📜 [專欄新文章] 從 Rollups 來聊聊以太坊 Layer2 的演進

✍️ Kimi Wu

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Photo by Clark Van Der Beken on Unsplash

去年 Defi summer 的熱潮後，以太上 Defi 應用呈現爆炸性成長，造就高昂的交易手續費，為了有更快的交易速度及可負擔的交易費用，人們對側鏈、Layer2 的需求更加強烈。Rollups 是 Layer2 的一種技術，在今年相當熱門，幾個耕耘已久的專案 zkSync、Optimism、Arbitrum 等也開始廣為人知。今天想來聊聊以太坊上 Layer2 技術的演進。

State Channel

state channel 最一開始是建立在 Bitcoin 上，最廣為人知的就是 lightning network。簡單來說，就是兩方在私下建立一條可以互相轉帳的通道，轉帳完畢後把通道關閉，接著將交易後的狀態更新到鏈上。若交易一筆後即關閉通道，那交易成本就跟在鏈上一樣，所以在實務上，通道一直開著（或是一段時間），交易數筆、數百筆後再上鏈更新狀態，藉此平均每筆的交易手續費就大幅降低。也因為只需通道雙方驗證交易內容，交易速度能大幅提升，讓小額支付能夠實現，就不需等10分鐘（Bitcoin）後交易才會被打包，甚至要等6個區塊的時間。而最早在以太上的 state channel 是 Raiden。

對於 Raiden 技術有興趣的可以參考這篇文章。

Plasma

Plasma 於2017年8月由 V 跟 Joseph Poon （Lightning Network的創始人之一）所提出，概念上是可以有鏈中鏈中鏈（就是Layer2 → Layer3 → … LayerN)，藉此可達到百萬級甚至更高的交易量，不過概念太美好，沒人知道怎麼實作。

隔年1月 V 提出了 Plasma 的第一個版本 Plasma MVP，是以 UTXOs 模型的設計，接著3月提出了第二個版本 Plasma Cash，同年（2018）Plasma 的提案數呈現著爆炸性的成長（絕大部分都是基於 Plasma MVP 跟 Plasma Cash 做改進）（如下圖），強大的社群力量，讓大部分關鍵的問題在同年年底都找到了解答。也為之後的 Optimistic Rollup 打下了基礎。

而較著名的開發團隊，除了 EF 出來的 Plasma Group 外，還有 OmiseGo 跟 Matic（現在的 Polygon）。

對 Plasma 技術有興趣的，可以參考這篇、這篇跟這篇

https://ethresear.ch/t/plasma-world-map-the-hitchhiker-s-guide-to-the-plasma/4333

Plasma 看似一切美好，但因為資料的可取得性（data availability）的問題，使得在使用者體驗上有點糟糕。

Plasma 的所有交易資料都在 Plasma 鏈上，而 Plasma 鏈的礦工（即operator）只需繳交 Merkle root 到 L1 的合約作公證就好。因此若 operator 作惡，在 Plasma 鏈上交易者，就需有能力證明 operator 作惡。

在 Plasma 設計中有”所有者”的概念（UTXOs 的設計中，收款者需要到拿送款者的轉出證明，才能動用這筆款項，轉出證明只有收款人會擁有），如果該所有者不關心自己的資產，就可能造成資產無效的結果（account-based 的設計，若你不理你的帳號，別人一樣可以轉帳到你的戶頭中）。因此每個交易者須有能力自行提出證明，無法委託第三方。

而要證明這件事，用戶需要把 Plasma 鏈上的交易都下載下來，才能證明 operator 做了一件不合法的行為，也才能產生詐欺證明（fraud proof）到 L1 上的合約來證明 operator 作惡。而這個送出的詐欺證明，必需要被確保可以安全地送到 L1 上的合約被執行，因此需要有一段挑戰期，讓使用者可以下載及驗證資料（或是網路塞車造成詐欺證明無法被合約執行）。

題外話，Eth 2.0 light client利用了 ECC （Error Correction Code）的原理，所以只需要部分資料就可以驗證正確性。

Rollups

同年（2018) 9月，在支線專注隱私性的開發的 Barry Whitehat 提出了 zk Rollup，隨後 V 也在以太坊研究員論壇發了一篇文章，解釋 zk Rollup 是如何運作的，並以On-chain scaling to potentially ~500 tx/sec through mass tx validation 為標題，也因此開啟了 Layer2 新的一頁。隔年（2019）三月，Matter Labs 獲得了 EF 的 grant 將 zk Rollup 產品化，也就是大家所知的 zkSync。

