使用了區塊鏈技術，你的資產就一定屬於你嗎？

加密货币的出现，给了人们一种从未拥有过的自由。你可以轻易的拥有自己的钱包丶转帐到地球另一端丶买卖商品丶投资新创公司等等。

然而，这种自由地持有并转移资产的权力，真的可以套用到所有的加密货币吗？或者更进一步，随着各种代币的出现（像是ERC20代币），以及各种去中心化应用的爆红（像是CryptoKitties这类的游戏资产，或是Fomo3D之类的赌博彩券。），我们开始持有各式各样的加密资产。当我们持有这些加密资产时，真的就等同於持有比特币一样的安全吗？

对使用者来说，这些加密资产不管看起来或用起来都没什麽区别。我们沈浸在名为去中心化的广告词中，以为这些新兴的加密资产一样值得信任；却从未真的检视，我们倒底对手上的资产有多少掌控权。

比特币之所以有价值，其实并不是因为区块链技术是不可修改的，也不是因为区块链技术打破了传统国界的限制。最主要的理由，是因为比特币是「去中心化」的。

去中心化，其实就是让每个人拥有对资产的掌控权。

为什么「去中心化」如此重要？
去中心化是一个不太好理解的概念。我们可以先想想，什麽「不是去中心化」，也就是中心化。

我们每天在用的银行系统就是一个中心化系统。当我们想转帐给任何人，都要经过银行同意。银行就是这个系统的中心，有权控制一切。而比特币的出现打破了这个中心，我可以用比特币转帐给任何人，不需要经过某个中心的同意。

中心化最大的缺点，就是它比较脆弱。像是银行这个权力中心可以轻易掌控你的财产。可能被内部人士滥用，也可能被外在骇客攻击。中心化系统有单一弱点，一个意外就可以让系统崩溃，你就可能一夕之间失去你的财产。仔细想想，你的资产其实不是你的。在一个中心化系统中，你对自己的资产没有真正的掌控权。

相反的，去中心化的系统就是一个没有特权的系统。在这个系统里，你拥有真正的掌控权，没有权力中心可以一夕之间伤害我的资产。你的资产是真的属於你，没有人可以夺走。

然而，去中心化的系统难以设计，也难以衡量。一个加密货币从开发到运作，有太多面向需要被去中心化。从开发团队组成丶到演算法规则设计，到程式码实作版本丶到挖矿算力分布丶到运算节点位置丶到资产分布等等，只要任何一个面向落入中心化，就会让少数人可以掌控这个系统，让整个系统变得中心化。

目前最普遍，去中心化程度也最高的两种加密货币，就是比特币和以太币。尽管这些加密货币都不能称为是完美的去中心化，但依然是目前运作最好的大规模去中心化系统。这样的系统，有助於改变过去封闭丶缓慢丶特权充斥的传统金融界，把掌控资产的权力还给每一个人。

要让去中心化的规则，执行在去中心化的机器上。
既然去中心化是要赋予每个人对资产完整的控制权。这件事在比特币和以太坊上是怎麽运作的呢？

假设今天我想发送比特币给另一个帐户，我要先用自己的私钥对这个交易签名，然後这个交易会被发送到成千上万维护区块链的电脑上被处理。当然，加密货币的发送有很多细节，但可以视为一套规则的建立与执行：开发团队撰写了一套规则，让使用者根据规则来使用；然後维护区块链的电脑才真正执行这套规则。

规则本身，必须遵守去中心化的理念，以确保每个人的资产被私钥保护。也就是说：「除了我以外，没有其他人可以未经允许动用我的钱。」以及「当我要发送我的资产时，没有其他人可以阻止我。」系统中没有一个私钥拥有特权，可以侵犯其他私钥的权益。即使是开发团队的私钥，也无法擅自发送或限制其他使用者的资产。

为了确保这套规则会被落实，就不能由开发团队来自己执行。而是交由成千上万自愿维护区块链的电脑来执行。换句话说，规则的执行面也是去中心化的。

《Mastering Bitcoin》的作者Andreas Antonopoulos曾说过一句很有名的话：「有私钥，就是你的比特币；没私钥，就不是你的比特币。」（Your Keys, Your Bitcoin. Not Your Keys, Not Your Bitcoin.）他希望人们不要把比特币存在交易所，或是托人保管，因为唯有学会自己保管私钥，才算是真的掌控自己的比特币。

