📜 [專欄新文章] [ZKP 讀書會] Tornado Cash

✍️ Jerry Ho

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Disclaimer: 本人與Tornade Cash專案及其員工無任何利益往來。

Tornado Cash是一個Ethereum上的原生隱私轉帳解決方案，使用zk-SNARK+Merkle Tree的路徑證明作為其核心隱私保護機制。

你知我知，Ethereum上的交易記錄是公開的，這使得任何一個人只要知道你的address，便可以在https://etherscan.io/ 之類的網站上查出有多少人和這個位置進行過交易，你做過什麼消費行為或是交易行為等。

或許這聽來不像是個問題，而想要隱藏自己的交易記錄甚至聽起來反而像是不法分子的銷贓行為。

但試想下開情境：因為我曾經使用ethereum捐款給一個政治不正確的專案/組織，而我在接受dd/kyc/reference check的時候因為我的ethereum address就寫在自己的blog上而被查了個底朝天，因而被拒絕入職/拒絕開戶/拒絕服務。

這並不是一個很遙遠的情境…

Tl;dr

解決交易隱私問題分為兩個層次，Assuming你的目的是讓自己的金錢流向無法被追蹤。

層次一：我的錢「丟進了」Tornado Cash的contract，我要如何在不使用與轉入時同一個address的情況下— 若是同一個address就沒有隱私可言了 — 取出我的錢？contract如何知道我存過錢，餘額還夠，所以現在我來領錢了他讓我領？

層次二：就算層次一成立，我的隱私如何達成？到底有多隱私？到底有多不隱私？

技術上來說（細節下文詳談），層次一使用zero-knowledge的set-membership proof來證明，透過預先在Merkle Tree中「登記」一個自己的entry/leaf，tornado cash稱為note，爾後在提款時提出該leaf之zk proof，來解決這個提款時的認證問題。

層次二則是所謂的藏樹於林。既然轉出和轉入無法被連結在一起，那麼只要使用Tornado Cash的人數夠多，總轉出和總轉入的交易總筆數就會太多，以致無法輕易重新關聯轉入與轉出地址背後的真人。

使用界面

https://tornado.cash/

當然你也可以直接和合約地址互動啦

上圖左方紅框為存入幣種與金額大小，右方紅框為該額度對應之帳戶內有多少顆「樹」。

記得藏樹於林嗎？右方的 Anonymity set 就是告訴你現在森林的規模有多大。數量一大，跑資料分析試圖重新關聯某筆特定存款到某筆特定提款就變得更為困難。

提款界面如上。

值得注意的是，提款時的以上兩個選項(Wallet/Relayer)，是在目前Account Abstraction尚未實現時的一個折衷方案。

這裡有個死循環：既然我提款的時候需要支付gas，那麼我的gas從哪裡來？是不是勢必得從交易所或是其他帳號來？簡言之，若是無法直接新建立一個地址然後直接將其作為Tornado Cash提款用，達到的隱私強度就大打折扣。

Relayer就是針對這個問題所設計的。透過付出一些手續費來提供社群架設relayer node的誘因，提款時該筆轉帳的gas費用，便可以讓relayer node來負責先出。relayer node收到使用者的zk proof後將其轉交給tornado cash的合約，合約就會會將應有的relayer手續費與扣除手續費+gas後的款項分別轉給relayer與使用者。

社群治理

Tornado Cash天生是一個比較沒有銅臭味的專案 — 社群治理和funded的味道相當強烈。

透過預先設計好的proxy contract與staking/locking機制，任何一個Tornado Cash的使用者都能夠提出對合約實行的改動建議，並交由社群來投票決定是否要執行該改動。

技術細節可以參照此篇，同時Tornado Cash的第一輪社群治理提案也剛投票過關，回顧可參考此處之討論。

誘因設計

本文作者比較任性不在意錢，請移駕此處閱讀官方如何設計Anonymity Mining來確保以下兩點：

機制能讓使用者願意加入存錢，提供流動性同時也讓樹林變大，增加隱私程度。

產生TORN(ERC20 token)與領取TORN的機制，透過在原本的tornado cash上面再加一層，來避免TORN激勵層錯誤的設計導致下一層之隱私洩漏（激勵層出事不影響核心隱私之意）。

技術細節

首先本文不打算解釋何為zero-knowledge proof，請接受以下描述：

若有一NP statement分類上是satisfiability problem(例：merkle tree中的hash chaining H(H(H(a,b),c),d) )，則我們可以設計出一個arithmetic circuit來確保能夠有效率的產生proof, 有效率的驗證, 無法產生假的且能說服人的proof…且其電路驗證的statement是我們想要的，像是此例中的merkle tree opening.

