特別感謝BalajiSrinivasan以及Coinbase、Kraken和Binance團隊的探討。每當大型中心化交易所崩潰時,一個常被提及的問題是:我們是否可以利用加密技術來解決這個問題。交易所可以通過創建密碼學證明的方式證明其鏈上持有的資金足以償付用戶,而不僅僅依靠政府牌照、審計員、調查公司治理以及交易所法人背調等「法幣」方案。更有野心的是,交易所可以建立一個未經儲戶同意無法提取儲戶資金的系統。我們可以嘗試探索「不作惡」有職業素養的CEX與「無法作惡」卻泄漏隱私的低效鏈上DEX之間的界限。這篇文章將深入探討讓CEX更加去信任的歷史嘗試,與其采用技術的局限性,以及一些依賴ZK-SNARKs等先進技術的有力手段。余額表和Merkle樹:傳統的可償付證明
交易所試圖用密碼學來證明自己沒有欺騙用戶的最早嘗試可以追溯到很久以前。2011年,當時最大的比特幣交易所MtGox通過發送一筆移動424,242個BTC到預先公布地址的交易來證明他們擁有該筆資金。2013年,大家開始討論如何解決該問題的另一面:證明用戶存款的總規模。如果你證明用戶的存款等于X,并證明擁有X個代幣的私鑰,那么就提供了可償付證明:你證明了交易所有足夠的資金償還給儲戶。提供存款證明的最簡單方法是公布一個列表。每個用戶都可以檢查他們在列表中的余額,而且任何人都可以檢查完整的列表:每項余額都是非負的;總額是宣稱的金額。當然,這會破壞隱私,所以我們可以稍微改變一下該方案:發布一個<username,salt),balance>列表,并私下給用戶發送salt值。但即使這樣也會泄漏余額與其分布。為了保護隱私,我們采用了后續技術:Merkle樹技術。
綠色:Charlie的節點。藍色:Charlie收到用于證明的節點。黃色:根節點,向所有人公布Merkle樹技術會將用戶余額表放進Merkle總和樹。在Merkle總和樹中,每個節點都是對。底層葉子節點表示各個用戶的余額以及用戶名的加鹽哈希。在每個更高層的節點中,余額是下面兩個節點余額的總和,而哈希是下面兩個節點的哈希。Merkle總和證明和Merkle證明一樣,是一個由葉子節點到根節點路徑上所有姐妹節點組成的「分支」。首先,交易所會向每個用戶發送一份其余額的Merkle總和證明。然后,用戶能夠確定其余額作為總額的一部分而被正確地包含。可以在這里找到簡單的示例代碼。#Thefunctionforcomputingaparentnodegiventwochildnodesdefcombine_tree_nodes(L,R):L_hash,L_balance=LR_hash,R_balance=RassertL_balance>=0andR_balance>=0new_node_hash=hash(L_hash+L_balance.to_bytes(32,'big')+R_hash+R_balance.to_bytes(32,'big'))return(new_node_hash,L_balance+R_balance)#BuildsafullMerkletree.Storedinflattenedformwhere#nodeiistheparentofnodes2iand2i+1defbuild_merkle_sum_tree(user_table:"List"):tree_size=get_next_power_of_2(len(user_table))tree=(*tree_size++)foriinrange(tree_size-1,0,-1):tree=combine_tree_nodes(tree,tree)returntree#Rootofatreeisstoredatindex1intheflattenedformdefget_root(tree):returntree#Getsaproofforanodeataparticularindexdefget_proof(tree,index):branch_length=log2(len(tree))-1#^=bitwisexor,x^1=sisternodeofxindex_in_tree=index+len(tree)//2returnforiinrange(branch_length)]#Verifiesaproof(duh)defverify_proof(username,salt,balance,index,user_table_size,root,proof):leaf=userdata_to