分享至

BTC 从被动存储到原生收益：Alea 深度解读 GOAT Network 如何打造安全的 BTCFi 新范式

2025-09-18 12:42:35

本报告详细介绍了 GOAT Network，一个旨在将比特币（$BTC）从被动价值存储转变为可持续收益资产的比特币原生 zkRollup。GOAT Network 采用独特的 Type-1 zkEVM 架构，并利用 BitVM2 和自研的 Ziren 技术，在不分叉比特币的情况下，实现了 EVM 兼容的智能合约功能和以 $BTC 计价的原生收益。

概览

GOAT Network 是一个比特币原生 zkRollup，旨在将$BTC 从被动的价值存储转变为可持续产生收益的资产。该生态网络采用 Type-1 zkEVM 架构，既保证了对 EVM 的全面兼容，又在运行过程中继承了比特币的原生经济安全性。

GOAT 的技术架构由三部分构成：

Ziren：用于高性能 ZK 证明生成；
GOAT BitVM2 验证层：专为 zkRollup 设计，该层提供操作员双花抵抗，支持去中心化排序，并依靠多轮随机挑战协议在 24 小时内实现经济终局性；
去中心化 PoS 排序器网络：通过罚没机制实现抗审查，并保障网络持续运行。状态承诺与挑战脚本的强制执行由 BitVM2 实现，相应ZK证明提交到比特币网络。

GOAT 采用通用操作员模型，所有参与者轮流担任排序者（sequencer）、证明者（prover）、发布者（publisher）和挑战者（challenger）的角色，通过交叉补贴平衡成本与收益。

所有 Gas 费用以$BTC支付，轮换的 PoS 排序器将这些费用与区块奖励和所捕获的 MEV 一起循环分配给参与者，形成以 $BTC 计价的真实收益。这一机制将收益生成与真实网络使用直接挂钩，构建出一个以活动驱动的经济模型。

问题陈述

$BTC 被视为一种安全且具备流动性的资产，主要用于长期价值存储。然而截至目前，仍然未出现真正可靠的机制，能够让人们在链上直接获得以比特币计价的收益。大多数寻求收益的 $BTC 持有者不得不依赖中心化金融（CeFi）方案，或将资产转换为由托管方持有、在其他链上发行的封装代币。

尽管这些方法已被广泛采用，但它们引入了对第三方的信任假设，背离了比特币的透明性和自我托管原则。其所提供的收益也并非原生收益，通常来自代币增发、流动性挖矿计划或其他协议（如以太坊或其他 L1 链）发行的质押奖励。在许多情况下，底层收益活动涉及借贷、复杂的 DeFi 策略或波动性较高的资产敞口。

此前构建比特币二层解决方案（包括 Rollup）的尝试，暴露出诸多经济和运营层面的挑战。许多设计将交易排序和状态验证等角色集中于少数参与者，带来中心化风险，并为数据发布、欺诈检测和状态验证等高成本角色设计了薄弱的激励结构，而这些角色对构建可信、长期的公共基础设施至关重要。此外，资金退出至比特币的主网过程可能长达两周，限制了资本效率，也损害了用户体验。

价值主张

GOAT Network 致力于将比特币从一种被动的价值储藏转变为能够产生收益的活跃资产，同时不牺牲其去中心化、无须信任和安全性等核心原则。

通过将 $BTC 用作 Gas，并整合去中心化排序器和信任需求最小化的桥接，GOAT 构建了一个以比特币为安全锚定的网络，为 $BTC 持有者带来真实收益。用户可质押 $BTC、$DOGE 和 $BTCB（未来将会支持更多代币），赚取来自链上 Gas、MEV 和 dApp 活动的奖励。

GOAT Network 确保用户拥有无条件的退出权：任何用户均可随时通过原子交换将任意数量的资产从比特币二层网络提取至一层，从而提升安全性、资本效率和用户体验。

无需比特币分叉：GOAT 运行在原生比特币脚本上，充分利用增强的 BitVM2，无需对比特币协议本身做出更改。
去中心化排序者（操作员）：与许多依赖单一中心化实体的 Rollup 不同，GOAT 上的排序者通过轮换机制承担多重角色（验证、排序和压缩交易）。
实时ZK证明：GOAT 采用自研 Ziren 技术生成有效性证明，最终将 ZK 证明提交至比特币进行结算和验证。
原生 $BTC 收益：$BTC 作为 Gas 代币，确保比特币二层网络活动产生的收益（费用）可直接作为奖励返还给质押者，构成收益模型的基础。
多资产质押：目前用户可质押 $BTC、$DOGE 和 $BTCB（BNB 链上的 $BTC）。
排序者奖励代币化：排序者奖励被封装为 $yBTC，这是一种生息型 $BTC 衍生品，可进行交易或拆分为本金本金和收益，共同构成 $BTC 收益市场的基础。

