Технологический стек Биткоина

[Kartoffan]

TumbleBit решение для конфиденциальных транзакций BTC

Для стека биткоина (https://t.me/CryptoBotan/888)

TumbleBit (https://github.com/BUSEC/TumbleBit) - это однонаправленный, несвязываемый платежный хаб. Протокол для анонимных платежей, полностью совместимый с протоколом Биткойн, так как реализован в виде слоя поверх сети.

В прошлом посте о CoinSwap (https://t.me/CryptoBotan/967) я говорил, что TumbleBit решает вопрос с посредником, который знает о транзакции между А и Б, и потенциально может повторно восстановить связь между участниками.

Решение было предложено (https://eprint.iacr.org/2016/575.pdf) в 2016 году и представлено на конференции Scaling Bitcoin. После этого, другой разработчик, Николас Дориер презентовал свою имплементацию на языке C# - NTumbleBit. После чего она стала оффициальной имплементацией TumbleBit.

Платежи TumbleBit совершаются через посредника - Тамблер (Tumbler). Этот посредник не может деанонимизировать участников, украсть средства или выдать платежи сам себе.

TumbleBit позволяет совершать быстрые оффчейн платежи  множеству получателей. Ничего не напоминает?? LN (https://t.me/CryptoBotan/600), Channel Factories (https://t.me/CryptoBotan/902). Платежи совершаются вне блокчейна, следовательно TumbleBit служит для масштабирования объема и скорости сети.

Участники открывают платежный канал, который депонирует BTC на депозитный адрес в блокчейн и совершают оффчейн платежи. Все как у LN, вот только с одной маленькой оговорочкой - эти платежи невозможно связать. Никто не может сказать кто перевел средства и кому их перевели.

Работает это так (по-крайней мере я так понял, да еще и долго думал писать или нет):

Для совершения неотслеживаемых транзакций используется TumbleBit, который решает криптографическую головоломку RSA (https://t.me/CryptoBotan/824).

А отправляет BTC в платежный канал с Тамблером (хабом). Средства принимаются только после того, как А представит решение головоломки. Это схема "Puzzle-Solver Protocol".

Б "заключает соглашение" с хабом. Тамблер заплатит Б после представления решения головоломки. Это схема "Puzzle-Promise Protocol".

TumbleBit знает, что решение действительно, но он не может точно определить, какую головоломку он решает, тем самым запутывая отношения между плательщиком и получателем.

TumbleBit также можно использовать как классический миксер, смешивая вместе передачу одного биткоина от Аn различных плательщиков к различным получателям Бn.

TumbleBit интегрирован с Tor, что уменьшает шанс быть раскрытым по IP, ведь пользователи подключаются к TumblerBit используя собственный адрес.

Сейчас идет поиск решений для повышения конфиденциальности сети Lightning при помощи TumblerBit.

Разработчики Stratis интегрировали TumbleBit в Breeze Wallet (пруф) (https://forklog.com/servis-mikshirovaniya-bitkoinov-tumblebit-budet-integrirovan-v-breeze-wallet/)

SPV (https://t.me/CryptoBotan/939) HiddenWallet поддерживает решение TumbleBit (пруф) (https://news.bitcoin.com/tumblebit-hiddenwallet-released/). Кстати, статьи, приведенные ниже, написаны разработчиком этого кошелька и он же интегрировал Tor в TumbleBit. ☺️

В транслейте читаются легко.

Объяснение TumbleBit Часть 1 (https://hackernoon.com/understanding-tumblebit-part-1-making-the-case-823d786113f3)
Объяснение TumbleBit Часть 2 (https://hackernoon.com/understanding-tumblebit-part-2-the-endgame-instant-anonymous-scaleable-payment-system-on-top-479e7eb9ca24)
Объяснение TumbleBit Часть 3 (https://hackernoon.com/understanding-tumblebit-part-3-not-even-the-tumbler-can-breach-your-privacy-how-8d49d89e3a0d)
GitHub NTumbleBit (https://github.com/NTumbleBit/NTumbleBit)
Documentation (https://eprint.iacr.org/2016/575.pdf)

[1714148779]

1714148779

[1714148779]

1714148779

[1714148779]

1714148779

[1714148779]

1714148779

[1714148779]

1714148779

[1714148779]

1714148779

[fxpc]

К стеку Биткоина также можно отнести dPoW от Komodo

И причём здесь биткоин? Можно ли отнести к Ленину тех кто смотрит на него в мавзолее?

Комодо использует Биткоин для нотаризации.

И какое отношение один из пользователей имеет к технологическому стеку биткоина? По твоей логике выходит что любой пользователь интернета имеет отношение к технологическому стеку интернета из-за того что использует его для своих нужд.

Это имеет отношению к использованию Биткоина для Data Anchoring . Этот кейс есть в табличке в первом посте.

Этот топик о стеке биткоина, а не о том кто и как им пользуется. Если следовать твоей логике, то надо всех пользователей записывать в причастных к стеку. Очень легко убедиться что использование не относится к теме топика. Представим что пользователей нет. Стек при этом останется? Я утверждаю что да.

[Kartoffan]

FIBRE - Протокол для ретрансляции блоков

Для стека биткоина (https://t.me/CryptoBotan/888)

FIBRE (https://bitcoinfibre.org/) (Fast Internet Bitcoin Relay Engine - высокоскоростная ретрансляция блоков на базе сети Интернет) - это расширение для Bitcoin Core, которое обеспечивает ретрансляцию блоков с высокой скоростью и ручным выбором равноправных узлов по UDP.

UDP – это транспортный протокол, передающий сообщения без необходимости установки соединения в IP-сети. Его можно считать оптимальным протоколом для приложений, которые рассчитаны на широкую пропускную способность и быстрый обмен.

Биткойн - это одноранговая сеть, где узлы соединяются друг с другом случайным образом. Транзакции и блоки по этой сети передаются всем узлам. Пока все узлы получат информацию о блоке или транзакции должно пройти время. Тут то и проблема...Майнеры тратят некоторое количество времени на майнинг поверх старых блоков, когда сеть уже выбрала последний блок. Информация об этом, еще не дошла до всех узлов.

FIBRE решает проблему скорости распространения блоков.

Информация о блоках между узлами передается пакетами (порциями). Узел в сети получает каждый пакет и восстанавливает блоки из данных в этих пакетах и снова отправляет другим узлам, и снова в разных пакетах. Тут есть проблема: эти пакеты могут теряться и узлам необходимо повторно передавать данные, а это влияет на скорость передачи.

Основным улучшением в FIBRE является переход от использования TCP к использованию UDP с прямой коррекцией ошибок (FEC).

В чем разница между TCP и UDP (https://t.me/CryptoBotan/765)?

В отличие от TCP, скорость передачи UDP предварительно закодирована (предопределена), поэтому нет медленного времени нарастания или ожидания потерянных пакетов.

FEC (Forward Error Correction) - техника помехоустойчивого кодирования и декодирования, позволяющая исправлять ошибки методом упреждения. Применяется для исправления сбоев и ошибок при передаче данных путём передачи избыточной служебной информации, на основе которой может быть восстановлено первоначальное содержание.

Использование FEC позволяет узлам восстанавливать передаваемые данные, даже если некоторые из них потерялись в пути. Дополнительные данные посылаются вдоль ретранслируемых блоков, так что принимающий узел может восстановить полные блоки, без контакта с отправляющим узлом.

FIBRE спроектирован как более децентрализованная альтернатива другим ретрансляционным сетям, например Fast Relay Network.

Ключевая особенность FIBRE в том, что он разработан как  дополнение для ядра биткойна, поэтому каждый, кто управляет узлом, имеет возможность настроить свою собственную сеть.

