對話 Dan Boneh：零知識證明（ZKP）的前沿應用

註：在最近的一期 Zero Knowledge 播客中，主持人 Anna Rose 和 Kobi Gurkan，以及來自斯坦福大學的計算機科學教授 Dan Boneh 一起探索了最新的零知識（ZK）研究以及去中心化網絡，以及有望改變我們在線互動和交易方式的新範式。

（Dan Boneh，圖片來自 Stanford ENGINEERING）

Anna Rose：Dan，我想問問你，關於過去的三年裡，你可以分享一些關於 ZK 的亮點嗎？

Dan Boneh ：是的，我認為零知識（ZK）世界在過去三年中發生很多變化，如果我能很快地講一下，我認為 ZK EVM 的整個發展真的非常令人印象深刻，在三年前，這看起來還是非常遙遠的事，但現在我們已經快要實現了，對吧？我的意思是，我們已經有一些可用的 ZK EVM 能以不錯的速度運行，這真的非常令人印象深刻，ZK Rollups 的推出令人印象深刻，它們已經上線了，並且得到了很多的支持。我認為在不久的將來，我們將看到基於 ZK 的跨鏈橋，通過使用這些簡潔有效的證明，可以真正去實現無需信任。

所以從這個意義上說，事情一直在以相當驚人的速度發展。上次我在節目中談到了使用零知識來實現合規性，而這在如今實際上變得更加重要了。是的，因此，與三年前相比，ZK 在某種程度上已經成為區塊鏈生態系統的核心和支持工具，這真的很了不起。

Anna Rose：我想多談談一般生態系統的東西，因為你覺得現在有更多的資源、教育嗎？比如，您是否也在圍繞 ZK 進行更多教育？

Dan Boneh ：是的，當然。在我們的常規課程中，在我們現在所有的密碼學課程中，我們比以前更深入地研究 ZK。我不得不說，發生的事有點有趣，你知道，就是使用證明系統來外包計算的想法，這個想法是很古老的，它可以追溯到 20 世紀 90 年代初的一篇名為 BFLS 的論文，我很喜歡引用這篇論文。引用的話，有點像是說一台筆記本電腦可以驗證一群超級計算機的計算，我認為從那時起阻礙該領域發展的是計算機變得非常快的事實。

所以，我們的 iPhone 現在基本上就像超級計算機，因此我們錯過了一個緩慢而昂貴的計算機的例子。因為計算機發展得如此之快，以至於很難以一種可驗證的方式證明外包計算是正確的。現在突然之間，我們有了一個緩慢而昂貴的計算機的例子，它就是 Layer 1 區塊鏈。

Anna Rose：很神奇。

Dan Boneh：是的，由於 Layer 1 區塊鏈非常昂貴，而且你知道，它不是特別快的計算機，所以現在將計算外包給 GPU，並讓 GPU 向區塊鏈證明它所做的是正確的，這實際上是很有意義的。這就是為什麼 ZK-rollups 、 ZK 跨鏈橋以及所有這些都很受歡迎的原因，這實際上只是外包計算的例子。因此，看到 30 年前的願景在區塊鏈領域當中得到實現，這真的是非常迷人和美麗的。

關於照片、視頻的 ZK 用例

Anna Rose：讓我們來聽聽你最近在 ZK 領域所做的一些工作，也許可以談談你一直在探索的一些用例。

Dan Boneh：好的，所以實際上發生了很多事情，真正需要強調的一件事是區塊鏈社區正在建設，某種程度上是在開發零知識技術，但有趣的是，它類似於阿波羅計劃，我的意思是，他們要去月球，但在去月球的過程中，他們開發了所有這些對其他行業有用的技術，而同樣的事情也在零知識世界中發生。它由區塊鏈應用程序驅動，區塊鏈行業就是開發和商業化這類系統的行業，而現在，一些 ZK 應用已經超出了區塊鏈的領域。

