📜 [專欄新文章] Unirep介紹: 使用ZKP的評價系統

✍️ Ya-Wen Jeng

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Unirep是什麼? 怎麼用?

Photo by Raphael Lovaski on Unsplash

UniRep 是一個使用零知識證明(Zero-knowledge Proof)而達到具有隱私保障的評價 (reputation) 系統。使用者有權利享有多個暫時性的身份，但又同時能提出證明，讓其他人可以驗證評價是否符合自己宣稱的數量。此外，使用者也無法拒絕接收對自己不利的評價。

想像一個情境：如果Alice是Airbnb的使用者，Alice常常透過Airbnb租房，且Alice曾經獲得獲得許多Airbnb房東的好評；有一天Alice想透過Booking.com訂房，http://xn--alicebooking-kt4so6lvyab96x7trhi5b54x.com/，所以在Booking.com上沒有任何評價，萬一Booking.com的房東不想把房子租給來路不明的客人，那Alice要如何向Booking.com的房東證明她其實都是用Airbnb租房，且獲得許多好評？

Alice雖然可以透過截圖或公開自己的資訊向Booking.com的房東證明自己擁有這些好評，但這樣Alice的隱私或許會被洩漏，例如Alice不想讓Booking.com的房東知道自己去過哪些地方、住過哪些民宿；或者Alice有可能偽造截圖，或者偽造評價，那Booking.com的房東要如何相信Alice所提供的證明文件是真的來自Airbnb的房東？除此之外有沒有更彈性的方式，Alice可以選擇性地向Booking.com的房東證明，自己至少有10個好評，但不透露自己總共有多少好評？

Photo by Andrea Davis on Unsplash

使用Unirep協定就可以解決這個問題。UniRep 取名自 Universal Reputation，希望透過區塊鏈上智能合約的可互用性 (interoperable，指智能合約容易被多方呼叫且容易透過智能合約與對方互動)，讓不管是Airbnb的房東、Booking.com的房東或是Alice都能很容易地透過Unirep的智能合約與對方互動，且透過零知識證明的方式，讓Alice的評價具有隱私的保障，Alice不用明確地向Booking.com的房東說這些評價是怎麼獲得、是什麼時候獲得，也可以彈性的證明自己至少有多少好評，或者最多有多少差評。

密碼學

Unirep主要用到的密碼學方法有

雜湊函數 hash：若有一個雜湊函數 f(x) = y 則由x可以很輕易的用f算出y，但從y推回x是幾乎不可能的，且要找到兩個不同的x對應到相同的y也是幾乎不可能的(沒有碰撞問題)。

零知識證明 zero-knowledge proof：可以將複雜的運算邏輯轉成容易驗證且具有隱私保障的驗證問題，使用者只要將變數輸入，這個零知識證明的演算法就會產生對應的證明且計算出對應的結果，使用者只要將此證明和運算結果輸入驗證的程序中，其他人就能驗證使用者是不是提出正確的證明，若驗證成功，則驗證者就能相信提出證明者高機率擁有正確的知識，也就是在計算證明時的輸入變數。

ZKP Proof System

ZKP Verification System

Semaphore：semaphore 是設計為可以用零知識證明驗證的身份認證系統。Unirep 中用來產生私鑰 (identity) 和公鑰的 hash 值(identity commitment)，讓使用者不必公開 identity 仍能透過零知識證明驗證其公私鑰的對應性。

雜湊樹 Merkle trees：Unirep 中大量運用雜湊樹的方式確保評價紀錄，而其中用到的雜湊樹又分兩種：Incremental merkle tree 和 Sparse merkle tree

Incremental merkle tree: 從 index 0 開始依序插入雜湊樹中的樹葉。為了使 ZKP 的 circuit 大小固定， Unirep 中使用固定高度的 Incremental merkle tree。

Sparse merkle tree: 在特定的 index i 插入樹葉

Incremental merkle tree and sparse merkle tree

UniRep中用到的名詞定義

Epoch

指一段特定的時間，例如7天

UniRep 的 Epoch 從 1 開始計算，7天過後Epoch數加一，即 Epoch 變為 2

Epoch Key

每個使用者在每個 Epoch 都能產生 n 把 Epoch key，用來收取評價 epoch_key = hash (id, epoch, nonce)

id: 這裡指用 semaphore 產生的 identity

epoch: 表示這是在第幾個 epoch 產生的 epoch key

nonce: 若 Unirep 規定使用者能在一個 epoch 產生 5 把 epoch key，則使用者可以選從 0 到 4 為此 nonce

因為雜湊函數的性質，算出來的 epoch key 很難推回原本的 id, epoch, nonce， 所以看到 epoch key 並不能推回使用者是誰。

以Alice為例，當Alice住完Airbnb，房東會透過 epoch key 給予 Alice 評價，但房東無法知道 Alice 在同個 epoch 的其他 epoch key 是哪一把，也無法知道 Alice 在別的 epoch 獲得的評價，除非 Alice 在這個 epoch 重複使用同一把 epoch key 收取評價。

User 使用者

用 semaphore 產生 identity 並使用此 identity 註冊的使用者

使用者是接收評價、證明評價、或是花費評價的人，用 epoch key 跟其他人互動，因為 epoch key 會隨著 epoch 增加而改變，所以對使用者來說每個 epoch 能產生的 epoch key 都不同，具有保護隱私的效果。

