وبعد عامين، عدت إلى المدونة لتدوينة تختلف عن المحاضرات المملة المعتادة حول هاسكل والرياضيات. لقد كنت أعمل في مجال التكنولوجيا المالية في الاتحاد الأوروبي خلال السنوات القليلة الماضية ويبدو أن الوقت قد حان للكتابة عن موضوع لم يحظ باهتمام كبير من وسائل الإعلام التقنية.
أصدر فيسبوك مؤخرًا ما يطلق عليه "منصة الخدمات المالية الجديدة" المسماة Libra. يتم وضعه كنظام تسوية رقمي يعتمد على سلة من العملات الدولية التي تتم إدارتها على "سلسلة الكتل" ويتم تخزينها في مجمع أموال يُدار من سويسرا. أهداف المشروع طموحة وتنطوي على عواقب جيوسياسية واسعة النطاق.
В и الكثير من المقالات المعقولة حول الافتراضات النقدية والاقتصادية غير السليمة وراء النظام المالي المقترح. لكن لا يوجد عدد كافٍ من المتخصصين القادرين على التحليل من الناحية الفنية. لا يعمل الكثير من الأشخاص في البنية التحتية المالية ويتحدثون علنًا عن عملهم، لذلك لا يحظى هذا المشروع بتغطية كبيرة في وسائل الإعلام التقنية، على الرغم من أن باطنه مفتوح للعالم. أعني المصدر المفتوح في المستودعات и .
إن ما هو مفتوح للعالم هو عبارة عن قطعة أثرية مصابة بالفصام المعماري وتدعي أنها منصة آمنة للبنية التحتية العالمية للمدفوعات.
إذا تعمقت في قاعدة التعليمات البرمجية، فإن التنفيذ الفعلي للنظام ينحرف تمامًا عن الهدف المعلن، وبأكثر الطرق غرابة. أنا متأكد من أن هذا المشروع له تاريخ مؤسسي مثير للاهتمام. لذلك فمن المنطقي أن نفترض أنه تم تصميمه مع بعض الاجتهاد، ولكن في الواقع أرى مجموعة غريبة حقًا من القرارات المعمارية التي تكسر النظام بأكمله وتعرض المستخدمين للخطر.
لن أدعي أن لدي رأي موضوعي حول فيسبوك كشركة. قليل من الناس في صناعة تكنولوجيا المعلومات ينظرون إليها بتعاطف. لكن المقارنة بين بياناتها والقانون المنشور تظهر بوضوح أن الغرض المعلن خادع في الأساس. باختصار، هذا المشروع لا يمكّن أحداً. وسيظل تحت سيطرة شركة غارقة أعمالها الإعلانية في الفضائح والفساد لدرجة أنه ليس أمامها خيار سوى محاولة تنويع مدفوعاتها وتصنيفها الائتماني من أجل البقاء. الهدف الواضح على المدى الطويل هو العمل كوسيط للبيانات ووسيط في وصول المستهلكين إلى الائتمان بناءً على بياناتهم الشخصية على وسائل التواصل الاجتماعي. هذه قصة مروعة ومظلمة للغاية ولا تحظى بالاهتمام الذي تستحقه.
إن النعمة الوحيدة المنقذة لهذه القصة هي أن القطعة الأثرية التي صنعوها غير مناسبة بشكل مضحك للمهمة التي بين أيديهم بحيث لا يمكن اعتبارها إلا عملاً من أعمال الغطرسة. هناك العديد من الأخطاء المعمارية الرئيسية في هذا المشروع:
حل مشكلة الجنرالات البيزنطيين في شبكة التحكم في الوصول هو تصميم غير متناسق
مشكلة الجنرالات البيزنطيين هي مجال ضيق إلى حد ما لدراسة الأنظمة الموزعة. وهو يصف قدرة نظام الشبكة على تحمل أعطال المكونات العشوائية أثناء اتخاذ الإجراءات التصحيحية الحاسمة لتشغيل النظام. يجب أن تتحمل الشبكة المرنة عدة أنواع من الهجمات، بما في ذلك عمليات إعادة التشغيل وانقطاع الخدمة والأحمال الضارة والتصويت الضار في انتخابات القيادة. هذا هو القرار الرئيسي لهندسة الميزان، وهو لا معنى له على الإطلاق هنا.
