比特币质押：解锁 2100 万个比特币以确保权益证明经济

权益证明（PoS）链由资本保障，但资本可能非常昂贵。比特币是一条工作量证明链，但它也是一项价值 6000 亿美元的资产，其中大部分是闲置资本。我们提出比特币质押的概念，允许比特币持有者质押闲置的比特币，以提高 PoS 链的安全性，并在此过程中赚取收益。我们提出了一种比特币质押协议，该协议允许比特币持有者无需将其桥接至 PoS 链即可无需信任地质押其比特币，但同时为该链提供了完全可削减的安全保证。该协议支持快速股权解绑，以最大限度地提高比特币持有者的流动性。此外，该协议被设计为模块化插件，可在许多不同的 PoS 共识算法之上使用，并提供可以构建重新抵押协议的原语。提出了一种系统架构，用于将协议扩展到许多质押者和许多 PoS 链，其中比特币质押的 Babylon 链充当控制平面，以在比特币和 PoS 链之间进行同步。比特币质押为比特币提供了一个重要的新用例，并朝着整合比特币和权益证明经济迈出了重要一步。

1 权益证明安全需要资金

过去几年，区块链行业的抗女巫机制从工作量证明（PoW）转向股权证明（PoS）。这一趋势的一个决定性事件是 2022 年 9 月的合并，即以太坊从 PoW 共识迁移到 PoS 共识。 PoW 区块链由解决困难的数学难题的矿工保护，而 PoS 区块链由持有股份的验证者保护。验证者的权益作为押金，当验证者违反协议时，押金可能会被削减。可削减性是 PoW 链所不具备的功能，也是以太坊从 PoW 迁移到 PoS 的主要动机 [18]。担保权益的市值越大，攻击该链的成本就越高，该链的经济安全性也就越强。因此，PoW 链是通过工作来保障的，而 PoS 链是通过资本来保障的。 这种资本通常很难吸引，尤其是对于小型连锁店或处于自力更生阶段的连锁店。高通胀率需要支付高收益才能吸引此类资本。例如，在由 60 多个特定应用链组成的 Cosmos 生态系统中，初始年化通胀率为 20% 至 100% 是很常见的。如此高的通胀会阻碍长期发展链条的增长。高成本也给链上的效用带来了安全压力：通货膨胀本来可以用来激励链上的应用程序 Akash [1] 是一个运行去中心化人工智能计算平台的 Cosmos SDK 链，提供了一个很好的案例研究。 AKT 代币 100% 的极高初始通胀率既保障了安全性，又激励了提供商出租高质量的计算硬件 [30]。随着通货膨胀率随着时间的推移而下降，安全性和实用性之间的紧张关系变得更加尖锐。

2 比特币：价值 6000 亿美元的资产

尽管转向 PoS（最大的加密资产），但截至撰写本文时，比特币拥有超过一半的加密资产，但仍然受到 PoW 链的保护。与PoS资产相比，比特币资产有几个显着的区别：

1. 不受阻碍。由于比特币是通过工作来保护的，因此比特币资产本身并不用于保护比特币链。相比之下，每个 PoS 资产都用于保护自己的链。 2.比较闲。大部分比特币资产闲置且未部署。由于大多数产生收益的活动（例如 DeFi 借贷和证券质押）都发生在 PoS 链上，因此比特币需要桥接到其他链和/或发送给第三方集中托管机构才能提取收益。对于许多比特币持有者来说，这样的桥梁和中心化托管机构被认为风险太大，例如，最大的打包比特币资产之一 wBTC 的市值仅不到 5B 美元，仅占比特币总市值的百分之一。
2. 更加去中心化。比特币作为最古老的区块链，可以说拥有最去中心化的代币持有者群体：矿工、早期采用者和开发者、项目创始人、个人投资者、机构投资者、交易所等。相比之下，许多 PoS 链的资产是集中的掌握在早期投资者、创始人、团队成员和基金会手中，至少在项目的早期阶段。当资产被抵押以验证网络时，集中的资产会使网络面临中心化。
3. 挥发性较小。比特币作为最大的加密资产，其波动性明显低于大多数 PoS 资产。 PoS 资产的波动性对于 PoS 链的安全性来说是一个重大问题，因为安全性是质押资产市值的直接函数，而资产价值的急剧下跌为攻击者提供了攻击的机会。

