闪电网络深入解读:支付通道
在上一篇文章里,我们详细解释了支付通道的运作,以及多种保证支付安全发生的方法。不过,这些功能,还不足以支撑一个可用的支付通道网络:即使我们很确定在每个通道内每个参与者都是诚实守信的,也没法保证通过多个通道来支付同样是安全的。这就是我们需要“HTLC”这种智能合约的原因。在本文中,我们会讲解HTLC工作的方式,并使用一个例子来展示多跳支付是如何在闪电网络中实现的。
哈希时间锁合约
HTLC的结构并不复杂,但非常高效。它使我们可以创建具有明确“过期时间”的支付。你可能也猜得到,HTLC合约由两部分组成:哈希验证和过期验证。
我们先从哈希值开始。要创建一笔带有HTLC的支付事务,你先要生成一个?秘密数值?R,然后计算出其哈希值。任何词语、任何数字都可以充当这个秘密值,因为,对哈希函数来说,它们都是一堆数据的组合,没有什么分别。
H?=?Hash(R)
这个哈希值H会放在事务输出的锁定脚本中。如此,只有知道H所对应的秘密值的人才能使用这个输出。而R就是所谓的“原像”。
HTLC的第二部分是过期时间的验证。如果秘密值没有及时地公开,这笔支付就用不了了,发送者会收回所有的资金。
我们来考虑一个发给某人的HLTC支付事务:
#?检查所提供的?R?是否为?H?的原像HASH160?<H>?EQUALIF????#?检查公开?R?的人是否为事务最初的接收者????<Payee?Public?key>?CHECKSIGELSE????#?检查时间锁是否已终止????<locktime>?CHECKLOCKTIMEVERIFY????#?检查请求返回资金的是不是事务最初的发送者????<Payer?Public?Key>?CHECKSIGENDIF
在正确的R公开之后,我们进入IF流程,进一步验证提供R的是不是这笔支付事务一开始的支付对象。在花费这个输出时,接收方只需提供一个非常简单的解锁脚本:
Cash App增加通过闪电网络发送和接收比特币的支持:10月25日消息,Watcher.Guru发推称,Block旗下支付平台Cash App增加通过闪电网络发送和接收比特币的支持。[2022/10/25 16:38:19]
<sig>?<secret?R>
如果解锁脚本所提供的R是错的,我们跳转入ELSE流程,首先验证时间锁解锁了没有。如果时间锁已然解锁,发送者就可以收回所有的资金。收回资金这个操作的解锁脚本也差不多,唯一的区别在于,为了进入ELSE流程,需要提供一个错误的秘密值:
<sig>?<wrong?secret>
当然,这只是HTLC的一个非常基础的实现,代表着一个普通的时间锁支付。你可以在脚本中加入任意多的其它条件,比如说,在IF流程中移除公钥验证,这样只要知道秘密值R的人都可以使用这个输出;也可以在其中加入多签名限制,要求提供多个预设私钥的签名才能解锁。
多说一句,在这个案例中,我们使用的操作码是?CHECKLOCKTIMEVERIFY,这个操作码使用绝对数值来定义时间锁,意思就像:“这个输出在区块#546212之前是无法动用的”。而在闪电网络中,还用上了另一种时间锁,更“灵活”的一种:CHECKSEQUENCEVERIFY,它用到的是相对数值,意思近于:“这个输出,在使用它的事务上链之后的1000个区块内,是无法使用的”。
闪电网络案例
现在,我们终于讲解完所有元素了,可以尝试理解闪电网络运作的全景了。
我们假设现在闪电网络有5个参与者:Alice、Bob、Carol、Diana和Eric,他们各自有一个支付通道相连,而每个通道的每一边都有2btc的余额可用。现在,我们尝试让Alice通过通道链条给Eric支付。
越南票务代理公司接受基于闪电网络的BTC支付:越南在线票务代理公司Future.Travel现在通过闪电网络接受比特币(BTC)支付,在出售时资金会转换为当地货币。为了实现基于闪电网络的比特币支付,Future.Travel与加拿大科技公司Neutronpay合作,该公司将为Future.Travel提供其多币种商户平台。(Cointelegraph)[2020/4/20]
一系列相连的双向支付通道,组成了闪电网络,可以转介Alice对Eric的支付?
