Babylon学习

<!--StartFragment-->

地址：https://babylonchain.io/

litePaper:https://docs.babylonchain.io/papers/btc_staking_litepaper(CN).pdf

文档：https://docs.babylonchain.io/docs/introduction/overview

允许比特币持有者质押他们闲置的比特币，以增加 PoS 链的安全性，并在此过程中获得收益。我们提出了一种比特币质押协议，允许比特币持有者在无需将比特币跨链转移到 PoS 链的情况下，进行信任最小化的质押，同时仍为 PoS 链提供完全可处罚的安全保证。该协议支持快速解除质押，以最大化比特币持有者的流动性。此外，该协议被设计为一个模块化插件，可以在许多不同的 PoS 共识算法之上使用，并且提供了一个基础，能够构建再质押协议。我们提出了一种系统架构，可以将该协议扩展到多个质押者和多个 PoS 链，其中一个基于比特币质押的 Babylon 链充当控制平面，以在比特币和 PoS 链之间进行同步。

PoS链需要依靠资本保障安全性，这种资本通常很难吸引，尤其是对于小型链或处于引导阶段的链。为了支付高收益以吸引资本，需要较高的通胀率。例如，在包含超过60个特定应用链的Cosmos生态系统中，初始年化通胀率为20%至100%是很常见的。这种高通胀阻碍了链条的长期增长。高成本也使得安全性与链条的实用性之间产生了矛盾：通胀本可以用于激励链上的应用。

比特币质押是一个双边市场（图1）。一方面是需要安全保障并愿意为此支付收益的PoS链。另一方面是拥有资本并希望通过质押获得收益的比特币持有者。

Babylon质押协议

具有三个重要的安全属性：

1. 完全可处罚的PoS安全性。每当发生安全违规时，1/3的比特币质押保证会被削减。只要2/3的比特币质押诚实地遵循PoS协议，PoS链就能保持活跃。
2. 质押者安全。每个比特币质押者保证能够在诚实遵循PoS协议的情况下提取其资金或解除质押。
3. 质押者流动性。质押的比特币解除质押时，保证其过程既安全又快速，无需社会共识。

2保障即使PoS链上的所有其他质押者都是不诚实的，质押者仍然可以解除质押。在质押协议中，不可能存在提现审查。因此，我们的协议提供了无信任的质押

PoS链为了避免长程攻击，一般解抵押需要较长时间，如几周。相比之下，babylon质押发生在BTC上，避免了长程攻击的影响，3是可实现的。

挑战

考虑两种方案：

1. 桥接到PoS链。\ 一种比特币质押方法是先将比特币从比特币链桥接到消费方PoS链上，并在那里执行削减规则。虽然这种方法可以为PoS链提供可削减的安全性（属性1），但其根本限制在于桥接解决方案本身的安全性。因此，通过桥接解决方案，无法实现属性2，即无信任质押。
2. 从比特币链进行远程质押。\ 将质押的比特币锁定在比特币链上的一个合约中，然后在消费方PoS链上发生协议违规时削减质押。这是安全共享解决方案中使用的方法，例如Eigenlayer和Cosmos生态系统的网格安全。在这两种情况下，提供方链，即安全来源，具有图灵完备的智能合约层。这使得在提供方链上实现削减技术上变得简单，因为协议违规证据可以从消费链发送回提供方链，并由提供方链上的智能合约执行削减。然而，我们的设置中的提供方链是比特币，比特币不支持智能合约，只具有有限表达能力的脚本语言。因此，尽管由于比特币仍然在比特币链上，我们实现了无信任质押（属性2），但现在的一个关键挑战是如何执行削减以实现属性1，即完全可削减的PoS安全性。

流程

Alice 有 1 个比特币，她希望将其质押在 PoS 链上。首先，她通过向比特币链发送质押交易，将她的比特币锁定在一个自我托管保险库中，从而进入质押合约。比特币只能通过以下两种方式之一使用 Alice 的私钥解锁：

