《
零知证明与 zkEVM:从何而来,去往何处?
》
来源:ChainCatcher链铺手
一、零知证明
首先我们需要明确,零知证明(ZKP)真的很难。
如果我们用几句话简单概括 ZKP 的话,一定会产生理解与事实上的偏差。但是我们相信在 TL;DR 的巨大魅力面前,大家都不会过于在意的。下面就让我们以实际生活为背景,描述三个场景的递进,来形象地理解 ZKP 的原理。
场景 A:
想象一个暑假结束开学了,老师检查《暑假生活》的场景,全班同学交上来一摞厚厚的大本子。老师是不可能一道题一道题批改的,于是他开始快速翻动眼前的练习册,以作业本上有没有留空白来检查学生是不是把每道题都写了。
在这个场景下老师并不知道每道题学生是否答题正确,只是他能确定学生有没有完成作业。
场景 B:
他发现有一些同学在空白处填上意义不明的内容如和路雪棒棒冰、肯德基疯狂星期四等等,他才意识到自己是过于天真了——学生们偷奸耍滑。于是他把作业全部打回去,宣布自己将要抽查部分题目,希望同学们认真对待。
在这个场景下老师通过随机抽查验证非常小部分的题目以确定学生有没有正确地完成作业。
场景 C:
老师再把作业收上来检查后,大部分同学因为惧怕抽查好好完成了作业,老师表示比较满意。然而总有一些人继续偷奸耍滑,他们会在随机少量题目下瞎写。而老师只能随机抽查部分题目,若不是部分人运气不好恰好撞上被抽查那道题,又险些被他们混过去。
所以老师最终还是需要一个方案,既能保证学生每道题都正确完成了,还可以尽可能降低自己的工作量。
这就是目前区块链中零知证明真正克服的困难:如何在验证尽量少的题目的同时,保证答案整体的正确性。在以上的场景中,每道题的答案之间并没有任何的逻辑联系,即这一道题的正确与否与另外一道题的正确与否无关。所以,是否有一种巧妙的方式,让老师在抽查一道题并判断正确与否的同时,就能知道学生整本作业是不是全部回答正确的?
那么,以下是超现实部分:老师想要把所有正确的答案「串」起来,并为此引入了新的数学工具:多项式。通过构造含多项式的等式进行验证,能够几乎同时确认同学们的答案部分个体与整体的正确性。这样,老师终于可以放心地宣布,同学们正确且完整地完成了暑假作业。
所以多项式是什么魔法?
在这里举一个简单的例子:作业只有三道题,序号与答案分别是 (1,4),(2,6),(3,3),用一个多项式「串」起来得到 y=-52×2+192x-3
至此,老师批改作业只需要完成两个步骤,1)检查多项式本身,验证整体是否正确;2)随机抽一个点以验证这个同学是不是真的写了这道题。当然这是一个非常幼稚的例子,在实际的工程中,我们构造的是含多项式的等式,一部分是待验证某个由数学语言表达的 statement,另外一部分则是用多项式串起来的可验证且完整的信息(聪明的读者可能已经想到了数据可用性 DA 这个概念)。
多项式有很多美妙的性质,在零知证明中我们主要利用了其中的两个:
原有的信息被串起来了,而我们验证一组多项式等式中的点就可以同时验证整个等式。
如果一个多项式等式在某些随机选择的点上成立,那么这个等式极大概率是在全集上也成立的。
一句话总结:零知证明的本质是一个概率性证明,即抽查(约等同于有效性证明 validity proof),同时通过引入多项式构造以及一些密码学的工具来弥补简单随机抽查在完整性上的缺陷。
有趣的是,在 rollup 的语境中,零知识证明的「零知」更多的体现在 validity proof 对于信息的压缩上,而非直觉上的对每条单个的信息进行隐私处理。
二、所以 zkp 有什么用?
