원제: " Bitlayer 핵심 기술: DLC 및 최적화 고려 사항 "

저자: lynndel & mutourend, Bitlayer Research Group

원본 링크: https://medium.com/@Bitlayer/bitlayer-core-technology-dlc-and-its-optimization-considerations-6fc5ebaae92c

Discreet Log Contract(DLC)는 2018년 MIT의 Tadge Dryja가 제안한 오라클 기반 계약 실행 솔루션 세트입니다. DLC를 사용하면 두 당사자가 사전 정의된 조건에 따라 조건부 결제를 할 수 있습니다. 각 당사자는 가능한 결과를 결정하고 사전 서명하며, 오라클이 결과에 서명할 때 이러한 사전 서명을 사용하여 지불을 실행합니다. 따라서 DLC는 비트코인 ​​예금의 보안을 보장하면서 새로운 분산형 금융 애플리케이션을 가능하게 합니다.

라이트닝 네트워크와 비교하여 DLC는 다음과 같은 중요한 이점을 가지고 있습니다.

DLC는 비트코인 ​​생태학적 응용 분야에서 큰 이점을 갖고 있지만 여전히 다음과 같은 몇 가지 위험과 문제가 있습니다.

이를 위해 이 글에서는 DLC의 위험과 문제점을 해결하고 비트코인 ​​생태계의 보안을 향상시키기 위한 몇 가지 솔루션과 최적화 아이디어를 제안합니다.

Alice와 Bob은 n+k번째 블록의 해시 값이 홀수 또는 짝수인지에 베팅하는 베팅 계약에 서명합니다. 홀수이면 Alice가 게임에서 승리하여 t 시간 내에 자산을 인출할 수 있고, 짝수이면 Bob이 게임에서 승리하여 t 시간 내에 자산을 인출할 수 있습니다. DLC를 사용하면 n+k번째 블록 정보가 오라클을 통해 전달되어 올바른 승자가 모든 자산을 획득할 수 있도록 조건부 서명을 구성합니다.

초기화: 타원 곡선 생성기는 G이고 차수는 q입니다.

키 생성: 오라클, Alice, Bob은 각자의 개인 키와 공개 키를 독립적으로 생성합니다.

자본 주입 트랜잭션: Alice와 Bob은 함께 자본 주입 트랜잭션을 생성합니다. 각각은 2/2 다중 서명 출력에서 ​​1 BTC를 잠급니다(공개 키 X 하나는 Alice에 속하고 공개 키 Y 하나는 Bob에 속합니다).

계약 실행 거래: Alice와 Bob은 자본 주입 거래 지출을 위해 두 개의 계약 실행 거래(CET)를 생성합니다.

Oracle 컴퓨팅 약정

$R:=k ⋅ G$

그런 다음 S와 S'를 계산합니다.

$S:=R-hash(OddNumber,R) ⋅ Z,$

$S':=R-hash(EvenNumber,R) ⋅ Z$

방송(R,S,S').

Alice와 Bob은 각각 해당하는 새 공개 키를 계산합니다.

$PK^{Alice}:=X+ S,$

$PK^{Bob}:=Y+ S'.$

정산: n+k번째 블록이 나타나면 오라클 머신은 블록의 해시 값을 기반으로 해당 s 또는 s'를 생성합니다.

$s:=k-hash(OddNumber,R) ⋅ z$

$s':=k-hash(EvenNumber,R) ⋅ z$

코인 출금: 참가자 중 Alice 또는 Bob 중 한 명이 오라클이 방송하는 s 또는 s의 방송을 기반으로 자산을 인출할 수 있습니다.

$sk^{Alice}:= x + s.$

$sk^{Alice}:= x + s.$

$sk^{Bob}:= y + s'.$

분석: Alice가 계산한 새로운 개인키 sk^{Alice}와 새로운 공개키 PK^{Alice}는 이산대수 관계를 만족함

$sk^{Alice} ⋅ G= (x+s) ⋅ G=X+S=PK^{Alice}$

이 경우 앨리스의 화폐 출금은 성공하게 됩니다.

마찬가지로 Bob이 계산한 새로운 개인키 sk^{Bob}과 새로운 공개키 PK^{Bob}은 이산대수 관계를 만족한다.

$sk^{Bob} ⋅ G= (y+s') ⋅ G=Y+S'=PK^{Bob}$

이 경우 Bob의 출금은 성공합니다.

게다가 오라클이 s를 브로드캐스팅하면 Alice에게는 유용하지만 Bob에게는 유용하지 않습니다. Bob은 해당하는 새 개인 키 sk^{Bob}을 계산하는 데 사용할 수 없기 때문입니다. 마찬가지로 오라클이 s'를 브로드캐스트하면 Bob에게는 유용하지만 Alice에게는 유용하지 않습니다. Alice는 해당하는 새 개인 키 sk^{Alice}를 계산하는 데 사용할 수 없기 때문입니다.

