ROLL:zkRollup改進提案：無需tx歷史數據，以實現gas效率和隱私提升

注：原文來自ethresear.ch，作者是leohio。

感謝AlexGluchowski以及BarryWhitehat提供的意見和看法。

一:長話短說

本文介紹了一種無需來自運營方tx歷史數據的zkRollup，這具有在L1上使用txcalldata的gas效率，并且還具有智能合約執行及資產隱私的特性。每個batch只需要在txcalldata中記錄一個狀態改變的所有者的賬戶列表。

缺點是每個用戶在將資金退出到L1時，需進行客戶端zkp計算，而另一個缺點是在EVM兼容性方面帶來困難。

二、背景和動機

對于Rollup的運營商和交易者而言，他們在使用txcalldata時仍然會產生消耗。這種限制僅僅是因為需要恢復作為交易結果的狀態，以免用戶無法生成其資金的Merkle證明。Rollup的大部分規范要求運營商將所有交易歷史數據轉儲到L1上的txcalldata。

OKX Ventures宣布投資基于zkRollup的Layer2網絡 Taiko:6月8日消息，OKX Ventures 宣布投資基于 zkRollup 的 Layer2 網絡 Taiko，Taiko 可以使開發者和用戶能夠安全地體驗以太坊，交易費用更低，而且不需要考慮任何變化。

OKX Ventures 創始人 Dora 表示，Taiko 構建的 zk-EVM 屬于 Type1 梯隊，即完全的以太坊等效性，是當前 zkEVM 領域最具潛力的項目，也是以太坊創始人 Vitalik Buterin 在推特中點名的 ZK-EVM 五大選手之一[2023/6/9 21:24:57]

交易歷史數據的這種透明度，不僅增加了txcalldata的gas成本，而且還破壞了交易的隱私。

據推測，交易歷史數據的累加器，既解決了效率問題，也解決了隱私問題。

Google Cloud 在客戶用例中新增路印協議 Loopring 的 zkRollup 擴容方案:Google Cloud 在客戶和案例研究中新增路印協議 Loopring 的 zkRollup 擴容方案。根據該案例專頁的描述，路印協議 Loopring 選擇 Google Cloud 的可擴展性和速度來減少交易時間，為 zkRollup 客戶提供更好體驗，可將用戶資金釋放等待時間縮短 40％。Google Cloud 計算引擎通過自定義 VM 解決方案可節省 15％的計算成本，從而為用戶降低了交易費用，此外還可將部署時間從幾分鐘縮短到幾秒鐘，以提高員工效率，最終增強交易計算性能并改善客戶服務。[2020/12/19 15:47:42]

三、方法

簡而言之，在第一步中，我們構造了一個zkRollup，其中運營商將最終狀態差異直接寫入txcalldata。交易歷史數據將在一個zkp電路的隱私輸入中。

Loopring首席技術官：zkRollup擁有以太坊層級的安全性:金色財經報道，在今日OKEx礦池與以太坊中國社區主辦的ETH 2.0 AMA中，Loopring首席技術官Steve Guo表示，zkRollup是一種用于以太坊的可擴展性方案，通常是被定義為Layer 2的解決方案。它能處理更多交易，更快速并且成本更低。它在鏈下批量執行所有計算，并且只向以太坊提交一個小的零知識證明（不能是偽造的證明）進行驗證。由于以太坊會驗證這些證明，并且存儲足夠的數據來準確判斷鏈下賬戶的狀態，因此zkRollup擁有以太坊層級的安全性。零知識證明框架目前有好多種，路印協議最終選定了zkSnark作為背后的零知識證明框架，主要是因為zkSnark的證明數據大小是目前最小的，這就意味著鏈上成本能做到最低，同時生成證明所必須的鏈下計算成本也不高，技術框架本身也已經過ZCash多年的實踐考驗過的。整個方案的關鍵點就在于：區塊鏈上只是負責存儲數據和驗證零知識證明，其余的計算處理都是通過在鏈下更改Merkle樹的方式來實現，從而極大的減小對區塊鏈資源的消耗，提升區塊鏈的整體性能。又因為鏈下部分有鏈上驗證的輔助，所以也能確保鏈下處理資產的安全性和正確性。從而達到在不犧牲區塊鏈帶來的安全前提下，提升區塊鏈的整體性能。[2020/6/17]

第二步，我們通過分離常用存儲和用戶狀態存儲從txcalldata中刪除最終狀態差異。這使用戶可以使用非包含證明退出。用戶保留其用戶存儲并僅公開其Merkle根。用戶可以用zkp證明根轉換，并且可以更新智能合約的常用存儲。

觀點：Validium適用于傳統高頻交易 zkRollup適合去中心化加密支付:近日，針對以太坊Layer 2擴容方案，即DeversiFi最近采用的Validium解決方案，Matter Labs創始人Alex Gluchowski撰文稱，Validium的機制與zkRollup非常相似，唯一的區別是zkRollup中的數據可用性是在鏈上的，而Validium則將其保持在鏈外。這允許Validium獲得更高的吞吐量，但這也導致該解決方案存在兩大問題：1、可凍結用戶資金；2、可沒收用戶資金。

Alex Gluchowski指出，zkRollup的數據可用性可保護用戶的資金免遭扣押和審查。但數據可用性的鏈上存儲，導致了吞吐量的限制。因此，Alex Gluchowski認為Validium方案可能會適用于傳統的高頻交易或具有較低信任假設的游戲，相比之下，完全無需信任的zkRollup方案則非常適合擴展去中心化的加密支付。（Medium）[2020/6/8]

