Statechains:发送密钥而不是硬币,以扩展比特币离线链
块空间有限:比特币区块链最多每秒只能处理大约10个事务。为了解决这个问题,比特币的技术社区正在开发第二层协议来处理“脱链”交易,例如闪电网络和侧链。使用智能加密货币技巧,这些交易被批量定期作为单个交易结算比特币区块链。
现在,一个新的第二层协议正在进入战斗。由首尔比特币聚会组织者和Unhashed Podcast共同主持人Ruben Somsen首先提出的Statechains将比特币交易的概念转变为头脑。状态链用户只需发送可用于花钱的私钥,而不是从地址到地址发送硬币。
这就是为什么它不像听起来那么疯狂。
为什么国家链是安全的(更多或更少)
简而言之,比特币交易只是一条消息,说明哪些硬币(“UTXO”)从哪个地址(“输入”)移动到哪个地址(“输出”)。该消息用对应于发送地址的私钥加密货币签名,证明这些硬币的所有者创建了该交易。然后通过比特币网络发送捆绑(交易加签名),最终由矿工包含在比特币块中。
在技术上可以仅将私钥作为付款发送:这允许私钥的接收者花费相关的硬币。但它并不安全。如果发件人 – 让我们原创并称她为“爱丽丝” – 向收件人发送私钥 – 为什么不叫他“鲍勃”? – Bob无法确定Alice没有保留密钥的副本。如果她确实保留了钥匙的副本,我们在这种情况下称之为“暂时钥匙”,爱丽丝仍然可以将硬币花在区块链上,因此硬币根本不是鲍勃的。
Statechains解决这个问题的第一个方法是在混合中添加第二个键。通过将硬币锁定为两个两个多签名(multisig)设置,只有两个密钥签署协议时才能将其移动到区块链上。
第二个关键是由一个中立党维克多产生的,后者成为州链的推动者。维克多有一项非常重要的任务。如果且仅当暂时性钥匙的最后一位收件人要求时,Victor必须签署交易。
所以,让我们说爱丽丝建立一个状态链,维克多作为推动者。 Alice生成一个临时密钥,Victor生成Victor的密钥,他们使用两个密钥创建一个multisig地址。爱丽丝然后将一个比特币发送到此地址,“将其锁定”在Alice和Victor之间。现在,如果爱丽丝希望将硬币发送给鲍勃,她可以创建一个交易,用短暂的密钥签名,并要求维克多也签名。通过这两个签名,Alice可以广播交易,将硬币作为常规区块链交易发送给Bob。
但是,这当然忽略了状态链的重点。爱丽丝有个更好的主意。爱丽丝转而将暂时性密钥发送给鲍勃并告诉维克多她这样做了。这使得Bob成为暂时密钥的最后一个接收者。 Bob现在可以联系Victor并要求他签名以帮助移动硬币。
爱丽丝自己也有自己的临时钥匙。然而,现在,如果她要求Victor帮助签署交易以移动硬币,Victor会拒绝。就维克多而言,爱丽丝不再拥有硬币。由于她只持有短暂的钥匙,她确实无法独自移动它。
鲍勃是否应该将硬币转移给其他人 – 比如卡罗尔 – 当然,他可以重复使用状态链技巧。当他将暂时钥匙送给卡罗尔告诉维克多时,维克多只会从那时起与卡罗尔合作,有效地制造卡罗尔的硬币。此过程可以重复任意次数,将暂时密钥转发给Dan,Erin,Frank等,而无需进行区块链交易。
不相信维克多
如上所述的场景实际上并未从系统中删除所有信任。相反,对Victor有很大的信任。
例如,如果Victor在请求时未签署区块链交易,则硬币根本无法移动。 (也许维克多的计算机崩盘了,或者他被公共汽车撞了,或者也许是维克多 – 意识到他的权力 – 勒索最后一个收到短暂钥匙的人,以支付他的部分硬币以换取签名。)
这个问题可以解决 – 但这是状态链设计变得稍微复杂的地方。
当她最初建立状态链时,爱丽丝采取了预防措施。甚至在将硬币发送到multisig地址之前,她就创建了一个“备份交易”,将硬币从这个多重地址发送到一个新地址。
硬币可以在两个条件下从这个新地址中使用。维克多和短暂钥匙的所有者都像正常一样签署交易,或者爱丽丝可以在一周之后自己花钱。
Alice不会将此备份事务广播到比特币网络。相反,她把它交给维克多,要求他签署交易并让他把它交还给她。
只有在Alice收到Victor签名(但尚未播出)的备份交易后,才将她的硬币发送到multisig地址。这样,即使Victor消失了,她也可以广播备份交易并在一周后收回硬币。
现在,当Alice想要将暂时密钥发送给Bob时,她首先联系Victor,并要求他为Bob签署新的备份交易并将其交给他。因此,当Bob从Alice获得暂时密钥时,他已经拥有来自Victor的未广告但已签名的备份交易,如果Victor消失,他可以申请硬币。
