比特幣的擴容一直是個嚴重的問題,目前的各種技術如狀態通道、側鏈、用戶端驗證等都有其限制。 2023年12月,ZeroSync專案負責人Robin Linus提出了一種名為BitVM的技術,旨在提高比特幣的靈活性。 BitVM利用比特幣腳本和Taproot,實現了有狀態的比特幣腳本,允許在鏈下進行複雜的計算。雖然BitVM在比特幣擴容方面有優勢,但仍有效率和安全性問題。為此,作者提出了一些優化思路,包括基於零知識證明降低挑戰次數、使用Winternitz簽名降低交易數據、引入比特幣友好的哈希函數等。此外,作者也探討如何將BitVM擴展為消耗許可多方挑戰模型。未來,BitVM技術仍需進一步優化以實現對比特幣的擴容。
來源:Bitlayer研究小組
作者:林德爾,mutourend。
信箱: lyndell2010@gmail.com, zouyudi@gmail.com
1.引言
比特幣是一種去中心化、安全且值得信賴的數位資產。但是,它有很大的限制,無法成為支付和其他應用程式的可擴展網路。比特幣的擴容問題自誕生以來就一直是嚴重關切。幣UTXO模型將每筆交易視為獨立事件,導致一個無狀態的系統,缺乏執行複雜性、依賴狀態的運算能力。因此,雖然比特幣可以執行簡單的腳本和多標籤交易,但它很難推廣有狀態的區塊鏈平台上常見的複雜和動態的互動。這個問題明顯限制了在比特幣上建立去中心化應用程式(dApps)和複雜的金融工具的全球化,而狀態模型平台提供了一個更多樣化的環境,用於部署和執行功能豐富的智慧合約。
對於比特幣擴容,主要有狀態通道、側鏈、客戶端驗證等技術。其中,狀態通道提供了安全且多樣化的支付解決方案,但在驗證複雜計算的能力上有限。這種限制減少其在需要複雜性、條件性邏輯和互動的各種場景中的應用。側鏈雖然支援廣泛的應用,並提供超越比特幣功能的多樣性,但具有較低的安全性。這種安全性上差異源自於側鏈的採用獨立的共識機制,這些機制遠不如比特幣共識機制的健壯性。用戶端驗證,使用比特幣UTXO 模型,可以處理更複雜的交易,但是與比特幣沒有機構耗盡和約束能力,導致其安全性低於比特幣。客戶端驗證協定的鏈下設計依賴伺服器或雲端基礎設施,這可能導致中心化或透過妥協伺服器進行潛在的審查。客戶端驗證的鏈下設計也為區塊鏈基礎設施引入了更複雜性,可能導致可擴展性問題。
2023年12月,ZeroSync專案負責人Robin Linus發表了一篇名為《BitVM:Compute Anything On Bitcoin》的白皮書,引發了大家對於提升比特幣彈性的思考。該論文提出了一種在不改變比特幣的情況下幣網路認為的情況下可實現圖靈的比特幣合約解決方案,使得任何複雜的計算都可以在比特幣上進行驗證,從而改變比特幣基本規則。 BitVM充分利用比特幣腳本和Taproot,實現樂觀Rollup基於Lamport簽名(又稱比特承諾),讓比特幣兩個UTXO建立關聯,實現有狀態的比特幣腳本。在Taproot位址中承諾一個大型程序,操作者和驗證方之間進行大量的鏈下交互,在鏈上產生的足跡很小。如果雙方合作,則可以執行任意複雜的、有狀態的鏈下計算,而不在鏈上留下任何痕跡。如果雙方不合作,則發生爭議時,需要鏈上執行因此,BitVM極大地拓展了比特幣的潛在例子,使比特幣不僅可以作為一種貨幣,還可以作為各種去中心化應用和復雜計算任務的驗證平台。
