Доказ резервів і дерева Меркла

Стаття Віталіка Бутеріна Наявність безпечного CEX: підтвердження платоспроможності та інші висвітлює проблеми, з якими стикаються централізовані біржі під час перевірки активів користувачів і забезпечення достатніх резервів для погашення депозитів користувачів. Тому біржам потрібен спосіб довести, що вони мають достатньо резервних активів, щоб повністю погасити ці активи на вимогу користувачів, тобто вони повинні продемонструвати, що вартість їхніх резервних активів перевищує вартість депозитів користувачів. Це підтвердження відоме як підтвердження запасів і називається на Gate.io підтвердженням аудиту 100% резерву.

Найпростіший спосіб підтвердити депозити – опублікувати список пар (ім’я користувача та баланс). Кожен користувач може перевірити, чи включено його баланс у список, і будь-хто може перевірити повний список, щоб переконатися, що всі баланси є невід’ємними, а сума відповідає сумі, заявленій біржею. Однак це порушує конфіденційність. Щоб вирішити цю проблему, внесено невеликі зміни: опубліковано список пар (хеш (ім’я користувача, сіль), баланс) і приватне надсилання кожному користувачеві значення солі. Але навіть це виявляє баланси та зміни балансу. Для захисту конфіденційності введено ще одне нововведення: дерево Меркла.

（Малюнок 1 Джерело: https://vitalik.ca/general/2022/11/19/proof_of_solvency.html）

Техніка дерева Меркла організовує дані балансу користувача в дерево сум Меркла. У цій структурі дерева кожен вузол складається з пари (баланс, хеш). Листові вузли внизу представляють індивідуальні баланси користувачів і підсолений хеш їхніх імен користувачів. У кожному вузлі вищого рівня баланс є сумою двох балансів під ним, а хеш - це хеш двох вузлів під ним. Доказ суми Меркла, подібний до доказу Меркла, представляє «гілку» дерева, що складається з однорідних вузлів від аркуша до кореня. Біржа надає кожному користувачеві підтвердження суми Merkle щодо їхнього балансу, що дозволяє їм перевірити, чи правильно включено їхній баланс у загальний баланс біржі.

Цей дизайн значно покращує конфіденційність порівняно з повністю публічним списком. Крім того, витік конфіденційності можна додатково мінімізувати шляхом перетасування «гілок» під час публікації «кореневого». Проте все ще є деякі проблеми. Наприклад, Чарлі дізнається, що хтось має 164 ETH, а баланси двох користувачів у сумі становлять 70 ETH, серед іншої інформації (див. Малюнок 1). Зловмисник, який контролює кілька облікових записів, може отримати конфіденційну інформацію про користувачів біржі.

Обмеження підтвердження резервів на основі дерева Merkle

Хоча підтвердження резервів на основі дерева Merkle було ефективним у забезпеченні безпеки активів користувачів, у цьому підході все ще є деякі проблеми:

1. Фронтальні шахрайства: дані дерева Merkle зберігаються на внутрішніх серверах біржі, і біржа контролює зовнішні сторінки, з якими взаємодіють користувачі. Біржа потенційно може повертати підроблені сторінки, щоб ввести користувачів в оману, що призведе до ймовірності шахрайства.
2. Зловмисна атака на алгоритм дерева Merkle: централізована біржа (CEX) може створювати підроблені облікові записи з негативним балансом після незаконного привласнення коштів. Наприклад, якщо користувач мав активи вартістю 1000 доларів США, а біржа незаконно привласнила 500 доларів США, на балансі користувача, що відображається в інтерфейсі, все одно відображатиметься 1000 доларів США. Якщо підтвердження дерева Merkle видається на основі 1000 доларів США, здається, що фактичні активи біржі (500 доларів США) менші за депоновані активи користувача (1000 доларів США), що вказує на недостатність резервних коштів. Однак, створивши фальшивий обліковий запис із балансом -500 доларів США, біржа може змусити дерево Merkle показати, що його фактичні активи (500 доларів США) дорівнюють депонованим активам користувача (1000–500 = 500 доларів США), що призведе до нормального результату PoR.
3. Потенційні проблеми конфіденційності для зловмисників із кількома обліковими записами.

Доказ нульового знання та zk-SNARK

Докази з нульовим знанням привернули широку увагу в різних випадках використання через їх потенціал для підвищення безпеки, захисту конфіденційності користувачів і підтримки масштабованості в мережах рівня 2.

