출처: Bitlayer 연구 그룹

저자: 린델, mutourend.

이메일: [email protected], [email protected]

1. 소개

비트코인은 분산되고 안전하며 신뢰할 수 있는 디지털 자산입니다. 그러나 결제 및 기타 애플리케이션을 위한 확장 가능한 네트워크가 되는 것을 방해하는 중요한 제한 사항이 있습니다. 비트코인의 스케일링 문제는 초기부터 우려사항이었습니다. 비트코인 UTXO 모델은 각 거래를 독립적인 이벤트로 처리하므로 복잡한 상태 종속 계산을 수행할 수 있는 능력이 부족한 무상태 시스템이 됩니다. 따라서 비트코인은 간단한 스크립트와 다중 서명 트랜잭션을 수행할 수 있지만 상태 저장 블록체인 플랫폼에서 흔히 볼 수 있는 복잡하고 동적인 계약 상호 작용을 촉진하는 데는 어려움이 있습니다. 이 문제는 비트코인을 기반으로 구축할 수 있는 분산형 애플리케이션(dApp) 및 복잡한 금융 상품의 범위를 크게 제한하는 반면, 상태 모델 플랫폼은 기능이 풍부한 스마트 계약을 배포하고 실행하기 위한 보다 다양한 환경을 제공합니다.

비트코인 확장에는 주로 상태 채널, 사이드 체인, 클라이언트 검증 등의 기술이 있습니다. 그 중 상태 채널은 안전하고 다양한 결제 솔루션을 제공하지만 임의로 복잡한 계산을 검증하는 능력에는 한계가 있습니다. 이러한 제한으로 인해 복잡한 조건부 논리 및 상호 작용이 필요한 다양한 시나리오에서의 사용이 줄어듭니다. 사이드체인은 광범위한 애플리케이션을 지원하고 비트코인 ​​이상의 다양한 기능을 제공하지만 보안이 낮습니다. 이러한 보안 차이는 사이드체인이 비트코인 ​​합의 메커니즘보다 훨씬 덜 강력한 독립적인 합의 메커니즘을 사용한다는 사실에서 비롯됩니다. Bitcoin UTXO 모델을 사용하는 클라이언트 측 검증은 더 복잡한 거래를 처리할 수 있지만 Bitcoin의 양방향 체크섬 제한 기능이 없으므로 보안이 Bitcoin보다 낮습니다. 클라이언트 검증 프로토콜의 오프체인 설계는 서버 또는 클라우드 인프라에 의존하며, 이는 손상된 서버를 통한 중앙 집중화 또는 잠재적인 검열로 이어질 수 있습니다. 클라이언트 측 검증의 오프체인 설계는 또한 블록체인 인프라에 더 많은 복잡성을 가져오며 잠재적으로 확장성 문제로 이어질 수 있습니다.

2023년 12월, ZeroSync 프로젝트의 리더인 로빈 리누스(Robin Linus)는 " BitVM: Compute Anything On Bitcoin "이라는 백서를 발표하여 비트코인의 프로그래밍 가능성을 개선하려는 모든 사람들의 생각을 촉발시켰습니다. 본 논문에서는 비트코인 ​​네트워크의 합의를 변경하지 않고도 튜링 완전성을 달성할 수 있어 비트코인의 기본 규칙을 변경하지 않고도 어떠한 복잡한 계산도 비트코인에서 검증할 수 있는 비트코인 ​​계약 솔루션을 제안합니다. BitVM은 비트코인 ​​스크립트와 Taproot를 최대한 활용하여 낙관적인 롤업을 달성합니다. Lamport 서명(비트 약속이라고도 함)을 기반으로 두 개의 Bitcoin UTXO 간에 연결이 설정되어 상태 저장 Bitcoin 스크립트를 구현합니다. Taproot 주소에서 대규모 프로그램을 수행함으로써 운영자와 검증인은 광범위한 오프체인 상호 작용에 참여하여 온체인 공간이 작아집니다. 양 당사자가 협력하면 체인에 어떤 흔적도 남기지 않고 임의적으로 복잡한 상태 저장 오프 체인 계산을 수행할 수 있습니다. 양측이 협력하지 않을 경우 분쟁이 발생하면 온체인 실행이 필요합니다. 따라서 BitVM은 비트코인의 잠재적인 사용 사례를 크게 확장하여 비트코인을 통화로 사용할 수 있을 뿐만 아니라 다양한 분산 응용 프로그램과 복잡한 컴퓨팅 작업을 위한 검증 플랫폼으로도 사용할 수 있습니다.

