FX168财经网_全球视野外汇黄金加密货币NFT资讯网

ZK专家“华山论剑”：安全与去信任 ZK协议在机制上该如何平衡取舍？

in Drake提出了使用Intel SGX（TEE环境）作为一些额外保证的方法，严格地增加了安全保证。此外，还可能存在一些其他的治理方式，我们认为安全委员会和时间延迟是不错的方式。我们也在思考这个问题。这是一个权衡，我相信大多数Rollups仍需要更长时间才能真正摆脱这种可升级性问题，因为升级系统是一件长期的事。我们正在认真关注和研究这个问题。 [Alex Gluchowski] 我可以给一些背景信息，为什么可升级性是一个重要的问题。打个比方，对于任何你电脑桌面上运行的某个程序，你只需下载新版本并安装，对吧？升级有什么问题？问题在于，在区块链的背景下，我们试图构建Trustless的系统，但在某些情况下，升级的需求可能会破坏这种信任。对于Layer1，没有这个问题。如果要升级以太坊，只需下载新的客户端，安装它，然后所有人协调分叉。然后我们安排一次分叉，定个日期，在某个区块号进行分叉，那么任何不喜欢此次升级的人都可以留在旧版本的旧分支上。这种可升级性路径是完全Trustless的。它不会让您依赖任何诚实的大多数或任何可信的参与者。问题出现在Layer2的背景下。如果我们构建的是Rollup，Rollup依赖于Layer1的智能合约。这个智能合约可能是不可变的，其中某些特定电路的某些固定功能和验证密钥已经内置，那么问题就在于如果存在Bug，那么你将束手无策。那如果面临bug，或者如果想修复它该怎么做？我们在zkSync 1.0（zkSync Lite）披露了过一个漏洞，具有可升级性的时间锁定，因此团队可以提出新版本的升级提案。然后，如果用户不喜欢这个新的版本，所有用户都有几周的时间将资产从Layer1退出。我们有Trustless的机制来实现退出。但因为被迫进入了这个时间锁定，我们无法修复它，所以我们想出了一个折衷方案，并引入了我们称之为Security Council的方案，这是一个独立的委员会。我们邀请了一些来自不同社区、不同项目的以太坊社区的15名知名成员加入。团队不控制合约，只能提出升级方案，Security Council来做出决定，可以决定加速升级。但这仍然不是最佳选择，因为理论上还是有一组人可以在此期间立即安装一个恶意版本。也许他们不想这样做，但也许他们会被某些参与者强迫，我们无法排除这种可能。因此，如果我们希望充分利用零知识证明，并且仅依赖数学和开源代码而不是任何验证程序的受信任方等，最终实现完全Trustless的机制。我们目前在思考一个更好的方案，由团队提出时间锁定的升级提案，Security Council可以介入建议冻结智能合约，然后在Layer1上进行软分叉。因此，这需要与Layer1协调，这需要Layer2协议已经有一定规模足够重要，以使社区实际上进行分叉，安装新版本等。因为Layer1无法为每个小协议执行此操作，它必须是像以太坊上的系统级事物那样重要的协议。这是我们目前拥有的增强无需信任的可升级方案的最佳机制，以便保护我们免受第一层严重漏洞的影响。但这还是会引入一些类似时效性的问题，如果出现这样的问题，协议将暂停一段时间，想象一下我们已经从Visa和PayPal切换到使用这种大型Rollups进行区块链支付，突然之间用户资产被冻结，没有人可以进行支付，需要我们协调升级几天，这是巨大的问题。我们当前没有更好的解决方案，也没有看到更好的解决方案。如果您有想法，请联系我们，让我们进一步探讨。 Q4：有一个关键词被多次提到，那就是“无需信任-Trustless”。正如我们所知，当前系统中最重要的组成部分仍然是中心化的。从中心化到去中心化的演变，我们将面临哪些安全挑战？ [Alex Gluchowski] 我认为这（Trustless）将增强安全性。这将为我们提供多一重因素的保护。首先，ZK Rollup必须为每个块提供有效性证明，但它可以存在问题，例如，也许我们忘记了某些约束条件。在此之上，我们还需要通过权益证明共识机制来提供签名，这是额外的一层保护。因为为了破坏系统，恶意攻击者必须首先找到漏洞，然后必须在伙同这个这些验证者中的大多数来一起作恶。这个可能性是比较小的，因为攻击者要么已经是这个区块链上的控制方，要么必须购买大量代币，这给了我们足够的时间，可能其他人也会发现相同的漏洞，并提交Immunefi或其他地方，团队可以进行修复。或者，也许我们将同时运行一些蜜罐，这是完全开放的，任何人都可以破解并从中获得奖励。所以，总体来说，这为整个系统提供了两个因素的保护。而且，我们可以在此基础上添加更多因素。到目前为止，我不会相信一个号称完全无需信任的ZK Rollup是安全的。对我来说，这将是极具风险的。我不会在这样的ZK Rollup上放置比我可承受失去的金额更大金额的资产。我最喜欢举的例子是波音737 Max事件。这个事故的原因不是因为他们试图转移公众注意力的软件问题，而是因为他们依赖于飞机上的单个传感器，这是完全不负责任的行为。航空业已经有很长的发展历史，过程中有很多技术迭代，不能依赖单个系统是业界的共识。但因为他们在生产波音737 max的过程中因为各种原因（比如成本、交付时间等）牺牲了安全的系统设计，最终导致了事故。因此，我们始终希望至少有两个完全独立的安全因子，来降低故障的概率。 [Ye Zhang] 我们秉持着长期主义的理念来思考ZK Rollup的去中心化路线图。先去中心Sequencer还是Prover，甚至如何定义ZK Rollup的去中心化，我们都有自己的想法。我认为最终我们将同时去中心化Sequencer和Prover。但是我们有一些略微不同的优先排序，我们希望先将Prover去中心化。安全性绝对是重要原因之一。如果先将Sequencer去中心化，那在zkEVM变得非常成熟稳健之前，如果有人真的发现了一些漏洞并提交了虚假证明，它有一定概率会被Sequencer接受并出块，对系统造成破坏。因此，我们会先保留中心化的Sequencer。因为zkEVM是有可能出现漏洞的，因为它是非常复杂的系统。