存款

存款者透過送出C = H(k, r) 以及存入之數額給tornado cash的合約來進行存款的動作。其中k在之後會成為存款者領錢的憑證，稱為nullifier，r則是增加randomness而已，此二值需要記下。此時合約端會將這個C(commitment)丟入Merkle Tree上其中一個空的leaf，並更新root hash。存款者還需要記下自己的C對應之leaf index。

產生proof，用此proof作為提款憑證

用一段話來概括，若是我

知道Merkle Tree上某個leaf的commitment的preimage, 代表我能在電路中證明我知道H(k, r) 中的 k, r, 同時不洩漏k, r到底是多少（zk特性, magic）。

我知道該leaf至root的路徑上會經過哪些點，我也提供了一個可以讓電路驗證root hash的hash chaining過程，代表我知道他是從哪個leaf開始走的。因而，這證明了我提出的1.中的commitment確實屬於某顆公開的、大家都知道的merkle tree中的特定leaf（就是我之前存款對應到的leaf）。

就可以在不需要提供像是原本存款地址的簽章之類的驗證機制情況下，透過zk proof，亦能正確做permission control讓unlinkable的提款能夠成真。

另，讀者可以看到在proof中已然預設了relayer的存在。這使得上開所提到之「使用者提款, 拜託relayer執行=>relayer預付gas發起transaction，將內容送給tornado cash合約=>合約處理proof並將款項拆成兩份給relayer與使用者」這個行為得以成立，且relayer無法得知或假造proof內容。

提款流程

基本上在上方的產生證明都講過一次了，這邊就是pseudo code順過一次提款流程而已，大家自己看啊。

值得一提的是，使用者除了需要提出上一部分提到的證明之外，還需要將k的部分額外拿出來再做一次H(k)，將值一併傳給contract。

這裡的設計哲學，簡單來講是這樣的：zero-knowledge太強了，強到就算證明了我知道H(k, r)的k跟r, 收到的驗證者並沒有辦法知道H(k)是什麼東西。為了讓同一筆款項不會被提領兩次，在提款流程中合約會將「每一筆成功提款中的H(k)」記錄下來，另外開個表存著。爾後若是其他提款交易中的H(k)與表中的重複了，這就代表有人試圖想要騙合約重複提款，自然該提款嘗試就不會成立。

洗錢失敗例

工程師都知道使用者從來不看說明書，看了可能也不會懂。

Koh Wei Jie分析了Kucoin的駭客事件。Kucoin的駭客使用Tornado Cash來洗錢，但忽略了Tornado Cash官方一直三令五申的使用需知，因而讓款項在進入Tornado Cash跑了一輪之後還是能夠被追蹤，哈哈UCCU。

簡單來說，hacker為了節省多次使用relayer的手續費，而將大多數的提領過程都變成直接提領到wallet。雖然該wallet的位置是全新產生的沒有gas，但是透過只讓第一次的提款使用relayer，hacker便能從第一次提款中取得手續費並分發給其他全新產生的wallet address。

那問題在哪？還要問？

要達到隱私需要保持藏樹於林原則，同時使用者不應自己破壞tornado cash幫你達成的address unlinkability。這位hacker因為愛省手續費，所以違背了後者；同時他因為太心急又愛省手續費，太快、分太少次提領、每次提領的數額又太大了，所以side-channel去給他做簡單的traffic analysis就能夠用虛無假設推出：「綜觀歷史上所有的存款位置與數額，扣掉駭客存錢的那些位址之後，我們還需要14個unique address/user共謀，才能有能力一次提這麼多錢。」

這看起來可能嗎？自然是不可能的。

所以這位駭客就是錯誤的沒有遵守藏樹於林的原則，才導致自己的金流重新被和帳號聯繫在一起。

提供一些延伸閱讀，圈子內的”名人”對這種不看說明書的使用者的看法：

tornado * Gavin Andresen

如何避免洗錢失敗

我自己的投影片，我自己翻譯：

打開你的VPN 打開你的TOR 打開你的無痕瀏覽器分頁 用上你全新的VM PC VPS instance 最好連data-link layer安全都顧到 產生全新的地址不要懶惰 自己跑一個fullnode 乖乖用relayer付手續費提款 領錢之後記得把C(k,r)的記錄刪掉 不要急一次存或提領大額 時間拉長數目減少…..