Стоит отметить, что в 2018 году, была найдена (https://forklog.com/v-kode-bitkoina-ustranena-kriticheskaya-uyazvimost-v-techenie-dvuh-let-ugrozhavshaya-seti/) и исправлена уязвимость в Bitcoin Core, которая позволяла нарушить работу 90% нод и нарушить ограничение на максимальное количество биткоинов в обращении. Встроенный в сеть Bitcoin Core алгоритм The Fast Internet Bitcoin Relay Engine (FIBRE) мог облегчить работу при использовании уязвимости.

[Kartoffan]

Дополнение к протоколу Eltoo (https://t.me/CryptoBotan/911)

Прежде чем писать о Noinput (о котором обещал рассказать в этом посте (https://t.me/CryptoBotan/973) и который позволит внедрить протокол Eltoo), разберемся с SIGHASH...Пригодиться😒

Signature Hash Types

Вспомним о транзакциях BTC.

Bitcoin транзакция — это подтверждённая подписью секция данных, которая передаётся по сети и собирается в блоки.  Юзер пытается совершить транзакцию и потратить средства. Ему надо доказать, что он авторизовал транзакцию. Для этого используются подписи которые вычисляются на основе хэша транзакций. Хэш транзакции генерируется частями транзакции. Эти части транзакций зависят от типа Sighash. Подписи, подтверждают, что владелец PublicKey хочет потратить соответствующие монеты в конкретной транзакции. Важно, что трата происходит не всей подписанной транзакции, а ее части. Определяет эту часть подписанной транзакции для траты такая вещь как "метка sighash (Signature Hash Types)".

SIGHASH - Это метка для подписей биткойнов, который указывает, какие части транзакции подписывает подпись.  (По умолчанию используется SIGHASHALL). SIGHASH позволяет построить контракты, в которых каждая сторона подписывает только часть договора, позволяя изменять другие части без их участия

Имеется 3 типа SIGHASH:

SIGHASHALL - устанавливает требование, что все части транзакции (все входы и выходы, кроме входных скриптов) должны быть подписаны, а следовательно никакая из этих частей не может быть изменена. Упрощенно это выглядит так: "Я согласен вложить свои деньги, если каждый вложит свои деньги, таким способом."

SIGHASH_NONE - подписывает все входы, но не выходы. Другие пользователи могут обновлять транзакцию. Упрощенно: "Я согласен вложить свои деньги, если каждый вложит свои деньги, таким способом, но мне плевать куда они будут потрачены."

SIGHASH_SINGLE - подписываются только соответствующие входные и выходные данные (выходные данные с тем же индексным номером, что и входные данные). Упрощенно: "Я согласен вложить свои деньги, если каждый вложит свои деньги, но меня волнуют только моя часть средств."

Плюс ко всему вышесказанному, существует специальный модификатор ANYONECANPAY, который можно использовать с любым из трех типов SIGHASH. Этот модификатор игнорирует все вводы, кроме текущего. Т.е. подписывается только один вход.

Новый класс меток Noinput

С Signature Hash Types разобрались (https://t.me/CryptoBotan/977)

Транзакция состоит из:

Input (Вход) - это ссылка на выход другой транзакции. У транзакции их может быть несколько. Ссылки суммируются и сумма BTC используется в выходе этой транзакции.

Output (Выход) - содержит информацию об отправке BTC. Их может быть несколько, тогда они делят сумму пришедшую со входа между собой.Каждый выход используется для входа следующей транзакции, только один раз. Сумма всех входов для транзакции используется на её выходах.

Разработчик Blockstream и Xapo Кристиан Декер и Таунс разработали новый вид "меток SIGHASH": SIGHASH NOINPUT, SIGHASH ANYPREVOUT,
SIGHASH ANYPREVOUTANYSCRIPT

Как я уже писал, транзакция состоит из нескольких частей информации. Входные данные разблокируют монеты, выходные данные запирают монеты с указанием будущей траты и т.д. Добавляется подпись соответствующая PublicKey, которая доказывает, что их владелец хочет произвести трату. Подписывать каждую часть транзакции необязательно. Можно указать какую часть транзакции подписывать при помощи SIGHASH.

Новый класс Noinput (Noinput, Anyprevout и Anyprevoutanyscript) указывает, что выходные данные будут подписаны, а входные нет. Это значит, что не подписывая входные данные, можно осуществить транзакцию, поменяв местами совместимые входы, не генерируя новую подпись.

Таких совместимых входов, чаще всего не существует. Подпись соответствует PublicKey, а следовательно определенным монетам. Замена входа на другой приведет к тому, что транзакция станет недействительной.

Но не все так противоречиво

Разбирая стек биткоина (https://t.me/CryptoBotan/888) я писал о решении для упрощенного способа осуществления "off-chain" (внесетевых) транзакций - Eltoo (https://t.me/CryptoBotan/911).

Чтобы Bitcoin мог поддерживать Eltoo, алгоритм подписей sighash noinput должен быть внедрен в код Bitcoin. Имея возможность менять данные на входе, в промежутке между инициацией транзакции и записи ее в блокчейн, все записи об операциях, совершенные с момента открытия платежного канала до момента его закрытия, будут удалены. Первоначальные и конечные входные данные будут отличаться.

Такое решение необходимо, так как eltoo добавляет процедуру, которая делает каждое обновленное состояние платежного канала заданным. Любое обновление канала, например, когда А совершает транзакцию Б, состоит из двух транзакций, каждая из которых хранит, и впоследствии полностью заменяет, предыдущую транзакцию. При помощи Eltoo оба пользователя канала сохраняют копию одной и той же необработанной транзакции - "update transaction", которая представляет их средства в канале. Эту транзакцию подписывают оба пользователя и каждый из них может транслировать ее в блокчейн.

Один из пользователей решает транслировать транзакцию в сеть. Средства могут быть потрачены двумя способами:

1) Оба пользователя тратят свою долю средств до истечения временного интервала
2) Средства используются для траты на новую взаимоподписанную "update transaction".

В Eltoo операции update пронумерованы в хронологическом порядке. Update transaction 3 может тратить средства из 2, а update transaction 2 из 1, но не наоборот.

В сети Bitcoin уже возможно такое, но куда же без нюансов...Так как входные данные должны быть подписаны, update transaction должны ссылаться только на выходные данные транзакции, которая была перед ней. Т.е. 3 тратит из 2, но не из 1.

Если таких транзакций 100, а первая транслируется в сеть, то реальный баланс канала можно восстановить только транслируя все последующие транзакции. Это очень большая нагрузка на сеть.

Чтобы update transaction 3 мог тратить средства из 2 и из 1, необходимы метки Noinput. При замене входных данных последняя update transaction всегда может быть переписана для прямой ссылки на любую другую транзакцию. Обмен входными данными возможен. Ведь независимо от того, какая предыдущая транзакция выбрана, в платежном канале требуемые подписи всегда исходят от одних и тех же двух пользователей с одинаковыми двумя public и private keys.

[Kartoffan]

Simplicity - новый язык для блокчейнов, реализующий смарт-контракты в биткоине.

Для стека биткоина (https://t.me/CryptoBotan/888)

Я уже писал о других языках способных помочь деду стать более подвижным и удобным. Это обновленный язык Биткойна Tapscript (https://t.me/CryptoBotan/931) для сценариев Taproot (https://t.me/CryptoBotan/710). Это MiniScript (https://t.me/CryptoBotan/862) на базе языка смарт-контрактов Script.

Скриптовый язык Биткойна очень ограничен дизайном и непригоден для построения сложных смарт-контрактов. Некоторые опкоды (подробнее тут (https://t.me/CryptoBotan/931)) были отключены еще в самом начале пути Биткойна.

Ethereum имеет полный гибкий и полный по Тьюрингу (https://t.me/CryptoBotan/864) язык. Но и тут есть проблема...Ethereum не поддерживает статический анализ, который позволяет заранее определить какое количество вычислительных ресурсов потребуется программе. Таким образом можно отфильтровать дорогостоящие контракты и бесконечные циклы.

