# Satoshi Scoop 周报, 2025 年 11 月 21 日

## 加密洞见

### OP_CIV：比特币后量子签名聚合的新尝试

比特币开发者 Tadge Dryja 提出了[新想法 OP_CIV（OP_CHECKINPUTVERIFY](https://gnusha.org/pi/bitcoindev/05195086-ee52-472c-962d-0df2e0b9dca2n@googlegroups.com/)），用于实现跨输入签名聚合（Cross-Input Signature Aggregation, CISA）的后量子版本。Dryja 指出，传统 CISA 在椭圆曲线签名中节省有限，但在后量子体系下，签名体积可能达数千字节（尤其如 SPHINCS+、Dilithium），占据交易超过 90% 的空间。OP_CIV 的基本思路是：一个交易输入可以证明与同一交易中另一个输入的关联，；通过指向另一个输入说“这是我正在使用的签名”，而无需提供它自己的签名，由此降低见证数据成本。目前该提案仍处于思想阶段，Dryja 鼓励社区提供改进意见。

相关[演讲视频](https://www.youtube.com/watch?v=cqjo3rmd6hY)。

### 关于在 Tapscript 中引入 OP_STARK_VERIFY 的讨论

[该提案](https://delvingbitcoin.org/t/proposal-op-stark-verify-native-stark-proof-verification-in-bitcoin-script/2056)建议在比特币 [Tapscript](https://bitcoinops.org/en/topics/tapscript/) 中添加一个操作码 OP_STARK_VERIFY，用于验证有界大小的 STARK 证明。其目标是在链上验证零知识证明，同时保持透明和后量子安全假设，无需依赖临时性的脚本编码（如 OP_CAT）或引入大量算术操作码家族。就目前的讨论情况来看，多数参与者对此持谨慎或反对态度。有人指出，STARK 技术虽成熟、在 Starknet 等系统中已被广泛验证，但直接嵌入比特币共识层将违背其核心设计理念：简洁、安全与长期稳定。这可能涉及三大风险：
- **共识风险**：将 OP_STARK_VERIFY 的数万行复杂代码引入核心验证逻辑意味着一旦出现错误，将无法修复，对整个网络而言将是系统级灾难。
- **经济风险**：STARK 验证成本与其字节大小不成比例，可能造成资源密集型交易攻击，利用高资源需求损害网络去中心化。
- **长期风险**（协议骨化）：零知识技术仍在快速演进，若在共识层固定某一具体方案，将导致永久性的技术债务和臃肿

Ta 同时建议将此类复杂机制保留在更高层，或仅引入通用、可组合的加密原语，而非特定验证逻辑。

### NickSzabo：比特币并非无政府资本主义的理想，任意数据风险过高

比特币先驱 NickSzabo [表示](https://x.com/NickSzabo4/status/1990171688760410276?s=20)，无政府资本主义（anarcho-capitalism）作为一个抽象理想，能够激发创新，也的确曾激励他参与加密货币的发明。然而，现实世界的加密货币并非完全无信任（trustless），而是最小信任的（trust-minimized）。以比特币为代表的一层协议虽能承受比中心化系统更强的干扰，但仍存在技术与法律上的边界。

他还指出，过去来自金融法律领域的风险相对可控，靠的是技术上的最小信任（并不是无信任）设计，以及大量熟悉金融法的加密行业律师。然而，任意数据带来的法律攻击面更大、也更难预测，而加密行业在此领域几乎没有足够的法律专业能力。他警告称，将比特币或任何区块链想象成能够抵御所有政府法律攻击的“无政府资本主义瑞士军刀”，是一种危险的误解。

### Starknet：利用双质押 Rollup 模式，打造可持续收益的 DeFi 层

Starknet 在 [Bitcoin’s DeFi Domain](https://www.starknet.io/blog/bitcoin-defi-domain/) 一文中，介绍了其转型为 BTCFi 枢纽和比特币可持续收益层的过程。文章指出自 2023 年比特币 L2 兴起以来，BTCFi 的主要盈利一直来自代币激励的流动性计划，鼓励用户将资金“停放式地”注入一些未充分利用的池子中，以换取奖励。这种“停放流动性”（parking liquidity）的模式难以维持长久，主要有两个原因：

