Stefan Dziembowski: Niewiele osób na świecie wie, co dokładnie siedzi w kryptowalutach

Zainwestował pan w jakieś kryptowaluty?

Nie. W kwestiach finansowo-spekulacyjnych pozostaje sceptyczny i konsekwentnie trzymam się swojej pozycji. Poza tym, wychodzę z założenia, że każdy powinien zarabiać na tym na czym się zna, a ja nie aspiruję do bycia ekspertem od spekulacji finansowych. Także nie inwestuję aktywnie, choć czasem dostaję jakieś tokeny za konsultacje dla firm z branży kryptowalutowej.

Może pan zdradzić nazwy tych firm?

Jestem m. in. oficjalnym doradcą firmy Raiden Network. Rozwijają offchain na Ethereum.

Projektów cały czas przybywa, choć wielu wieściło kryptowalutom rychły koniec. Jak pan ocenia technologiczne zmiany w tej branży na przestrzeni ostatnich 12 miesięcy?

Pod względem technologii nie doszło do jakiegoś przełomu. Wszystko wciąż pozostaje w fazie testów, a pomysłów do testowania nie brakuje. W całym ekosystemie kryptowalut zachodzą niewątpliwie ciekawe zmiany. W szczególności te, które dotyczą Ethereum i smart kontraktów. Ostatnio byłem przez 1,5 miesiąca na Uniwersytecie Kalifornijskim w Berkeley, odbyłem sporo ciekawych dyskusji i jako kryptograf mam pewną refleksję. Otóż to, co 10 lat temu było naukową ciekawostką, teraz powoli wkracza do mainstreamu. Rozwiązania ze sfery teoretycznej coraz częściej trafiają w ręce praktyków.

Jakiś konkretny przykład?

Mam na myśli m. in. protokoły z wiedzą zerową (ZK, od ang. zero knowledge), a w szczególności ich nieinteraktywne wersje, rozwijane w wariantach ZK-SNARK i ZK-STARK. I choć te rozwiązania rozwijane były już od lat 80-tych, to wówczas praktycy uważali to raczej za filozofię, a nie informatykę.

Na czym one mniej więcej polegają?

Dowody z wiedzą zerową polegają na tym, że dowodzę zaistnienia pewnego faktu, nie podając dowodu. W matematyce dowód to ciąg wyrażeń logicznych, gdzie jedno wynika z drugiego. Protokoły ZK zmieniają to w taki sposób, że dodają pojęcie interakcji i dowodzenie jest rozmową między dwiema stronami, gdzie jedna jest dowodzącym, a druga weryfikującym. W teorii dowolny fakt, który jest prawdziwy, może być dowiedziony w taki sposób, że ja nie podam samego dowodu, ale przekonam pana, że fakt jest prawdziwy. Załóżmy przykładowo, że chce panu udowodnić, że jakieś twierdzenie matematyczne jest prawdziwe. Nie wysyłam panu jednak dowodu na papierze, tylko dyskutujemy drogą mailową. Po takiej interakcji pan jest przekonany, że twierdzenie jest prawdziwe, choć nie poznał pan formalnego dowodu.

A jak to się ma do praktyki?

Najprościej sobie to wyobrazić tak, że przychodzę do sklepu monopolowego i muszę udowodnić, że mam skończone 18 lat. Posiadam oficjalny dokument na którym moja data urodzenia jest elektronicznie podpisana przez odpowiedni urząd, ale nie chcę ujawnić tej daty. Przy pomocy protokołu ZK mogę przekonać sprzedawcę, że jestem pełnoletni, bez ujawniania mojego dokładnego wieku. Dzięki ZK można dokładnie kontrolować, co się ujawnia. W powyższym przypadku sprzedawca poznaje tylko jeden „bit" informacji: czy jestem pełnoletni czy nie. W wersji nieinteraktywnej nie ma żadnej rozmowy, interakcja jest zminimalizowana do wysłania tylko jednego dowodu.

Jakie to ma zastosowanie w kryptowalutach?

Z takich protokołów korzysta m.in. Zcash, którego twórcom zależy na tym, by osoby postronne wiedziały o transakcji jak najmniej. Chodzi po prostu o zachowanie anonimowości. Gdy 10 lat temu przychodziliśmy do bankierów z propozycją wykorzystania ZK, to oni nie widzieli w tym praktycznych zastosowań. Dlaczego? Bo bank i tak wie wszystko o swoim kliencie, a klient bezwzględnie ufa bankowi. W związku z tym nie było potrzeby stosowania tak zaawansowanych protokołów. Natomiast w kryptowalutach zaufania jest znacznie mniej, bo nie ma centralnego zarządcy i ludzie zupełnie się nie znający zawierają ze sobą transakcje. Dlatego pojawiła się tutaj nisza, w której ZK można wykorzystywać. To protokół dość zaawansowany i cieszy mnie to, że znalazł praktyczne zastosowanie.

