Wie wird die Konstruktion von Atomic Swaps von Schnorr verbessert?

Um einen atomaren Swap durchzuführen, müssen beide Vermögenswerte gesperrt werden, um die gleichnamige atomare Ausführung beider Zahlungen oder keiner von beiden sicherzustellen. Traditionell verwendet dies ein komplexes Ausgabeskript, das zwei Ergebnisse hat. Auf beiden Ketten werden die Gelder so gesperrt, dass entweder die empfangende Partei mit ihrem privaten Schlüssel signiert und gleichzeitig ein Urbild preisgibt, oder der ursprüngliche Eigentümer die Gelder selbst zurücknehmen kann, nachdem eine Zeitüberschreitung verstrichen ist, indem er mit seinem privaten Schlüssel signiert. Auf diese Weise kann die andere Partei, wenn eine der beiden Parteien das Vorabbild zur Entgegennahme der Gelder offenbart, sofort die Gelder im anderen Netzwerk entgegennehmen. Die Nachteile dieses Ansatzes sind, dass die beiden Transaktionen aufgrund des gleichen Lock-Hashs leicht zu verknüpfen sind, dass das Skript ziemlich schwer ist und dass jeder sieht, was vor sich geht.

Atomic Swaps können mit Schnorr-Signaturen sowohl hinsichtlich ihrer Privatsphäre als auch ihres Blockchain-Fußabdrucks verbessert werden. Anstelle des zuvor beschriebenen Ausgabeskripts werden die Gelder an eine 2-von-2-Multisig-Adresse mit einer Zeitüberschreitungsbedingung gesperrt, um die Gelder zurückzugeben. Um Atomarität zu gewährleisten, erstellt eine der beiden Parteien Transaktionen in beiden Netzwerken, die "Adaptersignaturen" verwenden. Diese Transaktionen sind vollständig gültig, außer dass die Signatur der erstellenden Partei durch einen linearen Offset beschädigt wird. Die erstellende Partei liefert der Gegenpartei einen Zero-Knowledge-Beweis, dass sie beide durch den gleichen Wert geschädigt sind und dass sie ansonsten gültig wären. Nachdem die Gegenpartei auch beide Transaktionen unterzeichnet hat, kann jede Partei den Schaden an einer der Unterschriften beheben, um die Transaktion gültig zu machen,

Aufgrund der kompakten Multisignatur von Schnorr sieht die 2-von-2-Multisig-Adresse mit dem Timeout-Fallback wie eine standardmäßige 1-von-1-Pay-to-Schnorr-Public-Key-Hash-Adresse aus, und die 2-von-2-Transaktionsausgaben daraus sieht auch nicht von anderen Standardtransaktionen zu unterscheiden. Die Transaktionen sind nicht sichtbar miteinander verknüpft, Dritte können nicht erkennen, um welche öffentlichen Schlüssel es sich handelt, und da es trivial wäre, den Schaden nachzuvollziehen, nachdem die beiden gültigen Unterschriften vorliegen, ist es für beide Parteien schwierig, nachzuweisen, dass dieser Austausch jemals stattgefunden hat.

Infolgedessen ermöglicht Schnorr die Durchführung von atomaren Swaps durch Erstellen von zwei Standardtransaktionen in jedem Netzwerk, während frühere atomare Swap-Konstruktionen 2-von-2-Multisig-Adressen und HTLC-Verträge verwendeten, die viel schwerer und leicht unterscheidbar waren.

Damit dies funktioniert, muss mindestens eines der beiden Netzwerke Schnorr-Signaturen unterstützen (vorzugsweise beide).

^{H/T Pieter für Feedback und für die Verlinkung zu dieser umfassenderen Beschreibung von Kanzure: http://diyhpl.us/wiki/transcripts/layer2-summit/2018/scriptless-scripts/}

Eine etwas andere Sichtweise: Wenn Sie Schnorr-Signaturen haben, können Sie Zahlungskanäle basierend auf aggregierten Multisignaturen aufbauen. Solche Zahlungskanäle sind in der Blockchain nicht von regulärem p2pkh zu unterscheiden.

Bei jedem Zahlungskanal können Sie Hash-locked Atomic Swaps darin verstecken . Im Gegensatz zu den traditionellen On-Chain Atomic Swaps sind solche In-Channel Atomic Swaps ohnehin schneller einzurichten, sicherer und unterstützen den Hochfrequenzhandel zwischen den Parteien. Im Falle einer genossenschaftlichen Schließung trifft das HTLC-Geheimnis niemals auf die Blockchain und es sieht aus wie ein regulärer Zahlungskanal. Und bei schnorr sieht, wie eben erwähnt, ein regulärer Bezahlkanal aus wie jede andere Transaktion. Sie erhalten also einen Hash-gesperrten atomaren Swap, der "völlig unsichtbar" ist oder zumindest unauffällig aussieht.

Da dies vollständig Standard-Hash-Lock-Techniken verwendet, können Sie auch dann handeln, wenn die beiden Blockchains nicht dieselbe elliptische Kurve verwenden (im Gegensatz zu Adaptern).