Итак, вы получили оранжевый пилюлю и теперь держите BTC. Рад за вас, лучше поздно, чем никогда.

Затем вы услышали священную пословицу этой индустрии: не ваши ключи, не ваши монеты. Вдобавок к ужасам различных ковров и взломов CEX, вы наконец решили самостоятельно хранить свои биткоины.

Поздравляем, теперь вы сами распоряжаетесь своей финансовой судьбой. Ура, нет?

Вы понимаете, что транзакции в биткоине обходятся так дорого, что по сравнению с ними печально известная высокая плата за бензин в Ethereum просто позор. Потому что, в отличие от этих проклятых китов, у вас нет биткоинов на 1 млн долларов, которые вы можете потратить, - каждая транзакция, которую вы совершаете на мейнчейне, сильно ударит по вам.

И что теперь? Конечно, должен быть лучший способ.

Покидая гнездо

Когда вы держите биткоины (BTC, криптовалюта) вне Bitcoin (mainchain, блокчейн), вы не получаете безопасности и защиты mainchain, поэтому вам придется унаследовать предположения о доверии той цепочки или уровня, на котором вы находитесь, а также токен-представитель BTC, которым вы владеете (если применимо).

К сожалению, это iBitнеизбежный компромисс, на который вам придется пойти - пока что.

В этой статье мы постараемся дать обзор различных подходов и мостов для масштабирования, а также расскажем о том, какие жертвы доверия вам придется понести при использовании каждого из них. Кроме того, мы расскажем о недостатках каждого из них, а также о том, почему до сих пор не существует подходящего решения для масштабирования биткоина, способного "экспортировать" BTC без существенного ущерба для безопасности и защиты пользователей его мейнчейна.

В дальнейшем термины "биткойн" и "мейнчейн" будут использоваться как взаимозаменяемые. Давайте начнем.

Сеть молний

Запущенная в январе 2018 года, сеть Lightning Network представляет собой одну из самых ранних попыток масштабирования Биткойна. По своей сути Lightning Network состоит из сети платежных каналов, где каждый платежный канал по сути представляет собой мультисиговый контракт 2 из 2 (с использованием HTLC) между двумя сторонами в Bitcoin.

Работа Lightning Network заключается в том, что существует множество платежных каналов, которые поддерживают связь с пиром, которому вы хотите отправить свои биткоины. Таким образом, даже если у вас нет прямого соединения с Бобом, пока у вас есть связь с Алисой (у которой есть связь с Бобом), вы можете инициировать платеж со своего узла Lightning и заплатить Бобу через Алису.

Теоретически, вы можете совершать сделки с кем угодно, если у ваших контрагентов есть хотя бы один общий сверстник (с достаточной ликвидностью). Отсюда и "сеть" в Lightning Network.

tldr

Когда Боб хочет открыть платежный канал с Алисой, они объединяют свои ключи, чтобы сгенерировать мультисиг-контракт 2of-2, который будет выступать в качестве адреса канала. Затем Боб транслирует две транзакции: свою транзакцию обязательств (чтобы потратить свои средства обратно на кошелек финансирования, если Алиса не отвечает) и свою транзакцию финансирования (Боб вносит свои биткоины в мультисигму 2-оф-2). Аналогично, Алиса также транслирует свою транзакцию обязательств и транзакцию финансирования. Обратите внимание, что важно, чтобы первая транзакция обязательств была подписана обеими сторонами до того, как кто-то пополнит платежный канал. Это необходимо для того, чтобы средства не застряли в мультисиге в случае, если одна из сторон выйдет из сети.

После установления платежного канала Боб и Алиса могут тратить биткоины внутри мультисига столько раз и так, как считают нужным. Когда вы "отправляете" средства, вы фактически обновляете транзакцию совместного обязательства, которую вы заключили с другой стороной, чтобы отразить последнее состояние баланса, аннулируя предыдущее обязательство. Транзакция обязательств никогда не отправляется на цепь, когда платежный канал еще работает, и известна только Бобу и Алисе. Транзакция обязательств публикуется только после закрытия платежного канала.

Когда Боб хочет закрыть канал (и вернуть свои биткоины в мейнчейн), есть два способа сделать это: кооперативно с Алисой или некооперативно (так называемое принудительное закрытие). При кооперативном закрытии (счастливый путь) и Боб, и Алиса договариваются о своей доле остатков от мультисига, и они оба подписывают новую транзакцию, которая немедленно направляет средства обратно на их соответствующие кошельки.

Однако в сценарии принудительного закрытия (несчастливый путь) Боб или Алиса могут быть недоступны или не захотят совместно подписывать транзакцию закрытия. В этом случае сторона, инициирующая принудительное закрытие, проводит свой баланс по арбитражному контракту, позволяя своему коллеге оспорить его в течение задержки CSV (так называемый период спора). В случае если эта сторона попытается "обмануть" (опубликовав более старую транзакцию обязательств), ее коллега просто опубликует самую последнюю транзакцию обязательств, забрав средства обманувшей стороны из арбитражного контракта себе.

‍

[lightning.engineering] Проиллюстрировано: Неудачное заявление Боба о принудительном закрытии 8 BTC

Для иллюстрации предположим, что у Боба и Алисы "истинный" баланс составляет 4 BTC и 6 BTC соответственно (всего в платежном канале содержится 10 биткоинов). Если Боб инициирует принудительное закрытие и заявит, что у него 8 BTC в платежном канале (опубликовав более старую транзакцию обязательств), Алиса может просто опубликовать последнюю транзакцию обязательств и потребовать 8 BTC Боба из арбитражного контракта. Это послужит сдерживающим фактором для Боба, гарантируя, что сторонам не придется доверять друг другу при открытии канала Lightning.

не ваш узел, не ваши монеты.

Особенность сети Lightning Network заключается в том, что вы не можете заниматься самообеспечением, если только у вас нет собственного узла Lightning. В противном случае, чтобы пользоваться сетью, вы должны внести свой BTC на доверенный узел Lightning, где ваши биткоины станут частью их внутренней бухгалтерской книги, и они будут совершать транзакции от вашего имени. Если узел Lightning, на котором хранится ваш депозит, рухнет, то ваши BTC уйдут вместе с ним, и у вас не будет никаких средств правовой защиты. Это, по сути, хуже, чем депонировать свои биткоины на надежной бирже CEX - я имею в виду, что вы хотя бы имеете дело с Binance или Coinbase!

