HashKey Capital深度解讀ZK（一）：歷史原理與行業_ARK:Purple Butterfly Trading

原文來源：HashKeyCapital?

當前區塊鏈行業里零知識證明項目增速驚人，特別是ZKP在擴容和隱私保護兩個層面應用的崛起，令我們接觸到了各種花樣繁多的零知識證明項目。由于ZKP極富數學性的特質，對于加密愛好者來說，想要深度了解ZK的難度大幅提升。因此我們也希望從頭梳理ZKP理論和應用層面的一些變化，與讀者一起探索對于crypto行業的影響和價值——通過幾篇報告的形式共同學習，也作為HashKeyCapital研究團隊的思考總結。本篇是該系列的第一篇，主要介紹ZKP的發展歷史、應用和一些基本原理。

一、零知識證明的歷史

現代零知識證明體系最早來源于Goldwasser、Micali和?Rackoff合作發表的論文：TheKnowledgeComplexityofInteractiveProofSystems，該論文提出于1985年，發表于1989年。這篇論文主要闡釋的是在一個交互系統中，經過K輪交互，需要多少知識被交換，從而證明一個證言是正確的。如果可以讓交換的知識為零，則被稱之為零知識證明。這里面會假設證明者具有無限資源，而驗證者只具有有限資源。而交互式系統的問題在于證明不完全是數學上可證的，而是概率意義上正確的，雖然概率很小(1/2^n)。

所以交互式系統并不完美，只有近似完備性，以此為基礎誕生的非交互式系統系統則具有完備性，成為零知識證明系統的完美所選。

早年的零知識證明系統在效率以及可用性方面都有所欠缺，所以一直都停留在理論層面，直到最近10年才開始蓬勃發展，伴隨著密碼學在crypto成為顯學，零知識證明走向臺前，成為至關重要的一個方向。特別是發展出一個通用的、非交互的、證明大小有限的零知識證明協議，是其中最關鍵的探索方向之一。

USDC新增在Hedera Hashgraph上發行:10月18日消息，美元穩定幣USDC新增了在分布式賬本平臺HederaHashgraph（HBAR）上的發行，HBAR基金會此前的撥款有相當一部分將用來支持引入USDC后的DeFi生態發展。除了DeFi領域外，引入USDC還將激活在HBAR上運行節點的企業（Hedera的治理委員會），包括谷歌、IBM、波音和德國電信等。Higdon表示，它還可以支持證券化和基于分類賬的供應鏈平臺等用例。HBAR基金會首席執行官ShayneHigdon表示，USDC還可以支持證券化和基于分類賬的供應鏈平臺等用例。(CoinDesk）[2021/10/18 20:37:37]

基本上零知識證明就是要在證明的速度、驗證的速度和證明體積的大小之間做取舍，理想的協議是證明快、驗證快、證明體積小。

零知識證明最重要的突破是Groth在2010年的論文ShortPairing-basedNon-interactiveZero-KnowledgeArguments，也是ZKP里面最重要的一組zk-SNARK的理論先驅。

零知識證明在應用上最重要的進展就是2015年Z-cash使用的零知識證明系統，實現了對交易及金額隱私的保護，后來發展到zk-SNARK和智能合約相結合，zk-SNARK進入了更為廣泛的應用場景。

在此期間，一些重要的學術成果包括：

2013年的?Pinocchio(PGHR13)：Pinocchio:NearlyPracticalVerifiableComputation，將證明和驗證時間壓縮到適用范圍，也是Zcash使用的基礎協議。

動態 | 谷歌云加入Hedera Hashgraph管理委員會，并將運營其網絡節點:金色財經報道，谷歌云（Google Cloud）今日宣布加入分布式分類帳初創公司Hedera Hashgraph的管理委員會。作為委員會成員，谷歌云將運營一個Hedera網絡節點，并將分類帳數據與谷歌云平臺（GCP）的其他公共DLT數據集一起用于分析，從而鞏固GCP作為DLT網絡和去中心化應用程序的首選云服務提供商的地位。[2020/2/12]

2016年的Groth16：OntheSizeofPairing-basedNon-interactiveArguments，精簡了證明的大小，并提升了驗證效率，是目前應用最多的ZK基礎算法。

2017年的?Bulletproofs(BBBPWM17)Bulletproofs:ShortProofsforConfidentialTransactionsandMore，提出了Bulletproof算法，非常短的非交互式零知識證明，不需要可信的設置，6個月以后應用于Monero，是非常快的理論到應用的結合。

2018年的zk-STARKs(BBHR18)Scalable,transparent,andpost-quantumsecurecomputationalintegrity，提出了不需要可信設置的ZK-STARK算法協議，這也是目前ZK發展另一個讓人矚目的方向，也以此為基礎誕生了StarkWare這個最重量級的ZK項目。