簡而言之：要設計相對安全但又讓使用者可以直覺上手的安全系統真的很他媽難 - 使用者永遠會想辦法抄近路，然後系統的security assumption就爆炸了。

結論上來講，你想要多安全取決於你在臺大水源校區的腳踏車平常都上幾個大鎖=想付出多少成本。只要不要學Kucoin Hacker那樣連鎖都不鎖車還是新的，大部分時間都沒啥問題 lol。

參考資料與文中出現過的連結，不按先後順序：

https://tornado.cash/Tornado.cash_whitepaper_v1.4.pdf

https://tornado.cash/audits/TornadoCash_cryptographic_review_ABDK.pdf

https://tornado.cash/audits/TornadoCash_circuit_audit_ABDK.pdf

https://torn.community/t/whats-next-for-tornado-cash-governance/250

https://weijiek.medium.com/deanonymising-the-kucoin-hacker-418fa5e9911d

https://tornado-cash.medium.com/tornado-cash-governance-proposal-a55c5c7d0703#2084

https://eips.ethereum.org/EIPS/eip-2938

http://gavinandresen.ninja/private-thoughts

[ZKP 讀書會] Tornado Cash was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

教學小故事

企業班學生： up... a pro...a proxy...
我：approximately 不好唸，改成 around 或 about 就好囉，接數字很好用
生：我還是想唸那個字，appro...
我：為什麼這麼堅持？
生：聽起來比較酷
我：⋯⋯講清楚讓大家聽得懂比較重要吧。

同一班
我：理解了還要會用才是真的學會。來，「每個人都受法律管轄」，用剛學的 be subject to 造句
生：People are subject to the constitution.
我：為什麼是憲法？
生：聽起來比較酷
我：是滿酷的，但不對就是不對，憲法不等於法律。Everyone is subject to the law.

現在二十幾歲年輕人是不是都很追求「酷」？

補充：
這句可以拿來翻「天子犯法與庶民同罪」
Everyone is subject to the law - even the crown prince.

當然也可以運用常見翻譯技巧「正話反說」：No one is above the law.

-

有些朋友關心浩爾是不是最近壓力太大，畫風突變，生出一個 #罵罵浩 人格。我想先謝謝大家的關心，我還好啦，那只是我的「阿密特」人格，平常還是溫柔敦厚的浩爾喔❤️

你比較喜歡浩爾還是罵罵浩呢？（陷阱題，好好回答）

俐媽每天忙著為月考、學測解題，不可開交，感謝欒為同學為大家彙整「台灣大選結果」的新聞英文🙏🏼

Secretary of State Pompeo：「恭喜蔡英文博士在台灣總統選舉中連任。台灣再一次展現了她民主制度的強大力量。蔡總統，謝謝你領導建立與美國的堅強的夥伴關係。」；
Reuters：「台灣總統蔡英文有望贏得總統連任。」；
rfi：「反北京政黨以壓倒性多數贏得台灣大選。」；
Vox：「北京的對手——台灣總統蔡英文贏得連任。」；
TIME：「台灣總統蔡英文贏得連任。」；
BBC：「台灣選舉：蔡英文贏得第二任總統任期。」；
The New York Times：「蔡英文高票連任，台灣選民對北京說不。」；
CNN：「台灣總統在贏得連任後向選民道謝。」；
The Guardian：「台灣以再次選擇蔡英文連任向中國傳遞清楚的訊息。」；
The Telegraph：「台灣的1900萬選民在重要的民主測驗中前往投票。」

