特別感謝BalajiSrinivasan以及Coinbase、Kraken和Binance團隊的探討。每當大型中心化交易所崩潰時,一個常被提及的問題是:我們是否可以利用加密技術來解決這個問題。交易所可以通過創建密碼學證明的方式證明其鏈上持有的資金足以償付用戶,而不僅僅依靠政府牌照、審計員、調查公司治理以及交易所法人背調等「法幣」方案。更有野心的是,交易所可以建立一個未經儲戶同意無法提取儲戶資金的系統。我們可以嘗試探索「不作惡」有職業素養的CEX與「無法作惡」卻泄漏隱私的低效鏈上DEX之間的界限。這篇文章將深入探討讓CEX更加去信任的歷史嘗試,與其采用技術的局限性,以及一些依賴ZK-SNARKs等先進技術的有力手段。余額表和Merkle樹:傳統的可償付證明
交易所試圖用密碼學來證明自己沒有欺騙用戶的最早嘗試可以追溯到很久以前。2011年,當時最大的比特幣交易所MtGox通過發送一筆移動424,242個BTC到預先公布地址的交易來證明他們擁有該筆資金。2013年,大家開始討論如何解決該問題的另一面:證明用戶存款的總規模。如果你證明用戶的存款等于X,并證明擁有X個代幣的私鑰,那么就提供了可償付證明:你證明了交易所有足夠的資金償還給儲戶。提供存款證明的最簡單方法是公布一個列表。每個用戶都可以檢查他們在列表中的余額,而且任何人都可以檢查完整的列表:每項余額都是非負的;總額是宣稱的金額。當然,這會破壞隱私,所以我們可以稍微改變一下該方案:發布一個<username,salt),balance>列表,并私下給用戶發送salt值。但即使這樣也會泄漏余額與其分布。為了保護隱私,我們采用了后續技術:Merkle樹技術。
綠色:Charlie的節點。藍色:Charlie收到用于證明的節點。黃色:根節點,向所有人公布Merkle樹技術會將用戶余額表放進Merkle總和樹。在Merkle總和樹中,每個節點都是對。底層葉子節點表示各個用戶的余額以及用戶名的加鹽哈希。在每個更高層的節點中,余額是下面兩個節點余額的總和,而哈希是下面兩個節點的哈希。Merkle總和證明和Merkle證明一樣,是一個由葉子節點到根節點路徑上所有姐妹節點組成的「分支」。首先,交易所會向每個用戶發送一份其余額的Merkle總和證明。然后,用戶能夠確定其余額作為總額的一部分而被正確地包含。可以在這里找到簡單的示例代碼。#Thefunctionforcomputingaparentnodegiventwochildnodesdefcombine_tree_nodes(L,R):L_hash,L_balance=LR_hash,R_balance=RassertL_balance>=0andR_balance>=0new_node_hash=hash(L_hash+L_balance.to_bytes(32,'big')+R_hash+R_balance.to_bytes(32,'big'))return(new_node_hash,L_balance+R_balance)#BuildsafullMerkletree.Storedinflattenedformwhere#nodeiistheparentofnodes2iand2i+1defbuild_merkle_sum_tree(user_table:"List"):tree_size=get_next_power_of_2(len(user_table))tree=(*tree_size++)foriinrange(tree_size-1,0,-1):tree=combine_tree_nodes(tree,tree)returntree#Rootofatreeisstoredatindex1intheflattenedformdefget_root(tree):returntree#Getsaproofforanodeataparticularindexdefget_proof(tree,index):branch_length=log2(len(tree))-1#^=bitwisexor,x^1=sisternodeofxindex_in_tree=index+len(tree)//2returnforiinrange(branch_length)]#Verifiesaproof(duh)defverify_proof(username,salt,balance,index,user_table_size,root,proof):leaf=userdata_to_leaf(username,salt,balance)branch_length=log2(get_next_power_of_2(user_table_size))-1foriinrange(branch_length):ifindex&(2**i):leaf=combine_tree_nodes(proof,leaf)else:leaf=combine_tree_nodes(leaf,proof)returnleaf==root這種設計下的隱私泄露遠低于公開完整的余額表,并可以在每次默克爾根發布時打亂各個分支來進一步降低隱私泄漏風險,但仍存在一些隱私泄露的問題:Charlie知道某人的余額為164ETH,某兩個用戶余額的總和為70ETH,等等。控制多個帳戶的攻擊者仍能了解交易所用戶的大量信息。該方案的一個重要的微妙之處在于負余額的可能性:如果一個擁有1390ETH用戶余額卻只有890ETH儲備的交易所試圖通過在樹上某處的一個假賬戶下添加-500ETH余額來彌補差額,該怎么辦?這種可能性實際上并沒有破壞該方案,這就是我們特地使用Merkle總和樹而不是常規Merkle樹的原因。假設Henry是交易所控制的假賬戶,而且交易所在上面放了-500ETH:
Vitalik:以太坊需要改進的不僅是協議的功能,需要對應用程序和錢包進行深度改變:金色財經報道,以太坊創始人Vitalik Buterin發布《The Three Transitions》文章。Vitalik稱,當以太坊從一個年輕的實驗性技術過渡到一個成熟的技術棧,能夠真正為普通用戶帶來開放、全球和無需許可的體驗,堆棧需要大致同時經歷三個主要的技術過渡:向L2擴展過渡,每個人都轉向Rollup;向錢包安全過渡,每個人都使用智能合約錢包;向隱私過渡,確保保護隱私的資金轉移可行。
由于上述原因,這三個轉變至關重要。但它們也具有挑戰性,因為要妥善解決這些問題需要密切協調。需要改進的不僅是協議的功能;在某些情況下,我們與以太坊交互的方式需要從根本上改變,需要對應用程序和錢包進行深度的改變。[2023/6/9 21:27:01]
Greta的驗證將不會通過:當交易所將不得不把Henry余額為-500ETH的節點的給她時,她會拒絕掉該無效節點。Eve和Fred也會驗證失敗,因為Henry之上的中間節點余額為-230ETH,所以該節點也是無效的!為了盜用行為不被發現,交易所只能寄望于樹的右半部分沒人檢查其余額證明。如果交易所能夠挑選出這樣的擁有500ETH的用戶:他們嫌麻煩不去檢查余額證明,或者當他們抱怨未能收到余額證明時,大家并不相信他們,那么交易所就可以蒙混過關。但是,交易所也可以通過將這些用戶排除在Merkle總和樹之外來達到相同的效果。因此,如果僅就負債證明而言,Merkle樹技術基本滿足了需求。但它的隱私特性仍不夠理想。你可以更巧妙地使用Merkle樹進行改進,比如把satoshi或wei作為一個獨立的葉子節點。然而,通過使用更先進的技術,還可以做得更好。使用ZK-SNARKs來提高隱私性和健壯性
ZK-SNARKs是一項強大的技術。ZK-SNARKs對密碼學的意義類似于人工智能:一項足以碾壓數十年前為了解決一系列問題而開發的一系列專用技術的通用技術。因此,我們當然可以使用ZK-SNARKs極大地簡化和改善負債證明協議中的隱私。我們可以簡單地將所有用戶的存款放進Merkle樹將不會泄漏任何其他用戶的余額。
Terra Classic獨立開發團隊TerraCVita擬申請幣安“行業復蘇計劃”資金支持:2月24日消息,Terra Classic獨立開發團隊TerraCVita發推向社區征求意見,希望申請幣安的“行業復蘇計劃”資金支持。目前已獲得社區大多數人的同意,Terra Classic驗證者BetterLunc也支持這一想法并強調幣安一直致力于為DeFi項目提供幫助。
TerraCVita于今年1月完成100萬美元融資,而幣安則是在去年11月宣布推出規模達10億美元的“行業復蘇計劃”。(The Crypto Basic)[2023/2/24 12:27:54]
使用KZG承諾是避免隱私泄露的一種方法,因為其不需要把「姐妹節點」作為證明提供,并且可以使用簡單的ZK-SNARK來證明余額的總和,并且每個余額都是非負的。我們可以通過一個專用的ZK-SNARK來證明上述KZG中余額的總和及其非負性。這里有一個簡單的例子。我們引入了一個輔助多項式I(x),其「構建出用戶余額的每一位」,其中每第16個位置追蹤差額保證,只有當實際總額與宣稱總額相等該值才會是0。如果z是一個128階的原根,我們可以證明方程成立:
譯者注:對這個多項式等式的解讀。如何把這些等式轉換為多項式校并在后續轉換為ZK-SNARK可以參考我撰寫關于ZK-SNARKs文章的此處和另外一處。這并不是一個最優的協議,但讓這些密碼學證明比較好理解!只需要幾個額外的方程式,該約束系統就可以適配更復雜的設定。例如,在杠桿交易系統中,個人用戶擁有負余額是可以接受的,但前提是他們需要擁有足夠的抵押資產以覆蓋其負債。SNARK可以用于證明這一更為復雜的約束,向用戶保證,交易所不能秘密違規豁免某些用戶,從而危及用戶資產。長遠來看,這種ZK負債證明的用處不限于交易所中的用戶存款,還可以用于更廣泛的貸款場景。任何貸款的人都會將記錄放入含該貸款的一個多項式或一棵樹中,而根會在鏈上發布。這將使得任何尋求貸款的人向放款方提供零知識證明,以表明其未獲得太多其他貸款。最終,法律上的創新甚至可以使得以這種方式進行承諾的貸款比無承諾的貸款擁有更高的優先級。這與我們在《去中心化社會:尋找Web3的靈魂》中討論的一個想法不謀而合:通過某種形式的「靈魂綁定代幣」,使得鏈上負面信譽的概念成為可能。資產證明
Vitalik為印度新冠援救運動捐贈100個枚ETH和100枚MKR:4月25日,Polygon聯合創始人Sandeep推特顯示,Vitalik為印度新冠援救運動捐贈超60萬美元加密貨幣。目前印度新冠疫情嚴重,Polygon聯合創始人Sandeep發起了援救運動,發動加密貨幣圈提供幫助。根據Etherscan信息,以太坊聯合創始人 Vitalik Buterin 已經捐贈已捐贈了 100 個 ETH 和 100 個 MKR。[2021/4/25 20:55:41]
資產證明最簡單的版本是我們上面看到的協議:為了證明您持有X個代幣,您只需在預定時間移動X個代幣或在交易中攜帶「這些資金屬于Binance」的信息。為了避免支付交易手續費,你可以簽署一條鏈下消息。比特幣和以太坊都有鏈下簽名信息標準。這種簡單的資產證明技術存在兩個實際問題:冷錢包處理抵押品重用出于安全考慮,大多數交易所會將大部分用戶資金存儲在冷錢包中:在離線的計算機上,交易需要手動簽名并攜帶到互聯網上。這種手段是很普遍的:我過去用于存放私人資金的冷錢包放在一臺永久離線的計算機上,它會生成包含已簽名交易的二維碼,然后我會用手機掃描這些二維碼。由于資金量龐大,交易所使用的安全協議會更加復雜,經常涉及在多個設備間的多方計算,以進一步降低單設備被黑導致密鑰泄露的可能性。在這種背景下,即使是創建一條額外消息來證明對地址的控制也是一項昂貴的操作!交易所可以采用以下幾種方式:●維護一些長期使用的公開地址。交易所生成若干地址,僅發布一次每個地址所有權證明,然后重復使用這些地址。這是迄今為止最簡單的方案,盡管它在保護安全及隱私上增加了一些限制。●持有很多地址,然后隨機證明幾個地址。交易所持有很多地址,甚至可能每個地址只用一次,并在單次交易后不再使用。在這種情況下,交易所需要有一個協議,不時地隨機選擇一些地址,交易所必須「打開」以證明所有權。一些交易所已通過審計員進行了類似的操作,但原則上,這種技術可以轉化為完全自動化的程序。●更復雜的ZKP方式。例如,交易所可以將其所有地址設置1/2多簽,這些地址的其中一份密鑰各不相同,而另一份相同的密鑰是以某種復雜但安全的方式存儲起來重要的緊急備份盲版。為了保護隱私并避免泄漏其全部地址,交易所甚至可以在區塊鏈上運行零知識證明以證明該格式鏈上地址的總余額。另一個主要問題是防止抵押品重用。彼此間來回轉移抵押品以證明儲備金對交易所而言通常很容易辦到,這使得實際上沒有償付能力的情況下蒙混過關。理想情況下,可償付證明應該實時完成,并在每個區塊后更新證明。如果不切實際的話,那么下一個最好的辦法就是交易所間協調出一個固定的時間進行證明,例如在UTC時間每周二下午2點證明儲備。最后一個問題是:能在法定貨幣上做資產證明嗎?交易所不僅持有加密貨幣,還持有銀行系統內的法幣。在這方面,回答是肯定的,但這樣的程序將不可避免地依賴于「法幣」信任模型:銀行自身可以證明余額,審計人員可以證明資產負債表等。鑒于法幣不能通過密碼學驗證,這是在該框架內的最佳方案,仍然值得一做。另一種方法是將實體A和實體B分離開來,A負責運行交易所并且處理USDC這種由某種資產背書的穩定幣;而B負責在加密貨幣和傳統銀行系統之間處理現金流入和流出的過程,在這個案例中B即是USDC本身。由于USDC的「負債」只是鏈上的ERC20代幣,所以負債證明是可以「輕易」獲得的,而我們只需處理資產證明的問題。Plasma和validiums:我們可以實現非托管CEX嗎?
