Tornado.cash: 一個關于匿名和 zk-SNARKs 的故事

譯文出自：登鏈翻譯計劃

譯者：翻譯小組

校對：Tiny熊

越來越多的項目攻擊后，我們可以看到一種新的黑客模式出現：

通過tornado.cash獲得匿名ETH。

用ETH來支付黑客交易的費用。

使用閃電貸來減少資本需求。

通過大量的資本，創造一些失衡，并對失衡進行套利。

盡可能多地重復前面的過程

償還閃存貸款，留下利潤。

閃電貸和創造失衡當然值得寫博客文章。但本文我們將仔細研究Tornado.cash。

那么Tornado.cash是什么呢？

Tornado.cash

MoneyRoomTornado.cash是一個充滿錢的屋子

想象一下，我們有一個房間，只有一扇門，房間門口有一個警衛。任何人都可以走到警衛面前，給他一張100美元的紙幣。警衛接過紙幣，把它放在上鎖的房間里。然后他要求給錢的人想一個非常大的數字。這個人沒有直接給他這個數字，而是計算出這個數字的哈希值，寫下來交給警衛。帶有哈希值的紙被扔進一個大碗里。

不妨想象一下，隨著時間的推移，成百上千的人也會這樣做。然后，房間里會有成千上萬張100美元的紙幣，警衛會有一個碗，里面有成千上萬張含有哈希值的紙。

如果有人想要回他的100美元，他可以走到警衛那里。最簡單的解決辦法就是向警衛出示之前的隨機數。警衛可以計算哈希值，并檢查所有文件是否有這樣的哈希值。如果他發現一個，他就會銷毀那張紙，并把100美元還給你。

美法官反對Analisa Torres對Ripple案的初步裁決:金色財經報道，曼哈頓聯邦法官Jed Rakoff反對Analisa Torres法官對Ripple案件的初步裁決，Torres此前裁定Ripple Labs沒有違反證券法。使XRP在二級平臺上可供散戶投資者購買，部分原因是購買者不知道他們的資金是流向Ripple還是第三方。

Rakoff法官在周一的命令中表示，他拒絕這種做法。他解釋稱，根據該裁決的說法，無論買方對利潤有何期望，都不能歸因于被告的努力，但Howey測試在買方之間沒有做出任何區分，這樣做是有道理的。購買者直接從被告那里購買代幣，或者通過二次轉售交易購買這些代幣，對于一個理性的個人是否會客觀地看待這些代幣并沒有影響，被告的行為和陳述表明他們承諾通過其努力獲得利潤。

據悉，Rakoff在Ripple案件審理和部分裁決的同一地區法院擔任院長，他還拒絕了Terraform 和Kwon試圖撤銷SEC指控的其他動議。[2023/8/1 16:10:21]

但如果我們這樣做，存在警衛作惡的風險？他可以秘密地追蹤哪張100美元屬于哪個隨機數，從而暴露我們的身份。

用球為例解釋零知識

現在，如果我們能向警衛證明，我們知道一個秘密的數字，在不透露實際數字的情況下，在碗內對承諾進行哈希運算呢？那么，我們可以用零知識證明來做到這一點。零知識證明是很復雜的，但概念化的簡單方法是下面這個例子。

想象一下，你是盲人，我給你兩個球，感覺完全一樣，重量也一樣。現在我告訴你這兩個球的顏色不同。附近沒有其他人。你怎么能知道我說的是不是真的呢？

Blockchain Coinvestors推出2億美元中期增長基金:5月5日消息，資管規模4.5億美元的區塊鏈投資公司Blockchain Coinvestors推出2億美元中期增長基金，為新興的區塊鏈公司提供風險敞口。

Blockchain Coinvestors成立于2014年，已投資40多家純區塊鏈風險基金，投資組合包括400多個區塊鏈和加密項目。（CoinDesk）[2022/5/6 2:53:12]

你可以在每只手上放一個球，把它們展示給我看。現在你把它們放在你的背后，你要么在兩只手之間交換球，要么不交換。然后你把它們拿給我看，并問我：'我是否交換了球？現在，如果兩個球都是同樣的顏色，將有50%的機會猜對。但如果連續答對了15次，你幾乎可以肯定說這兩個球確實是不同顏色的。因為隨機猜對15次，幾乎不可能。

