🚀 用于隐私保护跨链应用的零知识组件和电路 🚀

📖 目录

构建

要构建项目，请运行

./scripts/build.sh

要为 wasm 目标构建，请运行

./scripts/build-wasm.sh

要运行单元测试，请运行

./scripts/test.sh

注意：所有命令应从根目录运行。

发布到 crates.io

对于版本管理，我们使用 cargo-workspaces。我们使用以下流程

1. 使用 cargo-workspaces 通过命令 cargo ws version 升级工作空间中所有 crate 的版本。这将升级工作空间中所有 crate 的版本，包括

   • arkworks/native-gadgets
   • arkworks/r1cs-gadgets
   • arkworks/r1cs-circuits
   • arkworks/setups
   • arkworks/utils

2. 前面的步骤只会更新 crate 本身，而不会更新其依赖项。例如，如果 arkworks/setups 依赖于 arkworks/utils，则依赖项版本将不会更新。我们必须手动执行此操作。

3. 提交所有更改。

4. 使用以下命令发布crates： cargo ws publish --allow-branch [当前分支] --from-git。

   选项--allow-branch允许我们在任何分支上发布crates。默认情况下，仅在master分支上允许发布。如果您希望从master分支发布，则不需要此选项。

   标志--from-git指定crates应直接发布，跳过由cargo ws publish命令带来的额外版本号提升。

概述

该仓库包含零知识小工具和电路，适用于不同终端应用，例如可以集成到兼容区块链和智能合约协议的混合器和锚点。仓库分为三个主要部分

• 中间模块化小工具
• 消耗这些小工具的电路
• 小工具和电路使用的基本实用工具（如Poseidon哈希函数的参数）

组件

您可以将小工具视为中间计算和约束系统，您可以将它们组合起来构建更完整的零知识知识证明陈述。它们也可以通过简单地扩展arkworks ConstraintSynthesizer来直接使用。有关使用虚拟计算的示例，请参阅虚拟电路。

在这个仓库中，您将找到以下小工具：

• Poseidon 本地、R1CS、PLONK
• Merkle树 本地、R1CS、PLONK
• 集合 R1CS、PLONK

Poseidon哈希函数与circom实现匹配。基于此论文实现：[https://eprint.iacr.org/2019/458.pdf](https://eprint.iacr.org/2019/458.pdf)。

集合成员身份 - 用于以零知识方式证明某个值在集合内。这首先通过计算diffs（表示从target（我们正在检查其成员身份的值）和集合中的每个值之间的差异）来实现。然后，我们计算目标和集合中每个元素的乘积之和。如果diffs中的一个值为0（表示其等于target），则乘积将为零，这意味着target在集合中。

电路

在这个仓库中，您将找到以下电路：

• 混合器 R1CS、PLONK
• 锚点 R1CS、PLONK
• VAnchor R1CS，PLONK

设置API

对于本仓库中实现的各种电路，我们已在设置目录中进行了设置。此文件夹包含特定电路的设置助手，用于创建每个电路的证明，以及用于Poseidon、Merkle树、证明/验证密钥生成、验证器助手等。

在arkworks/setups/[r1cs | plonk]中的每个特定应用程序文件夹封装了该电路零知识证明完整设置的API。目前有针对以下应用程序的特定小工具：

• 混合器：R1CS，PLONK（待定）
• 锚：R1CS，PLONK（待定）
• VAnchors：R1CS，PLONK（待定）

有关这些大规模应用程序小工具的测试和实例化，请参阅该目录中的test.rs文件。此仓库中的大多数测试和实现都使用Groth16证明和零知识小工具的设置。偶尔会使用Marlin zkSNARK进行中间小工具测试。但是，没有使用Marlin的小工具的应用程序特定实例化，但我们欢迎创建它们。

证明者

这些零知识小工具的证明器旨在由客户端或服务器应用程序使用。这些操作计算密集，需要访问随机数生成器。

验证者

这些零知识小工具的验证器旨在由客户端、服务器或区块链应用程序使用。这些验证器与WASM兼容，可以嵌入到WASM友好的环境中，例如允许用Rust编写的智能合约的区块链。API与特定的证明系统（如Groth16）一致，并且可以轻松集成到区块链运行时（如Substrate）中。

电路

混合器

混合器小工具旨在部署在基于Rust的区块链协议上。动机是存在一个链上的Merkle树和抵押系统，其中用户必须存入资产以将叶子插入Merkle树。这被认为是混合器的存款。接下来，用户可以通过实例化Mixer电路，在链上填充叶子，在本地的辅助工具中提供私有和公共输入，并随后生成零知识证明来生成Merkle树中叶子的成员资格的零知识证明。然后，他们可以将此证明提交给链上的验证器。这被认为是混合器的提款。我们下面提供了一个混合器电路设置、证明过程和证明验证过程的示例实例化。但首先，我们评论一下混合器的结构，以阐明我们的设计决策。