Zcash jest dopiero 33 w rankingu kapitalizacji na stronie coinpaprika.com. Czy ten technologiczny postęp, który się w nim odbywa skazuje go na przesuwanie się w tym rankingu wyżej?

Nie jestem dobrym prognostą, więc trudno mi powiedzieć. Muszę jednak przyznać szczerze, że cała branża kryptowalut cały czas jest, nazwijmy to – w wersji beta. Dobrze pokazała to historia związana z Zcash. Choć za projektem tym stoją bardzo dobrzy naukowcy, to w 2018 r. okazało się, że w protokole jest poważny błąd, wynikający z tego, że w pewnym dowodzie bezpieczeństwa jego autor się pomylił. Odkrył to Ariel Gabizon pracujący dla Zcasha. Błąd był na tyle poważny, że pozwalał ukraść pieniądze z tego projektu. To wszystko było naprawiane w tajemnicy i w parę miesięcy udało się błąd zlikwidować. Nie chciano tego ujawniać, więc oficjalnie była to tylko aktualizacja systemu. Poinformowano tylko tych, którzy z tego protokołu korzystali w swoich projektach. To było bardzo problematyczne, bo przecież w modelach open source wszystko musi być jawne. Paradoksalnie zadziałało tutaj coś, co się uważane jest za bardzo złą praktykę w kryptografii, czy tzw. security by obscurity (bezpieczeństwo przez niejawność): okazuje się, że kryptografia zastosowana w Zcashu jest tak trudna, że niewiele osób na świecie ją rozumie. Więc mówiąc wprost – system był bezpieczny mimo błędu, bo i tak nikt nie wiedział o co dokładnie chodzi. Oczywiście po załataniu błędu to wszystko zostało ujawnione, ale dopiero na początku 2019 r. Ciekawostką jest to, że nie ma 100-proc. pewności, że żadne środki nie zostały wyprowadzone, bo tak duży jest poziom anonimowości w tej kryptowalucie...

Wygląda na to, że kryptowaluty to w wielu aspektach wciąż „Dziki zachód".

Historia tego błędu jest bardzo pouczająca. Bo skoro Zcasha opracowują naprawdę świetni ludzie i oni robią tak poważne błędy, to co dopiero z innymi altcoinami, za którymi często stoją amatorzy... Niestety zdarzają się przypadki w tej branży, że ludzie biorą kody opracowane przez akademików, ale nie sprawdzone dokładnie pod względem bezpieczeństwa, i implementują to w praktyce, często pozyskując na to środki w ramach ICO. Dlatego wydaje mi się, że będziemy świadkami wielu takich subtelnych błędów, które w tej chwili są niewykrywane, bo zbyt mało ludzi to dokładnie rozumie. Ponadto tych projektów jest masa, więc gdybyśmy chcieli je wszystkie dokładnie sprawdzić, to zajęłoby to mnóstwo czasu.

Niestety doszło do tego, że ludzie których cała wiedza z kryptografii oparata jest na lekturze jednej książki Bruce'a Schneiera zabierają się za tworzenie protokołów i wprowadzenie własnych projektów. Tymczasem, żeby się za to poważnie zabrać to potrzebny jest zespół kryptografów i przede wszystkim cierpliwość. To jest praca która nie znosi pośpiechu, tymczasem w tej branży co chwilę słyszymy o jakichś nowościach i rewolucyjnych rozwiązaniach.

Jakiś przykład?

Chociażby algorytm konsensusu Proof of Stake. Naukowcy piszą na ten temat długie prace i analizują jego wykorzystanie w różnych wariantach. I okazuje się, że wcale nie jest to recepta na wszystkie bolączki. Tymczasem co jakiś czas pojawiają się informacje, że ktoś gdzieś wprowadza POS i ma to być istotna zmiana na lepsze.

Przecież przymierza się do tego Ethereum.

No właśnie, ale mimo zapowiedzi cały czas nie przeszli na POS. Wygląda na to, że wiedzą, że takich zmian nie można robić na „łapu capu". Zwłaszcza, gdy mowa jest o zastosowania finansowych.

Vitalik Buterin wyrasta na kryptowalutowego menedżera, który zyskał spory autorytet. Dlatego wiele osób wiąże z Ethereum duże nadzieje. Niektórzy uważają wręcz, że przejmie rolę lidera, która wciąż należy do bitcoina.

