關於 區 塊 鏈 橢圓曲線 ，我們在網路上蒐集到這些相關的討論、資訊與評價

📜 [專欄新文章] [ZKP 讀書會] Trust Token Browser API
✍️ Yuren Ju
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Trust Token API 是一個正在標準化的瀏覽器 API，主要的目的是在保護隱私的前提下提供跨站授權 (Cross-domain authorization) 的功能，以前如果需要跨站追蹤或授權通常都使用有隱私疑慮的 Cookies 機制，而 Trust Token 則是希望在保護隱私的前提下完成相同的功能。

會在 ZKP (Zero-knowledge proof) 讀書會研究 Trust Token 主要是這個 API 採用了零知識證明來保護隱私，這也是這次讀書會中少見跟區塊鏈無關的零知識證明應用。

問題

大家應該都有點了一個產品的網頁後，很快的就在 Facebook 或是 Google 上面看到相關的廣告。但是產品網頁並不是在 Facebook 上面，他怎麼會知道我看了這個產品的頁面？

通常這都是透過 Cookie 來做跨網站追蹤來記錄你在網路上的瀏覽行為。以 Facebook 為例。

當使用者登入 Facebook 之後，Facebook 會透過 Cookie 放一段識別碼在瀏覽器裡面，當使用者造訪了有安裝 Facebook SDK 來提供「讚」功能的網頁時，瀏覽器在載入 SDK 時會再度夾帶這個識別碼，此時 Facebook 就會知道你造訪了特定的網頁並且記錄下來了。如此一來再搭配其他不同管道的追蹤方式，Facebook 就可以建構出特定使用者在網路上瀏覽的軌跡，從你的瀏覽紀錄推敲喜好，餵給你 Facebook 最想給你看的廣告了。

不過跨站追蹤也不是只能用在廣告這樣的應用上，像是 CDN (Content Delivery Network) 也是一個應用場景。CDN 服務 Cloudflare 提供服務的同時會利用 Captcha 先來確定進入網站的是不是真人或是機器人。而他希望使用者如果是真人時下次造訪同時也是採用 Cloudflare 服務的網站不要再跳出 Captcha 驗證訊息。

雖然 Cloudflare 也需要跨站驗證的功能來完成他們的服務，但是相較於 Google 或 Facebook 來說他們是比較沒那麼想知道使用者的隱私。有沒有什麼辦法可以保護使用者隱私的狀況下還能完成跨站驗證呢？

這就是今天要講的新 API: Trust Token。

Trust Token API - The Chromium Projects

Trust Token / Privacy Pass 簡介

Trust Token 其實是由 Privacy Pass 延伸而來。Privacy Pass 就是由 Cloudflare 所開發的實驗性瀏覽器延伸套件實作一個驗證機制，可以在不透漏過多使用者隱私的前提下實作跨站驗證。而 Trust Token 則是標準化的 Privacy Pass，所以兩個運作機制類似，但是實作方式稍有不同。

先看一下 Privacy Pass 是如何使用。因為這是實驗性的瀏覽器延伸套件所以看起來有點陽春，不過大致上還是可以了解整個概念。

以 hCaptcha 跟 Cloudflare 的應用為例，使用者第一次進到由 Cloudflare 提供服務的網站時，網站會跳出一些人類才可以解答的問題比如說「挑出以下是汽車的圖片」。

當使用者答對問題後，Cloudflare 會回傳若干組 blind token，這些 blind token 還會需要經過 unblind 後才會變成真正可以使用的 token，這個過程為 issue token。如上圖所示假設使用者這次驗證拿到了 30 個 token，在每次造訪由 Cloudflare 服務的網站時就會用掉一個 token，這個步驟稱為 redeem token。

但這個機制最重要的地方在於 Cloudflare 並無法把 issue token 跟 redeem token 這兩個階段的使用者連結在一起，也就是說如果 Alice, Bob 跟 Chris 都曾經通過 Captcha 測試並且獲得了 Token，但是在後續瀏覽不同網站時把 token 兌換掉時，Clouldflare 並無法區分哪個 token 是來自 Bob，哪個 token 是來自 Alice，但是只要持有這種 token 就代表持有者已經通過了 Captcha 的挑戰證明為真人。

