صناديق بيتكوين المتداولة (ETFs) أنهت للتو سلسلة خروج استمرت 8 أسابيع بتدفقات داخلية جديدة بلغت 197 مليون دولار.
تتراجع المؤسسات بهدوء.
لا تؤكد أسبوع أخضر واحد وجود اتجاه جديد، لكنه أول إشارة مهمة إلى أن ضغوط البيع قد تكون بدأت بالخفوت. إذا استمرت تدفقات صناديق الاستثمار المتداولة خلال الأسابيع المقبلة، فقد يتغير شعور السوق بشكل أسرع بكثير مما يتوقعه معظم الناس.
عندما يتحدث الناس عن خزائن DeFi، يكون الافتراض عادةً أن الاستراتيجية هي ما يهم أكثر. عوائد أفضل. إعادة موازنة أفضل. تنفيذ أفضل. عوائد أفضل معدلة حسب المخاطر. بخلاف ذلك، كل شيء آخر يبدو كأنه دعم لبنية تحتية. كنت أظن الشيء نفسه. استغرق الأمر مني دقيقة لأفهم لماذا @NewtonProtocol تقترب من الخزائن من اتجاه مختلف تمامًا. الجزء المثير للاهتمام ليس الاستراتيجية نفسها. بل هي خطوة التفويض التي تحدث قبل أن تتمكن الاستراتيجية من التنفيذ. يمكن للخزنة أن تحدد سياسات عبر الامتثال والهوية والأمان والمخاطر، سواء كانت عناوين مسموحًا بها، أو أهلية المستخدم، أو صحة المزود (الأوراكل)، أو حدود الرافعة 0r الأطراف المقابلة المعتمدة. توجد هذه القواعد بالفعل في العديد من سير العمل المؤسسي، لكنها غالبًا ما تُفرض عبر عمليات داخلية أو تُفحص بعد اتخاذ القرارات بالفعل.
غالبًا ما يفترض الناس أن الأصول الواقعية المُرمَّزة (tokenized) تحمل نموذج المخاطر نفسه الخاص بالأصول التي تمثلها. فالسندات الحكومية المرمَّزة تتصرف مثل السند الحكومي، فقط أسرع في الحركة.
كنت أنظر إلى كيفية تقييم @NewtonProtocol لمستوى المخاطر الحقيقي في الأصول المُرمَّزة (RWAs)، لكن الأمر ليس متعلقًا بالأصل الأساسي بحد ذاته. تشير وثائق Newton إلى أن التهديد الحقيقي يتمثل في اختراق مفتاح الإدارة (admin key)، أو التلاعب بالقيمة الصافية للأصل (NAV)، أو التلاعب بالـ oracle، أو إنشاء رموز غير مصرح بها (unauthorized minting). وهذه المخاطر موجودة بسبب طريقة إصدار الرمز وإدارته على السلسلة (onchain)، وليس بسبب أي شيء يتعلق بالسند الحكومي نفسه.
ما يفرضه Newton هو «ثوابت زمن التنفيذ» (runtime invariants) تحديدًا لهذا الغرض: قيود تبقى ثابتة بغض النظر عن من يمتلك مفتاح الإدارة. ضوابط الإصدار (mint) والاسترداد (redeem) تضمن مشاركة المستثمرين المؤهلين فقط. تتحقق فحوصات سلامة NAV من أسعار الـ oracle مقابل حدود التسامح (tolerance bounds). هذه ليست صلاحيات يمكن تعطيلها أو تجاوزها من قِبل أي شخص لديه وصول مُرتفع؛ بل يتم التحقق منها على مستوى المعاملة (transaction level) في كل مرة.
وهذه هي النقطة التي تثير اهتمامي حقًا: في معظم الأصول المُرمَّزة، إذا حصل شخص ما على مفتاح الإدارة، فهذا يعني عمليًا أنه قد حسم اللعبة؛ يمكنه إصدار رموز دون ترخيص، وسحب أموال الخزينة (drain a treasury)، وتجاوز أي «ضوابط» كان يُفترض أنها موجودة. كانت السيطرة هي المفتاح (key). لكن الثوابت الزمنية (runtime invariants) تكسر هذه العلاقة عمدًا، لذا فإن الحصول على المفتاح لا يعني تلقائيًا الحصول على انتهاك القيد (constraint) أيضًا.
سأكون فضوليًا لمعرفة ما إذا كانت هذه الثوابت قد تم اختبارها فعليًا مقابل سيناريو اختراق حقيقي لمفتاح الإدارة (admin key compromise)، أو ما إذا كان هذا الضمان لا يزال—في هذه المرحلة—مجرد أمر نظري إلى حد كبير.
