HashKey Capital深度解讀ZK（一）：歷史原理與行業_ASH

當前區塊鏈行業里零知識證明項目增速驚人，特別是ZKP在擴容和隱私保護兩個層面應用的崛起，令我們接觸到了各種花樣繁多的零知識證明項目。由于ZKP極富數學性的特質，對于加密愛好者來說，想要深度了解ZK的難度大幅提升。因此我們也希望從頭梳理ZKP理論和應用層面的一些變化，與讀者一起探索對于crypto行業的影響和價值——通過幾篇報告的形式共同學習，也作為HashKeyCapital研究團隊的思考總結。本篇是該系列的第一篇，主要介紹ZKP的發展歷史、應用和一些基本原理。一、零知識證明的歷史

現代零知識證明體系最早來源于Goldwasser、Micali和Rackoff合作發表的論文：TheKnowledgeComplexityofInteractiveProofSystems，該論文提出于1985年，發表于1989年。這篇論文主要闡釋的是在一個交互系統中，經過K輪交互，需要多少知識被交換，從而證明一個證言是正確的。如果可以讓交換的知識為零，則被稱之為零知識證明。這里面會假設證明者具有無限資源，而驗證者只具有有限資源。而交互式系統的問題在于證明不完全是數學上可證的，而是概率意義上正確的，雖然概率很小(1/2^n)。所以交互式系統并不完美，只有近似完備性，以此為基礎誕生的非交互式系統系統則具有完備性，成為零知識證明系統的完美所選。早年的零知識證明系統在效率以及可用性方面都有所欠缺，所以一直都停留在理論層面，直到最近10年才開始蓬勃發展，伴隨著密碼學在crypto成為顯學，零知識證明走向臺前，成為至關重要的一個方向。特別是發展出一個通用的、非交互的、證明大小有限的零知識證明協議，是其中最關鍵的探索方向之一。基本上零知識證明就是要在證明的速度、驗證的速度和證明體積的大小之間做取舍，理想的協議是證明快、驗證快、證明體積小。零知識證明最重要的突破是Groth在2010年的論文ShortPairing-basedNon-interactiveZero-KnowledgeArguments，也是ZKP里面最重要的一組zk-SNARK的理論先驅。零知識證明在應用上最重要的進展就是2015年Z-cash使用的零知識證明系統，實現了對交易及金額隱私的保護，后來發展到zk-SNARK和智能合約相結合，zk-SNARK進入了更為廣泛的應用場景。在此期間，一些重要的學術成果包括：2013年的Pinocchio(PGHR13)：Pinocchio:NearlyPracticalVerifiableComputation，將證明和驗證時間壓縮到適用范圍，也是Zcash使用的基礎協議。2016年的Groth16：OntheSizeofPairing-basedNon-interactiveArguments，精簡了證明的大小，并提升了驗證效率，是目前應用最多的ZK基礎算法。2017年的Bulletproofs(BBBPWM17)Bulletproofs:ShortProofsforConfidentialTransactionsandMore，提出了Bulletproof算法，非常短的非交互式零知識證明，不需要可信的設置，6個月以后應用于Monero，是非常快的理論到應用的結合。2018年的zk-STARKs(BBHR18)Scalable,transparent,andpost-quantumsecurecomputationalintegrity，提出了不需要可信設置的ZK-STARK算法協議，這也是目前ZK發展另一個讓人矚目的方向，也以此為基礎誕生了StarkWare這個最重量級的ZK項目。其他的發展包括PLONK、Halo2等也是極為重要的進展，也對zk-SNARK做出了某些層面上的改進。二、零知識證明的應用簡述

HashKeyPRO將于Q2正式上線，提供法幣出入金支持:金色財經報道，虛擬資產集團HashKey Group宣布，旗下全新的合規交易平臺HashKey PRO在第二季度正式上線。HashKey PRO旨在為投資者提供一個堅實平臺，讓投資者可以安全地交易虛擬資產。?

HashKey PRO致力于在合規、資金保障、平臺安全方面為虛擬資產交易所定義新標桿，已獲得香港證券及期貨事務監察委員會（證監會）的批準，持有第 1 類（證券交易）和第 7 類（提供自動化交易服務）牌照，運營虛擬資產交易平臺。?

HashKey PRO將客戶資產存放在獨立賬戶中，與平臺運營保持區隔，保證客戶資金不被用于其他目的，可以隨時提取。此外，客戶資金已全面投保，包括錢包系統（冷錢包和熱錢包），有效保障客戶資產。?

