Babylon 轻皮书：比特币质押 - 解锁 2100 万BTC保障PoS经济安全

作者：The Babylon Team 版本 1.0：2023-07-13 本白皮书基于即将发布的技术论文[9]，由 Babylon 团队、ZeroSync 的 Robin Linus 和 Common Prefix 及帝国理工学院的 Orfeas Stefanos Thyfronitis Litos 合作完成。

摘要

权益证明（PoS）链由资本保障安全，但资本可能非常昂贵。比特币是一种工作量证明（PoW）链，但它也是一个 6000 亿美元的资产，其中大部分是闲置资本。我们提出了比特币质押的概念，允许比特币持有者质押他们的闲置比特币以增加 PoS 链的安全性，并在此过程中赚取收益。我们提出了一种比特币质押协议，允许比特币持有者在不将比特币桥接到 PoS 链的情况下，信任地质押他们的比特币，同时为链提供完全可削减（slashable）的安全保证。该协议支持快速解除质押，以最大化比特币持有者的流动性。此外，该协议设计为一个模块化插件，可用于多种不同的 PoS 共识算法之上，并提供了一个基础，可以在其上构建再质押（restaking）协议。我们提出了一种系统架构，用于将协议扩展到许多质押者和许多 PoS 链，其中比特币质押的 Babylon 链作为控制面板，在比特币和 PoS 链之间进行同步。比特币质押为比特币开启了一个重要的新用例，并朝着整合比特币和权益证明经济迈出了重要一步。

1. 权益证明（Pos）安全性需要资本

过去几年见证了区块链行业从工作量证明（PoW）向权益证明（PoS）作为 Sybil 抵抗机制的转变。这一趋势中的一个决定性事件是 2022 年 9 月的TheMerge，即以太坊从 PoW 向 PoS 共识的迁移。虽然 PoW 区块链由矿工解决复杂的数学难题来保障安全，PoS 区块链则由持有质押的验证者保障安全。验证者的质押作为一种押金，当验证者违反协议时可以被削减。可削减性是 PoW 链所没有的特性，也是以太坊从 PoW 迁移到 PoS 的主要动机之一[18]。保障质押的市场资本化越大，攻击链的成本就越高，链的经济安全性就越强。因此，虽然 PoW 链由工作量保障安全，PoS 链则由资本保障安全。

而资本往往难以吸引，尤其是对于小链或处于启动阶段的链。需要高通胀率来支付高收益以吸引这种资本。例如，在 Cosmos 生态系统中，由超过 60 个特定应用链组成，初始年化通胀率为 20% 到 100% 是很常见的。这种高通胀阻碍了链的长期增长。高成本也使得安全性与链的实用性之间存在紧张关系：通胀本可以用于激励链上的应用。

Akash [1]，一个运行去中心化 AI 计算平台的 Cosmos SDK 链，提供了一个很好的案例研究。AKT 代币的极高初始通胀率为 100%，既支付了安全性，也激励了提供者租赁高质量的计算硬件[30]。随着通胀率随着时间的推移而下降，安全性与实用性之间的紧张关系变得更加尖锐。

2. 比特币：6000 亿美元资产

尽管转向 PoS，最大的加密资产比特币，截至本文撰写时，占总加密资产的一半以上，仍由 PoW 链保障。与 PoS 资产相比，比特币资产有几个显著的不同：

1. 不受束缚(Unencumbered)：由于比特币由工作保障，比特币资产本身并不用于保障比特币链。相比之下，每个 PoS 资产用于保障其自身的链。
2. 更多闲置。大多数比特币资产闲置并未部署。由于大多数产生收益的活动如 DeFi 借贷和安全质押发生在 PoS 链上，比特币需要桥接到其他链和/或发送到第三方中心化托管人以提取收益。对于许多比特币持有者来说，这种桥接和中心化托管人被认为风险太大。例如，wBTC，最大的比特币包装资产之一，市值不到 50 亿美元，仅占比特币总市值的百分之一。
3. 更去中心化。比特币作为最古老的区块链，拥有最去中心化的一组代币持有者：矿工、早期采用者和开发者、项目创始人、个人投资者、机构投资者、交易所等。相比之下，许多 PoS 链的资产集中在早期投资者、创始人和团队成员及基金会手中，至少在项目的早期阶段是这样。中心化的资产在质押以验证网络时会使网络暴露于中心化的风险。
4. 更稳定。比特币作为最大的加密资产，其波动性显著低于大多数 PoS 资产。PoS 资产的波动性是 PoS 链安全性的一个重要问题，因为安全性是质押资产市值的直接函数，资产价值的急剧下降为攻击者提供了机会。

