📜 [專欄新文章] Tornado Cash 實例解析

✍️ Johnson

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Tornado Cash 是一個使用 zk-SNARKs 建立的 Dapp，它實現了匿名的代幣交易，這篇文章就用一些程式碼片段，來分享它是怎麼運作的。

本文為 Tornado Cash 研究系列的 Part 3，本系列以 tornado-core 為教材，學習開發 ZKP 的應用，另兩篇為：

Part 1：Merkle Tree in JavaScript

Part 2：ZKP 與智能合約的開發入門

Special thanks to C.C. Liang for review and enlightenment.

我們知道在以太坊上的交易紀錄都是公開的，你可以在 etherscan 上看到某個地址的所有歷史交易紀錄，當然地址是合約的話也是一樣。

也許創建一個新的錢包和地址就好了？假設一個情境是 Alice 想要匿名傳送 1 ETH 給 Bob，Alice 原本的錢包是 A，但她不想讓 A 地址傳給 Bob 的交易紀錄被看到，所以 Alice 創建另一個錢包 B，顯然 B 錢包是空的，Alice 必須把 A 錢包的 1 ETH 傳到 B 錢包，再用 B 錢包的地址傳給 Bob。

但問題就在於，只要追蹤 B 錢包的地址，就能看到 B 的歷史交易紀錄中 A 錢包曾經打幣給 B 錢包，於是到頭來交易還是被追蹤到了。

Tornado Cash 的解決方案，簡單來說，它是一份合約，當你要匿名傳送代幣時，就把一定數量的幣丟進合約裡 (Deposit)，此時你會拿到一個 note，長得像這樣：

tornado-eth-0.1-5-0x3863c2e16abc85d72b64d78c68fca5936db2501832e26345226efdfb2bc45804977f167d86b711bb6b4095ddaa646ec93f0a93ac4884a66c1d881f4fc985

note 就是一串字串，擁有這字串的人，就能提領 (Withdraw) 剛剛傳入合約的代幣。握有 note 就代表擁有提款的權利，所以 note 一旦被別人知道，別人就可以把錢給提走。

其中，後面那段亂碼，本篇文章就以「秘密」來稱呼，這個秘密是由 secret 與 nullifier 組成，而這兩個都是在鏈下隨機產生的亂數。

因此 Tornado 的合約基本上會有兩個函式：

Deposit

Withdraw

有興趣的人可以先到 Dapp 上先玩一次看看，使用 Goerli 測試網，這裡可以領 Goerli 的代幣：https://goerli-faucet.slock.it/

Deposit

我們就從 Deposit 開始說起，簡單來說， Deposit 是將資料儲存到合約的 Merkle Tree 上。

剛剛提到的秘密，它是在鏈下產生，由 secret 跟 nullifier 組成，合在一起之後也稱作 preimage，因為我們要對這個 preimage 進行 hash，就會成為 commitment。

合約中 Deposit 如下：

deposit 除了傳送代幣到合約之外，需填入一個參數 _commitment。

我們對 preimage 使用 Pedersen 作為 hash function 加密後產生 commitment，以偽代碼表示如下：

const preimage = secret + nullifier;const commitment = pedersenHash(preimage);

這個 commitment 會成為 Merkle Tree 的葉子，所以合約中的 _insert(commitment) 來自 MerkleTreeWithHistory.sol 的合約，將我們的資料插入 Merkle Tree，然後回傳一個 index 給你，告訴你這個 commitment 在 Merkle Tree 上的位置，最後一起發布成公開的 Deposit 事件。

我們知道 MerkleTree 是將一大筆資料兩兩做雜湊後產生一個唯一值 root，這個 root 就是合約上所儲存的歷史資料。

root 的特性就是只要底下的資料一有更動，就會重新產生新的 root。

所以只要一有用戶 deposit ，就會插入新的葉子到 Merkle Tree 上，於是就會產生新的 root，所以在合約中有一個陣列是用來儲存所有的 root 的 roots：

bytes32[ROOT_HISTORY_SIZE] public roots;

roots 是用來紀錄每個 deposit 的歷史，每一次 deposit 都會創造新的 root，而所有 root 都會被儲存進 roots 裡，於是當你要提領的時候，就要證明你的 commitment 所算出的 root 曾經出現在 roots 裡，代表曾經有 deposit 的動作，因此才可以進行提領。