任何零知识混合器电路的实例化都需要所有提供的数据都按照预期的格式进行格式化。这意味着必须提供具有特定数据结构的数据给证明者。这延伸到叶子的预像，即如果数据不符合预期的格式或协议，则无法为这样的证明生成兼容的零知识证明以供链上验证。

叶子结构

Mixer叶子的结构是基于您的电路实例化的字段（BLS381或BN254）中两个随机域元素（秘密和nullifier）的哈希。

公共输入结构

公共输入的结构必须是以下数据的有序数组，这些数据来自Tornado Cash的设计和架构。

1. Nullifier哈希
2. Merkle根
3. 任意输入（不包括在计算中）

这些参数作为公输入提供给零知识证明，并针对链上可定制性进行了优化。

• Nullifier哈希是随机生成的nullifier的哈希。我们对其进行哈希处理，以隐藏预图像，从而防止提前交易攻击。
• Merkle根是我们证明叶子成员资格的Merkle树的根哈希。
• 对于链上的加密货币混洗器，我们必须提供用户事先决定的私有交易中继服务，并支付该服务的费用。这些数据包含在任意输入中——通过对这些值（中继地址、费用、收款人等）进行哈希处理。

值得提及的是，包含在任意输入中的所有值都将证明绑定到这些值上。这有助于防止篡改，例如，如果用户在证明生成后想更改收款人，这有助于防止篡改。如果提交到链上的证明的公输入发生变化，证明将因zkSNARK的底层安全性而失败。我们利用这种设计为端应用的用户和中继提供适当的激励，这是一个链上的加密货币混洗器。

锚点

锚定协议与混洗器非常相似。我们不是证明在一个Merkle树内的成员资格，而是在多个Merkle树中的一个中进行证明。这些树可以存在于许多不同的区块链上，如果Merkle树的状态在链间同步，这将使我们能够进行跨链匿名交易。锚定的工作原理的高级概述

1. 我们使用Poseidon哈希函数计算叶子承诺，输入包括：secret（私有输入）、nullifier（私有输入）和链ID（公输入）。
2. 我们使用Poseidon哈希函数计算nullifier哈希，输入包括：nullifier（私有输入）
3. 我们使用计算的叶子和路径（私有输入）计算根哈希。
4. 我们使用SetGadget检查计算的根是否在集合内（公输入）。

叶子结构

叶子结构与混洗器类似，但我们还引入了一个链ID作为公输入。链ID确保您只能在一个链上提现，从而防止双重花费。因此，锚定叶子由secret（随机值）、nullifier（随机值）和chain_id组成。

公共输入结构

1. 链ID
2. Nullifier哈希
3. Merkle根集
4. 任意输入

• 链ID - 确保您只能在一个链上提现，从而防止双重花费。
• Nullifier哈希与混洗器中的相同，但它用于多链环境。这意味着它将在具有与链ID（我们的公输入）相同ID的链上注册。
• Merkle根集是一个根哈希数组。它包括本地根（提现链上的根）和与本地链相连的其他链的根。
• 任意输入与混洗器的目的相同。它包括：收款人、中继、费用、退款和承诺（承诺用于刷新您的叶子——即如果承诺的值为非零，则将新的叶子作为旧叶子的替代插入）。

V锚点

VAnchor简称为可变锚定，因为它引入了可变存款金额的概念。它支持匿名合并-分裂功能，允许将多个之前的存款合并成多个新的存款。VAnchor还支持跨链交易。VAnchor如何工作的高级概述

1. 使用输入Utxos和相应的Merkle路径，我们计算每个Utxo的根哈希。
2. 我们使用SetGadget检查每个Utxo的根哈希是否是根集的成员。
3. 使用输出Utxos，我们证明从传递的私有输入创建叶子。
4. 我们确保输入金额总和加上公共金额等于输出金额总和。

UTXOs

UTXOs代表未使用的交易输出。每个UTXO代表可以在系统中使用的保护余额。要创建新的UTXOs，必须证明对现有UTXOs的所有权，这些UTXOs的余额至少与新创建的UTXOs相等。

UTXOs包含一个值，表示UTXO中包含的金额，UTXO打算花费的链ID，以及与创建所有权和成员资格的零知识证明相关的秘密数据。

UTXOs首先通过序列化其组件，然后通过在插入之前对序列化数据进行散列，在链上的Merkle树中进行存储。每个散列都可以被认为是对UTXO的承诺。要从旧UTXOs创建新UTXOs，用户必须提交有效的零知识证明，这些证明满足关于值的一致性和在Merkle根集成员资格方面的约束。

