Counting Signature Isn’t The Same As Counting The Right Singers.
A signature used to be proof enough on its own, but a lot of Newton's actual design assumes otherwise, and the multisig policy is where that assumption shows up most clearly. Most people think of a multisig as just needing enough signatures collected, two out of three, three out of five, whatever the threshold happens to be. Once you hit the number, the transaction goes through. That's basically the entire mental model most people carry around for how multisig approval works. Newton's Rego extension for this does something slightly different though. It doesn't just count signatures and call it done. It recovers the actual signer addresses from each signature and checks them against an authorized signer list before counting anything toward the threshold. So the real question isn't "did enough people sign," it's "did enough authorized people sign," which sounds similar on the surface but is a meaningfully different check. That distinction matters more than it first appears. The threshold only has meaning if the signatures belong to the expected participants. Rather than treating signature verification and signer authorization as separate concerns, Newton recovers the signer addresses and checks them against an authorized signer list before those signatures contribute toward the threshold. What's genuinely interesting is that this runs through the exact same Rego engine handling sanctions checks and velocity limits elsewhere in the system. Multisig approval isn't a separate bolted on feature, it's just another composed policy, with the same deterministic evaluation and, if challenged later, the same path to ZK provability. Where I don't have a clear answer is how this scales past a small, fixed signer set. Authorized signers presumably get configured once inside the policy data. If that list needs to change later, does updating it require redeploying the policy itself, or is there a cleaner path to rotate signers without touching the underlying rule each time. Curious if anyone's actually tested signer rotation on one of these policies yet, or if every real deployment so far has just kept the same fixed signer set from the start. @NewtonProtocol $NEWT #Newt $ZEC $SXT #NewsAboutCrypto #TrendingTopic
Most People often assume the team building compliance infrastructure for institutions is some specialized RegTech shop, deep in regulatory work but new to consumer-scale crypto infrastructure. Usually a safe assumption for this kind of product.
Not the case with @NewtonProtocol though. The core developer is Magic Labs and I hadn't connected this until I looked into who's actually behind it. They built embedded wallets the kind of infrastructure that lets an app onboard users without ever showing them a seed phrase. Backed by PayPal Ventures, already running at real scale, over 57 million wallets, more than 200,000 developers, and it's the wallet layer powering Polymarket.
That changes how I read Newton's execution risk. A lot of compliance focused crypto infrastructure gets built by teAms strong on the regulatory side but relatively new to shipping at meaningful scale. Magic Labs is the opposite, they've already solved distribution and reliability for wallet infrastructure specifically. Newton isn't a new team's first attempt at real transaction volume, it's an established team extending into an adjacent problem.
What I'd flag though is that embedded wallets and policy-based authorization are genuinely different engineering problems. Wallet infrastructure is mostly key management and uptime. Newton's authorization layer means decentralized 0perator consensus, cryptographic attestations, dispute resolution through zero-knowledge proofs. Proven expertise in one doesn't automatically transfer to the other.
Not a weakness,.. just worth being precise about. I'd be curious how much of Newton's operator and consensus design is being led by people with a track record in that specific area, versus the wallet side of the team extending into it.
Der Agent rät. Die Policy-Ebene ist nicht dazu berechtigt.
Die meisten Menschen gehen im Allgemeinen davon aus, dass, wenn ein KI-Agent gut gebaut ist, das Hinzufügen von mehr Autonomie größtenteils als Frage des Vertrauens gerahmt wird. Man testet ihn genug, beobachtet, dass er zuverlässig funktioniert, und irgendwann fühlt man sich damit wohl, ihn alleine handeln zu lassen, ohne dass ein Mensch jeden einzelnen Schritt überprüft. So wird das Vertrauen grob auf jedes automatisierte System erweitert: mehr Nachweise, mehr Autonomie. Newton's Rahmung des Problems des KI-Agenten beginnt nicht wirklich mit Vertrauen, und ich denke, das ist der nützlichere Ausgangspunkt. Es beginnt mit einer strukturellen Fehlanpassung.
Menschen nehmen oft an, dass eine Stablecoin-Überweisung entweder blockiert wird oder nicht – also Pass oder Fail, eine einzige einfache Prüfung.
