<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">It&#39;s a straight forward idea: there is a scriptpubkey bitmap per block<br>
which is committed. Users can request the map, and be SPV confident<br>
that they received a faithful one. If there are hits, they can request<br>
the block and be confident there was no censoring.</blockquote><div><br></div><div>OK, I see now, thanks Gregory. You&#39;re right, the use of UTXO set in that context was confusing me.</div><div><div><br></div></div><div>If I go back to when we first did Bloom filtering and imagine the same proposal being made, I guess I would have been wondering about the following issues. Perhaps they have solutions:</div><div><br></div><div>1. Miners have to upgrade to generate the per-block filters. Any block that doesn&#39;t have such a filter has to be downloaded in full, still. So it would have taken quite a while for the bandwidth savings to materialise.</div><div><br></div><div>2. If checking the filter isn&#39;t a consensus rule, any miner who builds a wrong filter breaks the entire SPV userbase. With per-node filtering, a malicious or wrong node breaks an individual sync, but if the wallet user notices they don&#39;t seem to be properly synchronised they can just press &quot;Rescan chain&quot; and most likely get fixed. In practice broken nodes have never been reported, but it&#39;s worth considering.</div><div><br></div><div>3. Downloading full blocks is still a lot of data. If you have a wallet that receives tips a couple of times per day, and you open your wallet once per week, then with 1mb blocks you would be downloading ~14mb of data each time. Pretty pokey even on a desktop. Much sadness if you&#39;re on mobile.</div><div><br></div><div>4. Header size is constant, but per-block filters wouldn&#39;t be. So even the null sync would download more data as the network got busier. Of course Bloom filtering has the same scaling problem, but only between hard disk -&gt; RAM -&gt; CPU rather than across the network.</div><div><br></div><div>5. Is it really more private? Imagine we see a hit in block 100, so we download the full block and find our transaction. But now we must also learn when that transaction is spent, so we can keep the wallet-local UTXO set up to date. So we scan forward and see another hit in block 105, so now we download block 105. The remote node can now select all transactions in block 105 that spend transactions in block 100 and narrow down which txs are ours. If we are watching a wallet that does multi-sends then it feels like this problem gets much worse.</div><div><br></div><div><br></div><div><br></div><div>I&#39;d really like to find a solution that has O(1) scaling on sync. If we see nodes just as sources of UTXO data then shovelling the client (tx, existing merkle path) pairs keyed off script prefixes would (with one additional index) be O(1) and provide the same security guarantees as Bloom filtering today. It creates lots of other problems to solve, but at least it would scale into the forseeable future.</div><div><br></div><div><br></div></div></div></div>