Publiczna wymiana zdań między Polygon dyrektorem technicznym Muditem Guptą a założycielem Zcash Zooko Wilcoxem ponownie otworzyła pytania o to, czy systemy kryptowalut skoncentrowane na prywatności mogą zagwarantować, że ich podaż monetarna pozostaje nienaruszona. Spór koncentruje się na podatności na podrabianie w 2019 roku w ekranowanej puli transakcji Zcash i na tym, czy mechanizmy audytowe sieci mogą definitywnie udowodnić, że nie doszło do nielegalnego tworzenia monet.
Co warto wiedzieć:
- Dyrektor techniczny Polygon zakwestionował, czy 21-milionowy limit monet Zcash można zweryfikować z powodu odkrytego w marcu 2019 roku błędu nieskończonego bijaka, który został naprawiony siedem miesięcy później
- Założyciel Zcash twierdzi, że mechanizmy księgowe "turnstile" sprawiają, że niewykryte podrabianie jest niemożliwe dzięki śledzeniu wszystkich wartości wchodzących i wychodzących z ekranowanych pul
- Techniczna niezgodność podkreśla napięcie między prywatnością transakcji a możliwością audytu podaży w projektowaniu kryptowaluty
Publiczny konflikt
Gupta zainicjował debatę na X z bezpośrednim stwierdzeniem dotyczącym nieprzejrzystości Zcash. "Nikt nie wie, ile dokładnie istnieje Zcash tokenów," napisał. "Ekranowane aktywa, takie jak Zcash, są trudne do audytu. W marcu 2019 roku wykryto błąd nieskończonego bijaka w ekranowanych aktywach Zcash. Naprawiono go w październiku 2019, ale nie ma gwarantowanego sposobu, by stwierdzić, czy błąd został kiedykolwiek wykorzystany."
Później złagodził swoje stanowisko, stwierdzając, że analiza heurystyczna sugeruje, że wrażliwość prawdopodobnie nie została wykorzystana.
"Na podstawie heurystyki jest mało prawdopodobne, by błąd został wykorzystany, więc nie ma powodu do paniki," dodał Gupta.
Charakteryzował swoje komentarze jako zidentyfikowanie kategorii ryzyka wrodzonego zamiast twierdzenia o faktycznym wykorzystaniu. "Po prostu podkreślam wektor ataku na Zcash i podobne pule prywatności," wyjaśnił.
Wilcox odrzucił charakterystykę jako niedokładną. Skierował Guptę do publicznie dostępnych audytów blockchaina, które monitorują bazę monetarną. "Pokazują integralność bazy monetarnej Zcash," napisał Wilcox, dodając, że "prosta analiza gry teoretycznej pokazuje dodatkowo brak podrabiania."
Założyciel Zcash zaproponował eksperyment myślowy z wykorzystaniem przestarzałej puli Sprout.
"Przypuśćmy, że ktoś podrobił ZEC w puli Sprout przed 28 października 2018," napisał. "Wtedy jest 'wyścig do wyjść' między podrabiaczem a jego ofiarami. Kto pierwszy wyciągnie swoje ZEC z puli Sprout, ten zachowuje wszystkie pieniądze. Wniosek: nie doszło do podrabiania."
Wilcox dodał, że nawet gdyby doszło do podrabiania, całkowita podaż pozostaje ograniczona. "Nawet jeśli doszło do podrabiania... nadal istniałoby tylko 16,355,911 ZEC, a nadal tylko 21 M kiedykolwiek," napisał. "Dziękuję, turnstiles!"
Techniczne tło
Wrażliwość dotyczyła Sprout, oryginalnej implementacji ekranowanej puli Zcash. Electric Coin Company i Zcash Foundation odkryły błąd prywatnie w 2018 i ujawniły go publicznie 5 lutego 2019. Aktualizacja Sapling, która aktywowała się 28 października 2018, już usunęła podatny kod przed publicznym ujawnieniem.
