談一談側(cè)鏈驅(qū)動鏈和Rootstock雙向掛鉤設(shè)計

1、談一談：側(cè)鏈、驅(qū)動鏈和Rootstock雙向掛鉤設(shè)計 peterhon 2016-04-10 08:41 發(fā)布在 比特幣 3 3301在最近的技術(shù)論文中，我們分析了以不同的方法來實現(xiàn)雙向掛鉤。在這篇文章中，我們將總結(jié)雙向掛鉤是什么，以及它是如何實現(xiàn)的。什么是雙向掛鉤（2-way peg/2WP） 雙向掛鉤（2WP）允許將比特幣從比特幣區(qū)塊鏈轉(zhuǎn)移到輔助區(qū)塊鏈，反之亦然。“轉(zhuǎn)移”實際上是一種錯覺：比特幣其實并沒有轉(zhuǎn)移，但在比特幣區(qū)塊鏈上被暫時鎖定，而同時在輔助區(qū)塊鏈上有相同數(shù)量的等價令牌被解鎖。當(dāng)?shù)攘康牧钆圃谳o助區(qū)塊鏈上被再次鎖

2、定時，原先的比特幣就會被解鎖。這實質(zhì)上就是雙向掛鉤所要實現(xiàn)的功能。這一功能的問題是，理論上只有當(dāng)輔助區(qū)塊鏈最終結(jié)算時才能被實現(xiàn)。因此，任何雙向掛鉤系統(tǒng)必須作出妥協(xié)并且依靠于假設(shè)雙向掛鉤相關(guān)參與者是誠實的。最重要的假設(shè)是，主要的區(qū)塊鏈?zhǔn)菬o需審查的，而且大多數(shù)比特幣礦工都是誠實的。另一個需要的假設(shè)可能是，大多數(shù)監(jiān)管鎖定比特幣的第三方也是誠實的。如果這些假設(shè)不成立，則比特幣及等效輔助區(qū)塊鏈的令牌可以被同時解鎖，那么惡意的雙花就變得可行了。任何雙向掛鉤系統(tǒng)都必須選擇一種措施，使得被假設(shè)要誠實的各方都能在經(jīng)濟和法律方面受鼓勵去依章辦事。這包括分析這些關(guān)鍵方對區(qū)塊鏈網(wǎng)絡(luò)進行攻擊的成本及后果。雙向掛鉤實施的

3、安全性取決于激勵機制，以便參與雙向掛鉤系統(tǒng)的關(guān)鍵方能夠真正執(zhí)行雙向掛鉤所應(yīng)實現(xiàn)功能。 那么，什么不是雙向掛鉤呢 保稅托管合同（BEC）是由比特股（bitshares）提出的方法，若被其他平臺采用，就可讓比特幣（或法定貨幣）在具有不同令牌的智能支付平臺上進行交易。要實現(xiàn)這個方法，發(fā)行人需要鎖定本地貨幣債券的量等值或一般高于他們所創(chuàng)造的“比特幣”量，然后他們創(chuàng)建欠條并在平臺上銷售。債券金額使用通過查詢平臺公告的比特幣價格動態(tài)調(diào)整。顯然，這不符合雙向掛鉤的定義，因為新的“比特幣”被創(chuàng)造出來了，而且在比特幣區(qū)塊鏈上沒有等價的鎖定比特幣。保稅托管合同的安全模型通常比雙向掛鉤弱，因為用

4、戶必須信任公告，但公告可能由于沒有很高的激勵機制而難以保持誠實。也有很少或根本沒有經(jīng)濟激勵讓股票經(jīng)紀(jì)人持有如此龐大具有高度可變性的本地令牌債券。 任何的雙向掛鉤其實都只是一個投票系統(tǒng) 要簡化任意雙向掛鉤的安全模型，我們可以表示為，所有雙向掛鉤系統(tǒng)都有一組監(jiān)管人，當(dāng)輔助鏈沒有達(dá)到最終結(jié)算時，負(fù)責(zé)投票何時解鎖比特幣和發(fā)送解鎖比特幣到何處。投票可以通過數(shù)字簽名、哈希算力（工作量證明機制）、存儲空間（容量證明機制）、加密數(shù)字貨幣控股（股權(quán)證明機制）或區(qū)塊鏈具有的任何其它共識系統(tǒng)。我們可以改變的每一方投票的權(quán)重、投票方的數(shù)量、任何一方被允許投票的條件、是否允許投票給一個以上的候選人，

