今天下午我在处理系统重构的时候遇到了一个让我非常反胃的需求。
合作方的审计团队要求我们开放API,把过去三个月几百G的底层原
始交易库直接全量同步到他们的机器上。我坐在工位上盯着跑得像
蜗牛一样的传输脚本,心里只觉得极其荒谬。
你们想想看只要数据离开了咱们自己的本地服务器,失控就是迟早
的事。对面那个草台班子的网络防御能有多靠谱。
万一他们的数据库被黑客给拖库了,或者哪个离职员工把权限打包
卖了,咱们平台几百万用户的流水底牌就全在网上裸奔了。到时
候光是应付监管部门的巨额罚款和用户的集体诉讼,就能让一家正
规公司直接原地破产。
我一直对市面上这些所谓的区块链解决方案嗤之以鼻。大家全都在
走极端的弯路。你看以太坊这种老牌公链,执行个合约居然要把业
务明细广播给全网一万个节点跑一遍,这等于直接帮黑客省了拖库
的步骤。
后来又出来一堆主打百万级高并发的高性能公链,天天吹TPS。但
对于企业来说这有个屁用啊。你网速再快,也不过是让你的核心商
业机密在互联网上裸奔得更快而已,竞争对手的爬虫零点一秒就能
把你的底价扒干净。还有那些大厂搞的什么企业级联盟链,说白了
不就是一个加了权限的分布式MySQL数据库吗。
既然几家公司凑在一起选了几个管理员节点,那你们直接拉根专线
建个中心化机房不就完了,搞什么伪去中心化的噱头。
这几天我一直在反复翻看 @MidnightNetwork 的 Kachina 架构白皮
书,用后端开发的底层逻辑,给你们把这个真正属于下一代架构的
底牌扒光。
你们平时做架构肯定懂什么叫读写分离,但 Midnight 搞的是一种更
变态的物理级状态机隔离。它的底层架构里有两个平行的世界,一个
是公共状态也就是全网都能看到的账本,另一个是私有状态也就是你
设备本地的数据库。智能合约在执行的时候是可以同时读取这两个状
态的。
但是重点来了,当你在本地把核心的商业逻辑跑完之后,它绝对不会
把你的私有状态同步到公网上,它只会往公共状态里写入一个零知识
证明和状态变更的记录。你的数据一步都没有离开过你的本地硬盘。
这听起来很简单对吧,但我刚看白皮书的时候脑子里直接蹦出一个极
其头疼的命题,这玩意怎么防重放攻击。你想啊,既然计算全在我本
地的黑盒里完成网络不知道明细,那我能不能拿着同一份转账证明去
链上请求两次提款。
如果你深挖下去你就会发现它的密码学设计有一种冷酷的优雅。每次
本地生成证明的时候,底层电路都会强制基于你的私有数据生成一个
独一无二的废弃符叫 Nullifier。这个废弃符会被记录在公共状态里。
只要你敢重放同一笔交易,节点瞬间就能通过废弃符碰撞把你拦截下
来。它既不看你的原始数据,又用纯数学逻辑完美保证了链上接口的
绝对幂等性。
更让我这种有代码洁癖的人感到极度舒适的,是它的 Compact 语言
编译器。以前你要搞这种零知识证明,你得手工去写极其底层的多
项式约束电路,那根本不是人干的活。但在 Midnight 里,你只需要
写一套类似 TypeScript 的业务代码,它的编译器会在底层直接给你
劈成两半。一半编译成本地的证明者程序跑在客户端,一半编译成
链上的验证者节点跑在公网上。你根本不需要去关心中间复杂的网
络IO和零知识转换,它在底层帮你全干了。
企业和机构真正在乎的,其实就是这种确定性和极其严苛的物理隔
离。我不需要让你看到我的底牌,但我能用数学向你保证我没有违
规。为了完成这个链上验证过程,客户端需要去燃烧 $NIGHT 生成
本地的计算燃料。整个状态流转没有一行多余的废话代码,全都是
精准的机器共识交换。
我最近又做多一笔 $NIGHT
纯粹是因为我作为一个画架构图的人,觉得这种用底层数学去彻底
抹除黑客拖库风险的系统设计,值得我用真金白银去致敬。如果所
有的软件底座都换成这种本地计算出证明的解耦模式,现在互联网
天天数据泄露的破事是不是就能彻底终结。
#NIGHT @MidnightNetwork $NIGHT