DeFi melampaui CeFi, prediktabilitas adalah kunci

Menulis: Pranav Garimidi, Joachim Neu, Max Resnick

Diterjemahkan: Luffy, Foresight News

Blockchain sekarang dapat dengan bangga mengklaim bahwa mereka telah memiliki kemampuan bersaing dengan infrastruktur keuangan yang ada. Sistem produksi saat ini mampu memproses puluhan ribu transaksi per detik, dan performa di masa depan akan meningkat secara signifikan.

Namun, selain throughput semata, aplikasi keuangan juga membutuhkan prediktabilitas. Ketika sebuah transaksi diajukan, baik itu transaksi, tawaran lelang, maupun pelaksanaan opsi, memiliki jaminan yang dapat diandalkan mengenai waktu transaksi tersebut masuk ke blockchain, merupakan syarat penting agar sistem keuangan berfungsi dengan normal. Jika transaksi menghadapi penundaan yang tidak dapat diprediksi, banyak aplikasi tidak akan bisa digunakan. Agar aplikasi keuangan di atas blockchain tetap kompetitif, blockchain harus menyediakan jaminan masuk ke blockchain dalam waktu singkat: selama transaksi yang valid telah dikirim ke jaringan, harus dijamin dapat segera dikemas ke dalam blok.

Sebagai contoh, buku pesanan di atas blockchain adalah contoh nyata. Buku pesanan yang efisien membutuhkan market maker yang terus menyediakan likuiditas, dengan menempatkan order beli dan jual. Masalah utama yang dihadapi market maker adalah: mengurangi spread harga sebanyak mungkin sambil menghindari pilihan yang merugikan akibat perbedaan harga yang tidak sesuai pasar. Untuk itu, market maker harus terus memperbarui order mereka agar mencerminkan kondisi pasar terbaru. Misalnya, saat pengumuman Federal Reserve menyebabkan fluktuasi besar harga aset, market maker harus segera merespons dan memperbarui order ke harga baru. Jika transaksi yang digunakan untuk memperbarui order tidak dapat segera masuk ke blockchain, para arbitrator akan melakukan transaksi berdasarkan harga lama, menyebabkan kerugian bagi market maker. Pada saat itu, market maker hanya dapat memperlebar spread untuk mengurangi risiko, yang pada akhirnya menurunkan daya saing platform transaksi di atas blockchain.

Mekanisme transaksi yang dapat diprediksi masuk ke blockchain akan memberikan jaminan yang dapat diandalkan bagi market maker, memungkinkan mereka merespons peristiwa di luar rantai dengan cepat dan menjaga efisiensi pasar di atas blockchain.

Kesenjangan antara kondisi saat ini dan target

Blockchain utama saat ini hanya mampu menyediakan jaminan bahwa transaksi akan masuk ke blockchain secara final, dan siklus waktu efektifnya biasanya dalam hitungan detik. Jaminan semacam ini sudah cukup untuk aplikasi pembayaran, tetapi tidak cukup untuk sebagian besar aplikasi keuangan yang membutuhkan respons waktu nyata dari partisipan pasar.

Kembali ke contoh buku pesanan: bagi market maker, jaminan “masuk ke blockchain dalam beberapa detik” tidak berarti apa-apa, selama transaksi arbitrator dapat dikemas ke dalam blok yang lebih awal. Tanpa jaminan masuk ke blockchain yang kuat, market maker hanya dapat mengurangi risiko dengan memperlebar spread dan menawarkan harga yang lebih buruk kepada pengguna. Hal ini akan membuat transaksi di atas blockchain menjadi kurang menarik dibanding platform lain yang menawarkan jaminan yang lebih kuat.

Jika blockchain benar-benar ingin mewujudkan visi sebagai infrastruktur modernisasi pasar modal, pengembang harus menyelesaikan masalah ini agar aplikasi bernilai tinggi seperti buku pesanan dapat berkembang pesat.

Mengapa sulit mewujudkan prediktabilitas?

Memperkuat jaminan transaksi masuk ke blockchain di atas blockchain yang ada sangat menantang. Beberapa protokol bergantung pada satu node (validator blok) yang memutuskan urutan pengemasan transaksi dalam periode tertentu. Pendekatan ini menyederhanakan desain sistem blockchain berkinerja tinggi, tetapi juga menciptakan titik monopoli ekonomi potensial, di mana node yang memproduksi blok dapat mengambil keuntungan.