但是,雖然BitVM技術在比特幣擴容方面佔有優勢,但目前處於早期階段,在效率和安全方面仍存在一些問題。如:(1)挑戰與響應需要多次交互,導致手續費昂貴,挑戰週期長;(2)Lamport瞬時簽名數據,需要降低數據長度;(3)哈希函數複雜度較高,需要比特幣友好的雜湊函數,降低費用;(4)現有BitVM約定龐大而比特幣區塊容量有限,是可以藉助無腳本腳本來實現無腳本BitVM,節省比特幣區塊空間,同時提升BitVM效率;(5 )現有BitVM採用授權模型,僅聯盟成員可發起挑戰,且限定為僅兩者之間,應擴展至無需許可的多方挑戰模式,將信任假設進一步增加。為此,本文提出了一些最佳化思路,進一步提高BitVM的效率與安全性。
2.BitVM原理
所以BitVM定位為比特幣的合約,致力於推動比特幣合約功能。當前比特幣腳本是完全無狀態的,當比特幣腳本執行時,其執行環境在每個腳本之後都會重置。令腳本1和腳本2 擁有相同x 值的初始化方式是不存在的,比特幣腳本暫時不支援該方式。但仍可藉助現有的操作碼,透過Lamport 補充簽名讓比特幣腳本是有狀態的,如可強制script1 和script2 中的x為相同的值。如果參與者簽署了相互衝突的x值,則可對其進行懲罰。 BitVM程式計算發生在鏈上,而計算結果驗證發生在鏈上。目前比特幣區塊有1MB限制,當驗證計算複雜度較高時,可藉助OP技術,採用挑戰響應模式,支援更高複雜度的計算驗證。
與Optimistic Rollup 和MATT 提議(Merkelize All The Things)類似,BitVM 系統基於欺騙論證和挑戰回應協議,但不需要修改比特幣的共識規則。 BitVM 基礎原語簡單,主要基於區塊鏈、時間鎖和大型Taproot樹。
證明者逐字節承諾,但在鏈上驗證所有計算將極為昂貴。因此,驗證者執行一系列所提出的設計的挑戰,以簡單地駁斥證明者的意圖。證明者和驗證者共同預簽挑戰和回應交易,用於解決爭議,從而允許在比特幣上進行通用計算驗證。
BitVM關鍵組件有:
承諾電路:證明者和驗證者將程式編譯為大型二進位電路。證明者在一個Taproot地址中承諾電路,該地址下的每個葉子腳本,對應該電路中的每個邏輯閘。核心是基於位的承諾到實現邏輯閘承諾,從實現電路承諾。
挑戰與回應:證明者和驗證者預簽一系列交易來實現挑戰反應遊戲。理想情況下,這種互動是在鏈下進行的,當證明者不配合時,也可以在上鍊執行。
存款模組兩可懲罰:如果證明者提出任何不正確的聲明,則驗證者挑戰成功後可拿走證明者,挫敗證明者的作惡行為。
3.BitVM優化
3.1 基於ZK降低OP交易量
目前有2大主流正確Rollups:ZK Rollups和OP Rollups。其中,ZK Rollups依賴ZK Proof的有效性驗證,即執行的密碼學證明,其安全性依賴於計算複雜度假設;OP Rollups依賴於Fraud Proof ,假設所提交的狀態均是正確的,挑戰設定週期通常為7天,其安全性假設步驟系統內至少有一個公平方能夠偵測到不正確的狀態,並提交詐欺證明。假設BitVM挑戰程式最大數為2^{32},需要記憶體為2^{32}*4位元組,約17GB。在最壞的情況下,需要約40輪挑戰和回應,約半年時間,總腳本約150KB。該情況下激勵嚴重不足,但實際情況幾乎不會發生。
考慮使用零知識證明降低BitVM的挑戰次數,進而提高BitVM的效率。根據零知識證明理論,如果資料資料滿足演算法F,則證明證明滿足驗證演算法進行驗證,即驗證演算法為真輸出;如果資料資料不滿足演算法F,則證明證明也不滿足驗證演算法驗證,即驗證演算法輸出False。在BitVM系統中,如果挑戰者不認可證明方提交的數據,則發起挑戰。
