聲明：本文僅分享個(gè)人見(jiàn)解，不構(gòu)成投資建議。

本文轉(zhuǎn)載自公眾號(hào)【GenesiSee】，原文發(fā)布時(shí)間：2023年01月18日

原文鏈接：ZK｜零知識(shí)證明研究綜述

近10年來(lái)，區(qū)塊鏈技術(shù)快速發(fā)展，隱私和擴(kuò)容成為了區(qū)塊鏈領(lǐng)域極其受關(guān)注的兩個(gè)方向。零知識(shí)證明技術(shù)因其在區(qū)塊鏈領(lǐng)域的隱私保護(hù)和擴(kuò)展能力上的優(yōu)勢(shì)逐漸進(jìn)入大眾視野。零知識(shí)技術(shù)可以讓開(kāi)發(fā)者既能利用以太坊等底層區(qū)塊鏈的安全性，又能提高dApp的交易吞吐量和速度，同時(shí)保護(hù)用戶隱私。本文將從基本概念、理論發(fā)展、主流算法、開(kāi)源庫(kù)、典型應(yīng)用等方面展開(kāi)，對(duì)零知識(shí)證明技術(shù)進(jìn)行相關(guān)梳理。

01｜基本概念

零知識(shí)證明（Zero-Knowledge Proof）實(shí)質(zhì)上是一種涉及兩方或更多方的協(xié)議，即兩方或更多方完成一項(xiàng)任務(wù)所需采取的一系列步驟。零知識(shí)證明允許一方（證明者）向另一方（驗(yàn)證者）證明一個(gè)陳述是真實(shí)的，而不透露任何超出陳述本身有效性的信息。例如，給定一個(gè)隨機(jī)數(shù)的哈希值，證明者可以說(shuō)服驗(yàn)證者確實(shí)存在具有該哈希值的數(shù)字，而無(wú)需透露它是什么。

02｜理論發(fā)展

現(xiàn)代零知識(shí)證明體系最早來(lái)源于 Goldwasser、Micali 和 Rackoff 于1985年合作提出并發(fā)表的論文《The Knowledge Complexity of Interactive Proof Systems》（即 GMR85），這篇論文闡釋了在一個(gè)交互系統(tǒng)中，經(jīng)過(guò) K 輪交互，需要多少知識(shí)被交換，從而證明一個(gè)證言是正確的，如果需要交換的知識(shí)為零，則稱之為零知識(shí)證明。

但是早年的零知識(shí)證明系統(tǒng)在效率以及可用性方面都有所欠缺，所以一直都停留在理論層面，直到最近 10 年才開(kāi)始快速發(fā)展。一個(gè)重要突破是 Groth 在 2010 年的論文 《Short Pairing-based Non-interactive Zero-Knowledge Arguments》中提出了目前零知識(shí)證明的關(guān)鍵性理論，實(shí)現(xiàn)了基于 ECC 算法的 O(1) 常數(shù)級(jí)的ZK，也是zk-SNARK 的理論先驅(qū)。

零知識(shí)證明在應(yīng)用上的重要進(jìn)展是 2015 年 Zcash 使用的零知識(shí)證明系統(tǒng)，實(shí)現(xiàn)了對(duì)交易及金額隱私的保護(hù)，后來(lái)發(fā)展到 zk-SNARKs 和智能合約相結(jié)合，ZK技術(shù)進(jìn)入了更為廣泛的應(yīng)用場(chǎng)景。

期間還出現(xiàn)了一些重要的研究成果，包括：

• 2013年，Pinocchio協(xié)議《Pinocchio: Nearly Practical Verifiable Computation》實(shí)現(xiàn)了分鐘級(jí)別證明，毫秒級(jí)別驗(yàn)證，證明大小不到300字節(jié)，將零知識(shí)證明從理論帶到了應(yīng)用，Zcash使用的SNARKs正是基于Pinocchio的改進(jìn)版；

• 2016年，《Groth16:On the Size of Pairing-based Non-interactive Arguments》算法對(duì)證明的大小進(jìn)行了精簡(jiǎn)，是目前主流的 ZK 算法中的基礎(chǔ)性算法之一；

• 2017年， 《?Bulletproofs: Short Proofs for Confidential Transactions and More》 算法被提出，設(shè)計(jì)出了一種非常短的非交互式的零知識(shí)證明，無(wú)需可信設(shè)置，讓證明提供者和驗(yàn)證者不必在同時(shí)在線，6個(gè)月后被應(yīng)用到區(qū)塊鏈項(xiàng)目 Monero；

• 2018年，論文《 zk-STARKs (BBHR18) Scalable, transparent, and post-quantum secure computational integrity》提出了一種無(wú)需可信設(shè)置的算法，這讓 zk-STARK 的發(fā)展有了一個(gè)新的突破口，后來(lái)運(yùn)用在重量級(jí) L2 項(xiàng)目 Starkware 項(xiàng)目中；