- 激励有限
- 没有一个可以长期部署 BTC 的可靠去处，用户不断在寻找新的链

对此，Starknet 推出[双质押 Rollup（dual-staked rollup）](https://x.com/Starknet/status/1973055375298408500)试图改变这一现状，并将自己定位为比特币可持续的 DeFi 层——一个比特币可以真正投入经济活动，而非短暂激励的地方。

### BATTLE for Bitcoin：基于 UTXO 的抗 DoS 攻击争议层的跨链桥安全协议

有研究团队近期提出一种专为比特币的[抗 DoS 攻击争议层（DoS-resilient dispute layer）——BATTLE for Bitcoin 协议](https://arxiv.org/abs/2510.06468)，用于增强比特币与 Rollup 或侧链之间的乐观跨链桥安全性。该方案将 BATTLE 锦标赛协议（tournament protocol）适配至比特币的 UTXO 模型，利用 BitVM 风格的 FLEX 组件和混淆电路 (garbled circuits)，并结合可按需激活的 L1 安全保证金机制。

BATTLE 的争议流程可在对数级轮次（Logarithmic Rounds Dispute Resolution）内完成，并可循环利用奖励，使诚实断言者所需的初始资金保持恒定，即便面对任意数量的无许可挑战者。协议完全可竞争，允许挑战者提交更高工作量的反驳证据。其设计仅依赖标准时间锁与预签名交易 DAGs，无需新增 Bitcoin 操作码。

在 N 个操作者的情况下，协议需要 O(N²) 的预签名交易、签名和消息交换，但在 N ≳ 10³ 时仍然实用，实现了高度去中心化。

### 基于现有凭证的低延迟零知识证明 Vega，性能超越部分依赖可信设置的系统

Vega 是一种零知识证明系统，可以针对现有凭证声明进行证明，而不泄露其他信息。对于一个 1920 字节的凭证，在无需可信设置的情况下，Vega 可实现 212 毫秒的证明时间、51 毫秒的验证时间、150 kB 的证明数据，以及 436 kB 的证明密钥。

其高效性依赖于两个原则：

- **折叠重用证明（fold-and-reuse proving）** 利用重复与折叠机会：
    - 跨多次证明，将重复工作推入可重新随机化的预计算中
    - 跨统一哈希步骤，将多个步骤折叠为单一步骤
    - （为了零知识性）将公共币（public-coin）记录与随机记录折叠
- **面向查表的算术化（lookup-centric arithmetization）**：从凭证字节中提取相关数值，用于在无需完整电路解析的情况下获取关键字段，并支持长度隐藏哈希。

详见[论文](https://eprint.iacr.org/2025/2094)。

### 游戏厅代币：让内部代币走向开放与可组合

a16z 此前推出了一套新的覆盖更广的[代币类型分类法](https://a16zcrypto.com/posts/article/defining-tokens/)，涵盖网络代币、收藏型代币、表情包币等七大类别。其中被低估但却可能最具潜力的，是 [Arcade Token（游戏厅代币）](https://a16zcrypto.com/posts/article/arcade-tokens/) ：一种在特定软件或产品生态内具有相对稳定价值的、通常由发行方（如公司）管理的代币。

这种代币本质上其实是区块链版本的大家早已熟悉的资产：航空里程、信用卡积分、游戏币等。这些资产都属于内部货币，用于维持一个封闭或半封闭的市场经济运作。过去几十年，这类资产都运行在中心化数据库中，用户的所有权、可转移性与选择权因此都被限制。但如果放在公链上构建，游戏厅代币将变得开放、可互操作、可组合，拥有更丰富的市场设计空间。
