Крах FTX сильно подорвал доверие пользователей к централизованным криптобиржам. Большинство инвесторов наконец осознали важность владения ключами от своих цифровых активов и перевели рекордные объемы токенов с бирж на кошельки без хранения.

Эти события вызвали волну настоятельной необходимости для централизованных бирж предоставить надежные доказательства того, что они держат больше активов, чем обязательств. В своем блоге 19 ноября соучредитель Ethereum Виталик Бутерин проанализировал криптографические методы, которые до сих пор применялись биржами для того, чтобы стать беспроигрышными, включая ограничения таких методов.

Он также предложил новые методы для централизованных бирж, чтобы достичь бездоверительности с использованием нулевого знания (ZK-SNARKs) и других передовых технологий.

Binance, Coinbase и Kraken, а также генеральный партнер A16z и бывший технический директор Coinbase Баладжи Шринивасан внесли свой вклад в подготовку этого сообщения.

Доказательство платежеспособности с помощью балансовых списков и деревьев Меркла

В 2011 году Mt. Gox стала одной из первых бирж, предоставивших доказательство своей платежеспособности, переведя 424 242 BTC с холодного кошелька на заранее объявленный адрес Mt. Gox. Позднее выяснилось, что эта операция могла ввести в заблуждение, поскольку переведенные активы могли быть переведены не с "холодного" кошелька.

В 2013 году начались дискуссии о том, как биржи смогут подтверждать общий размер депозитов своих пользователей. Идея заключалась в том, что если биржи докажут общий размер своих пользовательских депозитов, то есть свои общие обязательства, наряду с владением эквивалентным количеством активов, то есть доказательством наличия активов, то это подтвердит их платежеспособность.

Другими словами, если бы биржи могли доказать, что у них есть активы, равные или превышающие депозиты пользователей, это доказало бы их способность выплатить деньги всем пользователям в случае запросов на вывод средств.

Самым простым способом для бирж доказать общий объем депозитов пользователей было просто опубликовать список имен пользователей вместе с остатками на их счетах. Однако это нарушало конфиденциальность пользователей, даже если биржи публиковали только список хэшей и балансов. Поэтому была внедрена техника дерева Меркле, которая позволяет проверять большие массивы данных.

В технике дерева Меркла таблица балансов пользователей вставляется в дерево суммы Меркла, в котором каждый узел, или лист, представляет собой пару баланса и хэша. Самый нижний слой узлов содержит индивидуальные балансы пользователей и соленые хэши имен пользователей. По мере продвижения вверх по дереву каждый узел представляет собой сумму балансов двух узлов, расположенных под ним, и сумму хэшей двух узлов, расположенных под ним.

Пример дерева сумм Меркле. Источник: Виталик Бутерин
Пример дерева сумм Меркле. Источник: Виталик Бутерин

Хотя в деревьях Меркле утечка конфиденциальности ограничена по сравнению с публичными списками имен и балансов, она не является полностью защищенной, пишет Бутерин. Хакеры, контролирующие большое количество счетов на бирже, потенциально могут получить значительные знания о пользователях биржи, добавил он.

Бутерин также отметил:

"... техника дерева Меркла настолько хороша, насколько может быть хороша схема доказательства обязательств, если целью является только достижение доказательства обязательств. Но ее свойства конфиденциальности все еще не идеальны.

Можно пойти немного дальше, используя деревья Меркла более хитрыми способами, например, сделать каждый сатоши или вэй отдельным листом, но в конечном итоге с помощью более современных технологий можно найти еще лучшие способы сделать это".

Использование ЗК-СНАРКов

Биржи могут поместить все балансы пользователей в дерево Меркла или KZG-обязательство и использовать ZK-SNARK для доказательства того, что все балансы неотрицательны и равны общей стоимости депозита, заявленной биржей. Добавление слоя хеширования для повышения конфиденциальности гарантирует, что ни один пользователь биржи не сможет ничего узнать о балансах других пользователей.

Бутерин написал:

"В более долгосрочном будущем, возможно, такое подтверждение обязательств ZK можно будет использовать не только для депозитов клиентов на биржах, но и для кредитования в более широком смысле. "

Другими словами, заемщики могут предоставлять кредиторам ZK-доказательства, гарантирующие, что у заемщика не слишком много открытых кредитов.

Использование доказательства наличия активов

Самым простым вариантом доказательства того, что биржи владеют активами, был метод, использованный Mt. Gox. Биржи просто перемещают свои активы в заранее оговоренное время или в рамках транзакции, где в поле данных указывается, какой бирже принадлежат активы. Биржи также могут избежать платы за газ, подписав сообщение вне цепочки.

Однако у этого метода есть две основные проблемы - работа с холодным хранением и двойное использование залога. Большинство бирж хранят большую часть своих активов в холодном хранилище для обеспечения их безопасности, что означает, что "создание даже одного дополнительного сообщения для подтверждения контроля над адресом - дорогостоящая операция!". написал Бутерин.

Чтобы справиться с проблемами, Бутерин отметил, что в долгосрочной перспективе биржи могли бы использовать несколько публичных адресов. Биржи могли бы генерировать несколько адресов, один раз доказать их принадлежность и использовать те же адреса многократно. Однако при этом возникают проблемы с сохранением конфиденциальности и безопасности.

В качестве альтернативы биржи могут иметь множество адресов и доказывать свое право собственности на несколько случайно выбранных адресов. Кроме того, биржи могут использовать ZK-доказательства для обеспечения конфиденциальности и предоставлять общий баланс всех адресов в цепочке, сказал Бутерин.

