當零知識證明技術完全融入模塊化架構時會發生什麼？

作者：Hannes Huitula 來源：equilibrium labs research 翻譯：善歐巴，比特鏈視界

什麼是區塊鏈以及它們如何擴展當前的計算範式？

區塊鏈（名詞） ：一種協調機器，使來自世界各地的參與者能夠沿著一組共同商定的規則進行協作，而無需任何第三方的協助。

計算機的設計目的是做三件事：存儲數據、計算以及彼此之間和人類之間的通信。區塊鏈增加了第四個維度：額外保證這三件事（存儲、計算和通信）以商定的方式發生。這些保證使得陌生人之間的合作無需受信任的第三方來促進（去中心化）。

這些額外的保證可以是 經濟的 （信任博弈論和激勵/抑制）或 加密的 （信任數學），但大多數應用程式利用兩者的組合 – 加密經濟 。這與當前主要基於聲譽的系統的現狀形成鮮明對比。

雖然 Web3 通常被描述為「讀、寫、 擁有 」，但我們認為，網際網路第三次迭代的更好概念是「讀、寫 、 驗證 」， 因為公共區塊鏈的主要好處是保證計算和輕鬆驗證這些保證得到兌現。如果我們構建可以購買、出售和控制的數字工件，那麼所有權就可以成為有保證的計算的一個子集。然而，區塊鏈的許多用例受益於有保證的計算，但不直接涉及所有權。例如，如果您在完全鏈上遊戲中的生命值是 77/100 – 您是否擁有該生命值，或者它只是根據共同商定的規則在鏈上強制執行？我們會爭論後者，但克裡斯·迪克森可能不同意。

Web3 = 讀、寫、驗證

ZK 和模塊化——兩個將加速發展的趨勢

區塊鏈提供了很多令人興奮的東西，但去中心化模型也通過 P2P 消息傳遞和共識等附加功能增加了開銷和效率低下。此外，大多數區塊鏈仍然通過重新執行來驗證正確的狀態轉換，這意味著網絡上的每個節點都必須重新執行交易以驗證提議的狀態轉換的正確性。這是一種浪費，與只有一個實體執行的集中式模型形成鮮明對比。雖然去中心化系統總是包含一些開銷和複製，但目標應該是在效率方面逐漸接近中心化基準。

儘管底層基礎設施在過去十年中得到了顯著改善，但在區塊鏈能夠處理網際網路級別的規模之前，還有很多工作要做。我們看到了沿著兩個主軸（表現力和硬度）的權衡，並相信模塊化可以在 ZK 擴展它的同時，沿著權衡前沿進行更快的實驗：

• 表現力- 您可以對什麼做出保證？包含可擴展性（成本、延遲、吞吐量等）、隱私（或 信息流管理 ）、可編程性和可組合性。

• 硬度——這些保證有多困難？包含安全性、去中心化以及用戶和代碼安全。

模塊化 是指系統組件可以分離和重新組合的 程度。 通過更快的反饋循環和更低的進入壁壘以及更少的資本需求（經濟和人力）——模塊化可以實現更快的實驗和專業化。模塊化與集成的問題不是二元的，而是一系列實驗，以找出哪些部分適合解耦，哪些部分沒有。

另一方面， 零知識證明（ZKP）使一方 （證明者） 能夠向另一方 （驗證者） 證明他們知道某件事是真實的，而無需透露任何超出其有效性的附加信息。 這可以通過避免重新執行（從全部執行 以驗證 的模型轉變為 一次執行、全部驗證 的模型） 來提高可擴展性和效率，並通過啟用隱私（有限制）來提高表現力。ZKP 還通過用更強的加密經濟保證取代較弱的加密經濟保證來提高保證的硬度，這表現為將權衡邊界向外推（參考上圖）。

我們相信模塊化和「萬物ZK化」都是將繼續加速的趨勢。雖然兩者都提供了有趣的視角來單獨探索空間，但我們對兩者的交叉特別感興趣。我們感興趣的兩個關鍵問題是：

1. 模塊化堆棧的哪些部分已經納入了 ZKP，哪些部分還有待探索？

2. ZKP 可以緩解哪些問題？

然而，在討論這些問題之前，我們需要了解 2024 年模塊化堆棧的最新情況。

2024 年模塊化堆棧

具有四個組件（執行、數據發布、共識、結算） 的模塊化堆棧的常用圖像作為簡單的心理模型很有用，但考慮到模塊化空間已經發展了多少，我們認為它不再是一個足夠的表示。進一步的分拆導致了以前被認為是更大部分的一部分的新組件，同時還創建了新的依賴關係以及不同組件之間安全互操作性的需求（稍後將詳細介紹）。考慮到該領域的發展速度，很難及時了解堆棧不同級別的所有創新。

探索 web3 堆棧的早期嘗試包括Kyle Samani (Multicoin)的嘗試- 最初於2018 年發布，於2019 年更新。它涵蓋了從分散式最後一英裡網際網路訪問（例如Helium）到最終用戶密鑰管理的一切。雖然它背後的原理可以重複利用，但有些部分，比如證明和驗證，卻完全缺失了。