詳細步驟如下：

動態 | 路印協議在以太坊主網啟動采用zkRollup對以太坊進行擴容的DEX:路印協議LOOPRING宣布啟動Loopring v3上的首個DEX，同時也是首個采用zkRollup對以太坊主網進行擴容的項目。[2019/12/23]

3.1)第一步，zkRollup中txcalldata使用選項

使用txcalldata恢復完整狀態有兩種選擇。

選項1：將所有交易歷史數據記錄到txcalldata。

選項2：記錄由于區塊中的交易而導致的最終狀態的差異。

在選項2中，由于txcalldata中沒有要記錄的內容，數以百萬計具有相同結果的交易使用0gas進行txcalldata使用。Merkle根轉換的可靠性由zkp保證。

而采用“選項2”是第一步。

3.2）第二步，優化“選項2”

當批次/區塊中的交易更改合約中的相同存儲值時，上述選項2會花費更少的gas。這種共享和更改的值就像ERC20的總供應量、swap協議的總資產池量等。

而且這種存儲值也會影響到所有資產持有者，這種數據的丟失會導致zkRollup的活性損失。另一方面，其他不常共享和更改的數據大多是個人資產數據。這類數據的丟失，直接意味著資產持有者損失了資金。這種風險是分開的，不會影響到對方的資金。

然后分離用戶的狀態，并提供其狀態的用戶數據及其證明作為運營商對其交易的收據，從而降低了大量gas成本。

交易者向運營方發送交易；

運營商將其用戶狀態的merle證明作為交易的收據；

交易者簽署這個收據；

電路中只接收帶有簽名收據的交易數據；

如果一個用戶進行了交易，并且多個用戶的余額發生了變化，并且他們知道自己的狀態，包括這些余額和Merkle證明，那么他們中的任何一個都可以隨時通過zkp退出其資金。

這證明這是其余額的最后一個狀態，可以通過每個批次的更改狀態所有者的每個帳戶列表的不包含證明來確定。更改狀態所有者的帳戶列表的稀疏Merkle樹可用于有效證明。

有兩種方法可以讓更改狀態的所有者知道他們最近的更改。

如果他們在線，運營商發送最后一個差異，接收簽名的差異，并將其放入zkp電路的輸入，這樣的gas成本是最低的。

如果他們不在線，運營商會將其發布到txcalldata或鏈下去中心化存儲。

通過這種狀態分離，運營商不再需要將最終狀態的任何差異都放在txcalldata中，因為用戶的帳戶狀態對于退出來說足夠安全，而丟失共同共享的數據，只是意味著運營商無法更新zkRollup的Merkle根，他們將簡單地停止服務。然后，公共共享存儲和用戶存儲都可以在鏈外分發。每批只需要在txcalldata中記錄一個狀態改變的所有者的賬戶列表。

3.3）第三步，隱私智能合約執行

用戶的交易不在鏈上，但運營商仍然可以看到并需要看到用戶狀態，以進行zkp證明。

如果用戶在其一邊進行zkp以證明其用戶狀態的Merkle根和公共共享存儲的轉換，則運營商只需更改該Merkle根和存儲，余額的秘密仍然存在。

用戶向運營商發送交易；

運營商返回余額和更新后的公共共享存儲的差異；

用戶對更新后的用戶狀態和公共共享存儲的Merkle根進行zkp證明；

制作每個批次的運營商可通過更改批次中共享存儲的變化知道余額差異，但其無法知道其他批次的余額差異，因為運營商之間只共享最終差異。這具有混合級別的隱私。

這種機制需要用到遞歸zk。

四、更詳細的討論

4、1在鏈下與離線狀態改變者通信

這只是一種選擇。該協議可以在沒有這部分的情況下構建。

即使在最壞的情況下，狀態更改器處于離線狀態，這種情況下的數據可用性風險也非常有限。

離線用戶可以在其在線時獲取數據以安全退出，其可以設置代理而不是自己接收數據。

并且我們可以構造退出方法，以便上次狀態更新不會因為數據可用性問題而使之前的狀態變得危險。

典型的去中心化存儲結構如下所示：

提交哈希

證明preimage(hash(storage))=preimage(hash(storage,last-Ethereum-block-header))-last-Ethereum-block-header

繼續觀察有多少節點可以完成

4.2賬戶鏈上gas費用

每個帳戶都可以獲得一個比地址本身短得多的ID。

每個batch只需要一個賬戶列表，這樣就可以省略重復項，這比txcalldata中使用的交易歷史要高效得多。

4.3公共共享存儲的進一步優化

在以太坊L1上，你無法擦除txcalldata。我們可以修改它，因為公共共享存儲不需要在鏈上。

與交易歷史數據不同，我們只需要最后的狀態數據，不需要任何之前的狀態。然后運營商可以放棄之前在網絡中共享的“最終狀態數據”。

運營商可以通過zkp邏輯知道可以丟棄的數據。

五、結論

分離用戶狀態使得zkRollup智能合約執行既高效又隱私，幾乎所有的txcalldata成本都從zkRollup中移除了。

Tags：ROLROLLKROTXCTrollCoinAITROLLSAKRO價格MTXC價格

幣安交易所app下載