原文標(biāo)題：《 零知識證明技術(shù)：點亮 DeFi 的新星》

原文作者：LZ

1. 引言

去中心化金融（Decentralized Finance，簡稱 DeFi）是當(dāng)前金融創(chuàng)新領(lǐng)域的重要發(fā)展方向。在 DeFi 中，對交易信息的隱藏和用戶隱私的維護(hù)是至關(guān)重要的。隨著 DeFi 的不斷擴(kuò)展和深化，各類項目層出不窮，充滿了活力。而零知識證明（Zero-knowledge proof，簡稱 ZK）技術(shù)的應(yīng)用，為 DeFi 的隱私保護(hù)開辟了新的可能。ZK 技術(shù)使得一方可以向另一方證明他們知道某個信息，而無需透露任何關(guān)于該信息的具體細(xì)節(jié)。這種技術(shù)在諸如ZigZag、unyfy以及 OKX 的ZK DEX等 DeFi 項目中的應(yīng)用，極大地強(qiáng)化了 DeFi 的隱私保護(hù)能力，尤其是對于交易信息的保護(hù)?？梢灶A(yù)見，ZK 技術(shù)的廣泛應(yīng)用將帶來對 DeFi 以及整個加密貨幣領(lǐng)域處理方式的革新，推動整個領(lǐng)域的未來發(fā)展，實現(xiàn)重大突破。

2. DeFi 中的隱私挑戰(zhàn)

區(qū)塊鏈上沒有秘密，DeFi 的數(shù)據(jù)透明度也是無可爭議的。以 Uniswap V3 上的某一筆交易為例，我們可以通過 Etherescan 網(wǎng)站輕松查看該交易詳情（如圖 1 所示）。例如，地址 0x3A4D...a6f2 在 Uniswap V3 上用 2 WETH 兌換了 17,654,123,249,375 Bonk，交易費用為 0.0046 Ether。這些交易中的發(fā)送者（From）、接收者（To）、交易金額（Value）以及手續(xù)費（Transaction Fee）等關(guān)鍵信息都是公開可查的。

圖 1 在 etherescan 上公開的交易細(xì)節(jié)

我們還可以查看 0x3A4D...a6f2 地址下的所有交易記錄（如圖 2 所示），如果條件允許，還可以推測出此地址在現(xiàn)實世界中的真實身份。

圖 2 特定地址的所有交易列表在 etherescan 上是公開的

然而，DeFi 的數(shù)據(jù)透明度可能會帶來一些不利影響。如果你是一個 DeFi 巨鯨，你的每一筆交易都可能會引起市場的關(guān)注，比如，當(dāng)某巨鯨從 Binance 提取1124 萬枚 WOO（約合 420 萬美元），這筆交易就會引起廣泛關(guān)注。同樣，任何大額支付或機(jī)構(gòu)級的交易行為，也可能引發(fā)公眾的廣泛關(guān)注。

市場的其他參與者可能會根據(jù)這些交易行為作出買賣決策，從而對你的投資策略產(chǎn)生不利影響。比如，你在某個項目中投入了大量資金，但一旦你的交易被市場察覺，其他投資者可能會緊隨其后，導(dǎo)致資產(chǎn)價格上漲，進(jìn)而增加你的投資成本。此外，你的售出操作也可能引發(fā)市場恐慌，導(dǎo)致價格下跌，影響你的投資回報。

這種情況突顯了 DeFi 項目和用戶對隱私保護(hù)的迫切需求。如果我們不希望自己的交易細(xì)節(jié)被公眾知曉，可以選擇讓 DeFi 交易的某些信息保持私密。

ZK 技術(shù)在隱藏交易細(xì)節(jié)的同時，能確保交易的合法性。用戶需要提交兩類信息：一是部分隱藏細(xì)節(jié)（如交易接收方或金額）的交易（即隱私交易），二是關(guān)于這些隱藏信息的 ZK 證明。驗證一個隱私交易的合法性，實際上是在驗證相應(yīng)的 ZK 證明。

3. 解鎖 DeFi 潛力：ZK 技術(shù)帶來的機(jī)遇

3.1 ZK 技術(shù)在抵御搶跑交易中的作用

假設(shè)你有幸得知一家大公司即將購買大量的某種資產(chǎn)，你可能會選擇先于這家公司購入這種資產(chǎn)。然后，當(dāng)這家公司的大量購買行為推高了資產(chǎn)價格后，你再將其賣出，從而獲取利潤。在這種情況下，你先于大公司進(jìn)行的交易就構(gòu)成了搶跑交易。

