GRVT: واجهات البرمجة تخبرك بما الذي تعطيه المشاريع الأولوية فعلاً
كنتُ أُسرّع بمراجعة توثيق واجهات البرمجة (API) فقط لأصل إلى نقطة النهاية التي أحتاجها.
ومع مرور الوقت، أدركت أن الجزء الأكثر إثارة للاهتمام ليس أمثلة الشيفرة، بل خيارات التصميم المخفية خلفها. غالباً ما تكشف هذه الخيارات عن مشروعٍ أكثر من أي صفحة هبوط.
عند قراءة توثيق <0>@grvt_io </0>، كان هناك شيء لفت الانتباه: المنصة لا تتعامل مع كل تفاعل للمستخدم بالطريقة نفسها. الإيداعات والسحوبات تخص حساب التمويل (Funding Account)، بينما يتم التداول عبر حسابات تداول (Trading Accounts) منفصلة. يدعم التوثيق كلاً من تواقيع محافظ EIP-712 ومفاتيح API، كما يتم الحفاظ على الوصول إلى واجهات برمجة API الخاصة عبر جلسات مُصادَقة. وحتى واجهة الـAPI تقدم استجابات JSON كاملة وLite، ما يوحي بأن تقليل زمن الاستجابة كان محسوباً على مستوى البروتوكول لا أن تمّت إضافته لاحقاً كتَحسين. ليست هذه ميزات ملفتة بذاتها، لكنها معاً ترسم صورة لنظام بُني حول مسؤوليات مُنظَّمة بدل نموذج حساب أحادي ضخم.
السؤال الذي أعود إليه دائماً ليس ما إذا كانت هذه المكونات تعمل بشكل منفصل. بل هل تستمر في العمل معاً عندما تصبح الأسواق غير متوقعة. ال بورصات الهجينة (Hybrid) تعد بسرعة المطابقة خارج السلسلة مع الحفاظ على الحيازة الذاتية عبر التسوية على السلسلة (on-chain). هذا تبديل منطقي، لكن كل طبقة تضيف افتراضات لا يمكن التحقق منها إلا عبر الاستخدام المستمر.
التوثيق يشرح النوايا؛ والبيئات الإنتاجية تكشف ما إذا كانت تلك النوايا تصمد أمام ظروف التداول الواقعية.
فهم المعمارية يعني النظر أبعد مما تفعله اليوم، والسؤال عن سبب اتخاذ كل قرار تصميمي في المقام الأول. هنا غالباً تبدأ الثقة طويلة الأمد.
سطح الحملة ليس المنتج. فهم الفرق أهم من النقاط.
أي خيار تصميم في معمارية #grvt تعتقد أنه سيُحدث أكبر أثر بعد خمس سنوات من الآن؟
تَكسب الأنظمة الجيدة الثقة عبر التصميم أولاً، والأداء ثانياً.
كنت أعتقد أن أكبر مشكلة في الهوية الرقمية هي إثبات من أنا. بعد رفع نفس جواز السفر، ونفس الصورة الذاتية، والانتظار للحصول على الموافقة عبر منصات مختلفة، أدركت أن المشكلة الحقيقية هي إثبات ذلك مرة تلو مرة.
ما وجدته الأكثر إثارة للاهتمام بشأن @NewtonProtocol ليس مجرد بيانات اعتماد قابلة لإعادة الاستخدام، بل هي الشروط الكامنة خلفها.
يمكن التحقق من بيانات الاعتماد مرة واحدة وتقديمها عبر تطبيقات مختلفة، مما يقلل من تكرار إجراءات KYC. لكن الجزء الذي يغفل عنه كثيرون هو أن قابلية النقل ليست تلقائية. يعتمد ما إذا كانت بيانات الاعتماد ستتبعني على ما إذا كان المُصدر الأصلي يسمح بذلك. إن الراحة لا تأتي من بيانات الاعتماد وحدها؛ بل تأتي من إطار الثقة المبني حولها.
تذكرني هذه الفكرة بأن البنية التحتية الجيدة ليست عن إزالة القواعد، بل عن جعلها شفافة. تمامًا كما أن السياسات المتعلقة بالأصول المُرمّزة ما تزال تعتمد على عتبات تحقق محددة بوضوح، تعتمد أنظمة الهوية أيضًا على حوكمة مدروسة.