我相信你应该听过 ZK-Rollup。我们在前文中花了大量篇幅说明老师是怎么想办法在完成检查作业的前提下偷懒的,而 ZK-Rollup 做的事情就是偷懒。
简而言之,比如现在有一千个 statements(通常是交易),在 ZK 的帮助下只需要进行十次验证即可证明其正确性。随着证明工作量的增加,其对于验证次数相应需要的增加量是远低于一个线性关系的,即增加到一万个 statements,验证次数并没有增加到一百次,可能我们只需要十一次即可证明。
所以这是一个很好的扩容方案。类似其他扩容方案一样(如 Optimistic Rollup),现在已经有的 ZK-Rollup 应用过程如下,:
用户将资产锁在某个 L1 上的 ZK-Rollup 的智能合约中
用户开始进行交易,这些交易内容由 L2 的 sequencer 进行整理打包,生成一个 validity proof(这里用 ZK 证明)以及在每个包(batch)里进行状态的更新
状态的更新与证明会被交给 L1 上的 ZK-Rollup 智能合约进行验证,以用来更新 L1 的状态
用户用在 L1 已经更新的状态来进行下一步操作。
三、ZK-Rollups vs Optimistic Rollups
作为 Rollups 的两个技术路线之一,基于 ZK 构建的 Rollups 提供了更高的安全性。因为 ZK-Rollups 仅依靠数学及以太坊本身提供安全性保证,而 Optimistic Rollups 在这一方面则依赖于博弈论框架下的经济学激励以及惩罚。
对于用户而言,这意味着 ZK-Rollups 拥有更快的 L1 finality 确认,而 Optimistic Rollups 需要等待一周的挑战期。当然现在有各类跨链协议可以用 Defi 的手段让 Optimistic Rollups 用户体验更方便快捷,例如 Celer, Stargate, Across, Synapose 等。但这往往是通过牺牲一定的整体安全性来换取局部单点用户的体验提升,同时这些协议中用户支付的提款费用也是一般是官方提款渠道的数倍。
虽然 ZK Rollups 享有相对于 OP Rollups 这些在理论上的优势,现状则是基于 ZK-Rollups 发展的生态相比于 OP Rollups 们还远不够繁荣,所以用户很难在 ZK 生态中获得与 OP 中类似的交互体验,而 ZK Rollups 也在短期内很难展现出一些在规模化之后才能体现出来的优势(高并发,低延迟,L1 交互安全性等)。
四、那么 zkp 的问题在哪?
因为 ZKP 在理论上达到可用的时间不早于 2015 年,所以以太坊在设计之初与 ZKP 并没有任何关系。从小节一的阅读,你可能隐隐有一个感觉:这是一个很数学的玩意儿。你的感觉是对的,它带来的最直接的问题是 EVM 的核心基础设施与 ZK-Rollup 并不兼容,原因包括但不限于以太坊储存布局,以太坊的签名加密机制。以太坊 EVM 的运算基于正常人的数学世界,而 ZKP 的计算与证明在素域(Prime Fields)上。(注:这一条与前面两条在逻辑上使并列的关系)
而这样的种种不兼容,一方面给基于 ZKP 的区块链项目带来了巨量链上计算的额外负担(overhead);其二,因为需要 ZKP 在工程学上的实现,算数电路、逻辑门等数学概念的实施复杂度成为一个在编程时不得不考虑的约束,也使得开发者们要在开发学习成本与实现精度两者之间做一定取舍。
而在应用层面,现有基于 ZKP 的技术栈(Tech Stack),要么是部署在 L1 上面的智能合约指向某一个 L2 的 ZK-Rollups(在这里我管它们叫通用 ZK-Rollups),要么是基于 Dapp 设计的专用 ZK-Rollup,比如 dYdX V3 用的就是 ZK-Rollup(本质上是基于 Starkware 的专用 ZK-Rollup)。
不管是哪一种形式,因为数学底层的巨大差异导致了这些 ZK Projects 和其他项目的可组合性很差。比如在 ZK-rollup 生态部署的一个 Defi 协议希望找一个有公信力的预言机,这个场景的需求是真实存在的;然而由于这个协议是基于 ZK-Rollup 开发的,那么和其他交互起来就十分困难,例如 Etherscan 就不能简单在基于 ZKP 的区块链上进行 fork 而直接服务这条链。
五、为什么要和以太坊(或者说是 EVM)兼容呢?
