Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
Bitcoin Scriptで作るSmart Contract
shigeyuki azuchi
August 18, 2018
Technology
2
530
Bitcoin Scriptで作るSmart Contract
shigeyuki azuchi
August 18, 2018
Tweet
Share
More Decks by shigeyuki azuchi
See All by shigeyuki azuchi
Merkle Sum Sparse Merkle Tree
azuchi
0
4
Schnorr署名のハーフアグリゲーション
azuchi
0
8
BLS署名の集約
azuchi
0
25
BLS署名
azuchi
0
35
Zero-conf Channel(Turbo Channel)
azuchi
0
23
OP_CTV(BIP-119)
azuchi
0
18
CoinPool
azuchi
0
24
LNで受信者の匿名性を提供するRoute Blinding
azuchi
0
27
Peer Swap
azuchi
0
24
Other Decks in Technology
See All in Technology
オンプレk8sとEKSの並行運用の実際
ch1aki
0
280
OpenShiftのリリースノートを整理してみた
loftkun
2
380
NGINXENG JP#2 - 4-NGINX-エンジニアリング勉強会
hiropo20
0
120
NGINXENG JP#2 - 2-NGINXの動作の詳細
hiropo20
1
140
OPENLOGI Company Profile
hr01
0
12k
FlexScan HD2452Wの 後継を探して
tring
0
6.3k
組織に対してSREを適用するとどうなるか
kuniim
7
2.7k
AWS Cloud Forensics & Incident Response
e11i0t_4lders0n
0
340
Multi-Cloud Gatewayでデータを統治せよ!/ Data Federation with MCG
tutsunom
1
280
メドレー エンジニア採用資料/ Medley Engineer Guide
medley
3
5.1k
目指せCoverage100%! AutoScale環境におけるSavings Plans購入戦略 / JAWS-UG_SRE_Coverage
taishin
0
500
Raspberry Pi Camera 3 介紹
piepie_tw
PRO
0
150
Featured
See All Featured
Build your cross-platform service in a week with App Engine
jlugia
221
17k
A designer walks into a library…
pauljervisheath
199
16k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
196
9.8k
WebSockets: Embracing the real-time Web
robhawkes
58
6k
In The Pink: A Labor of Love
frogandcode
132
21k
How STYLIGHT went responsive
nonsquared
89
4.2k
Code Reviewing Like a Champion
maltzj
508
38k
Infographics Made Easy
chrislema
235
17k
Embracing the Ebb and Flow
colly
75
3.6k
Producing Creativity
orderedlist
PRO
335
38k
The Invisible Customer
myddelton
113
12k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
236
1.1M
Transcript
Copyright ©2018 chaintope, Inc. all rights reserved. Bitcoin Hackathon for
Mobile Developers Bitcoin Script で作るSmart Contract 2018/08/18 株式会社 chaintope 安土 茂亨
Copyright ©2018 chaintope, Inc. all rights reserved. 自己紹介 • 株式会社ハウインターナショナル
CTO • 株式会社chaintope CTO • BitcoinプロトコルのRuby実装「bitcoinrb」 • Open Assets ProtocolのRuby実装 「openassets-ruby」 • Bech32のRuby実装「bech32rb」 • 共著 「ブロックチェーン・プログラミング 仮想通貨入門」 • ブログ「Develop with pleasure!」 https://techmedia-think.hatenablog.com/
