Ceremonie voor betrouwbare installatie op de ketting

De vertrouwde setup-ceremonie is een van de pijnen - en opwinding - van crypto-gemeenschappen. Het doel van een ceremonie is om betrouwbare cryptografische sleutels te genereren voor het beveiligen van crypto-wallets, blockchain-protocollen of zero-knowledge proof-systemen. Deze (soms flamboyante) procedures zijn vaak de wortel van vertrouwen voor de beveiliging van een bepaald project, en ze zijn daarom uiterst belangrijk om goed te krijgen.

Blockchain-projecten organiseren ceremonies op tal van creatieve manieren - met steekvlammen, radioactief stof en vliegtuigen - maar ze hebben allemaal iets gemeen: ze hebben allemaal een gecentraliseerde coördinator. Met dit werk laten we zien hoe we het proces kunnen decentraliseren door de centrale coördinator te vervangen door een slim contract. Daarnaast openen we een bibliotheek die iedereen in staat stelt zo'n ceremonie te houden - bij crypto-beoefenaars bekend als a Kate Zaverucha Goldberg (KZG) of "powers-of-tau" -ceremonie - op de Ethereum-keten. Iedereen kan meedoen door simpelweg de transactiekosten te betalen!

Onze gedecentraliseerde aanpak heeft beperkingen, maar is nog steeds nuttig. Vanwege de huidige gegevensbeperkingen in de keten, moet de grootte van de cryptografische parameters kort worden gehouden, namelijk niet meer dan 64 KB. Maar het aantal deelnemers kent geen limiet en mensen kunnen eeuwig blijven bijdragen. Toepassingen voor deze korte parameters zijn onder meer kleine zero-knowledge SNARK's, bemonstering van gegevensbeschikbaarheid en Verkle bomen.

Geschiedenis en mechanica van de vertrouwde opstellingsceremonie

In een typische vertrouwde setup-ceremonie zal een groep deelnemers gezamenlijk een set cryptografische parameters genereren. Elke deelnemende partij gebruikt geheime, lokaal gegenereerde informatie om gegevens te genereren die helpen bij het creëren van deze parameters. Een goede opstelling zorgt ervoor dat geheimen niet lekken, dat geheimen alleen worden gebruikt zoals aangegeven in het protocol en dat deze geheimen aan het einde van de ceremonie volledig worden vernietigd. Zolang ten minste één partij in de ceremonie zich eerlijk gedraagt, niet wordt gecompromitteerd en het lokale geheim vernietigt, kan de hele opzet als veilig worden beschouwd. (Natuurlijk, ervan uitgaande dat de wiskunde correct is en de code geen fouten bevat.)

Enkele van de meest prominente ceremonies waren: gerund door Zcash, een op privacy gericht blockchainproject. Deelnemers aan deze ceremonies genereerden openbare parameters die zijn ontworpen om Zcash-gebruikers in staat te stellen privé-cryptotransacties te construeren en te verifiëren. Zes deelnemers voerden de eerste Zcash-ceremonie, Sprout, uit in 2016. Twee jaar later, crypto-onderzoeker Ariel Gabizon, nu een Chief Scientist bij Aztecgevonden een verwoestende bug in het ontwerp van de ceremonie die werd geërfd van a fundamentele onderzoekspaper. Door de kwetsbaarheid konden aanvallers onbeperkt Zcash-munten maken zonder te worden gedetecteerd. Het Zcash-team hield de kwetsbaarheid zeven maanden geheim totdat een systeemupgrade, Sapling, bij de ceremonie waarbij 90 deelnemers betrokken waren, het probleem aanpakte. Hoewel een aanval op basis van het beveiligingslek de privacy van gebruikerstransacties niet zou hebben aangetast, ondermijnde het vooruitzicht van oneindige vervalsing de veiligheidspremisse van Zcash. (Het is theoretisch onmogelijk om te weten of er een aanval heeft plaatsgevonden.)

