BitVM3 的力量

我们支持区块链基础设施、隐私计算和零知识证明应用领域的创新。

BitVM3 的力量

降低 BTC 贷款中的交易对手风险

BitVM 出现了一些新的进展，称为 BitVM3。我们的一些投资组合公司，包括 Babylon、Fiamma 和 Nubit，一直在围绕 BitVM3 进行开发，同时他们为 BitVM2 做的实现也已准备好投入生产。

在本文中，我们将概述 BitVM3 的最新进展，以及投资组合公司在 BitVM2 上的现有成果。

对于感兴趣的读者，我们有一篇全面的 SoK 论文，总结了 BitVM3 的最新进展，并将持续更新：https://eprint.iacr.org/2025/1253

什么是 BitVM？

BitVM 是一种在比特币上构建交易的方法，这些交易以任何计算为条件。 以前，比特币只能以与多重签名、时间锁和哈希锁相关的非常具体的计算为条件。 这对于许多已投入生产的应用来说已经足够了，例如闪电网络和原子互换，它们只需要来自比特币脚本的非常基本的功能。

但是，由于多重签名、时间锁和哈希锁的限制，经过近十年时间，这些基本上就是我们使用比特币脚本的所有应用。 当涉及到 wrapped BTC、BTC 桥或 Ordinals/Runes 桥时，我们必须依赖多重签名，其中需要信任多个节点。 基于 DLC 合约的协议，例如 Lygos Finance，就是使用多重签名作为 预言机 的例子。

多重签名方案通常使用 N 个参与方，并且批准某个操作只需要 N 个参与方中的 T 个同意即可。 这并不理想，因为：

• 安全。 这些节点可能会被黑客入侵，黑客可能会窃取桥上的资产，或者能够铸造未经授权和脱锚的 wrapped BTC。 具体来说，黑客只需要入侵 N 个参与方中的 T 个。

• 活跃性。 至少需要 T 个参与方保持活跃，多重签名才能处理来自用户的请求。 如果超过 (N - T) 个参与方不再参与（例如，审查），则请求将无法进行。 这对于希望从桥上提取资产的用户来说是一种交易对手风险。

长期以来，基于多重签名的解决方案一直被认为容易受到黑客（如Lazarus Group）的攻击，他们越来越擅长和精通 社会工程学 攻击和内部人员攻击。 这就是人们开始寻找其他解决方案（如零知识证明）的原因。

零知识证明提供了两个显着的优势，一个用于安全，一个用于活跃性：

• 安全。 无论有多少节点被入侵，零知识证明的安全性都是数学上的，这意味着节点无法通过合理数量的计算资源伪造证明。 与多重签名相比，在安全性方面，你只需要信任 0 个节点。

• 活跃性： 可以设计使用零知识证明的协议，只需要 N 个参与方中的一个可用即可处理交易，而剩余的 (N - 1) 个参与方不合作。 可以将 N 设置为一个相对较大的数字，并容纳更多的节点作为备份。

BitVM 构建在零知识证明的基础上，并脱离了多重签名。 BitVM 的一些用例无法在不牺牲安全性的情况下被多重签名所取代，这实际上启用了一些重要的 Bitcoin-Fi 用例。

用例示例

可能 BitVM 最重要的用例，也是 Bitcoin-Fi 总体上最重要的用例是用 BTC 借贷稳定币。 这是 Babylon 基于 BitVM3 构建的无信任金库的一个特例。

在这个用例中，我们有 Alice 和 Bob。

• Alice 拥有 BTC，并希望借出一些稳定币，如 USDT。

• Bob 拥有稳定币，并愿意参与此协议以将稳定币借给其他用户。

例如，假设当前 BTC 的价格为每个 BTC 120,000 美元。 Alice 和 Bob 就一个 BTC 达成以下条款：

• Bob 以 6% 的年利率借给 Alice 70,000 美元。

• Alice 需要在一年内偿还 Bob。

• 当 BTC 价格跌破 75,000 美元时，Bob 可以清算 BTC。

• 清算时，Bob 需要向 Alice 支付 1 BTC 的市场价格与 70,000 美元加上累计利息之间的差额。

如果双方同意，可以延长贷款。 例如，如果我们推测 11 个月后，BTC 达到 360,000 美元的新高（这纯粹是推测，不是投资建议），Alice 和 Bob 可以共同更新 Babylon 金库。