搶跑交易是一種在金融交易中的投資策略，通常發(fā)生在交易所中，比如 Uniswap。這是因為在區(qū)塊鏈中的交易是公開的，而且交易確認(rèn)需要一定的時間。因此，一些惡意的交易者可能會通過提高交易 Gas 費用，讓自己的交易優(yōu)先于其他人的交易被挖礦確認(rèn)，以此來達(dá)到搶跑交易的目的。

搶跑交易會給其他的交易者造成損害，因為它改變了原本的交易環(huán)境，使得其他交易者的交易可能無法按照原計劃進(jìn)行。另一方面，攻擊者發(fā)起搶跑交易的目的也是為自己牟利，他們可以在價格變動前獲取利潤。因此，很多 DeFi 項目也在嘗試通過各種方式來防止搶跑交易的發(fā)生。

ZK 技術(shù)在抵御搶跑交易中可以發(fā)揮關(guān)鍵作用。以下，以去中心化交易所（Decentralized Exchange，簡稱 DEX）中的三明治攻擊為例，這也是一種常見的搶跑交易類型，進(jìn)行案例分析。

3.1.1 案例分析：DEXs 中的三明治攻擊

?什么是三明治攻擊？

假設(shè)在一個 DEX 上，有一個流動性池，其儲備狀態(tài)為 100 ETH / 300,000 USDT。Alice 發(fā)起了一筆購買 USDT 的交易，即以 20 ETH 交換 USDT。當(dāng)她提交交易時，DEX 會根據(jù)當(dāng)前流動性池的儲備狀態(tài)返回一個結(jié)果，告訴 Alice 可以買到大約 50,000 USDT。但實際上 Alice 最后只拿到了 45,714 USDT。

這里，我們先來簡單了解一下為什么 Alice 能夠用 20 ETH 購買到 50,000 USDT。該 DEX 采用了自動做市商模式（Automated Market Maker，簡稱 AMM），通過恒定乘積做市商算法（Constant Product Market Maker，簡稱 CPMM）自動計算買賣價格。CPMM 是目前普及度較高的自動做市商算法，通過保持交易池中兩種資產(chǎn)乘積的恒定，以實現(xiàn)流動性供應(yīng)并自動調(diào)整資產(chǎn)價格。在這個例子中，通過公式 50,000=300,000-(100*300,000)/(100+20)（假設(shè)沒有手續(xù)費）計算出 Alice 能夠買到的 USDT 的數(shù)量。

Alice 并沒有買到預(yù)期數(shù)量的 USDT，這是因為她遭到了三明治攻擊。

三明治攻擊主要發(fā)生在基于 AMM 的 DEXs 中。在三明治攻擊中，攻擊者在受害者的常規(guī)交易周圍放置兩筆交易以操縱資產(chǎn)價格并從受害者的損失中獲利。這兩筆交易分別是搶先交易和追單交易，常規(guī)交易之前的交易被稱為搶先交易，常規(guī)交易之后的交易被稱為追單交易。

那么，Alice 遭到的三明治攻擊到底是如何進(jìn)行的呢？如圖 3 所示。

圖 3 三明治攻擊流程

1.攻擊者的搶先交易：在 Alice 發(fā)起的購買 USDT 的交易被執(zhí)行之前，攻擊者也發(fā)起了一筆購買 USDT 的交易（搶先交易），即以 5 ETH 交換 USDT。而且，攻擊者為這筆交易支付給礦工的 gas 費高于 Alice，所以，攻擊者的這筆交易會先于 Alice 被執(zhí)行。

2.攻擊者購買 USDT 的交易執(zhí)行后，他從流動性池中拿到了大約 14,286 USDT，14,286≈300,000-(100*300,000)/(100+5)。流動性池的儲備從初始狀態(tài)的 100 ETH / 300,000 USDT 變?yōu)?105 ETH / 285,714 USDT。但是，Alice 在提交交易到她的交易被執(zhí)行這段時間內(nèi)，并不知道流動性池的儲備狀態(tài)發(fā)生了改變。

3.受害者的常規(guī)交易：隨后，Alice 的常規(guī)交易開始執(zhí)行。

4.Alice 購買 USDT 的交易被執(zhí)行后，她從流動性池中拿到了 45,714 USDT（根據(jù)恒定乘積函數(shù)，45,714≈285,714-(105*285,714)/(105+20)）。流動性的儲備狀態(tài)從 105 ETH / 285,714 USDT 變?yōu)?125 ETH / 240,000 USDT。所以，Alice 用 20 ETH 本應(yīng)該能買 50,000 USDT，現(xiàn)在卻因為攻擊者的交易使流動性池發(fā)生的改變，只能買 45,714 USDT。Alice 虧損了大約 4286 USDT（4286=50,000-45,714）。