因为以太坊生态很大,如果你的链和它长得越像,最好就只是 Chain ID 不一样,那么你的生态被一些基于以太坊开发的 app 支持的概率就越大。比如 Polygon 一直以来致力于支持以太坊,提供了各种各样高效又便宜的扩容方案,为用户和以太坊生态发展作出了很大的贡献。
用户(开发者)的方面,熟悉,便宜,无痛转换才是金标准。而对于绝大多数开发者来说,学一门新的高级语言的学习成本(比如 Rust/Move),是远远低于学习一门严肃的数学课程的(更不要说还要引入 ZKP 那样繁复的工程上的实际应用)。因此一个协议项目在一条新公链上重新开发的难度,例如 Solana/Aptos,远低于在一条较为陌生的、基于严肃精密且复杂的数学逻辑语言的区块链(ZK-based)。
当然并不是说自己搞一套新的标准一定不可行,在强大的开发团队和适度的经济激励下,Solana 同样取得了巨大的成功。在 EVM 的加持下,Cosmos 生态也成功吸引到了大量的 solidity 开发者前往部署自己的协议。
因此,所以如果 ZKP 可以和 EVM 无痛兼容,开发者们会更轻松地去移植已有的 Dapp 和智能合约到 ZK-based L2,或者在这一个新的框架下开发全新类型的 Dapp。进一步,如果第四小节中提到的可组合性问题也可以得到改善,从而 ZK-based projects 可以与其他应用有更好的交互,那么我们会得到一个更繁荣的 ZK-based L2 生态。这一点上,ZK L2 玩家们和 Solana, Aptos 这些 L1 玩家底层驱动力是一致的。
六、那么有没有办法让 ZKP 和 EVM 兼容呢?
有的。现在很多团队就在做这个事情。
6.1 等一下,什么是 EVM?
EVM 是以太坊上运行智能合约的虚拟机。
6.2 再等一下,什么是虚拟机?
一台用软件模拟出来的几乎与真实电脑一样的虚拟电脑。
6.3 那为什么以太坊需要虚拟机?
因为以太坊引入了智能合约,而执行合约需要一台电脑。在去中心化网络里,产生共识的前提是,不同节点对同一合约的计算和处理需要产生相同的结果,即不同计算机去计算 1+1(实数域),都应该得到 2 这个结果。然而每个节点的物理意义上的电脑可能有不同的底层环境,为了避免这些底层环境差异带来的干扰,所以智能合约需要在虚拟机上运行,以保证相同问题产生相同结果,即确定性。
有很多很多的文章或者推已经总结了这些不同路线在技术上的差异,在此不再赘述,我觉得可能你们也没有兴趣。所以在这里就聊一聊常识、商业、和更用户向一点的东西。
第一个问题是我们对生态有什么样的期待。
现状是 ZkSync StarkWARE 等团队做了很多 Application specific zk-rollups,toB 的业务发展得很成熟,例如 Immutable 在 Starkware 上已经承载了像 Illuvium 这样广受期待的大型 Web3 游戏。然而由于在前面几段的讲过的原因(主要是在可组合性上的缺乏),这些项目依然在等待形成一个共同且共通的生态来抱团发展。
Scroll/ Polygon Hermez/ zkSync Era 在构建 ZK-based L2 生态做的努力是将开发和现有协议移植的难度降低到几乎无痛的水平。在实现完全 EVM 等效(type 2 by vitalik) 的这个过程里,我们目前在实践中是处于「几乎」EVM 等效(type 3 by vitalik) 这个进度。例如 zkSync Era 就可以使 99% 的以太坊项目无需重构或重新审计任何一行代码即可部署。
对于用户而言,在交互体验上如果没有很大的差异,选择用哪一条链多数时候取决于现在已经在使用哪些链。Polygon 在这方面是占据了一定的优势,特别是其现有生态中承载了大量的原生游戏、社交的协议和用户,以及独特的 Web2 品牌露出。
然而我们认为 Scroll 和 zkSync Era 在吸引现有协议部署方面在短中期也不会有明显的掣肘,主要是基于下面几项我们对开发者生态的长期观察:
以太坊生态的 Dapp 在 Zk-based L2 的部署开发难度在逐步下降到触发大规模迁徙的拐点
L2toL2,L1toL2 的跨链协议逐渐走向简单方便便宜,L2 原生定向跨链桥也有望兴起,虽然中心化的挑战依然可能长期存在,
从我们熟悉的领域来讲,由于有经济激励的预期和积极的运营(参考 Optimism 成功的多轮空投激励的经验,Arbitrum 的开发者社区运营逻辑等),用户可以做到对多条链的多个协议都一一进行尝试
第二个问题是如何从中心化到去中心化。