5、如此類推，但我們不能改變的是，該系統(tǒng)本質(zhì)上是一場投票。 雙向掛鉤設(shè)計 我們將介紹最常見的雙向掛鉤設(shè)計：側(cè)鏈、驅(qū)動鏈、多重簽名保管和混合式設(shè)計。為了簡化解釋，我們將已轉(zhuǎn)移到輔助區(qū)塊鏈的比特幣稱為SE幣（secoin）。 單一監(jiān)管 一種可能用來實現(xiàn)雙向掛鉤的選擇是，有一個交易所負(fù)責(zé)監(jiān)督被鎖比特幣和解鎖的等價令牌。該交易所將在解鎖輔助令牌之前實現(xiàn)對比特幣的鎖定，該過程要么手動執(zhí)行，要么通過軟件協(xié)議執(zhí)行。以下是對這種設(shè)置的描述： 多重簽名聯(lián)合 實現(xiàn)雙向掛鉤的一個更好的辦法是存在一組掌控多重簽名的公證人，他們中的大多數(shù)有權(quán)解鎖資金。這種設(shè)置比單

6、一的資金控制者更好，但仍可能導(dǎo)致控制權(quán)集中。為了實現(xiàn)真正的去中心化，應(yīng)慎重選擇公證人，因此他們要位于不同的領(lǐng)域、不同的地區(qū)，而且都要有良好的信譽及安全性。此外，公證人的數(shù)量絕不能太少，但也不能太多。以下是對這種設(shè)置的描述： 側(cè)鏈 若要在雙向掛鉤中盡量不涉及更多的第三方，前提條件是每一區(qū)塊鏈執(zhí)行相關(guān)的驗證協(xié)議，而且協(xié)議需要通過協(xié)商一致才能確認(rèn)。每一區(qū)塊鏈必須了解其它區(qū)塊鏈的共識系統(tǒng)，并且，當(dāng)接收到其它區(qū)塊鏈發(fā)出了鎖定交易證明時可以自動釋放比特幣，如這里所示：不過，使用比特幣側(cè)鏈時存在以下幾個問題： 大多數(shù)公共區(qū)塊鏈并沒有最終結(jié)算。如果輔助區(qū)塊鏈沒有最終結(jié)算，那么比特幣區(qū)塊鏈就

7、不能確定輔助鏈上的交易是否已被輔助鏈網(wǎng)絡(luò)接受（例如鎖定SE幣）。其所能得到的只是一個概率保證：更多的工作證明確認(rèn)這筆交易，意味著它被接受的可能性越大。 即使輔助區(qū)塊鏈具有最終結(jié)算，卻沒有區(qū)塊鏈糾纏，那么輔助鏈也會面臨跟比特幣區(qū)塊鏈一樣的問題。如果有區(qū)塊鏈糾纏，那么輔助區(qū)塊鏈出塊率就不會高于比特幣的速率。 比特幣側(cè)鏈需要通過軟分叉或硬分叉來增加復(fù)雜的新操作碼。Blockstream的方案目前尚未完整，而且SPV（簡單支付驗證）的工作證明確認(rèn)也未解決。 纏結(jié)區(qū)塊鏈 克服雙向掛鉤缺乏最終交易問題的一種方法是，纏結(jié)區(qū)塊鏈，例如主要區(qū)塊鏈中的鎖定交易的逆轉(zhuǎn)意味著輔助區(qū)塊鏈中的解鎖交易

8、的逆轉(zhuǎn)。纏結(jié)區(qū)塊鏈的方式有以下幾種：1. 輔助區(qū)塊鏈中的交易被嵌入到主要區(qū)塊鏈的交易中（例如，嵌入到OP_RETURN支付載荷（payload）中，就像合約幣（Counterparty）那樣）2. 輔助區(qū)塊鏈的區(qū)塊有兩個父塊，一個在輔助區(qū)塊鏈，一個在主要區(qū)塊鏈。輔助區(qū)塊鏈節(jié)點驗證位于主要區(qū)塊鏈的父塊是否屬于比特幣的最長鏈。3. 輔助區(qū)塊鏈的區(qū)塊由主要區(qū)塊鏈交易中的加密監(jiān)管而錨定。前面兩種方式允許輔助鏈驗證SPV證明無需檢驗者提供確認(rèn)標(biāo)頭（header），因為輔助區(qū)塊鏈客戶端也保存了一份比特幣區(qū)塊鏈的副本（第一種方式中的整個區(qū)塊鏈，且在第二種方式中只需要標(biāo)頭）。而第三種方式并不可行。下圖展示了，

