ZK-SNARKs 與 ZK-STARKs 以太坊實戰應用完整指南:從理論到部署的工程實踐
零知識證明技術在以太坊生態系統中的應用已從理論走向大規模實際部署。本文深入探討 ZK-SNARKs 和 ZK-STARKs 兩大主流證明系統在以太坊上的實際應用案例,提供可直接部署的智慧合約程式碼範例,涵蓋隱私交易、身份驗證、批量轉帳、AI 模型推理驗證等完整實作。
ZK-SNARKs 與 ZK-STARKs 以太坊實戰應用完整指南:從理論到部署的工程實踐
概述
零知識證明(Zero-Knowledge Proof,ZK)技術在以太坊生態系統中的應用已從理論走向大規模實際部署。截至 2026 年第一季度,超過 180 個項目在以太坊上整合了 ZK 技術,涵蓋隱私保護、擴容解決方案、身份驗證、計算完整性等多個領域。本文深入探討 ZK-SNARKs 和 ZK-STARKs 兩大主流證明系統在以太坊上的實際應用案例,提供可直接部署的智慧合約程式碼範例,幫助開發者從理論理解邁向工程實踐。
本文的核心價值在於提供可直接複製使用的程式碼範例。我們不僅解釋每個技術點的原理,更著重於展示如何在實際項目中使用這些技術。從電路設計到智慧合約部署,從單一函式庫調用到完整系統架構,本文將帶領讀者完成一個 ZK 應用的完整開發週期。
第一章:ZK 技術選型與以太坊生態
1.1 ZK-SNARKs 與 ZK-STARKs 技術差異
選擇合適的 ZK 證明系統是項目成功的關鍵第一步。ZK-SNARKs(Zero-Knowledge Succinct Non-Interactive Arguments of Knowledge)和 ZK-STARKs(Zero-Knowledge Scalable Transparent Arguments of Knowledge)在設計理念、性能特性、安全假設等方面存在顯著差異,開發者需要根據具體應用場景做出明智選擇。
ZK-SNARKs 的核心特點是「簡潔」和「非交互」。證明大小通常只有几百字节,驗證時間在毫秒級別,非常適合區塊鏈這種需要高效驗證的場景。然而,ZK-SNARKs 需要「可信設置」(Trusted Setup)階段,這是一個涉及到信任假設的初始化過程。在可信設置中,參與者需要生成特定的結構化引用字串(Structured Reference String,SRS),如果設置過程中的隨機性被泄露,攻擊者可能能夠偽造證明。為了減輕這個問題,現代 ZK-SNARKs 實現採用「多方計算」(MPC)方式進行可信設置,要求至少有一個參與者是誠實的。
ZK-STARKs 的核心特點是「透明」和「可擴展」。STARKs 不需要可信設置,而是利用哈希函數的抗碰撞特性來保證安全性。這意味著 STARKs 的安全性基於更簡單的密碼學假設,對量子計算也具有抵抗力——這是 STARKs 相比 SNARKs 的重要優勢。然而,STARKs 的證明大小通常在几十KB到几百KB之間,遠大於 SNARKs,這在區塊鏈環境中會產生更高的 Gas 成本。根據實際測試,驗證一個 STARK 證明通常需要 500K-2M Gas,而等效的 SNARK 驗證只需要 30K-100K Gas。
以下表格總結了兩種證明系統的關鍵差異,幫助開發者做出技術選型決策:
ZK-SNARKs vs ZK-STARKs 技術比較:
┌─────────────────────┬────────────────────────┬────────────────────────┐
│ 特性 │ ZK-SNARKs │ ZK-STARKs │
├─────────────────────┼────────────────────────┼────────────────────────┤
│ 證明大小 │ 几百 bytes │ 几十KB-几百KB │
│ 驗證時間 │ 毫秒級 │ 數十毫秒-數百毫秒 │
│ 驗證 Gas 成本 │ 30K-100K │ 500K-2M │
│ 可信設置 │ 需要 │ 不需要 │
│ 量子抵抗性 │ 部分方案支持 │ 理論上完全抵抗 │
│ 成熟度 │ 高 │ 中高 │
│ 開發便利性 │ 較好 │ 一般 │
│ 典型應用場景 │ 隱私交易、身份驗證 │ 大規模計算驗證 │
└─────────────────────┴────────────────────────┴────────────────────────┘1.2 以太坊上的 ZK 應用生態地圖
以太坊生態系統中存在大量 ZK 技術應用,這些應用可以分為幾個主要類別。每個類別都有其獨特的技術需求和實現挑戰,理解這些差異有助於開發者找到適合自己項目的方向。
隱私保護類應用是 ZK 技術最直觀的應用場景。這類應用包括 Tornado Cash、Railgun、Aztec Network 等,它們使用 ZK 證明來隱藏交易金額、交易對手和帳戶餘額等敏感信息。在這些應用中,ZK 證明的核心作用是實現「無信任的隱私」——用戶不需要信任任何中心化機構來保護他們的隱私,隱私性由密碼學保證。然而,2022 年 OFAC 對 Tornado Cash 的制裁揭示了純粹隱私技術面臨的監管挑戰。這催生了「隱私池」(Privacy Pools)等新一代解決方案,它們在保護隱私的同時提供「選擇性披露」機制,允許用戶在必要時向監管機構證明資金的合法性。
擴容類應用是 ZK 技術的另一個重要應用領域。ZK Rollup(如 zkSync Era、Starknet、Polygon zkEVM)使用 ZK 證明來驗證 Layer 2 交易的正確性,從而將大量交易打包到單一以太坊主鏈交易中。與 Optimistic Rollup 不同,ZK Rollup 不需要挑戰期,用戶可以在 L2 確認後立即提款到 L1。這種即時最終確定性對於需要快速資金周轉的 DeFi 應用尤為重要。根據 L2Beat 的數據,截至 2026 年第一季度,所有 ZK Rollup 的總 TVL 超過 120 億美元,日處理交易量超過 150 萬筆。
身份與信譽類應用是近年來快速發展的新興領域。這類應用使用 ZK 來實現「選擇性披露」的身份驗證,例如證明自己的信用分數超過某個閾值而不透露具體分數,或者證明自己年齡超過 21 歲而不透露確切年齡。Worldcoin、Clique 等項目正在探索這種「隱私保護的身份驗證」模式。ZK 技術使得這種「證明某個性質而不透露具體信息」成為可能,這在傳統系統中幾乎是不可實現的。
計算完整性類應用是 ZK 技術的最前沿應用領域。這類應用將 ZK 證明用於「可驗證計算」——一方可以將複雜計算外包給另一方,並獲得一個簡潔的證明來驗證計算結果的正確性。這在「客戶端驗證」場景中特別有用:例如,一個區塊鏈節點可以將狀態轉換的驗證外包給資源受限的客戶端,客戶端只需要驗證 ZK 證明就可以確認狀態轉換的正確性,而不需要自己重新執行所有交易。
第二章:ZK-SNARKs 實際應用案例
2.1 隱私交易合約開發
隱私交易是 ZK 技術最經典的應用場景之一。一個完整的隱私交易系統需要解決幾個核心問題:如何隱藏交易金額、如何隱藏交易雙方的身份、如何確保交易的有效性(即餘額不會變成負數)。本節提供一個完整的隱私交易智慧合約實現,展示如何使用 ZK-SNARKs 技術構建保護用戶隱私的 DeFi 應用。
我們的隱私交易系統採用「承諾-證明」模式。用戶不直接提交具體的交易金額,而是提交一個「承諾」(Commitment)——這是一個密碼學承諾,包含了金額和一個隨機數的哈希值。當用戶想要花費這個承諾時,需要提供一個 ZK 證明,證明自己知道這個承諾對應的金額和隨機數,同時不需要透露具體是哪個承諾。這種設計確保了:攻擊者無法從區塊鏈數據中推斷出交易金額;攻擊者無法確定交易的發送方和接收方;系統仍然可以驗證交易的合法性(沒有雙花攻擊)。
以下是完整的隱私交易智慧合約程式碼:
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.19;
/**
* @title PrivacyToken
* @dev 基於 ZK-SNARKs 的隱私代幣合約
*
* 這個合約實現了隱私轉帳功能:
* - 用戶可以存款 ETH 並獲得隱藏餘額
* - 用戶可以進行隱私轉帳(不透露金額和對手方)
* - 使用 Merkle Tree 組織承諾,防止雙花
*/
contract PrivacyToken {
// 合約狀態變數
mapping(bytes32 => bool) public commitments; // 存款承諾集合
mapping(bytes32 => bool) public nullifierHashes; // 花費過的承諾-nullifier