但這樣的機制要怎麼完成呢？以下我們會透過多個步驟的例子來解釋如何達成這個目的。不過在那之前我們要先講一下 Privacy Pass 所用到的零知識證明。

零知識證明 (Zero-knowledge proof)

零知識證明是一種方法在不揭露某個祕密的狀態下，證明他自己知道那個秘密。

Rahil Arora 在 stackexchange 上寫的比喻我覺得是相對好理解的，下面簡單的翻譯一下：

假設 Alice 有超能力可以幾秒內算出樹木上面有幾片樹葉，如何在不告訴 Bob 超能力是怎麼運作並且也不告訴 Bob 有多少片葉子的狀況下證明 Alice 有超能力？我們可以設計一個流程來證明這件事情。

Alice 先把眼睛閉起來，請 Bob 選擇拿掉樹上的一片葉子或不拿掉。當 Alice 睜開眼睛的時候，告訴 Bob 他有沒有拿掉葉子。如果一次正確的話確實有可能是 Alice 幸運猜到，但是如果這個過程連續很多次時 Alice 真的擁有數葉子的超能力的機率就愈來愈高。

而零知識證明的原理大致上就是這樣，你可以用一個流程來證明你知道某個秘密，即使你不真的揭露這個秘密到底是什麼，以上面的例子來說，這個秘密就是超能力運作的方式。

以上就是零知識證明的概念，不過要完成零知識證明有很多各式各樣的方式，今天我們要介紹的是 Trust Token 所使用的零知識證明：DLEQ。

DLEQ (Discrete Logarithm Equivalence Proof)

說明一下以下如果小寫的變數如 c, s 都是純量 (Scalar)，如果是大寫如 G, H則是橢圓曲線上面的點 (Point)，如果是 vG 則一樣是點，計算方式則是 G 連續相加 v 次，這跟一般的乘法不同，有興趣可以程式前沿的《橢圓曲線加密演算法》一文解釋得比較詳細。

DLEQ 有一個前提，在系統中的所有人都知道公開的 G 跟 H 兩個點，此時以下等式會成立：

假設 Peggy 擁有一個秘密 s 要向 Victor 證明他知道 s 為何，並且在這個過程中不揭露 s 真正的數值，此時 Victor 可以產生一個隨機數 c 傳送給 Peggy，而 Peggy 則會再產生一個隨機數 v 並且產生 r，並且附上 vG, vH, sG, sH：

r = v - cs

所以 Victor 會得到 r, sG, sH, vG, vH 再加上他已經知道的 G, H。這個時候如果 Victor 計算出以下兩個等式就代表 Peggy 知道 s 的真正數值：

vG = rG + c(sG)vH = rH + c(sH)

我們舉第二個等式作為例子化簡：

vH = rH + c(sH) // 把 r 展開成 v - csvH = (v - cs)H + c(sH) // (v - cs)H 展開成 vH - csHvH = vH - c(sH) + c(sH) // 正負 c(sH) 消掉vH = vH

這樣只有 Peggy 知道 s 的狀況下才能給出 r，所以這樣就可以證明 Peggy 確實知道 s。

從簡易到實際的情境

Privacy Pass 網站上透過了循序漸進的七種情境從最簡單的假設到最後面實際使用的情境來講解整個機制是怎麼運作的。本文也用相同的方式來解釋各種情境，不過前面的例子就會相對比較天真一點，就請大家一步步的往下看。

基本上整個過程是透過一種叫做 Blind Signature 的方式搭配上零知識證明完成的，以下參與的角色分為 Client 與 Server，並且都會有兩個階段 issue 與 redeem token。