يعتمد مقدار التعقيد الزمني لهذه البنية الإضافية على الخوارزمية. هناك الكثير من المؤلفات حول المتغيرات في بروتوكولات Paxos وRaft التي تحل مشكلة الجنرالات البيزنطيين، ولكن كل هذه الهياكل تقدم نفقات إضافية للاتصالات عبر 
للحفاظ على النصاب القانوني. بالنسبة إلى Libra، اختاروا خوارزمية ذات أعلى تكلفة اتصال ممكنة 
في حالة فشل القيادة. وهناك نفقات إضافية من إعادة انتخاب القادة المحتملين عبر أنواع متعددة من أحداث فشل الشبكة.
بالنسبة لنظام يعمل ضمن اتحاد من الشركات المتعددة الجنسيات الخاضعة للتنظيم العالي، حيث يكون لدى جميع المستخدمين كود موقع من قبل فيسبوك ويتم التحكم في الوصول إلى الشبكة بواسطة فيسبوك، فمن غير المنطقي ببساطة النظر في المشاركين الضارين على مستوى الإجماع. ليس من الواضح لماذا قد يحل هذا النظام مشكلة الجنرالات البيزنطيين، بدلاً من مجرد الحفاظ على مسار تدقيق ثابت للتحقق من الامتثال. إن احتمال أن تبدأ عقدة Libra التي تديرها Mastercard أو Andressen Horrowitz فجأة في تشغيل تعليمات برمجية ضارة هو سيناريو غريب يجب التخطيط له ومن الأفضل معالجته ببساطة عن طريق ضمان سلامة البروتوكول والوسائل غير التقنية (أي القانونية).
ووصفت شهادة أمام الكونجرس المنتج بأنه منافس لبروتوكولات الدفع الدولية الجديدة مثل WeChat وAlipay وM-Pesa. ومع ذلك، لم يتم تصميم أي من هذه الأنظمة للعمل على مجموعات التحقق من الصحة لحل مشكلة الجنرالات البيزنطيين. لقد تم تصميمها ببساطة على ناقل تقليدي عالي النطاق يقوم بتوصيل الأسلاك وفقًا لمجموعة ثابتة من القواعد. هذا هو النهج الطبيعي لتصميم نظام الدفع. مصممة بشكل جيد لن يواجه نظام الدفع ببساطة مشكلة الإنفاق المزدوج والشوك.
لا يحل الحمل الزائد لخوارزمية الإجماع أي مشكلة ويحد فقط من إنتاجية النظام دون أي سبب سوى عبادة البضائع الخاصة بـ blockchain العامة، والتي ليست مخصصة لحالة الاستخدام هذه.
ليس لدى Libra خصوصية في المعاملات
وفقا للوثائق، تم تصميم النظام مع الأخذ بعين الاعتبار اسم مستعارأي أن العناوين المستخدمة في البروتوكول يتم الحصول عليها من المفاتيح العامة الموجودة على منحنيات إهليلجية ولا تحتوي على بيانات وصفية حول الحسابات. ومع ذلك، لا يوجد في وصف هيكل الإدارة للمنظمة أو في البروتوكول نفسه ما يشير إلى كيفية إخفاء البيانات الاقتصادية المشاركة في المعاملات عن المدققين. تم تصميم النظام لتكرار المعاملات على نطاق واسع لمجموعة من الأطراف الخارجية، التي بموجب قوانين السرية المصرفية الأوروبية والأمريكية الحالية، لا ينبغي لها أن تكون مطلعة على التفاصيل الاقتصادية.
من الصعب تنسيق سياسات البيانات عبر البلدان، لا سيما في ظل القوانين واللوائح المتباينة في الولايات القضائية المختلفة مع اختلاف وجهات النظر الثقافية حول حماية البيانات والخصوصية. البروتوكول نفسه افتراضيًا مفتوح تمامًا لأعضاء الكونسورتيوم، وهو عيب فني واضح لا يفي بالمتطلبات التي تم تصميمه من أجلها.