1. Alice 发起解除质押交易，3 天后比特币将解锁并返还给 Alice。
2. Alice 发起削减交易，将比特币发送到一个销毁地址。

一旦这个质押交易出现在比特币链上，Alice 就可以通过使用她的密钥签署区块，开始为 PoS 链进行验证。在她的验证职责期间，有两种可能的情况发生。

\ 第一种情况是顺利路径（图2(a)），即 Alice 诚实地遵循协议，当她想解除质押时，通过向比特币链发送解除质押交易发起解除请求（图2(b)）。一旦解除质押交易进入比特币链，Alice 在 PoS 链上的验证职责就停止，3 天后，提现请求被批准，1 个比特币归还给 Alice。PoS 链也会向 Alice 授予奖励。

第二种情况是不顺利路径（图2(b)），即 Alice 变得恶意并参与 PoS 链上的双花（安全）攻击（图2(c)）。在这种情况下，质押协议确保 Alice 的私钥会被公开。任何人现在都可以假装是 Alice，向比特币链发送削减交易并销毁 Alice 的 1 个比特币。这种不顺利路径的存在确保了安全违规行为是可处罚的，从而保证了每个人都会遵守规则。

技术方案

Staking

由于比特币没有智能合约层，质押合约必须以比特币脚本中的UTXO交易形式表达[10]。一个质押合约包括4个交易：

• 一个质押交易，其中输入是质押者比特币的地址，输出可以通过以下两种方式之一花费：
• 一个un bounding交易，允许在相对锁定时间（测量解除质押时间）过期后，质押者花费输出（相对锁定时间可以由操作码OP_CHECKSEQUENCEVERIFY [10]实现）；
• 一个削减交易，允许质押者立即将输出花费到一个销毁地址（无法花费的输出）
• 一个un staking交易，在相对时间锁定过期后，可以花费解除质押交易的输出。

质押合约是比特币契约的一个示例[25, 26]，其中交易的输出被限制在特定的花费方式上。契约可以通过操作码OP_CHECKTEMPLATEVERIFY [8]来实现，这是比特币脚本的一个提议的操作码，计划在未来的升级中加入。在升级之前，已经提出了多种方法来模拟契约。我们工作中的一个创新是一种新颖的几乎无信任的契约仿真。更多细节请参见[9]。

[9] Bitcoin staking. In progress., 2023.

[10] Script, 2023.

Slash

由于比特币缺乏智能合约，所以判断违规并slash比较困难。所以使用了另一种方式：通过EOTS获取质押者的私钥，然后公开它。为了确保每当发生安全违规时，质押者的私钥都会泄漏，我们结合了两种思想：

（a）可追溯的断言，来自密码学【32】，

（b）终态工具，来自区块链共识【18, 27, 28】。

可提取的一次性签名(EOTS)是指当签名者使用相同的私钥对两条消息进行签名时，私钥会泄漏，即可以从这两条消息的签名中提取私钥。 EOTS 已被提议作为一种惩罚等价物的一般方法【32】，例如双花相同的比特币。然而，共识协议的削减条件比对两条特定消息的签名更复杂。例如，在Casper中，PoS以太坊协议的削减模块中，有两组削减条件（图3）。第一组削减条件，即在相同高度签署两个区块，是一种等价物，第二组更复杂，不能表示为等价物。类似地，在Tendermint中，同样存在两组削减条件。一组削减条件是在同一轮中在相同高度签署两个区块，但另一组削减条件来自所谓的健忘攻击【14】，这也不能直接表示为等价物。

我们通过在基本共识协议本身完成区块后添加额外的签名轮来规避这个问题，这些签名是使用可提取的一次性签名进行的。如果一个区块既由基本协议完成了，又收到了超过2/3的权益使用EOTS签名，那么它被认为是真正完成的。可以将这个额外的签名轮解释为一种终态工具【27】，即 EOTS 终态工具。研究表明，如果在这个修改后的协议中存在安全违规，那么超过1/3的权益使用EOTS签署了相同高度的两个区块【9】。这导致了这些质押者的私钥被提取。此外，EOTS签名方案可以通过比特币使用的Schnorr签名来实现。因此，这些提取的私钥可以用于花费削减交易。

这种基于终态工具的解决方案的一个非常重要的优势是它的模块化性质：它可以在所有 BFT 共识协议之上使用，而不需要对基本共识协议本身进行更改。这使得该技术可以与 PoS 链无关。

BTC上的快速unbounding

在具有本地质押的PoS链中，由于需要社会共识来抵抗长距离攻击，解绑时间非常长（例如，Cosmos Hub中为三周）。而在比特币这样的PoW链上，长距离攻击是非常昂贵的。