技术概览

GOAT Network 通过链下计算（在 GOAT 上）与链上验证（在比特币上）相结合，扩展了比特币的功能，且无需更改比特币共识规则。BitVM2 作为链下欺诈证明系统，利用 Tapscripts、一次性签名和预签名交易，在比特币上强制执行二层网络状态有效性。当操作员将声称的二层网络状态以比特币 UTXO 形式发布后，可在特定时间窗口内使用 BitVM2 发起挑战。这是对原始 BitVM 协议的升级，它消除了两方限制，允许任何参与者对无效计算提出质疑。

排序者运行 Ziren 生成新的二层状态后，会在比特币上发布一个 Tapscript UTXO。这个 UTXO 记录最新状态，并包含两个分支：无人挑战时用于确认，有欺诈时用于否定。这些路径随后与 BitVM2 的一组预签名交易结合使用，以便在潜在挑战期间强制执行验证步骤。

在乐观计算假设下，挑战者会持续监控发布在比特币上的 UTXO，并通过多轮随机挑战机制验证交易，以检测潜在的欺诈。

在更高层的流程上，GOAT Network：

在本网络上执行 EVM 计算；
使用 Ziren 将结果（二层网络状态）压缩为简洁的 ZK 证明，最终提交至比特币主网；
向比特币主网写入一笔 Taproot 锁定的 UTXO，其中承载 ZK 证明，并在脚本层集成 BitVM2 的争议路径逻辑；
允许任何人借助 BitVM2 的欺诈证明机制，对无效的状态转变进行挑战。

GOAT 设计的核心是其自研 zkVM——Ziren。Ziren 将 GOAT 上的 EVM 交易转换为恒定大小的 Groth16 证明，并发布到比特币主网上。GOAT的Ziren 大幅缩短了证明生成时间，使 BitVM2 在比特币上zkRollup中的实用化成为可能。

在解决了计算与证明层的核心问题之后，GOAT 进一步在网络运行机制上进行了制度化设计。一言以蔽之，GOAT 引入了通用操作员模型，将排序者、证明者、操作员、发布者和挑战者（sequencer、prover、operator、publisher 、challenger）等多个角色合并到一个由质押参与者组成的统一池中，以此平衡不同角色的风险与收益。该模型通过角色轮换实现成本与收入的动态均衡，进而降低了小节点的参与门槛，增强去中心化程度，并强化整体网络稳定性和安全性。网络由去中心化排序者打包交易、排序二层区块，并将状态根与证明哈希提交到比特币。

当向比特币提交 UTXO 时，操作员需要抵押保证金；一旦该操作员被挑战并被证明错误，该保证金将被罚没。GOAT 的乐观机制意味着，Tapscript 的触发权掌握在挑战者手中，而不是系统自动执行。若无挑战，这些脚本保持休眠，执行与否取决于实际争议是否发生。

计算层

Type-1 zkEVM 与改进的 Op-geth 执行引擎

GOAT 属于Type-1 zkEVM，它能够为标准的 EVM 交易生成有效性证明。

不同类型 zkEVM 的对比图，展示从 Type-1 到其他设计在兼容性和性能之间的权衡。

GOAT 的执行层将 op-geth（以太坊 EVM）改造后应用于比特币，使 EVM 智能合约得以运行。共识层运行 CometBFT（现代的 Tendermint）。当一笔交易进入排序器的私有内存池后，验证者运行一轮 BFT 共识以就下一个区块达成一致。Op-geth 随后执行该区块，当 ≥2/3 验证者签名后，区块即被最终确定；只要故障验证者少于 1/3，区块即可保持正常运作。

Ziren 证明生成

Ziren 是 ZKM 构建的 zkVM，运行在稳定、确定性的 MIPS32r2 指令集上，已经达到生产级别。这样开发更方便，如果应用逻辑已经审计过，就不需要再重新审计 ZK 证明电路。

Ziren 不依赖特定的体系结构。其核心模块包括 zkCompiler、证明器和验证器，这些模块相互协作，将高级代码转化为多项式，生成 ZK 证明，并通过智能合约或比特币契约在信任需求最小化的环境中加以验证。比特币契约的本质，就是让一个 UTXO 可以限定未来的支出规则。

Ziren 具备分段验证电路能力，可压缩公共输入的承诺数据，同时以密码学提示降低比特币脚本复杂度。凭借这些优化，GOAT 能够依托比特币原生脚本构建挑战式验证模型。