Newtons Stablecoin-Compliance hat allerdings dieses Travel-Rule-Zuordnungs-Feature. Das ist nicht wirklich so ein „Pass oder Fail“ wie beim Sanktions-Screening. Die Travel Rule geht darum, dass die Informationen zum Auftraggeber (Originator) und zum Empfänger (Beneficiary) bei Überweisungen oberhalb bestimmter Schwellenwerte über die Übertragung hinweg mitgeführt werden – also wer es gesendet hat und wer es erhält –, wobei diese Informationen sicher mit der Überweisung verknüpft sind.
Das ist eine andere Art von Prüfung als das Blockieren eines potenziellen Akteurs. Das Sanktions-Screening ist binär: Der Absender steht auf einer Liste oder eben nicht. Die Travel Rule geht eher darum, sicherzustellen, dass die erforderlichen Informationen bei der Übertragung zwischen regulierten Stellen mitwandern – nicht nur einmal geprüft und dann vergessen.
Was daran wirklich interessant ist: Das Ganze greift nur bei qualifizierenden Überweisungen, also oberhalb der jeweiligen Schwelle, die das auslöst. Für die meisten Stablecoin-Überweisungen im Retail-Bereich gilt das gar nicht – es ist für die Überweisungen gebaut, die groß genug sind, dass Behörden tatsächlich die Dokumentationskette (Paper Trail) interessieren muss.
Trotzdem ist mir nicht klar, wie das funktionsfähig ist, wenn man es über mehrere Chains hinweg betrachtet. Wenn der Ursprung einer Überweisung auf einer Chain liegt und sie zu einer Ziel-Chain über den von Newton synchronisierten Operator-Set hinweg übertragen wird: Wird die Information zum Auftraggeber sauber mitgenommen oder geht bei der Koordination der Identitätsinformationen über diese Grenze hinweg etwas verloren? Attribution bedeutet nur dann etwas, wenn sie die komplette Reise übersteht – nicht nur beim ersten Hop.
Ich bin gespannt, ob jemand tatsächlich schon eine Travel-Rule-Überweisung getestet hat, die in einem Durchgang über mehrere Chains hinweg geht, oder ob das bisher überwiegend innerhalb einer einzelnen Chain getestet wurde.
Niemand sagt dir, ob ein Protokoll die Regeln wirklich ändern kann.
Menschen landen im Allgemeinen in einem von zwei Lagern, wenn es darum geht, wie stark sich ein Protokoll tatsächlich ändern kann, nachdem es live ist. Entweder sie gehen davon aus, dass es im Grunde unveränderlich ist, dass Code das Gesetz ist und was einmal bereitgestellt wurde, für immer bereitgestellt bleibt – oder sie nehmen das Gegenteil an, dass irgendwo ein Team Admin-Keys hat und Dinge still und heimlich ändern kann, wann immer es will. Keine dieser Annahmen wird normalerweise groß hinterfragt; man entscheidet sich einfach für eine und macht weiter. Newtons tatsächliche Antwort liegt zwischen diesen beiden, und sie ist konkreter, als es die Erwartungen beider Lager sind. Protokoll-Updates laufen über das, was sie ein „Transparent Proxy“-Muster mit zeitgesperrten Upgrades nennen. Änderungen sind nicht sofort und sie sind auch nicht geräuschlos, aber das System ist auch nicht für immer eingefroren. Es gibt ein Zeitfenster zwischen dem Zeitpunkt, an dem ein Upgrade vorgeschlagen wird, und dem Zeitpunkt, an dem es tatsächlich wirksam wird – und in diesem Fenster ist es sichtbar und anfechtbar, bevor es live geht.
Viele gehen davon aus, dass ein „kuratierter“ Tresor bedeutet, dass jemand das Risiko tatsächlich in Echtzeit überwacht, ein Team Dashboards beobachtet und sofort reagiert, sobald etwas auffällig aussieht.
Das ist in der Praxis aber meistens nicht so. „Kuratieren“ heißt in der Regel nur, dass jemand die Regeln einmal festgelegt hat. Die eigentliche Durchsetzung erfolgt transaktion für transaktion.., sobald etwas versucht wird zu bewegen, nicht durch kontinuierliches Hintergrund-Monitoring.