Второй вопрос заключается в обеспечении того, чтобы биржи не тасовали залоги, чтобы подделать платежеспособность. Бутерин сказал:

"В идеале доказательство платежеспособности должно осуществляться в режиме реального времени, с доказательством, которое обновляется после каждого блока. Если это непрактично, то следующим лучшим вариантом будет координация по фиксированному расписанию между различными биржами, например, доказательство резервов в 1400 UTC каждый вторник."

Последний вопрос - это обеспечение доказательства наличия активов для фиатных валют. На криптобиржах хранятся как цифровые активы, так и фиатные валюты. По словам Бутерина, поскольку баланс фиатных валют не поддается криптографической проверке, обеспечение доказательства активов требует зависимости от "фиатных моделей доверия". Например, банки, которые хранят фиатные валюты для бирж, могут подтвердить имеющиеся остатки, а аудиторы могут подтвердить балансовые отчеты.

В качестве альтернативы биржи могут создать две отдельные структуры - одну, занимающуюся обеспеченными активами стабильными монетами, и другую, которая будет заниматься связующим звеном между фиатом и криптовалютой. Бутерин отметил:

"Поскольку "обязательства" USDC - это просто токены ERC20 на цепочке, доказательство обязательств приходит "бесплатно", и требуется только доказательство активов".

Использование плазмы и валидиума

Чтобы полностью предотвратить кражу или нецелевое использование средств клиентов, биржи могли бы использовать Plasma. Решение для масштабирования, ставшее популярным в исследовательских кругах Ethereum в 2017-2018 годах, Plasma разделяет баланс на различные токены, где каждому токену присваивается индекс и он занимает определенную позицию в дереве Меркле блока Plasma.

Однако с появлением Plasma ZK-SNARKs стали "более жизнеспособным" решением, отметил Бутерин. Современная версия Plasma - это валидиум, который представляет собой то же самое, что и ZK-роллапы, но данные хранятся вне цепи. Однако Бутерин предупредил:

"В валидиуме у оператора нет возможности украсть средства, хотя в зависимости от деталей реализации некоторое количество средств пользователей может застрять, если оператор исчезнет".

Недостатки полной децентрализации

Наиболее распространенной проблемой полностью децентрализованных бирж является то, что пользователи могут потерять доступ к своим счетам, если их взломают, они забудут пароль или потеряют свои устройства. Биржи могут решить эту проблему с помощью восстановления электронной почты и других продвинутых форм восстановления аккаунтов с использованием информации о клиентах. Но для этого биржа должна иметь контроль над средствами пользователя.

Бутерин написал:

"Для того чтобы иметь возможность возвращать средства пользователей по хорошим причинам, биржи должны обладать мощью, которая также может быть использована для кражи средств пользователей по плохим причинам. Это неизбежный компромисс".

Идеальным долгосрочным решением", по словам Бутерина, является самостоятельное хранение с использованием мультисигм и кошельков социального восстановления. Однако в краткосрочной перспективе пользователям необходимо выбирать между централизованными и децентрализованными биржами, исходя из компромисса, который их устраивает.

Вариант Биржевой риск Риск со стороны пользователя
Кастодиальная биржа (например, Coinbase сегодня) Средства пользователя могут быть потеряны, если возникнут проблемы на стороне биржи Exchange может помочь восстановить учетную запись
Обмен без опекунства (например, Uniswap today) Пользователи могут вывести средства, даже если биржа действует злонамеренно Средства пользователя могут быть потеряны, если пользователь облажается

Выводы: будущее лучших бирж

В краткосрочной перспективе инвесторам придется выбирать между кастодиальными биржами и некастодиальными биржами или децентрализованными биржами, такими как Uniswap. Однако в будущем могут появиться централизованные биржи, которые будут криптографически ограничены, чтобы биржа не могла украсть средства пользователей, держа балансы в смарт-контракте validium, сказал Бутерин.

В будущем также могут появиться полукустодиальные биржи, где пользователи доверяют бирже фиатные средства, но не криптовалюты, добавил он.

Хотя оба типа бирж будут продолжать сосуществовать, самый простой способ повысить безопасность кастодиальных бирж - добавить доказательство резервов, отметил Бутерин. Это будет включать в себя комбинацию доказательства активов и доказательства обязательств.

Бутерин надеется, что в будущем все биржи будут развиваться, чтобы стать неопекунскими, "по крайней мере, на стороне криптовалют". Централизованные возможности восстановления кошельков будут существовать, "но это может быть сделано на уровне кошелька, а не внутри самой биржи", - сказал он.

На фиатной стороне биржи могли бы развернуть процессы ввода и вывода средств, присущие фиатным стабильным монетам, таким как USDT и USDC. Но "пройдет еще немало времени, прежде чем мы сможем полностью перейти к этому", - предупредил Бутерин.

Моника Гош
Журналист в CryptoSlate

Моника впервые начала читать о криптовалютах в 2020 году и все глубже и глубже погружалась в кроличью нору. Хотя она всегда скептически относится к новым проектам, она искренне верит, что блокчейн и криптоиндустрия могут помочь решить некоторые из самых острых проблем нашего времени, включая финансовое неравенство и прозрачность. Она - заядлый читатель, и ее любовь к еде соперничает только с любовью к книгам. Ранее Моника была репортером в Jumpstart Media и Forkast News.

Источник