9、通過側(cè)鏈轉(zhuǎn)移比特幣到輔助區(qū)塊鏈而無需額外的確認(rèn)（以比特幣可能的最快速度）：纏結(jié)區(qū)塊鏈有以下幾種缺點： 它使得輔助鏈創(chuàng)建新區(qū)塊的速率受到比特幣區(qū)塊鏈限制而較比特幣要慢，因為在錨定前，區(qū)塊鏈分支的接受情況存在不確定性。難道將已錨定的短鏈而非較長的未錨定鏈視為最長鏈？ 當(dāng)在比特幣交易中嵌入輔助鏈的交易時，輔助區(qū)塊鏈的所有用戶需要同時處理兩條鏈的交易。 纏結(jié)區(qū)塊鏈從某一方面解決了最終結(jié)算的問題，但并沒有解決主要區(qū)塊鏈上被鎖定的比特幣的監(jiān)管問題。 驅(qū)動鏈 驅(qū)動鏈將被鎖定比特幣的監(jiān)管權(quán)發(fā)放到比特幣礦工手上，并且允許比特幣礦工們投票何時解鎖比特幣和將解鎖的比特幣發(fā)送到何處。礦工投票使用比

10、特幣區(qū)塊鏈，而且是在區(qū)塊內(nèi)的某些地方進行投票（例如coinbase）。誠實礦工在驅(qū)動鏈中的參與程度越大，安全性也就越大。下圖是對驅(qū)動鏈的描述： 混合型 迄今為止所提出的全部設(shè)計都是對稱的：用于解鎖SE幣的方法與解鎖比特幣的方法是相同的。但主要區(qū)塊鏈和輔助區(qū)塊鏈有本質(zhì)的不同：主要區(qū)塊鏈仍在發(fā)行新的本地令牌而輔助鏈上沒有。這在安全性方面存在巨大的隱患，表明了對稱的雙向掛鉤模型可能是不夠完善的?；旌想p向掛鉤是對每一邊使用了不同的解鎖方法，例如在輔助區(qū)塊鏈上使用側(cè)鏈而在主要區(qū)塊鏈網(wǎng)絡(luò)上使用驅(qū)動鏈。 RSK案例 RSK的案例即Rootstock的案例很特別。RSK

11、依靠于一種基本的設(shè)計選擇：必須允許與比特幣聯(lián)合挖礦。因此，我們必須分析一下這種情況下的最佳設(shè)計。我們要考慮到： 哪一方控制被鎖定的比特幣 對區(qū)塊鏈網(wǎng)絡(luò)進行攻擊的成本是什么 攻擊的后果是什么 這其中的激勵機制是什么如果幾乎全體比特幣礦工參與到聯(lián)合挖礦中，我們發(fā)現(xiàn)，當(dāng)監(jiān)管者是比特幣礦工時，參與者才最有可能保持誠實，但只有當(dāng)幾乎所有人都參與其中。在聯(lián)合挖礦的情況下，驅(qū)動鏈和側(cè)鏈都完全依靠比特幣礦工的誠實，并且都提供相同的安全性。然而，側(cè)鏈在比特幣一側(cè)實現(xiàn)起來要復(fù)雜得多，所以對于比特幣一側(cè)，RSK的最佳選擇是使用驅(qū)動鏈。在RSK方面，我們可以執(zhí)行側(cè)鏈的方式。所以在這一點上RSK的混合模型可以被定義為“

12、驅(qū)動鏈/側(cè)鏈”。當(dāng)聯(lián)合挖礦的參與程度低時，“驅(qū)動鏈/側(cè)鏈”只能提供很低的安全性。因此，我們建議采用一種混合模型，其中被鎖定比特幣的安全性是基于驅(qū)動鏈加上一組公證人。礦工和公證人（按不同的權(quán)重）投票決定解鎖哪些比特幣。公證人使用他們的數(shù)字簽名進行投票，而礦工則在他們的coinbase交易中增加一個特殊的標(biāo)記進行投票。這是中心化和安全性之間的一種權(quán)衡。最終的RSK雙向掛鉤設(shè)計可以被定義為“（驅(qū)動鏈 +公證人）/側(cè)鏈”（前者針對比特幣鏈，后者針對輔助鏈）。要設(shè)置投票的權(quán)重，我們使用基于聯(lián)合挖礦參與程度的動態(tài)方法。初期，在傳統(tǒng)多重簽名交易中只有公證人投票。到了中期，當(dāng)驅(qū)動鏈功能被添加到比特幣時，無論是公證人還是礦工們都將按部就班地投票。從長遠(yuǎn)來看，當(dāng)聯(lián)合挖礦的參與程度達(dá)到90時，公證人將停止投票，而只有礦工會繼續(xù)投票。這種演變?nèi)缦聢D所示：在本質(zhì)上，我們建議將被鎖定比特幣的安全性依賴于礦工和一組公證人，但是這兩個投票方之間權(quán)力的量是相對于聯(lián)合挖礦參與量而動態(tài)地調(diào)整的。在之后文章中，我們將展示驅(qū)動鏈+公證人的設(shè)計是如何在比特幣上實現(xiàn)的，其中通過執(zhí)行單一的操作碼OP_CHECK_VOTES_MULTISIG_VERIFY，這一操作碼從概念上理解和實際編程都很簡單，并且可以以軟分叉的形式在網(wǎng)絡(luò)上展開。 作者