考慮到這些，我們嘗試創建 2024 年模塊化堆棧的更新表示，擴展現有的四部分模塊化堆棧。它是按組件而不是功能進行劃分的，這意味著 P2P 網絡等包含在共識中，而不是將其拆分為單獨的組件 – 主要是因為很難圍繞它構建協議。

模塊化堆棧中的 ZK

現在我們有了模塊化堆棧的更新視圖，我們可以開始研究真正的問題，即 ZK 已經滲透堆棧的哪些部分以及可以通過引入 ZK 來解決哪些開放問題（避免重新執行或隱私 -特徵）。在分別深入研究每個組成部分之前，下面是我們的發現的摘要。

1 – 用戶操作抽象

當前的區塊鏈用戶需要瀏覽多個鏈、錢包和界面，這很麻煩，並且會阻礙更廣泛的採用。用戶操作抽象是一個總稱，指的是任何試圖抽象出這種複雜性並允許用戶僅與一個界面（例如特定應用程式或錢包）交互的嘗試，而所有複雜性都發生在後端。底層抽象的一些示例包括：

• 帳戶抽象（AA）使智能合約能夠進行交易，而無需每次操作都需要用戶籤名（「可編程加密帳戶」）。它可用於定義誰可以籤名（密鑰管理）、籤名什麼（交易負載）、如何籤名（籤名算法）以及何時籤名（交易批准條件）。這些功能結合在一起，可以實現使用社交登錄與 dApp 交互、2FA、帳戶恢復和自動化（自動籤署交易）等功能。雖然討論通常圍繞以太坊（ERC-4337於 2023 年春季通過），但許多其他鏈已經具有內置的本機帳戶抽象（Aptos、Sui、Near、ICP、Starknet和zkSync）。

• 鏈抽象允許用戶在不同鏈上簽署交易，同時僅與一個帳戶交互 （一個接口，多個鏈） 。多個團隊正在致力於此，包括Near、ICP和dWallet。這些解決方案利用 MPC 和鏈籤名，其中另一個網絡的私鑰被分成幾個小部分，並在源鏈上簽署跨鏈交易的驗證者之間共享。當用戶想要與另一條鏈交互時，需要足夠數量的驗證者對交易進行籤名以滿足閾值加密。這保留了安全性，因為私鑰永遠不會在任何地方完全共享。然而，它確實面臨驗證者串通的風險，這就是為什麼底層鏈的加密經濟安全性和驗證者去中心化仍然高度相關的原因。

• 從高層次上看，意圖可以將用戶的需求與區塊鏈可以執行的操作聯繫起來。這需要 意圖解決器 ——專門的鏈下代理，其任務是為用戶的意圖找到最佳的解決方案。已經有一些應用程式使用專門的意圖，例如 DEX 聚合器 （「最佳價格」） 和橋接聚合器（「最便宜/最快橋接」）。一般意向結算網絡（Anoma、Essential、Suave）旨在讓用戶更容易表達更複雜的意圖，並讓開發人員更輕鬆地構建以意圖為中心的應用程式。然而，仍然存在許多懸而未決的問題，包括如何形式化該過程、以意圖為中心的語言是什麼樣子、最優解決方案是否總是存在以及是否可以找到。

現有的 ZK 集成

• 使用 AA x ZK 進行身份驗證：其中一個示例是 Sui 的zkLogin，它使用戶能夠使用熟悉的憑據（例如電子郵件地址）登錄。它使用 ZKP 來防止第三方將 Sui 地址與其相應的 OAuth 標識符連結起來。

• AA 錢包更高效的籤名驗證：驗證 AA 合約中的交易可能比傳統帳戶 (EOA) 發起的交易昂貴得多。Orbiter試圖通過捆綁服務來解決這個問題，該服務利用 ZKP 來驗證交易籤名的正確性，並維護 AA 帳戶的隨機數值和 Gas 餘額（通過 Merkle 世界狀態樹）。藉助證明聚合併在所有用戶之間平均分攤鏈上驗證成本，這可以顯著節省成本。

ZKP 可以解決的開放問題

• 最佳執行或意圖實現的證明：雖然意圖和 AA 可以從用戶那裡抽象出複雜性，但它們也可以充當集中力量，並要求我們依靠專門的參與者（解決者）來找到最佳執行路徑。ZKP 可以用來證明用戶的最佳路徑是從求解器採樣的路徑中選擇出來的，而不是簡單地信任求解器的善意。

• 意向結算的隱私：像Taiga這樣的協議旨在實現完全屏蔽的意向結算，以保護用戶的隱私——這是向區塊鏈網絡添加隱私（或至少是機密性）的更廣泛舉措的一部分。它使用 ZKP (Halo2) 隱藏有關狀態轉換的敏感信息（應用程式類型、涉及方等）。

• AA 錢包的密碼恢復：該提案背後的想法是讓用戶在丟失私鑰時能夠恢復錢包。通過在合約錢包上存儲哈希值（密碼、隨機數），用戶可以藉助密碼生成 ZKP，以驗證這是他們的帳戶並請求更改私鑰。確認期（3 天或更長）可以防止未經授權的訪問嘗試。

