V神文章：如何使用 ZK-SNARKs 改善中心化交易所的安全性？_ASM:以太坊交易時間

作者：Vitalik Buterin

原文鏈接：https://hackmd.io/@vbuterin/proof_of_solvency

每當一個大型中心化交易所崩潰時，一個常見的問題就是我們是否可以使用加密技術來解決。交易所可以利用密碼學證明它們在鏈上持有的資金足以支付它們對用戶的債務，而不是僅僅依賴政府許可、審查公司審計和運營交易所的個人背調等法律途徑。

而且交易所可以建立一個系統，在該系統中，未經儲戶同意，交易所不能提取儲戶的資金。我們可以探索「主動不做壞事」且有野心的 CEX 和「沒有能力做壞事」的 CEX 之間的界限，但目前往往人們只是看向效率低下且隱私泄露的鏈上 DEX。

這篇文章將討論將 CEX 向免信任更近一步的嘗試過程、這些技術的局限性，以及一些依靠 ZK-SNARK 等先進技術的方案和更強大的想法。

[余額表和默克爾樹：傳統的償付能力證明]

交易所試圖用密碼學的方式證明自己沒有欺騙用戶的最早嘗試要追溯到很久以前。

2011 年，當時最大的比特幣交易所 MtGox 通過發送一筆交易，將 424242 個比特幣轉移到預先公布的地址，證明他們有資金。

2013 年，人們開始討論如何解決問題的另一面：證明客戶存款的總規模。如果你證明客戶的存款等于 X（負債證明），并證明擁有 X 個代幣的私鑰（資產證明），那么你就有了償付能力證明——你證明了交易所有資金償還所有儲戶。

V神新書《Proof of Stake》所獲捐款已超200 ETH:金色財經報道，據Dune Analytics數據顯示，截止發稿時，V神新書《Proof of Stake》已獲得來自44,983個獨立地址的47,441筆捐款，累計捐款金額達218.96ETH。

此前報道，V神于8月31日表示，其近十年文集《Proof of Stake》數字版和實物版將出版。讀者現可在Gitcoin為其捐贈并獲得數字副本和紀念NFT，全部收益將用于公益事業。[2022/9/4 13:08:11]

證明存款的最簡單方法是簡單地發布一個（用戶名、余額）對列表。每個用戶都可以檢查他們的余額是否包含在列表中，任何人都可以檢查完整的列表，查看：

每個余額都是非負的；

總額為索賠金額。

當然，這破壞了隱私，所以我們可以稍微改變一下方案：

發布一個（哈希「用戶名、salt」，余額）對的列表，并私下向每個用戶發送他們的 salt 值。但即使這樣也會泄露余額和余額變化的模式。

為了保護隱私，我們想到了下一個發明：默克爾樹技術。

綠色：代表 Charlie 的節點。

藍色：代表 Charlie 將收到作為證明的一部分代節點。

V神：以太坊經典是“很好的鏈”:金色財經消息，Vitalik Buterin（V神）在最近的一次演講中表示，那些“喜歡POW”的用戶應該考慮遷移到以太坊經典，這“完全是一條很好的鏈”。[2022/7/25 2:36:21]

黃色：代表根節點，向所有人公開顯示。

默克爾樹技術包括將客戶余額表放入默克爾總和樹中。在默克爾總和樹中，每個節點都是一個（余額，哈希）對。底層葉節點表示各個客戶的余額和 salt 的用戶名哈希。

在每個較高層節點中，余額是下面兩個余額的和，而哈希是下面兩個節點的哈希。默克爾總和證明與默克爾證明一樣，是樹的一個「分支」，由從葉到根的路徑上的姐妹節點組成。

該交易所將向每位用戶發送一份默克爾存款證明。然后，用戶將得到一個保證，他們的余額是正確包括在總額的一部分。可以在這里找到一個簡單的示例代碼實現。

該方案的一個重要的微妙之處是負余額的可能性：如果一個交易所有 1390 ETH 的客戶余額，但只有 890 ETH 的儲備，試圖通過在樹的某個位置的假賬戶下添加 -500 ETH 余額來彌補差額，該怎么辦？

事實證明，這種可能性并沒有破壞該方案，這就是我們特別需要默克爾總和樹而不是常規默克爾樹的原因。假設 Henry 是交易所控制的假賬戶，交易所在那里放了 -500 ETH：

