📜 [專欄新文章] [ZKP 讀書會] Tornado Cash

✍️ Jerry Ho

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Disclaimer: 本人與Tornade Cash專案及其員工無任何利益往來。

Tornado Cash是一個Ethereum上的原生隱私轉帳解決方案，使用zk-SNARK+Merkle Tree的路徑證明作為其核心隱私保護機制。

你知我知，Ethereum上的交易記錄是公開的，這使得任何一個人只要知道你的address，便可以在https://etherscan.io/ 之類的網站上查出有多少人和這個位置進行過交易，你做過什麼消費行為或是交易行為等。

或許這聽來不像是個問題，而想要隱藏自己的交易記錄甚至聽起來反而像是不法分子的銷贓行為。

但試想下開情境：因為我曾經使用ethereum捐款給一個政治不正確的專案/組織，而我在接受dd/kyc/reference check的時候因為我的ethereum address就寫在自己的blog上而被查了個底朝天，因而被拒絕入職/拒絕開戶/拒絕服務。

這並不是一個很遙遠的情境…

Tl;dr

解決交易隱私問題分為兩個層次，Assuming你的目的是讓自己的金錢流向無法被追蹤。

層次一：我的錢「丟進了」Tornado Cash的contract，我要如何在不使用與轉入時同一個address的情況下— 若是同一個address就沒有隱私可言了 — 取出我的錢？contract如何知道我存過錢，餘額還夠，所以現在我來領錢了他讓我領？

層次二：就算層次一成立，我的隱私如何達成？到底有多隱私？到底有多不隱私？

技術上來說（細節下文詳談），層次一使用zero-knowledge的set-membership proof來證明，透過預先在Merkle Tree中「登記」一個自己的entry/leaf，tornado cash稱為note，爾後在提款時提出該leaf之zk proof，來解決這個提款時的認證問題。

層次二則是所謂的藏樹於林。既然轉出和轉入無法被連結在一起，那麼只要使用Tornado Cash的人數夠多，總轉出和總轉入的交易總筆數就會太多，以致無法輕易重新關聯轉入與轉出地址背後的真人。

使用界面

https://tornado.cash/

當然你也可以直接和合約地址互動啦

上圖左方紅框為存入幣種與金額大小，右方紅框為該額度對應之帳戶內有多少顆「樹」。

記得藏樹於林嗎？右方的 Anonymity set 就是告訴你現在森林的規模有多大。數量一大，跑資料分析試圖重新關聯某筆特定存款到某筆特定提款就變得更為困難。

提款界面如上。

值得注意的是，提款時的以上兩個選項(Wallet/Relayer)，是在目前Account Abstraction尚未實現時的一個折衷方案。

這裡有個死循環：既然我提款的時候需要支付gas，那麼我的gas從哪裡來？是不是勢必得從交易所或是其他帳號來？簡言之，若是無法直接新建立一個地址然後直接將其作為Tornado Cash提款用，達到的隱私強度就大打折扣。

Relayer就是針對這個問題所設計的。透過付出一些手續費來提供社群架設relayer node的誘因，提款時該筆轉帳的gas費用，便可以讓relayer node來負責先出。relayer node收到使用者的zk proof後將其轉交給tornado cash的合約，合約就會會將應有的relayer手續費與扣除手續費+gas後的款項分別轉給relayer與使用者。

社群治理

Tornado Cash天生是一個比較沒有銅臭味的專案 — 社群治理和funded的味道相當強烈。

透過預先設計好的proxy contract與staking/locking機制，任何一個Tornado Cash的使用者都能夠提出對合約實行的改動建議，並交由社群來投票決定是否要執行該改動。

技術細節可以參照此篇，同時Tornado Cash的第一輪社群治理提案也剛投票過關，回顧可參考此處之討論。

誘因設計

本文作者比較任性不在意錢，請移駕此處閱讀官方如何設計Anonymity Mining來確保以下兩點：

機制能讓使用者願意加入存錢，提供流動性同時也讓樹林變大，增加隱私程度。

產生TORN(ERC20 token)與領取TORN的機制，透過在原本的tornado cash上面再加一層，來避免TORN激勵層錯誤的設計導致下一層之隱私洩漏（激勵層出事不影響核心隱私之意）。

技術細節

首先本文不打算解釋何為zero-knowledge proof，請接受以下描述：

若有一NP statement分類上是satisfiability problem(例：merkle tree中的hash chaining H(H(H(a,b),c),d) )，則我們可以設計出一個arithmetic circuit來確保能夠有效率的產生proof, 有效率的驗證, 無法產生假的且能說服人的proof…且其電路驗證的statement是我們想要的，像是此例中的merkle tree opening.

存款

存款者透過送出C = H(k, r) 以及存入之數額給tornado cash的合約來進行存款的動作。其中k在之後會成為存款者領錢的憑證，稱為nullifier，r則是增加randomness而已，此二值需要記下。此時合約端會將這個C(commitment)丟入Merkle Tree上其中一個空的leaf，並更新root hash。存款者還需要記下自己的C對應之leaf index。

產生proof，用此proof作為提款憑證

用一段話來概括，若是我

知道Merkle Tree上某個leaf的commitment的preimage, 代表我能在電路中證明我知道H(k, r) 中的 k, r, 同時不洩漏k, r到底是多少（zk特性, magic）。

我知道該leaf至root的路徑上會經過哪些點，我也提供了一個可以讓電路驗證root hash的hash chaining過程，代表我知道他是從哪個leaf開始走的。因而，這證明了我提出的1.中的commitment確實屬於某顆公開的、大家都知道的merkle tree中的特定leaf（就是我之前存款對應到的leaf）。

就可以在不需要提供像是原本存款地址的簽章之類的驗證機制情況下，透過zk proof，亦能正確做permission control讓unlinkable的提款能夠成真。

