ビットVMとOP-DLC:次世代ビットコインレイヤー2クロスチェーンブリッジ
この記事では、BTC引き出し橋とBitVM橋の不足を解消するためにBitlayerが提案したOP-DLC橋の最適化アイデアについて紹介しています。この技術により、ビットコインチェーン上で軽量スマートコントラクト機能が可能となり、中央当局への依存が低減し、取引の分散化と信頼性が向上します。要約:ZKブリッジは、Chain A上でスマートコントラクトを展開し、Chain Bからのブロックヘッダーと対応するゼロ知識証明を直接受信および検証し、クロスチェーンメッセージの妥当性を確認します。これは最も安全なブリッジ方式です。
- Optimistic/OPブリッジは、詐欺証明を使用して、無効なクロスチェーンメッセージに対してチェーン上で挑戦します。信頼できるチャレンジャーが1人だけでも、クロスチェーンブリッジの資金プールの安全性を確保できます。
- 技術的な制限により、ビットコインメインネットはZKブリッジを直接展開することはできませんが、BitVMと不正防止を通じて楽観的なブリッジを実現できます。BitlayerやCitreaなどのチームは、BitVMブリッジスキームを採用し、事前署名を導入し、チャネルの概念を組み込むことで、ユーザーが入金実行後の処理プロセスを事前に定義できるようにし、クロスチェーンブリッジがユーザーの入金を不正に流用するのを防ぎます。
- BitVMブリッジは基本的に「前払い-払い戻し」モデルで動作し、特定のオペレーターノードが引き出しユーザーに資金を提供します。オペレーターは定期的に公共の預金アドレスから払い戻しを申請することができます。オペレーターが虚偽の払い戻し申請を提出した場合、誰でも異議を申し立てて削減できます。
- 理論的には安全ですが、BitVMブリッジはライブネス/使いやすさに問題があり、資金の独立性やマネーロンダリング防止に関する特定のユーザーのニーズを満たしておらず(基本的には資金プールモデルを使用しているため)、Bitlayerはこれに対処します。OP-DLCブリッジソリューションを使用しています。このソリューションは、DLC.linkと同様に、チャネルとDLCに基づいた詐欺証明を導入し、オラクルの不正行為を防ぎます。
- BitVMや詐欺証明を実装する難しさを考慮すると、一時的な代替手段としてまずDLCブリッジが展開されます。オラクルの信頼リスクが解決され、より信頼性の高く成熟したサードパーティーのオラクルが統合されれば、DLCブリッジは現在の段階でのマルチサインブリッジよりも安全な引き出し検証スキームとなり得ます。
イントロダクション:昨年の銘刻ブーム以来、ビットコインエコシステムは急成長期に入りました。わずか半年で、BTCレイヤー2の旗の下にあるプロジェクト数が100近くに達しました。それは単に機会と詐欺が共存する新たな混沌の大陸となりました。現在のビットコインエコシステムはすでにEthereum、Cosmos、Celestia、CKBおよびビットコインのネイティブエコシステムの「多民族のるつぼ」と言っても過言ではありません。権威ある声の不足に加え、ビットコインエコシステムは19世紀のそれと同じような状況です。合わせて、あらゆる分野から力を引き寄せる新世界となっています。これにより、Web3の物語全体に繁栄と活力がもたらされる一方で、莫大なリスクも導入されています。
多くのプロジェクトが、技術的な解決策をリリースせずにハイプをかけ始め、ネイティブレイヤー2の名前を使用し、ビットコインのメインネットワークのセキュリティを完全に継承できると主張しています。一部の人は、宣伝手法を使用して概念を作り出し、自分自身の優越性を宣伝するために一連の奇妙な名詞や用語を発明しています。自慢することがビットコインエコシステムの現状であるにもかかわらず、客観的な判断を下す多くのトップKOLがまだ存在しています。
つい最近、ブロックチェーンブラウザMempoolの創設者であるMonanautは、ビットコインエコシステムの現在の問題を公然と批判しました。彼は、ビットコインのLayer 2が単にマルチシグネチャの出金ブリッジを使用し、ユーザーが信頼できる形式でいつでも資産を引き出すことを許可しない場合、そのようなプロジェクトは本物のLayer 2ではないと鋭く指摘しました。興味深いことに、Vitalikは以前に、Layer 2は少なくともマルチシグネチャに完全に依存するシステムよりもセキュリティ面でより安全であるべきだと指摘していました。
MonanautとVitalikは、Bitcoin Layer 2の技術的な問題を率直に指摘しました。多くのL2引き出し橋は基本的にマルチシグネチャ橋です。いくつかの有名な機関がそれぞれ鍵を持っているか、またはPOSに基づいた分散型署名が使用されていますが、いずれの場合も、そのセキュリティモデルは主に多数の正直な前提に基づいています。つまり、多数のマルチシグネチャ参加者が悪事を働くことを前提としていません。
信用背景に大きく依存するこの種の出金ブリッジソリューションは、決して長期的な解決策ではありません。歴史は、マルチシグネチャーブリッジには遅かれ早かれさまざまな問題が生じることを私たちに教えてくれました。唯一の信頼が最小限に抑えられるか、資産の保管が完全に信頼できない方向に向かう傾向があります。これだけの方法で、時の試練とハッカーに耐えることができます。しかし、ビットコインエコシステムの現状は、多くのプロジェクト関係者が出金ブリッジのための技術ロードマップさえ発表していない状況です。ブリッジがどのように信頼されるか、または最小限に抑えられるかについての確立されたデザインアイデアがありません。
しかし、これがビットコインエコシステム全体のすべてではありません。まだ一部のプロジェクトマネージャーが、出金ブリッジの最適化アイデアについて意見を述べています。テキストでは、BitlayerとCitreaのBitVMブリッジを簡単に分析し、BitVMブリッジの欠点に対処するためにBitlayerが提案したOP-DLCブリッジを紹介します。これにより、より多くの人々がクロスチェーンブリッジのリスクや設計思想を理解できるようになります。これは、ビットコインエコシステムの大多数の参加者にとって重要です。
オプティミスティックブリッジ:詐欺証明に基づくブリッジ検証スキーム
実際、クロスチェーンブリッジの本質は非常に単純で、それはチェーンBに特定のイベントがチェーンAで発生したことを証明することです。たとえば、ETHからPolygonに資産をクロスさせる場合、ETHチェーン上の特定のアドレスに資産を転送したことを証明するためにクロスチェーンブリッジの支援が必要であり、その後Polygonチェーン上で同額の資金を受け取ることができます。
従来のクロスチェーンブリッジは通常、ウィットネスマルチシグネチャを使用します。彼らはチェーンの下にいくつかの証人を指定します。証人は各公共チェーンのノードを実行し、クロスチェーンブリッジの支払いアドレスに資金を預けた人がいないか監視します。
このタイプのクロスチェーンブリッジのセキュリティモデルは、基本的にマルチシグネチャウォレットと同じです。信頼モデルは、M/Nなどのマルチシグネチャ設定方法に従って決定されなければならず、最終的には正直な大多数の仮定に従うことになります。つまり、ほとんどの公証人はデフォルトで悪意を持っておらず、耐障害率は比較的限られています。以前に発生した多くの大規模なクロスチェーンブリッジ盗難事件は、基本的にこのタイプのマルチシグネチャブリッジで発生しており、盗難やハッカーによるものです。
一方、詐欺証明プロトコルに基づく「楽観的ブリッジ」とZKに基づく「ZKブリッジ」ははるかに安全です。 ZKブリッジを例に取ると、対象チェーンに専用のバリデーターコントラクトを設定して、チェーン上で引き出し証明を直接検証し、オフチェーンの証人への依存を排除します。
例えば、ETHとPolygonを横断するZKブリッジが、現時点ではVerifierと呼ばれるPolygon上の検証者契約を展開します。ZKブリッジのRelayerノードは、最新のEthereumブロックヘッダーと妥当性を証明するZKプルーフをVerifierに転送します。Verifierはそれを検証します。これは、Verifier契約がPolygonチェーンで同期し、最新のEthereumブロックヘッダーを検証することに相当します。ブロックヘッダーに記録されたMerkleルートは、ブロックに含まれるトランザクションセットと関連があり、特定のトランザクションがブロックに含まれているかどうかを検証するのに使用できます。
Ethereumのブロックの高さが101である場合、ETHからPolygonへのクロスチェーン転送ステートメントが10件含まれている場合、Relayerはこれら10件のトランザクションに関連するMerkle Proofを生成し、その証明をPolygonチェーン上のVerifier契約に提出します。
EthereumブロックNo.101には、ETHからPolygonへのクロスチェーン取引が10件含まれています。もちろん、ZKブリッジはMerkle ProofをZKに変換し、ZK ProofをVerifier契約に直接提出できます。この全プロセス中、ユーザーはクロスチェーンブリッジのスマートコントラクトに穴のないこと、およびゼロ知識プルーフ技術自体が安全かつ信頼性があることを信頼する必要があります。従来のマルチシグネチャブリッジのような多くの信頼前提を導入する必要はありません。
そして、「オプティミスティックブリッジ」は少し異なります。一部の楽観的なブリッジは、証人に類似した設定を保持していますが、詐欺証明やチャレンジウィンドウを導入しています。証人がクロスチェーンメッセージのマルチサインを生成した後、それは対象チェーンに提出されますが、その有効性はすぐに認識されません。有効であると判断される前に、ウィンドウ期間を経過し、誰も疑問を投げかけなければなりません。実際、これはオプティミスティックロールアップのアイディアにかなり類似しています。もちろん、「オプティミスティックブリッジ」には他の製品モデルもありますが、最終的には、詐欺証明プロトコルによってセキュリティが保証されています。