3. 比特币质押

鉴于这些特性，为什么不通过质押比特币来帮助保障 PoS 链的安全呢？比特币质押的概念是本工作的重点。

比特币质押是一个双边市场（图 1）。一方面是需要安全性并愿意为此支付收益的 PoS 链。另一方面是拥有资本并希望从中赚取收益的比特币持有者。比特币质押协议是一种实现这种双边市场的安全共享协议。一个好的比特币质押协议应为消费者 PoS 链（使其愿意为此支付收益）和提供者比特币持有者（使其愿意质押）提供强有力的安全保证。

图 1：比特币质押是一个双边市场。

4. Babylon 比特币质押协议：安全属性

我们在此提出一种比特币质押协议，当与现成的消费者 PoS 链结合使用时，具有三个重要的安全属性：

1. 完全可削减 PoS 安全性。每当发生安全违规时，1/3 的比特币质押保证被削减。只要 2/3 的比特币质押诚实地遵循 PoS 协议，PoS 链就能保持活跃。
2. 质押者安全性。每个比特币质押者保证能够提取其资金，或解除质押，只要质押者诚实地遵循 PoS 协议。
3. 质押者流动性。质押比特币的解除质押保证是安全且快速的，无需社会共识。

属性 1 表示协议违规者会被削减。属性 2 表示唯一失去质押的是协议违规者。综合起来，属性 1 和 2 反映了 PoS 安全性的黄金标准：完全可削减性，正如 Buterin 和 Griffith 所倡导的[18]。实际上，完全可削减性是 PoS 以太坊[19]以及 Tendermint[13, 15]的核心设计目标之一，Tendermint 是构建 PoS 区块链（包括 Cosmos SDK 链、Polygon、BNB 链等）最广泛使用的共识引擎之一。事实上，属性 2 甚至比独立的 PoS 协议更强：即使 PoS 链上的所有其他质押者都不诚实，质押者仍然可以解除质押。在我们的比特币质押协议中，提取审查是不可能的。因此，我们的协议提供了无信任的质押。独立的 PoS 链，如 PoS 以太坊或 Cosmos SDK 链，由于使用社会共识来对抗长距离攻击[16，21，12，22]，即 PoS 链中的一个基本“无风险”攻击向量，因此存在长达数周的解绑时间。相比之下，在我们的比特币质押协议中，比特币质押分布保存在比特币链上，这样可以免受此类长距离攻击。通过适当设计质押协议，我们展示了属性 3 是可以实现的。

5. 挑战

我们考虑了两种基本的比特币质押方法，每种方法都有其挑战。

1. 桥接到 PoS 链。 一种比特币质押方法是首先将比特币从比特币链桥接到消费者 PoS 链，并在那里执行削减规则。虽然这种方法可以为 PoS 链提供可削减的安全性（属性 1），但一个根本的限制是桥接解决方案本身的安全性。大多数现有比特币桥的安全性基于信任一个中心化托管人（例如 wBTC 的 Bitgo）或一个多签名桥接委员会。（参见第[9.8]节的更多讨论。）即使是理想的比特币桥也依赖于信任目标链的质押者。因此，通过桥接解决方案，不可能实现属性 2，即无信任质押。
2. 从比特币链远程质押。 为了避免桥接比特币，另一种方法是远程质押：将质押的比特币锁定在比特币链上的一个合约中，然后在消费者 PoS 链上发生协议违规时削减质押。这是 Eigenlayer 的以太坊再质押协议[36]和[Cosmos 生态系统的网状安全[11, 4]中使用的安全共享解决方案。在这两种情况下，提供者链，即安全来源，具有图灵完备的智能合约层。这使得在提供者链上实施削减技术上变得简单，因为协议违规证据可以从消费者链发送回提供者链，并由提供者链上的智能合约执行削减。然而，我们设置中的提供者链是比特币，它不支持智能合约，只具有表达能力有限的脚本语言。因此，虽然由于比特币仍然保留在比特币链上，我们获得了无信任质押（属性 2），但现在的一个关键挑战是如何执行削减以实现属性 1，即完全可削减的 PoS 安全性。

我们的比特币质押协议遵循远程质押方法，但我们通过结合高级密码学、共识协议创新和优化使用比特币脚本语言克服了缺乏智能合约的问题。在详细介绍这些技术之前，让我们首先通过一个质押者的旅程来说明比特币质押协议的高级功能。

6. 一个比特币质押者的旅程

Alice 有 1 个比特币，她想在 PoS 链上质押它。首先，她通过发送一个质押交易到比特币链来进入一个质押合约，将她的比特币锁定在一个自我托管的保险库中。比特币只能通过使用 Alice 的私钥以两种可能的方式之一解锁：

