BitVM原理解析及其優化思考

原文來源：Bitlayer 研究組

原文作者：lynndell, mutourend.

1.引言

比特币是一种去中心化、安全且值得信赖的数字资产。但是，它存在重大限制，无法成为支付和其他应用的可扩展网络。比特币的扩容问题自诞生以来就一直备受关注。比特币 UTXO 模型将每笔交易视为一个独立事件，导致一个无状态的系统，缺乏执行复杂的、依赖状态的计算能力。因此，虽然比特币可以执行简单脚本和多签交易，但它难以促进在有状态的区块链平台上常见的复杂和动态的合约交互。这一问题显著限制了在比特币上构建的去中心化应用（dApps）和复杂金融工具的范畴，而状态模型平台提供了一个更加多样化的环境，用于部署和执行功能丰富的智能合约。

對於比特幣擴容，主要有狀態通道、側鏈、客戶端驗證等技術。其中，狀態通道提供了安全且多樣化的支付解決方案，但在驗證任意複雜計算的能力上有限。這種限制減少了其在需要複雜、條件性邏輯和互動的各種場景中的應用。側鏈雖然支援廣泛的應用，並提供超越比特幣功能的多樣性，但是具有較低的安全性。這種安全上的差異源自於側鏈採用的是獨立的共識機制，這些機制遠不如比特幣共識機制的健壯性。用戶端驗證，使用比特幣UTXO 模型，可以處理更多複雜的交易，但是與比特幣沒有雙向校驗和約束能力，導致其安全性低於比特幣。客戶端驗證協定的鏈下設計依賴伺服器或雲端基礎設施，這可能導致集中化或透過妥協伺服器進行潛在審查。客戶端驗證的鏈下設計也為區塊鏈基礎設施引入了更多複雜性，可能導致可擴展性問題。

2023 年12 月，ZeroSync 專案負責人Robin Linus 發表了一篇名為《BitVM：Compute Anything On Bitcoin》的白皮書，引發了大家對於提升比特幣可編程性的思考。該論文提出一種在不改變比特幣網路共識的情況下可實現圖靈完備的比特幣合約解決方案，使得任何複雜計算都可以在比特幣上驗證，而無需改變比特幣基本規則。 BitVM 充分利用比特幣腳本和Taproot，實現樂觀Rollup。基於Lamport 簽章（又稱bit commitment），讓比特幣兩個UTXO 之間建立聯繫，實現有狀態的比特幣腳本。在Taproot 位址中承諾一個大型程序，operator 和驗證方進行大量的鏈下交互，在鏈上產生的足跡很小。如果雙方合作，則可以執行任意複雜的、有狀態的鏈下計算，而不在鏈上留下任何痕跡。如果雙方不合作，則發生爭議時，需要鏈上執行。因此，BitVM 極大地拓寬了比特幣的潛在用例，使比特幣不僅可以作為一種貨幣，還可以作為各種去中心化應用和複雜計算任務的驗證平台。

但是，雖然BitVM 技術在比特幣擴容方面極具優勢，但仍處於早期階段，在效率和安全方面仍存在一些問題。如：（1）挑戰與回應需要多次交互，導致手續費昂貴，挑戰週期長；（2）Lamport 一次性簽章資料較長，需要降低資料長度；（3）雜湊函數複雜度較高，需要Bitcoin friendly 哈希函數，降低費用；（4）現有BitVM 合約龐大且比特幣區塊容量有限，可藉助less s 來實現less s BitVM，節約比特幣區塊空間，同時提升BitVM 效率；（5）現有BitVM 採用的是授權模型，僅聯盟成員可發起挑戰，且限定為僅兩方之間，應擴展至permissionless 多方挑戰模式，將信任假設進一步減少。為此，本文提出一些最佳化思路，進一步提高BitVM 的效率與安全性。

2.BitVM 原理

BitVM 定位為Bitcoin 的鏈下合約，致力於推動Bitcoin 合約功能。當前比特幣腳本是完全無狀態的，所以比特幣腳本執行時，其執行環境在每個腳本之後都會重置。令腳本1 和腳本2 擁有相同x 值的原生方式是不存在的，比特幣腳本原生不支援該方式。但仍可藉助現有opcodes，透過Lamport 一次性簽章讓Bitcoin 腳本是有狀態的，如可強制1 和2 中的x 為相同值。如果參與者簽署了相互衝突的x 值，則可對其進行懲罰。 BitVM 程式計算發生在鏈下，而計算結果驗證發生在鏈上。目前Bitcoin 區塊有1 MB 限制，當驗證計算過於複雜時，可藉助OP 技術，採用挑戰響應模式，支援更高複雜度的計算驗證。

