Ark:一种另类的隐私保护型二层方案

fffmCQ.jpg

作者:Burak Keceli

来源:https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2023-May/021694.html

各位好:

我非常高兴能够公开一种我开发了几个月的二层协议,称为 “Ark”。

Ark 是一种另类的二层扩展方案,协议的用户可以不受流动性限制地发送和接收资金。这意味着,接收者无需引导进入的设置,就可以得到支付(相比之下,在闪电网络中,接收者需要先获得入账流动性)。Ark 的链上足迹也比闪电通道要小几个数量级,因为没有开启和关闭通道的概念。

Ark 有一组链下的 UTXO,这些 UTXO 叫做 “虚拟 UTXO”,缩写是 “vTXO”。虚拟 UTXO 就像是带有过期时间的票据;在创造出来的 4 个星期以后,它就会失效。用户必须在收到这样的票据的 4 周内将它们花出去,或者将票据转给自己、从而重设计时器。虚拟 UTXO “生活” 在一个共享的 UTXO 中,并且可以在链上揭示。

当人们在协议上发起支付时,现有的一些 vTXO 会被赎回,新的 vTXO 会被创造出来,就跟 UTXO 的生命流程一样。为了提升资金所有权人的匿名集,vTXO 的价值是有范围的,从 1 聪到 100 万 聪。

用户可以从已经拥有 vTXO 的人那里获得,也可以通过一个叫做 “lifting” 的原子化双向锚定机制,将链上的 UTXO 按 1:1 的价值比例换成 vTXO。lifting 是不需要信任的。用户无需协助就可以从一个链上的 UTXO 中取出虚拟 UTXO 的价值。

在发送资金的时候,用户在一个链下的混币轮次中选择并销毁自己的某一些 vTXO,并创造新的 vTXO(给接收者)以及找零。新的 vTXO 的密钥是用一个共享的秘密值调整过的,并且这个秘密值会在花费的时候作为支付证据揭晓。支付的目的地是一个专用的、众所周知的公钥,类似于 “静默支付”,但是,支付的踪迹就被明文调整(plain tweaking)和盲化混币(blinded mixing)混淆掉了。

Ark 允许通过一个不被信任的中介(untrusted intermediary)(称为 “Ark 服务供应商(ASP)”)发起匿名的链下支付。ASP 是永远在线的服务端,向网络提供流动性并收取流动性手续费,类似于闪电网络服务商。而 Ark 上的 ASP 的角色有:(1)流动性供应商;(2)盲化的 coinjoin 的协调员;(3)闪电网络服务供应商。ASP 的主要任务是每 5 秒创建一个快速的盲化 coinjoin 会话,也叫 “pool”。用户加入 pool 会话以发起支付、初始化钱币选择并登记自己要花费的 vTXO、登记给接收者的 vTXO,最终联合签名一群 vTXO 以赎回他们。

Ark 可以部署在现在的比特币上,但这样就必须牺牲 “非交互性”。接收者必须在线,已签名 n-of-n 的多签名,从而约束共享 UTXO 的输出(也即 vTXO 中的价值)。因此,用户无法接受离线支付;他们需要自己运行一个 Ark 客户端(就像闪电通道一样)。为了让 Ark 可以无需服务端,我们需要 BIP-118 或 BIP-119 这样的限制条款元件。

BIP-118 ANYPREVOUTANYSCRIPT 可以通过在脚本中硬编码一个 65 字节的签名和一个 33 字节的未知公钥,来约束输出的一笔花费交易。而 BIP-119 CTV 可以直接用模板哈希值给输出约束一笔交易。其它的替代方案有(1)TXHASH;(2)CAT + CSFS + TAGGEDHAHS;(3)XOR + CSFS + TAGGEDHASH 组合。

Ark 使用一种新的锁定类型元件,叫做 “txlock”,来保证价值转移方案的绝对原子性。Txlock 是一种条件,只有一个双向同意的交易标识符才能解锁这个条件。一个 txlock 条件可以通过一种假设的操作码 “OP_CHECKPREVTXIDFROMTHEUTXOSETVERIFY” 来满足。但是,Ark 使用了另一种方法,使用 “连接器(connector)” 实现了相同的结果。连接器是协议的一种特殊的输出。这里的元件是,如果我们希望比特币脚本来检查某一个交易 id 是否存在,我们可以直接在目标交易中附加一个输出,然后在花费这个输出时,用预先安排的签名来检查交易的 prevout(前序交易 id)。Sighash 原像中的连接器输出点,承诺了我们想要用来满足 txlock 条件的交易 id。在 Ark 协议中,就是包含了给目标接收者的池交易(pool transaction)。Txlock 用在 “锚点时间锁合约(ATLC)” 中,以提供一种原子化的、单中心的支付方案。