Если вы решите запустить собственный узел Lightning, то вам придется постоянно находиться в сети, чтобы следить за нарушениями канала со стороны своих коллег. Хотя вы можете назначить узлы Watchtower для помощи в отслеживании нарушений (они будут хранить ваши обязательства, генерируемые при каждой транзакции, которую вы совершаете в платежном канале, чтобы противостоять мошенническим силовым закрытиям от вашего имени), вы, по сути, возвращаетесь к доверию централизованным структурам. Опять же, с таким же успехом вы можете доверить защиту своих биткоинов Binance или Coinbase, а не какой-то случайной компании со сторожевой башней!

[Сэм Эйкен] Иллюстрация: сторожевая башня LN в действии

Если вышеперечисленного недостаточно, чтобы отпугнуть вас, то если вы управляете собственным узлом Lightning, вам придется вручную управлять ликвидностью своего узла по отношению к другим. Например, если на платежном канале всего 10 BTC, то максимальный баланс, который может держать каждая из сторон между собой, составляет 10 BTC. Однако это не смотря на то, что у вас могут быть связи с несколькими аналогами (поскольку вы, скорее всего, будете совершать платежи разным сторонам) - если вы хотите совершить сделку с кем-то, с кем у вас нет прямой связи, вам придется полагаться на другие узлы Lightning, которые имеют связи и с вами, и с вашим контрагентом, а также обладают достаточной ликвидностью для маршрутизации платежа. Теперь вы понимаете, почему управление ликвидностью очень обременительно для обычного пользователя узлов.

Поэтому большинство узлов Lightning просто обходятся без этого и подключаются к узлам маршрутизации, которые представляют собой хорошо капитализированные узлы Lightning (скорее всего, управляемые крупными организациями), предназначенные для маршрутизации платежей. Они располагаются между узлами Lightning в качестве посреднического канала, выступая в роли квази-сопоставителя платежей по всей сети. В результате сеть имеет тенденцию к централизации в этом отношении - на момент написания статьи 10 крупнейших узлов Lightning составляют >75% всей мощности сети!

[LnRouter.app] активные узлы молнии, отфильтрованные по мощности

Phoenix Wallet, разработанный компанией ACINQ, - это попытка упростить для рядового пользователя самостоятельное хранение средств в Lightning Network. Когда вы загружаете их приложение-кошелек, ваш телефон автоматически становится вашим собственным узлом Lightning. Чтобы упростить управление ликвидностью и маршрутизацию платежей, ваш узел Lightning подключается к узлу ACINQ, полагаясь на ACINQ как на маршрутизатор для входящих и исходящих платежей.

Тем не менее, вы все равно обязаны периодически выходить в сеть и следить за нарушениями - в противном случае вы все еще находитесь во власти ACINQ. Как бы маловероятно это ни было, но если ACINQ попытается принудительно закрыть ваш канал с устаревшим обязательством, вам придется выйти в сеть, чтобы оспорить его и представить правильное, самое последнее обязательство. В противном случае вы можете потерять свои средства в пользу ACINQ.

заключение

Сеть Lightning Network создана для тех, кто управляет узлами. Однако в реальном мире не всем нужно управлять собственным узлом - это нереально и непрактично.

Увы, Lightning Network никогда не предназначалась для рядовых держателей BTC, не являющихся гиками. Тот факт, что вам нужно запустить узел только для того, чтобы оставаться самостоятельным хранителем, в сочетании с его ограниченным сценарием использования в качестве исключительно платежной сети (не программируемой для того, чтобы изначально разблокировать более богатые сценарии использования, такие как DeFi), отбрасывает протокол на задворки истинных биткойнеров, запускающих свой собственный узел.

Не ваша нода, не ваши монеты. И не идеальный вариант для обычного пользователя.

Государственные цепи

Концепция Statechains в значительной степени заимствует платежные каналы Lightning: обе они позволяют проводить неограниченные транзакции вне цепочки, которые в конечном итоге будут "урегулированы" в Биткойне при ее закрытии.

tldr

В отличие от каналов Lightning (которые представляют собой мультисиги 2 из 2), адрес депозита UTXO в стейтчейне создается полностью вне цепочки оператором, который является доверенным лицом и генерирует ключевые доли как для себя, так и для текущего владельца UTXO. Владелец UTXO, желающий инициировать стейтчейн, сотрудничает с оператором (доверенным лицом) для создания адреса, где соответствующий открытый ключ формируется из ключевых долей первого владельца и оператора. После этого владелец финансирует стейтчейн с помощью UTXO (или биткоинов), а затем создает резервную транзакцию (при сотрудничестве с оператором), которая представляет собой временной замок, позволяющий владельцу в одностороннем порядке потребовать свой UTXO обратно по истечении срока его действия.

‍

[Nik/Coinmonks] Statechains в действии: передача права собственности на UTXO от Алисы к Бобу

Если текущий владелец хочет передать право собственности на UTXO новому владельцу, оператор просто заново генерирует ключевые доли на тот же адрес депозита и удаляет свою ключевую долю у старого владельца. Затем новый владелец создает резервную транзакцию (при сотрудничестве с оператором), но с более коротким таймлоком. Каждый раз при смене владельца стейтчейна оператор удаляет предыдущую ключевую долю и подписывает резервную транзакцию нового владельца, которая будет иметь более короткий таймлок, чем у предыдущего владельца, то есть до тех пор, пока таймлок не сможет быть сокращен еще больше (что потребует создания нового стейтчейна для нового владельца).

Таким образом, старый владелец не сможет в одностороннем порядке вывести средства из стейтчейна вместо нового владельца. Поскольку для совместного выхода из стейтчейна (мгновенного вывода средств) старому владельцу необходимо, чтобы оператор подписал его транзакцию выхода (чего оператор больше не может сделать, поскольку он удалил свой предыдущий ключевой ресурс, который мог бы подписать транзакцию), в противном случае старому владельцу придется ждать истечения срока действия своего таймлока, прежде чем он сможет отправить свою резервную транзакцию. Тем не менее, даже если оператор выйдет из сети, когда новый владелец захочет выйти из стейтчейна, он всегда сможет отправить свою резервную транзакцию и получить средства раньше старого владельца, поскольку его резервная транзакция имеет более короткий таймлок.

