# Zero-knowledge Proof 概况 By [vivien](https://paragraph.com/@vivien-3) · 2022-09-27 --- 什么是零知识证明 -------- 零知识证明的定义为:证明者(prover)能够在不向验证者(verifier)提供任何有用的信息的情况下,使验证者(verifier)相信某个论断是正确的。 有关零知识证明非常经典的例子: 可以想象一个山洞只有一个入口,洞里面有两条路(路径A和路径B),这两条路由一扇门连接,要说出密码才能通过这扇门。Alice希望向Bob证明她知道开门的密码,但不想将密码透露给Bob。因此,Bob需要站在山洞外,Alice从其中一条路走进山洞,而Bob并不知道她选了哪条路。接着,Bob指定Alice从其中一条路回到山洞入口(注:这是随机选择的)。如果Alice最初选择从路径A走到门口,但Bob让她从路径B回来,唯一的方法就是穿过那扇门,而穿过门必须知道密码。为了充分证明Alice真的知道门的密码,而不是运气好刚好选到了同一条路,这个过程可以反复重复好几次。 [https://blog.chain.link/what-is-a-zero-knowledge-proof-zkp-zh/](https://blog.chain.link/what-is-a-zero-knowledge-proof-zkp-zh/) \*\*概率:\*\*Alice第一次从正确的路径走出来,Bob可以说Alice知道开门密码的概率为50%。如果Alice第二次从正确的路径走出来,那么Bob可以说Alice知道开门密码的概率为75%。在第三次从正确的路径走出来后,它将是87.5%。如果连续n次Alice都从正确的路径走出来,则Bob有1-(1/2)^n 的概率可以认为Alice是知道门的密码的。当经过多次验证后,Bob就可以非常确信Alice知道门的密码,与此同时Alice也不用向Bob透露密码是什么。 **在这个例子当中体现出来了零知识证明有三个基本特征,即:** \*\*完备性(Completeness):\*\*只要证明者拥有相应的知识,那么就能通过验证者的验证,即证明者有足够大的概率使验证者确信。如果Alice的拥有门的密码,则Alice每次都可以从正确的路径走出来,这称为完备性。 \*\*可靠性(Soundness):\*\*如果证明者没有相应的知识,则无法通过验证者的验证,即证明者欺骗验证者的概率可以忽略。如果Alice并不的拥有门的密码 ,则Alice并不能每次都可以从正确的路径走出来,这称为可靠性。 \*\*零知识性(Zero-Knowledge):\*\*证明者在交互过程中仅向验证者透露是否拥有相应知识的陈述,不会泄露任何关于知识的额外信息。 在Alice 和Bob的交互过程中,Bob 并无法从中知道门的密码是什么,这称为零知识性。 零知识证明在区块链中的应用场景: ---------------- 从零知识证明定义中可以提取到两个关键词:“不泄露信息”,“证明论断有效”,基于这两个特点扩展出零知识证明在区块链上的两大应用场景: **隐私性**——Zero knowledge proof 做到了信息的隐私性。在交易中,你需要能证明你拥有某种未花费的资产,但是不想暴露资产的整个来源去向,可解决以太坊等区块链平台中交易透明性带来的信息泄露,如转账地址和金额; **可拓展性**——若某个区块直接验证的时间很长,可改为由一人验证并生成证明,而网络中的其它人快速验证该证明,而不再需要每个人都花很长时间来直接验证; ### 隐私 **目前区块链上普遍存在的隐私问题:** 以太坊上的隐私模式: * 每一个账户的余额都是公开的,每一个账户所持有的token,NFT数量,以及交易都是可以被所有人看到的。 * 对于DApps: 代码和内部状态是公开的 * 所有的该账户的交易都可以和该账户进行关联 根据以太坊上的隐私模式我们可以得出的结论是,所有在以太坊上的支付是公开可见的并且可关联的。