BTC 生態(tài)擴容方案巡禮：BitVM，蝕刻的藝術(shù)

比特幣網(wǎng)絡(luò)上智能合約是如何實現(xiàn)的？

撰文：Simon shieh

前言回顧

上一篇《BTC 生態(tài)擴容方案巡禮：銘文何去何從》中，我們討論了熱門的銘文生態(tài)的技術(shù)原理和可能存在的安全問題，并且提到了用遞歸銘文來實現(xiàn)智能合約的可能性。但是因為 Luke 對 Taproot 腳本的限制，遞歸銘文似乎有了一些障礙，那在比特幣網(wǎng)絡(luò)上實現(xiàn)智能合約有沒有其他的可能性呢？

區(qū)塊鏈開發(fā)商 ZeroSync 的聯(lián)合創(chuàng)始人 Robin Linus，在 2023 年 10 月 9 日發(fā)表了一篇名為「BitVM：在比特幣上進行所有運算（BitVM：Compute Anything on Bitcoin）」的論文，其中提出了一個計劃，旨在將智能合約引入比特幣區(qū)塊鏈。

該論文提出了一個非常有趣的思路，可以用 taproot 完成幾乎所有的任意計算，并使用這些計算來驗證在比特幣鏈下發(fā)生的事情。其中的訣竅是，將所有的邏輯都放在鏈下，并在其他人斷言了不誠實的結(jié)果時，在鏈上用少數(shù)幾步計算來挑戰(zhàn)這些結(jié)果。

換句話說，就是將一個 Verifier 的邏輯放在比特幣網(wǎng)絡(luò)中，利用比特幣的強共識安全，成為任何圖靈完備運算層的可信第三方，再用 Optimistic Rollups 的原理，來實現(xiàn)鏈外計算結(jié)果的驗證。

那么怎么實現(xiàn)將一段 Verifier 的邏輯放在比特幣網(wǎng)絡(luò)中呢？為了和上一節(jié)的「銘刻」相呼應(yīng)，我愿稱之為在比特幣網(wǎng)絡(luò)上進行電路「蝕刻」的技術(shù)。

邏輯門電路

在你的電腦或手機內(nèi)部，電流通過傳遞一系列的 1 和 0 來實現(xiàn)計算機的所有功能。這是通過數(shù)以百萬計的微小組件——邏輯門（logic gates）——來實現(xiàn)的。這些邏輯門是構(gòu)成計算機芯片的基本元素。

每個邏輯門都會接收一個或兩個「比特（bit）」的信息，每個比特要么是 1，要么是 0。然后，邏輯門根據(jù)設(shè)定的規(guī)則執(zhí)行一個簡單的邏輯運算，如「與（AND）」、「或（OR）」或「非（NOT）」等操作。這些運算產(chǎn)生的結(jié)果同樣是一個比特，也是 1 或 0。完成運算后，這個結(jié)果又被傳遞到下一個邏輯門。

這種基于簡單邏輯運算的系統(tǒng)產(chǎn)生了啟示：即使是最復(fù)雜的計算和功能，也都可以通過組合大量簡單的邏輯運算來實現(xiàn)。這種邏輯門的組合和協(xié)作是現(xiàn)代計算機和電子設(shè)備能夠執(zhí)行復(fù)雜任務(wù)的基礎(chǔ)。通過這些基本的邏輯操作，電腦能夠處理復(fù)雜的算術(shù)運算、數(shù)據(jù)存儲、圖像渲染等功能。

下圖是一個非常特殊的邏輯門，叫做「與非門」（NAND gate），它可以構(gòu)造任意類型邏輯門電路，當(dāng)然，它不可能有其它專用類型的門那么高效，但還是能做到的。BitVM 的邏輯門電路就由與非門組成。

比特幣上如何蝕刻與非門

在現(xiàn)有的比特幣腳本上構(gòu)造與非門（NAND gate）可以通過結(jié)合哈希鎖和兩個可能不太為人所熟知的操作碼：OP_BOOLAND 和 OP_NOT 來實現(xiàn)。

