🍙 🎅🏽 📨 الفصام المعماري 📢 🌏 👨🏾‍🚒

بعد عامين ، عدت إلى المدونة للحصول على منشور يختلف عن المحاضرات المملة المعتادة حول هاسكل والرياضيات. خلال السنوات القليلة الماضية ، تعاملت مع التكنولوجيا المالية في الاتحاد الأوروبي ، ويبدو أن الوقت قد حان لكتابة موضوع لم تهتم به وسائل الإعلام الفنية كثيرًا.

أصدر Facebook مؤخرًا ما يطلق عليه "منصة الخدمات المالية الجديدة" التي تسمى Libra. يتم وضعه كنظام دفع رقمي يعتمد على سلة من العملات الدولية التي تتم إدارتها على أساس "blockchain" ويتم تخزينها في صندوق النقدية المشترك المدار من سويسرا. أهداف المشروع طموحة وتستتبع عواقب جيوسياسية واسعة النطاق.

لدى الفاينانشيال تايمز ونيويورك تايمز الكثير من المقالات المعقولة حول الافتراضات النقدية والاقتصادية غير المعقولة في قلب النظام المالي المقترح. ولكن لا يوجد ما يكفي من المتخصصين القادرين على التحليل من الناحية الفنية. لا يعمل الكثير من الأشخاص على البنية التحتية المالية ويتحدثون علنًا عن عملهم ، لذلك لا يتم تغطية هذا المشروع بشكل كبير في الوسائط التقنية ، على الرغم من أن عناصره الداخلية مفتوحة للعالم بأسره. أعني المصدر المفتوح في مستودعات منظمة الميزان وكاليبرا .

ما هو مفتوح للعالم هو قطعة أثرية في الفصام مع مطالبة بدور منصة آمنة للبنية التحتية للمدفوعات العالمية.

إذا غرقت في قاعدة الشفرة ، فإن التطبيق الفعلي للنظام يتعارض تمامًا مع الهدف المعلن ، وبالطرق الأكثر غرابة. أنا متأكد من أن هذا المشروع لديه تاريخ مثير للاهتمام للشركة. لذلك ، من المنطقي افتراض أنه تم تطويره ببعض الحماس ، لكن في الحقيقة أرى مجموعة غريبة حقًا من الحلول المعمارية التي تعمل على كسر النظام بأكمله وتعريض المستخدمين للخطر.

لن أطالب برأي موضوعي عن Facebook كشركة. قليل من الناس في صناعة تكنولوجيا المعلومات ينظرون إليها بعين تعاطف. لكن مقارنة تصريحاتها والشفرة المنشورة توضح بوضوح أن الغرض المعلن هو خدعة أساسية. باختصار ، هذا المشروع لا يمكّن أي شخص. سيبقى خاضعًا بالكامل لسيطرة شركة تتشابك أعمالها الإعلانية في الفضائح والفساد إلى درجة أنه ليس لديه خيار سوى محاولة تنويع المدفوعات وتسجيل الائتمان من أجل البقاء. يتمثل الهدف الواضح على المدى الطويل في العمل كوسيط بيانات وسيط في وصول المستهلك إلى الائتمان استنادًا إلى بياناته الشخصية على الشبكات الاجتماعية. هذه قصة مرعبة وقاتمة تمامًا ، والتي لا تولي الاهتمام الذي تستحقه.

نعمة الادخار الوحيدة لهذه القصة هي أن القطع الأثرية التي قاموا بإنشائها مضحكة لدرجة أنها لا تتناسب مع المهمة بحيث لا يمكن رؤيتها إلا كعمل فخر. هناك العديد من الأخطاء المعمارية الأساسية في هذا المشروع:

يعد حل مشكلة الجنرالات البيزنطيين في شبكة من خلال التحكم في الوصول تصميمًا غير متسق

مهمة الجنرالات البيزنطيين هي مجال ضيق للبحث في النظم الموزعة. وهو يصف قدرة نظام الشبكة على تحمل إخفاقات المكونات التعسفية عند اتخاذ الإجراءات التصحيحية الحرجة لعمل النظام. يجب أن تتحمل الشبكة المرنة عدة أنواع من الهجمات ، بما في ذلك إعادة التشغيل والفشل والأحمال الضارة والتصويت الضار في انتخابات القيادة. هذا هو الحل الرئيسي للهندسة المعمارية الميزان ، ومن غير المجدي تماما هنا.

