Bitlayer Research：OP-DLC 2大道至簡

2024-06-03 16:06:00

原文標題：《Bitlayer Core Technology: DLC and Its Optimization Considerations》

1.引言

Discreet Log Contract (DLC) 是由麻省理工學院的 Tadge Dryja 在 2018 年提出的一種基於預言機的合約執行框架。DLC 允許兩方根據預定義的條件進行有條件支付。雙方預先確定可能的結果並進行預籤名，並在預言機籤署結果時使用這些預籤名來執行支付。因此，DLC 在保證比特幣存款安全的同時，實現了新的去中心化金融應用。

上一篇文章《 DLC 原理解析及其優化思考》總結了 DLC 在隱私保護、復雜合約、資產風險低等方面的優勢，也分析了 DLC 存在密鑰風險、去中心化信任風險、串謀風險等問題，並將去中心化預言機、門限籤名、樂觀挑战機制等引入 DLC，解決其應面臨的各種問題。由於 DLC 中涉及預言機、Alice 和 Bob 三個參與方，不同參與方之間串謀攻擊窮舉是相對復雜的，導致預防策略也是相對復雜度的。復雜的防御策略不是完美的，不符合大道至簡，缺少簡潔美。

在比特幣中，任意參與方的任意行為均需要通過 UTXO 實現。因此，使用共識機制確保 UTXO 正確，則能夠抵抗任意攻擊。類似，在 DLC 中，任意參與方的任意行為均需要通過 CET（Contract Execution Transaction）實現。因此，使用樂觀挑战機制確保 CET 正確，則能夠抵抗任意攻擊。具體而言，預言機質押2B TC 後，則能夠籤署 CET。在 CET 中添加樂觀挑战機制。如果 CET 不被挑战，或成功應對挑战，則 CET 正確，能夠完成結算，預言機解除質押且獲得手續費；如果 Oracle 試圖作惡，則任何人都可成功挑战，該 CET 將無法結算，預言機損失質押金且該預言機無法再對同一 CET 籤名。符合大道至簡，具有簡潔美。

2.DLC 原理

Alice 和 Bob 籤署對賭協議：投注第ξ個區塊的哈希值是奇數或偶數。如果是奇數，則 Alice 贏得遊戲，可提取資產；如果是偶數，則 Bob 贏得遊戲，可提取資產。使用 DLC，通過預言機傳遞第ξ個區塊信息構造條件籤名使得正確的獲勝方贏得所有資產。

橢圓曲线生成元為 G，階為 q。預言機、Alice 和 Bob 各自的密鑰對分別為(z, Z), (x, X), (y, Y)。

注資交易（鏈上）： Alice 和 Bob 一起創建一筆注資交易，各自將 10 BTC 鎖在一個 2-of-2 的多籤輸出（一個公鑰 X 屬於 Alice，一個公鑰 Y 屬於 Bob）。

構建 CET（鏈下）：Alice 和 Bob 創建 CET 1 和 CET 2 ，用於花費注資交易。

預言機計算承諾 R = k · G，然後計算 S 和 S'

S := R - hash(OddNumber, R) · Z

S' := R - hash(EvenNumber, R) · Z

則 Alice 和 Bob 對應的新公鑰如下：

PK^{Alice} := X + S

PK^{Bob} := Y + S'.

結算（鏈下->鏈上）：當第ξ個區塊成功生成，則預言機根據該區塊的哈希值，籤署對應的 CET 1 或 CET 2 。

如果哈希為奇數，則預言機如下籤署 s

s := k - hash(OddNumber, R) z

廣播 CET 1 。

如果哈希為偶數，則預言機籤署 s'

s' := k - hash(EvenNumber, R) z

廣播 CET 2 。

提幣（鏈上）：如果預言機廣播 CET 1 ，則 Alice 可以計算出新私鑰，並花費鎖定的 20 個 BTC

sk^{Alice} = x + s

如果預言機廣播 CET 2 ，則 Bob 可以計算出新私鑰，並花費鎖定的 20 個 BTC

sk^{Bob} = y + s'

Bitlayer 研究組發現：上述過程中，任意行為均需要通過 CET 實現。因此，僅需要使用樂觀挑战機制確保 CET 正確，則能夠抵抗任意攻擊。錯誤的 CET 會被挑战，不被執行，而正確的 CET 會被執行。此外，預言機需要為惡意行為付出代價即可。

待挑战程序為 f(t)，則應該如下構建 CET

s = k - hash(f(t), R) z.

