BitVM фоновые знания: доказательство мошенничества и подходы к реализации ZK Fraud Proof

доказательство мошенничества является широко используемым техническим решением в области блокчейна, которое впервые возникло в сообществе Ethereum и было принято такими Ethereum Layer 2, как Arbitrum и Optimism. После возникновения экосистемы биткойна в 2023 году Робин Линус предложил решение BitVM, основанное на идее доказательства мошенничества, которое предоставляет новую модель безопасности для второго уровня биткойна или мостов на основе уже существующих технологий биткойна.

BitVM прошел через несколько теоретических версий, начиная с раннего BitVM0, основанного на логических воротах, и заканчивая BitVM2, в котором в качестве основного компонента используются ZK Fraud Proof и верификационные цепи Groth16; технические пути реализации постоянно совершенствуются. Несколько проектов, таких как Bitlayer, Citrea, BOB, Fiamma и GoatNetwork, реализовали различные версии на основе технологии BitVM.

В данной статье будет рассмотрен пример схемы доказательства мошенничества Optimism, анализирующий ее основанный на виртуальной машине MIPS и интерактивном доказательстве мошенничества, а также основные идеи ZK-доказательства мошенничества.

OutputRoot и StateRoot

Optimism — это известный проект Optimistic Rollup, который состоит из упорядочивателя и смарт-контрактов на блокчейне Ethereum. После обработки данных о транзакциях упорядочиватель отправляет данные на Ethereum. Любой может запустить клиент узла Optimism, скачать данные, загруженные упорядочивателем, и локально выполнить транзакции, вычислив текущий хеш состояния Optimism.

Если последователь загружает неправильный хэш набора состояния, локальный вычисленный результат будет отличаться от него, в этом случае можно инициировать сомнение через систему доказательства мошенничества. Система примет соответствующие меры к последовательному в зависимости от решения.

Optimism использует поле StateRoot, аналогичное полю в Ethereum, для отражения изменений в наборе состояний. Секретарь периодически загружает OutputRoot в Ethereum, который вычисляется на основе StateRoot и двух других полей.

MIPS виртуальная машина и дерево Меркла памяти

Для проверки корректности OutputRoot в цепочке команда Optimism разработала интерактивную систему доказательства мошенничества, глубоко детализировав процесс обработки транзакций. Они написали виртуальную машину MIPS на Solidity, реализовав часть функций клиента узлов OP.

Состояние виртуальной машины MIPS организовано с помощью дерева Меркла в памяти. В процессе доказательства мошенничества необходимо загрузить часть данных из памяти в цепь. Смарт-контракт на цепи выполняет одну команду MIPS с помощью функции Step, проверяя, совпадает ли результат с тем, что предоставил упорядочиватель.

Интерактивное доказательство мошенничества

Optimism разработал протокол Fault Dispute Game(FDG), который включает в себя две роли: вызов и защитник. Участники должны локально построить GameTree и через много раундов взаимодействия определить спорные MIPS операционные коды.

GameTree состоит из двух уровней деревьев, листья первого уровня представляют собой OutputRoot различных блоков, а листья второго уровня представляют собой хэш состояния виртуальной машины MIPS. Стороны спора через ончейн взаимодействие в конечном итоге определяют, какие MIPS операции кода необходимо выполнить на цепочке.

ZK-доказательство мошенничества

Традиционные доказательства мошенничества имеют такие проблемы, как сложность взаимодействия, высокие затраты на gas и высокая сложность разработки. Чтобы решить эти проблемы, Optimism предложил концепцию ZK Fraud Proof.

В решении ZK Fraud Proof, оспариватель указывает транзакцию, которую необходимо воспроизвести, а Rollup-секретарь предоставляет ZK-доказательство оспариваемой транзакции, которое проверяется смарт-контрактом Ethereum. Если проверка проходит успешно, то транзакция считается обработанной корректно.

В отличие от интерактивного доказательства мошенничества, ZK Fraud Proof заменяет многократные взаимодействия на одно создание ZK-доказательства и его верификацию на блокчейне, экономя время и газовые затраты. В отличие от ZK Rollup, OP Rollup на основе ZK Fraud Proof генерирует ZK-доказательства только при возникновении вызова, что снижает вычислительные затраты для узлов.

BitVM2 также использует аналогичный подход, реализуя программу проверки ZK Proof с помощью Bitcoin-скриптов и значительно упростив размеры программы, загружаемой в цепочку. Многие проекты, такие как Bitlayer, Goat Network, ZKM и Fiama, исследуют этот технологический путь.