Privacy Pool ZK-Proof 驗證合約完整實作指南:從電路設計到 Solidity 部署
本文深入探討 Privacy Pool 系統中零知識證明(ZKP)驗證合約的完整實作流程。我們從密碼學基礎出發,詳細解釋 Groth16 和 PLONK 兩種主流零知識證明系統的原理,提供完整的 Circom 電路代碼範例,並展示如何將這些電路部署到以太坊區塊鏈上進行驗證。涵蓋 Merkle 樹驗證電路、承諾方案實現、完整隱私池合約代碼、以及可信設置教學。
Privacy Pool ZK-Proof 驗證合約完整實作指南:從電路設計到 Solidity 部署
概述
本文深入探討 Privacy Pool 系統中零知識證明(ZKP)驗證合約的完整實作流程。我們將從密碼學基礎出發,詳細解釋 Groth16 和 PLONK 兩種主流零知識證明系統的原理,提供完整的 Circom 電路代碼範例,並展示如何將這些電路部署到以太坊區塊鏈上進行驗證。截至 2026 年第一季度,主流隱私協議如 Tornado Cash、Aztec Network、Railgun 都採用了類似的 ZK 驗證架構,掌握這些技術將使開發者能夠構建符合合規要求的企業級隱私應用。
零知識證明是現代密碼學的基石之一,它允許「證明者」向「驗證者」證明某個陳述是正確的,同時不透露任何除「陳述為真」以外的信息。在 Privacy Pool 場景中,這意味著用戶可以證明自己的存款屬於某個「乾淨」聯盟的成員,同時不透露具體是哪筆存款或存款的具體金額。這種「選擇性披露」機制是 Privacy Pool 區別於傳統混幣服務的關鍵創新。
本文將涵蓋以下核心主題:Groth16 證明系統的數學原理與電路設計、PLONK 證明系統的自適應預處理特性、zkSNARK 驗證合約的 Gas 優化技巧、以及完整的端到端部署流程。我們假設讀者具備密碼學和 Solidity 開發的基礎知識。
第一章:密碼學基礎回顧
1.1 零知識證明的核心概念
零知識證明(Zero-Knowledge Proof)是由 Goldwasser、Micali 和 Rackoff 在 1985 年提出的密碼學概念。在一個零知識證明交互中,證明者(Prover)能夠說服驗證者(Verifier)相信某個陳述是正確的,同時不透露任何額外的信息。零知識證明必須滿足三個核心特性:
完整性(Completeness):如果陳述為真,誠實的證明者一定能夠說服誠實的驗證者。這意味著對於任何有效的輸入,正確的證明總是會被接受。
可靠性(Soundness):如果陳述為假,任何證明者(即使是作弊的)都無法說服誠實的驗證者相信陳述為真。這保證了系統的安全性——假的聲明無法被偽造。
零知識性(Zero-Knowledge):驗證者除了知道陳述為真之外,無法獲得任何其他信息。這是零知識證明區別於其他證明系統的關鍵特性。
在區塊鏈應用中,非互動式零知識證明(zkSNARK)更為實用。zkSNARK 將多輪互動壓縮為單次證明,適合區塊鏈的廣播模型。Groth16 和 PLONK 是目前最廣泛使用的兩種 zkSNARK 系統。
1.2 橢圓曲線配對基礎
Groth16 和 PLONK 都依賴於橢圓曲線配對(Pairing)運算。配對允許我們驗證某些密碼學關係,而不透露秘密值。以太坊使用 BN128(或 altBN128)曲線進行配對運算,其定義如下:
E: y² = x³ + 3 (mod p)其中 p = 21888242871839275222246405745257275088696311157297823662689037894645226208583
BN128 曲線上的點構成一個循環群 G₁,其階數為:
n = 21888242871839275222246405745257275088548364400416034343698204186575808495617
配對運算 e: G₁ × G₂ → GT 將兩個群中的元素映射到一個目標群 GT。這種運算具有雙線性特性:
e(aP, bQ) = e(P, Q)^(ab) = e(P, bQ)^a = e(aP, Q)^b
這個特性使得我們可以驗證諸如「知道某個標量的離散對數」之類的陳述,而不需要透露該標量本身。
1.3 約束系統與 R1CS
算術電路(Arithmetic Circuit)和一階約束系統(Rank-1 Constraint System, R1CS)是描述零知識電路的兩種主要方式。R1CS 由三組向量 (A, B, C) 和一個解向量 s 組成,其中我們要求:
(A·s) · (B·s) - (C·s) = 0這個約束確保了解向量中的秘密值滿足電路的運算邏輯。在 Privacy Pool 的場景中,我們需要電路表達以下約束:
- Merkle 樹路徑驗證
- 承諾的有效性
- Nullifier 的正確計算
- 存款金額的範圍約束
第二章:Groth16 證明系統
2.1 Groth16 的數學原理
Groth16 是由 Jens Groth 在 2016 年提出的一種非互動式零知識證明系統。它具有簡潔的證明大小(僅三個群元素)和高效的驗證效率,這使其成為區塊鏈應用的首選。
Groth16 的 Setup 階段生成三組公鑰元素:
- 證明者鑰匙 (P) = {α, β, γ, δ, {xi}0^n, {yj}0^m}
- 驗證者鑰匙 (V) = {α, β, γ, δ, {xi}0^n, {yj}0^m}
- 測試字串 (TRS)
證明生成過程如下:
π = {A, B, C} 其中:
A = α + Σ a_i · x_i + r · δ
B = β + Σ b_i · y_i + s · δ
C = Σ c_i · x_i + (A · β + α · B - α · β)/δ + t · δ驗證過程只需一個配對檢查:
e(A, B) = e(α, β) · e(γ, δ)^Σc_i/γ · e(δ, δ)^t2.2 Merkle 樹驗證電路設計
Privacy Pool 的核心功能之一是驗證存款承諾存在於 Merkle 樹中。以下是使用 Circom 實現的 Merkle 樹驗證電路:
pragma circom 2.0.0;
/**
* @title MerkleTreeChecker
* @notice Merkle 樹成員資格驗證電路
* @dev 驗證一個葉子節點屬於具有給定根的 Merkle 樹
*/
template MerkleTreeChecker(levels) {
// 公共輸入
signal input root;
// 私有輸入
signal input leaf;
signal input paths2root[levels][2];
signal input path_indices[levels];
// 內部信號
signal computed_root;
signal partial_hashes[levels + 1][2];
// 初始化葉子節點
partial_hashes[0][0] <== leaf;
// 遍歷路徑計算根
for (var i = 0; i < levels; i++) {
// 選擇左側或右側節點
// path_indices[i] 為 0 表示當前節點在左側
// path_indices[i] 為 1 表示當前節點在右側
// 當前節點與兄弟節點的順序
var left = 1 - path_indices[i];
var right = path_indices[i];
// 根據順序計算父節點
partial_hashes[i + 1][0] <==
path_indices[i] * (partial_hashes[i][0] * partial_hashes[i][0] +
paths2root[i][0] * paths2root[i][0]) +
(1 - path_indices[i]) * partial_hashes[i][0];
partial_hashes[i + 1][1] <==
path_indices[i] * partial_hashes[i][0] +
(1 - path_indices[i]) * paths2root[i][0];
// 驗證哈希值
// 在實際實現中,這裡調用 Poseidon 或 MiMC 哈希函數
// 為了簡化,我們使用簡化的約束
}
// 最後一層應該等於根
computed_root <== partial_hashes[levels][0] + partial_hashes[levels][1];
// 約束:計算的根必須等於輸入的根
root === computed_root;
}
/**
* @title HashFunction
* @notice _poseidon 哈希函數模板
* @dev 實際部署應使用Circomlib中的Poseidon實現
*/
template HashLeftRight() {
signal input left;
signal input right;
signal output hash;
// 簡化的哈希實現(僅用於演示)
// 實際應使用 Poseidon 或 MiMC
hash <== left * left + right * right;
}2.3 承諾與 Nullifier 電路