因此，我们希望至少在早期阶段，我们控制中心化的排序，至少能保证正确有效的出块。另一个先去中心化Prover的原因是，有许多硬件公司正在寻找如何使zkEVM更高效的方案。如果我们承诺去中心化Prover的这种方案，他们会参与优化系统的代码。我们都知道，ZK ASIC可能需要一年以上才能问世，如果我们首先进行Prover的去中心化，他们将更有动力为我们的系统进行构建，使系统变得更加高效。Sequencer的去中心化是我们后面计划要做的事情。这里还要考虑一个更复杂的因素，如果将Prover和Sequencer分配到两个不同的群体，则需要非常小心地设计激励方案，例如分配到这两方的奖励的比例，如何能够做到足够合理且平衡两方的激励。除此之外，我们还有一些其他的安全手段。例如，我们正在构建的方式是开源的，我们正在进行一些内部安全审计，而不仅仅是外部审计。我们拥有一个非常强大的安全团队。我们提供各种资金资助来鼓励更多人参与安全方案的构建，比如形式化验证等工具。我们团队还曾经在Consensys ZKEVM和Aztec的电路上找到过漏洞。我们正在尝试改善整个生态系统的安全性。 [Matt Finestone] Taiko可能会更早地面临这种挑战。尽管大家都有一定程度的去中心化，但实际上我们也在计划和以太坊保持一样的方式，包括EVM、Gas时间表和状态树等，同时也考虑到Ethos和其他去中心化（我们称之为）Sequencer Proposer，以及Prover。在几个月前的第一个测试网中，约有2000独立个人或地址无需许可的Propose一个区块。尽管可能存在一些恶意区块，但这也是去中心化的承诺。我认为这不是渐进式的去中心化，或许是渐进式的效率提升，因为你必须放弃一些效率。Proposer可能会建立相同的区块，导致有些交易冗余，同时也付出了一些向Layer1支付了ETH的有价值的区块空间。有些人会得到退款，有的会直接跳过。对我们来说，我们在下一个即将到来的测试网中立即实现去中心化不太现实。Permissionless provers在测试网环境中比较难，因为有女巫攻击，人们会让proposed block中充满垃圾信息，而Prover必须花费真正的计算资源证明它们，但却没有实际收入。因此，我们将使用Permissioned Proposer，让任何去中心化的Prover提交区块，并得到相应的奖励，这个很重要。另外，如果系统出现故障，一个Prover提交了有效性证明，同时也出现了一个不一致的证明被提交，那么智能合约就可以知道并且暂停。它会识别到为什么有两个正确的有效性证明在不同的块上？出现这种情况立即暂停，也就引发了时间延迟。如Alex所说，我们当前无法对完全无需许可、无需信任的实施感到放心，我们要努力实现平衡。 [Mikhail Komarov] 我们从一开始就考虑了这个问题。一些人最初的解决方案是自上而下的方法，例如决定创建Rollup，然后考虑去中心化的次序问题，比如先去中心化Sequencer。然后去中心化Prover，一环接一环。相比之下，我们采用了一种不同的方法，我们自下而上来解决问题。我们首先建立了一个去中心化的Prover网络，来无需许可地汇集算力。然后我们试图在Prover网络的基础上添加Sequencer，因为Sequencer必须和Prover网络紧密结合，特别是与成熟的去中心化Prover网络。这里涉及到需要支付额外的证明费用，通信的复杂性等问题，所以Sequencer必须紧密结合Prover网络，以确保其有效性。我们所开发的系统可以作为ZK Rollup的底层基建。为了确保所有的证明生成都有一个激励机制来加速完成，并提高质量和保持安全性，我们引入了证明市场（Proof market）来管理所有证明的生成和排序。同时，我们保持了这个系统的去中心化和无需许可性。这种方法是从底层解决问题，而不是从顶层解决问题。 [Brian R] 我认为我们采取的方法，与其他网络有很大的不同。类似于Nil团队正在建立的证明市场（Proof market），但是我们采用了一种更无需信任的方式。我们当前没有关注Sequencing的问题，而是关注在证明系统上，让它能够更加强健地进行各种运算。这种方法简化了很多复杂性，有利于尽快将最多的计算量投入市场。我们希望降低开发人员的使用门槛，让他们在以太坊或任何系统上建立任何他们想要的应用程序，并拥有这个去中心化的基础计算层，用零知识证明来保证计算的正确性。 Q5. 观众：在Algorand中，出现了一种名为State Painting的技术。它的基本思想是从一个共识区块链中提取状态，并将其“Paint”到另一个共识区块链上。这种技术更像是一种跨链方案，同时运用到了零知识证明的方案。那在Layer2中，系统共识其实依赖于Layer1的共识，这样是否会降低Layer2的安全性？ [Alex Gluchowski] 在ZK Rollups的实施中，Layer1和Layer2的之间的资产流动是完全无需信任的，Layer2完全承接了Layer1的安全性。关于资产在Layer2之间的转移，如果你是通过以太坊Layer1的原生桥接，那么它也是完全无信任的。但是，如果没有通过Layer1，其安全性取决于通过哪种跨链方式实现桥接。在zkSync中，我们正在实现一种被称为Hyperchain的方案。具体而言，我们将建立多个由相同电路驱动的链，这些链仍然通过以太坊上进行桥接。Hyperchain将提供免费的、完全无信任的、非常便宜的交易，可以从任何链到任何其他链。当我们谈论将数亿甚至数十亿的用户引入区块链时，这一点非常重要。在未来，我们不可能让数以万亿的交易都运行在一个单一的系统或共识上。它们将不得不在许多不同的共识系统上运行，比如分片、独立的应用链等。但同时我们需要保证这些不同链之间的可连接和通信的低成本。打个比方，就像我们今天使用不同系统的电子邮件，用户可以轻松地完成不同电子邮件系统之间的通信。这就是我们希望通过Hyperchain实现的东西。除了完美地承接Layer1的安全性，高效且无需信任的跨链通信，Hyperchain还可以通过递归证明来实现使用的超低成本。来源：金色财经