5.攻擊者的追單交易：最后，攻擊者再次發(fā)起一筆交易（追單交易），即以 14,286 USDT 交換 ETH（這 14,286 USDT 是剛才買的）。

6.攻擊者的追單交易被執(zhí)行后，他從流動性池拿出了 7 ETH（定乘積函數(shù)，7≈125-(125*240,000)/(240,000+14,286)）。流動性池的儲備狀態(tài)從 125 ETH / 240,000 USDT 變?yōu)?118 ETH / 254,286 USDT。所以，攻擊者一開始只是花費了 5ETH，最后卻拿到了 7ETH，獲得了 2 ETH 的收益（2=7-5）。

在整個三明治攻擊的流程中，攻擊者總共發(fā)起了兩筆交易，即搶先交易和追單交易。搶先交易使 Alice 虧損了大約 4286 USDT。搶先交易和追單交易的組合，使攻擊者盈利了 2 ETH。

在 DEXs 中，交易的公開性是導(dǎo)致三明治攻擊出現(xiàn)的一個關(guān)鍵因素，尤其是在 AMM 協(xié)議中。這些協(xié)議將 DEXs 上的實時交易信息公之于眾，這種高透明度為攻擊者提供了可能，他們可以通過觀察和分析交易流動，以便找尋機(jī)會進(jìn)行三明治攻擊。

3.1.2 ZK 技術(shù)可以抵抗三明治攻擊

ZK 技術(shù)的應(yīng)用可以顯著減少受到三明治攻擊的可能性。通過使用 ZK 技術(shù)隱藏交易量、資產(chǎn)種類、用戶或流動性池余額、用戶身份、交易指令及其他協(xié)議相關(guān)信息，可以有效提升交易數(shù)據(jù)的隱私性。這樣一來，攻擊者難以獲得完整的交易信息，從而使得三明治攻擊的實施更加困難。

此外，ZK 技術(shù)不只能抵御三明治攻擊，基于 ZK 的隱私交易還能增加對用戶行為模型判斷的難度。任何第三方嘗試通過收集區(qū)塊鏈數(shù)據(jù)來分析賬戶歷史交易、推斷行為模式、探尋活躍周期、交易頻率或偏好等，都將面臨挑戰(zhàn)。這種分析被稱為行為模型推斷，不僅侵犯用戶隱私，還可能為蜜罐攻擊和網(wǎng)絡(luò)釣魚詐騙鋪平道路。

3.2 基于 ZK 技術(shù)防止流動性操縱

流動性操縱和搶跑交易都是 DeFi 中的攻擊方式，這兩種攻擊方式都涉及到利用市場信息和交易速度來獲取利益，但是它們的具體策略和操作方式是不同的。

搶跑交易是利用信息優(yōu)勢，而流動性操縱是利用市場活動來誤導(dǎo)其他交易者。前者主要通過獲取并利用未公開的重要信息來獲利，而后者則是通過創(chuàng)造虛假的市場活躍度來誤導(dǎo)其他投資者，使他們做出不利的交易決策。

ZK 技術(shù)不僅可以在抵御搶跑交易中發(fā)揮關(guān)鍵作用，它也可以助力于防止流動性操縱。

3.2.1 案例分析：利用預(yù)言機(jī)進(jìn)行流動性操縱

假設(shè)你正在一個繁忙的水果市場購買蘋果。市場的價格通常會根據(jù)供應(yīng)和需求的變化而浮動。你通常會觀察一段時間的價格，然后根據(jù)平均價格來決定是否購買?，F(xiàn)在想象有一個非常富有的買家進(jìn)入市場，并且他非常想要購買蘋果。他開始大量購買蘋果，不在乎價格如何。這會導(dǎo)致蘋果的價格短時間內(nèi)暴漲。如果你仍然根據(jù)這個價格購買蘋果，你就可能會付出比實際價值更高的價格。

這個例子可以更好地理解 TWAP（Time-Weighted Average Price，時間加權(quán)平均價格）預(yù)言機(jī)的工作原理和流動性操縱的概念。根據(jù)平均價格決定購買蘋果的行為類似于 TWAP 預(yù)言機(jī)的操作，富商大量購買蘋果導(dǎo)致價格上漲則類似于流動性操縱。

