项目介绍

Manta Network（$MANTA）是基于零知识证明（Zero-Knowledge Proof，简写为 ZK 或 ZKP）构建的隐私公链。

开发者可利用 Manta 构建去中心化隐私应用，如隐私 DeFi 交易、借贷协议，隐私 SBT、NFT 协议、全链游戏等等。

用户可以用跨链桥，将 ERC-20 等同质化代币，和 ERC-721、1155 等非同质化代币桥接到 Manta，将资产和地址从公开状态，变为隐私状态，将资产和地址持有信息隐私化，也可在 Manta 链上原生隐私 dApp 内，实现 DeFi、NFT、SBT、游戏等隐私交互。 Manta 主网部署完成后，即可实现上述功能。

Manta 有先行网 Calamari 与主网 Manta。产品或代码会先上线 Calamari，运行稳定后，再上线主网 Manta。

2022年，Manta 团队在 Calamari 部署基本完成。2023年上半年，Manta 主网会上线。主网上线后，将侧重于 Manta 生态项目建设和发展。

当前，先行网 Calamari 已完成可信设置，接下来将进行 MantaPay 部署。待 MantaPay 部署完成后，下一阶段将启动 Manta 主网上线进程。

zkAssets：隐私资产类型

基于 ZK 技术，Manta 创立了新资产类型 zkAssets，支持 ERC20 等同质化代币，ERC721、ERC1155 等非同质化代币，以及灵魂绑定代币 SBT。

可将现有的 Token、NFT、SBT，通过 Manta 转换为隐私资产，进行操作。zkAssets 还具有以下特点：

预设隐私：zkAssets 在链上默认是隐私的，资产持有者的地址、持有者的资产以及资产类型，都是加密的。

自愿披露：在资产持有人许可下，zkAssets 支持披露可证明的资产信息。具体地讲，持有者可向审计者披露资产交易历史，而不必披露花费密钥（Spending Secret)。持有者也可有选择性地，披露可通过 ZK 进行验证的资产信息。

可配置的资产政策：zkAssets 交易发出者，可定制访问权限，如 KYC 规则、访问权限，例如，能否将黑客资产列入黑名单。

zkAddress：隐私地址类型

Manta 还创立了一种隐私地址类型 zkAddress，用于隐私资产 zkAssets 之间的转账。 在 zkAddress 中，密文是随机产生的（如使用 BIP39 助记符），并衍生出另外两个密钥，即 zkAddress 和只读密钥。想要转移 zkAssets ，需要花费密文（Spending Secret）来生成 ZK 证明。 只读密钥（Viewing Key），仅支持查看交易历史，不能用于花费余额。

MantaPay：隐私传输协议

MantaPay 是隐私传输协议，用于将隐私资产 zkAssets 转移到隐私地址 zkAddress。 去年底，Manta 完成 Web3 迄今为止参与人数最多、规模最大的可信设置（Trusted Setup）仪式。

先行网 Calamari 主要进展几乎全部完成，只差 MantaPay 上线。MantaPay 上线前最后一版测试网 Dolphin v3 已接近测试完成。

目前 Dolphin v3 及 ZK 本地生成工具 Signer 进入最后的 Bug 修复阶段，意味着 MantaPay 即将上线 Calamari。待 Manta 主网上线后，MantaPay 将于主网部署。

使用 Manta 保护隐私的过程，也很像魔术师把鲜花放进礼帽，变成兔子的过程。外人能看到放进去的与拿出来的东西，至于魔术师是怎么操作的，只有他自己清楚。

基于 ZK 带来的隐私，Manta 链上可诞生以下场景：

（1）保护交易信息，防 MEV 夹心交易

而 zkAssets 基于零知识证明构建，矿工无法获知用户具体交易信息，无法进行夹心交易。此外，普通用户也不希望自己所有的交易记录，都在地址或 ENS 上清晰可见，随时让他人查看。

（2）保护 DeFi 交互信息

直接用 zkAssets 参与 Manta Network 链上 DeFi，还可保护交互信息，比如借贷的清算价格，流动性提供者 LPs 信息及合成资产信息等等。

（3）保护 NFT 隐私信息

首先，PFP NFT拥有者希望展示自己的头像，但不希望别人通过该 NFT，查看自己以往所有交易记录。就像大家对外展示自己某种身份时，还要把银行卡全部转账记录公开。 其次，“黑暗森林法则”。某诈骗协议声称，对持有特定 NFT用户空投，并通过 ENS 查询到这些用户绑定的 Twitter 等信息，进行定向邀约。

据 Immunefi 报告，BAYC 系列 NFT 诞生以来，已有超百个 BAYC 通过骗局和攻击被盗。最大的两次事件为 Instagram 以及 Discord 钓鱼链接骗局。

而未来，Manta 将支持直接发行 zkAssets NFT。用户可持有该 NFT，但不会暴露地址等信息。

（4）数字身份 DID 、元宇宙身份保护与身份隐藏

基于 zkAssets 的 NFT，可在不暴露自己地址信息前提下，依旧获得权益。比如持有 zk无聊猿，参与“游艇俱乐部”。

此外，持有 zkNFT 资产，还可以帮助在元宇宙中隐藏身份，别人无法直接查看你的资产信息，隐藏财富，让元宇宙社交更安全，同时增加可玩性。

（5）链游功能拓展与非对称博弈

当前，链上 NFT 透明性，也使得链游具备相同的透明性。具体来说，链游项目方，需在链上提前铸造 NFT，以应用到游戏中。

铸造过程，所有玩家都可以查看。大家便可根据道具，推算爆率、地图等游戏信息。

基于零知识证明，证明为“真”，无需提供信息的特点，可在链上生成以下游戏功能：

A. 隐藏关卡、地图、人物、道具、奖励等等 zkAssets形式 B. 游戏手牌 C. 隐藏爆率、属性 D. “战争迷雾”效果

链上策略游戏《DarkForest》（黑暗森林），将零知识证明应用到游戏中，生成类似《魔兽争霸》《星际争霸》“战争迷雾”效果，供玩家探索，提高可玩性。

现有透明机制下，链游是完全对称博弈的，也就是玩家“明牌”，会产生“强者恒强”效果。 而零知识证明的加入，会让完全对称博弈，变为非完全对称博弈，从“明牌”变成“暗牌”。 扑克、麻将等游戏，之所以经久不衰，正是其非完全对称博弈性，运气和策略，会打破“强者恒强”局面，让所有人都有机会收获胜利，获得正向反馈。

（6）未来可能诞生的更多玩法及模式。

技术方案：零知识证明

零知识证明（ZK）是对计算本身进行加密，证明者（Prover）和验证者（Verifier）是 ZK 计算过程中两类基础角色。

证明者生成 ZK 证明，验证者可在不获取除“证明为真”以外任何信息的前提下，验证证明为真。用阿里巴巴与四十大盗的故事举例。

强盗可站在既听不到阿里巴巴说话，同时又将阿里巴巴置于枪支射程范围内的某点，让阿里巴巴开启宝藏大门。

这样，强盗既可以相信阿里巴巴知道密码，自己又不会知道密码是什么。本例中，阿里巴巴是证明者，强盗是验证者。

当前，Manta 网络证明者为用户。用户下载 Signer 插件，使用电脑等硬件，在本地生成 ZK 证明，签署交易。节点作为验证者。

验证者不会获取额外信息，使得 ZK 具有隐私性，同时，由于验证者仅需验证 ZK 证明本身，而无需再执行复杂计算，所以 ZK 也提供了简洁性。另外，ZK 证明不可伪造，ZK 具有真实性。

由此衍生出隐私、扩容、zkOracle、zkDID、zkSBT、zkSocialFi、RWA（Real World Assets）、基于 ZK 的全链游戏等应用场景。

Zcash 将 ZK 引入区块链，实现隐私交易。由于 Zcash 创立时间过早，当时拓展性问题尚在讨论初期。Zcash 仅支持原生代币 ZEC 之间隐私交易，很难支持 ERC20、ERC721 等 Token 类型。

用户在使用时，只能在交易所买入 ZEC，提到 Zcash 链上，用 ZEC 交易，达到隐私交易目的。

2019年，ZK 技术迎来“寒武纪大爆发”，PLONK、Sonic、Halo、Marlin、Fractal、Spartan 等 ZK 技术相继出现。

ZK 技术，要在证明速度、验证速度、证明大小之间做取舍。技术之间，很难说有特别本质上的差异，主要是在以上三方面的取舍不同，继而产生的用户体验不同。

当前，ZK 开发日趋模块化，SNARKs 与 STARKs 之间，可通过改变多项式承诺转换。

Manta 技术路径选择

技术上，Manta 选择 zkSNARK Groth16，利用 ZK 简洁性的同时，也利用了隐私性。

Manta 重新设计了隐私协议实现细节，使用了对零知识证明更友好的哈希函数—— Poseidon hash 让整个密码学协议更 Streamline（简洁丝滑），在经典的隐私技术如椭圆曲线密码术（FH-ECC）算法等的基础上进行优化和升级。

实际用户体验方面，Manta 推出 ZK 快速生成器 Signer，在用户本地生成 ZK 证明，在链上验证，交互时间可缩短至 2-5秒，或许是目前全网最快 ZK 交互体验。

同时，Manta 使用 UTXO 模型，进一步适配隐私，且具有支持并行计算的能力。

Manta 技术选择及产品设计从“第一性原理”出发。第一性原理，源自物理学，因特斯拉创始人马斯克在 TED 演讲时，表示该思维方式是自己成功的方法，而为人熟知。

在 ZK 技术选择上，Manta 团队曾表示，Manta 没有盲目追求看似新颖的技术。技术终究要为产品服务。凭产品体验，形成网络效应，打通入口和卡点，让隐私能够惠及全球1亿乃至10亿用户，是 Manta 的目标。

1年半之前，Manta 需要在 Groth16 和 Plonk 之间做选择。虽然 Plonk 看起来比较酷，但也有很多缺点，例如，每个 Constraints 的性能，ZK 证明的大小等等。作为专业密码学家和计算机科学家团队，Manta 需要以基准测试为依据。

基准测试是指，通过设计科学的测试方法、测试工具和测试系统，实现对一类测试对象的某项性能指标进行定量的和可对比的测试。

Manta CTO Brandon 产生了构建 IR（Intermediate Representation，编译器中间表示）的想法。

于是，团队很快建立了原型。之后，密码学家 Boyuan Feng 做了非常快速的基准测试，产出了令人信服的判断依据，即对于 Non-proof-aggregation 用例，Groth16 是相对更可行的方案。

原因是，电路中的很多工作，比如说线性组合被转移到可信设置中，这让 ZK 证明生成速度有大幅提高。而这在代数哈希函数（如 Poseidon hash）中效果更好。

融资情况

2021年2月，完成由 Polychain 领投的110万美元融资，参投方包括 Hypersphere 等。 2021年10月，完成550万美元融资，机构包括加密领域的对冲基金 CoinFund、ParaFi、LongHash、CMS，Divergence等 30余家机构。 2021年11月，完成 2880万美元社区轮融资。 2022年2月，币安宣布战略投资 Manta。

Token 经济模型

Manta 曾公布过代币经济模型部分细节。 原生代币 MANTA，发行总量 10亿枚，通缩模型。使用场景如下：

1/ 网络手续费 2/ 将公开资产铸造为隐私资产铸币费 3/ 将隐私资产转变回公开资产的手续费 4/ 质押 Stake 其中用户将隐私资产变为公开资产时，产生的手续费（赎回费用，Redeem Value），将直接销毁。

所以，MANTA的价值，将与用户对隐私功能的使用，直接挂钩。实际上线后，Manta 代币模型可能会有调整。

ZK 赛道当前市场情况

1/ 当前，零知识证明（通常简写为“ZK”或“ZKP”），主要方向及代表项目如下：

A. 以太坊 Layer2 扩容：StarkWare、zkSync、Scroll、Polygon、Loopring、MetisDAO 等等。

B. 隐私：Manta、Aleo、Aztec、Mina 等。

ZK 赛道整体融资金额及估值较大，当前最高估值为 StarkWare 80亿美元。StarkWare 融资及估值较大的原因是，作为以太坊 Layer2 执行层，在分担以太坊流量压力的同时，也获取了部分以太坊主网的价值。

其中币安在 ZK 隐私赛道投资仅为 Manta。

2/ 如前文所述，而零知识证明的加入，会让完全对称博弈，变为非完全对称博弈，从“明牌”变成“暗牌”。

扑克、麻将等游戏，之所以经久不衰，正是其非完全对称博弈性，运气和策略，会打破“强者恒强”局面，让所有人都有机会收获胜利，获得正向反馈，形成正向飞轮。

3/ “隐私”是“成瘾品”，一旦拥有就回不到从前。 判断某个项目或技术，会不会成为新范式，或者会不会带来变革，有两个直观的标准。

1. 一旦用了这个“东西”之后，还能不能回归原来的状态。

2.会不会改变原有多方博弈的情况。

比如，在用过滴滴打车之后，还能回到路边招手的状态吗？即便是想到路边打车，也做不到了，因为博弈情况发生了改变。

司机不用滴滴，很难接到单，所以即便用户真的在路边招手，也未必打得到车，这种行为效率会变得十分低下，以至于所有人都会用滴滴。

同样的情况，也发生在外卖等多个领域。 所以，由蜂窝通讯、WiFi 等物联网技术的发展，而催生的移动互联网，是一个新范式、新变革。

而零知识证明之于 Web3.0 同样如此。

团队情况

团队是 ZK 项目的核心资产。

Shumo 创始人，华盛顿大学计算机科学与工程专业博士，密码学家，曾在 Algorand 担任研究科学家，几乎独立完成 Algorand 智能合约平台 PyTeal 编写，并贡献了 Algorand 半数以上代码。

Algorand 由图灵奖得主 Silvio Micali 发起，他还有个身份是零知识证明（ZK）这项技术的发明者之一，全同态加密技术 FHE 发明者之一 Vaikuntanathan，2022年哥德尔奖获得者 Craig Gentry 也是该团队成员。Shumo 还曾任 UCSB 助理教授，在美国学术期刊 SIGMOD、VLDB、PLDI 上发表过 10+ 同行评议的论文，并获得了 SIGMOD 最佳演示奖。

Kenny 联合创始人，麻省理工学院（MIT）工商管理硕士，读书期间，师从现在美国 SEC（证券交易委员会）主席 Gary Gensler，并担任助教。他曾创立过云计算公司，且十多年来一直为技术领域的初创企业提供咨询和投资。自2013年开始开采比特币以来，他一直是区块链社区的活跃成员。2014年，参与了第一个比特币期权交易平台。

Victor 联合创始人，哈佛大学经济学硕士，Binance布道者，MiraclePlus（前YC中国）研究员，UnifiProtocol 的顾问。曾任哈佛大学肯尼迪学院区块链 PIC 负责人，是 Chainnews、8BtcMars Finance 等专栏作家。在哈佛大学之前，曾任 BitBlock Capital 执行合伙人，并在 Ontology 工作。

社媒情况

推特：@MantaNetwork 粉丝 89128

https://twitter.com/MantaNetwork

Discord：粉丝 38671

https://discord.com/invite/PRDBTChSsF

Telegram：

https://t.me/mantanetworkofficial

隐私方案有多种不同分类方式，如，在中国信息通信研究院安全研究所、阿里巴巴集团安全部、北京数牍科技有限公司共同创作的《 隐私保护计算技术研究报告（2020 年）》中，将隐私关键技术分为联邦学习、安全多方计算、机密计算、差分隐私、同态加密。

对于区块链来讲，笔者个人习惯将主流隐私方案，大致分为两类：基于密码学的，如 ZK、MPC、HE；基于安全计算的，如 TEE。

在本系列文章中，笔者不打算简单地从通用性、效率等几个维度进行对比。因为不同的理解维度和标准，对强弱的判断不同。

比如，通常理解 TEE 通用性强，因为该技术，在移动互联网应用广泛，但在 Web3 会遇到去中心化与安全性平衡问题，而 ZK 有效性验证特性，在Web3 应用相对更广泛。

所以，本文在介绍隐私方案时，会阐释该方案是什么，就该方案在区块链领域的应用，进行举例，帮助读者理解不同隐私方案的应用场景、安全假设及相关项目，并不提供下定论式的对比结果。

本系列将试图用通俗的举例和语言，帮助大家理解复杂概念。本系列非学术论述，举例只为帮助大家通俗理解。如有错误，欢迎指正。更严谨的表述，欢迎大家查看专业论文学习。

可信执行环境 TEE

什么是 TEE ？

TEE 全名为可信执行环境（Trusted Execution Environment），是计算平台上由软硬件方法构建的一个安全区域，可保证在安全区域内，加载的代码和数据在机密性和完整性方面得到保护。其目标是确保一个任务按照预期执行，保证初始状态的机密性、完整性，以及运行时状态的机密性、完整性。①

简单地说，TEE 利用手机、平板电脑、矿机等等硬件和软件，构建一个黑盒。在黑盒内完成隐私计算。

举个直观例子，我们日常使用的手机，其实存在两个并行系统 REE OS（Rich Execution Environment）与 TEE OS（Trusted Execution Environment）。REE OS 可理解为，正常的 Android / iOS 等系统，TEE 则是手机搭建的，与 REE 隔离的安全环境。

REE 可以下达指令调用 TEE，返回安全的计算结果，比如指纹解锁。一般来说，指纹是存储在 TEE 环境中的，保障隐私安全。另外，一些受版权保护的视频，也会在 TEE 环境中运行，我们尝试截屏某些视频时，会截取失败，原因即如此。

当前，TEE 技术较为依赖传统互联网厂商，主流技术有：Intel SGX、ARM TrustZone、AMD SEV 和 Intel TXT。

TEE 在区块链的应用

TEE 用于在隐私环境进行安全计算，将计算结果应用于实际场景，确保计算过程隐私且安全。应用 TEE 时，节点硬件需安装 Intel、ARM 等厂商的 TEE 芯片，用于搭建环境。 目前主要项目有 Phala Network、Oasis Labs、Secret network 等等。这里提一下，TEE 应用到区块链时，还是会应用互联网厂商的技术，如 Secret network 和 Avalanche 跨链桥应用的是 Intel SGX。

1）Avalanche 官方跨链桥使用 TEE 节点验证跨链交易

Avalanche 跨链桥 TEE 节点，称为 Warden。用户在 Avalanche 前端提交跨链请求， Warden 会将交易传入 TEE 隐私环境进行验证，验证者通过 MPC 方式，利用自己私钥碎片签数交易。利用 TEE 环境，保护了跨链交易验证的安全性。

2）Secret Network 利用 TEE 实现隐私交易

Secret Network 是基于 Cosmos 的隐私公链。用户交易时，会将信息提交链上加密智能合约中，加密的输入会在 TEE 环境中，由运行全节点的验证者解密，然后执行，将计算结果移出 TEE 环境时，再加密。让输入、计算、输出过程，始终保持在加密状态中。

TEE 侧信道争议

侧信道攻击是 TEE 固有的风险，过去几年里，针对 Intel SGX 侧信道攻击发生过多次，Intel 也不得不持续修复漏洞。

今年8月，Intel SGX 被曝 AepicLeak 漏洞，白帽评估了基于 SGX 技术的 Secret Network 受影响情况，最终找到了整个网络的主解密密钥。虽然未影响到 Secret Network 安全性，会对隐私性造成严重影响。主密钥可将 Secret 历史交易全部解密。

此外，侧信道攻击还给 TEE 带来两个问题。首先是，去中心化与安全之间的平衡。TEE 节点越多，侧信道攻击受影响范围越大。但若缩减节点数量，又会遇到中心化问题。

其次，TEE 方案实际上依赖 Intel、ARM、AMD 等传统企业可信的安全假设。安全假设是指，要达到某个目标安全水平，所必须满足的条件。

总结下， 1/ TEE 使用装载了 TEE 芯片的硬件和软件，搭建“黑盒”环境，在该环境中执行计算，起到加密效果。在互联网等行业应用广泛，案例包括指纹、面容解锁等生物识别信息保密，以及视频防截图版权保护。

2/ TEE 在区块链主要起到隐私和安全保护作用，同样需依赖 Intel、ARM、AMD 等传统厂商 TEE 技术。

3/ 侧信道攻击是 TEE 固有问题，在影响隐私和安全的同时，也带来了去中心化与安全平衡，以及需信任技术提供方等问题。

多方安全计算 MPC

什么是 MPC ？

安全多方计算（Secure Multi-Party Computation，SMPC）最早是由图灵奖获得者、中国科学院院士姚期智于1982 年正式提出，解决一组互不信任的参与方，各自持有秘密数据，协同计算一个既定函数的问题。

安全多方计算，在保证参与方获得正确计算结果的同时，无法获得计算结果之外的任何信息。在整个计算过程中，参与方对其所拥有的数据，始终拥有绝对的控制权。②

安全多方计算过程中，每个数据持有方可发起协同计算任务。 参与协同计算的、数据持有方节点，会根据计算逻辑，从本地数据库中查询所需数据，在密态数据流间，与其他节点协同计算。整个过程中，各方明文数据，全部在本地存储 ，不会提供给其他节点。在保证数据隐私的情况下，枢纽节点将计算结果，输出至整个计算任务系统 ，从而各方得到正确的数据结果。③

比如，保险公司要根据医院、体检机构、汽车服务商数据，评审客户情况，为客户定制保险，但在过程中，不能泄露用户数据，其间可用到多方安全计算。

MPC 实现形式有：秘密共享、不经意传输 (Oblivious Transfer)、混淆电路 (Garbled Circuit)、零知识证明。

MPC 在区块链的应用

1）密钥管理

多方安全计算 MPC，密钥生成不依赖单点，而是由去信任化的多方，在链下计算生成，每一方得到 n 个密钥碎片。所谓依赖单点是指，我们平时创建链上钱包时，会直接生成密钥，个人掌握密钥，即所谓单点。

这项技术可称为分布式密钥生成（DKG，Distributed Key Generation）。DKG 与分布式签名，组成了门限签名方案（TSS）。概念仅作为理解使用，方便大家之后遇到，理解 MPC 是门限签名技术的一种就行。

当前密钥管理主要有两种方式，多重签名和基于 MPC 的门限签名。

多重签名原理类似权限管理，比如某项目治理委员会7名成员掌握密钥，只要有4名成员签名，可触发智能合约，花费项目资金。所以，多重签名密钥连接了智能合约层，也带来了通用性和安全性问题。

首先，若管理不同公链，需要实现不同的智能合约多签。其次，各个公链智能合约安全问题，以及掌握密钥的人，一旦被攻破或钓鱼，则链上资产安全会受极大影响。典型案例是 Ronin 跨链桥被盗事件。

MPC 则是不同的逻辑。MPC 实现逻辑，可以类比去中心化的谷歌验证器。

参与计算的 MPC 节点，各自掌握密钥碎片，在本地通过协议算法生成签名。比如“2/3模式” MPC 协议，一共有3个密钥碎片，只要任意2个碎片，即可计算签署交易，执行计算过程完全保密。

所以，MPC 有很强通用性，只需适配算法（例如 ECDSA、Schnorr、BLS 等），无需特别适配智能合约，对多链密钥管理非常友好。

其次，MPC 计算在链下，黑客需要逐个攻击节点，且要在一定时间内完成，因为存储在本地的 MPC 密钥碎片会刷新。

PlatON 创新研究院高级研究员夏伏彪博士曾表示，MPC 密钥管理，带来新安全特性。如私钥明文在过程中从未出现过；少于额定数目的私钥碎片，凑在一起也无法恢复完整密钥；用户的密钥碎片丢失，可通过 MPC 在线找回，且找回的是一个新碎片，托管方密钥碎片也会同步刷新。④

