zk-Rollup 是一種非常便宜且安全的以太坊二層擴展解決方案。然而,現有的 zk-Rollup 只限于特定應用程序使用,這使得開發人員在 zk-Rollup 中構建通用的可組合 DApp 和遷移現有應用程序變得困難。我們通過引入 zkEVM 生成 zk 證明用于 EVM 驗證來構建完全兼容 EVM 的 zk-Rollup,任何以太坊應用程序都可以輕松遷移到該 zk-Rollup。
本文介紹 zkEVM 的設計挑戰以及可行性,并提出了從零開始構建 zkEVM 的詳細方案。
zk-Rollup是公認的以太坊最佳擴容解決方案。不僅具有以太坊 Layer 1 的安全性,并且與所有其他 Layer 2 解決方案相比,交易速度最快。
從中長期來看,隨著 ZK-SNARK 技術的改進,ZK rollups 將在所有用例中勝出。— Vitalik Buterin
zk-Rollup 的基本理念是將大量交易聚合到一個 Rollup 塊中,并為鏈下的塊生成簡潔的證明。然后 Layer 1 上的智能合約只需要驗證zk-Rollup的證明并直接更新狀態,無需重新執行那些交易。證明驗證狀態比重新執行計算的 gas 費用便宜很多,另外數據壓縮(即只保留最少的鏈上數據進行驗證)利于降低 gas 費用,這樣的交易流程節省一個數量級的 gas 費用。
盡管 zk-Rollup 安全高效,但很難構建通用 DApp,其應用仍僅限于支付和互換(swap),主要是以下兩個原因:
首先,在 zk-Rollup 中開發 DApp 需要使用特殊的編程語言(即 R1CS )來編寫智能合約的邏輯。該編程語言的語法復雜,而且要求開發者精通零知識證明。
其次,當前的 zk-Rollup 不支持可組合性。這意味著多個的 zk-Rollup 應用程序不能在 Layer 2 內相互交互,極大地降低了 DeFi 應用程序的可組合性。
簡而言之,目前 zk-Rollup 對開發人員不友好并且功能有限。 我們希望解決這些問題,通過直接支持原生 EVM 驗證,為開發人員提供快速開發體驗,支持 Layer 2 內應用程序的可組合性,以便現有的以太坊應用程序可以輕松遷移到 zk-Rollup 上。
Tether CTO:JavaScript庫創建工作“幾乎完成”,正直接編寫Moria礦場編排工具核心架構:金色財經報道,美元穩定幣USDT發行方Tether首席技術官Paolo Ardoino在社交媒體發文稱,Tether的開發團隊幾乎完成了創建完善的JavaScript庫的工作,用于命令Whatsminers、Antminers和Avalon Miners并與之交互,目前正在直接編寫 Moria 礦場編排工具的核心架構,全部基于Holepunch技術后續將會擴展到涵蓋能源生產監測,最終開源部分可能是有意義的。[2023/8/6 16:20:58]
在 zk-Rollup 中有兩種構建通用 DApp 的方法。
為不同的 DApp 構建專用電路(“ASIC”)
為智能合約執行構建一個通用的“EVM”編碼
“ 電路(circuit)”是指零知識證明中使用的程序表示方法。例如,如果要證明 hash(x) = y,則需要使用 ASIC 電路重新編寫散列函數。電路只支持非常有限的計算表達式(例如 R1CS 只支持加法(add)和乘法(mul))。因此,開發人員使用電路語言編寫程序的過程非常困難,必須使用 add 和 mul 構建所有程序邏輯(包括 if else、循環等)。
第一種方法要求開發人員為不同的 DApp 設計專門的“ASIC”電路,這需要使用零知識證明最原始的方式。通過設計定制電路減少每個 DApp 的成本。然而,由于電路是“靜態的”,不能為應用提供可組合性,并且需要專業的電路設計知識,因此開發體驗很糟糕。
第二種方法不需要任何特殊的設計或電路專業知識。這種基于機器證明的高級思想讓任何程序可以在 CPU 上運行,因此開發者只需要構建一個通用的 CPU 電路來驗證底層步驟。然后使用這個 CPU 電路來驗證程序的執行。在此場景中,程序指的是智能合約,CPU 則是 EVM。但是,由于成本過高,過去幾年并沒有普遍采用這種方法。例如,即使開發者只想增加一個驗證步驟,就需要承擔整個 EVM 電路的成本。如果執行跟蹤中有數千個步驟,那么 EVM 電路成本將是 1000 倍。
