摘要：免責(zé)聲明：本文旨在傳遞更多市場信息，不構(gòu)成任何投資建議。文章僅代表作者觀點，不代表MarsBit官方立場。小編：記得關(guān)注哦來源：Ray原文標題：ArkStream Capital: 詳解 zk 在擴容和隱私保護賽道的投資機會零知識證明和擴容...

免責(zé)聲明：本文旨在傳遞更多市場信息，不構(gòu)成任何投資建議。文章僅代表作者觀點，不代表MarsBit官方立場。

小編：記得關(guān)注哦

來源：Ray

原文標題：ArkStream Capital: 詳解 zk 在擴容和隱私保護賽道的投資機會

零知識證明和擴容

目前來看，區(qū)塊鏈所有設(shè)計的出發(fā)點，本質(zhì)都是圍繞區(qū)塊。交易構(gòu)成區(qū)塊數(shù)據(jù)，共識機制決定區(qū)塊生成、驗證和順序。按照交易的角度思考，交易經(jīng)過用戶私鑰簽名發(fā)起，經(jīng)由網(wǎng)絡(luò)廣播，進入全網(wǎng)交易內(nèi)存池，區(qū)塊構(gòu)造者/MEV搜索者/定序器挑選交易，提交交易列表給區(qū)塊構(gòu)造者，區(qū)塊構(gòu)造者/區(qū)塊生產(chǎn)者向網(wǎng)絡(luò)提交區(qū)塊，區(qū)塊驗證者驗證區(qū)塊合法有效以后確認上鏈。按照區(qū)塊的角度思考，區(qū)塊要完成構(gòu)造、提交上鏈和上鏈確認三個步驟。去中心化的設(shè)計機制，會為交易或區(qū)塊的每個環(huán)節(jié)增加全網(wǎng)成本和安全性，以此實現(xiàn)機器信任。合法的最長區(qū)塊鏈，我們稱之為主鏈/一層網(wǎng)絡(luò)/基層鏈/Layer1。

在軟件設(shè)計開發(fā)領(lǐng)域，設(shè)計模式有單一職責(zé)、設(shè)計架構(gòu)有分層架構(gòu)，設(shè)計原則有高內(nèi)聚低耦合，這一切的理論和指導(dǎo)為的都是以模塊化的思想重構(gòu)軟件。區(qū)塊鏈的模塊化，可以從數(shù)據(jù)可用（數(shù)據(jù)層）、邏輯執(zhí)行（執(zhí)行層）和共識機制（共識層）三個主要層面進行劃分。如果將擴容對應(yīng)到這三個層面，那么，分別會有數(shù)據(jù)層擴容、執(zhí)行層擴容和共識層擴容。為了簡化，我們按照主鏈變動與否，分為鏈上擴容和鏈下擴容。鏈上擴容方案有增加區(qū)塊大小、分片、調(diào)整共識機制。鏈下擴容方案有隔離見證、狀態(tài)通道、側(cè)鏈、Plasma、Rollup。DeFi的爆發(fā)和NFT 的盛行讓以太坊網(wǎng)絡(luò)的擴容需求日益激增，2021年12月，Vitalik 發(fā)布了《Endgame》，描繪了以太坊的未來將會是中心化出塊、去中心化驗證以及多Rollup并存的。在 Vitalik的大力支持下，Rollup成為了以太坊鏈下擴容的主流方案。在眾多的Rollup細分方案中，按照技術(shù)類型，可分為Optimisitc Rollup（ORU）和ZK Rollup（ZKR），他們之間主要的區(qū)別是交易有效性保證方案不一樣，Optimistic采用博弈的欺詐證明，ZK Rollup采用數(shù)學(xué)的零知識證明。

不管是Optimistic Rollup、還是ZK Rollup，它們都要在繼承以太坊的安全性和數(shù)據(jù)可用性前提下，處理大量的交易和支持智能合約的通用計算。Optimistic Rollup是將大量的交易數(shù)據(jù)進行壓縮，然后把壓縮以后的交易數(shù)據(jù)和狀態(tài)根提交到以太坊。另外，Optimistic Rollup網(wǎng)絡(luò)設(shè)有挑戰(zhàn)者的角色，它們可以對提交到以太坊的數(shù)據(jù)進行欺詐證明，然后再經(jīng)由Optimistic Rollup網(wǎng)絡(luò)共識回滾無效的交易。至于ZK Rollup，批量處理交易數(shù)據(jù)的時候，使用了零知識證明技術(shù)，在保證了交易數(shù)據(jù)有效性的基礎(chǔ)上，直接將證明提交到以太坊，即時達成狀態(tài)的最終一致性。在智能合約通用計算方面，Optimistic Rollup是直接延用以太坊EVM，而ZK Rollup的團隊要么是研發(fā)zkVM、要么是采取zkEVM的道路，所以，dApp的項目可以在Optimistic Rollup無縫遷移，而在ZK Rollup網(wǎng)絡(luò)大部分都需要做可大可小的改動。