Simplicity был представлен разработчиком из Blockstream Russell O’Connor. Simplicity предназначен для включения в сайдчейн BlockStream и в дальнейшем, при помощи софтфорка, имплементирование его в Биткойн. Simplicity позволит завершать и расширять возможности сценариев.

Simplicity - это низкоуровневый язык основанный на алгоритме последовательного вычисления для выполнения смарт-контрактов. Это типизированный функциональный язык программирования, использующий комбинаторы. Он может быть использован как основа для других языков, более высокого уровня, так и для улучшения существующих (Bitcoin Script, EVM Ethereum (https://t.me/CryptoBotan/868)).

Simplicity - это не полный по Тьюрингу, обеспечивающий ограничение рекурсивного вызова и защиту от бесконечных циклов язык. Он позволяет проводить статический анализ кода (эффективно ограничивать объем вычислительных ресурсов, необходимый программе до ее выполнения). Имеет встроенную поддержку мерклизованных абстрактных синтаксических деревьев (MAST)(https://t.me/CryptoBotan/719)

Разработка пакетов SDK (Software Developer Kit) первый шаг, по развертыванию языка в проекте Elements (https://t.me/CryptoBotan/889) от Blockstream.

Software Development Kit (комплект программ для разработки) - это набор необходимых программных продуктов (библиотек, скриптов), предназначенный для облегчения процесса разработки и тестирования кода для конкретных программных платформ.

Simplicity в будущем может быть интегрирован с Ivy (язык более высокого уровня, позволяющий писать смарт-контракты для протокола Bitcoin). О нем мы тоже поговорим позже, так как я собираюсь разобрать стек до конца.😇

WhitePaper (https://blockstream.com/simplicity.pdf)

[Kartoffan]

Mining Derivatives - контракты на биткойн-хэшрейт

Для стека биткоина (https://t.me/CryptoBotan/888)

Деривативы - это производные финансовые инструменты. Производные они, потому что сами по себе они ничего не стоят, поэтому их стоимость определяется ценой базового актива. Базовым активом может быть что угодно: долговые обязательства, валюты,  ценные бумаги, или как в нашем случае, биткойн-хэшрейт. Деривативы предназначены для спекуляций и хэджирования рисков.  Если с первым все довольно понятно, то вот с хэджированием думаю стоит разобраться...

Хеджирование - открытие сделок на одном рынке для компенсации воздействия ценовых рисков равной, но противоположной позиции на другом рынке.

В статье "Hedging mining difficulty" (https://medium.com/@tamas.blummer/hedging-mining-difficulty-42f0f8652d7c), Tamas Blummer провел исследование расчета и хэджирования сложности майнинга.

Оценивая скорость увеличения сложности невозможно точно определить влияние изменений сложности на добычу на более длительный срок. Более точный эффект корректировки сложности можно рассчитать наблюдая за совокупной работой, требуемой сетью. А фактическая производительность майнера пропорциональна той доле работы, которую он смог выполнить из общего количества требуемых сетью.

Чтобы немного больше погрузиться в тему хэшрейта и его влияния на цену BTC, рекомендую к прочтению статьи (https://t.me/gfoundinshit/1756) автора канала t.me/gfoundinshit.

Ну а теперь собственно к хэджированию...

Майнер хочет перестраховаться от более сильного (чем ожидалось) увеличения сложности. Есть спекулянт который хочет взять другую сторону этой ставки. В итоге, они создают две транзакции:

1-ая транзакция - майнер и спекулянт вносят средства для совместного депонирования (multisig). Спекулянт вносит X BTC, а майнер <X BTC, и они оба согласны в справедливости цены страховки.
2-ая транзакция блокируется и не вносится в блокчейн установленный контрактом срок. По истечении времени одна из сторон получает сумму условного депонирования в зависимости от увеличения сложности на момент разблокировки контракта.

Такой способ создает полностью обеспеченную ставку, без третей стороны или оракула.

Проект позволяющий спекулировать на хэшрейте BTC, для хэджирования от волатильности цен сейчас в AlphaTest. PowSwap (https://powswap.com/) - это метод торговли производными хешрейта биткойна, использующий протокол Биткойна в качестве оракула, таким образом, не полагаясь на доверенных третьих лиц. Разработчик Powswap Jeremy Rubin объявил (https://twitter.com/JeremyRubin/status/1192958303464067072) о запуске проекта в ноябре 2019 года.

"Это смарт-контракт/платформа для торговли деривативами Биткойн-хешрейта. Без посредников. Никаких оракулов. Никаких депозитов. Ничего, кроме Биткойна.”

Powswap работает на Bitcoin Core и не требует софтфорка. Базовый протокол не требует участия других сторон. Это некастодиальная, не требующая доверия платформа производных хэшрейта. Используя смарт-контракты, powswap автоматически обнаруживает изменения в хешрейте биткойна и производит выплаты контрактов на этой основе. Протокол Powswap является гибкой основой для экзотических контрактов хешрейта. Платформа ретранслирует заказы через доску объявлений доступных предложений и берет небольшую комиссию за ретрансляцию заказов. Контракты могут обновляться без взаимодействия по цепочке, что позволяет договаривающимся сторонам пересматривать контракты по мере корректировки рыночных прогнозов.

Сложность возникает лишь в том, будут ли стороны согласны заключать предложенные ставки...Ведь такой вид деривативов весьма специфичен

В апреле 2017 года CME Group опубликовали (http://appft.uspto.gov/netacgi/nph-Parser?Sect1=PTO2&Sect2=HITOFF&p=1&u=%2Fnetahtml%2FPTO%2Fsearch-bool.html&r=1&f=G&l=50&co1=AND&d=PG01&s1=20170103458.PGNR.&OS=DN/20170103458&RS=DN/20170103458) патент на создание платформы для майнеров BTC, позволяющую хэджировать операционные риски.

В декабре 2019 года компания Canaan в партнерстве с маркет-мейкером GSR (https://www.gsr.io/our-services/market-making/) и Interhash (http://interhash.by/) создала концепцию, позволяющую майнерам хеджировать свои риски. (Ссылка (https://bits.media/gsr-i-interhash-razrabotayut-reshenie-dlya-khedzhirovaniya-riskov-dlya-maynerov/))

В чем же основные отличия?

Powswap - это децентрализованная платформа, что определенно большой плюс для нее...

[Kartoffan]

ZeroLink - усовершенствованный CoinJoin

Для стека биткоина (https://t.me/CryptoBotan/888)

Посты на тему конфиденциальных платежей под тегом

CoinJoin (https://t.me/CryptoBotan/584)
MimbleWimble (https://t.me/CryptoBotan/805)
CoinSwap (https://t.me/CryptoBotan/967)
TumbleBit (https://t.me/CryptoBotan/969)
Dandelion (https://t.me/CryptoBotan/964)

Теперь поехалите...

Важным свойством денег является их взаимозаменяемость - идентичность каждой единицы каждой другой единице. Уже сейчас видно, как биржи блокируют средства, если они отмечаются как "грязные" или засвеченные в миксерах. А компании вроде Crystal или ChainAnalysis помогают им в этом. Подробнее о том, как правоохранительные органы используют блокчейн я писал в этом посте (https://t.me/CryptoBotan/744). Идеальная взаимозаменяемость требует, чтобы каждая биткойн-транзакция была неотличима друг от друга

Проблему взаимозаменяемости, которая присутствует сегодня, можно решить лишь при помощи улучшения конфиденциальности проведения платежей.

Протокол ZeroLink, от разработчиков HiddenWallet (тот что внедрил TumbleBit (https://t.me/CryptoBotan/969)) и Samourai Wallet (https://t.me/CryptoBotan/667), предлагает технологию микширования Chaumian CoinJoin для обеспечения анонимности транзакций. ZeroLink разрывает связи между отдельными наборами монет.

