기술 해석: Merlin Chain은 어떻게 작동하는가?

原文作者：Faust，극객 web3

2023년의 각인 여름 이후로 비트코인 Layer 2는 Web3의 중심 무대에서 항상 중요한 역할을 해왔습니다. 이 분야의 부상은 이더리움 Layer 2보다 훨씬 늦었지만, POW의 독특한 매력과 현물 ETF의 순조로운 출범 덕분에 "증권화" 위험을 걱정할 필요 없는 비트코인은 불과 반년 만에 Layer 2라는 파생 트랙에 수십억 달러의 자본 관심을 끌어모았습니다.

비트코인 Layer 2 트랙에서 수십억 달러의 TVL을 보유한 Merlin은 의심할 여지 없이 가장 큰 규모와 가장 많은 주목을 받고 있는 프로젝트입니다. 명확한 스테이킹 인센티브와 괄목할 만한 수익률 덕분에 Merlin은 몇 달 만에 갑자기 떠올라 Blast를 초월하는 생태 신화를 만들어냈습니다. Merlin의 인기가 높아짐에 따라 그 기술 솔루션에 대한 논의도 점점 더 많은 사람들의 관심을 끌고 있습니다.

이 글에서, 극객 web3는 Merlin Chain 기술 솔루션에 초점을 맞추고, 공개된 문서 및 프로토콜 설계 아이디어를 해석할 것입니다. 우리는 더 많은 사람들이 Merlin의 대략적인 작업 흐름을 이해하고, 그 안전 모델에 대해 더 명확한 인식을 갖도록 하여, 사람들이 이 "주요 비트코인 Layer 2"가 어떻게 작동하는지를 보다 직관적으로 이해할 수 있도록 노력하고 있습니다.

Merlin의 탈중앙화 오라클 네트워크: 개방적인 체인 외 DAC 위원회

모든 Layer 2에 대해, 이더리움 Layer 2든 비트코인 Layer 2든, DA와 데이터 게시 비용은 가장 해결해야 할 문제 중 하나입니다. 비트코인 네트워크 자체에 여러 문제가 존재하고, 본질적으로 큰 데이터 처리량을 지원하지 않기 때문에, 이 귀중한 DA 공간을 어떻게 활용할지가 Layer 2 프로젝트의 상상력을 시험하는 난제가 되었습니다.

명백한 결론이 있습니다: Layer 2가 "직접" 처리되지 않은 거래 데이터를 비트코인 블록에 게시하면, 높은 처리량을 달성할 수 없고 낮은 수수료도 실현할 수 없습니다. 가장 주류의 해결책은 데이터 크기를 가능한 한 작게 압축하여 비트코인 블록에 업로드하거나, 데이터를 비트코인 체인 아래에 직접 게시하는 것입니다.

첫 번째 접근 방식을 채택한 Layer 2 중 가장 유명한 것은 Citrea일 것입니다. 그들은 일정 기간 동안 Layer 2의 상태 변화(state diff), 즉 여러 계좌의 상태 변경 결과와 해당 ZK 증명을 함께 비트코인 체인에 업로드할 계획입니다. 이러한 경우, 누구나 비트코인 메인넷에서 state diff와 ZKP를 다운로드하여 Citrea 상태의 변화 결과를 모니터링할 수 있습니다. 이 방법은 체인에 올라가는 데이터 크기를 90% 이상 압축할 수 있습니다.

이것은 데이터 크기를 크게 압축할 수 있지만, 병목 현상은 여전히 명확합니다. 짧은 시간 내에 많은 계좌에서 상태 변경이 발생하면, Layer 2는 이러한 계좌의 변경 사항을 모두 수집하여 비트코인 체인에 업로드해야 하며, 최종 데이터 게시 비용은 매우 낮게 유지할 수 없습니다. 이 점은 많은 이더리움 ZK Rollup에서 볼 수 있습니다.

많은 비트코인 Layer 2는 차라리 두 번째 경로를 선택합니다: 비트코인 체인 아래의 DA 솔루션을 직접 사용하거나, Celestia, EigenDA 등을 사용합니다. B^Square, BitLayer 및 이 글의 주인공인 Merlin은 이러한 체인 외 DA 확장 솔루션을 채택했습니다.

