BTM:比原鏈研究院 | 一種基于MOV/OFMF框架的交叉跨鏈系統

交叉跨鏈系統

交叉跨鏈與化身資產，是實現多個異構公鏈生態進行主動融合互通的最直接有效方式。

在過往，單一公鏈一直無法突破自身生態邊界，即便引入當下諸多跨鏈手段，依然屬于被動式映射主流資產，用戶并不會主動隨著資產映射而來，生態規模依然拘束于自身公鏈上應用場景的豐富度和接受度；映射資產再優質卻無法再次流通，用戶缺乏在不同公鏈應用間自由切換實施套利以及獲取資產的最短路徑，自身公鏈生態也就無法被更大公鏈的生態、應用和用戶所主動接納；跨鏈映射的主流資產成為“一潭死水”，跨鏈也就成了偽命題，自身公鏈生態的邊界依然無法打破，用戶和應用得不到增量式增長。

拓寬自身公鏈生態的邊界，打造應用“出圈”和新用戶“入圈”，生態有界，應用有邊，但資產無形，著力建設一種新的生態維度——“化身資產”，即在完成主流資產跨入映射的同時，建立起映射資產在不同公鏈生態間的自由進出和共享，讓化身資產隨著應用需求自由流轉于目標公鏈，同時為“新維度”建立起移動坐標軸——“交叉跨鏈系統”，一種更為強悍而普適的跨鏈體系，可以讓化身資產自由穿梭在多個不同公鏈間，使多種公鏈的應用生態發生折疊。

MOV交叉跨鏈系統，是基于OFMF框架建設的一個無準入拜占庭容錯分布式網絡系統，構建在多種公鏈體系之上的通用協議層服務，并不專屬于MOV體系。其核心功能升級為通過安全多方計算和共識算法協調所有Fednodes進行跨鏈資產的去中心化安全托管和轉移，以及跨鏈交易的解析和執行。Fednodes是更為開放的聯邦節點，是交叉跨鏈系統的核心角色，為分布式網關網絡貢獻CPU和存儲，準確執行安全多方計算程序，任何生態的任何角色都可以通過抵押成為Fednodes。

交叉跨鏈系統最引入注目的創新是，改變以往跨鏈系統單一的資產流向，升級為主動式全鏈接跨入網絡。假定MOV交叉跨鏈系統底層適配了ETH、BTC、BTM、Polkadot四種公鏈體系，目前是其他三種公鏈上的資產被動式向BTM生態遷徙，并在BTM生態尋找應用的場景，最終生命周期將在BTM生態終止，重新被提取回原始公鏈。在交叉式跨鏈系統的支持下，BTM上的資產，不論是BTM原生生態資產還是從其他公鏈跨入的化身資產，都可以主動式進入到任何其他三種公鏈體系，去拓寬自己的應用場景。

OFMF框架實行“多簽+門限”的托管方案，交叉跨鏈系統將更為廣泛地實施基于安全多方計算的門限簽名托管方案。所有成為Fednodes的節點共同組成一個分布式的多方計算網絡，由拜占庭容錯共識算法調控系統的liveness和safety，確保多方計算程序可以持續運行。Fednodes節點定期選舉產生，進行權力的每屆更迭。得益于抵押型共識系統的引入，快速更迭Fednodes可以在交叉跨鏈系統中成為現實，真正走向完全開放式的聯邦網關網絡，這也極大提升了聯邦見證的系統效率和靈活性，使跨鏈體驗更為迅速和安全。Fednodes的抵押資產也給跨鏈系統帶來更為可靠的安全邊際。

聲音 | 比原鏈CEO朗豫：去中心化跨鏈將是未來公鏈的突破方向:比原鏈CEO朗豫今晚做客幣看大咖來了。在訪談中，朗豫表示：公鏈賽道是馬拉松， 需要長時間打磨，而且不能為路邊的各種光怪陸離所吸引停止腳步，難度還是挺大的。

