Vitalik香港Web3嘉年華演講全文：達到協議設計極限

整理：鄧通，比特鏈視界

2024 香港 Web3 嘉年華期間，以太坊聯合創始人 Vitalik Buterin 發表主旨演講《Reaching the Limits of Protocol Design》。比特鏈視界將演講內容整理如下，以饗讀者。

區塊鏈與ZK-SNARKS

我們用來構建協議的技術類型在過去 10 年裡發生了很大變化。那麼，當 2009 年比特幣誕生時，它實際上使用了非常簡單的密碼學形式，對吧？你在比特幣協議中看到的唯一一種加密技術是——你有哈希，你有橢圓曲線的 ECDSA 籤名，你有工作量證明。工作量證明只是使用哈希的另一種方式，如果你看看 2000 年用於構建協議的技術，你就會進而看到這套更加複雜的技術，而這些技術實際上在10年前剛剛出現。

現在，很多這樣的東西肯定已經存在很長時間了。從技術上講，自從 PCP 定理誕生以來，我們就已經有了 ZK- SNARKS，該定理已經有幾十年的歷史了。所以在理論上，這些技術已經存在了很長時間，但在實踐中，在你能在學術論文中做什麼和你能在實際應用中做什麼之間存在著巨大的效率障礙。

實際上，我認為 區塊鏈本身有很多值得讚揚的地方，因為它實際上助力了這些技術的採用，並將它們真正付諸於實踐。

今天的情況在過去十年中發生了變化，並且取得了巨大的進步。這包括很多不同的事情。我們今天擁有的協議越來越依賴所有這些技術。看看 2000 年構建的協議，所有這些東西從第一天起就被視為關鍵組件。 ZK-SNARKS是這裡的第一個大事吧？ ZK-SNARKS 是一項技術。您可以通過這樣一種方式來更快地驗證證明，然後自己運行計算。您還可以在不隱藏原始輸入中的大量信息的情況下驗證證明。因此，尋找ZK-SNARKS在隱私方面非常有用，在可擴展性方面也非常有用。

現在，區塊鏈有什麼作用？區塊鏈給你帶來了很多好處，它們給你提供開放性，它們為您提供全球可驗證性。但所有這一切都是以犧牲兩件非常大的事情為代價的。一是隱私，二是安全。 ZK-SNARKS，還你隱私，還你安全。 2016年，我們看到了 Zcash 協議。然後，我們開始在生態系統理論中看到越來越多的東西。今天，幾乎所有東西都開始建立在 ZK 上，開始多方計算和完全同態加密。但有些事情是你無法用ZK-SNARKS做的。所以隱私保護、計算、在人們的私人數據上運行。投票實際上是一個重要的用例，您可以在其中獲得一定程度的收益。所以用ZK-SNARKS投票，但如果你想獲得真正最好的屬性，那麼 MPC 和 FHE 是你必須使用的東西。

許多加密、人工智慧應用程式最終也會使用 MPC 和 FHE，這兩種原語在過去十年中效率都在快速提高。

BLS密鑰聚合是一種有趣的技術，它基本上可以讓您從一大堆不同的參與者（可能有數以萬計的參與者）那裡獲取一大堆籤名，然後儘快驗證組合籤名，就像驗證一個籤名一樣。

這很強大。 BLS密鑰聚合實際上是一項處於現代狀態共識證明理論核心的技術。

如果你看看 BLS密鑰聚合之前建立的狀態共識證明，很多時候，算法通常只能支持幾百個驗證，就像一個定理目前大約有 30,000 個驗證，因為它們正在提交籤名，每 12 秒一次。這之所以成為可能，是因為這種新形式的密碼學實際上只在過去 5 到 10 年裡得到了足夠的優化才能使用。

效率、安全與擴展功能

所以很多事情都是由這些新技術帶來的。他們很快就變得更強了。當今的協議大量使用所有這些技術。我們確實經歷了從專用密碼學到通用密碼學的重大轉變，在哪裡創建新協議，您必須自己了解密碼學是如何工作的。您必須為特殊用途的應用程式創建一種特殊用途的算法，以達到更通用的目的。在這個世界上，要創建一個使用我在過去 5 分鐘談到的內容的應用程式，您甚至不需要成為密碼學家。你可以寫一段代碼，然後把它編譯成審批和驗證器，你就有了一個尋求歷史的應用程式。

