Upacara penyiapan tepercaya di rantai

Upacara penyiapan tepercaya adalah salah satu rasa sakit – dan kegembiraan – komunitas crypto. Tujuan dari sebuah upacara adalah untuk menghasilkan kunci kriptografi yang dapat dipercaya untuk mengamankan dompet kripto, protokol blockchain, atau sistem bukti tanpa pengetahuan. Prosedur ini (terkadang flamboyan) sering menjadi akar kepercayaan untuk keamanan proyek tertentu, dan karena itu sangat penting untuk dilakukan dengan benar.

Proyek Blockchain menjalankan upacara dengan berbagai cara kreatif – melibatkan obor, debu radioaktif, dan pesawat terbang – tetapi semuanya memiliki kesamaan: semuanya melibatkan koordinator terpusat. Dengan pekerjaan ini, kami mendemonstrasikan cara mendesentralisasikan proses dengan mengganti koordinator terpusat dengan kontrak pintar. Selain itu, kami membuka sumber perpustakaan yang memungkinkan siapa saja untuk menjalankan upacara seperti itu – yang dikenal oleh praktisi kripto sebagai Kate-Zaverucha-Goldberg (KZG) atau upacara “powers-of-tau” – di rantai Ethereum. Siapapun dapat berpartisipasi hanya dengan membayar biaya transaksi!

Pendekatan desentralisasi kami memiliki keterbatasan, tetapi tetap berguna. Karena kendala data on-chain saat ini, ukuran parameter kriptografi harus dijaga agar tetap pendek, yaitu tidak lebih dari 64 KB. Tetapi jumlah peserta tidak memiliki batasan dan orang dapat terus mengirimkan kontribusi untuk selamanya. Aplikasi untuk parameter pendek ini termasuk SNARK tanpa pengetahuan kecil, pengambilan sampel ketersediaan data, dan pohon verkle.

Sejarah dan mekanisme upacara penyiapan tepercaya

Dalam upacara pengaturan tepercaya yang khas, sekelompok peserta akan secara kolaboratif menghasilkan satu set parameter kriptografi. Setiap pihak yang berpartisipasi menggunakan informasi rahasia, yang dihasilkan secara lokal, untuk menghasilkan data yang membantu membuat parameter ini. Pengaturan yang tepat memastikan rahasia tidak bocor, bahwa rahasia hanya digunakan sebagaimana ditentukan oleh protokol, dan rahasia ini dihancurkan sepenuhnya pada akhir upacara. Selama setidaknya satu pihak dalam upacara berperilaku jujur, tidak dikompromikan, dan menghancurkan rahasia lokalnya, seluruh pengaturan dapat dianggap aman. (Tentu saja, dengan asumsi matematikanya benar dan kodenya tidak memiliki bug.)

Beberapa upacara yang paling menonjol adalah dijalankan oleh Zcash, proyek blockchain berorientasi privasi. Peserta dalam upacara ini menghasilkan parameter publik yang dirancang untuk memungkinkan pengguna Zcash membangun dan memverifikasi transaksi kripto pribadi. Enam peserta melaksanakan upacara Zcash pertama, Sprout, pada tahun 2016. Dua tahun kemudian, peneliti kripto Ariel Gabizon, sekarang menjadi Kepala Ilmuwan di Aztec, ditemukan bug yang menghancurkan dalam desain upacara yang diwarisi dari a makalah penelitian dasar. Kerentanan dapat memungkinkan penyerang untuk membuat koin Zcash tanpa batas tanpa terdeteksi. Tim Zcash merahasiakan kerentanan selama tujuh bulan hingga peningkatan sistem, Sapling, yang upacaranya melibatkan 90 peserta, mengatasi masalah tersebut. Sementara serangan berdasarkan lubang keamanan tidak akan mempengaruhi privasi transaksi pengguna, prospek pemalsuan tak terbatas merusak premis keamanan Zcash. (Secara teoritis tidak mungkin untuk mengetahui apakah serangan terjadi.)

