Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Bitcoin Scriptで作るSmart Contract

Bitcoin Scriptで作るSmart Contract

shigeyuki azuchi

August 18, 2018
Tweet

More Decks by shigeyuki azuchi

Other Decks in Technology

Transcript

  1. Copyright ©2018 chaintope, Inc. all rights reserved.
    Bitcoin Hackathon for Mobile Developers
    Bitcoin Script で作るSmart Contract
    2018/08/18
    株式会社 chaintope
    安土 茂亨

    View full-size slide

  2. Copyright ©2018 chaintope, Inc. all rights reserved.
    自己紹介
    ● 株式会社ハウインターナショナル CTO
    ● 株式会社chaintope CTO
    ● BitcoinプロトコルのRuby実装「bitcoinrb」
    ● Open Assets ProtocolのRuby実装
    「openassets-ruby」
    ● Bech32のRuby実装「bech32rb」
    ● 共著
    「ブロックチェーン・プログラミング 仮想通貨入門」
    ● ブログ「Develop with pleasure!」
    https://techmedia-think.hatenablog.com/

    View full-size slide

  3. Copyright ©2018 chaintope, Inc. all rights reserved.
    HTLCを利用したクロスチェーンAtomic Swap
    シークレットとタイムロックを利用したAtomic Swapプロトコル
    アリスはEthereum上でシークレットAを公開してETHを入手し、
    ボブは公開されたAを使ってBTCを入手する。
    ※コインを入手する際にスクリプトは公開されブロックチェーンに記録されるため、
    HTLCを行ったことは誰もが知ることになる
    アリスはBitcoinを以下のアンロック条件のスクリプトに送る。
    ● H(S)のプリイメージ=シークレットSが分かればボブは
    BTCを入手できる。
    ● 10日経過したらアリスはBTCを入手できる。
    Secret S H(S)
    ボブはETHを以下のアンロック条件のコントラクトに送る。
    ● H(S)のプリイメージ=シークレットSが
    分かればアリスはETHを入手できる。
    ● 5日経過したらボブはETHを入手できる。
    BTC/ETHを交換

    View full-size slide

  4. Copyright ©2018 chaintope, Inc. all rights reserved.
    HTLCを利用したクロスチェーンAtomic Swap
    ● Bitcoinのスクリプト(BIP-199)
    ● ボブが償還する際の scriptSig
    ● アリスが償還する際の scriptSig
    ※実際は、P2SHになるのでredeem scriptが追加される。
    ※ 安全性のためOP_SIZEを使用したシークレットのサイズチェックを推奨
    ● Ethereumのコントラクト
    https://github.com/AltCoinExchange/ethatomicswap/blob/master/contracts/AtomicSwap.sol
    OP_IF
    OP_HASH160 OP_EQUALVERIFY OP_DUP OP_HASH160 <ボブの公開鍵のハッシュ>
    OP_ELSE
    <ロック期間> OP_CHECKLOCKTIMEVERIFY OP_DROP OP_HASH160 <アリスの公開鍵のハッシュ>
    OP_ENDIF
    OP_EQUALVERIFY
    OP_CHECKSIG
    <ボブの鍵で生成した署名> <ボブの公開鍵> OP_TRUE
    <アリスの鍵で生成した署名> <アリスの公開鍵> OP_FALSE
    scriptPubKey
    scriptSig
    scriptSig

    View full-size slide

  5. Copyright ©2018 chaintope, Inc. all rights reserved.
    OP_CLTV
    【BIP-65】OP_CHECKLOCKTIMEVERIFY(OP_CLTV)
    https://github.com/bitcoin/bips/blob/master/bip-0065.mediawiki
    絶対時間(ブロック高、UNIXタイムスタンプ)で、コインをロックするopcode。
    <絶対時間> OP_CHECKLOCKTIMEVERIFY
    Tx
    version
    inputs
    outputs
    locktime
    もともと、BitcoinのTxはlocktimeフィールドを持ち、
    このフィールドにセットした時刻まではTxをブロードキャスト
    できない。
    OP_CLTVは、スクリプトからこのlocktimeフィールドの値

    チェックすることができるopcode。
    スクリプトスタックのアイテムより大きなlocktimeが
    指定されている場合、そのTxは無効。
    ※ インプットのsequenceの値がMAXの場合、Txのlocktimeは評価されな
    いので、CLTVでsequenceにMAX値がセットされている場合も無効 Txとな
    る。

    View full-size slide

  6. Copyright ©2018 chaintope, Inc. all rights reserved.
    Relative Locktime と OP_CSV
    【BIP-68】 Relative Locktime
    https://github.com/bitcoin/bips/blob/master/bip-0068.mediawiki
    トランザクションのインプットのsequenceを使って相対的なタイムロックを実現
    【BIP-112】OP_CHECKSEQUENCEVERIFY(OP_CSV)
    https://github.com/bitcoin/bips/blob/master/bip-0112.mediawiki
    相対時間(経過ブロック数、経過時間)で、コインをロックするopcode。
    <相対時間> OP_CHECKSEQUENCZEVERIFY
    TxIn
    outpoint(hash, index)
    scriptSig
    sequence
    0:ブロック数ベース、 1:時間ベース
    OP_CSVはスクリプトからsequenceフィールドの値をチェックすることが
    できるopcode。
    インプットにスクリプトスタックのアイテムより大きな sequenceが
    指定されている場合、その Txは無効。
    ※ OP_CSVを使用するTxのversionは2

