Nocturne 隐私账户抽象交易

V神最近参与投资了一个账户隐私相关的项目 Nocturne。nocturne于2022年开始创建，是一个隐私的抽象账户协议， 可以让用户在以太坊生态内匿名交易，首先支持以太坊，然后是2层网络。

Nocturne 采用隐形地址（Stealth Addresses), 为以太坊上的交易提供了更多的隐私。

Nocturne 合约允许用户存款到匿名地址中，随后通过零知识证明实现任意交易或匿名转账。例如，可以实现匿名Dex交易。

Nocturne目前还未上测试网。

协议的架构

主要分为存款和操作两个过程。

存款

存款主要是用户将资产存到Nocturne 合约之中，以便于后续隐私地操作。当前，为了降低非法资金的流入，用户资产需要首先存入Nocturne 的Deposit 管理合约中。然后，链下的参与者screener 会监控存入资产的合法性，然后生成一个签名，表示允许存款。

screener 目前由项目方管理，未来可能以去中心化方式运行。

操作

用户的资金会存入到Nocturne 的 Teller 合约中，然后用户可以通过 Treller 合约构建一些操作operations， 由Handler 合约执行。例如，执行一笔匿名的Dex交易。

合规性

为了防止非法洗钱等一些非法犯罪活动，Nocturne 会过滤或限制一些高风险的存款，通过Deposit Manager 合约实现。未来也会引入 Proof of Innocence 机制。

基本概念

私钥有两种：viewing key 和 spending key， viewing key 由spending key 派生而来。

• spending key 主要用来授权使用用户的资产；
• viewing key: 主要用来追踪用户的交易。

通过viewing key 可以派生用户的规范地址canonical address， 规范地址可以源生出一次使用的隐私地址stealth address。 隐私地址可以通过随机化re-andomize 派生出新的隐私地址。

Nocturne 类似于Zcash， 引入了Notes, Commitment Tree, Nullifiers, JoinSplits 的概念。

Note: 类似于有一定面值的钞票，主要有三部分：

• owner: 通过隐私地址标记的所有者；
• asset：资产的类型，可以是ERC20， ERC721, 或者ERC1155;
• value: 资产的金额。

Note commitment 表示note 的Hash, 即。

Note commitment Tree： 由Note commitment 作为叶子节点构成的树，由Handler 合约维护。

Nullifers : 在使用note的时候，用户需要同时使用viewing key 和 spending key， spending key 主要用来授权签名，viewing key 用来生成nullier。 每个note 都有唯一对应的nullifier, 用来防止双花。

JoinSplits: Note 的使用通过 JoinSplit 操作，它会花掉两个Note， 暴露两个Nullifiers, 并生成两个新Notes，还可以附带公开的输出。

子树更新插入

直接向承诺树插入叶子节点需要消耗大量的gas， 为了降低gas， 引入子树的更新的指插入技术，即采用ZKP 技术：

• 在链上，每个插入被入到一个queue 阶列中；
• 当这个队列获取到至少16个元素时，可以从队列中批量取出；
• 链下的角色subtree updater 会生成并提交ZKP， 以更新承诺树；
• 合约验证证明后，会更新承诺的的新状态根newRoot。

JoinSplit 电路

JoinSplit电路需要满足以下约束条件：

• 所有输入的note在承诺树上存在；
• 用户拥有所输入的note；
• 所有四个note的资产类型一致；
• 输入notes的总金额和输出notes的总金额一致 (包括公开输出)。
• 用户能生生所拥有资产的签名。

Note 加密

用JoinSplit创建的Notes 以加密的形式在链上发布，只有接收者的viewing key 可以对其解密， 允许用户接收发给其的notes。

Nocturne协议使用HPKE(Hybird Public Key Encryption) 来完成加加密，大概的流程为：

对于发送者：

• 生成一个临时的，一次性使用的对称加密密钥；
• 使用接收者的公钥封装对称加密密钥，只有接收者可以解封装，这个机制也称为KEM(Key Encapsulation Module)；
• 通过对称密钥加密Note;
• 将封装密钥和加密密文发给接收者；

对于接收者：

• 尝试解封装密钥，若成功，可以恢复一次性密钥；
• 尝试采用对称密钥解密消息，若失败，则拒绝该信息。

参考

http://nocturnelabs.xyz

https://nocturne-xyz.gitbook.io/nocturne/introduction/introduction

https://nocturnelabs.notion.site/nocturnelabs/Nocturne-Trusted-Setup-Contributor-Guide-411ac624abdb44d989f3f5be354c91ac