📜 [專欄新文章] Tornado Cash 實例解析
✍️ Johnson
📥 歡迎投稿: https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium
Tornado Cash 是一個使用 zk-SNARKs 建立的 Dapp,它實現了匿名的代幣交易,這篇文章就用一些程式碼片段,來分享它是怎麼運作的。
本文為 Tornado Cash 研究系列的 Part 3,本系列以 tornado-core 為教材,學習開發 ZKP 的應用,另兩篇為:
Part 1:Merkle Tree in JavaScript
Part 2:ZKP 與智能合約的開發入門
Special thanks to C.C. Liang for review and enlightenment.
我們知道在以太坊上的交易紀錄都是公開的,你可以在 etherscan 上看到某個地址的所有歷史交易紀錄,當然地址是合約的話也是一樣。
也許創建一個新的錢包和地址就好了?假設一個情境是 Alice 想要匿名傳送 1 ETH 給 Bob,Alice 原本的錢包是 A,但她不想讓 A 地址傳給 Bob 的交易紀錄被看到,所以 Alice 創建另一個錢包 B,顯然 B 錢包是空的,Alice 必須把 A 錢包的 1 ETH 傳到 B 錢包,再用 B 錢包的地址傳給 Bob。
但問題就在於,只要追蹤 B 錢包的地址,就能看到 B 的歷史交易紀錄中 A 錢包曾經打幣給 B 錢包,於是到頭來交易還是被追蹤到了。
Tornado Cash 的解決方案,簡單來說,它是一份合約,當你要匿名傳送代幣時,就把一定數量的幣丟進合約裡 (Deposit),此時你會拿到一個 note,長得像這樣:
tornado-eth-0.1-5-0x3863c2e16abc85d72b64d78c68fca5936db2501832e26345226efdfb2bc45804977f167d86b711bb6b4095ddaa646ec93f0a93ac4884a66c1d881f4fc985
note 就是一串字串,擁有這字串的人,就能提領 (Withdraw) 剛剛傳入合約的代幣。握有 note 就代表擁有提款的權利,所以 note 一旦被別人知道,別人就可以把錢給提走。
其中,後面那段亂碼,本篇文章就以「秘密」來稱呼,這個秘密是由 secret 與 nullifier 組成,而這兩個都是在鏈下隨機產生的亂數。
因此 Tornado 的合約基本上會有兩個函式:
Deposit
Withdraw
有興趣的人可以先到 Dapp 上先玩一次看看,使用 Goerli 測試網,這裡可以領 Goerli 的代幣:https://goerli-faucet.slock.it/
Deposit
我們就從 Deposit 開始說起,簡單來說, Deposit 是將資料儲存到合約的 Merkle Tree 上。
剛剛提到的秘密,它是在鏈下產生,由 secret 跟 nullifier 組成,合在一起之後也稱作 preimage,因為我們要對這個 preimage 進行 hash,就會成為 commitment。
合約中 Deposit 如下:
deposit 除了傳送代幣到合約之外,需填入一個參數 _commitment。
我們對 preimage 使用 Pedersen 作為 hash function 加密後產生 commitment,以偽代碼表示如下:
const preimage = secret + nullifier;const commitment = pedersenHash(preimage);
這個 commitment 會成為 Merkle Tree 的葉子,所以合約中的 _insert(commitment) 來自 MerkleTreeWithHistory.sol 的合約,將我們的資料插入 Merkle Tree,然後回傳一個 index 給你,告訴你這個 commitment 在 Merkle Tree 上的位置,最後一起發布成公開的 Deposit 事件。
我們知道 MerkleTree 是將一大筆資料兩兩做雜湊後產生一個唯一值 root,這個 root 就是合約上所儲存的歷史資料。
root 的特性就是只要底下的資料一有更動,就會重新產生新的 root。
所以只要一有用戶 deposit ,就會插入新的葉子到 Merkle Tree 上,於是就會產生新的 root,所以在合約中有一個陣列是用來儲存所有的 root 的 roots:
bytes32[ROOT_HISTORY_SIZE] public roots;
roots 是用來紀錄每個 deposit 的歷史,每一次 deposit 都會創造新的 root,而所有 root 都會被儲存進 roots 裡,於是當你要提領的時候,就要證明你的 commitment 所算出的 root 曾經出現在 roots 裡,代表曾經有 deposit 的動作,因此才可以進行提領。
Withdraw
在 Deposit 之前 Tornado Cash 就會在鏈下產生秘密後交給使用者,擁有這個秘密的人等於擁有提款的權利。
提領的時候,秘密會在鏈下計算後產生 proof,proof 是 withdraw 需要的參數,所以只要確保這個 proof 能夠被驗證,那麼代幣的接收地址 (recipient) 就可以隨便我們填,只要不填上當初拿來 deposit 用的地址,基本上就做到匿名交易的效果了。
