På-kjeden pålitelig oppsettseremoni

Den pålitelige oppsettseremonien er en av smertene – og spenningene – til kryptosamfunn. Målet med en seremoni er å generere pålitelige kryptografiske nøkler for sikring av kryptolommebøker, blokkjedeprotokoller eller nullkunnskapssikre systemer. Disse (noen ganger flamboyante) prosedyrene er ofte roten til tillit for et gitt prosjekts sikkerhet, og de er derfor ekstremt viktige å få riktig.

Blockchain-prosjekter kjører seremonier på en rekke kreative måter - som involverer blåselamper, radioaktivt støv og fly - men alle deler noe til felles: de involverer alle en sentralisert koordinator. Med dette arbeidet viser vi hvordan vi kan desentralisere prosessen ved å erstatte den sentraliserte koordinatoren med en smart kontrakt. I tillegg tilbyr vi åpen kildekode til et bibliotek som lar hvem som helst gjennomføre en slik seremoni – kjent for kryptoutøvere som en Kate-Zaverucha-Goldberg (KZG) eller "powers-of-tau"-seremoni - på Ethereum-kjeden. Alle kan delta ved å betale transaksjonsgebyrene!

Vår desentraliserte tilnærming har begrensninger, men den er fortsatt nyttig. På grunn av gjeldende databegrensninger i kjeden, må størrelsen på de kryptografiske parameterne holdes korte, dvs. ikke mer enn 64 KB. Men antall deltakere har ingen tak, og folk kan fortsette å sende inn bidrag til evig tid. Applikasjoner for disse korte parametrene inkluderer små nullkunnskaps-SNARK-er, sampling av datatilgjengelighetog Verkle trær.

Historie og mekanikk for den pålitelige oppsettseremonien

I en typisk pålitelig oppsettseremoni vil en gruppe deltakere i samarbeid generere et sett med kryptografiske parametere. Hver deltakende part bruker hemmelig informasjon, generert lokalt, for å generere data som hjelper til med å lage disse parameterne. Riktig oppsett sikrer at hemmeligheter ikke lekker, at hemmeligheter bare brukes som angitt av protokollen, og at disse hemmelighetene blir fullstendig ødelagt på slutten av seremonien. Så lenge minst en av partene i seremonien oppfører seg ærlig, ikke blir kompromittert og ødelegger sin lokale hemmelighet, kan hele oppsettet betraktes som sikkert. (Selvfølgelig forutsetter det at matematikken er riktig og at koden ikke har noen feil.)

Noen av de mest fremtredende seremoniene var drevet av Zcash, et personvernorientert blokkjedeprosjekt. Deltakere i disse seremoniene genererte offentlige parametere designet for å tillate Zcash-brukere å konstruere og verifisere private kryptotransaksjoner. Seks deltakere gjennomførte den første Zcash-seremonien, Sprout, i 2016. To år senere gjennomførte kryptoforsker Ariel Gabizon, nå sjefforsker ved Aztec, funnet en ødeleggende feil i utformingen av seremonien som ble arvet fra en grunnleggende forskningsoppgave. Sårbarheten kunne ha gjort det mulig for angripere å lage ubegrensede Zcash-mynter uten å bli oppdaget. Zcash-teamet holdt sårbarheten hemmelig i syv måneder inntil en systemoppgradering, Sapling, hvis seremoni involverte 90 deltakere, tok opp problemet. Mens et angrep basert på sikkerhetshullet ikke ville ha påvirket personvernet til brukernes transaksjoner, undergravde utsiktene til uendelig forfalskning Zcashs sikkerhetsforutsetning. (Det er teoretisk umulig å vite om et angrep fant sted.)

Et annet bemerkelsesverdig eksempel på et pålitelig oppsett er evigvarende "powers-of-tau"-seremoni designet primært for semafor, en personvernbevarende teknologi for anonym signalering på Ethereum. Oppsettet brukte en BN254 elliptisk kurve og har hatt 71 deltakere så langt. Andre fremtredende prosjekter brukte senere dette oppsettet til å kjøre sine egne seremonier på toppen, inkludert Tornado.Cash (nylig sanksjonert av den amerikanske regjeringen), Hermez nettverk, og Loopring. Aztec kjørte en lignende seremoni på en BLS12_381 elliptisk kurve med 176 deltakere for zkSync, en "lag to" Ethereum-skaleringsløsning som bruker null kunnskapsopprullinger. Filecoin, en desentralisert datalagringsprotokoll, gjennomførte en seremoni med 19 og 33 deltakere, i henholdsvis første og andre fase, og ga den opprinnelige repoen. hete, en lag-1 blokkjede, kjørte en seremoni for deres lysklient Plumo også.