Докази з нульовим знанням дозволяють одній стороні довести іншій стороні, що твердження правдиве, не розкриваючи жодної додаткової інформації. Вони сприяють підвищенню конфіденційності, зменшуючи кількість спільної інформації між учасниками, і підтримують масштабованість, дозволяючи швидше перевіряти докази без перевірки всього набору даних.

zk-SNARK (короткий неінтерактивний аргумент знання з нульовим знанням) — це технологія доказу нульового знання, запропонована у спільній роботі Ніра Бітанскі, Рана Канетті, Алессандро К’єзи та Ерана Тромера в 2012 році. zk-SNARK дозволяє одній стороні довести іншій стороні, що вони знають секрет, не розкриваючи сам секрет, таким чином доводячи правильність логічного виразу, не розкриваючи жодної інформації. У традиційних доказах з нульовим знанням перевіряльник повинен взаємодіяти з верифікатором кілька разів, щоб створити доказ. Однак у zk-SNARK після створення параметрів (особливо загальнодоступних параметрів) і підтвердження верифікатор може перевірити правильність підтвердження без необхідності багаторазової взаємодії з доводом.

Наприклад, уявіть, що у вас є карта скарбів, яка веде до точного розташування закопаного скарбу. Ви хочете довести комусь, що знаєте місцезнаходження скарбу, не розкриваючи вміст карти чи фактичне місцезнаходження скарбу. Використовуючи технологію zk-SNARK, ви створили б пазл на карті скарбів. Ви вибираєте невеликий шматочок пазла (доказ) і показуєте його іншій людині, чого достатньо, щоб переконати його, що ви знаєте, як узгоджується повний пазл, тобто розташування скарбу, без необхідності переглядати весь пазл. Однак для цього ви повинні отримати деякі спеціальні маркування від авторитетної друкарні, щоб засвідчити автентичність ваших частин головоломки.

Реалізація zk-SNARK базується на криптографії еліптичних кривих і поліноміальній математиці. Ця техніка використовує відображення для перетворення вхідних даних у поліноми та використовує математичні поняття, такі як порядок еліптичних кривих і дискретний логарифм, щоб підтвердити, що обмеження на поліноми задовольняються. Він використовує спеціальні алгоритми для стиснення даних, що забезпечує ефективне виконання математичних обчислень.

Таким чином, використання zk-SNARK може значно оптимізувати та підвищити конфіденційність у протоколах резервного підтвердження. Включивши всі депозити користувачів у дерево Merkle та використовуючи zk-SNARK, щоб підтвердити, що всі баланси є невід’ємними та підсумовуються до заявленої вартості, можна підтвердити, що біржа має спроможність повністю покрити свої зобов’язання, якщо публічно оприлюднити активів у блокчейні перевищує це значення.

Інтеграція zk-SNARK з деревами Merkle полегшує одночасну перевірку цілісності та узгодженості даних, зберігаючи при цьому конфіденційність транзакцій. Проверники можуть використовувати zk-SNARK, щоб продемонструвати, що вони мають доказ Merkle, який відповідає певним умовам, не розкриваючи подробиць доказу. Для бірж цей підхід пропонує спосіб довести, що вони мають достатньо коштів для виконання всіх зобов’язань, одночасно зберігаючи конфіденційність користувачів.

Оновлення Gate.io Zero-Knowledge Reserve

Підводячи підсумок, можна сказати, що технологія з нульовим знанням Gate.io вирішує дві ключові проблеми з підтвердженням резервів:

1. Дозволяє користувачам підтверджувати право власності на певні активи без розкриття конфіденційної інформації
2. Усунення можливості зловмисної атаки на алгоритм дерева Merkle шляхом забезпечення того, що дерево Merkle не містить користувачів із негативним чистим балансом, як описано в попередньому розділі

Gate.io оновив своє підтвердження резервів за допомогою zk-SNARK, зробивши значний крок у якості провідної біржі у захисті безпеки активів користувачів. Завдяки цьому оновленню користувачі зможуть переглядати докази резервів у режимі реального часу, а перша партія підтримуваних активів охопить 100 найкращих за ринковою капіталізацією. Будучи лідером галузі, він відкрив вихідний код і продовжить розвивати галузь і досліджувати більш безпечне та конфіденційне зашифроване майбутнє за допомогою цього оновлення без знання.

Додаткова інформація:

• Як zk-SNARK покращує Gate.io Підтвердження резервів
• Що таке Proof-of-Reserves (PoR)?