公共输入

1. 公共金额
2. 任意输入
3. 每个Utxo的Nullifier散列数组
4. 每个Utxo的叶承诺数组
5. 交易发生的链ID
6. Merkle根集

• 公共金额指定存款或提款的金额。负值表示提款，正值表示存款。
• 任意输入不计入计算。
• Nullifier散列数组与输入Utxos相关，或是我们想要使用的Utxos
• 叶承诺数组与输出Utxos相关，或是我们想要存款的Utxos
• 链ID和Merkle根集与Anchor中保持相同

API示例用法

混合器 - 生成叶承诺和零知识证明

use arkworks_setups::{
	common::{Leaf, MixerProof},
	r1cs::mixer::MixerR1CSProver,
	Curve, MixerProver,
};

// Setting up the constants
// Default leaf in Merkle Tree
const DEFAULT_LEAF: [u8; 32] = [0u8; 32];
// Merkle tree heigth (or depth)
const TREE_HEIGHT: usize = 30;

// Setting up the types
type Bn254 = ark_bn254::Bn254;
type MixerR1CSProver_Bn254_30 = MixerR1CSProver<Bn254, TREE_HEIGHT>;

// Random leaf creating
let Leaf {
	secret_bytes,
	nullifier_bytes,
	leaf_bytes,
	nullifier_hash_bytes,
	..
} = MixerR1CSProver_Bn254_30::create_random_leaf(curve, rng)?

// Or in case you want to specify you own secret and nullifier
let Leaf {
	leaf_bytes,
	nullifier_hash_bytes,
	..
} = MixerR1CSProverBn254_30::create_leaf_with_privates(
	curve,
	secret_bytes,
	nullifier_bytes,
)?;

// Proof generation
let MixerProof {
	proof,
	..
} = MixerR1CSProver_Bn254_30::create_proof(
	curve,
	secret_bytes,
	nullifier_bytes,
	leaves,
	index,
	recipient_bytes,
	relayer_bytes,
	fee_value,
	refund_value,
	pk_bytes,
	DEFAULT_LEAF,
	rng,
)?;

锚 - 生成叶承诺和零知识证明

use arkworks_native_gadgets::poseidon::Poseidon;
use arkworks_setups::{
	common::{
		setup_params,
		setup_tree_and_create_path,
		AnchorProof,
		Leaf,
	},
	r1cs::anchor::AnchorR1CSProver,
	AnchorProver, Curve,
};

// Setting up the constants
// Default leaf used in Merkle Tree
const DEFAULT_LEAF: [u8; 32] = [0u8; 32];
// Merkle tree depth (or height)
const TREE_DEPTH: usize = 30;
// Number of anchors (Merkle trees we are proving the membership in)
const ANCHOR_CT: usize = 2;

type Bn254 = ark_bn254::Bn254;
type AnchorR1CSProver_Bn254_30_2 = AnchorR1CSProver<
	Bn254,
	TREE_DEPTH,
	ANCHOR_CT
>;

// Creating a leaf
let Leaf {
	secret_bytes,
	nullifier_bytes,
	leaf_bytes,
	nullifier_hash_bytes,
	..
} = AnchorR1CSProver_Bn254_30_2::create_random_leaf(
	curve,
	chain_id,
	rng
)?;

// Or in case you want to specify you own secret and nullifier
let Leaf {
	leaf_bytes,
	nullifier_hash_bytes,
	..
} = AnchorR1CSProver_Bn254_30_2::create_leaf_with_privates(
	curve,
	chain_id,
	secret_bytes,
	nullifier_bytes,
)?;

// Creating the proof
let AnchorProof {
	proof,
	..
} = AnchorR1CSProver_Bn254_30_2::create_proof(
	curve,
	chain_id,
	secret_bytes,
	nullifier_bytes,
	leaves,
	index,
	roots_raw,
	recipient_bytes,
	relayer_bytes,
	fee_value,
	refund_value,
	commitment_bytes,
	pk_bytes,
	DEFAULT_LEAF,
	rng,
)?