그러나 BitVM 기술은 비트코인 ​​확장에 있어 큰 이점을 갖고 있지만 아직 초기 단계에 불과해 효율성과 보안 측면에서 여전히 몇 가지 문제가 남아 있습니다. 예: (1) 챌린지 및 응답에는 여러 상호 작용이 필요하므로 처리 비용이 많이 들고 챌린지 주기가 길어집니다. (2) Lamport의 일회성 서명 데이터가 길어서 데이터 길이를 줄여야 합니다. (3) 해시 함수는 다음과 같습니다. 복잡하고 비트코인 ​​친화적인 해시 기능이 필요하므로 비용이 절감됩니다. (4) 기존 BitVM 계약은 거대하며 비트코인 ​​블록 용량은 제한되어 있습니다. 스크립트 없는 스크립트를 사용하여 스크립트 없는 스크립트 BitVM을 구현하여 비트코인 ​​블록 공간을 절약하는 동시에 BitVM 효율성을 향상시킬 수 있습니다. (5) 기존 BitVM은 권한 모델을 채택하고 있는데 동맹 구성원만이 도전을 시작할 수 있고 두 당사자로만 제한됩니다. 신뢰 가정을 더욱 줄이기 위해 무허가 다자간 도전 모델로 확장해야 합니다. 이를 위해 이 기사에서는 BitVM의 효율성과 보안을 더욱 향상시킬 수 있는 몇 가지 최적화 아이디어를 제안합니다.

2.BitVM 원리

BitVM은 비트코인의 오프체인 계약으로 자리매김하고 있으며 비트코인 ​​계약 기능을 홍보하는 데 전념하고 있습니다. 현재 비트코인 ​​스크립트는 완전히 상태 비저장이므로 비트코인 ​​스크립트가 실행될 때 실행 환경은 각 스크립트 후에 재설정됩니다. 스크립트 1과 스크립트 2가 동일한 x 값을 갖는 기본 방법은 없으며 비트코인 ​​스크립트는 이를 기본적으로 지원하지 않습니다. 그러나 기존 opcode를 사용하여 Lamport 일회성 서명을 통해 비트코인 ​​스크립트를 상태 저장으로 만들 수 있습니다. 예를 들어 script1과 script2의 x를 동일한 값으로 강제할 수 있습니다. 참가자가 충돌하는 x 값에 서명하면 불이익을 받을 수 있습니다. BitVM 프로그램 계산은 오프체인에서 발생하고, 계산 결과 검증은 온체인에서 발생합니다. 현재 비트코인 ​​블록은 1MB 제한이 있으며 검증 계산이 너무 복잡할 경우 OP 기술을 사용하여 도전 응답 모드를 채택하여 더 높은 복잡성 계산 검증을 지원할 수 있습니다.

Optimistic Rollup 및 MATT 제안(Merkelize All The Things)과 유사하게 BitVM 시스템은 사기 방지 및 도전 응답 프로토콜을 기반으로 하지만 비트코인의 합의 규칙을 수정할 필요가 없습니다. BitVM의 기본 기본 요소는 주로 해시 잠금, 시간 잠금 및 대규모 Taproot 트리를 기반으로 단순합니다.