M/Nマルチシグネチャブリッジの信頼仮定はN-(M-1)/Nです。ネットワーク内の悪意のある者の数が最大でM-1であると仮定し、正直な者の数が少なくともN-(M-1)であるとする必要があります。ZKブリッジの信頼仮定は無視できる一方、詐欺証明に基づく楽観的ブリッジの信頼仮定は1/Nです。N人の証人のうちたった1人が正直であり、ターゲットチェーンに提出された無効なクロスチェーンメッセージに異議を唱えることを望んでいれば、ブリッジのセキュリティを確保することができます。
現在、技術上の制限により、ビットコインをレイヤー2に入金する方向のZKブリッジのみ実装可能です。逆方向でレイヤー2からビットコインチェーンへの引き出しを行う場合、マルチシグブリッジやオプティミスティックブリッジ、またはチャネルのようなモデルのみがサポートされています(以下で説明するOP-DLCブリッジは、よりチャネルに似ています)。ビットコインチェーンにオプティミスティックブリッジを実装するためには、詐欺証明を導入する必要があり、bitVMはこの技術の実装に良い条件を作り出しています。
以前の記事"BitVMのミニマリスト解釈:BTCチェーン上で詐欺証明を検証する方法"BitVMの不正証明の本質は、オフチェーンで行われる複雑な計算タスクを多数の単純なステップに分解し、その後、特定のステップをビットコインチェーンで直接検証することです。この考え方は、ArbitrumやOptimismなどのEthereum楽観的ロールアップに類似しています。
(BitVM2のドキュメントには、コンピューティングタスクがラムポート署名を介して大量の中間ステップに分割され、その後誰でも中間ステップに挑戦できると記載されています)
もちろん、上記の声明はまだ比較的曖昧ですが、ほとんどの人々が詐欺証明の意味を既に理解していると信じています。今日の記事では、全体的なスペースの制限のため、BitVMおよび詐欺証明プロトコルの技術的な実装の詳細を説明する意図はありません。なぜなら、これには一連の複雑な相互作用プロセスが関わっているからです。
製品およびメカニズム設計の観点から、BitLayer、Citrea、BOB、さらにBitVMによって公式に設計されたBitVMブリッジについて簡単に紹介し、BitlayerがOP-DLCブリッジを介してBitVMブリッジのボトルネックを緩和する方法を示し、ビットコインチェーン上で優れた出金ブリッジソリューションを設計するかをご紹介します。
(Bitlayerのブリッジングソリューションの概略図)
BitlayerとCitreaの間のBitVMブリッジ原理の簡単な分析
以下、BitLayer、Citrea、およびBobによって発表されたBitVMブリッジソリューションを使用して、BitVMブリッジの一般的な動作プロセスを説明するための資料として使用します。
公式文書および技術ブログにおいて、上記のプロジェクトチームは、BitVM出金ブリッジ(現在は理論段階)の製品設計アイデアを明確に説明しています。ユーザーがBitVMブリッジを介して出金する際、レイヤー2のブリッジ契約を使用して出金明細を生成する必要があります。出金明細には、以下の主要パラメータが指定されています:
引き出し元がL2で破壊する必要があるマップされたBTCの数(1 BTCなど);
引き出し者が支払う意図のあるクロスチェーン取扱手数料(0.01 BTCと想定される);
L1での引き出しアドレスはL1_receiptです;
出金者の出金額(すなわち、1−0.01=0.99BTC)
その後、上記の引き出し明細はレイヤー2ブロックに含まれます。BitVMブリッジThe Relayerノードはレイヤー2ブロックを同期し、そこに含まれる引き出し明細を監視し、それをオペレーターノードに転送します。その後、オペレーターノードは引き出しを行うユーザーに支払います。
ここで注目すべきは、オペレーターがまず自腹でビットコインチェーン上のユーザーに支払いを行い、つまり、BitVMブリッジの資金を「前貸し」し、その後BitVMブリッジの資金プールから補償を申請することです。
払い戻しを申請する場合、オペレーターはビットコインチェーンでの前払いの証明を提供する必要があります(つまり、L1で引き出しユーザーが指定したアドレスに送金したことを証明し、ビットコインブロックに含まれる特定の送金記録を抽出する必要があります)。同時に、オペレーターは、L2で出金者が作成した出金明細書も発行しなければなりません(Merkle Proofにより、発行された出金明細書はL2ブロックからのものであり、何もないところから捏造されたものではないことが証明されます)。後、オペレーターは以下を証明する必要があります。
ビットVMブリッジの代わりに引受人に前払いされた運営者による資金は、引受人が明細書で要求した金額と等しい;
オペレーターが払い戻しを申請する際、払い戻し額は、レイヤー2で引き出しによって破棄されたマップされたBTCの額を超えてはなりません。
オペレーターは確かにある期間内にすべてのL2-L1引き出し明細を処理し、それぞれの引き出し明細はビットコインチェーン上の引き出し転送記録に一致する可能性があります。
これは基本的には、オペレータが前払い金額について嘘をついたり、出金明細を処理しないことに対する罰則です(これにより、出金ブリッジの検閲耐性問題を解決できます)。オペレータは、オフチェーンで前払い金証明書と出金明細の主要なフィールドを比較し、検証して、両方に関与するBTCの金額が等しいことを証明する必要があります。
出金ブリッジオペレーターが進行金額を虚偽報告した場合、それはオペレーターがL1の支払証明書とL2の引き出し者が発行した引き出し明細書が一致すると主張しているが、実際の状況は両者が一致していないことを意味します。
このようにして、支払い証明のZKP = 引き出し明細のZKPが間違っていることが証明されます。このZKPが公開される限り、Challangerはどのステップが間違っているかを指摘し、BitVM2の不正証明プロトコルを通じてそれに挑戦することができます。
強調すべきは、Bitlayer、Citrea、BOB、ZKBaseなどがすべて最新のBitVM2ルートを採用していることです。これはBitVMソリューションの新バージョンです。このソリューションはオフチェーンの計算タスクをZK化し、つまりオフチェーンの計算プロセスにZK Proofを生成し、次にProofを検証し、そしてZKPの検証プロセスをBitVMの形式に適合させて後続のチャレンジを容易にします。
同時に、Lamportと事前署名を使用することにより、元のBitVMの多ラウンドインタラクティブチャレンジを単一ラウンドの非インタラクティブチャレンジに最適化することができ、チャレンジの難易度が大幅に低下します。
BitVMのチャレンジプロセスには、「コミットメント」と呼ばれるものの使用が必要です。つまり、「コミットメント」です。では、「コミットメント」とは何かを説明しましょう。一般的に、ビットコインチェーン上で「コミットメント」を公開する人は、オフチェーンに保存された特定のデータ/オフチェーンで発生する計算タスクが正確であると主張し、チェーン上に公開された関連する記述が「コミットメント」であると主張します。
コミットメントは、大量のオフチェーンデータのハッシュとしておおよそ理解できます。コミットメント自体のサイズは非常に小さく圧縮されることが多いですが、マークルツリーなどの方法を通じて大量のオフチェーンデータにバインドすることができ、これらの関連するオフチェーンデータをチェーンにアップロードする必要はありません。
BitVM2およびCitreaとBitLayerのBitVMブリッジソリューションでは、誰かがチェーン上で出された出金ブリッジオペレーターによるコミットメントに問題があると考え、そのコミットメントが無効なZKP検証プロセスと関連付けられていると思った場合、彼または彼女はチャレンジを開始でき、チャレンジ権限は無許可です。(内部のインタラクションプロセスは比較的複雑であり、ここでは説明されません)
オペレーターは、BitVMファンドプールのために資金を前貸しし、引き出しに支払うためにファンドプールに請求し、申請する際に、オペレーターは、L1の引き出しに転送する資金が引き出しと等しいことを証明するためにコミットメントを発行する必要があります。支払人は、L2でお金を受け取りたいと宣言します。コミットメントが詐欺証明ウィンドウを通過し、異議が申し立てられていない場合、オペレーターは必要な払い戻し金額を引き出すことができます。
ここでは、BitVMブリッジの公共ファンドプールがどのように維持されているかを説明したいと思います。これはクロスチェーンブリッジの中でも最も重要な部分です。クロスチェーンブリッジが引き出し先に支払うことができる資金は、預金者や他のLPが貢献した資産から来ており、オペレーターが前払いしたお金は最終的に公共ファンドプールから引き出されるため、それは完全に資金に依存しています。移転の結果、BitVMブリッジによって吸収される預金者の預金額は引き出し者の引き出し額と等しくなければなりません。したがって、預金資金を保持する方法は非常に重要な問題です。
ほとんどのBitcoin Layer 2ブリッジングソリューションでは、公共の資産は多重署名を介して管理されることがよくあります。ユーザーの預金は多重署名口座に集約されます。引き出しが必要な場合、この多重署名口座が支払いを行う責任があります。このソリューションには明らかに莫大な信頼リスクがあります。
