1. 比特币行情首页
  2. 资讯
  3. 头条

以太坊上的BTC是否可靠?了解跨链比特币的安全性

首先,这个话题不是我个人关心的。今年8月17日,以太坊创始人维塔利克(vitalik)在推特上发文称:“我仍然担心以太坊上发送的这些BTC映射代币是否可靠?这意味着以太坊中有各种各样的BTC代币,但它真的是一个分散和安全的解决方案吗?

以太坊上各种 BTC 靠谱吗?解读跨链<a href='https://www.btchangqing.cn/go?_=9946f356cdaHR0cHM6Ly93d3cuYnRjZmFucy5jb20vdGFnLzEv' target='_black' rel=比特币安全性” />

在vitalik的推特上,我们看到了国际区块链圈内人士的热议,也提到了各种主流的BTC跨链解决方案,如任天堂、万达等,笔者一直在湾仔从事跨链安全技术的研究,所以我对各种cross做了一些肤浅的研究连锁BTC计划。在这里,我想谈谈我们的一些看法。

对于所谓的BTC交叉链,最简单和直接的理解是,用户将“真实”的BTC从钱包转移到BTC地址。接收到“真”BTC后,地址会在以太坊上给你一个“假”的BTC映射令牌,如下图所示:

以太坊上各种 BTC 靠谱吗?解读跨链比特币安全性

一般情况下,以太坊上使用erc20标准铸造的BTC代币前会添加字母符号,如wanbtc、renbtc、SBTC、wbtc、TBTC等,但本质上都是“真”币换“假”币。那你为什么要问,谁会用真钱换假币?一个是技术原因,因为最近defi在以太坊上的应用正如火如荼,但这些Defa应用只能支持erc20标准代币参与这些defi协议/产品,如兑换、贷款、流动性挖掘等;二是市场原因,毕竟BTC是公认的数字“黄金”货币,它有太多的粉丝和硬币用户。每一款DFI产品都希望吸引和扩大自己的产品用户或流动性提供商。现在我们明白了用“假”代替“真”是必要的,下一步是测试这些跨链方案的分散性和安全性。也就是说,“真”可以用“假”代替,“假”也应该能变回“真”。当你持有“假”币时,持有你“真”货币的“人或机制”不会带着你的真币逃跑。

集中托管计划,持有你“真实”货币的人只会告诉你:你的“真实”货币在我手中,我不会逃跑。别担心!代表性的解决方案是wbtc。Wbtc以bitgo的大树为后盾,以集中信任为充分保障。

当然,在区块链和defi的世界里,人们更喜欢并接受“去中心化”和“安全”的解决方案。因此,其他一些著名的跨链项目遵循“非管理、分散、安全”的解决方案。其中,保证您的“真实”BTC帐户保存的核心技术是多方计算(MPC)。

针对跨链项目/协议的多方安全计算MPC或门限签名TSS都来自于1996年发表的经典论文“鲁棒门限DSS签名”。不幸的是,这些项目/协议基本上使用本文描述的原理来实现多方安全计算,而没有太多创新。早在2017年,笔者和团队就意识到,本文的研究成果可以用来建立MPC账户,从而完成跨链资产的锁定。因此,我们一直致力于在跨链场景/产品中使用MPC/TSS。同时,我们也使用了一些原始算法来减少MPC计算过程中的交互次数。MPC技术在跨链应用中的一个重要难点是参与MPC计算的节点的“个人私钥”和“组私钥”之间的耦合关系。简言之,“组私钥”可以直接管理MPC帐户,由所有“个人私钥”决定。然而,这只是一种“理论”的存在,即其功能的实现(如MPC账户资产的转移)依赖于参与节点通过多方计算的“个人私钥”。因此,整个机制具有很高的容错性,即使某些MPC计算节点做了坏事,也不会影响协议的运行。当然,当一个新的组形成时,成员节点的“个人私钥”也会确定一个新的“组私钥”,即组与“组私钥”一一对应。

让我们看看最近非常流行的类似renbtc的解决方案。根据其技术白皮书的介绍,它也是基于论文中的技术“鲁棒门限DSS签名”作为其TSS的解决方案。在本项目介绍中,强调管理跨链BTC账户是由一组“暗节点”生成的,该组“暗节点”的成员会周期性地轮换。然而,矛盾的是,我们发现renbtc提供给用户的BTC地址从上线第一天起就没有改变过。其过程是用户将BTC传输到一个一次性地址(下图1),然后将一次性地址汇总到锁定的帐户(图2)。锁定的账户没有改变,如下图所示。