증명자는 바이트 단위로 커밋하지만 온체인에서 모든 계산을 검증하는 데는 비용이 너무 많이 듭니다. 따라서 검증자는 증명자의 잘못된 주장을 간결하게 반박하기 위해 신중하게 설계된 일련의 과제를 수행합니다. 증명자와 검증자는 분쟁을 해결하는 데 사용되는 일련의 질문 및 응답 트랜잭션에 공동으로 사전 서명하여 비트코인에 대한 보편적인 계산 검증을 허용합니다.

BitVM의 주요 구성 요소는 다음과 같습니다.

3.BitVM 최적화

3.1 ZK 기반 OP 상호 작용 수 줄이기

현재 두 가지 주요 롤업, 즉 ZK 롤업과 OP 롤업이 있습니다. 그 중 ZK Rollups는 ZK Proof의 유효성 검증, 즉 올바른 실행에 대한 암호화 증명에 의존하며 보안은 계산 복잡도 가정에 의존합니다. OP Rollups는 제출된 상태가 정확하다고 가정하고 Fraud Proof에 의존하여 설정합니다. 챌린지 기간은 일반적으로 7일이며 보안은 시스템에서 적어도 한 명의 정직한 당사자가 잘못된 상태를 감지하고 사기 증명을 제출할 수 있다고 가정합니다. BitVM 챌린지 프로그램의 최대 단계 수는 2^{32}이고, 필요한 메모리는 2^{32}*4바이트, 즉 약 17GB라고 가정합니다. 최악의 경우 약 40차례의 도전과 대응, 약 반년이 소요되며 전체 스크립트는 약 150KB 정도이다. 이 상황에서는 인센티브가 심각하게 부족하지만 실제로는 거의 발생하지 않습니다.

BitVM 문제의 수를 줄이고 이를 통해 BitVM의 효율성을 높이려면 영지식 증명을 사용하는 것이 좋습니다. 영지식 증명 이론에 따르면, 데이터 Data가 알고리즘 F 를 만족하면 증명이 검증 알고리즘인 verify를 만족한다는 것이 증명되는데, 즉 검증 알고리즘은 True를 출력하고, 데이터 Data가 알고리즘 F 를 만족하지 않으면, 증명이 검증 알고리즘인 검증을 만족하지 않는다는 것이 증명됩니다. 즉, 검증 알고리즘이 False 를 출력합니다. BitVM 시스템에서는 증명자가 제출한 데이터를 도전자가 인식하지 못하는 경우 도전이 시작됩니다.

알고리즘 F 에 대해서는 이분법을 사용하여 분할하는데, 2^n 번 걸린다고 가정하면 오류점을 찾을 수 있고, 알고리즘의 복잡도가 너무 높으면 n 이 커지고 시간이 오래 걸릴 것이다. 완벽한. 그러나 영지식 증명 검증 알고리즘인 검증 의 복잡도는 고정되어 있으며, 검증 및 검증 알고리즘 검증 의 전 과정이 공개되어 출력이 False로 판명된다. 영지식 증명의 장점은 검증 알고리즘 검증을 여는 데 필요한 계산 복잡도가 원래 알고리즘 F 를 여는 이진법보다 훨씬 낮다는 것입니다. 따라서 영지식 증명의 도움으로 BitVM은 더 이상 원래 알고리즘 F 에 의해 도전받지 않고 검증 알고리즘인 검증 에 의해 도전 라운드 수를 줄이고 도전 주기를 단축합니다.