此外，Sonic、Halo、Marlin、Plonk等算法的提出對(duì) zk-SNARK 做出了某些層面上的改進(jìn)：

• 2019，Sonic，一種早期的通用 zk-SNARK 協(xié)議，支持通用、可升級(jí)的參考字符串，Sonic 的證明大小固定，但是驗(yàn)證成本高，理論上可以將多個(gè)證明分批驗(yàn)證以獲得更好的性能；

• 2019，F(xiàn)ractal，一種允許遞歸的 zk-SNARK，通過(guò)對(duì)電路的預(yù)處理實(shí)現(xiàn)了透明設(shè)置。證明最大 250KB，這比其他構(gòu)建生成的證明都要大的多；

• 2019，Halo ，支持遞歸證據(jù)組織，無(wú)需可信設(shè)置，與其他新的 zk-SNARK 構(gòu)建不同，Halo 的驗(yàn)證時(shí)間是線性的；

• 2019，SuperSonic，Sonic 的改進(jìn)版，是第一個(gè)在驗(yàn)證時(shí)間和證明數(shù)據(jù)量方面實(shí)用化的透明 zk-SNARK；

• 2019，Marlin，Sonic 的改進(jìn)版，證明時(shí)間縮短 10 倍，驗(yàn)證時(shí)間縮短 4 倍；

• 2019，Plonk，Sonic 的改進(jìn)版，證明時(shí)間縮短 5 倍；

03｜技術(shù)概述

3.1 零知識(shí)證明算法

目前零知識(shí)證明最主流的算法是zk-SNARKS、zk-STARKS以及Bulletproofs。下文將對(duì)三種算法進(jìn)行簡(jiǎn)單介紹。

zk-SNARKs

zk-SNARK（Zero-Knowledge Succinct Non-Interactive Argument of Knowledge），代表零知識(shí)簡(jiǎn)潔非交互式知識(shí)論證，由加州大學(xué)伯克利分校教授 Alessandro Chiesa 等人于2012年在論文《From extractable collision resistance to succinct non-interactive arguments of knowledge, and back again》中提出，是最早和最受歡迎的零知識(shí)證明實(shí)現(xiàn)之一。非交互零知識(shí)證明（Non-interactive proof）即證明者只需要給出證明信息，驗(yàn)證者進(jìn)行驗(yàn)證即可，在此過(guò)程驗(yàn)證者和證明者之間不需要進(jìn)行交互。

zk-SNARK使用橢圓曲線密碼學(xué) (?ECDSA?) 進(jìn)行加密，雖然 ECDSA 算法目前是安全的，但未來(lái)量子計(jì)算機(jī)的發(fā)展可能會(huì)打破其安全模型。除此之外，zk-SNARKs的啟動(dòng)需要可信設(shè)置，可信設(shè)置是指在受信任的設(shè)置中，多方各自生成一個(gè)部分密鑰來(lái)啟動(dòng)網(wǎng)絡(luò)，然后銷毀該密鑰。如果用于創(chuàng)建信任設(shè)置的密鑰的保密信息沒(méi)有被銷毀，那么這些保密信息可能會(huì)被利用通過(guò)虛假驗(yàn)證來(lái)偽造交易。

zk-SNARKs作為區(qū)塊鏈中應(yīng)用最廣泛的一種零知識(shí)證明，已經(jīng)發(fā)展出了諸多各具特點(diǎn)的協(xié)議算法，在研究路線上分為兩個(gè)方向，一類是以Groth 16 、 GKM+18 、Sonic 19 、PLONK 19等算法為代表的研究，專注于在保持有效證明系統(tǒng)的同時(shí)擺脫可信設(shè)置；另一類以 Ligero 17 、 Aurora 18 、Fractal 19等算法為代表，專注于后量子安全。其中，Groth 16和PLONK 19因提供常量級(jí)驗(yàn)證時(shí)間，是目前區(qū)塊鏈領(lǐng)域最廣泛使用的零知識(shí)證明方案。

zk-STARKs

zk-STARK （Zero-Knowledge Succinct Transparent Arguments of Knowledge），代表零知識(shí)簡(jiǎn)潔透明的知識(shí)論證，由Eli-Ben Sasson 在論文《Scalable, transparent, and post-quantum secure computationalintegrity》中提出。zk-STARK是zk-SNARK算法的一種技術(shù)演變，解決了SNARK依賴可信設(shè)置的弱點(diǎn)，可以不依賴任何信任設(shè)置來(lái)完成區(qū)塊鏈驗(yàn)證，從而降低啟動(dòng)網(wǎng)絡(luò)的復(fù)雜性并消除任何串通風(fēng)險(xiǎn)。zk-STARK 使用更精簡(jiǎn)的加密方法，避免了橢圓曲線、配對(duì)和指數(shù)假設(shè)知識(shí)的需要，而是依賴散列和信息理論，因此能夠抵御量子攻擊。由此導(dǎo)致的代價(jià)是，zk-STARK證明大小達(dá)到了zk-SNARKs的數(shù)千倍，但是在有信任最小化需求或量子計(jì)算機(jī)的場(chǎng)景下，這種代價(jià)是值得的。