然而虽然权益分配在比特币链上得到维护，但区块的投票却是在PoS链上进行的。攻击者可以用过时的质押者集来验证PoS块。这意味着攻击者可以在比特币链上解除质押，但仍具有在PoS链上分叉的投票权。即使质押者的私钥泄漏了，由于质押者已经在比特币链上解除了质押，要进行削减已经太迟了。

为了避免这种攻击并实现快速解绑，PoS链应与比特币链紧密同步。这可以通过一种称为比特币时间戳的技术实现，即把PoS块哈希和为块投票的质押者记录在比特币链上。这个技术对于本地质押的PoS链中的安全和快速解绑也非常有用，允许使用比特币作为外部信任。

架构

关键功能：

• 为PoS链提供比特币时间戳服务。
• 市场匹配：匹配比特币质押和PoS链，并跟踪质押和验证信息，例如EOTS密钥注册和更新
• 记录PoS链的最终性签名；

另一方面，每个PoS链的验证者除了像正常的共识协议那样生成和验证区块外，还在终态工具上签署最终性签名。

控制平面被实现为一个基于Cosmos-SDK的Babylon链。

如果把比特币时间戳都放在BTC上太贵了。该链通过标准的IBC（区块链间通信）协议为任意数量的Cosmos SDK链实现了高效的时间戳聚合。

跨链质押：

仅使用本地代币会将PoS链的经济安全性上限限制为本地代币的市场资本化。在PoS链上使用远程加密资产而不是或除了本地资产，提供了一种通过增加总的质押市值来提高链安全性的途径。在区块链行业中正在出现的一种方法可以称为跨链质押：质押的外部资产仍然保留在其自己的链上，但被锁定在为其所保护的链的首选验证器指定的质押合约中。只有在验证器犯有可削减的违规行为时，质押的资产才会被削减。

这种跨链质押协议反过来又受到Eigenlayer的以太坊再质押概念的启发。这个想法是将在PoS以太坊上质押的ETH再质押到中间件（称为AVS，主动验证系统）上，例如数据可用性层、桥接、Oracle服务等。随着这些项目的发展，一种泛化的PoS形式正在出现，其中加密资产可以用于保护除了自身链之外的链和服务。

而比特币是通过PoW而不是通过比特币资产本身来保护的，因此比特币资产是无担保的。这减少了由再质押产生的过度杠杆风险。另外BTC上没有智能合约，需要用脚本来实现相关功能。

比特币时间戳

比特币时间戳是把PoS链的块hash和validator集合记录在BTC上，因为BTC出块慢，确认慢，在保护长期安全性上有帮助；而跨链抵押可以保护PoS链的短期安全性。

为了保护 PoS 链免受远程攻击，我们可以将 PoS 链的区块检查点（也就是区块hash +出块集合签名）提交到 BTC，并为具有较早 BTC 时间戳的分叉实施分叉选择规则。这样一来，要么

• 攻击分叉将在 BTC 规范链中具有较晚的 BTC 时间戳，并且永远不会被任何人选择，或者
• 为了被选中，攻击者必须创建一个很长的 BTC 分叉，其中攻击的 PoS 分叉具有较早的时间戳，这在经济上是不可能的。

因此，远程攻击可以通过 BTC 时间戳来抵消。

除了解决远程攻击之外，PoS 区块的不可逆 BTC 时间戳还为 PoS 链提供其他安全优势：

• 没有弱主观性：比特币时间戳是客观的。从而可以消除PoS链对社会共识和弱主观性的依赖。
• 更短的解绑时间：通过取代社会共识，BTC 时间戳可以将 PoS 链的质押解绑时间从几周缩短到一天。
• 新链引导：估值较低的新 PoS 链更容易受到分叉攻击。 BTC 时间戳可以帮助保护链本身的增长。
• 状态同步和快照的验证：BTC 提供的 PoS 链的客观事实允许 PoS 链的用户验证从 P2P 网络下载的链状态或快照。
• 保护重要交易：BTC时间戳可用于进一步确认重要的PoS交易，但代价是更长的确认延迟。
• 抗审查性：BTC 时间戳还可以通过将受审查的交易发布到 BTC 来对抗 PoS 链中的交易审查。

<!--EndFragment-->