MER:Cobo Global：Merkle Tree 儲備證明的缺陷及改進思路

作者：蔣長浩，Cobo聯合創始人兼CTO

隨著FTX倒閉后對中心化機構信任的崩塌，CZ在Twitter上呼吁交易所采用MerkleTree的儲備證明方法來證明他們沒有挪用用戶資產。隨后多家交易所開始響應并積極準備儲備金證明，以向客戶保證他們的資金是安全的。然而MerkleTree儲備證明方法存在一些基本缺陷。具體來說，中心化機構很容易通過一些路徑繞過這種儲備證明方法希望實現的無挪用檢查。

下文中，我將闡述現有MerkleTree儲備證明方法的兩個基本缺陷，并就如何改進提出一些想法。

現有儲備證明方法的工作原理

為了緩解用戶和中心化機構之間的信息不對稱，現有的儲備證明通常采用傳統的審計方法，即由受各方信任的第三方審計公司出具審計報告，證明中心化機構鏈上持有的資產數量與用戶資產余額總和相匹配。

Mercy Corps Ventures推出加密基金“Crypto for Good Fund”:金色財經報道，加密投資機構Mercy Corps Ventures宣布推出加密基金“Crypto for Good Fund”，該基金旨在為全球新興市場中的Web3解決方案開發者提供測試支持，并將投入100萬美元支持10家初創公司，每家可獲得10萬美元的捐贈資金。Mercy Corps Ventures參投過多家加密公司，包括去中心化借貸協議Goldfinch、加密投資應用Ejara、碳中和區塊鏈平臺OFP等。（bitcoinke）[2023/2/14 12:06:49]

對于負債證明，中心化機構需要生成包含用戶帳戶信息和資產余額的MerkleTree。MerkleTree本質上建立了用戶賬戶資產余額的匿名化且不可篡改的快照。每個用戶可以獨立計算其賬戶的哈希值，并確定他們的賬戶是否包含在MerkleTree中。

《2020胡潤全球獨角獸榜》發布 Coinbase等四家區塊鏈公司上榜:8月4日，胡潤百富發布《2020胡潤全球獨角獸榜》，經查詢，上榜區塊鏈企業包括：

1.Ripple，估值700億元（上漲350億元），排名第22（上漲28位）；

2.Coinbase，估值500億元，排名第31（下降1位）；

3.比特大陸，估值300億元（下降500億元），排名第70（下降50位）；Kraken，估值300億元，排名并列第70位。

比特大陸成為五家估值降幅最大的獨角獸公司之一，胡潤表示：“比特大陸估值的下降，主要因為嘉楠耘智上市后股價表現一般，區塊鏈行業估值受到壓力。”（胡潤百富）[2020/8/4]

對于儲備證明，中心化機構需要提供其持有的鏈上地址，并對其進行驗證和審計。一種常見的做法是要求中心化機構提供數字簽名以證明其對鏈上地址的所有權。

動態 | Coinbase 已恢復英國用戶實時存取英鎊的銀行服務:Coinbase 于官方博客宣布已恢復英國用戶實時存取英鎊的銀行服務，其與英國銀行 Clearbank 合作恢復 Coinbase 對快速支付計劃（FPS）的接入。此前報道，Coinbase 與英國巴克萊銀行停止合作，停止為 Coinbase 提供銀行服務以及與英國快速支付計劃（FPS）連接，使得在短期內使得 Coinbase 對 FPS 訪問受限，減緩英國用戶存取款時間。同時，Coinbase 此前宣布在英國停止匿名幣 Zcash 的交易，但此次更新宣布將在英國支持新的五種代幣，包括 BAT、ZRX、REP、XLM、XRP。[2019/10/6]

在MerkleTree的快照和鏈上地址所有權確認完成后，審計機構對負債和儲備兩端各自的資產總量進行核對，進而判斷中心化機構是否挪用了用戶資金。

聲音 | ConsenSys亞太地區負責人：區塊鏈是關于信任的重新分配:據LongHash報道，ConsenSys亞太地區負責人Vinay Mohan在接受采訪時表示，區塊鏈是關于信任的重新分配，而非瓦解。Mohan稱，企業或政府受眾可能不需要像以太坊或比特幣那樣分散到最大程度的系統來獲得信任增強帶來的好處。與此同時，各組織在參與區塊鏈運動時應闡明其意圖。政府和企業應該澄清其立場，以及他們希望如何在一個信任重新分配的世界中保持相關。區塊鏈和去中心化技術的支持者通常對私有區塊鏈的實施持批評態度。一些純粹主義者說這類似于分布式數據庫，而不是“真正的”區塊鏈。 Mohan認為，目前正處于區塊鏈以及權力下放和信任等更廣泛架構的初期階段。在“真正的”和“不是真正的”的區塊鏈之間劃清界限，可能會損害那些運行在獲許可的私有區塊鏈上、有價值的實驗和項目。這是一個進化的過程，正如內部網是萬維網進化的試驗場一樣，獲許可的私有區塊鏈可以加速公共網絡的采用。此外，區塊鏈技術和其他一些分布式賬本技術之間存在明顯的差異，企業在開始實施之前應該認識到這些差異。[2019/5/28]