我想舉一個例子，這是我們最近做的一件有趣的事情，是我的一個學生 Trisha Datta 在做的。問題是這樣的，當你閱讀新聞時，新聞文章通常會附帶一張圖片，而圖片與新聞文章所討論的內容有點相關。問題是，你怎麼知道你正在看的照片，真的是在新聞文章所討論的時間與地點拍攝的？所以，也許你正在閱讀一篇關於戰區的文章，那你怎麼知道你所看到的照片，真的來自那個特定的戰區？也許它就是在不同的時間，在不同的其他地方拍攝的。

這不是一個假想的威脅，而是真實在發生的，並且普遍存在着。所以，媒體行業都意識到了這個問題，他們制定了稱為 C2PA 的標準，它代表內容供應和真實性，讓我告訴你，它所做的就是將簽名密鑰嵌入相機內部。所以，就像索尼有一款相機，它實際上是今年夏天才問世的，相機中嵌入了一個簽名密鑰，然後每次相機拍攝照片時，它基本上都會對照片的數據進行簽名，並對與之相關的元數據進行簽名。所以它會生成一個簽名，將圖片綁定到位置、時間和其他與圖像相關聯的元數據。所以，現在突然間我們有了一張簽名照片，任何人都可以驗證並查看照片的拍攝時間和地點。好吧，新聞原則上可以在文章中嵌入這些照片，現在人們可以驗證他們正在看的圖像確實來自這些授權相機之一。

但我不得不說，這個設計有很多問題，也許你的聽眾也開始思考這種設計帶來的各種有趣挑戰。其中一個挑戰是，相機拍攝出來的通常是一張非常大的圖像，但報紙不需要向讀者發送這麼大的文件，所以他們所做的是調整圖像大小，縮小圖片，也許是通過裁剪，他們在將圖像嵌入新聞文章之前對這些圖像執行這些標準操作，然後將編輯后的圖像發送給讀者。問題是，一旦你編輯了圖像，讀者就無法再驗證簽名。是吧？你需要的是原始簽名，而只有原始圖像才能驗證簽名。

Anna Rose：哦。

Dan Boneh：那我們該怎麼辦？所以 C2PA 在標準中提出了一些不太安全的機制。正確的解決方案是零知識證明，是的，讓我解釋一下零知識證明是如何解決這個問題的。因此，想象一下你運行編輯軟件，並調整圖像大小。你想要做的是用零知識證明替換編輯圖像上的簽名，該證明表明這個編輯圖像是正確簽名圖像的結果，我們對它所做的只是調整它的大小。是的，所以零知識證明中的秘密 witness 是原始圖像和原始簽名以及我們正在證明的聲明，a）原始圖像已正確簽名，並且 b）如果對原始圖像應用調整大小，你最終得到的圖像實際上是發送到瀏覽器的。

所以，現在瀏覽器基本上會得到編輯過的圖像以及 ZK 證明。讀者只需點擊圖片，瀏覽器就會驗證證明，然後，讀者就會知道這張照片，真的是在這個時間，以及這個地點拍攝的。

Anna Rose：這很有趣。

Dan Boneh：因此，我們做了很多關於如何在實踐中實際運作的實驗。結果證明零知識證明是非常有效的，實際上，即使圖片有 33 MB 的數據，我們實際上可以進行裁剪、調整大小，基本上證明生成不到一秒鐘，所以我們最終得到了一個非常簡短的證明，它大約只有 400 字節，然後附加到編輯圖像中，瀏覽器可以驗證對圖像所做的唯一事情就是調整圖像大小，而沒有其他任何變化。所以現在我希望我們可以向美聯社實際證明這一點，在現實世界中實際部署和使用它會很棒，它確實是有效的。

Kobi ：這真的很有趣，因為在你剛剛描述的那個用例中，比如調整它的大小，你基本上是使用零知識證明來簡化。所以理論上你仍然可以發送圖像，讓感興趣的用戶下載並驗證所有的轉換本身。但實際上它可以更有趣，因為你也可以應用 ZK 的模糊屬性。

Anna Rose：Wow。

Kobi：這可能真的非常有趣。

Dan Boneh：這確實是有趣的。所以，他們調整圖像大小的原因是因為他們想節省帶寬。因此，讓讀者下載原始圖像基本上會抵消這一點，但你是對的，裁剪和模糊現在實際上是在利用 ZK 屬性，所以這確實是很好的應用。對我來說有趣的是，它是 ZK 的一個相當重要的應用，並且與區塊鏈無關。所以我認為這是一個激動人心的故事，關於區塊鏈技術如何滲透到社會的其他領域。

