Aztec 해석: DeFi의 L2에 프라이버시를 가져오기

저자: echo_z, 체인 찻집

최근 체인 찻집은 L2 시리즈 기사를 발표했으며, L2 개요에서 StarkWare, ZKSync 등 구체적인 프로젝트에 대해 상세히 소개했습니다. 이전에 소개된 주요 프로젝트 외에도 L2에는 비교적 특별한 프로젝트인 Aztec이 있으며, 이는 프라이버시 거래를 구현합니다. 프라이버시 거래는 새롭지 않지만, Aztec의 새로운 기능은 프라이버시 Defi를 실현할 수 있어 프라이버시 분야의 공백을 메울 수 있습니다. 본 문서에서는 Aztec을 분석합니다.

시장 개요

현실 세계에서 "프라이버시"는 거의 기본 옵션이며, 누구도 자신의 정보가 유출되기를 원하지 않습니다. 그러나 블록체인 세계에서는 체인 상의 정보 투명성으로 인해 사용자들은 대부분 거래 행동의 프라이버시 보호를 누릴 수 없습니다. 현재 단계의 소액 투자자에게는 큰 문제가 되지 않지만, 산업 발전에 따라 프라이버시는 반드시 중요한 기능이 될 것입니다. 체인 찻집은 사용자 요구가 두 가지 측면에 집중될 것으로 판단합니다:

첫째, 대규모 투자자들은 거래 프라이버시 보호에 대한 요구가 있습니다. 대규모 투자자가 자신의 큰 잔액과 거래 행동을 공개하면, 마치 자신의 재산을 드러내고 다니는 것과 같아 해커를 유인하거나 신원을 노출할 위험이 있습니다. 현재 존재하는 프라이버시 거래 프로젝트를 보면, 자금도 대규모 거래에 집중되어 있습니다.

아래 그림은 Tornado Cash의 월별 인출 데이터로, 숫자는 인출 횟수를 나타내며, 구간은 인출 비율을 나타냅니다(Tornado의 메커니즘은 0.1ETH, 1ETH, 10ETH, 100ETH의 네 가지 면액으로 입출금하는 방식입니다). 계산해보면 100ETH의 인출 총액이 가장 크며, 6월을 예로 들면 전체 인출액의 87.6%를 차지합니다.

출처: https://dune.com/poma/tornado-cash_1

둘째, Web3가 투자 외의 영역으로 발전할 때, 예를 들어 통신 및 사회적 상호작용 등의 상황에서 프라이버시의 요구가 분명히 부각될 것입니다. 아무도 자신의 계정이 스팸 메시지로 방해받기를 원하지 않으며, 친한 친구와의 대화 내용이 공개되기를 원하지 않을 것입니다.

요약하자면, 현재 Web3의 사용 시나리오가 거래 투자에 집중되어 있어 대규모 투자자만 프라이버시에 대한 강한 요구가 있으며, Web3 기능 시나리오가 확장됨에 따라 프라이버시 요구도 소액 투자자로 확장될 것입니다.

현재 공급 측면에서 볼 때, 프라이버시 기능을 구현한 프로젝트의 대부분은 단순한 송금 기능만을 충족할 수 있습니다. 프라이버시 분야의 주요 프로젝트에는 FDV 약 21억 달러의 Monero와 약 11억 달러의 Zcash가 있으며, 두 프로젝트 모두 독립적인 L1 공공 블록체인으로 스마트 계약을 지원하지 않습니다. FDV 약 2.3억 달러의 Tornado Cash는 이더리움 기반의 스마트 계약으로, 제한된 면액의 입출금만 지원합니다. 그 외에도 Secret Network와 같은 개별 프로젝트는 스마트 계약을 지원할 수 있지만, FDV는 약 1.7억 달러이며, 그 핵심 프라이버시 기능은 하드웨어 장치에 의존하고 있어 보안 수준이 너무 낮습니다[1].

