BitVM 원리 분석 및 최적화 생각

원문 제목：BitVM 및 최적화 고려 사항

원문 저자: lynndell, mutourend.

1. 서론

비트코인은 탈중앙화되고 안전하며 신뢰할 수 있는 디지털 자산입니다. 그러나 결제 및 기타 응용 프로그램의 확장 가능한 네트워크가 되는 데에는 중대한 제한이 있습니다. 비트코인의 확장성 문제는 출현 이후로 지속적으로 주목받아 왔습니다. 비트코인 UTXO 모델은 각 거래를 독립적인 사건으로 간주하여 상태가 없는 시스템을 초래하고, 복잡하고 상태에 의존하는 계산을 수행할 수 있는 능력이 부족합니다. 따라서 비트코인은 간단한 스크립트와 다중 서명 거래를 수행할 수 있지만, 상태가 있는 블록체인 플랫폼에서 일반적으로 발생하는 복잡하고 동적인 계약 상호작용을 촉진하기 어렵습니다. 이 문제는 비트코인 위에 구축된 탈중앙화 애플리케이션(dApps)과 복잡한 금융 도구의 범위를 상당히 제한하며, 상태 모델 플랫폼은 기능이 풍부한 스마트 계약을 배포하고 실행하기 위한 보다 다양한 환경을 제공합니다.

비트코인 확장을 위해 주로 상태 채널, 사이드 체인, 클라이언트 검증 등의 기술이 있습니다. 그 중 상태 채널은 안전하고 다양한 결제 솔루션을 제공하지만, 임의의 복잡한 계산을 검증하는 능력에는 한계가 있습니다. 이러한 제한은 복잡하고 조건부 논리 및 상호작용이 필요한 다양한 시나리오에서의 응용을 줄입니다. 사이드 체인은 광범위한 응용을 지원하고 비트코인의 기능을 넘어서는 다양성을 제공하지만, 보안성이 낮습니다. 이러한 보안 차이는 사이드 체인이 독립적인 합의 메커니즘을 사용하기 때문이며, 이는 비트코인 합의 메커니즘의 견고성에 미치지 못합니다. 클라이언트 검증은 비트코인 UTXO 모델을 사용하여 더 복잡한 거래를 처리할 수 있지만, 비트코인과의 양방향 검증 및 제약 능력이 없어 보안성이 비트코인보다 낮습니다. 클라이언트 검증 프로토콜의 오프체인 설계는 서버 또는 클라우드 인프라에 의존하여 중앙 집중화되거나 타협된 서버를 통한 잠재적인 검열을 초래할 수 있습니다. 클라이언트 검증의 오프체인 설계는 블록체인 인프라에 더 많은 복잡성을 도입하여 확장성 문제를 초래할 수 있습니다.

2023년 12월, ZeroSync 프로젝트 책임자 Robin Linus는 《BitVM: Compute Anything On Bitcoin》라는 제목의 백서를 발표하여 비트코인의 프로그래머블성을 향상시키는 것에 대한 논의를 촉발했습니다. 이 논문은 비트코인 네트워크의 합의를 변경하지 않고도 튜링 완전한 비트코인 계약 솔루션을 구현할 수 있는 방법을 제안하여, 복잡한 계산을 비트코인에서 검증할 수 있도록 하며 비트코인의 기본 규칙을 변경할 필요가 없습니다. BitVM은 비트코인 스크립트와 Taproot를 최대한 활용하여 낙관적 롤업을 구현합니다. Lamport 서명(또는 비트 커밋)을 기반으로 하여 비트코인 두 개의 UTXO 간의 연결을 구축하고 상태가 있는 비트코인 스크립트를 구현합니다. Taproot 주소에 대규모 프로그램을 약속하고, 운영자와 검증자가 많은 오프체인 상호작용을 수행하여 체인 상에 남기는 흔적은 최소화합니다. 양측이 협력하면 임의의 복잡한 상태가 있는 오프체인 계산을 수행할 수 있으며, 체인 상에 어떤 흔적도 남기지 않습니다. 양측이 협력하지 않으면 분쟁이 발생할 때 체인 상에서 실행해야 합니다. 따라서 BitVM은 비트코인의 잠재적 사용 사례를 크게 확장하여 비트코인이 단순한 통화로서뿐만 아니라 다양한 탈중앙화 애플리케이션과 복잡한 계산 작업의 검증 플랫폼으로 기능할 수 있게 합니다.