2）密钥管理应用与 MPC 钱包

对普通来说，MPC 可让现有钱包，实现无助记词恢复的新方案。无助记词钱包恢复方案，目前有两种，MPC 与 社交恢复。

通常，区块链钱包需要用户自己掌握助记词和密钥，要记住又怕丢。

使用 MPC，用户可持有一个或多个密钥碎片，将其他碎片托管至第三方。需要签署交易时，第三方可通过短信、人脸识别等方式，确认是否为本人操作。整个过程，都未出现过完整密钥，大大提高安全性，同时也符合更广泛群体的用户体验，降低进入 Web3 的门槛。

目前主要项目有 Unipass、Bitizen、Qredo、Lit Protocol、StarryX、Safeheron、Particle Network 等等。

BitiZen 钱包门限签名方案

Bitizen 钱包采用了 2/3 门限签名方案。钱包创建时，用户无需保存助记词，也无完整密钥。Bitizen 会关联邮箱和云盘（目前是谷歌云盘）。

平时签名由用户设备和 Bitizen 服务器完成 2/3 签署交易。云盘主要用于备份私钥碎片。此外，用户还可添加手机号用于恢复钱包，以防邮箱不可用。

3）密钥管理与 ZK 可信设置

MPC 密钥管理，也应用于 zk-SNARK 网络的可信设置中 Trusted Setup。前不久结束的、由 Manta Network 进行的、Web3 历史规模最大可信设置中，便应用到了 MPC。

据 Manta Network 官方叙述，可信设置是生成零知识证明，所需基础设施的一部分。具体来说，用于帮助生成 Manta/Calamari 网络上创建交易必需的证明者和验证者密钥。

这些密钥必须在启动隐私产品之前被计算（computed）出来，因此称为 "设置"。此外，这些密钥计算过程会产生一些“有害废料”（toxic waste），这部分必须被清理掉。

于是，在可信设置过程中，Manta 尽可能多地邀请用户参与，每个参与者在本地生成碎片，只要有一个人销毁了“有害废料”，网络就是安全的。（实际过程中，所有用户都会通过可信设置协议销毁有害废料）

用户本地硬件，在可信设置中，充当了 MPC 参与节点，执行了计算任务。

4）以太坊分布式验证 DVT（Distributed Validator Technology）

分布式验证技术（Distributed Validator Technology）简写为 DVT。概念兴起源自以太坊 PoS 升级，市场普遍担心 PoS 升级后，持有大量 ETH 的节点，会使网络中心化。

DVT 则可让多个以太坊 PoS 验证器形成验证集群，在多个节点间运行，产生 m / n 共享验证器密钥，每次验证时，需要 m 个签名。

举个例子，Lido Finance、Binance、Coinbase 可以组成 DVT 验证群。万一他们其中任何一个节点故障，其他两个节点依旧可以正常签名执行交易，保障以太坊平稳运行，提高容错率。同时，也可以减少 Slash 惩罚数量。

MPC 是 DVT 重要组成部分，让节点在本地安全且隐私地生成密钥，执行计算签署交易。 DVT 概念目前主要项目有：SSV Network、Obol Network、Diva 等等。

总结下，

1/ MPC 多方安全计算，参与计算的节点，将密钥碎片存储在本地，通过 MPC 协议进行计算并签署交易。本地私钥动态变化，且整个过程中完成的私钥从未出现，保障安全及隐私。

2/ MPC 实现逻辑，可以类比去中心化的谷歌验证器。特性适用于密钥管理，没有任何一个计算节点，可以保存完整私钥，避免了单点风险，也可以防止节点间共谋作弊，从而延展出了无私钥可恢复钱包、可信设置、DVT 等应用场景。

① 概念援引自《隐私计算之TEE技术实践分析｜你不知道的信息安全》，来源微信公众号“冲量在线”，作者中国电信研究院、浦发银行、冲量在线和中国信通院联合发布，作者：中国电信研究院刘岩、梁伟、杨明川、高伟勃、夏晓晴、赵君，中国电信股份有限公司吉林分公司崔文博，浦发银行信息科技部郭林海、高扬，北京冲量在线科技有限公司陈浩栋、宋雨筱、毛宏斌、张亚申、周岳骞，中国信息通信研究院云计算与大数据研究所闫树、袁博。

② 概念援引自《 隐私保护计算技术研究报告（2020 年）》，作者中国信息通信研究院安全研究所、阿里巴巴集团安全部、北京数牍科技有限公司。

③ 叙述援引自《HashKey：说透安全多方计算MPC技术方案、挑战与未来》，作者：钱柏均， 就职于 HashKey Capital Research。审校：邹传伟，万向区块链、PlatON 首席经济学家。

④ 援引自《一文读懂隐私计算、安全多方计算、可验证计算》，分享者PlatON 创新研究院高级研究员夏伏彪博士。

⑤ 《Redline DAO深度行研：为什么我们看好Web3钱包的未来？》，作者Ggg, Redline DAO。

今年年中，怀着对零知识证明（ZK）赛道的预期，我加入 Manta Network，成为社区贡献者。在2022即将结束之际，有一些感受想告诉大家。

Manta 是做什么的？

还是先介绍一下 Manta Network。Manta Network 是基于零知识证明技术（ZK）的隐私 Layer1。

Manta 利用 ZK 技术，原创出隐私资产类型 zkAssets、隐私地址协议 zkAddress，以及隐私传输协议 MantaPay。

开发者可以基于 Manta Network，开发链上原生隐私 dApp。

用户可以用跨链桥，将 ERC-20 等同质化代币，和 ERC-721、1155 等非同质化代币桥接到 Manta，将资产和地址从公开状态，变为隐私状态，将资产和地址持有信息隐私化，也可在 Manta 链上原生隐私 dApp 内，实现 DeFi、NFT、游戏等隐私交互。

Manta 主网部署完成后，即可实现上述功能。

当前，先行网 Calamari 已完成可信设置，接下来将进行 MantaPay 部署。待 MantaPay 部署完成后，下一阶段将启动 Manta 主网上线进程。

Manta 在做什么？

如图所示，在做的事情主要分为两方面：Manta Network 开发，ZK 相关科研。

1）Manta Network 开发方面

首先，Manta 有先行网 Calamari 与主网 Manta，二者关系，就像 Kusama 与 Polkadot。

产品或代码会先上线 Calamari，运行稳定后，再上线主网 Manta。

2022年，Manta 团队在 Calamari 部署 ZK 网络，并研发多个产品和功能。2023年，预计 Manta 主网会上线。主网上线后，我们将侧重于 Manta 生态项目建设和发展。

产品方面，推出 ZK 本地生成工具 Manta Signer，使得 ZK 交互可在2-5秒完成，或许是目前全网最快 ZK 交互体验。

MantaPay 测试网 Dolphin，已更新3个版本，当前 Dolphin v3 测试进行中。

Calamari 与 Moonriver（Moonbeam）、Karura（Acala）实现互操作性。

将 Calamari 网络原有跟随 Kusama 的 NPoS 共识，迁移至 DPoS 共识，实现用户 KMA 代币质押给 Collator 可分享出块奖励，同时增强网络安全性。

开发方面，先行网 Calamari 已上线，并推出 Token $KMA，已上线 Gate、Kucoin、MEXC。$KMA Staking 已上线，可质押获得收益。

推出原创隐私资产类型 zkAssets 与隐私地址类型 zkAddress，并于今年年底完成 Web3 迄今为止参与人数最多的可信设置（Trusted Setup）仪式。

Calamari 主要进展几乎全部完成，只差 MantaPay 上线。目前 MantaPay 上线前最后一版测试网 Dolphin v3 已接近测试完成，意味着 MantaPay 即将上线 Calamari。

Calamari 可信设置结束后，MantaPay 将上线 Calamari。之后，Manta Network 将上线主网。

2）ZK 科研方面

ZK 科研方面，Manta 发起并主导了 OpenZL 计划。

OpenZL 是一套让 ZK 开发，具有互操作性的通用库、工具和标准，目前已经支持 Plonky2、Groth16、arkGroth16，接下来还将支持 Halo2 等等。

前不久，Manta 主办了 OpenZL 第一次线上聚会，来自以太坊基金会、Protocollabs、Web3foundation、RiscZero 等机构的密码学家参与分享。

此外，Manta 与 Jump 合作《Accelerating Elliptic Curve Operations and Finite Field Arithmetic (WASM)》（加速椭圆曲线运算和有限域算术WASM）在 ZPrize 获奖，最大限度提高客户端和虚拟机吞吐量/最小化延迟，特别是WebAssembly（WASM）运行时间。

目的在于让 ZK 和隐私应用流行，将 ZK Prover 与主流钱包整合，提高 WASM Prover 性能。

事实上，Manta 今年做了大量开发工作。团队密码学家，他们每天以半小时为网格，划分时间，安排得非常满。

DeFi、NFT 可以直接分叉现有开源代码，但 ZK 不同。ZK 开发需要编写大量电路，简单理解，需要把想法变成数学运算逻辑，再变成计算机代码语言。随便说两个名词感受下，快速傅立叶变换 (FFT)，用于产生多项式；多标量乘法 (MSM)，用于产生多项式承诺。

并且，绝大多数代码只能原创，且每个细节都需要编写电路。这也是 ZK 项目开发周期长的原因。

在 Manta 工作有哪些感受？

首先，Manta 团队是网络的建设者、维护者、宣传者，但并非决策者。团队可以是提案的发起人，而决策，则需要 Token 持有人投票作出。

其次，团队架构扁平化，追求人效。在 Manta，能力是唯一的“通行证”，没有人可以凭所谓的“资历”与职级自居。你可以随时提出自己的想法，继而去实现。若对网络发展没有贡献，则大概率会被请离团队。

在 Manta，能感受到平等与尊重。团队成员协作，就像一群有能力且有趣的人，互相学习进步，共同推进某个目标实现。

联合创始人们，会自己动手写方案，并在视频会议时，投屏邀请大家一起讨论。你可以对其中任何细节提出修改建议，若有异议，大家会举手表决。

某次，我提出可以利用任务平台，奖励用户 NFT。联合创始人 Kenny 询问我是否可以完成这个方案。我想确认一下，便回复道“是要我来写吗？” ，Kenny 很不好意思地说“是的，因为自己不太懂这方面的内容。所以，可以麻烦你吗？”

团队成员离开，想让 Kenny 帮忙推荐工作。Kenny甚至帮她找到了下家。

其次，人类智慧闪耀。在 Manta，你能感受到 Shumo、Boyuan、Todd 等密码学家，如何使用 ZK、全同态加密 FHE 等技术，创造链上隐私的世界和应用；

能感受到 Brandon 他们，是如何把 Groth16、Plonky2 等 ZK 技术，整合到 OpenZL 里，让它们具有互操作性，同时，也能让更多开发者可以轻松调用，编写 ZK。

技术团队可以在4天内，编写电路 ZK，创造应用，并在旧金山以太坊开发者大会上，获得四个竞赛单元奖项。

有趣的是，与通常见到的古板苛刻的密码学家不同，Manta 开发者们很重视市场反馈，非常重视产品体验和网络效应。

最后，人情味。在 Manta，可以享受中美双假期，可以有无限带薪休假。在奥密克戎病毒流行的当下，团队要每个人以身体健康为先，可以利用无限休假政策，优先照顾自己和家人。

Manta 内部有哪些好玩的事情？

Manta 是一个处处能发现惊喜的团队。这里有美国 SEC 主席 Gary 曾经在麻省理工的助教 Kenny；

有跟 ZK 技术发明者及同态加密技术发明者做过同事的 Shumo，顺便提一下，Shumo 在那个团队里是研究科学家，且独立编写近乎全部的智能合约；

有在聊天时，可以顺手丢出一张跟潘基文合影的 Victor。

Brandon 不仅有才华，人还很帅，像年轻加婴儿肥版莱昂纳多·迪卡普里奥。上次，我这么说他的时候，他表示自己现在发型的灵感，就是来源于“小李子”的电影造型。居然让我猜中了。

Jennifer Morrison 从某个角度看，有点像莫文蔚，虽然她是荷兰人，并不认识莫文蔚。

尽管 Ruihan 很像朱珠与宋茜的结合体（尤其像朱珠），但在女谐星的路上越走越远，顺便她是哥伦比亚大学高材生。

你上一刻提出某合作想法，Vankyo 可以在下一刻就联系到 BD 目标。我甚至怀疑，放眼整个亚洲，就没她找不到的人。

这里还有来自巴西和葡萄牙的酷哥 Dylan 与 Jonathan，来自土耳其的 Gokce，来自越南的 Lynn，来自俄罗斯的 Inessa 等等。我们是一支“日不落”团队。

在 Manta，Web3 将世界每个角落联系到一起。

还是再具体梳理下 Manta 这一年

在产品方面，

1月，Manta 推出了 Signer插件，可以让 ZK 交互在 2-5秒内完成，或许是目前市面上最快的 ZK 交互体验；

2月，Manta 获得了币安 Labs 投资；

4月-6月，Calamari 分别与 Moonbeam 先行网 Moonriver、Acala 先行网 Karura 实现互操作性，同时 Dolphin 测试网 v2 上线；

10月，将 Kusama 网络默认的 NPoS，改为 DPoS，上线 KMA Staking 质押挖矿功能；

11月，Calamari 网络可信设置 Trusted Setup 启动，目前已成为 Web3 历史规模最大可信设置仪式。

在 ZK 科研方面，

ZKhouse。Manta 创立了 ZKhouse，在波哥大以太坊 Devcon 期间举办第一次活动，邀请到爱德华·斯诺登参与。

UPA联盟。在波哥大 ZKhouse 期间，我们还与诸多隐私项目，共同发起成立 UPA 联盟。

OpenZL。OpenZL 是一套让 ZK 开发具有互操作性的通用库、工具和标准，目前已经支持 Plonky2、Groth16、arkGroth16，接下来还将支持 Halo2 等等。

ZPrize。Manta 与 Jump 合作的《Accelerating Elliptic Curve Operations and Finite Field Arithmetic (WASM)》（加速椭圆曲线运算和有限域算术WASM）获奖。

在全球活动方面，

Manta 参与了 ETH 阿姆斯特丹、ETH 柏林、ETH 波哥大、ETH 旧金山、Polkadot Decoded、Sub0、伊斯坦布尔 Cryptst event、新加坡 Token2049 等等。

事实上，相较华语地区，Manta 在全球范围内更知名。

最后，一点个人感想

2022年，关于加密行业最大的感受是，这个行业越来越割裂。

就像电影《冰川时代》演的那样，世代更替，冰川融化，地面出现裂痕，发现裂痕的人，会想办法获得讯息和知识，通过学习跨越裂痕，到达新的环境中。

而意识不到的人，则会困在之前的环境和认知当中。

这个感受，在 ZK 领域尤为明显。

熊市中，仍有像 Manta、Scroll、StarkWare、zkSync、Polygon ZK、Celestia 等团队在开发、探索，ZK、数据可用层、模块化、全链游戏等概念，暗潮依旧涌动。

区块链就像一辆隆隆驶来的火车，多数时间里，我们总是翘首以盼，心想它怎么还不来。等到那一刻真正到来时，它会疾驰而过，并远远地把我们甩在身后。

所以，我们丝毫不敢怠慢，丝毫不敢放慢探索和学习的脚步，即使身处熊市。

2023，我们一起加油！！

Manta Network 可信设置（Trusted Setup）已结束，在大家的帮助下，我们完成了历史上最大、最分布式可信设置，收到超过10,000个注册和来自177个国家的4,328次贡献，创造有史以来最大可信设置纪录。

Polkadot 创始人、以太坊联合创始人 Gavin Wood 表示：“拥有自主权的 Web3 网络广泛采用，很大程度上，取决于零知识证明等无信任隐私保护机制创新。我很高兴看到，这种创新正在 Polkadot 生态系统中发生，Manta Network 最近破纪录的可信设置和即将推出的 MantaPay，展示了这一领域的巨大创新。”

可信设置概述

什么是可信设置？为什么需要可信设置启动 MantaPay ？

为实现链上隐私，我们使用零知识证明（ZKP）。ZKP 正在成为链上加密行业标准。ZKP 是算法性的，依赖数学和计算，无硬件限制，与可信执行环境（TEE）等方案不同。ZKP 数学性和不依赖硬件，可实现更高水平的隐私安全和可组合性。

为了以安全方式启动 ZKP，我们需要可信设置。可信设置允许人们为证明密钥做出贡献，这些证明密钥产生了零知识证明。

贡献者越多，密钥就越安全。我们已经进行了 Web3 迄今为止最大的可信设置，意味着 MantaPay 证明密钥，将在区块链生态系统中具有最强的安全保证。

顺便提一下，构建可信设置的所有代码都在我们 OpenZL 库中（https://github.com/OpenZkLib/），让可信设置更便于 Web3 开发人员使用。

贡献者奖励

为了感谢可信设置支持者，我们想送一点小礼物表达感激之情：

所有试图贡献或成功贡献的人，都将获得 Discord 角色。若贡献成功，将获得 Trusted Contibutor 角色，还会得到 NFT。如果试图贡献，但由于时间关系未能完成，我们仍然感谢您的努力，您将获得 Trusted Supporter 角色。

如何验证 Trusted Contributor 身份

只需等待 Discord 角色发放即可。我们将根据您提供的 Discord 信息分配适当的角色。可信设置仪式的结果可供公众验证。

您可以在我们的 Github 中（https://github.com/Manta-Network/manta-rs/tree/feat/ts_verifier/manta-trusted-setup）阅读详情。

下一步，MantaPay 上线

可信设置是 MantaPay 发布的重要步骤。非常感谢 Todd Norton，Brandon Gomes，Francisco Hernández Iglesias，Boyuan Feng 和 Tom Shen 等团队成员的出色工作。可在我们的 ZKP 开源 GitHub 库（https://github.com/OpenZkLib/）看到所有代码。

Dolphin v3 测试网和可信设置完成后，下一个目标是在 Calamari 上发布 MantaPay。更多细节，请持续关注 Manta Network！

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、CoinFund 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/ Github:https://github.com/Manta-Network Twitter:https://twitter.com/MantaNetwork Medium:https://mantanetwork.medium.co Telegram:https://t.me/mantanetwork Discord：https://discord.gg/ZtSuSKRy8X Telegram中文：https://t.me/mantanetwork_zh Twitter中文：https://twitter.com/manta_china

TL;DR

1/ Dolphin 测试网入口：https://app.manta.network/dolphin/transact；

2/ Manta Signer 用于快速生成 ZK 证明，可将 ZK 交互时间缩短至 2-5秒，或许是目前全网最快 ZK 交互体验。 交互 Dolphin V3，需要下载或更新 Manta Signer;

3/ 请在官方 Discord Faucet 频道（https://discord.com/invite/mantanetwork），领取测试币水龙头。

4/ 领取水龙头时，请在频道内输入指令 /gimme，聊天窗口内出现“address”，并在 address 内输入波卡钱包地址，可领取测试币。

什么是 Dolphin 测试网 V3 ？

Dolphin 是 MantaPay 测试网，旨在 MantaPay 正式上线前邀请社区参与测试，优化产品体验。 MantaPay 是 Manta Network 基于零知识证明（ZK）技术创立的隐私传输协议，即将于 Calamari 先行网上线。 Dolphin V3 是 MantaPay 正式上线前最后一个测试版本。 目前，V3 版本已正式上线，可通过链接：https://app.manta.network/dolphin/transact 参与体验。

参与测试时，填写 https://gleam.io/Pq9JR/mantapay-incentivized-testnet-v3 ，有机会获得奖励。

Dolphin V3 功能包括：隐私转账 zkTransact、跨链桥 Bridge、治理 Govern。 隐私转账 zkTransact，基于 ZK 技术，支持用户将公开资产和地址，变为隐私资产 zkAssets 和隐私地址 zkAddress。 跨链桥 Bridge，通过 Kusama 跨链通信协议 XCM，桥接资产，目前支持 Kusama、Karura（Acala）、Moonriver（Moonbeam）网络资产。 重要的是，这意味着 Dolphin 可以通过 Moonriver 与 Metamask 钱包桥接 ERC20 资产。

上周，我们暂停了 Dolphin 测试网 V2 版本，为 V3 上线做准备。 V2 于今年5月24日发布，运行约6个月，有22,520个独立地址参与测试，产生超18万笔交易。 我们预计 Dolphin V3 只会运行很短时间。之后，MantaPay 将在 Calamari 网络上线。 MantaPay 上线后，Manta 可能会继续在 Dolphin 上发布新功能，进行测试，再将新功能发布到 Calamari 网络，并在未来发布到 Manta 主网。

如何参与 Dolphin V3 测试？

一、注册 Polkadot 钱包 可通过以下方式任选其一：

1/ https://polkadot.js.org/ 2/ https://subwallet.app/ 3/ https://www.talisman.xyz/

二、领取测试币

1/ 进入官方 Discord，找到 Faucet 频道。https://discord.com/invite/mantanetwork 2/ 输入“/gimme” 指令，聊天窗口内出现“address”，并在 address 内输入波卡钱包地址，可领取测试币。

三、下载或更新 Manta Signer

打开 https://app.manta.network/dolphin/transact ，右上角点击“Connect Signer”，进入 Manta Siger 下载页面（https://signer.manta.network/）。安装完成后，保存好助记词。 回到页面右上角，连接 Signer。Manta Signer 用于快速生成 ZK 证明，可将 ZK 交互时间缩短至 2-5秒，或许是目前全网最快 ZK 交互体验。

四、交互

体验 zkTransact 和 Bridge（若点击右上角，连接 Signer 时，仍旧提示要下载，则需要稍微等一段时间，Signer 会自动连接完成），右上角点击“View on explorer”，Gleam 里需要填写的 Transaction 信息，可在这找到。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、CoinFund 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

关注官方频道了解有关 Manta/Calamari 的更多信息： Website:https://manta.network/ Github:https://github.com/Manta-Network Twitter:https://twitter.com/MantaNetwork Medium:https://mantanetwork.medium.co Telegram:https://t.me/mantanetwork Discord：https://discord.gg/ZtSuSKRy8X Telegram中文：https://t.me/mantanetwork_zh Twitter中文：https://twitter.com/manta_china

1/ Rollup 可理解成处理交易的一种方式。

2/ zk-Rollup 不需要将全部交易数据发布至以太坊主网，仅发布状态差异（类似用户账户状态变化）和有效性证明，Gas 更低。使用 ZK 完备性和合理性，达到压缩计算目的。 用户在 zk-Rollup 交易信息仍是透明可查询的。而 Manta 是基于 ZK 的可编程隐私公链，除前两个特性外，还重点应用了零知识性，让链上交易隐私化。

3/ 本质上，Optimistic Rollup 安全来自经济博弈，作恶者要考虑损失的成本，挑战者的动机由经济利益驱动。 zk-Rollup 安全来自于密码学，用密码学手段验证证明，可以做到去信任化。

上篇文章中，我们也提到了 zk-Rollup 短期内受制于 zkEVM 的发展。本篇，我们会尝试厘清 zkEVM 相关概念。

zkEVM 相关技术术语比较多，看起来较为复杂，但只要弄清最核心目的，围绕核心目的去理解，就会清晰很多。

准备好了吗？我们开始咯。

本系列将试图用通俗的举例和语言，帮助大家理解复杂概念。本系列非学术论述，举例只为帮助大家通俗理解。如有错误，欢迎指正。更严谨的表述，欢迎大家查看专业论文学习。

什么是EVM ？

先了解下什么是EVM。 以太坊虚拟机 EVM，是以太坊账户体系和智能合约运行的环境，是以太坊从一个区块到另一个区块计算新的、有效状态的规则。

状态，是以太坊重要概念之一。状态是以太坊当前应用的梅克尔帕特里夏树（Merkle Patricia Tree）数据结构，可让我们把交易信息从当前区块溯源到创世区块。

