未来已来，以太坊扩容终章ZK Rollups解读

Odaily星球日报 · 2024-07-05T11:33:10.000Z

ZK-Rollups:基于零知识证明的 layer 2 扩容方案与欺诈证明[ 1 ]不同, Zk-Rollup 采用的是有效性证明，利用零知识证明确保交易的有效性，在数据上链前就通过零知识证明对数据进行验证，先证明这个交易是没有问题的，然后再把更新后的状态，对交易的证明以及压缩后的交易数据传到主链上，以此确保对应数据在链上的有效性和资金的安全性。 Zk-Rollup 的安全性依赖于密码学原理，它的一个主要优点是不需要挑战期[ 2 ]。目前 Zk-Rollup 的通用计算能力较差，已经上线的版本大多只能实现转账和特定的应用场景，对开发人员不友好。现在有些最新的 Zk-Rollup 方案研究与通用 EVM 兼容的L2扩容方案，如果成功的话意义还是很大的。 Zk-Rollup 更符合加密世界的风格，通过密码学原理来证明交易的正确性而不是等着别人举报不正确的交易。零知识证明零知识证明是密码学概念，也被人称作零泄密证明，由证明者和验证者组成。证明者需要运行在专门的硬件上，是去信任化的，也就是说系统的安全性不需要假设证明者是值得信任的，或者说假设它们所运行的硬件是值得信任的，因为数学上没有办法伪造假的零知识证明。验证者不需要专门的硬件，任何节点都可以运行，通俗地说，证明者从系统的输入中创建证明，验证者检查确认证明者上传的是真实的计算结果而不需要重新再计算一遍。用一句带有哲学意味的话来说就是，我如果想证明某个比特币账户是我的，我想要证明我知道这个账户的私钥，但是不能够把私钥告诉给别人。(私钥签名，公钥验证) zk-SNARK 区块链中用的比较多的是 zk-SNARK，这是一种特殊的零知识证明，要求是非交互性(之前零知识证明验证比特币的例子就不是非交互性，要改成非交互性的话就是我发布一个转账交易，把账户上的币转到另一个账户就可以了，这样所有节点都可以验证这个比特币账号是我的，对于区块链场景来说，证明者只需要把消息发布到区块链上，所有节点都可以验证，不需要与证明者交互，这种验证者叫做 Public Verifier)和简洁性(只需要几百个字节，即使原始输入很大，生成证明也是很小的)。缺点是证明者产生证明的工作量是很大的，转账的时候发起一个匿名的转账交易需要几秒钟的时间，而验证这个交易的合法性只要几毫秒。 zk-SNARK 需要进行信任设置，要求初始化时随机产生一组所有成员共享的公共参数，初始化时用到的随机源必须要销毁掉，如果泄露的话安全体系就崩溃了，有恶意的攻击者可以制造出假的证明，为了避免这个风险，zk-SNARK 的初始化过程是多方参与的，只要其中任何一方销毁了初始化时用到的随机源，系统就是安全的。 zk-SNARK 在区块链中的应用代表性应用一个是 Zcash，另一个是 Filecoin，这两个项目并不是L2，这里只是用它们说明一下 zk-SNARK 的应用场景。 Zcash 用 zk-SNARK 来隐藏交易信息，交易双方的身份和交易金额，Zcash 可以在不知道 sender.address、receive.address、iuput.value、out.value 的情况下验证交易的合法性。这跟比特币是很不一样的，比特币的每笔交易都要说明币的来源，说明这个币是从之前的哪个交易里来的，这样才能证明我们花到的这个币是合法的，不是凭空捏造出来的。对于 Zcash 来说只要通过数学的方法证明你花掉的币是当前系统中存在的某个合法的币就行，不用说明具体是哪一个，这样就没法追踪币的来源了。 Filecoin 是迄今为止部署规模最大的 zk-SNARK 网络，每天生成几百万个零知识证明。Filecoin 的矿工通过存储数据来获得出块奖励，需要定期证明它们在存储所承诺的数据，这些矿工是 zk-SNARK 协议里的证明者，需要提供两类证明，复制证明[ 3 ]和时空证明[ 4 ]。复制证明只有一次，当用户和存储提供者最初达成存储交易的时候，存储提供者需要证明它们确实存储了用户的数据，时空证明需要定期提供，用于证明存储提供者随着时间的推移继续存储原始数据，存储提供商首次同意为客户存储数据时需要质押相应的代币 File，如果在协议期间提供商未能提供时空证明，将会受到处罚，可能失去质押的 File 代币。 