對於演算法F,使用二分法拆開,假設需要2^n次,則能找到錯誤點;如果演算法複雜度太高,則n增加,需要很久才能完成。但是,零知識證明的驗證演算法驗證的複雜度是固定的,公開證明和驗證演算法驗證整個過程,發現輸出為假。零知識證明的優點在於開啟驗證演算法要驗證所需的計算複雜度,相較於二分法開啟原始演算法F,低因此,借助零知識證明,讓BitVM挑戰的不再是原始演算法F,而是驗證演算法驗證,降低挑戰輪數,每小時挑戰週期。
最後,雖然零知識證明有效和解決證明依賴不同的安全假設,可將二者結合,可建構ZK詐欺證明,實現按需ZK證明。相反完整的ZK Rollup,不再需要為每個人單一狀態變換產生ZK證明,按需模型使得,只有在有挑戰的時候才需要ZK證明,而整個Rollup設計仍然是樂觀的。因此,仍然預設所產生的狀態是有效的,直到挑戰有人該狀態。如果某個狀態無挑戰,則消耗產生任何ZK Proof。但是,如果參與者發起挑戰,則需為挑戰區塊內所有交易的正確性產生ZK Proof。未來,可探索為單一有爭議指令產生ZK Fraud Proof,避免一直產生ZK Proof的運算成本。
3.2 比特幣匯率的瞬時簽名
在比特幣網路中,遵循共識規則的交易是有效交易,但除共識規則之外,還額外引入了規範性規則。比特幣節點僅轉發標準廣播交易,但有效但非標準的交易被分配的唯一方法直接是與礦工合作。
根據共識規則,傳統(即非隔離見證)交易的最大大小為1MB,即佔滿整個區塊。但傳統交易的規範度上限為100kB。根據共識規則,隔離見證交易的最大大小為4MB,即權重限制。但Segwit交易的規範度上限為400kB。
Lamport簽名是BitVM的基礎元件,降低簽章和端點長度,有助於降低交易數據,進而降低手續費。 Lamport瞬時簽章需使用雜湊函數(如單向排列函數f)。 Lamport瞬時簽章方案中,訊息長度為v位元,端點長度為2v位元,簽章長度也為2v位元。簽名和端點,需要消耗大量的儲存gas。因此,需要尋找類似功能的簽章方案,以降低簽章和峰值長度。相較於Lamport瞬時簽名,Winternitz瞬時簽章的簽章和峰值長度大幅降低,但增加了簽章和驗簽的運算複雜度。
在Winternitz瞬時簽章方案中,使用特殊函數P將v位元的訊息對應為長度為n的傳輸。 s中各元素的值為{0,…,d}。 Lamport瞬時簽章方案是d=1特殊情況下的Winternitz瞬時簽章方案。在Winternitz瞬時簽章方案中,n,d,v之間的關係滿足:n≈v/log2(d+1)。當d=15時,有n≈(v/4)+1。對於包含n個元素的Winternitz簽章而言,比Lamport瞬時簽章方案中的峰值長度和簽章長度短4倍。但是,驗簽的複雜度提高了4倍。在BitVM中使用d=15,v=160,f=ripemd160(x)實作Winternitz一次性簽名,可將比特承諾大小降低50%,從而將BitVM的交易費用降低至少50%。未來,在對現有Winternitz比特幣腳本實作進行最佳化的同時,可探索以比特幣腳本表達的更簡潔的一次性簽名方案。
3.3 比特幣匯率的哈希函數
根據共識規則,P2TR腳本的最大大小為10kB,P2TR腳本見證人的最大大小與最大Segwit交易大小相同,為4MB。但P2TR腳本見證人的標準上限為400kB。
目前比特幣網路不支援OP_CAT,無法編輯字串做Merkle路徑驗證。因此,需要用現有的比特幣腳本,以腳本大小和腳本見證大小最優化的方式,實現一種比特幣友好的哈希函數,從而支援merkle包含證明驗證功能。
