更有野心的是,交易所可以建立一个未经储户同意无法提取储户资金的系统。我们可以尝试探索「不作恶」有职业素养的 CEX 与「无法作恶」却泄漏隐私的低效链上 DEX 之间的界限。这篇文章将深入探讨让 CEX 更加去信任的历史尝试,与其采用技术的局限性,以及一些依赖 ZK-SNARKs 等先进技术的有力手段。
- Z: @1 R h8 a% u- l' ?7 W4 \* i
余额表和 Merkle 树:传统的可偿付证明交易所试图用密码学来证明自己没有欺骗用户的最早尝试可以追溯到很久以前。2011 年,当时最大的比特币交易所 MtGox 通过发送一笔移动 424,242 个 BTC 到预先公布地址的交易来证明他们拥有该笔资金。2013 年,大家开始讨论如何解决该问题的另一面:证明用户存款的总规模。如果你证明用户的存款等于 X (负债证明 proof of liabilities),并证明拥有 X 个代币的私钥(资产证明 proof of assets),那么就提供了可偿付证明(proof of solvency):你证明了交易所有足够的资金偿还给储户。
3 D8 {8 u% o: ] Y
提供存款证明的最简单方法是公布一个列表。每个用户都可以检查他们在列表中的余额,而且任何人都可以检查完整的列表:(i)每项余额都是非负的;(ii)总额是宣称的金额。; E6 b2 E+ S. C. i
1 d6 O0 }5 I" S, L
当然,这会破坏隐私,所以我们可以稍微改变一下该方案:发布一个 列表,并私下给用户发送 salt 值。但即使这样也会泄漏余额与其分布。为了保护隐私,我们采用了后续技术:Merkle 树技术。

绿色:Charlie 的节点。蓝色:Charlie 收到用于证明的节点。黄色:根节点,向所有人公布
Merkle 树技术会将用户余额表放进 Merkle 总和树。在 Merkle 总和树中,每个节点都是对。底层叶子节点表示各个用户的余额以及用户名的加盐哈希。在每个更高层的节点中,余额是下面两个节点余额的总和,而哈希是下面两个节点的哈希。Merkle 总和证明和 Merkle 证明一样,是一个由叶子节点到根节点路径上所有姐妹节点组成的「分支」。
* i/ W- w) s( Z5 M# r& q
首先,交易所会向每个用户发送一份其余额的 Merkle 总和证明。然后,用户能够确定其余额作为总额的一部分而被正确地包含。可以在这里找到简单的示例代码。5 \% `3 h6 u- Y" L. Y
8 x F L8 V; V
- # The function for computing a parent node given two child nodes" F! H" G) H: n: { j# L
- def combine_tree_nodes(L, R):
- 9 ~- r8 _5 H; _# O
- L_hash, L_balance = L/ e- X9 Y" w8 q4 G
- , }" \9 |: W9 K4 e
- R_hash, R_balance = R
- assert L_balance >= 0 and R_balance >= 03 a) i E6 T0 O2 h2 r
- ) i7 j: `& g! ] X! S
- new_node_hash = hash(. ?- u6 y. b3 E5 x* p
- L_hash + L_balance.to_bytes(32, 'big') +, K5 b$ i8 R3 E3 I, [! n: x1 k
- R_hash + R_balance.to_bytes(32, 'big')
- ): s- t+ A( D3 C8 f# i1 Z
- ; M% {" E' W( H" i! t# h, J+ F+ ~! Z# p5 g# c
- return (new_node_hash, L_balance + R_balance)9 S2 F: z. W/ A% e( X+ a
- $ D- n! z4 m1 d# y/ E
- # Builds a full Merkle tree. Stored in flattened form where
- ; X! @2 A( D5 @2 H
- # node i is the parent of nodes 2i and 2i+1
- / j4 |6 e; @4 ^
- def build_merkle_sum_tree(user_table: "List[(username, salt, balance)]"):
- 3 e; h5 `4 n# }& c" J& ^$ g
- tree_size = get_next_power_of_2(len(user_table))
- tree = (1 Y4 D, O5 l% B; M$ |
- & v& Y$ G% l9 B; N8 i: I
- [None] * tree_size +" J# c) @ \" }- A: ^7 V
- 6 K! X8 {! y) f% {! H# [- P
- [userdata_to_leaf(*user) for user in user_table] + Q, X& D! o# p g! m8 `% x: r
- 2 D, a( g7 N; m7 J
- [EMPTY_LEAF for _ in range(tree_size - len(user_table))] ~5 V9 E! G `- T( a% L* a6 P7 P p
- , u% f. |) r0 o% b7 o
- )
- 2 v3 v. [. \# A
- for i in range(tree_size - 1, 0, -1):
- . u4 N6 S+ @ N" ^# T
- tree = combine_tree_nodes(tree[i*2], tree[i*2+1])
- return tree9 ^2 S4 l2 S" n, s; \1 @& ~
- # Root of a tree is stored at index 1 in the flattened form
- def get_root(tree):
- return tree[1]
- # Gets a proof for a node at a particular index
- % v$ T; B6 I; l" n) _! U' t
- def get_proof(tree, index):
- . E* i( a3 k2 C+ ?& o0 Q& ]
- branch_length = log2(len(tree)) - 1
- # ^ = bitwise xor, x ^ 1 = sister node of x! H3 b/ Q+ s/ o
- ; H1 K& d+ n/ a3 [
- index_in_tree = index + len(tree) // 2
- , O* |( Y6 G% l! P, [% f
- return [tree[(index_in_tree // 2**i) ^ 1] for i in range(branch_length)]
- # Verifies a proof (duh)6 \; A7 w, d# z
- 7 K) \; h v/ u* v2 G
- def verify_proof(username, salt, balance, index, user_table_size, root, proof):
- leaf = userdata_to_leaf(username, salt, balance)
- branch_length = log2(get_next_power_of_2(user_table_size)) - 1# G- M& k( t; I% a. z7 b8 I. l( M
- for i in range(branch_length):8 f7 M. \* J/ K+ y+ x; W* S7 F
- if index & (2**i):1 w/ ^1 B) x& [; p; K3 P, v1 Z
- 8 ?' C% T, c. D& v4 P# g
- leaf = combine_tree_nodes(proof, leaf)
- else:+ O9 b0 e- \+ e' V& d) f
- leaf = combine_tree_nodes(leaf, proof)# }) F i2 Q8 F
- 2 X+ b1 L9 {4 n0 Z* E( D! W
- return leaf == root