    View full-size slide

  7. Copyright ©2018 chaintope, Inc. all rights reserved.
    HTLCを使った第三者経由の支払い
    Secret C
    H(C)
    アリスが作るHTLC Tx
    Outputs
    1 BTCは以下のいずれかで入手可能
    ●Secret Cがあればボブの鍵で入手可能
    ●14日経過したらアリスの鍵で入手可能
    Inputs
    アリスの 1 BTC
    ボブが作るHTLC Tx
    Outputs
    1 BTCは以下のいずれかで入手可能
    ●Secret Cがあればキャロルの鍵で入手可能
    ●10日経過したらボブの鍵で入手可能
    Inputs
    ボブの 1 BTC
    ① キャロルがランダムなシークレットCを生成しそのハッシュをアリスに共有する。
    ②アリスはH(C)を使ってボブに条件付きで
    コインを支払うTxをブロードキャストする。
    ③ボブはH(C)を使ってキャロルに条件付きで
    コインを支払うTxをブロードキャストする。

    View full-size slide

  8. Copyright ©2018 chaintope, Inc. all rights reserved.
    HTLCを使った第三者経由の支払い
    ③ キャロルはボブがブロードキャストした HTLC Txをインプットにし、シークレット Cと
     自分の署名でボブのコインを入手する Txを作成しブロードキャストする。
    キャロルが作る償還 Tx
    Outputs
    キャロルのアドレスへ 1 BTC
    Inputs
    ボブのHTLC TxのUTXO 1BTCを
    Secret Cとキャロルの署名で入手
    ボブが作る償還 Tx
    Outputs
    ボブのアドレスへ 1 BTC
    Inputs
    アリスのHTLC TxのUTXO 1BTCを
    Secret Cとボブの署名で入手
    Secret C
    Secret C
    ④ ボブはキャロルがブロードキャストした TxからシークレットCが
     分かるので、これを使ってアリスの HTLC Txのコインを入手する。

    View full-size slide

  9. Copyright ©2018 chaintope, Inc. all rights reserved.
    HTLCを使った第三者経由の支払い
    ● キャロルが1 BTCを受け取らないとシークレットCは明らかにならない。
    ● シークレットCが明らかになれば、ボブはアリスから1 BTCもらえる。
    ● キャロルがシークレットCを明らかにせず、1 BTCを受け取らなかったら、
    ボブは10日待てば自分のコインを取り戻せる。アリスも14日待てば取り戻せる。
    ● アリス(14日) > ボブ(10日)のタイムロックの関係で、ボブがキャロルにコインを
    支払ったが、アリスからコインをもらえないという状況が発生しない仕組みを実現。
    OP_CHECKLOCKTIMEVERIFY(OP_CLTV)は
    このアウトプットのコインを指定時間( block height or
    unix timestamp)までロックするタイムロックの仕組
    み。
    OP_HASH160 OP_EQUAL
    OP_IF
    <ボブの公開鍵>
    OP_ELSE
    <ロック日時> OP_CLTV OP_DROP <アリスの公開鍵
    >
    OP_ENDIF
    OP_CHECKSIG

    View full-size slide

  10. Copyright ©2018 chaintope, Inc. all rights reserved.
    任意のデータをブロックチェーンに記録することができるopcode
    【サイズ上限】
    ● Bitcoin: 80 bytes
    ● Bitcoin Cash: 220 bytes
    OP_RETURNを利用した拡張
    OP_RETURN <データ>
    Colored CoinやProof of Existenceなどでの利用が主流
    ● OmniLayer (6f6d)
    ● Open Assets Protocol (4f41)
    ● Colu (4343)
    ● Factom (4661)
    ● etc..
    https://opreturn.org/ より

    View full-size slide

  11. Copyright ©2018 chaintope, Inc. all rights reserved.
    Bitcoin以外の任意のアセットの取引をブロックチェーン上で可能にするプロトコル
    各プロトコルでは、OP_RETURNを利用してアセットのメタデータを
    トランザクションに挿入し、Bitcoin以外の価値の取引を表現する
    Colored Coin
    Transaction
    version
    inputs
    ...
    outputs
    Output 1
    Marker Output
    Output 2
    Output 3
    locktime
    OP_RETURNのアウトプットにこのトランザクションで
    発行 or 送付する各アセットの量や、メタデータを記録。
    ※ 拡張プロトコルなので、プロトコルを解釈しないノードやウォレットでは
      通常のBitcoinとして扱われる。
    Asset
    Asset
    フィールド 内容
    OAP Marker Open Assets Protocolの出力であることを示すマーカー(
    0x4f41)
    Version Open Assets Protocolのバージョン番号(0x0100)
    Asset Quantityの数 アセットに使われるアウトプット数
    Asset Quantityリスト 各アウトプットに割り当てられるアセットの量
    メタデータの長さ メタデータの長さ
    メタデータ 任意のメタデータ(アセット情報を定義したコンテンツの
    URIなど)
    Open Assets Protocolの場合