Copyright ©2018 chaintope, Inc. all rights reserved. HTLCを利用したクロスチェーンAtomic Swap シークレットとタイムロックを利用したAtomic
Swapプロトコル アリスはEthereum上でシークレットAを公開してETHを入手し、 ボブは公開されたAを使ってBTCを入手する。 ※コインを入手する際にスクリプトは公開されブロックチェーンに記録されるため、 HTLCを行ったことは誰もが知ることになる アリスはBitcoinを以下のアンロック条件のスクリプトに送る。 • H(S)のプリイメージ=シークレットSが分かればボブは BTCを入手できる。 • 10日経過したらアリスはBTCを入手できる。 Secret S H(S) ボブはETHを以下のアンロック条件のコントラクトに送る。 • H(S)のプリイメージ=シークレットSが 分かればアリスはETHを入手できる。 • 5日経過したらボブはETHを入手できる。 BTC/ETHを交換
Copyright ©2018 chaintope, Inc. all rights reserved. HTLCを利用したクロスチェーンAtomic Swap •
Bitcoinのスクリプト(BIP-199) • ボブが償還する際の scriptSig • アリスが償還する際の scriptSig ※実際は、P2SHになるのでredeem scriptが追加される。 ※ 安全性のためOP_SIZEを使用したシークレットのサイズチェックを推奨 • Ethereumのコントラクト https://github.com/AltCoinExchange/ethatomicswap/blob/master/contracts/AtomicSwap.sol OP_IF OP_HASH160 <H(S)> OP_EQUALVERIFY OP_DUP OP_HASH160 <ボブの公開鍵のハッシュ> OP_ELSE <ロック期間> OP_CHECKLOCKTIMEVERIFY OP_DROP OP_HASH160 <アリスの公開鍵のハッシュ> OP_ENDIF OP_EQUALVERIFY OP_CHECKSIG <ボブの鍵で生成した署名> <ボブの公開鍵> <s> OP_TRUE <アリスの鍵で生成した署名> <アリスの公開鍵> OP_FALSE scriptPubKey scriptSig scriptSig
Copyright ©2018 chaintope, Inc. all rights reserved. OP_CLTV 【BIP-65】OP_CHECKLOCKTIMEVERIFY(OP_CLTV) https://github.com/bitcoin/bips/blob/master/bip-0065.mediawiki
絶対時間(ブロック高、UNIXタイムスタンプ)で、コインをロックするopcode。 <絶対時間> OP_CHECKLOCKTIMEVERIFY Tx version inputs outputs locktime もともと、BitcoinのTxはlocktimeフィールドを持ち、 このフィールドにセットした時刻まではTxをブロードキャスト できない。 OP_CLTVは、スクリプトからこのlocktimeフィールドの値 を チェックすることができるopcode。 スクリプトスタックのアイテムより大きなlocktimeが 指定されている場合、そのTxは無効。 ※ インプットのsequenceの値がMAXの場合、Txのlocktimeは評価されな いので、CLTVでsequenceにMAX値がセットされている場合も無効 Txとな る。
Copyright ©2018 chaintope, Inc. all rights reserved. Relative Locktime と
OP_CSV 【BIP-68】 Relative Locktime https://github.com/bitcoin/bips/blob/master/bip-0068.mediawiki トランザクションのインプットのsequenceを使って相対的なタイムロックを実現 【BIP-112】OP_CHECKSEQUENCEVERIFY(OP_CSV) https://github.com/bitcoin/bips/blob/master/bip-0112.mediawiki 相対時間(経過ブロック数、経過時間)で、コインをロックするopcode。 <相対時間> OP_CHECKSEQUENCZEVERIFY TxIn outpoint(hash, index) scriptSig sequence 0:ブロック数ベース、 1:時間ベース OP_CSVはスクリプトからsequenceフィールドの値をチェックすることが できるopcode。 インプットにスクリプトスタックのアイテムより大きな sequenceが 指定されている場合、その Txは無効。 ※ OP_CSVを使用するTxのversionは2