所有参与维护以太坊的节点，所谓的共识，甚至是以太坊本身存在的意义，就是为了保证状态连续、统一，让每个节点看到的当前状态一致。EVM就是维护一致的规则和环境。

EVM 兼容

若某区块链是 EVM 兼容的，简单理解，以太坊现有开发者，可在稍加改动后，将以太坊上现有 DApp 直接“复制粘贴”到该链上。

EVM 兼容，可让开发者使用熟悉的 Solidity 语言编写智能合约，且能便捷地将以太坊上现有智能合约部署至该链。

对用户来说，EVM 兼容链地址与以太坊相同，支持 Metamask 等主流钱包，操作习惯相同，Gas更低，Tps 更高。 当前，无论是地址数量、现有开发者数量、新开发者的选择还是流动性，以太坊都处于领先地位。

所以，以太坊开发语言 Solidity 和 EVM 虚拟机实际已成为区块链标准。 在上一轮牛市 DeFi 之夏与 NFT、GameFi 热潮中，EVM 兼容链承接了以太坊外溢价值，发展出以 BNB 链、Avalanche C网、Polygon、Fantom 等为代表的 EVM 生态。

当前，以 Arbitrum、Optimism 为代表的 Optimistic Rollup 以 EVM 兼容性逐渐在 Rollup 竞争中取得优势。 而 zk-Rollup 需要解决 EVM 兼容问题，其实就是让零知识证明（ZK）这项技术，与以太坊 EVM 更好地，在兼容以太坊现有基础设施的前提下，提高 ZK 证明生成和验证效率。

zk-Rollup EVM 问题

zk-Rollup EVM 兼容，之所以成为一个需要解决的问题，原因是以太坊在创立之初，并未考虑兼容 ZK 技术。

用 EVM 直接生成、验证 ZK 证明的速度极慢，以太坊目前情况，可能要几个小时。 zk-Rollup 需要在 EVM 兼容与 ZK 效率之间，做平衡。

zkEVM 不同类型及代表项目

关于 zkEVM 分类，Vitalik 曾在博客里，进行过详细划分。下图是 Vitalik 在原文中插入的图片。横轴为 ZK 性能效率，纵轴为与以太坊的兼容度。 可以看到，类型一兼容性最强，但 ZK 性能最差。而类型四，ZK 性能最强，但兼容性最差。 若要严谨些，这里需要区分“等效”与“兼容”。 简单理解，比如我上一台电脑是 Apple 系统，新电脑仍使用该系统。可直接通过 Apple Cloud 恢复先前的文件和设置，这可以理解成“等效”。 若新电脑换成了 Windows 系统，原有的文件需要通过云盘下载，转换格式恢复，这可以理解为“兼容”。

类型1，共识级别等效：与以太坊完全等效的 zkEVM

在共识级别上与以太坊等效，该类型的 zkEVM 链状态、事物等与以太坊完全相同，可直接使用以太坊执行客户端，与以太坊相互验证区块。所以，该类型 zkEVM，也被称为“Enshrined Rollups”。

类型1 zkEVM 使以太坊本身更具可扩展性，在其上的一些探索，可直接引入以太坊主网。 缺点是，ZK 证明效率极差，需要大量计算验证 ZK。 解决办法是，未来可以通过大规模并行化验证器，或通过 zk-SNARK 专用集成电路缓解。 理论上，一个 ZK 效率高的类型1 zkEVM，是 zkEVM 未来最理想的形态。 目前，构建或探索该类型的主要团队有 AppliedZKP、Taiko。

类型2，字节码级别等效：与 EVM 完全等效

不完全等效以太坊，但完全等效 EVM。与以太坊在数据结构，比如区块结构和状态树有所不同，删除了部分对 ZK 不友好的堆栈。

完全兼容以太坊现有 DApp、调试工具和开发人员基础设施。 缺点是对 ZK 不友好，效率低且昂贵。 未来的 Scroll、Polygon Hermez 正在向这个方向努力。

类型2.5：与类似2相似，但修改了 Gas 费用

在类型2的优势上多了一点，Gas 费用低。

类型3，字节码级别等效：几乎等效 EVM

在类型2基础上，进一步牺牲兼容性，提高 ZK 效率。删除在 zkEVM 上较难实现的功能，比如预编译 Compile，使得一些需要该功能的 DApp，部分代码需要重新编写。 一般认为目前的 Scroll 和 Polygon Hermez 处于该阶段。

类型4，开发语言级别等效：高级语言等效 EVM

拥有最高的 ZK 性能，但兼容性较差。 目前代表项目有 StarkWare 和 zkSync。

zkEVM类型部分较难理解，技术名词多、枯燥，项目方、部分开发者与分析师之间，在定义方面存在分歧，观点不一致，造成不同内容间存在出入。

但大家不要过分陷入技术概念中。zkEVM 实现目的，目前最主要的，仍是方便以太坊现有开发者，便于以太坊现有项目部署，以此增加自身生态项目，实现网络效应。 类型1到4，是各个 zkEVM 项目对于兼容性和 ZK 效率不同的取舍。

zkVM 与 zkWASM

zkEVM 是 ZK + 以太坊虚拟机 EVM，而 zkVM 则是 ZK + 其他生态虚拟机 VM。问题是，ZK 还有没有可能兼容更大的生态，比如 Web2 ？ 这就要说到 zkWASM（zk-WebAssembly） 以及 Manta Network 参与发起的 ZPrize 计划。

WASM（WebAssembly）诞生于传统互联网，由万维网联盟（W3C）创建，是可在 Web 中运行的语言格式，具备体积小、性能高、可移植性强等特点。 几乎现有全部浏览器都支持 WASM，包括谷歌 Chrome、苹果 Safari、微软 Edge、Firefox 等。

更直观地说，WASM 可以让较为复杂的应用，兼容各个浏览器，且流畅运行。 例如，Google Earth（谷歌地球）可以在 Firefox 浏览器上流畅运行（注意“流畅”），WASM 起到了关键作用。 跨平台 OpenGL 图形引擎 Magnum、知名 HTML5 游戏引擎 Egret Engine 等等，也都利用 WASM 兼容浏览器版本，并提升性能。

所以，如果使用 WASM 编写 Web3 钱包，理论上是可以在 Safari 等不同浏览器上使用 Metamask 这类钱包应用的。

而且，可以让 Web3 领域，一些使用 Web 作为前端的 DApp，更流畅地跨多个浏览器部署。

可以说，WASM 生态系统是一个融合 Web2 的、比当前 Web3 生态更庞大的系统。 而 zk-WASM，是通过使用 ZK 电路编写 WASM，将 ZK 与 WASM 优点结合，使 WASM 具有去信任化、去中心化等 Web3 特点。

将 WASM 与 ZK 相结合的意义在于，让 Web3 应用更易用、更流畅，让已经对传统互联网浏览器使用习惯了的用户，可以更容易地接触到 Web3，进入Web3，真正让 Web3 触及1亿，乃至10亿用户。

关于 ZPrize

ZPrize 是 Manta Network 联合21家业内公司与机构联合发起的、旨在推动 ZK 技术大规模采用的竞赛计划，得到了以太坊基金会、AMD、Matter Labs（zkSync 开发团队）。

其中，Manta Network 与 Polkadot Pioneers Prize 等共同设立75万美元挑战奖项，致力于解决多变量乘法（MSM)，这也是零知识计算的重要组成部分。 该奖项将侧重于最大限度地提高客户端和虚拟机上的吞吐量/最小化延迟，特别是 WebAssembly（WASM）的运行时间。

Manta Network 创始人 Shumo 将 WASM ZKP 性能视为 ZKP 大规模采用的“最后一英里问题”。 12月7日，ZPrize 公布参赛获奖名单，Manta Network 与 Jump 合作的《Accelerating Elliptic Curve Operations and Finite Field Arithmetic (WASM)》（加速椭圆曲线运算和有限域算术WASM）获奖。 其他项目获奖者还包括 zkSync 开发团队 Matter Labs，以太坊核心开发组织、Metamask 开发团队 ConsenSys。

总结

首先，非常感谢看完这篇长文，能坚持到这确实很不容易。 1）所有参与维护以太坊的节点，所谓的共识，甚至是以太坊本身存在的意义，就是为了保证状态连续、统一，让每个节点看到的当前状态一致。EVM就是维护一致的规则和环境。

2）而 zk-Rollup 需要解决 EVM 兼容问题，其实就是让零知识证明（ZK）这项技术，与以太坊 EVM 更好地，在兼容以太坊现有基础设施的前提下，提高 ZK 证明生成和验证效率。

3）zk-Rollup 需要在 EVM 兼容与零知识证明生成和验证效率之间，做平衡。

4）zkEVM 实现目的，目前最主要的，仍是方便以太坊现有开发者，便于以太坊现有项目部署，以此增加自身生态项目，实现网络效应。

5）将 WASM 与 ZK 相结合的意义在于，让 Web3 应用更易用、更流畅，让已经对传统互联网浏览器使用习惯了的用户，可以更容易地接触到 Web3，进入Web3，真正让 Web3 触及1亿，乃至10亿用户。

6）WASM ZKP 性能或为 ZKP 大规模采用的“最后一英里问题”。Manta Network 正在致力于解决该问题。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、CoinFund 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

We're Hiring!

访问查看开放职位：https://jobs.lever.co/MantaNetwork

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/

Github:https://github.com/Manta-Network

Twitter:https://twitter.com/MantaNetwork

Medium:https://mantanetwork.medium.co

Telegram:https://t.me/mantanetwork

Discord：https://discord.gg/ZtSuSKRy8X

Telegram中文：https://t.me/mantanetwork_zh

Twitter中文：https://twitter.com/manta_china

大家好，欢迎来到响指 Snapfingers Space，我是 lucas，今天邀请到 Manta Network 一起深入探讨 ZK，也就是零知识证明赛道的现状和未来。

先简单了解一下 Manta。

Manta 是基于零知识证明的可编程隐私 Layer1。

开发者可在 Manta 上搭建原生 zkDApps。

用户可将 ERC20 等同质化，ERC721、1115 等非同质化代币，以及灵魂绑定代币转到 Manta Network，从公开资产及地址变为隐私资产及地址，在 Manta 的 zkDApps 里，实现 DeFi、NFT、GameFi 隐私交互。

目前 Manta 正在进行可信设置，第二阶段火热进行中，欢迎大家关注。

欢迎今天的三位嘉宾， Manta 核心贡献者 Godot、CatcherVC 研究员 Loners 以及独立分析师 Maxlion。现在就邀请几位嘉宾进行分享。

嘉宾介绍：

Loners，目前在 CatcherVC，主要做一些 ZK 跨链，还有中间件的一些研究。今天很高兴跟大家一起聊 ZK，谢谢。

Manlion，目前是独立研究员，之前在 Odaily 工作，最近在看很多 ZK 相关的东西，对这个赛道也关注比较多。

Godot：

先给听众简单介绍下，什么是 ZK，也就是零知识证明。ZK 有什么特性？目前主要应用方向是什么？

Loners：

什么是零知识证明？简单来说，证明者在不额外透露信息的情况下，向验证者证明某一个结论。这里面有两个角色，证明者和验证者。

举个例子，我在线下做分享，底下有很多观众。然后我说，我知道主持人是否单身，这时候大家不一定相信我的话。

这时我对主持人说，如果我确实知道你是否单身，就请你比一个大拇指的手势。他比出这个手势，证明我确实知道他是否单身。

我们可以把“比出大拇指”简单理解为，构建的一个电路。观众可以相信，我是知道主持人是否单身的，但同时不会暴露主持人到底是不是单身。

ZK 主要有三个特性，一个是完备性，像刚刚主持人比出大拇指时，验证者会相信我知道这个结论。

另外是合理性。我如果不知道，那主持人就不会举起大拇指。完备性是真的假不了，合理性是假的真不了。

另外还有隐私性，在这个过程中，观众还是不知道主持人是否单身。

目前 ZK 主要应用在扩容和隐私。扩容，是利用了 ZK 的简洁特性，验证者去验证证明者提交这个证明的时间和计算量，会远远小于生成证明的过程，主要应用在 Rollup 领域。

隐私场景是，对链上数据进行加密，让链上不同交易之间没有关联性，不会暴露转账收款方额外的信息。

Godot：

总结一下 ZK 的特性，真的假不了，假的真不了，还有隐私性。链上实际传输过程中，会附带 ZK 这样一个密码学证明，让验证者验证。

现在有机构说，ZK 可能是一个区块链终局性技术。想请问一下，ZK 的终局性体现在哪？可能会给现有区块链，带来哪些范式性改变？

Maxlion：

关于终局性，我觉得可以回到刚才 Loners 提到的，ZK 扩容和隐私。

首先扩容就很终局了。现在， ZK 广泛应用在以太坊 Layer2 上，比如 ZK-Rollup。

众所周知，以太坊有很多优势，但唯二的两个坏处就是贵和慢。但这两个问题是可以被 layer2，特别是 ZK-Rollup 给解决的。

从扩容思考的话，终局性首先体现在，可以极大地扩展整个区块链网络容量，计算能力。

第二点，回到 Loners 讲的隐私。ZK 可以实现更多更便宜的隐私应用。

现在很多链上数据是公开透明的，未必能保护我们的隐私，甚至还可能侵害我们的隐私。通过 ZK 做钱包，或者做很多应用，就可以保护我们的隐私。我觉得终局性可以体现为扩容和隐私。

Godot：

好的，谢谢。关于终极性话题，Loners 有什么补充吗？

Loners：

我想到了 Vitalik 去年年底写了一篇文章《Endgame》，讲以 Rollup 为最终愿景的以太坊设想。

Polynya 自己经常提，zkEVM 加数据分片是以太坊扩容终局。我可能不太同意 ZK 是区块链终局，但在它在扩容方面确实有优势。

在 ZK-Rollup 里，Sequencer（定序器）会对交易生成一个证明，证明新的状态跟执行是正确的，再把数据压缩提交到主网。

同样，Op（Optimistic Rollup）也可以对数据进行压缩，但 Op 需要被挑战，很多细节不能压缩。

ZK 是跟状态无关的数据，都可以压缩，所以在压缩量上，ZK 会压缩更多。

但 Op 也有自己的优势，比如说 EVM 兼容更好，可以更快地建立一个 Optimistic Rollup，未来或许也可以在其他数据层上建立新的 Op Rollup。

ZK 也有目前没那么好的地方，比如，生成证明有额外开销。Op 不好的地方，有一个挑战期，也是一直没办法很好解决。

未来，比如在 Op 上做一些并行计算，或者在 ZK 上做递归证明、做Layer3，都是不断地迭代，所以要看怎么定义终局。

目的是要让用户体验更好，让每个人使用更便宜、更安全、更快速的平台。

ZK 范式改变，我是这么理解的。很多项目，设计各方参与协作，往往是设计一套代币机制，参与方遵守代币机制或规则，就可以获取最大利益，是通过博弈，通过经济设计让 DApp 更好地开展。

ZK 是通过密码学、数学设计，让项目也能够实现这个效果。ZK 范式改变点，我觉得就是在这，可以通过数学设计，代替以往博弈的设计。

举个例子，比如 Op Rollup 实际上跟 Arweave 有点像，通过经济设计保证存储。而 Filecoin 不同，要怎么证明 Filecoin 上矿工到底有没有存数据呢？又不能去看，因为要保护数据，所以挑战存储真实性的时候，要把存文件或数据的证明看一下。在挑战期里，出示了就可以。这是我理解的 ZK 的一个范式转变点。

Godot：

好的，谢谢。Filecoin 例子举得非常好。因为节点存储的东西非常大，未来还会更大，我们不可能真的遍历存储真实性。但可以在存储之后生成一个 ZK 证明，证明他确实存了这个东西。当节点把存储的东西删掉了，对应的证明也就不在了，因为状态改变了。

接下来的问题，两位有没有持续关注的一些 ZK 项目，或者是比较看好的。这个不作为投资建议，只是交流。

Loners：

我最近在关注的一个方向，ZK 在 KYC 的一些应用场景。KYC 在 Web2 本身很庞大。去年，全球 KYC 市场规模有约几百个 Millon（百万美元），每年还在不断增长。

传统 KYC 一般是，用户把自己身份等数据，发送给代理平台。代理平台再转向验证方，一般是中心化机构，比如像银行、支付宝，或者交易所。

不同平台会有不同要求，比如交易所，会限制一些衍生品交易，或者对未满18周岁的人有一些限制等等。

这会导致，数据安全性，取决于代理平台有没有很好地做相关措施。我们经常能看到数据泄露，包括最近的 WhatsApp、Telegram。另外，验证平台在做验证时，大家可以通过虚假 KYC。如果没有视频验证，往往 PS 一下就能通过。

所以，ZK 在这里的一个场景是，链下数据放到链上的有效性，是可以在本地生成证明来保证的。甚至在本地产生证明时，也可以通过 MPC 去做。

这样每一个验证方，拿不到你所有信息，只能拿到一部分信息，再聚合一下。最终，信息隐私和安全可以得到保证。再上传到链上，链上也能承认你的身份。

为什么看这个方向。现在链上的数据要素其实很少，爬链上交互行为，只能知道他有什么 Token、NFT， 他做过什么交互，数据维度会比较单一。

链下其实有更多信息，比如每天会看什么内容、社交媒体、真实身份、在哪读书工作等等。这部分信息，其实是想在链上也可以得到一些。

比如我想证明我是一个有信用的，或者有某个兴趣爱好，给某一个 NFT 项目方证明，我很适合你们项目的白名单等等类似场景。所以，最近关注这个方向，看 ZK 在解决链下数据到链上过程中的解决方案。

这里面的项目就很多， zCloak、zkPass 等等很多，包括专门做给无抵押借贷提供证明的，蛮多团队的。感兴趣大家可以去搜一下。

Maxlion：

最近我在看 StarkNet 相关生态。简单来讲，首先 StarkNet 是一个 ZK-Rollup，或者说 Validity Rollup（有效性证明 Rollup），为计算生成证明的技术用到了 ZK。

比如，在以太坊上，每当进行一笔新交易，会需要所有节点重新验证执行所有历史交易。

在 StarkNet 上，只需要一个链下的排序器在链下执行计算，只需要一个节点来执行一次计算。

然后，证明者会为排序器实现的这笔交易生成证明，来证明这个交易是真的被正确执行了。

之后，验证者来验证这个交易证明是正确的。这个过程相比以太坊的共识、数据可能性，或者要验证交易的流程来说，StarkNet 整个执行效率会比太坊高很多。

然后讲一下生态。他们会有较有有想象力的东西，比如说全链游戏、链上 AI，以及一些虚拟机的东西。

先讲一下全链。可能很多小伙伴玩过 GameFi。但那些游戏，大部分仅仅将资产上链，后端数据、状态存储和逻辑执行都是在中心化服务器上。

全链游戏和 GameFi 区别在于，全链游戏不仅将资产铸造成 Token 上链，游戏整个状态存储和逻辑执行也都在链上。

游戏本身是以合约形式存在，就可以做很多有趣的事。比如，这个游戏，可能和 DeFi 直接就互操作、可组合了。

或者这个游戏本身，可以变成另一个可组合游戏的基石。其他游戏可以调用这个游戏。

总结下，全链游戏一方面，可以变成一系列可组合游戏的基石。另一方面，全力游戏是免许可、可互操作、可组合，可以和其他 DeFi、NFT，进行一种更加庞大的链上组合，所以会有很大的想象力。

第二个是，一些链上 AI 项目。比如，一个链上交易机器人。这个机器人是在链下进行计算，在计算过程中，会产生一个 ZK 证明。

这个证明可以让别人知道，真的是用 AI 算法执行的计算，同时保证执行过程是正确的。

由于链下 AI 模型产生这个证明，因此别人也可以免许可地信任这个模型，来调这个模型。这个链上机器人比较早期，就融了可能几千美元，现在已经花光了。但是也许我们可以期待这个机器人未来会比人类更加智能。

还有一个是，StarkNet 用 Cairo 语言写的 zkEVM Kakarot。StarkNet 自己做了一套开发语言，叫 Cairo。

简单来讲，Cairo 是一个图灵完备语言，CairoVM 虚拟机是图灵完备的、CPU 架构的系统。之前 Vitalik 也提到过 StarkNet 是一个第四等级 zkEVM 项目。

StarkNet 作为 Layer2 是不兼容以太坊虚拟机的，但是可以用 Cairo 在 StarkNet 上写一个 zkEVM，来兼容以太坊虚拟机的，但这个 zkEVM 可能是个 Layer3。

除此之外，还有一些 OVM 项目，比如 Op Rollup， 他们都会有自己的虚拟机，包括 Scroll、Hermers 和一些其他 zkEVM 项目。

任何有虚拟机的项目，理论上来讲，都可以用 Kakarot 在 StarkNet 上做成 Layer3。这个就是我关注到的一些机会。

Godot：

谢谢。你真的研究得很详细，很厉害。接着上一个话题。我们私下对话题的时候，Loners 对 ZK 跨链这个方面比较感兴趣。Loners 可以聊一聊对 ZK 跨链的一些看法吗？

Loners：

关于 ZK 跨链，最开始是关注到，跨链桥攻击事件。我会看为什么跨链桥那么容易被盗，主要是说智能合约可能没有写好，然后在一些函数上，其实跨链在另外一个链上的资产是衍生资产，那黑客就假冒生成了一个虚拟的兑换券，把原来链上的钱拿出来了。

或者，私钥没有保管好，托管合约的私钥可能泄露。所以，我在想，既然跨链这么容易被攻击，有没有可能 ZK 在这方面能做得更好一点？然后我就去看一些项目。

以前跨链，需要一个类似中介、第三方做验证，包括 LayerZero 很大程度上也是依靠 ChainLink 。

如果通过相信 ChainLink 中继器收集信息的话，那有没有可能，在原链去生成一个状态，生成一个证明，再把这个证明发给目标链。

根据 ZK 的合理性，假的真不了。如果我不是这个状态，就没法生成证明。目标链收到这个状态后，不担心我是一个恶意数据，能很快地去确认状态有效性。

之前大家都是通过，自己做一个双向轻节点，然后我验证完，可能还需要跟预言机那边数据，区块头等等验证一下。

如果只有你自己去跑节点，大家可能不相信你，那你现在说跟预言机结果是一样的，才能执行，大家可能会更相信一点。如果通过 ZK 去做，从数据一开始就可以保证是有效的，不能造假，是不是会更好一点？

目前又看到一些问题，包括说生成证明成本还是蛮高的，特别是在以太坊生成证明。

另外就是不同的链跟链之间，都要去构建电路。其实就是拓展情况会差一点。链如果升级的话，之前的电路可能还要重新修改。这个也是 ZK 目前在跨链方面，没法做得很好的一个点。

简单总结，ZK 通过数学保证状态有效性。之前大家是通过多重验证，或者通过代币模型，如果造假，可能会受到惩罚什么的。跟我之前提到的范式转移很像。

Godot：

好的。聊完跨链话题。然后接下来想聊一下，ZK 未来会带来哪些 Kill DApp，就是所谓的杀手级产品。

Maxlion：

杀手级产品的话，首先我会想到之前 Manta 做的链上德扑。我觉得那个真的是特别有趣。

因为我们都知道链上数据是公开透明的。很多的一些应用，特别是需要把数据保密的一些应用，是没法在链上做的。

但 Manta 是通过 ZK 技术，让发牌洗牌等一些流程就变匿名了，能隐藏信息了，但是又仍然能让用户在链上进行一个打德扑的体验。

所以，我觉得按照 Manta 做的链上德扑的思路来看，首先从技术上来讲，技术上已经能够实现了。

从现实的需求来讲，现实中大量的相似场景，是不是可以移植到链上来。就是如果说能够移到链上的话，这是不是面向很多用户的杀手级产品？我认为是的。

我觉得可能 ZK 能够带来的，第二种类杀手级应用可能是 ZK 钱包。我之前看到过一些相关项目案例，ZK 钱包是能够更好、更低门槛、更快速实现钱包级隐私。我们有小伙伴可能用过一些隐私应用、工具隐私 Token，其实他们实现隐私是不同的。