1. Alice 发出一个解绑交易，比特币将在 3 天内解锁并返回给 Alice。

2. Alice 发出一个削减交易，将比特币发送到一个销毁地址。

一旦这个质押交易出现在比特币链上，Alice 可以通过使用她的密钥签署区块来开始为 PoS 链进行验证。在她的验证任务期间，有两种可能的路径。

图 2：一个比特币质押者的旅程：（a）愉快的路径：Alice 质押，为 PoS 链验证，请求解绑，并在 3 天内解除质押；（b）不愉快的路径：Alice 质押，对 PoS 链进行安全攻击，然后她的比特币被销毁。

一种是愉快的路径（图 2(a)），即 Alice 诚实地遵循协议，当她想要解除质押时，她通过发送一个解绑交易到比特币链来发出解绑请求（图 2(b)）。一旦解绑交易进入比特币链，Alice 在 PoS 链上的验证任务就停止了，3 天后，提款请求被批准，1 个比特币返回给 Alice。PoS 链也会授予 Alice 奖励。

另一种是不愉快的路径（图 2(b)），即 Alice 变得恶意并参与对 PoS 链的双重花费（安全）攻击（图 2(c)）。在这种情况下，质押协议确保 Alice 的私钥将泄露给公众。现在任何人都可以假装是 Alice 并发送削减交易到比特币链并销毁 Alice 的 1 个比特币。这种不愉快路径的存在确保了安全违规是可削减的，每个人都会保持愉快。

7. 技术组成

以下是实现第 6 节中描述的协议功能并克服第 5 节中描述的挑战的关键成分。详细信息将在即将发布的完整论文[9]中找到。

7.1 通过比特币契约(Convents)模拟的质押合约

由于比特币上没有智能合约层，质押合约必须用比特币脚本[10]编写的 UTXO 交易来表达。每个 UTXO 交易从 UTXO 集中花费资金，比特币脚本提供少量操作码来指定花费资金的条件。一个质押合约有 4 个交易：

• 一个质押交易，其中输入是质押者的比特币地址，输出可以通过两种方式之一花费：

  • 一个解绑交易，允许质押者在相对锁定时间（测量解绑时间）到期后花费输出（相对锁定时间可以通过操作码 OP_CHECKSEQUENCEVERIFY [10]实现）；
  • 一个削减交易，允许质押者立即将输出花费到一个销毁地址（不可花费的输出）

  

图 3：Casper 的削减条件，图取自[18]。

• 一个解除质押交易，可以在相对时间锁定到期后花费解绑交易的输出，

质押合约是比特币契约[25，26]的一个例子，其中交易的输出被限制为以某些方式花费。契约可以通过 OP_CHECKTEMPLATEVERIFY [8]实现，这是一个提议在未来比特币脚本升级中包含的比特币脚本操作码。在升级之前，已经提出了多种模拟契约的方法。我们工作的一个创新是一个几乎无信任的契约模拟。更多细节见[9]。

7.2 通过可问责断言和终局性小工具实现的自动削减

由于比特币上缺乏智能合约，不能仅仅发送任何安全违规证据并依赖比特币处理此类证据。我们的协议允许发送可以直接导致削减的证据：质押者的私钥。为了确保每当发生安全违规时泄露质押者的私钥，我们结合了两个想法：（a）来自密码学的可问责断言( accountable assertions)[32]，和（b）来自区块链共识的终局性小工具[18]，[27]，[28]。

可提取的一次性签名是一种签名方式，其中当签名者使用相同的私钥签署两条消息时，私钥会被泄露，即可以从这两条消息的签名中提取出来。EOTS 被提出作为一种惩罚矛盾行为的通用方法 [32]，例如双花同一个比特币。然而，共识协议的惩罚条件比对两条特定消息的矛盾行为更复杂。例如，在 Casper [18] 中，PoS 以太坊协议的惩罚模块有两组惩罚条件（图 [3]）。第一组惩罚条件是签署两个相同高度的区块，这是一个矛盾行为，第二组则更复杂，不能简单地表示为矛盾行为。同样，在 Tendermint 中，也有两组惩罚条件。一组惩罚条件是签署同一轮次中相同高度的两个区块，另一组惩罚条件来自所谓的失忆攻击 [14]，这同样不能直接表示为矛盾行为。

我们通过不改变基本共识协议本身的签名方案来绕过这个问题，而是在基本共识协议最终确定一个区块后，添加一个额外的签名轮次，使用可提取的一次性签名进行签名。如果一个区块既被基本协议最终确定，又获得超过 2/3 的权益签署的 EOTS 签名，则该区块被认为是真正最终确定的。可以将这个额外的签名轮次解释为一种终局性小工具[27]，一种 EOTS 最终确定性工具。研究表明，如果在这个修改后的协议中存在安全性违规，那么超过 1/3 的权益已经使用 EOTS 签署了两个相同高度的区块 [9]。这导致这些权益持有者的私钥被提取。此外，EOTS 签名方案可以通过 Schnorr 签名实现，这是一种在比特币中使用的签名方案。因此，这些提取的私钥可以用于执行惩罚交易。