朗豫稱未來公鏈能突破的很大的方向就是去中心化跨鏈， 和其他二層網絡的應用。技術社區有很多基于二層網絡做的存儲、云計算等，創意都非常好。公鏈現在的困境很大一部分是心態問題。[2019/10/17]

跨鏈交易類型

在打通BTC、BTM、ETH三種公鏈體系的交叉跨鏈系統中，一共存在五種跨鏈交易類型：

將BTC資產從BTC主網發送到BTM生態

將BTM生態的BTC資產提取到BTC主網

將BTM生態的BTC資產提取到ETH主網

將ETH主網上的BTC資產提取到BTM生態

將ETH主網上的BTC資產提取到BTC主網

?????

????

我們把這種全鏈接式的跨鏈方式稱為交叉跨鏈。交叉跨鏈擁有以下四個深遠意義：

BTC資產可以在多個公鏈生態體系內無縫切換，隨應用而流轉，讓小生態公鏈體系可以與大生態公鏈體系重合，獲得更多用戶和流量，而大生態公鏈體系可以捕獲更為強悍的二層網絡和化身資產；

定義可編程跨鏈時代的來臨。交叉跨鏈也是一個分布式系統，擁有抵押治理和共識容錯，它可以靈活解析來自用戶發起的任何類型的跨鏈交易，包括方向、數量、附加數據和更為具體的指令，比如跨鏈切分、部分延遲、條件式觸發等；

發展成為一種被廣泛接受的統一跨鏈標準、協議層；

發掘最優跨鏈路徑和最優化身資產。

可編程跨鏈網關?

用戶可在交叉跨鏈系統界面自由定義一組跨鏈交易的腳本：

一筆鎖定資產向不同公鏈鑄幣，數量、時間、映射地址都可以設定；

一筆鎖定資產，先定義向公鏈A鑄幣，再定義將A的鑄幣燃燒，并在公鏈B上鑄幣；

一筆鎖定資產，延遲觸發。

可以讓一筆資產徹底無法追蹤，可以實現事件驅動的跨鏈。

聯邦分布式系統

分布式系統的必要性

跨鏈網關系統最高效的實現是見證人機制，OFMF在見證人機制的基礎上將網關節點進一步開放出去，以尋求去中心化的權力構成，符合一個公鏈生態擴大自身規模的愿景。但見證人機制的性能瓶頸受制于兩方面，一是所鏈接的兩條公鏈上原生交易的確認速度，二是見證人系統自身的決策效率。前者沒有太大優化空間，后者的瓶頸可以進一步拆分成兩種：

現場 | 比原鏈段新星：區塊鏈未來發展有三大趨勢:金色財經現場報道，今日中本聰團隊見面會暨第一屆區塊鏈技術與行業落地研討會在上海舉行，在圓桌論壇《下一代區塊鏈技術展望》上嘉賓圍繞“下一代區塊鏈技術機會在哪里、挑戰在哪里”展開了討論，比原鏈創始人段新星表示，其實1.0、2.0、3.0總體是趨勢的變化，并沒有一個明顯的定義，如果說3.0未來可能會發生什么，大的趨勢是什么，我覺得目前看來有三點。第一，更好地的代幣系統；第二，對等網絡；第三，我覺得還有一個就是說2.5趨勢，往回倒退趨勢。第一點，在整個區塊鏈發展當中，比特幣相當于最早落地，下來以太坊。單從代幣系統不從區塊鏈角度來看是這樣的東西，未來有Facebook，包括大的機構發行代幣技術，來發展新的技術，叫代幣也好，叫流通也好，這是未來的趨勢。第二，從技術流派講這個趨勢。既然有中心化的問題，現在實現了去中心化的點對點的現金，實際上還有很多問題沒有解決去中心化的ID，去中心化的存儲，去中心化的帶寬以及去中心化的資產，這也是比較大的趨勢，如果把這個底層的基礎結構建成也是比較好的東西。第三，也可以說3.0，但是也可以說是工程化的趨勢，單純科學研究方面的授錯以后，如果用單純的POW這種實現比較困難，這有可能是一個方向。這幾個是我看到的趨勢。[2018/6/27]

