1. 背景

以太坊聯(lián)合創(chuàng)始人Vitalik Buterin曾明確指出，如果不進(jìn)行隱私過(guò)渡的技術(shù)轉(zhuǎn)變，以太坊就會(huì)失敗。因?yàn)樗薪灰锥脊_(kāi)可見(jiàn)，對(duì)許多用戶來(lái)說(shuō)隱私犧牲太大，大家都會(huì)轉(zhuǎn)向至少在某種程度上隱藏?cái)?shù)據(jù)的中心化解決方案。

2023年，Vitalik在隱私保護(hù)和零知識(shí)證明（zero-knowledge proofs，ZK）技術(shù)的推進(jìn)上進(jìn)行了一系列的研究。上半年，Vitalik在他的網(wǎng)站上發(fā)布了三篇專門(mén)討論ZK和隱私保護(hù)的文章。4月，他在Reddit上也展示了一項(xiàng)關(guān)于錢(qián)包監(jiān)護(hù)人隱私問(wèn)題的研究。9月，他與其他專業(yè)人士共同撰寫(xiě)了一篇論文，提出了一種針對(duì)平衡隱私與合規(guī)之間的解決方案。

此外，以太坊生態(tài)也在積極推動(dòng)這個(gè)話題的討論和普及。在3月份的ETHDenver活動(dòng)中，舉辦了一場(chǎng)專注于隱私的特別活動(dòng)。在5月份的EDCON（Ethereum Community Conference）年度會(huì)議上，Vitalik強(qiáng)調(diào)了“未來(lái) 10 年，ZK-SNARK將與區(qū)塊鏈一樣重要”。

本文追蹤了2023年以太坊生態(tài)在利用ZK技術(shù)推進(jìn)隱私保護(hù)方面的最新動(dòng)態(tài)。如果您想躋身于以太坊ZK賽道，本文能提供必要的解讀和指導(dǎo)。

2. 以太坊ZK賽道：打造隱私保護(hù)的未來(lái)

以太坊的透明性可能使用戶的個(gè)人信息面臨泄露風(fēng)險(xiǎn)。以太坊等區(qū)塊鏈上沒(méi)有秘密，所有信息都是公開(kāi)的，這包括交易、投票等其他鏈上活動(dòng)。這樣的公開(kāi)性可能導(dǎo)致特定的交易和地址被追蹤，并與真實(shí)用戶身份關(guān)聯(lián)。因此，在以太坊上實(shí)現(xiàn)隱私保護(hù)變得至關(guān)重要。想要隱藏鏈上信息可以通過(guò)加密技術(shù)來(lái)實(shí)現(xiàn)，但挑戰(zhàn)在于在保護(hù)隱私的同時(shí)，確保這些交易的有效性得以驗(yàn)證。ZK技術(shù)提供了一種解決方案，能夠在不透露額外信息的情況下證明交易的真實(shí)性，兼顧了隱私和可驗(yàn)證性。

以太坊高度重視ZK-SNARK，特別是在某些關(guān)鍵的隱私保護(hù)應(yīng)用場(chǎng)景中，其重要性尤為突出。這一點(diǎn)在Vitalik的研究和提議中得到了明顯體現(xiàn)，Salus整理了Vitalik在其研究中提出的典型場(chǎng)景，即隱私交易和社交恢復(fù)。

2.1 隱私交易

關(guān)于隱私交易，Vitalik提出了兩個(gè)概念：隱私地址（Stealth Addresses）和隱私池（Privacy Pools）。

1.隱私地址方案允許在隱藏交易接受者身份的前提下進(jìn)行交易。這種方案既提供了隱私保護(hù)功能，同時(shí)又確保了交易的透明度和可審計(jì)性。

2.基于隱私池協(xié)議，用戶可以在不披露歷史交易的前提下，證明自己的交易資金屬于已知合規(guī)來(lái)源。這種方案允許用戶在遵守法規(guī)的前提下，進(jìn)行隱私交易。

這兩個(gè)方案都離不開(kāi)ZK。在這兩種場(chǎng)景下，允許用戶生成零知識(shí)證明，來(lái)證明他們的交易的有效性。

2.1.1 隱私地址

假設(shè)Alice打算向Bob轉(zhuǎn)移某種資產(chǎn)，當(dāng)Bob接收該資產(chǎn)時(shí)，他并不希望全球公眾都知道他是接收者。盡管難以掩蓋資產(chǎn)轉(zhuǎn)移行為的事實(shí)，但隱藏接收者的身份則具有可能性。正是在這樣的背景下，隱私地址方案應(yīng)運(yùn)而生，其主要解決的問(wèn)題便是如何有效隱藏交易接收方的身份。

那么，隱私地址究竟與普通的以太坊地址有什么區(qū)別？如何使用基于ZK的隱私地址進(jìn)行隱私交易？Salus將逐一為您進(jìn)行介紹。

（1）隱私地址與普通的以太坊地址有什么區(qū)別？

隱私地址是允許交易發(fā)送者以非交互方式生成，且只能由其接收者訪問(wèn)的地址。我們從隱私地址由誰(shuí)生成，誰(shuí)可以訪問(wèn)兩個(gè)維度來(lái)說(shuō)明其與普通的以太坊地址的區(qū)別。