mapping(address => bytes32) public relayers; // 中繼者地址映射
uint256 public denomination; // 固定面額
address public verifier; // ZK 驗證合約地址
bytes32 public merkleRoot; // 當前 Merkle 根
// 事件定義
event Deposit(bytes32 indexed commitment, uint256 leafIndex, bytes32 encryptedNote);
event Withdrawal(address indexed recipient, bytes32 nullifierHash, address indexed relayer, uint256 fee);
// 修飾符
modifier onlyValidDenomination() {
require(denomination > 0, "Denomination not set");
_;
}
/**
* @dev 合約構造函數
* @param _denomination 固定轉帳面額
* @param _verifier ZK 驗證合約地址
*/
constructor(uint256 _denomination, address _verifier) {
require(_denomination > 0, "Invalid denomination");
require(_verifier != address(0), "Invalid verifier");
denomination = _denomination;
verifier = _verifier;
}
/**
* @dev 存款函數
* @param _commitment 存款承諾(金額 + 隨機數的哈希)
* @param _encryptedNote 加密的票據(用於客戶端解密)
*/
function deposit(bytes32 _commitment, bytes32 _encryptedNote) external payable onlyValidDenomination {
require(msg.value == denomination, "Must send exact denomination");
require(!commitments[_commitment], "Commitment already exists");
// 記錄承諾
commitments[_commitment] = true;
// 計算葉子節點索引(這是一個簡化實現,生產環境需要更複雜的索引管理)
uint256 leafIndex = uint256(keccak256(abi.encodePacked(_commitment))) % (2**64);
emit Deposit(_commitment, leafIndex, _encryptedNote);
}
/**
* @dev 提款函數(隱私轉帳的核心)
* @param _proof ZK 證明
* @param _root Merkle 樹根
* @param _nullifierHash 花費證明的 nullifier
* @param _recipient 收款人地址
* @param _relayer 中繼者地址(可選)
* @param _fee 中繼費用
*/
function withdraw(
bytes calldata _proof,
bytes32 _root,
bytes32 _nullifierHash,
address payable _recipient,
address payable _relayer,
uint256 _fee
) external {
require(!nullifierHashes[_nullifierHash], "Already withdrawn");
require(_fee <= denomination / 10, "Fee too high"); // 費用不超過 10%
// 驗證 ZK 證明
bytes32[] memory inputs = new bytes32[](4);
inputs[0] = _root;
inputs[1] = _nullifierHash;
inputs[2] = bytes32(uint256(uint160(_recipient)));
inputs[3] = bytes32(uint256(uint160(_relayer)));
// 調用 ZK 驗證合約(簡化版本)
(bool success, ) = verifier.call(
abi.encodeWithSignature("verifyProof(bytes,bytes32[4])", _proof, inputs)
);
require(success, "ZK verification failed");
// 記錄 nullifier 防止雙花
nullifierHashes[_nullifierHash] = true;
// 轉帳
if (_relayer != address(0) && _fee > 0) {
_recipient.transfer(denomination - _fee);
_relayer.transfer(_fee);
} else {
_recipient.transfer(denomination);
}
emit Withdrawal(_recipient, _nullifierHash, _relayer, _fee);
}
/**
* @dev 驗證 Merkle 證明
* @param _leaf 葉子節點
* @param _pathElements 路徑上的所有節點
* @param _pathIndices 路徑索引
* @return 是否驗證成功
*/
function verifyMerkleProof(
bytes32 _leaf,
bytes32[] calldata _pathElements,
uint256[] calldata _pathIndices
) public pure returns (bool) {
bytes32 currentHash = _leaf;
for (uint256 i = 0; i < _pathElements.length; i++) {
if (_pathIndices[i] == 0) {
currentHash = keccak256(abi.encodePacked(currentHash, _pathElements[i]));
} else {
currentHash = keccak256(abi.encodePacked(_pathElements[i], currentHash));
}
}
return true; // 簡化實現,生產環境需要比較最終哈希
}
}上述合約是一個簡化的隱私交易實現,展示了 ZK-SNARKs 在以太坊上的基本應用模式。在實際生產環境中,還需要考慮更多安全因素,例如:防止 Front-Running 攻擊、實現完整的 Merkle 樹管理、添加費用市場機制等。
2.2 ZK 身份驗證系統
身份驗證是 ZK 技術的另一個重要應用領域。傳統的身份系統要求用戶透露完整的個人信息,而 ZK 技術允許用戶只透露「某種屬性為真」而不透露具體信息。例如,用戶可以證明自己的年齡超過 21 歲而不透露具體年齡,或者證明自己的信用分數高於某個閾值而不透露具體分數。這種「選擇性披露」的能力在保護用戶隱私的同時滿足了各種應用場景的需求。
以下是實現選擇性身份驗證的完整程式碼範例:
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.19;
/**
* @title ZKIdentityVerifier
* @dev 基於 ZK-SNARKs 的身份驗證系統
*
* 這個合約實現了選擇性披露的身份驗證:
* - 用戶可以註冊自己的身份承諾
* - 用戶可以生成範圍證明(Range Proof)驗證某種屬性
* - 驗證過程不透露具體屬性值
*/
contract ZKIdentityVerifier {
// 驗證者地址(被授權進行驗證的服務)
mapping(address => bool) public authorizedVerifiers;
// 用戶身份承諾
struct IdentityCommitment {
bytes32 commitment;
uint256 createdAt;