بالنسبة لي، هذه رؤية أكثر صدقًا لـ Web3. ليست "ثِق بكل شيء"، بل إعادة استخدام الثقة حيث تُكتسب، وجعل القواعد مرئية، وإزالة الاحتكاك غير الضروري دون إخفاء من يضع حدودها.
الدرجة الائتمانية القابلة للتدقيق: خطة نيوتن بروتوكول لفتح الصندوق الأسود
تم رفضي للحصول على قرض صغير قبل مدة، ولم أتلقَّ تفسيرًا حقيقيًا لذلك. مجرد رقم وخطاب نموذج وخط غامض عن "عدم كفاية سجل الائتمان". لا يوجد عامل محدد يمكنني فعلًا إصلاحه، ولا توجد طريقة لمعرفة أي جزء من حياتي المالية كان هو المشكلة فعلًا. سددت بعض الديون، وانتظرت عامًا ثم قدمت طلبًا في مكان آخر، آملًا الحصول على نتيجة مختلفة بدلًا من فهم ما الذي تغيّر فعليًا. هذا هو عمليًا كيف يعمل الإقراض بالنسبة لمعظم الناس. أعتقد أن الكثير منا ببساطة تقبّل فكرة أنها صندوق أسود.
الهوية التي يُفترض أن تتبعك أعدتُ رفع صورة جواز سفري للمرة الرابعة هذا العام الأسبوع الماضي، لتطبيق لم يكن له أي علاقة بتلك الثلاثة الأخرى. نفس المستند، نفس السيلفي مع حمله بجانب وجهي، ونفس انتظار يومين قبل أن أتمكن فعليًا من القيام بأي شيء. في مرحلة ما، توقّفت عملية التحقق من الهوية عن أن تبدو كأنها أمان، وبدأت تبدو كأنها بوابة رسوم مرور يستطيع كل تطبيق أن يبني لنفسه ممرًا خاصًا به من الطريق. تم بناء نظام الهوية في بروتوكول نيوتن على إزالة بوابة الرسوم تلك بالضبط. وبعدما تجاوزتُ العرض التقديمي ووصلتُ إلى الآليات الفعلية، اتضح أن الأمر يستحق المشي خلاله ببطء.
بنيت جدول بيانات من الصفر مرةً بدلًا من استخدام قالب مالي كان قد تم اختباره بالفعل لمدة عام عبر مئات الأشخاص الآخرين. اكتشفت خطأً في الصيغة بعد شهرين، على الأرجح كان مستخدمون آخرون قد لاحظوه منذ وقت طويل. لن أفعل ذلك مرة أخرى.
أبدأ مما تم استخدامه بالفعل.
هذه تقريبًا هي المنطق وراء كيفية بناء السياسات على @NewtonProtocol .
لا يحتاج التطبيق الجديد إلى كتابة مكدس امتثال من الصفر. فعمليات فحص العقوبات، والتحقق من اعرف عميلك (KYC)، وحدود السرعة، وقواعد مصدر الأموال—كلها موجودة كـ وحدات منفصلة ومنشورة بشكل مستقل يمكن لأي تطبيق اختيارها وتكوينها بدلًا من تأليف كل شيء من البداية. أطلق في اليوم الأول مكدس امتثال حقيقي، مبنيًا من قطع كانت تعمل بالفعل في الإنتاج لدى أماكن أخرى.
وهذه هي النقطة التي تستحق التوقف عندها. إن استعارة وحدة مُستخدمة جيدًا تعني أيضًا وراثة أي افتراضات قد يكون مؤلفها الأصلي قد بنى عليها. يمكن لحد السرعة الذي تم ضبطه لنوع واحد من التطبيقات أن يحمل عتبات لا تناسب فعلًا حالة استخدام مختلفة جدًا عند إعادة استخدام نفس القطعة. القابلية للتجميع تتحرك بسرعة. ولا تعني تلقائيًا أن القطع هي الملاءمة الصحيحة لما يتم بناؤه.
