金色薦讀 | V 神：以太坊上的各種 BTC 到底靠不靠譜？_AND

首先這個話題不是筆者一個人的顧慮，今年8月17號，以太坊創始人Vitalik在推特上發文：「我依舊很擔心這些發在以太坊上的BTC映射代幣到底靠不靠譜？」言下之意，現在以太坊上有各種加字母的BTC代幣，但是到底是不是真正「去中心化」且安全的方案呢？

在Vitalik的推特下面，我們看到了很多國際上區塊鏈圈內人熱烈的討論，也提到了各種現在主流的BTC跨鏈方案，比如REN，WAN等。筆者在Wanchain一直從事安全跨鏈技術方面的研究，所以平時對各種跨鏈BTC方案也做了些粗淺的研究，這里和大家分享一下我們的一些看法。

所謂的BTC跨鏈，最簡單直接的理解就是一個用戶把「真」的BTC從錢包轉到一個BTC地址，這個地址收到「真」BTC以后，在以太坊上給你一個「假」的BTC的映射代幣，如下圖流程所示：

一般在以太坊上用ERC20標準鑄造的BTC代幣前加個字母符號，如wanBTC，renBTC,sBTC,WBTC,tBTC等。但是本質上都是「真」幣換「假」幣。那為什么大家要問，誰會用真幣去換個假幣呢？一是技術原因，因為近期以太坊上的DeFi應用如火如荼，但是這些DeFi應用只能支持ERC20標準的代幣參與到這些DeFi協議/產品中去，要不交換，要不借貸，要不流動性挖礦等；二是市場原因，畢竟BTC作為公認的數字貨幣的「黃金」，擁有太多的擁躉和持幣用戶群體，每個DeFi產品都希望引流，擴大自己的產品使用人群或者流動性提供者。既然理解了「真」換「假」是個剛需，接下來就是考驗這些跨鏈方案的去中心化性和安全性了，也就是「真」能換到「假」，同時「假」也要能換回「真」同時你拿著「假」幣的時候，拿著你「真」幣的「人或者一個機制」不會帶著你的真幣跑路。

中心化托管方案，這個拿著你「真」幣的人就是告訴你：你的「真」幣在我手里，我不會跑路，你放心吧！代表性的方案就是WBTC。WBTC背靠BitGo這顆大樹，完全用中心化的信任來做保證。

當然在區塊鏈和DeFi的世界中，大家更喜歡，更接受的是「去中心化」而又「安全」的方案，所以其他一些知名跨鏈項目都走的「非托管，去中心化，安全」解決方案的思路。其中來保證這個保存你「真」BTC賬戶的核心技術，采用的是多方安全計算，即MPC(Multi-partyComputing)。

金色午報 | 3月7日午間重要動態一覽:7:00-12:00關鍵詞：Compound、美國國稅局、灰度

1. 分析師Joseph Young：來自比特幣礦工的拋售壓力正在枯竭

2. Compound通過新提案，WBTC、BAT、ZRX抵押因子將于明日下調

3. 個人理財專家Suze Orman：我喜歡比特幣

4. 美國國稅局增加調查團隊以根除加密持有者逃稅行為

5. 本周灰度BTC無增持 ETH增持3179.64枚

6. 拜登宣布將從本月開始發放1400美元紓困金[2021/3/7 18:22:30]

做跨鏈的項目/協議用的「多方安全計算MPC」或者說是「門限簽名TSS」都是來自于一篇發表于1996年的經典論文《RobustThresholdDSSSignatures》，很可惜的是，這些項目/協議基本都是直接使用了這篇論文中闡述的原理來實現多方安全計算而并沒有太多的創新。筆者和團隊早在2017年的時候就意識到這篇論文的結果可以用于建立MPC賬戶，從而完成跨鏈資產的鎖定。故我們一直致力于把MPC/TSS真正用到跨鏈場景/產品中去，并且同時我們也使用了一些獨創的算法來降低了MPC計算過程中的交互次數。MPC技術在跨鏈應用的一個重要難點就是參與MPC計算節點的「個體私鑰」與節點集合「群組私鑰」的耦合關系。簡單來說，「群組私鑰」能夠直接管理MPC賬戶，并且是由所有「個體私鑰」決定，但是這僅僅是一個「理論」存在，即它的功能實施是依賴于參與節點的「個體私鑰」通過多方計算的方式完成的。因此整個機制具有較高的容錯性，即使個別MPC計算節點作惡，也并不會影響協議運行。當然，當一個新的群組形成后，成員節點們的「個體私鑰」也會決定一個新的「群組私鑰」，即群組和「群組私鑰」是一一對應的。