3 比特币质押

考虑到这些特性，为什么不通过质押比特币来帮助保护 PoS 链，从而让比特币发挥作用呢？比特币质押的概念是这项工作的重点。 比特币质押是一个双向市场（图 1）。一方面是 PoS 链需要安全性并愿意为此付出收益。另一方面是拥有资金并希望从中赚取收益的比特币持有者。比特币质押协议是一种实现双向市场的安全共享协议。一个好的比特币质押协议应该为消费者 PoS 链（以便他们愿意为其支付收益）和提供者比特币持有者（以便他们愿意质押）提供强有力的安全保证。

4 Babylon 比特币质押协议：安全​​属性

我们在此介绍一种比特币质押协议，当与现成的消费者 PoS 链结合使用时，该协议具有三个重要的安全属性：

1. 完全可削减的 PoS 安全性。每当出现安全违规时，1/3 的比特币质押肯定会被削减。只要 2/3 的比特币权益诚实地遵循 PoS 协议，PoS 链就是活的。 2.质押者安全。只要质押者诚实地遵循 PoS 协议，每个比特币质押者就保证能够提取其资金或解除绑定。 3.质押者的流动性。质押比特币的解绑保证安全、快速，无需社会共识。

属性 1 表示违反协议者将被削减。 Property 2 表示，唯一失去股份的人是违反协议的人。总而言之，属性 1 和属性 2 反映了 PoS 安全性的黄金标准：完全可削减性，正如 Buterin 和 Griffith [18] 所提倡的那样。事实上，完全可削减性是 PoS 以太坊 [19] 以及 Tendermint [13, 15] 的中心设计目标，Tendermint 是构建 PoS 区块链最广泛使用的共识引擎之一，包括 Cosmos SDK 链、Polygon、BNB 链等事实上，Property 2 比独立的 PoS 协议更强大：即使 PoS 链上的所有其他抵押者都不诚实，抵押者仍然可以解除绑定。在我们的比特币质押协议中，提款审查是不可能的。因此，我们的协议提供了无需信任的质押。 像 PoS 以太坊或 Cosmos SDK 链这样的独立 PoS 链由于使用社会共识来对抗远程攻击 [16,21,12,22]，因此存在较长的解绑时间（大约几周）。 PoS 链中的“无利害关系”攻击向量。相比之下，在我们的比特币质押协议中，比特币质押分配是在比特币链上维护的，因此不受此类远程攻击的影响。通过正确设计质押协议，我们证明了属性 3 是可以实现的。

5 挑战

我们考虑两种基本的比特币质押方法，每种方法都有其挑战。

1. 桥接 PoS 链。比特币质押的一种方法是首先将比特币从比特币链连接到消费者 PoS 链，并在那里执行削减规则。虽然这种方法可以为 PoS 链提供大幅的安全性（属性 1），但一个根本的限制是桥接解决方案本身的安全性。大多数现有比特币桥的安全性基于对中心化托管人（例如 wBTC 的 Bitgo）或多重签名桥委员会的信任。 （更多讨论请参见第 9.8 节。）即使是理想的比特币桥也依赖于对目标链的利益相关者的信任。因此，通过桥接解决方案，不可能实现属性 2，即去信任质押，
2. 从比特币链远程质押。为了避免桥接比特币，另一种方法是远程质押：将质押的比特币锁定在比特币链上的合约中，然后在消费者 PoS 链上出现协议违规时削减质押。这是安全共享解决方案中使用的方法，例如 Eigenlayer 的以太坊重新抵押协议 [36] 和 Cosmos 生态系统的网状安全 [11, 4]。在这两种设置中，提供商链（即安全源）都具有图灵完备的智能合约层。这使得在提供商链上实施削减在技术上变得简单，因为协议违规证据可以从消费者链发送回提供商链，并由提供商链上的智能合约完成削减。然而，我们设置中的提供商链是比特币，它不支持智能合约，只有表达能力有限的脚本语言。因此，虽然我们凭借比特币保留在比特币链上的事实获得了无需信任的质押（属性2），但现在的一个关键挑战是如何执行削减以实现属性1，即完全可削减的PoS安全性。

我们的比特币质押协议遵循远程质押方法，但我们克服了缺乏智能合约结合了先进的密码学、共识协议创新和比特币脚本语言的优化使用。在详细介绍这些技术之前，让我们首先通过质押者的旅程来说明比特币质押协议的高级功能。