首先，哈希鎖可以用來創(chuàng)建一個分支腳本，這個腳本可以通過兩種方式中的一種來花費：要么滿足哈希鎖，要么滿足哈希鎖 B。這樣，路徑 A 將 1 輸出到堆棧，而路徑 B 將 0 輸出到堆棧。

通過滿足特定哈希鎖，你可以「解鎖」一個比特，這個比特作為我們要構(gòu)造的 NAND 門的輸入之一。由于你只能滿足其中一個路徑的要求，所以這種方法只允許用戶一次提交一個比特。

與非門的邏輯是接收兩個比特作為輸入，輸出一個比特。如果兩個輸入比特都是 1，則輸出 0；如果輸入是其他組合，則輸出 1。使用兩個哈希鎖技巧，可以提交這兩個輸入，并驗證輸出是否正確，這就是 OP_BOOLAND 和 OP_NOT 的用途所在。

OP_BOOLAND 的操作與與非門相反：如果兩個輸入都是 1，則輸出 1；任何其他輸入組合都會產(chǎn)生 0。OP_NOT 則輸出與輸入相反的值。因此，通過結(jié)合使用這兩個操作碼，可以在腳本堆棧中取兩個輸入并進行反和操作。最后，可以使用 OP_EQUALVERIFY 以及哈希鎖技巧來驗證斷言的輸出。如果堆棧中實際的與非操作結(jié)果與用戶斷言的輸出不一致，腳本就無法通過驗證。

這樣，就在比特幣腳本中「蝕刻」了與非門電路，實際上是通過比特幣腳本來強制執(zhí)行虛擬的與非門操作。

如何蝕刻大規(guī)模電路

雖然這個利用 Taproot 腳本實現(xiàn)電路蝕刻的想法很酷，但是別說像 PC 那種超大規(guī)模電路了，就是要實現(xiàn)任意一組計算，都需要成千上萬的與非門電路，那在比特幣有限的 Taproot 腳本空間里，如何覆蓋復(fù)雜計算呢？

BitVM 提出了 Taproot 腳本樹（Taproot Tree）的方法。為了在比特幣腳本中實現(xiàn)復(fù)雜的計算過程，人們可以通過串聯(lián)邏輯門來構(gòu)建計算電路。在這個方案中，哈希鎖被用來綁定各個門，從而實現(xiàn)順序執(zhí)行的邏輯操作。具體來說，如果一個門的腳本根據(jù)不同的哈希原像（哈希明文值）輸入產(chǎn)生不同的輸出結(jié)果 C1 或 C2，那么下一個門會使用與之相匹配的哈希鎖值作為其輸入。

這種方法可以實現(xiàn)一種懲罰機制，即如果試圖謊報前一個門的結(jié)果，就只能揭曉另一個哈希鎖的原像。這種機制可以用于兩個用戶之間的交互式計算，其中他們預(yù)先同意參與特定的計算任務(wù)，然后將計算過程分解成只由與非門組成的電路。他們需要為電路中的每個門選擇合適的哈希鎖，并將其編碼進鎖定 UTXO 的腳本樹中。

然后通過多個地址組成一個 Taproot 地址矩陣，再通過 Taproot Tree 的方式將邏輯電路蝕刻到一系列樹狀結(jié)構(gòu)相連的 UTXO 交易的 Taproot 腳本中，最終形成一個可以處理一定計算任務(wù)的「類合約」邏輯電路。

欺詐挑戰(zhàn)

欺詐挑戰(zhàn)是 OP（Optimism Rollup）技術(shù)的核心（雖然至今都沒有真的實現(xiàn)~），思想是在一個 batch 的交易被批量提交之前，挑戰(zhàn)者對認為有錯的交易發(fā)起欺詐挑戰(zhàn)（質(zhì)押對賭），主網(wǎng)上的 Verifier 合約會根據(jù)狀態(tài)根在執(zhí)行后的變化來判斷提交者是否作惡，然后分配雙方質(zhì)押的資產(chǎn)。

而在 bitVM 中，腳本樹被設(shè)計成兩個電路，除了允許證明者提交到一個電路之外，還需要挑戰(zhàn)者能夠挑戰(zhàn)證明者的聲明。這可以通過預(yù)簽名一系列的交易來實現(xiàn)。這些預(yù)簽名交易通過「挑戰(zhàn) ->應(yīng)答 ->挑戰(zhàn) ->…」的方式連接。如果某一方停止一段時間后，另外一方就會贏得挑戰(zhàn)并回收雙方的存款。