Bulletfroofs

Bulletproofs（Short Non-interactive Zero-knowledge Proofs）是簡(jiǎn)短的非交互式零知識(shí)證明協(xié)議，由斯坦福應(yīng)用密碼學(xué)小組于2017年的論文《Bulletproofs: Short Proofs for Confidential Transactions and More》中提出。Bulletproofs兼顧了SNARKs和 STARKs的優(yōu)點(diǎn)，無(wú)需可信設(shè)置即可運(yùn)行，并且可以將加密證明的大小從超過(guò) 10kB 縮小到不到 1kB，壓縮比率達(dá)到80%以上，同時(shí)降低80%的交易費(fèi)用。但是Bulletproofs的證明和驗(yàn)證時(shí)間相比于 SNARKs 和 STARKs更長(zhǎng) 。2018 年，Bulletproofs 被應(yīng)用于隱私幣Monero，因其相對(duì)較低的交易費(fèi)用、證明大小和無(wú)需信任在領(lǐng)域內(nèi)受到極大關(guān)注。

小結(jié)

以下是Matter Labs 提供的三種主流算法在性能上的對(duì)比圖，總體上看zk-SNARKs的優(yōu)勢(shì)較為明顯。

來(lái)源：Matter Labs 的 github 代碼庫(kù)https://github.com/matter-labs/awesome-zero-knowledge-proofs#learn

經(jīng)實(shí)驗(yàn)，三類算法的具體性能如下：

來(lái)源：https://docs.google.com/presentation/d/1gfB6WZMvM9mmDKofFibIgsyYShdf0RV_Y8TLz3k1Ls0/edit#slide=id.g443ebc39b4_0_110

下文將對(duì)ZK開(kāi)源庫(kù)以及ZK在區(qū)塊鏈領(lǐng)域的典型應(yīng)用展開(kāi)描述。

3.2 開(kāi)源算法庫(kù)

3.2.1 開(kāi)源庫(kù)匯總

下表列舉了十余個(gè)零知識(shí)證明相關(guān)的開(kāi)源算法庫(kù)，包含以不同語(yǔ)言支持的zk-SNARKs、zk-STARKs、Bulletproofs開(kāi)源庫(kù)以及同時(shí)支持多種算法的Plonky2。所列ZK庫(kù)中大部分支持zk-SNARKs算法，其中又以Groth16和PLONK居多。部分開(kāi)源庫(kù)是特定算法論文的具體實(shí)現(xiàn)，僅用于學(xué)術(shù)用途，不建議工程使用，如Spartan、Dizk、Nova、libSTARK等。

3.2.2 最佳實(shí)踐

zk-SNARKs?等算法庫(kù)不能直接應(yīng)用于任何計(jì)算問(wèn)題。在使用之前，首先需要將問(wèn)題轉(zhuǎn)換為正確的形式，第一步就是將其轉(zhuǎn)換為代數(shù)電路。Circom是一個(gè)用Rust編寫(xiě)的編譯器，可以輕松構(gòu)建代數(shù)電路。因此，一個(gè)最佳實(shí)踐是結(jié)合circom庫(kù)和ZK算法庫(kù)解決計(jì)算問(wèn)題。以snarkjs為例，實(shí)踐步驟如下：

1. 使用專用電路語(yǔ)言編寫(xiě)要證明的邏輯/約束，同時(shí)Circom項(xiàng)目已經(jīng)提供了安全的常用工具庫(kù)（橢圓曲線點(diǎn)運(yùn)算、驗(yàn)簽、哈希等），可直接引入；

2. 使用Circom的編譯器將電路邏輯編譯成底層表示(R1CS)；

3. 使用Circom配套的snarkjs工具進(jìn)行可信設(shè)置并生成js證明代碼和solidity合約驗(yàn)證代碼；

4. 后續(xù)即可在鏈下通過(guò)生成的證明代碼生成ZK證明，在鏈上通過(guò)智能合約驗(yàn)證ZK證明。

來(lái)源：https://docs.circom.io/

04｜典型應(yīng)用

當(dāng)前區(qū)塊鏈行業(yè)里零知識(shí)證明應(yīng)用不斷涌現(xiàn)，特別是在擴(kuò)容和隱私保護(hù)層面出現(xiàn)了眾多優(yōu)秀的項(xiàng)目。下文從擴(kuò)容和隱私保護(hù)兩方面對(duì)零知識(shí)證明在區(qū)塊鏈領(lǐng)域的應(yīng)用生態(tài)進(jìn)行了整理。

4.1 擴(kuò)容

區(qū)塊鏈由于自身的性能問(wèn)題導(dǎo)致其難以滿足當(dāng)下需求，基于零知識(shí)的擴(kuò)容方案將有望解決區(qū)塊鏈性能瓶頸。擴(kuò)容是指在不犧牲去中心化和安全性的前提下提高交易速度和交易吞吐量。

