OP-DLC 2: A Grande Simplicidade

Discreet Log Contract (DLC) é uma estrutura de execução de contratos baseada em oráculos proposta em 2018 por pesquisadores do MIT. Ela permite que as partes realizem pagamentos condicionais com base em condições predefinidas, executando o pagamento quando o oráculo assina o resultado, através da pré-determinação de resultados possíveis e da pré-assinatura. Isso permite que o DLC implemente novas aplicações financeiras descentralizadas, garantindo a segurança dos depósitos em Bitcoin.

O texto anterior resumiu as vantagens do DLC em termos de proteção de privacidade, contratos complexos e baixo risco de ativos, e também analisou os riscos de chave, riscos de confiança descentralizada e riscos de conluio que ele enfrenta. O artigo propõe a introdução de oráculos descentralizados, assinaturas de limiar e mecanismos de desafio otimista para enfrentar esses problemas. Como o DLC envolve oráculos, Alice e Bob, a situação de ataques de conluio entre diferentes partes participantes é complexa, levando a estratégias de defesa relativamente complexas. Essa estratégia de defesa complexa não é perfeita, não se alinha com a filosofia de "a simplicidade é a maior" e carece de beleza na simplicidade.

No Bitcoin, o comportamento de qualquer parte participante deve ser realizado através de UTXO. Assim, garantir a correção do UTXO através do mecanismo de consenso pode resistir a qualquer ataque. Da mesma forma, no DLC, qualquer ação deve ser realizada através do CET(Contract Execution Transaction). Usar o mecanismo de desafio otimista para garantir a correção do CET pode resistir a qualquer ataque. Especificamente, o oráculo deve apostar 2BTC antes de assinar o CET. Incluir um mecanismo de desafio otimista no CET. Se o CET não for desafiado ou conseguir lidar com o desafio, será considerado correto e a liquidação será concluída, o oráculo libera a aposta e recebe a taxa de serviço. Se o oráculo tentar agir de má-fé, qualquer um pode desafiar com sucesso, e o CET não poderá ser liquidado, o oráculo perderá o depósito e não poderá assinar novamente o mesmo CET. Essa abordagem está de acordo com "O caminho é simples", possuindo uma beleza de simplicidade.

Princípio do DLC

Alice e Bob assinam um contrato de aposta: apostam se o hash do ξ-ésimo bloco é ímpar ou par. Se for ímpar, Alice ganha o jogo e pode retirar os ativos; se for par, Bob ganha o jogo e pode retirar os ativos. Através do DLC, o oráculo transmite a informação do ξ-ésimo bloco para construir uma assinatura condicional, permitindo que o vencedor correto receba todos os ativos.

O gerador de curva elíptica é G, de ordem q. As chaves do oráculo, Alice e Bob são, respetivamente, (z, Z), (x, X), (y, Y).

Transação de aporte ( na cadeia ): Alice e Bob criaram conjuntamente uma transação de aporte, cada um bloqueando 10 BTC em uma saída de múltiplas assinaturas 2-of-2 ( uma chave pública X pertencente a Alice, uma chave pública Y pertencente a Bob ).

Construir a CET( off-chain ): Alice e Bob criam a CET1 e a CET2, para gastar transações de investimento.

Calcula a promessa R = k · G, e depois calcula S e S'.

S := R - hash(OddNumber, R) · Z

S' := R - hash(EvenNumber, R) · Z

As novas chaves públicas correspondentes a Alice e Bob são as seguintes:

PK^Alice := X + S

PK^Bob := Y + S'.

on-chain (: Quando o ξ-ésimo bloco é gerado, o oráculo assina o CET1 ou CET2 correspondente com base no hash desse bloco.

Se o hash for ímpar, o oráculo assina s

s := k - hash)OddNumber, R( z

Broadcast CET1.

Se o hash for par, o oráculo assina s'

s' := k - hash)NúmeroPar, R( z

Transmissão CET2.

Retirada ) na cadeia (: se o oráculo transmitir CET1, Alice pode calcular uma nova chave privada e gastar os 20 BTC bloqueados.

sk^Alice = x + s

Se o oráculo transmitir CET2, Bob poderá calcular uma nova chave privada e gastar os 20 BTC bloqueados.

sk^Bob = y + s'

Investigação revelou: durante o processo acima, qualquer ação deve ser realizada através do CET. Portanto, basta usar o mecanismo de desafio otimista para garantir que o CET esteja correto, para resistir a quaisquer ataques. Um CET incorreto será desafiado e não executado, enquanto um CET correto será executado. Além disso, o oráculo deve pagar um preço por comportamentos maliciosos.

O programa a ser desafiado é f)t(, deve ser construído CET da seguinte forma

s = k - hash)f(t(, R) z.