V神提出改進以太坊隱私性計劃 實現地址隱藏:4月1日，以太坊創始人V神發推文稱，改進以太坊隱私的下一步(除了正在進行的tornado改進之外，現金以及類似的東西)：一些簡單、易于使用的、類似隱私地址的計劃。即把代幣發送一個擁有ENS（以太坊域名系統）名稱的地址，而不向公布具體是誰得到了幣。對此，V神解釋其計劃工作原理稱 ，實現隱私地址很簡單：ENS的名稱持有者發布該有私鑰的公鑰P。代幣發送者生成隨機的r，并將其發送到地址r*P(這是橢圓曲線乘法)。ENS名稱持有者可以用r*p消費這些代幣。發送者只需以某種方式發送r到姓名持有者。此外，V神還提到另一個方法。他稱，使用帶有加密r的公鑰P并將其發布到鏈上。但這需要接收方掃描所有的私有發送交易，因此長期來看運行非常昂貴。可以分割成T段存儲，將掃描時間減少T倍，但也將匿名性減少了T倍，因此需要權衡。[2020/4/1]

如果交易所能夠識別出價值 500 ETH 的用戶，他們相信這些用戶要么不會費心檢查證據，要么在他們抱怨他們從未收到過證明時不信任他們，他們就可以不被懷疑盜用。但是，交易所也可以將這些用戶從樹中排除并產生相同的效果。

因此，如果僅以實現負債證明為目標，默克爾樹技術基本上與責任證明方案一樣好。但它的隱私屬性仍然不理想。你可以用更聰明的方式使用默克爾樹，比如把每個 satoshi 或 wei 做成一個單獨的葉，但最終通過更現代的技術，還有更好的方法來做到這一點。

[使用 ZK-SNARK 改進隱私性和穩健性]

聲音 | V神：2019年以太坊發展速度已變快 經過磨練團隊已達到最高生產力水平:據區塊鏈大本營6月15日消息，近日，V神在接受其采訪時表示，2018年以太坊開發速度很慢，針對2018年以太坊生態發展，社區受到批評肯定有一定道理，但最近以太坊開發速度已變快，許多開發人員都在研究以太坊2.0技術規范以及 Plasma、狀態通道（State Channels）和 SNARKs/STARKs 等 Layer 2 擴容解決方案。2018年，以太坊基金會采取了許多措施來提高整體發展速度，在經歷了漫長的磨練后，如今各團隊都達到了最高的生產力水平。

同時V神表示，以太坊目前最大的挑戰在可擴展性和共識算法這兩個層面。目前可通過 PoS 共識算法和 Sharding（分片）重新設計平臺的安全性和可擴展性。針對PoW向PoS 遷移能否如期上線并避免分叉的問題，V神稱，正在采取一種緩慢過渡到PoS的方法，即最開始作為一個獨立的系統，一段時間后（階段2期間）再逐漸從PoW轉向PoS，但完全過渡到PoS仍需要一個硬分叉。當然希望PoS鏈的安全性風險會降低，但隨時間的推移，相信它會逐漸證明自己。[2019/6/15]

ZK-SNARK 是一項強大的技術。ZK-SNARK 之于密碼學，可能就像變壓器之于人工智能。我們可以使用 ZK-SNARK 極大地簡化和改善責任證明協議中的隱私。

金色財經現場報道 V神 ：所有項目都有它自己的角色 :金色財經6月3日現場報道，在今天的以太坊技術及應用大會“探索-以太坊與行業生態”圓桌討論上，V神回答“所有項目是如何建立在未來的區塊鏈生態系統中”問題中談到：“我覺得所有項目都有它自己的角色。即便在2040年時，我們都會用到這些去中心化的技術，非常好、非常重要、非常方便的在資產間進行轉移。我也很開心所有的這些人現在都存在生態系統中，今天來到了這里，去做更有趣的項目，而不是做無趣的項目。”[2018/6/3]

使用 KZG 承諾是避免隱私泄露的一種方法，因為不需要提供「姐妹節點」作為證明，并且可以使用一個簡單的 ZK-SNARK 來證明余額的總和，并且每個余額都是非負的。

我們可以用一個專用的 ZK-SNARK 證明上述 KZG 中余額的總和以及非負性。這里有一個簡單的例子。

我們引入一個輔助多項式 I(x)，它組成每個余額的比一部分（我們假設余額低于 215），每 16 個位置跟蹤一個帶有偏移量的總和，只有當實際的總和與聲明的總和相匹配時，它的總和才為零。如果 z 是單位的 -128 階根，我們可以證明以下等式：

在較長期的未來，這種 ZK 債務證明或許不僅可以用于客戶在交易所的存款，還可以用于更廣泛的貸款。任何人借出一筆貸款都會將記錄放入一個多項式或包含該貸款的樹中，該結構的根會在鏈上發布。這將使任何尋求貸款的人向貸款機構證明，他們還沒有獲得過多的其他貸款。

最終，法律創新甚至可能使以這種方式承諾的貸款比沒有這樣承諾的貸款具有更高的優先級。這與我們在《去中心化社會：尋找 Web3 的靈魂》文章中討論的一個想法的方向完全相同——通過某種形式的「靈魂綁定代幣」，在鏈上產生負面聲譽的概念。

[資產證明]