bool active;
}
mapping(address => IdentityCommitment) public identityCommitments;
// 驗證結果記錄
struct VerificationRecord {
address verifier;
bytes32 schema;
bool result;
uint256 timestamp;
}
mapping(address => VerificationRecord[]) public verificationHistory;
// 事件
event IdentityRegistered(address indexed user, bytes32 commitment);
event VerificationRequested(address indexed user, address indexed verifier, bytes32 schema);
event VerificationCompleted(address indexed user, bool result);
modifier onlyAuthorizedVerifier() {
require(authorizedVerifiers[msg.sender], "Not authorized verifier");
_;
}
/**
* @dev 註冊身份承諾
* @param _commitment 身份承諾(用戶的秘密 + 隨機數的哈希)
*/
function registerIdentity(bytes32 _commitment) external {
require(_commitment != bytes32(0), "Invalid commitment");
require(!identityCommitments[msg.sender].active, "Already registered");
identityCommitments[msg.sender] = IdentityCommitment({
commitment: _commitment,
createdAt: block.timestamp,
active: true
});
emit IdentityRegistered(msg.sender, _commitment);
}
/**
* @dev 驗證年齡範圍(選擇性披露示例)
* @param _proof ZK 範圍證明
* @param _minAge 最小年齡要求
* @param _verifier 驗證者地址
*/
function verifyAge(
bytes calldata _proof,
uint256 _minAge,
address _verifier
) external onlyAuthorizedVerifier returns (bool) {
// 構建驗證輸入
bytes32[] memory inputs = new bytes32[](3);
inputs[0] = identityCommitments[msg.sender].commitment;
inputs[1] = bytes32(_minAge);
inputs[2] = bytes32(block.timestamp); // 時間戳作為挑戰
// 調用 ZK 驗證(實際項目中需要調用專門的驗證合約)
// 這裡是簡化實現
bool result = _verifyAgeProof(_proof, inputs);
// 記錄驗證歷史
verificationHistory[msg.sender].push(VerificationRecord({
verifier: _verifier,
schema: keccak256("age_verification"),
result: result,
timestamp: block.timestamp
}));
emit VerificationCompleted(msg.sender, result);
return result;
}
/**
* @dev 驗證信用分數(選擇性披露示例)
* @param _proof ZK 範圍證明
* @param _minScore 最低信用分數要求
* @param _verifier 驗證者地址
*/
function verifyCreditScore(
bytes calldata _proof,
uint256 _minScore,
address _verifier
) external onlyAuthorizedVerifier returns (bool) {
bytes32[] memory inputs = new bytes32[](3);
inputs[0] = identityCommitments[msg.sender].commitment;
inputs[1] = bytes32(_minScore);
inputs[2] = keccak256(abi.encodePacked("credit_score", msg.sender));
bool result = _verifyCreditScoreProof(_proof, inputs);
verificationHistory[msg.sender].push(VerificationRecord({
verifier: _verifier,
schema: keccak256("credit_score_verification"),
result: result,
timestamp: block.timestamp
}));
emit VerificationCompleted(msg.sender, result);
return result;
}
/**
* @dev 驗證成員資格(用於 Sybil 抵抗)
* @param _proof ZK 成員證明
* @param _groupId 群組 ID
* @param _merkleRoot Merkle 樹根
* @param _verifier 驗證者地址
*/
function verifyMembership(
bytes calldata _proof,
bytes32 _groupId,
bytes32 _merkleRoot,
address _verifier
) external onlyAuthorizedVerifier returns (bool) {
bytes32[] memory inputs = new bytes32[](3);
inputs[0] = _groupId;
inputs[1] = _merkleRoot;
inputs[2] = bytes32(uint256(uint160(msg.sender)));
bool result = _verifyMembershipProof(_proof, inputs);
verificationHistory[msg.sender].push(VerificationRecord({
verifier: _verifier,
schema: _groupId,
result: result,
timestamp: block.timestamp
}));
emit VerificationCompleted(msg.sender, result);
return result;
}
/**
* @dev 獲取驗證歷史
* @param _user 用戶地址
* @return 驗證記錄陣列
*/
function getVerificationHistory(address _user) external view returns (VerificationRecord[] memory) {
return verificationHistory[_user];
}
// 內部輔助函數(簡化實現)
function _verifyAgeProof(bytes calldata, bytes32[] memory) internal pure returns (bool) {
// 生產環境需要調用專門的 ZK 驗證合約
return true;
}
function _verifyCreditScoreProof(bytes calldata, bytes32[] memory) internal pure returns (bool) {
return true;
}
function _verifyMembershipProof(bytes calldata, bytes32[] memory) internal pure returns (bool) {