Een ander opmerkelijk voorbeeld van een vertrouwde installatie is de eeuwige "powers-of-tau" ceremonie voornamelijk ontworpen voor seinpaal, een privacybehoudende technologie voor anonieme signalering op Ethereum. De opstelling maakte gebruik van een BN254 elliptische curve en heeft tot nu toe 71 deelnemers gehad. Andere prominente projecten gebruikten deze opzet later om hun eigen ceremonies bovenop te houden, waaronder: Tornado.Cash (onlangs gesanctioneerd door de Amerikaanse regering), Hermes netwerk, en Loopring. Aztec hield een soortgelijke ceremonie op een BLS12_381 elliptische curve met 176 deelnemers voor zkSync, een "laag twee" Ethereum-schaaloplossing die geen kennisrollups gebruikt. Filecoin, een gedecentraliseerd protocol voor gegevensopslag, hield een ceremonie met 19 en 33 deelnemers, respectievelijk in de eerste en tweede fase, waarbij de oorspronkelijke repo werd gesplitst. Ijver, een layer-1 blockchain, organiseerde ook een ceremonie voor hun light-client Plumo.

Eeuwigdurende ceremonies hebben geen limiet aan het aantal deelnemers. Met andere woorden, in plaats van andere mensen te vertrouwen om een ​​vertrouwde installatieceremonie te houden, kan IEDEREEN deelnemen aan elke mate van beveiliging die aan hun tevredenheid voldoet. Een enkele betrouwbare deelnemer zorgt voor de veiligheid van alle resulterende parameters; de ketting is zo sterk als de sterkste schakel. Eeuwigdurende ceremonies kunnen, zoals de naam al aangeeft, eeuwig duren, zoals het uitgangspunt was bij de oorspronkelijke powers-of-tau-ceremonie. Dat gezegd hebbende, beslissen projecten vaak over een concrete begin- en eindtijd voor hun ceremonies, op die manier kunnen ze de resulterende parameters in hun protocollen inbedden en hoeven ze zich geen zorgen te maken over het voortdurend bijwerken ervan.

Ethereum is van plan om binnenkort een kleinere vertrouwde setup-ceremonie te houden ProtoDankSharding en BedanktSharding upgrades. Die twee upgrades zullen de hoeveelheid gegevens vergroten die de Ethereum-keten aan klanten levert voor opslag. Deze gegevens hebben een vervaldatum van voorgesteld 30 tot 60 dagen. De ceremonie is onder actieve ontwikkeling, en is gepland begin volgend jaar zes weken te lopen. (Zien kzg-ceremonie-specificaties voor meer details.) Het wordt de grootste vertrouwde setup-ceremonie voor blockchains die tot nu toe is uitgevoerd.

Paranoia is een deugd als het gaat om vertrouwde setup-ceremonies. Als de hardware of software van een machine wordt gecompromitteerd, kan dat de veiligheid van de geheimen die het genereert ondermijnen. Sneaky side channel-aanvallen die geheimen lekken, kunnen ook moeilijk uit te sluiten zijn. Een telefoon kan de bewerkingen van een computer bespioneren door: geluidsgolven opnemen van CPU-trillingen, bijvoorbeeld. In de praktijk, aangezien het enorm moeilijk is om alle mogelijke zijkanaalaanvallen uit te schakelen – inclusief die welke nog moeten worden ontdekt of bekendgemaakt – zijn er zelfs voorstellen om machines naar de ruimte te vliegen om uit te voeren ceremonies daar.

Voorlopig gaat het draaiboek voor serieuze ceremoniedeelnemers meestal als volgt. Koop een nieuwe machine (onbevlekte hardware). Air-gap het door alle netwerkkaarten te verwijderen (om te voorkomen dat lokale geheimen de machine verlaten). Laat de machine draaien in een kooi van Faraday op een afgelegen, niet nader genoemde locatie (om potentiële snuffelaars te verijdelen). Bezaai de pseudo-willekeurige geheime generator met veel entropie en hard-replicerende gegevens zoals willekeurige toetsaanslagen of videobestanden (om de geheimen moeilijk te kraken te maken). En tot slot, vernietig de machine - samen met alle sporen van de geheimen - door alles tot as te verbranden.

