Підпис адаптера та його застосування в крос-ланцюгових атомних обмінах
Зі швидким розвитком рішень для розширення Layer2 біткойна, частота міжмережевих передач активів між біткойном та його мережею Layer2 суттєво зросла. Ця тенденція зумовлена вищою масштабованістю, нижчими комісіями за транзакції та високою пропускною спроможністю, які надає технологія Layer2. Ці досягнення сприяють більш ефективним та економічним транзакціям, що, в свою чергу, стимулює більш широке використання та інтеграцію біткойна в різноманітні застосування. Таким чином, взаємодія між біткойном та мережами Layer2 стає ключовою складовою криптовалютної екосистеми, сприяючи інноваціям та надаючи користувачам більш різноманітні та потужні фінансові інструменти.
Міжбіткойн та Layer2 існує три типових схеми крос-ланцюгової торгівлі: централізована крос-ланцюгова торгівля, BitVM крос-ланцюговий міст та крос-ланцюговий атомарний обмін. Ці три технології відрізняються за припущеннями довіри, безпекою, зручністю, обсягом угод тощо, що дозволяє задовольнити різні потреби застосування.
Централізовані крос-ланцюгові交易 відбуваються швидко, процес зведення досить простий, оскільки централізовані установи можуть швидко підтверджувати та обробляти交易. Однак безпека цього методу повністю залежить від надійності та репутації централізованої установи. Якщо централізована установа зазнає технічного збою, зловмисної атаки або порушення зобов'язань, кошти користувачів піддаються високому ризику. Крім того, централізовані крос-ланцюгові交易 також можуть призвести до витоку конфіденційності користувачів, тому користувачам слід уважно розглянути цей метод.
Технологія моста BitVM крос-ланцюга відносно складна. По-перше, на етапі Peg-in користувачі сплачують біткоїни на багатопідписну адресу, контрольовану альянсом BitVM, для блокування біткоїнів. На Layer2 випускається відповідна кількість токенів, які використовуються для реалізації транзакцій та додатків Layer2. Коли користувач знищує токени Layer2, витрати покриває Оператор. Потім Оператор відшкодовує відповідну кількість біткоїнів з багатопідписного пулу, контрольованого альянсом BitVM. Щоб запобігти зловживанням з боку Оператора, процес відшкодування використовує механізм оптимістичних викликів, тобто будь-яка третя сторона може оскаржити злочинні дії щодо відшкодування, щоб зупинити зловживання. Ця технологія вводить механізм оптимістичних викликів, тому вона відносно складна. Крім того, механізм оптимістичних викликів передбачає велику кількість викликів та відповідей, тому комісії за транзакції досить високі. Тому міст BitVM крос-ланцюга підходить лише для надвеликих транзакцій, подібно до емісії U, що робить його використання менш частим.
Крос-ланцюг атомарний обмін є контрактом, що забезпечує децентралізовану торгівлю криптовалютою. У цьому випадку "атомарний" означає, що зміна права власності на один актив фактично означає зміну права власності на інший актив. Цю концепцію вперше запропонував TierNolan у 2013 році на форумі Bitcointalk. Протягом 4 років атомарний обмін залишався в теоретичній領域і. Лише у 2017 році Decred та Litecoin стали першими блокчейн-системами, які успішно завершили атомарний обмін.
Атомарний обмін повинен включати дві сторони, а будь-яка третя сторона не може перервати або заважати процесу обміну. Це означає, що ця технологія є децентралізованою, не підлягає цензурі, має кращий захист конфіденційності, може здійснювати високочастотні крос-ланцюгові交易, що робить її широко застосовуваною в децентралізованих біржах.
Наразі крос-ланцюгова атомарна обмін потребує 4 транзакції, деякі рішення намагаються зменшити кількість транзакцій до 2, але це збільшує вимоги до реальної присутності обох сторін обміну. Технологія крос-ланцюгового атомарного обміну в основному включає хеш-часовий замок та адаптерний підпис.
Крос-ланцюгова атомарна обмінка, що базується на хеш-часовому замку (HTLC), дозволяє двом користувачам здійснювати обмежені в часі криптовалютні транзакції, тобто отримувач повинен подати криптодоказ ("секрет") до контракту у визначений час, інакше кошти будуть повернені відправнику. Якщо отримувач підтверджує платіж, то транзакція вважається успішною. Таким чином, обидва блокчейни, що беруть участь, повинні мати функції "хеш-замка" та "часового замка".
