原文翻譯:DAOctor?@DAOrayaki.org
原文標題:?TheConstructionoftheSoulPart3:SoulboundTokenwithzk-SNARKImplementation
SBT可以更好的幫助用戶驗證某個屬性,但極易泄漏隱私。使用零知識證明技術來保證用戶數據的安全可能是一個重要的選擇。
在這篇文章中,我們將討論ZK如何可能成為增加SBT用戶數據隱私的關鍵技術,以及如何應用零知識靈魂綁定代幣。
Lambda
4.1.2生成證明密鑰和驗證密鑰
4.1.3證明和驗證密鑰的共享
4.1.4證明的生成
4.1.5用戶屬性驗證
5.高級示例
5.1鏈上與鏈下算法
6.zkSBT的實現
6.1電路創建
6.2設置階段
6.2.1密鑰生成
6.3證明生成階段
6.4驗證程序階段
6.4.1項目如何在其SBT中使用Verifier.sol?
6.4.1.1風險:防止重放攻擊
6.5實現架構
7.ZKSBT與CounterPartySoul的可組合性
7.1單一方法:SBT發行人承擔責任
7.2多重方法:每個項目都承擔責任
8.結論
證人是我們約束條件的有效解決方案。
約束是指我們將問題轉換成的多項式方程。問題的每個解決方案都必須符合約束條件的要求。例如,證明用戶的信用分數是3,可以簡單地轉換為約束條件x=3。
還有其他ZK技術;然而,zk-SNARKs是在DarkForestEth、Tornadocash和ZK-Rollups等應用中使用的最突出的ZK技術。
零知識:在交互過程中,除了聲明的有效性之外,驗證者什么都不知道。
簡潔:證明簡短且快速驗證。
ZK-RaaS網絡Opside將于8月份集成ZK Stack:6月28日消息,Opside官方表示,將大力支持zkEVM的推廣,其中包括zkSync最新公布的ZK Stack。目前,Opside測試網已集成Polygon zkEVM(Hermez),用戶可以一鍵在ETH、BSC和Polygon等L1公鏈上發行一條屬于自己的zkEVM鏈。
據路線圖顯示,Opside測試網預計在8月份集成zkSync的ZK Stack。未來還將提供Scroll、Linea等zkEVM解決方案。Opside的多鏈ZK-PoW算法將為各個公鏈上的ZK-Rollup提供海量算力支撐。
Opside是一個提供ZK-RaaS(ZK-Rollup as a service)的平臺,支持用戶一鍵發布zkEVM。同時支持ZKP挖礦,包括CPU、顯卡、FPGA等機器類型。[2023/6/28 22:05:47]
非交互:沒有或僅有少量的交互。對于zk-SNARKs,通常有一個設置階段,在這之后,從證明者到驗證者只有一個消息。此外,SNARKs通常具有所謂的"公共驗證者"屬性,即任何人都可以自己驗證證明。
論證:驗證者只針對計算能力有限的證明者進行保護。具有足夠處理能力的證明者可以生成關于不正確語句的證明/論證。這被視為"計算上的健全性",與"完全健全性"相對。
知識性:證明者不可能在不知道某個所謂的證人的情況下構建證明/論證。
簡單地說,這基本上意味著證明是一個數據的集合,可以在沒有證明者參與的情況下獨立驗證。
4、ZKSBT工作原理的高級解釋
舉例來說,SBT的用戶是證明者,向用戶發放SBT的項目方是驗證者。
假設一個項目正在查看用戶是否具有某個屬性“secret_attribute”。用戶必須證明他們有屬性`secret_attribute`而不會泄露他們的秘密`s`,它用于將屬性`secret_attribute`散列到`hash_attribute`。
通常情況下,用戶會通過向項目提供秘密`s`來證明這一點,之后項目可以計算出哈希`hash_attribute`。然而,在zk-SNARK中,用戶可以只提交他們擁有屬性`secret_attribute`的證明,而不透露他們的秘密`s`。
Immutable X推出可跨多個L2/L3zk-rollup的流動性解決方案cross-rollup:金色財經消息,NFT Layer2協議Immutable X推出可跨多個L2/L3zk-rollup的流動性解決方案cross-rollup,該方案旨在為Web3游戲玩家帶來NFT的可擴展性和可組合性。據悉,cross-rollup不會損害以太坊的安全性,并支持用戶在任何的rollup之間無縫交易NFT。Immutable X將首先擴展包括可組合的智能合約和EVM/Solidity到StarkNet網絡。[2022/5/25 3:39:47]
我們可以用下面的程序C來描述用戶的情況。