Contoh penting lainnya dari pengaturan tepercaya adalah upacara “kekuasaan-tau” yang terus-menerus dirancang terutama untuk Tiang sinyal, teknologi pelestarian privasi untuk pensinyalan anonim di Ethereum. Pengaturan menggunakan kurva elips BN254 dan sejauh ini telah memiliki 71 peserta. Proyek terkemuka lainnya kemudian menggunakan pengaturan ini untuk menjalankan upacara mereka sendiri di atas, termasuk Tornado. Uang (baru-baru ini disetujui oleh pemerintah AS), Hermez jaringan, dan Loopring. Aztec menjalankan upacara serupa pada kurva eliptik BLS12_381 dengan 176 peserta untuk zkSync, solusi penskalaan Ethereum “lapisan dua” yang menggunakan zero knowledge rollup. Filecoin, protokol penyimpanan data terdesentralisasi, menjalankan upacara dengan 19 dan 33 peserta, masing-masing di fase pertama dan kedua, melakukan forking repo asli. Semangat, sebuah blockchain layer-1, juga mengadakan upacara untuk klien ringan mereka Plumo.

Upacara abadi tidak memiliki batasan jumlah peserta. Dengan kata lain, alih-alih memercayai orang lain untuk menjalankan upacara penyiapan tepercaya, SIAPA PUN dapat berpartisipasi hingga tingkat keamanan apa pun yang memenuhi kepuasan mereka. Satu peserta tepercaya memastikan keamanan semua parameter yang dihasilkan; rantai sekuat tautan terkuatnya. Upacara terus-menerus dapat berjalan, seperti namanya, selamanya, seperti premis dengan upacara kekuatan-tau-asli. Meskipun demikian, proyek sering kali memutuskan waktu awal dan akhir yang konkret untuk upacara mereka, sehingga mereka dapat menanamkan parameter yang dihasilkan ke dalam protokol mereka dan tidak perlu khawatir untuk terus memperbaruinya.

Ethereum berencana untuk menjalankan upacara pengaturan tepercaya yang lebih kecil untuk yang akan datang ProtoDankSharding dan Dank Sharding upgrade. Kedua peningkatan tersebut akan meningkatkan jumlah data yang disediakan oleh rantai Ethereum kepada klien untuk penyimpanan. Data ini akan memiliki kedaluwarsa yang disarankan 30-ke-60 hari. Upacaranya adalah dalam pengembangan aktif, dan berencana untuk menjalankan selama enam minggu awal tahun depan. (Melihat kzg-upacara-spesifikasi untuk detail lebih lanjut.) Ini akan menjadi upacara penyiapan tepercaya terbesar untuk blockchain yang dijalankan sejauh ini.

Paranoia adalah kebajikan dalam hal upacara pengaturan tepercaya. Jika perangkat keras atau perangkat lunak mesin dikompromikan, itu dapat merusak keamanan rahasia yang dihasilkannya. Serangan saluran samping licik yang membocorkan rahasia juga sulit untuk dikesampingkan. Telepon dapat memata-matai operasi komputer dengan merekam gelombang suara getaran CPU, misalnya. Dalam praktiknya, karena sangat sulit untuk menghilangkan semua kemungkinan serangan saluran samping – termasuk yang masih harus ditemukan atau diungkapkan – bahkan ada proposal untuk menerbangkan mesin ke luar angkasa untuk dilakukan. upacara disana.

Untuk saat ini, pedoman bagi peserta upacara yang serius biasanya berjalan sebagai berikut. Beli mesin baru (perangkat keras yang tidak ternoda). Beri celah udara dengan melepas semua kartu jaringan (untuk mencegah rahasia lokal keluar dari mesin). Jalankan mesin di sangkar Faraday di lokasi terpencil yang dirahasiakan (untuk menggagalkan calon pengintai). Seed generator rahasia pseudo-acak dengan banyak data entropi dan hard-replicate seperti penekanan tombol acak atau file video (untuk membuat rahasia sulit untuk dipecahkan). Dan akhirnya, hancurkan mesin – beserta jejak rahasianya – dengan membakar semuanya menjadi abu.