Хоча HTLC атомарний обмін є значним проривом у сфері технологій децентралізованого обміну, існує проблема витоку конфіденційності. Кожного разу під час обміну на двох блокчейнах з'являються однакові хеш-значення, і вони всього в кількох блоках один від одного. Це означає, що спостерігач може зв'язати валюти, що беруть участь в обміні, тобто знайти однакові хеш-значення в блоках, які знаходяться близько один до одного. При крос-ланцюговому відстеженні валюти легко визначити джерело. Хоча цей аналіз не розкриває жодних відповідних ідентифікаційних даних, третя сторона може легко зробити висновки про особистість учасників.
Крос-ланцюг атомарний обмін на основі підписів адаптера був запропонований розробником Monero Жоелем Гуггером у 2020 році, як реалізація статті Ллойда Фурньєра 2019 року "Одноразові підтверджувано зашифровані підписи, відомі як підписи адаптера". Підпис адаптера є додатковим підписом, який поєднується з початковим підписом для відображення секретних даних, що дозволяє обом сторонам одночасно розкривати одна одній дві частини даних, і є ключовим компонентом безскриптового протоколу, який робить можливим атомарний обмін Monero.
В порівнянні з атомним обміном за допомогою HTLC, атомний обмін на основі підпису адаптера має три переваги: по-перше, схема обміну з підписом адаптера замінює ончейн-скрипти, на яких базується обмін "секретного хешу", включаючи таймлоки та хеш-локи. По-друге, оскільки такі скрипти не використовуються, зменшується обсяги на ончейні, що робить атомний обмін на основі підпису адаптера більш легким та дешевшим. Нарешті, HTLC вимагає, щоб кожен ланцюг використовував однакове значення хешу, в той час як угоди, що беруть участь в атомному обміні з підписом адаптера, не можуть бути пов'язані, що забезпечує захист конфіденційності.
Попередні підписи адаптера Schnorr/ECDSA зобов'язані до випадкового числа r. Якщо випадкове число витече, це призведе до витоку приватного ключа. Крім того, для будь-яких двох крос-ланцюгових транзакцій, якщо протокол підпису адаптера використовує те ж саме випадкове число, це також призведе до витоку приватного ключа. Тому слід використовувати RFC 6979 для вирішення проблеми повторного використання випадкових чисел.
RFC 6979 визначає метод генерації детермінованих цифрових підписів за допомогою DSA та ECDSA, що вирішує проблеми безпеки, пов'язані з генерацією випадкового значення k. Зокрема, детерміноване k генерується за допомогою HMAC, що включає обчислення хеш-значення з приватного ключа, повідомлення та лічильника. Це забезпечує унікальність k для кожного повідомлення, одночасно забезпечуючи відтворюваність для однакових вхідних даних, а також зменшує ризик розкриття приватного ключа, пов'язаний із слаборозвиненими або скомпрометованими генераторами випадкових чисел.
У сценарії крос-ланцюга необхідно враховувати гетерогенність систем UTXO та облікової моделі. Біткоїн використовує модель UTXO, яка реалізує рідний ECDSA підпис на основі кривої Secp256k1. А EVM-сумісні ланцюги використовують облікову модель, яка підтримує рідний ECDSA підпис. Крос-ланцюговий атомарний обмін на основі адаптерних підписів не є сумісним з Ethereum, оскільки Ethereum є обліковою моделлю, а не моделлю UTXO. Конкретно, в атомарному обміні на основі адаптерних підписів вимагається, щоб транзакції на повернення були попередньо підписані. Однак у системі Ethereum, якщо nonce невідомий, неможливо попередньо підписати транзакцію.
Крім того, з точки зору конфіденційності це означає, що анонімність свопу на ланцюзі з рахунковою моделлю краща, ніж у HTLC. ( Обидві сторони свопу можуть знайти контракт ). Однак через необхідність однієї зі сторін мати публічний контракт, анонімність свопу на ланцюзі з рахунковою моделлю нижча, ніж анонімність підпису адаптера. У стороні без контракту своп-транзакції виглядають як будь-яка інша транзакція. Проте на стороні з EVM-контрактом транзакція явно призначена для свопу активів. Хоча у однієї зі сторін є публічний контракт, навіть з використанням складних інструментів аналізу ланцюга неможливо відстежити його до іншого ланцюга.