所謂的 rollups，一樣是在 Layer2 上做交易，不同的是 L1 上會記錄每一筆的交易紀錄。什麼！如果每一筆交易紀錄都上鏈，跟一般 L1 交易有什麼不同？想了解細節可以看這篇。簡單來說，在合約裡用了一顆樹來記錄每個帳號的狀態，樹的第幾片葉子（index）代表一個帳號地址，因此帳號就從20 bytes 的地址變成了幾個 bytes 的 index。以 ZK Rollups 來說，交易都是在 Layer2 被驗證過的，所以簽章資訊（65 bytes）也不用上鏈，Optimistic Rollups 會利用簽章聚合的技術，數百個簽章最終會被聚合成一個。因此，交易資料從原本100多 bytes 變成了10幾個 bytes。因為交易紀錄都 ”放上鏈“，資料可取得性也就不是問題了。

”放上鏈”指的是利用 calldata 的方式放在鏈上，並非一般認知的寫進合約裡。非０值的 calldata 每 byte 需要耗費 16 gas，而合約寫進一個 32bytes 的資料需要花 20,000（新增） or 5,000（修改） gas，相當於每個 byte 的成本為625 or 156 gas，約為 calldata 的 40 or 10倍。

同年（2019）六月 John Adler 在以太坊研究者論壇提出了Minimal Viable Merged Consensus，也就是大家熟知的 Optimistic Rollups 的原型，接著 Plasma Group 基於John Adler 的提案，提出了 OVM，從此 Layer2 上除了單純的轉帳外，還可以執行合約，也奠定了 Rollups 在 Layer2 的地位，開啟 rollups 的新世代。

StarkWare 團隊建立了可評估的數學模型，驗證了 calldata 的成本從64 gas 降到 16 gas並不會對鏈的安全造成危害，提出了 EIP-2028（在 Istanbul 上線），也是推動 rollups 可行性的重要一環。

Validity Proof v.s. Fraud Proof

Optimistic Rollups 跟 ZK Rollups 最近有很多文章在介紹跟比較，這邊就不贅述。這邊想聊的是資料的有效性，這篇文章解釋地很好，這裏擷取部分敘述。ZK Rollups 保證了上鏈的資料都是正確的，資料必須被驗證過是合法的（例如沒有被雙花）才會改變使用者的狀態（例如 balance），跟現在各個主鏈的設計是一樣的，稱作有效性證明（Validity Proof），這種設計假設大家都是壞人，要通過驗證才會相信你，確認資料是百分之百的正確聽起來很理所當然，但是背後要維護資料的正確性，需要相當高的成本。

Optimistic Rollups 則是相反，假設大家都是好人，送上鏈的交易都接受，當發現有人作弊，再靠檢舉機制來更正狀態，這稱作詐欺證明（Fraud Proof）。這樣的機制系統維護成本較低（L1 上不需要驗證每一筆資料的正確性），但需要多一個爪耙子的角色來維護系統的安全，也就多一個系統潛在的風險。而要確保爪耙子有足過的時間反應，就不能讓使用者即時地離開系統，這是 Optimistic Rollups 最被詬病的一點，提款要等七天（現在有第三方流動性提供者，使用者可以請第三方流動性提供者預付使用者的提款。使用者支付手續費來換取快速提款的服務，而流動性提供者則承擔資產鎖住七天的風險來賺取手續費。不過在 protocol 層以安全性為主要考量，還是需要較長的挑戰期）。

ZK Rollups 的實作上，也有數個小時的提款期，不過那是基於成本考量，而非安全性。

此外對照於 Plasma， rollups 的設計是 account-based，交易也都公開在鏈上，每個人都可以參與監督及提出詐欺證明。

ZK Rollups v.s. Optimistic Rollups

ZK Rollups 從資料的有效性來看勝過 Optimistic Rollups，離開系統時不需要額外的挑戰期，能即時提款離開系統，不過付出的代價就是交易延遲上鏈。因為產生 zkp 證明需要龐大的運算量，產生一次證明，大約需要10 ~ 20分鐘，所以說在 Layer2 上做一筆交易，10分鐘後你的交易才是有 L1 的安全性。