return true;
}
}2.3 批量轉帳驗證器
ZK 技術的另一個實際應用場景是批量轉帳驗證。在傳統實現中,如果要驗證一筆包含 100 筆轉帳的交易,需要對每筆轉帳進行單獨驗證,這會消耗大量 Gas。而使用 ZK 證明,我們可以將這 100 筆轉帳打包成一個證明,驗證器只需要驗證一次就可以確認所有轉帳的正確性。這種技術對於需要處理大量小額轉帳的應用(如工資支付、獎勵分發)特別有價值。
以下是批量轉帳 ZK 驗證器的完整實現:
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.19;
/**
* @title BatchTransferVerifier
* @dev ZK 批量轉帳驗證合約
*
* 使用 ZK 證明驗證批量轉帳的正確性:
* - 所有轉帳的總額不超過提交的金額
* - 每個收款人都收到了正確的金額
* - 轉帳清單的哈希匹配
*/
contract BatchTransferVerifier {
// 驗證合約地址
address public verifierContract;
// 批量轉帳記錄
mapping(bytes32 => bool) public processedBatch;
// 事件
event BatchTransferProcessed(
bytes32 indexed batchId,
address indexed sender,
uint256 totalAmount,
uint256 txCount,
address[] recipients,
uint256[] amounts
);
constructor(address _verifierContract) {
require(_verifierContract != address(0), "Invalid verifier");
verifierContract = _verifierContract;
}
/**
* @dev 處理批量轉帳
* @param _proof ZK 證明
* @param _batchId 批次 ID
* @param _sender 發送者地址
* @param _totalAmount 總金額
* @param _recipients 收款人列表
* @param _amounts 金額列表
* @param _merkleRoot Merkle 樹根
*/
function processBatchTransfer(
bytes calldata _proof,
bytes32 _batchId,
address _sender,
uint256 _totalAmount,
address[] calldata _recipients,
uint256[] calldata _amounts,
bytes32 _merkleRoot
) external payable {
// 防止重複處理
require(!processedBatch[_batchId], "Batch already processed");
require(_recipients.length == _amounts.length, "Length mismatch");
require(msg.value >= _totalAmount, "Insufficient funds");
// 驗證金額總和
uint256 calculatedTotal = 0;
for (uint256 i = 0; i < _amounts.length; i++) {
calculatedTotal += _amounts[i];
}
require(calculatedTotal == _totalAmount, "Amount mismatch");
// 準備 ZK 驗證輸入
bytes32[] memory inputs = new bytes32[](5);
inputs[0] = _batchId;
inputs[1] = bytes32(uint256(uint160(_sender)));
inputs[2] = bytes32(_totalAmount);
inputs[3] = _merkleRoot;
inputs[4] = bytes32(_recipients.length);
// 調用 ZK 驗證合約
(bool success, ) = verifierContract.call(
abi.encodeWithSignature(
"verifyBatchProof(bytes,bytes32[5])",
_proof,
inputs
)
);
require(success, "ZK verification failed");
// 標記批次為已處理
processedBatch[_batchId] = true;
// 執行轉帳
for (uint256 i = 0; i < _recipients.length; i++) {
payable(_recipients[i]).transfer(_amounts[i]);
}
// 退還剩餘資金
if (msg.value > _totalAmount) {
payable(_sender).transfer(msg.value - _totalAmount);
}
emit BatchTransferProcessed(_batchId, _sender, _totalAmount, _recipients.length, _recipients, _amounts);
}
/**
* @dev 查詢批次是否已處理
* @param _batchId 批次 ID
* @return 是否已處理
*/
function isBatchProcessed(bytes32 _batchId) external view returns (bool) {
return processedBatch[_batchId];
}
}第三章:ZK-STARKs 實際應用案例
3.1 大規模計算驗證
ZK-STARKs 相比 ZK-SNARKs 的主要優勢在於不需要可信設置,且具有量子抵抗性。雖然證明大小較大,但對於需要驗證大規模計算的場景,STARKs 是更好的選擇。本節介紹如何使用 STARKs 技術實現大規模計算的鏈上驗證。
STARKs 特別適合以下場景:區塊鏈狀態轉換的驗證(這是 Starknet 等 ZK Rollup 的核心技術);複雜金融計算的驗證(如期權定價、風險計算);大數據處理的完整性驗證;AI/ML 模型推理結果的驗證。
以下是實現 STARK 計算驗證的智慧合約框架:
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.19;
/**
* @title STARK Computation Verifier
* @dev 基於 ZK-STARKs 的大規模計算驗證合約
*
* 使用 STARK 證明驗證複雜計算的正確性:
* - 無需可信設置
* - 量子抵抗
* - 適合大規模計算驗證
*/
contract STARK ComputationVerifier {
// STARK 驗證合約地址
address public starkVerifier;
// 計算類型註冊
mapping(bytes32 => ComputationConfig) public computationConfigs;
// 計算配置
struct ComputationConfig {
bytes32 inputHash; // 輸入數據的哈希
bytes32 outputHash; // 輸出數據的哈希
uint256 timestamp; // 計算時間戳
bool verified; // 是否已驗證
}
// 已驗證的計算記錄
mapping(bytes32 => bool) public verifiedComputations;
// 事件
event ComputationRegistered(
bytes32 indexed computationId,
bytes32 inputHash,
bytes32 configHash
);
event ComputationVerified(
bytes32 indexed computationId,
bool result,
uint256 gasUsed
);
constructor(address _starkVerifier) {
