所以,你现在持有 BTC。很好,迟来总比不来好。
然后,你听到了这个行业的神圣格言:不是你的钥匙,就不是你的币。再加上各种 CEX 骗局和黑客攻击,你最终决定自行保管比特币。
恭喜你,你现在可以掌握自己的财务命运了。万岁,不是吗?
你会意识到,在比特币上进行交易的成本高得吓人,贵得让以太坊臭名昭著的高额汽油费都汗颜。因为你不像那些该死的鲸鱼,你没有价值 100 万美元的比特币可以花--你在主链上的每一笔交易都会给你带来沉重的打击。
现在怎么办?肯定有更好的办法。
离巢
当您在比特币(主链,区块链)之外持有比特币(BTC,加密货币)时,您将无法获得主链的安全保护,因此需要继承您所在链或层的信任假设,以及您持有的 BTC 代表代币(如果适用)。
不幸的是,这是 iBitnevitable 不得不做出的权衡--暂时如此。
本文将概述现有的各种扩容方法和桥梁,并概述每种方法都需要牺牲的信任。此外,我们还将揭示每种方法的不足之处,以及为什么仍然没有合适的比特币扩容解决方案,能够在不严重损害用户主链安全和保护的情况下 "输出 "比特币。
比特币和主链这两个词将在全文中交替使用。让我们开始吧。
闪电网络
闪电网络于 2018 年 1 月推出,是比特币扩展的最早尝试之一。闪电网络的核心是由一个支付通道网络组成,每个支付通道从根本上说都是比特币双方之间的2对2多位数合约(利用 HTLC)。
闪电网络的工作原理是,存在多个支付通道,这些通道与您要发送比特币的对等节点保持连接。因此,即使您与鲍勃没有直接连接,只要您与爱丽丝(她与鲍勃有连接)有连接,您就可以从您的闪电节点发起支付,并通过爱丽丝向鲍勃付款。
理论上,只要你的交易对手至少有一个共同的同行(有足够的流动性),你就可以与任何人进行交易。这就是闪电网络中的 "网络"。
tldr
当 Bob 想要与 Alice 开通一个支付通道时,他们会结合各自的密钥生成一个 2-2 多位元合约,作为通道的地址。然后,鲍勃广播两笔交易:他的承诺交易(如果爱丽丝没有回应,他就把资金花回他的资金钱包)和他的资金交易(鲍勃把他的比特币存入 2-2 多位元合约)。同样,Alice 也会广播她的承诺交易和资金交易。需要注意的是,在任何人向支付通道提供资金之前,第一笔承诺交易必须由双方签署。这是为了确保在任何一方离线的情况下,资金不会滞留在多重组中。
一旦支付渠道建立起来,鲍勃和爱丽丝就可以自由支配多位元内的比特币,次数和方式不限。当你 "发送 "资金时,你实际上是在更新你与对方的共享承诺交易,以反映最新的余额状态,从而使之前的承诺 失效。当支付通道仍在运行时,承诺交易从未在链上提交,只有 Bob 和 Alice 知道。只有在支付通道关闭时才会公布承诺交易。
当鲍勃想关闭一个通道(并将他的比特币返回主链)时,有两种方法:与爱丽丝合作或非合作(又称强制关闭)。在合作关闭(快乐路径)中,鲍勃和爱丽丝会就各自在多重签名中的余额份额达成一致,然后双方签署一份新的交易,立即将资金花回各自的钱包。
然而,在强制关闭场景(不愉快路径)中,鲍勃或爱丽丝可能无法或不愿合作签署关闭交易。在这种情况下,发起强制关闭的一方会将其余额用于仲裁合约,允许其同行在 CSV 延迟(又称争议期)内提出异议。如果该方试图 "作弊"(发布较早的承诺交易),其同行只需发布最新的承诺交易,将作弊方的资金从仲裁合约中据为己有。
[lightning.engineering]图文并茂:鲍勃的 8 BTC 强制关闭索赔失败
举例说明,假设鲍勃和爱丽丝的 "真实 "余额分别为 4 BTC 和 6 BTC(支付通道总共包含 10 个比特币)。如果鲍勃发起强制关闭,并声称他在支付通道中拥有 8 个 BTC(通过发布较早的承诺交易),爱丽丝可能会简单地发布最新的承诺交易,并从仲裁合约中索要鲍勃的 8 个 BTC。这将对鲍勃起到威慑作用,确保各方在打开 "闪电 "通道时无需相互信任。
不是你的节点,也不是你的硬币。
闪电网络的问题在于,除非你运行自己的闪电节点,否则无法进行自我托管。否则,您必须将比特币存入一个受信任的闪电节点,才能使用该网络,您的比特币将成为其内部账本的一部分,并代表您进行交易。如果持有您存款的闪电节点出了问题,那么您的比特币也会随之消失,而您却没有任何追索权。这简直比把比特币存入可信的 CEX 还糟糕--我的意思是,至少你是在和 Binance 或 Coinbase 打交道!
如果您决定运行自己的 "闪电 "节点,那么您就需要持续在线以监控同行的渠道违规行为。虽然您可以指定 Watchtower节点来帮助您监控违规行为(它们会存储您在支付通道上进行的每笔交易产生的承诺,以便代表您对欺诈性强制关闭进行抗辩),但您基本上又回到了信任中心化实体的状态。再说一遍,你还不如相信 Binance 或 Coinbase,而不是随便哪个守望者公司来保护你的比特币!