Withdraw

在 Deposit 之前 Tornado Cash 就會在鏈下產生秘密後交給使用者，擁有這個秘密的人等於擁有提款的權利。

提領的時候，秘密會在鏈下計算後產生 proof，proof 是 withdraw 需要的參數，所以只要確保這個 proof 能夠被驗證，那麼代幣的接收地址 (recipient) 就可以隨便我們填，只要不填上當初拿來 deposit 用的地址，基本上就做到匿名交易的效果了。

也就是說，產生這個 proof 並提交給合約，能夠證明此人知道秘密，但卻不告訴合約秘密本身是什麼。

function withdraw(bytes calldata _proof, bytes32 _root, bytes32 _nullifierHash, address payable _recipient, address payable _relayer, uint256 _fee, uint256 _refund) external payable nonReentrant;

我們可以清楚看到 withdraw 函式裡沒有接收有關秘密的任何資訊作為參數，也就是秘密不會與合約有所接觸，也不會暴露在 etherscan 上。

回顧 ZKP 所帶來的效果：

鏈下計算

隱藏秘密

在 Tornado Cash 的例子中，我們用秘密來產生證明，完成的鏈下計算包括：

將秘密 hash 成 commitment

算出 Merkle Tree 的 root。

以下是簡化後的 withdraw.circom：

template Withdraw(levels) { signal input root; signal input nullifierHash;

signal private input nullifier; signal private input secret; signal private input pathElements[levels]; signal private input pathIndices[levels];

component hasher = CommitmentHasher(); // Pedersen hasher.nullifier <== nullifier; hasher.secret <== secret; hasher.nullifierHash === nullifierHash;

component tree = MerkleTreeChecker(levels); // MiMC tree.leaf <== hasher.commitment; tree.root <== root; for (var i = 0; i < levels; i++) { tree.pathElements[i] <== pathElements[i]; tree.pathIndices[i] <== pathIndices[i]; }}

component main = Withdraw(20);

從上述代碼就可以看出這份 circuit 的 private 變數有：

secret

nullifier

pathElements

pathIndices

而 public 變數有：

root

nullifierHash

如同我們一開始說過的，秘密就是指 secret 與 nullifier。這裡進行的鏈下計算就是對 secret 與 nullifier 雜湊成 commitment。而使用的 hash function 叫做 Pedersen。

在進行 Merkle Tree 的計算之前，我們還檢查了 nullifier 雜湊後的 nullifierHash 跟 public 變數 nullifierHash 是不是一樣的。

hasher.nullifierHash === nullifierHash;

接下來，開始計算 Merkle Proof，用意是確認經過雜湊後的 commitment 有沒有出現在 Merkle Tree 上，所以我們的 private input 還有 pathElements 與 pathIndices（詳情參考 Part 1 Merkle Tree in JavaScript），讓它跑一趟 Merkle Proof 的計算，最後就能夠算出一個 root，再確認計算後的 root 與我們的 public 變數 root 是否一樣。

tree.root <== root;

於是我們就能產生一個 ZKP 的證明 — 證明 private 變數：secret, nullifier, pathElements, pathIndices 可以計算出 public 變數：root 與 nullifierHash。

把這個證明提交給合約，合約透過 Verifier 驗證 proof 是否正確，以及必須事先確認：

public 變數 root 有在合約的 roots 裡面。

public 變數 nullifierHash 在合約中是第一次出現。

以下附上完整的 withdraw 原始碼：

必須注意 ZKP 是向合約證明使用者填入的 secret 和 nullifier 可以計算出某個 root，但無法保證這個 root 曾經在合約的 roots 歷史上。

所以合約的 withdraw 中，除了 verifyProof 之外，還要事先檢查 ZKP 算出來的 root 是不是真的在歷史上發生過，所以需要 isKnownRoot 的檢查：

function isKnownRoot(bytes32 _root) public view returns(bool)

必須先檢查 isKnownRoot 後才能進行 verifyProof。

經過 verifyProof 驗證成功後，合約就開始進行提款的動作，也就會將代幣傳到 recipient 的地址，最後拋出 Withdrawal 的事件。

nullifier 與 nullifierHash

為什麼我們的秘密不是只有 secret 還要額外加一個 nullifier？

簡單來說，這是為了防止已經提領過的 note 又再提領一次，也就是所謂的 double spend。

require(!nullifierHashes[_nullifierHash], "The note has been already spent");