Давайте по порядку:

CoinJoin был представлен еще в 2013 году и имеет огромное количество модификаций и вариаций использования: SharedCoin, Dark Wallet, DarkSend в Altcoin Dash, JoinMarket. Честно, не скажу, используют их сегодня или нет.😅

"Классический" CoinJoin работает так:

Несколько пользователей согласовывают и создают  совместно подписанную транзакцию с множеством входов и выходов. Эта транзакция содержит средства из кошельков этих пользователей. Выходы общей транзакции перемешиваются и невозможно отследить кому и от кого шел каждый конкретный платеж.

Недостаток думаю понятен...Кто-то должен запустить такую транзакцию и пользователи проводящие CoinJoin-транзакцию знают друг о друге достаточно, чтобы восстановить цепочку транзакций: адрес отправителя, адрес получателя, количество монет, адрес сдачи. Похожая проблема существовала в CoinSwap (ссылочка выше).

Модификация Chaumian CoinJoin, которую предложил Maxwell - это система микширования, которая использует слепые подписи.

Слепые подписи основаны на схеме Дэвида Чаума (David Chaum). Подписывающая сторона не может точно знать содержимое подписываемого документа.

Каждый из пользователей отправляет вход для траты своих монет, адрес получения сдачи и криптографически замаскированную версию адреса, для совершения платежа.

Сервер проверяет и подписывает выход, а затем отправляет подпись обратно пользователю. Сервер не видит адрес отправки, так как используется слепая подпись. Пользователь анонимно переподключается к серверу и демаскирует (убирает ослепление) выходного, уже подписанного адреса. Сервер определяет, что все выходы были им подписаны и поступили от реальных участников, при чем он не знает какой вход, соответствует определенному выходу.

После этого пользователи снова анонимно переподключаются и предоставляют подписи. Сервер создает транзакцию CoinJoin и отправляет пользователям для подписи.

Ещё раз момент с подписями. Всего с подписями совершается два шага:
1) Сначала проставляется слепая подпись. Координатор узнает, кто какую подпись поставил.
2) Каждый участник анонимно подключается к серверу координатора и снимает ослепление с подписи.
Как итог, координатор не может определить кому принадлежит какая подпись

Суть в том, что не возможно украсть средства или деанонимизировать пользователей. Вся процедура занимает около минуты. Также такое взаимодействие может происходить при помощи анонимных сетей (TOR, I2P и т.д.)

На GitHub (https://github.com/nopara73/ZeroLink) расписаны механизмы защиты от нарушения процессов создания транзакций  недобросовестными участниками.

К решению ZeroLink вернулись в 2017 году, так как комиссии в сети Биткойн уже не нулевые, и нарушить процесс миксинга монет, при комиссиях около 1$ не выгодно экономически.

Samourai внедрил ZeroLink в Whirlpool (https://github.com/Samourai-Wallet/Whirlpool).

[Kartoffan]

SNICKER - Simple Non-Interactive Coinjoin with Keys for Encryption Reused

Для стека биткоина (https://t.me/CryptoBotan/888)

Часть 1.

SNICKER ("Простые неинтерактивные Coinjoins с ключами для повторного использования шифрования") - это метод, позволяющий создать двухпартийный CoinJoin (https://t.me/CryptoBotan/584) (CJ) без какой-либо синхронизации или взаимодействия между участниками.

Автором SNICKER является один из разработчиков JoinMarket Adam Gibson. SNICKER представлен в качестве проекта предложения по улучшению биткойна (BIP) (https://gist.github.com/AdamISZ/2c13fb5819bd469ca318156e2cf25d79).

Чтобы совершить транзакцию-CJ пользователи должны подписать всю транзакцию, добавив все свои монеты и новые адреса получения. Они должны совершить транзакцию несколько раз и одновременно быть в сети. SNICKER же требует лишь сторону для передачи зашифрованных данных, а другую - для их получения.

Объясняя процесс SNICKER я использовал статью "SNICKER: How Alice And Bob Can Mix Bitcoin With No Interaction" (https://bitcoinmagazine.com/articles/snicker-how-alice-and-bob-can-mix-bitcoin-with-no-interaction).

Повторное использование адресов:

Алиса имеет 1BTC, который она хочет миксануть и он представлен как UTXO (https://t.me/CryptoBotan/742) в блокчейн. Он отправляет этот биткоин себе же, на свой же адрес, публично отмечая UTXO как потенциально доступный для микса. Боб также имеет 1BTC и он не знает Алису, но знает, что где-то в сети есть такие пользователи, которые помечают свои UTXOs для микса. Боб сканирует блокчейн в поисках таких помеченных UTXOs, плюс ко всему находит повторно используемые адреса, которые недоступны для смешивания (о них чуть позже). Так как Алиса, отправила биткоин на тот же адрес, ее PublicKey опубликован в блокчейне. Боб использует этот PublicKey Aлисы и объединяет его со своим PrivateKey для создания “shared secret”.

Shared secret - это часть данных, известных только вовлеченным сторонам в защищенном сообщении. Обычно это относится к ключу симметричной криптосистемы. Общий секрет может быть паролем, парольной фразой, большим числом или массивом случайно выбранных байтов.

Этот секрет является общим, потому что только Алиса и Боб могут генерировать его: Боб со своим PrivateKey и PublicKey Алисы, а Алиса со своим PrivateKey и PublicKey Боба (соответствующим монетам, которые они хотят смешать).

Итак: Боб имеет UTXO Алисы (потому что он помечен) и ее PublicKey + общий секрет. Боб берет "общий секрет" и использует его для математической "настройки" PublicKey Алисы. Такая настройка создает новый PublicKey, но без PrivateKey...пока без него.

Тут интересный момент....Этот PrivateKey для нового PublicKey может быть обнаружен Алисой, при условии, что она изменит свой первоначальный PrivateKey  при помощи общего секрета и полученный измененный PrivateKey соответствовал бы измененному PublicKey. То есть Боб может генерировать новый PublicKey, а значит и новый адрес для Алисы, без ее ведома и который только она может потратить.

Итак: Боб имеет: UTXO Алисы, ее PublicKey, общий секрет и новый адрес для Алисы. Боб создает транзакцию с двумя входами (UTXO Алисы и UTXO для своего биткоина). Он добавляет новый адрес Алисы и свой собственный адрес в качестве выходов и подписывает транзакцию. Для создания транзакции-CoinJoin не хватает только подписи Алисы.  Боб шифрует транзакцию при помощи PublicKey Алисы, и только Алиса может расшифровать транзакцию. Боб публикует транзакцию на доске объявлений для пользователей SNICKER. Шифрование необходимо, так как, без него, потенциальный наблюдатель может определить какой вход принадлежит Бобу, а какой Алисе.

Транзакция CJ зашифрована и хоть Алиса и знает где искать, она не знает что искать. Алиса пытается расшифровать все предложенные объявления при помощи своего PrivateKey. Найдя ту зашифрованную транзакцию, у Алисы есть все для завершения микса. Она использует свой PrivateKey и PublicKey Боба (в входных данных) для созданияобщего секрета, который она использует для  создания нового PrivateKey. После проверки этого нового PrivateKey, который должен соответствовать ее новому, созданному Бобом, адресу, она подписывает и транслирует транзакцию в сеть.

Часть.2

Повторно использованные подписанные входные данные

Вторую версию SNICKER также описал Adam Gibson. В ней удалось избежать необходимости повторного использования адреса - за счет некоторого усложнения.

В этом варианте, Боб берет PublicKey из входных данных транзакции которая создала UTXO Алисы, а не из повторно используемого адреса, как в 1 варианте (https://t.me/CryptoBotan/983).

Боб полагает, что один из входов этой транзакции был создан самой Алисой, и у нее есть PrivateKey для него. Это верно, так как UTXO Алисы обозначен как готовый к миксингу и что владелец, т.е.Алиса, владеет PrivateKey.