这种基于终局性 gadgets的解决方案的一个非常重要的优势是其模块化性质：它可以在所有 BFT 共识协议之上使用，而无需对基本共识协议本身进行任何更改。这使得该技术可以与任何 PoS 链兼容。

7.3 通过比特币时间戳实现快速解绑

在具有原生质押的 PoS 链中，解绑时间非常长（例如 Cosmos Hub 中为三周），这是由于需要社会共识来对抗长程攻击。长程攻击是指攻击者在解绑后构建一个替代分叉，这几乎没有成本。另一方面，在 PoW 链如比特币上的长程攻击成本非常高，因为需要消耗大量能源来构建一个替代的长链以取代规范的最长链。由于我们的比特币质押协议中的解绑请求是提交到比特币链上的，从比特币链上移除该交易的成本将非常高。这表明，在我们的比特币质押协议中，解绑可以快速进行，而无需社会共识。然而，问题在于，虽然权益分布保存在比特币链上，但区块的投票发生在 PoS 链上。攻击者可以减慢 PoS 链的速度，导致用于验证 PoS 区块的权益持有者集过时。这意味着攻击者可以在比特币链上解绑，但仍然有投票权在 PoS 链上进行分叉。即使权益持有者的私钥被泄露，也为时已晚，因为权益持有者已经在比特币链上解绑。

为了避免这种攻击并实现快速解绑，PoS 链应与比特币链紧密同步。这可以通过一种称为比特币时间戳的技术来实现，其中 PoS 区块哈希和用于区块投票的权益持有者集记录在比特币链上。有趣的是，这种比特币时间戳技术对于在具有原生质押的 PoS 链中实现安全和快速解绑也非常有用，允许使用比特币作为外部信任 [35]。我们正在重新定位这种技术，以实现比特币质押协议的快速解绑。

8. 系统架构

基于上述原语，比特币质押协议的核心基础设施是比特币和 PoS 链之间的控制面板（图 4）。该控制面板负责各种关键功能，包括

• 为 PoS 链提供比特币时间戳服务，以实现它们与比特币网络的同步。

• 作为一个市场，匹配比特币质押和 PoS 链，并跟踪质押和验证信息，如 EOTS 密钥注册和刷新；

• 记录 PoS 链的终局性签名；

图 4：具有控制面板和数据面板的系统架构

另一方面，每个 PoS 链的验证者除了生成和验证区块（如在正常共识协议中）外，还在Finality gadgets上签署终局性签名。这些验证者共同运行架构的数据面板。

控制面板被实现为一个链，以确保其去中心化、安全、抗审查和可扩展性。例如，比特币网络有限且昂贵的区块空间使得每个 PoS 链直接在其上进行时间戳记录不可持续且不可扩展，这阻碍了比特币质押的采用。为了解决这个问题，Babylon 团队设计了一种安全的比特币时间戳协议，并将其实现为基于 Cosmos-SDK 的 Babylon 链。该链通过标准的 IBC（跨链通信）协议，实现了对任意数量的 Cosmos SDK 链的高效时间戳聚合。其测试网于 2023 年 2 月首次启动，已与跨不同垂直领域的 30 多条 Cosmos SDK 链集成（图 5）。

这产生了一个三层架构，其中 Babylon 链作为控制面板，促进比特币和数据面板（即 PoS 链）之间的交互。这种架构还可以带来网络效应并实现互操作性潜力。例如，可以基于 Babylon 链上两个 PoS 链的终局性状态，在 Babylon 链上结算跨 PoS 链的交易。

9. 相关工作

9.1 跨链质押、再质押和网状安全

每个现有的 PoS 链都由其账本中维护的原生资产提供安全保障。例如，PoS 以太坊由 ETH 提供安全保障，Cosmos Hub 由 ATOM 提供安全保障，BNB 链由 BNB 提供安全保障。然而，仅使用原生代币会将 PoS 链的经济安全性上限限制在原生代币的市值上。在 PoS 链上质押远程加密资产而不是或除了原生资产之外，提供了一种通过增加质押的总市值来提高链安全性的途径。区块链行业中正在出现的一种方法可以称为跨链质押：质押的外来资产保留在其自身的链上，但锁定在为其提供安全保障的链的首选验证者指定的质押合约中。