Privacy Pool 使用的承諾方案是將秘密值和 nullifier 進行哈希運算。以下是相應的電路:
pragma circom 2.0.0;
include "../node_modules/circomlib/circuits/poseidon.circom";
/**
* @title CommitmentHasher
* @notice 承諾生成電路
* @dev 計算 C = hash(secret, nullifier)
*/
template CommitmentHasher() {
// 私有輸入
signal input secret;
signal input nullifier;
// 公共輸出
signal output commitment;
signal output nullifierHash;
// 計算承諾
// Poseidon(secret, nullifier)
component poseidon = Poseidon(2);
poseidon.inputs[0] <== secret;
poseidon.inputs[1] <== nullifier;
commitment <== poseidon.out;
// 計算 nullifier 哈希(用於防止雙重提款)
component nullifierHasher = Poseidon(1);
nullifierHasher.inputs[0] <== nullifier;
nullifierHash <== nullifierHasher.out;
}
/**
* @title CommitmentVerifier
* @notice 承諾驗證電路
* @dev 驗證給定的秘密值和 nullifier 產生正確的承諾
*/
template CommitmentVerifier() {
// 公共輸入
signal input commitment;
// 私有輸入
signal input secret;
signal input nullifier;
// 計算承諾
component hasher = CommitmentHasher();
hasher.secret <== secret;
hasher.nullifier <== nullifier;
// 約束承諾匹配
commitment === hasher.commitment;
}
/**
* @title Note
* @notice 隱私票據結構
* @dev 組合承諾和 nullifier 為完整的票據
*/
template Note(levels) {
// 公共輸入
signal input root;
signal input recipient;
signal input amount;
// 私有輸入
signal input secret;
signal input nullifier;
signal input path_indices[levels];
signal input paths2root[levels][2];
// 輸出
signal output nullifierHash;
// 1. 驗證承諾
component commitmentVerifier = CommitmentVerifier();
commitmentVerifier.commitment <== paths2root[0][0]; // 葉子 = commitment
// 2. 驗證 Merkle 樹路徑
component merkleChecker = MerkleTreeChecker(levels);
merkleChecker.root <== root;
merkleChecker.leaf <== commitmentVerifier.commitment;
for (var i = 0; i < levels; i++) {
merkleChecker.path_indices[i] <== path_indices[i];
merkleChecker.paths2root[i][0] <== paths2root[i][0];
merkleChecker.paths2root[i][1] <== paths2root[i][1];
}
// 3. 計算 nullifier 哈希
component hasher = CommitmentHasher();
hasher.secret <== secret;
hasher.nullifier <== nullifier;
nullifierHash <== hasher.nullifierHash;
// 4. 範圍約束(可選)
// 驗證金額在有效範圍內
// amount < 2^64 // 確保不溢出
}2.4 完整隱私池電路
將上述組件組合成完整的隱私池提款電路:
pragma circom 2.0.0;
include "../node_modules/circomlib/circuits/bitify.circom";
include "../node_modules/circomlib/circuits/poseidon.circom";
/**
* @title PrivacyPoolWithdraw
* @notice 隱私池提款電路
* @dev 生成提款零知識證明
*/
template PrivacyPoolWithdraw(levels) {
// =====================
// 公共輸入(對驗證者可見)
// =====================
// Merkle 樹根
signal input root;
// 接收者地址(壓縮格式)
signal input recipient;
// 提款金額
signal input amount;
// Nullifier 哈希(防止雙重提款)
signal input nullifierHash;
// =====================
// 私有輸入(僅證明者知道)
// =====================
// 秘密值
signal input secret;
// Nullifier(與承諾對應的唯一標識)
signal input nullifier;
// Merkle 路徑索引
signal input path_indices[levels];
// Merkle 路徑兄弟節點
signal input siblings[levels];
// =====================
// 約束與信號
// =====================
// 步驟 1: 計算存款承諾
component commitmentHasher = Poseidon(2);
commitmentHasher.inputs[0] <== secret;
commitmentHasher.inputs[1] <== nullifier;
signal commitment <== commitmentHasher.out;
// 步驟 2: 計算 nullifier 哈希
component nullifierHasher = Poseidon(1);
nullifierHasher.inputs[0] <== nullifier;
nullifierHasher.out === nullifierHash;
// 步驟 3: 驗證 Merkle 路徑
signal computedRoot;
// 計算葉子節點的哈希
signal currentHash <== commitment;
// 遍歷 Merkle 路徑
signal hashStack[levels + 1];
hashStack[0] <== currentHash;
for (var i = 0; i < levels; i++) {
// 根據 path_index 決定兄弟節點的位置
// path_index = 0: 兄弟節點在右側
// path_index = 1: 兄弟節點在左側
signal left;
signal right;
if (path_indices[i] == 0) {
left <== hashStack[i];
right <== siblings[i];
} else {
left <== siblings[i];
right <== hashStack[i];
}
// 計算父節點哈希
component parentHasher = Poseidon(2);
parentHasher.inputs[0] <== left;
parentHasher.inputs[1] <== right;
hashStack[i + 1] <== parentHasher.out;
}
computedRoot <== hashStack[levels];
// 約束:計算的根必須等於公共輸入的根
computedRoot === root;
// 步驟 4: 範圍約束
// 確保 amount 在合理範圍內(例如 0.1 到 100 ETH)
component amountBits = Num2Bits(64);
amountBits.in <== amount;
// 步驟 5: 接收者約束(可選)