하지만 BitVM 기술은 비트코인 확장성 측면에서 매우 유리하지만 여전히 초기 단계에 있으며, 효율성과 보안 측면에서 몇 가지 문제가 있습니다. 예를 들어: (1) 도전과 응답은 여러 번의 상호작용이 필요하여 수수료가 비쌉니다. 도전 주기가 길어집니다; (2) Lamport 일회성 서명 데이터가 길어 데이터 길이를 줄여야 합니다; (3) 해시 함수의 복잡도가 높아 비트코인 친화적인 해시 함수를 필요로 하며 비용을 줄여야 합니다; (4) 기존 BitVM 계약이 방대하고 비트코인 블록 용량이 제한적이므로 scriptless scripts를 활용하여 Scriptless Scripts BitVM을 구현하여 비트코인 블록 공간을 절약하고 BitVM 효율성을 높여야 합니다; (5) 기존 BitVM은 허가 모델을 사용하여 동맹 회원만 도전을 시작할 수 있으며, 두 당사자 간으로 제한되어 있으므로 permissionless 다자 도전 모델로 확장하여 신뢰 가정을 더욱 줄여야 합니다. 이를 위해 본 논문에서는 BitVM의 효율성과 보안을 더욱 향상시키기 위한 몇 가지 최적화 아이디어를 제안합니다.

2. BitVM 원리

BitVM은 비트코인의 오프체인 계약으로 위치 지어지며, 비트코인 계약 기능을 촉진하는 데 전념하고 있습니다. 현재 비트코인 스크립트는 완전히 무상태이므로 비트코인 스크립트가 실행될 때마다 실행 환경이 각 스크립트 후에 재설정됩니다. 스크립트 1과 스크립트 2가 동일한 x 값을 갖도록 하는 원시적인 방법은 존재하지 않으며, 비트코인 스크립트는 이러한 방법을 원시적으로 지원하지 않습니다. 그러나 기존 opcodes를 활용하여 Lamport 일회성 서명을 통해 비트코인 스크립트를 상태가 있게 만들 수 있으며, script 1과 script 2의 x 값을 동일하게 강제할 수 있습니다. 참여자가 상충되는 x 값을 서명하면 이를 처벌할 수 있습니다. BitVM 프로그램 계산은 오프체인에서 발생하며, 계산 결과 검증은 체인 상에서 발생합니다. 현재 비트코인 블록은 1MB로 제한되어 있으며, 계산 검증이 지나치게 복잡할 경우 OP 기술을 활용하여 도전 응답 모드를 사용하여 더 높은 복잡도의 계산 검증을 지원합니다.

Optimistic Rollup 및 MATT 제안(Merkelize All The Things)과 유사하게, BitVM 시스템은 사기 증명 및 도전-응답 프로토콜을 기반으로 하지만 비트코인의 합의 규칙을 수정할 필요는 없습니다. BitVM의 기본 원리는 간단하며, 주로 해시 잠금, 시간 잠금 및 대규모 Taproot 트리를 기반으로 합니다.

증명자는 바이트 단위로 약속하지만, 체인 상에서 모든 계산을 검증하는 것은 지나치게 비쌉니다. 따라서 검증자는 증명자의 허위 주장을 간결하게 반박하기 위해 정교하게 설계된 일련의 도전을 수행합니다. 증명자와 검증자는 분쟁 해결을 위해 도전 및 응답 거래의 일련의 거래를 미리 서명하여 비트코인에서 일반 계산 검증을 허용합니다.