那麼這裡有哪些挑戰呢？ 我認為現在的兩個大問題：一個是效率，另一個是安全。現在，還有第三種，可以說是擴展功能。 我認為， 提高我們今天擁有的東西的效率和安全性 更加重要。

我們來談談效率。我們來說一個具體的例子，就是區塊鏈的理論。理論上說，如果出塊時間為 12 秒，即一個區塊與下一個區塊之間的平均間隔時間為 12 秒。在正常的區塊驗證時間上。這是下級節點驗證塊所需的時間，大約400毫秒。現在尋找陷阱、證明平均理論和阻止所需的時間約為 20 分鐘。但兩年前，這種情況正在迅速改善。此前，這一等就是5個小時。現在，平均需要 20 分鐘。與兩年前相比，我們仍然取得了很大進步。

現在，我們的目標是什麼？ 目標是進行實時證明。 目標是，當創建一個區塊時，您可以在創建下一個區塊之前獲得證明，當我們實現實時證明時，世界上的每個用戶都可以很容易地成為協議的完全驗證用戶。如果我們能夠進入這樣一個世界：每個以太坊錢包，包括瀏覽器錢包，包括移動錢包，包括其他鏈的智能合約錢包，實際上都在完全驗證共識規則的理論。

所以他們甚至不相信自己是否更喜歡權益驗證，因為他們實際上是直接驗證規則並直接確保區塊是正確的。我們如何利用歷史來做到這一點？要使其真正發揮作用，ZK-SNARKS 證明需要實時進行，但需要有一種方法可以在 5 秒內證明理論和區塊。那麼問題是，我們能達實現？現在，MPC 和 FHE 也有類似的問題。正如我之前提到的，MPC 和 FHE 的一個強大用例就是投票，對吧？它實際上已經開始出現了。

MPC 當前的問題在於它的某些安全屬性依賴於一臺中央伺服器。 我們可以去中心化嗎？我們可以，但它需要協議更加高效。這些協議的花費巨大。

我們如何實現這樣的需求？ 對於ZK-SNARKS，我認為效率提升分為三大類。其中之一是並行化和聚合 ，因此，如果你想像在一個關於區塊的理論中，在一次驗證中，區塊最多需要大約1000萬個計算步驟。您執行每個計算步驟，並分別對其進行證明。然後你進行證明聚合。

經過大約20次上述步驟之後，您就得到了一個代表整個區塊正確性的重要證明。這是今天利用現有技術可以做到的事情。並且可以在5秒內證明劣質區塊。它需要大量的並行計算，那麼我們可以優化它嗎？我們可以優化聚合證明嗎？答案是肯定的，關於如何做到這一點，有很多理論想法，但這確實需要轉化為實際的東西。

在相同的硬體成本和相同的電力成本下，ASIC能夠比 GPU 快大約 100 倍的哈希處理速度。問題是，我們可以通過嚴格證明獲得完全相同的好處嗎？我認為答案是我們應該能夠。有很多公司已經開始實際構建專門用於證明ZK-SNARKS的產品，但實際上，它應該是非常通用的。我們可以把 20 分鐘縮短到 5 秒，進而使效率提高嗎？

所以我們有GKR協議，我們有 64 位，我們有ZK-SNARKS等各種不同的想法。我們能否進一步提高算法的效率？我們能否創建更多ZK-SNARKS、友好的哈希函數、更多 ZK-SNARKS、友好的籤名算法？這裡有很多想法，我強烈鼓勵人們為這些想法做更多的工作。我們擁有所有這些令人驚嘆的密碼學形式，但是人們會不會信任它們？如果人們擔心其中存在某種缺陷，無論是 ZK-SNARKS，還是 zkevm Circuits，它們都有 7000 行代碼。如果他們做得非常有效的話。理論上，平均每千行代碼有 15 到 50 個錯誤。我們努力嘗試。每千行不到 15 個，但也大於零。如果你擁有這些持有數十億美元人們資產的系統，那麼如果其中一個出現錯誤，那麼無論加密技術多麼先進，這些錢都會丟失。