不同種類的Rollup，設(shè)有特別的網(wǎng)絡(luò)參與者，ORU有提出欺詐證明的挑戰(zhàn)者，ZKR有進行計算和聚合零知識證明的計算證明者和聚合者。Layer2 通過將二層網(wǎng)絡(luò)的交易批量處理（Rollup）以后，提交到一層網(wǎng)絡(luò)特定的智能合約，由此獲得一層網(wǎng)絡(luò)的安全性和數(shù)據(jù)可用性。此時，一層網(wǎng)絡(luò)的去中心化程度、區(qū)塊驗證機制都會成為二層網(wǎng)絡(luò)交易有效性的背書。

在Layer2網(wǎng)絡(luò)技術(shù)方案和架構(gòu)，相比于采用博弈模型的ORU，采用零知識證明，能進行數(shù)學(xué)驗證的ZKR將更有技術(shù)優(yōu)勢，只是后者發(fā)展相對緩慢，需要更多的時間，因此也有大量的項目在這個領(lǐng)域進行前瞻式的探索。接下來，我們將探討多個ZKR相關(guān)項目。

Starkware：基于自研STARK協(xié)議，發(fā)明Cairo電路編程語言及其zkVM的技術(shù)服務(wù)商。產(chǎn)品線有專用型的StarkEx和通用型的StarkNet。StarkEx定位是服務(wù)特定應(yīng)用需求的二層網(wǎng)絡(luò)擴容引擎，已經(jīng)服務(wù)不少客戶，例如Sorare、Immutable、dYdX （V3）、DeversiFi（rhino.fi）、Celer等，現(xiàn)在也有超過6億美金的TVL、2億多的交易量等業(yè)務(wù)數(shù)據(jù)。

StarkNet定位是通用的、可組合的、去中心化的ZKR。整個StarkNet的核心參與者：StarkNet OS、STARK Prover和Blockchain Dispatcher。StarkNet OS類似于EVM在以太坊的角色，承擔交易排序和交易零知識證明計算任務(wù)分派。STARK Prover是交易零知識證明的證明方，負責(zé)計算證明。Blockchain Dispatcher是L1/L2網(wǎng)絡(luò)之間通信的橋梁。

Figure1: StarkNet Intro

Figure2: StarkNet Messaging Mechanism L2->L1

StarkNet官方網(wǎng)關(guān)StarkGate已經(jīng)發(fā)布上線，會不定期開放限制額度的存取款體驗，現(xiàn)在橋接的資產(chǎn)總數(shù)大概為775個ETH 。Cairo語言風(fēng)格偏向Golang和Python之間，新增電路編程語言的原生類型：Field Element（felt），開發(fā)通用庫偏少，主要是官方提供。不支持zkEVM，也即不支持Solidity代碼的直接編譯部署，需要先通過Warp轉(zhuǎn)譯器轉(zhuǎn)成Cairo代碼再做部署，Solidity部分特性明確不支持，其中影響比較大的是SHA256。StarkNet的生態(tài)項目涵蓋錢包、DEX、DAO 等多個賽道，以原生項目為主，和以太坊dApp項目重合度較低，具體可以參考官方生態(tài)網(wǎng)站。從區(qū)塊瀏覽器可以看到，目前沒有頻繁的交易數(shù)量，每個Block的平均交易數(shù)是115筆左右。

StarkNet發(fā)布了多次Alpha版、當前處于Constellations階段，正在研究和實現(xiàn)去中心化的StarkNet OS和StarkNet Prover。