為了能盡早得知發出的交易是否完成，實作上會把完成的交易先丟上鏈，等zkp 證明產生後再上鏈驗證其正確性，若驗證成功，則交易視同有 L1 的安全性。

但是在通用性上，Optimistic Rollups 沒有複雜的 zkp 電路的限制，對於合約的支援度上更好，而且 zkp（SNAKRKs）在使用前需要一個盛大的啟用典禮（trusted setup ceremony）。

zkSync

zkSync 1.0 在去年（2020） 六月上線，因為不能執行合約，使用的專案並不多。同年的年初，Matter Labs 已經默默在開發一種新語言 Zinc，是可以在 zkSync 上開發合約的語言。年底，與 Defi 專案 Curve 合作，發表了在 zkSync上可以跑基本版的 Curve（兩幣交換）。今年（2021）三月，Matter Labs 發表了令人振奮的消息，zkSync 支援 EVM！只需要部分修改現有的合約就可以部署到 zkSync 上，測試網今年五月已經上線，主網預計8月上線。不過目前測試網上的交易量非常地少，相信在初期還是有相當多問題或是困難，以短期來看，Optimistic Rollups 陣營的速度跟支援度略勝一籌，不過個人相信長期會是 ZK Rollups 的世代（私心認為 lol），但最終還是由生態系的大小來決定贏家。

在 ZK 這個陣線上有延伸出不同的設計，為了加快速度及減少上鏈成本，StarkWare 提出了 Validium 的概念，資料不上鏈但使用 zkp 確保資料的正確性，像是 StarkWare 的 Volition 跟 Matter Labs 的 zkPorter 都是同樣概念的實作，不過不是本篇的重點，就不多解釋。

ETH 2

V在2020年10月提出了 A Rollup Centric Ethereum，rollup 也因此進到 Eth2 的規劃中。Eth2 的設計中 shard chain 是資料層，而在 phase 2 後才有執行層（也就是才能執行合約），V 的提案 除了讓 shard chain 當資料層外，也會內建 rollups 的邏輯。至於會採用哪種 rollups 目前沒看到結論，不過 V 本人是傾向 ZK Rollups。如果成真，那未來數百個 rollups 之間的溝通，將會是另一個挑戰 。

專案比較

ZK Rollups 有目前這幾個較知名的專案： zkSync（Matter Labs）、 Hermez（Iden3）、 Loopring（Loopring）、 StarkNet（StarkWare）跟 Aztec（Aztec）。

Optimistic Rollups 目前幾個專案 Optimism（Optimisim，前Plasma Group 成員）、 Arbitrum（Offchain Labs）、 Fuel（Fuel）。

這是目前幾大 rollups 的生態系（今年3月時的統計），比較值得一提的是，Uniswap 團隊因為社群的投票，也將會在 Arbitrum 上面部署，對於整個 Arbitrum 的生態，相信有很大的影響。

https://www.chainnews.com/articles/872971457746.htm

感謝 NIC Lin 及 Chih-Cheng Liang 的審查跟建議。若有錯誤或不同觀點，歡迎指教。

從 Rollups 來聊聊以太坊 Layer2 的演進 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

0604新加坡聯合早報

*【美國率先釋出2500萬劑疫苗 75%通過COVAX發放】
美國總統拜登公佈與全球分享8000萬劑冠病疫苗的計畫，首批釋出的2500萬劑疫苗最快於當天運出，其中75%將通過“全球冠病疫苗獲取機制”（COVAX）發放。拜登表示，美國對發達經濟體和發展中國家的冠病疫苗接種率存在巨大差距深感關切，他表明，美國提供疫苗並不要求任何政治回報。拜登說：“我們分享疫苗不是為了獲得好處或交換條件。”他說：“我們捐出疫苗是為了拯救生命，以我們作為標杆和我們的價值觀力量，帶領全世界終結這場大流行病。”
https://www.zaobao.com.sg/realtime/world/story20210604-1151691

*【全球215國接種超過20億劑冠病疫苗 僅6國未開啟接種計畫】
統計資料顯示，全球215個國家已接種了超過20億劑冠病疫苗，只有六個國家尚未開始接種計畫。法新社報導，統計資料顯示，全球215個國家和地區至少接種了21億零969萬6022劑冠病疫苗。這一里程碑是在全球開啟疫苗接種計畫半年後達成。在接種計畫處於領先地位的以色列，每10個人中就有近6個人完全接種疫苗。緊隨其後的是加拿大（59%的人口至少接種過一次疫苗）、英國（58.3%）、智利（56.6%）和美國（51%）。
https://www.zaobao.com.sg/realtime/world/story20210603-1151650

