一文盤點ZKP主流實現方案技術特點_TPS

概述

在研究區塊鏈系統的工作原理時，我們需要了解各種各樣密碼學知識，比如secp256k1，它是一種曲線和非對稱簽名算法，在比特幣和以太坊系統中用于簽名和驗證賬號。比如sha256，它是一種哈希算法，用于把變長信息壓縮成定長編碼。比如base58，它可以把信息編碼轉換成可打印字符表示的字符串。比如ECDH，它是一種Diffie-Hellman密鑰交換算法，用于在P2P節點間安全交換通訊密鑰。零知識證明也是一種密碼學算法，簡稱為ZKP或者ZK，它的特點是可以在不泄露任何其他信息的前提下證明一個命題的正確性。ZKP最早在1985年就已經被提出，然而長期以來一直沒有找到大規模應用的場景，所以技術的發展也十分緩慢。一直到2009年比特幣誕生后，人們發現它非常適合用于解決區塊鏈中的隱私和擴展性問題，至此大量的資本和人才投入到了這項技術的開發和工程應用中。ZKP有很多實現，例如：Groth16、PlonK、STARK等，至今還沒出現真正的行業標準，本文將為大家盤點各種ZKP實現的技術特點，希望能給大家的學習研究和工程開發帶來幫助。ZKP應用領域

1.隱私證明

Zcash可能是ZKP的第一個被廣泛使用的應用，它在比特幣源代碼的基礎上，將ZKP應用于代幣的轉移，使得交易的信息完全保密，但同時能被區塊鏈上的節點驗證。TornadoCash是在以太坊運行的混幣器，它使用ZKP證明Merkle-Tree上的節點，用戶可以將固定金額的代幣存入資金池，然后使用ZKP生成的Proof證明自己曾經存入過資金，但不需要暴露自己存入時的交易信息。2.計算外包

在區塊鏈中，每個節點的計算能力有限，但借助ZKP技術，節點可以將大量的計算外包給鏈下節點，這時只需要驗證外包提交的計算結果和計算證明就可以知道計算是否正確。zksync1.0就是一個很好的例子，它在鏈下進行以太坊代幣轉賬和交易，然后將結果提交給節點，節點通過驗證ZKP證明就可以知道它是否按照它聲明的方法進行計算。3.數據壓縮

數據：兩地址13小時前將1542萬枚CRV轉入Coinbase:金色財經報道，據鏈上數據分析師余燼監測，自Curve Vyper編譯器漏洞事件以來，發生的2筆大額CRV動向包括：

1.Curve創始人Michael Egorov通過4個地址解鎖領取1303萬CRV，然后向Aave存入2790萬CRV提高借貸健康率。Michael目前共計在5個協議中抵押了4.64億CRV(2.97億美元)借出1.1億穩定幣。

2.兩個地址(可能是同一人/機構)在2022/10-2023/3從Coinbase Prime提出17,035,803CRV(1530萬美元)，均價0.9美元。13小時前這兩個地址將1542萬枚CRV(987萬美元)轉入Coinbase Prime，目前這些CRV已從Coinbase Prime轉入Coinbase。或許這兩個地址的CRV投資已出現443萬美元虧損(-29%)。[2023/7/31 16:09:23]

Filecoin運用ZKP構造了時空證明系統，能證明用戶在本地存儲了特定文件，目前已經證明存儲的文件已經達到18EiB。Mina是另一個例子，在很多高速區塊鏈系統中，交易的數據十分龐大，系統需要保留所有的區塊以備共識協議的驗證，所以系統對硬件的要求極高，永久保存意味著區塊鏈節點將需要不斷增大磁盤空間和數據索引能力。這時候可以借助ZKP，將驗證數據壓縮，Mina通過遞歸零知識證明，將賬本壓縮到11KB，但依舊可以驗證區塊的正確性。ZKP證明系統

證明系統是ZKP的底層算法實現，可分為交互式和非交互式兩種：1.交互式證明系統

交互證明系統由兩方參與，分別稱為證明者和驗證者，其中P知道某一秘密，P希望使V相信自己的確掌握這一秘密。交互證明由若干輪組成，在每一輪，P和V可能需根據從對方收到的消息和自己計算的某個結果向對方發送消息。比較典型的方式是在每輪V都向P發出一個詢問，P向V做出一個應答。所有輪執行完后，V根據P是否在每一輪對自己發出的詢問都能正確應答，決定是否接受P的證明。2.非交互式證明系統

