作者:Muhammad Yusuf,Delphi Digital研究員;翻譯:金色財經0xjs
本文分8個部分:1、60年代的暗池;2、混幣器、池子與中間狀態;3、隱私架構;4、暗池的內部運作:錢包設定、訂單發現與匹配、流動性來源; 5、商業模型;6、MEV和抗審查性;7、SEC合規;8、未完成的思緒。
在深入研究基於區塊鏈的暗池內部運作之前,讓我們先了解暗池是如何產生的,為什麼它們能持續運作,並在多大程度上改變了遊戲規則。
15世紀日本繪畫,一名戴著面具的男子將美元投入充滿黑墨的井中。 AI作圖
1、60年代的暗池
1969年,那時電腦仍然足夠大以至於可以佔據一兩個房間,交易員在交易大廳裡喊著下單,機構投資者需要一種更好的方式來買賣股票,而不會在市場上引發多米諾效應。當時,Jerome Pustilnik創立了Instinet,開創了華爾街的電子交易。機構投資者下訂單,Instinet會匹配買賣訂單並執行它們。要使像Instinet這樣的東西運作,需要訂單的需求和供應雙方的大量交易量。那麼是什麼讓機構投資人願意使用它呢?機密性。 Instinet允許大公司透過向其他參與者和更廣泛的市場隱藏其身分和訂單,以匿名方式進行操作。雖然這防止了他們的交易影響市場,但這也意味著他們被其他交易員搶跑交易的風險降低了。
截至2022年,已有60多個暗池在美國證券交易委員會(SEC註冊。有些是由交易所營運的,如紐約證券交易所(NYSE)或納斯達克(NASDAQ),有些是由經紀商營運的,如摩根士丹利的MS Pool,高盛的SigmaX,還有一些是獨立運作的,如Liquidnet或MatchNow。
營運商運作的暗池的問題在於,營運商可能比遵守規定更有動機行為不端。原因很簡單:腐敗的利潤> 腐敗的成本。營運商可能從腐敗中獲得更多的利潤,而不必支付罰款。 2018年,美國證券交易委員會(SEC)對花旗集團罰款1200萬美元,因為關於運營他們的暗池他們誤導了投資者,同時將機密訂單信息洩露給高頻交易商,後者執行了價值超過90億美元的訂單,並從中獲利。
傳統的暗池用戶面臨被營運商玩弄的風險。這是他們參與破裂的信任模式所必須付出的沉重代價。自2011年以來,暗池營運商已支付了超過3.4億美元的罰款以解決指控。與他們可能累積的利潤相比,這是一個相對較小的代價。基於區塊鏈的暗池試圖抽象化對可能惡意行為的營運商的信任的需求。但仍然有問題。
2、混幣器、池子和中間狀態
區塊鏈最初設計是完全透明的。儘管它促進了可審計性,但這是一把雙面刃。如果你在鏈上收到薪水支付,擁有你錢包地址的任何人都可以看到你多年來收到了多少工資,以及將來將收到多少工資。
去中心化交易所DEX和錢包可能會受到錢包和跟單交易平台的跟踪,後者甚至允許匿名者嗅探表現良好的交易員,複雜化他們的交易策略。大訂單也面臨在公共mempools中被搜尋者搶跑的風險。
在進入暗池之前,我們先來區分一下混幣器和暗池。混幣器是暗池的一個子集。像Tornado Cash 這樣的混幣器會混合代幣來破壞錢包和資產之間的聯繫,從而使追蹤資金來源變得困難。另一方面,暗池不僅可以打破錢包和代幣之間的聯繫,還可以幫助用戶相互交易,而不會洩露有關相關方的任何資訊。
現在我們已經研究了傳統暗池背後的起源和動機,並將混幣器與暗池區分開來,讓我們深入研究基於區塊鏈的暗池,這些暗池透過餘額(balance)模型和PET(隱私增強技術)如零知識證明、MPC和FHE,在其基礎架構中引入隱私。
並未包含所有隱私或專注於隱私的DeFi公司
截至撰寫本文時,Portal Gate、Renegade 和Tristero等暗池正在開發中。 Panther和Railgun等隱私協議已經上線,可以促進swap以外的隱私defi交易例如質押、提供流動性和借貸。
3.隱私架構
餘額模型