我現在已經向你證明了這些球是不同顏色的，但卻沒有透露實際的顏色，因此被稱為零知識證明。你不知道這些球是綠色、黑色、橙色還是別的什么。

取回你的錢

現在有人可以向警衛證明，他實際上知道一個數字，這個數字對應碗里的一個數字。這個證明產生了一個特定的簽名。警衛寫下簽名，并將其儲存起來。每當有人提供一個新的證明時，他可以檢查同一證明是否已經被使用。如果它已經被使用過，那么有人試圖用相同的隨機數字獲得多張100美元。

因此，盡管該數字的哈希值仍在我們的碗內，而且警衛不知道哪些哈希值已經再次取出了100美元，但他可以意識到有人正試圖多次使用同一證明。

Bitfinex宣布將上線Dora Factory代幣DORA:據官方消息，Bitfinex宣布將上線去中心化治理基礎設施Dora Factory代幣DORA，將在太平洋時間9月29日上午9點支持存款，并于太平洋時間9月30日上午9點開啟交易。[2021/9/27 17:10:14]

現在拿回這100美元后，他們不能直接追溯到原來的100美元，即使警衛是惡意的。

從零知識到zk-SNARKs

在區塊鏈的世界里，正常的零知識證明有一個問題：連續問很多遍，等待答案，需要來回幾次交易。這根本就不是很有效率。有了zk-SNARKs，或者非交互式零知識證明，我們可以在一輪中完成證明。基本上，問題是根據隨機預言機模型預先確定的。然后驗證者可以在一次交易中發送所有答案。

zk-SNARKs的概念是一個非常有趣的話題。Vitalik發布了一個適合初學者的介紹鏈接。好吧，盡可能的方便初學者。如果你想真正深入了解它背后的數學，這將是不容易的。我自己當然沒有弄清楚文章中的所有內容，但如果你只想知道基本情況，這里是我的高層次理解：

zk-SNARKs是基于非常繁重的計算，比如計算1億次哈希值。

驗證一個證明本身并不要求運行繁重的計算。

實際數據由多項式表示，例如：x2-4x7。

使用因子定理，我們可以將某些多項式轉化為其最低度多項式的倍數。

聲音 | 加密投資公司Prime Factor CEO：大規模機構資金流入加密領域還需一段時間:據The Block報道，加密投資公司Prime Factor Capital首席執行官Nic Niedermowwe接受采訪時表示，受監管將給予謹慎的投資者“額外的保證”，監管機構的批準是為大型機構打開加密領域大門的關鍵一步，但大規模（機構）資金流入還需要一段時間，本地受監管的交易所和托管人仍然是需要的。他還表示，獲得英國金融行為監管局（FCA）的監管批準是一個重要的里程碑，不只是對于公司，也是對整個加密空間而言。 據此前消息，由前BlackRock和RWE AG員工創立的倫敦對沖基金管理公司Prime Factor Capital成為第一家獲得FCA批準的加密投資公司，可作為全方位的另類投資基金管理公司（AIFM）運營。該公司將被允許持有超過1億歐元（1.13億美元）的管理資產，并面向機構投資者。[2019/7/3]

然后利用多項式承諾和Schwartz-Zippellemma，我們可以通過隨機檢查一些坐標來驗證此類多項式的證明。

要正確理解這一點，請閱讀Vitalik的文章：https://vitalik.ca/general/2021/01/26/snarks.html。

從理論到實踐：Tornado.cash

tornado.cash

使用zk-SNARKs，tornado.cash允許你將固定金額的ETH、DAI、cDAI、USDC、cUSDC或USDT存入合約。在存款時，你會收到一個備份代碼，用于以后提取資金。

動態 | 法國網球選手孟菲爾斯與外匯交易平臺eToro簽署贊助協議:7月17日消息，熱門交易平臺eToro宣布與著名網球運動員蓋爾·蒙菲爾斯合作。作為一名狂熱的加密貨幣投資者，在使用該公司的個人財務管理之后，他決定與該公司簽訂贊助協議。這位體育明星過去曾稱贊過加密貨幣，他最近就加密貨幣問題發表的一份聲明說:“我發現(加密)很有趣——它具有未來主義色彩，而且是新奇的，并且非常不穩定。”Monfils使用eToro社交交易平臺來交易和管理他的投資。雖然該平臺提供了幾個獨特的功能，但其中特別的是CopyTrader工具可以讓投資者復制其他用戶交易。這個工具允許eToro的用戶自動復制網球運動員或他們選擇的另一個成功投資者執行的交易。[2018/7/17]