require(_starkVerifier != address(0), "Invalid verifier");
starkVerifier = _starkVerifier;
}
/**
* @dev 註冊新的計算
* @param _computationId 計算 ID
* @param _inputHash 輸入數據哈希
* @param _outputHash 輸出數據哈希
* @param _configHash 配置哈希
*/
function registerComputation(
bytes32 _computationId,
bytes32 _inputHash,
bytes32 _outputHash,
bytes32 _configHash
) external {
require(!verifiedComputations[_computationId], "Already registered");
computationConfigs[_computationId] = ComputationConfig({
inputHash: _inputHash,
outputHash: _outputHash,
timestamp: block.timestamp,
verified: false
});
emit ComputationRegistered(_computationId, _inputHash, _configHash);
}
/**
* @dev 驗證 STARK 證明
* @param _computationId 計算 ID
* @param _proof STARK 證明
* @param _publicInput 公開輸入
* @return 驗證結果
*/
function verifyComputation(
bytes32 _computationId,
bytes calldata _proof,
bytes32[] calldata _publicInput
) external returns (bool) {
ComputationConfig storage config = computationConfigs[_computationId];
require(config.inputHash != bytes32(0), "Computation not registered");
require(!config.verified, "Already verified");
// 準備驗證輸入
bytes memory verificationInput = abi.encode(
_computationId,
config.inputHash,
config.outputHash,
_publicInput
);
// 調用 STARK 驗證合約
uint256 gasBefore = gasleft();
(bool success, ) = starkVerifier.call(verificationInput);
uint256 gasUsed = gasBefore - gasleft();
require(success, "STARK verification failed");
// 標記為已驗證
config.verified = true;
verifiedComputations[_computationId] = true;
emit ComputationVerified(_computationId, true, gasUsed);
return true;
}
/**
* @dev 批量驗證多個計算
* @param _computationIds 計算 ID 列表
* @param _proofs 證明列表
* @param _publicInputs 公開輸入列表
*/
function batchVerify(
bytes32[] calldata _computationIds,
bytes[] calldata _proofs,
bytes32[][] calldata _publicInputs
) external returns (bool[] memory results) {
require(
_computationIds.length == _proofs.length &&
_proofs.length == _publicInputs.length,
"Length mismatch"
);
results = new bool[](_computationIds.length);
for (uint256 i = 0; i < _computationIds.length; i++) {
try this.verifyComputation(
_computationIds[i],
_proofs[i],
_publicInputs[i]
) returns (bool result) {
results[i] = result;
} catch {
results[i] = false;
}
}
}
}3.2 AI 模型推理驗證
ZK-STARKs 的一個新興應用場景是 AI 模型推理的鏈上驗證。在這個應用中,AI 模型在鏈下執行推理,產生一個 STARK 證明來證明推理結果的正確性。鏈上的智慧合約只需要驗證這個證明,就可以確認推理結果是可信的,而不需要自己執行昂貴的 AI 推理。
這種架構有幾個重要的應用場景:去中心化 AI 市場(模型提供者可以證明自己確實執行了推理);鏈上遊戲(遊戲邏輯可以在鏈下執行,用 STARK 證明結果的正確性);預言機(可以證明數據處理的正確性);信用評估(可以在保護用戶隱私的前提下驗證信用評估結果)。
以下是 AI 模型推理驗證的完整實現框架:
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.19;
/**
* @title ZKML Inference Verifier
* @dev 基於 ZK-STARKs 的 AI 模型推理驗證合約
*
* 這個合約實現了 ZKML 的鏈上驗證:
* - 驗證 AI 模型推理結果的正確性
* - 不需要透露模型參數或輸入數據
* - 支援多種模型類型
*/
contract ZKMLInferenceVerifier {
// 註冊的模型
struct Model {
bytes32 modelHash; // 模型內容的哈希
string modelType; // 模型類型(如 "neural_network", "random_forest")
uint256 version; // 版本號
bool active; // 是否啟用
}
mapping(bytes32 => Model) public registeredModels;
// 推理記錄
struct InferenceRecord {
bytes32 modelId;
bytes32 inputHash;
bytes32 outputHash;
uint256 timestamp;
bool verified;
}
mapping(bytes32 => InferenceRecord) public inferenceRecords;
// STARK 驗證器地址
address public starkVerifier;
// 事件
event ModelRegistered(bytes32 indexed modelId, string modelType, uint256 version);
event InferenceRequested(bytes32 indexed inferenceId, bytes32 modelId);
event InferenceVerified(bytes32 indexed inferenceId, bool result);
constructor(address _starkVerifier) {
starkVerifier = _starkVerifier;
}
/**
* @dev 註冊 AI 模型
* @param _modelId 模型 ID
* @param _modelHash 模型內容哈希
* @param _modelType 模型類型
*/
function registerModel(
bytes32 _modelId,
bytes32 _modelHash,
string calldata _modelType
) external {