金色财经2023-03-29

读懂加密内存池：解决 MEV 和审查问题的全新设计空间

Flashbots SUAVE 的 SGX。 3. 门限加密 / 解密（TED）一个委员会可以联合起来强制解密密文，但是需要签名者达到一个门槛才能做到这一点。例如，你的「阈值」可能是需要 2/3 的验证者同意解密。TED 已经在几个不同的领域进行了研究，包括：以太坊 L1——Shutterized Beacon Chain Shutter Network —— 以太坊 L2s Arbitrum —— Chainlink 的 FSS Osmosis & Anoma —— Ferveo Shutterized Beacon Chain 仔细查看 Shutterized Beacon Chain 提案，验证器的一个子集（「keypers」）使用分布式密钥生成器（DKG）生成公钥 / 私钥对。每个人都可以看到公钥，但私钥在委员会中被分成多份保管。重建私钥和解密需要密钥份额达到一定阈值（例如，2/3）。用户可以有选择地加密交易，这些交易在其内容被解密和执行之前被包含在链上。区块生产者使用明文交易（立即执行）和加密交易（计划在未来的区块高度）创建区块。在生成并证明区块 n -1 之后，keypers 应该生成并发布区块 n 的解密密钥。该密钥可以解密区块 n 内的交易。区块 n 必须包含解密密钥才能被视为有效。区块的后状态是这样计算的：即在执行区块中的明文交易之前执行区块中的加密交易（按照它们的设置顺序）。缺点 TED 有几个缺点：缺乏问责机制：与传统的安全假设不同，这里的恶意行为不可归因或不可报告。Keypers 可以立即解密，你无法对其进行归因。即使你假设验证者的行为与激励相容，验证者集之外的三字母机构（译者注：三字母机构是 CIA、FBI 等机构的总称，它们保卫美国，但通常行事神秘）也可能会对他们施加影响。诚实多数假设：不诚实的委员会可能会产生问题，例如选择从不解密某些消息，或秘密解密他们不应该解密的消息（例如，在政府机构的要求下，或自私地进行 MEV 提取）。在大多数情况下，区块链实际上依赖于经济上理性的多数（即，罚没的惩罚通常超过恶意双花等行为的经济激励）。通过阈值加密，这个假设被转移到真正诚实和无私的多数。破坏协议的稳定性：本质上是上面两点的结合，TED 增加了验证者作恶的动机，并且不容易受到惩罚。活跃度减弱：更高的解密阈值增强了协议安全性）。然而，这直接削弱了活跃度。例如，大规模的网络中断会导致一半的验证者中断，现在可能造成协议停止。特别是对于非常强调「第三次世界大战」活跃度的以太坊来说，这是一个不可接受的权衡。糟糕的用户体验：TED 可能会根据实施细节增加不同程度的延迟和成本。次优价值分配：让我们看一个简单的抢跑（frontrunning）示例： 1 ETH 价格为 1000 美元如果我将交易发送到 vanilla 内存池 ——我得到 990 美元（搜索者 frontruns 和 backruns，净赚 10 美元）如果我将交易发送到 TED 内存池——我得到 995 美元（搜索者无法抢跑，但我推动了本地现货价格，为搜索者创造了 5 美元的套利机会）我将交易发送到最佳订单流拍卖——我得到了 1000 美元（我没有得到 frontruns 或 backruns。或者类似地，我确实获得 frontruns 和 / 或 backruns，但搜索者必须在竞争性拍卖中出价 10 美元获得这样做的权利，最终结果是相同的。）在这种情况下，你会将钱留在桌面上让其他人拿走。一个经济上理性的用户应该公开足够的订单信息，这样他们就可以得到接近订单全部价值的补偿。他们不应该天真地对他们的交易进行阈值加密，隐藏它提供的价值（允许其他人捕获它）。这是一个超理想化的例子，但你明白了，掩盖问题并不总能解决问题。TED 可以是一个有用的工具，但它不是 MEV 的灵丹妙药。在某些情况下， CR 来说可以说更好。此外，以太坊带来了额外的复杂性。例如，它缺乏即时终结性（尽管这可能有一天会随着单时隙终结性而改变）引入了围绕重组的问题。我相信至少在以太坊的 L1 中，这里的权衡利大于弊。增加以太坊的信任假设，增加共谋的动机（不被发现），以及降低其活跃度所带来的伤害可能比好处更多。然而，与以太坊 L1 相比，这些权衡中的一些对于 L2 或其他 L1 可能更容易接受。 4.延迟加密 / 解密（DED）使用延迟加密，你可以将加密信息设置为在一定时间后自动解密，这是与 VDF 相关的顺序计算。要实际实施 DED，你需要 VDF ASIC。幸运的是，以太坊基金会和协议实验室一直致力于构建它们，最近获得了 GlobalFoundries 构建的芯片的第一批测试样本。这些 VDF 评估器应该能够进行极快的顺序计算。这些 VDF ASIC 也适用于时间锁定谜题和 DED。 VDF 还需要生成 SNARKs。这可以使用 GPU 来完成，但理想情况下，以太坊基金会也希望为 SNARK 生产相关的 ASIC。总的来说，你不再信任某个委员会，因此通常首选安全假设。但是，需要专门的硬件并不那么理想，所需的延迟还可能会增加系统的延迟。有趣的是，你可以结合使用 TED + DED 的优势…… 5.见证加密 / 解密（WED） WED 很强大，但别高兴太早，它不会很快到来。这是非常奇特的东西，还需要很多年来实现。但它很酷并且有助于理解，所以我将简要介绍一下。 WED 允许任意见证人强制解密密文。