Bitlayer Research: OP-DLC, 2 caminos para simplificar

Título original: 'Tecnología central de Bitlayer: DLC y sus consideraciones de optimización'

Autor original: mutourend & lynndell, Grupo de Investigación Bitlayer

1. Introducción

Discreet Log Contract (DLC) es un marco de ejecución de contratos basado en oráculos propuesto por Tadge Dryja del MIT en 2018. DLC permite pagos condicionales entre dos partes según condiciones predefinidas. Ambas partes acuerdan previamente posibles resultados y firman previamente, utilizando estas firmas previas para ejecutar el pago cuando el oráculo firma el resultado. Por lo tanto, DLC garantiza la seguridad de los depósitos de Bitcoin y permite nuevas aplicaciones descentralizadas en finanzas.

El artículo anterior "Análisis del principio de DLC y su pensamiento de optimización" resumió las ventajas de DLC en la protección de la privacidad, los contratos complejos y el bajo riesgo de activos, y también analizó los problemas del riesgo de llave secreta, el riesgo de confianza de descentralización y el riesgo de colusión en DLC, e introdujo oráculos descentralizados, firmas de umbral y mecanismos de desafío optimistas en DLC para resolver varios problemas que debería enfrentar. Debido a que el DLC involucra a tres participantes, Máquina de Oráculo, Alice y Bob, la conspiración entre diferentes participantes es relativamente compleja, lo que resulta en estrategias de prevención relativamente complejas. Las estrategias de defensa complejas no son perfectas, no se ajustan a la simplicidad y carecen de la belleza de la simplicidad.

En Bitcoin, cualquier comportamiento de cualquier participante debe implementarse a través de un UTXO. Por lo tanto, el uso del mecanismo de consenso para garantizar que el UTXO sea correcto es resistente a ataques arbitrarios. Del mismo modo, en DLC, cualquier comportamiento de cualquier parte debe implementarse a través de un CET (Contract ution Transaction). Por lo tanto, si utiliza el mecanismo de desafío optimista para asegurarse de que el CET es correcto, podrá resistir ataques arbitrarios. En concreto, tras Máquina de oráculo stake el TC 2B, podrás firmar el CET. Añade una mecánica de desafío optimista a CET. Si no se impugna el AEC, o si el reto se aborda con éxito, el AEC es correcto, se puede completar el asentamiento, se libera la estaca en la máquina de oráculo y se paga la tarifa; Si Oracle intenta hacer el mal, cualquiera puede desafiar con éxito, el CET no Asentamiento, el Máquina de oráculo perderá su stake y el Máquina de oráculo más largo no podrá firmar el mismo CET. En línea con la sencillez de la avenida, con una belleza sencilla.

2. Principios de DLC

Alice y Bob firman un contrato de apuestas: apostando a si el valor hash del bloque ξ es impar o par. Si es impar, Alice gana el juego y puede retirar los activos; si es par, Bob gana el juego y puede retirar los activos. Utilizando DLC, se transmite la información del bloque ξ a través de un oráculo para construir una firma condicional que permita que el ganador correcto se lleve todos los activos.

El generador de la curva elíptica es G, su orden es q. El oráculo, Alice y Bob tienen sus respectivos pares de claves (z, Z), (x, X), (y, Y).

Transacción de financiación (en cadena): Alice y Bob crean juntos una transacción de financiación, cada uno bloquea 10 BTC en una salida multisig 2-de-2 (una clave pública X pertenece a Alice, una clave pública Y pertenece a Bob).

Construir CET (off-chain): Alice y Bob crean CET 1 y CET 2 para gastar transacciones de financiamiento.

La máquina de oráculo calcula el compromiso R = k · G, luego calcula S y S'

S := R - hash(OddNumber, R) · Z

S' := R - hash(EvenNumber, R) · Z

Las nuevas claves públicas correspondientes a Alice y Bob son las siguientes:

PK^{Alice} := X + S

PK^{Bob} := Y + S'.

Asentamiento (off-chain->on-chain): Cuando el primer Bloquear se genera correctamente, se firma el CET 1 o CET 2 correspondiente Máquina de oráculo según el valor hash del Bloquear.

Si el hash es impar, la máquina de oráculo firma como sigue s

s := k - hash(OddNumber, R) z

CET 1 broadcast.

Si el hash es par, entonces el oráculo firma s'

s' := k - hash(EvenNumber, R) z

Transmitir CET 2.

Retiro (en cadena): Si el oráculo transmite CET 1, Alice puede calcular una nueva llave privada y gastar los 20 BTC bloqueados.

sk^{Alice} = x + s

Si el oráculo transmite CET 2, entonces Bob puede calcular una nueva llave privada y gastar los 20 BTC bloqueados

sk^{Bob} = y + s'

El grupo de investigación de Bitlayer descubrió que en el proceso anterior, cualquier comportamiento debe implementarse a través de CET. Por lo tanto, solo es necesario utilizar el mecanismo de desafío optimista para asegurar correctamente CET, lo que puede resistir cualquier ataque. El CET incorrecto será desafiado y no se ejecutará, mientras que el CET correcto se ejecutará. Además, la máquina de oráculo debe pagar el precio de un comportamiento malicioso.

Si el programa desafiado es f(t), debería construirse CET de la siguiente manera

s = k - hash(f(t), R) z.

Supongamos que el valor hash del bloque número ξ es impar, es decir, f(ξ) = OddNumber, el oráculo debería firmar CET 1.

s := k - hash(OddNumber, R) z.