以太坊上各种 BTC 靠谱吗?解读跨链比特币安全性

图1

以太坊上各种 BTC 靠谱吗?解读跨链比特币安全性

图2

如果帐户地址“真的”是由MPC生成的,并且参与帐户管理的“暗节点”会周期性地轮换,则该帐户地址将定期更新,而不是始终保持不变。因此,宣传技术与项目实施出现矛盾局面。那么为什么技术白皮书的描述和产品实现看起来完全不同呢?这让我们进一步思考“托管”BTC的地址是否由MPC生成?如果是,如何解释?至少我们没有从它的GitHub代码库和各种参考技术文档中找到任何东西。

但任志强的问题远不止这些。renbtc采用的ECDSA门限签名方案不符合门限最优理论。也就是说,在设置阈值T后,至少需要2T+1个“暗节点”参与计算,以保证计算的顺利实施。结合部分节点可能掉网的情况,最终实现的节点数为3T+1。也就是说,在这种状态下,只有大约三分之一的节点可以串通窃取跨链BTC,这是非常危险的。同样,在受到业界轻微批评的BFT-Byzantine容错协议中,至少需要三分之二的共识。因此,renbtc的TSS方案存在很大的安全风险。

最后,根据Ren技术白皮书,在建立BTC账户的过程中,“暗节点”通过私有链完成数据交互,并对交互数据进行加密,其合法性由“零知识证明”保证。因此,“个人私钥”的正确与否完全取决于这种零知识证明。那么如何构造这个零知识证明呢?任科技白皮书没有给出具体的实现方法,也没有提供相关参考。类似地,gitbus上也没有相关的代码实现。这样一来,人们就不由自主地堆积起密码学术语,让人感到困惑。

我最后的想法是:今年,特别是6月份以后,Defa已经成为一种区块链现象,TVL的价值观也在迅速发展。虽然不可避免地会出现一些泡沫,但从整体上看,区块链的应用发展迅速,也进行了许多有意义的尝试。这些都是整个行业都喜欢看到的。然而,与此同时,区块链核心技术的发展,如去中心化安全跨链技术,并没有像dif应用那样快。我们无意攻击任志强这样的项目,而只是作为对区块链技术的理性讨论:首先,推向市场的产品是否应该符合技术白皮书的概念?第二,如果在白皮书阶段提出了很多“高高在上”的说法来证明机制的“唯一性和安全性”,是否也应该在项目实施过程中加以证明?几年前,我们已经看到太多的ICO依赖白皮书来融资和讲述故事。整个行业,包括我们所有人,或多或少都是受害者。所以,当我们今天再看它的时候,我们更多的是想做一个有意义的突破,甚至是一个小小的突破。我也希望从事跨链轨道的国内外同行们能一起安定下来,摒弃夸张,减少言行不一,做一些实事,正如那句名言:你可以欺骗所有人一次,你可以欺骗一些人一辈子,但你不能欺骗所有人一辈子。

万链的Wanbtc预计在10月左右上市。下一篇文章将详细讨论wanbtc是否已经对其是否“分散”和“安全可靠”进行了上述分析。这里没有广告。

感谢WJ Zhang博士,Gabriel Guo,Noah Maizels,Nicolas kraples对作者许多观点的启发

参考文献:

[1] 罗萨里奥·根纳罗和史蒂芬·戈德费德。「快速多方阈值ECDSA,快速无信任设置」。英语。In:ACM,2018年,第1179-1194页。国际标准书号:9781450356930;1450356931;

[2] 罗萨里奥·根纳罗、史蒂文·戈德费德和阿尔文·纳拉亚南。「阈值最佳DSA/ECDSA签名及在比特币钱包安全中的应用」。应用密码学和网络安全。马克·曼努利斯、艾哈迈德·雷扎·萨德吉和史蒂夫·施耐德编著。查姆:斯普林格国际出版社,2016年,第156-174页。国际标准书号:978-3-319-39555-5。

[3] Rosario Gennaro等人。「稳健阈值DSS签章」。在:密码学的进展-欧洲密码’96。编辑:尤利·毛雷尔。柏林,海德堡:斯普林格柏林海德堡,1996年,第354-371页。国际标准书号:978-3-540-68339-1。

[4] 菲利普·麦肯齐和迈克尔·K·赖特。「双方产生DSA签章」。国际信息安全杂志2.3(2004年8月),第218-239页。doi:10.1007/s10207-004-0041-0。网址:;https://doi.org/10.1007/s10207-004-0041-0。

