以太坊等区块链上没有秘密，所有信息都是公开的

一、背景

以太坊联合创始人 Vitalik Buterin 明确表示，如果隐私转型方面没有技术转变，以太坊将会失败。 由于所有交易都是公开可见的，因此隐私牺牲对于许多用户来说太大了，每个人都会转向至少在一定程度上隐藏数据的中心化解决方案。

2023年，Vitalik针对隐私保护和零知识证明（ZK）技术的进步进行了一系列研究。 上半年，Vitalik 在其网站上发表了三篇专门讨论 ZK 和隐私保护的文章。 4 月份，他还在 Reddit 上发表了一项关于 Wallet Guardians 隐私问题的研究。 九月份，他与其他专业人士共同撰写了一篇论文，提出了平衡隐私和合规性的解决方案。

此外，以太坊生态系统也在积极推动这一话题的讨论和普及。 在 3 月份的 ETHDenver 活动中，举办了一场关注隐私的特别活动。 在 5 月份的年度 EDCON（以太坊社区大会）会议上，Vitalik 强调“ZK-SNARK 将在未来 10 年与区块链一样重要”。

本文追踪2023年以太坊生态系统在利用ZK技术推动隐私保护方面的最新进展。如果你想加入以太坊ZK赛道，本文可以提供必要的解读和指导。

2、以太坊ZK赛道：构建隐私保护的未来

以太坊的透明性可能会让用户的个人信息面临泄露的风险。 像以太坊这样的区块链上没有秘密，所有信息都是公开的，包括交易、投票和其他链上活动。 此类公开可能会导致特定交易和地址被跟踪并与真实用户身份相关联。 因此，在以太坊上实现隐私保护变得至关重要。 通过加密技术可以实现链上信息的隐藏，但挑战在于如何在保护隐私的同时确保这些交易的有效性得到验证。 ZK技术提供了一种可以在不泄露额外信息的情况下证明交易真实性的解决方案，同时兼顾隐私性和可验证性。

以太坊非常重视ZK-SNARK，特别是在某些关键的隐私保护应用场景。 这在 Vitalik 的研究和建议中得到了清晰的体现。 Salus整理了Vitalik在研究中提出的典型场景，即隐私交易和社交恢复。

2.1 私密交易

关于隐私交易，Vitalik 提出了两个概念：Stealth Addresses 和 Privacy Pools。

1.隐私地址方案允许在隐藏交易接收者身份的同时进行交易。 该方案不仅提供隐私保护功能，还保证交易的透明性和可审计性。

2、基于隐私池协议，用户可以在不泄露历史交易的情况下证明自己的交易资金属于已知的合规来源。 该解决方案允许用户在遵守法规的情况下进行私人交易。

这两种解决方案都离不开ZK。 在这两种情况下，用户都可以生成零知识证明来证明其交易的有效性。

2.1.1 隐私地址

假设爱丽丝打算将一些资产转移给鲍勃。 当鲍勃收到资产时，他不希望全球公众知道他是接收者。 虽然很难隐瞒资产正在转移的事实，但可以隐藏接收者的身份。 正是在这样的背景下，隐私地址解决方案应运而生。 它解决的主要问题是如何有效隐藏交易接收者的身份。

那么，私有地址和普通以太坊地址有什么区别呢？ 如何使用基于ZK的隐私地址进行私密交易？ Salus将为您一一介绍。

（1）私有地址和普通以太坊地址有什么区别？

私有地址是允许交易发送者以非交互方式生成交易的地址，并且只能由其接收者访问。 我们从两个维度来说明私有地址和普通以太坊地址的区别：谁生成它以及谁可以访问它。

由谁产生？

普通以太坊地址是由用户自己根据加密和哈希算法生成的。 私人地址可以由交易的本人或另一方生成。 例如，当Alice向Bob转账时，Bob用来接受转账的地址可以由Bob或Alice生成，但只能由Bob控制。