區塊鏈是狀態機。狀態由帳戶和交易組成。隨著帳戶的交易,每次狀態轉換,新的一組更新就會被添加到鏈上。帳戶的餘額也會更新。餘額模型是區塊鏈追蹤和管理用戶帳戶餘額的不同方式。以太坊、Solana和Polygon等區塊鏈採用帳戶模型,而比特幣、Zcash和Monero等區塊鏈則使用UTXO模型。這些模型在它們管理和呈現區塊鏈狀態的方式上存在差異。
帳戶模型類似銀行帳戶,顯示目前狀態為一組地址及其餘額。每當你進行付款時,你發送的金額正好,不需要找零,也不會創建新的帳戶。在但UTXO(未花費交易輸出)模型並不那麼簡單。當你付款時,你的全部餘額將被轉移,並銷毀你的現有餘額。你擁有的剩餘部分將會加到新的餘額中。 UTXO 模型將目前狀態顯示為所有已花費和未花費交易輸出的圖表。
為了說明這一點,請考慮以下場景:
Alice的錢包包含兩個分別為6個幣和5個幣的UTXO,而BobBob的錢包則包含一個包含5個幣的UTXO。當Alice向Bob發送5個幣時,她將她的兩個UTXO合併為一筆交易,這使得觀察者很難弄清楚她發送給Bob的5個幣的來源以及她的UTXO中的剩餘餘額發生了什麼。這種隱私保護機制有效地掩蓋了資金流向,維護了交易參與者的機密。
新產生的UTXO 沒有已知的擁有者,需要先進的鏈上分析才能連結到單一使用者。帳戶模型具有可替代性。它鼓勵地址復用,因此可以輕鬆追蹤單一使用者的歷史記錄。
在UTXO 模型到位的情況下,雙花也相當困難。每個UTXO 都有一個透過其自身派生的獨特的無效器。當交易被驗證時,即當UTXO被花費時,其無效符也被花費。這可以防止交易再次被花費。
UTXO 模型的多個版本已在專注於隱私的L1 和L2 中使用。 Aleo 使用Record 模型,它是UTXO 模型的變體。 Aztec 和Polygon Miden 使用UTXO 和帳戶模型的混合。
Zcash 使用的UTXO 模型極大地啟發了暗池中使用的UTXO 模型。各個協議對其進行了修改以支援多種資產和帳戶。 Portal Gate, Penumbra, Railgun, and Renegade等協定使用基於note的機制,其中每個UTXO 都是一個note。這些note與UTXO 一樣,包含有關資產、訂單和價值的信息,但僅對所有者/用戶可見。這些註解儲存在Merkle 樹中,Merkle 樹儲存鏈的狀態,稱為狀態承諾樹。這些note可能是由於暗池內的內部轉帳或結算,或透過向中繼者支付費用而建立的。 Renegade 使用MPC 來匹配UTXO(訂單)並更新私有狀態。多個note也可以儲存在單一note中。
在Panther Protocol 中,每個資產或帳戶都表示為zAsset 或zNFT,UTXO 模型透過稱為「Bus」的Merkle 樹運行,該樹批量處理UTXO,每批最多64 個UTXO,從而優化用戶的成本效率。 「Bus運營商」負責處理,用戶用以ZKP 計價的獎勵來激勵他們。在執行單一UTXO 時,Panther 擁有所謂的「計程車(Taxi)」Merkle 樹。為了支持多鏈UTXO,「渡輪(Ferry)」默克爾樹。
證明系統
這就是PET(隱私增強技術)發揮作用的地方。零知識證明用於證明擁有正確的資訊而不洩露它。在暗池的背景下,可以發布零知識證明來證明用戶有足夠的資金和權限來下訂單並進行配對和結算,同時對暗池運營商、其他交易者和外部第三方隱藏這些細節。
證明系統是為產生這些證明而設計的密碼結構。它們有多種類型,每種都會產生不同大小的證明,需要不同的時間範圍,並消耗不同的計算資源來產生和驗證。在這裡,我們將深入研究兩個著名的證明系統:Groth16 和UltraPlonk,它們已在我們討論過的暗池中找到了應用。
Panther、Penumbra 和Railgun 利用Groth16 證明系統來產生證明。 Groth16 以產生大小一致的證明而聞名,這使其成為受歡迎的選擇,因為證明大小可能會影響交易大小、gas 成本和吞吐量。另一方面,Portal Gate 和Renegade 使用UltraPlonk 證明系統。