Ich habe mir angesehen, wie @NewtonProtocol das speziell für RWA- und Tresor-Anwendungsfälle handhabt. Newton bietet Policy-Packs, vorgefertigte Sets aus Rego-Modulen, die NAV-Integritätschecks enthalten, bei denen Kursdaten aus Orakeln gegen konfigurierte Toleranzgrenzen gegengeprüft werden, zusammen mit Leitplanken für Mint- und Redeem-Berechtigungen. Diese laufen genau in dem Moment, in dem die Transaktion ausgeführt wird. Niemand muss dabei auf einen Bildschirm starren. Die Prüfung liegt einfach bereit und feuert, wenn tRiggered.
Das ist eine echte Verbesserung gegenüber der Abhängigkeit davon, dass ein Mensch ein Problem erst im Nachhinein bemerkt—was in der Regel ohnehin zu spät ist. Aber das heißt auch: Der Schutz des Tresors ist nur so gut wie die jeweiligen Toleranzgrenzen und Regeln, die konfiguriert waren, als die Policy ursprünglich geschrieben wurde. Wenn sich der Markt in einer Weise bewegt, die niemand erwartet hatte, als diese Grenzen gesetzt wurden, läuft der Check zwar trotzdem weiter—er prüft dann aber möglicherweise nicht mehr gegen den richtigen Schwellenwert.
Ich sage nicht, dass das ein Designfehler ist. Es ist lediglich genau die Art von Annahme, die man sich bewusst machen sollte. Der Schutz ist keine kontinuierliche Wachsamkeit, sondern eine im Voraus geschriebene Regel, die konsequent durchgesetzt wird—aber nur so aktuell wie das letzte Mal, als sie jemand aktualisiert hat.
Mich würde interessieren, wie oft diese Toleranzbänder tatsächlich erneut überprüft werden, sobald ein Tresor live ist, oder ob sie typischerweise einmal gesetzt und dann in Ruhe gelassen werden. @NewtonProtocol $NEWT #Newt $LAB $TAG #LABTokenDrops94% #USNaturalGasFallsOver6%
Du bezahlst nicht für den Zugang. Du bezahlst dafür, was die Policy tatsächlich getan hat.
Früher war die Bezahlung für Infrastruktur ganz einfach. Die meisten Plattformen verlangen Gebühren für den Zugang. Du wählst einen Tarif, zahlst ein monatliches Abonnement und der Service ist dann da, wenn du ihn brauchst. Ob du eine einzelne Anfrage stellst oder zehntausend,.. die Rechnung ändert sich normalerweise nur sehr wenig. Das ist mittlerweile die Standardannahme, wie Menschen über Infrastruktur denken. Du bezahlst für Verfügbarkeit, nicht für jede einzelne Aktion, die im Hintergrund abläuft. Diese Annahme passt bei Newton jedoch nicht wirklich. Das Policy-Engine ist nicht nach Zugang bepreist. Sie ist nach Ausführung bepreist. Jede Policy-Auswertung wird danach bemessen, welche Arbeit sie tatsächlich leistet – vom WASM-Instruction-Count und Aufrufen externer Datenanbieter bis hin zur Bandbreite, die beim Erreichen einer Entscheidung verbraucht wird. Die Gebühren werden anschließend täglich über eine Onchain-Zahlungs-Vault beglichen, bevor sie zwischen den Betreibern und dem Protokoll aufgeteilt werden. Die Kosten sind nicht daran gekoppelt, dass die Infrastruktur verfügbar ist. Sie sind daran gekoppelt, was die Infrastruktur tatsächlich getan hat.
Viele gehen davon aus, dass, sobald ein System seine Kryptografie auswählt, das im Grunde festgelegt ist. Später wieder herausreißen und du baust ungefähr die Hälfte des Ganzen neu.
Newtons Privacy-Layer ist jedoch nicht so aufgebaut. Er nutzt HPKE, das im Grunde aus drei austauschbaren Bausteinen besteht, die zusammengeklemmt sind: Schlüsselaustausch, Schlüsselableitung und die eigentliche Verschlüsselung. Weil sie modular statt miteinander verschmolzen sind, soll der Tausch des Schlüsselaustauschs gegen einen postquantensicheren offenbar nur eine Konfigurationsänderung sein – kein komplettes Rebuild.
Klingt bequem, bis du merkst, dass HPKE genau für so etwas entworfen wurde. Newton hat nicht die Flexibilität erfunden, sie haben nur auf etwas aufgebaut, das sie bereits hatte. Und das NIST hat die postquantensicheren Ersetzungen schon 2024 standardisiert, also existieren die Bauteile bereits, bereit zum Austausch, sobald man sie braucht.