BitlayerとCitreaのBitVMブリッジは、Lightning Networkとチャネルに類似したアイデアを採用しています。入金する前に、ユーザーはまずBitVMアライアンスと連絡を取り、後者に事前署名を依頼して、以下の効果を実現します。
ユーザーが入金を再充電アドレスに転送した後、お金は直接Taprootアドレスにロックされ、ブリッジのオペレーターのみが引き出すことができます。さらに、オペレーターは、ユーザーに引き出し資金を先に支払った後、上記の入金のTaprootアドレスから資金を請求するために払い戻しを申請することができます。チャレンジ期間が終了すると、オペレーターは一定額のユーザー預金を引き出すことができます。
BitVMブリッジソリューションでは、N人のメンバーによって形成されたBitVM連盟(BitVM Federation)がユーザーの入金をスケジュールします。しかし、これらのN人のメンバーは、ユーザーが指定されたアドレスに送金する前にBitVM連盟にプリサインすることを要求するため、ユーザーが入金を不正に利用することはできません。
(BitVM2の楽観的なブリッジソリューションの図)
高レベルで要約すると、BitVM Bridgeはチャネルやライトニングネットワークに類似したアイデアを採用し、ユーザーが「自分で検証」できるようにし、事前に署名することによってBitVMアライアンスが許可なく預金プールを操作することを防ぎます。預金プールの資金はオペレーターの返金にのみ使用できます。オペレーターが前払い金額を誤って報告した場合、誰でも詐欺の証拠を提出してチャレンジすることができます。
上記の解決策を実装できれば、BitVMブリッジは最も安全なBitcoin引き出しブリッジの一つになります: このブリッジにはセキュリティ上の問題はありませんが、利用可能性/ライブネスの問題があります。ユーザーがBitVMに資金を預け入れようとすると、BitVMアライアンスによって検閲されたり協力を拒否されたりする可能性があり、資金を正常に預け入れすることができなくなります。ただし、これはセキュリティには関係ありませんが、ライブネス/利用可能性の問題です。
しかし、BitVMブリッジの実装は比較的困難です。さらに、資金の透明性に比較的高い要求を持つ一部の大口投資家のニーズを満たすことができません。これらの人々はマネーロンダリングの問題に関与する可能性があり、自分の資金を他人の資金と混ぜたくないため、BitVMブリッジは預金者の資金を一律に受け入れます。実際、それは多くの資金が混ざるプールです。
上記のBitVMブリッジアクティビティ問題を解決し、特定のニーズを持つ人々に独立したクリーンな資金の出入り口を提供するために、BitLayerチームはOP-DLCと呼ばれる追加のクロスチェーンブリッジソリューションを追加しました。BitVM2の楽観的なブリッジに加えて、DLC.linkに類似したDLCブリッジを使用します。ユーザーには、BitVMブリッジとOP-DLCブリッジの2つの入口と出口が提供され、BitVMブリッジおよびBitVMアライアンスへの依存を軽減します。
(DLCの配線図)
DLC: 慎重なログ契約
DLC(Discreet Log Contracts)は、MITのデジタル通貨イニシアティブによって提案されたディスクリートログ契約と呼ばれます。この技術は、Bitcoin上で軽量スマート契約を実装するために最初に使用されました。契約の内容をチェーンにアップロードする必要はありません。オフチェーンのインタラクティブコミュニケーションや事前署名などの手法を通じて、プライバシー保護型のスマート契約機能がBitcoinチェーン上に実装されています。以下では、ギャンブルのケースを使用して、DLCの動作原理を説明します。
アリスとボブが3日後に行われるレアル・マドリードとバルセロナの試合の結果に賭けたいとします。それぞれが1 btc支払います。レアル・マドリードが勝った場合、アリスは1.5 BTCを得ることができ、ボブは0.5 BTCしか戻ってこないため、アリスが0.5 BTCを稼ぎ、ボブが0.5 BTCを失います。バルセロナが勝った場合、アリスは0.5 BTCしか戻ってこず、ボブは1.5 BTCを手に入れることができます。引き分けの場合、両者がそれぞれ1 BTCを取り戻します。
上記のギャンブルプロセスを信頼できるものにしたい場合、どの当事者も不正行為を防ぐ方法を見つける必要があります。単に2/2マルチサインまたは2/3マルチサインを使用するだけでは明らかに信頼性が不足しています。DLCはこの問題に対する独自の解決策を提供しており(第三者オラクルに依存しています)、全体のワークフローは大まかに4つの部分に分けることができます。
以前のアリスとボブを例に取ると、まず、両者はオフチェーンで資金取引を作成します。これにより、2/2マルチサインアドレス上でお互いの1 BTCをロックすることができます。この資金取引が有効になると、マルチサインアドレス内の2 BTCは、支出する前に両当事者の承認が必要となります。
もちろん、このファンド取引はまだチェーンにアップロードされていませんが、チェーンから離れたアリスとボブのクライアントにローカルに残っています。この取引が有効になった後の結果を全員が知っています。現在、両者は理論的な控除を行い、その結果に基づいて一連の合意に達するだけです。
DLC作成の最初の段階では、私たちが決定できるのは、両者が将来的に1 BTCをマルチサインアドレスにロックするということです。
第2ステップでは、両当事者は可能な将来のイベントや結果を推論し続けます。例えば、サッカーマッチの結果が発表されたとき、アリスが勝ち、ボブが負ける可能性や、アリスが負け、ボブが勝つ可能性、引き分けなど、複数の可能性が考えられます。これにより、前述の2/2マルチサインアドレス内のビットコインの異なる分配結果につながります。
異なる取引指示によって異なる結果が必要です。将来的にチェーンにアップロードされる「これらの取引指示は、CET、つまり契約実行取引」と呼ばれます。アリスとボブはすべてのCETを事前に推測し、すべてのCETを含む取引データセットを生成する必要があります。
例えば、上記で言及されたアリスとボブの賭けの可能な結果に基づいて、アリスは次のCETを作成します:
CET1:アリスはマルチサインアドレスから1.5 BTCを受け取ることができ、ボブは0.5 BTCを受け取ることができます;
CET2:Aliceはマルチサインアドレスから0.5 BTCを取得でき、Bobは1.5 BTCを取得できます;
CET3:両者とも1BTCを受け取ることができます。
CET1を例に取ります(アリスが1.5 BTCを受け取り、ボブが0.5 BTCを受け取ります):
このトランザクションの意味は、マルチシグアドレスで1.5 BTCをタプルートアドレスに移動し、それはアリスとオラクルマシンの出力結果によってトリガーされ、残りの0.5 BTCをボブのアドレスに移動することです。この時点での対応イベントは、レアルマドリードが勝利すると、アリスが0.5 BTCを獲得し、ボブが0.5 BTCを失うことです。
確かに、これらの1.5ビットコインを使うには、アリスはオラクルから送られた「レアル・マドリードが勝つ」結果の署名を取得しなければなりません。 言い換えれば、オラクルがメッセージ「レアル・マドリードが勝つ」と出力したときだけ、アリスは1.5ビットコインを送金できます。 CET2およびCET3の内容については、同様の方法で推測できるため、ここでは詳細には立ち入りません。
CETは基本的にチェーンにアップロードする必要がある取引であることに注意する必要があります。アリスがCET1を事前にブロードキャストした場合、または「バルセロナが勝利する」というケースであっても、CET1をチェーンに配置しても、「レアル・マドリードが勝利した後にのみ正常にトリガーされる取引になります。」
前の図で、CET1がチェーンに置かれた後、元のマルチサインアドレスにロックされた2 BTCが転送され、0.5 BTCがBobに転送され、1.5 BTCがTaprootアドレスに転送されることを述べました。オラクルマシンは「Real Madridが勝利した後のみ」AliceがTaprootアドレスにロックされたBTCをアンロックできます。以下に示す結果。
同時に、このTaprootアドレスはタイムロックの対象です。アリスがタイムロックによって指定されたウィンドウ期間内に1.5 BTCを正常に引き出すことができない場合、ボブは直接お金を受け取る権利を持ちます。
したがって、オラクルが正直である限り、アリスは1.5 BTCを持ち去ることはできません。タイムロック期間が切れると、ボブは1.5 BTCを持ち去ることができます。チェーンにCET1がアップロードされたときにボブに直接送金された0.5 BTCに加えて、すべてのお金は最終的にボブのものになります。
アリスにとって、最終的に勝っても負けても、最も有益なことは、正しいCETをチェーンに載せることです。無効なCETをチェーンに載せると、彼女はより多くのお金を失うことになります。
実際には、上記のCETが構築された際に、Taprootのschnorr署名が改良され、これはオラクル+イベントの結果の公開鍵を使用して異なる結果の独立したアドレスを構築すると理解できます。その後、特定の結果に対応するアドレスにロックされたBTCを使うには、オラクルマシンがその結果に対応する署名を発表するときだけです。
もちろん、ここには追加の可能性があります。もしアリスが自分が負けたことを知っていて、単に彼女がチェーンに構築したCET1を置かない選択肢があるとしたらどうでしょうか?これは簡単に解決できます。なぜならBobは、“アリスが負け、Bobが勝つ”という問題に対するカスタムCETを構築することができます。このCETによって達成される効果は基本的にアリスが構築したCETと同じですが、具体的な詳細は異なりますが、結果は同じです。
