适配器签名及其在跨链原子交换中的应用

随着比特币Layer2扩容方案的快速发展，比特币与其Layer2网络之间的跨链资产转移频率显著增加。这一趋势受到Layer2技术提供的更高可扩展性、更低交易费和高吞吐量的推动。这些进步促进了更高效、更经济的交易，从而促进比特币在各种应用中的更广泛采用和集成。因此，比特币与Layer2网络之间的互操作性正成为加密货币生态系统的关键组成部分，推动创新，并为用户提供更多多样化和强大的金融工具。

比特币与Layer2之间的跨链交易有三个典型方案,分别为中心化跨链交易、BitVM跨链桥和跨链原子交换。这三个技术在信任假设、安全性、便捷性、交易额度等方面各不相同,能满足不同的应用需求。

中心化跨链交易速度快,撮合过程相对容易,因为中心化机构可以迅速确认并处理交易。然而,这种方法的安全性完全依赖于中心化机构的可靠性和信誉。如果中心化机构遭遇技术故障、恶意攻击、违约,则用户的资金面临较高的风险。此外,中心化跨链交易也可能泄漏用户隐私,需要用户在选择这种方法时慎重考虑。

BitVM跨链桥技术相对复杂。首先,在Peg-in阶段,用户将比特币支付给BitVM联盟控制的多签地址,实现比特币锁定。在Layer2铸造出对应数量的通证,并用该通证实现Layer2交易与应用。当用户销毁Layer2通证时,由Operator垫付。随后,Operator到BitVM联盟控制的多签池子中报销对应数量的比特币。为防止Operator作恶,报销过程采用乐观挑战机制,即任意第三方均可对恶意报销行为发起挑战,挫败作恶行为。该技术引入了乐观挑战机制,所以技术相对复杂。此外,乐观挑战机制涉及大量的挑战与响应交易,交易费较高。因此,BitVM跨链桥仅适用于超大额交易,类似于U的增发,从而使用频率较低。

跨链原子交换是一种实现去中心化加密货币交易的合约。在这种情况下,"原子"意味着一种资产所有权的变更实际上意味着另一种资产所有权的变更。该概念于2013年由TierNolan在Bitcointalk论坛上首次提出。4年来,原子交换一直停留在理论领域。直到2017年,Decred和Litecoin成为第一个成功完成原子交换的区块链系统。

原子交换必须涉及两方,而任何第三方不能中断或干扰交换过程。这意味着该技术是去中心化的、不受审查、具有较好的隐私保护、能实现高频跨链交易,从而在去中心化交易所中广泛应用。

当前,跨链原子交换需要4笔交易,一些方案尝试将交易笔数压缩为2笔,但会增加对交换双方的实时在线要求等。跨链原子交换技术主要包括哈希时间锁和适配器签名。

基于哈希时间锁(HTLC)的跨链原子交换允许两个用户进行有时间限制的加密货币交易,即接收者必须在规定时间内向合约提交加密证明("秘密"),否则资金将退还给发送者。如果接收者确认付款,则交易成功。因此,要求参与的两个区块链都具有"哈希锁"和"时间锁"功能。

虽然HTLC原子交换是去中心化交换技术领域的重大突破,但存在隐私泄漏问题。每次交换时,两个区块链上都会出现相同的哈希值,且仅相隔几个区块。这意味着观察者可以将参与交换的货币联系起来,即在彼此靠近的区块中找到相同的哈希值。当跨链追踪货币时,很容易确定来源。尽管这种分析不会揭示任何相关的身份数据,但第三方可以轻而易举地推断出所涉及的参与者的身份。

基于适配器签名的跨链原子交换由Monero开发人员Joël Gugger在2020年提出,基于Lloyd Fournier 2019年论文One-Time Verifiably Encrypted Signatures, A.K.A. Adaptor Signatures的一种实现。适配器签名是一种附加签名,其与初始签名相结合以显示秘密数据,使双方能够同时向对方透露两部分数据,并且是使Monero原子交换成为可能的scriptless协议的关键组成部分。