另，讀者可以看到在proof中已然預設了relayer的存在。這使得上開所提到之「使用者提款, 拜託relayer執行=>relayer預付gas發起transaction，將內容送給tornado cash合約=>合約處理proof並將款項拆成兩份給relayer與使用者」這個行為得以成立，且relayer無法得知或假造proof內容。

提款流程

基本上在上方的產生證明都講過一次了，這邊就是pseudo code順過一次提款流程而已，大家自己看啊。

值得一提的是，使用者除了需要提出上一部分提到的證明之外，還需要將k的部分額外拿出來再做一次H(k)，將值一併傳給contract。

這裡的設計哲學，簡單來講是這樣的：zero-knowledge太強了，強到就算證明了我知道H(k, r)的k跟r, 收到的驗證者並沒有辦法知道H(k)是什麼東西。為了讓同一筆款項不會被提領兩次，在提款流程中合約會將「每一筆成功提款中的H(k)」記錄下來，另外開個表存著。爾後若是其他提款交易中的H(k)與表中的重複了，這就代表有人試圖想要騙合約重複提款，自然該提款嘗試就不會成立。

洗錢失敗例

工程師都知道使用者從來不看說明書，看了可能也不會懂。

Koh Wei Jie分析了Kucoin的駭客事件。Kucoin的駭客使用Tornado Cash來洗錢，但忽略了Tornado Cash官方一直三令五申的使用需知，因而讓款項在進入Tornado Cash跑了一輪之後還是能夠被追蹤，哈哈UCCU。

簡單來說，hacker為了節省多次使用relayer的手續費，而將大多數的提領過程都變成直接提領到wallet。雖然該wallet的位置是全新產生的沒有gas，但是透過只讓第一次的提款使用relayer，hacker便能從第一次提款中取得手續費並分發給其他全新產生的wallet address。

那問題在哪？還要問？

要達到隱私需要保持藏樹於林原則，同時使用者不應自己破壞tornado cash幫你達成的address unlinkability。這位hacker因為愛省手續費，所以違背了後者；同時他因為太心急又愛省手續費，太快、分太少次提領、每次提領的數額又太大了，所以side-channel去給他做簡單的traffic analysis就能夠用虛無假設推出：「綜觀歷史上所有的存款位置與數額，扣掉駭客存錢的那些位址之後，我們還需要14個unique address/user共謀，才能有能力一次提這麼多錢。」

這看起來可能嗎？自然是不可能的。

所以這位駭客就是錯誤的沒有遵守藏樹於林的原則，才導致自己的金流重新被和帳號聯繫在一起。

提供一些延伸閱讀，圈子內的”名人”對這種不看說明書的使用者的看法：

tornado * Gavin Andresen

如何避免洗錢失敗

我自己的投影片，我自己翻譯：

打開你的VPN 打開你的TOR 打開你的無痕瀏覽器分頁 用上你全新的VM PC VPS instance 最好連data-link layer安全都顧到 產生全新的地址不要懶惰 自己跑一個fullnode 乖乖用relayer付手續費提款 領錢之後記得把C(k,r)的記錄刪掉 不要急一次存或提領大額 時間拉長數目減少…..

簡而言之：要設計相對安全但又讓使用者可以直覺上手的安全系統真的很他媽難 - 使用者永遠會想辦法抄近路，然後系統的security assumption就爆炸了。

結論上來講，你想要多安全取決於你在臺大水源校區的腳踏車平常都上幾個大鎖=想付出多少成本。只要不要學Kucoin Hacker那樣連鎖都不鎖車還是新的，大部分時間都沒啥問題 lol。

參考資料與文中出現過的連結，不按先後順序：

https://tornado.cash/Tornado.cash_whitepaper_v1.4.pdf

https://tornado.cash/audits/TornadoCash_cryptographic_review_ABDK.pdf

https://tornado.cash/audits/TornadoCash_circuit_audit_ABDK.pdf

https://torn.community/t/whats-next-for-tornado-cash-governance/250

https://weijiek.medium.com/deanonymising-the-kucoin-hacker-418fa5e9911d

https://tornado-cash.medium.com/tornado-cash-governance-proposal-a55c5c7d0703#2084

https://eips.ethereum.org/EIPS/eip-2938

http://gavinandresen.ninja/private-thoughts

[ZKP 讀書會] Tornado Cash was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] Uniswap v2 實作 : 從創建交易對到Ether 換 Dai 投入 Compound
✍️ 田少谷 Shao
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Uniswap v2 實作 : 從創建交易對到Ether 換 Dai 投入 Compound

V̶y̶p̶e̶r̶ Solidity coding time!

Image source: https://uniswap.org/

Outline

一. 前言二. 程式碼結構 1. Wrapped Ether(WETH)? 2. Impermanent Loss三. 創建交易對 - 準備 Interfaces四. 注入資金 - 注意事項五. 兌換虛擬貨幣六. 取得報價作為預言機七. 自行兌換 WETH八. 結語

一. 前言

暨上一篇解釋了 Uniswap 的演算法後，由於個人有使用 Uniswap v2 的需求，因此整理後寫成本篇，希望能幫助到其他也需要用 Uniswap 的讀者！(不熟 Uniswap 的人也可以參考區塊勢 許明恩 Astro Hsu 寫的介紹文：點我)

Uniswap 解析：恆定乘積做市商模型 Constant Product Market Maker Model 的 Vyper 實作

本文希望透過實際操作 Uniswap 我個人會用到、我認為大家比較常會用到的功能，來讓不熟悉的讀者快速了解其程式架構(v2 相較 v1 繁複)、熟悉實作方法，無法顧及全部還請見諒。