*【多國政府和私人承諾捐24億美元 給COVAX買疫苗送給窮國】
多國政府和私人承諾捐出近24億美元，為全球冠病疫苗獲取機制（COVAX）提供額外資金，以採購和運送疫苗給貧窮國家。日本與全球疫苗免疫聯盟（GAVI）週三共同主辦線上捐助峰會，成功為COVAX籌得額外近24億美元以及5400萬劑疫苗。世界衛生組織和GAVI日前表示，COVAX需要額外20億美元來鎖定疫苗供應，以彌補印度停止疫苗出口後留下的缺口。
https://www.zaobao.com.sg/news/world/story20210604-1151742

*【印度政府與製藥公司達成協議生產3億劑疫苗】
印度政府為緩解國內冠病疫苗短缺問題，昨日宣佈與印度製藥公司Biological-E達成協議，共同生產3億劑疫苗。印度身為世界最大的疫苗生產國之一，至今還是無法滿足國內疫苗需求。報導指莫迪政府面臨國家最高法院的壓力，要求冠病疫苗覆蓋更多人口。莫迪政府發表聲明說，將向位於海德拉巴的Biological-E製藥公司支付150億盧比（約2.7億美元）的預付款；該公司開發的疫苗目前正進行第三階段臨床試驗，預計今年8月可生產7500萬至8000萬劑疫苗。
https://www.zaobao.com.sg/news/world/story20210604-1151740

*【法國本月15日起為12歲至18歲青少年接種疫苗】
法國總統馬克龍週三宣佈，從本月15日起，將為12歲至18歲的青少年接種輝瑞冠病疫苗，但並非強制性，須獲父母同意。法國衛生部長維蘭受訪時說：“青少年接種疫苗有助於提高集體免疫力，使我們能避免在9月關閉學校，以及保護可能出現冠病症狀的青少年。”
https://www.zaobao.com.sg/news/world/story20210604-1151741

*【並非兩變種毒株混合體 世衛：越南發現新變種毒株是Delta毒株一部分】
越南上周宣佈發現的冠病新變種毒株，其實並不是源自於印度和英國變種毒株的混合體，而是印度變種毒株的一部分。《日經亞洲評論》3日的報導引述世界衛生組織駐越南首席代表朴啟東說，最新在越南發現的變種毒株並非Delta變種病毒株和Alpha變種病毒株的混合體，而是現有Delta病毒毒株的一部分。
https://www.zaobao.com.sg/news/sea/story20210604-1151733

*【不滿太多企業仍獲准營運 傳馬國多名部長激烈爭論】
國際貿易與工業部高級部長阿茲敏透露，共有12萬8150家公司在全面封鎖期間獲准運營。消息人士指，多名部長不滿太多公司獲准運營，擔心若不全面封鎖，冠病疫情不會改善。
https://www.zaobao.com.sg/news/sea/story20210604-1151734

*【馬國逾8萬名17歲以下兒童和青少年染冠病】
馬來西亞去年1月25日至今年5月，共有8萬2341名17歲以下的兒童和青少年感染冠病。馬國衛生部週三晚在臉書上發佈上述資料。衛生總監諾希山昨天也發表聲明說，馬國五歲以下兒童感染冠病後惡化成重症及死亡的病例都增加了。
https://www.zaobao.com.sg/news/sea/story20210604-1151735

*【泰國受疫情衝擊 過去兩個月5萬餐館倒閉或暫時停業】
冠病疫情重創全球經濟，除了航空業外，餐飲業也遭受衝擊。泰國餐館協會估計，過去兩個月，泰國約有5萬家餐館暫時關閉或結束營業，待疫情結束，預計有至少1萬家餐館會倒閉。
https://www.zaobao.com.sg/news/sea/story20210604-1151736

*【日媒預測： 菅義偉要待奧運落幕後舉行大選】
日本眾議院將於10月21日屆滿，盛傳日相菅義偉準備在舉辦奧運後解散國會舉行大選。支持率下滑的菅義偉被指要挽回民心續任，就要看他推動的冠病疫苗接種計畫以及是否順利辦好奧運。距日本舉辦奧運只有50天，日媒報導，菅義偉週三同執政黨聯盟公明黨黨首山口那津舉行了一小時會談，表達他將致力於讓重要法案在本屆國會通過。他表明不會延長會期，也不會制定2021年度追加預算案。
https://www.zaobao.com.sg/news/world/story20210604-1151743

