Ceremonia konfiguracji zaufanej sieci

Ceremonia zaufanej konfiguracji jest jednym z bolączek – i ekscytacji – społeczności kryptograficznych. Celem ceremonii jest wygenerowanie wiarygodnych kluczy kryptograficznych do zabezpieczania portfeli kryptograficznych, protokołów blockchain lub systemów odpornych na wiedzę zerową. Te (czasem ekstrawaganckie) procedury są często źródłem zaufania do bezpieczeństwa danego projektu i dlatego są niezwykle ważne, aby je wykonać.

Projekty Blockchain prowadzą ceremonie na wiele kreatywnych sposobów – z udziałem lamp lutowniczych, radioaktywnego pyłu i samolotów – ale wszystkie mają coś wspólnego: wszystkie obejmują scentralizowanego koordynatora. Dzięki tej pracy pokazujemy, jak zdecentralizować proces, zastępując scentralizowanego koordynatora inteligentnym kontraktem. Ponadto udostępniamy bibliotekę, która pozwala każdemu poprowadzić taką ceremonię – znaną praktykom kryptowalut jako Kate-Zaverucha-Goldberg (KZG) lub ceremonia „powers-of-tau” – na łańcuchu Ethereum. Każdy może wziąć udział po prostu płacąc opłaty transakcyjne!

Nasze zdecentralizowane podejście ma ograniczenia, ale nadal jest przydatne. Ze względu na obecne ograniczenia danych w sieci, rozmiar parametrów kryptograficznych musi być krótki, tj. nie większy niż 64 KB. Ale liczba uczestników nie jest ograniczona, a ludzie mogą wnosić wkłady bezterminowo. Zastosowania dla tych krótkich parametrów obejmują małe SNARK-y o zerowej wiedzy, próbkowanie dostępności danych, Drzewa Verkle.

Historia i mechanika zaufanej ceremonii ustawienia

Podczas typowej zaufanej ceremonii konfiguracji grupa uczestników wspólnie wygeneruje zestaw parametrów kryptograficznych. Każda uczestnicząca strona wykorzystuje tajne informacje, generowane lokalnie, do generowania danych, które pomagają w tworzeniu tych parametrów. Właściwe ustawienia zapewniają, że sekrety nie przeciekają, że sekrety są używane tylko zgodnie z protokołem i że te sekrety są całkowicie zniszczone pod koniec ceremonii. Tak długo, jak przynajmniej jedna ze stron podczas ceremonii zachowuje się uczciwie, nie jest zagrożona i niszczy swój lokalny sekret, całą konfigurację można uznać za bezpieczną. (Oczywiście zakładając, że matematyka jest poprawna, a kod nie zawiera błędów.)

Niektóre z najważniejszych ceremonii były: prowadzony przez Zcash, projekt blockchain zorientowany na prywatność. Uczestnicy tych ceremonii wygenerowali publiczne parametry zaprojektowane tak, aby umożliwić użytkownikom Zcash konstruowanie i weryfikację prywatnych transakcji kryptograficznych. Sześciu uczestników przeprowadziło pierwszą ceremonię Zcash, Sprout, w 2016 roku. Dwa lata później badacz kryptowalut Ariel Gabizon, obecnie główny naukowiec w Aztek, znaleziony niszczycielski błąd w projekcie ceremonii, który został odziedziczony po fundamentalny artykuł badawczy. Luka mogła umożliwić atakującym tworzenie nieograniczonej liczby monet Zcash bez wykrycia. Zespół Zcash utrzymywał tę lukę w tajemnicy przez siedem miesięcy, dopóki aktualizacja systemu, Sapling, w której ceremonii wzięło udział 90 uczestników, nie rozwiązała problemu. Chociaż atak oparty na luce bezpieczeństwa nie wpłynąłby na prywatność transakcji użytkowników, perspektywa nieskończonego fałszerstwa podważyła założenia bezpieczeństwa Zcash. (Teoretycznie nie można stwierdzić, czy doszło do ataku.)