4.1.1 zk-Rollup

ZK-Rollups是基于零知識(shí)證明的Layer2擴(kuò)容方案，通過(guò)將計(jì)算轉(zhuǎn)移到鏈下來(lái)提高區(qū)塊鏈的吞吐量，即將大量交易打包到一個(gè)Rollup 區(qū)塊內(nèi)，并在鏈下為該區(qū)塊生成一個(gè)有效性證明，Layer 1 上的智能合約只需驗(yàn)證該證明即可直接應(yīng)用新的狀態(tài)，可以實(shí)現(xiàn)更低的 Gas 和更高的鏈上安全性。下文整理了部分基于ZK技術(shù)實(shí)現(xiàn)的區(qū)塊鏈L2擴(kuò)容方案。

zkSync

zkSync 是 Matter Labs 推出的一款 Layer2 擴(kuò)容方案，通過(guò)采用基于零知識(shí)證明的 Rollup 提升以太坊網(wǎng)絡(luò)的可拓展性。目前該項(xiàng)目已經(jīng)上線聚焦于支付目的 1.0 主網(wǎng)和完全兼容 EVM 的通用 2.0 主網(wǎng)。

zkSync 2.0 是構(gòu)建于以太坊之上可兼容 EVM 的 L2解決方案，它重新編譯了 EVM 代碼來(lái)實(shí)現(xiàn)任意智能合約的功能（將 EVM 的Solidity、 Yul 、Vvper以及 zkSync 自己的語(yǔ)言Zinc 轉(zhuǎn)換成 SNARK 兼容的代碼），并用零知識(shí)證明來(lái)校驗(yàn) Rollup 交易，因此也被稱為zkEVM。zkSync 2.0 的架構(gòu)包含了 zk-Rollup 和 validium（zkporter），二者的結(jié)合方式又被稱作 “volition”，它給用戶在 zk-Rollup和 validium 兩者間選擇的自由。zkSync 2.0通過(guò)zk-Rollup提供鏈上數(shù)據(jù)可用性，通過(guò)zkporter提供鏈下數(shù)據(jù)可用性，從而達(dá)到指數(shù)級(jí)別可擴(kuò)展性。

zkSync的開(kāi)發(fā)團(tuán)隊(duì)Matter labs共計(jì)完成了4輪融資，最近一輪于22年11月完成2 億美元 C 輪融資，融資總額達(dá)到 4.58 億美元。

StarkWare

StarkWare是zkSynk最大的競(jìng)爭(zhēng)對(duì)手，由zk-STARKs 的共同發(fā)明人Eli Ben-Sasson等人于2018年創(chuàng)立。旗下項(xiàng)目包括starkEx和starkNet（分別對(duì)標(biāo)zksynk1.0和2.0），starkEx專注于提供zk-Rollup的定制化SAAS服務(wù)，starkNet是無(wú)許可的去中心化通用zk-Rollup。

• StarkEx ：利用 STARK 技術(shù)為 DeFi 和游戲等應(yīng)用程序提供可擴(kuò)展的自托管交易（交易和支付）并收取SAAS費(fèi)。主要客戶有 dYdX 、 ImmutableX、DeversiFi 等企業(yè)客戶。StarkWare僅2021年就從其最大客戶dYdX獲得了超過(guò)5000 萬(wàn)美元收入 ，但有消息稱后續(xù)dYdX要脫離StarkWare 。

• StarkNet：基于 zk-Rollups 的以太坊L2平臺(tái)，相比于starkEx提供了更靈活的鏈下擴(kuò)展能力，用戶可以直接編寫(xiě)L2上的合約。StarkNet 支持與以太坊網(wǎng)絡(luò)相同的計(jì)算和操作，具有相同程度的安全性和更高的可擴(kuò)展性，并且發(fā)布了自己的編程語(yǔ)言 Cairo（一種用于編寫(xiě)STARK可證明程序的編程語(yǔ)言），允許開(kāi)發(fā)人員編寫(xiě)他們的應(yīng)用程序并部署在 StarkNet 上，但是和現(xiàn)有以太坊生態(tài)不兼容。

StarkWar在7輪融資中累計(jì)已獲得2.73 億美元，最近一輪于22年5月以 80 億美元估值完成 1 億美元 D 輪融資。

Polygon

Polygon 于2018 年由Jaynti Kanani等人創(chuàng)建于印度，目前已經(jīng)發(fā)展出一套自己的以太坊擴(kuò)展工具。Polygon正在積極布局他們的ZK（Zero Knowledge）戰(zhàn)略，承諾將投入超10億美元的資金用于ZK技術(shù)的研究和探索。他們有許多 L2 解決方案，大部分是被收購(gòu)的獨(dú)立團(tuán)隊(duì)、項(xiàng)目，包括Hermez 、Zero、Miden 、Nightfall，四款產(chǎn)品在技術(shù)路線上有所不同：

• Hermez基于SNARK技術(shù)，主要聚焦于支付和轉(zhuǎn)賬；

• Zero基于Plonky2技術(shù)，提供以太坊EVM兼容的虛擬機(jī)，主要特色是生成證明快（普通電腦170ms）、證明大小只有45kb；

• Miden基于STARK技術(shù)，提供以太坊EVM兼容的虛擬機(jī)，主要特色是無(wú)可信設(shè)置和后量子安全。

• Nightfall通過(guò)結(jié)合OP-Rollup和ZK-Rollup的技術(shù)優(yōu)勢(shì)達(dá)成可擴(kuò)展性和隱私性，執(zhí)行效率和吞吐量更高，每筆交易只需要12kGas，使用ZK技術(shù)來(lái)保護(hù)交易數(shù)據(jù)的隱私。