6 比特币质押者的旅程

Alice 有 1 个比特币，她想将其抵押在 PoS 链上。首先，她通过向比特币链发送质押交易来签订质押合约，将她的比特币锁定在自我托管金库中。比特币只能通过使用 Alice 的私钥以两种可能的方式之一解锁： 1、Alice发出解绑交易，比特币将在3天内解锁并返还给Alice。

2. Alice 发出削减交易，将比特币发送到销毁地址。 一旦此质押交易出现在比特币链中，Alice 就可以通过使用她的密钥签署区块来开始验证 PoS 链。在她的验证职责期间，有两种可能的路径。 一是幸福路径（图 2(a)），即 Alice 诚实地遵循协议，当她想要解除质押时，她通过向比特币链发送解除绑定交易来发出解除绑定请求（图 2(b)）。一旦解绑交易进入比特币链，Alice 的验证义务就

图 2：比特币质押者的旅程：(a) 快乐之路：Alice 质押、验证 PoS 链、请求解除绑定，并在 3 天内解除质押； (b) 不幸的道路：Alice 进行质押，对 PoS 链犯了安全罪行，然后她的比特币被烧毁。 PoS 链停止，3 天后，提款请求被批准，1 个比特币返回给 Alice。 PoS 链还将向 Alice 授予奖励。 第二，不幸的路径（图 2(b)）是 Alice 变得恶意并参与 PoS 链上的双花（安全）攻击（图 2(c)）。在这种情况下，质押协议确保爱丽丝的私钥将被泄露给公众。现在任何人都可以冒充爱丽丝，将削减交易发送到比特币链上，并烧毁爱丽丝的 1 个比特币。这条不愉快的道路的存在确保安全违规行为可以被大幅削减，并且每个人都会保持愉快的心情。

7 技术成分

以下是实现第 6 节中描述的协议功能并克服第 5 节中描述的挑战的关键要素。详细信息将在即将发表的全文中找到 [9]。

7.1 通过比特币约定模拟来质押合约

由于比特币上没有智能合约层，因此质押合约必须以比特币脚本中编写的 UTXO 交易来表达 [10]。每笔 UTXO 交易都会花费 UTXO 集中的资金，比特币脚本提供少量操作码来指定花费资金的条件。一个Stacking合约有4笔交易： • 质押交易，其中输入是质押者比特币的地址，输出可以通过以下两种方式之一使用： – 解除绑定交易，允许抵押者在相对锁定时间（测量解除绑定时间）到期后使用输出（相对锁定时间可以通过操作码 OP_CHECKSEQUENCEVERIFY [10] 实现）；

图 3：Casper 的削减条件。图取自[18]。 – 削减交易，允许质押者将输出立即花费到燃烧地址（不可花费的输出） • 解除质押交易，可以在相对时间锁到期后花费解除绑定交易的输出， 质押合约是比特币契约的一个例子 [25, 26]，其中交易的输出被限制以某种方式花费。 Convents 可以通过 OP_CHECKTEMPLATEVERIFY [8] 来实现，这是一个比特币脚本操作码，建议包含在比特币脚本的未来升级中。在升级之前，已经提出了多种方法来模拟约定。我们工作中的创新之一是对修道院的一种新颖的、几乎无需信任的模拟。有关更多详细信息，请参阅[9]。