Aave V3 MVP版本部署至Scroll主網”的提案已通過溫度檢查投票:6月19日消息,Snapshot投票頁面顯示,AAVE社區以99.97%的支持率通過了“在Scroll主網部署Aave V3最小可行產品(MVP)版本”提案的溫度檢查投票。根據該提案,Scroll主網將于今年8月初上線,并計劃將Aave V3作為其主網上首批DeFi DApp之一。最初部署的版本將支持WETH、USDC和wstETH三種抵押資產和USDC一種可借入資產。
該提案將進入ARFC階段進行進一步討論、風險參數評估網絡分析以及最終定稿提案。如果ARFC階段投票成功,則將提案作為AIP提交以進行投票和鏈上治理批準。[2023/6/19 21:46:57]
最近,有很多研究在按照這兩種方法優化 zk 證明,包括:
(i)提議新的零知識證明友好型語言 Poseidon hash ,其在電路中的效率是 SHA256 的 100 倍
(ii)通用可驗證虛擬機,如TinyRAM
(iii)) 越來越多的通用優化技巧,如 Plookup,以及運行速度更快的密碼學庫。
我們之前建議為每個 DApp 設計“ASIC”電路,通過驗證密碼進行通信。但是,根據社區的反饋,我們改變了優先級,將重點關注在第二種方法,優先構建通用 EVM 電路(所謂的“zkEVM”)。zkEVM 將支持與 Layer 1 完全相同的開發體驗。我們不會將底層設計的復雜性留給開發人員,而是通過定制的 EVM 電路設計來解決效率問題。
zkEVM 很難構建,與 TinyRAM 不同,zkEVM 的設計和實現更具挑戰性,原因如下:
首先,EVM 對橢圓曲線的支持有限。目前,EVM 僅支持 BN254 配對,不直接支持循環橢圓曲線,因此很難進行遞歸證明。其他專用協議在此限制下也很難使用,除非是 EVM 兼容的驗證算法。
其次,EVM 字長為 256 位。EVM 在 256 位整數上運行(大多數常規 VM 在 32-64 位整數上運行),而 zk 證明在素數字段上工作。在電路內部進行“不匹配場算術”需要范圍證明,這將在每個 EVM 步驟中增加大概 100 個約束,導致 EVM 電路尺寸擴大兩個數量級。
Web3內容平臺Mirror推出NFT訂閱鑄造“Subscribe to Mint”功能:3月9日消息,Mirror官方宣布,該Web3內容平臺已推出訂閱鑄造“Subscribe to Mint”功能,目前已在以太坊、Optimism和Polygon鏈上部署,旨在支持創作者和藏家之間的互動,新功能將有兩個潛在用例:
1、創世Drop,Web3項目可以發布內容并與包含項目徽標或符號的收藏NFT配對,然后使用“Subscribe to Mint”通過內容更新和后續NFT投放與項目受眾互動。
2、推出可收藏NFT系列,持有者可以完成鑄造NFT并鼓勵新用戶注冊成為訂閱者以參與未來NFT投放。
據悉,“Subscribe to Mint”功能對創作者是完全免費的,創作者將獲得所售NFT的100%收益。[2023/3/9 12:50:42]
第三,EVM 有很多特殊的操作碼。EVM 與傳統 VM 不同的是有許多特殊的操作碼,例如CALL,還有執行上下文和 gas 相關的錯誤類型。這將給電路設計帶來新的挑戰。
第四,EVM 是基于堆棧的虛擬機。SyncVM ( zksync ) 和 Cario (starkware) 架構在基于寄存器的模型,并定義了特定的 IR/AIR。需要專門的編譯器將智能合約代碼編譯成新的 zk 友好的 IR。這種方法是語言兼容而不是原生 EVM 兼容,基于堆棧的模型和直接支持原生工具鏈更難實現。
第五,以太坊存儲布局的成本太大。以太坊存儲布局高度依賴 Keccak 和 MPT ,它們都不是 zk 友好類型,并且會產生高昂的成本。例如,Keccak 哈希的電路大小是 Poseidon hash 的 1000 倍。但是,如果將 Keccak 替換為另一個哈希,則會對現有的以太坊基礎設施造成一些兼容性問題。
第六,基于機器的證明有高昂的成本。即使能夠妥善處理上述所有問題,仍然需要找到一種有效的方法將它們組合在一起以獲得完整的 EVM 電路。正如我在上一節中提到的,簡單的操作碼add可能會導致整個 EVM 電路的成本。
