原文標題:《Bitlayer Core Technology: DLC and Its Optimization Considerations》
原文作者:mutourend lynndell, Bitlayer Research Group
1.引言
Discreet Log Contract (DLC) 是由麻省理工學院的 Tadge Dryja 在 2018 年提出的一種基於預言機的合約執行框架。DLC 允許兩方根據預定義的條件進行有條件支付。雙方預先確定可能的結果並進行預簽名,並在預言機簽署結果時使用這些預簽名來執行支付。因此,DLC 在保證比特幣存款安全的同時,實現了新的去中心化金融應用。
上一篇文章《DLC 原理解析及其優化思考》總結了 DLC 在隱私保護、複雜合約、資產風險低等方面的優勢,也分析了 DLC 存在密鑰風險、去中心化信任風險、串謀風險等問題,並將去中心化預言機、門限簽名、樂觀挑戰機制等引入 DLC,解決其應面臨的各種問題。由於 DLC 中涉及預言機、Alice 和 Bob 三個參與方,不同參與方之間串謀攻擊窮舉是相對複雜的,導致預防策略也是相對複雜度的。複雜的防禦策略不是完美的,不符合大道至簡,缺少簡潔美。
在比特幣中,任意參與方的任意行爲均需要通過 UTXO 實現。因此,使用共識機制確保 UTXO 正確,則能夠抵抗任意攻擊。類似,在 DLC 中,任意參與方的任意行爲均需要通過 CET(Contract Execution Transaction)實現。因此,使用樂觀挑戰機制確保 CET 正確,則能夠抵抗任意攻擊。具體而言,預言機質押2B TC 後,則能夠簽署 CET。在 CET 中添加樂觀挑戰機制。如果 CET 不被挑戰,或成功應對挑戰,則 CET 正確,能夠完成結算,預言機解除質押且獲得手續費;如果 Oracle 試圖作惡,則任何人都可成功挑戰,該 CET 將無法結算,預言機損失質押金且該預言機無法再對同一 CET 簽名。符合大道至簡,具有簡潔美。
2.DLC 原理
Alice 和 Bob 簽署對賭協議:投注第ξ個區塊的哈希值是奇數或偶數。如果是奇數,則 Alice 贏得遊戲,可提取資產;如果是偶數,則 Bob 贏得遊戲,可提取資產。使用 DLC,通過預言機傳遞第ξ個區塊信息構造條件簽名使得正確的獲勝方贏得所有資產。
橢圓曲線生成元爲 G,階爲 q。預言機、Alice 和 Bob 各自的密鑰對分別爲(z, Z), (x, X), (y, Y)。
注資交易(鏈上): Alice 和 Bob 一起創建一筆注資交易,各自將 10 BTC 鎖在一個 2-of-2 的多籤輸出(一個公鑰 X 屬於 Alice,一個公鑰 Y 屬於 Bob)。
構建 CET(鏈下):Alice 和 Bob 創建 CET 1 和 CET 2 ,用於花費注資交易。
預言機計算承諾 R = k · G,然後計算 S 和 S'
S := R - hash(OddNumber, R) · Z
S' := R - hash(EvenNumber, R) · Z
則 Alice 和 Bob 對應的新公鑰如下:
PK^{Alice} := X + S
PK^{Bob} := Y + S'.
結算(鏈下->鏈上):當第ξ個區塊成功生成,則預言機根據該區塊的哈希值,簽署對應的 CET 1 或 CET 2 。
如果哈希爲奇數,則預言機如下籤署 s
s := k - hash(OddNumber, R) z
廣播 CET 1 。
如果哈希爲偶數,則預言機簽署 s'
s' := k - hash(EvenNumber, R) z
廣播 CET 2 。
提幣(鏈上):如果預言機廣播 CET 1 ,則 Alice 可以計算出新私鑰,並花費鎖定的 20 個 BTC
sk^{Alice} = x + s
如果預言機廣播 CET 2 ,則 Bob 可以計算出新私鑰,並花費鎖定的 20 個 BTC
sk^{Bob} = y + s'
Bitlayer 研究組發現:上述過程中,任意行爲均需要通過 CET 實現。因此,僅需要使用樂觀挑戰機制確保 CET 正確,則能夠抵抗任意攻擊。錯誤的 CET 會被挑戰,不被執行,而正確的 CET 會被執行。此外,預言機需要爲惡意行爲付出代價即可。
待挑戰程序爲 f(t),則應該如下構建 CET
s = k - hash(f(t), R) z.