هل تفضل البناء ببطء من الصفر أم البناء بسرعة اعتمادًا على افتراضات اختبرها الآخرون؟
قراءة وثائق تبادل الـ API علمتني شيئًا. الواجهات تُظهر ما تريد المنصات أن تراها. التوثيق يكشف عمّا تعتمد عليه فعليًا.
@grvt_io يفصل بين حسابات التمويل وحسابات التداول. تستخدم المصادقة توقيعات EIP 712 أو مفاتيح API. يقدمون صيغ JSON كاملة وLite. تبدو هذه القرارات مقصودة.
أكثر تفصيلة ما زلت أفكر فيها هي الفرق بين التنفيذ والتسوية.
تتطابق الأوامر خارج السلسلة من أجل السرعة. تبقى التسوية على السلسلة. يمكنك التحقق من كل شيء بشكل مستقل. لكن محرك المطابقة صندوق أسود. أثناء الأعطال، يجب أن يعمل بدقة تامة. لا تثبت توازن هذه الادعاءات إلا بالأداء في العالم الحقيقي.
يطرح التصميم الهجين سؤالًا: أي طبقة يثق بها المستخدمون؟ محرك المطابقة يتطلب الثقة بالعدالة. توفر التسوية إثباتًا تشفيريًا. إذا فشل المحرك، كيف ستعرف؟ هذا يتطلب شفافية.
أقوى البنى تختبر نفسها عبر الزمن. GRVT موثوق لأنه محدد. المطابقة خارج السلسلة تعني بالملّي ثانية. التسوية على السلسلة تعني أنها تُسجَّل داخل الكتل.
ما الأهم: إثبات الحفظ أم إثبات التنفيذ؟ التسوية على السلسلة قابلة للتدقيق، وهو أساس لم يكن لدى FTX. لكن إثبات التنفيذ هو الاختبار الحقيقي. الاتساق أثناء الفوضى هو نظام التشغيل للثقة.
تُظهر API الخاصة بـ GRVT الفواصل. إنها تعترف بأن الأداء وقابلية التحقق موجودان في حالة توتر. ما يحتاجه GRVT لإثباته ليس أن البنية التحتية الهجينة يمكن بناؤها. الدليل هو ما إذا كان المطورون يجدونها موثوقة عمليًا.
قبل فترة، وجدت نفسي أفترض أن “الاحتفاظ الذاتي” يجيب عن معظم الأسئلة المهمة حول منصة تداول. لكن كلما قرأت المزيد من الوثائق، أدركت أن الحيازة ليست سوى جزء واحد من القصة. جعلني ذلك أقل يقينًا مما كنت عليه سابقًا.
عندما راجعت وثائق @grvt_io ، وجّه ذلك انتباهي إلى قرار تصميمي آخر: فصل حسابات التمويل عن حسابات التداول. في البداية بدا لي ذلك طبقة إضافية من التعقيد، لكنني بدأت أتساءل عمّا تحاول هذه الفصلة تحديدًا حمايته.
يتولّى حساب التمويل إدارة الإيداعات والسحوبات وملكية الأصول، بينما يكون حساب التداول مخصصًا لنشاط السوق.
وهذا يخلق حدًا أوضح بين الاحتفاظ بالأصول والمبادرة إلى تحمّل المخاطر بشكل فعّال. نهج منطقي، لكنه يغيّر أيضًا طريقة تفكيري بشأن الأمان التشغيلي. إذا كان المتداول يقضي معظم وقته بالتفاعل عبر حساب تداول بدلًا من تعريض حساب التمويل الأساسي مباشرةً، فهل يقلّل ذلك المخاطر فعليًا، أم أنه يحسّن في المقام الأول التنظيم التشغيلي؟ من السهل شرح هذه البنية، لكن قيمتها الحقيقية تعتمد على أدائها أثناء الاستخدام اليومي، وليس فقط على شكلها في مخطط بنيوي. أحيانًا تكون أقوى ميزات الأمان هي التي لا يلاحظها المستخدمون تقريبًا، وأحيانًا تؤدي فقط إلى إضافة سير عمل آخر لإدارته.