例如，你的规则可以是「只有在以太坊完成包含加密有效负载的区块后才能解密」，并且只有在证明这一点的情况下才会解密。你可以想象基本上任何你想要实现的复杂语句都需要 SNARK。 WED 实际上是 TED 或 DED 的概括。你甚至可以构建两者的混合体。例如，指定证人可以证明：快乐的结果：门槛委员会已经签署了解密，或者预备方案：所需时间已过，返回以延迟解密这提供了一个预备，以防阈值委员会没有响应。这也允许你在参数化 m/n 阈值假设时更加保守（即，你可以要求每个委员会成员或几乎所有成员都签字）。快乐的结果：最佳用户体验，整个委员会即时确认预备方案：延迟和 UX 暂时受到影响，但活性得以保留实际上，WED 可能会针对你想要的任何声明验证 SNARK。例如： TED ：你可以有一个 SNARK 来证明「我有 n 个签名中的 m 个签名」来强制解密。 DED ：你可以使用 VDF 并进行顺序计算（这非常昂贵）。然后在你的计算结束时，你有一个简短的证明。然后你拿那个简短的证明并将它包装在一个 SNARK 中（让它更短），然后输入它来强制解密。同态性这里的每个加密方案（阈值、延迟和见证），你都可以具有同态性。也就是说，可以创建阈值 FHE 、延迟 FHE 和见证 FHE 方案，以实现对密文的任意操作。 in-flight 和可信硬件（例如，SGX）解决方案也可以模拟相同的功能——对私有数据进行操作。这是因为在这两种情况下，受信任的第三方或硬件都可以访问明文本身进行操作。不过，在理想情况下，我们希望移除这些信任假设，仅依赖强化密码学。我们可以想象一个例子： m1 = 事务 1 m2 = 事务 2 f(x) = 构建一个区块然后所有五个解决方案都可以复制以下功能：当我们考虑如何隐藏交易元数据和使用加密输入构建最佳区块时，请记住这种能力。理论上，这里的五个选项中的每一个都可以用于下面需要「同态」的解决方案。元数据元数据是提供有关其他数据的信息的数据，但不提供该数据的内容（例如消息的文本或图像本身）。出于我们的目的，交易元数据可以包括发送方的 IP 地址、随机数、Gas 支付等。理想情况下，我们希望隐藏尽可能多的元数据。否则，它可能会泄露信息，让外人可以推断你的交易（可能会为他们提供足够的信息以试图抢跑或审查等）。但是，我们需要元数据来验证交易是否有效、是否支付了必要的费用、是否是垃圾邮件等。让我们来看看屏蔽各种元数据的一些解决方案。 1. IP 地址 - Tor 非常简单——人们可以使用像 Tor 这样的服务来私下广播并屏蔽他们的 IP 地址。 2.签名 -SNARK 你需要在 p2p 级别知道加密交易是有效的，特别是它具有有效签名。我们可以使用 SNARK 来证明签名有效，这将伴随每笔加密交易。SNARK 包含三个重要部分：用户想证明自己的交易密文是有效的，它对应交易明文，它的签名是有效的。要证明任何签名有效，你需要与帐户关联的公钥来验证它。查找以太坊状态根（公共）。提供与此状态根相对应的发送者公钥 Merkle 证明（私有）验证签名，你需要根据状态根验证发件人公钥 Merkle 证明。用 SNARK 证明你的发送者公钥 Merkle 证明是有效的并且你的签名是有效的。 3. Gas 支付——SNARK 你需要证明加密交易的发送方有足够的 ETH 来支付这笔费用。我们可以再次使用 SNARK。这是一个类似的过程，但现在你提供了一个 Merkle 路径到状态根，它证明了发送者的余额（而不是发送者的公钥）。你验证 Merkle 路径并验证余额是否足以支付所需的 Gas。仅执行反序列化交易、检查其余额和检查签名等基本操作所需的最低 Gas。你可以规定发件人始终必须支付此最低金额。但是在执行时间上，你还需要有实际交易本身的 Gas limit，这个 Gas limit 也可以加密。所以当你去实际执行交易本身时，你会检查发送者是否有足够的余额来支付当时交易的全部 Gas：如果是：运行交易并在最后发出退款如果否：中止交易，发送方只需支付 21000 Gas 4. 发送者和随机数 - SNARK 随机数是一个值，等于从一个地址发送的交易数量（或一个账户创建的合约数量）。用户的随机数从他们的地址开始交易时每次交易都会增加 1。我们今天拥有随机数的一个原因是，用户无法通过大量交易向 mempool（DoS 攻击）发送垃圾信息，以增加他们交易被执行的可能性。节点将只查看具有该随机数的一笔交易并丢弃其他交易。对于加密交易，你将通过 SNARK 证明其随机数是之前的随机数 + 1。然而，如果节点将不再能够分辨出许多加密交易具有相同的随机数，那么上述的 DoS 攻击可能会带来不利影响。为了保留这种反 DoS 属性，我们想添加一个「重播标签」。它对交易进行了独特标记，因此你不能再为一个地址发送大量交易垃圾。要创建此标签，你可以简单地散列（随机数，私钥）。因为随机数和私钥都是固定的，如果用户尝试使用相同的随机数和私钥发送两者，不同的交易将具有相同的重播标签。最后，你可能希望保留一定程度的灵活性。假设 Gas 价格已经变动，你有理由希望以更高的价格重新广播交易。为了缓解这种情况，你可以散列（随机数、私钥、slot）。现在，你可以在每个 slot 调整一次你的交易，每个 slot 每个地址只能发送一笔交易。 5.数据大小 - 同态加密数据大小为 n 的明文将创建大小为 n 的密文。即使是这个大小也足以从概率上计算出某些交易。我们可以通过「填充」来缓解这个问题——在加密之前向明文添加 0，将位数扩展为 2 的下一次幂（例如，向 5 位的密文添加三个 0）。