Libra HotStuff BFT غير قادر على تحقيق الإنتاجية المطلوبة لنظام الدفع
في المملكة المتحدة، أنظمة المقاصة مثل BAC قادرة على التعامل مع حوالي 580 معاملة شهريًا. وفي الوقت نفسه، يمكن للأنظمة المحسنة للغاية مثل Visa معالجة 000 معاملة يوميًا. يختلف الأداء وفقًا لحجم المعاملة، وتوجيه الشبكة، وتحميل النظام، و (مكافحة غسيل الأموال، مخططات غسيل الأموال).
تحاول عملة ليبرا حل المشكلات التي لا تمثل مشكلات حقيقية للتحويلات المحلية، حيث قامت الدول القومية بتحديث بنيتها التحتية للمقاصة على مدار العقد الماضي. بالنسبة للمستهلكين الأفراد في الاتحاد الأوروبي، لا يمثل نقل الأموال مشكلة على الإطلاق. وفي البنية التحتية التقليدية، يمكن القيام بذلك باستخدام هاتف ذكي قياسي في ثوانٍ. بالنسبة لتحويلات الشركات الكبيرة، هناك آليات وقواعد مختلفة مرتبطة بنقل مبالغ كبيرة من المال.
لا يوجد سبب فني يمنع معالجة المدفوعات عبر الحدود على الفور، بخلاف الاختلافات في القواعد والمتطلبات بين الولايات القضائية ذات الصلة. إذا تم تنفيذ التدابير الوقائية اللازمة (العناية الواجبة تجاه العملاء، والتحقق من العقوبات، وما إلى ذلك) عدة مرات في مراحل مختلفة من سلسلة المعاملة، فقد يؤدي ذلك إلى تأخير المعاملة. ومع ذلك، فإن هذا التأخير هو مجرد وظيفة للتشريعات التنظيمية والامتثال، وليس التكنولوجيا.
بالنسبة للمستهلكين، لا يوجد سبب لعدم إتمام معاملة في المملكة المتحدة في غضون ثوانٍ. إن معاملات التجزئة في الاتحاد الأوروبي تتباطأ بالفعل (اعرف عميلك) وقيود مكافحة غسيل الأموال التي تفرضها الحكومات والجهات التنظيمية، والتي تنطبق بالتساوي على مدفوعات ليبرا. وحتى لو تمكنت شركة فيسبوك من التغلب على العقبات التي تحول دون عمليات النقل عبر الحدود ونقل البيانات الخاصة، فإن النموذج المقترح يبعد مئات السنين عن إنتاجية المعاملات العالمية، ومن المرجح أن يحتاج إلى إعادة تصميم من الصفر.
لغة Libra Move غير صحيحة
تقدم الورقة البيضاء ادعاءات جريئة حول لغة جديدة لم يتم اختبارها تسمى Move. هذه العبارات مشكوك فيها تمامًا من وجهة نظر نظرية لغة البرمجة (PLT).
Move هي لغة برمجة جديدة لتنفيذ منطق المعاملات المخصصة والعقود الذكية على blockchain Libra. نظرًا لأن Libra تهدف إلى خدمة مليارات الأشخاص يومًا ما، فقد تم تصميم Move مع وضع الأمان كأولوية قصوى.
الميزة الرئيسية لـ Move هي القدرة على تحديد أنواع الموارد العشوائية باستخدام دلالات مستوحاة من المنطق الخطي.
في سلاسل الكتل العامة، تواجه العقود الذكية منطق الشبكات العامة مع حسابات الضمان، وغسل الأموال، وإصدار الرموز المميزة خارج البورصة، والمقامرة. يتم كل هذا باستخدام لغة سيئة التصميم بشكل مذهل تسمى Solidity، والتي من وجهة نظر أكاديمية تجعل مؤلف PHP يبدو وكأنه عبقري. ومن الغريب أن اللغة الجديدة من فيسبوك يبدو أنها لا علاقة لها بهذه التقنيات، لأنها في الواقع لغة برمجة نصية مخصصة لأغراض مؤسسية غامضة.
