閱讀ETH方2023年新趨勢：ZK與隱私

1. 背景

ETH Workshop的聯合創始人Vitalik Buterin明確表示，如果沒有隱私轉型的技術轉變，ETH Workshop將失敗。 由於所有交易都是公開可見的，因此對許多用戶來說，隱私犧牲太大了，每個人都在轉向至少在某種程度上隱藏數據的集中式解決方案。

2023年，Vitalik對隱私保護和零知識證明（ZK）技術的進步進行了一系列研究。 今年上半年，Vitalik在他的網站上發表了三篇專門討論ZK和隱私保護的文章。 四月份，他還在Reddit上發表了一項關於錢包監護人隱私的研究。 九月，他與其他專業人士共同撰寫了一篇論文，提出了一種平衡隱私和合規性的解決方案。

此外，ETH方生態也在積極推動這一話題的討論和普及。 在三月份的 ETHDenver 活動中，舉辦了一場專注於隱私的特別活動。 在5月的年度EDCON（乙太坊社區會議）會議上，Vitalik強調“ZK-SNARKs在未來10年將與區塊鏈一樣重要”。

本文追蹤了2023年ETH方生態系統在利用ZK技術推進隱私保護方面的最新發展。 如果您想進入ETH ZK電路，本文提供了必要的解釋和指導。

2. ETH ZK電路：構建隱私保護的未來

ETH透明度可能會使用戶的個人資訊面臨被洩露的風險。 ETH等區塊鏈上沒有秘密，所有資訊都是公開的，其中包括其他鏈上活動，如交易、投票等。 這種開放性可能會導致特定的交易和位址被跟蹤並連結到真實的使用者身份。 因此，在ETH上實施隱私保護非常重要。 隱藏鏈上資訊可以通過密碼學完成，但挑戰在於確保這些交易的有效性得到驗證，同時保護隱私。 ZK技術提供了一種解決方案，可以在不洩露額外信息的情況下證明交易的真實性，同時考慮到隱私和可驗證性。

ETH高度重視ZK-SNARKs，尤其是在某些關鍵的隱私保護用例中。 這在維塔利克的研究和建議中很明顯，薩盧斯整理了維塔利克在他的研究中提出的典型場景，即私人交易和社會復甦。

2.1 私人交易

在私人交易方面，Vitalik提出了兩個概念：隱形位址和隱私池。

1. 隱私位址方案允許在不隱藏交易接收者身份的情況下進行交易。 這種方法提供隱私保護，同時確保交易的透明度和可審計性。

2. 基於隱私池協定，用戶可以證明其交易資金屬於已知的合規來源，而無需披露歷史交易。 該方案允許使用者在遵守法規的同時進行私人交易。

這兩種情況都離不開ZK。 在這兩種情況下，使用者都可以生成零知識證明來證明其交易的有效性。

2.1.1 隱私位址

假設愛麗絲打算將某種資產轉讓給鮑勃，當鮑勃收到資產時，他不想讓全球公眾知道他是接收者。 雖然很難隱瞞資產轉移的事實，但可以隱瞞收款人的身份。 正是在這種背景下，隱私友好位址方案應運而生，其主要問題是如何有效地隱藏交易接收者的身份。

那麼，隱私位址和普通ETH位址有什麼區別，如何使用基於ZK的隱私地址進行私人交易呢？ Salus將一一介紹給您。

（1） 私人位址和普通ETH位址有什麼區別？

隱私位址是一個位址，允許以非交互方式生成交易的發送者，並且只能由其接收者訪問。 讓我們從兩個維度解釋隱私位址和普通ETH位址之間的區別：誰生成它以及誰有權訪問它。

由誰生成？

普通ETH位址由使用者自己基於加密和哈希演演演算法生成。 私人位址可以由個人或交易的另一方生成。 例如，當 Alice 向 Bob 發送轉帳時，Bob 用於接受轉帳的位址可以由 Bob 或 Alice 生成，但只能由 Bob 控制。