Meine erste Reaktion war: Wenn Quantencomputer die Verschlüsselung knacken, ist das ein Problem für „irgendwann“, nicht dringend. Aber genau da liegt die Falle: Heute abgegriffene, verschlüsselte Daten können später einfach wieder entschlüsselt werden, sobald die Fähigkeit existiert. Eine günstige Migration später ist also jetzt tatsächlich wichtig, auch wenn es sich noch nicht dringend anfühlt.
Was ich allerdings immer noch im Kopf zerdenke: Das hier deckt nur die Verschlüsselungsseite ab. Operatoren signieren Attestierungen mit BLS-Aggregatsignaturen, und das ist ein völlig separates kryptografisches System von den Verschlüsselungsschlüsseln. Nichts, was ich gesehen habe, sagt etwas darüber, was eine Migration von BLS überhaupt bedeuten würde. Im Gegensatz zum modularen Schlüsselaustausch von HPKE sind Signaturen nicht als einfacher Drop-in-Ersatz konzipiert, daher würde ich erwarten, dass diese Migration deutlich aufwendiger wäre.
Also sind „unsere Verschlüsselung ist quantenbereit“ und „unser gesamter Stack ist quantenbereit“ nicht dieselbe Aussage. Sie klingen nur so.
Ich bin neugierig, ob jemand tatsächlich schon angeschaut hat, wie ein postquantensicherer Pfad für die Signaturseite hier aussieht – oder ob das immer noch eine offene Designfrage ist.
Der Prüfpfad beweist, dass etwas passiert ist. Er beweist nicht, was die Daten tatsächlich waren.
Menschen denken bei einem Prüfpfad oft an eine Art „Wiedergabetaste“. Wenn eine Behörde, ein Auditor oder ein Ermittler verstehen will, was passiert ist, öffnen sie die Aufzeichnungen, prüfen die zugrunde liegenden Informationen und rekonstruieren die Entscheidung von Anfang bis Ende. Der Prüfpfad ist nicht nur der Beleg dafür, dass eine Aktion stattgefunden hat. Meistens ist dort auch die Evidenz selbst verankert. Diese Annahme ist nachvollziehbar, weil das seit Jahren so funktioniert hat: Banken führen Transaktionsaufzeichnungen. Unternehmen archivieren Dokumente. Compliance-Teams behalten die Informationen hinter jeder Entscheidung. Wenn jemand fragt, warum eine Maßnahme genehmigt oder abgelehnt wurde, ist die Erwartung, dass die Daten selbst abgerufen und untersucht werden können.
Viele nehmen an, dass, sobald man verifiziert ist, der Dienst, der die Verifizierung durchführt, die Dokumente tatsächlich gesehen, sie bewertet und sich einfach das Ergebnis gemerkt hat.
Die Identitätsverifizierung von Newton ist anders konzipiert. Die Verifizierung läuft in einem TEE, einer Trusted Execution Environment, sodass die normale Infrastruktur des Verifiers nie direkt auf die zugrunde liegenden Identitätsdaten zugreift. Der Verifier erhält das Ergebnis der Verifizierung statt der rohen Eingaben selbst.
Das ist ein anderes Sicherheitsmodell als reine Verschlüsselung. Verschlüsselung schützt Daten, während sie gespeichert oder übertragen werden, aber für die Verifizierung muss sie in der Regel erst entschlüsselt werden. Ein TEE zielt darauf ab, auch diese Berechnung isoliert zu halten, sodass das Host-System, das die Umgebung betreibt, nicht einsehen kann, was innerhalb des Enclave passiert.
Das passt auch zu Newtons umfassendem Identitätsmodell. Verifier validieren Credential-Proofs, ohne die zugrunde liegenden persönlichen Informationen zu erlernen. Das Ziel ist nicht nur, Daten off-Chain zu halten, sondern sie auch vor dem Verifier verborgen zu halten.
Die verbleibende Frage ist die Vertrauensbasis. TEEs reduzieren, wie viel Vertrauen man in den Verifier setzen muss, eliminieren das Vertrauen aber nicht vollständig. Stattdessen verlagert sich ein Teil dieses Vertrauens auf die TEE-Implementierung, den Hardware-Anbieter, die Firmware und den Attestierungsprozess. TEEs hatten in der Vergangenheit echte Hardware- und Side-Channel-Schwachstellen, daher sind sie eher ein Mechanismus zur Risikoreduktion als eine Garantie.