[山姆-艾肯]图解:LN瞭望塔在行动
如果上述情况还不足以让你望而却步,那么如果你运行自己的闪电节点,就需要手动管理自己节点相对于同行的流动性。例如,如果一个支付通道总共只有 10 BTC,那么任何一方在对方之间持有的最大余额就是 10 BTC。然而,尽管您可能与多个对等节点有连接(因为您可能要向许多不同的方付款),如果您想与没有直接连接的人进行交易,您就需要依靠与您和您的交易对手都有连接的其他 "闪电 "节点,它们也有足够的流动性来进行支付。现在你明白为什么流动性管理对普通节点运行者来说非常麻烦了吧。
因此,大多数 "闪电 "节点只需将其连接到路由节点即可。路由节点是资本雄厚的 "闪电 "节点(很可能由大型机构运营),专门负责路由支付。路由节点是资本雄厚的 "闪电 "节点(很可能由大型机构运营),专门从事支付路由。它们作为中间渠道位于 "闪电 "节点之间,是整个网络支付的准匹配者。因此,网络在这方面趋向于集中化--在撰写本文时,前 10 个闪电节点占整个网络容量的 75% 以上!
[LnRouter.app]活动的 "闪电 "节点,按容量筛选
凤凰钱包(Phoenix Wallet)由 ACINQ 开发,旨在简化普通用户在闪电网络上的自我托管。下载他们的钱包应用程序后,您的手机就会自动成为自己的闪电节点。为了简化流动性管理和支付路由,您的闪电节点将连接到 ACINQ 节点,依靠 ACINQ 作为路由器进行入站和出站支付。
尽管如此,您仍需定期在线并关注违规情况--否则,您仍将任由 ACINQ 摆布。尽管可能性不大,但如果 ACINQ 试图用过时的承诺强行关闭您的频道,您就需要上网提出异议,并提交正确的最新承诺。否则,ACINQ 将失去您的资金。
结论
闪电网络是为节点运行者设计的。但在现实世界中,并非每个人都需要运行自己的节点--这既不现实,也不实用。
唉,"闪电网络 "绝不是为普通的非极客 BTC 持有者准备的。事实上,你需要运行一个节点才能保持自我保管,再加上其严格作为支付网络的限制性用例(无法编程以原生解锁更丰富的用例,如 DeFi),使该协议沦为运行自己节点的真正比特币持有者的边缘产品。
不是你的节点,不是你的硬币。对普通用户来说,这并不理想。
状态链
状态链作为一个概念,在很大程度上借鉴了闪电的支付渠道,两者都支持无限的链外交易,这些交易最终将在比特币关闭时在比特币上 "结算"。
tldr
与闪电通道(2-of-2 multisigs)不同,状态链的UTXO存放地址完全由操作员在链外创建,操作员是一个可信实体,会为自己和UTXO的当前所有者生成密钥共享。想要启动状态链的UTXO所有者与操作员(可信实体)合作创建一个地址,在该地址中,由第一位所有者和操作员的密钥份额形成相应的公钥。在此基础上,所有者用UTXO(或比特币)为状态链注入资金,然后(在操作员的合作下)创建一个备份交易,这是一个时间锁,允许所有者在UTXO到期后单方面要求归还UTXO。
[Nik/Coinmonks]状态链在行动:将UTXO的所有权从Alice转移给Bob
如果当前所有者希望将UTXO的所有权转让给新的所有者,运营商只需重新生成与存款地址相同的密钥份额,并删除与旧所有者的密钥份额。然后,新的所有者(在操作员的配合下)创建一个备份交易,但时间锁定更短。每次状态链易手时,操作员都会删除之前的密钥份额,并共同签署新所有者的备份交易,该交易的时间锁定将比之前的所有者更短,直到时间锁定无法进一步缩短(这就需要为新所有者创建一个新的状态链)。
这样,旧所有者就不能单方面代替新所有者从状态链中提取资金。因为要合作退出状态链(即时提现),旧所有者需要操作员共同签署他们的退出交易(操作员不能再这样做了,因为他们已经删除了之前可以共同签署交易的密钥份额),否则旧所有者就必须等待他们的时间锁到期后才能提交他们的备份交易。不过,即使操作员在新所有者想要退出状态链时离线,他们也可以提交备份交易,并先于旧所有者获得资金,因为他们的备份交易的时间锁更短。
我们信任操作员
操作员是状态链的唯一失误点,这一点似乎还不够明显。新的所有者需要相信操作员确实删除了他们之前的密钥份额,并且不会串通一气,共同为之前的所有者索要资金。由于操作员的服务器基本上是一个 web2 封闭盒,新的所有者无法验证操作员是否删除了之前的密钥共享(除非他们自己就是操作员)。
Mercury Layer 是一个状态链项目,旨在消除这种信任因素。利用 Schnorr 的 盲变量,Mercury 操作员并不知道比特币链本身。因此,操作员不知道他们共同签名的是哪个存款地址、备份交易的细节,也不知道他们生成的任何签名。假设同一个操作员处理多个状态链,Mercury 基本上会对每一个收到的联合签名请求进行盲签,而不知道他们的签名将启用什么功能。这可以防止操作员选择性地串通,确保密钥生成和签名在其服务器上正确完成,因为他们根本没有恶意的动机(由于盲签,他们不知道会有什么风险)。
[鲁本-索姆森]操作员正在签署盲文--它不知道这些是比特币交易还是别的什么。
尽管 Mercury 付出了努力,但从根本上讲,状态链仍然受到严重限制。你只能向状态链 "发送 "你存入的 BTC 的确切数额,因为状态链的核心只是一个地址所有权传输协议,而不是像闪电网络那样真正促进 UTXO 传输。此外,如果运营商离线,所有 "发送 "都将停止,您将不得不等待您的长期时间锁定到期,然后才能通过备份交易将您的资金取回比特币。
结论
虽然状态链为UTXO的转移提供了一种巧妙的 "黑客 "技术,使其克服了比特币的成本和限制,但它们仍然不适合不同金额的大规模高频率UTXO转移。在这种情况下,状态链甚至比闪电网络更具限制性--除了只能转移你为状态链提供资金的UTXO之外,你还必须面对同样缺乏可编程性的问题,这使你无法解锁除支付之外更丰富的使用案例(即DeFi)。
说来说去,状态链不过是一种 "黑客 "式的信任最小化地址所有权转移协议。我的意思是,至少 "闪电 "对节点运行者是有效的!