극객 web3의 이전 글인------《B^ 2 새로운 기술 로드맵 분석: 비트코인 체인 아래 DA와 검증 레이어의 필요성》에서 우리는 언급했습니다, B^ 2는 Celestia를 직접 모방하여 체인 아래에서 데이터 샘플링 기능을 지원하는 DA 네트워크인 B^ 2 Hub를 구축했습니다. 거래 데이터 또는 state diff와 같은 "DA 데이터"는 비트코인 체인 아래에 저장되며, 비트코인 메인넷에 datahash / merkle root만 업로드됩니다.

이것은 비트코인을 신뢰할 수 없는 게시판으로 간주하는 것입니다: 누구나 비트코인 체인에서 datahash를 읽을 수 있습니다. 체인 외 데이터 제공자로부터 DA 데이터를 얻은 후, 그것이 체인上的 datahash와 일치하는지 확인할 수 있습니다, 즉 hash(data 1) == datahash 1? 두者之间存在对应关系，说明链下的数据提供者给你的数据没错。

위의 프로세스는 체인 외 노드가 제공하는 데이터가 Layer 1의 특정 "단서"와 연관되어 있음을 보장하여 DA 레이어가 악의적으로 허위 데이터를 제공하는 것을 방지합니다. 그러나 여기에는 매우 중요한 악의적인 시나리오가 있습니다: 데이터의 출처인 Sequencer가 datahash에 해당하는 데이터를 전혀 발송하지 않고, datahash만 비트코인 체인에 발송하며, 해당 데이터를 아무도 읽지 못하도록 고의로 차단하는 경우, 이럴 때는 어떻게 해야 할까요?

유사한 시나리오는 다음과 같습니다: ZK-Proof와 StateRoot만 게시하고, 해당 DA 데이터(state diff 또는 Transaction data)는 게시하지 않는 경우, 사람들은 ZKProof를 검증할 수 있지만, 어떤 계좌의 상태가 변경되었는지 알 수 없습니다. 이 경우 사용자의 자산은 안전하지만, 네트워크의 실제 상태를 확인할 수 없으며, 어떤 거래가 체인에 패키징되었는지, 어떤 계약의 상태가 업데이트되었는지 알 수 없습니다. 이 시점에서 Layer 2는 사실상 정지 상태와 같습니다.

이것이 바로 "데이터 억제"입니다. 이더리움 재단의 Dankrad는 2023년 8월에 트위터에서 유사한 문제를 간단히 논의했으며, 그는 주로 "DAC"라는 것에 대해 이야기했습니다.

체인 외 DA 솔루션을 채택한 많은 이더리움 Layer 2는 종종 특별 권한을 가진 몇 개의 노드로 구성된 위원회를 설정하여, 전체 이름은 Data Availability Committee (DAC)입니다. 이 DAC 위원회는 보증인의 역할을 하여 외부에 Sequencer가 실제로 체인 외에서 완전한 DA 데이터(거래 데이터 또는 state diff)를 게시했다고 주장합니다. 그런 다음 DAC 노드는 집단적으로 다중 서명을 생성하며, 다중 서명이 임계값 요구 사항(예: 2/4)을 충족하면 Layer 1의 관련 계약은 Sequencer가 DAC 위원회의 검사를 통과했음을 기본적으로 인정하고, 체인 외에서 완전한 DA 데이터를 게시했다고 간주합니다.

이더리움 Layer 2의 DAC 위원회는 기본적으로 POA 모델을 따르며, KYC를 거친 소수의 공식 지정 노드만 DAC 위원회에 가입할 수 있습니다. 이로 인해 DAC는 "중앙화"와 "컨소시엄 체인"의 대명사가 되었습니다. 또한 DAC 모델을 채택한 일부 이더리움 Layer 2에서는 정렬기가 DA 데이터를 DAC 구성원 노드에만 전송하고, 거의 다른 곳에 데이터를 업로드하지 않으며, DA 데이터를 얻으려면 DAC 위원회의 허가를 받아야 하므로, 본질적으로 컨소시엄 체인과 다르지 않습니다.