在上面的例子中使用者指的是 Alice, Bob, Airbnb 的房東, Booking.com的房東

Attester 證人

用 Ethereum address 或 smart contract address 註冊的用戶

是會被使用者記錄下來的評價給予者

Unirep 會給這些 address 一個 attester ID，而這個 attester ID 不會隨著 epoch 增加而改變，使用者可以知道這個評價是來自哪一個 attester。

在上面的例子中指的是 Airbnb 跟 Booking.com，因為 attester ID 不變，所以使用者可以證明這些評價是來自於 Airbnb 或是 Booking.com

User State Tree (UST)

是一 Sparse merkle tree

每個使用者都有自己的 User State Tree，其中樹葉表示所收到的評價的hash值，而葉子的 index 表示 attester ID，UST 樹葉的定義為

USTLeaf = hash(posRep, negRep, graffiti)

例如 Airbnb 的 ID 是1，Booking.com 的 ID 是 3，那 Alice 的 User State Tree 中 index 為 1 的地方會有自己在 Airbnb 獲得的總評價的 hash 值，而 index 為三的地方則為空的評價。另一個使用者 Bob 的 User State Tree 亦同，在 index 為 1 的地方會有自己在 Airbnb 獲得的評價，在 index 為 3 的地方會有自己在 Booking.com的評價。

Global State Tree (GST)

是一固定樹高的 Incremental merkle tree

Global State Tree 的葉子到樹根都是公開的資訊，當有使用者註冊或者更新 User State Tree 時會在 Global State Tree 裡新增一個新的樹葉，GST 樹葉的定義為：

GSTLeaf = hash(id, USTRoot)

先送出的樹葉先插入到較前面的 index，之後的樹葉依序插入 GST 中。

以 Alice的例子來說，當 Alice跟 Bob註冊 Unirep時，都會產生一個 GST的樹葉，更新 GST的樹根，若 Alice先註冊，則 Alice的 index會較 Bob前面。注意，這邊的 Airbnb 和 Booking.com 等 attester 並不是用這棵 Global State Tree註冊。

Epoch Tree

是一個 Sparse merkle tree

Epoch Tree 跟 Global State Tree 一樣從葉子到樹根都是公開的資訊，Epoch Tree 中樹葉的 index 為 epoch key，而樹葉的值為該 epoch key 的 sealed hash chain

每個 epoch key 都有一個 hash chain，hash chain 的定義為

hashedReputation = hash(attestIdx, attesterID, posRep, negRep, graffiti)hashChain[epochKey] = hash(hashedReputation, hashChain[epochKey])

此 hash chain 是為了防止使用者漏收了哪一筆評價，如果使用者少收了其中一筆評價，則 hash chain 的結果會完全不同。最後驗證時如果其中一個 epoch key 的 hash chain 改變，會造成 epoch tree 樹根跟原本的 epoch tree 的樹根不同。

而 Sealed hash chain 是在每個 epoch 結束後，Unirep 智能合約會再將這條 hash chain 再 hash 一次

sealedHashChain[epochKey] = hash(1, hashChain[epochKey]) isEpochKeyHashChainSealed[epochKey] = true

需要再把這條 hash chain 封起來的用意是，避免這把 epoch key 過了這個 epoch 之後再繼續接收評價，所以 epoch tree 會用這個 epoch key 最後的 sealed hash chain 去計算樹根。

Nullifier

中文翻譯為註銷符，當我們要防止一件事情重複發生時，就可以使用這個 Nullifier

Unirep 中使用到 Epoch key nullifier：此 nullifier 是用來限制使用者不能在不同的 epoch 使用重複的 epoch key 去收取評價，也不能被其他使用者使用；此外也可以用來檢視使用者是否重複執行 UST 的更新

Nullifier 也用 hash 計算，但多使用一個 domain 變數，避免與 epoch key 產生相同的 nullifier 而洩露自己擁有的 epoch key，也可以用不同的 domain 產生不同用途的 nullifier

epochKeyNullifier = hash(EPOCH_KEY_DOMAIN, id, epoch, nonce)

Epoch Transition

一個 epoch 結束過後，要透過 epoch transition 的步驟，更新 Unirep 及使用者的狀態

其中要做的事包含將智能合約上的 epoch 數加一，還有將所有 epoch key 的 hash chain 封起來

接著使用者就可以執行 User State Transition 更新自己的 UST

User State Transition

到下一個 epoch 後，使用者可以透過自己的 identity，找出自己在前一個 epoch 所有的 epoch key，並根據每把 epoch key 收到的評價更新到自己的 UST，最後計算出最新的評價狀態，產生一個 GST的樹葉，插入 GST 中 (如同註冊時一樣)。

使用者之後如果要花費評價或者產生下一個 epoch 的 epoch key 時，因為必須確認自己的 UST 在當前的 epoch，所以需要經過 User State Transition 確保自己有一個 GST 的樹葉在 GST 中。

Unirep 協定

有了 Unirep 的名詞定義後，接著介紹 Unirep 是如何運作的。

註冊

Unirep 的 user 和 attester 的註冊方式不同：

User signup and attester signup in Unirep

User

User 透過 semaphore 產生 identity 和 identity commitment，identity 就如同私鑰，identity commitment 就如同公鑰

