V God の最新の長い記事: CEX はテクノロジーを使用して潔白を証明する方法
この記事の由来は Vitalik Buterinこの記事の由来は
、Odailyの翻訳者Katie Kooによって編集されました。
この投稿では、CEX をトラストレスに一歩近づけようとするプロセス、これらのテクノロジーの制限、および ZK-SNARK などの高度なテクノロジーに依存するいくつかのソリューションとより強力なアイデアについて説明します。
副題
貸借対照表とマークル ツリー: 従来の支払能力の証明
取引所がユーザーを騙していないことを暗号的に証明しようとする最初の試みははるか昔に遡ります。 2011年、当時最大のビットコイン取引所だったMtGoxは、事前に発表されたアドレスに424,242ビットコインを転送するトランザクションを送信することで、資金があることを証明した。 2013 年に、問題のもう一方の側面、つまり顧客の預金総額の証明にどのように取り組むかについての議論が始まりました。顧客の預金が X に等しいことを証明し (責任の証明)、X トークンの秘密鍵を持っていることを証明すれば (資産の証明)、支払い能力の証明を取得したことになります。つまり、取引所に以下の資金があることを証明したことになります。すべての預金者を返済します。
デポジットを証明する最も簡単な方法は、(ユーザー名、残高) ペアのリストを公開することです。すべてのユーザーは自分の残高がリストに含まれているかどうかを確認でき、誰でも完全なリストを確認できます。以下を参照してください。
各残高はマイナスではありません。
合計が請求額となります。
もちろん、これではプライバシーが侵害されるため、スキームを少し変更することができます。
(ハッシュ「ユーザー名、ソルト」、バランス) ペアのリストを公開し、各ユーザーにソルト値を非公開で送信します。しかし、それでもバランスとバランス変化のパターンは明らかになってしまいます。
マークルツリーテクニック。
画像の説明
緑: チャーリーを表すノード。青: チャーリーが証明の一部として受け取る生成ノードを示します。黄色: ルート ノードを表し、すべての人に公開されます。
取引所は各ユーザーにメルケル首相の預金証拠を送信します。ユーザーには、自分の残高が合計額の一部として正しく含まれているという保証が与えられます。許容できるここここ
簡単なサンプル コードの実装を見つけます。
この設計で漏洩するプライバシーは、完全に公開されたリストよりもはるかに低く、「ルート」が解放されるたびにブランチを移動することでさらに減らすことができますが、それでもある程度のプライバシー漏洩はあります。チャーリーは、誰かが残高 164 を持っていることを知りました。 ETH 、残高の合計が 70 ETH になる 2 人のユーザーがいます。複数のアカウントを制御する攻撃者は、取引所のユーザーについて多くのことを知る可能性があります。
このスキームの重要な微妙な点は、残高がマイナスになる可能性があることです。取引所の顧客残高が 1390 ETH で、予備が 890 ETH しかない場合、残高を補うために、ツリーのどこかにある偽のアカウントの下に -500 ETH を追加してみてください。違います、どうすればいいですか?この可能性はスキームを壊さないことが判明しました。そのため、通常のマークル ツリーの代わりにマークル サム ツリーが特に必要になります。ヘンリーが取引所によって管理されている偽のアカウントであり、取引所は -500 ETH を置いたと仮定します。
取引所が500 ETH相当のユーザーを特定でき、その証拠をわざわざ確認しない、あるいは証拠を受け取っていないと苦情を申し立てても信頼できるユーザーを特定できれば、不正流用の疑いを逃れることができる。ただし、取引所はこれらのユーザーをツリーから除外することもでき、同じ効果が得られます。したがって、マークル ツリー テクノロジーは、責任の証明を達成することだけが目的であれば、基本的には責任の証明スキームと同じくらい優れています。しかし、そのプライバシー特性はまだ理想的ではありません。各サトシまたはウェイを個別のリーフにするなど、マークル ツリーをより賢明な方法で使用することもできますが、最終的には、より現代的な技術を使用すれば、これを行うためのより良い方法が存在します。
副題
ZK-SNARK を使用したプライバシーと堅牢性の向上
私たちができる最も簡単な方法は、すべてのユーザーの預金をマークル ツリー (または、より単純には KZG コミットメント) に入れ、ZK-SNARK を使用してツリー内のすべての残高がマイナスでないことを証明し、次のように追加することです。何らかの主張された価値。プライバシーのためにハッシュ層を追加すると、各ユーザーに与えられたマークル ブランチ (または KZG 証明) によって他のユーザーの残高が明らかになることはありません。
画像の説明
KZG コミットメントを使用することは、証拠として「姉妹ノード」を提供する必要がなく、単純な ZK-SNARK を使用して残高の合計を証明でき、各残高がマイナスではないため、プライバシー漏洩を回避する方法です。