Figure3: StarkNet Decentralization Roadmap

zkSync ：基于PLONK協(xié)議（1.0版本）和自研無需可信設(shè)置的、透明的RedShift協(xié)議（2.0版本/未來），支持Solidity/Vyper編程的zkEVM的ZKR。zkSync 1.0之前推出Zinc電路編程語言和對應(yīng)的SyncVM（zkVM），現(xiàn)在基本停滯，改為支持Solidity/Vyper編程的zkEVM，也即zkSync 2.0?，F(xiàn)在處于zkSync 2.0測試網(wǎng)迭代階段，未來100天將會發(fā)布主網(wǎng)和實現(xiàn)zkEVM開源。除了數(shù)據(jù)上鏈的zkRollup方案，zkSync也推出數(shù)據(jù)不上鏈的zkPorter方案。zkSync 2.0用Operator操作者和System Contracts系統(tǒng)合約的設(shè)計完成L2到L1合約部署功能、L2/L1通信功能等。當前的Operator操作者由zkSync團隊運行，未來將進行去中心化改造。由于zkSync宣稱EVM字節(jié)碼的兼容性，且作為社區(qū)驅(qū)動型項目，zkSync獲得不少以太坊知名dApp項目方支持，例如1inch 、Yearn Finance、Aave 、Chainlink 和The Graph等。zkSync的生態(tài)項目可以通過官方生態(tài)網(wǎng)站查詢，Live狀態(tài)的有錢包、衍生品交易所和橋等。從區(qū)塊瀏覽器可以看到，提交確認的區(qū)塊有接近10萬，總交易數(shù)超過1千萬，平均每個區(qū)塊交易數(shù)為100筆。zkSync 2.0測試網(wǎng)運行約有半年，一直在進行zkEVM的實現(xiàn)和以太坊JSON-RPC的兼容。zkSync的2.0版本可能是最快上線的兼容zkEVM的ZK Rollup，待其上線后，將很大程度上降低用戶門檻，進一步吸引用戶使用該L2網(wǎng)絡(luò)。

Figure4: zkSync 2.0 100 Days to Mainnet

Scroll：原生zkEVM方案、集成ZK各項前研技術(shù)（多項式承諾、Lookup Table、遞歸證明）和GPU/ASIC硬件加速的ZKR。Scroll的L2網(wǎng)絡(luò)由Node（Replayer、Sequencer、Coordinator）和Roller組成，以及對應(yīng)的L1上面的Bridge和Rollup智能合約。推薦大家直接閱讀官方發(fā)表的架構(gòu)講解文章，非常通俗易懂。這里我們簡單說說：Sequencer接收L2交易，處理L2交易列表，構(gòu)造區(qū)塊和狀態(tài)根，Coordinator監(jiān)控區(qū)塊和分發(fā)區(qū)塊的執(zhí)行棧給Roller，Roller計算zkEVM的電路和生成聚合電路證明，再返回給Coordinator，Coordinator通過Replayer提交到L1的Rollup合約，Replayer也承擔L1/L2通信橋的功能。由于Scroll和以太坊基金會PSE（Privacy & Scaling Explorations）共同在隱私和擴容問題研究一年多時間，Scroll的zkEVM方案非常原生。從Scroll公開的代碼倉可以看出，zkEVM方案是與PSE一致聯(lián)動的，而L2的Node會基于以太坊Go-Ethereum（Geth）實現(xiàn)。近期Scroll有Pre-alpha測試網(wǎng)的注冊。

Figure5: Scroll Architecture

Figure6: Scroll Workflow

Polygon (MATIC)：最開始提出的時候是以太坊的側(cè)鏈，在轉(zhuǎn)變策略后，Polygon并購了多個L2解決方案，開始進行大范圍的擴容探索，這里我們將對其中幾個涉及zk的L2方案進行簡單的介紹。

Figure7: Polygon Scaling Solutions

Polygon zkEVM（Hermez ）：Hermez 1.0采用去中心化競價模型的PoD（Proof of Donation）共識機制以及ZKR做的主打支付功能L2，主網(wǎng)在21年3月上線，區(qū)塊瀏覽器，斷斷續(xù)續(xù)有批量產(chǎn)生的交易。Hermez 2.0調(diào)整為zkEVM方案的L2，共識機制升級為PoE（Proof of Efficiency）。Hermez 2.0的L2架構(gòu)圖如下，可以看出和Scroll的架構(gòu)很類似，我們就不再復(fù)述L2各方角色交互的基本流程和作用。在zkEVM發(fā)揮核心作用的是zkProver（同比Scroll的Roller），我們一塊看看zkProver的內(nèi)部組成。zkEVM以多項式形式表達狀態(tài)流轉(zhuǎn)（參考上一篇文章的虛擬機部分，多項式形式/約束直接理解為零知識證明的電路）。

Figure8: Skeletal Overview of zkEVM

zkProver內(nèi)部包含Main State Machine Executor（Executor）， Secondary State Machines（STARK Recursion Component）， STARK Builder（CIRCOM Library）和SNARK Builder（zk-SNARK Prover），括號為另一種理解方式，參考圖。

1. Main State Machine Executor：是將交易的EVM字節(jié)碼用zkASM（zero-knowledge Assembly language）進行解釋和設(shè)置多項式約束，與此同時， Polynomial Identity Language（PIL）用于編碼多項式約束。