状态链--对开发人员来说很有趣,对其他人来说就没那么有趣了。
托管 BTC
托管比特币解决方案(被 OGs 称为 "比特银行")尽管在意识形态上打了 "真正的 "比特币用户的脸,但对于普通用户来说,它仍然是最安全(也是最方便)、最便宜、最快捷、最安全的比特币交易途径之一。
值得信赖的 BTC 托管机构大多属于历史最悠久的加密货币机构,在业内甚至在 TradFi 中都享有很高的声誉。
tldr
不言自明,托管比特币解决方案通常涉及信誉良好的实体,这些实体受到储户的足够信任,可以充当存放在他们那里的所有比特币的托管人。之后,他们会在不同的链(和环境)上铸造有代表性的代币,每个单位都会得到托管人储备的比特币数量 1:1 的支持(理论上)。
与比特币相比,这些 BTC 代表代币(如 wBTC、cbBTC 等)所处的链更便宜、速度更快,因此持有者可以在 DeFi 上使用这些代币,赚取以 BTC 计价的收益,并在更快、更便宜的执行环境中相互交易。
我们相信托管人
[BitGo: 可信赖的 wBTC 托管人
不言而喻,托管 BTC 解决方案的用户必须完全信任他们所持有的 BTC 代表代币的托管人。不同的托管实体会带来不同程度的风险,这要从持有人的角度来解释。
例如,如果用户重视历史记载、交易所流动性及其OG游戏平台性,就会更倾向于使用BitGo的wBTC。同样,如果一个人更看重明确的法规、透明度以及对美国正当程序和法治的尊重,那么他可能更倾向于持有 Coinbase 的 cbBTC。这就好比一个人在决定选择 Tether 的 USDT 还是 Circle 的 USDC 作为自己的稳定币时的考虑因素--或者你就两个都持有!
结论
尽管托管 BTC 解决方案目前为那些不会自我托管的 BTC 用户提供了一个有用的桥梁,但它充其量只是一个权宜之计。
当您持有 wBTC 时,您就是在信任 BitGo,就像您在 CEX 存入资金时信任他们一样。Coinbase 的 cbBTC、Binance 的 BBTC 以及其他众多 BTC 托管商也是如此。
一次松懈的安全漏洞和一次与强大的 拉撒路的遭遇(但愿不是),你用来资助金正日核武器的比特币就这么没了!
联邦 BTC
想象一下 wBTC,但不是只有 BitGo 作为托管人,还有 Wintermute、ChorusOne 和其他机构加入,并获得王国的钥匙。
有什么比一个监护人更好?多得不得了
tldr
联合比特币桥本质上是一种集体托管比特币桥。它们由多个信誉良好的实体组成一个签名者集,需要过半数的签名者才能授权对它们之间存放的比特币进行交易。
我们的想法是消除托管 BTC 解决方案中存在的单点故障风险。就像你会使用多签名钱包而不是 EOA 来自我保管你的大部分储蓄一样,我们的想法是通过将签名权限分散到多个受信任的实体上,减少对每个签名者的信任。
因此,要入侵联合 BTC 设置(并窃取其中存储的比特币),攻击者需要入侵签名者集的大部分实体。要入侵 Coinbase 是很难的。但要入侵 Coinbase、OKX、Wintermute 和 Fireblocks 而不被发现,对于任何潜在的攻击者来说,都是一项相当艰巨的任务。
多标件和多PC
简单地说,在联合 BTC 设置中,主要有两种分配签名权限的方式--通过 multisig(多签名)和/或 MPC(多方计算)结构。我就不细说每种方式的实现细节了(细节很多),但主要的想法是,在多重签名中,"共享 "地址是在链上生成的,每个签名者都拥有一个完全独立的私钥。这意味着,当来自共享地址的交易被签名者集体签名时,签名将被记录在链上。
使用 MPC 时,"共享 "地址在链外生成,每个签名者拥有部分密钥份额。在对链上交易进行签名时,签名者将通过组合他们的密钥份额来共同计算签名。从区块链的角度看,该签名似乎只是来自一个签名者的标准签名,而事实上,它是由签名者集体在链外生成的,是 MPC 结构的一部分。
当然,每种方法之间都存在细微差别和权衡。虽然对这些问题的阐述超出了本文的范围,但我还是建议您阅读 Fireblocks 提供的 MPC vs. Multi-sig入门指南,以防您是一个想深入了解细节的书呆子。
我们相信联邦
理论上,这一切听起来都非常安全。你拥有最顶尖的加密机构,每个机构都有自己的声誉,共同保护着联合 BTC 桥梁。还能出什么问题呢?
