适配器签名及其在跨链原子交换中的应用

随着比特币Layer2扩容方案的快速发展，比特币与Layer2网络之间的资产转移频率显著增加。这一趋势受到Layer2技术提供的更高可扩展性、更低交易费和高吞吐量的推动。因此，比特币与Layer2网络间的互操作性成为加密货币生态系统的关键组成部分，推动创新并为用户提供更多样化和强大的金融工具。

比特币与Layer2之间的跨链交易主要有三种方案:中心化跨链交易、BitVM跨链桥和跨链原子交换。这些技术在信任假设、安全性、便捷性和交易额度等方面各有特点,能满足不同的应用需求。

中心化跨链交易速度快,撮合过程相对容易,但安全性完全依赖于中心化机构的可靠性。BitVM跨链桥引入了乐观挑战机制,技术相对复杂,交易费较高,仅适用于超大额交易。跨链原子交换是去中心化的、不受审查、具有较好隐私保护的技术,能实现高频跨链交易,在去中心化交易所中广泛应用。

跨链原子交换技术主要包括哈希时间锁和适配器签名。基于哈希时间锁的原子交换虽然是去中心化交换技术的重大突破,但存在用户隐私泄露问题。基于适配器签名的原子交换取代了链上脚本,使交换更轻量、费用更低,且能实现隐私保护。

本文介绍了Schnorr/ECDSA适配器签名与跨链原子交换原理,分析了适配器签名中的随机数安全问题和跨链场景中的系统异构问题,并给出解决方案。最后对适配器签名进行扩展应用,实现非交互式数字资产托管。

适配器签名与跨链原子交换

Schnorr适配器签名与原子交换

Schnorr适配器签名过程如下:

1. Alice选择随机数r,计算R = r·G
2. Alice计算c = H(R||P||m)
3. Alice计算s' = r + c·x
4. Alice将(R,s')发送给Bob
5. Bob验证s'·G = R + c·P
6. Bob选择y,计算Y = y·G
7. Bob计算s = s' + y
8. Bob广播(R,s)完成交易

原子交换过程:

1. Alice创建交易TX1,将比特币发送给Bob
2. Alice对TX1进行适配器签名,得到(R,s')
3. Alice将(R,s')发送给Bob
4. Bob验证(R,s')
5. Bob创建交易TX2,将altcoin发送给Alice
6. Bob对TX2进行常规签名并广播
7. Alice获得TX2后,将y告诉Bob
8. Bob计算s = s' + y,广播TX1完成交易
9. Alice从s中提取y,完成TX2

ECDSA适配器签名与原子交换

ECDSA适配器签名过程如下:

1. Alice选择随机数k,计算R = k·G
2. Alice计算r = R_x mod n
3. Alice计算s' = k^(-1)(H(m) + rx) mod n
4. Alice将(r,s')发送给Bob
5. Bob验证r = (s'^(-1)H(m)·G + s'^(-1)r·P)_x mod n
6. Bob选择y,计算Y = y·G
7. Bob计算s = s' + y mod n
8. Bob广播(r,s)完成交易

原子交换过程类似Schnorr签名的过程。

问题与解决方案

随机数问题与解决方案

适配器签名中存在随机数泄露和重用问题,可能导致私钥泄露。解决方案是使用RFC 6979,通过确定性方式生成随机数:

k = SHA256(sk, msg, counter)

这确保了k对每条消息唯一,同时具有可重现性,避免了随机数生成器相关的安全风险。

跨链场景问题与解决方案

1. UTXO与账户模型系统异构问题:比特币采用UTXO模型,而以太坊采用账户模型,导致无法在以太坊预先签名交易。解决方案是在以太坊端使用智能合约实现原子交换逻辑。

2. 相同曲线,不同算法的适配器签名安全性:当两条链使用相同曲线但不同签名算法时,适配器签名仍然安全。

3. 不同曲线的适配器签名不安全:当两条链使用不同椭圆曲线时,不能使用适配器签名进行原子交换。

数字资产托管应用

基于适配器签名可以实现非交互式的数字资产托管:

1. Alice和Bob创建2-of-2 MuSig输出的funding交易
2. Alice和Bob各自基于adaptor secret生成预签名,并用可验证加密方式加密secret
3. 发生争议时,托管方可解密secret并帮助其中一方完成交易

可验证加密可通过Purify或Juggling方案实现。

总结

本文详细描述了Schnorr/ECDSA适配器签名与跨链原子交换原理,分析了其中的安全问题并提出解决方案。适配器签名在跨链场景下需要考虑系统模型和算法差异。此技术还可扩展应用于非交互式数字资产托管等场景。