의심할 여지 없이, DAC는 탈중앙화되어야 하며, Layer 2는 DA 데이터를 Layer 1에 직접 업로드하지 않을 수 있지만, DAC 위원회의 접근 권한은 외부에 개방되어야 하며, 이를 통해 소수의 사람들이 공모하여 악의적인 행동을 하는 것을 방지할 수 있습니다. (DAC의 악의적인 시나리오에 대한 논의는 Dankrad가 이전에 트위터에서 한 발언을 참조할 수 있습니다.)

Celestia가 이전에 제안한 BlobStream은 본질적으로 중앙화된 DAC를 Celestia로 대체하는 것입니다. 이더리움 L2의 정렬기는 DA 데이터를 Celestia 체인에 게시할 수 있으며, 2/3의 Celestia 노드가 서명하면 이더리움에 배포된 Layer 2 전용 계약은 정렬기가 DA 데이터를 정확히 게시했다고 간주합니다. 이는 Celestia 노드가 보증인 역할을 하도록 하는 것입니다. Celestia에는 수백 개의 Validator 노드가 있으므로, 우리는 이 대형 DAC가 비교적 탈중앙화되어 있다고 볼 수 있습니다.

Merlin이 채택한 DA 솔루션은 사실 Celestia의 BlobStream과 매우 유사하며, POS 형태로 DAC의 접근 권한을 개방하여 탈중앙화에 가까워지도록 합니다. 누구나 충분한 자산을 스테이킹하면 DAC 노드를 운영할 수 있습니다. Merlin의 문서에서는 위의 DAC 노드를 오라클이라고 부르며, BTC, MERL 및 BRC-20 토큰의 자산 스테이킹을 지원하여 유연한 스테이킹 메커니즘을 구현하고, Lido와 유사한 대리 스테이킹도 지원합니다. (오라클의 POS 스테이킹 프로토콜은 기본적으로 Merlin의 다음 핵심 서사 중 하나이며, 제공되는 스테이킹 이율 등이 매우 높습니다.)

여기서 Merlin의 작업 흐름을 간단히 설명하겠습니다(아래 이미지를 참조하십시오):

• 정렬기 Sequencer가 대량의 거래 요청을 수신한 후, 이를 집계하여 data batch(데이터 배치)를 생성하고 Prover 노드 및 오라클 노드(탈중앙화 DAC)에게 전달합니다.

• Merlin의 Prover 노드는 탈중앙화되어 있으며, lumoz의 Prover as a Service 서비스를 사용합니다. Prover 풀은 여러 data batch를 수신한 후, 해당하는 제로 지식 증명을 생성하고, 이후 ZKP는 오라클 노드에게 전달되어 검증됩니다.

• 오라클 노드는 Lmuoz의 ZK 풀에서 온 ZK Proof가 Sequencer에서 온 data Batch와 일치하는지 검증합니다. 두者之间可以对应上，且不包含其他错误，则通过验证。在此过程中，去中心化的 Oracle 节点们会通过门限签名来生成多签，对外声明------排序器完整的发出了 DA 数据，且对应的 ZKP 是有效的，通过了 Oracle 节点的验证。

• 정렬기는 오라클 노드에서 다중 서명 결과를 수집하고, 서명 수가 임계값 요구 사항을 충족하면, 이러한 서명 정보를 비트코인 체인에 전송하고 DA 데이터(data batch)의 datahash를 첨부하여 외부에서 읽고 확인할 수 있도록 합니다.

오라클 노드는 ZK Proof의 검증 과정에서 특별한 처리를 하여 Commitment 약속을 생성하고, 이를 비트코인 체인에 전송하여 누구나 "약속"에 도전할 수 있도록 합니다. 이 과정은 bitVM의 사기 증명 프로토콜과 기본적으로 일치합니다. 도전이 성공하면, Commitment를 게시한 오라클 노드는 경제적 처벌을 받게 됩니다. 물론, 오라클이 비트코인 체인에 게시해야 하는 데이터에는 현재 Layer 2 상태의 해시인 StateRoot와 ZKP 자체도 포함되어야 하며, 이를 비트코인 체인에 게시하여 외부에서 검증할 수 있도록 해야 합니다.