2. Secondary State Machines：將zkEVM的交易對應(yīng)的狀態(tài)流轉(zhuǎn)進行拆分，用對應(yīng)多個狀態(tài)機去計算和驗證交易的正確性。

3. STARK Proof Buidler：計算生成符合STARK多項式約束的證明（計算速度快）。

4. SNARK Proof Builder：計算STARK的SNARK證明（縮小證明的大?。琍LONK/Groth 16暫定。

Figure9: A Simplified zkProver Diagram

Figure10: Simplified Data Flow in the zkProver

至于Hermez zkASM/PIL等介紹，都可以在官方資料文檔看到，很齊全，并且各個功能模塊的代碼倉已經(jīng)開源且有持續(xù)維護。

Figure11: Polygon zkEVM Open Source

概括而言，Hermez 2.0是結(jié)合Plonkup Lookup、Starkware的STARK協(xié)議，采用新匯編方案實現(xiàn)的zkEVM型、PoE共識去中心化的L2。計劃2022年Q3發(fā)布測試網(wǎng)，2023年發(fā)布主網(wǎng)。

Polygon Zero：基于Plonk協(xié)議和FRI技術(shù)的自研Plonky2，zkEVM兼容的L2。Polygon花費4億美元收購的Mir項目更名而來。Zero的資料主要是在Mir的官網(wǎng)和Polygon的博客查看。Zero宣稱的特點是支持遞歸、高效快速、證明大小很小。項目代碼倉一直在更新，且其中包含evm的模塊。由于資料較少且時間久遠，暫時不清楚Zero未來的路線，目前來看，Plonky2的架構(gòu)可能更偏向于技術(shù)服務(wù)型的框架，近期宣布開源Plonky2。

Figure12: Polygon Zero Processing A Block

Polygon Miden：基于STARK協(xié)議，支持多語言開發(fā)（含Solidity）、兼容EVM，推出電路編程語言Miden Assembly匯編及其Miden VM的L2。Miden VM是Distaff VM的進化版，集成了Facebook 開源的證明系統(tǒng)庫Winterfell。從官網(wǎng)的架構(gòu)圖，Miden有Operator的設(shè)計，但這部分內(nèi)容、EVM兼容和L2路線和進展都沒找到任何官方資料文檔。Miden現(xiàn)在的代碼倉以VM為主，兼容EVM部分也沒有看到說明和實現(xiàn)方案。

Figure13: Polygon Miden Intro

Polygon Nightfall：主打隱私的、混合了Optimistic和ZK兩種Rollup方式的企業(yè)級L2。本質(zhì)依然是ORU的L2，但是結(jié)合了ZKP的技術(shù)加強隱私保護。Nightfall是由安永公司創(chuàng)建，與Polygon合作是為了在企業(yè)級區(qū)塊鏈方面進行更多的探索。主網(wǎng)計劃在2022年發(fā)布。

Figure14: Polygon Nightfall Intro

Mina：除了L2，還有一些項目基于ZKP對L1進行擴容上的探索，比如Mina，一個基于遞歸SNARK開發(fā)的輕量級區(qū)塊鏈（L1）。整個區(qū)塊鏈網(wǎng)絡(luò)維護最新區(qū)塊的SNARK證明即可保證整個區(qū)塊鏈的正確性，大小維持在22KB。網(wǎng)絡(luò)有維護完整數(shù)據(jù)的Archive Node，執(zhí)行共識機制生產(chǎn)區(qū)塊的出塊者和處理零知識證明計算的SNARK生產(chǎn)者。Mina提出用TypeScript編寫的zkApp，如果要實現(xiàn)對應(yīng)zkApp業(yè)務(wù)邏輯，需要開發(fā)者實現(xiàn)內(nèi)部的Prover和Verifier函數(shù)。Mina主網(wǎng)在2021年3月發(fā)布上線，網(wǎng)絡(luò)架構(gòu)和L2的批量交易類似，Archive Node相當于數(shù)據(jù)可用層的維護者，出塊者相當于定序器，SNARK生產(chǎn)者類似于Scroll的Roller、Hermez 2.0的zkProver角色，但是zkApp的應(yīng)用定位比較局限，既沒有zkVM的通用性，也不支持zkEVM。后續(xù)可以繼續(xù)跟進Mina的zkApp迭代進展。

綜上，ZK在擴容領(lǐng)域的技術(shù)發(fā)展依然在如火如荼進行中，尤其是zkEVM的實現(xiàn)，L2網(wǎng)絡(luò)架構(gòu)的實現(xiàn)和去中心化改造。從ETHGasstation近30天前二十燃燒Gas合約大戶來看，主要是Opensea、DeversiFi、Uniswap 、USDT 、USDC 、Metamask Swap、Axie Infinity 、NFT Worlds等項目。L2要想得到廣泛應(yīng)用，必須獲得這些DEX、NFT的MarketPlace、GameFi，以及金融衍生品等具有高頻交易場景的項目支持。盡管部分L2項目的生態(tài)處于領(lǐng)先，但是，zkEVM的落地，很有可能實現(xiàn)彎道超車，導(dǎo)致L2賽道的重新洗牌。zkEVM的落地有利于吸引L1現(xiàn)有項目的遷移，很多Web3開發(fā)者也正摩拳擦掌，期待在以太坊網(wǎng)絡(luò)上構(gòu)建更大規(guī)模、更高頻交互的顛覆性產(chǎn)品。