以下實作的測試環境為 Rinkeby 測試網，由於只是要講解使用方法，因此選擇在 Remix 上操作。

而 Uniswap v2 跟 v1 的差異，個人沒有很認真研究，大致列舉以下幾點，本文只會就其中幾點在後方進行較詳細的解釋：

使用 Wrapped Ether, WETH (於 二. 程式碼結構 解釋)，讓 ERC20 交易對不再需要透過 Ether ，降低 gas 的消耗，但還是可以用 Ether 支付

加入時間權重的預言機，降低被操縱價格的風險，於 六. 取得報價作為預言機 中舉例說明，有興趣者可以看看 白皮書 有詳細介紹

閃電貸

使用 Solidity 而非 Vyper，因為 Solidity 功能上較齊全，於 五. 兌換虛擬貨幣 中舉例說明原因

在開始之前，本文超長，播個背景音樂吧：

二. 程式碼結構

本段落簡單描述 Uniswap 程式碼各部分的功能。若讀者要自己實作，可以參考此處得知該去哪一份程式碼找相應的功能：

Factory / UniswapV2Factory.sol : 創建交易對、查詢交易對的地址與總數；查詢、指定交易對手續費的收款地址

Pair(ERC-20) / UniswapV2ERC20.sol : Uniswap 流動性代幣 ERC20 的部分

Pair / UniswapV2Pair.sol : Uniswap 流動性代幣的其他部分；查詢交易對資訊

Router / UniswapV2Router01.sol : 注入、取出流動性/資金；兌換虛擬貨幣。此合約看似最複雜，其實只是因為收付款的單位可以是 Ether 或是 ERC20，所以有很多重複的函式

ExampleOracleSimple.sol, ExampleSlidingWindowOracle.sol : 預言機的範例程式碼

Library / UniswapV2OracleLibrary.sol : 供預言機調用的函式

Library / UniswapV2Library.sol : 供內部調用的函式

除了描述程式碼結構，為了以下的實作我們還需要知道 Wrapped Ether 是什麼，順便了解其使用原因：

1. Wrapped Ether (WETH) ?

從字面上來解釋，Wrapped Ether 是被包起來的 Ether。那為什麼好好的 Ether 不用還要創造出另一版本，嫌這小小世界的術語不夠多嗎 (ETH, WETH, Dai, aDai, cDai, sDai…)？xD

wETH | ERC20 tradable version of ETH

主因有兩個：廣泛地說，Ether 是以太坊上的原生虛擬貨幣，但它與廣為使用的 ERC20 標準並不相容( ERC20 有 approve(), transfer() 等等功能)；而針對 Uniswap 的場景來說，v1 的交易對都一定有 Ether，而使用 Ether 可能會造成 Impermanent Loss，於下方解釋。

因此，就以上兩點的解決方法個別是：

部署一 ERC20 <-> Ether 的兌換合約：使用者將 Ether 付給 Wrapped Ether (ERC20) 的智能合約，合約就會給使用者同等數目的 WETH；拿回 Ether 則有點不太一樣，方法是告訴 WETH 的合約使用者要 withdraw()，WETH 的合約就會把使用者 WETH 擁有的額度設回 0 (或減少) 並返還 Ether，於 五. 兌換虛擬貨幣 中舉例說明

v2 交易對的建立不再只能是 (Ether, ERC20)，可以是 (ERC20, ERC20)

2. Impermanent Loss

Impermanent loss 在 DeFi 指的是像 Uniswap 這類用演算法的去中心化交易所，如果交易對是兩幣價不相干的虛擬貨幣，例如：穩定幣 (Dai, USDC, etc) 和 Ether，流動性提供者 liquidity provider 會因為幣價的相對波動而比起直接持有兩幣還損失了一筆。

容我舉個例解釋清楚點，可以搭配我上一篇所寫的 Uniswap 的演算法 來理解：假設一開始 1 Ether 幣價為 100 Dai，只有一流動性提供者 LP 投入了 1 Ether 及 100 Dai (1 * 100 = 100 = k，k值要維持不變)，總價值為 200 Dai。當 Ether 的幣價來到 200 Dai，眼尖者會發現資金池中的 Ether 價格低、有利可圖，因此會進行套利，例如：拿 33 Dai 約可以換到 0.25 Ether (0.75 * 133 ≒ 100)，比起市場上要用 50 Dai 才能換到 0.25 Ether，套利者賺到了。此時，流動性提供者若將自己的資金提出，0.75 Ether 和 133 Dai 此時的總價值是 283 Dai，看似比當初的 200 Dai 還多，但其實將兩幣放著不動 1 Ether + 100 Dai 在此時就已經是 300 Dai 的價值了。於是，impermanent loss 就變成了 permanent loss :(

三. 創建交易對

- 準備 Interfaces

在開始之前，由於使用到的合約不少，所以我將全部所需整理在此：點我。其中，UniswapImplementation.sol 是本文實作的檔案。

若讀者在自己調用 Interface 時遇到版本問題，就依照 compiler 提供的指示稍作修改即可。我所整理的合約都修正過版本的差異、以下的實作也測試了可行，因此可以安心使用。

進入正題

通常大家使用的 Uniswap 資金池都是已經存在的，而如果想要上架自己的虛擬貨幣就要自己創建一組新的交易對，有兩種方式：在 Uniswap 官網上執行或是透過呼叫 Uniswap 的合約來建立，本文使用合約的方式。

首先，我們需要決定資金池為哪兩種虛擬貨幣，那就很普通地選 ETH 和 Dai 吧。雖然選了 ETH，但如同上方所述實際上必須使用 WETH，於是記下其在 Rinkeby 上的位置 。Dai 就使用 Compound 部署在 Rinkeby 上的版本，位置在 0x5592EC0cfb4dbc12D3aB100b257153436a1f0FEa。

接著，打開 IUniswapVFactory.sol，依照官方文件的指示將此合約部署在 Rinkeby 上的 0x5C69bEe701ef814a2B6a3EDD4B1652CB9cc5aA6f。以下會有許多由 Uniswap 文件得知的合約地址及其他資訊等等，就不再一一附上來源或畫面截圖!

