火星链 火星链
Ctrl+D收藏火星链
首页 > Ethereum > 正文

ERK:一文了解Merkle Tree储备证明,有何意义和漏洞?

作者:

时间:1900/1/1 0:00:00

原文编辑:吴说区块链

前言:FTX暴雷,使得所有交易所开始共同推进默克尔树储备证明方案,未来这将成为类似DeFi项目的安全审计一样、几乎所有交易所的必备选项。目前国外与国内实践时间较长的是Kraken与Gate。究竟什么是MerkleTree储备证明,它有什么意义,又有什么不足?这篇文章汇总了一些内容,以供读者了解。

内容一:

国内最早长期使用的Gate的说明

默克尔树是一种哈希二叉树,1979年由RalphMerkle发明,将数据存储在树状结构的叶子节点中,并通过对数据的逐级哈希操作确保数据的不可篡改性。叶子节点数据的任何变动,都会传递到上一级节点并最终反应到树根的变化。比特币区块里面的每一笔交易就是通过默克尔树结构进行存储的。

我们提出的方法中,采用两种方式分别提供平台用户所属资产总额证明和有效用户保证金证明。通过默克尔树的方式将每一个用户的账户资产哈希值存储在默克尔树的叶子节点中。通过第三方的财务审计机构审计默克尔树的叶子节点中存储的用户资产总额,同时也由第三方的财务审计机构审查和验证平台所持有的有效用户保证金。最终由第三方的财务审计机构提供书面审计报告对外公布审计结果。同时对外公开存储所有用户资产哈希值的默克尔树。每一个平台用户都可以通过数学算法验证自己的账户资产金额是否被准确包含在默克尔树中。

Conor Grogan:数以千计的Kucoin存款地址向以太坊销毁地址发送了数千万美元的ETH:金色财经报道,Coinbase主管Conor Grogan在社交媒体发文称,数以千计的Kucoin存款地址向以太坊销毁地址发送了数千万美元的ETH。这要追溯到21年9月,我想没有人注意到这一点。如果你曾经想知道为什么null地址里有这么多ETH,现在你知道了,销毁发生在21年9月7日开始的3天内,涉及3500多笔USDT和ETH的交易。也许他们与Bitfinex达成了一次性协议来赎回USDT?虽然不知道他们为什么要燃烧 ETH。[2023/5/30 9:50:16]

对于主流币种,我们将跟审计公司配合,逐一完成审计报告,在Github平台上公布所有用户资产哈希值默克尔树,并且开源验证代码程序,任何平台用户都可以从“我的财务”的“余额证明页面”获取验证信息,并且通过我们公开的默克尔树和验证程序验证自己的资产是否被我们准确公布和包含到审计过程中。

电商巨头TMON前CEO因涉嫌在平台引入Terra支付的过程中受赂被捕:2月15日消息,调查Terra/Luna崩盘事件的韩国检察官逮捕了该国电商巨头TMON前首席执行官A某,因其涉嫌TMON平台引入加密货币Terra支付的过程中接受委托并收受数十亿韩元的贿赂。在该过程中起中间作用的B某也被逮捕。对他们的拘捕令实质审查将于2月16日举行。

据悉,A某涉嫌接受Terraform Labs联合创始人兼CHAI Corporation总经理、当时任TMON董事会主席Daniel Shin等人的不正当请托,并以此为条件获得Luna代币,TMON在韩国金融界首次将Terra作为快捷支付手段,并大力宣传。据调查,A某将收到的Luna代币变现,赚取了数十亿韩元。[2023/2/15 12:08:35]

对于其他币种,任何项目方或个人均可以提出要求让平台按同样标准完成审计工作和公开用户资产默克尔树,但需要由提出人承担一定的费用。费用标准将根据审计难度确定,根据币种是否多链存储,是否具有PoS理财功能,是否具有隐私功能等制定。

加密钱包Zulu完成500万美元的种子轮融资:金色财经报道,哥伦比亚波哥大的加密钱包应用Zulu在种子轮融资中筹集了500万美元。?风险投资公司Cadenza Ventures 领投。web3基金Nexo Ventures在内的公司以及一些个人投资者参投。[2022/11/17 13:18:10]

内容二:

作者:Babywhale,ForesightNews

原文链接

2019年2月,比特币和区块链基础设施公司Blockstream发表了名为《标准化比特币储备证明》的博客文章,阐述了如何自证交易所等机构的比特币储备以及对这些储备资金的控制权。Blockstream最初研究该方案是旨在向审计员证明比特币侧链LiquidNetwork上的比特币储备,后发展为比特币储备证明的一种规范。

在Blockstream之前,验证的方案的多样性使得用户难以了解每个交易所的储备情况。此外,由于需要验证私钥的所有权,所以在签名交易转移资产的过程中可能有资金被盗的风险。

新加坡网红营销机构与Snoop Dogg之子合作推出Web3基金:7月25日消息,总部位于新加坡的网红营销机构Gushcloud International宣布进入Web3,已与Snoop Dogg之子Cordell Broadus合作推出Web3基金“Welcome to the Block”,旨在投资亚洲等地的加密和区块链项目和初创公司。Gushcloud International还计划使用Cordell Broadus持有的BAYC NFT共同探索游戏、音乐、消费产品和许可交易方面的合作机会。(Tatlerasia)[2022/7/25 2:36:38]

该方案通过比特币特殊的UTXO交易格式实现,交易所通过构建一个包含交易所所有比特币储备的交易输出,但同时构建一个无效的输入。该交易会在广播时被网络拒绝从而无法产生实际的交易,但该交易仍可以作为交易所控制的比特币数量的证明。

事实上,早在2014年,Crypto社区就对交易所如何向审计机构证明其储备展开了讨论。在Blockstream提出了比特币的储备证明方案并加入BIP之后,市场开始研究更加细化的方案,而基于MerkleTree的证明模式就是当下市场普遍认可的一种方案。

加密储蓄服务初创公司Gelt完成400万美元融资,Jump Capital参投:6月8日消息,加密储蓄服务初创公司Gelt宣布完成400万美元种子轮融资,本轮融资由NFX、Village Global、Jump Capital、Alliance和OrangeDAO参投。Gelt公司希望帮助那些不了解DeFi的人轻松使用区块链上的储蓄账户。该公司目前主要提供储蓄账户服务,同时还与加密保险公司Nexus Mutual达成合作为存款提供保险(上限为10万美元),进一步提升用户资金安全,继而推动更多人探索加密市场。

据悉,Gelt的智能合约由区块链安全公司Quantstamp负责审计,后者与市场领导者OpenSea、NBA Top Shot和Solana均有合作。[2022/6/9 4:11:36]

总部位于美国的加密货币交易所Kraken对其储备证明的方案进行了较为详细的解释。Kraken表示,所谓PoR是由第三方进行的独立审计,审计员将对所有的账户余额进行匿名快照,并将其聚合至MerkleTree中,并获得MerkleRoot:一种在创建快照时产生的唯一的标识这些余额的数据组合。

然后,审计员收集由Kraken生成的数字签名,这些签名通过可公开验证的余额来证明对链上地址的所有权。最后,审计师比较并验证这些余额是否超过或匹配MerkleTree中显示的客户账户余额,来确定交易所是否持有足额的准备金。

简单解释一下,MerkleTree的底层数据为每个账户持有的资产数据生成的Hash,之后MerkleTree再通过两个Hash生成一个新的Hash,以此类推,最终的Hash代表着交易所所拥有的资产总额,该数字应该大于或至少等于所有用户持有的资产。该方案能够被接受的最大原因在于每个用户的资产数据都被包含其中,如果交易所想要篡改该过程中任何一个数据,都会对最终数据产生极大的影响。

虽然该方案在证明审计时交易所拥有足以兑付所有用户资产的能力,但也存在一定的缺陷。例如无法证明私钥是独家拥有的、审计时的资产是否为临时借入、如何证明以将交易所资金与用户资产进行了隔离以及审计本身的审慎性等。

除了Kraken之外,加密货币交易所BitMEX在2021年公开了其验证交易所持有的比特币储备的方案,该方案同样采用了基于MerkleTree的证明模式,为每个用户的账户生成ID,使得用户可以自己运行一个比特币节点,再通过运行这一套程序来验证每个比特币区块高度中账户资产与交易所的总资产。

此外,BitMEX还在方案发布时描述了其在用户隐私层面所做的考虑。若将数据公开,则所有用户的资产情况也将随之公开,BitMEX计划将用户的资产进行一定程度上的分割,并将不同用户的部分资产数据组合形成MerkleTree,使得即时在首次公开时暴露了部分持仓,也难以在后续观察到该用户的资产分布以及对其操作进行跟踪。