여기에는 몇 가지 설명해야 할 세부 사항이 있습니다. 먼저 Merlin 로드맵에서 언급한 바와 같이, 미래에는 오라클이 DA 데이터를 Celestia에 백업하도록 할 예정입니다. 이렇게 되면 오라클 노드는 적절하게 로컬의 역사 데이터를 삭제할 수 있으며, 데이터를 로컬에 영구적으로 저장할 필요가 없습니다. 또한, 오라클 네트워크에서 생성된 Commitment는 사실상 Merkle Tree의 root이며, 외부에 root만 공개하는 것으로는 충분하지 않으며, Commitment에 해당하는 전체 데이터 세트를 모두 공개해야 하므로, Celestia 또는 EigenDA와 같은 제3의 DA 플랫폼을 찾아야 합니다.

안전 모델 분석: 낙관적인 ZKRollup+Cobo의 MPC 서비스

위에서 우리는 Merlin의 작업 흐름을 간단히 설명했으며, 여러분이 그 기본 구조를 이해했을 것이라고 믿습니다. 우리는 Merlin이 B^Square, BitLayer, Citrea와 기본적으로 동일한 안전 모델인 낙관적인 ZK-Rollup을 따르고 있음을 쉽게 알 수 있습니다.

이 용어를 처음 접하는 이더리움 애호가들은 "낙관적인 ZK-Rollup"이란 무엇인지 이상하게 느낄 수 있습니다. 이더리움 커뮤니티의 인식에서 ZK Rollup의 "이론 모델"은 암호학적 계산의 신뢰성에 완전히 기반하고 있으며, 신뢰 가정을 도입할 필요가 없습니다. 그러나 낙관적이라는 용어는 신뢰 가정을 도입하며, 이는 사람들이 대다수의 경우 Rollup이 오류를 발생시키지 않고 신뢰할 수 있다고 낙관적으로 생각해야 함을 의미합니다. 오류가 발생하면 사기 증명의 방식으로 Rollup 운영자를 처벌할 수 있습니다. 이것이 바로 낙관적 Rollup, 즉 Optimistic Rollup의 명칭 유래입니다.

Rollup의 본거지인 이더리움 생태계에 비추어 볼 때, 낙관적인 ZK-Rollup은 다소 어색할 수 있지만, 이는 비트코인 Layer 2의 현 상황에 정확히 부합합니다. 기술적 제한으로 인해 비트코인 체인에서는 ZK Proof를 완전하게 검증할 수 없으며, 특정 상황에서만 ZKP의 특정 계산 과정을 검증할 수 있습니다. 이러한 전제 하에 비트코인 체인에서는 실제로 사기 증명 프로토콜만 지원할 수 있으며, 사람들은 ZKP가 체인 외 검증 과정에서 특정 계산 단계에 오류가 있음을 지적하고 사기 증명의 방식으로 도전할 수 있습니다. 물론 이는 이더리움식 ZK Rollup에 비할 바는 아니지만, 현재 비트코인 Layer 2가 도달할 수 있는 가장 신뢰할 수 있고 안정적인 안전 모델입니다.

위의 낙관적인 ZK-Rollup 솔루션 하에, Layer 2 네트워크에 N명의 도전 권한이 있는 사람이 존재한다고 가정할 때, 이 N명의 도전자가 중 한 명만 정직하고 신뢰할 수 있다면, 언제든지 오류를 감지하고 사기 증명을 제기할 수 있으며, Layer 2의 상태 전환은 안전합니다. 물론, 완성도가 높은 낙관적 Rollup은 인출 브리지가 사기 증명 프로토콜의 보호를 받도록 해야 하며, 현재 거의 모든 비트코인 Layer 2는 이 전제를 실현할 수 없으며, 다중 서명/MPC에 의존해야 하므로, 다중 서명/MPC 솔루션을 선택하는 것이 Layer 2의 안전성과 밀접한 관련이 있는 문제가 됩니다.