感謝研究人員在這方面取得的巨大進步,近兩年來解決的效率問題越來越多,證明了 zkEVM 的可行性!主要的技術進步來自以下幾個方面:
動態 | BCH開發工具Cashscript團隊計劃籌集800枚BCH以支持社區開發者:據Bitcoin.com報道,允許基于BCH進行獨特決策交易的高級軟件語言Cashscript主要創建者Rosco Kalis本周在Bitcoin.com的YouTube頻道中討論了該工具與以太坊開發的相似之處,以及它如何使BCH生態系統更便于程序員訪問。 該團隊還討論了社區在支持開發者方面做出的努力:最初的目標是在2019年8月1日之前籌集800枚BCH,并捐給Bitcoin ABC、Bitcoin Unlimited、BCHD和Bcash。[2019/6/3]
多項式承諾(polynomial commitment)的使用。在過去的幾年里,大多數零知識證明協議都在使用 R1CS,PCP 查詢被編碼到了特定于應用的受信任起步設置(trusted setup)中。。這種情況通常會使電路會超出負載,并且無法進行自定義優化,因為每個約束的程度需要為 2(雙線性配對(bilinear pairing)僅允許指數中的一次乘法)。開發者使用多項式承諾方案可以通過通用設置(universal setup)或者透明設置(transparent setup)將約束提升到任何程度,大幅提高后端的選擇的靈活性。
數據表查詢參數和自定義小工具。優化數據表查詢參數首先由 Arya 中提出,然后在 Plookup 中進行優化。這可以為 zk 不友好的編程語句(例如 AND、XOR 等)省略很多按位運算。定制小工具可以讓開發者高效地進行高度約束。 TurboPlonk 和 UltraPlonk 定義了優雅的語法,以便開發者更輕松地使用查詢數據表和自定義小工具。這對于減少 EVM 電路的成本非常有幫助。
遞歸證明的可行性越來越高。在過去遞歸證明依賴于特殊的循環橢圓曲線(即基于 MNT 曲線的構造),需要大量的成本。目前更多的技術在不犧牲效率的前提下改變這種依賴情況。例如,Halo可以配對友好橢圓曲線,并使用特殊的內積參數來分攤遞歸成本。Aztec 表明可以直接對現有協議進行聚合證明(查詢數據表可以減少非本地字段操作的成本,從而降低驗證電路的成本)。這種方法可以極大地提高電路負載量的可擴展性。
動態 | 供應鏈攻擊再起 黑客入侵JavaScript庫竊取錢包比特幣:供應鏈攻擊是一種高級且非常隱蔽的攻擊模式,通常通過在軟件的依賴庫中嵌入惡意代碼實現,近日降維安全實驗室(johnwick.io)觀察到有黑客獲取了熱門JavaScript庫Event-Stream的控制權,并注入了惡意代碼來竊取Copay錢包內的比特幣等數字貨幣。該惡意代碼默認休眠狀態,當BitPay的Copay錢包啟動后,就會自動激活。它將會竊取用戶錢包內的私鑰并發送至copayapi.host:8080。該惡意代碼9月至11月期間感染了所有版本的Copay錢包。降維安全建議使用Copay錢包的用戶升級到最新版Copay v5.2.2, 使用Event-Stream庫的開發者請更新到v4.0.1。[2018/11/27]
硬件加速更加高效。我們制造了 GPU 和 ASIC/FPGA 加速器,并且關于 ASIC 證明者的論文已經被最大的計算機會議(ISCA)接受。GPU 證明器比Filecoin 的實現快大約 5 到 10 倍。這將大幅提高證明器的計算效率。
除了強大的直覺和技術改進之外,我們還需要更清楚地知道我們需要證明什么,并制定出更具體的架構。我們將在后續文章中介紹更多技術細節和比較。在這里,我們描述了總體工作流程和一些關鍵思想。
開發人員和用戶的工作流程
開發人員可以使用任何與 EVM 兼容的語言來運行智能合約,并將編譯后的字節碼部署在 Scroll 上。然后,用戶可以發送交易與智能合約進行交互。用戶和開發者的體驗將與 Layer 1 完全相同。但是,gas 費用顯著降低,并且在 Scroll 上的交易訂單即時預先確認(提款只需幾分鐘即可完成)。
zkEVM 的工作流程
即使 Layer 1 和 Layer 2 表面上的工作流程沒有太多差別,但二者的底層處理過程完全不同:Layer 1 依賴于智能合約的重新執行;Layer 2 依賴于 zkEVM 電路的有效性證明。