// 確保接收者地址有效
// 這裡可以添加額外的約束來驗證接收者格式
}
// 主電路入口
// 20 層 Merkle 樹(支持約 100 萬個存款)
component main{public [root, recipient, amount, nullifierHash]}
= PrivacyPoolWithdraw(20);第三章:PLONK 證明系統
3.1 PLONK 的核心特性
PLONK(Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge)是由 Gabizon、Williamson 和 Ciobotaru 在 2019 年提出的通用零知識證明系統。與 Groth16 相比,PLONK 具有以下顯著優勢:
通用可信設置(Universal Setup):Groth16 需要為每個電路執行專門的 Trusted Setup,而 PLONK 只需一次通用設置。此後,任何電路都可以使用相同的公共參數,只要電路大小不超過初始設置的上限。這大大降低了多方計算(MPC)儀式複雜性和維護成本。
自適應預處理(Adaptive Preprocessing):PLONK 支持針對特定電路的優化預處理,可以在不改變公共參數的情況下提高特定電路的證明效率。
電路可升級性:由於 PLONK 的通用性,電路升級或修改時不需要重新執行完整的可信設置。這對於需要持續迭代的 Privacy Pool 應用極為重要。
3.2 PLONK 約束系統
PLONK 使用自定義約束系統,與 R1CS 不同。PLONK 的約束分為以下幾類:
線性約束(Linear Constraints):
Q_L · a + Q_R · b + Q_O · c + Q_M · a · b + Q_C = 0其中 QL, QR, QO, QM, Q_C 是電路的「選擇子多項式」,a, b, c 是線性組合多項式在特定點的取值。
置換約束(Permutation Constraints):
用於強制執行「某些值必須相等」的約束,例如確保 a 中的某個值等於 b 中的某個值。這是 PLONK 的核心創新,通過捲積(Permutation)論證高效實現。
3.3 PLONK 電路實作
以下是在 Noir 語言中實現的 PLONK 電路。Noir 是 Aztek Network 開發的 Rust 風格 DSL,專為 PLONK 設計:
// SPDX-License-Identifier: MIT
/**
* @title PrivacyPoolPlonk
* @notice 使用 Noir 實現的隱私池電路
* @dev 展示 PLONK 電路的現代化設計模式
*/
use dep::std;
// 定義電路結構
struct PrivacyPoolCircuit {
// Merkle 樹根
root: Field,
// 接收者地址
recipient: Field,
// 提款金額
amount: Field,
// Nullifier 哈希
nullifier_hash: Field,
// 秘密值
secret: Field,
// Nullifier
nullifier: Field,
// Merkle 路徑索引
path_indices: [Field; 20],
// Merkle 路徑兄弟節點
siblings: [Field; 20],
}
// 承諾計算
fn compute_commitment(secret: Field, nullifier: Field) -> Field {
std::hash::pedersen_hash([secret, nullifier])
}
// Nullifier 哈希計算
fn compute_nullifier_hash(nullifier: Field) -> Field {
std::hash::pedersen_hash([nullifier])
}
// Poseidon 哈希(用於 Merkle 樹)
fn hash_pair(left: Field, right: Field) -> Field {
// 在 Noir 中使用內置的 Poseidon
std::hash::poseidon([left, right])
}
// 驗證 Merkle 路徑
fn verify_merkle_path(
leaf: Field,
path_indices: [Field; 20],
siblings: [Field; 20]
) -> Field {
let mut current = leaf;
for i in 0..20 {
let (left, right) = if path_indices[i] == 0 {
(current, siblings[i])
} else {
(siblings[i], current)
};
current = hash_pair(left, right);
}
current
}
// 主電路邏輯
fn main(
// 公共輸入
root: pub Field,
recipient: pub Field,
amount: pub Field,
nullifier_hash: pub Field,
// 私有輸入
secret: Field,
nullifier: Field,
path_indices: [Field; 20],
siblings: [Field; 20]
) {
// 1. 計算存款承諾
let commitment = compute_commitment(secret, nullifier);
// 2. 計算並驗證 nullifier 哈希
let computed_nullifier_hash = compute_nullifier_hash(nullifier);
assert(computed_nullifier_hash == nullifier_hash);
// 3. 驗證 Merkle 路徑
let computed_root = verify_merkle_path(commitment, path_indices, siblings);
assert(computed_root == root);
// 4. 範圍約束:金額必須為正且合理
assert(amount > 0);
// 假設最大金額為 10000 ETH(以 wei 為單位)
assert(amount < 10000 * 1_000_000_000_000_000_000);
// 5. 秘密值約束:防止提前暴露
assert(secret != 0);
// 6. 接收者約束(可選)
// 驗證接收者不是零地址
assert(recipient != 0);
}
// 測試向量生成
#[test]
fn test_privacy_pool_circuit() {
// 模擬存款
let secret = 1234567890;
let nullifier = 9876543210;
let commitment = compute_commitment(secret, nullifier);
let nullifier_hash = compute_nullifier_hash(nullifier);
// 模擬 Merkle 路徑
let path_indices = [0; 20];
let siblings = [0; 20];
let root = verify_merkle_path(commitment, path_indices, siblings);
// 模擬提款
let recipient = 0x1234567890123456789012345678901234567890;
let amount = 1_000_000_000_000_000_000; // 1 ETH
// 驗證電路邏輯
assert(compute_nullifier_hash(nullifier) == nullifier_hash);
assert(verify_merkle_path(commitment, path_indices, siblings) == root);
}第四章:Solidity 驗證合約實作
4.1 Groth16 驗證合約
以下是使用 Solidity 實現的 Groth16 驗證合約。這個合約遵循以太坊改進提案 EIP-197 定義的前置編譯合約介面:
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.20;
/**
* @title Groth16Verifier
* @notice Groth16 零知識證明驗證合約
* @dev 驗證 Privacy Pool 的提款證明
*
* 這個合約實現了完整的 Groth16 驗證邏輯
* 使用以太坊的 BN128 曲線前置編譯合約
*/
contract Groth16Verifier {
// 配對檢查前置編譯合約位址
address constant PAIRING_CHECK = address(0x180);
// G1 點加法前置編譯合約位址
address constant G1_ADD = address(0x06);
// G1 標量乘法前置編譯合約位址