2 – 測序

交易在添加到區塊之前需要進行排序，這可以通過多種方式完成：按提議者的盈利能力排序（首先支付最高支付的交易），按照提交的順序（先進先出），給出優先處理來自私人內存池的交易等。

另一個問題是 誰 可以訂購交易。在模塊化世界中，多個不同方可以執行此操作，包括匯總排序器（集中式或分散式）、L1 排序（基於匯總）和共享排序網絡（多個匯總使用的排序器的去中心化網絡）。所有這些都有不同的信任假設和擴展能力。在實踐中，交易的實際排序並將它們捆綁到一個區塊中也可以由專門的參與者（區塊構建者）在協議之外完成。

現有的 ZK 集成

• 驗證內存池的正確加密：Radius是一個共享排序網絡，具有採用實用可驗證延遲加密 ( PVDE ) 的加密內存池。用戶生成一個ZKP，用於證明解決時間鎖難題將導致有效交易的正確解密，即交易包含有效的籤名和隨機數，並且發送者有足夠的餘額支付交易費用。

ZKP 可以解決的開放問題

• 可驗證的排序規則（VSR）：使提議者/排序者遵守一組有關執行順序的規則，並額外保證遵守這些規則。驗證可以通過 ZKP 或欺詐證明進行，後者需要足夠大的經濟債券，如果提議者/排序者行為不當，經濟債券就會被削減。

3 – 執行（縮放寫入）

執行層包含狀態更新的邏輯，也是智能合約執行的地方。除了返回計算的輸出之外，zkVM 還可以證明狀態轉換是否正確完成。這使得其他網絡參與者只需驗證證明即可驗證正確執行，而不必重新執行交易。

除了更快、更高效的驗證之外，可證明執行的另一個好處是可以實現更複雜的計算，因為您不會遇到典型的 Gas 問題和鏈外計算的有限鏈上資源問題。這為全新的應用程式打開了大門，這些應用程式的計算強度更大，可以在區塊鏈上運行並利用有保證的計算。

現有的 ZK 集成

• zkEVM rollups：一種特殊類型的 zkVM，經過優化以與以太坊兼容並證明 EVM 執行環境。然而，以太坊兼容性越接近，性能方面的權衡就越大。2023 年推出了多個 zkEVM，包括Polygon zkEVM、zkSync Era、Scroll和Linea。Polygon 最近發布了他們的1 型 zkEVM 證明器，它能夠以每個塊 0.20-0.50 美元的價格證明主網以太坊塊（即將進行優化以進一步降低成本）。RiscZero 還有一個解決方案，可以證明以太坊區塊，但由於可用的基準測試有限，成本較高。

• 替代 zkVM：一些協議正在採取替代路徑並針對性能/可證明性（Starknet、Zorp）或開發人員友好性進行優化，而不是嘗試最大程度地與以太坊兼容。後者的例子包括 zkWASM 協議（Fluent、Delphinus Labs）和 zkMOVE（M2和zkmove）。

• 注重隱私的 zkVM：在這種情況下，ZKP 用於兩件事：避免重新執行和實現隱私。雖然單獨使用 ZKP 可以實現的隱私是有限的（僅限 個人私有狀態 ），但即將推出的協議為現有解決方案增加了很多表達性和可編程性。示例包括 Aleo 的snarkVM、Aztec 的AVM 和 Polygon 的MidenVM。

• ZK-協處理器：啟用鏈上數據的鏈下計算（但沒有狀態）。ZKP 用於證明正確的執行，比樂觀協處理器提供更快的結算速度，但需要在成本上進行權衡。考慮到生成 ZKP 的成本和/或難度，我們看到了一些混合版本，例如Brevis coChain，它允許開發人員在 ZK 或樂觀模式之間進行選擇（在成本和保證硬度之間進行權衡）。

ZKP 可以解決的開放問題

• 重要的 zkVM：大多數基礎層（L1）仍然使用重新執行來驗證正確的狀態轉換。將 zkVM 納入基礎層可以避免這種情況，因為驗證者可以驗證證明。這將提高運營效率。大多數人的目光都集中在帶有 zkEVM 的以太坊上，但許多其他生態系統也依賴於重新執行。

• zkSVM：雖然 SVM 目前主要在 Solana L1 中使用，但像 Eclipse 這樣的團隊正在嘗試利用 SVM 進行以太坊上的匯總。Eclipse 還計劃使用Risc Zero 進行 ZK 欺詐證明，以應對 SVM 中狀態轉換的潛在挑戰。然而，成熟的 zkSVM 尚未被探索——可能是由於問題的複雜性以及 SVM 針對可證明性以外的其他方面進行了優化的事實。

4 – 數據查詢（縮放讀取）

數據查詢，或者從區塊鏈中讀取數據，是大多數應用程式的重要組成部分。雖然近年來的大部分討論和努力都集中在擴展寫入（執行）上，但由於兩者之間的不平衡（特別是在去中心化環境中），擴展讀取更為重要。區塊鏈之間的讀/寫比率有所不同，但Sig 估計的一個數據點是，對 Solana 上節點的所有調用中 > 96% 都是讀調用（基於 2 年的經驗數據） -讀/寫比率為 24： 1.