零知識證明和隱私

如果說Web3代表著個體主權(quán)的覺醒，那么，隱私將是Web3不可或缺的一環(huán)。隨著行業(yè)的發(fā)展，DeFi的可組合性和NFT給社交帶來的變化，都讓我們越發(fā)感受到了資產(chǎn)所有權(quán)相對于中心化托管的安全和便利，而鏈上完全透明的信息則進一步激發(fā)了我們對隱私保護的需求。但面對各個國家不斷升級的監(jiān)管政策，隱私保護怎么做，做到什么程度，則是一個值得討論的問題。

近期，美國財政部出臺政策直接對以太坊生態(tài)的隱私支付平臺Tornado Cash進行制裁，進而導(dǎo)致與Tornado Cash交互過的地址被USDC發(fā)行商Circle拉入黑名單，以及Tornado網(wǎng)站頁面、代碼倉Github、官方電報、官方Discord等一并關(guān)停。我們認為，人人都有保護自己隱私的訴求和權(quán)力，隱私產(chǎn)品的濫用并不意味著它們自身帶有原罪，隱私產(chǎn)品的設(shè)計初衷是在于保護用戶常規(guī)的轉(zhuǎn)賬支付隱私。不可否認，不法分子/黑客對其的使用的確帶來很多問題，但關(guān)鍵并不是取締隱私產(chǎn)品，而是努力尋找辦法兼顧隱私和合法合規(guī)，例如ZCash對于全球AML/CFT反洗錢標準的兼容嘗試以及Tornado Cash提供的資產(chǎn)合規(guī)證明工具。

現(xiàn)在加密行業(yè)里涉及的隱私實現(xiàn)方案，因為各自的使用場景不同（隱私支付、隱私交易和隱私通用計算），選用的方案也有不少差異，主要涉及到的有以下6類：

1，混幣CoinJoin/混幣器Mixer：主要是用于隱匿支付，基于UTXO模型，本質(zhì)是創(chuàng)作多筆相同的輸入和輸出的代幣轉(zhuǎn)賬來達到隱匿支付?？梢栽谝欢ǔ潭葘崿F(xiàn)隱匿支付。不過，如果真要地址分析和控制，大不了是控制全部輸出的取款地址即可。為了克服混幣方案的問題，達世幣是提出隱私支付層的概念，讓隱私支付層參與存款地址的混合，以及減少存取地址之間的關(guān)聯(lián)。Tornado則是結(jié)合ZKP切斷存取地址之間的關(guān)聯(lián)。

2，環(huán)簽名：多個地址組成環(huán)，環(huán)內(nèi)某個地址的簽名可以不依賴其他地址即觸發(fā)環(huán)簽名，以及實現(xiàn)環(huán)內(nèi)地址簽名的隱私性。門羅幣最早的方案。

3，同態(tài)加密：直接對密文進行計算和輸出結(jié)果。我們認為該項技術(shù)屬于前沿型技術(shù)，和零知識證明類似，但是對于密文操作的開銷非常大?，F(xiàn)在在這個技術(shù)方向探索的有Polychain Capital 和Coinbase Ventures投資的Sunscreen。

4，安全多方計算（MPC）：在沒有可信第三方參與的前提下，讓多個參與方可以安全不泄露地進行計算。萬向區(qū)塊鏈董事長肖風(fēng)博士發(fā)起的PlatON在這方面有比較長時間的研究使用。

5，TEE（Trusted Execution Environment）：可信執(zhí)行環(huán)境，類似于黑盒子的概念，將輸入傳入TEE，然后TEE執(zhí)行出結(jié)果以后，加密輸出?，F(xiàn)有使用該項技術(shù)的主要是Oasis和Secret Network。

6，ZKP：利用零知識證明技術(shù)實現(xiàn)隱私支付和隱私通用計算。隱私支付的新項目有Iron Fish，PoW網(wǎng)絡(luò)+UTXO模型+Groth16的zk-SNARK，和ZCash的設(shè)計很相似，沒有提到是否支持隱私編程。隱私通用計算項目最出名的是Aleo、Aztec和Espresso。