Scenario 1

如果我們要設計一個這樣可以兌換 token 來確認身分的系統，其中有一個方法是透過橢圓曲線 (elliptic curve) 完成。Client 挑選一個在橢圓曲線上的點 T 並且傳送給 Server，Server 收到後透過一個只有 Server 知道的純量 (scalar) s 對 T 運算後得到 sT 並且回傳給 Client，這個產生 sT 的過程稱為 Sign Point，不過實際上運作的原理就是橢圓曲線上的連續加法運算。

SignPoint(T, s) => sT

等到 Client 需要兌換時只要把 T 跟 sT 給 Server，Server 可以收到 T 的時候再 Sign Point 一次看看是不是 sT 就知道是否曾經 issue 過這個 token。

Issue

以下的範例，左邊都是 Client, 右邊都是 Server。 -> 代表 Client 發送給 Server，反之亦然。

// Client 發送 T 給 Server, 然後得到 sT

T -> <- sT

Redeem

// Client 要 redeem token 時，傳出 T 與 sT

T, sT ->

問題：Linkability

因為 Server 在 issue 的時候已經知道了 T，所以基本上 Server 可以透過這項資訊可以把 issue 階段跟 redeem 階段的人連結起來進而知道 Client 的行為。

Scenario 2

要解決上面的問題，其中一個方法是透過 Blind Signature 達成。Client 不送出 T，而是先透過 BlindPoint 的方式產生 bT 跟 b，接下來再送給 Server bT。Server 收到 bT 之後，同樣的透過 Sign Point 的方式產生結果，不一樣的地方是情境 1 是用 T，而這邊則用 bT 來作 Sign Point，所以得出來的結果是 s(bT)。

Client:BlindPoint(T) => (bT, b)

Server:SignPoint(bT, s) => sbT

而 Blind Signature 跟 Sign Point 具備了交換律的特性，所以得到 s(bT) 後可以透過原本 Client 已知的 b 進行 Unblind：

UnblindPoint(sbT, b) => sT

這樣一來在 Redeem 的時候就可以送出 T, sT 給 Server 了，而且透過 SignPoint(T, s) 得出結果 sT’ 如果符合 Client 傳來的 sT 就代表確實 Server 曾經簽過這個被 blind 的點，同時因為 T 從來都沒有送到 Server 過，所以 Server 也無法將 issue 與 redeem 階段的 Client 連結在一起。

Issue

bT -> <- s(bT)

Redeem

T, sT ->

問題：Malleability

以上的流程其實也有另外一個大問題，因為有交換律的關係，當 Client 透過一個任意值 a 放入 BlindPoint 時產生的 a(sT) 就會等於 s(aT)：

BlindPoint(sT) => a(sT), a// a(sT) === s(aT)

此時如果將 aT 跟 s(aT) 送給 Server Redeem，此時因為

SignPoint(aT, s) => s(aT)

所以就可以兌換了，這樣造成 Client 可以無限地用任意數值兌換 token。

Scenario 3

這次我們讓 Client 先選擇一個純數 t，並且透過一種單向的 hash 方式來產生一個在橢圓曲線上的點 T，並且在 redeem 階段時原本是送出 T, sT 改成送出 t, sT。

因為 redeem 要送出的是 t，上個情境時透過任意數 a 來產生 s(aT) 的方法就沒辦法用了，因為 t 跟 sT 兩個參數之間並不是單純的再透過一次 BlindPoint() 就可以得到，所以就沒辦法無限兌換了。

Issue

T = Hash(t) bT -> <- sbT

Redeem

t, sT ->

問題：Redemption hijacking

在這個例子裏面，Client 其實是沒有必要傳送 sT 的，因為 Server 僅需要 t 就可以計算出 sT，額外傳送 sT 可能會導致潛在的 Redemption hijacking 問題，如果在不安全的通道上傳輸 t, sT 就有可能這個 redemption 被劫持作為其他的用途。

不過在網站上沒講出實際上要怎麼利用這個問題，但是少傳一個可以計算出來的資料總是好的。Client 只要證明他知道 sT 就好，而這可以透過 HMAC (Hash-based Message Authentication Code) 達成。