上記は、最も重要なCET構築プロセスが記述されています。DLCの第3ステップは、AliceとBobがコミュニケーションを取り、相手が構築したCETトランザクションをチェックし、CETに自分の署名を持参することです。チェックが正しい場合、お互いを信頼し、それぞれが1 BTCを投資し、最初にAliceとBobの2/2マルチ署名アドレスをロックし、その後、一定のCETがチェーンにアップロードされるのを待って、その後続プロセスがトリガーされます。
最終的に、オラクルマシンが結果を発表し、結果についてオラクルマシンの署名を取得した後、どちらの当事者も正しいCETをチェーンに配置し、マルチサインアドレスにロックされた2 BTCを再分配することができます。敗者が最初に間違ったCETをチェーンに配置した場合、正しいCETをチェーンに配置した場合、すべての資金を失います。正しいCETをチェーンに配置した場合、敗者は0.5 BTCを取り戻すことができます。
誰かが尋ねるかもしれません。DLCは通常の2/3マルチサインとどのように異なるのでしょうか?まず第一に、2/3以上が署名された場合、2つの当事者が協力してすべての資産を盗むことができますが、DLCは事前にCETセットを構築することですべてのシナリオを制限することを相手に許可します。オラクルが共謀に参加したとしても、引き起こされる損害はしばしば制限されます。
第二に、マルチシグネチャは、特定の取引に署名するためにすべての当事者の署名が必要であるのに対し、DLCの設定では、オラクルは特定のイベントの結果にのみ署名する必要があります。CET/取引の内容を知る必要はありません。アリスとボブの2人がいることさえ知る必要はありません。ただ普通のオラクルのように行動するだけです。ユーザーとは機械のように通常通りやり取りするだけです。
我々は、DLCの本質は、マルチシグネチャ参加者の信頼をオラクルの信頼に変えることだと考えることができます。オラクルマシンが悪事に加担しない限り、DLCプロトコルの設計が十分に信頼できることが保証されます。理論的には、DLCは比較的成熟した完全なサードパーティのオラクルを利用して悪事を回避することができます。DLC.linkとBitLayerは、このDLCの特徴を利用してブリッジの信頼問題を第三者のオラクルに移すことができます。
さらに、BitlayerのDLCブリッジは自己構築オラクルノードもサポートし、これにさらに詐欺証明のレイヤーを追加します。自己構築のオラクルがチェーン上に無効なCETを置くと、誰でもそれに挑戦できます。OP-DLCブリッジの原則に関しては、以下で簡単に説明します。
OP-DLCブリッジ:DLCチャネル+詐欺証明
入金と出金の全プロセスからOP-DLCブリッジの動作原理を説明します。AliceがOP-DLCブリッジを介してL2に1 BTCを入金すると仮定します。2段階トランザクションメカニズムに従い、Aliceさんはプリファンドトランザクションを生成します。以下に示す通りです:
実際には、アリスとBitVMアライアンスメンバーが共同で制御するTaprootアドレスに1 BTCを転送し、その後、CETを作成する一連のプロセスを開始します。 BitVM Bridge Allianceのメンバーの1人がアリスの入金リクエストに協力しない場合、時間ロックの有効期限が切れた後、アリスはすぐにお金を引き出すことができます。
BitVMアライアンスのメンバーがアリスと協力することを望む場合、両者はまずオフチェーン通信を利用して正式なファンド入金取引(まだチェーン上ではない)と引き出しシナリオでのすべてのCETを生成することができます。CETの生成と検証が完了した後、両者はファンド取引をチェーンに提出することができます。
ファンド取引の立会人/署名データで、アリスはレイヤー2で支払い先住所を指定します。ファンドトランザクションがチェーンにアップロードされた後、アリスは上記のファンドトランザクションデータをレイヤー2のブリッジコントラクトに送信して、ビットコインチェーンでの入金アクションを完了し、L2ブリッジコントラクトが指定された支払いアドレスにトークンをリリースする資格があることを証明できます。
ファンド取引がトリガーされると、入金は実際にはAliceとBitVM連合メンバーによって共同で制御されるTaprootマルチサインアドレスにロックされます。ただし、マルチサインはCETを介してアドレスにロックされたBTCのみをアンロックできることに注意する必要があり、BitVM連合は理由もなくお金を移動することはできません。
次に、アリスとBitVMアライアンスによって事前に構築されたCETを分析しましょう。これらのCETは将来の引き出しの可能なシナリオに対応するために使用されます。例えば、アリスは1 BTCを預け入れていましたが、最初の引き出し時には0.3 BTCしか引き出しておらず、残りの0.7 BTCはBitVMアライアンスの公共基金プールに引き渡されました。制御するため、お金を引き出したい場合は、上記のBitVMブリッジを通る必要があります。
または、これらの0.7 BTCを使用して新しいプリファンドデポジットを開始することもできます。DLCブリッジに新たに追加された資産として、上記の資金取引とCET構築プロセスを繰り返すことができます。
上記のプロセスは理解するのが難しいというわけではありません。実際に、預金者のアリスとビットVM同盟はお互いに相手方として行動し、異なる金額の引き出しイベントのためにCETを作成し、その後、アリスによってイニシエートされた引き出し明細をレイヤー2でオラクルが読み取り、アリスがトリガーしたいトランザクションを判断します。1 CET(いくら引き出したいか)。
ここでのリスクは、オラクルマシンがBitVMアライアンスと共謀する可能性があることです。たとえば、アリスが0.5 BTCを引き出したいと宣言しますが、オラクルマシンが引き出し声明を偽造し、「アリスが0.1 BTCを引き出し、BitVMアライアンスが0.9 BTCを受け取る」という結果につながる可能性があります。チェーン上のエラーCET。
この問題にはいくつかの解決策があります。1つ目は、比較的完全な設計を持つサードパーティのオラクルを使用することです。このような共謀を防ぐ(BitVMアライアンスが現在オラクルと共謀するのは非常に困難です)、またはオラクルにステーキングを実行させることです。オラクルは定期的にビットコインチェーン上でCommitmentを公開する必要があり、Withdrawrの引き出しリクエストを誠実に処理したことを述べます。誰でもBitVMの不正証明プロトコルを通じてCommitmentに挑戦することができます。挑戦が成功した場合、悪意のあるオラクルはスラッシュされます。
OP-DLCブリッジの設計により、ユーザーは常に自分の資産に「参加」でき、資産がBitVM同盟によって不正使用されることを防ぐことができます。さらに、このようなチャネルのような設計は、ユーザーにより多くの自律性をもたらし、自分の資金を他人の資金と混ぜる必要もありません。これはむしろP2Pピアツーピアの入出金ソリューションに似ています。
また、BitVMソリューションが実装されるまでには時間がかかることを考慮すると、実装される前に、DLCブリッジは単純なマルチシグネチャソリューションと比較して、より信頼性の高いブリッジ処理モデルとなります。このソリューションは、BitVMブリッジと並行して使用される2つの主要な入出金口としても使用できます。そのうちの1つが失敗した場合、ユーザーは他の入口を使用することができ、これは良い障害耐性の方法でもあります。
要約する
BitLayerとCitreaのBitVMブリッジソリューションは基本的に「前払い返金」モデルであり、引き出しユーザーにお金を送金するための専用のオペレーターノードがあり、オペレーターは定期的に一般の預金アドレスに返金を申請することができます。オペレーターが虚偽の返金申請を行った場合、誰でもそれに異議を唱え、削減することができます。
BitVM2のソリューションは、事前署名を導入し、ユーザーが正式な預金を行う前にポストデポジット処理を制限するためのチャネルのアイデアを組み合わせ、クロスチェーンブリッジの公務員にユーザーの預金を横領する機会を与えません。
この橋に理論上のセキュリティの問題はありませんが、生存性/可用性の問題があり、特定のユーザーの資金の独立性とマネーロンダリングへの対応ニーズを満たすことができない(基本的には資金プールモデルです)、そして実装することも非常に難しいです。
このため、BitlayerはDLC.linkに似たOP-DLCというブリッジソリューションを追加し、チャネルとDLCの基礎に詐欺証明を導入して、DLCブリッジのオラクルマシンが悪事を働くのを防止しています。
しかし、BitVMは実装が難しすぎるため、まずDLCブリッジが実装され、一時的な代替となります。ただし、オラクルマシンの信頼リスクが解決され、より信頼性の高い、成熟した第三者オラクルマシンが統合されれば、DLCブリッジはこの段階でマルチシグネチャブリッジよりも安全な引き出し検証ソリューションになりうるでしょう。
免責事項:
- この記事は[から転載されています极客web3]. すべての著作権は元の著者に帰属します [Faust & Nickqiao]. もしこの転載に異議がある場合は、お問い合わせください。Gate Learnチームは、promptly それを処理します。
- 免責事項:この記事で表現されている見解や意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
- Gate Learnチームによって他の言語への記事の翻訳が行われます。特に言及されていない限り、翻訳された記事のコピー、配布、または盗用は禁止されています。
関連記事
ETHを賭ける方法は?
