以太坊上的BTC是否可靠？以renbtc为例解读跨链比特币的安全性

rebtc、wbtc和其他跨链锚定比特币安全吗？

原标题：“V神：以太坊上的BTC可靠吗？》
，作者：李妮和德蒙博士，前者是万链全球副总裁、芬尼克斯的发起人，后者是万链理论团队的负责人

首先，这个话题不是我个人关心的。今年8月17日，以太坊创始人维塔利克（vitalik）在推特上发文称：“我仍然担心以太坊上发送的这些BTC映射代币是否可靠？这意味着以太坊中有各种各样的BTC代币，但它真的是一个去中心化和安全的解决方案吗？

在vitalik的推特上，我们看到了国际区块链圈内人士的热议，也提到了各种主流的BTC跨链解决方案，如任天堂、万达等，笔者一直在湾仔从事跨链安全技术的研究，所以我对各种cross做了一些肤浅的研究连锁BTC计划。在这里，我想谈谈我们的一些看法。

对于所谓的BTC交叉链，最简单和直接的理解是，用户将“真实”的BTC从钱包转移到BTC地址。接收到“真”BTC后，地址会在以太坊上给你一个“假”的BTC映射代币，如下图所示：

一般情况下，以太坊上使用ERC20标准铸造的BTC代币前会添加字母符号，如wanbtc、renbtc、TC、wbtc、TBTC等，但本质上都是“真”币换“假”币。那你为什么要问，谁会用真钱换假币？一个是技术原因，因为最近DeFi在以太坊上的应用正如火如荼，但这些Defa应用只能支持ERC20标准代币参与这些DeFi协议/产品，如兑换、贷款、流动性挖矿等；二是市场原因，毕竟BTC是公认的数字“黄金”货币，它有太多的粉丝和硬币用户。每一款DFI产品都希望吸引和扩大自己的产品用户或流动性提供商。现在我们明白了用“假”代替“真”是必要的，下一步是测试这些跨链方案的去中心化性和安全性。也就是说，“真”可以用“假”代替，“假”也应该能变回“真”当你持有“假”币时，持有你“真”货币的“人或机制”不会带着你的真币逃跑。

中心化托管计划，持有你“真实”货币的人只会告诉你：你的“真实”货币在我手中，我不会逃跑。别担心！代表性的解决方案是wbtc。Wbtc以bio的大树为后盾，以中心化信任为充分保障。

当然，在区块链和DeFi的世界里，人们更喜欢并接受“去中心化”和“安全”的解决方案。因此，其他一些**的跨链项目遵循“非管理、去中心化、安全”的解决方案。其中，保证您的“真实”BTC帐户保存的核心技术是多方计算（MPC）。

针对跨链项目/协议的多方安全计算MPC或门限签名TSS都来自于1996年发表的经典论文“鲁棒门限DSS签名”不幸的是，这些项目/协议基本上使用本文描述的原理来实现多方安全计算，而没有太多创新。早在2017年，笔者和团队就意识到，本文的研究成果可以用来建立MPC账户，从而完成跨链资产的锁定。因此，我们一直致力于在跨链场景/产品中使用MPC/TSS。同时，我们也使用了一些原始算法来减少MPC计算过程中的交互次数。MPC技术在跨链应用中的一个重要难点是参与MPC计算的节点的“个人私钥”和“组私钥”之间的耦合关系。简言之，“组私钥”可以直接管理MPC帐户，由所有“个人私钥”决定。然而，这只是一种“理论”的存在，即其功能的实现（如MPC账户资产的转移）依赖于参与节点通过多方计算的“个人私钥”因此，即使某些高容错性的节点也不会影响整个MPC的运行。当然，当一个新的组形成时，成员节点的“个人私钥”也会确定一个新的“组私钥”，即组与“组私钥”一一对应。

让我们看看最近非常流行的类似renbtc的解决方案。根据其技术白皮书的介绍，它也是基于论文中的技术“鲁棒门限DSS签名”作为其TSS的解决方案。在本项目介绍中，强调管理跨链BTC账户是由一组“暗节点”生成的，该组“暗节点”的成员会周期性地轮换。然而，矛盾的是，我们发现renbtc提供给用户的BTC地址从上线第一天起就没有改变过。其过程是用户将BTC传输到一个一次性地址（下图1），然后将一次性地址汇总到锁定的帐户（图2）。锁定的账户没有改变，如下图所示。