Anna Rose：我喜歡聽到這樣的事，我覺得人們渴望越來越多的用例，我從沒聽過這個，所以我認為這真的很令人興奮，我覺得你剛才描述的也有可能將它開放給其他類型的媒體，比如你剛才提到的是圖像，但也許可以換成音頻，也許它可能是其他東西，所以這真的很酷。

Dan Boneh：所以實際上我會為你的聽眾提一個懸而未決的問題。因此，如果有人想去這樣做，我們現在可以為圖片做這件事，但我們也想為視頻做這件事，而視頻也會被編輯和縮小，而視頻文件很容易達到數千兆字節，對吧？那麼問題來了，我們如何在像視頻這樣的海量數據上生成 ZK 證明呢？是的，如果有人想解決這個問題，這是一個很好的挑戰，也許有足夠的 GPU ，可以讓我們做到這一點，但現在，這超出了我們在一台筆記本電腦上可以做到的。

Kobi ：好的，也許我們還要等待 ASIC 的出現，我們會看到的。

Dan Boneh：是的。

關於可信設置的 ZK 用例

Anna Rose：所以，Dan，我覺得我們可以觸及很多用例，告訴我們另一個，你還在做什麼？

Dan Boneh：是的，最近出現的 ZK 的另一個應用，是與可信設置有關的。讓我們談談如何做，如何進行設置。同樣，你的許多聽眾可能都知道一些零知識結構的示例，它們確實需要可信設置，對嗎？這涉及到被稱為 Tau 的隨機秘密值，這是管理實體必須去擦除的，而且，你知道，這通常是通過一些有趣的儀式來完成的，人們去破壞產生 Tau power 的機器，或者他們在飛機上這樣做，然後將機器從飛機上扔下來。因此，人們會舉行各種有趣的儀式來產生 Tau 的這些 power，但真正至關重要的是，一旦信任建立完成，刪除秘密數據也非常重要。你可能知道，以太坊基金會實際上正在致力於 Tau 儀式的 power。這是他們正在做的一個非常非常有趣的儀式，因為它將涉及非常非常多的人。

Anna Rose：哦。

Dan Boneh：是的，這是一個非常有趣的項目，我很高興看到他們這樣做，這可能是他們正在構建的 Tau 的power，可能會對許多其他項目有用，而不僅僅是以太坊基金會所需要的。

Anna Rose：這就是他們運行了很多年的 Perpetual Powers of Tau 嗎？或者是別的什麼？

Kobi ：這是一個較小的，是關於 danksharding 的。

Anna Rose：哦。

Kobi ：這將成為以太坊的核心。我同意，這真的很有趣。

Anna Rose：酷。

Dan Boneh：是的，所以這是一個即將舉行的非常重要的儀式，也是有史以來規模最大的儀式，它應該會涉及到數十萬用戶。所以我們可能會問，為什麼我們需要在區塊鏈上進行可信設置？有趣的動機是區塊鏈具有反審查能力，對吧？因此，如果有人試圖阻止你寫入區塊鏈，那麼，區塊鏈的全部意義在於它旨在讓你能夠寫入。所以這裡有趣的應用是，如果你試圖運行一個可信設置，可能有一些網絡攻擊者試圖阻止一個誠實的參與者參與設置，對吧 ? 但如果可以阻止誠實的參與者參與，那麼我們就有問題了。因此，在區塊鏈上運行設置很有趣，我們使用了區塊鏈的自然反審查屬性，來確保所有誠實的參與者都能真正進入並參與設置，這變成了一個有趣的問題，那麼現在所有這些問題都是關於如何在區塊鏈上運行設置? 所以基本上區塊鏈，它要做的是驗證每次參與者進來隨機設置當前狀態，區塊鏈必須驗證參與者確實正確地完成了工作。