スポットビットコインETF:起業家のための暗号投資へのゲートウェイ
ビットVMとOP-DLC:次世代ビットコインレイヤー2クロスチェーンブリッジ
要約:ZKブリッジは、Chain A上でスマートコントラクトを展開し、Chain Bからのブロックヘッダーと対応するゼロ知識証明を直接受信および検証し、クロスチェーンメッセージの妥当性を確認します。これは最も安全なブリッジ方式です。
- Optimistic/OPブリッジは、詐欺証明を使用して、無効なクロスチェーンメッセージに対してチェーン上で挑戦します。信頼できるチャレンジャーが1人だけでも、クロスチェーンブリッジの資金プールの安全性を確保できます。
- 技術的な制限により、ビットコインメインネットはZKブリッジを直接展開することはできませんが、BitVMと不正防止を通じて楽観的なブリッジを実現できます。BitlayerやCitreaなどのチームは、BitVMブリッジスキームを採用し、事前署名を導入し、チャネルの概念を組み込むことで、ユーザーが入金実行後の処理プロセスを事前に定義できるようにし、クロスチェーンブリッジがユーザーの入金を不正に流用するのを防ぎます。
- BitVMブリッジは基本的に「前払い-払い戻し」モデルで動作し、特定のオペレーターノードが引き出しユーザーに資金を提供します。オペレーターは定期的に公共の預金アドレスから払い戻しを申請することができます。オペレーターが虚偽の払い戻し申請を提出した場合、誰でも異議を申し立てて削減できます。
- 理論的には安全ですが、BitVMブリッジはライブネス/使いやすさに問題があり、資金の独立性やマネーロンダリング防止に関する特定のユーザーのニーズを満たしておらず(基本的には資金プールモデルを使用しているため)、Bitlayerはこれに対処します。OP-DLCブリッジソリューションを使用しています。このソリューションは、DLC.linkと同様に、チャネルとDLCに基づいた詐欺証明を導入し、オラクルの不正行為を防ぎます。
- BitVMや詐欺証明を実装する難しさを考慮すると、一時的な代替手段としてまずDLCブリッジが展開されます。オラクルの信頼リスクが解決され、より信頼性の高く成熟したサードパーティーのオラクルが統合されれば、DLCブリッジは現在の段階でのマルチサインブリッジよりも安全な引き出し検証スキームとなり得ます。
イントロダクション:昨年の銘刻ブーム以来、ビットコインエコシステムは急成長期に入りました。わずか半年で、BTCレイヤー2の旗の下にあるプロジェクト数が100近くに達しました。それは単に機会と詐欺が共存する新たな混沌の大陸となりました。現在のビットコインエコシステムはすでにEthereum、Cosmos、Celestia、CKBおよびビットコインのネイティブエコシステムの「多民族のるつぼ」と言っても過言ではありません。権威ある声の不足に加え、ビットコインエコシステムは19世紀のそれと同じような状況です。合わせて、あらゆる分野から力を引き寄せる新世界となっています。これにより、Web3の物語全体に繁栄と活力がもたらされる一方で、莫大なリスクも導入されています。
多くのプロジェクトが、技術的な解決策をリリースせずにハイプをかけ始め、ネイティブレイヤー2の名前を使用し、ビットコインのメインネットワークのセキュリティを完全に継承できると主張しています。一部の人は、宣伝手法を使用して概念を作り出し、自分自身の優越性を宣伝するために一連の奇妙な名詞や用語を発明しています。自慢することがビットコインエコシステムの現状であるにもかかわらず、客観的な判断を下す多くのトップKOLがまだ存在しています。
つい最近、ブロックチェーンブラウザMempoolの創設者であるMonanautは、ビットコインエコシステムの現在の問題を公然と批判しました。彼は、ビットコインのLayer 2が単にマルチシグネチャの出金ブリッジを使用し、ユーザーが信頼できる形式でいつでも資産を引き出すことを許可しない場合、そのようなプロジェクトは本物のLayer 2ではないと鋭く指摘しました。興味深いことに、Vitalikは以前に、Layer 2は少なくともマルチシグネチャに完全に依存するシステムよりもセキュリティ面でより安全であるべきだと指摘していました。
MonanautとVitalikは、Bitcoin Layer 2の技術的な問題を率直に指摘しました。多くのL2引き出し橋は基本的にマルチシグネチャ橋です。いくつかの有名な機関がそれぞれ鍵を持っているか、またはPOSに基づいた分散型署名が使用されていますが、いずれの場合も、そのセキュリティモデルは主に多数の正直な前提に基づいています。つまり、多数のマルチシグネチャ参加者が悪事を働くことを前提としていません。
信用背景に大きく依存するこの種の出金ブリッジソリューションは、決して長期的な解決策ではありません。歴史は、マルチシグネチャーブリッジには遅かれ早かれさまざまな問題が生じることを私たちに教えてくれました。唯一の信頼が最小限に抑えられるか、資産の保管が完全に信頼できない方向に向かう傾向があります。これだけの方法で、時の試練とハッカーに耐えることができます。しかし、ビットコインエコシステムの現状は、多くのプロジェクト関係者が出金ブリッジのための技術ロードマップさえ発表していない状況です。ブリッジがどのように信頼されるか、または最小限に抑えられるかについての確立されたデザインアイデアがありません。
しかし、これがビットコインエコシステム全体のすべてではありません。まだ一部のプロジェクトマネージャーが、出金ブリッジの最適化アイデアについて意見を述べています。テキストでは、BitlayerとCitreaのBitVMブリッジを簡単に分析し、BitVMブリッジの欠点に対処するためにBitlayerが提案したOP-DLCブリッジを紹介します。これにより、より多くの人々がクロスチェーンブリッジのリスクや設計思想を理解できるようになります。これは、ビットコインエコシステムの大多数の参加者にとって重要です。
オプティミスティックブリッジ:詐欺証明に基づくブリッジ検証スキーム
実際、クロスチェーンブリッジの本質は非常に単純で、それはチェーンBに特定のイベントがチェーンAで発生したことを証明することです。たとえば、ETHからPolygonに資産をクロスさせる場合、ETHチェーン上の特定のアドレスに資産を転送したことを証明するためにクロスチェーンブリッジの支援が必要であり、その後Polygonチェーン上で同額の資金を受け取ることができます。
従来のクロスチェーンブリッジは通常、ウィットネスマルチシグネチャを使用します。彼らはチェーンの下にいくつかの証人を指定します。証人は各公共チェーンのノードを実行し、クロスチェーンブリッジの支払いアドレスに資金を預けた人がいないか監視します。
このタイプのクロスチェーンブリッジのセキュリティモデルは、基本的にマルチシグネチャウォレットと同じです。信頼モデルは、M/Nなどのマルチシグネチャ設定方法に従って決定されなければならず、最終的には正直な大多数の仮定に従うことになります。つまり、ほとんどの公証人はデフォルトで悪意を持っておらず、耐障害率は比較的限られています。以前に発生した多くの大規模なクロスチェーンブリッジ盗難事件は、基本的にこのタイプのマルチシグネチャブリッジで発生しており、盗難やハッカーによるものです。
一方、詐欺証明プロトコルに基づく「楽観的ブリッジ」とZKに基づく「ZKブリッジ」ははるかに安全です。 ZKブリッジを例に取ると、対象チェーンに専用のバリデーターコントラクトを設定して、チェーン上で引き出し証明を直接検証し、オフチェーンの証人への依存を排除します。
例えば、ETHとPolygonを横断するZKブリッジが、現時点ではVerifierと呼ばれるPolygon上の検証者契約を展開します。ZKブリッジのRelayerノードは、最新のEthereumブロックヘッダーと妥当性を証明するZKプルーフをVerifierに転送します。Verifierはそれを検証します。これは、Verifier契約がPolygonチェーンで同期し、最新のEthereumブロックヘッダーを検証することに相当します。ブロックヘッダーに記録されたMerkleルートは、ブロックに含まれるトランザクションセットと関連があり、特定のトランザクションがブロックに含まれているかどうかを検証するのに使用できます。
Ethereumのブロックの高さが101である場合、ETHからPolygonへのクロスチェーン転送ステートメントが10件含まれている場合、Relayerはこれら10件のトランザクションに関連するMerkle Proofを生成し、その証明をPolygonチェーン上のVerifier契約に提出します。
EthereumブロックNo.101には、ETHからPolygonへのクロスチェーン取引が10件含まれています。もちろん、ZKブリッジはMerkle ProofをZKに変換し、ZK ProofをVerifier契約に直接提出できます。この全プロセス中、ユーザーはクロスチェーンブリッジのスマートコントラクトに穴のないこと、およびゼロ知識プルーフ技術自体が安全かつ信頼性があることを信頼する必要があります。従来のマルチシグネチャブリッジのような多くの信頼前提を導入する必要はありません。
そして、「オプティミスティックブリッジ」は少し異なります。一部の楽観的なブリッジは、証人に類似した設定を保持していますが、詐欺証明やチャレンジウィンドウを導入しています。証人がクロスチェーンメッセージのマルチサインを生成した後、それは対象チェーンに提出されますが、その有効性はすぐに認識されません。有効であると判断される前に、ウィンドウ期間を経過し、誰も疑問を投げかけなければなりません。実際、これはオプティミスティックロールアップのアイディアにかなり類似しています。もちろん、「オプティミスティックブリッジ」には他の製品モデルもありますが、最終的には、詐欺証明プロトコルによってセキュリティが保証されています。