Vitalik發起EIP-3298提案 gas費回歸正常:2月28日消息,Vitalik在昨天發起EIP 3298提案,提案內容為在倫敦升級中移除“執行SELFDESTRUCT獲得gas費減少獎勵”的規則。
據悉,以太坊網絡的gas費受以太坊狀態(節點存儲的合約和地址信息集合)大小的影響,以太坊狀態越膨脹,全網gas就會相應上漲。而“SELFDESTRUCT(自毀)”是虛擬機級別的操作碼,通過執行該操作碼銷毀合約,以太坊虛擬機會向用戶退回一部分gas費,從而激勵以太坊狀態收縮。但是一部分開發者在gas費較低時將gas存儲到合約中,在gas費較高時執行“SELFDESTRUCT”來進行套利,這種事先填充“便宜的gas”的行為其實導致了網絡膨脹。Vitalik發起該提案后,以太坊gas已經回到幾十Gwei水平。[2021/2/28 18:00:26]
假設我們想更進一步:我們不想僅僅證明交易所有足夠資金償還其用戶。相反,我們想徹底防止交易盜用用戶的資金。在這上第一個嘗鮮的是Plasma,這是一種2017年和2018年在以太坊研究界流行的擴容解決方案。Plasma的工作原理是將余額拆分為一組獨立的「代幣」,每個代幣都會分配一個索引,并放到Plasma區塊的Merkle樹中的特定位置上。要進行有效的代幣轉移,需要將交易放到樹中的正確位置上,而樹根會被發布到鏈上。
Plasma的一個版本的極簡圖。代幣被保存在智能合約中,該合約在取款時會強制執行Plasma協議的規則。OmiseGo試圖基于此協議創建一個去中心化交易所,但從那時起,他們就轉向去做其他事了——就這而言,PlasmaGroup也是如此,他們去做了optimisticrollup項目Optimism。2018年對Plasma的局限性的探討讓大家從根本上懷疑Plasma的可行性。自2018年對Plasma的探討達到頂峰以來,ZK-SNARKs在擴容相關用例上變得愈加可行,正如我們上面所說的,ZK-SNARKs改變了一切。Plasma更新的版本是Starkware稱為validium的方案:除了數據被保存在鏈下以外,基本上與ZK-rollup相同。該構造適用于許多用例,可以想象其適用于任何中心化服務器需要證明其正確執行代碼的場景。在validium中,運營方無法竊取資金,但根據具體的實現細節,如果運營方消失,一些用戶資金可能會被卡住。現在看來一切很棒:CEX和DEX遠非二選一,事實證明,其中有一系列的選擇,包含各種形式的混合中心化,在那里你能獲得一些好處,比如效率,但仍有很多密碼學保障,可以防止中心化運營方的大部分形式的惡意行為。
V神(Vitalik Buterin)以太坊創始人針對特朗普稅改立法發表言論:
12月3日V神(Vitalik Buterin)在Twitter發表言論,表示與特朗普在稅改立法方案上持有不同的觀點,但是會進一步研究他們的想法和方案。并表示不支持以太坊社區被放逐,這句話有一些含沙射影的意思,但V神特表示這只是他個人的信仰,單純的表達不同意的方式,與仇視言論無關。[2017/12/3]
然而,余下的基本問題也值得思考:如何處理用戶錯誤。到目前為止,最重要的錯誤類型是:如果用戶忘記了密碼、丟失了設備、被黑或無法訪問其帳戶,那該怎么辦?交易所可以解決這個問題:首先利用電子郵件恢復,如果連這都失敗了,再通過KYC進行更復雜的恢復。但若要解決這些問題,交易所需要真正控制這些代幣。為了能夠合理地恢復用戶資金,交易所需要擁有同樣可用于無故竊取用戶資金的權力。這是一個不可避免的權衡。理想的長期解決方案是依靠自我托管,用戶在未來可以方便地使用諸如多簽及社交恢復錢包等技術來幫助處理緊急情況。而短期內,有兩種明顯的替代方案,有著不同的成本和收益:
另一個重要問題是對跨鏈支持:交易所需要支持很多不同的鏈,諸如Plasma和validiums等系統需要用不同的語言編寫代碼以支持不同的平臺,并且在當前形式下無法在一些平臺上實現,這有望通過技術升級和標準化來解決;然而,從短期來看,這是如今托管型交易所保持托管模式的另一個原因。結論:展望未來更好的交易所
短期內,有兩種明確的交易所類別:托管型交易所和非托管型交易所。如今,后一類即像Uniswap那樣的DEX,未來我們可能還會看到受密碼學約束的CEX,其中用戶資金會以類似validium智能合約的方式持有。我們也可能會看到半托管型交易所,其中我們信任其對法幣而非加密貨幣的處理。這兩種類型的交易所將繼續存在,而提高托管型交易所安全性的向后兼容最簡單方法是增加儲備證明。這包括資產證明和負債證明的結合。為兩者都設計出優秀的協議仍存在著一些挑戰,但我們能夠且應當推動兩類技術的齊頭并進,并盡可能開源軟件和程序,以便所有交易所都能獲益。從長遠來看,我希望我們向著所有交易所皆為非托管的方向發展,至少在加密貨幣上如此。錢包恢復將會存在,可能需要為小額資金的新用戶和出于法律因素需要此類安排的機構提供高度中心化的恢復選項,但這可以在錢包層而非交易所內部完成。在法幣方面,傳統銀行系統和加密貨幣生態系統之間的移動可以通過USDC等資產背書穩定幣原生的資金進出流程完成。然而,我們仍有很長的路要走。譯者注:?每16個數字代表一個用戶。我們可以看到上面的舉例代表了兩個用戶?宣稱的用戶平均余額:185?用戶1的余額:20->000000000010100差額:20-185=-165?用戶2的余額:50->000010100110010差額:-165+50-185=-300?最終遍歷完所有用戶,最后一個用戶的差額要求為0?四個等式的解釋等式1:遞推的初始值為0等式2:每個用戶余額需要跟KZGcommitment相對應等式3:每個用戶余額的遞推公式,約束余額>=0且<214(上面說余額<215應該是筆誤,因為按照等式3,遞推公式只有14個取值,I(zi)<214,16個數字對應:I(z{16x})=0|I(z{16x+1})|I(z{16x+2})|…|I(z{16x+14})|差值16個數字對應最大取值:0|21-1|22-1|…|214-1|差值)等式4:約束所有用戶總余額與交易所宣稱的余額一致原地址
本文來自DappRadar,原報告篇幅較長,Odaily星球日報在此僅摘取翻譯其十大要點。 對于加密行業來說,2022年無疑是一系列的高潮和低谷.
1900/1/1 0:00:00本文來自微信公眾號FastDaily。價格暴跌和加密貨幣的崩潰占據了2022年的頭條新聞,但仍舊可以認為2022年也是比特幣取得重大進展的一年.
1900/1/1 0:00:00Odaily星球日報譯者|念銀思唐基于以太坊的DeFi協議SushiSwap決定關閉其借貸協議Kashi和代幣Launchpad平臺MISO.
1900/1/1 0:00:002022年是充滿驚喜的,不是嗎?至少我沒想到……一個排名前三的交易所犯下歷史上最嚴重的欺詐行為之一最大的加密貨幣基金是一個大規模的過度杠桿化騙局最大的區塊鏈之一歸零并被國際刑警組織通緝但我們應該.
1900/1/1 0:00:002023年Web3最大的風口將是什么?縱觀加密領域牛熊變換的周期循環,在混亂與爆發之間,總有一批又一批新興項目能夠探尋到發展的契機.
1900/1/1 0:00:00熊市漫漫,熱點分散。在缺乏明確投資機會的當下,本著“寧可錯付gas,不能放過大毛”的原則,我將視線與精力投向了優質項目交互,說不定還能提前發現下一價值標的,是吧.
1900/1/1 0:00:00