擴展讀取包括通過專用驗證器客戶端（例如 Solana 上的 Sig）獲得更高的性能（每秒更多的讀取）以及啟用更複雜的查詢（將讀取與計算相結合），例如在協處理器的幫助下。

另一個角度是數據查詢方式的去中心化。如今，區塊鏈中的大多數數據查詢請求都是由受信任的第三方（基於信譽）促進的，例如 RPC 節點 ( Infura ) 和索引器 ( Dune )。更去中心化選項的示例包括The Graph和防存儲運算符（也是可驗證的）。還有一些創建去中心化 RPC 網絡的嘗試，例如Infura DIN或Lava Network（除了去中心化 RPC 之外，Lava 的目標是稍後提供額外的數據訪問服務）。

現有的 ZK 集成

• 存儲證明：無需使用受信任的第三方即可從區塊鏈查詢歷史和當前數據。ZKP 用於壓縮並證明檢索到了正確的數據。在這個領域構建的項目示例包括Axiom、Brevis、Herodotus和Lagrange。

ZKP 可以解決的開放問題

• 隱私狀態的高效查詢：隱私項目通常使用 UTXO 模型的變體，它可以提供比帳戶模型更好的隱私功能，但代價是犧牲開發人員的友好性。私有 UTXO 模型還可能導致同步問題——自 2022 年以來，Zcash在經歷了屏蔽交易量的大幅增長後一直在努力解決這個問題。錢包必須先同步到鏈上，然後才能使用資金，因此這對網絡的運作來說是一個相當根本的挑戰。考慮到這個問題，Aztec 最近發布了一份關於紙幣發現想法的 RFP，但尚未找到明確的解決方案。

5 – 證明

隨著越來越多的應用程式納入 ZKP，證明和驗證正迅速成為模塊化堆棧的重要組成部分。然而，如今，大多數證明基礎設施仍然是經過許可和集中的，許多應用程式依賴於單個證明者。

雖然集中式解決方案不太複雜，但分散證明架構並將其拆分為模塊化堆棧中的單獨組件會帶來多種好處。一個關鍵的好處在於活性保證的形式，這對於依賴頻繁證明生成的應用程式至關重要。用戶還受益於更高的審查阻力和由競爭和多個證明者之間分擔工作量驅動的 更低的費用。

我們認為，通用證明者網絡 （許多應用程式，許多證明者） 優於單應用程式證明者網絡 （一個應用程式，許多證明者）， 因為現有硬體的利用率更高，證明者的複雜性更低。更高的利用率也有利於用戶降低費用，因為證明者不需要通過更高的費用來補償冗餘（仍然需要支付固定成本）。

Figment Capital很好地概述了證明供應鏈的當前狀態，其中包括證明生成和證明聚合 （本身就是證明生成，但僅將兩個證明作為輸入而不是執行跟蹤）。

現有的 ZK 集成

• 帶有 SNARK 包裝器的 STARK：STARK 證明者速度很快，並且不需要可信設置，但缺點是它們會生成大量證明，而在以太坊 L1 上驗證這些證明的成本過高。最後一步將 STARK 封裝在 SNARK 中，使得在以太坊上進行驗證的成本大大降低。不利的一面是，這增加了複雜性，並且這些「複合證明系統」的安全性尚未得到深入研究。現有實現的示例包括Polygon zkEVM、zkSync Era 中的 Boojum和RISC Zero。

• 通用去中心化證明網絡：將更多應用程式集成到去中心化證明網絡中，使證明者更高效（硬體利用率更高），對用戶來說更便宜（不需要為硬體冗餘付費）。該領域的項目包括Gevulot和Succinct。

ZKP 可以解決的開放問題

• ZK欺詐證明 ：在樂觀的解決方案中，任何人都可以挑戰狀態轉換並在挑戰期間創建欺詐證明。然而，驗證欺詐證明仍然相當繁瑣，因為它是通過重新執行來完成的。ZK 欺詐證明旨在通過創建受到挑戰的狀態轉換證明來解決此問題，從而實現更有效的驗證（無需重新執行）並可能更快的結算。至少Optimism（與 O1 Labs 和 RiscZero 合作）和AltLayer x RiscZero正在致力於此。

• 更高效的證明聚合 ：ZKP 的一個重要功能是您可以將多個證明聚合為一個證明，而不會顯著增加驗證成本。這使得能夠分攤多個證明或應用程式的驗證成本。證明聚合也是證明，但輸入是兩個證明而不是執行跟蹤。該領域的項目示例包括NEBRA和Gevulot。

6 – 數據發布（可用性）

數據發布 (DP) 確保數據在短時間內（1-2 周）可用且易於檢索。這對於安全性（樂觀匯總需要輸入數據來通過在挑戰期（1-2 周）內重新執行來驗證正確執行）和活躍性（即使系統使用有效性證明，可能需要數據來證明資產所有權）至關重要。逃生艙口或強制交易）。用戶（例如 zk-bridges 和 rollups）面臨一次性付款，該付款涵蓋了在被修剪之前的短時間內存儲交易和狀態的成本。數據發布網絡並不是為長期數據存儲而設計的 （相反，請參閱下一節以了解可能的解決方案） 。