🗞 俐媽新聞英文——台灣大選篇：
• Secretary of State 國務卿
• re-election (n.) 競選連任
• landslide (n.) 壓倒性大勝利 [選舉用語]
• populist (n.) 民粹主義者
• tally (v.) 計算，清點；(n.) 紀錄，比分，得分
——> tally the vote (ph.) 計算票數
• technology hub (ph.) 科技中心
• cross-Strait ties (ph.) 海峽兩岸關係
• ally (n.) 盟友
• dwindle (v.) 逐漸減少
• de facto (ph.) 事實上的 [法語]
• robust (a.) 強健的；茁壯的；健全的
• propel (v.) 推動
• doldrums (n.) 商業的蕭條時期
• turmoil (n.) 騷動；混亂
• rebuff (v.) 斷然拒絕
• fend (v.) 抵擋 ——> fend off (ph.) 擋開
• misogyny (n.) 厭女症，女性貶抑
• rebuke (v.) 阻礙
• garner (v.) 獲得
• sovereignty (n.) 主權
• majority (n.) 多數黨
• midterm election (ph.) 期中選舉
• generational standoff (ph.) 世代對立
• generational divide (ph.) 世代分裂
• status quo (ph.) 現狀
——> maintain/disrupt/alter the status quo (ph.) 維持/打破/改變 現狀
c.f quid pro quo (ph.) 以物換物，交換條件，對價關係 [拉丁語]
• laud (v.) 讚美
• Indo-Pacific 印太地區
• unrelenting (a.) 無情的
• stellar (a.) 顯著的
• bipartisan (a.) 代表兩黨的（常指美國）
• qualm (n.) 疑慮
• stubbornness (n.) 堅強
• electorate (n.) 全體選民 [總稱]
• cap (v.) 勝過；超過
• campaign rally (ph.) 選舉的造勢大會
• tabloid (n.) 小報，文摘
• contender (n.) 對手
• trump (v.) 勝過，贏
• sweeping (a.) 全面的
• secure (v.) 獲得
• flagging (a.) 衰弱的
• irony (n.) 出乎意料的結果；具有嘲諷意味的事
• thwart (v.) 反對，阻撓
• hail (v.) 向...歡呼；為...喝采
• mandate (n.) 命令，任務
• ambiguous (a.) 模稜兩可的
• anarchy (n.) 無政府狀態
• annex (v.) 併吞，強佔；合併
• bastion (n.) 堡壘
——> bastion of democracy (ph.) 民主堡壘
• contingent on/upon (ph.) 視情況條件而定的
• proxy (n.) 代理人；代理委託書
• disproportionate (a.) 不均衡的
• stagnate (v.) 淤塞；腐敗；蕭條
——————————————————
這一回「俐媽新聞英文」的用字比較著重於各外國媒體針對台灣大選的用字整理，其中以「de facto (ph.) 事實上的」為最多媒體使用的字，可以多學習哦！

這次世界轉播的男英文口譯，是俐媽台大外文系的同學，超級pro級👍🏼！翻譯到味、語速沈穩、從容自若，果然是博士級+教授級+千場口譯經驗的專業累積！
俐媽與有榮焉！

#俐媽英文教室 #俐媽新聞英文 #俐媽新聞英文台灣大選篇 #俐媽英文教室選舉篇

Payme [捐款]: https://payme.hsbc/deepwebkid




Instagram: https://www.instagram.com/dw_kid12/

Facebook: https://www.facebook.com/deepwebkid/?modal=admin_todo_tour
Spotify: https://open.spotify.com/album/2LjUOH9T9j21GiX8jzytu6
訂閱: https://www.youtube.com/channel/UC8vabPSRIBpwSJEMAPCnzVQ?sub_confirmation=1

我最高觀看次數的影片 (我為何不再拍暗網? 只說一次): https://www.youtube.com/watch?v=jbihKaqEEQw&t=127s

首支單曲: https://www.youtube.com/watch?v=UASHWB6Ai9Y

我的成長故事: https://www.youtube.com/watch?v=Kdhtp6A6YJE

這位才是真正的網絡垃圾: https://www.youtube.com/watch?v=jlJYDx1GP-U&t=263s

Billie Eilish出賣靈魂的方法: https://www.youtube.com/watch?v=pfB1S2uy5Po&t=115s
日本最殘酷的直播節目: https://www.youtube.com/watch?v=7E81OKVX7wc
我受夠了, 我的精神困擾: https://www.youtube.com/watch?v=aQ6uxaQhiS4&t=7s

[警告]史上最危險IG Story限時動態| 會導致你手機死亡
[警告]史上最危險IG Story限時動態| 會導致你手機死亡
破解會導致你手機死亡的阿拉伯IG Story限時動態
破解會導致你iPhone死亡的IG Story限時動態
[警告!!!] 破解導致你iPhone死亡的IG Story限時動態

Instagram story that kills your phone-pgtalal

之前我第一次在Instagram stories做了一part Q&A, 大家的反應數量和問題可以說是驚人.
那試想想如果當天你按進去我story後, 你電話突然這樣...
如何想打開都打不開, 再用另一部電按進我story, 結果又是一樣. 之後所有千千萬萬的暗友做同一件事結果又是這樣.
你應該會覺得我是創造了什麼詛咒限時動態 ..可能我會從你的電話爬出嚟, 對嗎?
那如果我告訴你這個星期外國發現了一個IG網頁你一按進去他的story你的電話真的馬上會動不到, 甚至有機會之後還有後遺症, 你除了想到被詛咒的限時動態外, 還會有什麼其他解釋呢?
我們今天的影片就是會有答案.