Was mich am meisten interessiert, ist das Failure-Modell. Wenn eine schwerwiegende TEE-Schwachstelle in der Hardware entdeckt würde, auf die Newton sich stützt: Was passiert mit Credentials, die zuvor über diese Enclaves verifiziert wurden? Würde der Einfluss nur auf zukünftige Attestierungen nach Bekanntwerden der Schwachstelle begrenzt sein, oder könnten frühere Verifizierungssitzungen ebenfalls als kompromittiert gelten? Und falls das passiert, gibt es einen dokumentierten Wiederherstellungsprozess, etwa indem vertrauenswürdige Enclaves widerrufen, Attestierungs-Schlüssel rotiert oder verlangt wird, dass Credentials erneut verifiziert werden? $NEWT @NewtonProtocol #Newt $LAB $TLM #labcrashed
Der nächste Blockchain-Krieg Geht nicht um Tempo. Es geht um Autorisierung.
Seit Jahren wird die Blockchain-Infrastruktur nach denselben Standards gemessen. Höhere Durchsatzraten, niedrigere Gebühren und schnellere Abwicklung wurden zu den Maßstäben, denen jedes neue Netzwerk nachzueifern versuchte. Die Annahme war einfach: Wenn Transaktionen effizienter ausgeführt werden könnten, würde sich das Infrastrukturproblem irgendwann von selbst lösen. Diese Denkweise machte Sinn, als Blockchains in erster Linie für eine Sache verantwortlich waren: die Ausführung. Sobald eine gültige Signatur vorlag und im Netzwerk Konsens erreicht war, war die Aufgabe erledigt. Ob die Transaktion Vorschriften einhielt, interne Richtlinien erfüllte oder institutionelle Anforderungen erfüllte, lag in der Verantwortung anderer.
Menschen nehmen an, sobald ein Protokoll „datenschutzfreundlich“ sagt, sei das im Grunde schon der abgeschlossene Zustand: Die schwierige Arbeit sei erledigt und ab dann ginge es nur noch um Implementierungsdetails.
Bei Newtons Langzeitplan ist das jedoch nicht wirklich der Fall. Im Whitepaper gibt es einen ganzen Abschnitt über vollständig homomorphe Verschlüsselung (FHE). Das ist im Grunde die ideale Version davon: die tatsächliche Richtlinienberechnung direkt auf verschlüsselten Daten auszuführen, ohne sie jemals zu entschlüsseln. Kein Threshold-Entschlüsselungsschritt. Während der Auswertung wird kein Klartext offengelegt.
Außer: Im Moment ist das nur als Forschungsrichtung aufgeführt. Nicht gebaut. Craig Gentrys ursprünglicher FHE-Durchbruch war bereits 2009, und selbst heute ist es immer noch um Größenordnungen langsamer als das Rechnen auf unverschlüsselten Daten. Für Newtons Use Case bestehen die Berechnungen größtenteils aus booleschen Prüfungen und Threshold-Vergleichen. Im Whitepaper steht, dass es in diesem Bereich eher am unteren Ende liegt, aber das ist immer noch ein weiter Weg bis zu etwas, das für den Einsatz in Produktion wirklich praktikabel wäre.
Es gibt also diese ganze Roadmap zwischen dem Punkt, an dem das Datenschutzmodell heute tatsächlich steht, und dem Ziel, das das Whitepaper für später nennt. Die aktuelle Version setzt auf Threshold-Entschlüsselung. Das heißt: Die Daten werden während der Richtlinienauswertung entschlüsselt, statt vollständig verschlüsselt Ende-zu-Ende zu bleiben. Die MPC-Schicht danach soll verhindern, dass während der Auswertung Klartext rekonstruiert wird. FHE danach würde es ermöglichen, die Richtlinie selbst direkt auf verschlüsselten Daten auszuwerten und damit die Notwendigkeit für interaktives MPC zu entfernen.
Man kann schon Respekt dafür haben, dass sie offen damit umgehen, dass es sich um eine mehrjährige Forschung handelt, statt so zu tun, als sei das schon nah. Aber es bedeutet auch: Wenn Menschen „datenschutzfreundlich“ lesen, lohnt es sich zu fragen, welches Datenschutzmodell sie „tatsächlich heute“ bekommen – im Vergleich zu dem, worauf die Roadmap hinarbeitet.
