以太坊匿名支付協(xié)議Zether介紹

一、什么是Zether？

斯坦福大學(xué)的博士生Benedikt Bunz（Bulletproofs防彈證明方案作者之一）、斯坦福大學(xué)教授Dan Boneh以及Visa研究部門，聯(lián)合提出了一種針對以太坊智能合約平臺的隱私協(xié)議：Zether。

Zether是一個以太坊上的匿名支付協(xié)議，以智能合約Zether Smart Contract（ZSC）的形式部署在以太坊上，并且具有稱為Zether令牌（ZTH）的代幣，其在作為ElGamal公鑰的Zether賬戶之間傳輸?shù)妮d體，并支持匿名的智能合約交互。

Zether的論文首發(fā)于斯坦福密碼應(yīng)用小組，地址是：

https://crypto.stanford.edu/~buenz/papers/zether.pdf

論文的其中一位作者Benedikt Bunz，已開源了Zether協(xié)議的部分代碼及測試代碼，有興趣的讀者可以了解一下，地址如下：

https://github.com/bbuenz/BulletProofLib/tree/master/src/main/java/edu/stanford/cs/crypto/efficientct/zetherprover

https://github.com/bbuenz/BulletProofLib/tree/master/src/test/java/edu/stanford/cs/crypto/efficientct/zether

二、Zether的特點

在論文中，開發(fā)人員總結(jié)了他們的貢獻(xiàn)，同時結(jié)合作者自己理解，總結(jié)Zether的特點如下（需要注意隱私和匿名是不同的兩個概念，該項目均能實現(xiàn)，為了方便閱讀，統(tǒng)一稱為隱私）：

1、代幣屬于剛需：代幣ZTH不是ERC20的代幣，是其內(nèi)生代幣，如果沒有的話，技術(shù)上其隱私功能無法實現(xiàn)，屬于剛性需求。

2、具備隱私性：Zether的交易是保密的，賬戶余額和交易地址始終是加密的。

3、新的隱私算法：為了讓Zether變得更有效，研究者提出了一種新的零知識證明機(jī)制，稱為Σ-Bullets，結(jié)合了Bulletproofs（防彈協(xié)議）與Σ協(xié)議特性，以此為基礎(chǔ)創(chuàng)建了其隱私賬戶體系，并且不需要Zcash的可信啟動。

4、易于實現(xiàn)：理論上，支持智能合約的鏈均可以實現(xiàn)該項目，目前團(tuán)隊已經(jīng)在以太坊上進(jìn)行了初步實現(xiàn)和測試。

5、互操作性：Zether支持智能合約的交互。在論文當(dāng)中，作者們展示了Zether可構(gòu)建的四種應(yīng)用，分別是：保密競拍應(yīng)用、保密支付通道、保密權(quán)益投票、以及私密權(quán)益證明（private proof-of-stake）。

6、基于賬戶模式：目前門羅、Zcash等各種隱私幣都是基于UTXO的，而Zether是基于賬戶模型的，有可能是第一個。

三、Zether方案概述

以下部分略顯枯燥，如果純投資考慮的話，可以直接看第四部分：Zether面臨的挑戰(zhàn)。

一個基本的Zether功能：

Zether賬戶使用ElGamal加密進(jìn)行標(biāo)識，這些公鑰存儲在ZSC的內(nèi)部狀態(tài)當(dāng)中。用戶通過Fund transaction存入以太幣到指定一個Elgamal公鑰，來創(chuàng)建一個Zether賬戶。例如：通過公鑰y，用戶將b ETH發(fā)送到這個智能合約，可以獲得b ZTH的賬戶。用戶通過Transfer transacTIon將ZTH從Zether帳戶轉(zhuǎn)移到另一個帳戶。用戶通過Burn transacTIon將Zether帳戶相關(guān)聯(lián)的所有ZTH換成以太坊地址中的以太幣。若干連續(xù)的區(qū)塊組成一個Zether的epoch，各項交易都需要在當(dāng)前的epoch內(nèi)完成。

所有的交易通過Σ-Bullets來有效地證明各方交易余額。

Front-running（非正常預(yù)先交易）：

Zether簡化版本的第一個問題，就是零知識證明需要保證合約和賬戶狀態(tài)不變，例如，轉(zhuǎn)賬交易中的零知識證明，需顯示剩余余額為正。用戶Alice將生成與其當(dāng)前賬戶余額相關(guān)的證明，以加密形式存儲在合約當(dāng)中。然而，如果另一個用戶Bob將一些ZTH傳輸給Alice，并且Bob的交易首先得到處理，則Alice自己的交易將被拒絕，因為余額證明將不再有效。請注意，Bob可能是一個誠實用戶，但在這種情況下，Alice因為處理自己交易失敗而失去其支付的費(fèi)用。論文將這種情況稱為非正常預(yù)先交易（Front-running）。Burn transacTIons也有類似的問題：如果密文發(fā)生變化，加密某個值的密文證明將會失效。