Innym godnym uwagi przykładem zaufanej konfiguracji jest wieczysta ceremonia „mocy tau” przeznaczony głównie do Semafor, technologia chroniąca prywatność do anonimowej sygnalizacji w Ethereum. Konfiguracja wykorzystywała krzywą eliptyczną BN254 i do tej pory miała 71 uczestników. Inne wybitne projekty później wykorzystały tę konfigurację do prowadzenia własnych ceremonii na szczycie, w tym Tornado.Gotówka (niedawno usankcjonowane przez rząd USA), Hermeza sieć i Loopring. Aztek przeprowadził podobną ceremonię na krzywej eliptycznej BLS12_381 z udziałem 176 uczestników dla zkSync, rozwiązania do skalowania Ethereum „warstwy drugiej”, które wykorzystuje zerowe pakiety wiedzy. Filecoin, zdecentralizowany protokół przechowywania danych, przeprowadził ceremonię z udziałem 19 i 33 uczestników, odpowiednio w pierwszej i drugiej fazie, rozwidlając oryginalne repozytorium. Celo, blockchain warstwy 1, przeprowadził ceremonię dla swojego lekkiego klienta Plumo.

Ceremonie wieczyste nie mają ograniczeń co do liczby uczestników. Innymi słowy, zamiast ufać innym ludziom, że poprowadzą zaufaną ceremonię konfiguracji, KAŻDY może w niej uczestniczyć w stopniu, który spełnia ich satysfakcję. Jeden godny zaufania uczestnik zapewnia bezpieczeństwo wszystkich uzyskanych parametrów; łańcuch jest tak silny, jak jego najsilniejsze ogniwo. Ceremonie wieczyste mogą odbywać się, jak sama nazwa wskazuje, w nieskończoność, zgodnie z założeniem oryginalnej ceremonii mocy tau. To powiedziawszy, projekty często decydują o konkretnym czasie rozpoczęcia i zakończenia ceremonii, w ten sposób mogą osadzić wynikowe parametry w swoich protokołach i nie muszą się martwić o ich ciągłą aktualizację.

Ethereum planuje przeprowadzić mniejszą zaufaną ceremonię konfiguracji na nadchodzące ProtoDankSharding i DankSharding aktualizacje. Te dwie aktualizacje zwiększą ilość danych, które łańcuch Ethereum dostarcza klientom do przechowywania. Te dane będą miały sugerowany termin ważności 30 do 60 dni. Ceremonia jest w trakcie aktywnego rozwojuI jest planowany biegać przez sześć tygodni na początku przyszłego roku. (Widzieć kzg-ceremony-specyfikacje aby uzyskać więcej informacji.) Zapowiada się na największą zaufaną ceremonię konfiguracji dla blockchainów prowadzonych do tej pory.

Paranoja jest cnotą, jeśli chodzi o zaufane ceremonie konfiguracji. Jeśli sprzęt lub oprogramowanie maszyny zostanie naruszone, może to podważyć bezpieczeństwo generowanych przez nią tajemnic. Podstępne ataki z kanału bocznego, które ujawniają tajemnice, również mogą być trudne do wykluczenia. Telefon może szpiegować operacje komputera przez: nagrywanie fal dźwiękowych na przykład wibracji procesora. W praktyce, ponieważ niezwykle trudno jest wyeliminować wszystkie możliwe ataki z kanału bocznego – w tym te, które jeszcze nie zostały odkryte lub ujawnione – pojawiają się nawet propozycje, aby polecieć maszynami w kosmos w celu przeprowadzenia ceremonie tam.

Na razie podręcznik dla poważnych uczestników ceremonii zazwyczaj wygląda następująco. Kup nową maszynę (nieskażony sprzęt). Odetnij go, usuwając wszystkie karty sieciowe (aby zapobiec opuszczeniu maszyny przez lokalne tajemnice). Uruchom maszynę w klatce Faradaya w odległym, nieujawnionym miejscu (aby udaremnić niedoszłych szpiegów). Zasiej pseudolosowy generator sekretów z dużą ilością entropii i twardą replikacją danych, takich jak losowe naciśnięcia klawiszy lub pliki wideo (aby sekrety były trudne do złamania). A na koniec zniszcz maszynę – wraz z wszelkimi śladami tajemnic – spalając wszystko na popiół.