В BIP не указывается как будет выполнена первоначальная маркировка. Но есть предположение что некоторые кошельки (например JoinMarket) смогут видеть такую информацию.

Альтернативным вариантом, Алиса могла бы разместить сообщение на доске объявлений, а именно засветить UTXO.

Как только SNICKER начнет использоваться, поиск запросов на миксинг станет проще. Сами SNIKER -транзакции просты для распознавания. Поэтому после начальной фазы загрузки несмешанные монеты будут смешиваться с ранее смешиваемыми монетами, и в свою очередь могут быть использованы для следующего смешивания...

Как упоминалось в 1 варианте, Существует проблема выбора "тех самых" UTXO, которые готовы к миксингу и уменьшение количества ложных совпадений. Ложные совпадения, это помеченные UTXO, уже пройденные этап миксинга или проходящие в данный момент. Потенциальные совпадения могут быть отфильтрованы по суммам, возрасту UTXO или типа используемых кошельков.

Один из вариантов: Боб использует один и тот же UTXO для всех объявлений. То есть первый кто успеет проведет миксинг. Другие же, желающие провести миксинг, остаются неудел, но проблем не возникнет.Предложение Боба будет просто висеть на доске пока не удалят или навсегда.

Проблема номер 2: Так как доска объявлений будет содержать зашифрованные "запросы", то невозможно будет отфильтровать "поддельные" предложения. Одним из решений проблемы являются затраты на публикацию предложения.

Очень интересное преимущество предоставляет SNICKER. Боб, который заинтересован в миксе своих монет, может добавлять средства к выходу принимающей стороны, для стимулирования желания провести миксинг. Так же, не отрицается возможность и использования троих сторон в миксе, но это будет довольно сложна схема.

[Kartoffan]

Confidential transactions (CT) - Конфиденциальные транзакции

Для стека биткоина (https://t.me/CryptoBotan/888)

Продолжая направление #Privacy сегодня о конфиденциальных транзакциях.

Анализ блокчейна, мониторинг сети, KYC, AML, нарушение принципа взаимозаменяемости - все это уже работает для того, чтобы определить, посчитать, добавить в базу и взять под контроль тебя и твои биткоины. Это бесконечная гонка, где с одной стороны регуляторы, в виде корпораций, государств и твоих кредиторов,а с другой - борцы за анонимность, приватность и свободу.

Все транзакции в сети Биткойн записаны в блокчейн. Это является как плюсом так и минусом. С одной стороны, доверие без доверия, с другой - возможность тривиального отслеживания количества BTC, с адресов на адреса.

Решить проблему можно, скрыв количество BTC в совершаемой транзакции.

Еще в 2013 году, Адам Бэк, предложил эту концепцию под названием “bitcoins with homomorphic value”. Позже ее подхватили нынешние "двигатели" развития: Gregory Maxwell, Dr. Pieter Wuille, Andrew Poelstra. В итоге на свет появились Confidential Transactions.

Confidential Transactions - это криптографический метод сокрытия суммы отправляемых и получаемых средств.
CT полностью скрывает суммы на входах и выходах транзакции, давая возможность проверить, что сумма всех выходов не превышает сумму всех входов.

Чуть подробнее:

В основе решения лежат Борромеевские кольцевые подписи и схемы обязательств Педерсена.

Боромеевские кольцевые подписи - новый тип кольцевой подписи, основанный на задаче дискретного логарифма, который использовал новую структуру обязательств для получения значительной экономии размера и времени проверки кольцевых подписей.

Если кому интересно, вот ссылочка (https://pdfs.semanticscholar.org/4160/470c7f6cf05ffc81a98e8fd67fb0c84836ea.pdf) на документацию.

Cхемы обязательств Педерсена (Petersen Commitment) - это криптографическая схема, позволяющая зафиксировать сообщение каким-либо значением, сохраняя сообщение в секрете, с возможностью последующего раскрытия зафиксированного значения. Схемы обязательств разработаны таким образом, что ни одна из сторон не может изменить сообщение после того, как они его зафиксировали. Используются для того, чтобы одна сторона могла доказать, знание секрета, не раскрывая его.

Схемы обязательств используются в интерактивном криптографическом протоколе "Zero-knowledge proof", а тот в свою очередь в Bulletproofs (https://t.me/CryptoBotan/878) для BTC, в ZCash и его форках.

В Confidential Transactions используется Petersen Commitment для доказательства того, что сумма выходов не превышает сумму входов. То есть благодаря ему и скрывается сумма перевода.

В качестве суммы в commitments можно использовать отрицательное число, что приведет к неконтролируемой эмиссией монет. Range Proofs используется как раз для доказательства использования неотрицательных сумм. Проще говоря, Range Proofs - это доказательство, где каждый commitment подписан кольцевой подписью Борромео и гарантирует, что сумма находится в заданном интервале.

Проблема здесь в Range Proofs. На их создание уходит большое количество ресурсов и они имеют достаточно большой объем, что приведет к высоким комиссиям в сети.

Еще одной недогляделкой является тот факт, что суммы скрываются для конкретной транзакции. Если следующая транзакция не является конфиденциальной, предыдущие действия были бессмысленны.

CT скрывают суммы транзакций, но не адреса отправителя и получателя. Тут то и можно использовать CoinJoin (https://t.me/CryptoBotan/584) или CoinSwap (https://t.me/CryptoBotan/967), с которыми CT совместим.

Так же при проведении Soft Fork, встает вопрос, о синхронизации старых и новых узлов.

В криптовалюте Monero используется версия CT - Ring Confidential Transactions, где вместо подписей Борромео (об этом ниже) используется Bulletproofs (https://t.me/CryptoBotan/878). BitShares использует CT совместно с Stealth Addresses (https://t.me/CryptoBotan/584). CT имплементированы в Liquid (https://t.me/CryptoBotan/890) от Blockstream.

Confidential Transactions.txt (https://people.xiph.org/~greg/confidential_values.txt) by Greg Maxwell

[Kartoffan]

P2EP - Pay to Endpoint (Оплата до конечной точки)

Для стека биткоина (https://t.me/CryptoBotan/888)

Решение P2EP было предложено на так называемом "brainstorming event on Bitcoin privacy". Участники этого ивента предлагали решения для улучшения базовой конфиденциальности транзакций в Биткойн.

Есть еще несколько реализаций P2EP:
1) PayJoin для JoinMarket от Adam Gibson
2) Bustapay базовая версия P2EP от Havar

Основной принцип анализа блокчейна включает в себя PublicKey которые используются в качестве входных данных для транзакций, контролируемые одним и тем же  пользователем. Чтобы утверждение "об общем владении входными данными" было признано недействительным, необходимо, чтобы существовало достаточное количество транзакций которые разделяют входные данные от разных владельцев.

Цель создания P2EP: обеспечить способ гарантировать, что операции с входными данными, принадлежащими более чем одной стороне, являются достаточно распространенным явлением.

P2EP - это особый тип CoinJoin-транзакций.

Ограничения использования CoinJoin:
- если все участники CoinJoin не используют равные суммы, то можно определить какие входы, оплачивают выходы
- наблюдатель может определить, что это CoinJoin-транзакция, а следовательно, нарушается принцип взаимозаменяемости.

P2EP устраняет ограничения классического CoinJoin и может использоваться для регулярных платежей.

Суть P2EP такова, что и отправитель, и получатель вносят входные данные в транзакцию посредством взаимодействий, координируемых конечной точкой, которую представляет получатель, используя совместимый URI BIP 21.

BIP 21 (https://github.com/bitcoin/bips/blob/master/bip-0021.mediawiki) предлагает схему URI для осуществления биткойн-платежей.

Б (получатель) генерирует URI BIP 21 с параметром определяющим конечную точку P2EP.

А (отправитель) инициирует взаимодействие с Б, подтверждая, что предоставленная конечная точка доступна. Если конечная точка Б доступна, А предоставляет Б подписанную транзакцию в качестве доказательства владения UTXO.