图 5：具有 31 个启用 IBC 链的比特币时间戳测试网。

只有当验证者犯下可罚的错误时，质押资产才会被削减。这是 Cosmos 生态系统中网状安全概念背后的想法[11, 4]。一个 Cosmos 应用链（提供链）的资产可以被跨质押以帮助保护另一个 Cosmos 应用链（消费者链）。这种跨质押协议反过来又受到 Eigenlayer 的以太坊再质押概念的启发[36]。这个想法是将质押的 ETH 在 PoS 以太坊上再质押，以保护中间件（所谓的 AVS，主动验证系统），如数据可用性层、桥、Oracle 服务等。随着这些项目的推进，一种广义的 PoS 形式正在出现，其中一种加密资产可以用于保护其自身链以外的链和服务。

我们的比特币质押协议可以被视为跨链质押协议的一个例子，但与 Cosmos 网状安全和以太坊再质押有两个重要区别。首先，在以太坊再质押和 Cosmos 网状安全中，资产已经被质押以保护提供链。相比之下，比特币是通过 PoW 而不是比特币资产本身来保护的，因此比特币资产是未被占用的。这减少了再质押带来的过度杠杆风险[17, 36]。其次，比特币上没有智能合约来实施质押削减。相反，我们优化了比特币脚本语言的使用，并使用了一种先进的加密机制来实现同样的目标。

9.2 可问责和可削减性

许多 PoS 链的一个重要特性是它们能够以可证明的方式追究协议违规者的责任[18, 20, 33]。这种特性在 PoW 链中不存在，因为矿工没有链上身份。实际上，责任安全性，即在发生安全违规时能够追究 1/3 验证者的责任，是 PoS 以太坊设计的核心[18, 20]。然而，可问责和链上削减之间存在差距，即使用协议违规证据实际在链上扣除违规者的质押。特别是在安全违规的情况下，超过 1/3 的验证者已经是对手，可以审查违规证据，使其无法上链并进行削减。在这种情况下，必须在链下进行复杂的社会共识过程，以便削减违规者并将其踢出验证者集，剩下的诚实验证者可以重新启动链[35]。相比之下，我们的比特币质押协议没有这个问题，因为比特币质押存在于比特币链上，而不是 PoS 链上，一旦在 PoS 链上发生安全违规，它会自动被削减。

9.3 可问责断言和 Stakechain

使用可提取的一次性签名来惩罚矛盾的概念起源于[32]。在那项工作中，作为分布式协议中一方做出可问责断言的前提，必须在比特币链上时间锁定一笔存款。每当在同一上下文中做出两个不同的断言时，该方的私钥会泄露，任何人都可以使用私钥取走存款。[24]基于这一概念创建了一个由比特币支持的 PoS 侧链。然而，所提出的 PoS 协议在区块链的每个高度只涉及一个投票阶段。虽然这允许将安全违规简单地建模为矛盾的可问责断言（以区块高度为上下文，并将安全违规视为在同一高度的两个区块上的矛盾），但即使攻击者的质押非常小，该协议也不具有活性。相比之下，已知的 BFT 协议设计都涉及多个投票阶段以确保活性。相比之下，我们的工作并不试图从头设计一个 PoS 协议，而是将比特币质押协议与任何 PoS 共识协议结合使用，作为一个附加的Finality gadgets。这保证了只要底层共识协议是活的，整体协议就具有活性，但由于使用 EOTS 在Finality gadgets上签名时，所有的安全违规都是在同一区块高度上的矛盾，因此实现了可罚性。此外，我们协议中的存款合约允许按需提款（在一定延迟后），而[32]中的合约只允许定期存款。

9.4 Finality gadgets

广义上讲，Finality gadgets可以被视为覆盖协议，用于现有共识协议之上，以提供额外的安全保证。第一个Finality gadgets是 Casper FFG[18]，用于最长链协议之上，以保证在网络分区下的安全性（最长链协议不具备这种安全性）。另一个Finality gadgets是 GRANDPA[34]，用于 Polkadot。PoS 以太坊的信标链共识协议 Gasper[19]使用 Casper FFG 作为Finality gadgets，叠加在 LMD（最新消息驱动）GHOST 协议之上。然而，[27]显示 Gasper 容易受到活性攻击。第一个被正式证明安全的Finality gadgets构造是 snap-and-chat 协议[27]。在[28]中提出的可问责gadgets允许将可问责属性添加到最长链协议中。我们比特币质押协议中的 EOTS Finality gadgets构造遵循类似的理念。它将比特币质押的可罚性属性添加到现有的 BFT 共识协议中。

