Resumen: LiquiDEX v1 mejora la v0 al eliminar los factores de ocultamiento de valores de la propuesta, lo que evita que el tomador sea capaz de reemplazar la prueba de rango. Reemplazamos los factores de ocultamiento de valores con pruebas de ocultamiento de valores y una compensación escalar. Así, la integración de la cartera se torna mucho más fácil, menos intrusiva y más segura. Sin embargo, se hacen algunas concesiones: la entrada del creador no debe haber sido enviada por un posible tomador y, si un creador está usando una entrada (des)ocultada, debe usar una salida (des)ocultada. Hay un prototipo en funcionamiento disponible en BEWallet. Para obtener más información o para comentar propuestas, póngase en contacto conmigo aquí o en la plataforma para la comunidad Build On L2 una vez que se lance.
LiquiDEX es un protocolo para ejecutar cambios atómicos de dos pasos en la Liquid Network. Requiere una única interacción entre las partes, mejorando drásticamente la experiencia de usuario (UX). Puede ser utilizado como base en la implementación de sistemas mucho más complejos como mesas de trading automatizadas, subastas, e incluso casas de cambio descentralizadas (DEX). Ver la entrada anterior del blog para más información.
El problema de las pruebas de rango
Con Confidential Transactions, la información sin ocultar se encripta en uno de los campos de salida, la prueba de rango. Cuando se recibe una transacción, esta información sin ocultar se desencripta y se utiliza para hacer un gasto. Sin embargo, ese campo no está cubierto por la firma de la transacción. Por lo tanto, el tomador puede reemplazar su valor, y el creador no será capaz de desocultar la transacción.
En la publicación previa del blog, explicamos que esto se resolvía al usar ocultadores deterministas y (ab)usar (d)el campo de compromiso nonce para cifrar la cantidad y (parcialmente) el id del activo. Sin embargo, esta solución es bastante compleja y no funciona con las carteras genéricas (Elements Core o Green).
Resolución del problema de las pruebas de rango
Una posible solución sería usar SIGHASH_RANGEPROOF
, pero no funciona en el caso de LiquiDEX. Al usar SIGHASH_RANGEPROOF
, la firma cubre la prueba de rango, pero también cubre la prueba de sobreyección. Sin embargo, el creador no es capaz de crear la prueba de sobreyección para su salida, ya que aún no hay entrada con el mismo activo.
Otro enfoque
El objetivo es evitar que el creador sea capaz de generar una prueba de rango válida para la salida del creador.
En primer lugar, el tomador debe ser capaz de analizar y financiar la transacción, por lo que los activos y valores de entrada (y salida) deben ser compartidos por el creador. En segundo lugar, el tomador debe ser capaz de generar la prueba de sobreyección para la salida del creador, por lo que el factor de ocultamiento de los activos de salida (ocultador de activos, abf) también debe compartirse. En tercer lugar, el tomador debe ser capaz de generar pruebas de sobreyección para sus salidas con el activo enviado por el tomador, por lo que el factor de ocultamiento de los activos de entrada también debe compartirse.
Entonces, debemos reemplazar los factores de ocultamiento de valores de entrada y salida (ocultadores de valor/suma, vbf) por algo que le permita al tomador verificar los compromisos de valor y ocultar la transacción.
Para verificar el compromiso de valor, podemos usar pruebas de valor oculto. Una prueba de valor oculto es “Una prueba de rango de valor explícito que prueba que el compromiso de valor coincide con el valor explícito”. Se usan en transacciones parcialmente firmadas de Elements (PSET). Para ocultar correctamente una Confidential Transaction, el último factor de ocultamiento de valores, a diferencia de todos los demás factores de ocultamiento, no se elige aleatoriamente sino de manera tal que las entradas y salidas “sumen 0”. En otras palabras, la suma de las scalar_offsets
(compensaciones escalares) de entrada es igual a la suma de las scalar_offsets
de salida, donde scalar_offset
se define de la siguiente manera:
scalar_offset = abf * value + vbf (mod n)
La idea es que el creador comparta su compensación escalar:
maker_scalar_offset = abf_o * value_o + vbf_o - (abf_i * value_i + vbf_i) (mod n)
Sin embargo, se hacen algunas concesiones para evitar revelar inadvertidamente el factor de ocultamiento de valores.