可以看到 withdraw 需要填入參數 nullifierHash，跟 isKnownRoot 一樣的狀況，我們需要對電路的 public 變數先經過一層檢查之後，才能帶入到 verifyProof 裡面。

nullifierHash 可以理解為這個 note 的 id，但它不會連結到 deposit，因此可以用來紀錄這個 note 是否已經被提領過。

所以當 verifyProof 驗證成功之後，我們要紀錄 nullifierHash 已完成提領：

nullifierHashes[_nullifierHash] = true;

有關為什麼需要事先檢查 public 變數後，才能帶入 verifyProof ，可以參考 Part 2：ZKP 與智能合約的開發入門 提到的 publicSignals 的部分。

附上 Tornado Cash 的架構圖：

簡化版的 tornado-core

tornado-core 的程式碼很簡潔漂亮，所以我模仿該專案自己實作一遍：

simple-tornado：https://github.com/chnejohnson/simple-tornado

這份專案只完成了 tornado-core 的核心部分，不一樣的是我的開發環境使用 hardhat 與 ethers 寫成，而 circom 與 snarkjs 使用官方當前的版本，合約用 0.7.0，測試使用 Typescript 。

比起兩年前的 tornado-core ，simple-tornado 使用的技術更新，可能更適合初學者理解這份專案，但是它有 bug…我在 issues 的地方有紀錄說明。

在開發的過程中，我的順序是先從最小單位的 MiMC hash function 開始玩，發現必須 javascript 算一次 hash、solidity 算一次、circom 再算一次，確保這三個語言對同一個值算出同樣的 hash 之後，才能放心去做更複雜的 Merkle Tree。

總結

我們可以看到 Tornado Cash 簡單的兩個函式：Deposit 與 Withdraw，透過將代幣送入合約後再提領到另一個地址的流程，應用 ZKP 達成匿名的交易。

除了斷開 Deposit 與 Withdraw 的地址關聯性之外，Tornado Cash 還有做了一層「藏樹於林」的隱私防護，這部份的解釋就請參考 ZKP 讀書會 Tornado Cash。

網路上很多關於 ZKP 的文章或專案都是在 2019 年後出產的，經過許多人對這項技術的嘗試，讓我們對 ZKP 有了更清晰的理解，如今兩年後，開發工具也變得更加成熟，期待未來在 web 隱私議題上能看到更多 ZKP 大放異彩的應用。

原始碼

tornado-core

simple-tornado

參考資料

ZKP 讀書會 Tornado Cash

Tornado Privacy Solution Cryptographic Review

Tornado Cash 實例解析 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] 2021 區塊鏈開發入門
✍️ Johnson Chen
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

在我大學的時候，除了學習網頁前端之外，因為課程報告的需要接觸到以太坊(Ethereum)，於是開始學寫智能合約，包括它使用的程式語言 solidity。

工作以後鮮少再碰以太坊的相關技術，直到最近想重新把以太坊學起來，故而決定寫這篇文章，讓初次接觸區塊鏈與智能合約的人更好地進入開發者的世界。這篇文章不只面向開發者，同時也希望能夠給對區塊鏈有興趣的人，指引一條清晰的學習路線。

關於區塊鏈

區塊鏈會被廣為人知，無非是因為虛擬貨幣的出現，而虛擬貨幣的鼻祖就是比特幣。在比特幣出現以前，沒有一個能夠在全球網路上通用的數位貨幣；在比特幣出現之後，才真的實現了數位化的貨幣，能夠在全球網路上流通。

這樣的技術性突破，blockchain 的名字從比特幣白皮書中被萃取出來，而這項技術也被更多人拿去做研發以及創新。

區塊鏈這項技術的特性可以簡單概括為兩點：去中心化(decentralized)與不可竄改(immutable)。去中心化有程度上的差別，在公共網路上由世界各地的節點共同維護的區塊鏈，去中心化程度較高；相較之下，私人企業開發由特定節點來驗證交易的區塊鏈，去中心化程度較低。

為什麼是以太坊？

這年頭區塊鏈三個字大行其道，大部分都是為區塊鏈而區塊鏈的商業炒作。容許我獨斷地說，以太坊才是區塊鏈應用的大門。

以太坊由全球最大的區塊鏈社群組成，提供一個去中心化的虛擬機器（Ethereum Virtual Machine）來處理「智能合約」，它是一個公共的區塊鏈平台，逛逛以太坊的官網吧！

