【升級過後的 ETH2.0 代表著什麼？】
除了今年備受矚目的以太坊柏林升級以及 EIP-1559 提案之外，以太坊 2.0 的重大升級也是許多人一直以來引頸期盼的重點👀

究竟 ETH 2.0 升級代表著什麼呢？整體區塊鏈產業又有可能會有什麼樣的影響，讓幣研來告訴你

#cryptonewbie #cryptoanalysis #eth2.0

🟡 以太坊2.0的改進主要有以下重點

- 以太坊支援 Solidity 以外的程式語言做開發
- 透過分片技術大大提高交易速率
- 共識機制由工作量證明（PoW 轉為 PoS)

今年以太坊的柏林、倫敦以及預計十月分登場的上海硬分叉都是為了讓以太坊能夠進入2.0階段的預備措施，最終以太坊會進入代號「寧靜」（Serenity）的發展階段

以太坊2.0 的升級過程不是慢慢推進更新而成的，而是先把以太坊 2.0 的信標鏈建構好，再將以太坊1.0、2.0 合併而成

🟡 以太坊從 1.0 升級到 2.0 主要會經歷三大階段：

1. 信標鏈主網（Beacon Chain）：於 2020 年 12 月 1 日上線
2. 對接（The merge）：2021 年底
3. 分片鏈（Shard chains）2022 年

🟡 以太坊2.0 能夠解決什麼問題

- 進一步解決先前規模性的問題（scalability），提升整體運作效能
- 降低礦工門檻，只要質押32 ETH 就能夠成為驗證節點，使整體區塊鏈網路更加去中心化
- 同時提升安全性，因為驗證者違規將有可能失去抵押的以太幣

目前抵押於2.0智能合約的以太幣超過750萬枚，佔以太幣總流通量6.5%以上

雖然我們不能確定以太坊2.0 什麼時候才能升級完成，除了技術開發之外，也需要透過經濟手段迫使礦工逐漸轉往 PoS 模式，但是不管是在鏈上的運作效率以及整體的通縮手段上都有非常大的轉變，日後的推進必然也會是整體幣圈的焦點
-------------------------------------------------------------
🥳Avalanche 香港交流群上線了！🥳
想知道AVAX最新空投幣、AMA等市場動態及最新優惠？立刻加入 Avalanche 香港交流群，與一眾用家互相討論見解，Desmond也會不定期在這裡優先分享DeFi生態的項目分析，不想錯過的話就按這裡加入
👉🏻https://bit.ly/3hksa7z

【Bybit 獨家開戶優惠🎉】
新用戶幣研獨家優惠，只要充值1000USDT即可獲取高達125 USD體驗金（優惠碼【21515】）
註冊及入金教學👉🏻：https://bit.ly/3DPMY0e

「每日幣研｜幣市分析&最新優惠」TG Channel 🔍
想了解更多加密貨幣最新市場資訊及優惠的話，歡迎追蹤我們「每日幣研｜幣市分析&最新優惠」TG Channel，我們會在群內發佈幣圈第一手消息及分享投資小技巧！馬上加入頻道和我們一起發掘幣圈隱藏商機吧！
立即加入頻道👉🏻：https://bit.ly/2YzVK2p

📜 [專欄新文章] [zkp 讀書會] Cairo 語言介紹

✍️ NIC Lin

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Cairo 是 STARK 證明系統的其中一個編程語言，讓開發者能透過 Cairo 來使用 STARK，撰寫效能更高的 Dapp

Photo by Simon Berger on Unsplash

Warning：本篇會保持在 high level 的介紹，實際深入的部分請見文內附上的文檔或是官方開發者文件

背景介紹

建構於密碼學的零知識證明能提供計算的隱私性，但同時在區塊鏈生態系也被用來提升 Scalability — 我可以用 10 秒的運算資源來驗證原本耗費 1000 秒運算資源的計算過程

如同更多人熟悉的 SNARK，STARK 也是一個零知識證明的證明系統，但當前的 STARK 著重的是在 Scalability ，而非大家比較習以為常零知識證明提供的隱私性特質

其實目前基於 SNARK 的 Rollup 項目，例如 zkSync、Loopring、Aztec、zkopru，除了 Aztec 外，其他都是利用 SNARK 來增加 Scalability — 這些 Rollup 上資料都還是公開、沒有隱私性的