Groth16 和UltraPlonK 都需要可信任設置,其中一組可信任方協作建立一組通用參數。這些參數用於以驗證者不需要信任證明者並且證明者不需要信任驗證者的方式來驗證證明。值得注意的是,可信設定意味著對相關各方的信任假設。安全多方運算可用於防止任何單方取得對底層設定結構的存取權。 Groth16 的可信任設定依賴多方的輸入,而UltraPlonk 只需要單方的參與。
4、暗池的內部運作
現在讓我們在下面的章節中介紹一下暗池的內部運作方式、它們如何在進行交易時保護隱私、提供流動性、防止MEV、它們的抗審查性以及合規性。
錢包設定
在大多數情況下,你將需要創建新的專用錢包來與暗池互動。 Railgun 有一個名為Railway Wallet 的第三方錢包提供商,它允許你創建一個加密的EOA,讓你可以持有屏蔽代幣/NFT 的餘額,還可以透過Relay Adapt 機制私下調用你想要的任何公共智能合約。
對Renegade來說,錢包就像一個擁有私鑰並且可以簽署交易的UTXO。你將需要產生一個新的UTXO 並使用ZK 證明對其進行提交。這個證明證明新的UTXO 實際上是新的,而且你還沒有花費它包含的資金。大多數操作(例如存款、下單和交易)都會使該錢包失效,從而導致你創建一個新錢包以確保不會發生雙重支出。用戶體驗與任何其他以太坊錢包相同。
要使用Penumbra,你需要建立一個新錢包,就像第一次啟動任何其他Cosmos 鏈時一樣。之後,可以透過另一次IBC 轉帳為錢包注資。
透過Panther 和Portal Gate,KYC 流程就位。可以使用以太坊錢包,但連接的錢包用戶必須驗證其護照以獲得與協議互動的憑證。商業實體需要KYB 來分享其業務詳細資訊。驗證是透過註冊合規提供者在鏈下完成的。這些憑證會定期過期,之後必須重複驗證。
訂單發現與匹配
在訂單發現和配對方面,Uniswap 和Curve 等一般去中心化交易所採用自動做市商方法,將訂單與流動性池進行配對。這種方法並不是保護隱私的最佳選擇,因為當訂單與公共流動性池進行匹配時,訂單詳細資訊在區塊鏈上公開可見。這對於大量交易的交易者來說並不理想,因為這可能會向市場上可能利用該資訊的其他參與者透露他們的意圖。一些最終與流動性池進行匹配或使用其他外部公共合約進行訂單匹配的暗池利用中繼器,充當必須保護隱私的交易者與外部流動性來源之間的長城牆。在下一節中,我們將研究暗池如何在保持隱私的同時獲得流動性。
請記住,交易者已經將資金存入暗池的錢包。我們現在將回顧一下下訂單時會發生什麼。有些暗池採用點對點方法進行訂單匹配,而有些則採用點對池方法,使用零知識或多方計算等PET,同時其內部合約與外部公共合約進行交互。採用點對點方法或交易者之間的交叉訂單可以幫助更好地執行而不會出現滑點。因為如果訂單與流動性池匹配,則流動性池的價格可能會在下單時間和訂單執行時間之間發生變化。當交易者之間交叉訂單時,訂單將按照他們之間商定的價格執行。
Renegade採用點對點方式,當交易者提交訂單時,他們也會選擇一個可以付費競價(匹配訂單)的中繼者。交易者產生一個名為「有效承諾」的ZK 證明,表明他們擁有自己的錢包及其訂單。然後將「握手」傳送到網路以與其他交易者的握手進行配對。握手本質上是一個不可篡改的列表,其中包含有效承諾(VALID COMMITMENT)ZK 證明、散列訂單詳細資訊、無效符和金鑰對。當發現一個交易者的握手與另一個交易者的握手相符時,他們將繼續進行多方計算。 Renegade使用協作ZK-SNARK來證明交易者的訂單與交易對手的訂單真正匹配。這確保了在進行訂單匹配時,訂單詳細資訊對其他方隱藏。一旦訂單與所有必需的證明相匹配,就會創建一個新錢包,在驗證錢包確實是新的後,將交換的代幣存入其中,以防止雙重支出。用戶體驗與使用任何以太坊錢包相同。