換句話說:該程序接受一個公共哈希值`hash_attribute`和一個秘密值`secret_attribute`,如果`secret_attribute`的SHA-256哈希值等于`hash_attribute`,則返回true。
使用函數`C(hash_attribute,secret_attribute)`,用戶需要創建他們擁有`secret_attribute`的證明,而不需要透露`secret_attribute`。這就是zk-SNARKs解決的一般問題。
為了實現這個證明和驗證系統,該項目首先要進行以下操作。
4.1.1、生成隨機Lambda
生成lambda是證明的第一步。記下生成器的秘密參數lambda。任何了解此參數的人都可以在不知道秘密“w”的情況下創建評估為真的假證明。
因此,運行生成器需要一種非常安全的方法,以確保沒有人在任何地方發現和存儲參數。這就是Zcash團隊在確保參數lambda在此過程中被銷毀的同時生成證明密鑰和驗證密鑰的極其復雜的儀式的基本原理。
4.1.2、生成證明密鑰和驗證密鑰
該項目必須生成兩個公開的密鑰--證明密鑰`pk`,和驗證密鑰`vk`。密鑰生成程序G需要一個秘密參數`lambda`和一個程序`C`。這些密鑰是公共參數,只需要為一個給定的程序C生成一次。
在大多數情況下,這個程序C是以電路的形式實現的。
該項目計算`verify(vk,hash_attribute,prf)`,如果證明正確則返回true,否則返回false。
Qtum創始人:Qtum正在為GameFi等開發zk-rollup layer2解決方案:1月3日消息,Qtum創始人Patrick Dai表示,Qtum正在為GameFi和SocialFi以及元宇宙區塊鏈基礎設施開發zk-rollup layer2解決方案。零知識證明是實現Web3去信任的最佳擴容解決方案之一。 Qtum TPS 可以達到1萬,交易費用可以是1-2美分。[2022/1/3 8:21:32]
該驗證算法也可以在鏈上。
如果驗證算法返回true,則項目可以確信用戶具有該屬性,但用戶不需要向驗證項目透露其屬性。
5、高級示例的TL;DR
一個zk-SNARK由三個算法`G`、`P`、`V`組成,定義如下。
生成器程序
密鑰生成器"G"接受一個秘密參數"lambda"和一個程序"C"來產生兩個公開可用的密鑰,一個證明密鑰"pk"和一個驗證密鑰"vk"。這些鑰匙是公共參數,對某個程序'C'可以只生成一次。
通過對lambda的適當處置,生成算法可以脫離鏈路。然后,生成的證明密鑰和驗證密鑰可以與用戶共享。
請注意,程序C也被稱為公共算術電路。
證明者程序
證明者P接受證明密鑰"pk"、公共輸入"x"和私人見證"w"作為輸入。該算法生成一個證明`prf=P(pk,x,w)`。
用戶的證明生成可以通過證明和驗證密鑰及其證人在鏈外完成。建議在鏈下生成證明,因為生成證明的計算成本很高,而且用戶的秘密可能在鏈上被泄露。
|證人是由用戶的秘密轉換而來,這對我們的約束來說是一個有效的解決方案。
驗證者程序
驗證者V計算“V(vk,x,prf)”,如果證明正確則返回true,否則返回false。因此,如果證明者知道證人`w`滿足`C(x,w)==true`,則此函數返回true。
驗證可以在鏈上完成,因為它相對較小,需要輸入證明、秘密的哈希值和驗證密鑰作為公共輸入參數。
5.1、鏈上與鏈下算法
鏈下
項目將運行生成器以生成證明密鑰和驗證密鑰。
Horizen在主網發布zk-SNARK跨鏈協議Zendoo:12月3日消息,Horizen在主網發布zk-SNARK跨鏈協議Zendoo,Zendoo是一種獨特的互操作性協議和擴展解決方案,開發人員可以使用Zendoo構建支持zk-SNARK的自定義區塊鏈,在不影響去中心化的情況下提供大量吞吐量。(Cointelegraph)[2021/12/3 12:47:57]
然后任何用戶都可以使用證明密鑰生成鏈下證明。
用戶可以通過運行具有以下輸入的證明算法來做到這一點——證明密鑰、公共輸入和私人見證。
鏈上
智能合約中的通用驗證算法可以使用證明、秘密哈希和驗證密鑰作為公共輸入參數來運行。
然后可以使用驗證算法的結果來觸發其他鏈上活動。
下圖顯示了從創建程序到使用zk-SNARK生成和驗證證明的整個過程的摘要。
zk-SNARKs的全部可信設置過程
6、zkSBT的實現
我們已經通過一個高級示例來說明zk-SNARKs和SBT如何協同工作。在本節中,我們將通過一個簡單的示例來說明項目如何實施zk-SNARK和SBT以使交易對手能夠驗證靈魂的屬性。
假設信用借貸平臺為用戶鑄造了一個SBT,并為用戶分配了信用評分。
信用借貸平臺希望允許其他交易對手的項目來驗證用戶評分是否高于某個閾值。
我們怎么能創造這個?