StarkWare 是目前唯一基於 STARK 的開發團隊

STARK 要加上隱私保護不會太難，只是 StarkWare 還沒有把這項功能放在未來規劃中

Cairo 簡介

標榜為圖靈完備的零知識證明系統語言，Cairo 對原本熟悉 Solidity 的開發者來說還是會感到比較難上手和陌生的。再加上套件庫還不夠充足，目前支援的雜湊函式是 Pedersen，數位簽章演算法是 ECDSA（相對於 SNARK，EdDSA 的效能反而比較差所以沒有支援）。
但 Cairo 還在早期開發的階段，相信開發體驗會越來越好的。

另外需要注意的是作為一個證明系統，會有 Prover 和 Verifier 的角色。而 STARK 的 Verifier 是公開的，但 Prover 軟體預計會有 License 保護。Prover 一般情況下不得用於商業用途，除非將 proof 上傳至官方的 Verifier。

最後要提及的是，第一版的 Cairo 是設計來方便開發者將 Dapp 的運算遷移至鏈下。不同於 Rollup，這個鏈下只會有它自己一個 Dapp。這個 Dapp 的項目方自己維護自己 Dapp 的 state。（ Rollup 則是 operator 維護所有 Dapp 的 state，Dapp 開發者不需自己操煩）
這可能有點難懂。如果你有在寫 Solidity，想像一下今天你在合約要用到合約裡宣告的 storage 變數時，你要自己提供 merkle proof 上來，證明這個storage 變數真的是這個值。這個就是開發者要自己維護 state 的意思。

而第二版的 Cairo 則是 StarkNet 裡使用的 Cairo（第一和第二版是不同編譯器），這版的 Cairo 就是作為 Dapp 在 Rollup 開發所使用 — 開發者可以在合約裡宣告變數，變數的值不需開發者維護，可以直接假設存在。
註1：StarkWare 不喜歡 Rollup 這個詞，他們覺得 Data Availability 的需求是一段光譜：不一定得要把 data 全都送上 L1，中間有其他方式可以做不同層級的 Data Availability。
註2：第一版和第二版實際上在官方版本裡是 0.0.1 及 0.0.2，在撰文當前最新版即是 0.0.2

官方網站：https://www.cairo-lang.org
開發者文件：https://www.cairo-lang.org/docs/

開發環境

Cairo 有提供像是 Remix 的瀏覽器 IDE：playground。裡面提供各種範例練習和挑戰，除了可以編譯，還可以直接生成並上傳 proof。
註：但有些功能還是沒辦法在 playground 裡使用，例如要給你的程式 custom input 時。這時候只能在本地端開發才能使用這個功能。

開發 Cairo 要先安裝python，我將開發者文件整理出來的資料統整在這個 hackmd 文檔裡：https://hackmd.io/w690dpAQTsKeKZv3oikzTQ
裡面包含簡介、設置本地開發環境以及 Cairo 基礎（因為篇幅原因，所以不將內容複製到這裡）
註：我把開發者文件裡的代碼整理到這裡：https://github.com/NIC619/cairo_practice/tree/master/practices
如果不想在研究開發者文件過程中，還要自己手動拼湊裡面例子的話，可以直接用整理好的代碼來執行。同時 repo 裡還有包含一些額外自己測試 Cairo 功能的範例。

深入 Cairo

在那份 hackmd 文檔裡的開頭，可以連結到第二部分 — 深入 Cairo 的部分。裡面也是從開發者文件裡擷取出來我覺得比較重要的部分。如果你要讀開發者文件的話，我建議從 Hello Cairo 開始，它會從例子切入，會比較好知道 Cairo 怎麼使用。接著如果要更深入了解，再去讀 How Cairo Works。

StarkNet Cairo

第二版的 Cairo 其實功能和第一版的 Cairo 是差不多的，所以不必擔心在開發者文件裡學到的 Cairo 在 StarkNet 版本會不能用或差很多。在讀完 Hello Cairo/How Cairo works 後，就可以接著看 Hello StarkNet。會很順利的切換到 StarkNet 版本的 Cairo。
註1：我整理的文檔裡是按照第一版 Cairo 所寫的
註2：如果你從開發者文件一路看下來，體驗過非 StarkNet 版的 Cairo，那你在體驗 StarkNet 版的 Cairo 時一定會發現這更像一般智能合約的使用方式 — 你可以用 view 函式查詢 storage 變數，可以用 external 函式去執行合約（非 StarkNet 版本不是這樣操作 Dapp 的，這邊因為篇幅原因沒有詳細介紹）。