如上圖黑框所示，輸入了地址後按下藍色按鍵就完成部署了。接著，如下圖將 Dai 的地址 及 WETH 的地址輸入 createPair()：

由於這個交易對我已經部署過了，因此讀者若想嘗試就麻煩去找別的 Rinkeby 上的測試幣了、或自己發一個! 完成後可以用 getPair() 輸入兩幣地址來確認交易對被建立成功：

如果想要進一步核對，可以先呼叫下圖紅框中的 allPairsLength()，得知當前總共有幾組交易對，再將 (交易對數 - 1) 輸入 allPairs()，就能得到和上圖一樣的地址。需要減 1 是因為陣列的 index 從 0 開始。

allPairsLength 的值會因為其他人的使用而增加，故日後可能會和本圖產出的 9 不同

四. 注入資金

看到標題的讀者可能會想：為何要把注入資金/流動性和上方的創建交易對分開呢？因為注入流動性這個功能被放在了 UniswapV2Router01.sol 中，所以就分開解釋。

雖然上一節只需要複製貼上按按鍵，但接下來要探討的注入資金 addLiquidity() 及虛擬貨幣的交換 swap()比起創建交易對 createPair() 是較有可能被融入到其他 DeFi 服務的功能(應該不太會有人會一直需要創建新的交易對)，因此打開 UniswapImplementation.sol、要開始 Solidity coding!

如果不熟悉為何別的 DeFi 會需要在自己的服務中使用 Uniswap，可以搜尋 DeFi Money Lego/ DeFi 樂高，顧名思義就是在一個 DeFi 服務上使用另一個 DeFi 服務。實際的例子有：Aave 的新功能是可以拿往 Uniswap 注入流動性後得到的流動性代幣再投入 Aave 來賺取利息，以及下一節兌換虛擬貨幣的功能可以在 Pelith 的輕鬆貸 EasyDai、一站式 DeFi 組合工具 Furucombo 等場景中看到他們如何將 Uniswap 銜接上其他的 DeFi 服務。

回歸正題

在開始之前，先簡單提及一下有哪些變數、instance 需要初始化：

我們要呼叫 Uniswap 合約的 instance 來進行互動: IUniswapV2Router01

不只需要 Dai 的 instance，也需要 Dai 和 WETH 的地址；DaiAmount 和 ETHAmount 是為了稍後注入流動性所設置的，本文假設第一筆流動性我們使用 200 Dai + 1 Ether

immutable 是版本 0.6.5 加入的，用途是讓變數只能被讀取 read-only，但不同於 constant 的是能夠在 constructor() 中賦值。之所以各 instance 的地址不一起加上 immutable ，是因為若加上了，這些地址就不能在 constructor() 中被使用

p.s. 由於 gist 沒有 Solidity 的 syntax highlighting，所以隨便用了 .js 請忽略

看完了初始設定後，由於我們目前鎖定的資金池是 Dai 及 ETH，因此使用如下的 addLiquidityETH() 此函式，可以直接匯入 ETH 及 Dai。

本處我使用長度為 3 的陣列 addLiquidityResult 來記錄注入資金後的返回值：注入 Ether 的數量、Dai 的數量及返回的 Uniswap 流動性代幣的數量。實際上應該要依照不同使用者記錄的他們執行 addLiquidity() 後各自的返還值

第五行中的 approve() 是為了讓 UniswapV2Router01 的合約能夠從我們部署的合約 UniswapImplementation 取得 200 Dai 的使用權

於第六行 addLiquidityETH() 後方的大括號 {value: ETHAmount}，這是 Solidity 0.6.0 後版本如果要在呼叫 function 的同時送入 Ether 的標準寫法，以前的寫法 .value() 目前也還能用但 compiler 會給提示

addLiquidityETH() 的第三、四個參數為最少要成功注入的數量。使用者能夠成功注入的數量取決於資金池中兩虛擬貨幣當下的數量，而本處直接給 0 比較方便

這邊非常重要的是上述程式碼還欠缺了一個無法被寫在合約內的步驟：使用者要同意這個被部署的合約 UniswapImplementation 可以從自己的帳戶中轉出 200 Dai。因此，將 ERC20 (Dai) 部署在 Rinkeby 上的位置，也就是0x5592EC0cfb4dbc12D3aB100b257153436a1f0FEa，接著輸入被部署合約的地址以及 200 Dai = 200000000000000000000、按下 approve() 後準備作業完成，如下圖。

終於可以呼叫 addLiquidity() 了! 如下圖，在紅框中以 1 Ether 呼叫黑框中的 addLiquidity() 後，就能成功將資金注入到 liquidity pool 了! 由於本文寫在測試後，因此沒有留下第一次 addLiquidity() 的結果 :(

此處被部署的合約位置跟上方截圖不同，因為其中測試了一些東西所以重新部署qq

接著，可以拿出 IUniswapV2Pair.sol，將其部署在 三. 創建交易對 中成功部署的位置 0x03E6c12eF405AC3F642B9184eDed8E1322de1a9e，使用黑框中的 getReserves() 就可以看到資金池中確實有匯入的資金! (本處依然沒有第一次使用後的截圖，因此截圖只是為了讓讀者看到 getReserves() 的結果)

此圖黑框中的值代表：在資金池中，Dai的數量、Ether的數量及上一次匯入資金的時間戳記

- 注意事項

使用 addLiquidity() 時需要小心的地方是：除了第一筆注入的資金可以自行決定兩虛擬貨幣的數量，第二筆開始就會依照其演算法算出兩幣可以投入的各自數量，因此使用者放入的兩幣中可能會有部分的其中一幣被 Uniswap 返回。

上方的程式碼只是為了第一筆流動性所寫，如果不是第一筆的情況就需要用成功注入流動性後的返回值(例如筆者的作法是用一陣列 addLiquidityResult 來存結果)來把沒有成功注入的資金返回給使用者。

五. 兌換虛擬貨幣

本節使用的兌換功能依舊是來自 IUniswapV2Router01.sol。

由於兌換虛擬貨幣實際上只有五行不到的程式碼，那麼就來把兌換 Ether 而得到的 Dai… 投到 Compound 來賺取放款利息吧! (雖然只是在測試網) 如果覺得這個場景似曾相識，沒錯，這就是上面提到的 輕鬆貸 EasyDai 的不專業版本!

