a16z: DeFi melampaui CeFi, prediktabilitas adalah kunci

Penulis | Pranav Garimidi、Joachim Neu、Max Resnick

Terjemahan | Luffy，Foresight News

Blockchain sekarang dapat dengan bangga mengklaim bahwa mereka memiliki kemampuan bersaing dengan infrastruktur keuangan yang ada. Sistem produksi saat ini mampu memproses puluhan ribu transaksi per detik, dan performa di masa depan akan meningkat secara signifikan.

Namun selain throughput semata, aplikasi keuangan juga membutuhkan prediktabilitas. Ketika sebuah transaksi diajukan, baik itu transaksi, tawaran lelang, maupun pelaksanaan opsi, memiliki jaminan yang dapat diandalkan terhadap waktu pencatatan di blockchain adalah syarat penting agar sistem keuangan berfungsi normal. Jika transaksi menghadapi penundaan yang tidak dapat diprediksi, banyak aplikasi tidak akan bisa digunakan. Agar aplikasi keuangan di blockchain tetap kompetitif, blockchain harus menyediakan jaminan pencatatan jangka pendek: selama sebuah transaksi valid diajukan ke jaringan, dijamin akan segera dikemas ke dalam blok.

Sebagai contoh, buku pesanan di blockchain adalah demikian. Buku pesanan yang efisien membutuhkan market maker yang terus menyediakan likuiditas, menempatkan order beli dan jual di order book. Masalah utama yang dihadapi market maker adalah: meminimalkan spread sambil menghindari pilihan yang merugikan akibat perbedaan harga penawaran dan pasar. Untuk itu, market maker harus terus memperbarui order agar mencerminkan kondisi pasar terbaru. Misalnya, saat pengumuman Federal Reserve menyebabkan fluktuasi besar harga aset, market maker harus segera merespons dengan memperbarui order ke harga baru. Jika transaksi yang digunakan untuk memperbarui order tidak segera dicatat di blockchain, arbitrator akan melakukan transaksi berdasarkan harga lama, menyebabkan kerugian bagi market maker. Pada saat itu, market maker hanya bisa memperlebar spread untuk mengurangi risiko, yang pada akhirnya menurunkan daya saing platform perdagangan di blockchain.

Mekanisme pencatatan transaksi yang dapat diprediksi akan memberikan jaminan yang dapat diandalkan kepada market maker, memungkinkan mereka merespons cepat terhadap kejadian di luar rantai, dan menjaga efisiensi pasar di rantai.

Kesenjangan antara kondisi saat ini dan target

Blockchain utama saat ini hanya mampu menyediakan jaminan pencatatan akhir, dan siklus efektivitasnya seringkali dalam hitungan detik. Jaminan semacam ini sudah cukup untuk pembayaran dan aplikasi lain, tetapi tidak mampu mendukung sebagian besar aplikasi keuangan yang membutuhkan respons real-time dari partisipan pasar.

Kembali ke contoh buku pesanan: bagi market maker, jaminan “dalam beberapa detik” tidak berarti apa-apa, selama transaksi arbitrator dapat dikemas ke dalam blok yang lebih awal. Tanpa jaminan pencatatan yang kuat, market maker hanya bisa mengurangi risiko dengan memperlebar spread dan menawarkan harga yang lebih buruk kepada pengguna. Hal ini membuat transaksi di blockchain menjadi kurang menarik dibanding platform lain yang menawarkan jaminan lebih kuat.

Jika blockchain ingin benar-benar mewujudkan visi sebagai infrastruktur pasar modal modern, pengembang harus menyelesaikan masalah ini agar aplikasi bernilai tinggi seperti buku pesanan dapat berkembang pesat.

Kesulitan dalam mewujudkan prediktabilitas

Memperkuat jaminan pencatatan transaksi di blockchain yang ada, untuk mendukung skenario tersebut, sangat menantang. Beberapa protokol bergantung pada satu node (validator blok) yang memutuskan urutan transaksi dalam waktu tertentu. Meskipun menyederhanakan desain protokol blockchain berkinerja tinggi, ini juga menciptakan potensi monopoli ekonomi, di mana node yang memproduksi blok dapat mengambil keuntungan dari posisi tersebut.