Scenario 4

步驟跟前面都一樣，唯一不一樣的地方是 redeem 的時候原本是傳 t, sT，現在則改傳 t, M, HMAC(sT, M)，如果再介紹 HMAC 篇幅會太大，這邊就不解釋了，但可以是作是一個標準的 salt 方式讓 Hash 出來的結果不容易受到暴力破解。

這樣的特性在這個情境用很適合，因為 Server 透過 t 就可以計算出 sT，透過公開傳遞的 M 可以輕易地驗證 client 端是否持有 sT。

Issue

T = Hash(t) bT -> <- sbT

Redeem

t, M, HMAC(sT, M) ->

問題：Tagging

這邊的問題在於 Server 可以在 issue 階段的時候用不一樣的 s1, s2, s3 等來發出不一樣的 sT’，這樣 Server 在 Redeem 階段就可以得知 client 是哪一個 s。所以 Server 需要證明自己每次都用同樣的 s 同時又不透漏 s 這個純亮。

要解決這個問題就需要用到前面我們講解的零知識證明 DLEQ 了。

Scenario 5

前面的 DLEQ 講解有提到，如果有 Peggy 有一個 s 秘密純量，我們可以透過 DLEQ 來證明 Peggy 知道 s，但是又不透漏 s 真正的數值，而在 Privacy Pass 的機制裡面，Server 需要證明自己每次都用 s，但是卻又不用揭露真正的數值。

在 Issue 階段 Client 做的事情還是一樣傳 bT 給 Server 端，但 Server 端的回應就不一樣了，這次 Server 會回傳 sbT 與一個 DLEQ 證明，證明自己正在用同一個 s。

首先根據 DLEQ 的假設，Server 會需要先公開一組 G, H 給所有的 Client。而在 Privacy Pass 的實作中則是公開了 G 給所有 Client，而 H 則改用 bT 代替。

回傳的時候 Server 要證明自己仍然使用同一個 s 發出 token，所以附上了一個 DLEQ 的證明 r = v - cs，Client 只要算出以下算式相等就可證明 Server 仍然用同一個 s (記住了 H 已經改用 bT 代替，此時 client 也有 sbT 也就是 sH)：

vH = rH + c(sH) // H 換成 bTvbT = rbT + c(sbT) // 把 r 展開成 v - csvbT = (v - cs)bT + c(sbT) // (v - cs)bT 展開成 vbT - csbTvbT = vbT - c(sbT) + c(sbT) // 正負 c(sbT) 消掉vbT = vbT

這樣就可以證明 Server 依然用同一個 s。

Issue

T = Hash(t) bT -> <- sbT, DLEQ(bT:sbT == G:sG)

Redeem

t, M, HMAC(sT, M) ->

問題：only one redemption per issuance

到這邊基本上 Privacy Pass 的原理已經解釋得差不多了，不過這邊有個問題是一次只發一個 token 太少，應該要一次可以發多個 token。這邊我要跳過源文中提到的 Scenario 6 解釋最後的結果。

Scenario 7

由於一次僅產生一個 redeem token 太沒效率了，如果同時發很多次，每次都產生一個 proof 也不是非常有效率，而 DLEQ 有一個延伸的用法 “batch” 可以一次產生多個 token, 並且只有使用一個 Proof 就可以驗證所有 token 是否合法，這樣就可以大大的降低頻寬需求。

不過這邊我們就不贅述 Batch DLEQ 的原理了，文末我會提及一些比較有用的連結跟確切的源碼片段讓有興趣的人可以更快速的追蹤到源碼片段。

Issue

T1 = Hash(t1) T2 = Hash(t2)T3 = Hash(t3)b1T1 ->b2T2 ->b3T3 -> c1,c2,c3 = H(G,sG,b1T1,b2T2,b3T3,s(b1T1),s(b2T2),s(b3T3)) <- sb1T1 <- sb2T2 <- sb3T3 <- DLEQ(c1b1T1+c2b2T2+c3b3T3:s(c1b1T1+c2b2T2+c3b3T3) == G: sG)