9.5 比特币合并挖矿

合并挖矿是 2010 年由中本聪发明的第一种共享比特币安全性的技术。它用于保护第一个比特币侧链 Namecoin。当前最大的支持合并挖矿的比特币侧链是 Rootstock[5]。使用合并挖矿技术，比特币矿工可以同时挖掘比特币和另一个 PoW 链，而无需额外的能量。然而，作为一种安全共享协议，合并挖矿受到“无风险”问题的威胁：原则上，矿工可以在诚实挖掘比特币链的同时攻击侧链。由于比特币是矿工的主要收入来源，可能没有足够的威慑力来防止在侧链上的恶意行为。相比之下，使用比特币质押，一切都在风险之中：在 PoS 链上的恶意行为是可罚的。因此，比特币质押是一种比合并挖矿更强的安全共享技术。

9.6 比特币时间戳

另一种共享比特币安全性的技术是时间戳[35]：PoS 区块的哈希和签名作为交易提交并记录在比特币链上。这为 PoS 区块提供了额外的排序层，可以在 PoS 链上出现分叉时用于打破平局。这种技术是 Babylon 比特币时间戳测试网的基础。由于比特币确认交易需要很长时间，在比特币链上安全记录这些时间戳是一个缓慢的过程。因此，比特币时间戳在提供长期安全性方面非常有效，例如防止长期攻击。相比之下，比特币质押增加了 PoS 链的经济安全性，保护其免受短期攻击。此外，如前所述，比特币时间戳也是比特币质押协议的一个组成分，起到在 PoS 链和比特币之间同步的作用。

9.7 Proof-of-transfer 和 Stacks

Stacks [7] 开发了一种 proof-of-transfer (PoX) 共识机制，矿工通过向比特币链上的特定地址发送比特币来竞争成为下一个区块提议者，发送的比特币越多，机会越大。这是一种与 proof-of-stake 协议根本不同的机制，因此 slashability 和 stakers 的安全属性不适用于 Stacks 的 PoX。

然而，为了将比特币桥接到 Stacks 以允许 Stacks 的智能合约访问该资产，Stacks 提出了一种铸造和销毁名为 sBTC 的合成比特币代币的方法，该代币由 STX 代币持有者（称为"Stackers"）[6]担保。Stackers 作为一个 70%的阈值签名组，负责两项任务：1）sBTC 的铸造和赎回，2）批准已经最终确定的 Stacks 分类账的分叉。因此，如果超过 30%的 Stackers 是诚实的，sBTC 桥的安全性是安全的，如果至少 70%的 Stackers 诚实地签署交易，它是活跃的。我们工作的一个关键优势是，我们使比特币 staking 成为可能，而不需要桥接比特币，其安全性通常受到桥接项目发行的代币的整体锁定资产价值的限制。

与 Stacks 相比，我们的比特币 staking 协议不需要花费比特币，但只要没有发生安全违规，就可以保留被 staking 的比特币。这使得资产在安全应用中的利用更加高效和可扩展。

9.8 比特币桥

广义上讲，今天有三类比特币桥：中心化的、基于抵押的和基于侧链的，以及硬件解决方案提供的潜在安全增强。我们在讨论中省略了原子交换，因为它们尚未被主流比特币桥采用，可能是由于可用性、延迟和流动性来源的挑战。

中心化桥由用户信任的中央方运行，典型的例子是允许用户存入比特币及其来自其他链的包装代币，并提取到任何支持的链上的中心化交易所。例如，币安用户可以将她的原生比特币存入她的币安账户，然后在 BNB 链上提取包装的比特币代币。另一个例子是 wBTC，其中 Bitgo 作为原生比特币的托管人[37]。这些解决方案在很大程度上假设集中方不会故意或在受到攻击时不会对用户造成伤害，并且会充分补偿用户的损失。

Interlay 是一种通过过度抵押的金库将比特币带入 Polkadot 生态系统的解决方案，这些金库提供比特币的 peg-in（接收原生比特币后创建包装比特币）和 peg-out（销毁包装比特币后赎回原生比特币）[23]。这里的一个关键权衡是安全性（即在金库变得不可信并窃取比特币的情况下更高的抵押率）与容量（桥接的比特币数量受抵押物和抵押率的限制）。类似地，Stacks 在其 Nakamoto 升级[7]中提出的 sBTC[6]任务是由“stacked”STX 代币持有者集体组执行比特币和 Stacks 链上的 sBTC 代币之间的 peg-in 和 peg-out 操作。

另一种选择是 Nomic，这是一个基于 Tendermint 的链，提供了一种将比特币桥接到 nBTC 的方法，nBTC 可以通过跨区块链通信协议（IBC）[3]在 Osmosis 和其他 Cosmos Zones 上使用[29]。这种桥接解决方案的限制是桥接代币的整体安全性取决于 Nomic 链的安全性，并且松散地受 Nomic 代币的总 staking 价值的限制。类似地，Rootstock 在其矿工上运行比特币轻客户端，并依赖后者在其链上进行原生比特币和合成比特币代币之间的 peg-in 和 peg-out[5, 31]。不考虑下面详述的硬件提供的额外安全性，其包装比特币代币的安全性与 Rootstock 的工作量证明链的安全性相当。