我們再看看類似最近很火的renBTC的方案，根據其技術白皮書介紹，它同樣是基于論文《RobustThresholdDSSSignatures》中的技術作為其TSS解決方案。并且在此項目介紹中，重點強調其管理跨鏈BTC賬戶是由一組「暗節點」生成，而且這組「暗節點」中的成員一定會進行周期性的輪換。但是矛盾的是，我們發現renBTC提供的用戶轉入真BTC進行鎖定的BTC地址自從上線第一天開始至今沒有任何變化過。其流程是用戶先把BTC轉賬到一個一次性地址里面，然后一次性地址又匯總到鎖定賬戶，鎖定賬戶一直沒有變過如下圖所示。

金色相對論 | 虎符聯合創始人長安：流動性挖礦是項目爆發性增長的催化劑:7月16日消息，在今日舉行的金色相對論中，針對“流動性挖礦可能會成為DeFi協議的標配嗎？能否真的解決去中心化治理？”的問題，虎符聯合創始人長安表示，非常認同接下來一段時間流動性挖礦會是主流標配， 一是compound珠玉在前，如此優秀的市場反饋，后來者沒理由棄之不用。 二是jerry老板提到的解決了代幣分發的問題，這一點極其關鍵。當然defi本身的監管風險就低于其它類型的項目，輔以挖礦的分發手段可以說是讓項目方睡得安心了。

三是以Compound為例，流動性挖礦大大激活了市場和用戶的參與度，在良好業務基本面的支撐下，流動性挖礦是項目爆發性增長的催化劑。至于是否能解決去中心化治理，我持反面意見。[2020/7/16]

圖1

圖2

如果這個賬戶地址」真的」是由MPC產生，而且參與賬戶管理的「暗節點」會周期性輪換的話，那么賬戶的地址也一定會進行周期性的更新，而不是一直不變。因此宣傳的技術和項目的實施出現了自相矛盾的狀況。那為什么會出現技術白皮書的描述和產品實現貌似完全是不一樣的？從而引發我們進一步的思索，這個「托管」BTC的地址到底是不是通過MPC方式產生的？如果是，沒有變化過又如何解釋呢？至少我們從其Github代碼庫和各種參考技術文檔中沒有任何發現。

然而REN的問題遠不止于此。renBTC采用的ECDSA門限簽名方案并不滿足「門限最優」的理論，也就說設定門限值t后，至少需要2t1個「暗節點」參與才能夠保證計算的順利實施，再結合一些節點的掉線可能狀況，最終實現中節點的數量為3t1。也就是說，這種狀態下只要約三分之一的節點合謀即可盜取走跨鏈的BTC，是非常危險的，同理參考已經被業界略有微辭的BFT拜占庭容錯協議中，還需要至少三分之二的共識，因此renBTC的TSS方案在安全性存在很大的風險。

最后，根據REN技術白皮書介紹，在其BTC賬戶建立過程中，「暗節點」之間通過一條私有鏈完成數據的交互，而且交互數據是處于加密狀態的，而其合法性則是由「零知識證明」保證。因此最終「個體私鑰」是否正確，完全是依賴于這個零知識證明的。那么到底如何去構造這個零知識證明呢？REN技術白皮書中并沒有給出具體實現方式，也沒有給出相關的參考文獻，同樣在Gitbub上沒有相關任何代碼實現。這樣不免給人堆砌密碼學名詞，造成高大上感覺的疑惑。

BTC減半倒計時｜金色財經挖礦收益播報:金色財經報道，據OKEx礦池數據顯示，下一次BTC減半日期預計為2020年5月13日，今天距此還有53天。BTC當前塊高622241，下一次減半塊高630000。

今日全網算力約98.93EH/s，全網難度約16.55T，預測下次難度15.37（-7.15），距離調整還剩還有5天，今日BTC收益：0.00001519BTC/T/天。[2020/3/20]