따라서 프라이버시 분야는 기능이 완비되고 보안 수준이 충분히 높은 프로젝트가 부족합니다. Aztec은 신흥 프라이버시 프로젝트로서 이러한 공백을 메울 잠재력을 가지고 있습니다: ZK Rollup 프로젝트로서 이더리움의 보안성을 공유할 수 있으며, 프로젝트의 중단기 목표는 Defi 상호작용의 프라이버시를 실현하는 것입니다. 이는 프라이버시 분야에 새로운 경험을 가져올 수 있습니다.

제품 메커니즘

Aztec의 제품 시스템은 기본 PLONK 증명 시스템을 기반으로 하여 계좌 간의 익명 거래를 실현하고, 게이트웨이 계약의 연결을 통해 Defi 프로젝트와의 프라이버시 상호작용을 실현합니다. 게이트웨이 부분을 제외하면, Aztec의 프라이버시 구현 방식은 사실 Zcash와 매우 유사하며, 이더리움의 보안성을 공유하는 Rollup 기술을 통해 Zcash와 유사한 방식입니다. 아래에서는 그 프라이버시 아키텍처 및 Defi 상호작용 방식을 자세히 설명합니다.

프라이버시 아키텍처: UTXO 모델과 프라이버시 증명

Zcash의 회계 모델은 비트코인의 UTXO(미사용 거래 출력) 모델을 따릅니다. 각 UTXO는 Note(영수증)라고 불리며, 각 거래의 변화를 기록합니다. 예를 들어, 내 계좌에 10원의 영수증이 있고, 현재 다른 사람에게 5원을 송금하면, 이 10원의 영수증은 5원짜리 두 장으로 나뉘며, 한 장의 소유자는 송금받는 사람이고, 다른 한 장의 소유자는 나 자신입니다. 하나의 계좌 주소에 대해 잔액의 전체는 모든 UTXO의 총합입니다.

출처: https://medium.com/aztec-protocol/an-introduction-to-aztec-47c70e875dc7

이에 반해, 이더리움은 계좌 기반의 회계 모델을 사용합니다: 각 계좌는 하나의 잔액에 해당하며, 송금 시 양측의 주소 수에 대해 덧셈과 뺄셈을 수행해야 합니다. 각 계좌의 잔액은 최근 거래에서 명확히 기록되므로, UTXO처럼 모든 UTXO를 합산할 필요가 없기 때문에, 복잡한 스마트 계약에 대해 계좌 모델이 더 계산하기 쉽고, 주류 회계 모델로 자리 잡고 있으며, UTXO는 비트코인과 같은 단순 송금 네트워크에서 주로 사용됩니다.

출처: https://medium.com/aztec-protocol/fully-confidential-ethereum-transactions-aztec-networks-privacy-architecture-274f968b13d4

UTXO 모델과 계좌 잔액 모델은 각각 장단점이 있으며, 프라이버시 측면에서 UTXO는 동일한 계좌의 다른 주소에 저장하기에 더 적합하여 거래 간의 연관성을 혼동할 수 있습니다[2]. 이는 Zcash와 Aztec가 UTXO를 선택한 이유일 것입니다.

이러한 회계 모델 하에서 사용자의 각 거래는 본질적으로 하나 또는 N개의 영수증을 소각하고, 총합이 동일한 다른 하나 또는 N개의 영수증을 생성하며, 일부 영수증의 소유권을 이전하는 것입니다.

Aztec의 데이터 구조에서 모든 영수증의 상태는 두 개의 Merkle Tree에 저장됩니다. 하나는 note tree(영수증 트리)로, 생성된 모든 영수증을 저장하고, 다른 하나는 nullifier tree(폐기 트리)로, 소각된 모든 영수증을 저장합니다. "영수증을 소유한다"는 것은 note tree에 해당 영수증이 존재하고 nullifier tree에는 해당 영수증이 존재하지 않는 것을 의미합니다[3].

출처: 위와 동일

그렇다면 사용자의 프라이버시는 어떤 단계에서 실현되며, 어떤 정보가 Rollup(패키징)되었을까요? 이는 다층 증명 생성 과정과 관련이 있습니다.