7.2 通过负责任的断言和最终性小工具进行自动削减

由于比特币缺乏智能合约，人们不能仅仅发送任何安全违规证据并依赖比特币来处理这些证据。相反，我们的协议允许发送可以直接导致削减的证据：质押者的私钥。确保每当发生安全违规时，质押者的私钥都会被泄露。我们结合了两个想法：（a）来自密码学的可靠断言[32]，以及（b）来自区块链共识的最终性小工具[18,27,28]。 可提取的一次性签名是指当签名者使用相同的私钥签署两条消息时，私钥就会泄露，即可以从两条消息的签名中提取私钥。 EOTS 被提议作为惩罚模棱两可的通用方法 [32]，例如双花同一个比特币。然而，共识协议的削减条件比两个特定消息的模棱两可更复杂。例如，在 PoS 以太坊协议的削减模块 Casper [18] 中，有两组削减条件（图 3）。第一组削减条件，即在同一高度签署两个区块的条件，是一个模棱两可的条件，第二组则更复杂，不能表示为模棱两可。同样，在 Tendermint 中，也有两组削减条件。一组削减条件是在同一轮中在同一高度签署两个区块，但另一组削减条件来自所谓的失忆攻击[14]，这同样不能直接表达为含糊其辞。 我们通过不改变基本共识协议本身的签名方案来绕过这个问题，而是在基本共识协议完成一个区块、签名后添加额外的签名轮次。 使用可提取的一次性签名。如果一个区块既由基础协议最终确定，又收到超过 2/3 权益签名的 EOTS，则该区块被视为真正最终确定。人们可以将这一轮额外的签名解释为一种最终性小工具 [27]，一种 EOTS 最终性小工具。结果表明，如果此修改后的协议存在安全违规，则超过 1/3 的权益会使用 EOTS 在同一高度签署两个区块 [9]。这会导致这些涉众的私钥被提取。此外，EOTS签名方案可以通过Schnorr签名（比特币中使用的签名方案）来实现。因此，这些提取的私钥可用于花费削减交易。 这种基于最终性小工具的解决方案的一个非常重要的优势是其模块化性质：它可以在所有 BFT 共识协议之上使用，而无需更改基本共识协议本身。这使得该技术与 PoS 链无关。

7.3 通过比特币时间戳快速解绑

在具有原生质押的 PoS 链中，由于需要社会共识来抵消远程攻击，解绑时间非常长（例如在 Cosmos Hub 中为三周）。远程攻击，即攻击者在解除绑定后构建备用分叉，是无成本的。另一方面，对像比特币这样的 PoW 链的远程攻击成本非常高，因为需要花费大量的精力来构建替代的长分叉来取代规范的最长链。由于我们的比特币质押协议中的解除绑定请求被提交到比特币链，因此从比特币链中删除该交易的成本将非常昂贵。这表明我们的比特币质押协议中的解绑可以快速发生，而不需要社会共识。然而，问题在于，虽然权益分配保持在比特币链上，但对区块的投票却发生在 PoS 链上。攻击者可以减慢 PoS 链的速度，从而导致用于验证 PoS 区块的质押者集过时。这意味着攻击者可以在比特币链上取消质押，但仍然拥有在 PoS 链上分叉的投票权。即使质押者的私钥被泄露，但要削减它也为时已晚，因为质押者已经在比特币链上解除了质押。 为了避免这种攻击并实现快速解绑，PoS 链应与比特币链紧密同步。这可以通过一种称为比特币时间戳的技术来实现，其中 PoS 区块哈希值和区块的质押者集投票记录在比特币链上。有趣的是，这种比特币时间戳技术对于具有本机质押的 PoS 链中的安全快速解绑也非常有用，允许使用比特币作为外部信任 [35]。我们正在重新定位这项技术，以实现比特币质押协议的快速解除绑定。

8 系统架构

基于上述原语，比特币质押协议的核心基础设施是比特币和 PoS 链之间的控制平面（图 4）。该控制平面负责各种关键功能，包括 • 为PoS 链提供比特币时间戳服务，以使其与比特币网络同步。 • 充当市场，匹配比特币权益和 PoS 链，并跟踪权益和验证信息，例如 EOTS 密钥注册和刷新； • 记录PoS 链的最终签名；

另一方面，每个 PoS 链的验证者除了像正常共识协议中那样生成和验证区块之外，还在最终性小工具上签署最终性签名。这些验证器一起运行架构的数据平面。 控制平面以链的形式实现，以确保其去中心化、安全、抗审查和可扩展。例如，比特币网络有限且昂贵的区块空间使得每个 PoS 链直接在其上添加时间戳是不可持续和不可扩展的，这阻碍了比特币质押的采用。为了解决这个问题，Babylon 团队设计了一种安全的比特币时间戳协议，并将其实现为基于 Cosmos-SDK 的 Babylon 链。该链通过标准 IBC（区块链间通信）协议为任意数量的 Cosmos SDK 链实现高效的时间戳聚合。其测试网于 2023 年 2 月首次推出，已与不同垂直领域的 30 多个 Cosmos SDK 链集成（图 5）。 这就产生了一个三层架构，其中巴比伦链充当控制平面，实现比特币和数据平面（即 PoS 链）之间的交互。这种架构还可以带来网络效应并实现互操作潜力。例如，可以根据Babylon链上两条PoS链的最终状态来结算Babylon链上的跨PoS链交易。