此外，Rootstock 的比特币挂钩机制名为 PowerPeg[31]，利用安全硬件来加强比特币的挂钩。类似的硬件安全增强也被 Avalanche 的比特币桥采用，使用 Intel SGX[2]。使用硬件信任根原则上可以减少此类桥的攻击面，特别是在运行时可以验证代码完整性时。然而，这里适用实际的软件安全考虑：a）如果在安全硬件内运行的桥接逻辑依赖于从外部来源获得的关键信息，则此类桥的安全性将降低到外部组件的安全性；b）如果在安全硬件内运行的代码中存在安全漏洞被利用，硬件提供的安全增强可能会失效。

如前所述，当前比特币桥的一个关键风险在于包装比特币代币的可赎回性，这些代币由比比特币链安全性低得多的链保护。幸运的是，为了使比特币 staking 能够保护外部链和系统，我们不需要锁定比特币的完全可转移性。我们提出的比特币 staking 方案通过将锁定比特币的花费操作限制为仅限于 slashing 安全违规，绕过了当前比特币桥的安全性和容量挑战。因此，我们的方案提供了如第 4 节所述的强大安全保证。

10 结论

比特币是第一个也是目前市值最高的区块链。然而，除了作为一种价值存储，其效用受到其小区块空间、高延迟和有限可编程性的限制。特别是，通过构建侧链和其他 Layer2 项目来扩展比特币和扩大其用例的先前努力，由于无法将大量比特币桥接到这些链上而受阻。桥接要么受限于安全性，要么受限于容量，或者两者兼而有之。

我们的工作为比特币资产带来了一个新的重要用例：staking 以提供对 PoS 世界的安全性。我们展示的是，至少对于这个用例，不需要将比特币资产桥接到其他链上，但可以为 PoS 链提供完全的经济安全。实现这一目标的最大挑战是能够在没有比特币链上智能合约的情况下远程 slashing 所有安全违规。我们通过将四个概念合成为一个协议来实现这一点：

1）通过可问责声明泄露私钥以应对矛盾，

2）终结gadgets将所有安全违规转换为可问责声明的矛盾，

3）比特币契约模拟以在泄露私钥时强制销毁资金，

4）比特币时间戳确保 slashing 交易可以在解除 staking 之前花费。

我们的构造是模块化的，可以在所有 PoS 共识协议之上使用。实现我们的比特币 staking 协议不需要比特币的软分叉或硬分叉。

随着像 Ordinal 这样的新用例，比特币最近经历了一种复兴。我们相信，比特币 staking 的用例将为这种复兴增添更多动力，并将激发寻找比特币资产其他无信任用例的努力。

11 致谢

这份轻皮书源于 Babylon 团队、ZeroSync 的 Robin Linus 和 Common Prefix 及帝国理工学院的 Orfeas Stefanos Thyfronitis Litos 之间的合作。我们在 2023 年的比特币迈阿密会议上遇到了 Robin Linus，他向我们介绍了他的工作 Stakechain。当时我们已经在比特币质押方面进行了深入研究，因此我们联合起来完成了这项工作。

参考文献

[1] Akash networks. https://akash.network/. 访问时间：2023-07-10。

[2] Avalanche 桥是如何工作的？ https://support.avax.network/en/articles/6349640- how-does-the-avalanche-bridge-work.

[3] 跨区块链通信协议。 https://ibcprotocol.org/.

[4] Mesh 安全。 https://github.com/osmosis-labs/mesh-security.

[5] Rsk. https://www.rsk.co/. 访问时间：2021-11-3。

[6] sbtc：比特币的无信任双向挂钩设计。 https://stx.is/sbtc-pdf .

[7] Stacks：比特币智能合约层。 https://stx.is/nakamoto.

[8] Bip 119：OP_CHECKTEMPLATEVERIFY, 2023。 https://github.com/bitcoin/bips/blob/master/bip- 0119.mediawiki.

[9] 比特币质押。进行中，2023。

[10] Script, 2023。

[11] Sunny Aggarwal。Mesh 安全在 cosmoverse 2022 的演讲。 https://youtu.be/Z2ZBKo9-iRs?t= 4937.