마지막으로 위의 설명에서는 시간 잠금이 생략되었습니다. 한 당사자가 새로운 개인 키를 계산하고 t 시간 내에 통화를 인출할 수 있도록 시간 잠금을 추가해야 합니다. 그렇지 않고, t 시간이 초과되면 상대방은 원래의 개인키를 이용하여 자산을 출금할 수 있습니다.

DLC 프로토콜에서는 오라클의 개인 키와 약속된 난수가 매우 중요합니다. 오라클의 개인키와 약속된 난수가 유출되거나 분실될 경우 다음과 같은 4가지 보안 문제가 발생하기 쉽습니다.

(1) 오라클 머신이 개인 키 z를 분실했습니다.

오라클이 개인키를 분실한 경우 DLC 정산이 불가능하므로 DLC 환불 계약을 체결해야 합니다. 따라서 오라클이 개인 키를 분실하는 것을 방지하기 위해 DLC 프로토콜에 환불 트랜잭션이 설정됩니다.

(2) 오라클 머신이 개인 키 z를 유출합니다.

오라클의 개인키가 유출될 경우 해당 개인키를 기반으로 한 모든 DLC는 부정결제의 위험에 직면하게 됩니다. 개인 키를 훔친 공격자는 원하는 메시지에 서명할 수 있어 향후 모든 계약 결과를 완전히 제어할 수 있습니다. 또한 공격자는 서명된 단일 메시지를 게시하는 데 국한되지 않고 n+k번째 블록에 홀수 및 짝수 해시를 동시에 서명하는 등 충돌하는 메시지를 게시할 수도 있습니다.

(3) 오라클 머신은 난수 k를 유출하거나 재사용한다.

오라클이 난수 k를 유출하면 결제 단계에서 오라클이 s 또는 s'를 브로드캐스트하는지 여부에 관계없이 공격자는 다음과 같이 오라클의 개인 키 z를 계산할 수 있습니다.

$z:=(ks)/hash(OddNumber, R)$

$z:=(k-s')/hash(EvenNumber, R)$

오라클 머신이 난수 k를 재사용하는 경우 두 번의 합의 후에 공격자는 오라클 머신이 브로드캐스팅한 서명과 다음 네 가지 상황 중 하나에 따라 방정식 시스템을 풀어 오라클 머신의 개인 키 z를 얻을 수 있습니다.

사례 1:

$s_1=k-hash(OddNumber_1, R) ⋅ z$

$s_2=k-hash(OddNumber_2, R) ⋅ z$

사례 2:

$s_2=k-hash(OddNumber_2, R) ⋅ z$

사례 2:

$s_1'=k-hash(EvenNumber_1, R) ⋅ z$

$s_2'=k-hash(EvenNumber_2, R) ⋅ z$

사례 3:

$s_1=k-hash(OddNumber_1, R) ⋅ z$

$s_2'=k-hash(EvenNumber_2, R) ⋅ z$

사례 4:

$s_1'=k-hash(EvenNumber_1, R) ⋅ z$

$s_2=k-hash(OddNumber_2, R) ⋅ z$

(4) 오라클 머신은 난수 k를 잃습니다.

오라클이 난수 k를 분실하면 해당 DLC를 정산할 수 없으며, DLC 환불 계약을 체결해야 합니다.

따라서 오라클 개인키의 보안을 강화하기 위해서는 BIP32를 사용하여 서명용 하위 키 또는 손자 키를 파생시켜야 합니다. 또한, 난수의 보안성을 높이기 위해서는 개인키와 카운터의 해시값 k:=hash(z, counter)를 난수 k로 사용하여 난수가 반복되거나 유실되는 것을 방지해야 한다.

DLC에서는 계약 결과를 결정하는 주요 외부 데이터를 제공하는 오라클의 역할이 매우 중요합니다. 이러한 계약의 보안을 향상하려면 분산형 오라클이 필요합니다. 중앙 집중식 오라클과 달리 분산 오라클은 정확하고 변조 방지된 데이터를 여러 독립 노드에 제공해야 하는 책임을 분산시켜 단일 실패 지점에 의존하는 위험을 줄이고 조작이나 표적 공격의 가능성을 줄일 수 있습니다. 분산형 오라클을 통해 DLC는 더 높은 수준의 무신뢰성과 신뢰성을 달성하여 계약 실행이 미리 결정된 조건의 객관성에 전적으로 의존하도록 보장합니다.