為了解決這一問題，論文可引入一種新的交易類型，它只鎖定賬戶，以防任何傳入的轉(zhuǎn)賬。Alice可等到自己的交易寫入?yún)^(qū)塊鏈后，再開始其他交易。雖然這似乎解決了問題（需兩步流程為代價），但它為像Bob這樣希望將ZTH發(fā)送給Alice的用戶，帶來了新的問題。當(dāng)Bob發(fā)布傳輸交易Tx時，Alice的帳戶可能不會被鎖定，但它可能在Tx進(jìn)入之前被鎖定，從而導(dǎo)致Tx被拒絕。

當(dāng)引入匿名機(jī)制后，任何一種鎖定方法都變得更加不可靠。如果Alice想隱藏自己，為了確保她的交易通過，她必須鎖定匿名集中的所有帳戶。顯然，這是不允許的：Alice不能有權(quán)利鎖定其他用戶的帳戶。另外，Alice只能將鎖定的帳戶放在她自己的匿名集中。但是，如果有人在Alice的交易完成之前，解鎖了他們的帳戶，那么Alice的匿名程度就會降低了。

Pending transfer（待處理交易）：

為了解決非正常預(yù)先交易（Front-running）問題，論文把所有的傳入傳輸保留在一個等待狀態(tài)中。這些轉(zhuǎn)賬會不時地轉(zhuǎn)入賬戶，以便轉(zhuǎn)入的資金可被使用。這種滾動法不能在任意時間發(fā)生，否則證明將會再次失效。

為了解決這個問題，協(xié)議作者將時間分為epoch時期，其中一個epoch由k個連續(xù)區(qū)塊組成。k的選擇取決于兩個因素：a）區(qū)塊鏈最新狀態(tài)與任何用戶視圖之間的間隔；b）將交易納入?yún)^(qū)塊鏈所需的時間。在每一個epoch周期結(jié)束時，待處理的轉(zhuǎn)賬將轉(zhuǎn)入相應(yīng)的賬戶。用戶需要在epoch周期開始時發(fā)布他們的交易。因此，即使他們沒有看到區(qū)塊鏈的最新狀態(tài)，他們也不會進(jìn)入下一個epoch周期。只要明智地選擇k，交易將在帳戶更改狀態(tài)之前處理。

Rolling over on a smart contract（智能合約刷新）：

不幸的是，刷新智能合約并不像看起來那么簡單，因為除非向其發(fā)送交易，否則智能合約不會做任何事情。人們不能指望每個用戶都為每個epoch發(fā)送刷新消息，而且他們也無法在合適的時間獲得這樣的信息。

第一個想法是在收到epoch中的第一條消息時翻轉(zhuǎn)所有帳戶的待處理轉(zhuǎn)帳。 然而，這給該消息的發(fā)送者帶來了不合理的負(fù)擔(dān)：它將不得不支付刷新其不擁有的帳戶的成本，這可能非常多的GAS。 此外，用戶無法知道他們的交易是否是一個epoch的第一個，因此他們無法估計合適的GAS。

當(dāng)收到來自此帳戶的第一條消息時，我們在一個eopch中刷新一個帳戶; 因此，一條消息僅覆蓋一個帳戶。 為了實現(xiàn)這一點，論文定義了一個單獨的（內(nèi)部）方法來進(jìn)行刷新，而每個其他方法所做的第一件事就是調(diào)用這個方法。 由于沒有從它們發(fā)起任何交易，因此可能存在幾個連續(xù)時期沒有刷新的帳戶。 這不是問題，因為帳戶持有人，比如Alice，并不是想用她的錢。 在稍后的某個時間點，當(dāng)Alice想要對她的帳戶進(jìn)行操作時，她將發(fā)布交易。 自上次滾存以來轉(zhuǎn)入其帳戶的所有資金將立即轉(zhuǎn)入并可用于支出。 實際上，當(dāng)Alice創(chuàng)建一個ZK證明時，她會假設(shè)她的帳戶狀態(tài)是當(dāng)所有待處理的轉(zhuǎn)移都轉(zhuǎn)入其中時的狀態(tài)。