оператору, которому мы доверяем

Как будто это недостаточно очевидно, оператор является единственной точкой отказа для цепочек состояний. Новые владельцы должны быть уверены, что оператор действительно удалил их предыдущий ключевой ресурс и не будет вступать в сговор, чтобы совместно требовать средства для предыдущего владельца. Поскольку сервер оператора - это, по сути, закрытый ящик web2, у нового владельца нет возможности проверить удаление предыдущего ключевого ресурса оператора (если только он сам не является оператором).

Mercury Layer, проект statechain, призван устранить этот фактор доверия. Используя "слепой" вариант Шнорра, оператор Mercury не знает о самой цепочке Биткойна. Таким образом, оператор не имеет представления о том, на какой адрес депозита он ставит свою подпись, о деталях резервных транзакций, а также не знает о подписях, которые он генерирует. Если предположить, что один и тот же оператор работает с несколькими цепочками состояний, Mercury, по сути, будет подписывать вслепую каждый входящий запрос на соподписание, который поступит к нему, не имея ни малейшего представления о том, что именно он подпишет. Это предотвращает выборочный сговор со стороны оператора, гарантируя, что генерация ключей и подписание выполняются правильно на его сервере, так как у него просто нет стимула для злонамеренных действий (он не знает, чем рискует из-за слепой подписи).

[Рубен Сомсен] оператор подписывает сообщения вслепую - он не знает, являются ли это транзакции Bitcoin или что-то другое.

Однако, несмотря на усилия Mercury, стейтчейн в своей основе остается крайне ограниченным. Вы можете "отправить" только точное количество BTC, которое вы депонировали на statechain, поскольку statechains по своей сути является просто протоколом передачи прав собственности на адреса, а не реальным средством передачи UTXO, как Lightning Network. Более того, в случае выхода оператора в оффлайн все "отправки" будут остановлены, и вам придется ждать истечения срока действия вашего длительного таймлока, прежде чем вы сможете потребовать свои средства обратно в Биткойн через резервную транзакцию.

заключение

Несмотря на то что стейтчейны предлагают умный "хак" для перевода UTXO, преодолевая стоимость и ограничения Биткойна, они по-прежнему не подходят для крупномасштабных высокочастотных переводов UTXO на различные суммы. В этом контексте стейтчейн еще более ограничен, чем Lightning Network - помимо того, что вы можете переводить только те UTXO, которыми вы пополнили стейтчейн, вам также приходится бороться с недостатком программирования, который не позволяет вам раскрыть более богатые сценарии использования, кроме платежей (например, DeFi).

Когда все сказано и сделано, statechains - это именно то, что нужно - "хакерский" протокол передачи прав собственности на адреса с минимальным уровнем доверия. По крайней мере, Lightning действительно работает для бегунов узлов!

Цепочки состояний - весело для разработчиков, не очень весело для всех остальных.

Кастодиальные BTC

Кастодиальные BTC-решения (называемые OGs "битбанками"), несмотря на то, что являются идеологической пощечиной для "истинных" биткойнеров, неиронично остаются одним из самых безопасных (а также наиболее удобных) способов для рядового пользователя совершать операции с биткойнами дешевым, быстрым и достаточно безопасным способом.

Доверенные хранители BTC в большинстве своем являются одними из старейших криптовалютных учреждений и высоко ценятся в отрасли и даже в TradFi.

tldr

Решения, связанные с хранением BTC, обычно предполагают, что авторитетные организации, которым доверяют вкладчики, будут выступать в качестве хранителя всех биткоинов, размещенных у них. После этого они чеканят репрезентативные токены в разных цепочках (и средах), где каждая единица будет обеспечена 1:1 количеством биткоинов, хранящихся в резерве у хранителя (теоретически).

Поскольку эти токены, представляющие BTC (например, wBTC, cbBTC и т. д.), работают на более дешевой и быстрой цепочке, чем Bitcoin, их владельцы могут использовать их в DeFi, получать доходность, номинированную в BTC, и совершать сделки друг с другом в гораздо более быстрой и дешевой среде исполнения.

в хранителя, которому мы доверяем

‍

[BitGo] BitGo: надежный хранитель wBTC

Само собой разумеется, что пользователи кастодиальных BTC-решений должны полностью доверять хранителю токена-представителя BTC, который они держат. Различные организации-хранители несут в себе разные уровни риска, что можно интерпретировать с точки зрения держателя.

Например, пользователь будет более склонен использовать wBTC от BitGo, если он ценит исторический опыт, ликвидность биржи и ее OG-характеристики. Аналогично, люди с другой стороны спектра могут предпочесть cbBTC от Coinbase, если они придают большее значение четкому регулированию, прозрачности и уважению к американскому процессу и верховенству закона. Это аналогично тому, как если бы кто-то выбирал между USDT от Tether и USDC от Circle в качестве стабильного монета - или вы просто держите оба!

заключение

Хотя в настоящее время решения по хранению BTC служат полезным мостом для пользователей BTC, которые в противном случае не смогли бы самостоятельно хранить их, в лучшем случае они остаются промежуточным решением.

Когда вы держите wBTC, вы доверяете BitGo так же, как вы доверяете CEX, когда размещаете у них средства. То же самое касается cbBTC от Coinbase, BBTC от Binance и многих других хранителей BTC.

Одна слабая защита и встреча с могущественным Лазарем (надеюсь, что нет), и вот уже ваши биткоины идут на финансирование ядерного оружия Кима!

Федеративные BTC

Представьте себе wBTC, но вместо BitGo в качестве хранителя у вас есть Wintermute, ChorusOne и другие организации, присоединившиеся к партии и получившие ключи от королевства.

Скажите, что может быть лучше одного хранителя? Чертова уйма их!

tldr

Федеративные BTC-мосты - это, по сути, коллективные BTC-мосты. В них участвуют несколько авторитетных организаций, формирующих набор подписывающих лиц, при этом для авторизации транзакций по депонированным биткоинам, находящимся в их распоряжении, требуется большинство.

Идея заключается в том, чтобы устранить риск единой точки отказа, который присутствует в решениях по хранению BTC. Подобно тому, как вы используете многосиговый кошелек вместо EOA для самостоятельного хранения большей части своих сбережений, идея заключается в том, что, распределяя привилегии подписи между несколькими доверенными лицами, вы можете меньше доверять каждому отдельному подписанту.

