區塊鏈:從技術原理出發 批判“加密顯學”零知識證明

原文：《Criticism on ZK》by msfew

*注：首先，這是一個用一個小時寫的草稿。 主要是為了快速收集信息，所以可能存在非常多的潛在錯誤和不完整的信息。

對 ZK 的主要批評包括兩個：

一是證明時間長 (因此有各種 benchmark、各種新的 ZK 協議和各種硬件優化）；

一是系統和應用程序安全性仍然需要測試。

零知識證明是區塊鏈領域非常流行的技術。 由于鏈上計算資源稀缺且昂貴，零知識證明允許這些計算在鏈下進行，雖然鏈下證明生成的總時間消耗非常高，但它仍然壓縮了最終證明和相關的計算驗證，從而允許計算“在鏈上”。

ZK 證明生成時間過長的問題往往被研究者和開發者所忽視，因為這本質上是 ZK 需要做出的權衡。

SushiSwap CEO：從技術上講我看好加密貨幣:金色財經報道，SushiSwap CEO Jared Grey在社交媒體上表示，監管的唯一好處是創造一個公平的競爭環境。坦率地說，這通常是失敗的。盲目的貪婪通常會獲勝，而在位者則會通過陰險的利益沖突為自己開路。從技術上講，我看好加密貨幣，因為它阻礙了人類最惡劣的濫用特性。[2023/7/24 15:54:17]

雖然他們沒有直接批評 ZK 的這個缺點，但是他們有很多從對面解決這個缺點的方法和討論。

也就是說，他們通過提出各種解決方案并進行大量基準測試來隱含地談論 ZK 的極長證明時間。

在衡量 ZK 應用之前，我們首先要測試 ZK 協議底層 commitment 的性能。

因為比如，FRI 導致 STARK，KZG 導致常規 SNARK，IPA 導致 Bulletproof 。 底層承諾的性能測試對于 ZK 應用的性能并不直觀，但對于理解 ZK 證明時間長的問題很有幫助。

分析：從技術層面來說，Celsius可能已經資不抵債:6月6日消息，據推特用戶yieldchad分析，從技術層面來說，Celsius可能已經資不抵債。該項目一共有100萬枚ETH，但只有26.8萬枚（近27%）是有充足流動性的；另外44.5萬枚拿的是Lido的stETH，按當前Curve的匯率只能換出28.7萬枚ETH；最后28.8萬枚直接質押進了以太坊2.0合約，一時半會（至少1年內）拿不出來。按照每周5萬枚ETH的速度，Celsius在五周內就會耗盡具有流動性的ETH。[2022/6/6 4:05:49]

從上面的鏈接我們可以看出，這些底層承諾協議不僅計算復雜 (可能導致證明時間長)，而且還存在內存消耗非常大的問題。

當然，內存消耗其實更多的是跟硬件配置要求有關，這跟我們今天要討論的話題是不一樣的。

對于具體的 SNARK 性能測試，a16z crypto 將它們分為前端和后端：

工信部電子五所相里朋：從技術角度看 區塊鏈監管需從三個方面實現:工信部電子第五研究所區塊鏈創新團隊負責人、高級工程師相里朋表示，關于區塊鏈的有效監管，應形成區塊鏈系統柔性監管平臺，實現對各類區塊鏈系統的實時態勢感知，監控非法交易、欺詐行為、非法信息發布等各類非法行為。從技術角度看，區塊鏈監管需從以下三個方面實現：一是整合鏈上鏈下數據，以及不同區塊鏈系統的數據，形成統一的綜合性區塊鏈信息庫，并實現高效智能的信息檢索查詢管理；二是實現對區塊鏈系統中各種交易模式的識別，進一步分析識別出非法的交易行為；三是分析區塊鏈鏈上數據中的非法輿情信息，以及鏈下的互聯網和現實中的區塊鏈相關輿情信息，實現全面的區塊鏈輿情感知。（證券日報）[2021/3/26 19:19:11]

前端通常是 ZK 應用開發者接觸到的 Cairo 語言/ zkVM 高級語言等；

徐坤：Filecoin項目需要從技術角度和投資角度去分析:OKEx首席戰略官徐坤今日發微博表示，對于Filecoin項目本身，需要從技術角度和投資角度去分析它，一切的投資是可以用數據量化的，資產有背后的價值作為支撐，可持續就可以去考慮；

另外一方面，放長周期去看一個事物的發展，它是否能夠經歷時間的考驗。投資是反人性的，事實證明，很多投資者在每一個階段可以享受一個事物不同的紅利，所以分析判斷一個投資的周期長度以及市場變化，再認真思考去做決定。[2020/7/14]

而后端是更接近 SNARK 證明生成時間的承諾等底層密碼學操作。

其中，作者提到 SNARK 證明生成具有大約 100 倍的計算開銷，并且每個 ZK 協議都有額外的開銷，例如：

“In Groth16, P must work over a pairing-friendly group, whose operations are typically at least 2x slower than groups In Groth16, P must work over a pairing-friendly group, whose operations are typically at least 2x slower than groups that aren't pairing friendly. , this results in at least an additional factor-6 slow down relative to the 100-|C| estimate above.”

