BitVM背景知识：欺诈证明与ZK Fraud Proof的实现思路

欺诈证明是区块链领域广泛应用的技术方案，最早源于以太坊社区，被Arbitrum和Optimism等以太坊Layer2采用。2023年比特币生态兴起后，Robin Linus提出了BitVM方案，以欺诈证明为核心思想，基于比特币既有技术，为比特币二层或桥提供了新的安全模型。

BitVM经历了多个理论版本演变，从早期以逻辑门电路为基元的BitVM0，到后来以ZK Fraud Proof和Groth16验证电路为核心的BitVM2，技术实现路径不断成熟。多个项目如Bitlayer、Citrea、BOB、Fiamma和GoatNetwork均以BitVM为技术基础进行了不同版本的实现。

本文将以Optimism的欺诈证明方案为例，解析其基于MIPS虚拟机和交互式欺诈证明的方案，以及ZK化欺诈证明的主要思路。

OutputRoot和StateRoot

Optimism是知名的Optimistic Rollup项目，其架构由定序器和以太坊链上智能合约组成。定序器处理交易数据后，会将数据发送到以太坊上。任何人都可以运行Optimism节点客户端，下载定序器上传的数据并在本地执行交易，计算出Optimism的当前状态集哈希。

如果定序器上传了错误的状态集哈希，本地计算结果会与之不同，此时可以通过欺诈证明系统发起质疑。系统会根据判决结果对定序器采取相应措施。

Optimism采用与以太坊类似的StateRoot字段来体现状态集变化。定序器定期将OutputRoot上传到以太坊，OutputRoot由StateRoot和其他两个字段计算得出。

MIPS虚拟机与内存Merkle Tree

为在链上验证OutputRoot的正确性，Optimism团队设计了交互式欺诈证明系统，将交易处理流程深度细化。他们用Solidity编写了一个MIPS虚拟机，实现了部分OP节点客户端功能。

MIPS虚拟机的状态信息通过内存Merkle Tree组织。在欺诈证明过程中，需要将部分内存数据上传到链上。链上智能合约通过Step函数执行单条MIPS操作码，验证结果是否与定序器提交的一致。

交互式欺诈证明

Optimism开发了Fault Dispute Game(FDG)协议，包含挑战者和防御者两个角色。参与者需在本地构建GameTree，通过多轮交互定位有争议的MIPS操作码。

GameTree由两层级树构成，第一层级树的叶子节点是不同区块的OutputRoot，第二层级树的叶子节点是MIPS虚拟机的状态哈希。争议双方通过链上交互，最终确定需要在链上执行的MIPS操作码。

ZK化欺诈证明

传统欺诈证明存在交互复杂、gas成本高、开发难度大等问题。为解决这些问题，Optimism提出了ZK Fraud Proof概念。

ZK Fraud Proof方案中，挑战者指定需要重放的交易，Rollup定序器给出被挑战交易的ZK证明，由以太坊智能合约验证。验证通过则认为交易处理无误。

相比交互式欺诈证明，ZK Fraud Proof将多轮交互改为一轮ZK证明生成和链上验证，节省时间和gas成本。相比ZK Rollup，基于ZK Fraud Proof的OP Rollup只在被挑战时生成ZK证明，降低了节点计算成本。

BitVM2也采用了类似思路，通过比特币脚本实现ZK Proof验证程序，并对上链程序尺寸进行了极大精简。多个项目如Bitlayer、Goat Network、ZKM和Fiama等正在探索这一技术路线。