1. 背景

以太坊聯(lián)合創(chuàng)始人Vitalik Buterin曾明確指出，如果不進(jìn)行隱私過渡的技術(shù)轉(zhuǎn)變，以太坊就會失敗。因為所有交易都公開可見，對許多用戶來說隱私犧牲太大，大家都會轉(zhuǎn)向至少在某種程度上隱藏數(shù)據(jù)的中心化解決方案。

2023年，Vitalik在隱私保護(hù)和零知識證明（zero-knowledge proofs，ZK）技術(shù)的推進(jìn)上進(jìn)行了一系列的研究。上半年，Vitalik在他的網(wǎng)站上發(fā)布了三篇專門討論ZK和隱私保護(hù)的文章。4月，他在Reddit上也展示了一項關(guān)于錢包監(jiān)護(hù)人隱私問題的研究。9月，他與其他專業(yè)人士共同撰寫了一篇論文，提出了一種針對平衡隱私與合規(guī)之間的解決方案。

此外，以太坊生態(tài)也在積極推動這個話題的討論和普及。在3月份的ETHDenver活動中，舉辦了一場專注于隱私的特別活動。在5月份的EDCON（Ethereum Community Conference）年度會議上，Vitalik強調(diào)了“未來 10 年，ZK-SNARK將與區(qū)塊鏈一樣重要”。

本文追蹤了2023年以太坊生態(tài)在利用ZK技術(shù)推進(jìn)隱私保護(hù)方面的最新動態(tài)。如果您想躋身于以太坊ZK賽道，本文能提供必要的解讀和指導(dǎo)。

2. 以太坊ZK賽道：打造隱私保護(hù)的未來

以太坊的透明性可能使用戶的個人信息面臨泄露風(fēng)險。以太坊等區(qū)塊鏈上沒有秘密，所有信息都是公開的，這包括交易、投票等其他鏈上活動。這樣的公開性可能導(dǎo)致特定的交易和地址被追蹤，并與真實用戶身份關(guān)聯(lián)。因此，在以太坊上實現(xiàn)隱私保護(hù)變得至關(guān)重要。想要隱藏鏈上信息可以通過加密技術(shù)來實現(xiàn)，但挑戰(zhàn)在于在保護(hù)隱私的同時，確保這些交易的有效性得以驗證。ZK技術(shù)提供了一種解決方案，能夠在不透露額外信息的情況下證明交易的真實性，兼顧了隱私和可驗證性。

以太坊高度重視ZK-SNARK，特別是在某些關(guān)鍵的隱私保護(hù)應(yīng)用場景中，其重要性尤為突出。這一點在Vitalik的研究和提議中得到了明顯體現(xiàn)，Salus整理了Vitalik在其研究中提出的典型場景，即隱私交易和社交恢復(fù)。

2.1 隱私交易

關(guān)于隱私交易，Vitalik提出了兩個概念：隱私地址（Stealth Addresses）和隱私池（Privacy Pools）。

1.隱私地址方案允許在隱藏交易接受者身份的前提下進(jìn)行交易。這種方案既提供了隱私保護(hù)功能，同時又確保了交易的透明度和可審計性。

2.基于隱私池協(xié)議，用戶可以在不披露歷史交易的前提下，證明自己的交易資金屬于已知合規(guī)來源。這種方案允許用戶在遵守法規(guī)的前提下，進(jìn)行隱私交易。

這兩個方案都離不開ZK。在這兩種場景下，允許用戶生成零知識證明，來證明他們的交易的有效性。

2.1.1 隱私地址

假設(shè)Alice打算向Bob轉(zhuǎn)移某種資產(chǎn)，當(dāng)Bob接收該資產(chǎn)時，他并不希望全球公眾都知道他是接收者。盡管難以掩蓋資產(chǎn)轉(zhuǎn)移行為的事實，但隱藏接收者的身份則具有可能性。正是在這樣的背景下，隱私地址方案應(yīng)運而生，其主要解決的問題便是如何有效隱藏交易接收方的身份。

那么，隱私地址究竟與普通的以太坊地址有什么區(qū)別？如何使用基于ZK的隱私地址進(jìn)行隱私交易？Salus將逐一為您進(jìn)行介紹。

（1）隱私地址與普通的以太坊地址有什么區(qū)別？

隱私地址是允許交易發(fā)送者以非交互方式生成，且只能由其接收者訪問的地址。我們從隱私地址由誰生成，誰可以訪問兩個維度來說明其與普通的以太坊地址的區(qū)別。