2022 年 2 月 7 日，Polygon 通過(guò)私下出售其原生 MATIC 代幣籌集了約 4.5 億美元。這輪融資由紅杉資本印度牽頭，將幫助Polygon鞏固他在以太坊擴(kuò)容賽道中的領(lǐng)先地位。

Scroll

Scrol旨在為以太坊構(gòu)建原生zkEVM Layer2解決方案，使用 zk-Rollup擴(kuò)展以太坊，將以太坊交易捆綁在鏈下，以更低的成本支持更多的交易。

與zkSync和Starkware相比，前兩者的架構(gòu)需要專門(mén)的編譯器將智能合約代碼編譯成ZK友好的IR，這種方法是語(yǔ)言兼容而不是原生 EVM 兼容，而Scroll正在建立一個(gè)零知識(shí)證明以太坊虛擬機(jī)（EVM），意味著 Scroll 生態(tài)系統(tǒng)中的開(kāi)發(fā)者將享受以太坊虛擬機(jī)等效的體驗(yàn)，即任何在零知識(shí)證明L1上運(yùn)行的 dApp 都可以部署在 Scroll 上。

Scroll 于2021年初創(chuàng)立，2022年4月完成 3000 萬(wàn)美元 A 輪融資，2022年7月發(fā)布了公開(kāi)測(cè)試的Pre-alpha版本，按照路線圖預(yù)計(jì)在2023上線主網(wǎng)。

來(lái)源：Scroll官方

zkSpace

zkSpace 是一個(gè)涵蓋 DEX、NFT 和支付的全功能 Layer2 平臺(tái)，包括 ZKSwap、ZKSea 和 zkSquare。其中zkSwap 是一個(gè)基于 ZK-Rollup 技術(shù)和AMM模型的 Layer-2 去中心化交易協(xié)議，能在保證去中心化交易的核心價(jià)值的同時(shí)實(shí)現(xiàn)實(shí)時(shí)交易，目標(biāo)是在 Layer-2 上實(shí)現(xiàn) Uniswap 所有功能。但相比于Uniswap ，zkSwap 的TPS 提升了多個(gè)數(shù)量級(jí)，用戶在交易的過(guò)程幾乎不需要消耗任何 Gas 費(fèi)。在技術(shù)細(xì)節(jié)上，zkSwap?基于 Plonk 零知識(shí)證明算法，效率更高且能夠更新可信設(shè)置。

4.2 隱私保護(hù)

零知識(shí)證明允許一方向另一方證明他們知道一個(gè)秘密，而不透露該信息的真實(shí)情況。在區(qū)塊鏈背景下，零知識(shí)證明可以用于驗(yàn)證交易的有效性而不會(huì)泄露交易中的發(fā)送者、接受者、涉及金額及其他敏感數(shù)據(jù)。因此零知識(shí)證明在保護(hù)鏈上數(shù)據(jù)隱私方面發(fā)揮著巨大作用。以下整理了部分ZK技術(shù)在隱私保護(hù)方面的應(yīng)用，包括隱私L2、隱私公鏈和隱私幣。

4.2.1 隱私L2

Aztec Network

Aztec是以太坊上第一個(gè)Layer2隱私區(qū)塊鏈項(xiàng)目，旨在為中心化應(yīng)用程序提供隱私和擴(kuò)展能力，由知名密碼學(xué)家Zac Williamson創(chuàng)立，Zac同時(shí)也是PLONK和zk-SNARK 協(xié)議的共同發(fā)明者。Aztec是唯一一個(gè)從頭開(kāi)始采用zk-Rollup構(gòu)建的項(xiàng)目，使用了PLONK零知識(shí)證明機(jī)制，允許用戶在Layer1層完全隱私地訪問(wèn)他們的dApp。22年10月，Aztec推出零知識(shí)通用語(yǔ)言Noir，支持開(kāi)發(fā)者更快地構(gòu)建ZK應(yīng)用程序。

Aztec采用類似比特幣賬戶原理的UTXO模型。在該模型中，票據(jù)note是協(xié)議運(yùn)算的基礎(chǔ)單元，資產(chǎn)交易時(shí)，票據(jù)的值被加密，票據(jù)所有權(quán)變更，票據(jù)登記所將會(huì)記錄每個(gè)票據(jù)的狀態(tài)，用戶的AZTEC資產(chǎn)即票據(jù)登記所里所有被該用戶地址所擁有的有效票據(jù)之和。與以太坊的賬戶模型不同，基于UTXO模型的資產(chǎn)交易可以看作是note的所有權(quán)變更，而不是交易雙方賬戶的余額狀態(tài)更新，且只有進(jìn)行交易的雙方才知道所有權(quán)已經(jīng)變更。