首先將 Ether 和 Dai 互換的邏輯完成：

Ether 換 Dai : 使用 swapExactETHForTokens()，給某數量的 Ether 能換多少 Dai 是多少

Dai 換 Ether : 使用 swapExactTokensForETH()，作法只差在要把 Dai 轉到當前合約，再同意 UniswapV2Router01 可以從當前合約把 Dai 轉走

兩個做法的第二個參數都是可以自行指定兌換的路徑，此處就直接給 WETH 和 Dai 的地址即可(順序有差)。需要注意的是這個路徑要是動態陣列 dynamic array，而這就是 Vyper 所不支援的功能! 動態陣列跟靜態陣列宣告方式的差別我有註解在程式碼中

此處就先來試試 Dai 換 Ether 吧!和上方一樣，在使用時也要先 approve() 當前合約，當前合約才能轉走使用者的 Dai。

由上方的截圖可以很清楚的看到 Dai 換 Ether 這個動作牽涉到的資金轉移路徑：

Dai: 我的帳戶→當前合約→交易對所在合約

WETH: 交易對所在合約→UniswapV2Router01

Ether: WETH 合約→UniswapV2Router01→我的帳戶

以上的路徑有些人稍微思考後可能會納悶：為什麼上方沒有一筆 WETH 從 UniswapV2Router01 再轉到 WETH 合約的動作呢? 這就是在 Wrapped Ether (WETH) ? 中提到的案例。原因是：把 WETH 還回 WETH 的合約時實際上使用的函示是 withdraw() 而非 transfer()，而在 WETH 合約中發生的只是把使用者 WETH 擁有的額度歸零或減少而已。

接下來就是把 Dai 轉到 Compound 的部分。由於 Compound 不是本文重點，此處只求功能正常，因此比起真正的實作方法當然是簡化許多。

一如往常初始化 Compound 合約的 instance

ETH 換 Dai 後放入 Compound : 將用 ETH 換得的 Dai 的數量，也就是 swapExactETHForTokens() 返回的第二個值，approve() Compound 的合約後就可以用 mint() 匯入了! 要注意的是，ETH 換成 Dai 後的收款地址(第四個參數)是當前合約，才能從此合約轉 Dai 到 Compound

還款給使用者: 用 redeem() 取出 Dai，一如往常同意 UniswapV2Router01 使用 Dai 的權力

之所以說這個程式碼不能真的拿來用是因為：cDai 轉給使用者、讓使用者自己持有是比較安全的作法；即使選擇把 cDai 留在當前合約，以上程式碼檢查 cDai 數量是用當前合約 address(this) 去檢查，實際上應該要去記錄每個使用者所擁有的 cDai 數量

最後附上截圖，可以看一下資金的轉移路徑：

ETH -> WETH -> Dai -> cDai (Compound)

cDai -> Dai -> WETH -> ETH

六. 取得報價作為預言機

若使用 Uniswap v1的報價作為預言機，攻擊者可以利用其演算法造成的滑點來操控價格。為此，Uniswap v2 提供了兩個加入時間權重的合約範例：

ExampleOracleSimple.sol : 簡單版

ExampleSlidingWindowOracle.sol : 複雜版；Sliding Window 在此場景是指透過改變擷取資料(歷史價格)的片段，用該特定期間的價格來做成時間權重，讓使用上更靈活!

本處以簡單版為例。打開 ExampleOracleSimple.sol，由於一些匯入檔案的問題我將 UniswapV2OracleLibrary 也放在這份檔案中。

做法非常簡單：將 UniswapV2Factory、Dai 及 WETH 所在的地址作為部署合約 ExampleOracleSimple 時的輸入值就完成了。部署成功後會有個 24 小時的鎖 Time lock，因為這個預言機是有時間權重的，所以並不是一部署完就能立刻使用。若要體驗更新價格此功能可以使用我部署的兩個，其位置我寫在註解中。

將 WETH 或是 Dai 的地址和要查詢的數量輸入 consult() 就能查到兩虛擬貨幣的價格：

1 ETH 價格約為 97 Dai

1 Dai 價格約為 0.01 ETH

然而，在測試網上我們沒辦法拿著預言機查到的價格套入演算法來核對，因為測試網上的 Uniswap 沒有啟用收費機制，而 k 值要在收費機制啟動時才能被計算，欲知詳情者就麻煩去看官方文件了!

七. 自行兌換 WETH

上方雖然有提到 WETH 在 Uniswap 中的使用原因及場合，但或許有人想試著自己動手將 Ether 換成 WETH、把 WETH 換回 Ether。方法非常簡單，將 WETH.sol 部署到 0xc778417E063141139Fce010982780140Aa0cD5Ab 就能使用，如下圖：

按下綠框中的 At Address 後，使用下方黑框中的 deposit 搭配在中間的黑框輸入所要兌換 Ether 的量，就能成功換到 WETH。同理，圖中未顯示的 withdraw 功能就是讓人輸入 WETH 來換回等量的 Ether。

稍微提一下，如果是第一次兌換，將 WETH 所在的地址輸入 Metamask 就能在錢包中看到自己擁有的 WETH 的數量，如下兩圖：

Voila!