zk-SNARK 技术的优点在于生成的证明很短，节省网络带宽，验证速度快，Filecoin 并没有实现真正意义下的隐私计算，zk-SNARK 只是用于 Filecoin 的共识机制，并没有用于用户数据，到目前为止几乎所有的 zk-SNARK 电路都是专用集成电路，也就是根据不同的应用专门定制的零知识证明技术，以太坊的智能合约是图灵完备的，zk-SNARK 技术目前还无法实现通用智能合约。 ZK-Rollup 代表项目 ZK Rollup 有两个代表性的项目，zkSync 和 STARKWARE。 zkSync zkSync 使用 zk-SNARK 的零知识算法，安全性依赖于初始化信任设置(由包括以太坊创始人V神在内的一些参与者一起制定一个随机数，要求至少有一个参与者是诚实的，那么这个系统才可以被证明是安全的)。在 EVM 兼容方面，zkSync 有一个编译器可以把智能合约转换成 zkEVM 支持的操作码来实现 Solidity 兼容。在数据可用性上，zkSync 提供了两种数据可用性方案，用户可以选择将数据上链(也就是存储在L1的链上或者说存储在以太坊上以获得更高的安全性，同时需要支付比链下高一些的 gas 费)，用户也可以选择将数据存储在链下(可以更大限度地扩容，进一步节约 gas 费，但是会牺牲一部分去中心化和安全性)。也就是说 zkSync 同时支持链上，链下两种数据存储模式，有人认为链下数据不是真正意义上的L2，因为L2要保证和L1一样的安全性，如果数据存储在链下，可用性跟L1是有差别的，如果存储在链下的云服务提供商处，那么跟去中心化的理念背道而驰，如果存在 IPFS 那样的去中心化存储里，那么仍然没有办法保证数据的可用性(存在 IPFS 里跟存在以太坊上是不一样的)，以太坊比特币这样的区块链，保存在上面的数据是不会丢失的，但是 IPFS 并不保证不可篡改性。 StarkWare 目前市场上最主流的两种生成零知识证明的系统分别是 zk-SNARK 和 zk-STARK。 zk-Sync 采用的是 zk-SNARK，StarkWare 是基于 zk-STARK 证明的密码学技术。zk-STARK 这项技术由 StarkWare 团队发明，可以看作是 zk-SNARK 技术的升级版本，能够让区块链具备更强的可扩展性，采用该算法的区块链底层允许开发人员将链上的交易数据以及部分数据的存储转移到链下来解决，链下批量处理后的数据可以打包生成一个 STARK 证明，将证明发送到链上后可以供任何利益相关方验证真伪。STARK 跟 zk-Sync 使用的 SNARK 相比有三个主要优势，第一个优势是透明性，指这个系统运行无需信任设置，而 SNARK 证明是需要进行信任设置的，使用 zk-SNARK 必须进行强制性的初始信任设置，如果初始设置的参与方是不诚实的，那么可以创造出虚假证明伪造交易，而 zk-STARK 不需要外部的信任设置，它通过随机公共验证可以防止任何一方破坏或修改参数，这个优势有多少实际价值还不清楚。(肖老师认为这个优势意义不大) 第二个优势是扩展性, StarkWare 宣称 zk-STARK 降低了计算复杂度，生成 STARK 证明的速度比 SNARK 更快，不过这个说法有一定的争议。第三个优势是抗量子攻击，理论上说 zk-STARK 使用抗冲突的哈希函数提高了抵御量子攻击的能力，这个优势意义不大。 STARK 的劣势在于它的技术远没有 SNARK 成熟，普及率也不行，StarkWare 这个公司的优势在于技术团队极其小，包含 STARK 和 SNARK 这两个技术的发明人，缺点就是社区生态还差得很远，这也跟 STARK 的普及率不足有关。另外一个问题是 EVM 的兼容性，以太坊的 EVM 是图灵完备的，而 STARK 如果要实现图灵完备就很难做到跟 EVM 兼容，以太坊的智能合约语言 Solidity 要转换成 STARK 兼容的格式是很复杂的，所以说 StarkWare 团队创建了一种特定的编程语言 Cario 来运行由 STARK 支持的程序，Cario 这种语言的学习成本比较高，而且不兼容 EVM，导致以太坊上现有的 Dapp 很难迁移过来，这也是 StarkWare 生态不容易做起来的原因之一。从另一个方面来看，采用一门全新的语言也有好处，没有历史包袱，可以实现一些以太坊无法做到的功能。在数据可用性方面，StarkWare 提供了两种数据可用性方案，StarkWare 有一个 Voluation 系统，允许用户自主选择每笔交易是采用链上数据可用的 Rollup 方案还是采用链下数据可用的 validium 方案。 validium 方案的数据可用性委员会由一些有声望的加密实体组成，从数据安全性角度来讲，数据存储在链上是最安全的，缺点是代价比较高，适合资金量比较大，实时性要求不高的情况；数据存储在链下会牺牲一定的安全性，优点是代价小，适合资金量比较小，实时性要求高的应用场景，比如说：GameFi。名词解读欺诈证明：在分布式系统中，欺诈证明用于检测和纠正不正确的状态更新，通常在 Optimistic Rollups 中使用，假设大多数操作是正确的，但提供了一种机制来挑战和纠正错误的操作。挑战期：挑战期是一个指定的时间窗口，允许验证者检查并确认状态更新的正确性，这在确保系统的安全性和公平性方面至关重要。复制证明：复制证明表明某个数据在某个时间点确实被存储在指定的位置，并且复制了多份。时空证明：时空证明是一种结合空间（存储）和时间（持续存储）的证明机制，表明某个数据在一段时间内持续被存储。结语 2021 年 1 月份，以太坊创始人V神说道:"短期内 Optimistic-Rollups 会因为 EVM 的兼容性胜出，ZK-Rollups 更有可能在一些简单的交易之类的用例中胜出，从中长期来看，随着 zk-SNARK 技术的改进，ZK-Rollups 最终会赢得所有的用例。" 链源科技是一家专注于区块链安全的公司。我们的核心工作包括区块链安全研究、链上数据分析，以及资产和合约漏洞救援，已成功为个人和机构追回多起被盗数字资产。同时，我们致力于为行业机构提供项目安全分析报告、链上溯源和技术咨询/支撑服务。感谢各位的阅读，我们会持续专注和分享区块链安全内容。

ZK-Rollups: ゼロ知識証明に基づくレイヤー 2 拡張ソリューション
不正証明 [1] とは異なり、Zk-Rollup は有効性証明を使用して、データがチェーンにアップロードされる前にゼロ知識証明を通じてデータを検証し、最初に証明します。トランザクションに問題がないことを確認し、チェーン上の対応するデータの有効性と資金の安全性を確保するために、更新されたステータス、トランザクションの証拠、および圧縮されたトランザクションデータをメインチェーンに送信します。
Zk-Rollup のセキュリティは暗号原理に依存しており、その主な利点の 1 つはチャレンジ期間が必要ないことです [2]。
現時点では、Zk-Rollup の一般的なコンピューティング機能は不十分であり、オンライン バージョンのほとんどは転送と特定のアプリケーション シナリオしか実装できず、開発者にとっては不向きです。現在、最新の Zk-Rollup ソリューションの一部は、一般的な EVM と互換性のある L2 拡張ソリューションを研究しています。これが成功すれば、大きな意味を持つことになります。
Zk-Rollup は暗号世界のスタイルにより沿っており、他の人が間違った取引を報告するのを待つのではなく、暗号原理を使用して取引の正しさを証明します。
知識ゼロの証明
ゼロ知識証明は、ゼロ漏洩証明としても知られる暗号概念であり、証明者と検証者で構成されます。
証明者は特殊なハードウェア上で実行する必要があり、トラストレスです。つまり、システムのセキュリティは証明者が信頼できるか、証明者が実行するハードウェアが信頼できるかを前提とする必要がありません。なぜなら、数学的には偽物を偽造する方法が存在しないからです。ゼロ知識証明。
検証者は特殊なハードウェアを必要とせず、任意のノード上で実行できます。平たく言えば、証明者はシステムの入力から証明を作成し、検証者は再計算することなく証明者が正しい計算結果をアップロードしたことを確認します。それをまた。
哲学的な言い方をすると、あるビットコインアカウントが私のものであることを証明したい場合、私はこのアカウントの秘密鍵を知っていることを証明したいのですが、秘密鍵を他人に教えることはできません。 (秘密鍵署名、公開鍵検証)
zk-スナーク