見證人共同執行跨鏈簽名的效率；

見證人重組的效率。

最理想的跨鏈網關系統是一個可以主動獲取可靠原始驗證數據并自主進行分布式決策的自動化網絡，并不需要人工去操縱跨鏈簽名的合法性判斷和生成，能夠引入成熟機密信息管理保管在線秘密和密鑰，能夠迅速主動捕獲兩公鏈上隨時發生的跨鏈事件并建立存儲，然后在判斷交易合法性的前提下進行安全多方計算快速生成跨鏈交易簽名，依靠分布式容錯共識算法自動去除惡意節點的干擾，依托門限簽名節省多方簽名的費用成本和時間成本，尤其是在網關網絡規模不斷擴大走向更為開放的進程中，效用更為顯著。MOV交叉跨鏈系統也是在OFMF框架上升級為完全分布式網絡系統，更大程度的利用安全多方計算和共識算法決策的性質，來提升整個跨鏈網關的效率和安全。

由Fednodes組成的分布式系統，每周期換屆選舉出新的決策Fednodes節點集合，跟一條鏈系統有著本質的相似，但沒有資產和賬戶體系，沒有轉賬交易，只對跨鏈事件進行共識見證，并協作執行門限簽名進行鑄幣、燃燒和釋放等操作，能夠準確解析用戶的每一筆跨鏈交易請求或者腳本。

由于交叉跨鏈系統的無準入特性，以及門限簽名的合成是一個多方在線交互驗證的分布式協作過程，當存在未知數量的惡意節點或者網絡出現分區的情況下，可能無法就某一筆跨鏈交易進行共識驗證并生成合法的門限簽名，導致網關網絡的阻塞或者被攻擊，影響跨鏈系統的效率以及安全性。針對每一筆跨鏈請求，Fednodes需要能夠就跨鏈請求序列、跨鏈請求的正確性達成一致，并且對每一筆合法跨鏈請求執行安全多方計算過程，該過程依然是一個依托共識網絡完成門限簽名的過程，確保在有限時間內完成合法門限簽名的簽署和執行。

比原鏈段新星：本次EOS漏洞事件不難解決:5月29日，針對EOS漏洞事件，比原鏈CEO段新星在微博中表示，該漏洞是一個利用數組越界漏洞可導致內存溢出，獲得超級權限覆蓋掉WASM，填寫新的可執行代碼進去，進行惡意操作。這種漏洞很常見。BM第一次是加了Assert判定檢查（很遺憾失效了，可能哪兒沒修干凈）其實也可以包一個安全函數來操作，我覺得這個漏洞倒不難改。[2018/5/29]

sMPC過程涉及多次隨機秘密份額的分布式生成與交互驗證，是實現多方安全計算的核心，并且處于異步網絡通信環境里，延遲不可預測，另外惡意節點會對節點間份額集合的一致性進行干擾攻擊，例如惡意節點給一部分誠實節點一種秘密份額子集，但是給另一部分誠實節點另外一種子集，在缺乏多輪交互確認以及可靠廣播信道的系統里這種行為極具破壞性。因此Fednodes的分布式網絡應該是一種拜占庭容錯的一致性系統，即便閾值范圍內的節點出現slow/fault/failure/crash或者Byzantine行為，也不妨礙系統繼續完成協作，否則整個系統的效率將極大被阻塞影響。這種拜占庭容錯系統可以更細分為replicatedstatemachines和Byzantinequorumsystems兩種。后者一般適用于只涉及讀和寫等簡單的語義，基于前者MOV交叉跨鏈系統將實現一種契合安全多方計算過程的AsynchronousByzantineBroadcastProtocols，用于消息的防拜占庭可靠傳輸，并靈活適配于各種網絡模型。

ReliableBroadcast

我們構建

?Reliablebroadcast，一種針對拜占庭將軍問題的廣播模型，滿足下面特性:?