يعتمد مقدار تعقيد الوقت من هذا الهيكل الإضافي على الخوارزمية. هناك الكثير من الكتابات حول أصناف بروتوكولي Paxos و Raft مع حل مشكلة الجنرالات البيزنطيين ، ولكن كل هذه الهياكل تقدم تكاليف إضافية إضافية للتواصل عبر

O (n^{2})

$O (n ^ 2)$ للحفاظ على النصاب القانوني. من أجل الميزان ، اخترنا خوارزمية بأعلى تكلفة ممكنة

O (n^{2})

$O (n ^ 2)$ في حالة فشل القيادة. وهناك حمل إضافي من إعادة انتخاب القادة المحتملة لعدة أنواع من أحداث فشل الشبكة.

بالنسبة إلى نظام يعمل في مجموعة شركات عبر وطنية منظمة للغاية ، حيث يكون لدى جميع المستخدمين رمز موقَّع على موقع Facebook ، ويتم التحكم في الوصول إلى الشبكة بواسطة Facebook ، فليس من المنطقي ببساطة النظر إلى المشاركين الضارين على مستوى الإجماع. من غير الواضح لماذا ، بشكل عام ، يحل هذا النظام مشكلة الجنرالات البيزنطيين ، وليس فقط يحتفظ بسجل تدقيق ثابت للتحقق من الامتثال. إن احتمال أن يبدأ مضيف الميزان ، الذي تديره Mastercard أو Andressen Horrowitz ، فجأة في تشغيل تعليمات برمجية ضارة ، سيناريو تخطيط غريب ويتم حله بشكل أفضل عن طريق ضمان سلامة البروتوكول والوسائل غير التقنية (بمعنى قانوني).

في شهادة للكونجرس ، تم إعلان المنتج منافسًا لبروتوكولات الدفع الدولية الجديدة مثل WeChat و Alipay و M-Pesa. ومع ذلك ، لم يتم تصميم أي من هذه الأنظمة للعمل على مجموعات من المدققين من أجل حل مشكلة الجنرالات البيزنطيين. إنها مصممة ببساطة على حافلة تقليدية عالية الإنتاجية تعمل على توصيل الأسلاك وفقًا لمجموعة ثابتة من القواعد. هذا هو النهج الطبيعي لتصميم نظام الدفع. إن نظام الدفع المصمم بشكل جيد لا يلبي ببساطة مشكلة الإنفاق المزدوج والشوك.

لا تحل النفقات العامة لخوارزمية الإجماع أي مشكلة وتحد فقط من سعة النظام دون سبب آخر غير مجموعة الشحن الخاصة بسلسلة block block العامة ، والتي ليست مخصصة لحالة الاستخدام هذه.

الميزان لا يوجد لديه خصوصية المعاملات

وفقًا للوثائق ، تم تصميم النظام مع مراعاة الاسم المستعار ، أي أن العناوين المستخدمة في البروتوكول يتم الحصول عليها من المفاتيح العامة على المنحنيات الإهليلجية ولا تحتوي على بيانات وصفية حول الحسابات. ومع ذلك ، في أي مكان في وصف الهيكل الإداري للمنظمة أو في البروتوكول نفسه فإنه يشير إلى كيفية إخفاء البيانات الاقتصادية المشاركة في المعاملات عن المدققين. تم تصميم هذا النظام لتكرار المعاملات على نطاق واسع لعدد من الأطراف الخارجية ، والتي ، وفقا لقوانين سرية البنوك الأوروبية والأمريكية القائمة ، لا ينبغي أن تكرس للتفاصيل الاقتصادية.