谁可以访问？

普通以太坊账户下的资金类型、金额和来源是公开可见的。 在使用私人地址的交易中，只有接收者才能访问存储在其不可见地址中的资金。 观察者无法将接收者的私人地址与其身份关联起来，从而保护了接收者的隐私。

（2）如何使用基于ZK的隐私地址进行私密交易？

如果Alice想将资产发送到Bob的私人地址以隐藏交易的接收者。 以下是交易流程的详细说明：

1. 生成私有地址

●Bob生成并保存支出密钥，这是一个私钥，可用于支出发送到Bob私人地址的资金。

●Bob使用消费密钥生成隐私元地址（隐形元地址），该地址可用于计算给定接收者的隐私地址，并将隐私元地址传递给Alice。 Alice 计算隐私元地址并生成属于 Bob 的私有地址。

2. 发送资产至私有地址

●Alice将资产发送到Bob的私人地址。

由于Bob此时并不知道这个私有地址属于他，因此Alice还需要在链上发布一些额外的加密数据（临时公钥，ephemeral pubkey）来帮助Bob发现这个私有地址属于他。

上述过程中的私有地址也可以使用由哈希和公钥密码学构造的零知识证明来构造。 隐私地址中的智能合约代码可以与ZK集成。 通过嵌入零知识证明验证逻辑，智能合约可以自动验证交易的有效性。 与其他构建私有地址的方案相比，该方案包括椭圆曲线密码学、椭圆曲线同源、格和通用黑盒原语。 简单多了。

2.1.2 隐私池

无论隐私交易是通过隐藏交易接收者的身份还是有关交易的其他信息来实现的，都存在一个主要问题：用户如何在无需披露其整个交易历史的情况下证明其交易资金属于已知的合规来源。 作为公共区块链平台，以太坊必须避免成为洗钱和其他非法活动的媒介。

Vitalik提出了一种名为“隐私池”的解决方案，致力于平衡区块链的隐私保护和合规需求。 然而，隐私保护和合规挑战是什么？ 如何平衡隐私与合规性？ 对于这两个问题，Salus 提供了深入且有启发性的讨论。

（一）隐私保护与合规挑战

在实现隐私保护的同时保证交易合规是一个挑战，通过分析Tornado Cash案例可以形象地证明这一点。

Tornado Cash 是一种加密货币混合器，将大量存款和取款混合在一起。 用户在某个地址存入代币后，出示ZK Proof证明自己已存入资金，然后使用新的地址提现。 这两个操作在链上是公开的，但它们之间的对应关系并不公开，因此是匿名的。 虽然它可以增强用户的隐私，但它经常被非法行为者用来洗钱。 结果，美国财政部 OFAC 最终将 Tornado Cash 的智能合约地址列入制裁名单。 监管机构认为，该协议为洗钱活动提供了便利，不利于打击金融犯罪。

Tornado Cash在隐私保护方面的短板是无法验证用户的代币来源是否合规。 为了解决这个问题，Tornado Cash提供了一个中心化服务器来帮助用户证明他们的代币是合规的。 但服务器必须获取用户提供的提现的具体信息，确定该提现对应的是哪笔存款，并生成凭证。 这种中心化的机制不仅存在信任假设的成本，而且造成了信息不对称。 最终，该机制的用户很少。 尽管Tornado Cash实现了隐私功能，但它并没有提供有效的机制来验证用户代币的来源是否合规，从而让不法分子有机可乘。