Biasanya, selama periode di mana node terpilih sebagai validator blok, node tersebut memiliki kontrol penuh atas transaksi apa saja yang dimasukkan ke dalam blok.

Bagi blockchain yang memuat banyak aktivitas keuangan, validator blok berada dalam posisi istimewa. Jika node tersebut menolak mengemas transaksi tertentu, pengguna harus menunggu validator berikutnya yang bersedia memproses transaksi tersebut. Dalam jaringan tanpa izin, validator secara alami memiliki motif untuk mengekstraksi nilai, yang dikenal sebagai MEV (Maximum Extractable Value).

MEV jauh lebih dari sekadar serangan sandwich. Bahkan, jika validator hanya menunda transaksi selama puluhan milidetik, mereka bisa mendapatkan keuntungan besar dan menurunkan efisiensi aplikasi dasar. Buku pesanan yang hanya memprioritaskan pengemasan sebagian transaksi akan menciptakan lingkungan tidak adil bagi semua pihak lain. Dalam skenario terburuk, perilaku jahat validator dapat menyebabkan pengguna meninggalkan platform secara total.

Misalnya, pengumuman kenaikan suku bunga menyebabkan harga ETH langsung turun 5%. Semua market maker di buku pesanan buru-buru membatalkan order mereka dan memasang order baru pada harga yang lebih rendah. Pada saat yang sama, semua arbitrator mengirimkan order untuk menjual ETH dengan harga lama.

Jika buku pesanan ini berjalan di atas protokol satu validator, node tersebut akan memiliki kekuasaan besar. Ia bisa memilih untuk menyensor semua pembatalan order dari market maker, sehingga arbitrator mendapatkan keuntungan besar; atau tidak menyensor langsung, tetapi menunda pembatalan order, sehingga transaksi arbitrasi diproses terlebih dahulu; bahkan bisa memasukkan order arbitrasi sendiri dan mendapatkan keuntungan dari deviasi harga.

Dua kebutuhan utama: anti-sensor dan privasi informasi

Dalam situasi seperti ini, partisipasi aktif dari market maker menjadi tidak ekonomis, karena selama harga berfluktuasi, mereka bisa dimanfaatkan. Masalah inti berasal dari dua hak istimewa utama validator:

Dapat menyensor transaksi orang lain;

Dapat melihat transaksi orang lain dan menggunakannya untuk mengirim transaksi sendiri.

Kedua hak istimewa ini dapat menyebabkan konsekuensi yang sangat buruk.

Contoh

Kita gunakan lelang untuk menjelaskan masalah ini secara tepat. Misalnya, ada dua peserta lelang, Alice dan Bob, dan Bob kebetulan adalah validator blok dari lelang tersebut. (Hanya dua peserta sebagai contoh, logika dapat diperluas ke jumlah berapa pun.)

Lelang menerima tawaran selama periode tertentu, misalnya dari waktu 0 sampai 1. Alice mengirim tawaran bA pada waktu tA, dan Bob mengirim tawaran bB pada waktu tB yang lebih lambat. Karena Bob adalah validator, ia selalu bisa memastikan bahwa ia bertindak terakhir.

Keduanya bisa mendapatkan harga aset dari sumber harga yang terus diperbarui (misalnya harga tengah dari bursa terpusat), dengan pₜ sebagai harga pada waktu t. Kita asumsikan bahwa, pada waktu t, kedua peserta memperkirakan harga aset pada akhir lelang (t=1) sama dengan harga saat ini pₜ. Aturan lelang sangat sederhana: tawaran tertinggi menang dan membayar tawaran mereka sendiri.

Kebutuhan anti-sensor

Jika Bob bisa menyensor tawaran Alice karena dia adalah validator, mekanisme lelang akan gagal total. Bob cukup mengajukan tawaran dengan harga rendah sembarang, dan ia akan menang, sehingga hasil lelang mendekati nol.