講完基本的實現(xiàn)方案，我們挑選一些涉及到零知識證明的項目展開學(xué)習(xí)和分析。

Tornado Cash：我們經(jīng)常看到的介紹是，用戶向Tornado存款，取得存款憑證，然后在取款的時候，任意用戶（地址）使用存款憑證即可取出資金，如此實現(xiàn)的隱私支付交易。這樣的說明是從使用體驗角度出發(fā)的，但是，并沒有深入到Tornado的內(nèi)核。Tornado實現(xiàn)隱私的技術(shù)有兩點：混淆資金進出的整存整取資金池，切斷存取地址關(guān)聯(lián)的ZKP。

混幣池相對容易理解，所以，我們將分析重心放在ZKP。由于現(xiàn)在Tornado的前端網(wǎng)站和代碼倉都關(guān)停，難以找到官方的資料，所以，我們直接從鏈上交易和合約代碼進行分析，用戶實際與Tornado要做的操作只有兩種：存款和取款。這都是通過Tornado Cash的路由合約進行，路由合約會調(diào)用具體存取金額（1ETH/10ETH等）的合約。存款操作Tornado返回用戶Note，向鏈上提交Commitment。取款操作向鏈上提交Proof、Root、NullifierHash。這幾個參數(shù)，它們由Tornado的中心化代碼構(gòu)造生成，是理解ZKP使用的關(guān)鍵。

我們將Tornado類比為一個負責(zé)存取款的銀行，以太坊類比為公開的金庫，即可較為容易地理解用戶在Tornado 的操作步驟：

1，存款：用戶填寫存款單據(jù)，銀行使用單一專門的保險箱（Commitment）保管存款單據(jù)，并且根據(jù)隨機編號生成兩個密碼，一個密碼用于給保險箱上鎖，一個密碼用于記錄資金的存取狀態(tài)，然后，將上鎖的、具有資金存取狀態(tài)的保險箱放入公開金庫的某個秘密隨機位置。銀行將保險箱、隨機編號和保險箱存放位置信息返回用戶；（Note）

2，取款：用戶把隨機編號和保險箱存放位置告訴銀行，銀行可以通過計算得知：保險箱的秘密隨機位置（Root），資金的存取狀態(tài)（NullifierHash），以及保險箱的開鎖密碼（Proof）。一切檢查驗證無誤的情況下，完成取款以及更新資金存取狀態(tài)；

通過Mixer混幣器和零知識證明，Tornado在以太坊主網(wǎng)上實現(xiàn)了隱私支付的功能，且在發(fā)行代幣后，TVL達到了10億美金的體量，可見其巨大的影響力和用戶需求。

Figure15: Tornado Cash TVL and MarketCap

Aztec：主打隱私保護和隱私資產(chǎn)互操作性的zk-Rollup Layer2網(wǎng)絡(luò)，采用自主研發(fā)的Plonk協(xié)議，推出了zk.money隱私支付產(chǎn)品，近期推出連接橋Aztec Connect，未來將會推出Plonk Rollup的擴容二層網(wǎng)絡(luò)。在Plonk Rollup二層網(wǎng)絡(luò)里，將會推出電路編程語言Noir支持隱私智能合約。Plonk協(xié)議需要進行可信設(shè)置，不過，Aztec采用了MPC（多方安全計算）解決可信設(shè)置。MPC的可信設(shè)置是讓多個值得信賴的公眾知名人士共同去背書。Aztec在2020年1月用點火儀式完成了MPC的可信設(shè)置。產(chǎn)品的迭代路線是逐層推進的，從早期的zk.money，到近期的Aztec Connect，以及未來的Plonk Rollup，Aztec團隊在一步一步地完善自己的產(chǎn)品定位，以及對應(yīng)Plonk協(xié)議的調(diào)整和優(yōu)化（TurboPlonk、UltraPlonk）。在Aztec 1.0時期對于Aztec協(xié)議做了大幅的介紹，現(xiàn)在是Aztec 2.0時期，官網(wǎng)找不到太多網(wǎng)絡(luò)整體的設(shè)計，所以，我們沿用Aztec 1.0的文檔進行學(xué)習(xí)。

zkAsset：隱私資產(chǎn)，于EIP1724提出，用于將以太坊公開透明的資產(chǎn)轉(zhuǎn)為隱私資產(chǎn)，通過零知識證明確認資產(chǎn)轉(zhuǎn)入Note注冊表以后會鑄造對應(yīng)的zkAsset，類似于Secret的Shield資產(chǎn)（類似于Tornado Cash的存款過程，不過，Aztec在鏈上進行增加了隱私資產(chǎn)的概念）。

