Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
rossomaha.xyz
7 лет назад

К вопросу о взаимозаменяемости криптомонет

О взаимозаменяемости монет, Биткойне, Monero и почему ZCash -- неудачная идея.

Когда Биткойн только появился, многим показалось, что мы, наконец, получили децентрализованные цифровые наличные. Кто-то начал использовать Биткойн по идеологическим причинам, но многих привлекла его предполагаемая анонимность. Чтобы создать кошелек или отправить транзакцию, не нужно было предоставлять никакую информацию о себе. Волшебные анонимные деньги для Интернета -- что может быть лучше?

Однако со временем стало ясно, что Биткойн вовсе не анонимен и что все транзакции на блокчейне можно отследить. Если вы обменяли биткойны на митапе своему новому знакомому, он может узнать, сколько средств находится в вашем кошельке. Когда вы имеетее дело с регулируемой биткойн-компанией, вы обязаны предоставить ей идентификационные данные, и можно с уверенностью сказать, что эта компания сопоставит ваши данные с историей транзакций на блокчейне. Разумеется, эти данные могут быть переданы правоохранительным органам и использованы для обнаружения ваших связей с теми или иными людьми, рынками либо онлайн-сервисами.

Используя эти данные, многие компании по отслеживанию биткойнов принялись деанонимизировать пользователей, а некоторые даже вознамерились полностью проанализировать блокчейн Биткойна. Как же избежать этой слежки?

Наверняка вам известны сервисы-микшеры -- централизованные платформы, которые принимают монеты пользователей, а затем отправляют им новые монеты, не связанные с отправленными. К сожалению, эти платформы могут быть приманками правоохранительных органов или просто исчезнуть с вашими деньгами.

Другой способ анонимизации называется CoinJoin. С его помощью вы можете известить других пользователей о том, что хотите смикшировать свои монеты. Не вдаваясь в подробности, скажем, что в конечном итоге участники подписывают одну большую транзакцию со входами, которые нужно смикшировать, и получают выходы транзакции на новые адреса. Это запутывает связи транзакций, но лишь частично: как только вы получаете монеты обратно и начинаете совершать новые транзакции, выходы снова объединяются, и некоторые из них могут быть сопоставлены со входами. Кроме того, при CoinJoin возможна атака Сибиллы: участники микширования могут оказаться полицейскими, которые только вас и дожидаются. Если вы микшируете монеты с единственным партнером, он узнает ваши входы и выходы, что не менее опасно.

И все же, на мой взгляд, крупнейшая проблема -- это даже не централизованные микшеры, исчезающие с вашими деньгами, не приманки полиции и не отслеживание CoinJoin, а взаимозаменяемость.

Взаимозаменяемость денег -- это то их свойство, которое позволяет считать все их единицы одинаковыми. Иными словами, получателя банкноты не волнует, откуда она взялась. Если банкнота не фальшивая, он охотно примет ее в обмен на товары или услуги -- так работают физические наличные. Но как мы обеспечить взаимозаменяемость на прозрачном блокчейне, где каждая транзакция как на ладони?

Все формы микширования на прозрачных блокчейнах являются активными: чтобы смикшировать монеты, вы должны найти других пользователей, которые желают того же самого. Это делает систему уязвимой для вышеназванных атак, но, что еще важнее, посторонние могут увидеть на блокчейне, что вы пытались смикшировать свои монеты. Уже одно это может привлечь нежелательное внимание, вызвав подозрения в отмывании денег.

Даже если использование сервиса-микшера не является преступлением, взаимозаменяемость остается источником серьезных проблем. Прежде всего, это возможность занесения монет в "черный список". Даже успешная анонимизация монет оставляет след на блокчейне. Например, проанализировав блокчейн, можно легко узнать, что некоторые монеты были задействованы в операциях на даркнет-рынке. Вы ведь не забыли, что мы хотим микшировать свои монеты с монетами из неизвестного источника? Предположим, что после микширования вы получили обратно монеты, за которые когда-то покупались наркотики. Допустим далее, что DEA арестует драг-дилера и начинает расследовать его финансовые операции. Скорее всего, рано или поздно DEA доберется и до вашего кошелька. Если вы потратили эти монеты на каком-либо веб-сайте, его платежный процессор выдаст вашу информацию, и не исключено, что к вам в дом нагрянет полиция. Если вы попытаетесь продать эти монеты на бирже, ваш аккаунт может быть заблокирован, а монеты будут конфискованы. В США конфискация -- далеко не редкость.