Coördineren van vertrouwde setup-ceremonies

Hier is een leuke selectie van citaten van enkele eerdere vertrouwde deelnemers aan de setup-ceremonie:

• "... de steekvlam werd gebruikt om de elektronica stuk voor stuk methodisch volledig te verhitten totdat alles zwart was ..."- Peter Todd over het fysiek vernietigen van de lokale geheimen.
• "Ik heb hier een stuk stof met grafietstof [van] de kern van de [Tsjernobyl]-reactor ... Je telt elke vier pulsen [van een geigerteller aangesloten op een microcontroller] en je vergelijkt het tijdsinterval tussen puls één en twee en het tijdsinterval tussen puls drie en vier en als het groter is, krijg je een nul, als het minder is, krijg je een één. "... we staan ​​op het punt in dit vliegtuig te stappen en onze willekeurige getallen te genereren ..." - Ryan Pierce en Andrew Miller op geheime generatie.

• "De verkoper zei dat ze 13 [computers] hadden. Ik vroeg of we een van de 13 mochten kiezen. Hij vroeg of er iets was waar ik naar op zoek was (in de war omdat ze allemaal hetzelfde zijn) en ik zei dat ik gewoon een willekeurige wilde kiezen. Hij zei dat hij ons niet in het achtermagazijn kon laten. Ik vroeg of hij er twee wilde brengen, zodat we er een konden uitkiezen. Hij bracht er twee op een handkar naar buiten. Jerry selecteerde een van de twee computers en we namen die mee naar de kassa om uit te checken."- Pieter van Valkenburgh bij aanschaf van een nieuwe machine.
• "De eerste uren van de ceremonie werden uitgevoerd in een geïmproviseerde kooi van Faraday gemaakt van aluminiumfolie en huishoudfolie. Ik heb de laptop uit de kooi van Faraday gehaald omdat deze slecht geventileerd was en warm aanvoelde"- Koh Wei Jie op zijkanaalbescherming.
• ".. voerde een deel van de ceremonie uit in de bergen zonder buren."- Michael Lapinski op zijkanaalbescherming.
• "Ik heb ervoor gekozen om video van de omgeving te gebruiken om voldoende entropie te genereren"- Muhd Amrullah bij het genereren van willekeurige waarden.

Al deze ceremonies waren afhankelijk van een gecentraliseerde coördinator. De coördinator is een individuele of privéserver of een andere entiteit die is belast met het registreren en bestellen van deelnemers, om als doorgeefluik te fungeren door informatie van de vorige deelnemer naar de volgende door te sturen en om een ​​gecentraliseerd logboek bij te houden van alle communicatie voor controleerbaarheidsdoeleinden. De coördinator is doorgaans ook verantwoordelijk voor het voor altijd beschikbaar stellen van het logboek voor het publiek; natuurlijk IkMet een gecentraliseerd systeem is het altijd mogelijk om gegevens kwijt te raken of verkeerd te beheren. (Perpetual-powers-of-tau wordt bijvoorbeeld opgeslagen op Microsoft Azure en Github.)

Het leek ons ​​ironisch dat cryptoprojecten moeten vertrouwen op gecentraliseerde, vertrouwde setup-ceremonies wanneer decentralisatie zo'n kernprincipe is van het crypto-ethos. Daarom hebben we besloten om de haalbaarheid aan te tonen van een kleine ceremonie voor eeuwigdurende powers-of-tau rechtstreeks op de Ethereum-blockchain! De opzet is volledig gedecentraliseerd, heeft geen toestemming, is bestand tegen censuur en is veilig zolang een van de deelnemers eerlijk is [zie disclaimers]. Deelnemen aan de ceremonie kost slechts 292,600 tot 17,760,000 gas (ongeveer $ 7 tot $ 400 tegen huidige prijzen), afhankelijk van de grootte van de gewenste resulterende parameters (in dit geval tussen 8 en 1024 power-of-tau). (Zie de onderstaande tabel voor concrete kosten - we gaan later in de post dieper in op deze berekeningen.)

