作者：Simon shieh，來(lái)源：MetaTrust Labs

前言回顧

上一篇《比特幣生態(tài)擴(kuò)容方案巡禮(1)：銘文何去何從》中，我們討論了熱門(mén)的銘文生態(tài)的技術(shù)原理和可能存在的安全問(wèn)題，并且提到了用遞歸銘文來(lái)實(shí)現(xiàn)智能合約的可能性。但是因?yàn)長(zhǎng)uke對(duì)Taproot腳本的限制，遞歸銘文似乎有了一些障礙，那在比特幣網(wǎng)絡(luò)上實(shí)現(xiàn)智能合約有沒(méi)有其他的可能性呢？

區(qū)塊鏈開(kāi)發(fā)商ZeroSync的聯(lián)合創(chuàng)始人Robin Linus，在2023年10月9日發(fā)表了一篇名為“BitVM：在比特幣上進(jìn)行所有運(yùn)算（BitVM：Compute Anything on Bitcoin）”的論文，其中提出了一個(gè)計(jì)劃，旨在將智能合約引入比特幣區(qū)塊鏈。

該論文提出了一個(gè)非常有趣的思路，可以用taproot完成幾乎所有的任意計(jì)算，并使用這些計(jì)算來(lái)驗(yàn)證在比特幣鏈下發(fā)生的事情。其中的訣竅是，將所有的邏輯都放在鏈下，并在其他人斷言了不誠(chéng)實(shí)的結(jié)果時(shí)，在鏈上用少數(shù)幾步計(jì)算來(lái)挑戰(zhàn)這些結(jié)果。

換句話說(shuō)，就是將一個(gè)Verifier的邏輯放在比特幣網(wǎng)絡(luò)中，利用比特幣的強(qiáng)共識(shí)安全，成為任何圖靈完備運(yùn)算層的可信第三方，再用Optimistic Rollups 的原理，來(lái)實(shí)現(xiàn)鏈外計(jì)算結(jié)果的驗(yàn)證。

那么怎么實(shí)現(xiàn)將一段Verifier的邏輯放在比特幣網(wǎng)絡(luò)中呢？為了和上一節(jié)的“銘刻”相呼應(yīng)，我愿稱(chēng)之為在比特幣網(wǎng)絡(luò)上進(jìn)行電路“蝕刻”的技術(shù)。

邏輯門(mén)電路

在你的電腦或手機(jī)內(nèi)部，電流通過(guò)傳遞一系列的1和0來(lái)實(shí)現(xiàn)計(jì)算機(jī)的所有功能。這是通過(guò)數(shù)以百萬(wàn)計(jì)的微小組件——邏輯門(mén)（logic gates）——來(lái)實(shí)現(xiàn)的。這些邏輯門(mén)是構(gòu)成計(jì)算機(jī)芯片的基本元素。

每個(gè)邏輯門(mén)都會(huì)接收一個(gè)或兩個(gè)“比特（bit）”的信息，每個(gè)比特要么是1，要么是0。然后，邏輯門(mén)根據(jù)設(shè)定的規(guī)則執(zhí)行一個(gè)簡(jiǎn)單的邏輯運(yùn)算，如“與（AND）”、“或（OR）”或“非（NOT）”等操作。這些運(yùn)算產(chǎn)生的結(jié)果同樣是一個(gè)比特，也是1或0。完成運(yùn)算后，這個(gè)結(jié)果又被傳遞到下一個(gè)邏輯門(mén)。

這種基于簡(jiǎn)單邏輯運(yùn)算的系統(tǒng)產(chǎn)生了啟示：即使是最復(fù)雜的計(jì)算和功能，也都可以通過(guò)組合大量簡(jiǎn)單的邏輯運(yùn)算來(lái)實(shí)現(xiàn)。這種邏輯門(mén)的組合和協(xié)作是現(xiàn)代計(jì)算機(jī)和電子設(shè)備能夠執(zhí)行復(fù)雜任務(wù)的基礎(chǔ)。通過(guò)這些基本的邏輯操作，電腦能夠處理復(fù)雜的算術(shù)運(yùn)算、數(shù)據(jù)存儲(chǔ)、圖像渲染等功能。

下圖是一個(gè)非常特殊的邏輯門(mén)，叫做“與非門(mén)”（NAND gate），它可以構(gòu)造任意類(lèi)型邏輯門(mén)電路，當(dāng)然，它不可能有其它專(zhuān)用類(lèi)型的門(mén)那么高效，但還是能做到的。BitVM的邏輯門(mén)電路就由與非門(mén)組成。

比特幣上如何蝕刻與非門(mén)

在現(xiàn)有的比特幣腳本上構(gòu)造與非門(mén)（NAND gate）可以通過(guò)結(jié)合哈希鎖和兩個(gè)可能不太為人所熟知的操作碼：OP_BOOLAND和OP_NOT來(lái)實(shí)現(xiàn)。

首先，哈希鎖可以用來(lái)創(chuàng)建一個(gè)分支腳本，這個(gè)腳本可以通過(guò)兩種方式中的一種來(lái)花費(fèi)：要么滿足哈希鎖，要么滿足哈希鎖B。這樣，路徑A將1輸出到堆棧，而路徑B將0輸出到堆棧。

