fbpx
Products BitCheck Exchange Earn Clubs XRAY Company About Contact Career Newsroom

Columns and opinions

【一起打造安全交易所】系列專文 — 交易所用戶資產「負債證明」:從 Merkle tree 開始的三代技術演化

如同我們在前一篇文章 《FTX 破產後:「償付證明」才可證明沒有挪用用戶資產,不是「儲備證明 》 中所說,加密貨幣交易所要證明自己沒有挪用用戶資產,必須要出具用戶資產的「代管資產償付能力證明」,而這個償付能力證明,必須包含用戶資產的「代管資產證明」與「代管負債證明」。

圖一:代管資產償付能力,應包括「代管資產」與「代管負債」兩項

「代管負債證明」的目的,是為了證明交易所出具的的「代管資產證明」(部分同業稱「儲備證明」),也就是交易所錢包中所代管,屬於用戶的數位資產,是否等同用戶存入交易所的數位資產類別與數量,當用戶存入 1 枚比特幣,「代管負債證明」與「代管資產證明」中,也都應該有 1 枚比特幣,而不是等值或不等值的其他數位資產。經由「代管資產證明」與「代管負債證明」交叉比對,才能知道交易所是任意移動或盜用其所代管的用戶資產。

「代管資產證明」因為都是區塊鏈上的資產,受惠於區塊鏈公開透明的技術特性,比較容易準備,但是「代管負債證明」相對困難,因為使用者餘額資料,都存在於中央化的資料庫中。其實先前就已有相關的演算法來驗證「代管負債證明」,並且已經歷經了三代的演進,只是 FTX 破產的風暴,讓這項技術受到更多的關注,也有越來越多多團隊與人才,願意投注資源和時間去優化。這方面最早被產業應用的技術,就是近期引發許多討論的 Merkle tree。

圖二:判斷交易所是否挪用用戶資產的「用戶資產償付證明」涵蓋範圍

備註:本文中所探討的「代管負債證明」,主要聚焦於交易所代管用戶資產的負債證明,如圖二所示,為紅色框中所涵蓋的範圍,也就是用戶在交易所存放的數位資產餘額,之後文章中所提及「代管負債」,也皆是以代管用戶資產部分,為聚焦討論領域。

本文將討論從 Merkle tree 開始的三代技術演化,分享「代管負債證明」的實作方式與挑戰外,也會揭露一些常見的作弊手法,讓大家更能知道如何防範與判別。

第一代 Merkle Tree 負債證明

Merkle tree 又被稱為「雜湊樹」或「默克爾樹」,是一個基於哈希演算法 (hash,或稱雜湊演算法) 的數位簽章技術,是 1988 年由喬治亞理工學院資訊安全中心主任 Ralph Merkle 教授所 提出 。雖然因為 FTX 破產,Merkle tree 才似乎因為大家追求「償付能力證明」而再次被關注,但是中本聰 2008 年發表的 比特幣白皮書 中僅有七篇的引述,其中就有三篇是與 Merkle tree 相關;Merkle tree 扮演了中本聰設計區塊鏈的核心,特別是「無需信任」(trustless)的驗證機制。

2013 年 ,比特幣社群中就開始有聲音,討論如何將 Merkle tree 運用於中心化錢包的「負債證明」上。著名的密碼學家,也是加密貨幣 Zcash 創辦人之一的 Bryce “Zooko” Wilcox 於 2014 年提出了 很具體的實作討論 ,還點評了當時主要的中心化平台,如:BitGO、Bitstamp、Coinbase、Kraken 與其他共約 20 家當時具有代表性的中心化交易所。

使用 Merkle tree 來實作「代管負債證明」,最主要的好處,是可以達到 每一位使用者,都能夠對於代管負債證明報告,具有獨立的稽核能力。大家不需要盲目地相信交易所或為其背書的會計師,而是每個人都可以在每個時刻,獨立進行稽核

Merkle tree 的步驟如下:

  1. 對於每一類不同的數位資產,如:比特幣、以太幣、美元穩定幣 USDT、SOL 等等,由交易所根據其記錄之中心化帳本,產生「樹」的最底層;將每一位使用者的(ID、餘額)資料打亂混合,重新建立「雜湊值」,又稱為「哈希值」(hash),也就是「樹」上的「樹葉」,並記錄每個 hash 的餘額加總。
  2. 延請外部會計師協助人工稽核,檢查整顆 Merkle tree 是否精準產生,沒有作弊。
  3. 會計師公布總「代管負債」與整棵 Merke tree的 root hash,但不含整棵樹中每個節點以及每個樹葉的餘額加總,以利保護使用者隱私。
  4. 每個使用者利用交易所開放源碼的工具,只要輸入兩個資訊: 自己的 ID 與自己的餘額,就可以產生自己的 hash,並比對會計師公布的整棵樹中的樹葉,看是否能找到自己的 hash。有找到,就表示自己的餘額有被算進交易所的負債證明裡面。

Merke tree 的精神,是賦予每一位使用者都具有獨立驗證能力,其關鍵在於:每位使用者都擁有一個「事實」(truth):自己每天的餘額。雖然一個使用者,不會知道任何其他使用者的餘額,但 因為自己知道自己的餘額,所以,可以拿著這個「事實」,去驗證整份報告的正確性 。如果有夠多使用者,願意執行獨立驗證並且頻繁地這麼做,就越有可能利用這種「去中心化」的驗證方式,去稽核交易所自動出具的「負債證明」,並且可以將整個驗證機自動化。

第一代的 Merkle tree 實作於「代管負債證明」上,主要面臨了以下三個的挑戰:

  1. 去中心化稽核能力與使用資料隱私相互衝突。
  2. 「負數餘額」的作弊法,意指交易所創造假帳號,並給予負數的餘額,如:-1000 顆比特幣,藉此降低代管負債的比特幣顆數,掩蓋挪用事實。
  3. 其他實作 細節上的作弊

第一點的挑戰指的是,如果要達成交易所每天(或每小時)公布一次「代管負債證明」,並且允許每一位使用者都可以獨立驗證,那就代表交易所會把 Merkle tree 的葉子,也就是用戶餘額以及整棵樹的「總餘額」公佈出來,雖然大家並無法知道這些「餘額」實際上是屬於誰的,因為使用者名字並沒有公開,但還是會有隱私的疑慮。
但如果考量使用者隱私,而不公開上述資料,那麼就可能出現以下問題:

  1. 每位使用者無法獨立建構出整份「代管負債證明」。
  2. 需要外部會計師介入,產生並公布「代管負債證明」與僅有 hash 部分的 Merkle tree。
  3. 每位使用者僅能使用自己的餘額,去驗證會計師公布的「代管負債證明」是否包含自己的餘額。也就是:只能驗證自己的餘額與是否有被會計師計算到,卻沒有辦法驗證整份報告產生過程的正確性,也沒辦法驗證交易所沒有使用上述的一些作弊方式,例如:前文中提及的負數餘額。

有實作並開放源碼的交易所中,每家考量不一樣,Gate.io( 2020 年初 Github )與 Kraken( 2014 年 )等,都是選擇不公開 Merkle tree 中的所有「餘額」以及「餘額加總」,而倚賴外部會計師介入稽核。BitMEX( 2021 年末 Github )則是選擇公開整顆 Merkle tree 的「餘額」以及「餘額加總」,但沒有對所有資產類別獨立做,僅做 BTC 的「代管負債證明」。

此種第一代的 Merkle tree 負債證明,2013 年由 Bryce “Zooko” Wilcox 提出,並由比特幣兩位核心開發人員 Gregory Maxwell 與 Peter Todd 在 Bitcoin Forum 上討論,所以普遍又被稱作「Maxwell 方法」或「Maxwell-Todd 方法」。

第二代 Merkle Tree 優化隱私的負債證明

第二代 Merkle tree在演算法上與第一代差異不大,主要是在實作上,改良做到 「餘額」以及「餘額加總」的最小揭露 ,讓「代管負債證明」可以去中心化地被每個使用者自行驗證,而不需要倚賴外部會計師。

以太坊創辦人 Vitalik 本月 19 號公布的《 做出一個安全的中心化交易所:償付能力證明與更多 》Having a safe CEX: proof of solvency and beyond中,就包含了一個簡單可行的機制:

  1. 不公開 Merkle tree 整棵樹的所有「餘額」以及「餘額加總」給所有人。
  2. 每個使用者,會得到一份不一樣的部分「餘額」以及「餘額加總」,降低隱私擔憂,達到最小揭露。

第三代零知識證明實作的負債證明

由密碼學教授 Dr. Gaby Dagher 於 2015 年發表了一套使用非交互式零知識證明(Non-interactive zero-knowledge proof, NIZKP)來大幅提升隱私性,達到最小揭露的「代管負債證明」演算法。Vitalik 則是於 19 號也公布 了一套利用簡潔零知識證明(zk-SNARK)來達成的「代管負債證明」演算法,也在 Github 上開源 了一套程式碼。

「代管負債證明」實作上的作弊手段與防範方法

當然,「負債證明」雖然過去有研究與實作經驗,但還有很多的進步與優化空間。魔鬼藏在細節裡,XREX 團隊過去在資訊安全產業深耕超過 15 年,我們深知,演算法再怎麼完美,實作上因為有太多的細節,所以交易所要作弊還是有非常多的方法。2019 年,中國科學院教授 Kexin Hu 整理了許多 對 Merkle tree 負債證明的作弊方式,以及防範的方法。

今年,新公鏈 SUI 的共同創辦人兼首席密碼學家 Kostas Kryptos 發表了非常完整的整理,

發表了 《中心化錢包與交易所壞掉的償付能力證明 》 Broken Proofs of Solvency in Blockchain Custodial Wallets and Exchanges,不但清楚地描述了各種可能作弊的方式,例如:總額相同但個別數字有誤,(5+5) 並不直接等於 (4+6),也研究了具有代表性的中心化交易所,如:Kraken、BitMEX 和 Gate.io 等等,在提供「代管資產償付能力證明」上的漏洞,以及大型會計事務所,如: Armanino 、勤業眾信 (Deloitte) 現行的稽核工具的缺點。

這其中許多手法非常有趣,某些作弊方式,在思維上很像駭客的思路,某些則很像魔術師,欺騙人類大腦,值得深入研究並加以防範。

高品質的「代管償付能力證明」將成為交易所的基本功

Web3 產業的所有參與者與使用者,都應該可以清楚地感受到這個趨勢與剛需,在 FTX 破產引爆骨牌效應之後,出具一份高品質的「代管償付能力證明」,是所有負責任且嚴謹的中心化平台的基本責任。但是,即便交易所出具了「代管償付能力證明」,在監督不足的情況之下,有心的不良業者總是能找得到欺瞞舞弊的方式。

考量上述隱憂,XREX 倡議使用去中心化的稽核方式來做「代管負債證明」,於每日或每小時自動公布,並提供充分、透明的資訊及簡便的驗證體驗。讓每一位使用者都可以不受阻礙地行使獨立驗證交易所的權利。越多使用者對平台進行驗證,平台就越難舞弊,這樣的機制也更具公信力。若再配合定期的外部會計師稽核與客觀查驗,對使用者會再增添了一層保障。在此,我們也呼籲外部會計師,將其所使用的工具開放源碼,接受社群與所有參與者的檢視。

唯有這樣一層又一層彼此獨立又可交叉比對的多方參與及驗證,「代管資產償付能力證明」才能真正發揮其功能,不只是交易所要負責任,使用者和所有的參與者也是,這才能真正地實踐去中心化的精神,落實「不要相信,要稽核」精神,讓像 FTX 這樣的災難不再重演。

本文感謝日桓事務所與 AppWorks 駐點會計師 蔡金鳳 Jasmine Tsai 、urCFO 創辦人與前勤業眾信合夥人 張鼎聲 Dien Chang 、XREX 顧問 CFO 徐懿文 Wendy Hsu 指導。

撰寫本篇專文的 XREX 作者群: 黃耀文 Wayne Huang 黃建超 Vince Huang 尤芷薇 Yoyo Yu 陳安祖 An-Tsu Chen 李威進 Wegin Lee 廖嘉豪 Nick Liao Sun Huang 蕭滙宗 Winston Hsiao

 

【一起打造安全交易所】系列專文相關閱讀:
《FTX 破產後:「償付證明」才可證明沒有挪用用戶資產,不是「儲備證明」》

More from Columns and opinions

Editor’s Picks