Copyright ©2018 chaintope, Inc. all rights reserved. HTLCを使った第三者経由の支払い Secret C
H(C) アリスが作るHTLC Tx Outputs 1 BTCは以下のいずれかで入手可能 •Secret Cがあればボブの鍵で入手可能 •14日経過したらアリスの鍵で入手可能 Inputs アリスの 1 BTC ボブが作るHTLC Tx Outputs 1 BTCは以下のいずれかで入手可能 •Secret Cがあればキャロルの鍵で入手可能 •10日経過したらボブの鍵で入手可能 Inputs ボブの 1 BTC ① キャロルがランダムなシークレットCを生成しそのハッシュをアリスに共有する。 ②アリスはH(C)を使ってボブに条件付きで コインを支払うTxをブロードキャストする。 ③ボブはH(C)を使ってキャロルに条件付きで コインを支払うTxをブロードキャストする。
Copyright ©2018 chaintope, Inc. all rights reserved. HTLCを使った第三者経由の支払い ③ キャロルはボブがブロードキャストした
HTLC Txをインプットにし、シークレット Cと 自分の署名でボブのコインを入手する Txを作成しブロードキャストする。 キャロルが作る償還 Tx Outputs キャロルのアドレスへ 1 BTC Inputs ボブのHTLC TxのUTXO 1BTCを Secret Cとキャロルの署名で入手 ボブが作る償還 Tx Outputs ボブのアドレスへ 1 BTC Inputs アリスのHTLC TxのUTXO 1BTCを Secret Cとボブの署名で入手 Secret C Secret C ④ ボブはキャロルがブロードキャストした TxからシークレットCが 分かるので、これを使ってアリスの HTLC Txのコインを入手する。
Copyright ©2018 chaintope, Inc. all rights reserved. HTLCを使った第三者経由の支払い • キャロルが1
BTCを受け取らないとシークレットCは明らかにならない。 • シークレットCが明らかになれば、ボブはアリスから1 BTCもらえる。 • キャロルがシークレットCを明らかにせず、1 BTCを受け取らなかったら、 ボブは10日待てば自分のコインを取り戻せる。アリスも14日待てば取り戻せる。 • アリス(14日) > ボブ(10日)のタイムロックの関係で、ボブがキャロルにコインを 支払ったが、アリスからコインをもらえないという状況が発生しない仕組みを実現。 OP_CHECKLOCKTIMEVERIFY(OP_CLTV)は このアウトプットのコインを指定時間( block height or unix timestamp)までロックするタイムロックの仕組 み。 OP_HASH160 <H(Secret C)> OP_EQUAL OP_IF <ボブの公開鍵> OP_ELSE <ロック日時> OP_CLTV OP_DROP <アリスの公開鍵 > OP_ENDIF OP_CHECKSIG
Copyright ©2018 chaintope, Inc. all rights reserved. 任意のデータをブロックチェーンに記録することができるopcode 【サイズ上限】 •
Bitcoin: 80 bytes • Bitcoin Cash: 220 bytes OP_RETURNを利用した拡張 OP_RETURN <データ> Colored CoinやProof of Existenceなどでの利用が主流 • OmniLayer (6f6d) • Open Assets Protocol (4f41) • Colu (4343) • Factom (4661) • etc.. https://opreturn.org/ より
Copyright ©2018 chaintope, Inc. all rights reserved. Bitcoin以外の任意のアセットの取引をブロックチェーン上で可能にするプロトコル 各プロトコルでは、OP_RETURNを利用してアセットのメタデータを トランザクションに挿入し、Bitcoin以外の価値の取引を表現する
Colored Coin Transaction version inputs ... outputs Output 1 Marker Output Output 2 Output 3 locktime OP_RETURNのアウトプットにこのトランザクションで 発行 or 送付する各アセットの量や、メタデータを記録。 ※ 拡張プロトコルなので、プロトコルを解釈しないノードやウォレットでは 通常のBitcoinとして扱われる。 Asset Asset フィールド 内容 OAP Marker Open Assets Protocolの出力であることを示すマーカー( 0x4f41) Version Open Assets Protocolのバージョン番号(0x0100) Asset Quantityの数 アセットに使われるアウトプット数 Asset Quantityリスト 各アウトプットに割り当てられるアセットの量 メタデータの長さ メタデータの長さ メタデータ 任意のメタデータ(アセット情報を定義したコンテンツの URIなど) Open Assets Protocolの場合