FTX提出動議從Modulo Capital沖基金中收回4.6億美元:金色財經報道，FTX提出動議，要求達成和解協議，為利益相關者追回 4.6 億美元的資產。Alameda Research 于 2022 年向 Modulo Capital 投資了 4 億美元。根據備案文件，追回的 4.6 億美元資產占 Modulo 剩余資產的 99% 以上，其中包括 4.04 億美元現金。Modulo 還將放棄對 FTX.com 和 FTX.US 賬戶中持有的 5600 萬美元資產的任何索賠。由于和解，Alameda 也將失去對其在 Modulo 的股份的任何索賠。

該協議仍必須得到美國破產法官約翰多爾西的批準，他已安排在 4 月 12 日舉行動議聽證會。[2023/3/23 13:22:09]

在上述交互式證明系統中，P和V不進行交互，證明由P產生后直接給V，V對證明直接進行驗證，這種證明系統稱為非交互式證明系統。我們在區塊鏈中使用的證明系統一般都是NIZK，區塊鏈中的節點就是驗證者V，終端用戶或者二層網絡就是證明者P。文末參考鏈接描述了近十年來公開發表的NIZK方案及特點。在實際工程應用中我們主要關注的是性能和通用性，因此我們對一些常見證明系統進行更細致的分類對比，見文末參考鏈接：Bulletproofs特點：簡潔證明大小，無需可信設置，但證明生成和驗證耗時相比較長。代表項目：Bulletproofs,Halo,Halo2。SNARKs(SuccinctNon-interactiveARgumentsofKnowledge)特點：簡潔證明大小，證明驗證耗時相比較短，但需要對每一個電路進行可信設置。代表項目：Groth16。SNORKs(SuccinctNon-interactiveOecumenical(Universal)aRgumentsofKnowledge)特點：簡潔證明大小，只需要進行一次可信設置即可用于所有電路。代表項目：Sonic,PlonK,Marlin,Plonky2。STARKs(Succinct(Scalable)TransparentARgumentsofKnowledge)特點：證明十分龐大，不需要進行可信設置，具有良好的可擴展性。代表項目：STARK。以上分類也不是絕對的，比如Halo/Halo2項目，它們在設計時也借鑒了很多Plonk的思路，另外，SNORKs通常會被歸入到SNARKs，因為它們都需要可信設置。3.性能對比

富國銀行：股票市場將在 2023 年創出更低的低點:金色財經報道，Watcher.Guru在社交媒體上稱，富國銀行表示“市場底部尚未建立，股票將在 2023 年創出更低的低點。”[2022/9/27 22:31:22]

電路編程

電路是ZKP系統的業務邏輯實現，開發ZKP應用需要進行電路編程，為什么ZKP邏輯代碼被稱為“電路”？主要有以下幾個原因：ZKP證明的代碼會被轉換成一系列簡單約束條件的表達式R1CS，然后使用拉格朗日插值法，轉換為一個巨大的多項式QAP，最終以門電路的形式被約束。與硬件電路類似，所有分支的代碼將被一起執行。與硬件電路類似，ZKP證明電路中沒有遞歸和復雜的循環，循環的數量只能是恒定的。我們不需要從頭去用密碼學實現ZKP應用，有很多開發庫已經實現了這些底層證明系統，我們只需要關注業務邏輯的實現。當然每一種庫都有不同的抽象程度，有的需要去學習描述電路的表達式，有的只需要按流程定義好代碼就可以輕松實現。1.常用開發庫

libsnark用C++語言實現了通用證明系統、基礎電路庫和應用示例。證明系統：BBFR15、BCCT12、BCCT13、BCGTV13、BCIOP13、BCTV14a、BCTV14b、CTV15、DFGK14、Groth16、GM17、GGPR13、PGHR13。鏈接：https://github.com/scipr-lab/libsnark。gnark用Go語言實現的證明系統，提供高級API來設計電路。證明系統：Groth16、PlonK。鏈接：https://github.com/consensys/gnark。bellmanRust實現的證明系統，它提供電路接口、基礎結構以及一些基本電路實現，例如布爾和數值抽象。證明系統：Groth16。鏈接：https://github.com/zkcrypto/bellman。snarkjsJavascript和WASM實現的證明系統，可用于可信設置、生成證明并驗證證明。snarkjs使用iden3自己的circom編譯器對DSL定義的電路進行編譯。證明系統：Groth16、PlonK。鏈接：https://github.com/iden3/snarkjs。ethsnarks使用Python實現，可以在用戶瀏覽器生成證明，使用以太坊智能合約做為驗證者。目前項目開發不活躍，相同的場景下使用Circom可能是更好的選擇。證明系統：Groth16。鏈接：https://github.com/HarryR/ethsnarks。bulletproofs使用Rust實現的證明系統，具有單一和聚合范圍證明、強類型多方計算，正在開發中用于證明任意語句的可編程約束系統API。證明系統：bulletproofs。鏈接：https://github.com/dalek-cryptography/bulletproofs。halo2一個基于Rust的實現的證明系統，由ZCash團隊維護。Halo2特定于PLONKish，可以非常直接地控制電路在算術運算中的表示方式，非常適合編寫高度優化的電路。證明系統：Halo2。鏈接：https://github.com/zcash/halo2。2.開發流程

