作者:Manta Network
今年以來(lái),ZK (Zero-Knowledge Proofs,零知識(shí)證明)無(wú)疑是我們看到最頻繁的行業(yè)詞匯之一。無(wú)論是 Vitalik 關(guān)于 ZK 將成為未來(lái)重大技術(shù)革命的言論,還是 StarkWare、zkSync 等項(xiàng)目的最新進(jìn)展都讓 ZK 敘事在2022年備受期待。
關(guān)于零知識(shí)證明的研究最早由 MIT 教授 Shafi Goldwasser、Silvio Micali 和 密碼學(xué)大師 Charles Rackoff 在二十世紀(jì)八十年代的一篇學(xué)術(shù)論文——《交互性證明系統(tǒng)的知識(shí)復(fù)雜度》中提出。通過(guò)零知識(shí)證明,證明者可以在不披露信息本身的情況下向驗(yàn)證者證實(shí)信息的真實(shí)性。在二三十年前,這個(gè)計(jì)算機(jī)理論學(xué)家的腦洞還被外界認(rèn)為是“不靠譜的”。而最近十年,ZK 技術(shù)發(fā)展日新月異,當(dāng)初論文中的設(shè)想也正成為現(xiàn)實(shí)。
從技術(shù)角度說(shuō),ZK 是證明者與驗(yàn)證者兩方之間的一個(gè)協(xié)議,證明者可以在不透露證明本身之外任何信息的前提下,讓驗(yàn)證者確認(rèn)某項(xiàng)證明是有效的。這是證明的“零知識(shí)”部分——沒(méi)有知識(shí)或信息可以支持這條證明,除了證明本身。正是如此,這項(xiàng)技術(shù)才更加重要。
從應(yīng)用角度來(lái)講,ZK 有兩個(gè)非常重要的方向:
隱私性——ZK 做到了信息的隱私性。在交易中,如果你需要證明擁有某種未花費(fèi)的資產(chǎn),但是又不想暴露資產(chǎn)的整個(gè)來(lái)源去向,ZK 可解決比特幣等區(qū)塊鏈平臺(tái)中交易透明性帶來(lái)的信息泄露,如轉(zhuǎn)賬地址和金額;
可拓展性——若某個(gè)區(qū)塊直接驗(yàn)證的時(shí)間很長(zhǎng),可改為由一人驗(yàn)證并生成證明,而網(wǎng)絡(luò)中的其他人快速驗(yàn)證該證明,而不再需要每個(gè)人都花很長(zhǎng)時(shí)間來(lái)直接驗(yàn)證;
ZK 主要有兩種類型:zkSNARK (簡(jiǎn)潔非交互式零知識(shí)證明)和 zkSTARK(簡(jiǎn)潔全透明零知識(shí)證明)。zkSNARK 的概念最早于 2013年被學(xué)者提出,目前已比較成熟, Zcash 是首個(gè)應(yīng)用 zkSANRK 技術(shù)的區(qū)塊鏈項(xiàng)目。
ZK 技術(shù)目前已被用于各大 Rollup 方案,來(lái)解決以太坊的可拓展性和高昂的手續(xù)費(fèi)問(wèn)題。StarkWare、zkSync (出自 Matters Lab)、Aztec、Loopring 是目前 zk-rollup 領(lǐng)域的主要選手。
如何更好地理解這項(xiàng)密碼學(xué)技術(shù)的意義呢?我們需要從共識(shí)說(shuō)起。以太坊上高交易成本背后的經(jīng)濟(jì)學(xué)原因在于共識(shí):共識(shí)一定是昂貴的,因?yàn)椴毁F的共識(shí)是不可信的。
假設(shè)有10,000個(gè)節(jié)點(diǎn),每個(gè)節(jié)點(diǎn)做同樣的計(jì)算,這樣產(chǎn)生的結(jié)果就很可靠,不會(huì)因?yàn)樯俨糠止?jié)點(diǎn)的不誠(chéng)實(shí)而對(duì)共識(shí)結(jié)果產(chǎn)生影響。這也是為何區(qū)塊鏈可以去中心化——通過(guò)算法的手段建立信任。
然而共識(shí)的成本在于10,000臺(tái)電腦重復(fù)計(jì)算,成本比在1臺(tái)電腦上貴10,000倍。這是所有共識(shí)協(xié)議,不管是 PoW 還是 PoS 所存最大的問(wèn)題。
而 ZK 就是可以從本質(zhì)上降低成本的一種方式——我們可以在1臺(tái)電腦運(yùn)行計(jì)算,其它電腦則用密碼學(xué)的方法驗(yàn)證計(jì)算的可靠性,并不需要重復(fù)計(jì)算。在以太坊等比較昂貴的鏈上,驗(yàn)證計(jì)算的正確性要比重復(fù)計(jì)算更便宜,更節(jié)省 gas。