Biasanya, selama periode pemilihan node validator, node tersebut memiliki kontrol penuh atas transaksi apa saja yang dimasukkan ke dalam blok.

Bagi blockchain yang memuat banyak aktivitas keuangan, node validator berada dalam posisi istimewa. Jika node tersebut menolak memasukkan transaksi tertentu, pengguna harus menunggu node validator berikutnya yang bersedia memprosesnya. Dalam jaringan tanpa izin, validator secara alami memiliki motif untuk mengekstraksi nilai, yang dikenal sebagai MEV (Maximum Extractable Value).

MEV jauh lebih dari sekadar serangan sandwich. Bahkan menunda transaksi selama puluhan milidetik dapat menghasilkan keuntungan besar dan menurunkan efisiensi aplikasi dasar. Buku pesanan yang hanya memprioritaskan transaksi sebagian akan menciptakan lingkungan tidak adil bagi semua pihak lain. Dalam skenario terburuk, perilaku jahat validator dapat menyebabkan pengguna meninggalkan platform secara total.

Misalnya, pengumuman kenaikan suku bunga menyebabkan harga ETH langsung turun 5%. Semua market maker di buku pesanan buru-buru membatalkan order dan memasang order baru di harga yang lebih rendah. Pada saat yang sama, arbitrator mengajukan order untuk menjual ETH dengan harga lama.

Jika buku pesanan ini berjalan di atas protokol satu validator, node tersebut akan memiliki kekuasaan besar. Ia bisa memilih untuk menyensor semua pembatalan order dari market maker, sehingga arbitrator mendapatkan keuntungan besar; atau tidak menyensor langsung, tetapi menunda pembatalan order, sehingga transaksi arbitrasi dieksekusi terlebih dahulu; bahkan bisa memasukkan order arbitrasi sendiri untuk mendapatkan keuntungan dari deviasi harga.

Dua tuntutan utama: anti-sensor dan privasi informasi

Dalam posisi seperti ini, partisipasi aktif dari market maker menjadi tidak ekonomis, karena mereka bisa dimanfaatkan saat harga berfluktuasi. Masalah inti berasal dari dua hak istimewa yang dimiliki validator:

1. Dapat menyensor transaksi orang lain;

2. Dapat melihat transaksi orang lain dan menggunakannya untuk mengajukan transaksi sendiri.

Kedua masalah ini dapat berakibat bencana.

Contoh kasus

Kita gunakan lelang untuk menjelaskan masalah ini secara tepat. Misalnya ada dua peserta lelang, Alice dan Bob, dan Bob kebetulan adalah validator blok dari lelang tersebut. (Hanya dua peserta sebagai contoh, logika dapat diperluas ke jumlah berapa pun.)

Lelang menerima tawaran selama satu siklus blok, misalnya dari waktu 0 sampai 1. Alice mengajukan tawaran bA pada waktu tA, dan Bob mengajukan tawaran bB pada waktu tB yang lebih lambat. Karena Bob adalah validator, ia selalu bisa memastikan dirinya bertindak terakhir.

Keduanya bisa mengakses harga aset dari sumber harga yang terus diperbarui (misalnya harga tengah dari bursa terpusat), dengan pₜ sebagai harga pada waktu t. Kita asumsikan bahwa, pada setiap waktu t, ekspektasi harga aset di akhir lelang (t=1) sama dengan harga saat ini pₜ. Aturan lelangnya sederhana: tawaran tertinggi menang dan membayar tawarannya sendiri.

Kebutuhan anti-sensor

Jika Bob bisa menyensor tawaran Alice sebagai validator, mekanisme lelang akan gagal total. Bob cukup mengajukan tawaran dengan harga rendah sembarang, dan memastikan dirinya menang, sehingga hasil lelang mendekati nol.

