DLC技術原理及優化方案探討

1. 引言

離散對數合約(DLC)是一種基於預言機的比特幣合約執行方案,由MIT的Tadge Dryja於2018年提出。DLC允許雙方根據預定義條件進行有條件支付,參與方預先籤署可能的結果,並在預言機簽署結果時執行支付。這使得DLC能夠在比特幣上實現新的去中心化金融應用,同時保證存款安全。

相比閃電網絡,DLC具有以下優勢:

• 更好的隱私保護,合約細節僅在參與方間共享
• 支持復雜靈活的金融合約,如衍生品、保險等
• 降低對手方風險,資金鎖定在多籤合約中
• 無需管理支付通道
• 在復雜合約方面提供更好的可擴展性

然而DLC仍存在一些問題和風險:

• 預言機密鑰泄露或丟失風險
• 預言機中心化問題
• 去中心化預言機無法進行密鑰派生
• 預言機串謀風險
• 固定面額找零問題

本文將探討DLC的原理,並提出一些優化方案來解決上述問題。

2. DLC原理

以Alice和Bob簽署一個對賭協議爲例,賭注第n+k個區塊的哈希值奇偶性。奇數Alice贏,偶數Bob贏。

初始化:

• 橢圓曲線生成元G,階q
• 預言機私鑰z,公鑰Z=z·G
• Alice私鑰x,公鑰X=x·G
• Bob私鑰y,公鑰Y=y·G

注資交易:Alice和Bob各鎖定1BTC到2-of-2多籤輸出。

合約執行交易:創建兩筆CET用於花費注資交易。

預言機承諾: R := k·G
S := R - hash(OddNumber,R)·Z S' := R - hash(EvenNumber,R)·Z 廣播(R,S,S')

Alice和Bob計算新公鑰: PK^Alice := X + S PK^Bob := Y + S'

結算: 奇數結果:s := k - hash(OddNumber,R)·z 偶數結果:s' := k - hash(EvenNumber,R)·z

提幣: Alice新私鑰:sk^Alice := x + s Bob新私鑰:sk^Bob := y + s'

3. DLC優化方案

3.1 密鑰管理

預言機密鑰管理面臨以下風險:

1. 丟失私鑰z:無法結算,執行退款
2. 泄露私鑰z:可能被濫用簽署任意消息
3. 泄露或重用隨機數k:可計算出私鑰z
4. 丟失隨機數k:對應DLC無法結算

建議:

• 使用BIP32派生子密鑰
• 使用私鑰和計數器哈希作爲隨機數

3.2 去中心化預言機

採用Schnorr門限籤名實現去中心化預言機,具有以下優勢:

• 增強安全性,分散密鑰管理
• 分布式控制,降低權力集中風險
• 提高可用性,部分節點故障不影響整體
• 靈活可擴展,可設置不同閾值
• 可追責,籤名分片可驗證

3.3 去中心化與密鑰管理耦合

去中心化預言機無法直接使用BIP32派生密鑰。可採用分布式密鑰派生方法:

私鑰分片z_i與完整私鑰z滿足拉格朗日插值關係: z = Σ(z_i · λ_i)

增加派生增量ω後仍滿足插值關係: z + ω = Σ((z_i + ω) · λ_i)

各參與方可派生子私鑰分片z_i + ω。

但需考慮增強型與非增強型BIP32的區別。

3.4 OP-DLC:預言機信任最小化

提出OP-DLC方案:

• 預言機提前質押構建鏈上OP遊戲
• 任何誠實參與方可發起挑戰
• 挑戰成功則懲罰作惡預言機
• 可與"k-of-n"模型結合使用

優點:

• 預言機節點互相監督
• 僅需一個誠實參與方,容錯率99%
• 解決預言機串謀風險

3.5 OP-DLC + BitVM雙橋

將OP-DLC與BitVM結合:

• 使用BitVM解決找零問題
• 提供多種出入金通道
• BitVM聯盟作爲預言機,實現信任最小化
• 提高資金利用率

4. 結論

DLC結合Taproot和BitVM等技術,可實現更復雜的鏈下合約驗證結算。OP挑戰機制可實現預言機信任最小化,爲DLC的發展提供了新的可能。