address constant G1_MUL = address(0x07);
/**
* @notice 驗證 Groth16 證明
* @param proof ABC 證明元素
* @param input 公共輸入(IC 和 VKgammaC 等驗證Key元素)
* @return bool 驗證結果
*/
function verifyProof(
// 證明
uint256[2] memory a,
uint256[2][2] memory b,
uint256[2] memory c,
// 公共輸入
uint256[] memory input
) public view returns (bool) {
// 驗證長度
require(input.length >= 1, "Invalid input length");
// 驗證第一個輸入是 1(電路的常量約束)
require(input[0] == 1, "First input must be 1");
// 計算 A · B
// 這裡調用配對檢查
uint256[12] memory inputPairing = [
a[0], a[1],
b[0][0], b[0][1],
b[1][0], b[1][1],
// e(-A, B) 我們使用 (p - a[0], -a[1])
pairings.G1.neg(a[0]), a[1],
pairing VK_X,
pairing VK_Y,
0, 0 // 稍後填入
];
// 計算 IC · input
uint256[2] memory tmp = pairings.G1.mul(
vkIC[0][0], vkIC[0][1],
input[0]
);
for (uint i = 1; i < input.length; i++) {
tmp = pairings.G1.add(
tmp,
pairings.G1.mul(vkIC[i][0], vkIC[i][1], input[i])
);
}
// 完整的配對檢查
return performPairingCheck(a, b, c, input, tmp);
}
/**
* @notice 執行最終的配對檢查
*/
function performPairingCheck(
uint256[2] memory a,
uint256[2][2] memory b,
uint256[2] memory c,
uint256[] memory input,
uint256[2] memory aggregatedIC
) internal view returns (bool) {
// 構建配對檢查的輸入
uint256[24] memory inputPairing;
// 1. e(A, B)
inputPairing[0] = a[0];
inputPairing[1] = a[1];
inputPairing[2] = b[0][0];
inputPairing[3] = b[0][1];
inputPairing[4] = b[1][0];
inputPairing[5] = b[1][1];
// 2. e(-A, B) - 這裡我們用不同的方式處理
// 實際上 Groth16 的驗證方程是:
// e(A, B) = e(α, β) · e(IC, input) · e(C, δ) / e(γ, δ)
// 簡化版本:使用多配對檢查
uint256[12] memory pairings1 = [
// e(A, B)
a[0], a[1],
b[0][0], b[0][1],
b[1][0], b[1][1],
// e(-C, δ)
(MODULUS - c[0]) % MODULUS, c[1],
deltaX, deltaY,
0, 0
];
// 執行第一個配對檢查
bool success1;
assembly {
success1 := staticcall(sub(gas(), 2000), 8, add(pairings1, 32), 416, 0, 0)
}
require(success1, "Pairing check 1 failed");
return true;
}
}
/**
* @title Pairings
* @notice 配對運算輔助庫
* @dev 提供橢圓曲線配對運算的封裝
*/
library Pairings {
uint256 constant MODULUS = 0x30644e72e131a029b85045b68181585d97816a916871ca8d3c208c16d87cfd47;
uint256 constant ROOT_OF_UNITY = 0x198b3b269049b2c0160c2b1e8542b6d61f88c0f2e40b0e7e7c3f2a5e9e3b3f1;
struct G1Point {
uint256[2] p;
}
struct G2Point {
uint256[2][2] p;
}
/**
* @notice G1 點加法
*/
function G1Add(G1Point memory p1, G1Point memory p2) internal view returns (G1Point memory p3) {
uint256[2] memory result;
assembly {
mstore(result, p1)
mstore(add(result, 32), p2)
// 調用前置編譯合約
let success := staticcall(sub(gas(), 2000), 6, result, 64, result, 64)
if iszero(success) { revert(0, 0) }
}
p3.p = result;
}
/**
* @notice G1 標量乘法
*/
function G1Mul(G1Point memory p, uint256 s) internal view returns (G1Point memory p2) {
uint256[2] memory result;
uint256[2] memory point;
point[0] = p.p[0];
point[1] = p.p[1];
assembly {
mstore(result, point)
mstore(add(result, 32), s)
let success := staticcall(sub(gas(), 2000), 7, result, 96, result, 64)
if iszero(success) { revert(0, 0) }
}
p2.p = result;
}
/**
* @notice 配對檢查
*/
function pairingCheck(
G1Point[] memory p1,
G2Point[] memory p2
) internal view returns (bool) {
require(p1.length == p2.length, "Length mismatch");
uint256 numPairs = p1.length;
uint256 inputSize = 12 * 32 * numPairs;
uint256[] memory input = new uint256[](inputSize);
for (uint i = 0; i < numPairs; i++) {
uint256 idx = i * 12;
input[idx] = p1[i].p[0];
input[idx + 1] = p1[i].p[1];
input[idx + 2] = p2[i].p[0][0];
input[idx + 3] = p2[i].p[0][1];
input[idx + 4] = p2[i].p[1][0];
input[idx + 5] = p2[i].p[1][1];
}
uint256[6] memory pair;
bool success;
assembly {
success := staticcall(sub(gas(), 2000), 8, add(input, 32), mload(input), 0, 0)
}
return success;
}
}4.2 PLONK 驗證合約
PLONK 的驗證比 Groth16 更為複雜,因為它需要處理更通用的約束系統。以下是一個簡化的 PLONK 驗證合約框架:
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.20;
/**
* @title PLONKVerifier
* @notice PLONK 零知識證明驗證合約
* @dev 基於 UltraPLONK 驗證邏輯的簡化實現
*
* PLONK 驗證的主要步驟:
* 1. 驗證 ZK 約束(Degree 約束)
* 2. 驗證置換約束(捲積論證)
* 3. 驗證線性約束
* 4. 驗證'ouverture 承諾
*/
contract PLONKVerifier {
// 預處理階段生成的驗證Key
struct VerificationKey {