Helium開發人員考慮將加密無線網絡遷移到Solana:金色財經報道，Helium的核心開發人員希望將網絡從自己的定制鏈轉移到Solana。簡而言之，開發人員認為它將提高Helium的速度、穩定性和服務更多用戶的能力。根據該提議，Helium網絡會將其所有代幣——HNT、IOT、MOBILE和DC（數據信用）——從其自己的區塊鏈轉移到Solana。它還將依賴預言機或不在區塊鏈上的第三方數據源來管理Helium的覆蓋范圍證明基礎設施和數據傳輸會計功能。

此外，該提案聲稱，在遷移到Solana后，更大份額的HNT獎勵代幣將流向節點運營商或礦工，比當前模型增加6.85%。該提案聲稱它將在前兩年額外產生超過200萬個HNT，或按當前價格計算超過1110萬美元。（decrypt）[2022/8/31 12:59:26]

以gnark為例，一個典型的工作流程如下圖：

1）用代碼描述需要解決的問題。2）編譯成R1CS約束系統。3）對R1CS進行可信設置，得到Provingkey和Verifykey。4）證明者使用R1CS和Provingkey計算私密數據，生成證明Proof。5）驗證者使用Verifykey驗證Proof。電路編程專用語言

1.基于以太坊平臺

CairoCairo是一種用于編寫可證明程序的編程語言，其中一方可以向另一方證明某個計算已正確執行。Cairo和類似的證明系統可用于為區塊鏈提供可擴展性。StarkNet將Cairo編程語言用于其基礎設施和編寫StarkNet合約。證明系統：STARK。鏈接：https://www.cairo-lang.org/docs/。ZokratesZoKrates采用DSL描述電路，提供了一些常用的電路庫，它可以幫助你在DApp中使用可驗證的計算，從用高級語言規范您的程序到生成計算證明，再到在Solidity中驗證這些證明。證明系統：GM17、Groth16、Marlin。鏈接：https://zokrates.github.io/。CircomCircom語言采用DSL描述電路，可以配合snarkjs在用戶瀏覽器生成證明，使用以太坊智能合約做為驗證者。證明系統：Groth16、PlonK。鏈接：https://iden3.io/circom。NoirAztec基于Rust的隱私編程語言，采用DSL描述電路，允許安全、無縫地構建隱私保護零知識電路。證明系統：PlonK。鏈接：https://noir-lang.org/index.html。zkEVM與EVM一樣，zkEVM是一個虛擬機，它作為程序操作的結果在狀態之間轉換，但是zkEVM通過生成證明來證明計算的每個部分的正確性。本質上，zkEVM使用一種機制來證明執行步驟遵循規則。目前有zkSync、Polygon、Scroll、Starkware等團隊正致力于zkEVM的實現，已取得重大進展。2.基于公鏈平臺

去中心化NFT交易市場X2Y2交易額突破15億美元:金色財經報道，據Dapprader最新數據顯示，去中心化NFT交易市場X2Y2交易額已突破15億美元，截止目前為15.6億美元，交易者總量為54,776個。數據顯示，自6月以來X2Y2交易額增速較快，過去30天交易額達到4.1224億美元，增幅為76.45%。[2022/6/23 1:25:59]

zkApp(Mina)zkApps是MinaProtocol的智能合約，由零知識證明提供支持。zkApps可以在鏈下執行任意復雜的計算，同時只收取固定費用以將生成的零知識證明發送到鏈以驗證此計算，這與其他在鏈上運行計算并使用基于可變gas費用的區塊鏈相反模型。zkApps使用Typescript編寫。證明系統：PlonK。鏈接：https://docs.minaprotocol.com/zkapps。LEO(Aleo)Leo是一種函數式靜態類型編程語言，專為編寫私有應用程序而構建。它專為開發人員設計，可以直觀地在Aleo區塊鏈上構建，為私有的、去中心化的生態系統提供基礎。證明系統：Marlin。鏈接：https://leo-lang.org/。ZKP常見安全問題