ما أود رؤيته مع مرور الوقت ليس فقط أن هذا نموذج الحساب يعمل كما هو موثّق. أود أن أفهم ما إذا كان يساعد المتداولين فعلًا على اتخاذ قرارات أكثر أمانًا دون خلق تعقيد غير ضروري. هذا النوع من الأدلة يبني الثقة بفاعلية أكبر من المواصفات التقنية وحدها.
إن تحسين المكافآت دون فهم البنية الكامنة هو مجرد “زراعة” مع خطوات إضافية.
هل يؤدي فصل التمويل عن التداول إلى تحسين الأمان، أم أنه يحسّن التنظيم فقط؟
البنية تشكّل السلوك قبل وقت طويل من أن يدرك المستخدمون تأثيرها.
سؤال الموافقة الكامن وراء إجراءات الحماية الخاصة بوكيل نيوتن
ذَكرتُ مرةً لمُساعِدٍ في رعاية المنزل قائمةً قصيرة من التعليمات قبل أن أغادر لمدة أسبوعين. وعندما عدت، كانت قد اتخذت قرارًا لم أوافق عليه صراحةً من قبل. وبالنظر إلى الوراء، كان ذلك قرارًا منطقيًا وربما ما كنت سأفعله بنفسي. لكنّه مع ذلك لم يكن قرارًا قد فوّضته بوعي في تلك اللحظة تحديدًا. عادت تلك الذاكرة أثناء قراءتي لوثائق نيوتن الخاصة بالعملاء (الوكلاء) الذاتيّين. كلما نظرت إلى البنية، قلّت أفكاري بشأن ما إذا كان يمكن تقييد العميل، وزاد تساؤلي عن كيف يستمر اعتبار موافقة الشخص أمرًا ذا صلة بمجرد أن يبدأ البرنامج باتخاذ القرارات نيابةً عنه.
ذات مرة لاحظتُ نفسي أُغيّر تصويتي في استطلاع جماعي فقط لأنني كنتُ أستطيع بالفعل رؤية أي خيار هو الفائز. لم يجادلني أحد. لم يضغط عليّ أحد. تغيّر العدّ المباشر بهدوء بما غيّر طريقة تفكيري في قراري.
عندما قرأتُ سياسة الحوكمة الخاصة بـ@NewtonProtocol عاد ذلك الموقف إلى ذهني.
من أمثلة سياسة الورقة البيضاء أن البطاقات تبقى مُشفّرة من لحظة الإرسال حتى إغلاق التصويت. أثناء التصويت يتحقق محرك السياسة من الأهلية مثل قوة التصويت أو التفويض دون كشف الخيارات الفردية أو إنتاج عدٍّ جارٍ. فقط بعد انتهاء فترة التصويت تُفك تشفير البطاقات ويُحسب الناتج ويُنتَج مخرَج مُوثَّق (مُثبت).
ما الذي أثار اهتمامي؟ لم تكن التشفير نفسه.
بل كان هو الحدّ الذي يرسمه نِيوتن بين الأهلية والتفضيل.
يحتاج الشبك إلى معرفة ما إذا كان يسمح لشخصٍ ما بالتصويت. وهو يتعمد ألا يتعلم كيف صوّت ذلك الشخص بينما لا يزال القرار في طور التشكّل. تفصل هذه العزل إحدى أبسط الطرق التي يمكن أن يؤثر بها السلوك الجمعي في الخيارات الفردية قبل اكتمال الانتخابات.
أما السؤال الأصعب فيأتي بعد ذلك.
إن إبقاء البطاقات مغلقة أثناء التصويت يحمي عملية اتخاذ القرار. فهو لا يجيب تلقائيًا عن كل الأسئلة المتعلقة بالشفافية في الحوكمة بمجرد انتهاء الانتخابات. الخصوصية أثناء المشاركة والمساءلة بعد التسوية أهداف ذات صلة، لكنها ليست الشيء نفسه.
إن تحسين الأداء وفق نقاط الحملة دون فهم ما الذي يَخفيه نِيوتن فعلاً وما لا يَخفيه هو طريقة سهلة لتفويت الصورة المعمارية.