智能合約

在以太坊區塊鏈中有所謂的智能合約，智能合約能夠部屬到以太坊區塊鏈上，合約即程式碼，放到區塊鏈上就不能再更新，只能執行合約上的程式，持有以太幣的人能夠與合約進行交易。把智能合約想像成是一台自動販賣機，把錢(以太幣)投進去，飲料會掉出來(合約上的程式會被執行)。

在現實生活中，簽訂合約的雙方認為合約有效而且可以被信任，是因為有國家法律來保障，違反合約可能會受到法律制裁；而用以太幣與智能合約互動，認為智能合約可以被信任，是因為智能合約的不可竄改性 — 以太坊虛擬機會毫無偏袒、完全中立、冰冷不帶任何感情地執行智能合約上已經寫好的程式碼。

建立在智能合約之上的虛擬貨幣

事實上，以太坊擴大了區塊鏈這項技術的應用層面。回頭想想，比特幣來自區塊鏈技術，某個人若想打造一款同比特幣一樣的虛擬貨幣，就得模仿比特幣去建造一個自己的虛擬貨幣區塊鏈，一個區塊鏈網路要能夠有效運作並非易事，還需要節點、需要靠人挖礦去驗證交易。此時，若使用以太坊的智能合約，撰寫虛擬貨幣需要的程式碼，將合約部屬到以太坊區塊鏈上，叮咚！他就可以發行自己的虛擬貨幣，根本不必再去建造底層的區塊鏈，也不用想挖不挖礦了。

此時會發現以太坊就像是一個區塊鏈平台，你不需要親手打造區塊鏈網路，即可享有區塊鏈去中心化與不可竄改的特性。與其他智能合約的開發者共同使用以太坊虛擬機 EVM(Ethereum Virtual Machine)，在 EVM 上部屬無上限個智能合約。

以太坊是一項基礎建設，底層區塊鏈幫你架設好，開發者便有更多時間去發想應用到網頁、手機、或物連網設備上，以下是一段簡單的智能合約，該合約創造了一個虛擬貨幣簡稱 MAT…

直接進入開發領域 — 線上編輯器 Remix

Remix 是開發智能合約的線上編輯器，進入Remix官網，點選 Create New File 以後，把上方程式碼複製貼上。在左側欄位中有 solidity compiler 的選項，確認一下左側欄第一列顯示的版本，調成 0.7.0 (上方程式碼使用的版本)，就可以按下下方 compile 的按鈕，將智能合約「編譯」成 bytecode（給機器讀的語言）。

接著我們要部屬合約到區塊鏈上，首先到左側欄位點選 DEPLOY & RUN TRANSACTIONS 的選項，可以看到環境是 javascript VM，這是指現在要部屬到的測試用虛擬機。按下下方的按鈕 Deploy 即可將合約「部屬」到 javascript VM 上。成功部屬後，你會發現 ACCOUNT 所持有的以太幣，從 100 變成 99.9999…，我們得知部屬智能合約需要花費一點點以太幣。

左側下方會有 Deployed Contracts，點開來就會列出合約上可供呼叫的函式，點那些函式就能與剛剛部屬上去的智能合約進行互動了。

有些函式呼叫會引發交易，所以需要以太幣，有些則不用。在 ACCOUNT 的地方可以展開來，它提供許多的地址 (address)，也就是錢包，每個錢包裡面預設給你 100 顆以太幣，試著用那些地址去操作智能合約，你就能慢慢體會什麼是建立在以太坊之上的虛擬貨幣了。

真正的開發者世界

實際上開發智能合約只能算是以太坊開發的其中一部分，其他包括以太坊區塊鏈擴容方案、節點驗證等等又是另一個開發領域了，那部份我就沒有研究太多。而智能合約的開發是比較接近應用層面的，透過網頁前端或手機應用程式，與智能合約進行互動，稱作 Dapp(Decentralized App) 的開發，也象徵著網際網路走向 web3.0 的時代。

學習 solidity 語言，除了看硬生生的官方文件之外，我推薦去玩cryptozombies，我本身就是從這款網頁遊戲中學習這門語言，聽說是連小孩子都能輕易學習的教材。