BitVM의 주요 구성 요소는 다음과 같습니다:

• 회로 약속: 증명자와 검증자는 프로그램을 대규모 이진 회로로 컴파일합니다. 증명자는 Taproot 주소에서 해당 회로를 약속하며, 해당 주소의 각 리프 스크립트는 회로의 각 논리 게이트에 해당합니다. 핵심은 비트 커밋을 기반으로 논리 게이트 약속을 구현하여 회로 약속을 실현하는 것입니다.
• 도전 및 응답: 증명자와 검증자는 도전-응답 게임을 구현하기 위해 일련의 거래를 미리 서명합니다. 이상적으로 이러한 상호작용은 오프체인에서 이루어지며, 증명자가 협력하지 않을 경우 체인 상에서 실행할 수 있습니다.
• 모호한 처벌: 증명자가 잘못된 주장을 제기하면, 검증자가 도전 성공 후 증명자의 예금을 가져갈 수 있어 증명자의 악행을 저지할 수 있습니다.

3. BitVM 최적화

3.1 ZK 기반 OP 상호작용 횟수 감소

현재 두 가지 주요 롤업이 있습니다: ZK 롤업과 OP 롤업. 그 중 ZK 롤업은 ZK 증명의 유효성 검증에 의존하며, 이는 올바르게 실행된 암호학적 증명으로, 그 안전성은 계산 복잡도 가정에 의존합니다; OP 롤업은 사기 증명에 의존하며, 제출된 상태가 모두 올바르다고 가정하고, 도전 주기를 일반적으로 7일로 설정하며, 그 안전성은 시스템 내에 최소한 하나의 정직한 당사자가 잘못된 상태를 탐지하고 사기 증명을 제출할 수 있다고 가정합니다. BitVM 도전 프로그램의 최대 단계 수를 2^{32}로 가정하면, 메모리 요구량은 2^{32} * 4바이트, 약 17GB가 필요합니다. 최악의 경우 약 40회의 도전 및 응답이 필요하며, 약 6개월의 시간이 소요되고, 총 스크립트는 약 150KB입니다. 이 경우 인센티브가 심각하게 부족하지만 실제 상황에서는 거의 발생하지 않습니다.

제로 지식 증명을 사용하여 BitVM의 도전 횟수를 줄여 BitVM의 효율성을 높이는 것을 고려합니다. 제로 지식 증명 이론에 따르면, 데이터 Data가 알고리즘 F를 만족하면, 증명 proof는 검증 알고리즘 Verify를 만족하며, 즉 검증 알고리즘의 출력은 True입니다; 데이터 Data가 알고리즘 F를 만족하지 않으면, 증명 proof도 검증 알고리즘 Verify를 만족하지 않으며, 즉 검증 알고리즘의 출력은 False입니다. BitVM 시스템에서 도전자가 증명자가 제출한 데이터를 인정하지 않으면 도전을 시작합니다.

알고리즘 F에 대해 이분법으로 나누어 가정하면, 2^n 번의 시도가 필요하며, 오류 지점을 찾을 수 있습니다; 알고리즘의 복잡도가 너무 높으면 n이 커져 완료하는 데 오랜 시간이 걸립니다. 그러나 제로 지식 증명의 검증 알고리즘 Verify의 복잡도는 고정되어 있으며, 공개 증명 proof와 검증 알고리즘 Verify의 전체 과정에서 출력이 False임을 발견합니다. 제로 지식 증명의 장점은 검증 알고리즘 Verify를 여는 데 필요한 계산 복잡도를 낮추는 것이며, 이는 원래 알고리즘 F를 여는 것보다 훨씬 낮습니다. 따라서 제로 지식 증명을 통해 BitVM의 도전은 더 이상 원래 알고리즘 F가 아니라 검증 알고리즘 Verify가 되어 도전 횟수를 줄이고 도전 주기를 단축할 수 있습니다.