Koordynowanie zaufanych ceremonii konfiguracyjnych

Oto zabawny wybór cytatów z poprzednich zaufanych uczestników ceremonii konfiguracji:

• "…latarka była używana do metodycznego podgrzewania elektroniki kawałek po kawałku, aż wszystko zostało wyczernione…"- Peter Todd na fizycznym niszczeniu lokalnych tajemnic.
• „Mam tutaj kawałek materiału, który ma pył grafitowy [z] rdzenia reaktora [w Czarnobylu]… Liczysz co cztery impulsy [z licznika Geigera podłączonego do mikrokontrolera] i porównujesz odstęp czasowy między impulsem pierwszym a dwa i odstęp czasowy między impulsem trzecim a czwartym, a jeśli jest większy, otrzymujesz zero, jeśli jest mniejszy, otrzymujesz jedynkę. „…zaraz wsiądziemy do tego samolotu i wygenerujemy nasze losowe liczby…” - Ryan Pierce i Andrew Miller na tajnym pokoleniu.

• "Sprzedawca powiedział, że mają 13 [komputerów]. Zapytałem, czy moglibyśmy wybrać jedną z 13. Zapytał, czy jest coś, czego szukałem w szczególności (zdezorientowany, ponieważ wszystkie są takie same) i powiedziałem, że chcę wybrać tylko losową. Powiedział, że nie może nas wpuścić do tylnego magazynu. Zapytałem, czy przyniesie dwa z nich, abyśmy mogli wybrać jednego z nich. Wyjął dwa na wózku. Jerry wybrał jeden z dwóch komputerów i zabraliśmy go do kasy, aby sprawdzić."- Petera Van Valkenburgha na zakup nowej maszyny.
• "Pierwsze godziny ceremonii odbyły się w prowizorycznej klatce Faradaya wykonanej z folii aluminiowej i folii spożywczej. Wyciągnąłem laptopa z klatki Faradaya, ponieważ miał słabą wentylację i robił się gorący w dotyku"- Ko Wei Jie na osłonie bocznego kanału.
• "..odbyłem jedną część ceremonii w górach bez sąsiadów."- Michał Łapiński na osłonie bocznego kanału.
• "Zdecydowałem się użyć wideo z otoczenia, aby wygenerować wystarczającą entropię"- Muhda Amrullaha na generowanie wartości losowych.

Wszystkie te ceremonie opierały się na scentralizowanym koordynatorze. Koordynator to indywidualny lub prywatny serwer lub inna jednostka, której powierzono rejestrację i zamawianie uczestników, działanie jako przekaźnik, przekazując informacje od poprzedniego uczestnika do następnego oraz prowadzenie scentralizowanego dziennika całej komunikacji w celu kontroli. Koordynator jest zazwyczaj również odpowiedzialny za publiczne udostępnianie dziennika na zawsze; Oczywiście jaW przypadku scentralizowanego systemu danych, które mogą zostać utracone lub niewłaściwie zarządzane, zawsze istnieje możliwość. (Na przykład wieczyste uprawnienia tau są przechowywane na platformie Microsoft Azure i Github).

Uderzyło nas to, że projekty kryptograficzne muszą polegać na scentralizowanych zaufanych ceremoniach konfiguracji, gdy decentralizacja jest tak podstawową zasadą etosu kryptograficznego. Postanowiliśmy więc zademonstrować możliwość przeprowadzenia małej ceremonii wieczystej mocy tau bezpośrednio na blockchainie Ethereum! Konfiguracja jest w pełni zdecentralizowana, bez zezwoleń, odporna na cenzurę i jest bezpieczna, o ile którykolwiek z uczestników jest uczciwy [patrz zastrzeżenia]. Uczestnictwo w ceremonii kosztuje tylko od 292,600 17,760,000 do 7 400 8 gazu (ok. 1024 do XNUMX dolarów po cenach bieżących), w zależności od wielkości pożądanych parametrów wynikowych (w tym przypadku od XNUMX do XNUMX potęg tau). (Patrz tabela poniżej dla konkretnych kosztów – bardziej szczegółowo o tych obliczeniach omówimy w dalszej części postu.)