要知道,信任度低并不意味着不信任。在联合 BTC 桥梁中,签名者的选择至关重要。联盟需要包括足够数量的签名者、安全的多数门槛(至少三分之二)和足够的地理分布。更不用说,每个签名者都需要有足够好的声誉,他们愿意保护这些声誉,并对联盟桥的成功有既得利益。
对我来说,在目前至少有一个联合 BTC 桥梁的签约机构中,老实说,只有少数几个机构会让我把毕生积蓄托付给它们。首先是值得信赖的 Coinbase,然后可能是Galaxy、Wintermute 和 Fireblocks。我并不是说其他机构都是骗子,但要我把毕生积蓄 100%托付给它们,那就是另一回事了。
简而言之,如果你的联盟中有 15 个签名者,其中有 10 个没有执行良好的安全措施,甚至只是粗略的签名者,那你的联盟就没有任何意义了。问题是,要找到 15 个具有良好声誉和出色操作安全的签名者,说起来容易做起来难,更不用说 50 个签名者了。
每个人都声称自己信誉良好、安全可靠?瞧,实际上只有少数几个是真的!
综上所述,我认为联合 BTC 桥仍然是将 BTC "输出 "到比特币主链之外的其他链(或层)的最佳方式。虽然加密朋克们可能会在坟墓里打滚,但在大多数情况下,精心策划的高质量签名者联盟要比当前情况下任何无许可的替代方案都要安全。
毕竟,如今你所看到的大多数 BTC 代表都依赖于签名者联盟,这是有原因的。你有 solvBTC、pumpBTC、Lombard 的 LBTC、Stacks 的 sBTC、Avalanche 的 BTC.b、Bitlayer 的 WBTC、Liquid 的 L-BTC、Merlin 的 MBTC--所有这些都需要你信任各自策划的签名者联盟。但是,由于真正有信誉的签名者很难找到,所以如果发现联盟之间有多个签名者重叠的情况,不要感到惊讶,因为在这种情况下,同一个签名者会发现自己是两个或多个桥接设置的一部分。例如,Cobo 是 solvBTC、pumpBTC 和梅林 MBTC 的签名者。Chorus.one 也是 Lombard 的 LBTC 和 Stacks 的 sBTC 的签名者。
甚至在某些情况下,一个联盟中的两个签名者实际上是同一个更广泛的生态系统或实体的一部分。例如,Avalanche 的 BTC.b 将 Avascan 和 Ava Labs 作为其 8 个签名者联盟的一部分。假设 8 人中有 5 个多数(必要的最小值),那么攻击者 "只 "剩下 3 个签名者可以贿赂或妥协(并严重威胁 BTC.b 桥接的安全性)。
伦巴第枸杞中心
值得称赞的是,一些项目确实认识到了签名者操作安全的重要性,并已采取措施尽量减少这种攻击载体。例如,Lombard 采用了一种多层次的安全方法,强制其联盟(签名者集)运行 CubeSigner,这是一个由 Cubist利用 HSM 密封的 Nitro enclaves 构建的非托管密钥管理平台。实际上,CubeSigner 允许密钥从地址生成到交易签署一直保存在安全的硬件中,任何人,甚至是 Cubist 或签署者本身,都无法看到密钥,更不用说外部攻击者提取密钥了。
然而,就像你信任 Ledger,信任你家里的 Ledger 硬件钱包的完整性和廉洁性一样,Lombard 的 LBTC 持有者也需要信任 Cubist,信任由联盟签名者运行的 CubeSigner 实例的完整性和廉洁性--否则,我们又要回到依赖每个联盟签名者不搞砸自己的 opsec 的状态。
[伦巴第]图解:伦巴第 LBTC 建筑
此外,这还不包括签名者可能串通的风险,无论这种可能性看起来有多小。一个简单的事实是,如果 Lombard Consortium 的大多数签名者串通一气,他们就能破坏整个 Consortium 地址所持有的 BTC 并窃取用户资金。
结论
作为一个行业,如果我们只满足于今天的 BTC 代表选择,那将是对我们自己的一种伤害。话虽不好听,但还是得说:如果只有少数几个有能力支付主链交易费用的巨鲸才能以无信任的方式进行 BTC 交易,那么比特币(乃至整个行业)就没有任何意义了。当大多数人储蓄、消费和交易 BTC的唯一现实途径要求他们信任由国家管辖下的易犯错的人类运行的实体时,BTC 作为大众的无信任健全货币的整个概念将不复存在。
联邦 BTC 桥梁确实为人们以快速、廉价的方式持有和交易 BTC 铺平了道路,同时与其他可用的替代方案相比仍然相对安全。但它们从来都不是比特币扩容的最终目的,而是达到目的的一种手段。
到目前为止已经足够好了,但肯定不是行业(和市场)迫切需要的圣杯解决方案。
根茎 rBTC
[根茎] 根茎:比特币的OG扩展解决方案之一
Rootstock 于 2018 年 1 月推出,是第一个也是持续时间最长的比特币侧链。它利用合并挖矿达成共识,并采用双向联盟 BTC 桥接,rBTC 也用于支付 Rootstock 上的天然气费用。
问题是什么?Rootstock 的联合 BTC 桥接器并不需要一个诚实的多数假设来保证其安全性!