Таким образом, чтобы взломать объединенную систему BTC (и украсть хранящиеся в ней биткоины), злоумышленнику нужно скомпрометировать большинство организаций, входящих в набор подписывающих лиц. Скомпрометировать Coinbase сложно. Но скомпрометировать Coinbase, OKX, Wintermute и Fireblocks, оставшись при этом незамеченным, - довольно амбициозная задача для любого потенциального злоумышленника.

мультисигма и MPC

Упрощенно говоря, существует два способа распределения привилегий подписи в федеративной системе BTC - через конструкции multisig (мультиподпись) и/или MPC (многопартийное вычисление). Я не буду вдаваться в детали реализации каждой из них (их очень много), но основная идея заключается в том, что в multisig "общий" адрес генерируется onchain и каждый подписывающий обладает полным независимым закрытым ключом. Это означает, что когда транзакция с общего адреса коллективно подписывается подписантами, подпись записывается на цепочке.

В MPC "общий" адрес генерируется вне цепи, и каждый подписывающий обладает частичной долей ключа. При подписании транзакции на цепочке подписывающие лица совместно вычисляют подпись, объединяя свои доли ключей. С точки зрения блокчейна кажется, что подпись - это обычная подпись, исходящая от одного подписанта, в то время как на самом деле она коллективно генерируется вне цепи набором подписывающих лиц в рамках конструкции MPC.

Конечно, между каждым подходом есть свои нюансы и компромиссы. Хотя их подробное рассмотрение выходит за рамки этой статьи, я рекомендую прочитать этот праймер MPC vs. Multi-sig от Fireblocks, если вы ботаник, который хочет погрузиться в детали и прочее.

в федерацию мы верим

В теории все это звучит очень безопасно. У вас есть лучшие криптовалютные институты, каждый со своей репутацией на кону, совместно обеспечивающие безопасность федеративного моста BTC. Что может пойти не так?

Видите ли, меньшее доверие не означает отсутствие доверия. В федеративном BTC-мосте выбор подписывающего имеет первостепенное значение. Федерация должна включать достаточное количество подписантов, иметь безопасный порог большинства (не менее двух третей) и быть достаточно географически распределенной. Не говоря уже о том, что каждый подписант должен иметь достаточно хорошую репутацию, которую он готов защищать, а также быть заинтересованным в успехе объединенного моста.

По мне, из всех учреждений, подписавших хотя бы один действующий федеральный мост BTC, есть лишь несколько, которым я бы доверил свои сбережения. Скрестим пальцы, у вас есть надежный Coinbase - затем , вероятно, Galaxy, Wintermute и Fireblocks. Я не говорю, что все остальные - неудачники, но доверять им 100 % своих сбережений - совсем другое дело.

‍

Короче говоря, нет смысла иметь 15 подписантов в вашей федерации, если 10 из них не применяют хорошие методы обеспечения безопасности или даже просто откровенно недобросовестны. Проблема в том, что найти 15 подписантов с отличной репутацией и отличной системой безопасности, не говоря уже о 50 подписантах, легче сказать, чем сделать.

Когда все заявляют о своей репутации и безопасности? Вуаля, лишь немногие из них действительно таковыми являются!

‍

С учетом этого я считаю, что федеративные мосты BTC остаются лучшим способом "экспорта" BTC в другие цепи (или уровни), внешние по отношению к основной цепи Биткойна. Ожидайте, что шифровальщики будут ворочаться в своих могилах, но тщательно подобранная федерация качественных подписантов в большинстве случаев будет безопаснее, чем любая безразрешительная альтернатива, возможная в текущих условиях.

В конце концов, не зря же большинство BTC-представительств, которые вы видите сегодня, в основном опираются на федерацию подписантов. У вас есть solvBTC, pumpBTC, Lombard's LBTC, Stacks's sBTC, Avalanche's BTC.b, Bitlayer's WBTC, Liquid's L-BTC, Merlin's MBTC - все они требуют от вас доверия к федерации подписантов, которых каждая из них соответственно курирует. Но поскольку действительно авторитетных подписантов найти нелегко, не удивляйтесь, обнаружив многочисленные случаи дублирования подписчиков между федерациями, когда один и тот же подписчик оказывается частью двух или более бриджей. Например, Cobo является подписантом solvBTC, pumpBTC и MBTC Мерлина. Или Chorus.one, подписавший и Lombard's LBTC, и Stacks's sBTC.

Бывают даже случаи, когда два подписанта в федерации фактически являются частью одной и той же экосистемы или организации. Например, BTC.b Avalanche включает Avascan и Ava Labs в свою федерацию из 8 подписчиков. Если предположить, что порог большинства 5 из 8 (необходимый минимум), то у злоумышленника остается "всего" 3 подписанта, которых можно подкупить или скомпрометировать (и серьезно угрожать безопасности моста BTC.b).

Ломбард LBTC

К их чести, некоторые проекты признают важность opsec подписчиков и предпринимают шаги по минимизации этого вектора атак. Например, Lombard использует многоуровневый подход к безопасности, обязав свой консорциум (набор подписывающих лиц) использовать CubeSigner, платформу управления ключами без хранения, созданную Cubist с использованием HSM-герметичных анклавов Nitro. На практике CubeSigner позволяет ключам оставаться в защищенном аппаратном обеспечении от генерации адреса до подписания транзакции - никто, даже Cubist или сами подписанты, не могут увидеть ключи, не говоря уже о том, чтобы их могли извлечь злоумышленники.

Однако, подобно тому, как вы доверяете Ledger в отношении целостности и неподкупности аппаратных кошельков Ledger, которые есть у вас дома, держатели Lombard's LBTC также должны доверять Cubist в отношении целостности и неподкупности экземпляров CubeSigner, запущенных подписчиками Консорциума - иначе мы снова будем полагаться на то, что каждый подписчик Консорциума не испортит свою собственную систему opsec.

‍

[Ломбард] с иллюстрациями: Архитектура Lombard LBTC

Кроме того, это не считая риска возможного сговора подписчиков, каким бы маловероятным он ни казался. Простой факт заключается в том, что если большинство подписантов Lombard Consortium вступят в сговор, они смогут скомпрометировать BTC, хранящиеся на адресах консорциума, и украсть средства пользователей.

