Aztec 如何為以太坊帶來可程式化隱私？

公有區塊鏈對隱私的迫切需求

以太坊（Ethereum）與許多領先的公有區塊鏈一樣，是基於「透明性」這一基本原則運作的。每一筆交易、每一次智能合約交互以及每一個錢包餘額，預設情況下在帳本上都是公開可見且不可篡改的。雖然這種透明性在可審計性和無須信任（trustlessness）方面提供了無可爭議的好處，但同時也為在該生態系統中運行的個人、企業和去中心化應用程式（dApps）帶來了顯著的隱私挑戰。

請考慮以下後果：

• 金融監控： 你的整個交易歷史，包括消費習慣、投資決策和財務關聯對象，都暴露在任何人面前供其分析。這可能導致不必要的審查、針對性攻擊或基於財務活動的歧視。
• 搶先交易與 MEV（最大可提取價值）： 在交易場景中，老練的參與者可以觀察待處理的交易（例如大額交易或清算），並策略性地放置自己的交易，以犧牲他人利益為代價獲利。這是公開交易記憶體池（mempools）的直接後果。
• 同質性（Fungibility）的喪失： 如果某些加密資產因其鏈上歷史而變得「受污染」或與非法活動相關聯，它們可能會被交易所或服務商列入黑名單，從而導致其價值低於「乾淨」的資產。這破壞了貨幣作為同質化交換媒介的基本概念。
• 商業機密： 參與區塊鏈技術的企業在供應鏈物流、商業秘密和競爭策略方面需要保密，而這些在完全透明的環境中都無法維持。
• 個人數據洩露： 除了金融領域，處理敏感用戶數據（如醫療記錄或投票資訊）的 dApp 如果沒有底層的機密層，就無法保證隱私。

這些問題突顯了當前區塊鏈範式中的一個關鍵缺陷：缺乏強大且具備可編程性的隱私。雖然存在像混幣器（mixers）這樣的解決方案，但它們通常僅提供有限、非編程性的匿名性，並可能帶來監管風險。市場所需的是一個能夠選擇性地揭露或隱藏資訊，同時保持區塊鏈固有完整性和可驗證性的系統。這正是 Aztec 旨在解決的挑戰，它為以太坊強大的智能合約功能帶來了全新的機密維度。

Aztec 的核心主張：為以太坊提供可編程隱私

Aztec 的獨特之處在於它不僅提供交易隱私，還提供「可編程隱私」。這意味著機密性不是事後補救或附加組件，而是開發者可以直接整合到其智能合約和 dApp 中的核心功能。與僅能模糊同質化代幣交易流的簡單混幣器不同，Aztec 能夠實現：

• 任何資產的機密轉帳： 除了基本的 ETH 或 ERC-20 代幣外，Aztec 還可以促進任何資產的封裝版本（wrapped versions）進行私人轉帳，實現機密的價值交換。
• 隱私智能合約執行： 開發者可以構建 dApp，其合約的輸入、輸出，甚至是狀態轉換都保持機密，僅揭露驗證所絕對必需的資訊。
• 選擇性披露： 用戶和 dApp 開發者可以選擇「什麼」資訊在「何時」揭露給「誰」，而非採取全有或全無的隱私方案。這賦予了用戶對其數據的精細控制權。

這種能力為 Web3 開啟了新的邊界，允許在以太坊上創建真正私密的金融應用、身份解決方案、遊戲和企業案例，同時不犧牲去中心化和抗審查性的優勢。

技術基石：零知識證明

Aztec 可編程隱私的核心在於零知識證明（ZKPs）的複雜應用。ZKP 是一種加密協議，允許一方（證明者）向另一方（驗證者）證明某個陳述是真實的，而無需透露除該陳述真實性以外的「任何」資訊。Aztec 主要利用了兩類特定的 ZKP 技術：

zk-SNARKs 用於機密性與有效性

zk-SNARKs（簡明非交互式零知識知識論證）因其「簡明」的特性而特別適合 Aztec 的需求，這意味著證明文件體積小且可以被快速驗證。

• 機密性： 當用戶在 Aztec 上執行私人交易時，會生成一個 zk-SNARK。此證明在加密層面上證明了交易是有效的（例如，發送者有足夠的資金、交易格式正確），而無需透露具體的金額、發送者或接收者。公有區塊鏈只能看到證明，而看不到底層的機密數據。
• 狀態轉換： 對於隱私智能合約，zk-SNARKs 證明了合約狀態已根據其邏輯、基於機密輸入進行了正確的轉換，而不會暴露這些輸入或中間計算過程。