（2）如何平衡隐私与合规性？

基于上述挑战，Vitalik 提出了隐私池的概念，让用户可以在不泄露历史交易信息的情况下证明自己的资金来源合规。 这在隐私和合规性之间创造了平衡。

隐私池基于 ZK 和关联集，允许用户生成和发布 ZK-SNARK 证书，证明他们的资金来自已知的合规来源。 这意味着资金属于合规关联集，或者不属于不合规关联集。

关联集合由关联集合提供者根据特定策略构建：

1.会员证明：将所有可信交易平台的存款放入关联集合中，有明确证据表明其风险较低。

2.排除证明：识别一组被标记为风险的存款，或有明确证据表明其为不合规资金的存款。 构建一个包含除这些存款之外的所有存款的关联集合。

存款时，用户通过 ZK 生成一个秘密，并对其进行哈希处理，计算出一个公共代币 ID，以标记他与资金的关联。 提款时，用户提交与秘密对应的无效符（无效符是从秘密派生的唯一标识符），以证明资金是他们的。 而且，用户使用ZK来证明两个merkle分支，以证明他们的资金属于已知的合规来源：

1、他的币ID属于币ID树，币ID树是当前发生的所有交易的集合；

2、他的币ID属于关联集树，关联集树是用户认为的一些合法交易的集合。

（3）ZK在隐私池中有哪些应用场景？

1、保证私密交易的灵活性：为了处理私密交易中任意面额的转账，每笔交易都额外添加零知识证明。 这个证明保证了创建的代币总面值不会超过消耗的代币总面值，从而保证了交易的有效性。 其次，ZK通过验证每笔交易对原始存款代币ID的承诺来保持交易的连续性和隐私性，这样即使在部分提款的情况下，也能保证每笔提款与其对应的原始存款相关联。

2.抵抗余额求和攻击：通过合并代币并提交一组代币ID，并提交多个输入交易的父交易的并集，可以抵抗余额求和攻击。 这种方法依靠 ZK 来确保所有提交的代币 ID 都在其关联的集合中，从而增强了交易隐私。

2.2 社会恢复

在现实生活中，我们可能拥有多个银行卡账户。 丢失银行卡密码意味着我们无法使用银行卡内的资金。 遇到这种情况，我们通常会去银行寻求帮助来恢复密码。

同样，在以太坊等区块链中，我们可能有多个地址（账户）。 私钥就像银行卡密码一样，是控制账户资金的唯一工具。 一旦您丢失私钥，您就失去了对帐户的控制权，并且无​​法再访问帐户中的资金。 与现实世界的密码找回类似，区块链钱包提供了社交恢复机制来帮助用户找回丢失的私钥。 这种机制允许用户在创建钱包时选择一组值得信赖的个人作为监护人。 这些监护人可以通过批准重置用户私钥（如果丢失）来帮助用户重新获得对其帐户的控制。

在这种社交恢复和监护机制下，Vitalik提出了两个需要注意的隐私保护点：

1、隐藏用户多个地址之间的关联性：为了保护用户隐私，我们需要在使用单个恢复短语恢复多个地址时，防止这些地址的所有权被暴露。

2、保护用户财产隐私免受监护人侵扰：我们必须确保在批准用户操作的过程中，监护人无法获取用户的资产信息或观察其交易行为，防止用户财产隐私受到侵犯。

实现这两类隐私保护的关键技术是零知识证明。

2.2.1 隐藏用户多个地址之间的关联性

（1）社交恢复中的隐私问题：地址之间的关联性被公开

在以太坊等区块链中，为了保护自己的隐私，用户通常会为各种交易生成多个地址。 通过为每笔交易使用不同的地址，您可以防止外部观察者轻松地将这些交易链接到同一用户。

但如果用户的私钥丢失，该私钥生成的多个地址下的资金将无法恢复。 在这种情况下，需要社会康复。 一种简单的恢复方法是一键恢复多个地址，即用户使用相同的恢复短语恢复一个私钥生成的多个地址。 但这种做法并不理想，因为用户生成多个地址的初衷是为了防止它们相互关联。 如果用户选择同时或相近时间恢复所有地址，这实际上相当于向外界暴露了这些地址属于同一用户所拥有。 这种做法违背了用户创建多个地址来保护隐私的初衷。 这构成了社会恢复过程中的隐私保护问题。