M/Nマルチシグネチャブリッジの信頼仮定はN-(M-1)/Nです。ネットワーク内の悪意のある者の数が最大でM-1であると仮定し、正直な者の数が少なくともN-(M-1)であるとする必要があります。ZKブリッジの信頼仮定は無視できる一方、詐欺証明に基づく楽観的ブリッジの信頼仮定は1/Nです。N人の証人のうちたった1人が正直であり、ターゲットチェーンに提出された無効なクロスチェーンメッセージに異議を唱えることを望んでいれば、ブリッジのセキュリティを確保することができます。
現在、技術上の制限により、ビットコインをレイヤー2に入金する方向のZKブリッジのみ実装可能です。逆方向でレイヤー2からビットコインチェーンへの引き出しを行う場合、マルチシグブリッジやオプティミスティックブリッジ、またはチャネルのようなモデルのみがサポートされています(以下で説明するOP-DLCブリッジは、よりチャネルに似ています)。ビットコインチェーンにオプティミスティックブリッジを実装するためには、詐欺証明を導入する必要があり、bitVMはこの技術の実装に良い条件を作り出しています。
以前の記事"BitVMのミニマリスト解釈:BTCチェーン上で詐欺証明を検証する方法"BitVMの不正証明の本質は、オフチェーンで行われる複雑な計算タスクを多数の単純なステップに分解し、その後、特定のステップをビットコインチェーンで直接検証することです。この考え方は、ArbitrumやOptimismなどのEthereum楽観的ロールアップに類似しています。
(BitVM2のドキュメントには、コンピューティングタスクがラムポート署名を介して大量の中間ステップに分割され、その後誰でも中間ステップに挑戦できると記載されています)
もちろん、上記の声明はまだ比較的曖昧ですが、ほとんどの人々が詐欺証明の意味を既に理解していると信じています。今日の記事では、全体的なスペースの制限のため、BitVMおよび詐欺証明プロトコルの技術的な実装の詳細を説明する意図はありません。なぜなら、これには一連の複雑な相互作用プロセスが関わっているからです。
製品およびメカニズム設計の観点から、BitLayer、Citrea、BOB、さらにBitVMによって公式に設計されたBitVMブリッジについて簡単に紹介し、BitlayerがOP-DLCブリッジを介してBitVMブリッジのボトルネックを緩和する方法を示し、ビットコインチェーン上で優れた出金ブリッジソリューションを設計するかをご紹介します。
(Bitlayerのブリッジングソリューションの概略図)
BitlayerとCitreaの間のBitVMブリッジ原理の簡単な分析
以下、BitLayer、Citrea、およびBobによって発表されたBitVMブリッジソリューションを使用して、BitVMブリッジの一般的な動作プロセスを説明するための資料として使用します。
公式文書および技術ブログにおいて、上記のプロジェクトチームは、BitVM出金ブリッジ(現在は理論段階)の製品設計アイデアを明確に説明しています。ユーザーがBitVMブリッジを介して出金する際、レイヤー2のブリッジ契約を使用して出金明細を生成する必要があります。出金明細には、以下の主要パラメータが指定されています:
引き出し元がL2で破壊する必要があるマップされたBTCの数(1 BTCなど);
引き出し者が支払う意図のあるクロスチェーン取扱手数料(0.01 BTCと想定される);
L1での引き出しアドレスはL1_receiptです;
出金者の出金額(すなわち、1−0.01=0.99BTC)
その後、上記の引き出し明細はレイヤー2ブロックに含まれます。BitVMブリッジThe Relayerノードはレイヤー2ブロックを同期し、そこに含まれる引き出し明細を監視し、それをオペレーターノードに転送します。その後、オペレーターノードは引き出しを行うユーザーに支払います。
ここで注目すべきは、オペレーターがまず自腹でビットコインチェーン上のユーザーに支払いを行い、つまり、BitVMブリッジの資金を「前貸し」し、その後BitVMブリッジの資金プールから補償を申請することです。
払い戻しを申請する場合、オペレーターはビットコインチェーンでの前払いの証明を提供する必要があります(つまり、L1で引き出しユーザーが指定したアドレスに送金したことを証明し、ビットコインブロックに含まれる特定の送金記録を抽出する必要があります)。同時に、オペレーターは、L2で出金者が作成した出金明細書も発行しなければなりません(Merkle Proofにより、発行された出金明細書はL2ブロックからのものであり、何もないところから捏造されたものではないことが証明されます)。後、オペレーターは以下を証明する必要があります。
ビットVMブリッジの代わりに引受人に前払いされた運営者による資金は、引受人が明細書で要求した金額と等しい;
オペレーターが払い戻しを申請する際、払い戻し額は、レイヤー2で引き出しによって破棄されたマップされたBTCの額を超えてはなりません。
オペレーターは確かにある期間内にすべてのL2-L1引き出し明細を処理し、それぞれの引き出し明細はビットコインチェーン上の引き出し転送記録に一致する可能性があります。
これは基本的には、オペレータが前払い金額について嘘をついたり、出金明細を処理しないことに対する罰則です(これにより、出金ブリッジの検閲耐性問題を解決できます)。オペレータは、オフチェーンで前払い金証明書と出金明細の主要なフィールドを比較し、検証して、両方に関与するBTCの金額が等しいことを証明する必要があります。
出金ブリッジオペレーターが進行金額を虚偽報告した場合、それはオペレーターがL1の支払証明書とL2の引き出し者が発行した引き出し明細書が一致すると主張しているが、実際の状況は両者が一致していないことを意味します。
このようにして、支払い証明のZKP = 引き出し明細のZKPが間違っていることが証明されます。このZKPが公開される限り、Challangerはどのステップが間違っているかを指摘し、BitVM2の不正証明プロトコルを通じてそれに挑戦することができます。
強調すべきは、Bitlayer、Citrea、BOB、ZKBaseなどがすべて最新のBitVM2ルートを採用していることです。これはBitVMソリューションの新バージョンです。このソリューションはオフチェーンの計算タスクをZK化し、つまりオフチェーンの計算プロセスにZK Proofを生成し、次にProofを検証し、そしてZKPの検証プロセスをBitVMの形式に適合させて後続のチャレンジを容易にします。
同時に、Lamportと事前署名を使用することにより、元のBitVMの多ラウンドインタラクティブチャレンジを単一ラウンドの非インタラクティブチャレンジに最適化することができ、チャレンジの難易度が大幅に低下します。
BitVMのチャレンジプロセスには、「コミットメント」と呼ばれるものの使用が必要です。つまり、「コミットメント」です。では、「コミットメント」とは何かを説明しましょう。一般的に、ビットコインチェーン上で「コミットメント」を公開する人は、オフチェーンに保存された特定のデータ/オフチェーンで発生する計算タスクが正確であると主張し、チェーン上に公開された関連する記述が「コミットメント」であると主張します。
コミットメントは、大量のオフチェーンデータのハッシュとしておおよそ理解できます。コミットメント自体のサイズは非常に小さく圧縮されることが多いですが、マークルツリーなどの方法を通じて大量のオフチェーンデータにバインドすることができ、これらの関連するオフチェーンデータをチェーンにアップロードする必要はありません。
BitVM2およびCitreaとBitLayerのBitVMブリッジソリューションでは、誰かがチェーン上で出された出金ブリッジオペレーターによるコミットメントに問題があると考え、そのコミットメントが無効なZKP検証プロセスと関連付けられていると思った場合、彼または彼女はチャレンジを開始でき、チャレンジ権限は無許可です。(内部のインタラクションプロセスは比較的複雑であり、ここでは説明されません)
オペレーターは、BitVMファンドプールのために資金を前貸しし、引き出しに支払うためにファンドプールに請求し、申請する際に、オペレーターは、L1の引き出しに転送する資金が引き出しと等しいことを証明するためにコミットメントを発行する必要があります。支払人は、L2でお金を受け取りたいと宣言します。コミットメントが詐欺証明ウィンドウを通過し、異議が申し立てられていない場合、オペレーターは必要な払い戻し金額を引き出すことができます。
ここでは、BitVMブリッジの公共ファンドプールがどのように維持されているかを説明したいと思います。これはクロスチェーンブリッジの中でも最も重要な部分です。クロスチェーンブリッジが引き出し先に支払うことができる資金は、預金者や他のLPが貢献した資産から来ており、オペレーターが前払いしたお金は最終的に公共ファンドプールから引き出されるため、それは完全に資金に依存しています。移転の結果、BitVMブリッジによって吸収される預金者の預金額は引き出し者の引き出し額と等しくなければなりません。したがって、預金資金を保持する方法は非常に重要な問題です。
ほとんどのBitcoin Layer 2ブリッジングソリューションでは、公共の資産は多重署名を介して管理されることがよくあります。ユーザーの預金は多重署名口座に集約されます。引き出しが必要な場合、この多重署名口座が支払いを行う責任があります。このソリューションには明らかに莫大な信頼リスクがあります。
BitlayerとCitreaのBitVMブリッジは、Lightning Networkとチャネルに類似したアイデアを採用しています。入金する前に、ユーザーはまずBitVMアライアンスと連絡を取り、後者に事前署名を依頼して、以下の効果を実現します。