ZKM 的去中心化证明网络把这些初始 Ziren 证明作为根证明，先用聚合证明器完成聚合，再交给 SNARK 证明器，转换成简洁的 Groth16 zkSNARK 证明。得益于GPU 加速与流水线化证明架构，处理包含一百笔交易的区块时，证明生成大约仅需四十秒。

证明生成流程

整个证明流程被拆解成若干子任务。Minigeth、zkML 等程序被编译为 MIPS ELF 二进制后，将发送至由 Stage Service 管理的任务池，由其拆分并分派给证明器执行。证明系统由三类组件组成，根证明器用于生成 Ziren 证明，聚合证明器负责合并，SNARK 证明器输出 Groth16 证明，最终发送至 GOAT 节点。

最终生成的 Groth16 证明由操作员提交至比特币主网。在 BitVM2 中，SNARK 在链下进行验证，而争议的结果通过预先签署的交易路径在链上强制执行，从而避免了在脚本层面进行 SNARK 检查，既保留了比特币的安全性，又在主网上支持对比特币二层网络的挑战。

验证与争议

BitVM2 乐观验证
BitVM2 是 GOAT 的链上验证与跨链协议。它并非直接执行计算，而是对计算结果进行验证，这在概念上与乐观 Rollup 相似。结合 Ziren 与去中心化排序机制，BitVM2 实现了高效且安全的比特币 zkRollup。该协议通过预先签署的交易与一次性签名来实现可编程性。

GOAT Network 的乐观计算模型让比特币与 GOAT Network 之间的资产能以安全和去中心化的方式流动。协议的安全性建立在三方面：首先，一次性 Winternitz 签名方案确保交易的完整与不可篡改；1-of-n 诚实假设防止资产盗窃；跨越 GOAT 与比特币两层的双重惩罚机制，使违规行为的代价成倍增加。

在争议过程中，启动、挑战、断言和反证四个阶段分别对应 Tapscript 树中的叶子节点。每个叶子都使用一次性 Winternitz 签名（WOTS）和配套的 Tapscript。相关密钥预先生成并签署，保证每一步只使用一次。所有叶子节点组合成一棵 Merkle 树，再与内部密钥结合生成 Tapscript 输出密钥。这样既能压缩链上结构，又不会在分支被使用前暴露争议逻辑。

在随机多轮挑战期内，任何人都可以抵押保证金并调用挑战脚本对操作员提出质疑。操作员必须提交计算轨迹来证明正确性。若挑战成功，挑战者将获得操作员的保证金；若失败，挑战者的保证金被罚没。

该机制能够快速选出顺位挑战者。如果前一个挑战者对欺诈无所作为，而后一个挑战者采取了行动，那么前者将被处罚，后者得到奖励，从而建立一个高效且安全的经济激励体系。

BitVM3

*如之后的文档中提及 BitVM2-GC，其所指的机制与 BitVM3 相同。

BitVM3 是比特币链下 SNARK 证明验证的自然演进，建立在 BitVM2 与 Delbrag 协议等模型的基础之上。BitVM2 引入了乐观计算模型，而 Delbrag 则使用了 Yao 的混淆电路（GC）来处理 Groth16，不过二者在扩展性和可用性上均存在不足。

早期的跨链桥需要高额的链上抵押，导致大量资本被占用。BitVM3 通过引入 BitHash 并将大部分计算通过混淆电路转移到链下，把成本削减到一百美元以下。挑战者的链下存储需求大约是 280GB，但成本不到 10 美元，进一步加强了在经济上的可行性。

表格：BitVM3 与 BitVM2 的特征比较

协调与基础设施

去中心化 PoS 排序器网络

GOAT 是比特币原生 zkRollup。网络会根据质押比例，以随机轮换的方式挑选出排序者。操作员可能在某一周期承担证明者或发布者等高成本角色，而在另一周期担任排序者进而赚取交易费用。借助这一机制，没有操作员能够长期垄断排序权，从而保障了经济激励的均衡，也使网络更加稳健。

轮换机制还降低了门槛。资源消耗较大的任务不会长期由同一操作员承担，使小型节点也有机会进入网络，进一步巩固了去中心化基础。如果某个运营节点宕机，系统启用轮换机制重新指派职责，以此保证网络持续运作。