Kobi：所以區塊鏈在這裡取代了協調器部分，對吧？

Dan Boneh：是的，事實證明，這裡有幾個模型。因此，有趣的是，你可以想象將 Tau 的全部功能放在區塊鏈上。然後基本上區塊鏈將驗證每個更新是否正確完成。那麼這是一種適用於小型設置的方法，對嗎？就像在 danksharding 中一樣，生成的數據量並不多。所以你可以想象將所有這些存儲在區塊鏈上。所以問題是，如果你實際上不想將這些數據存儲在鏈上，而是想將其存儲在鏈外，會發生什麼情況。在這種情況下，你可以做的是將對數據的承諾（commitment）存儲在鏈上。

所以你對存儲在鏈上的 Tau 的 power 有了承諾（commitment），現在當有人更新 Tau 的 power 時，他們會更新存儲在鏈上的承諾（commitment），然後提供證據證明新承諾（commitment）是有效更新，那將是零知識證明，現在這開始變得有點有趣了。

Kobi ：是的。

Dan Boneh：你如何做這個證明？這基本上就是論文中要解決的問題。一個有趣的問題是，現在你有一個數據可用性問題，這是有人必須存儲 Tau 的這些 power，所以大概我們必須使用其中一種數據可用性服務，這就是 Tau 的 power 實際上被存儲的地方。當然，如果我們有一個 gas 成本較低的區塊鏈，那就太好了。更多的人可以參與，而不必支付與每次更新相關的 gas 成本，希望這會在未來幾年內實現。所以無論如何，我認為這是 ZK 的一種敏銳應用，它連接到存儲在區塊鏈上的東西。

Kobi ：是的，我確實同意這真的很酷，因為在我見過的所有可信設置中，基本上你必須依靠社會層來強制執行審查，因為你會在推特上發帖，然後你會對審查你的協調者產生一些懷疑，而不必依賴這一點，正是區塊鏈被發明的原因，這真的是很好的應用。

Dan Boneh：是的，所以我們拭目以待。甚至可能像這樣的東西可以商業化並用於實際系統中。我希望有些項目最終會使用這種機制，雖然我不得不說以太坊基金會正在做的事情非常非常有趣，我真的很期待看到大量參與者在那裡貢獻隨機性。

使用 ZK 財政庫來運行 DAO

Anna Rose：是的，那麼從可信設置出發，區塊鏈世界中是否還有其他類型的領域可以添加 ZK 的東西？

Dan Boneh ：是的，目前的名單真的很長，也許我可以再提一個，再舉一個例子。因此，我們感興趣的一件事，是如何使用隱私財政庫來運行 DAO。同樣，這是我和我之前的學生 Griffin Deneuve 合作在做的一件事。問題基本上是，如果你今天在鏈上運行一個 DAO，那每個人都可以看到你的 DAO 財政庫里有什麼，對吧？這會導致一個問題，比如說，當一個 DAO 想要參與拍賣，每個人都可以看到你口袋裡有多少錢，每個人都確切地知道你的最高出價是多少，這並不是假設，而是發生在 constitution DAO 身上的事，對吧？然後，有人就可以發出更大的出價並超過他們。

Kobi ：是的。

Dan Boneh ：所以問題基本上是，你可以用兩種不同的方式來理解它，你可以從博弈論的角度說，什麼是正確的拍賣機制，你有參與者，其中一些人擁有隱私狀態，而另一些人擁有公共狀態，每個人都可以閱讀他們的想法，那在這種環境下，你如何設計拍賣機制？實際上，這是一個應該解決的博弈論問題或機制設計問題。我的意思是，我認為，拍賣行改變他們進行拍賣的方式很重要，因為 DAO 參與了進來，然後每個人都可以讀懂 DAO 的想法，並確切地看到他們的資金是什麼。

回答這個問題的另一種方式是說，我們真的可以設計一個 DAO，他們可以參與拍賣並保守其資金秘密嗎？這又是 ZK 發揮作用的地方，因此，隱私 DAO 設計是一種有趣的設計，我們可以在這裡構建所謂的 DAO 平台，這是一個為許多不同的 DAO 提供服務的合約。是的，所以 Juice Box 就是這樣一個平台的例子，從表面上看，它是許多不同的 DAO 使用的以太坊上的一個合約，而這個合約基本上使得所有相關 DAO 的資金都組合在一起。然後，有人會去查看這個合約的資金，但他們只會看到大量 DAO 組合在一起的總財政庫，而無法得知特定 DAO 的情況。因此，為了實現這一點，非常重要的一點是，當有人向 DAO 發送資金時，它們不會向公眾透露這些資金的接收方是哪個 DAO。

