作者: mutourend & lynndell, Bitlayer Research Group
1.引言
Discreet Log Contract (DLC) 是由麻省理工學院的Tadge Dryja在2018年提出的一種基於預言機的合約執行框架。DLC允許兩方根據預定義的條件進行有條件支付。雙方預先確定可能的結果並進行預簽名,並在預言機簽署結果時使用這些預簽名來執行支付。因此,DLC在保證比特幣存款安全的同時,實現了新的去中心化金融應用。
上一篇文章《DLC原理解析及其優化思考》總結了DLC在隱私保護、複雜合約、資產風險低等方面的優勢,也分析了DLC存在密鑰風險、去中心化信任風險、串謀風險等問題,並將去中心化預言機、門限簽名、樂觀挑戰機制等引入DLC,解決其應面臨的各種問題。由於DLC中涉及預言機、Alice和Bob三個參與方,不同參與方之間串謀攻擊窮舉是相對複雜的,導致預防策略也是相對複雜度的。複雜的防禦策略不是完美的,不符合大道至簡,缺少簡潔美。
在比特幣中,任意參與方的任意行爲均需要通過UTXO實現。因此,使用共識機制確保UTXO正確,則能夠抵抗任意攻擊。類似,在DLC中,任意參與方的任意行爲均需要通過CET(Contract Execution Transaction)實現。因此,使用樂觀挑戰機制確保CET正確,則能夠抵抗任意攻擊。具體而言,預言機質押2BTC後,則能夠簽署CET。在CET中添加樂觀挑戰機制。如果CET不被挑戰,或成功應對挑戰,則CET正確,能夠完成結算,預言機解除質押且獲得手續費;如果Oracle試圖作惡,則任何人都可成功挑戰,該CET將無法結算,預言機損失質押金且該預言機無法再對同一CET簽名。符合大道至簡,具有簡潔美。
2.DLC原理
Alice和Bob簽署對賭協議:投注第ξ個區塊的哈希值是奇數或偶數。如果是奇數,則Alice贏得遊戲,可提取資產;如果是偶數,則Bob贏得遊戲,可提取資產。使用DLC,通過預言機傳遞第ξ個區塊信息構造條件簽名使得正確的獲勝方贏得所有資產。
橢圓曲線生成元爲G,階爲q。預言機、Alice和Bob各自的密鑰對分別爲(z, Z), (x, X), (y, Y)。
注資交易(鏈上): Alice和Bob一起創建一筆注資交易,各自將10BTC鎖在一個2-of-2的多籤輸出(一個公鑰X屬於Alice,一個公鑰Y屬於Bob)。
構建CET(鏈下):Alice和Bob創建CET1和CET2,用於花費注資交易。
預言機計算承諾R = k · G,然後計算S和S'
S := R - hash(OddNumber, R) · Z
S' := R - hash(EvenNumber, R) · Z
則Alice和Bob對應的新公鑰如下:
PK^{Alice} := X + S
PK^{Bob} := Y + S'.
結算(鏈下->鏈上):當第ξ個區塊成功生成,則預言機根據該區塊的哈希值,簽署對應的CET1或CET2。
如果哈希爲奇數,則預言機如下籤署s
s := k - hash(OddNumber, R) z
廣播CET1。
如果哈希爲偶數,則預言機簽署s'
s' := k - hash(EvenNumber, R) z
廣播CET2。
提幣(鏈上):如果預言機廣播CET1,則Alice可以計算出新私鑰,並花費鎖定的20個BTC
sk^{Alice} = x + s
如果預言機廣播CET2,則Bob可以計算出新私鑰,並花費鎖定的20個BTC
sk^{Bob} = y + s'
Bitlayer研究組發現:上述過程中,任意行爲均需要通過CET實現。因此,僅需要使用樂觀挑戰機制確保CET正確,則能夠抵抗任意攻擊。錯誤的CET會被挑戰,不被執行,而正確的CET會被執行。此外,預言機需要爲惡意行爲付出代價即可。
待挑戰程序爲f(t),則應該如下構建CET
s = k - hash(f(t), R) z.