图1

图2

如果帐户地址“真的”是由MPC生成的，并且参与帐户管理的“暗节点”会周期性地轮换，则该帐户地址将定期更新，而不是始终保持不变。因此，宣传技术与项目实施出现矛盾局面。那么为什么技术白皮书的描述和产品实现看起来完全不同呢？对“BTC”的托管地址是否由此引发的思考？如果是，如何解释？至少我们没有从它的GitHub代码库和各种参考技术文档中找到任何东西。

但任志强的问题远不止这些。renbtc采用的ECDSA门限签名方案不符合门限**理论。也就是说，在设置阈值T后，至少需要2T+1个“暗节点”参与计算，以保证计算的顺利实施。结合部分节点可能掉网的情况，最终实现的节点数为3T+1。也就是说，在这种状态下，只有大约三分之一的节点可以串通窃取跨链BTC，这是非常危险的。同样，在受到业界轻微批评的BFT-Byzantine容错协议中，至少需要三分之二的共识。因此，renbtc的TSS方案存在很大的安全风险。

**，根据Ren技术白皮书，在建立BTC账户的过程中，“暗节点”通过私有链完成数据交互，并对交互数据进行加密，其合法性由“零知识证明”保证。因此，“个人私钥”的正确与否完全取决于这种零知识证明。那么如何构造这个零知识证明呢？任科技白皮书没有给出具体的实现方法，也没有提供相关参考。同样，giton总线也没有相关的代码。这样一来，人们就不由自主地堆积起密码学术语，让人感到困惑。

我**的想法是：今年，特别是6月份以后，Defa已经成为一种区块链现象，TVL的价值观也在迅速发展。虽然不可避免地会出现一些泡沫，但从整体上看，区块链的应用发展迅速，也进行了许多有意义的尝试。这些都是整个行业都喜欢看到的。然而，与此同时，区块链核心技术的发展，如去中心化安全跨链技术，并没有像dif应用那样快。我们无意攻击任志强这样的项目，而只是作为对区块链技术的理性讨论：首先，推向市场的产品是否应该符合技术白皮书的概念？第二，如果在白皮书阶段提出了很多“高高在上”的说法来证明机制的“唯一性和安全性”，是否也应该在项目实施过程中加以证明？几年前，我们已经看到太多的ICO依赖白皮书来融资和讲述故事。整个行业，包括我们所有人，或多或少都是受害者。所以，当我们今天再看它的时候，我们更多的是想做一个有意义的突破，甚至是一个小小的突破。我也希望从事跨链轨道的国内外同行们能一起安定下来，摒弃夸张，减少言行不一，做一些实事，正如那句名言：你可以欺骗所有人一次，你可以欺骗一些人一辈子，但你不能欺骗所有人一辈子。

万链的Wanbtc预计在10月左右上市。下一篇文章将详细讨论wanbtc是否已经对其是否“去中心化”和“安全可靠”进行了上述分析。这里没有广告。

感谢WJ Zhang博士，Gabriel Guo，Noah Maizels，Nicolas kraples对作者许多观点的启发

参考文献：

[1] 罗萨里奥·根纳罗和史蒂芬·戈德费德。「快速多方阈值ECDSA，快速无信任设置」。英语。In:ACM，2018年，第1179-1194页。国际标准书号：9781450356930；1450356931；

[2] 罗萨里奥·根纳罗、史蒂文·戈德费德和阿尔文·纳拉亚南。「阈值**DSA/ECDSA签名及在比特币钱包安全中的应用」。应用密码学和网络安全。马克·曼努利斯、艾哈迈德·雷扎·萨德吉和史蒂夫·施耐德编著。查姆：斯普林格国际出版社，2016年，第156-174页。国际标准书号：978-3-319-39555-5。

[3] Rosario Gennaro等人。「稳健阈值DSS签章」。在：密码学的进展-欧洲密码’96。编辑：尤利·毛雷尔。柏林，海德堡：斯普林格柏林海德堡，1996年，第354-371页。国际标准书号：978-3-540-68339-1。

[4] 菲利普·麦肯齐和迈克尔·K·赖特。「双方产生DSA签章」。国际信息安全杂志2.3（2004年8月），第218-239页。doi:10.1007/s10207-004-0041-0。网址：https://doi.org/10.1007/s10207-004-0041-0。