إذا كانت الحوكمة تستطيع التحقق من من يُسمح له بالتصويت دون كشف كيفية تصويته حتى تكتمل العملية، فهل يقوم البروتوكول بحماية الخصوصية أم الحياد أم القليل من كليهما؟
في بعض الأحيان، أهم ما يُثبت أن النظام يفعله هو ما يرفض عمدًا كشفه. $NEWT
في المرة الأولى التي توقفت فيها عن التفكير في الحفظ الذاتي كخانة اختيار بسيطة، أدركت أن السؤال الأصعب لم يكن من الذي يحتفظ بالأصول. بل كان: أي أجزاء من عملية التداول لا تزال تتطلب الثقة. هذا جعلني أكثر فضولًا من كوني مقتنعًا.
عندما قرأت وثائق GRVT عادت هذه الفكرة إلى ذهني. تفصل المنصة بين مطابقة الأوامر خارج السلسلة والتسوية على السلسلة، بهدف الحفاظ على سرعة التنفيذ مع إبقاء الحفظ تحت سيطرة المستخدم. إنه حل وسط عملي، لكن الحلول الوسط تستحق التدقيق.
الجزء الذي أعود إليه باستمرار هو طبقة المطابقة. تشرح GRVT كيف يتم في النهاية تسجيل التسوية على السلسلة، بينما تعمل محرك المطابقة خارج السلسلة لتقليل زمن الاستجابة. وهذا يثير سؤالًا طبيعيًا أكثر من كونه اتهامًا: إذا كانت التسوية هي مرساة الثقة، فكيف ينبغي للمتداولين تقييم شفافية ومتانة البنية التحتية التي تحدد التنفيذ قبل حدوث التسوية؟ إن المعمارية تبدو منطقية من منظور الأداء، لكن الموثوقية لا تُقاس فقط بمخططات التصميم. يجب إثباتها في الأسواق المتقلبة، وفي ظروف تدهور الشبكة، وفي الفترات التي يصبح فيها كل مِلّي ثانية مهمًا. يجيب الحفظ الذاتي عن فئة واحدة من المخاطر، بينما تمثل سلامة التنفيذ فئة أخرى تمامًا.
ما تحتاج GRVT إلى إثباته مع مرور الوقت ليس أن هذه المعمارية الهجينة ممكنة. الوثائق تشرح بالفعل كيف تعمل. الدليل الأقوى سيأتي من إظهار أن السرعة والشفافية والمرونة التشغيلية تستمر في التماسك عندما تصبح الأسواق غير متوقعة. هذه هي الفروق بين معمارية تبدو مقنعة وتلك التي تكسب الثقة باستمرار.
سطح الحملة ليس هو المنتج. فهم الفرق أهم من النقاط.
مع نمو حجم التداول، ما المؤشر الذي ينبغي أن يصبح أكثر أهمية: ضمانات التسوية أم شفافية التنفيذ؟
يدعو التصميم المعماري الجيد إلى طرح الأسئلة قبل أن يمنح ثقة تدوم.
تجمّدت بطاقتي مرةً واحدة مقابل قهوة بقيمة 40 دولارًا عندما بدا الأمر غير معتاد مقارنةً بإنفاقي المعتاد. قبل أسبوعين، مرّت دفعة أكبر بكثير إلى متجر لم أستخدمه من قبل دون أي انقطاع. لم تكن المشكلة أن اكتشاف الاحتيال غير موجود. المشكلة كانت أن شخصًا ما رسم الحدود في المكان الخطأ.
قراءة معلومات عن وسائل حماية الاحتيال لدى @NewtonProtocol أعادت تلك الذكرى.
بالنسبة لمحافظ غير حاضنة، قد تفرض سياسات Vault عاملَ تحقق إضافيًا للتفويض بعد المفتاح الخاص للمحفظة بمجرد أن تتجاوز قيمة معاملة ما قيمةً محددةً بموجب السياسة. قد تتضمن هذه الطبقة الثانية ربط الجهاز، أو مفتاح جلسة، أو التحقق البيومتري قبل التنفيذ. لا ينبغي للمفتاح الخاص المسروق وحده أن يجيز تلقائيًا التحويلات عالية القيمة.