Kebutuhan privasi informasi

Situasi yang lebih kompleks adalah: Bob tidak bisa langsung menyensor tawaran Alice, tetapi bisa melihat tawaran Alice sebelum mengajukan tawarannya sendiri. Dalam kondisi ini, Bob memiliki strategi sederhana:

• Jika harga saat ini pₜ_B > bA, maka ajukan tawaran sedikit di atas bA;

• Jika tidak, batalkan tawaran.

Dengan strategi ini, Alice akan menghadapi pilihan terbalik: hanya akan menang jika tawarannya melebihi nilai ekspektasi harga aset, yang berarti kerugian, sehingga akhirnya keluar dari lelang. Setelah semua pesaing keluar, Bob bisa mengajukan tawaran sangat rendah dan memenangkan lelang, dengan keuntungan mendekati nol.

Kesimpulan utama: durasi lelang tidak penting. Selama Bob bisa menyensor tawaran Alice, atau melihat tawaran tersebut sebelum mengajukan tawarannya sendiri, lelang pasti akan gagal.

Logika ini juga berlaku untuk perdagangan frekuensi tinggi, termasuk spot, perpetual, dan derivatif: jika validator memiliki kekuasaan seperti Bob dalam contoh ini, pasar akan benar-benar rusak. Produk di blockchain yang mendukung skenario ini harus menghindari memberi validator hak istimewa semacam itu.

Mengapa masalah ini tidak meledak di dunia nyata?

Analisis di atas menggambarkan prospek suram dari protokol satu validator tanpa izin yang mengizinkan transaksi langsung di blockchain, tetapi banyak DEX (Decentralized Exchange) yang menerapkan protokol semacam ini tetap memiliki volume transaksi yang cukup besar. Mengapa demikian?

Ada dua kekuatan yang menyeimbangkan masalah tersebut:

• Validator biasanya memegang sejumlah besar token asli, yang terkait erat dengan keberhasilan blockchain, sehingga mereka tidak akan menyalahgunakan kekuasaan ekonomi secara penuh;

• Layer aplikasi telah mengembangkan solusi alternatif untuk mengurangi kerentanan terhadap masalah ini.

Meskipun kedua faktor ini memungkinkan DeFi tetap berjalan normal hingga saat ini, secara jangka panjang tidak cukup untuk membuat pasar di blockchain benar-benar bersaing dengan pasar off-chain.

Di blockchain yang aktif secara ekonomi, menjadi validator membutuhkan staking besar. Oleh karena itu, validator harus memegang sejumlah besar token atau memiliki reputasi cukup untuk mendapatkan delegasi dari pemilik token lain. Dalam kedua kasus, operator node besar biasanya adalah entitas terkenal dengan reputasi baik. Selain itu, staking juga memberi insentif untuk menjaga perkembangan blockchain. Karena alasan ini, saat ini kita belum melihat validator sepenuhnya menyalahgunakan kekuasaan mereka, tetapi ini tidak berarti masalah tidak ada.

Pertama, ketergantungan pada niat baik operator node, tekanan sosial, dan insentif jangka panjang bukanlah fondasi yang andal untuk masa depan keuangan. Seiring meningkatnya skala keuangan di blockchain, potensi keuntungan validator juga akan meningkat. Godaan ini semakin besar, dan tekanan sosial untuk menahan mereka dari menyalahgunakan kekuasaan menjadi semakin rapuh.

Kedua, tingkat penyalahgunaan kekuasaan oleh validator adalah spektrum kontinu: dari perilaku moderat hingga merusak pasar secara total. Operator node bisa secara sepihak memperluas kekuasaan mereka secara bertahap demi keuntungan lebih besar, dan jika ada yang melampaui batas, yang lain akan cepat meniru. Perilaku satu node tampaknya terbatas, tetapi jika banyak yang mengikuti, konsekuensinya akan nyata.

Contoh paling umum adalah permainan waktu: validator menunda pengumuman blok sebanyak mungkin dalam batas protokol untuk memaksimalkan keuntungan. Ini bisa menyebabkan waktu pembuatan blok menjadi lebih lama, bahkan kehilangan blok. Meskipun strategi ini sudah diketahui secara umum, validator awalnya memilih untuk menahan diri demi menjaga keseimbangan sosial dan kepercayaan terhadap blockchain. Namun, keseimbangan ini sangat rapuh; jika satu node mulai melakukan arbitrase tanpa biaya, node lain akan segera mengikuti.