也就是說,產生這個 proof 並提交給合約,能夠證明此人知道秘密,但卻不告訴合約秘密本身是什麼。
function withdraw(bytes calldata _proof, bytes32 _root, bytes32 _nullifierHash, address payable _recipient, address payable _relayer, uint256 _fee, uint256 _refund) external payable nonReentrant;
我們可以清楚看到 withdraw 函式裡沒有接收有關秘密的任何資訊作為參數,也就是秘密不會與合約有所接觸,也不會暴露在 etherscan 上。
回顧 ZKP 所帶來的效果:
鏈下計算
隱藏秘密
在 Tornado Cash 的例子中,我們用秘密來產生證明,完成的鏈下計算包括:
將秘密 hash 成 commitment
算出 Merkle Tree 的 root。
以下是簡化後的 withdraw.circom:
template Withdraw(levels) { signal input root; signal input nullifierHash;
signal private input nullifier; signal private input secret; signal private input pathElements[levels]; signal private input pathIndices[levels];
component hasher = CommitmentHasher(); // Pedersen hasher.nullifier <== nullifier; hasher.secret <== secret; hasher.nullifierHash === nullifierHash;
component tree = MerkleTreeChecker(levels); // MiMC tree.leaf <== hasher.commitment; tree.root <== root; for (var i = 0; i < levels; i++) { tree.pathElements[i] <== pathElements[i]; tree.pathIndices[i] <== pathIndices[i]; }}
component main = Withdraw(20);
從上述代碼就可以看出這份 circuit 的 private 變數有:
secret
nullifier
pathElements
pathIndices
而 public 變數有:
root
nullifierHash
如同我們一開始說過的,秘密就是指 secret 與 nullifier。這裡進行的鏈下計算就是對 secret 與 nullifier 雜湊成 commitment。而使用的 hash function 叫做 Pedersen。
在進行 Merkle Tree 的計算之前,我們還檢查了 nullifier 雜湊後的 nullifierHash 跟 public 變數 nullifierHash 是不是一樣的。
hasher.nullifierHash === nullifierHash;
接下來,開始計算 Merkle Proof,用意是確認經過雜湊後的 commitment 有沒有出現在 Merkle Tree 上,所以我們的 private input 還有 pathElements 與 pathIndices(詳情參考 Part 1 Merkle Tree in JavaScript),讓它跑一趟 Merkle Proof 的計算,最後就能夠算出一個 root,再確認計算後的 root 與我們的 public 變數 root 是否一樣。
tree.root <== root;
於是我們就能產生一個 ZKP 的證明 — 證明 private 變數:secret, nullifier, pathElements, pathIndices 可以計算出 public 變數:root 與 nullifierHash。
把這個證明提交給合約,合約透過 Verifier 驗證 proof 是否正確,以及必須事先確認:
public 變數 root 有在合約的 roots 裡面。
public 變數 nullifierHash 在合約中是第一次出現。
以下附上完整的 withdraw 原始碼:
必須注意 ZKP 是向合約證明使用者填入的 secret 和 nullifier 可以計算出某個 root,但無法保證這個 root 曾經在合約的 roots 歷史上。
所以合約的 withdraw 中,除了 verifyProof 之外,還要事先檢查 ZKP 算出來的 root 是不是真的在歷史上發生過,所以需要 isKnownRoot 的檢查:
function isKnownRoot(bytes32 _root) public view returns(bool)
必須先檢查 isKnownRoot 後才能進行 verifyProof。
經過 verifyProof 驗證成功後,合約就開始進行提款的動作,也就會將代幣傳到 recipient 的地址,最後拋出 Withdrawal 的事件。
nullifier 與 nullifierHash
為什麼我們的秘密不是只有 secret 還要額外加一個 nullifier?