由誰(shuí)生成？

普通的以太坊地址由用戶本人根據(jù)加密和哈希算法生成。而隱私地址可以由本人生成，也可以由交易的另一方生成。例如，Alice向Bob轉(zhuǎn)賬時(shí)，Bob用來(lái)進(jìn)行接受轉(zhuǎn)賬的地址可以由Bob生成，也可以由Alice生成，但只能由Bob控制 。

誰(shuí)可以訪問(wèn)？

普通的以太坊賬戶下的資金種類、數(shù)量和來(lái)源都是公開(kāi)可見(jiàn)的。而在使用隱私地址進(jìn)行的交易中，只有接收者才能訪問(wèn)存儲(chǔ)在其隱形地址中的資金。觀察者無(wú)法將接受者的隱私地址與他們的身份關(guān)聯(lián)起來(lái)，從而保護(hù)了收件人的隱私。

（2）如何使用基于ZK的隱私地址進(jìn)行隱私交易？

如果Alice想要向Bob的隱私地址發(fā)送資產(chǎn)，以此來(lái)隱藏交易接收方。下面是交易過(guò)程的詳細(xì)說(shuō)明：

1.生成隱私地址

●Bob生成并保存一個(gè)消費(fèi)密鑰（spending key），這是一個(gè)私鑰，可以用來(lái)消費(fèi)發(fā)送到Bob的隱私地址的資金。

●Bob使用消費(fèi)密鑰生成一個(gè)隱私元地址（stealth meta-address），這個(gè)地址可以用來(lái)為給定的接收者計(jì)算一個(gè)隱私地址，并將隱私元地址傳遞給Alice。Alice對(duì)隱私元地址進(jìn)行計(jì)算，生成一個(gè)屬于Bob的隱私地址。

2.發(fā)送資產(chǎn)到隱私地址

●Alice將資產(chǎn)發(fā)送到Bob的隱私地址。

●由于Bob此時(shí)并不知道這個(gè)隱私地址是自己的，所以Alice還需要在鏈上發(fā)布一些額外的加密數(shù)據(jù)（一個(gè)臨時(shí)公鑰，ephmeral pubkey），幫助Bob發(fā)現(xiàn)這個(gè)隱私地址屬于他。

上述過(guò)程中的隱私地址也可以使用由哈希構(gòu)造的零知識(shí)證明和公鑰加密來(lái)構(gòu)建。隱私地址中的智能合約代碼可以與ZK集成。通過(guò)嵌入零知識(shí)證明驗(yàn)證邏輯，智能合約能夠自動(dòng)驗(yàn)證交易的有效性。這種構(gòu)建隱私地址的方案相比其他方案，包括橢圓曲線加密技術(shù)（elliptic curve cryptography）、橢圓曲線同源（elliptic curve isogenies）、格（lattices）、通用黑盒原語(yǔ)（generic black-box primitives）更為簡(jiǎn)單。

2.1.2 隱私池

無(wú)論是通過(guò)隱藏交易接收者的身份還是交易的其他信息來(lái)實(shí)現(xiàn)隱私交易，都存在一個(gè)主要的問(wèn)題：用戶如何證明自己的交易資金屬于已知合規(guī)來(lái)源，而不必披露他們的整個(gè)交易歷史。以太坊作為一個(gè)公開(kāi)的區(qū)塊鏈平臺(tái)，必須避免成為洗錢(qián)和其他違法行為的媒介。

Vitalik提出了一個(gè)名為"隱私池"的解決方案，致力于平衡區(qū)塊鏈的隱私保護(hù)和合規(guī)需求。然而，隱私保護(hù)和合規(guī)性的挑戰(zhàn)是什么？如何平衡隱私和合規(guī)性？對(duì)于這兩個(gè)問(wèn)題，Salus提供了深入且具有指導(dǎo)意義的討論。

（1）隱私保護(hù)和合規(guī)性挑戰(zhàn)

在實(shí)現(xiàn)隱私保護(hù)的同時(shí)，確保交易合規(guī)是一項(xiàng)挑戰(zhàn)，這一點(diǎn)可以通過(guò)分析Tornado Cash案例得到生動(dòng)的展示。

Tornado Cash是一種加密貨幣的混合器（mixer），將大量的存取款行為混合在一起。用戶在一個(gè)地址存入 token 后，出示 ZK Proof 證明自己存過(guò)款，再用一個(gè)新地址提款。 這兩種操作是公開(kāi)在鏈上的，但二者之間的對(duì)應(yīng)關(guān)系不公開(kāi)，所以具有匿名性。雖然它可以用戶增強(qiáng)隱私性，但通常被非法行為者用來(lái)洗錢(qián)。因此，美國(guó)財(cái)政部OFAC最終將Tornado Cash的智能合約地址列入了制裁名單。監(jiān)管機(jī)構(gòu)認(rèn)為該協(xié)議為洗錢(qián)提供了方便，不利于打擊金融犯罪。