ماذا لو لم تكن الابتكار الحقيقي هو المعاملة، بل القرار الذي يسبقها.
يفترض معظم الناس أن أمن البلوك تشين يدور حول مراقبة المعاملات بشكل أكثر فعالية. إذا حدث خطأ، تحقق من ذلك، وتتبع الأموال، وفهم ما الذي حدث بعد وقوعه. يبدو هذا الافتراض منطقيًا لأن أغلب أدوات أمن البلوك تشين مُصممة بالطريقة نفسها تمامًا. فهي تراقب وتحلل وتُصدر التقارير. وكلما فكرت في الأمر أكثر، ذكّرني ذلك بكيف تعمل مدفوعات بطاقات الائتمان. القرار المهم لا يُتخذ بعد اكتمال الدفع. بل يُتخذ قبل ذلك. عندما كنت أقرأ عن شبكة نيوتن Mainnet Beta، استغرق الأمر مني دقيقة لأفهم لماذا يتعامل المشروع مع الأمر بشكل مختلف بهذه الطريقة. الجزء المثير للاهتمام ليس مراقبة المعاملات. بل هو تقرير ما إذا كان ينبغي السماح لها بالاستقرار من الأساس.
يفترض الناس أنه إذا رفضت بوابة معالجة طلبك، فإنك ستكون عالقًا.
بحسب ما قرأت، لدى نيوتن آلية إدراج قوة تمكن التطبيقات من إرسال المهام مباشرة إلى شبكة المشغّل بدلًا من الاعتماد على البوابة. إذا كان هذا صحيحًا، فهذا يعني أن البوابة ليست عنق زجاجة دائمًا، وهي خاصية مهمة لمقاومة الرقابة.
لكن ما لستُ متأكدًا منه هو الجانب العملي.
استخدام هذا المسار يُفترض أنه يعني التعامل مع الأعمال التي عادةً ما تتكفّل البوابة بإخفائها، مثل التوجيه والتنسيق مع شبكة المشغّل. وهذا يثير السؤال عمّا إذا كان إدراج القوة شيئًا يمكن لتطبيق متوسط استخدامه بشكل واقعي أثناء انقطاع الخدمة أو حدث رقابة، أم أنه عمليًا يخص الفرق التي تملك بنية تحتية كبيرة.
هل قام أي شخص هنا فعلًا باختبار إدراج القوة من النهاية إلى النهاية؟ يهمّني أن أعرف كيف يعمل في الممارسة مقارنةً بما يُوصف في الورق.
كانت التوقيعات في السابق كافية بحد ذاتها كدليل، لكن الكثير من تصميم نيوتن الفعلي يفترض خلاف ذلك، وتظهر هذه الفرضية بوضوح أكبر في سياسة multisig. يعتقد معظم الناس أن الـ multisig لا يتطلب سوى جمع العدد الكافي من التواقيع: اثنان من ثلاثة، أو ثلاثة من خمسة، أيًا كان الحدّ (العتبة) المحدد. بمجرد الوصول إلى هذا العدد، تُنفَّذ المعاملة. وهذا، في الأساس، هو النموذج الذهني الكامل الذي يحمله معظم الناس حول كيفية عمل موافقات multisig. لكن تمديد نيوتن (Rego) لهذا الأمر يقوم بشيء مختلف قليلًا. فهو لا يكتفي بعدّ التواقيع واعتباره أمرًا منتهيًا. بل يستعيد عناوين الموقّعين الفعلية من كل توقيع ثم يتحقق منها مقابل قائمة الموقّعين المصرّح لهم قبل احتساب أي شيء ضمن العتبة. لذلك فالسؤال الحقيقي ليس: «هل وقّع عدد كافٍ من الأشخاص؟»، بل: «هل وقّع عدد كافٍ من الأشخاص المصرّح لهم؟». يبدو هذا قريبًا من السطح، لكنه فحص مختلف بشكل ملموس.
غالبًا ما يفترض معظم الناس أن البنية التحتية للامتثال لبناء فرق المؤسسات هي مجرد متجر RegTech متخصص، عميق في العمل التنظيمي لكنه جديد على مستوى البنية التحتية لقطاع العملات المشفرة على نطاق المستخدمين. وغالبًا ما تكون هذه افتراضًا آمنًا لهذا النوع من المنتجات.