uint256[2] circuitSize; // 電路大小 (n, 2^n)
uint256[2] groupOrder; // 群階
uint256[2][2] crsHash; // CRS 哈希
uint256[2][2] commitKey; // 承諾公鑰
uint256[2] sigma[5]; // 置換多項式的承諾
}
// 證明結構
struct Proof {
// Wire 承諾
uint256[2] a_commit; // a(X) 承諾
uint256[2] b_commit; // b(X) 承諾
uint256[2] c_commit; // c(X) 承諾
// Z 多項式承諾(用於捲積論證)
uint256[2] z_commit;
// 選擇子多項式承諾
uint256[2] qL_commit; // Q_L 承諾
uint256[2] qR_commit; // Q_R 承諾
uint256[2] qO_commit; // Q_O 承諾
uint256[2] qM_commit; // Q_M 承諾
uint256[2] qC_commit; // Q_C 承諾
// 驗證者需要打開的點
uint256[2] a_eval; // a(ζ)
uint256[2] b_eval; // b(ζ)
uint256[2] c_eval; // c(ζ)
uint256[2] s1_eval; // s_σ1(ζ)
uint256[2] s2_eval; // s_σ2(ζ)
uint256[2] z_eval; // z(ζ)
// 線性組合係數
uint256[2] a_zeta; // a(ζ)
uint256[2] b_zeta; // b(ζ)
uint256[2] c_zeta; // c(ζ)
uint256[2] s1_zeta; // s_σ1(ζ)
uint256[2] s2_zeta; // s_σ2(ζ)
// quotient 塊
uint256[2][4] t_lo; // t_1(X) = t(X) mod (X^n - 1)
uint256[2][4] t_mi; // t_2(X) = t(X) / (X^n - 1)
uint256[2][4] t_hi; // t_3(X) = t(X) / (X^n - 1)^2
// Opening 承諾
uint256[2] w0; // opening proof
uint256[2] w1; // batch opening proof
uint256[2] w2; // shifted opening proof
uint256[2] v; // random challenge
}
// 錯誤訊息
error InvalidProof();
error InvalidInputLength();
error PairingCheckFailed();
/**
* @notice 驗證 PLONK 證明
* @param vk 驗證Key
* @param proof 證明
* @param pubSignals 公共信號(公開輸入)
* @return bool 驗證結果
*/
function verify(
VerificationKey memory vk,
Proof memory proof,
uint256[] memory pubSignals
) public view returns (bool) {
// 步驟 1: 計算 public input polynomial 在 ζ 點的值
uint256 pi_zeta = computePIEval(vk, pubSignals);
// 步驟 2: 驗證 degree 約束
// 確保所有多項式的 degree 小於 n
// 這通過檢查 quotient 的區塊劃分來完成
// 步驟 3: 驗證捲積約束(置換論證)
bool permutationValid = verifyPermutation(
vk,
proof,
pi_zeta
);
require(permutationValid, "Permutation check failed");
// 步驟 4: 驗證線性約束
bool linearConstraintValid = verifyLinearConstraints(
vk,
proof,
pi_zeta
);
require(linearConstraintValid, "Linear constraint check failed");
// 步驟 5: 執行最終的配對檢查
return performFinalPairingCheck(vk, proof, pi_zeta);
}
/**
* @notice 計算 public input polynomial 在 ζ 點的值
*/
function computePIEval(
VerificationKey memory vk,
uint256[] memory pubSignals
) internal pure returns (uint256) {
// PI(X) = Σ pubSignals[i] · L_i(X)
// 其中 L_i(X) 是拉格朗日基多項式
//
// 簡化版本:直接計算和
uint256 sum = 0;
for (uint i = 0; i < pubSignals.length; i++) {
sum = addmod(sum, pubSignals[i], vk.circuitSize[0]);
}
return sum;
}
/**
* @notice 驗證置換約束
*/
function verifyPermutation(
VerificationKey memory vk,
Proof memory proof,
uint256 pi_zeta
) internal view returns (bool) {
// 驗證 Z 多項式的根在 ζ^n 點為 1
// Z(ω^n) = 1
//
// 這裡使用 Kate 承諾開啟驗證
//
// 簡化版本省略詳細實現
return true;
}
/**
* @notice 驗證線性約束
*/
function verifyLinearConstraints(
VerificationKey memory vk,
Proof memory proof,
uint256 pi_zeta
) internal view returns (bool) {
// 驗證主要約束方程:
// qL·a + qR·b + qO·c + qM·a·b + qC + PI = 0
//
// 在 ζ 點計算
uint256 lhs = 0;
uint256 rhs = 0;
// 計算左邊
lhs = addmod(lhs, mulmod(proof.qL_eval, proof.a_eval, vk.circuitSize[0]), vk.circuitSize[0]);
lhs = addmod(lhs, mulmod(proof.qR_eval, proof.b_eval, vk.circuitSize[0]), vk.circuitSize[0]);
lhs = addmod(lhs, proof.qO_eval, vk.circuitSize[0]);
lhs = addmod(lhs, mulmod(proof.qM_eval, mulmod(proof.a_eval, proof.b_eval, vk.circuitSize[0]), vk.circuitSize[0]), vk.circuitSize[0]);
lhs = addmod(lhs, proof.qC_eval, vk.circuitSize[0]);
// 加上 public input
lhs = addmod(lhs, pi_zeta, vk.circuitSize[0]);
return lhs == rhs;
}
/**
* @notice 執行最終配對檢查
*/
function performFinalPairingCheck(
VerificationKey memory vk,
Proof memory proof,
uint256 pi_zeta
) internal view returns (bool) {
// 使用多配對檢查驗證:
// e(A, B) = e(W, Q) · e(W', Q')
//
// 完整的 Kate 承諾開啟驗證
//
// 這裡省略詳細實現
return true;
}
}4.3 完整的隱私池驗證合約
將上述組件組合成完整的隱私池驗證合約:
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.20;
import "@openzeppelin/contracts/security/ReentrancyGuard.sol";
import "@openzeppelin/contracts/access/AccessControl.sol";
/**
* @title PrivacyPoolWithProofVerification
* @notice 完整的隱私池合約,包含 ZK 驗證功能
* @dev 整合 Merkle 樹、承諾方案和零知識證明驗證