并且由于交易的公开性、关联性,任何人都可以在公共账本上追踪你的交易,可能利用这些信息找出你的真实身份 **隐私需求:** 然而在很多场景当中,隐私交易的需求是真实存在的,尤其是随着 DeFi 和NFT 应用的爆发,这一需求愈发旺盛。比如,如何在链上交易中保护自己的交易策略不被他人知道,是交易员们最关心的问题之一,因为一旦自己的交易策略可能包含着巨大的商业价值。如果一旦被他人追踪或模仿,将直接影响他们能否从市场上获得 alpha 收益。 **解决方案:** 因此,一款基于以太坊(或其他能够运行智能合约的公链)的、拥有隐私交易特性的项目成为了市场的刚需。目前在隐私场景中,大多的产品和公链都借助零知识证明的“不泄露信息”特性,在不泄漏交易的细节(接收方,发送方,交易余额)的情况下,可以证明区块链上的资产转移是有效的。 目前的主流产品包括隐私公链,隐私币和混币器。 **隐私保护的双面性:** 链上隐私保护的主要特性就是抗审查和防追踪,但同时也给整个加密行业带来了监管方面的巨大压力。比如很多黑客通过这些隐私产品进行洗钱等非法活动,并且监管部门很难进行资金流向追踪和监控。这也是美国政府对部分这类隐私产品进行严厉制裁的主要原因。 **隐私赛道的发展情况:** 当前链上隐私方面技术(如零知识证明)发展尚不成用成熟,普通用户重视程度不足以及政府政策的不断打压,导致与其它赛道相比,隐私板块整体发展较为缓慢。 目前看来,隐私性和可审查性存在矛盾,但这两者之间并不是完全对立的关系。未来的隐私增强类项目需要在隐私性和可审查性之间做出取舍,找到这两者的一个平衡点,才能让加密技术发挥其真正的潜力。 像最近受到圈内顶级VC的青睐的一些项目都在尝试探索隐私性和可审查性之间的平衡。如L2隐私解决方案Aztec Network在2021年12月完成由Paradigm领投的1700万美元A轮融资。Aztec Network 是一个使用零知识证明技术,默认具有隐私功能的智能合约平台。并且,在具备隐私功能的同时保持了可审计性和合规性。 扩容 -- **以太坊扩容的需求:** 区块链的三个目标分别是去中心化、安全和可扩展。然而在区块链三难困境中,简单的区块链架构只能实现这三个属性中的两个。目前,以太坊主要聚焦于安全的去中心化区块链,这意味着它牺牲了可扩展性。 所以,目前以太坊主网(Layer 1)每秒只能处理大约 15 笔交易。当使用以太坊的需求增加时,网络就会变得拥挤,这就增加了Gas费,而高昂的价格使得用户难以负担。为了解决这一问题,目前以太坊也在升级当中。然而,由于以太坊升级的复杂性,升级时间被一拖再拖。目前Merge(合并) 已在9月份完成,ETH已经完全从 POW转到POS。Shading (分片) 会在 2023-2024年左右完成, 预计完成后ETH将支持每秒处理 1000 个交易。 因此,在ETH正式完成升级之前,Layer 2 就成了目前解决ETH上网络拥堵和Gas费过高问题的一个暂时的解决方案。 **什么是Layer2:** Layer 2是一套具体的以太坊扩容解决方案。这些解决方案在处理以太坊layer 1以外的交易的同时,还能利用以太坊layer 1 强有力的去中心化安全性。所有Layer 2项目上的用户交易活动最终都可以传输回Layer 1网络区块链。 **Layer 2 的工作原理:** 目前Layer 2 的主要工作原理是Rollup(卷叠), rollup将数百笔交易捆绑,打包为Layer 1上的单笔交易。这将把Layer 1的交易费用分摊给rollup中的每一用户,因此,交易费用对每个用户都更便宜。虽然rollup交易在Layer 1之外执行,但交易数据会被发布到Layer,因此, Layer 2 也继承了以太坊的安全性。 目前,有两种不同方式可以实现卷叠:Optimistic-rollup(乐观卷叠)和ZK-rollup (零知识证明卷叠) ― 它们的主要区别在于如何将此交易数据发布到一层网络。 \*\*Optimistic-rollup(乐观卷叠):\*\*乐观卷叠的“乐观”体现在其假定交易是有效的,但可以在必要时提出质疑。如果交易被怀疑无效,则会运行一项错误性证明,验证是否已经发生无效交易。 这意味着交易确认等待时间可能比零知识证明卷叠更长(通常为7天),因为交易可能受到质疑。 \*\*ZK-rollup (零知识证明卷叠):\*\*在此扩容场景中,我们不太需要关注零知识证明技术的“不泄露信息”这个特性,我们的关注重点是它的“证明论断有效”这个特性。零知识卷叠使用有效性证明,其中的交易是脱链计算的,然后将压缩数据提供给以太坊主网,以证在链下发生的动作是可信的。使用零知识卷叠,当资金从Layer 2转移到Layer 1时不会有任何延迟,因为零知识卷叠智能合约接受的有效性证明已经验证了资金。 通过对比**Optimistic-rollup** 和 **ZK-rollup** 在现实中的使用情况来看,由于Optimistic-rollup的使用成本更低以及更易编程的特性,目前Op-rollup 的各方面数据都领先于ZK-rollup。但是ZK-rollup的核心竞争力就在于其提供的绝对安全性,通过技术的有效性证明来确保交易的有效性,并且用户在提取资金时不会有任何的延迟。 当前市场内的共识是,随着Zk-rollup的技术发展, Optimistic-rollup 会因为自身的安全性问题而退居二线。因此,OP-rollup 可以用中短期应用的逻辑来看,长线看不具备强价值。 **而ZK-rollup将会在之后占据着核心地位,是行业的最顶级叙事之一。** [https://research.huobi.com/#/ArticleDetails?id=312](https://research.huobi.com/#/ArticleDetails?id=312) 目前零知识证明具体应用项目: -------------- ### Tornado Cash(混币器) **项目介绍:** Tornado Cash 是基于零知识证明在以太坊上实现的隐私交易中间件,能够以不可追溯的方式将 ETH 以及 ERC20 Token(目前支持 DAI,cDAI,USDC,USDT,WBTC)发送到任何地址。 Tornado cash 将若干没有关系的人和互相没有关系的交易混在系统中,通过打破存款人和取款人的链上连接来完成混币从而提高交易隐私。让外界无法知道输入的交易对应哪个输出交易,达到混淆的效果,从而做到真正的匿名交易。 **工作原理:** \*\*存入:\*\*用户可存入固定数额的代币(简单起见,图中我们以0.1ETH为例,Tornado.cash 也有 1ETH, 10 ETH, and 1,000 ETH 几个级别),然后拿到一个独一无二的秘密存款证明(类似于密钥)。存入操作后,0.1ETH 就从用户的钱包账户转到了 Tornado.cash 在以太坊上的合约地址。 \*\*提取:\*\*用户在 Tornado cash 中输入他的存款证明后可将 0.1ETH 提取到一个全新的地址。其背后的原理是 Tornado cash 用这个秘密存款证明生成一个零知识证明来验证存款的有效性。然后,Tornado cash 的合约在链上对这个零知识证明进行验证。由于在提款时,用户可以不用和自己的存入的钱包进行任何的交互。因此,提款钱包和存入钱包之间的联系被完全打破了。 ![Tornado cash工作原理](https://storage.googleapis.com/papyrus_images/9ec1e8c4c51cce0a99623a28c0e8dff7415b32e84e23b466362b53683b6ba07f.png) Tornado cash工作原理 **项目发展:** Tornado Cash 协议于 2019 年 8 月在ETH上启动。 从启动以来, Tornado Cash 的资金量一直保持着高速增长,成为了ETH上最大的隐私解决方案。在今年7月,已经有近348万个ETH存款于这个隐私池中,存入的总额为76亿美元。 然而在今年的 8月8日,美国财政部海外资产控制办公室(OFAC)宣布制裁Tornado cash。美国个人和实体被禁止与Tornado cash 相关地址要进行区块链或业务互动,否则可能会因违规而承担刑事责任。并且在制裁消息发布后,众多加密项目纷纷暂停与 Tornado Cash 的合作。