Ich frage mich, wie viele Menschen, die dieses System nutzen, wirklich wissen, dass es zwischen diesen beiden Dingen einen Unterschied gibt, oder ob es einfach als eine pauschale Datenschutzzusage gelesen wird.
Viele gehen davon aus, dass die Regeln eines Smart Contracts nach der Bereitstellung ausreichen, um Nutzer und Vermögenswerte sicher zu halten. Bei Protokollen, die bedeutendes Kapital verwalten, gibt es jedoch viele der wichtigsten Schutzmaßnahmen weiterhin außerhalb der Blockchain.
Ich habe mir angesehen, wie <c-1/> @NewtonProtocol damit umgeht. Anstatt sich auf Offchain-Checklisten oder manuelle Aufsicht zu verlassen, ermöglicht es, Richtlinien Onchain durchzusetzen, bevor eine Transaktion die Abwicklung erreicht. Diese Richtlinien können Compliance, Identität, Sicherheit und Risiko abdecken und so Teil des Ausführungsablaufs sein – statt eine bloße Nebensache zu sein.
Das verändert die Abwägung. Anstatt darauf zu vertrauen, dass jede Anwendung ihre eigenen Kontrollen implementiert und pflegt, können Protokolle auf eine gemeinsame Autorisierungsebene verweisen, die Transaktionen anhand von aCtive-Richtlinien bewertet, bevor sie fortfahren. Theoretisch macht das die Durchsetzung konsistenter über verschiedene Anwendungen hinweg.
Der spannende Teil ist das Management von Richtlinien im Zeitverlauf. Risikobedingungen ändern sich, Compliance-Anforderungen entwickeln sich weiter, und Sicherheitsbedrohungen tauchen ohne Vorwarnung auf. Die Herausforderung besteht nicht nur darin, Richtlinien Onchain durchzusetzen, sondern sie zu aktualisieren, ohne Unsicherheit darüber zu erzeugen, welche Regeln aktiv waren, als A eine Transaktion autorisiert wurde.
Ich sage nicht, dass das ein Mangel ist. Es ist einfach die Art von Designannahme, auf die es sich lohnt zu achten. Eine Autorisierungsebene ist nur so nützlich wie die Zuverlässigkeit und Transparenz der Richtlinien, die sie durchsetzt.
Ich würde gerne wissen, wie Newton vorhat, den schnellen Richtlinien-Updates mit dem Bedarf an vorhersehbaren und prüfbaren Autorisierungsentscheidungen in Einklang zu bringen.
Eine Beweis-Engine für jede Policy, nicht ein Schaltkreis pro Regel.
Ein Zero-Knowledge-Beweis bedeutet normalerweise, dass jemand einen sehr spezifischen Schaltkreis für genau eine sehr spezifische Sache gebaut hat. Ein Beweis dafür, dass ein Guthaben über einer Zahl liegt. Ein Beweis dafür, dass eine Abstimmung korrekt ausgezählt wurde. Eine einzige eng umrissene Aufgabe, ein maßgeschneiderter Schaltkreis nur dafür – und wenn du etwas anderes beweisen willst, fängst du im Grunde von vorn an. Newtons Streitsystem funktioniert nicht so, und es hat mich eine Minute gekostet, um tatsächlich zu verstehen, warum. Statt für jede Person, die eine Richtlinie schreibt, einen neuen Schaltkreis zu bauen, haben sie die gesamte Rego-Policy-Engine übernommen – den eigentlichen Interpreter, der Compliance-Regeln ausführt – und das Ganze in eine allgemeine, zweckfreie zkvm (Zero-Knowledge Virtual Machine) kompiliert. Jede in Rego geschriebene Policy, wie z. B. eine Sanktionsprüfung, eine Geschwindigkeitsbegrenzung oder eine mehrstufige Regel zur Anspruchsberechtigung, egal was es ist, wird dadurch automatisch beweisbar. Keine neue Schaltkreisarbeit pro Policy erforderlich. Nicht jede einzelne Regel wurde beweisbar gemacht, sondern die Engine selbst.
Menschen nehmen an, dass Dezentralisierung bedeutet, dass niemand den Verkehr steuert. Das stimmt normalerweise nicht. Auch in dezentralen Systemen braucht es etwas, das Anfragen koordiniert.