這種簡單的資產證明技術存在兩個實際問題：

冷錢包處理；

抵押品兩用。

出于安全考慮，大多數交易所將絕大多數客戶資金保存在冷錢包中。在離線計算機上，交易需要手動簽名并轉移到互聯網上。我過去用來存放個人資金的冷錢包設置需要一臺永久離線的電腦生成一個包含簽名交易的二維碼，然后我用手機掃描。

現在的交易所協議更加瘋狂，經常涉及多個設備之間的多方計算。在這種設置下，制造一個額外的消息來證明對地址的控制是一個昂貴的操作。

交易所可以采用以下幾種方式：

保留一些公共長期使用地址。交易所將生成一些地址，發布一次每個地址的證明以證明所有權，然后重復使用這些地址。這是迄今為止最簡單的選擇，不過它確實在如何保護安全和隱私方面增加了一些限制。

有很多地址，隨便證明幾個。交易所將有許多地址，甚至可能每個地址只使用一次，并在單筆交易后退出。在這種情況下，交易所可能有一個協議，其中不時隨機選擇一些地址，必須“打開”以證明所有權。一些交易所已經通過審計師進行了類似的操作，但原則上，這種技術可以轉化為完全自動化的程序。

最后一個問題是：你能以法定方式進行資產證明嗎？交易所不僅持有加密貨幣，它們還在銀行系統內持有法定貨幣。在這方面，答案是肯定的，但這樣的程序將不可避免地依賴于「法定」信托模型——銀行本身可以證明余額，審計師可以證明資產負債表等等。考慮到法幣無法通過密碼學驗證，這是在該框架內所能做到的最好的方法，但仍然值得一做。

[Plasma 和 validiums 擴容解決方案：我們能實現非托管 CEX 嗎？]

假設我們想更進一步：我們不想僅僅證明交易所有資金償還用戶。相反，我們希望阻止完全交易所盜用用戶的資金。

第一個主要嘗試是 Plasma，這是一種 2017 年和 2018 年在以太坊研究圈流行的擴容解決方案。Plasma 的工作原理是將余額拆分為一組獨立的「代幣」，其中每個代幣都被分配一個索引，并位于 Plasma 區塊的默克爾樹的特定位置。要進行有效的代幣轉移，需要將一筆交易放到根被發布到鏈上的樹的正確位置。

Plasma 的一個版本的過度簡化圖。代幣保存在智能合約中，該合約在取款時強制執行 Plasma 協議的規則。

自 2018 年 Plasma 討論的熱潮以來，ZK-SNARK 已經變得更加適用于與擴展相關的用例，正如我們上面所說的，ZK-SNARK 改變了一切。

CEX 和 DEX 并不是二進制的，事實證明，它們有一系列的選擇，包括各種形式的混合中心化，在那里你可以獲得一些優勢，比如效率，但仍然有很多加密屏障，防止中心化運營商的濫用。

處理用戶錯誤也是一個大問題。到目前為止，最重要的錯誤類型是——如果用戶忘記了密碼，丟失了設備，被黑客攻擊，或者無法訪問自己的帳戶，該怎么辦？

理想的長期解決方案是依靠自我托管，并借助諸如多簽和社會恢復錢包等技術來幫助用戶處理緊急情況。但在短期內，有兩種明顯的替代方案，它們的成本和收益明顯不同：

[總結：展望未來更先進的交易所]

短期內，有兩種明確的交易所類別：托管交易所和非托管交易所。如今，后一類只是像 Uniswap  這樣的 DEX，在未來我們可能還會看到加密技術受限的 CEX，用戶資金以類似 validium 智能合約的形式持有。我們也可能會看到半托管交易所，我們信任他們使用法定貨幣，而不是加密貨幣。

這兩種類型的交易所將繼續存在，而提高托管交易所安全性的最簡單的向后兼容方法是增加儲備證明。這包括資產證明和負債證明的結合。為兩者都制定好的協議存在技術上的挑戰，但我們可以也應該盡可能在這兩個方面取得進展，并盡可能地開源軟件和流程，以便所有的交易所都能受益。

從長遠來看，我希望我們越來越接近所有非托管交易所，至少在加密貨幣方面是這樣。錢包恢復將會存在，而且可能需要為處理小額金額的新用戶提供高度集中的恢復選項，以及由于法律原因需要這種安排的機構，但這可以在錢包層而不是在交易所內部完成。

magic.link 與 Polymarket 等平臺的交互就是這種方法的一個例子。在法幣方面，傳統銀行系統和加密貨幣生態系統之間的流動可以通過 USDC 等資產支持穩定幣原生的現金進出過程完成。然而，我們要完全實現還需要一段時間。

1435Crypto

個人專欄

閱讀更多

金色財經

CertiK中文社區

虎嗅科技

區塊律動BlockBeats

web3中文

深潮TechFlow

念青

DeFi之道

CT中文

Tags：以太坊ARKNARASM以太坊交易時間STARKlunar幣深圳asm幣價格最新價格人民幣

抹茶交易所