📜 [專欄新文章] ZKP 與智能合約的開發入門

✍️ Johnson

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

這篇文章將以程式碼範例，說明 Zero Knowledge Proofs 與智能合約的結合，能夠為以太坊的生態系帶來什麼創新的應用。

本文為 Tornado Cash 研究系列的 Part 2，本系列以 tornado-core 為教材，學習開發 ZKP 的應用，另兩篇為：

Part 1：Merkle Tree in JavaScript

Part 3：Tornado Cash 實例解析

Special thanks to C.C. Liang for review and enlightenment.

近十年來最強大的密碼學科技可能就是零知識證明，或稱 zk-SNARKs (zero knowledge succinct arguments of knowledge)。

zk-SNARKs 可以將某個能得出特定結果 (output) 的計算過程 (computation)，產出一個證明，而儘管計算過程可能非常耗時，這個證明卻可以快速的被驗證。

此外，零知識證明的額外特色是：你可以在不告訴對方輸入值 (input) 的情況下，證明你確實經過了某個計算過程並得到了結果。

上述來自 Vitalik’s An approximate introduction to how zk-SNARKs are possible 文章的首段，該文說是給具有 “medium level” 數學程度的人解釋 zk-SNARKs 的運作原理。（可惜我還是看不懂 QQ）

本文則是從零知識證明 (ZKP) 應用開發的角度，結合電路 (circuit) 與智能合約的程式碼來說明 ZKP 可以為既有的以太坊智能合約帶來什麼創新的突破。

基本上可以謹記兩點 ZKP 帶來的效果：

1. 擴容：鏈下計算的功能。
2. 隱私：隱藏秘密的功能。

WithoutZK.sol

首先，讓我們先來看一段沒有任何 ZKP 的智能合約：

這份合約的主軸在 process()，我們向它輸入一個秘密值 secret，經過一段計算過程後會與 answer 比對，如果驗證成功就會改寫變數 greeting 為 “answer to the ultimate question of life, the universe, and everything”。

Computation

而計算過程是一個簡單的函式：f(x) = x**2 + 6。

我們可以輕易推出秘密就是 42。

這個計算過程有很多可能的輸入值 (input) 與輸出值 (output)：
f(2) = 10
f(3) = 15
f(4) = 22
…

但是能通過驗證的只有當輸出值和我們存放在合約的資料 answer 一樣時，才會驗證成功，並執行 process 的動作。

可以看到有一個 calculate 函式，說明這份合約在鏈上進行的計算，以及 process 需要輸入參數 _secret，而我們知道合約上所有交易都是公開的，所以這個 _secret 可以輕易在 etherscan 上被看到。

從這個簡單的合約中我們看到 ZKP 可以解決的兩個痛點：鏈下計算與隱藏秘密。

Circuits

接下來我們就改寫這份合約，加入 ZKP 的電路語言 circom，使用者就能用他的 secret 在鏈下進行計算後產生一個 proof，這 proof 就不會揭露有關 secret 的資訊，同時證明了當 secret 丟入 f(x) = x**2 + 6 的計算過程後會得出 1770 的結果 (output)，把這個 proof 丟入 process 的參數中，經過 Verifier 的驗證即可執行 process 的內容。

有關電路 circuits 的環境配置，可以參考 ZKP Hello World，這裡我們就先跳過去，直接來看 circom 的程式碼：

template Square() { signal input in; signal output out; out <== in * in;}template Add() { signal input in; signal output out; out <== in + 6;}template Calculator() { signal private input secret; signal output out; component square = Square(); component add = Add(); square.in <== secret; add.in <== square.out; out <== add.out;}component main = Calculator();

這段就是 f(x) = x**2 + 6 在 circom 上的寫法，可能需要時間去感受一下。

ZK.sol

circom 寫好後，可以產生一個 Verifier.sol 的合約，這個合約會有一個函式 verifyProof，於是我們把上方的合約改寫成使用 ZKP 的樣子：

我們可以發現 ZK 合約少了 calculate 函式，顯然 f(x) = x**2 + 6 已經被我們寫到電路上了。

snarkjs

產生證明的程式碼以 javascript 寫成如下：

let { proof, publicSignals } = await groth16.fullProve(input, wasmPath, zkeyPath);