與Optimistic Rollup 和MATT 提案（Merkelize All The Things）類似，BitVM 系統基於詐欺證明和挑戰-回應協議，但不需要修改比特幣的共識規則。 BitVM 底層原語簡單，主要基於雜湊鎖、時間鎖和大型Taproot 樹。

證明者逐字節承諾，但在鏈上驗證所有計算將過於昂貴。所以，驗證者執行一系列精心設計的挑戰，以簡潔地駁斥證明者的虛假主張。證明者和驗證者共同預簽一系列挑戰和回應交易，用於解決爭議，從而允許在比特幣上進行通用計算驗證。

BitVM 關鍵組件有：

• **電路承諾：**證明者和驗證者將程式編譯為大型二進位電路。證明者在一個Taproot 地址中承諾該電路，該地址下的每個葉子腳本，對應該電路中的每個邏輯閘。核心是基於bit commitment 來實現logic gate commitment，從實作電路承諾。
• **挑戰與回應：**證明者和驗證者預簽一系列交易來實現挑戰-反應遊戲。理想情況下，這種互動是在鏈下進行的，當證明者不配合時，也可在鏈上執行。
• **模糊懲罰：**如果證明者提出任何不正確的聲明，則驗證者挑戰成功後可拿走證明者存款，挫敗證明者的作惡行為。

3.BitVM 最佳化

3.1 基於ZK 降低OP 互動次數

目前有2 大主流Rollups：ZK Rollups 和OP Rollups。其中，ZK Rollups 依賴ZK Proof 的有效性驗證，即正確執行的密碼學證明，其安全性依賴於計算複雜度假設；OP Rollups 依賴Fraud Proof，假設所提交的狀態均是正確的，設定挑戰週期通常為7 天，其安全性假定係統內至少有一個誠實方能偵測到不正確的狀態，並提交詐欺證明。假設BitVM 挑戰程式最大步數為2 ^{ 32 }，需要記憶體為2 ^{ 32 }* 4 位元組，約17 GB。在最壞情況下，需要約40 輪挑戰和回應，約半年時間，總腳本約150 KB。該情況下激勵嚴重不足，但實際情況下幾乎不發生。

考慮使用零知識證明降低BitVM 的挑戰次數，進而提高BitVM 的效率。根據零知識證明理論，如果資料Data 滿足演算法F，則證明proof 滿足驗證演算法Verify，即驗證演算法輸出True；如果資料Data 不滿足演算法F，則證明proof 也不滿足驗證演算法Verify，即驗證演算法輸出False 。在BitVM 系統中，如果挑戰者不認可證明方提交的數據，則發起挑戰。

對於演算法F，使用二分法拆開，假設需要2 ^n 次，則能找到錯誤點；如果演算法複雜度太高，則n 較大，需要很久才能完成。但是，零知識證明的驗證演算法Verify 的複雜度是固定的，公開證明proof 和驗證演算法Verify 全過程，發現輸出為False。零知識證明的優點在於開啟驗證演算法Verify 所需的計算複雜度，比起二分法開啟原始演算法F，要低得多。因此，借助零知識證明，讓BitVM 挑戰的不再是原始演算法F，而是驗證演算法Verify，降低挑戰輪數，縮短挑戰週期。

最後，雖然零知識證明有效性和詐欺證明依賴不同的安全假設，但可將二者結合，可建構ZK Fraud Proof，實現On-Demand ZK Proof。不同於full ZK Rollup，不再需要為每個單一狀態變換產生ZK proof，On-Demand 模型使得，僅在有挑戰時才需要ZK Proof，而整個Rollup 設計仍是樂觀的。因此，仍預設所產生的狀態是有效的，直到有人挑戰該狀態。如果某個狀態無挑戰，則無需產生任何ZK Proof。但是，如果參與者發起挑戰，則需為挑戰區塊內所有交易的正確性產生ZK Proof。未來，可探索為單一有爭議指令產生ZK Fraud Proof，避免一直產生ZK Proof 的運算成本。

3.2 比特幣友善的一次性簽名

在比特幣網路中，遵循共識規則的交易是有效交易，但除共識規則之外，還額外引入了standardness 規則。比特幣節點僅轉發廣播標準交易，有效但非標準的交易被打包的唯一方法直接是與礦工合作。

根據共識規則，legacy（即non-Segwit）交易的最大size 為1 MB，即佔滿整個區塊。但legacy 交易的standardness 上限為100 kB。根據共識規則，Segwit 交易的最大size 為4 MB，即weight limit。但Segwit 交易的standardness 上限為400 kB。