لكن ليس الأمر كذلك مع @NewtonProtocol . فالمطوّر الأساسي هو Magic Labs، ولم أكن قد ربطت ذلك حتى نظرت في من يقف فعليًا خلفه. لقد بنوا محافظًا مدمجة—نوع البنية التحتية التي تتيح لتطبيق ما ضمّ المستخدمين دون أن يُظهر لهم أبدًا عبارة البذرة (seed phrase). وبدعم من PayPal Ventures، وهي تعمل بالفعل على نطاق حقيقي: أكثر من 57 مليون محفظة، وأكثر من 200,000 مطوّر، وهي طبقة المحفظة التي تُشغّل Polymarket.
هذا يغيّر طريقة قراءتي لمخاطر تنفيذ Newton. يتم بناء كثير من البنى التحتية للعملات المشفرة التي تركز على الامتثال بواسطة فرق قوية على الجانب التنظيمي لكنها جديدة نسبيًا في الشحن على نطاق ذي مغزى. أما Magic Labs فهو العكس؛ فقد كانوا قد حلّوا بالفعل التوزيع والموثوقية لبنية محافظ العملات تحديدًا. Newton ليس أول محاولة لفريق جديد على أحجام معاملات حقيقية؛ بل هو فريق راسخ يتوسّع إلى مشكلة مجاورة.
لكن ما سأشير إليه هو أن المحافظ المدمجة والترخيص المعتمد على السياسات (policy-based authorization) تمثل مشكلتي هندسة مختلفتين حقًا. فبنية المحافظ هي في الغالب إدارة المفاتيح والجاهزية (uptime). أما طبقة ترخيص Newton فتعني إجماع مشغّلي لامركزي، وإقرارات تشفيرية (cryptographic attestations)، وحل النزاعات عبر إثباتات المعرفة الصفرية (zero-knowledge proofs). لا يعني النجاح في واحدة أن الخبرة تنتقل تلقائيًا إلى الأخرى.
ليست ضعفًا،.. بل جدير بالدقة. وأود أن أعرف كم يقود تصميم مشغّلي Newton وإجماعه أشخاص لديهم سجلّ في هذا المجال تحديدًا، مقارنةً بالأشخاص على جانب المحافظ في الفريق الذين يتوسّعون إلى ذلك.
يفترض معظم الناس عمومًا أنه إذا بُني وكيل ذكاء اصطناعي بشكل جيد، فإن إعطاءه قدرًا أكبر من الاستقلالية يُقدَّم في الغالب بوصفه مسألة تتعلق بالثقة. جرّبه بما يكفي، وراقبه وهو يؤدي بشكل موثوق في النهاية، تشعر بالراحة عند السماح له بأن يتصرف بمفرده دون أن يراجع البشر كل خطوة. وهذا تقريبًا كيف تُمدَّ الثقة إلى أي نظام مُؤتمت: سجلّ حافل أكثر، واستقلالية أكبر. لا يبدأ تأطير نيوتن لمشكلة وكيل الذكاء الاصطناعي من الثقة حقًا، وأعتقد أن هذا هو الموضع الأكثر فائدة للبدء منه فعليًا. يبدأ من عدم تطابق بنيوي.
غالبًا ما يظن الناس أن تحويل العملة المستقرة إما يتم حظره أو لا يتم، ينجح أو يفشل، مع وجود فحص واحد بسيط.
لكن لدى “نيوتن” أشياء تتعلق بالامتثال للعمَلَات المستقرة، وهي جزء خاص بنسبة الامتثال لقواعد “سفر” (Travel Rule). وهذا ليس “نعم/لا” بالصيغة التي تكون عليها عمليات فحص العقوبات. قواعد “سفر” تتعلق بمعلومات المُرسِل والمُستَقبِل التي يجب أن تتابع انتقالها مع التحويل عندما يتجاوز التحويل عتبات معيّنة: من أرسله، ومن يتلقاه، مع ربط هذه المعلومات بأمان بعملية التحويل.
وهذا فحص مختلف من نوع آخر عن حظر شخص سيئ النية. ففحص العقوبات ثنائي: المُرسِل موجود في قائمة أم ليس موجودًا. أما قواعد “سفر” فهي أكثر اهتمامًا بضمان أن المعلومات المطلوبة تَتبع التحويل بين الجهات الخاضعة للتنظيم، وليس مجرد التحقق منها مرة واحدة ثم نسيانها.
ما هو مثير فعلًا للاهتمام هو أن هذا لا يعمل إلا على التحويلات المؤهلة، فوق أي عتبة تُفعّله. لذلك فإن معظم تحويلات العملات المستقرة بحجم التجزئة لا تلمس هذا الأمر على الإطلاق؛ فهو مُعد لتحويلات كبيرة بما يكفي بحيث يهتم المنظمون فعلًا بسلسلة الأوراق (الأثر الورقي).