對Portal Gate,當交易者提交訂單時,API 節點會接收該訂單,對其進行加密並產生ZK 證明,並將訂單轉發給Book,Book 是一組鏈下節點,它們收集訂單並運行FHE(全同態加密)環境中的匹配演算法。這意味著加密訂單無需解密即可匹配。訂單配對後,會顯示所有符合訂單的總結果,而不會顯示單一符合訂單的詳細資訊。這再次有助於保護隱私。
Railgun Railgun,當交易者透過Railgun下交換訂單時,名為Adapt Module的智能合約會執行多個操作,即獲取交易者錢包中想要交換的指定私人餘額並將其取消屏蔽。 Adapt Module也將驗證訂單(UTXO)尚未被取消/花費。然後,0x API 在聚合的DEX 流動性中交換資產,尋找最佳利率。然後,Adapt Module將交換的資產屏蔽回私人餘額中,這樣它們的活動或地址就不會被洩露。此工作流程也可以應用於其他DeFi 交易類型。
Panther Protocol運作方式也類似,它使用一個名為Zswap 的模組,將Panther 的MASP(多資產屏蔽池)與其他DeFi 協定連接起來。 MASP 與其說是一個“池”,不如說是“僅附加”Merkle 樹的集合,其中每片葉子都是對UTXO 的承諾,代表存入MASP 的資產的IOU。當交易者建立訂單時,Zswap 會匯總其他DeFi 協議的報價,供交易者選擇。下訂單後,Zswap 會建立一個加密的基於時間的託管合約,該合約可以私下促進用戶之間的交換,而不會透露任何細節。一旦資產被交換,用戶就會從Panther 的MASP 收到ZAsset (ZNFT) 形式的代幣IOU。
Penumbra的交換模組也稱為Zswap,但其工作原理截然不同。當交易者創建訂單時,交易者私密餘額中的資產將被燒毀,加密的訂單值將發送給驗證者。處理訂單還需支付一定費用。向使用者提供“swap”NFT 以保留事件記錄。 NFT 透過各種參數的組合來識別,包括交易的資產、費用、輸入金額和加密金鑰。驗證者將多個交易者的訂單輸入匯總到一個批次中,然後根據集中的流動性部位執行這些輸入。一旦執行,輸出將根據每個交易者的輸入按比例交付給交易者。在這種情況下,個人資料仍然是私密的,但當驗證者匯總訂單以針對集中的流動性頭寸執行時,匯總資料就會暴露。
尋找流動性
像Renegade 和Portal Gate 這樣的暗池透過在用戶之間直接匿名交叉買賣訂單來運作,但訂單另一方的流動性可能並不總是可用。對於一般的DEX,你幾乎可以保證訂單的流動性,但你需要以隱私和價格影響為代價進行權衡。隱私,因為任何人都可以查看你出售或購買的商品。價格影響,因為保證的流動性會帶來溢價,你最終會與訂單一起支付溢價。透過暗池,訂單資訊在交易之前和之後都被隱藏。
Renegade遵循這一設計理念,將訂單流與櫃檯訂單流進行匹配,而無需通過任何中間流動性提供者。在缺乏流動性的情況下,有一種稱為「興趣提示(Indication of Interests)」的機制,交易者可以向匹配訂單的中繼者透露其訂單的某些細節。價格、規模、資產、訂單類型等細節透過零知識得到有效證明。如果交易者選擇透露此類詳細信息,其他交易者將能夠查看訂單簿上的這些訂單,從而可能導致這些訂單的執行速度更快。
Panther Protocol 不僅僅是一個暗池。它還有許多其他可以私密進行的DeFi 活動。使用者先存入多資產屏蔽池,將存入的資產表示為ZkAsset (ZkNFT)。本質上是一個IOU 代幣,類似於你在質押以太坊時獲得的stETH。名為DeFi Adaptor的插件將MASP 與現有DeFi 協定私密連接。 Zswap 和Ztrade 是將MASP 與Uniswap、Quickswap、Curve 等DEX 連接的轉接器。