Permainan waktu hanyalah salah satu contoh bagaimana validator dapat meningkatkan keuntungan tanpa menyalahgunakan kekuasaan secara penuh. Mereka juga memiliki banyak cara lain untuk meningkatkan pendapatan dengan mengorbankan aplikasi. Perilaku-perilaku ini mungkin dapat ditoleransi secara individual, tetapi jika dibiarkan, akan melewati ambang batas dan menyebabkan biaya operasional di blockchain melebihi manfaatnya.

Alasan lain mengapa DeFi masih bisa berjalan adalah: aplikasi memindahkan logika utama ke luar rantai, dan hanya mencatat hasilnya di rantai. Misalnya, banyak protokol lelang yang harus cepat menyelesaikan proses di luar rantai, biasanya melalui mekanisme validator yang diizinkan, untuk menghindari masalah validator jahat. Contohnya, lelang Holland di Ethereum dan lelang massal di Cowswap dilakukan di luar rantai.

Meskipun solusi ini memungkinkan aplikasi berjalan, mereka menempatkan posisi blockchain dan proposisi nilainya dalam posisi yang tidak nyaman: logika eksekusi aplikasi di luar rantai, sehingga blockchain menjadi sekadar layer penyelesaian. Salah satu keunggulan utama DeFi adalah composability, tetapi jika seluruh eksekusi dilakukan di luar rantai, aplikasi akan terisolasi secara alami. Ketergantungan pada eksekusi di luar rantai juga menambah asumsi baru terhadap model kepercayaan: selain ketersediaan blockchain, infrastruktur off-chain juga harus berjalan normal.

Bagaimana mewujudkan prediktabilitas?

Untuk mengatasi masalah ini, protokol harus memenuhi dua karakteristik utama: stabilitas pencatatan transaksi dan aturan pengurutan, serta privasi sebelum konfirmasi transaksi.

Kondisi utama: anti-sensor

Kita rangkum karakteristik pertama sebagai anti-sensor jangka pendek: jika sebuah transaksi mencapai node jujur, dijamin akan dikemas ke dalam blok berikutnya yang tersedia.

Anti-sensor jangka pendek: transaksi valid yang sampai tepat waktu ke node jujur pasti akan dikemas ke dalam blok berikutnya.

Lebih tepatnya, misalnya protokol berjalan dengan jam tetap, misalnya setiap 100 milidetik satu blok. Jika sebuah transaksi tiba di node jujur pada 250 milidetik, maka harus dikemas ke dalam blok pada 300 milidetik. Penyerang tidak berhak memilih untuk menyensor atau mengabaikan transaksi tersebut. Inti dari definisi ini adalah: pengguna dan aplikasi harus memiliki jalur pencatatan transaksi yang sangat andal, yang tidak akan gagal karena node tunggal yang jahat atau gangguan operasional.

Meskipun definisi ini mengharuskan transaksi yang sampai ke node jujur mana pun untuk dikemas, implementasi nyata mungkin memerlukan biaya tinggi. Yang penting adalah protokol harus cukup kokoh agar jalur pencatatan transaksi sangat dapat diprediksi dan logikanya sederhana serta mudah dipahami.

Protokol satu validator tanpa izin tentu tidak memenuhi karakteristik ini: jika validator saat ini berbuat jahat, transaksi tidak punya jalur lain untuk masuk. Sebaliknya, bahkan jika hanya satu kelompok empat node yang mampu menjamin pencatatan transaksi setiap waktu, ini akan sangat meningkatkan pilihan pengguna dan aplikasi untuk pencatatan. Untuk memastikan aplikasi tetap berkembang secara stabil, mengorbankan sebagian performa adalah hal yang layak. Mencari keseimbangan optimal antara keandalan dan performa masih membutuhkan riset lebih lanjut, tetapi jaminan dari protokol yang ada saat ini jelas kurang memadai.