假设Alice现在要给Eric支付1btc。但是,如我们所见,他们并无直接的通道相连,而开设通道需要时间和金钱。幸运的是,Alice连接着闪电网络,可以在一系列HTLC合约的帮助下完成间接支付。我们一步一步拆开来看。
逐步分解闪电网络中的支付路由?
Eric生成了一个秘密值R,并把其哈希值发给了Alice
Alice使用这条哈希值创建了一个HTLC,而时间锁设置成未来10个区块,输出的数额是1.003btc。这额外的0.003btc是给支付通道链条中间方的手续费。那么,Alice现在用HTLC锁住了1.003btc,而HTCL的具体条件以大白话表述如下:“Alice会给Bob支付1.003btc,只要他能在10个区块内交出秘密值R,否则这些钱会返回给Alice”。他们之间的通道的余额也会因为这笔承诺事务而发生这般变化,现在Bob在通道内拥有2btc,Alice有0.997btc,还有1.003btc锁在HTLC里面
到了Bob这里,他可以随意处置Alice的承诺事务。他在自己跟Carol的通道中创建了一个HTLC输出,数额是1.002,时间锁设定为9个区块,使用了跟Alice所提供的同样的哈希值。Bob知道Carol如果想获得这笔钱,就不得不找出秘密数值R来解锁这个HTLC,而一旦她这么做了,他就会知道这个R,因此也能解锁Alice的HTLC,拿到1.003btc。如果Carol没法找到这个秘密值R,Bob和Alice都能在时间锁解锁后拿回自己的钱。注意,Bob发送的资金数额比自己能够得到的数额小0.001btc,这就是他收取的手续费数额。Bob和Carol在通道内的余额变成:Carol拥有2btc,Bob拥有0.998btc,还有1.002btc锁在HTLC中
声音 | 希伯来大学教授:不到 0.5BTC 就可锁定闪电网络的大部分流动性:希伯来大学教授 Aviv Zohar 和 Aviv Zohar 联合发表论文《支付通道网络中的拥塞攻击》,这篇论文讨论了在构建去信任的多跳支付时,支付通道网络中出现的一个基本漏洞。这篇文章提出了两种攻击方式:第一种是长时间锁定尽可能多的高流动性通道,第二种是试图将单个节点与网络隔离,并对闪电网络承受这些攻击进行了评估。通过检查闪电网络的三个主要实现对网络的属性和不同参数的设置,这篇文章证明了闪电网络最近默认参数的更改会让攻击更易于发生。结果表明,通过使用不到 0.5 个比特币就可以锁定大部分闪电网络的流动性,这可能破坏闪电网络。[2020/2/18]
Carol获得Bob发出的承诺事务之后,也如法炮制,在与Diana的通道中创建一个HTLC,使用的哈希值与Bob提供的无二,时间锁设置为8个区块,数额为1.001btc。如果Diana能在8个区块以内揭示这个秘密数值R,就能解锁这个HTLC,获得1.001btc,相应地,Carol也会知道这个秘密数值,解锁Bob给她的HTLC,获得1.002btc,赚得0.001btc。Carol和Diana通道内的余额变成:Diana拥有2btc、Carol拥有0.999btc,还有1.001btc锁在HTLC里面
最终,当Diana将一个HTLC通过通道发送给Eric时,她把数值设为1btc,时间锁设为7个区块。Diana和Eric的通道内余额变成:Eric拥有2btc、Diana拥有1btc,还有1btc锁在HTLC里面
现在,我们来到了这个连锁支付的终点。Eric拥有这个秘密值R,这个R的哈希值用在了所有的HTLC承诺事务中。Eric可以解锁Diana发给他的HTLC,获得1btc;而Eric取回资金之后,Diana也会知道这个R。Diana与Eric的通道内余额会变成:Eric拥有3btc,Diana拥有1btc。