Validity：如果一個誠實節點廣播一條消息<ID.j.s,m>，那么所有的誠實節點都將收到同樣的消息。

Consistency：如果一些誠實節點r-deliver了消息<ID.j.s,m>，另一些誠實節點r-deliver了消息<ID.j.s,m′>，那么m=m′。

Totality：如果一些誠實節點r-deliver了序號為ID.j.s的消息，那么所有的誠實節點都將r-deliver同樣序號的消息。

Integrity：每個誠實節點只能r-deliver最多一條ID.j.s標識下的消息m。

Efficiency：每個D.j.s序號下的broadcast實例的通信復雜度都是uniformlybounded。??

Validity保證了算法的liveness，Consistency和Totality是對傳統定義agreement的拆分，拆分的緣由之一是不保證totality的reliablebroadcast也是一種有用的方法。???

基于此我們構建協議如下——

鏈塔智庫發布比原鏈評級報告，評級為A:今日，鏈塔智庫發布比原鏈BTM評級報告。評級分析師團隊將比原鏈BTM項目等級定義為「A」，項目可用性較強，代幣穩定性一般，風險較低。[2018/5/8]

當收到消息(ID.j.s,in,r-broadcast,m)，執行：

????

????

當節點收到來自Leader節點Pι的消息(ID.j.s,r-send,m)，執行：

????

????

當節點收到來自其他節點的消息(ID.j.s,r-echo,d)：???

????

????

當節點收到來自其他節點的消息(ID.j.s,r-ready,d)：???

????

????

在收到消息(ID.j.s,r-request)后執行：???

????

????

????

????

RBC傳承了經典拜占庭容錯共識的三階段，同時引入了更為可靠的消息傳輸，十分適合安全多方計算網絡的秘密份額傳輸和合成。Reliablebroadcast分為“echo”和“ready”兩個關鍵階段，echo階段保證每個節點都accept到了同樣的消息，ready階段保證如果一個人accept了一條消息M，那么其他所有節點也都accept了M。???

整體上消息復雜度是O(N^2)。如果沒有fault出現，復雜度可降為：

????

gate.io發布將為比原鏈（BTM）用戶兌換主網資產的公告:gate.io發布公告稱，比原鏈主鏈已經上線，gate.io已經對主鏈進行測試并已經完成技術對接。gate.io正在與比原鏈團隊溝通，將于近日為所有用戶兌換為主網資產。gate.io平臺用戶無需任何操作即可獲得主網代幣兌換，gate.io平臺之外的BTM持有用戶需要充值到gate.io進行兌換。[2018/5/3]

????

注：m是發送的消息，k′是hash的長度。但是需要注意的是惡意攻擊者會阻塞r-send過程導致開銷增大。

安全多方計算

門限ECDSA簽名

近些年來人們在不斷追尋更為通用和靈活的(t,n)門限方案，即n>=t+1，且只需要t+1方即可完成簽名。但是更多的阻礙出現在了分布式密鑰生成協議上，往往都是極具消耗性的，難以用于實際生產。

在通用的DSA簽名算法中，假設循環群G由素數階q和基點g來定義，密鑰x統一從以素數q為模數的有限域Z/q中隨機選取，從Z/q中隨機選取k。對DSA門限簽名的實現難度在于需要多方共同來計算R和s，這種非線性的計算對多方安全計算來說是十分困難的。受到著名的MPC實現SPDZ的啟發，采用了一種不同的多方計算法：假設有兩個秘密值a和b在多方之間分享，有a=a1+...+an，b=b1+...+bn，對于參與方Pi擁有ai和bi；此時我們需要生成c=ab的分享，注意到有

????

????