في دفاتر الأستاذ الموزعة الخاصة، تعد العقود الذكية أحد تلك المصطلحات التي يطرحها المستشارون دون إيلاء اهتمام كبير للتعريف أو الغرض الواضح. عادةً ما يجني مستشارو برمجيات المؤسسات الأموال من الغموض، والعقود الذكية هي بمثابة تأليه لظلامية الشركات لأنه يمكن تعريفها على أنها أي شيء حرفيًا.
بعد تقديم ادعاءات حول أمنها، نحتاج إلى إلقاء نظرة على دلالات اللغة. تتكون الصحة في نظرية لغة البرمجة عادة من برهانين مختلفين: "التقدم" و"الحفظ"، اللذين يحددان مدى اتساق مساحة قواعد التقييم للغة بأكملها. وبشكل أكثر تحديدًا، في نظرية النوع، تكون الدالة "خطية" إذا استخدمت الوسيط الخاص بها مرة واحدة بالضبط، و"متقاربة" إذا استخدمتها مرة واحدة على الأكثر. يوفر نظام الكتابة الخطية ضمانًا ثابتًا بأن الوظيفة الخطية المُعلنة خطية حقًا عن طريق تعيين أنواع لجميع التعبيرات الفرعية للوظيفة وتتبع مكان إجراء الاستدعاءات. هذه خاصية دقيقة يجب إثباتها وليس من السهل تنفيذها لبرنامج بأكمله. لا تزال الكتابة الخطية مجالًا دراسيًا أكاديميًا للغاية، متأثرة بتطبيق تفرد النوع في ملكية الكتابة النظيفة والنوع في Rust. هناك بعض المقترحات الأولية لإضافة أنواع خطية إلى مترجم غلاسكو هاسكل.
يبدو بيان Move حول استخدام الأنواع الخطية وكأنه غوص غير مبرر في المترجم، منذ ذلك الحين . وبقدر ما يمكن للمرء أن يقول، تستشهد الورقة البيضاء بالأدبيات القانونية من جيرار وبيرس، ولا يوجد شيء مماثل في التنفيذ الفعلي.
بالإضافة إلى ذلك، لا تظهر الدلالات الرسمية للغة التي يُفترض أنها آمنة في أي مكان سواء في التنفيذ أو في المستند. اللغة صغيرة بما يكفي للعثور على دليل كامل على الدلالات الصحيحة في Coq أو Isabelle. في الواقع، من الممكن تمامًا تنفيذ مترجم تحويل كامل من طرف إلى طرف مع إثبات النقل إلى الرمز الثانوي باستخدام الأدوات الحديثة التي تم اختراعها في العقد الماضي. نحن نعرف كيفية القيام بذلك، بدءًا من مرة أخرى في عام 1996.
من منظور نظرية لغة البرمجة، من المستحيل اختبار الادعاء بأن لغة Move هي لغة موثوقة وآمنة، لأن هذه الادعاءات ترقى إلى مجرد التلويح باليد والتسويق وليس الأدلة الفعلية. يعد هذا وضعًا مثيرًا للقلق بالنسبة لمشروع لغوي يُطلب منه معالجة معاملات بمليارات الدولارات.
تشفير الميزان معيب
يعد بناء أنظمة تشفير آمنة مشكلة هندسية صعبة للغاية، ومن الأفضل دائمًا التعامل مع التعامل مع التعليمات البرمجية الخطيرة مع جرعة جيدة من جنون العظمة الصحي. هناك اختراقات كبيرة في هذا المجال، مثل مشروع Microsoft Everest، الذي يقوم ببناء نظام آمن يمكن التحقق منه . الأدوات موجودة بالفعل لإنشاء أوليات يمكن التحقق منها. وعلى الرغم من أن هذا مكلف، فمن الواضح أنه لا يتجاوز القدرات الاقتصادية لفيسبوك. ومع ذلك، قرر الفريق عدم المشاركة في المشروع، الذي تم الإعلان عنه كأساس موثوق للنظام المالي العالمي.