9 相关作品

9.1 跨链质押、重新质押和网格安全

每个现有的 PoS 链都受到链账本中维护的原生资产的保护。例如，PoS以太坊由ETH保护，Cosmos Hub由ATOM保护，BNB链由BNB保护。然而，仅使用原生代币会通过原生代币的市值来限制 PoS 链的经济安全性。质押远程加密资产而不是 PoS 链上的本地资产或除了本地资产之外，还可以通过增加质押的总市值来提高链的安全性。区块链行业中正在出现的一种方法可以称为跨链质押：质押的外国资产仍然在自己的链中，但是

锁定在为其所保护的链的首选验证者指定的质押合约中。仅当验证者犯下可削减的违规行为时，质押资产才会被削减。这是为 Cosmos 生态系统提出的网状安全概念背后的想法 [11, 4]。一个 Cosmos 应用链（提供商链）的资产可以交叉质押，以帮助保护另一个 Cosmos 应用链（消费者链）的安全。这种交叉质押协议又受到 Eigenlayer 的以太坊重新质押概念的启发 [36]。这个想法是在 PoS 以太坊上质押 ETH，并将其重新质押到安全中间件（所谓的 AVS，主动验证系统），例如数据可用性层、网桥、预言机服务等。通过这些项目，PoS 的通用形式正在出现，其中加密资产可用于保护其自身链以外的链和服务。 我们的比特币质押协议可以被视为跨链质押协议的示例，但与 Cosmos 网格安全性和以太坊重质押有两个重要区别。首先，在以太坊重新抵押和 Cosmos 网格安全中，资产已经被抵押以保护提供商链。相比之下，比特币是由 PoW 而非比特币资产本身来保护的，因此比特币资产不受阻碍。这减少了因重新抵押而产生的过度杠杆风险 [17, 36]。其次，比特币上没有智能合约来实施权益削减。相反，我们优化了比特币脚本语言的使用，并使用先进的加密机制来实现相同的目标。

9.2 责任和削减

许多 PoS 链的一个重要特性是它们能够以可证明的方式追究协议违规者的责任 [18,20,33]。 PoW 链中不存在此属性，因为矿工没有链上身份。事实上，责任安全的属性，即持有 1/3 的能力 9 验证者在发生安全违规时负责，是 PoS 以太坊设计的核心 [18, 20]。然而，问责与链上削减之间存在差距，即利用违反协议的证据在链上实际拿走违规者的权益。特别是，在安全违规的情况下，超过1/3的验证人已经是敌对的，可以审查违规证据上链并影响削减。在这种情况下，复杂的社会共识过程必须在链外进行，以便违规者可以被削减并踢出验证者集合，而剩下的诚实验证者可以重新启动链[35]。相比之下，我们的比特币质押协议不会遇到这个问题，因为比特币质押驻留在比特币链上，而不是 PoS 链上，一旦 PoS 链上发生安全违规，它就会自动被削减。

9.3 负责任的断言和权益链

使用可提取的一次性签名来惩罚模棱两可的一般概念起源于[32]。在这项工作中，存款必须在比特币链上进行时间锁定，作为分布式协议中的一方做出负责任的断言的先决条件。每当在同一上下文中做出两个不同的断言时，该方的私钥就会被泄露，任何人都可以使用该私钥来提取存款。 [24] 在此概念的基础上创建了一个由比特币支持的权益证明侧链。然而，所提出的权益证明协议仅涉及区块链每个高度的一个投票阶段。虽然这允许将安全违规直接建模为相互冲突的负责任断言（以区块高度作为上下文，并将安全违规视为同一高度的两个区块上的模棱两可），但即使攻击者的区块非常小，该协议也不会生效。赌注。相比之下，已知的 BFT 协议设计都涉及多个阶段的投票以确保活跃性。相比之下，我们的工作并不试图从头开始设计 PoS 协议，而是将比特币质押协议与任何 PoS 共识协议结合使用，作为附加的最终性小工具。只要底层共识协议有效，这就保证了整个协议的活跃性，但同时也实现了可削减性，因为在使用 EOTS 签署最终性小工具时，安全违规都是在同一块高度上的模棱两可。此外，我们协议中的存款合约允许按需提取资金（在一定延迟后），而[32]中的合约仅允许定期存款。