Concesiones
La entrada del creador no debe haber sido enviada por un posible tomador. De lo contrario, el tomador conocerá el vbf_i
(ocultador de valor/suma de entrada) y podrá computar el vbf_o
(ocultador de valor/suma de salida) de la maker_scalar_offset
(compensación escalar del creador). En su lugar, el vbf_i
debería ser elegido por el creador, quien deberá mantenerlo en secreto; esto puede lograrse enviándose una transacción a sí mismo (que también podría crear un UTXO del tamaño deseado).
Además, esto significa que la entrada del creador no debería provenir de un canje de LiquiDEX v0.
Si la entrada del creador no está oculta, se debe desocultar la salida del creador; si la entrada del creador está oculta, se debe ocultar la salida del creador. De lo contrario, el tomador sabrá uno de los factores de ocultamiento de valores (que es 0) y podrá calcular el otro.
Por último, al hacer varias propuestas con la misma entrada, es crucial usar un nuevo vbf_o
siempre que cambien el abf_o
o el value_o
(valor de salida). De lo contrario, habrá dos ecuaciones diferentes,
maker_scalar_offset = abf_o * value_o + vbf_o - (abf_i * value_i + vbf_i) (mod n)
maker_scalar_offset' = abf_o' * value_o + vbf_o - (abf_i * value_i + vbf_i) (mod n)
con dos incógnitas, lo que permitiría que el tomador calcule el vbf_o
.
LiquiDEX v1
Comencemos desde el formato de LiquiDEX v0 para resaltar diferencias y semejanzas:
```{
"version": 0,
"tx": "...",
"inputs": [{
"asset": "...",
"amount": 1,
"assetblinder": "...",
"amountblinder": "...",
}],
"outputs": [{
"asset": "...",
"amount": 1,
"assetblinder": "...",
"amountblinder": "...",
}],
}```
LiquiDEX v1 reemplaza los factores de ocultamiento de valores (ocultador de valor/suma, vbf) con pruebas de valor oculto y añade un campo de nivel superior para el escalar:
```{
"version": 1,
"tx": "...",
"inputs": [{
"asset": "...",
"satoshi": 1,
"assetblinder": "...",
"value_blind_proof": "...",
}],
"outputs": [{
"asset": "...",
"satoshi": 1,
"assetblinder": "...",
"value_blind_proof": "...",
}],
"scalars": ["..."],
}```
En teoría, las propuestas de LiquiDEX v0 pueden actualizarse a LiquiDEX v1 pero, para simplificar esta etapa, es mejor considerar esta actualización como un cambio disruptivo. Nótese que también reemplazamos "amount" por "satoshi".
Una implementación en funcionamiento
Desarrollamos un prototipo en funcionamiento en BEWallet.
Instalar la cartera:
```
git clone https://github.com/LeoComandini/BEWallet-cli.git
cd BEWallet-cli
cargo install .```
El creador hace una lista de sus monedas para elegir la que se va a canjear:
```$ bewallet-cli --testnet --electrum-url blockstream.info:465 --data-root $PWD --mnemonic "$MNEMONIC" get-coins | jq
[
...
{
"txo": {
"outpoint": "[elements]2dfaf9ca94fe817998456f02ab5093f5c1cf35e141efaf80212fe39ec4f6947c:0",
"script_pubkey": "a9144a597f4df12eea440e4e569f6e73b3e3b8794bdd87",
"height": 508358
},
"unblinded": {
"asset": "38fca2d939696061a8f76d4e6b5eecd54e3b4221c846f24a6b279e79952850a5",
"asset_bf": "9810d5b7987be0b2a2fecc3b0eb5e0a47e4386380f81c444659049890e8d0081",
"value": 100,
"value_bf": "f0450ba54ed42f13a56589317cd2fe2d28ce20796dacea8b49a14d806fce87a3"
}
}
]
```
Luego, hace la propuesta:
```$ bewallet-cli --testnet --electrum-url blockstream.info:465 --data-root $PWD --mnemonic "$MNEMONIC" liquidex-make --txid 2dfaf9ca94fe817998456f02ab5093f5c1cf35e141efaf80212fe39ec4f6947c --vout 0 --asset 144c654344aa716d6f3abcc1ca90e5641e4e2a7f633bc09fe3baf64585819a49 --rate 100
