前言

TornadoCash是加密货币世界中最著名的匿名交易服务。TornadoCash利用ZKP（Zero-Knowledge Proof）技术来隐藏资金来源。美国政府主张这样的机制助长了非法金流活动，最终在2022 年8 月被美国财政部制裁而被迫下架。隐私保护和洗钱活动在很多情况下似乎总是紧密相连。在追求隐私的同时，不法分子往往利用这些隐私特性进行非法资金清洗。是否能找到一种方法，既能让人们拥有隐私，又能有效遏制洗钱活动？TornadoCash 早期开发者ameen.eth的Privacy-Pools或许给出了一个方向。（关于下架的部分只有前端网站和GitHub Repository 受到影响，合约部份因在区块链上则不受影响。最后在电子前哨基金会的争取之下GitHub 有恢复Repository，详情可以参考这）

简介TornadoCash 原理

在介绍Privacy-Pools 之前，需要先理解TornadoCash 相关的设计原理。详细介绍可以参考我之前的文章「Breaking Down TornadoCash: A Beginner's Guide to Explaining its Functionality to Friends」。这边简单复习一下TornadoCash 的设计原理。

TornadoCash 使用收据（commitment）来控制访问权限。收据是由secret（秘密值）和nullifier（注销码）一起Hash 产生，每个收据只能提款一次。使用Merkle Tree （杂凑树）记录存款信息，将收据作为leaf 节点并计算出Merkle Root （杂凑树根）。使用者只需提供leaf 到root 中间经过的数据，即可证明该数据是否Merkle Tree 的leaves 之一，也间接证明之前有存款资金到TornadoCash。使用Zero-Knowledge Proof 来隐藏存款来源，另外使用 nullifier 防止Double Withdrawal 攻击。

TornadoCash 的收据有两个含义

• 证明之前发送者有存入资金
• 确保每个接收者只能领取一次资金

“Proof-of-Innocence”

根据TornadoCash 设计的原理，只能知道领款的资金一定是来自之前的某笔存款的资金，但却不知道是来自哪一笔存款。这是不法份子使用TornadoCash 进行不法的洗钱活动的主要目的，也是美国政府为什么要监管TornadoCash 原因。若我们可以提出另外的Proof（ZKP），来证明领款时的资金不是来自拒绝清单的存款，是否就能证明这笔领款并非来自于不法份子，这就是“Proof-of-Innocence” （“无罪证明”）核心概念。

“Proof-of-Innocence” 概念可以分成两个方向

• 证明领款的资金是来自允许清单中存款的资金集合（允许清单）
• 证明领款的资金并没有来自拒绝清单的存款资金集合（拒绝清单）

  - 星际资讯
  
  免责声明：投资有风险，入市须谨慎。本资讯不作为投资建议。