Redeem

t1, M, HMAC(sT1, M) ->

結論

Privacy Token / Trust Token API 透過零知識證明的方式來建立了一個不需要透漏太多隱私也可以達成跟 cookie 相同效果的驗證方式，期待可以改變目前許多廣告巨頭透過 cookie 過分的追蹤使用者隱私的作法。

不過我在 Trust Token API Explainer 裡面看到這個協議裡面的延伸作法還可以夾帶 Metadata 進去，而協議制定的過程中其實廣告龍頭 Google 也參與其中，希望這份協議還是可以保持中立，盡可能地讓最後版本可以有效的在保護隱私的情況下完成 Cross-domain authorization 的功能。

參考資料

IETF Privacy Pass docs

Privacy Pass: The Protocol

Privacy Pass: Architectural Framework

Privacy Pass: HTTP API

Cloudflare

Supporting the latest version of the Privacy Pass Protocol (cloudflare.com)

Chinese: Cloudflare支持最新的Privacy Pass扩展_推动协议标准化

Other

Privacy Pass official website

Getting started with Trust Tokens (web.dev)

WICG Trust Token API Explainer

Non-interactive zero-knowledge (NIZK) proofs for the equality (EQ) of discrete logarithms (DL) (asecuritysite.com) 這個網站非常實用，列了很多零知識證明的源碼參考，但可惜的是 DLEQ 這個演算法講解有錯，讓我在理解演算法的時候撞牆很久。所以使用的時候請多加小心，源碼應該是可以參考的，解釋的話需要斟酌一下。

關鍵源碼

這邊我貼幾段覺得很有用的源碼。

privacy pass 提供的伺服器端產生 Proof 的源碼

privacy pass 提供的瀏覽器端產生 BlindPoint 的源碼

github dedis/kyber 產生 Proof 的源碼

[ZKP 讀書會] Trust Token Browser API was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] Boomerang: 在支付通道網路中利用冗餘改進Latency以及Throughput
✍️ Brian Po-han Chen
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

上個月去參加Stanford Blockchain Conference 2020，聽到了許多我覺得很有趣的新題目，有時間再一一分享

我一直對區塊鏈的Scalability很有興趣，如果你不是非常熟悉閃電網路，我建議可以看一下陳品在Coscup19的演講．

前幾年許多人在討論Atomic Multi-Path Payments (AMP)，原因是當支付通道的金額越高，Client需要在通道中存越高的金額，並且整個網路越難找到適合的支付路徑，Liquidity也會降低．所以Idea就是把大筆的金額分成多個小筆的金額透過不同的路徑付給收取人，但是問題是在網路中這筆應付款項可能會部分成功、部分失敗；所以同時讓所有的微支付交易可以做到Atomic就是這一個題目的挑戰．

AMP 也很常因為部分路徑上的交易延遲或者失敗，而使得完成交易的時間變得很長(long time-to-completion)、減緩已成功的微支付交易的Liquidity、最後使得整個網路的Throughput變差．

舉例：Alice 要轉帳給Bob 4塊錢，透過4個不同的路徑各自轉1塊錢

在上述例子中，AMP整體消耗的Liquidity是$4 * 4 = $16 sec

假設一下如果Alice可以分成8個路徑(增加額外4個冗餘路徑)各自付1塊錢，使得只要其中的4個路徑完成並且Bob不會偷額外的金額，AMP就算完成

在上述例子中，AMP整體消耗變成$1*6 + $2*4 = $14 sec

上面兩個例子都還是假設每個路徑會成功的情況，若是有中間節點crash或者是delay超久，冗餘路徑可以大幅的改進這筆交易的Latency以及整個網路的Throughput跟Liquidity

不過要怎麼保證Bob不會拿額外冗餘路徑上的錢呢？

先講一個這篇文章使用到的重要密碼學工具，利用區塊鏈橢圓曲線上的循環群特性可得到以下的同態特性

Boomerang利用同態特性以及Publicly Verifiable Secret Sharing (有關secret sharing可以參考Kimi的文章)所構成的preimages 和 preimages challenges使得當Bob overdraws款項時，Alice會得到Bob設定的秘密 alpha_0，而Boomerang contract做了一個HTLC-type的限制，當Alice得到alpha_0，則Alice可以revert這筆微支付．

