每当一个大型**化交易所崩溃时,一个常见的问题就是我们是否可以使用加密技术来解决。交易所可以利用密码学证明它们在链上持有的资金足以支付它们对用户的债务,而不是仅仅依赖政府许可、审查公司审计和运营交易所的个人背调等法律途径。而且交易所可以建立一个系统,在该系统中,未经储户同意,交易所不能提取储户的资金。我们可以探索“主动不做坏事”且有野心的 CEX 和“没有能力做坏事”的 CEX 之间的界限,但目前往往人们只是看向效率低下且隐私泄露的链上 DEX。
这篇文章将讨论将 CEX 向免信任更近一步的尝试过程、这些技术的局限性,以及一些依靠 ZK-SNARK 等先进技术的方案和更强大的想法。
使用 ZK-SNARK 改进隐私性和稳健性
ZK-SNARK 是一项强大的技术。ZK-SNARK 之于密码学,可能就像变压器之于人工智能。我们可以使用 ZK-SNARK
极大地简化和改善责任证明协议中的隐私。
我们可以做的最简单的事情是将所有用户的存款放入**树(或者,更简单的,KZG 承诺),并使用 ZK-SNARK
来证明树中的所有余额都是非负的,并且加起来是某个声称的值。如果我们为隐私添加一层哈希,那么给每个用户的**分支(或 KZG
证明)将不会透露**其他用户的余额。
使用 KZG 承诺是避免隐私泄露的一种方法,因为不需要提供“姐妹节点”作为证明,并且可以使用一个简单的 ZK-SNARK
来证明余额的总和,并且每个余额都是非负的。
我们可以用一个专用的 ZK-SNARK 证明上述 KZG 中余额的总和以及非负性。这里有一个简单的例子。我们引入一个辅助多项式
I(x),它组成每个余额的比一部分(我们假设余额低于 215),每 16
个位置跟踪一个带有偏移量的总和,只有当实际的总和与声明的总和相匹配时,它的总和才为零。如果 z 是单位的 -128 阶根,我们可以证明以下等式:
可在这里找到关于 ZK-SNARK
的进一步解释。只需要几个额外的方程,这样的约束系统就可以适应更复杂的环境。例如,在杠杆交易系统中,个人用户的余额为负是可以接受的,但前提是他们有足够的其他资产,以**的担保保证金覆盖资金。SNARK
可以用来证明这一更复杂的约束,让用户放心,交易所不会通过秘密豁免其他用户遵守规则来冒资金风险。
在较长期的未来,这种 ZK
债务证明或许不仅可以用于客户在交易所的存款,还可以用于更广泛的**。**人借出一笔**都会将记录放入一个多项式或包含该**的树中,该结构的根会在链上发布。这将使**寻求**的人向**机构证明,他们还没有获得过多的其他**。**,法律创新甚至可能使以这种方式承诺的**比没有这样承诺的**具有更高的优先级。这与我们在《去**化社会:寻找
Web3 的灵魂》文章中讨论的一个想法的方向**相同——通过某种形式的”灵魂绑定**“,在链上产生负面声誉的概念。
资产证明
资产证明的最简单版本是我们上面看到的协议:要证明你持有 X 个**,你只需在事先约定的时间移动 X
个**,或者在数据字段包含“这些资金属于BIAN”字样的交易中移动 X
个**。为了避免支付交易费用,你可以签署一个链下消息。比特币和以太坊都有链外签名消息的标准。
这种简单的资产证明技术存在两个实际问题:
冷钱包处理;
抵押品两用。出于安全考虑,大多数交易所将绝大多数客户资金保存在冷钱包中。在离线计算机上,交易需要手动签名并转移到互联网上。我过去用来存放个人资金的冷钱包设置需要一台**离线的电脑生成一个包含签名交易的二维码,然后我用手机扫描。现在的交易所协议更加疯狂,经常涉及多个设备之间的多方计算。在这种设置下,制造一个额外的消息来证明对地址的控制是一个昂贵的操作。
交易所可以采用以下几种方式:
保留一些公共长期使用地址。交易所将生成一些地址,发布一次每个地址的证明以证明所有权,然后重复使用这些地址。这是迄今为止最简单的选择,不过它确实在如何保护安全和隐私方面增加了一些限制。
有很多地址,随便证明几个。交易所将有许多地址,甚至可能每个地址只使用一次,并在单笔交易后退出。在这种情况下,交易所可能有一个协议,其中不时随机选择一些地址,必须“打开”以证明所有权。一些交易所已经通过审计师进行了类似的操作,但原则上,这种技术可以转化为**自动化的程序。
更复杂的 ZKP 选项。例如,一个交易所可以将它的所有地址设置为 1/2
多签,其中每个地址的私钥都是不同的,另一个是某个“重要”紧急备份密钥的盲版,以某种复杂但安全的方式存储,例如 12/16
多签。为了保护隐私并避免泄露其**地址,交易所甚至可以在区块链上运行零知识证明,证明链上所有具有这种格式的地址的总余额。
另一个主要问题是防止抵押品两用。在彼此之间来回转移抵押品以证明储备,这对交易所而言很容易做到,这将使它们能够在实际上没有偿付能力的时候**自己有偿付能力。理想情况下,偿付能力的证明应该是实时完成的,每个区块之后都有一个更新的证明。如果这是不切实际的,那么下一个**的办法就是在不同交易所之间按照固定的时间表进行协调,例如在
UTC 时间每周二下午 2
点时证明储量。**一个问题是:你能以法定方式进行资产证明吗?交易所不仅持有加密货币,它们还在银行系统内持有法定货币。在这方面,答案是肯定的,但这样的程序将不可避免地依赖于“法定”信托模型——银行本身可以证明余额,审计师可以证明资产负债表等等。考虑到法币无法通过密码学验证,这是在该框架内所能做到的**的方法,但仍然值得一做。
另一种方法是将一个运营交易所处理资产支持稳定币的实体(如 USDC)和另一个处理在加密货币和传统银行系统之间移动的现金进出过程的实体(USDC
本身)**分离开来。因为 USDC 的“负债”只是链上的 ERC20 **,负债证明是“免费的”,只需要资产证明。
Pla**a 和 validiums 扩容解决方案:我们能实现非托管 CEX 吗?
