A confiança dos utilizadores em trocas na sequência do colapso do FTX, Buterin discute como os CEXs podem provar de forma criptográfica a solvência.
O colapso do FTX corroeu gravemente a confiança dos utilizadores nas trocas criptográficas centralizadas. A maioria dos investidores apercebeu-se finalmente da importância de possuir as chaves dos seus activos digitais e deslocou volumes recorde de fichas das trocas para carteiras não-custodiadas.
Estes eventos trouxeram uma onda de urgência para que as trocas centralizadas fornecessem provas fiáveis de que possuem mais activos do que passivos. Num post de blogue no dia 19 de Novembro, o co-fundador do Ethereum Vitalik Buterin analisou os métodos criptográficos utilizados até agora pelas trocas para se tornar sem confiança, incluindo as limitações de tais métodos.
Ele também sugeriu novas técnicas de trocas centralizadas para alcançar a ausência de confiança envolvendo o conhecimento zero Argumento Sucinto Não Interactivo do Conhecimento (ZK-SNARKs) e outras tecnologias avançadas.
Binance, Coinbase, e Kraken, juntamente com um sócio geral de 16z e antigo CTO da Coinbase Balaji Srinivasan, contribuíram para o post.
Prover a solvência através de listas de balanço e Merkle trees
Em 2011, o Monte Gox foi uma das primeiras trocas a fornecer prova de solvência através da transferência de 424.242 BTC de uma carteira fria para um endereço pré-anunciado do Monte Gox. Foi posteriormente revelado que a transacção pode ter sido enganadora, uma vez que os activos transferidos podem não ter sido transferidos de uma carteira frigorífica.
Em 2013, iniciaram-se discussões sobre como as trocas poderiam provar a dimensão total dos seus depósitos de utilizadores. A ideia era que se as trocas provassem o total dos seus depósitos de utilizadores, ou seja, o seu passivo total, juntamente com a sua propriedade de um montante equivalente de activos, ou seja, prova de activos, então provaria a sua solvência.
Por outras palavras, se as bolsas pudessem provar que possuíam activos iguais ou superiores aos seus depósitos de utilizadores, provaria a sua capacidade de reembolsar todos os utilizadores em caso de pedidos de levantamento.
A forma mais fácil para as bolsas provarem o total dos depósitos dos utilizadores era simplesmente publicarem uma lista de nomes de utilizadores juntamente com os saldos das suas contas. No entanto, isto violava a privacidade dos utilizadores, mesmo que as trocas apenas publicassem uma lista de hash e saldos. Por conseguinte, foi introduzida a técnica da árvore Merkle, que permite a verificação de grandes conjuntos de dados.
Na técnica da árvore Merkle, a tabela de saldos de utilizadores é inserida numa árvore de soma Merkle, na qual cada nó, ou folha, é um equilíbrio e um par de hash. A camada mais baixa dos nós contém balanços individuais de utilizadores e hashes de nome de utilizador salgados. À medida que se sobe na árvore, cada nó representa a soma dos saldos dos dois nós abaixo dele e a soma dos hashes dos dois nós abaixo dele.
Exemplo de árvore de soma Merkle. Fonte: Vitalik Buterin
Embora a fuga de privacidade seja limitada nas árvores Merkle em comparação com as listas públicas de nomes e equilíbrios, não é completamente imune, escreveu Buterin. Os hackers que controlam um grande número de contas numa troca podem potencialmente ganhar um conhecimento significativo sobre os utilizadores da troca, acrescentou ele.
Buterin também observou:
“… a técnica da árvore Merkle é tão boa como um esquema de prova de responsabilidade pode ser, se o objectivo for apenas conseguir a prova de responsabilidade. Mas as suas propriedades de privacidade ainda não são as ideais.
Pode-se ir um pouco mais longe, usando árvores Merkle de formas mais inteligentes, como fazer cada satoshi ou wei uma folha separada, mas em última análise com tecnologia mais moderna há ainda melhores formas de o fazer”
O uso de ZK-SNARKs
As trocas podem colocar todos os saldos de utilizadores numa árvore Merkle ou num compromisso KZG e usar um ZK-SNARK para provar que todos os saldos são não negativos e somar ao valor total do depósito reclamado pela troca. A adição de uma camada de hashing para melhorar a privacidade garantiria que nenhum utilizador da troca poderia aprender alguma coisa sobre outros saldos de utilizadores.
Buterin escreveu:
“A longo prazo, este tipo de prova ZK de passivo talvez pudesse ser utilizado não só para depósitos de clientes em bolsas, mas também para empréstimos mais alargados.
“.
Por outras palavras, os mutuários poderiam fornecer aos mutuantes a prova ZK, garantindo-lhes que os mutuários não têm demasiados empréstimos abertos.
Using proof-of-assets
A versão mais fácil de comprovar a troca de bens próprios foi o método utilizado pelo Monte Gox. As trocas simplesmente movem os seus activos num momento pré-acordado ou numa transacção em que o campo de dados indica qual a troca que possui os activos. As trocas também podiam evitar a taxa de gás assinando uma mensagem fora da cadeia.
Contudo, esta técnica tem dois grandes problemas – lidar com o armazenamento a frio e a dupla utilização de garantias. A maioria das trocas mantém a maioria dos seus bens em câmaras frigoríficas para os manter seguros, o que significa que “fazer mesmo uma única mensagem extra para provar que o controlo de um endereço é uma operação dispendiosa”! Buterin escreveu.