第一种，是隐去交易金额；第二种，是隐去交易人信息；第三种，让别人根本不知道这笔交易发生了，或者这笔交易发生时，别人不会关注到你。

而基于 ZK 开发的隐私钱包，是可以实现第三种，就是这笔交易发生时没人会注意到你。

我可能用 ZK 做一些加密交易，可以为每笔交易都生成一个新地址。每笔交易别人都不知道是谁发出的，根本没法和我的主钱包关联起来，会在更大程度上保证我们的隐私，并且成本很低。

Godot：

好的。能关注到我们 Manta 做的 ZK 德扑，也是说明你确实很有眼光。接下来请 Loners 发言，谢谢。

Loners：

我想到一个点就是全链游戏，跟刚提到那个德扑也蛮像。就是为什么要把游戏放链上，这是一个可以深究的问题。

过去一到两年，对游戏打金 GameFi 讨论蛮火的。因为受疫情影响，很多发展中国家的人，以打金为工作。但代币设计的不合理，不可持续性导致，不可能一直靠这个赚钱。

我为什么会觉得要把游戏什么都放链上？

好处是，以前游戏发行商，自己会针对游戏做很多修改，一些设定、一些数值什么的。如果能把这些都放链上，那大家也都知道这些数据，玩家也可以在这个基础上，去写个合约，跟这个游戏去做一些互动。

当更多人一起共建，游戏会更具有反脆弱性，比如 TreasureDAO 等等。

目前加密用户比较有投机属性。但当越来越多的人进入这个行业，有更多开发能力的创作者进来，可以把自己的想法跟游戏结合起来，会接近我自己认为的无限游戏概念。

而不止是像 GameFi 一样过度金融化。Maxlion 有什么想说的，关于全链游戏。

Manlion：

全链游戏的话，实际上，正如你刚才说的，ZK 是可以让全链游戏有更好的构建，包括盈利模式、游戏发展模式。举一些案例的话，Isaac 他们的团队 Topology 就是这个。

Loners：

Darkforest（黑暗森林）可能更出名一点。

Maxlion：

他们是不是好像还做了也是基于 ZK 的叫 DarkFire 吗？

Loners：

对。他们其实社区里面有很多人，基于这个游戏场景做了很多，比如用 ZK 去做一个游戏交易市场，用 ZK 做一个游戏里面的匿名聊天频道。

社区成员其实参与了很多游戏建设。游戏的发行可能就三个人，他们提了个 Idea，然后大家都去一起想策略，一起做交互什么的。

Manlion：

太有趣了。

Loners：

对，所以我觉得，并不止是说游戏团队把所有东西都做好，你进来打金而已。而是每个人看到这个规则之后，觉得自己也可以做点什么，然后参与进去。这样的话，其实这个游戏并没有说这是谁的游戏，而是大家一起的游戏。

Godot：

刚刚两位嘉宾也提到了，我们 Manta 最近做了 ZK 德扑 Demo。在前段时间旧金山以太坊开发者大会，拿了四个竞赛单元奖项。两位可以再聊一聊。对 ZK 德扑的一些看法吗？

Maxlion：

ZK 德扑实现过程，Manta 中文推特已经有比较好的解释了。大概总结下的话，是把发牌和洗牌两个流程都通过 ZK 实现。

在过去，发牌、洗牌放到链上，那就没意义了，大家都能看到这个牌面对吧，但是 Manta 通过 ZK 技术进行加密。

我会推荐大家去看一下 Manta 中文推特，确实对 ZK 德扑的原理解释比较好了。

一些额外看法的话，ZK 德扑利用 ZK 做以前想做但是不能做的事。像德扑会需要一点操作性，或者说信息性的一些东西的话，在以前没法做的，因为会涉及信息上链，那会让游戏失去意义，没有公平了。

所以，我觉得 Manta 这种这个德扑的尝试，可能会开启新的想象力。

Godot：

好的。关于 ZK 德扑项目，Loners 有什么想分享的吗？

Loners：

我想到了18年那会，经常去玩一些 EOS 的游戏。那时候对链上游戏一个简单理解，就是区块链是不能造假的。

传统棋牌可在后台操纵概率、结果，让你一开始赚钱，后面赔光，也可能限制不让你提现。链上游戏，可以保证资产安全性。

但往往规则是没写在链上的。那为什么要把规则也放到链上？举个例子，棋牌等平台还是靠流水抽佣获得收益。

在线下玩的时候，如果你牌太小太差，可能就不想玩。线上平台为了让入池，会增加牌的概率，让你觉得牌还蛮好的，感觉可以赚钱，就会下注更多。所以线上可能会亏光。所以要把这个规则放到链上。

这点智能合约可以做。但是智能合约，没法很好地促进隐私。所以其实可以参考下，Manta 的德扑方案。

Godot：

*好的，稍微总结一下。**两位嘉宾刚刚讲到了最关键的痛点，就是解决中心化控制发牌的问题。*把游戏放在区块链上，这就是真正的随机了，没有人、没有庄家可以控制发牌，没有办法通过控牌来控制你的输赢。然后，再扩展一下。

现在 NFT 一般在链上都是明牌的、公开的。但 ZK 可以让 NFT 可以变得匿名化、隐私化，也就是 ZK 可以让游戏变成非完全对称博弈。

我们日常生活里，经久不衰的麻将、扑克，都是非完全对称博弈的。也就是说，你可以依靠运气来赢，不会强者恒强，不可以通过买一个道具，就永远赢麻将局，永远赢牌局，这是不可能的。

接下来，我们可以聊聊 ZK 隐私，ZK 也是可以实现隐私的。可以帮我们对比一下 ZK、MPC 安全多方计算、TEE 可信执行环境等等这些隐私解决方案。

Loners：

今天还看到，SGX 私钥事件，就是有一个公司，去尝试去攻击 Secret 网络。Secret 是通过 TEE 做的隐私方案。

先讲一下 TEE。TEE 是通过硬件保证数据的安全，它有个专门储存数据的内存，做一些隔离，其他的地方可能访问不了，只有授权了才能访问这些数据。这就是 TEE 跟 MPC、ZK 不一样的地方。

MPC 更多是，一开始就做一些风险的控制，最开始就把数据分给不同的参与方，参与方这些人可能互相不信任，他们可以在互相不信任的情况下，做这个计算，得到一个模型或结果。这个场景更多是密钥管理，防止某一个人泄露密钥，导致资产损失。

ZK 更多是在计算过程中，保证数据的有效性或隐私性。Maxlion 可以帮忙补充。

Maxlion：

首先 ZK、TEE 都是能够保证隐私，保证计算被正确执行的。TEE 是自己搞了一套硬件环境，独立芯片，或者手机上的加密芯片。ZK 更多是基于算法的安全。

Godot：

好的，我可以稍微补充一点，因为 TEE 需要芯片执行计算，芯片厂商一般是英特尔、Arm 这些公司。

所以，本质上是要信任这些厂商的，需要一个可信第三方。然后 MPC，Manta 正在进行的可信设置第二阶段，也用到了 MPC 技术，每个参加可信设置的人，都会得到一个所谓的“有害废料”，就是一小片碎片。大家拿到碎片之后就销毁它，这样整个网络就会很安全。

对，这是 MPC 在 Manta 网络启动过程中的一个应用。感觉华语地区好像对于隐私项目，并不是很感兴趣。

除了之前很少数的人，用到 TornadoCash 之外，大家可能对隐私项目能干什么？爆发点是什么？还是比较疑惑的。

另一方面，隐私项目在一级市场上反而会受到投资机构的青睐，如果团队有不错的背景，机构还是很愿意投的。

所以，想请问一下，现阶段隐私项目能干什么？未来爆发的点可能是什么？再就是，普通用户和机构之间的分歧，主要出现的原因是什么？

Maxlion：

大部分隐私项目，主要应用场景有两个，一是转账隐私。二是针对一些机构用户或者大额资金用户的场景，帮助他们匿名。

爆发的点，我现在不认为已经爆发，对大部分普通用户来讲，隐私并不是一个刚需。从未来的角度来看的话，隐私会有一些用处的问题。

现在，链上数据或者大部分普通用户，在链上都是没有隐私的。但这种情况并不会持续下去，随着 DID，以及一些其他链上场景不断丰富，比如全链游戏、DeFi、NFT，或者当我们需要在链上做更多 zkKYC 时，我们一定会需要更多隐私。

从现在来看，用户端隐私可能不是爆发点，但用生态发展的角度来看，隐私在未来可能是比较大的方向。

最后总结下，机构和普通用户之间隐私分歧，可能主要在于，机构隐私需求和普通用户隐私需求不太一样。

机构可能更偏向对自己的资金匿名，用户更偏向对自己个人信息匿名，这是与他们不同行为场景相关联的。

Godot：

好的，谢谢。接下来请 Loners 谈一下看法。

Loners：

我是觉得从互联网发展来看，大部分人到2010年智能手机普及之后，才慢慢在互联网上有自己更多数据。一开始，大家也没有感觉到数据重要性，或者有多大风险。慢慢出现骚扰电话广告、推广。

但同时，我们也受益于平台用你个人数据之后，给你做更精准的推送。我们一方面享受数据的便利，但又不希望有太多隐私暴露。这在传统世界里，不好去解决，这个在链上是可以解决的。

所以我觉得，机构投资也是发现这个特性赋予了新的价值，就是数据价值，包括未来怎么把更多数据，也能放上去做一些处理。

另外，隐私 Token 发展的话，曾经大家觉得比特币好像本来就隐私，大家不知道地址背后的人是谁。但慢慢地，现在链上数据分析工具也好用，大家会觉得好像不太有那么隐私。

隐私 Token 出来之后，其实只有那一帮人交易比较多，交易的人越来越少，隐私保护特性越来越弱。

什么时候会需要有隐私呢？比如说，大家会炫耀自己的 BAYC、Punks 头像。或者，做抵押借贷的时候，大家不想暴露抵押多少钱，会在什么价格被清算掉。大机构担心会被定点狙击。

在社交里面，大家也会希望能够在一个更加匿名的平台。当然，即使是真正匿名平台，开发商也是能够拿到你数据的。

所以，我觉得，这些机构投隐私，更多是很多东西在 Web2 里没办法解决，在 Web3 里可以解决。

从未来看，数据其实是有很大价值的。怎么让用户更友好地保护数据，以及从数据里面捕获应有的价值，这也是未来的发展趋势。

普通人能感受到的，只要这个东西好用，交易便宜，无论隐私与否还是能接受的，因为也不怕被狙击。

另外，为了隐私，我需要去持有隐私 Token，也是有一些风险，币价波动。

另外，做隐私交易，成本蛮高的，因为要做一些 ZK 计算等，会带来额外链上计算成本。当然还有一些，比如隐私平台其实还不是很成熟，以及能用隐私干的事还太少了。

Godot：

好的，谢谢。我个人想补充一个点，其实我蛮看好隐私的。原因是，我觉得隐私是一般人用了可能就不会再回到过去的一个事情。就好像，你以前坐地铁上下班，后来买了车，然后习惯了开车上下班，之后再让你有重新回到坐地铁的生活里面，可能就很难回去了。

但是现在，可能有一个问题，大家面临着使用隐私获得的收益，和使用隐私那种不太便利的、或者付出成本之间有一个平衡问题。大家还是不太愿意，为了收益来付出那个成本。一旦当收益盖过成本的时候，可能就会有很多人愿意用了。

接下来，想聊一聊稍微比较大一点的方面。现在是熊市，大家会考虑到布局。

请问，现在区块链存在哪些痛点需要解决？有痛点的这些领域里，有哪些项目可以关注一下？比如像解决跨 layer2 流动性这种问题。解决这些问题里，ZK 有哪些可以发挥的地方？

Loners：

ZK 能用的地方其实有一个点，因为我自己也在 Gitcoin 帮忙做一些推广，发现大家在给项目捐款时，Gitcoin 还会去配一些额外的池里面的奖金。项目方就有动力贿赂社区成员，或其他人给他捐款，因为可以赚更多钱。

那 Gitcoin 怎么去防作恶。其实有一个协议叫 MACI，可以理解为用他的协议之后，会有一个新的身份，项目方是查不到谁给你捐赠的。作恶的人，跟项目方没法建立信任，起到抗共谋。

为什么会关这个？现在很多攻击手段，不止是简单地盗你的钱，还可以通过发起提案，治理攻击。比如发个提案把国库的钱，分给那个 Token 最多的人。所以，这是未来治理变得越来越重要的时候，怎么去避免共谋。

另外，传统的中心化平台，可以很好地保证履约。比如，买了腾讯视频会员，如果腾讯视频不按时做内容更新，我就退款。

假设，现在一个去中心化平台，你去购买某一个人发的 Pass 卡，或者带有什么权益的 NFT，怎么保证创作者一直会按照要求一直去创作呢？

那可以，比如他必须得每隔一段时间上传自己新的作品，把这个证明给到合约，合约才会把你募到的钱打给你。

这样能够保证创作者会持续更新。另外，还有链上机器学习，当然算法还很早期。这是我看到几个领域。

Maxlion：

我最近关注特别多的是，基于 ZK 做的一些跨链中间件、跨链通信桥、跨链预言机，比如 Hyper Oracle。

简单来讲的话，跨链需求是区块链一直存在的，且跨链桥的安全性也是一个痛点。

基于 ZK 的跨链桥或者跨通讯中间件，是能够解决过去那些跨链桥和通讯工具的一些问题。ZK 在这些赛道，是有很大发展空间的，推荐关注一下。

Godot：

好的，谢谢。今天最后一个问题。这个问题其实是，我跟一个朋友平时沟通的时候，他很疑惑的一个事情。

像 TEE 可信执行环境，MPC 安全多方计算。其实在传统的互联网，会有相应的发展，像英特尔、Arm 有 TEE 芯片。谷歌、Meta 有开源 MPC 工具。那为什么，这么多年来互联网没有出现 ZK 的大规模应用？这个可以解答一下吗。

Loners：

我是这么想的。在 Web2 里要给大家普及区块链，其实也花了很长时间，慢慢大家才意识到为什么要把钱放到链上，因为链上有更多好处对吧？

同样的， ZK 技术科普，包括一些算法迭代，其实也是到了这几年才有一个比较大的进展，证明生成以及验证时间成本，是到了这几年才有比较大的突破。

另外，其实也可以反映出，懂 ZK 的人少，懂 ZK 开发的更少。懂 ZK 开发，自己本身还得懂密码学，还有计算机理论以及区块链相关的东西。

另外就是，现在 ZK 证明还蛮大的，在加速时候得考虑怎么做优化，技术还没到那个阶段。同样地，如果我们做得更好一点，比如让新的开发者不需要懂密码学，也可以做开发，直接到工具库或者一些集成 API SDK 什么的，那就可以让更多人来做开发。我想到其实还是一个技术发展阶段问题，任何一个技术发展，都会有一个期限。

Maxlion：

我也特别认同。之前 Manta Network 的 Victor 和我分享过，当前 ZK 应用发展很慢的一些问题。

ZK 是一个很高级的技术。一个人从0开始学习 ZK，需要学高等数学，还需要掌握一些算法，还需要掌握电路开发语言，比如 Circuit，还要懂很复杂的密码学，还需要熟练掌握一些和 ZK 电路开发相关的工具库，能够基于自己开发应用的需求，快速地找到一些能够参考代码库，对吧？所以，综合起来，ZK 的开发难度特别大。

再从应用需求角度来看，目前，ZK 可以应用开发市场比较小。从应用数量或者整个需求来看，比普通的链应用要少很多。我们现在所知的很多 ZK 项目，它们都是大项目。

所以，对一个普通开发者来讲，会面临着这样一个问题， ZK 学习难度很大，要开发小应用的门槛高，收益低。

目前，是 ZK 学得很好，深耕很多年的人，在开发大项目。很难想象学了没几年的新人，去开发 ZK 大项目。

总结下，ZK 人才培养周期长，学习门槛高，小应用的空间不是那么足够。

Godot：

好的，谢谢。今天的问题就问完了，再补充一点，Manta 在做一个通用性的、可互操作性的 ZK 开发库 OpenZL（https://github.com/openzklib/openzl）。感谢大家。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、CoinFund 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

We're Hiring!

访问查看开放职位：https://jobs.lever.co/MantaNetwork

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/

Github:https://github.com/Manta-Network

Twitter:https://twitter.com/MantaNetwork

Medium:https://mantanetwork.medium.co

Telegram:https://t.me/mantanetwork

Discord：https://discord.gg/ZtSuSKRy8X

Telegram中文：https://t.me/mantanetwork_zh

Twitter中文：https://twitter.com/manta_china

2022年10月22日，我们启动了可信设置仪式（Trusted Setup）的注册。今天，我们非常兴奋地宣布贡献阶段正式开启，这也是整个仪式中最后一个部分，此前所有参与注册的朋友均可参与。如果你还没有注册，也不必担心，贡献过程中仍可继续参与注册。

截至目前，Manta 可信设置注册人数已经超过12,000人，这也意味着已经有超过12,000份私钥生成并准备参与贡献。

去中心化程度最高的可信设置仪式

Manta 可信设置的注册用户来自全球177个国家（占全世界国家总数的90%），其中注册人数最多的国家为：

• 中国

• 乌克兰

• 俄罗斯

• 韩国

• 新加坡

当被问及可信设置对于每位注册用户的意义时，我们收到了许多答案，其中出现次数最多的词汇包括：自由、个人、隐私和安全。非常开心这些来自社区用户的核心价值观和我们的可信设置的目标保持高度一致。

如何参与贡献

整个可信设置仪式共分为三步：安装、注册和参与贡献。如果你已经完成注册，并保留有12位助记词，可以跳过此步直接参与贡献阶段。

完整教程请参考：

https://docs.manta.network/docs/guides/TrustedSetup

安装

可信设置需要在终端（ terminal ）上进行，如果你此前从未使用过也不必担心！只需要简单的几次复制/粘贴即可。操作完后，你就会觉得自己像个21世纪的黑客 😎

首先，打开电脑上的终端（如上图所示）

Mac/Linux 用户输入如下指令：

curl --proto '=https' --tlsv1.2 -sSf https://raw.githubusercontent.com/Manta-Network/manta-rs/main/tools/install.sh | sh

Windows 用户请先下载

https://github.com/Manta-Network/manta-rs/releases/download/v0.5.6/manta-trusted-setup-x86_64-pc-windows-msvc.exe

后再打开终端，然后指向下载所在位置（比如“cd Downloads”），接下来输入：

manta-trusted-setup-x86_64-pc-windows-msvc register

大功告成！你已经可以进入注册阶段了。

注册

打开终端，并运行：

manta-trusted-setup register

接下来会让你输入 email 和 twitter ID。提供完这些信息后，你将收到12位助记词。如下图所示：

请务必将助记词（图中红色的字）保存至一个之后你自己可以找到的安全的位置，因为贡献过程中还会用到。将图中提供的表格链接复制到浏览器打开，填写信息完成注册。每位注册用户的链接都是独一无二的，请不要将链接对外分享。

参与贡献

注册完成后，你的申请将处于等待状态（pending），大概需要24小时的时间你才会被系统加入开始最终的贡献阶段，这也意味着首次注册后你需要等待至少24小时（但如果你在2月28日前就完成了注册，你现在就可以参与贡献）。参与贡献非常简单，只需要此前保存的12位助记词。

打开终端，并输入：

manta-trusted-setup contribute

你将看到如下图所示的提示：

在提示输入密钥的地方，输入或粘贴你的12位助记词，并按回车键。你可能会进入排队，需要等待一会儿时间。

请注意: 如果你的网络比较慢，可能会在3分钟倒计时结束前无法完成贡献。这种情况下，请等待系统自动将你放回排队中。

贡献完成后，屏幕将如下图所示：

恭喜你成功参与了 Web3史上规模最大的可信设置仪式！我们将向所有参与用户提交的 KMA 地址发放一枚 NFT 作为奖励。如果你有任何问题，欢迎加入我们的 discord 反馈，你也可以在我们的技术文档中找到解决方案

https://docs.manta.network/docs/guides/TrustedSetup

发推宣布贡献

完成贡献后，你会在底部看到一行字，将这行字复制下来分享到你的 twitter 账号，来表达对于 Manta 可信设置的支持吧！

参与奖励

为了感谢大家对于这一历史性事件的支持，我们将对每位完成可信设置仪式贡献的用户给予一枚 NFT 作为奖励，作为贡献者你还可以在我们的 Discord 中获得特殊角色，因此请确保你在注册时填写的信息是准确的。

同时，参与我们在 Gleam 上的活动，完成相应社交媒体任务，还有机会赢得价值100美元的 $KMA 奖励。

活动参与入口：

https://gleam.io/hCQmJ/manta-network-trusted-setup-campaign

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、CoinFund 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

We're Hiring!