Zcash wdrożył księgowanie turnstile, aby zapobiec potencjalnemu wykorzystaniu. Mechanizm działa, rejestrując wszystkie transfery wartości na granicy między przejrzystymi a ekranowanymi pulami. Ponieważ transakcje wejścia i wyjścia ujawniają kwoty w tych punktach przejścia, sieć może obliczyć przewidywaną równowagę puli. Wszelkie próby wypłacenia większej wartości niż ta, która weszła, stają się wykrywalne.
Electric Coin Company stwierdziła w momencie ujawnienia, że nie znalazła dowodów na podrabianie. Organizacja utrzymuje tę pozycję, opisując turnstile jako zabezpieczenie chroniące integralność monetarną nawet w hipotetycznych scenariuszach wykorzystania.
Analog wilcoxa "wyścig do wyjść" ilustruje teorię gier.
Atakujący, który stworzył fałszywe monety wewnątrz Sprout, rywalizowałby z legalnymi posiadaczami, aby wypłacić przed tym, jak ograniczenia turnstile uniemożliwiły dalsze wyjścia. Brak nieuzasadnionych odpływów puli lub negatywne rekoncyliacje sugerują, że podrabianie nie miało miejsca na dużą skalę.
Odpowiedź Gupty skupiła się na epistemologicznych ograniczeniach zamiast atakować intencje projektowe Zcash. "Może powinienem był być bardziej przejrzysty," napisał. "Z powodu [możliwości] błędów, nie ma gwarancji, że ekranowane pule mają taką samą ilość krążącego Zcash, jak przejrzyste Zcash, które weszły. Dlatego nie możesz być w 100% pewien całkowitej rzeczywistej podaży."
Uznaj, że praktyczne ryzyko pozostaje minimalne. "Prawdopodobieństwo wykorzystania takiego błędu to w zasadzie 0," stwierdził Gupta.
Zrozumienie mechaniki
Ekonomiczny model Zcash naśladuje strukturę Bitcoina. Protokół ustala stały pułap podaży na 21 milionów monet, dystrybuowanych zgodnie z harmonogramem emisji opartym na halvingu. Ten limit pojawia się we wszystkim oficjalnej dokumentacji.
Protokoły zerowej wiedzy pozwalają Zcash na ukrywanie indywidualnych kwot transakcji i tożsamości uczestników w obrębie ekranowanych pul. Jednak te cechy prywatności tworzą wyzwanie audytowe, z którym nie borykają się przejrzyste blockchainy. Protokół musi zachować równowagę między ukryciem konkretnych transakcji, jednocześnie utrzymując weryfikowalne zbiorowe dostawy.
Turnstile działają jako punkty kontrolne między przejrzystymi a prywatnymi częściami sieci. Kiedy monety przesuwają się z adresów przejrzystych do ekranowanych pul, blockchain rejestruje kwotę depozytu. Kiedy monety wychodzą na adresy przejrzyste, widoczna staje się kwota wypłaty. Różnica kumulacyjna między zarejestrowanymi wpłatami a wypłatami ustala maksymalną możliwą równowagę ekranowaną.
Ta metoda księgowa nie może ujawnić, czy podrabianie miało miejsce w ekranowanej puli w określonym przedziale czasowym. Może jednak wykryć, czy więcej wartości próbuje wyjść niż zarejestrowane depozyty na to pozwalają. Rozróżnienie to podkreśla rdzeń napięcia w debacie.
Wnioski końcowe
Wymiana ilustruje fundamentalne pytania dotyczące weryfikowalności w systemach kryptowalutowych zachowujących prywatność. Chociaż mechanizmy turnstile Zcash zapewniają silne dowody probabilistyczne przeciwko niewykrytemu podrabianiu, debata ujawnia różne standardy dotyczące tego, co stanowi definitywny dowód w nieprzyjaznych środowiskach kryptograficznych. ZEC handlował na poziomie 325 USD w momencie publikacji.