zk-Rollups 用於擴展性與批處理

雖然 zk-SNARKs 確保了隱私和有效性，但 zk-Rollups 則為高吞吐量的 Layer 2 解決方案提供了必要的擴展性。

• 批處理交易： Aztec 並非在以太坊 Layer 1 (L1) 上單獨處理每筆私人交易，而是將數百或數千筆這類機密交易打包到其 Layer 2 (L2) 的單個 Rollup 區塊中。
• 單一 L1 證明： 對於每個批次，會生成一個單一的聚合 zk-SNARK。此證明確認了該批次內的所有交易均在 L2 上有效且正確執行。
• 提交至 L1： 這個單一且緊湊的 zk-SNARK 連同壓縮後的狀態更新隨後被提交至以太坊 L1。以太坊的 L1 智能合約可以快速高效地驗證這單一證明，從而確認整批 L2 交易的有效性，而無需重新執行它們。這極大地減輕了 L1 的計算負荷和交易費用。

透過結合這兩種強大的 ZKP 技術，Aztec 實現了獨特的協同效應：交易既是私密的「又是」可擴展的，能在以太坊主網上高效驗證而不洩露敏感資訊。

Aztec 隱私層運作原理：深度解析

Aztec 作為 Layer 2 網絡運行，這是一個獨立於以太坊 Layer 1 但受其保護的執行環境。其架構專為促進機密操作而設計。

將資產跨鏈至 Aztec 網絡

要使用 Aztec 的隱私功能，資產（如 ETH 或 ERC-20 代幣）必須首先從以太坊 L1 「跨鏈」到 Aztec L2。這通常涉及將 L1 資產存入以太坊上的智能合約，該合約隨後會在 Aztec 網絡上鑄造一個等值的、封裝的且「機密」的資產代表。這些封裝資產通常被稱為「票據（Notes）」，是 Aztec 隱私生態系統中的基本價值單位。

機密票據（Confidential Notes）的概念

Aztec 不使用公開的帳戶餘額，而是採用類似未花費交易輸出（UTXO）的模型，將價值存儲在加密的「票據」中。

• 加密： 每張票據都包含資產類型、金額和接收者等資訊，但這些數據是加密的，僅票據所有者（或授權方）可以訪問。
• 所有權： 票據的所有權與特定的「查看金鑰（viewing key）」和「支付金鑰（spending key）」綁定。查看金鑰允許所有者解密並查看其票據，而支付金鑰則允許其使用或轉移票據。
• 隱私餘額： 用戶的總機密餘額是其所有未花費加密票據的總和。當用戶想要消費時，他們會選擇一組現有的票據並將其消耗，同時為接收者創建新的加密票據，並為自己創建找零票據。

這種基於票據的系統本質上打破了帳戶模型中常見的交易關聯性，顯著增強了隱私。

使用 Noir 開發隱私智能合約

Aztec 的願景不僅限於私人交易，還包括真正私密的去中心化應用程式。為了實現這一點，Aztec 開發了 Noir，這是一種用於編寫 zk-SNARK 電路的領域專用語言（DSL）。

• 抽象化 ZKPs： Noir 抽象掉了 zk-SNARKs 複雜的加密原語，允許開發者使用類似於許多程式語言的語法來編寫隱私邏輯。這極大地降低了構建隱私保護型 dApp 的門檻。
• 可編程隱私邏輯： 透過 Noir，開發者可以定義 dApp 邏輯的哪些部分是私密的、哪些輸入是機密的，以及哪些輸出是公開的。例如，一個匿名投票 dApp 可以使用 Noir 來證明用戶已投票，而無需透露他們「如何」投票，甚至是「誰」在投票，同時仍能確保只有授權用戶可以投票一次。
• 用於客戶端證明的 Rollup.js： 與 Noir 相輔相成的是 Rollup.js，這是一個 JavaScript 函式庫，允許用戶的瀏覽器或客戶端應用程式在本地生成 zk-SNARKs。這種客戶端證明機制至關重要：
  • 它保持了用戶數據的完全私密性，因為敏感資訊永遠不會離開用戶的設備。
  • 它減少了對中心化定序器（sequencers）進行證明生成的依賴，增強了去中心化。