目前，HashKey PRO已獲得ISO 27001（信息安全）和ISO 27701（數據隱私）管理體系認證。在嚴格的管理認證下，HashKey PRO將持續提供高安全標準，確保可靠的交易體驗。[2023/4/14 14:04:02]

零知識證明最廣泛的兩個應用就是隱私保護和擴容。早期隨著隱私交易和幾個有名的項目Zcash和Monero等推出，隱私交易一度成為非常重要的門類，但由于隱私交易的必要性并沒有業界希望的那樣突出，因此這一類代表性項目開始慢慢進入二三線的陣營。而應用層面，擴容的必要性提升到無以復加，隨著以太坊2.0在2020年轉變為以rollup為中心的路線，ZK系列正式又回歸業界的視線，成為焦點。隱私交易：隱私交易有很多已經實現的項目，包括使用SNARK的Zcash，Tornado,使用bulletproof的Monero,以及Dash。Dash嚴格意義上用的不是ZKP，而是一種簡單粗暴的混幣系統，只可以隱藏地址而不能隱藏金額，在此略過不表。Zcash應用的zk-SNARKs交易步驟如下：

HashCash將為阿聯酋企業建立加密貨幣交易所:區塊鏈開發公司HashCash將為阿聯酋企業建立加密貨幣交易所。據悉，此次加密貨幣交易平臺建設將會遇到一系列獨特挑戰，包括對交易的規定，伊斯蘭教規定等。（Prweb）[2021/5/8 21:38:12]

Source:DemystifyingtheRoleofzk-SNARKsinZcashSystemsetup階段生成證明秘鑰和驗證秘鑰，借助KeyGenfunctionCPA階段ECIES加密方法用來生成公鑰和私鑰MintingCoins階段，生成新幣的數量。公共地址和幣的commitmentPouring階段，生成zk-SNARK證明，證明被加到了pour交易賬本中Verification階段，驗證者驗證Mint和Pour的交易量是否正確Receiving階段，receiver接收幣。如果想使用收到的幣，則繼續調用Pouring，形成zk-SNARK驗證，重復上述4-6的步驟，完成交易。Zcash使用零知識還是有局限性的，就是其基于UTXO,所以部分交易信息只是被shield了，而不是真正的掩蓋。因為其基于比特幣的設計的單獨網絡，所以難以擴展。真正使用shielding的使用率只有不到10%，說明隱私交易并沒有很成功的擴展。Tornado使用的單一大混幣池更加通用，而且基于以太坊這樣“久經考驗”的網絡。Torndao本質上就是一個用了zk-SNARK的混幣池，可信設置基于Groth16的論文。TornadoCash可以提供的特性包括：只有被存進去的coin可以被提取沒有幣可以被提取兩次證明過程和幣的廢止通知是綁定的，相同證明但不同Nullifier的哈希不會允許提幣安全性有126-bit的安全，不會因為composition而降級Vitalik提到過，和擴容相比，隱私相對比較容易實現，如果一些擴容的protocol都可以成立的話，隱私基本上不會成為問題。擴容：ZK的擴容可以在一層網絡上做，如Mina，也可以在二層網絡上做，即zk-rollup.ZKrollup的思路可能最早來自于Vitalik于2018的post，On-chainscalingtopotentially~500tx/secthroughmasstxvalidation。ZK-rollup有兩類角色，一類是Sequencer,還有一個是Aggregator。Sequencer負責打包交易，Aggregator負責將大量的交易合并并創造一個rollup,并形成一個SNARK證明，這個證明會和Layer1以前的狀態進行比較，進而更新以太坊的Merkle樹，計算新的狀態樹。

Longhash：BitMEX宕機阻止BTC價格崩潰到前所未有的水平:金色財經報道，Longhash發文稱，3月12日，當比特幣價格從7900美元跌至3600美元，僅BitMEX就清算了價值10億美元的多頭合約。真正的問題發生在比特幣價格跌破5000美元以下時，BitMEX上幾乎沒有買盤。名為Lowstrife的交易員指出，當BTC跌至4000美元時，BitMEX上僅有1800萬美元買盤，而在其清算引擎中還有價值2億美元的出售訂單。當BitMEX宕機時，隨著清算引擎停止清算更多BTC，BTC價格開始在其他交易所恢復。在某種程度上，BitMEX宕機起到了斷路器的作用，從而防止了市場崩潰到前所未有的水平。[2020/3/17]

Source:PolygonZKrollup的優缺點：優點：費用低，不像OP會被經濟攻擊，不需要延遲交易，可以保護隱私，快速達成最終性缺點：形成ZK證明需要大計算量，安全問題，不抗量子攻擊，交易順序可能被改變

Source:以太坊research根據數據可用性以及證明的方法，Starkware對L2有一張經典的分類圖：

以太坊核心開發人員初步決定將挖礦算法定義為Ethash 2.0:金色財經報道，決定ProgPow命運的以太坊核心開發人員電話會議已于3月6日舉行。在會議上，試探性地決定將挖礦算法重新定義為“ Ethash 2.0”。在此次電話會議上，相比回答的問題，提出的問題更多。通話持續了大約三個小時，其中兩個小時完全專用于ProgPow。討論最初以ProgPow的技術可行性為中心，并引用了獨立審核員和研究人員概述的兩個漏洞。會議主持人Hudson Jameson提出了一個解決方案，通過該方案可以修復ProgPow，并以“Ethash 2.0”的名字轉移至新EIP中。并不是所有的開發人員都完全同意，目前還不清楚這是否會在以后實現。一些開發人員認為，對ProgPow的異議足以證明完全否決該提案是合理的。[2020/3/7]