既然大家已经注意到我了,那我们就开始吧。
合并采矿
根茎链采用合并挖掘法达成共识。与PoS链不同(在PoS链中,你所投入的资产相对于投入集的比例代表了你的投票权),合并挖掘链试图利用已经用于挖掘比特币的hashrate能力,将其扩展到验证Rootstock链。这样,比特币矿工就可以使用相同的基础设施和能源消耗同时确保比特币和 Rootstock 的安全,从而以相同的支出从两个网络中获得挖矿奖励。如果你更熟悉 PoS,那么合并挖矿就类似于重新定价--使用相同的资源(例如 ETH)同时保护本地 PoS 链(通过液体定价平台)和外部 PoS 网络(通过重新定价你的 LST 来保护你选择的网络)。
[阿列克谢-扎米亚京]插图:合并采矿
截至发稿时,已有约 80% 的比特币矿工选择参与 Rootstock 的合并挖矿流程--Rootstock 区块的每个 PoW 现在都将继承约 80% 的比特币算力!
为了提高链上的吞吐量,Rootstock 区块的设计比比特币区块的挖矿速度更快(因此难度低于比特币)。截至目前,Rootstock 的平均区块时间约为 25 秒,而比特币的平均区块时间为 10 分钟。
tldr
为了将 BTC 连接到链上,Rootstock 采用了一种特殊的联合 BTC 设置,这种设置带有硬件特征。Pegnatories(签名者)需要运行名为 PowHSM 的 Rootstock 硬件安全模块。PowHSM 是一种防篡改设备,负责存储签名者的密钥,该密钥是联盟多重签名方案的一部分。与伦巴第公司的 CubeSigner 实施方案类似,PowHSM 的设计也是为了确保密钥从生成到签署的整个过程都保存在安全的硬件中--任何人,甚至包括 Rootstock 或签署者本人,都无法看到密钥,更不用说外部攻击者提取密钥了。
Rootstock 上的 Bridge 合约运行 Bitcoin SPV,以一种无信任的方式从 Rootstock 上查看比特币。对于peg-in交易,pegnatories会等待用户在比特币上的BTC存款累积到100次确认后再通知Bridge,Bridge会在验证用户的BTC存款后(通过Bitcoin SPV)向用户铸造rBTC。
对于挂钩退出交易,桥接器将首先接受挂钩退出请求。在 4000 个区块确认后(在 Rootstock 上),桥接器将建立与该请求相对应的比特币挂钩交易,供挂钩人签署。然后,每个 PowHSM 都将接收到这一命令(通过 Powpeg,又称 Rootstock 完整节点),并触发挂钩人签署交易。一旦大多数挂钩人签署了该交易,Rootstock 的比特币多重签名系统就会向取款用户的比特币地址释放相应金额的比特币。
串通是该死的
Rootstock 的联合 BTC 桥接方案与其他方案的不同之处在于,它不需要签名者集的诚实多数信任假设来保证桥接方案的安全性。换句话说,即使大多数 Rootstock 的签名者串通一气,他们仍然无法破坏桥接器并窃取用户资金。
这怎么可能呢?原因在于 Rootstock 能够 将 交易生成与交易签名分离开来,并将其与连接到 Powpeg 的 HSM 安全签名配对。
举例说明,在典型的多重签名或 MPC 结构中,签名者生成并签署交易。以 Lombard 为例,用户必须首先在链上与 Lombard 桥接合约互动,提交挂钩请求。Lombard 的签约者之一会接收到这一信息,然后将用户的请求生成比特币交易,再提交给联盟签署。在获得大多数人同意后,Lombard 的比特币多重签名者将向提款用户发放相应的比特币金额。除了一些微小的(无关紧要的)差异外,预计这在每个联合 BTC 桥上都具有代表性。
接着,请注意,伦巴第签署人是生成比特币交易的人,为用户的挂钩退出提供了便利。在多数签名者串通的情况下,签名者(在多数人的祝福下)将能够向联盟提出一个流氓交易,以获得多数人的批准。这就是为什么联盟式 BTC 桥几乎总是隐含着诚实多数的安全假设--直到 Rootstock 的出现!
