Penulis: Pranav Garimidi, Joachim Neu, Max Resnick, peneliti crypto dari a16z; Sumber: a16z crypto; Diterjemahkan: Shaw Cai Jing Secara Keuangan

Saat ini, blockchain sudah dapat dengan percaya diri mengklaim bahwa mereka memiliki kapasitas pemrosesan yang diperlukan untuk bersaing dengan infrastruktur keuangan yang ada. Sistem lingkungan produksi saat ini mampu memproses puluhan ribu transaksi per detik, dan performa di masa depan akan meningkat secara signifikan.

Namun, selain throughput semata, aplikasi keuangan juga membutuhkan prediktabilitas. Ketika sebuah transaksi diajukan—baik itu transaksi, penawaran, maupun eksekusi opsi—kemampuan untuk secara andal memastikan waktu konfirmasi transaksi di blockchain sangat penting untuk kelancaran sistem keuangan. Jika transaksi menghadapi penundaan yang tidak dapat diprediksi (baik karena gangguan jahat maupun kejadian tak terduga), banyak aplikasi tidak akan dapat berfungsi dengan baik. Agar aplikasi keuangan di atas rantai dapat bersaing, blockchain harus menyediakan jaminan pengurutan transaksi jangka pendek: begitu transaksi yang valid diajukan ke jaringan, harus dijamin akan segera dikemas dan dimasukkan ke dalam blok.

Sebagai contoh, buku pesanan di atas rantai. Buku pesanan yang efisien membutuhkan market maker yang secara kontinu menempatkan order beli dan jual untuk menyediakan likuiditas. Masalah utama yang dihadapi market maker adalah: bagaimana meminimalkan spread (selisih antara harga beli dan jual) sambil menghindari risiko adverse selection akibat ketidaksesuaian harga penawaran dengan kondisi pasar. Untuk itu, market maker harus terus memperbarui order mereka agar mencerminkan kondisi pasar terbaru. Misalnya, saat Federal Reserve mengumumkan kebijakan yang menyebabkan fluktuasi besar harga aset, market maker harus segera memperbarui order mereka ke harga baru. Jika transaksi yang digunakan untuk memperbarui order ini tidak segera dikonfirmasi di rantai, arbitrageur akan melakukan transaksi berdasarkan harga lama, menyebabkan kerugian bagi market maker. Mereka kemudian dipaksa memperlebar spread untuk mengurangi risiko ini, yang pada akhirnya menurunkan daya saing platform perdagangan di atas rantai.

Mekanisme pengurutan transaksi yang dapat diprediksi dapat memberikan jaminan yang andal kepada market maker, memungkinkan mereka merespons kejadian di luar rantai dengan cepat dan menjaga efisiensi pasar di atas rantai.

Kesenjangan antara kondisi saat ini dan kebutuhan

Saat ini, blockchain publik yang ada hanya mampu memberikan jaminan finalitas yang cukup andal dalam hitungan detik. Jaminan ini cukup untuk aplikasi pembayaran, tetapi jauh dari cukup untuk banyak aplikasi keuangan yang membutuhkan respons waktu nyata dari partisipan pasar. Sebagai contoh, dalam skenario buku pesanan: jika arbitrageur dapat menempatkan transaksi mereka agar dimasukkan ke blok yang lebih awal, maka jaminan “dimasukkan dalam beberapa detik” menjadi tidak berarti. Tanpa jaminan pengurutan yang kuat, market maker harus memperlebar spread dan menawarkan harga yang lebih buruk kepada pengguna untuk mengimbangi risiko adverse selection yang lebih tinggi. Hal ini membuat transaksi di atas rantai kurang menarik dibandingkan platform lain yang menawarkan perlindungan lebih baik.

Jika blockchain ingin benar-benar mewujudkan visi sebagai infrastruktur modernisasi pasar modal, pengembang harus menyelesaikan masalah ini agar aplikasi bernilai tinggi seperti buku pesanan dapat berkembang pesat di atas rantai.