Ich habe mir angesehen, wie Newton das mit seinem Gateway handhabt. Heute orchestriert ein einzelnes Gateway Anfragen zwischen den Betreibern. Das ist funktional zentralisiert.. auch wenn das Operator-Netzwerk die Richtlinien darunter dezentral evaluiert.
Die Zielarchitektur ändert das. In jedem Epoch rotiert die Gateway-Rolle zwischen den Betreibern, und zwar mit einer VRF-basierten Leader-Auswahl, ähnlich wie beim Ethereum-Block-Proposer-Modell. So wird verhindert, dass ein Betreiber sich im Laufe der Zeit stillschweigend zum standardmäßigen Koordinator entwickelt.
Für mich ist das eine Art Designentscheidung, die prüft, ob ein Netzwerk in der Praxis dezentral ist—nicht nur auf dem Papier. Jeder kann einen Operator betreiben, aber wenn ein Gateway dauerhaft an Ort und Stelle bleibt, sammelt sich zwangsläufig ein gewisses Maß an „Soft Power“ an.
Es ist erwähnenswert, dass diese Rotation noch nicht live ist. Vorerst ist das Gateway bewusst eingeschränkt. Es kann keine Signaturen fälschen oder Ergebnisse ändern, ohne dass dies erkannt wird, und es gibt einen Mechanismus zur Zwangsaufnahme („force inclusion“), falls Zensur vermutet wird.
Die interessante Frage ist, wie groß die Vertrauenslücke aussieht, bis die Gateway-Rotation live geht. Ist das heutige einzelne Gateway nur eine praktische Implementierungsdetails, oder führt es mehr Vertrauen ein, als die Leute realisieren?
Ich komme immer wieder auf dieses Ding zurück. Die Leute verbringen Stunden damit, darüber zu streiten, ob eine automatisierte Strategie klug genug ist, um ihr zu vertrauen. Fast niemand streitet darüber, wo sie aufhören sollte, überhaupt handeln zu dürfen. Diese Lücke wirkt auf mich seltsam.
Ich habe die Doku zum Newton Protocol wieder gelesen, und genau dieser Teil hat wirklich hängen geblieben – nicht die Seite mit der Automatisierung. Die Idee, dass die Grenzen für einen Agenten ein eigenes Designproblem sind. Nicht etwas, das man herausfindet, nachdem es schon läuft.
Also führt der Agent nicht einfach aus. Er führt innerhalb von Grenzen aus, die du bereits festgelegt hast. Klar. Aber versuch mal wirklich, diese Grenzen aufzuschreiben, und schau, wie weit du kommst.
Denn das Schwierige war nie wirklich der Agent. Es ist die Frage, ob du jede Entscheidung benennen kannst, die du nicht getroffen haben willst – ohne dass es ohne dich passiert. Denke, die meisten können das nicht. Ich definitiv auch nicht sauber. Und die Regeln, die du heute aufschreibst, werden wahrscheinlich nicht die sein, die in sechs Monaten Sinn ergeben. Also willst du etwas Programmierbares, aber nicht Fixiertes – was im Grunde danach klingt, nach zwei entgegengesetzten Dingen gleichzeitig zu verlangen.
Bin nicht sicher, ob Newton Mainnet Beta überhaupt Automatisierung testet. Vielleicht wird eher getestet, ob du Aktionen delegieren kannst, ohne dabei langsam die Kontrolle aus der Hand zu geben.
Ein geleakter Schlüssel war früher das ganze Problem.
Menschen behandeln den privaten Schlüssel einer Wallet so, als wäre das das ganze Sicherheitsmodell. Wenn man den Schlüssel verliert, ist alles weg. Halte ihn sicher, dann bist du auf der sicheren Seite. Das ist im Grunde das komplette Denkmodell, das die meisten Menschen mit sich herumschleppen, ohne es jemals wirklich zu hinterfragen. Aber das stimmt heutzutage so nicht mehr, wenn man sich tatsächlich anschaut, wie die Gelder mittlerweile abgezogen werden. Es ist selten, dass jemand einen Schlüssel rät oder irgendetwas per Brute-Force durchprobiert. Es ist eine signierte Transaktion, die durchgeht, obwohl sie in erster Linie niemals hätte erlaubt werden dürfen. Der Schlüssel wurde nicht einmal die Hälfte der Zeit gestohlen; er wurde einfach von etwas verwendet, dem man nicht hätte vertrauen dürfen, von einer Freigabe, die niemand sorgfältig gelesen hat, von einer Contract-Interaktion, die auf den ersten Blick unauffällig aussah.