Якщо два ланцюги використовують однакову криву, але різні алгоритми підпису, наприклад, один ланцюг використовує підпис Schnorr, а інший ланцюг використовує ECDSA, підпис адаптера є доказово безпечним. Однак, якщо два ланцюги використовують різні криві, то не можна використовувати підпис адаптера, оскільки порядки еліптичних кривих різні, тобто модульні коефіцієнти різні, що призводить до небезпеки використання одного й того ж адаптера на різних кривих.
Адаптерний підпис також може бути використаний для реалізації неінтерактивного цифрового активного ескроу. Ця схема включає трьох учасників: покупця Алісу, продавця Боба та ескроу-агента. Використання адаптерного підпису дозволяє реалізувати неінтерактивний пороговий цифровий активний ескроу, а також інстанціювати підмножину порогових витратних стратегій без необхідності взаємодії. Ескроу-агент не може підписувати будь-які транзакції, а лише надсилає секрет одній з підтримуваних сторін.
Конкретний процес реалізації включає створення незасвідченої транзакції funding, обмін підписами адаптера, перевірку дійсності шифрованого тексту, обробку суперечок та інші кроки. Якщо суперечок немає, то Аліса та Боб можуть витратити 2-of-2 MuSig output так, як вони хочуть. Якщо є суперечка, будь-яка сторона може зв'язатися з ескроу-агентом і попросити його секрет адаптера.
У процесі реалізації потрібно використовувати технологію верифікаційного шифрування. Наразі є два перспективних способи реалізації верифікаційного шифрування на основі дискретного логарифму Secp256k1, а саме Purify та Juggling. Purify реалізовано на основі нульових знань, а Juggling використовує методи фрагментації та діапазонного доказу. Обидва рішення мають незначні відмінності в розмірі доказу, часі доказу та часі перевірки, але Juggling теоретично є простішим.
В цілому, підпис адаптера забезпечує більш безпечне та приватне рішення для крос-ланцюгових атомарних обмінів. Але в практичному застосуванні також потрібно враховувати вплив різних моделей блокчейну, алгоритмів підпису, еліптичних кривих та інших факторів, а також вибрати відповідний спосіб реалізації в залежності від конкретного сценарію. З розвитком технологій підпис адаптера має потенціал відігравати більшу роль у крос-ланцюгових транзакціях, зберіганні активів та інших сферах.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Адаптер підпису: оптимізація безпечних та приватних рішень для крос-ланцюгового атомарного обміну
Підпис адаптера та його застосування в крос-ланцюгових атомних обмінах
Зі швидким розвитком рішень для розширення Layer2 біткойна, частота міжмережевих передач активів між біткойном та його мережею Layer2 суттєво зросла. Ця тенденція зумовлена вищою масштабованістю, нижчими комісіями за транзакції та високою пропускною спроможністю, які надає технологія Layer2. Ці досягнення сприяють більш ефективним та економічним транзакціям, що, в свою чергу, стимулює більш широке використання та інтеграцію біткойна в різноманітні застосування. Таким чином, взаємодія між біткойном та мережами Layer2 стає ключовою складовою криптовалютної екосистеми, сприяючи інноваціям та надаючи користувачам більш різноманітні та потужні фінансові інструменти.
Міжбіткойн та Layer2 існує три типових схеми крос-ланцюгової торгівлі: централізована крос-ланцюгова торгівля, BitVM крос-ланцюговий міст та крос-ланцюговий атомарний обмін. Ці три технології відрізняються за припущеннями довіри, безпекою, зручністю, обсягом угод тощо, що дозволяє задовольнити різні потреби застосування.
Централізовані крос-ланцюгові交易 відбуваються швидко, процес зведення досить простий, оскільки централізовані установи можуть швидко підтверджувати та обробляти交易. Однак безпека цього методу повністю залежить від надійності та репутації централізованої установи. Якщо централізована установа зазнає технічного збою, зловмисної атаки або порушення зобов'язань, кошти користувачів піддаються високому ризику. Крім того, централізовані крос-ланцюгові交易 також можуть призвести до витоку конфіденційності користувачів, тому користувачам слід уважно розглянути цей метод.
