關於 token contract address ，我們在網路上蒐集到這些相關的討論、資訊與評價

📜 [專欄新文章] [ZKP 讀書會] Tornado Cash

✍️ Jerry Ho

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Disclaimer: 本人與Tornade Cash專案及其員工無任何利益往來。

Tornado Cash是一個Ethereum上的原生隱私轉帳解決方案，使用zk-SNARK+Merkle Tree的路徑證明作為其核心隱私保護機制。

你知我知，Ethereum上的交易記錄是公開的，這使得任何一個人只要知道你的address，便可以在https://etherscan.io/ 之類的網站上查出有多少人和這個位置進行過交易，你做過什麼消費行為或是交易行為等。

或許這聽來不像是個問題，而想要隱藏自己的交易記錄甚至聽起來反而像是不法分子的銷贓行為。

但試想下開情境：因為我曾經使用ethereum捐款給一個政治不正確的專案/組織，而我在接受dd/kyc/reference check的時候因為我的ethereum address就寫在自己的blog上而被查了個底朝天，因而被拒絕入職/拒絕開戶/拒絕服務。

這並不是一個很遙遠的情境…

Tl;dr

解決交易隱私問題分為兩個層次，Assuming你的目的是讓自己的金錢流向無法被追蹤。

層次一：我的錢「丟進了」Tornado Cash的contract，我要如何在不使用與轉入時同一個address的情況下— 若是同一個address就沒有隱私可言了 — 取出我的錢？contract如何知道我存過錢，餘額還夠，所以現在我來領錢了他讓我領？

層次二：就算層次一成立，我的隱私如何達成？到底有多隱私？到底有多不隱私？

技術上來說（細節下文詳談），層次一使用zero-knowledge的set-membership proof來證明，透過預先在Merkle Tree中「登記」一個自己的entry/leaf，tornado cash稱為note，爾後在提款時提出該leaf之zk proof，來解決這個提款時的認證問題。

層次二則是所謂的藏樹於林。既然轉出和轉入無法被連結在一起，那麼只要使用Tornado Cash的人數夠多，總轉出和總轉入的交易總筆數就會太多，以致無法輕易重新關聯轉入與轉出地址背後的真人。

使用界面

https://tornado.cash/

當然你也可以直接和合約地址互動啦

上圖左方紅框為存入幣種與金額大小，右方紅框為該額度對應之帳戶內有多少顆「樹」。

記得藏樹於林嗎？右方的 Anonymity set 就是告訴你現在森林的規模有多大。數量一大，跑資料分析試圖重新關聯某筆特定存款到某筆特定提款就變得更為困難。

提款界面如上。

值得注意的是，提款時的以上兩個選項(Wallet/Relayer)，是在目前Account Abstraction尚未實現時的一個折衷方案。

這裡有個死循環：既然我提款的時候需要支付gas，那麼我的gas從哪裡來？是不是勢必得從交易所或是其他帳號來？簡言之，若是無法直接新建立一個地址然後直接將其作為Tornado Cash提款用，達到的隱私強度就大打折扣。

Relayer就是針對這個問題所設計的。透過付出一些手續費來提供社群架設relayer node的誘因，提款時該筆轉帳的gas費用，便可以讓relayer node來負責先出。relayer node收到使用者的zk proof後將其轉交給tornado cash的合約，合約就會會將應有的relayer手續費與扣除手續費+gas後的款項分別轉給relayer與使用者。

社群治理

Tornado Cash天生是一個比較沒有銅臭味的專案 — 社群治理和funded的味道相當強烈。

透過預先設計好的proxy contract與staking/locking機制，任何一個Tornado Cash的使用者都能夠提出對合約實行的改動建議，並交由社群來投票決定是否要執行該改動。

技術細節可以參照此篇，同時Tornado Cash的第一輪社群治理提案也剛投票過關，回顧可參考此處之討論。

誘因設計

本文作者比較任性不在意錢，請移駕此處閱讀官方如何設計Anonymity Mining來確保以下兩點：

機制能讓使用者願意加入存錢，提供流動性同時也讓樹林變大，增加隱私程度。

產生TORN(ERC20 token)與領取TORN的機制，透過在原本的tornado cash上面再加一層，來避免TORN激勵層錯誤的設計導致下一層之隱私洩漏（激勵層出事不影響核心隱私之意）。

技術細節

首先本文不打算解釋何為zero-knowledge proof，請接受以下描述：

若有一NP statement分類上是satisfiability problem(例：merkle tree中的hash chaining H(H(H(a,b),c),d) )，則我們可以設計出一個arithmetic circuit來確保能夠有效率的產生proof, 有效率的驗證, 無法產生假的且能說服人的proof…且其電路驗證的statement是我們想要的，像是此例中的merkle tree opening.