在以下示例中：白色 = 填充的 0 其他颜色=实际交易数据当你构建区块时，你可以连接这些密文，但这有两个问题：不完美的打包——额外的 0 意味着你必须为额外的数据可用性付费不完美的隐私 - 也许 2 的幂就提供了足够信息。交易规模分布不明确，因此某些规模仍可能从概率上揭示足够的信息。一个更好的解决方案涉及「剪掉」填充：将每笔交易填充到最大大小（此处为 16）并同态加密在密文上应用一个函数以有效地打包明文，删除不必要的填充现在你得到了最佳打包。通过填充到「最大」尺寸，这实际上可以将最大值设置为实际区块大小限制转换为的值（即，如果 30mm Gas 转换为大约 x kB）。这意味着将每个事务填充到 x kB 的大小。或者，如果说 99.9% 的交易通常在 y kB 范围内，你可以设置更小更实用的 y kB 大小。同样，可以使用可信硬件而不是前面讨论的 FHE 来模拟这种「剪辑」。例如，你可以运行 SGX 并将加密交易接收到你的可信飞地。在飞地中，可以对数据进行明文操作，以剪掉不必要的填充以密集打包区块。然后数据被加密并运回，随后是一种强制解密方法（阈值、延迟、见证）。请注意，在任何一种情况下，输出都应该是某个固定大小，因此你可能会留下少量填充。交易包选择：同态和不相交的状态访问列表假设我们解决了上面的所有问题，区块生产者能够根据大小将所有内容最佳地打包到一个块中。但我们还有另一个问题——区块生产者能否在经济方面最优地打包所有东西？我们希望在不丢弃价值的情况下去中心化构建区块。否则，它无法与中心化实体竞争。解决方案 1 - FHE EVM 直接的答案：完全在 FHE 中运行 EVM。这将允许去中心化构建最佳区块，为区块生产者获取最大价值。他们选择并排序使价值最大化的交易。不幸的是，这并不是件简单的事。FHE 电路最大的成本是它的「深度」（即最长路径中的门数）。特别是，它的乘法深度非常重要。例如，前面描述的删除填充的事务「裁剪」是一个相当「浅」的电路（即，它非常简单）。通过硬件加速，此类用例可能在 2-3 年内在计算上可行。但是，使用 FHE 运行整个 EVM 需要非常深且复杂的电路。我们终于开始在 zkEVM 电路方面取得一些有意义的进展（这比运行标准 EVM 的计算密集度高几个数量级），但 FHE EVM 甚至更遥远。再次注意，使用可信硬件模拟此功能也是可行的（例如，SUAVE 中的 SGX 这样做）。解决方案 2 - 状态访问列表或者，我们可以更有限地使用 FHE 和访问列表。这比运行完整的 FHE EVM 更容易实现——它是一个更浅的电路。在这个设置中，交易包可以包括一个加密的状态访问列表及其出价。这确切地指定了他们的包将访问状态的哪一部分。现在，区块生产者的同态电路只需为具有不相交状态访问列表的交易包挑选最高出价。请注意，这并不是严格意义上的最优。例如，一个区块中的第二高出价 (T 2 ) 可能达到与最高出价 (T 1 ) 完全相同的状态。在这个访问列表范例中，区块生产者会丢弃第二笔交易。但是，有可能 T 1 和 T 2 都有效。在这种情况下，FHE EVM（或今天的中心化区块生产）将获得更多价值。它并不完美，但从我们今天的情况来看，这条捷径应该足够接近最优了。绝大多数 MEV 仍然会使用不相交的访问列表，因为像上面这样的冲突示例非常罕见。 6. 时间戳 - 同态你甚至可以通过允许验证者进行「虚拟」交易来试图隐藏交易存在的泄漏，因此内存池总是被填满。验证者还需要一个 SNARK 来证明他们是被允许创建这些虚拟交易的验证者。当「真实」交易出现峰值时，验证者将广播较少的虚拟交易。当真实交易下降时，验证器将发出更多虚拟交易。假设一切都使用 FHE 加密，你将能够检测到添加到相应交易的「虚拟标志」。你可以在打包实际区块时忽略这些交易。状态差异 - FHE EVM 背景速览：ZK Rollup 的一个优势是他们不需要在链上发布完整的交易数据。他们发布状态更新之间的「状态差异」就足够了。相反，Optimistic Rollups 必须在链上发布完整数据，以防对欺诈证明进行仲裁。这种较低的数据要求为 ZK Rollup 节省了成本，因为它们在数据可用性层消耗的资源较少。将这一点带入我们的对话中——理想情况下，你不希望在加密内存池的情况下失去这种好处。你想要获得加密的内存池，并且仍然保留 ZK Rollup 仅发布状态差异的能力。答案在这里——FHE zkEVM。听起来很酷，但你可能又要等待良久。一个缺点是单独发布状态差异可能会降低 Rollup 完整节点的响应速度。例如，在纯分叉选择规则 Rollup 中，完整节点可以在数据可用性层完成并确保有效性时立即完成他们对 Rollup 的视图。如果你只发布状态差异（而不是完整的交易数据），即使是完整的节点也需要提交 ZK 证明才能确认他们对 Rollup 的视图。就目前的情况而言——这些证明需要一段时间才能生成，但可扩展的数据可用性层有望很快变得非常便宜。结论加密内存池是一个迷人且有前途的设计空间，但仍然存在一些实际挑战。例如，你可能只是将某些问题转移到堆栈的其他地方。钱包可以在源头上审查你以防止交易加密 / 路由，他们可以提交有效负载以在你的交易前 / 后运行（或出售权利）等。一个可能的答案是用户在本地创建交易而不依赖于服务提供商。关键是这里没有灵丹妙药，但如果设计得当，它们可能是解决方案的重要组成部分，可以通过不同的功能和信任假设来改善当前情况。来源：金色财经