يصعب تنسيق سياسات البيانات في مختلف البلدان ، لا سيما بالنظر إلى القوانين واللوائح المتباينة في مختلف الولايات القضائية التي لها آراء ثقافية مختلفة بشأن حماية البيانات وخصوصيتها. يكون البروتوكول نفسه افتراضيًا مفتوحًا تمامًا لأعضاء الائتلاف ، وهو عيب فني واضح لا يلبي المتطلبات التي تم تطويرها من أجله.

Libra HotStuff BFT غير قادر على تحقيق النطاق الترددي المطلوب لنظام الدفع

في المملكة المتحدة ، تستطيع أنظمة المقاصة مثل BAC تنفيذ حوالي 580 مليون معاملة شهريًا. في الوقت نفسه ، يمكن للأنظمة المحسنة للغاية مثل Visa معالجة 150،000،000 معاملة يوميًا. يعتمد الأداء على حجم المعاملات وتوجيه الشبكة وتحميل النظام وفحوصات مكافحة غسل الأموال (أنظمة مكافحة غسل الأموال وغسل الأموال).

تحاول الميزان حل المشكلات التي لا تمثل عمليات النقل المحلية مشكلات حقيقية ، حيث قامت الدول القومية بتحديث بنيتها التحتية المقاصة في العقد الماضي. بالنسبة لمستهلكي التجزئة في الاتحاد الأوروبي ، فإن نقل الأموال ليس مشكلة على الإطلاق. على البنية التحتية التقليدية ، يمكن القيام بذلك باستخدام هاتف ذكي قياسي في ثوانٍ. بالنسبة للتحويلات الكبيرة للشركات ، هناك آليات وقواعد مختلفة متعلقة بحركة كميات كبيرة من المال.

لا توجد أسباب تقنية لعدم إمكانية إجراء المدفوعات عبر الحدود على الفور ، باستثناء الاختلافات في القواعد والمتطلبات بين الولايات القضائية المعنية. إذا تم تنفيذ التدابير الوقائية اللازمة (العناية الواجبة للعميل ، والتحقق من العقوبات ، وما إلى ذلك) عدة مرات في مراحل مختلفة من سلسلة المعاملات ، فقد يؤدي ذلك إلى تأخير في المعاملة. ومع ذلك ، فإن هذا التأخير هو وظيفة القانون التنظيمي بحت وتنفيذه ، وليس التكنولوجيا.

بالنسبة للمستهلكين ، لا يوجد سبب لعدم تسوية صفقة في المملكة المتحدة في غضون ثوانٍ. تتباطأ معاملات البيع بالتجزئة في الاتحاد الأوروبي بالفعل على شيكات اعرف عميلك ( KYC ( اعرف عميلك ) وقيود مكافحة غسل الأموال التي تفرضها الحكومات والجهات التنظيمية التي تنطبق على دفعات الميزان على قدم المساواة. حتى إذا تغلب موقع Facebook على العوائق التي تحول دون النقل الدولي للبيانات الخاصة ونقلها ، فإن النموذج المقترح هو مئات السنين من إنتاج المعاملات العالمية ومن المرجح أن تتم معالجته من البداية.

الميزان Move language غير صحيح

تقدم الورقة البيضاء عبارات جريئة حول لغة جديدة لم يتم التحقق منها تدعى Move. هذه العبارات مشكوك فيها إلى حد ما من وجهة نظر نظرية لغات البرمجة (PLT).

Move هي لغة برمجة جديدة لتنفيذ منطق المعاملة المخصص و "العقود الذكية" على الميزان blockchain. نظرًا لأن الميزان يهدف إلى خدمة مليارات الأشخاص يوميًا ، فقد تم تصميم Move بأولوية قصوى في مجال الأمن.

تتمثل الميزة الأساسية لـ Move في القدرة على تحديد أنواع الموارد العشوائية مع دلالات مستوحاة من المنطق الخطي.