専用の ZK-SNARK を使用して、上記の KZG の残高の合計と非負性を証明できます。以下に簡単な例を示します。各残高の一部を構成する補助多項式 I(x) を導入し (215 未満の残高を想定します)、実際の合計が宣言された合計と同じである場合にのみ、16 桁ごとのオフセットで合計を追跡します。一致する場合はゼロになります。 z が 1 の -128 乗根である場合、次の方程式を証明できます。
長期的には、このような ZK の債務証明は取引所への顧客の預金だけでなく、より一般的なローンにも使用される可能性があります。ローンを組む人は誰でも、ローンを含む多項式またはツリーにレコードを入力し、その構造のルートがオンチェーンで公開されます。これにより、ローンを求めている人は、他にあまり多くのローンを借りていないことを貸し手に証明できるようになります。最終的には、法的革新によって、この方法で実行されたローンが、そうでないローンよりも高い優先順位を与えられる可能性さえあります。これは私たちと一緒です「分散型社会:Web3の魂を探る」副題
資産の証明
Proof of Assets の最も単純なバージョンは、上で見たプロトコルです。X トークンを保有していることを証明するには、事前に合意された時間に X トークンを移動するか、データ フィールドに「これらの資金はバイナンスに属します」と含めるだけです。X トークンを移動します。の取引で。取引手数料の支払いを避けるために、オフチェーン メッセージに署名できます。ビットコインとイーサリアムの両方には、オフチェーンでメッセージに署名するための標準があります。
この単純な資産証明手法には、実際上 2 つの問題があります。
この単純な資産証明手法には、実際上 2 つの問題があります。
コールドウォレットの取り扱い。
セキュリティ上の理由から、ほとんどの取引所は顧客資金の大部分をコールドウォレットに保管しています。オフラインのコンピューターでは、トランザクションに手動で署名し、インターネットに転送する必要があります。私が過去に個人資金を保管するために使用していたコールド ウォレットのセットアップでは、署名されたトランザクションを含む QR コードを生成するために永久にオフラインのコンピューターが必要で、それを携帯電話でスキャンしました。現在の交換プロトコルはさらにクレイジーで、多くの場合、複数のデバイス間のマルチパーティ計算が必要になります。この設定では、アドレスの制御を証明するために追加のメッセージを作成するのはコストのかかる操作です。
取引所は次の方法を使用できます。
取引所は次の方法を使用できます。
長期使用のための公開アドレスをいくつか予約してください。交換はいくつかのアドレスを生成し、所有権を証明するために各アドレスの証明書を 1 回発行し、その後それらのアドレスを再利用します。これはこれまでで最も簡単なオプションですが、セキュリティとプライバシーを保護する方法にいくつかの制限が追加されます。
アドレスはたくさんありますが、いくつかを証明してみましょう。交換には多数のアドレスがあり、場合によっては各アドレスを 1 回だけ使用し、1 回のトランザクション後に終了することもあります。この場合、交換には、一部のアドレスが時々ランダムに選択され、所有権を証明するために「オープン」する必要があるプロトコルが使用されている可能性があります。一部の取引所はすでに監査人とともに同様の運用を行っているが、原則として、この手法は完全に自動化された手順に変えることができる。
より複雑な ZKP オプション。たとえば、交換機はすべてのアドレスを 1/2 マルチシグに設定できます。各アドレスには異なる秘密キーがあり、もう 1 つは「重要な」緊急バックアップ キーのブラインド バージョンであり、何らかの方法で複雑だが安全なストレージです。 12/16 マルチシグネチャーとして。プライバシーを保護し、完全なアドレスの公開を避けるために、取引所はブロックチェーン上でゼロ知識証明を実行し、この形式でチェーン上のすべてのアドレスの合計残高を証明することもできます。
もう 1 つの大きな懸念は、担保の二重使用を防ぐことです。準備金を証明するために担保を相互に送金することは、取引所にとっては簡単なことですが、実際には支払い能力がないときに支払い能力があるふりをすることができます。理想的には、ソルベンシーの証明はリアルタイムで実行され、ブロックごとに証明が更新されるべきです。これが現実的でない場合、次善の策は、毎週火曜日の午後 2 時 (協定世界時) にプルービングを実行するなど、固定スケジュールで取引所間で調整することです。
もう 1 つのアプローチは、資産担保ステーブルコイン (USDC など) を処理する取引所を運営する 1 つの事業体と、暗号通貨と従来の銀行システム (USDC 自体) の間で現金の出入りのプロセスを処理する別の事業体を完全に分離することです。 USDC の「責任」はチェーン上の ERC20 トークンのみであるため、責任の証明は「無料」であり、資産証明のみが必要です。
副題
血漿およびバリジウムのスケーリング ソリューション: 非保管の CEX を実現できますか?
