適配器籤名及其在跨鏈原子交換中的應用

隨着比特幣Layer2擴容方案的快速發展，比特幣與其Layer2網路之間的跨鏈資產轉移頻率顯著增加。這一趨勢受到Layer2技術提供的更高可擴展性、更低交易費和高吞吐量的推動。這些進步促進了更高效、更經濟的交易，從而促進比特幣在各種應用中的更廣泛採用和集成。因此，比特幣與Layer2網路之間的互操作性正成爲加密貨幣生態系統的關鍵組成部分，推動創新，並爲用戶提供更多多樣化和強大的金融工具。

比特幣與Layer2之間的跨鏈交易有三個典型方案,分別爲中心化跨鏈交易、BitVM跨鏈橋和跨鏈原子交換。這三個技術在信任假設、安全性、便捷性、交易額度等方面各不相同,能滿足不同的應用需求。

中心化跨鏈交易速度快,撮合過程相對容易,因爲中心化機構可以迅速確認並處理交易。然而,這種方法的安全性完全依賴於中心化機構的可靠性和信譽。如果中心化機構遭遇技術故障、惡意攻擊、違約,則用戶的資金面臨較高的風險。此外,中心化跨鏈交易也可能泄漏用戶隱私,需要用戶在選擇這種方法時慎重考慮。

BitVM跨鏈橋技術相對復雜。首先,在Peg-in階段,用戶將比特幣支付給BitVM聯盟控制的多簽地址,實現比特幣鎖定。在Layer2鑄造出對應數量的通證,並用該通證實現Layer2交易與應用。當用戶銷毀Layer2通證時,由Operator墊付。隨後,Operator到BitVM聯盟控制的多籤池子中報銷對應數量的比特幣。爲防止Operator作惡,報銷過程採用樂觀挑戰機制,即任意第三方均可對惡意報銷行爲發起挑戰,挫敗作惡行爲。該技術引入了樂觀挑戰機制,所以技術相對復雜。此外,樂觀挑戰機制涉及大量的挑戰與響應交易,交易費較高。因此,BitVM跨鏈橋僅適用於超大額交易,類似於U的增發,從而使用頻率較低。

跨鏈原子交換是一種實現去中心化加密貨幣交易的合約。在這種情況下,"原子"意味着一種資產所有權的變更實際上意味着另一種資產所有權的變更。該概念於2013年由TierNolan在Bitcointalk論壇上首次提出。4年來,原子交換一直停留在理論領域。直到2017年,Decred和Litecoin成爲第一個成功完成原子交換的區塊鏈系統。

原子交換必須涉及兩方,而任何第三方不能中斷或幹擾交換過程。這意味着該技術是去中心化的、不受審查、具有較好的隱私保護、能實現高頻跨鏈交易,從而在去中心化交易所中廣泛應用。

當前,跨鏈原子交換需要4筆交易,一些方案嘗試將交易筆數壓縮爲2筆,但會增加對交換雙方的實時在線要求等。跨鏈原子交換技術主要包括哈希時間鎖和適配器籤名。

基於哈希時間鎖(HTLC)的跨鏈原子交換允許兩個用戶進行有時間限制的加密貨幣交易,即接收者必須在規定時間內向合約提交加密證明("祕密"),否則資金將退還給發送者。如果接收者確認付款,則交易成功。因此,要求參與的兩個區塊鏈都具有"哈希鎖"和"時間鎖"功能。

雖然HTLC原子交換是去中心化交換技術領域的重大突破,但存在隱私泄漏問題。每次交換時,兩個區塊鏈上都會出現相同的哈希值,且僅相隔幾個區塊。這意味着觀察者可以將參與交換的貨幣聯繫起來,即在彼此靠近的區塊中找到相同的哈希值。當跨鏈追蹤貨幣時,很容易確定來源。盡管這種分析不會揭示任何相關的身分數據,但第三方可以輕而易舉地推斷出所涉及的參與者的身分。

基於適配器籤名的跨鏈原子交換由Monero開發人員Joël Gugger在2020年提出,基於Lloyd Fournier 2019年論文One-Time Verifiably Encrypted Signatures, A.K.A. Adaptor Signatures的一種實現。適配器籤名是一種附加籤名,其與初始籤名相結合以顯示祕密數據,使雙方能夠同時向對方透露兩部分數據,並且是使Monero原子交換成爲可能的scriptless協議的關鍵組成部分。