TWAP 預(yù)言機(jī)通過計算一段時間內(nèi)的平均交易價格確定資產(chǎn)價格。交易的時間越近，對平均價格的影響越大。如果有人短期內(nèi)進(jìn)行大量交易或用大量資金交易，可能大幅影響資產(chǎn)的平均價格，這就是流動性操縱。流動性操縱會人為抬高或壓低資產(chǎn)價格，導(dǎo)致價格信息不準(zhǔn)確。如果有人想利用 TWAP 預(yù)言機(jī)故意提高資產(chǎn)價格，他可以短期內(nèi)用大量資金購買該資產(chǎn)，使價格短暫上漲。如果在這個時間窗口內(nèi)，資產(chǎn)價格出現(xiàn)了顯著的增加，TWAP 預(yù)言機(jī)可能會將這個較高的價格視為資產(chǎn)價格。

對 TWAP 預(yù)言機(jī)實施流動性操縱會對 DeFi 協(xié)議產(chǎn)生重大影響，尤其是流動性較低的新興代幣。這些 DeFi 協(xié)議通常會根據(jù)資產(chǎn)的價格來做出財務(wù)決策，比如清算、借貸等。如果價格信息不準(zhǔn)確或不可靠，就可能導(dǎo)致錯誤的決策，從而給用戶帶來損失。因此，防止 TWAP 預(yù)言機(jī)受到流動性操縱是至關(guān)重要的。

3.2.2 ZK 技術(shù)可以抵抗流動性操縱

基于 ZK 技術(shù)可以抵抗 TWAP 預(yù)言機(jī)當(dāng)中的流動性操縱。可以設(shè)計一個智能合約，使其依賴于 TWAP 預(yù)言機(jī)來獲取資產(chǎn)價格。如果攻擊者進(jìn)行了流動性操縱行為，從 TWAP 預(yù)言機(jī)獲取的價格可能會超出預(yù)設(shè)的可接受范圍。在這種情況下，該合約將會暫時停止其操作。然后，它將基于 ZK 技術(shù)重新計算并確認(rèn)資產(chǎn)價格。

要想使用 ZK 技術(shù)計算資產(chǎn)價格，首先需要向 TWAP 預(yù)言機(jī)添加一個包裝合約（wrapper contract）。該合約可以直接訪問 N 個價格報告，或者記錄價格在任意間隔的 N 個檢查點值。一旦給定間隔內(nèi)有 N 個數(shù)據(jù)點可用，就可以構(gòu)建 ZK 證明來證明未排序價格數(shù)組的中位數(shù)（the median of the unsorted array of prices）。未排序價格數(shù)組被標(biāo)記為列向量 x，長度是 N。以下是基于 ZK 技術(shù)計算資產(chǎn)價格的過程：

證明可以用以下兩種方式中的任一種進(jìn)行驗證，無論哪種情況，證明者都不能任意選擇一個價格數(shù)組作為輸入。

1.●?????從合約存儲中檢索數(shù)組值，并將其作為公開輸入用于鏈上驗證器；

●?????通過哈希函數(shù)逐步形成哈希鏈，將數(shù)組表示為單個哈希值，并在鏈上驗證器中使用該值。

2.存在一個 N x N 的矩陣 A（square matrix），當(dāng)該矩陣乘以列向量 x 時，產(chǎn)生列向量 y，使得 y=Ax 。A 是一個可逆的排列矩陣，但由于可能存在重復(fù)的價格值，A 并不一定是唯一的，且 A 只包含二進(jìn)制值。

3. y 中的值是有序的，即 { yi≤yi+1 ? i ∈ 0...N-1 }。再次說明，不能使用<，因為可能存在重復(fù)的價格值。

4.電路的公開輸出 m 是 y 的中值（median vaue）。證明顯示 y?N/2?=m ，其中 N 是電路編譯時的靜態(tài)值，必須為奇數(shù)。

根據(jù)以上過程，基于 ZK 技術(shù)輸出了一個價格的中值 m，該值是防篡改的。中值 m 可以在一定程度上防止流動性操縱，為了實現(xiàn)這一點，我們需要限制 y 的值，使得在每個區(qū)塊中，y 的值只被插入一次，或者被插入的次數(shù)在可接受的范圍內(nèi)。

3.3 ZK 技術(shù)為借貸平臺賦能

如上所述，ZK 技術(shù)能夠抵御 DEXs 中的搶跑交易和流動性操縱。那么，我們是否可以進(jìn)一步探究 ZK 技術(shù)在其他 DeFi 場景中的應(yīng)用可能性呢？例如，在 DeFi 項目的重要組成部分——借貸，ZK 技術(shù)也能發(fā)揮出關(guān)鍵的作用。