誰可以訪問？

普通ETH帳戶下的資金類型、金額和來源是公開可見的。 然而，在使用遮罩地址進行的交易中，只有接收者可以訪問存儲在其隱形位址中的資金。 觀察者無法將收件者的隱私位址與其身份相關聯，從而保護收件者的隱私。

（2） 如何使用基於ZK的隱私地址進行私人交易？

如果 Alice 想要將資產發送到 Bob 的隱私位址以隱藏交易的收件者。 以下是交易過程的詳細說明：

1. 產生隱私位址

• Bob 生成並保存一個支出金鑰，這是一個私鑰，可用於花費發送到 Bob 隱私地址的資金。
• Bob 使用消費金鑰生成一個隱形元位址，該位址可用於計算給定收件者的隱私位址並將隱私元位址傳遞給 Alice。 Alice 計算隱私元位址以生成屬於 Bob 的隱私位址。

2. 將資產發送到隱私位址

• Alice 將資產發送到 Bob 的隱私位址。
• 由於 Bob 不知道隱私位址是他自己的，Alice 還需要在鏈上發佈一些額外的加密數據（臨時公鑰、臨時公鑰、臨時公鑰），以説明 Bob 發現隱私地址屬於他。

上述過程中的隱私位址也可以使用由哈希和公鑰加密構建的零知識證明來構建。 隱私位址中的智慧合約代碼可以與ZK集成。 通過嵌入零知識證明驗證邏輯，智慧合約能夠自動驗證交易的有效性。 這種用於構造專用位址的方案比其他方案更簡單，包括橢圓曲線加密、橢圓曲線同源、格和通用黑盒基元。

2.1.2 隱私池

無論私人交易是通過隱藏交易接收者的身份還是有關交易的其他資訊來實現的，都存在一個主要問題：使用者如何證明他們的交易資金屬於已知的合規來源，而不必透露他們的整個交易歷史。 ETH Place作為一個公共區塊鏈平臺，必須避免成為洗錢和其他非法活動的媒介。

Vitalik提出了一個名為「隱私池」的解決方案，旨在平衡區塊鏈的隱私保護和合規需求。 但是，隱私保護和合規性面臨哪些挑戰，您如何平衡隱私和合規性？ Salus就這兩個問題進行了深入而有啟發性的討論。

（1） 隱私保護和合規挑戰

在確保交易合規性的同時實現隱私保護是一項挑戰，這可以通過分析Tornado Cash案例生動地證明。

龍捲風現金是一種加密貨幣混合器，混合了大量的存款和取款。 在一個位址存入代幣后，使用者可以出示ZK證明以證明他們已經存入，然後從新位址提取資金。 這兩個操作在鏈上是公開的，但它們之間的對應關係不是公開的，所以它們是匿名的。 雖然它可以增強用戶的隱私，但它經常被非法行為者用來洗錢。 因此，美國財政部OFAC最終將Tornado Cash的智慧合約位址添加到制裁名單中。 監管機構認為，該協定助長了洗錢活動，不利於打擊金融犯罪。

Tornado Cash在隱私保護方面的缺點是無法驗證使用者的令牌來源是否合規。 為了解決這個問題，Tornado Cash提供了一個集中式伺服器來幫助用戶證明他的代幣是合規的。 但是，伺服器必須獲取使用者提供的提款的詳細資訊，並確定提款對應的存款，以便生成證明。 這種集中式機制不僅具有信任假設的成本，而且還會產生信息不對稱。 最終，該機制幾乎不被用戶使用。 雖然Tornado Cash實現了隱私功能，但它沒有提供有效的機制來驗證使用者令牌的來源是否合規，這是犯罪分子可以利用的。

（2） 您如何平衡隱私和合規性？

基於這些挑戰，Vitalik提出了隱私池的概念，它允許使用者證明他們的資金來源是合規的，而無需透露歷史交易資訊。 這在隱私和合規性之間取得了平衡。

隱私池基於ZK和關聯集，允許使用者生成和發佈ZK-SNARK證明，證明他們的資金來自已知的合規來源。 這意味著資金屬於合規的關聯集，或者它們不屬於不合規的關聯集。