Evigende seremonier har ingen begrensning på antall deltakere. Med andre ord, i stedet for å stole på at andre mennesker kjører en pålitelig oppsettseremoni, kan ALLE delta uansett grad av sikkerhet som tilfredsstiller deres tilfredshet. En enkelt pålitelig deltaker sikrer sikkerheten til alle de resulterende parameterne; kjeden er like sterk som dens sterkeste ledd. Evige seremonier kan foregå, som navnet tilsier, i evighet, slik premisset var med den opprinnelige powers-of-tau-seremonien. Når det er sagt, bestemmer prosjekter ofte en konkret start- og sluttid for seremoniene sine, på den måten kan de legge inn de resulterende parametrene i protokollene sine og trenger ikke å bekymre seg for å kontinuerlig oppdatere dem.

Ethereum planlegger å kjøre en mindre pålitelig oppsettseremoni for kommende ProtoDankSharding og DankSharding oppgraderinger. Disse to oppgraderingene vil øke mengden data som Ethereum-kjeden gir til klienter for lagring. Disse dataene vil ha et utløp av foreslåtte 30 til 60 dager. Seremonien er under aktiv utvikling, og er planlagt å kjøre i seks uker tidlig neste år. (Se kzg-seremoni-spesifikasjoner for flere detaljer.) Det ser ut til å bli den største pålitelige oppsettseremonien for blokkjeder som er kjørt så langt.

Paranoia er en dyd når det kommer til pålitelige oppsettseremonier. Hvis maskinens maskinvare eller programvare er kompromittert, kan det undergrave sikkerheten til hemmelighetene den genererer. Sneke sidekanalangrep som lekker hemmeligheter kan også være vanskelig å utelukke. En telefon kan spionere på en datamaskins operasjoner ved ta opp lydbølger av CPU-vibrasjoner, for eksempel. I praksis, siden det er uhyre vanskelig å eliminere alle mulige sidekanalangrep – inkludert de som fortsatt skal oppdages eller avsløres – er det til og med forslag om å fly maskiner til verdensrommet for å utføre seremonier der.

Foreløpig går lekeboken for seriøse seremonideltakere vanligvis som følger. Kjøp en ny maskin (ubegriset maskinvare). Luft-gap den ved å fjerne alle nettverkskortene (for å forhindre at lokale hemmeligheter forlater maskinen). Kjør maskinen i et Faraday-bur på et avsidesliggende ikke avslørt sted (for å hindre potensielle snokere). Sett den pseudo-tilfeldige hemmelige generatoren med massevis av entropi og hardt replikerte data som tilfeldige tastetrykk eller videofiler (for å gjøre hemmelighetene vanskelige å knekke). Og til slutt, ødelegge maskinen – sammen med eventuelle spor av hemmelighetene – ved å brenne alt til aske. 😀

Koordinering av pålitelige oppsettseremonier

Her er et morsomt utvalg av sitater fra noen tidligere pålitelige deltakere i oppsettseremonien:

• "…blåselampen ble brukt til å metodisk varme opp elektronikken helt stykke for stykke til alt var svertet..."- Peter Todd på å fysisk ødelegge de lokale hemmelighetene.
• "Jeg har her et stykke stoff som har grafittstøv [fra] kjernen av [Tsjernobyl]-reaktoren ... Du teller hver fjerde puls [fra en Geiger-teller koblet til en mikrokontroller] og du sammenligner tidsintervallet mellom puls en og to og tidsintervallet mellom puls tre og fire, og hvis den er større får du en null, hvis den er mindre får du en ener.» "...vi er i ferd med å sette oss inn i dette flyet og generere våre tilfeldige tall ..." - Ryan Pierce og Andrew Miller på hemmelig generasjon.

