图 1 在 etherescan 上公开的交易细节
我们还可以查看 0 x 3A 4 D...a 6 f 2 地址下的所有交易记录(如图 2 所示),如果条件允许,还可以推测出此地址在现实世界中的真实身份。
图 2 特定地址的所有交易列表在 etherescan 上是公开的
然而,DeFi 的数据透明度可能会带来一些不利影响。如果你是一个 DeFi 巨鲸,你的每一笔交易都可能会引起市场的关注,比如,当某巨鲸从币安提取1124 万枚 WOO(约合 420 万美元),这笔交易就会引起广泛关注。同样,任何大额支付或机构级的交易行为,也可能引发公众的广泛关注。
市场的其他参与者可能会根据这些交易行为作出买卖决策,从而对你的投资策略产生不利影响。比如,你在某个项目中投入了大量资金,但一旦你的交易被市场察觉,其他投资者可能会紧随其后,导致资产价格上涨,进而增加你的投资成本。此外,你的售出操作也可能引发市场恐慌,导致价格下跌,影响你的投资回报。
这种情况突显了 DeFi 项目和用户对隐私保护的迫切需求。如果我们不希望自己的交易细节被公众知晓,可以选择让 DeFi 交易的某些信息保持私密。
ZK 技术在隐藏交易细节的同时,能确保交易的合法性。用户需要提交两类信息:一是部分隐藏细节(如交易接收方或金额)的交易(即隐私交易),二是关于这些隐藏信息的 ZK 证明。验证一个隐私交易的合法性,实际上是在验证相应的 ZK 证明。
三、解锁 DeFi 潜力:ZK 技术带来的机遇3.1 ZK 技术在抵御抢跑交易中的作用假设你有幸得知一家大公司即将购买大量的某种资产,你可能会选择先于这家公司购入这种资产。然后,当这家公司的大量购买行为推高了资产价格后,你再将其卖出,从而获取利润。在这种情况下,你先于大公司进行的交易就构成了抢跑交易。
抢跑交易是一种在金融交易中的投资策略,通常发生在交易所中,比如 Uniswap。这是因为在区块链中的交易是公开的,而且交易确认需要一定的时间。因此,一些恶意的交易者可能会通过提高交易 Gas 费用,让自己的交易优先于其他人的交易被挖矿确认,以此来达到抢跑交易的目的。
抢跑交易会给其他的交易者造成损害,因为它改变了原本的交易环境,使得其他交易者的交易可能无法按照原计划进行。另一方面,攻击者发起抢跑交易的目的也是为自己牟利,他们可以在价格变动前获取利润。因此,很多 DeFi 项目也在尝试通过各种方式来防止抢跑交易的发生。
ZK 技术在抵御抢跑交易中可以发挥关键作用。以下,以去中心化交易所(Decentralized Exchange,简称 DEX)中的三明治攻击为例,这也是一种常见的抢跑交易类型,进行案例分析。
3.1.1 案例分析:DEXs 中的三明治攻击
什么是三明治攻击?