2022年12月，Aztec完成1億美元B輪融資，由a16z領(lǐng)投，A Capital、King River、Variant、SV Angel、Hash Key、Fenbushi 和 AVG 跟投。

4.2.2 隱私L1

Aleo

Aleo是第一個(gè)提供完全隱私保護(hù)應(yīng)用程序的平臺(tái)，是基于零知識(shí)證明隱私保護(hù)的公鏈。Aleo的核心是ZEXE（一個(gè)分布式隱私計(jì)算賬本系統(tǒng)），而ZEXE的核心依賴密碼學(xué)原語(yǔ)在賬本上做計(jì)算，即去中心化隱私計(jì)算DPC（decentralized private computation），將計(jì)算和共識(shí)分開(kāi)，提供zkCloud在鏈下執(zhí)行交易，執(zhí)行交易結(jié)束后將證明提交到鏈上。由于只有證明被提交到鏈上，從技術(shù)上來(lái)講任何人都不可能看到或利用任何交易細(xì)節(jié)的知識(shí)，從而實(shí)現(xiàn)交易隱私。Aleo提供leo語(yǔ)言用于編寫(xiě)在zkCloud執(zhí)行的智能合約（零知識(shí)友好），使用marlin算法實(shí)現(xiàn)隱私保護(hù)，其在效率上接近Groth16且支持通用且可更新的CRS。目前項(xiàng)目累積融資達(dá)到$2.28億，估值近14.5億美元。

Partisia

Partisia Blockchain是一條半許可隱私公鏈，專為信任、透明、隱私和高速而構(gòu)建，用于公共和私人信息的通用協(xié)調(diào)。Partisia在區(qū)塊鏈上提供額外的數(shù)據(jù)保護(hù)層，用戶可以通過(guò)零知識(shí)計(jì)算（ZK Computations ）控制對(duì)其數(shù)據(jù)的訪問(wèn)。零知識(shí)計(jì)算即融合零知識(shí)證明、安全多方計(jì)算、全同態(tài)加密等技術(shù)，為區(qū)塊鏈增加隱私和保密性。通過(guò)建立計(jì)算方集群，基于MPC協(xié)議運(yùn)行在多個(gè)計(jì)算節(jié)點(diǎn)上執(zhí)行智能合約，安全地對(duì)分布式數(shù)據(jù)執(zhí)行任何計(jì)算，數(shù)據(jù)將不會(huì)離開(kāi)服務(wù)器，因此不會(huì)泄露任何不應(yīng)該泄露的秘密信息。在此過(guò)程中，ZK技術(shù)可以保證協(xié)議正確執(zhí)行，只要有安全閾值個(gè)以上節(jié)點(diǎn)誠(chéng)實(shí)就可以保證交易輸入和輸出的安全。

來(lái)源：https://partisiablockchain.com/

Manta Network

Manta Network是Polkadot的隱私平行鏈。其隱私交易的原理是基于ZK和UTXO模型，在資產(chǎn)交易時(shí)使用接收者的公鑰和臨時(shí)秘鑰構(gòu)建一筆加密交易，接收者再使用自己的公鑰進(jìn)行解密，若成功解密意味著該筆資產(chǎn)是接收者的資產(chǎn)。在此過(guò)程中，ZK技術(shù)能保證發(fā)送者確實(shí)有這么多資產(chǎn)，具體使用了Groth16零知識(shí)證明算法。目前 Manta 已經(jīng)在進(jìn)行零知識(shí)證明的可信設(shè)置，并即將推出隱私支付產(chǎn)品 MantaPay，接下來(lái)會(huì)有更多的隱私產(chǎn)品推出。

Penumbra

Penumbra是Cosmos上的隱私跨鏈網(wǎng)絡(luò)，使用Snark算法實(shí)現(xiàn)隱私交易，可定向披露細(xì)節(jié)。與Aztec類似，Penumbra采用類UTXO的賬戶模型，鏈上不存儲(chǔ)note詳細(xì)信息，只存儲(chǔ)note的承諾用于證明對(duì)note的擁有權(quán)，但是只能從一個(gè)note派生到另一個(gè)note，通過(guò)同態(tài)承諾保證轉(zhuǎn)移前后的總價(jià)值不變。支持IBC協(xié)議將代幣轉(zhuǎn)移到其他鏈。

Mina Protocal

Mina基于高級(jí)密碼學(xué)和遞歸零知識(shí)證明設(shè)計(jì)了一條輕量級(jí)區(qū)塊鏈?；趕nark-Pickles零知識(shí)證明系統(tǒng)實(shí)現(xiàn)，Pickles 是唯一支持任意分支遞歸的無(wú)可信設(shè)置 zk-SNARK，證明更小且遞歸證明效率更高。Mina不在鏈上存儲(chǔ)區(qū)塊數(shù)據(jù)，而是通過(guò)在鏈上存狀態(tài)的證明，在鏈下服務(wù)存數(shù)據(jù)，執(zhí)行交易后將產(chǎn)生的證明提交到鏈上更新證明。每當(dāng)新塊生成時(shí)，Mina無(wú)需重新驗(yàn)證整個(gè)塊序列，只需在原來(lái)的有效性證明上擴(kuò)展新的證明來(lái)支持新塊，即將整個(gè)區(qū)塊鏈狀態(tài)捕獲為快照并發(fā)布，并以此為背景拍攝新塊的快照，依此類推。因此鏈上可包含無(wú)限量證明信息，但快照大小始終維持在22kb左右，驗(yàn)證時(shí)間約200毫秒，使得輕量級(jí)客戶端和移動(dòng)設(shè)備也能對(duì)系統(tǒng)歷史進(jìn)行全面驗(yàn)證。Mina同時(shí)也是一條隱私公鏈，可以在一定程度上保護(hù)交易隱私，前提是需自行運(yùn)行服務(wù)生成證明。