八. 結語

呼，雖然上述操作及程式碼的撰寫其實還蠻簡單的，但畢竟 Uniswap 的功能不少、我個人也希望能將小細節解釋清楚些，因此長度遠超過預期...有看到結尾處的讀者，辛苦了xD 希望大家現在對於 Uniswap v2 的內容跟實作方法都很清楚了!

最後，如果本文有任何錯誤，請不吝提出，我會盡快做修正；而如果我的文章有幫助到你，可以看看我的其他文章，歡迎一起交流 :)

田少谷 Shao - Medium

Uniswap v2 實作 : 從創建交易對到Ether 換 Dai 投入 Compound was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] Uniswap 解析：恆定乘積做市商模型 Constant Product Market Maker Model 的 Vyper 實作
✍️ 田少谷 Shao
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

在 🦄 Uniswap v2 到來之前徹底了解 v1 的設計與演算法！

Image source: https://uniswap.org/

Outline

一. 前言二. 恆定乘積做市商模型 Constant Product Market Maker Model 1. 計入手續費 2. 程式碼結構 3. 演算法核心與實作 4. 段落小結三. 流動性 Liquidity 1. 第一筆流動性注入、決定k值 2. 除了第一筆以外的情況四. 結語

一. 前言

暨上一篇開始接觸了 Vyper 後，我找了 Uniswap 的程式碼來更加熟悉 Vyper 的實作方法，順便研究了其演算法，然後就又寫了一篇 xD

類 Python 的合約語言 Vyper 開發入門：與 Solidity 差異、用 Truffle 部署、ERC20 賣幣合約實做

Uniswap 是以太坊上非常成功的自動做市商 Automated Market Maker (AMM)。本次我將用的 Uniswap 的程式碼搭配由 Runtime Verification 這家審計公司對 Uniswap 所做的形式化驗證結果來解釋恆定乘積做市商模型的 Vyper 實作 (2018 審計時 Uniswap 就已經是用 Vyper 而非 Solidity 了)：

智能合約程式碼：https://github.com/Uniswap/uniswap-v1/blob/master/contracts/uniswap_exchange.vy

合約審計結果：https://github.com/runtimeverification/verified-smart-contracts/blob/master/uniswap/x-y-k.pdf

本文將以講解實作概念及數學推導為重點，程式碼的部分只是輔助。審計結果將恆定乘積做市商模型演算法的數學推導寫得非常清楚而有趣(?)，建議有興趣者可以整份看過一遍，相信得到很多收穫！

至於更多 Uniswap 的介紹有興趣者可以參考 吳冠融 Roger Wu 所撰寫的簡介與使用流程：

解析 DeFi 項目《Uniswap》（一）Uniswap 是什麼？

解析 DeFi 項目《Uniswap》（二）Uniswap 如何使用？

在開始前的最後，先預告本文頗長，所以來播個被 Youtube 推薦的歌吧：

二. 恆定乘積做市商模型 Constant Product Market Maker Model

交易所如果要去中心化、也不使用掛單 order book，就需要靠演算法自動算出交易標的的數量與價格，而 Uniswap 使用名為恆定乘積的演算法，其來源可追溯自 Vitalik 的這篇文章：點我。

公式非常的簡單：x * y = k。令交易的兩虛擬貨幣為 X 和 Y，各自數量為 x 和 y，兩貨幣數量的乘積 x * y 恆等於 k，k 值是由第一筆注入的流動性所決定 (於 三. 流動性 Liquidity 解釋)。

因此，用 ∆x 數量的 X 幣來購買 Y 幣所能得到的數量 ∆y、或是為了購買 ∆y 需要付出的 ∆x 數量，依照此公式進行計算：(x+∆x)(y-∆y) = k，而交易的價格就是兩幣量 ∆x 和 ∆y 的比。

以下公式用 α = ∆x / x 和 β = ∆y / y 來表示 ∆x 和 ∆y 及 X Y 兩幣在交易發生後的新均衡數量：

圖一

1. 計入手續費

在 Uniswap 進行的每一筆交易都會被收取 ρ = 0.003 / 0.3% 的手續費回饋給流動性提供者 liquidity provider ，因此要將手續費納入公式的考量：

圖二

上圖的公式或許不太直覺，我建議不要從 x’ρ 及 y’ρ 開始理解，而是從 ∆x 和 ∆y 兩值開始：手續費 ρ = 0.3% 的意思是會從付款中扣掉 0.3 %，也就是從 ∆x 扣。在有手續費的情況下 ∆x 就變成了 (1-ρ)∆x ，若令 γ = 1-ρ 則為 γ∆x。因此，將圖一中的 ∆x 換成 γ∆x，就會得到以下式子：

source: https://www.codecogs.com/latex/eqneditor.php

將等號左方的 γ 移到右方後就得到了圖二中的 ∆x。同理，由於 ∆y 中的 α = ∆x / x ，用 γ∆x 代換 ∆x 就會得到圖二中的 ∆y (有 α 的地方乘上 γ )。而 x’ 還有 y’ 就可以由 ∆x 和 ∆y 推出來了！

然而，將圖二中得到的 x’ 和 y’ 相乘，會得到：

source: https://www.codecogs.com/latex/eqneditor.php

也就是說，當有手續費使得 γ != 1 /ρ != 0，x’ρ * y’ρ 的值其實會稍微和 xy = k 不同：在實作上 γ = 0.997 / ρ = 0.003，因此 1/γ-1 ≒ 0.003。β = ∆y / y 代表的是換得的 Y 幣佔總量的比例，即使最大值為 1，誤差也只有 1 * 0.003，故可知手續費 = 0.3% 對於 k 值的影響極小。