Sin embargo, la máquina de oráculo ha actuado mal, modificando el valor de la función a Even y firmando CET 2:

s' := k - hash(EvenNumber, R) z.

Por lo tanto, cualquier usuario puede frustrar esta acción maliciosa según f(ξ) ≠ OddNumber.

3.OP-DLC 2

OP-DLC incluye las siguientes 5 regulaciones:

• La máquina de oráculo está compuesta por una alianza de n participantes, y cualquier miembro de la alianza puede firmar CET. Se requiere una apuesta de 2B TC para que la máquina de oráculo pueda publicar la firma y ganar tarifas. Si un miembro se comporta mal, perderá su apuesta. Los otros miembros pueden seguir firmando CET para garantizar que los usuarios puedan retirar fondos. Alice y Bob también pueden ser máquinas de oráculo y realmente confiar solo en sí mismos, minimizando la confianza.
• Si la máquina de oráculo actúa mal, modificando el resultado, inevitablemente llevará a la situación en la que f 1(ξ) ≠ z 1, f 2(z 1) ≠ z 2. Por lo tanto, cualquier parte involucrada puede plantear un desafío, es decir, llevar a cabo la transacción Disprove-CET 1.
• Si el oráculo firma honestamente el CET, ninguna de las partes involucradas puede iniciar una transacción de refutación válida. Después de 1 semana, el CET puede liquidarse correctamente. Además, el oráculo recibe una recompensa de 0.05 BTC como una ocupación de fondos de 2B TC durante 1 semana y una tarifa por firmar honestamente el CET.
• Cualquier participante puede desafiar a Oracle_sign:

Si Oracle_sign es honesto, no se puede iniciar la transacción Disprove-CET 1, y se liquidará CET 1 semana después. Además, el stake del oráculo se desbloqueará y se obtendrá una tarifa;

Si Oracle_sign no es honesto y alguien logra lanzar con éxito una transacción Disprove-CET 1 y gastar la salida del conector A, la firma de ese oráculo será inválida. Perderá los 2B TC que se apostaron y en el futuro no podrá volver a firmar el mismo resultado para el contrato DLC. Además, el Settle-CET 1 que depende de la salida del conector A quedará permanentemente invalidado.

• El desafío en OP-DLC es que es Permissionless, lo que significa que cualquier participante puede supervisar si el contrato en OP-DLC se ejecuta correctamente. Por lo tanto, se minimiza la confianza en el oráculo. En comparación con la Lightning Network, Alice y Bob también pueden estar fuera de línea. Esto se debe a que solo se liquidarán los CET con firmas honestas del oráculo, y los oráculos maliciosos podrán ser desafiados y castigados por cualquier persona.

Ventajas:

• Con un alto grado de control de activos, solo confía en sí mismo: Alice y Bob pueden ser oráculos, firmando CET. El mecanismo de desafío optimista frustrará los CET incorrectos, por lo que no se puede hacer nada malo. Por lo tanto, OP-DLC puede lograr que los usuarios solo confíen en sí mismos. En BitVM, los usuarios necesitan ser Operadores y deben participar en todos los depósitos posteriores para poder confiar solo en sí mismos. Si un usuario actúa como Operador y solo participa en el depósito de una única UTXO de BitVM, esa UTXO podría ser legalmente reembolsada por cualquier otro (n-1) Operador, lo que significa que el usuario aún tendría que confiar en que otros Operadores cubrirán sus futuros retiros. Los derechos de reembolso del Operador de BitVM están bloqueados en cada UTXO de depósito individual.
• Alta utilización de capital: si los usuarios solo confían en sí mismos, la cantidad de capital requerida varía. En OP-DLC, los usuarios dependen de sí mismos para retirar fondos, sin necesidad de fondos equivalentes para cubrir; en cambio, en BitVM, los usuarios necesitan fondos equivalentes para cubrir y luego reembolsar. Esto genera una mayor presión de capital.
• Las máquinas de oráculo que pueden firmar deben ser confirmadas al depositar en OP-DLC, pero los usuarios también pueden convertirse en máquinas de oráculo y firmarse a sí mismos.

Desventajas:

• Tiempo de retiro de 1 semana: en esencia, el costo temporal de los fondos de OP-DLC y BitVM es igual. El retiro de OP-DLC requiere un período de desafío para obtener los fondos; si BitVM depende del propio usuario para pagar por adelantado, también se requiere un período de desafío para reembolsar los fondos. Si BitVM depende de otro operador para un retiro rápido, significa que el costo temporal de los fondos equivalentes al operador se cobra como tarifa.
• El número de firmas que necesitan ser pre-firmadas está aumentando rápidamente y tiene una relación lineal con la cantidad de CET. Se requiere la mayor cantidad posible de CET para enumerar todos los resultados de retiro.

4. Conclusion

OP-DLC introduce el mecanismo de desafío optimista en CET para garantizar que los CET erróneos no se liquiden y que los oráculos maliciosos pierdan su stake; asegurando que los CET correctos se ejecuten, desbloqueando el stake del oráculo y obteniendo tarifas. Este método puede resistir cualquier ataque y es simple y hermoso.

Referencia

• Especificación para Contratos de Registro Discreto
• Contratos de registro discreto
• Análisis del principio de DLC y reflexión sobre su optimización
• Optimistic Rollup
• BitVM 2: Verificación sin permisos en Bitcoin