Diana收到这个秘密之后,也拿来解锁Carol发给她的HTLC,获得1.001btc的同时也向Carol公开了秘密值。他们通道内的余额变成了:Diana拥有3.001btc,Carol拥有0.999btc。
动态 | 闪电网络节点数量达11145个:据1ML.com数据显示,闪电网络节点数量呈持续上升趋势。目前,支撑网络的节点数量达到11145个,在过去的30天中上涨了2.40%,而通道数量为35929,在过去的30天中增长了2.0%。闪电网络承载能力目前为885.21BTC,约合748.31万美元[2020/1/25]
Carol收到秘密值R之后,解锁了Bob发过来的1.001btc,因此Bob也知道了这个秘密值。他们通道内的余额变成了:Carol拥有3.002btc和Bob拥有0.998btc
最后,Bob使用秘密值R获得了和Alice通道中的1.003btc。于是通道内的余额变成了:Bob拥有3.003btc,Alice拥有0.997。
这样一个流程下来,Alice就给Eric支付了1btc,无需在彼此间另开一个直接相连的通道。整个支付链条中,也没有人需要信任另一个人,而且他们还因为中介服务赚到了0.001btc。即使支付在某个环节卡住了,也没有人会遭受损失,因为资金还锁在那里,时间过了就可以取回。
清除故障
在我们这个例子中,整个流程都是很平滑、没有阻碍的,但在现实生活就像所谓的“墨菲定律”:如果某种坏事可能发生,那这种坏事就一定会发生。于是我们要考虑闪电网络的“保护”机制。
从实践来看,支付链条越长,最终无法交付资金的概率就越大:某些参与者可能会关闭通道,或者某些节点会掉线。我们来考虑两种可能的出错情形。
通道故障
先考虑一种情形:我们假设资金已经达到了目的地,但在秘密数值一路返回到支付起点的过程中,某个参与者拒绝合作或者无法配合。假设是Bob。
声音 | BM:EOS在支持BTC上会做的比闪电网络更好:据WhaleEx消息,4月17日午间,BM在EOS电报群回答社区问题,以下是其对话整理: 1. 我们已在过去几个月发布很多新代码库等,接下来会发布更多产品。 2. 我们已在二进制传输上取得重大进步。 3. 并行处理(执行)指的是一个区块包含更多的交易/事物,并行处理还在我们的线路图上。 4. EOSIO有光明的未来,过去一年我们是在稳定1.0的基础,第二年我们会有更多明显的性能提升。 5. 社区问 EOS在支持BTC上会做的比闪电网络更好,BM回答是肯定的。[2019/4/17]
因为一个通道关闭,资金无法交付?
当Diana收到了秘密值时,就立即取回了资金,并把秘密值暴露给了Carol。Carol也想从Bob发出的HTLC里面拿回资金,但Bob没有响应,为了避免风险,她关闭了通道,将自己手上的最后一笔承诺事务广播到了比特币网络中,而且,因为她知道秘密值,所以能取回资金。此时,Bob还有三天时间可以从Alice处拿回自己的钱。否则,等时间锁一解锁,Alice就可以收回资金。
可以看出,即使某个参与者因为某种原因离开了网络,TA自己是唯一一个可能损失资金的人,而其他人的资金都是安全的。
重新路由
在第二种情形中,我们假设资金无法到达目的地,也是因为某个参与者出了错。假设是Carol。
第一种也是最明显的解决方法是,等待HTLC的时间锁过期,然后各参议者各自拿回自己的资金。
支付路径中的某个节点没有响应?
但如果Alice就是着急支付,该怎么办呢?当然,Alice可以通过另一条路径发起新的支付,不需要死等资金返回,但要是Carol突然之间又回来了,跟Bob把链条续上了呢?那Alice不就发送了两倍资金了吗?
Alice如果使用另一条路径?
这是否意味着,但凡出现了支付失败的情形,都应该乖乖等时间锁超时,然后再发起新的一笔支付呢?