4.2.3 隱私幣

Zcash

Zcash被戲稱為隱私幣鼻祖，幣價(jià)巔峰曾高達(dá)到 4293 美元之高，約 3 萬(wàn)人民幣。Zcash 是首個(gè)引入零知識(shí)證明技術(shù)，且可以進(jìn)行實(shí)時(shí)交易和匿名交易的隱私項(xiàng)目，其項(xiàng)目代幣為 ZEC。Zcash 保密交易的隱私依賴于標(biāo)準(zhǔn)密碼學(xué)中的哈希函數(shù)和流密碼，在鏈上將交易記錄中的發(fā)送人、接收人、交易量進(jìn)行加密，用戶可裁量選擇是否向其他人提供查看密鑰（擁有此密鑰的人才能看到交易的內(nèi)容），在鏈下使用zk-SNARKs 對(duì)交易的有效性進(jìn)行驗(yàn)證。2022 年 5 月，Zcash 開(kāi)始升級(jí)其底層密碼學(xué)并采用 Halo 2零知識(shí)證明系統(tǒng)。Halo2是一種新的 zk-SNARK，能在達(dá)到性能目標(biāo)的同時(shí)移除可信設(shè)置，以及支持用于私人數(shù)字支付的可擴(kuò)展架構(gòu)。

Tornado Cash

Tornado Cash是一種完全去中心化的非托管協(xié)議，可以用于匿名化以太坊交易。在實(shí)現(xiàn)原理上，Tornado Cash?本質(zhì)上使用了一個(gè)zk-SNARK 混幣池，可以通過(guò)使用 ZKP 打破源地址和目標(biāo)地址之間的鏈上鏈接來(lái)解決隱私問(wèn)題，可信設(shè)置基于Groth算法。

2022 年 8 月，Tornado Cash 的開(kāi)發(fā)者 Alexey Pertsev 涉嫌洗錢(qián)在荷蘭被捕入獄，這是歷史上首次鏈上智能合約被 OFAC （美國(guó)海外資產(chǎn)管理辦公室）直接制裁。

Monero

門(mén)羅幣（XMR）是最早的知名隱私幣項(xiàng)目之一，也是第一個(gè)部署B(yǎng)ulletproof技術(shù)的隱私幣項(xiàng)目。Monero通過(guò)融合隱形地址、環(huán)簽名和環(huán)機(jī)密交易等技術(shù)，實(shí)現(xiàn)了對(duì)交易雙方地址和交易數(shù)量的隱藏，開(kāi)辟了加密數(shù)字貨幣的新篇章。其中，Bulletproof針對(duì)環(huán)機(jī)密交易隱藏交易中的數(shù)量。門(mén)羅幣（XMR）曾在美國(guó)暗網(wǎng)交易的推動(dòng)下一度成為市值排名前十、甚至前五的加密數(shù)字貨幣。

Dash

達(dá)世幣采用了混幣系統(tǒng)來(lái)實(shí)現(xiàn)一定程度的隱私。為了實(shí)現(xiàn)混幣系統(tǒng)，達(dá)世幣改造了比特幣網(wǎng)絡(luò)，建立了一個(gè)由主節(jié)點(diǎn)和礦工組成的雙層網(wǎng)絡(luò)。在第一層網(wǎng)絡(luò)中，礦工使用 POW 挖礦的方式來(lái)計(jì)帳和保護(hù)網(wǎng)絡(luò)安全；第二層網(wǎng)絡(luò)實(shí)現(xiàn)混幣相關(guān)功能，包括執(zhí)行隱私交易、即時(shí)交易和網(wǎng)絡(luò)管理。Dash 的混幣系統(tǒng)服務(wù)中，主節(jié)點(diǎn)將多個(gè)用戶的交易混合在一起，將多方資金合并再一起對(duì)外發(fā)送，達(dá)到無(wú)法追蹤交易歷史的效果。但是Dash的混幣技術(shù)只能實(shí)現(xiàn)交易地址的隱藏，無(wú)法隱藏交易金額。