這也是大家紛紛看好 zk-Rollup 的原因。zk-Rollup 搭建在 L1 主鏈之上,它將多筆交易打包成一筆提交給以太坊主鏈,通過(guò)零知識(shí)證明(SNARK 或 STARK)而被主鏈快速驗(yàn)證,而不是讓主鏈單獨(dú)處理每一筆交易,這樣每筆交易的大小會(huì)進(jìn)行壓縮,同時(shí)零知識(shí)證明驗(yàn)證的成本會(huì)分?jǐn)偟矫總€(gè)交易上,于是可以節(jié)省 Gas 費(fèi)和提高 TPS。
隱私也是 ZK 的另外一個(gè)重要的應(yīng)用領(lǐng)域。從信息論的角度來(lái)講,隱私是信息泄露的問(wèn)題,想要保證鏈上隱私,必須通過(guò)密碼學(xué)的解決方案,將鏈上數(shù)據(jù)進(jìn)行加密,讓鏈上的每筆交易記錄之間沒(méi)有關(guān)聯(lián)性。通過(guò) ZK 能夠驗(yàn)證計(jì)算而不會(huì)泄露有關(guān)輸入和計(jì)算本身的任何信息,這也是當(dāng)前唯一從密碼學(xué)手段保證鏈上隱私的工具。
在 Web3.0 概念中非常重要的一點(diǎn)是,用戶真正掌握自己的身份和數(shù)據(jù)所有權(quán)。而目前區(qū)塊鏈上所有的信息(地址、轉(zhuǎn)賬記錄等)都是公開(kāi)的,通過(guò)機(jī)器學(xué)習(xí)、大數(shù)據(jù)挖掘可以非常容易地獲得用戶的信息,相比于 Web2.0 時(shí)代,隱私問(wèn)題有過(guò)之而無(wú)不及。雖然目前區(qū)塊鏈用戶尚沒(méi)有廣泛且強(qiáng)烈的隱私意思,但如果想要實(shí)現(xiàn) Web3.0 的愿景,人們必須要有權(quán)力擁有自己的鏈上隱私。它可以不是必選項(xiàng),但一定是可選項(xiàng)。
為了改善區(qū)塊鏈網(wǎng)絡(luò)中存在的隱私泄露問(wèn)題,2014年,幾位密碼學(xué)專家在比特幣的代碼基礎(chǔ)上,采用了 zkSNARK 創(chuàng)造了首個(gè)可以實(shí)現(xiàn)完全匿名的區(qū)塊鏈項(xiàng)目 Zcash。zkSNARK 可以在不透露任何敏感數(shù)據(jù)(金額、地址等)的情況下來(lái)驗(yàn)證交易的合法性,為用戶在使用加密資產(chǎn)進(jìn)行交易時(shí)提供更高級(jí)別的隱私。
零知識(shí)證明首先是個(gè)密碼學(xué)協(xié)議,一方(證明者)可以在不公開(kāi)解決辦法的情況下讓另一方(驗(yàn)證者)相信他知道一個(gè)數(shù)學(xué)難題的解決辦法。
在隱私轉(zhuǎn)賬中,需要?jiǎng)?chuàng)建證明來(lái)驗(yàn)證“一筆之前未被花費(fèi)過(guò)的資產(chǎn)從一個(gè)用戶的地址發(fā)送到另一個(gè)用戶地址,他們被隱藏的賬戶地址都相應(yīng)地更新了余額變化,且這筆資產(chǎn)不會(huì)被第一個(gè)用戶再花費(fèi)。” Zcash 可以將用戶和交易的信息盡可能地匿名,而同時(shí)這筆交易依然可以被網(wǎng)絡(luò)共識(shí)有效地驗(yàn)證。
匿名交易如果想要順利進(jìn)行,必須滿足一定的條件。比如 Zcash 需要用戶發(fā)布一個(gè) “commitment”,以及一個(gè)“nullifier”。
Commitment 是指 Zcash 鏈上未花費(fèi)的余額。正如比特幣網(wǎng)絡(luò)一樣,Zcash 網(wǎng)絡(luò)上的節(jié)點(diǎn)也會(huì)保留各個(gè)賬戶余額,以證明資金可以用來(lái)花費(fèi)。如果用戶想要發(fā)送 ZEC,需要發(fā)布一個(gè) commitment,來(lái)證明“看,我有這些錢(qián)”(但是不會(huì)公布具體有多少錢(qián))。而 nullifier 則是用來(lái)說(shuō)明同樣數(shù)量的資金已經(jīng)被預(yù)留了。
如果 Alice 想發(fā)給 Bob一筆 ZEC,她需要用 commitment 來(lái)證明她擁有使用這筆資金的權(quán)力,同時(shí)她需要 nullifier 來(lái)證明這些數(shù)量的錢(qián)已經(jīng)為Bob預(yù)留了(當(dāng)然是在不暴露 Bob 身份的前提下)。交易發(fā)送方把這些私密信息加密后直接放到交易中上鏈,接收方再通過(guò)某種方式解密以獲得私密信息。