2. 程式碼結構

了解了基本的公式後，就可以開始研究程式碼是怎麼撰寫的。首先來看各個函式的功能：

addLiquidity() 及 removeLiquidity()：轉入與轉出資金，留到 三. 流動性 Liquidity 中說明

getInputPrice() 及 getOutputPrice()：最主要的函式，用以計算給 ∆x 所能換得的 ∆y 數量、以及為了得到 ∆y 所要支付 ∆x 的數量。此兩函式會被其他負責進行交易、匯幣的函式使用

三組 (eth->Token, Token->eth, Token->Token) 的 swap() 及 transfer()：swap() 的收幣人就是付款人、transfer() 的收幣人不是付款人而是指定的對象。基本上這兩函式就是呼叫 getInputPrice() 或是 getOutputPrice() 後進行匯幣的動作，因此不再多做解釋

3. 演算法核心與實作

在研讀程式碼前，先回顧一下 ∆x 和 ∆y 的公式：

首先我們考慮用 ∆x 所能購買到的 ∆y 的 getInputPrice()：

什麼…就這幾行程式碼？是的。

以上的程式碼和公式表達方式不同，因此先將 α = ∆x / x 和 β = ∆y / y 代換回來並將上下同乘 x：

source: https://www.codecogs.com/latex/eqneditor.php

由於 γ = 0.003，可以將上下同乘 1000 後得到：

source: https://www.codecogs.com/latex/eqneditor.php

接著就能來對照程式碼了：

(109行) numerator: input_amount 是欲支付的 X 幣數量 ∆x、output_reserve 是 Y 幣數量 y，再乘上 997 後就是等式右邊的上方 (= 997∆xy)

(110行) denominator: input_reserve 是 X 幣的數量，乘上 1000 再加上剛剛算過的 997∆x，就得到了等式右邊的下方 (= 1000x + 997∆x)

此處要注意的是 Vyper 的除法是無條件捨去，等同於 floor() 函式。這會不會造成嚴重的影響呢？如果熟悉 ERC20 的人應該記得，在發幣時輸入的四個參數中有一個參數代表小數點的位數，如同下方程式碼中的 2 代表最後兩位在小數點後。舉例來說，當 getInputPrice() 收到 1234567 為這個幣的 input_amount 時，代表使用者擁有的幣的數目實際上是 12345.67。因此，即使將結果捨去 0.67 後的數字，影響真的不大，況且如果不捨去而選擇無條件進位，那代表交易所反而要虧損一點點啦，太佛心了吧 xD 有興趣者可以看看審計報告的內容，有更詳細地去定義這些誤差所影響的範圍！

再來我們看若要購買 ∆y 需要付出多少 ∆x 的 getOutputPrice()。

一樣先將 α = ∆x / x 、β = ∆y / y 和 γ = 0.003 代換並上下同乘 1000y 得到：

source: https://www.codecogs.com/latex/eqneditor.php

我們已經看過 getInputPrice() 一次了，所以應該能發現第 122–124 行得出的結果和上式相同。要注意的是這邊的結果反而是無條件捨去後直接 +1，因為這是在計算使用者要付多少 ∆x 才能購買到 ∆y，為了不讓交易所虧只能選擇請使用者多付一點點。

4. 段落小結

以上就是撇除匯幣等函示，恆定乘積做市商的 Vyper 實作，沒錯就這樣而已！Uniswap 之所以可以做到低 gas 消耗就是因為這個演算法本身就非常簡單，所需的運算也就是兩三次乘除法而已！

不過我們還沒結束，接下來要談談如何投入資金/注入流動性，而這部分也包含了決定 k 值的精妙機制！

三. 流動性 Liquidity

流動性指的是交易市場中能夠交易的資金/標的物的量。使用自動做市商 (AMM) 而非掛單的最大好處就是市場一定會有流動性，而缺點就是如果交易量越大就會造成越大的滑點 Slippage，意思就是交易價格變動會越大、得到的價格越差 。

source: https://ethresear.ch/t/improving-front-running-resistance-of-x-y-k-market-makers/1281

我們可以用上面提到的 V 文章中的圖片來迅速帶過，畢竟有關注 Uniswap 的讀者大概都已經看過這圖很多次了。

當要兌換的幣的數量越大/占比越重，例如：20% Y 幣的流動性，就會造成要付出比兌換少量時極為不對稱的高額 X 幣。

接著我們要來探討注入流動性的原則，依照市場是否已經有流動性而區分為兩種情形：

1. 第一筆流動性注入、決定 k 值

以下程式碼是 addLiquidity() 函式中 46-48, 51, 及 64-74 行。當市場上還沒有任何流動性時，不會滿足第 51 行而是進入 64 行的 else。

在第 65 行我們可以看到 msg.value ≥ 10¹⁰，以及在 67 行 token_amount 就是其中一個輸入值 max_tokens。這邊代表的是第一個注入流動性的使用者可以自行決定要注入多少 Ether (≥ 10¹⁰) (= x) 以及相應的幣的數量 (= y)，也就是上方提到的 k 值 (= x* y)，在本例的 X 幣就是 Ether。(本處先不解釋剩餘的程式碼，留到 2. 除了第一筆以外的情況)

那麼問題來了：第一個注入流動性的人要怎麼決定提供各自多少的兩種幣呢？最好的辦法是依照當時兩幣的市價比，讓兩者的價值 (數量 * 價格) 相同，例如：當 1 Ether 的價格為 100 Dai，注入 1 Ether 以及 100 Dai 是最好的，因為兩種幣的總價值是一樣的，以下舉例說明原因。

當 1 Ether 市價為 100 Dai 時，假設第一人決定注入 1 Ether 和 50 Dai (k = 50)，總價值為 150 Dai，我們考慮兩種兌換方法：

