Bitcoin adalah aset digital yang terdesentralisasi, aman, dan tepercaya. Namun, ia memiliki keterbatasan signifikan yang mencegahnya menjadi jaringan yang dapat diskalakan untuk pembayaran dan aplikasi lainnya. Masalah penskalaan Bitcoin telah menjadi perhatian sejak awal berdirinya. Model Bitcoin UTXO memperlakukan setiap transaksi sebagai peristiwa independen, sehingga menghasilkan sistem tanpa kewarganegaraan yang tidak memiliki kemampuan untuk melakukan penghitungan rumit dan bergantung pada negara. Oleh karena itu, meskipun Bitcoin dapat melakukan skrip sederhana dan transaksi multi-tanda tangan, Bitcoin mengalami kesulitan dalam memfasilitasi interaksi kontrak yang kompleks dan dinamis yang umum terjadi pada platform blockchain stateful. Masalah ini secara signifikan membatasi cakupan aplikasi terdesentralisasi (dApps) dan instrumen keuangan kompleks yang dapat dibangun di atas Bitcoin, sementara platform model negara menyediakan lingkungan yang lebih beragam untuk menerapkan dan mengeksekusi kontrak pintar yang kaya fitur.
Untuk ekspansi Bitcoin, terutama terdapat teknologi seperti saluran negara, rantai samping, dan verifikasi klien. Di antara saluran-saluran tersebut, saluran-saluran pemerintah menyediakan solusi pembayaran yang aman dan beragam, namun kemampuan mereka terbatas untuk memverifikasi penghitungan rumit yang sewenang-wenang. Keterbatasan ini mengurangi penggunaannya dalam berbagai skenario yang memerlukan logika dan interaksi kondisional yang kompleks. Sidechains, meskipun mendukung berbagai aplikasi dan menyediakan keragaman fungsi di luar Bitcoin, memiliki keamanan yang lebih rendah. Perbedaan keamanan ini berasal dari fakta bahwa sidechain menggunakan mekanisme konsensus independen, yang kurang kuat dibandingkan mekanisme konsensus Bitcoin. Verifikasi sisi klien, menggunakan model Bitcoin UTXO, dapat menangani transaksi yang lebih kompleks, namun tidak memiliki kemampuan batasan checksum dua arah dengan Bitcoin, sehingga keamanannya lebih rendah dibandingkan Bitcoin. Desain protokol verifikasi klien off-chain bergantung pada server atau infrastruktur cloud, yang dapat menyebabkan sentralisasi atau potensi sensor melalui server yang disusupi. Desain validasi sisi klien off-chain juga menimbulkan lebih banyak kompleksitas pada infrastruktur blockchain, yang berpotensi menyebabkan masalah skalabilitas.
Pada bulan Desember 2023, pemimpin proyek ZeroSync Robin Linus menerbitkan buku putih berjudul "BitVM: Hitung Apa Pun Dengan Bitcoin", yang memicu pemikiran semua orang untuk meningkatkan kemampuan program Bitcoin. Makalah ini mengusulkan solusi kontrak Bitcoin yang dapat mencapai kelengkapan Turing tanpa mengubah konsensus jaringan Bitcoin, sehingga perhitungan rumit apa pun dapat diverifikasi pada Bitcoin tanpa mengubah aturan dasar Bitcoin. BitVM memanfaatkan sepenuhnya Bitcoin Script dan Taproot untuk mencapai rollup yang optimis. Berdasarkan tanda tangan Lamport (juga dikenal sebagai komitmen bit), koneksi dibuat antara dua UTXO Bitcoin untuk mengimplementasikan skrip Bitcoin stateful. Dengan berkomitmen pada program besar di alamat Taproot, operator dan validator terlibat dalam interaksi off-chain yang ekstensif, sehingga menghasilkan jejak on-chain yang kecil. Jika kedua belah pihak bekerja sama, perhitungan off-chain yang rumit dan rumit dapat dilakukan tanpa meninggalkan jejak apa pun pada rantai. Jika kedua belah pihak tidak bekerja sama, maka ketika terjadi perselisihan, diperlukan eksekusi on-chain. Hasilnya, BitVM sangat memperluas potensi kasus penggunaan Bitcoin, memungkinkan Bitcoin berfungsi tidak hanya sebagai mata uang tetapi juga sebagai platform verifikasi untuk berbagai aplikasi terdesentralisasi dan tugas komputasi yang kompleks.
Namun, meskipun teknologi BitVM memiliki keunggulan besar dalam ekspansi Bitcoin, teknologi ini masih dalam tahap awal dan masih terdapat beberapa masalah dalam hal efisiensi dan keamanan. Misalnya: (1) Tantangan dan respons memerlukan banyak interaksi, sehingga memerlukan biaya penanganan yang mahal dan siklus tantangan yang panjang; (2) Data tanda tangan satu kali Lamport panjang dan panjang datanya perlu dikurangi; (3) Fungsi hashnya adalah kompleks dan membutuhkan fungsi hash ramah Bitcoin untuk mengurangi biaya; (4) Kontrak BitVM yang ada sangat besar dan kapasitas blok Bitcoin terbatas. Less s dapat digunakan untuk mengimplementasikan BitVM less s, menghemat ruang blok Bitcoin dan meningkatkan efisiensi BitVM; (5 ) BitVM yang ada mengadopsi model izin. Hanya anggota aliansi yang dapat memulai tantangan, dan terbatas hanya pada dua pihak. Ini harus diperluas ke model tantangan multi-pihak tanpa izin untuk lebih mengurangi asumsi kepercayaan. Untuk mencapai tujuan ini, artikel ini mengusulkan beberapa ide pengoptimalan untuk lebih meningkatkan efisiensi dan keamanan BitVM.
2. Prinsip BitVM
BitVM diposisikan sebagai kontrak off-chain Bitcoin dan berkomitmen untuk mempromosikan fungsi kontrak Bitcoin. Saat ini skrip Bitcoin benar-benar tanpa kewarganegaraan, jadi ketika skrip Bitcoin dijalankan, lingkungan eksekusinya direset setelah setiap skrip. Tidak ada cara asli agar skrip 1 dan skrip 2 memiliki nilai x yang sama, dan Bitcoin Script tidak mendukung hal ini secara asli. Namun, Anda masih dapat menggunakan opcode yang ada untuk membuat skrip Bitcoin menjadi stateful melalui tanda tangan satu kali Lamport. Misalnya, Anda dapat memaksa x pada 1 dan 2 memiliki nilai yang sama. Peserta dapat dikenakan sanksi jika menandatangani nilai x yang bertentangan. Perhitungan program BitVM terjadi secara off-chain, sedangkan verifikasi hasil perhitungan terjadi secara on-chain. Blok Bitcoin saat ini memiliki batas 1 MB. Ketika perhitungan verifikasi terlalu rumit, teknologi OP dapat digunakan untuk mengadopsi mode respons tantangan untuk mendukung verifikasi perhitungan kompleksitas yang lebih tinggi.
