jakiro
著者:Janos Nick、Blockstream
編集:Bai Ding&
まとめ:この記事は簡潔ですが、BitcoinがZK検証機能をサポートする方法を指摘しています。記事には比較的明確な視点があります。
ビットコイン契約にZKを導入することは避けられない傾向です。1つは、BitcoinスクリプトがSnarkの検証を直接サポートすることです。データ。
>
文章:ビットコインをより深く理解するために、私たちはそれを社会システムとしてよりよく扱います。ビットコインが早期に発売されたとき、開発者は、ビットコインノードが実行する必要があるというソフトウェアプログラムを決定しました。ビットコインのソーシャルシステムが安定して動作できる理由は、誰もが「ビットコインの本質とは何か」と「何があるべきか」、その他の重要な問題についてコンセンサスを持っているからです。もちろん、コンセンサスの達成は簡単ではありません。
>
これは、ビットコインの歴史的な源にまでさかのぼることができます。中学校のベンコンがビットコインホワイトブックをリリースしたとき、「私は新しい電子支払いシステムを勉強しています。このシステムは完全にP2Pであり、サードパーティに依存する必要はありません」と言いました。この段落は、パスワードパンクメールのリスト(1992年に設立された電子メールディスカッショングループで、プライバシー保護と暗号化技術に焦点を当てた暗号学者と技術愛好家のグループで構成されています)に掲載されています。
ただし、ビットコインは製品設計レベルでデータスループットを制限します。ユニット時間中に処理できるトランザクションの数が制限されています。装飾が半分になった後、2024年にビットコインネットワークで最高のハンドリング料金を伴う1回の取引が掲載された後、チェーンの優先順位の中程度の取引料は150ドルに達しました。ビットコインネットワークの高価な取引手数料が問題になっていると言えます。
取引手数料の問題を解決するために、人々はLightningネットワークの開発に多くのリソースを投資しています。ただし、2016年に公開された論文によると、Lightningネットワークは実際に数千万人のユーザーしかサポートできず、グローバルな支払いシステムのビジョンを実現することはできません。
取引手数料に加えて高すぎると、別の問題があります。ビットコインは、彼のビジョンで達成したい匿名性を常に達成することができませんでした。中本は、パスワードパンクの電子メールディスカッショングループで、ビットコインにはプライバシー保護機能があり、トランザクションのスポンサーは完全に匿名であると指摘しました。ただし、取引イニシエーターはKYCを必要としませんが、ビットコインチェーンのトランザクションデータは多くの情報を漏らし、ユーザーのプライバシーを大部分公開します。
プライバシー機能を備えた一部のウォレットクライアントは、上記の問題をある程度解決しましたが、これらのウォレットクライアントの開発者は大小の脅威に直面しています。たとえば、Samourai Coinjoinウォレットの開発者は2024年4月にFBIに逮捕され、1週間後、Wasabi Walletの開発者はコイン監督調整されたコンポーネントを閉鎖しました。明らかに、これらのSO -CALLEDプライバシーウォレットは、ユーザーの信頼に完全に値するものではありません。
要約すると、ビットコインの概念の多くは今日はかなり実現されており、関連するテクノロジーはまだ発展しています。それでも、ビットコインコミュニティの多くの人々は、ビットコインの契約設計は変わらないはずだと考えていますが、多くの人々は私のようなビットコインを改善することに情熱を傾けています。それで、ビットコインはどの方向を改善すべきですか?
>
上記の問題については、ビットコインコミュニティには多くの提案があります。ZKとSnarksで、次の機能を達成できます。
1.プライバシーの大幅な改善:同じピーターソンを使用して、ユーザーのプライバシーを大幅に改善することを約束します。 zcashなど)。
2。トランザクションスループットを改善します
-
スタックと等しいチェックを回復させることができます(均等式を使用して、トランザクションのセキュリティと有効性を確保するために特定の条件が満たされているかどうかを確認します)。
-
32桁、つまり加算と減算で限られた算術操作を実行できます。
-
データを使用することができ、ECDSAとSchnorrの署名を確認できます。
-
サイクル、ジャンプ、再帰、つまり、完全に測定されていないことはありません。プログラミング能力は非常に限られています。
-
位置で実行することはできません。
-
乗算方法の動作コードの不足。
-
スタック上の要素を接続できません。
-
チェーン上のトランザクションデータを読み取り、確認する能力はほとんどありません。ビットコインスクリプトは各トランザクションの量に直接アクセスできず、ステータスを渡す方法はありません(UTXOは1回で使用され、各転送は古い世代を破壊します)。
実際、ビットコインに存在する問題を解決するための多くの技術的手段がありますが、なぜこれらのテクノロジーが今日までビットコイン契約に追加されなかったのですか?これは、ビットコイン契約を変更するのが難しいためです。ビットコインのエコシステムには、コミュニティが高度なコンセンサスとバランスをとることが必要です。したがって、Ethereumとは異なり、EVM運用コードは毎年更新され、ビットコイン契約は設立以来ほとんど変更されていません。
実際、ビットコイン契約を簡単に変更できれば、ある程度変更することは良いことです。これは問題につながります:ビットコインプロトコルの設計がない場合、ビットコインのパフォーマンスを改善できることはどうなりますか?