_leaf(username,salt,balance)branch_length=log2(get_next_power_of_2(user_table_size))-1foriinrange(branch_length):ifindex&(2**i):leaf=combine_tree_nodes(proof,leaf)else:leaf=combine_tree_nodes(leaf,proof)returnleaf==root這種設計下的隱私泄露遠低于公開完整的余額表,并可以在每次默克爾根發布時打亂各個分支來進一步降低隱私泄漏風險,但仍存在一些隱私泄露的問題:Charlie知道某人的余額為164ETH,某兩個用戶余額的總和為70ETH,等等。控制多個帳戶的攻擊者仍能了解交易所用戶的大量信息。該方案的一個重要的微妙之處在于負余額的可能性:如果一個擁有1390ETH用戶余額卻只有890ETH儲備的交易所試圖通過在樹上某處的一個假賬戶下添加-500ETH余額來彌補差額,該怎么辦?這種可能性實際上并沒有破壞該方案,這就是我們特地使用Merkle總和樹而不是常規Merkle樹的原因。假設Henry是交易所控制的假賬戶,而且交易所在上面放了-500ETH:
Strix Levithan首席信息官質疑PlanB提出的S2F模型:加密貨幣分析師PlanB于去年3月提出了Stock-to-Flow(S2F)模型,用于預測比特幣價格。該模型是基于稀缺資產(如黃金、白銀以及比特幣)的價值與它們的稀缺性密切相關的觀點。據PlanB估計,比特幣和黃金和白銀一樣稀缺,唯一不同的是它是一種數字資產,這使得它在我們的時代更加珍貴。從模型分析來看,比特幣的價格似乎更有可能在未來攀升,甚至可以達到10萬美元的價格。
然而Strix Levithan首席信息官Nico Cordeiro對此提出了質疑。在6月30日發布的一份報告中,他對黃金稀缺性與價格之間關系的基本假設提出了質疑,稱其為“變色龍模型(A Chameleon Model)”。另一個反對該模型的觀點是,它假設比特幣的價格到2045年將達到2350億美元——在Cordeiro看來,這完全沒有道理。實際上,該模型可以完美地用于基準測試,但是它缺乏使其完全可靠的具體因素。而基于該模型得出的不切實際的價格預測已經引起了業界專家的大量質疑。(Zycrypto)[2020/7/2]
Greta的驗證將不會通過:當交易所將不得不把Henry余額為-500ETH的節點的給她時,她會拒絕掉該無效節點。Eve和Fred也會驗證失敗,因為Henry之上的中間節點余額為-230ETH,所以該節點也是無效的!為了盜用行為不被發現,交易所只能寄望于樹的右半部分沒人檢查其余額證明。如果交易所能夠挑選出這樣的擁有500ETH的用戶:他們嫌麻煩不去檢查余額證明,或者當他們抱怨未能收到余額證明時,大家并不相信他們,那么交易所就可以蒙混過關。但是,交易所也可以通過將這些用戶排除在Merkle總和樹之外來達到相同的效果。因此,如果僅就負債證明而言,Merkle樹技術基本滿足了需求。但它的隱私特性仍不夠理想。你可以更巧妙地使用Merkle樹進行改進,比如把satoshi或wei作為一個獨立的葉子節點。然而,通過使用更先進的技術,還可以做得更好。使用ZK-SNARKs來提高隱私性和健壯性
動態 | OKEx將于14點暫停VITE的充提服務:據官方消息,為支持VITE主網切換,OKEx于2019年09月23日14:00(HKT)暫停VITE的充提,待切換完成后開放。[2019/9/23]
ZK-SNARKs是一項強大的技術。ZK-SNARKs對密碼學的意義類似于人工智能:一項足以碾壓數十年前為了解決一系列問題而開發的一系列專用技術的通用技術。因此,我們當然可以使用ZK-SNARKs極大地簡化和改善負債證明協議中的隱私。我們可以簡單地將所有用戶的存款放進Merkle樹將不會泄漏任何其他用戶的余額。
使用KZG承諾是避免隱私泄露的一種方法,因為其不需要把「姐妹節點」作為證明提供,并且可以使用簡單的ZK-SNARK來證明余額的總和,并且每個余額都是非負的。我們可以通過一個專用的ZK-SNARK來證明上述KZG中余額的總和及其非負性。這里有一個簡單的例子。我們引入了一個輔助多項式I(x),其「構建出用戶余額的每一位」,其中每第16個位置追蹤差額保證,只有當實際總額與宣稱總額相等該值才會是0。如果z是一個128階的原根,我們可以證明方程成立:
譯者注:對這個多項式等式的解讀。如何把這些等式轉換為多項式校并在后續轉換為ZK-SNARK可以參考我撰寫關于ZK-SNARKs文章的此處和另外一處。這并不是一個最優的協議,但讓這些密碼學證明比較好理解!只需要幾個額外的方程式,該約束系統就可以適配更復雜的設定。例如,在杠桿交易系統中,個人用戶擁有負余額是可以接受的,但前提是他們需要擁有足夠的抵押資產以覆蓋其負債。SNARK可以用于證明這一更為復雜的約束,向用戶保證,交易所不能秘密違規豁免某些用戶,從而危及用戶資產。長遠來看,這種ZK負債證明的用處不限于交易所中的用戶存款,還可以用于更廣泛的貸款場景。任何貸款的人都會將記錄放入含該貸款的一個多項式或一棵樹中,而根會在鏈上發布。這將使得任何尋求貸款的人向放款方提供零知識證明,以表明其未獲得太多其他貸款。最終,法律上的創新甚至可以使得以這種方式進行承諾的貸款比無承諾的貸款擁有更高的優先級。這與我們在《去中心化社會:尋找Web3的靈魂》中討論的一個想法不謀而合:通過某種形式的「靈魂綁定代幣」,使得鏈上負面信譽的概念成為可能。資產證明
聲音 | 以太坊創始人Vitalik Buterin:用異步交易解決跨分片交易:金色財經現場報道,6月29日在2019以太坊技術及應用大會上,以太坊創始人Vitalik Buterin指出,以太坊鏈被分為1024片,通過cross-link進行分片間的交流,每6分鐘每個分片發現其他分片的哈希值。信標鏈管理共識算法和跨分片的溝通。進一步提出了異步交易,第一步:一個A分片上發出交易,第二步:6分鐘片間交流傳播交易,第三步:在另一個B分片上記錄。[2019/6/29]
資產證明最簡單的版本是我們上面看到的協議:為了證明您持有X個代幣,您只需在預定時間移動X個代幣或在交易中攜帶「這些資金屬于Binance」的信息。為了避免支付交易手續費,你可以簽署一條鏈下消息。比特幣和以太坊都有鏈下簽名信息標準。這種簡單的資產證明技術存在兩個實際問題:冷錢包處理抵押品重用出于安全考慮,大多數交易所會將大部分用戶資金存儲在冷錢包中:在離線的計算機上,交易需要手動簽名并攜帶到互聯網上。這種手段是很普遍的:我過去用于存放私人資金的冷錢包放在一臺永久離線的計算機上,它會生成包含已簽名交易的二維碼,然后我會用手機掃描這些二維碼。由于資金量龐大,交易所使用的安全協議會更加復雜,經常涉及在多個設備間的多方計算,以進一步降低單設備被黑導致密鑰泄露的可能性。在這種背景下,即使是創建一條額外消息來證明對地址的控制也是一項昂貴的操作!交易所可以采用以下幾種方式:●維護一些長期使用的公開地址。交易所生成若干地址,僅發布一次每個地址所有權證明,然后重復使用這些地址。這是迄今為止最簡單的方案,盡管它在保護安全及隱私上增加了一些限制。●持有很多地址,然后隨機證明幾個地址。交易所持有很多地址,甚至可能每個地址只用一次,并在單次交易后不再使用。在這種情況下,交易所需要有一個協議,不時地隨機選擇一些地址,交易所必須「打開」以證明所有權。一些交易所已通過審計員進行了類似的操作,但原則上,這種技術可以轉化為完全自動化的程序。●更復雜的ZKP方式。例如,交易所可以將其所有地址設置1/2多簽,這些地址的其中一份密鑰各不相同,而另一份相同的密鑰是以某種復雜但安全的方式存儲起來重要的緊急備份盲版。為了保護隱私并避免泄漏其全部地址,交易所甚至可以在區塊鏈上運行零知識證明以證明該格式鏈上地址的總余額。另一個主要問題是防止抵押品重用。彼此間來回轉移抵押品以證明儲備金對交易所而言通常很容易辦到,這使得實際上沒有償付能力的情況下蒙混過關。理想情況下,可償付證明應該實時完成,并在每個區塊后更新證明。如果不切實際的話,那么下一個最好的辦法就是交易所間協調出一個固定的時間進行證明,例如在UTC時間每周二下午2點證明儲備。最后一個問題是:能在法定貨幣上做資產證明嗎?交易所不僅持有加密貨幣,還持有銀行系統內的法幣。在這方面,回答是肯定的,但這樣的程序將不可避免地依賴于「法幣」信任模型:銀行自身可以證明余額,審計人員可以證明資產負債表等。鑒于法幣不能通過密碼學驗證,這是在該框架內的最佳方案,仍然值得一做。另一種方法是將實體A和實體B分離開來,A負責運行交易所并且處理USDC這種由某種資產背書的穩定幣;而B負責在加密貨幣和傳統銀行系統之間處理現金流入和流出的過程,在這個案例中B即是USDC本身。由于USDC的「負債」只是鏈上的ERC20代幣,所以負債證明是可以「輕易」獲得的,而我們只需處理資產證明的問題。Plasma和validiums:我們可以實現非托管CEX嗎?