Celestia是第一個推出主網的替代 DP 層（10 月 31 日），但很快就會有許多替代方案可供選擇，因為Avail、 EigenDA和Near DA預計將在 2024 年期間推出。此外，以太坊的 EIP 4844升級也已擴展在以太坊上發布數據（除了為 blob 存儲創建一個單獨的費用市場），並為完整的 dank 分片奠定了基礎。DP 還正在擴展到其他生態系統 – Nubit就是一個例子，它旨在在比特幣上構建 Native DP。

許多 DP 解決方案還提供純數據發布之外的服務，包括主權匯總的共享安全性（例如Celestia和Avail）或匯總之間更平滑的互操作性（例如 Avail 的Nexus）。還有一些項目（Domicon和Zero Gravity）既提供數據發布又提供長期狀態存儲，這是一個引人注目的提議。這也是在模塊化堆棧中重新捆綁兩個組件的示例，我們可能會看到更多的進展（進一步分拆和重新捆綁的實驗）。

現有的 ZK 集成

• 證明糾刪碼的正確性：糾刪碼帶來了一定程度的冗餘，即使部分編碼數據不可用，原始數據也可以恢復。這也是 DAS 的先決條件，其中輕節點僅對塊的一小部分進行採樣，以概率確保數據存在。如果惡意提議者對數據進行了錯誤編碼，即使輕節點採樣了足夠的唯一塊，原始數據也可能無法恢復。可以使用有效性證明（ZKP）或欺詐證明來證明正確的糾刪碼——後者會受到與挑戰期相關的延遲的影響。除 Celestia 之外的所有其他解決方案都在致力於使用有效性證明。

• ZK 輕客戶端為數據橋提供支持：使用外部數據發布層的 Rollups 仍然需要與結算層通信數據已正確發布。這就是數據證明橋的用途。使用 ZKP 可以使以太坊上源鏈共識籤名的驗證更加高效。Avail ( VectorX ) 和 Celestia ( BlobstreamX ) 數據證明橋均由與 Succinct 一起構建的 ZK 輕客戶端提供支持。

ZKP 可以解決的開放問題

• Celestia 結合了正確擦除編碼的有效性證明： Celestia 目前是數據發布網絡中的一個異類，因為它使用欺詐證明來實現正確的擦除編碼。如果惡意區塊提議者對數據進行了錯誤編碼，任何其他全節點都可以生成欺詐證明並對此提出質疑。雖然這種方法實施起來比較簡單，但它也引入了延遲（該塊僅在欺詐證明窗口之後才是最終的），並且需要輕節點信任一個誠實的全節點來生成欺詐證明（無法自行驗證）。然而，Celestia 正在探索將其當前的 Reed-Solomon 編碼與 ZKP 結合起來，以證明編碼正確，這將顯著降低最終性。可以找到圍繞該主題的最新討論這裡有以前工作組的記錄（除了將 ZKP 添加到 Celestia 基礎層的更一般的嘗試之外）。

• ZK 證明 DAS ：對於ZK 證明數據可用性已經有了一些探索，其中輕節點將簡單地驗證 merkle 根和 ZKP，而不必通過下載小塊數據來進行通常的採樣。這將進一步降低對輕節點的要求，但開發似乎已經停滯。

7 – 長期（狀態）存儲

存儲歷史數據很重要，主要用於同步目的和服務數據請求。然而，每個全節點都存儲所有數據是不可行的，並且大多數全節點都會修剪舊數據以保持硬體需求合理。相反，我們依靠專門機構（存檔節點和索引器）來存儲所有歷史數據並根據用戶的請求提供這些數據。

還有去中心化存儲提供商，例如Filecoin或Arweave，以合理的價格提供長期去中心化存儲解決方案。雖然大多數區塊鏈沒有正式的存檔存儲過程（僅依賴於 某人 存儲它），但去中心化存儲協議是通過存儲網絡的內置存儲歷史數據和添加一些冗餘（至少 X 個節點存儲數據）的良好候選者。在激勵措施中。

現有的 ZK 集成

• 存儲證明：長期存儲提供商需要定期生成 ZKP，以證明他們已經存儲了他們聲稱的所有數據。這方面的一個例子是Filecoin 的時空證明(PoSt)，其中存儲提供商每次成功回答 PoSt 挑戰時都會獲得區塊獎勵。

ZKP 可以解決的開放問題

• 證明數據來源和查看敏感數據的授權：對於想要交換敏感數據的兩個不可信方，ZKP 可用於證明一方擁有查看數據所需的憑據，而無需上傳實際文檔或洩露密碼和日誌。詳細信息。

