從OP_CAT到狀態證明和BitVM，如何讓比特幣支持ZK？

摘要：這篇文章簡明扼但又一針見血的指出了如何讓比特幣支持 ZK 驗證功能，涉及的具體話題包含比特幣 UTXO 和腳本在功能性上的缺陷、Taproot 和 OP_CAT 以及 BitVM 和 Chain State Proof 等概念的大致內容。文中拋出了比較鮮明的觀點：

比特幣協議引入 ZK 是必然趨勢，對此有兩種路線：一種是讓比特幣腳本直接支持 SNARK 驗證，需要藉助 OP_CAT 操作碼，而 OP_CAT 最終通過的機率很大；第二種路線是基於 BitVM 的，需要引入欺詐證明的方式，而 ZeroSync 團隊還針對性的提出了 Chain State Proofs 來降低節點客戶端驗證歷史數據的成本。

正文：為了更深刻的理解比特幣，我們最好把它當做一個社會系統來看待。比特幣早期啟動的時候，開發者就確定了比特幣節點需要運行的軟體程序，就像確定了一套社會系統所遵循的規則。比特幣這個社會系統之所以能夠穩定運轉，是因為大家在「比特幣的本質是什麼」、「應該是什麼「等關鍵問題上存在某種共識。當然，共識的達成並不容易，人們在面對上述問題時，仍然存在廣泛且不斷演化的分歧。

這可以追溯到比特幣的歷史來源問題。當初中本聰在發布比特幣白皮書時，曾說："我在研究一套全新的電子支付系統，這套系統完全是 P2P 的，不需要依賴於任何第三方"。這段話發表於密碼朋克郵件列表（一個成立於 1992 年的電子郵件討論組，由一群關注隱私保護和密碼學技術的密碼學家及技術愛好者組成）。

然而，比特幣在產品設計層面限制了數據吞吐量。其單位時間內能處理的交易筆數有限，如果待處理的交易數量快速上升，用戶為了快點交易成功，就會發起價格戰，迅速拉高付出的手續費。比特幣網路內手續費最高的單筆交易出現在 2024 年出塊獎勵減半後，一筆上鏈優先級中等的交易手續費達到 150 美元。可以說，比特幣網路昂貴的交易手續費已成為一個難題。

為了解決交易手續費問題，人們把很多資源投入到閃電網路開發工作中。但根據一篇發布於 2016 年的論文，閃電網路在實踐中最多隻能支持數千萬用戶，無法實現其全球支付系統的願景。

除了交易手續費過於昂貴外，還有一個問題，就是比特幣始終無法實現其願景中想達到的匿名性。中本聰在曾在密碼朋克郵件討論組中指出，比特幣具有隱私保護功能，交易發起者可以是完全匿名的。然而，雖然交易發起人不需要 KYC，但比特幣鏈上的交易數據泄露了許多資訊，很大程度上暴露了用戶隱私。

雖然有一些附帶隱私功能的錢包客戶端一定程度解決了上述問題，但這些錢包客戶端的開發者卻面臨着大大小小的威脅。比如，Samourai CoinJoin 錢包的開發者在 2024 年 4 月被 FBI 逮捕，而在一周後，Wasabi 錢包的開發者就關閉了他們的 CoinJoin 協調組件。顯然，這些所謂的隱私錢包並不完全值得用戶信任。

總結下來，直到今天比特幣的許多理念還遠未實現，相關技術仍處於不斷發展中。即使這樣，比特幣社區中很多人還認為比特幣的協議設計應該保持不變，但也有很多人像我一樣，熱衷於對比特幣做出改進。那麼，比特幣應該向何種方向改進呢?