заключение

Как индустрия, мы окажем себе плохую услугу, если будем довольствоваться тем выбором представительств BTC, который у нас есть сегодня. Резко, но это нужно сказать: нет никакого смысла в биткойне (и, по сути, во всей этой индустрии), если только несколько избранных китов с карманами, чтобы оплачивать транзакционные сборы mainchain, являются единственными, кто может совершать транзакции BTC в свободной от доверия манере. Все это представление о BTC как о надежных деньгах для масс прекратит свое существование, когда единственный реальный способ для большинства людей сохранять, тратить и совершать транзакции с BTC потребует от них доверять организациям, управляемым нестабильными людьми под юрисдикцией государства.

Федеративные BTC-мосты действительно открыли людям путь к быстрому и дешевому хранению и транзакциям BTC, оставаясь при этом относительно безопасными по сравнению с другими доступными альтернативами. Но они никогда не задумывались как конечная цель масштабирования биткоина, а скорее как средство достижения цели.

Пока достаточно хорошо, но, конечно, не святой Грааль, в котором так нуждается индустрия (и рынок).

Корневище rBTC

‍

[Rootstock] Rootstock: одно из OG-решений для масштабирования Биткойна

Запущенный в январе 2018 года, Rootstock является первым и самым продолжительным сайдчейном биткоина. Для достижения консенсуса он использует merge-mining, а также двусторонний федеративный мост BTC, где rBTC также используется для оплаты газа на Rootstock.

В чем загвоздка? Федеративный мост BTC от Rootstock не требует предположения о честном большинстве для того, чтобы быть безопасным!

Теперь, когда я завладел вашим вниманием, давайте погрузимся в процесс.

слияние-добыча

Для достижения консенсуса цепочка Rootstock использует merge-mining. В отличие от цепочек PoS (где доля ваших поставленных активов по отношению к набору поставленных активов представляет собой ваше право голоса), цепочки merge-mining стремятся использовать хэшрейт, который уже используется для добычи биткойна, распространяя его на подтверждение цепочки Rootstock. Это позволяет майнерам Биткойна одновременно обеспечивать безопасность и Биткойна, и Rootstock с помощью одной и той же инфраструктуры и потребления энергии, что позволяет им получать вознаграждение за майнинг в обеих сетях с одинаковыми затратами. Если вы больше знакомы с PoS, то merge-mining можно сравнить с restaking - один и тот же ресурс (например, ETH) используется для одновременного обеспечения как собственной цепи PoS (с помощью платформ жидкого стейблинга), так и внешних сетей PoS (путем повторного стейблинга LST для обеспечения выбранных вами сетей).

‍

[Алексей Замятин] с иллюстрациями: merge-mining

На момент написания статьи ~80% майнеров Биткойна согласились участвовать в процессе слияния майнинга Rootstock - теперь каждый PoW блока Rootstock унаследует ~80% хэш-мощности Биткойна!

Для повышения пропускной способности цепи блоки Rootstock разрабатываются быстрее, чем блоки Bitcoin (поэтому их сложность ниже, чем у Bitcoin). На сегодняшний день среднее время майнинга блоков Rootstock составляет около 25 секунд по сравнению с 10-минутным временем майнинга блоков Bitcoin.

tldr

Чтобы подключить BTC к цепочке, Rootstock реализовал особый тип федеративной настройки BTC, который имеет аппаратную составляющую. Пегнаторы (подписанты) должны запустить аппаратный модуль безопасности Rootstock, называемый PowHSM. PowHSM - это защищенное от взлома устройство, отвечающее за хранение ключа подписывающего, который является частью схемы мультисигнализации федерации. Подобно реализации CubeSigner компании Lombard, PowHSM разработан таким образом, чтобы ключи оставались в защищенном аппаратном обеспечении от генерации до подписания - никто, даже Rootstock или сами подписанты, не могут увидеть ключи, не говоря уже о том, чтобы злоумышленники могли их извлечь.

Контракт Bridge на Rootstock управляет Bitcoin SPV, предоставляя ему возможность просматривать Bitcoin из Rootstock в беспристрастном режиме. Для транзакций peg-in пегнаторы ждут, пока пользовательский депозит BTC на Bitcoin наберет 100 подтверждений, прежде чем сообщить об этом Bridge, который после подтверждения пользовательского депозита BTC (через Bitcoin SPV) будет майнить rBTC для пользователя.

Для транзакций peg-out Bridge сначала принимает запрос на peg-out. После 4000 подтверждений блока (на Rootstock) мост создает транзакцию Bitcoin peg-out, соответствующую этому запросу, чтобы пегнаторы подписали ее. Затем каждый PowHSM получит эту команду (через Powpeg, он же - полные узлы Rootstock) и вызовет пегнатора для подписания транзакции. Как только большинство пегнаторов подпишут транзакцию, мультисигма Bitcoin Rootstock выпустит соответствующую сумму BTC на Bitcoin-адрес снимающего пользователя.

сговоры да будут прокляты

Отличительной особенностью федеративного BTC-моста Rootstock от других является то, что для обеспечения безопасности моста ему не требуется предположение о доверии большинства подписывающих его лиц. Другими словами, даже если большинство подписчиков Rootstock вступят в сговор, они все равно не смогут скомпрометировать мост и украсть средства пользователей.

Как это возможно? Причина в том, что Rootstock способен отделить генерацию транзакций от подписания транзакций и объединить их с HSM-защищенным подписанием, подключенным к Powpeg.

Для примера, в типичной конструкции multisig или MPC подписывающие лица генерируют и подписывают транзакции. Если взять в качестве примера Lombard, то пользователь должен сначала отправить запрос на вывод, взаимодействуя в ончейне с мостовым контрактом Lombard. Один из подписантов Lombard примет его, затем сгенерирует запрос пользователя в виде транзакции Bitcoin и предложит Консорциуму для подписания. После одобрения большинством голосов биткойн-мультисигма Ломбарда выдаст соответствующую сумму BTC снимающему пользователю. Ожидайте, что этот процесс будет репрезентативным для всех федеративных BTC-мостов, за вычетом незначительных (несущественных) вариаций.

Далее обратите внимание на то, что подписант ломбарда - это тот, кто генерирует транзакцию биткойна, способствующую выводу средств пользователя. В случае сговора большинства подписантов, подписант (с благословения большинства) сможет предложить консорциуму несанкционированную транзакцию для одобрения большинством. Именно поэтому федеративные BTC-мосты почти всегда предполагали честное мажоритарное обеспечение безопасности - то есть до появления Rootstock!

