Wśród słabnącego zaufania użytkowników do giełd w następstwie upadku FTX, Buterin omawia, jak CEX-y mogą kryptograficznie udowodnić wypłacalność.
Upadek FTX poważnie nadszarpnął zaufanie użytkowników do scentralizowanych giełd kryptowalut. Większość inwestorów w końcu zdała sobie sprawę z wagi posiadania kluczy do swoich cyfrowych aktywów i przeniosła rekordowe ilości tokenów z giełd do portfeli niebędących depozytami.
Wydarzenia te wywołały falę pilności dla scentralizowanych giełd, aby zapewnić wiarygodny dowód, że posiadają więcej aktywów niż zobowiązań. We wpisie na blogu z 19 listopada współzałożyciel Ethereum Vitalik Buterin przeanalizował metody kryptograficzne wdrożone do tej pory przez giełdy, aby stać się pozbawionymi zaufania, w tym ograniczenia takich metod.
Zasugerował również nowe techniki dla scentralizowanych giełd w celu osiągnięcia braku zaufania obejmujące zerową wiedzę Succinct Non-Interactive Argument of Knowledge (ZK-SNARKs) i inne zaawansowane technologie.
Binance, Coinbase i Kraken, wraz z generalnym partnerem a16z i byłym CTO Coinbase Balaji Srinivasan, przyczynili się do powstania postu.
Proving solvency through balance lists and Merkle trees
W 2011 roku Mt. Gox była jedną z pierwszych giełd, która dostarczyła dowód wypłacalności poprzez transfer 424 242 BTC z zimnego portfela na wcześniej ogłoszony adres Mt. Gox. Później ujawniono, że transakcja mogła być myląca, ponieważ przeniesione aktywa mogły nie zostać przeniesione z zimnego portfela.
W 2013 roku rozpoczęły się dyskusje na temat tego, w jaki sposób giełdy mogłyby udowodnić całkowitą wielkość depozytów użytkowników. Pomysł był taki, że jeśli giełdy udowodnią swoje całkowite depozyty użytkowników, czyli ich całkowite zobowiązania, wraz z posiadaniem równoważnej ilości aktywów, czyli proof-of-assets, to udowodni to ich wypłacalność.
Innymi słowy, jeżeli giełdy mogłyby udowodnić, że posiadają aktywa w wysokości równej lub większej niż ich depozyty użytkowników, dowodziłoby to ich zdolności do spłacenia wszystkich użytkowników w przypadku żądania wypłaty.
Najprostszym sposobem udowodnienia przez giełdy łącznej wartości depozytów użytkowników było po prostu opublikowanie listy nazw użytkowników wraz z saldami ich kont. Jednak naruszało to prywatność użytkowników, nawet jeśli giełdy publikowały tylko listę haseł i sald. Dlatego wprowadzono technikę drzewa Merkle’a, która umożliwia weryfikację dużych zbiorów danych.
W technice drzewa Merkle’a tabela sald użytkowników jest wstawiana do drzewa sum Merkle’a, w którym każdy węzeł, czyli liść, jest parą salda i hasha. Najniższa warstwa węzłów zawiera indywidualne bilanse użytkowników i zasolone hashe nazw użytkowników. W miarę przesuwania się w górę drzewa każdy węzeł reprezentuje sumę sald dwóch węzłów znajdujących się pod nim oraz sumę hashy dwóch węzłów znajdujących się pod nim.
Przykład drzewa sum Merkle’a. Źródło: Vitalik Buterin
Choć wyciek prywatności jest ograniczony w drzewach Merkle w porównaniu z publicznymi listami nazwisk i sald, nie jest całkowicie odporny, napisał Buterin. Hakerzy, którzy kontrolują dużą liczbę kont na giełdzie, mogą potencjalnie zdobyć znaczącą wiedzę o jej użytkownikach, dodał.
Buterin zauważył również:
„… technika drzewa Merkle’a jest tak dobra, jak tylko może być schemat proof-of-liabilities, jeśli tylko osiągnięcie proof of liabilities jest celem. Ale jego właściwości prywatności nadal nie są idealne.