{"version":1,"tx":"","inputs":[{"asset":"38fca2d939696061a8f76d4e6b5eecd54e3b4221c846f24a6b279e79952850a5","asset_blinder":"9810d5b7987be0b2a2fecc3b0eb5e0a47e4386380f81c444659049890e8d0081","satoshi":100,"blind_value_proof":"200000000000000064be856189424eaccb0b9094f65052f1d0ab85ebcc1d8bf3f54ae90b43c7b95228b353e1c1c1a6f7cc9ed4367fbae49e99fa70ba6c0221b8d6c9e13f977fc501fc"}],"outputs":[{"asset":"144c654344aa716d6f3abcc1ca90e5641e4e2a7f633bc09fe3baf64585819a49","asset_blinder":"ec18db07c2c706ba46f539b89e347c036b6f85911f3ae6636a4c029c8a5dc956","satoshi":10000,"blind_value_proof":"2000000000000027109037e3d08ad280de5b38662d44b2f9b4e2ba89dbd106167222d70234dd43ff3aa8464cc82540fe3cff8775c7203473dfdafa8eaae8eadfedecdf5be24c015334"}],"scalars":["e061472f824641a978128d2d9e483c3804e551ed2afc287b24b789284a27682d"]}
```
y la envía al tomador, que podrá aceptarla:
```$ bewallet-cli --testnet --electrum-url blockstream.info:465 --data-root $PWD --mnemonic "$MNEMONIC" liquidex-take --proposal '{"version":1,"tx":"","inputs":[{"asset":"38fca2d939696061a8f76d4e6b5eecd54e3b4221c846f24a6b279e79952850a5","asset_blinder":"9810d5b7987be0b2a2fecc3b0eb5e0a47e4386380f81c444659049890e8d0081","satoshi":100,"blind_value_proof":"200000000000000064be856189424eaccb0b9094f65052f1d0ab85ebcc1d8bf3f54ae90b43c7b95228b353e1c1c1a6f7cc9ed4367fbae49e99fa70ba6c0221b8d6c9e13f977fc501fc"}],"outputs":[{"asset":"144c654344aa716d6f3abcc1ca90e5641e4e2a7f633bc09fe3baf64585819a49","asset_blinder":"ec18db07c2c706ba46f539b89e347c036b6f85911f3ae6636a4c029c8a5dc956","satoshi":10000,"blind_value_proof":"2000000000000027109037e3d08ad280de5b38662d44b2f9b4e2ba89dbd106167222d70234dd43ff3aa8464cc82540fe3cff8775c7203473dfdafa8eaae8eadfedecdf5be24c015334"}],"scalars":["e061472f824641a978128d2d9e483c3804e551ed2afc287b24b789284a27682d"]}' --broadcast
f831ae46f28ce47001a7f19b35652506f93815d2884d0de9df4f06b387739e50```
El resultado es esta transacción, que puede ser parcialmente desocultada por el creador y el tomador.
Futuras mejoras
A diferencia de LiquiDEX v0, LiquiDEX v1 no requiere una forma personalizada para desocultar la salida recibida por el creador. Por lo tanto, no es estrictamente necesario usar una cartera específica. Por ejemplo, es posible escribir un pequeño protocolo wrapper de Python utilizando la cartera Elements Core, un enfoque similar a los tres primeros prototipos de LiquiDEX descritos en la primera entrada del blog.
LiquiDEX v1 no utiliza PSET porque no tiene un lugar para guardar los factores de ocultamiento de activos. Cuando eso sea posible, actualizaremos la versión y usaremos PSET.
Conclusiones
LiquiDEX es un protocolo para realizar canjes atómicos P2P de 2 pasos. Mejora la experiencia del usuario ya que requiere una única interacción entre el creador y el tomador con concesiones razonables.
LiquiDEX v0 requiere un esfuerzo importante por parte de la cartera para manejar correctamente y con seguridad el ocultamiento y el desocultamiento. LiquiDEX v1 elimina los factores de ocultamiento de valores de la propuesta, lo que evita que el tomador sea capaz de reemplazar la prueba de rango. Así, la integración de la cartera se torna mucho más fácil, menos intrusiva y más segura.
Sin embargo, se hacen algunas concesiones: la entrada del creador no debe haber sido enviada por un posible tomador y, si un creador está usando una entrada (des)ocultada, debe usar una salida (des)ocultada.
Agradecimientos
Quiero agradecerles a Riccardo Casatta y a Valerio Vaccaro por las pruebas y la revisión, y a Jonas Nick por darme una devolución sobre el diseño criptográfico.
Si le interesa saber más acerca de LiquiDEX y los canjes en Liquid o comentar propuestas, póngase en contacto conmigo aquí o en la plataforma para la comunidad Build On L2 una vez que se lance.