Noir 和 Rollup.js 共同構成了一個強大的工具包，供開發者構建下一代隱私保護型 Web3 應用程式，直接在以太坊上實現機密計算。

Aztec 的金鑰管理

Aztec 採用了一套複雜的金鑰管理系統，以平衡隱私、易用性與安全性：

1. 以太坊私鑰： 這仍是你與 L1 交互（存款、提款）以及簽署訊息以授權 L2 行動的主金鑰。
2. Aztec 支付金鑰（Spending Key）： 由你的以太坊金鑰派生或獨立生成，此金鑰用於授權在 Aztec 網絡內使用或轉移你的機密票據。它是允許你「簽署」私人交易的金鑰。
3. Aztec 查看金鑰（Viewing Key）： 同樣由你的以太坊金鑰派生，此金鑰允許你解密並查看你在 Aztec 上的機密票據和交易歷史。這對於管理你的私人餘額和了解你的財務活動至關重要。它還支援選擇性披露，因為你可以根據需要將查看金鑰分享給審計師或監管機構。

這種多金鑰方法確保了雖然你的 L1 身份可能是公開的，但你的 L2 活動仍保持機密，並能精細控制誰可以查看和使用你的私人資產。

Aztec 交易流程：步進演示

讓我們說明一筆私人交易通常如何在 Aztec 網絡上展開：

1. 發起： 用戶（Alice）想要在 Aztec 上向另一名用戶（Bob）發送私人資產（例如 10 單位隱私 ETH）。她透過整合了 Aztec 的 dApp 或錢包發起此行動。
2. 票據選擇與消耗： Alice 的客戶端軟體識別出她未花費的機密票據，其總和等於或超過 10 單位隱私 ETH。這些票據被標記為待消耗。
3. 私人交易構建： 客戶端構建一筆私人交易，其內容包括：
   • 證明 Alice 擁有選定的輸入票據。
   • 為 Bob 創建一個包含 10 單位隱私 ETH 的新加密票據。
   • 如果輸入票據超過 10 ETH，則為 Alice 創建另一個新的加密票據（「找零」票據）。
   • 證明輸入之和等於輸出之和（價值守恆）。
4. 客戶端 ZKP 生成： 利用 Noir 電路和 Rollup.js，Alice 的客戶端生成一個 zk-SNARK。此證明在加密上證明了交易有效、遵循所有規則且她有權使用這些票據，而無需透露具體金額、發送者或接收者。
5. 提交至 Aztec 定序器： 生成的 zk-SNARK 連同加密的交易數據被提交至 Aztec 定序器（負責收集和排序交易的節點）。
6. 批處理與 Rollup： 定序器將來自不同用戶的多筆此類私人交易打包成一個大批次。隨後它會生成一個單一且涵蓋全局的 zk-SNARK，證明該批次內「所有」交易的有效性。這個過程即構成了「Rollup」。
7. L1 提交： 定序器將此單一聚合 zk-SNARK 和對 Aztec L2 狀態根（state root）的簡要更新提交至以太坊 L1 上的 Aztec 合約。
8. L1 驗證： 以太坊 L1 上的 Aztec 合約驗證該聚合 zk-SNARK。如果證明有效，L1 合約將更新 Aztec L2 狀態根，從而在以太坊上正式確認該批私人交易有效並最終結算。
9. 票據可用性： Bob 的客戶端在與 Aztec 網絡同步並使用其查看金鑰後，可以解密並看到包含 10 單位隱私 ETH 的新機密票據。他現在可以私下使用或轉移它。