마지막으로, 영지식 증명과 사기 증명의 효율성은 서로 다른 보안 가정에 따라 다르지만 이를 결합하여 ZK 사기 증명을 구축하고 온디맨드 ZK 증명을 실현할 수 있습니다. 각 단일 상태 전환에 대해 더 이상 ZK 증명을 생성할 필요가 없는 전체 ZK 롤업과 달리 온디맨드 모델에서는 문제가 있을 때만 ZK 증명이 필요하며 전체 롤업 설계는 여전히 낙관적입니다. 따라서 결과 상태는 누군가가 이의를 제기할 때까지 기본적으로 여전히 유효합니다. 특정 상태에서 챌린지가 없으면 ZK 증명을 생성할 필요가 없습니다. 그러나 참가자가 챌린지를 시작하는 경우 챌린지 블록의 모든 거래의 정확성을 위해 ZK 증명이 생성되어야 합니다. 앞으로 우리는 항상 ZK 증명을 생성하는 데 드는 계산 비용을 피하기 위해 논란의 여지가 있는 단일 명령에 대해 ZK 사기 증명 생성을 탐색할 수 있습니다.

3.2 비트코인 ​​친화적인 일회성 서명

비트코인 네트워크에서는 합의 규칙을 따르는 거래가 유효한 거래이지만 합의 규칙 외에 표준화 규칙도 도입됩니다. 비트코인 노드는 브로드캐스트 표준 트랜잭션만 전달하며, 유효하지만 비표준 트랜잭션을 패키징하는 유일한 방법은 채굴자와 직접 작업하는 것입니다.

합의 규칙에 따르면 기존(Segwit이 아닌) 트랜잭션의 최대 크기는 1MB로 전체 블록을 차지합니다. 그러나 레거시 트랜잭션의 표준 한도는 100kB입니다. 합의 규칙에 따르면 Segwit 거래의 최대 크기는 무게 제한인 4MB입니다. 그러나 Segwit 거래의 표준은 400kB로 제한됩니다.

Lamport 서명은 BitVM의 기본 구성 요소로, 서명 및 공개 키 길이를 줄이면 거래 데이터가 줄어들어 처리 비용이 절감됩니다. Lamport 일회성 서명에는 해시 함수(예: 단방향 순열 함수 f)를 사용해야 합니다. Lamport의 일회성 서명 체계에서 메시지 길이는 v비트이고 공개 키 길이는 2v비트이며 서명 길이도 2v비트입니다. 서명과 공개키는 길이가 길고 많은 양의 저장 가스를 필요로 합니다. 따라서 서명 및 공개키 길이를 줄이기 위해 유사한 기능을 가진 서명 방식을 찾을 필요가 있습니다. Lamport 일회성 서명과 비교하여 Winternitz 일회성 서명은 서명 및 공개 키 길이를 크게 줄였지만 서명 및 서명 확인의 계산 복잡성을 증가시킵니다.

Winternitz 일회성 서명 방식에서는 v 비트 메시지를 길이 n 의 벡터 s 로 매핑하는 데 특수 함수 P 가 사용됩니다. s의 각 요소 값은 {0,..., d }입니다. Lamport 일회성 서명 방식은 d =1의 특수한 경우 Winternitz 일회성 서명 방식입니다. Winternitz 일회성 서명 방식에서 n, d, v 사이의 관계는 다음을 충족합니다: n≒v/log2(d+1) . d =15일 때 n≒(v/4)+1이 있습니다. n 개 요소를 포함하는 Winternitz 서명의 경우 공개 키 길이와 서명 길이는 Lamport의 일회성 서명 체계보다 4배 더 짧습니다. 그러나 서명 확인의 복잡성은 4배 증가합니다. Winternitz의 일회성 서명을 구현하기 위해 BitVM에서 d =15, v =160, f =ripemd160(x)를 사용하면 비트 약정 크기를 50%까지 줄일 수 있으므로 BitVM의 거래 수수료를 최소 50%까지 줄일 수 있습니다. 앞으로는 기존 Winternitz 비트코인 ​​스크립트 구현을 최적화하면서 비트코인 ​​스크립트로 표현된 보다 컴팩트한 일회성 서명 체계를 탐색할 수 있습니다.