針對上述問題，比特幣社區中有很多提案，理論效果最好的應該是和 ZK 及 SNARKs 相關的。藉助 ZK 和 SNARKs，可以實現如下特性：

1. 顯著改善隱私性：使用同態 Peterson 承諾對交易數額和 Range Proof 顯著提高用戶隱私性（如 Blockstream 的 Element 側鏈中所做的）；通過可鏈接簽名（如 Monero）隱藏交易痕跡；實現真正的私密交易（如 Zcash）。

2. 提高交易吞吐量

其實有很多技術手段可以解決比特幣身上存在的問題，但為什麼直到今天，這些技術仍沒有被加入到比特幣協議中？這是因為比特幣協議很難被修改。比特幣生態里沒有類似於以太坊基金會的組織，對協議的任何修改都需要社區達到高度共識才行，這裡涉及到大量的博弈和權力制衡，所以不同於以太坊那樣每年都會有 EVM 操作碼的更新，比特幣協議自問世以來，變更就非常少。

其實，協議難以被修改在某種程度上是好事，如果修改比特幣協議很容易，那麼對其進行惡意更改和攻擊也會很容易。這就引出了一個問題：在不改變比特幣協議設計的情況下，有什麼手段可以改善比特幣的性能？

要回答這個問題，我們要先回顧關於比特幣的知識。如果我們要將比特幣轉賬給別人，需要先創建一筆交易，將其廣播到比特幣網路中。交易的輸出數據會說明轉賬的 BTC 數額，BTC 接收者可以再創建一筆新的交易，來花費收到的 BTC。此後，這筆新的交易又會產生新的輸出數據，並將 BTC 發送給其他人。

這裡要注意的是，比特幣沒有以太坊那樣的全局狀態，特別是沒有帳戶的狀態，只有交易輸出數據。每筆交易的輸出有兩種狀態：已被接收者花費或未被花費。未被花費的交易輸出就是我們熟悉的 UTXO。

當然，除了關聯的 BTC 數額外，每個交易輸出都有一段附加程序，用一種叫比特幣腳本的語言來編寫。誰能向這段程序出示正確的證明 Witness，誰就能花費這筆交易輸出（UTXO）。比特幣腳本本身是一種基於堆棧的編程語言，包含一系列操作碼，前述 UTXO 的附加程序往往由多個操作碼組成，它們基於堆棧完成計算並將結果再放回堆棧。

常見的比特幣腳本有很多種類型，從比特幣啟動之初就已經存在了。舉個例子，比特幣中最常見的腳本程序由公鑰+檢查數字簽名的操作碼組成。該操作碼規定，要花費/解鎖某個 UTXO，必須出示對應公鑰的數字簽名。

這裡我們來總結一下比特幣腳本的功能。首先比特幣腳本能做什麼？

· 可以重排堆棧，等式檢查（使用等式檢查來驗證特定條件是否滿足，從而確保交易的安全性和有效性），可以進行類似於 if-else 的分支操作。

· 可以對 32 位數字進行有限的算術運算，即加法和減法。

· 可以將數據哈希化，且可以檢查 ECDSA 和 Schnorr 簽名。

比特幣腳本不能做什麼？

· 沒有循環、跳轉、遞歸，即非圖靈完備，編程能力非常有限。

· 不能進行按位操作。缺乏進行乘除法的操作碼。

· 不能連接堆棧上的元素。

· 幾乎沒有讀取並檢查鏈上交易數據的能力。

· 比特幣腳本不能直接訪問每筆交易的金額，也沒有辦法傳遞狀態（UTXO 都是一次性使用的，每次轉賬都會銷毀舊的生成新的）。

在比特幣早期版本中，上述腳本中」不能做「的事情，有一些其實可以做，但部分功能後來被中本聰禁用了，原因是中本聰發現這些操作碼存在漏洞。例如，可以把堆棧中 2 個元素合併的操作碼 OP_CAT 可以被用於遠程攻擊比特幣節點致其崩潰，中本聰出於謹慎，禁用了 OP_CAT，其他的一些操作碼也遭到了禁用。