Mengkoordinasikan upacara penyiapan tepercaya

Berikut adalah pilihan kutipan yang menyenangkan dari beberapa peserta upacara penyiapan tepercaya sebelumnya:

• "... obor digunakan untuk memanaskan elektronik secara metodis sepenuhnya sepotong demi sepotong sampai semuanya menghitam ..."- Peter Todd secara fisik menghancurkan rahasia lokal.
• “Saya memiliki sepotong kain yang memiliki debu grafit [dari] inti reaktor [Chernobyl]… Anda menghitung setiap empat pulsa [dari penghitung Geiger yang terhubung ke mikrokontroler] dan Anda membandingkan interval waktu antara pulsa satu dan dua dan interval waktu antara pulsa tiga dan empat dan jika lebih besar Anda mendapatkan nol, jika kurang Anda mendapatkan satu. “…kita akan masuk ke pesawat ini dan menghasilkan nomor acak kita…” - Ryan Pierce dan Andrew Miller pada generasi rahasia.

• "Penjual mengatakan mereka memiliki 13 [komputer]. Saya bertanya apakah kami bisa memilih salah satu dari 13. Dia bertanya apakah ada sesuatu yang saya cari secara khusus (bingung karena semuanya sama) dan saya bilang saya hanya ingin memilih yang acak. Dia bilang dia tidak bisa membiarkan kita masuk ke gudang belakang. Saya bertanya apakah dia akan membawa dua dari mereka sehingga kami bisa memilih salah satu dari keduanya. Dia membawa dua orang dengan kereta dorong. Jerry memilih salah satu dari dua komputer dan kami membawanya ke register untuk diperiksa."- Peter Van Valkenburgh dalam mendapatkan mesin baru.
• "Beberapa jam pertama upacara dilakukan di kandang Faraday darurat yang terbuat dari aluminium foil dan cling wrap. Saya memindahkan laptop dari kandang Faraday karena ventilasinya buruk dan terasa panas saat disentuh"- Ko Wei Jie pada perlindungan saluran samping.
• ".. melakukan salah satu bagian dari upacara di pegunungan tanpa tetangga."- Michael Lapinski pada perlindungan saluran samping.
• "Saya memilih untuk menggunakan video lingkungan untuk menghasilkan entropi yang cukup"- Muhd Amrullah pada generasi nilai acak.

Semua upacara ini bergantung pada koordinator terpusat. Koordinator adalah individu atau server pribadi atau entitas lain yang dipercayakan untuk mendaftar dan memesan peserta, bertindak sebagai relai dengan meneruskan informasi dari peserta sebelumnya ke peserta berikutnya, dan menyimpan log terpusat dari semua komunikasi untuk tujuan auditabilitas. Koordinator biasanya juga bertanggung jawab untuk membuat log tersedia untuk umum selamanya; tentu saja sayat selalu ada kemungkinan dengan sistem terpusat untuk data hilang atau salah urus. (Perpetual-powers-of-tau misalnya disimpan di Microsoft Azure dan Github.)

Sungguh ironis bagi kami bahwa proyek crypto harus bergantung pada upacara pengaturan tepercaya yang terpusat ketika desentralisasi adalah prinsip inti dari etos crypto. Jadi kami memutuskan untuk mendemonstrasikan kelayakan menjalankan upacara kecil untuk kekuatan tau terus-menerus langsung di blockchain Ethereum! Pengaturan sepenuhnya terdesentralisasi, tanpa izin, tahan sensor, dan aman selama salah satu peserta jujur ​​[lihat penafian]. Berpartisipasi dalam upacara hanya membutuhkan 292,600 hingga 17,760,000 gas (sekitar $7 hingga $400 dengan harga saat ini), tergantung pada ukuran parameter hasil yang diinginkan (dalam hal ini antara 8 dan 1024 kekuatan-tau). (Lihat Tabel di bawah untuk biaya konkret – kami akan membahas lebih detail tentang perhitungan ini nanti di posting.)

