Bitlayer Research: OP-DLC 2 Путь к простоте

Оригинальный заголовок: «Битлейер Core Technology: DLC и его оптимизационные соображения»

Автор оригинала: mutourend & lynndell, Группа исследований Bitlayer

1.Введение

Discreet Log Contract (DLC) - это фреймворк исполнения контрактов, основанный на оракулах, предложенный Таджем Драйей из Массачусетского технологического института в 2018 году. DLC позволяет двум сторонам осуществлять условные платежи в соответствии с заранее определенными условиями. Стороны заранее определяют возможные результаты, предварительно подписывают их, и используют эти предварительные подписи для осуществления платежей при подписании оракулом результата. Таким образом, DLC обеспечивает безопасность биткоин-депозитов и открывает новые возможности для децентрализованных финансовых приложений.

В предыдущей статье «Анализ принципа DLC и его оптимизационное мышление» были обобщены преимущества DLC в защите конфиденциальности, сложных контрактах и низком риске активов, а также проанализированы проблемы риска секретного ключа, риска доверия децентрализации и риска сговора в DLC, а также введены децентрализованные оракулы, пороговые подписи и оптимистичные механизмы вызова в DLC для решения различных проблем, с которыми он должен столкнуться. Поскольку в DLC участвуют три участника, Машина Oracle, Алиса и Боб, сговор между разными участниками относительно сложен, что приводит к относительно сложным стратегиям предотвращения. Сложные стратегии защиты несовершенны, не соответствуют простоте и лишены красоты простоты.

В Биткойне любое поведение любого участника должно быть реализовано через UTXO. Таким образом, использование механизма консенсуса для обеспечения правильности UTXO устойчиво к произвольным атакам. Точно так же в DLC любое поведение любой стороны должно быть реализовано через CET (Contract ution Transaction). Таким образом, если вы используете механизм оптимистичного вызова, чтобы убедиться в правильности CET, вы сможете противостоять произвольным атакам. В частности, после Машина Oracle застейкать ТК 2B вы сможете подписать CET. Добавьте в CET оптимистичную механику испытаний. Если CET не оспаривается или если проблема успешно решена, CET правильный, поселок может быть завершен, машина Oracle застейкает, и плата уплачивается; Если Oracle попытается творить зло, любой может успешно оспорить это, CET не Поселок, Машина Oracle потеряет свой застейкать, а Машина Oracle не сможет лонгующий подписать тот же CET. В русле простоты проспекта, с простой красотой.

2.Принцип DLC

Alice и Боб подписывают соглашение о ставках: хэш-значение блока номер ξ является четным или нечетным. Если оно нечетное, то Алиса выигрывает игру и может получить активы; если оно четное, то Боб выигрывает игру и может получить активы. С использованием DLC, с помощью оракула передается информация о блоке номер ξ, чтобы создать условную подпись, позволяющую правильной стороне выиграть все активы.

Эллиптическая кривая генерируется элементом G, порядок которого равен q. Оракул, Элис и Боб имеют свои собственные пары ключей: (z, Z), (x, X), (y, Y).

Транзакция финансирования (на блокчейне): Алиса и Боб создают совместную транзакцию финансирования, каждый из них блокирует 10 BTC в мультиподписном выводе 2 из 2 (публичный ключ X принадлежит Алисе, публичный ключ Y принадлежит Бобу).

Создание CET (вне блокчейна): Алиса и Боб создают CET 1 и CET 2 для траты на сделки с капиталом.

Машина Oracle вычисляет обязательство R = k · G, затем вычисляет S и S'

S := R - хеш (нечетноеЧисло, R) · Z

S' := R - хеш(ЧетноеЧисло, R) · Z

Открытые ключи Alice и Bob соответственно следующие:

PK^{Алиса} := X + S

PK^{Bob} := Y + S'.

Поселок (вне блокчейна->в блокчейне): При успешном создании первого Блок соответствующий CET 1 или CET 2 подписывается Машина Oracle в соответствии с хеш значением Блок.

Если хеш является нечетным, то Машина Oracle подписывает s следующим образом

s := k - хеш(НечетноеЧисло, R) z

Трансляция CET 1.

Если хеш-функция является четным числом, то оракул подписывает s'

s' := k - хэш(EvenNumber, R) z

Трансляция CET 2.

Вывод (на цепи): если оракул транслирует CET 1 , то Алиса может вычислить новый закрытый ключ и потратить заблокированные 20 BTC

sk^{Алиса} = x + s

Если оракул передает CET 2, то Боб может вычислить новый закрытый ключ и потратить заблокированные 20 BTC

sk^{Bob} = y + s'

Исследовательская группа Bitlayer обнаружила: в процессе, упомянутом выше, любое действие должно быть реализовано через CET. Таким образом, достаточно использовать механизм оптимистичного вызова, чтобы гарантировать правильность CET и сопротивляться любым атакам. Неверный CET будет оспариваться и не будет выполняться, а правильный CET будет выполнен. Кроме того, оракул должен понести ущерб за злонамеренное поведение.

Если вызываемая программа - f(t), то CET должен быть построен следующим образом

s = k - хэш(f(t), R) z.

