比特币上的零知识证明

视频 AI 总结： 本视频核心讨论了在比特币区块链上实现零知识证明（ZK）验证所面临的挑战和现有解决方案。由于比特币采用UTXO模型和功能有限的脚本语言，直接验证复杂的ZK证明（如Groth16）非常困难。视频回顾了从最初的ZKBitcoin项目到BitVM系列方案的演进，重点介绍了如何通过将验证电路分割成多个交易、利用时间锁、Lamport签名保持状态，以及通过“二分查找”游戏来高效定位执行分歧点等技术来克服限制。最新的方案（如BitVM 3和Babe）引入了更高级的密码学原语，如混淆电路和见证加密，以将大部分计算移出链外，从而在比特币的严格约束下实现更高效的ZK验证。

视频中提出的关键信息：

1. 比特币的固有限制：比特币的UTXO模型和无状态的脚本语言，使得构建需要共享状态或多用户参与的复杂应用（如ZK验证）非常困难。脚本有大小限制（约4MB），且缺乏“Gas”机制。
2. 技术演进路径：从依赖多方计算（MPC）委员会的ZKBitcoin，发展到基于乐观挑战和链上执行验证电路的BitVM 1/2，再到利用混淆电路将验证工作大幅转移至链下的BitVM 3。
3. 核心克服技术：
   • 电路分块与状态保持：将庞大的验证电路分割到多个比特币交易中执行，并使用Lamport一次性签名来在不同交易间安全地传递和验证状态变量。
   • 乐观挑战与二分查找：采用乐观协议，假设证明有效，仅在受到挑战时才在链上执行验证。通过二分查找法快速定位双方对电路执行结果的分歧点，避免全量执行。
   • 模拟契约：通过参与方预先签署所有可能的交易路径（即“电路”），来模拟比特币本身不支持的“契约”功能，从而固定协议的执行流程。
   • 混淆电路与见证加密：BitVM 3和Babe等方案利用混淆电路，将验证逻辑加密后交给验证者，验证者可在不泄露秘密信息的情况下本地评估。Babe方案进一步结合见证加密，优化了混淆电路的大小和效率。
4. 现状与挑战：该领域发展迅速，但现有方案大多仍针对特定两方场景，要扩展到无许可的多方环境仍面临挑战。同时，这些方案引入了新的信任假设（如数据可用性）和复杂度。