Mirip dengan Optimistic Rollup dan proposal MATT (Merkelize All The Things), sistem BitVM didasarkan pada protokol anti-penipuan dan respons tantangan, namun tidak memerlukan modifikasi aturan konsensus Bitcoin. Primitif yang mendasari BitVM sederhana, terutama didasarkan pada kunci hash, kunci waktu, dan pohon akar tunggang yang besar.
Pepatah melakukan byte demi byte, tetapi memverifikasi semua perhitungan secara on-chain akan terlalu mahal. Jadi, pemeriksa melakukan serangkaian tantangan yang dirancang dengan hati-hati untuk secara ringkas menyangkal klaim palsu dari pemberi bukti. Pembukti dan validator bersama-sama menandatangani serangkaian transaksi tantangan dan respons yang digunakan untuk menyelesaikan perselisihan, memungkinkan verifikasi komputasi universal pada Bitcoin.
Komponen utama BitVM adalah:
Komitmen Sirkuit: Pemeriksa dan verifikator mengkompilasi program ke dalam sirkuit biner besar. Pemeriksa melakukan komitmen ke sirkuit dalam alamat Taproot, dan setiap skrip daun di bawah alamat ini sesuai dengan setiap gerbang logika di sirkuit. Inti didasarkan pada komitmen bit untuk mengimplementasikan komitmen gerbang logika dan komitmen sirkuit.
Tantangan dan Respons: Pemberi dan verifikasi telah menandatangani serangkaian transaksi terlebih dahulu untuk menerapkan permainan respons-tantangan. Idealnya, interaksi ini dilakukan secara off-chain, tetapi juga dapat dilakukan secara on-chain ketika pembuktinya tidak kooperatif.
Penalti Ambigu: Jika pembukti membuat pernyataan yang salah, pemverifikasi dapat mengambil uang jaminan pembukti setelah berhasil menantangnya untuk menggagalkan perilaku jahat pembukti.
3.Optimasi BitVM
3.1 Mengurangi jumlah interaksi OP berdasarkan ZK
Saat ini ada 2 Rollup utama: ZK Rollup dan OP Rollup. Diantaranya, ZK Rollups mengandalkan verifikasi validitas ZK Proof, yaitu bukti kriptografi dari eksekusi yang benar, dan keamanannya bergantung pada asumsi kompleksitas komputasi; OP Rollups mengandalkan Fraud Proof, dengan asumsi bahwa status yang dikirimkan benar, pengaturan Periode tantangan biasanya 7 hari, dan keamanannya mengasumsikan bahwa setidaknya satu pihak jujur dalam sistem dapat mendeteksi keadaan yang salah dan menyerahkan bukti penipuan. Asumsikan jumlah langkah maksimum program tantangan BitVM adalah 2 ^{ 32 }, dan memori yang diperlukan adalah 2 ^{ 32 }* 4 byte, yaitu sekitar 17 GB. Dalam kasus terburuk, dibutuhkan sekitar 40 putaran tantangan dan respons, sekitar setengah tahun, dan total skrip sekitar 150 KB. Terdapat kekurangan yang serius dalam hal insentif dalam situasi ini, namun hal ini hampir tidak pernah terjadi dalam praktiknya.
Pertimbangkan untuk menggunakan bukti tanpa pengetahuan untuk mengurangi jumlah tantangan BitVM, sehingga meningkatkan efisiensi BitVM. Menurut teori pembuktian tanpa pengetahuan, jika data Data memenuhi algoritma F, terbukti bahwa pembuktian memenuhi algoritma verifikasi Verifikasi, yaitu algoritma verifikasi mengeluarkan keluaran Benar; jika data Data tidak memenuhi algoritma F, terbukti pembuktiannya tidak memenuhi algoritma verifikasi Verify, yaitu keluaran algoritma verifikasi False . Dalam sistem BitVM, jika penantang tidak mengenali data yang dikirimkan oleh pembukti, tantangan akan dimulai.
Untuk algoritma F, gunakan metode dikotomi untuk membaginya. Asumsikan diperlukan 2^n kali untuk menemukan titik kesalahan, jika kompleksitas algoritma terlalu tinggi, n akan besar dan membutuhkan waktu lama untuk menyelesaikannya. Namun, kompleksitas algoritma verifikasi Verifikasi bukti tanpa pengetahuan sudah diperbaiki. Seluruh proses pembuktian dan algoritma verifikasi Verifikasi bersifat publik, dan hasilnya ditemukan Salah. Keuntungan dari zero-knowledge proof adalah kompleksitas komputasi yang diperlukan untuk membuka algoritma verifikasi Verify jauh lebih rendah dibandingkan metode biner untuk membuka algoritma asli F. Oleh karena itu, dengan bantuan bukti tanpa pengetahuan, BitVM tidak lagi menantang algoritma asli F, tetapi algoritma verifikasi Verifikasi, mengurangi jumlah putaran tantangan dan memperpendek siklus tantangan.
Terakhir, meskipun efektivitas bukti tanpa pengetahuan dan bukti penipuan bergantung pada asumsi keamanan yang berbeda, keduanya dapat digabungkan untuk membangun Bukti Penipuan ZK dan mewujudkan Bukti ZK Sesuai Permintaan. Berbeda dengan ZK Rollup penuh, yang tidak perlu lagi menghasilkan bukti ZK untuk setiap transisi keadaan, model Sesuai Permintaan menjadikan ZK Proof hanya diperlukan ketika ada tantangan, sementara keseluruhan desain Rollup masih optimis. Oleh karena itu, status yang dihasilkan masih valid secara default hingga ada yang menantangnya. Jika tidak ada tantangan dalam keadaan tertentu, tidak perlu menghasilkan Bukti ZK apa pun. Namun, jika peserta memulai tantangan, Bukti ZK perlu dihasilkan untuk kebenaran semua transaksi di blok tantangan. Di masa depan, kita dapat mengeksplorasi pembuatan ZK Fraud Proof untuk satu instruksi kontroversial guna menghindari biaya komputasi dalam menghasilkan ZK Proof sepanjang waktu.