其他的發展包括PLONK、Halo2等也是極為重要的進展，也對zk-SNARK做出了某些層面上的改進。

分析 | LongHash：2020年比特幣價格可能會飆升:LongHash發文稱，比特幣和黃金一樣，是硬貨幣。雖然第三方適量供應貨幣有利于短期價格穩定，但需要權衡一下施加給中央銀行的壓力。這可能導致政策不符合法定貨幣用戶的最大利益。值得注意的是，美國總統特朗普一直在推動美聯儲降低利率。而比特幣用戶完全不用擔心這種事情。比特幣經常因其價格劇烈波動遭受謾罵，但在沒有去除某人調節貨幣供應量這一能力的情況下，根本無法實現比特幣的主要特點，如：不受管控的貨幣政策。除了自由市場，沒有人可以設定比特幣的價格。如果數字現金系統成為廣泛使用的貨幣形式，它將對全球經濟產生通縮效應，正因為此，比特幣也經常受到主流經濟學家的謾罵。由于中央銀行沒有人為降低利率，比特幣借貸成本也將在自由市場的基礎上浮動；而且由于比特幣固有的通貨緊縮發行時間，比特幣借貸成本很有可能超過今天的水平。許多金融專家認為，負利率等政策在全球范圍內廣泛應用的前提下，“數字黃金”模因是2019年比特幣價格上漲的原因。由于對儲戶不利的貨幣和經濟政策與比特幣下一個“減半”事件相結合，所以2020年比特幣價格可能會飆升。[2019/10/18]

二、零知識證明的應用簡述

零知識證明最廣泛的兩個應用就是隱私保護和擴容。早期隨著隱私交易和幾個有名的項目Zcash和Monero等推出，隱私交易一度成為非常重要的門類，但由于隱私交易的必要性并沒有業界希望的那樣突出，因此這一類代表性項目開始慢慢進入二三線的陣營。而應用層面，擴容的必要性提升到無以復加，隨著以太坊2.0在2020年轉變為以rollup為中心的路線，ZK系列正式又回歸業界的視線，成為焦點。

動態 | Alphaslot創始人出現分歧 CEO陳銳文被訴 其投資人發行新代幣TGG:據鏈聞消息，區塊鏈娛樂平臺Alphaslot爆出創始人之間產生分歧，該項目股權公司Takara Gaming Group起訴CEO陳銳文（Raymond Chan）涉嫌侵犯公司利益。于此同時，Alphaslot項目主要投資人Sora Ventures宣布投資 Alphaslot股權公司Takara Gaming Group，重新發行與Alphaslot代幣SLOT經濟模型完全相同的新代幣TGG，SLOT部分投資者可以將之前持有的SLOT代幣轉換為新代幣TGG。Sora Ventures 創始人 Jason Fang表示，目前Alphaslot已經完全從Takara Gaming Group分離，現在Takara Gaming Group由香港娛樂集團Neway Entertainment主席薛嘉麟（Ernie Sue）領導（注：Neway Entertainment是香港最大的卡拉OK運營商）。陳銳文則回應稱，將向社區發布公告，并保留保護自己權益的所有權利。[2019/6/6]

隱私交易：隱私交易有很多已經實現的項目，包括使用SNARK的Zcash，Tornado,使用bulletproof的Monero,以及Dash。Dash嚴格意義上用的不是ZKP，而是一種簡單粗暴的混幣系統，只可以隱藏地址而不能隱藏金額，在此略過不表。

Zcash應用的zk-SNARKs交易步驟如下：

System?setup階段生成證明秘鑰和驗證秘鑰，借助KeyGen?function

動態 | LongHash與eNotes達成戰略合作:2018年10月，LongHash與eNotes正式達成戰略性合作。據悉，LongHash是一家在全球加速區塊鏈技術開發與行業信息化的平臺；eNotes是O2O（Onchain To Offchian）鏈上鏈下雙向互通連接解決方案，通過密碼學和硬件的結合，使鏈上鏈下結合為一體。

此次合作，eNotes將為LongHash提供批量實體化加密資產載體，共同推動LongHash的品牌影響力，是LongHash與eNotes共同探索區塊鏈行業生態合作的重要成果，對雙方均具有重大的戰略意義。LongHash與eNotes合作，將進一步加強實體化加密資產的市場布局，對未來區塊鏈領域的探索和發展也將產生深遠影響。[2018/10/24]

CPA階段ECIES加密方法用來生成公鑰和私鑰

MintingCoins階段，生成新幣的數量。公共地址和幣的commitment

Pouring階段，生成zk-SNARK證明，證明被加到了pour交易賬本中

Verification階段，驗證者驗證Mint和Pour的交易量是否正確

Receiving階段，receiver接收幣。如果想使用收到的幣，則繼續調用Pouring，形成zk-SNARK驗證，重復上述4-6的步驟，完成交易。

Zcash使用零知識還是有局限性的，就是其基于UTXO,所以部分交易信息只是被shield了，而不是真正的掩蓋。因為其基于比特幣的設計的單獨網絡，所以難以擴展。真正使用shielding的使用率只有不到10%，說明隱私交易并沒有很成功的擴展。

