Web3 中的零知识证明：什么是 ZK-SNARK

如果通过应用案例来观察 Web3，迟早会遇到同样的问题：区块链顾名思义是透明的，而现实世界中的大多数任务都需要隐私。你需要证明交易、计算或状态是正确的，但同时又不想向全世界公开底层数据。零知识证明（Zero-Knowledge Proofs）正是在这一交叉点上出现的，更具体地说，ZK-SNARK 是零知识技术的关键工具之一。

在过去的几年里，零知识证明已经从一个理论构架悄然变成了 Web3 基础设施的一个工作层。它们被用来启动私人支付和身份协议，为以太坊扩展构建 ZK 卷积，在不泄露原始数据的情况下验证复杂操作的正确性，以及在简单的区块链透明度不再足够的情况下加强 Web3 的安全性。因此，SNARK、STARK 和新的 ZK-Proof 系统的出现不再是纯粹的学术话题，这一层的构建方式直接决定了您分配资金的网络和协议的安全性、私密性和可扩展性。

了解我们对DeFi 基础知识的详细分解：去中心化金融新手指南 (2025)

Stack 10% More on Your First BTCC Deposit

Start Trading

Web3 中的零知识证明：核心理念及其重要性

在深入探讨绝对值得关注的技术实现之前，让我们先看看其背后的核心理念以及它要解决的问题。

什么是零知识证明？

零知识证明（Zero-Knowledge Proof）是一种加密证明，它可以在不透露底层数据的情况下确认语句的正确性。该协议不公布全套输入值或中间计算步骤，而是使用一个紧凑的证明，足以检查是否遵循了规定的规则。

此类方案依赖于三个基本特性：

• 完备性是指，在数据正确、生成证明的一方行为诚实的情况下，验证者几乎总能接受证明是有效的。
• 健全性则体现了相反的一面：在给定虚假声明的情况下，生成通过验证的证明的概率极低，几乎可以忽略不计，接近于零。
• 零知识属性确保无法从证明本身重构隐藏数据，也无法提取关于隐藏数据的任何其他信息；验证者能得到的唯一结论就是声明满足协议的形式化条件。

因此，零知识证明是一类独立的严格加密证明，其形式化程度可与数字签名、承诺和其他基本原理相媲美。零知识证明的描述、实现和分析与区块链系统所基于的其他基本加密技术相同。

从加密证明到 ZK 证明系统

经典加密机制可以解决不同的问题。签名可以确认信息的作者身份及其不变性，但内容本身仍然是开放的。哈希函数可以承诺一个值，并在之后证明所使用的正是这个值，但在验证过程中，底层数据会被泄露。交互式身份验证和知识验证协议需要双方重复交换信息，在许多独立节点必须验证同一事实的环境中，其扩展性很差。

零知识证明（Zero-Knowledge Proofs）增加了另一种证明类型，它将可验证性与数据披露分离开来，不需要强制性的交互对话。基于这一理念，形成了零知识证明系统系列--具体的零知识协议，它们在数学基础、密码假设、证明大小、生成复杂度和验证成本上各不相同。

在选择特定的 ZK-Proof 系统（我们稍后将研究其中的主要系统）的层面上，要确定其架构特征：网络参与者需要哪些资源，对基本假设的信任度可以接受到什么程度，以及哪些证明和验证时间参数与目标负载相匹配。从这个意义上说，ZK-SNARK 和 ZK-STARK 只是作为构建零知识证明的多种可能方法中的两种而分别实施的方案；实际上，这一概念允许有更多的实施变体。

零知识技术为何对 Web3 至关重要

大家都知道，公共区块链提供了人人可见的单一状态：交易、余额、协议参数及其变化可供任何节点观察和验证。这无疑增加了数据被篡改的可能性，但同时也将每个行为变成了公开历史的一部分，其中的金融业务、所有权结构和参与者行为变得易于分析。在许多情况下，这与隐私要求相冲突--从保护商业敏感数据到遵守某些司法管辖区的监管规范。

这正是零知识技术的优势所在，它可以将部分检查从直接披露输入数据的层面转移到通过加密证明验证规则正确性的层面。因此，网络只能看到达成共识和更新状态所需的内容，而所有敏感参数仍由提供参数的各方控制。这种方法为维护 Web3 中的信任和隐私奠定了基础，它与可信基础设施或集中存储无关，并为真正的去中心化隐私开辟了空间，在这里，对信息披露的控制是分布式的，而不是集中在单个操作员手中。