Source:Starkware目前市場上最有競爭力的ZKrollup項目有：Starkware的StarkNet，Matterlabs的zkSync和Aztec的Aztecconnect，Polygon的Hermez和Miden，Loopring，Scroll等基本上技術路線就在于SNARK(及其改進版本)和STARK的選擇，以及對EVM的支持。Aztec開發了通用化的SNARK協議-Plonk協議，運行中的Aztec3可能會支持EVM，但是隱私優先于EVM兼容Starnet用的是zk-STARK，一種不需要可信設置的zkp，但是目前不支持EVM，有自己的編譯器和開發語言zkSync也是用的plonk，支持EVM。zkSync2.0是EVM兼容的，有自己的zkEVMScroll，一種EVM兼容的ZKrollup,團隊也是以太坊基金會zkEVM項目的重要貢獻者簡要討論下EVM兼容性問題：ZK系統和EVM的兼容一直令人頭疼，一般項目會在兩者間取舍。強調ZK的可能會在自己的系統里做一個虛擬機，并有自己的ZK語言以及編譯器，但會加重開發者的學習難度，而且因為基本上不開源，會變成一個黑箱子。一般業界目前是兩種選擇，一是和Solidity的操作碼完全兼容，另一種是設計一種新的虛擬機同時ZK友好并兼容Solidity。業界一開始也沒有想到可以這么快的融合，但是近一兩年技術的快速迭代，讓EVM的兼容提升到一個新高度，開發者可以做到一定程度的無縫遷移，是振奮人心的進展，這將影響ZK的開發生態和競爭格局。我們會在之后的報告中仔細討論這個問題。三、ZKSNARK實現的基本原理

動態 | Hedera Hashgraph區塊鏈技術獲得Coq系統驗證:據bitcoin exchange guide報道，公共分布式分類賬平臺Hedera Hashgraph最近宣布hashgraph consensus算法已被驗證為異步拜占庭容錯（BFT）算法。這是通過使用Coq系統的計算機檢查的數學證明完成的。這證明了哈希圖報告中的聲明。據稱哈希圖在數學上是分布式系統的最高安全級別。Coq是一種正式的驗證，它提供了一種形式語言來編寫可執行的數學定義和算法。它還可以用于編寫定理和機器檢查證明的半交互開發環境。Coq通常用于驗證程序、編程語言和數學的屬性。與數學證明不同的是，Coq證明是通過計算機進行檢查的。這有助于避免人類在閱讀證明時可能犯的錯誤。[2018/10/21]

Goldwasser、Micali和Rackoff提出了零知識證明有三個性質：完整性：每一個擁有合理見證的聲明，都是可以被驗證者驗證的可靠性：每一個只擁有不合理見證的聲明，都不應該被驗證者驗證零知識：驗證過程是零知識的所以為了了解ZKP,我們從zk-SNARK開始，因為很多目前的區塊鏈應用都是從SNARK開始。首先，我們先了解一下zk-SNARK。zk-SNARK的意思是：零知識證明是zero-knowledgeSuccintNon-interactiveARgumentsofKnowledge。ZeroKnowledge：證明過程零知識，不會暴露多余信息Succinct：驗證體積小Non-interactive：非交互過程ARguments：計算具備可靠性，即有限計算能力的證明者不能偽造證明，無限計算能力的證明者可以偽造證明ofKnowledge：證明者無法在不知道有效信息的情況下構建出一個參數和證明對于證明者來說，在不知道證據的情況下，構造出一組參數和證明是不可能的。”Groth16的zk-SNARK的證明原理和如下：

Source：https://learnblockchain.cn/article/3220步驟是：1.將問題轉換為電路2.將電路拍平成R1CS的形式.3.R1CS轉換成QAP形式4.建立trustedsetup,生成隨機參數，包括PK(provingkey)，VK(verifyingkey)5.zk-SNARK的證明生成和驗證下一篇我們將開始研究zk-SNARK的原理、應用，通過幾個案例來透視ZK-SNARK的發展，并探索它與zk-STARK的關系等。Reference：https://ethresear.ch/t/on-chain-scaling-to-potentially-500-tx-sec-through-mass-tx-validation/3477https://blog.polygon.technology/zkverse-why-zero-knowledge-rollups-need-a-new-consensus-mechanism/https://blog.decentriq.com/zk-snarks-primer-part-one/https://vitalik.ca/general/2021/01/26/snarks.htmlhttps://z.cash/technology/zksnarks/

Tags：ARKASHNARPROMango MarketsCASH價格ManariumGenie Protocol

DOGE