• "Selgeren sa at de hadde 13 [datamaskiner]. Jeg spurte om vi kunne velge en av de 13. Han spurte om det var noe jeg var spesielt ute etter (forvirret fordi alle er like) og jeg sa at jeg bare ville velge en tilfeldig. Han sa at han ikke kunne slippe oss inn på lageret bak. Jeg spurte om han ville ta med to av dem ut slik at vi kunne velge en av de to. Han tok to ut på en håndkjerre. Jerry valgte en av de to datamaskinene, og vi tok den med til registeret for å sjekke ut."- Peter Van Valkenburgh på å få en ny maskin.
• "De første timene av seremonien ble utført i et provisorisk Faraday-bur laget av aluminiumsfolie og plastfolie. Jeg flyttet den bærbare datamaskinen ut av Faraday-buret siden den hadde dårlig ventilasjon og ble varm å ta på"- Koh Wei Jie på sidekanalbeskyttelse.
• ".. utførte en del av seremonien i fjellet uten naboer."- Micheal Lapinski på sidekanalbeskyttelse.
• "Jeg valgte å bruke video av omgivelsene for å generere tilstrekkelig entropi"- Muhd Amrullah på generering av tilfeldige verdier.

Alle disse seremoniene var avhengige av en sentralisert koordinator. Koordinatoren er en individuell eller privat server eller en annen enhet som er betrodd å registrere og bestille deltakere, fungere som et relé ved å videresende informasjon fra den forrige deltakeren til den neste, og å føre en sentralisert logg over all kommunikasjon for revisjonsformål. Koordinatoren er typisk også ansvarlig for å gjøre loggen tilgjengelig for allmennheten til evig tid; selvfølgelig, jegDet er alltid en mulighet med et sentralisert system for at data kan gå tapt eller feiladministreres. (Perpetual-powers-of-tau er for eksempel lagret på Microsoft Azure og Github.)

Det slo oss som ironisk at kryptoprosjekter må stole på sentraliserte pålitelige oppsettseremonier når desentralisering er en slik kjernen i kryptoetosen. Så vi bestemte oss for å demonstrere gjennomførbarheten av å gjennomføre en liten seremoni for evige-krefter-of-tau direkte på Ethereum-blokkjeden! Oppsettet er fullstendig desentralisert, tillatelsesløst, sensurbestandig og er sikkert så lenge en enkelt av deltakerne er ærlig [se ansvarsfraskrivelser]. Å delta i seremonien koster bare 292,600 17,760,000 til 7 400 8 gass (omtrent $1024 til $XNUMX til gjeldende priser), avhengig av størrelsen på de ønskede resulterende parameterne (i dette tilfellet mellom XNUMX og XNUMX powers-of-tau). (Se tabellen nedenfor for konkrete kostnader – vi går nærmere inn på disse beregningene senere i innlegget.)

Foreløpig anbefaler vi å ikke bruke koden til annet enn eksperimentelle formål! Vi vil sette stor pris på om noen som finner problemer med koden rapporterer dem til oss. Vi vil gjerne samle tilbakemeldinger på og revisjoner av tilnærmingen vår.

Forstå KZG eller 'powers-of-tau'-seremonien

La oss utforske en av de mest populære pålitelige oppsettene, som er kjent som KZG, eller «powers-of-tau»-seremonien. Takk til Ethereums medgrunnlegger Vitalik Buterin, hvis blogginnlegg om pålitelige oppsett informerte ideene våre i denne delen. Oppsettet genererer kodingene til powers-of-tau, slik kalt fordi "tau" tilfeldigvis er variabelen som brukes til å uttrykke hemmelighetene generert av deltakerne:

pp = [[𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, …, [𝜏^k]₂]

For noen applikasjoner (f.eks. Groth16, et populært zkSNARK-prøveskjema designet av Jens Groth i 2016), blir denne første fasen av oppsettet etterfulgt av en andre fase, en multiparty computation (MPC)-seremoni, som genererer parametere for en spesifikk SNARK-krets. . Arbeidet vårt fokuserer imidlertid utelukkende på fase én. Denne første fasen – genereringen av powers-of-tau – er allerede nyttig som en grunnleggende byggestein for universelle SNARK-er (f.eks. PLONK og SONIC), så vel som andre kryptografiapplikasjoner, som f.eks. KZG-forpliktelser, Verkle trær og sampling av datatilgjengelighet (DAS). Generelt bør universelle SNARK-parametere være veldig store, slik at de kan støtte store og nyttige kretser. Kretser som inneholder flere porter er generelt mer nyttige da de kan fange opp store beregninger; antall powers-of-tau tilsvarer omtrent antallet porter i kretsen. Så et typisk oppsett vil være av størrelsen |pp| = ~40 GB og i stand til å støtte kretser med ~2²⁸ porter. Gitt Ethereums nåværende begrensninger, ville det være umulig å sette så store parametere på kjeden, men en mindre pålitelig oppsettseremoni som er nyttig for små SNARK-kretser, Verkle-trær eller DAS kan muligens kjøres på kjeden.