3.3 비트코인 ​​친화적인 해시 함수

합의 규칙에 따르면 P2TR 스크립트의 최대 크기는 10kB이고 P2TR 스크립트 감시의 최대 크기는 Segwit 트랜잭션의 최대 크기인 4MB와 동일합니다. 그러나 P2TR 스크립트 감시의 표준 상한은 400kB입니다.

현재 비트코인 ​​네트워크는 OP_CAT을 지원하지 않으며 Merkle 경로 확인을 위해 문자열을 연결할 수 없습니다. 따라서 머클 포함 증명 검증 기능을 지원하려면 기존 비트코인 ​​스크립트를 활용하여 최적의 스크립트 크기와 스크립트 감시 크기를 갖춘 비트코인 ​​친화적인 해시 함수를 구현해야 합니다.

현재 비트코인 ​​네트워크는 OP_CAT을 지원하지 않으며 Merkle 경로 확인을 위해 문자열을 연결할 수 없습니다. 따라서 머클 포함 증명 검증 기능을 지원하려면 기존 비트코인 ​​스크립트를 활용하여 최적의 스크립트 크기와 스크립트 감시 크기를 갖춘 비트코인 ​​친화적인 해시 함수를 구현해야 합니다.

BLAKE3은 BLAKE2 해시 함수의 최적화된 버전이며 Bao 트리 모드를 도입합니다. BLAKE2s 기반에 비해 압축 기능의 라운드 수가 10라운드에서 7라운드로 감소되었습니다. BLAKE3 해시 함수는 입력을 1024바이트 크기의 연속 청크로 분할합니다. 마지막 청크는 더 짧을 수 있지만 비어 있지는 않습니다. 청크가 하나만 있는 경우 해당 청크는 루트 노드이자 트리의 유일한 노드입니다. 이러한 청크를 이진 트리의 리프 노드로 배열한 다음 각 청크를 독립적으로 압축합니다.

Merkle 포함 증명 시나리오를 검증하기 위해 BitVM을 사용하는 경우 해시 연산의 입력은 2개의 256비트 해시 값으로 구성됩니다. 즉, 해시 연산의 입력은 64바이트입니다. BLAKE3 해시 함수를 사용하면 이 64바이트를 단일 청크 내에 할당할 수 있으며, 전체 BLAKE3 해시 연산은 단일 청크에 압축 기능을 한 번만 적용하면 됩니다. BLAKE3의 압축 기능에서는 라운드 기능을 7번, 변위 기능을 6번 실행해야 합니다.

현재 XOR, 모듈러 추가, u32 값을 기반으로 한 비트 오른쪽 이동과 같은 기본 작업이 BitVM에서 완료되었으며 Bitcoin 스크립트로 구현된 BLAKE3 해시 함수를 쉽게 조립할 수 있습니다. BLAKE3에서 요구하는 u32 추가, u32 비트 XOR 및 u32 비트 회전을 구현하기 위해 스택에서 4개의 개별 바이트를 사용하여 u32 단어를 나타냅니다. 현재 BLAKE3 해시 함수 비트코인 ​​스크립트의 총 용량은 약 100kB이며 이는 BitVM의 장난감 버전을 구축하기에 충분합니다.

또한 이러한 BLAKE3 코드를 분할할 수 있으므로 Verifier와 Prover는 도전-응답 게임의 실행을 완전히 실행하는 대신 절반으로 분할하여 필요한 온체인 데이터를 크게 줄일 수 있습니다. 마지막으로, Bitcoin 스크립트를 사용하여 Keccak-256 및 Grøstl과 같은 해시 함수를 구현하고, 가장 비트코인 ​​친화적인 해시 함수를 선택하고, 기타 새로운 비트코인 ​​친화적인 해시 함수를 살펴보세요.

3.4 스크립트 없는 스크립트 BitVM

스크립트리스 스크립트는 Schnorr 서명을 사용하여 오프체인으로 스마트 계약을 실행하는 방법입니다. Scripless Scripts의 개념은 Mimblewimble에서 탄생했으며 커널과 해당 서명을 제외한 영구 데이터를 저장하지 않습니다.

