• 原文：https://soliditydeveloper.com/tornado.cash
• 译文出自：登链翻译计划
• 译者：翻译小组
• 校对：Tiny 熊
• 本文永久链接：learnblockchain.cn/article…

越来越多的项目攻击后，我们可以看到一种新的黑客模式出现：

1. 通过tornado.cash获得匿名ETH。
2. 用ETH来支付黑客交易的费用。
3. 使用闪电贷来减少资本需求。
4. 通过大量的资本，创造一些失衡（imbalances），并对失衡进行套利。
5. 尽可能多地重复前面的过程
6. 偿还闪存贷款，留下利润。

闪电贷和创造失衡当然值得写博客文章。但本文我们将仔细研究Tornado.cash。

那么Tornado.cash是什么呢？

Tornado.cash

<center>Tornado.cash是一个充满钱的屋子</center>

想象一下，我们有一个房间，只有一扇门，房间门口有一个警卫。任何人都可以走到警卫面前，给他一张100美元的纸币。警卫接过纸币，把它放在上锁的房间里。然后他要求给钱的人想一个非常大的数字。这个人没有直接给他这个数字，而是计算出这个数字的哈希值，写下来交给警卫。带有哈希值的纸被扔进一个大碗里。

不妨想象一下，随着时间的推移，成百上千的人也会这样做。然后，房间里会有成千上万张100美元的纸币，警卫会有一个碗，里面有成千上万张含有哈希值的纸。

如果有人想要回他的100美元，他可以走到警卫那里。最简单的解决办法就是向警卫出示之前的随机数。警卫可以计算哈希值，并检查所有文件是否有这样的哈希值。如果他发现一个，他就会销毁那张纸，并把100美元还给你。

但如果我们这样做，存在警卫作恶的风险？他可以秘密地追踪哪张100美元属于哪个随机数，从而暴露我们的身份。

用球为例解释零知识

现在，如果我们能向警卫证明，我们知道一个秘密的数字，在不透露实际数字的情况下，在碗内对承诺进行哈希运算呢？那么，我们可以用零知识证明来做到这一点。零知识证明是很复杂的，但概念化的简单方法是下面这个例子（感谢Lucas在ETH.Berlin给我这个例子）。

想象一下，你是盲人，我给你两个球，感觉完全一样，重量也一样。现在我告诉你这两个球的颜色不同。附近没有其他人。你怎么能知道我说的是不是真的呢？

你可以在每只手上放一个球，把它们展示给我看。现在你把它们放在你的背后，你要么在两只手之间交换球，要么不交换。然后你把它们拿给我看，并问我：'我是否交换了球？现在，如果两个球都是同样的颜色，将有50%的机会猜对。但如果连续答对了15次，你几乎可以肯定（99.997%的把握）说这两个球确实是不同颜色的。因为随机猜对15次，几乎不可能。

我现在已经向你证明了这些球是不同颜色的，但却没有透露实际的颜色，因此被称为 零知识证明。你不知道这些球是绿色、黑色、橙色还是别的什么。

取回你的钱

现在有人可以向警卫证明，他实际上知道一个数字，这个数字对应碗里的一个数字。这个证明产生了一个特定的签名。警卫写下签名，并将其储存起来。每当有人提供一个新的证明时，他可以检查同一证明是否已经被使用。如果它已经被使用过，那么有人试图用相同的随机数字获得多张100美元。

因此，尽管该数字的哈希值仍在我们的碗内，而且警卫不知道哪些哈希值已经再次取出了100美元，但他可以意识到有人正试图多次使用同一证明。

现在拿回这100美元后，他们不能直接追溯到原来的100美元，即使警卫是恶意的。

从零知识到zk-SNARKs

在区块链的世界里，正常的零知识证明有一个问题：连续问很多遍，等待答案，需要来回几次交易。这根本就不是很有效率。有了zk-SNARKs，或者非交互式零知识证明，我们可以在一轮中完成证明。基本上，问题是根据随机预言机模型预先确定的。然后验证者可以在一次交易中发送所有答案。

zk-SNARKs的概念是一个非常有趣的话题。Vitalik发布了一个适合初学者的介绍链接。好吧，尽可能的方便初学者。如果你想真正深入了解它背后的数学，这将是不容易的。我自己当然没有弄清楚文章中的所有内容，但如果你只想知道基本情况，这里是我的高层次理解：

• zk-SNARKs是基于非常繁重的计算，比如计算1亿次哈希值。
• 验证一个证明本身并不要求运行繁重的计算。
• 实际数据由多项式表示，例如：x² - 4x + 7。
• 使用因子定理，我们可以将某些多项式转化为其最低度多项式的倍数。
• 然后利用多项式承诺和Schwartz-Zippel lemma，我们可以通过随机检查一些坐标来验证此类多项式的证明。

要正确理解这一点，请阅读Vitalik的文章：https://vitalik.ca/general/2021/01/26/snarks.html。

从理论到实践：Tornado.cash

使用zk-SNARKs，tornado.cash允许你将固定金额的ETH、DAI、cDAI、USDC、cUSDC或USDT存入合约。在存款时，你会收到一个备份代码，用于以后提取资金。

为什么用固定金额？基本上每个固定金额都是它自己的匿名性设置。你可以在上面的截图中看到，当时0.1ETH的匿名度是426。意味着目前还有426人可以获得0.1ETH。而由于存款是公开信息，当你存入0.1ETH时，这些0.1ETH以后可以追踪到这427人，但不能直接追踪到你。

这有多安全？在匿名性方面，匿名集有多大，人们的存款和提款有多频繁，它就有多安全。如果你有一个30,000人的集合，但几个月没有存款/提款。现在你来存款，等了一天又取款，要追踪资金到你身上将是非常容易的。因此，请密切关注统计页面。

它是如何工作的？ 利用pedersen hash function可以有效地计算出椭圆曲线上的hash，以用于zk-SNARK。snarkjs 则用来进行初始设置和自动生成Solidity 验证器合约。

所有细节可在白皮书中找到。

Tornado.cash的治理

Tornado.cash协议正在计划增加治理。将包括自己的TORN代币，TORN 55% 将被用作金库，30%支付给团队和投资者，5%空投给服务的早期用户以及10%用于新概念的匿名挖矿。

由于tornado.cash服务只有在很多人使用时才是安全的，所以TORN会进一步激励人们在合约中留下资金，并为此向他们支付TRON。这将以充分保持矿工的匿名性的方式进行。

去匿名化

现在有人已经开始尝试去匿名化用户。这可以通过三个指标来达到目的：

1. 发送存款/取款的每日的时间
2. Gas价格分布
3. 交易图表分析

例如：

1. 当该服务的大多数用户生活在欧洲，而你生活在新西兰，在你的时间下午4点左右与合约交互时，在欧洲将是凌晨4点。因此，要识别你会非常容易。
2. 大多数钱包倾向于MetaMask自动设置Gas价格，从而提供一些信息来识别用户。
3. 拥有多个地址的用户可能用这些地址与相同的服务进行交互。在最坏的情况下，这些地址之间甚至有直接的联系，或是通过交易图表能够将某些地址映射在一起。

如果你严格遵守规则，所有这些问题都是可以防止的：

1. 使用0-24的随机数发生器，在你发送存款/取款时为你生成一个时间
2. 在随机数生成器的帮助下，手动设置你的交易gas成本，或使用多个钱包
3. 使用一个新的地址取款，以后不要用这个地址和另一个地址使用相同的服务

本翻译由 Cell Network 赞助支持。