مع ذلك، ليس واضحًا لي كيف يَصمد هذا عبر السلاسل (cross chain). إذا كان منشأ التحويل على سلسلة واحدة، وهو ينتقل إلى سلسلة وجهة عبر مجموعة المُشغّلين المُزامنين لدى نيوتن، فهل يحمل ذلك معلومات المُرسِل بشكل نظيف؟ أم أن شيئًا ما يضيع أثناء تنسيق معلومات الهوية عبر هذا الحدّ؟ النَّسب (Attribution) لا تعني شيئًا إلا إذا نجت من الرحلة كاملةً، وليس فقط القفزة الأولى.
أتساءل إن كان أي شخص قد اختبر فعلًا تحويلًا وفق قواعد “سفر” يعبر عدة سلاسل في آنٍ واحد، أو ما إذا كان قد تم اختباره غالبًا داخل سلسلة واحدة حتى الآن.
لا أحد يخبرك ما إذا كان بإمكان بروتوكول ما تغيير القواعد التي تتحكم فيك فعلًا.
غالبًا ما ينتهي الناس في واحد من معسكرين عندما يتعلق الأمر بمدى قدرة البروتوكول على التغيير بالفعل بعد إطلاقه. فإما أن يفترضوا أنه غير قابل للتغيير تقريبًا، وأن «الكود هو القانون»، وأن ما تم نشره يبقى إلى الأبد، أو أن يفترضوا العكس: أن هناك فريقًا ما يملك مفاتيح إدارية ويمكنه تغيير الأشياء بهدوء متى شاء. ونادرًا ما يُساءل أيٌّ من هذين الافتراضين؛ إذ إنك ببساطة تختار أحدهما وتكمل. تقع إجابة نيوتن الفعلية بين هذين الرأيين، وهي أكثر تحديدًا مما يتوقعه أيٌّ من المعسكرين. تُنفَّذ ترقيات البروتوكول عبر ما يسمّونه نمط الوكيل الشفاف مع ترقيات مُقيّدة بوقت. ليست التغييرات فورية وليست صامتة، لكن النظام أيضًا لا يبقى مجمّدًا إلى الأبد. توجد نافذة بين وقت اقتراح الترقية ووقت بدء سريانها فعليًا، وخلال تلك النافذة تكون مرئية وقابلة للاعتراض قبل أن تدخل حيز التنفيذ.
غالبًا ما يفترض الناس أن وجود "خزنة مُنسّقة" يعني أن شخصًا ما يراقب المخاطر فعليًا في الوقت الفعلي، وفريقًا يراجع لوحات المراقبة، وجاهزية للرد بمجرد أن يبدو أن هناك شيئًا غير طبيعي.
لكن هذا ليس غالبًا كيف يعمل الأمر. "منسّقة" عادةً تعني فقط أن شخصًا كتب القواعد مرة واحدة. أما التطبيق الفعلي فيتم معاملةً بمعاملة..، في اللحظة التي يحاول فيها شيء ما التحرك، وليس عبر مراقبة خلفية مستمرة.
كنت أبحث في كيفية تعامل @NewtonProtocol مع قضايا RWA وحالات استخدام الخزنة تحديدًا. تقدم Newton حزم سياسات، وهي مجموعات مُعدة مسبقًا من وحدات Rego، تتضمن فحوصات سلامة NAV تقوم بربط أسعار المراجع/الأوراكل مقابل حدود التسامح المُحددة، إضافةً إلى ضوابط أهلية الصكّ والاسترداد. تعمل هذه عند لحظة تنفيذ المعاملة نفسها. لا يُطلب من أحد أن يكون يراقب شاشة. الفحص ببساطة يبقى هناك وينطلق فقط عندما يتم تفعيله.
هذا تحسّن حقيقي مقارنةً بالاعتماد على شخص يكتشف مشكلة بعد وقوعها، وهو غالبًا يكون متأخرًا جدًا على أي حال. لكن هذا يعني أيضًا أن حماية الخزنة لا تكون أفضل إلا بقدر حدود التسامح والقواعد التي تم ضبطها عندما كُتبت السياسة أول مرة. إذا تحرك السوق بطريقة لم يكن أحد يتوقعها عندما تم تحديد تلك الحدود، فسيظل الفحص يعمل. قد لا يكون فقط يتحقق مقابل العتبة الصحيحة بعد الآن.
أنا لا أقول إن هذا عيب في التصميم. إنه فقط نوع الافتراض الذي يستحق أن يكون المرء على علم به. الحماية ليست يقظة مستمرة، بل هي قاعدة مكتوبة مسبقًا، تُطبَّق باستمرار، لكنها تكون متاحة فقط بقدر ما هي محدثة آخر مرة تم فيها تحديثها.
