原題: 「ビットレイヤー コア テクノロジー: DLC とその最適化に関する考慮事項」
オリジナル著者: mutourend lyndell、Bitlayer Research Group
1 はじめに
Discreet Log Contract (DLC) は、2018 年に MIT の Tadge Dryja によって提案された、オラクルベースの契約実行フレームワークです。 DLC を使用すると、双方が事前定義された条件に基づいて条件付き支払いを行うことができます。両当事者は、起こり得る結果を事前に決定して事前署名し、オラクルが結果に署名するときに、これらの事前署名を使用して支払いを実行します。したがって、DLC は、ビットコイン預金の安全性を確保しながら、新しい分散型金融アプリケーションを可能にします。
前回の記事「DLCの原則と最適化の考え方の分析」では、プライバシー保護、複雑な契約、低資産リスクの観点からDLCの利点をまとめました。また、主要なリスク、分散型信託リスク、共謀リスクなどの存在も分析しました。 DLC の問題を解決し、分散型オラクル、しきい値シグネチャ、オプティミスティック チャレンジ メカニズムなどを DLC に導入して、直面するべきさまざまな問題を解決します。 DLC にはオラクル、アリス、ボブの 3 者が関与するため、さまざまな者が共謀して徹底的に攻撃することは比較的複雑であり、その結果、比較的複雑な防止戦略が必要となります。複雑な防衛戦略は完璧ではなく、シンプルさの原則に準拠しておらず、シンプルさの美しさに欠けています。
ビットコインでは、参加者のあらゆる動作は UTXO を通じて実装される必要があります。したがって、コンセンサス メカニズムを使用して UTXO が正しいことを確認すると、任意の攻撃に対抗できます。同様に、DLC では、参加者の行動はすべて CET (Contract Execution Transaction) を通じて実装される必要があります。したがって、楽観的チャレンジ メカニズムを使用して CET が正しいことを確認すると、あらゆる攻撃に対抗できます。具体的には、オラクルは 2B TC を誓約した後、CET に署名できます。 CET に楽観的チャレンジ メカニズムを追加します。 CET がチャレンジされない場合、またはチャレンジに正常に応答した場合、CET は正しく、決済は完了できます。オラクルはステーキングを解除され、手数料を受け取ります。オラクルが悪事を行おうとした場合、誰でもチャレンジに成功できますが、CET は成功しません。決済され、オラクルは負けます。 デポジットは預けられ、オラクルは同じ CET に再度署名することはできません。素晴らしいシンプルさとともに、シンプルさの美しさを備えています。
2.DLC原理
アリスとボブは、ξ 番目のブロックのハッシュ値が奇数か偶数であるかに賭ける賭けの契約に署名します。奇数の場合、アリスがゲームに勝ち、資産を引き出すことができます。偶数の場合、ボブがゲームに勝ち、資産を引き出すことができます。 DLC を使用すると、ξ 番目のブロック情報がオラクルを通過して条件付き署名が構築され、正しい勝者がすべての資産を獲得できるようになります。
楕円曲線の生成元は G、次数は q です。オラクル、アリスとボブのキーペアはそれぞれ (z, Z)、(x, X)、(y, Y) です。
資金調達トランザクション (オンチェーン): アリスとボブは一緒に資金調達トランザクションを作成し、それぞれ 2-of2 マルチ署名出力で 10 BTC をロックします (1 つの公開鍵 X はアリスに属し、1 つの公開鍵 Y はボブに属します)。 。
CET (オフチェーン) の構築: アリスとボブは、支出資本注入トランザクション用に CET 1 と CET 2 を作成します。
オラクルはコミットメント R = k · G を計算し、次に S と S' を計算します。
S := R - ハッシュ(奇数, R) · Z
S' := R - ハッシュ(偶数, R) · Z
この場合、アリスとボブに対応する新しい公開鍵は次のようになります。
PK^{アリス} := X + S
PK^{ボブ} := Y + S'。
決済 (オフチェーン -> オンチェーン): ξ 番目のブロックが正常に生成されると、オラクルはブロックのハッシュ値に基づいて、対応する CET 1 または CET 2 に署名します。
ハッシュが奇数の場合、オラクルは次のように s に署名します。
s := k - ハッシュ(奇数, R) z
CET 1 をブロードキャストします。
ハッシュが偶数の場合、オラクルは '
s' := k - ハッシュ(偶数, R) z
CET 2 をブロードキャストします。
コインを引き出す (オンチェーン): オラクルが CET 1 をブロードキャストした場合、アリスは新しい秘密鍵を計算し、ロックされた 20 BTC を使用できます。
sk^{アリス} = x + s
オラクルが CET 2 をブロードキャストすると、ボブは新しい秘密鍵を計算し、ロックされた 20 BTC を使用できます。
sk^{ボブ} = y + s'
Bitlayer 研究チームは、上記のプロセスでは、あらゆる動作を CET を通じて実装する必要があることを発見しました。したがって、CET が正しく、あらゆる攻撃に抵抗できることを確認するには、オプティミスティック チャレンジ メカニズムを使用するだけで済みます。間違った CET はチャレンジされて実行されませんが、正しい CET は実行されます。さらに、オラクルは悪意のある行為に対する代償を支払う必要があります。
挑戦するプログラムが f(t) である場合、CET は次のように構築される必要があります。
s = k - ハッシュ(f(t), R) z。
実際の状況では、ξ 番目のブロックのハッシュ値が奇数である、つまり f(ξ) = OddNumber であり、オラクルは CET 1 に署名する必要があると仮定します。
s := k - hash(OddNumber, R) z.
