BTC:金色薦讀 | V 神：以太坊上的各種 BTC 到底靠不靠譜？

首先這個話題不是筆者一個人的顧慮，今年8月17號，以太坊創始人Vitalik在推特上發文：「我依舊很擔心這些發在以太坊上的BTC映射代幣到底靠不靠譜？」言下之意，現在以太坊上有各種加字母的BTC代幣，但是到底是不是真正「去中心化」且安全的方案呢？

在Vitalik的推特下面，我們看到了很多國際上區塊鏈圈內人熱烈的討論，也提到了各種現在主流的BTC跨鏈方案，比如REN，WAN等。筆者在Wanchain一直從事安全跨鏈技術方面的研究，所以平時對各種跨鏈BTC方案也做了些粗淺的研究，這里和大家分享一下我們的一些看法。

所謂的BTC跨鏈，最簡單直接的理解就是一個用戶把「真」的BTC從錢包轉到一個BTC地址，這個地址收到「真」BTC以后，在以太坊上給你一個「假」的BTC的映射代幣，如下圖流程所示：

一般在以太坊上用ERC20標準鑄造的BTC代幣前加個字母符號，如wanBTC，renBTC,sBTC,WBTC,tBTC等。但是本質上都是「真」幣換「假」幣。那為什么大家要問，誰會用真幣去換個假幣呢？一是技術原因，因為近期以太坊上的DeFi應用如火如荼，但是這些DeFi應用只能支持ERC20標準的代幣參與到這些DeFi協議/產品中去，要不交換，要不借貸，要不流動性挖礦等；二是市場原因，畢竟BTC作為公認的數字貨幣的「黃金」，擁有太多的擁躉和持幣用戶群體，每個DeFi產品都希望引流，擴大自己的產品使用人群或者流動性提供者。既然理解了「真」換「假」是個剛需，接下來就是考驗這些跨鏈方案的去中心化性和安全性了，也就是「真」能換到「假」，同時「假」也要能換回「真」同時你拿著「假」幣的時候，拿著你「真」幣的「人或者一個機制」不會帶著你的真幣跑路。

中心化托管方案，這個拿著你「真」幣的人就是告訴你：你的「真」幣在我手里，我不會跑路，你放心吧！代表性的方案就是WBTC。WBTC背靠BitGo這顆大樹，完全用中心化的信任來做保證。

當然在區塊鏈和DeFi的世界中，大家更喜歡，更接受的是「去中心化」而又「安全」的方案，所以其他一些知名跨鏈項目都走的「非托管，去中心化，安全」解決方案的思路。其中來保證這個保存你「真」BTC賬戶的核心技術，采用的是多方安全計算，即MPC(Multi-partyComputing)。

金色財經挖礦數據播報 | ETH今日全網算力上漲0.54%:金色財經報道，據蜘蛛礦池數據顯示：

BTC全網算力147.941EH/s，挖礦難度20.82T，目前區塊高度667831，理論收益0.00000652/T/天。

ETH全網算力351.954TH/s，挖礦難度4673.19T，目前區塊高度11734824，理論收益0.00569817/100MH/天。

BSV全網算力0.737EH/s，挖礦難度0.11T，目前區塊高度671767，理論收益0.00122131/T/天。

BCH全網算力1.814EH/s，挖礦難度0.25，目前區塊高度672122，理論收益0.00049616/T/天。[2021/1/27 13:38:00]

做跨鏈的項目/協議用的「多方安全計算MPC」或者說是「門限簽名TSS」都是來自于一篇發表于1996年的經典論文《RobustThresholdDSSSignatures》，很可惜的是，這些項目/協議基本都是直接使用了這篇論文中闡述的原理來實現多方安全計算而并沒有太多的創新。筆者和團隊早在2017年的時候就意識到這篇論文的結果可以用于建立MPC賬戶，從而完成跨鏈資產的鎖定。故我們一直致力于把MPC/TSS真正用到跨鏈場景/產品中去，并且同時我們也使用了一些獨創的算法來降低了MPC計算過程中的交互次數。MPC技術在跨鏈應用的一個重要難點就是參與MPC計算節點的「個體私鑰」與節點集合「群組私鑰」的耦合關系。簡單來說，「群組私鑰」能夠直接管理MPC賬戶，并且是由所有「個體私鑰」決定，但是這僅僅是一個「理論」存在，即它的功能實施是依賴于參與節點的「個體私鑰」通過多方計算的方式完成的。因此整個機制具有較高的容錯性，即使個別MPC計算節點作惡，也并不會影響協議運行。當然，當一個新的群組形成后，成員節點們的「個體私鑰」也會決定一個新的「群組私鑰」，即群組和「群組私鑰」是一一對應的。