將 identity commitment 和預設的 UST 樹根經由 hash 計算得 GST 的一個樹葉

若使用者要證明自己在某個 epoch 有註冊或者有更新自己的 UST，則證明自己是 GST 的某一個樹葉，利用零知識證明的方法，輸入 identity、UST 樹根，還有 merkle tree 中要計算 hash 值的相鄰節點，則最後可得到一個 GST 的 root，其他人可以驗證這個 GST 的 root 是否符合這顆公開的 GST。

Attester

Attester 則是用自己的錢包，或者用智能合約的地址註冊，呼叫 attester sign up 的 function 後，Unirep 會指定一個 attester ID 給這個地址，往後 attester 用相同錢包或合約地址給予評價時，Unirep 會檢查此地址是否被註冊，若有註冊則可以給予 epoch key 評價。

以 Alice 和 Bob 為例，Alice、Bob、Airbnb的房東、Booking.com的房東會產生 identity 並且透過 Unirep 合約用 user 的註冊方式獲得一個 GST 的樹葉代表自己；
而 Airbnb 和 Booking.com 會透過 attester 的註冊方式，使用特定的錢包地址或是撰寫智能合約呼叫 Unirep 的 attester sign up function。
當然 Alice 或 Bob 如果想用自己的錢包註冊為 attester 也是可以，這時合約就會紀錄 Alice 和 Bob 的錢包地址，並給予一個新的 attester ID。

給予評價

在 Unirep 中評價的接收者是 epoch key，接著介紹 user 和 attester 是如何互動。

How an attester gives reputation to an epoch key

Alice 在 Unirep 註冊過後，就可以產生 epoch key 接收評價

epochKey = hash(identity, epoch, nonce)

但 Airbnb 的房東看到這把 epoch key，要如何知道 Alice 確實是 Unirep 的合法使用者，且 epoch key 的 是合法的，例如 nonce 小於 5，或者 epoch 是當前的 epoch？

如果 Alice 直接提供 epoch 和 nonce，別人沒有 identity 也無法計算此 epoch key，更不用說如果 Alice 提供 identity 會造成 Alice 完全沒有隱私可言，所有人都可以計算出 Alice 收過哪些評價。

因此我們用一個零知識證明，證明此 epoch key 是合法的。細節請參考 epoch key proof，主要是證明使用者有一個合法的 GST 樹葉在 GST 中，並且 epoch 和 nonce 也都符合。

房東得到 Alice 提供的 epoch key 和 epoch key 的證明，並且透過 Unirep 的合約驗證通過之後，就可以給予評價。

獲得空投評價、使用者可以給予評價的限制可以由各個應用自行定義，例如 Airbnb 可以決定空投 30 個正評給使用者， Booking.com 可以決定空投 20 個正評給使用者。

另外，為了確認房東也是合法的使用者，也為了防止房東重複花費 (double spending) 自己的評價點數，Unirep 上的應用也可以用 reputation nullifier 及其 proof 去證明使用者合法使用自己的評價。

例如，此 reputation nullifier 可以用下列計算方式取得：

reputationNullifier = hash(REPUTATION_DOMAIN, id, epoch, nonce)

當 reputation nullifier 及 proof 產生後，就會與房東要給的評價一起發送到 Airbnb 的智能合約上，智能合約會驗證 proof 是否合法，nullifier 是否有被發送過，若檢查都通過的話則 Unirep 會紀錄此評價給 epoch key，並將 hash chain 更新。

接收評價

使用者即使可以證明自己擁有哪一把 epoch key 並且大家都知道這把 epoch key 有多少評價，但這有可能造成使用者故意忽略其他把 epoch key 中對自己不好的評價，因此 Unirep 限制使用者只能在每個 epoch 結束，每把 epoch key 都封起來之後，才能用 User State Transition 更新自己的評價。

User State Transition in Unirep

這裏也是用 User State Transition Proof 去保證使用者是根據正確的方式計算出最新的 UST，且用 epoch tree 限制使用者必須處理每一把 epoch key 的結果。

亦即，需要等到 epoch 結束後，Alice 才能透過 User State Transition 獲得 Airbnb 房東的評價，更新自己的使用者狀態。

證明評價

當使用者通過 User State Transition 之後會有最新的 UST 狀態，此時 Alice 就可以透過 reputation proof 向 Booking.com 她有來自 Airbnb 的評價，在reputation proof 中檢查使用者是否有其宣稱的 UST (例如總共有多少好評、多少差評來自哪一個 attester ID)，並且此 UST 的狀態儲存在當前 epoch 的 GST 中。

在生成 reputation proof 時，即使 Alice 總共有 100 個好評，但 Alice 仍可以產生「至少有10個好評」的證明，Booking.com 的房東若驗證成功，則只能知道 Alice 宣稱的「至少有 10 個好評」而不能知道 Alice 總共有 100 個好評。

常見問題

Alice 能不能給 Airbnb 的房東評價？ Alice 能不能給 Bob 評價？

可以。

Airbnb 的房東和 Bob 也都能產生 epoch key，因此如果 Alice 有兩者的 epoch key 及合法的 proof 則可以給予評價。此時 Alice 可以選擇透過 Airbnb、Booking.com、或甚至自己的 Ethereum account 當作證人給予評價 (也必須選擇一個證人)。