大家好又是我暗網仔! 一起破解IG史上最恐怖的 限時動態!

告訴大家這個IG 帳號名字前, 我先想提醒大家千祈唔好按進去亂試. I do not encourage doing that.

名pgtalal的IG頁有一個令人電話動不了（俗稱 “crash” ）的IG story. 這事件得到多個網路新聞網站報道. 令人百思不得其解.
亦同時令到 pgtalal成為近日受到最多關注和追除人數上升得最快的IG網頁.

奇怪的地方是如果你是用一部 ‘android’ 電話按進這個Instagram story這個紫色畫面會出現. 同時會播著一首名 ‘your love’ 的歌曲. 唯一奇怪的地方是不像其他的IG story, 你按電話畫面不能讓他暫停.

但如果你用iphone按進去這個Instagram story, 你的iPhone是會完全動不了. 會crash.

我試過用iPhone, macbook不同電器看IG, Facebook, Youtube. 東西都是大同小異.
那為何在這個情況下, 同一個story用不同電話看, 會看到不同的東西? 不同的畫面呢?
而為什麼簡單一個IG story會好像能完全控制你的電話呢？
是黑客入侵Instagram? Nordvpn又能幫到手嗎？

(題外話: 今天的影片不是由Nordvpn贊助的. 今天沒有贊助. 但如果你想贊助暗網仔以後拍多點好影片, 這是我的payme, 暗網仔donation, 下面也有link.多多益善少少無拘! 大家可能有看片知道我之前搬咗屋. 多謝大家繼續支持)

看完所有關資料. Pgtalal 帳號沒有頭像. 有一個7000多follower的私人帳號.

之前Pgtalal有一名電視劇friends女演員的post, 亦曾有3個不同會令到你電話crash的IG story, 現在看這個page, story 只有兩個, friends 女演員個post 亦消失了。
最後他還有一個douyin帳號. 只是長期在拍一個 ‘N’ 字. 到底什麼意思?
他帳號所有的字體都是阿拉伯字. 翻譯成英文後都是好像沒什麼意思.

其實整件事件都不像是靈異東西. 而係似某一個一個聰明人做的一種實驗.
這個出現在私人頁面簡介的”full stack developer” 這個職業就是證據. 電腦專家full stack developer精通前端和後端開發軟件.
什麼意思?
這是個很懂電腦的人在玩一個遊戲. 或是想prove一個point.
英國Youtuber Mrwhosetheboss用了一大dung電話逐一去這個IG網頁時發現不是每一部android電話都能夠避免 ‘死機’ 這個情況.
越舊的電話 被story搞死的機會率越大.

去到某一些舊年份的電話根本完全打不開那個story.

這是代表什麼? 代表越新越多 RAM 越多處理能力的機器越能對付這個story. 亦解釋到為何最高只有6GB RAM的iPhone會不停死機.
唯一的解釋就是因為這個story是比一般story大, 所以需要多點RAM去處理. 可以這樣搞大一個Instagram story的嗎?

最後互聯網找出的答案非常神奇! 網上專家用metadata對比一個普通ig story的尺寸和這個放大story的尺寸　, 放大story大約比正常大18個數位那麼多! 即是0.5和180,000,000,000,000,000的對比. 想像一下, 一個capacity只能裝落 ‘零點幾’ 的iPhone 要面對18個 零的放大IG story時, 如何能不crash呢?

最後證實我們看到的只是一個IG 投票poll和計時器. 放大了的某一個角落. 所以怎麼按也沒有反應。

技術上的結論就是Pgtalal用了一個叫 http proxy的濾器, 有一點像Nordvpn, 讓他send data給Instagram 的server前能任意改變當中的data. 主要是誇大個story的size.
而IG 就這樣超超超超超大這樣　send給你電話讓你死機.

很多網上專家相信Pgtalal 這樣做是想make a statement看看IG security有多yuek!
人類安全要緊!!!
但....最後好像證明了這個pgtalal只有14歲...
所以他應該不是這麼偉大.
如果我14歲是這樣做只會是因為貪玩.