匿名轉(zhuǎn)賬和比特幣一樣依賴于哈希加密,但是 zkSNARK 在其基礎(chǔ)上增加了一個(gè)隱私層。
zkSNARK 不僅可以用于加密資產(chǎn)間的匿名交易,同樣可以用于幫助越來(lái)越多的應(yīng)用實(shí)現(xiàn)隱私化。Web3 時(shí)代,我們已經(jīng)看到了 DeFi、NFT、GameFi 、SocialFi 等應(yīng)用層的大爆發(fā),鏈上行為越來(lái)越豐富,單純的匿名轉(zhuǎn)賬已經(jīng)不能夠滿足人們對(duì)于隱私的需求。
想象一下,基于 ZK 技術(shù),許多大膽的創(chuàng)意都可以成為可能。比如完全去中心化的隱私的 message board,讓用戶可以在不暴露具體身份的情況下證明自己的可信度:“我是一名美國(guó)官員”,“我是一個(gè)粉絲10萬(wàn)的 Twitter KOL”;我們還可以在鏈上 MMO 游戲中隱匿玩家地點(diǎn),做到真正去中心化的「密碼學(xué)戰(zhàn)爭(zhēng)迷霧」,類似的事情 Dark Forest 已經(jīng)在做了。這樣的例子還有很多,大家可以盡情發(fā)揮想象力。但正如有人所預(yù)測(cè)的那樣,下一代的以太坊 dapp 可能并不是在原有應(yīng)用基礎(chǔ)上的改進(jìn),而是來(lái)自于前所未有的新事物。
當(dāng)然 ZK 技術(shù)目前仍處于早期,還有許多值得探索和改進(jìn)的地方,但可以預(yù)見(jiàn)的是,未來(lái)將有越來(lái)越多的區(qū)塊鏈在鏈上運(yùn)行 ZK 驗(yàn)證者。
由于 ZK 技術(shù)的難度較高,目前使用 ZK 技術(shù)來(lái)解決區(qū)塊鏈隱私問(wèn)題的項(xiàng)目并不多,我們熟知的包括 ZCash、TornadoCash、Aleo 等,而 Manta 是波卡生態(tài)內(nèi)首個(gè)基于 zkSNARK 的 Web3 隱私保護(hù)項(xiàng)目,Manta 的主要產(chǎn)品包括隱私支付 MantaPay 和隱私 AMM DEX MantaSwap。
借助于 Polkadot 平行鏈之間的互操作性,MantaPay 可以將 Polkadot 以及平行鏈資產(chǎn)兌換成隱私資產(chǎn),這樣用戶可以在使用各種封裝穩(wěn)定幣、BTC 等資產(chǎn)的同時(shí)享受隱私資產(chǎn)所帶來(lái)的匿名性。
MantaPay 的隱私支付產(chǎn)品和現(xiàn)在以太坊上基于智能合約的去中心化應(yīng)用有很大不同,Manta Network 本身是網(wǎng)絡(luò)層,在速度、成本和功能等方面提供了更多的靈活性。Manta 擁有自己的基于 UTXO 的錢(qián)包地址體系,用戶可以進(jìn)行隱私資產(chǎn)的存儲(chǔ)、轉(zhuǎn)賬和兌換,可以做到真正意義上的全面的隱私。舉個(gè)例子,一個(gè)用戶可以分別向不同的人發(fā)送10個(gè)和2個(gè)隱私 DOT。而在 Tornado Cash 上,一筆隱私交易只能提取為一筆公開(kāi)轉(zhuǎn)賬,并不能被分散。
此外,Manta 的費(fèi)用結(jié)構(gòu)并不受 ETH POW 共識(shí)的限制,而是作為專門(mén)為隱私交易而建立的網(wǎng)絡(luò)層,可以為用戶提供費(fèi)用更低的轉(zhuǎn)賬體驗(yàn)。
基于 AMM 和 zkSNARK 的隱私兌換協(xié)議 MantaSwap 則可以完成隱私資產(chǎn)之間的類似于 Uniswap, Curve 的去中心化交易同時(shí)滿足交易地址的隱私性。(更多關(guān)于 MantaSwap 的介紹請(qǐng)參考《為什么我們需要一個(gè)隱私版 Uniswap?》)
在上線 Manta1.0 的 MantaPay 及 Manta2.0 的 MantaSwap 后,Manta 3.0 將基于Manta 的基礎(chǔ)設(shè)施推出 zkSNARK 智能合約平臺(tái),允許社區(qū)用戶和開(kāi)發(fā)團(tuán)隊(duì)在平臺(tái)之上構(gòu)建自己的各種隱私保護(hù)產(chǎn)品,如隱私 DAO 工具、隱私 NFT marketplace 等等。Manta 的長(zhǎng)期愿景是成為區(qū)塊鏈應(yīng)用的隱私保護(hù)平臺(tái),為整個(gè)區(qū)塊鏈?zhǔn)澜缣峁└憬莸碾[私保護(hù)服務(wù)。
關(guān)鍵詞: 技術(shù)為何重要為何要堅(jiān)定不移看好