访问查看开放职位：https://jobs.lever.co/MantaNetwork

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/

Github:https://github.com/Manta-Network

Twitter:https://twitter.com/MantaNetwork

Medium:https://mantanetwork.medium.co

Telegram:https://t.me/mantanetwork

Discord：https://discord.gg/ZtSuSKRy8X

Telegram中文：https://t.me/mantanetwork_zh

Twitter中文：https://twitter.com/manta_china

小学生也能看懂的零知识证明科普（1）零知识证明与交互式证明 | ZKP101 小学生也能看懂的零知识证明科普（2）虚拟机与非交互式证明 | ZKP101 小学生也能看懂的零知识证明科普（3）zkSNARK、zkSTARK 都是什么？| ZKP101

本系列将试图用通俗举例和语言，帮助大家理解复杂概念。本系列非学术论述，举例只为帮助大家通俗理解。如有错误，欢迎指正。更严谨的表述，欢迎大家查看专业论文学习。

前情回顾，

1/ 零知识证明，英文为 Zero Knowledge Proofs，简写为 ZK 或 ZKP。

zkXXX，即代表应用了零知识证明。

2/ 零知识证明技术，要在证明速度、验证速度、整体大小之间做取舍，继而产生的用户体验不同。

zk-SNARK 诞生时间久，经过验证，应用比较成熟，并诞生了 Groth16、PLONK、Halo2 等多技术分支。zk-STARK 相较而言，诞生时间较短，仍需时间验证完善。

Manta 采用 Groth16，是目前最快、数据量最小的 zk-SNARK。Manta在椭圆曲线密码（FH-ECC）算法等基础上，进一步优化升级，ZK 生成速度比Zcash快十倍。交互确认时间仅需 2-3秒。

3/ ZK 开发逐渐模块化。zk-SNARK 与 zk-STARK 之间，可通过切换多项式承诺，进行相互转换。且，代码终会开源，所以长期看，单靠技术无法构筑壁垒。

正式开始本篇内容。

什么是 Rollup ？

Roll，卷、滚的意思。Up，向上、起来的意思。Rollup 就是“卷起来”。

当然，这不是内卷那个“卷”，而是像面饼一样，把食材统统卷进去的那个“卷”。

Rollup，就是把许许多多多笔交易“卷”起来，在自己的网络里处理掉。

Rollup 通常运行一组中心化定序器（Sequencer），为 Rollup 上的交易进行排序。定序器就像中心化的服务器。

Rollup 与 以太坊主链关系，举个便于理解但不十分严谨例子，如同初期的支付宝与银行。

资金从以太坊主网转入 Rollup，如同把钱从银行卡转入支付宝。

用户在 Rollup 交互，交互信息并不直接提交到以太坊主链上，而是由 Rollup 定序器进行排序。

这个过程，称为“链下扩容”，所谓“链下”指的是在以太坊链下。

支付宝初期，用户直接使用支付宝余额交易，银行对具体交易信息，并不知情。支付宝相对银行，也是“链下”。

定序器会对 Rollup 里的交易，统一进行排序、打包、压缩，隔一段时间提交到以太坊主链，由以太坊主链提供结算、校验交易数据，以减轻主链负担。

主链矿工可以通过欺诈证明（Fraud Proof，通常由Optimistic Rollup 采用）或有效性证明（Validity Proof，通常由 zk-Rollup 采用），验证 Rollup 交易数据是否真实。

举个例子，用户在 Aribitrum 上，使用 Gmx 疯狂进行衍生品交易。这些操作，都让 Aribitrum “卷”起来处理掉了，这些交互仅在 Aribitrum 当前 Rollup 上发生，不会造成以太坊主链拥堵。

Aribitrum 会将一段时间内的交互信息排序、打包、压缩、提交到以太坊主链，由以太坊全节点校验交易数据真实性，所以，Rollup 称为执行层，主要负责执行交易。

Optimistic Rollup 与 ZK Rollup？

Optimistic 与 ZK，是以太坊主链全节点，校验 Rollup 交易数据真实性的方式，可以理解成是对账方式。

Rollup 是处理交易的方式。

这俩都是 Rollup，所以，处理交易方式一致，都是“卷起来”。区别在于，对账方式：

1/ Optimistic，意为“乐观的、积极的”。

Optimistic Rollup“乐观的”默认交易信息真实有效。

万一有人提供虚假交易信息呢？

若使用 Aribitrum 或 Optimism，会发现，把代币跨回其他网络，需要等待几天时间，即“等待期”。

“等待期”内，以太坊主网全节点都可以发起挑战，证明某交易为假。

由于 Rollup 数据层和结算层仍使用以太坊，相当于根账本在以太坊上，所以，Rollup 自身是无法篡改、作弊的。

若挑战成功，则会罚没作弊者保证金，交给挑战者，并回滚该区块内的交易。

2/ zk-Rollup

还记得 ZK 的基本原理及特性嘛？

证明者（Prover）和验证者（Verifier）。证明者生成证明，验证者在不获取信息本身的前提下，验证该证明。

ZK 有以下特性：

完备性（Complete）：提交者若确实掌握了答案，那他能找到方法向验证者证明为真，即真的假不了。

合理性（Sound）：若提交者未掌握答案，那他无法向验证者证明为真，即假的真不了。

零知识性（Zero-Knowledge）：证明过程中，验证者除了“证明”之外，不会获得其他相关信息。

zk-Rollup 会在向以太坊主网提交区块时，生成一个零知识证明。主网全节点验证该证明即可。

需要注意的是，zk-Rollup 通常只应用了 ZK 前两个属性，即完备性与合理性，达到压缩计算的目的。

Optimistic Rollup 需要将一段时间内交易数据，压缩后，完整地连同状态根（包含用户地址余额等信息）、欺诈证明（仅在发生争议时），传回到以太坊主网。

由于交易数据和结算仍存储在以太坊主网上，当全节点提出挑战时，可根据先前存储的状态，校验欺诈证明是否成立，判断 Optimistic Rollup 是否作弊。

zk-Rollup 不需要将全部交易数据发布至以太坊主网，仅发布状态差异（类似用户账户状态变化）和有效性证明即可，这样会使得交易成本 Gas 更低。使用 zk 前两个属性，达到压缩计算目的。

zk-Rollup 证明文件很小，验证时间一定，所以证明本身不会随着交易数量增加而变大。

长期来看 zk-Rollup 在 Gas 成本和 Tps 方面，要优于 Optimistic Rollup，且无需提现等待期。

所以，以太坊创始人 Vitalik 认为，短期内 Optimistic Rollup 会因 EVM 兼容性占据优势，但长期来看，zk-Rollup 会胜出。

本质上，Optimistic Rollup 安全来自于经济学，作恶者要考虑损失的成本，挑战者的动机由经济利益驱动。

zk-Rollup 安全来自于密码学，用密码学手段验证证明，可以做到去信任化。

长期看，zk-Rollup 相比 Optimistic Rollup 更具优势，但短期仍受制于 zk-EVM 发展。这也是我们在下一篇会聊到的话题。

这里需要区分的是，用户在 zk-Rollup 上的交易信息仍是透明可查询的。

而 Manta 作为基于 ZK 的可编程隐私公链，除前两个特性外，还重点应用了零知识性，让链上交易隐私化。

Rollup 与模块化

不可能三角，又称三元悖论，通常指去中心化（Decentralization）、可扩展性（Scability）、安全性（Security）三者不可同时兼得。

通常，模块化是指，把 Layer1 共识、结算、数据、执行四层分别解耦（单拆出来），在不增加节点硬件负担，造成中心化前提下，实现扩容，打破“不可能三角”。

V神在波哥大以《Hardening rollups with multi-proofs》为主题进行分享，即采用多证明机制，加强Rollup安全。

方案二是多证明人机制（multi-provers），采用多证明系统，用欺诈证明或 zkEVM 多种实现，预防网络宕机情况。

方案三是双重证明加治理小组（two-provers plus governance tie break），采用欺诈证明加ZK证明，再加上治理小组裁决。当一个证明系统出现漏洞，另一个系统不受影响。

在此之前，Optimism 的 Kelvin 曾写过《The hybrid ZK/Optimistic Rollup of the future》（ZK/Optimistic 混合 Rollup 的未来），探讨过将 Optimistic 与 ZK 相结合。

总结下， 1/ Rollup 内的交易，隔一段时间统一压缩打包，提交到以太坊主网，由主网提供结算、验证交易数据，以减轻主链负担。

2/ Optimistic 与 ZK，是以太坊主链全节点，校验 Rollup 交易数据真实性的方式，可以理解成是对账方式。Rollup 是处理交易的方式。

3/ Optimistic Rollup 需要将一段时间内交易数据，压缩后，完整地连同状态根、欺诈证明（仅在发生争议时），传回到以太坊主网。

zk-Rollup 不需要将全部交易数据发布至以太坊主网，仅发布状态差异（类似用户账户状态变化）和有效性证明即可，这样会使得交易成本 Gas 更低。使用 zk 前两个属性，达到压缩计算目的。

4/ 本质上，Optimistic Rollup 安全来自于经济学，作恶者要考虑损失的成本，挑战者的动机由经济利益驱动。

zk-Rollup 安全来自于密码学，用密码学手段验证证明，可以做到去信任化。

5/ 用户在 zk-Rollup 上的交易信息仍是透明可查询的。而 Manta 是基于 ZK 的可编程隐私公链，除前两个特性外，还重点应用了零知识性，让链上交易隐私化。

6/ 当前，将 Optimistic 与 ZK 结合，是 Rollup 探索方向之一。

本篇重点讲述了 zk-Rollup，略微涉及到 zkEVM 内容。下一篇，我们将重点阐释 zkEVM 相关内容，欢迎继续关注 Manta Network中文公众号及推特。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、CoinFund 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

We're Hiring! 访问查看开放职位：https://jobs.lever.co/MantaNetwork

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/ Github:https://github.com/Manta-Network Twitter:https://twitter.com/MantaNetwork Medium:https://mantanetwork.medium.co Telegram:https://t.me/mantanetwork Discord：https://discord.gg/ZtSuSKRy8X Telegram中文：https://t.me/mantanetwork_zh Twitter中文：https://twitter.com/manta_china

小学生也能看懂的零知识证明科普（1）零知识证明与交互式证明 | ZKP101 小学生也能看懂的零知识证明科普（2）虚拟机与非交互式证明 | ZKP101

本系列将试图用通俗的举例和语言，帮助大家理解复杂概念。本系列非学术论述，举例只为帮助大家通俗理解，或不严谨之处，请谅解。更严谨的表述，欢迎大家查看专业论文学习。

总结下前两篇内容，以小编个人经验，以下几个核心点比较重要：

1/ 基本原理 零知识证明验证过程，参与者证明者为（Prover）和验证者（Verifier）。

零知识证明是对计算本身的加密。加密后，会生成一个密码学证明。

证明者提交证明。验证者在不获取信息本身的前提下，验证信息为真。

2/ 零知识证明当前主要应用方向：隐私与扩容。 零知识证明是对计算本身进行加密。验证者在不获取信息本身的前提下，验证信息为真，从而实现隐私保护。

关于扩容

以太坊交易成本高，经济学原因在于，共识是昂贵的，不贵的共识不可信。

假设有 10,000 个节点，每个节点做重复计算，结果就很可靠，不会因少部分节点不诚实而对共识结果产生影响。这也是为何区块链可以去中心化——通过算法的手段建立信任。

而共识成本在于 10,000 个节点重复计算，成本比在 1 个节点上贵 10,000 倍。

零知识证明可从本质上降低成本——可以在 1 个节点上运行计算，生成零知识证明，其它节点用密码学方法验证计算的可靠性，无需重复计算全部交易数据。这也是 zk-Rollup 的原理。

这里稍微展开下。

在 zk-Rollup 链上的交易，会附带零知识证明，由官方运行的定序器（Sequencer）打包压缩，上传至以太坊主网，再由主网全节点校验证明，确认交易。

此外，还可以将 Optimistic Rollup 与 zk-Rollup 结合，在 Rollup 链内打包交易，使用欺诈证明也就是 Optimistic Rollup 方式，提高效率，减小区块。

数据上传至以太坊主网时，使用零知识证明，生成证明，方便主网全节点校验数据。也可以节省 Rollup 链在主网部署的成本。

V神在波哥大还以《Hardening rollups with multi-proofs》为主题进行分享，即采用多证明机制，加强Rollup安全。

方案之一采用欺诈证明（Optimistic）加ZK证明，再加上治理小组，形成2/3 机制 (Two-provers plus governance tie break)。不必信任治理（不能与证明相矛盾）。

当一个证明系统出现漏洞，另一个系统不受影响。

之后的文章将对此进行通俗阐释。

什么是“ZK”？

零知识证明，英文为 Zero Knowledge Proofs，所以通常简写为 ZK 或 ZKP。

见到 zkXXX ，说明应用了零知识证明。如 zk-EVM，即采用零知识证明技术，兼容 EVM；

zk-Rollup 代表以零知识证明构建的 Rollup 执行层。

zk-SNARK 与 zk-STARK

zk-SNARK 和 zk-STARK，是零知识证明底层技术。二者都是非交互式证明。（还记得钢铁侠发明的验证机器嘛？）

zk-SNARK，全拼Zero-Knowledge Succinct Non-Interactive Argument of Knowledge，即零知识简洁非交互证明。

2014年 Zcash 创立之时，便已进入探索阶段。2016年，随着 Zcash 主网启动，zk-SNARK 也正式迈入应用阶段。

该技术经过长时间验证，是目前零知识证明领域最主流技术之一，目前应用较多，包括摩根大通 JP Morgan 的 Chase 在内诸多项目正在使用。

zk-SNARK 使用椭圆曲线保证安全，且需要可信设置。关于可信设置，让我们回顾下上篇文章的内容。

实际操作中，zk-SNARK 初启动时，要创建证明和验证所需私钥，其中包含公共参考串。

可信设置，是以去中心化的方式，将公共参考串销毁，使网络安全可信。

zk-STARK，全拼Zero-Knowledge Scalable Transparent Argument of Knowledge，即零知识可扩展透明证明。

该技术目前主要是 StarkWare 在应用，目前仍有部分代码未开源。

两者直观的区别在于，zk-SNARK 需要可信设置，zk-STARK 不需要。

（图片来自Foresight Ventures，原文链接https://foresightnews.pro/article/detail/5364）

上图中，Proof Size为证明大小，Prover Time为证明速度，Verification Time验证速度。

zk-SNARK 研究和发展历经时间较长，基于该技术诞生了 Groth16、Sonic、Fractal、Halo、PLONK、Marlin等分支。

而实际上，零知识证明技术，要在证明速度、验证速度、整体大小之间做取舍。

零知识证明技术之间，很难说有特别本质上的差异，主要是在以上三方面的取舍不同，继而产生的用户体验不同。

Manta 采用 zk-SNARK、Groth16。Groth16是目前最快、数据量最小的 zk-SNARK。

Manta在经典的隐私技术，如椭圆曲线密码（FH-ECC）算法等基础上，进行优化升级，Manta零知识证明生成速度比Zcash快十倍。

此外，随着时间前行，市场会给出最合理的选择。无论是 zk-SNARK 还是 zk-STARK，其发展最终会反馈在开发者数量、生态项目活跃度、代码活跃度以及用户采用程度等指标上。

总结

本文主要通俗地解释 zk-SNARK 和 zk-STARK。

1/ 零知识证明技术，要在证明速度、验证速度、整体大小之间做取舍。 零知识证明技术之间，很难说有特别本质上的差异，主要是在以上三方面的取舍不同，继而产生的用户体验不同。

2/ zk-SNARK 诞生时间久，经过验证，应用比较成熟，并诞生了 Groth16 等多种技术分支。zk-STARK 相比之下，诞生时间较短，仍需时间验证和完善。

3/ Groth16是目前最快、数据量最小的 zk-SNARK。Manta在经典的隐私技术，如椭圆曲线密码（FH-ECC）算法等基础上，进行优化升级，Manta零知识证明生成速度比Zcash快十倍。

4/ 技术终究是要为用户体验服务的。用户的选择最终会说明一切。

欢迎关注Manta Network Protocol公众号，或关注推特@manta_china

获取更多关于零知识证明和 Manta Network 的资讯。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、Multicoin、CoinFund、 Alameda、DeFiance 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

We're Hiring! 访问查看开放职位：https://jobs.lever.co/MantaNetwork

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/ Github:https://github.com/Manta-Network Twitter:https://twitter.com/MantaNetwork Medium:https://mantanetwork.medium.co Telegram:https://t.me/mantanetwork Discord：https://discord.gg/ZtSuSKRy8X Telegram中文：https://t.me/mantanetwork_zh Twitter中文：https://twitter.com/manta_china

作者：OneBlock

Manta Network（下文简称 Manta）团队最近有点忙。

在过去的 9-11 月，Manta Network 团队的身影活跃在世界的各个角落。无论是整个 Web3 行业的年度盛会，如 Token 2049、第六届 DEVCON 以太坊开发者大会、还是大大小小的地域区块链周，如 SF Blockchain Week 、Vietnam Blockchain Summit 2022、Lisbon Blockchain Week，抑或如哥伦比亚大学这样的高校区块链会议，都留下了 Manta 核心贡献者的声音。

事实上，随着 DeFi 繁荣生长，以太坊完成合并升级，智能合约以及链外数据的隐私保护和隐私计算已经成为新的刚需。越来越多的头部 VC 和开发者仍在入场，隐私赛道的角逐日益激烈，零知识证明更是在近年来成为热门流派，而作为波卡首个基于零知识证明的链上隐私保护协议，且已经获得 Polychain、ParaFi、Binance Labs 等顶级投资机构的支持，经过近两年的发展已成为隐私赛道的实力选手，行业需要 Manta Network 的声音毫不意外。

那么在 Manta 团队看来，零知识证明为 Web3 隐私提供了怎样的方案，目前是怎样的进展？作为零知识证明赛道的领头羊，如今取得了什么样的进展？对此，Oneblock 采访了 Manta Network 的联合创始人 Shumo，期望获得以上问题的答案。

专访嘉宾

Shumo 是美国华盛顿大学博士，他在美国顶级学术期刊上发表了多篇论文，曾主导了 Algorand 的智能合约的研发，在区块链技术落地上有丰富的经验，更是业内顶级的密码学专家。

在采访中，Shumo 详细讲解了零知识证明赛道的现状以及相关问题，并讲解了 Manta 给出的解决方案和对底层技术的优化。据他透露，目前 Manta 已经在进行零知识证明的可信设置（Trusted Setup），并即将推出隐私支付产品 MantaPay，接下来会有更多的隐私产品推出。

针对零知识证明技术门槛高的行业瓶颈，Manta Network 除了完成自身各种紧急开发任务的同时，还将一部分资源和时间投入到 ZK 领域的整体发展上，如发布了开源零知识证明（ZK）库 OpenZL 倡议、并将一部分精力放在 programmable privacy（可编程隐私）的研究。对于想要学习零知识证明的开发者，Shumo 也给出了真诚的建议与思考。

Manta 最新进展

OneBlock：Manta 是 Oneblock 的老朋友了，我们留意到近期 Manta 有着非常多的进展，可否请 Shumo 再简单介绍一下项目以及分享我们在技术、产品上的最新进展？

Shumo：Manta 于 2020 年 10 月份开始组建，到现在已经有两年的时间了。我们坚定的抱着解决区块链世界隐私问题的想法，因为在区块链上的所有的数据都是公开的且永久的，一旦链上公钥、地址和个人身份建立联系，将来你就永远处在一个裸奔的状态，所以我们觉得，隐私问题是区块链走向主流甚至走向 10 亿人的最大掣肘，这也是 Manta 想要解决的问题。

我们一开始从技术架构和市场的角度出发，认为在波卡这条公链上搭建隐私层是最合适的。在当时零知识证明还没有特别普及，各种开发工具还比较匮乏的情况下，我们非常幸运有一个很强大的开发团队。当时我们发现目前市面上的隐私产品都不是很易用，在三个月的时间里做出了第一版的测试网，并在去年 8 月份上线，随后我们又迭代了两版测试网：今年 4 月份上了第二版的测试网，11 月份即将上线第三版测试网。

从技术层面来看，Manta 拥有业界非常强的密码学团队。我们的零知识证明协议受到了 Zcash 的启发，但同时又比 Zcash 强大很多，基本上有三点：第一， ZCash 是一个单资产的隐私协议，Manta 是一个支持多资产的隐私协议；第二点，Manta 支持的资产类型比 Zcash 要更丰富，后者开始只支持Fungible tokens，我们是既支持 Fungible tokens 也支持 NFT(non-fungible token)；第三点，Manta 隐私协议的实现比 ZCash 要高效很多，比如说 Manta 生成零知识证明的速度比 ZCash 快 10 倍，此外，我们基于整个波卡的生态，利用好波卡的跨链协议 XCM，以打通整个波卡资产的隐私层。

从产品的角度来说，我们借鉴了很多主流的 Web3 产品设计思路，比如 Uniswap；另外我们的产品本身是比较易用的，应用的背后其实是我们团队三个版本测试网的迭代。

目前在测试网已经做到比较理想的程度之后，我们最近开始做零知识证明的可信设置（Trusted Setup），并向社区开放 Trusted Base 的名额，目前已经有超过一万人注册。原理是，只要一万人中有一个人是诚实的，那么这个零知识证明电路的可信度就是可以保证的。在可信设置（Trusted Setup）仪式结束之后就会上线第一版隐私支付产品——MantaPay。

OneBlock：作为波卡上第一条链上隐私平行链，Shumo 认为波卡相比于其他生态，对于开展零知识证明隐私的尝试有什么优势？

Shumo：首先波卡非常去中心化，同时还保证了高性能，它的高性能并不是用牺牲去中心化来换来的；第三点是波卡 Substrate 模块化的开发工具，对于开发来说十分友好。

零知识证明的可信设置

OneBlock：方便多讲讲可信设置（Trusted Setup）的细节吗？

Shumo：在零知识证明电路的里面，你需要有一个公钥来生成零知识证明电路，公钥其实是对应一个私钥的，如果有一个人拿到了零知识证明的公钥对应的私钥，那么他就有可能伪造零知识证明，这就是零知识证明协议设计之初需要考虑到的一个技术细节。

那要怎么做才能让这个公钥的私钥不被其他人知道呢？

我们现在就需要一个 Trusted Setup，应用到的是多方安全计算的密码学协议，简单来说，就是把私钥分成数份，每个参与者各自拿到的私钥碎片就叫 Toxic waste，中文名叫“有毒废料”，我们在 Trusted setup 中设计了一个软件，会把每个参与者的有毒废料扔掉，如果你将自己的那份破坏掉，就没有攻击者可以利用“有毒废料”。假如有 3000 个人参加，只要其中有一个人是诚实的，那么整个私钥就是完全保密的，也无法利用它来做恶。

更多关于 Manta 可信设置的介绍，请参考：

https://docs.manta.network/cn/docs/concepts/TrustedSetup

Manta 在零知识证明技术上的专业和专注

OneBlock：在近期的 ZK House 活动中， Manta 团队是以 p0xeidon labs 的全新面貌跟大家见面，p0xeidon labs 和 Manta 之间的关系是怎样的？二者有着什么不同的使命？

Shumo：Manta 是一个项目（Project）， p0xeidon labs 相当于是 Manta 的开发实体，支持 Manta 的运作，接下来还有更多的开发，包括 SDK、Manta API；我们也会做一些更长期的调研与研究，比如说我们做了一个新的研究项目——p0xeidonVM，专注于怎么做 programable privacy（可编程隐私）的研究。

OneBlock：零知识证明技术是相对来说比较新的一项技术，最近一年在 Web3 的讨论才逐渐多起来，Manta 为何在创立之处就坚定选择了零知识证明技术，而非 TEE 等其它隐私技术作为技术方案？可以分享下当初是如何考虑的吗？

Shumo：大家都知道技术发展是有一个时间线的，从不成熟到成熟的过程。我个人从 2018 年的时候就开始关注零知识证明了，2019 年对我来说是一个很重要的一个转折点，当时我在 Algorand 做 research scientist，Algorand 有着业界最强的密码学团队，创始人是图灵奖得主、麻省理工学院教授 Silvio Micali，他同时也是零知识证明的发明人。不为人知的是 Algorand 当时还有全同态加密的发明者 Craig Gentry，团队有非常强的密码学氛围，大家在交流时都认为零知识证明是以后的趋势。

离开 Algorand 之后，我去了加州大学圣塔芭芭拉分校出任助理教授，研究方向是零知识证明的编译器，所以说在创办 Manta 之前我就一直在做零知识证明相关的事。

Manta 之所以从一开始就坚定看好并选择零知识证明技术，是因为从大的趋势上来讲，整个社会都在朝着去信任化的方向发展，而整个区块链系统就是在解决信任问题。目前零知识证明有两个大的应用方向，第一个是 rollup，对交易做打包提供证明来验证，第二个是隐私保护，目前主要的隐私技术有零知识证明和可信执行环境（TEE），但我们认为可信执行环境不太适合在去中心化的环境实现隐私，可行执行环境并不能从根本上解决隐私的问题。长远地看，零知识证明让链上密文交易转变为现实，是链上隐私唯一的解决方案。

OneBlock：目前零知识证明技术下面有哪些细分的技术分支？Manta 的技术方案在 ZKP 的基础上是如何进行创新的？

Shumo：现在零知识证明的应用已经非常广泛了。如果你两年前问我这个问题，我可能会回答你 zk-SNARK、zk-STARK ，但现在零知识证明具体的技术开发已经很模块化了，zk-SNARK、zk-STARK 只是换一个多项式承诺。

从零知识证明系统的角度来讲，基本上是有 zk-SNARK 和 zk-STARK 的区别，zk-STARK 的话它的 proven performance比较好，但是零知识证明的体积比较大，上链的数据比较大，验证费用会稍微昂贵一点；另一个区别是 zk-STARK 不依赖初始可信设置，zk-SNARK 需要初始可信设置。

从零知识证明的具体应用角度来讲，目前基本上有三种主流的应用，第一种是隐私；第二种是压缩计算（compressing computation），就是把应该上链的计算转移到链下，用的比较多的是在 ZK Rollup上，比如有专注于应用的 ZK Rollup，像 Immutable X、ZKsync V1，也有这种 EVM 的 ZK Rollup，像 Polygon ZK EVM、Scroll、ZKsync V2。