أنت لا تدفع مقابل الوصول. أنت تدفع مقابل ما قامت به السياسة فعلًا.
كان دفع ثمن البنية التحتية بسيطًا في السابق. أغلب المنصات تتقاضى رسومًا مقابل الوصول. تختار خطةً، وتدفع اشتراكًا شهريًا، وتكون الخدمة متاحة كلما احتجت إليها. سواء أقدمت طلبًا واحدًا أو عشرة آلاف، فإن الفاتورة عادةً لا تتغير كثيرًا. لقد أصبح هذا هو الافتراض الافتراضي لدى الناس عندما يتحدثون عن البنية التحتية. أنت تدفع مقابل الإتاحة، وليس مقابل كل إجراءٍ فردي يحدث خلف الكواليس. هذا الافتراض لا ينطبق حقًا على نيوتن. محرك سياساتها ليس تسعيره مبنيًا على الوصول. بل هو مبني على التنفيذ. كل تقييم للسياسة يُقاس بما يقوم به فعليًا من عمل: بدءًا من عدد تعليمات WASM وعمليات استدعاء مزوّدي البيانات الخارجيين، وصولًا إلى النطاق الترددي المستهلك أثناء الوصول إلى قرار. ثم تُسوى الرسوم يوميًا عبر خزانة دفع <0nchain> قبل توزيعها بين المشغّلين والبروتوكول. ليست التكلفة مرتبطة بامتلاك البنية التحتية المتاحة. بل مرتبطة بما قامت به البنية التحتية فعليًا.
يَفترض الناس أنه بمجرد أن تختار المنظومة خُطتها للتشفير، فهذا يكون عمليًا أمرًا “مغلقًا”. قم بإزالته لاحقًا وستعيد بناء نصف الشيء.
طبقة الخصوصية لدى نيوتن لا تُبنى بهذه الطريقة رغم ذلك. فهي تستخدم HPKE، وهو في الحقيقة ثلاث قطع قابلة للاستبدال تركّبت معًا: تبادل المفاتيح، اشتقاق المفاتيح، والتشفير الفعلي. وبما أنها وحدات قابلة للتبديل وليست مدمجة، فإن تبديل تبادل المفاتيح بأحد ما بعد الحوسبة الكمية يبدو – حسب الظاهر – كتغيير إعدادات فقط، وليس إعادة بناء.
يبدو الأمر مريحًا حتى تدرك أن HPKE صُمم حرفيًا لهذا الغرض. نيوتن لم يبتكر المرونة، بل بنى على شيء كان أصلًا مُصممًا معها. كما أن NIST سبق أن وحّدت بدائل ما بعد الحوسبة الكمية في 2024، لذا الأجزاء موجودة بالفعل هناك، جاهزة للتبديل متى ما رغبت.
كانت ردة فعلي الأولى أن أجهزة الكمبيوتر الكمية التي تُفك تشفيرًا تبدو كـ “مشكلة مستقبلية”، وليست مُلحّة. لكن هذا هو الفخ: البيانات المشفرة التي تُلتقط اليوم يمكن أن تبقى محفوظة ليتم فك تشفيرها لاحقًا بمجرد ظهور القدرة. لذا فإن الترحيل الرخيص لاحقًا مهم الآن، حتى وإن لم يكن الأمر يبدو مُلحًا بعد.
ما أتأملّه أكثر هو أن هذا يغطي جانب التشفير فقط. المشغّلون يوقّعون الإقرارات/الإثباتات باستخدام توقيعات تجميعية بنمط BLS، وهذا نظام تشفير منفصل تمامًا عن مفاتيح التشفير. لا شيء رأيته يتحدث عن ما الذي يتطلبه حتى ترحيل BLS نفسه. وبخلاف تبادل المفاتيح المعياري في HPKE، التوقيعات غير مصممة كتبديل مباشر بسيط، لذا أتوقع أن يكون الترحيل أكثر تعقيدًا بشكل ملحوظ.
لذا فإن عبارة “تشفيرنا جاهز للكم” وعبارة “مجموع المنظومة لدينا جاهز للكم” ليستا الادعاء نفسه. فقط تبدوان كذلك.
مُثير للاهتمام: هل قام أي شخص فعلًا بالنظر في شكل مسار ما بعد الحوسبة الكمية لجهة التوقيع هنا، أم أنه لا يزال سؤال تصميم مفتوحًا؟
يُثبت مسار التدقيق حدوث شيء ما. لكنه لا يثبت ما كانت عليه البيانات فعليًا.