在過去幾年，慢霧安全團隊已為多個知名ZKP產品進行了電路及應用安全審計，包括ZKSwap、Zkdex、Zksafe等，發現了多個中高危漏洞，對基于Circom、libsnark等流行框架開發的應用有較為深入的理解。慢霧安全團隊在ZKP應用審計中發現常見的安全問題有：信任參數風險為了使用zk-SNARKs，需要一組公共參數，稱為公共參考字符串。但是這些參數的創建也會產生一些私有參數，如果某一方獲得這些私有參數，他們就可以偽造證明。另外，生成CRS的流程需要經過審計，確保不會有隨機數后門，或者私有參數不會被蓄意保留。使用zk-SNORKs時也需要確保結構化參考字符串是可信的。可信配置階段的安全隱患問題可以使用安全多方計算來解決，MPC的特點是只要任何一個參與者能誠實參與，那么通過這套多方計算系統最終得到的計算結果就是可信的。靜態代碼安全這部分主要是由于編碼不規范造成的安全問題，例如：參數未校驗、返回值未處理、數值溢出、邊界未檢查等，如果編寫電路的語言是C/C++，那么還會存在內存溢出風險。供應鏈攻擊風險供應鏈的風險主要來自使用了存在漏洞的代碼庫，例如：舊版本的倉庫。通常ZKP應用還需要配合客戶端或者Web前端使用，而這部分也很容易遭受多種方式黑客攻擊。邏輯錯誤邏輯錯誤是電路實現中最容易出現的錯誤，需要結合需求文檔檢查電路的設計是否符合需求。雙花攻擊錯誤的設計可能導致雙花攻擊，例如：某些ZKP庫存在延展性風險，攻擊者可利用已知的Proof生成不同Proof，如果設計不當會導致雙花攻擊。證明偽造有效的證明是ZKP首要解決的問題，確保滿足完備性和可靠性，即“假的真不了，真的假不了”，所以如果一個電路可以創建假證明，通常是由于底層庫出現漏洞，通常我們會建議項目方使用公開的經過審計的ZKP庫，并使用穩定的發行版。側信道攻擊如果電路設計不當，不同的隱私信息可能存在不同的計算特征，攻擊者可能通過公開的輸入或者證明猜解出私有輸入數據。電路約束失效不恰當的電路表達式可能導致變量未被約束。特殊值攻擊一些特殊的輸入值可能繞過系統的驗證邏輯，例如：0、null等。隱私輸入猜解對于TornadoCash等應用，如果輸入的信息可以被猜解，那么會導致嚴重的隱私泄露問題，這時需要對輸入數據進行嚴格審計，確保不能被猜解。RugPull風險一些項目可能存在特殊的管理員權限，一旦權限被非法使用會導致項目資金和用戶資產被竊取。智能合約風險一些ZKP證明使用智能合約進行驗證，例如：Circom、ZoKrates等。智能合約可能出現重入、重放、邏輯錯誤等風險，詳情可查看慢霧安全團隊的智能合約安全審計服務。針對上面列舉的ZKP安全問題，慢霧安全團隊在攻防實戰中總結出了一套安全解決方案，結合黑盒/灰盒/白盒多種測試手段，推出了面向區塊鏈行業的ZKP電路審計服務。總結

零知識證明是解決區塊鏈隱私性、計算擴展和數據壓縮問題的有效方法，目前有很多的實現方案，這些實現方案具有不同的性能參數指標和安全基準。開發者在開發零知識證明電路時需要注意根據需求選擇合適的框架，并確保在項目上線前對應用的安全性進行過全面安全審計。最后，感謝領先的一站式數字資產自托管服務商Safeheron提供的專業技術建議。參考鏈接：.https://en.wikipedia.org/wiki/Zero-knowledge_proof.https://github.com/matter-labs/awesome-zero-knowledge-proofs.https://docs.google.com/presentation/d/1gfB6WZMvM9mmDKofFibIgsyYShdf0RV_Y8TLz3k1Ls0/edit

Tags：ZKPARKCOMTPSZKP價格Total Crypto Market Cap TokenCompoundhttps://etherscan.io

火必交易所