Można pójść trochę dalej, używając drzew Merkle’a w bardziej sprytny sposób, na przykład czyniąc każdy satoshi lub wei osobnym liściem, ale ostatecznie z bardziej nowoczesną technologią istnieją jeszcze lepsze sposoby, aby to zrobić. „
Używanie ZK-SNARKów
Kongresy mogą umieścić wszystkie salda użytkowników w drzewie Merkle’a lub zobowiązaniu KZG i użyć ZK-SNARK do udowodnienia, że wszystkie salda są nieujemne i sumują się do całkowitej wartości depozytu deklarowanej przez giełdę. Dodanie warstwy haszowania w celu poprawy prywatności zapewniłoby, że żaden użytkownik wymiany nie może dowiedzieć się niczego o saldach innych użytkowników.
Buterin napisał:
„W dłuższej przyszłości tego rodzaju dowód zobowiązań ZK mógłby być być być może wykorzystywany nie tylko do depozytów klientów na giełdach, ale do udzielania pożyczek w szerszym zakresie. ”
Innymi słowy, kredytobiorcy mogliby dostarczać kredytodawcom dowody ZK zapewniające ich, że kredytobiorcy nie mają zbyt wielu otwartych kredytów.
Używanie proof-of-assets
Najprostszą wersją udowodnienia, że giełdy posiadają aktywa była metoda wdrożona przez Mt. Gox. Giełdy po prostu przenoszą swoje aktywa w uzgodnionym wcześniej czasie lub w transakcji, w której pole danych wskazuje, która giełda jest właścicielem aktywów. Giełdy mogły również uniknąć opłaty za gaz, podpisując wiadomość poza łańcuchem.
Technika ta ma jednak dwa poważne problemy – radzenie sobie z przechowywaniem w chłodni i podwójnym wykorzystaniem zabezpieczeń. Większość giełd trzyma większość swoich aktywów w zimnym magazynie, aby zachować ich bezpieczeństwo, co oznacza, że „wykonanie nawet jednej dodatkowej wiadomości, aby udowodnić kontrolę nad adresem, jest kosztowną operacją!” napisał Buterin.
Aby poradzić sobie z problemami, Buterin zauważył, że giełdy mogłyby używać kilku publicznych adresów w dłuższej perspektywie. Giełdy mogłyby wygenerować kilka adresów, udowodnić ich własność raz i używać tych samych adresów wielokrotnie. Jednak wiąże się to z wyzwaniami dotyczącymi zachowania prywatności i bezpieczeństwa.
Alternatywnie, giełdy mogłyby mieć wiele adresów i udowodnić swoją własność kilku losowo wybranych adresów. Ponadto giełdy mogłyby również używać ZK-proofs, aby zapewnić ochronę prywatności i zapewnić całkowity bilans wszystkich adresów on-chain, powiedział Buterin.
Drugą kwestią jest zapewnienie, że giełdy nie tasują zabezpieczeń, aby sfałszować wypłacalność. Buterin powiedział:
„Idealnie byłoby, gdyby dowód wypłacalności odbywał się w czasie rzeczywistym, z dowodem, który aktualizuje się po każdym bloku. Jeśli jest to niepraktyczne, kolejną najlepszą rzeczą byłaby koordynacja w ustalonym harmonogramie pomiędzy różnymi giełdami, np. udowadnianie rezerw o 1400 UTC w każdy wtorek. „
Ostatnią kwestią jest zapewnienie proof-of-assets dla walut fiat. Giełdy kryptowalut przechowują zarówno cyfrowe aktywa, jak i waluty fiat. Według Buterina, ponieważ salda walut fiat nie są weryfikowalne kryptograficznie, zapewnienie dowodu aktywów wymaga zależności od „modeli zaufania fiat”. Na przykład banki, które przechowują fiat dla giełd, mogą poświadczyć dostępne salda, a audytorzy mogą poświadczyć bilanse.
Alternatywnie, giełdy mogłyby stworzyć dwa oddzielne podmioty – jeden, który zajmuje się stablecoinami zabezpieczonymi aktywami i drugi, który obsługuje pomost między fiatem a kryptowalutami. Buterin zauważył:
„Ponieważ „zobowiązania” USDC to tylko tokeny on-chain ERC20, dowód zobowiązań przychodzi „za darmo” i wymagany jest tylko dowód aktywów. „
Wykorzystanie plazmy i validium
Aby całkowicie uniemożliwić giełdom kradzież lub niewłaściwe wykorzystanie środków klientów, giełdy mogłyby wykorzystać Plasma. Rozwiązanie skalujące, które stało się popularne w kręgach badawczych Ethereum w latach 2017-2018, Plasma dzieli saldo na różne tokeny, gdzie każdy token ma przypisany indeks i ma określoną pozycję w drzewie Merkle’a bloku Plasma.