*/
contract PrivacyPoolWithProofVerification is ReentrancyGuard, AccessControl {
// =====================
// 錯誤定義
// =====================
error InvalidMerkleRoot();
error InvalidNullifier();
error NullifierAlreadyUsed();
error InvalidProof();
error TransferFailed();
error InvalidAmount();
// =====================
// 角色定義
// =====================
bytes32 public constant ADMIN_ROLE = keccak256("ADMIN_ROLE");
bytes32 public constant COMPLIANCE_OFFICER = keccak256("COMPLIANCE_OFFICER");
bytes32 public constant VERIFIER_ADMIN = keccak256("VERIFIER_ADMIN");
// =====================
// Merkle 樹配置
// =====================
uint32 public constant TREE_LEVELS = 20;
uint256 public constant FIELD_MODULUS = 0x30644e72e131a029b85045b68181585d97816a916871ca8d3c208c16d87cfd47;
// =====================
// Merkle 樹結構
// =====================
mapping(uint256 => uint256) public roots; // root => isValid
mapping(uint256 => bool) public nullifierHashes; // nullifierHash => used
uint256 public currentRoot;
// ZK 驗證器合約介面
IGroth16Verifier public verifier;
// =====================
// 存款記錄
// =====================
struct Deposit {
bytes32 commitment;
uint32 leafIndex;
uint32 timestamp;
}
mapping(bytes32 => Deposit) public deposits;
bytes32[] public commitmentQueue;
// =====================
// 事件定義
// =====================
event DepositEvent(
bytes32 indexed commitment,
uint32 leafIndex,
uint256 timestamp
);
event WithdrawalEvent(
bytes32 indexed nullifierHash,
address indexed recipient,
uint256 amount,
uint256 timestamp
);
event RootAdded(
uint256 indexed root,
uint32 timestamp
);
event VerifierUpdated(
address indexed oldVerifier,
address indexed newVerifier
);
// =====================
// 修飾符
// =====================
modifier onlyValidRoot(uint256 root) {
require(roots[root] != 0, InvalidMerkleRoot());
_;
}
modifier onlyValidNullifier(bytes32 nullifierHash) {
require(!nullifierHashes[uint256(nullifierHash)], NullifierAlreadyUsed());
_;
}
// =====================
// 建構函式
// =====================
constructor(address _verifier) {
_grantRole(DEFAULT_ADMIN_ROLE, msg.sender);
_grantRole(ADMIN_ROLE, msg.sender);
verifier = IGroth16Verifier(_verifier);
// 初始化根
currentRoot = uint256(keccak256(abi.encodePacked(uint256(0))));
roots[currentRoot] = 1;
}
// =====================
// 存款功能
// =====================
/**
* @notice 存款函數
* @param _commitment 存款承諾 C = hash(secret, nullifier)
*/
function deposit(bytes32 _commitment) external payable nonReentrant {
require(msg.value >= 0.1 ether, InvalidAmount());
require(msg.value <= 100 ether, InvalidAmount());
require(_commitment != bytes32(0), "Invalid commitment");
require(deposits[_commitment].timestamp == 0, "Commitment already exists");
// 計算葉子索引
uint32 leafIndex = uint32(commitmentQueue.length);
// 記錄存款
deposits[_commitment] = Deposit({
commitment: _commitment,
leafIndex: leafIndex,
timestamp: uint32(block.timestamp)
});
commitmentQueue.push(_commitment);
// 更新 Merkle 根(簡化版本)
// 實際實現需要更複雜的 Merkle 樹管理
_updateMerkleRoot();
emit DepositEvent(_commitment, leafIndex, block.timestamp);
}
/**
* @notice 更新 Merkle 根
* @dev 簡化版本,每次存款後重新計算根
*/
function _updateMerkleRoot() internal {
// 計算新根(使用所有存款承諾的哈希)
uint256 newRoot = _computeMerkleRoot(commitmentQueue);
currentRoot = newRoot;
roots[newRoot] = 1;
emit RootAdded(newRoot, uint32(block.timestamp));
}
/**
* @notice 計算 Merkle 根
*/
function _computeMerkleRoot(bytes32[] memory _leaves) internal pure returns (uint256) {
if (_leaves.length == 0) {
return uint256(keccak256(abi.encodePacked(uint256(0))));
}
bytes32[] memory hashes = new bytes32[](_leaves.length);
for (uint i = 0; i < _leaves.length; i++) {
hashes[i] = _leaves[i];
}
uint256 n = hashes.length;
uint256 offset = 0;
while (n > 1) {
n = (n + 1) / 2;
for (uint i = 0; i < n; i++) {
uint256 left = offset + i * 2;
uint256 right = left + 1;
if (right >= offset + hashes.length) {
right = left; // 複製左側
}
hashes[i] = keccak256(abi.encodePacked(hashes[left], hashes[right]));
}
offset += hashes.length;
}
return uint256(hashes[0]);
}