重放攻擊保護(hù)（Replay protecTIon）：

與任何其他支付機(jī)制一樣，Zether需要處理重放攻擊。 以太坊通過將nonce與每個帳戶相關(guān)聯(lián)來提供自己的重放保護(hù)，這需要在每個事務(wù)中簽名。 不幸的是，由于兩個原因，Zether的這種保護(hù)水平是不夠的：（1）Zether帳戶有自己的公鑰; 它們與以太坊地址無關(guān)。 （2）Zether事務(wù)包含非交互式ZK證明。 惡意行為者可以竊取這些證據(jù)并將其置于新的交易中。 如果帳戶的狀態(tài)沒有改變，那么新的交易也將成功處理，導(dǎo)致資金損失。

為了防止此類問題，我們將nonce與每個Zether帳戶相關(guān)聯(lián)。隨著事務(wù)的處理，隨機(jī)數(shù)增加。來自帳戶的新交易必須與交易數(shù)據(jù)一起簽署與該帳戶相關(guān)聯(lián)的隨機(jī)數(shù)的最新值，該交易數(shù)據(jù)包括任何ZK證明。此方法將事務(wù)的所有組件綁定在一起并確保最新。 ZK證明無法導(dǎo)入惡意事務(wù)，無法重播有效事務(wù)。

有一種方式正嘗試是否有辦法使用以太坊自身作為Zether帳戶。然后，帳戶將使用與地址對應(yīng)的密鑰進(jìn)行操作，這樣將免費(fèi)獲得重放保護(hù)和簽名驗證。但是，這會強(qiáng)制用戶從固定的以太坊地址操作Zether帳戶。他們無法將帳戶委托給不同的地址，例如將帳戶鎖定到智能合約時。此外，以太坊地址只是公鑰的哈希，而不是完整形式，零知識中哈希的證明非常昂貴。最后，為Zether帳戶提供單獨的公鑰也有助于使設(shè)計更加模塊化和獨立于平臺。

與智能合約交互：

Zether的主要設(shè)計目標(biāo)是與任意智能合約互操作，這些智能合約可能包含錯誤甚至是惡意設(shè)計。與常規(guī)智能合約之間的一個重要區(qū)別是普通合約無法生成ZK證明，因為它們沒有任何秘密狀態(tài)，無法啟動ZTH轉(zhuǎn)移。

我們通過引入鎖定/解鎖功能使Zether與其他智能合約互操作。舉個例子，假設(shè)Alice擁有一個帳戶acc。 她可以鎖定自己的賬戶到到任意智能合約，比如說合約SC。實際上，這會將acc的所有權(quán)轉(zhuǎn)移給SC?，F(xiàn)在，Zether將僅處理來自SC的acc交易。 Alice和其他用戶或其他合同發(fā)送的任何交易都將被拒絕。但是，如果需要，ZK證明仍將由Alice生成，并通過SC轉(zhuǎn)移到Zether智能合約，SC最終可以解鎖acc以將其控制權(quán)返回給Alice。

四、Zether面臨的挑戰(zhàn)

同樣的，該技術(shù)由于剛起步，也面臨很多挑戰(zhàn)。

1、GAS消耗量過大，成本過于高昂。目前一筆最簡單的轉(zhuǎn)賬需要0.014ETH的手續(xù)費(fèi)，如果進(jìn)行智能合約的交互，則手續(xù)費(fèi)會成為天價。幸運(yùn)的是，隨著算法改進(jìn)和以太坊升級，手續(xù)費(fèi)可能會大幅下降。

2、以太坊的GAS機(jī)制可能會導(dǎo)致隱私泄露。因為部署在以太坊上的智能合約需要支付GAS來運(yùn)行，一旦一個地址轉(zhuǎn)移ZTH代幣，他就需要同時向礦工支付GAS，這個時候他的以太坊地址就暴露了。有兩種可能的解決方法，一個是用戶不停的更換地址來保持匿名，但這樣很麻煩，另一個是讓礦工接收ZTH作為手續(xù)費(fèi)。最后如何解決，還要看團(tuán)隊的思路。

3、網(wǎng)絡(luò)繁忙可能會導(dǎo)致交易失敗。對于傳統(tǒng)以太坊交易，網(wǎng)絡(luò)繁忙可以一直等待，直到網(wǎng)絡(luò)不再擁堵來完成交易，但在Zether則不行，因為每個epoch都有自己對應(yīng)的唯一的證明集合，交易必須在自己的epoch完成，如果不能完成，則證明集合會發(fā)生變化導(dǎo)致交易失敗。

4、同樣的，為保證成功，發(fā)送賬戶需要保證在當(dāng)前epoch內(nèi)，所對應(yīng)的匿名集不能先于他接收新的交易之前進(jìn)行更新，否則會導(dǎo)致失敗。