BitVM背景知識：欺詐證明與ZK Fraud Proof的實現思路

欺詐證明是區塊鏈領域廣泛應用的技術方案，最早源於以太坊社區，被Arbitrum和Optimism等以太坊Layer2採用。2023年比特幣生態興起後，Robin Linus提出了BitVM方案，以欺詐證明爲核心思想，基於比特幣既有技術，爲比特幣二層或橋提供了新的安全模型。

BitVM經歷了多個理論版本演變，從早期以邏輯門電路爲基元的BitVM0，到後來以ZK Fraud Proof和Groth16驗證電路爲核心的BitVM2，技術實現路徑不斷成熟。多個項目如Bitlayer、Citrea、BOB、Fiamma和GoatNetwork均以BitVM爲技術基礎進行了不同版本的實現。

本文將以Optimism的欺詐證明方案爲例，解析其基於MIPS虛擬機和交互式欺詐證明的方案，以及ZK化欺詐證明的主要思路。

OutputRoot和StateRoot

Optimism是知名的Optimistic Rollup項目，其架構由定序器和以太坊鏈上智能合約組成。定序器處理交易數據後，會將數據發送到以太坊上。任何人都可以運行Optimism節點客戶端，下載定序器上傳的數據並在本地執行交易，計算出Optimism的當前狀態集哈希。

如果定序器上傳了錯誤的狀態集哈希，本地計算結果會與之不同，此時可以通過欺詐證明系統發起質疑。系統會根據判決結果對定序器採取相應措施。

Optimism採用與以太坊類似的StateRoot字段來體現狀態集變化。定序器定期將OutputRoot上傳到以太坊，OutputRoot由StateRoot和其他兩個字段計算得出。

MIPS虛擬機與內存Merkle Tree

爲在鏈上驗證OutputRoot的正確性，Optimism團隊設計了交互式欺詐證明系統，將交易處理流程深度細化。他們用Solidity編寫了一個MIPS虛擬機，實現了部分OP節點客戶端功能。

MIPS虛擬機的狀態信息通過內存Merkle Tree組織。在欺詐證明過程中，需要將部分內存數據上傳到鏈上。鏈上智能合約通過Step函數執行單條MIPS操作碼，驗證結果是否與定序器提交的一致。

交互式欺詐證明

Optimism開發了Fault Dispute Game(FDG)協議，包含挑戰者和防御者兩個角色。參與者需在本地構建GameTree，通過多輪交互定位有爭議的MIPS操作碼。

GameTree由兩層級樹構成，第一層級樹的葉子節點是不同區塊的OutputRoot，第二層級樹的葉子節點是MIPS虛擬機的狀態哈希。爭議雙方通過鏈上交互，最終確定需要在鏈上執行的MIPS操作碼。

ZK化欺詐證明

傳統欺詐證明存在交互復雜、gas成本高、開發難度大等問題。爲解決這些問題，Optimism提出了ZK Fraud Proof概念。

ZK Fraud Proof方案中，挑戰者指定需要重放的交易，Rollup定序器給出被挑戰交易的ZK證明，由以太坊智能合約驗證。驗證通過則認爲交易處理無誤。

相比交互式欺詐證明，ZK Fraud Proof將多輪交互改爲一輪ZK證明生成和鏈上驗證，節省時間和gas成本。相比ZK Rollup，基於ZK Fraud Proof的OP Rollup只在被挑戰時生成ZK證明，降低了節點計算成本。

BitVM2也採用了類似思路，通過比特幣腳本實現ZK Proof驗證程序，並對上鏈程序尺寸進行了極大精簡。多個項目如Bitlayer、Goat Network、ZKM和Fiama等正在探索這一技術路線。