Copyright ©2018 chaintope, Inc. all rights reserved. 2013年にPeter Toddが作成した、ハッシュの衝突(SHA1、SHA2、RIPEMD-160など)を 発見した人に賞金を送るスクリプト
実際にSHA-1の賞金がロックされたアドレス 37k7toV1Nv4DfmQbmZ8KuZDQCYK9x5KpzP ハッシュの衝突発見に賞金 OP_2DUP OP_EQUAL OP_NOT OP_VERIFY OP_SHA1 OP_SWAP OP_SHA1 OP_EQUAL <プリイメージ1> <プリイメージ2> scriptPubKey scriptSig 値の異なる、ハッシュ値が同じプリイメージを 2つ提供できれば 賞金が手に入る 2017年に実際にSHA-1の衝突を起こすプリイメージを使って賞金が入手される http://chainquery.com/bitcoin-api/getrawtransaction/31206bcaca9dbf57713630a69bc9cc23f8e6420 2e75b439e0d240f22056fda1f/1
Copyright ©2018 chaintope, Inc. all rights reserved. • 18歳条件の場合 P2PKHで孫のアドレスに資金を送る
locktime付きのトランザクションを 作成&署名し、孫に渡す。 孫は18歳の誕生日を迎えるとトランザクションをブロードキャスト可能。 • 自分が亡くなった場合 スクリプトは外部状態を参照できないため、オラクルが必要になる。 オラクルと孫の2-of-2のマルチシグにコインをロックするトランザクションを 作成&署名し、孫に渡す ※ ハッシュのプリイメージはオラクルと共有している条件が記載された評価式 亡くなった場合、孫がトランザクションに自分の署名を付与し、オラクルに評価式と共に渡す。 オラクルはトランザクションの宛先と量、評価式および死亡を確認できたらトランザクションに署名し て返す。孫は2つのトランザクションをブロードキャストすると資産を手に入れることが可能。 オラクルを利用したContract 孫が18歳になるか、自分が亡くなった際に資産を孫に送りたい Transaction version inputs 資産UTXO outputs 孫のアドレス locktime (孫の18歳の誕生日) <hash> OP_DROP 2 <孫の公開鍵> <オラクルの公開鍵> 2 OP_CHECKMULTISIG if (has_died(‘john smith’, born_on=1950/01/02)) return (10.0, 孫のアドレス) scriptPubKey 評価式
Copyright ©2018 chaintope, Inc. all rights reserved. Payment Channel Funding
Tx(on-chain) Inputs アリスの1BTC ボブの1BTC Outputs アリスとボブのマルチシグに 2 BTC Commitment Tx1 (off-chain) Outputs アリスの残高 1 BTC ボブの残高 1BTC Inputs Funding Tx multisig Commitment Tx2 (off-chain) Outputs アリスの残高 0.9 BTC ボブの残高 1.1BTC Inputs Funding Tx multisig Commitment Tx n (off-chain) Outputs アリスの残高 0.4 BTC ボブの残高 1.6 BTC Inputs Funding Tx multisig ・・・ オンチェーンでマルチシグに資金をデポジットし、その資金内で参加者の残高を 更新するトランザクションを作ることで、オフチェーンで高速決済をするプロトコル。
Copyright ©2018 chaintope, Inc. all rights reserved. Payment Channel •
オフチェーン決済のCommitment Txに求められる要件 悪意ある取引相手が自分の残高が多い古いCommitment Txを ブロードキャストできないようにする。 ハッシュとタイムロックを組み合わせて不正を働いた場合のペナルティを導入 具体的な仕組みが知りたい方は、ビットコイナー反省会動画を https://www.youtube.com/watch?v=jtRn6cFVc68 OP_HASH160 <H(Secret B1)> OP_EQUAL OP_IF <アリスの公開鍵> OP_ELSE <1000> OP_CHECKSEQUENCEVERIFY OP_DROP <ボブの公開鍵> OP_ENDIF OP_CHECKSIG