第三种，既不是做隐私也不算做扩容，而是去论证一个东西。举个例子，比如说 ChainLink 最近做的 DECO，可以在链上证明你在链下的状态，比如银行账户的余额。现在也兴起了不少零知识证明的应用，比如匿名社交、匿名投票等，我觉得应用的空间还是比较广阔的，这三种应用从我的角度上来看都在朝着更好的方向发展。

关于 Manta 在 ZKP 基础上的创新，前面提到了 Manta 和 ZCash 在产品层面的不同，从性能角度来说，Manta 重新设计了很多隐私协议的实现细节，使用了对零知识证明更友好的哈奇函数—— POseidon hash 让整个密码学协议更 streamline，在经典的隐私技术如椭圆曲线密码术（FH-ECC）算法等的基础上进行了优化和升级，目前零知识证明生成的速度比 Zcash 要快 10 倍。

在 Web3开放的世界，用户的需求也开始多元化。Zcash 等早期隐私项目，仅支持单一资产的隐私协议，满足不了用户差异化的需求。Manta 的多资产隐私协议让 Web3 世界的未来有了更多的可能，在编程上有更广泛的应用空间，比如隐私 NFT、隐私社交、具有可编程性的隐私等等。

OneBlock：像以太坊基金会、0xPARC 等非常多的海外学术科研机构都在密切关注零知识证明技术的发展，作为业内顶级的密码学专家，Shumo 在海外 Web3 学术界也非常活跃，可以分享下自己以及这些海外学术机构近期关注的重点吗？或者最新的零知识证明研究方向？

Shumo：以太坊基金会里面有一个分支叫 PSE（privacy and scaling exploration），这个子机构规模人数近 70人，不管是在零知识证明基础设施上，还是隐私应用的基础设施和编程层的基础设施上，他们都做了非常多的探索和基础设施的工作。Manta 最近也和他们交流比较多，寻找一起合作的机会。

我们有兴趣去合作的一个方向是，他们做的一个服务于 ZK 应用的 ZKOPRU，这和我们赋能更多 zk 应用的方向是不谋而合的，此外他们也在做一些 tooling（工具） 相关的事情。

提到海外学术科研机构都在密切关注的重点，我们最近在以太坊的 Devcon 上发现，基本上 20% 的话题（topics）都是关于 ZK 的，而这 20% 的话题中有超过 50% 其实是讲各种新型的 zk 应用。

我们可以看到零知识证明的应用越来越多了。有的是跟 Web2 的产品相结合，比如跟推特，举个例子，你在线下参会的时候，可以通过扫描一个二维码在推特上匿名吐槽，这个就是基于零知识证明和链上身份的一个产品；也有不跟 Web2 产品相结合的 Web3 的应用，这个是我们最近看到比较有意思的点。

零知识证明的现状与未来

OneBlock：零知识技术目前在应用层面处于哪个阶段？为什么开发难度如此之高？零知识证明走向普及都有哪些难点？

Shumo：这是一个很有意思的问题。我觉得开发难度高有两个原因，第一个原因是这个东西本身难度就很高，因为用零知识证明开发并不是开发一个程序，后者可以用各种编程语言，我们在跟很多开发者聊的过程中的发现，他们欠缺的不是怎么使用零知识证明的各种工具，因为零知识证明开发本质上是在开发一个新的密码学协议，就是所谓的 programable privacy（可编程隐私），不管零知识证明技术如何发展，这个难度也还是存在的。

对零知识证明感兴趣的小伙伴，最好先去学一些基础的密码学，不然有可能出现这样的情况：你用零知识证明的一些编程语言写了一个零知识证明电路，但是那个电路本身是不安全的。

另外，零知识证明的工具链还在一个发展的过程中，虽然过去三年发展好很多，但还是在比较早期的阶段，Manta 也一直在关注并探索更好的解决方案。

目前我们的一个想法是想要让大部分的应用开发者不需要写零知识证明的代码也能配置隐私选项。Manta 正在做的事情是构建一个零知识证明中间层，以便大部分应用的开发者可以通过调用 Manta API，就能直接用我们写好的零知识证明中间层。

OneBlock：在 Manta 看来，零知识证明最适用的隐私场景有哪些？有人称 DID 是零知识证明的第一个应用试验场，对此您如何看？

Shumo：零知识证明的应用已经跑了快 10 年了，零知识证明的第一个应用试验场当然是 ZCash。现在也有很多零知识证明的用例，包括像 LoopRing、zkSync V1、Immutable X。

DID 当然是一个很好的零知识证明应用了，但是我觉得零知识证明应用非常广阔，不光是 DID， 任何需要链上隐私的应用就需要零知识证明。以后的趋势是所有的应用都会用到零知识证明，隐私会作为一项功能被整合到基础设施中而不是作为一个单独的应用。

OneBlock：前段时间的 Tornado Cash 事件也引起了关于链上隐私的热议，您如何看待隐私在未来 Web3 行业的趋势？隐私跟合规是否能够共存？

Shumo：我认为，链上隐私的未来有三个方向，第一个是为普通用户提供更好的产品，而不只是黑客；第二个是更多隐私杀手级应用，比如 DeFi、NFT、DAO 工具、互动链上游戏；第三个是需要构建更好的工具来让加密资产发行方定制不同的资产政策，包括合规等。

Web3 隐私的未来需要结合以上所提到的所有方向，这也是我们团队正在努力的方向。

关于隐私和合规的关系，一个可能的方向是使用零知识证明来解决合规和用户的主权隐私之间所存在的矛盾。我们最近发布的全新资产类型 zkAssets 就支持可定制的资产政策，比如 KYC 规则、访问权限，是否将黑客资产列入黑名单。同时，在资产持有人许可下，zkAssets 支持披露可证明的资产信息。具体来说，持有者可向审计者披露资产交易历史，而不必披露花费密钥（Spending Secret)。持有者也可有选择性地披露可通过ZK进行验证的资产信息。

相比现有的加密资产，zkAssets 给资产持有者带来了隐私，同时，让审计者和监管合规选项易于实现。

Manta 对开发者如是说

OneBlock：我们关注到 Manta 除了完成 Manta Network 各种紧急开发任务的同时，还将一部分资源和时间投入到 ZK 领域的整体发展上，比如发布了开源零知识证明（ZK）库 OpenZL 倡议，方便介绍一下这个开发库的作用吗？

Shumo：我们现在着重在做零知识证明基础库，其实有很多的技术难点。要做一个库，首先解决一个问题就是库是给上游的开发者，要和其它的 API 来结合到一起来工作，这就涉及到零知识证明电路可组合性的问题；我们是用了 CP-SNARK ，这是一个全新的东西，在 19 年一篇关于 Legosnark 的文章有提及，目前我们内部第一个 CP-SNARK 库已经跑通了，正在做一些库的开发工作，这对于零知识证明开发来说是个 game-changer。当然从做一个开发者的库，到形成开发者生态，还是需要相对较长的时间。但是我们希望过两三个月，我们就可以把这个库的初始版本推给开发者来使用。

我们的零知识证明基础库想要解决的核心问题是，把零知识证明电路原子化，也就是说把它拆散成很多个原子化块，以方便应用开发者在上层把这些块给组合起来。

这个库是基于 OpenZL 的核心技术来做的，但我们会在这个基础上做一些对开发者更为友好的改进。

OneBlock：我们社区很多成员都是开发者或者开发爱好者，对一些感兴趣想学 ZK 技术的开发者，Shumo 有什么建议和经验？

Shumo：首先，大家要明确自己学习 ZK 的目的是什么。ZK 的技术栈很深，明确目的更有效率。第二点是如果大家想做 ZK 专家的话，那么就需要从基础的密码学内容学起。年轻一代的密码学家都是看一些比如斯坦福大学教授 Dan Boneh 的公开课开始学的，因为那就是密码学最基础的一些东西。

第二个就是可以去看 Github 上开源的库，实际用起来我觉得基本上就是这两个方面。一个是说你能让学习就从密码学最基础的这些直接开始学习。第二个实践上就是把这个程序开始写起来。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、CoinFund、 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

We're Hiring! 访问查看开放职位：https://jobs.lever.co/MantaNetwork

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/

Github:https://github.com/Manta-Network

Twitter:https://twitter.com/MantaNetwork

Medium:https://mantanetwork.medium.co

Telegram:https://t.me/mantanetwork

Discord：https://discord.gg/ZtSuSKRy8X

Telegram中文：https://t.me/mantanetwork_zh

Twitter中文：https://twitter.com/manta_china

原文链接：https://decrypt.co/113062/polkadot-privacy-project-manta-network-eyes-crypto-largest-trusted-setup-ever

Manta Network 开发团队 p0xeidon labs 宣布隐私支付产品 MantaPay 上线前的可信设置仪式（Trusted Setup Ceremony）已有超过5000名来自全球133个国家的用户参与注册，即将成为 Web3史上规模最大、分布最广的可信设置仪式。

MantaPay 基于 zkSNARK 构建，可以允许用户将其它波卡或 Kusama 平行链资产进行隐私化。

可信设置是 Web3行业中非常独特的一项仪式，用于保证基于零知识证明基础设施的安全性。零知识证明是 Manta Network 为所有加密资产提供隐私化，实现成为整个 Web3隐私层愿景的核心。零知识证明在不提供任何个人信息的情况下保证交易的有效性。

Manta Network 联合创始人 Kenny Li 表示，“社区成员对于参与可信设置仪式的热情非常高，我们目前收到了约5000份注册，这也说明了社区正在逐步意识到隐私对 Web3的重要性。”

对于 Manta 来说，可信设置仪式可用于帮助生成 Manta/Calamari 网络上创建交易所必需的证明者和验证者密钥。这些密钥计算过程会产生一些“有害废料”（toxic waste ），这部分必须被清理掉。

“有毒废料可以是一串秘密数字，可以被拿来创建假的零知识证明。任何人只要掌握了这些数字就可以凭空创造出代币。”p0xeidon labs 密码学工程师 Todd 这样告诉 Decrypt。

“可信设置仪式是为了将废料分成数千份，每一位参与者都可以拿到一部分，如果你将自己的那份破坏掉，就没有攻击者可以利用有毒废料。”

Trusted setups 可信设置

Web3行业中最有名的可信设置仪式于2016年由 Zcash 举办，这也是零知识证明在行业内的首次实践，知名社会运动人士爱德华斯诺登也参与其中。

2021年，隐私公链 Aleo 的可信设置仪式吸引了1000人参与。

此前，业内最大的可信设置仪式来自于 Tornado Cash。2020年，有1114人参与其中。

以太坊联合创始人 Vitalik Buterin 今年早些时候表示，可信设置的参与人数越多越好，“176位参与者比只有6位参与者好，2000名参与者更好。”

Manta Network 之所以可以创下可信设置参与人数的纪录的另外一个主要原因是较低的参与门槛，“我们对于硬件没有什么要求，因为零知识证明本身和硬件无关，我们支持包括 Ubuntu Linux, Apple 和 Windows OS 在内的各种主流操作系统。” Kenny 表示。** **

“注册过程只需要简单几步，如果你可以成功进行注册，那后面的贡献部分对你来说也会很简单。”

隐私是 Web3的核心价值

用户隐私是 Manta Network 的核心。一位可信设置的注册用户这样说到，“Web3走在新技术的前沿，而隐私则是 Web3的重要基础设置。我自己对于个人信息，尤其是财产信息的保护非常重视。而可信设置让我可以为我坚信的未来做出一点贡献。”

任何参与 Manta Network 可信设置仪式的成员都可获得一枚 NFT，以及 discord 中的特殊角色。

Kenny 表示，“隐私不仅仅是关于转账，而是所有和链上身份相关的方面：你交互的每个应用，用过的每个钱包，你在链上的每个数据都是永久和公开的，没有隐私解决方案，区块链就会成为一个巨大的监管工具。”

更多关于可信设置的内容请参考：

https://docs.manta.network/cn/docs/guides/TrustedSetup

可信设置教程：

https://mirror.xyz/godotsancho.eth/hagW8F-HsP6k_JkozbQPXL54KbhyFARdNqvXDdprr-4

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、Multicoin、CoinFund、 Alameda、DeFiance 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

We're Hiring! 访问查看开放职位：https://jobs.lever.co/MantaNetwork

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/

Github:https://github.com/Manta-Network

Twitter:https://twitter.com/MantaNetwork

Medium:https://mantanetwork.medium.co

Telegram:https://t.me/mantanetwork

Discord：https://discord.gg/ZtSuSKRy8X

Telegram中文：https://t.me/mantanetwork_zh

Twitter中文：https://twitter.com/manta_china

Kenny（Manta Network 核心贡献者）:

大家好，欢迎大家，这是 Manta Tech 系列讲座的第二期。上周 Adam 和我们聊了共识协议。今天 Todd 将跟我们分享零知识证明的知识。

Todd（Manta Network 密码学工程师）:

感谢大家来听今天的讲座。我是 Todd，Manta Network 的密码学工程师，在加入 Manta 之前，我拿到了数学的 PHD，然后对 Web3 以及其与数学的融合产生了浓厚的兴趣，而零知识证明正是数学可以在 Web3领域能做的最酷的事之一。请大家不要担心，我今天讲的内容不需要有数学方面的背景。我认为你只要保持好奇，认真听讲，就完全可以理解。我今天要讲的话题是《SNARKs, ZKPs 以及那些国家安全局（NSA）不想你知道的事》。

今天讲座的目的是向大家解释什么是 zkSNARKs，它大概是什么以及我们可以用它来做什么，Manta 又用它在做什么。zkSNARK 是一个英文缩写，我们先来看看它代表了什么。ZK 代表了零知识。S 代表简洁性，N 代表非交互性，ARK 是指知识论证。所以，zkSNARK 的全称是简洁非交互式零知识证明。这个词听起来很复杂也绕口，而且也没能解释它到底是什么。你的第一反应可能是会去查找字典，看看书里关于 zkSNARK 是怎么说的。如果这样，你很可能会发现一大堆没有什么帮助而且晦涩难懂的公式术语。而我今天想要做的是通过一个小故事来对 zkSNARK 进行基本的解释。我这里有个小故事，我会用它来演示到底什么是 zkSNARK。

演示本身不会很长，所以我会留足够的时间来回答大家的问题，如果你有问题，请尽管留言，我会在后面给大家解答。

这是发生在新冠毅清疫情封控期间的一个故事。大家都很崩溃，我也不例外，于是我找到了一种在家自我消解的方式——三阶魔方。我记得小时候非常想要破解三阶魔方，但是一直没有找到正确的方法。于是，疫情期间我在家又重新拾起了魔方，想要再次尝试找到破解的办法，甚至都无心工作了。因为这对我来说已经成了一种执念：我一定要找到破解它的方法！而最好的办法是找一个人来教我。

于是，我在网上发布了一条帖子，寻找三阶魔方教练。只要有人可以教我正确解开魔方的方法，我就会付给他100美元。很快，也就是几分钟后，我的信箱里就收到了各种人的回复说他们肯定可以教会我。于是我从中挑选了一个看起来最厉害的人。因为是在疫情期间，我们不能线下见面，只能通过 zoom 来进行线上教学。于是对方说，你先付给我钱，我们就可以开始教学了。我当时有些天真，直接就把100美元转给了对方。而当我们开始 zoom 会议的时候我才发现他们根本就不懂怎么玩三阶魔方。但是又能怪谁呢？这其实是我自己的问题，我不应该在没有确定他们有解决方法的时候就贸然把100美金转过去。事已至此我也没有办法，只能接受事实。这对于我来说是很重要的一课，接下来我要继续寻找魔方教练，但在付款前需要确认他们真的知道破解方法。

问题是，并没有什么政府机构来对魔方教练进行监管，也没有大学会颁发解决魔方的证书。我自己必须想到一个办法可以验证他们真正懂得如何破解魔方。再次之前，我们先来介绍一些零知识证明术语，可以方便大家更好地理解这个故事。

我现在需要的是找到一种方法，让人们说服我相信他们有能力解决三阶魔方。这也是每个 zkSNARK 中都存在的——一段需要被证明的声明。在这个例子中，这个声明是“我可以破解三阶魔方”。

zkSNARK 中存在两方——证明者和验证者。证明者就是那个想要证明一段声明的人，在这个例子中，也就是要说服我相信他可以破解三阶魔方的那个人。而我就是验证者，需要被说服或者验证这个证明是否可信的人。然后有一个协议，协议中包括证明者来创建他们的证明以及验证者来验证该证明是否有效的一系列步骤。我刚刚讲这些名词，是因为不管什么时候你听到 zkSNARKs，总会有这四个组成部分——声明、证明者、验证者以及协议。

我们现在回到三阶魔方的故事上来，我会举两个坏协议的例子。第一个：我把在网上的寻募启示改了一下，我说要花100美元来寻找一名魔方教练，但在付款之前，你必须要先发给我一段你玩魔方并能完整拼好的视频，这个视频就成了证明，我观看视频就是验证的过程，通过视频来判断是否真实。

我自我感觉这个协议相当不错。后来就收到了一封邮件，那个人说他自己可以做我的魔方教练，但是并不能发给我视频，因为他认为我一旦看完了视频就可以从中学习到如何拼魔方。确实，如果有个人发给我视频，我会从视频里学到一些拼魔方的技巧，甚至会学会如何完全破解魔方问题。如果你是那个想要出售知识的教练，他的话确实是有道理的。能够证明你拥有某项知识的证明不能透露你想要出售的知识本身。如果我已经掌握了一部分知识，为什么还要再付钱给你呢？是的，他说的确实有道理，而且指出了这个协议中的一个漏洞——这个证明本身泄露了很多知识，因此不具有我们所说的“零知识”的特性。

于是我跟那个人说，那你有何建议呢？你怎么能在证明自己可以破解魔方同时又不透露太多关于过程的信息呢？他回答说，自己可以在视频前打乱魔方，然后将手从镜头上拿开，直到解开魔方，最后向你展示最终拼好的魔方。这样我既知道他懂如何破解魔方，也看不到具体是怎么做到的。

我说ok，这看起来挺有道理的。于是他发给我一个视频，我看过后觉得没问题就转给了他100美金，并开始了我们的魔方培训。但不幸的是，我又一次上当了，这个人也根本不懂如何破解魔方。我思考了一下，他是在视频前打乱了魔方，但当他把手从镜头中移开的时候，只是换了一个已经被拼好的魔方而已，然后给我展示了出来。

尽管这个证明是零知识的，实际上并不可信。我真是太蠢了，竟然会上当。在我们谈论证明或知识论证时存在一个基本的矛盾，那就是它必须是可信的。论证本身必须给出很多可信的信息，比如他演示从开始破解魔方到结束的整个过程，但这又透露太多信息了。另外一个极端的例子是对方一点信息都不透露，但是这又一点不具有可信性。

这就是现在我们所面临的两难困境，我们想要找到一项协议既具有零知识特性——通过观看视频，我从中不会得到破解魔方的任何信息，但这个证明同时又具有可信性——一个不懂如何破解魔方的人给不出这样的证明。这样就更加困难了，很长一段时间里，我都担心自己永远学不会怎么破解魔方了，因为这看起来无解，我只会不断被骗。

直到有一天，我忽然想到一个解决办法。什么人才能称得上一个真正的魔方达人呢？我意识到，一个真正的魔方达人并不是那个可以把打乱的魔方按照经典的方式来拼成每面同色样子的人，而是可以拼成我指定的任何样子的人。

意识到这点后，我想到了一个新的协议。首先，我先把魔方打乱，将6面都拍照发帖。在帖子中我提出，必须要把魔方拼成图中的这个样子，如果你可以做到并发给我照片，那我就会付你100美元来做我的魔方教练。

在这个协议中，被我打乱的魔方就是一个挑战。如果有人能把魔方拼成一样并拍照发我，这就是一个证明。验证的过程是自己通过检查他们的图片是否符合条件。如果你想想我打乱魔方有多少可能性，那么就知道这样是具有可信性的。

因为打乱魔方的方法可能会有百亿亿种，因此如果对方并不是真的知道如何解决魔方，那么他将魔方拼成我想要的样子的可能性就非常低，仅仅靠运气是很难的。

所以，如果你能把魔方拼成和我一样，那一定是因为你真的很懂魔方。这就是我最后想出的办法，我准备把它发到网上，如果这次还不成功就算了，毕竟之前我已经浪费了200美元。

幸运的是，这次一切都很顺利，我收到的回复很恨少，毕竟这种方式要比传统的拼魔方要更难。从一个随机的样子拼成另外一个随机的样子要比单纯的拼魔方难多了。

但是如果你真的想要做我的魔方教练，赚这100美元，我这样对魔方技能的要求其实也是合理的。当然最后，我确实找到了一位很出色的魔方教练，他教会了我所有拼魔方的技能。其实，这个故事挺傻的，当然不是真的。这个故事只是为了解释零知识证明，尤其是 zkSNARK。因此我描述的是对于寻找魔方教练难题的一个 zkSNARK，当然，这并不是一个真实存在的难题。

那么我们现在为何不来想想现实生活中真正存在哪些问题呢？比如在区块链上，我们想要用在区块链上的 SNARK 会有什么样的条件？哪种协议才是有用的？让我们暂且忘记寻找魔方教练这回事，来找点真正有用的场景吧。

要我说，首先第一个很明显的条件是简洁性，简洁性意味着证明本身应该很小，验证的过程应该很快。在我举的例子中，证明就是几张我随机选择的魔方六面图。几张图片来说数据并不大，而且验证的过程也比较快，我只需要肉眼检查一下魔方的每一面就可以。因此，这可以说是一个具有简洁性的协议。

为什么对于一个区块链应用来说，简洁性很重要呢？因为证明需要提交上链，而数据上链是很贵的，所以我们需要这个证明可以尽可能的小，我们提交上链的数据越少越好，这样验证时间就可以变快。区块链需要自己验证，而验证的成本也是高昂的，要么就需要花费更长的验证时间，要么就是花费更高的 gas 费。不管是那种形式的简洁性对于区块链来说都是很重要的。关于 zkSNARK 的另外一点是非交互性，我之前提到过 N 代表非交互性。首先，我来解释下什么是交互。

在魔方的例子里，实际上并不是 SNARK，因为它是具有交互性的，我自己拍下了打乱后魔方的样子，然后对外发送了一条关于挑战本身的信息。别人看到后也会把可以证明自己的信息回复给我。这样我们就做到了双向信息互通，也就是一个交互性的证明体系。但在区块链中，我们并不希望这样，因为验证者不是像我一样的人，而是区块链本身。所以我们只需要将信息发送给区块链，然后并不需要区块链再回复你。所以如果验证者是区块链的这种情况，我们需要一个非交互的系统。之前我举的例子是一个交互性的例子，但是没关系，我们继续来看区块链以及零知识区块链应用里会发生的各种情况。

我们现在来说说在你可能会感兴趣的链上应用中的各种声明。我刚刚举了几个例子。比如，你可能会想要证明是某些代币（1ETH等）的所有者，或者你可能需要证明自己是某些 DAO 的成员、某个国家的公民、某所大学的毕业生，等等，或者你还想证明自己验证过一批交易，而这也是 zkRollups 的第一步。

在 zkRollups 中，交易是由某些成员在链下进行的，产生一个 zkSNARK 证明来做验证，验证成功后将证明上链，这样区块链验证的就是证明本身，而非验证交易。这是一个非常简单的 zkRollup 的版本，这里我就不深入展开了，因为 Manta Network 并不是做 zkRollup 的，这里我希望更多聊下我们所做的事——隐私支付协议。