3.2 Tanda tangan satu kali yang ramah Bitcoin
Dalam jaringan Bitcoin, transaksi yang mengikuti aturan konsensus adalah transaksi yang valid, namun selain aturan konsensus, aturan standar juga diperkenalkan. Node Bitcoin hanya meneruskan transaksi standar yang disiarkan, satu-satunya cara untuk mengemas transaksi yang valid tetapi non-standar adalah secara langsung dengan bekerja sama dengan penambang.
Menurut aturan konsensus, ukuran maksimum transaksi lama (non-Segwit) adalah 1 MB, yang menempati seluruh blok. Namun batas standar untuk transaksi lawas adalah 100 kB. Menurut aturan konsensus, ukuran maksimum transaksi Segwit adalah 4 MB, yang merupakan batas bobot. Namun batas standart transaksi Segwit adalah 400 kB.
Tanda tangan Lamport adalah komponen dasar BitVM yang mengurangi panjang tanda tangan dan kunci publik, sehingga membantu mengurangi data transaksi dan dengan demikian mengurangi biaya penanganan. Tanda tangan satu kali Lamport memerlukan penggunaan fungsi hash (seperti fungsi permutasi satu arah f). Dalam skema tanda tangan satu kali Lamport, panjang pesan adalah v bit, panjang kunci publik adalah 2 v bit, dan panjang tanda tangan juga 2 v bit. Tanda tangan dan kunci publiknya panjang dan memerlukan gas penyimpanan dalam jumlah besar. Oleh karena itu, ada kebutuhan untuk menemukan skema tanda tangan dengan fungsi serupa untuk mengurangi panjang tanda tangan dan kunci publik. Dibandingkan dengan tanda tangan satu kali Lamport, tanda tangan satu kali Winternitz telah secara signifikan mengurangi panjang tanda tangan dan kunci publik, namun meningkatkan kompleksitas komputasi tanda tangan dan verifikasi tanda tangan.
Dalam skema tanda tangan satu kali Winternitz, fungsi khusus P digunakan untuk memetakan pesan v-bit ke dalam vektor s dengan panjang n. Nilai setiap elemen dalam s adalah {0,..., d}. Skema tanda tangan satu kali Lamport adalah skema tanda tangan satu kali Winternitz dalam kasus khusus d= 1. Dalam skema tanda tangan satu kali Winternitz, hubungan antara n, d, v memenuhi: n≈v/log 2(d+ 1). Jika d= 15, terdapat n≈(v/4)+ 1. Untuk tanda tangan Winternitz yang mengandung n elemen, panjang kunci publik dan panjang tanda tangan 4 kali lebih pendek dibandingkan skema tanda tangan satu kali Lamport. Namun, kompleksitas verifikasi tanda tangan meningkat 4 kali lipat. Menggunakan d= 15, v= 160, f=ripemd 160(x) di BitVM untuk mengimplementasikan tanda tangan satu kali Winternitz dapat mengurangi ukuran komitmen bit sebesar 50%, sehingga mengurangi biaya transaksi BitVM setidaknya sebesar 50%. Di masa depan, sambil mengoptimalkan implementasi Skrip Bitcoin Winternitz yang ada, skema tanda tangan satu kali yang lebih ringkas yang dinyatakan dalam Skrip Bitcoin dapat dieksplorasi.
3.3 Fungsi hash ramah Bitcoin
Sesuai aturan konsensus, ukuran maksimum P 2 TR adalah 10 kB, dan ukuran maksimum saksi P 2 TR sama dengan ukuran maksimum transaksi Segwit, yaitu 4 MB. Namun batas atas standartabilitas saksi P 2 TR adalah 400 kB.
Saat ini, jaringan Bitcoin tidak mendukung OP_CAT, dan string string tidak dapat disambung untuk verifikasi jalur Merkle. Oleh karena itu, perlu menggunakan skrip Bitcoin yang ada untuk mengimplementasikan fungsi hash ramah Bitcoin dengan ukuran optimal dan ukuran saksi untuk mendukung fungsi verifikasi bukti penyertaan merekle.
BLAKE 3 adalah versi optimal dari fungsi hash BLAKE 2 dan memperkenalkan mode pohon Bao. Dibandingkan dengan berbasis BLAKE 2 s, jumlah putaran fungsi kompresinya berkurang dari 10 menjadi 7. Fungsi hash BLAKE 3 akan membagi inputnya menjadi potongan-potongan berurutan berukuran 1024 byte, potongan terakhir mungkin lebih pendek tetapi tidak kosong. Jika hanya ada satu bongkahan, maka bongkahan tersebut adalah simpul akar dan satu-satunya simpul pada pohon. Susun potongan ini sebagai simpul daun dari pohon biner, lalu kompres setiap potongan secara terpisah.
Ketika BitVM digunakan untuk memverifikasi skenario bukti penyertaan Merkle, input operasi hash terdiri dari dua nilai hash 256-bit, yaitu input operasi hash adalah 64 byte. Saat menggunakan fungsi hash BLAKE 3, 64 byte ini dapat dialokasikan dalam satu potongan, dan seluruh operasi hash BLAKE 3 hanya perlu menerapkan fungsi kompresi satu kali ke satu potongan. Pada fungsi kompresi BLAKE 3, fungsi putaran harus dijalankan sebanyak 7 kali dan fungsi permutasi sebanyak 6 kali.
Saat ini, operasi dasar seperti XOR, penambahan modular, dan pergeseran bit ke kanan berdasarkan nilai u 32 telah diselesaikan di BitVM, dan fungsi hash BLAKE 3 yang diimplementasikan oleh skrip Bitcoin dapat dengan mudah dirakit. Gunakan 4 byte terpisah dalam tumpukan untuk mewakili u 32 kata untuk mengimplementasikan penambahan u 32, XOR 32 bitwise, dan rotasi bitwise u 32 yang diperlukan oleh BLAKE 3. Skrip Bitcoin fungsi hash BLAKE 3 saat ini berjumlah sekitar 100 kB, yang cukup untuk membuat versi mainan BitVM.