    View full-size slide

  12. Copyright ©2018 chaintope, Inc. all rights reserved.
    2013年にPeter Toddが作成した、ハッシュの衝突(SHA1、SHA2、RIPEMD-160など)を
    発見した人に賞金を送るスクリプト
    実際にSHA-1の賞金がロックされたアドレス
    37k7toV1Nv4DfmQbmZ8KuZDQCYK9x5KpzP
    ハッシュの衝突発見に賞金
    OP_2DUP OP_EQUAL OP_NOT OP_VERIFY OP_SHA1 OP_SWAP OP_SHA1 OP_EQUAL
    <プリイメージ1> <プリイメージ2>
    scriptPubKey
    scriptSig
    値の異なる、ハッシュ値が同じプリイメージを 2つ提供できれば
    賞金が手に入る
    2017年に実際にSHA-1の衝突を起こすプリイメージを使って賞金が入手される
    http://chainquery.com/bitcoin-api/getrawtransaction/31206bcaca9dbf57713630a69bc9cc23f8e6420
    2e75b439e0d240f22056fda1f/1

    View full-size slide

  13. Copyright ©2018 chaintope, Inc. all rights reserved.
    ● 18歳条件の場合
    P2PKHで孫のアドレスに資金を送る locktime付きのトランザクションを
    作成&署名し、孫に渡す。
    孫は18歳の誕生日を迎えるとトランザクションをブロードキャスト可能。
    ● 自分が亡くなった場合
    スクリプトは外部状態を参照できないため、オラクルが必要になる。
    オラクルと孫の2-of-2のマルチシグにコインをロックするトランザクションを
    作成&署名し、孫に渡す
    ※ ハッシュのプリイメージはオラクルと共有している条件が記載された評価式
    亡くなった場合、孫がトランザクションに自分の署名を付与し、オラクルに評価式と共に渡す。
    オラクルはトランザクションの宛先と量、評価式および死亡を確認できたらトランザクションに署名し
    て返す。孫は2つのトランザクションをブロードキャストすると資産を手に入れることが可能。
    オラクルを利用したContract
    孫が18歳になるか、自分が亡くなった際に資産を孫に送りたい
    Transaction
    version
    inputs
    資産UTXO
    outputs
    孫のアドレス
    locktime
    (孫の18歳の誕生日)
    OP_DROP 2 <孫の公開鍵> <オラクルの公開鍵> 2 OP_CHECKMULTISIG
    if (has_died(‘john smith’, born_on=1950/01/02)) return (10.0, 孫のアドレス)
    scriptPubKey
    評価式

    View full-size slide

  14. Copyright ©2018 chaintope, Inc. all rights reserved.
    Payment Channel
    Funding Tx(on-chain)
    Inputs
    アリスの1BTC
    ボブの1BTC
    Outputs
    アリスとボブのマルチシグに 2 BTC
    Commitment Tx1 (off-chain)
    Outputs
    アリスの残高 1 BTC
    ボブの残高 1BTC
    Inputs
    Funding Tx multisig
    Commitment Tx2 (off-chain)
    Outputs
    アリスの残高 0.9 BTC
    ボブの残高 1.1BTC
    Inputs
    Funding Tx multisig
    Commitment Tx n (off-chain)
    Outputs
    アリスの残高 0.4 BTC
    ボブの残高 1.6 BTC
    Inputs
    Funding Tx multisig
    ・・・
    オンチェーンでマルチシグに資金をデポジットし、その資金内で参加者の残高を
    更新するトランザクションを作ることで、オフチェーンで高速決済をするプロトコル。

    View full-size slide

  15. Copyright ©2018 chaintope, Inc. all rights reserved.
    Payment Channel
    ● オフチェーン決済のCommitment Txに求められる要件
    悪意ある取引相手が自分の残高が多い古いCommitment Txを
    ブロードキャストできないようにする。
    ハッシュとタイムロックを組み合わせて不正を働いた場合のペナルティを導入
    具体的な仕組みが知りたい方は、ビットコイナー反省会動画を
    https://www.youtube.com/watch?v=jtRn6cFVc68
    OP_HASH160 OP_EQUAL
    OP_IF
    <アリスの公開鍵>
    OP_ELSE
    <1000> OP_CHECKSEQUENCEVERIFY OP_DROP <ボブの公開鍵>
    OP_ENDIF
    OP_CHECKSIG

    View full-size slide