Web3 的安全性还有一个额外的优势，那就是以前存在于链外并在基于信任的模型中进行检查的部分逻辑，现在可以以 ZK-Proof 系统的形式正规化，并在协议层面进行验证。网络节点获得了根据统一规则验证行动正确性的能力，而无需扩大可用数据集。在这样的架构中，零知识证明成为一种基本工具，可以将开放式分类账与生态系统内用户和流程信息的有限和受控披露结合起来。

ZK-SNARK 代表什么？

ZK-SNARK 是一种特定类型的零知识证明，其名称包含其关键属性：

• 零知识；
• 简洁
• 非交互式；
• 知识论证。

零知识表示证明不透露隐藏数据，除了声明正确这一事实外，不泄露任何其他相关信息。简洁是指证明的体积小，网络节点验证它的速度明显快于它所代表的原始计算。非交互式强调证明者只需生成一次证明，然后验证者就可以对其进行多次检查，而无需进行任何额外的信息交换。知识论证 "固定了这样一个要求，即如果参与者不真正了解隐藏的见证人（即使语句成真的内部数据），他实际上永远无法构造出有效的证明。

综合来看，这些特性定义了 ZK-SNARK 协议的特征：紧凑的证明、快速的验证、无需交互式对话，以及证明背后存在真实知识而非随机猜测的加密保证。这种组合使 ZK-SNARK 成为区块链网络的天然候选方案，在这种网络中，节点必须在有限的资源下验证大量的证明。

ZK-SNARK 如何工作

ZK-SNARK 的架构依赖于几个基本角色和数据类型。证明者生成证明，验证者检查证明。开发者将声明描述为公共输入上的声明--这是所有参与者都能看到的信息部分：汇总结果、操作集的哈希值以及对协议很重要的参数。确保声明真实的隐藏部分通常称为见证；它包括私人值、内部状态和任何不得最终出现在公共分类账中的数据。

• 工程师通常会将方案的工作分为几个阶段。
• 在设置阶段，他们为所选方案和计算类别生成系统参数。在经典的 ZK-SNARK 中，这些参数包括可信设置，所有后续证明的安全性直接取决于参与者如何正确、诚实地执行这一程序。
• 在证明生成阶段，证明者在给出公共输入和证人的情况下，构建一个隐藏数据满足所有约束条件的证明。
• 在 ZK 验证阶段，验证者只需掌握公共输入、证明和系统参数，就能检查证明的正确性，而不会获取隐藏值。

开发者不能直接将任意计算嵌入 ZK-SNARK 中。相反，他们会以一种便于验证的形式来表示逻辑，通常是算术电路或约束系统（电路/约束）。它们将计算分解为原始运算和它们之间的连接，而协议则将这一组运算解释为必须检查的条件系统。这种方法使得形式化和验证非常复杂的函数成为可能，但同时也迫使开发人员考虑每个操作在 ZK 证明系统方面的成本，并设计逻辑，使其可以有效地转化为电路，而不会过度增加证明规模以及生成和验证所需的资源。

SNARK 与 STARK：ZK-Proof 系统比较

在 ZK-Proof 系统中，SNARK 和 STARK 解决了类似的问题，但依赖于不同的加密构造，并为协议设定了不同的权衡。SNARK 方案建立在配对友好型椭圆曲线和结构化参考字符串的基础上，团队只需对所选计算类别进行一次可信设置，即可获得该参考字符串。

STARK 方案使用基于哈希的加密算法、承诺和特殊验证协议（例如 FRI），并将其转换为非交互式形式；团队不需要执行单独的信任仪式，而是接受基于哈希函数的硬度和协议构建的正确性的信任模型。

就性能而言，SNARK 和 STARK 的表现有所不同。SNARK 方案提供紧凑的证明，即使计算复杂度增加，ZK 验证成本也几乎不变，这与以太坊层和 ZK 卷积网络中的气体和 calldata 限制非常吻合。在 STARK 方案中，证明规模和带宽要求的增长更为明显，但团队可以通过分配更强大的证明者来扩展繁重的计算，同时在负载增加时保持稳定的安全级别。因此，在架构层面，有些协议采用 SNARK 方案，最大限度地减少证明规模和验证成本，而有些协议则刻意选择 STARK 方案，并为此付出额外的流量和存储成本。

