Bitlayer Research: OP-DLC 2 grandes caminhos são simples

Título original: "Tecnologia central do Bitlayer: DLC e suas considerações de otimização"

Autores originais: mutourend & lynndell, Grupo de Pesquisa Bitlayer

1. Introdução

Discrete Log Contract (DLC) é um framework de execução de contrato baseado em oráculos proposto por Tadge Dryja do MIT em 2018. DLC permite pagamentos condicionais entre duas partes com base em condições predefinidas. As partes concordam antecipadamente com os possíveis resultados e assinam previamente, usando essas assinaturas prévias para executar o pagamento quando o oráculo assina o resultado. Assim, o DLC permite novas aplicações de finanças descentralizadas, garantindo a segurança dos depósitos de Bitcoin.

O artigo anterior "DLC Principle Analysis and Its Optimization Thinking" resumiu as vantagens da DLC na proteção da privacidade, contratos complexos e baixo risco de ativos, e também analisou os problemas de risco de Chave Secreta, risco de confiança Descentralização e risco de conluio em DLC, e introduziu oráculos descentralizados, assinaturas de limite e mecanismos de desafio otimistas em DLC para resolver vários problemas que deveria enfrentar. Como o DLC envolve três participantes, Máquina Oracle, Alice e Bob, a conspiração entre diferentes participantes é relativamente complexa, resultando em estratégias de prevenção relativamente complexas. Estratégias de defesa complexas não são perfeitas, não se conformam com a simplicidade e carecem da beleza da simplicidade.

Em Bitcoin, qualquer comportamento de qualquer participante precisa ser implementado através de um UTXO. Portanto, usar o Mecanismo de consenso para garantir que o UTXO esteja correto é resistente a ataques arbitrários. Da mesma forma, na DLC, qualquer comportamento de qualquer parte precisa ser implementado através de uma CET (Transação Contratual). Portanto, se você usar o mecanismo de desafio otimista para garantir que o CET esteja correto, você será capaz de resistir a ataques arbitrários. Especificamente, depois de Máquina Oracle stake o TC 2B, você poderá assinar o CET. Adicione uma mecânica de desafio otimista ao CET. Se o CET não for impugnado, ou se o desafio for enfrentado com sucesso, o CET está correto, o Liquidação pode ser concluído, Máquina Oracle o stake é liberado e a taxa é paga; Se a Oracle tentar fazer o mal, qualquer um pode contestar com sucesso, a CET não Liquidação, a Máquina Oracle perderá sua stake e a Máquina Oracle mais longo poderá assinar a mesma CET. Em linha com a simplicidade da avenida, com beleza simples.

2. Princípio do DLC

Alice e Bob assinam um contrato de aposta: apostam se o valor hash do bloco ξ é ímpar ou par. Se for ímpar, Alice ganha o jogo e pode retirar os ativos; se for par, Bob ganha o jogo e pode retirar os ativos. Usando DLC, passam as informações do bloco ξ através de um oráculo para construir uma assinatura condicional que permite que o vencedor correto receba todos os ativos.

O gerador da curva elíptica é G, com ordem q. As chaves secretas da máquina Oracle, Alice e Bob são respectivamente (z, Z), (x, X), (y, Y).

Transação de financiamento (on-chain): Alice e Bob criam juntos uma transação de financiamento, cada um bloqueando 10 BTC em uma saída multisig 2-de-2 (uma chave pública X pertence a Alice e uma chave pública Y pertence a Bob).

Construir CET (fora da cadeia): Alice e Bob criam CET 1 e CET 2 para gastar em transações de financiamento.

Máquina Oracle calcula a promessa R = k · G e então calcula S e S'

S := R - hash(OddNumber, R) · Z

S' := R - hash(EvenNumber, R) · Z

A nova chave pública correspondente a Alice e Bob é a seguinte:

PK^{Alice} := X + S

PK^{Bob} := Y + S'.

Liquidação (fora da cadeia->na cadeia): Quando o primeiro Bloco é gerado com êxito, o CET 1 ou CET 2 correspondente é assinado Máquina Oracle de acordo com o valor hash do Bloco.

Se o hash for ímpar, a máquina Oracle assina como se segue s

s := k - hash(OddNumber, R) z

Transmissão de CET 1.

Se o hash for par, a máquina Oracle assina s'

s' := k - hash(EvenNumber, R) z

Transmissão CET 2.

Retirada (na cadeia): Se a máquina Oracle transmitir CET 1, Alice pode calcular uma nova chave privada e gastar os 20 BTC bloqueados.

sk^{Alice} = x + s

Se a máquina Oracle transmitir o CET 2, Bob pode calcular uma nova chave privada e gastar os 20 BTC bloqueados

sk^{Bob} = y + s'

A equipe de pesquisa do Bitlayer descobriu que durante o processo acima, todas as ações devem ser realizadas através do CET. Portanto, apenas garantindo a correção do CET através do mecanismo de desafio otimista, é possível resistir a qualquer ataque. O CET incorreto será desafiado e não será executado, enquanto o CET correto será executado. Além disso, a máquina Oracle precisa pagar o preço por comportamentos maliciosos.

Se o programa de desafio for f(t), o CET deve ser construído da seguinte forma

s = k - hash(f(t), R) z.