金色财经2023-03-16

技术百科|一文看懂零数开放许可链™

金色财经2023-03-14

可信执行环境（TEE）漏洞对Oasis网络影响几何？

TEE)中的敏感信息。最近影响英特尔 SGX 的漏洞利用称为 Æpic 攻击，暴露了 CPU 微代码中的数据泄漏漏洞，由于缓存行未清理，该漏洞可能会泄露 enclave 应用程序数据。众所周知，可信执行环境（TEE）是Oasis网络隐私保护的核心技术之一。英特尔CPU 的漏洞对Oasis网络的影响有什么呢？首先，TEE 漏洞永远不会威胁到数据完整性或导致 Oasis 网络上的资金损失。因为Oasis 网络不依赖 TEE 来确保数据完整性，包括代币余额。第二，Oasis已经对节点更新系统以针对 Æpic 攻击。第三，Oasis 具有独特的、最先进的纵深防御设计，可以最大限度地减少 TEE 漏洞带来的隐私风险。在Oasis网络中只有被选入负责执行 Oasis 机密 ParaTime 的委员会（即 Sapphire 和 Cipher）的支持 SGX 的节点才被允许访问加密密钥。此外，Oasis 将这些委员会的成员限制为受信任的运营商合作伙伴，作为一项额外措施，以防止未知的不良行为者试图利用 Æpic 等漏洞。最后，网络上的节点也需要定期刷新他们的证明，因此，任何未应用所需安全更新的节点将没有资格注册和/或选举机密 ParaTime 委员会，因此将无法再访问加密密钥。基于CPU硬件的可信执行环境虽然在过去中发现了许多漏洞，但是相对于其他的隐私计算线路优势任然明显。随着技术的发展，硬件的漏洞是可以通过软件弥补把风险降到最低的。文章参考：https://oasisprotocol.org/blog/how-oasis-protects-privacy-despite-tee-vulnerabilities 来源：金色财经

金色财经2023-03-13

面对越来越多的监管 FUD 比特币该何去何从？

除非有来自监管机构的额外压力或相互矛盾的经济数据，否则考虑到 BTC 期货和亚洲稳定币指标，比特币多头的可能性更大。

金色财经2023-02-28

Polygon 生态周报（2.20-2.26）

Polygon 每周生态事件

金色财经2023-02-27

MetaTdex Earn和交易挖矿| 涨跌都赚？快来看看我发现了什么宝矿

熊市中过得矿宝，Metatdex的“Earn”智能合约退币创新，与交易挖矿联合，让我们在稳健投资中享受加密投资的乐趣。

金色财经2023-02-20

格上宏观周报：“通缩”渐远，社融“狂飙”

格上研究 1、私募机构观点汇总本周A股弱势整理，光伏、储能、锂矿、新能源车赛道哑火；CPO、AIGC题材逆势走强，ChatGPT概念股分化。海外方面，美联储哈克：正在增加实现经济软着陆的可能性。需要实现5%以上的利率，然后暂停加息。美联储现在不需要加息50个基点。国内方面，银保监会、央行制定了《商业银行金融资产风险分类办法》，已于2020年3月17日经中国银行保险监督管理委员会2020年第1次委务会审议通过，现予公布，将自2023年7月1日起施行。《办法》称，金融资产按照风险程度分为五类，分别为正常类、关注类、次级类、可疑类、损失类，后三类合称不良资产。《办法》提出，商业银行应对重组资产设置重组观察期。观察期自合同调整后约定的第一次还款日开始计算，应至少包含连续两个还款期，并不得低于1年。《办法》将风险分类对象由贷款扩展至承担信用风险的全部金融资产。金融资产逾期后应至少归为关注类，逾期超过90天、270天应至少归为次级类、可疑类，逾期超过360天应归为损失类。逾期超过90天的债权，即使抵押担保充足，也应归为不良。展望后市，私募管理人认为经济复苏信号逐渐清晰，市场下行风险减少。

格上财富2023-02-12

格上每日收评—2023年02月10日

今日市场今日A股三大指数早间集体调整，午后低位震荡。两市超2600只个股下跌，北向资金继续小幅净流出。盘面上，酒店及餐饮、种植业与林业、景点及旅游、食品加工制造等涨幅居前，小金属、汽车整车、金属新材料、贵金属等跌幅居前。昨日市场迎来普涨反弹，量能也有明显提升。整体而言，在此前整理格局得以成功得以扭转后，短线或将迎来阶段性反弹。需注意的是，在市场普涨的背景下，结构性行情的特征依旧明显，追高风险不小，当前操作上仍需保持适度谨慎。截至收盘，今日上证指数收于3260.67点，下跌0.30%，成交额为3417亿元；深证成指下跌0.59%，成交额为5511亿元；创业板指下跌0.96%。今日两市上涨个股数量为2187只，下跌个股数为2635只。从风格指数上来看，今日各风格表现不一，其中稳定和消费风格的个股上涨，周期和成长风格的个股表现最弱。近期风格转换较为明显。盘面上，31个申万一级行业中有13个行业上涨，其中社会服务，轻工制造，综合行业领涨，涨幅分别为1.59%，1.15%，0.86%。有色金属，电力设备，煤炭行业领跌，跌幅分别为1.87%，1.44%，1.32%。资金面上，今日北向