Untuk saat ini, kami menyarankan untuk tidak menggunakan kode untuk tujuan apa pun selain eksperimental! Kami akan sangat menghargai jika siapa pun yang menemukan masalah dengan kode melaporkannya kepada kami. Kami akan senang untuk mengumpulkan umpan balik dan audit dari pendekatan kami.

Memahami upacara KZG atau 'kekuatan-tau'

Mari kita jelajahi salah satu pengaturan tepercaya paling populer, yang dikenal sebagai upacara KZG, atau "kekuatan-tau". Penghargaan untuk salah satu pendiri Ethereum, Vitalik Buterin, yang posting blog tentang pengaturan tepercaya menginformasikan ide-ide kami di bagian ini. Pengaturan menghasilkan pengkodean kekuatan-of-tau, dinamakan demikian karena "tau" merupakan variabel yang digunakan untuk mengekspresikan rahasia yang dihasilkan oleh peserta:

hal = [[𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, …, [𝜏^k]₂]

Untuk beberapa aplikasi (misalnya Groth16, skema pembuktian zkSNARK populer yang dirancang oleh Jens Groth pada tahun 2016), fase pertama penyiapan ini diikuti oleh fase kedua, upacara perhitungan multipartai (MPC), yang menghasilkan parameter untuk sirkuit SNARK tertentu . Namun, pekerjaan kami hanya berfokus pada fase satu. Fase pertama ini – pembangkitan kekuatan-tau – sudah berguna sebagai blok bangunan dasar untuk SNARK universal (misalnya PLONK dan SONIC), serta aplikasi kriptografi lainnya, seperti komitmen KZG, pohon verkle dan pengambilan sampel ketersediaan data (DAS). Umumnya, parameter SNARK universal harus sangat besar sehingga dapat mendukung sirkuit yang besar dan berguna. Sirkuit yang berisi lebih banyak gerbang umumnya lebih berguna karena dapat menangkap perhitungan besar; jumlah power-of-tau kira-kira sesuai dengan jumlah gerbang di sirkuit. Jadi, pengaturan tipikal akan berukuran |pp| = ~40 GB dan mampu mendukung sirkuit dengan ~2²⁸ gerbang. Mengingat kendala Ethereum saat ini, tidak mungkin untuk menempatkan parameter besar seperti itu secara on-chain, tetapi upacara pengaturan tepercaya yang lebih kecil yang berguna untuk sirkuit SNARK kecil, pohon Verkle, atau DAS dapat dijalankan secara on-chain.

Yayasan Ethereum berencana untuk menjalankan beberapa yang lebih kecil upacara untuk power-of-tau ukuran 200 KB sampai 1.5 MB. Sementara upacara yang lebih besar mungkin tampak lebih baik, mengingat parameter yang lebih besar dapat membuat sirkuit SNARK yang lebih berguna, lebih besar sebenarnya tidak selalu lebih baik. Aplikasi tertentu, seperti DAS, secara khusus membutuhkan yang lebih kecil! [Alasannya sangat teknis, tetapi jika Anda penasaran, itu karena pengaturan dengan n kekuatan (dalam G₁) hanya memungkinkan komitmen KZG ke polinomial derajat n, yang penting untuk memastikan bahwa polinomial di bawah komitmen KZG dapat direkonstruksi dari evaluasi n mana pun. Properti ini memungkinkan data-availability-sampling: setiap kali t evaluasi acak dari polinomial berhasil diperoleh (sampel) memberikan jaminan bahwa polinomial dapat sepenuhnya direkonstruksi dengan probabilitas t/n. Jika Anda ingin mempelajari lebih lanjut tentang DAS, lihat posting ini oleh Buterin di forum Penelitian Ethereum.]

Kami merancang kontrak pintar yang dapat digunakan di blockchain Ethereum untuk menjalankan upacara penyiapan tepercaya. Kontrak menyimpan parameter publik – kekuatan-tau – sepenuhnya on-chain, dan mengumpulkan partisipasi melalui transaksi pengguna.