Suponhamos que o valor hash do bloco ξ seja ímpar, ou seja, f(ξ) = OddNumber, o oráculo deve assinar CET 1

s := k - hash(OddNumber, R) z.

No entanto, a Máquina Oracle age mal e altera o valor da função para Even, assinando CET 2:

s' := k - hash(EvenNumber, R) z.

Portanto, qualquer usuário pode frustrar essa atividade maliciosa com base em f(ξ) ≠ OddNumber.

3.OP-DLC 2

OP-DLC inclui as seguintes 5 regras:

A máquina Oracle é composta por uma aliança, com n participantes, onde qualquer membro pode assinar CET. É necessário stakar 2B TC para a máquina Oracle poder publicar assinaturas e ganhar taxas. Se algum membro se comportar de forma maliciosa, perderá o staking. Os outros membros podem continuar a assinar CET para garantir que os utilizadores possam levantar fundos. Alice e Bob também podem ser máquinas Oracle, podendo verdadeiramente confiar apenas em si próprios, minimizando a confiança.
Se a Máquina Oracle agir de forma maliciosa e alterar o resultado, isso inevitavelmente levará à situação em que f 1(ξ) ≠ z 1, f 2(z 1) ≠ z 2. Portanto, qualquer parte envolvida pode desafiar, ou seja, realizar uma transação Disprove-CET 1.
Se a máquina Oracle assinar honestamente o CET, então qualquer parte envolvida não pode iniciar uma transação Disprove válida. Após 1 semana, o CET pode ser liquidado corretamente. Além disso, a máquina Oracle recebe uma recompensa de 0.05 BTC como stake, como ocupação de fundos de 2B TC por 1 semana e taxas de assinatura honesta do CET.
Qualquer participante pode desafiar Oracle_sign:

Se o Oracle_sign for honest, não é possível iniciar a transação Disprove-CET 1, a liquidação do CET será executada 1 semana depois. Além disso, o stake do Oracle será desbloqueado e receberá uma taxa;

Se o Oracle_sign for desonesto, ou seja, se alguém conseguir lançar com sucesso uma transação Disprove-CET 1 e gastar com sucesso a saída do conector A, a assinatura desse Oracle será inválida, resultando na perda de 2B TC apostados e no fato de que esse Oracle nunca mais poderá assinar o mesmo resultado para o contrato DLC dependente da saída do conector A, fazendo com que a transação Settle-CET 1 dependente dessa saída perca sua validade permanentemente.

O desafio no OP-DLC é permissionless, o que significa que qualquer participante pode supervisionar se o contrato no OP-DLC está sendo executado corretamente. Isso minimiza a confiança nos oráculos. Em comparação com a Rede Relâmpago, Alice e Bob também podem estar offline. Isso ocorre porque apenas as assinaturas honestas dos oráculos serão liquidadas em CET, enquanto os oráculos mal-intencionados podem ser desafiados e punidos por qualquer pessoa.

Vantagens:

Com um alto nível de controle de ativos, só se pode confiar em si mesmo: tanto Alice quanto Bob podem se tornar uma Máquina Oracle, assinando CET. O mecanismo de desafio otimista irá frustrar CETs incorretos, impedindo assim qualquer comportamento malicioso. Portanto, o OP-DLC permite que os usuários confiem apenas em si mesmos. No BitVM, os usuários precisam atuar como Operadores e devem participar de todos os depósitos subsequentes para confiarem apenas em si mesmos. Se um usuário atuar como Operador e participar apenas de um único depósito UTXO no BitVM, e este UTXO puder ser reembolsado legalmente por qualquer outro (n-1) Operadores, então o usuário ainda precisará confiar que outros Operadores cobrirão os saques futuros. Os direitos de reembolso do Operador do BitVM estão vinculados a cada depósito UTXO individual.
Alta taxa de utilização de fundos: se um usuário confia apenas em si mesmo, a quantidade de fundos necessários varia. No OP-DLC, o usuário retira fundos por conta própria, sem a necessidade de fornecer a mesma quantidade de fundos; enquanto no BitVM, o usuário precisa fornecer a mesma quantidade de fundos e depois ser reembolsado. Isso gera uma pressão maior nos fundos.
Os oráculos que podem assinar devem ser determinados no momento do depósito do OP-DLC, mas os usuários também podem se tornar oráculos e se auto-assinar.

Desvantagens:

Tempo de retirada é de 1 semana: essencialmente, o custo de tempo de fundos para OP-DLC e BitVM é o mesmo. A retirada de OP-DLC requer um período de desafio para receber os fundos; se o BitVM depender do adiantamento do usuário, o reembolso dos fundos adiantados também requer um período de desafio. Se o BitVM depender de outro operador para fornecer retiradas rápidas, isso significa que o custo de tempo de fundos equivalente ao operador deve ser pago como taxa de serviço.
O número de assinaturas necessárias para pré-assinatura está aumentando rapidamente e tem uma relação linear com a quantidade de CET. É necessário ter o máximo de CET possível para enumerar todos os resultados de retirada.

4. Conclusão

O OP-DLC introduz um mecanismo de desafio otimista no CET para garantir que o CET errado não seja liquidado e que o oráculo malicioso correspondente perca a participação; garantir que o CET correto seja executado e que a participação do oráculo seja desbloqueada e receba taxas. Essa abordagem pode resistir a ataques arbitrários e é simples e bonita.

Referências