‍

[IOV Labs] Иллюстрация: архитектура Powpeg от Rootstock

Rootstock уникален тем, что пегнаторы не генерируют транзакции Биткойна, соответствующие запросу пользователя на пегаут. Это происходит потому, что контракт Bridge на Rootstock создает транзакцию Биткойна для пользователя, которая, в свою очередь, подтверждается майнерами Биткойна, выбравшими участие в процессе слияния майнинга цепи. Пегнаторы не играют никакой роли в создании транзакций - их роль заключается лишь в запуске PowHSM, который подключается к Powpeg и "автоматически" подписывает уже созданную транзакцию после ее получения.

Для наглядности представьте, что вы заходите в интерфейс Uniswap, чтобы совершить обмен. Сначала ваш кошелек (например, Metamask) сгенерирует данные о транзакции на основе того, что вы собираетесь сделать (например, "обменять X ETH на USDC"), которые затем появятся на вашем аппаратном кошельке (например, Ledger), чтобы вы их подписали. В этом сценарии тот, кто нажимает на интерфейс Uniswap, аналогичен снимающему деньги пользователю, кошелек, генерирующий данные транзакции, аналогичен контракту Bridge на Rootstock, а тот, кто нажимает физические кнопки на аппаратном кошельке, аналогичен pegnatory-run PowHSM, подписывающему полученную транзакцию.

в оборудовании, которому мы доверяем.

Напомним, что в блокчейне Rootstock в настоящее время слит 80% хэширующей мощности Биткойна. Поэтому, если вы не хотите идти сложным путем и пытаться скомпрометировать мост rBTC, обладая >40 % мощности хэширования Биткойна и сохраняя ее в течение как минимум 4000 блоков Rootstock (~28 часов), вам, как потенциальному злоумышленнику, лучше нацелиться на целостность реализации PowHSM в Rootstock. Точно так же, как вы доверяете Cubist, когда речь идет о нейтрализации риска опенсек подписчика Lombard, пользователь также должен доверять Rootstock Labs в том, что PowHSM под управлением пегнаторов не имеет никаких ошибок или скрытых бэкдоров, которые могут быть использованы Rootstock, потенциальным злоумышленником или даже самими пегнаторами.

В защиту Rootstock можно сказать, что они действительно предприняли шаги по снижению уровня доверия пользователей к ним, открыв исходный код прошивки PowHSM. Однако, поскольку сама прошивка реализована поверх Ledger Nano S или Intel SGX, пользователям все равно приходится верить Ledger или Intel (как производителям) на слово, что чип Secure Element действительно безопасен, и что они не будут внедрять в свои устройства скрытые каналы, необъективные генераторы случайных чисел или любые формы бэкдоров.

заключение

Используя технологию "защита в глубину" (она же многоуровневая безопасность), компания Rootstock добилась того, чего не удавалось никому другому, - реализовала федеративный мост BTC, который не требует предположения о честном большинстве для обеспечения безопасности средств, депонированных пользователями.

Но опять же, меньшее доверие не означает отсутствие доверия. Вы все равно должны доверять составу пегнаторов Rootstock, состоящему из 12 человек, точно так же, как вы доверяете наборам подписывающих лиц в других системах федеративных мостов. Хотя в случае Rootstock, поскольку пегнаторы не имеют возможности подделывать данные транзакций (они "просто" запускают PowHSM), вы исключаете риск честного сговора большинства и "доверяете" пегнаторам только в отношении актуальности. Хотя в случае, если большинство пегнаторов уйдут в офлайн, вы рискуете тем, что ваши средства застрянут в биткойн-мультисигме Rootstock.

Более того, вам также необходимо доверять безопасности реализации PowHSM от Rootstock. Это включает в себя доверие к правильности установки прошивки на PowHSM, а также доверие к компании Ledger и/или Intel в отношении целостности их устройств.

‍

[Rootstock] общая картина: Федеративная двусторонняя привязка Rootstock и мейнчейн биткоина

Мост rBTC от Rootstock действительно является значительным улучшением существующих федеративных мостов BTC, но факт остается фактом: он по-прежнему требует от пользователя определенного уровня доверия к некоторым частям стека. Хотя я не буду отрицать, что безопасность, обеспечиваемая объединенным мостом Rootstock, уже более чем достаточна для 99 % токенов и представительств, я отступлю от темы, когда речь идет о BTC - мост с минимальным уровнем доверия не только предпочтителен, но и является необходимым условием.

Rootstock заслуживает много цветов за то, что у него (на мой взгляд) не только лучшая реализация федеративного моста BTC, но и лучший мост BTC в целом, который работает в настоящее время - элегантно балансируя между необходимостью безопасности и эффективностью капитала в своей конструкции.

Однако работа еще не закончена.

Обеспеченные BTC

Помимо Lightning, мосты BTC с обеспечением представляют собой один из немногих известных способов "экспорта" BTC в масштабируемую цепь или уровень действительно без разрешения.

Никаких репутаций, никаких доверенных лиц. Разработанная как открытая для всех желающих, но при этом с минимальным уровнем доверия, пользователям не нужно никому доверять.

Здесь наличные - буквально король.

tldr

Идея проста: на каждый 1 доллар BTC, внесенный в мост BTC с обеспечением, будет приходиться не менее 1 доллара других активов, поддерживающих его.

А как насчет реализации? Не очень!

Хотя существуют незначительные вариации, в основном мы можем разделить мосты с обеспечением BTC на два типа реализации: мосты в стиле CDP и мосты с взвешенной ставкой.