Seorang peserta baru pertama kali membaca parameter tersebut:

pp₀ = ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, …, [𝜏^k]₂),

kemudian mengambil sampel ' rahasia acak dan menghitung parameter yang diperbarui:

pp₁ = ([𝜏𝜏']₁, [(𝜏𝜏')²]₁, [(𝜏𝜏')³]₁, …, [(𝜏𝜏')ⁿ]₁; [𝜏𝜏']₂, [(𝜏𝜏')²]₂, …, [(𝜏𝜏')^k]₂),

dan menerbitkannya secara on-chain dengan bukti yang menunjukkan tiga hal:

1. Pengetahuan tentang log-diskrit: peserta mengetahui '. (Bukti bahwa kontribusi terbaru pada upacara penyiapan tepercaya dibangun di atas karya semua peserta sebelumnya.)
2. Bentuk pp yang baik₁: elemen-elemen tersebut memang menyandikan kekuatan tambahan.
3. Pembaruan tidak terhapus: ' 0. (Pertahanan terhadap penyerang yang mencoba merusak sistem dengan menghapus pekerjaan sebelumnya dari semua peserta.)

Kontrak pintar memverifikasi bukti dan jika benar, itu memperbarui parameter publik yang disimpannya. Anda dapat menemukan detail lebih lanjut tentang matematika dan alasan di baliknya di repo.

Menghitung biaya gas

Tantangan utama menjalankan penyiapan secara on-chain adalah membuat upacara penyiapan tepercaya seefisien mungkin. Idealnya, mengirimkan kontribusi tidak lebih dari ~$50. (Proyek besar mungkin dapat mensubsidi gas untuk kontributor, dalam hal ini memiliki ratusan peserta yang masing-masing menghabiskan $100 lebih mudah untuk dibayangkan). Di bawah ini, kami memberikan detail lebih lanjut tentang bagian pengaturan yang paling mahal. Biaya gas yang lebih rendah akan mengurangi biaya kontribusi dan memungkinkan konstruksi parameter yang lebih panjang (lebih banyak tau-power dan sirkuit SNARK yang lebih besar)!

Pengaturan kami berfungsi untuk kurva eliptik BN254 (juga dikenal sebagai BN256, BN128, dan alt_bn128), yang memiliki dukungan untuk kontrak yang telah dikompilasi berikut: di Ethereum:

• ECADD memungkinkan dua titik kurva eliptik untuk ditambahkan, yaitu menghitung [𝛼+𝛽]₁ dari [𝛼]₁ dan [𝛽]₁: biaya bensin 150
• ECMULT memungkinkan titik kurva eliptik dikalikan dengan skalar, yaitu menghitung [a*𝛼]₁ dari a dan [𝛼]₁: biaya bensin 6,000
• ECPAIR memungkinkan produk dari pasangan kurva eliptik untuk diperiksa, yaitu menghitung e([𝛼₁]₁, [𝛽₁]₂)* … *e([𝛼₁]₁, [𝛽₁]₂) = 1 yang setara dengan memeriksa bahwa₁*𝛽₁+ … +_k*𝛽_k = 0 : biaya gas 34,000 * k + 45,000

Mungkinkah Ethereum mengaktifkan BLS12_381 (seperti yang diusulkan dalam EIP-2537), kontrak pengaturan kami dapat dengan mudah dibuat untuk bekerja untuk kurva lain ini juga.

Mari kita perkirakan biaya gas untuk memperbarui pengaturan ke ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂):