Aztec Cryptography Engine（ACE）：將證明分發(fā)給驗證和根據(jù)證明驗證結(jié)果更新Note注冊表的狀態(tài)。

各種Validator（Join Split、Bilateral Swap Validator......）：驗證者工具（類似于SDK），可以讓開發(fā)者集成做隱私資產(chǎn)的互操作。例如：Join Split可以拆分合并Note。

Figure16: Aztec 1.0 Architecture

在2021年6月上線后，Aztec的TVL峰值一度到達1400萬美金，而現(xiàn)在穩(wěn)定在400萬美金左右。相比于Tornado的體量，Layer2的隱私網(wǎng)絡(luò)受眾似乎要小很多，一定程度上可能受制于其更高的門檻。且受Tornado事件的影響，與以太坊主網(wǎng)產(chǎn)生交互的其他隱私產(chǎn)品也受到了一些牽連， 這可能是日后需要開發(fā)者們探討的問題。

Aleo：Aleo是為用戶和交易增加隱私功能，同時兼顧可編程性的新型Layer1區(qū)塊鏈網(wǎng)絡(luò)，內(nèi)置的SnarkOS（去中心化的操作系統(tǒng)），類似于EVM的角色。提出ZEXE（Zero Knowledge EXEcution）的概念，和TEE的定義很相似，只是用零知識證明去實現(xiàn)。具有可選的隱私模型，對開發(fā)者提供一整套的開發(fā)工具鏈。Leo語言，Aleo Studio（IDE）、Aleo Package Manager。最新激勵測試網(wǎng)從單純的PoW共識調(diào)整為PoSW（Proof of Succinct Work），將零知識證明的計算轉(zhuǎn)移成為出塊的條件。現(xiàn)在在Aleo的區(qū)塊鏈瀏覽器可以查看驗證狀態(tài)的轉(zhuǎn)變、以及對交易記錄進行零知識證明計算的Proof。

Figure17: The Future of Zero Knowledge with Aleo

Espresso：對于Aleo和Aztec各自的特點都有所研究和改進，基于ZK Rollup的L2和可配置資產(chǎn)隱私的L1雙層網(wǎng)絡(luò)?？膳渲秒[私資產(chǎn)允許資產(chǎn)創(chuàng)建者設(shè)置資產(chǎn)的收發(fā)地址、收發(fā)數(shù)量、持有數(shù)量等的隱私查看規(guī)則和資產(chǎn)凍結(jié)規(guī)則。對于ZEXE的概念提出自己的VERI-ZEXE，對于Aztec的TurboPlonk和UltraPlonk提出自己優(yōu)化版的PLONK，并將Rust實現(xiàn)版代碼命名為Jellyfish和開源。當前，Espresso的L1網(wǎng)絡(luò)正在研發(fā)。可配置資產(chǎn)隱私在以太坊測試網(wǎng)內(nèi)測，或者可以通過官網(wǎng)安裝包進行本地體驗。

Figure18: Espresso Systems Configurable Asset Privacy for Ethereum

Zecrey：雙層網(wǎng)絡(luò)，支持多鏈ZKR的L2、以及具有跨鏈 功能和隱私保護的L1，但是不支持zkEVM/zkVM。L1的隱私是基于BulletProofs協(xié)議改良版（LNCS）/ Sigma協(xié)議的混淆資金池，直接在公鏈層面向用戶提供隱私轉(zhuǎn)賬和隱私交易的功能。L2的ZKR使用的是PLONK協(xié)議。參考官方白皮書的架構(gòu)圖，有一大部分是L1/L2進行ZKR的設(shè)計，我們拿出來分析學(xué)習(xí)。

Layer-2 Commiter：收集交易和構(gòu)造L2區(qū)塊。

Block Monitor：L2區(qū)塊狀態(tài)更新者。

Prover Network：L2交易Rollup之后，進行ZKP證明的計算網(wǎng)絡(luò)。

TSS-based Verifier Network：驗證者網(wǎng)絡(luò)，將收集Prover Network的證明，然后提交到L1的智能合約。

Tx Monitor / Layer-2 State Monitor / Executor：L1/L2的橋。

L2到L1進行ZKR的時序設(shè)計基本一致，部分角色命名和分工略有不同：

Committer收集交易，構(gòu)造L2區(qū)塊，Prover Network監(jiān)聽區(qū)塊，為Committed狀態(tài)的區(qū)塊計算證明，TSS-based Verifier Network收集證明，將證明提交到L1的智能合約，Block Monitor監(jiān)聽L1區(qū)塊打包情況，確認后更新L2區(qū)塊狀態(tài)。

Zecrey現(xiàn)在處于測試網(wǎng)研發(fā)階段，已經(jīng)集成Ethereum、Polygon、NEAR 、Avalanche 和BSC五個公鏈測試。從官網(wǎng)路線圖看，2022年Q3將會發(fā)布主網(wǎng)。