在整個過程中，以太坊 L1 僅確認了交易的有效性，而從未得知機密細節。

Aztec 方案的核心特點與優勢

Aztec 對可編程隱私的實現提供了幾項獨特的優勢，解決了 Web3 生態系統中的關鍵需求：

• 增強的同質性： 預設情況下，所有轉移到 Aztec 的資產都會變為私密。這意味著單個交易歷史無法被追踪，確保了給定資產的所有單位都是不可區分的且具有同等價值，無論其過去如何。這恢復了在透明區塊鏈上經常喪失的健全貨幣（sound money）之關鍵屬性。
• 透過 zk-Rollups 實現擴展性： 除了隱私，Aztec 使用 zk-Rollups 極大地提高了交易吞吐量並降低了以太坊上的交易成本。透過將數千筆交易打包成單個 L1 證明，它使機密操作在日常使用中具備經濟可行性。
• 真正的可編程隱私： 與簡單的隱私解決方案不同，Aztec 允許開發者構建隱私深度整合至應用邏輯中的複雜 dApp。這為需要機密性的全新類別去中心化應用開啟了可能性，例如：
  • 隱私 DeFi： 機密兌換、借貸，而無需透露倉位或策略。
  • 隱私身份： 自主身份解決方案，用戶可以證明自身屬性而無需透露底層個人數據。
  • 機密投票： 可驗證且匿名的投票系統。
  • 企業區塊鏈： 具備商業保密性的供應鏈追蹤、公司間結算。
• 開發者友好的隱私工具 (Noir)： Noir 的引入顯著簡化了隱私智能合約的開發。開發者可以專注於應用邏輯而非 ZKPs 複雜的密碼學，從而加速隱私領域的創新。
• 用戶控制與選擇性披露： 用戶保留對其機密數據的最終控制權。他們可以選擇解密並查看自己的餘額，或透過分享查看金鑰選擇性地向特定對象（如審計師、監管機構）披露交易詳情，從而在不犧牲基礎隱私的情況下實現合規。
• 受以太坊保護： 作為 Layer 2 Rollup，Aztec 繼承了以太坊主網強大的安全性。所有 L2 操作的有效性都經過加密驗證並錨定在 L1，防止了欺詐性的狀態轉換。

Aztec 面臨的挑戰與考量

雖然 Aztec 為以太坊隱私描繪了令人信服的願景，但其技術與普及過程仍存在一些固有的挑戰與考量：

• ZKP 生成的計算開銷： 雖然 zk-SNARK 的驗證是簡明的，但生成這些證明可能耗費大量計算資源，特別是對於複雜電路而言。儘管 Rollup.js 支持客戶端證明，但這仍需要用戶設備具備一定的計算能力，這可能會影響低階硬體或處理極其複雜私人交易時的用戶體驗。
• 網絡效應與採用率： 與任何新的 Layer 2 一樣，Aztec 面臨著建立強大的用戶、開發者和 dApp 生態系統的挑戰。需要跨鏈流動性，並建立被廣泛採用的 dApp，網絡才能發揮其全部潛力。
• 去中心化與抗審查性： 雖然 Aztec 致力於去中心化，但定序器在打包交易並提交至 L1 中的角色需要仔細考量，以確保它們不會成為中心化的控制點或審查點。目前官方正在持續努力實現定序器角色的去中心化。
• 對隱私方案的監管審查： 隱私保護技術，特別是在金融領域，常因對非法活動的擔憂而吸引監管關注。Aztec 的選擇性披露功能旨在解決這一問題，但監管環境仍在演變，合規性仍是機構採用的關鍵考量。
• 可審計性與偵錯： 交易和智能合約狀態固有的機密性，可能使得審計和偵錯比完全透明的系統更複雜。這需要專門的工具和方法論來確保隱私 dApp 的正確性和安全性。

Aztec 對 Web3 隱私未來的願景

Aztec 代表了邁向更成熟且具包容性的 Web3 生態系統的重要一步。其可編程隱私框架為未來奠定了基礎：

• 金融應用預設真正私密，允許個人和機構參與複雜的 DeFi 策略，而無需暴露其完整的財務足跡。
• 數位身份解決方案賦能用戶，讓他們能證明身份的某些方面，而無需過度分享敏感個人資訊，營造更安全、更受尊重的線上體驗。
• 企業級區塊鏈解決方案可以在以太坊上構建，實現滿足監管和商業保密要求的機密業務流程與數據共享。
• 與其他 L2 和 L1 的互操作性擴展，允許隱私資產和邏輯在更廣泛的區塊鏈景觀中無縫互動，創建一個凝聚的機密計算層。

透過提供強大、可擴展且開發者友好的隱私方案，Aztec 不僅僅是在為以太坊添加一個可選功能；它正在重塑網絡的核心能力，努力確保在數位時代，去中心化和抗審查性的益處能與基本的隱私權並行不悖。