Selain itu, kode BLAKE 3 ini dapat dibagi, memungkinkan Verifier dan Prover mengurangi secara signifikan data on-chain yang diperlukan dengan membagi dua eksekusi dalam permainan respons tantangan alih-alih mengeksekusinya seluruhnya. Terakhir, gunakan skrip Bitcoin untuk mengimplementasikan fungsi hash seperti Keccak-256 dan Grøstl, pilih fungsi hash yang paling ramah Bitcoin, dan jelajahi fungsi hash ramah Bitcoin baru lainnya.
3,4 lebih sedikit dengan BitVM
less s adalah metode mengeksekusi kontrak pintar secara off-chain dengan menggunakan tanda tangan Schnorr. Konsep Scripless s lahir dari Mimblewimble yang tidak menyimpan data permanen kecuali kernel dan tanda tangannya.
Keuntungan dari less s adalah fungsionalitas, privasi, dan efisiensi.
**Fitur: **less s dapat meningkatkan cakupan dan kompleksitas kontrak pintar. Kemampuan skrip Bitcoin dibatasi oleh jumlah OP_CODES yang diaktifkan di jaringan, dan lebih sedikit yang memindahkan spesifikasi dan eksekusi kontrak pintar dari rantai ke diskusi hanya di antara peserta kontrak desain, tanpa menunggu cabang jaringan Bitcoin diaktifkan Opcode baru.
**Privasi:**Memindahkan spesifikasi dan pelaksanaan kontrak pintar dari on-chain ke off-chain meningkatkan privasi. Dalam rantai tersebut, banyak rincian kontrak yang akan dibagikan ke seluruh jaringan, termasuk nomor dan alamat peserta serta jumlah transfer. Dengan memindahkan kontrak pintar ke luar rantai, jaringan hanya mengetahui bahwa peserta setuju bahwa persyaratan kontrak mereka telah dipenuhi dan transaksi yang mendasarinya valid.
**Efisiensi: **kurang s meminimalkan jumlah data yang diverifikasi dan disimpan secara on-chain. Dengan memindahkan kontrak pintar ke luar rantai, biaya manajemen untuk node penuh akan berkurang dan biaya transaksi untuk pengguna juga akan berkurang.
less s adalah pendekatan untuk merancang protokol kriptografi pada Bitcoin yang menghindari kebutuhan untuk mengeksekusi kontrak pintar yang eksplisit. Ide intinya adalah menggunakan algoritma kriptografi untuk mencapai fungsionalitas yang diinginkan daripada menggunakan skrip untuk mencapai fungsionalitas tersebut. Tanda tangan adaptor dan tanda tangan multi adalah elemen penyusun asli dari sistem yang lebih kecil. Dengan menggunakan lebih sedikit s, Anda dapat mencapai transaksi yang lebih kecil dibandingkan transaksi biasa dan mengurangi biaya transaksi.
Dengan bantuan less s, multi-signature dan tanda tangan adaptor Schnorr dapat digunakan, yang tidak lagi memberikan nilai hash dan preimage hash seperti solusi BitVM, dan juga dapat mewujudkan komitmen gerbang logika di sirkuit BitVM, sehingga menghemat BitVM ruang skrip dan meningkatkan efisiensi BitVM. . Meskipun skema less s yang ada dapat mengurangi ruang skrip BitVM, hal ini memerlukan sejumlah besar interaksi antara pembukti dan penantang untuk menggabungkan kunci publik. Di masa depan, kami akan meningkatkan solusi ini dan mencoba memperkenalkan Scripless ke dalam modul fungsi BitVM tertentu.
3.5 Tantangan multi-partai tanpa izin
Alasan mengapa tantangan BitVM saat ini memerlukan izin secara default adalah karena UTXO Bitcoin hanya dapat dijalankan satu kali, sehingga memungkinkan pemverifikasi jahat untuk "membuang-buang" kontrak dengan menantang pembukti yang jujur. BitVM saat ini terbatas pada mode tantangan dua pihak. Seorang pembukti yang mencoba melakukan kejahatan dapat secara bersamaan meluncurkan tantangan dengan verifikator yang dikendalikannya, sehingga "membuang" kontrak, membuat tindakan jahat tersebut berhasil, dan verifikator lain tidak dapat mencegah perilaku tersebut. Oleh karena itu, berdasarkan Bitcoin, protokol tantangan OP multi-pihak tanpa izin perlu dipelajari, yang dapat memperluas model kepercayaan 1-of-n BitVM yang ada menjadi 1-of-N. Diantaranya, N jauh lebih besar dari n. Selain itu, ada kebutuhan untuk mempelajari dan memecahkan masalah para penantang yang berkolusi dengan pihak yang membuktikan atau dengan jahat menentang kontrak-kontrak yang "terbuang sia-sia". Pada akhirnya mengimplementasikan protokol BitVM dengan kepercayaan yang lebih rendah.
Tantangan multi-partai tanpa izin, memungkinkan siapa saja untuk berpartisipasi tanpa daftar izin. Artinya pengguna dapat menarik koin dari L2 tanpa keterlibatan pihak ketiga yang terpercaya. Selain itu, setiap pengguna yang ingin berpartisipasi dalam protokol tantangan OP dapat menantang dan menghapus penarikan yang tidak valid.
Untuk memperluas BitVM ke model tantangan multi-pihak tanpa izin, serangan berikut perlu diselesaikan:
Serangan Sybil: Sekalipun penyerang memalsukan banyak identitas untuk berpartisipasi dalam tantangan sengketa, satu pihak yang jujur masih bisa memenangkan sengketa tersebut. Jika biaya yang harus ditanggung pihak yang jujur dalam mempertahankan hasil yang benar berhubungan secara linear dengan jumlah penyerang, maka ketika sejumlah besar penyerang terlibat, biaya untuk memenangkan perselisihan menjadi tidak realistis dan rentan terhadap serangan penyihir. Dalam makalah Turnamen Wasit Tanpa Izin, diusulkan sebuah algoritma penyelesaian perselisihan yang mengubah permainan.Biaya dari satu peserta jujur yang memenangkan perselisihan meningkat secara logaritmik dengan jumlah lawan, bukan secara linier.
