Только что наткнулся на интересные новости в области исследований Bitcoin, за которыми стоит следить. Робин Линус (тот человек из ZeroSync и BitVM) опубликовал в феврале статью под названием «Binohash: Transaction Introspection Without Softforks» — и это действительно довольно умно.

Итак, основная проблема: Bitcoin Script намеренно ограничен. Он не может нативно читать детали транзакции, такие как входы, выходы, суммы или другие поля транзакции. Это ограничение делает практически невозможным создание продвинутых протоколов, которые требуют проверки конкретных свойств транзакции прямо в цепочке. Например, мосты BitVM между Bitcoin и другими цепочками — вам нужно доказать, что вывод был сделан на правильный адрес с нужной суммой, но без возможности анализа транзакции вы зависите от доверенных оракулов или легких клиентов с встроенными предположениями о безопасности.

Binohash решает это, создавая коллизионно-устойчивое хеширование транзакции, которое можно вычислить и прочитать прямо внутри Bitcoin Script. Хеш фиксирует ключевые свойства транзакции, так что нельзя обмануть систему, подменив одну транзакцию другой.

Как это работает? Это хитрый способ использования двух старых особенностей Bitcoin. Во-первых, операция OP_CHECKMULTISIG в старых версиях имела поведение «FindAndDelete», при котором она удаляет подписи из scriptCode перед проверкой. Робин использует это, вставляя фиктивные подписи в скрипт блокировки, а отправитель выбирает разные подмножества подписей при расходовании. Каждое сочетание подмножеств дает разный sighash, и отправитель перебирает комбинации, пока не достигнет цели, похожей на задачу Proof of Work. Индексы выбранных подмножеств становятся самим хешем Binohash — и, что важно, они видимы в скрипте разблокировки, чтобы Script мог их прочитать.

Название происходит от биномиального коэффициента (n choose t), который определяет размер пространства nonce и его энтропию.

На практике: при параметрах около 42 бит работы на компоненту, достигается примерно 84 бита коллизионной устойчивости — сравнимо с половиной SHA-256, что достаточно надежно для большинства случаев. Честный пользователь тратит примерно 44.6 бита работы, что стоит менее $50 на облачных GPU. Уже есть реальная транзакция в основной сети Bitcoin, демонстрирующая это.

Последствия этого значительны. Это позволяет доверительно проводить анализ цепочки для мостов на базе peg — можно проверять peg-in и peg-out без оракулов или полных легких клиентов. Например, мост может подтвердить, что определенная сумма была заблокирована в Bitcoin, и разрешить соответствующее создание монет на другой цепочке, всё это проверяется через сам хеш транзакции. По сути, это приносит функциональность, похожую на ковенанты, в Bitcoin с помощью только существующих opcodes, без необходимости мягких форков. Очень интересное развитие для пространства мостов и межцепочечной совместимости.