Manta 創始人 Shumo：從 Tornado Cash 事件看鏈上隱私的未來

作者：Shumo Chu，Manta Network

8月8日，美國財政部外國資產控制辦公室(OFAC)將 Tornado.cash 及其關聯以太坊地址加入"特別指定國民名單"（SDN）；

8月10日，一名 Tornado.cash 開發者在阿姆斯特丹被荷蘭財政信息和調查服務局（FIOD）逮捕；

OFAC 公告發出不久，Tornado.cash 開發者 Roman Semenov 發推稱其 Github 代碼已被微軟禁止訪問。緊接著，Tornado.cash 以及受制裁地址遭到 Aave、dydx 等 DeFi 協議，Infura 等 RPC 提供商以及 Circle 等穩定幣發行商封殺。

Tornado.cash 是什麼？它的工作原理如何？

Tornado.cash 是一款 ETH 和 ERC20代幣的混幣器，它允許用戶將 ETH/ERC20 存入混幣池中，並在未來可以提取出相同數量的代幣。

以下為其工作原理：

存入：用戶可存入固定數額的代幣（簡單起見，圖中我們以0.1ETH為例，Tornado.cash 也有 1ETH, 10 ETH, and 1,000 ETH 幾個級別），然後拿到一個獨一無二的秘密存款證明。存入操作後，0.1ETH 就從用戶的錢包賬戶轉到了 Tornado.cash 在以太坊上的合約地址。

提取：用戶在 Tornado.cash dApp 中輸入他的存款證明後可將 0.1ETH 提取到一個全新的地址。其背後的原理是 Tornado.cash dApp 用這個秘密存款證明生成一個零知識證明來驗證存款的有效性。然後，Tornado.cash 的合約在鏈上對這個零知識證明進行驗證。由於零知識證明的可驗證性，雙花或惡意提取是不可能發生的。同時由於零知識證明的零知識特性，當用戶向一個新地址提款，存入和提取地址之間的聯繫會受到 Tornado.cash 合約混幣池和零知識證明的保護。

誰在使用 Tornado.cash?

將 Tornado.cash 視為"駭客的洗錢工具"是一種固定偏見，我認為這種偏見主要來自媒體的"有色"報導：當駭客使用 Tornado.cash 來隱匿被盜資產時，這種新聞常常見諸報端；然而完全合法合理的 Tornado.cash 用途媒體卻鮮有報導。

我們來看下 Chainanalysis 對於 Tornado.cash 用途的分析（來源）：

Tornado.cash 的資金來源中大約只有10.5%是被盜資產，而絕大多數資金的用途是 DeFi、中心化交易所轉帳以及防止被制裁等。事實上，在 Tornado.cash 被制裁消息公布後，很多用戶列舉了自己如何使用 Tornado.cash。比如，Vitalik 表示他會用 Tornado.cash 來進行匿名捐款：

鏈上隱私的未來

我們應該到達, 我們一定會到達
--- Crypto Hilbert (正是本人)

如果沒有隱私，整個 Web3就變得沒有意義。如果沒有隱私，Web3如何賦能個人權利（ individual's sovereignty ）？

未來方向1: 為普通用戶提供更好的產品，而不只是駭客

在一個無許可的系統中，很難完全阻止他人作惡。然而，我們應該首先為普通用戶構建更好的產品，而不只是駭客。這裡我想要引用@dankrad 的一條推文：

(有人想要做一款有使用限制的 Tornado 嗎？比如說，基於非機器人證明（PoH）每人每週最多可用額度為1000美刀。這樣對於普通用戶來說就是一款好的隱私產品，但對於洗錢來說就沒什麼用了)

對於普通用戶來說，Tornado.cash 的設計有兩點並不是很友好：

1.在 Tornado.cash Nova 上線前，用戶不得不存入固定面額的代幣 (0.1 ETH, 1ETH, 10 ETH, 100 ETH)，造成了很大的用戶體驗摩擦。

2. 基於 L1，Tornado.cash 需要消耗大量的 gas fee。在以太坊上一筆 Tornado.cash 存入需要消耗100萬 gas，這樣50 GWEI的情況下，費用約為 0.05 ETH, 100 GWEI 的話就需要 0.1 ETH，對於普通用戶來說並不友好。

幸運的是，這兩點都有不錯的技術解決方案。像 ZCash/Tornado.cash Nova/MantaPay 這樣的協議並不需要存入固定數額的代。而且通過在 L2 上部署隱私解決方案，甚至像 ZKOPRU 構建一條隱私專用 L2，gas 費的問題可以很大程度上得到解決。

未來方向2:更多隱私殺手級應用

隱私在 Web3 中的應用場景不僅僅限於將公開代幣鑄造為隱私代幣。事實上，從用戶角度來說，需要將公開代幣鑄造為隱私代幣來獲取隱私，同時需要贖回為公共代幣才能使用，這本身就是糟糕的產品體驗。一個正常的用戶應該能夠將隱私代幣本身應用在不同的 Web3 場景中。

(隱私應用場景, 出自 Manta CTO, Brandon Gomes )

事實上，在很多應用中，隱私都是必不可少，而非錦上添花，例如：

DeFi:金融隱私是最具有高價值的應用場景之一。很多用戶因為完全透明的交易記錄不會使用 DeFi。此外，隱私 DeFi 也可以一定程度上緩解 MEV 問題（完全解決 MEV 問題依舊是一個很難的研究課題）。

NFT:將 NFT 作為頭像是最大的隱私洩露來源（直接洩露公開地址和用戶身份）。隱私 NFT/隱私 NFT 競拍/基於 ZKP 的 NFT 所有權證明在保護隱私的同時也不會犧牲實用性。

DAO 工具: 作為人類未來的組織形式，DAO 工具領域是非常需要隱私的，比如，為了避免惡性競爭和針對投票者的打擊報復，我們需要隱私投票；為了保持組織的健康發展，需要隱私工資支付系統；內部匿名的反饋需要隱私消息板。類似有隱私需求的 DAO 工具還有很多很多。
互動鏈上遊戲: 如果一個遊戲是在鏈上進行，每個玩家都需要隱藏他真實的狀態，否則會造成巨大的 MEV 問題。如果我們想要在鏈上構建一個公開的元宇宙，隱私一定是必須的，而非可選項。

未來方向3: 有選擇、可配置的資產政策以及基於零知識證明的合規

隨著 Web3世界的發展，我們同樣需要構建更好的工具來讓加密資產發行方定制不同的資產政策，包括合規等。一個可能的方向是使用零知識證明來解決合規和用戶的主權隱私之間所存在的矛盾。

然而，想要構建一套合理的資產政策，Web3 資產發行方和監管者需要一起努力尋找合理兼具可執行性的資產政策。

毋庸置疑，Web3 隱私的未來需要結合以上所提到的所有方向，這也是我們團隊(manta.network) 正在努力的方向。