Lamport 簽章是BitVM 的基礎元件，降低簽章和公鑰長度，有助於降低交易數據，進而降低手續費。 Lamport 一次性簽章需使用雜湊函數（如one way permutation 函數f）。 Lamport 一次性簽章方案中，訊息長度為v 位元，公鑰長度為2 v 比特，簽章長度也為2 v 位元。簽章和公鑰較長，需要消耗大量的儲存gas。因此，需要尋找類似功能的簽章方案，以降低簽章和公鑰長度。相比Lamport 一次性簽名，Winternitz 一次性簽名的簽名和公鑰長度大幅降低，但是增加了簽名和驗簽的計算複雜度。

在Winternitz 一次性簽章方案中，使用特殊函數P 將v 位元的訊息對應為長度為n 的向量s。 s 中每個元素的值為{ 0,..., d}。 Lamport 一次性簽章方案是d= 1 特殊情況下的Winternitz 一次性簽章方案。在Winternitz 一次性簽章方案中，n, d, v 之間的關係滿足：n≈v/log 2(d+ 1)。當d= 15 時，有n≈(v/4)+ 1 。對於包含n 個元素的Winternitz 簽章而言，比Lamport 一次性簽章方案中的公鑰長度和簽章長度短4 倍。但是，驗簽的複雜度提高了4 倍。在BitVM 中使用d= 15, v= 160, f=ripemd 160(x)實作Winternitz 一次性簽名，可將bit commitment size 降低50% ，從而將BitVM 的交易費降低至少50% 。未來，在對現有Winternitz 比特幣腳本實作進行最佳化的同時，可探索以比特幣腳本表達的更緊湊的一次性簽名方案。

3.3 比特幣友善的哈希函數

根據共識規則，P 2 TR 的最大size 為10 kB，P 2 TR witness 的最大size 與最大Segwit 交易size 一樣，為4 MB。但P 2 TR witness 的standradness 上限為400 kB。

目前比特幣網路還不支援OP_CAT，無法拼接字串做Merkle path 驗證。因此，需用現有比特幣腳本，以size 和witness size 最優的方式，實作一種比特幣友善的雜湊函數，從而支援merkle inclusion proof 驗證功能。

BLAKE 3 為BLAKE 2 雜湊函數的最佳化版，並引入了Bao tree 模式。相較於BLAKE 2 s-based，其壓縮函數的輪數由10 降至7 。 BLAKE 3 雜湊函數會將其輸入切分為1024 位元組大小的連續chunks，最後一個chunk 可能更短但不為空。當只有一個chunk 時，則該chunk 為root node，且為該樹的唯一節點。將這些chunks 排佈為二進位樹的葉子節點，然後對每個chunk 獨立壓縮。

當BitVM 用於驗證Merkle inclusion proof 場景時，雜湊運算的輸入由2 個256-bit 雜湊值拼接而成，即雜湊運算的輸入為64 位元組。使用BLAKE 3 雜湊函數時，這64 位元組可分配於單一chunk 內，整個BLAKE 3 雜湊運算只需要對單一chunk 應用一次壓縮函數。 BLAKE 3 的壓縮函數中，需要運行7 次輪函數和6 次置換函數。

目前BitVM 中已完成基於u 32 值的XOR、模加、位元右移等基礎運算，可以輕鬆組裝出比特幣腳本實現的BLAKE 3 雜湊函數。使用stack 中4 個分開的位元組來表示u 32 words，來實作BLAKE 3 所需的u 32 addition、u 32 bitwise XOR 和u 32 bitwise rotations。目前BLAKE 3 哈希函數比特幣腳本共約100 kB，足以用於建構一個toy 版本的BitVM。

此外，可拆分这些 BLAKE 3 代码，使得 Verifier 和 Prover 可通过将挑战-响应游戏中的执行一分为二而不是完全执行来显著降低所需的链上数据。最后，使用比特币脚本实现 Keccak-256、Grøstl 等哈希函数，从中选出最比特币友好的哈希函数，并探索其它新的比特币友好哈希函数。

3.4 less BitVM

less s 是一種透過使用Schnorr 簽名，在鏈下執行智能合約的方法。 Scripless s 概念誕生自Mimblewimble，除了kernel 及其簽章之外，不儲存永久資料。

less s 的優點是功能、隱私和效率。

• **功能：**less s 可增加智能合約的範圍和複雜性。比特幣腳本能力受限於網路中已啟用的OP_CODES 數量，而less s 將智慧合約的規範和執行從鏈上轉移到僅設計合約參與者的討論，無需等待比特幣網路的分叉來啟用新的操作碼。
• **隱私：**將智能合約的規範和執行從鏈上轉移到鏈下，可增加隱私。在鏈上，合約的許多細節都會分享到整個網絡，這些詳細資訊包括參與者的數量和地址以及轉帳金額等。透過將智慧合約移至鏈下，網路只知道參與者同意其合約條款已滿足且相關交易有效。
• **效率：**less s 最大限度地降低鏈上驗證和儲存的資料量。透過將智能合約移至鏈下，全節點的管理費用會減少，用戶的交易費用也會降低。

less s 是一種在比特幣上設計密碼學協議的方法，可避免執行顯式智能合約。核心思想是使用密碼演算法實現期望功能，而不是使用腳本實現功能。適配器簽名和多重簽名，是less s 的原始建造基石。使用less s，可實現比常規交易更小的交易，降低交易手續費。