1. Biaya gas untuk memverifikasi bukti. Setiap peserta memperbarui pengaturan dan menyerahkan bukti dengan tiga komponen seperti dijelaskan di atas. Komponen 1 dan 3 dari pembuktian – “pengetahuan tentang log diskrit” dan “pembaruan tanpa penghapusan” – sangat murah untuk diverifikasi. Tantangannya adalah dalam memverifikasi komponen 2, “pembentukan yang baik dari pp₁”, di rantai. Ini membutuhkan multi-scalar-multiplication (MSM) besar dan dua pasangan:
   e(𝝆₀[1]₁ +₁[𝜏]₁ +₂[𝜏²]₁ + … +_n-1[𝜏^n-2]₁, [𝜏]₂) = e([𝜏]₁ +₁[𝜏²]₁ + … +_n-1[𝜏^n-1]₁, [dua]₂),
   dimana₀,…,_n-1 adalah skalar pseudo-acak-sampel. Dalam hal kontrak pintar yang telah dikompilasi sebelumnya, dibutuhkan:
   (2n-4) x ECADD + (2n-4) x ECMULT + ECPAIR_{k = 2} = (2n-4) x 6,150 + 113,000 gas.
2. Biaya gas untuk menyimpan data. Setiap peserta juga menyimpan pembaruan secara on-chain sebagai data panggilan (68 gas per byte) yang dihitung menjadi n*64*68 gas. (Catatan bagi mereka yang akrab dengan kriptografi kurva eliptik: menyimpan titik terkompresi akan membuat dekompresi mendominasi biaya keseluruhan sesuai pengukuran kami untuk n=256.)

Ini membawa kita ke tabel estimasi biaya gas berikut yang seharusnya menginformasikan pengoptimalan di masa mendatang:

Kami sedang menjajaki solusi untuk menurunkan biaya bahan bakar, jadi pantau terus!

Pustaka sumber terbuka: evm-powers-of-tau

Kami telah membuka sumber repo upacara power-of-tau berbasis EVM kami di github.com/a16z/evm-powers-of-tau. Melakukan upacara dengan strategi kami mudah dan transparan:

1. Terapkan kontrak penyimpanan dan verifikasi (kontrak/KZG.sol)
2. Seorang kontributor membaca parameter upacara dari data panggilan transaksi sebelumnya
3. Kontributor menghasilkan rahasia secara lokal, menghitung parameter yang diperbarui
4. Kontributor menghasilkan bukti mereka: pi1, pi2
5. Kontributor mengirimkan parameter yang diperbarui melalui KZG.potUpdate() ke kontrak pintar yang diterapkan di blockchain publik
6. Kontrak pintar akan memverifikasi validitas pembaruan, mengembalikan jika pengiriman salah format
7. Beberapa kontributor dapat menjalankan langkah 2-5 selamanya, masing-masing meningkatkan keamanan upacara
8. Setiap kali pengembang yakin dengan jumlah dan kualitas pengiriman, mereka dapat menanyakan blockchain untuk parameter saat ini dan menggunakan nilai-nilai ini sebagai kunci kriptografi mereka.

Repo kami menggunakan arkworks-rs untuk menghitung langkah dua dan tiga (perhitungan karat dapat ditemukan di src/pot_update.rs), tetapi pengguna mungkin ingin menulis sendiri. Seluruh alur pengiriman pembaruan end-to-end dapat ditemukan dalam tes integrasi di tes/integration_test.rs.

Perhatikan bahwa kami telah memilih untuk menggunakan calldata untuk menyimpan parameter power-of-tau yang diperbarui secara on-chain karena beberapa kali lipat lebih murah daripada penyimpanan. Kueri berbasis eter-rs untuk data ini dapat ditemukan di src/query.rs.

Akhirnya, bukti dan persamaan rinci dapat ditemukan dalam laporan teknis di laporan teknologi/main.pdf.

Pekerjaan masa depan

Sebelum upacara penyiapan tepercaya ini dapat digunakan dalam produksi, sebaiknya lakukan audit komprehensif terlebih dahulu terhadap bukti matematis dan implementasi sampel.

Saat diimplementasikan, biaya transaksi untuk memperbarui upacara tumbuh secara linier dengan ukuran pengaturan. Untuk sebagian besar aplikasi (SNARK, DAS) kami menginginkan pengaturan n >= 256, saat ini berharga $73 per pembaruan. 

Kami mungkin dapat mencapai pertumbuhan biaya verifikasi sublinier dengan bukti STARK dari komputasi pembaruan yang valid dan komitmen vektor terhadap nilai yang diperbarui. Konstruksi ini juga akan menghilangkan ketergantungan pada prekompilasi Ethereum L1 BN254, memungkinkan penggunaan kurva BLS12-381 yang lebih populer.