Merlin은 브리징 솔루션에서 Cobo의 MPC 서비스를 선택하여, 핫/콜드 지갑 분리 등의 조치를 취하고, 브리징 자산은 Cobo와 Merlin Chain이 공동으로 관리하며, 모든 인출 행동은 Cobo와 Merlin Chain의 MPC 참여자가 공동으로 처리해야 하며, 본질적으로 기관의 신용 보증을 통해 인출 브리지의 신뢰성을 보장합니다. 물론, 이는 현재 단계의 임시방편일 뿐이며, 프로젝트가 점차 완성됨에 따라 인출 브리지는 BitVM과 사기 증명 프로토콜을 도입하여 1/N 신뢰 가정의 "낙관적 브리지"로 대체할 수 있지만, 이렇게 하는 것은 실행 난이도가 상당히 높습니다(현재 거의 모든 Layer 2 공식 브리지는 다중 서명에 의존하고 있습니다).

전반적으로 우리는 Merlin이 POS 기반 DAC, BitVM 기반의 낙관적 ZK-Rollup, Cobo 기반의 MPC 자산 관리 솔루션을 도입하여 DA 문제를 해결하고, BitVM 및 사기 증명 프로토콜을 도입하여 상태 전환의 안전성을 보장하며, 유명 자산 관리 플랫폼 Cobo의 MPC 서비스를 도입하여 인출 브리지의 신뢰성을 보장하고 있음을 정리할 수 있습니다.

Lumoz 기반의 2단계 검증식 ZKP 제출 솔루션

앞서 우리는 Merlin의 안전 모델을 정리하고 낙관적 ZK-rollup의 개념을 소개했습니다. Merlin의 기술 로드맵에서는 탈중앙화 Prover에 대해서도 언급했습니다. 잘 알려진 바와 같이, Prover는 ZK-Rollup 아키텍처의 핵심 역할 중 하나로, Sequencer가 게시한 배치에 대해 ZKProof를 생성하는 역할을 하며, 제로 지식 증명의 생성 과정은 매우 많은 하드웨어 자원을 소모하는 매우 까다로운 문제입니다.

ZK 증명의 생성을 가속화하기 위해 작업을 병렬화하여 처리하는 것은 가장 기본적인 작업입니다. 병렬화란 ZK 증명의 생성 작업을 서로 다른 부분으로 나누어 서로 다른 Prover가 각각 완료한 후, Aggregator가 여러 개의 Proof를 하나로 집계하는 것을 의미합니다.

ZK 증명의 생성 과정을 가속화하기 위해, Merlin은 Lumoz의 Prover as a service 솔루션을 채택할 것입니다. 이는 많은 하드웨어 장비를 모아 광산 풀을 구성하고, 계산 작업을 서로 다른 장비에 할당하며, 해당 장비에 적절한 인센티브를 분배하는 방식으로, POW 채굴과 유사합니다.

이러한 탈중앙화된 Prover 솔루션에서는 일종의 공격 시나리오가 존재하는데, 이를 소위 "선점 공격"이라고 합니다. 가정해 보겠습니다, 어떤 Aggregator가 ZKP를 구성한 후, 이를 발송하여 보상을 얻으려 합니다. 다른 Aggregator가 ZKP의 내용을 보고, 그보다 먼저 동일한 내용을 게시하여 이 ZKP가 자신이 먼저 생성한 것이라고 주장하는 경우, 이 상황을 어떻게 해결해야 할까요?

아마도 여러분이 가장 직관적으로 떠올릴 수 있는 해결책은 각 Aggregator에게 특정 작업 번호를 할당하는 것입니다. 예를 들어, 작업 1은 Aggregator A만 수행할 수 있으며, 다른 사람이 작업 1을 완료하더라도 보상을 받을 수 없도록 하는 것입니다. 그러나 이 방법은 단일 지점의 위험을 방지할 수 없습니다. 만약 Aggregator A가 성능 문제나 연결 끊김이 발생하면, 작업 1은 계속해서 완료되지 못하게 됩니다. 또한, 이러한 방식으로 작업을 단일 실체에 할당하는 것은 경쟁적인 인센티브 메커니즘을 통해 생산성을 높일 수 없으므로, 좋은 방법이 아닙니다.

Polygon zkEVM은 블로그에서 "효율성의 증명"이라는 방법을 제안했습니다. 여기서 제안한 것은 경쟁적인 수단을 통해 서로 다른 Aggregator 간의 경쟁을 촉진하여 선착순으로 인센티브를 분배하는 것입니다. 가장 먼저 ZK-Proof를 체인에 제출한 Aggregator가 보상을 받을 수 있습니다. 물론, 그는 MEV 선점 문제를 해결하는 방법에 대해서는 언급하지 않았습니다.