關聯集合由關聯集合提供程式根據特定策略構建：

1. 會員證明：將來自所有可信交易平臺的存款放入關聯集中，此外，有確鑿的證據表明它們是低風險的。

2. 排除證明：識別一組被標記為有風險的存款，或有確鑿證據表明它們是不合規基金的存款。 構建一個關聯的集合，其中包含除這些存款之外的所有存款。

存款時，用戶通過ZK生成一個秘密，並散列一個公共硬幣ID，以標記他們與資金的關聯。 提款時，使用者提交與秘密對應的無效符（無效符是從秘密派生的唯一標識符），證明資金是他們的。 此外，用戶可以通過ZK證明兩個Merkle分支機構來證明他們的資金屬於已知的合規來源：

1. 他的硬幣ID屬於硬幣ID樹，它是當前發生的所有交易的集合;

2. 他的幣ID屬於關聯集樹，是用戶認為合規的交易集合。

（3）ZK在隱私池中的應用場景有哪些？

1. 私人交易的靈活性：為了處理私人交易中任何面額的轉移，每筆交易都附有額外的零知識證明。 該證明確保所創建代幣的總面額不超過正在消費的代幣的總面額，從而確保交易的有效性。 其次，ZK通過驗證每筆交易對原始存款代幣ID的承諾來保持交易的連續性和隱私性，從而可以保證每次提款都與其相應的原始存款相關聯，即使在部分提款的情況下也是如此。

2. 餘額求和攻擊：可以通過合併代幣並提交一組代幣 ID 以及父交易對多個輸入交易的聯合承諾來抵禦餘額求和攻擊。 此方法依賴於 ZK 來確保所有提交的令牌 ID 都位於其關聯的集合中，從而增強了交易的隱私性。

2.2 社會復甦

在現實生活中，我們可能擁有多個銀行卡帳戶。 丟失您的卡 PIN 碼意味著我們無法使用卡上的資金。 在這種情況下，我們通常會去銀行尋求説明以找回密碼。

同樣，在ETH等區塊鏈中，我們可能有多個位址（帳戶）。 私鑰，如銀行卡密碼，是您控制帳戶資金的唯一工具。 一旦您丟失了私鑰，您將失去對帳戶的控制，並且無法再訪問帳戶中的資金。 與現實世界的密碼恢復類似，區塊鏈錢包提供了一種社交恢復機制，幫助用戶恢復丟失的私鑰。 此機制允許使用者在創建錢包時選擇一組受信任的個人作為監護人。 這些監護人可以幫助使用者在丟失私鑰時批准重置其私鑰，從而重新獲得對其帳戶的控制權。

在這種社會恢復和監護機制下，維塔利克提出了兩個需要注意的隱私保護點：

1.隱藏多個位址之間的關聯：為了保護用戶隱私，我們需要防止在使用單個恢復短語恢復多個位址時暴露多個位址的歸屬。

2、保護使用者財產隱私不被監護人侵害：在批准使用者操作的過程中，我們必須確保監護人無法獲取使用者的資產資訊或觀察使用者的交易行為，防止侵犯使用者的財產隱私。

實現這兩種隱私保護的關鍵技術是零知識證明。

2.2.1 隱藏使用者多個地址之間的關聯

（1）社會恢復中的隱私問題：地址之間的相關性被披露

在ETH等區塊鏈中，使用者通常會為各種交易生成多個位址，以保護他們的隱私。 通過對每個事務使用不同的位址，可以防止外部觀察者輕鬆地將這些事務與同一使用者相關聯。

但是，如果使用者的私鑰丟失，私鑰在多個位址下產生的資金將無法恢復。 在這種情況下，需要社會恢復。 一種簡單的恢復方法是一鍵恢復多個位址，其中使用者使用相同的恢復短語來恢復由單個私鑰生成的多個位址。 但是，這種方法並不理想，因為使用者生成多個位址以防止它們相互關聯。 如果使用者選擇同時或類似時間還原所有位址，這實際上表明這些位址歸同一用戶所有。 這違背了使用者創建多個位址以保護其隱私的初衷。 這構成了社會復甦過程中的隱私保護問題。