MantaPay 能够允许用户进行隐私支付。隐私支付这里指的是，你可以通过区块链发送代币，但是发送地址、接收地址、代币类型和代币数量都是隐私的。而其他人通过区块链的公开账本也看不到这笔交易的这些信息。我们是怎么做到的呢？这里有一幅卡通图可以大概演示一下，实际中要比这复杂很多，但是你看了这幅图后还是可以理解大部分。这里是一个很大的桶，桶里面装满了一些纸片，这些纸片就代表了我们所说的 UTXO，你可能听过这个词，它是指未花费的转账输出，也就是标明一种资产（比如1ETH）以及资产所有者（比如我）。而这一桶 UTXO 和另外一桶比特币的 UTXO 有什么区别呢？区别就在于这一桶中的所有 UTXO 都是加密的。如果你看这一桶比特币的 UTXO，你可以看到资产数额以及公共地址的所有者。但是对于隐私支付协议来说，你随便捡起一张纸条是看不到这些信息的，因为它们都是加密的，除非你自己就是所有者本人。你也不知道如何对其进行解密或者从这些 UTXO 中获得其它有用的信息。

现在有这样一桶纸条，而我们想要做的是向一位朋友进行转账。这意味着什么呢？意味着我在桶中放入一个属于他的 UTXO，只有这样我才能向他转账。假如我欠朋友1ETH, 我需要做的就是创建一个等值的 UTXO，所有者是我的朋友，资产就是我所欠他的金额。

现在你需要走近这个桶，把加密的 UTXO 放入桶中，但在这之前，我们需要向区块链提交一个证明，这里就用到 zkSNARK 了，可以用来证明以下的声明。

声明中有4点：你想证明的是我拥有这些 UTXO 中的一个；我还没花过这个 UTXO；这个 UTXO 和我所创建的新 UTXO有同样的价值；我创建这个新的 UTXO 是基于某些规则。用演示最初我展示的那些复杂的数学公式，这四则声明组成了一个声明。我们会有一些协议来帮你生成声明证明，这里我只是简化了。声明的生成过程会用到很多数学知识，但原理就是你创建一个证明，当你把 UTXO 放进桶中来向你朋友转账时，你同时需要向 Manta Network 区块链出示这个证明。然后区块链账本将就你的证明进行验证，只有证明在被验证为有效时才会接受这个 UTXO。

如果这个证明是有效的，你就可以把这个 UTXO 放进桶中，这个 UTXO 上有你朋友的名字以及一些资产，现在你朋友就是这个 UTXO 的所有者了，这部分资产尚未花费，未来他也用这个 UTXO 来给他人付款，他也可以创建一个证明来发生支付行为。

支付就是这样产生的，一个人来创建交易，提交该交易有效的证明，然后把 UTXO 放入“桶中”。单纯这样说可能很难理解，这里我想强调的是这其中所有的过程中都很好地保证了隐私。

这个声明的第一部分是我拥有桶中的其中一个 UTXO，“其中一个”是很重要的。因为在我的证明中，正如魔方教练不想向我展示如何破解魔方一样，我也不想告诉验证者哪一个 UTXO 属于我。如果我告诉他们哪个自己要花费的 UTXO，那么他们可以通过它追溯到我之前的交易，我就没有了隐私。

所以，聪明之处就在于我们不说哪个 UTXO 属于自己，只是证明桶里面有一个 UTXO 是属于我的。另外，你还需要证明你没有花费过，很明显这是为了防止双花，否则当人们从朋友那收到款后，他们可以把同样的钱转给两位朋友，这样会凭空创造出没有的钱。因此，证明这个 UTXO 没有被花费过就很重要。

关于不能无中生有这点，你必须要证明 UTXO 中的价值是匹配的，你并没有创造不属于你的价值。最后一点，根据某些规则来创建新的 UTXO，你需要证明你遵守了协议加密体系，因为这些 UTXO 是加密的，这就比较复杂了，总之是为了保证你的确进行了加密，这样 UTXO 才是可花费的。

如果我们都这样做，就可以实现隐私。我需要提醒的是，链上的信息是交易有效性的证明，而不是交易的隐私信息。因此，Manta Network 可以用 zkSNARK 来进行隐私交易。这么短的时间里讲了这么多，我希望以上内容能对大家有所启发。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、Multicoin、CoinFund、 Alameda、DeFiance 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

We're Hiring! 访问查看开放职位：https://jobs.lever.co/MantaNetwork

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/

Github:https://github.com/Manta-Network

Twitter:https://twitter.com/MantaNetwork

Medium:https://mantanetwork.medium.co

Telegram:https://t.me/mantanetwork

Discord：https://discord.gg/ZtSuSKRy8X

Telegram中文：https://t.me/mantanetwork_zh

Twitter中文：https://twitter.com/manta_china

https://mirror.xyz/0xeB125d270FC135DDD3CC8E1C466873a4f37682d5/HFiEPgMhYDGMFsduFlXuLBL1p2vs1FQk-m0wlWLdUDw

本系列将试图用通俗的举例和语言，帮助大家理解复杂概念。本系列非学术论述，举例只为帮助大家通俗理解，更严谨的表述，欢迎大家查看专业论文学习。

上篇文章，我们从数独游戏开始，介绍零知识证明。 奇异博士在不告诉绿巨人解法的前提下，证明了数独游戏有解。 绿巨人回到家，辗转难眠，第二天对奇异博士说，“这个零知识证明很有意思啊，现在直播这么火，我们为什么不开个视频直播呢？”

奇异博士想了想，有道理啊。

于是，两人在某音平台直播。 他们还拉上了好朋友钢铁侠。奇异博士、绿巨人负责直播，钢铁侠负责运营。新奇的解法，很快吸引了一大群粉丝。

但某次直播开始前，奇异博士把“解法”弄丢了。他赶紧告诉绿巨人，直播开始后，按照自己偷偷暗示的方式进行验证。 一旁的钢铁侠目睹全过程，大失所望。

非交互式证明 (Non-interactive Proofs)

几天后，钢铁侠带着一台机器来找奇异博士和绿巨人。

这是一台自动验证数独的机器。只要把卡牌摆在传送带上，机器会随机按照某种方式验证奇异博士提供的解法是否正确。

钢铁侠当着奇异博士和绿巨人的面，完成最后的编程工作，让机器生产随机数，这样所有人都不知道机器会用哪种方式验证了。然后，他把面板焊死。

就这样，机器会随机选择，是按照列，还是行，亦或是33方格来验证。

奇异博士和绿巨人就无法作弊了。

小结 1/ 交互式零知识证明（Interactive Zero-Knowledge Proof）和非交互式零知识证明（Non-Interactive Zero-Knowledge Proof）* *

回想下，奇异博士与绿巨人刚开始的验证过程。奇异博士一遍一遍地摆牌，放入纸袋中，让绿巨人验证。 注意是“一遍一遍地”，一会按列把卡牌放入纸袋，一会又按行，一会又按33方格。

两人按照不同的验证方式，持续交互。这个过程叫交互式证明。

问题在于，万一奇异博士与绿巨人串通好，只按行验证呢？这就会出现作弊情况。

于是，钢铁侠在目睹奇异博士、绿巨人串通作弊后，发明了机器，让大家按照第三方程序随机验证，防止了奇异博士和绿巨人串通。

只要将卡牌放到传送带上，机器就可以直接验证该数独是否有解。这个过程叫非交互式证明。 平时比较常见的 zk-SNARK，zk-STARK 都属于非交互式证明。

但，新问题来了，如果程序由钢铁侠编写，这下奇异博士和绿巨人没法作弊了，但钢铁侠自己呢，万一他作弊怎么办？

所以，非交互式证明的关键在于，如何保障验证程序的不受任何人控制。于是，就有了可信设置（Trusted Setup）。

2/ 模拟器与可信设置

钢铁侠发明的，可自动验证数独的机器，在零知识证明中，称为模拟器（Simulator）。

机器内部生成随机数，选择验证方式，相当于模拟器的随机预言（Random Oracle）、公共参考串（Common Reference String、CRS）。

而钢铁侠输入初始程序的过程，类似可信设置（Trusted Setup）。

但是，等等。如果程序是钢铁侠设计的，他不就知道算法规律了？那他岂不是可以作弊？ 幸好有种方式，叫安全多方计算（MPC）。

大概可以理解成，奇异博士、绿巨人、钢铁侠每个人都输入一个数字，影响变量。输入之后，要把自己的数字隐藏起来，这样每个人都只能看到自己的那部分。

比如： 验证方式 Y = aX + bY + cZ + dA + …… Abcd由奇异博士、绿巨人、钢铁侠输入，每个人输入之后，用胶带把数字挡上。

他们还可以邀请成百上千个朋友，每个人都输入一个字符。点击运行。 只要其中有一个人是可信的，不透露自己的数字，那大家就无法还原算法，也就无法作弊了。

这也是为什么，可信设置发布对于零知识证明协议来说，是极其重要的。通常会有“仪式”。 在现实中的可信设置仪式中，项目方通常会邀请各个不同的人来设置，之后把电脑直接砸毁。

Zcash 进行可信设置时，搞了直播，还特意跑到了切尔诺贝利去。就是为了吸引大家关注，让所有人都相信 Zcash 自己是无法作弊的。

再梳理下。 安全多方计算，参与者都掌握一段信息，拼起来，就可以掌握验证算法规律。但只要其中有一个人销毁信息，就无法再恢复了。

所以，安全多方计算用于可信设置。 可信设置完成后，模拟器的验证结果将变得可靠。通过随机预言或公共参考串协助验证者和证明者完成验证。

在不透露信息的前提下，证明验证者手中信息为真的。

在本文，我们通俗地了解了交互式证明、非交互式证明、模拟器、可信设置、可信多方计算等概念，以及稍微接触到了 zk-SNACK 和 zk-STARK。 至此，我们已经通俗了解零知识证明的基本原理。 那么，zk-Rollup、zk-EVM、zk-SNACK、zk-STARK 到底都是什么，有什么关联，请继续关注该系列文章。

欢迎关注Manta Network Protocol 公众号，或关注推特@manta_china获取更多关于零知识证明和 Manta Network 的资讯。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、Multicoin、CoinFund、 Alameda、DeFiance 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

We're Hiring! 访问查看开放职位：https://jobs.lever.co/MantaNetwork

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/

Github:https://github.com/Manta-Network

Twitter:https://twitter.com/MantaNetwork

Medium:https://mantanetwork.medium.co

Telegram:https://t.me/mantanetwork

Discord：https://discord.gg/ZtSuSKRy8X

Telegram中文：https://t.me/mantanetwork_zh

Twitter中文：https://twitter.com/manta_china

对于隐私这样一个在传统互联网和 Web3中都备受关注的话题，斯诺登有怎样的观点？

斯诺登在主题演讲中表示，将个人身份完全与其数字足迹挂钩，本质上就是件错误的事情，我们生活在一个“裸奔的”数字时代。现如今，你几乎可以轻而易举地获得关于一个人所有的信息。从你的电话号码可以获知你的行为轨迹、信息和付款记录。谷歌每天都在“盯着”你的邮件，即便它选择不公开。

“数据搜集就像污染，可能要10年、20年、甚至50年后才能意识到其中危害，但彼时所带来的影响已经很难消弭。”

我们所面临的一个很重要的问题是：如何让大家都能重视隐私？如果你希望人们重视隐私，那么他们一定要看到不重视隐私所带来的结果。正如同光污染等带来的气候变化会让极端天气越来越常见，当人们看到后果越来越严重，对于解决方案的追寻也就变得自然而然。我们已经看到隐私问题的冰山一角，在接下来的数十年里，它将演变为一个巨大的灾难。

斯诺登表示，解决隐私问题需要开发者、基础设施提供者和政策制定者一起努力。

对于开发者来说，能做的就是同关心隐私的人们一起构建各种更好的工具，为全球隐私意识的觉醒提前做好准备。

同时，政策制定者们也许并不能完全理解他们的一些决策所带来的结果。我们应当通过各种努力让他们意识到系统所存在的问题，并提供一些其它的选项，用我们的主动积极来换取他们的更加开放。

斯诺登认为，将一些有保密协议的产品等同于隐私的想法是错误的。即便谷歌在协议中声明不会泄露你的邮件和信息，也不意味着它们就是隐私的，他们依然掌控着你所有的数据。

而真正的隐私是一个人有权掌控自己和自己所属之物，这也正是我们当前所缺失的。加密货币以及 Web3所涌现出来的各种工具最令人兴奋的就是我们可以从传统机构（不管是政府还是金融机构）中汲取教训，并将之应用到一个全新的领域，来创建真正安全隐私的产品。

在被问到是否愿意与各界人士一起加入隐私基础设施的建设时，斯诺登表示，自己并非一个合适的“建设者”。

“我可以分享自己的见解和思考，可以分享我的判断和价值观，但是我并不适合参与进来做一个隐私的工具，解决各种问题。我不希望自己的影响力盖过其他人。在座的各位（隐私项目方）已经做得很好了。”

正是在当天的活动中，Manta Network（p0xeidon labs）宣布联合 Nym、Secret Network（SCRT Labs）、ZCash 等多家 Web3 隐私协议发起通用隐私联盟 Universal Privacy Alliance（UPA），这也是 Tornado Cash 受制裁事件发生后，Web3世界为捍卫隐私所采取的重要措施。

UPA 将提供原生的隐私基础，为新技术发展提供所需的安全，同时也将设立法律辩护基金，以捍卫构建和使用全栈隐私工具的权力。

“与监管的磨合仍需要过程。而个人隐私正在成为每个人一生中需要关注的问题。作为一个联盟，我们能够在互相的支持下，朝着正确的方向发展。”Manta Network 联合创始人 Kenny 表示，“重要的是与监管、合规机构对话，并让人们意识到隐私的重要性”。

在圆桌论坛中，Zcash  SVP Josh Swihart 表示对于监管方相对乐观，“我们需要理解监管机构有自己的职责和义务，他们也需要借助一些工具来对付“坏人”。这就需要我们找到一个平衡，同政策制定者一起寻找折中的解决方案。”

Nym 联合创始人兼 CEO 表示，我们当前的基础设施依旧存在各种问题，并受到来自各方力量的“攻击”，而 UPA 的工作就是捍卫代码是一种言论的基本原则。“即便对很多人来说，代码只是少部分人才能看懂的数学公式，它依然应当受到保护，这也是我们的祖先数百年来所努力奋斗的目标：每个人都应该有言论自由。”

正因为如此，开发者不应当因开发隐私工具而受到惩罚，如果有类似 Tornado Cash 的情况发生，他们理应得到相应的法律支持和援助。

除此之外，针对隐私意识和产品的普及，Kenny 认为人们已经生活在一个便利大于隐私的世界，说服全球70亿人都重视隐私是一件很难的事。从开发者角度来说，在应用底层构建完善的隐私功能也许更容易推进隐私产品的采用。

Aztec 的 Jon Wu 也有同样的观点：“我们需要构建更广泛的隐私层，将隐私植入更多的产品，可以做到当人们在使用这些产品时没有太多感知的同时，还可以获得隐私，这样更容易推进隐私在整个社会层面的普及。

关于 ZK House

ZK House 的初衷是为 ZK 社区提供一个进行交流和相互合作的机会。10月10日-10月11日为期2天的波哥大线下活动吸引了超过500名观众的参与。未来，Manta Network 将持续举办 ZK House 活动，为 ZK 社区提供更好的交流空间。

Day1 活动总结 ：

https://twitter.com/manta_china/status/1579752560445263873

Day1活动回放链接：

https://www.crowdcast.io/e/zkhousebogota1

Day2活动回放链接：

与此同时，ZKP(零知识证明，Zero Knowledge Proof)代表项目Manta Network也在10-11日于波哥大举办了ZK House 。活动中，来自 Veridise、Ethereum Foundation、Manta Network的嘉宾就 L2 的 ZK 安全、基于 ZK 的可扩展性隐私、ZK 跨链、以及 ZK 电路等话题进行了深度分享。此外，爱德华·斯诺登（Edward Snowden）作为特别演讲嘉宾出席了活动，并宣布成立UPA隐私联盟，该联盟创始团队包括Manta、Aztec、NYM、Polygon和Zcash，将专注于隐私的解决方案。

隐私问题一直困扰着互联网用户，零知识证明提供了怎样的方案，目前是怎样的进展？带着这样的疑问，PANews采访了Manta Network的联合创始人Shumo，他详细讲解了零知识证明赛道的现状以及相关问题，并讲解了Manta给出的解决方案和对底层技术的优化。Manta Network是波卡首个链上隐私保护协议，基于零知识证明技术，致力于构建隐私的Web3。Manta Network诞生于2020年10月，获得 Polychain、ParaFi、Binance Labs、Alameda 等顶级投资机构的支持，经过近两年的发展已成为隐私赛道的实力选手。

Shumo是美国华盛顿大学博士，他在美国顶级学术期刊上发表了多篇论文，曾主导了Algorand的智能合约的研发，在区块链技术落地上有丰富的经验，更是业内顶级的密码学专家。

在采访中，Shumo透露，即将在11月底推出Kusama平行链上的第一版隐私支付产品MantaPay，接下来会有更多的隐私产品推出。而Manta Network在中短期内将会继续专注于Polkadot，但对于ETH和Cosmos等公链会保持关注，而对于Aptos则表示暂时不会考虑部署。关于社区比较关注的Manta Network主网上线时间等，Shumo表示鼓励更多的用户参与网络的安全建设，主网将会在2023年线，空投等社区激励计划会在主网即将上线的时间公布。

Shumo是一个长期主义者，北岛《时间的玫瑰》是他最喜欢的一本书。而在Manta Network另一位联合创始人Victor眼里，Shumo是真正想改变世界的人。他表示Shumo的长期主义的和求实的理念也深深扎根在Manta 发展过程中，“Manta 最终形态是Web3 生态的基础设施”。

以下为本次专访精选内容：

PANews:我们在公开资料里看到，您之前在美国学术期刊发表了很多论文，可以介绍下学术研究方向以及发表论文的情况吗？

Shumo：PhD就读于美国华盛顿大学，我的研究方向是数据化系统和形式化语言。我在美国顶级学术期刊SIGMOD, VLDB, and PLDI 等都发表过相关论文，主要是在美国计算机及程序语言的顶级会议上发表的。其中，2017年在SIGMOD上发表的关于形式化验证的Paper获得本次会议的最佳展示奖。

PANews:可否简单介绍下，您之前在Algorand负责什么？另外，相比于其他项目， ZKP 项目难在哪？需要具备哪些方面的专业知识？

Shumo：在Algorand我主要是主导智能合约平台的研发，并和麻省理工大学的教授合作处理核心的共识协议的相关工作。Algorand 智能合约代码编写几乎是我一个人独立完成的，在此过程中，我开始系统性地了解密码学，Algorand的工作经验是我开始构建密码学的重要一步。

零知识证明在最近的五年内才算真正的成熟，所以实际上是一个全新的东西，全面了解零知识证明本身是难度较大的。如果需要从根源上理解，首先是需要计算机教育背景的；其次需要把理论和工程结合，这个是非常有挑战难度的。

PANews:在开放及用户主导的Web3世界，隐私和共建是重要的发展方向。Manta Network 如何具体实现隐私的Web3 ？用户和开发者能用Manta做什么？

Shumo：Manta主要是用零知识证明系统的零知识属性来实现隐私的Web3。具体而言，我们改变了原有的大多数的链上的交易都是明文的现状，并从根本上实现链上的密文交易。Manta实现密文交易的原理是，用户在链上发密文交易时，同时发一个零知识证明，并通过零知识证明以验证这个交易的可信度，从而实现隐私保护。

Manta的第一个产品已经能在Polkadot生态中的隐私转账，包括DOT和Kusama在内的波卡生态代币都可以实现隐私的Token转账。当然，隐私转账只是最开始的一步，未来我们还有有更多的隐私产品落地，更多的功能也在持续开发中。

Manta 也会逐步发展隐私借贷以及隐私智能合约平台，支持开发者和社区在 Manta 上搭建基于零知识证明的隐私应用场景，例如隐私 NFT 平台、隐私借贷平台、soulbond token 等等。

PANews:现在主流的隐私技术有哪些？为什么Manta Network 选择了ZKP技术？或者说，ZKP能为现在的区块链行业，带来哪些变革？

Shumo：目前，主要的隐私技术有零知识证明和可信执行环境。但我们认为可信执行环境不太适合在去中心化的环境实现隐私，可行执行环境并不能从根本上解决隐私的问题。长远地看，零知识证明让链上密文交易转变为现实，零知识证明是链上隐私唯一的解决方案。

Manta选择零知识证明技术，也能满足Web3领域更广阔的需求。在Web3开放的世界，用户的比重需求也开始多元化。如Zcash等隐私的早期项目，仅支持单一资产的隐私协议满足不了差异化的需求。

Manta应运而生，Manta在经典的隐私技术如椭圆曲线密码术（FH-ECC）算法等的基础上进行了优化和升级，Manta的零知识证明生成的速度比Zcash快十倍。Manta的多资产隐私协议让Web3世界的未来有更多的可能，在编程上有更广泛的应用空间，比如可实现隐私的NFT、隐私的社交、可编程的隐私等等。

PANews:相比其他采用ZKP技术的隐私项目，Manta Network 的核心优势是什么？

Shumo：Manta是在2020年10月开始做的隐私方向的，是属于做的比较早的布局者。目前的隐私基本上都是采用零知识证明技术，从技术的角度而言Code都是开源的，也符合Web3的开放文化。在我们看来，ZKP技术本质上差异不是很大，关键要看产品体验、网络效应，把技术实现才是关键。

所以，我们认为我们有以下几点的差异化：

1、业内顶级的密码学团队，Manta 的创始团队由多位密码学领域的教授和学者组成，我们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 也是Polkadot官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

2、Manta 针对技术底层做了很多优化，比如我们做了业界最高效的hash函数，也就是专门针对零知识证明的hash函数。

3、Manta 的产品设计从第一性原理出发，通过zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。Manta 团队在协议本身上做了新的设计，反应到协议本身上就会体现出差异化，比如我们的Manta pay是业界最快的隐私支付协议。

此外，我们认为在客户端生成零知识证明，是零知识证明走向普及关键点。我们团队很早意识到这快，并就开始做这方面的研发。这也是今年上半年，Manta和其他Web3项目Mina Protocol 、Aztez 等合作的原因所在，我们希望看到更多隐私的落地场景。

PANews:近几年ZKP技术受到头部资本的追捧，但实际难度非常大。Manta Network 在落实ZKP技术方面做了哪些准备？目前已经取得了哪些进展？

Shumo：Web3世界里，技术代码都是开源的，技术之间都是互相学习和提高的过程，这也是Web3行业真正的护城河。

而对于Manta而言，真正的护城河是我们的团队。正如前面所说的，我们顶级的密码学团队让Manta在技术实现上更具有优势。不管是最底层的零知识证明的系统，亦或是中层的开发，我们团队都有这个实力把技术落地。

Manta发展至今，可以说已经是硕果累累了，我们隐私交易已超过16万笔。在这里我说几个近期的时间点：2021年10月，Manta发布了第一版测试网；2022年5月，Manta发布了第一版测试网，此版本优化了ZKP的生成速度和用户的体验。2022年10月底左右，我们会在Kusama上的平行链上上线第一版隐私支付产品MantaPay。MantaPay目前和两家审计公司合作代码审计，将支持Kusama上的所有主流币，下一步会有更多隐私产品的推出。

PANews:Calamari Network 是 Manta Network 的社区化先行网，Calamari Network 发展现状怎样？

Shumo：首先Calamari成功进行了波卡卡槽的拍卖，在这个过程中，我们发现市场对于隐私产品的需求是很高的。所以，Manta就成为Polkadot首个链上隐私保护项目。在此之后，我们进行了去中心化的Staking。截止至目前，Polkadot生态的项目除了Moonbeam，只有Manta可以实现去中心化的Staking。接下来，我们即将上线的隐私支付的产品MantaPay，相关代码已经在审计的过程中。