في العقود العامة ، تتعارض العقود الذكية مع منطق الشبكات العامة مع حسابات الضمان وغسل الأموال ومسألة الرموز الخارجية والقمار. يتم كل ذلك بلغة سيئة التصميم بشكل مذهل تسمى Solidity ، مما يجعل مؤلف PHP يشبه العبقري من وجهة نظر أكاديمية. من الغريب أن اللغة الجديدة من Facebook لا يبدو أنها لها أي علاقة بهذه التقنيات ، لأنها في الواقع لغة نصية مصممة للمهام الغامضة للشركة.

في دفتر الأستاذ الموزع الخاص ، تعد العقود الذكية أحد المصطلحات التي ينتشرها الاستشاريون دون إيلاء اهتمام خاص للتعاريف أو الأهداف الواضحة. عادة ما يربح مستشاري برامج الشركات أموالًا بسبب الغموض ، والعقود الذكية هي التفسير المنطقي للظلام الظلامي للشركات لأنه يمكن تعريفها حرفيًا على أنها أي شيء.

بعد البيانات حول سلامتها ، يجب أن ننظر إلى دلالات اللغة. تتألف صحة نظرية لغات البرمجة عادة من إثباتين مختلفين: "التقدم" و "الحفظ" ، اللذين يحددان اتساق المساحة الكاملة لقواعد التقييم للغة. وبشكل أكثر تحديدًا ، في نظرية النوع ، تكون الدالة "خطية" إذا كانت تستخدم وسيطة لها مرة واحدة بالضبط ، و "affine" إذا كانت لا تستخدمها أكثر من مرة. يوفر نظام الكتابة الخطية ضمانًا ثابتًا بأن الوظيفة الخطية المعلنة هي خطية حقًا ، حيث تقوم بتعيين الأنواع لجميع التعبيرات الفرعية للوظائف ومواقع تتبع المكالمات. هذه خاصية دقيقة للإثبات ، وليس من السهل تنفيذها للبرنامج بأكمله. لا تزال الكتابة الخطية مجالًا أكاديميًا جدًا للبحث ، وتتأثر بتفرد الأنواع في الملكية النظيفة والملكية في Rust. هناك بعض الاقتراحات الأولية لإضافة أنواع خطية إلى Glasgow Haskell Compiler.

يبدو بيان Move حول استخدام الأنواع الخطية غمرًا غير معقول في برنامج التحويل البرمجي ، نظرًا لعدم وجود منطق للتحقق من هذا النوع . بقدر ما يمكن للمرء الحكم ، تشير الوثيقة الفنية إلى الأدب الكنسي من جيرارد وبيريس ، وفي التنفيذ الفعلي لا يوجد شيء من هذا القبيل.

بالإضافة إلى ذلك ، فإن الدلالات الرسمية للغة المفترض أنها آمنة لا توجد في أي مكان في التطبيق أو في المستند. اللغة صغيرة بما يكفي للعثور على دليل كامل على صحة الدلالات في Coq أو Isabelle. في الواقع ، يمكن تنفيذ المترجم الشامل للتحويل الكامل مع نقل الأدلة إلى الرمز الفرعي باستخدام الأدوات الحديثة التي تم اختراعها في العقد الماضي. نحن نعرف كيفية القيام بذلك ، بدءًا من أعمال جورج نيكولا وبيتر لي عام 1996.

من وجهة نظر نظرية لغات البرمجة ، من المستحيل التحقق من القول بأن Move هي لغة موثوقة وآمنة ، لأن هذه العبارات تنحصر في التلويح والتسويق ، وليس الدليل الفعلي. هذا وضع ينذر بالخطر بالنسبة لمشروع تطوير اللغة الذي يقترح تكليف مليارات الدولارات في معالجة المعاملات.

تشفير الميزان غير صحيح

يعد بناء أنظمة تشفير موثوقة مشكلة هندسية معقدة للغاية ، ومن الأفضل دائمًا علاج الشفرة الخطيرة بجرعة جيدة من جنون العظمة الصحي. هناك اختراقات كبيرة في هذا المجال ، مثل مشروع Microsoft Everest ، الذي يبني مكدس TLS آمنًا يمكن التحقق منه. توجد أدوات بالفعل لإنشاء بدائل يمكن التحقق منها. على الرغم من أنها باهظة الثمن ، إلا أنها من الواضح أنها لا تتجاوز الإمكانيات الاقتصادية لـ Facebook. ومع ذلك ، قرر الفريق عدم المشاركة في المشروع ، أعلن كأساس موثوق للنظام المالي العالمي.