Figure19: Zecrey System Architecture

Manta Network ：波卡生態(tài)的包含多資產(chǎn)隱私支付協(xié)議和AMM隱私交易協(xié)議的DeFi隱私協(xié)議棧（隱私平行鏈）。參考官方的架構(gòu)圖，可以作為波卡生態(tài)各個平行鏈的隱私中轉(zhuǎn)站。具體隱私方案分別是：基于Zcash的UTXO隱私支付模型，增加了多資產(chǎn)的支持以及隱私支付通道的技術(shù)。使用類似ZEXE的方案實現(xiàn)AMM隱私交易，內(nèi)置了零知識證明的電路。

Figure20: Manta Architecture (Implemented as a Parachain)

Anoma Network：以Intent（意圖）為中心、有可組合性的隱私保護，可以去中心化發(fā)現(xiàn)對手方、解決多鏈原子結(jié)算交易的一層網(wǎng)絡(luò)。Anoma架構(gòu)是參考Cosmos 的，使用Tendermint BFT共識機制，首個主權(quán)獨立鏈（Fractal Instance）是Namada。我們用訂單薄的交易所類比理解Anoma。Anoma的Intent相當于用戶的掛單，掛單可以公開（Transparent）、隱藏（Shielded）或者加密（Private），掛單需要由Anoma的Solver進行撮合結(jié)算（Settle），撮合成功的掛單形成Anoma的交易。Anoma提出自己的AnomaVM，對應(yīng)高級函數(shù)式編程語言Juvix和VampIR電路編程語言，AnomaVM內(nèi)置支持ZKP電路生成和FHE（全同態(tài)加密）。

Figure21: The lifecycle of a transparent, shielded, and private intent in the Anoma architecture

Iron Fish：基于Zcash的Sapling協(xié)議，以PoW作為共識的隱私支付公鏈。進行了多輪激勵測試網(wǎng)，預(yù)計2022年Q4上線主網(wǎng)。

基于以上項目的信息，我們可以看到，在隱私保護的領(lǐng)域，零知識證明主要應(yīng)用在隱私支付和隱私網(wǎng)絡(luò)的場景中，且大多并非單獨使用，而是結(jié)合了Mixer，TEE，MPC等其他隱私保護的技術(shù)。

Figure22: Web3 Privacy Ecosystem

隱私保護賽道依然有不少的項目在探索研發(fā)，尤其是最終面向用戶的隱私應(yīng)用方向，結(jié)合DeFi、NFT等應(yīng)用場景，還有很多延伸的空間，我們也就不一一列舉。回到最初的話題，隱私產(chǎn)品的出現(xiàn)是基于用戶的需求，當我們朝著Web3前進時，無論是基于區(qū)塊鏈的去中心化金融體系，還是未來Web3的社交場景，我們都希望能夠把更多的鏈下行為置于鏈上，那對于用戶隱私保護的需求就會越發(fā)強烈。在眾多隱私保護解決方案中，ZKP扮演著重要的作用，這也是我們?nèi)ド疃妊芯康脑颉?/p>

零知識證明的投資方向

在前面的章節(jié)，我們花了較多的篇幅整理和學(xué)習(xí)了零知識證明在擴容和隱私方向的項目，零知識證明相關(guān)的擴容和隱私項目在一級市場也獲得了資本的青睞，我們對這兩個賽道項目的公開融資數(shù)據(jù)進行整理，分別如下兩圖：

Figure23: Zero Knowledge Investments In Scaling

Figure24: Zero Knowledge Investments in Privacy Protection

可以看出， ZK擴容項目估值最高的是Starkware，高達80億，ZK隱私項目最高的是Aleo，估值14.5億?？紤]到項目在隱私和擴容敘事可以并行出發(fā)，甚至一些隱私項目是雙層網(wǎng)絡(luò)，所以，難以比較兩個賽道的平均融資金額。單從最高估值而言，擴容賽道在一級市場的認可度是高于隱私賽道。擴容賽道之中，在協(xié)議、電路語言、zkVM和服務(wù)項目等多方面有優(yōu)勢的Starkware無疑是資本市場的寵兒。另外，其他主打zkEVM兼容的擴容項目，也同樣獲得資本市場的熱愛。隱私賽道之中，在電路語言、開發(fā)者工具鏈等方面有優(yōu)勢的Aleo比起研發(fā)PLONK和PLookup技術(shù)的Aztec更為吃香，也側(cè)面說明資本市場對于商業(yè)落地型項目的偏重。

二級市場方面，由于幣價波動較大，ATH的流動性基本不足，我們簡單