*【拜登：疫苗政策奏效 經合組織預測美今年經濟增長將達6.9%】
拜登在白宮針對美國的疫苗措施發表講話時說，由於疫苗與經濟方案的推動順利，許多商家和餐廳重新開張，美國經濟快速增長。他說，經濟合作與發展組織本周最新預測，美國今年的經濟增長將達到6.9%，是40年來最快速的。
https://www.zaobao.com.sg/news/world/story20210604-1151739

*【菲美修改軍事聯盟協議 新條款提交杜特蒂定奪】
菲律賓與美國之間一項存在20多年軍事聯盟協議已經修改，新條款已提交給菲律賓總統杜特蒂，由他定奪。菲律賓駐美國大使羅穆亞爾德斯受訪說：“我們有信心他（杜特蒂）會發現協議條款有顯著改善。”菲美於1998年簽署的《來訪部隊協定》重申了兩國在1951年簽訂的《菲美共同防禦條約》中承擔的義務，並同意美國軍隊可不定期造訪菲律賓，以及美國軍方人員入境菲律賓時無需護照和簽證。
https://www.zaobao.com.sg/news/sea/story20210604-1151738

*【德勤支付8000萬美元 就一馬審計糾紛與馬國達致和解】
馬來西亞財政部宣佈，國際著名審計公司德勤（Deloitte）已經支付8000萬美元給馬國，雙方就一個馬來西亞發展有限公司（1MDB）審計糾紛達致和解。財政部長扎夫魯發佈聲明稱，德勤已將上述款項匯入財政部指定的信託基金戶頭。該戶頭目前已有163.6億令吉，包括當局追回的一馬公司資金與相關和解金。這些錢將優先用來償還一馬公司及其子公司SRC的債務。
https://www.zaobao.com.sg/news/sea/story20210604-1151737

*【歐盟將對緬甸軍政府實施第三輪制裁】
歐盟外交及安全政策高級代表博雷利表示，歐盟將在未來幾天對緬甸軍政府及其經濟利益實施新一輪制裁。路透社報導，博雷利在雅加達與東南亞外交官會晤後接受採訪時作出上述宣佈。他說，這將是自軍方於2月1日推翻緬甸民選政府以來歐盟對軍政府實施的第三輪制裁。他說：“第三輪制裁措施正在準備中，將在未來幾天向軍政府人員和代表軍方經濟利益的實體實施。”
https://www.zaobao.com.sg/realtime/world/story20210603-1151686

*【東協特使今會晤敏昂萊 紅十字要求放寬人道援助管道】
到訪緬甸的東協特使4日將與緬甸軍方領導人敏昂萊進行會晤，紅十字國際委員會則要求為緬甸邊境地區和緬甸監獄提供更多人道援助。緬甸一名要求不具名的高官證實，東協輪值主席國汶萊外交部第二部長Erywan Yusof和東協秘書長林玉輝週四晚飛抵緬甸首都內比都。他表示，Erywan Yusof和林玉輝週五早上將與敏昂萊會面；緬甸軍方資訊部團隊則表示，很快會發佈更多關於當天會議的資訊。
https://www.zaobao.com.sg/realtime/world/story20210604-1151810

*【美副國務卿：仍評估前政府對華貿易政策】
美國國務院一名高級官員說，在與中國經貿官員進行了兩次高層會談後，拜登政府仍然在評估前特朗普政府的對華貿易政策，包括如何處理前政府對中國實施的關稅政策。美國副國務卿Wendy Sherman2日在與亞太地區媒體互動的電話會議上被問到，美中高層通話對兩國經貿關係、尤其是對處理貿易戰發出了什麼信號，人們是否會看到美方撤銷上屆政府對中國施加的關稅。
https://www.zaobao.com.sg/realtime/china/story20210604-1151811

*【拜登擴大禁止投資中國軍工企業清單】
美國總統拜登簽署行政命令，禁止美國人投資數十家與國防和監視技術有關的中國公司。這項禁令將於8月2日生效。這項行政命令進一步鞏固並強化了美國前總統川普去年發佈的禁止美國人投資中國軍工企業的行政命令，並擴大了這項行政命令所宣佈的國家緊急狀態範圍，認定踐踏人權也對美國構成非同尋常的威脅。
https://www.zaobao.com.sg/realtime/world/story20210604-1151692

