Tornado.cash: 一个关于匿名和zk-SNARKs的故事
Tornado.cash: 一个关于匿名和zk-SNARKs的故事
- 译文出自:登链翻译计划[1]
- 译者:翻译小组[2]
- 校对:Tiny 熊[3]
越来越多的项目攻击后,我们可以看到一种新的黑客模式出现:
- 通过tornado.cash[4]获得匿名 ETH。
- 用 ETH 来支付黑客交易的费用。
- 使用闪电贷来减少资本需求。
- 通过大量的资本,创造一些失衡(imbalances),并对失衡进行套利。
- 尽可能多地重复前面的过程
- 偿还闪存贷款,留下利润。
闪电贷和创造失衡当然值得写博客文章。但本文我们将仔细研究Tornado.cash[5]。
那么 Tornado.cash 是什么呢?
Tornado.cash
Money RoomTornado.cash是一个充满钱的屋子
想象一下,我们有一个房间,只有一扇门,房间门口有一个警卫。任何人都可以走到警卫面前,给他一张 100 美元的纸币。警卫接过纸币,把它放在上锁的房间里。然后他要求给钱的人想一个非常大的数字。这个人没有直接给他这个数字,而是计算出这个数字的哈希值,写下来交给警卫。带有哈希值的纸被扔进一个大碗里。
不妨想象一下,随着时间的推移,成百上千的人也会这样做。然后,房间里会有成千上万张 100 美元的纸币,警卫会有一个碗,里面有成千上万张含有哈希值的纸。
如果有人想要回他的 100 美元,他可以走到警卫那里。最简单的解决办法就是向警卫出示之前的随机数。警卫可以计算哈希值,并检查所有文件是否有这样的哈希值。如果他发现一个,他就会销毁那张纸,并把 100 美元还给你。
但如果我们这样做,存在警卫作恶的风险?他可以秘密地追踪哪张 100 美元属于哪个随机数,从而暴露我们的身份。
用球为例解释零知识
现在,如果我们能向警卫证明,我们知道一个秘密的数字,在不透露实际数字的情况下,在碗内对承诺进行哈希运算呢?那么,我们可以用零知识证明来做到这一点。零知识证明是很复杂的,但概念化的简单方法是下面这个例子(感谢 Lucas 在 ETH.Berlin 给我这个例子)。
想象一下,你是盲人,我给你两个球,感觉完全一样,重量也一样。现在我告诉你这两个球的颜色不同。附近没有其他人。你怎么能知道我说的是不是真的呢?
你可以在每只手上放一个球,把它们展示给我看。现在你把它们放在你的背后,你要么在两只手之间交换球,要么不交换。然后你把它们拿给我看,并问我:'我是否交换了球?现在,如果两个球都是同样的颜色,将有 50%的机会猜对。但如果连续答对了 15 次,你几乎可以肯定(99.997%的把握)说这两个球确实是不同颜色的。因为随机猜对 15 次,几乎不可能。
我现在已经向你证明了这些球是不同颜色的,但却没有透露实际的颜色,因此被称为 零知识证明。你不知道这些球是绿色、黑色、橙色还是别的什么。
取回你的钱
现在有人可以向警卫证明,他实际上知道一个数字,这个数字对应碗里的一个数字。这个证明产生了一个特定的签名。警卫写下签名,并将其储存起来。每当有人提供一个新的证明时,他可以检查同一证明是否已经被使用。如果它已经被使用过,那么有人试图用相同的随机数字获得多张 100 美元。
因此,尽管该数字的哈希值仍在我们的碗内,而且警卫不知道哪些哈希值已经再次取出了 100 美元,但他可以意识到有人正试图多次使用同一证明。
现在拿回这 100 美元后,他们不能直接追溯到原来的 100 美元,即使警卫是恶意的。
从零知识到 zk-SNARKs
在区块链的世界里,正常的零知识证明有一个问题:连续问很多遍,等待答案,需要来回几次交易。这根本就不是很有效率。有了 zk-SNARKs,或者非交互式零知识证明,我们可以在一轮中完成证明。基本上,问题是根据随机预言机模型[6]预先确定的。然后验证者可以在一次交易中发送所有答案。
zk-SNARKs 的概念是一个非常有趣的话题。Vitalik 发布了一个适合初学者的介绍链接[7]。好吧,尽可能的方便初学者。如果你想真正深入了解它背后的数学,这将是不容易的。我自己当然没有弄清楚文章中的所有内容,但如果你只想知道基本情况,这里是我的高层次理解:
- zk-SNARKs 是基于非常繁重的计算,比如计算 1 亿次哈希值。
- 验证一个证明本身并不要求运行繁重的计算。
- 实际数据由多项式[8]表示,例如:
x² - 4x + 7。 - 使用因子定理[9],我们可以将某些多项式转化为其最低度多项式的倍数。
- 然后利用多项式承诺和Schwartz-Zippel lemma[10],我们可以通过随机检查一些坐标来验证此类多项式的证明。
要正确理解这一点,请阅读 Vitalik 的文章:https://vitalik.ca/general/2021/01/26/snarks.html。
从理论到实践:Tornado.cash
tornado.cash
使用 zk-SNARKs,tornado.cash 允许你将固定金额的 ETH、DAI、cDAI、USDC、cUSDC 或 USDT 存入合约。在存款时,你会收到一个备份代码,用于以后提取资金。