Ethereum Foundation planlegger å drive flere mindre seremonier for powers-of-tau i størrelse 200 KB til 1.5 MB. Selv om større seremonier kan virke bedre, gitt at større parametere kan skape mer nyttige SNARK-kretser, er større faktisk ikke alltid bedre. Enkelte applikasjoner, for eksempel DAS, trenger spesifikt en mindre! [Årsaken er veldig teknisk, men hvis du er nysgjerrig, er det fordi et oppsett med n potenser (i G₁) muliggjør bare KZG-forpliktelser til polynomer med grad ≤ n, noe som er avgjørende for å sikre at polynomet under KZG-forpliktelsen kan rekonstrueres fra alle n evalueringer. Denne egenskapen muliggjør data-tilgjengelighet-sampling: hver gang t tilfeldige evalueringer av polynomet oppnås (samplet) gir det en forsikring om at polynomet kan rekonstrueres fullstendig med sannsynlighet t/n. Hvis du vil lære mer om DAS, sjekk ut dette innlegget av Buterin på Ethereum Research-forumet.]

Vi designet en smart kontrakt som kan distribueres på Ethereum-blokkjeden for å gjennomføre en pålitelig oppsettseremoni. Kontrakten lagrer de offentlige parametrene – powers-of-tau – fullt ut i kjeden, og samler deltakelse gjennom brukernes transaksjoner.

En ny deltaker leser først disse parameterne:

pp₀ = ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, …, [𝜏^k]₂),

prøver deretter en tilfeldig hemmelighet 𝜏' og beregner oppdaterte parametere:

pp₁ = ([𝜏𝜏']₁, [(𝜏𝜏')²]₁, [(𝜏𝜏')³]₁, …, [(𝜏𝜏')ⁿ]₁; [𝜏𝜏']₂, [(𝜏𝜏')²]₂, …, [(𝜏𝜏')^k]₂),

og publiserer dem på kjeden med et bevis som viser tre ting:

1. Kunnskap om diskret-logg: deltakeren vet 𝜏'. (Et bevis på at det siste bidraget til den pålitelige oppsettseremonien bygger på arbeidet til alle tidligere deltakere.)
2. Velformethet av pp₁: elementene koder faktisk for inkrementelle krefter.(En validering av formen til en ny deltakers bidrag til seremonien.)
3. Oppdateringen slettes ikke: 𝜏' ≠ 0. (Et forsvar mot angripere som prøver å undergrave systemet ved å slette alle deltakernes tidligere arbeid.)

Den smarte kontrakten verifiserer beviset, og hvis det er riktig, oppdaterer den de offentlige parameterne den lagrer. Du kan finne flere detaljer om matematikken og begrunnelsen bak den i repo.

Beregning av gasskostnader

Hovedutfordringen med å kjøre oppsettet på kjeden er å gjøre den pålitelige oppsettseremonien så gasseffektiv som mulig. Ideelt sett vil det ikke koste mer enn ~$50 å sende inn et bidrag. (Store prosjekter kan være i stand til å subsidiere gass for bidragsytere, i så fall er det lettere å forestille seg å ha hundrevis av deltakere som hver bruker $100). Nedenfor gir vi flere detaljer om de dyreste delene av oppsettet. Lavere gasskostnader vil redusere kostnadene for bidrag og tillate konstruksjon av lengre parametere (flere tau-krefter og større SNARK-kretser)!