於是提交 proof 給合約，完成驗證，達到所謂鏈下計算的功能。

最後讓我們完整看一段 javascript 的單元測試，使用 snarkjs 來產生證明，對合約的 process 進行測試：

對合約來說， secret = 42 是完全不知情的，因此隱藏了秘密。

publicSignals

之前不太清楚 publicSignals 的用意，因此在這裡特別說明一下。

基本上在產生證明的同時，也會隨帶產生這個 circom 所有的 public 值，也就是 publicSignals，如下：

let { proof, publicSignals } = await groth16.fullProve(input, wasmPath, zkeyPath);

在我們的例子中 publicSignals 只有一個，就是 1770。

而 verifyProof 要輸入的參數除了 proof 之外，也要填入 public 值，簡單來說會是：

const isValid = verifyProof(proof, publicSignals);

問題來了，我們在設計應用邏輯時，當使用者要提交參數進行驗證的時候，publicSignals 會是由「使用者」填入嗎？或者是說，儘管是使用者填入，那它需不需要先經過檢查，才可以填入 verifyProof？

關鍵在於我們的合約上存有一筆資料：answer = 1770

回頭看合約上的 process 在進行 verifyProof 之前，必須要檢查 isAnswer(publicSignals[0])：

想想要是沒有檢查 isAnswer，這份合約會發生什麼事情？

我們的應用邏輯就會變得毫無意義，因為少了要驗證的答案，就只是完成計算 f(42) = 1770，那麼不論是 f(1) = 7 或 f(2) = 10，使用者都可以自己產生證明與結果，自己把 proof 和 publicSignals 填入 verifyProof 的參數中，都會通過驗證。

至此可以看出，ZKP 只有把「計算過程」抽離到鏈下的電路，計算後的結果仍需要與鏈上既有的資料進行比對與確認後，才能算是有效的應用 ZKP。

應用邏輯的開發

本文主要談到的是 zk-SNARKs 上層應用邏輯的開發，關於 ZKP 的底層邏輯如上述使用的 groth16 或其他如 plonk 是本文打算忽略掉的部分。

從上述的例子可以看到，即使我們努力用 circom 實作藏住 secret，但由於計算過程太過簡單，只有 f(x) = x**2+6，輕易就能從 answer 反推出我們的 secret 是 42，因此在應用邏輯的開發上，也必須注意 circom 的設計可能出了問題，導致私密訊息容易外洩，那儘管使用再強的 ZKP 底層邏輯，在應用邏輯上有漏洞，也沒辦法達到隱藏秘密的效果。

此外，在看 circom 的程式碼時，可以關注最後一個 template 的 private 與 public 值分別是什麼。以本文的 Calculator 為例，private 值有 secret，public 值有 out。

另外補充：

如果有個 signal input 但它不是 private input，就會被歸類為 public。

一個 circuit 至少會有一個 public，因為計算過程一定會有一個結果。

最後，在開發的過程中我會用 javascript 先實作計算過程，也可以順便產出 input.json，然後再用 circom 語言把計算過程實現，產生 proof 和 public 後，再去對照所有 public 值和 private 值，確認是不是符合電路計算後所要的結果，也就是比較 javascript 算出來的和 circom 算出來的一不一樣，如果不一樣就能確定程式碼是有 bug 的。

參考範例：https://github.com/chnejohnson/circom-playground

總結

本文的程式碼展現 ZKP 可以做到鏈下計算與隱藏秘密的功能，在真實專案中，可想而知電路的計算過程不會這麼單純。

會出現在真實專案中的計算像是 hash function，複雜一點會加入 Merkle Tree，或是電子簽章 EdDSA，於是就能產生更完整的應用如 Layer 2 擴容方案之一的 ZK Rollup，或是做到匿名交易的 Tornado Cash。