Buterin stał się swoistym celebrytą. Wystarczy, że napisze czy powie coś pozytywnego o jakimś projekcie i nagle jego wycena wyraźnie wzrasta. Co ciekawe, gdy ogłosiliśmy nasz projekt offchainowy – Perun, to Vitalik napisał o nas ciepłe słowo na jednym z forów. Natychmiast mnóstwo ludzi założyło, że będziemy robić ICO, choć tego nie było w planach. Najlepsze było to, że ktoś ukradł nasz projekt – tzn. wziął nasze twarze i nazwiska, opracował white paper i zaczął zbierać pieniądze. Oczywiście poinformowaliśmy o tym społeczność, ale to pokazuje, jak niewiele trzeba, by takie ICO uruchomić. Ja przyznam szczerze, że źle się czuje z tym, gdy mam zbierać od ludzi pieniądze na coś, co do czego nie jestem pewien, że przyniesie oczekiwany zwrot. Zwłaszcza, że w przypadku Peruna nie mieliśmy wówczas modelu biznesowego, a tylko pomysł na protokół.

Czy poza Zcash zna pan inne projekty, w których również mocno zaangażowanie są naukowcy?

Takim znanym przykładem jest Cardano. Co ciekawe zdarza się, że najpierw praktycy coś wymyślą, a potem naukowcy piszą o tym prace, formalizują i sprawdzają, czy to jest dobrze zrobione. Tak było z protokołem Mimble Wimble. Zdarzają się też sytuacje, że naukowcy publikują jakieś swoje odkrycie, a okazuje się, że jakiś czas temu ktoś pisał już o tym na forum typu bitcointalk. Niestety praktycy często publikują coś w formie tzw. white paper i na zasadzie „rzucam pomysł, a wy go łapcie". To jest nierzadko tak słabo przygotowane, że trudno zrozumieć, co autor miał na myśli. Jest to zbyt ogólne i niedokładne. Tymczasem w protokołach kryptograficznych istotne są właśnie szczegóły i subtelności. Proszę sobie wyobrazić, że dowód bezpieczeństwa jakiegoś protokołu potrafi mieć 50 stron i jest to raczej nudna lektura. Dochodzi więc do tego, że nikt poza autorem pracy tego nie czyta. Efekt jest taki, że łatwiej tutaj o błąd. Dlatego część zespołów (w tym mój) bada obecnie możliwość wykorzystania automatycznych narzędzu do formalnej weryfikacji bezpieczeństwa.

Dlaczego naukowcy tak mocno angażują się w te kryptowalutowe projekty? Czy ambicją takiego zespołu Zcasha jest wyparcie walut fiducjarnych? Czy chodzi tylko o pewne pole doświadczalne, na którym opracuje się rozwiązania dla wielkich koncernów?

Myślę, że przede wszystkim napędza ich to, że nagle świat zainteresował się tym, co oni w tych swoich laboratoriach robią. Ponadto część ludzi sporo na tym zarabia. Są dwa skrajne obrazy – w pierwszym naukowcy robią coś tylko po to, by bezinteresownie ulepszać świat, w drugim chodzi im tylko o pieniądze. Ale jest jeszcze coś, czego wiele osób nie rozumie. Mianowicie – naukowców bardzo interesuje sława. I nie chodzi tu o rozpoznawalność w całym społeczeństwie, ale o rozpoznawalność w konkretnej społeczności naukowej. Taką sławę zapewniają rozwiązania naukowe, które weszły do powszechnego użytku. Przykładem jest algorytm Rivesta-Shamira-Adlemana, czyli RSA. Z tego typu szyfrowaniem spotyka się pan niemal na każdym kroku. To jest coś czego nie da się porównać do, dajmy na to 20 publikacji w topowych czasopismach naukowych. Tak naprawdę każdy naukowiec gdzieś w głębi duszy ma nadzieję, że zrobi coś, co będzie miało ogromy wpływ na daną dziedzinę.

A więc pomimo forumowej amatorszczyzny, błędów w protokołach, czy fałszywych ICO, świat nauki konsekwentnie dba o to, by postęp technologiczny w tej branży trwał i przynosił realne efekty?

Tak. I to bardzo napędza rozwój kryptografii. Doszło do tego, że Vitalik Buterin chwali na swoim blogu protokół ZK i nagle znajduje się ktoś, kto chce to implementować. Dekadę temu to było nie do pomyślenia. Przeskok od „to jest filozofia nie informatyka" do „zastosujmy to w produktach" trwa raptem kilka lat. To ma też niestety swoją złą stronę, bo dzieje się za szybko. Dlatego wspomniałem o tym, że usłyszymy jeszcze o wielu błędach w protokołach.

Błędy pojawiają się w scentralizowanych rozwiązaniach, choć te istnieją od dawna. To chyba całkiem normalne zjawisko.