除了學 solidity 之外，網路上還有很多方便的開發工具，開發者主要是運用這些工具做測試、自動化部屬、串接前端等等。許多網路上的教學文章會使用 Truffle + Ganache + web3.js 來建置開發環境。但我在這裡推薦另一款開發環境的架構，如果是新手直接從 hardhat 開始也是非常適合的，hardhat 的教學文章寫得清楚完整，本篇文章使用的程式碼也是從 hardhat-hackathon-boilerplate 這個專案而來。hardhat 使用的開發環境是 Waffle + Hardhat + ethers，它幫你把開發環境處理的簡單又舒服，讓開發者可以專注在開發智能合約上。

OpenZeppelin 是很有名的智能合約套件庫，開發時可以引入它的智能合約。智能合約很講究安全性，稍微沒寫好就可能被駭客鑽漏洞，虛擬貨幣就被盜走了！OpenZeppelin 提供的 SafeMath 很常被引入到專案，對新手來說看 OpenZeppelin 的合約也是很好的學習管道。此外，官方也建了一個學習網站ethernaut，主要在教導如何寫出安全性夠強的智能合約，可惜網站在我寫這篇文章的時間一直處於維修不能用的狀態。

最後再介紹一款實際上線的智能合約專案：Argent。它是一款運用智能合約來做虛擬貨幣錢包的公司，除了使用他們的錢包之外，也可以看看他們的智能合約是怎麼寫的，感受一下專業的程式碼架構與寫法。

小結

這篇文章希望能幫助到想了解區塊鏈這項技術的人，同時也想呈現一個智能合約的開發生態系，你大可以不必花太多力氣去了解密碼學、挖礦、節點、共識機制等等五花八門的專有名詞；反之，你可以專注在智能合約的開發，或回到本質去思考去中心化的用意、以及為什麼不可竄改的特性那麼重要。

智能合約除了做虛擬貨幣之外，也能夠做投票系統，原本以貨幣為起始點的區塊鏈技術，是智能合約的出現擴大了區塊鏈更具彈性的用途，這圈子需要更多的開發者來探勘這片新大陸。

尤其鼓勵人文社會科學的人才，無論是哲學、政治、經濟、法律或社會等各方領域，試著撇開人工智慧將主導未來社會的發展路線，與之截然不同的另一種形式：人類社會能否依靠科技的力量，促成彼此之間的合作，創造更有效率的市場、更公平的治理方式？

延伸閱讀：激進市場（Radical Markets: Uprooting Capitalism and Democracy for a Just Society）

2021 區塊鏈開發入門 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] Uniswap 解析：恆定乘積做市商模型 Constant Product Market Maker Model 的 Vyper 實作
✍️ 田少谷 Shao
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

在 🦄 Uniswap v2 到來之前徹底了解 v1 的設計與演算法！

Image source: https://uniswap.org/

Outline

一. 前言二. 恆定乘積做市商模型 Constant Product Market Maker Model 1. 計入手續費 2. 程式碼結構 3. 演算法核心與實作 4. 段落小結三. 流動性 Liquidity 1. 第一筆流動性注入、決定k值 2. 除了第一筆以外的情況四. 結語

一. 前言

暨上一篇開始接觸了 Vyper 後，我找了 Uniswap 的程式碼來更加熟悉 Vyper 的實作方法，順便研究了其演算法，然後就又寫了一篇 xD

類 Python 的合約語言 Vyper 開發入門：與 Solidity 差異、用 Truffle 部署、ERC20 賣幣合約實做

Uniswap 是以太坊上非常成功的自動做市商 Automated Market Maker (AMM)。本次我將用的 Uniswap 的程式碼搭配由 Runtime Verification 這家審計公司對 Uniswap 所做的形式化驗證結果來解釋恆定乘積做市商模型的 Vyper 實作 (2018 審計時 Uniswap 就已經是用 Vyper 而非 Solidity 了)：

智能合約程式碼：https://github.com/Uniswap/uniswap-v1/blob/master/contracts/uniswap_exchange.vy

合約審計結果：https://github.com/runtimeverification/verified-smart-contracts/blob/master/uniswap/x-y-k.pdf

本文將以講解實作概念及數學推導為重點，程式碼的部分只是輔助。審計結果將恆定乘積做市商模型演算法的數學推導寫得非常清楚而有趣(?)，建議有興趣者可以整份看過一遍，相信得到很多收穫！