Menschen nehmen oft an, dass, wenn ein Protokoll auf einer Kette funktioniert, das Bereitstellen an einem anderen Ort größtenteils eine Copy-and-Paste-Angelegenheit ist. Bei allem, was von echter ökonomischer Sicherheit abhängt, ist das in der Regel nicht so.
Ich habe mir angesehen, wie @NewtonProtocol aApproaches das tut. Anstatt dass Betreiber sich unabhängig voneinander auf jeder unterstützten Kette registrieren, registrieren sie sich einmal auf Ethereum über EigenLayer. Ihre Registrierung, ihr Stake und ihre Operator-Metadaten werden dann mit den Zielketten synchronisiert, die Newton unterstützt. Das bedeutet, dass unterstützte Ketten auf denselben Operator-Set zurückgreifen können, statt separate Validator- oder Operator-Gruppen mit unterschiedlichen Vertrauensannahmen aufzubauen.
Das verändert die Abwägung. Anstatt Sicherheitsinfrastruktur auf jeder Kette zu duplizieren, nutzt das Protokoll eine gemeinsame Sicherheitswurzel wieder. Theoretisch ermöglicht das Anwendungen ein konsistenteres Sicherheitsmodell über verschiedene Bereitstellungen hinweg.
Der spannende Teil ist die Synchronisationsschicht. Operator-Registrierungen, -Entfernungen oder Slashing-Ereignisse müssen korrekt an jede Zielkette weitergegeben werden. Wenn dieser Prozess verzögert ist, könnte eine Kette vorübergehend mit veralteten Operator-Infos arbeiten, während eine andere bereits aktualisiert hat.
Ich sage nicht, dass das ein Mangel ist. Es ist einfach genau die Art von Annahme über Ketten hinweg, auf die man achten sollte. Das Sicherheitsmodell hängt nicht nur von Ethereum ab, sondern auch davon, wie zuverlässig diese Updates über die Zeit hinweg synchron bleiben.
Mich würde interessieren zu wissen, ob jemand Szenarien unter Stress getestet hat, in denen eine Zielkette hinterherhinkt, während die anderen vollständig synchronisiert bleiben.
„Der Preis, den niemand sah, aber dem trotzdem alle vertrauten“
„Eine Zahl, die niemand wirklich gesehen hat, der aber trotzdem alle vertrauen“ die risikopolice eines vaults muss so etwas wie die oracle-gesundheit prüfen, bevor sie eine transaktion durchlässt. scheint einfach genug: den preis holen, die prüfung ausführen ... durchgefallen oder bestanden. nur dass newton ihn nicht einfach von einer einzigen stelle abruft. jeder operator ruft diesen preis unabhängig ab, über seine eigene verbindung, seinen eigenen pfad. die idee dahinter ist, dass kein einzelnes feed-dataset zum „ding“ wird, dem alle blind vertrauen. das ergibt als design-entscheidung auch sinn. das problem ist, dass, wenn alle getrennt abrufen, sie nicht alle auf exakt dieselbe zahl kommen. der eine operator bekommt 1,001, der andere 0,998. kleine differenzen, aber trotzdem anders. und da alle das gleiche ergebnis freigeben müssen, damit die attestierung tatsächlich funktioniert, muss jemand das in eine einzige zahl übersetzen. newtons antwort lautet: es wird der median über alles berechnet, was zurückkam, und das wird zur zahl, gegen die die policy läuft.
Krypto verifiziert jede Transaktion. Aber wer verifiziert die Entscheidung?
Krypto verifiziert jede Transaktion. Aber wer verifiziert die Entscheidung? Die meiste Zeit dachte ich, dass der schwierigste Teil von Krypto bereits gelöst war. Eine Transaktion wird signiert, im Netzwerk ausgesendet, vom Netzwerk verifiziert und onchain aufgezeichnet. Wenn die Blockchain sie akzeptiert, dann muss ja alles in Ordnung sein... oder? Je mehr ich darüber nachdachte, desto mehr wurde mir klar, dass die Blockchain nur eine Frage beantwortet: "Ist diese Transaktion gültig?" Sie stellt nie eine andere Frage, die vielleicht sogar noch wichtiger ist: "Soll diese Transaktion überhaupt stattfinden?"