ARK:Layer2扩容关键技术：递归零知识证明剖析_Immutable X

在Layer2扩容赛道上，ZkRollup方案以完美的数据可用性以及与Layer1同等级的安全性，备受青睐；以单个Block为处理单元，用零知识证明算法来保证此区块引起的世界状态变化的有效性，大幅降低了每笔交易的上链成本，同时也增长了系统的吞吐效率。然而，在实际的落地过程中，研究者们发现，简单的ZkRollup方案带来的扩容效果，并不能满足真实的场景需求；这和很多因素有关，电路参数的限制，零知识证明算法的效率等等；研究者们做了很多努力，比如对零知识证明算法进行加速，配备超高配置机器，优化电路规模等，虽带来了一定的性能提升，但仍难以满足需求。

研究者们当然希望，链上一次处理的交易越多越好。朝着这个目标出发，研究者们首先发现了聚合证明技术，该技术已经被ZKSwap推出的ZKSpeed扩容方案采用。在前面的文章中，已经解释了聚合证明的原理和思想，简单来说就是把多个区块的证明聚合成一个证明，使得链上一次就可以完成多个区块的验证，大大的降低了交易的平均成本，其原理如下图所示：

三月调整后稳定币链上交易额达8232亿美元，上涨47.5%:金色财经报道，据The Block Pro数据显示，三月调整后的稳定币链上交易额增长至8232亿美元，涨幅达到了47.5%；不过已发行稳定币供应量小幅收缩至1256亿美元，降幅约为2.3%，其中美元稳定币USDT市场份额升至64.1%，USDC的市场份额降幅较大，为24.6%。此外，三月调整后比特币和以太坊链上总交易额增加了48.8%，上涨至2550亿美元，其中比特币链上交易额增长48.3%，以太坊链上交易额涨幅达到了62.7%。[2023/4/5 13:46:43]

?该方案虽然有优势，可实现多个区块的证明的一次验证，但也有其一定的局限性：

1.一次聚合的区块是有上限的，受限于电路参数的限制；

赵长鹏：Voyager 账户持有人中有97%支持 Binance.US 重组计划:金色财经报道，币安创始人赵长鹏发推特表示，6.13万名 Voyager 账户持有人中有97%比例支持当前Binance.US重组计划，此前消息，Voyager 已获得法院批准以13亿美元的价格将资产出售给 Binance US。[2023/3/9 12:51:00]

2.聚合的区块越多，电路就越大，直到其规模的上限；这种电路生成的证明时间要更长，证明密钥和验证密钥也会占用更大的存储空间；

3.目前可支持的最大聚合粒度是20个区块，也就是凑齐20个区块后，才会开始聚合处理。如果生成证明的效率比较低，这会导致这些区块被确认的时间拉长，尤其是最早生成的那些区块；

Coinbase Wallet推出交易模拟功能，可了解智能合约代码如何处理加密资产:金色财经报道，据 Coinbase Wallet 社交媒体账户透露，Coinbase Wallet 已推出交易模拟功能，通过自动模拟兼容 EMV 网络上授权交易时将执行的代码，用户可以了解哪些资产将离开自己的钱包，以及收回相关资产的近似估值。Coinbase 表示，该功能的主要目的是让用户清楚地了解区块链应用程序或智能合约将如何处理他们的加密资产。[2022/11/21 7:52:42]

受限于证明计算和CRS生成复杂度的限制，上述的零知识证明算法是不可扩展的。因此，研究者们也在努力寻找一个可扩展的零知识证明算法，即Scalablezk-SNARKs。

Scalablezk-SNARKs可拓展的zk-SNARKs

报告：美国人对加密资产信任度最高，加拿大最低:9月4日消息，Crypto Pulse二季度报告显示，尽管市场进入熊市，但大多数美国人仍然非常看好加密资产。

美国人对加密资产的信任度，从第一季度的61%上升到第二季度的73%，上升幅度最大；紧随其后的是巴西（77%）、墨西哥（70%）以及智利（69%）；另一方面，来自欧洲和英国等大西洋地区的散户投资者的信任评分，从上一度的54%降至52%；加拿大是唯一一个对加密货币信任度将至50%以下的国家，主要担忧是缺乏加密货币教育。

另外，仅在美国，约61%的散户投资者在第二季度投资了加密货币，比第一季度增长了42%；从机构角度来看，近70%的美国机构表示，他们已经向各自的客户推荐使用加密货币。

据了解， Crypto Pulse研究涵盖了来自23个国家的逾2.8万名散户和机构交易员。[2022/9/4 13:08:02]

在论文《ScalableZeroKnowledgeviaCyclesofEllipticCurves》中，EliBen-Sasson等给出了Scalablezk-SNARKs的定义：