[5] Ivan Damgard等人。「透过主动/隐蔽安全的不诚实多数MPC协议来执行AES」。网络安全与加密。伊万·维森蒂和罗伯托·德普里斯科编辑。柏林,海德堡:斯普林格柏林海德堡,2012年,第241-263页。国际标准书号:978-3-642-32928-9。

[6] 卡内蒂跑了。「多方密码协议的安全性及组合」。《密码学杂志》13.1(2000年1月),第143-202页。doi:10.1007/s001459910006。

[7] 托本·P·佩德森。「非互动及资讯理论安全可验证秘密分享」。第11届国际密码学年会论文集。密码’91。柏林,海德堡:斯普林格·韦拉格,1991年,第129-140页。国际标准书号:3540551883。

[8] Rosario Gennaro等人。「基于离散日志密码系统的安全分布式金钥产生」。英语。《密码学杂志》20.1(2007),第51-83页。

[9] 阿迪·沙米尔。「如何分享秘密」。在:公社。ACM 22.11(1979年11月),第612-613页。issn:0001-0782。doi:10.1145/359168.359176。网址:;https://doi.org/10.1145/359168.359176。

[10] Gilad Asharov等人。「完全安全多方计算的BGW协议的充分证明」。英语。《密码学杂志》30.1(2017),第58-151页。

[11] 沙菲·戈德瓦瑟、西尔维奥·米卡利和查尔斯·拉科夫。「互动式证明系统的知识复杂性」。英语。在:暹罗计算杂志18.1(1989),第186-208页。

[12] 西尔维奥·米卡利和菲利普·罗格威。「安全计算」。在:密码学的进展-密码’91。琼·费根鲍姆主编。柏林,海德堡:斯普林格柏林海德堡,1992年,第392-404页。国际标准书号:978-3-540-46766-3.35

[13] 唐纳德·海狸。「安全互动计算基础」。在:密码学的进展-密码’91。琼·费根鲍姆主编。柏林,海德堡:斯普林格柏林海德堡,1992年,第377-391页。国际标准书号:978-3-540-46766-3。

[14] 詹斯·格罗斯。「以配对为基础的非互动变元的大小」。2016年5月,第305-326页。国际标准书号:978-3-662-49895-8。doi:10.1007/978-3-662-49896-5十一

[15] 伊桑·布克曼、宰权和扎尔科·米洛舍维奇。关于BFT共识的最新八卦。2018arXiv:1807.04938v3[信用证].

[16] P.费尔德曼。「一个实用的非互动可验证秘密分享方案」。第28届计算机科学基础年会(证监会1987年)。1987年10月,第427-438页。doi:10.1109/SFCS.1987.4。

[17] 劳埃德·R·韦尔奇和埃尔温·R·贝莱坎普。代数分组码的纠错。U、 美国专利4633470。1986年12月。

[18] 高树红。「一种新的里德-所罗门码解码算法」。在:通信,信息和网络安全。作者:Vijay K.Bhargava等人。马萨诸塞州波士顿:美国斯普林格出版社,2003年,第55-68页。国际标准书号:978-1-4757-3789-9。数字对象标识:10.1007/978-1-4757-3789-9

[19] R.McEliece和D.Sarwate。分享秘密和里德所罗门密码。英语。1981

[20] 曼努埃尔·塞尔塞多、松本聪明和伊美英姬。「基于离散对数的有效及安全的多方数位签章产生」。在:IEICE电子、通信和计算机科学基础交易76(1993年4月)。

[21]迈克尔·本·奥尔、沙菲·戈德瓦瑟和阿维·维格德森。「非密码容错分布式计算之完备性定理」。第二十届ACM计算理论年会论文集。88年斯托克。芝加哥,伊利诺伊州,美国:计算机机械协会,1988年,第1-10页。国际标准书号:0897912640。doi:10.1145/62212.62213。网址:https// doi.org/10.1145/62212.62213。

[22]唐纳德·比弗。「使用电路随机化的有效多方协议」。第11届国际密码学年会论文集。密码’91。柏林,海德堡:斯普林格·韦拉格,1991年,第420-432页。国际标准书号:3540551883。

[23]J.Bar Ilan和D.Beaver。「恒定轮数互动非密码容错计算」。英语。In:ACM,1989年,第201-209页。国际标准书号:0897913264;9780897913263;

发布者:币圈带头大哥,转请注明出处:https://www.btchangqing.cn/89542.html

发表评论

登录后才能评论
商务微信
商务微信
客服QQ
分享本页
返回顶部