ブロックチェーンでより一般的に使用されているのは、非対話性を必要とする特別なゼロ知識証明である zk-SNARK です (ビットコインを検証するゼロ知識証明の以前の例は非対話型ではなかったため、非対話型に変更する必要がありました)言い換えれば、転送トランザクションを発行し、そのアカウントのコインを別のアカウントに転送するだけで、すべてのノードがこのビットコイン アカウントが私のものであることを確認できるようになります。ブロックチェーン シナリオの場合、証明者はメッセージ Published を送信するだけで済みます。ブロックチェーン、すべてのノードが検証可能、証明者と対話する必要がない、この種の検証者はパブリック検証者と呼ばれます）とシンプルさ（必要なバイト数はわずか数百バイトで、元の入力が大きい場合でも、証明の生成は非常に簡単です）簡単に小さい）。​
欠点は、証明を生成する証明者の作業負荷が非常に大きいことです。送金の際、匿名送金トランザクションの開始には数秒かかりますが、トランザクションの正当性の検証には数ミリ秒しかかかりません。
zk-SNARK は信頼設定を必要とし、初期化中にすべてのメンバーが共有する一連のパブリック パラメータをランダムに生成する必要があります。漏洩すると、セキュリティ システムが崩壊し、悪意のある攻撃者が次のような情報を作成する可能性があります。このリスクを回避するために、zk-SNARK の初期化プロセスには複数の関係者が関与し、そのうちのいずれかが初期化で使用されるランダム ソースを破壊する限り、システムは安全です。
ブロックチェーンにおけるzk-SNARKの応用
    
代表的なアプリケーションの 1 つは Zcash で、もう 1 つは Filecoin です。これら 2 つのプロジェクトは、ここでは zk-SNARK のアプリケーション シナリオを説明するために使用されているだけです。
Zcash は、zk-SNARK を使用して、取引情報、両当事者の身元、取引金額を非表示にし、sender.address、receive.address、iuput.value、out.value を知らなくても取引の合法性を検証できます。これはビットコインとは大きく異なります。ビットコインのすべての取引は、通貨の起源とその通貨が由来する以前の取引を説明する必要があります。この方法でのみ、私たちが使用する通貨が無から作られたものではなく合法であることを証明できます。 。 Zcash の場合、使用する通貨が現在のシステムに存在する法定通貨であることを数学的に証明する必要があるだけであり、それがどの通貨であるかを特定する必要がないため、通貨の出所を追跡する方法はありません。
Filecoin は、これまでに展開された最大の zk-SNARK ネットワークであり、毎日何百万ものゼロ知識証明を生成しています。 Filecoin マイナーはデータを保存することでブロック報酬を取得し、約束されたデータを保存していることを定期的に証明する必要があります。これらのマイナーは zk-SNARK プロトコルの証明者であり、複製証明 [3] と時空間の 2 種類の証明を提供する必要があります。証拠[4]。
レプリケーション証明は、ユーザーとストレージ プロバイダーが最初にストレージ トランザクションに到達したときに 1 回だけ行われます。ストレージ プロバイダーは、ユーザーのデータを実際に保存していることを証明するために、時空間証明を定期的に提供する必要があります。元のデータの場合、ストレージ プロバイダーは、契約期間中に時空間証明を提供できなかった場合、初めて顧客にデータを保存することに同意するときに、対応するトークン ファイルを誓約する必要があります。処罰され、誓約されたファイル トークンを失う可能性があります。
zk-SNARK テクノロジーの利点は、生成される証明が非常に短く、ネットワーク帯域幅を節約し、検証速度が速いことです。Filecoin は、本当の意味でのプライベート コンピューティングを実装しておらず、Filecoin のコンセンサス メカニズムにのみ使用されます。これまでのところ、ほとんどすべての zk-SNARK 回路はアプリケーション固有の集積回路であり、さまざまなアプリケーションに応じて特別にカスタマイズされたゼロ知識証明技術であり、zk-SNARK テクノロジーはチューリング完全なものです。スマートコントラクトはまだ普遍的ではありません。