8 – 共識

鑑於區塊鏈是分布式 P2P 系統，不存在確定全局真相的可信第三方。相反，網絡節點通過一種稱為共識的機制就當前真相（哪個區塊是正確的）達成一致。基於 PoS 的共識方法可以分為基於 BFT 的（其中驗證者的拜佔庭容錯法定人數決定最終狀態）或基於鏈的（最終狀態由分叉選擇規則追溯決定）。雖然大多數現有的 PoS 共識實現都是基於 BFT 的，但 Cardano是最長鏈實現的一個例子。人們對基於 DAG 的共識機制也越來越感興趣，例如在 Aleo、Aptos 和 Sui 中以某些變體實現的 Narwhal-Bullshark。

共識是模塊化堆棧的許多不同組件的重要組成部分，包括共享排序器、去中心化證明和基於區塊鏈的數據發布網絡（不是基於委員會的，如 EigenDA）。

現有的 ZK 集成

• 基於 ZK 的隱私網絡中的質押：基於 PoS 的隱私網絡提出了挑戰，因為質押代幣的持有者必須在隱私和參與共識（並獲得質押獎勵）之間做出選擇。Penumbra 旨在通過消除質押獎勵來解決這個問題，而是將非抵押和抵押股權視為單獨的資產。這種方法使各個委託保持私密性，而與每個驗證者綁定的總金額仍然是公開的。

• 私人治理：實現匿名投票長期以來一直是加密領域的一個挑戰，名詞私人投票等項目試圖推動這一進程。這同樣適用於治理，至少 Penumbra 正在對提案進行匿名投票。在這種情況下，ZKP 可用於證明一個人有權投票（例如通過代幣所有權）並且滿足某些投票標準（例如尚未投票）。

ZKP 可以解決的開放問題

• 私人領導人選舉：以太坊目前在每個 epoch 開始時選舉接下來的 32 個區塊提議者，並且這次選舉的結果是公開的。這會帶來惡意方依次對每個提議者發起 DoS 攻擊以試圖禁用以太坊的風險。為了解決這個問題，Whisk提出了一項隱私保護協議的提案，用於在以太坊上選舉區塊提議者。驗證者使用 ZKP 來證明洗牌和隨機化是誠實執行的。還有其他方法可以實現類似的最終目標，a16z 的這篇博文中介紹了其中一些方法。

• 籤名聚合：使用 ZKP 聚合籤名可以顯著減少籤名驗證的通信和計算開銷（驗證一個聚合證據而不是每個單獨的籤名）。這已經在 ZK 輕客戶端中得到利用，但也有可能擴展到共識。

9 – 結算

和解類似於最高法院——驗證狀態轉換的正確性並解決爭端的最終真相來源。當一筆交易不可逆轉時（或者在概率最終性的情況下——當其很難逆轉時），該交易被認為是最終的。最終確定的時間取決於所使用的底層結算層，而這又取決於所使用的具體最終確定規則和區塊時間。

緩慢的最終性在跨 Rollup 通信中尤其是一個問題，其中 Rollup 需要等待以太坊的確認才能批准交易（樂觀 Rollups 需要 7 天，有效性 Rollups 需要 12 分鐘和證明時間）。這導致用戶體驗不佳。有多種方法可以使用具有一定安全級別的預先確認來解決此問題。示例包括特定於生態系統的解決方案（Polygon AggLayer或zkSync HyperBridge）和通用解決方案（例如Near 的 Fast Finality Layer），該解決方案旨在通過利用 EigenLayer 的經濟安全性來連接多個不同的匯總生態系統。還可以選擇利用 EigenLayer 的本機匯總橋用於軟確認以避免等待完全確定。

現有的 ZK 集成

• 通過有效性匯總加快結算速度：與樂觀匯總相比 ，有效性匯總不需要挑戰期，因為它們依賴 ZKP 來證明正確的狀態轉換，無論是否有人挑戰（ 悲觀匯總 ）。這使得基礎層的結算速度更快（以太坊上的結算時間為 12 分鐘，而以太坊上的結算時間為 7 天），並且避免了重新執行。

10 – 安全

安全性與保證的硬度有關，也是區塊鏈價值主張的重要組成部分。然而，引導加密經濟安全性是很困難的——增加了進入壁壘，並成為那些需要它的應用程式（各種中間件和替代 L1）的創新摩擦。

共享安全的想法是利用 PoS 網絡現有的經濟安全，並使其承受額外的削減風險（懲罰條件），而不是每個組件都試圖引導自己的安全。早期已經有一些嘗試在 PoW 網絡中做同樣的事情（合併挖礦），但是不一致的激勵措施使礦工更容易串通並利用協議（由於工作發生在物理世界中，因此更難以懲罰不良行為，即使用計算能力）。PoS 安全性更靈活，可以被其他協議使用，因為它同時具有正向（質押收益）和負向（削減）激勵。

圍繞共享安全前提構建的協議包括：

• EigenLayer 的目標是利用現有的以太坊安全性來保護廣泛的應用程式。該白皮書於 2023 年初發布，EigenLayer 目前處於主網 alpha 階段，完整的主網預計將於今年晚些時候推出。