本文原始碼：https://github.com/chnejohnson/mini-zkp

下篇文章就來分享 Tornado Cash 是如何利用 ZKP 達成匿名交易的！

參考資料

概念介紹

Cryptography Playground

zk-SNARKs-Explainer

神奇的零知識證明！既能保守秘密，又讓別人信你！

認識零知識證明 — COSCUP 2019 | Youtube

應用零知識證明 — COSCUP 2020 | Youtube

ZK Rollup

動手實做零知識 — circom — Kimi

ZK-Rollup 开发经验分享 Part I — Fluidex

ZkRollup Tutorial

ZK Rollup & Optimistic Rollup — Kimi Wu | Medium

Circom

circom/TUTORIAL.md at master · iden3/circom · GitHub

ZKP Hello World

其他

深入瞭解 zk-SNARKs

瞭解神秘的 ZK-STARKs

zk-SNARKs和zk-STARKs解釋 | Binance Academy

[ZKP 讀書會] MACI

Semaphore

Zero-knowledge Virtual Machines, the Polaris License, and Vendor Lock-in | by Koh Wei Jie

Introduction & Evolution of ZK Ecosystem — YouTube

The Limitations of Privacy — Barry Whitehat — YouTube

Introduction to Zero Knowledge Proofs — Elena Nadolinski

ZKP 與智能合約的開發入門 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] 2019 台北以太坊社群回顧
✍️ Juin Chiu
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

很快地，2019 年過去了，台北以太坊社群（TEM）也滿 3 歲了，過去一年，TEM 完成了許多重大的里程碑：

舉辦台灣最大的區塊鏈技術研討會 Crosslink

主持台灣開源界最大的研討會 COSCUP 的區塊鏈議程

參加世界最大的區塊鏈技術研討會 DEVCON

Medium 專欄累積 30+ 篇優質文章

Youtube 頻道累積 50+ 個技術演講

在這篇文章中，我們首先來審視 2019 年以太坊取得重大進展的技術：以太坊2.0與零知識證明，接著再回顧 TEM 於 2019 的優質專欄文章。

*本文由 Juin Chiu 與 Chih-Cheng Liang 共同整理

以太坊重大進展

以太坊2.0的信標鏈

對一般大眾最重要最能吸收的事情大概是 Eth2.0 的信標鏈有測試網路了。透過儀表板網站 www.beaconcha.in 可以看見 Prysmatic Labs 團隊的測試網路的動態。細節很多，但本文就只談這張圖最上面有出現的東西。

在 Eth2.0 沒有挖礦和礦工了，取而代之的是抵押以太幣的驗證者（Validator）來成為資料的寫入者。因此也沒有「區塊時間」這個詞了，新協定以 12 秒為一個「時段」（Slot），信標鏈隨機分配驗證者在指定的時間點產出區塊。在 32 個時段的時間，稱為一個「時期」（Epoch），約 6.4 分鐘，信標鏈會處理驗證者的賞、罰、進、出。在儀表板的左上角可以看到 Epoch 與 Slot 的數字，代表距離最早最古老的區塊多久了。

要怎麼成為驗證者呢？首先要在以太坊 1.0 主網路的抵押合約上，送出一筆交易（在信標鏈測試網路則是送到 Goerli 測試網路）。這筆交易會註冊驗證者的公鑰，並且存入押金（在正式網路是 32 ETH ，測試網路則是 3.2 ETH）。送完之後就排隊等待信標鏈激活驗證者，驗證者就需要開始執行信標鏈分配的任務了。在畫面中間可以看到左邊是 27539 個活躍的驗證者，右邊則是有 4623 個排隊進入的。

在這種基於押金的網路，系統的威脅來自於攻擊者買通大量驗證者，送出矛盾訊息，致使於系統不同節點無法取得共識，鏈資料不可挽回的分叉為兩條。因此系統累積的總押金越多，代表攻擊者成本越高。畫面最右上角左邊即為總押金，右邊為平均一個驗證者的餘額。

假期間和親朋好友一起跑一個驗證者節點，是個活絡氣氛的好活動。要做到這件事，目前 Prysm 客戶端有最友善的介面，請點 連結。程式也用 Docker 包好了，免煩惱安裝。

也記得 Eth2.0 協定有 9 個團隊 用不同程式語言實作。例如：有 Python 語言的客戶端 Trinity ，以及 Rust 語言客戶端 Lighthouse。基本上不用擔心找不到自己喜歡的程式語言的實作。