[IOV 实验室]图解:Rootstock 的 Powpeg 架构
Rootstock的独特之处在于,挂钩账户不会根据用户的挂钩退出请求生成相应的比特币交易。这是因为Rootstock上的桥接合约是为用户建立比特币交易的合约,而比特币交易又是由选择参与链上合并挖矿过程的比特币矿工验证的。Pegnatories不参与交易生成--它们的作用仅仅是运行PowHSM,PowHSM连接到Powpeg,并在收到已构建的交易后 "自动 "签署。
想象一下,你正在访问 Uniswap 界面进行交换。首先,您的钱包(即 Metamask)会根据您的意图生成交易数据(例如 "用 X 个 ETH 交换 USDC"),然后弹出到您的硬件钱包(即 Ledger)上供您签名。在这种情况下,点击 Uniswap 界面的人就相当于取款用户,生成交易数据的钱包就相当于 Rootstock 上的桥接合约,而按下硬件钱包上的物理按钮的人就相当于签署接收到的交易的 pegnatory-run PowHSM。
我们信任的硬件。
回想一下,Rootstock 区块链现在已经合并挖掘了比特币 80% 的哈希值。因此,作为潜在攻击者,除非你想采取强硬手段,通过拥有大于 40% 的比特币散列能力并维持至少 4000 个 Rootstock 区块(约 28 个小时)来破坏 rBTC 桥接,否则你最好将目标放在 Rootstock 的 PowHSM 实现的完整性上。就像你信任 Cubist 来消除 Lombard 的签名者不安全风险一样,用户也需要信任 Rootstock Labs,相信由 pegnatory 运行的 PowHSM 不存在任何可被 Rootstock、潜在攻击者甚至 pegnatories 本身利用的漏洞或隐蔽后门。
在 Rootstock 的辩护中,他们实际上已经采取了措施,通过开源 PowHSM 固件来降低用户对他们的信任度。不过,由于固件本身是在 Ledger Nano S 或英特尔 SGX 的基础上实现的,因此用户仍然需要相信 Ledger 或英特尔(作为制造商)的承诺,即安全元素芯片确实是安全的,而且他们不会在设备上引入隐蔽通道、有偏见的随机数生成器或任何形式的后门。
结论
利用 深度防御(又称分层安全),Rootstock 完成了其他公司从未完成的任务--实现了联合 BTC 桥接,而无需为用户存入资金的安全性做出诚实的多数假设。
但是,减少信任并不意味着不信任。你仍然需要信任 Rootstock 的 12 个挂名机构的组成,就像你信任其他联盟桥接设置的签名者一样。不过,在 Rootstock 的情况下,由于挂名机构无权篡改交易数据(它们 "仅仅 "运行 PowHSM),因此就消除了多数人串通的风险,而 "仅仅 "信任挂名机构的有效性。不过,如果大部分挂点机构都离线了,那么您的资金就有可能被卡在 Rootstock 的比特币多重加密算法中。
此外,您还需要信任Rootstock的PowHSM实施的安全性。这包括信任 PowHSM 上的固件安装是否正确,以及信任 Ledger 和/或英特尔对其设备完整性的保证。
[Rootstock]大图Rootstock的联合双向挂钩和比特币主链
Rootstock 的 rBTC 桥接器确实是对现有联合 BTC 桥接器的重大改进,但事实仍然是:它仍然要求用户对堆栈的某些部分给予一定程度的信任。虽然我不否认 Rootstock 的联合桥接设置所提供的安全性对于 99% 的代币和表征来说已经绰绰有余,但说到 BTC,我还是要扯远点--信任最小化的桥接不仅是首选,而且是先决条件。
在我看来,Rootstock 不仅拥有最佳的联合 BTC 桥接器实施方案,而且也是目前正在运行的整体BTC 桥接器中的佼佼者,它在设计中巧妙地平衡了安全性和资本效率的需求,因此值得我们为它献上鲜花。
不过,这项工作还没有完成。
抵押 BTC
除了 "闪电 "之外,抵押 BTC 桥是以真正无许可的方式将 BTC "输出 "到可扩展链或层的仅有的几种已知方式之一。
不涉及声誉,无需信任实体。其设计目的是让任何人都能加入,但又将信任最小化,用户无需信任任何人。
在这里,现金简直就是王道。
tldr
这个想法很简单:每有价值 1 美元的 BTC 存入抵押 BTC 桥,就会有至少价值超过 1 美元的其他资产为其提供支持。
实施情况如何?不怎么样!