至於更多 Uniswap 的介紹有興趣者可以參考 吳冠融 Roger Wu 所撰寫的簡介與使用流程：

解析 DeFi 項目《Uniswap》（一）Uniswap 是什麼？

解析 DeFi 項目《Uniswap》（二）Uniswap 如何使用？

在開始前的最後，先預告本文頗長，所以來播個被 Youtube 推薦的歌吧：

二. 恆定乘積做市商模型 Constant Product Market Maker Model

交易所如果要去中心化、也不使用掛單 order book，就需要靠演算法自動算出交易標的的數量與價格，而 Uniswap 使用名為恆定乘積的演算法，其來源可追溯自 Vitalik 的這篇文章：點我。

公式非常的簡單：x * y = k。令交易的兩虛擬貨幣為 X 和 Y，各自數量為 x 和 y，兩貨幣數量的乘積 x * y 恆等於 k，k 值是由第一筆注入的流動性所決定 (於 三. 流動性 Liquidity 解釋)。

因此，用 ∆x 數量的 X 幣來購買 Y 幣所能得到的數量 ∆y、或是為了購買 ∆y 需要付出的 ∆x 數量，依照此公式進行計算：(x+∆x)(y-∆y) = k，而交易的價格就是兩幣量 ∆x 和 ∆y 的比。

以下公式用 α = ∆x / x 和 β = ∆y / y 來表示 ∆x 和 ∆y 及 X Y 兩幣在交易發生後的新均衡數量：

圖一

1. 計入手續費

在 Uniswap 進行的每一筆交易都會被收取 ρ = 0.003 / 0.3% 的手續費回饋給流動性提供者 liquidity provider ，因此要將手續費納入公式的考量：

圖二

上圖的公式或許不太直覺，我建議不要從 x’ρ 及 y’ρ 開始理解，而是從 ∆x 和 ∆y 兩值開始：手續費 ρ = 0.3% 的意思是會從付款中扣掉 0.3 %，也就是從 ∆x 扣。在有手續費的情況下 ∆x 就變成了 (1-ρ)∆x ，若令 γ = 1-ρ 則為 γ∆x。因此，將圖一中的 ∆x 換成 γ∆x，就會得到以下式子：

source: https://www.codecogs.com/latex/eqneditor.php

將等號左方的 γ 移到右方後就得到了圖二中的 ∆x。同理，由於 ∆y 中的 α = ∆x / x ，用 γ∆x 代換 ∆x 就會得到圖二中的 ∆y (有 α 的地方乘上 γ )。而 x’ 還有 y’ 就可以由 ∆x 和 ∆y 推出來了！

然而，將圖二中得到的 x’ 和 y’ 相乘，會得到：

source: https://www.codecogs.com/latex/eqneditor.php

也就是說，當有手續費使得 γ != 1 /ρ != 0，x’ρ * y’ρ 的值其實會稍微和 xy = k 不同：在實作上 γ = 0.997 / ρ = 0.003，因此 1/γ-1 ≒ 0.003。β = ∆y / y 代表的是換得的 Y 幣佔總量的比例，即使最大值為 1，誤差也只有 1 * 0.003，故可知手續費 = 0.3% 對於 k 值的影響極小。

2. 程式碼結構

了解了基本的公式後，就可以開始研究程式碼是怎麼撰寫的。首先來看各個函式的功能：

addLiquidity() 及 removeLiquidity()：轉入與轉出資金，留到 三. 流動性 Liquidity 中說明

getInputPrice() 及 getOutputPrice()：最主要的函式，用以計算給 ∆x 所能換得的 ∆y 數量、以及為了得到 ∆y 所要支付 ∆x 的數量。此兩函式會被其他負責進行交易、匯幣的函式使用

三組 (eth->Token, Token->eth, Token->Token) 的 swap() 及 transfer()：swap() 的收幣人就是付款人、transfer() 的收幣人不是付款人而是指定的對象。基本上這兩函式就是呼叫 getInputPrice() 或是 getOutputPrice() 後進行匯幣的動作，因此不再多做解釋

3. 演算法核心與實作

在研讀程式碼前，先回顧一下 ∆x 和 ∆y 的公式：

首先我們考慮用 ∆x 所能購買到的 ∆y 的 getInputPrice()：

什麼…就這幾行程式碼？是的。

以上的程式碼和公式表達方式不同，因此先將 α = ∆x / x 和 β = ∆y / y 代換回來並將上下同乘 x：

source: https://www.codecogs.com/latex/eqneditor.php

由於 γ = 0.003，可以將上下同乘 1000 後得到：

source: https://www.codecogs.com/latex/eqneditor.php

接著就能來對照程式碼了：

(109行) numerator: input_amount 是欲支付的 X 幣數量 ∆x、output_reserve 是 Y 幣數量 y，再乘上 997 後就是等式右邊的上方 (= 997∆xy)