Другая проблема -- это цензура майнинга. На текущий момент претензий к майнерам нет: похоже, что они добросовестно подтверждают все допустимые транзакции. Но что, если полиция явится к крупнейшим майнерам в мире (представляющим как минимум 51% хеш-мощности) и заявит, что им будут предъявлены обвинения в отмывании денег, если они продолжат подтверждать легко идентифицируемые транзакции микширования? Что, если им даже запретят создавать новые блоки вслед за блоками с нелегальными транзакциями? А ведь теоретически это возможно, и, на мой взгляд, выдвижение регуляторных требований к майнерам -- это лишь вопрос времени.

Таковы вкратце проблемы взаимозаменяемости, угрожающие прозрачному блокчейну. Имейте в виду, что в 99% криптовалют используются прозрачные блокчейны -- даже в DASH, где алгоритм CoinJoin встроен в кошелек с GUI, а монеты микшируются на централизованных "мастернодах", которые могут записывать каждый вход и выход.

Встречайте Monero.

Чем Monero отличается от всех других криптовалют? Прежде всего, в отличие от Биткойна, в Monero используется пассивное микширование. Как оно работает? В Monero для обфускации транзакций используются кольцевые подписи. Когда вы создаете транзакцию, ваш клиент Monero случайным образом выбирает некоторые транзакции из блокчейна Monero и создает "кольцевую подпись", вместе с которой публикуется так называемый образ ключа. Благодаря этим действиям наблюдатель не может узнать, кто на самом деле подписал транзакцию, но получает криптографическое доказательство того, что транзакция действительна и что двойной траты не было.

Поскольку клиент выбирает выходы другой транзакции случайным образом, они запутываются даже сильнее, и без подписания чего-либо. Это позволяет включить в транзакцию даже монеты, хранящиеся в бумажном кошельке! Таким образом, отправляя транзакцию, вы не только немедленно получаете возможность правдоподобного отрицания истории собственной транзакции, но и еще больше запутываете блокчейн, т. е. имеет место положительный внешний эффект. Чем больше людей использует Monero, тем выше конфиденциальность.

Кроме кольцевых подписей, в Monero используются тайные адреса, чтобы было невозможно определить получателя монет. Транзакция отправляется "одноразовому адресу", и получатель должен постоянно сканировать блокчейн, используя свой закрытый ключ просмотра блокчейна, чтобы определять, какие транзакции адресованы ему. С помощью закрытого ключа траты средств он затем может создать кольцевую подпись и потратить монеты. Вскоре в Monero будут добавлены конфиденциальные транзакции, чтобы сделать и сумму транзакции невидимой. Это также решит некоторые проблемы с конфиденциальностью Monero, которые все еще имеют место.

Но какое отношение эта хитрая система микширования имеет к взаимозаменяемости? Мы ведь по-прежнему можем отследить монеты и увидеть, что некоторые из них были смикшированы, верно? Нет: протокол Monero гарантирует применение кольцевых подписей, так что транзакции, не подвергшиеся микшированию, на блокчейн Monero не попадают. В результате каждая транзакция задействуется в кольцевой подписи, что усиливает обфускацию блокчейна. Это гарантирует взаимозаменяемость на двух уровнях: 1) благодаря микшированию по умолчанию невозможно отследить монеты, и 2) благодаря присущему кольцевым подписям свойству правдоподобного отрицания никто не может подтвердить, что именно вы инициировали микширование.

Единственное исключение из этих правил представляют свежевыпущенные монеты: они не имеют входов, так что их нельзя подписать кольцевой подписью. Однако на самом деле это свойство является преимуществом, потому что оно позволяет убедиться, что количество выпущенных монет соответствует плану эмиссии. Тем не менее, другие транзакции могут включать эти транзакции эмиссии в кольцевую подпись. Если это произошло хотя бы один раз, майнер получает возможность правдоподобнго отрицания траты своих свежевыпущенных монет.

Это означает, что прием и трата Monero не сопряжены ни с какими рисками отслеживания, занесения в черный список или цензуры. Вы не знаете, что происходит, но можете убедиться в отсутствии двойных трат и соблюдении схемы эмиссии. Некоторые проблемы с Monero существуют, но они не так уж серьезны, и над их решением активно работает Monero Research Lab. Дополнительные сведения вы можете найти в их исследовательских работах. В общем, Monero -- это (почти) идеальная форма цифровых наличных.