Затем Б отправляет несколько транзакций А, которые он должен подписать. Из этих транзакций только одна включает в себя UTXO, который фактически принадлежит Б, остальные могут быть выбраны из пула расходуемых UTXOs. После эти транзакции могут быть отправлены либо последовательно, либо параллельно отправителю.

Каждый подход отправки транзакций имеет свои плюсы и минусы. Но стоит заметить, что есть и третий подход для обмена UTXO. Это Bulletproofs (https://t.me/CryptoBotan/878) который я довольно много в последнее время упоминаю...

Когда Б получает подписанную транзакцию, которая соответствует их UTXO, они могут подписать и транслировать транзакцию, которая теперь будет содержать входные данные как от А, так и от Б.

В случае сбоя P2EP по любым причинам транзакция передается как обычная.

Пример:

Если Алиса хочет отправить Бобу 1.2 BTC, то она может отправить их с двух входов: 1 и 0.5 BTC. Лишние 0.3 BTC отправялются обратно в виде сдачи.

При помощи P2EP Боб добавляет один свой вход в транзакцию, например 0.9 BTC. Теперь транзакция имеет 3 входа 1+0.9+0.5 = 2.4 BTC, и два адреса: 2.1 и 0.3 BTC. В итоге Алиса заплатила 1.2 BTC, несмотря на некоторое усложнение.

Здесь то и достигнута цель, которую я описал в самом начале. Не все входы принадлежат Алисе, следовательно тот факт, что это CoinJoin транзакция, не очевиден. Нет совпадающих сумм при отправке и получении, а значит и связать адреса вместе не представляется возможным. Такие транзакции можно интерпретировать как оплачивающие что-то с остатками сдачи.

Такие транзакции нарушают эвристику "общего владения входными данными" и улучшают конфиденциальность, тем самым не отличаясь от обычных транзакций.

Нет ничего совершенного, поэтому некоторые недостатки:

1) Обе стороны сделки должны быть онлайн.
2) Получатель должен иметь "hot wallet" для подписи транзакций.
3) Более высокие комиссионные сборы из-за увеличения объема транзакции.
4) Получатель должен иметь доступ к полному узлу

На сегодняшний день, это одно из самых обсуждаемых разработок в направлении #Privacy

Статья Blockstream (https://blockstream.com/2018/08/08/en-improving-privacy-using-pay-to-endpoint/)
Статья на Medium by Nopara73 (https://medium.com/@nopara73/pay-to-endpoint-56eb05d3cac6)

[Kartoffan]

Stratum - объединенный протокол майнинга

Для стека биткоина (https://t.me/CryptoBotan/888)

До конца 2012 года для майнинга использовался протокол "getwork". После, в середине 2012 года, разработан новый децентрализованный протокол майнинга BTC "getblocktemplate".

Оригинальный протокол getwork был заменен, так как просто выдавал заголовки блоков для решения. Майнер понятия не имел, что находится в блоке и никак не влиял на него. Майнер мог решать какие транзакции принимаются и передавать их оператору пула, а тот в свою очередь, мог использовать мощности всех майнеров для атак с двойной тратой и др. Протокол "getblocktemplate" позволил перемещать создание блоков в майнер, предоставляя пулам возможность устанавливать правила участия.  Это повысило безопасность сети за счет повторной децентрализации блоков.

"Getwork" предоставлял только один заголовок блока, которого достаточно для общей сложности около 4 GH. Майнер отправлял пулу запросы getwork уже начиная от 4GH, что не позволяло подключать к пулу большие мощности. "Getblocktemplate" снизил нагрузку, необходимую для одного запроса на новый блок в сети. С помощью "getwork", заголовок блока передавался с сервера на клиент без каких-либо транзакций. Единственный способ изменить блок можно было через значение nonce. Максимум, что мог сделать клиент, - это попробовать все значения nonce, требующие дополнительной работы от сервера. Плюс ко всему "getwork" был несовместим с расширениями.

Протокол Stratum (https://stratumprotocol.org/) был представлен основателем SlushPool Марек Палатинусом. Stratum на тот момент, был более стабилен, меньше нагружал сеть и решал проблемы безопасности и роста сети. Он явился заменой сетевых серверов пула и позволил клиентам генерировать работу. Сегодня, Stratum используется при майнинге криптовалют на алгоритме PoW. Изначально же он разрабатывался для light биткоин-клиента Electrum. Как оказалось, требования протокола схожи и для майнинга BTC и его начали использовать как сеть.

Stratum-это линейный протокол, использующий TCP socket, с полезной нагрузкой, закодированной в виде сообщений JSON-RPC. Такое решение, позволяет клиенту и серверу общаться в удобно-читаемом формате. Этот протокол легко расширяется и не нарушает обратной совместимости. Stratum решал ситуацию с HTTP, где клиенты запрашивали у сервера определенный контент. Т.е. в майнинге HTTP управляется майнерами, запрашивающими новые задания для майнинга, доступные для серверов пула. Майнеры тратили время на эти запросы. Stratum позволил более эффективно управлять коммуникацией майнеров и пула.

Для каждого задания майнер может изменять поля ntime и nonce. Крупные майнеры перебирают все возможные значения двух полей в поисках решения. Если у майнера заканчиваются уникальные возможности перебора, он отправляет новый запрос. Новым и более быстрым майнерам сделать это проще. Stratum позволяет майнерам изменять еще несколько полей, что увеличивает общее число возможных решений для блока.

nonce-это 32-битное значение, которое корректируется постепенно и используется для повторного хэширования хэшированного блока до тех пор, пока хэш-выход не будет соответствовать текущим ограничениям уровня сложности сети, сигнализируя о том, что было найдено допустимое решение, и майнер может затем предложить свой блок остальной части сети.

nTime - это целочисленная временная метка (в секундах), включенная в заголовок блока. Rolling NTime-это способ для майнеров увеличить отметку времени локально в своем оборудовании, а не требовать каждый раз новый заголовок блока из своего пула, уменьшая объем передачи данных, которые должны происходить между пулами и майнерами.

Уже все наслышаны о v.2 протокола Stratum. Новая модификация протокола предназначена для улучшения совместной работы майнеров и пулов. И самое важно, версия 2.0. сделает добычу более децентрализованной.

Более подробно затрону Stratum при разборе v.2.0.

[Kartoffan]

Ivy - язык для написания смарт-контрактов Биткойн

Для стека биткоина (https://t.me/CryptoBotan/888)

О смарт-контрактах в сети Биткойн я уже писал не один раз:
- платформа RootStock (https://t.me/CryptoBotan/943)
- смарт-контракты LN (https://t.me/CryptoBotan/819)
- Musig (https://t.me/CryptoBotan/936)
- Scriptless Scripts (https://t.me/CryptoBotan/944)
- Язык Simplicity (https://t.me/CryptoBotan/980)
- Язык MiniScript (https://t.me/CryptoBotan/862)
- DAML (https://t.me/CryptoBotan/694)

Теперь про еще один язык высокого уровня, позволяющий писать смарт-контракты для протокола Bitcoin - Ivy (https://github.com/ivy-lang/ivy-bitcoin/tree/main/docs). Разработали язык в Chain (сайт ныне недоступен). 

Как уже говорилось, писать смарт-контракты в сети Биткойн можно, но Bitcoin Script является низкоуровневым и ограниченным в функциональности. Bitcoin Script - это последовательность opcodes (https://t.me/CryptoBotan/931), выполняющихся по порядку. Bitcoin Script не является полным по Тьюрингу, а также не позволяет скриптам проверять другие входы или выходы в транзакции, а следовательно контракт не может контролировать поток стоимости.

Bitcoin-Script используется для создания Multisig-адресов, time-locked транзакций и платежных каналов. Ivy, как и другие альтернативные решения, создаются для облегчения написания и создания этих реализаций. Ivy компилируется в Bitcoin Script и может использоваться для создания совместимых с Segwit адресов. Это язык более высокого уровня и обеспечивает выполнение произвольных комбинаций условий, такие как проверка подписей, временные блокировки и хэш-обязательства.