格上财富2023-02-10

技术分析丨Phala Network为何不受Intel SGX芯片漏洞影响？

ew Miller曾指出，Intel SGX的漏洞给Secret Network等项目造成了极大的安全隐患，并引发了社区广泛讨论。 Intel SGX是最广泛采用的TEE解决方案，Phala Network的链下计算节点也使用它，但是Phala采用了一种新颖的系统设计，可以减少攻击面并减轻潜在攻击带来的影响与后果。因此，我们的开发团队认为此类漏洞对Phala Network的影响是可控的。本文将向各位读者解释：为什么ÆPIC泄漏和MMIO漏洞破坏了Secret Network的安全性 Phala使用Secure Enclave（TEE）的原因 Phala如何确保网络不受SGX漏洞的影响未来可行的安全机制 Secret Network漏洞总结 1.Secret Network漏洞造成原因未修补漏洞的硬件（英特尔于 2022 年 8 月 9 日宣布的 ÆPIC 泄漏和 MMIO 漏洞）被允许加入Secret Network并运行节点。白帽报告此问题后，Secret 团队冻结了注册；Secret Network中的唯一主解密密钥在所有节点之间共享。结合这两个原因可以看出，Secret Network网络的保密性完全取决于网络中最不安全的节点。一旦其中任何一个遭到破坏，密钥就会泄露，用户数据也会泄露。 2.攻击者可以获得什么？正如SGX.Fail网站中所阐述的那样：“这些漏洞可用于提取 Secret Network 上私人交易的主解密密钥，即共识种子（Consensus Seed）。一旦提取到共识种子，便可完全追溯披露自链开始运行之后的每一笔Secret-4隐私交易。” 3.Phala Network是否可能受到相同漏洞的影响？答案是不会。 Phala采用了对Worker节点注册的访问控制和多层密钥管理［1］，这点我将在后面详细介绍。 [1]：多层密钥管理是指将密钥分为不同层级，并在这些层级之间进行管理和控制。这样做可以增加安全性和控制访问权限。多层密钥管理可以用于访问控制、数据加密和身份验证等多种安全应用场景。 Phala去信任化云设计 1.为什么Phala需要Secure Enclave（TEE） Phala是一个无需许可的去中心化云计算平台，它允许任何计算机作为Worker计算节点加入，因此我们的威胁模型［2］设置为在默认情况下不信任任何节点。恶意的Worker节点可能会尝试以下几种行为：查看用户数据；提供错误的执行结果，或根本不进行任何计算；提供低质量的服务，例如降低CPU性能或阻止网络访问。 [2]：威胁模型（系统）是寻找系统潜在威胁以建立对抗的策略，以建立安全的系统。其中，服务质量（第三个问题）将由我们的供应端通证经济模型确保。此外，我们依靠Secure Enclave（又名TEE，如Intel SGX）的特性和我们的密钥管理机制来确保整个系统的去信任化。 Secure Enclave提供重要的基于硬件的安全承诺，包括：保密性：所有的内部数据都是硬件加密的；执行完整性：即使在物理上控制了操作系统和计算机，也没有人可以影响程序执行的正确性和结果；远程认证：用户可以远程验证在Secure Enclave内运行的硬件和软件。这些特征也将作为我们向人们“借用”计算机算力的信任基石。值得注意的是，作为去中心化云计算平台，Phala的核心价值在于为用户能够正确执行程序和保护用户数据的隐私提供可能，这也是Phala与其他仅关注TEE机密性的项目最大的区别。 Phala是否可以使用零知识证明（ZKP）、多方安全计算（MPC）或全同态加密（FHE）作为它的核心解决方案？答案依次是不行，可以，可以。因为这些解决方案的运作形式不同。在零知识证明案例中，由用户自己执行计算，并只将计算的工作证明提交上链以避免隐私泄露。这与云计算场景中，用户将自己的计算任务委托给服务提供方执行完全不同；多方安全计算将计算任务分成不同的部分，因此任何一个执行者都无法知道完整的原始输入或最终输出；全同态加密使执行者直接对密文进行计算，无法知道用户的数据。然而事实上，当前的MPC和FHE解决方案在它们可以执行的计算和性能上都有限制，因此基于硬件的解决方案仍然是最实用的选择。我们正在探索支持AMD和ARM等其他制造商的TEE解决方案的可能性。通过适当的接口抽象［3］，Phala最终可以实现基于MPC和FHE的worker。 [3]：在程序设计中，抽象是一种将复杂系统分解成独立的模块和接口的方法。这样可以使系统更加清晰和可维护，同时也更易于扩展和修改。在这里Phala能够实现基于MPC和FHE的worker，就是因为Phala抽象出了接口使得它能将复杂的计算分成若干个简单的模块，这样Phala就能更灵活的对接不同的计算方式，保证了其扩展性和可维护性。 2.Worker节点注册的访问控制加入Phala有两个先决条件: Worker必须基于Secure Enclave支持的硬件。目前我们只支持英特尔SGX，但我们对AMD-SEV的调查表明，它也兼容我们目前的系统；运行未经修改的Phala构建的程序，包括Phala节点和链下执行环境pRuntime (Phala Runtime的简称)。 Phala遵循“不相信，要核实”原则，并在其注册过程中应用远程认证过程。也就是说，需要pRuntime来生成由受信任硬件直接提供并由硬件制造商（在本例中为Intel）认证的RA Quotes［4］。该报告包含有关硬件和软件的重要信息: 硬件信息： pRuntime是否在SGX内部运行；基于当前硬件和固件版本的已知漏洞。基于此，Phala区块链将拒绝有黑名单漏洞的硬件，并为每个Worker节点分配一个可信等级。软件信息：程序的哈希值，这有助于确保pRuntime未被修改; 程序的初始内存布局，因此它的初始状态是确定的。