OP-DLC 2:大道至简

Discreet Log Contract (DLC)是2018年由麻省理工学院的研究人员提出的一种基于预言机的合约执行框架。它允许双方根据预定义条件进行条件支付,通过预先确定可能结果并进行预签名,在预言机签署结果时执行支付。这使得DLC能在保证比特币存款安全的同时,实现新的去中心化金融应用。

前文总结了DLC在隐私保护、复杂合约、低资产风险等方面的优势,也分析了它面临的密钥风险、去中心化信任风险、串谋风险等问题。文章提出引入去中心化预言机、门限签名、乐观挑战机制等来应对这些问题。由于DLC涉及预言机、Alice和Bob三方,不同参与方之间的串谋攻击情况复杂,导致防御策略也相对复杂。这种复杂的防御策略并非完美,不符合"大道至简"的理念,缺乏简洁美。

在比特币中,任何参与方的行为都需通过UTXO实现。因此,通过共识机制确保UTXO正确,就能抵御任意攻击。同理,在DLC中,任何行为都需通过CET(Contract Execution Transaction)实现。使用乐观挑战机制确保CET正确,就能抵御任意攻击。具体而言,预言机质押2BTC后才能签署CET。在CET中加入乐观挑战机制。如果CET未被挑战或成功应对挑战,则视为正确并完成结算,预言机解除质押并获得手续费。如果预言机试图作恶,任何人都可成功挑战,该CET将无法结算,预言机损失质押金且无法再对同一CET签名。这种方式符合"大道至简",具有简洁美。

DLC原理

Alice和Bob签订对赌协议:赌第ξ个区块的哈希值是奇数还是偶数。如果是奇数,Alice赢得游戏并可提取资产;如果是偶数,Bob赢得游戏并可提取资产。通过DLC,预言机传递第ξ个区块信息来构造条件签名,使正确的获胜方赢得全部资产。

椭圆曲线生成元为G,阶为q。预言机、Alice和Bob的密钥对分别为(z, Z), (x, X), (y, Y)。

注资交易(链上):Alice和Bob共同创建一笔注资交易,各自将10BTC锁定在一个2-of-2的多重签名输出中(一个公钥X属于Alice,一个公钥Y属于Bob)。

构建CET(链下):Alice和Bob创建CET1和CET2,用于花费注资交易。

预言机计算承诺R = k · G,然后计算S和S'

S := R - hash(OddNumber, R) · Z

S' := R - hash(EvenNumber, R) · Z

Alice和Bob对应的新公钥如下:

PK^Alice := X + S

PK^Bob := Y + S'.

结算(链下->链上):当第ξ个区块生成后,预言机根据该区块的哈希值,签署对应的CET1或CET2。

如果哈希为奇数,预言机签署s

s := k - hash(OddNumber, R) z

广播CET1。

如果哈希为偶数,预言机签署s'

s' := k - hash(EvenNumber, R) z

广播CET2。

提币(链上):如果预言机广播CET1,Alice可计算出新私钥,并花费锁定的20个BTC

sk^Alice = x + s

如果预言机广播CET2,Bob可计算出新私钥,并花费锁定的20个BTC

sk^Bob = y + s'

研究发现:上述过程中,任何行为都需通过CET实现。因此,只需使用乐观挑战机制确保CET正确,就能抵御任意攻击。错误的CET会被挑战而不被执行,正确的CET则会被执行。此外,预言机需为恶意行为付出代价。

待挑战程序为f(t),应如下构建CET

s = k - hash(f(t), R) z.

假设,实际情况是第ξ个区块的哈希值为奇数odd,即f(ξ) = OddNumber,预言机应签署CET1

s := k - hash(OddNumber, R) z.

但如果预言机作恶,将函数值改为Even,签署了CET2:

s' := k - hash(EvenNumber, R) z.

那么,任何用户都可根据f(ξ) ≠ OddNumber来挫败这一恶意行为。

OP-DLC 2

OP-DLC包括以下5项规定:

1. 预言机由一个联盟组成,联盟中有n个参与方,任一成员均可签署CET。质押2BTC后,预言机才能发布签名赚取手续费。如果某成员作恶,将损失质押。其他成员可继续签署CET,确保用户能够出金。Alice和Bob也可成为预言机,真正做到只相信自己,实现信任最小化。

2. 如果预言机作恶,修改结果,必然导致 f1(ξ) ≠ z1, f2(z1) ≠ z2 的情况。因此,任何参与方都可发起挑战,即进行Disprove-CET1交易。

3. 如果预言机诚实签署CET,任何参与方都无法发起有效的Disprove交易。1周后,CET可正确结算。此外,预言机获得0.05BTC奖励,作为其质押2BTC 1周的资金占用费以及诚实签署CET的手续费。

4. 任何参与方都能对Oracle_sign发起挑战:

   • 若Oracle_sign诚实,则无法发起Disprove-CET1交易,1周后执行CET结算。预言机质押解锁,并获得手续费;

   • 若Oracle_sign不诚实,即有人成功发起Disprove-CET1交易,成功花费connector A output,则该预言机的签名无效,损失2BTC质押,且未来该预言机不可再对该DLC合约发起相同结果的签名,因为依赖connector A output的Settle-CET1将永久失效。

5. OP-DLC中的挑战是无需许可的,任何参与方都可监督OP-DLC内的合约是否正确执行。这实现了对预言机的信任最小化。与闪电网络相比,Alice和Bob也可离线。因为预言机只有诚实签名才会结算CET,而作恶的预言机会被任何人挑战和惩罚。

优点:

• 对资产控制度高,只信任自己:Alice和Bob均可成为预言机,签署CET。乐观挑战机制会挫败错误的CET,所以无法作恶。因此,OP-DLC可做到用户只相信自己。相比之下,在BitVM中,用户需作为Operator并参与后续所有入金,才能做到只信任自己。

• 资金利用率高:若用户只信任自己,OP-DLC中用户依赖自己出金,不需等量资金垫付;而BitVM中,用户需等量资金垫付,然后报销,这带来更大资金压力。

• 能签字的预言机需在OP-DLC入金时确定,但用户自己也可成为预言机,可自己给自己签名。

缺点:

• 出金时间需1周:本质上OP-DLC和BitVM的资金时间成本都存在且等量。OP-DLC出金需经过挑战期;如果BitVM依赖用户自己垫付,等量垫付资金也需经过挑战期才能成功报销。

• 需要预签的签名数量增长较快,与CET数量呈线性关系。需要尽可能多的CET,才能枚举所有提币结果。

结论

OP-DLC将乐观挑战机制引入CET中,确保错误的CET不被结算,且相应的恶意预言机损失质押;确保正确的CET被执行,且预言机质押解锁并获得手续费。这种方式能够抵御任意攻击,具有简单之美。