在实践中，这些差异决定了团队如何设计和发展协议。在 SNARK 方案中，团队会提前确定支持的计算类别，并调整可信设置、工具和验证器基础设施。在 STARK 方案中，他们围绕单一方案构建堆栈，并通过选择计算跟踪长度和分配给证明生成的资源来扩展堆栈。因此，SNARK 和 STARK 之间的选择取决于 ZK-Proof 系统的配置文件：团队准备使用哪些基元、基础设施可以实际处理的数据量和计算量，以及计划扩展或更改协议内支持的计算类别的频率。

了解Crypto API 的详细信息：密码空间如何在引擎盖下工作

Stack 10% More on Your First BTCC Deposit

Start Trading

Web3 中的 ZK-SNARK：隐私和以太坊扩展

现在，让我们更详细地了解 ZK-SNARK 如何不仅为安全和隐私做出贡献，而且还为基于区块链的解决方案的扩展做出贡献。

ZK-SNARK 在 Web3 中用于保护隐私

依赖 ZK-SNARK 实现隐私保护的协议围绕承诺和作废器构建状态，而不是围绕公开余额构建状态。客户端形成一组隐藏输入数据，描述所需的状态变化，计算见证，并创建新配置满足所有规则的证明。进入全局状态的只有树根、哈希值和服务标记，而不是实际值。网络节点读取更新后的树根并验证 ZK-SNARK，但不会访问用户的内部参数。通过这种方式，零知识技术将正确性检查转移到了加密层面，无需在共享分类账中披露敏感信息。

另一层逻辑负责决定所有者愿意向谁透露哪些数据。不同的密钥通常用于操作、历史查看和审计，而状态格式使得在不披露整个所有权结构和所有过去步骤的情况下披露单个元素成为可能。用户可以证明资产所有权、参与投票或满足特定条件，而无需显示其完整的交易跟踪。审计员在获得有限的访问权限后，只检查各方认为可以接受的事实集，并依赖与验证节点相同的 ZK-Proof 系统。

在这种设计中，Web3 中的隐私不再依赖于单一的操作员或存储。验证节点不决定披露什么；它们只验证证明和更新聚合状态。数据披露的控制权掌握在相应密钥的所有者及其选择的应用程序手中。这就是真正去中心化隐私的形成方式：协议在参与者之间分配对信息访问的控制权，同时保持公共区块链预期的整体可验证性水平。

ZK 滚动和以太坊扩展

在 ZK 卷积中，团队将执行和共识分开。执行层接受交易，对其应用协议逻辑，维护本地状态，并记录执行轨迹。经过一系列操作后，操作员会收集一批数据，计算新的状态根，并生成一个 ZK-SNARK 证明，通过约束系统将新旧状态联系起来。与证明一起，操作员在基础网络的合约中发布状态重建所需的最小数据。

以太坊中的卷积合约会接收该包，检查输入的数据格式，并运行 ZK 验证。如果证明通过了验证，合约就会接受新的根作为层的当前状态，并将变化记录为以太坊缩放的一部分。大部分计算和存储仍留在 L1 外部，而基础网络则扮演仲裁者的角色，只确认状态转换的正确性。所选 ZK-SNARK 方案的参数决定了操作员一次批量处理多少交易、发布更新的频率，以及用户最终支付的费用中有多大比例来自验证成本。

ZK 校验对卷积基础设施提出了要求。跟踪 L2 的节点必须能够跟上传入的证明和相关数据，而自行重构状态的客户端必须能够从发布的信息中提取必要的片段。如果团队选择了一种更繁重的证明生成方案，那么就会将主要负担转移到构建批次的操作员身上。如果选择最大限度精简证明和快速 ZK 验证，则会简化观察者和验证者的工作，但会收紧实施方案和优化执行的要求。

零知识技术在 Web3 中的应用现状

零知识技术已经在 Web3 中形成了几种成熟的解决方案。 在其中一种情况下，团队会设计一个 L1，使其最初能与承诺和 ZK-SNARK 协同工作：交易格式、存储结构和客户端钱包都会考虑到生成证明、存储查看密钥和管理私有状态的需要。用户通过客户端与网络交互，客户端收集上下文、形成见证和证明，而链只看到聚合值和哈希值。

另一种情况是在现有网络之上建立独立的层。这些解决方案接受交易，在自己的环境中执行交易，汇总结果，并在基础网络上发布 ZK-SNARK 以及状态重构所需的数据。当 ZK rollups 和相关 L2 项目希望在不放弃共识模型的情况下提高吞吐量并减少 L1 负载时，就会使用这种方法。用户仍然认为自己是在与以太坊生态系统合作，但计算和验证的很大一部分转移到了依赖 ZK-Proof 系统的附加层。