Mengapa prediktabilitas begitu sulit dicapai?

Memperkuat jaminan pengurutan transaksi di atas rantai yang ada untuk mendukung skenario keuangan ini sangat menantang. Saat ini, beberapa protokol bergantung pada satu node tunggal (“validator blok”), yang memutuskan transaksi mana yang akan dikemas dalam waktu tertentu. Desain ini memang menurunkan kompleksitas pembangunan blockchain berkinerja tinggi, tetapi juga menciptakan titik monopoli ekonomi—node validator dapat memanfaatkannya untuk meraup nilai. Biasanya, selama periode di mana node dipilih sebagai validator, mereka memiliki kendali mutlak atas transaksi apa saja yang dimasukkan ke dalam blok.

Bagi blockchain yang mendukung berbagai aktivitas keuangan, node validator berada dalam posisi istimewa. Jika node tersebut menolak untuk mengemas transaksi tertentu, pengguna satu-satunya cara adalah menunggu node validator lain yang bersedia memproses transaksi tersebut. Dalam jaringan tanpa izin, node validator secara alami memiliki motif untuk meraup nilai—yang dikenal sebagai Miner Extractable Value (MEV). MEV jauh lebih dari sekadar melakukan serangan sandwich terhadap transaksi Automated Market Maker (AMM). Bahkan, hanya dengan menunda pengemasan transaksi selama puluhan milidetik, node validator dapat meraup keuntungan besar dan secara signifikan menurunkan efisiensi aplikasi dasar. Jika buku pesanan hanya memprioritaskan transaksi dari beberapa trader tertentu, maka bagi peserta lain, ini tidak adil. Dalam kasus ekstrem, perilaku jahat dari node validator bisa menyebabkan trader meninggalkan platform tersebut sama sekali.

Sebagai contoh, bayangkan Federal Reserve mengumumkan kenaikan suku bunga, dan harga ETH langsung turun 5%. Semua market maker di buku pesanan segera membatalkan order mereka dan memasang order baru dengan harga yang lebih rendah. Pada saat yang sama, semua arbitrageur mengajukan transaksi untuk menjual ETH berdasarkan order lama. Jika buku pesanan ini berjalan di protokol yang hanya memiliki satu node validator, node tersebut memiliki kekuasaan besar. Ia bisa langsung menyensor semua order pembatalan dari market maker, sehingga arbitrageur mendapatkan keuntungan besar; atau menunda proses order pembatalan, menunggu transaksi mereka masuk ke rantai, lalu melepasnya; bahkan, node validator bisa memasukkan transaksi arbitrase mereka sendiri dan meraup keuntungan dari selisih harga.

Dua kebutuhan utama: ketahanan terhadap sensor dan kerahasiaan transaksi

Dengan posisi dominan seperti ini, partisipasi aktif dari market maker menjadi tidak menguntungkan—selama harga berfluktuasi, mereka bisa dimanfaatkan. Masalah inti berasal dari hak istimewa berlebihan yang dimiliki node validator: mereka dapat menyensor transaksi dari trader mana pun; mereka dapat melihat transaksi orang lain dan mengajukan transaksi balasan berdasarkan informasi tersebut. Kedua masalah ini bisa berakibat fatal.

Contoh ilustrasi

Misalnya, dalam sebuah lelang, ada dua peserta: Alice dan Bob, dan Bob adalah node validator yang memproduksi blok tersebut. (Hanya dua peserta ini disederhanakan untuk memudahkan penjelasan, tetapi logika ini berlaku untuk jumlah peserta berapa pun.)

Lelang berlangsung selama periode waktu dari t=0 sampai t=1. Alice mengajukan tawaran bA pada waktu tA, dan Bob mengajukan tawaran bB pada waktu tB (tB > tA). Karena Bob adalah validator blok, dia bisa memastikan tawarannya terakhir. Keduanya dapat membaca harga aset yang terus diperbarui (misalnya, harga tengah dari bursa terpusat). Misalnya, pada waktu t, harga adalah pt. Asumsinya, bahwa pada waktu t, kedua peserta memperkirakan bahwa harga aset saat lelang berakhir (t=1) akan sama dengan harga saat ini, pt. Aturan lelang sederhana: tawaran tertinggi menang dan transaksi dilakukan sesuai tawaran tersebut.