*【美國將把勒索軟體襲擊與恐襲並列優先調查事項】
在美國多家關鍵機構接連遭勒索軟體入侵後，美國司法部決定把這類駭客襲擊與恐怖襲擊並列為其優先調查事項。根據美國司法部向全國各地檢察官辦公室發佈的內部指引，他們的勒索軟體調查資訊應與華府近日成立的一個工作組統一協調。美國司法部副檢察官首席助理卡林告訴路透社：“這個特別工作組將追查所有的勒索軟體襲擊事件，這樣，無論它從什麼地方攻入，我們都能把所有的駭客行動全部串聯起來，然後沿線追蹤並摧毀整個駭客網路。”
https://www.zaobao.com.sg/realtime/world/story20210604-1151814

*【熱帶風暴“彩雲”過境菲律賓 八人死亡15人失蹤】
菲律賓熱帶風暴“彩雲”過境已導致八人死亡，至少15人失蹤。菲律賓國家減災管理委員會說，失蹤者包括兩名兒童，年齡分別為2歲和7歲，另有超過4.5萬人受災。據報導，熱帶風暴“彩雲”本週二（1日）登陸菲律賓，影響南部和中部地區，在部分區域引發洪澇、塌方等次生災害。
https://www.zaobao.com.sg/realtime/world/story20210603-1151683

*【英女王6月13日接待拜登夫婦】
英國白金漢宮宣佈，英女王伊莉莎白二世將於6月13日，在溫莎城堡會見美國總統拜登和第一夫人吉爾·拜登。95歲的英女王已接種了兩劑冠病疫苗，她在疫情暴發後基本上一直都住在溫莎城堡，並以虛擬方式舉行絕大部分會議，包括與外國大使會面。這將是她自5月11日主持英國國會開幕式以來，最引人注目的官方活動，也是她在丈夫菲力浦親王的葬禮後首次公開露面。
https://www.zaobao.com.sg/realtime/world/story20210603-1151682

*【檢察官求判殺害佛洛伊德白人員警30年徒刑】
美國白人前警員Derek Chauvin去年將非裔男子George Floyd當街壓頸致死，掀起全國抗議聲浪。當地檢察官2日向法官求處30年徒刑。Derek Chauvin的律師則提出服刑時間和緩刑等截然不同的要求，稱Derek Chauvin是犯下“善意的錯誤”。律師尼爾森在求情中寫道：“Derek Chauvin請求法院審視調查結果以外之事，看看他的背景、他沒有犯罪記錄、他對緩刑的服從、本案的不尋常事實，以及他是‘崩壞制度’下的產物。”
https://www.zaobao.com.sg/realtime/world/story20210603-1151673

*【世界糧食價格指數5月份飆升至2011年以來最高水準】
聯合國糧食機構表示，今年5月份世界糧食價格連續第12個月上漲，創下十多年來最快的月度上漲幅度，以及2011年9月以來的最高水準。糧農組織還發佈了對2021年世界穀物產量的首次預測，預計產量接近28.21億噸，創下新紀錄，比2020年的水準提高1.9%。
https://www.zaobao.com.sg/realtime/world/story20210603-1151678

📜 [專欄新文章] [ZKP 讀書會] Tornado Cash

✍️ Jerry Ho

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Disclaimer: 本人與Tornade Cash專案及其員工無任何利益往來。

Tornado Cash是一個Ethereum上的原生隱私轉帳解決方案，使用zk-SNARK+Merkle Tree的路徑證明作為其核心隱私保護機制。

你知我知，Ethereum上的交易記錄是公開的，這使得任何一個人只要知道你的address，便可以在https://etherscan.io/ 之類的網站上查出有多少人和這個位置進行過交易，你做過什麼消費行為或是交易行為等。

或許這聽來不像是個問題，而想要隱藏自己的交易記錄甚至聽起來反而像是不法分子的銷贓行為。

但試想下開情境：因為我曾經使用ethereum捐款給一個政治不正確的專案/組織，而我在接受dd/kyc/reference check的時候因為我的ethereum address就寫在自己的blog上而被查了個底朝天，因而被拒絕入職/拒絕開戶/拒絕服務。

這並不是一個很遙遠的情境…

Tl;dr

解決交易隱私問題分為兩個層次，Assuming你的目的是讓自己的金錢流向無法被追蹤。

層次一：我的錢「丟進了」Tornado Cash的contract，我要如何在不使用與轉入時同一個address的情況下— 若是同一個address就沒有隱私可言了 — 取出我的錢？contract如何知道我存過錢，餘額還夠，所以現在我來領錢了他讓我領？