首先，Alice跟Bob同意了將一筆價值v的交易切成v個1塊錢的微支付交易，另外利用額外的u個冗餘路徑來增加效率(BTW 可以不止u個，理論上無限個也可以)，所以全部的路徑為v+u

Bob設定一個degree為v的多項式P(x)，係數為alpha_0, alpha_1,…,alpha_v

接著Bob 將H(alpha_0), H(alpha_1),…,H(alpha_v)交給Alice來commit 這組P(x)，因此Alice可以算出

對於第i-th路徑的微支付交易(HTLC-type)來說，Bob只要揭露preimage P(i)便可以redeem這筆微交易，Bob只要揭露在v個路徑上對應的每一個P(i)就可以得到總額v的交易．而當Bob揭露了v+1個P(i)時，Alice就可以利用插值法將係數算出來取得alpha_0並且revert全部的微交易．

大致上的架構是這樣，有一些實作的細節像是微交易的手續費、設定的延遲時間、合約的script可以去參考paper或者跟我討論，感謝

Reference:

Boomerang: Redundancy Improves Latency and Throughput in Payment-Channel Network

Boomerang: 在支付通道網路中利用冗餘改進Latency以及Throughput was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] TEM 區塊鏈基礎教育第三階段 — 跨出工程師只會寫 Code 的既有框架
✍️ Phini Yang
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

TEM 區塊鏈基礎教育第三階段 — 跨出工程師只會寫 Code 的既有框架

本課程著重在進入區塊鏈產業所需具備的基礎知識。

區塊鏈技術是橫跨多領域所組成，並又接著在各領域知識的基礎上創新。從網路結構的外觀來看，系統以眾多節點以點對點架構組成，相異於主流日常生活使用網路服務的主從式架構。節點間對資料取得共識的機制也須追溯到分散式系統的研究。

在以太坊以來，客製化虛擬機以進行運算也成顯學，這塊又屬於編譯器的領域知識。不論在共識層或應用層，系統倚賴密碼學的工具。最後利用區塊鏈簿記上的資產進行獎勵或懲罰來讓系統參與者作出行動，需要經濟學上的工具。

即使在五年之前進入區塊鏈圈，要能夠一次把這所有的領域接觸過也非容易。這次課程取得在各自領域專精的講者，把每個領域重要的概念提過，並點出與區塊鏈關聯的重點。

目標並非讓學習者能夠完全掌握所有的領域，而是

降低日後自行學習的障礙，知道可以從哪裡開始看

知道哪些領域有學習者自己領域能夠切入合作的缺口

知道各種領域的瓶頸及前沿研究是什麼。

課程的安排除了前述眾領域的介紹，最後有一門「客戶端原始碼分析」，全節點便是整個抽象共識機制的具體軟體實作，有了前面的基礎，看到程式碼會比較知道背後設計的原因。

為什麼從以太坊開始學？

以太坊鏈上的 Dapp ，不論是在數量或是應用的範圍上，皆遙遙領先其他主鏈。各大主流區塊鏈應用的衍生，也是以以太坊為基礎發展而成。 以太坊目前仍是區塊鏈中最具開源文化的生態系之一，技術支援也是所有公鏈中最完整的，有著最豐富的研究者社群與概念創新。

課程時數與費用

課程將分成三階段，每階段授課 12 小時，形式包含講課與實作。
每一階段 12 小時收費 $4,800 元，早鳥票 $3,600，三人團報價 $3,000/1 人。
課程人數最多 30 人為主，最低開班人數 10 人。

🎁 立馬去購票 🎁

https://www.accupass.com/event/1911150750032715966110

❓有任何問題，請聯繫 Phini Yang (Mail)