さらに一歩進んで、取引所がユーザーに返済する資金を持っていることを証明したいだけではないとします。代わりに、私たちは、完全な交換がユーザーの資金を盗むことを防ぎたいと考えています。
最初の主要な試みは、2017 年と 2018 年にイーサリアム研究界で人気になったスケーリング ソリューションであるプラズマでした。 Plasma は、残高を独立した「トークン」のセットに分割することによって機能します。各トークンにはインデックスが割り当てられ、Plasma ブロックのマークル ツリー内の特定の位置に存在します。有効なトークン転送を行うには、ルートがオンチェーンで公開されるツリーの正しい場所にトランザクションを配置する必要があります。
Plasma のバージョンを簡略化しすぎた図。トークンは、出金時にプラズマ プロトコルのルールを強制するスマート コントラクト内に保管されます。
2018 年にプラズマに関する議論が盛り上がって以来、ZK-SNARK はスケーリングに関連するユースケースにより適したものになりました。上で述べたように、ZK-SNARK はすべてを変えました。
Plasma のより現代的なアイデアは、Starkware が validium と呼ぶものです。基本的には ZK ロールアップと同じですが、データがオフチェーンに保持される点が異なります。この構造は多くのユースケースで使用できます。集中サーバーがコードを実行し、コードが正しく実行されていることを証明する必要がある状況を想像してください。有効期間中、運営者が資金を盗むことはありませんが、実装内容によっては、運営者が失踪した場合にある程度のユーザー資金が滞留する可能性があります。
CEX と DEX はバイナリではなく、さまざまな形式のハイブリッド集中化を含む幅広いオプションがあり、効率性などの利点が得られますが、集中化されたオペレーターの悪用に対しては依然として多くの暗号化障壁が存在します。
ユーザーエラーの処理も大きな問題です。間違いなく最も重要なタイプのエラーは、ユーザーがパスワードを忘れたり、デバイスを紛失したり、ハッキングされたり、アカウントにアクセスできなくなったりした場合はどうなるでしょうか?
理想的な長期的な解決策は、ユーザーが緊急事態に対処できるようにマルチシグやソーシャル リカバリ ウォレットなどのテクノロジーの助けを借りて、自己管理に依存することです。しかし、短期的には、コストとメリットが大きく異なる 2 つの明らかな選択肢があります。
副題
概要: より高度な交換に向けて未来に目を向ける
短期的には、取引所には、カストディアル取引所と非カストディアル取引所の 2 つの明確なカテゴリがあります。現在、後者のカテゴリーは Uniswap のような DEX にすぎませんが、将来的には、ユーザー資金が Validium スマート コントラクトに似た形式で保持される、限定的な暗号化テクノロジーを備えた CEX も登場するかもしれません。また、仮想通貨ではなく法定通貨を扱うことを信頼しているセミカストディアル取引所も登場するかもしれません。
どちらのタイプの取引所も今後も存続しており、保管取引所のセキュリティを向上させる最も簡単な下位互換性のある方法は、予備の証明を追加することです。これには、資産の証明と負債の証明の組み合わせが含まれます。両方に優れたプロトコルを作成するには技術的な課題がありますが、すべての取引所が利益を得られるように、可能な限り両方で進歩し、可能な限りオープンソースソフトウェアとプロセスを進歩させることができますし、そうすべきです。