寫在最后的感想：今年尤其是6月份以后，DeFi成為了區塊鏈的一個現象，并且應用，TVL值都井噴式的發展。雖然其中不免有部分泡沫，但整體看到區塊鏈應用在快速發展，也產生了很多有意義的嘗試，這都是整個行業喜聞樂見的事情。但與此同時，區塊鏈核心技術，比如去中心化安全跨鏈技術的發展并不像DeFi應用那么快，我們無意去攻擊類似REN這樣的項目，只是作為區塊鏈技術的理性的探討：一是推到市場的產品是否應該符合技術白皮書的構想？二是如果在白皮書階段提出了很多「高大上」的名詞來證明自己機制的「獨特性，安全性」等，是否應該工程實現環節也證明出來？我們看過了太多當年ICO時候靠一個白皮書來融資，講故事的浮生繪，整個行業包括我們每個人或多或少都是受害者，所以時至今日再來審視的時候，我們思考的更多是做點真正有意義的突破，哪怕是很小的一點突破。也希望做跨鏈賽道的國內外同行能夠一起沉下心來，摒除浮夸，少點言行不一致的，做點實際的事情，就像這句名言說的：你可以欺騙所有人于一時，也可以欺騙部分人于一世，但不能欺騙所有人于一世。

致謝Dr.WJZhang，GabrielGuo，NoahMaizels,NicolasKraples對作者很多觀點的啟發

撰文：李尼、Dr.DemmonZ.Z，前者為Wanchain全球副總裁、去中心化金融協議FinNexus發起人，后者為Wanchain理論團隊負責人

參考文獻：

RosarioGennaroandStevenGoldfeder.「FastMultipartyThresholdECDSAwithFastTrustlessSetup」.English.In:ACM,2018,pp.1179–1194.isbn:9781450356930;1450356931;

金色財經現場報道 美國司法部（DOJ）助理副檢察長Sujit Raman：對加密貨幣的最大擔憂是大量資金不經過金融機構便流入市場:金色財經現場報道，今日在Coindesk 2018共識會議上，美國司法部（DOJ）助理副檢察長Sujit Raman稱：“DOJ的首要任務是保證人們的安全，我們對加密貨幣的擔憂是大量資金不經過金融機構便流入市場，而不接觸金融機構。從國家安全角度或反洗錢角度來看，這是我們必須進行的調查。”[2018/5/16]

RosarioGennaro,StevenGoldfeder,andArvindNarayanan.「ThresholdOptimalDSA/ECDSASignaturesandanApplicationtoBitcoinWalletSecurity」.In:AppliedCryptographyandNetworkSecurity.Ed.byMarkManulis,Ahmad-RezaSadeghi,andSteveSchneider.Cham:SpringerInternationalPublishing,2016,pp.156–174.isbn:978-3-319-39555-5.

RosarioGennaroetal.「RobustThresholdDSSSignatures」.In:AdvancesinCryptology—EUROCRYPT’96.Ed.byUeliMaurer.Berlin,Heidelberg:SpringerBerlinHeidelberg,1996,pp.354–371.isbn:978-3-540-68339-1.

PhilipMacKenzieandMichaelK.Reiter.「Two-partygenerationofDSAsignatures」.In:InternationalJournalofInformationSecurity2.3(Aug.2004),pp.218–239.doi:10.1007/s10207-004-0041-0.url:?https://doi.org/10.1007/s10207-004-0041-0.

金色財經現場報道 EOS Asia聯合創始人郭達峰：EOS是目前看來成功概率最大的DApp公鏈:金色財經現場報道，在火幣EOS全球超級節點SHOW上，EOS Asia聯合創始人郭達峰進行現場演講，郭達峰指出：區塊鏈要想實現真正的技術普及，并讓更多人可以真正應用，就必須依靠能夠切實落地的DApp。EOS是目前看來成功概率最大的DApp公鏈。區塊鏈+游戲是一個幫助用戶了解區塊鏈的好渠道。EOS Asia也會通過開通線上、線下課程的方式來推動EOS領域的技術開發。[2018/5/14]

IvanDamgardetal.「ImplementingAESviaanActively/CovertlySecureDishonest-MajorityMPCProtocol」.In:SecurityandCryptographyforNetworks.Ed.byIvanViscontiandRobertoDePrisco.Berlin,Heidelberg:SpringerBerlinHeidelberg,2012,pp.241–263.isbn:978-3-642-32928-9.

RanCanetti.「SecurityandCompositionofMultipartyCryptographicProtocols」.In:JournalofCryptology13.1(Jan.2000),pp.143–202.doi:10.1007/s001459910006.