Setelah protokol mampu menjamin pencatatan, masalah pengurutan transaksi menjadi lebih sederhana. Protokol dapat menggunakan aturan pengurutan deterministik apa pun, misalnya berdasarkan biaya prioritas, atau memberi fleksibilitas kepada aplikasi untuk mengurutkan transaksi yang berinteraksi dengan statusnya sendiri. Metode pengurutan terbaik masih menjadi bidang penelitian aktif, tetapi yang pasti, hanya transaksi yang bisa masuk ke rantai dengan lancar yang membuat aturan pengurutan bermakna.

Kondisi kedua: privasi informasi

Setelah memenuhi anti-sensor jangka pendek, karakteristik penting berikutnya adalah perlindungan privasi yang kita sebut sebagai sifat tersembunyi.

Tersembunyi: selain node pengirim transaksi, semua pihak lain di jaringan tidak dapat memperoleh informasi apa pun tentang transaksi sebelum transaksi tersebut dikonfirmasi dan diurutkan secara final.

Protokol yang memenuhi sifat tersembunyi ini memungkinkan node penerima transaksi melihat isi transaksi secara terang-terangan, tetapi jaringan lainnya harus tetap tidak mengetahui isi transaksi sampai proses konsensus selesai dan urutan transaksi ditetapkan. Misalnya, protokol dapat menggunakan enkripsi tunda, sehingga isi blok tidak terlihat sebelum waktu tertentu; atau menggunakan enkripsi threshold, di mana blok hanya didekripsi setelah dikonfirmasi oleh komite secara irreversibel.

Ini berarti, node bisa saja menyalahgunakan informasi transaksi yang dikirim ke mereka sendiri, tetapi bagian lain dari jaringan tidak akan mengetahui isi transaksi sampai proses konfirmasi selesai. Ketika isi transaksi terbuka ke seluruh jaringan, urutan dan konfirmasi sudah selesai, dan pihak lain tidak bisa melakukan transaksi lebih dulu. Definisi ini berlaku jika setiap periode waktu ada beberapa node yang mampu mengemas transaksi.

Kami tidak menggunakan definisi privasi yang lebih kuat (misalnya memori pool terenkripsi) — — karena protokol perlu menyaring transaksi sampah. Jika isi transaksi sepenuhnya tersembunyi dari seluruh jaringan, maka jaringan tidak bisa membedakan transaksi sampah dan transaksi valid. Solusi satu-satunya adalah mengungkapkan metadata yang tidak terenkripsi, misalnya alamat pembayaran yang akan dikenai biaya, tanpa mengungkap isi transaksi. Tetapi metadata ini bisa mengungkap cukup banyak informasi, sehingga penyerang bisa memanfaatkannya. Oleh karena itu, kami memilih solusi kompromi: hanya node tertentu yang dapat melihat isi transaksi, sisanya tidak. Ini juga berarti, pengguna harus memiliki setidaknya satu node jujur sebagai jalur pencatatan transaksi di setiap periode.

Protokol yang sekaligus memenuhi anti-sensor jangka pendek dan sifat tersembunyi adalah fondasi ideal untuk membangun aplikasi keuangan. Kembali ke contoh lelang di blockchain, kedua karakteristik ini secara langsung mencegah dua cara Bob merusak pasar: tidak bisa menyensor tawaran Alice, dan tidak bisa memanfaatkan tawaran Alice untuk mengarahkan perilaku sendiri, menyelesaikan dua masalah utama yang disebutkan sebelumnya.

Dengan jaminan anti-sensor jangka pendek, setiap transaksi (baik order maupun tawaran lelang) dapat dipastikan langsung masuk ke rantai. Market maker bisa mengubah order, peserta lelang bisa menawar dengan cepat, dan proses penyelesaian bisa dilakukan secara efisien. Pengguna dapat yakin bahwa operasi mereka akan segera dieksekusi, memungkinkan pembangunan aplikasi keuangan baru yang berbiaya rendah dan berorientasi dunia nyata secara penuh di blockchain.

Jika blockchain ingin benar-benar bersaing dengan infrastruktur keuangan saat ini dan melampauinya, tantangannya jauh lebih besar dari sekadar throughput.