一文了解Merkle Tree儲備證明，有何意義和漏洞？_ERK

前言：FTX暴雷，使得所有交易所開始共同推進默克爾樹儲備證明方案，未來這將成為類似DeFi項目的安全審計一樣、幾乎所有交易所的必備選項。目前國外與國內實踐時間較長的是Kraken與Gate。究竟什么是MerkleTree儲備證明，它有什么意義，又有什么不足？這篇文章匯總了一些內容，以供讀者了解。內容一：國內最早長期使用的Gate的說明默克爾樹是一種哈希二叉樹，1979年由RalphMerkle發明，將數據存儲在樹狀結構的葉子節點中，并通過對數據的逐級哈希操作確保數據的不可篡改性。葉子節點數據的任何變動，都會傳遞到上一級節點并最終反應到樹根的變化。比特幣區塊里面的每一筆交易就是通過默克爾樹結構進行存儲的。我們提出的方法中，采用兩種方式分別提供平臺用戶所屬資產總額證明和有效用戶保證金證明。通過默克爾樹的方式將每一個用戶的賬戶資產哈希值存儲在默克爾樹的葉子節點中。通過第三方的財務審計機構審計默克爾樹的葉子節點中存儲的用戶資產總額，同時也由第三方的財務審計機構審查和驗證平臺所持有的有效用戶保證金。最終由第三方的財務審計機構提供書面審計報告對外公布審計結果。同時對外公開存儲所有用戶資產哈希值的默克爾樹。每一個平臺用戶都可以通過數學算法驗證自己的賬戶資產金額是否被準確包含在默克爾樹中。對于主流幣種，我們將跟審計公司配合，逐一完成審計報告，在Github平臺上公布所有用戶資產哈希值默克爾樹，并且開源驗證代碼程序，任何平臺用戶都可以從“我的財務”的“余額證明頁面”獲取驗證信息，并且通過我們公開的默克爾樹和驗證程序驗證自己的資產是否被我們準確公布和包含到審計過程中。對于其他幣種，任何項目方或個人均可以提出要求讓平臺按同樣標準完成審計工作和公開用戶資產默克爾樹，但需要由提出人承擔一定的費用。費用標準將根據審計難度確定，根據幣種是否多鏈存儲，是否具有PoS理財功能，是否具有隱私功能等制定。內容二：作者：Babywhale，ForesightNews原地址2019年2月，比特幣和區塊鏈基礎設施公司Blockstream發表了名為《標準化比特幣儲備證明》的博客文章，闡述了如何自證交易所等機構的比特幣儲備以及對這些儲備資金的控制權。Blockstream最初研究該方案是旨在向審計員證明比特幣側鏈LiquidNetwork上的比特幣儲備，后發展為比特幣儲備證明的一種規范。在Blockstream之前，驗證的方案的多樣性使得用戶難以了解每個交易所的儲備情況。此外，由于需要驗證私鑰的所有權，所以在簽名交易轉移資產的過程中可能有資金被盜的風險。該方案通過比特幣特殊的UTXO交易格式實現，交易所通過構建一個包含交易所所有比特幣儲備的交易輸出，但同時構建一個無效的輸入。該交易會在廣播時被網絡拒絕從而無法產生實際的交易，但該交易仍可以作為交易所控制的比特幣數量的證明。事實上，早在2014年，Crypto社區就對交易所如何向審計機構證明其儲備展開了討論。在Blockstream提出了比特幣的儲備證明方案并加入BIP之后，市場開始研究更加細化的方案，而基于MerkleTree的證明模式就是當下市場普遍認可的一種方案。總部位于美國的加密貨幣交易所Kraken對其儲備證明的方案進行了較為詳細的解釋。Kraken表示，所謂PoR是由第三方進行的獨立審計，審計員將對所有的賬戶余額進行匿名快照，并將其聚合至MerkleTree中，并獲得MerkleRoot：一種在創建快照時產生的唯一的標識這些余額的數據組合。然后，審計員收集由Kraken生成的數字簽名，這些簽名通過可公開驗證的余額來證明對鏈上地址的所有權。最后，審計師比較并驗證這些余額是否超過或匹配MerkleTree中顯示的客戶賬戶余額，來確定交易所是否持有足額的準備金。

6月份非農就業人數增加209,000人，低于經濟學家預期的增加240,000人:金色財經報道，6月份非農就業人數增加209,000人，低于經濟學家預期的增加240,000人。盡管數據顯示勞動力市場降溫，但市場觀察人士仍感到擔憂，因為平均時薪增長率較5月份穩定在0.4%，較去年同期穩定在4.4%。根據FedWatch Tool的數據，該報告并未改變美聯儲下次會議加息25個基點的預期。這使美國股市承壓，三大股指本周均下跌。標準普爾500指數下跌1.16%，納斯達克指數下跌0.92%。[2023/7/10 10:12:40]

簡單解釋一下，MerkleTree的底層數據為每個賬戶持有的資產數據生成的Hash，之后MerkleTree再通過兩個Hash生成一個新的Hash，以此類推，最終的Hash代表著交易所所擁有的資產總額，該數字應該大于或至少等于所有用戶持有的資產。該方案能夠被接受的最大原因在于每個用戶的資產數據都被包含其中，如果交易所想要篡改該過程中任何一個數據，都會對最終數據產生極大的影響。

鏈游Illuvium將推出可定制NFT系列Illuvium:Beyond:2月6日消息，鏈游Illuvium宣布將與幣安、Immutable X以及Chainlink合作，于3月7日推出可定制NFT系列Illuvium:Beyond，該系列NFT可以作為用戶在Illuvium元宇宙內的游戲頭像，用戶可選擇頭像的圖片內容。此外，幣安將向通過幣安參與的用戶提供少量BUSD空投。[2023/2/6 11:50:11]

