Tornado 龙卷风混币原理-编程知识

Tornado 龙卷风混币原理

news/2024/9/18 3:42:36/文章来源:https://www.cnblogs.com/Soy-technology/p/18357465

项目背景

Tornado（https://tornado.cash/）是以太坊隐私赛道著名的混币项目，其混币技术主要使用了 zk-SNARK 零知识证明。

1、关于 zk-SNARK 零知识证明的原理可以参见 if(DAO) 之前的文章：

　　https://mirror.xyz/0xd05cFA28Eaf8B4eaFD8Cd86d33c6CeD1a1875417/X3qSOjObTknXQ_iGhDBFYETibD0TVW0twz5QDIthjGI

2、混币的意思是混币者通过 Tornado 合约将混币者的以太坊地址和资金去向地址失去关联，从而达到隐匿资金去向的目的。

项目原理

1、Bob 是第 3 个将自己的代币 Deposit 存入龙卷风合约进行混币的客户。

2、Alice 是第 4 个将自己的代币 Deposit 存入龙卷风合约进行混币的客户。

3、Alice 在 Deposit 时

（1）Alice random k4 ，r4。k4 和 r4 in { 0 ，1 } ^ 256。( k4 ，r4 ) 也是 Alice 未来的取款凭证 note4。

（2）Alice 计算得到 C4 = Hash1( k4 ，r4 )。

（3）Alice 将 Deposit 的金额 100 DAI + C4 + MerkleProof(C4) 发送至 Tornado 合约。

（4）Tornado 合约 verify MerkleProof(C4) ：通过梅克尔证明验证 C4 账户状态的正确性。

（5）通过 C4 + MerkleProof(C4) update Tornado 合约内存储的与 Tornado 业务相关的全局状态 MerkleRoot。

（6）nf 在下面的 Withdraw 操作时才会用到，暂时不表。

4、Bob 在 Withdraw 时

（1）Bob random k3 ，r3。k3 和 r3 in { 0 ，1 } ^ 256。

（2）Bob 计算得到 C3 = Hash1( k3 ，r3 )。

（3）Bob 计算得到 nf3 = Hash2( k3 )。

（4）Bob 指定 Bob 混币后的收款地址 A。注意：Bob 必须在 statement 中指定收款地址 A，这样可以防止 Miner 矿工将 Bob 的收款地址更换成自己的地址从而盗取混币后的资金。

（5）Bob 构建 zk-SNARK Proof，即在不泄露自己账户信息的情况下证明自己曾经存入合约 100 DAI。具体做法是通过：

public statement x = ( MerkleRoot ，nf3 ，A )

secret witness w = ( k3 ，r3 ，C3 ，MerkleProof(C3) )

从而构建 zk-SNARK Proof π。这个过程和我们之前学习的零知识证明匹诺曹协议是吻合的：

1）TrustSetup ：S ( C ) => ( Sp ，Sv)。（本篇省略了：通过电路 C 构建可信设置并分别生成 Sp 和 Sv，其中 Sp 给 Prover 生成零知识证明 π，Sv 给 Verifier 验证零知识证明 π 的正确性）。

2）P ( Sp ，x ，w ) => Proof π。（Prover 证明者构建零知识证明 π）。

3）V ( Sv ，x ，π ) 是否正确。（Verifier 验证者验证零知识证明 π）。

（6）Tornado 合约将 Bob 提交的 nf3 增加至 nullifier 中存储，用以保证 Bob 的这笔 100 DAI 的混币存款不能被再次 Withdraw。即当 Bob 想再次 Withdraw 此笔存款时，Tornado 合约会检查此笔存款对应的 nf3 是否存在记录，如果存在则拒绝提款。

（7）Tornado 合约返回给 Bob 指定的资金去向地址 A ，金额 100 DAI（因为示例中使用的是 Tornado 100 DAI Pool），完成最终的混币。

一般的资金转移过程中，Bob 必须向区块链网络提交 From 转出账户 + To 转入账户 + Amount 转账金额。而通过 Tornado 合约，Bob 在取款过程中，只向区块链网络提交了 3 项数据：为了防止 Bob 或攻击者重复 Withdraw 的一个由随机数生成的哈希值 nf + 没有透露任何与 Bob 秘密相关的零知识证明 π + 以太坊公开地址 A 但没人知道这是 Bob 的地址。Bob 最终达到了隐匿取款人和资金去向的目的。