假設,真實情況爲第ξ個區塊的哈希值是奇數 odd,即 f(ξ) = OddNumber,預言機應該簽署 CET 1
s := k - hash(OddNumber, R) z.
但是,預言機作惡,將函數值修改爲 Even,簽署了 CET 2 :
s' := k - hash(EvenNumber, R) z.
因此,任意用戶均可根據 f(ξ) ≠ OddNumber.挫敗該惡意行爲。
3.OP-DLC 2
OP-DLC 包括以下 5 個規定:
預言機由一個聯盟組成,聯盟中有 n 個參與方,任意成員之一均可簽署 CET。質押2B TC,預言機才能發佈簽名賺手續費。如果某個成員作惡,則損失質押。其他成員可繼續簽署 CET,確保用戶能夠出金。Alice 和 Bob 也可成爲預言機,可真正的做到只相信自己,信任最小化。
如果預言機作惡,修改結果,則必然導致 f 1(ξ) ≠ z 1, f 2(z 1) ≠ z 2 的情況出現。因此,任意參與方均可發起挑戰,即進行 Disprove-CET 1 交易。
如果預言機誠實簽署 CET,則任意參與方均不能發起有效的 Disprove 交易。1 周後,CET 可正確結算。此外,預言機獲得 0.05 BTC 獎勵,作爲其質押的2B TC 1 周資金佔用以及誠實簽署 CET 的手續費。
任意參與方均能夠對 Oracle_sign 發起挑戰:
若 Oracle_sign 誠實,則無法發起 Disprove-CET 1 交易, 1 周後執行 CET 結算。此外,預言機質押解鎖,並獲得手續費;
若 Oracle_sign 不誠實,即任何人成功發起了 Disprove-CET 1 交易,成功花費了 connector A output,則該預言機的該簽名無效,損失所質押的2B TC,且未來該預言機均不可再對該 DLC 合約發起相同結果的簽名,因依賴該 connector A output 的 Settle-CET 1 將永久失效。
OP-DLC 中的挑戰是 Permissionless 的,即任意參與方均可監督 OP-DLC 內的合約是否正確執行。因此,實現了對預言機的信任最小化。與閃電網絡相比,Alice 和 Bob 也可離線。因爲預言機只有誠實簽名纔會結算 CET,而作惡的預言機會被被任何人挑戰和懲罰。
優點:
對資產控制度高,只信任自己:Alice 和 Bob 均可以成爲預言機,簽署 CET。樂觀挑戰機制會挫敗錯誤的 CET,所以無法作惡。因此,OP-DLC 可做到用戶只相信自己。在 BitVM 中,用戶需要作爲 Operator,並必須參與後續所有的入金,才能做到只信任自己。如果用戶作爲 Operator 只參與 BitVM 單個 UTXO 入金,該 UTXO 可被任意其它(n-1)個 Operator 合法報銷,則該用戶未來的出金,將仍需信任其它 Operator 會墊付。BitVM Operator 的報銷權限鎖定在各單個入金 UTXO 上。
資金利用率高:若用戶只信任自己,需要的資金量不一樣。OP-DLC 中用戶依賴自己出金,不需要用等量資金墊付;而 BitVM 中,用戶需要等量資金墊付,然後報銷。這帶來了更大的資金壓力。
能簽字的預言機需在 OP-DLC 入金時確定,但用戶自己也可成爲預言機,可自己給自己籤。
缺點:
出金時間需 1 周:本質上 OP-DLC 和 BitVM 的資金時間成本都是存在且等量的。OP-DLC 出金需經過挑戰期才能拿到資金;如果 BitVM 依賴用戶自己墊付,則等量墊付資金也需經過挑戰期才能成功報銷。如果 BitVM 依賴其它 Operator 墊付快速出金,則意味着需給 Operator 等量資金的資金時間成本作爲手續費。
需要預籤的簽名數量增長較快,與 CET 數量呈線性關係。需要儘可能多的 CET,才能枚舉所有的提幣結果。
4.結論
OP-DLC 將樂觀挑戰機制引入到 CET 中,確保錯誤的 CET 不被結算,且相應的惡意預言機損失質押;確保正確的 CET 被執行,且預言機質押解鎖並獲得手續費。該方式能夠抵抗任意攻擊,具有簡單美。
參考文獻
Specification for Discreet Log Contracts
Discreet Log Contracts
DLC 原理解析及其優化思考
Optimistic Rollup
BitVM 2: Permissionless Verification on Bitcoin