Tornado使用的單一大混幣池更加通用，而且基于以太坊這樣“久經考驗”的網絡。Torndao本質上就是一個用了zk-SNARK的混幣池，可信設置基于Groth?16的論文。TornadoCash可以提供的特性包括：

只有被存進去的coin可以被提取

沒有幣可以被提取兩次

證明過程和幣的廢止通知是綁定的，相同證明但不同Nullifier的哈希不會允許提幣

安全性有126-bit的安全，不會因為composition而降級

Vitalik提到過，和擴容相比，隱私相對比較容易實現，如果一些擴容的protocol都可以成立的話，隱私基本上不會成為問題。

擴容：ZK的擴容可以在一層網絡上做，如Mina，也可以在二層網絡上做，即zk-rollup.ZKrollup的思路可能最早來自于Vitalik于2018的post，On-chainscalingtopotentially~500tx/secthroughmasstxvalidation。

ZK-rollup有兩類角色，一類是Sequencer,還有一個是Aggregator。Sequencer負責打包交易，Aggregator負責將大量的交易合并并創造一個rollup,并形成一個SNARK證明，這個證明會和Layer1以前的狀態進行比較，進而更新以太坊的Merkle樹，計算新的狀態樹。

Source:Polygon

ZK?rollup的優缺點：

優點：費用低，不像OP會被經濟攻擊，不需要延遲交易，可以保護隱私，快速達成最終性

缺點：形成ZK證明需要大計算量，安全問題，不抗量子攻擊，交易順序可能被改變

Hermez和Miden，Loopring，Scroll等

基本上技術路線就在于SNARK(及其改進版本)和STARK的選擇，以及對EVM的支持。

Aztec開發了通用化的SNARK協議-Plonk協議，運行中的Aztec3可能會支持EVM，但是隱私優先于EVM兼容

Starnet用的是zk-STARK，一種不需要可信設置的zkp，但是目前不支持EVM，有自己的編譯器和開發語言

zkSync也是用的plonk，支持EVM。zkSync2.0是EVM兼容的，有自己的zkEVM

Scroll，一種EVM兼容的ZK?rollup,團隊也是以太坊基金會zkEVM項目的重要貢獻者

簡要討論下EVM兼容性問題：

ZK系統和EVM的兼容一直令人頭疼，一般項目會在兩者間取舍。強調ZK的可能會在自己的系統里做一個虛擬機，并有自己的ZK語言以及編譯器，但會加重開發者的學習難度，而且因為基本上不開源，會變成一個黑箱子。一般業界目前是兩種選擇，一是和Solidity的操作碼完全兼容，另一種是設計一種新的虛擬機同時ZK友好并兼容Solidity。業界一開始也沒有想到可以這么快的融合，但是近一兩年技術的快速迭代，讓EVM的兼容提升到一個新高度，開發者可以做到一定程度的無縫遷移，是振奮人心的進展，這將影響ZK的開發生態和競爭格局。我們會在之后的報告中仔細討論這個問題。

完整性：每一個擁有合理見證的聲明，都是可以被驗證者驗證的

可靠性：每一個只擁有不合理見證的聲明，都不應該被驗證者驗證

零知識：驗證過程是零知識的

所以為了了解ZKP,我們從zk-SNARK開始，因為很多目前的區塊鏈應用都是從SNARK開始。首先，我們先了解一下zk-SNARK。

zk-SNARK的意思是：零知識證明是zero-knowledgeSuccintNon-interactiveARgumentsofKnowledge。

ZeroKnowledge：證明過程零知識，不會暴露多余信息

Succinct：驗證體積小

Non-interactive：非交互過程

ARguments：計算具備可靠性，即有限計算能力的證明者不能偽造證明，無限計算能力的證明者可以偽造證明

ofKnowledge：證明者無法在不知道有效信息的情況下構建出一個參數和證明

對于證明者來說，在不知道證據的情況下，構造出一組參數和證明是不可能的。”

Groth16的zk-SNARK的證明原理和如下：

Source：?https://learnblockchain.cn/article/3220

步驟是：

1.?將問題轉換為電路

2.?將電路拍平成R1CS的形式.

3.?R1CS轉換成QAP形式

4.?建立trusted?setup,生成隨機參數，包括PK(provingkey)，VK(verifyingkey)

5.?zk-SNARK的證明生成和驗證

下一篇我們將開始研究zk-SNARK的原理、應用，通過幾個案例來透視ZK-SNARK的發展，并探索它與zk-STARK的關系等。

Reference：

https://ethresear.ch/t/on-chain-scaling-to-potentially-500-tx-sec-through-mass-tx-validation/3477

https://blog.polygon.technology/zkverse-why-zero-knowledge-rollups-need-a-new-consensus-mechanism/

https://blog.decentriq.com/zk-snarks-primer-part-one/

https://vitalik.ca/general/2021/01/26/snarks.html

https://z.cash/technology/zksnarks/

Tags：ARKASHNARINGCryptoMarketAdskcash幣的價值在哪里ZINARIPurple Butterfly Trading

ADA