9.4 确定性小工具

从广义上讲，最终确定性小工具可以被认为是在现有共识协议之上使用的覆盖协议，以提供额外的安全保证。第一个最终性小工具是 Casper FFG [18]，用于最长链协议之上，以保证网络分区下的安全性（最长链协议不具备的安全属性）。另一个最终确定性小工具是 GRANDPA [34]，在 Polkadot 中使用。 PoS 以太坊的信标链共识协议 Gasper [19] 使用 Casper FFG 作为 LMD（最新消息驱动）GHOST 协议之上的最终确定性小工具。然而，[27]表明 Gasper 很容易受到活性攻击。第一个被正式证明安全的最终确定性小工具结构是快照和聊天协议 [27]。 [28]中提出的问责小工具允许为最长链协议添加问责属性。我们的比特币质押协议中的 EOTS 最终性小工具构建遵循类似的理念。它将比特币权益的可削减性属性添加到现有的 BFT 共识协议中。

9.5 比特币合并挖矿

合并挖矿是第一个由中本聪于 2010 年发明的共享比特币安全性的技术。它用于保护第一个比特币侧链 Namecoin。目前最大的支持合并挖矿的比特币侧链是 Rootstock [5]。使用合并挖矿技术，比特币矿工可以同时开采比特币和另一个 PoW 链，而无需使用额外的能源。然而，作为一种安全共享协议，合并挖矿受到“无利害关系”问题的威胁：原则上，矿工可以在诚实地挖掘比特币链的同时攻击侧链。由于比特币是矿工的主要收入来源，侧链上的恶意行为可能没有足够的威慑力。相比之下，对于比特币质押，一切都岌岌可危：PoS 链上的恶意行为是可被削减的。因此，比特币质押是一种比合并挖矿更强的安全共享技术。

9.6 比特币时间戳

另一种共享比特币安全性的技术是时间戳[35]：PoS 区块的哈希值和签名作为交易提交并记录在比特币链上。这为 PoS 区块提供了额外的一层排序，可用于在 PoS 链上出现分叉时打破平局。该技术是巴比伦比特币时间戳测试网的基础。由于比特币需要很长时间来确认交易，因此在比特币链上安全记录这些时间戳是一个缓慢的过程。因此，比特币时间戳可以有效地提供远程安全性，例如抵御远程攻击。相比之下，比特币质押增加了 PoS 链的经济安全性，可以保护其免受短程攻击。此外，如前所述，比特币时间戳也是比特币质押协议不可或缺的一部分，起到 PoS 链和比特币之间同步的作用。

9.7 传输证明和堆栈

Stacks[7]开发了一种转移证明（PoX）共识机制，矿工通过将比特币发送到比特币链上的特定地址来相互竞争成为下一个区块提议者，发送的金额越高，机会就越大。这是与权益证明协议根本不同的机制，因此可削减性和权益持有者的安全属性不适用于 Stacks 的 PoX。 尽管如此，为了将比特币与 Stacks 连接起来，以便 Stacks 的智能合约能够访问该资产，Stacks 提出了一种铸造和销毁名为 sBTC 的合成比特币代币的方法，该代币由 STX 代币质押者（称为“Stackers”）担保 [6]。 Stackers 作为 70% 阈值签名组，承担两项职责：1) sBTC 铸造和赎回，2) 批准已最终确定的 Stacks 账本的分叉。因此，如果超过 30% 的堆栈者是诚实的，则 sBTC 桥的安全性是安全的；如果至少 70% 的堆栈者诚实地签署交易，则 sBTC 桥的安全性是活的。我们工作的一个关键优势是，我们无需桥接比特币就可以进行比特币质押，而比特币的安全性通常受到桥接项目发行的代币的整体锁定资产价值的限制。 与 Stacks 相比，我们的比特币质押协议不需要花费比特币，但只要不发生安全违规，就会保留质押的比特币。这使得安全应用程序能够更高效、更可扩展地利用资产。