• Bob 以相同的利率额外借给 Alice 200,000 美元。

• 或者，Alice 从 金库 中提取 0.67 BTC 给自己，仅留下 0.33 BTC 作为原始 70,000 美元贷款的抵押品。

贷款期限将延长，清算价格可以相应修改。

当 Alice 在比特币主网上存入 BTC，Bob 在以太坊主网（或其他具有稳定币的网络）上向 Alice 发送稳定币时，由 Alice 和 Bob 联合创建的无信任 金库 将被激活。 在以下两种情况中的一种情况下，无信任 金库 将被打开。

案例 1：还款。 如果 Alice 偿还 Bob 相应的稳定币，Alice 和 Bob 可以共同签署一笔交易，将 BTC 返还给 Alice（这是愉快的情况，不需要 BitVM）。 如果 Bob 不愿意共同签署这笔交易（不愉快的情况，需要 BitVM 进行救援），Alice 会通过 BitVM 发布一个证明，证明她已经在以太坊上偿还了稳定币（通过证明以太坊区块链上包含这样一笔交易），并且在挑战期后，无信任 金库 会将代币释放给 Alice。

案例 2：清算。 如果满足清算条件，这可能是 Alice 未能及时还款，或者 BTC 跌破了商定的价格（此处为 75,000 美元，根据累计利息进行调整），Alice 和 Bob 可以共同签署一笔交易，将 BTC 给 Bob（在 Bob 以稳定币向 Alice 支付了差额后）。 如果 Alice 不愿意共同签署这笔交易，Bob 会通过 BitVM 发布一个证明，证明清算条件已满足，并在以太坊上得到确认，并且 Bob 已经支付了价格和贷款的差额，然后 Bob 可以在挑战期后提取该 BTC。 请注意，当 Bob 在以太坊上确认清算条件时，清算将是不可逆转的。

除了这两种情况，无信任 金库 仍然有效并锁定相应的 BTC。

到目前为止，我们已经介绍了 Babylon 的无信任 BTC 金库，用于使用 BTC 借用稳定币。 我们对这个用例充满热情，因为我们预计它具有广阔的市场和强大的需求，我们相信 BitVM 消除了许多阻碍 BTC 鲸鱼（例如 Strategy！）使用这些服务的交易对手风险。

市场对用 BTC 借用稳定币的需求

我们相信市场对用 BTC 借用稳定币有强烈的需求，原因有几个，特别是，这可能是最重要的 Bitcoin-Fi 产品。

首先，与美元和其他法定货币相比，BTC 的价值可能会增长的原因有很多。 BTC 区块奖励减半在数学上限制了新 BTC 的供应，使得挖掘新 BTC 越来越困难，并且从历史上看，毫不奇怪，这与价格的上涨相关。 来自 RR2 Capital 的一篇文章调查了过去的减半事件，并得出结论：

• “价格上涨通常在减半事件发生后的六到十二个月开始”

• “通常在减半后 12 到 18 个月会看到显着的上涨”

我们可以从历史比特币价格中看到，尽管比特币不时波动，但减半似乎有助于某种周期，最终达到历史新高。

这种历史表现是也 BTC 被视为数字黄金的原因（德意志银行也同意！）。 事实上，从定性的角度来说，许多人认为 BTC 比黄金更好。 传输大量的 BTC 很容易。 证明 BTC 的所有权很容易。 验证 BTC 的真实性很容易。 很容易知道世界上有多少 BTC。 我们无需担心科学进步会将廉价材料转化为“BTC”，或者在地球上发现新的、巨大的“BTC”金矿，而将铅转化为黄金不仅在理论上是可行的，而且已经在大型强子对撞机 (LHC) 中进行了测试，如果一个神秘的金矿被揭露，黄金价格可能会下跌。 如果我们相信这一点，那么我们只需要争论为什么 BTC，而不是另一种加密货币（如 ETH 或 SOL）（它们可能也具有类似的特性），将成为数字黄金。

与所有其他加密货币相比，BTC 仍然是社区最强大、受欢迎程度最高、去中心化最受认可且机构采纳程度最高的加密货币。 尽管如此，我们确实需要承认，比特币网络在所有维度上并不优于其他网络——以太坊拥有更多的 DeFi 和 山寨币 活动（每日总交易费用高于比特币），并且以太坊和 Solana 都具有更好的可扩展性和更短的延迟，但 BTC 的价格似乎更多地归功于其先发优势以及 工作量证明 共识。