Kebutuhan privasi informasi

Situasi yang lebih kompleks adalah: Bob tidak bisa menyensor tawaran Alice secara langsung, tetapi bisa melihat tawaran Alice sebelum mengajukan tawarannya sendiri. Dalam kondisi ini, Bob memiliki strategi sederhana:

Jika harga saat ini pₜ_B > bA, maka dia mengajukan tawaran sedikit di atas bA;

Jika tidak, dia tidak mengajukan tawaran sama sekali.

Dengan strategi ini, Alice akan menghadapi pilihan terbalik: dia hanya akan menang jika tawarannya lebih tinggi dari nilai yang diharapkan dari aset, tetapi menang berarti kerugian, sehingga akhirnya dia akan keluar dari lelang. Setelah semua pesaing keluar, Bob bisa mengajukan tawaran sangat rendah dan memenangkan lelang, dengan hasil yang hampir nol lagi.

Kesimpulan utama: durasi lelang tidak penting. Selama Bob bisa menyensor tawaran Alice, atau melihat tawaran Alice sebelum mengajukan tawarannya sendiri, lelang pasti akan gagal.

Logika ini juga berlaku untuk perdagangan frekuensi tinggi, termasuk spot, perpetual, dan derivatif: jika validator memiliki kekuasaan seperti Bob dalam contoh ini, pasar akan benar-benar gagal. Agar produk di atas blockchain yang mendukung skenario ini tetap layak, mereka tidak boleh memberi validator kekuasaan semacam itu.

Mengapa masalah ini tidak muncul secara nyata?

Analisis di atas menggambarkan prospek suram dari protokol satu validator tanpa izin yang mengizinkan transaksi masuk ke blockchain, tetapi volume transaksi di DEX (decentralized exchange) yang sejenis tetap tinggi. Mengapa demikian?

Ada dua kekuatan yang menyeimbangkan masalah ini:

Validator biasanya memegang sejumlah besar token asli, yang terkait erat dengan keberhasilan atau kegagalan blockchain, sehingga mereka tidak akan menyalahgunakan kekuasaan ekonomi secara penuh;

Lapisan aplikasi telah mengembangkan solusi alternatif untuk mengurangi kerentanan terhadap masalah ini.

Meskipun kedua faktor ini memungkinkan DeFi tetap berjalan normal hingga saat ini, dalam jangka panjang, ini tidak cukup agar pasar di atas blockchain benar-benar bersaing dengan pasar di luar blockchain.

Di blockchain yang aktif secara ekonomi, menjadi validator membutuhkan staking besar. Oleh karena itu, validator harus memegang sejumlah besar token atau memiliki reputasi cukup untuk mendapatkan kepercayaan dari pemilik token lain. Dalam kedua kasus, operator validator besar adalah entitas terkenal dengan reputasi baik. Selain itu, staking memberi mereka insentif untuk menjaga perkembangan blockchain. Karena itu, saat ini kita belum melihat validator sepenuhnya menyalahgunakan kekuasaan mereka, tetapi ini tidak berarti masalah tidak ada.

Pertama, bergantung pada niat baik operator validator, tekanan sosial, dan insentif jangka panjang bukanlah fondasi yang andal untuk keuangan masa depan. Seiring berkembangnya skala keuangan di atas blockchain, potensi keuntungan validator juga akan meningkat. Godaan ini semakin besar, semakin lemah pula tekanan sosial yang mencegah mereka menyalahgunakan kekuasaan demi keuntungan jangka pendek.

Kedua, tingkat penyalahgunaan kekuasaan oleh validator adalah spektrum kontinu: dari perilaku moderat hingga menghancurkan pasar secara total. Operator validator bisa secara sepihak memperluas kekuasaan mereka secara bertahap demi keuntungan lebih besar. Jika ada yang melampaui batas, yang lain akan segera meniru. Perilaku satu validator tampak kecil, tetapi jika banyak yang mengikuti, konsekuensinya akan nyata.

Contoh paling umum adalah permainan waktu: validator menunda pengumuman blok sebanyak mungkin dalam batas yang diizinkan protokol untuk memaksimalkan keuntungan. Ini menyebabkan waktu pembuatan blok menjadi lebih lama, bahkan bisa menyebabkan kehilangan blok. Meskipun strategi ini diketahui menghasilkan keuntungan, validator awalnya memilih untuk menahan diri demi menjaga keseimbangan sosial dan keberlangsungan jaringan. Namun, keseimbangan ini sangat rapuh. Jika satu validator mulai melakukan arbitrase tanpa biaya, validator lain akan segera mengikuti.