SERO

SERO(超零協(xié)議)?也是一種基于零知識(shí)證明技術(shù)的新興隱私保護(hù)貨幣。在匿名交易領(lǐng)域，SERO 與門(mén)羅幣和 Zcash 具有相同的特點(diǎn)。SERO 通過(guò)支持?Solidity?虛擬機(jī)，對(duì)智能合約提供了相對(duì)完整的支持。在零知識(shí)證明方面，SERO 團(tuán)隊(duì)建立了基于 zk-SNARKs 的 Super-ZK 零知識(shí)證明加密系統(tǒng)，可實(shí)現(xiàn)100% 匿名交易，且當(dāng)前的 Super-ZK 系統(tǒng)在加密速度上比 Zcash 現(xiàn)有的系統(tǒng)有了數(shù)量級(jí)上的改進(jìn)。區(qū)塊鏈開(kāi)發(fā)人員可以在 SERO 鏈上發(fā)行自己的隱私代幣，以建立自己的隱私生態(tài)系統(tǒng)，這些新發(fā)行的代幣可以像 SERO 幣一樣擁有基于零知識(shí)證明的隱私交易特性。

4.2.4 隱私KYC

zkPass

zkPass是基于安全多方計(jì)算和零知識(shí)證明的去中心化KYC 解決方案，允許用戶通過(guò)他們?cè)?Web2 身份頒發(fā)者那里持有的憑據(jù)向第三方（其他項(xiàng)目方/驗(yàn)證者）匿名證明他們的身份聲明。在將Web2 身份憑證轉(zhuǎn)換為匿名憑證的整個(gè)過(guò)程中，不需要集中式服務(wù)器（傳統(tǒng) KYC 平臺(tái)）或可信硬件（TEE ）。zkPass協(xié)議是傳統(tǒng)KYC服務(wù)提供商的完美替代品，可以為企業(yè)和用戶提供更高水平的KYC解決方案。

4.3?上層應(yīng)用

基于上述基礎(chǔ)設(shè)施，零知識(shí)證明技術(shù)在游戲、Defi、NFT、數(shù)字身份等賽道的上層應(yīng)用中也展現(xiàn)了其擴(kuò)容和隱私保護(hù)的能力，部分應(yīng)用如下表所示：

內(nèi)容來(lái)源：https://github.com/ventali/awesome-zk

4.4 小結(jié)

結(jié)合上文所提及的算法及應(yīng)用，統(tǒng)計(jì)了各個(gè)典型零知識(shí)項(xiàng)目所采用的算法。從結(jié)果來(lái)看，zk-Snarks是目前應(yīng)用最廣泛的算法，其中Groth16和PLONK是應(yīng)用最多的基礎(chǔ)算法；zk-Stark主要由StarkWare及Polygon團(tuán)隊(duì)所使用；BulletProofs的代表應(yīng)用是門(mén)羅幣，也是首個(gè)應(yīng)用Bulletproofs技術(shù)的主流數(shù)字貨幣。

05｜總結(jié)

經(jīng)本文分析，零知識(shí)技術(shù)無(wú)論在理論研究還是工程實(shí)現(xiàn)層面都取得了較好的發(fā)展。集成零知識(shí)技術(shù)的項(xiàng)目層出不窮，零知識(shí)證明技術(shù)已然成為區(qū)塊鏈領(lǐng)域一項(xiàng)重要的底層技術(shù)，尤其是為以太坊等底層鏈正面臨的擴(kuò)容和隱私保護(hù)相關(guān)問(wèn)題提供了解決思路。2022 年是零知識(shí)證明實(shí)現(xiàn)突破的一年，相信隨著商業(yè)投入的加大，零知識(shí)將從理論研究走向更多領(lǐng)域。

?參考文獻(xiàn)

1.https://github.com/matter-labs/awesome-zero-knowledge-proofs

2.https://github.com/ventali/awesome-zk

3.https://ethereum.org/en/community/research/#scaling-and-performance

4.https://ethereum.org/en/developers/docs/scaling/

5.https://ethereum.org/en/developers/docs/scaling/zk-rollups/

6.https://zkpass.org/home

7.https://offshift.io/public/blog/2021-11-24-bulletproofs-zksnarks-zkstarks/

8.https://medium.com/minaprotocol/meet-pickles-snark-enabling-smart-contract-on-coda-protocol-7ede3b54c250

9.https://kb.delendum.xyz/zk-knowledge#foundations-of-zksnarks

10.https://docs.circom.io/

11.https://consensys.net/blog/blockchain-explained/zero-knowledge-proofs-starks-vs-snarks/

12.https://eprint.iacr.org/2018/046.pdf

13.https://crypto.stanford.edu/bulletproofs/

往期回顧

Polygon：首個(gè)出圈的以太坊擴(kuò)容方案

Azuki：締造NFT元宇宙品牌

Uniswap：一往無(wú)前的DEX獨(dú)角獸（上）

Cosmos：由分布式部落走向經(jīng)濟(jì)共同體

Mirror：用戶創(chuàng)造，用戶所有

聲明：本文所涉及內(nèi)容、數(shù)據(jù)來(lái)自各項(xiàng)目官方公開(kāi)材料且均已標(biāo)明來(lái)源。部分圖文源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪除。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-742204.html

到了這里，關(guān)于技術(shù)分析｜零知識(shí)證明研究綜述的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！