問題是，我們能做些什麼來真正採用現有的密碼學並減少其中的錯誤數量？

現在，我認為如果一個團體的12 人中有 9 人，即超過 75% 的人同意存在錯誤，那麼他們就可以推翻證明系統所說的任何內容。所以它是相當中心化的。在不久的將來，我們就會有多重證明。理論上來說，您可以降低其中任何一個的某部分出現錯誤的風險。你有三個證明系統。如果其中一個存在錯誤，那麼希望另外兩個在完全相同的位置不會出現錯誤。

用人工智慧工具進行形式驗證

最後， 我認為未來值得研究的一件有趣的事情是使用人工智慧工具進行形式驗證。 實際上，從數學上證明像ZK-EVM 這樣的東西沒有錯誤。但你能否真正證明這一點，例如，ZK-EVM 實現正在驗證與 Gas 中的定理實現完全相同的函數。例如，你能證明它們對於任何可能的輸入都只有一個輸出嗎？

在 2019 年，沒有人認為人工智慧可以在今天製作出非常漂亮的照片。我們已經取得了很多進展，我們已經看到人工智慧做到了。

問題是，我們是否可以嘗試將類似的工具轉向類似的任務。例如為跨越數千行代碼的程序中的複雜語句自動生成數學證明。我認為這是一個有趣的開放挑戰，讓人們了解籤名聚合的效率。那麼今天以太坊有30000個驗證器，運行一個節點的要求相當高吧？我的筆記本電腦上有一個節點理論，它可以運行，但它不是一臺便宜的筆記本電腦。而且我確實必須自己去升級硬碟。期望的目標是理論上的，我們希望支持儘可能多的驗證。我們希望權益證明儘可能民主化，以便人們能夠直接參與任何規模的驗證。我們希望在節點理論中運行的要求非常低，並且非常易於使用。我們希望理論和協議儘可能簡單。

那麼這裡的限制是什麼？限制是每個參與者每個槽的所有數據需要 1 Bit，因為你必須廣播誰參與籤名和誰沒有參與的信息。這是在此之上最基本的限制。如果是這樣的話，就沒有其他限制了。計算，無下限。您可以進行證明聚合。您可以對每棵樹進行遞歸，也可以進行籤名。您可以進行各種籤名聚合。你可以使用SNARKS，你可以使用密碼學，就像你可以使用32位SNARKS一樣，各種不同的技術。

關於點對點網絡的思考

問題是，我們能在多大程度上優化籤名聚合——點對點安全？ 人們對點對點網絡的思考還不夠。這才是我真正想強調的。 我認為在加密領域，通常有太多的傾向在點對點網絡之上創建奇特的結構，然後假設點對點網絡可以工作。這裡隱藏著很多惡魔吧？我認為這些惡魔將變得更加複雜，就像點對點網絡在比特幣中的工作方式一樣。

這其中有各種攻擊，如女巫攻擊、拒絕服務攻擊等。但是當你有一個非常簡單的網絡，並且網絡的唯一任務是確保每個人都能得到一切時，問題仍然相當簡單。問題在於，作為一種尺度理論，點對點網絡變得越來越複雜。今天的以太坊點對點網絡有64個分片——為了做一次籤名聚合，為了處理30000個籤名。

首先，就像我們今天所做的那樣，我們有一個點對點網絡，它分為 64 個不同的分片，每個節點只是其中一個或幾個網絡的一部分。因此，將兩個項目分層並允許Rollup的費用非常低，這是一種有天賦的可擴展性解決方案。這也依賴於更複雜的點對點架構。每個節點只下載全部數據的1/8嗎？你真的能讓這樣的網絡安全嗎？我們該如何保存數據呢？我們如何提高點對點網絡的安全性？

結論

所以， 我們需要考慮的是能夠實現密碼學限制的協議。 我們的密碼學已經比幾十年前強大得多，但它還可以更強，我認為現在我們真的需要開始考慮什麼是天花板，我們如何真正達到天花板？

這裡有兩個同樣重要的方向：

其中之一就是繼續提高效率 ，我們想要實時證明一切。我們希望看到這樣一個世界：在去中心化協議的區塊中傳遞的每條消息默認都附加有ZK-SNARKS，證明該消息以及該消息所依賴的所有內容都遵循協議的規則。我們如何才能提高效率以實現這一目標？ 第二個是提高安全性。 從根本上減少出現問題的可能性，讓我們進入一個世界，在這個世界中，這些協議背後的實際技術可以是非常強大和非常值得信賴的。