しかし、オラクルは何か悪いことをして、関数の値を Even に変更し、CET 2 に署名しました。
s' := k - hash(EvenNumber, R) z.
したがって、f(ξ) ≠ OddNumber に従って、どのユーザーもこの悪意のある動作を無効にすることができます。
3.OP-DLC2
OP-DLCには以下の5つの規定が含まれます。
オラクルはアライアンスで構成されており、アライアンスには n 人の参加者がおり、どのメンバーでも CET に署名できます。 2B TC を誓約することによってのみ、オラクル マシンは署名を発行し、手数料を得ることができます。メンバーが悪事を行った場合、賭け金は失われます。他のメンバーは引き続き CET に署名して、ユーザーが確実に資金を引き出すことができます。アリスとボブは、自分たちだけを本当に信頼し、信頼を最小限に抑えて、神託者になることもできます。
神託が何か悪いことをして結果を改変した場合、必然的に f 1(ξ) ≠ z 1、f 2(z 1) ≠ z 2 という状況が生じます。したがって、どの参加者もチャレンジを開始できます。つまり、Disprove-CET 1 トランザクションを実行できます。
オラクルが CET に誠実に署名した場合、当事者は有効な反証トランザクションを開始できません。 1週間後、CETが正しく決済できるようになります。さらに、オラクルマシンは、約束された 2B TC の 1 週間の資本占有と CET に正直に署名するための手数料として 0.05 BTC の報酬を受け取ります。
参加者は誰でも Oracle_sign に挑戦できます。
Oracle_sign が正直である場合、Disprove-CET 1 トランザクションは開始できず、CET 決済は 1 週間後に実行されます。さらに、オラクルマシンはロックを解除して手数料を受け取ることが約束されています。
Oracle_sign が不正な場合、つまり、誰かが Disprove-CET 1 トランザクションを正常に開始し、コネクタ A の出力を正常に使用した場合、オラクルの署名は無効になり、約束された 2B TC は失われ、オラクルは使用できなくなります。コネクタ A の出力に依存する Settle-CET 1 は永久に無効になるため、DLC コントラクトは同じ結果で署名を開始します。
OP-DLC のチャレンジには許可が必要ありません。つまり、OP-DLC の契約が正しく実行されているかどうかを参加者が監視できます。したがって、オラクルに対する信頼は最小限に抑えられます。ライトニング ネットワークと比較して、アリスとボブはオフラインにすることもできます。なぜなら、オラクルは正直な署名によってのみCETを解決し、邪悪なオラクルは誰からも異議を唱えられ、罰せられるからです。
アドバンテージ:
資産を高度に管理し、自分自身だけを信頼します。アリスとボブは両方ともオラクルになり、CET に署名できます。楽観的なチャレンジ メカニズムは間違った CET を打ち負かすため、悪を行うことはできません。したがって、OP-DLC では、ユーザーは自分自身だけを信じることができます。 BitVM では、ユーザーはオペレーターとして行動する必要があり、自分自身だけを信頼するためにその後のすべての入金に参加する必要があります。ユーザーがオペレーターとして BitVM の 1 つの UTXO デポジットにのみ参加し、UTXO が他の (n-1) オペレーターによって法的に払い戻される場合でも、ユーザーは将来的に資金を前払いするために他のオペレーターを信頼する必要があります。 BitVM オペレーターの払い戻し権限は、単一のデポジット UTXO ごとにロックされます。
高い資本活用率: ユーザーが自分自身だけを信頼する場合、必要な資金の量は異なります。 OP-DLC では、ユーザーは自分の出金に依存しており、同額の資金を前払いする必要はありませんが、BitVM では、ユーザーは同額の資金を前払いしてから払い戻される必要があります。これはより大きな財政的圧力をもたらします。
OP-DLCへの入金時に署名できる神託者を決める必要がありますが、ユーザー自身が神託者となって署名することも可能です。
欠点:
引き出しには 1 週間かかります。本質的に、OP-DLC と BitVM の資本時間コストは存在し、同等です。 OP-DLC の出金は、資金を取得する前にチャレンジ期間を経る必要があります。BitVM がユーザーの資金繰りに依存している場合、払い戻しが完了する前に、同額の事前資金もチャレンジ期間を経る必要があります。 BitVM が資金を迅速に前払いするために他のオペレーターに依存している場合、オペレーターは手数料と同額の資金と時間コストを支払う必要があることを意味します。
事前署名が必要な署名の数は急速に増加しており、CET の数と直線的に関係しています。すべての出金結果を列挙するには、できるだけ多くの CET が必要です。
4 結論
OP-DLC は、間違った CET が決済されず、対応する悪意のあるオラクルがそのプレッジを失うことを保証するために、CET にオプティミスティック チャレンジ メカニズムを導入します。これにより、正しい CET が実行され、オラクルのプレッジがロック解除されて手数料が取得されることが保証されます。この方法はあらゆる攻撃に耐えることができ、シンプルさの美しさを備えています。
参考文献
ディスクリートログ契約の仕様
ディスクリートログ契約
DLC の原理分析と最適化に関する考慮事項
楽観的なロールアップ
BitVM 2: ビットコインの許可なし検証