現有儲備證明方法的缺陷

1.使用借貸資金通過審計的可能性

儲備證明方法存在的一個問題是，審計只是基于某一個特定的時間點并且通常每隔幾個月甚至幾年才進行一次。也就是說，中心化交易所仍然有機會挪用用戶資金并輕易通過借貸的方式在審計期間填補空缺。

2.與外部資金方進行合謀通過審計的可能性

提供相關數字簽名并不同于對于相應地址上資產的所有權。中心化機構可以與外部資金方合謀提供鏈上資產證明。外部資金方甚至可以使用同一筆資金為多家機構同時提供資產證明。目前的審計方法很難對這種欺詐行為進行識別。

關于改進證明方法的一些想法

一個理想的儲備證明系統應該向審計者和最終用戶提供對負債和儲備進行實時檢查的能力。但是，它也會隨之帶來高昂的成本和/或用戶帳戶信息的泄露。在獲得足夠數據的情況下，第三方審計公司甚至可以根據匿名數據推斷出用戶的倉位信息。

為了防止審計期間儲備證明被偽造的可能性且不以泄露用戶信息為代價，我在此提出以下兩個主要想法：

1.抽查式隨機審計

以不可預測的時間間隔進行隨機審計將使中心化機構很難操縱賬戶余額和鏈上資產。這種方法還可以通過對被隨機性審計抓包的忌憚來威懾不當行為。

如何實踐：審計請求可以由受信任的第三方審計機構隨機發送至中心化機構。在收到指令后，中心化機構需要生成MerkleTree，其中包含在該特定時間點即按照區塊高度編號標記的用戶賬戶余額。

2.用MPC-TSS方案來加速儲備證明

在隨機審計期間，中心化機構需要在很短的時間內提供儲備證明。這對于為用戶管理大量鏈上地址的中心化機構來說是一個很大的挑戰。即使中心化機構可以將其大部分資產存儲在幾個固定的地址上，存儲在大量鏈上地址中的資金總量仍然很大。在審計期間將所有這些地址中的資金歸集到少數的公開地址上是一項非常耗時的工作。這樣的時間差也給了挪用行為足夠的空間可以去尋求借貸或資金幫助來填補空缺。

中心化機構是否有可能直接在其真正持有資產的地址上證明儲備，而無需將鏈上資產整合到少數地址上？一種可能的方法是利用MPC閾值簽名方案(MPC-TSS)技術。

概括來說，MPC-TSS是一種先進的加密技術，它將私鑰分成兩個或多個私鑰分片，并在加密后由多方持有。這些私鑰分片的持有者可以在無需交換各自的私鑰分片或合并私鑰的情況下共同合作簽署交易。這個MPC-TSS托管技術也是Cobo最近已經推出的一個產品。

在這個解決方案下，第三方審計機構可以持有一份私鑰分片，而中心化機構持有剩余的私鑰分片。只要將“閾值”設置為大于一的數字，所有資產仍將處于中心化機構的控制之下。同時要指出的是，為了讓中心化機構能夠生成大量由審計方共管的地址，MPC-TSS共管方案需要支持BIP32協議。由于擁有一把私鑰分片，審計機構可以確定的知道中心化機構鏈上的地址集合，并且統計出在指定區塊高度中心化機構的資產規模。

致謝

感謝包括DiscusFish、LilyKing、Jeanette、Tavia、Linfeng、Ellaine在內的Cobo同事們在撰寫本文期間所提出的所有寶貴討論和建設性建議。

如您對CoboMPCWaaS感興趣，歡迎與我們的客戶成功部門聯系。我們非常樂意與您探討關于Web3資產托管和安全布局DeFi的解決方案。

與Cobo取得聯系

Cobo是一家全球領先的數字資產托管和區塊鏈技術提供商，總部位于新加坡。作為一家以科技驅動為核心的創新公司，Cobo專注于構建可擴展的基礎設施，推動Web3.0領域的發展。

自2017年成立，Cobo始終致力于打造專業、一站式的安全數字金融技術服務平臺，服務全球機構客戶超過500家，得到其持續的信任。目前，Cobo提供的產品服務包括：CoboMPCWaaS、CoboArgus以及CoboCustody。同時，Cobo針對特定的機構與賽道，推出WaaS與NaaS，滿足機構對于資產托管的全方位需求。

Cobo在合規方面，已獲得SOC2TypeI認證、迪拜虛擬資產監管局的原則性批準信，并持有美國、香港和立陶宛的牌照。

Tags：區塊鏈COBMERCOIN有人靠區塊鏈4天就掙了30萬嗎COBRAHomerun Tokencoincheck交易平臺真假

幣安app下載