사용자가 거래를 수행할 때, 해당 영수증을 소각하고 생성한 후, 영수증의 소유권을 이전해야 하며, 이 비공식 거래에 대해 사용자는 로컬에서 "프라이버시 증명"(privacy proofs)을 생성해야 합니다. 이후 28개의 비공식 거래가 내부 Rollup 증명("inner" rollup proof)으로 집계되고, 다시 32개의 내부 Rollup 증명이 외부 Rollup 증명("outer" rollup proof)으로 집계됩니다. 외부 Rollup 증명은 최종적으로 L1에 제출되어 노드가 검증합니다.

아래 그림은 4개의 내부 Rollup 증명이 1개의 외부 Rollup 증명으로 집계된 것으로, 총 112개의 거래가 포함되어 있으며, 올해 3월 업데이트된 SDK에서는 32개의 내부 Rollup 증명으로 증가했습니다. 즉, 최종 제출된 Rollup 증명에는 28*32=896개의 거래가 포함될 수 있습니다.

출처: https://medium.com/aztec-protocol/privacy-for-pennies-scaling-aztecs-zkrollup-9f2b36615cc6

주의할 점은, 사용자가 로컬에서 생성한 프라이버시 증명만이 실제로 정보를 유출하지 않는 제로 지식 증명이며, 전체 시스템에서 유일하게 프라이버시를 책임지는 부분입니다[4]. 그 위의 내부 Rollup 및 외부 Rollup 증명은 StarkWare, ZKSync 등과 같은 일반 ZK 계열 L2와 마찬가지로 반드시 제로 지식일 필요는 없습니다. 참고로, StarkWare 팀은 ZK Rollups의 이름을 Validity Proof로 변경할 것을 제안하여 개념 혼동을 피하고자 했습니다[5].

Aztec의 Rollup 방식은 StarkWare, ZKSync 등 ZK 계열 L2와 큰 차이점이 있습니다: 일반적으로 ZK 계열 Rollup은 여러 거래를 패키징하여 집계 증명을 생성하지만, Aztec는 프라이버시를 실현하기 위해 각 거래마다 별도의 증명을 생성한 후, 그 증명을 패키징하여 증명을 생성해야 합니다. 이는 Aztec의 가스 요금이 다른 모든 Rollup보다 높은 이유일 것입니다.

전체 과정에서 Zcash에서 유래한 여러 방법을 볼 수 있습니다. UTXO 회계 모델, 두 가지 Merkle Trees의 설계, 사용자가 로컬에서 프라이버시 증명을 생성하는 방식 등이 모두 Zcash와 동일합니다. 또한 Aztec는 내부 송금 기능을 제공하여, 익명 계좌가 다른 익명 계좌로 송금할 수 있으며, 이는 두 주소 간의 거래 연관성을 숨길 수 있어 특정 지갑 주소의 잔액 부족이나 가스 요금 입력 등으로 인해 다른 지갑과 공개적으로 연결되는 것을 피할 수 있습니다. 이렇게 하면 Tornado Cash와 같은 단순히 면액 풀을 통해 입출금하는 방식보다 프라이버시를 더 잘 보호할 수 있으며, Zcash도 이 기능을 제공합니다.

Zcash가 제공하는 다양한 송금 모드, 빨간 상자는 익명에서 익명으로, 즉 Aztec의 내부 송금 기능입니다. 출처: https://z.cash/technology/

이로써 Aztec의 프라이버시 아키텍처를 기본적으로 이해할 수 있습니다: UTXO 회계 모델을 채택하여 "영수증"의 분할과 소유권 이전을 통해 송금을 실현하고, 사용자가 로컬에서 프라이버시 증명을 생성하여 프라이버시 거래를 실현하며, 이중 Rollup을 통해 여러 거래의 집계 증명을 생성하여 L1 검증에 제출합니다. 기본 프라이버시 아키텍처는 Zcash에서 많은 디자인을 차용하였으며, Rollup의 집계 증명 방식은 이더리움의 보안성을 차용하여 Zcash의 Rollup 버전과 유사합니다.