(110行) denominator: input_reserve 是 X 幣的數量，乘上 1000 再加上剛剛算過的 997∆x，就得到了等式右邊的下方 (= 1000x + 997∆x)

此處要注意的是 Vyper 的除法是無條件捨去，等同於 floor() 函式。這會不會造成嚴重的影響呢？如果熟悉 ERC20 的人應該記得，在發幣時輸入的四個參數中有一個參數代表小數點的位數，如同下方程式碼中的 2 代表最後兩位在小數點後。舉例來說，當 getInputPrice() 收到 1234567 為這個幣的 input_amount 時，代表使用者擁有的幣的數目實際上是 12345.67。因此，即使將結果捨去 0.67 後的數字，影響真的不大，況且如果不捨去而選擇無條件進位，那代表交易所反而要虧損一點點啦，太佛心了吧 xD 有興趣者可以看看審計報告的內容，有更詳細地去定義這些誤差所影響的範圍！

再來我們看若要購買 ∆y 需要付出多少 ∆x 的 getOutputPrice()。

一樣先將 α = ∆x / x 、β = ∆y / y 和 γ = 0.003 代換並上下同乘 1000y 得到：

source: https://www.codecogs.com/latex/eqneditor.php

我們已經看過 getInputPrice() 一次了，所以應該能發現第 122–124 行得出的結果和上式相同。要注意的是這邊的結果反而是無條件捨去後直接 +1，因為這是在計算使用者要付多少 ∆x 才能購買到 ∆y，為了不讓交易所虧只能選擇請使用者多付一點點。

4. 段落小結

以上就是撇除匯幣等函示，恆定乘積做市商的 Vyper 實作，沒錯就這樣而已！Uniswap 之所以可以做到低 gas 消耗就是因為這個演算法本身就非常簡單，所需的運算也就是兩三次乘除法而已！

不過我們還沒結束，接下來要談談如何投入資金/注入流動性，而這部分也包含了決定 k 值的精妙機制！

三. 流動性 Liquidity

流動性指的是交易市場中能夠交易的資金/標的物的量。使用自動做市商 (AMM) 而非掛單的最大好處就是市場一定會有流動性，而缺點就是如果交易量越大就會造成越大的滑點 Slippage，意思就是交易價格變動會越大、得到的價格越差 。

source: https://ethresear.ch/t/improving-front-running-resistance-of-x-y-k-market-makers/1281

我們可以用上面提到的 V 文章中的圖片來迅速帶過，畢竟有關注 Uniswap 的讀者大概都已經看過這圖很多次了。

當要兌換的幣的數量越大/占比越重，例如：20% Y 幣的流動性，就會造成要付出比兌換少量時極為不對稱的高額 X 幣。

接著我們要來探討注入流動性的原則，依照市場是否已經有流動性而區分為兩種情形：

1. 第一筆流動性注入、決定 k 值

以下程式碼是 addLiquidity() 函式中 46-48, 51, 及 64-74 行。當市場上還沒有任何流動性時，不會滿足第 51 行而是進入 64 行的 else。

在第 65 行我們可以看到 msg.value ≥ 10¹⁰，以及在 67 行 token_amount 就是其中一個輸入值 max_tokens。這邊代表的是第一個注入流動性的使用者可以自行決定要注入多少 Ether (≥ 10¹⁰) (= x) 以及相應的幣的數量 (= y)，也就是上方提到的 k 值 (= x* y)，在本例的 X 幣就是 Ether。(本處先不解釋剩餘的程式碼，留到 2. 除了第一筆以外的情況)

那麼問題來了：第一個注入流動性的人要怎麼決定提供各自多少的兩種幣呢？最好的辦法是依照當時兩幣的市價比，讓兩者的價值 (數量 * 價格) 相同，例如：當 1 Ether 的價格為 100 Dai，注入 1 Ether 以及 100 Dai 是最好的，因為兩種幣的總價值是一樣的，以下舉例說明原因。

當 1 Ether 市價為 100 Dai 時，假設第一人決定注入 1 Ether 和 50 Dai (k = 50)，總價值為 150 Dai，我們考慮兩種兌換方法：