如果我们关注 2025 年，我们可以看到 BTC 金库 公司、ETF 或流动资金的激增，其中 Strategy 是最显着的例子。 从某种意义上说，这些公司从市场上筹集资金，并使用这些资金不断购买 BTC。 人们选择投资这些工具而不是 自我托管 的原因有很多，其中之一是 自我托管 意味着管理开销和风险。 此外，一些国家也在考虑购买比特币作为储备资产。 这表明有购买力。

其次，BTC 持有者需要借用稳定币，作为“出售”它们的替代方案。 许多 BTC 持有者不愿意出售 BTC——事实上，他们中的许多人可能后悔没有更早地购买更多的 BTC 或后悔出售 BTC，并且害怕错过（FOMO）可能在 BTC 持有者中很普遍。 另一个原因纯粹是出于税务原因。 在包括美国大部分地区在内的许多司法管辖区，出售 BTC 作为一项收益需要缴纳 资本利得税，但是，借贷款（以适当的方式）不被视为收入。 有一句名言说，富人通过“购买、借贷、死亡”来“逃避”税收，但需要注意的是，你现在需要支付利息。 这种利息是否证明出售的税收优惠是合理的，取决于 BTC 的价值是否增长以及你的 资本利得税 税率（通常是累进的）。

如果我们推测（这不是投资建议）BTC 永远不会跌破 75,000 美元，并且预计平均增长率将远高于 6%，那么上述 BTC 贷款协议对 Alice 和 Bob 都有利：

• Alice 应该能够在类似条件下每年与 Bob 续签、增加和延长贷款，在这种情况下，Alice 不断借钱来满足她的支出需求。 从法律上讲，Alice 需要偿还贷款（为了将其排除在个人收入之外），但实际上，随着 BTC 的增长，Alice 实际上不需要偿还这笔钱。

• Bob 以 6% 的利率积累利息收入。 目前，这似乎不是一个很大的数字，因为仍有 30 年期 国债 以 4.68% 的收益率出售，但请记住，在 2020 年中期，收益率一度低于 2%。 利率可以根据市场情况进行调整。 对于 Bob 来说，这不是一项高风险的投资，因为如果 BTC 的价值大幅下跌，Bob 可以清算 BTC，而无需在此过程中信任 Alice。 可以通过采用不同的清算条件来调整风险。

如果情况并非如此，将会发生还款或清算。 这类似于其他基于多重签名（如 DLC 合约）的 BTC 贷款，但 BitVM 的优势在于它可以消除大量的交易对手风险。

通过 BitVM 降低交易对手风险

要理解交易对手风险，我们需要理解为什么以前基于 托管 或多重签名的解决方案存在这些问题。

• 托管。 在 CEX 和一些借贷协议中，通常用户将 BTC 存入协议中。 Alice（以及可能还有 Bob）的交易对手风险在于 CEX 可能会被破解（想想 Bybit hack），协议也会被破解（例如，使用可升级的智能合约或发现漏洞）。

• 多重签名。 多重签名本质上与 托管 类似，只是具有更强的安全保证，即一个节点委员会需要进行多重签名才能批准交易。 多重签名的安全性不仅取决于委员会的设置和参数，还取决于每个节点的配置和运行方式。

请注意，将 BTC 转换为 WBTC（可以使用原子互换完成）并使用 WBTC 借用稳定币依赖于 WBTC 的安全性，即每个 WBTC 必须由一个 BTC 锚定，并且可以 取消锚定 回 BTC。 WBTC 协议基于多重签名，但已经可靠运行多年。

回到 BTC 贷款。 BTC 贷款本身发生在 Alice 和 Bob 双方之间。 但是，这两方之间的 托管 或多重签名都不能很好地工作。

• 托管。 如果 Alice 将 BTC 存入 Bob 处并收到 70,000 美元的贷款，Alice 将面临 Bob 可能拒绝将 BTC 还给 Alice 的交易对手风险，因为贷款金额 70,000 美元预计低于 BTC 的实际价格。 当 BTC 达到更高的价格时，这种情况尤其可能发生。

• 多重签名。 当只有两方（Alice 和 Bob）时，多重签名实际上效果不佳，因为它需要他们共同签署相关的交易。 但是，如果一方不合作，另一方也无能为力。 例如，Alice 可以无条件地阻止 Bob 进行清算（对 Bob 不利），而 Bob 可以无条件地阻止 Alice 进行还款（对 Alice 不利）。