通過(guò)滿足特定哈希鎖，你可以"解鎖"一個(gè)比特，這個(gè)比特作為我們要構(gòu)造的NAND門(mén)的輸入之一。由于你只能滿足其中一個(gè)路徑的要求，所以這種方法只允許用戶(hù)一次提交一個(gè)比特。

與非門(mén)的邏輯是接收兩個(gè)比特作為輸入，輸出一個(gè)比特。如果兩個(gè)輸入比特都是1，則輸出0；如果輸入是其他組合，則輸出1。使用兩個(gè)哈希鎖技巧，可以提交這兩個(gè)輸入，并驗(yàn)證輸出是否正確，這就是OP_BOOLAND和OP_NOT的用途所在。

OP_BOOLAND的操作與與非門(mén)相反：如果兩個(gè)輸入都是1，則輸出1；任何其他輸入組合都會(huì)產(chǎn)生0。OP_NOT則輸出與輸入相反的值。因此，通過(guò)結(jié)合使用這兩個(gè)操作碼，可以在腳本堆棧中取兩個(gè)輸入并進(jìn)行反和操作。最后，可以使用OP_EQUALVERIFY以及哈希鎖技巧來(lái)驗(yàn)證斷言的輸出。如果堆棧中實(shí)際的與非操作結(jié)果與用戶(hù)斷言的輸出不一致，腳本就無(wú)法通過(guò)驗(yàn)證。

這樣，就在比特幣腳本中“蝕刻”了與非門(mén)電路，實(shí)際上是通過(guò)比特幣腳本來(lái)強(qiáng)制執(zhí)行虛擬的與非門(mén)操作。

如何蝕刻大規(guī)模電路

雖然這個(gè)利用Taproot腳本實(shí)現(xiàn)電路蝕刻的想法很酷，但是別說(shuō)像PC那種超大規(guī)模電路了，就是要實(shí)現(xiàn)任意一組計(jì)算，都需要成千上萬(wàn)的與非門(mén)電路，那在比特幣有限的Taproot腳本空間里，如何覆蓋復(fù)雜計(jì)算呢？

BitVM提出了Taproot腳本樹(shù)（Taproot Tree）的方法。為了在比特幣腳本中實(shí)現(xiàn)復(fù)雜的計(jì)算過(guò)程，人們可以通過(guò)串聯(lián)邏輯門(mén)來(lái)構(gòu)建計(jì)算電路。在這個(gè)方案中，哈希鎖被用來(lái)綁定各個(gè)門(mén)，從而實(shí)現(xiàn)順序執(zhí)行的邏輯操作。具體來(lái)說(shuō)，如果一個(gè)門(mén)的腳本根據(jù)不同的哈希原像（哈希明文值）輸入產(chǎn)生不同的輸出結(jié)果C1或C2，那么下一個(gè)門(mén)會(huì)使用與之相匹配的哈希鎖值作為其輸入。

這種方法可以實(shí)現(xiàn)一種懲罰機(jī)制，即如果試圖謊報(bào)前一個(gè)門(mén)的結(jié)果，就只能揭曉另一個(gè)哈希鎖的原像。這種機(jī)制可以用于兩個(gè)用戶(hù)之間的交互式計(jì)算，其中他們預(yù)先同意參與特定的計(jì)算任務(wù)，然后將計(jì)算過(guò)程分解成只由與非門(mén)組成的電路。他們需要為電路中的每個(gè)門(mén)選擇合適的哈希鎖，并將其編碼進(jìn)鎖定UTXO的腳本樹(shù)中。

然后通過(guò)多個(gè)地址組成一個(gè)Taproot地址矩陣，再通過(guò)Taproot Tree的方式將邏輯電路蝕刻到一系列樹(shù)狀結(jié)構(gòu)相連的UTXO交易的Taproot腳本中，最終形成一個(gè)可以處理一定計(jì)算任務(wù)的“類(lèi)合約”邏輯電路。

欺詐挑戰(zhàn)

欺詐挑戰(zhàn)是OP（Optimism Rollup）技術(shù)的核心（雖然至今都沒(méi)有真的實(shí)現(xiàn)~），思想是在一個(gè)batch的交易被批量提交之前，挑戰(zhàn)者對(duì)認(rèn)為有錯(cuò)的交易發(fā)起欺詐挑戰(zhàn)（質(zhì)押對(duì)賭），主網(wǎng)上的Verifier合約會(huì)根據(jù)狀態(tài)根在執(zhí)行后的變化來(lái)判斷提交者是否作惡，然后分配雙方質(zhì)押的資產(chǎn)。

而在bitVM中，腳本樹(shù)被設(shè)計(jì)成兩個(gè)電路，除了允許證明者提交到一個(gè)電路之外，還需要挑戰(zhàn)者能夠挑戰(zhàn)證明者的聲明。這可以通過(guò)預(yù)簽名一系列的交易來(lái)實(shí)現(xiàn)。這些預(yù)簽名交易通過(guò)「挑戰(zhàn) ->應(yīng)答 ->挑戰(zhàn) ->…」的方式連接。如果某一方停止一段時(shí)間后，另外一方就會(huì)贏得挑戰(zhàn)并回收雙方的存款。