Vooralsnog adviseren wij om de code niet voor andere dan experimentele doeleinden te gebruiken! We zouden het zeer op prijs stellen als iemand die problemen met de code vindt, dit aan ons meldt. We willen graag feedback over en audits van onze aanpak verzamelen.

De KZG of 'powers-of-tau' ceremonie begrijpen

Laten we eens kijken naar een van de meest populaire vertrouwde opstellingen, die bekend staat als de KZG- of 'powers-of-tau'-ceremonie. Met dank aan Ethereum-medeoprichter Vitalik Buterin, wiens blogbericht over vertrouwde instellingen onze ideeën in deze sectie geïnformeerd. De setup genereert de coderingen van de powers-of-tau, zo genoemd omdat "tau" toevallig de variabele is die wordt gebruikt om de geheimen uit te drukken die door deelnemers worden gegenereerd:

pp = [[𝜏]₁, [𝜏²]₁, [𝜏³]₁, ..., [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, ..., [𝜏^k]₂]

Voor sommige toepassingen (bijv. Groth16, een populair zkSNARK-testschema ontworpen door Jens Groth in 2016), wordt deze eerste fase van de installatie gevolgd door een tweede fase, een multiparty computation (MPC)-ceremonie, die parameters genereert voor een specifiek SNARK-circuit . Ons werk richt zich echter uitsluitend op fase één. Deze eerste fase – het genereren van de powers-of-tau – is al bruikbaar als fundamentele bouwsteen voor universele SNARK's (bijv. PLONK en SONIC), evenals andere cryptografietoepassingen, zoals KZG-verplichtingen, Verkle bomen en bemonstering van gegevensbeschikbaarheid (DAS). Over het algemeen moeten universele SNARK-parameters erg groot zijn, zodat ze grote en nuttige circuits kunnen ondersteunen. Circuits die meer poorten bevatten, zijn over het algemeen nuttiger omdat ze grote berekeningen kunnen vastleggen; het aantal powers-of-tau komt ongeveer overeen met het aantal poorten in de schakeling. Een typische opstelling heeft dus de grootte |pp| = ~40 GB en ondersteunt circuits met ~2²⁸ poorten. Gezien de huidige beperkingen van Ethereum zou het onhaalbaar zijn om zulke grote parameters on-chain te plaatsen, maar een kleinere vertrouwde setup-ceremonie die handig is voor kleine SNARK-circuits, Verkle-trees of DAS kan mogelijk on-chain worden uitgevoerd.

De Ethereum Foundation is van plan om verschillende kleinere ceremonies voor powers-of-tau van 200 KB tot 1.5 MB. Hoewel grotere ceremonies misschien beter lijken, aangezien grotere parameters nuttiger SNARK-circuits kunnen creëren, is groter in feite niet altijd beter. Bepaalde toepassingen, zoals DAS, hebben juist een kleinere nodig! [De reden is heel technisch, maar als je nieuwsgierig bent, komt dat omdat een opstelling met n machten (in G₁) maakt alleen KZG-verplichtingen aan polynomen van graad ≤ n mogelijk, wat cruciaal is om ervoor te zorgen dat de polynoom onder de KZG-verplichting kan worden gereconstrueerd uit elke n evaluaties. Deze eigenschap maakt data-beschikbaarheid-sampling mogelijk: elke keer dat t willekeurige evaluaties van de polynoom met succes worden verkregen (bemonsterd), geeft dit de zekerheid dat de polynoom volledig kan worden gereconstrueerd met waarschijnlijkheid t/n. Als je meer wilt weten over DAS, bekijk dan dit bericht van Buterin op het Ethereum Research-forum.]

We hebben een slim contract ontworpen dat kan worden ingezet op de Ethereum-blockchain om een ​​vertrouwde installatieceremonie uit te voeren. Het contract slaat de publieke parameters – de powers-of-tau – volledig on-chain op en verzamelt deelname via gebruikerstransacties.