ATLC 是一种用在 Ark 协议中的条件式支付。当一个 vTXO 被创造出来的时候,它就附带着一个 ATLC,类似于在 Eltoo 通道中,一个 eltoo:trigger 被附加到注资交易的输出中。在一个 vTXO 被花费的时候,预先附加的 ATLC 连接到一个连接器,以形成一个 txlock。

这个 txlock 构造保证了,在服务供应商拿走被附加的 ATLC 中的价值之时,其连接器的输出点语境必须保持不变。换句话说,Ark 服务供应商不能重复花费自己所创建的池交易。这为发送者提供了一种原子化的支付技术,因为付出 vTXO 的操作嵌在连接器的同一笔交易中。连接器之间的关联,以及新创建的 vTXO,通过它们之间的盲化混币混淆关联。

池交易由 ASP 每 5 秒创建一次创建,实际上就是盲化的、足迹最小化的、快速的 coinjoin 轮次。ASP 用自己的链上资金给交易池充值,以赎回 vTXO。因此,发布在链上的池交易只有一个或少数几个由 ASP 提供的输入。池交易有三种输出:vTXO 输出、连接器输出以及 ASP 找零。服务供应商在自己的池交易中为支付接收者提供 vTXO(在 vTXO 输出 内)、为发送者提供连接器(在连接器输出内)。

池交易的第一个输出,vTXO 输出,包含了 coinjoin 轮次中新创建的 vTXO。vTXO 们被绑定和嵌套在这个共享的 UTXO 中,并且可以在链上揭示。vTXO 输出会在创建的 4 周后过期;而一旦它过期,为这个输出提供资金的 APS 可以独自取走其中所有的价值。在这个 vTXO 输出中具有 vTXO 的所有权人,被预期在这个 4 周的窗口内赎回其中的价值。嵌套的 vTXO 可以在这个时间窗口内在链上揭晓,如果运营者碰巧不合作或者长时间没有响应的话。在揭晓一个 vTXO 的时候,一个单方退出的窗口就可以通过附加预签名的 ALTC 来触发,类似于 Eltoo。不过,乐观来看,最终的结果几乎总是一笔带有少数输入和三个输出的池交易,而池的内容很少在链上曝光。因此, vTXO 和连接器几乎总是放在链下的。

Ark 可以通过向池交易附加 HTLC 和 PTLC(就像 ATLC 和连接器一样),跟闪电网络互动。被附加的 HTLC 存活在另一个共享的 UTXO(称为 “HTLC 输出”)中,也会在 4 周后过期。ASP 先将 HTLC 调价到池交易的 HTLC 输出中,然后转发到广大的闪电网络。这意味着 ASP 同时也是一个 LSP 。Ark 用户也可以使用嵌套了 HTLC 的 vTXO,从闪电网络获得支付。

Ark 是一种开放网络,任何人都可以运行自己的 ASP。这意味着,一个用户可以拥有关联着不同 ASP 的多个 vTXO。Ark 协议设计让用户可以使用多路径支付(MPP)、用多个 vTXO 支付闪电发票。在相关 ASP 将各个 HTLC(或者 PTLC)附加到池交易之后,HTLC 就可以通过 MPP 转发到目的地。

当一笔池交易还在交易池中的时候,Ark 服务商是可以重复花费它的。但是,与此同时,接收者也可以用入账的零确认 vTXO 支付闪电发票。所以,对服务商来说,重复花费一笔池交易是搬起石头砸自己的脚。

从发送者到接收者的转账天生就是原子化的。ASP 无法赎回发送者的 vTXO,如果他们重复花费了接收者的 vTXO 的话,这是靠双向同意(mutually agreed)的池交易 id 实现的。如有一些假设的数据控制操作码(OP_XOR 或者 OP_CAT)可用,可以给 Ark 添加插件以约束 ASP 用在签名中的 nonce,以反激励重复花费。如果 ASP 重复花费了一笔池交易,用户可以伪造 ASP 的签名,从而拿走 ASP 之前赎回的 vTXO。这实际上就是一种类似于入账流动性的取舍,只不过不会牺牲协议的设计。

在 Ark 中,支付每 5 秒登记一次,但每 10 分钟结算一次。支付立即就可以入账,因为用户无需等待链上确认,就能花费这个零确认的 vTXO。他们可以把零确认的 vTXO 转交给其他人,也可以用来支付闪电发票。这是因为可以重复花费用户的入账 vTXO 的 ASP,正是路由闪电支付的 ASP。

可以在这个网站中了解更技术细节:https://arkpill.me/deep-dive

(完)

声明:该文观点仅代表作者本人,与炒币网无关。炒币网系信息发布平台,仅提供信息存储空间服务。对所包含内容的准确性、可靠性或者完整性不提供任何明示或暗示的保证,并不对文章观点负责。 提示:投资有风险,入市须谨慎。本资讯仅供参阅,不作为投资理财建议。

发表评论

登录后才能评论