Технологія моста BitVM крос-ланцюга відносно складна. По-перше, на етапі Peg-in користувачі сплачують біткоїни на багатопідписну адресу, контрольовану альянсом BitVM, для блокування біткоїнів. На Layer2 випускається відповідна кількість токенів, які використовуються для реалізації транзакцій та додатків Layer2. Коли користувач знищує токени Layer2, витрати покриває Оператор. Потім Оператор відшкодовує відповідну кількість біткоїнів з багатопідписного пулу, контрольованого альянсом BitVM. Щоб запобігти зловживанням з боку Оператора, процес відшкодування використовує механізм оптимістичних викликів, тобто будь-яка третя сторона може оскаржити злочинні дії щодо відшкодування, щоб зупинити зловживання. Ця технологія вводить механізм оптимістичних викликів, тому вона відносно складна. Крім того, механізм оптимістичних викликів передбачає велику кількість викликів та відповідей, тому комісії за транзакції досить високі. Тому міст BitVM крос-ланцюга підходить лише для надвеликих транзакцій, подібно до емісії U, що робить його використання менш частим.
Крос-ланцюг атомарний обмін є контрактом, що забезпечує децентралізовану торгівлю криптовалютою. У цьому випадку "атомарний" означає, що зміна права власності на один актив фактично означає зміну права власності на інший актив. Цю концепцію вперше запропонував TierNolan у 2013 році на форумі Bitcointalk. Протягом 4 років атомарний обмін залишався в теоретичній領域і. Лише у 2017 році Decred та Litecoin стали першими блокчейн-системами, які успішно завершили атомарний обмін.
Атомарний обмін повинен включати дві сторони, а будь-яка третя сторона не може перервати або заважати процесу обміну. Це означає, що ця технологія є децентралізованою, не підлягає цензурі, має кращий захист конфіденційності, може здійснювати високочастотні крос-ланцюгові交易, що робить її широко застосовуваною в децентралізованих біржах.
Наразі крос-ланцюгова атомарна обмін потребує 4 транзакції, деякі рішення намагаються зменшити кількість транзакцій до 2, але це збільшує вимоги до реальної присутності обох сторін обміну. Технологія крос-ланцюгового атомарного обміну в основному включає хеш-часовий замок та адаптерний підпис.
Крос-ланцюгова атомарна обмінка, що базується на хеш-часовому замку (HTLC), дозволяє двом користувачам здійснювати обмежені в часі криптовалютні транзакції, тобто отримувач повинен подати криптодоказ ("секрет") до контракту у визначений час, інакше кошти будуть повернені відправнику. Якщо отримувач підтверджує платіж, то транзакція вважається успішною. Таким чином, обидва блокчейни, що беруть участь, повинні мати функції "хеш-замка" та "часового замка".
Хоча HTLC атомарний обмін є значним проривом у сфері технологій децентралізованого обміну, існує проблема витоку конфіденційності. Кожного разу під час обміну на двох блокчейнах з'являються однакові хеш-значення, і вони всього в кількох блоках один від одного. Це означає, що спостерігач може зв'язати валюти, що беруть участь в обміні, тобто знайти однакові хеш-значення в блоках, які знаходяться близько один до одного. При крос-ланцюговому відстеженні валюти легко визначити джерело. Хоча цей аналіз не розкриває жодних відповідних ідентифікаційних даних, третя сторона може легко зробити висновки про особистість учасників.
Крос-ланцюг атомарний обмін на основі підписів адаптера був запропонований розробником Monero Жоелем Гуггером у 2020 році, як реалізація статті Ллойда Фурньєра 2019 року "Одноразові підтверджувано зашифровані підписи, відомі як підписи адаптера". Підпис адаптера є додатковим підписом, який поєднується з початковим підписом для відображення секретних даних, що дозволяє обом сторонам одночасно розкривати одна одній дві частини даних, і є ключовим компонентом безскриптового протоколу, який робить можливим атомарний обмін Monero.
В порівнянні з атомним обміном за допомогою HTLC, атомний обмін на основі підпису адаптера має три переваги: по-перше, схема обміну з підписом адаптера замінює ончейн-скрипти, на яких базується обмін "секретного хешу", включаючи таймлоки та хеш-локи. По-друге, оскільки такі скрипти не використовуються, зменшується обсяги на ончейні, що робить атомний обмін на основі підпису адаптера більш легким та дешевшим. Нарешті, HTLC вимагає, щоб кожен ланцюг використовував однакове значення хешу, в той час як угоди, що беруть участь в атомному обміні з підписом адаптера, не можуть бути пов'язані, що забезпечує захист конфіденційності.
Попередні підписи адаптера Schnorr/ECDSA зобов'язані до випадкового числа r. Якщо випадкове число витече, це призведе до витоку приватного ключа. Крім того, для будь-яких двох крос-ланцюгових транзакцій, якщо протокол підпису адаптера використовує те ж саме випадкове число, це також призведе до витоку приватного ключа. Тому слід використовувати RFC 6979 для вирішення проблеми повторного використання випадкових чисел.