Een nieuwe deelnemer leest eerst die parameters:

pp₀ = ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, ..., [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, ..., [𝜏^k]₂),

bemonstert vervolgens een willekeurig geheim 𝜏' en berekent bijgewerkte parameters:

pp₁ = ([𝜏𝜏']₁, [(𝜏𝜏')²]₁, [(𝜏𝜏')³]₁, …, [(𝜏𝜏')ⁿ]₁; [𝜏𝜏']₂, [(𝜏𝜏')²]₂, …, [(𝜏𝜏')^k]₂),

en publiceert ze on-chain met een bewijs dat drie dingen aantoont:

1. Kennis van discrete-log: de deelnemer kent 𝜏'. (Een bewijs dat de laatste bijdrage aan de Trusted Setup-ceremonie voortbouwt op het werk van alle voorgaande deelnemers.)
2. Welgevormdheid van de pp₁: de elementen coderen inderdaad voor incrementele bevoegdheden. (Een validatie van de welgevormdheid van de bijdrage van een nieuwe deelnemer aan de ceremonie.)
3. De update wordt niet gewist: 𝜏' ≠ 0. (Een verdediging tegen aanvallers die het systeem proberen te ondermijnen door het eerdere werk van alle deelnemers te verwijderen.)

Het slimme contract verifieert het bewijs en als het correct is, werkt het de openbare parameters bij die het opslaat. U kunt meer details over de wiskunde en de redenering erachter vinden in de repo.

Gaskosten berekenen

De belangrijkste uitdaging bij het uitvoeren van de installatie on-chain is om de vertrouwde installatieceremonie zo gasefficiënt mogelijk te maken. Idealiter kost het indienen van een bijdrage niet meer dan ~ $ 50. (Grote projecten kunnen mogelijk gas subsidiëren voor bijdragers, in welk geval het gemakkelijker is om honderden deelnemers te hebben die elk $ 100 uitgeven). Hieronder geven we meer details over de duurste onderdelen van de installatie. Lagere gaskosten zouden de kosten van bijdragen verlagen en de constructie van langere parameters mogelijk maken (meer tau-vermogens en grotere SNARK-circuits)!

Onze opstelling werkt voor de elliptische curve BN254 (ook bekend als BN256, BN128 en alt_bn128), die ondersteuning biedt voor de volgende voorgecompileerde contracten: op Ethereum:

• Met ECADD kunnen twee elliptische curvepunten worden toegevoegd, dwz berekenen [𝛼+𝛽]₁ van [𝛼]₁ en [𝛽]₁: gaskosten 150
• Met ECMULT kunnen elliptische krommepunten worden vermenigvuldigd met een scalair, dwz berekenen [a*𝛼]₁ van a en [𝛼]₁: gaskosten 6,000
• Met ECPAIR kan een product van elliptische curve-paren worden gecontroleerd, dwz bereken e([𝛼₁]₁, [𝛽₁]₂)* … *e([𝛼₁]₁, [𝛽₁]₂) = 1 wat gelijk is aan het controleren dat 𝛼₁*𝛽₁+ … +_k*𝛽_k = 0 : gaskosten 34,000 * k + 45,000

Zou Ethereum BLS12_381 kunnen inschakelen (zoals voorgesteld in EIP-2537), zou ons setup-contract ook gemakkelijk voor deze andere curve kunnen worden gemaakt.

Laten we een schatting maken van de gaskosten om de setup bij te werken naar ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, ..., [𝜏ⁿ]₁; [𝜏]₂):