Tornado Cash在隱私保護(hù)中的不足之處在于，無(wú)法驗(yàn)證用戶的token來(lái)源是否合規(guī)。針對(duì)此問(wèn)題，Tornado Cash提供了一個(gè)中心化服務(wù)器用來(lái)幫助用戶證明他的token是合規(guī)的。但是，服務(wù)器必須獲取用戶提供提款的具體信息，確定這個(gè)提款對(duì)應(yīng)的是哪一個(gè)存款，以此來(lái)生成證明。這種中心化的機(jī)制不僅存在信任假設(shè)代價(jià)，還會(huì)產(chǎn)生信息不對(duì)等。最終，該機(jī)制幾乎沒(méi)有用戶使用。雖然Tornado Cash實(shí)現(xiàn)了隱私功能，但它并沒(méi)有提供一個(gè)有效的機(jī)制來(lái)驗(yàn)證用戶token的來(lái)源是否合規(guī)，這才讓犯罪分子有機(jī)可乘。

（2）如何平衡隱私和合規(guī)性？

基于以上挑戰(zhàn)，Vitalik提出了Privacy Pools的概念，允許用戶在不泄露歷史交易信息的前提下，證明自己的資金來(lái)源是合規(guī)的。以此在隱私和合規(guī)性之間尋求平衡。

Privacy Pools是基于ZK和關(guān)聯(lián)集合（association set）的，允許用戶生成并發(fā)布ZK-SNARK證明，證明他們的資金來(lái)自于已知的合規(guī)來(lái)源。這意味著這筆資金屬于一個(gè)合規(guī)的關(guān)聯(lián)集合，或者不屬于一個(gè)不合規(guī)的關(guān)聯(lián)集合。

關(guān)聯(lián)集合由關(guān)聯(lián)集合提供者根據(jù)特定的策略來(lái)構(gòu)建：

1.Membership Proof：將來(lái)自所有受信任交易平臺(tái)的存款放入一個(gè)關(guān)聯(lián)集合，而且，有確切證據(jù)認(rèn)為它們是低風(fēng)險(xiǎn)的。

2.Exclusion Proof：確定一組被標(biāo)記為有風(fēng)險(xiǎn)的存款，或者有確切證據(jù)認(rèn)為是不合規(guī)資金的存款。構(gòu)建一個(gè)包含除這些存款以外的所有存款的關(guān)聯(lián)集合。

存款時(shí)，用戶通過(guò)ZK生成一個(gè)secret，并哈希計(jì)算出一個(gè)公開(kāi)的coin ID，來(lái)標(biāo)記自己與這筆資金的關(guān)聯(lián)。提款時(shí)，用戶提交一個(gè)與secret對(duì)應(yīng)的nullifier（nullifier是secret中派生的唯一標(biāo)識(shí)符），證明這筆資金是自己的。而且，用戶通過(guò)ZK來(lái)證明兩個(gè)merkle分支，以此證明自己的資金屬于已知的合規(guī)來(lái)源：

1.他的coin ID屬于coin ID tree，這是當(dāng)前發(fā)生的所有交易的集合；

2.他的coin ID屬于關(guān)聯(lián)集合樹(shù)（association set tree），這是用戶認(rèn)為的一些合規(guī)交易的集合。

（3）ZK在隱私池中的應(yīng)用場(chǎng)景？

1.保證隱私交易的靈活性：為了在隱私交易中也能處理任意面額的轉(zhuǎn)賬，每筆交易中附加了額外的零知識(shí)證明。這個(gè)證明能確保創(chuàng)建的token的總面額不會(huì)超過(guò)被消費(fèi)的token的總面額，以此來(lái)保證交易的有效性。其次，ZK通過(guò)驗(yàn)證每個(gè)交易對(duì)原始存款token ID 的承諾來(lái)維護(hù)交易的連續(xù)性和隱私性，使得即使在部分取款的情況下，也能保證每筆取款與其對(duì)應(yīng)的原始存款相關(guān)聯(lián)。

2.抵抗余額求和攻擊（balance-summing attacks）：通過(guò)合并token并對(duì)一組token ID進(jìn)行承諾，以及對(duì)多個(gè)輸入的交易進(jìn)行父交易的并集承諾，可以抵抗余額求和攻擊。這種方法依賴于ZK，確保所有承諾的token ID都在其關(guān)聯(lián)集合中，從而增強(qiáng)交易的隱私性。

2.2 社交恢復(fù)

在現(xiàn)實(shí)生活中，我們可能有多個(gè)銀行卡賬戶。丟失銀行卡密碼就意味著我們無(wú)法使用銀行卡里面的資金。在這種情況下，我們通常會(huì)去銀行尋求幫助來(lái)找回密碼。

類似的，在以太坊等區(qū)塊鏈中，我們可能有多個(gè)地址（賬戶）。私鑰就如同銀行卡密碼，是控制賬戶資金的唯一工具。一旦你丟失了私鑰，你就失去了對(duì)賬戶的控制權(quán)，無(wú)法再訪問(wèn)賬戶中的