那麼，比特幣腳本是否可以驗證 SNARK？理論上雖然比特幣腳本非圖靈完備，但它的基本操作足以驗證任何計算，可在實踐中 SNARK 驗證還是無法實現，因為驗證步驟所需的程序尺寸超過比特幣的最大區塊限制——4MB。

也許我們可以儘量在大型有限域中進行算術運算，但這樣的成本非常高，比如 BitVM 實現的兩個 254 位整數的乘法，相關的比特幣腳本尺寸達到近 8KB。

而且，在沒有 OP_CAT 的情況下驗證 Merkle 證明的成本也很高，因為這需要類似於 for 循環的操作。

那麼再回到前面的問題：為什麼我們不能簡單地改變比特幣協議，添加功能更強大的操作碼？

正如之前提到的，要在新的協議規則上達成多數共識非常困難，因為比特幣生態沒有中心化決策者，任何對比特幣腳本的改進提案都有很多反對意見，大家的立場、角度都是不同的。在比特幣網路中，沒有很好的辦法來衡量社區是否達成了多數共識，在這種情況下強行推動更新，會導致鏈分叉。

當然，比特幣也不是完全一成不變的，最近的更新是 2017 年的 SegWit 和 2021 年的 Taproot。

Taproot 升級改變了許多規則，從理論發布到真正被激活落地，花了三年半。Taproot 被啟用的關鍵因素是：它沒有改變現有安全假設，並對比特幣協議做出了明顯改進。例如，它允許使用 Schnorr 簽名代替 ECDSA，二者都是基於離散對數假設，並使用相同的橢圓曲線，但前者比後者效率更高、計算量更少。

進一步說，Taproot 對比特幣的改進主要分為以下三部分：

第一，Taproot 降低了有大量選擇性分支的腳本的驗證成本，可以讓比特幣支持更複雜的程序；

第二，Taproot 縮減了需要在鏈上揭示的腳本數據，你可以將多段腳本程序組裝為一棵 Merkle 樹，每段腳本位於不同的葉子上，如果你要觸發某段腳本，只需揭示出示其所在的葉子及 Merkle 證明；

第三，Taproot 還添加了其他的機制設計。

話說回來，既然比特幣有 Tarpoot 這樣添加較強大功能的先例，為什麼不添加一個專用的操作碼來驗證 SNARK 呢？這是因為添加一個所謂的 OP_SNARK 操作碼與 Taproot 升級有很大不同。

首先，OP_SNARK 的設計思路有很多，很難讓大多數人都支持某種單一方案；其次，如果這類提案通過了，所有比特幣節點都要支持該特定的 OP_SNARK 方案，這將增加巨大的技術負擔。

此外，OP_SNARK 本身的複雜性也是不小的挑戰。如果不包括測試的話，Taproot 只添加了約 1600 行代碼，這是人們可以接受的，而相比之下，OP_SNARK 包含的代碼要複雜得多。

再有，誰來審核 OP_SNARK 操作碼該不該被激活？如何在沒有幾個人理解其細節的情況下在比特幣生態內獲得共識？這些都是問題。因此綜合來看，OP_SNARK 升級是不會在短時間內發生的。

但是，還有其他途徑可以在比特幣腳本中驗證 SNARK。我們可以添加較為簡單的操作碼使比特幣腳本功能性更強大，讓人們可以在腳本中實現 SNARK 驗證器程序。但事實上用比特幣腳本語言編寫 SNARK 驗證程序的難度很大。

因此，Blockstream 研究團隊正在開發 Simplicity，這是一種旨在替代比特幣腳本的編程語言。Simplicity 專為區塊鏈共識系統設計，故意設計成不圖靈完備的，易於靜態分析和形式化驗證。

下面我們要談及一個非常簡單但又很重量級的提案，它可以使比特幣腳本變得更強大，即 OP_CAT 操作碼。前面我們提到，OP_CAT 存在於比特幣的最初版本中，但這個操作碼可以在特定條件下讓比特幣節點被 DOS 攻擊，所以被中本聰禁用，現在比特幣社區中有一些人想重新啟用它。

