mt logoMyToken
总市值:
0%
恐慌指数:
0%
币种:--
交易所 --
ETH Gas:--
EN
USD
APP
Ap Store QR Code

Scan Download

简洁原子互换协议(SAS):通过两笔交易来完成跨链交互

收藏
分享

原子互换(Atomic Swaps)是一种能在不同类型数字资产之间实现去信任的点对点交易技术,它也是跨链技术的其中一种,而此前常规的原子互换,通常需要4笔交易才能完成。

而在近期,比特币开发者Ruben Somsen描述了一种仅使用2笔交易(或3笔交易)而进行的去信任币交换过程,并将其称为简洁原子互换(SAS)协议。

这种“减半”协议的优点,在于它要比现有原子互换协议需要更小的区块空间,其节省了交易费用,并且它不依赖于任何新的安全性假设或比特币共识变更。

此外,如果比特币应用了 taproot ,则可以更加私密且有效地进行原子互换交易。

对于SAS协议,密码学和安全顾问Lloyd Fournier在进行评审后 表示 ,该方案是理论上的突破,对其而言,三笔交易的想法是最优雅的表达,而两笔交易的协议则是一个更优化的版本,它在某些情况下可能会是有意义的。

简洁原子互换协议(SAS):通过两笔交易来完成跨链交互

(图:简洁原子互换设计)

以下是SAS方案的具体描述:

今天,你可以在使用 单签名者ECDSA 适配器签名 (Adaptor Signatures)的情况下使用SAS方案,或者是使用Schnorr签名+MuSig。

(注:除了文章,还有一个关于SAS方案的 视频解释

优势:

  1. 成功完成只需要两笔链上交易,而之前的协议则需要四笔;
  2. 无脚本,并且其中一条链不需要支持时间锁(timelocks);
  3. 可用于有效的隐私交换,例如 Payswap
缺点:
  1. 能否访问资金取决于记住秘密(在备份方面会带来复杂性);
  2. 2 tx 协议的情况下,timelock支持链有在线/瞭望塔要求(3 tx 协议则不需要);

协议步骤

0.)除了方括号中的签名,Alice&Bob对以下交易进行预签名:

  1. success_tx (给Bob钱):[sigSuccessAlice] + [sigSuccessBob]
  2. revoke_tx (timelock): sigRevokeAlice + sigRevokeBob,必须由以下使用:

    refund_tx (相对timelock,退款给Alice):[sigfundalice]+{sigfundbob}

    timeout_tx (更长的相对timelock,给Bob钱):sigTimeoutAlice + [sigTimeoutBob]

{sigRefundBob}是一个适配器签名(adaptor signature),其需要 secretAlice来完成。

1.) Alice接着使用keyAlice和keyBob作为公钥与Bob锁定1 BTC

如果协议在步骤1之后失败中止:

  1. Alice发布 revoke_tx ,然后发布 refund_tx sigRefundBob ,以拿回她的BTC;
  2. 如果Alice未能及时发布 refund_tx ,则Bob将在超时后认领这笔BTC;
2.)Bob用secretAlice和secretBob作为公钥,与Alice一同锁定竞争币

如果协议在步骤2之后失败中止:

一旦Alice发布 sigRefundBob 之后,Bob知道了secretAlice,并重新获得了对竞争币的控制权。

3.)协议完成

  1. Alice将适配器签名 {sigSuccessAlice} 交给Bob,这需要secretBob来完成;
  2. Bob现在可通过 success_tx 认领BTC,揭示secretBob,从而让Alice控制竞争币(3tx协议的情况);
  3. 另一种情况,Bob只是将secretBob交给了Alice;
  4. 同样,Alice将keyAlice交给Bob,以放弃她对 refund_tx 的认领权;
  5. Bob继续监视这条链,因为一旦Alice发布了 revoke_tx ,他将不得不做出响应;
更优雅的协议失败:

如果协议在步骤1之后中止,Alice将被迫执行3笔交易,而Bob则没有执行任何交易。我们可以通过引入带有timelock的第二个 refund_tx ,将其减少到两笔,该timelock可以在revoke_tx之前发布,并直接从融资交易中支出。发布此交易还将通过适配器签名向Bob显示secretAlice。在3tx协议中,这一输出可以直接发送给Alice。在具有在线/暸望塔要求的2 tx协议中,此输出需要一个脚本:Alice + Bob立即可用,或在相对timelock之后由Alice使用。重要的是要注意,此交易一定不能在步骤3中发布。一旦Bob可以完成success_tx,则在显示secretAlice之前,需要revoke_tx来使success_tx无效。

常见问题解答(FAQ):

1、如果Alice不小心让Bob发布timeout_tx,为什么不允许她继续认领竞争币呢

答:Alice 可以同时发送revoke_tx,泄露两个秘密,并可能造成损失。这可以通过添加另一笔交易来完成,但这样做效率不高,也不会激励Alice。

2、是否可以在只支持绝对时间锁(absolute timelocks)的链上实现此协议

答:是的,但是Bob必须在timelock到期之前花掉他交换的币(或者使用3 tx协议)。请注意,revoke_tx必须在timeout_tx生效之前进行确认,如果费用突然上涨,这可能会成为问题。refund_tx也不允许CPFP超时发送,因为它们必须独立确认才能首先使success_tx失效。

3、协议完成后,Alicee没法只发布revoke_tx吗

答:是的,她首先必须移动竞争币(以使secretAlice无效),然后可尝试通过发布revoke_tx来认领BTC,迫使Bob在refund_tx生效之前在链上做出反应。 eltoo 费用支付法(需要 sighash_anyprevout )或第二个CPFP可用输出可能是一种改进选择(并且还减轻了费用增加的问题),但是请注意,如果协议未能成功完成,这也会增加所需的tx数据量。

4、这可以和哈希锁(hash lock)一起使用吗

答:是的,通过sigalise+preimageBob或sigBob+preimageAlice 就可以让竞争币可使用,并确保BTC端的合约显示了任何一个原像。请注意,这不是无脚本的,因此会增加交易的大小。

开放性问题

也许仅需执行一次链上交易就可以进行闪电网络的原子互换交易,这将需要某种二级HTLC,允许发送者在一定时间后通过泄露秘密来取消闪电网络支付。

作者:Ruben Somsen

感谢Lloyd Fournier的反馈和审查。

相关资料:

1、Tier Nolan提出的初版原子互换方案 :https://bitcointalk.org/index.php?topic=193281.msg2224949#msg2224949

2、门罗的原子互换:https://github.com/h4sh3d/xmr-btc-atomic-swap/blob/master/README.md

3、Private Key Turnover:https://github.com/AdamISZ/CoinSwapCS/issues/53

原文:https://gist.github.com/RubenSomsen/8853a66a64825716f51b409be528355f#file-succinctatomicswap-svg 作者:Ruben Somsen 编译:洒脱喜 稿源(译):巴比特资讯(http://www.8btc.com/media/600812)

免责声明:本文版权归原作者所有,不代表MyToken(www.mytokencap.com)观点和立场;如有关于内容、版权等问题,请与我们联系。