（2）ZK解决方案：如何防止多个地址的关联性被泄露？

ZK技术可用于隐藏区块链上用户多个地址之间的关联性，通过验证逻辑和资产持有分离的架构解决社交恢复问题。 隐私问题。

1.验证逻辑：用户在区块链上拥有多个地址，但所有这些地址的验证逻辑都连接到一个主认证合约（keystore合约）。

2、资产持有和交易：用户在任意地址进行操作时，使用ZK技术验证操作权限，无需透露具体地址。

这样，即使所有地址都连接到同一个密钥库合约，外部观察者也无法确定这些地址是否属于同一用户，从而实现了地址之间的隐私保护。

设计一个可以同时恢复用户的多个地址而不泄露地址之间的关联性的私密社交恢复解决方案非常重要。

2.2.2 保护用户财产隐私免受监护人侵扰

(1) 隐私问题：监护人的特权

在以太坊等区块链中，用户在创建钱包时可以设置多个监护人。 尤其对于多重签名钱包和社交恢复钱包来说，守护者的作用至关重要。 通常，监护人是其他人持有的 N 个地址的集合，其中任何 M 个地址都可以批准一项操作。

监护人有什么特权？ 例如：

1. 对于多重签名钱包，每笔交易必须经过 N 个监护人中的 M 个监护人签名才能进行。

2.对于社交恢复钱包，如果用户的私钥丢失，则N个监护人中的M个必须签署一条消息来重置私钥。

监护人可以批准您的行为。 在多重签名中，这可以是任何交易。 在社交恢复钱包中，这将重置您的帐户私钥。 如今监护人机制面临的挑战之一是如何保护用户的财务隐私不被监护人侵犯？

（2）ZK解决方案：保护用户财产隐私免受监护人侵入

Vitalik 在本文中设想，监护人保护的不是你的账户，而是一份“密码箱”合约，而你的账户和这个密码箱之间的链接是隐藏的。 这意味着监护人无法直接访问用户的账户，只能通过隐藏的密码箱合约进行操作。

ZK的主要作用是提供一个证明系统，让监护人可以证明某个陈述是真实的，而无需透露该陈述的具体细节。 在这种情况下，监护人可以使用 ZK-SNARK 来证明他们有权执行某项操作，而无需透露与“帐户和密码箱之间的链接”相关的任何详细信息。

2.3 探索：以太坊生态ZK与隐私新篇章

虽然以太坊ZK赛道还处于发展阶段，很多创新的想法和概念还在构思和研究中，但以太坊生态已经展开了更广泛的实际探索活动。

(1)来自以太坊基金会的资助

今年9月，以太坊基金会资助了两个隐私保护项目IoTeX和ZK-Team。 IoTex是基于零知识证明的账户抽象钱包，ZK-Team致力于使组织在管理团队成员的同时维护个人隐私。

（二）投资情况

今年10月，以太坊联合创始人Vitalik投资了Nocturne Labs，旨在将私人账户引入以太坊。 用户将在 Nocturne 中拥有“内部”帐户，并且从这些帐户接收/支出资金是匿名的。 通过ZK技术，用户可以证明自己有足够的资金进行支付、质押等交易。

（三）会议及活动

ETHDenver 被认为是世界上最重要的以太坊和区块链技术相关活动之一。 今年 3 月，ETHDenver 举办了一场聚焦隐私的特别活动。 此次活动不仅体现了以太坊社区对隐私问题的关注，也体现了全球区块链社区对隐私保护的重视。 在本次特别活动中，举办了九场与隐私相关的主题会议，包括“隐私设计”和“隐私与安全”。

EDCON（以太坊社区大会）是由以太坊社区主办的全球性年度会议，旨在推动以太坊的发展和创新，加强以太坊社区的联系与合作。 在今年 5 月的 EDCON 会议上，Vitalik 发表了重要声明，表示：“未来 10 年，ZK-SNARKs 将与区块链一样重要”。 这一说法强调了ZK-SNARKs在区块链技术发展趋势中的重要地位。

