BitVM оптимізація: підвищення ефективності та безпеки розширення Біткойна

1. Вступ

Біткойн як децентралізований, безпечний та надійний цифровий актив, протягом тривалого часу стикається з проблемою масштабованості. Модель UTXO Біткойна призводить до безстанності системи, ускладнюючи виконання складних обчислень, що залежать від стану, що обмежує можливості побудови децентралізованих додатків і складних фінансових інструментів на базі Біткойна.

Щоб вирішити проблему масштабування Біткойна, з'явилися такі технічні рішення, як канали стану, бічні ланцюги та верифікація клієнтів, але всі вони мають свої обмеження. У грудні 2023 року проект ZeroSync запропонував рішення BitVM, яке привернуло увагу, оскільки воно забезпечує можливість реалізації тьюрінгових контрактів без зміни консенсусу мережі Біткойн.

BitVM повністю використовує скрипти Біткойн та Taproot для реалізації оптимістичного Rollup. Завдяки підписам Лампорт створюється зв'язок між двома UTXO, що дозволяє реалізувати стан скриптів Біткойн. BitVM значно розширює потенційні випадки використання Біткойн, але все ще перебуває на ранній стадії, маючи деякі проблеми з ефективністю та безпечністю. У цій статті буде розглянуто напрямки оптимізації BitVM для подальшого підвищення його ефективності та безпечності.

2. Принцип BitVM

BitVM є рішенням для договорів поза ланцюгом, що має на меті підвищення функціональності договорів Біткойн. Він використовує одноразові підписи Лампорт для надання стану сценаріям Біткойн і застосовує механізм виклику-відповіді для підтримки верифікації складних обчислень.

Основні компоненти BitVM включають:

• Циркулярне зобов'язання: скомпілювати програму в бінарний циркуляр і здійснити зобов'язання через адресу Taproot.
• Виклики та відповіді: попередньо підписати ряд транзакцій для реалізації гри викликів і відповідей.
• Невизначене покарання: покарання для доказувачів, які подають неправильні заяви.

3. Оптимізація BitVM

3.1 На основі ZK зменшення кількості взаємодій OP

Розгляньте можливість використання нульових знань для зменшення кількості викликів BitVM та підвищення ефективності. За допомогою нульових знань можна перетворити об'єкт виклику з оригінального алгоритму F на алгоритм перевірки Verify, що дозволяє зменшити кількість раундів виклику та скоротити цикл виклику.

Крім того, можна дослідити поєднання доказів нульового знання та доказів шахрайства для створення ZK Fraud Proof, що реалізує On-Demand ZK Proof. Цей підхід генерує ZK Proof лише у випадку виклику, зберігаючи оптимістичний дизайн Rollup і знижуючи витрати на обчислення.

3.2 Біткойн-дружня одноразова підпис

Лампорт підпис є основним компонентом BitVM, але довжина його підпису та відкритого ключа є досить великою. Можна розглянути використання схеми одноразового підпису Вінтерніца, яка може значно зменшити довжину підпису та відкритого ключа, але при цьому збільшить обчислювальну складність підпису та перевірки.

Використовуючи d=15,v=160,f=ripemd160(x) у BitVM для реалізації одноразового підпису Вінтерніца, можна зменшити розмір обов'язку бітів на 50%, що значно знижує витрати на транзакції. У майбутньому можна буде додатково дослідити більш компактні схеми одноразового підпису.

3.3 Біткойн-дружня хеш-функція

Оскільки мережа Біткойн наразі не підтримує OP_CAT, неможливо безпосередньо виконати злиття рядків та верифікацію Merkle path. Потрібно розробити хеш-функцію, дружню до Біткойн, щоб реалізувати функцію верифікації Merkle inclusion proof з оптимальним розміром скрипта та розміром свідка скрипта.

Функція хешування BLAKE3 є потенційним вибором, оскільки вона має оптимізовану функцію стиснення та модель Bao-дерева. Використання скрипту Біткойн для реалізації функції хешування BLAKE3 може стати основою для побудови базової версії BitVM. Крім того, можна дослідити реалізації інших функцій хешування, таких як Keccak-256, Grøstl тощо, у скрипті Біткойн.

3.4 Безскриптові скрипти BitVM

Scriptless Scripts є методом виконання смарт-контрактів поза ланцюгом за допомогою підписів Schnorr. Він має переваги у вигляді покращених функцій, підвищеної конфіденційності та підвищеної ефективності.

Можна скористатися Scriptless Scripts, використовуючи Schnorr многопідпис та адаптерні підписи для реалізації логічних воріт компромісу в BitVM, що дозволяє заощадити простір скриптів і підвищити ефективність. У майбутньому необхідно вдосконалити існуючі рішення та дослідити можливість впровадження Scriptless Scripts у конкретні модулі функціональності BitVM.

3.5 Без дозволу багатосторонній виклик

Поточний режим виклику BitVM обмежений двома сторонами, що створює потенційні ризики безпеки. Дослідження безліцензійних багатосторонніх OP викликових протоколів може розширити модель довіри BitVM до 1 із N(N, що значно перевищує існуюче n).

Реалізація бездозвільних багатосторонніх викликів потребує вирішення наступних проблем:

• Відьомська атака: розробка алгоритму вирішення спорів, що дозволяє одному чесному учаснику вигравати спори з витратами, які зростають логарифмічно з кількістю суперників.
• Атака затримки: вимога до виклику заздалегідь зробити заставу та розробка алгоритму, що обмежує гірший випадок максимальної затримки.

4. Висновок

Технологія BitVM все ще перебуває на етапі дослідження, в майбутньому буде продовжено вивчення та практичне впровадження нових напрямків оптимізації для розширення Біткойну та процвітання екосистеми Біткойну. Завдяки підвищенню ефективності, зміцненню безпеки та розширенню функцій, BitVM має потенціал забезпечити більш широкі сфери застосування для Біткойну та потужніші можливості смарт-контрактів.