有了所有这些信息，我们就可以验证受信任的硬件和在其中运行的程序。此外，RA Quotes和置信度度量使我们能够评估每个Worker的安全级别，并根据允许加入网络的硬件定制我们的安全策略。 [4]：Intel硬件中SGX的RA Quotes是在确保应用程序和数据安全性时使用的一种机制。其中RA是指“可信度验证”，Quotes是指“引用证明”。所以RA Quotes就是在确定应用程序和数据是可信的时使用的证明。 SGX提供了一个称为“受保护的区域”的特殊环境，应用程序和数据可以在这个环境中运行和存储。然后，SGX通过硬件证明机制来验证受保护区域中运行的应用程序和存储的数据是否符合可信度要求，而RA Quotes则是将这种可信度度量结合起来确认应用程序和数据的可信度。通过这种机制，可以确保应用程序和数据在受保护的区域中运行和存储是安全可信的。此外，Phala的供应端通证经济学旨在为Worker提供高质量的服务，如果想要了解更多信息，可以访问Phala WiKi进行了解。 3.多层密钥管理 Ekiden在2019年的论文中提出了世界上第一个“区块链-TEE”混合架构的密钥层次结构，并作为Oasis项目的基础。作为去中心化云计算平台，Phala改进了这一设计，使其适用于超100k节点的大规模网络。并且，我们还引入了新的机制，如密钥轮换，以进一步提高云计算网络的稳固性。在我们真正深入研究合约密钥管理的细节之前，读者有必要了解Phala系统中的每个实体都有自己的身份密钥。每个用户都有自己的账户，每个Worker和守门人（Gatekeeper，由Worker选出）都有自己的sr25519 WorkerKey对，这是在pRuntime内生成的（在SGX中也是如此），私钥永远不会离开SGX。身份密钥用于：进行数字签名以标识来自不同实体的消息; 使用ECDH密钥协议，在用户、Worker和守门人之间建立加密通信通道。默认情况下，Phala中的任何通信都加密。 MasterKey是整个网络信任的根源。所有与智能合约相关的密钥，包括ClusterKey和ContractKey，都是由MasterKey派生而来。MasterKey由所有的守门人生成并共享（通过上面提到的加密通信通道），使得MasterKey的安全性完全依赖于守门人的安全性。这就是为什么守门人不同于其他Worker节点的原因：守门人节点的硬件具有最高的可信等级：他们对所有已知的SGX漏洞都免疫；与普通Worker节点不同，守门人的端点并不公开，你不能向它们部署合约。这避免了对守门人的远程访问；要求守门人增加质押数量，以阻止其的不良行为。在Phala中，Worker被分组成集群，以提供无服务器的计算服务。使用主密钥（通过密钥派生）为每个集群生成一个唯一的ClusterKey，但是任何人都无法反推过程来断定ClusterKey的主密钥。并且，ClusterKey被该集群中的所有Worker共享。最后，当一个合约被部署到一个集群时，它也被部署到该集群中的所有Worker。这些Worker将遵循确定性过程并派生ClusterKey以获得相同的ContractKey。Contractkey对于不同的合约都是独立且唯一的。如果某些密钥泄露，有哪些漏洞? 如果WorkerKey泄露，攻击者可以解密发送给对应Worker的所有消息，例如其集群的ClusterKey，可以用来访问该集群的ContractKey。攻击者甚至可以冒充Worker向用户提供虚假的结果。通过比较多个Worker的结果，可以检测到这种恶意活动，然后链将切断受损Worker并没收该Worker质押的PHA；如果合约密钥泄露，攻击者可以解密该合约的状态和所有历史输入；如果一个ClusterKey被泄露，攻击者就可以知道该集群中所有合约的上述信息；如果主密钥泄露，则所有历史数据都将被泄露。如果最坏的情况发生了，Phala如何应对？ Phala选择为守门人提供密钥轮换，这意味着在议会的许可下，守门人可以更新主密钥，然后相应地更新ClusterKey和ContractKey。因此，当最坏的情况发生时，Phala将首先用最新的硬件注册新的守门人，注销所有旧的并切换到一个新的主密钥。未来的安全机制 1.使用多方计算管理万能钥匙目前，相同的主密钥在所有守门人之间共享，因此如果其中任何一个守门人泄露，主密钥就会泄露。如果转化成多方安全计算，攻击者将不得不妥协需要大多数守门人来共同达成共识以获取主密钥。 2.启用RA Quotes刷新由于Phat Contract目前不支持主网，Worker只需要在注册期间提交一次RA Quotes。当Phat Contract发布时，我们将启用定期的RA Quotes刷新，这样一旦报告了新的漏洞，而那些不会应用补丁，易受攻击的Worker节点将被大幅削减（Slash）。最后，感谢Andrew Miller和包括Christina Garman、Daniel Genkin、Stephan van Schaik等人在内的安全研究团队为安全领域做出的贡献。正如Andrew所说，他的团队的目标是帮助提高安全性并减少安全事故的发生。我真诚期待与安全研究人员进行更深入的讨论，以巩固Web3世界的去信任基础设施。关于作者 Dr. Shunfan（Shelven）Zhou，Phala Network首席研究员，Phala白皮书的作者之一，从事安全研究超7年。曾作为《USENIX Security Symposium 2020》《An Ever-evolving Game: Evaluation of Real-world Attacks and Defenses in Ethereum Ecosystem》以及其他关于程序分析的论文的第一作者。来源：金色财经

金色财经2023-02-08

24小时热点