Delay Attack: Pihak jahat atau sekelompok pihak jahat mengikuti strategi tertentu untuk mencegah atau menunda konfirmasi hasil yang benar (seperti penarikan aset ke L1) di L1, dan memaksa pembukti jujur mengeluarkan biaya L1. Masalah ini dapat diatasi dengan mengharuskan penantang untuk mempertaruhkan terlebih dahulu. Jika penantang melancarkan serangan tertunda, taruhannya akan hangus. Namun, jika penyerang bersedia mengorbankan staking dalam batas tertentu untuk mengejar serangan penundaan, maka harus ada tindakan pencegahan untuk mengurangi dampak serangan penundaan tersebut. Algoritme yang diusulkan dalam makalah BoLD: Penundaan Likuiditas Terikat dalam Protokol Tantangan Rollup membuatnya sedemikian rupa sehingga tidak peduli berapa banyak janji yang ingin dilepaskan oleh penyerang, serangan terburuk hanya dapat menyebabkan batas atas penundaan tertentu.
Di masa depan, kami akan mengeksplorasi model tantangan multi-pihak tanpa izin BitVM yang sesuai dengan karakteristik Bitcoin dan dapat menahan masalah serangan di atas.
4. Kesimpulan
Eksplorasi teknologi BitVM baru saja dimulai. Kedepannya, lebih banyak arah optimasi akan dieksplorasi dan diterapkan untuk mencapai perluasan Bitcoin dan mensejahterakan ekosistem Bitcoin.
referensi
BitVM: Hitung Apa Pun di Bitcoin
BitVM:Kontrak Bitcoin di luar rantai
Robin Linus di BitVM
[bitcoin-dev] BitVM: Hitung Apa Pun di Bitcoin
Pasangan Aneh: ZK dan Rollup Optimis pada Tanggal Skalabilitas
Apa saja transaksi dan batasan Bitcoin?
BIP-342: Validasi Akar Tunggang s
8._linus/status/1765337186222686347
Kursus Pascasarjana Kriptografi Terapan
BLAKE 3: satu fungsi, cepat kemana saja
[bitcoin-dev] Menerapkan Blake 3 di Bitcoin
Pengantar kurang s
BitVM menggunakan lebih sedikit s
Solusi untuk Menunda Serangan pada Rollup
Memperkenalkan DAVE. Bukti Kesalahan Tanpa Izin Cartesi.
Serangan Penundaan pada Rollup
Solusi untuk Menunda Serangan pada Rollup - Penelitian Arbitrum
Catatan Game Komputasi Interaktif Multi Pemain
BoLD: Penundaan Likuiditas Terikat dalam Protokol Rollup Challenge
Turnamen Wasit Tanpa Izin
Tautan asli
Lihat Asli
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Analisis prinsip BitVM dan pertimbangan optimasi
Sumber asli: Kelompok Penelitian Bitlayer
Penulis asli: lynndell, mutourend.
1. Perkenalan
Bitcoin adalah aset digital yang terdesentralisasi, aman, dan tepercaya. Namun, ia memiliki keterbatasan signifikan yang mencegahnya menjadi jaringan yang dapat diskalakan untuk pembayaran dan aplikasi lainnya. Masalah penskalaan Bitcoin telah menjadi perhatian sejak awal berdirinya. Model Bitcoin UTXO memperlakukan setiap transaksi sebagai peristiwa independen, sehingga menghasilkan sistem tanpa kewarganegaraan yang tidak memiliki kemampuan untuk melakukan penghitungan rumit dan bergantung pada negara. Oleh karena itu, meskipun Bitcoin dapat melakukan skrip sederhana dan transaksi multi-tanda tangan, Bitcoin mengalami kesulitan dalam memfasilitasi interaksi kontrak yang kompleks dan dinamis yang umum terjadi pada platform blockchain stateful. Masalah ini secara signifikan membatasi cakupan aplikasi terdesentralisasi (dApps) dan instrumen keuangan kompleks yang dapat dibangun di atas Bitcoin, sementara platform model negara menyediakan lingkungan yang lebih beragam untuk menerapkan dan mengeksekusi kontrak pintar yang kaya fitur.
Untuk ekspansi Bitcoin, terutama terdapat teknologi seperti saluran negara, rantai samping, dan verifikasi klien. Di antara saluran-saluran tersebut, saluran-saluran pemerintah menyediakan solusi pembayaran yang aman dan beragam, namun kemampuan mereka terbatas untuk memverifikasi penghitungan rumit yang sewenang-wenang. Keterbatasan ini mengurangi penggunaannya dalam berbagai skenario yang memerlukan logika dan interaksi kondisional yang kompleks. Sidechains, meskipun mendukung berbagai aplikasi dan menyediakan keragaman fungsi di luar Bitcoin, memiliki keamanan yang lebih rendah. Perbedaan keamanan ini berasal dari fakta bahwa sidechain menggunakan mekanisme konsensus independen, yang kurang kuat dibandingkan mekanisme konsensus Bitcoin. Verifikasi sisi klien, menggunakan model Bitcoin UTXO, dapat menangani transaksi yang lebih kompleks, namun tidak memiliki kemampuan batasan checksum dua arah dengan Bitcoin, sehingga keamanannya lebih rendah dibandingkan Bitcoin. Desain protokol verifikasi klien off-chain bergantung pada server atau infrastruktur cloud, yang dapat menyebabkan sentralisasi atau potensi sensor melalui server yang disusupi. Desain validasi sisi klien off-chain juga menimbulkan lebih banyak kompleksitas pada infrastruktur blockchain, yang berpotensi menyebabkan masalah skalabilitas.
Pada bulan Desember 2023, pemimpin proyek ZeroSync Robin Linus menerbitkan buku putih berjudul "BitVM: Hitung Apa Pun Dengan Bitcoin", yang memicu pemikiran semua orang untuk meningkatkan kemampuan program Bitcoin. Makalah ini mengusulkan solusi kontrak Bitcoin yang dapat mencapai kelengkapan Turing tanpa mengubah konsensus jaringan Bitcoin, sehingga perhitungan rumit apa pun dapat diverifikasi pada Bitcoin tanpa mengubah aturan dasar Bitcoin. BitVM memanfaatkan sepenuhnya Bitcoin Script dan Taproot untuk mencapai rollup yang optimis. Berdasarkan tanda tangan Lamport (juga dikenal sebagai komitmen bit), koneksi dibuat antara dua UTXO Bitcoin untuk mengimplementasikan skrip Bitcoin stateful. Dengan berkomitmen pada program besar di alamat Taproot, operator dan validator terlibat dalam interaksi off-chain yang ekstensif, sehingga menghasilkan jejak on-chain yang kecil. Jika kedua belah pihak bekerja sama, perhitungan off-chain yang rumit dan rumit dapat dilakukan tanpa meninggalkan jejak apa pun pada rantai. Jika kedua belah pihak tidak bekerja sama, maka ketika terjadi perselisihan, diperlukan eksekusi on-chain. Hasilnya, BitVM sangat memperluas potensi kasus penggunaan Bitcoin, memungkinkan Bitcoin berfungsi tidak hanya sebagai mata uang tetapi juga sebagai platform verifikasi untuk berbagai aplikasi terdesentralisasi dan tugas komputasi yang kompleks.