假设在一个 DEX 上,有一个流动性池,其储备状态为 100 ETH / 300, 000 USDT。 Alice 发起了一笔购买 USDT 的交易,即以 20 ETH 交换 USDT。当她提交交易时,DEX 会根据当前流动性池的储备状态返回一个结果,告诉 Alice 可以买到大约 50, 000 USDT。但实际上 Alice 最后只拿到了 45, 714 USDT。
这里,我们先来简单了解一下为什么 Alice 能够用 20 ETH 购买到 50, 000 USDT。该 DEX 采用了自动做市商模式(Automated Market Maker ,简称 AMM),通过恒定乘积做市商算法(Constant Product Market Maker,简称 CPMM)自动计算买卖价格。CPMM 是目前普及度较高的自动做市商算法,通过保持交易池中两种资产乘积的恒定,以实现流动性供应并自动调整资产价格。在这个例子中,通过公式 50, 000 = 300, 000-( 100* 300, 000)/( 100+ 20)(假设没有手续费)计算出 Alice 能够买到的 USDT 的数量。
Alice 并没有买到预期数量的 USDT,这是因为她遭到了三明治攻击。
三明治攻击主要发生在基于 AMM 的 DEXs 中。在三明治攻击中,攻击者在受害者的常规交易周围放置两笔交易以操纵资产价格并从受害者的损失中获利。这两笔交易分别是抢先交易和追单交易,常规交易之前的交易被称为抢先交易,常规交易之后的交易被称为追单交易。
那么,Alice 遭到的三明治攻击到底是如何进行的呢?如图 3 所示。
图 3 三明治攻击流程
1. 攻击者的抢先交易:在 Alice 发起的购买 USDT 的交易被执行之前,攻击者也发起了一笔购买 USDT 的交易(抢先交易),即以 5 ETH 交换 USDT。而且,攻击者为这笔交易支付给矿工的 gas 费高于 Alice,所以,攻击者的这笔交易会先于 Alice 被执行。
2. 攻击者购买 USDT 的交易执行后,他从流动性池中拿到了大约 14, 286 USDT, 14, 286 ≈ 300, 000-( 100* 300, 000)/( 100+ 5)。流动性池的储备从初始状态的 100 ETH / 300, 000 USDT 变为 105 ETH / 285, 714 USDT。但是,Alice 在提交交易到她的交易被执行这段时间内,并不知道流动性池的储备状态发生了改变。
3. 受害者的常规交易:随后,Alice 的常规交易开始执行。
4. Alice 购买 USDT 的交易被执行后,她从流动性池中拿到了 45, 714 USDT(根据恒定乘积函数, 45, 714 ≈ 285, 714-( 105* 285, 714)/( 105+ 20))。流动性的储备状态从 105 ETH / 285, 714 USDT 变为 125 ETH / 240, 000 USDT。所以,Alice 用 20 ETH 本应该能买 50, 000 USDT,现在却因为攻击者的交易使流动性池发生的改变,只能买 45, 714 USDT。Alice 亏损了大约 4286 USDT(4286 = 50, 000-45, 714 )。
5. 攻击者的追单交易:最后,攻击者再次发起一笔交易(追单交易),即以 14, 286 USDT 交换 ETH(这 14, 286 USDT 是刚才买的)。
6. 攻击者的追单交易被执行后,他从流动性池拿出了 7 ETH(定乘积函数, 7 ≈ 125-( 125* 240, 000)/( 240, 000+ 14, 286))。流动性池的储备状态从 125 ETH / 240, 000 USDT 变为 118 ETH / 254, 286 USDT。所以,攻击者一开始只是花费了 5 ETH,最后却拿到了 7 ETH,获得了 2 ETH 的收益(2 = 7-5)。
在整个三明治攻击的流程中,攻击者总共发起了两笔交易,即抢先交易和追单交易。抢先交易使 Alice 亏损了大约 4286 USDT。抢先交易和追单交易的组合,使攻击者盈利了 2 ETH。