Permainan waktu hanyalah salah satu contoh bagaimana validator dapat meningkatkan keuntungan mereka tanpa menyalahgunakan kekuasaan secara penuh. Validator juga memiliki banyak cara lain untuk meningkatkan pendapatan dengan mengorbankan aplikasi. Perilaku ini mungkin dapat ditoleransi secara individual, tetapi jika dibiarkan, akan melewati ambang batas dan menyebabkan biaya operasional di atas blockchain melebihi manfaatnya.

Alasan lain mengapa DeFi tetap berjalan adalah: aplikasi memindahkan logika inti ke luar rantai dan hanya mengirim hasilnya ke dalam blockchain. Misalnya, banyak protokol lelang yang membutuhkan eksekusi cepat menyelesaikan proses di luar rantai, biasanya melalui mekanisme grup validator berizin untuk menghindari masalah validator jahat. Contohnya, lelang Holland di Ethereum melalui UniswapX dan lelang massal di Cowswap dilakukan secara off-chain.

Meskipun solusi ini memungkinkan aplikasi berjalan, mereka menempatkan blockchain dasar dan proposisi nilainya dalam posisi yang tidak nyaman: logika eksekusi aplikasi di luar rantai, sehingga blockchain menjadi sekadar layer penyelesaian. Salah satu keunggulan utama DeFi adalah composability, tetapi jika semua eksekusi dilakukan di luar rantai, aplikasi akan terisolasi secara alami. Ketergantungan pada eksekusi off-chain juga menambah asumsi baru terhadap model kepercayaan: selain ketersediaan blockchain dasar, infrastruktur off-chain juga harus berjalan normal.

Bagaimana mewujudkan prediktabilitas?

Untuk mengatasi masalah ini, protokol harus memenuhi dua fitur utama: stabilitas transaksi masuk ke blockchain dan aturan pengurutan, serta privasi sebelum konfirmasi transaksi.

Kondisi utama: anti-sensor

Kita rangkum fitur pertama sebagai prediktabilitas jangka pendek terhadap transaksi masuk: jika sebuah transaksi mencapai node yang jujur, maka dijamin akan dikemas ke dalam blok berikutnya yang tersedia.

Prediktabilitas jangka pendek: transaksi valid yang tiba tepat waktu di node jujur pasti akan masuk ke blok berikutnya.

Lebih tepatnya, misalnya protokol berjalan dengan jam tetap, misalnya setiap 100 milidetik satu blok. Jika sebuah transaksi tiba di node jujur pada 250 milidetik, maka harus dikemas ke dalam blok pada 300 milidetik. Penyerang tidak berhak memilih transaksi mana yang akan dikemas atau diabaikan. Inti dari definisi ini adalah: pengguna dan aplikasi harus memiliki jalur yang sangat andal untuk transaksi masuk ke blockchain, tanpa gagal karena node tunggal yang berniat jahat atau mengalami gangguan.

Meskipun definisi ini mengharuskan transaksi yang sampai ke node jujur dapat dikemas, implementasi nyata mungkin memerlukan biaya tinggi. Kuncinya adalah protokol harus cukup kokoh agar transaksi masuk ke blockchain dengan prediktabilitas tinggi dan logika yang sederhana serta mudah dipahami.

Protokol satu validator tanpa izin yang hanya satu node tidak memenuhi fitur ini: jika validator saat ini berbuat jahat, transaksi tidak akan punya jalur lain. Sebaliknya, bahkan jika hanya satu kelompok empat node yang mampu menjamin pengemasan transaksi setiap waktu, ini akan sangat meningkatkan pilihan pengguna dan aplikasi untuk masuk ke blockchain. Untuk memastikan aplikasi tetap sehat dan berkembang, terkadang pengorbanan performa diperlukan. Mencari keseimbangan optimal antara ketahanan dan performa masih membutuhkan penelitian lebih, tetapi jaminan dari protokol saat ini jelas kurang memadai.