非常建議嘗試兩種版本的 Cairo，你會知道 1. 操作一個單獨在 L2 的 Dapp 和2. 操作與其他 Dapp 共存在 Rollup 上的 Dapp 的不同。這對了解 L2 怎麼運行、需要哪些資料、為什麼需要這些資料非常有幫助。

0.0.2 版的 StarkNet Cairo 目前還缺少一些功能：

函式還沒辦法宣告陣列或 struct 型態的參數

合約和合約之間還沒辦法互動

L1 沒有辦法讀取到 L2 的資料，L2 也沒辦法讀取到 L1 的資料。如果要建立跨 L2 Bridge，這個功能非常重要。

補充及個人心得

STARK 的 proof size 相比於 SNARK 系列的 proof size 大很多，又其證明所包含的交易數量對 proof size 和驗證時間的影響不大，所以把很多筆交易一併做一個 proof 會是對 STARK 非常有利、節省成本的方式（SNARK、STARK 比較表）。但這同時也是一個缺點，如果你的 Dapp 或 Rollup 的 TPS 不高，那就只能等更久時間搜集多一點的交易，要不然就只能提高成本來維持驗證 proof 的頻率。

StarkWare和 zkSync 一樣都有 Rollup 宇宙的概念（ Rollup 宇宙的用詞並不精確，因為在他們的宇宙中不會所有子鏈都是 Rollup，而是會有依照 Data Availability 程度不同所區分的子鏈，像是 Validium、zk Porter 的設計），個人覺得能夠有（針對 Data Availability 程度的）選擇是會比只有一個選擇（完全 Data Available） 還好的方式，但實際上的可行性就要等其團隊釋出更多的資訊。

在 Rollup 越趨成熟的情況下，能夠提供快速跨 Rollup 服務的流動性提供者的角色會越來越重要。zk Rollup（StarkNet、zkSync、etc…）比 Optimistic Rollup （Optimism、Arbitrum、etc…）有著短上許多的 finalize 時間，這對降低流動性提供者的風險有很大的幫助，但目前 zk Rollup 支援合約功能甚至 L1 <-> L2 互動的完成度都比 Optimistic Rollup 還低上許多。短期內快速跨 Rollup 的服務應該還是侷限在 Optimitic Rollup 之間。

abbrev

[zkp 讀書會] Cairo 語言介紹 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] Tornado Cash 實例解析

✍️ Johnson

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Tornado Cash 是一個使用 zk-SNARKs 建立的 Dapp，它實現了匿名的代幣交易，這篇文章就用一些程式碼片段，來分享它是怎麼運作的。

本文為 Tornado Cash 研究系列的 Part 3，本系列以 tornado-core 為教材，學習開發 ZKP 的應用，另兩篇為：

Part 1：Merkle Tree in JavaScript

Part 2：ZKP 與智能合約的開發入門

Special thanks to C.C. Liang for review and enlightenment.

我們知道在以太坊上的交易紀錄都是公開的，你可以在 etherscan 上看到某個地址的所有歷史交易紀錄，當然地址是合約的話也是一樣。

也許創建一個新的錢包和地址就好了？假設一個情境是 Alice 想要匿名傳送 1 ETH 給 Bob，Alice 原本的錢包是 A，但她不想讓 A 地址傳給 Bob 的交易紀錄被看到，所以 Alice 創建另一個錢包 B，顯然 B 錢包是空的，Alice 必須把 A 錢包的 1 ETH 傳到 B 錢包，再用 B 錢包的地址傳給 Bob。

但問題就在於，只要追蹤 B 錢包的地址，就能看到 B 的歷史交易紀錄中 A 錢包曾經打幣給 B 錢包，於是到頭來交易還是被追蹤到了。

Tornado Cash 的解決方案，簡單來說，它是一份合約，當你要匿名傳送代幣時，就把一定數量的幣丟進合約裡 (Deposit)，此時你會拿到一個 note，長得像這樣：

tornado-eth-0.1-5-0x3863c2e16abc85d72b64d78c68fca5936db2501832e26345226efdfb2bc45804977f167d86b711bb6b4095ddaa646ec93f0a93ac4884a66c1d881f4fc985

note 就是一串字串，擁有這字串的人，就能提領 (Withdraw) 剛剛傳入合約的代幣。握有 note 就代表擁有提款的權利，所以 note 一旦被別人知道，別人就可以把錢給提走。

其中，後面那段亂碼，本篇文章就以「秘密」來稱呼，這個秘密是由 secret 與 nullifier 組成，而這兩個都是在鏈下隨機產生的亂數。

因此 Tornado 的合約基本上會有兩個函式：

Deposit

Withdraw

有興趣的人可以先到 Dapp 上先玩一次看看，使用 Goerli 測試網，這裡可以領 Goerli 的代幣：https://goerli-faucet.slock.it/