Предположим, что фактическое значение хэша блока номер ξ - нечетное число, то есть f(ξ) = OddNumber. Оракул должен подписать CET 1.

s := k - хеш(НечетноеЧисло, R) z.

Но машина Oracle, совершив зло, изменяет значение функции на Even, подписывает CET 2:

s' := k - хеш(ЧетноеЧисло, R) z.

Таким образом, любой пользователь может с помощью f(ξ) ≠ OddNumber. Предотвратить такое злонамеренное действие.

3.OP-DLC 2

OP-DLC включает в себя следующие 5 правил:

• Оракул состоит из альянса, в котором участвует n участников, любой из которых может подписать CET. Заставьте 2B TC, чтобы оракул мог выпускать подписи и зарабатывать комиссионные. Если какой-то участник совершает злоупотребление, то он теряет залог. Другие участники могут продолжать подписывать CET, чтобы обеспечить вывод средств пользователя. Алиса и Боб также могут стать оракулом и действительно доверять только себе, минимизируя доверие.
• Если машина Oracle вредоносна и изменяет результат, то это приведет к ситуации, когда f 1(ξ) ≠ z 1, f 2(z 1) ≠ z 2. Поэтому любая сторона может вызвать вызов, то есть выполнить транзакцию Disprove-CET 1.
• Если машина Oracle подписывает CET честно, то любая сторона не может инициировать действительную сделку Disprove. Через 1 неделю CET можно правильно распределить. Кроме того, машина Oracle получает награду в 0.05 BTC в качестве залога за использование средств 2B TC на неделю и комиссии за честную подпись CET.
• Любой участник может бросить вызов Oracle_sign:

Если Oracle_sign честен, то нельзя предъявить возражение по CET 1 сделке, и через 1 неделю производится расчет CET. Кроме того, разблокируется залог оракула и получается комиссия;

Если Oracle_sign неправдивый, то есть, если кто-либо успешно инициировал транзакцию Disprove-CET 1 и успешно потратил выход connector A, то это подпись оракула будет недействительна, и он потеряет заложенные 2B TC. Кроме того, в будущем этот оракул не сможет снова подписать ту же самую сделку DLC с тем же результатом, и транзакция Settle-CET 1, зависящая от этого выхода connector A, будет навсегда недействительна.

• Вызов OP-DLC является Permissionless, что означает, что любая сторона может наблюдать, правильно ли выполняется контракт внутри OP-DLC. Таким образом, достигается минимизация доверия к оракулу. По сравнению с сетью Lightning, Алиса и Боб также могут быть офлайн. Потому что оракул будет расчет CET только с честной подписью, а злоумышленник будет вызван и наказан любым человеком.

Преимущества:

• Управление активами высоко, доверяй только себе: Алиса и Боб могут стать оракулами и подписывать CET. Механизм оптимистического вызова предотвращает неправильные CET, поэтому нельзя сделать ничего плохого. Таким образом, OP-DLC позволяет пользователям доверять только себе. В BitVM пользователь должен быть оператором и должен участвовать во всех последующих депозитах, чтобы доверять только себе. Если пользователь в качестве оператора участвует только в одном входе BitVM, который может быть законно возмещен любым другим (n-1) оператором, то в будущем этому пользователю все равно придется доверять другому оператору, чтобы получить средства. Права на возмещение оператора BitVM заблокированы на каждом отдельном входе депозита.
• Высокая степень использования средств: если пользователь доверяет только себе, то ему может потребоваться различное количество средств. В OP-DLC пользователь полагается на свои собственные средства, ему не нужно предоставлять равное количество средств; в то время как в BitVM пользователю необходимо предоставить равное количество средств и затем получить возмещение. Это приводит к большему давлению на средства.
• Подпись оракула должна быть определена при внесении депозита в OP-DLC, но пользователь также может стать оракулом и подписывать себя.

Недостатки:

• Вывод средств занимает 1 неделю: в основном, временные затраты на вывод средств для OP-DLC и BitVM равны и существуют. Для вывода средств OP-DLC необходимо пройти период вызова, чтобы получить средства; если BitVM полагается на пользовательское авансирование, то и в этом случае необходим период вызова для успешного возмещения авансированных средств. Если BitVM полагается на оператора для быстрого вывода средств, это означает, что временные затраты на предоставление оператору равной суммы средств выступают в качестве комиссии за обслуживание.
• Количество подписей, требующих предварительного подписания, растет быстро и линейно зависит от количества CET. Необходимо иметь как можно больше CET, чтобы перебрать все результаты вывода.

4. Заключение

OP-DLC вводит механизм оптимистического вызова в CET, чтобы гарантировать, что неправильные CET не расчетывались, и соответствующие заложенные средства злонамеренного оракула терялись; чтобы гарантировать, что правильные CET выполнялись, и заложенные средства оракула разблокировались и получили комиссионные. Этот способ может сопротивляться любым атакам и обладает простой красотой.

Ссылки

• Спецификация для конфиденциальных контрактов журнала
• Договоры о неразглашении журналов
• DLC принцип работы и оптимизация мыслей
• Оптимистичный Rollup
• BitVM 2: Проверка без разрешения на биткоине