require(registeredModels[_modelId].version == 0, "Model already registered");
registeredModels[_modelId] = Model({
modelHash: _modelHash,
modelType: _modelType,
version: 1,
active: true
});
emit ModelRegistered(_modelId, _modelType, 1);
}
/**
* @dev 驗證模型推理結果
* @param _inferenceId 推理 ID
* @param _modelId 模型 ID
* @param _inputHash 輸入數據哈希
* @param _outputHash 輸出數據哈希
* @param _proof STARK 證明
* @param _publicInput 公開輸入
*/
function verifyInference(
bytes32 _inferenceId,
bytes32 _modelId,
bytes32 _inputHash,
bytes32 _outputHash,
bytes calldata _proof,
bytes32[] calldata _publicInput
) external returns (bool) {
// 驗證模型是否存在且啟用
Model storage model = registeredModels[_modelId];
require(model.active, "Model not found or inactive");
// 記錄推理
inferenceRecords[_inferenceId] = InferenceRecord({
modelId: _modelId,
inputHash: _inputHash,
outputHash: _outputHash,
timestamp: block.timestamp,
verified: false
});
emit InferenceRequested(_inferenceId, _modelId);
// 準備驗證輸入
bytes memory verificationData = abi.encode(
_inferenceId,
model.modelHash,
_inputHash,
_outputHash,
_publicInput
);
// 調用 STARK 驗證
(bool success, ) = starkVerifier.call(verificationData);
require(success, "STARK verification failed");
// 更新記錄
inferenceRecords[_inferenceId].verified = true;
emit InferenceVerified(_inferenceId, true);
return true;
}
/**
* @dev 查詢推理記錄
* @param _inferenceId 推理 ID
* @return 推理記錄
*/
function getInferenceRecord(bytes32 _inferenceId) external view returns (InferenceRecord memory) {
return inferenceRecords[_inferenceId];
}
}第四章:ZK 電路開發實戰
4.1 Circom 電路設計基礎
Circom 是最流行的 ZK 電路開發框架之一,廣泛用於構建 ZK-SNARKs 應用。本節介紹如何使用 Circom 編寫實際的 ZK 電路,這些電路可以與上述智慧合約配合使用。
Circom 電路使用一種特定的領域語言(DSL)編寫,編譯後生成 R1CS(Rank-1 Constraint System)格式的約束系統。以下是一個完整的範圍證明電路:
// range_proof.circom
// 範圍證明電路:證明輸入值在指定範圍內,但不透露具體值
pragma circom 2.0.0;
include "circomlib/bitify.circom";
include "circomlib/switcher.circom";
/**
* 範圍證明電路
*
* 輸入:
* - in: 要證明的值
* - range: 範圍上限(2^range 表示最大可表示範圍)
*
* 輸出:
* - out: 如果值在範圍內為 1,否則為 0
*/
template RangeProof(range) {
signal input in;
signal output out;
// 將輸入轉換為二進制
component num2bits = Num2Bits(range);
num2bits.in <== in;
// 計算二進制表示的和(應該等於原始值)
signal sum;
sum <== num2bits.out[0];
for (var i = 1; i < range; i++) {
sum <== sum + num2bits.out[i];
}
// 驗證和等於輸入(這確保了位數正確)
// 如果有任何位溢出,約束會失敗
sum === in;
// 輸出始終為 1(表示驗證通過)
out <-- 1;
}
/**
* 抵押率驗證電路
*
* 證明:collateral / debt >= minRatio
*
* 所有值都放大 100 倍以避免浮點數
*/
template CollateralRatioProof() {
// 輸入信號
signal input collateral; // 抵押品價值(放大 100 倍)
signal input debt; // 債務金額(放大 100 倍)
signal input minRatio; // 最低抵押率(放大 100 倍)
// 輸出信號
signal output ratioValid; // 是否滿足抵押率要求
// 計算實際抵押率
// ratio = (collateral * 10000) / debt
// 為了避免除法,我們使用乘法驗證
// collateral >= (debt * minRatio) / 10000
// collateral * 10000 >= debt * minRatio
signal leftSide;
signal rightSide;
leftSide <== collateral * 10000;
rightSide <== debt * minRatio;
// 驗證抵押率
component gte = GreaterEqThan(252);
gte.in[0] <== leftSide;
gte.in[1] <== rightSide;
ratioValid <== gte.out;
}
/**
* Merkle 證明驗證電路
*
* 證明某個葉子節點是 Merkle 樹的成員
*/
template MerkleProof(levels) {
signal input leaf;
signal input pathElements[levels];
signal input pathIndices[levels];
signal output root;
// 初始哈希為葉子
signal hash[levels + 1];
hash[0] <== leaf;
// 沿路徑驗證
for (var i = 0; i < levels; i++) {
signal left;
signal right;
// 根據路徑索引選擇左右順序
component switcher = Switcher();
switcher.in[0] <== hash[i];
switcher.in[1] <== pathElements[i];
switcher.sel <== pathIndices[i];
left <== switcher.out[0];
right <== switcher.out[1];
// 計算下一層哈希(使用 Poseidon)
hash[i + 1] <== Poseidon(2)([left, right]);
}
root <== hash[levels];
}4.2 Noir 語言應用
Noir 是 Aztec Network 開發的 ZK 證明語言,提供更現代化的開發體驗。Noir 的語法類似 Rust,編譯後可以生成多種 ZK 證明系統的證明。以下是使用 Noir 編寫的隱私轉帳電路:
// main.nr
// Noir 隱私轉帳電路
// 定義電路的主要函數
fn main(
