巴比特現場 | 郭宇：3分鐘搞懂零知識證明，為何它是一把雙刃劍？_LIC:alice幣發行量

12月22日，2019數字資產與區塊鏈年會暨中國投資協會數字資產研究中心成立大會在北京召開。安比實驗室創始人、數字資產研究院學術與技術委員郭宇以《零知識證明，區塊鏈技術缺失的一環》為題進行了分享。

以下是郭宇演講內容精編，由巴比特整理發布。

什么是區塊鏈？在網上搜索了批評區塊鏈的文章，其中一個理由是吞吐率低。比特幣交易速度只有7筆/秒，以太坊交易處理速度不超過30筆/秒，而國際信用卡Visa至少2000筆/秒。區塊鏈吞吐率如此低下，核心原因在于網絡帶寬。當全球超過1萬個節點進行分布式共識時，不可避免的造成吞吐率的下降。單純靠提高出塊速度來提升吞吐率，到以太坊已經是極致了，出塊速度快則會導致分叉的頻繁出現，不會實質上提升吞吐率，或者靠降低節點數量提升吞吐率，會讓系統安全將得不到保證。那么，如何在不降低安全性的基礎上，提高吞吐率？

反直覺的零知識證明

零知識證明就是解決方案之一。以太坊創始人Vitalik在2018年做了一個實驗，引入零知識證明，以太坊的吞吐率可以有幾十倍的顯著提升，可以達到500TPS。最新的路印協議采用了零知識證明技術方案——ZKRollup，根據他們的測試數據，能夠在以太坊上實現高達10500TPS的去中心化應用。

BNB Chain交易量在4月至5月間增長65%:金色財經報道，在過去的兩個月中，BNB Chain的交易量在去中心化交易所中出現了顯著增長。根據The Block Research的數據，4月份BNB Chain交易量為117.9億美元，5月份為195.2億美元，增長65.3%，價值77.3億美元。[2023/6/15 21:37:39]

1985年，麻省理工學院的研究人員ShafiGoldwasser，SilvioMicali和CharlesRackoff提出了“交互式證明系統”與“零知識證明”的概念，后來前兩位因為這個工作而獲得2012ACM圖靈獎。

解釋零知識證明前，我們首先要問，“證明”是什么？這個詞從古希臘開始，它代表“洞見”；到1920年代，證明意味著形式化邏輯，懷特海和羅素在《數學原理》里花了幾百頁來證明1+1=2，它代表“符號推理”；到1970年代，證明被發現實際上“程序”沒有區別；而到了1985年，證明的概念被延拓到了一個更廣泛的概念“交互系統”，零知識證明系統正是一種交互系統。

Cardano錢包將與以太坊智能合約無縫集成:金色財經報道，Milkomeda首席技術官兼聯合創始人Sebastien Guillemot公布了區塊鏈互操作性協議的一項新功能：包裝智能合約（wrapped smart contracts）。該功能將允許開發人員直接從任何Cardano錢包（例如Flint錢包）調用以太坊智能合約編程語言Solidity，不需要用戶了解Metamask或其他EVM錢包，實現無縫集成。[2023/2/17 12:12:04]

但是，零知識證明非常反直覺。為什么這么說？如圖所示，右邊的Bob把輸入X傳給左邊的硬件設備，在這個硬件設備上會跑一個程序Y=F(X,W)，W則是一個秘密數據，設備算出結果后，會返回Y，Bob如何相信Y的計算過程沒有問題呢？這就需要零知識證明了，只要設備再附加上一個零知識證明，而我們就能完全相信Y確實是F計算的結果，就能完全相信一個不受控制的硬件，可能是有后門的硬件設備，跑出的運算結果是沒有經過惡意篡改的。準確點說，零知識證明能夠保證遠程計算的完整性，但這是反直覺的。

零知識證明還有什么用？我簡單羅列一下，區塊不斷膨脹，越來越大？而用零知識證明技術，你只需要下載一個區塊就可以了；鏈上交易可追蹤，零知識證明可以保護用戶的交易匿名性，可以保護用戶身份的情況下進行身份認證、可以保護上鏈數據的隱私，實現安全地數據共享，以及鏈上鏈下的數據關聯，都可以用零知識證明完成。