ユーザーが入金を再充電アドレスに転送した後、お金は直接Taprootアドレスにロックされ、ブリッジのオペレーターのみが引き出すことができます。さらに、オペレーターは、ユーザーに引き出し資金を先に支払った後、上記の入金のTaprootアドレスから資金を請求するために払い戻しを申請することができます。チャレンジ期間が終了すると、オペレーターは一定額のユーザー預金を引き出すことができます。
BitVMブリッジソリューションでは、N人のメンバーによって形成されたBitVM連盟(BitVM Federation)がユーザーの入金をスケジュールします。しかし、これらのN人のメンバーは、ユーザーが指定されたアドレスに送金する前にBitVM連盟にプリサインすることを要求するため、ユーザーが入金を不正に利用することはできません。
(BitVM2の楽観的なブリッジソリューションの図)
高レベルで要約すると、BitVM Bridgeはチャネルやライトニングネットワークに類似したアイデアを採用し、ユーザーが「自分で検証」できるようにし、事前に署名することによってBitVMアライアンスが許可なく預金プールを操作することを防ぎます。預金プールの資金はオペレーターの返金にのみ使用できます。オペレーターが前払い金額を誤って報告した場合、誰でも詐欺の証拠を提出してチャレンジすることができます。
上記の解決策を実装できれば、BitVMブリッジは最も安全なBitcoin引き出しブリッジの一つになります: このブリッジにはセキュリティ上の問題はありませんが、利用可能性/ライブネスの問題があります。ユーザーがBitVMに資金を預け入れようとすると、BitVMアライアンスによって検閲されたり協力を拒否されたりする可能性があり、資金を正常に預け入れすることができなくなります。ただし、これはセキュリティには関係ありませんが、ライブネス/利用可能性の問題です。
しかし、BitVMブリッジの実装は比較的困難です。さらに、資金の透明性に比較的高い要求を持つ一部の大口投資家のニーズを満たすことができません。これらの人々はマネーロンダリングの問題に関与する可能性があり、自分の資金を他人の資金と混ぜたくないため、BitVMブリッジは預金者の資金を一律に受け入れます。実際、それは多くの資金が混ざるプールです。
上記のBitVMブリッジアクティビティ問題を解決し、特定のニーズを持つ人々に独立したクリーンな資金の出入り口を提供するために、BitLayerチームはOP-DLCと呼ばれる追加のクロスチェーンブリッジソリューションを追加しました。BitVM2の楽観的なブリッジに加えて、DLC.linkに類似したDLCブリッジを使用します。ユーザーには、BitVMブリッジとOP-DLCブリッジの2つの入口と出口が提供され、BitVMブリッジおよびBitVMアライアンスへの依存を軽減します。
(DLCの配線図)
DLC: 慎重なログ契約
DLC(Discreet Log Contracts)は、MITのデジタル通貨イニシアティブによって提案されたディスクリートログ契約と呼ばれます。この技術は、Bitcoin上で軽量スマート契約を実装するために最初に使用されました。契約の内容をチェーンにアップロードする必要はありません。オフチェーンのインタラクティブコミュニケーションや事前署名などの手法を通じて、プライバシー保護型のスマート契約機能がBitcoinチェーン上に実装されています。以下では、ギャンブルのケースを使用して、DLCの動作原理を説明します。
アリスとボブが3日後に行われるレアル・マドリードとバルセロナの試合の結果に賭けたいとします。それぞれが1 btc支払います。レアル・マドリードが勝った場合、アリスは1.5 BTCを得ることができ、ボブは0.5 BTCしか戻ってこないため、アリスが0.5 BTCを稼ぎ、ボブが0.5 BTCを失います。バルセロナが勝った場合、アリスは0.5 BTCしか戻ってこず、ボブは1.5 BTCを手に入れることができます。引き分けの場合、両者がそれぞれ1 BTCを取り戻します。
上記のギャンブルプロセスを信頼できるものにしたい場合、どの当事者も不正行為を防ぐ方法を見つける必要があります。単に2/2マルチサインまたは2/3マルチサインを使用するだけでは明らかに信頼性が不足しています。DLCはこの問題に対する独自の解決策を提供しており(第三者オラクルに依存しています)、全体のワークフローは大まかに4つの部分に分けることができます。
以前のアリスとボブを例に取ると、まず、両者はオフチェーンで資金取引を作成します。これにより、2/2マルチサインアドレス上でお互いの1 BTCをロックすることができます。この資金取引が有効になると、マルチサインアドレス内の2 BTCは、支出する前に両当事者の承認が必要となります。
もちろん、このファンド取引はまだチェーンにアップロードされていませんが、チェーンから離れたアリスとボブのクライアントにローカルに残っています。この取引が有効になった後の結果を全員が知っています。現在、両者は理論的な控除を行い、その結果に基づいて一連の合意に達するだけです。
DLC作成の最初の段階では、私たちが決定できるのは、両者が将来的に1 BTCをマルチサインアドレスにロックするということです。
第2ステップでは、両当事者は可能な将来のイベントや結果を推論し続けます。例えば、サッカーマッチの結果が発表されたとき、アリスが勝ち、ボブが負ける可能性や、アリスが負け、ボブが勝つ可能性、引き分けなど、複数の可能性が考えられます。これにより、前述の2/2マルチサインアドレス内のビットコインの異なる分配結果につながります。
異なる取引指示によって異なる結果が必要です。将来的にチェーンにアップロードされる「これらの取引指示は、CET、つまり契約実行取引」と呼ばれます。アリスとボブはすべてのCETを事前に推測し、すべてのCETを含む取引データセットを生成する必要があります。
例えば、上記で言及されたアリスとボブの賭けの可能な結果に基づいて、アリスは次のCETを作成します:
CET1:アリスはマルチサインアドレスから1.5 BTCを受け取ることができ、ボブは0.5 BTCを受け取ることができます;
CET2:Aliceはマルチサインアドレスから0.5 BTCを取得でき、Bobは1.5 BTCを取得できます;
CET3:両者とも1BTCを受け取ることができます。
CET1を例に取ります(アリスが1.5 BTCを受け取り、ボブが0.5 BTCを受け取ります):
このトランザクションの意味は、マルチシグアドレスで1.5 BTCをタプルートアドレスに移動し、それはアリスとオラクルマシンの出力結果によってトリガーされ、残りの0.5 BTCをボブのアドレスに移動することです。この時点での対応イベントは、レアルマドリードが勝利すると、アリスが0.5 BTCを獲得し、ボブが0.5 BTCを失うことです。
確かに、これらの1.5ビットコインを使うには、アリスはオラクルから送られた「レアル・マドリードが勝つ」結果の署名を取得しなければなりません。 言い換えれば、オラクルがメッセージ「レアル・マドリードが勝つ」と出力したときだけ、アリスは1.5ビットコインを送金できます。 CET2およびCET3の内容については、同様の方法で推測できるため、ここでは詳細には立ち入りません。
CETは基本的にチェーンにアップロードする必要がある取引であることに注意する必要があります。アリスがCET1を事前にブロードキャストした場合、または「バルセロナが勝利する」というケースであっても、CET1をチェーンに配置しても、「レアル・マドリードが勝利した後にのみ正常にトリガーされる取引になります。」
前の図で、CET1がチェーンに置かれた後、元のマルチサインアドレスにロックされた2 BTCが転送され、0.5 BTCがBobに転送され、1.5 BTCがTaprootアドレスに転送されることを述べました。オラクルマシンは「Real Madridが勝利した後のみ」AliceがTaprootアドレスにロックされたBTCをアンロックできます。以下に示す結果。
同時に、このTaprootアドレスはタイムロックの対象です。アリスがタイムロックによって指定されたウィンドウ期間内に1.5 BTCを正常に引き出すことができない場合、ボブは直接お金を受け取る権利を持ちます。
したがって、オラクルが正直である限り、アリスは1.5 BTCを持ち去ることはできません。タイムロック期間が切れると、ボブは1.5 BTCを持ち去ることができます。チェーンにCET1がアップロードされたときにボブに直接送金された0.5 BTCに加えて、すべてのお金は最終的にボブのものになります。
アリスにとって、最終的に勝っても負けても、最も有益なことは、正しいCETをチェーンに載せることです。無効なCETをチェーンに載せると、彼女はより多くのお金を失うことになります。
実際には、上記のCETが構築された際に、Taprootのschnorr署名が改良され、これはオラクル+イベントの結果の公開鍵を使用して異なる結果の独立したアドレスを構築すると理解できます。その後、特定の結果に対応するアドレスにロックされたBTCを使うには、オラクルマシンがその結果に対応する署名を発表するときだけです。
もちろん、ここには追加の可能性があります。もしアリスが自分が負けたことを知っていて、単に彼女がチェーンに構築したCET1を置かない選択肢があるとしたらどうでしょうか?これは簡単に解決できます。なぜならBobは、“アリスが負け、Bobが勝つ”という問題に対するカスタムCETを構築することができます。このCETによって達成される効果は基本的にアリスが構築したCETと同じですが、具体的な詳細は異なりますが、結果は同じです。