3.3.1 借貸的關(guān)鍵：如何評估借款人信用

在傳統(tǒng)借貸平臺上，貸款申請流程通常涵蓋申請、信用評估、貸款審批、貸款發(fā)放及償還等五個步驟。其中，信用評估的環(huán)節(jié)尤為重要，借款人必須證明其收入達(dá)標(biāo)，并且具備還款能力。在評估過程中，平臺會深入調(diào)查借款人的信用歷史，包括收入、負(fù)債以及過去的還款記錄等，以確保其有能力償還貸款。只有在此基礎(chǔ)上，平臺才會考慮批準(zhǔn)貸款申請。

然而，當(dāng)你轉(zhuǎn)向去 DeFi 借貸平臺，如 Aave 或 Compound，情況就會有所不同。大多數(shù) DeFi 借貸平臺由于其去中心化的特性，沒有傳統(tǒng)銀行的 KYC（Know Your Customer，了解你的客戶）程序和風(fēng)險評估環(huán)節(jié)，也無法通過聯(lián)合征信社來調(diào)查借款人的信用狀況。在這種情況下，你可能會疑惑，我的信用將如何進(jìn)行評估呢？

在 DeFi 借貸平臺上，你可以通過聲譽(yù)代幣證明來證明自己的信用水平。聲譽(yù)代幣是一種以區(qū)塊鏈技術(shù)為基礎(chǔ)的信用體系，通過數(shù)字代幣來表征和量化用戶的信譽(yù)。聲譽(yù)代幣的數(shù)量成為評估用戶信譽(yù)的重要指標(biāo)，代幣數(shù)量越多，意味著用戶的聲譽(yù)越好，信用等級也相應(yīng)提高，從而在 DeFi 借貸平臺上有可能獲得更多的貸款額度。

然而，聲譽(yù)代幣的生成需要依賴用戶的交易歷史和財務(wù)信息，這可能會侵犯用戶的隱私權(quán)。

3.3.2 評估借款人信用：基于 ZK 技術(shù)的信譽(yù)代幣

ZK 技術(shù)可以保護(hù)用戶隱私。ZK 技術(shù)和聲譽(yù)代幣的結(jié)合，能夠在保護(hù)用戶隱私的同時，維護(hù)和跟蹤其在網(wǎng)絡(luò)中的聲譽(yù)。

用戶可以借助 ZK 技術(shù)，在不公開歷史交易的情況下，生成信譽(yù)代幣。一方面，用戶可以基于 ZK 技術(shù)來生成歷史交易的證明；另一方面，由智能合約（通常被稱為信譽(yù)代幣生成合約）對該證明進(jìn)行驗證，驗證通過即可生成信譽(yù)代幣。

此外，在某些需要超額抵押的 DeFi 借貸平臺上，聲譽(yù)代幣可以降低抵押要求，從而解決過度擔(dān)保的問題，提高市場的流動性。且基于 ZK 技術(shù)的聲譽(yù)代幣的應(yīng)用并不僅限于 DeFi 借貸平臺，它還可以廣泛應(yīng)用于保險、醫(yī)療補(bǔ)助等領(lǐng)域。

4. 總結(jié)與展望

本文探討了 ZK 技術(shù)在 DeFi 中實現(xiàn)隱私保護(hù)的多種應(yīng)用場景，特別是在抵御搶跑交易、流動性操縱和借貸方面的潛力。在探索 DeFi 的過程中，我們面臨著多項挑戰(zhàn)，特別是與隱私和安全相關(guān)的問題。DeFi 生態(tài)系統(tǒng)中的隱私挑戰(zhàn)是一個關(guān)鍵議題，而 ZK 技術(shù)提供了獨特的解決方案，不僅能增強(qiáng)隱私保護(hù)，還能提高交易效率和安全性。如果您想要為自己的 DApp 引入 ZK 技術(shù)，歡迎與Salus聯(lián)系。

展望未來，ZK 技術(shù)可能會在更深入的 DeFi 領(lǐng)域得到應(yīng)用，如流動性質(zhì)押、衍生品協(xié)議、真實世界資產(chǎn)、保險等。Salus 專注于研究和探索 ZK 技術(shù)在 DeFi 以及其他以太坊應(yīng)用層項目的應(yīng)用。我們誠邀全球的區(qū)塊鏈研究者、技術(shù)開發(fā)者以及 web3 領(lǐng)域的所有專業(yè)人士，與我們共同努力，推動 ZK 技術(shù)的深度發(fā)展和廣泛應(yīng)用，以帶動 DeFi 乃至整個行業(yè)的發(fā)展。

本文來自投稿，不代表 BlockBeats 觀點。