0/ Ostatnio było dużo dyskusji na temat prywatności on-chain Głównie prowadzonej przez @0xMert_ W MCC spędziliśmy dużo czasu na myśleniu o prywatności i zainwestowaliśmy sporo pieniędzy Kilka przemyśleń

1/ Aktywa mają większe znaczenie dla prywatności To znaczy, że ludzie nie chcą żadnego losowego aktywa, które przypadkowo jest prywatne Chcą aktywów, które już lubią/chcą posiadać, z opcją bycia prywatnym Ryzyko zmienności znacznie przewyższa korzyści płynące z prywatności dla 99% ludzi

2/ Mówiąc ogólnie, istnieją 3 główne podejścia do osiągnięcia prywatności na łańcuchu Zaufane Środowiska Wykonawcze (TEE) Dowody zerowej wiedzy (ZKP) W pełni homomorficzne szyfrowanie (FHE)

3/ Myśląc o tym, która metoda jest optymalna, musimy najpierw zapytać, co tak naprawdę optymalizujemy? Moim zdaniem są trzy zmienne, które mają znaczenie.

4/ a) działać w środowisku bez zezwoleń b) zdolność do wykonywania dowolnych operacji DeFi oraz zdolność do rozumienia DeFi tak, jakby było przejrzyste c) skalować wydajność w algorytmach + krzemie (innymi słowy, nie być ograniczonym przez opóźnienia... to naturalnie koliduje z a) powyżej

5/ a) jest oczywiste, ale warto to powiedzieć, ponieważ ludzie wciąż mówią o TEE. TEE są świetne, jeśli chcesz prywatności w środowisku z ograniczeniami. Ale nie działają w środowiskach bez ograniczeń. Ciągle udowadniają, że się psują. Najnowszy przykład:

6/ b) jest najbardziej subtelny i najtrudniejszy do zrozumienia. To tutaj ZK zawodzi. Aby zrozumieć dlaczego, rozważmy najprostsza aplikację prywatności: zcash (bez defi). Kiedy przesyłasz transakcję zshieldowanego zcash, produkujesz dowód, który mówi, w przybliżeniu: "Wysyłam monety w taki sposób, że mój bilans pozostaje >0 po tej transakcji." Cóż, jeśli zgrupujesz 1000 z tych transakcji, a następnie spojrzysz na stan łańcucha jako outsider, co wiesz o stanie? Nic. Teraz wyobraź sobie próbę zrobienia DeFi na tym. Jak możesz robić DeFi, jeśli twoja transakcja dosłownie nie może widzieć ani wchodzić w interakcje z aktywami innych? Kilka zespołów próbowało rozwiązać ten problem w ciągu ostatniej dekady, w tym Aztec, Aleo i prawdopodobnie jeszcze kilka, które nie mogę sobie przypomnieć w tej chwili. Fundamentalnym wyzwaniem, z którym muszą się zmierzyć te zespoły, jest wyzwanie opisane powyżej. W zasadzie, jak zaprojektować ZKP, aby umożliwić selektywne ujawnianie informacji światu zewnętrznemu (np. ile zabezpieczenia wspiera pożyczkę). Teraz wyobraź sobie, że jesteś deweloperem DeFi. Musisz nie tylko zaprojektować swój protokół DeFi, musisz to zrobić 1) w częściowo ograniczony sposób, i 2) musisz zrozumieć, jak działają ZKP. Kto chce być deweloperem budującym system DeFi, który ma 9 lub 10 cyfr w nim, z wszystkimi tymi dodatkowymi ryzykami? To przerażające sprawy. Wiele zespołów zk DeFi pracuje nad tym, aby uczynić te rzeczy bardziej zrozumiałymi, ale podstawowa rzeczywistość jest po prostu niezwykle trudna do zniesienia. Ponadto wymaga to odbudowy każdego elementu DeFi od podstaw. Fundamentalnym wyzwaniem jest to, że DeFi, jak je obecnie znamy, *wymaga zdolności do rozumienia globalnie współdzielonego stanu.* Być może istnieje sposób, aby odbudować DeFi od podstaw z selektywnym rozumowaniem, ale jestem niezwykle sceptyczny wobec tego twierdzenia. A udowodnienie tego twierdzenia światu w sposób, który wszyscy inni uwierzą, będzie dziesięcioletnim przedsięwzięciem, biorąc pod uwagę, jak wiele ryzyka technicznego wiąże się z dziesiątkami specjalnych obwodów zk. Czym więc jest FHE? FHE pozwala na obliczenia na zaszyfrowanych danych. To było uważane za święty graal kryptografii przez dziesięciolecia. Myślenie o prywatnym DeFi z FHE jako główną konstrukcją kryptograficzną jest w rzeczywistości dość proste. Myślisz o tym tak, jakby to było przezroczyste! Po prostu, że magicznie, wszystko nie jest przezroczyste, ale nadal możesz na tym obliczać. Tak, to magia.

7/ I na koniec mamy c), myśląc o skali. Piękno skalowania FHE polega na tym, że jest ono ściśle związane z krzemem. Nie ma żadnych opóźnień sieciowych. A to oznacza, że naturalnie zyskujesz wydajność dzięki algorytmom, CPU, GPU, FPGA, a w końcu ASIC-om. Istnieje wiele podejść do prywatności, które w dużym stopniu wykorzystują MPC lub zgarbione obwody. Ale wszystkie te operacje są związane z siecią, co oznacza, że *w miarę wzrostu liczby walidatorów wydajność obliczeniowa maleje* (to jest znacznie bardziej szkodliwa kara wydajnościowa niż kara wynikająca z konsensusu. Kara wydajnościowa wynikająca z konsensusu bez zezwolenia jest w przybliżeniu stała, zarówno pod względem CPU, jak i opóźnienia). Empirycznie, fakt, że Ethereum ma 1M walidatorów, jest tego dowodem. To jest w rzeczywistości intuicyjne. W każdej konfiguracji MPC dosłownie dzielisz obliczenia na wiele komputerów. Cóż, im więcej razy musisz przesyłać dane z komputera do komputera, tym wolniej przebiega obliczenie. Przemieszczanie elektronów w przestrzeni 6" zawsze będzie 1Mx szybsze niż przesyłanie elektronów wzdłuż kabla 6M". FHE jest jedynym podejściem, które pozwala na skalowanie z krzemem. A przy niesamowitych inwestycjach, które widzimy dzisiaj od głównych laboratoriów AI, jasne jest, że w nadchodzących latach w krzemie wciąż można osiągnąć spektakularne zyski. Dla kontekstu, ASIC-y są powszechnie znane z poprawy wydajności od 100 do 1000 razy w porównaniu do GPU.

9/ Od tego czasu współzałożyciel/CEO @randhindi wykonał spektakularną pracę, budując zespół badawczy składający się z ponad 30 doktorów, dramatycznie poprawiając wydajność FHE i rozwijając strategię wejścia na rynek. Zama również pozyskała znacznie więcej funduszy od tego czasu. Są niezwykle dobrze skapitalizowani.

12/ Zama wkrótce podzieli się znacznie większą ilością informacji na temat wydajności, gdy główna sieć zostanie uruchomiona {fin}