OP_CAT 的功能是彈出堆棧頂部的兩個元素，將它們連接起來，然後再放回堆棧。這聽起來非常簡單，但卻能給比特幣腳本帶來巨大的功能改進。

例如，比特幣腳本程序本來無法訪問鏈上交易的金額等狀態資訊，但有了 OP_CAT 這將成為可能；OP_CAT 還可以用於驗證 Merkle 證明。總之 OP_CAT 是屬於底層操作碼級別的升級，會衍生出非常多的新功能，很多人都提出過使用 OP_CAT 能達成的效果。

而 OP_CAT 是否有助於在腳本中驗證 SNARK 呢？答案是有幫助，因為支持驗證 Merkle 證明就有助於驗證基於 FRI 的 SNARK，而 OP_CAT 可以支持這點。在過去，涉及 SNARK 驗證的腳本程序可能尺寸太大而無法放入比特幣區塊，有了 OP_CAT 則可以壓縮程序大小。

過去 OP_CAT 已經被討論很多年，越來越多的人認識到它在交易檢查 (introspection) 中的作用。與其他提案相比，OP_CAT 的優勢在於它以前在比特幣腳本中存在過，因此更容易在社區中達成共識。然而，OP_CAT 啟用後也可能導致某些人的 MEV 收益受損，所以比特幣社區對其還未達成共識。

綜上，比特幣可能會有一個潛在路徑，通過啟用如 OP_CAT 這樣的簡單操作碼，讓大家可以用比特幣腳本中驗證 SNARK。另外值得一提的是，最近有一個名為「Great Script Restoration」的提案，啟用了乘法操作碼，允許所有算術操作碼以任意精度操作。

此外，當我們考慮 OP_CAT 對比特幣網路的影響時，可以考察它通過後對比特幣節點運行者的影響。為了使比特幣具有抗審查性和去中心化，比特幣社區希望儘可能多的人運行節點驗證數據。如果比特幣支持了 SNARK 驗證操作，運行比特幣節點的成本仍不會顯著增加，這對於比特幣的安全性和抗審查性並無多少危害。

目前，一個比特幣區塊可以包含最多 4MB 的數據，預計每 10 分鐘挖出一個區塊，幾乎所有的區塊都可以填滿比特幣腳本和 Witness 見證 (類似於數字簽名）。折算下來，每個區塊目前最多可以包含 80K 次簽名驗證，平均每個區塊支持 7K 到 10K 次簽名驗證，我的 2020 年版英特爾 CPU 驗證一個比特幣區塊平均耗時 3.2 秒。當然，影響區塊驗證速度的不只有簽名驗證的耗時。

此外，如果比特幣交易日後支持 ZK 化，就算因此延長交易生成時間似乎也無傷大雅。對於用於長期儲存資產的硬體錢包而言，它們往往帶有屏幕且體積並不大，功能是儲存密鑰並生成簽名。硬體錢包的 CPU 一般比較弱，如 240MHz 雙核 CPU，並帶有一定內存，在簽署比特幣交易時響應非常迅速。

我做了一個小調查，詢問用戶能接受的簽名設備生成證明的最長延時，許多人可以接受較長的等待時間，特別是能獲得顯著收益的時候。所以如果我們將 ZK 引入比特幣交易中，似乎也沒有太多麻煩。

上面我們花了很多篇幅來討論應如何變更比特幣的底層設計，但其實還有不少無需變更比特幣就可以實現的應用場景。這裡我想強調一個與 BitVM 相關的應用——Chain State Proofs，它結合了 ZK，可以證明區塊哈希的有效性。