غالبًا ما يفكر الناس في "مسار التدقيق" باعتباره زر إعادة تشغيل. فإذا أراد منظم رقابي أو مدقق أو محقق أن يفهم ما الذي حدث، فإنه يفتح السجلات ويفحص المعلومات الأساسية، ثم يعيد بناء القرار من البداية إلى النهاية. مسار التدقيق ليس مجرد دليل على أن إجراءً ما قد حدث. بل إنه في العادة المكان الذي تعيش فيه الأدلة نفسها. يبدو هذا الافتراض منطقيًا لأن هذا هو ما جرى به عمل معظم أنظمة التدقيق لسنوات. تحتفظ البنوك بسجلات المعاملات. وتقوم الشركات بأرشفة المستندات. وتحتفظ فرق الامتثال بالمعلومات الكامنة وراء كل قرار. وعندما يسأل أحدهم عن سبب قبول إجراءٍ ما أو رفضه، تكون التوقعات أن تكون البيانات نفسها قابلة للاسترجاع وفحصها.
غالبًا ما يفترض الناس أنه بعد التحقق، فإن خدمة معالجة التحقق قد شاهدت فعليًا مستنداتك، وقيمتها، ثم تتذكر النتيجة ببساطة.
يُصمم التحقق الخاص بـ Newton بشكل مختلف. يعمل التحقق داخل TEE، أي بيئة تنفيذ موثوقة (Trusted Execution Environment)، لذلك لا تتاح للبنية التحتية العادية الخاصة بالـمُتحقق أي وصول مباشر إلى بيانات الهوية الأساسية. فهو يتلقى نتيجة عملية التحقق وليس المدخلات الخام نفسها.
هذا نموذج أمني مختلف عن التشفير وحده. يحمي التشفير البيانات أثناء تخزينها أو أثناء نقلها، لكن عادةً ما يجب فك تشفيرها لإجراء عملية التحقق. تهدف الـ TEE إلى إبقاء هذا الحساب أيضًا معزولًا، بحيث لا يستطيع نظام المضيف تشغيله على نحو يمكّنه من فحص ما يحدث داخل الـ enclave.
كما أن ذلك يتماشى مع نموذج هوية Newton الأوسع. يقوم المُتحققون بالتحقق من إثباتات المؤهلات دون تعلم المعلومات الشخصية الأساسية. والهدف ليس فقط إبقاء البيانات خارج السلسلة (off chain)، بل إبقاؤها مخفية أيضًا عن المُتحقق.
يبقى السؤال المتعلق بالثقة. تقلل الـ TEE مقدار ما يجب أن تثق به في المُتحقق، لكنها لا تلغي الثقة تمامًا. وبدلًا من ذلك، تنتقل جزء من تلك الثقة إلى تنفيذ الـ TEE نفسه، وإلى مزود العتاد، وإلى البرامج الثابتة، وإلى عملية التحقق من الهوية (attestation). كانت لدى الـ TEE في الماضي ثغرات حقيقية على مستوى العتاد وقضايا متعلقة بالقنوات الجانبية (side channel)، لذا تُعد آلية تقليل للمخاطر وليست ضمانًا.
ما يثير فضولي أكثر هو نموذج الفشل. إذا تم اكتشاف ثغرة خطيرة في الـ TEE في العتاد الذي يعتمد عليه Newton، فما الذي سيحدث للبيانات/المؤهلات التي تم التحقق منها مسبقًا عبر تلك الـenclaves؟ هل سيكون التأثير محدودًا في عمليات التحقق المستقبليّة بعد معرفة الثغرة فقط، أم يمكن أيضًا اعتبار جلسات التحقق السابقة بأنها تعرضت للاختراق؟ وإذا حدث ذلك، هل توجد عملية استرداد موثقة، مثل إلغاء الـenclaves الموثوقة، أو تدوير مفاتيح الـattestation، أو اشتراط إعادة التحقق من المؤهلات؟ $NEWT @NewtonProtocol #Newt $LAB $TLM #labcrashed
حرب سلاسل الكتل القادمة لن تتعلق بالسرعة. ستكون عن التفويض.