مشروع الميزان من عدة مكتبات جديدة إلى حد ما لإنشاء أنظمة تشفير تجريبية ظهرت فقط في السنوات القليلة الماضية. من المستحيل تحديد ما إذا كانت التبعيات على الأدوات التالية آمنة أم لا، حيث لم يتم تدقيق أي من هذه المكتبات وليس لديها سياسات إفصاح قياسية. على وجه الخصوص، بالنسبة لبعض المكتبات الأساسية، لا يوجد يقين فيما يتعلق بالحماية ضد هجمات القنوات الجانبية وهجمات التوقيت.
أصبحت مكتبة الميزان أكثر تجريبية وتتجاوزها ، وتطبيق تقنيات جديدة جدًا مثل الوظائف العشوائية التي يمكن التحقق منها (VRFs)، والأزواج الثنائية، وتوقيعات العتبة. قد تكون هذه الأساليب والمكتبات معقولة، ولكن دمجها جميعًا في نظام واحد يثير مخاوف جدية بشأن مساحة سطح الهجوم. إن الجمع بين كل هذه الأدوات والتقنيات الجديدة يزيد بشكل كبير من تعقيد إثبات الأمان.
ينبغي الافتراض أن حزمة التشفير بأكملها معرضة لهجمات مختلفة حتى يثبت العكس. لا يمكن تطبيق نموذج "التحرك السريع وكسر الأشياء" الشهير على فيسبوك على أدوات التشفير التي تعالج البيانات المالية للعملاء.
تفشل Libra في تنفيذ آليات حماية المستهلك
السمة المميزة لنظام الدفع هي القدرة على التراجع عن المعاملة إذا تم إلغاء الدفع بموجب دعوى قضائية أو أدى إلى فشل عرضي أو فشل في النظام. تم تصميم نظام Libra ليكون "كاملًا" ولا يتضمن نوع معاملة لإلغاء الدفع. في المملكة المتحدة، تخضع جميع المدفوعات التي تتراوح بين 100 جنيه إسترليني و30,000 ألف جنيه إسترليني لقانون الائتمان الاستهلاكي. وهذا يعني أن نظام الدفع يتقاسم المسؤولية مع البائع في حالة حدوث مشكلة في المنتج الذي تم شراؤه أو إذا لم يقدم متلقي الدفع الخدمة. تنطبق قواعد مماثلة في الاتحاد الأوروبي وآسيا وأمريكا الشمالية.
لا يتضمن التصميم الحالي لـ Libra بروتوكولًا للامتثال لهذه القوانين وليس لديه خطة واضحة لإنشاء بروتوكول. والأسوأ من ذلك، من منظور معماري، أن نهائية بنية البيانات الموثقة للنواة، بناءً على حالة محرك Merkle، لا تسمح لأي آلية بإنشاء مثل هذا البروتوكول دون إعادة تصميم النواة.
بعد إجراء مراجعة فنية لهذا المشروع، يمكننا أن نستنتج أنه ببساطة لن ينجح في أي مجلة محترمة لأبحاث الأنظمة الموزعة أو مجلة الهندسة المالية. لمحاولة تغيير السياسة النقدية العالمية، لا بد من القيام بقدر كبير من العمل الفني لإنشاء شبكة موثوقة ومعالجة آمنة لبيانات المستخدم التي يمكن أن يثق بها الجمهور والجهات التنظيمية.
لا أرى أي سبب للاعتقاد بأن فيسبوك قد قام بالعمل اللازم في تصميمه للتغلب على هذه المشاكل التقنية أو أن لديه أي مزايا تقنية مقارنة بالبنية التحتية الحالية. إن القول بأن الشركة تحتاج إلى المرونة التنظيمية لاستكشاف الابتكارات ليس عذراً لعدم القيام بها أولاً.
المصدر: www.habr.com