零知識證明

2019 年，零知識證明的理論與應用也突飛猛進，Kimi Wu 剛好寫了一篇很棒的文獻調查。

前年底提出的 zk rollup，目前由 Matter Labs 在開發，Matter Labs更在上個月（2019/12）發表了 ZK Sync，解決了因為產生證明（proof）而延伸的延遲問題。

此外 Iden3 跟 ConsenSys 也有 zk rollup 的專案。在以太坊研究論壇有基於 zk rollup 的一個提案，是可以達到 匿名性的 zk rollup。

Semaphore是一個基於零知識證明的一個訊號系統，發送者可以不揭露身份的狀況下廣播任何訊息(an arbitrary string)。 Semaphorejs 延續 Semaphore 的核心概念，並將整個概念更加完整化，從前端網頁到後端服務。

這兩年才發表的 zk-STARKs，也在去年年初跟 0x 合作，推出基於 zk-STARKs 的 去中心化交易所。

在技術上，去年下半年有新的論文，使用 DARK compiler 可以讓 SNARKs 達到公開性（Transparent）。還有 MARLIN, SONIC, PLONK 等可通用且可更新的可信設定（trusted setup）。STARKs 的 FRI 驗證方式也默默地跟 SNARKs 做結合。（東西越來越多，根本看不完 QQ）

零知識證明在區塊鏈的重要用途就是「擴展」和「隱私」。技術上的進展，一般可以觀察證明方產出證明的時間、證明的資料大小、驗證方驗證的時間、需不需要可信設定、可信設定有什麼限制、以及抵抗量子電腦的能力。

社群專欄優質文章

Crossslink 2019

Crosslink 2019 Taiwan｜以太坊 2.0 的未來藍圖及挑戰

Crosslink Recap: Design pattern: build your first profitable DApp and smart contract

Private key security and protection / 私錀的安全與保護 — Tim Hsu

Crosslink 2019 Taiwan｜LibraBridge: 橋接 Libra 與 Ethereum

Aragon Fundraising：下一代的去中心化募資平台

The next generation Ethereum Virtual Machine — Ewasm VM

libp2p — 模組化的點對點網路協議

教學（Tutorial）

一分鐘做出自己的代幣購買App

Web3 Java 開發：用 Geth、Ganache 及 Infura 測試和 Smart Contract 互動

Let’s Capture The Flag! Etheruem CTF Tutorial 從零開始破解智能合約漏洞！

Your First Transaction on Facebook Libra — 動手玩 Libra

ELI5! 區塊鏈到底在幹嘛？

共識協定（Consensus）

Casper FFG：以實現權益證明為目標的共識協定

Casper FFG 與 Casper CBC 的瑜亮情結

若想搞懂區塊鏈就不能忽視的經典：PBFT

密碼學（Cryptography）

Ethereum RNG (RANDAO & VDF)

深入瞭解 zk-SNARKs

瞭解神秘的 ZK-STARKs

隱私性與匿名性（Privacy and Anonymity）

新一代加密貨幣Grin和MimbleWimble區塊鏈解析

Monero.門羅幣 隱匿交易的基礎介紹

隱私、區塊鏈與洋蔥路由

資料可得性（Data Availability）

Data Availability on Ethereum 2.0 Light Node

Fraud and Data Availability Proofs

點對點網路（p2p Network）

連Ethereum都在用！用一個例子徹底理解DHT

針對DHT的花式攻擊與精簡對策

智能合約（Smart Contract）

深入解析Solidity合約

Upgradable Smart Contracts using zos

Reason Why You Should Use EIP1167 Proxy Contract. (With Tutorial)

去中心化金融（DeFi）

DeFi 項目《Uniswap》完整解析（一）Uniswap 是什麼？

解析 DeFi 項目《Uniswap》（二）Uniswap 如何使用？

去中心化身份（DID）

我們與「身份自主」的距離

其他（Miscellaneous）

論言論自由

作為負債的控制

0x 黑客松 — 獲獎作品回顧與分析

技術解析台灣交易所BitoPro駭客攻擊

總結

2019 是個樸實無華但充實的一年，除了在底層技術方面有所進展，在應用方面，例如去中心化金融（DeFi）與去中心化身份（DID），也逐漸獲得大眾的興趣，期待 2020 年區塊鏈能為這世界帶來更多驚奇！

2019 台北以太坊社群回顧 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