存款

存款者透過送出C = H(k, r) 以及存入之數額給tornado cash的合約來進行存款的動作。其中k在之後會成為存款者領錢的憑證，稱為nullifier，r則是增加randomness而已，此二值需要記下。此時合約端會將這個C(commitment)丟入Merkle Tree上其中一個空的leaf，並更新root hash。存款者還需要記下自己的C對應之leaf index。

產生proof，用此proof作為提款憑證

用一段話來概括，若是我

知道Merkle Tree上某個leaf的commitment的preimage, 代表我能在電路中證明我知道H(k, r) 中的 k, r, 同時不洩漏k, r到底是多少（zk特性, magic）。

我知道該leaf至root的路徑上會經過哪些點，我也提供了一個可以讓電路驗證root hash的hash chaining過程，代表我知道他是從哪個leaf開始走的。因而，這證明了我提出的1.中的commitment確實屬於某顆公開的、大家都知道的merkle tree中的特定leaf（就是我之前存款對應到的leaf）。

就可以在不需要提供像是原本存款地址的簽章之類的驗證機制情況下，透過zk proof，亦能正確做permission control讓unlinkable的提款能夠成真。

另，讀者可以看到在proof中已然預設了relayer的存在。這使得上開所提到之「使用者提款, 拜託relayer執行=>relayer預付gas發起transaction，將內容送給tornado cash合約=>合約處理proof並將款項拆成兩份給relayer與使用者」這個行為得以成立，且relayer無法得知或假造proof內容。

提款流程

基本上在上方的產生證明都講過一次了，這邊就是pseudo code順過一次提款流程而已，大家自己看啊。

值得一提的是，使用者除了需要提出上一部分提到的證明之外，還需要將k的部分額外拿出來再做一次H(k)，將值一併傳給contract。

這裡的設計哲學，簡單來講是這樣的：zero-knowledge太強了，強到就算證明了我知道H(k, r)的k跟r, 收到的驗證者並沒有辦法知道H(k)是什麼東西。為了讓同一筆款項不會被提領兩次，在提款流程中合約會將「每一筆成功提款中的H(k)」記錄下來，另外開個表存著。爾後若是其他提款交易中的H(k)與表中的重複了，這就代表有人試圖想要騙合約重複提款，自然該提款嘗試就不會成立。

洗錢失敗例

工程師都知道使用者從來不看說明書，看了可能也不會懂。

Koh Wei Jie分析了Kucoin的駭客事件。Kucoin的駭客使用Tornado Cash來洗錢，但忽略了Tornado Cash官方一直三令五申的使用需知，因而讓款項在進入Tornado Cash跑了一輪之後還是能夠被追蹤，哈哈UCCU。

簡單來說，hacker為了節省多次使用relayer的手續費，而將大多數的提領過程都變成直接提領到wallet。雖然該wallet的位置是全新產生的沒有gas，但是透過只讓第一次的提款使用relayer，hacker便能從第一次提款中取得手續費並分發給其他全新產生的wallet address。

那問題在哪？還要問？

要達到隱私需要保持藏樹於林原則，同時使用者不應自己破壞tornado cash幫你達成的address unlinkability。這位hacker因為愛省手續費，所以違背了後者；同時他因為太心急又愛省手續費，太快、分太少次提領、每次提領的數額又太大了，所以side-channel去給他做簡單的traffic analysis就能夠用虛無假設推出：「綜觀歷史上所有的存款位置與數額，扣掉駭客存錢的那些位址之後，我們還需要14個unique address/user共謀，才能有能力一次提這麼多錢。」

這看起來可能嗎？自然是不可能的。

所以這位駭客就是錯誤的沒有遵守藏樹於林的原則，才導致自己的金流重新被和帳號聯繫在一起。

提供一些延伸閱讀，圈子內的”名人”對這種不看說明書的使用者的看法：

tornado * Gavin Andresen

如何避免洗錢失敗

我自己的投影片，我自己翻譯：

打開你的VPN 打開你的TOR 打開你的無痕瀏覽器分頁 用上你全新的VM PC VPS instance 最好連data-link layer安全都顧到 產生全新的地址不要懶惰 自己跑一個fullnode 乖乖用relayer付手續費提款 領錢之後記得把C(k,r)的記錄刪掉 不要急一次存或提領大額 時間拉長數目減少…..