9.8 比特币桥接

从广义上讲，当今的比特币桥可分为三类：集中式、基于抵押品和基于侧链，以及硬件解决方案提供的潜在安全强化。我们在讨论中忽略了原子交换，因为它们尚未被流行的比特币桥所采用，这可能是由于可用性、延迟和流动性来源方面的挑战。 中心化桥由用户信任的中央机构运行，一个典型的例子是中心化交易所，它允许用户从其他链存入比特币及其包装代币，并提取到任何此类支持的链。例如，币安用户可以将其原生比特币存入其币安账户，然后提取 BNB 链上打包的比特币代币。另一个例子是 wBTC，其中 Bitgo 充当原生比特币的托管人 [37]。这些解决方案的工作前提是中心化各方不会故意造成伤害，或者当他们受到攻击时，他们将充分补偿用户的损失。 Interlay 是一种通过超额抵押金库将比特币引入 Polkadot 生态系统的解决方案，该金库提供比特币的挂钩（在收到原生比特币后创建包装的比特币）和挂钩（销毁包装的比特币后赎回原生比特币）[23 ]。这里的一个关键权衡是安全性（即，在金库作恶并窃取比特币的情况下，更大的抵押率）与容量（桥接的比特币数量受到抵押品数量和抵押率的限制）。同样，Stacks 在其 Nakamoto 升级 [7] 中提出的 sBTC [6] 要求“堆叠”STX 代币持有者集体执行 Stacks 链上比特币与 sBTC 代币之间的转入和转出操作。 另外，Nomic 是一条基于 Tendermint 的链，它提供了一种将比特币桥接到 nBTC 的方法，而 nBTC 又可以通过区块链间通信协议 (IBC) [3] 用于 Osmosis 和其他 Cosmos 区域 [29] ]。这种桥接解决方案的局限性在于，桥接代币的整体安全性取决于 Nomic 链的安全性，并且受到 Nomic 代币总质押价值的宽松限制。同样，Rootstock 在其矿机上运行比特币轻客户端，并依靠后者在其链上的原生比特币和合成比特币代币之间进行挂钩和挂钩 [5, 31]。在不考虑硬件提供的额外安全性（如下所述）的情况下，其包装的比特币代币的安全性与 Rootstock 工作量证明链的安全性相当。 此外，Rootstock 的名为 PowerPeg [31] 的比特币挂钩机制利用安全硬件来加强比特币挂钩的安全性。使用 Intel SGX 的 Avalanche 比特币桥也采用了类似的基于硬件的安全增强功能 [2]。原则上，使用硬件信任根可以减少此类桥的攻击面，特别是当可以在运行时验证代码完整性时。然而，实际的软件安全考虑因素适用于此： a) 如果安全硬件内部运行的桥接逻辑依赖于从外部源获取的关键信息，则此类桥接器的安全性会降低到外部组件的安全性； b) 如果安全硬件内运行的代码中的安全漏洞被利用，则硬件提供的安全增强可能会变得无效。 正如我们之前提到的，流行的比特币桥中的一个主要风险是由于包装的比特币代币的可赎回性，这些代币受到比比特币安全性低得多的链的保护。幸运的是，为了使比特币质押能够保护外部链和系统的安全，我们不需要锁定比特币的完全可转移性。我们提出的比特币质押方案通过限制对锁定比特币的支出操作，仅减少安全违规行为，从而规避了当前比特币桥的安全和容量挑战。因此，我们的方案提供了第 4 节中所述的强有力的安全保证。

10 结论

就市值而言，比特币是第一个且仍然是顶级的区块链。然而，除了价值储存之外，它的实用性还受到其小块空间、高延迟和有限的可编程性的限制。特别是，之前通过构建侧链和其他第 2 层项目来扩展比特币和扩大其用例的努力因无法将大量比特币桥接到这些链而受到阻碍。这些桥梁要么受到安全性的限制，要么受到容量的限制，要么同时受到两者的限制。 我们的工作为比特币资产带来了一个新的重要用例：通过质押为 PoS 世界提供安全性。我们展示的是，至少在这个用例中，不需要将比特币资产桥接到其他链上，但可以为 PoS 链提供全面的经济安全。实现这一目标的最大挑战是能够在比特币链上没有智能合约的情况下远程消除所有安全违规行为。我们通过将四个概念综合到一个协议中来实现这一目标：1）负责任的断言，在模棱两可的情况下泄漏私钥，2）最终性小工具，将所有安全违规行为转换为模棱两可的负责任断言，3）比特币约定模拟，在泄漏时强制销毁资金私钥，以及 4) 比特币时间戳，以确保削减交易可以在取消质押之前花费。我们的结构是模块化的，可以在所有 PoS 共识协议之上使用。实施我们的比特币质押协议不需要比特币的软分叉或硬分叉。 随着序号等新用例的出现，比特币最近经历了某种复兴。我们相信，比特币质押的用例将为这一复兴增添进一步的动力，并将激励人们努力寻找庞大的比特币资产的其他无需信任的用例。 比特币上发生的事情就留在比特币上。