ليس السؤال المثير للاهتمام هو ما إذا كان نيوتن يمكنه فرض تلك العتبة.
بل من يقرر مكان وجودها.
كل عتبة تخلق مخاطر مزدوجة. إن رفعتها كثيرًا فقد لا تَحدث التحويلات ذات المعنى أبدًا لتفعيل التفويض الإضافي الذي تحتاجه. وإن خفضتها كثيرًا تبدأ الأنشطة الروتينية بمواجهة احتكاك غير ضروري. لا يعكس أيٌّ منهما تنفيذًا متناقضًا. كلاهما يعكس تصميم السياسة.
تتضح أهمية هذا التفريق لأن نيوتن يضمن تنفيذًا حتميًا بعد كتابة السياسة. ولا يدّعي تحديد ما إذا كان كاتب السياسة قد اختار الرقم الصحيح. يفرض البروتوكول الحدود التي يُعطى إياها بشكل متسق. يبقى الحكم البشري مطلوبًا لتقرير أين ينبغي أن توجد تلك الحدود.
ومع ظهور المزيد من Vaults على Mainnet Beta، قد لا يكون من أكثر المقارنات إثارة للاهتمام أي Vaults تفرض السياسات بأكثر الاتساق، بل كيف يبرر أمناء مختلفون الحدود التي يختارونها لأصول متشابهة.
إذا كانت Vaultان تحميان الأصول نفسها لكن تستخدمان عتبات تفويض مختلفة، فأيّهما أكثر أمانًا: السياسة الأكثر تشددًا، أم تلك المُعايرة بشكل أفضل؟
إن أصعب جزء في العتبة ليس فرضها. بل هو تحديد مكان وجودها.
ذات مرة ساعدت في تدقيق عقد كان قد تمت مراجعته بالفعل من قبل أربعة أشخاص آخرين. بعد أسابيع، لاحظ أحدهم بندًا كان يعني من الناحية التقنية عكس ما كان يعتقد الجميع في الغرفة أنهم اتفقوا عليه. المراجعات لم تكن قد فشلت. لقد أجابوا جميعًا عن السؤال نفسه: هل يعبّر هذا المستند حرفيًا عن ما يقوله؟ لم يتوقف أيّ منهم ليتساءل إن كان ينبغي أصلاً أن يُقال ما قيل فيه أم لا. إن قراءة توثيق نيوتن أعادت تلك الذاكرة إلى ذهني. كلما قضيت وقتًا أكثر مع بنية سياستها، كلما برز تميّز واحد بوضوح. تم تصميم نيوتن للإجابة عن سؤال واحد بدقة استثنائية:
الجزء من سلسلة تدقيق @NewtonProtocol الذي لا يمكنك رؤيته على الفور
في مرةٍ احتجتُ إلى كشف حساب بنكي قديم لأمرٍ روتيني تمامًا. كان السجل موجودًا بالفعل. البنك لم يُنشئ شيئًا جديدًا. فقط لم يُسمح لي بالاطلاع فورًا على السجلات التفصيلية. اتضح أن رؤية أن المعاملة موجودة، ورؤية كل ما وراءها، هما أمران مختلفان.
تذكّرت ذلك التمييز بعد قراءة وثائق Newton الخاصة بـ Mainnet Beta.
كل تقييم لسياسة يُنتج إيصال تفويض على السلسلة يمكن لأي شخص فحصه عبر المستكشف. يمكنك التحقق من السياسة التي تم تنفيذها، ونتيجة التفويض، والأدلة التشفيرية التي تدعمه.
لكن الوثائق ترسم حدودًا أخرى سهلة التجاوز.
. عندما يحتاج المنظمون أو المحققون المصرح لهم إلى هذه المعلومات، يشرح Newton الوصول من خلال العملية القانونية المناسبة بدلًا من كشف بيانات تقييم حساسة على السلسلة.
أعتقد أن هذا أحد أكثر قرارات التصميم إثارة للاهتمام في البروتوكول.
معظم النقاشات حول الشفافية تفترض أن جعل كل شيء عامًا هو دائمًا أفضل. يبدو أن Newton يجادل بشيء أضيق: اجعل التفويض نفسه قابلًا للتحقق علنًا، مع السماح للأدلة الداعمة الحساسة بالبقاء محمية ما لم يتطلب الإشراف المشروع خلاف ذلك.