例如,Aave 阻止与遭受制裁后Tornado cash 合约有交互的地址,Uniswap 对Tornado cash 污染地址进行了封禁;GitHub 关闭了该项目的主页并阻止了开发人员访问。目前,Toranado 前端官网已经被禁止访问。 受众多消息影响,Tornado Cash 的总锁仓量(TVL)降至 4 亿美元,降幅为 13 %。二级市场方面,TORN 代币价格也大幅跳水,跌幅一度达 48%。 **项目争议:** Tornado Cash的设计和开发初衷是为了保护链上用户的绝对隐私,但是在监管和市场没准备好的情况下,却被不法分子滥用,其违背了Tornado Cash的设计初衷。 美国财政部海外资产控制办公室(OFAC)宣布制裁Tornado cash的最主要的原因是,在过去三年中Tornado cash 洗钱超过 70 亿美元,并帮助朝鲜国营黑客组织 Lazarus Group 逃避美国的处罚。洗钱的总额包括 3 月份 Lazarus Group 4.55 亿美元,以及 6 月份 Harmony Horizon Bridge 的黑客获利的 9600 万美元。 但是,将 Tornado.cash 视为“完全的黑客的洗钱工具”其实是一种固有的偏见,这种偏见主要来自媒体的“有色”报道:当黑客使用 Tornado.cash 来隐匿被盗资产时,这种新闻常常见诸报端;然而完全合法合理的 Tornado.cash 用途媒体却鲜有报道 根 ![Tornado cash 的资金来源](https://storage.googleapis.com/papyrus_images/ca2e4ed981747ddacb08b36bb30322a4111621813da0f4fdd32ba0e76e3e0644.png) Tornado cash 的资金来源 据 Chainanalysis 对于 Tornado.cash 用途的分析,Tornado.cash 的资金来源中大约只有10.5%是被盗资产,而绝大多数资金的用途是 DeFi、中心化交易所转账以及防止被制裁等。 并且,分布式,去中心化和抗审查是很多区块链行业参与者积极追求的特性,他们不希望存在中心化的数据源,也不希望中心化的监管机构对区块链项目进行干预\*\*。\*\* 因此美国财政部海外资产控制办公室(OFAC)的这种“一刀切”举动也引起了非常大的争议。 [https://www.freebuf.com/articles/web/341688.html](https://www.freebuf.com/articles/web/341688.html) Zcash (隐私币): ------------ **产品介绍:** Zcash(ZEC)是一种去中心化的开源加密货币,可以保证交易的隐私性和可选择性的透明度。Zcash货币支付在公共区块链中发布,但发送人、接收人和转账金额都是保密的。 Zcash的主要技术特性是使用零知识测试(Zero knowledge proof)。这可以让你在不泄露其他信息的情况下确认交易,使得加密货币的使用完全匿名。 **工作原理:** Zcash有两种类型的地址:私有(z地址)或透明(t地址)。z地址以“z”开头,t地址以“t”开头。一个从z到z的交易出现在公共区块链中,大家知道它发生了,并且已经进行了交易。但是地址、交易金额和memo字段是加密的,并不公开可见。这种类型的加密是通过零知识证明来实现的。 虽然今天许多钱包和交易所专门使用 t-addresses,但许多钱包和交易所正在转向屏蔽地址以更好地保护用户隐私。这两种 Zcash 地址类型是可互操作的。资金可以在 z 地址和 t 地址之间转移。另一方面,两个透明地址(t to t) 之间的交易与比特币的工作方式相同:发送人、接收人和交易的金额是公开可见的。 ![Zcash工作原理](https://storage.googleapis.com/papyrus_images/6d60e1bf6199f5d28f4d9a34ad0bb553f50b781c4faa43a9466e6ca1625488f7.png) Zcash工作原理 **监管风险:** 在美国财政部海外资产控制办公室(OFAC)宣布制裁Tornado cash之后,推特上就有分析师表示Zcash 和其他隐私代币可能会面临非常大的被制裁风险,需要用户妥善管理风险。 