上圖展示了一系列預(yù)先簽名的交易：

• 挑戰(zhàn)：Vicky （挑戰(zhàn)者 / 驗證者）在腳本路徑中釋放一個原像（這些原像只有挑戰(zhàn)者知道），用作對證明的挑戰(zhàn)；
• 應(yīng)答：Paul （證明者）執(zhí)行對應(yīng)的邏輯門，將資金發(fā)回初始的腳本中；

在幾輪的查詢后可以迅速駁斥任何一個不一致的聲明。如果證明者停止在鏈下與挑戰(zhàn)者合作，挑戰(zhàn)者就會強制證明者在鏈上合作：挑戰(zhàn)者每解鎖一個哈希鎖，使得證明者的 UTXO 中的每個 NAND 門對應(yīng)的 Taproot 葉子節(jié)點只有在證明者知道挑戰(zhàn)者持有的一個原像時才可以被花費。證明者可以通過揭示其輸入和輸出來證明給定的 Taproot 葉子節(jié)點執(zhí)行正確。其前提是挑戰(zhàn)者通過揭露對應(yīng) Tapleaf 的哈希的原像來解鎖它，通過二分查找的方式，挑戰(zhàn)者可以在經(jīng)過有限輪 (O(logn)）的挑戰(zhàn)和應(yīng)答后鎖定證明者的錯誤。

整個過程涉及到多輪交互，以確保合約能夠正確結(jié)算。挑戰(zhàn)者可以不斷挑戰(zhàn)證明者，直到證明者證實了每個門的正確結(jié)果，或者在證明者無法響應(yīng)挑戰(zhàn)的情況下，挑戰(zhàn)者可以在特定時間后提取資金。在理想情況下，所有操作都在鏈下進行，雙方協(xié)作完成結(jié)算，但如果合作破裂，雙方可以通過鏈上的挑戰(zhàn)游戲來確保合約得到正確的解決。

落地障礙與安全性問題

這項提議涉及處理和生成的數(shù)據(jù)量極其龐大。使用的 Taproot 腳本樹可能包含數(shù)十億個葉子節(jié)點，而相關(guān)的預(yù)先簽名交易的處理時間可能至少需要幾個小時，以確保準確的結(jié)算。每個 Taproot 地址的預(yù)設(shè)解鎖條件執(zhí)行都需支付礦工費，因此地址組合越多，成本也越大。

這種方案的一個主要限制在于，它只適用于兩個參與者之間的交互：一個作為證明者，證明其執(zhí)行的準確性；另一個作為驗證者，挑戰(zhàn)前者的聲明。雖然未來的研究可能會找到方法讓更多參與者加入，但目前看來還沒有明確的解決方案。

在合作結(jié)算的場景中，所有參與者必須在線，這對于協(xié)議的實用性和便利性構(gòu)成了一定的限制。

在安全性方面，主要有以下幾點安全風(fēng)險：

1、由于成本的限制，必然大量的計算工作要放在鏈下進行，鏈下計算就存在中心化服務(wù)的一些常見安全風(fēng)險。

2、大量數(shù)據(jù)保存在鏈下，數(shù)據(jù)可用性和數(shù)據(jù)安全性也是必須要考慮的風(fēng)險點

3、對于所蝕刻的電路本身是否存在邏輯漏洞也是一個安全風(fēng)險點，由于電路的不易讀性，需要付出更多的審計成本或形式化驗證成本。

Metatrust 曾經(jīng)協(xié)助 Uniswap 進行了全面的形式化驗證工作，并在 ZK 電路審計和形式化驗證方面有非常豐富的經(jīng)驗，可以為 BitVM 生態(tài)的安全落地，提供保障。

上兩篇的方案都是今年剛火熱起來的技術(shù)方案，下一篇，我們將介紹一個更加古老，更加具備「正統(tǒng)性」的方案，閃電網(wǎng)絡(luò)的升級版本——Taproott Assets。