所以從某種意義上說，你需要能夠秘密地向 DAO 發送資金，這就是 ZK 技術開始發揮作用的地方，所以現在 DAO 基本上有一個存款清單，或者更確切地說，平台有一個發送給它的存款清單。你知道，有些存款是給一個 DAO 的，有些存款是給另一個 DAO 的，現在這個平台上一個特定 DAO 的管理者實際上有一個密鑰，他可以使用密鑰然後說：“這 15 筆存款是我的，這是它們是我的證據，因為我有一個密鑰，可以證明這些存款實際上是給我的。”

然後 DAO 合約會說：“當然，這 15 筆存款確實是給你的，因此如果你決定可以繼續將它們發送到拍賣行參與拍賣。”

在這裡，SNARKs 被證明是超級有用的，因為想象你有一個特定的 DAO 收到了大量捐款，比方說有 20000 筆捐款，如果你必須為這些捐款中的每一個做一個單獨的證明，那麼就需要重複 20,000 次，而區塊鏈將不得不分別驗證這 20,000 個證明。在這裡，我們可以使用 SNARK 批處理技術，在這種技術中，我們可以獲取一堆證明並將它們壓縮成一個證明，然後將這個證明提交給合約。我不得不說，這仍然需要商業化建設。它確實有效，我再次希望你的一些聽眾可以採用該設計並使其成為現實，我認為它會是讓 DAO 真正受益的東西。

Kobi ：那麼，您在這裡使用了什麼樣的批處理技術來提高效率？

Dan Boneh ：實際上我們使用的基本證明是用了一個非常簡單的 sigma 協議。

ZK 與合規性

Kobi：我也很好奇，設計是否包含一些合規性或可追溯性措施，例如，DAO 可以向想要更深入地了解其財務狀況的人展示一切都很好。

Dan Boneh：是的，所以這又是一個很好的問題。我們絕對應該討論一下 ZK 的合規性問題，正如你所了解的，這些 DAO 系統確實需要提供一些合規性功能，談合規性可能有用的另一個領域，是混幣協議。

Anna Rose：是的，我們在今年夏天經歷了 Tornado Cash OFAC 制裁，我認為這會對 ZK 研究和用例開發產生相當深遠的影響。所以告訴我，你在這個方向做了什麼工作嗎？

Dan Boneh：是的，Anna，ZK 可以用於隱私目的，它也可以用於合規性。事實上，有幾家公司正在使用 ZK 來實現合規性，一個例子當然是 Espresso Systems，這是他們在提倡的事情之一。所以在 Tornado 的背景下，有一種方法可以從技術的角度來解決這個問題。你知道，政策制定者會從政策的角度來處理這個問題，就是說，什麼是允許的，什麼是不允許的等等。但是，我們是計算機科學家，我們喜歡思考技術問題。

Anna Rose：一個實驗？

Dan Boneh：是的，這是一個實驗，確切地說，如果我們必須重新開始，我們可以重新設計 Tornado，使其仍然提供強大的隱私功能，但可以阻止不良行為者使用該服務，這確實是最終目標，只是我們希望不良行為者不要使用該服務。所以讓我總結一下這三種可能有用的方法（Joe Brosen 和 Michele Krover 寫的），聲明一下，我們都不是律師，我們不知道這是否真的能讓制裁人員感到滿意。

第一種方式會有點弱，它就是我們所說的存款篩選，這意味着當有人試圖進入合約時（例如 Tornado），Tornado 合約實際上會檢查當前受制裁列表中的地址，你知道，有很多公司提供了一份制裁名單，比如 Chainalysis 提供了一份，Elliptic 提供了一份，這些都是非常簡單的合約，你可以在鏈上查找它們。當你嘗試將其存入 Tornado 時，基本上 Tornado 會檢查該地址當前是否受到制裁，如果是，它只會拒絕存款。這是一個簡單的解決方案，問題是這並沒有真正起作用，它不起作用的原因是，會發送黑客攻擊，並且攻擊者會在幾分鐘內將資金轉移到 Tornado 中，而受制裁名單不可能在幾分鐘內更新。