마지막으로, 제로 지식 증명의 유효성과 사기 증명은 서로 다른 안전 가정에 의존하지만, 두 가지를 결합하여 ZK 사기 증명을 구축할 수 있으며, On-Demand ZK Proof를 구현할 수 있습니다. 전체 ZK 롤업과는 달리, 각 개별 상태 변환에 대해 ZK 증명을 생성할 필요가 없으며, On-Demand 모델은 도전이 있을 때만 ZK 증명이 필요합니다. 전체 롤업 설계는 여전히 낙관적입니다. 따라서 생성된 상태가 유효하다고 기본적으로 가정하며, 누군가가 해당 상태에 도전할 때까지는 그렇습니다. 만약 어떤 상태에 도전이 없다면, 어떤 ZK 증명도 생성할 필요가 없습니다. 그러나 참여자가 도전을 시작하면 도전 블록 내 모든 거래의 정확성을 위해 ZK 증명을 생성해야 합니다. 향후, 단일 논란이 있는 명령어에 대해 ZK 사기 증명을 생성하여 ZK 증명을 지속적으로 생성하는 계산 비용을 피하는 방법을 탐색할 수 있습니다.

3.2 비트코인 친화적인 일회성 서명

비트코인 네트워크에서 합의 규칙을 따르는 거래는 유효한 거래이지만, 합의 규칙 외에도 추가로 standardness 규칙이 도입되었습니다. 비트코인 노드는 표준 거래만 전파하며, 유효하지만 비표준 거래는 채굴자와 협력하여야만 포장될 수 있습니다.

합의 규칙에 따르면, legacy(즉, non-Segwit) 거래의 최대 크기는 1MB로, 블록 전체를 채울 수 있습니다. 그러나 legacy 거래의 standardness 상한은 100kB입니다. 합의 규칙에 따르면, Segwit 거래의 최대 크기는 4MB로, weight limit입니다. 그러나 Segwit 거래의 standardness 상한은 400kB입니다.

Lamport 서명은 BitVM의 기본 구성 요소로, 서명 및 공개 키 길이를 줄여 거래 데이터를 줄이고 수수료를 낮추는 데 기여합니다. Lamport 일회성 서명은 해시 함수(예: 일방향 순열 함수 f)를 사용해야 합니다. Lamport 일회성 서명 계획에서 메시지 길이는 v 비트, 공개 키 길이는 2v 비트, 서명 길이도 2v 비트입니다. 서명과 공개 키가 길어 많은 저장소 가스를 소모합니다. 따라서 서명 및 공개 키 길이를 줄이기 위해 유사한 기능의 서명 계획을 찾아야 합니다. Lamport 일회성 서명과 비교하여, Winternitz 일회성 서명의 서명 및 공개 키 길이는 크게 줄어들지만, 서명 및 검증의 계산 복잡도가 증가합니다.

Winternitz 일회성 서명 계획에서는 특수 함수 P를 사용하여 v 비트의 메시지를 길이가 n인 벡터 s로 매핑합니다. s의 각 요소의 값은 {0,…, d}입니다. Lamport 일회성 서명 계획은 d=1의 특수한 경우의 Winternitz 일회성 서명 계획입니다. Winternitz 일회성 서명 계획에서 n, d, v 간의 관계는 n ≈ v / log2(d + 1)입니다. d=15일 때, n ≈ (v / 4) + 1입니다. n개의 요소를 포함하는 Winternitz 서명은 Lamport 일회성 서명 계획의 공개 키 길이와 서명 길이보다 4배 짧습니다. 그러나 검증의 복잡도는 4배 증가했습니다. BitVM에서 d=15, v=160, f=ripemd160(x)를 사용하여 Winternitz 일회성 서명을 구현하면 비트 커밋의 크기를 50% 줄일 수 있어 BitVM의 거래 수수료를 최소 50% 줄일 수 있습니다. 향후, 기존 Winternitz 비트코인 스크립트 구현을 최적화하는 동시에 비트코인 스크립트로 표현된 보다 간결한 일회성 서명 계획을 탐색할 수 있습니다.