由誰生成？

普通的以太坊地址由用戶本人根據(jù)加密和哈希算法生成。而隱私地址可以由本人生成，也可以由交易的另一方生成。例如，Alice向Bob轉(zhuǎn)賬時，Bob用來進(jìn)行接受轉(zhuǎn)賬的地址可以由Bob生成，也可以由Alice生成，但只能由Bob控制 。

誰可以訪問？

普通的以太坊賬戶下的資金種類、數(shù)量和來源都是公開可見的。而在使用隱私地址進(jìn)行的交易中，只有接收者才能訪問存儲在其隱形地址中的資金。觀察者無法將接受者的隱私地址與他們的身份關(guān)聯(lián)起來，從而保護(hù)了收件人的隱私。

（2）如何使用基于ZK的隱私地址進(jìn)行隱私交易？

如果Alice想要向Bob的隱私地址發(fā)送資產(chǎn)，以此來隱藏交易接收方。下面是交易過程的詳細(xì)說明：

1.生成隱私地址

●Bob生成并保存一個消費密鑰（spending key），這是一個私鑰，可以用來消費發(fā)送到Bob的隱私地址的資金。

●Bob使用消費密鑰生成一個隱私元地址（stealth meta-address），這個地址可以用來為給定的接收者計算一個隱私地址，并將隱私元地址傳遞給Alice。Alice對隱私元地址進(jìn)行計算，生成一個屬于Bob的隱私地址。

2.發(fā)送資產(chǎn)到隱私地址

●Alice將資產(chǎn)發(fā)送到Bob的隱私地址。

●由于Bob此時并不知道這個隱私地址是自己的，所以Alice還需要在鏈上發(fā)布一些額外的加密數(shù)據(jù)（一個臨時公鑰，ephmeral pubkey），幫助Bob發(fā)現(xiàn)這個隱私地址屬于他。

上述過程中的隱私地址也可以使用由哈希構(gòu)造的零知識證明和公鑰加密來構(gòu)建。隱私地址中的智能合約代碼可以與ZK集成。通過嵌入零知識證明驗證邏輯，智能合約能夠自動驗證交易的有效性。這種構(gòu)建隱私地址的方案相比其他方案，包括橢圓曲線加密技術(shù)（elliptic curve cryptography）、橢圓曲線同源（elliptic curve isogenies）、格（lattices）、通用黑盒原語（generic black-box primitives）更為簡單。

2.1.2 隱私池

無論是通過隱藏交易接收者的身份還是交易的其他信息來實現(xiàn)隱私交易，都存在一個主要的問題：用戶如何證明自己的交易資金屬于已知合規(guī)來源，而不必披露他們的整個交易歷史。以太坊作為一個公開的區(qū)塊鏈平臺，必須避免成為洗錢和其他違法行為的媒介。

Vitalik提出了一個名為"隱私池"的解決方案，致力于平衡區(qū)塊鏈的隱私保護(hù)和合規(guī)需求。然而，隱私保護(hù)和合規(guī)性的挑戰(zhàn)是什么？如何平衡隱私和合規(guī)性？對于這兩個問題，Salus提供了深入且具有指導(dǎo)意義的討論。

（1）隱私保護(hù)和合規(guī)性挑戰(zhàn)

在實現(xiàn)隱私保護(hù)的同時，確保交易合規(guī)是一項挑戰(zhàn)，這一點可以通過分析Tornado Cash案例得到生動的展示。

Tornado Cash是一種加密貨幣的混合器（mixer），將大量的存取款行為混合在一起。用戶在一個地址存入 token 后，出示 ZK Proof 證明自己存過款，再用一個新地址提款。 這兩種操作是公開在鏈上的，但二者之間的對應(yīng)關(guān)系不公開，所以具有匿名性。雖然它可以用戶增強隱私性，但通常被非法行為者用來洗錢。因此，美國財政部OFAC最終將Tornado Cash的智能合約地址列入了制裁名單。監(jiān)管機構(gòu)認(rèn)為該協(xié)議為洗錢提供了方便，不利于打擊金融犯罪。