Schnorr 임계값 서명은 분산형 오라클을 구현할 수 있습니다. Schnorr 임계값 서명에는 다음과 같은 장점이 있습니다.

따라서 Schnorr 임계값 서명 프로토콜은 보안, 신뢰성, 유연성, 확장성 및 책임성을 향상시키는 분산형 오라클에서 상당한 이점을 가지고 있습니다.

키 관리 기술에서 오라클은 완전한 키 z를 가지고 있으며, 완전한 키 z와 증분 Ω를 기반으로 BIP32를 사용하여 다수의 하위 키 z+{Ω }^{(1)} 및 그랜드 키를 발행할 수 있습니다. z+Ω ^{(1)}+Ω ^{(2)}. 다양한 이벤트의 경우 오라클은 해당 이벤트 메시지에 대한 해당 서명 σ를 생성하기 위해 다양한 그랜드 프라이빗 키 z+Ω ^{(1)}+Ω ^{(2)}를 사용할 수 있습니다.

키 관리 기술에서 오라클은 완전한 키 z를 가지고 있으며, 완전한 키 z와 증분 Ω를 기반으로 BIP32를 사용하여 다수의 하위 키 z+{Ω }^{(1)} 및 그랜드 키를 발행할 수 있습니다. z+Ω ^{(1)}+Ω ^{(2)}. 다양한 이벤트의 경우 오라클은 해당 이벤트 메시지에 대한 해당 서명 σ를 생성하기 위해 다양한 그랜드 프라이빗 키 z+Ω ^{(1)}+Ω ^{(2)}를 사용할 수 있습니다.

분산형 오라클 애플리케이션 시나리오에는 n명의 참가자가 있으며, 임계값 서명을 수행하려면 t+1명의 참가자가 필요합니다. 그 중에는 t. n개의 oracle 노드 각각에는 개인 키 조각 z_i, i=1,...,n이 있습니다. 이 n개의 개인키 조각 z_i는 완전한 개인키 z에 해당하지만, 완전한 개인키 z는 처음부터 끝까지 나타나지 않습니다. 완전한 개인키 z가 나타나지 않는다는 전제하에 t+1 오라클 노드는 개인키 조각 z_i, i=1,...,t+1을 사용하여 메시지 msg'에 대한 서명 조각 σ_i'를 생성하고, 서명 조각은 σ_i'는 완전한 서명 σ'로 병합됩니다. 검증자는 완전한 공개키 Z를 사용하여 메시지 서명 쌍(msg',σ')의 정확성을 검증할 수 있습니다. 임계값 서명을 공동으로 생성하려면 t+1개의 오라클 노드가 필요하므로 보안성이 높습니다.

그러나 분산형 오라클 애플리케이션 시나리오에서는 완전한 개인 키 z가 나타나지 않으며 BIP32를 키 파생에 직접 사용할 수 없습니다. 즉, 오라클의 탈중앙화 기술과 키 관리 기술은 직접적으로 결합될 수 없습니다.

블록체인 디지털 자산의 다자간 관리를 위한 분산 키 파생 논문은 임계값 서명 시나리오에서 분산 키 파생 방법을 제안합니다. 본 논문의 핵심 아이디어는 라그랑지안 보간 다항식에 따르면 개인 키 조각 z_i와 완전한 개인 키 z가 다음 보간 관계를 만족한다는 것입니다.

위 방정식의 양쪽에 증분 Ω를 추가하면 다음 방정식을 얻습니다.

이 방정식은 다음을 보여줍니다. 개인 키 조각 z_i와 증분 Ω는 여전히 완전한 개인 키 z와 증분 Ω와의 보간 관계를 만족합니다. 즉, 서브 개인키 프래그먼트 z_i+Ω와 서브 키 z+Ω는 보간 관계를 만족한다. 따라서 각 참여자는 개인키 조각 z_i에 증분 Ω를 더해 하위 서명 조각을 생성하는 데 사용되는 하위 개인키 조각 z_i+Ω를 도출하고, 이에 상응하는 하위 공개키 Z+Ω를 사용할 수 있다. G 유효성 검증.

그러나 강화된 BIP32와 강화되지 않은 BIP32를 고려해야 합니다. 향상된 BIP32는 개인 키, 체인 코드 및 경로를 입력으로 사용하고 SHA512를 계산한 후 증분 및 하위 체인 코드를 출력합니다. 강화되지 않은 BIP32는 공개 키, 체인 코드 및 경로를 입력으로 사용하여 SHA512를 계산하고 증분 및 하위 체인 코드를 출력합니다. 임계값 서명의 경우 개인 키가 존재하지 않으므로 강화되지 않은 BIP32만 사용할 수 있습니다. 또는 동형 해시 함수를 사용하면 BIP32가 향상됩니다. 그러나 동형 해시 함수는 SHA512와 다르며 원래 BIP32와 호환되지 않습니다.