Aztec Connect: 게이트웨이를 통해 Defi 프라이버시 상호작용 실현

위의 프라이버시 아키텍처는 사용자의 비공식 거래를 실현했지만, 이 단계까지는 단순히 프라이버시 거래를 L2로 이전한 것일 뿐, 원래의 솔루션에 비해 뚜렷한 진전을 이루지 못하며 여전히 단순한 송금만을 실현할 수 있습니다. Aztec의 목표는 이보다 더 나아가, 장기적으로 모든 스마트 계약의 프라이버시 상호작용을 지원하는 것이며, 단기 목표는 L1에서 Defi의 프라이버시 상호작용을 실현하는 것입니다.

Aztec가 프라이버시 Defi를 실현하는 방식은 비교적 기발합니다. UTXO 모델을 채택하여 복잡한 스마트 계약에 적합하지 않기 때문에 Aztec는 L2에서 스마트 계약을 홍보하려고 하지 않고, 대신 "게이트웨이" 방식을 통해 거래를 L1으로 집계합니다.

구체적인 방식은 다음과 같습니다: 사용자가 Defi 거래를 수행할 때, Aztec는 동일한 유형의 거래를 패키징하고 이러한 거래를 Aztec Bridge Contract로 전달합니다. 이는 L1에 배포된 계약으로, 이 계약을 통해 자금을 집계하고 해당 Defi 기능을 호출한 후, 거래 완료된 자금을 비율에 따라 L2의 계좌로 반환합니다[6].

이는 일종의 금고 전략으로, 유사한 거래 행동을 패키징하여 프라이버시를 실현하는 동시에 가스 요금을 분담할 수 있습니다.

L1의 Defi 프로젝트에 대해 이전이 매우 간단해졌으며, 계약을 재배포할 필요 없이 Aztec Connect와 인터페이스를 완료하기만 하면 됩니다. 그러나 이는 프로젝트 배포의 유연성을 낮추며, 동일 유형의 거래가 충분히 많아야 비용을 분담할 수 있고, 그렇지 않으면 단일 거래는 여전히 비쌀 수 있습니다. 따라서 이 방식은 단기적으로 단일 작업 및 자본 집약적인 프로젝트에 더 적합할 것으로 보입니다.

운영 현황

Aztec의 프라이버시 설계는 UTXO 모델을 기반으로 하여 복잡한 스마트 계약 개발에 적합하지 않으며, 현재 제품은 팀이 개발한 zk.money에 한정되어 있으며, 다른 프로젝트의 통합은 주로 Aztec Connect 게이트웨이 계약을 통해 이루어집니다.

zk.money는 작년 3월에 처음 발표되었으며, 현재는 새 버전과 구 버전의 분기 단계에 있으며, 새 버전은 아직 출시되지 않았습니다.

구 버전 zk.money는 단순한 송금 결제만을 지원하며, ETH/DAI/renBTC 세 가지 자산을 지원합니다. 사용자는 매번 연결할 때 ETH 지갑을 통해 서명해야 하며, 이후 "Shield"를 통해 예치하고, "Send"를 통해 내부 송금 또는 L1 계좌로 출금할 수 있습니다.

출처: https://old.zk.money/asset/ETH

기능이 단순하고 수수료가 높은 구 버전 zk.money의 사용률은 낮으며, 현재 TVL은 약 500만 달러에 불과하고, 최고치도 약 1,400만 달러에 불과합니다.

출처: https://defillama.com/protocol/aztec

새로운 버전의 zk.money는 Aztec Connect를 통해 프라이버시 Defi를 실현하며, Aztec 프로젝트의 중요한 이정표가 될 것입니다. 원래 6월 초에 출시될 예정이었으나, 현재 문제를 처리 중이며 명확한 출시 날짜는 없습니다. 올해 4월의 공식 블로그에 따르면, 초기에는 Element.fi와 Lido를 통합할 예정이며, 이들이 가장 먼저 출시되는 프라이버시 Defi가 될 것입니다[7].