排序者需接受质押与惩罚约束。如果未能履职，例如错过区块提议或出现宕机，他们会被跳过并受到惩罚，而网络则自动交由下一个合格节点继续执行。

通用操作员抽象与经济模型

通用操作员抽象由去中心化排序者的概念发展而来。它把单一的排序角色扩展为一个统一系统，让同一组操作员同时负责所有核心任务。

二者的主要差别在于覆盖范围和激励方式。去中心化排序器只负责交易排序的分布，而通用操作员模型会将所有关键角色都纳入轮换与分配。

操作员必须质押 $goatBTC（即 GOAT 上的$BTC）才有资格参与，并对自己的角色负责。若排序者双签、离线或作弊，协议会销毁其质押并冻结节点。相关脚本将自动执行处罚，防止操作员提前退出，同时对诚实行为进行激励。

某些特定职责，如发起挑战或在比特币主网上创建相应的 UTXO，参与者需要在脚本树中额外锁定一笔保证金。任何人都可以挑战操作员，但若挑战失败，挑战者的保证金将归操作员所有。若早期挑战者未能发现欺诈而后续挑战者成功证明，则前者也可能被惩罚。所有罚没资金都将进入委员会，再由委员会在二层网络奖励成功的挑战者。

排序周期的利润可用来覆盖证明和发布的成本。操作员偶尔会承担高成本任务，但凭借其他周期的收益以及角色的周期性轮换，这些负担能够被有效平衡。通用操作员抽象因此降低了所有角色的参与门槛。

信任需求最小化的比特币–GOAT 跨链桥

该桥接协议允许比特币和 GOAT Network 之间进行安全的资产跨链，在既定安全假设下，系统中的锚定资产始终无需依赖托管。

GOAT BitVM2 是该架构的核心，运行逻辑建立在1-of-n（至少一方诚实）的假设之上。所有计算均在链下执行，而比特币仅在争议发生时介入，通过脚本完成结果验证。

由操作员组成的去中心化自治组织 GOAT Federation 负责审核退出请求并触发链下计算。操作员在跨链提现时承担证明者的角色，为二层网络到主网的提现生成有效性证明。该桥支持两种资产转移类型：Peg-In（从一层到二层的存入）与Peg-Out（从二层到一层的提取）。

Peg-In（比特币到 GOAT Network）

Peg-In 过程使用简化支付验证（SPV）来确认用户的比特币交易。用户发起一笔比特币交易，支付至带 1-of-n 诚实假设的 Taproot 脚本，操作员则准备两笔预签署交易，作为后续执行时的保障路径
中继节点把最新的比特币区块头传给 GOAT 节点，后者在智能合约中保存 SPV Merkle 根。用户再提交申领请求和 SPV 证明。通过验证后，二层权益证明层（ PoS 层） EVM 会铸造等值的封装代币，而原始$BTC依然锁在多签脚本里。

Peg-Out（GOAT Network 到比特币）

在一般的 Peg-Out 中，用户请求提取 $BTC，操作员会先通过原子交换立刻把比特币给用户。操作员再向 Peg-out 池取回相应比特币，并提交证明。

GOAT 每个确认区块都会附带有效性证明、挑战脚本和资产脚本，并由操作员提交到比特币链。流程分为三步：用户发起、提交证明、进入挑战期。
挑战期内，任何用户可通过抵押（如 0.5 $BTC）质疑该请求，要求操作员披露中间计算步骤。若欺诈被证实，挑战者获得部分操作员资金，更大部分被销毁；若挑战失败，挑战者抵押金被没收，操作员在延迟后全额收回。
资金最终通过多签赎回脚本释放，这一脚本会在挑战期顺利结束时自动生效。Peg-out 的执行过程通过 MAST 和 Tapscript 提交，每个叶子节点编码一个计算步骤，使验证者可以在出现矛盾时提交欺诈证明。
多轮随机化挑战机制能够迅速选择顺序挑战者，以完成审批。

数据可用性层

在 GOAT 网络中，数据可用性由一个去中心化的排序者承诺机制来保证，该机制与 BitVM2 集成运作。它并不依赖单一的中心化实体来发布状态数据，而是定期将完整的排序者名单（包括未来两周内的排序者公钥）通过 Tapscript 交易提交到比特币主网。

这种承诺方式使任何参与者都能够验证排序者签名数据的真实性，并据此重建完整的二层状态。排序者的所有输出都会签名并与链上的名单绑定，因此轻客户端和监控节点可以独立完成验证和获取更新，而无需依赖某个中心化方。这样就确保了状态数据始终能够被任何诚实参与者恢复或质疑。

在此架构中，BitVM2 借助 Ziren 来验证二层区块执行，以此完成欺诈证明。而断言会参考链上提交的排序者名单，使挑战者能够确认状态转换既有效又可用。

目标市场

比特币创立的初衷是成为一种无需许可、抗审查的点对点货币。这一设计选择优先考虑去中心化和安全性，而非高吞吐量和灵活性，造成了区块空间有限、底层脚本能力不足的弊病。随着收益需求上升，而主网始终无法实现丰富的可编程性，DeFi 活动便逐渐转向链下借贷平台和其他更可编程链上的封装 $BTC，带来了额外的信任、托管与审查风险。