Interlay iBTC

CDP означает collateralized debt position (залоговая долговая позиция), популяризированная MakerDAO и встречающаяся в основном в децентрализованных стейблкоин-проектах, таких как Liquity's LUSD и MakerDAO's DAI. Чтобы добыть долговой токен (он же LUSD или DAI), пользователи должны внести залог (т.е. wBTC, ETH), превышающий стоимость максимально допустимого долга позиции. Коэффициент обеспечения будет зависеть от предполагаемой волатильности и риска залогового актива - безопасные активы "голубых фишек" будут иметь более низкий коэффициент, в то время как длиннохвостые активы потребуют более высокого коэффициента обеспечения, чтобы компенсировать их предполагаемый риск. Если коэффициент обеспечения падает ниже определенного порога (например, 110 %), то хранилища будут ликвидированы, и владельцы позиций рискуют потерять весь свой залог.

iBTC от Interlay - это один из примеров реализации моста BTC в стиле CDP, в котором каждый BTC стоимостью $1 должен быть обеспечен залогом на цепочке назначения на сумму >$1. Чтобы майнить iBTC, хранители должны сначала внести залог на Interlay, прежде чем депонировать BTC на mainchain. Количество iBTC, которое можно намайнить, соответствует стоимости залога вальтера на Interlay: если заблокированный залог стоит $160, вальтер может намайнить на Interlay только $100 iBTC(160% CR). Если стоимость залога вальтера упадет ниже ликвидационного коэффициента, любой сможет сжечь iBTC, чтобы выкупить свой залог с премией (110 %), что гарантирует, что система останется здоровой, так как ликвидаторы будут постоянно следить за хранилищами в поисках возможности извлечь ликвидационные премии.

‍

[Interlay] Иллюстрировано: Interlay iBTC

Чтобы обменять iBTC на BTC в Bitcoin, пользователи сначала отправляют запрос ваультеру, который затем обрабатывает вывод средств, отправляя соответствующую сумму BTC пользователю из своего хранилища Bitcoin. Если хранитель выходит из сети или просто отказывается выкупать BTC, пользователь может потребовать от хранителя залог, соизмеримый со стоимостью его выкупа iBTC, плюс некоторое вознаграждение за "неудачный выкуп". Таким образом, у хранителей появляется стимул выкупать BTC для пользователя, чтобы не рисковать, выплачивая пользователю премию за счет своего заблокированного залога на Interlay.

Порог tBTC

С другой стороны, мосты с взвешенными ставками - это, по сути, федеративные мосты BTC, но вместо того, чтобы ограничивать набор подписантов лишь несколькими избранными доверенными лицами, любой может участвовать в качестве подписывающего лица, разместив свои активы на мосту (и запустив необходимое программное обеспечение для работы в качестве подписывающего лица моста). Привилегии подписи распределяются через multisig и/или MPC, в зависимости от особенностей реализации каждого моста.

Теперь давайте посмотрим на tBTC от Threshold, пожалуй, самую известную реализацию моста BTC с взвешенными ставками. Threshold использует MPC для генерации адресов биткойн-депозитов своего моста, каждый из которых состоит из 100 подписантов. Подписывающие выбираются случайным образом (через Sortition Pool), где вероятность того, что стакер будет выбран в качестве подписывающего, равна проценту от его ставки в $T относительно набора подписывающих - если вы поставили 10 $T, а набор подписывающих имеет 800 $T ставок в общей сложности, ваш шанс быть выбранным в качестве подписывающего для этого адреса биткойн-депозита составит 1,25%. Если предположить, что на один адрес депозита Bitcoin приходится 100 подписантов, то можно ожидать, что ваша нода составит как минимум 1 подписантов из этого набора. Более того, поскольку для создания и подписания кошельков используется алгоритм Threshold ECDSA, 51 из 100 подписантов должны сотрудничать, чтобы вывести средства с адресов Bitcoin-депозитов Threshold.

[Chaos Labs] Проиллюстрировано: Порог tBTC

Каждые 14 дней мост будет генерировать новый адрес Bitcoin-депозита для пользовательских BTC-депозитов, основываясь на текущем составе стакеров Threshold. Помимо того, что это позволяет новым стейкерам стать подписантами будущих адресов биткойн-депозитов Threshold, это также обеспечивает безопасность: даже если коррумпированное большинство составит состав стейкеров Threshold, это только поставит под угрозу новые адреса биткойн-депозитов, генерируемые с этого момента. Другими словами, если вы использовали Threshold для моста своих BTC (и майнинга tBTC) до того, как коррумпированное большинство возглавило состав участников, ваши BTC будут надежно храниться на адресе депозита Bitcoin, контролируемом на тот момент безопасным набором подписывающих лиц с честным большинством.

iBTC - мы доверяем залогу

Обе модели мостов (в стиле CDP и с взвешенной долей) не навязывают замкнутый набор привилегированных субъектов в своей конструкции. Ни личность подписывающего, ни его репутация здесь не имеют значения - единственное, что имеет значение с точки зрения безопасности моста, это залог, который заблокирован в системе.

В случае с мостом Interlay в стиле CDP пользователи должны доверять залогу, которым обеспечен каждый iBTC. Если мост будет принимать в качестве залога сомнительные активы, он столкнется с риском недостаточного обеспечения: ликвидаторы могут быть не мотивированы ликвидировать хранилища, если залог, который они получают взамен, не имеет ликвидного рынка или эффективного ценообразования. Чтобы прояснить этот момент, представьте, что вы - ликвидатор, и спросите себя: готовы ли вы ликвидировать хранилище, заплатив 10 %-ную премию за мемкоин с низкой ликвидностью на цепочке и подверженный 20 %-ным колебаниям цен в течение часа?

И это несмотря на риск оракула, который вам придется понести - как пользователю, вам неизбежно придется доверять сети оракулов, которые передают информацию о ценах залоговых активов на Interlay. Оракулы построены по-разному - в то время как некоторые из них имеют значительную выборку источников цен и применяют надежные методы обеспечения безопасности, другие могут быть немного более подозрительными. На самом деле, слабым звеном часто оказывался оракул, а не обеспечение CDP или реализация его смарт-контрактов!

tBTC - мы доверяем стакерам

Естественно, что, будучи мостом с взвешенными ставками, держатели tBTC должны быть уверены, что состав ставок в Threshold останется децентрализованным, и что ни один субъект или коалиция не смогут составить более 51% ставок в $T - ни в настоящем, ни в будущем.

Хотя система защиты Threshold ограничивает ущерб только будущими депозитами BTC после момента компрометации (состава ставки), вы не можете быть уверены, когда это произойдет на самом деле. Злоумышленник может просто разделить свои остатки $T по нескольким адресам, что создает впечатление, что их остатки принадлежат нескольким сторонам, в то время как на самом деле они контролируются одним и тем же лицом. Это усугубляется неспособностью алгоритма подписи, лежащего в основе Threshold, выявлять недобросовестных подписантов (по крайней мере, в tBTC v1), что позволяет потенциальным злоумышленникам оставаться незамеченными, постепенно проникая в число подписантов и (в конце концов) формируя большинство в ставках. Вышеупомянутое, очевидно, достаточно беспокоит Threshold, поэтому они решили запустить мост с разрешенным набором подписантов, в котором только проверенные авторитетные организации могут быть подписантом - фактически делая Threshold, по крайней мере в его текущей форме, квазифедеративным BTC-мостом!