我們再看看類似最近很火的renBTC的方案，根據其技術白皮書介紹，它同樣是基于論文《RobustThresholdDSSSignatures》中的技術作為其TSS解決方案。并且在此項目介紹中，重點強調其管理跨鏈BTC賬戶是由一組「暗節點」生成，而且這組「暗節點」中的成員一定會進行周期性的輪換。但是矛盾的是，我們發現renBTC提供的用戶轉入真BTC進行鎖定的BTC地址自從上線第一天開始至今沒有任何變化過。其流程是用戶先把BTC轉賬到一個一次性地址里面，然后一次性地址又匯總到鎖定賬戶，鎖定賬戶一直沒有變過如下圖所示。

金色午報 | 9月11日午間重要動態一覽:7:00-12:00關鍵詞：泰達、騰訊云、DeFi項目、Uniswap

1.泰達預增發10億枚ERC20USDT或為USDT切換準備。

2.騰訊云發布區塊鏈引擎與區塊鏈可信計算平臺推動區塊鏈應用落地。

3.交易所比特幣凈流入量昨日減少9.6個百分點。

4.DeFi項目SashimiSwap代幣價格大跳水 跌幅近80%。

5.基于ERC-20代幣總市值已超以太坊總市值 市值差創歷史新高。

6.Uniswap當前鎖倉量達11億美元 24h漲幅達115%。

7.谷歌支付工程師：BCH、EOS等主流幣市值為YFI數倍是不合邏輯的。

8.比特幣小幅下跌，日內最高報10442.59美元，最低報10212美元。[2020/9/11]

圖1

圖2

如果這個賬戶地址」真的」是由MPC產生，而且參與賬戶管理的「暗節點」會周期性輪換的話，那么賬戶的地址也一定會進行周期性的更新，而不是一直不變。因此宣傳的技術和項目的實施出現了自相矛盾的狀況。那為什么會出現技術白皮書的描述和產品實現貌似完全是不一樣的？從而引發我們進一步的思索，這個「托管」BTC的地址到底是不是通過MPC方式產生的？如果是，沒有變化過又如何解釋呢？至少我們從其Github代碼庫和各種參考技術文檔中沒有任何發現。

然而REN的問題遠不止于此。renBTC采用的ECDSA門限簽名方案并不滿足「門限最優」的理論，也就說設定門限值t后，至少需要2t1個「暗節點」參與才能夠保證計算的順利實施，再結合一些節點的掉線可能狀況，最終實現中節點的數量為3t1。也就是說，這種狀態下只要約三分之一的節點合謀即可盜取走跨鏈的BTC，是非常危險的，同理參考已經被業界略有微辭的BFT拜占庭容錯協議中，還需要至少三分之二的共識，因此renBTC的TSS方案在安全性存在很大的風險。

最后，根據REN技術白皮書介紹，在其BTC賬戶建立過程中，「暗節點」之間通過一條私有鏈完成數據的交互，而且交互數據是處于加密狀態的，而其合法性則是由「零知識證明」保證。因此最終「個體私鑰」是否正確，完全是依賴于這個零知識證明的。那么到底如何去構造這個零知識證明呢？REN技術白皮書中并沒有給出具體實現方式，也沒有給出相關的參考文獻，同樣在Gitbub上沒有相關任何代碼實現。這樣不免給人堆砌密碼學名詞，造成高大上感覺的疑惑。

分析 | 金色盤面：USDT折溢價指數持續走低:金色盤面綜合分析：USDT折溢價指數最新值為99.47，折價率有所下降，昨天該指數最低曾到達98.8，近日隨著美元指數調整，該指數也持續走低，但我們考慮到溢價會引發套利行為，所以應該密切關注折價率變化。[2018/8/29]