Namun, meskipun teknologi BitVM memiliki keunggulan besar dalam ekspansi Bitcoin, teknologi ini masih dalam tahap awal dan masih terdapat beberapa masalah dalam hal efisiensi dan keamanan. Misalnya: (1) Tantangan dan respons memerlukan banyak interaksi, sehingga memerlukan biaya penanganan yang mahal dan siklus tantangan yang panjang; (2) Data tanda tangan satu kali Lamport panjang dan panjang datanya perlu dikurangi; (3) Fungsi hashnya adalah kompleks dan membutuhkan fungsi hash ramah Bitcoin untuk mengurangi biaya; (4) Kontrak BitVM yang ada sangat besar dan kapasitas blok Bitcoin terbatas. Less s dapat digunakan untuk mengimplementasikan BitVM less s, menghemat ruang blok Bitcoin dan meningkatkan efisiensi BitVM; (5 ) BitVM yang ada mengadopsi model izin. Hanya anggota aliansi yang dapat memulai tantangan, dan terbatas hanya pada dua pihak. Ini harus diperluas ke model tantangan multi-pihak tanpa izin untuk lebih mengurangi asumsi kepercayaan. Untuk mencapai tujuan ini, artikel ini mengusulkan beberapa ide pengoptimalan untuk lebih meningkatkan efisiensi dan keamanan BitVM.
2. Prinsip BitVM
BitVM diposisikan sebagai kontrak off-chain Bitcoin dan berkomitmen untuk mempromosikan fungsi kontrak Bitcoin. Saat ini skrip Bitcoin benar-benar tanpa kewarganegaraan, jadi ketika skrip Bitcoin dijalankan, lingkungan eksekusinya direset setelah setiap skrip. Tidak ada cara asli agar skrip 1 dan skrip 2 memiliki nilai x yang sama, dan Bitcoin Script tidak mendukung hal ini secara asli. Namun, Anda masih dapat menggunakan opcode yang ada untuk membuat skrip Bitcoin menjadi stateful melalui tanda tangan satu kali Lamport. Misalnya, Anda dapat memaksa x pada 1 dan 2 memiliki nilai yang sama. Peserta dapat dikenakan sanksi jika menandatangani nilai x yang bertentangan. Perhitungan program BitVM terjadi secara off-chain, sedangkan verifikasi hasil perhitungan terjadi secara on-chain. Blok Bitcoin saat ini memiliki batas 1 MB. Ketika perhitungan verifikasi terlalu rumit, teknologi OP dapat digunakan untuk mengadopsi mode respons tantangan untuk mendukung verifikasi perhitungan kompleksitas yang lebih tinggi.
Mirip dengan Optimistic Rollup dan proposal MATT (Merkelize All The Things), sistem BitVM didasarkan pada protokol anti-penipuan dan respons tantangan, namun tidak memerlukan modifikasi aturan konsensus Bitcoin. Primitif yang mendasari BitVM sederhana, terutama didasarkan pada kunci hash, kunci waktu, dan pohon akar tunggang yang besar.
Pepatah melakukan byte demi byte, tetapi memverifikasi semua perhitungan secara on-chain akan terlalu mahal. Jadi, pemeriksa melakukan serangkaian tantangan yang dirancang dengan hati-hati untuk secara ringkas menyangkal klaim palsu dari pemberi bukti. Pembukti dan validator bersama-sama menandatangani serangkaian transaksi tantangan dan respons yang digunakan untuk menyelesaikan perselisihan, memungkinkan verifikasi komputasi universal pada Bitcoin.
Komponen utama BitVM adalah:
3.Optimasi BitVM
3.1 Mengurangi jumlah interaksi OP berdasarkan ZK
Saat ini ada 2 Rollup utama: ZK Rollup dan OP Rollup. Diantaranya, ZK Rollups mengandalkan verifikasi validitas ZK Proof, yaitu bukti kriptografi dari eksekusi yang benar, dan keamanannya bergantung pada asumsi kompleksitas komputasi; OP Rollups mengandalkan Fraud Proof, dengan asumsi bahwa status yang dikirimkan benar, pengaturan Periode tantangan biasanya 7 hari, dan keamanannya mengasumsikan bahwa setidaknya satu pihak jujur dalam sistem dapat mendeteksi keadaan yang salah dan menyerahkan bukti penipuan. Asumsikan jumlah langkah maksimum program tantangan BitVM adalah 2 ^{ 32 }, dan memori yang diperlukan adalah 2 ^{ 32 }* 4 byte, yaitu sekitar 17 GB. Dalam kasus terburuk, dibutuhkan sekitar 40 putaran tantangan dan respons, sekitar setengah tahun, dan total skrip sekitar 150 KB. Terdapat kekurangan yang serius dalam hal insentif dalam situasi ini, namun hal ini hampir tidak pernah terjadi dalam praktiknya.
Pertimbangkan untuk menggunakan bukti tanpa pengetahuan untuk mengurangi jumlah tantangan BitVM, sehingga meningkatkan efisiensi BitVM. Menurut teori pembuktian tanpa pengetahuan, jika data Data memenuhi algoritma F, terbukti bahwa pembuktian memenuhi algoritma verifikasi Verifikasi, yaitu algoritma verifikasi mengeluarkan keluaran Benar; jika data Data tidak memenuhi algoritma F, terbukti pembuktiannya tidak memenuhi algoritma verifikasi Verify, yaitu keluaran algoritma verifikasi False . Dalam sistem BitVM, jika penantang tidak mengenali data yang dikirimkan oleh pembukti, tantangan akan dimulai.