聲音 | 孚鏈科技創始人趙偉：區塊鏈從技術、模式、組織、融資對行業有所創新:金色財經現場報道，今日，2018中國國際區塊鏈產業融合峰會暨區塊鏈產品與應用展在石家莊舉行，在以《新時期下區塊鏈技術賦能實體與應用結合》為題的圓桌論壇上，孚鏈科技創始人、清華經管創業協會秘書長趙偉表示，區塊鏈不完全是一種技術，同時也是一種思想。區塊鏈對行業的影響可以形容為四個創新，分別是技術創新、模式創新、組織創新和融資創新。關于企業的模式創新，區塊鏈通過利益相關的模式，把一些消費者可能也拉入了甚至成為股東的角色里面去。[2018/9/21]

總體而言，可以說 zk-SNARK 的額外性能開銷在 200 - 1000 倍的范圍內。

此外，文章還提到了 zk-SNARK 的其他限制，例如可信設置和內存使用。

Modulus Labs 的文章測量了一些 ZK 協議的實際性能。有些基準是針對參數數量的，這對我們來說不是很直觀。然而，在應用中，文章提到在 Worldcoin 用例中，即使使用 “最快” 的 Plonky2，仍然需要幾分鐘的證明生成時間和數十 GB 的內存消耗，無法在個人電腦上運行。

為了減少證明生成時間，我們可以并行證明多個證明。

通常，有兩種方法可以做到這一點：一種是批處理，另一種是遞歸。

簡單來說，批處理是同時證明一批證明，最后將它們聚合在一起，而遞歸是在一個證明中驗證其他證明。 一般而言，遞歸方法具有更小證明大小 的額外優勢。

一些更常見的聚合方法包括 Halo2、Plonky2。他們每個人都以不同的方式執行批處理和遞歸，從而減少了證明時間。

除了ZK的協議層，ZK的應用層也可以有針對性的優化。例如，可以同時使用多個 ZK 協議 (STARK + SNARK ），或者針對宏觀采取遞歸策略進行特定于應用程序的調優。

一般來說，這實際上減少了協議和證明分配方面的證明生成時間。 在探索新的 ZK 協議時，減少證明時間是最重要的考慮因素。

此外，從硬件角度進一步減少 ZK 應用在物理和節點層面的證明時間也做了很多努力。

首先，與前面提到的新協議一樣，ZK 協議被設計為盡可能對硬件友好，例如 HyperPlonk。

Paradigm 提到，ZK 的證明生成速度慢主要是由于涉及大量的 MSM 和 FFT，它們對硬件不友好，導致由于隨機內存訪問等問題導致最終證明生成速度慢。 對于這些底層加密計算，ZK 協議需要在它們的組成和規模上進行一些權衡，以使其對硬件更加友好。

幾家 ZK 硬件加速廠商表示，GPU 實際上是目前最經濟和可配置的硬件選擇，我們最終將有 FPGA 過渡到 ASIC 階段。 根據 zk 硬件公司的說法，他們的第一版 ASIC 可以直接減少至少 30% 的 ZK 證明生成時間。

此外，由于不同的服務器配置，將不同的云服務器作為節點運行可能涉及不同的硬件特定優化。

ZK 現在的另一個批評是電路代碼仍然需要正確 (沒有 bug)。

如果 ZK 協議從健全性、完整性、零知識的角度受到攻擊，我們將不再擁有有效的 ZK 系統。 我們可以在這個鏈接中看到各種角度的攻擊示例。

雖然 ZK 應用可以被稱為 trustless，但我們仍然需要確保項目的 ZK 協議和應用的代碼和架構是正確的。 區塊鏈領域中存在多種 ZK 錯誤。例如，由于 zkEVM 的 ZK 電路代碼庫龐大的問題，Vitalik 談到了 ZK 應用程序的多證明者的需求。

因此，ZK 系統可能需要與形式驗證等安全工具或 Ecne 等其他安全相關工具搭配使用。應用程序級別，它需要更多的審計，特別是對于像 zkEVM 這樣的大項目。

深潮TechFlow

個人專欄

閱讀更多

金色財經 善歐巴

Chainlink預言機

白話區塊鏈

金色早8點

Odaily星球日報

歐科云鏈

BTCStudy

MarsBit

Arcane Labs

Tags：區塊鏈ARKNARGRO區塊鏈技術發展現狀和趨勢ImpactMarketLaminarAGRO

Gate.io