Scriptless Script의 장점은 기능성, 개인 정보 보호 및 효율성입니다.

스크립트 없는 스크립트는 명시적인 스마트 계약 실행을 피하는 비트코인의 암호화 프로토콜을 설계하는 방법입니다. 핵심 아이디어는 기능을 달성하기 위해 스크립트를 사용하는 대신 암호화 알고리즘을 사용하여 원하는 기능을 달성하는 것입니다. 어댑터 서명과 다중 서명은 스크립트 없는 스크립트의 원래 구성 요소입니다. Scriptless 스크립트를 사용하면 일반 거래보다 작은 거래를 달성하고 거래 수수료를 줄일 수 있습니다.

스크립트리스 스크립트는 Schnorr 다중 서명 및 어댑터 서명을 사용하는 데 사용할 수 있습니다. 이는 더 이상 BitVM 솔루션과 같은 해시 값 및 해시 사전 이미지를 제공하지 않으며 BitVM 회로에서 논리 게이트 커밋을 실현하여 BitVM 스크립트 공간을 절약하고 BitVM 효율성 향상. . 기존 Scriptless Scripts 솔루션은 BitVM 스크립트 공간을 줄일 수 있지만 공개 키를 결합하려면 증명자와 도전자 사이에 많은 양의 상호 작용이 필요합니다. 앞으로는 이 솔루션을 개선하고 특정 BitVM 기능 모듈에 Scripless 스크립트를 도입하려고 노력할 것입니다.

3.5 무허가 다자간 챌린지

3.5 무허가 다자간 챌린지

현재 BitVM 이의 제기에 기본적으로 권한이 필요한 이유는 비트코인의 UTXO가 한 번만 실행될 수 있기 때문에 악의적인 검증자가 정직한 증명자에게 이의를 제기하여 계약을 "낭비"할 수 있기 때문입니다. BitVM은 현재 양방향 챌린지 모드로 제한됩니다. 악을 행하려는 증명자는 자신이 통제하는 검증자와 동시에 계약에 이의를 제기함으로써 계약을 '낭비'하고 악한 행위를 성공시킬 수 있지만, 다른 검증자는 그 행위를 막을 수 없습니다. 따라서 비트코인을 기반으로 BitVM의 기존 1-of-N 신뢰 모델을 1-of-N으로 확장할 수 있는 무허가 다자간 OP 챌린지 프로토콜에 대한 연구가 필요합니다. 그 중에서 N은 n보다 훨씬 크다. 또한 도전자가 증명자와 결탁하거나 악의적으로 '낭비'된 계약에 도전하는 문제에 대한 연구와 해결이 필요합니다. 마지막으로 신뢰도가 낮은 BitVM 프로토콜을 구현합니다.

허가 목록 없이 누구나 참여할 수 있는 무허가 다자간 챌린지입니다. 이는 사용자가 신뢰할 수 있는 제3자의 개입 없이 L2에서 코인을 인출할 수 있음을 의미합니다. 또한 OP 챌린지 프로토콜에 참여하려는 모든 사용자는 유효하지 않은 출금에 대해 이의를 제기하고 삭제할 수 있습니다.

BitVM을 무허가 다자간 챌린지 모델로 확장하려면 다음 공격을 해결해야 합니다.

앞으로 우리는 비트코인의 특성에 적합하고 위의 공격 문제에 저항할 수 있는 BitVM 무허가 다자간 챌린지 모델을 탐색할 것입니다.

4 결론

BitVM 기술의 탐구는 이제 막 시작되었으며, 앞으로는 비트코인의 확장을 달성하고 비트코인 ​​생태계를 번영시키기 위해 더 많은 최적화 방향을 탐구하고 실천할 것입니다.

참고자료