寫在最后的感想：今年尤其是6月份以后，DeFi成為了區塊鏈的一個現象，并且應用，TVL值都井噴式的發展。雖然其中不免有部分泡沫，但整體看到區塊鏈應用在快速發展，也產生了很多有意義的嘗試，這都是整個行業喜聞樂見的事情。但與此同時，區塊鏈核心技術，比如去中心化安全跨鏈技術的發展并不像DeFi應用那么快，我們無意去攻擊類似REN這樣的項目，只是作為區塊鏈技術的理性的探討：一是推到市場的產品是否應該符合技術白皮書的構想？二是如果在白皮書階段提出了很多「高大上」的名詞來證明自己機制的「獨特性，安全性」等，是否應該工程實現環節也證明出來？我們看過了太多當年ICO時候靠一個白皮書來融資，講故事的浮生繪，整個行業包括我們每個人或多或少都是受害者，所以時至今日再來審視的時候，我們思考的更多是做點真正有意義的突破，哪怕是很小的一點突破。也希望做跨鏈賽道的國內外同行能夠一起沉下心來，摒除浮夸，少點言行不一致的，做點實際的事情，就像這句名言說的：你可以欺騙所有人于一時，也可以欺騙部分人于一世，但不能欺騙所有人于一世。

致謝Dr.WJZhang，GabrielGuo，NoahMaizels,NicolasKraples對作者很多觀點的啟發

撰文：李尼、Dr.DemmonZ.Z，前者為Wanchain全球副總裁、去中心化金融協議FinNexus發起人，后者為Wanchain理論團隊負責人

參考文獻：

RosarioGennaroandStevenGoldfeder.「FastMultipartyThresholdECDSAwithFastTrustlessSetup」.English.In:ACM,2018,pp.1179–1194.isbn:9781450356930;1450356931;

RosarioGennaro,StevenGoldfeder,andArvindNarayanan.「ThresholdOptimalDSA/ECDSASignaturesandanApplicationtoBitcoinWalletSecurity」.In:AppliedCryptographyandNetworkSecurity.Ed.byMarkManulis,Ahmad-RezaSadeghi,andSteveSchneider.Cham:SpringerInternationalPublishing,2016,pp.156–174.isbn:978-3-319-39555-5.

金色財經現場報道 Ali Ayyash：區塊鏈的價值在于建立陌生人彼此信任的同時，降低甚至消除第三方的費用:Technical Blockchain的顧問Ali Ayyash在2018 Global Token Galaxy演講中提到，創業者如果想要在區塊鏈行業進行創業，需要考慮三個問題：1、項目是否有用戶；2、用戶是否會產生數據；3，用戶之間是否互相信任。區塊鏈的價值在于建立陌生人彼此信任的同時，降低甚至消除第三方的費用。[2018/5/27]

RosarioGennaroetal.「RobustThresholdDSSSignatures」.In:AdvancesinCryptology—EUROCRYPT’96.Ed.byUeliMaurer.Berlin,Heidelberg:SpringerBerlinHeidelberg,1996,pp.354–371.isbn:978-3-540-68339-1.

PhilipMacKenzieandMichaelK.Reiter.「Two-partygenerationofDSAsignatures」.In:InternationalJournalofInformationSecurity2.3(Aug.2004),pp.218–239.doi:10.1007/s10207-004-0041-0.url:?https://doi.org/10.1007/s10207-004-0041-0.

IvanDamgardetal.「ImplementingAESviaanActively/CovertlySecureDishonest-MajorityMPCProtocol」.In:SecurityandCryptographyforNetworks.Ed.byIvanViscontiandRobertoDePrisco.Berlin,Heidelberg:SpringerBerlinHeidelberg,2012,pp.241–263.isbn:978-3-642-32928-9.

RanCanetti.「SecurityandCompositionofMultipartyCryptographicProtocols」.In:JournalofCryptology13.1(Jan.2000),pp.143–202.doi:10.1007/s001459910006.

金色財經訊:巴西央行行長戈德福對比特幣持有嚴厲態度，稱加密貨幣等同于金字塔騙局。[2017/10/19]

TorbenP.Pedersen.「Non-InteractiveandInformation-TheoreticSecureVerifiableSecretSharing」.In:Proceedingsofthe11thAnnualInternationalCryptologyConferenceonAdvancesinCryptology.CRYPTO’91.Berlin,Heidelberg:Springer-Verlag,1991,pp.129–140.isbn:3540551883.