需要對每一項秘密值aibj都進行分享；這給予的啟示是，可以讓參與方們根據各自擁有的a和b的秘密份額兩兩配對組合生成秘密值aibj，基于此創建一種簡單而又優雅的門限ECDSA協議。根據上面提到的原理計算乘法分享：?

????

????

????

????

因此可以獲得R的多方計算：

????

????

簽名的s值分享組合：

????

????

至此，門限ECDSA簽名的實現原理已經清晰。

零知識證明

我們用到了零知識證明來檢測成員里的惡意行為，采取先簽后驗的方式，即如果最終的簽名未驗證通過則證明至少一個成員未遵循規則。但是我們需要確保這個過程中誠實成員暴露的信息不會被惡意利用。

通信模型

假設存在一個點對點的廣播通道用于連接每一對成員通信。惡意攻擊者至多控制t個成員，且t<=n-1，我們假設攻擊者是最后“說話”的，即看到誠實成員的信息后選擇自己的信息方案。目前的協議并不保障liveness，即可能無法完成協議運行。

加法同態加密

對于給定的兩個基于同態加密算法E的密文：

????

????

定義同態加操作：

????

????

定義標量乘法操作：

????

????

不可延展的陷門承諾協議

通常一個陷門承諾機制包含四部分算法：

KG：密鑰生成算法，輸入一個安全參數，輸出密鑰對{pk,tk}，其中pk是與承諾機制有關的公鑰，tk為陷門；

Com：承諾算法；

Ver：驗證算法；

Equiv：通過給定的陷門打開承諾算法。

一個陷門承諾需要滿足以下屬性：

Correctness；

InformationTheoreticSecurity；

SecureBinding。

所謂承諾是不可展的指，對于給定信息m的承諾C，攻擊者在看到承諾打開后，不可能找到另一個承諾C'，使之可以成功解承諾后得到消息m'，否則攻擊者可以換成自己的承諾，使真正的承諾無效。

可驗證秘密分享協議

即?

Feldman'sVSS

。

對于一個可驗證秘密分享協議，會有一個輔助信息被公開，以便允許成員可以據此驗證它們的秘密碎片是否始終如一并可以構建出唯一的秘密。Feldman方案便是對于Shamir秘密分享的一種可驗證擴展。?

份額變換

是計算秘密值乘法運算的重要MPC原語。假定Alice和Bob分別擁有秘密a和b，對于ab的乘法分享，令x=abmodq，Alice和Bob需要計算x的秘密加法分享

????

????

這里我們呈現一個基于加法同態的協議。

Alice初始化協議：

向Bob發送

????

????

Bob計算密文

????

????

Bob設置他的分享

????

????

回復Alice。

Alice解密cB得

????

????

sMPC協議

我們假設每個成員Pi都擁有加法同態加密機制下的公鑰Ei。

密鑰生成協議

共存在n個并發VSS協議分發成員各自的秘密值，每個成員收集拼裝來自其他n-1個成員的秘密值碎片，所以理論上在復現最終總私鑰時，需要進行n次多方計算。

生成簽名

Phase1：每個成員選擇各自的秘密值

????

????

Phase2：兩兩一對參與到一個兩方“乘轉加”份額變換的子協議中，計算出——

????

????

????

????

依此進一步得到r。

Phase3：

每個成員Pi設置各自的

????

????

注意到有

????

????

為對s的一個(t,t)分享，最終得

????

????

引用

RosarioGennaroandStevenGoldfeder.“FastMultipartyThresholdECDSAwithFastTrustlessSetup”.English.In:ACM,2018,pp.1179–1194.isbn:9781450356930;1450356931;

https://eprint.iacr.org/2019/114.pdf

SoftwarefortheSPDZ,MASCOT,andOverdrivesecuremulti-partycomputationprotocols.?

https://github.com/bristolcrypto/SPDZ-2

Tags：BTM比原鏈FEDODEbtm幣跑路了比原鏈幣是不是主流幣YFED幣Node Runners

屎幣