1. Gaskosten voor het verifiëren van het bewijs. Elke deelnemer werkt de setup bij en dient een proef in met drie componenten zoals hierboven beschreven. De componenten 1 en 3 van het bewijs - "kennis van discrete log" en "update wordt niet gewist" - zijn erg goedkoop om te verifiëren. De uitdaging zit hem in het verifiëren van component 2, "goed gevormde pp"₁”, aan de ketting. Het vereist een grote multi-scalaire vermenigvuldiging (MSM) en twee paren:
   e(𝝆₀[1]₁ +₁[𝜏]₁ +₂[𝜏²]₁ + … +_n-1[𝜏^n-2]₁, [𝜏]₂) = e([𝜏]₁ +₁[𝜏²]₁ + … +_n-1[𝜏^n-1]₁, [twee]₂),
   waar₀,…,𝝆_n-1 zijn pseudo-willekeurig gesamplede scalairen. In termen van voorgecompileerde slimme contracten zou het volgende nodig zijn:
   (2n-4) x ECADD + (2n-4) x ECMULT + ECPAIR_{k = 2} = (2n-4) x 6,150 + 113,000 gas.
2. Gaskosten voor het opslaan van gegevens. Elke deelnemer slaat de update ook on-chain op als calldata (68 gas per byte) en rekent tot n*64*68 gas. (Een opmerking voor degenen die bekend zijn met cryptografie met elliptische krommen: het opslaan van gecomprimeerde punten zou ervoor zorgen dat decompressie de totale kosten domineert volgens onze metingen voor n = 256.)

Dit brengt ons bij de volgende tabel met schattingen van de gaskosten die toekomstige optimalisaties zouden moeten informeren:

We onderzoeken oplossingen om de gaskosten te verlagen, dus houd ons in de gaten!

Open source bibliotheek: evm-powers-of-tau

We hebben onze op EVM gebaseerde powers-of-tau-ceremonierepo open source gemaakt op: github.com/a16z/evm-powers-of-tau. Een ceremonie houden met onze strategie is eenvoudig en transparant:

1. Het opslag- en verificatiecontract implementeren (contracten/KZG.sol)
2. Een bijdrager leest ceremonieparameters uit eerdere transactie-oproepgegevens
3. De bijdrager genereert lokaal een geheim, berekent de bijgewerkte parameters
4. De bijdrager genereert zijn bewijs: pi1, pi2
5. De bijdrager dient de bijgewerkte parameters via KZG.potUpdate() in bij het geïmplementeerde slimme contract op de openbare blockchain
6. Het slimme contract controleert de geldigheid van de update en keert terug in het geval van een verkeerd opgemaakte inzending
7. Meerdere bijdragers kunnen de stappen 2-5 doorlopend uitvoeren, waarbij elk de veiligheid van de ceremonie verhoogt
8. Wanneer een ontwikkelaar zeker is van het aantal en de kwaliteit van de inzendingen, kunnen ze de blockchain opvragen voor de huidige parameters en deze waarden gebruiken als hun cryptografische sleutels

Onze repo gebruikt arkworks-rs om stap twee en drie te berekenen (de roestberekening is te vinden in src/pot_update.rs), maar gebruikers willen misschien hun eigen schrijven. De volledige end-to-end stroom van het indienen van updates is te vinden in de integratietest in tests/integratie_test.rs.

Houd er rekening mee dat we ervoor hebben gekozen om calldata te gebruiken om bijgewerkte powers-of-tau-parameters in de keten op te slaan, omdat dit verschillende ordes van grootte goedkoper is dan opslag. Een op ethers-rs gebaseerde query voor deze gegevens is te vinden in: src/query.rs.

Ten slotte zijn bewijzen en gedetailleerde vergelijkingen te vinden in het technisch rapport in techreport/main.pdf.

Toekomstwerk

Voordat deze vertrouwde opstellingsceremonie in productie kan worden gebruikt, raden we aan eerst een uitgebreide audit te doen van zowel de wiskundige bewijzen als de voorbeeldimplementatie.

Zoals geïmplementeerd, groeien de transactiekosten voor het updaten van de ceremonie lineair met de setup-grootte. Voor de meeste toepassingen (SNARK's, DAS) willen we een setup van n >= 256, die momenteel $73 per update kost. 

We kunnen mogelijk sublineaire verificatiekostengroei bereiken met een STARK-bewijs van de geldige updateberekening en een vectortoezegging aan de bijgewerkte waarden. Deze constructie zou ook de afhankelijkheid van de Ethereum L1 BN254-precompiles wegnemen, waardoor het gebruik van de meer populaire BLS12-381-curve mogelijk wordt.