BLAKE3為BLAKE2雜湊函數的最佳化版本,並引入了Bao樹模式。相較於BLAKE2s,其壓縮函數的輪數由10個7組成。 BLAKE3雜湊函數將其輸入切分為1024位元組大小的連續chunk,最後一個chunk可能更短但不為空。當只有一個chunk時,則該chunk為根節點,且為該樹的唯一節點。將這些chunk排布為二元樹的葉子節點,然後對每個區塊獨立壓縮。
當BitVM用於驗證Merkle包含證明場景時,硬碟腐蝕的輸入由2個256位元硬碟值拼接而成,即硬碟腐蝕的輸入為64位元組。使用BLAKE3硬碟函數時,這64位元組可分配於單一chunk內,整個BLAKE3雜湊偏壓只需要對單一chunk應用一次壓縮函數。 BLAKE3的壓縮函數中,需要運行7次輪函數和6次替換函數。
目前BitVM中已經完成了基於u32值的XOR、加法、位元右移等模侵犯,可以很容易地組成出比特幣腳本實現的BLAKE3哈希函數。使用stack中4個分開的位元組來表示u32個單詞,來實現BLAKE3所需的u32加法、u32位元異或和u32位元旋轉。目前BLAKE3雜湊函數比特幣腳本共約100kB,足以用於建構一個玩具版本的BitVM。
另外,可分割這些BLAKE3程式碼,使得Verifier和Prover可以透過將挑戰回應遊戲中的執行一分為二而不是完全執行來顯著降低所需的鏈上資料。最後,使用比特幣腳本實現Keccak- 256、Grøstl等哈希函數,初步選出了最多比特幣匯率的哈希函數,並探索其他新的比特幣匯率哈希函數。
3.4 無腳本腳本BitVM
Scriptless Scripts是一種透過使用Schnorr簽名,在鏈下執行智能合約的方法。 Scripless Scripts概念誕生於Mimblewimble,除了核心及其簽名之外,不儲存永久資料。
無腳本腳本的優點是功能、隱私和效率。
功能:無腳本腳本可增加智能合約的範圍和複雜性。比特幣腳本能力是基於網路中已啟用的OP_CODES數量,而無腳本腳本將智慧合約的規範和執行從鏈上轉移到僅設計契約參與方的討論,花費等待比特幣網路的分叉來實現新的操作碼。
隱私:將智能合約的規範和執行從鏈上轉移到鏈下,可增加隱私。在鏈上,合約的許多細節都會分享到整個網絡,這些詳細資訊包括參與者的數量和地址轉帳金額等。透過將智能合約轉移至鏈下,網路只知道參與者同意其合約條款已滿足且相關交易有效。
效率:無腳本腳本最大限度地降低鏈上驗證和儲存的資料量。透過將智能合約移至鏈下,全節點的管理費用會減少,用戶的交易費用也會降低。
無腳本腳本是一種在比特幣上設計密碼學協議的方法,可避免執行顯著的智能合約。核心思想是使用密碼演算法實現期望功能,而不是使用腳本實現功能。式簽名和鎖定簽名,是無腳本腳本的原始建置基礎。使用Scriptless腳本,可以實現比常規交易更小的交易,降低交易手續費。
可藉助Scriptless Scripts,使用Schnorr簽名和鎖定簽名,不再像BitVM方案那樣提供哈希值和哈希原像,也可以實現BitVM電路中的邏輯閘承諾,從而可節省BitVM腳本空間,提高BitVM效率雖然現有的Scriptless Scripts 方案能夠降低BitVM 腳本空間,需要論證者和挑戰者大量互動來組合。未來將對此方案進行改進,同時嘗試將Scripless Scripts 引入具體的BitVM 功能模組內。
3.5 消耗許可的多方挑戰