Lumoz는 2단계 검증 방식의 ZK 증명 제출 방식을 채택하여, 어떤 Aggregator가 ZK 증명을 생성한 후, 전체 내용을 발송하지 않고 ZKP의 해시만 게시합니다. 즉, hash(ZKP+Aggregator Address)를 게시합니다. 이렇게 되면 다른 사람이 해시 값을 보더라도 해당 ZKP 내용을 알 수 없으므로 직접적으로 선점할 수 없습니다.

만약 누군가가 해시를 복사하여 먼저 게시하더라도 의미가 없습니다. 왜냐하면 해시에는 특정 Aggregator X의 주소가 포함되어 있기 때문입니다. Aggregator A가 이 해시를 먼저 게시하더라도, 해시의 원본이 공개될 때, 모두가 그 안에 포함된 Aggregator 주소가 X임을 보게 될 것이며, A가 아니라는 것을 알게 됩니다.

이러한 2단계 검증식 ZKP 제출 솔루션을 통해, Merlin(Lumoz)은 ZKP 제출 과정에서 발생하는 선점 문제를 해결하고, 경쟁적인 제로 지식 증명 생성 인센티브를 실현하여 ZKP의 생성 속도를 높일 수 있습니다.

Merlin의 팬텀: 다중 체인 상호 운용성

Merlin의 기술 로드맵에 따르면, 그들은 Merlin과 다른 EVM 체인 간의 상호 운용성을 지원할 것입니다. 그 구현 경로는 이전의 Zetachain의 생각과 기본적으로 일치합니다. Merlin을 출발 체인으로 하고, 다른 EVM 체인을 목표 체인으로 설정할 경우, Merlin 노드는 사용자가 발송한 크로스 체인 상호 운용 요청을 감지하면, 목표 체인에서 후속 작업 흐름을 트리거합니다.

예를 들어, Polygon에 Merlin 네트워크가 제어하는 EOA 계정을 배포할 수 있습니다. 사용자가 Merlin Chain에서 크로스 체인 상호 운용 지시를 게시하면, Merlin 네트워크는 먼저 그 내용을 분석하고, 목표 체인에서 실행할 거래 데이터를 생성한 다음, 오라클 네트워크가 해당 거래에 대해 MPC 서명 처리를 수행하여 거래의 디지털 서명을 생성합니다. 이후 Merlin의 Relayer 노드는 Polygon에서 이 거래를 방출합니다. 이를 통해 Merlin의 목표 체인 EOA 계정의 자산으로 후속 작업을 수행할 수 있습니다.

사용자가 요청한 작업이 완료되면, 해당 자산은 직접적으로 사용자의 목표 체인 주소로 전송되며, 이론적으로 Merlin Chain으로 직접 크로스할 수도 있습니다. 이 솔루션은 몇 가지 뚜렷한 이점을 가지고 있습니다: 전통적인 자산 크로스 체인 시 발생하는 크로스 체인 브리지 계약의 수수료 손실을 피할 수 있으며, Merlin의 오라클 네트워크가 크로스 체인 작업의 안전성을 보장하므로 외부 인프라에 의존할 필요가 없습니다. 사용자가 Merlin Chain을 신뢰하기만 하면, 이러한 크로스 체인 상호 운용 행동이 문제가 없다고 기본적으로 간주할 수 있습니다.

요약

이 글에서는 Merlin Chain의 대략적인 기술 솔루션을 간략하게 해석하였으며, 더 많은 사람들이 Merlin의 대략적인 작업 흐름을 이해하고, 그 안전 모델에 대해 더 명확한 인식을 갖도록 할 수 있기를 바랍니다. 현재 비트코인 생태계가 활발히 진행되고 있는 점을 고려할 때, 이러한 기술 보급 활동은 가치가 있으며 대중이 필요로 하는 것이라고 생각합니다. 우리는 앞으로 Merlin 및 bitLayer, B^Square와 같은 프로젝트를 장기적으로 추적하여 그 기술 솔루션에 대해 더 깊이 있는 분석을 진행할 예정입니다. 여러분의 많은 기대 바랍니다!