**为什么用固定金额?**基本上每个固定金额都是它自己的匿名性设置。你可以在上面的截图中看到,当时 0.1ETH 的匿名度是 426。意味着目前还有 426 人可以获得 0.1ETH。而由于存款是公开信息,当你存入 0.1ETH 时,这些 0.1ETH 以后可以追踪到这 427 人,但不能直接追踪到你。
**这有多安全?**在匿名性方面,匿名集有多大,人们的存款和提款有多频繁,它就有多安全。如果你有一个 30,000 人的集合,但几个月没有存款/提款。现在你来存款,等了一天又取款,要追踪资金到你身上将是非常容易的。因此,请密切关注统计页面[11]。
它是如何工作的? 利用pedersen hash function[12]可以有效地计算出椭圆曲线上的 hash,以用于 zk-SNARK。snarkjs[13] 则用来进行初始设置和自动生成 Solidity 验证器合约。
所有细节可在白皮书[14]中找到。
Tornado.cash 的治理
Tornado.cash 协议正在计划增加治理[15]。将包括自己的 TORN 代币,TORN 55% 将被用作金库,30%支付给团队和投资者,5%空投给服务的早期用户以及 10%用于新概念的匿名挖矿。
由于 tornado.cash 服务只有在很多人使用时才是安全的,所以 TORN 会进一步激励人们在合约中留下资金,并为此向他们支付 TRON。这将以充分保持矿工的匿名性的方式进行。
去匿名化
现在有人已经开始尝试去匿名化用户[16]。这可以通过三个指标来达到目的:
- 发送存款/取款的每日的时间
- Gas 价格分布
- 交易图表分析
例如:
- 当该服务的大多数用户生活在欧洲,而你生活在新西兰,在你的时间下午 4 点左右与合约交互时,在欧洲将是凌晨 4 点。因此,要识别你会非常容易。
- 大多数钱包倾向于 MetaMask 自动设置 Gas 价格,从而提供一些信息来识别用户。
- 拥有多个地址的用户可能用这些地址与相同的服务进行交互。在最坏的情况下,这些地址之间甚至有直接的联系,或是通过交易图表能够将某些地址映射在一起。
如果你严格遵守规则,所有这些问题都是可以防止的:
- 使用 0-24 的随机数发生器,在你发送存款/取款时为你生成一个时间
- 在随机数生成器的帮助下,手动设置你的交易 gas 成本,或使用多个钱包
- 使用一个新的地址取款,以后不要用这个地址和另一个地址使用相同的服务
本翻译由 Cell Network[17] 赞助支持。
来源:https://soliditydeveloper.com/tornado.cash
参考资料
[1]
登链翻译计划: https://github.com/lbc-team/Pioneer
[2]
翻译小组: https://learnblockchain.cn/people/412
[3]
Tiny 熊: https://learnblockchain.cn/people/15
[4]
tornado.cash: https://tornado.cash/
[5]
Tornado.cash: https://tornado.cash/
[6]
随机预言机模型: https://en.wikipedia.org/wiki/Random_oracle
[7]
链接: https://vitalik.ca/general/2021/01/26/snarks.html
[8]
多项式: https://en.wikipedia.org/wiki/Polynomial
[9]
因子定理: https://en.wikipedia.org/wiki/Factor_theorem
[10]
Schwartz-Zippel lemma: https://en.wikipedia.org/wiki/Schwartz-Zippel_lemma
[11]
统计页面: https://explore.duneanalytics.com/public/dashboards/UEU02CHiGtNw9crfeD6OJ7bKPnvFtNjOgZ7Vc6uj
[12]
pedersen hash function: https://iden3-docs.readthedocs.io/en/latest/iden3_repos/research/publications/zkproof-standards-workshop-2/pedersen-hash/pedersen.html#pedersen-hash
[13]
snarkjs: https://github.com/iden3/snarkjs
[14]
白皮书: https://tornado.cash/Tornado.cash_whitepaper_v1.4.pdf
[15]
正在计划增加治理: https://tornado-cash.medium.com/tornado-cash-governance-proposal-a55c5c7d0703
[16]
去匿名化用户: https://arxiv.org/pdf/2005.14051.pdf
[17]
Cell Network: https://www.cellnetwork.io/?utm_souce=learnblockchain