连接多个网络和应用程序的服务正在朝着第三个方向发展。它们从不同来源收集数据，在本地检查条件，为特定语句构建 ZK-SNARK，并将证明传递给做出决策的协议。这种结构可用于投票、身份验证、破产证明以及其他需要将外部信息压缩为适合链上验证的简短确认的场景。

在这些变体中，选择特定的 ZK-Proof 系统和 ZK 验证方法会直接影响用户在 Web3 中获得的隐私程度、基础设施对节点的要求以及与使用零知识技术的协议交互的实际成本。

了解我们对 区块链互操作性的详细分析 ：跨链通信的未来

Web3 零知识技术的安全性和风险

零知识技术也改变了 Web3 的威胁模型。该协议不再仅仅依赖于操作员的诚实和基础设施的正确性，而是强制要求每个重要步骤都必须有严格的加密证明。该团队确定了其认为关键的不变式集，并将其移入 ZK 证明系统空间。只要证明者能正确生成证明，并且验证节点始终拒绝所有未通过验证的内容，那么即使在部分不信任的执行环境中，协议也能保持状态完整性。

这种方法为 Web3 的安全性带来了几个直接好处。团队可以固定处理资产和状态的规则，使参与者无法通过本地代码或配置更改绕过这些规则。任何跳出该方案的尝试，要么会破坏证明，要么需要破坏加密原语本身。该协议对可接受的行为采用单一标准：节点检查的不是操作者的动机，而是行为是否符合预定义的约束条件。开发人员可为用户、基础设施和审计人员分别制定不同的条件类别，并为其附加不同类型的证明，同时保持共同的可验证性水平。

与此同时，零知识技术也带来了不容忽视的风险。在具有可信设置的方案中，团队会创建并使用结构化参数，这些参数在协议的整个后续生命周期中基本上都是密钥材料。如果有人掌握了内部机密或违反了生成程序，他们就有能力出具通过验证但并不反映实际规则执行情况的证明。在有金融资产的环境中，这会导致隐藏发行、绕过限制或未经授权的状态更改风险。选择这种模式的团队要承担初始化程序、重复初始化程序和透明处理参数的责任。

下一层风险与开发人员如何描述电路中的逻辑并将其连接到系统的其他部分有关。每一个遗漏的不变量、交换的索引、错误的范围检查或错误的公共输入集都会成为一个漏洞，而网络的鲁棒性或操作员的声誉是无法弥补的。外部观察者只能看到证明通过了验证，却看不到团队将哪些条件纳入了方案，哪些条件没有纳入。因此，任何依赖于 ZK-Proof 系统的系统在电路设计和验证方面都需要与开发区块链内核或虚拟机引擎相同的严谨性。

审计是另一个挑战。团队必须向审计人员提供智能合约、网络逻辑、电路描述、加密证明的实现、安全参数规范和更新流程。支持的计算类别、目标安全深度或状态结构的任何变化都需要一个新的分析周期。能够完全读取和验证此类结构的专家人数有限，因此每次审计迭代都必须在时间和资源方面进行规划。如果团队忽视了这一因素，就会有效地部署一个系统，其安全基础只为一小部分开发人员所了解，而其他参与者则在信任的基础上接受它。

因此，零知识技术加强了 Web3 的安全性，但并没有消除设计和运行方面的责任。ZK-SNARK 和其他 ZK-Proof 系统可以严格固定规则，缩小操作员任意操作的空间，但与此同时，它们也创建了一层新的关键基础设施，其中的每个设计、实施或操作错误都会立即成为攻击面的一部分。只有当团队围绕这些方案建立了完整的开发、测试、审计和风险管理生命周期时，协议才能真正从这些方案中获益。

您不必是一名工程师，也可以了解加密项目的关键组成部分，对其进行全面评估，并认识到其真正的潜力、能力和风险。获取 DYOR Crypto Checklist：投资前评估加密货币项目

结论

零知识证明，更具体地说是 ZK-SNARK 与其他 ZK-Proof 系统的结合，最终将成为支持 Web3 中的隐私、以太坊扩展的真正变种以及 Web3 安全的重要部分的基础。这项技术仅仅存在是不够的：重要的是协议如何使用它来确定处理数据和状态的规则，哪些语句会被推送到加密层，哪些仍留在组织协议和基础设施信任的区域。