Ether -> Dai：用 0.1 Ether 來購買 Dai，依照上方公式 (1+0.1)(50-y) = 50 可得 y ≒ 4.55，也就是說得到的價格是 0.1 Ether = 4.55 Dai，遠低於市價 0.1 Ether = 10 Dai，相信沒有人這麼傻~

Dai -> Ether：用 2 Dai 來購買 Ether，依照上方公式 (1-x)(50+2) = 50 可得 x ≒ 0.038，也就是說得到的價格是 2 Dai = 0.038 Ether，高於市價 2 Dai = 0.02 Ether，那麼眼尖的人就會立刻衝來套利了xD

那麼即使如此，第一人有所損失嗎？當然有！假設路人 A 手上有 30 Dai (= 0.3 Ether)，A 看到機會後就把 30 Dai 全換成 Ether：(1-x)(50+30) = 50 可得 x = 0.375，大於原本持有的 Dai 的價值 0.3 Ether。此時，第一人即使立刻抽出現存的全部資金 Ether = 0.625 及 Dai = 80，總價值也只剩下 142.5 Dai，比起原本的 150 Dai 還少。以上的計算還有手續費沒有納入考量，但也只有 30 Dai 的 0.3% = 0.09 Dai。

由上例可知，第一位提供流動性的人為了避免自己的損失，確實得依照當時兩幣的市價比去提供相應的數量。傑克，這真是太神奇了0…0

2. 除了第一筆以外的情況

如果市場已經有流動性，使用 addLiquidity() 來注入流動性就會進入第 51 行的 if。

source: https://github.com/Uniswap/uniswap-v1/blob/master/contracts/uniswap_exchange.vy

(53行) eth_reserve: 由於使用者已經透過函式 addLiquidity() 將錢匯入了合約，因此將合約所擁有的 Ether 數量 self.balance (= x + ∆x) 減去使用者匯入的錢 msg.value (= ∆x)，得到使用者匯錢之前合約內所擁有的 Ether 數量 (= x)

(54行) token_reserve: self.token 是一個餵入幣地址的 ERC20 instance；透過呼叫 ERC20 的函式 balanceOf() 即可查出合約所擁有的 Y 幣的數量 (= y)

(55行) token_amount: 透過將合約所擁有的 Y 幣的數量 token_reserve (= y) 乘上使用者匯入的錢 msg.value (= ∆x) 對合約原本擁有的Ether 數量 eth_reserve (= x) 的比例，代表使用者應該相應地注入多少 Y 幣 (∆y = y * ∆x / x)。除法一樣是無條件捨去

(56行) liquidity_minted: 將原本交易所中的總流動性 total_liquidity 乘上增加的比率 msg.value / eth_reserve (= ∆x / x) ，代表增加的流動性，隨後會在第 58 行記錄下來

(60行) transferFrom() 函式將使用者應付的 Y 幣數量 token_amount (= ∆y) 匯入當前合約，就完成了流動性的注入。小提示：智能合約中的 assert() 會確保函式內的條件如果失敗就整筆交易 transaction 直接取消，因此只要傳入的參數已經被計算好，於 60 行再進行 transferFrom() 其實與放在前面並沒有太大的差別

以上就是注入流動性的大致實作內容。取出資金 removeLiquidity() 其實與 addLiquidity() 的做法大同小異，因此就不再贅述。

四. 結語

呼，真的累。恆定乘積做市商模型的概念雖然簡單，但解釋起來還是挺複雜的！其實本文並未著墨於審計報告中的主要議題：評估因為整數除法 (不使用浮點數) 而造成的誤差範圍，因為講起來非常複雜、也不是真的這麼需要知道。不過，恰巧就是這些程式碼的細節有可能讓程式產生預期之外的結果！因此，對於有興趣了解該如何去分析智能合約整數除法的讀者，可以研究一下；而 Uniswap 的程式碼因為是用 Vyper 實作，可讀性非常高、同時也不難，因此也非常值得打開來看看、甚至動手實作自己的版本！

最後，如果本文有任何錯誤，請不吝提出，我會盡快做修正；而如果我的文章有幫助到你，可以看看我的其他文章，歡迎一起交流 :)

田少谷 Shao - Medium

Uniswap 解析：恆定乘積做市商模型 Constant Product Market Maker Model 的 Vyper 實作 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