Ребята из Chain даже выпустили "Ivy Playground for Bitcoin" - площадку для опробования языка. Игровая площадка включает в себя предварительно загруженные шаблоны смарт-контрактов для биткойнов.
Платформа позволяет создавать и разблокировать фиктивные контракты, писать шаблоны контрактов и создавать экземпляры с параметрами для генерации адресов тестовых сетей Биткойн, создавать имитированные контракты и пытаться их тратить.

Что сейчас с этим проектом я, увы, не ведаю...Возможно, что альтернативные варианты оказались более востребованы. В любом случае, написание смарт-контрактов в сети Биткойн станет проще. Об этом говорит большое количество разработок и решений.

[Kartoffan]

Cross-Input Aggregation - Агрегация перекрестного ввода

Для стека биткоина (https://t.me/CryptoBotan/888)

Так, так...нам снова придется вернуться к подписям Шнорра (https://t.me/CryptoBotan/702) и затронуть MuSig (https://t.me/CryptoBotan/936).

Схема Шнорра — это протокол идентификации и метод агрегирования (суммирование) подписей, необходимых для транзакции BTC. Подписи Шнорра позволяют создавать подпись действительную для суммы PublicKeys. Несколько подписывающих лиц в транзакции-multisig, объединяют свои PublicKeys в агрегированный ключ. Multisig-транзакции не поддерживаются ECDSA (https://t.me/CryptoBotan/824) и потому реализуются при помощи смарт-контракта P2SH (https://t.me/CryptoBotan/715).

1) P2SH требуют знания PublicKeys все подписавшихся участников multisig, что не особо радует. Агрегирование этих ключей позволит обеспечить более эффективную проверку, т.к. придется проверить лишь один ключ, а не n-ключей.
2) Транзакции P2SH требуют адреса начинающихся с числа 3 (см. BIP 13 (https://github.com/bitcoin/bips/blob/master/bip-0013.mediawiki)). А это удар по конфиденциальности. Агрегирование ключей позволяет multisig выглядеть как обычная транзакция.

Прежде чем перейти к теме поста, еще затронем MuSig. Это новая схема мультиподписи на основе Шнорр. Агрегация ключей в MuSig позволяет создавать частные смарт-контракты за пределами блокчейна. Итак, агрегация ключей это крутая плюшка для multisig-транзакций, которые тратят один вход. Но биткойн-транзакции чаще всего имеют больше одного входа?В будущем, подписи Шнорра могут быть использованы для создания интерактивной схемы агрегированной подписи (interactive aggregate signature - IAS).

IAS - расширяют схемы multisig, позволяя каждому подписавшему подписать свое сообщение и вместо подписей для каждого отдельного входа, можно использовать одну подпись, которая проверит все входы. Теперь одна подпись может использоваться для траты всех входных данных транзакции. Каждый вход также будет иметь свой собственный PublicKey, но его можно будет использовать с помощью IAS Schnorr. Эту новую подпись можно очень легко проверить с помощью OPCHECKDLS, который является новым опкодом и будет введен в схему подписи Schnorr.

Taproot (https://t.me/CryptoBotan/710), который предназначается для увеличения гибкости смарт-контрактов, призван облегчить переход от агрегации ключей к агрегации перекрестного ввода (Cross-Input Aggregation). Для каждой транзакции требуется более одной подписи - по одной на каждый вход. Агрегация подписей с перекрестным вводом обеспечивает экономию, за счет сокращения количества подписей на транзакцию до 1. Комбинация данных ввода повышает конфиденциальность и освобождает пространство, которое ранее использовалось для размещения всех подписей на множестве разных входов.

Cross-input aggregation может улучшить транзакции CoinJoin (https://t.me/CryptoBotan/584). Решение вводит дополнительный механизм запутывания на уровне протокола. С его помощью можно построить основанные на Шнорр CJ-транзакции с n-подписями, которые выглядят как обычные транзакции с одной подписью. Проблемы с конфиденциальностью были разобраны мной в постах под тегом #Privacy.

Как уже писалось в посте про P2EP (https://t.me/CryptoBotan/989): "основной принцип анализа блокчейна включает в себя PublicKey которые используются в качестве входных данных для транзакций, контролируемые одним и тем же  пользователем. Чтобы утверждение "об общем владении входными данными" было признано недействительным, необходимо, чтобы существовало достаточное количество транзакций которые разделяют входные данные от разных владельцев".

P2EP обратно совместим, и при использовании в сочетании со Schnorr он может обеспечить достаточную конфиденциальность в базовом слое биткойна.

Cross-input aggregation имеет ряд проблем (https://smart-lab.ru/r.php?u=https%3A%2F%2F[Suspicious link removed]%3Ftopic%3D5140134.msg53720057%23msg53720057&s=2896124645) и не может быть внедрен по ряду причин. В любом случае, без внедрения подписей Шнорра, сделать это будет невозможно.

[Kartoffan]

~

Cross-Input Aggregation  - Гибридная агрегация

Сюда бы еще Craftroot добавить, который позволит уменьшить "вес" скриптов навешанных Таproot. Ждем появления нового типа адресов?

Мне только одному кажется, что после Shnorr, Taproot и Craftroot о таком явлении как Monero забудут? Роль то монеры  сильно преувеличена и даже сейчас до всех ожидаемых улучшений  85% даркнета юзает биток.

Добавил линки на обзоры Kartoffan-а в раздел Обзоры каталога.

Буду еще дополнения делать к стеку, если есть предложения и проекты выстраивающиеся в стеке, предлагайте...обязательно напишу. Монеро уже топят...так, что шнорр и составляющие только забьют последний гвоздь, если и останется существовать, то только среди ограниченного круга лиц с небольшой ликвидностью. За добавление в обзоры - благодарствую)

[Kartoffan]

Value Shuffle - протокол микширования на базе CoinJoin

Для стека биткоина (https://t.me/CryptoBotan/888)

Продолжая говорить о конфиденциальности, повторю, одно из основных свойств Биткойна, это его взаимозаменяемость. Актуально, исходя из новостей (https://t.me/PrimeBlock/3641) про ETHProtect в Etherscan, позволяющий отслеживать скомпрометированные монеты, а также о сервисах (https://t.me/CryptoBotan/744) анализа блокчейна Биткойн. Итог: две одинаковые монеты - не равны.

Проблема тут в улучшениях для повышения конфиденциальности, т.к. такие решения либо направляют свой фокус на решение одного аспекта конфиденциальности, либо требуют серьезных изменений функционала в коде Биткойна.

Value Shuffle - это протокол микширования монет на базе CoinJoin (https://t.me/CryptoBotan/584), реализуемый при помощи Confidential Transaction (https://t.me/CryptoBotan/987) и Stealth Addresses (https://t.me/CryptoBotan/584).

В своей статье ниже, и о протоколе Value Shuffle, и небольшой итог моих исследований под тегом #Privacy. На этом я не остановлюсь и мы дальше продолжим знакомиться с протоколами конфиденциальности.

https://teletype.in/@russiano55/DVXdGQIua (https://teletype.in/@russiano55/DVXdGQIua)

[yurez]

~
Актуально, исходя из новостей (https://t.me/PrimeBlock/3641) про ETHProtect в Etherscan

Не знаете случайно, что-нибудь аналогичное  ETHprotect  есть для  битка? Я не говорю о платных сервисах, а именно о бесплатном, который бы позволил показать есть у тебя в наличии скомпрометированные монеты. Проблема видно будет с каждым днем усугубляться так как появляется все больше и больше скумузденных монет  и можно невзначай нарваться самому.

