DLC原理及优化思路探讨

1. 引言

离散对数合约(DLC)是一种基于预言机的条件支付方案,由MIT的Tadge Dryja于2018年提出。DLC允许双方根据预定义条件进行有条件付款,参与者预先签署可能的结果,并在预言机签署结果时执行支付。这使得DLC能够在比特币上实现新型去中心化金融应用,同时保障比特币存款安全。

相比闪电网络,DLC具有以下优势:

• 更好的隐私保护
• 支持复杂金融合约
• 降低对手方风险
• 无需管理支付通道
• 在复杂合约方面提供可扩展性

然而,DLC仍存在一些风险和问题:

• 预言机密钥泄露或丢失风险
• 预言机中心化问题
• 去中心化预言机无法直接派生密钥
• 预言机串谋风险
• 固定面额找零问题

本文将对这些问题提出一些优化方案,以提高比特币生态系统的安全性。

2. DLC原理

以Alice和Bob对第n+k个区块哈希值奇偶性的对赌为例,说明DLC的基本原理:

1. 初始化:生成元G,阶q

2. 密钥生成: 预言机: 私钥z,公钥Z=z·G Alice: 私钥x,公钥X=x·G
   Bob: 私钥y,公钥Y=y·G

3. 注资交易:Alice和Bob各锁定1BTC到2-of-2多签输出

4. 合约执行交易:创建两笔CET用于花费注资交易

5. 预言机计算承诺: R = k·G S = R - hash(OddNumber,R)·Z S' = R - hash(EvenNumber,R)·Z 广播(R,S,S')

6. Alice和Bob计算新公钥: PK^Alice = X + S PK^Bob = Y + S'

7. 结算:预言机根据区块哈希值广播s或s' 奇数: s = k - hash(OddNumber,R)·z 偶数: s' = k - hash(EvenNumber,R)·z

8. 提币:获胜方计算新私钥并提取资产 Alice: sk^Alice = x + s Bob: sk^Bob = y + s'

3. DLC优化

3.1 密钥管理

预言机的私钥和随机数存在泄露或丢失风险,可能导致:

• 无法结算
• 欺诈结算
• 私钥被破解
• 随机数重用

建议:

• 使用BIP32派生子密钥
• 使用私钥和计数器哈希值作为随机数

3.2 去中心化预言机

采用Schnorr门限签名实现去中心化预言机,具有以下优势:

• 提高安全性
• 分布式控制
• 提高可用性
• 灵活可扩展
• 可追责

3.3 去中心化与密钥管理耦合

去中心化预言机难以直接使用BIP32派生密钥。可采用分布式密钥派生方法:

• 基于拉格朗日插值多项式
• 私钥分片与完整私钥满足插值关系
• 派生子私钥分片仍满足插值关系

注意区分增强型和非增强型BIP32。

3.4 OP-DLC:预言机信任最小化

提出OP-DLC机制:

• 预言机质押构建链上OP游戏
• 任何诚实参与方可发起挑战
• 惩罚作恶预言机
• 可采用"k-of-n"模型签名

3.5 OP-DLC + BitVM双桥

结合OP-DLC和BitVM:

• 解决DLC找零问题
• 提供多种出入金通道
• 预言机信任最小化
• 提高资金利用率

4. 结论

DLC结合Taproot和BitVM等技术,可实现更复杂的链下合约验证结算。OP挑战机制有助于实现预言机信任最小化,进一步提升DLC的安全性和可用性。