層次二：就算層次一成立，我的隱私如何達成？到底有多隱私？到底有多不隱私？

技術上來說（細節下文詳談），層次一使用zero-knowledge的set-membership proof來證明，透過預先在Merkle Tree中「登記」一個自己的entry/leaf，tornado cash稱為note，爾後在提款時提出該leaf之zk proof，來解決這個提款時的認證問題。

層次二則是所謂的藏樹於林。既然轉出和轉入無法被連結在一起，那麼只要使用Tornado Cash的人數夠多，總轉出和總轉入的交易總筆數就會太多，以致無法輕易重新關聯轉入與轉出地址背後的真人。

使用界面

https://tornado.cash/

當然你也可以直接和合約地址互動啦

上圖左方紅框為存入幣種與金額大小，右方紅框為該額度對應之帳戶內有多少顆「樹」。

記得藏樹於林嗎？右方的 Anonymity set 就是告訴你現在森林的規模有多大。數量一大，跑資料分析試圖重新關聯某筆特定存款到某筆特定提款就變得更為困難。

提款界面如上。

值得注意的是，提款時的以上兩個選項(Wallet/Relayer)，是在目前Account Abstraction尚未實現時的一個折衷方案。

這裡有個死循環：既然我提款的時候需要支付gas，那麼我的gas從哪裡來？是不是勢必得從交易所或是其他帳號來？簡言之，若是無法直接新建立一個地址然後直接將其作為Tornado Cash提款用，達到的隱私強度就大打折扣。

Relayer就是針對這個問題所設計的。透過付出一些手續費來提供社群架設relayer node的誘因，提款時該筆轉帳的gas費用，便可以讓relayer node來負責先出。relayer node收到使用者的zk proof後將其轉交給tornado cash的合約，合約就會會將應有的relayer手續費與扣除手續費+gas後的款項分別轉給relayer與使用者。

社群治理

Tornado Cash天生是一個比較沒有銅臭味的專案 — 社群治理和funded的味道相當強烈。

透過預先設計好的proxy contract與staking/locking機制，任何一個Tornado Cash的使用者都能夠提出對合約實行的改動建議，並交由社群來投票決定是否要執行該改動。

技術細節可以參照此篇，同時Tornado Cash的第一輪社群治理提案也剛投票過關，回顧可參考此處之討論。

誘因設計

本文作者比較任性不在意錢，請移駕此處閱讀官方如何設計Anonymity Mining來確保以下兩點：

機制能讓使用者願意加入存錢，提供流動性同時也讓樹林變大，增加隱私程度。

產生TORN(ERC20 token)與領取TORN的機制，透過在原本的tornado cash上面再加一層，來避免TORN激勵層錯誤的設計導致下一層之隱私洩漏（激勵層出事不影響核心隱私之意）。

技術細節

首先本文不打算解釋何為zero-knowledge proof，請接受以下描述：

若有一NP statement分類上是satisfiability problem(例：merkle tree中的hash chaining H(H(H(a,b),c),d) )，則我們可以設計出一個arithmetic circuit來確保能夠有效率的產生proof, 有效率的驗證, 無法產生假的且能說服人的proof…且其電路驗證的statement是我們想要的，像是此例中的merkle tree opening.

存款

存款者透過送出C = H(k, r) 以及存入之數額給tornado cash的合約來進行存款的動作。其中k在之後會成為存款者領錢的憑證，稱為nullifier，r則是增加randomness而已，此二值需要記下。此時合約端會將這個C(commitment)丟入Merkle Tree上其中一個空的leaf，並更新root hash。存款者還需要記下自己的C對應之leaf index。

產生proof，用此proof作為提款憑證

用一段話來概括，若是我

知道Merkle Tree上某個leaf的commitment的preimage, 代表我能在電路中證明我知道H(k, r) 中的 k, r, 同時不洩漏k, r到底是多少（zk特性, magic）。

我知道該leaf至root的路徑上會經過哪些點，我也提供了一個可以讓電路驗證root hash的hash chaining過程，代表我知道他是從哪個leaf開始走的。因而，這證明了我提出的1.中的commitment確實屬於某顆公開的、大家都知道的merkle tree中的特定leaf（就是我之前存款對應到的leaf）。