Mengapa perlindungan terhadap sensor penting?

Sekarang, bayangkan Bob memanfaatkan posisi validator-nya untuk menyensor tawaran Alice. Jika Bob bisa memeriksa tawaran Alice, mekanisme lelang langsung gagal. Ia cukup mengajukan tawaran sangat rendah, dan menang dengan pasti karena tawaran lain terblokir. Hasilnya, pendapatan lelang mendekati nol.

Mengapa kerahasiaan transaksi penting?

Lebih rumit lagi, jika Bob tidak bisa langsung memeriksa tawaran Alice, tetapi bisa melihat tawaran tersebut sebelum mengajukan tawaran sendiri, ia akan menggunakan strategi sederhana: saat menawar, ia membandingkan harga saat ini (ptB) dengan tawaran Alice (bA). Jika ptB > bA, ia akan menawar sedikit lebih tinggi dari bA; jika tidak, ia akan melewatkan tawaran.

Dengan strategi ini, Alice akan terus menghadapi adverse selection. Ia hanya akan menang jika harga saat tawarannya melebihi nilai yang diperkirakan dari aset tersebut setelah pembaruan harga. Setiap kali ia menang, biasanya akan merugi secara ekspektasi, sehingga akhirnya ia berhenti ikut lelang. Setelah pesaing lain keluar, Bob bisa kembali menawar dengan harga sangat rendah dan memenangkan lelang, sehingga pendapatan lelang menjadi nol.

Intinya, durasi lelang tidak penting. Selama Bob bisa memeriksa tawaran Alice sebelumnya, atau melihat tawaran tersebut sebelum mengajukan tawaran sendiri, lelang ini pasti gagal.

Logika ini juga berlaku untuk semua skenario perdagangan aset frekuensi tinggi, termasuk perdagangan spot, kontrak perpetual, derivatif, dan lain-lain: jika ada node validator yang memiliki kekuasaan seperti Bob, seluruh mekanisme pasar akan runtuh. Untuk memastikan produk di atas rantai yang melayani skenario ini dapat berjalan, node validator tidak boleh memiliki hak istimewa semacam itu.

Bagaimana masalah ini muncul saat ini?

Deskripsi di atas menggambarkan gambaran suram untuk setiap blockchain tanpa izin yang bergantung pada satu node validator. Namun, banyak DEX (Decentralized Exchange) yang berjalan di protokol semacam ini tetap menunjukkan volume transaksi yang baik. Mengapa demikian?

Dalam praktiknya, ada dua kekuatan yang secara bersama-sama menyeimbangkan masalah ini:

• Node validator tidak sepenuhnya menyalahgunakan hak ekonomi mereka, karena mereka biasanya memiliki kepentingan besar terhadap keberhasilan blockchain dasar;

• Berbagai aplikasi telah membangun solusi alternatif untuk mengurangi kerentanan terhadap masalah ini.

Meskipun kedua faktor ini memungkinkan DeFi tetap berjalan hingga saat ini, secara jangka panjang, mereka tidak cukup untuk membuat pasar di atas rantai benar-benar bersaing dengan pasar tradisional di luar rantai.

Di blockchain yang memiliki aktivitas ekonomi yang signifikan, untuk mendapatkan hak validator, node harus melakukan staking sejumlah besar token. Jadi, node validator biasanya adalah entitas yang memiliki banyak token yang di-stake sendiri atau memiliki reputasi cukup tinggi sehingga pengguna lain mau mendelegasikan hak staking mereka. Dalam kedua kasus, operator node besar biasanya adalah entitas publik yang berisiko terhadap reputasi mereka. Selain reputasi, token yang mereka stake juga memberi insentif ekonomi untuk mendorong pengembangan blockchain yang sehat. Oleh karena itu, saat ini kita jarang melihat node validator menyalahgunakan kekuasaan pasar secara penuh seperti yang dijelaskan sebelumnya—namun, ini tidak berarti masalah tersebut tidak ada.