以下為每堂課程詳細介紹，以供學員理解：

1. 經濟學原理 — 賽局理論/供需 By 梁智程, 以太坊基金會

為什麼要學習這項課程？

區塊鏈無論是底層協議，或是去中心化應用，系統經常需要設計誘因，並假設系統的多數參與者會依據誘因，做出對自己最有利的行動，利用那樣的行動維持系統運作。

要討論、分析、設計誘因，經濟學上已有累積已久的語言與工具。因此我們常會在區塊鏈的文章中看到從古典的供給與需求[1]、共有財的悲劇[2] 、或是較現代的賽局理論、機制設計、拍賣等術語。

這些觀念可能對無經濟學背景的開發者較難掌握。我會試圖在有限時間之內，介紹主要常用的經濟學概念，並點出有運用到這些概念的相關區塊鏈文獻。我們也會介紹到因為區塊鏈特殊的環境，所產生新的機制設計的挑戰以及機會。

這項技術可運用在哪？

要設計區塊鏈相關系統，通常需要理解經濟學相關知識。

課程大綱

1⃣ 經濟學原理
- 供給與需求
- 外部性與公共財
- 區塊鏈範例：區塊鏈運算資源

2⃣ 賽局
基本定義：玩家、報酬、策略、均衡
非合作賽局 vs 合作賽局

3⃣ 機制設計
- VCG 最佳機制設計
- 區塊鏈範例
第二價拍賣的手續費 [3]
賄賂攻擊 [4]、反機制 [5] 與全知識證明 [6]
- 激進市場範例
平方投票

2. 虛擬機 EVM By 戴宏穎 (海帶), Second State

為什麼要學習這項課程？

虛擬機就像是肝臟，雖然是人體中沈默的器官，但沒有這個元件，整個系統就會失去作用。

對於使用者而言，不論是在 Ethereum 上轉 Ether 、部署合約、或者呼叫合約，基本上都不會注意到有虛擬機的存在。可這個無感的存在卻是合約能夠執行的核心關鍵。如果今天沒有虛擬機，那 Ethereum 就無法撰寫 smart contract 、無法執行 DApp (迷戀貓、去中心化交易所等應用)。

這項技術可運用在哪？

除了是設計有執行合約能力的區塊鏈系統中必備的元件外，理解虛擬機也能幫助我們在裡頭進行效能的最佳化與增加新的特殊功能（產生隨機數、進行 hash 運算等）。

課程大綱

1⃣ 深入淺出 EVM
- 虛擬機概論
- EVM 核心元件
- 理解 EVM 內部的運作過程

2⃣ 實作
- 增加一個新的 opcode magic
- 增加產生隨機數的 opcode rand (EVM 的隨機該怎麼做)

3⃣ Eth 2.0
- Ewasm Virtual Machine

3. 共識機制—PBFT/PoS/Casper FFG By 邱駿, UnityChain

為什麼要學習這項課程？

PBFT（Practical Byzantine Fault Tolerance）誕生至今已逾 20 年。它的發明源於分散式系統中一個著名的共識難題：拜占庭將軍問題（Byzantine Generals Problem）。PBFT 並不是一個針對全開放環境的共識協定 — 事實上在區塊鏈出現之前，並未出現任何一個針對開放環境的拜占庭容錯共識。區塊鏈的橫空出世啟發了研究人員再度審視 PBFT 這個經典。

PBFT 具有一些與區塊鏈截然不同的特性，這提供了改進區塊鏈一些有用的思路，例如以PBFT為基礎建立的權益證明(Proof-of-stake)模型。儘管在區塊鏈蓬勃發展的今日，PBFT這個經典仍然蘊含許多值得研究人員反覆推敲的巧思，其後續也衍生出非常多新協定，例如 Tendermint / HotStuff / Harmony FBFT 等等。

以太坊對權益證明（Proof-of-Stake, PoS）的研究最早可追朔至 2014 年。從此之後，以太坊研究員們便一直朝「實現基於 PoS 的共識協定」此一目標前進。PoS 共識的設計是一個跨領域且相當複雜的問題，其包含計算機科學 / 經濟學 / 密碼學等面向。以太坊擁有區塊鏈生態系中最跨領域的團隊，對 PoS 的研究可以說是相當透徹。