Oppsettet vårt fungerer for den elliptiske kurven BN254 (også kjent som BN256, BN128 og alt_bn128), som har støtte for følgende forhåndskompilerte kontrakter på Ethereum:

• ECADD lar to elliptiske kurvepunkter legges til, dvs. beregne [𝛼+𝛽]₁ fra [𝛼]₁ og [𝛽]₁: gass koster 150,-
• ECMULT lar elliptiske kurvepunkter multipliseres med en skalar, dvs. beregne [a*𝛼]₁ fra a og [𝛼]₁: gass koster 6,000,-
• ECPAIR lar et produkt av elliptiske kurveparinger kontrolleres, dvs. beregne e([𝛼₁]₁, [𝛽₁]₂)* … *e([𝛼₁]₁, [𝛽₁]₂) = 1 som tilsvarer å sjekke det 𝛼₁*𝛽₁+ … + 𝛼_k*𝛽_k = 0 : gasskostnad 34,000 45,000 * k + XNUMX XNUMX

Kan Ethereum aktivere BLS12_381 (som foreslått i EIP-2537), kan oppsettskontrakten vår enkelt gjøres for å fungere for denne andre kurven også.

La oss anslå gasskostnaden for å oppdatere oppsettet til ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂):

1. Gasskostnad for å verifisere beviset. Hver deltaker oppdaterer oppsettet og sender inn et bevis med tre komponenter som beskrevet ovenfor. Komponentene 1 og 3 i beviset – «kunnskap om diskret logg» og «oppdatering som ikke sletter» – er veldig billige å verifisere. Utfordringen er å verifisere komponent 2, "velformethet av pp₁", på kjede. Det krever en stor multi-skalar-multiplikasjon (MSM) og to sammenkoblinger:
   e(𝝆₀[1]₁ + 𝆆₁[𝜏]₁ + 𝆆₂[𝜏²]₁ + … + 𝝆_n-1[𝜏^n-2]₁, [𝜏]₂) = e([𝜏]₁ + 𝆆₁[𝜏²]₁ + … + 𝝆_n-1[𝜏^n-1]₁, [to]₂),
   hvor 𝆆₀,…,𝆆_n-1 er pseudo-tilfeldig utvalgte skalarer. Når det gjelder forhåndskompilerte smartkontrakter, vil det ta:
   (2n-4) x ECADD + (2n-4) x ECMULT + ECPAIR_{k = 2} = (2n-4) x 6,150 + 113,000 gass.
2. Gasskostnad for lagring av data. Hver deltaker lagrer også oppdateringen på kjeden som samtaledata (68 gass per byte) som står for n*64*68 gass. (En merknad for de som er kjent med elliptisk kurvekryptografi: lagring av komprimerte punkter vil få dekompresjon til å dominere den totale kostnaden i henhold til våre målinger for n=256.)

Dette bringer oss til følgende tabell med estimering av gasskostnader som bør informere fremtidige optimaliseringer:

Vi utforsker løsninger for å få ned gasskostnadene, så følg med!

Åpen kildekodebibliotek: evm-powers-of-tau

Vi har åpen kildekode vår EVM-baserte powers-of-tau-seremoni repo kl github.com/a16z/evm-powers-of-tau. Å gjennomføre en seremoni med vår strategi er enkelt og transparent:

1. Distribuer lagrings- og verifiseringskontrakten (contracts/KZG.sol)
2. En bidragsyter leser seremoniparametere fra tidligere transaksjonsanropsdata
3. Bidragsyteren genererer en hemmelighet lokalt, beregner de oppdaterte parameterne
4. Bidragsyteren genererer sitt bevis: pi1, pi2
5. Bidragsyteren sender de oppdaterte parameterne via KZG.potUpdate() til den utplasserte smarte kontrakten på den offentlige blokkjeden
6. Den smarte kontrakten vil verifisere gyldigheten av oppdateringen, og går tilbake i tilfelle en misformet innsending
7. Flere bidragsytere kan utføre trinn 2-5 i evighet, som hver øker sikkerheten til seremonien
8. Når en utvikler er trygg på antall og kvalitet på innsendinger, kan de spørre blokkjeden for gjeldende parametere og bruke disse verdiene som sine kryptografiske nøkler

Vår repo bruker arkworks-rs for å beregne trinn to og tre (rustberegningen finner du i src/pot_update.rs), men brukere vil kanskje skrive sine egne. Hele ende-til-ende flyten av oppdateringsinnsending finner du i integrasjonstesten i tests/integration_test.rs.

Merk at vi har valgt å bruke calldata til å lagre oppdaterte powers-of-tau-parametere på kjeden da det er flere størrelsesordener billigere enn lagring. En ethers-rs-basert spørring for disse dataene kan finnes i src/query.rs.

Til slutt kan du finne bevis og detaljerte ligninger i den tekniske rapporten i techreport/main.pdf.