簡單來說,這是為了防止已經提領過的 note 又再提領一次,也就是所謂的 double spend。
require(!nullifierHashes[_nullifierHash], "The note has been already spent");
可以看到 withdraw 需要填入參數 nullifierHash,跟 isKnownRoot 一樣的狀況,我們需要對電路的 public 變數先經過一層檢查之後,才能帶入到 verifyProof 裡面。
nullifierHash 可以理解為這個 note 的 id,但它不會連結到 deposit,因此可以用來紀錄這個 note 是否已經被提領過。
所以當 verifyProof 驗證成功之後,我們要紀錄 nullifierHash 已完成提領:
nullifierHashes[_nullifierHash] = true;
有關為什麼需要事先檢查 public 變數後,才能帶入 verifyProof ,可以參考 Part 2:ZKP 與智能合約的開發入門 提到的 publicSignals 的部分。
附上 Tornado Cash 的架構圖:
簡化版的 tornado-core
tornado-core 的程式碼很簡潔漂亮,所以我模仿該專案自己實作一遍:
simple-tornado:https://github.com/chnejohnson/simple-tornado
這份專案只完成了 tornado-core 的核心部分,不一樣的是我的開發環境使用 hardhat 與 ethers 寫成,而 circom 與 snarkjs 使用官方當前的版本,合約用 0.7.0,測試使用 Typescript 。
比起兩年前的 tornado-core ,simple-tornado 使用的技術更新,可能更適合初學者理解這份專案,但是它有 bug…我在 issues 的地方有紀錄說明。
在開發的過程中,我的順序是先從最小單位的 MiMC hash function 開始玩,發現必須 javascript 算一次 hash、solidity 算一次、circom 再算一次,確保這三個語言對同一個值算出同樣的 hash 之後,才能放心去做更複雜的 Merkle Tree。
總結
我們可以看到 Tornado Cash 簡單的兩個函式:Deposit 與 Withdraw,透過將代幣送入合約後再提領到另一個地址的流程,應用 ZKP 達成匿名的交易。
除了斷開 Deposit 與 Withdraw 的地址關聯性之外,Tornado Cash 還有做了一層「藏樹於林」的隱私防護,這部份的解釋就請參考 ZKP 讀書會 Tornado Cash。
網路上很多關於 ZKP 的文章或專案都是在 2019 年後出產的,經過許多人對這項技術的嘗試,讓我們對 ZKP 有了更清晰的理解,如今兩年後,開發工具也變得更加成熟,期待未來在 web 隱私議題上能看到更多 ZKP 大放異彩的應用。
原始碼
tornado-core
simple-tornado
參考資料
ZKP 讀書會 Tornado Cash
Tornado Privacy Solution Cryptographic Review
Tornado Cash 實例解析 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.
👏 歡迎轉載分享鼓掌
同時也有2部Youtube影片,追蹤數超過2,700的網紅Antonia Cheng DSE English,也在其Youtube影片中提到,球證經常係英超球賽中嘅焦點??? 但係點解球賽嘅裁判會叫‘referee’ 而唔係叫’judge‘嘅?? 足球界自從引入咗VAR技術之後 一直爭議不斷 甚至被球迷唾棄??♂️??♀️ 佢帶嚟嘅混亂情況用英文又可以點講呢?☠️ 答案就喺今集《英超英文堂》喇! LET’S GOAL!⚽ ...