尽管存在细微差别,但我们主要可以将抵押 BTC 桥分为两种实施类型:CDP 式桥接器和赌注加权桥接器。
Interlay iBTC
CDP 是抵押债务头寸的缩写,由 MakerDAO 推广,主要存在于去中心化的稳定币项目中,如 Liquity 的 LUSD 和 MakerDAO 的 DAI 本身。要铸造债务代币(又称 LUSD 或 DAI),用户必须存入超过头寸最大允许债务价值的抵押品(即 wBTC、ETH)。抵押率取决于抵押资产的波动性和风险--安全的 "蓝筹 "资产往往会获得较低的抵押率,而长尾资产则需要较高的抵押率来补偿其预期风险。如果抵押比率低于某个临界值(即 110%),那么金库将被清算,头寸持有者将面临失去全部抵押品的风险。
Interlay 的 iBTC 就是这样一个 CDP 式 BTC 桥接实施的例子,其中每价值 1 美元的桥接 BTC 都必须由目标链上价值大于 1 美元的抵押品提供支持。要铸造 iBTC,储户必须先在 Interlay 上存入抵押品,然后再在主链上存入 BTC。可铸币的 iBTC 数量与铸币者在 Interlay 上的抵押物价值相对应:如果锁定的抵押物价值 160 美元,则铸币者只能在 Interlay 上铸币价值 100 美元的 iBTC(CR 值为160%)。如果储藏者的抵押品价值低于清算比率,任何人都可以以溢价(110%)烧制 iBTC 来赎回抵押品,从而确保系统保持健康,因为清算人会不断监控储藏室,以寻找机会提取清算溢价。
[Interlay]图解:Interlay iBTC
要将 iBTC 兑换成比特币上的 BTC,用户首先要向 vaulter 提交请求,然后 vaulter 会处理提款,从其比特币保险库向用户发送相应的 BTC 金额。如果储藏者离线或干脆拒绝兑换 BTC,用户可以要求储藏者提供与其 iBTC 兑换价值相称的抵押品,外加一些 "兑换失败 "的奖励。这样一来,储藏者就有动力为用户赎回 BTC,以免他们冒着向用户支付溢价的风险,把自己的抵押品锁定在 Interlay 上。
阈值 tBTC
另一方面,股权加权桥接器基本上是联合的 BTC 桥接器,但不是将签名者限制为少数几个精挑细选的可信实体,而是任何人都可以作为签名者参与,只需将其资产抵押给桥接器(并运行所需的软件以作为桥接器的签名者)。签名权限通过多重签名和/或 MPC 分配,具体取决于每个网桥的实施细节。
现在,让我们来看看 Threshold 的 tBTC,它可以说是最著名的股权加权比特币桥接方案。Threshold 利用 MPC 生成桥接器的比特币存款地址,每个地址由 100 个签名者组成。签名者是通过随机过程(通过 排序池)选出的,签名者被选为签名者的概率等于其投注的 T 币在签名者集中所占的百分比--如果你投注了 10 T 币,而签名者集中总共投注了 800 T 币,那么你被选为该比特币存款地址签名者的概率将是 1.25%。假设一个比特币存款地址有 100 个签名者,那么你的节点将至少有 1 个签名者。此外,由于它使用 Threshold ECDSA算法来生成钱包和签名,100 个签名者中的 51 个必须合作才能从 Threshold 的比特币存款地址中转移资金。
[混沌实验室]图解:阈值 tBTC
每隔 14 天,桥接器就会根据 Threshold 当前的注资构成,为用户的 BTC 存款生成一个新的比特币存款地址。除了允许新的认购者成为 Threshold 未来比特币存款地址的签名者之外,这也实现了 前瞻性的安全性:即使 Threshold 的认购构成中出现了腐败的多数,也只会损害从那时起生成的新比特币存款地址。换句话说,如果你在腐败的大多数人接管了赌注组成之前使用 Threshold 来桥接你的 BTC(并铸造 tBTC),你的 BTC 将继续安全地存储在由当时安全的诚实的大多数签名者集所控制的比特币存款地址中。
iBTC - 我们信任抵押品
这两种桥接模式(CDP 式和股权加权式)在设计上都不强加于一组封闭的特权实体。签名者的身份和声誉在这里并不重要--相对于桥接安全而言,唯一重要的是锁定在系统中的抵押品。
就 Interlay 的 CDP 式桥接器而言,用户必须信任支持每个 iBTC 的抵押品。垃圾进,垃圾出--如果桥接器接受虚假资产作为抵押品,就会面临抵押不足的风险:如果清算人换取的抵押品没有流动性市场或有效的价格发现,他们就不会有清算金库的积极性。为了让大家明白这一点,想象一下你是一个清算人,扪心自问:你是否愿意为一个链上流动性稀薄、每小时价格波动高达 20% 的 memecoin 支付 10% 的溢价来清算一个保险库?
尽管如此,您仍然需要承担甲骨文风险--作为用户,您不可避免地需要信任在 Interlay 上提供抵押资产价格信息流的甲骨文网络。甲骨文的构造并不相同--有些甲骨文的价格来源有相当大的样本,并实施了稳健的安全措施,而有些甲骨文则可能更可疑一些。事实上,最薄弱的环节往往是 Oracle,而不是 CDP 的抵押品或其智能合约的实施!
tBTC - 我们信任造币商
当然,作为一个股权加权的桥梁,tBTC 持有者需要相信 Threshold 的 T 币股权构成仍然是去中心化的,没有任何一个实体或联盟能够占据超过 51% 的 T 币股权--无论是现在还是将来。
虽然 Threshold 的前向安全性会将损害限制在(盯盘组成)损害点之后的未来 BTC 存款上,但您无法确定这种情况何时真正发生。攻击者可以在多个地址上拆分他们的 TT 赌注余额,这让人觉得他们的余额是由多方持有的,而实际上它们是由同一个实体控制的。此外,Threshold 的底层签名算法无法识别行为不端的签名者(至少在tBTC v1 中是如此),这就使得潜在的攻击者在慢慢进入签名者集并(最终)形成多数赌注时仍未被发现。Threshold 显然对上述问题非常关注,因此他们决定使用许可签名者集启动桥接器,只有经过审查的信誉良好的实体才能成为签名者--这实际上使 Threshold(至少在当前形式下)成为一个准自由的 BTC 桥接器!