讓我們更詳細地解釋 Layer 1 和 Layer 2 交易的情況有何不同。
在 Layer 1 ,智能合約的字節碼存儲在以太坊存儲中,交易將在 P2P 網絡中廣播。對于每個事務,每個全節點都需要加載相應的字節碼并在 EVM 上執行以達到相同的狀態(事務將作為輸入數據)。
Layer 2 的智能合約字節碼也以相同的方式進行操作,但后續步驟是交易將在鏈下發送到一個集中的 zkEVM 節點。然后,zkEVM 執行字節碼并生成一個簡潔的證明,以證明在應用交易后狀態已正確更新。最后,Layer 1 合約將驗證證明并更新狀態,而無需重新執行交易。
讓我們深入了解一下執行過程,看看 zkEVM 最終需要證明什么。在原生執行中,EVM 首先加載字節碼,然后從頭開始逐個執行字節碼中的操作碼,對每個操作碼執行以下三個子步驟:
(i)從堆棧、內存或存儲中讀取元素
(ii)對這些元素執行一些計算
(iii)將結果寫回堆棧、內存或存儲。例如,add操作碼需要從堆棧中讀取兩個元素,將它們相加并將結果寫回堆棧。
所以 zkEVM 的證明需要包含與執行過程相對應的以下幾個方面:
字節碼從存儲中正確加載 (以便虛擬機正確地運行從給定地址加載的操作碼)
字節碼中的操作碼逐個執行 (字節碼按順序執行,不會丟失或跳過任何操作碼)
每個操作碼都正確執行 (每個操作碼中的三個子步驟都正確執行讀寫和計算)
zkEVM 設計亮點
在設計 zkEVM 的架構時,我們需要處理/解決上述三個問題。
第一,為密碼驗證器設計一個電路。這部分就像一個“可驗證的存儲”,我們通過使用密碼驗證器這種技術手段來保證驗證結果的正確性。 以默克爾樹為例,部署的字節碼將作為葉節點存儲在 Merkle 樹中。然后驗證者可以使用簡潔的證明來驗證從給定地址加載的字節碼(即驗證電路中的默克爾路徑)。對于以太坊存儲,則需要電路兼容 Merkle Patricia Trie 和 Keccak 哈希函數。
第二,設計一個電路來將字節碼與真實的執行產生關聯。將字節碼轉移到靜態電路中會帶來一個問題:像 jump 這樣的條件式操作碼(與智能合約中的 loop、if else 語句相對應)可能會跳轉到任何地方。在某個人使用特定輸入運行該字節碼之前,跳轉目的地都是不確定的。這就是為什么我們需要驗證實際的執行蹤跡。執行蹤跡可以被認為是 “展開的字節碼”,包含按實際執行順序排列的操作碼(即,如果你跳轉到另一個位置,蹤跡中將包含該目標操作碼和位置)。
證明者將直接提供執行蹤跡作為電路的見證數據。我們需要證明該執行追蹤是通過特定字節碼使用特定的輸入 “展開” 的工作,目的是強制讓程序計數器的值保持一致。針對目的地不確定的問題,解決思路是讓證明者提供一切數據。然后通過查找參數高效地檢查一致性(即,證明帶有準確全局計數器的操作碼包含在 “總線” 中)。
第三,為每個操作碼設計電路(證明每個操作碼中的讀寫和計算都是正確的)。這是最重要的部分,證明執行跟蹤中的每個操作碼都是正確且一致的。如果將所有東西直接放在一起,將會帶來高昂的成本。這里的優化方案是:
1)我們將讀寫和計算分成兩個證明。一個證明會將所有操作碼用到的元素都放到 “總線” 中,另一個證明會證明對 “總線” 上元素的計算是正確執行的。這會大幅降低每個部分的成本(生成計算證明時無需考慮整個 EVM 存儲)。前者被稱為 “狀態證明”,后者被稱為 “EVM 證明”。另一個發現是,查找聲明可以有效處理 “總線映射” 。
2)我們可以為每個操作碼設計度數更高的定制化約束(即,我們可以將一個 EVM word 切分成多個數據塊,以便更高效地處理)。我們可以選擇是否根據需求通過一個選擇符多項式來 “打開” 一個約束。這樣可以避免每個操作都要消耗整個 EVM 電路的成本。
這個架構最初由以太坊基金會提出,依然處于早期階段,正在積極開發中。我們正在與以太坊基金會進行密切合作,旨在找到最佳方式實現該 EVM 電路。迄今為止,我們已經定義了 EVM 電路最重要的特點,并(使用 Halo2 庫中的 UltraPlonk 語法)實現了一些操作碼。更詳細的內容將在后續文章中介紹。我們推薦感興趣的讀者閱讀這篇文檔。開發流程將是透明化的。這將是集整個社區之力的完全開源的設計。希望會有更多人加入進來,貢獻出一份力量。
zkEVM 還能帶來什么?