TorbenP.Pedersen.「Non-InteractiveandInformation-TheoreticSecureVerifiableSecretSharing」.In:Proceedingsofthe11thAnnualInternationalCryptologyConferenceonAdvancesinCryptology.CRYPTO’91.Berlin,Heidelberg:Springer-Verlag,1991,pp.129–140.isbn:3540551883.

RosarioGennaroetal.「SecureDistributedKeyGenerationforDiscreteLogBasedCryptosystems」.English.In:JournalofCryptology20.1(2007),pp.51–83.

AdiShamir.「HowtoShareaSecret」.In:Commun.ACM22.11(Nov.1979),pp.612–613.issn:0001-0782.doi:10.1145/359168.359176.url:?https://doi.org/10.1145/359168.359176.

GiladAsharovetal.「AFullProofoftheBGWProtocolforPerfectlySecureMultipartyComputation」.English.In:JournalofCryptology30.1(2017),pp.58–151.

ShafiGoldwasser,SilvioMicali,andCharlesRackoff.「TheKnowledgeComplexityofInteractiveProofSystems」.English.In:SIAMJournalonComputing18.1(1989),pp.186–208.

SilvioMicaliandPhillipRogaway.「SecureComputation」.In:AdvancesinCryptology—CRYPTO’91.Ed.byJoanFeigenbaum.Berlin,Heidelberg:SpringerBerlinHeidelberg,1992,pp.392–404.isbn:978-3-540-46766-3.35

DonaldBeaver.「FoundationsofSecureInteractiveComputing」.In:AdvancesinCryptology—CRYPTO’91.Ed.byJoanFeigenbaum.Berlin,Heidelberg:SpringerBerlinHeidelberg,1992,pp.377–391.isbn:978-3-540-46766-3.

JensGroth.「OntheSizeofPairing-BasedNon-interactiveArguments」.In:May2016,pp.305–326.isbn:978-3-662-49895-8.doi:10.1007/978-3-662-49896-5_11.

EthanBuchman,JaeKwon,andZarkoMilosevic.ThelatestgossiponBFTconsensus.2018.arXiv:1807.04938v3.

P.Feldman.「Apracticalschemefornon-interactiveverifiablesecretsharing」.In:28thAnnualSymposiumonFoundationsofComputerScience(sfcs1987).Oct.1987,pp.427–438.doi:10.1109/SFCS.1987.4.

LloydR.WelchandElwynR.Berlekamp.ErrorCorrectionforAlgebraicBlockCodes.U.S.Patent4,633,470.Dec.1986.

ShuhongGao.「ANewAlgorithmforDecodingReed-SolomonCodes」.In:Communications,InformationandNetworkSecurity.Ed.byVijayK.Bhargavaetal.Boston,MA:SpringerUS,2003,pp.55–68.isbn:978-1-4757-3789-9.doi:10.1007/978-1-4757-3789-9_5.

R.McElieceandD.Sarwate.OnsharingsecretsandReed-Solomoncodes.English.1981.

ManuelCerecedo,TsutomuMatsumoto,andHidekiImai.「Efficientandsecuremultipartygenerationofdigitalsignaturesbasedondiscretelogarithms」.In:IEICETransactionsonFundamentalsofElectronics,CommunicationsandComputerSciences76(Apr.1993).

MichaelBen-Or,ShafiGoldwasser,andAviWigderson.「CompletenessTheoremsforNon-CryptographicFault-TolerantDistributedComputation」.In:ProceedingsoftheTwentiethAnnualACMSymposiumonTheoryofComputing.STOC’88.Chicago,Illinois,USA:AssociationforComputingMachinery,1988,pp.1–10.isbn:0897912640.doi:10.1145/62212.62213.url:https://doi.org/10.1145/62212.62213.

DonaldBeaver.「EfficientMultipartyProtocolsUsingCircuitRandomization」.In:Proceedingsofthe11thAnnualInternationalCryptologyConferenceonAdvancesinCryptology.CRYPTO’91.Berlin,Heidelberg:Springer-Verlag,1991,pp.420–432.isbn:3540551883.

J.Bar-IlanandD.Beaver.「Non-cryptographicfault-tolerantcomputinginconstantnumberofroundsofinteraction」.English.In:ACM,1989,pp.201–209.isbn:0897913264;9780897913263;

Tags：BTCINGIONANDbtc交易平臺app下載Kingdomswap (New)Shiba Floki Trillionairesand幣有沒有價值

UNI