Jednak od czasu pojawienia się Plasmy, ZK-SNARKs pojawił się jako „bardziej opłacalne” rozwiązanie, zauważył Buterin. Nowoczesna wersja Plazmy to validium, które jest takie samo jak ZK-rollups, ale dane są przechowywane poza łańcuchem. Buterin ostrzegł jednak:
„W validium operator nie ma możliwości kradzieży środków, choć w zależności od szczegółów implementacji pewna ilość środków użytkownika może utknąć, jeśli operator zniknie. „
Wady pełnej decentralizacji
Najczęstszym problemem z w pełni zdecentralizowanymi giełdami jest to, że użytkownicy mogą stracić dostęp do swoich kont, jeśli zostaną zhakowani, zapomną hasła lub stracą swoje urządzenia. Giełdy mogą rozwiązać ten problem poprzez odzyskiwanie e-maili i inne zaawansowane formy odzyskiwania kont poprzez dane know-your-customer. Ale to wymagałoby, aby giełda miała kontrolę nad środkami użytkownika.
Buterin napisał:
„Aby mieć możliwość odzyskania środków z kont użytkowników z dobrych powodów, giełdy muszą mieć władzę, która może być również wykorzystana do kradzieży środków z kont użytkowników ze złych powodów. Jest to nieunikniony kompromis. „
„Idealnym rozwiązaniem długoterminowym”, według Buterina, jest poleganie na samoubezpieczeniu za pomocą multi-sig i portfeli z odzyskiem społecznym. W krótkim okresie użytkownicy muszą jednak wybrać między scentralizowanymi i zdecentralizowanymi wymianami w oparciu o kompromis, z którym czują się komfortowo.
Opcja Ryzyko po stronie giełdy Ryzyko po stronie użytkownika
Wymiana powiernicza (np. Coinbase dzisiaj)Środki użytkownika mogą zostać utracone, jeśli wystąpi problem po stronie wymianyGiełda może pomóc w odzyskaniu konta
Wymiana niekurierska (np. Uniswap dzisiaj)Użytkownicy mogą się wycofać nawet jeśli giełda działa złośliwie Środki użytkownika mogą zostać utracone, jeśli użytkownik spieprzy
Wnioski: przyszłość lepszych giełd
W krótkim okresie inwestorzy muszą wybierać między giełdami custodialnymi a nie-custodialnymi lub zdecentralizowanymi giełdami, takimi jak Uniswap. Jednak w przyszłości mogą ewoluować niektóre scentralizowane giełdy, które będą ograniczone kryptograficznie, aby giełda nie mogła ukraść środków użytkowników, poprzez trzymanie sald w validium smart contract, powiedział Buterin.
Przyszłość może również przynieść o pół-kustodialnych wymianach, gdzie użytkownicy ufają wymianie z fiatem, ale nie kryptowalutami, dodał.
Podczas gdy oba rodzaje giełd będą nadal współistnieć, najprostszym sposobem na zwiększenie bezpieczeństwa giełd powierniczych jest dodanie proof-of-reserves, zauważył Buterin. Obejmowałoby to połączenie proof-of-assets i proof-of-liabilities.
W przyszłości Buterin ma nadzieję, że wszystkie giełdy będą ewoluować, aby stać się nie-custodial, „przynajmniej po stronie kryptowalut”. Istniałyby scentralizowane opcje odzyskiwania portfeli, „ale można to zrobić w warstwie portfela, a nie w ramach samej giełdy” – powiedział.
Po stronie fiat, giełdy mogłyby wdrożyć procesy cash-in i cash-out natywne dla stablecoinów wspieranych fiatem, takich jak USDT i USDC. Ale „to jeszcze trochę potrwa, zanim będziemy mogli w pełni osiągnąć ten cel”, ostrzegł Buterin.
