交易隐私是零知识证明的一个应用方向。除了通过公链或者侧链实现交易的发送方 接收方以及金额隐藏外,Mixer,江湖人称混币,是在已有公链上
交易隐私是零知识证明的一个应用方向。除了通过公链或者侧链实现交易的发送方/接收方以及金额隐藏外,Mixer,江湖人称“混币”,是在已有公链上实现交易的发送方的隐藏(匿名)。Mixer,就是将一些账户的资金“混”在一起,由公开的第三方代替发送方发起转账。这个第三方,被称为Mixer或者Relayer。本文分析以太坊上的三个Mixer项目的设计和性能。
1. MicroMix
MicroMix的源代码Github地址:https://github.com/weijiekoh/mixer。核心逻辑实现在contracts/solidity/Mixer.sol文件中。
MicroMix在Semaphore项目之上,提供混币服务,整个框架如下:
整个MicroMix生态存在三种角色:发送方,接收方以及Relayer。使用MicroMix,需要两个步骤:1)Deposit(存钱)2)Mix(提钱)。
1.1 Deposit
在使用Mixer服务之前,发送方需要Deposit(存入)固定数量的代币(ETH或者ERC20代币)。Deposit同时要求发送方生成Semaphore对应的Identity。也就是说,每“混”一笔交易,发送方需要创建一个Identity。
1.2 Mix
Mix接口实现”提钱“的功能。Mix接口由“Relayer”(中继)调用,而不是由发送方调用。因为每个Identity在external nullfier不变的情况下,能且只能发送一次Signal,从而保证每笔存入的代币都能Mix。每个需要“提钱”的账户,提供Identity的证明给Relayer,同时在Signal中指定Relayer,接收方以及费用,从而Relayer可以发起交易,调用Mix接口转账给接收方。
也就是说,可以存在多个Relayer,Relayer通过提供mix的服务,“代替”发送方,向接收方发起转账,同时赚取服务费。每笔mix服务的服务费可以由发送方指定。
1.3 性能
MicroMix使用Semaphore构建了20层的Identity的Merkle树。Deposit大约消耗110w的GAS,Mix大约消耗77w的GAS费用(主要是zkSNARK的验证)。
2. Tornado Mixer
Tornado Mixer的源代码地址:https://github.com/peppersec/tornado-mixer。Tornado Mixer的核心逻辑在contracts/Mixer.sol文件中:一个是deposit函数,一个是withdraw函数。Tonado Mixer的框架如下图:
大体逻辑和MicroMix类似,发送方(Sender)首先向智能合约转账(固定金额),并在智能合约上创建commitment。接下来,发送方(Sender)将零知识证明发送给Mixer,Mixer确认证明后,通过withdraw函数向接收方转账。
2.1 Commitment Merkle树
所有的Commitment在智能合约中组织成一个Merkle树:
叶子节点的计算采用Pedersen Hash算法,中间节点采用MiMC Hash算法。整个树高为16。也就是说,Tornado Mixer一个智能合约,支持2^16次转账。
2.2 性能
Commitment Merkle树高为16。Deposit函数大约消耗88.8w的GAS,Withdraw函数大约消耗69.2w的GAS。证明电路的Contraint为22617。生成一次证明的时间大约为6.1秒。
3. Hopper
Hopper的源代码地址:https://github.com/argentlabs/hopper。Hopper的核心逻辑在solidity/contracts/Mixer.sol中:一个是commit函数,一个是withdraw函数。大体思路和Tornado Mixer一致,不再详细描述。相比较其他两个项目,Hopper有个明显的特色,实现了手机端的Mixer的功能。
3.1 Commitment Merkle树
从安全性角度考虑,叶子节点仍然采用sha256的计算。但是,为了降低证明电路的大小,中间节点采用MiMC Hash算法。Commitment Merkle树高为15。也就是说,Hopper一个智能合约,支持2^15=32768次转账。
3.2 性能
Commitment Merkle树高为15。GAS消耗和生成证明的时间没有实测。从理论上计算,GAS消耗会比Tornado Mixer略低一些,生成时间会比Tornado Mixer高。
总结:Mixer,混币,是零知识证明的一种应用,隐藏转账的发送方。目前,在以太坊上的Mixer实现的思路大体一致:发送方,首先转账固定金额给智能合约,同时提交的Commitment构造上一棵Merkle树。需要转账时,发送方链下将零知识证明的信息发送给Mixer或者Relayer。Mixer或者Relayer,将证明相关信息提交到智能合约。智能合约验证后转账给接收方。Mixer或者Relayer赚取一定的服务费。(Star Li)