ZK-Rollup代表プロジェクト
ZK Rollupには、zkSyncとSTARKWAREという2つの代表的なプロジェクトがあります。
zkシンク
zkSync は zk-SNARK のゼロ知識アルゴリズムを使用し、セキュリティは初期信頼設定に依存します (乱数はイーサリアム創設者 V God を含む一部の参加者によって定式化され、少なくとも 1 人の参加者が正直であることが必要です。その後、このシステムが安全であることが証明されます) ）。
EVM 互換性の点では、zkSync にはスマート コントラクトを zkEVM でサポートされるオペコードに変換して Solidity 互換性を実現できるコンパイラーが備わっています。​
データの可用性に関して、zkSync は 2 つのデータ可用性ソリューションを提供し、ユーザーはデータをチェーンにアップロードする (つまり、L1 チェーンに保存するか、より高いセキュリティを得るためにイーサリアムに保存する) かを選択できます。同時に、次のことも行う必要があります。チェーンよりも多く支払う）（ガス料金が安い）、ユーザーはデータをオフチェーンに保存することも選択できます（これにより、容量を大幅に拡張でき、ガス料金をさらに節約できますが、ある程度の分散化とセキュリティが犠牲になります）。つまり、zkSync はオンチェーンとオフチェーンの両方のデータ ストレージ モードをサポートしており、データがオフチェーンに保存されている場合、L2 は L1 と同じセキュリティを確保する必要があるため、オフチェーン データは本当の意味での L2 ではないと考える人もいます。 -chain、可用性は L1 と同じです。オフチェーンのクラウド サービス プロバイダーに保存される場合は、分散化の概念に反します。IPFS のような分散型ストレージがある場合は、まだ存在します。データの可用性を保証する方法はありません (データは IPFS に存在し、イーサリアム上に存在する場合は異なります)。イーサリアムやビットコインのようなブロックチェーンでは、そこに保存されているデータは失われませんが、IPFS は非改ざん性を保証しません。 。
スタークウェア
現在、市場でゼロ知識証明を生成するための 2 つの最も主流のシステムは、zk-SNARK と zk-STARK です。
zk-Sync は zk-SNARK を使用し、StarkWare は zk-STARK 証明に基づく暗号化テクノロジーです。 zk-STARK このテクノロジーは StarkWare チームによって発明され、zk-SNARK テクノロジーのアップグレード版とみなすことができ、このアルゴリズムを使用してブロックチェーンの最下層にデータを追加できます。トランザクション データと一部のデータのストレージは、ソリューションのためにオフチェーンに転送され、オフチェーンでバッチ処理されたデータをパッケージ化して STARK 証明書を生成し、関係者向けにチェーンに送信できます。その真正性を検証します。 STARK には、zk-Sync で使用される SNARK と比較して 3 つの主な利点があります。1 つ目の利点は透過性です。つまり、このシステムは動作するために信頼設定を必要としませんが、SNARK 証明には zk-SNARK の使用が必須である必要があります。初期設定の参加者が不正な場合、虚偽の証明書や偽造トランザクションが作成される可能性がありますが、zk-STARK は、ランダムな公開検証を通じて、第三者によるパラメータの破壊や変更を防ぐことができます。メリットの価値が不明瞭です。 (シャオ先生は、この利点はあまり重要ではないと考えています)
2 番目の利点はスケーラビリティです。StarkWare は、zk-STARK は計算の複雑さを軽減し、SNARK よりも速く STARK 証明を生成すると主張していますが、この声明には多少の議論の余地があります。
3 番目の利点は、量子攻撃に対する耐性です。理論的には、zk-STARK は衝突防止ハッシュ関数を使用して、量子攻撃に対する耐性を向上させます。