就可以在不需要提供像是原本存款地址的簽章之類的驗證機制情況下，透過zk proof，亦能正確做permission control讓unlinkable的提款能夠成真。

另，讀者可以看到在proof中已然預設了relayer的存在。這使得上開所提到之「使用者提款, 拜託relayer執行=>relayer預付gas發起transaction，將內容送給tornado cash合約=>合約處理proof並將款項拆成兩份給relayer與使用者」這個行為得以成立，且relayer無法得知或假造proof內容。

提款流程

基本上在上方的產生證明都講過一次了，這邊就是pseudo code順過一次提款流程而已，大家自己看啊。

值得一提的是，使用者除了需要提出上一部分提到的證明之外，還需要將k的部分額外拿出來再做一次H(k)，將值一併傳給contract。

這裡的設計哲學，簡單來講是這樣的：zero-knowledge太強了，強到就算證明了我知道H(k, r)的k跟r, 收到的驗證者並沒有辦法知道H(k)是什麼東西。為了讓同一筆款項不會被提領兩次，在提款流程中合約會將「每一筆成功提款中的H(k)」記錄下來，另外開個表存著。爾後若是其他提款交易中的H(k)與表中的重複了，這就代表有人試圖想要騙合約重複提款，自然該提款嘗試就不會成立。

洗錢失敗例

工程師都知道使用者從來不看說明書，看了可能也不會懂。

Koh Wei Jie分析了Kucoin的駭客事件。Kucoin的駭客使用Tornado Cash來洗錢，但忽略了Tornado Cash官方一直三令五申的使用需知，因而讓款項在進入Tornado Cash跑了一輪之後還是能夠被追蹤，哈哈UCCU。

簡單來說，hacker為了節省多次使用relayer的手續費，而將大多數的提領過程都變成直接提領到wallet。雖然該wallet的位置是全新產生的沒有gas，但是透過只讓第一次的提款使用relayer，hacker便能從第一次提款中取得手續費並分發給其他全新產生的wallet address。

那問題在哪？還要問？

要達到隱私需要保持藏樹於林原則，同時使用者不應自己破壞tornado cash幫你達成的address unlinkability。這位hacker因為愛省手續費，所以違背了後者；同時他因為太心急又愛省手續費，太快、分太少次提領、每次提領的數額又太大了，所以side-channel去給他做簡單的traffic analysis就能夠用虛無假設推出：「綜觀歷史上所有的存款位置與數額，扣掉駭客存錢的那些位址之後，我們還需要14個unique address/user共謀，才能有能力一次提這麼多錢。」

這看起來可能嗎？自然是不可能的。

所以這位駭客就是錯誤的沒有遵守藏樹於林的原則，才導致自己的金流重新被和帳號聯繫在一起。

提供一些延伸閱讀，圈子內的”名人”對這種不看說明書的使用者的看法：

tornado * Gavin Andresen

如何避免洗錢失敗

我自己的投影片，我自己翻譯：

打開你的VPN 打開你的TOR 打開你的無痕瀏覽器分頁 用上你全新的VM PC VPS instance 最好連data-link layer安全都顧到 產生全新的地址不要懶惰 自己跑一個fullnode 乖乖用relayer付手續費提款 領錢之後記得把C(k,r)的記錄刪掉 不要急一次存或提領大額 時間拉長數目減少…..

簡而言之：要設計相對安全但又讓使用者可以直覺上手的安全系統真的很他媽難 - 使用者永遠會想辦法抄近路，然後系統的security assumption就爆炸了。

結論上來講，你想要多安全取決於你在臺大水源校區的腳踏車平常都上幾個大鎖=想付出多少成本。只要不要學Kucoin Hacker那樣連鎖都不鎖車還是新的，大部分時間都沒啥問題 lol。

參考資料與文中出現過的連結，不按先後順序：

https://tornado.cash/Tornado.cash_whitepaper_v1.4.pdf

https://tornado.cash/audits/TornadoCash_cryptographic_review_ABDK.pdf

https://tornado.cash/audits/TornadoCash_circuit_audit_ABDK.pdf

https://torn.community/t/whats-next-for-tornado-cash-governance/250

https://weijiek.medium.com/deanonymising-the-kucoin-hacker-418fa5e9911d

https://tornado-cash.medium.com/tornado-cash-governance-proposal-a55c5c7d0703#2084

https://eips.ethereum.org/EIPS/eip-2938

http://gavinandresen.ninja/private-thoughts

[ZKP 讀書會] Tornado Cash was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