Alice 可以透過 Unirep 給 Airbnb 評價嗎？

如果 Airbnb 也透過 Unirep 註冊為使用者，並且產生 epoch key 的話就可以。但如果 Airbnb 只註冊為證人的話不行。

Alice 可以證明評價來自哪一個 Airbnb 房東嗎？

如果 Airbnb 的房東沒有註冊為證人，則 Alice 不能證明評價來自哪個房東。

若 Airbnb 的房東用自己的 Ethereum account 註冊為證人，則 Alice 只能證明評價來自這個 Ethereum account，但無法知道這個 account 是一個 Airbnb 的房東。

從 Airbnb 獲得的評價可以在 Booking.com 花費嗎？

需看 Booking.com 的智能合約如何定義，但一般來說不行，因為 attester ID不同，但未來可能會開發各個應用程式之間的兌換評價功能。

如果遲遲不執行 User State Transition 會發生什麼事？會不會收不到之前的評價？

若 Alice 在第一個 epoch 註冊，並在第一個 epoch 產生 epoch key 接收評價，但 Alice 到第五個 epoch 才執行 User State Transition，那 Alice 會根據第一個 epoch 的 GST、epoch tree 執行 User State Transition，因此仍然可以在第五個 epoch 收到來自第一個 epoch 的評價；而在第二到第四個 epoch 因為 Alice 無法產生出合法的 epoch key proof，因此無法接收評價。

User State Transition 可以自動執行嗎？

不行。

只有使用者主動給出私鑰，即 semaphore 的 identity，才可以產生合法的 User State Transition proof，若將私鑰交給第三方幫忙執行可能會侵害使用者的隱私。

結論

Unirep 是一個具有隱私保障的評價系統，透過 ZKP 的保護使用者可以在匿名的情況下收取評價、給予評價、並且向他人證明自己的評價。Unirep 可以用於跨應用程式間的評價證明，可以在 A 應用程式中獲得評價，並向 B 應用程式證明在 A 應用程式中獲得多少評價。若想了解更多有關 Unirep ，可以參考 Github、文件或加入 telegram 群組討論。

本文感謝 CC, Nic, Kevin, Doris 協助審稿。

Unirep介紹: 使用ZKP的評價系統 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

昨天那50個形容美女的成語
我回留言回到手都要抽筋了…………
好啦，其實我也沒要求這些啦
能好好過日子的就很好啦～～

====

大約五天前吧
看到朋友在幫男性友人徵友，寫出來的徵友文

忽然，我很好奇
如果朋友們要幫我徵友
會寫出什麼樣的內容

因為這徵友文，不像一般介紹
而是要告訴想介紹的人，或有興趣的女性
我會是什麼樣的對象

結果朋友回覆的不多
大都是說
“你還需要嗎？”

以下把幾個朋友寫出來的徵友文貼出來
給大家看一看評評理
或許會知道我在朋友眼中是什麼樣的人？

====

在整形外科配合了四年的專科護理師安宜說…………

我可以告訴你有人問我你是什麼樣子的人 我會簡單的說 小我一歲但是比我聰明百倍的醫師 是我兒的偶像啊~~~ 當你的朋友很幸福 因為你對朋友很好也很有義氣 但是嘴賤功力也是非常了得 至少我說不過你....😂

但我必須也誠實的說 如果是徵友 可能還要說一下 你喜歡聰明的人 至少是要有想法 腦子清晰的
不過徵女友就又要再往上加一點了 除了聰明 還要懂得應對進退 能獨立但在你身旁又可以小女人 對自己要有信心而且要足夠放寬心去接受你有很多男男女女的朋友 ~~

（嘴賤功力………………朋友很多……………………）

====

一起共事過的神經外科專科護理師怡君說…………

我想我會說的是，你是一個貼心可靠的男人，會注意很多小細節，會細心呵護你所愛的人事物，但那個女人，要給你足夠的自由，那女人需要夠獨立，有自己的想法，你自然時間到了會回家~

這是以前我們聊天時我對你的認知

（我都會回家啊？我超愛回家的耶）

====

六年好朋友幸宜說…………

在我眼中的你～
有點小貼心，小浪漫，小逗趣，大大的善心和善解人意，對朋友很肝膽相照，更是個願意分享自己想法的人，對自己人生要求小嚴格～例如稍稍變胖就會認真的瘦回來～結論是很認真過生活的大善大好人✌️❤️

（結果被我嫌寫的太好，像祝壽文之後……）

要差的就講話機八而已吧😂🤣😂🤣好聽就是中肯👍

（我講話到底怎麼了？？）

====

幫我看病的學弟，新莊台北醫院骨科胡御風醫師說…………

C3/4/5/6/7 degeneration
C4/5 HIVD with right side root compression
Loss of cervical lordotic curve
徵女友

後序
脖子不好但是腰很好

（脖子不好是你診斷的，但你怎麼知道我腰好了？？！！）

====

長榮航空14期，資深空姐Sally說…………

那我來寫一篇好了
徵友文
詳細資訊請Google「王樹偉」

（會不會太混了一點，google什麼啊～～）

====

以上，我應該不會請朋友幫我徵友了
看這些形容
應該有興趣的，也都跑掉了～～

📜 [專欄新文章] Tornado Cash 實例解析

✍️ Johnson

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Tornado Cash 是一個使用 zk-SNARKs 建立的 Dapp，它實現了匿名的代幣交易，這篇文章就用一些程式碼片段，來分享它是怎麼運作的。

本文為 Tornado Cash 研究系列的 Part 3，本系列以 tornado-core 為教材，學習開發 ZKP 的應用，另兩篇為：

Part 1：Merkle Tree in JavaScript

Part 2：ZKP 與智能合約的開發入門

Special thanks to C.C. Liang for review and enlightenment.