PANews:据了解，近期Manta Network 在准备可信设置（Trust Setup）仪式，什么是可信设置（Trust Setup）？它对Manta Network意味着什么？

Shumo：可信设置是我们生成零知识证明所需的基础设施的一部分。具体来说，它是用于帮助生成 Manta以及Calamari 网络上创建交易所必需的证明者和验证者密钥。这些密钥必须在启动隐私产品之前被计算（computed）出来，因此称为 "设置"。

可信设置是Manta往前发展的基石，可信设置的仪式将会产生用于支持 MantaPay 的证明或是验证密钥。这些密钥将被公开，我们也将使用其来在 Calamari/Manta 网络上部署 MantaPay 协议及更多的产品。

PANews:Manta Network此前已成功参与波卡首批平行链插槽拍卖，但当前波卡生态热度褪去，其MOVE语言生态热度较高，项目都流行多链背景。Manta Network是否会考虑部署到如Aptos等其他公链？如果会的话，主要是从哪几方面考虑？

Shumo：我们认为判断一条公链的Fundamental，第一要点是去中心化，第二要点是高性能和架构的合理性。从这两点来考虑Polkadot是非常不错的，此外，Polkadot也是一条可拓展的异构多链区块链。

相比较Aptos的新编程语言，我们认为这不足以支撑一条公链的Fundamental。从公链的演进历史上看，Aptos有些高性能是在牺牲去中心化的条件下实现。所以，我们暂时不会考虑部署到Aptos。所以，中短期之内我们还是专注于Polkadot。但如ETH等公链有新的发展，我们也会关注，如有和Manta契合的点我们是会考虑的。

我们的核心并不光是做隐私，我们的核心是做零知识证明应用的基础设施，希望更多的项目来Manta开发零知识证明的应用。

PANews:Manta Network 官方公布会在2023年上线主网，有具体的路线图吗？普通用户如何参与Manta Network ？主网上线后，是否会有社区激励计划？

Shumo：具体上线的时间应该在2023年的早期的时候，因为，我们希望上线之后给用户成熟的产品。我们希望所有的用户都可以来贡献网络的安全性，这也是在Polkadot生态比较独特的点。用户可选择运营节点的方式来参与，如没有合适的条件运营节点，也可以选择参与去中心化的质押。

Manta为去中心化而生，目前我们在先行网络Calamari 上运行的节点有35个，这些节点全部是社区驱动型的，分布在14个国家和地区。最后，关于空投等激励会在Manta主网快上线的时候，进一步公布。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的顾问包括 Hypersphere Ventures 联合创始人 Jack Platts，Polychain 合伙人 Tekin Salimi，前 Web3 基金会联合创始人 Ashley Tyson，Consensys 的 Shuyao Kong。

Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、Multicoin、CoinFund、 Alameda、DeFiance 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/ Github:https://github.com/Manta-Network Twitter:https://twitter.com/MantaNetwork Medium:https://mantanetwork.medium.com/ Telegram:https://t.me/mantanetwork Telegram中文：https://t.me/mantanetwork_zh Discord：https://discord.gg/ZtSuSKRy8X

最重要的共识：构建于 layer1的可选择性隐私

圆桌论坛上嘉宾们纷纷表示，不仅仅用户需要更多的隐私，下一代的 Web3应用也不能冷眼旁观，而是需要积极部署隐私功能。构建于 layer1 上的原生的可选择性隐私将可以保证用户在需要时有必要的工具来保护自己的数据不被侵犯。

什么是可选择性隐私？

可选择性隐私让 layer2 和用户原生享有可编程性隐私功能。举个例子，你拥有一个灵魂绑定代币，上面有你的社安码、名字以及银行账户。审计者想要查看你的银行账户。可选择性隐私则可以让你仅对审计者分享他们所需要的信息。由于隐私工具是原生构建于 layer1之上，这些工具对于使用该 layer1的任何项目和用户都触手可得。

此外，JokeDAO 的 David Phelps 还提到了一个全新的“无许可隐私”概念。

“我思考无许可隐私这件事已经有一段时间了，听起来有点复杂。大体就是，如果你拥有一定许可，就可以对某些信息进行解密。隐私数据对于任何满足基本条件的人来说都是可见的，这样就以无许可的方式进行信息披露。”

我们为何要看好 Web3?

在隐私问题上的消极退让可能会带来糟糕的监管状态。比特币研究机构 — Bitcoin Policy Institute 认为，由政府控制的央行数字货币是其中最重要的引领者：

CBDC 是一种由政府控制的稳定币类型，许多国家正在尝试在其法币体系中进行植入，且未来有可能会替代法币。

“作为央行的直接负债，CBDC 成了将货币政策强加给消费者的新型工具。这些政策包括并不限于负利率水平、增加税收以及没收货币等等。” — Bitcoin Policy Institute

Manta 的隐私解决方案

Manta 团队将隐私工具直接构建于协议中。这样未来基于波卡的应用都可以轻松地整合隐私功能。Manta 的开发团队 poseidon labs 正在与以太坊社区合作将自己的隐私功能延伸到以太坊生态，希望为整个 Web3生态系统提供隐私保护基础设施。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的顾问包括 Hypersphere Ventures 联合创始人 Jack Platts，Polychain 合伙人 Tekin Salimi，前 Web3 基金会联合创始人 Ashley Tyson，Consensys 的 Shuyao Kong。

Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、Multicoin、CoinFund、 Alameda、DeFiance 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/ Github:https://github.com/Manta-Network Twitter:https://twitter.com/MantaNetwork Medium:https://mantanetwork.medium.com/ Telegram:https://t.me/mantanetwork Telegram中文：https://t.me/mantanetwork_zh Discord：https://discord.gg/ZtSuSKRy8X

Calamari Network 作为 Manta Network 社区化先行网，是在 Kusama 上即插即用的隐私保护平行链，旨在为整个 Kusama 的 DeFi 网络提供隐私服务。 Calamari Network 建立在 Kusama 上作为平行链保证跨链互操作性，基于 zkSNARK （零知识证明技术）保障隐私性。

Calamari 的早期产品包括隐私支付 MantaPay——MantaPay 支持 Kusama 及其平行链资产的隐私交易。 用户可以将封装稳定币、BTC 等主流资产隐私化，Calamari 通过零知识证明技术为其提供最安全的链上隐私。

$KMA 应用场景

在全新的代币模型中，$KMA 在 Calamari 上将会有多个应用场景：

1/ Calamari 上每一笔交易（包括 Calamari 上的 MantaPay）都会以 $KMA 的形式收取手续费（Gas 费用）。其中，手续费会分为三部分：

• 45%销毁；

• 45%进入国库，以支持未来的插槽拍卖和社区开支，如发展基金；

• 10%分配给该交易的 collator 节点；

2/ 作为交易媒介。

3/ 获得 Calamari 治理权。Calamari 的链上治理机制决定了未来 $KMA 可获得投票权，用于提案，选举理事会成员等。

4/ 在 Calamari 上使用 MantaPay 进行公开资产与隐私资产的相互转换，暂时不收取除 gas 费用以外的额外费用。未来链上治理可以决定对这些交易收取一定的“隐私费用”来让$KMA 质押者进一步受益。

5/ 为了进一步去中心化，在$KMA质押上线前3年里，每年将新增发行3%$KMA，奖励给 $KMA质押者。同时，国库将定期销毁$KMA，以抵消该部分通胀的$KMA，使$KMA变为严格意义上的通缩。

3年后，Calamari 社区将对奖励进行重新决议。

$KMA 代币分配

平行链众贷奖励

我们为第一批众贷预留了30%的代币激励，这部分奖励中已有约24%已经作为奖励发放给第一次参与众贷的约16000名参与者，其中45%在TGE时向众贷参与者发放，剩余的66%以线性方式发放，每8周发放一次，直到2022年8月17日第一笔众贷结束。而剩下的6%将分配给发展基金。

平行链众贷预留

在此前宣布的代币分配方案中，10%的$KMA被作为未来 Calamari 众贷的预留激励。今年7月份，Manta 团队在没有众贷的情况下成功为 Calamari 拍下了第二条平行链。因此，这10%的代币储备中，将有9% 作为质押奖励以提高 Calamari Network 去中心化，另外1% 将分配给开发基金。

质押奖励

9% 的 $KMA 将作为质押奖励分配给网络的 Collator 节点及质押用户。Calamari Network 最初上线时并没有采用 staking 模式。在早期 Collator 计划的社区节点的大力支持下，如今网络由30多个 Collator 节点共同运营。这些 Collator 节点都产生了运行节点基础设施的成本，但目前只得到交易费的补偿，而且在网络初创时期利用率较低的情况下，这些费用并不足以覆盖成本。

为了保证节点的可持续高质量运行，来以维持网络的性能和抗审查性，我们将更改为委托权益证明 (DPoS) 模型，在该模型中，节点将能够为他们生产的每个区块获得固定的 $KMA 奖励。在 DPoS 中，用户可以在自己的节点上质押 $KMA 代币，或者将它们委托给某个节点，并分享该节点所获得的奖励。

发展基金

约22%的$KMA 被留作为发展资金，以支持网络采用，并通过 grants 计划和对 Calamari网络上的开发者进行奖励支持来提升网络活跃度，这部分代币的分配将由链上治理决定。

社区奖励（流动性挖矿及空投）

20%的$KMA 被保留用于流动性奖励和空投给早期社区成员。流动性采矿奖励根据当前可用的流动性不断调整，如果流动性良好，额外激励将逐步降低。

Manta 锁仓奖励

作为 Manta 的先行网网络，20% 的$KMA 将分配给 MANTA 代币持有者。分配将自 Manta 的平行链启动后开始，持续四年。Manta 持有者可以质押 MANTA 代币以获得 $KMA 。

市场营销+空投

$KMA 总供应量的 5% 将用于市场营销和社区增长，以促进 Calamari Network 的更广泛使用。部分 $KMA 已作为空投用于奖励为 Calamari 社区扩张做出贡献的大使。

关于 Calamari Network

Calamari Network 作为 Manta Network 的社区化先行网，是在 Kusama 上即插即用的隐私保护平行链，旨在为整个 Kusama 的 DeFi 网络提供隐私服务。 Calamari Network 建立在 Kusama 上作为平行链保证跨链互操作性，基于 zkSNARK （零知识证明技术）保障隐私性。

Calamari 的早期产品包括隐私支付 MantaPay——MantaPay 支持 Kusama 及其平行链资产的隐私交易。 用户可以将封装稳定币、BTC 等主流资产隐私化，Calamari 通过零知识证明技术为其提供最安全的链上隐私。

为什么要关注这个系列文章？

1/ 赛道关注高。资本对该赛道预期较高，零知识证明概念项目动辄千万美元级别以上融资，且大部分当前估值过亿美元。

以太坊创始人 Vitalik 等业内大佬，对零知识证明也有较高期待，他曾表示长期来看 zk-Rollup 将成为以太坊主要 Layer2 扩容方案，并撰写多篇文章，阐释零知识证明相关概念。

2/ 赛道尚属早期。由于开发难度较大，且项目大多于近几年创立，绝大多数项目主网、代币未上线，赛道尚属早期。可提早关注。

3/ 零知识证明名词和概念较多 zk-Rollup、zk-EVM、zk-SNACK、zk-STARK 等名词多且繁琐。 本系列将试图用通俗的举例和语言，帮助大家理解复杂概念。本系列非学术论述，举例只为帮助大家通俗理解，更严谨的表述，欢迎大家查看专业论文学习。

从数独游戏开始

奇异博士和绿巨人很喜欢玩数独。

数独是一种如下图所示的数字游戏，玩家需要在空格内，填上 1-9 任意数字，让每一行、每一列、每个粗线格（33格）内的数字，均包含 1-9，且不重复。

有天，奇异博士给绿巨人出了一道很难的数独，把绿巨人难住了。

眼看做不出来，绿巨人脑筋一转道，“博士，这题是不是根本就无解？”“怎么可能呢？我自己做出来了啊。”奇异博士说道。 “真的吗？我不信。”绿巨人回答。 博士接着说，那我证明给你看。但我会用“零知识证明”在不把解告诉你的情况下，证明这题有解。

绿巨人瞪大了眼睛。

零知识证明

博士让绿巨人在屋外等着。自己拿出 81 张卡牌，每张卡牌上都写着一个数字。 他按照解法，把卡牌摆放好。再把“答案”都翻过去，只让题面卡牌朝上，如下图。

博士把门打开。 绿巨人惊讶道，“这…我怎么验证？” 博士拿出 9 个纸袋子。 他把同一行的卡牌收起来，放到同一个袋子里，用手搅了搅，打乱顺序。9 行卡牌分别放进了 9 个袋子里。

“我现在打开每一个袋子，看看里面的卡牌是不是1-9。如果是，证明有解；如果不是，说明你错了。”

绿巨人打开了袋子，每个袋子的数字，还真是按1-9排列。

尽管亲手验证了结果，但绿巨人还是不服，“你这万一是蒙的呢？”

接着博士再次摆好卡牌，绿巨人又按照每一列和每个 33 粗线格的顺序，收集卡牌验证。 结果还是一样，每个袋子里的卡牌按 1-9 排列。

这下绿巨人心服口服了。他相信这道题有解，但他不知道解是什么。

小结

本文实际介绍了两个概念：零知识证明与交互式证明。

关于零知识证明

1/ 在零知识证明中，有两类参与者：证明者和验证者。证明者提供“证明”，在无需提供其他信息的情况下，即可向验证者证明信息为真。

故事中，奇异博士是证明者，需证明数独有解。绿巨人是验证者。

绿巨人确信该题有解，但他不知道具体的解是什么。

2/ 零知识证明的性质

完备性（Complete）：提交者若确实掌握了答案，那他能找到方法向验证者证明为真，即真的假不了。

合理性（Sound）：若提交者未掌握答案，那他无法向验证者证明为真，即假的真不了。 零知识性（Zero-Knowledge）：证明过程中，验证者除了“证明”之外，不会获得其他相关信息。

3/ 零知识证明应用方向：隐私与扩容

隐私方面。基于“零知识性”，提交者能有效保护隐私信息。

将零知识证明应用于隐私保护的项目有：Manta Network、Aleo、Aztec，以及链游 DarkForest 黑暗森林等等。

其中，Manta 基于零知识证明，创立了隐私资产类型 zkAssets，支持用户将现有的 ERC20 代币，ERC721、ERC1155 等 NFT 转入 Manta。

将原本链上公开的资产，转变为隐私资产 zkAssets，进行隐私交易、DeFi 交互、NFT 买卖，隐私 GameFi 等操作，也支持开发者创建 Manta 链上原生隐私资产。

扩容方面。要从共识说起。以太坊高交易成本，背后的经济学原因在于共识：共识一定是昂贵的，因为不贵的共识是不可信的。

假设有 10,000 个节点，每个节点做同样的计算，产生的结果就很可靠，不会因为少部分节点的不诚实而对共识结果产生影响。这也是为何区块链可以去中心化——通过算法的手段建立信任。

然而，共识成本在于 10,000 个节点重复计算，成本比在 1 个节点上贵 10,000 倍。这是所有共识协议，不管是 PoW 还是 PoS 都存在的问题。

零知识证明是可以从本质上降低成本的一种方式——可以在 1 个节点上运行计算，其它节点用密码学方法验证计算的可靠性，不需要重复计算。

在以太坊等比较昂贵的链上，验证计算的正确性，比重复计算更便宜，更节省 Gas。这也是大家看好 zk-Rollup 的原因。

zk-Rollup 搭建在 Layer1 主链上，将多笔交易打包成一笔，提交给以太坊主链，通过 ZK（SNARK或 STARK）被主链快速验证，而不是让主链单独处理每一笔交易。

每笔交易的大小会进行压缩，同时，零知识验证成本会分摊到每个交易上，可以节省 Gas 费，提高 TPS。

4/ 交互式证明是零知识证明的一种验证方式。

故事中，奇异博士摆好卡牌，让绿巨人先按行验证。然后再摆好卡牌，让绿巨人按列、按粗线格（3*3格）验证。

验证过程中，博士和绿巨人持续互动。这叫“交互式证明”，验证者和证明者持续交互。

有点像数学老师出的算术题，几十道甚至上百道题，若学生都能答对，则可以认为该学生已经掌握了算数技巧。

但问题是，万一阅卷老师和考生串通呢，帮助学生作弊怎么办？

如何解决提交者和验证者串通问题？接下来，就要引出非交互式证明的概念了，也就是 zk-SNACK 和 zk-STARK 。

欢迎关注Manta Network Protocol 公众号，或关注推特@manta_china获取更多关于零知识证明和 Manta Network 的资讯。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、Multicoin、CoinFund、 Alameda、DeFiance 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。

We're Hiring! 访问查看开放职位：https://jobs.lever.co/MantaNetwork

关注官方频道了解有关 Manta/Calamari 的更多信息：

Website:https://manta.network/

Github:https://github.com/Manta-Network

Twitter:https://twitter.com/MantaNetwork

Medium:https://mantanetwork.medium.co

Telegram:https://t.me/mantanetwork

Discord：https://discord.gg/ZtSuSKRy8X

Telegram中文：https://t.me/mantanetwork_zh

Twitter中文：https://twitter.com/manta_china

zkAssets 主要特点为：

• 支持用户将现有的 ERC20 代币，ERC721、ERC1155 等 NFT 转入 Manta。

  将原本链上公开的资产，转变为隐私资产 zkAssets，在 Manta 链上进行隐私交易、 DeFi 交互、NFT 买卖，隐私 GameFi 等操作。

• 也支持开发者创建 Manta 链上原生隐私资产。

此外，zkAssets 支持用户自主披露信息，资产发行者定制 KYC 权限。

zkAssets 基于零知识证明（ZK）技术创建，可让交易发起者向验证者，证明信息为真，同时不透露任何额外信息，达到隐私保护及扩容目的。

• 关于零知识证明的通俗理解，可查看文章 基于零知识证明构建的Web3.0隐私层Manta Network | Manta 101

• 关于 zkAssets、zkAddress 介绍，可查看文章 Web 3.0隐私基建：什么是 zkAssets 和 zkAddresses ？｜Manta101

隐私商场，魔术帽与兔子

回想下购物经历。备好钱，进入商场，逛不同的商铺，离开。

Manta Network 就像隐私商场。基于 Manta Network 智能合约架构的 dApp，相当于商场内的店铺。

用户从以太坊将 ERC20、NFT 等转入 Manta，资产初始状态为是公开状态（Public Assets），相当于已经拿着钱站在商场门口。

之后，用户可将公开资产加密，变成隐私资产，就是 zkAssets。这时已经进了商场大门，但还没开始购物。

用户可以用 zkAssets，在Manta 链的 dApp 内，进行 DeFi 借贷、质押、组 LP 流动性挖矿、合成资产，还可以买卖、质押 NFT，参与链游等等。

拿着 zkAssets，逛各种店铺。这个过程中，做了哪些交互，资金情况如何，除了你自己之外，没人知道。

最终，用户可以选择将隐私资产 zkAssets，再变为公开资产，从 Manta 链上提走。

值得注意的是，将隐私资产转为公开资产，消耗的手续费将直接销毁，使 MANTA 通缩。

使用 Manta 保护隐私的过程，也很像魔术师把鲜花放进礼帽，变成兔子的过程。

外人能看到放进去的与拿出来的东西，至于魔术师是怎么操作的，只有他自己清楚。

总结一下，用户可以用 zkAssets 在 Manta Network 内直接使用 DeFi、NFT、链游等应用或功能，整个过程隐私保密。

而在此之前，以混币为代表的隐私协议，仅支持将资产从某一地址转入，再将资产分散到多个地址转出，达到切断地址间的关联。

在混币过程中，用户将资产转入后，无法基于隐私资产做任何操作。

为什么要使用 zkAssets ？

（1）保护交易信息，防 MEV 夹心交易

而 zkAssets 基于零知识证明构建，矿工无法获知用户具体交易信息，无法进行夹心交易。

此外，普通用户也不希望自己所有的交易记录，都在地址或 ENS 上清晰可见，随时让他人查看。

（2）保护 DeFi 交互信息

直接用 zkAssets 参与 Manta Network 链上 DeFi，还可保护交互信息，比如借贷的清算价格，流动性提供者 LPs 信息及合成资产信息等等。

（3）保护 NFT 隐私信息

首先，PFP NFT拥有者希望展示自己的头像，但不希望别人通过该 NFT，查看自己以往所有交易记录。就像大家对外展示自己某种身份时，还要把银行卡全部转账记录公开。

其次，“黑暗森林法则”。某诈骗协议声称，对持有特定 NFT用户空投，并通过 ENS 查询到这些用户绑定的 Twitter 等信息，进行定向邀约。

据 Immunefi 报告，BAYC 系列NFT诞生以来，已有 143枚通过骗局和攻击被盗。最大的两次事件为 Instagram 以及 Discord 钓鱼链接骗局。

而未来，Manta 将支持直接发行 zkAssets NFT。用户可持有该 NFT，但不会暴露地址等信息。

（4）数字身份 DID 与元宇宙身份保护

基于 zkAssets 的 NFT，可在不暴露自己地址信息前提下，依旧获得权益。比如持有 zk无聊猿，参与“游艇俱乐部”。

此外，持有 zkNFT 资产，还可以帮助在元宇宙中隐藏身份，别人无法直接查看你的资产信息，隐藏财富，让社交更“纯粹”，也让元宇宙社交更安全。

（5）链游功能拓展与非对称博弈

当前，链上 NFT 透明性，也使得链游具备相同的透明性。具体来说，链游项目方，需在链上提前铸造 NFT，以应用到游戏中。

铸造过程，所有玩家都可以查看。大家便可根据道具，推算爆率、地图等游戏信息。

基于零知识证明，证明为“真”，无需提供信息的特点，可在链上生成以下游戏功能：

A. 隐藏关卡、地图、人物、道具、奖励等等 zkAssets形式

B. 游戏手牌

C. 隐藏爆率、属性

D. “战争迷雾”效果

链上策略游戏《DarkForest》（黑暗森林），将零知识证明应用到游戏中，生成类似《魔兽争霸》《星际争霸》“战争迷雾”效果，供玩家探索，提高可玩性。

现有透明机制下，链游是完全对称博弈的，也就是玩家“明牌”，会产生“强者恒强”效果。

而零知识证明的加入，会让完全对称博弈，变为非完全对称博弈，从“明牌”变成“暗牌”。

扑克、麻将等游戏，之所以经久不衰，正是其非完全对称博弈性，运气和策略，会打破“强者恒强”局面，让所有人都有机会收获胜利，获得正向反馈。

关于 Manta Network

Manta Network 致力于通过隐私保护构建一个更好的 Web3 世界。Manta 的产品设计从第一性原理出发，通过 zkSNARK 等领先的密码学架构为区块链用户提供端对端的隐私保护。在保障隐私的同时，Manta 兼具互操作性、便捷性、高性能以及可审计性，允许用户进行任意平行链资产间的隐私转账和交易。Manta 的愿景是为整个区块链世界提供更便捷的隐私保护服务。

Manta 的创始团队由多位加密货币资深人士，教授和学者组成，他们的经验包括哈佛大学，麻省理工学院和 Algorand。Manta 的投资机构包括 Polychain、ParaFi、Binance Labs、Multicoin、CoinFund、 Alameda、DeFiance 以及 Hypersphere 等。Manta 也是波卡官方 Web3 基金会资助获得者，Substrate Builder Program 成员，伯克利大学区块链加速器成员。