题)。橙色标记:我们在这里——早期、陡峭、嘈杂。SatUSD 桥接的正是从这里到右端的那段路。
ACT Ⅱ
构造:四步,把信任逐出执行路径
从一条金融学定理出发,经过三层密码学,每一步消去一个「需要相信的人」。
构造 1 · 分层定理
稳定不需要稳定的资产。
只需要一份切分波动的合约。
这是金融学最古老的定理之一:把波动资产的收益切成优先与次级两层,优先层就是平的。SatUSD 是 BTC 储备之上的优先层:持有者拿走「一美元」那条直线,全部波动由次级层——超额抵押缓冲与 LP 的价差——吸收。稳定是从波动本身炼出来的,不需要从任何银行进口。这里没有「兑付承诺」:协议从不承诺刚兑,承诺的是优先权与永远可按可验证净值退出。CR 闸门在 140% / 120% / 100% 三道线分级介入(暂停铸造 → 加速回血 → 净值赎回)。亲手压一压它——包括压穿它:
拖过 −33% 进入 NAV 地板(spec 04 §5):每个持有者按同一净值赎回,没有挤兑里的「先跑补贴」。140/120/100 的闸门与缓冲厚度都是公开参数,任何客户端可实时复算。
构造 2 · 一个点,三份合约
链上只有 32 个字节。
里面叠着三种协议。
比特币只看见一个 Taproot 公钥 Q。但 Q 的代数构造里压着三样东西:资产承诺(这枚 UTXO 上「站着」多少 SatUSD)、退款叶(CSV 超时后的单边逃生门,不需要任何人配合)、以及密钥路径本身——DLC 结算的通道。能同居的原因是一个被忽视的缝隙:密钥路径花费的 DLC,其脚本树「按惯例为空,而非按协议必须为空」;而资产承诺恰好是一片不可花费的叶子。两个从未打算见面的协议,被同一棵默克尔树收留。我们在真实 tapd v0.7.2 上逐字节验证了 Q 的每一步代数。
Q = P + TapTweak(P ‖ branch(TA_leaf, refund_leaf))·G · funding bcabed6d…:1 · tapd v0.7.2 · regtest
构造 3 · 钥匙是一个未来的事实
一把锁,
它的钥匙明天才出生。
S = R + e·P。用 oracle 的公开 nonce 承诺 R 和公钥 P,任何人今天就能算出「oracle 明天对某个价格的签名」的公钥——而对应的私钥,要等那个签名真的发生时才存在。把每个价格区间的结算交易预先加密到各自的 S:合约在结果出现之前已经签好、封死;价格一出,正确的那把钥匙凭空出现,其余的锁被数学证明无钥可开。没有仲裁者按按钮——事实本身就是执行者。再加一层组合压缩:2²⁰ = 1,048,576 个价格结果,按二进制前缀折叠成 16 把锁。
oracle 见证 · BTCUSD = $60,123 · 桶 9 的钥匙出生 → BIP-341 密钥路径花费上链确认
不是概念动画:这条链路整体在 regtest 上跑通——预签发生在结果存在之前,结算交易 c23d6889…801c326(2026-06)。败者桶解密失败是数学,不是规则。
构造 4 · 说谎等于自首
我们没有要求 oracle 诚实。
我们让说谎在数学上等于交出私钥。
预承诺 nonce 有一个常被当作脚注的副作用,我们把它当作主设计:对同一秒签两个价格 = 用同一个 nonce 签两条消息 = 两个方程、两个未知数——任何路人都解得出私钥。作恶的证据就是作恶自己产生的那两份签名:不需要法庭、不需要委员会、不需要我们在场。提取出的钥可以反手花掉 oracle 质押的一切。诚实于是不再是品德要求,而是 oracle 唯一不破产的策略。这条提取路径在我们的测试里真实跑通:提出来的钥,能以 oracle 的身份伪造通过验证的签名。边界同样要说清楚:这把剑只斩双签。单边签一个错误价格,密码学不惩罚——约束它的是经济边界:报销价必须落在公开的偏差界内、爆炸半径被容量公式界定、k-of-n 组合稀释单个签名者。彻底消除(而不只是界定)这层信任,要等第三幕的终局:市场自己成为 oracle。