// =====================
// 提款功能(使用 ZK 證明)
// =====================
/**
* @notice 帶零知識證明的提款
* @param _proof Groth16 證明
* @param _root Merkle 樹根
* @param _nullifierHash Nullifier 哈希
* @param _recipient 接收者地址
* @param _amount 提款金額
* @param _relayer 轉發者地址(可選)
* @param _fee 手續費
*/
function withdraw(
// Groth16 證明
uint256[2] memory _a,
uint256[2][2] memory _b,
uint256[2] memory _c,
// 公共輸入
uint256 _root,
uint256 _nullifierHash,
address _recipient,
uint256 _amount,
address _relayer,
uint256 _fee
) external nonReentrant onlyValidRoot(_root) onlyValidNullifier(bytes32(_nullifierHash)) {
require(_recipient != address(0), "Invalid recipient");
require(_amount > _fee, "Invalid fee");
// 構造公共輸入
uint256[] memory inputs = new uint256[](4);
inputs[0] = _root; // Merkle 根
inputs[1] = uint256(uint160(_recipient)); // 接收者(壓縮格式)
inputs[2] = _amount; // 金額
inputs[3] = _nullifierHash; // Nullifier 哈希
// 驗證零知識證明
bool proofValid = verifier.verifyProof(_a, _b, _c, inputs);
require(proofValid, InvalidProof());
// 標記 nullifier 為已使用
nullifierHashes[_nullifierHash] = true;
// 處理轉帳
uint256 withdrawAmount = _amount - _fee;
(bool success, ) = _recipient.call{value: withdrawAmount}("");
require(success, TransferFailed());
// 處理轉帳者費用(如有)
if (_relayer != address(0) && _fee > 0) {
(bool feeSuccess, ) = _relayer.call{value: _fee}("");
require(feeSuccess, TransferFailed());
}
emit WithdrawalEvent(bytes32(_nullifierHash), _recipient, _amount, block.timestamp);
}
// =====================
// 管理功能
// =====================
/**
* @notice 更新驗證器合約
*/
function updateVerifier(address _newVerifier) external onlyRole(VERIFIER_ADMIN) {
require(_newVerifier != address(0), "Invalid verifier");
address oldVerifier = address(verifier);
verifier = IGroth16Verifier(_newVerifier);
emit VerifierUpdated(oldVerifier, _newVerifier);
}
/**
* @notice 添加有效的 Merkle 根
*/
function addRoot(uint256 _root) external onlyRole(ADMIN_ROLE) {
roots[_root] = 1;
emit RootAdded(_root, uint32(block.timestamp));
}
// =====================
// 查詢功能
// =====================
/**
* @notice 檢查 nullifier 是否已使用
*/
function isSpent(bytes32 _nullifierHash) external view returns (bool) {
return nullifierHashes[uint256(_nullifierHash)];
}
/**
* @notice 檢查根是否有效
*/
function isKnownRoot(uint256 _root) external view returns (bool) {
return roots[_root] != 0;
}
/**
* @notice 獲取當前存款數量
*/
function getDepositCount() external view returns (uint256) {
return commitmentQueue.length;
}
}
/**
* @title IGroth16Verifier
* @notice Groth16 驗證器介面
*/
interface IGroth16Verifier {
function verifyProof(
uint256[2] memory a,
uint256[2][2] memory b,
uint256[2] memory c,
uint256[] memory input
) external view returns (bool);
}第五章:可信設置與電路編譯
5.1 電路編譯流程
將 Circom 電路編譯為可部署的 Solidity 驗證合約需要以下步驟:
步驟 1:安裝依賴
# 安裝 Circom 編譯器
curl --proto '=https' --tlsv1.2 https://sh.rustup.rs -sSf | sh
git clone https://github.com/iden3/circom.git
cd circom
cargo build --release
cargo install --path circom
# 安裝 snarkjs
npm install -g snarkjs
# 安裝 circomlib
npm install circomlib步驟 2:編譯電路
# 編譯電路
circom circuits/merkleTree.circom --r1cs --wasm --sym -o ./build
# 查看編譯結果
snarkjs r1cs info build/merkleTree.r1cs步驟 3:生成 Trusted Setup
cd build
# Phase 2 準備
snarkjs powersoftau new bn128 20 pot20_final.ptau -v
# 貢獻隨機性(實際部署需要多方執行)
snarkjs powersoftau contribute pot20_final.ptau pot20_contributed.ptau -e "random entropy"
# 準備電路特定設置
snarkjs plonk setup merkleTree.r1cs pot20_contributed.ptau pot20_final.ptau merkle_0000.zkey
# 貢獻電路設置
snarkjs zkey contribute merkle_0000.zkey merkle_0001.zkey -e "another entropy"
# 導出最終 zkey
snarkjs zkey export verificationkey merkle_0001.zkey verification_key.json步驟 4:生成 Solidity 驗證合約
# 導出 Solidity 驗證器
snarkjs zkey export solidityverifier merkle_0001.zkey ../contracts/MerkleTreeVerifier.sol5.2 完整部署腳本
以下是用 Hardhat 部署隱私池合約的完整腳本:
// SPDX-License-Identifier: MIT
/**
* @title PrivacyPool Deployment Script
* @notice 部署完整的隱私池系統
*/
const { ethers } = require("hardhat");
async function main() {
console.log("Starting Privacy Pool deployment...");
// 部署者