Но для убедительности предположим, что мост стал безразрешительным - токен $T достиг миллиардных объемов рынка, и маловероятно, что злоумышленник сможет накопить $T до 51 % ставочного состава моста. Даже в этом состоянии "эндшпиля" мост все еще ограничен по мощности: пользовательские BTC-депозиты считаются экономически безопасными только в том случае, если набор подписывающих лиц может потерять в залоге больше, чем они могли бы получить от кражи пользовательских средств со всех адресов Bitcoin-депозитов, которые они коллективно контролируют.

Для количественной оценки вышесказанного представим себе сценарий, в котором на Threshold ставится $10M на общую сумму $T. Также для простоты предположим, что набор подписывающих остается неизменным. Поскольку для подписания требуется 51 из 100, можно сказать, что экономическая безопасность моста стоит $5,1M - это максимальная залоговая стоимость, которую Threshold может использовать для резания недобросовестных стакеров. Теперь вы понимаете, к чему это приведет - теоретически, когда сумма пользовательских BTC-депозитов по контролируемым адресам Bitcoin-депозитов достигнет более $5,1 млн, подписантам станет выгодно вступать в сговор и выкачивать пользовательские средства. Хотя на практике набор подписантов не будет фиксироваться по нескольким адресам биткоин-депозитов (чтобы учесть новых и уходящих стейкеров), теория игры остается в силе: неавторизованное большинство подписантов сможет скомпрометировать мост при условии, что стоимость пользовательских BTC-депозитов по контролируемым адресам биткоин-депозитов будет больше, чем залоговое обеспечение, которое они могут потерять.

заключение

Кроме Lightning, только мосты BTC с обеспечением могут утверждать, что они действительно безразрешительные. К сожалению, они также несут в себе ряд проблем и неявных предположений о доверии, которые существуют вне самого моста.

Безопасность мостов типа CDP в основном связана с залоговым обеспечением, которое они принимают для поддержки моста. Если мост ограничивает себя только высококачественными активами (т. е. ETH), то ему придется конкурировать с другими протоколами DeFi по доходности, чтобы привлечь эти активы: зачем держателю ETH размещать депозит у вас, если он может получить более высокую доходность в других протоколах?

CDP-style bridges are also highly capital-inefficient — in the case of Interlay, at least $1.6 worth of collateral is needed in order to mint $1 worth of iBTC. You can only lower the collateralization ratio down to a certain threshold: set it too low (<110%), and you’re staring at a barrel of failed liquidations and the risk of the bridge failing due to being straddled by bad debt.

Существует также вопрос безопасности оракула. Для того чтобы упорядоченные ликвидации были возможны, мосты типа CDP полагаются на надежные и точные данные о ценах, получаемые от оракула. Это означает, что по умолчанию пользователи должны доверять сети или провайдеру оракула моста.

Что касается мостов со взвешенными ставками, то распределение ставок является решающим фактором - ведь именно они определяют, кто будет входить в набор подписантов при генерации новых адресов вкладов биткоина в мост. Пользователи должны быть уверены в том, что распределение прав собственности на токен колла достаточно децентрализовано, чтобы ни один субъект или коалиция не смогли получить большинство - ни сейчас, ни в будущем.

Кроме того, мосты с взвешенными ставками в принципе ограничены по мощности (хотя и гораздо лучше, чем мосты типа CDP) - они могут экономически обеспечить безопасность пользовательских BTC-депозитов только в пределах общей стоимости залогового обеспечения в ставках потенциального неавторизованного большинства из набора подписантов. Это эффективно ограничивает количество BTC, которое можно безопасно хранить на нескольких депозитных адресах моста - ни при каких обстоятельствах общая стоимость депозитов BTC пользователей на этих адресах никогда не должна превышать общую стоимость залогового обеспечения большинства подписывающих, контролирующих их.

Представительства не равны

Выход из мейнчейна имеет свои нюансы. Правда, внешние представительства BTC никогда не будут так же надежно защищены, как хранение BTC на мейнчейне, но иногда вам просто не нужна такая большая безопасность для вашего тайника. Не все здесь миллионеры, знаете ли!

Хотя я считаю, что большинство уровней и мостов масштабирования BTC, о которых шла речь выше, останутся достаточно безопасными в обозримом будущем, мне кажется важным, чтобы вы, как самостоятельный пользователь BTC, были хотя бы осведомлены о том, какой выбор есть на рынке сегодня. Надеюсь, что благодаря этой статье среднестатистический пользователь BTC будет лучше осведомлен о компромиссах доверия, которые существуют при навигации по различным средам самостоятельного хранения.

В следующей статье цикла мы расскажем о революционном открытии - BitVM, вычислительной парадигме Bitcoin, которая позволяет запускать программы на Bitcoin в оптимистичном режиме. Это означает, что он обрабатывает большинство вычислений вне цепочки и поэтому не подвержен ограничениям Биткойна. Однако если кто-то не согласен с результатом, он может поднять спор на цепочке Bitcoin. Если имеет место обман, мошенник будет разоблачен и наказан. В качестве первого шага это позволит впервые построить мосты BTC с минимальным уровнем доверия от Биткойна к внешним масштабируемым слоям. В будущем BitVM может даже сделать возможными настоящие ролловеры Биткойна, где данные о транзакциях хранятся в блокчейне Биткойна.

Гибридная цепочка BOB объединяет сильные стороны безопасности Биткойна и современного инструментария EVM, наследуя лучшее из обоих миров. Являясь первой в мире практической реализацией BitVM, BOB станет домом для безопасных, но дешевых биткойн-транзакций и DeFi - посмотрите на родной биткойн вне биткойна!

Звучит слишком хорошо, чтобы быть правдой? Оставайтесь с нами, чтобы увидеть часть 2 - глубокое погружение в гибридную цепь BOB, шлюз для Bitcoin DeFi.

Если вы считаете, что я упустил что-то достойное упоминания, пожалуйста, свяжитесь со мной в X/Twitter - я всегда открыт для предложений и отзывов. Также, если эта статья была вам полезна, репосты и лайки здесь будут очень признательны!

‍