作为最后的触摸,爱丽丝和鲍勃(以及瞬时钥匙的所有后续所有者)使用专为Lightning Network设计的名为Eltoo的技巧。 Eltoo将允许Bob使用自己的备份事务“覆盖”Alice的备份事务。因此,如果Alice试图通过广播她的旧备份交易来欺骗,Bob可以使用Alice需要等待与Victor合作并声明硬币的那一周,或者他可以简单地用他自己的更新Alice的更新交易来获取钱。
第一个问题解决了
相信维克多(一点点)
虽然解决了维克多消失的问题,但还有另外一个问题:维克多可以作弊。他可以和私人钥匙的前任主人勾结,比如爱丽丝,从鲍勃,卡罗尔,丹,艾琳,弗兰克或者最后一个接收暂时钥匙的人身上偷走硬币。 (他后来也可以与鲍勃勾结,从卡罗尔,丹,艾琳,弗兰克……等等。)
这个问题实际上无法完全解决 – 这可能是状态链的最大缺点。但风险可以降到最低。
尽量减少这种风险的一步是“分裂”维克多并用几个实体取而代之。 “维克多的钥匙”是分开的。因此,它变成了它自己的多重设置,例如,12个参与者中的8个参与者必须与短暂的钥匙持有者合作以移动硬币。与八个“胜利者”勾结应该比只与一个维克多勾结更难。
其次,如果这些“胜利者”作弊,它可以对外界明显。这是通过基本上创建一个新的微型区块链 – 事实上,“状态链” – 爱丽丝,鲍勃,卡罗尔和其他人签署一条消息确认他们已经转发硬币和谁。如果胜利者与爱丽丝勾结,在她在状态链上签下鲍勃之后花钱,那么每个人都会看到。 (这个微型区块链本身看起来的细节还没有解决,但这不是一个很难解决的问题。)
第三,这些“胜利者”可能是众所周知的实体;例如,一组比特币公司。这些公司会在网上声名鹊起,因此也会因作弊而失去一些东西 – 即使他们可以通过这样做赚钱。虽然不是加密货币完美,但这使得状态链的安全性假设类似于联合侧链,如Blockstream的Liquid或RSK Labs的RSK的当前实现。
就是这样
Statechains允许您发送私钥,而不是将硬币发送到新地址。
Statechains(和潜在解决方案)的局限性
除了对“胜利者”所要求的信任之外,不要与之前的州链参与者勾结,状态链确实有一些局限性。
限制
首先要注意的是,正如本文中所解释的那样,状态链确实需要两个协议升级:Schnorr签名和Sighash_Anyprevout(或类似的东西)。这两项升级都在进行中,但似乎不太可能引起争议。
另一个限制是,状态链只允许传输整个UTXO;爱丽丝的硬币在本文的上下文中。由于Alice最初只锁定了一个比特币,并且她发送了与这个比特币相对应的暂时密钥,她必须传递整个硬币,鲍勃,卡罗尔和其他人也必须这样做。与普通的比特币交易相比,这是一个非常大的限制,其中可以花费任何一小部分硬币,其余部分作为变化返回给发件人。
解决方案
尽管如此,这并不一定是一种表现。例如,状态链可以与另一个称为“原子交换”的技巧相结合。这一举动将允许爱丽丝将她的整个硬币交易所给拥有两个半硬币的扎克,这样既不需要信任另一个又不退出贸易中途。所有这些都可以在不需要进行链式交易的情况下发生。这增加了灵活性。
其次,即使转移整个UTXO在某些情况下也非常有用。也许最有趣的是,它可以让参与者转移整个Lightning频道。通过将Lightning频道平衡到恰当的数量(例如,通过首先在不同的频道中支付自己),Alice仍然可以向Bob支付硬币的一小部分。作为奖励,这可以让Bob立即打开Lightning频道,而无需进行区块链融资交易(需要时间和费用)。
此外,由于Lightning交易存在相反的问题 – 较大的价值转移比较小的交易更难完成 – 状态链和闪电网络可以很好地相互补充。
隐私问题
目前还不清楚有多少隐私状态链可以提供。在最糟糕的情况下,胜利者和州链中的其他参与者将确切知道谁支付了谁。 (虽然实际上这些仍然是公钥,而不是真实的名字。)当涉及到胜利者时,有很多方法可以改善这一点。例如,使用盲签名(eCash发明人David Chaum在20世纪80年代首次提出的加密货币技巧)具有额外的好处,即能够将胜利者的交易责任转移给用户自己。 (胜利者理想情况下甚至不知道他们会签什么。)
其他参与者的隐私也可以通过原子交换来解决,这将有助于混淆所有权链。可能有更多解决方案来改善隐私,例如CoinJoin改编。 (例如,这也是保护隐私的Wasabi钱包使用的内容。)但细节尚未确定。
还有一些人担心链中的过去参与者试图通过备份交易申请硬币而作弊。虽然这不太可能成功,但只会花费(链上)交易费用,所以机会主义作弊行为可能会限制国家链的潜力。
最后,状态链当然是一个相对较新的概念;同行评审正在进行中。
感谢Ruben Somsen提供的信息和反馈。有关statechains的更多信息,请参阅他在Medium上的解释器或他在阿姆斯特丹Breaking Bitcoin的演讲。
后状态链:发送密钥,而不是硬币,以比特币离线销售首先出现在比特币杂志上。