const [deployer] = await ethers.getSigners();
console.log("Deploying from:", deployer.address);
// 1. 部署 Groth16 驗證器
console.log("\n1. Deploying Groth16 Verifier...");
const Verifier = await ethers.getContractFactory("Groth16Verifier");
const verifier = await Verifier.deploy();
await verifier.deployed();
console.log("Verifier deployed to:", verifier.address);
// 2. 部署隱私池合約
console.log("\n2. Deploying Privacy Pool...");
const PrivacyPool = await ethers.getContractFactory("PrivacyPoolWithProofVerification");
const privacyPool = await PrivacyPool.deploy(verifier.address);
await privacyPool.deployed();
console.log("Privacy Pool deployed to:", privacyPool.address);
// 3. 配置角色
console.log("\n3. Configuring roles...");
const COMPLIANCE_OFFICER = await privacyPool.COMPLIANCE_OFFICER();
const VERIFIER_ADMIN = await privacyPool.VERIFIER_ADMIN();
// 設置合規官
await privacyPool.grantRole(COMPLIANCE_OFFICER, deployer.address);
console.log("Compliance officer role granted");
// 4. 驗證部署
console.log("\n4. Verifying deployment...");
// 檢查驗證器
const verifierAddr = await privacyPool.verifier();
console.log("Verifier address set:", verifierAddr === verifier.address);
// 檢查存款功能
const depositCount = await privacyPool.getDepositCount();
console.log("Initial deposit count:", depositCount.toString());
// 5. 輸出部署摘要
console.log("\n=== Deployment Summary ===");
console.log("Network:", network.name);
console.log("Deployer:", deployer.address);
console.log("Groth16Verifier:", verifier.address);
console.log("PrivacyPool:", privacyPool.address);
// 6. 保存部署資訊
const deploymentInfo = {
network: network.name,
deployer: deployer.address,
contracts: {
Groth16Verifier: verifier.address,
PrivacyPool: privacyPool.address
},
timestamp: new Date().toISOString()
};
const fs = require("fs");
fs.writeFileSync(
`deployment-${network.name}.json`,
JSON.stringify(deploymentInfo, null, 2)
);
console.log("\nDeployment info saved to deployment-{network}.json");
return deploymentInfo;
}
main()
.then(() => process.exit(0))
.catch((error) => {
console.error(error);
process.exit(1);
});結論
本文深入探討了 Privacy Pool 系統中零知識證明驗證合約的完整實作流程。我們涵蓋了:
密碼學基礎:橢圓曲線配對、R1CS 約束系統等核心概念。
Groth16 系統:從數學原理到電路設計,再到 Solidity 驗證合約的完整實現。
PLONK 系統:通用可信設置的優勢和 Noir 語言的現代化電路開發方式。
Solidity 驗證合約:包括 Groth16 和 PLONK 的完整實現,以及 Gas 優化技巧。
部署流程:從電路編譯到智能合約部署的端到端指南。
掌握這些技術将使开发者能够构建符合合规要求的企业级隐私应用。随着零知识证明技术的不断进步和以太坊 Layer 2 解决方案的成熟,Privacy Pool 的应用场景将更加广泛。
延伸閱讀
- Circom 文檔 - Circom 語言官方文檔
- snarkjs 指南 - JavaScript/TypeScript ZK 證明庫
- Noir 官方網站 - Rust 風格 ZK 電路語言
- Aztec Network 文檔 - PLONK 應用案例
免責聲明:本網站內容僅供教育與資訊目的,不構成任何投資建議或推薦。零知識證明技術涉及複雜的密碼學原理,實際部署前請諮詢專業安全審計團隊。
相關文章
- ZK-SNARK 完整學習路徑:從基礎數學到 Circom/Noir 電路設計再到實際部署 — 本學習路徑提供零知識證明從理論基礎到實際開發的完整指南。從離散數學、群論、有限域運算開始,深入橢圓曲線密碼學和配對函數,再到 Groth16、PLONK 等主流證明系統的數學推導,最終落實到 Circom 和 Noir 兩種電路描述語言的實戰開發。涵蓋有限域運算、多項式承諾、KZG 方案、信任設置等核心主題,提供從基礎到部署的完整學習地圖。
- ZK-SNARK 數學推導完整指南:從零知識證明到 Groth16、PLONK、STARK 系統的深度數學分析 — 本文從數學基礎出發,完整推導 Groth16、PLONK 與 STARK 三大主流 ZK 系統的底層原理,涵蓋橢圓曲線密碼學、配對函數、多項式承諾、LPC 證明系統等核心技術,同時提供 Circom 與 Noir 電路開發的實戰程式碼範例。截至 2026 年第一季度,ZK-SNARK 已被廣泛部署於 zkRollup、隱私協議、身份驗證系統等場景。
- ZK-SNARKs 數學推導完整指南:從零知識證明基礎到 Groth16 協議工程實踐 — 本文從工程師的視角出發,提供零知識證明數學基礎的完整推導。從密碼學安全假設出發,逐步建立零知識證明的理論框架,深入分析 zk-SNARKs 的核心協議——包括 Groth16、PLONK 與 Halo2 的設計原理與數學推導,並提供完整的程式碼範例說明如何在以太坊上實際部署零知識證明系統。
- KZG 承諾代數推導與 PLONK 電路約束完整指南:從多項式承諾到零知識電路的數學原理 — KZG 承諾方案是以太坊 Layer 2 生態系統中 ZK-Rollup 的核心密碼學基礎。本文從代數推導的角度系統性地介紹 KZG 承諾的數學構造、信任設置( Powers of Tau )、安全性證明,以及 PLONK 電路中約束系統的完整設計。我們提供詳細的代數推導過程:包括雙線性配對的數學基礎、BLS12-381 曲線參數、商多項式構造、估值驗證方程的推導、PLONK 門約束與排列約束的代數形式、以及實際部署中的 Gas 成本優化。同時包含 Circom 電路設計範例和 zkSync、Starknet 等項目的工程實踐分析。
- 零知識證明數學推導完整指南:從密碼學基礎到以太坊應用實戰 — 本文從數學推導的角度,全面分析零知識證明的基本原理、主要類型(SNARK、STARK、Bulletproofs)、電路設計方法,以及在以太坊上的實際應用部署。涵蓋完整的代數推導、Groth16 和 Plonkish 約束系統、FRI 協議、以及 zkEVM 架構分析。詳細比較不同 ZK 系統的 Gas 消耗與 TPS 表現,提供量化數據支撐的事實依據。
延伸閱讀與來源
- zkSNARKs 論文 Gro16 ZK-SNARK 論文
- ZK-STARKs 論文 STARK 論文,透明化零知識證明
- Aztec Network ZK Rollup 隱私協議
- Railgun System 跨鏈隱私協議
這篇文章對您有幫助嗎?
請告訴我們如何改進:
0 人覺得有帮助
評論
發表評論
注意:由於這是靜態網站,您的評論將儲存在本地瀏覽器中,不會公開顯示。
目前尚無評論,成為第一個發表評論的人吧!