雖然該方案在證明審計時交易所擁有足以兌付所有用戶資產的能力，但也存在一定的缺陷。例如無法證明私鑰是獨家擁有的、審計時的資產是否為臨時借入、如何證明以將交易所資金與用戶資產進行了隔離以及審計本身的審慎性等。除了Kraken之外，加密貨幣交易所BitMEX在2021年公開了其驗證交易所持有的比特幣儲備的方案，該方案同樣采用了基于MerkleTree的證明模式，為每個用戶的賬戶生成ID，使得用戶可以自己運行一個比特幣節點，再通過運行這一套程序來驗證每個比特幣區塊高度中賬戶資產與交易所的總資產。此外，BitMEX還在方案發布時描述了其在用戶隱私層面所做的考慮。若將數據公開，則所有用戶的資產情況也將隨之公開，BitMEX計劃將用戶的資產進行一定程度上的分割，并將不同用戶的部分資產數據組合形成MerkleTree，使得即時在首次公開時暴露了部分持倉，也難以在后續觀察到該用戶的資產分布以及對其操作進行跟蹤。寫在最后雖然FTX事件為我們敲響了警鐘，也推動了交易所透明度的進一步發展，但事實上當前的資產驗證方案仍存在包括上述缺點在內的不少漏洞。在很多細節方面，交易所仍然難以「自證清白」。中心化機構的透明度一直以來都是一個被廣泛關注和討論的問題，不夠透明會引發投資者的擔憂，但過于透明可能會一定程度上暴露商業機密，而這些矛盾不僅僅發生在Web3領域。舉個簡單的例子，當前中心化交易所很多都推出了加密貨幣理財產品。在交易所沒有濫用這些資產的前提下，可能部分用于量化交易，部分用于對沖風險，部分用在DeFi中，部分用于抵押借貸，交易所本身很難將全部的用途公之于眾。當下，證明交易所兌付能力的儲備證明僅僅是一個開始，如何證明用戶資金沒有與自有資金混淆、如何證明理財產品并非旁氏騙局、如何證明做市商的承兌能力等等，都是交易所后續需要去思考和解決的問題。內容三：不同觀點，來自ChainfeedBen：潛在的問題有：1.樹根的更新頻率問題；2.前端欺詐問題；3.第三方審計的信用問題；4.吹哨人可用性問題。但愈加透明總體上對CEX用戶而言是一種更好的趨勢。Haotian：交易所CEX都說要采用默克爾樹儲備證明，有積極影響，但潛在問題依然存在：1）默克爾樹儲存的數據頻率如何更新，不能做到每筆input和output都實時刷新，資金挪用問題還是存在；2）默克爾樹數據存在交易所自家服務器上，頂多算可驗證了，「驗證」都是事后查證性質了，說到底還是會存在平臺公信力問題。Jolestar：Merkletree方案實際上起不了多大作用，不過聊勝于無吧，這個趨勢是好的。真正的方案需要參考layer2的思路，要保證用戶單方面的提幣權，要有欺詐懲罰。Mindao：核心問題是光知道儲備還不夠，關聯交易、負債關系、保證金交易，這些都無法通過儲備體現。牛市來了，用戶殺紅眼，更不在乎這。聊勝于無吧，但最終：他律>自律。DeFi是永續資產鏈上證明，而且連業務邏輯、權限都明明白白、可驗證。我們又回到原點，allinDeFi就對了。Benmo：除了各家Cex做保證金100%證明，希望跨鏈橋們也做一下保證金100%證明。

Multichain攻擊者將79萬枚DAI換成USDC后跨鏈至BNB Chain上地址:金色財經報道，據MetaSleuth數據顯示，北京時間2023年2月3日13:02:59，Multichain攻擊者將約79萬枚DAI換成約79萬枚USDC，并將所有USDC跨鏈至BNB Chain上0x803df地址。[2023/2/4 11:47:09]

報告：2022年勒索軟件攻擊者獲利減少40%，至4.568億美元:1月20日消息，區塊鏈情報公司Chainalysis在1月19日發布的《2023年加密犯罪報告》報告中表示，2022年勒索軟件攻擊者獲利暴跌40%，至4.568億美元，同時指出這些數字并不一定意味著攻擊次數比前一年有所下降。

Chainalysis表示，公司被迫加強網絡安全措施，而受害者越來越不愿意向攻擊者支付贖金。在去年同系列報告發布時，2021年勒索軟件攻擊獲利高達6.02億美元，后來又新增了更多的加密貨幣錢包地址，使這一數字升至7.66億美元。

此外，勒索軟件攻擊者在重新分配資金時，有48.3%利用中心化加密貨幣交易所，高于2021年的占比39.3%，而包括遭到OFAC制裁的Tornado Cash在內的混幣協議在2022年被攻擊者利用的占比從11.6%增加到15.0%。（Cointelegraph）[2023/1/20 11:23:09]

多簽解決方案MSafe現已支持顯示NFT:1月17日消息，基于Move語言的Aptos生態多簽解決方案Momentum Safe（MSafe）現已支持顯示NFT。若要接收NFT，用戶需提交Enablereceiving NFTs交易。

金色財經此前報道，1 月 5 日，MSafe 完成 500 萬美元種子輪融資，Jump Capital 領投，Circle Ventures、Coinbase Ventures、Superscrypt、 Redpoint Ventures, SV Angel、Shima Capital、Spartan Group 等參投[2023/1/17 11:16:07]

Tags：比特幣ERKMERETR比特幣市場規模多大TERKNorth America PoolMoonRetriever

火幣下載