首先要说明的是,目前的绝大部分 ZK-Rollups 是一个很中心化的结构。其很大的一个原因是路径依赖:因为目前没有可组合性,所以就不需要和别人组合,所以中心化暂时也没有关系。但是如果想发展成一个生态,这个中心化的问题必须解决。
目前主流的 ZKEVM 方案提供者们共同认识到了解决这个问题的必要性。在这个方面 Scroll/ Polygon Hermez/ Zksync Era 认为推进 prover 网络和 sequencer 网络去中心化的进程应该是逐步渐进式的,最终实现将 prover/sequencer 的工作通过代币经济学达成算力外包和市场化,尽管具体实现步骤各家仍有分歧。
所以我们又回到了熟悉的领域:有钱出钱,有力出力,然后大家等着平台派发分红。在这里我们有一个小的 concern 是生成证明的算力产生的成本其实是很高的,所以 prover 在 zk-based L2 中的门槛会远高于 PoS 链的对应部门;而 sequencer 出错块的问题其实是所有区块链网络共同的问题,并不独属于 zk-based L2,。所以我认为在 ZK 生态中,prover 网络的去中心化可能会面临更大的挑战。
七、ZK-based L2 生态发展野望
StarkNet:
做为私募估值最高的以太坊 ZK 扩容解决方案以及 zk-STARK 的密码学理论创始人,Starknet 所代表的技术流派一直以来是行业的例行标准。创始人 Eli Ben-Sassen 甚至就是区块链中广泛应用的 zk-SNARKs 和 ZK-STARKs 的发明者。
但我们同时也发现,在很多涉及与以太坊 EVM 生态融合至关重要的产品配置上,Starknet 生态由于技术路径的原因,还在探索更加开发者友好、面向大众的解决方案。我们认为将来 Starknet 团队可能在商业上会继续执行两条腿走路的战略:
一方面通过成熟的 Starknet 继续用定制化开发服务有大规模 ZKP 需求的项目,比如 Web2 游戏厂商的 AAA 大制作,或者 IP 持有者进行链上元宇宙的大规模试验
另一方面,通过扶持智能合约钱包(Argent X, Braavos)、Cario x Solidity 开发者中间件桥梁(Kakarot, Wrap)等方式,增强和以太坊生态整体的协同能力。
与 OP-Rollups 需要和以太坊主网一起通过 EIP-4337 建立智能合约钱包的方式不同,Starknet 从一开始在 L2 上就支持基于账户抽象的智能合约钱包。Starknet 上部署的智能合约钱包可以在利用手机内置芯片的加密安全能力实现硬件签名器和多重认证,并通过区块链合约层面的创新完成社交恢复、移动钱包支付等场景。
届时,我们似乎可以想象一家大型的移动硬件公司,携带海量 Web2 用户,以元宇宙或者大型链上游戏作为入口进场 Starknet 及 Web3 的盛况。
zkSync Era:
近期刚推出 zkEVM 2.0 版本的 zkSync 也是最受期待的 zk L2 解决方案之一,主打极高的性能天花板,兼顾安全与用户体验,最高 TPS 潜力可达 20,000+。最新的 zkSync Era 利用基 LLVM 的 Solidity 编译器,zkSync 自创、屡获殊荣的 GPU 证明器,以及 Matter Labs 即将推出的 Redshift 证明系统,将会把每笔交易的费用降低至远小于 1 美分。
zkSync Era 也致力于降低区块链数据存储的问题,在 EIP-4844 之上还提供了创新的 zkPorter 功能,允许用户和开发人员依据不同的安全级别需求选择数据可用性格式,在具有无缝互操作性的高性能的 validium(zkPorter)和高安全性的 validity(zk-Rollup)之间平衡开发重心。
另外,zkSync Era 引入了 Hyperchains 的分形扩容方案作为其「L3」的主要发展方向。Hyperchains 是利用 LLVM(LLVM 是世界上最成熟的编译器堆迭架构)的 zkEVM 类似分形的实例,可在 L1 上实现并行运行及共同结算。任何人都可以在无需许可的情况下部署 Hyperchains,它具有高度可定制的模块化 zkEVM 链堆栈,并由与主 zkSync L2 完全相同的 zkEVM 引擎提供支持。开发人员可以选定的不同解决路线,选择相应的虚拟机(例如 MoveVM)、定序器设计以及数据可用性(如上文中提到的 zkRollup、zkPorter 和 zkValidium)。
zkSync Era 推出如此高度可定制模块化的堆栈,让我们不得不联想到近期借由 Coinbase 旗下 Base 链进入大众视野的 OP stack。