上記は、最も重要なCET構築プロセスが記述されています。DLCの第3ステップは、AliceとBobがコミュニケーションを取り、相手が構築したCETトランザクションをチェックし、CETに自分の署名を持参することです。チェックが正しい場合、お互いを信頼し、それぞれが1 BTCを投資し、最初にAliceとBobの2/2マルチ署名アドレスをロックし、その後、一定のCETがチェーンにアップロードされるのを待って、その後続プロセスがトリガーされます。
最終的に、オラクルマシンが結果を発表し、結果についてオラクルマシンの署名を取得した後、どちらの当事者も正しいCETをチェーンに配置し、マルチサインアドレスにロックされた2 BTCを再分配することができます。敗者が最初に間違ったCETをチェーンに配置した場合、正しいCETをチェーンに配置した場合、すべての資金を失います。正しいCETをチェーンに配置した場合、敗者は0.5 BTCを取り戻すことができます。
誰かが尋ねるかもしれません。DLCは通常の2/3マルチサインとどのように異なるのでしょうか?まず第一に、2/3以上が署名された場合、2つの当事者が協力してすべての資産を盗むことができますが、DLCは事前にCETセットを構築することですべてのシナリオを制限することを相手に許可します。オラクルが共謀に参加したとしても、引き起こされる損害はしばしば制限されます。
第二に、マルチシグネチャは、特定の取引に署名するためにすべての当事者の署名が必要であるのに対し、DLCの設定では、オラクルは特定のイベントの結果にのみ署名する必要があります。CET/取引の内容を知る必要はありません。アリスとボブの2人がいることさえ知る必要はありません。ただ普通のオラクルのように行動するだけです。ユーザーとは機械のように通常通りやり取りするだけです。
我々は、DLCの本質は、マルチシグネチャ参加者の信頼をオラクルの信頼に変えることだと考えることができます。オラクルマシンが悪事に加担しない限り、DLCプロトコルの設計が十分に信頼できることが保証されます。理論的には、DLCは比較的成熟した完全なサードパーティのオラクルを利用して悪事を回避することができます。DLC.linkとBitLayerは、このDLCの特徴を利用してブリッジの信頼問題を第三者のオラクルに移すことができます。
さらに、BitlayerのDLCブリッジは自己構築オラクルノードもサポートし、これにさらに詐欺証明のレイヤーを追加します。自己構築のオラクルがチェーン上に無効なCETを置くと、誰でもそれに挑戦できます。OP-DLCブリッジの原則に関しては、以下で簡単に説明します。
OP-DLCブリッジ:DLCチャネル+詐欺証明
入金と出金の全プロセスからOP-DLCブリッジの動作原理を説明します。AliceがOP-DLCブリッジを介してL2に1 BTCを入金すると仮定します。2段階トランザクションメカニズムに従い、Aliceさんはプリファンドトランザクションを生成します。以下に示す通りです:
実際には、アリスとBitVMアライアンスメンバーが共同で制御するTaprootアドレスに1 BTCを転送し、その後、CETを作成する一連のプロセスを開始します。 BitVM Bridge Allianceのメンバーの1人がアリスの入金リクエストに協力しない場合、時間ロックの有効期限が切れた後、アリスはすぐにお金を引き出すことができます。
BitVMアライアンスのメンバーがアリスと協力することを望む場合、両者はまずオフチェーン通信を利用して正式なファンド入金取引(まだチェーン上ではない)と引き出しシナリオでのすべてのCETを生成することができます。CETの生成と検証が完了した後、両者はファンド取引をチェーンに提出することができます。
ファンド取引の立会人/署名データで、アリスはレイヤー2で支払い先住所を指定します。ファンドトランザクションがチェーンにアップロードされた後、アリスは上記のファンドトランザクションデータをレイヤー2のブリッジコントラクトに送信して、ビットコインチェーンでの入金アクションを完了し、L2ブリッジコントラクトが指定された支払いアドレスにトークンをリリースする資格があることを証明できます。
ファンド取引がトリガーされると、入金は実際にはAliceとBitVM連合メンバーによって共同で制御されるTaprootマルチサインアドレスにロックされます。ただし、マルチサインはCETを介してアドレスにロックされたBTCのみをアンロックできることに注意する必要があり、BitVM連合は理由もなくお金を移動することはできません。
次に、アリスとBitVMアライアンスによって事前に構築されたCETを分析しましょう。これらのCETは将来の引き出しの可能なシナリオに対応するために使用されます。例えば、アリスは1 BTCを預け入れていましたが、最初の引き出し時には0.3 BTCしか引き出しておらず、残りの0.7 BTCはBitVMアライアンスの公共基金プールに引き渡されました。制御するため、お金を引き出したい場合は、上記のBitVMブリッジを通る必要があります。
または、これらの0.7 BTCを使用して新しいプリファンドデポジットを開始することもできます。DLCブリッジに新たに追加された資産として、上記の資金取引とCET構築プロセスを繰り返すことができます。
上記のプロセスは理解するのが難しいというわけではありません。実際に、預金者のアリスとビットVM同盟はお互いに相手方として行動し、異なる金額の引き出しイベントのためにCETを作成し、その後、アリスによってイニシエートされた引き出し明細をレイヤー2でオラクルが読み取り、アリスがトリガーしたいトランザクションを判断します。1 CET(いくら引き出したいか)。
ここでのリスクは、オラクルマシンがBitVMアライアンスと共謀する可能性があることです。たとえば、アリスが0.5 BTCを引き出したいと宣言しますが、オラクルマシンが引き出し声明を偽造し、「アリスが0.1 BTCを引き出し、BitVMアライアンスが0.9 BTCを受け取る」という結果につながる可能性があります。チェーン上のエラーCET。
この問題にはいくつかの解決策があります。1つ目は、比較的完全な設計を持つサードパーティのオラクルを使用することです。このような共謀を防ぐ(BitVMアライアンスが現在オラクルと共謀するのは非常に困難です)、またはオラクルにステーキングを実行させることです。オラクルは定期的にビットコインチェーン上でCommitmentを公開する必要があり、Withdrawrの引き出しリクエストを誠実に処理したことを述べます。誰でもBitVMの不正証明プロトコルを通じてCommitmentに挑戦することができます。挑戦が成功した場合、悪意のあるオラクルはスラッシュされます。
OP-DLCブリッジの設計により、ユーザーは常に自分の資産に「参加」でき、資産がBitVM同盟によって不正使用されることを防ぐことができます。さらに、このようなチャネルのような設計は、ユーザーにより多くの自律性をもたらし、自分の資金を他人の資金と混ぜる必要もありません。これはむしろP2Pピアツーピアの入出金ソリューションに似ています。
また、BitVMソリューションが実装されるまでには時間がかかることを考慮すると、実装される前に、DLCブリッジは単純なマルチシグネチャソリューションと比較して、より信頼性の高いブリッジ処理モデルとなります。このソリューションは、BitVMブリッジと並行して使用される2つの主要な入出金口としても使用できます。そのうちの1つが失敗した場合、ユーザーは他の入口を使用することができ、これは良い障害耐性の方法でもあります。
要約する
BitLayerとCitreaのBitVMブリッジソリューションは基本的に「前払い返金」モデルであり、引き出しユーザーにお金を送金するための専用のオペレーターノードがあり、オペレーターは定期的に一般の預金アドレスに返金を申請することができます。オペレーターが虚偽の返金申請を行った場合、誰でもそれに異議を唱え、削減することができます。
BitVM2のソリューションは、事前署名を導入し、ユーザーが正式な預金を行う前にポストデポジット処理を制限するためのチャネルのアイデアを組み合わせ、クロスチェーンブリッジの公務員にユーザーの預金を横領する機会を与えません。
この橋に理論上のセキュリティの問題はありませんが、生存性/可用性の問題があり、特定のユーザーの資金の独立性とマネーロンダリングへの対応ニーズを満たすことができない(基本的には資金プールモデルです)、そして実装することも非常に難しいです。
このため、BitlayerはDLC.linkに似たOP-DLCというブリッジソリューションを追加し、チャネルとDLCの基礎に詐欺証明を導入して、DLCブリッジのオラクルマシンが悪事を働くのを防止しています。
しかし、BitVMは実装が難しすぎるため、まずDLCブリッジが実装され、一時的な代替となります。ただし、オラクルマシンの信頼リスクが解決され、より信頼性の高い、成熟した第三者オラクルマシンが統合されれば、DLCブリッジはこの段階でマルチシグネチャブリッジよりも安全な引き出し検証ソリューションになりうるでしょう。
免責事項:
- この記事は[から転載されています极客web3]. すべての著作権は元の著者に帰属します [Faust & Nickqiao]. もしこの転載に異議がある場合は、お問い合わせください。Gate Learnチームは、promptly それを処理します。
- 免責事項:この記事で表現されている見解や意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
- Gate Learnチームによって他の言語への記事の翻訳が行われます。特に言及されていない限り、翻訳された記事のコピー、配布、または盗用は禁止されています。
関連記事
ETHを賭ける方法は?