Multicoin致投資者信：預計FTX破產將殺死更多加密公司，仍然相信Solana:11月18日消息，加密投資基金Multicoin兩位合伙人Kyle Samani和Tushar Jain于周四發布了致投資者信，披露了基金情況以及對市場的觀點和看法：

1. FTX的崩潰以及帶來的下跌已使Multicoin本月內資產規模下跌55%。

2. 我們過于信任我們與FTX的關系，以至于在FTX上擁有太多資產。通常，Multicoin在FTX、Coinbase和Binance這三個交易所進行交易，現在，除了在FTX上的資產，100%資產都在Coinbase上或在自我保管的錢包中。

3. 加密貨幣市場不會很快積極轉向，我們預計未來幾周FTX/Alameda的影響會蔓延，導致更多的加密公司崩盤，這將給整個加密生態系統的流動性和交易量帶來更多壓力。

4. 隨著資產與FTX掛鉤的其他公司尋求應急資金，我們希望以更有吸引力的估值購買錯位的資產。

5. Multicoin仍然堅持自己的立場，仍然相信Solana，他擁有“最活躍的開發者社區之一”，根據我們在2018年和2020年的經驗，如果核心論點沒有受損，在短期危機期間出售資產是不明智的。

6. 正如雷曼兄弟倒閉并沒有扼殺銀行業，安然公司破產也不是能源公司的消亡，FTX不會是加密行業的終結。隨著杠桿從系統中清除，我們預計明年會出現新的萌芽，我們知道這個行業和我們投資組合中的建設者是一些最敬業的人，他們不會放棄，我們也不會。[2022/11/18 13:20:44]

通過三染色問題理解零知識證明

Acala已通過并執行恢復運營的第二階段社區投票:9月29日消息，Acala已通過并執行恢復運營的第二階段社區投票，金庫所有者可以管理債務頭寸，以確保在第三階段啟用清算之前頭寸是安全的，DEX交易、轉賬、LDOT即時贖回、XCM、EVM+等服務也已恢復，此外因預言機被禁用，用戶需以當前市場價值評估金庫價值。而預言機、清算和CDP借貸將在第三階段啟用。[2022/9/29 22:39:22]

零知識證明背后的原理是我今天要講的重點，希望能讓大家快速地理解。這是一個尋找地圖三染色答案的問題，我們把一個地圖想象成一個個城市，然后把城市用線連起來，相鄰的城市必須用不同的顏色來染色。那么相當于我們要求一個圖上的每一條邊的兩端頂點顏色必須不同。尋找地圖三染色答案是一個NP-Complete的問題，也就是一個NP難解問題。

假設Alice有一個三染色答案，她要向Bob證明這件事，但是又不能讓對方知道每個點的顏色是什么，實現所謂的“零知識”證明。這時候應該怎么做？第一步，Alice會把顏色對調成另一套顏色，但是對調顏色之后，這個地圖仍然是一個三染色答案，然后Alice把答案的每個節點蓋上紙片給Bob看。

法國議員呼吁承認DAO和NFT的法律地位:金色財經報道，即將離任的法國國民議會議員Pierre Person在其發布的一份報告中表示，法國應該在其法律體系中承認去中心化自治組織 (DAO) 和NFT的法律地位，并抨擊歐洲加密貨幣監管，他說歐洲加密貨幣監管的做法在很大程度上是防御性的。

此外，Person還表示，如果銀行拒絕為加密貨幣客戶提供服務，則應處以罰款，并提議禁止基于化石燃料的加密貨幣開采。（coindesk）[2022/6/8 4:11:05]

第二步，Bob看不見每一個頂點，但他會隨機選擇一條邊讓Alice來揭開紙片。

第三步，Alice揭開紙片后，Bob會看到兩邊的顏色是不同的，這時候他能相信頂點三染色問題是一個正確的答案嗎？不一定，因為可能他選的這條邊可能湊巧沒問題，但是其它邊可能是有問題的。