Di satu sisi, mengandalkan tekanan sosial dan insentif jangka panjang untuk mengendalikan perilaku node validator bukanlah fondasi yang andal untuk sistem keuangan masa depan. Seiring meningkatnya skala aktivitas keuangan di atas rantai, potensi keuntungan yang bisa diperoleh node validator juga akan meningkat. Semakin besar potensi ini, semakin sulit untuk mengendalikan mereka melalui tekanan sosial agar tidak mengejar keuntungan jangka pendek.

Di sisi lain, tingkat penyalahgunaan kekuasaan pasar oleh node validator adalah sebuah spektrum. Mereka bisa bertindak secara moderat atau secara ekstrem merusak pasar. Operator node dapat secara bertahap menguji batas-batas perilaku yang dapat diterima, memanfaatkan kekuasaan mereka untuk mendapatkan keuntungan lebih besar. Ketika beberapa operator mulai melampaui batas yang dapat diterima, yang lain akan cepat meniru. Perilaku satu node tampak kecil pengaruhnya, tetapi jika semua mengikuti, dampaknya akan sangat besar.

Contoh paling nyata dari fenomena ini mungkin adalah permainan waktu: node validator berusaha menunda pengumuman blok sebanyak mungkin sambil memastikan blok tetap valid sesuai protokol, demi mendapatkan reward lebih tinggi. Ini bisa menyebabkan waktu pembuatan blok menjadi lebih lama, dan jika terlalu agresif, bahkan bisa menyebabkan blok dilewati. Meskipun strategi ini diketahui menguntungkan, awalnya mereka tidak melakukannya untuk menjaga citra pengelola blockchain. Namun, keseimbangan sosial ini sangat rapuh. Jika satu operator mulai menggunakan strategi ini dan mendapatkan keuntungan tanpa hukuman, yang lain akan segera mengikuti.

Permainan waktu hanyalah salah satu contoh bagaimana node validator bisa meningkatkan pendapatan mereka tanpa menyalahgunakan kekuasaan secara penuh. Mereka juga dapat menggunakan berbagai cara lain, dengan mengorbankan aplikasi demi keuntungan pribadi. Secara individual, langkah-langkah ini mungkin masih dalam batas toleransi, tetapi jika terus berlanjut, biaya operasional di atas rantai akan melebihi manfaatnya.

Faktor lain yang menjaga keberlangsungan DeFi adalah: aplikasi memindahkan logika utama ke luar rantai, dan hanya mengirim hasilnya ke rantai. Misalnya, semua protokol lelang yang membutuhkan eksekusi cepat memilih untuk menyelesaikan proses di luar rantai. Biasanya, aplikasi ini berjalan di atas sekelompok node yang diotorisasi, untuk menghindari masalah dari node validator jahat. Contohnya, UniswapX menjalankan lelang Holland di luar rantai di Ethereum utama, dan Cowswap juga melakukan lelang massal di luar rantai.

Pendekatan ini memang menjamin keberlangsungan aplikasi, tetapi menempatkan infrastruktur dasar dan nilai inti dari blockchain dalam posisi yang sangat rentan. Jika logika eksekusi seluruhnya dilakukan di luar rantai, maka blockchain dasar hanya akan berfungsi sebagai layer penyelesaian transaksi saja. Salah satu keunggulan utama DeFi adalah composability—kemampuan berbagai aplikasi untuk saling berinteraksi dan digabungkan. Jika semua eksekusi dilakukan di luar rantai, aplikasi akan terpisah secara alami. Selain itu, mengandalkan eksekusi di luar rantai menambah prasyarat kepercayaan baru: aplikasi tidak hanya harus bergantung pada blockchain dasar yang berjalan dengan baik, tetapi juga pada infrastruktur off-chain yang harus tersedia agar aplikasi dapat berfungsi normal.