هذا يخلق طبقتين مختلفتين من الشفافية.
إحدى الطبقتين تسمح لأي شخص بالتحقق من حدوث التفويض.
والثانية تسمح للأطراف المصرح لها بالتحقيق في كيفية حدوثه.
لا تحل أي منهما محل الأخرى.
لذلك فليس الحدّ الفاصل بين الشفافية والسرية.
إنه بين التحقق العام والإفصاح الخاضع للضوابط.
جمع نقاط الحملة دون ملاحظة مكان وقوع هذا الحدّ أمر سهل.
أما فهم سبب فصل Newton بين الأمرين فهو أصعب بكثير.
إذا كان الإيصال يثبت حدوث تفويض، لكن التقييم الأساسي يتطلب عملية قانونية لفحصه، فمتى ينبغي أن نقول إن سلسلة التدقيق تبدأ فعليًا؟
ساعدتُ ذات مرة في مراجعة ورقة بحثية لم يكن بالإمكان نشرها حتى وصل اثنان من المراجعين، يعملان بشكل مستقل تمامًا، إلى نفس النتيجة. لم يُفترض أن أيًا من المراجعين كان غير أمين. لم تكن المسألة عدم الثقة. إن ذلك الاتفاق المستقل يحمل نوعًا مختلفًا من المصداقية عن إجابة صحيحة واحدة فقط. أعادتني قراءة معمارية تجسيد Mainnet Beta لنيوتن إلى تلك العملية. كلما اتبعتُ تدفق التفويض الخاص بالبروتوكول، لاحظتُ أن نيوتن نادرًا ما يطلب من أحد المكوّنات أن يثبت شيئًا وحده.
الخط الزمني الهادئ وراء كل شهادة (Attestation) من Newton
ذات مرة أرسلت تحويلًا بنكيًا دوليًا اختفى في المنطقة المألوفة بين “تم الإرسال” و“تم الاستلام”. أصرّت تطبيقات البنك لدي على أن الدفع تمت معالجته، ومع ذلك وجدت نفسي أتصل بالبنك في اليوم التالي وأطرح أبسط سؤال ممكن: هل وصل فعلاً؟ لم تكن شاشة التأكيد تكذب. إنها ببساطة كانت تُجيب عن سؤال مختلف عن السؤال الذي يهمّني. قراءة ورقة البروتوكول الخاص بـ Newton أعادت ذلك إلى ذاكرتي. كلما درستُ تدفق التفويض الخاص به، قلّت أفكاري حول ما إذا كانت هناك شهادة (attestation) موجودة، وزادت أفكاري حول متى تصبح أجزاء مختلفة من تلك الشهادة ذات معنى. لا يقوم Newton بضغط الثقة إلى لحظة واحدة. بل يوزّع اليقين عبر سلسلة من مراحل منفصلة بعناية.
ذات مرة شاهدت صندوقًا يتفكك بشكل سيئ بينما ظلت جميع عناصر الرقابة الداخلية المحيطة به سليمة تمامًا. كل صفقة حصلت على موافقة. تم احترام كل حد. أسفرت عملية ما بعد الحادث عن سلسلة مستندات نظيفة جدًا لدرجة أنها كادت تبدو مهينة، لأن أيًا منها لم يشرح لماذا كانت الاستراتيجية نفسها فكرة سيئة منذ البداية. أتذكر جلوسي مع ذلك النوع المحدد من الإحباط دون ما أشير إليه، لأن شيئًا لم يكن قد انكسر فعليًا.