[5] Ivan Damgard等人。「透过主动/隐蔽安全的不诚实多数MPC协议来执行AES」。网络安全与加密。伊万·维森蒂和罗伯托·德普里斯科编辑。柏林，海德堡：斯普林格柏林海德堡，2012年，第241-263页。国际标准书号：978-3-642-32928-9。

[6] 卡内蒂跑了。「多方密码协议的安全性及组合」。《密码学杂志》13.1（2000年1月），第143-202页。doi:10.1007/s001459910006。

[7] 托本·P·佩德森。「非互动及资讯理论安全可验证秘密分享」。第11届国际密码学年会论文集。密码’91。柏林，海德堡：斯普林格·韦拉格，1991年，第129-140页。国际标准书号：3540551883。

[8] Rosario Gennaro等人。「基于离散日志密码系统的安全分布式金钥产生」。英语。《密码学杂志》20.1（2007），第51-83页。

[9] 阿迪·沙米尔。「如何分享秘密」。在：公社。ACM 22.11（1979年11月），第612-613页。issn:0001-0782。doi:10.1145/359168.359176。网址：https://doi.org/10.1145/359168.359176。

[10] Gilad Asharov等人。「完全安全多方计算的BGW协议的充分证明」。英语。《密码学杂志》30.1（2017），第58-151页。

[11] 沙菲·戈德瓦瑟、西尔维奥·米卡利和查尔斯·拉科夫。「互动式证明系统的知识复杂性」。英语。在：暹罗计算杂志18.1（1989），第186-208页。

[12] 西尔维奥·米卡利和菲利普·罗格威。「安全计算」。在：密码学的进展-密码’91。琼·费根鲍姆主编。柏林，海德堡：斯普林格柏林海德堡，1992年，第392-404页。国际标准书号：978-3-540-46766-3.35

[13] 唐纳德·海狸。「安全互动计算基础」。在：密码学的进展-密码’91。琼·费根鲍姆主编。柏林，海德堡：斯普林格柏林海德堡，1992年，第377-391页。国际标准书号：978-3-540-46766-3。

[14] 詹斯·格罗斯。「以配对为基础的非互动变元的大小」。2016年5月，第305-326页。国际标准书号：978-3-662-49895-8。doi:10.1007/978-3-662-49896-5十一

[15] 伊桑·布克曼、宰权和扎尔科·米洛舍维奇。关于BFT共识的**八卦。2018arXiv:1807.04938v3[信用证].

[16] P.费尔德曼。「一个实用的非互动可验证秘密分享方案」。第28届计算机科学基础年会（***1987年）。1987年10月，第427-438页。doi:10.1109/SFCS.1987.4。

[17] 劳埃德·R·韦尔奇和埃尔温·R·贝莱坎普。代数分组码的纠错。U、 美国专利4633470。1986年12月。

[18] 高树红。「一种新的里德-所罗门码解码算法」。在：通信，信息和网络安全。作者：Vijay K.Bhargava等人。马萨诸塞州波士顿：美国斯普林格出版社，2003年，第55-68页。国际标准书号：978-1-4757-3789-9。数字对象标识：10.1007/978-1-4757-3789-9

[19] R.McEliece和D.Sarwate。分享秘密和里德所罗门密码。英语。1981

[20] 曼努埃尔·塞尔塞多、松本聪明和伊美英姬。「基于离散对数的有效及安全的多方数位签章产生」。在：IEICE电子、通信和计算机科学基础交易76（1993年4月）。

[21]迈克尔·本·奥尔、沙菲·戈德瓦瑟和阿维·维格德森。「非密码容错分布式计算之完备性定理」。第二十届ACM计算理论年会论文集。88年斯托克。芝加哥，伊利诺伊州，美国：计算机机械协会，1988年，第1-10页。国际标准书号：0897912640。doi:10.1145/62212.62213。网址：
https://doi.org/10.1145/62212.62213。

[22]唐纳德·比弗。「使用电路随机化的有效多方协议」。第11届国际密码学年会论文集。密码’91。柏林，海德堡：斯普林格·韦拉格，1991年，第420-432页。国际标准书号：3540551883。

[23]J.Bar Ilan和D.Beaver。「恒定轮数互动非密码容错计算」。英语。In:ACM，1989年，第201-209页。国际标准书号：0897913264；9780897913263；