Suponha que, na situação real, o valor hash do bloco ξ seja ímpar odd, ou seja, f)ξ( = OddNumber, o oráculo deve assinar CET1

s := k - hash)OddNumber, R( z.

Mas se o oráculo agir de forma maliciosa, alterando o valor da função para Even, assinou CET2:

s' := k - hash)EvenNumber, R( z.

Então, qualquer usuário pode frustrar esse comportamento malicioso com f)ξ( ≠ OddNumber.

OP-DLC 2

OP-DLC inclui as seguintes 5 disposições:

1. O oráculo é composto por uma aliança, que tem n participantes, e qualquer membro pode assinar o CET. Depois de colocar em stake 2BTC, o oráculo pode emitir assinaturas e ganhar taxas. Se algum membro agir de forma maliciosa, perderá o valor em stake. Os outros membros podem continuar a assinar o CET, garantindo que os usuários possam retirar fundos. Alice e Bob também podem se tornar oráculos, realmente acreditando apenas em si mesmos, alcançando a minimização da confiança.

2. Se o oráculo agir de forma maliciosa e modificar os resultados, isso levará inevitavelmente à situação em que f1)ξ( ≠ z1, f2)z1( ≠ z2. Assim, qualquer parte envolvida pode iniciar um desafio, ou seja, realizar uma transação Disprove-CET1.

3. Se o oráculo assinar o CET de forma honesta, nenhuma parte envolvida pode iniciar uma transação Disprove válida. Após 1 semana, o CET pode ser liquidado corretamente. Além disso, o oráculo recebe uma recompensa de 0,05 BTC, como taxa de ocupação de fundos por 1 semana de seu staking de 2 BTC e a taxa de assinatura honesta do CET.

4. Qualquer parte participante pode desafiar o Oracle_sign:

   • Se o Oracle_sign for honesto, não será possível iniciar a transação Disprove-CET1, a liquidação CET será executada uma semana depois. Desbloqueio do staking do oráculo e recebimento da taxa;

   • Se o Oracle_sign não for honesto, ou seja, se alguém conseguir iniciar uma transação Disprove-CET1 com sucesso, gastando a saída do conector A, a assinatura desse oráculo será inválida, resultando na perda de 2BTC em garantia, e no futuro, esse oráculo não poderá mais emitir uma assinatura com o mesmo resultado para o contrato DLC, pois a Settle-CET1 que depende da saída do conector A se tornará permanentemente inválida.

5. O desafio no OP-DLC é que não requer permissão, qualquer parte participante pode supervisionar se os contratos dentro do OP-DLC estão sendo executados corretamente. Isso alcança a minimização da confiança nos oráculos. Comparado à Lightning Network, Alice e Bob também podem estar offline. Como o oráculo só liquidará o CET com assinaturas honestas, oráculos maliciosos podem ser desafiados e punidos por qualquer pessoa.

Vantagens:

• Alto controle sobre os ativos, confiando apenas em si mesmo: Alice e Bob podem se tornar oráculos e assinar o CET. O mecanismo de desafio otimista frustrará CETs incorretos, portanto, não é possível fazer o mal. Assim, o OP-DLC permite que os usuários confiem apenas em si mesmos. Em comparação, no BitVM, os usuários precisam atuar como Operador e participar de todos os depósitos subsequentes para poderem confiar apenas em si mesmos.

• Alta taxa de utilização de capital: se o usuário confia apenas em si mesmo, no OP-DLC o usuário depende de si para retirar fundos, não precisando de um pagamento de capital equivalente; enquanto no BitVM, o usuário precisa de um pagamento de capital equivalente, e depois ser reembolsado, o que traz uma pressão financeira maior.

• O oráculo que pode assinar deve ser determinado no depósito de OP-DLC, mas o usuário também pode se tornar um oráculo e assinar a si mesmo.

Desvantagens:

• O tempo de retirada é de 1 semana: essencialmente, os custos de tempo de capital do OP-DLC e do BitVM são presentes e iguais. A retirada do OP-DLC deve passar por um período de contestação; se o BitVM depender do usuário para cobrir os custos, o capital coberto também deve passar por um período de contestação antes de ser reembolsado com sucesso.

• O número de assinaturas pré-assinadas está a crescer rapidamente, apresentando uma relação linear com a quantidade de CET. É necessário o máximo possível de CET para enumerar todos os resultados de retirada.

Conclusão

OP-DLC introduz o mecanismo de desafio otimista no CET, garantindo que CETs errados não sejam liquidadas, e que as perdas de um oráculo malicioso sejam bloqueadas; garantindo que CETs corretos sejam executados, e que a garantia do oráculo seja desbloqueada e receba taxas. Este método é capaz de resistir a ataques arbitrários, apresentando uma beleza de simplicidade.