可藉助less s，使用Schnorr 多重簽章和轉接器簽名，不再像BitVM 方案那樣提供雜湊值和雜湊原像，也可實現BitVM 電路中的邏輯閘承諾，從而可節省BitVM 腳本空間，提高BitVM 效率。雖然現有的less s 方案能降低BitVM 腳本空間，但需要證明者和挑戰者有大量互動來組合公鑰。未來將對此方案進行改進，同時嘗試將Scripless s 引入到具體BitVM 功能模組內。

3.5 無需許可的多方挑戰

目前BitVM 挑戰預設需要許可的原因在於：Bitcoin 的UTXO 僅能執行一次，導致惡意的verifier 可透過挑戰誠實prover 來「浪費」該合約。目前BitVM 限定為兩方挑戰模式。試圖作惡的prover，可同時用自己控制的verifier 發起挑戰，從而「浪費」該合約，使得作惡成功，而其它verifier 無法阻止該行為。因此，在Bitcoin 基礎之上，需要研究無需許可的多方OP 挑戰協議，可將BitVM 的現有1-of-n 信任模型，擴展至1-of-N。其中，N 遠大於n。此外，需要研究解決挑戰者與prover 串謀或惡意挑戰「浪費」合約的問題。最終實現信任更小的BitVM 協定。

無需許可的多方挑戰，允許任何人在沒有許可名單的情況下參與。這就意味著，用戶可在沒有任何可信任第三方參與的情況下，從L2提幣。此外，任何想要參與OP 挑戰協議的用戶均可質疑並刪除無效提款。

將BitVM 擴展為無需許可多方挑戰模型，需解決如下攻擊：

• **女巫攻擊：**即使攻擊者偽造多個身分參與爭議挑戰，單一誠實參與者仍能贏得爭議。如果誠實參與者捍衛正確結果的成本，與對攻擊者的數量呈線性關係時，則當涉及大量攻擊者時，誠實參與方為贏得爭議所需付出的成本將變得不切實際，且容易受到女巫攻擊。論文Permissionless Refereed Tournaments 中，提出一種改變遊戲規則的爭議解決演算法，單一誠實參與者贏得爭議的成本隨著對手的數量呈對數增長，而不是線性增長。
• **延遲攻擊：**某個或一群惡意方，遵循某種策略來阻止或延遲正確結果（如將資產提取到L1）在L1上的確認，並迫使誠實的prover 花費L1手續費。可要求挑戰者需事先質押以緩解此問題。如果挑戰者發動延遲攻擊，則沒收其質押。但是，如果攻擊者願意在一定限度內犧牲質押來追求延遲攻擊，則應該有應對策略來降低延遲攻擊的影響。論文BoLD: Bounded Liquidity Delay in a Rollup Challenge Protocol提出的演算法，使得無論攻擊者願意失去多少質押，最壞情況下的攻擊只能導致一定上限的延遲。

未來，將探索適用於比特幣特性的，可抵抗以上攻擊問題的BitVM 無需許可多方挑戰模型。

4.結論

BitVM 技術探索才剛開始，未來將探索並實踐更多的最佳化方向，以實現對比特幣的擴容，繁榮比特幣生態。

參考文獻

1. BitVM：在比特幣上計算任何東西
2. BitVM：鏈下比特幣合約
3. 羅賓‧萊納斯 (Robin Linus) 談 BitVM
4. [bitcoin-dev] BitVM：在比特幣上計算任何東西
5. 奇怪的一對：可擴展性日期上的 ZK 和 Optimistic Rollup
6. 比特幣的交易和限額是多少？
7. BIP-342：主根的驗證 8._linus/status/1765337186222686347
8. 應用密碼學研究生課程
9. BLAKE 3：一種功能，無所不在
10. [bitcoin-dev] 在比特幣中實現 Blake 3

13.less簡介 14.BitVM使用較少的s 15. Rollups延遲攻擊的解決方案 16.戴夫介紹。 Cartesi 的無許可故障證明。 17. Rollups 的延遲攻擊 18. Rollup 延遲攻擊的解決方案 - Arbitrum Research 19.多人互動計算遊戲筆記 20.BoLD：Rollup 挑戰協議中的有限流動性延遲 21. 未經許可的裁判錦標賽

原文連結