我們知道在以太坊上的交易紀錄都是公開的，你可以在 etherscan 上看到某個地址的所有歷史交易紀錄，當然地址是合約的話也是一樣。

也許創建一個新的錢包和地址就好了？假設一個情境是 Alice 想要匿名傳送 1 ETH 給 Bob，Alice 原本的錢包是 A，但她不想讓 A 地址傳給 Bob 的交易紀錄被看到，所以 Alice 創建另一個錢包 B，顯然 B 錢包是空的，Alice 必須把 A 錢包的 1 ETH 傳到 B 錢包，再用 B 錢包的地址傳給 Bob。

但問題就在於，只要追蹤 B 錢包的地址，就能看到 B 的歷史交易紀錄中 A 錢包曾經打幣給 B 錢包，於是到頭來交易還是被追蹤到了。

Tornado Cash 的解決方案，簡單來說，它是一份合約，當你要匿名傳送代幣時，就把一定數量的幣丟進合約裡 (Deposit)，此時你會拿到一個 note，長得像這樣：

tornado-eth-0.1-5-0x3863c2e16abc85d72b64d78c68fca5936db2501832e26345226efdfb2bc45804977f167d86b711bb6b4095ddaa646ec93f0a93ac4884a66c1d881f4fc985

note 就是一串字串，擁有這字串的人，就能提領 (Withdraw) 剛剛傳入合約的代幣。握有 note 就代表擁有提款的權利，所以 note 一旦被別人知道，別人就可以把錢給提走。

其中，後面那段亂碼，本篇文章就以「秘密」來稱呼，這個秘密是由 secret 與 nullifier 組成，而這兩個都是在鏈下隨機產生的亂數。

因此 Tornado 的合約基本上會有兩個函式：

Deposit

Withdraw

有興趣的人可以先到 Dapp 上先玩一次看看，使用 Goerli 測試網，這裡可以領 Goerli 的代幣：https://goerli-faucet.slock.it/

Deposit

我們就從 Deposit 開始說起，簡單來說， Deposit 是將資料儲存到合約的 Merkle Tree 上。

剛剛提到的秘密，它是在鏈下產生，由 secret 跟 nullifier 組成，合在一起之後也稱作 preimage，因為我們要對這個 preimage 進行 hash，就會成為 commitment。

合約中 Deposit 如下：

deposit 除了傳送代幣到合約之外，需填入一個參數 _commitment。

我們對 preimage 使用 Pedersen 作為 hash function 加密後產生 commitment，以偽代碼表示如下：

const preimage = secret + nullifier;const commitment = pedersenHash(preimage);

這個 commitment 會成為 Merkle Tree 的葉子，所以合約中的 _insert(commitment) 來自 MerkleTreeWithHistory.sol 的合約，將我們的資料插入 Merkle Tree，然後回傳一個 index 給你，告訴你這個 commitment 在 Merkle Tree 上的位置，最後一起發布成公開的 Deposit 事件。

我們知道 MerkleTree 是將一大筆資料兩兩做雜湊後產生一個唯一值 root，這個 root 就是合約上所儲存的歷史資料。

root 的特性就是只要底下的資料一有更動，就會重新產生新的 root。

所以只要一有用戶 deposit ，就會插入新的葉子到 Merkle Tree 上，於是就會產生新的 root，所以在合約中有一個陣列是用來儲存所有的 root 的 roots：

bytes32[ROOT_HISTORY_SIZE] public roots;

roots 是用來紀錄每個 deposit 的歷史，每一次 deposit 都會創造新的 root，而所有 root 都會被儲存進 roots 裡，於是當你要提領的時候，就要證明你的 commitment 所算出的 root 曾經出現在 roots 裡，代表曾經有 deposit 的動作，因此才可以進行提領。

Withdraw

在 Deposit 之前 Tornado Cash 就會在鏈下產生秘密後交給使用者，擁有這個秘密的人等於擁有提款的權利。

提領的時候，秘密會在鏈下計算後產生 proof，proof 是 withdraw 需要的參數，所以只要確保這個 proof 能夠被驗證，那麼代幣的接收地址 (recipient) 就可以隨便我們填，只要不填上當初拿來 deposit 用的地址，基本上就做到匿名交易的效果了。

也就是說，產生這個 proof 並提交給合約，能夠證明此人知道秘密，但卻不告訴合約秘密本身是什麼。

function withdraw(bytes calldata _proof, bytes32 _root, bytes32 _nullifierHash, address payable _recipient, address payable _relayer, uint256 _fee, uint256 _refund) external payable nonReentrant;

我們可以清楚看到 withdraw 函式裡沒有接收有關秘密的任何資訊作為參數，也就是秘密不會與合約有所接觸，也不會暴露在 etherscan 上。

回顧 ZKP 所帶來的效果：

鏈下計算

隱藏秘密

在 Tornado Cash 的例子中，我們用秘密來產生證明，完成的鏈下計算包括：

將秘密 hash 成 commitment

算出 Merkle Tree 的 root。

以下是簡化後的 withdraw.circom：

template Withdraw(levels) { signal input root; signal input nullifierHash;

signal private input nullifier; signal private input secret; signal private input pathElements[levels]; signal private input pathIndices[levels];

component hasher = CommitmentHasher(); // Pedersen hasher.nullifier <== nullifier; hasher.secret <== secret; hasher.nullifierHash === nullifierHash;

component tree = MerkleTreeChecker(levels); // MiMC tree.leaf <== hasher.commitment; tree.root <== root; for (var i = 0; i < levels; i++) { tree.pathElements[i] <== pathElements[i]; tree.pathIndices[i] <== pathIndices[i]; }}

component main = Withdraw(20);