전체적으로 볼 때, Aztec의 설계는 L1의 Defi에 쉽게 접속할 수 있도록 하지만, 프로젝트 자유 배포 옵션을 제공하지 않기 때문에 독립적인 공공 블록체인 생태계를 구축하기 어려워 보입니다. 오히려 L1의 Defi 프로젝트에 프라이버시 옵션을 통합한 것에 가깝습니다.

팀 및 자금 조달

Aztec의 핵심 팀은 강력한 기술 능력을 보유하고 있으며, 그들의 기본 증명 시스템 PLONK의 세 명의 공동 발명자 중 두 명이 Aztec에 있습니다.

CEO Zac Williamson은 옥스퍼드 대학교 입자 물리학 박사로, PLONK의 발명자 중 한 명이며, CERN(유럽 입자 물리 연구소)과 T2K(일본의 입자 물리 실험)에서 물리학자로 근무한 경험이 있습니다.

CPO 제품 총괄 Joe Andrews는 런던 임페리얼 대학교 재료 과학 공학 학사로, 실리콘 밸리의 외식 스타트업 Radish에서 CTO로 근무한 경험이 있습니다.

수석 과학자 Ariel Gabizon은 이스라엘 와이즈만 연구소(Weizmann Institute)에서 컴퓨터 박사로, Zcash에서 연구원 및 엔지니어로 근무했으며, PLONK의 발명자 중 한 명입니다.

현재까지 Aztec이 공개한 자금 조달 금액은 총 1,910만 달러입니다. 2018년 11월에는 Consensys가 주도한 210만 달러의 시드 라운드 자금 조달을 발표했으며, 2021년 12월에는 Paradigm이 주도한 1,700만 달러의 자금 조달을 발표했습니다. 다른 투자자로는 IOSG Ventures, Variant Fund, Nascent, imToken, Scalar Capital, Defi Alliance, ZK Validator 및 앤젤 투자자 Anthony Sassano, Stani Kulechov, Bankless, Defi Dad, Mariano Conti, Vitalik Buterin이 포함되며, 이전 투자자 a_capital, Ethereal Ventures 및 Libertus Capital도 추가 투자를 했습니다. 또한 2019년 9월에도 한 차례 시드 라운드 자금 조달을 발표했지만 금액은 공개되지 않았습니다.

장점과 도전 과제

체인 찻집은 Aztec의 핵심 장점으로 안전 수준이 높고 Defi 프로젝트와 상호작용할 수 있는 프라이버시 기능을 구현한 제품을 꼽습니다. 현재 프라이버시 분야의 대부분 제품은 단순 송금 기능만을 지원하므로, Aztec는 효과적으로 이 분야의 공백을 메우고 있습니다. 그러나 이 기능은 아직 출시되지 않았으며, 출시 후 기능 성능을 관찰해야 합니다.

그러나 양면성이 있는 이 특별한 프라이버시 기능은 프로젝트를 상당히 제한합니다.

한편으로, Aztec는 게이트웨이 계약을 통해 Defi 프로젝트에 대한 작업을 수행하여 배포 난이도를 낮추는 동시에 유연성을 낮추었습니다. 단기적으로는 단일 작업 및 자본 집약적인 프로젝트에 더 적합합니다.

다른 한편으로, 프라이버시를 실현하기 위해 각 거래마다 프라이버시 증명을 생성해야 하며, 프로젝트는 이중 Rollup 방식을 통해 저장 공간을 분담했지만, Aztec의 수수료는 모든 L2 중 여전히 가장 높고, 사용자에게는 높은 진입 장벽이 있어 대규모 투자자에게 더 적합합니다.

전반적으로 Aztec의 제품 기능은 간단하고 직접적이며, 기능 성능이 괜찮다면 L2에서 자리를 잡을 것으로 예상됩니다. 그러나 현재 Defi와의 표준화된 통합 방식으로 볼 때, L1의 Defi 프로젝트를 위한 기능 보완에 가까워 보이며, 한계가 높지 않을 수 있습니다.

Aztec의 장기 목표는 이보다 더 나아가 모든 스마트 계약의 프라이버시 상호작용을 실현하는 것이며, 이를 실현하기 위해서는 새로운 솔루션이 필요할 것입니다.