滚动观看:两份对同一事件的签名滑到一起,k 相消,d 被解出、变红——掉进任何一个旁观者手里。实现:satusd-oracle::equivocation(EOTS)。
ACT Ⅲ
市场:用机制设计取代治理
没有代币、没有投票、没有许可。选择由真金白银的揭示偏好完成——竞争是发现程序。
机制 1 · 容量即身份
在这里,声誉是一个
可以计算的数。
任何人都可以匿名开一条兑换通道(rail)。协议不发牌照、不投票、不认人,只执行一个公式:capacity = ½ × (累计留存费 + 质押)。每服务一笔兑换,留存费永久沉入公共储备——这是用真金白银写的履历,偷不走、转不了、伪造不出。可提取上限永远只有履历的一半。下面是一条 rail 的一生:它在赚钱、在积累容量——请随时按下抢劫按钮,看看能不能赚到。
每个 epoch(2016 块)储备金被切成各 rail 的物理 tranche UTXO——超出容量的支取不是被禁止,是从未被签名。未用完的份额超时自动回流。
机制 2 · 信任的市场
我们不挑选正确的 oracle。
我们让所有信任模型同台竞价。
不同的 rail 自带不同的信任模型:单签 oracle 一秒结算但要信一个签名者;optimistic 慢一些但几乎不信任何人;未来的 internal_twap 不信任何人、只需要历史。每种组合是一张「速度 × 费率 × 信任」的报价单,用户用真金白银投票,容量公式限定每条 rail 的爆炸半径。正确的信任模型不是被设计出来的,是被交易量发现的——哈耶克在这里第二次出场:竞争是一个发现程序。
横轴:赎回速度。纵轴:信任假设的多少。粒子是用户流量;服务得好的 rail 容量环增大,差的衰减褪色。其中一条爆炸——损害被它自己的 tranche 半径困住,波及不到别处。
终局 · 价格信号的自给自足
每一笔结算都是一次报价。
市场最终成为自己的 oracle。
整个系统还剩最后一个信任点:价格从哪来?答案在系统自己的代谢物里。每笔链上结算都公开携带「在什么价格、成交了多少」——任何观察者对同一段历史算出同一个修剪后成交量加权中位数,没有签名者。交易量足够大时,外部 oracle 从信任根降级为合理性锚。这是自指——但与 UST 有范畴之别:UST 循环的是抵押(拿自己印的币背书自己),我们循环的是信息(拿自己的成交给自己定价),抵押品永远是外生的 BTC。信息自指收敛,抵押自指发散——一个是飞轮,一个是漩涡。
左:UST——抵押环。每一圈都在消耗自己的地基,半径递减,直至坍缩。右:SatUSD——信息环。BTC 抵押块从不进入循环;结算→信号→交易量的环每转一圈更厚。下方小图:操纵尝试——一头 +40% 的鲸鱼(红点)撞上 ±5% 修剪带被弹掉,标记纹丝不动(spec 03 §5.2,按实现绘制)。另一个边界:internal_twap 的激活是交易量门控的——在内部历史挣得权威之前,外部参照锚保持在位(§5.3)。自指是挣来的状态,不是初始假设;收敛是押注,由指标验证,不由修辞担保。
机制 3 · 把人移出执行路径
同一个公式,三任执行者:
先是人,然后是仪式,最后是数学。
Stage 1:创始人手动运行公开脚本,任何人逐字节复算,偏离即公开证据——信任窗口是一整个 epoch。Stage 2:epoch 边界一次性预签下个周期的全部配额树,超额支取根本未被签名——窗口缩成边界上的一瞬。Stage 3:covenant / BitVM 把公式写进花费条件——窗口关闭。三个阶段跑的是同一个公式、同一个节奏,换掉的只是「谁保证执行」。每一项过渡性妥协都登记在脚手架清单上,印着自己的拆除条件,随每个版本发布。
ACT Ⅳ
底线与前景
最坏情况下你失去什么?最好情况下世界得到什么?