我们认为 zkSync 的 B 端发展路径或许可以参考 Optimism 的经验,即利用现有的大规模用户、强大的机构支持者背景,与开发者社区建立良性循环的空投预期和促进生态发展的治理机制(Token House、RetroPGF 等)。这样既可促进超越基建设施的创新应用,又能够鼓励现有协议(比如 L1 上的传统 DeFi 蓝筹们)的最新版本前来 Era 部署。
从 C 端来讲,zkSync Era 可能可以从目前以太坊 L2 还不太强的 Web3 社交出发,着力打造以太坊系统内的最强的社交网络、社交图谱等应用来吸引更多的轻量 Web3 用户。我们注意到 Hyperchains 还有一项很适合运用于社交协议的创新。还可以用来实现高并发、短暂的执行环境。例如,开发者可以启动一个 Rollup 来廉价地铸造数百万个社交网络内的同质化 NFT 资产,然后将这些 NFT 桥接到另一个执行层,最后关闭临时的 Rollup,为社交协议提供必要的基础设施容量弹性。
Polygon zkEVM:
Polygon 生态的大战略一直就非常清晰,团队也执行地非常坚决。我们看到 Polygon 和其他以太坊 Rollup 之间已经形成了差异化竞争。在社交生态上,Polygon 凭借 Lens Protocol 生态和 Galxe 已经成为并肩 BNB 的 Web3 社交两巨头之一。而 Planet IX,Hunters On-Chain,Benji Bananas 等打金游戏也都拥有数十万的月度活跃钱包地址数。最近 Polygon zkEVM 也和 Immutable 在 2023 GDC 大会上宣布了战略合作伙伴关系,以更好服务工作室和开发商更容易打造高质量的链上游戏。根据 Cumbeland 的报告,Polygon 在非加密伙伴方面有望在短中期内达到每年 3 亿美元的收入,是目前每天几万美元气费收入的十倍以上。
最特别的是,Polygon 通过和大量区块链行业之外的品牌合作,已经成为了 Web3 在传统行业的形象大使。通过和星巴克奥德赛活动的承办商 Forum3 的紧密合作,Polygon 有望能在近一年中迎来 2700 万几乎全新的北美区块链用户,这些增量对于行业存量来说是巨震级别的。Polygon 最近还加入了迪士尼的加速器计划,融入 stripe 的全球支付系统,支持 Reddit 的表情包 NFT 系统,以及和 Adobe, 耐克、阿迪达斯,梅赛德斯奔驰,万事达卡,可口可乐等世界知名品牌达成商业合作。
我们认为 Polygon zkEVM (Hermez),可以继承整个 Polygon 生态在传统领域的强大竞争力,通过 zkEVM L2 和以太坊生态实现更完整的结合,让 Web2 品牌也能享受到以太坊 L1 带来的资产安全性溢价。我们看好游戏和社交两大赛道持续在 Polygon 生态中快速成长。
Scroll:
作为最年轻的以太坊 zk L2 解决方案,Scroll 也许是和以太坊基金会走得最近的一个开发团队,汇集了最新最强大的零知证明团队之一。Scroll 正以实施技术能力和迭代速度为基础,正奋力追赶其他 zk-based rollups 的开发进度。
Scroll 在 prover 网络和 sequencer 的去中心化设计中走在前沿,特别是已经提出了使用 GPU/ASIC 提升算力再来分散化验证网络的解决方案。Scroll 的 EVM 在理论上,相对于 zkSync Era 和 Starkware 有更高的代码兼容性天花板,这意味着开发者不需要再去相信新的虚拟机和编译器(例如 zkSync 的 LLVM),也可以规避执行交易过程中借助一段中间的代码来实现 EVM 兼容带来的风险(Polygon zkEVM 目前的方案特征)。
Scroll 的团队从第一天开始,就在和以太坊核心活动深度绑定,打造自己的品牌知名度和基础设施套件,比如预言机、钱包等。虽然所有以太坊 L1, 甚至 L2 的协议开发都在理论上可以快速部署到 Scroll,我们认为 Scroll 最大的机会还在在于捕捉 DeFi 的皇冠明珠:去中心化的中央限价订单簿交易所(CLOB)。Scroll 强大的性能潜力,配合以太坊主网大量流动性寻求安全高效的交易环境的急切需求,可能可以带来这类 dex 协议的爆发。我们另外注意到如 Lens Protocol 等 Web3 项目也开始尝试在 Scroll 上部署 – 我们期待更多类似的好消息。
文章来源于互联网:基于实际场景解析零知识证明与zkEVM的原理