Deposit

我們就從 Deposit 開始說起，簡單來說， Deposit 是將資料儲存到合約的 Merkle Tree 上。

剛剛提到的秘密，它是在鏈下產生，由 secret 跟 nullifier 組成，合在一起之後也稱作 preimage，因為我們要對這個 preimage 進行 hash，就會成為 commitment。

合約中 Deposit 如下：

deposit 除了傳送代幣到合約之外，需填入一個參數 _commitment。

我們對 preimage 使用 Pedersen 作為 hash function 加密後產生 commitment，以偽代碼表示如下：

const preimage = secret + nullifier;const commitment = pedersenHash(preimage);

這個 commitment 會成為 Merkle Tree 的葉子，所以合約中的 _insert(commitment) 來自 MerkleTreeWithHistory.sol 的合約，將我們的資料插入 Merkle Tree，然後回傳一個 index 給你，告訴你這個 commitment 在 Merkle Tree 上的位置，最後一起發布成公開的 Deposit 事件。

我們知道 MerkleTree 是將一大筆資料兩兩做雜湊後產生一個唯一值 root，這個 root 就是合約上所儲存的歷史資料。

root 的特性就是只要底下的資料一有更動，就會重新產生新的 root。

所以只要一有用戶 deposit ，就會插入新的葉子到 Merkle Tree 上，於是就會產生新的 root，所以在合約中有一個陣列是用來儲存所有的 root 的 roots：

bytes32[ROOT_HISTORY_SIZE] public roots;

roots 是用來紀錄每個 deposit 的歷史，每一次 deposit 都會創造新的 root，而所有 root 都會被儲存進 roots 裡，於是當你要提領的時候，就要證明你的 commitment 所算出的 root 曾經出現在 roots 裡，代表曾經有 deposit 的動作，因此才可以進行提領。

Withdraw

在 Deposit 之前 Tornado Cash 就會在鏈下產生秘密後交給使用者，擁有這個秘密的人等於擁有提款的權利。

提領的時候，秘密會在鏈下計算後產生 proof，proof 是 withdraw 需要的參數，所以只要確保這個 proof 能夠被驗證，那麼代幣的接收地址 (recipient) 就可以隨便我們填，只要不填上當初拿來 deposit 用的地址，基本上就做到匿名交易的效果了。

也就是說，產生這個 proof 並提交給合約，能夠證明此人知道秘密，但卻不告訴合約秘密本身是什麼。

function withdraw(bytes calldata _proof, bytes32 _root, bytes32 _nullifierHash, address payable _recipient, address payable _relayer, uint256 _fee, uint256 _refund) external payable nonReentrant;

我們可以清楚看到 withdraw 函式裡沒有接收有關秘密的任何資訊作為參數，也就是秘密不會與合約有所接觸，也不會暴露在 etherscan 上。

回顧 ZKP 所帶來的效果：

鏈下計算

隱藏秘密

在 Tornado Cash 的例子中，我們用秘密來產生證明，完成的鏈下計算包括：

將秘密 hash 成 commitment

算出 Merkle Tree 的 root。

以下是簡化後的 withdraw.circom：

template Withdraw(levels) { signal input root; signal input nullifierHash;

signal private input nullifier; signal private input secret; signal private input pathElements[levels]; signal private input pathIndices[levels];

component hasher = CommitmentHasher(); // Pedersen hasher.nullifier <== nullifier; hasher.secret <== secret; hasher.nullifierHash === nullifierHash;

component tree = MerkleTreeChecker(levels); // MiMC tree.leaf <== hasher.commitment; tree.root <== root; for (var i = 0; i < levels; i++) { tree.pathElements[i] <== pathElements[i]; tree.pathIndices[i] <== pathIndices[i]; }}

component main = Withdraw(20);

從上述代碼就可以看出這份 circuit 的 private 變數有：

secret

nullifier

pathElements

pathIndices

而 public 變數有：

root

nullifierHash

如同我們一開始說過的，秘密就是指 secret 與 nullifier。這裡進行的鏈下計算就是對 secret 與 nullifier 雜湊成 commitment。而使用的 hash function 叫做 Pedersen。

在進行 Merkle Tree 的計算之前，我們還檢查了 nullifier 雜湊後的 nullifierHash 跟 public 變數 nullifierHash 是不是一樣的。

hasher.nullifierHash === nullifierHash;