// 公開輸入
recipient: Field,
relayer: Field,
fee: Field,
merkle_root: Field,
// 私有輸入
secret: Field,
nullifier: Field,
path_elements: [Field; 16],
path_indices: [u2; 16]
) -> pub [Field; 3] {
// 計算承諾
let commitment = std::hash::pedersen_hash([secret, nullifier]);
// 計算 nullifier hash
let nullifier_hash = std::hash::pedersen_hash([nullifier, recipient]);
// 驗證 Merkle 證明
// 注意:這是一個簡化版本,生產環境需要完整的 Merkle 驗證
let computed_root = compute_merkle_root(commitment, path_elements, path_indices);
// 確保 Merkle 根匹配
assert(computed_root == merkle_root, "Invalid Merkle proof");
// 確保金額足夠支付費用
// 這裡假設金額是固定的(如 1 ETH)
let amount = 1000000000000000000 as Field; // 1 ETH in wei
assert(amount >= fee, "Insufficient amount for fee");
// 返回公開輸出
[merkle_root, nullifier_hash, recipient]
}
// 輔助函數:計算 Merkle 根
fn compute_merkle_root(
leaf: Field,
path_elements: [Field; 16],
path_indices: [u2; 16]
) -> Field {
let mut current = leaf;
for i in 0..16 {
let left = if path_indices[i] == 0 { current } else { path_elements[i] };
let right = if path_indices[i] == 0 { path_elements[i] } else { current };
current = std::hash::pedersen_hash([left, right]);
}
current
}第五章:部署與整合
5.1 ZK 驗證合約部署
將 ZK 電路部署到以太坊需要幾個關鍵步驟:電路編譯、可信設置、驗證金鑰生成、驗證合約部署。以下是完整的部署流程和程式碼:
// deploy.js
// ZK 驗證合約部署腳本
const { ethers } = require("hardhat");
const fs = require("fs");
const path = require("path");
async function main() {
console.log("開始部署 ZK 驗證合約...");
// 1. 部署驗證合約(使用預編譯的驗證器)
// 注意:這裡使用簡化的驗證器,實際項目需要根據具體電路生成
const Verifier = await ethers.getContractFactory("Groth16Verifier");
const verifier = await Verifier.deploy();
await verifier.deployed();
console.log(`驗證合約部署地址: ${verifier.address}`);
// 2. 部署應用合約
const PrivacyToken = await ethers.getContractFactory("PrivacyToken");
const privacyToken = await PrivacyToken.deploy(
ethers.utils.parseEther("1"), // denomination
verifier.address
);
await privacyToken.deployed();
console.log(`隱私代幣合約部署地址: ${privacyToken.address}`);
// 3. 保存部署配置
const config = {
network: network.name,
verifier: verifier.address,
privacyToken: privacyToken.address,
deploymentBlock: (await privacyToken.deployTransaction).blockNumber,
timestamp: new Date().toISOString()
};
fs.writeFileSync(
path.join(__dirname, "deployment-config.json"),
JSON.stringify(config, null, 2)
);
console.log("部署完成!");
console.log("配置已保存到 deployment-config.json");
}
main()
.then(() => process.exit(0))
.catch((error) => {
console.error(error);
process.exit(1);
});5.2 客戶端整合示例
前端客戶端需要生成 ZK 證明並提交到智慧合約。以下是完整的客戶端整合程式碼:
// client.js
// ZK 隱私轉帳客戶端程式碼
const snarkjs = require("snarkjs");
const circomlib = require("circomlib");
const { ethers } = require("ethers");
class ZKPrivacyClient {
constructor(contractAddress, verifierAddress, wasmPath, zkeyPath) {
this.contractAddress = contractAddress;
this.verifierAddress = verifierAddress;
this.wasmPath = wasmPath;
this.zkeyPath = zkeyPath;
this.contract = null;
}
async initialize(provider, signer) {
// 載入合約 ABI
const abi = [
"function deposit(bytes32 commitment, bytes32 encryptedNote) external payable",
"function withdraw(bytes proof, bytes32 root, bytes32 nullifierHash, address payable recipient, address payable relayer, uint256 fee) external"
];
this.contract = new ethers.Contract(
this.contractAddress,
abi,
signer
);
}
// 生成隨機承諾
generateCommitment() {
// 生成隨機隨機數
const secret = ethers.utils.randomBytes(32);
const nullifier = ethers.utils.randomBytes(32);
// 計算承諾
const commitment = circomlib.pedersenHash([
ethers.utils.bytesToHex(secret),
ethers.utils.bytesToHex(nullifier)
]);
return {
secret: ethers.utils.bytesToHex(secret),
nullifier: ethers.utils.bytesToHex(nullifier),
commitment: commitment
};
}
// 存款
async deposit(commitment, amount) {
const encryptedNote = ethers.utils.randomBytes(32);