Имейте в виду, что Monero обеспечивает свои преимущества в полной мере, только пока вы остаетесь в системе. Как только вы начинаете использовать Monero в качестве микшера, покупая XMR за BTC и тратя XMR сразу же после этого, становится возможен временной анализ блокчейнов Биткойна и Monero. Вам не следует входить в систему Monero и выходить из нее каждый раз, когда вы хотите выполнить транзакцию анонимно, потому что это ухудшило бы конфиденциальность и взаимозаменяемость. Вместо этого вам следует просто использовать средства, которые вы уже сохранили в сети. Таким образом, реализация Monero в виде сайдчейна Биткойна -- плохая идея. Люди, которые на самом деле хранят часть своего состояния в Monero, выигрывают от обфускации, которая достигается при транзакциях других пользователей. Таким образом, Monero полезна лишь как отдельная сеть с взаимозаменяемыми монетами.

Что же можно сказать по поводу криптовалюты ZCash? Разве она не полностью анонимна и не лучше, чем любая другая анонимная критовалюта?

ZCash -- это криптовалюта, уходящая корнями к проекту Zerocoin/Zerocash, предложенному в 2013 году. Почти каждый биткойн-ветеран знает о нем. Основатели проекта предложили интегрировать его в код Биткойна, чтобы вы могли отправить транзакцию в Zerocoin, используя блокчейн Биткойна. Вы должны были бы "залить" свои биткойны в микшер Zerocoin и затем выполнять транзакции анонимно, используя протокол Zerocoin. Когда стало ясно, что Zerocoin не будет реализована в коде Биткойна в скором времени, разработчики какое-то время пытались реализовать ее в виде сайдчейна.

Однако в какой-то момент команда Zerocoin изменила планы и решила запустить альткойн ZCash. В альткойнах нет ничего плохого, но я считаю, что альткойн может выжить в долговременном масштабе, только если он имеет какие-то уникальные свойства, которые не могут быть реализованы в Биткойне. Тот факт, что можно ZCash можно добавить к Биткойну как сайдчейн, уже настораживает.

Команда ZCash решила запустить ZCash как альткойн, чтобы профинансировать разработку: ZCash имеет за собой американскую компанию и будет забирать в первые 4 года 20% дохода от майнинга, чтобы выплачивать прибыль частным инвесторам. Если ZCash преуспеет, инвесторы получат немалые деньги. Хотя я не люблю ICO, открытая распродажа кажется более честным и открытым способом финансирования разработки, чем привлечение денег частных инвесторов.

Это резко контрастирует с Биткойном и Monero, которые были запущены честно -- без "премайна", "налога на майнинг" или участия какой-то компании. Я считаю, что успешная крупная криптовалюта должна зарождаться стихийно, хотя в этом я могу ошибаться. Возможно, некоторые люди на самом деле предпочитают корпоративную монету вроде ZCash, -- время покажет.

Но давайте сравним технические характеристики ZCash с Биткойном и Monero. Первое, что меня поразило, это то, что в ZCash возможны прозрачные транзакции: добытые монеты ZCash представляют собой биткойноподобные прозрачные "базовые монеты". Если вы хотите их потратить, вы можете анонимно "залить" их в микшер ZCash. По сути, это та же идея, что и использование Zerocoin в виде сайдчейна.

Микшер ZCash работает как "черный ящик": вы можете видеть, что поступает в него и что из него выходит, но не видите, что происходит внутри. Однако само по себе это не делает монеты ZCash взаимозаменяемыми: прозрачные транзакции все равно возможны, т. е. микширование не является настройкой по умолчанию.

Микширование в ZCash активно, а не пассивно, как в Monero. Поскольку для выполнения анонимной транзакции ZCash требуется больше 8 ГБ оперативной памяти, скорее всего, микширование не станет обязательным в ближайшем будущем и большинство транзакций будут обычными прозрачными биткойноподобными транзакциями. Другой повод для беспокойства -- это временной анализ: если микшер ZCash будет использоваться не очень активно, вы можете попытаться связать поступающие в него монеты с монетами, его покидающими. По крайней мере, для крупных транзакций исключать эту возможность определенно нельзя.