这句话之所以成立，正是因为比特币先制定了去中心化的规则，并执行在去中心化的机器上。

「去中心化应用」(DApp)未必真的去中心化
2015年，以太坊这个区块链带来了一个重要的创新。它让区块链不再只是记录交易，还可以执行程式。

这些程式码又被称为智能合约，执行在以太坊区块链的虚拟机器上。如此一来，人们不再需要打造新的区块链，也不需要重新建立成千上万的电脑节点，只要使用以太坊现成的区块链节点就好。用智能合约撰写的应用程式，因为是执行在去中心化的电脑上，所以又称为「去中心化应用」（Decentraliezed Application），简称DApp。

於是各式各样的DApp被创造出来。像是可以用智能合约撰写ERC20标准的代币，让新创公司可以发行代币。像是以谜恋猫（Cryptokitties）为代表的卡片游戏，让每个玩家都可以持有自己的虚拟宠物。像是最近很疯狂的Fomo3D这类区块链赌盘，让玩家可以买彩券争取中奖机会。以及基於智能合约的交易所，让使用者可以交易代币。

不管是代币丶游戏宝物丶彩券丶或是交易所馀额，其实背後都是一种帐本，纪录我持有多少资产，你持有多少资产。绝大多数的DApp都可以视为一种加密资产。这些资产使用起来和非常相似，但其智能合约的写法可能完全不同。

这带来了一个奇怪的现象：没人规定智能合约的内容要符合去中心化的精神。

用比较恶意的例子来说，开发团队可以写一个ERC20代币，暗藏机制可以转走其他使用者的代币。也可以写一个集换式卡片游戏，暗藏机制可以没收其他使用者的卡片。或是写一个赌博游戏，让特定使用者的帐号特别容易中奖。诸如此类。

换句话说，你可以写一套中心化的规则，执行在去中心化的区块链上，仍然可以称为DApp。

有人会说，开发者帐号拥有特权是很常见的设计，只是为了方便管理，并非什麽恶意的理由。但就像前面说的，拥有特权本身就是一种中心化的设计。使用者很难去分辨哪些特权是可接受，哪些是不可接受。

尤其是当这些DApp打着「去中心化」的旗号来吸引使用者。使用者却浑然不知：这一次，持有私钥也不保证资产就是你的。不是所有加密资产都和比特币一样。

怎麽判断智能合约会不会保障我的资产权益？
很遗憾的，如果不去看智能合约的程式码，一般使用者是没办法知道某个DApp的加密资产是否只有自己可以存取。

这也和我们的认知有关，我们本来就不该全然相信每个合约。

在现实生活中，我们不会以为一纸合约和现金是一样的，而是应该去看合约怎麽写。合约总是带有某种不对称性，保障特定一方的权益较多。相较起来，现金就是比较去中心化的设计。想想保险公司的储蓄险吧。储蓄险虽然看起来和银行存款很像，有金额丶有利率，但实际上远远不如银行存款能够自由使用。合约限制了你对资金的掌控权，让保险公司得以不让你动用资金，或是跟你收取违约金。你以为存在合约里的钱，其实不完全属於你。

智能合约也是一样，几乎所有DApp都带有中心化的色彩。开发DApp的多半是单一组织或企业。为了营利和管理的需求，必须赋予管理者某些中心化的权力才能运作，不然会非常难使用。但这些权力可以被扩张到什麽程度呢？或许最简单的标准，就是管理者的权力，不能直接侵犯到使用者对资产的控制权。

JOYSO是一个很好的例子。作为一个去中心化交易所，JOYSO在智能合约里小心地限制了管理员的权限。管理员无法动用或冻结使用者的资产；能做的就只有媒合订单，以及收取双方同意的手续费。假使有一天，管理员的帐号被骇了。骇客也只能偷取本来就属於管理员的手续费，无法偷取使用者的资产。

藉由有意识地缩限自己的权力，JOYSO让使用者保有最大的资产掌控权，这才是符合去中心化精神的设计。然而，你不能期待每个DApp都是如此。

你可以同样用智能合约写一个交易所，却给予管理员特权可以动用使用者资产。这样其实和中心化交易所没有两样，但你依然可以对外宣称这个交易所是一个「去中心化交易所」，只因为你的交易所是运行在区块链上。这种宣称去中心化，却暗藏损害使用者权益的中心化规则的DApp其实非常多。

在今年七月，知名区块链专案Bancor的交易平台被骇客攻击，损失了大量加密货币。Dogecoin创办人Jackson Palmer随即针对这个事件提出一个议题。他认为像是Bancor这样的专案明明号称去中心化，却在被骇之後被证明了管理员有权限冻结使用者的资产。那麽，还有多少其他「去中心化」专案也暗藏中心化的机制呢？