為什么用固定金額？基本上每個固定金額都是它自己的匿名性設置。你可以在上面的截圖中看到，當時0.1ETH的匿名度是426。意味著目前還有426人可以獲得0.1ETH。而由于存款是公開信息，當你存入0.1ETH時，這些0.1ETH以后可以追蹤到這427人，但不能直接追蹤到你。

這有多安全？在匿名性方面，匿名集有多大，人們的存款和提款有多頻繁，它就有多安全。如果你有一個30,000人的集合，但幾個月沒有存款/提款。現在你來存款，等了一天又取款，要追蹤資金到你身上將是非常容易的。因此，請密切關注統計頁面。

它是如何工作的？利用pedersenhashfunction可以有效地計算出橢圓曲線上的hash，以用于zk-SNARK。snarkjs則用來進行初始設置和自動生成Solidity驗證器合約。

所有細節可在白皮書中找到。

Tornado.cash的治理

Tornado.cash協議正在計劃增加治理。將包括自己的TORN代幣，TORN55%將被用作金庫，30%支付給團隊和投資者，5%空投給服務的早期用戶以及10%用于新概念的匿名挖礦。

由于tornado.cash服務只有在很多人使用時才是安全的，所以TORN會進一步激勵人們在合約中留下資金，并為此向他們支付TRON。這將以充分保持礦工的匿名性的方式進行。

去匿名化

現在有人已經開始嘗試去匿名化用戶。這可以通過三個指標來達到目的：

發送存款/取款的每日的時間

Gas價格分布

交易圖表分析

例如：

當該服務的大多數用戶生活在歐洲，而你生活在新西蘭，在你的時間下午4點左右與合約交互時，在歐洲將是凌晨4點。因此，要識別你會非常容易。

大多數錢包傾向于MetaMask自動設置Gas價格，從而提供一些信息來識別用戶。

擁有多個地址的用戶可能用這些地址與相同的服務進行交互。在最壞的情況下，這些地址之間甚至有直接的聯系，或是通過交易圖表能夠將某些地址映射在一起。

如果你嚴格遵守規則，所有這些問題都是可以防止的：

使用0-24的隨機數發生器，在你發送存款/取款時為你生成一個時間

在隨機數生成器的幫助下，手動設置你的交易gas成本，或使用多個錢包

使用一個新的地址取款，以后不要用這個地址和另一個地址使用相同的服務

本翻譯由CellNetwork贊助支持。

來源：https://soliditydeveloper.com/tornado.cash

參考資料

登鏈翻譯計劃:https://github.com/lbc-team/Pioneer

翻譯小組:https://learnblockchain.cn/people/412

Tiny熊:https://learnblockchain.cn/people/15

tornado.cash:https://tornado.cash/

Tornado.cash:https://tornado.cash/

隨機預言機模型:https://en.wikipedia.org/wiki/Random_oracle

鏈接:https://vitalik.ca/general/2021/01/26/snarks.html

多項式:https://en.wikipedia.org/wiki/Polynomial

因子定理:https://en.wikipedia.org/wiki/Factor_theorem

Schwartz-Zippellemma:https://en.wikipedia.org/wiki/Schwartz-Zippel_lemma

統計頁面:https://explore.duneanalytics.com/public/dashboards/UEU02CHiGtNw9crfeD6OJ7bKPnvFtNjOgZ7Vc6uj

pedersenhashfunction:https://iden3-docs.readthedocs.io/en/latest/iden3_repos/research/publications/zkproof-standards-workshop-2/pedersen-hash/pedersen.html#pedersen-hash

snarkjs:https://github.com/iden3/snarkjs

白皮書:https://tornado.cash/Tornado.cash_whitepaper_v1.4.pdf

正在計劃增加治理:https://tornado-cash.medium.com/tornado-cash-governance-proposal-a55c5c7d0703

去匿名化用戶:https://arxiv.org/pdf/2005.14051.pdf

CellNetwork:https://www.cellnetwork.io/?utm_souce=learnblockchain

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

登鏈社區

現已在非小號資訊平臺發布105篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/10183717.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

巨鯨的資金涌向哪里，哪里就是熱點！

Tags：TORASHORNTORNTorii FinanceLilith Cash BondCornucopiastorn幣最新利好消息

Polygon