V锚 - 生成Utxos和零知识证明

use arkworks_setups::{
	common::{
		prove_unchecked,
		setup_params,
		setup_tree_and_create_path
	},
	r1cs::vanchor::VAnchorR1CSProver,
	utxo::Utxo,
	Curve, VAnchorProver,
};

// Default leaf for the Merkle Tree
const DEFAULT_LEAF: [u8; 32] = [0u8; 32];
// Merkle tree depth (or heigth)
const TREE_DEPTH: usize = 30;
// Number of anchors (Merkle trees we are proving the membership in)
const ANCHOR_CT: usize = 2;
// Number of input transactions
const NUM_INS: usize = 2;
// Number of output transactions
const NUM_OUTS: usize = 2;

type Bn254 = ark_bn254::Bn254;

type VAnchorProver_Bn254_30_2x2 = VAnchorR1CSProver<
	Bn254,
	TREE_DEPTH,
	ANCHOR_CT,
	NUM_INS,
	NUM_OUTS
>;

// Input Utxo number 1
let in_utxo_1 = VAnchorProver_Bn254_30_2x2::create_random_utxo(
	curve,
	in_chain_id_1,
	in_amount_1,
	in_index_1,
	rng,
)?;

// Input Utxo number 2
let in_utxo_2 = VAnchorProver_Bn254_30_2x2::create_random_utxo(
	curve,
	in_chain_id_2,
	in_amount_2,
	in_index_2,
	rng,
)?;

// Output Utxo number 1
let out_utxo_1 = VAnchorProver_Bn254_30_2x2::create_random_utxo(
	curve,
	out_chain_id_1,
	out_amount_1,
	out_index_1,
	rng,
)?;

// Output Utxo number 2
let out_utxo_2 = VAnchorProver_Bn254_30_2x2::create_random_utxo(
	curve,
	out_chain_id_2,
	out_amount_2,
	out_index_2,
	rng,
)?;

// Making an array of Utxos
let in_utxos = [in_utxo_1, in_utxo_2];
let out_utxos = [out_utxo_1, out_utxo_2];

// Generating proof
let VAnchorProof {
	proof,
	..
} = VAnchorProver_Bn254_30_2x2::create_proof(
	curve,
	chain_id,
	public_amount,
	ext_data_hash,
	in_root_set,
	in_indices,
	in_leaves,
	in_utxos,
	out_utxos,
	pk_bytes,
	DEFAULT_LEAF,
	rng,
)?;

Merkle树 - 生成稀疏Merkle树和Merkle路径

// NOTE: This is optional and for tests only.
// There should be an on-chain mechanism for
// storing the roots of connected anchors,
// and way of fetching them before passing them
// into the circuits
let params3 = setup_params::<Bn254Fr>(curve, 5, 3);
let poseidon3 = Poseidon::new(params3);
let (tree, path) = setup_tree_and_create_path::<
	Bn254Fr,
	Poseidon<Bn254Fr>,
	TREE_DEPTH
>(
	&poseidon3,
	&leaves_f,
	index,
	&DEFAULT_LEAF,
)?;
let root = tree.root();
// or
let root = path.calculate_root(&leaf, &poseidon3)?

参数生成

用于sage 脚本的参数。

在智能合约中的使用

在使用链上智能合约应用程序或类似应用程序中的电路之前需要准备4件事。

1. 生成的证明和验证密钥。
2. 将验证密钥存储在链上存储中。
3. 链上Merkle树数据结构。
4. 用于链上存储中使用的nullifier散列的数据结构。
5. 用于长期存储包含叶承诺前镜像的加密笔记的功能。

一旦满足这些条件，我们就可以成功实现Mixer/Anchor/VAnchor应用程序。在Mixer的示例中，事件顺序如下

1. 用户发送证明以及公共输入
   • Nullifier Hash
   • Merkle根
   • 任意数据
2. 我们检查根是否与链上Merkle根相同。
3. 我们使用链上验证密钥验证证明。
4. 我们将nullifier散列注册为已使用，以防止双重花费攻击。

这些协议实现的示例

• 混合器 - Substrate Pallet，Cosmos (CosmWasm智能合约)
• 锚 - Substrate Pallet，Cosmos (CosmWasm智能合约)，Ethereum (Solidity智能合约)
• V锚 Substrate Pallet，Ethereum (Solidity智能合约)

这些协议的中间人服务链接

• 混合器/锚

可信设置仪式示例链接

• aleo-setup
• celo-setup

测试

• 您可以通过运行以下命令来运行所有 arkworks/setups 测试： cargo test --features r1cs,plonk --release

• 您可以通过指定要运行的测试名称来运行特定的测试，命令如下： cargo test setup_and_prove_2_anchors --features r1cs,plonk --release

感谢

我们感谢 arkworks 社区在零知识基础设施方面采取的开源第一方法。这里的一些组件利用了其他仓库中的开源工具。具体来说，我们从 ivls 项目中利用了稀疏 Merkle 树数据结构来进行增量可验证计算。没有这些，这项工作将无法完成。

感谢以下人员在学习和实现这些组件和电路方面提供的帮助和见解

• @weikengchen
• @Pratyush