Cobo CTO: Merkle Tree Reserve Proof の欠点と改善点

この記事では、既存の Merkle Tree 準備金証明方法の 2 つの基本的な欠陥について説明し、それを改善する方法についていくつかのアイデアを提案します。

著者: 江長浩、Cobo の共同創設者兼 CTO

FTXの崩壊に続いて中央集権型機関への信頼が崩壊したことを受けて、CZはツイッター上で取引所に対し、ユーザー資産を不正流用していないことを証明するためにMerkle Treeの準備金証明方式を採用するよう呼びかけた。その後、多くの取引所が対応し始め、顧客の資金が安全であることを保証するために積極的に準備金証明を準備しました。しかし、Merkle Tree 準備金証明方法にはいくつか根本的な欠陥があります。具体的には、中央集権的な機関が、この準備金証明アプローチが達成しようとしている不正流用防止チェックを簡単に回避できる方法がいくつかあります。

以下では、既存の Merkle Tree 準備金証明方法の 2 つの基本的な欠陥について説明し、それを改善する方法についていくつかのアイデアを示します。

既存の埋蔵量証明方法の仕組み

ユーザーと中央機関の間の情報の非対称性を緩和するために、既存の準備証明では通常、従来の監査方法を採用しています。つまり、すべての関係者から信頼されている第三者監査会社が監査レポートを発行し、中央機関がチェーン上で保有する資産の数（準備証明）がユーザーの総資産残高（負債証明）と一致していることを証明します。

責任を証明するために、中央機関はユーザー アカウント情報と資産残高を含む Merkle Tree を生成する必要があります。 Merkle Tree は基本的に、ユーザーのアカウント資産残高の匿名かつ変更不可能なスナップショットを作成します。各ユーザーは自分のアカウントのハッシュを独自に計算し、自分のアカウントが Merkle Tree に含まれているかどうかを判断できます。

準備金の証明のために、中央集権型機関は保有するオンチェーンアドレスを提供し、検証および監査を受ける必要があります。一般的な方法としては、中央集権的な機関に、オンチェーン アドレスの所有権を証明するためのデジタル署名の提供を要求することが挙げられます。

マークルツリーのスナップショットとオンチェーンアドレスの所有権確認が完了すると、監査機関は負債側と準備金側の両方の資産総額を検証し、中央機関がユーザーの資金を不正に流用していないかどうかを判断します。

既存の準備金証明方法の欠陥

1. 監査合格のために融資資金を使用する可能性

準備金証明アプローチの問題の 1 つは、監査が特定の時点に基づいており、通常は数か月または数年に 1 回しか実行されないことです。そうは言っても、中央集権型取引所には、監査期間中にユーザーの資金を横領し、借入によって簡単に不足分を補う機会がまだ残っています。

2. 監査を通過するために外部資金提供者と共謀する可能性

デジタル署名を提供することは、対応するアドレスの資産の所有権と同じではありません。中央集権的な機関は、外部の資金提供者と共謀して、オンチェーン資産の証明を提供することができます。外部資金提供者は、同じ資金を使用して、複数の機関に同時に資産証明を提供することもできます。この種の詐欺は、現在の監査方法では特定するのが困難です。

証明方法の改善に関するいくつかのアイデア

理想的な準備金証明システムは、監査人やエンドユーザーに負債と準備金のリアルタイムチェック機能を提供します。ただし、これには高額なコストがかかったり、ユーザー アカウント情報が漏洩したりする可能性もあります。十分なデータがあれば、サードパーティの監査会社は匿名データに基づいてユーザーの位置情報を推測することさえできます。

ユーザー情報を漏らすことなく監査中に準備金証明が偽造される可能性を防ぐために、私は次の 2 つの主要なアイデアを提案します。

1. ランダム監査

予測できない間隔でのランダムな監査により、中央集権的な機関が口座残高やオンチェーン資産を操作することが困難になります。このアプローチは、ランダムな監査で発見されるのではないかという恐怖感を抱かせることで、不適切な行為を抑止することもできます。

実装方法: 監査リクエストは、信頼できるサードパーティの監査人によって中央機関にランダムに送信されます。指示を受け取った後、中央機関は、ブロックの高さ番号に従ってマークされた、特定の時点のユーザー アカウント残高 (責任の証明) を含む Merkle Tree を生成する必要があります。

2. MPC-TSSソリューションを使用して準備金証明を高速化する

ランダム監査の際、中央機関は非常に短い期間内に準備金の証明を提供する必要があります。これは、ユーザーのために多数のオンチェーン アドレスを管理する中央集権型機関 (取引所など) にとって大きな課題です。中央集権型の機関が資産の大部分を少数の固定アドレス（ホットウォレットやコールドウォレットなど）に保管できるとしても、多数のオンチェーンアドレスに保管される資金の総額は依然として大きいです。監査中にこれらすべてのアドレスからの資金を少数の公開アドレスに集約することは、非常に時間のかかる作業です。この時間差により、横領犯は不足分を補うために融資や資金援助を求める十分な余裕も得られる。

中央集権型機関が、オンチェーン資産をいくつかのアドレスに統合せずに、実際に資産を保有しているアドレスで直接準備金を証明することは可能ですか? 1 つの可能なアプローチは、MPC しきい値署名スキーム (MPC-TSS) 技術を利用することです。

要約すると、MPC-TSS は、秘密鍵を 2 つ以上の秘密鍵シャードに分割し、暗号化後に複数の当事者が保持する高度な暗号化技術です。これらのシャードの保有者は、シャードを交換したりキーをマージしたりすることなく、協力してトランザクションに署名できます。この MPC-TSS ホスティング テクノロジーも、Cobo が最近リリースした製品です。

このソリューションでは、第三者監査人（法律事務所、監査法人、保管人、管財人、または規制当局自体）が秘密鍵の 1 つの断片を保持し、中央機関が秘密鍵の残りの断片を保持します。 「しきい値」が 1 より大きい数値に設定されている限り、すべての資産は中央機関の管理下に置かれます。また、中央集権型機関が監査人によって共同管理されるアドレスを大量に生成するには、MPC-TSS 共同管理スキームが BIP32 プロトコルをサポートする必要があることも指摘しておく必要があります。監査機関は秘密鍵シャードを所有することで、集中型組織のチェーン上に設定されたアドレスを確実に把握し、指定されたブロックにおける高度に集中型組織の資産サイズを計算することができます。

この記事の準備中に貴重な議論と建設的な提案をしてくれた、Discus Fish (Shenyu)、Lily King、Jeanette、Tavia、Linfeng、Ellaine を含む Cobo の同僚に感謝します。