STARK の欠点は、その技術が SNARK よりもはるかに成熟しておらず、その普及率が低いことです。StarkWare の利点は、その技術チームが STARK と SNARK の 2 つの技術の発明者を含めて非常に少数であることです。群集生態学がまだ遅れていることは、STARKの普及率が不十分であることにも関係しています。
もう1つの問題は、EVMの互換性であり、STARKがTuring完全性を達成したい場合は、EVMのスマートコントラクト言語であるSolidityをSTARK互換形式に変換する必要があります。非常に複雑であるため、StarkWare チームは STARK でサポートされるプログラムを実行するために特定のプログラミング言語 Cario を作成しました。Cario の学習コストは比較的高く、EVM と互換性がないため、イーサリアム上の既存の Dapps は非常に複雑になります。これが、StarkWare エコシステムの構築が容易ではない理由の 1 つです。別の観点から見ると、歴史的な痕跡がなく、イーサリアムでは実現できないいくつかの機能を実現できるまったく新しい言語を使用することにも利点があります。
データ可用性に関して、StarkWare は 2 つのデータ可用性ソリューションを提供しており、ユーザーはオンチェーン データが利用可能なロールアップ ソリューションを使用するか、オフチェーン データが利用可能な Validium ソリューションを使用するかをトランザクションごとに選択できます。 。
Validium スキームのデータ可用性委員会は、いくつかの評判の高い暗号化団体で構成されています。データ セキュリティの観点からは、チェーン上に保存されたデータが最も安全であるという欠点があり、これは大量の資金に適しています。リアルタイム要件が低い状況では、オフチェーンのデータ ストレージはある程度のセキュリティを犠牲にしますが、その利点はコストが低く、比較的少量の資金と高いリアルタイム要件を持つアプリケーション シナリオに適していることです。 、GameFiなど。​
名詞の解釈
不正証明: 分散システムでは、不正証明は、誤った状態の更新を検出して修正するために使用されます。オプティミスティック ロールアップでは、ほとんどの操作が正しいことを前提としていますが、誤った操作に異議を唱えて修正するメカニズムが提供されます。
チャレンジ期間: チャレンジ期間は、バリデータが状態更新の正確性をチェックして確認できるようにする指定された時間枠であり、システムのセキュリティと公平性を確保する上で重要です。
レプリケーションの証明: レプリケーションの証明は、特定のデータが特定の時点で指定された場所に実際に保存され、複数のコピーが作成されたことを証明します。
時空証明: 時空証明は、空間 (ストレージ) と時間 (継続的ストレージ) を組み合わせた証明メカニズムであり、特定のデータが一定期間保存され続けることを示します。
結論
2021年1月、イーサリアム創設者のブテリン氏は、「短期的には、EVMとの互換性によりOptimistic-Rollupsが勝つだろうが、単純なトランザクションなどのユースケースではZK-Rollupsが勝つ可能性が高いだろう。中長期的には、 zk-SNARK テクノロジーが向上するにつれて、最終的には ZK-Rollups がすべてのユースケースに勝つでしょう。」
Chainyuan Technology は、ブロックチェーンのセキュリティに重点を置いている会社です。私たちの主な業務には、ブロックチェーンのセキュリティ研究、オンチェーンのデータ分析、資産と契約の脆弱性救済が含まれており、個人や組織のために盗まれた多くのデジタル資産の回収に成功してきました。同時に、当社はプロジェクトの安全性分析レポート、オンチェーントレーサビリティ、および技術コンサルティング/サポートサービスを業界団体に提供することに尽力しています。
読んでいただきありがとうございます。私たちは今後もブロックチェーンのセキュリティコンテンツに焦点を当て、共有していきます。

未来が来た、イーサリアム拡張の最終章における ZK ロールアップの解釈

クリエイターからの情報をさらに見る

最新ニュース