Я так понимаю скомпрометированные монеты можно получить только через крипто-обменники, через DEX биржи или при покупке напрямую у физлица? При выводе монет с централизованной биржи проблемных монет быть не должно. Раньше я об этом даже не задумывался, но видимо пора.

[Kartoffan]

~
Актуально, исходя из новостей (https://t.me/PrimeBlock/3641) про ETHProtect в Etherscan

Не знаете случайно, что-нибудь аналогичное  ETHprotect  есть для  битка? Я не говорю о платных сервисах, а именно о бесплатном, который бы позволил показать есть у тебя в наличии скомпрометированные монеты. Проблема видно будет с каждым днем усугубляться так как появляется все больше и больше скумузденных монет  и можно невзначай нарваться самому.

https://traceer.co/ru/ - тут вроде можно проверить поштучно. (1 проверка - 1$) Но это не точно...

[Kartoffan]

CoinJoinXT

Напомню, CoinJoin предлагает возможность предоставлять входные данные для транзакций, для невозможности определения владения или контроля над выходными данными. Как уже давно всем известно, классический CJ имеет ряд недостатков и упущений:

- если все участники CoinJoin не используют равные суммы, то можно определить какие входы, оплачивают выходы
- наблюдатель может определить, что это CoinJoin-транзакция, а следовательно, нарушается принцип взаимозаменяемости.

Анализ блокчейна подразумевает вероятностные предположения - эвристику. Подробнее в разделе “Блокчейн-атаки на приватность” (https://t.me/bitcoin_translated/286) на канале @bitcoin_translated

Эвристика 1 - все входные данные для транзакции принадлежат одной и той же стороне.
Эвристика 2-одноразовые адреса изменения принадлежат той же стороне, что и входные данные.

Также существует еще одна эвристика: "передача права собственности между сторонами в одной сделке подразумевает передачу права собственности"😐 Но я тоже не сразу въехал и об этом позже.

Adam Gibson, один из разработчиков JoinMarket, называет CoinJoin моделью "внутренней взаимозаменяемости", хоть и создаваемая транзакция распознается как CoinJoin, невозможно различить выходы, так как они равны. Также он предлагает модель "отрицания", где транзакции взаимозаменяемы, но выглядят как обычные платежи. Такой способ он назвал CoinJoinXT.

CoinJoinXT - это метод повышения приватности не связанный с хранением данных и связанный с CoinJoin. Принцип работы основан на создании графов декларируемых траназкций или просто графов транзакций (proposed transaction graph, PTG).

PTG представляет собой цепочку (дерево транзакций), где каждый TX имеет F (транзакцию финансирования) в качестве предка и один вход зависящий от F. В PTG биткоины, принадлежащие определенным лицам, отправляются от одной стороны другой во всех транзакциях, и в итоге возвращаются их законным владельцам. Система устроена так, что процесс PTG является атомарным. Либо весь PTG подтверждается в блокчейне, либо ни одна из транзакций. Это не дает возможности участвующим сторонам украсть средства.PTG может содержать любой список транзакций, который усложняет граф транзакций.

Для CoinJoinXT требуется, чтобы все транзакции в PTG были только segwit. Segwit позволяет предварительно подписывать не только отдельные транзакции, но и цепочки транзакций.

Модель использующаяся в CJTX

Две стороны отправляют BTC на выход 2-of-2 multisig (транзакция финансирования). Не подписывая эту транзакцию, они создают другую транзакцию time-locked и тратят 2-of-2 multisig на третий счет (транзакция расходов). Они подписывают сделку о расходах и обмениваются подписями. Затем подписывают и фиксируют транзакцию финансирования в блокчейне. Транзакция расходов будет подтверждена после истечения времени блокировки (lock-time) и в соответствии с контрактом транзакция финансирования будет реализована.

В CoinJoin две и более сторон вносят свои UTXOs в одну транзакцию. При помощи CoinJoinXT стороны делают то же самое с транзакцией финансирования, но предварительно подписывая  набор из более чем одной транзакции расходов. Схема ниже.

A 1btc --->                 
                        F (2,2,A,B) --+
Б 1btc --->|
                                           +-->(PTG)->TX1->TX2->TX3 ..

Можно создавать транзакции, используя предложенный график транзакций, но производить платежи по отдельности А или Б, тем самым нарушая эвристику о передачи прав собственности  (1часть (https://t.me/CryptoBotan/1013)). Транзакция может платить А, но это может и не быть платеж. Это и есть модель отрицания.

Однако, такая конструкция ограничена, потому что все начинается с одной транзакции. Даже если это дерево, а не цепочка, все еще остается одна уникальная точка входа в блокчейн.

Статья by Adam Gibson  (https://joinmarket.me/blog/blog/coinjoinxt/)
Более тезисно о CoinJoinXT (https://diyhpl.us/wiki/transcripts/building-on-bitcoin/2018/coinjoinxt/)

[johhnyUA]

Две основные фишки,  для  пользователей, которые начнут использовать P2TR скрипт:

1) маскирование multysig транзакции под обычную транзакцию, подписанную одиночным приватным ключом, и следовательно улучшение конфиденциальности транзакции.

2) снижение  стоимости  multysig транзакции, за счет уменьшения ее размера.

Здесь так же фигня что и с любой "анонимностью": Главное количество пользователей.

Как я понял, multisig транзакции не обязательно маскирировать, останется P2SH в классическом виде. А это уже не ок, так как кто будет себя нагружать лишним скриптом если можно по старинке?

Всё хотел найти время, чтобы продолжить публиковать материал из канала, дабы очень интересное чтиво выкладывалось тут, но, перейдя на канал, увидел вот такую грустную новость:

Новость увидел, а откуда она не прочитал. Это был перепост с Гфшитинголд-а. Сам КриптоБотан вроде бы живой (но канал он как я понял забросил). На канале последний пост 10 апреля, а админ ГфШита - Исаак умер еще в марте (RIP). Админ Криптоботана после 10 апреля также менял свою аватарку в ТГ аккаунте, с чего я делаю вывод что он живой просто по каким то причинам передумал вести канал.

[Kartoffan]

Я живой, рано меня хоронить))

Надеюсь топик еще активный и есть интерес к теме Биткоина. Канал активен, я продолжаю работу над ним. На данный момент на фоне событий происходящих в мире, Биткоин является единственной альтернативой для перехода к иной финансовой системе. Собственно, именно данную идею я и пытаюсь донести до здравомыслящих людей. Моя личка открыта для всех заинтересованных, буду рад свежим идеям и наводкам.

t.me/Russiano55

Наткнулся на интересный канал который публикует разбор инноваций в Биткоине.
Буду копировать текст с телеграмма https://t.me/CryptoBotan

Всё хотел найти время, чтобы продолжить публиковать материал из канала, дабы очень интересное чтиво выкладывалось тут, но, перейдя на канал, увидел вот такую грустную новость:

https://t.me/CryptoBotan/1060

Соответственно, пользователь Kartoffan и был тем самым владельцем канала:

Приветствую, хочу выразить благодарность за освещение постов с канала t.me/CryptoBotan, тут на форуме. Я веду этот канал, но вот юзать форумы, для меня, увы, сложновато)

На самом деле, испытываю огромное количество проблем при разборе и поиске инфы. Во-первых, из-за того, что я абсолютно далек от темы кодинга или программирования (но это не основное). Во-вторых, малое количество информации в сети и отсутствие коммуникации со знающими людьми, которые могли бы чуть что указать на ошибки и растолковать непонятные вещи.

Я сам себе поставил цель, стать мостом между массами и гиками. Так что, тот факт, что, при написании поста о Tapscript и поиске инфы о нем, я случайно наткнулся на этот топик, дает мне новый толчок к стремлению реализовать мои цели и планы

Буду рад замечаниям и критике со стороны знающих людей. Я не отрицаю тот факт, что мои упрощения смыслов, при написании постов, могут быть неверны. Именно поэтому приму любой фидбек.
t.me/Russiano55