Jak dotąd radzimy nie używać kodu do celów innych niż eksperymentalne! Bylibyśmy bardzo wdzięczni, gdyby każdy, kto znajdzie jakieś problemy z kodem, zgłosi je nam. Chcielibyśmy zebrać opinie i audyty naszego podejścia.

Zrozumienie KZG lub ceremonii „mocy tau”

Przyjrzyjmy się jednej z najpopularniejszych zaufanych konfiguracji, znanej jako ceremonia KZG lub „mocy tau”. Podziękowania dla współzałożyciela Ethereum, Vitalika Buterina, którego post na blogu o zaufanych konfiguracjach poinformował o naszych pomysłach w tej sekcji. Konfiguracja generuje kodowania mocy tau, nazwane tak, ponieważ „tau” jest zmienną używaną do wyrażania sekretów generowanych przez uczestników:

pp = [[𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, …, [𝜏^k]₂]

W przypadku niektórych aplikacji (np. Groth16, popularny schemat sprawdzający zkSNARK zaprojektowany przez Jensa Grotha w 2016 r.), po pierwszej fazie konfiguracji następuje druga faza, ceremonia obliczeń wielostronnych (MPC), która generuje parametry dla określonego obwodu SNARK . Jednak nasza praca skupia się wyłącznie na fazie pierwszej. Ta pierwsza faza – generowanie mocy tau – jest już użyteczna jako podstawowy element konstrukcyjny uniwersalnych SNARK (np. PLONK i SONIC), a także innych zastosowań kryptograficznych, takich jak Zobowiązania KZG, Drzewa Verkle i próbkowanie dostępności danych (DAS). Generalnie uniwersalne parametry SNARKA powinny być bardzo duże, aby mogły obsługiwać duże i użyteczne obwody. Obwody zawierające więcej bramek są ogólnie bardziej przydatne, ponieważ mogą przechwytywać duże obliczenia; liczba potęg tau w przybliżeniu odpowiada liczbie bramek w obwodzie. Tak więc typowa konfiguracja będzie miała rozmiar |pp| = ~40 GB i może obsługiwać obwody z ~2²⁸ bramy. Biorąc pod uwagę obecne ograniczenia Ethereum, byłoby niewykonalne umieszczenie tak dużych parametrów w łańcuchu, ale mniejsza zaufana ceremonia konfiguracji przydatna w przypadku małych obwodów SNARK, drzew Verkle lub DAS może być uruchomiona w łańcuchu.

Fundacja Ethereum planuje uruchomić kilka mniejszych ceremonie dla powers-of-tau o rozmiarze od 200 KB do 1.5 MB. Podczas gdy większe ceremonie mogą wydawać się lepsze, biorąc pod uwagę, że większe parametry mogą stworzyć bardziej użyteczne obwody SNARK, większe w rzeczywistości nie zawsze jest lepsze. Niektóre aplikacje, takie jak DAS, wymagają konkretnie mniejszego! [Powód jest bardzo techniczny, ale jeśli jesteś ciekawy, to dlatego, że konfiguracja z n potęgami (w G₁) dopuszcza jedynie zobowiązania KZG do wielomianów stopnia ≤ n, co jest kluczowe dla upewnienia się, że wielomian pod zobowiązaniem KZG można zrekonstruować z dowolnych n ocen. Właściwość ta umożliwia próbkowanie dostępności danych: za każdym razem, gdy t losowych ocen wielomianu są pomyślnie uzyskane (próbkowane), daje to pewność, że wielomian może być w pełni zrekonstruowany z prawdopodobieństwem t/n. Jeśli chcesz dowiedzieć się więcej o DAS, sprawdź ten post autorstwa Buterin na forum Ethereum Research.]

Zaprojektowaliśmy inteligentną umowę, którą można wdrożyć na blockchainie Ethereum, aby przeprowadzić zaufaną ceremonię konfiguracji. Kontrakt przechowuje parametry publiczne – uprawnienia tau – w pełni w łańcuchu i gromadzi partycypację poprzez transakcje użytkowników.