從上述代碼就可以看出這份 circuit 的 private 變數有：

secret

nullifier

pathElements

pathIndices

而 public 變數有：

root

nullifierHash

如同我們一開始說過的，秘密就是指 secret 與 nullifier。這裡進行的鏈下計算就是對 secret 與 nullifier 雜湊成 commitment。而使用的 hash function 叫做 Pedersen。

在進行 Merkle Tree 的計算之前，我們還檢查了 nullifier 雜湊後的 nullifierHash 跟 public 變數 nullifierHash 是不是一樣的。

hasher.nullifierHash === nullifierHash;

接下來，開始計算 Merkle Proof，用意是確認經過雜湊後的 commitment 有沒有出現在 Merkle Tree 上，所以我們的 private input 還有 pathElements 與 pathIndices（詳情參考 Part 1 Merkle Tree in JavaScript），讓它跑一趟 Merkle Proof 的計算，最後就能夠算出一個 root，再確認計算後的 root 與我們的 public 變數 root 是否一樣。

tree.root <== root;

於是我們就能產生一個 ZKP 的證明 — 證明 private 變數：secret, nullifier, pathElements, pathIndices 可以計算出 public 變數：root 與 nullifierHash。

把這個證明提交給合約，合約透過 Verifier 驗證 proof 是否正確，以及必須事先確認：

public 變數 root 有在合約的 roots 裡面。

public 變數 nullifierHash 在合約中是第一次出現。

以下附上完整的 withdraw 原始碼：

必須注意 ZKP 是向合約證明使用者填入的 secret 和 nullifier 可以計算出某個 root，但無法保證這個 root 曾經在合約的 roots 歷史上。

所以合約的 withdraw 中，除了 verifyProof 之外，還要事先檢查 ZKP 算出來的 root 是不是真的在歷史上發生過，所以需要 isKnownRoot 的檢查：

function isKnownRoot(bytes32 _root) public view returns(bool)

必須先檢查 isKnownRoot 後才能進行 verifyProof。

經過 verifyProof 驗證成功後，合約就開始進行提款的動作，也就會將代幣傳到 recipient 的地址，最後拋出 Withdrawal 的事件。

nullifier 與 nullifierHash

為什麼我們的秘密不是只有 secret 還要額外加一個 nullifier？

簡單來說，這是為了防止已經提領過的 note 又再提領一次，也就是所謂的 double spend。

require(!nullifierHashes[_nullifierHash], "The note has been already spent");

可以看到 withdraw 需要填入參數 nullifierHash，跟 isKnownRoot 一樣的狀況，我們需要對電路的 public 變數先經過一層檢查之後，才能帶入到 verifyProof 裡面。

nullifierHash 可以理解為這個 note 的 id，但它不會連結到 deposit，因此可以用來紀錄這個 note 是否已經被提領過。

所以當 verifyProof 驗證成功之後，我們要紀錄 nullifierHash 已完成提領：

nullifierHashes[_nullifierHash] = true;

有關為什麼需要事先檢查 public 變數後，才能帶入 verifyProof ，可以參考 Part 2：ZKP 與智能合約的開發入門 提到的 publicSignals 的部分。

附上 Tornado Cash 的架構圖：

簡化版的 tornado-core

tornado-core 的程式碼很簡潔漂亮，所以我模仿該專案自己實作一遍：

simple-tornado：https://github.com/chnejohnson/simple-tornado

這份專案只完成了 tornado-core 的核心部分，不一樣的是我的開發環境使用 hardhat 與 ethers 寫成，而 circom 與 snarkjs 使用官方當前的版本，合約用 0.7.0，測試使用 Typescript 。

比起兩年前的 tornado-core ，simple-tornado 使用的技術更新，可能更適合初學者理解這份專案，但是它有 bug…我在 issues 的地方有紀錄說明。

在開發的過程中，我的順序是先從最小單位的 MiMC hash function 開始玩，發現必須 javascript 算一次 hash、solidity 算一次、circom 再算一次，確保這三個語言對同一個值算出同樣的 hash 之後，才能放心去做更複雜的 Merkle Tree。

總結

我們可以看到 Tornado Cash 簡單的兩個函式：Deposit 與 Withdraw，透過將代幣送入合約後再提領到另一個地址的流程，應用 ZKP 達成匿名的交易。

除了斷開 Deposit 與 Withdraw 的地址關聯性之外，Tornado Cash 還有做了一層「藏樹於林」的隱私防護，這部份的解釋就請參考 ZKP 讀書會 Tornado Cash。

網路上很多關於 ZKP 的文章或專案都是在 2019 年後出產的，經過許多人對這項技術的嘗試，讓我們對 ZKP 有了更清晰的理解，如今兩年後，開發工具也變得更加成熟，期待未來在 web 隱私議題上能看到更多 ZKP 大放異彩的應用。