3.3 비트코인 친화적인 해시 함수

합의 규칙에 따르면, P2TR 스크립트의 최대 크기는 10kB이며, P2TR 스크립트 증인의 최대 크기는 최대 Segwit 거래 크기와 동일하게 4MB입니다. 그러나 P2TR 스크립트 증인의 standardness 상한은 400kB입니다.

현재 비트코인 네트워크는 OP_CAT을 지원하지 않아 문자열을 연결하여 Merkle 경로 검증을 수행할 수 없습니다. 따라서 기존 비트코인 스크립트를 사용하여 스크립트 크기와 스크립트 증인 크기가 최적화된 방식으로 비트코인 친화적인 해시 함수를 구현하여 Merkle 포함 증명 검증 기능을 지원해야 합니다.

BLAKE3는 BLAKE2 해시 함수의 최적화된 버전으로, Bao tree 모드를 도입했습니다. BLAKE2 s 기반에 비해 압축 함수의 라운드 수가 10에서 7로 줄어들었습니다. BLAKE3 해시 함수는 입력을 1024바이트 크기의 연속 청크로 나누며, 마지막 청크는 더 짧을 수 있지만 비어 있지 않습니다. 청크가 하나만 있을 경우, 해당 청크는 루트 노드가 되며, 해당 트리의 유일한 노드입니다. 이러한 청크를 이진 트리의 리프 노드로 배열한 후, 각 청크를 독립적으로 압축합니다.

BitVM을 Merkle 포함 증명 검증 시나리오에 사용할 때, 해시 연산의 입력은 2개의 256비트 해시 값을 연결하여 생성되며, 즉 해시 연산의 입력은 64바이트입니다. BLAKE3 해시 함수를 사용할 때, 이 64바이트는 단일 청크 내에 할당될 수 있으며, 전체 BLAKE3 해시 연산은 단일 청크에 대해 압축 함수를 한 번만 적용하면 됩니다. BLAKE3의 압축 함수에서는 7회의 라운드 함수와 6회의 치환 함수가 실행됩니다.

현재 BitVM에서는 u32 값 기반의 XOR, 모듈러 덧셈, 비트 오른쪽 이동 등의 기본 연산이 완료되어 있으며, 비트코인 스크립트로 구현된 BLAKE3 해시 함수를 쉽게 조립할 수 있습니다. 스택 내 4개의 분리된 바이트를 사용하여 u32 단어를 나타내어 BLAKE3에 필요한 u32 덧셈, u32 비트 단위 XOR 및 u32 비트 단위 회전을 구현합니다. 현재 BLAKE3 해시 함수의 비트코인 스크립트는 약 100kB로, toy 버전의 BitVM을 구축하는 데 충분합니다.

또한 이러한 BLAKE3 코드를 분할하여 검증자와 증명자가 도전-응답 게임에서 실행을 완전히 수행하는 대신 실행을 나누어 체인 상 데이터의 필요성을 크게 줄일 수 있습니다. 마지막으로 비트코인 스크립트로 Keccak-256, Grøstl 등의 해시 함수를 구현하고, 가장 비트코인 친화적인 해시 함수를 선택하며, 다른 새로운 비트코인 친화적인 해시 함수를 탐색할 수 있습니다.

3.4 Scriptless Scripts BitVM

Scriptless Scripts는 Schnorr 서명을 사용하여 오프체인에서 스마트 계약을 실행하는 방법입니다. Scriptless Scripts 개념은 Mimblewimble에서 탄생하였으며, 커널 및 그 서명을 제외하고는 영구 데이터를 저장하지 않습니다.