底线 · 别信我们,杀了我们试试
把我们的服务器全部关掉。
你的钱照样回家。
没有任何一条协议保证依赖我们运营的基础设施。每条共识相关编码由两种语言独立实现、逐字节互证;每个关键构造对着真实节点验证;最坏情况下——oracle 失联、所有镜像下线、创始人消失——CSV 超时退款路径只需要比特币还在出块。亲手试试:
0
跨语言断言(Rust = TypeScript 逐字节相等),每次合并强制全绿
0
核心命题,逐条对真实 tapd / lnd / bitcoind 机器验证
0
脚手架信任假设,每项印着书面拆除条件,随版本发布
TA 资产进入 DLC 资金输出(链上输出键逐字节复现)
bcabed6d…:1 · tapd v0.7.2
Oracle 门控 DLC 结算端到端(预签早于结果存在)
c23d6889…801c326 · regtest
原子换:SatUSD 烧毁 ↔ BTC 到账,同一笔交易
90d13a12… · regtest
tapd 烧毁键派生 vs 真实 BurnAsset 调用
2ceb9ffd… byte-exact
等价见证 → 私钥提取 → 提取钥伪造的签名通过独立验证器
satusd-oracle::equivocation (EOTS)
✓ 机器已验证 —— 今天就可检查
- 密码学构造可实现(5 项 devnet 证据,真实节点)
- 全部协议编码两种语言逐字节互证(4,753 断言)
- oracle 双签 → 私钥可被任何人提取(已测试)
- 最坏情况下的单边退出路径(CSV,只依赖比特币)
◌ 只能由真实运行证明 —— 按里程碑指标逐级解锁
- $1 锚定在真实市场压力下的稳健性
- 缓冲与闸门在极端行情中的充足性
- internal_twap 的收敛(押注,非定理)
- LP、流量与第三方 rail 的真实出现
我们拒绝把这两栏混为一谈:左栏是已成立的工程事实,右栏是 M-B→M-D 各里程碑要逐级证明的命题——这正是路线图用指标、不用日历的原因。代码跑通从来不等于经济稳健;任何把二者混着卖的稳定币都值得你警惕,包括我们。
前景 · 谁在等这把尺子
美元最快的增长极,
百分之百跑在带冻结按钮的轨道上。
稳定币供应量以数千亿美元计、仍在加速——而其中每一美元都路过那道阀门。被排除在外的需求是结构性的:资本管制下的家庭、被「去风险」清退的行业与个人,以及第一批天生没有银行账户的经济主体——AI 智能体。它们开不了户、过不了 KYC,但它们读得懂证明。对机器来说,「可验证」不是卖点,是唯一能用的接口。SatUSD 是第一种为机器可验证而生的美元——而机器的数量没有上限。
红色区域:现有稳定币——全部带阀门。三条增长带:管制与去银行化人口、比特币经济圈、AI 智能体(虚线起步——它们昨天还不存在,而它们只能用可验证的钱)。
路线 · 用指标解锁,不用日历
对日期的承诺只会制造失望。
每个阶段是一张可检验的清单。
M-A ✓
它能跑(regtest)。双轨赎回端到端、核心需求全部实现、跨语言向量全绿——已完成,tag M-A-regtest。
M-B
它是公开的(signet)。外部测试者完成赎回、oracle 公网可消费、外部 LP 报价、惩罚演练。基础设施已就绪:signet 节点组已同步,oracle daemon 已带公网接口,等价见证的检测与提取已实现并测试。
M-C
真实价值(mainnet)。创始人自有资金注入储备;容量公式带保守上限上线;信任清单随资产一起发布。
M-D
不再只是我们。≥5 个独立 LP、≥2 个独立列表发布者、≥1 条第三方未经许可上线的 rail、服务费覆盖运行成本。
M-E
执行去人化。预签仪式取代手动配额,创始人从执行路径上被移除。最终阶段:世界直接以 sats 计价之日,协议有序退役——这写在使命文件的正文里。
永久非目标:治理代币(没有)、法律实体(没有)、收益产品(不做)、KYC(没有可以安装它的位置)。一个人 + AI 工程;机器可验证性是对单人审查带宽的补偿性控制——这本身就是一次范式实验。
使命
给正在比特币化的世界,
一座可以走过去的桥。
SatUSD 不和比特币竞争——它是比特币赢下「记账单位」之前的过渡层。等到世界直接用 sats 标价的那天,它的使命就完成了。一个以自己的退役为成功标准的协议。