Дослідження Bitlayer: OP-DLC 2 великих шляху до простоти

Оригінальний заголовок: «Основні технології Bitlayer: DLC та її оптимізаційні аспекти»

Автори оригінального тексту: mutourend та lynndell, група досліджень Bitlayer

1. Вступ

Discreet Log Contract (DLC) - це фреймворк виконання контрактів, що базується на оракул-машині, запропонований Таджем Драйя з Массачусетського технологічного інституту в 2018 році. DLC дозволяє двом сторонам здійснювати умовні платежі на підставі попередньо визначених умов. Сторони передбачають можливі результати і попередньо підписують їх, а при підписанні оракул-машиною результату використовують ці попередні підписи для здійснення платежу. Таким чином, DLC забезпечує нові застосування децентралізованого фінансування, забезпечуючи безпеку зберігання біткоїнів.

Попередня стаття «DLC Принциповий аналіз та його оптимізаційне мислення» узагальнила переваги DLC у захисті конфіденційності, складних контрактах та низькому ризику активів, а також проаналізувала проблеми Секретний ключ ризику, Децентралізація ризику довіри та ризику змови у DLC, а також ввела в DLC децентралізовані оракули, порогові сигнатури та механізми оптимістичних викликів для вирішення різних проблем, з якими вона має зіткнутися. Оскільки в DLC беруть участь три учасники, Оракул-машина, Аліса та Боб, змова між різними учасниками є відносно складною, що призводить до відносно складних стратегій запобігання. Складні захисні стратегії не є ідеальними, не відповідають простоті і позбавлені краси простоти.

У Біткойн будь-яка поведінка будь-якого учасника має реалізовуватися через UTXO. Таким чином, використання Механізм консенсусу для забезпечення правильності UTXO є стійким до довільних атак. Аналогічно, у DLC будь-яка поведінка будь-якої сторони має бути реалізована за допомогою CET (Contract ution Transaction). Тому, якщо ви використовуєте механізм оптимістичного виклику, щоб переконатися, що CET правильний, ви зможете протистояти довільним атакам. Зокрема, після Оракул-машина застейкати ТК 2В ви зможете підписати CET. Додайте оптимістичну механіку виклику до CET. Якщо CET не оскаржується, або якщо виклик успішно вирішено, CET є правильним, Розрахунок може бути завершено, Оракул-машина застейкати звільнено, а збір сплачено; Якщо Oracle спробує зробити зло, будь-хто може успішно оскаржити, CET не Розрахунок, Оракул-машина втратить застейкати, а Оракул-машина лонгуючий не зможе підписати той самий CET. Відповідно до простоти проспекту, з простою красою.

2. Принципи DLC

Alice та Bob уклали угоду про грошову ставку: вони ставлять на те, чи буде парним чи непарним хеш-значення вісімдесят дев'ятого блоку. Якщо воно непарне, Alice перемагає і може зняти активи; якщо воно парне, Bob перемагає і може зняти активи. Використовуючи DLC, через оракул-машину передається інформація про вісімдесяти дев'ятий блок, щоб скласти умовний підпис, який гарантує, що переможець отримає всі активи.

Генератор еліптичної кривої - G, порядок - q. Оракул-машина, Еліс та Боб мають свої пари ключів (z, Z), (x, X), (y, Y).

Транзакція фінансування (на ланцюжку): Еліс та Боб разом створюють транзакцію фінансування, в якій кожен з них блокує 10 BTC в мультипідписному виводі 2 з 2 (один публічний ключ X належить Еліс, а інший публічний ключ Y належить Бобу).

Побудова CET (поза блокчейном): Еліс і Боб створюють CET 1 і CET 2 для витрат на угоди про інвестування.

Оракул-машина розраховує зобов'язання R = k · G, а потім обчислює S і S'

S := R - хеш(Непарне, R) · Z

S' := R - хеш(Парне число, R) · Z

Отримані нові відкриті ключі для Alice та Bob наведено нижче:

PK^{Аліса} := X + S

PK^{Bob} := Y + S'.

Розрахунок (поза блокчейном->у блокчейні): Коли перший Блок успішно згенеровано, відповідний CET 1 або CET 2 підписується Оракул-машина відповідно до хеш значення Блок.

Якщо хеш є непарним, то оракул-машина підписує s, як показано нижче

s := k - хеш(Непарне число, R) z

Трансляція CET 1.

Якщо хеш парний, то оракул-машина підписує s'

s' := k - хеш(Парне число, R) z

Трансляція CET 2 .

Виведення коштів (у блокчейні): якщо оракул-машина транслює CET 1, тоді Еліс зможе обчислити новий закритий ключ і витратити заблоковані 20 BTC.

sk^{Аліса} = x + s

Якщо оракул-машина транслює CET 2, то Боб може обчислити новий закритий ключ і витратити заблоковані 20 BTC

sk^{Боб} = y + s'

Дослідницька група Bitlayer виявила, що в усьому цьому процесі потрібна реалізація CET. Тому просто потрібно використовувати оптимістичний механізм виклику, щоб забезпечити правильність CET і здатність протистояти будь-яким атакам. Неправильний CET буде викликаний і не виконується, а правильний CET буде виконуватися. Крім того, оракул-машина повинна понести витрати за зловмисну діяльність.

Якщо програма, яку слід викликати, є f(t), то CET слід будувати наступним чином

s = k - хеш(f(t), R) z.