Scriptless Scripts의 장점은 기능, 프라이버시 및 효율성입니다.

• 기능: Scriptless Scripts는 스마트 계약의 범위와 복잡성을 증가시킬 수 있습니다. 비트코인 스크립트의 능력은 네트워크에서 활성화된 OP_CODES의 수에 제한되지만, Scriptless Scripts는 스마트 계약의 규범 및 실행을 체인 상에서 계약 참여자 간의 논의로 전환하여 비트코인 네트워크의 분기를 기다릴 필요 없이 새로운 작업 코드를 활성화할 수 있습니다.
• 프라이버시: 스마트 계약의 규범 및 실행을 체인 상에서 오프체인으로 전환하면 프라이버시가 증가합니다. 체인 상에서는 계약의 많은 세부 사항이 전체 네트워크에 공유되며, 이러한 세부 사항에는 참여자의 수와 주소 및 송금 금액 등이 포함됩니다. 스마트 계약을 오프체인으로 이동함으로써 네트워크는 참여자가 계약 조건이 충족되었고 관련 거래가 유효하다는 것만 알게 됩니다.
• 효율성: Scriptless Scripts는 체인 상 검증 및 저장 데이터의 양을 최소화합니다. 스마트 계약을 오프체인으로 이동함으로써 전체 노드의 관리 비용이 줄어들고, 사용자의 거래 수수료도 감소합니다.

Scriptless scripts는 비트코인에서 암호학적 프로토콜을 설계하는 방법으로, 명시적인 스마트 계약을 실행하는 것을 피할 수 있습니다. 핵심 아이디어는 스크립트를 사용하여 기능을 구현하는 대신 암호 알고리즘을 사용하여 원하는 기능을 구현하는 것입니다. 어댑터 서명 및 다중 서명은 Scriptless scripts의 원래 구성 요소입니다. Scriptless scripts를 사용하면 일반 거래보다 더 작은 거래를 구현하여 거래 수수료를 줄일 수 있습니다.

Scriptless Scripts를 통해 Schnorr 다중 서명 및 어댑터 서명을 사용하여 BitVM 솔루션처럼 해시 값과 해시 원본을 제공할 필요 없이 BitVM 회로 내의 논리 게이트 약속을 구현할 수 있어 BitVM 스크립트 공간을 절약하고 BitVM 효율성을 높일 수 있습니다. 현재의 Scriptless Scripts 솔루션은 BitVM 스크립트 공간을 줄일 수 있지만, 증명자와 도전자가 공키를 조합하기 위해 많은 상호작용이 필요합니다. 향후 이 솔루션을 개선하고 Scriptless Scripts를 특정 BitVM 기능 모듈에 도입하는 것을 시도할 것입니다.

3.5 허가 없는 다자 도전

현재 BitVM 도전이 기본적으로 허가가 필요한 이유는 비트코인의 UTXO가 한 번만 실행될 수 있어 악의적인 검증자가 정직한 증명자를 도전하여 해당 계약을 "낭비"할 수 있기 때문입니다. 현재 BitVM은 두 당사자 도전 모드로 제한되어 있습니다. 악의적인 증명자는 자신이 제어하는 검증자를 사용하여 동시에 도전을 시작하여 계약을 "낭비"할 수 있으며, 이로 인해 악의적인 행동이 성공하게 되고 다른 검증자는 이를 막을 수 없습니다. 따라서 비트코인 기반 위에 허가 없는 다자 OP 도전 프로토콜을 연구하여 BitVM의 기존 1-of-n 신뢰 모델을 1-of-N으로 확장해야 하며, 여기서 N은 n보다 훨씬 큽니다. 또한 도전자가 증명자와 공모하거나 악의적인 도전으로 계약을 "낭비"하는 문제를 해결해야 합니다. 궁극적으로 신뢰를 줄인 BitVM 프로토콜을 구현하는 것이 목표입니다.