但是,为了便于论证,让我们假设这座桥是无权限的--T 美元代币的市值已达数十亿美元,任何攻击者都不太可能将 T 美元累积到这座桥的赌注构成的 51%。即使是在这种 "终局 "状态下,桥接器仍然会受到容量的限制:只有当签名者集在他们共同控制的所有比特币存款地址上窃取用户资金时,他们在抵押品上的损失大于他们在窃取用户资金上的损失,用户的比特币存款才会被认为是经济安全的。
为了量化上述情况,让我们设想这样一种情况:在 Threshold 上总共投注了价值 1000 万美元的 T 美元。同样,为了简单起见,我们假定签署人组合自始至终保持不变。由于需要 100 人中有 51 人签字,因此可以说这座桥的经济安全价值为 510 万美元--这就是 Threshold 可以用来砍杀无赖赌客的最大抵押品价值。现在你可以看到这一点了--从理论上讲,一旦受控比特币存款地址的用户比特币存款总额超过 510 万美元,那么签名者串通一气抽走用户资金就有利可图了。虽然在实践中,签名者集不会在多个比特币存款地址上固定不变(以适应新的和即将退出的造假者),但其背后的博弈理论仍然有效:只要用户在受控比特币存款地址上的 BTC 存款价值高于他们可能损失的抵押品,签名者集中的大多数流氓就能够破坏桥梁。
结论
除了 "闪电 "之外,只有抵押的 BTC 桥接器才能声称自己是真正无权限的。不幸的是,它们也存在一系列难题和隐含的信任假设,这些问题和假设都存在于桥梁本身之外。
CDP 式桥接器的安全性基本上与它们接受的支持桥接器的抵押物构成息息相关。如果桥接器只接受优质资产(即 ETH),那么它们就需要在收益率上与其他 DeFi 协议竞争,以吸引这些资产:当 ETH 持有者可以在其他协议上获得更高的收益率时,他们为什么还要在你这里存款呢?
CDP-style bridges are also highly capital-inefficient — in the case of Interlay, at least $1.6 worth of collateral is needed in order to mint $1 worth of iBTC. You can only lower the collateralization ratio down to a certain threshold: set it too low (<110%), and you’re staring at a barrel of failed liquidations and the risk of the bridge failing due to being straddled by bad debt.
还有一个甲骨文安全问题。要实现有序清算,CDP 型网桥首先要依靠来自甲骨文的可靠、准确的价格信息。这意味着默认情况下,用户也需要信任网桥的甲骨文网络或提供商。
对于股权加权桥接器来说,股权分配是决定成败的关键--毕竟,它们决定了在生成桥接器的新比特币存款地址时,谁将成为签名者集的一部分。用户必须相信,配资代币的所有权分配是充分分散的,没有任何一个实体或联盟能够在现在和未来获得多数。
此外,股权加权桥接器从根本上限制了容量(尽管比 CDP 型桥接器要好得多)--它只能经济地确保用户 BTC 存款不超过签名者集潜在流氓多数的抵押品总价值。这实际上限制了 BTC 在网桥多个存款地址上的安全存储量--在任何情况下,用户在这些地址上的 BTC 存款总值都不得超过控制这些地址的多数签名者的抵押品总值。
代表权并不平等
退出主链也有自己的细微差别。诚然,比特币外部的 BTC 代表永远不会像在主链上持有 BTC 那样安全,但有时你根本不需要那么安全的储藏。要知道,这里不是每个人都是百万富翁!
虽然我相信在可预见的未来,上文讨论的大多数 BTC 扩展层和桥接器都将保持合理的安全性,但我认为,作为一个自我托管的 BTC 使用者,至少应该了解目前市场上的选择,这一点很重要。希望通过这篇文章,普通的 BTC 使用者现在能够更好地了解在不同的自我监管环境中进行导航时存在的信任权衡。
在本系列的下一篇文章中,我们将探讨 BitVM 这一改变游戏规则的发现。BitVM 是比特币上的一种计算模式,它允许程序以乐观的方式在比特币上运行。这意味着它可以处理链外的大部分计算,因此不会受到比特币限制的阻碍。但是,如果有人对结果有异议,他们可以在比特币链上提出争议。如果有任何作弊行为,作弊者就会被曝光并受到惩罚。作为第一步,这将首次实现从比特币到外部扩展层的信任最小化 BTC 桥梁的构建。在未来,BitVM 甚至可以实现真正的比特币卷积,将交易数据存储在比特币区块链上。
BOB的混合链融合了比特币的安全优势和EVM的先进工具,继承了两个世界的精华。作为世界上首个比特币虚拟机(BitVM)实际应用的先驱,BOB 将成为安全而廉价的比特币交易和 DeFi 的家园--比特币之外的原生比特币!
听起来好得不像是真的?敬请期待第二部分--深入探讨 BOB 的混合链,比特币 DeFi 的入口。
如果你觉得我漏掉了什么值得一提的东西,请通过 X/Twitter 联系我--我随时欢迎你的建议和反馈。此外,如果您觉得本文对您有帮助,欢迎在此转发并点赞!