所以下一個想法，是使用我們所說的提款篩選（withdrawal screen），所以正如你知道的混幣器，一旦你將資金投入其中，你必須等待，資金必須在那裡停留一段時間，因為如果你只是將它們投入並立即將它們轉移出去，你實際上不會從混幣器中獲益，所以資金必須停留一段時間，建議是在你將它們取出之前讓它們在那裡停留幾天，當你嘗試的時候，不良行為者試圖提取資金，希望到那時，制裁名單已經更新了，現在你的來源地址已經被封鎖了。

Anna Rose：或標記了。

Dan Boneh：是的，完全正確。所以提款篩選基本上是說，當你試圖退出合約時，基本上你必須證明資金來源目前不在制裁名單上，這就是我們所說的提款篩選，這裡需要用到的一種有趣技術工具是所謂的排除證明，所以這是一個對 Tornado 合約的一個非常小的改變。有趣的是，如果你是一個壞人，你將資金轉移到合約中，然後在你想取款的時候，你的資金已經被困在合約中了，你永遠不能提走它們，這很有趣，因為這實際上阻止了不良行為者進入這個合約。順便說一句，這隻適用於 Tornado Classic，當你查看可以在合約內部進行轉賬的更複雜的設計時，事情會變得有點複雜。

Kobi ：這很有趣。

Dan Boneh：從隱私的角度來看，我認為第三種方法有點問題，就是所謂的查看密鑰，在某種意義上，它基本上是一個後門。事實上，有趣的是我們社區中的許多人，在你與之交談的區塊鏈社區中，他們想要實現合規性，而查看密鑰是他們首先使用的解決方案。

Anna Rose ：查看密鑰看起來就像一個大鎚子，你實際上打開了各種數據泄露的大門。如果錯誤的人得到了它，就可以看到所有的數據和信息，這會有很多相關的問題。

Dan Boneh：沒錯，這些都是問題，這些都是後門通常會出現的問題。比如後門（查看密鑰）被偷了怎麼辦? 丟了怎麼辦? 有趣的是，我只是想對比一下，查看密鑰是人們在需要處理合規性問題時自然會去做的事情。但我還想提一下提款篩選的方法，至少是在 Tornado Classic 的背景下。同樣，我們仍然不知道這是否會讓監管機構滿意。順便說一下，這裡的開放問題是，如果你可以在合約中進行用戶到用戶的傳輸，它確實會變得更具挑戰性。當你提取這些資金時，資金的來源有很多，所有這些都必須被跟蹤，然後在提取的過程中證明就變得更難了。

Anna Rose ：如果有 DEX 之類的行為，那就更複雜了。

Dan Boneh：完全正確，如果資金來源實際上是多個賬戶，事情就會變得更加複雜，現在你必須證明，為我們要取款的賬戶提供資金的賬戶目前都不在凍結名單上。

使用 ZK 技術實現交易所儲備金證明

Anna Rose ：讓我們繼續討論，我們實際上可以使用類似零知識或 ZK 證明的元素來幫助防止任何類型的不法金融行為，我的意思是，在這裡我顯然是在談論 FTX 發生的事情，它是一家中心化交易所，所以更像是一家銀行，而不是鏈上的任何東西，但我知道有人提出了類似通過 ZK 提供儲備金證明的想法。所以，我很好奇你是否一直在研究這個話題。

