• 译文出自:登链翻译计划 [1]

  • 译者:翻译小组 [2]

  • 校对:Tiny 熊 [3]

越来越多的项目攻击后,我们可以看到一种新的黑客模式出现:

  1. 通过 tornado.cash[4] 获得匿名 ETH。

  2. 用 ETH 来支付黑客交易的费用。

  3. 使用闪电贷来减少资本需求。

  4. 通过大量的资本,创造一些失衡(imbalances),并对失衡进行套利。

  5. 尽可能多地重复前面的过程

  6. 偿还闪存贷款,留下利润。

闪电贷和创造失衡当然值得写博客文章。但本文我们将仔细研究 Tornado.cash[5]。

那么 Tornado.cash 是什么呢?

Tornado.cash: 一个关于匿名和 zk-SNARKs 的故事

Tornado.cash

Tornado.cash: 一个关于匿名和 zk-SNARKs 的故事 Money RoomTornado.cash 是一个充满钱的屋子

想象一下,我们有一个房间,只有一扇门,房间门口有一个警卫。任何人都可以走到警卫面前,给他一张 100 美元的纸币。警卫接过纸币,把它放在上锁的房间里。然后他要求给钱的人想一个非常大的数字。这个人没有直接给他这个数字,而是计算出这个数字的哈希值,写下来交给警卫。带有哈希值的纸被扔进一个大碗里。

不妨想象一下,随着时间的推移,成百上千的人也会这样做。然后,房间里会有成千上万张 100 美元的纸币,警卫会有一个碗,里面有成千上万张含有哈希值的纸。

如果有人想要回他的 100 美元,他可以走到警卫那里。最简单的解决办法就是向警卫出示之前的随机数。警卫可以计算哈希值,并检查所有文件是否有这样的哈希值。如果他发现一个,他就会销毁那张纸,并把 100 美元还给你。

但如果我们这样做,存在警卫作恶的风险?他可以秘密地追踪哪张 100 美元属于哪个随机数,从而暴露我们的身份。

用球为例解释零知识

现在,如果我们能向警卫证明,我们知道一个秘密的数字,在不透露实际数字的情况下,在碗内对承诺进行哈希运算呢?那么,我们可以用零知识证明来做到这一点。零知识证明是很复杂的,但概念化的简单方法是下面这个例子(感谢 Lucas 在 ETH.Berlin 给我这个例子)。

想象一下,你是盲人,我给你两个球,感觉完全一样,重量也一样。现在我告诉你这两个球的颜色不同。附近没有其他人。你怎么能知道我说的是不是真的呢?

你可以在每只手上放一个球,把它们展示给我看。现在你把它们放在你的背后,你要么在两只手之间交换球,要么不交换。然后你把它们拿给我看,并问我:' 我是否交换了球?现在,如果两个球都是同样的颜色,将有 50% 的机会猜对。但如果连续答对了 15 次,你几乎可以肯定(99.997% 的把握)说这两个球确实是不同颜色的。因为随机猜对 15 次,几乎不可能。

我现在已经向你证明了这些球是不同颜色的,但却没有透露实际的颜色,因此被称为 零知识 证明。你不知道这些球是绿色、黑色、橙色还是别的什么。

取回你的钱

现在有人可以向警卫证明,他实际上知道一个数字,这个数字对应碗里的一个数字。这个证明产生了一个特定的签名。警卫写下签名,并将其储存起来。每当有人提供一个新的证明时,他可以检查同一证明是否已经被使用。如果它已经被使用过,那么有人试图用相同的随机数字获得多张 100 美元。

因此,尽管该数字的哈希值仍在我们的碗内,而且警卫不知道哪些哈希值已经再次取出了 100 美元,但他可以意识到有人正试图多次使用同一证明。

现在拿回这 100 美元后,他们不能直接追溯到原来的 100 美元,即使警卫是恶意的。

从零知识到 zk-SNARKs

在区块链的世界里,正常的零知识证明有一个问题:连续问很多遍,等待答案,需要来回几次交易。这根本就不是很有效率。有了 zk-SNARKs,或者非交互式零知识证明,我们可以在一轮中完成证明。基本上,问题是根据随机预言机模型 [6] 预先确定的。然后验证者可以在一次交易中发送所有答案。

zk-SNARKs 的概念是一个非常有趣的话题。Vitalik 发布了一个适合初学者的介绍链接 [7]。好吧,尽可能的方便初学者。如果你想真正深入了解它背后的数学,这将是不容易的。我自己当然没有弄清楚文章中的所有内容,但如果你只想知道基本情况,这里是我的高层次理解:

  • zk-SNARKs 是基于非常繁重的计算,比如计算 1 亿次哈希值。

  • 验证一个证明本身并不要求运行繁重的计算。

  • 实际数据由多项式 [8] 表示,例如: x² - 4x + 7

  • 使用因子定理 [9],我们可以将某些多项式转化为其最低度多项式的倍数。

  • 然后利用多项式承诺和 Schwartz-Zippel lemma[10],我们可以通过随机检查一些坐标来验证此类多项式的证明。

要正确理解这一点,请阅读 Vitalik 的文章: https://vitalik.ca/general/2021/01/26/snarks.html

从理论到实践:Tornado.cash

Tornado.cash: 一个关于匿名和 zk-SNARKs 的故事 tornado.cash

使用 zk-SNARKs,tornado.cash 允许你将固定金额的 ETH、DAI、cDAI、USDC、cUSDC 或 USDT 存入合约。在存款时,你会收到一个备份代码,用于以后提取资金。

为什么用固定金额? 基本上每个固定金额都是它自己的匿名性设置。你可以在上面的截图中看到,当时 0.1ETH 的匿名度是 426。意味着目前还有 426 人可以获得 0.1ETH。而由于存款是公开信息,当你存入 0.1ETH 时,这些 0.1ETH 以后可以追踪到这 427 人,但不能直接追踪到你。

这有多安全? 在匿名性方面,匿名集有多大,人们的存款和提款有多频繁,它就有多安全。如果你有一个 30,000 人的集合,但几个月没有存款 / 提款。现在你来存款,等了一天又取款,要追踪资金到你身上将是非常容易的。因此,请密切关注统计页面 [11]。

它是如何工作的? 利用 pedersen hash function[12] 可以有效地计算出椭圆曲线上的 hash,以用于 zk-SNARK。snarkjs[13] 则用来进行初始设置和自动生成 Solidity 验证器合约。

所有细节可在白皮书 [14] 中找到。

Tornado.cash 的治理

Tornado.cash 协议正在计划增加治理 [15]。将包括自己的 TORN 代币,TORN 55% 将被用作金库,30% 支付给团队和投资者,5% 空投给服务的早期用户以及 10% 用于新概念的匿名挖矿。

由于 tornado.cash 服务只有在很多人使用时才是安全的,所以 TORN 会进一步激励人们在合约中留下资金,并为此向他们支付 TRON。这将以充分保持矿工的匿名性的方式进行。

去匿名化

现在有人已经开始尝试去匿名化用户 [16]。这可以通过三个指标来达到目的:

  1. 发送存款 / 取款的每日的时间

  2. Gas 价格分布

  3. 交易图表分析

例如:

  1. 当该服务的大多数用户生活在欧洲,而你生活在新西兰,在你的时间下午 4 点左右与合约交互时,在欧洲将是凌晨 4 点。因此,要识别你会非常容易。

  2. 大多数钱包倾向于 MetaMask 自动设置 Gas 价格,从而提供一些信息来识别用户。

  3. 拥有多个地址的用户可能用这些地址与相同的服务进行交互。在最坏的情况下,这些地址之间甚至有直接的联系,或是通过交易图表能够将某些地址映射在一起。

如果你严格遵守规则,所有这些问题都是可以防止的:

  1. 使用 0-24 的随机数发生器,在你发送存款 / 取款时为你生成一个时间

  2. 在随机数生成器的帮助下,手动设置你的交易 gas 成本,或使用多个钱包

  3. 使用一个新的地址取款,以后不要用这个地址和另一个地址使用相同的服务


本翻译由 Cell Network[17] 赞助支持。

来源: https://soliditydeveloper.com/tornado.cash

参考资料

[1]

登链翻译计划 : https://github.com/lbc-team/Pioneer

[2]

翻译小组 : https://learnblockchain.cn/people/412

[3]

Tiny 熊 : https://learnblockchain.cn/people/15

[4]

tornado.cash: https://tornado.cash/

[5]

Tornado.cash: https://tornado.cash/

[6]

随机预言机模型 : https://en.wikipedia.org/wiki/Random_oracle

[7]

链接 : https://vitalik.ca/general/2021/01/26/snarks.html

[8]

多项式 : https://en.wikipedia.org/wiki/Polynomial

[9]

因子定理 : https://en.wikipedia.org/wiki/Factor_theorem

[10]

Schwartz-Zippel lemma: https://en.wikipedia.org/wiki/Schwartz-Zippel_lemma

[11]

统计页面 : https://explore.duneanalytics.com/public/dashboards/UEU02CHiGtNw9crfeD6OJ7bKPnvFtNjOgZ7Vc6uj

[12]

pedersen hash function: https://iden3-docs.readthedocs.io/en/latest/iden3_repos/research/publications/zkproof-standards-workshop-2/pedersen-hash/pedersen.html#pedersen-hash

[13]

snarkjs: https://github.com/iden3/snarkjs

[14]

白皮书 : https://tornado.cash/Tornado.cash_whitepaper_v1.4.pdf

[15]

正在计划增加治理 : https://tornado-cash.medium.com/tornado-cash-governance-proposal-a55c5c7d0703

[16]

去匿名化用户 : https://arxiv.org/pdf/2005.14051.pdf

[17]

Cell Network: https://www.cellnetwork.io/?utm_souce=learnblockchain

Tornado.cash: 一个关于匿名和 zk-SNARKs 的故事