Para lidar com os problemas, Buterin observou que as trocas poderiam utilizar alguns endereços públicos a longo prazo. As trocas poderiam gerar alguns endereços, provar a sua propriedade uma vez, e utilizar repetidamente os mesmos endereços. No entanto, isto apresenta desafios na preservação da privacidade e da segurança.
Alternativamente, as trocas poderiam ter muitos endereços e provar a sua propriedade de alguns endereços seleccionados aleatoriamente. Além disso, as trocas poderiam também utilizar ZK-proofs para assegurar a preservação da privacidade e fornecer o equilíbrio total de todos os endereços na cadeia, disse Buterin.
A segunda questão é assegurar que as trocas não embaralhem garantias para falsificar a solvência. Buterin disse:
“Idealmente, a prova de solvência seria feita em tempo real, com uma prova que se actualiza após cada bloco. Se isto for impraticável, o melhor seria coordenar num horário fixo entre as diferentes trocas, por exemplo, comprovando reservas às 1400 UTC todas as terças-feiras.”
A última edição está a fornecer provas de activos para moedas fiat. As trocas criptográficas contêm tanto activos digitais como moedas fiat. De acordo com Buterin, uma vez que os saldos das moedas fiat não são passíveis de verificação criptográfica, o fornecimento de provas de activos requer a dependência de “modelos fiat trust”. Por exemplo, os bancos que detêm fiat para câmbios podem atestar os saldos disponíveis e os auditores podem atestar os balanços.
Alternativamente, as bolsas poderiam criar duas entidades separadas – uma que lida com moedas estáveis apoiadas em activos e outra que lida com a ponte entre fiat e criptográfico. Buterin notou:
“Porque as “responsabilidades” do USDC são apenas fichas ERC20 na cadeia, a prova de responsabilidades vem “de graça” e só é necessária a prova de activos””
O uso de Plasma e validiums
Para evitar que as trocas roubem ou utilizem mal os fundos dos clientes, as trocas poderiam usar Plasma. Uma solução de escala que se tornou popular nos círculos de investigação Ethereum em 2017-2018, o Plasma divide o saldo em diferentes fichas, onde a cada ficha é atribuído um índice e tem uma posição particular na árvore Merkle de um bloco de Plasma.
No entanto, desde o advento do Plasma, as ZK-SNARKs surgiram como uma solução “mais viável”, observou Buterin. A versão moderna do Plasma é um validium, que é o mesmo que os ZK-rollups, mas os dados são armazenados fora da cadeia. No entanto, Buterin advertiu:
“Num validium, o operador não tem forma de roubar fundos, embora dependendo dos detalhes da implementação alguma quantidade de fundos dos utilizadores possa ficar presa se o operador desaparecer”
Os inconvenientes da descentralização total
O problema mais comum com trocas totalmente descentralizadas é que os utilizadores podem perder o acesso às suas contas se forem pirateados, esquecer a sua palavra-passe ou perder os seus dispositivos. As trocas podem resolver este problema através da recuperação de correio electrónico e outras formas avançadas de recuperação de contas através do conhecimento dos detalhes do seu cliente. Mas isto exigiria que a troca tivesse controlo sobre os fundos do utilizador.
Buterin escreveu:
“A fim de ter a capacidade de recuperar fundos de contas de utilizador por boas razões, as trocas precisam de ter poder que também possa ser utilizado para roubar fundos de contas de utilizador por más razões. Esta é uma troca inevitável”
A “solução ideal a longo prazo”, de acordo com Buterin, baseia-se na auto-custódia com carteiras multi-sig e de recuperação social. A curto prazo, contudo, os utilizadores precisam de seleccionar entre trocas centralizadas e descentralizadas, com base na troca com que se sentem confortáveis.
Opção Risco do lado da troca Risco do lado do utilizador
Troca de custódia (por exemplo, Coinbase hoje) Os fundos dos utilizadores podem ser perdidos se houver um problema do lado da troca A troca pode ajudar a recuperar a conta
Troca não-custodial (por exemplo Uniswap hoje) Os utilizadores podem retirar-se mesmo que a troca actue maliciosamente Os fundos dos utilizadores podem ser perdidos se o utilizador fizer asneira
Conclusões: o futuro das melhores trocas
A curto prazo, os investidores precisam de escolher entre trocas de custódia e trocas não-custodial ou trocas descentralizadas como a Uniswap. No entanto, no futuro, algumas trocas centralizadas poderão evoluir, que serão restringidas criptograficamente para que a troca não possa roubar fundos dos utilizadores, mantendo saldos num validium smart contract, disse Buterin.
O futuro pode também trazer cerca de trocas meio-custodial onde os utilizadores confiam a troca com fiat mas não com moedas criptográficas, acrescentou ele.
Embora ambos os tipos de trocas continuem a coexistir, a forma mais simples de aumentar a segurança das trocas de custódia é acrescentar a prova de reservas, observou Buterin. Isto incluiria uma combinação de prova de activos e prova de responsabilidade.
No futuro, Buterin espera que todas as trocas evoluam para se tornarem não-custódio, “pelo menos no lado criptográfico”. Existiriam opções centralizadas de recuperação da carteira, “mas isto pode ser feito na camada da carteira e não no interior da própria troca”, disse ele.
Do lado do fiat, as trocas poderiam implementar os processos de cash-in e cash-out nativos de fiat-backed stablecoins como USDT e USDC. Mas “ainda vai demorar algum tempo até conseguirmos lá chegar completamente”, advertiu Buterin.