在这之后,Zcash 其开发公司 Electric Coin Company(ECC)发公告表示:Zcash 符合并完全兼容全球 AML/CFT 标准,包括金融行动特别工作组(FATF)所有的建议、欧盟的第五项反洗钱指令,以及美国的反洗钱法规。同时 Zcash 已得到纽约州金融服务厅(NYDFS)的批准,这也是在 Gemini 和 Coinbase 等主要交易所上市的关键要求。 此外文章中还提到 2020 年 ECC 委托美国智库 RAND Corporation 对 Zcash 用于非法目的进行研究,结果表示没有发现任何证据表明 Zcash 被大量用于洗钱、恐怖主义融资或非法商品和服务贸易;强调 Zcash 的治理及其品牌符合相关的 AML/CFT 法规,可能使其不太容易受到非法或犯罪目的的利用。 **产品介绍:** zkSync 1.0 于2020年6月在ETH主网上线, 是ETH上的一个 ZK-Rollup L2 扩容解决方案。zkSync 1.0 是应用特定型, 主要聚焦于支付。但由于并不能兼容 EVM,其可用性也受到限制。 zkSync 2.0 是构建于以太坊之上可兼容 EVM 的 L2解决方案,也被称为 zkEVM,因为它重新编译了 EVM 代码,并用 zkp(零知识证明)来校验 rollup 交易。在今年2月,zkSync 2.0 测试网以正式上线。 zkSync 作为Layer 2 最显著的优点就是: * 转账手续费低; * 手续费可以用转账币种来支付(不必须用 ETH 作为手续费); * 转账确认快,交易最终性( finality)只需要几分钟; * 提款到 Layer1 最长只需要15分钟 ( Optimism 和 Arbitrum 等利用 Optimistic-Rollup的 Layer 2 ,则需要7天 ) **融资背景:** 2021年3月,Matter Labs(zkSync团队) 完成了由 Union Square Ventures 领投的600万美元 A 轮融资,其它知名投资机构包括 Placeholder 和 Dragonfly。这轮融资更令人注目的是同时引入了非常多的生态合作伙伴,其中不乏加密货币领域中最知名的公司和创始人。 2021年11月,Matter Labs 又完成了由 A16Z 领投的5000万美元 B 轮融资,其它战略投资者中还包括了不少中心化交易所([Blockchain.com](http://Blockchain.com), ByBit, OKEx)。在融资宣发后不久,这些交易所纷纷宣布于 zkSync 达成合作,支持交易所与 L2 之间的充值/提币。 ![](https://storage.googleapis.com/papyrus_images/dba4f8b284f2e63afad49b62526abe4d9d1ab465fae7894851d99a12c3bf95dc.png) **项目生态:** 目前,zkSync生态发展仍然处于一个早期阶段。 由于 zkSync 1.0 尚不兼容 [EVM](https://mifengcha.com/coin/evermars),因此目前已经支持或集成 zkSync 的项目并不多,多为钱包和支付网关类等基础设施项目。 但随着 zkSync2.0 测试网的发布,部署在zksync2.0测试网的应用程序正在快速增长,包括Defi, DAO, NFT, Bridge Game等。 ![](https://storage.googleapis.com/papyrus_images/0876562b4d609e722a18d10ae1e76e00c9698c07f791d7ea535bd98f776b6bb3.png) --- *Originally published on [vivien](https://paragraph.com/@vivien-3/zero-knowledge-proof)*