Eu apreciaria comentários e críticas sobre uma arquitetura de privacidade que venho explorando, chamada GhostShard.
Papel:
https://giantgun.github.io/the-ghost-whale-practical-privacy-with-selective-diclosure-on-the-post-pectra-evm/
Implementação:
https://github.com/giantgun/ghost-shard-protocol
Isenção de responsabilidade: a implementação é um protótipo de pesquisa não auditado.
Motivação
A maioria dos sistemas de privacidade no Ethereum concentra-se na redução da visibilidade.
Os exemplos incluem:
Embora estes sistemas difiram substancialmente, muitas vezes partilham um objectivo comum: ocultar informações dos observadores.
GhostShard explora uma hipótese diferente:
A perda de privacidade pode ser melhor entendida como uma reconstrução bem-sucedida da propriedade, em vez de uma simples exposição de informações.
Um observador raramente atua diretamente sobre os dados brutos do blockchain.
Em vez disso, observam sinais e tentam reconstruir estruturas ocultas:
Transações
→ Propriedade
→ Identidade
→ Relacionamentos
→ Padrões Comportamentais
Nesta perspectiva, a perda de privacidade ocorre quando a reconstrução é bem sucedida.
Isso levanta uma questão:
A privacidade pode ser melhorada interrompendo a própria reconstrução da propriedade, em vez de ocultar informações?
Observação
O Bitcoin deriva grande parte de sua privacidade prática da fragmentação de propriedade.
Os activos são distribuídos por muitos produtos independentes, em vez de serem acumulados numa conta persistente.
O modelo de conta da Ethereum produz naturalmente o efeito oposto.
Com o tempo, os ativos, a participação na governança, a identidade social, as interações de aplicativos e o histórico de transações acumulam-se sob um endereço persistente.
Esta superfície de atribuição persistente permite uma reconstrução de propriedade cada vez mais precisa.
Muitas inferências de ordem superior emergem dessa persistência.
Fragmento Fantasma
GhostShard investiga se os desenvolvimentos recentes de EVM tornam prática a fragmentação de propriedade dentro do modelo de conta.
A arquitetura combina:
-
Endereços furtivos ERC-5564 para recepção de propriedade privada
-
Execução delegada EIP-7702 para comportamento EOA programável
-
Fragmentos de propriedade descartáveis (“fragmentos”)
-
Construção de transação muitos para muitos
-
Mecanismos de divulgação seletiva
Em vez de manter a propriedade dentro de uma conta persistente, a propriedade é decomposta em contas furtivas descartáveis.
Cada gasto consome fragmentos de propriedade e cria novos fragmentos.
Com o tempo, a continuidade da propriedade torna-se cada vez mais difícil de estabelecer.
O protocolo não tenta esconder a existência de ativos.
Não tenta esconder que ocorrem transferências.
Em vez disso, tenta fazer com que a reconstrução da propriedade fracasse.
Pergunta de pesquisa
A questão central da pesquisa é:
A fragmentação da propriedade é em si uma primitiva de privacidade significativa?
Mais especificamente:
-
A privacidade pode emergir da topologia de propriedade em vez do estado oculto?
-
A reconstrução da propriedade pode ser interrompida sem exigir equilíbrios protegidos?
-
A privacidade pode ser alcançada preservando os ativos EVM padrão e a capacidade de composição?
-
A divulgação seletiva pode coexistir com a fragmentação da propriedade?
Privacidade como geração de ambigüidade
Uma perspectiva que surgiu durante o desenvolvimento é que os sistemas de privacidade podem ser compreendidos não apenas pelas informações que ocultam, mas também pelas perguntas que impedem os observadores de responder.
Em vez de criar um único conjunto de anonimato, o GhostShard tenta introduzir ambiguidade em múltiplas camadas de reconstrução de propriedade.
| Camada de Ambiguidade | Pergunta do observador |
|---|---|
| Ambiguidade de partição | Quais resultados são pagamentos do destinatário e quais são alterações do remetente? |
| Ambiguidade de propriedade | Quais fragmentos de propriedade do destinatário pertencem ao mesmo destinatário? |
| Ambiguidade de valor | Quais fragmentos representam coletivamente um valor lógico de pagamento? |
| Ambiguidade Temporal | Quais transações e gastos futuros pertencem ao mesmo participante? |
O objetivo não é necessariamente tornar a informação invisível.
Em vez disso, o objectivo é tornar a reconstrução cada vez mais incerta, forçando os observadores a navegar simultaneamente por múltiplas camadas de ambiguidade independentes.
Uma maneira útil de pensar sobre a arquitetura é que cada camada de ambiguidade compõe a incerteza introduzida pelas outras.
Um observador pode identificar uma transação.
Eles podem identificar uma coleção de resultados.
Eles podem estimar o valor transferido.
No entanto, estabelecer uma narrativa completa de propriedade requer a resolução simultânea e bem-sucedida de partição, propriedade, valor e ambiguidade temporal.
A hipótese central é que a privacidade emerge não de um único mecanismo de ocultação, mas do efeito cumulativo da ambiguidade não resolvida em múltiplas dimensões da reconstrução da propriedade.
Eu estaria particularmente interessado em comentários sobre se a geração de ambiguidade é uma estrutura útil para avaliar sistemas de privacidade e se essas camadas de ambiguidade resistem significativamente às técnicas modernas de análise de gráficos.
Hipótese de UX
Uma segunda hipótese é que a adoção da privacidade pode, em última análise, ser limitada mais pelo comportamento do utilizador do que pela criptografia.
Muitos sistemas de privacidade exigem que os usuários executem conscientemente ações de preservação da privacidade:
-
Insira um pool de privacidade
-
Faça uma ponte para um domínio de privacidade
-
Mantenha a disciplina do anonimato
-
Evite erros ao sair
Na prática, a privacidade torna-se algo que os utilizadores devem lembrar-se continuamente de fazer.
GhostShard explora a direção oposta:
A privacidade pode emergir de padrões de uso comuns em vez de ações explícitas de privacidade?
Se a fragmentação da propriedade estiver integrada no próprio modelo de propriedade, a privacidade poderá tornar-se uma consequência padrão da participação, em vez de uma actividade especializada.
Perguntas abertas
Eu apreciaria muito o feedback sobre qualquer um dos seguintes:
-
A fragmentação da propriedade é uma primitiva de privacidade significativa, independente das abordagens de estado protegido?
-
Existem sistemas que exploram modelos de topologia de propriedade semelhantes?
-
Quais são os ataques de análise gráfica mais fortes contra esta arquitetura?
-
Como a privacidade deve ser medida em sistemas focados na resistência à reconstrução?
-
A fragmentação da propriedade perturba significativamente a inferência de ordem superior (identidade, relacionamento, reconstrução comportamental)?
-
Quais são as premissas de segurança mais importantes introduzidas pelos projetos baseados em EIP-7702?
-
Existem melhorias no nível do protocolo que poderiam tornar este espaço de design mais viável?
Aceito críticas, análises de ataque e perspectivas alternativas.
Fontesethresear