此應用程序有4個不同的部分。前端、后端、智能合約和電路。電路是與zk證明的生成和驗證相關的主要組件,因此我們將更多地關注這一點。
6.1、電路創建
在我們可以使用zk-SNARK之前,我們首先必須將我們的程序規范轉換為電路。對于電路的創建,我們使用的是IDEN3團隊設計的circom2庫。該庫已用于許多其他流行的應用程序,例如TornadoCash和游戲DarkforestEth。
例如,電路設計旨在允許用戶鑄造具有信用評分但沒有其他人知道信用評分是什么樣的SBT。然而,用戶仍然可以證明他的信用評分高于閾值并且他是值得信賴的。
V神:DeFi實現zk-rollups比較困難:以太坊創始人V神剛剛發推稱,為DeFi實現zk-rollups比較困難,因為所有的DeFi需要支持SNARK內部的通用計算。[2020/9/1]
簡單來說,我們將設計一個簡單的電路,如果用戶的分數高于公共閾值,則返回true,而無需用戶透露他的分數。
https://github.com/SpartanLabsXyz/zk-sbt/blob/master/circuits/demo/circuits.circom
在我們的資源庫中,我們還包括了其他針對不同使用情況的電路實例。項目可以考慮不同的電路,以滿足其特定的限制。
https://github.com/SpartanLabsXyz/zk-sbt/tree/master/demo/circuits
電路設計注意事項
zk-SNARKs更難的部分是實施適當的電路約束以確保程序執行。如果電路沒有正確實現,它可能會被利用,并且由于程序的零知識性質,很難檢測到這種利用。
|什么是電路?
|電路是指確定我們的約束的程序。
|zk-SNARKs不能直接應用于任何計算問題。問題首先需要轉換為正確的形式。第一步是將程序轉換為代數電路。
|有關更多信息,請查看他們的文檔
https://docs.circom.io/background/background/#zero-knowledge-proofs
A-B>0,其中A是用戶的秘密,而B是我們在驗證算法中使用的閾值。
6.2、設置階段
首先,信用貸款平臺首先生成一個隨機λ。在我們的例子中,我們使用tau的權力,這是一個多方儀式的可信設置,以分散的方式生成隨機λ。
請注意,存在不同的復雜過程來生成這個隨機lambda,這是至關重要,通過保持未知,以防止任何人偽造證明。
對于我們的應用程序,我們創建了一個示例腳本`execute.sh`來運行設置過程。
6.2.1、密鑰生成
為了創建和檢查證明,我們使用了一個名為SnarkJS的庫,由JordiBaylina和Iden3構建。SnarkJS使用您的電路在JavaScript和Solidity中生成證明和驗證代碼,以及協議參數、證明和驗證密鑰。
證明密鑰和驗證密鑰示例:
https://github.com/SpartanLabsXyz/zk-sbt/tree/master/circuits/demo
6.3、證明生成階段
“證明”是用戶為了證明自己的屬性而生成的。
但是,在用戶的輸入屬性可以用作證明之前,必須先將其轉換為見證。
使用circom2庫,我們可以通過命令輕松生成見證
`節點生成_見證。
js電路.wasm../input.json見證.wtns`
其中input.json是用戶的輸入,也就是用戶的信用評分。
證明的生成可以在客戶端的鏈下完成,它接受程序的輸入、見證人和證明密鑰。使用帶有Groth16協議的snarkjs,我們可以使用
`snarkjsgroth16證明電路_0001.zkeywitness.wtnsproof.jsonpublic.json`
|Groth16是zkSNARK證明方案的具體實現。在這里閱讀更多。
一旦我們生成了證明,我們就可以繼續由用戶驗證證明。
6.4、驗證方案階段
對于驗證,我們是在鏈上進行的。使用`snarkjs`庫,用戶可以從提供的驗證密鑰中生成驗證算法。然后,驗證算法可用于使用`snarkjs`庫生成一個solidity智能合約
在生成`Verification.sol`后,我們可以使用函數`verifyProof`來證明給定的SBT具有有效屬性。
本質上,`verifyProof`是一個接受哈希和證明并返回布爾值的函數。
合約:https://github.com/SpartanLabsXyz/zk-sbt/blob/master/contracts/Verifier.sol
6.4.1、項目如何在其SBT中使用
Verifier.sol?