const tx = await this.contract.deposit(
commitment,
"0x" + Buffer.from(encryptedNote).toString("hex"),
{
value: ethers.utils.parseEther(amount)
}
);
return await tx.wait();
}
// 生成花費證明
async generateSpendProof(commitment, secret, nullifier, merkleProof, recipient, relayer, fee) {
// 準備輸入
const input = {
// 公開輸入
root: merkleProof.root,
nullifierHash: circomlib.pedersenHash([
nullifier,
recipient
]),
recipient: BigInt(recipient),
relayer: BigInt(relayer || ethers.constants.AddressZero),
fee: BigInt(fee || 0),
// 私有輸入
secret: BigInt(secret),
nullifier: BigInt(nullifier),
pathElements: merkleProof.pathElements,
pathIndices: merkleProof.pathIndices
};
// 生成證明
const { proof, publicSignals } = await snarkjs.groth16.fullProve(
input,
this.wasmPath,
this.zkeyPath
);
return { proof, publicSignals };
}
// 提款(隱私轉帳)
async withdraw(proof, merkleRoot, nullifierHash, recipient, relayer, fee) {
// 轉換證明格式
const formattedProof = [
proof.pi_a[0],
proof.pi_a[1],
proof.pi_b[0][0], proof.pi_b[0][1],
proof.pi_b[1][0], proof.pi_b[1][1],
proof.pi_c[0], proof.pi_c[1]
];
const tx = await this.contract.withdraw(
formattedProof,
merkleRoot,
nullifierHash,
recipient,
relayer || ethers.constants.AddressZero,
fee || 0
);
return await tx.wait();
}
}
// 使用示例
async function example() {
const client = new ZKPrivacyClient(
"0x...", // 合約地址
"0x...", // 驗證器地址
"./circuit.wasm",
"./circuit_0000.zkey"
);
// 初始化
const provider = new ethers.providers.JsonRpcProvider("http://localhost:8545");
const signer = provider.getSigner();
await client.initialize(provider, signer);
// 生成承諾
const { secret, nullifier, commitment } = client.generateCommitment();
// 存款
console.log("正在存款...");
await client.deposit(commitment, "1");
// 模擬 Merkle 證明(實際需要完整的 Merkle 樹實現)
const merkleProof = {
root: "0x...",
pathElements: new Array(16).fill(0),
pathIndices: new Array(16).fill(0)
};
// 生成花費證明
console.log("正在生成證明...");
const recipient = await signer.getAddress();
const { proof } = await client.generateSpendProof(
commitment,
secret,
nullifier,
merkleProof,
recipient,
ethers.constants.AddressZero,
0
);
// 提款
console.log("正在提款...");
const nullifierHash = circomlib.pedersenHash([
nullifier,
recipient
]);
await client.withdraw(
proof,
merkleProof.root,
nullifierHash,
recipient,
ethers.constants.AddressZero,
0
);
console.log("隱私轉帳完成!");
}結論
本文詳細介紹了 ZK-SNARKs 和 ZK-STARKs 兩大主流零知識證明系統在以太坊上的實際應用案例。從隱私交易到身份驗證,從批量轉帳到 AI 模型推理驗證,這些應用展示了 ZK 技術在區塊鏈領域的廣泛適用性。
關鍵要點回顧:ZK-SNARKs 適合需要小證明大小和快速驗證的場景,如隱私交易和身份驗證;ZK-STARKs 適合需要無可信設置和量子抵抗的場景,如大規模計算驗證和 AI 推理驗證;完整的 ZK 應用需要電路設計、智慧合約和客戶端程式的緊密配合;選擇合適的開發框架(Circom、Noir 等)可以大幅提高開發效率。
隨著 ZK 技術的持續成熟和以太坊生態系統的發展,我們預期將看到更多創新的 ZK 應用場景。開發者應該密切關注這個快速發展的領域,並積極探索如何將 ZK 技術整合到自己的項目中。
相關文章
- 以太坊零知識證明 DeFi 實戰程式碼指南:從電路設計到智慧合約整合 — 本文聚焦於零知識證明在以太坊 DeFi 應用中的實際程式碼實現,從電路編寫到合約部署,從隱私借貸到隱私交易,提供可運行的程式碼範例和詳細的實現說明。涵蓋 Circom、Noir 開發框架、抵押率驗證電路、隱私交易電路、Solidity 驗證合約與 Gas 優化策略。
- Circle STARK 完整技術指南:密碼學原理、效能優化與應用實踐 — Circle STARK 是 Circle 公司在零知識證明領域的重要貢獻,為金融應用提供了一個高效、合規、易用的 STARK 實現。本指南深入解析 Circle STARK 的密碼學基礎、架構設計、效能特性,並探討其在以太坊生態中的實際應用場景,包括隱私支付、身份驗證、DeFi 隱私應用等。
- 隱私 AMM 完整技術指南:機制設計、隱私保護與實踐案例 — 隱私 AMM 透過密碼學技術實現交易隱私,同時保持 AMM 的去中心化特性。本指南深入分析隱私 AMM 的技術原理、主要實現方案(Aztec、Railgun、Penumbra)、實際應用案例,以及未來的發展趨勢。涵蓋佩德森承諾、範圍證明、零知識證明等關鍵技術。
- 零知識證明完整技術指南:從基礎密碼學到以太坊應用實踐 — 零知識證明是現代密碼學最革命性的發明之一,允許一方在不透露任何額外信息的情況下向另一方證明某陳述的正確性。本文深入探討零知識證明的數學基礎、主流技術方案(zk-SNARKs、zk-STARKs、PLONK)、以及在以太坊生態系統中的實際應用,包括 ZK Rollup 技術架構、隱私保護應用與開發實踐。我們將從密碼學原語出發,逐步構建完整的零知識證明知識體系。
- ZKML 與以太坊整合深度技術分析:零知識證明在機器學習領域的革命性應用 — 零知識證明與機器學習的結合(ZKML)正在區塊鏈領域引發深刻變革。本文全面分析 ZKML 的技術原理、在以太坊上的實現方式、主要應用場景和未來發展趨勢。從去中心化 AI 市場到隱私保護預測市場,從模型驗證到推理認證,我們提供詳實的技術細節和實踐建議。
延伸閱讀與來源
- Ethereum.org Developers 官方開發者入口與技術文件
- EIPs 以太坊改進提案
這篇文章對您有幫助嗎?
請告訴我們如何改進:
0 人覺得有帮助
評論
發表評論
注意:由於這是靜態網站,您的評論將儲存在本地瀏覽器中,不會公開顯示。
目前尚無評論,成為第一個發表評論的人吧!