課程大綱

1⃣ 什麼是共識？
- 什麼是狀態機？
- 為什麼需要共識？
- 為什麼共識這麼難？
- 正確的共識：安全性（Safety）與活躍性（Liveness）
- 共識一定可以達成嗎？

2⃣ PBFT 共識協定
- 協定概論
- 安全性與活躍性分析
- 特性分析

3⃣ PoS 共識協定
- 什麼是砍押金/砍押金條件?
- PBFT 最小砍押金條件
- 為什麼 PoS 這麼難設計?

4⃣ Casper FFG
- 協定
- 特性分析
- 改進 PBFT
- 與 Eth 2.0 整合

4. 密碼學原理 — 橢圓曲線/零知識證明 By 吳偉誠 (Kimi), UnityChain

為什麼要學習這項課程？

隱私在現今世界越來越受重視，但是區塊鏈上任何的交易都是公開透明的，要如何在使用區塊鏈的同時又享有隱私，零知識證明是目前最好的解決方案。

這項技術可運用在哪？

零知識證明除了使用在隱私外，也能有效率的驗證資料，進而提高交易速度。

課程大綱

1⃣ 橢圓曲線簡介

2⃣ Shamir’s Secret Sharing 介紹與應用

3⃣ 零知識證明
- 零知識證明簡介
- zk-SNARKs
- 零知識技術的應用與比較

4⃣ 手把手實作
- circom 語法及指令

5. 點對點 p2p 系統 By 賈脈瑄, 以太坊基金會

為什麼要學習這項課程？

區塊鏈本身基於點對點（Peer-to-Peer, 簡稱 P2P）網路。大家都知道共識層的重要，但常常沒意識到網路層的安全也很重要。

P2P 網路的術語及概念本身也很分散，經常散落在網路各處難以系統化的學習。不同的使用情景造就了不同的設計，近年區塊鏈興起，也帶起了和區塊鏈有關的 P2P 系統研究。這門課會帶過 P2P 系統中常用及重要的設計與理由，並介紹區塊鏈系統們怎麼應用這項技術。

這項技術可運用在哪？

實作去中心化網路，譬如區塊鏈網路。不同區塊鏈可以設計特化且有效率的 P2P network。

課程大綱

1⃣ P2P networking 基礎
- 歷史背景
- Overlay
- Requirements for p2p networks
- Unstructured networks
- Structured networks: DHT
- Gossiping

2⃣ 區塊鏈的 P2P networking
- Difference from the classical p2p networks
- Cases study
・Ethereum or Bitcoin
・Ethereum 2.0
- Library: libp2p

6. 客戶端(Geth)原始碼分析 By Miya Chen, AMIS

為什麼要學習這項課程？

Ethereum 擁有非常活躍的開發生態系，以 go-ethereum 為例，透過分析原始碼更加了解 Ethereum 協議運作過程。

這項技術可運用在哪？

根據自身需求客製化模組邏輯，例如：修改 miner 打包 transaction 的順序。

新增 RPC API，例如：subscribe API。

記錄額外的 blockchain 資料，例如：每一個 block 其所有 account balance 和 storage 的差值。

課程大綱

1⃣ Geth 架構介紹

2⃣ 理解 tx pool 運作過程

3⃣ Event subscription 的實作

4⃣ 手把手實作: 客製化 tx pool

課程時數與費用

課程將分成三階段，每階段授課 12 小時，形式包含講課與實作。
每一階段 12 小時收費 $4,800 元，早鳥票 $3,600，三人團報價 $3,000/1 人。
課程人數最多 30 人為主，最低開班人數 10 人。

🎁 立馬去購票 🎁

https://www.accupass.com/event/1911150750032715966110

❓有任何問題，請聯繫 Phini Yang (Mail)

TEM 區塊鏈基礎教育第三階段 — 跨出工程師只會寫 Code 的既有框架 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