与HTLC原子交换相比,基于适配器签名的原子交换有3个优势:首先,适配器签名交换方案取代了"秘密哈希"交换所依赖的链上脚本,包括时间锁和哈希锁。其次,由于不涉及这样的脚本,链上占用空间减少,使得基于适配器签名的原子交换更轻量,费用更低。最后,HTLC要求每条链使用相同的哈希值,而适配器签名的原子交换中涉及的交易无法链接,实现隐私保护。

Schnorr/ECDSA适配器签名的预签名均对随机数r进行承诺。如果随机数泄漏,则会导致私钥泄漏。此外,对任意两个跨链交易,如果适配器签名协议使用相同的随机数,也会导致私钥泄漏。因此,应使用RFC 6979解决随机数重用问题。

RFC 6979指定了一种使用DSA和ECDSA生成确定性数字签名的方法,解决了与生成随机值k相关的安全问题。具体而言,确定性的k是由HMAC生成的,涉及哈希函数对私钥、消息和计数器计算哈希值。这确保了k对每条消息都是唯一的,同时对于相同的输入具有可重现性,并且减少了与弱或受损的随机数生成器相关的私钥暴露风险。

在跨链场景下,需要考虑UTXO与账户模型系统异构问题。比特币采用UTXO模型,基于Secp256k1曲线实现原生的ECDSA签名。而EVM兼容链采用账户模型,支持原生的ECDSA签名。基于适配器签名的跨链原子交换与以太坊不兼容,因为以太坊是账户模型的,而不是UTXO模型。具体而言,基于适配器签名的原子交换中要求退款交易必须预先签名。但是,在以太坊系统中,如果不知道nonce,则无法预先签名交易。

此外,从隐私角度来看,这意味着账户模型链上的swap匿名性比HTLC更优(swap的双方都可找到合约)。但是,由于需要一方有公开合约,使得账户模型链swap的匿名性低于适配器签名的匿名性。在没有合约的一方,swap交易看起来与任何其他交易都一样。但是,在有EVM合约的一方,交易明显是为了资产swap。虽然一方有公开合约,但即使使用复杂的链分析工具,也不可能将其追溯到另一条链。

如果两条链使用相同曲线但不同签名算法,例如一条链使用Schnorr签名而另一条链使用ECDSA,适配器签名是可证明安全的。但是,如果两条链使用不同曲线,则不能使用适配器签名,因为椭圆曲线群的阶不同,即模系数不同,导致在不同曲线上使用相同的适配值是不安全的。

适配器签名还可以用于实现非交互式数字资产托管。该方案包括买方Alice、卖方Bob和托管方三个参与者。使用适配器签名能够实现非交互式门限数字资产托管,且在无需交互的情况下实例化门限支出策略的子集。托管方不能签署任意交易,而只向支持的其中一方发送秘密。

具体实现过程包括创建未签名funding交易、交换适配器签名、验证密文有效性、处理争议等步骤。如果无争议,则Alice和Bob可按其所想来花费2-of-2 MuSig output。如果存在争议,则任何一方均可联系托管方,并请求其adaptor secret。

在实现过程中,需要使用可验证加密技术。目前有两种有前景的方式来基于Secp256k1离散对数做可验证加密,分别为Purify和Juggling。Purify基于零知识证明实现,而Juggling采用分片和范围证明的方法。两种方案在proof size、证明时长和验证时长方面差距很小,但Juggling在理论上更为简单。

总的来说,适配器签名为跨链原子交换提供了一种更安全、更私密的方案。但在实际应用中,还需要考虑不同区块链模型、签名算法、椭圆曲线等因素的影响,并结合具体场景选择合适的实现方式。随着技术的不断发展,适配器签名有望在跨链交易、资产托管等领域发挥更大的作用。