Nowy uczestnik najpierw odczytuje te parametry:

pp₀ = ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, …, [𝜏^k]₂),

następnie pobiera losowy sekret 𝜏' i oblicza zaktualizowane parametry:

pp₁ = ([𝜏𝜏']₁, [(𝜏𝜏')²]₁, [(𝜏𝜏')³]₁, …, [(𝜏𝜏')ⁿ]₁; [𝜏𝜏']₂, [(𝜏𝜏')²]₂, …, [(𝜏𝜏')^k]₂),

i publikuje je w sieci z dowodem, który pokazuje trzy rzeczy:

1. Znajomość dyskretnych-log: uczestnik zna 𝜏'. (Dowód, że najnowszy wkład w zaufaną ceremonię konfiguracji opiera się na pracy wszystkich poprzednich uczestników).
2. Dobrze ukształtowany pp₁: elementy rzeczywiście kodują moce przyrostowe. (Potwierdzenie prawidłowości wkładu nowego uczestnika w ceremonię.)
3. Aktualizacja nie jest kasowana: 𝜏' ≠ 0. (Obrona przed atakującymi próbującymi podważyć system poprzez usunięcie wcześniejszej pracy wszystkich uczestników.)

Inteligentna umowa weryfikuje dowód i jeśli jest poprawny, aktualizuje przechowywane przez siebie parametry publiczne. Więcej szczegółów na temat matematyki i jej uzasadnienia znajdziesz w repo.

Obliczanie kosztów gazu

Głównym wyzwaniem związanym z prowadzeniem instalacji w łańcuchu jest sprawienie, aby zaufana ceremonia instalacji była jak najbardziej wydajna pod względem zużycia gazu. W idealnym przypadku złożenie wkładu kosztowałoby nie więcej niż ~ 50 USD. (Duże projekty mogą być w stanie dotować gaz dla wpłacających, w takim przypadku łatwiej jest sobie wyobrazić setki uczestników wydających po 100 USD). Poniżej podajemy więcej szczegółów na temat najdroższych części zestawu. Niższe koszty gazu obniżyłyby koszty wkładów i pozwoliłyby na budowę dłuższych parametrów (więcej mocy tau i większe obwody SNARK)!

Nasza konfiguracja działa dla krzywej eliptycznej BN254 (znanej również jako BN256, BN128 i alt_bn128), która obsługuje następujące wstępnie skompilowane umowy na Ethereum:

• ECADD pozwala na dodanie dwóch punktów krzywej eliptycznej, czyli obliczyć [𝛼+𝛽]₁ od [𝛼]₁ i [𝛽]₁: koszt gazu 150
• ECMULT umożliwia pomnożenie punktów krzywej eliptycznej przez skalar, czyli obliczenie [a*𝛼]₁ z i [𝛼]₁: koszt gazu 6,000
• ECPAIR umożliwia sprawdzenie iloczynu par krzywych eliptycznych, tj. obliczenie e([𝛼₁]₁, [𝛽₁]₂)* … *e([𝛼₁]₁, [𝛽₁]₂) = 1, co jest równoważne sprawdzeniu, że 𝛼₁*𝛽₁+ … +_k*𝛽_k = 0 : koszt gazu 34,000 45,000 * k + XNUMX XNUMX

Może Ethereum włączyć BLS12_381 (zgodnie z propozycją w EIP-2537), nasza umowa konfiguracyjna może być z łatwością dostosowana do tej drugiej krzywej.

Oszacujmy koszt gazu, aby zaktualizować konfigurację do ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂):