Tornado Cash在隱私保護(hù)中的不足之處在于，無法驗證用戶的token來源是否合規(guī)。針對此問題，Tornado Cash提供了一個中心化服務(wù)器用來幫助用戶證明他的token是合規(guī)的。但是，服務(wù)器必須獲取用戶提供提款的具體信息，確定這個提款對應(yīng)的是哪一個存款，以此來生成證明。這種中心化的機制不僅存在信任假設(shè)代價，還會產(chǎn)生信息不對等。最終，該機制幾乎沒有用戶使用。雖然Tornado Cash實現(xiàn)了隱私功能，但它并沒有提供一個有效的機制來驗證用戶token的來源是否合規(guī)，這才讓犯罪分子有機可乘。

（2）如何平衡隱私和合規(guī)性？

基于以上挑戰(zhàn)，Vitalik提出了Privacy Pools的概念，允許用戶在不泄露歷史交易信息的前提下，證明自己的資金來源是合規(guī)的。以此在隱私和合規(guī)性之間尋求平衡。

Privacy Pools是基于ZK和關(guān)聯(lián)集合（association set）的，允許用戶生成并發(fā)布ZK-SNARK證明，證明他們的資金來自于已知的合規(guī)來源。這意味著這筆資金屬于一個合規(guī)的關(guān)聯(lián)集合，或者不屬于一個不合規(guī)的關(guān)聯(lián)集合。

關(guān)聯(lián)集合由關(guān)聯(lián)集合提供者根據(jù)特定的策略來構(gòu)建：

1.Membership Proof：將來自所有受信任交易平臺的存款放入一個關(guān)聯(lián)集合，而且，有確切證據(jù)認(rèn)為它們是低風(fēng)險的。

2.Exclusion Proof：確定一組被標(biāo)記為有風(fēng)險的存款，或者有確切證據(jù)認(rèn)為是不合規(guī)資金的存款。構(gòu)建一個包含除這些存款以外的所有存款的關(guān)聯(lián)集合。

存款時，用戶通過ZK生成一個secret，并哈希計算出一個公開的coin ID，來標(biāo)記自己與這筆資金的關(guān)聯(lián)。提款時，用戶提交一個與secret對應(yīng)的nullifier（nullifier是secret中派生的唯一標(biāo)識符），證明這筆資金是自己的。而且，用戶通過ZK來證明兩個merkle分支，以此證明自己的資金屬于已知的合規(guī)來源：

1.他的coin ID屬于coin ID tree，這是當(dāng)前發(fā)生的所有交易的集合；

2.他的coin ID屬于關(guān)聯(lián)集合樹（association set tree），這是用戶認(rèn)為的一些合規(guī)交易的集合。

（3）ZK在隱私池中的應(yīng)用場景？

1.保證隱私交易的靈活性：為了在隱私交易中也能處理任意面額的轉(zhuǎn)賬，每筆交易中附加了額外的零知識證明。這個證明能確保創(chuàng)建的token的總面額不會超過被消費的token的總面額，以此來保證交易的有效性。其次，ZK通過驗證每個交易對原始存款token ID 的承諾來維護(hù)交易的連續(xù)性和隱私性，使得即使在部分取款的情況下，也能保證每筆取款與其對應(yīng)的原始存款相關(guān)聯(lián)。

2.抵抗余額求和攻擊（balance-summing attacks）：通過合并token并對一組token ID進(jìn)行承諾，以及對多個輸入的交易進(jìn)行父交易的并集承諾，可以抵抗余額求和攻擊。這種方法依賴于ZK，確保所有承諾的token ID都在其關(guān)聯(lián)集合中，從而增強交易的隱私性。

2.2 社交恢復(fù)

在現(xiàn)實生活中，我們可能有多個銀行卡賬戶。丟失銀行卡密碼就意味著我們無法使用銀行卡里面的資金。在這種情況下，我們通常會去銀行尋求幫助來找回密碼。

類似的，在以太坊等區(qū)塊鏈中，我們可能有多個地址（賬戶）。私鑰就如同銀行卡密碼，是控制賬戶資金的唯一工具。一旦你丟失了私鑰，你就失去了對賬戶的控制權(quán)，無法再訪問賬戶中的