写在最后

虽然FTX事件为我们敲响了警钟,也推动了交易所透明度的进一步发展,但事实上当前的资产验证方案仍存在包括上述缺点在内的不少漏洞。在很多细节方面,交易所仍然难以「自证清白」。中心化机构的透明度一直以来都是一个被广泛关注和讨论的问题,不够透明会引发投资者的担忧,但过于透明可能会一定程度上暴露商业机密,而这些矛盾不仅仅发生在Web3领域。

举个简单的例子,当前中心化交易所很多都推出了加密货币理财产品。在交易所没有滥用这些资产的前提下,可能部分用于量化交易,部分用于对冲风险,部分用在DeFi中,部分用于抵押借贷,交易所本身很难将全部的用途公之于众。

当下,证明交易所兑付能力的储备证明仅仅是一个开始,如何证明用户资金没有与自有资金混淆、如何证明理财产品并非旁氏局、如何证明做市商的承兑能力等等,都是交易所后续需要去思考和解决的问题。

内容三:

不同观点,来自Chainfeed

Ben:潜在的问题有:1.树根的更新频率问题;2.前端欺诈问题;3.第三方审计的信用问题;4.吹哨人可用性问题。但愈加透明总体上对CEX用户而言是一种更好的趋势。

Haotian:交易所CEX都说要采用默克尔树储备证明,有积极影响,但潜在问题依然存在:1)默克尔树储存的数据频率如何更新,不能做到每笔input和output都实时刷新,资金挪用问题还是存在;2)默克尔树数据存在交易所自家服务器上,顶多算可验证了,「验证」都是事后查证性质了,说到底还是会存在平台公信力问题。

Jolestar:Merkletree方案实际上起不了多大作用,不过聊胜于无吧,这个趋势是好的。真正的方案需要参考layer2的思路,要保证用户单方面的提币权,要有欺诈惩罚。

Mindao:核心问题是光知道储备还不够,关联交易、负债关系、保证金交易,这些都无法通过储备体现。牛市来了,用户杀红眼,更不在乎这。聊胜于无吧,但最终:他律>自律。DeFi是永续资产链上证明,而且连业务逻辑、权限都明明白白、可验证。我们又回到原点,allinDeFi就对了。

Benmo:除了各家Cex做保证金100%证明,希望跨链桥们也做一下保证金100%证明。

标签:比特币MERERKTREE比特币交易app官网CoomerTERKMNPoSTree

Ethereum热门资讯
OTI:Web3通信基础设施平台Notifi完成1000万美元种子轮融资

本文来自?NFTgators,原文作者:CindyTanOdaily星球日报译者|余顺遂Notifi提供的SDK允许开发人员将用户通信集成到DApp中.

1900/1/1 0:00:00
COI:Deposit Service of FTX Token (FTT) Token Temporarily Closed

DearKuCoinUsers,WehavedecidedtosuspendthedepositserviceforFTXToken(FTT)Token.Weapologizeforanyinc.

1900/1/1 0:00:00
tweebaa:WEEX支持用户100%刚性兑付 无任何 FTX 曝险【额外设立1000BTC 1000万USDT保证金】

尊敬的唯客用户您好!近日,受FTX事件影响,用户对加密资产平台产生不安和恐慌情绪,关于FTX近期事件,WEEX从未投资任何生态项目,包括FTT以及其相关生态系.

1900/1/1 0:00:00
LANA:Solana基金会公布其FTX账户详情:持有约343万枚FTT和1.3454亿枚SRM等资产

11月15日消息,Solana基金会官方披露与FTX相关的信息称,截至2022年11月14日,其在FTX.com账户中拥有的资产包括约324万股FTXTradingLTD普通股、约343万枚FT.

1900/1/1 0:00:00
COIN:KuCoin合約關於FTT/USDT永續合約交易的處理方案公告

親愛的KuCoin合約用戶:KuCoin合約將於2022年11月14日04:00點下線FTT/USDT永續合約並執行交割.

1900/1/1 0:00:00
USDT:USDT脱钩至0.96!FTX的USDT遭Tether冻结

稳定币龙头USDT一度在昨晚九点半左右大幅脱钩近4%跌至$0.9617,所幸在半小时内又快速拉回。另外Tether昨晚表示因执法单位要求,他们已冻结FTX拥有的4,600万枚USDT.

1900/1/1 0:00:00