zkEVM 遠不僅僅是 Layer 2 擴容。我們可以將它理解為通過 Layer 1 有效性證明擴展以太坊 Layer 1 的直接方式。這意味著不需要任何特殊的 Layer 2 就可以擴展現有的 Layer 1。
例如開發者可以將 zkEVM 當作全節點來使用,該證明可以用來直接證明現有狀態之間的轉換。所有 Layer 1 交易無需將任何東西遷移到 Layer 2 上,你可以直接證明!更寬泛地來說,你可以使用 zkEVM 為整個以太坊生成簡潔證明,就像 Mina 那樣。唯一需要增加的東西是證明遞歸(將區塊的驗證電路嵌入 zkEVM)。
結論
zkEVM 可以為開發者和用戶提供相同的體驗。在不犧牲安全性的情況下,它的價格要便宜幾個數量級。已經提出了以模塊化方式構建它的架構。它利用最近在零知識證明方面的突破來減少成本(包括自定義約束、查找參數、證明遞歸和硬件加速)。我們期待看到更多的人加入 zkEVM 社區,與我們一起集思廣益!
備注:
:?Starkware 于 2021 年 9 月 1 日的公告中聲明已實現可組合性。
: 電路是固定且靜態的。例如,在將一個程序實現為電路時,你無法使用可變上限循環。上限必須固定為最大值。電路無法處理動態邏輯。
: 為便于讀者理解,我們在這里詳細說明 EVM 電路的成本。正如前文所言,電路是固定且靜態的。因此,EVM 電路需要包含所有可能的邏輯(這個體量是僅包含 add 的電路的 10000 倍)。這就意味著,即使你只想證明 add,你依然需要負擔該 EVM 電路中可能包含的所有邏輯的成本。也就是說,成本被放大了 10000 倍。在執行追蹤中,你需要證明一連串操作碼,而且每個操作碼都會帶來高昂的成本。
: EVM 本身并沒有與默克爾-帕特里夏樹(MPT)緊密綁定。目前,MPT 僅用于存儲以太坊狀態。要換一個很容易(有人提議使用 Verkle 樹替換掉 MPT)。
: 這是經過高度簡化的抽象概念。從技術上來說,“EVM 狀態” 的名單更長,包括程序計數器、gas 余量、調用棧(以上所有加上堆棧中每次調用的地址和靜態)、一組日志和交易范圍變量(熱存儲槽、退款、自毀)。我們可以另外引入針對不同調用環境的標識符來直接支持可組合性。: 由于存儲量很大,我們使用累加器進行存儲。內存和堆棧可以使用可編輯的 Plookup(我們可以通過這種方式有效地實現 “RAM”)。
: 將一個完整的遞歸證明添加進 zkEVM 電路并非易事。實現遞歸的最好方式還是使用循環橢圓曲線(即,Pasta 曲線)。我們需要引入某種 “包裝(wrapping)” 過程讓遞歸在以太坊 Layer 1 上可驗證。
編譯:餅干,鏈捕手
1.金色觀察|A16Z:構建元宇宙的7個基本要素自 90 年代創造“元宇宙”以來,一直有很多關于“元宇宙”的討論,但尤其是在大流行期間(鑒于在線活動激增).
1900/1/1 0:00:00會議內容一: 4月30日,PoST第一階段升級測試完成,召開了全球早期的前20大測試節點第一次大會,對“技術如何支持QTC生態和全球共識發展”做了論證,并達成最終決議.
1900/1/1 0:00:00美國經濟研究所(AIER)“穩健貨幣項目”發布論文《V型企業:關于區塊鏈的治理、加密貨幣和內部化》,文章回顧了市場內部化的理論和歐洲美元市場的案例,提出區塊鏈技術對于企業內部市場建設的作用.
1900/1/1 0:00:00加密產業的核心就是“去中心化”和“所有權”的確權,使得其可以重塑生產關系,更大程度賦能不同的產業。當NFT成為主流時,萬物即可NFT化.
1900/1/1 0:00:00作者:Xiang|W3.HitchhikerWeb2.0應用以去中心交易所 Binance 為例,Binance 允許用戶去交易各種代幣.
1900/1/1 0:00:002020 年,隨著?Curve、Compound?和 Yearn 等協議的出現,DeFi?的總鎖定價值(TVL)飆升至100億美元以上.
1900/1/1 0:00:00