يعتمد مشروع libra على العديد من المكتبات الجديدة إلى حد ما لإنشاء أنظمة تشفير تجريبية ، والتي ظهرت فقط في السنوات القليلة الماضية. من المستحيل تحديد ما إذا كانت التبعيات على الأدوات التالية آمنة أم لا ، حيث لم تتم مراجعة أي من هذه المكتبات وليس لديها سياسات إفصاح قياسية. على وجه الخصوص ، بالنسبة لبعض المكتبات الرئيسية ، لا يوجد يقين فيما يتعلق بالحماية من الهجمات على قنوات الجهات الخارجية والهجمات الزمنية.

تعد مكتبة libra أكثر تجريبية وتتجاوز النموذج القياسي باستخدام طرق جديدة جدًا مثل الدوال العشوائية القابلة للتحقق (VRFs) والأزواج الثنائية الخط والتوقيعات العتبية. قد تكون هذه الطرق والمكتبات معقولة ، لكن جمعها جميعًا في نظام واحد يثير مخاوف خطيرة بشأن مساحة سطح الهجوم. مزيج من كل هذه الأدوات والتقنيات الجديدة يزيد إلى حد كبير من تعقيد دليل الأمن.

يجب أن نفترض أن مكدس التشفير هذا كامل عرضة للهجمات المختلفة ، حتى يثبت العكس. لا يمكن تطبيق نموذج Facebook المعروف "Move Fast and Break Things" على أدوات التشفير التي تعالج البيانات المالية للعملاء.

الميزان لا يمكنه تنفيذ آليات حماية المستهلك

الميزة المميزة لنظام الدفع هي القدرة على إعادة المعاملة إذا تم إلغاء الدفع عن طريق دعوى قضائية أو أدى إلى فشل عرضي أو نظام. الميزان مصمم ليكون "مكتمل بالكامل" ولا يشمل نوع المعاملة لإلغاء الدفع. في المملكة المتحدة ، تخضع جميع المدفوعات من 100 إلى 30،000 جنيه إسترليني لقانون الائتمان الاستهلاكي. هذا يعني أن نظام الدفع يتقاسم المسؤولية مع البائع في حالة وجود مشكلة مع البضائع المشتراة أو إذا لم يقدم المستفيد الخدمة. تطبق قواعد مماثلة في الاتحاد الأوروبي وآسيا وأمريكا الشمالية.

لا يشتمل التصميم الحالي لـ Libra على بروتوكول للامتثال لهذه القوانين وليس لديه خطة واضحة لإنشائه. والأسوأ من ذلك ، من الناحية المعمارية ، لا تسمح بنية بنية بيانات kernel المصادق عليها ، استنادًا إلى حالة محرك Merkle ، بأي آلية لإنشاء مثل هذا البروتوكول دون إعادة تصميم kernel.

بعد إجراء الفحص الفني لهذا المشروع ، يمكننا أن نستنتج أنه ببساطة لن يجتاز الاختبار في أي مجلة محترمة حول أبحاث النظم الموزعة أو الهندسة المالية. لمحاولة تغيير السياسة النقدية العالمية ، يجب القيام بعدد هائل من العمل الفني لإنشاء شبكة موثوقة ومعالجة آمنة لبيانات المستخدم ، يمكن أن تثق بها السلطات العامة والتنظيمية.

لا أرى أي سبب للاعتقاد بأن Facebook في مشروعها قام بالأعمال اللازمة للتغلب على هذه المشاكل التقنية أو أن لديه بعض المزايا التقنية على البنية التحتية الحالية. التأكيد على أن الشركة تحتاج إلى المرونة التنظيمية للتعرف على الابتكارات ليس عذرًا لعدم صنعها أولاً.