（四）项目

目前，一些应用层项目已经开始使用ZK技术为用户和交易提供隐私保护服务。 这些应用层项目称为ZK应用程序。 例如，部署在以太坊上的ZK应用程序、私有资产交易所unyfy。 这里的交易订单价格是隐藏的，这些隐藏价格的订单的完整性是经过ZK技术验证的。 除了unyfy之外，L2上还有一些其他的ZK应用，例如ZigZag和Loopring。 虽然这些ZK应用程序基于ZK实现了隐私保护功能，但目前它们还不能部署在以太坊上，因为EVM无法直接运行这些ZK应用程序。

（五）研究

此外，研究人员在以太坊研究平台上对ZK技术及其应用进行了热烈的讨论。 其中，Salus 的一篇研究文章致力于利用 ZK 来促进以太坊应用层的隐私保护等实现。 本文测试了几种不同 ZK 语言 Circom、Noir 和 Halo2 的性能。 结果表明，Circcom 具有更好的性能。 本文还提出了一种通用的解决方案，在Solidity中集成Circom来实现基于ZK的以太坊应用层项目。 这对以太坊的隐私转型具有重要意义。 这项研究在 2023 年获得了极大关注，位居榜首。

这篇研究文章是 2023 年以太坊研究中阅读量最大的研究 — 作者 Salus

3. 挑战

尽管许多现有的以太坊应用层项目迫切需要引入基于ZK的隐私保护机制，但这个过程面临一系列挑战。

1、ZK人才资源缺乏：学习ZK技术需要扎实的理论基础，尤其是密码学和数学领域。 由于ZK技术的实现涉及复杂的公式，因此学习者还需要具备较强的公式解读能力。 但问题是，致力于学习ZK技术的人相对较少。

2、ZK开发语言的局限性：Rust、Cairo、Halo2等语言用于开发ZK证明电路，但通常只适用于特定场景，不适合应用层项目。 其中一些语言（如Cairo）仍处于实验阶段，不同版本之间可能存在兼容性问题，这增加了在实际应用中采用它们的难度和复杂性。

3、ZK技术实施难度：Vitalik计划将ZK技术应用于以太坊隐私保护，在实际实施中可能会面临各种复杂的问题，比如如何避免隐私交易受到余额求和攻击（balance-summing Attacks）、双花攻击等，解决这些问题存在一定的技术难度。

4、隐私保护与合规性：虽然私密交易可以保护用户的身份和交易细节，但也可能掩盖洗钱等非法活动。 未来，以太坊上的ZK应用在实施隐私保护时能否合规还有待验证。

尽管面临挑战，以太坊隐私转型的先决条件——确保保护隐私的资金转移并确保正在开发的所有其他工具（社交恢复、身份、声誉）都保护隐私——是 ZK 应用程序的广泛部署。 如上所述，Salus 发布的研究是基于 ZK 技术来推动以太坊应用层的隐私保护等功能。 而且，Salus首次提出了集成Circom和Solidity并应用于以太坊应用层项目的通用解决方案。 它基于Circom实现链下ZK证明系统，并基于Solidity在以太坊上实现智能合约和ZK验证逻辑。 。 如果您需要支持或有任何疑问，请随时联系 Salus。

四、总结与展望

2023年，以太坊社区在Vitalik Buterin的领导下，深入挖掘零知识证明技术的潜力，旨在增强平台的隐私保护功能。 尽管这些提案仍处于研究阶段，但 Vitalik 的研究和论文，尤其是在隐私保护与合规性之间的平衡方面，为零知识技术保护用户隐私奠定了理论基础。

尽管将零知识证明技术融入以太坊还存在挑战，但随着技术的成熟和社区的不断努力，预计在不久的将来零知识证明将在以太坊生态中发挥更重要的作用。 因此，及时参与并积极探索这一领域，抓住先机，将有助于在这一新兴领域占据有利地位。