Bagaimana mewujudkan prediktabilitas?

Untuk mengatasi masalah ini, protokol harus memenuhi dua karakteristik utama: stabilitas pengurutan transaksi dan jaminan kerahasiaan sebelum konfirmasi.

Kebutuhan utama pertama: Ketahanan terhadap sensor

Kita rangkum sebagai ketahanan jangka pendek terhadap sensor. Jika sebuah protokol memiliki ketahanan ini, maka setiap transaksi yang sampai ke node yang jujur akan dijamin dimasukkan ke blok berikutnya yang tersedia.

Ketahanan jangka pendek terhadap sensor: Transaksi yang dikirim tepat waktu ke node jujur mana pun pasti akan dimasukkan ke blok berikutnya.

Secara lebih spesifik, kita asumsikan protokol berjalan berdasarkan jam tetap, dan blok dibuat secara periodik, misalnya setiap 100 milidetik. Maka, jaminan yang dibutuhkan adalah: jika transaksi sampai ke node jujur dalam waktu 250 milidetik, maka transaksi tersebut pasti akan dimasukkan ke dalam blok yang dibuat pada 300 milidetik. Penyerang tidak boleh memiliki kekuasaan untuk menyaring transaksi secara acak, memilih transaksi tertentu, atau menghapus transaksi tertentu. Inti dari definisi ini adalah: pengguna dan aplikasi harus memiliki cara yang sangat andal agar transaksi dapat masuk ke rantai kapan saja, tanpa tergantung pada node tertentu. Tidak boleh terjadi bahwa satu node gagal mengirimkan transaksi karena alasan apa pun—baik karena niat jahat maupun gangguan teknis—sehingga transaksi tidak masuk ke rantai.

Walaupun definisi ini mengharuskan transaksi yang sampai ke node jujur mana pun pasti masuk, dalam praktik, biaya implementasinya bisa sangat tinggi. Maknanya adalah: protokol harus cukup stabil sehingga transaksi dapat dipastikan masuk ke rantai dengan tingkat prediktabilitas yang tinggi dan logika yang sederhana. Protokol tanpa izin yang hanya mengandalkan satu node validator tidak memenuhi syarat ini, karena jika node tersebut berbuat jahat, transaksi tidak akan pernah masuk. Bahkan jika hanya sekelompok kecil node—misalnya empat node—yang mampu menjamin pengurutan dan pengemasan transaksi secara konsisten, ini sudah sangat membantu meningkatkan pilihan pengguna dan aplikasi untuk memasukkan transaksi ke rantai. Untuk memungkinkan aplikasi berkembang secara stabil dan berkelanjutan, mengorbankan sebagian performa demi keandalan adalah hal yang layak dipertimbangkan. Menemukan keseimbangan yang tepat antara ketahanan dan performa masih perlu penelitian lebih lanjut, tetapi jaminan yang diberikan protokol saat ini jauh dari cukup.

Setelah protokol mampu menjamin transaksi masuk ke rantai, masalah pengurutan menjadi lebih sederhana. Protokol dapat menggunakan aturan pengurutan yang deterministik, sehingga hasil pengurutan selalu konsisten. Contohnya, mengurutkan berdasarkan biaya prioritas, atau memberi aplikasi fleksibilitas dalam mengurutkan transaksi yang berinteraksi dengan status mereka. Metode pengurutan terbaik masih menjadi bidang aktif penelitian, tetapi yang pasti, pengurutan hanya bermakna jika transaksi benar-benar masuk ke rantai.

Kebutuhan utama kedua: Kerahasiaan informasi

Setelah mencapai ketahanan jangka pendek terhadap sensor, karakteristik penting lainnya adalah kemampuan perlindungan privasi yang kita sebut sebagai kerahasiaan.