與HTLC原子交換相比,基於適配器籤名的原子交換有3個優勢:首先,適配器籤名交換方案取代了"祕密哈希"交換所依賴的鏈上腳本,包括時間鎖和哈希鎖。其次,由於不涉及這樣的腳本,鏈上佔用空間減少,使得基於適配器籤名的原子交換更輕量,費用更低。最後,HTLC要求每條鏈使用相同的哈希值,而適配器籤名的原子交換中涉及的交易無法連結,實現隱私保護。

Schnorr/ECDSA適配器籤名的預籤名均對隨機數r進行承諾。如果隨機數泄漏,則會導致私鑰泄漏。此外,對任意兩個跨鏈交易,如果適配器籤名協議使用相同的隨機數,也會導致私鑰泄漏。因此,應使用RFC 6979解決隨機數重用問題。

RFC 6979指定了一種使用DSA和ECDSA生成確定性數字籤名的方法,解決了與生成隨機值k相關的安全問題。具體而言,確定性的k是由HMAC生成的,涉及哈希函數對私鑰、消息和計數器計算哈希值。這確保了k對每條消息都是唯一的,同時對於相同的輸入具有可重現性,並且減少了與弱或受損的隨機數生成器相關的私鑰暴露風險。

在跨鏈場景下,需要考慮UTXO與帳戶模型系統異構問題。比特幣採用UTXO模型,基於Secp256k1曲線實現原生的ECDSA籤名。而EVM兼容鏈採用帳戶模型,支持原生的ECDSA籤名。基於適配器籤名的跨鏈原子交換與以太坊不兼容,因爲以太坊是帳戶模型的,而不是UTXO模型。具體而言,基於適配器籤名的原子交換中要求退款交易必須預先籤名。但是,在以太坊系統中,如果不知道nonce,則無法預先籤名交易。

此外,從隱私角度來看,這意味着帳戶模型鏈上的swap匿名性比HTLC更優(swap的雙方都可找到合約)。但是,由於需要一方有公開合約,使得帳戶模型鏈swap的匿名性低於適配器籤名的匿名性。在沒有合約的一方,swap交易看起來與任何其他交易都一樣。但是,在有EVM合約的一方,交易明顯是爲了資產swap。雖然一方有公開合約,但即使使用復雜的鏈分析工具,也不可能將其追溯到另一條鏈。

如果兩條鏈使用相同曲線但不同籤名算法,例如一條鏈使用Schnorr籤名而另一條鏈使用ECDSA,適配器籤名是可證明安全的。但是,如果兩條鏈使用不同曲線,則不能使用適配器籤名,因爲橢圓曲線羣的階不同,即模系數不同,導致在不同曲線上使用相同的適配值是不安全的。

適配器籤名還可以用於實現非交互式數字資產托管。該方案包括買方Alice、賣方Bob和托管方三個參與者。使用適配器籤名能夠實現非交互式門限數字資產托管,且在無需交互的情況下實例化門限支出策略的子集。托管方不能簽署任意交易,而只向支持的其中一方發送祕密。

具體實現過程包括創建未籤名funding交易、交換適配器籤名、驗證密文有效性、處理爭議等步驟。如果無爭議,則Alice和Bob可按其所想來花費2-of-2 MuSig output。如果存在爭議,則任何一方均可聯繫托管方,並請求其adaptor secret。

在實現過程中,需要使用可驗證加密技術。目前有兩種有前景的方式來基於Secp256k1離散對數做可驗證加密,分別爲Purify和Juggling。Purify基於零知識證明實現,而Juggling採用分片和範圍證明的方法。兩種方案在proof size、證明時長和驗證時長方面差距很小,但Juggling在理論上更爲簡單。

總的來說,適配器籤名爲跨鏈原子交換提供了一種更安全、更私密的方案。但在實際應用中,還需要考慮不同區塊鏈模型、籤名算法、橢圓曲線等因素的影響,並結合具體場景選擇合適的實現方式。隨着技術的不斷發展,適配器籤名有望在跨鏈交易、資產托管等領域發揮更大的作用。