Tornado.cash: 一个关于匿名和zk-SNARKs的故事

什么是Tornado.cash,如何使用它

越来越多的项目攻击后,我们可以看到一种新的黑客模式出现:

  1. 通过tornado.cash获得匿名ETH。
  2. 用ETH来支付黑客交易的费用。
  3. 使用闪电贷来减少资本需求。
  4. 通过大量的资本,创造一些失衡(imbalances),并对失衡进行套利。
  5. 尽可能多地重复前面的过程
  6. 偿还闪存贷款,留下利润。

闪电贷和创造失衡当然值得写博客文章。但本文我们将仔细研究Tornado.cash

那么Tornado.cash是什么呢?

img

Tornado.cash

Money Room

<center>Tornado.cash是一个充满钱的屋子</center>

想象一下,我们有一个房间,只有一扇门,房间门口有一个警卫。任何人都可以走到警卫面前,给他一张100美元的纸币。警卫接过纸币,把它放在上锁的房间里。然后他要求给钱的人想一个非常大的数字。这个人没有直接给他这个数字,而是计算出这个数字的哈希值,写下来交给警卫。带有哈希值的纸被扔进一个大碗里。

不妨想象一下,随着时间的推移,成百上千的人也会这样做。然后,房间里会有成千上万张100美元的纸币,警卫会有一个碗,里面有成千上万张含有哈希值的纸。

如果有人想要回他的100美元,他可以走到警卫那里。最简单的解决办法就是向警卫出示之前的随机数。警卫可以计算哈希值,并检查所有文件是否有这样的哈希值。如果他发现一个,他就会销毁那张纸,并把100美元还给你。

但如果我们这样做,存在警卫作恶的风险?他可以秘密地追踪哪张100美元属于哪个随机数,从而暴露我们的身份。

用球为例解释零知识

现在,如果我们能向警卫证明,我们知道一个秘密的数字,在不透露实际数字的情况下,在碗内对承诺进行哈希运算呢?那么,我们可以用零知识证明来做到这一点。零知识证明是很复杂的,但概念化的简单方法是下面这个例子(感谢Lucas在ETH.Berlin给我这个例子)。

想象一下,你是盲人,我给你两个球,感觉完全一样,重量也一样。现在我告诉你这两个球的颜色不同。附近没有其他人。你怎么能知道我说的是不是真的呢?

你可以在每只手上放一个球,把它们展示给我看。现在你把它们放在你的背后,你要么在两只手之间交换球,要么不交换。然后你把它们拿给我看,并问我:'我是否交换了球?现在,如果两个球都是同样的颜色,将有50%的机会猜对。但如果连续答对了15次,你几乎可以肯定(99.997%的把握)说这两个球确实是不同颜色的。因为随机猜对15次,几乎不可能。

我现在已经向你证明了这些球是不同颜色的,但却没有透露实际的颜色,因此被称为 零知识证明。你不知道这些球是绿色、黑色、橙色还是别的什么。

取回你的钱

现在有人可以向警卫证明,他实际上知道一个数字,这个数字对应碗里的一个数字。这个证明产生了一个特定的签名。警卫写下签名,并将其储存起来。每当有人提供一个新的证明时,他可以检查同一证明是否已经被使用。如果它已经被使用过,那么有人试图用相同的随机数字获得多张100美元。

因此,尽管该数字的哈希值仍在我们的碗内,而且警卫不知道哪些哈希值已经再次取出了100美元,但他可以意识到有人正试图多次使用同一证明。

现在拿回这100美元后,他们不能直接追溯到原来的100美元,即使警卫是恶意的。

从零知识到zk-SNARKs

在区块链的世界里,正常的零知识证明有一个问题:连续问很多遍,等待答案,需要来回几次交易。这根本就不是很有效率。有了zk-SNARKs,或者非交互式零知识证明,我们可以在一轮中完成证明。基本上,问题是根据随机预言机模型预先确定的。然后验证者可以在一次交易中发送所有答案。

zk-SNARKs的概念是一个非常有趣的话题。Vitalik发布了一个适合初学者的介绍链接。好吧,尽可能的方便初学者。如果你想真正深入了解它背后的数学,这将是不容易的。我自己当然没有弄清楚文章中的所有内容,但如果你只想知道基本情况,这里是我的高层次理解:

  • zk-SNARKs是基于非常繁重的计算,比如计算1亿次哈希值。
  • 验证一个证明本身并不要求运行繁重的计算。
  • 实际数据由多项式表示,例如:x² - 4x + 7
  • 使用因子定理,我们可以将某些多项式转化为其最低度多项式的倍数。
  • 然后利用多项式承诺和Schwartz-Zippel lemma,我们可以通过随机检查一些坐标来验证此类多项式的证明。

要正确理解这一点,请阅读Vitalik的文章:https://vitalik.ca/general/2021/01/26/snarks.html

从理论到实践:Tornado.cash

tornado.cash

使用zk-SNARKs,tornado.cash允许你将固定金额的ETH、DAI、cDAI、USDC、cUSDC或USDT存入合约。在存款时,你会收到一个备份代码,用于以后提取资金。

为什么用固定金额?基本上每个固定金额都是它自己的匿名性设置。你可以在上面的截图中看到,当时0.1ETH的匿名度是426。意味着目前还有426人可以获得0.1ETH。而由于存款是公开信息,当你存入0.1ETH时,这些0.1ETH以后可以追踪到这427人,但不能直接追踪到你。

这有多安全?在匿名性方面,匿名集有多大,人们的存款和提款有多频繁,它就有多安全。如果你有一个30,000人的集合,但几个月没有存款/提款。现在你来存款,等了一天又取款,要追踪资金到你身上将是非常容易的。因此,请密切关注统计页面

它是如何工作的? 利用pedersen hash function可以有效地计算出椭圆曲线上的hash,以用于zk-SNARK。snarkjs 则用来进行初始设置和自动生成Solidity 验证器合约。

所有细节可在白皮书中找到。

Tornado.cash的治理

Tornado.cash协议正在计划增加治理。将包括自己的TORN代币,TORN 55% 将被用作金库,30%支付给团队和投资者,5%空投给服务的早期用户以及10%用于新概念的匿名挖矿。

由于tornado.cash服务只有在很多人使用时才是安全的,所以TORN会进一步激励人们在合约中留下资金,并为此向他们支付TRON。这将以充分保持矿工的匿名性的方式进行。

去匿名化

现在有人已经开始尝试去匿名化用户。这可以通过三个指标来达到目的:

  1. 发送存款/取款的每日的时间
  2. Gas价格分布
  3. 交易图表分析

例如:

  1. 当该服务的大多数用户生活在欧洲,而你生活在新西兰,在你的时间下午4点左右与合约交互时,在欧洲将是凌晨4点。因此,要识别你会非常容易。
  2. 大多数钱包倾向于MetaMask自动设置Gas价格,从而提供一些信息来识别用户。
  3. 拥有多个地址的用户可能用这些地址与相同的服务进行交互。在最坏的情况下,这些地址之间甚至有直接的联系,或是通过交易图表能够将某些地址映射在一起。

如果你严格遵守规则,所有这些问题都是可以防止的:

  1. 使用0-24的随机数发生器,在你发送存款/取款时为你生成一个时间
  2. 在随机数生成器的帮助下,手动设置你的交易gas成本,或使用多个钱包
  3. 使用一个新的地址取款,以后不要用这个地址和另一个地址使用相同的服务

本翻译由 Cell Network 赞助支持。

点赞 2
收藏 4
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
翻译小组
翻译小组
0x9e64...7c84
大家看到好的文章可以在 GitHub 提 Issue: https://github.com/lbc-team/Pioneer/issues 欢迎关注我的 Twitter: https://twitter.com/UpchainDAO