为了解决这些矛盾，新一代比特币二层网络诞生。它们依靠比特币主网完成结算，同时在二层引入 EVM 级别的可编程能力和更高的处理效率。在这样的二层系统中，$BTC（原生或映射形式）可以用来支持借贷、交易所、衍生品、合成资产和收益结构，既能做微交易，也能跑复杂合约。鉴于 $BTC 是最大加密资产，具有深厚流动性和持续收益需求，这些平台自然吸引用户和开发者。

随着使用规模扩大，比特币主网的信誉与安全性，与二层的扩展功能相结合，可以将大量闲置资金转变为机构层面的生产性资本。各国政府、财政部门以及以社会影响为目标的组织，已经开始探索如何把比特币二层网络纳入公共项目，例如国家财政优化、社会服务和气候韧性建设，同时仍将最终结算锚定在比特币链上。

主要用户

GOAT 的用户包括寻求收益的个体和机构 $BTC 持有者，也为 $DOGE 持有者提供类似机会。我们服务于DeFi 用户、流动性提供者以及 EVM 构建者，每类群体都享有不同的潜在收益，也需面对各异的风险。

用户可在 GOAT 上选择不同的 $BTC 收益生成策略：

Safebox 方案：面向既想确保比特币投资安全、又不想失去自我托管权的人。存入后，用户在钱包里会收到一笔带时间锁的 UTXO，等锁定期结束后就能支配 BTC。
BTCB/DOGEB 金库：通过排序者奖励和 Gas 费获取收益。
排序者 PoS 质押：收入来自 Gas 费、排序奖励和 MEV。
BTC 衍生品与 DeFi 收益：比如借贷、流动性质押、做市等。

代币化机制

由排序者获得的收入会转化为 $yBTC，该资产可以进一步分解为本金 $pBTC 与 $yToken，即将纯粹的收益部分与本金分离。

收益机制运作如下：

用户需将 $BTC 质押至系统（经由排序者抵押池），由此生成最初的收益资产 $yBTC。该资产随后可进一步分解为 $pBTC 与 $yToken。
系统铸造 $yToken 和 $pBTC。
$yToken 代表收益部分。
用户可以选择：

持有 $yToken 积累收益；
在市场上出售 $yToken；
持有 $pBTC 至到期赎回底层 $BTC。

收益与本金分离，在锁定期结束前可自由交易或使用。$yToken 不代表固定数量的 $BTC，而是对未来以 $BTC 计价收益份额的索取权，份额数量未知且可变。

经济设计

GOAT 的经济模型围绕四个核心理念构建，确保系统安全、公平且能够为参与者提供回报：

以 $BTC 计价的 Gas 费用；
去中心化序列器架构；
权益证明（PoS）机制；
将各部分相互衔接的综合性技术与经济框架。

GOAT 收入主要来自链上活动。排序者获取的费用会转换成 $yBTC，同时，当资金从 GOAT 跨回比特币主网时，还会在金额上收取固定比例的服务费，外加比特币的 Gas 费。

GOAT 的收益来自用户在其应用生态中的链上交互与交易活动。活动越多，Gas 和 MEV 收入越高，质押者的回报也就越多。排序者按质押随机轮换产生，他们为了增加质押量和提升当选区块提议者的机会，会倾向于分配更多收益。高收益吸引更多人参与质押，也促使资金跨入 GOAT 生态。

通用操作员机制在收入与成本之间实现平衡，达成激励上的稳定。操作员必须在 GOAT 网络中质押，因此需要持有 $goatBTC。轮换、质押以及经济回报相结合的机制有效运行后，系统即构建了一个激励循环。

风险与保障

GOAT Network 的架构结合了比特币脚本、BitVM2 挑战协议、Ziren ZK计算和去中心化排序者轮换。尽管设计目标是提供更高的安全性和扩展性，但每个环节都面临着潜在风险。网络层上，跨链桥脚本、证明验证器或挑战逻辑的缺陷可能危及二层网络所有交易和资产的完整性。在应用层，GOAT 上的 dApp 和一般智能合约一样，会受到逻辑漏洞或攻击利用的威胁。

此外，GOAT 的收益机制（如 Safebox 和质押）需要依靠用户持续使用和交易量支持。一旦活跃度下降，收益循环会受到影响，激励减弱，生态可能走弱。下表列出了关键风险点及缓解措施。