Dan Boneh：是的，這很有趣，因為這實際上是我們多年前在研究的東西，應該說這是 Dagger、Benedikt Bünz、Joseph Bonneau、 Clark 以及我在一個叫做 Provisions 的系統上的聯合研究工作，我想它可以追溯到 2015 年或 14 年，我不太確定，它是對 Mt. Gox 交易所崩潰的回應，所以問題基本上是交易所如何證明它是有償付能力的，並且是在零知識的情況下做到這一點? 交易所需要證明債務小於資產，對吧? 但通常這麼做，會讓交易所感到緊張，因為他們可能不想透露自己有多少資產，比如他們有多少客戶，以及他們的客戶賬戶上有多少錢。所以這是一個完美的零知識應用場景，交易所基本上承諾了它的資產，所以它會給我們零知識證明，表明它有這麼多資產在鏈上，然後它承諾了它的義務。

有趣的是，每個客戶都可以登錄到交易所，他們可以自動檢查他們在交易所的餘額是否包含在承諾義務中。所以當客戶與交易所互動時，他們基本上會檢查他們的賬戶是否包含在交易所承諾的義務中。隨着時間的推移，如果有足夠多的客戶這樣做，對義務的承諾是值得信賴的。最後剩下的就是零知識證明承諾資產的價值大於或等於承諾債務的價值。事實上，交易所在七八年前就可以做到這一點了，如果交易所失去了資金，它就不能再做這些證明了。在這種情況下，我會回到歷史，因為我不想談論最近的事件。早在 2015/16/17年，我們就試圖讓交易所實現這一點，這似乎是一件很自然的事情。但對於交易所來說，它們有其他優先事項，而這個方案確實需要一些開發工作，所以我想建議的是，也許我們應該就此啟動一個標準化過程，我們為什麼不成立一個委員會，一個標準機構來決定什麼是償付能力的零知識證明。

Anna Rose ：令人驚訝的是，我覺得很多例子都很適合聽眾聽，現在有了一些概念的證明或一些論文，然後希望我們可以開始看到所有這些新的用例。

Dan Boneh：老實說，所有這些用例都是可能的，區塊鏈社區需要這些零知識證明，所以在開發這項技術上，我們需要付出巨大的努力，否則，這一切都不可能發生。有趣且值得注意的是，現在我們實際上可以讓開發人員在不知道細節的情況下研究零知識證明，他們可以與框架交互，並使這些事情正常工作，而不必花費兩年時間來理解所有的細節。Kobi，你很清楚這一點，十年前，如果你想開發一個零知識證明系統，你基本上必須雇傭一組密碼學家去了解所有不同的證明系統，然後自己實現所有的東西。現在，我可以告訴你們，即使在我們的課程中，我們也有一個 SNARK 項目，學生們在一周內就能實現包含證明和默克爾樹。

Kobi ：是的，現在我們有了開箱即用的東西，你可以直接在以太坊上驗證它，這太奇妙了，我同意你的看法。我最近從你們小組看到的比較有趣的作品之一是合作的 SNARKs 論文，你可以讓很多人合作研究 SNARK 內部的不同秘密部分，並得出一個證明，我很好奇這個有什麼應用。

Dan Boneh：謝謝你， Kobi，是的，這是我和 Alex Ozdemir 合作的論文，你很了解他。我想他上過幾次播客。所以問題基本上是，當你需要生成一個證明時你該怎麼做，但證明的 witness 實際上分佈在多方，對吧 ? 傳統上，當我們考慮零知識證明時，秘密 witness 只由一方持有。那麼當 witness 本身分佈在多方時，你該怎麼辦呢 ? 就像在銀行系統中，如果你需要在全局交易圖上對交易進行證明，你知道，每個銀行只看到它對交易圖的視圖，沒有人真正看到全局交易圖，但他們卻想在全局交易圖上進行證明。這就是 witness 被多方分割的例子。那麼問題是你怎麼做呢? 從理論的角度來看，你要做的就是在持有 witness 的各方中運行證明算法作為 MPC（多方計算），多方計算允許你在共享數據上進行計算，為了做到這一點，我們必須設計一個 SNARK，其中證明算法是對 MPC 友好的。對我來說，這很有趣，因為這是 SNARKs 的一種新標準。

Anna Rose ：Dan，非常感謝你分享這些工作，我覺得我可能會把這一集用在我們未來的黑客馬拉松上，我會派人去聽這個講座，因為我認為他們會得到很多非常好的想法，他們可能會用這些東西來創造產品，非常感謝你的概述。