Тот факт, что прозрачные транзакции возможны, делает вас зависимым от других в вопросах безопасности: даже если вы делаете все, чтобы анонимизировать свои монеты, вас все же можно деанонимизировать, если люди, с которыми вы торгуете, не придерживаются столь же строгих правил. Возможно даже, что вы будете вынуждены использовать прозрачные транзакции, если захотите использовать тот или иной (регулируемый) сервис. Это приведет к тем же проблемам, что были описаны для прозрачного блокчейна. Идентичности будут связываться с адресами, что может в итоге привести к появлению "черных списков" и даже цензуре майнинга. То, что микширование не является в ZCash обязательным, плохо сказывается и на взаимозаменяемости, и на анонимности.

Другая проблема с ZCash заключается в новизне используемых криптографических алгоритмов. Никто не может гарантировать, что в системе нет багов, позволяющих деанонимизировать транзакции или создавать монеты из воздуха. Более того, в отличие от Monero, вы не можете проверить общее количество монет на блокчейне ZCash. Во время альфа-тестирования уже был обнаружен такой баг. Никто не может поручиться, что такие баги не будет найдены после запуска ZCash. Основывать монетарную систему на новых криптотехнологиях не кажется мне такой уж хорошей идеей. Если что-нибудь случится, ценность ZCash существенно упадет.

С вопросом новизны криптоалгоритмов связано и то, что некоторые функции, такие как мультиподпись, можно легко реализовать в Monero, тогда как в случае ZCash это требует серьезных исследований, а тем временем в ZCash в прозрачной части сети, вероятно, будут использоваться мультиподписи в стиле Биткойна.

В расширенной работе по ZCash также упоминается теоретическая "атака ядовитой пилюли", проводимая с целью деанонимизировать одного пользователя. Похоже, что эту атаку легче провести, если мишень использует анонимную сеть вроде Tor, тогда как Monero интегрируется с I2P.

Другая проблема ZCash связана с необходимостью "доверенной настройки". Это так называемая проблема "токсичных отходов". Токсичные отходы -- это данные, которые требуются при задании первоначальных параметров ZCash, но должны быть удалены впоследствии. Если кто-то получит доступ к этим "токсичным отходам", он сможет создавать монеты из воздуха, и никто этого не заметит. Это серьезная проблема, делающая возможными бэкдоры в ZCash.

То, что компания ZCash располагается в США, тоже не внушает доверия. Вполне можно представить сценарий, в котором какое-то агентство из трех букв потребует от команды ZCash предоставить ему копию "токсичных отходов". Просто поищите в Google, что правительство США сделало с владельцами e-gold, Liberty Reserve и Liberty Dollar, и вы поймете, какое давление может быть оказано на владельцев компании ZCash.

Итак, Monero -- это удобная в использовании криптовалюта с взаимозаменяемыми по умолчанию монетами, основанная на надежной криптографии без корпоративной "доверенной настройки". Весь блокчейн Monero становится со временем все более запутанным, что делает валюту более анонимной. Тем временем над улучшением анонимности Monero также работает Monero Research Lab.

ZCash основана на другом подходе. Она предоставляет полностью анонимный микшер, но по умолчанию он не используется, что создает проблемы с взаимозаменяемостью и анонимностью. ZCash присущи серьезные проблемы, связанные с "токсичными отходами" во время "доверенной настройки" и новизной криптографических алгоритмов. Интересный ли это проект? Безусловно. Следует ли использовать его в криптовалюте? Нет.

Примечание. Микшер ZCash вполне можно добавить на блокчейн Monero. В этом случае "базовыми монетами" будут обычные токены Monero, которые можно будет отправлять в сайдчейн ZCash. Сеть Monero должна будет проверять, что общее количество XMR, поступающих на сайдчейн, всегда больше, чем общее количество XMR, покидающих сайдчейн. Даже если хакер обнаружит эксплойт, позволяющий создавать XMR из воздуха внутри микшера ZCash, он в этом случае сможет лишь опустошить сайдчейн, но не основной блокчейн. Тогда пользователи смогут использовать сайдчейн ZCash на свой страх и риск -- создать дополнительные Monero в главном блокчейне будет нельзя.

4
4110.923 GOLOS
На Golos с January 2017
Комментарии (18)
Сортировать по:
Сначала старые