在 DEXs 中,交易的公开性是导致三明治攻击出现的一个关键因素,尤其是在 AMM 协议中。这些协议将 DEXs 上的实时交易信息公之于众,这种高透明度为攻击者提供了可能,他们可以通过观察和分析交易流动,以便找寻机会进行三明治攻击。
3.1.2 ZK 技术可以抵抗三明治攻击
ZK 技术的应用可以显著减少受到三明治攻击的可能性。通过使用 ZK 技术隐藏交易量、资产种类、用户或流动性池余额、用户身份、交易指令及其他协议相关信息,可以有效提升交易数据的隐私性。这样一来,攻击者难以获得完整的交易信息,从而使得三明治攻击的实施更加困难。
此外,ZK 技术不只能抵御三明治攻击,基于 ZK 的隐私交易还能增加对用户行为模型判断的难度。任何第三方尝试通过收集区块链数据来分析账户历史交易、推断行为模式、探寻活跃周期、交易频率或偏好等,都将面临挑战。这种分析被称为行为模型推断,不仅侵犯用户隐私,还可能为蜜罐攻击和网络钓鱼诈骗铺平道路。
3.2 基于 ZK 技术防止流动性操纵流动性操纵和抢跑交易都是 DeFi 中的攻击方式,这两种攻击方式都涉及到利用市场信息和交易速度来获取利益,但是它们的具体策略和操作方式是不同的。
抢跑交易是利用信息优势,而流动性操纵是利用市场活动来误导其他交易者。前者主要通过获取并利用未公开的重要信息来获利,而后者则是通过创造虚假的市场活跃度来误导其他投资者,使他们做出不利的交易决策。
ZK 技术不仅可以在抵御抢跑交易中发挥关键作用,它也可以助力于防止流动性操纵。
3.2.1 案例分析:利用预言机进行流动性操纵
假设你正在一个繁忙的水果市场购买苹果。市场的价格通常会根据供应和需求的变化而浮动。你通常会观察一段时间的价格,然后根据平均价格来决定是否购买。现在想象有一个非常富有的买家进入市场,并且他非常想要购买苹果。他开始大量购买苹果,不在乎价格如何。这会导致苹果的价格短时间内暴涨。如果你仍然根据这个价格购买苹果,你就可能会付出比实际价值更高的价格。
这个例子可以更好地理解 TWAP(Time-Weighted Average Price,时间加权平均价格)预言机的工作原理和流动性操纵的概念。根据平均价格决定购买苹果的行为类似于 TWAP 预言机的操作,富商大量购买苹果导致价格上涨则类似于流动性操纵。
TWAP 预言机通过计算一段时间内的平均交易价格确定资产价格。交易的时间越近,对平均价格的影响越大。如果有人短期内进行大量交易或用大量资金交易,可能大幅影响资产的平均价格,这就是流动性操纵。流动性操纵会人为抬高或压低资产价格,导致价格信息不准确。如果有人想利用 TWAP 预言机故意提高资产价格,他可以短期内用大量资金购买该资产,使价格短暂上涨。如果在这个时间窗口内,资产价格出现了显著的增加,TWAP 预言机可能会将这个较高的价格视为资产价格。
对 TWAP 预言机实施流动性操纵会对 DeFi 协议产生重大影响,尤其是流动性较低的新兴代币。这些 DeFi 协议通常会根据资产的价格来做出财务决策,比如清算、借贷等。如果价格信息不准确或不可靠,就可能导致错误的决策,从而给用户带来损失。因此,防止 TWAP 预言机受到流动性操纵是至关重要的。
3.2.2 ZK 技术可以抵抗流动性操纵
基于 ZK 技术可以抵抗 TWAP 预言机当中的流动性操纵。可以设计一个智能合约,使其依赖于 TWAP 预言机来获取资产价格。如果攻击者进行了流动性操纵行为,从 TWAP 预言机获取的价格可能会超出预设的可接受范围。在这种情况下,该合约将会暂时停止其操作。然后,它将基于 ZK 技术重新计算并确认资产价格。
要想使用 ZK 技术计算资产价格,首先需要向 TWAP 预言机添加一个包装合约(wrapper contract)。该合约可以直接访问 N 个价格报告,或者记录价格在任意间隔的 N 个检查点值。一旦给定间隔内有 N 个数据点可用,就可以构建 ZK 证明来证明未排序价格数组的中位数(the median of the unsorted array of prices)。未排序价格数组被标记为列向量 x,长度是 N。以下是基于 ZK 技术计算资产价格的过程:
1. 证明可以用以下两种方式中的任一种进行验证,无论哪种情况,证明者都不能任意选择一个价格数组作为输入。
- 从合约存储中检索数组值,并将其作为公开输入用于链上验证器;
- 通过哈希函数逐步形成哈希链,将数组表示为单个哈希值,并在链上验证器中使用该值。