Vitalik為打假推特更名:犯罪分子通過偽造名人推文欺騙加密貨幣粉絲,這激怒了一名聲名顯赫的領袖人物,讓他做出改換身份的決定。以太坊創始人Vitalik Buterin近日將自己的推特名字更換成了“Vitalik No I'm not giving away ETH Buterin”(Vitalik Buterin不會給你ETH)[2018/3/16]
假設我們想更進一步:我們不想僅僅證明交易所有足夠資金償還其用戶。相反,我們想徹底防止交易盜用用戶的資金。在這上第一個嘗鮮的是Plasma,這是一種2017年和2018年在以太坊研究界流行的擴容解決方案。Plasma的工作原理是將余額拆分為一組獨立的「代幣」,每個代幣都會分配一個索引,并放到Plasma區塊的Merkle樹中的特定位置上。要進行有效的代幣轉移,需要將交易放到樹中的正確位置上,而樹根會被發布到鏈上。
Plasma的一個版本的極簡圖。代幣被保存在智能合約中,該合約在取款時會強制執行Plasma協議的規則。OmiseGo試圖基于此協議創建一個去中心化交易所,但從那時起,他們就轉向去做其他事了——就這而言,PlasmaGroup也是如此,他們去做了optimisticrollup項目Optimism。2018年對Plasma的局限性的探討讓大家從根本上懷疑Plasma的可行性。自2018年對Plasma的探討達到頂峰以來,ZK-SNARKs在擴容相關用例上變得愈加可行,正如我們上面所說的,ZK-SNARKs改變了一切。Plasma更新的版本是Starkware稱為validium的方案:除了數據被保存在鏈下以外,基本上與ZK-rollup相同。該構造適用于許多用例,可以想象其適用于任何中心化服務器需要證明其正確執行代碼的場景。在validium中,運營方無法竊取資金,但根據具體的實現細節,如果運營方消失,一些用戶資金可能會被卡住。現在看來一切很棒:CEX和DEX遠非二選一,事實證明,其中有一系列的選擇,包含各種形式的混合中心化,在那里你能獲得一些好處,比如效率,但仍有很多密碼學保障,可以防止中心化運營方的大部分形式的惡意行為。
以太坊創始人Vitalik公布以太坊2.0路線圖:以太坊創始人Vitalik公布以太坊2.0路線圖,分片機制作為協議提升的核心。在以太坊2.0中,二進制Merkle樹,更快的以太坊虛擬機(EVM),更好的可平行性以及無國界的客戶端都是計劃內的更改。開發將會分為兩層,第一層將會引入安全和保守的更新,而第二層將會實現迅速開發,也就是當分片系統通過驗證處理者合約被引入時。關于分片的一些初步工作已經可以在GitHub上查看,同時Vitalik的完整講話也能夠在YouTube上進行觀看。[2017/11/29]
然而,余下的基本問題也值得思考:如何處理用戶錯誤。到目前為止,最重要的錯誤類型是:如果用戶忘記了密碼、丟失了設備、被黑或無法訪問其帳戶,那該怎么辦?交易所可以解決這個問題:首先利用電子郵件恢復,如果連這都失敗了,再通過KYC進行更復雜的恢復。但若要解決這些問題,交易所需要真正控制這些代幣。為了能夠合理地恢復用戶資金,交易所需要擁有同樣可用于無故竊取用戶資金的權力。這是一個不可避免的權衡。理想的長期解決方案是依靠自我托管,用戶在未來可以方便地使用諸如多簽及社交恢復錢包等技術來幫助處理緊急情況。而短期內,有兩種明顯的替代方案,有著不同的成本和收益:
另一個重要問題是對跨鏈支持:交易所需要支持很多不同的鏈,諸如Plasma和validiums等系統需要用不同的語言編寫代碼以支持不同的平臺,并且在當前形式下無法在一些平臺上實現,這有望通過技術升級和標準化來解決;然而,從短期來看,這是如今托管型交易所保持托管模式的另一個原因。結論:展望未來更好的交易所
短期內,有兩種明確的交易所類別:托管型交易所和非托管型交易所。如今,后一類即像Uniswap那樣的DEX,未來我們可能還會看到受密碼學約束的CEX,其中用戶資金會以類似validium智能合約的方式持有。我們也可能會看到半托管型交易所,其中我們信任其對法幣而非加密貨幣的處理。這兩種類型的交易所將繼續存在,而提高托管型交易所安全性的向后兼容最簡單方法是增加儲備證明。這包括資產證明和負債證明的結合。為兩者都設計出優秀的協議仍存在著一些挑戰,但我們能夠且應當推動兩類技術的齊頭并進,并盡可能開源軟件和程序,以便所有交易所都能獲益。從長遠來看,我希望我們向著所有交易所皆為非托管的方向發展,至少在加密貨幣上如此。錢包恢復將會存在,可能需要為小額資金的新用戶和出于法律因素需要此類安排的機構提供高度中心化的恢復選項,但這可以在錢包層而非交易所內部完成。在法幣方面,傳統銀行系統和加密貨幣生態系統之間的移動可以通過USDC等資產背書穩定幣原生的資金進出流程完成。然而,我們仍有很長的路要走。譯者注:?每16個數字代表一個用戶。我們可以看到上面的舉例代表了兩個用戶?宣稱的用戶平均余額:185?用戶1的余額:20->000000000010100差額:20-185=-165?用戶2的余額:50->000010100110010差額:-165+50-185=-300?最終遍歷完所有用戶,最后一個用戶的差額要求為0?四個等式的解釋等式1:遞推的初始值為0等式2:每個用戶余額需要跟KZGcommitment相對應等式3:每個用戶余額的遞推公式,約束余額>=0且<214(上面說余額<215應該是筆誤,因為按照等式3,遞推公式只有14個取值,I(zi)<214,16個數字對應:I(z{16x})=0|I(z{16x+1})|I(z{16x+2})|…|I(z{16x+14})|差值16個數字對應最大取值:0|21-1|22-1|…|214-1|差值)等式4:約束所有用戶總余額與交易所宣稱的余額一致原地址
熊市漫漫,熱點分散。在缺乏明確投資機會的當下,本著“寧可錯付gas,不能放過大毛”的原則,我將視線與精力投向了優質項目交互,說不定還能提前發現下一價值標的,是吧.
1900/1/1 0:00:002022年對Crypto來說是慘淡的一年,穩定幣、對沖基金、貸款機構和交易所都以可怕的方式內爆。該領域的大部分都崩潰了,但在大屠殺中仍有一些增長點.
1900/1/1 0:00:00今日,Gemini聯合創始人CameronWinklevoss代表其Earn產品超過34萬名用戶,向DCG創始人BarrySilbert發送一封公開信,要求他償還所欠的9億多美元.
1900/1/1 0:00:00今天上午,比特幣強勢突破18000美元,ETH站上1400美元,其他幣種也多有不同幅度的上漲,加密總市值重回9000億美元.
1900/1/1 0:00:00在過去的兩年里,DAO的資金總規模已經增長了100多倍,達到約100億美元。隨著DAO從其基本構造轉變為具有包含多個維度的事務的更復雜的組織,對于DAO的建設者們,使用經過實戰檢驗的操作框架變得.
1900/1/1 0:00:00年度事件 2022年是風險投資領域充滿挑戰的一年,市場低迷不僅影響了傳統資產類別如股票、債券,甚至波及了加密貨幣領域.
1900/1/1 0:00:00