原始碼

tornado-core

simple-tornado

參考資料

ZKP 讀書會 Tornado Cash

Tornado Privacy Solution Cryptographic Review

Tornado Cash 實例解析 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

#Root的遊戲心得小舖 #1942

一樣是從來沒破關過的遊戲
之前和墨小柒聊天突然講到這個
那就來直播看看吧，看看結局到底是什麼

---------------------------------------------------------------------------------------------------------------
成為這個頻道的會員並獲得獎勵：
https://www.youtube.com/channel/UC3hy3XtCogcAyxt-ahy8EyA/join

Tubebuddy是一個很好用的工具，有在經營YT的應該都要使用
它可以讓你看到一些YT後台隱藏的訊息
例如自己和其他頻道的流量，還有設定的關鍵字，我自己也有在使用
使用下面的連結安裝的話，我可以得到一點獎勵
在此推薦給正在經營或是有興趣經營YT的朋友們
https://www.tubebuddy.com/RootTsou


有的影片沒辦法營利，廣告費會被拿走
歡迎贊助本頻道，協助頻道經營

贊助方法一：使用Paypal：
paypal.me/RootTsou

贊助方法二：使用歐付寶，這個方法適用於「沒有信用卡」時：

https://payment.opay.tw/Broadcaster/Donate/23C60821C8C8F340A6FDCDD40F6AEE38

感謝您的贊助！

你 / 妳 想成為Youteber來增加被動收入嗎?
歡迎參考我的簡介喔，下面有詳細介紹
https://www.youtube.com/user/RootTsou/about

也歡迎幫我點讚、分享和訂閱喔 ️
點擊影片右下方的頭像可以訂閱我，或是結束時P4主角的頭像
如果有訂閱的話請「一定」要開啟小鈴鐺
這樣我上傳新影片的時候才會收到通知~

但就算這樣還是有可能會漏掉通知
這時候請加入Discord，會有機器人通知最新影片上傳！

Discord位置：
https://discord.com/invite/z6m3SWe

巴哈姆特小屋：
https://home.gamer.com.tw/homeindex.php?owner=prettysamy

Twitch頻道：
https://www.twitch.tv/roottsou_game

粉絲團網址：
t.me/Root_Tsou

巴哈姆特往日遊戲版的Facebook專頁：
https://www.facebook.com/groups/Baha.OldGames
(優質社團歡迎加入 ww)

Facebook (Root Tsou)：
https://www.facebook.com/root.tsou

電子郵件信箱：
shining383@gmail.com

雛形似水、似海，在各式容器、天地之間各方自在，
沒有關係，我們都不急著成為任何感情圖鑑。
人和世界的停滯，各有用意，有時只需要一句「沒有關係。」
從我們的初心，到守護情感的雛形。

-

一天過去，你們各自回到家中，你意識到好幾天你們話都不多，打算開啟話題的你/妳，會說什麼？

A. 今天工作還好嗎？
B. 想不想吃我們好久沒叫的那家外送？
C. 我們最近怎麼了？
D. 什麼都不說，沒關係，今天就先這樣吧。

選擇Ｄ的朋友，你/妳是一個細膩且小心翼翼的人，因為眼前的人和生活，對你/妳來說無比重要，即使一起浪費的時間也十分珍貴，慢慢來、不積極，是你們對關係的守護，為著守護彼此的初心，而細心建造著感情能長遠航行的雛形，一切都會好的，不擔心。

今日金句
「越想要愛的人，越想要慢慢來。」——— 徐佳瑩

-

某次工作中的短暫休息時間，Lala彈著吉他隨便哼唱，是《雛形》這首歌的雛形。直到去年十月，Lala再度拿起吉他，沈浸在錄音室裡，完成這首歌的全詞曲創作，音樂之中純粹且溫柔的氣息，有著無法掩蓋光芒的Lala拯救元素，《雛形》正式誕生。
創作靈感的觸動，來自對人們關係的觀察，關於情感停滯，讓Lala開始思考有一種狀態可以是「沒有關係。」Lala說：「『沒有關係，我喜歡我們的不積極。』是第一句在我腦中出現的歌詞。」
關於雛形，在錄音室裡Lala提到：「『雛形』可以期待，關乎我要怎麼愛這個人，我希望這個人怎麼愛我，想要這段關係是什麼樣的基調。在還沒有定型的時候，不著急慢慢來。」用音樂人的角度陳述她看待世界的眼光，除了情感和關係，也通曉在世上萬物，有著「沒有關係」獨到的見解。

製作人陳君豪提及，這次與Lala共同製作，Lala對這首歌呈現的畫面非常清楚，是一種很赤裸單純、如水一般的狀態，尤其對於創作人來說，這種空的狀態是很必須的，能對一切情感與訊息更敏銳地接收與表達，後來Lala將歌曲取名雛形，兩人決定用Bass來當主伴奏樂器，因為Bass在音樂中是根基，它通常負責彈奏Root(根音）的部份，概念很符合雛形這首歌，而歌曲中後段，加入了像是心跳的大鼓聲，是想把接觸到新事物的緊張、悸動速度感放入音樂裡，簡單的弦樂線條與鋪陳，是音樂中呈現敘事感的方式，像電影陪著主角一路慢慢往前，經歷了許多，最終還是保有原來的樣子。