[12] Christian Badertscher, Peter Gaži, Aggelos Kiayias, Alexander Russell, and Vassilis Zikas。Ouroboros Genesis：具有动态可用性的可组合权益证明区块链。在计算机和通信安全会议，CCS '18，页码 913–930。ACM，2018。

[13] Ethan Buchman。Tendermint：区块链时代的拜占庭容错。博士论文，圭尔夫大学，2016。

[14] Ethan Buchman, Rachid Guerraoui, Jovan Komatovic, Zarko Milosevic, Dragos-Adrian Seredinschi, and Josef Widder。重新审视 Tendermint：设计权衡、问责制和实际使用。在 DSN（补充），页码 11–14。IEEE，2022。

[15] Ethan Buchman, Jae Kwon, and Zarko Milosevic。关于 BFT 共识的最新消息。arXiv 预印本 arXiv:1807.04938，2018。

[16] Vitalik Buterin。权益证明：我如何学会爱上弱主观性，2014。

[17] Vitalik Buterin。不要过载以太坊共识。可在：https://vitalik.ca/general/ 2023/05/21/dont_overload.html，2023 年 5 月。

[18] Vitalik Buterin and Virgil Griffith。Casper 友好的终结装置。arXiv:1710.09437，2019。

[19] Vitalik Buterin, Diego Hernandez, Thor Kamphefner, Khiem Pham, Zhi Qiao, Danny Ryan, Juhyeok Sin, Ying Wang, and Yan X Zhang。结合 GHOST 和 Casper。arXiv:2003.03052，2020。

[20] Vitalik Buterin, Diego Hernandez, Thor Kamphefner, Khiem Pham, Zhi Qiao, Danny Ryan, Juhyeok Sin, Ying Wang, and Yan X Zhang。结合 GHOST 和 Casper。arXiv 预印本 arXiv:2003.03052，2020。

[21] Phil Daian, Rafael Pass, and Elaine Shi。Snow white：稳健可重构的共识及其在可证明安全的权益证明中的应用。在金融密码学和数据安全，FC '19，页码 23–41。Springer，2019。

[22] Evangelos Deirmentzoglou, Georgios Papakyriakopoulos, and Constantinos Patsakis。关于权益证明协议的长程攻击的调查。IEEE Access，7：28712–28725，2019。

[23] Interlay Labs。Interlay v2：比特币金融，无银行，2023 年 2 月。 https://gateway.pinata. cloud/ipfs/QmWp62gdLssFpAoG2JqK8sy3m3rTRUa8LyzoSY8ZFisYNB.

[24] Robin Linus。Stakechain：比特币支持的权益证明，2021 年 12 月。 https://coins.github. io/stakechains.pdf .

[25] Gregory Maxwell。使用 scip 签名的 Coincovenants，一个有趣的坏主意，2013。 [https:](https://bitcointalk.org/index.php?topic= 278122.0) [//bitcointalk.org/index.php?topic=278122.0.](https://bitcointalk.org/index.php?topic= 278122.0)

[26] Malte Moser, Ittay Eyal,and Emin Gun Sirer。比特币契约，在金融密码学，2015。

[27] Joachim Neu, Ertem Nusret Tas, and David Tse。Ebb-and-flow 协议：可用性-终局性困境的解决方案。在安全与隐私研讨会，S&P '21。IEEE，2021。

[28] Joachim Neu, Ertem Nusret Tas, and David Tse。可用性-问责困境及其通过问责装置的解决方案。在金融密码学，2022。

[29] Nomic。Nomic 比特币桥。 https://www.nomic.io/.

[30] Greg Osouri and dam Bozanich。Akt：Akash 网络代币挖矿经济学，2020 年 1 月。 https://ipfs.io/ipfs/QmdV52bF7j4utynJ6L11RgG93FuJiUmBH1i7pRD6NjUt6B.

[31] Rootstock。Powpeg：构建最安全、无许可和不可审查的比特币挂钩。 https://dev.rootstock.io/rsk/architecture/powpeg/.

[32] Tim Ruffing, Aniket Kate, and Dominique Schröder。 通过比特币损失惩罚矛盾。在第 22 届 ACM 计算机和通信安全会议，CCS '15，页码 219–230，纽约，NY，美国，2015。计算机协会。

[33] Peiyao Sheng, Gerui Wang, Kartik Nayak, Sreeram Kannan, and Pramod Viswanath。BFT 协议取证。在 CCS，页码 1722–1743。ACM，2021。

[34] Alistair Stewart and Eleftherios Kokoris-Kogia。GRANDPA：拜占庭 finality gadget. arXiv:2007.01560，2020。

[35] Ertem Nusret Tas, David Tse, Fisher Yu, Sreeram Kannan, and Mohammad Ali Maddah-Ali。比特币增强的权益证明安全性：可能性和不可能性。在 IEEE 安全与隐私研讨会。IEEE，IEEE，2023。

[36] EigenLayer 团队 Eigenlayer：再质押集体。 https://docs.eigenlayer.xyz/overview/ whitepaper.

[37] WBTC 包装比特币（wbtc）。 https://wbtc.network/.