Untuk algoritma F, gunakan metode dikotomi untuk membaginya. Asumsikan diperlukan 2^n kali untuk menemukan titik kesalahan, jika kompleksitas algoritma terlalu tinggi, n akan besar dan membutuhkan waktu lama untuk menyelesaikannya. Namun, kompleksitas algoritma verifikasi Verifikasi bukti tanpa pengetahuan sudah diperbaiki. Seluruh proses pembuktian dan algoritma verifikasi Verifikasi bersifat publik, dan hasilnya ditemukan Salah. Keuntungan dari zero-knowledge proof adalah kompleksitas komputasi yang diperlukan untuk membuka algoritma verifikasi Verify jauh lebih rendah dibandingkan metode biner untuk membuka algoritma asli F. Oleh karena itu, dengan bantuan bukti tanpa pengetahuan, BitVM tidak lagi menantang algoritma asli F, tetapi algoritma verifikasi Verifikasi, mengurangi jumlah putaran tantangan dan memperpendek siklus tantangan.
Terakhir, meskipun efektivitas bukti tanpa pengetahuan dan bukti penipuan bergantung pada asumsi keamanan yang berbeda, keduanya dapat digabungkan untuk membangun Bukti Penipuan ZK dan mewujudkan Bukti ZK Sesuai Permintaan. Berbeda dengan ZK Rollup penuh, yang tidak perlu lagi menghasilkan bukti ZK untuk setiap transisi keadaan, model Sesuai Permintaan menjadikan ZK Proof hanya diperlukan ketika ada tantangan, sementara keseluruhan desain Rollup masih optimis. Oleh karena itu, status yang dihasilkan masih valid secara default hingga ada yang menantangnya. Jika tidak ada tantangan dalam keadaan tertentu, tidak perlu menghasilkan Bukti ZK apa pun. Namun, jika peserta memulai tantangan, Bukti ZK perlu dihasilkan untuk kebenaran semua transaksi di blok tantangan. Di masa depan, kita dapat mengeksplorasi pembuatan ZK Fraud Proof untuk satu instruksi kontroversial guna menghindari biaya komputasi dalam menghasilkan ZK Proof sepanjang waktu.
3.2 Tanda tangan satu kali yang ramah Bitcoin
Dalam jaringan Bitcoin, transaksi yang mengikuti aturan konsensus adalah transaksi yang valid, namun selain aturan konsensus, aturan standar juga diperkenalkan. Node Bitcoin hanya meneruskan transaksi standar yang disiarkan, satu-satunya cara untuk mengemas transaksi yang valid tetapi non-standar adalah secara langsung dengan bekerja sama dengan penambang.
Menurut aturan konsensus, ukuran maksimum transaksi lama (non-Segwit) adalah 1 MB, yang menempati seluruh blok. Namun batas standar untuk transaksi lawas adalah 100 kB. Menurut aturan konsensus, ukuran maksimum transaksi Segwit adalah 4 MB, yang merupakan batas bobot. Namun batas standart transaksi Segwit adalah 400 kB.
Tanda tangan Lamport adalah komponen dasar BitVM yang mengurangi panjang tanda tangan dan kunci publik, sehingga membantu mengurangi data transaksi dan dengan demikian mengurangi biaya penanganan. Tanda tangan satu kali Lamport memerlukan penggunaan fungsi hash (seperti fungsi permutasi satu arah f). Dalam skema tanda tangan satu kali Lamport, panjang pesan adalah v bit, panjang kunci publik adalah 2 v bit, dan panjang tanda tangan juga 2 v bit. Tanda tangan dan kunci publiknya panjang dan memerlukan gas penyimpanan dalam jumlah besar. Oleh karena itu, ada kebutuhan untuk menemukan skema tanda tangan dengan fungsi serupa untuk mengurangi panjang tanda tangan dan kunci publik. Dibandingkan dengan tanda tangan satu kali Lamport, tanda tangan satu kali Winternitz telah secara signifikan mengurangi panjang tanda tangan dan kunci publik, namun meningkatkan kompleksitas komputasi tanda tangan dan verifikasi tanda tangan.
Dalam skema tanda tangan satu kali Winternitz, fungsi khusus P digunakan untuk memetakan pesan v-bit ke dalam vektor s dengan panjang n. Nilai setiap elemen dalam s adalah {0,..., d}. Skema tanda tangan satu kali Lamport adalah skema tanda tangan satu kali Winternitz dalam kasus khusus d= 1. Dalam skema tanda tangan satu kali Winternitz, hubungan antara n, d, v memenuhi: n≈v/log 2(d+ 1). Jika d= 15, terdapat n≈(v/4)+ 1. Untuk tanda tangan Winternitz yang mengandung n elemen, panjang kunci publik dan panjang tanda tangan 4 kali lebih pendek dibandingkan skema tanda tangan satu kali Lamport. Namun, kompleksitas verifikasi tanda tangan meningkat 4 kali lipat. Menggunakan d= 15, v= 160, f=ripemd 160(x) di BitVM untuk mengimplementasikan tanda tangan satu kali Winternitz dapat mengurangi ukuran komitmen bit sebesar 50%, sehingga mengurangi biaya transaksi BitVM setidaknya sebesar 50%. Di masa depan, sambil mengoptimalkan implementasi Skrip Bitcoin Winternitz yang ada, skema tanda tangan satu kali yang lebih ringkas yang dinyatakan dalam Skrip Bitcoin dapat dieksplorasi.
3.3 Fungsi hash ramah Bitcoin
Sesuai aturan konsensus, ukuran maksimum P 2 TR adalah 10 kB, dan ukuran maksimum saksi P 2 TR sama dengan ukuran maksimum transaksi Segwit, yaitu 4 MB. Namun batas atas standartabilitas saksi P 2 TR adalah 400 kB.
Saat ini, jaringan Bitcoin tidak mendukung OP_CAT, dan string string tidak dapat disambung untuk verifikasi jalur Merkle. Oleh karena itu, perlu menggunakan skrip Bitcoin yang ada untuk mengimplementasikan fungsi hash ramah Bitcoin dengan ukuran optimal dan ukuran saksi untuk mendukung fungsi verifikasi bukti penyertaan merekle.
