BitVM otimização: melhorar a eficiência e segurança da expansão do Bitcoin

1. Introdução

O Bitcoin, como um ativo digital descentralizado, seguro e confiável, enfrenta problemas de escalabilidade a longo prazo. O modelo UTXO do Bitcoin resulta em um sistema sem estado, dificultando a execução de cálculos complexos que dependem de estado, limitando o escopo de construção de aplicações descentralizadas e ferramentas financeiras complexas sobre o Bitcoin.

Para resolver o problema da escalabilidade do Bitcoin, surgiram soluções tecnológicas como canais de estado, sidechains e validação de clientes, mas todas elas têm suas limitações. Em dezembro de 2023, a proposta BitVM do projeto ZeroSync chamou a atenção, pois oferece uma solução para a implementação de contratos Turing completos sem alterar o consenso da rede Bitcoin.

BitVM aproveita ao máximo os scripts do Bitcoin e o Taproot, implementando Rollup otimista. Através da assinatura de Lamport, permite estabelecer uma ligação entre dois UTXOs, implementando scripts do Bitcoin com estado. BitVM amplia enormemente os potenciais casos de uso do Bitcoin, mas ainda se encontra em estágio inicial, apresentando algumas questões em termos de eficiência e segurança. Este artigo irá explorar as direções de otimização do BitVM para melhorar ainda mais sua eficiência e segurança.

2. Princípio do BitVM

BitVM é uma solução de contrato off-chain, destinada a melhorar as funcionalidades contratuais do Bitcoin. Ela torna os scripts do Bitcoin estatais através de assinaturas únicas de Lamport e utiliza um mecanismo de desafio-resposta para suportar a validação de cálculos complexos.

Os principais componentes do BitVM incluem:

• Compromisso de circuito: compilar o programa em circuito binário e fazer o compromisso através de um endereço Taproot.
• Desafio e Resposta: Pré-assinar uma série de transações para implementar o jogo de desafio-resposta.
• Penalização ambígua: penalizar os validadores que apresentem declarações incorretas.

3. Otimização do BitVM

3.1 Reduzir o número de interações OP com base em ZK

Considere usar provas de conhecimento zero para reduzir o número de desafios do BitVM e aumentar a eficiência. Através das provas de conhecimento zero, é possível transformar o objeto do desafio do algoritmo original F para o algoritmo de verificação Verify, reduzindo assim o número de rodadas de desafio e encurtando o ciclo de desafio.

Além disso, pode-se explorar a combinação de provas de conhecimento zero e provas de fraude, construindo a Prova de Fraude ZK, para realizar Provas ZK sob Demanda. Este método gera a Prova ZK apenas quando há um desafio, mantendo o design otimista do Rollup enquanto reduz o custo computacional.

3.2 Bitcoin amigável de uma única assinatura

A assinatura Lamport é um componente fundamental do BitVM, mas o comprimento da sua assinatura e chave pública é bastante longo. Pode-se considerar o uso do esquema de assinatura de uma só vez de Winternitz, que pode reduzir significativamente o comprimento da assinatura e da chave pública, mas aumentará a complexidade computacional da assinatura e da verificação.

Usando d=15,v=160,f=ripemd160(x) no BitVM para implementar a assinatura de uma única vez de Winternitz, é possível reduzir o tamanho do compromisso de moeda em 50%, o que, por sua vez, reduz significativamente as taxas de transação. No futuro, pode-se explorar ainda mais soluções de assinatura de uma única vez mais compactas.

3.3 Bitcoin amigável para hash função

Devido ao fato de a rede Bitcoin atualmente não suportar OP_CAT, não é possível realizar a concatenação de strings e a verificação do caminho Merkle diretamente. É necessário projetar uma função hash que seja amigável ao Bitcoin, a fim de implementar a funcionalidade de prova de inclusão Merkle com o tamanho de script e o tamanho de testemunha de script mais otimizados.

A função de hash BLAKE3 é uma escolha potencial, pois possui uma função de compressão otimizada e um modo de árvore Bao. A implementação da função de hash BLAKE3 com scripts Bitcoin pode construir uma versão básica para BitVM. Além disso, também é possível explorar implementações de scripts Bitcoin para outras funções de hash, como Keccak-256 e Grøstl.

3.4 Scripts sem Script BitVM

Scripts sem script são um método de execução de contratos inteligentes fora da cadeia usando assinaturas Schnorr. Ele possui vantagens de funcionalidades aprimoradas, maior privacidade e eficiência melhorada.

Pode-se usar Scriptless Scripts, utilizando assinaturas múltiplas Schnorr e assinaturas de adaptador para implementar compromissos de portas lógicas no circuito BitVM, economizando espaço de script e aumentando a eficiência. No futuro, será necessário melhorar os esquemas existentes e explorar a introdução de Scriptless Scripts em módulos de funcionalidades específicos do BitVM.

3.5 Desafio multilaterais sem necessidade de permissão

Atualmente, o modo de desafio BitVM é limitado a duas partes, apresentando riscos de segurança potenciais. Pesquisar protocolos de desafio OP de múltiplas partes sem necessidade de permissão pode expandir o modelo de confiança do BitVM para 1-of-N(N, muito maior do que o n) existente.

A implementação de desafios múltiplos sem permissão requer a resolução dos seguintes problemas:

• Ataque de bruxa: projetar um algoritmo de resolução de disputas, fazendo com que o custo para um único participante honesto vencer uma disputa cresça em logaritmo com o número de oponentes.
• Ataque de atraso: exige que o desafiador faça um depósito antecipado e projete um algoritmo que limite o atraso máximo na pior das hipóteses.

4. Conclusão

A tecnologia BitVM ainda está em fase de exploração, e no futuro continuará a investigar e praticar mais direções de otimização, a fim de realizar a escalabilidade do Bitcoin e prosperar o ecossistema do Bitcoin. Ao aumentar a eficiência, melhorar a segurança e expandir as funcionalidades, o BitVM tem potencial para trazer cenários de aplicação mais amplos e capacidades de contratos inteligentes mais robustas para o Bitcoin.