假设我们想更进一步:我们不想仅仅证明交易所有资金偿还用户。相反,我们希望阻止**交易所盗用用户的资金。
**个主要尝试是 Pla**a,这是一种 2017 年和 2018 年在以太坊研究圈流行的扩容解决方案。Pla**a
的工作原理是将余额拆分为一组独立的“**”,其中每个**都被分配一个索引,并位于 Pla**a
区块的**树的特定位置。要进行有效的**转移,需要将一笔交易放到根被发布到链上的树的正确位置。
Pla**a 的一个版本的过度简化图。**保存在智能合约中,该合约在取款时强制执行 Pla**a 协议的规则。
自 2018 年 Pla**a 讨论的热潮以来,ZK-SNARK 已经变得更加适用于与扩展相关的用例,正如我们上面所说的,ZK-SNARK
改变了一切。
更现代的 Pla**a 想法是 Starkware 所称的 validium:基本上与 ZK-rollup
相同,只是数据是链外保存的。这种结构可以用在很多用例中,可以想象****化服务器需要运行一些代码并证明它正在正确执行代码的情况。在有效期限内,操作人员没有办法窃取资金,尽管根据实现的细节,如果操作人员消失,一些数量的用户资金可能会被卡住。
CEX 和 DEX
并不是二进制的,事实证明,它们有一系列的选择,包括各种形式的混合**化,在那里你可以获得一些优势,比如效率,但仍然有很多加密屏障,防止**化运营商的滥用。
处理用户错误也是一个大问题。到目前为止,最重要的错误类型是——如果用户忘记了密码,丢失了设备,被黑客攻击,或者无法访问自己的帐户,该怎么办?
交易所可以解决这个问题。首先是电子邮件恢复,如果连这都失败了,再通过 KYC
进行更复杂的恢复。但为了能够解决这些问题,交易所需要真正控制这些**。为了有能力以正当的理由收回用户账户的资金,交易所需要有能力以不正当的理由窃取用户账户的资金。这是一个不可避免的权衡。
理想的长期解决方案是依靠自我托管,并借助诸如多签和社会恢复钱包等技术来帮助用户处理紧急情况。但在短期内,有两种明显的替代方案,它们的成本和收益明显不同:
总结:展望未来更先进的交易所
短期内,有两种明确的交易所类别:托管交易所和非托管交易所。如今,后一类只是像 Uniswap 这样的 DEX,在未来我们可能还会看到加密技术受限的
CEX,用户资金以类似 validium 智能合约的形式持有。我们也可能会看到半托管交易所,我们信任他们使用法定货币,而不是加密货币。
这两种类型的交易所将继续存在,而提高托管交易所安全性的最简单的向后兼容方法是增加储备证明。这包括资产证明和负债证明的结合。为两者都制定好的协议存在技术上的挑战,但我们可以也应该尽可能在这两个方面取得进展,并尽可能地开源软件和流程,以便所有的交易所都能受益。
从长远来看,我希望我们越来越接近所有非托管交易所,至少在加密货币方面是这样。钱包恢复将会存在,而且可能需要为处理小额金额的新用户提供高度集中的恢复选项,以及由于法律原因需要这种安排的机构,但这可以在钱包层而不是在交易所内部完成。magic.link
与 Polymarket 等平台的交互就是这种方法的一个例子。在法币方面,传统银行系统和加密货币生态系统之间的流动可以通过 USDC
等资产支持稳定币原生的现金进出过程完成。然而,我们要**实现还需要一段时间。