>
この質問に答えるには、最初にビットコインに関する知識を確認する必要があります。ビットコインを他の人に転送したい場合は、最初にトランザクションを作成し、ビットコインネットワークにブロードキャストする必要があります。トランザクションの出力データは、転送のBTCの量を説明し、BTCレシーバーは、受信したBTCを費やすために新しいトランザクションを作成できます。それ以来、この新しいトランザクションは新しい出力データを生成し、他の人にBTCを送信します。
ここでは、ビットコインにはイーサリアムのようなグローバルな状態、特にアカウントのない状態、トランザクション出力データのみがあることに注意する必要があります。各トランザクション出力には2つの状態があります。受信者は費やされているか、費やされていません。使われていないことの出力は、私たちがよく知っているUTXOです。
確かに、関連するBTCを除き、各トランザクション出力には追加のプログラムがあり、これはビットコインスクリプトと呼ばれる言語で記述されています。このプログラムの証人の正しい証明を示すことができる人は、トランザクション出力(UTXO)を使うことができます。ビットコインスクリプト自体は、一連の動作コードを含むスタックベースのプログラミング言語です。
ビットコインの開始以来存在していた一般的なビットコインスクリプトには多くの種類があります。たとえば、ビットコインで最も一般的なスクリプトプログラムは、公開キーの操作コード+デジタル署名のチェックで構成されています。操作コードは、特定のUTXOを表示/ロック解除する必要があることを規定しており、対応する公開キーの番号署名を表示する必要があります。
推奨読書:「BITVM(1)を理解するための背景知識」(1)」(1)」
>
ここでは、ビットコインスクリプトの関数を要約します。ビットコインスクリプトは最初に何ができますか?
ビットコインスクリプトは何ができませんか?
ビットコインの初期バージョンでは、上記のスクリプトのいくつかは実行できませんでしたが、実際には実行できましたが、いくつかの機能は後に中本によって禁止されました。たとえば、スタック内の2つの要素をマージできるオペレーティングコードは、長い攻撃ビットコインノードに使用して折りたたまれ、OP_CATを無効にします。
それで、ビットコインスクリプトはスナークを検証できますか?理論的には、ビットコインスクリプトは完全ではありませんが、その基本的な操作は、実際に実装できることを検証するのに十分です。検証手順に必要なプログラムサイズは、ビットコイン-4MBの最大ブロック制限を超えるためです。
たぶん、大規模な制限ドメインで算術操作を実行しようとするかもしれませんが、このコストは非常に高く、BITVMによって実装された2つの254ビットの乗算は8kb近くにあります。
そして、OP_CATなしでMerkleの証明を確認するコストも非常に高いです。これは、forループの動作に似ている必要があるためです。
>
それで前の質問に戻る:ビットコイン契約を単に変更して、より強力な操作コードを追加できないのはなぜですか?