허가 없는 다자 도전은 누구나 허가 목록 없이 참여할 수 있도록 허용합니다. 이는 사용자가 신뢰할 수 있는 제3자의 개입 없이 L2에서 자금을 인출할 수 있음을 의미합니다. 또한 OP 도전 프로토콜에 참여하고자 하는 모든 사용자는 무효한 인출에 대해 이의를 제기하고 삭제할 수 있습니다.

BitVM을 허가 없는 다자 도전 모델로 확장하기 위해서는 다음과 같은 공격을 해결해야 합니다:

• 마녀 공격: 공격자가 여러 신원을 위조하여 분쟁 도전에 참여하더라도, 단일 정직한 참여자가 분쟁에서 이길 수 있습니다. 정직한 참여자가 올바른 결과를 방어하는 비용이 공격자의 수에 선형적으로 비례할 경우, 많은 공격자가 관련될 때 정직한 참여자가 분쟁에서 이기기 위해 필요한 비용은 비현실적이 되며, 마녀 공격에 취약해질 수 있습니다. 논문 Permissionless Refereed Tournaments에서는 단일 정직한 참여자가 분쟁에서 이길 비용이 상대의 수에 따라 로그적으로 증가하도록 게임 규칙을 변경하는 분쟁 해결 알고리즘을 제안합니다.
• 지연 공격: 특정 또는 일군의 악의적인 당사자가 자산을 L1으로 인출하는 것과 같은 올바른 결과의 확인을 방해하거나 지연시키기 위해 특정 전략을 따릅니다. 이 경우 정직한 증명자가 L1 수수료를 지불해야 합니다. 도전자가 미리 스테이킹해야 하며, 도전자가 지연 공격을 시작하면 스테이킹이 몰수됩니다. 그러나 공격자가 일정 한도 내에서 스테이킹을 희생하여 지연 공격을 추구할 경우, 지연 공격의 영향을 줄이기 위한 대응 전략이 필요합니다. 논문 BoLD: Bounded Liquidity Delay in a Rollup Challenge Protocol에서 제안된 알고리즘은 공격자가 얼마나 많은 스테이킹을 잃고 싶어하든지 간에 최악의 경우 공격이 일정 한계의 지연만 초래하도록 합니다.

향후 비트코인 특성에 적합한 공격 문제를 저항할 수 있는 BitVM 허가 없는 다자 도전 모델을 탐색할 것입니다.

4. 결론

BitVM 기술 탐색은 이제 막 시작되었으며, 향후 비트코인 확장을 실현하고 비트코인 생태계를 번영시키기 위한 더 많은 최적화 방향을 탐색하고 실천할 것입니다.

참고 문헌

1. BitVM: Compute Anything on Bitcoin
2. BitVM: Off-chain Bitcoin Contracts
3. Robin Linus on BitVM
4. [bitcoin-dev] BitVM: Compute Anything on Bitcoin
5. The Odd Couple: ZK and Optimistic Rollups on a Scalability Date
6. What are Bitcoin's transaction and script limits?
7. BIP-342: Validation of Taproot Scripts
8. https://twitter.com/robin_linus/status/1765337186222686347
9. A Graduate Course in Applied Cryptography
10. BLAKE3: one function, fast everywhere
11. [bitcoin-dev] Implementing Blake3 in Bitcoin Script
12. https://github.com/BlockstreamResearch/scriptless-scripts
13. Introduction to Scriptless Scripts
14. BitVM using Scriptless Scripts
15. Solutions to Delay Attacks on Rollups
16. Introducing DAVE. Cartesi's Permissionless Fault-Proof System.
17. Delay Attacks on Rollups
18. Solutions to Delay Attacks on Rollups - Arbitrum Research
19. Multiplayer Interactive Computation Games Notes
20. BoLD: Bounded Liquidity Delay in a Rollup Challenge Protocol
21. Permissionless Refereed Tournaments