接下來，開始計算 Merkle Proof，用意是確認經過雜湊後的 commitment 有沒有出現在 Merkle Tree 上，所以我們的 private input 還有 pathElements 與 pathIndices（詳情參考 Part 1 Merkle Tree in JavaScript），讓它跑一趟 Merkle Proof 的計算，最後就能夠算出一個 root，再確認計算後的 root 與我們的 public 變數 root 是否一樣。

tree.root <== root;

於是我們就能產生一個 ZKP 的證明 — 證明 private 變數：secret, nullifier, pathElements, pathIndices 可以計算出 public 變數：root 與 nullifierHash。

把這個證明提交給合約，合約透過 Verifier 驗證 proof 是否正確，以及必須事先確認：

public 變數 root 有在合約的 roots 裡面。

public 變數 nullifierHash 在合約中是第一次出現。

以下附上完整的 withdraw 原始碼：

必須注意 ZKP 是向合約證明使用者填入的 secret 和 nullifier 可以計算出某個 root，但無法保證這個 root 曾經在合約的 roots 歷史上。

所以合約的 withdraw 中，除了 verifyProof 之外，還要事先檢查 ZKP 算出來的 root 是不是真的在歷史上發生過，所以需要 isKnownRoot 的檢查：

function isKnownRoot(bytes32 _root) public view returns(bool)

必須先檢查 isKnownRoot 後才能進行 verifyProof。

經過 verifyProof 驗證成功後，合約就開始進行提款的動作，也就會將代幣傳到 recipient 的地址，最後拋出 Withdrawal 的事件。

nullifier 與 nullifierHash

為什麼我們的秘密不是只有 secret 還要額外加一個 nullifier？

簡單來說，這是為了防止已經提領過的 note 又再提領一次，也就是所謂的 double spend。

require(!nullifierHashes[_nullifierHash], "The note has been already spent");

可以看到 withdraw 需要填入參數 nullifierHash，跟 isKnownRoot 一樣的狀況，我們需要對電路的 public 變數先經過一層檢查之後，才能帶入到 verifyProof 裡面。

nullifierHash 可以理解為這個 note 的 id，但它不會連結到 deposit，因此可以用來紀錄這個 note 是否已經被提領過。

所以當 verifyProof 驗證成功之後，我們要紀錄 nullifierHash 已完成提領：

nullifierHashes[_nullifierHash] = true;

有關為什麼需要事先檢查 public 變數後，才能帶入 verifyProof ，可以參考 Part 2：ZKP 與智能合約的開發入門 提到的 publicSignals 的部分。

附上 Tornado Cash 的架構圖：

簡化版的 tornado-core

tornado-core 的程式碼很簡潔漂亮，所以我模仿該專案自己實作一遍：

simple-tornado：https://github.com/chnejohnson/simple-tornado

這份專案只完成了 tornado-core 的核心部分，不一樣的是我的開發環境使用 hardhat 與 ethers 寫成，而 circom 與 snarkjs 使用官方當前的版本，合約用 0.7.0，測試使用 Typescript 。

比起兩年前的 tornado-core ，simple-tornado 使用的技術更新，可能更適合初學者理解這份專案，但是它有 bug…我在 issues 的地方有紀錄說明。

在開發的過程中，我的順序是先從最小單位的 MiMC hash function 開始玩，發現必須 javascript 算一次 hash、solidity 算一次、circom 再算一次，確保這三個語言對同一個值算出同樣的 hash 之後，才能放心去做更複雜的 Merkle Tree。

總結

我們可以看到 Tornado Cash 簡單的兩個函式：Deposit 與 Withdraw，透過將代幣送入合約後再提領到另一個地址的流程，應用 ZKP 達成匿名的交易。

除了斷開 Deposit 與 Withdraw 的地址關聯性之外，Tornado Cash 還有做了一層「藏樹於林」的隱私防護，這部份的解釋就請參考 ZKP 讀書會 Tornado Cash。

網路上很多關於 ZKP 的文章或專案都是在 2019 年後出產的，經過許多人對這項技術的嘗試，讓我們對 ZKP 有了更清晰的理解，如今兩年後，開發工具也變得更加成熟，期待未來在 web 隱私議題上能看到更多 ZKP 大放異彩的應用。

原始碼

tornado-core

simple-tornado

參考資料

ZKP 讀書會 Tornado Cash

Tornado Privacy Solution Cryptographic Review

Tornado Cash 實例解析 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