STEPN创始人：调整收入分配为不实消息，白皮书内容没有实质性改变:5月28日消息，STEPN 联合创始人 Yawn Rong 在社交媒体上针对今日“STEPN 更改白皮书，调整收入分配”一事进行回应。Yawn Rong 表示：“4% 的 Royalty Fee 在 NFT 领域向来是属于创作者的，最早的鞋子 NFT 创作者就是 STEPN 团队，之后有跟亚瑟士（ASICS）合作的 NFT，这部分就属于 STEPN 团队与亚瑟士官方共享，未来我们会引入更多 Realm，增加更多创作者。本次调整白皮书，STEPN 团队在白皮书的 Change Log 中有明确的公示，且白皮书中从始至终都是 2% 的交易手续费中不低于 5% 的收益会用于回馈生态，并没有改变任何实质性内容。”

据统计，Stepn目前每日交易费用净利润为200-500万美元，月收入高达1亿美元。[2022/5/28 3:47:30]

1.Keygenerationischeap：即，Key生成的时间和计算复杂度没有关系；

2.Proofgenerationiscarriedoutincrementally：即，证明生成过程既包含了当前执行步骤的正确性又包含了在此之前所有计算的正确性，这种zk-SNARKs是incrementallycomputable；

为了方便大家理解，用一张图来表示上述思想：

上图表示意思是：证明着证明一个递归计算过程，即：初始状态为S0，经过t次函数F迭代计算后的结果为St。

第一个计算方式，Monolithicoption：证明方P把t次计算过程全部写成电路，然后一次性证明，正如我们前面所列举的一样，存在相同的局限性，很高的时间复杂度和空间复杂度；

第二个计算方式，Recursiveoption：递归计算，其过程如下：

1.首先对于初始状态S0=>S1，证明方P对于S1?=F(S0)计算过程生成一个证明π1；

2.对于S1=>S2的转换，由图中可以得知，证明方P证明了两部分：{S2?=F(S1),V(S1,π1)=1}，前半部分保证了当前计算的有效性，后半部分保证了上一步计算过程的有效性；由于在zk-SNARKs里，证明生成的时间比原始计算要快一些，因此，对于验证过程进行证明是合理的；

由此可以看出，?Recursiveoption满足Scalablezk-SNARKs了基本要求：

1.Key的生成和循环次数没有关系，取决于单次F的复杂度，如果是generalzk-SNARKs，只取决于安全参数；

2.证明满足incrementallycomputable，每个证明都包含了在此之前所有计算的有效性；

3.证明的大小固定，和迭递归次数t没有关系；

由上可知，Scalablezk-SNARKs采用了Recursive思想，即当前的Prove过程包含上一步的验证过程电路，具体如下图所示：

可以看到，P2证明电路里，包含了上一步P1的验证过程电路。需要注意的是，P1对应的V在域Fq上，P2的证明过程在Fr上，如何在Fr上表示V的算术电路，是一个值得探讨的过程；由于Cv可以看作是P的一个子电路，因此，q需要满足?q=#E(Fr)或者?q整除?#E(Fr)，即q整除rk?-1，因此：

尝试1.理想的情况下，如果?r=q，那么在Fr上，能完美表示Fq上的V的算术电路，但是根据上述原理，r!=q恒成立；

尝试2.对于q!=r，因为需要在Fr上去模拟Fq上的计算，会导致计算复杂度的提高log(r)倍；

尝试3.采用椭圆曲线循环，可以完美实现Recursive过程；

具体的，选取两个大素数，r和q。满足r=#E(Fq)和q=#E(Fr)，即，当前群的域等于另外一个群的阶，反之亦然。因此，域Fq上的证明方P可以完美的在Fq上实现Fr上的验证电路，域Fr上的证明方P也可以在Fr上实现Fq上的验证电路；因此不会出现尝试2里面的缺陷。

下面表格列举常用的cycleofellipticcurves

写在最后

通过采用递归证明组合密码技术(RecursiveProofComposition)，zk-SNARKS变成了Scalablezk-SNARKs，实现了更高效、简洁的零知识证明算法，并能真实的落地应用。即将发布主网的Mina就采用了这种技术实现了简洁的区块链，即固定大小的链，保持在22KB左右；同时，其他的技术团队包括MatterLabs、starkWare等也在计划采用Scalablezk-SNARKs技术来实现Layer2更高的扩容。ZKSwap团队在Layer2赛道上持续发力，在Scalablezk-SNARKs上亦有所突破，相信不久就会应用于新的版本上。

标签：ARKARKSNARABLDark.BuildSparksterNarudoImmutable X

XMR热门资讯