Fremtidig arbeid

Før denne pålitelige oppsettseremonien kan brukes i produksjon, anbefaler vi først å ha en omfattende revisjon av både de matematiske bevisene og prøveimplementeringen.

Som implementert vokser transaksjonskostnadene ved å oppdatere seremonien lineært med oppsettstørrelsen. For de fleste applikasjoner (SNARK, DAS) ønsker vi et oppsett på n >= 256, som for øyeblikket koster $73 per oppdatering. 

Vi kan kanskje oppnå sublineær verifiseringskostnadsvekst med et STARK-bevis på den gyldige oppdateringsberegningen og en vektorforpliktelse til de oppdaterte verdiene. Denne konstruksjonen vil også fjerne avhengigheten av Ethereum L1 BN254-prekompileringene, noe som muliggjør bruken av den mer populære BLS12-381-kurven.

Alle seremonistrategier har avveininger. Vi synes denne konstruksjonen er solid og har gode etterprøvbare sensurmotstandsegenskaper. Men igjen, vi vil advare mot å bruke denne metoden før mer arbeid er gjort for å verifisere tilnærmingens forsvarlighet.

Erkjennelsene

• Dan Boneh – for nyttig tilbakemelding i de tidlige stadiene av dette arbeidet
• Joe Bonneau – for å klargjøre utstillingen i den tidlige versjonen av den tekniske rapporten
• William Borgeaud - for diskusjon om BLS innen TurboPlonk / Plonky2
• Mary Maller - for tanker om tilnærmingens generelle mekanikk

Redaktør: Robert Hackett @rhhackett

***

Synspunktene som er uttrykt her, er de fra individuelle AH Capital Management, LLC (“a16z”) personell som er sitert og er ikke synspunktene til a16z eller dets tilknyttede selskaper. Visse opplysninger her er innhentet fra tredjepartskilder, inkludert fra porteføljeselskaper av fond forvaltet av a16z. Selv om a16z er hentet fra kilder som antas å være pålitelige, har ikke a16z uavhengig verifisert slik informasjon og gir ingen representasjoner om den nåværende eller varige nøyaktigheten til informasjonen eller dens hensiktsmessighet for en gitt situasjon. I tillegg kan dette innholdet inkludere tredjepartsannonser; aXNUMXz har ikke vurdert slike annonser og støtter ikke noe reklameinnhold som finnes deri.

Dette innholdet er kun gitt for informasjonsformål, og bør ikke stoles på som juridisk, forretningsmessig, investerings- eller skatterådgivning. Du bør rådføre deg med dine egne rådgivere om disse sakene. Referanser til verdipapirer eller digitale eiendeler er kun for illustrasjonsformål, og utgjør ikke en investeringsanbefaling eller tilbud om å tilby investeringsrådgivningstjenester. Videre er dette innholdet ikke rettet mot eller ment for bruk av noen investorer eller potensielle investorer, og kan ikke under noen omstendigheter stoles på når du tar en beslutning om å investere i et fond som forvaltes av a16z. (Et tilbud om å investere i et a16z-fond vil kun gis av det private emisjonsmemorandumet, tegningsavtalen og annen relevant dokumentasjon for et slikt fond og bør leses i sin helhet.) Eventuelle investeringer eller porteføljeselskaper nevnt, referert til, eller beskrevet er ikke representative for alle investeringer i kjøretøy forvaltet av a16z, og det kan ikke gis noen garanti for at investeringene vil være lønnsomme eller at andre investeringer som gjøres i fremtiden vil ha lignende egenskaper eller resultater. En liste over investeringer foretatt av fond forvaltet av Andreessen Horowitz (unntatt investeringer som utstederen ikke har gitt tillatelse til at a16z kan offentliggjøre så vel som uanmeldte investeringer i børsnoterte digitale eiendeler) er tilgjengelig på https://a16z.com/investments /.

Diagrammer og grafer gitt i er kun for informasjonsformål og bør ikke stoles på når du tar investeringsbeslutninger. Tidligere resultater er ikke en indikasjon på fremtidige resultater. Innholdet taler kun fra den angitte datoen. Eventuelle anslag, estimater, prognoser, mål, prospekter og/eller meninger uttrykt i dette materialet kan endres uten varsel og kan avvike eller være i strid med meninger uttrykt av andre. Vennligst se https://a16z.com/disclosures for ytterligere viktig informasjon.