RosarioGennaroetal.「SecureDistributedKeyGenerationforDiscreteLogBasedCryptosystems」.English.In:JournalofCryptology20.1(2007),pp.51–83.

AdiShamir.「HowtoShareaSecret」.In:Commun.ACM22.11(Nov.1979),pp.612–613.issn:0001-0782.doi:10.1145/359168.359176.url:?https://doi.org/10.1145/359168.359176.

GiladAsharovetal.「AFullProofoftheBGWProtocolforPerfectlySecureMultipartyComputation」.English.In:JournalofCryptology30.1(2017),pp.58–151.

ShafiGoldwasser,SilvioMicali,andCharlesRackoff.「TheKnowledgeComplexityofInteractiveProofSystems」.English.In:SIAMJournalonComputing18.1(1989),pp.186–208.

SilvioMicaliandPhillipRogaway.「SecureComputation」.In:AdvancesinCryptology—CRYPTO’91.Ed.byJoanFeigenbaum.Berlin,Heidelberg:SpringerBerlinHeidelberg,1992,pp.392–404.isbn:978-3-540-46766-3.35

DonaldBeaver.「FoundationsofSecureInteractiveComputing」.In:AdvancesinCryptology—CRYPTO’91.Ed.byJoanFeigenbaum.Berlin,Heidelberg:SpringerBerlinHeidelberg,1992,pp.377–391.isbn:978-3-540-46766-3.

JensGroth.「OntheSizeofPairing-BasedNon-interactiveArguments」.In:May2016,pp.305–326.isbn:978-3-662-49895-8.doi:10.1007/978-3-662-49896-5_11.

EthanBuchman,JaeKwon,andZarkoMilosevic.ThelatestgossiponBFTconsensus.2018.arXiv:1807.04938v3.

P.Feldman.「Apracticalschemefornon-interactiveverifiablesecretsharing」.In:28thAnnualSymposiumonFoundationsofComputerScience(sfcs1987).Oct.1987,pp.427–438.doi:10.1109/SFCS.1987.4.

LloydR.WelchandElwynR.Berlekamp.ErrorCorrectionforAlgebraicBlockCodes.U.S.Patent4,633,470.Dec.1986.

ShuhongGao.「ANewAlgorithmforDecodingReed-SolomonCodes」.In:Communications,InformationandNetworkSecurity.Ed.byVijayK.Bhargavaetal.Boston,MA:SpringerUS,2003,pp.55–68.isbn:978-1-4757-3789-9.doi:10.1007/978-1-4757-3789-9_5.

R.McElieceandD.Sarwate.OnsharingsecretsandReed-Solomoncodes.English.1981.

ManuelCerecedo,TsutomuMatsumoto,andHidekiImai.「Efficientandsecuremultipartygenerationofdigitalsignaturesbasedondiscretelogarithms」.In:IEICETransactionsonFundamentalsofElectronics,CommunicationsandComputerSciences76(Apr.1993).

MichaelBen-Or,ShafiGoldwasser,andAviWigderson.「CompletenessTheoremsforNon-CryptographicFault-TolerantDistributedComputation」.In:ProceedingsoftheTwentiethAnnualACMSymposiumonTheoryofComputing.STOC’88.Chicago,Illinois,USA:AssociationforComputingMachinery,1988,pp.1–10.isbn:0897912640.doi:10.1145/62212.62213.url:https://doi.org/10.1145/62212.62213.

DonaldBeaver.「EfficientMultipartyProtocolsUsingCircuitRandomization」.In:Proceedingsofthe11thAnnualInternationalCryptologyConferenceonAdvancesinCryptology.CRYPTO’91.Berlin,Heidelberg:Springer-Verlag,1991,pp.420–432.isbn:3540551883.

J.Bar-IlanandD.Beaver.「Non-cryptographicfault-tolerantcomputinginconstantnumberofroundsofinteraction」.English.In:ACM,1989,pp.201–209.isbn:0897913264;9780897913263;

Tags：BTCINGANDIONBTCQhotcoinglobal不能用了candylad幣前景如何Medallion Coin X

以太坊交易所