Penumbra ,與Panther 或Railgun 一樣,是多種DeFi 活動的途徑。在Penumbra 中,使用者在開始LP 部位時最終會建立自己的小型AMM。因此,你擁有由設定自己所需費用的用戶創建的數萬個集中流動性頭寸的集合。這會分散流動性,但Zswap / DEX 引擎會考慮並將所有這些單獨的流動性部位合成到單一AMM 中。這使得在整個流動性圖譜中路由傳入交易成為可能。
透過Portal Gate(一種匿名AMM-DEX),Automaton 用於促進流動性作為帳簿的備份,即中繼器運行用於交叉用戶相互交易的訂單簿。如果由於缺乏流動性而導致訂單薄無法促進交易,訂單將被路由至Automaton。 Automaton 的流動性將像其他AMM 一樣引導。
Railgun 的Railway DEX 使用0x建構的0xAPI 。這意味著從Railway DEX 發出的訂單將被路由,以找到在0xAPI DEX 聚合器上執行的最佳價格。一旦找到交易路線,錢包就會產生證據,以使用交易者餘額中的資金來交換和封鎖從0xAPI 到交易者餘額的傳入代幣。
5.商業模型
Tradfi暗池或多或少被視為精英俱樂部,在那裡,擁有大量餘額的人進行交易。他們向暗池支付會員費,可以匿名下單,也可以從對方獲得相關的櫃檯訂單流量。交易費用通常低於tradfi 交易所。 Tradfi 暗池也可以充當經紀人,以較低的價格從賣方購買證券,然後以較高的價格出售給另一個買方。
加密貨幣中的暗池擺脫了這種以「運營商」為中心的設計,更多地以「促進者」的方式行事。他們的目標是透過兩個主要部分產生收入。成功配對的訂單的協議費用以及交易者向中繼器支付處理交易的部分中繼器費用。部分中繼費用也可以交給中繼業者。交易者還可以選擇運行自己的中繼器以獲得更好的隱私並避免支付中繼器費用。
加密領域的去中心化暗池可能會面臨冷啟動問題。和與流動性池進行交易的DEX 不同,大多數暗池讓用戶透過配對買賣訂單來相互交易。對於這樣的系統來說,讓市場雙方的交易者下訂單至關重要。還需要注意的是,tradfi 中的暗池是由高盛等價值數十億美元的銀行和紐約證券交易所等交易所託管的。這樣,向用戶提供訂單流就會相對更容易。還有像Liquidnet 這樣的獨立暗池,他們估計從今天開始需要至少100 家買方公司在其平台上運作才能達到臨界規模,但最終只有38 家公司。 Liquidnet 目前已躋身全球前3 大暗池之列。
圖片來源@yusufxzy, Source: Coingecko
中心化交易所的交易量平均是去中心化交易所的10 倍,因為它們更廣泛的用戶群被更好的用戶體驗和合規性所吸引,這反過來又增加了供應以滿足需求。場外交易的流動性相對較難取得。
大多數的加密貨幣場外交易都是透過場外交易櫃檯和託管智能合約甚至在某些情況下透過Telegram 群組進行。這真是令人震驚。人們經常被騙。騙子可以很方便地冒充Telegram、編輯訊息和交易詳細資料。使用暗池,可能無法保證你立即結算非流動性代幣或NFT,但它可以確保更高水準的安全和隱私。由於場外交易是透過暗池進行的,場外交易櫃檯的客戶也不必支付經紀人費用。
交易量對於暗池的有效運作至關重要。它有助於有效地匹配訂單並保持交易者的匿名性。資金池中的匿名資金越多或訂單簿中的訂單越多,將儲戶和交易者與他們的資產聯繫起來就越困難。這是因為有更多的潛在儲戶可以嘗試將資產連結到暗池。保護資產時考慮代幣的類型也很重要。屏蔽USDC 或DAI 等常見穩定幣比屏蔽只有極少數儲戶的未知meme 代幣能提供更大的匿名性。
6、MEV與抗審查
大多數在公鏈上運行的DEX 作為一個開放、透明的分散式帳本,允許MEV 的存在。 Uniswap 或Curve 等DEX 的訂單詳細資料並不是保密的。這允許搜尋者和建構者相應地重新排列捆綁和區塊中的交易以提取MEV。