簡而言之：要設計相對安全但又讓使用者可以直覺上手的安全系統真的很他媽難 - 使用者永遠會想辦法抄近路，然後系統的security assumption就爆炸了。

結論上來講，你想要多安全取決於你在臺大水源校區的腳踏車平常都上幾個大鎖=想付出多少成本。只要不要學Kucoin Hacker那樣連鎖都不鎖車還是新的，大部分時間都沒啥問題 lol。

參考資料與文中出現過的連結，不按先後順序：

https://tornado.cash/Tornado.cash_whitepaper_v1.4.pdf

https://tornado.cash/audits/TornadoCash_cryptographic_review_ABDK.pdf

https://tornado.cash/audits/TornadoCash_circuit_audit_ABDK.pdf

https://torn.community/t/whats-next-for-tornado-cash-governance/250

https://weijiek.medium.com/deanonymising-the-kucoin-hacker-418fa5e9911d

https://tornado-cash.medium.com/tornado-cash-governance-proposal-a55c5c7d0703#2084

https://eips.ethereum.org/EIPS/eip-2938

http://gavinandresen.ninja/private-thoughts

[ZKP 讀書會] Tornado Cash was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] 可升級合約介紹 - 鑽石合約（EIP-2535 Diamond standard）
✍️ Kimi Wu
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Photo by Evie S. on Unsplash

前言

可升級合約簡單來說是透過 proxy contract（代理合約）來達成，藉由代理合約去呼叫欲執行的合約，若要升級，則把代理合約中的指向的地址換為新的合約地址即可。而執行的方式則是透過 delegateCall，但 delegateCall 不會更動目標合約的狀態。所以要怎麼處理變數，就是一門學問了。

舉例來說，contract B 有個變數 uint256 x，初始值為 0， 而 function setX(uint256)，可以改變 x 的值。proxy contract A 使用 delegatecall 呼叫 contract B 的 setX(10)，交易結束後，contract B中的 x 依然還是 0。

OpenZeppelin 提出了三種實作方式，可以做到可升級合約，細節可參考 Proxy Patterns，而最終的實作選用了 Unstructured Storage的這個方式，這種方式對於開發較友善，開發時不需特別處理 state variables（不過升級時就需要特別注意了）。而這篇主要是介紹 Diamond standard，OpenZeppelin 的可升級合約就不多做介紹。

USDC V2 : Upgrading a multi-billion dollar ERC-20 token 詳細地介紹代理合約跟變數儲存之間的關係，不了解升級合約的原理，建議先看看。

鑽石合約

名詞介紹

diamond：合約本體，是一個代理合約，無商業邏輯

facet：延伸的合約（實際商業邏輯實作的合約）

loupe：也是一個 facet，負責查詢的功能。可查詢此 diamond所提供的 facet與facet所提供的函式

diamondCut：一組函式，用來管理（增加/取代/減少）此 diamond合約所支援的功能

Loupe

直接來看 loupe的介面，從宣告就能很清楚暸解 diamond合約的實作方式，loupe宣告了一個結構 Facet，Facet結構包含一個地址及 function selector 陣列，所以我們只需要記錄一個 Facet陣列就可以得知這個 diamond 合約有多少個延伸合約及所支援的功能（loupe只定義結構，而實際變數是存在diamon合約中的）。也就是 diamond合約中只記錄延伸合約的地址及其支援的 function selectors，及少數 diamond合約的管理邏輯，並無商業邏輯，因此可以外掛非常非常多的合約上去（就像一個Hub），也就可以突破一個合約只有２４Ｋ的限制。

// A loupe is a small magnifying glass used to look at diamonds.interface IDiamondLoupe { struct Facet { address facetAddress; bytes4[] functionSelectors; } function facets() external view returns (Facet[] memory facets_); function facetFunctionSelectors(address _facet) external view returns (bytes4[] memory facetFunctionSelectors_); function facetAddresses() external view returns (address[] memory facetAddresses_); function facetAddress(bytes4 _functionSelector) external view returns (address facetAddress_);}

DiamondCut

至於 facet在 diamond合約上的註冊或是修改，就由 diamondCut負責，從以下程式碼可以清楚瞭解其功能（EIP中有規範，每次改變都需要發送DiamondCut事件）

interface IDiamondCut { enum FacetCutAction {Add, Replace, Remove} // Add=0, Replace=1, Remove=2 struct FacetCut { address facetAddress; FacetCutAction action; bytes4[] functionSelectors; } function diamondCut( FacetCut[] calldata _diamondCut, address _init, bytes calldata _calldata ) external; event DiamondCut(FacetCut[] _diamondCut, address _init, bytes _calldata);}

Diamond合約

接下來就是最核心的部分 — diamond本體合約。以下是官方的範例，方法上跟 OpenZeppelin 一樣使用 fallback 函式跟 delegateCall 。

呼叫合約所不支援的函式，就會去執行 fallback 函式，fallback 函式中再透過 delegateCall 呼叫 facet 合約相對應的函式

fallback() external payable { address facet = selectorTofacet[msg.sig]; require(facet != address(0)); // Execute external function from facet using delegatecall and return any value. assembly { calldatacopy(0, 0, calldatasize()) let result := delegatecall(gas(), facet, 0, calldatasize(), 0, 0) returndatacopy(0, 0, returndatasize()) switch result case 0 {revert(0, returndatasize())} default {return (0, returndatasize())} }}