صناديق نيوتن على Mainnet Beta تُحكم توثيق نفس هذه الثغرة. يتم تطبيق سياسة أي Vault بدقة كما كتبها القائم على الإشراف، وتنتج كل عملية تطبيق سجلًا قابلًا للتحقق عبر Explorer. يثبت ذلك السجل أن القاعدة نُفذت بشكل صحيح. لكنه لا يقول شيئًا حول ما إذا كانت القاعدة نفسها حد الانفصال عن الربط (depeg)، الضمانات المؤهلة، محفز التصفية كانت في الأصل قرارًا سليمًا أم لا. سياسة سيئة التصميم، مع تنفيذ مثالي، تنتج نفس سجل التدقيق النظيف مثل سياسة جيدة التصميم، مباشرةً حتى لحظة أن الأمور لا تسير كما ينبغي. لا شيء في طبقة التنفيذ يميز حدًا تم معايرته جيدًا عن حد كان يعمل فقط حتى تغيّرت الظروف.
على نيوتن أن يحافظ على هذا التمييز واضحًا سياسة تم تشغيلها بشكل صحيح ليست هي نفسها الادعاء بأن السياسة كانت صحيحة للكتابة وأن تجد طريقة حقيقية لوضع حكم القائم على الإشراف تحت التدقيق، لا مجرد كود القائم على الإشراف.
تجميع نقاط الحملة دون الجلوس مع ما الذي تُنحِّف عنه سياسة Vault فعليًا إنفاذه هو نشاط، لا فهم.
ماذا يحدث أول مرة تُنفَّذ فيها سياسة Vault بشكل مثالي ضد قاعدة لم يكن ينبغي لأحد أن يكتبها بتلك الطريقة؟ السجل النظيف والقرار الجيد ليسا الشيء نفسه.
شاهدتُ مرةً تم تصفية مركز إقراض بناءً على سعر حدثت تصفيته فوقه، ثم بعد ساعة لم يستطع أحدٌ أن يتفق فعليًا على أنه كان سعر السوق في تلك اللحظة. كل خطوة لاحقة انحدرت تنفيذًا كما كُتب حرفيًا. كانت التصفية صحيحة من الناحية التقنية.
لكن الرقم لم يكن. بقيتُ جالسًا مع هذا الانزعاج من التمييز بين الصحيح تقنيًا والخاطئ فعليًا مدة أطول مما بدا مفيدًا، غالبًا لأن شيئًا في العملية لم يفشل.
هذه هي الوصلة الدقيقة التي أعود إليها باستمرار مع Newton Protocol وMainnet Beta: المكان الذي بدأت فيه مشاهدته عمليًا بدلًا من مجرد قراءته على الورق.
على Newton، يتم تقييم سياسة "Vault" مقابل البيانات التي تُستورد عبر مزوّدين مثل RedStone وCredora، ويقوم المشغّلون (operators) بشكل مستقل بإثبات (attest) أنهم جلبوا ما يدّعون أنهم جلبوه. هذا الإثبات حقيقي وقابل للتحقق تشفيريًا، ويمكن تحدّي مشغّلٍ يتبين أنه يُلفّق إدخالًا وتم إيقاع عقوبة عليه (slashed) بسبب ذلك.
لكن الإثبات يغطّي حيازة الرقم، لا حقيقة الرقم نفسه. إذا أبلغت إحدى التغذيات عن سعر قديم، أو كان تقييم المخاطر (risk score) خاطئًا ببساطة، فسوف يقوم مشغّلو Newton بالإقرار بأمانة أنهم تلقّوا بالضبط ذلك الإدخال، ويقيّمون السياسة بدقة كما ينبغي بناءً عليه، ثم يُنتجون إيصالًا (receipt) يمكن التحقق منه يُظهر أن قرارًا سيئًا قد اتُّخذ تمامًا كما كان يجب—بإتقانٍ مُطمئن.
على Newton أن يستمر في إثبات أن هذا الضمان يبقى محددًا بصدق: أن "تنفيذ السياسة تم بشكل صحيح" لا يتم فهمه بصمت على أنه "النتيجة كانت صحيحة". ينبغي أن يُظهر إيصال Explorer هذه الحدود بوضوح، لا أن يطمسها.
مطاردة النقاط دون فهم ما الذي تم تفويضه فعليًا هي طريقة سريعة لسوء قراءة ما يبنيه Newton.
ماذا يحدث على Newton أول مرة يفرض فيها Vault سياسةً بلا أي خطأ مقابل رقم كان خاطئًا ببساطة؟ إن التنفيذ الموثق لا يعني بالضرورة حقيقةً موثقة.