1. Koszt gazu weryfikacji dowodu. Każdy uczestnik aktualizuje konfigurację i przesyła dowód z trzema komponentami, jak opisano powyżej. Komponenty 1 i 3 dowodu – „wiedza o dyskretnym dzienniku” i „nieusuwanie aktualizacji” – są bardzo tanie w weryfikacji. Wyzwaniem jest weryfikacja komponentu 2, „dobrze ukształtowanie pp₁”, na łańcuchu. Wymaga dużego mnożenia wieloskalarnego (MSM) i dwóch par:
   e(𝝆₀[1]₁ +₁[𝜏]₁ +₂[𝜏²]₁ + … +_n-1[𝜏^n-2]₁, [𝜏]₂) = e([𝜏]₁ +₁[𝜏²]₁ + … +_n-1[𝜏^n-1]₁, [dwa]₂),
   gdzie₀,…,𝝆_n-1 są pseudolosowo próbkowanymi skalarami. Jeśli chodzi o prekompilowane inteligentne kontrakty, zajęłoby to:
   (2n-4) x ECADD + (2n-4) x ECMULT + ECPAIR_{k = 2} = (2n-4) x 6,150 + 113,000 XNUMX gazu.
2. Koszt gazu przechowywania danych. Każdy uczestnik przechowuje również aktualizację w łańcuchu jako dane połączenia (68 gazów na bajt) uwzględniające n*64*68 gazów. (Uwaga dla osób zaznajomionych z kryptografią krzywych eliptycznych: przechowywanie skompresowanych punktów sprawiłoby, że dekompresja zdominowałaby ogólny koszt, jak wynika z naszych pomiarów dla n=256.)

To prowadzi nas do poniższej tabeli szacowania kosztów gazu, która powinna stanowić podstawę przyszłych optymalizacji:

Poszukujemy rozwiązań, które pozwolą obniżyć koszty gazu, więc bądź na bieżąco!

Biblioteka open source: evm-powers-of-tau

Otworzyliśmy nasze repozytorium ceremonii mocy tau oparte na EVM na https://github.com/a16z/evm-powers-of-tau. Przeprowadzenie ceremonii z naszą strategią jest łatwe i przejrzyste:

1. Wdrożenie umowy o przechowywanie i weryfikację (umowy/KZG.sol)
2. Kontrybutor odczytuje parametry ceremonii z poprzedniej transakcji calldata
3. Kontrybutor generuje sekret lokalnie, oblicza zaktualizowane parametry
4. Kontrybutor generuje dowód: pi1, pi2
5. Kontrybutor przesyła zaktualizowane parametry za pośrednictwem KZG.potUpdate() do wdrożonego inteligentnego kontraktu w publicznym łańcuchu bloków
6. Inteligentna umowa zweryfikuje ważność aktualizacji, cofając się w przypadku nieprawidłowego zgłoszenia
7. Wielu uczestników może bez końca wykonywać kroki 2-5, z których każdy zwiększa bezpieczeństwo ceremonii
8. Gdy programista jest pewien liczby i jakości zgłoszeń, może przeszukiwać łańcuch bloków pod kątem bieżących parametrów i używać tych wartości jako swoich kluczy kryptograficznych

Nasze repozytorium wykorzystuje Arkworks-rs aby obliczyć kroki dwa i trzy (obliczenia rdzy można znaleźć w src/pot_update.rs), ale użytkownicy mogą chcieć napisać własne. Cały proces przesyłania aktualizacji od końca do końca można znaleźć w teście integracyjnym w testy/test_integracji.rs.

Zauważ, że zdecydowaliśmy się użyć calldata do przechowywania zaktualizowanych parametrów mocy tau w łańcuchu, ponieważ jest to kilka rzędów wielkości tańsze niż przechowywanie. Zapytanie oparte na ethers-rs dla tych danych można znaleźć w src/zapytanie.rs.

Wreszcie, dowody i szczegółowe równania można znaleźć w raporcie technicznym w: raport techniczny/główny.pdf.

Przyszła praca

Zanim ta zaufana ceremonia konfiguracji zostanie wykorzystana w produkcji, zalecamy najpierw przeprowadzenie kompleksowego audytu zarówno dowodów matematycznych, jak i przykładowej implementacji.

Po wdrożeniu koszt transakcji aktualizacji ceremonii rośnie liniowo wraz z rozmiarem instalacji. W przypadku większości aplikacji (SNARKs, DAS) chcielibyśmy mieć konfigurację n >= 256, która obecnie kosztuje 73 USD za aktualizację. 

Możemy być w stanie osiągnąć podliniowy wzrost kosztów weryfikacji dzięki dowodowi STARK prawidłowego obliczenia aktualizacji i zobowiązaniu wektora do zaktualizowanych wartości. Taka konstrukcja usunęłaby również zależność od prekompilacji Ethereum L1 BN254, umożliwiając użycie bardziej popularnej krzywej BLS12-381.