（2）ZK解決方案：如何避免多個位址的關聯被洩露？

ZK技術可以用來隱藏區塊鏈上一個使用者多個位址之間的關聯，通過驗證邏輯和資產持有分離的架構，解決社會恢復的隱私問題。

1. 驗證邏輯：使用者在區塊鏈上有多個位址，但所有地址的驗證邏輯都連接到一個主要的認證合約（密鑰庫合約）。

2. 資產持有和交易：當使用者從任何位址操作時，他們利用 ZK 技術來驗證操作許可權，而不會透露它是哪個位址。

這樣，即使所有位址都連接到同一個密鑰庫契約，外部觀察者也無法確定這些位址是否屬於同一使用者，從而實現了位址之間的隱私。

重要的是要設計一個私人社會恢復方案，可以同時恢復多個用戶位址，而不會揭示它們之間的相關性。

2.2.2 保護使用者財產隱私免受監護人侵害

（1）隱私問題：監護人的特權

在ETH等區塊鏈中，用戶可以在創建錢包時設置多個監護人。 特別是對於多重簽名錢包和社會恢復錢包，監護人的角色至關重要。 通常，監護人是其他人持有的 N 個位址的集合，其中任何 M 個位址都可以批准操作。

監護權有哪些特權，例如：

1. 對於多重簽名錢包，每筆交易必須由N個監護人中的M簽名才能處理。

2. 對於社交恢復錢包，如果使用者的私鑰丟失，則N個監護人中的M必須簽署消息以重置私鑰。

監護人可以批准您的操作。 在多重簽名中，這將是任何事務。 在社交恢復錢包中，這將是您的帳戶私鑰的重置。 當今監護機制面臨的挑戰之一是如何保護使用者的財務隱私免受監護人的侵犯。

（2）ZK解決方案：保護使用者財產隱私不受監護人侵害

在本文中，Vitalik設想監護人不是在保護您的帳戶，而是在保護“密碼箱”合同，並且您的帳戶與此保險箱之間的連結是隱藏的。 這意味著監護人無法直接訪問用戶帳戶，只能通過隱藏的密碼箱合同進行訪問。

ZK的主要作用是提供一個證明系統，允許監護人證明陳述是真實的，而無需透露陳述的細節。 在這種情況下，監護人可以使用ZK-SNARK來證明他們有權執行操作，而無需透露與“帳戶與密碼箱之間的連結”相關的任何詳細資訊。

2.3 探索：ETH方生態系統中ZK與隱私的新篇章

雖然ETH ZK賽道仍處於發展階段，許多創新理念和概念仍在構思和研究中，但ETH生態系統已經啟動了更廣泛的實踐探索活動。

（1） ETH基金會資助

9月，ETH乙太坊基金會資助了兩個隱私保護專案，IoTeX和ZK-Team。 IoTex是基於零知識證明的帳戶抽象錢包，ZK-Team致力於使組織能夠在維護個人隱私的同時管理團隊成員。

（2）投資

十月份，ETH Place的聯合創始人Vitalik投資了Nocturne Labs，目的是將私人帳戶帶到ETH Place。 使用者將在夜曲中擁有「內部」帳戶，從這些帳戶接收/花費資金的方法將是匿名的。 借助ZK技術，用戶可以證明他們有足夠的資金進行交易，例如支付，質押等。

（3） 會議和活動

ETHDenver被認為是世界上最重要的ETH和區塊鏈技術相關活動之一。 今年三月，ETHDenver舉辦了一場專注於隱私的特別活動。 此次活動不僅體現了ETH社區對隱私問題的關注，也體現了全球區塊鏈社區對隱私保護的重視。 在這次特別活動中，舉行了九場與隱私相關的會議，包括隱私設計與隱私與安全。

EDCON（乙太坊社區會議）是由ETH社區主辦的全球年度會議，旨在促進ETH的發展和創新，加強ETH社區的聯繫與合作。 在今年5月的EDCON會議上，Vitalik發表了一份重要聲明，稱“未來10年，ZK-SNARKs將與區塊鏈一樣重要”。 這一聲明強調了ZK-SNARKs在區塊鏈技術發展趨勢中的重要性。