好在,要避免这种等待,我们可以“取消”这一次的支付。Diana要发送等量的一笔资金给Alice,也使用跟原来一样的哈希值,也可以使用另一条路径。现在,如果Carol重新上线并参与中介,那么资金会走完一个环路,这就意味着那笔原来失败的支付被抵消了,Alice可以安全地使用另一个路径来支付了。
Alice“取消”了旧的支付,新的支付现在可以安全地发送了?
支付数额
你可以也注意到了,当Alice“取消”其第一笔支付时,现在的确是可以安全地发起新的一次支付了,但这并没有改变一个事实:她的第一笔支付的资金现在仍然是锁定的,而她可能没有足够的钱来发起第二次支付了。这就是为什么在使用闪电网络时,用HTLC来支付时资金额度应该更小。因为承诺事务不会上链,数额可以分割成多个很小的额度。这样,无论什么时候一个路径不通了,都只有一小部分资金会被冻结。
传输协议
闪电网络的另一个非常重要的特点是:有关这个路径的所有信息都是完全匿名的。也就意味着对于任何一个参与者来说,TA都只知道跟自己有关的这部分,比如,对于Carol来说,这笔支付就像是Bob在给Diana转账,她不知道Bob会从Alice处收到资金,也不知道Diana会继续转账给Eric。
闪电网络使用Sphinx多重加密协议。在使用闪电网络时,Alice会为网络的每一部分都做一层加密,从支付路径的末端开始。她使用Eric的公钥为Eric加密了消息。这条加密消息会被嵌套在给Diana的消息里,并用Diana的公钥对整个消息再做一次加密。再然后,这条给Diana的消息又会嵌套在给Carol的消息里,也用Carol的公钥对整个消息再做一次加密。如此不断重复,得出可以交给下一个人的消息。这样一来,Bob只能解密消息的最外一层,得到本意发给他的内容;然后把消息转给Carol;Carol也是如此。每经过一个人,都只会公开绝对必要的消息:支付的数额、佣金的数额、时间锁的内容,等等。
为了让人不能从消息的长度中推测链条的长度,消息的长度都是一样的,总是像有20个人参与这个链条一样。每个人,包括最后一个,得到的都是同样大小的图像,都以为除了自己以外还有20个伙伴。
闪电网络的好处和应用场景
当然,闪电网络的好处并不像很多人以为的那样,只有可扩展性一项。我们想想闪电网络到底带来了哪些可能。
即时交易。使用闪电网络时,事务几乎是即时完成的。所以用比特币来买咖啡就变得可行了
交易所套利。当前,从一个交易所转出资金并转入另一个交易所是很不方便的,需要等待3至6个区块来确认交易。如果交易所能使用闪电网络,那用户就能即时转入资金、参与套利。交易所也不再需要冷钱包来存储资金,极大地降低了盗窃风险。
小额支付。比特币区块链的手续费对小额支付来说太高了。很难想象谁会愿意支付0.001btc就为了转账同等数量乃至更少的金额。有了闪电网络,你就可以即时转移任意大小的金额,举个例子,你可以按MB来支付网费。
金融智能合约和交易。金融合约对时延是极度敏感的,而且通常需要许多计算。把大多数负担移到了区块链外,我们就有机会能创建非常复杂的事务以及合约,而无需把这些都记录到区块链上。
跨链支付。如果使用不同共识规则的区块链使用同一种哈希函数,就有可能使用闪电网络来跨链支付。参与者无需信任任何人,也无需使用中介。
隐私。在闪电网络中,事务比起在比特币区块链上要更加隐秘,因为支付链条的参与者并不知道交易的发起方和目的地。
结论
我们已经讲完了闪电网络。在下一篇文章中,我会告诉你如何使用HTLC来执行一次跨链的原子互换,用btc交换ltc。
链接
Lightningnetworkindepth,part1:Paymentchannels
“Masteringbitcoin”—AndreasM.Antonopoulos
Lightningnetworkwhitepaper
Segregatedwitnessfordummies
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。