主要的差異在於變數的處理，OpenZepplin 是針對單一合約設計的代理合約（也就是每個合約都有自己的代理合約），所以無法處理單一代理合約儲存多個合約的變數（state variables）的狀況（後有圖例）。先由官方的範例程式來了解是怎麼處理變數的

在官方的範例中，都是以更改合約 owner 為例子

首先看到 DimaondStorage這個結構，結構中的前面三個變數都是在維持 diamond合約的運作（同上面loupe的範例），最後一個變數 contractOwner就是我們商業邏輯中所需的變數。
接著看到 function diamondStorage()，取變數的方式就跟OpenZeppelin 儲存特定變數方式一樣（EIP-1967），是把變數存到一個遠方不會跟其他變數碰撞到的位置，在這裡就是從 DIMOND_STORAGE_POSITION 這個 storage slot 讀取。
在實作上就可以有 LibDiamond1 ，宣告DIMOND_STORAGE_POSITION1=keccak256("diamond.standard.diamond.storage1") ，負責處理另一組的變數。藉由這種方式讓每個 facet合約有屬於自己合約的變數， facet合約間就不會互相影響。而最下方的 setContractOwner 是實際使用的範例。

library LibDiamond {

bytes32 constant DIAMOND_STORAGE_POSITION = keccak256("diamond.standard.diamond.storage");

struct FacetAddressAndSelectorPosition { address facetAddress; uint16 selectorPosition; }

struct DiamondStorage { mapping(bytes4 => FacetAddressAndSelectorPosition) facetAddressAndSelectorPosition; bytes4[] selectors; mapping(bytes4 => bool) supportedInterfaces; // owner of the contract address contractOwner; }

function diamondStorage() internal pure returns (DiamondStorage storage ds) { bytes32 position = DIAMOND_STORAGE_POSITION; assembly { ds.slot := position } }

function setContractOwner(address _newOwner) internal { DiamondStorage storage ds = diamondStorage(); address previousOwner = ds.contractOwner; ds.contractOwner = _newOwner; emit OwnershipTransferred(previousOwner, _newOwner); }

每個 library 處理了一組或多組變數的存取， facet 合約透過 library 對變數做操作。也就是把變數存在diamond主體合約，延伸的 facet合約只處理邏輯，是透過 library 去操作變數。

下面圖中清楚地解釋了 facet合約，function selectors 與變數之間的關係，從最左上這邊有個 facets 的 map，紀錄了哪個 selector 在哪個合約中，例如func1, func2是 FacetA的函式。左下角宣告了變數，每組變數的存取如同上述 library 的方式處理。

https://eips.ethereum.org/EIPS/eip-2535#diagrams

在 diamond的設計中，每個 facet合約都是獨立的，因此可以重複使用（跟library 的概念一樣）

https://eips.ethereum.org/EIPS/eip-2535#diagrams

小結

diamond合約使用不同的設計來達成合約的可升級性，藉由這種Hub方式可隨時擴充/移除功能，讓合約不再受限於24KB的限制，此外充分的模組化，讓每次升級的範圍可以很小。最後，因為跟library一樣只處理邏輯，並無狀態儲存，所以可以重複被不同的diamond合約所使用。

雖然又不少好處，也是有些缺點。首先，術語名詞太多，facet, diamondCut, loupe等等（其實還有好幾個，不過沒有介紹到那些部分，所以沒有寫出來）。開發上不直覺，把變數跟邏輯拆開，若要再加上合約之間的繼承關係，容易搞混，不易維護。最後，gas的花費，在函式的讀取、呼叫，變數的存取、傳遞都會有不少的額外支出。Trail of Bits 專欄中有點出更多的缺陷 Good idea, bad design: How the Diamond standard falls short，不過作者也有反擊 Addressing Josselin Feist’s Concern’s of EIP-2535 Diamond Standard，有興趣的讀者可以自行看看、比較。

為了模組化及彈性，diamond合約在設計上有點太複雜（over engineering），會造成可讀性越差（這點也是Vyper誕生的原因之一），而可讀性越差就越容易產生bug、也越不容易抓到bug，而在defi專案中，一個小小的bug通常代表著大筆金額的損失 😱😱😱。

雖然如此，筆者還是覺得很酷，有些設計的思維仍然可以使用在自己的專案

ref:
EIP 2535
Diamond 實作
Addressing Josselin Feist’s Concern’s of EIP-2535 Diamond Standard
OpenZeppelin upgradeable contract

可升級合約介紹 - 鑽石合約（EIP-2535 Diamond standard） was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