لِسنوات طويلة، تم قياس البنية التحتية لسلاسل الكتل بالمعايير نفسها. أصبحت الإنتاجية الأعلى، والرسوم الأقل، والتسوية الأسرع هي المقاييس التي حاولت كل شبكة جديدة التفوق عليها. كانت الفكرة بسيطة: إذا أمكن تنفيذ المعاملات بكفاءة أكبر، فإن مشكلة البنية التحتية ستحل نفسها في النهاية. كان هذا النمط من التفكير منطقياً عندما كانت سلاسل الكتل مسؤولة في المقام الأول عن شيء واحد: التنفيذ. بمجرد تقديم توقيعٍ صالح والوصول إلى توافقٍ في الشبكة، كان دورها قد انتهى. سواء كانت المعاملة امتثلت للوائح، أو استوفت السياسات الداخلية أو حققت المتطلبات المؤسسية، كان ذلك مسؤولية شخص آخر.
يفترض الناس أنه بمجرد أن يقول بروتوكولٌ ما «يُحافظ على الخصوصية»، فهذا يعني عمليًا أن الحالة النهائية قد أُنجزت، وأن الجزء الصعب قد اكتمل وأن ما يتبقى مجرد تفاصيل تنفيذية من تلك النقطة فصاعدًا.
لكن ليس هذا هو الحال مع خطة نيوتن طويلة المدى. توجد في الورقة البيضاء بأكملها مساحة مخصصة للتشفير المتجانس بالكامل (Fully Homomorphic Encryption)، وهو النسخة المثالية من ذلك: تنفيذ حساب سياسة فعلي مباشرة على بيانات مشفّرة دون فك تشفيرها في أي لحظة. لا توجد خطوة فك تشفير بعتبة. ولا يُكشف أي نص صريح أثناء التقييم.
لكن في الوقت الحالي، يُدرج ذلك فقط كاتجاه بحثي. لم يتم بناؤه بعد. كان اختراق التشفير المتجانس بالكامل الأصلي لـ«كريغ جنترى» في عام 2009، وحتى اليوم ما يزال أبطأ بعدة رتب من حيث السرعة من إجراء الحسابات على بيانات غير مشفّرة. وبالنسبة لحالة الاستخدام لدى نيوتن، فهي في الغالب تشمل فحوصات منطقية (Boolean) ومقارنات بعتبات (Threshold). تقول الورقة البيضاء إنه يقع في الطرف الأدنى من ذلك النطاق، لكن ذلك ما يزال بعيدًا جدًا عن شيء يمكن اعتباره عمليًا للإنتاج.
لذلك توجد خارطة طريق كاملة تقع بين المكان الذي تكون فيه نمذجة الخصوصية فعليًا اليوم، وبين ما تقول الورقة البيضاء إنه سيتحقق في نهاية المطاف. تعتمد النسخة الحالية على فك تشفير بعتبة (threshold decryption)، ما يعني أن البيانات تُفك شفرتها أثناء تقييم السياسة بدلًا من بقائها مشفّرة من طرف إلى طرف. طبقة MPC بعد ذلك تهدف إلى تجنب إعادة بناء النص الصريح أثناء التقييم. أما التشفير المتجانس بالكامل لاحقًا فسيتيح تقييم السياسة نفسها مباشرة على بيانات مشفّرة، ما يلغي الحاجة إلى MPC تفاعلي.
أقدّر إلى حد ما صراحتهم بأن ذلك بحث لعدة سنوات بدل الادعاء بأنه قريب. لكن هذا يعني أيضًا أنه عندما يقرأ الناس «يحافظ على الخصوصية»، فمن الجدير التساؤل عن أي نموذج للخصوصية يحصلون عليه «اليوم»، مقارنةً بما تهدف إليه خارطة الطريق.
أتساءل كم عدد الأشخاص الذين يستخدمون هذا فعليًا ويدركون أن هناك فرقًا بين هاتين العبارتين، أم أنه يُقرأ ببساطة كضمان خصوصية شامل واحد.
غالبًا ما يفترض الناس أنه بمجرد نشر عقد ذكي، فإن قواعده تكفي للحفاظ على سلامة المستخدمين والأصول. وبالنسبة للبروتوكولات التي تدير رأسمالًا ذا معنى، لا تزال العديد من الضمانات المهمة موجودة خارج سلسلة الكتل.
كنت أبحث في كيفية تعامل <@NewtonProtocol > مع ذلك. بدلًا من الاعتماد على قوائم تحقق خارج السلسلة أو الإشراف اليدوي، يتيح تطبيق السياسات على السلسلة قبل أن تصل المعاملة إلى التسوية. يمكن أن تغطي هذه السياسات الامتثال والهوية والأمن والمخاطر، لتصبح جزءًا من تدفق التنفيذ بدلًا من أن تكون فكرة لاحقة.