DLC에서는 오라클 서명 결과를 바탕으로 앨리스와 밥 사이의 계약이 실행되기 때문에 오라클에 대한 어느 정도 신뢰가 필요합니다. 따라서 Oracle 시스템의 올바른 동작은 DLC 작동의 주요 전제 조건입니다.

오라클을 불신하기 위해 단일 오라클에 대한 의존도를 줄이기 위해 n 오라클의 결과를 기반으로 DLC를 실행하는 연구가 진행되어 왔습니다.

오라클 머신의 수를 늘려도 오라클 머신에 대한 불신을 얻을 수는 없습니다. 왜냐하면 오라클이 악한 일을 할 때 계약상 피해를 입은 당사자는 체인에 항소할 수 있는 채널이 없기 때문입니다.

따라서 이 섹션에서는 DLC에 낙관적인 챌린지 메커니즘을 도입하는 OP-DLC를 제안합니다. n 오라클은 DLC 설정에 참여하기 전에 무허가 온체인 OP 게임을 구축하겠다는 서약과 악행을 하지 않겠다는 약속을 미리 해야 합니다. 어떤 오라클이 악행을 저지르면 Alice나 Bob, 또는 다른 정직한 오라클이나 제3자의 정직한 관찰자가 도전을 시작할 수 있습니다. 도전자가 게임에서 승리하면 사악한 오라클이 체인에서 처벌을 받고 보증금이 몰수됩니다. 또한 OP-DLC는 "k-of-n" 모델을 사용하여 서명할 수도 있습니다. 그 중 k값은 1일 수도 있다. 따라서 신뢰 가정은 네트워크에 정직한 참여자가 있는 한 사악한 오라클 노드를 처벌하기 위해 OP 챌린지를 시작할 수 있다는 것으로 축소됩니다.

Layer2 계산 결과를 기반으로 OP-DLC를 정산하는 경우:

따라서 OP-DLC를 사용하면 오라클 노드가 서로를 감독하여 오라클 신뢰를 최소화할 수 있습니다. 이 메커니즘에는 단 한 명의 정직한 참가자만 필요하며 99%의 내결함성 비율을 가지므로 오라클 공모의 위험을 더 잘 해결할 수 있습니다.

DLC를 크로스체인 브리지로 사용하는 경우 DLC 계약이 체결될 때 자금 할당이 필요합니다.

따라서 본 절에서는 위와 같은 문제를 해결하기 위해 OP-DLC + BitVM 듀얼 브리지를 제안한다. 이 솔루션을 통해 사용자는 BitVM의 무허가 브리지를 통해 자금을 입출금할 수 있고 OP-DLC 메커니즘을 통해 자금을 입출금할 수 있어 모든 세분성에서 변경을 달성하고 자본 유동성을 향상시킬 수 있습니다.

OP-DLC에서 오라클은 BitVM Alliance, Alice는 일반 사용자, Bob은 BitVM Alliance입니다. OP-DLC 설정 시 구성된 CET에서는 사용자 Alice에게 주어진 출력을 Layer1에서 즉시 사용할 수 있으며, Bob에게 주어진 출력에는 "Alice가 챌린지에 참여할 수 있는 DLC 게임"이 구성되고 타임락이 설정됩니다. 잠금 기간이 설정됩니다. 앨리스가 돈을 인출하고 싶을 때:

또한 사용자 Alice가 레이어 2에서 자금을 인출하려고 하지만 OP-DLC 계약에 미리 설정된 CET가 금액과 일치하지 않는 경우 Alice는 다음 방법을 선택할 수 있습니다.

또한 사용자 Alice가 레이어 2에서 자금을 인출하려고 하지만 OP-DLC 계약에 미리 설정된 CET가 금액과 일치하지 않는 경우 Alice는 다음 방법을 선택할 수 있습니다.

따라서 OP-DLC + BitVM 듀얼 브리지에는 다음과 같은 장점이 있습니다.

DLC는 Segwit v1(Taproot) 활성화 이전에 등장하여 DLC 채널과 라이트닝 네트워크의 통합이 구현되었으며, 동일한 DLC 채널 내에서 지속적인 계약을 업데이트하고 실행할 수 있도록 DLC가 확장되었습니다. Taproot 및 BitVM과 같은 기술의 도움으로 DLC 내에서 보다 복잡한 오프체인 계약 확인 및 결제를 달성할 수 있으며, OP 챌린지 메커니즘과 결합하여 오라클 신뢰를 최소화할 수 있습니다.

참고자료