智能合约＋隐私保护可以擦出怎样的火花

论文标题：Hawk: The Blockchain Model of Cryptography and Privacy-Preserving Smart Contracts

论文作者：Ahmed Kosba, Andrew Miller, Elaine Shi, Zikai Wen, Charalampos Papamanthou

本文为我这学期选的徐恪老师的《赛博智能经济与区块链》布置的五篇阅读报告的第三篇。

我继续沿着区块链+隐私保护这个主题阅读了第三篇论文，马里兰大学和康奈尔大学的合作研究项目Hawk力求建立一个隐私保护的智能合约系统，和zerocash一样运用了零知识证明，依赖于zk-SNARK。Hawk这个名字很有意思，中文是鹰，而以太坊的四种高级编程语言之一Serpent的中文是蛇，其联系不言而喻。

众所周知，以太坊实现了在区块链上运行任何用户定义的程序，也就是现在十分流行的去中心化智能合约系统。区块链为其保证了数据和计算的正确性和可用性，但没有提供隐私性。尽管用户可以通过化名来实现一定的匿名性，但金钱交易的细节仍然暴露在公众视野里，这大大限制了以太坊的应用场景。比如在论文里举例的密封二价拍卖，如果是用传统的智能合约，所有的报价都是公之于众的，但事实上竞拍者势必报价不同步，且互相不希望在提交前泄露自己的报价信息，否则将有可能出现操纵行为。又比如论文里的另一个例子剪刀石头布游戏，玩家提交自己的输入（剪刀、石头或布），合约执行时根据双方输入决定赢家，那么完全可以等待对方提交输入后再决定自己的输入即可轻松获胜。如果去中心化智能合约想被更广泛地接纳，则必须解决隐私性的问题，因为个人和组织普遍将保险合同和股票交易等金融业务里的信息视为高度机密。

尽管我前两篇阅读的论文Zerocoin和Zerocash，以及Pinoccio Coin和Cryptonote都在设计隐私保护的密码学货币方面做出贡献，但都放弃了可编程性，所以Hawk的另一目标就是实现非密码学专家编程者友好的编译器。换句话说，如果一个用户想发布具有隐私保护特性的智能合约，他在写程序的时候不需要考虑密码学细节，只需要交给Hawk的编译器，就可以自动编译实现参与者、执行者和区块链三方之间的密码学协议。

Hawk的安全保障围绕两方面：链上隐私和合约隐私。链上隐私规定不向未参与合约的第三方公开交易细节，除非合约双方（参与者、执行者）自愿披露信息。尽管交易量和金额等数据是在区块链上交换的，以确保公平，防止用户中止，但它们也是通过Hawk依靠零知识证明等手段加密隐藏后才公开的。合约隐私则保护的是合约参与者之间的合约共识，它包括：输入独立隐私（每一位拍卖参与者的报价都是独立于他人的，即便他和拍卖执行者合谋，也无法在委托自己的报价前得知他人的报价）、事后隐私（只要执行者不披露信息，即便是拍卖后，参与者的报价信息还是保密的）、经济公平（用户如果为了避免支付或影响财富的重新分配而中止拍卖，他会受到经济惩罚，其余参与合约者得到补偿）和惩罚不诚实执行者（中止拍卖、影响拍卖和分配结果、与某些参与者合谋）。其中经济公平在链下协议如安全多方计算中没有满足，但Hawk不仅提供了内嵌机制，还允许合约编程者定义其他经济公平的规则。

论文还测试了密封拍卖、剪刀石头布、众筹和交换金融工具四个应用的性能以体现Hawk的有效性。Hawk不仅是首个实现智能合约+隐私保护的系统，还是首个将区块链在密码学上正式建模的（提出了通用可组合模型，已被Gyges用于研究犯罪智能合约）。