Wszystkie strategie ceremonii mają kompromisy. Uważamy, że ta konstrukcja jest solidna i ma świetne sprawdzalne właściwości odporności na cenzurę. Ale znowu, ostrzegamy przed użyciem tej metody, dopóki nie zostanie wykonane więcej pracy, aby zweryfikować słuszność naszego podejścia.

Podziękowanie

• Dan Boneh – za przydatne informacje zwrotne na wczesnych etapach tej pracy
• Joe Bonneau – za doprecyzowanie ekspozycji we wczesnej wersji raportu technicznego
• William Borgeaud – do dyskusji na temat BLS w TurboPlonk / Plonky2
• Mary Maller – za przemyślenia na temat ogólnej mechaniki podejścia

Redaktor: Robert Hackett @rhhackett

***

Wyrażone tutaj poglądy są poglądami poszczególnych cytowanych pracowników AH Capital Management, LLC („a16z”) i nie są poglądami a16z ani jej podmiotów stowarzyszonych. Niektóre informacje w nim zawarte zostały pozyskane ze źródeł zewnętrznych, w tym od spółek portfelowych funduszy zarządzanych przez a16z. Chociaż pochodzą ze źródeł uważanych za wiarygodne, a16z nie zweryfikowało niezależnie takich informacji i nie składa żadnych oświadczeń dotyczących aktualnej lub trwałej dokładności informacji lub ich adekwatności w danej sytuacji. Ponadto treści te mogą zawierać reklamy osób trzecich; a16z nie przeglądał takich reklam i nie popiera żadnych zawartych w nich treści reklamowych.

Te treści są udostępniane wyłącznie w celach informacyjnych i nie należy ich traktować jako porady prawnej, biznesowej, inwestycyjnej lub podatkowej. Powinieneś skonsultować się w tych sprawach z własnymi doradcami. Odniesienia do jakichkolwiek papierów wartościowych lub aktywów cyfrowych służą wyłącznie celom ilustracyjnym i nie stanowią rekomendacji inwestycyjnej ani oferty świadczenia usług doradztwa inwestycyjnego. Ponadto treść ta nie jest skierowana ani przeznaczona do użytku przez jakichkolwiek inwestorów lub potencjalnych inwestorów iw żadnym wypadku nie można na nich polegać przy podejmowaniu decyzji o zainwestowaniu w jakikolwiek fundusz zarządzany przez a16z. (Oferta inwestycji w fundusz a16z zostanie złożona wyłącznie na podstawie memorandum dotyczącego oferty prywatnej, umowy subskrypcyjnej i innej odpowiedniej dokumentacji takiego funduszu i należy ją przeczytać w całości.) Wszelkie inwestycje lub spółki portfelowe wymienione, wymienione lub opisane nie są reprezentatywne dla wszystkich inwestycji w pojazdy zarządzane przez a16z i nie można zapewnić, że inwestycje będą opłacalne lub że inne inwestycje dokonane w przyszłości będą miały podobne cechy lub wyniki. Lista inwestycji dokonanych przez fundusze zarządzane przez Andreessena Horowitza (z wyłączeniem inwestycji, w przypadku których emitent nie wyraził zgody na publiczne ujawnienie przez a16z oraz niezapowiedzianych inwestycji w aktywa cyfrowe będące w obrocie publicznym) jest dostępna pod adresem https://a16z.com/investments /.

Wykresy i wykresy zamieszczone w niniejszym dokumencie służą wyłącznie celom informacyjnym i nie należy na nich polegać przy podejmowaniu jakichkolwiek decyzji inwestycyjnych. Wyniki osiągnięte w przeszłości nie wskazują na przyszłe wyniki. Treść mówi dopiero od wskazanej daty. Wszelkie prognozy, szacunki, prognozy, cele, perspektywy i/lub opinie wyrażone w tych materiałach mogą ulec zmianie bez powiadomienia i mogą się różnić lub być sprzeczne z opiniami wyrażanymi przez innych. Dodatkowe ważne informacje można znaleźć na stronie https://a16z.com/disclosures.