RFC 6979 визначає метод генерації детермінованих цифрових підписів за допомогою DSA та ECDSA, що вирішує проблеми безпеки, пов'язані з генерацією випадкового значення k. Зокрема, детерміноване k генерується за допомогою HMAC, що включає обчислення хеш-значення з приватного ключа, повідомлення та лічильника. Це забезпечує унікальність k для кожного повідомлення, одночасно забезпечуючи відтворюваність для однакових вхідних даних, а також зменшує ризик розкриття приватного ключа, пов'язаний із слаборозвиненими або скомпрометованими генераторами випадкових чисел.
У сценарії крос-ланцюга необхідно враховувати гетерогенність систем UTXO та облікової моделі. Біткоїн використовує модель UTXO, яка реалізує рідний ECDSA підпис на основі кривої Secp256k1. А EVM-сумісні ланцюги використовують облікову модель, яка підтримує рідний ECDSA підпис. Крос-ланцюговий атомарний обмін на основі адаптерних підписів не є сумісним з Ethereum, оскільки Ethereum є обліковою моделлю, а не моделлю UTXO. Конкретно, в атомарному обміні на основі адаптерних підписів вимагається, щоб транзакції на повернення були попередньо підписані. Однак у системі Ethereum, якщо nonce невідомий, неможливо попередньо підписати транзакцію.
Крім того, з точки зору конфіденційності це означає, що анонімність свопу на ланцюзі з рахунковою моделлю краща, ніж у HTLC. ( Обидві сторони свопу можуть знайти контракт ). Однак через необхідність однієї зі сторін мати публічний контракт, анонімність свопу на ланцюзі з рахунковою моделлю нижча, ніж анонімність підпису адаптера. У стороні без контракту своп-транзакції виглядають як будь-яка інша транзакція. Проте на стороні з EVM-контрактом транзакція явно призначена для свопу активів. Хоча у однієї зі сторін є публічний контракт, навіть з використанням складних інструментів аналізу ланцюга неможливо відстежити його до іншого ланцюга.
Якщо два ланцюги використовують однакову криву, але різні алгоритми підпису, наприклад, один ланцюг використовує підпис Schnorr, а інший ланцюг використовує ECDSA, підпис адаптера є доказово безпечним. Однак, якщо два ланцюги використовують різні криві, то не можна використовувати підпис адаптера, оскільки порядки еліптичних кривих різні, тобто модульні коефіцієнти різні, що призводить до небезпеки використання одного й того ж адаптера на різних кривих.
Адаптерний підпис також може бути використаний для реалізації неінтерактивного цифрового активного ескроу. Ця схема включає трьох учасників: покупця Алісу, продавця Боба та ескроу-агента. Використання адаптерного підпису дозволяє реалізувати неінтерактивний пороговий цифровий активний ескроу, а також інстанціювати підмножину порогових витратних стратегій без необхідності взаємодії. Ескроу-агент не може підписувати будь-які транзакції, а лише надсилає секрет одній з підтримуваних сторін.
Конкретний процес реалізації включає створення незасвідченої транзакції funding, обмін підписами адаптера, перевірку дійсності шифрованого тексту, обробку суперечок та інші кроки. Якщо суперечок немає, то Аліса та Боб можуть витратити 2-of-2 MuSig output так, як вони хочуть. Якщо є суперечка, будь-яка сторона може зв'язатися з ескроу-агентом і попросити його секрет адаптера.
У процесі реалізації потрібно використовувати технологію верифікаційного шифрування. Наразі є два перспективних способи реалізації верифікаційного шифрування на основі дискретного логарифму Secp256k1, а саме Purify та Juggling. Purify реалізовано на основі нульових знань, а Juggling використовує методи фрагментації та діапазонного доказу. Обидва рішення мають незначні відмінності в розмірі доказу, часі доказу та часі перевірки, але Juggling теоретично є простішим.
В цілому, підпис адаптера забезпечує більш безпечне та приватне рішення для крос-ланцюгових атомарних обмінів. Але в практичному застосуванні також потрібно враховувати вплив різних моделей блокчейну, алгоритмів підпису, еліптичних кривих та інших факторів, а також вибрати відповідний спосіб реалізації в залежності від конкретного сценарію. З розвитком технологій підпис адаптера має потенціал відігравати більшу роль у крос-ланцюгових транзакціях, зберіганні активів та інших сферах.