• Cosmos於 2023 年 5 月推出了鏈間安全(ICS)，這使得 Cosmos Hub（Cosmos 上最大的鏈之一，由約24 億美元質押的 ATOM支持）能夠將其安全性出租給消費鏈。通過使用為 Cosmos Hub 提供支持的相同驗證器集來驗證消費者鏈上的塊，它的目的是減少在 Cosmos 堆棧頂部啟動新鏈的障礙。然而，目前只有兩個消費者鏈處於活動狀態（Neutron 和 Stride）。

• Babylon也試圖讓 BTC 用於共享安全。為了解決與合併挖礦相關的問題（很難懲罰不良行為），它正在構建一個虛擬 PoS 層，用戶可以將 BTC 鎖定到比特幣的質押合約中（無橋接）。由於比特幣沒有智能合約層，因此質押合約的削減規則而是以比特幣腳本中編寫的 UTXO 交易來表達。

• 其他網絡上的重新抵押包括Near 上的Octopus和 Solana 上的 Picasso。Polkadot平行鏈還利用了共享安全的概念。

現有的 ZK 集成

• ZK 和經濟安全的混合：雖然基於 ZK 的安全保證可能更強，但對於某些應用程式來說，證明的成本仍然過高，並且生成證明需要很長時間。Brevis coChain就是一個例子，它是一種協處理器，從 ETH 重新質押者那裡獲得經濟安全，並樂觀地保證計算（通過 ZK 欺詐證明）。dApp 可以根據其在安全性和成本權衡方面的具體需求，選擇純 ZK 或 coChain 模式。

11 – 互操作性

安全高效的互操作性仍然是多鏈世界中的一個大問題，橋梁黑客攻擊造成的 28 億美元損失就是例證。在模塊化系統中，互操作性變得更加重要——不僅是在其他鏈之間進行通信，而且模塊化區塊鏈還需要不同的組件來相互通信（例如 DA 和結算層）。因此，像集成區塊鏈那樣簡單地運行完整節點或驗證單個共識證明不再可行。這為方程式增加了更多的移動因素。

互操作性包括代幣橋接以及跨區塊鏈的更一般的消息傳遞。有幾種不同的選擇，它們都在安全性、延遲和成本方面做出了不同的權衡。對這三者進行優化非常困難，通常需要犧牲至少一項。此外，跨鏈的不同標準使得新鏈的實施變得更加困難。

雖然我們仍然缺乏對不同類型的輕客戶端（或節點）的明確定義，但Dino（Fluent & Modular Media 聯合創始人）的這篇文章給出了很好的介紹。如今，大多數輕客戶端僅驗證共識，但理想情況下，我們應該擁有可以驗證執行和 DA 的輕客戶端，以減少信任假設。這將允許接近全節點安全性，而不需要很高的硬體要求。

現有的 ZK 集成

• ZK 輕客戶端（共識驗證）：當前大多數輕客戶端都可以驗證其他鏈的共識 – 要麼是完整的驗證器集（如果足夠小），要麼是全部驗證器的子集（例如以太坊的同步委員會）。ZKP 用於使驗證更快、更便宜，因為源鏈上使用的籤名方案可能不受目標鏈本機支持。雖然 ZK 輕客戶端在橋接中的重要性預計會增加，但目前更廣泛採用的摩擦包括證明和驗證的成本以及每個新鏈實施 ZK 輕客戶端的成本。該領域的協議示例包括Polyhedra、Avail 和 Celestia 的數據證明橋以及Electron Labs 的 zkIBC.

• 存儲證明：如前所述，存儲證明可以在不使用可信第三方的情況下從區塊鏈查詢歷史和當前數據。這也與互操作性相關，因為它們可用於跨鏈通信。例如，用戶可以證明他們在一條鏈上擁有代幣，並將其用於另一條鏈上的治理（無需橋接）。還有嘗試使用存儲證明進行橋接，例如LambdaClass 開發的這種解決方案。

• ZK Oracles：Oracles充當中介，將現實世界的數據連接到區塊鏈。ZK 預言機通過證明數據的來源和完整性以及對該數據進行的任何計算，改進了當前基於聲譽的預言機模型。

ZKP 可以解決的開放問題

• 完整的輕客戶端：完整的輕客戶端還驗證正確的執行和 DA，而不是盲目地信任其他鏈的驗證器集。這減少了信任假設並更接近完整節點，同時仍然保持較低的硬體要求（允許更多的人運行輕客戶端）。然而，在大多數鏈上，尤其是以太坊上，驗證除共識之外的任何其他內容仍然昂貴得令人望而卻步。此外，輕客戶端僅啟用信息驗證（問題的一半），即它們可以識別信息是假的，但仍然需要有額外的機制讓它們對此採取措施。

• 聚合層：Polygon 的 AggLayer旨在通過利用聚合證明和統一的橋接合約，實現生態系統內 L2 之間的平滑互操作性。聚合證明可以實現更有效的驗證和安全性 – 強制依賴鏈狀態和捆綁包保持一致，並確保如果匯總狀態依賴於另一個鏈的無效狀態，則無法在以太坊上解決。zkSync 的 HyperChains和Avail Nexus也採取了類似的方法。