实际上，对任何依赖于零知识证明的网络或协议进行合理分析，都需要进行几项检查。首先，要分析选择了哪种特定类型的零知识证明系统，以及该系统在证明大小、生成和验证成本、对可信设置的依赖以及更新计划等方面的权衡。然后再看看堆栈提供的真正隐私水平：哪些数据保持开放、如何组织对隐私片段的访问控制、团队正式确定了哪些披露方案，以及将哪些方案留给操作员自行决定。另一层分析涉及 Web3 的安全性：项目如何透明地修复电路中的不变式，如何构建实现验证过程，以及生态系统中谁有能力独立重新检查这些决定。

因此，零知识技术并不能自动使网络变得可靠或有前途。零知识技术定义了一种新的工具，它能加强设计良好的协议，同时快速惩罚肤浅的解决方案。如果一个团队能清楚地解释零知识证明和 ZK-SNARK 在架构中的作用，它们引入了哪些限制，以及哪些风险得到了控制，那么你所面对的就是一个值得进一步研究的堆栈；如果该技术只是作为一种泛泛的说法出现，而没有与隐私、扩展和安全的明确联系，那么这就是一个需要特别谨慎的信号。

Stack 10% More on Your First BTCC Deposit

Start Trading

常见问题

什么是加密货币中的 ZK-SNARK？

密码中的 ZK-SNARK 是一种零知识证明方案，可以在不透露输入数据的情况下证明计算的正确性。它之所以重要，是因为它可以提供一个非常紧凑的证明，网络验证的速度比原始计算本身快得多。

ZK-SNARK 如何工作？

开发者将逻辑描述为算术电路或约束系统，并运行创建公共参数的设置。证明者获取公共输入和私人见证，并利用它们建立一个证明，证明所有约束条件都得到了满足。验证者只使用公共输入、证明和参数来检查正确性，而无需了解私人数据。

ZK-SNARK 代表什么？

ZK-SNARK 代表零知识简洁非交互式知识论证。零知识是指证明不会泄露秘密数据；简洁是指证明简短，可以快速验证；非交互是指证明者只需向验证者发送一条信息即可；知识论证是指如果没有证人的真实知识，几乎不可能生成有效的证明。

以太坊中如何使用 ZK-SNARK？

在以太坊生态系统中，ZK-SNARKs 主要用于 zk-rollups 和 zkEVM，证明 L1 合约的大批量 L2 交易的正确性。此外，它们还应用于私人转账、链上验证链下计算以及桥接和身份系统中的状态证明等单个协议中。

ZK-SNARK 与 ZK-STARK 有什么区别？

ZK-SNARK 通常依赖于椭圆曲线上的配对，需要一个可信的设置，并提供非常小的证明和低成本的验证，但它基于更复杂的假设。ZK-STARK 建立在基于散列的基元上，不需要可信的设置，从长远来看和在后量子环境中看起来更好，但它的证明更大，需要更多带宽。

ZK-SNARKs 用于隐私保护还是扩展？

它们既可用于隐私保护，也可用于扩展。在隐私协议中，ZK-SNARK 隐藏了参与者之间的值和关系，网络只能看到规则的正确性。在扩展解决方案中，ZK-SNARK 可以在 L1 以外执行交易，将其打包成批，并通过单个证明进行确认，从而降低基础网络的负载。

哪些区块链使用 ZK-SNARK 技术？

在遵循 Zcash 模式的设计系列中，ZK-SNARK 是私有 L1 的核心。Filecoin 将其广泛用于数据存储证明。在以太坊上，许多 zk-rollup 和 zkEVM 都依赖 ZK-SNARK 来证明它们的状态，还有一些新的 L1 最初也是围绕这个方案来设计它们的状态和交易的。

ZK-SNARK 交易是匿名的吗？

它们可以隐藏金额、收件人地址和所有权结构，但匿名性完全取决于协议设计和用户行为。网络元数据、使用模式和交易中的附加字段都会使用户失去匿名性，即使证明本身不会泄露传输图。

为什么 ZK-SNARK 对 Web3 很重要？

ZK-SNARK 可以在减少链上公共数据和计算量的同时保持加密可验证性。因此，Web3 协议可以实现私有资产和身份，将大量计算转移到链外，并在共享层而不是单独的可信服务中确认结果。

零知识技术是否安全可靠？

如果假设成立，零知识和现代 ZK-Proof 系统的基本理论在密码学上是稳健的。真正的风险在于可信设置、电路设计、实施和更新过程，因此此类系统的安全性取决于工程质量、测试和审计，就像共识和虚拟机的安全性一样严格。