隱私固然好,但這是主觀問題。 Tornado Cash 非常擅長讓人們匿名在鏈上進行金融活動。由於它是開源的並且免費供任何人使用,因此也有犯罪分子利用它來洗被盜資金。北韓駭客組織Lazarus 迄今已竊取近10 億美元(9.58 億美元)。 OFAC(外國資產管制辦公室)維護著一份特別指定國民和被制裁個人的名單。惡意個人和實體(例如Lazarus,甚至Tornado Cash 的智慧合約地址)都被列入OFAC 違規名單。不符合OFAC 規定的協議很有可能其交易被排除在添加到鏈上的區塊之外。這是因為6 家最大區塊builder中的前5 名均符合OFAC 規定。這是一個嚴重的審查抵制問題嗎?是的。它不止於builder。驗證者和中繼者還可以選擇省略交易或區塊。
在暗池,由於每個訂單都會發布ZKP,因此訂單詳細資訊大多對包括驗證者在內的所有第三方都是隱藏的,從而無需透露訂單匹配甚至結算的詳細資訊。這種架構可以是MEV 和抗審查的,或者至少只要交易工作流程保持在暗池的加密前提內,情況就是如此。在呼叫公共合約或使用共享排序器的情況下,MEV 捕獲機會可能會再次出現。
7.SEC合規
無論你是在協議內操作還是作為個人用戶,你最不想看到的就是看到你的交易處於掛起狀態,在區塊內未處理,從而冒著狀態轉換成功的風險,或者讓SEC 喊你喝茶。對Tornado Cash創始人和開發者來說,這些擔憂成為了一個嚴峻的現實,他們因洗錢指控而被捕。 TC 前端在許多國家也是非法/已失效,且不受多個CEX支援。 TC智能合約本身仍然可以運行,並且可以由具有一定技術知識的人使用。
為了嘗試避免這種情況,暗池和其他注重隱私的協議已經找到了允許用戶自行決定保持合規性的方法。
Renegade可以允許每個交易者選擇一組交易對手進行交易。個人交易者可能只想對其交易對手進行一些基本的AML/制裁檢查,而機構可能希望對其交易對手進行KYB/KYC 檢查。這種使用ZKP 進行合規性檢查的交易對手選擇邏輯可以在MPC 開始之前設定。
Portal Gate 和Panther Protocol 與合規預言機合作,合規預言機與傳統合規服務提供者合作,以KYC/KYB 驗證鏈下使用者帳戶。一旦經過驗證,用戶將獲得ZK 合規證明。該證明允許他們的錢包與暗池協議一起使用。驗證需要定期進行。
對於Penumbra,用戶可以使用「交易視角」來展示鏈下合規性,以揭露其活動,包括有選擇的資金來源。同樣,使用Railgun,用戶擁有“查看密鑰”,允許用戶查看從X 到Y 區塊時間的交易和餘額。
Railgun 使用由Chainway 開發的隱私池2.0 論文中討論的「無罪證明」。無罪證明可幫助你證明你的交易是合法的,而無需透露任何交易詳細資訊。梅克爾樹充當所有先前UTXO(交易、餘額)的聚合。這樣,就可以確定特定餘額是特定交易集的一部分。但為了證明特定餘額不是某個交易集的一部分,需要一個記錄NULL 值的Sparse Merkle 樹。有了這個證據,就可以產生驗證餘額不屬於某個交易集的一部分。在這種情況下,遞歸SNARK 用於證明從初始存款到最終提款的證明鏈經過準確計算,以證明用戶的餘額不屬於某個交易集。
8.未完的思緒
暗池用戶依賴公開價格作為交易者的基準,但公開交易所上的資產價格可能無法反映暗池內發生的變動。直到2014 年,價格發現一直是暗池和公共交易所之間的單向關係。 FINRA 和SEC 實施了一項舉措,規定結算後的暗池交易資訊將在security-by-security的基礎上公開發布,延遲時間為4週。目前尚不清楚未來是否可以將類似的公開揭露標準應用於加密貨幣暗池,以促進所有市場參與者更好地發現價格。
純粹的暗池必須引導市場雙方的訂單流才能達到臨界品質。我們可能會看到許多場外交易轉移到暗池,因為它們比場外交易櫃檯和Telegram 群組更安全、更私密且更具成本效益。在私人DEX 與公共流動性池或外部智慧合約互動的情況下,對洩漏的資訊進行偽裝可能會導致某些交易和交易者解鉤。