BLAKE 3 adalah versi optimal dari fungsi hash BLAKE 2 dan memperkenalkan mode pohon Bao. Dibandingkan dengan berbasis BLAKE 2 s, jumlah putaran fungsi kompresinya berkurang dari 10 menjadi 7. Fungsi hash BLAKE 3 akan membagi inputnya menjadi potongan-potongan berurutan berukuran 1024 byte, potongan terakhir mungkin lebih pendek tetapi tidak kosong. Jika hanya ada satu bongkahan, maka bongkahan tersebut adalah simpul akar dan satu-satunya simpul pada pohon. Susun potongan ini sebagai simpul daun dari pohon biner, lalu kompres setiap potongan secara terpisah.
Ketika BitVM digunakan untuk memverifikasi skenario bukti penyertaan Merkle, input operasi hash terdiri dari dua nilai hash 256-bit, yaitu input operasi hash adalah 64 byte. Saat menggunakan fungsi hash BLAKE 3, 64 byte ini dapat dialokasikan dalam satu potongan, dan seluruh operasi hash BLAKE 3 hanya perlu menerapkan fungsi kompresi satu kali ke satu potongan. Pada fungsi kompresi BLAKE 3, fungsi putaran harus dijalankan sebanyak 7 kali dan fungsi permutasi sebanyak 6 kali.
Saat ini, operasi dasar seperti XOR, penambahan modular, dan pergeseran bit ke kanan berdasarkan nilai u 32 telah diselesaikan di BitVM, dan fungsi hash BLAKE 3 yang diimplementasikan oleh skrip Bitcoin dapat dengan mudah dirakit. Gunakan 4 byte terpisah dalam tumpukan untuk mewakili u 32 kata untuk mengimplementasikan penambahan u 32, XOR 32 bitwise, dan rotasi bitwise u 32 yang diperlukan oleh BLAKE 3. Skrip Bitcoin fungsi hash BLAKE 3 saat ini berjumlah sekitar 100 kB, yang cukup untuk membuat versi mainan BitVM.
Selain itu, kode BLAKE 3 ini dapat dibagi, memungkinkan Verifier dan Prover mengurangi secara signifikan data on-chain yang diperlukan dengan membagi dua eksekusi dalam permainan respons tantangan alih-alih mengeksekusinya seluruhnya. Terakhir, gunakan skrip Bitcoin untuk mengimplementasikan fungsi hash seperti Keccak-256 dan Grøstl, pilih fungsi hash yang paling ramah Bitcoin, dan jelajahi fungsi hash ramah Bitcoin baru lainnya.
3,4 lebih sedikit dengan BitVM
less s adalah metode mengeksekusi kontrak pintar secara off-chain dengan menggunakan tanda tangan Schnorr. Konsep Scripless s lahir dari Mimblewimble yang tidak menyimpan data permanen kecuali kernel dan tanda tangannya.
Keuntungan dari less s adalah fungsionalitas, privasi, dan efisiensi.
less s adalah pendekatan untuk merancang protokol kriptografi pada Bitcoin yang menghindari kebutuhan untuk mengeksekusi kontrak pintar yang eksplisit. Ide intinya adalah menggunakan algoritma kriptografi untuk mencapai fungsionalitas yang diinginkan daripada menggunakan skrip untuk mencapai fungsionalitas tersebut. Tanda tangan adaptor dan tanda tangan multi adalah elemen penyusun asli dari sistem yang lebih kecil. Dengan menggunakan lebih sedikit s, Anda dapat mencapai transaksi yang lebih kecil dibandingkan transaksi biasa dan mengurangi biaya transaksi.
Dengan bantuan less s, multi-signature dan tanda tangan adaptor Schnorr dapat digunakan, yang tidak lagi memberikan nilai hash dan preimage hash seperti solusi BitVM, dan juga dapat mewujudkan komitmen gerbang logika di sirkuit BitVM, sehingga menghemat BitVM ruang skrip dan meningkatkan efisiensi BitVM. . Meskipun skema less s yang ada dapat mengurangi ruang skrip BitVM, hal ini memerlukan sejumlah besar interaksi antara pembukti dan penantang untuk menggabungkan kunci publik. Di masa depan, kami akan meningkatkan solusi ini dan mencoba memperkenalkan Scripless ke dalam modul fungsi BitVM tertentu.
3.5 Tantangan multi-partai tanpa izin
Alasan mengapa tantangan BitVM saat ini memerlukan izin secara default adalah karena UTXO Bitcoin hanya dapat dijalankan satu kali, sehingga memungkinkan pemverifikasi jahat untuk "membuang-buang" kontrak dengan menantang pembukti yang jujur. BitVM saat ini terbatas pada mode tantangan dua pihak. Seorang pembukti yang mencoba melakukan kejahatan dapat secara bersamaan meluncurkan tantangan dengan verifikator yang dikendalikannya, sehingga "membuang" kontrak, membuat tindakan jahat tersebut berhasil, dan verifikator lain tidak dapat mencegah perilaku tersebut. Oleh karena itu, berdasarkan Bitcoin, protokol tantangan OP multi-pihak tanpa izin perlu dipelajari, yang dapat memperluas model kepercayaan 1-of-n BitVM yang ada menjadi 1-of-N. Diantaranya, N jauh lebih besar dari n. Selain itu, ada kebutuhan untuk mempelajari dan memecahkan masalah para penantang yang berkolusi dengan pihak yang membuktikan atau dengan jahat menentang kontrak-kontrak yang "terbuang sia-sia". Pada akhirnya mengimplementasikan protokol BitVM dengan kepercayaan yang lebih rendah.
Tantangan multi-partai tanpa izin, memungkinkan siapa saja untuk berpartisipasi tanpa daftar izin. Artinya pengguna dapat menarik koin dari L2 tanpa keterlibatan pihak ketiga yang terpercaya. Selain itu, setiap pengguna yang ingin berpartisipasi dalam protokol tantangan OP dapat menantang dan menghapus penarikan yang tidak valid.
Untuk memperluas BitVM ke model tantangan multi-pihak tanpa izin, serangan berikut perlu diselesaikan:
Di masa depan, kami akan mengeksplorasi model tantangan multi-pihak tanpa izin BitVM yang sesuai dengan karakteristik Bitcoin dan dapat menahan masalah serangan di atas.
4. Kesimpulan
Eksplorasi teknologi BitVM baru saja dimulai. Kedepannya, lebih banyak arah optimasi akan dieksplorasi dan diterapkan untuk mencapai perluasan Bitcoin dan mensejahterakan ekosistem Bitcoin.
referensi
Tautan asli