那么再來一遍，重復三步，Alice重新把顏色交換，Bob再隨機挑一條邊看，這時候Bob能相信嗎？不一定，可能恰好兩次都被Alice都蒙著了，有這種可能。

但是Bob可以不斷的試，試N次，只要N足夠大，Alice作弊的概率就會指數級減小，減小到幾乎不可能。

通過這個方案，Alice成功以零知識的方式向Bob證明了自己確實擁有一個三染色答案，這就是零知識證明的最基本概念。

零知識證明的運行邏輯

說了這么多，大家可能覺得這和我們所說的“反直覺”非常遙遠。如何信任一個遠程計算呢？我具體說明下零知識證明技術是怎么做到的。

假設我們有一個超級攝像機，它把遠程計算的詳細過程，包括CPU、內存、程序的全部狀態拍攝下來，我把視頻從頭放一遍，理論上就會知道這個計算過程沒有問題，因為在任何一步作弊，理論上都可以找出來。但實際做不到，因為視頻巨大無比，檢驗過程基本不可實現。

接下來我們做一個簡單轉換，用“算術電路”來重新表達這個計算過程。算術電路是什么意思呢？理論上大部分可終止的計算過程都可以轉化為由“+”“×”兩種電路門構成的電路來計算完成。在電路這頭輸入X，就會從另一頭的引腳上得到Y。因此我們不再需要一個攝像機了，而只需要拍攝一張照片即可，然后我就可以“分別檢查“每個門的計算過程是否正確。

但這仍然存在問題，就是驗證過程太長了，意味著我們要檢查所有門，檢查一次哈希計算需要檢查兩萬多個門的輸入輸出，顯然這很麻煩。一個改進思路就是，用多項式編碼所有門，把N次檢驗壓縮到1次。

如圖右側所示，這個黃色的曲線編碼了正確的計算過程，如果Alice要作弊，她只要改動任意一個引腳上的數字，曲線就會變得非常不一樣，改動會被放大。理論上，我們通過一個叫做Schwatz-Zippel的定理，檢查X軸上任意一點，就能知道這個曲線有沒有改動過，這就是用代數理論，把N次檢驗轉換成一次。

但這個問題還沒有結束，這個過程中我們需要檢驗數據，但不想讓Bob知道計算過程中的任何中間數據和結果數據，也就是說要對Bob是零知識的。這時候我們的思路是把多項式運算同態映射到橢圓曲線群上。在正常運算時我們得到的是“0、1、2、3…”這樣的整數，它可以映射到橢圓曲線群上的N個點，進行一一對應。

通過橢圓曲線上的點你很難倒推回整數域，因為它是“離散對數難題”。接下來我們要去除交互過程，變成非交互零知識證明。思路是我們在X軸上隨意選個點，由一個第三方預先產生一個加密挑戰數，用來挑戰曲線。最后就會形成一個簡潔方案，即由第三方生成一個加密挑戰數，生成兩個密鑰，Bob把計算交給Alice，Alice進行計算，完成零知識證明的動作，這就是2013年誕生的Pinocchio協議。

零知識證明離不開形式化驗證

零知識證明安全嗎？密碼學教授MatthewGreen這樣評論：“使用零知識證明技術就好像走了一條捷徑：通過中土龐大地下城——摩瑞亞，這比翻山越嶺要快不少，但是你可能會與炎魔作斗爭。”所以說零知識證明是一把鋒利的雙刃劍，因為一旦你用了零知識證明，黑客攻擊也將是零知識的，也就是說沒有人知道已經被黑客攻擊了。

2018.3.1ZCash團隊的ArielGabizon發現了論文中附錄B有一個致命錯誤，可導致無限造幣。但有趣的是，在長達4年的時間里，沒有其它密碼學家發現這個漏洞，直到2019年2月份，BCTV14的論文作者和Zcash團隊才同時公布了這個嚴重漏洞。

我的結論是，如果用零知識證明，請一定要進行嚴格的形式化驗證。最后我想強調可信的3方面：1、區塊鏈提供的共識協議的信任；2、零知識證明提供了數據信任和計算完整性；3、形式化驗證最終保證這個計算邏輯是完全沒有問題的。這三者結合在一起，才能形成真正可信任的數學基礎，謝謝大家！

Tags：ALIBOBICELICALIST幣OBOB價格Solicealice幣發行量

比特幣行情