然而，BitVM 可以非常优雅地解决这个问题。

• 还款。 比特币 金库 是一个 BitVM 实例，如果 Alice 提交一个 ZK 证明，表明已在以太坊区块链上进行了还款，并且应认为 BTC 贷款已偿还，并且该证明没有在提款期内受到质疑，那么 Alice 可以通过该实例认领 BTC。 我们可以将此称为条件 #1 ZK 证明，它仅适用于 Alice。

• 清算。 另外，如果 Bob 提交一个 ZK 证明，表明应清算 BTC 贷款，并且 Bob 已向 Alice 支付了 BTC 市场价格与贷款金额之间的差额的公允金额，那么比特币 金库 还允许 Bob 认领 BTC。

请注意，如果 Alice 和 Bob 都在线并合作，他们不必运行 BitVM，但他们可以共同签署还款交易或清算交易。 当对方离线或不合作时，BitVM 可以被视为仲裁和结算方法。

从 BitVM2 到 BitVM3

我们已经讨论了 BitVM 如何使 Alice 和 Bob 之间的 BTC 贷款不需要第三方并避免交易对手风险。 为了使 BitVM 用于生产，我们需要研究其性能指标，特别是：

• 链**上成本**，即交易费用

• 结算延迟，这会影响挑战期需要多长时间

以前的 BitVM 方案是 BitVM2，它也可以类似地用于 BTC 贷款，但其性能指标可能使其不适合大多数用户。 来自 Babylon 的 David Tse 展示了他们的团队在比特币主网上进行 BitVM2 的完整工作流程的实验结果。

• 当 Alice 和 Bob 之间发生 挑战者 时，总费用为 15,742.55 美元，或 14,931,277 sats（如果 Alice 和 Bob 合作，则此费用可能会消失，在这种情况下，他们不需要使用 BitVM）。

• 链上结算需要 7 小时 36 分钟，跨越 42 个区块。

高额费用和 结算延迟 与 BitVM2 中的许多交易都是“ 非标准”交易有关，因为它们太大了。 这些交易可能仍然出现在链上，但大多数 矿工 不会将它们包含在他们自己的区块中。 因此，Babylon 必须与愿意包含这些交易的 矿工 合作。 目前唯一可行的公共服务是来自 Marathon Digital（现在的 MARA）的 Slipstream，它会尝试将这些交易包含在 MARA 挖掘的下一个区块中，但它会收取更高的费用（通常是 3 倍），因为此类交易会带来区块构建的开销。

这种高额费用是不受欢迎的，因为它几乎是 0.1 BTC，并且只有当 金库 中的 BTC 金额巨大时，这种费用才是合理的。 这在一定程度上解释了为什么之前 BitVM2 一直专注于“ BitVM 桥”，用于创建 无需信任 的 wrapped BTC。 Blockspace Media 发表了一篇文章 “为什么你应该再次关注 BitVM”，总结了 BitVM 的历史以及这些早期用例和重点。

BitVM3 改变了 BitVM 的重点，因为性能指标现在非常不同：

• 对于当前的比特币主网费用率，总费用可以低于 50 美元。

• 链上结算可以在下一个区块中完成，因为交易是标准的并且非常小。

这都归功于 BitVM3 链上 占用空间 小。 这些性能指标使得即使是少于 0.1 BTC（在撰写本文时约为 11,500 美元）的普通用户也可以实际借到贷款，并且易于结算，从而无需访问某些 矿工。

在降低 BitVM3 的 链**下成本 方面取得了重大进展，主要来自 Alpen Labs 的名为 Glock 的工作，该工作表明，对于纯粹发生在两方之间的 BTC 贷款用例，可以使用一种名为 指定验证者** SNARK (DV-SNARK) 的东西，这是一种可以在 BitVM3 中轻松验证的零知识证明。

接下来是什么

我们一直在研究 BitVM3。 BitVM3 在开源开发方面取得了丰硕的成果，例如，Chainway Labs 一直在致力于将 BitVM3 直接与 RISC Zero（一家构建 Boundless 的投资组合公司）集成。

接下来要做的是用零知识证明编写 BTC 贷款和许多其他用例的逻辑——这涉及到比特币和以太坊上的 轻客户端。 在 RISC Zero 和 Succinct 中已经集成了以太坊 轻客户端，StarkWare（L2IV 的 LP）最近构建了比特币 轻客户端，可以 发布 头部**证明**。 这将是完成 BitVM 并将 BTC 贷款投入生产的最后一步。

我们将继续分享更多与 BitVM3 进展相关的更新。

• 原文链接： l2ivresearch.substack.co...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～