前述のように、ビットコインのエコシステムには集中意思決定者がいないため、新しい契約規則に関する過半数のコンセンサスに到達することは困難です。ビットコインスクリプトへの改善提案には多くの異議があります、みんなの位置と角度は異なります。ビットコインネットワークでは、この場合、コミュニティが過半数のコンセンサスを強制的に促進したかどうかを測定する良い方法はありません。
確かに、ビットコインはまったく同じではありません。
>
Taprootのアップグレードは多くのルールを変更し、理論的リリースから本当にアクティブ化されるまで3年半かかりました。Taprootの啓発の重要な要因は、既存のセキュリティの仮定を変更せず、ビットコイン契約を大幅に改善したことです。たとえば、ECDSAの代わりにSchnorrを使用して署名することができます。
さらに、Taprootビットコインの改善は、主に次の3つの部分に分割されています。
まず、TapRootは、多数の選択的ブランチの検証コストを削減します。これにより、ビットコインがより複雑なプログラムをサポートできるようになります。
第二に、チェーンで表示する必要があるスクリプトデータを削減します。葉とマークルの証拠を示すことです。
第三に、Taprootは他のメカニズム設計も追加しました。
>
話す、BitcoinにはTarpootなどの強力な機能を追加する前例があるため、Snarkを検証するために専用の操作コードを追加してみませんか?これは、SO -CALLED OP_SNARKのオペレーティングコードを追加することがTaprootのアップグレードとは大きく異なるためです。
まず第一に、OP_SNARKの多くのデザインのアイデアがあります。これは、ほとんどの人がいくつかの単一のソリューションをサポートできるようにすることは困難です。そのような提案は、すべてのビットコインノードがこの特定のOP_SNARKソリューションをサポートします。
さらに、OP_SNARK自体の複雑さは小さな挑戦ではありません。テストが含まれていない場合、TapRootはコードの約1,600行のみを追加します。
とにかく、OP_SNARK操作コードをアクティブ化する必要があるのは誰ですか?詳細を理解している人がほとんどいないときに、ビットコインのエコシステムでコンセンサスを取得する方法は?これらはすべて問題です。したがってまとめると、OP_SNARKアップグレードは短時間では発生しません。
>
ただし、ビットコインスクリプトでスナークを検証する他の方法があります。よりシンプルな操作コードを追加して、ビットコインスクリプトをより強力にし、スクリプトにスナーク検証プログラムを実装できるようにすることができます。しかし、実際、ビットコインスクリプト言語でスナーク検証プログラムを作成することは非常に困難です。
したがって、Blockstream Researchチームは、ビットコインスクリプトを置き換えるように設計されたプログラミング言語であるSimplicityを開発しています。Simplicityは、ブロックチェーンコンセンサスシステム向けに設計されています。これは、完全かつ完全な分析と正式な検証として意図的に設計されています。
>
以下では、非常にシンプルだが重い提案について説明する必要があります。前述したように、OP_CATはビットコインの元のバージョンに存在しますが、この操作コードは特定の条件下でDOSによって攻撃される可能性があるため、Nakamotoの一部の人々は再び使用したいと考えています。 。
OP_CATの関数は、スタックの上部にポップアップし、それらを接続してからスタックに戻す2つの要素です。これは非常にシンプルに聞こえますが、ビットコインスクリプトに機能的な改善をもたらす可能性があります。
たとえば、ビットコインスクリプトプログラムは、チェーン上のトランザクションの量にアクセスできませんでしたが、OP_CATを使用することもできます。要するに、OP_CATは、基礎となる操作コードレベルのアップグレードであり、多くの人々がOP_CATが達成できる効果を提案しています。
OP_CATは、スクリプトでスナークを検証するのに役立ちますか?答えは助けになります。なぜなら、検証のマークル証明をサポートすることで、金ベースのスナークを検証するのに役立ち、OP_CATはこれをサポートできるからです。過去には、スナークに関与するスクリプトプログラムが大きすぎて、Bit_catにプログラムのサイズを圧縮できません。
OP_CATは過去に長年議論されてきましたが、より多くの人々が取引検査におけるその役割を実現しています。他の提案と比較して、OP_CATの利点は、以前にビットコインスクリプトに存在していたため、コミュニティのコンセンサスに到達するのが簡単であることです。ただし、OP_CATは一部の人々のMEV収入を損なう可能性もあるため、ビットコインコミュニティはまだコンセンサスに達していません。
要約すれば、Bitcoinは、OP_CATなどの単純な操作コードを有効にすることにより、潜在的なパスを持っている可能性があります。また、「Great Script Restraton」と呼ばれる最近の提案があることに言及する価値があります。これにより、乗算操作コードがすべての算術操作コードが任意に動作できるようにすることができます。
>
さらに、OP_CATビットコインネットワークの影響を考慮すると、合格後にビットコインノードのオペレーターへの影響を調べることができます。ビットコインが反レビューと地方分権を持つことを可能にするために、ビットコインコミュニティは、可能な限りノード検証データを実行することを望んでいます。ビットコインがスナーク検証操作をサポートしている場合、ビットコインノードの実行コストは大幅に増加しません。これは、ビットコインのセキュリティと抵抗にあまり有害ではありません。