ZK什麼時候吃掉了模塊化堆棧？

假設我們可以達到這樣一種狀態：ZKP 的生成變得非常快（ 幾乎以光速 ）並且非常便宜 （幾乎免費） ，那麼最終的局面會是什麼樣子？換句話說——ZK 什麼時候 吃掉了模塊化堆棧 ？

從廣義上講，我們相信在這種情況下有兩件事是正確的：

1. 所有不必要的重新執行都被消除：通過轉向 1/N 執行模型（而不是 N/N 重新執行），我們顯著減少了網絡的整體冗餘，並能夠更有效地使用底層硬體。雖然仍然存在一些開銷，但這將有助於區塊鏈在計算效率方面逐漸接近中心化系統。

2. 大多數應用程式依賴於 ZK 支持的加密保證，而不是經濟安全：當生成證明的成本和時間不再是相關考慮因素時，我們相信大多數應用程式將依賴 ZKP 來獲得更強的保證。這還需要在可用性和開發人員友好性方面進行一些改進來構建 ZK 應用程式，但這些都是多個團隊正在努力解決的問題。

第三個條件是隱私（或 信息流管理 ），但它更複雜。ZKP 可用於一些具有客戶端證明的隱私應用程式，這正是 Aleo、Aztec 或 Polygon Miden 等平臺正在構建的目標，但為所有潛在用例實現大規模隱私也依賴於 MPC 和 FHE 的進展- 未來博客文章的潛在主題。

我們論文的風險

如果我們錯了，未來既不是模塊化也不是 ZK 化怎麼辦？我們論文的一些潛在風險包括：

模塊化增加了複雜性

用戶和開發者都面臨著鏈數量不斷增長的困擾。用戶需要跨多個鏈（以及可能的多個錢包）管理資金。另一方面，考慮到空間仍在不斷發展，應用程式開發人員的穩定性和可預測性較差，這使得決定構建哪條鏈變得更加困難。他們還需要考慮狀態和流動性碎片化。現在尤其如此，因為我們仍在沿著哪些組件有意義解耦以及哪些組件將重新耦合的前沿進行試驗。我們相信用戶操作抽象以及安全高效的互操作解決方案是解決這個問題的關鍵部分。

ZK 的性能是否足夠好？

無可迴避的事實是，證明生成時間太長，而且證明和驗證的成本在今天仍然太高。對於當今的許多應用程式來說，諸如可信執行環境/TEE（隱私）或樂觀/加密經濟安全解決方案（成本）之類的競爭解決方案仍然更有意義。

然而，關於 ZKP 的軟體優化和硬體加速，我們正在做大量工作。證明聚合將通過將成本分攤到多個不同方（較低的/用戶成本）來幫助進一步降低驗證成本。還可以調整基礎層以針對 ZKP 驗證進行更加優化。ZKP 硬體加速面臨的一項挑戰是證明系統的快速開發。這使得創建專用硬體（ASIC）變得困難，因為如果/當底層證明系統的標準發展時，它們可能會很快過時。

Ingonyama嘗試通過稱為ZK 分數的可比指標為證明者性能創建一些基準。它 基於運行計算的成本 (OPEX) 並跟蹤 MMOPS/WATT，其中 MMOPS 代表每秒模乘運算。如需進一步閱讀該主題，我們推薦Cysic和Ingonyama的博客，以及Wei Dai的演講。

ZKP 可以提供的有限隱私有用嗎？

ZKP 只能用於實現個人狀態的隱私，不能用於多方需要對加密數據進行計算的共享狀態（例如私有 Uniswap）。FHE 和 MPC 也需要完全隱私，但在成為更廣泛使用的可行選擇之前，它們需要在成本和性能方面提高許多數量級。也就是說，ZKP 對於某些不需要私有共享狀態的用例仍然有用，例如身份解決方案或支付。並非所有問題都需要使用同一個工具來解決。

概括

那麼這會給我們帶來什麼影響呢？雖然我們每天都在進步，但仍有大量工作要做。最迫切需要解決的問題是價值和信息如何在不同的模塊化組件之間安全地流動，而不犧牲速度或成本，以及將其全部從最終消費者中抽象出來，以便他們不需要關心之間的橋接不同的鏈、切換錢包等。

雖然我們目前仍處於實驗階段，但隨著時間的推移，當我們找出每個用例的最佳權衡範圍時，情況應該會穩定下來。這反過來將為標準（非正式或正式）的出現提供空間，並為這些鏈之上的構建者提供更多穩定性。

如今，由於生成 ZKP 的成本和複雜性，仍然有許多用例默認採用加密經濟安全，有些用例需要兩者的結合。然而，隨著我們設計更高效的證明系統和專用硬體以降低證明和驗證的成本和延遲，這一份額應該會隨著時間的推移而減少。隨著成本和速度的每一次指數級降低，新的用例都會被解鎖。

雖然這篇文章特別關注 ZKP，但我們也越來越感興趣現代密碼學解決方案（ZKP、MPC、FHE 和 TEE）最終將如何一起發揮作用 – 我們已經看到了這一點。