「var技術」的推薦目錄:
- 關於var技術 在 Taipei Ethereum Meetup Facebook 的精選貼文
- 關於var技術 在 旅遊人氣王 Facebook 的最讚貼文
- 關於var技術 在 矽谷牛的耕田筆記 Facebook 的最讚貼文
- 關於var技術 在 Antonia Cheng DSE English Youtube 的最佳解答
- 關於var技術 在 跟著領隊玩 Youtube 的最佳解答
- 關於var技術 在 [討論] 世足的VAR技術有機會用在棒球嗎- 看板Baseball 的評價
- 關於var技術 在 自由時報體育頻道's post 的評價
- 關於var技術 在 世足賽開踢!應用了哪些最新科技!?首次導入VAR ... - YouTube 的評價
var技術 在 旅遊人氣王 Facebook 的最讚貼文
#補助方案
本土疫情持續升溫,在因疫情而不得不暫時休館、停業的影響下
整理好紓困4.0懶人包如下,提供各產業的老闆們查看是否符合補助申請資格。
如果您是【住宿式機構】或【社福事業單位】
懶人包→ https://reurl.cc/6ay1bO
如果您是【留遊學服務業】、【補習班】、或者【運動事業(健身房及相關從業)】
懶人包→ https://reurl.cc/En2xRm
如果您是【商業服務業(如餐飲、攝影、美髮、娛樂休閒業…等)】或【貿易服務業】、【製造及技術服務業】
懶人包→ https://reurl.cc/9rZl6X
如果您是【觀光產業(旅行業、觀光遊樂業…等)】、【陸運產業(計程車、遊覽車…等)】
懶人包→ https://reurl.cc/6ay1lk
如果您是【藝文事業者(如工藝坊、實體書店、樂團…等)】
懶人包→ https://reurl.cc/0jDA2A
讓我們攜手共度難關!
var技術 在 矽谷牛的耕田筆記 Facebook 的最讚貼文
本篇文章是一個技術探討文,探討 Docker 是如何使用硬碟空間以及當維運人員發現空間不足時應該要如何清理系統上的空間。
Docker 的便利使用方式使得開發人員可以非常簡的透過的 Container 的概念來運行各式各樣的應用程式,這中間牽扯包含 Image 的建置,抓取以及透過其產生出一個運行的 Container。
隨者時間愈用愈久,系統內可用的空間也會愈來愈少,這時候可以透過 docker system df 來觀看一下目前系統上的空間資訊,主要包含下列四種類型,而每個類型也會包含目前使用量以及可以回收的量有多少
1. Images
2. Containers
3. Local Volumes
4. Build Cache(只有 docker 18.09 後使用 buildkit 才會有)
當 Contaienr 被創建時, /var/lib/docker 底下會有很多檔案以及資料夾都被創建出來,譬如
- /var/lib/docker/containers/ID (資料夾):如果 container 使用的是預設的 logging driver,則 log 檔案都會以 JSON 的格式存放於這個資料夾底下。
所以要注意,當 contaienr 有太多 log 時,其會透過這個方式影響節點檔案系統的容量
- /var/lid/docker/overlay2 (資料夾): 這邊包含了 containers 本身的 read-write layer 的檔案,大部分 Linux 發行版預設都會使用 overlay2 來管理。此外 contaienr 內如果有存放任何額外檔案於系統中,實際上都會放這節點上的這個資料夾內。
接下來作者透過一個實際的範例,讓一個全新的 contaienr 內透過 dd 指令來產生一些檔案,並且觀察上述資料夾的變化以及 docker system df 的結果,最後介紹 docker prune 以及 docker rm 針對 contaienr 的處理。
關於 image 的部分,除了常規使用的 Image 外,還有
1. Dangling images: 不再被參考使用的 image,譬如 ID/Tag 都是 None 的
這邊可以透過 docker image ls -f dangling=true 的指令
文章後半部分還有介紹 docker volume 以及 build cache 的部分,這篇文章非常推薦大家閱讀,除了基本使用外還會介紹底層 docker 實際上用到的資料夾,有了這些概念未來對於如何清除 docker 環境就會更有概念,知道要刪除哪些資料夾以及為什麼要刪除。
https://betterprogramming.pub/docker-tips-clean-up-your-local-machine-35f370a01a78
var技術 在 Antonia Cheng DSE English Youtube 的最佳解答
球證經常係英超球賽中嘅焦點???