Kerahasiaan: Sebelum transaksi dikonfirmasi dan dimasukkan ke rantai secara final, selain node yang menerima transaksi tersebut, tidak ada pihak lain yang dapat memperoleh informasi apa pun tentang transaksi tersebut.

Protokol yang memenuhi kerahasiaan ini memungkinkan node penerima untuk melihat transaksi secara terbuka, tetapi bagian lain dari jaringan tidak boleh mengetahui isi transaksi sampai proses konsensus selesai dan urutan transaksi di log final telah ditetapkan. Misalnya, protokol dapat menggunakan enkripsi waktu terkunci sehingga seluruh isi blok tidak dapat dilihat sebelum waktu tertentu; atau menggunakan enkripsi threshold, di mana hanya setelah dewan tertentu mengonfirmasi bahwa blok tidak dapat diubah, isi blok baru dapat didekripsi.

Ini berarti, node dapat menyalahgunakan informasi transaksi yang mereka terima, tetapi node lain di jaringan tidak akan mengetahui isi transaksi tersebut sebelum proses konsensus selesai. Ketika transaksi diungkapkan ke seluruh jaringan, transaksi tersebut sudah selesai diurutkan dan dikonfirmasi, sehingga pihak lain tidak dapat melakukan transaksi lebih dulu. Agar definisi ini praktis, diperlukan bahwa selama setiap waktu, ada beberapa node yang dapat menyelesaikan transaksi dan memasukkannya ke rantai.

Kami tidak menggunakan definisi privasi yang lebih kuat—misalnya, transaksi hanya diketahui oleh pengguna sendiri sebelum konfirmasi (seperti dalam skema mempool terenkripsi)—karena protokol membutuhkan mekanisme untuk menyaring transaksi sampah. Jika isi transaksi sepenuhnya tersembunyi dari seluruh jaringan sebelum konfirmasi, jaringan tidak dapat membedakan transaksi sampah dari transaksi valid. Solusi satu-satunya adalah menyimpan metadata tertentu yang tidak sepenuhnya rahasia, seperti alamat pembayaran, yang akan dikenai biaya transaksi apa pun. Namun, metadata ini tetap bisa mengungkapkan cukup informasi kepada pihak jahat. Oleh karena itu, kami lebih memilih desain di mana node tunggal dapat melihat seluruh isi transaksi, tetapi node lain di jaringan tidak dapat melihatnya. Ini berarti, agar fitur ini efektif, pengguna harus memiliki setidaknya satu node jujur yang berfungsi sebagai pintu masuk transaksi ke rantai setiap waktu.

Kesimpulan

Protokol yang secara bersamaan memiliki ketahanan jangka pendek terhadap sensor dan kerahasiaan informasi adalah fondasi ideal untuk membangun aplikasi keuangan. Kembali ke contoh lelang di atas rantai, kedua fitur ini secara langsung menyelesaikan masalah yang mungkin timbul dari Bob: dia tidak bisa menyensor tawaran Alice, dan tidak bisa memanfaatkannya untuk mengatur tawarannya sendiri—mengatasi secara tepat masalah 1) dan 2) dalam contoh tersebut.

Dengan jaminan ketahanan terhadap sensor jangka pendek, setiap pengguna yang mengajukan transaksi—baik transaksi biasa maupun tawaran lelang—dapat memastikan transaksi tersebut langsung dikemas ke dalam blok. Market maker dapat memperbarui order mereka, peserta lelang dapat menawar dengan cepat, dan proses penyelesaian dapat dilakukan secara efisien. Pengguna dapat yakin bahwa setiap operasi yang mereka lakukan akan dieksekusi segera. Ini akan memungkinkan pengembangan aplikasi keuangan dunia nyata berkecepatan rendah yang baru dan sangat responsif secara on-chain. Jika blockchain ingin benar-benar bersaing dengan infrastruktur keuangan yang ada, bahkan melampaui performanya, masalah yang harus diselesaikan jauh lebih dari sekadar throughput.