هذا يغير المقايضة. بدلًا من الوثوق بكل تطبيق في تطبيق ضوابطه الخاصة وصيانتها، يمكن للبروتوكولات الرجوع إلى طبقة تفويض مشتركة تُقيّم المعاملات مقابل سياسات <aCtive> قبل أن تواصل. من الناحية النظرية، يجعل ذلك تطبيق الضوابط أكثر اتساقًا عبر تطبيقات مختلفة.
الجزء المثير للاهتمام هو إدارة السياسات بمرور الوقت. تتغير ظروف المخاطر، وتتطور متطلبات الامتثال، وتظهر تهديدات أمنية دون سابق إنذار. ليست التحديات فقط في فرض السياسات على السلسلة، بل في تحديثها دون خلق حالة من عدم اليقين بشأن القواعد التي كانت فعّالة عند تفويض المعاملة <A>.
لا أقول إن ذلك عيب. إنها ببساطة نوع افتراض التصميم الذي يستحق الانتباه إليه. لا تكون طبقة التفويض مفيدة إلا بقدر موثوقية وشفافية السياسات التي تُنفّذها.
سأكون مهتمًا بمعرفة كيف يخطط Newton لتحقيق التوازن بين التحديث السريع للسياسات والحاجة إلى قرارات تفويض يمكن التنبؤ بها وقابلة للتدقيق.
محرك إثبات واحد لكل سياسة، لا دائرة واحدة لكل قاعدة.
عادةً ما تعني إثباتات المعرفة الصفرية أن شخصًا ما قام ببناء دائرة شديدة التخصيص لشيء محدد جدًا. إثبات أن الرصيد أعلى من رقم معيّن. إثبات أن التصويت تم احتسابه بشكل صحيح. مهمة ضيقة واحدة، ودائرة مخصصة مصممة فقط لهذه المهمة. وإذا أردت إثبات شيء آخر، فستبدأ من جديد. نظام “نزاع نيوتن” لا يعمل بهذه الطريقة، وقد استغرق الأمر مني دقيقة لكي أفهم السبب. بدلًا من إنشاء دائرة جديدة لكل سياسة يكتبها أي شخص، أخذوا محرك Rego بالكامل، وهو المفسّر الفعلي الذي يشغّل قواعد الامتثال، ثم قاموا بتجميع كل ذلك في zkvm عام للأغراض. لذلك أي سياسة تُكتب بـ Rego، مثل فحص العقوبات، أو حد السرعة، أو أي قاعدة أهلية متعددة الخطوات—أيا كان نوعها—تصبح تلقائيًا قابلة للإثبات. لا توجد أعمال دوائر جديدة مطلوبة لكل سياسة. الذي تم جعله قابلاً للإثبات هو المحرك نفسه، وليس كل قاعدة على حدة.
يفترض الناس أن اللامركزية تعني أن لا أحد يوجّه حركة المرور. وهذا غالبًا ليس صحيحًا. حتى الأنظمة اللامركزية تحتاج إلى شيء ما للتنسيق بين الطلبات.
كنت أبحث في كيفية تعامل نيوتن مع ذلك عبر بوابتها (gateway). اليوم، تقوم بوابة واحدة بتنظيم الطلبات بين المشغّلين. هذا مركزي وظيفيًا.. حتى وإن كانت شبكة المشغّلين تقييم السياسات لامركزية من حيث البنية.
تغيّر المعمارية المستهدفة ذلك. في كل حقبة (epoch)، يتم تدوير دور البوابة بين المشغّلين عبر اختيار القائد بالـ VRF، على غرار نموذج مُقترح الكتل في إيثيريوم. وهذا يمنع أن يصبح أحد المشغّلين بهدوء المنسّق الافتراضي بمرور الوقت.
بالنسبة لي، هذا النوع من قرارات التصميم هو ما يختبر ما إذا كانت الشبكة لامركزية عمليًا، لا فقط نظريًا على الورق. يمكن لأي شخص تشغيل مشغّل، لكن إذا بقيت بوابة واحدة في مكانها إلى أجل غير مسمى، فإن بعض الدرجة من النفوذ الناعم تتراكم طبيعيًا.
تجدر الإشارة إلى أن هذا التدوير غير مباشر بعد. في الوقت الحالي، يتم تقييد البوابة عمدًا. لا يمكنها تزوير التوقيعات أو تعديل النتائج دون أن يتم اكتشاف ذلك، وتوجد آلية إدراج قسري إذا اشتُبه في حدوث حجب.
السؤال المثير للاهتمام هو كيف يبدو فجوة الثقة حتى يصبح تدوير البوابة مباشرًا. هل إن بوابة واحدة اليوم مجرد تفصيلة تنفيذ عملية، أم أنها تُدخل ثقة أكبر مما يدركه الناس؟