現在、ビットコインブロックには、最大4 MBのデータが含まれています。現在、各ブロックには最大80kの署名検証が含まれており、2020年版のIntel CPU検証は平均3.2秒を消費しています。もちろん、ブロック検証の速度に影響を与えるのは、署名検証が時間を費やすだけではありません。
さらに、ビットコイントランザクションが将来ZKをサポートしている場合、トランザクションの生成時間が延長されたとしても、それは有害ではないようです。長期のストレージ資産のハードウェアウォレットの場合、それらはしばしば画面を持ち、その機能はキーを保存して署名を生成することです。ハードウェアウォレットのCPUは、240MHzのデュアルCORE CPUや特定のメモリなど、一般的に弱いです。これは、ビットコイントランザクションに署名するときに非常に迅速に応答します。
>
私は小さな調査を行い、ユーザーが最も長い遅延を受け入れることができることをユーザーに尋ねました。したがって、ZKをビットコイントランザクションに導入すると、それほど問題はないようです。
ビットコインの基礎となるデザインを変更する方法について議論するために多くのスペースを費やしていますが、実際にはビットコインを変更せずに達成できるアプリケーションシナリオがたくさんあります。ここでは、ZKを組み合わせてブロックハッシュの有効性を証明するBITVM -Chain状態証明に関連するアプリケーションを強調したいと思います。
>
この技術をビットコインにもたらした変更は何ですか?初め、チェーン状態の証明により、ビットコインカレンダーデータの同期と検証ワークロードを圧縮することができます。これにより、ノードの実行コストが大幅に削減されます。現在、作成ブロックから同期し、ハードウェアの最新のビットコインブロックを検証するのに5時間かかります。第二に、チェーン状態は、BITVMで使用できる重要な部分であり、BITVMの実装を促進します。
Zerosyncチームは、チェーン状態の証明に関する詳細な研究で実施し、ZKと組み合わせたより軽い「ヘッダーチェーンプルーフ」を作成しました。 “” “”、ビットコインの歴史に850,000ブロックヘッドをすべて含め、各ブロックヘッドに80バイトを生成します。
このスキームでは、各ビットコインブロックヘッドのデュアルSHA-256計算が必要で、対応するPOW証明書を確認します。Zerosyncは、Starksを使用して、証明を生成するコストは約4,000ドルです。
>
ただし、検証プロセスにはブロック内のトランザクションコンテンツのコンテンツが含まれていないため、ヘッダーチェーンプルーフは、最もPOW認定を持つブロックチェーンが有効であると想定でき、ビットコインクライアントの最新ブロックはデフォルトでこのチェーンを同期させます。 。このシナリオでは、攻撃者は無効なトランザクションを含むブロックを作成し、ブロックの後にブロックを追加し、ヘッダーチェーンプルーフを生成して、ビットコインクライアントに同期的な履歴データを盲目にすることができますが、コストはコストの場合に行われます。非常に高価で、既存のビットコインフルノードクライアントによって直接露出されます。
>
ただし、この攻撃シナリオの成功率は非常に低いですが、攻撃者が膨大な量のBTCを盗むことができれば、ヘッダーチェーンプルーフは完全な装備の解決策として認識できません。完全なチェーンを証明したい場合は、SECP256K1楕円曲線ECDSAやSchnorrの署名検証など、ビットコインブロックのすべての内容が効果的であることを直接証明する必要があります。
ビットコインには、毎月の歴史的なブロックに3,000万の署名が含まれています。このように、ビットコインネットワークによって生成されたブロックデータは月額約7GBであり、すべての履歴データは650GBを超えています。実際の状況では、この数は2〜3倍になる場合があります。
>
それでは、BitVMをもう一度見てみましょう。BITVMは、ビットコインがスナークの検証を実装するためにプロトコルを変更する必要のない最良のパスを確認できます。BITVMは、2つのテクノロジーを使用して、ビットコインブロックのサイズの制限をバイパスします。まず、Taproot Merkletreeのスクリプト構造を使用します。
第二に、単一のスクリプトでアクセスできるKVストレージスキームを有効にして、スーパースクリプトプログラムに接続できるようにします。ただし、ビットコイン契約は、上記のKVストレージスキームの完全性を強制しません。BITVMは、詐欺の証明を介して悪意のあるプロバーをチェックする必要があります。 。
>
要約すると、ビットコインはこれらの問題を解決するためにさまざまな解決策を提起していますまた、ビットコインは分散型で安全であることを意味します。
ビットコインコミュニティの多くの人々は、Snark/Starkの可能性に興奮しています。中期と長期にスナーク検証を実装するための最も実行可能な方法はBITVMですが、実際に役割を果たすには、より多くのR&D投資が必要です。
また、OP_CAT運用コードを復活させることも考えていますが、操作コードの再起動の収入はリスク以上のものである必要があり、ビットコインスクリプトでスナークを検証する簡単なコードを許可したり、OP_CAT関数に類似したシナリオを調査したりすることができます。達成することができますどの計画が選択されていても、ビットコインコミュニティの究極の目的は、製品を実用的にし、より多くのシーンをサポートすることでなければなりません。
オリジナルリンク:https://www.youtube.com/watch?