假設，真實情況為第ξ個區塊的哈希值是奇數 odd，即 f(ξ) = OddNumber，預言機應該籤署 CET 1

s := k - hash(OddNumber, R) z.

但是，預言機作惡，將函數值修改為 Even，籤署了 CET 2 ：

s' := k - hash(EvenNumber, R) z.

因此，任意用戶均可根據 f(ξ) ≠ OddNumber.挫敗該惡意行為。

3.OP-DLC 2

OP-DLC 包括以下 5 個規定：

預言機由一個聯盟組成，聯盟中有 n 個參與方，任意成員之一均可籤署 CET。質押2B TC，預言機才能發布籤名賺手續費。如果某個成員作惡，則損失質押。其他成員可繼續籤署 CET，確保用戶能夠出金。Alice 和 Bob 也可成為預言機，可真正的做到只相信自己，信任最小化。
如果預言機作惡，修改結果，則必然導致 f 1(ξ) ≠ z 1, f 2(z 1) ≠ z 2 的情況出現。因此，任意參與方均可發起挑战，即進行 Disprove-CET 1 交易。
如果預言機誠實籤署 CET，則任意參與方均不能發起有效的 Disprove 交易。1 周後，CET 可正確結算。此外，預言機獲得 0.05 BTC 獎勵，作為其質押的2B TC 1 周資金佔用以及誠實籤署 CET 的手續費。
任意參與方均能夠對 Oracle_sign 發起挑战：

若 Oracle_sign 誠實，則無法發起 Disprove-CET 1 交易， 1 周後執行 CET 結算。此外，預言機質押解鎖，並獲得手續費；

若 Oracle_sign 不誠實，即任何人成功發起了 Disprove-CET 1 交易，成功花費了 connector A output，則該預言機的該籤名無效，損失所質押的2B TC，且未來該預言機均不可再對該 DLC 合約發起相同結果的籤名，因依賴該 connector A output 的 Settle-CET 1 將永久失效。
OP-DLC 中的挑战是 Permissionless 的，即任意參與方均可監督 OP-DLC 內的合約是否正確執行。因此，實現了對預言機的信任最小化。與閃電網絡相比，Alice 和 Bob 也可離线。因為預言機只有誠實籤名才會結算 CET，而作惡的預言機會被被任何人挑战和懲罰。

優點：

對資產控制度高，只信任自己：Alice 和 Bob 均可以成為預言機，籤署 CET。樂觀挑战機制會挫敗錯誤的 CET，所以無法作惡。因此，OP-DLC 可做到用戶只相信自己。在 BitVM 中，用戶需要作為 Operator，並必須參與後續所有的入金，才能做到只信任自己。如果用戶作為 Operator 只參與 BitVM 單個 UTXO 入金，該 UTXO 可被任意其它(n-1)個 Operator 合法報銷，則該用戶未來的出金，將仍需信任其它 Operator 會墊付。BitVM Operator 的報銷權限鎖定在各單個入金 UTXO 上。
資金利用率高：若用戶只信任自己，需要的資金量不一樣。OP-DLC 中用戶依賴自己出金，不需要用等量資金墊付；而 BitVM 中，用戶需要等量資金墊付，然後報銷。這帶來了更大的資金壓力。
能籤字的預言機需在 OP-DLC 入金時確定，但用戶自己也可成為預言機，可自己給自己籤。

缺點：

出金時間需 1 周：本質上 OP-DLC 和 BitVM 的資金時間成本都是存在且等量的。OP-DLC 出金需經過挑战期才能拿到資金；如果 BitVM 依賴用戶自己墊付，則等量墊付資金也需經過挑战期才能成功報銷。如果 BitVM 依賴其它 Operator 墊付快速出金，則意味着需給 Operator 等量資金的資金時間成本作為手續費。
需要預籤的籤名數量增長較快，與 CET 數量呈线性關系。需要盡可能多的 CET，才能枚舉所有的提幣結果。