項目可以在SBT合約中包含驗證者作為接口,如函數`validateAttribute`所示。
這允許任何項目包含鏈上驗證機制,其中所有用戶需要的只是他們的證明,以及驗證其屬性的驗證密鑰。
https://github.com/SpartanLabsXyz/zk-sbt/blob/master/contracts/zkSBT.sol
驗證屬性
函數中的輸入`a,b,c,inputs`是snarkjsgeneratecall函數生成的參數。
`@param_soul`是靈魂的地址。`@paramverifierAddress`是為Verifier.sol合約部署的地址。如果證明有效,該函數返回true,否則返回false
6.4.1.1、風險:防止重放攻擊
驗證算法的風險之一是攻擊者如何能夠提交另一個用戶的證明作為他們自己的證明并因此得到驗證。項目必須注意這可能是可能的。一些解決方案正在添加檢查或無效符,以防止攻擊者提交其他用戶的證明。
6.5、實現架構
簡而言之,帶有Circom和Snarkjs實現的zk-SNARKs可以用下面的實現來概括。
用戶可以在本地創建證明,然后上傳簡短的證明以在智能合約中進行恒定時間驗證,計算成本很高。
整體架構可以在我們的資源庫中查看:
https://github.com/SpartanLabsXyz/zk-sbt#architecture
有關集成zk-SNARK的步驟的更多信息,您可以參考我們的GitHub,或者更具體地說,是用于生成所有算法和證明的腳本`execute.sh`。
https://github.com/SpartanLabsXyz/zk-sbt/blob/master/circuits/execute.sh
7、ZKSBT與CounterPartySoul的可組合性
在我們的示例中,我們將發行SBT的項目的角色與可能想要驗證靈魂屬性的交易對手結合起來。但是,對于SBT與其他可能想要驗證用戶SBT屬性的交易對手項目的可組合性,我們必須根據所使用的方法進行一些更改。
7.1、單一方法:SBT發行人承擔責任
在SBT中的數據簡單明了的情況下,SBT發行者可能希望生成自己的lambda、證明密鑰和驗證密鑰。然后,他們可以提供一個界面,允許交易對手項目驗證用戶的屬性。
優點是這允許輕松采用SBT,因為其他項目可以利用現有的驗證機制,而無需生成和存儲自己的lambda。
但是,如果SBT中的數據不同,并且存在幾個旨在證明SBT不同屬性的不同程序C,這可能不可行。
7.2、多重方法:每個項目都承擔責任
單個交易對手項目將負責生成lambda、證明密鑰和驗證密鑰,而不是SBT發行者或中心化機構。然后,密鑰和驗證方法將通過項目的應用程序分發給用戶。
但是,SBT發行人應提供包含特征的SBT數據結構的清晰文檔,同時保持數據的私密性。
這種策略可能適合不想為保護其秘密承擔全部責任的SBT發行人。此外,如果需要SBT中的多個數據證明,則可能需要多個驗證程序,每個程序都有自己的證明和驗證密鑰。
此外,該策略消除了對中央機構的依賴,而是將確保證明有效性的責任置于項目本身。
然而,這種策略需要每個項目根據被測試的屬性開發自己的生成、證明和驗證算法。
8、結論
總之,這篇文章是關于如何使用zk技術使SBT真正私有化以及項目如何在solidity中實現zkSBT的入門讀物。
SBT允許將社會身份與去信任的可組合性相結合,如果做得好,可能會改變web3生態系統的未來。信任和所有權的核心方面可以上鏈,以增強智能合約世界中的社會可組合性,這可以為去中心化應用程序打開許多可能性。
未來的一個重要研究方向是對不同種類的數據權限的確切限制進行界定,對保持數據隱私的具體技術組合進行研究,以及對可以建立在SBTs之上的產品進行研究,以創造一個“匿名經濟"。
價格行動 比特幣周四小幅走高,大多數加密貨幣一天中的大部分時間都處于正值區域。CoinDesk市場指數是衡量一籃子加密貨幣表現的廣泛市場指數,上漲0.32%.
1900/1/1 0:00:00最近幾周,柴犬(SHIB)一直在跟隨大盤下跌。然而,Shiba生態系統的最新發展可能會導致價格暴漲。 SHIB價格行動 目前,柴犬的交易價格為0.0000117美元.
1900/1/1 0:00:00要點: VandePoppe預計MATIC將繼續其目前的看漲勢頭。其他分析師也認為MATIC有可能創下新高。在價格下跌0.59%后,MATIC目前的交易價格為0.8376美元.
1900/1/1 0:00:00原文作者:比得潘、Jack(0x137),BlockBeats在此次Devcon活動期間,ETHGlobal同樣舉辦了自己的黑客松活動ETHBogota,并于今天公布了黑客松最終項目名單.
1900/1/1 0:00:00一、中東和北非是增長最快的加密貨幣市場:數據被稱為MENA地區的中東和北非在過去一年中獲得了最快的加密貨幣增長.
1900/1/1 0:00:0010月6日星期四,按市值計算的第八大加密貨幣Cardano(ADA)下跌0.46%。然而,今天,該貨幣以積極的姿態開盤,觸及0.437美元的高位.
1900/1/1 0:00:00