1. 引言

Aztec为隐私优先的以太坊zkRollup：即其为具有完全隐私保护的L2。
为了理解私有交易的范式变化性质，以及为什么将隐私直接构建到网络架构中很重要，必须首先讨论为什么以太坊不是私有的。

2. 以太坊：公有链

以太坊为具有包含accounts和balances的公共账本。
以太坊上最primitive的交易是由一个账号发送Ether给另一账号。网络跟踪这一情况的方式是增加一个账户的余额，减少另一个账户——换句话说，ETH在任何意义上都不会真正“移动”。
以太坊通过accounting ledger来表示简单的ETH transfer。

破解公共交易图是一项大生意：Chainalysis和Nansen等公司运行复杂的取证分析，将各种钱包关联起来，监控活动，并对谁拥有什么进行概率假设。
想象一下，如果你每次刷信用卡买羊角面包时，都向世界上每个人展示你的银行对账单。那就太傻了，对吧？
这就是今天以太坊的现状。

3. 加密账号

借助加密账号和加密交易，账本看起来将是：

以太坊的默认账号模型是：

• 某account 拥有 某balance。

而Aztec则表示为：

• 一定数量的money（即note） 具有 某owner。

Aztec采用的是与比特币一样的UTXO（Unspent Transaction Output）模式。可将UTXO看成是cash（bank notes）。

为什么现金本质上更安全、更私密——或者更准确地说，比基于账户的系统更安全、更有私密性？原因在于：

• 只有现金交易的双方，才知道所有权已更改。而整个宇宙的其它每个人都不知情。

可将现金交易看成是：

• 某对象（即note）的所有权改变

而将账号交易看成是：

• 对2个账号状态的更改。

在处理Aztec交易时，不是对账号余额进行更新（增加和减少balance），而是Aztec网络简单的对某特定note重新分配所有权。

原因在于，对note加密是更简单的方案，仅需要对其写入2件东西：

• 该note价值多少？
• 谁拥有该note？

将换手时，仅需要划去老的owner名，再写入新的owner名。

为避免造出空气币，为保持token守恒，Aztec交易为join-split交易，需满足：
$A+B=C+D$
可借助ZKP技术来证明$A+B=C+D$，而不泄露交易前后各个参与方的values。

同时为确保花费的是用户所拥有的token，需prove ownership——借助Merkle tree。

Aztec系统中有2种merkle tree：

• note tree：包含所有已创建的notes。
• nullifier tree：包含所有已销毁的notes。
  

在Aztec中，拥有某note，是指该note存在于note tree中，但在nullifier tree中不存在相应的note-nullifier。
而销毁note是指，将a nullifier添加到nullifier tree中，而不是从note tree中删除该note。

为了发送已经证明自己拥有的notes，创建了一个全新的Merkle树（和Merkle根）。一旦注释树和无效树的Merkle根都移动到了新的值——换句话说，系统的状态已经更新——这些根就会在以太坊的主链上发布（结算），交易就会被视为已记录。

构建完全保密的以太坊交易的挑战在于：

• 需 在不侵犯或暴露用户数据的情况下，验证交易是合法的并且正确执行的。

参考资料

[1] Aztec 2021年博客 Fully Confidential Ethereum Transactions: Aztec Network’s Privacy Architecture

Aztec系列博客

• Aztec Hybrid Rollup：混合zkRollup，而非zkEVM
• Proof Compression
• Aztec Connect即将主网上线
• Aztec connect bridge代码解析
• Aztec 征集 Rollup Sequencer去中心化提案
• Aztec的隐私抽象：在尊重EVM合约开发习惯的情况下实现智能合约隐私