但係點解球賽嘅裁判會叫‘referee’
而唔係叫’judge‘嘅??
足球界自從引入咗VAR技術之後
一直爭議不斷 甚至被球迷唾棄??♂️??♀️
佢帶嚟嘅混亂情況用英文又可以點講呢?☠️
答案就喺今集《英超英文堂》喇!
LET’S GOAL!⚽
?如果你想第一時間收到免費英文DSE考試攻略,記住Subscribe我的Youtube Channel: https://www.youtube.com/channel/UCMBNiENk6JIQ8rb3mY72IIw
?更多DSE English教學片段: https://www.youtube.com/watch?v=Ay_2qp9-Obo&list=PLOmx6EareF48npM1JgVts1j5XeHRsN3ou
★ Antonia DSE 英文課程 ★
- 首席英文科導師
- 香港中文大學翻譯系碩士
- 教授英文超過15年,學生人數衝破十萬
- DSE暢銷天書作者《天后的DSE英文教室》
★ 網上報名及其他教學影片 ★
http://www.antoniacheng.com
✅WhatsApp即時查詢: https://wa.me/85298869468
✅Email查詢: admin@antoniacheng.com
★ Follow我吧! ★
Instagram - https://instagram.com/antoniacheng
Facebook - https://www.facebook.com/antonia.chengii
Whatsapp - 9886 9468
Wechat – antoniacheng
var技術 在 跟著領隊玩 Youtube 的最佳解答
台北西門町最夯的遊戲體驗,想要臉紅心跳加速,為愛情加溫嗎?那來一場VR 虛擬實境之生化煉獄,如果是親子同樂,推薦你野人戰爭、搶救維京人或怪怪屋,挑戰點膽量當然是魂飛魄散啦!超逼真好有趣喔!
全文閱讀:https://taiwantour.info/var-live/
中正食尚玩家懶人包 https://ppt.cc/fhxLLx
~~~~~~~~~~~~~~~~~
#歡迎按讚分享蒐集旅遊夢想清單
加入Line@生活圈,以後直接通知
https://line.me/R/ti/p/%40ooj4743j
歡迎訂閱youtube:https://goo.gl/Meoj6w
var技術 在 自由時報體育頻道's post 的推薦與評價
喔喔喔英超也要使用VAR技術了 #足球#英超#VAR. ... <看更多>
var技術 在 世足賽開踢!應用了哪些最新科技!?首次導入VAR ... - YouTube 的推薦與評價
非常的順利沒有被疫情影響到,而這次世足賽又有最新 科技 ,首次導入了「越位半自動化判定系統」,透過 VAR (Video assistant referees,影像輔助裁判) ... ... <看更多>
var技術 在 [討論] 世足的VAR技術有機會用在棒球嗎- 看板Baseball 的推薦與評價
這次世界盃足球賽在比賽球裡面放了追蹤器
加上球場裡面有12台專門給VAR運算用的攝影機
所以這幾天比賽一些過去肉眼很難分辨的越位都被抓出來
而且這屆VAR在AI運算下,耗時更短更快
如果能用到棒球的話
至少界內界外球,可以立刻透過運算的方式快速判定
更甚的話,應該早晚也能做好球帶的運算
不知國際上有沒有相關技術已經在默默投入棒球這塊了?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.214.177.49 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Baseball/M.1669202474.A.069.html
... <看更多>