Ether -> Dai：用 0.1 Ether 來購買 Dai，依照上方公式 (1+0.1)(50-y) = 50 可得 y ≒ 4.55，也就是說得到的價格是 0.1 Ether = 4.55 Dai，遠低於市價 0.1 Ether = 10 Dai，相信沒有人這麼傻~

Dai -> Ether：用 2 Dai 來購買 Ether，依照上方公式 (1-x)(50+2) = 50 可得 x ≒ 0.038，也就是說得到的價格是 2 Dai = 0.038 Ether，高於市價 2 Dai = 0.02 Ether，那麼眼尖的人就會立刻衝來套利了xD

那麼即使如此，第一人有所損失嗎？當然有！假設路人 A 手上有 30 Dai (= 0.3 Ether)，A 看到機會後就把 30 Dai 全換成 Ether：(1-x)(50+30) = 50 可得 x = 0.375，大於原本持有的 Dai 的價值 0.3 Ether。此時，第一人即使立刻抽出現存的全部資金 Ether = 0.625 及 Dai = 80，總價值也只剩下 142.5 Dai，比起原本的 150 Dai 還少。以上的計算還有手續費沒有納入考量，但也只有 30 Dai 的 0.3% = 0.09 Dai。

由上例可知，第一位提供流動性的人為了避免自己的損失，確實得依照當時兩幣的市價比去提供相應的數量。傑克，這真是太神奇了0…0

2. 除了第一筆以外的情況

如果市場已經有流動性，使用 addLiquidity() 來注入流動性就會進入第 51 行的 if。

source: https://github.com/Uniswap/uniswap-v1/blob/master/contracts/uniswap_exchange.vy

(53行) eth_reserve: 由於使用者已經透過函式 addLiquidity() 將錢匯入了合約，因此將合約所擁有的 Ether 數量 self.balance (= x + ∆x) 減去使用者匯入的錢 msg.value (= ∆x)，得到使用者匯錢之前合約內所擁有的 Ether 數量 (= x)

(54行) token_reserve: self.token 是一個餵入幣地址的 ERC20 instance；透過呼叫 ERC20 的函式 balanceOf() 即可查出合約所擁有的 Y 幣的數量 (= y)

(55行) token_amount: 透過將合約所擁有的 Y 幣的數量 token_reserve (= y) 乘上使用者匯入的錢 msg.value (= ∆x) 對合約原本擁有的Ether 數量 eth_reserve (= x) 的比例，代表使用者應該相應地注入多少 Y 幣 (∆y = y * ∆x / x)。除法一樣是無條件捨去

(56行) liquidity_minted: 將原本交易所中的總流動性 total_liquidity 乘上增加的比率 msg.value / eth_reserve (= ∆x / x) ，代表增加的流動性，隨後會在第 58 行記錄下來

(60行) transferFrom() 函式將使用者應付的 Y 幣數量 token_amount (= ∆y) 匯入當前合約，就完成了流動性的注入。小提示：智能合約中的 assert() 會確保函式內的條件如果失敗就整筆交易 transaction 直接取消，因此只要傳入的參數已經被計算好，於 60 行再進行 transferFrom() 其實與放在前面並沒有太大的差別

以上就是注入流動性的大致實作內容。取出資金 removeLiquidity() 其實與 addLiquidity() 的做法大同小異，因此就不再贅述。

四. 結語

呼，真的累。恆定乘積做市商模型的概念雖然簡單，但解釋起來還是挺複雜的！其實本文並未著墨於審計報告中的主要議題：評估因為整數除法 (不使用浮點數) 而造成的誤差範圍，因為講起來非常複雜、也不是真的這麼需要知道。不過，恰巧就是這些程式碼的細節有可能讓程式產生預期之外的結果！因此，對於有興趣了解該如何去分析智能合約整數除法的讀者，可以研究一下；而 Uniswap 的程式碼因為是用 Vyper 實作，可讀性非常高、同時也不難，因此也非常值得打開來看看、甚至動手實作自己的版本！

最後，如果本文有任何錯誤，請不吝提出，我會盡快做修正；而如果我的文章有幫助到你，可以看看我的其他文章，歡迎一起交流 :)

田少谷 Shao - Medium

Uniswap 解析：恆定乘積做市商模型 Constant Product Market Maker Model 的 Vyper 實作 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

阿里投资了小黄车， 腾讯投资了小米， 谁投资了Uber， 谁又入股了Airbnb？这些投资的门槛对我们公平么？好的项目跟我们小老百姓有关系吗？




为什么中国互联网公司都跑去外国上市你们想过吗？（然而腾讯和阿里在我眼里是中国股民手里最应该紧捏的两只股票）证监会的门槛到底保护的是穷人，还是有钱人呢？

99年，马爸爸撞破头皮四处找人众筹， 直到2014年NASDAQ美国上市， 15个年头就这么过去了。。。如果时光可以重来， 你愿意借点钱给马云吗？你有过这个机会么？


百度百科：
https://baike.baidu.com/item/ICO/21498451
什么是ICO众筹：
https://www.zhihu.com/question/48695395
ICO是一种怎样的融资方式？为什么被称为区块链界的“IPO”？
https://www.zhihu.com/question/60363636

我的Telegram：https://t.me/exitexitexit

我的个人推荐：

新手购买比特币：(我和你都会免费送$10免费比特币）https://www.coinbase.com/join/599368815f815700d66094a1

我用过的最好的加密货币交易所：币安
https://www.binance.com/?ref=13911135

澳洲比特币平台：(我和你都会互相累积500积分可以用来换取奖品)
https://www.coinjar.com/_ref/@wof

我自己在用的加密货币硬钱包：
https://www.ledgerwallet.com/r/0cf0

#什么是ico #ico发币 #首次代币发售