MV邀請羊有四十七隻工作室，唐張導演、金曲設計師楊士慶合作，在MV的前製會議中，聽到Lala提起這首歌給她水的意象後，導演團隊以水、海洋作為創作的出發點，不限時日、不限空間、不限盛裝器皿的水，比擬在關係中的變化，以此作為核心的概念。在關係停滯的時間，我們開始在日常生活中，注意到日常不會關注的細節，而有了新發現，畫面的編排，把日常的物件化成靜物的方式去重新詮釋，讓平常你可能不會注意到的物件變成主角，而在這些物件裡面去做任何不同的想像，在日常中的細節找到安定和盼望。

-

雛形

詞：徐佳瑩 曲：徐佳瑩

很想你 可當你在這裡
好不容易走到一起 卻還是感覺有距離
很像我 想證明在這裡
好不容易找到話題 卻忘記該怎麼盡興

沒有關係
我喜歡我們的不積極
動不動就冷場也可以
讓我捧著你的安靜

沒有關係
我們不急著去看美景
也是因為在混沌夜裡
才願一步一步走得那麼小心

看著我 不需太多妙喻
長久之計想在一起 我只想要你的初心

沒有關係
我喜歡我們的不積極
偶爾多愁善感也可以
溫柔捧著愛的雛形

沒有關係
我們不急著說我愛你
等時間允許長夜將盡
最後呼之欲出的那就是感情

戰戰兢兢被生存駕馭
安安靜靜看自己過期
才聽見你的嘆息
臣服於 快樂遙不可及

沒有關係
我喜歡我們的不積極
偶爾多愁善感也可以
溫柔捧著愛的雛形

沒有關係
我們不急著說我愛你
等時間允許長夜將盡
最後呼之欲出的那就是感情

-

音樂製作

製作人 Producer：徐佳瑩 LaLa Hsu / 陳君豪 Howe@成績好工作室
編曲 Arrangement：柯遵毓 Jack Ko / 錢威良 Will'z Chieng / 陳君豪 Howe
貝斯 Bass：柯遵毓 Jack Ko
鼓&合成器 Drum&Synthesizer：陳君豪 Howe
合音編寫 Backing Vocal Arrangement：李雅微 Shivia Lee
合音 Backing Vocal：徐佳瑩 LaLa Hsu / 李雅微 Shivia Lee
管弦樂編寫 Orchestra Arrangement：錢威良 Will'z Chieng / 陳君豪 Howe
小號 Trumpet：David Smith
長號 Trombone：宋光清 Qinbone Sung
弦樂 Strings：曜爆甘音樂工作室 Just Busy Music Studio
第一小提琴 First Violin：蔡曜宇 Shuon Tsai
第二小提琴 Second Violin：黃瑾諍 Chin-Cheng Huang
中提琴 Viola：甘威鵬 Weapon Gan
大提琴 Cello：劉涵 隱分子 Hang Liu
人聲&管樂錄音師 Vocal&Brass Recording Engineer：葉育軒 YuHsuan Yeh
人聲&管樂錄音室 Vocal&Brass Recording Studio：BB Road Studio
弦樂錄音師 Strings Recording Engineer：張閔翔 Min-Hsiang Chang
弦樂助理錄音師 Strings Assistant Engineer：朱品豪 Pin-Hao Ju
弦樂錄音室 Strings Recording Studio：強力錄音室 Mega Force Studios
混音師 Mixing Engineer：黃文萱 Ziya Huang
混音錄音室 Mixing Studio：Purring Sound Studio
母帶後製錄音師 Mastering Engineer：Mike Marsh
母帶後製錄音室 Mastering Studio：Exchange Studio
製作助理 Production Assistant：沈冠霖 SHENB

-

影像製作

唐張崇偉Tom |羊有四十七隻Sheep 47 Studio
美術指導 Art Director｜許祖昀 HSU Tzu-Yun

-

▶線上收聽____https://lalahsu.lnk.to/Prototype

--
➤還沒訂閱 徐佳瑩 LaLa的 Youtube頻道嗎？
https://reurl.cc/lRE5eQ →記得打開小鈴鐺🔔，不漏掉每個通知！

➤更多 LaLa徐佳瑩 官方資訊 Official Platform
Facebook：https://reurl.cc/eE0mOj
Instagram：https://reurl.cc/GmzbAx
微博Weibo：https://reurl.cc/ZGRjW3

➤記得訂閱 亞神音樂 YouTube官方頻道 Subscribe YouTube
-- 最新MV、歌手影片、幕後花絮 都在
https://reurl.cc/Lbv7W4

➤接收 AsiaMuse 亞神音樂 官方資訊 Official Platform
Facebook：https://reurl.cc/GmzbnZ
Instagram：https://reurl.cc/MAYkzk
微博Weibo：https://reurl.cc/rgz1Y4

➤加入亞神音樂 會員／官網
https://reurl.cc/DgNZDO

#LaLa徐佳瑩2021全新創作 #雛形 #暖心療癒單曲 #徐佳瑩 #LaLa

遊戲這裡買: https://myship.7-11.com.tw/cart/confirm/GM2008191889365

更正: 遊俠的靴子不能進入森林 但是可以移出森林


這次要來介紹的是PUIPUI的超可愛桌遊Root茂林源記
我發誓這桌遊真的很可愛 絕對不是什麼規則超難學又殘暴的遊戲

#超粒方 #粒方不插電 #桌遊教學