Setelah protokol mampu menjamin transaksi masuk, masalah pengurutan menjadi lebih mudah. Protokol dapat menggunakan aturan pengurutan deterministik apa pun, misalnya berdasarkan biaya prioritas, atau memberi fleksibilitas kepada aplikasi untuk mengurutkan transaksi yang berinteraksi dengan status mereka sendiri. Pengurutan transaksi terbaik masih menjadi bidang penelitian aktif, tetapi yang penting adalah: hanya jika transaksi dapat masuk ke blockchain dengan lancar, aturan pengurutan akan bermakna.

Kondisi kedua: privasi tersembunyi

Setelah prediktabilitas jangka pendek tercapai, fitur penting lain yang harus dipenuhi adalah perlindungan privasi yang kita sebut sebagai privasi tersembunyi.

Privasi tersembunyi: selain node pengirim transaksi, semua pihak lain di jaringan tidak dapat memperoleh informasi apa pun tentang transaksi tersebut sebelum transaksi tersebut dikonfirmasi dan diurutkan secara final oleh protokol.

Protokol yang memenuhi privasi tersembunyi memungkinkan node penerima transaksi untuk membaca isi transaksi secara terang-terangan, tetapi bagian lain dari jaringan harus tetap tidak mengetahui isi transaksi sampai konfirmasi dan pengurutan selesai. Misalnya, protokol dapat menggunakan enkripsi penundaan, sehingga isi blok tidak terlihat sebelum waktu tertentu; atau menggunakan enkripsi threshold, di mana dekripsi dilakukan setelah dewan konfirmasi blok secara irreversibel.

Ini berarti, node mungkin menyalahgunakan informasi transaksi yang dikirim ke mereka sendiri, tetapi node lain di jaringan hanya akan mengetahui isi transaksi setelah waktu tertentu. Ketika informasi transaksi terbuka ke seluruh jaringan, pengurutan dan konfirmasi sudah selesai, dan pihak lain tidak dapat melakukan transaksi lebih dulu. Definisi ini berlaku jika setiap periode memiliki beberapa node yang mampu mengemas transaksi.

Kami tidak menggunakan definisi privasi yang lebih kuat (misalnya memori pool terenkripsi) — yaitu hanya pengguna yang mengetahui isi transaksi — karena protokol harus mampu menyaring transaksi sampah. Jika isi transaksi sepenuhnya tersembunyi dari seluruh jaringan, maka jaringan tidak dapat membedakan transaksi sampah dan transaksi valid. Solusi satu-satunya adalah mengungkapkan metadata yang tidak terenkripsi, misalnya alamat pembayaran yang akan dikenai biaya terlepas dari validitas transaksi. Tetapi metadata ini bisa mengungkapkan cukup banyak informasi, sehingga penyerang bisa memanfaatkannya. Oleh karena itu, kami memilih kompromi: hanya satu node yang dapat melihat isi transaksi, dan node lain di jaringan tidak dapat melihatnya. Ini juga berarti, pengguna harus memiliki setidaknya satu node jujur sebagai jalur masuk ke blockchain setiap periode.

Protokol yang menggabungkan prediktabilitas jangka pendek dan privasi tersembunyi adalah fondasi ideal untuk membangun aplikasi keuangan. Kembali ke contoh lelang di atas, kedua fitur ini secara langsung mencegah dua cara Bob merusak pasar: tidak bisa menyensor tawaran Alice, dan tidak bisa memanfaatkan tawaran Alice untuk mengarahkan perilaku sendiri, menyelesaikan dua masalah utama yang disebutkan sebelumnya.

Dengan jaminan prediktabilitas jangka pendek, transaksi apa pun (baik order maupun tawaran lelang) dapat masuk ke blockchain secara langsung dan cepat. Market maker dapat mengubah order, peserta lelang dapat menawar dengan cepat, dan proses penyelesaian dapat dilakukan secara efisien. Pengguna dapat yakin bahwa tindakan mereka akan segera dieksekusi, sehingga aplikasi keuangan berkecepatan rendah dan berorientasi dunia nyata dapat dibangun sepenuhnya di atas blockchain.

Jika blockchain ingin benar-benar bersaing dengan infrastruktur keuangan yang ada dan bahkan melampauinya, masalah yang harus diselesaikan jauh lebih dari sekadar throughput.