（4） 專案

目前，一些應用層專案已經開始使用ZK技術為使用者和交易提供隱私保護服務。 這些應用層項目稱為 ZK 應用程式。 例如，ZK Application，unyfy，一個部署在ETH上的隱私資產交易所。 在這裡，交易訂單的價格是隱藏的，這些隱藏價格的訂單的完整性由ZK技術驗證。 除了unyfy之外，L2s上還有許多其他ZK應用程式，例如ZigZag和Loopring等。 雖然這些 ZK 應用程式是基於 ZK 的隱私保護，但它們無法部署在 ETH 上，因為 EVM 無法直接運行這些 ZK 應用程式。

（5）研究

此外，研究人員還對ZK技術及其在乙太坊研究平臺上的應用進行了熱烈的討論，包括Salus的一篇研究文章，致力於利用ZK在ETH的應用層推動隱私保護的實施。 本文測試了幾種不同的 ZK 語言 Circom、Noir 和 Halo 2 的性能，結果表明 Circom 具有更好的性能。 本文還提出了一個通用解決方案，將Circom集成到Solidity中，以實現基於ZK的ETH應用層專案。 這對於方ETH實現隱私轉型具有重要意義。 這項研究在 2023 年獲得了極大的關注，在榜單上排名第一。

這篇研究文章是 2023 年乙太坊研究閱讀量最大的研究—作者 Salus

3. 挑戰

儘管現有的許多ETH應用層專案迫切需要引入基於ZK的隱私保護機制，但這一過程面臨著一系列挑戰。

1、ZK人才資源匱乏：ZK技術的研究需要紮實的理論基礎，特別是在密碼學和數學領域。 由於ZK技術的實施涉及複雜的公式，學習者還需要具備較強的公式解釋能力。 但問題是，專注於學習ZK技術的人相對較少。

2. ZK 開發語言的局限性：Rust、Cairo、Halo 2 等語言用於開發 ZK 證明電路，但通常只適用於特定場景，不適合應用層專案。 其中一些語言，如開羅，仍處於實驗階段，不同版本之間可能存在相容性問題，這使得在實際應用程式中採用它們變得困難和複雜。

3、ZK技術落地難：Vitalik在ETH中將ZK技術應用於隱私保護的解決方案在實際實施中可能會面臨各種複雜問題，如如何避免私募交易的餘額求和攻擊、雙花攻擊等。 解決這些問題存在一定的技術難度。

4. 隱私與合規：雖然私人交易可以保護使用者的身份和交易細節，但它們也可以掩蓋非法活動，例如洗錢。 未來，ETH上的ZK應用在實施隱私保護的過程中是否合規還有待驗證。

儘管面臨挑戰，ETH Place向隱私的過渡 - 確保提供隱私保護的資金轉移的先決條件，並確保所有其他正在開發的工具（社會恢復，身份，聲譽）保護隱私 - 是廣泛部署ZK Applications。 如上所述，Salus發表的研究基於ZK技術，在ETH應用層推廣隱私保護等功能。 此外，Salus首次提出了集成Circom和Solidity並將其應用於ETH應用層專案的通用解決方案，基於Circom實現ZK證明系統鏈下，基於Solidity在ETH上實現智慧合約和ZK驗證邏輯。 如果您需要支援或有任何疑問，請隨時聯繫Salus。

4. 總結與展望

2023年，由Vitalik Buterin領導的ETH社區探索了零知識證明技術的潛力，目標是增強平台的隱私保護功能。 雖然這些建議仍處於研究階段，但Vitalik的研究和論文，特別是關於平衡隱私和合規性的研究和論文，為保護用戶隱私的零知識技術提供了理論基礎。

儘管將零知識證明技術集成到ETH中存在挑戰，但隨著技術的成熟和社區的持續努力，預計在不久的將來，零知識證明將在ETH車間生態系統中發揮更重要的作用。 因此，及時參與和積極探索這一領域，利用早期機會，將有助於在這一新興領域佔據強勢地位。