Polygon 首席技术官 Mudit Gupta 与 Zcash 创始人 Zooko Wilcox 的公开交流重新引发了关于专注隐私的加密系统能否保证其货币供应完整性的问题。争论的焦点在于 Zcash 在 2019 年因为受限交易池漏洞的伪造问题,以及其网络审计机制是否能明确证明没有非法硬币创建。
需要知道的事情:
- Polygon 的 CTO 质疑 Zcash 的 2100 万硬币上限由于 2019 年 3 月发现的无限铸币错误而无法验证,并在七个月后修复
- Zcash 创始人认为“旋转门”会计机制通过跟踪所有价值进出受限池使未被发现的伪造不可能
- 技术分歧突显了隐私交易与供应可审计性之间的张力
公众冲突
Gupta 在 X 发起辩论,直接指出 Zcash 的不透明性。他写道:“没人知道到底有多少 Zcash 代币。受限的资产像 Zcash 一样难以审计。2019 年 3 月,在 Zcash 受限资产中检测到一个无限铸币漏洞。虽然在 2019 年 10 月修复,但无法保证该漏洞未被利用。”
他稍后调整了立场,表示启发式分析表明该漏洞可能并未被利用。
“基于启发式分析,漏洞可能未被利用,无需恐慌,”Gupta 补充道。
他将自己的评论概述为指出固有风险类别,而非指控实际利用。Gupta 澄清道:“我只是在指出 Zcash 和类似隐私池的攻击向量。”
Wilcox 拒绝了这一说法,认为其不准确。他引导 Gupta 去查看公共区块链审计,监控货币基础。他写道:“它们显示 Zcash 货币基础的完整性”,还补充道“简单的博弈论分析进一步证明没有伪造。”
Zcash 创始人提供了一个涉及已不推荐使用的 Sprout 池的思想实验。
“假如有人在 2018 年 10 月 28 日之前在 Sprout 池中伪造了 ZEC,”他写道。“然后造假者和受害者之间会出现‘退出竞赛’。谁先将他们的 ZEC 从 Sprout 池中移出,谁就能得到所有的钱。结论:没有造假。”
Wilcox 补充道,即使发生了伪造,总供应量仍将受限。他写道:“即使有伪造…现有的 ZEC 仍然只有 16,355,911 个,总量仍然只有 2100 万。谢谢,旋转门!”
技术背景
漏洞影响了 Sprout,即 Zcash 的原始受限池实现。Electric Coin 公司和 Zcash 基金会在 2018 年私下发现了该缺陷,并于 2019 年 2 月 5 日公开披露。在公共披露之前,已于 2018 年 10 月 28 日激活的 Sapling 升级已移除易受攻击的代码。
Zcash 实施了转闸会计来解决潜在利用问题。该机制通过在透明和受限池之间的边界记录所有价值转移来工作。由于在这些过渡点,进入和退出交易会显示数量,网络可以计算出一个预期的池余额。任何试图提取比存入的更多价值的行为都将被检测到。
电力硬币公司在披露时声明没有发现伪造的证据。该组织一直维持这一立场,同时将转闸描述为在假设的利用方案下保护货币完整性的保障措施。
Wilcox 的“退出竞赛”类比说明了博弈论。
一个在 Sprout 内创建伪币的攻击者将与合法持有者竞争,在转闸限制阻止进一步退出之前进行提取。缺少无法解释的池排水或负对账表明伪造未大规模发生。
Gupta 的回应更关注认识论的局限性,而不是攻击 Zcash 的设计意图。他写道:“也许我应该更明确一点,”他写道。“由于[可能存在的]漏洞,无法保证受限池内流通的 Zcash 与转入的透明 Zcash 一样多。因此,您不能百分百确定实际总供应量。”
他承认实际风险依然极小。Gupta 表示:“这种漏洞被利用的可能性几乎为零。”
理解机制
Zcash 的经济模型与比特币结构相仿。协议建立了一个固定的 2100 万硬币供应上限,通过一个基于减半的发行机制分配。在所有官方文件中都显示这一上限。
零知识协议允许 Zcash 在受限池中模糊个别交易数量和参与者身份。然而,这些隐私功能带来了透明区块链所没有的审计挑战。协议必须在隐匿具体交易和保持可验证的总供应之间取得平衡。
转闸作为网络透明和私有部分之间的检查点运行。当硬币从透明地址进入受限池时,区块链记录存款金额。当硬币退出至透明地址时,提款金额变得可见。记录的存款和提款之间的累计差异建立了一个最大可能的受限余额。
这种会计方法无法揭示在特定时间窗口内是否发生了池内伪造。然而,它能够检测到试图提取超出记录存款值的行为。该区别是辩论的核心紧张之处。
总结思考
这一交流揭示了关于隐私保护加密货币系统可验证性的基本问题。尽管 Zcash 的转闸机制提供了针对未发现伪造的强大概率证据,但辩论揭示了在对抗性密码学环境中何谓决定性证据的不同标准。如有发布,ZEC 交易价为每单位 325 美元。