假設,真實情況爲第ξ個區塊的哈希值是奇數odd,即f(ξ) = OddNumber,預言機應該簽署CET1
s := k - hash(OddNumber, R) z.
但是,預言機作惡,將函數值修改爲Even,簽署了CET2:
s' := k - hash(EvenNumber, R) z.
因此,任意用戶均可根據f(ξ) ≠ OddNumber.挫敗該惡意行爲。
3.OP-DLC 2
OP-DLC包括以下5個規定:
預言機由一個聯盟組成,聯盟中有n個參與方,任意成員之一均可簽署CET。質押2BTC,預言機才能發佈簽名賺手續費。如果某個成員作惡,則損失質押。其他成員可繼續簽署CET,確保用戶能夠出金。Alice和Bob也可成爲預言機,可真正的做到只相信自己,信任最小化。
如果預言機作惡,修改結果,則必然導致 f1(ξ) ≠ z1, f2(z1) ≠ z2 的情況出現。因此,任意參與方均可發起挑戰,即進行Disprove-CET1交易。
如果預言機誠實簽署CET,則任意參與方均不能發起有效的Disprove交易。1周後,CET可正確結算。此外,預言機獲得0.05BTC獎勵,作爲其質押的2BTC 1周資金佔用以及誠實簽署CET的手續費。
任意參與方均能夠對Oracle_sign發起挑戰:
若Oracle_sign誠實,則無法發起Disprove-CET1交易,1周後執行CET結算。此外,預言機質押解鎖,並獲得手續費;
若Oracle_sign不誠實,即任何人成功發起了Disprove-CET1交易,成功花費了connector A output,則該預言機的該簽名無效,損失所質押的2BTC,且未來該預言機均不可再對該DLC合約發起相同結果的簽名,因依賴該connector A output的Settle-CET1將永久失效。
OP-DLC中的挑戰是Permissionless的,即任意參與方均可監督OP-DLC內的合約是否正確執行。因此,實現了對預言機的信任最小化。與閃電網絡相比,Alice和Bob也可離線。因爲預言機只有誠實簽名纔會結算CET,而作惡的預言機會被被任何人挑戰和懲罰。
優點:
對資產控制度高,只信任自己:Alice和Bob均可以成爲預言機,簽署CET。樂觀挑戰機制會挫敗錯誤的CET,所以無法作惡。因此,OP-DLC可做到用戶只相信自己。在BitVM中,用戶需要作爲Operator,並必須參與後續所有的入金,才能做到只信任自己。如果用戶作爲Operator只參與BitVM單個UTXO入金,該UTXO可被任意其它(n-1)個Operator合法報銷,則該用戶未來的出金,將仍需信任其它Operator會墊付。BitVM Operator的報銷權限鎖定在各單個入金UTXO上。
資金利用率高:若用戶只信任自己,需要的資金量不一樣。OP-DLC中用戶依賴自己出金,不需要用等量資金墊付;而BitVM中,用戶需要等量資金墊付,然後報銷。這帶來了更大的資金壓力。
能簽字的預言機需在OP-DLC入金時確定,但用戶自己也可成爲預言機,可自己給自己籤。
缺點:
出金時間需1周:本質上OP-DLC和BitVM的資金時間成本都是存在且等量的。OP-DLC出金需經過挑戰期才能拿到資金;如果BitVM依賴用戶自己墊付,則等量墊付資金也需經過挑戰期才能成功報銷。如果BitVM依賴其它Operator墊付快速出金,則意味着需給Operator等量資金的資金時間成本作爲手續費。
需要預籤的簽名數量增長較快,與CET數量呈線性關係。需要儘可能多的CET,才能枚舉所有的提幣結果。
4.結論
OP-DLC將樂觀挑戰機制引入到CET中,確保錯誤的CET不被結算,且相應的惡意預言機損失質押;確保正確的CET被執行,且預言機質押解鎖並獲得手續費。該方式能夠抵抗任意攻擊,具有簡單美。
參考文獻
Specification for Discreet Log Contracts
Discreet Log Contracts
DLC原理解析及其優化思考
Optimistic Rollup
BitVM 2: Permissionless Verification on Bitcoin