這項技術給比特幣帶來了什麼變化？首先，有了 Chain State Proofs，就可以壓縮比特幣歷數據的同步與驗證工作量，大幅度降低運行節點的成本。目前在一台硬體好的設備上從創世區塊同步並驗證到最新的比特幣區塊，需要 5 小時 30 分鐘，而在樹莓派級別的設備上則需要幾天，如果引入狀態證明則可以大幅度壓縮這個耗時。其次，鏈狀態證明是與 BitVM 可以用到的重要部分，會對 BitVM 的實現有推動作用。

ZeroSync 團隊對 Chain State Proofs 進行了深入研究，並創建了一種更輕量的「header chain Proofs」，這種方案結合 ZK，只證明比特幣區塊頭的有效性，以此構成一條」header chain「，包含比特幣歷史上全部的 85 萬個區塊頭，並針對每個區塊頭生成 80 字節的哈希。

這種方案需要對每個比特幣區塊頭進行雙重 SHA-256 計算以驗證對應的 PoW 證明。ZeroSync 的使用 STARKs 來生成比特幣的 header chain Proof，生成證明的成本約為 4000 美元，用我的瀏覽器驗證該證明則只需要 3 秒鐘。

但由於不包含區塊中交易內容的驗證過程，header chain proof 只能假設擁有最多 POW 證明的區塊鏈是有效的，並默認讓比特幣客戶端同步這條鏈上的最新區塊。這種場景下，雖然攻擊者可以創建包含無效交易的區塊，並在該區塊之後添加更多區塊，並生成 header chain proof 來蒙蔽同步歷史數據的比特幣客戶端，但這樣做的話攻擊成本極其昂貴，並且會被現有的比特幣全節點客戶端直接揭穿。

然而，儘管這種攻擊場景的成功率很低，但如果可以讓攻擊者竊取巨大金額的 BTC，那麼 header chain proof 就無法被認作是萬無一失的方案。如果我們想證明完整的鏈狀態，就需要直接證明比特幣區塊中所有的內容都有效，包括基於 secp256k1 橢圓曲線的 ECDSA 和 Schnorr 簽名驗證。

比特幣每個月的歷史區塊中都可以包含 3000 萬個簽名，歷史上總計包含 25 億次簽名運算，以及大量的 SHA-256 運算。這樣下來比特幣網路每個月產生的區塊數據約 7GB，所有歷史數據總計超過 650GB。而實際情況中這個數字可能是 2 到 3 倍。

現在我們再來看 BitVM。BitVM 使得比特幣可以驗證任何計算任務，是無需變更協議來實現 SNARK 驗證的最佳路徑。BitVM 使用兩種技術繞開了比特幣區塊對腳本大小的限制。首先，它使用了 Taproot MerkleTree 的腳本結構；

其次，它啟用了可以跨單個腳本訪問的 KV 儲存方案，允許連接到超級多的腳本程序。不過，比特幣協議不強制保證上述 KV 儲存方案的完整性，BitVM 需要通過欺詐證明來檢查惡意 Prover，如果 Prover 發布無效聲明或有問題的 KV 儲存，其他人可以在比特幣鏈上發起一筆交易，表明 Prover 行為不當，並取走其事先質押的資產。

總結一下，比特幣正面臨重大挑戰，大家提出了各種方案解決這些問題，然而，這些提案不會很快被比特幣社區採納，對協議的改變也非短期內能完成的，這既是好事也是壞事，這也意味著比特幣是去中心化的、較為安全的。

比特幣社區許多人對 SNARK/STARK 的潛力感到興奮。在中長期內實現 SNARK 驗證的最可行方法，很大機率是 BitVM，但它需要更多的研發投入才能在實踐中發揮作用；

重新啟用 OP_CAT 操作碼也是一種思路，但需要證明重啟該操作碼的收益遠大於風險，並調查哪些簡單的操作碼可以允許在比特幣腳本中驗證 SNARK，或者探究類似 OP_CAT 的功能可以實現什麼場景。無論選擇哪種方案，比特幣社區的最終宗旨一定是讓產品變得實用，支持更多可落地的場景。

原文連結