目前BitVM挑戰預設需要許可的原因在於:比特幣的UTXO只能執行一次,導致惡劣的驗證者可以透過挑戰誠實證明者來「浪費」該契約。目前BitVM限定為雙方挑戰模式。嘗試作惡的證明者,可同時利用自己控制的驗證者發起挑戰,從而「浪費」該契約,使得作惡成功,而其他驗證者無法阻止該行為。因此,在比特幣基礎之上,需要研究許可的多方OP挑戰協議,可將BitVM的現有1-of-n信任模型,擴展至1-of-N。其中,N遠大於n。另外,需要研究解決挑戰者與證明者串謀或惡意挑戰「浪費」契約的問題。最終實現信任更小的BitVM協定。
缺乏許可的多方挑戰,允許任何人在沒有許可名單的情況下參與。這就意味著,用戶可以在沒有任何可信任第三方參與的情況下,從L2提幣。此外,任何想要參與OP挑戰協議的用戶期待和質疑刪除無效提款。
將BitVM擴展為消耗許可多方挑戰模型,需要解決以下攻擊:
巫攻擊:即使攻擊者複數參與多個爭議挑戰,單一誠實參與者仍能贏得爭議。如果關係參與方維持正確結果的成本,與對者的數量呈線性攻擊時,則當涉及大量攻擊者此時,誠實參與者贏得爭議所需的成本將變得不切實際,且容易遭受巫術攻擊。論文在Permissionless Refereed Tournaments中,提出了一種改變遊戲規則的爭議解決演算法,單一誠實參與者贏得了爭議的爭議成本對手隨著數量的增長呈對數增長,而不是線性增長。
延遲攻擊:某些或一群惡意方,遵循某種策略來阻止或延遲正確結果(如將資產提取到L1)在L1上的確認,並依據誠實的證明者消耗L1手續費。可要求挑戰者需事先質押來解決此問題。如果挑戰者發動延遲攻擊,則沒有收到其質押。但是,如果攻擊者願意在一定時間內犧牲質押來解決延遲攻擊,則應該有應對策略來降低延遲攻擊的影響。論文BoLD: Rollup Challenge 協定中的有限流動性延遲提出了一種演算法,使得無論攻擊者願意損失多少質押,最壞情況下的攻擊也只會導致一定程度的延遲上限。
未來,將探索適用於比特幣特性的、可抵抗以上攻擊問題的BitVM需要許可多方挑戰模型。
4.結論
BitVM技術探索才剛開始,未來將探索並實踐更多的最佳化方向,以實現對比特幣的擴容,繁榮比特幣生態。
參考文獻
BitVM:在比特幣上計算任何東西
BitVM:鏈下比特幣合約
羅賓·萊納斯(Robin Linus) 談BitVM
[bitcoin-dev] BitVM:在比特幣上計算任何東西
奇怪的一對:可擴展性日期上的ZK 和Optimistic Rollups
比特幣的交易和腳本限制是什麼?
BIP-342:Taproot腳本的驗證
https://twitter.com/robin_linus/status/1765337186222686347
應用密碼學研究生價格
BLAKE3:一種功能,無所不在
[bitcoin-dev] 在比特幣腳本中實作Blake3
https://github.com/BlockstreamResearch/scriptless-scripts
無腳本腳本簡介
使用無腳本腳本的BitVM
Rollups延遲攻擊的解決方案
介紹戴夫。 Cartesi 的無許可防錯系統。
Rollups 的延遲攻擊
Rollup 延遲攻擊的解決方案– Arbitrum Research
多人互動計算遊戲筆記
BoLD:Rollup 挑戰協定中的有限流動性延遲
未經許可的裁判錦標賽
資訊來源:0x資訊編譯自網際網路。版權歸作者Bitlayer Labs所有,未經許可,不得轉載