Alle ceremoniestrategieën hebben compromissen. We denken dat deze constructie solide is en geweldige verifieerbare censuurweerstandseigenschappen heeft. Maar nogmaals, we waarschuwen tegen het gebruik van deze methode totdat er meer werk is gedaan om de degelijkheid van onze aanpak te verifiëren.

Dankwoord

• Dan Boneh – voor nuttige feedback in de vroege stadia van dit werk
• Joe Bonneau – voor het verduidelijken van de uiteenzetting in de vroege versie van het technisch rapport
• William Borgeaud - voor discussie over BLS binnen TurboPlonk / Plonky2
• Mary Maller - voor gedachten over de algemene mechanica van de benadering

Redacteur: Robert Hackett @rhhackett

***

De standpunten die hier naar voren worden gebracht, zijn die van het individuele personeel van AH Capital Management, LLC (“a16z”) dat wordt geciteerd en zijn niet de standpunten van a16z of haar gelieerde ondernemingen. Bepaalde informatie in dit document is verkregen uit externe bronnen, waaronder van portefeuillebedrijven van fondsen die worden beheerd door a16z. Hoewel ontleend aan bronnen die betrouwbaar worden geacht, heeft a16z dergelijke informatie niet onafhankelijk geverifieerd en doet het geen uitspraken over de huidige of blijvende nauwkeurigheid van de informatie of de geschiktheid ervan voor een bepaalde situatie. Bovendien kan deze inhoud advertenties van derden bevatten; a16z heeft dergelijke advertenties niet beoordeeld en keurt de daarin opgenomen advertentie-inhoud niet goed.

Deze inhoud is uitsluitend bedoeld voor informatieve doeleinden en mag niet worden beschouwd als juridisch, zakelijk, investerings- of belastingadvies. U dient hierover uw eigen adviseurs te raadplegen. Verwijzingen naar effecten of digitale activa zijn alleen voor illustratieve doeleinden en vormen geen beleggingsaanbeveling of aanbod om beleggingsadviesdiensten te verlenen. Bovendien is deze inhoud niet gericht op of bedoeld voor gebruik door beleggers of potentiële beleggers, en mag er in geen geval op worden vertrouwd bij het nemen van een beslissing om te beleggen in een fonds dat wordt beheerd door a16z. (Een aanbod om te beleggen in een a16z-fonds wordt alleen gedaan door middel van het onderhandse plaatsingsmemorandum, de inschrijvingsovereenkomst en andere relevante documentatie van een dergelijk fonds en moet in hun geheel worden gelezen.) Alle genoemde beleggingen of portefeuillebedrijven waarnaar wordt verwezen, of beschreven zijn niet representatief voor alle investeringen in voertuigen die door a16z worden beheerd, en er kan geen garantie worden gegeven dat de investeringen winstgevend zullen zijn of dat andere investeringen die in de toekomst worden gedaan vergelijkbare kenmerken of resultaten zullen hebben. Een lijst van investeringen die zijn gedaan door fondsen die worden beheerd door Andreessen Horowitz (met uitzondering van investeringen waarvoor de uitgevende instelling geen toestemming heeft gegeven aan a16z om openbaar te maken, evenals onaangekondigde investeringen in openbaar verhandelde digitale activa) is beschikbaar op https://a16z.com/investments /.

De grafieken en grafieken die hierin worden verstrekt, zijn uitsluitend bedoeld voor informatieve doeleinden en er mag niet op worden vertrouwd bij het nemen van een investeringsbeslissing. In het verleden behaalde resultaten zijn geen indicatie voor toekomstige resultaten. De inhoud spreekt alleen vanaf de aangegeven datum. Alle projecties, schattingen, voorspellingen, doelstellingen, vooruitzichten en/of meningen die in deze materialen worden uitgedrukt, kunnen zonder voorafgaande kennisgeving worden gewijzigd en kunnen verschillen of in strijd zijn met meningen van anderen. Zie https://a16z.com/disclosures voor aanvullende belangrijke informatie.