上圖展示了一系列預(yù)先簽名的交易：

?挑戰(zhàn)：Vicky （挑戰(zhàn)者 / 驗(yàn)證者）在腳本路徑中釋放一個(gè)原像（這些原像只有挑戰(zhàn)者知道），用作對(duì)證明的挑戰(zhàn)；

?應(yīng)答：Paul （證明者）執(zhí)行對(duì)應(yīng)的邏輯門(mén)，將資金發(fā)回初始的腳本中；

在幾輪的查詢(xún)后可以迅速駁斥任何一個(gè)不一致的聲明。如果證明者停止在鏈下與挑戰(zhàn)者合作，挑戰(zhàn)者就會(huì)強(qiáng)制證明者在鏈上合作：挑戰(zhàn)者每解鎖一個(gè)哈希鎖，使得證明者的 UTXO 中的每個(gè) NAND 門(mén)對(duì)應(yīng)的 Taproot 葉子節(jié)點(diǎn)只有在證明者知道挑戰(zhàn)者持有的一個(gè)原像時(shí)才可以被花費(fèi)。證明者可以通過(guò)揭示其輸入和輸出來(lái)證明給定的 Taproot 葉子節(jié)點(diǎn)執(zhí)行正確。其前提是挑戰(zhàn)者通過(guò)揭露對(duì)應(yīng) Tapleaf 的哈希的原像來(lái)解鎖它，通過(guò)二分查找的方式，挑戰(zhàn)者可以在經(jīng)過(guò)有限輪(O(logn)）的挑戰(zhàn)和應(yīng)答后鎖定證明者的錯(cuò)誤。

整個(gè)過(guò)程涉及到多輪交互，以確保合約能夠正確結(jié)算。挑戰(zhàn)者可以不斷挑戰(zhàn)證明者，直到證明者證實(shí)了每個(gè)門(mén)的正確結(jié)果，或者在證明者無(wú)法響應(yīng)挑戰(zhàn)的情況下，挑戰(zhàn)者可以在特定時(shí)間后提取資金。在理想情況下，所有操作都在鏈下進(jìn)行，雙方協(xié)作完成結(jié)算，但如果合作破裂，雙方可以通過(guò)鏈上的挑戰(zhàn)游戲來(lái)確保合約得到正確的解決。

落地障礙與安全性問(wèn)題

這項(xiàng)提議涉及處理和生成的數(shù)據(jù)量極其龐大。使用的Taproot腳本樹(shù)可能包含數(shù)十億個(gè)葉子節(jié)點(diǎn)，而相關(guān)的預(yù)先簽名交易的處理時(shí)間可能至少需要幾個(gè)小時(shí)，以確保準(zhǔn)確的結(jié)算。每個(gè)Taproot地址的預(yù)設(shè)解鎖條件執(zhí)行都需支付礦工費(fèi)，因此地址組合越多，成本也越大。

這種方案的一個(gè)主要限制在于，它只適用于兩個(gè)參與者之間的交互：一個(gè)作為證明者，證明其執(zhí)行的準(zhǔn)確性；另一個(gè)作為驗(yàn)證者，挑戰(zhàn)前者的聲明。雖然未來(lái)的研究可能會(huì)找到方法讓更多參與者加入，但目前看來(lái)還沒(méi)有明確的解決方案。

在合作結(jié)算的場(chǎng)景中，所有參與者必須在線，這對(duì)于協(xié)議的實(shí)用性和便利性構(gòu)成了一定的限制。

在安全性方面，主要有以下幾點(diǎn)安全風(fēng)險(xiǎn)：

1、由于成本的限制，必然大量的計(jì)算工作要放在鏈下進(jìn)行，鏈下計(jì)算就存在中心化服務(wù)的一些常見(jiàn)安全風(fēng)險(xiǎn)。

2、大量數(shù)據(jù)保存在鏈下，數(shù)據(jù)可用性和數(shù)據(jù)安全性也是必須要考慮的風(fēng)險(xiǎn)點(diǎn)

3、對(duì)于所蝕刻的電路本身是否存在邏輯漏洞也是一個(gè)安全風(fēng)險(xiǎn)點(diǎn)，由于電路的不易讀性，需要付出更多的審計(jì)成本或形式化驗(yàn)證成本。

Metatrust曾經(jīng)協(xié)助Uniswap進(jìn)行了全面的形式化驗(yàn)證工作，并在ZK電路審計(jì)和形式化驗(yàn)證方面有非常豐富的經(jīng)驗(yàn)，可以為BitVM生態(tài)的安全落地，提供保障。

上兩篇的方案都是今年剛火熱起來(lái)的技術(shù)方案，下一篇，我們將介紹一個(gè)更加古老，更加具備“正統(tǒng)性”的方案，閃電網(wǎng)絡(luò)的升級(jí)版本——Taproott Assets。