Припустимо, що реальна ситуація полягає в тому, що хеш-значення блоку номер ξ є непарним (odd), тобто f(ξ) = Непарне число. Оракул-машина повинна підписати CET 1.

s := k - хеш(Непарне, R) z.

Але передбачувальна машина злочинна, змінила значення функції на Even, підписала CET 2 :

s' := k - хеш(Парне число, R) z.

Таким чином будь-який користувач може зіпсувати цю злочинну дію, виходячи з f(ξ) ≠ OddNumber.

3.OP-DLC 2

OP-DLC включає наступні 5 правил:

• Оракул-машина складається з альянсу з n учасників, будь-який з яких може підписати CET. Щоб Оракул-машина могла випускати підписи та заробляти комісії, необхідно застейкати 2B TC. Якщо який-небудь учасник зловживає, він втрачає свою заставу. Решта учасників можуть продовжувати підписувати CET, щоб забезпечити можливість виводу коштів користувача. Крім того, Аліса і Боб також можуть бути Оракул-машинами та дійсно довіряти лише собі, мінімізуючи довіру.
• Якщо оракул-машина зловживає та змінює результат, то це призведе до ситуації, коли f 1(ξ) ≠ z 1, f 2(z 1) ≠ z 2. Тому будь-яка сторона може викликати суперечку та здійснювати операцію Disprove-CET 1.
• Якщо оракул-машина підписує CET чесно, то будь-яка сторона не може ініціювати дійсну угоду про спростування. Через 1 тиждень CET може бути правильно розрахований. Крім того, оракул-машина отримує винагороду 0.05 BTC як заставу за використання коштів 2B TC протягом 1 тижня та комісію за чесний підпис CET.
• Будь-який учасник може кинути виклик Oracle_sign:

Якщо Oracle_sign є чесним, то неможливо ініціювати угоду Disprove-CET 1, через 1 тиждень відбудеться розрахунок CET. Крім того, розблоковується застава оракула та отримується комісія;

Якщо Oracle_sign недостовірний і будь-хто успішно запускає транзакцію Disprove-CET 1 і успішно витрачає вивід connector A, то підпис цього пророкування недійсний, втрачається застава в розмірі 2B TC, і в майбутньому цей пророкувальник не може більше використовувати однаковий підпис для того ж результату в контракті DLC, оскільки Settle-CET 1, що залежить від виводу connector A, буде постійно недійсним.

• Виклик у OP-DLC полягає в тому, що він є Permissionless, тобто будь-яка сторона може контролювати, чи виконується контракт у OP-DLC правильно. Це досягається шляхом мінімізації довіри до оракула. В порівнянні з мережею Lighting, Аліса і Боб також можуть бути офлайн. Це тому, що оракул буде розраховувати CET тільки за чесним підписом, тоді як зловживання оракулом може бути оскаржено та покарано ким завгодно.

Переваги:

• З високим рівнем контролю над активами, довіра тільки собі: Аліса та Боб можуть бути оракул-машинами, підписати CET. Механізм оптимістичного виклику перешкоджатиме неправильним CET, тому неможливо зловживати. Таким чином, OP-DLC може забезпечити, що користувач довіряє тільки собі. У BitVM користувач повинен діяти як оператор і обов'язково брати участь у всіх подальших операціях з поповнення, щоб мати можливість довіряти тільки собі. Якщо користувач, який виступає як оператор, бере участь лише у поповненні окремого UTXO BitVM, цей UTXO може бути законно анульований будь-яким іншим (n-1) оператором, тоді майбутні виведення цього користувача все ще потребуватимуть довіри до того, що інші оператори відшкодують його. Право на анулювання оператора BitVM заблоковано на окремому вхідному UTXO.
• Високий рівень використання коштів: якщо користувач довіряє тільки собі, то йому потрібна різна кількість коштів. У OP-DLC користувач робить виведення самостійно і не потребує використання рівної суми коштів як гарантії, тоді як у BitVM користувачу потрібно використовувати рівну суму коштів як гарантії, а потім подати звіт про витрати. Це створює більший фінансовий тиск.
• Оракул-машина, яка може підписувати, повинна бути підтверджена при внесенні платежу на OP-DLC, але користувач також може бути власною оракул-машиною і підписати себе.

Недоліки:

• Виведення коштів займає 1 тиждень: У дійсності, часові витрати на кошти для OP-DLC та BitVM є наявними і однаковими. Для виведення коштів з OP-DLC потрібно пройти період виклику, щоб отримати кошти; якщо BitVM залежить від самостійного покриття коштів користувачем, то для успішного повернення коштів також потрібно пройти період виклику. Якщо BitVM залежить від швидкого виведення коштів за рахунок іншого оператора, це означає, що часові витрати на кошти, рівні вартості коштів оператора, є комісією.
• Кількість підписів, які потрібно попередньо підписати, швидко зростає і пропорційна кількості CET. Потрібно мати якомога більше CET, щоб перерахувати всі результати виведення коштів.

4.заключення

OP-DLC вводить механізм оптимістичного виклику в CET, щоб гарантувати, що неправильні CET не будуть розраховуватися, і що відповідні зловмисні оракули втратять заставу; забезпечує виконання правильних CET, відкриває заставу оракула і отримує комісію. Цей спосіб може протистояти будь-якому нападу і має просту красу.

Довідкова література

• Специфікація для контрактів з конфіденційним журналом
• Дискретні контракти для ведення журналу
• Аналіз принципу роботи DLC та його оптимізаційні міркування
• Оптимістичний Роллап
• BitVM 2: Перевірка без дозволу на Bitcoin