Semua strategi upacara memiliki pengorbanan. Kami pikir konstruksi ini kokoh dan memiliki sifat ketahanan sensor yang dapat diverifikasi. Tetapi sekali lagi, kami akan berhati-hati agar tidak menggunakan metode ini sampai lebih banyak pekerjaan dilakukan untuk memverifikasi kesehatan pendekatan kami.

Ucapan Terima Kasih

• Dan Boneh – untuk umpan balik yang berguna pada tahap awal pekerjaan ini
• Joe Bonneau – untuk mengklarifikasi eksposisi dalam versi awal laporan teknis
• William Borgeaud – untuk diskusi tentang BLS dalam TurboPlonk / Plonky2
• Mary Maller – untuk pemikiran tentang mekanisme umum pendekatan

Editor: Robert Hackett @rhhackett

***

Pandangan yang diungkapkan di sini adalah pandangan individu AH Capital Management, LLC (“a16z”) yang dikutip dan bukan pandangan a16z atau afiliasinya. Informasi tertentu yang terkandung di sini telah diperoleh dari sumber pihak ketiga, termasuk dari perusahaan portofolio dana yang dikelola oleh a16z. Meskipun diambil dari sumber yang dipercaya dapat dipercaya, a16z belum memverifikasi informasi tersebut secara independen dan tidak membuat pernyataan tentang keakuratan informasi saat ini atau yang bertahan lama atau kesesuaiannya untuk situasi tertentu. Selain itu, konten ini mungkin termasuk iklan pihak ketiga; a16z belum meninjau iklan tersebut dan tidak mendukung konten iklan apa pun yang terkandung di dalamnya.

Konten ini disediakan untuk tujuan informasi saja, dan tidak boleh diandalkan sebagai nasihat hukum, bisnis, investasi, atau pajak. Anda harus berkonsultasi dengan penasihat Anda sendiri mengenai hal-hal itu. Referensi ke sekuritas atau aset digital apa pun hanya untuk tujuan ilustrasi, dan bukan merupakan rekomendasi investasi atau penawaran untuk menyediakan layanan konsultasi investasi. Selanjutnya, konten ini tidak ditujukan atau dimaksudkan untuk digunakan oleh investor atau calon investor mana pun, dan dalam keadaan apa pun tidak dapat diandalkan saat membuat keputusan untuk berinvestasi dalam dana yang dikelola oleh a16z. (Penawaran untuk berinvestasi dalam dana a16z hanya akan dilakukan dengan memorandum penempatan pribadi, perjanjian berlangganan, dan dokumentasi lain yang relevan dari dana tersebut dan harus dibaca secara keseluruhan.) Setiap investasi atau perusahaan portofolio yang disebutkan, dirujuk, atau dijelaskan tidak mewakili semua investasi dalam kendaraan yang dikelola oleh a16z, dan tidak ada jaminan bahwa investasi tersebut akan menguntungkan atau bahwa investasi lain yang dilakukan di masa depan akan memiliki karakteristik atau hasil yang serupa. Daftar investasi yang dilakukan oleh dana yang dikelola oleh Andreessen Horowitz (tidak termasuk investasi yang penerbitnya tidak memberikan izin kepada a16z untuk mengungkapkan secara publik serta investasi yang tidak diumumkan dalam aset digital yang diperdagangkan secara publik) tersedia di https://a16z.com/investments /.

Bagan dan grafik yang disediakan di dalamnya hanya untuk tujuan informasi dan tidak boleh diandalkan saat membuat keputusan investasi apa pun. Kinerja masa lalu tidak menunjukkan hasil di masa depan. Konten berbicara hanya pada tanggal yang ditunjukkan. Setiap proyeksi, perkiraan, prakiraan, target, prospek, dan/atau pendapat yang diungkapkan dalam materi ini dapat berubah tanpa pemberitahuan dan mungkin berbeda atau bertentangan dengan pendapat yang diungkapkan oleh orang lain. Silakan lihat https://a16z.com/disclosures untuk informasi penting tambahan.