GAS:ZK rollups 中的“證明溢出”問題探究

在 Scroll，我們正在開放構建zkEVM，并希望將我們正在構建的協議的所有方面保持公開透明。

這篇文章中描述了我們稱之為“證明溢出”的問題 — 一個由于 ZK rollups 中執行和證明生成分離而引起的問題。

背景

Scroll 的 rollup 流程大致可以理解為：

1. 用戶向 Scroll 的內存池提交交易。

2. 排序器(sequencer)節點將一些交易打包到一個區塊中。

3. 批處理程序(bather)將一些區塊打包成一個批次(batch)。

批次的數據（包括其所有交易數據）被發布或“提交”到以太坊 L1

4. 證明者獲取批次并生成證明。

該證明可以證明該批次中的所有交易均已正確執行。

該證明提交給以太坊 L1 進行驗證。相應的批次被認為是“最終確認的”。

WEMIX宣布將推出具有EVM等效性的ZK Rollup擴容網絡WEMIX Kanvas:金色財經報道，韓國游戲巨頭WeMade旗下區塊鏈游戲平臺WEMIX今日宣布將推出WEMIX Kanvas，這是一款具有EVM等效性的ZK Rollup Layer2。

根據計劃，從2023年第一季度開始，WEMIX Kanvas將分兩階段進行部署，先是從ZK Fault證明的Optimistic Rollup開始，隨后發展至EVM等效的ZK Rollup。[2023/2/17 12:13:50]

我們在 Alpha 測試網中遇到的一個問題是無法證明某些批次。愿意是它們“太大”而無法放入我們的 zkEVM 電路中。

人們可以認為 zkEVM 電路由許多子電路組成，比如 n 個子電路，它們通過查找表互連。每個子電路用于約束特定的操作——例如，Keccak 電路計算 Keccak 哈希，求冪電路計算求冪。我們的 zkEVM 電路設計中當前限制是每個子電路必須具有相同的行數，比如 m 行。

V神：ZK Rollup可能是以太坊頂級Layer2擴展武器:8月8日消息，以太坊創始人Vitalik Buterin在2022韓國區塊鏈周KBW 2022峰會中就以太坊的各類問題進行發言，他表示，由于Layer2 Rollup，以太坊網絡的交易成本將很快降至1美分，在將來所有效率改進后交易成本可能降至0.05美元，甚至可能低至0.02美元，隨著成本的下降，區塊鏈實際上可以啟用和解鎖全新的場景用例，這將完全改變游戲規則。另外，下一個十年對區塊鏈技術至關重要，區塊鏈應用需要證明它們的實用性， 所以ZK Rollup很可能是以太坊的頂級Layer2擴展武器。Vitalik還表示，量子計算將是未來的重要考慮因素，以太坊需要升級以保護自己免受未來的量子計算攻擊，并考慮轉向“新形式的密碼學”，以抵抗潛在的攻擊，但可能需要幾十年的時間。[2022/8/8 12:10:08]

根據每個子電路中消耗的行數，每個所傳入的交易都具有唯一的配置文件。例如，可能有一個交易需要許多 Keccak 操作，因此在 Keccak 電路中占用許多行，而在求冪電路中不占用任何行。相反，可能有一個交易在 Keccak 電路中占用很少的行，而在求冪電路中占用很多行。

以太坊ZK Rollup擴容方案Hermez Network正式上線:3月24日消息，以太坊ZK Rollup擴容方案Hermez Network正式上線。這意味著Hermez的主網已經啟動，用戶現在可以以更低的Gas成本轉賬。Hermez的技術主管Jordi Baylina表示，用戶可以因此節省大約90%的Gas成本。目前每筆交易的平均Gas費約為16美元，如果能節省90%的費用，每筆交易的成本將降至1.5美元。（Theblockcrypto）[2021/3/24 19:14:17]

由于批次由區塊組成，而區塊由交易組成，因此批次的行消耗配置文件由組成它的交易所決定。如果一個批次的行消耗超過最大行數 m，則該批次將無法證明（即證明“溢出”）。當一個批次無法證明時，它無法在 L1 上最終確認，任何后續的批次也無法證明（取決于無法證明批次的結果狀態）。

值得注意的是，即使只包含單個交易的批次也可能會溢出電路。

要解決“證明溢出”問題需要解決以下問題：如何防止創建超出電路容量的批次？

Balancer聯合創始人：100%專注于以太坊 擴展方案Zk Rollups最有前途:10月28日，Balancer聯合創始人兼CTO Mike McDonald發推闡述其對Balancer以及擴容解決方案的看法。他表示，重要的是要明確我們100％專注于以太坊。 盡管Balancer已經為一些第三方提供了小額贈款，幫助他們在其他L1網絡上實施Balancer協議，但這只是處于研究目的，所有的內部努力仍在以太坊上。與此同時他還表示，Zk Rollups是最有前途的擴展方案，并且也是Balancer目前在內部探索的唯一的擴展路徑。 話雖如此，但從L2演示應用邁向具有有意義的資金鎖定狀態的共存的L2仍然需要大量時間和持續開發。[2020/10/28]

長期解決方案

問題源于我們電路架構的局限性：所有子電路都必須有一些預先確定的、固定數量的行。我們正在研究重新設計我們的架構，以便可以獨立地動態調整子電路的大小——每個子電路的大小都可以根據批次證明的要求放大或縮小。例如，如果一個批次在 Keccak 電路中需要 2^20 行，但在求冪電路中只需要 2^14 行，則子電路可以獨立縮放。

V神：ZK rollups是目前為止最好的解決方案:推特網友Toast Of Crypto提問稱，為什么要推動或強迫人們遠離理想的Layer 2擴容協議？以太坊創始人V神對此回復稱，因為ZK rollups是最好的解決方案，直到今年晚些時候與EVM兼容的Optimistic rollups出現，eth2將花費更長的時間。（注：ZK rollups是一種混合擴展方法，通過智能合約和零知識方法將鏈上安全性和第二層網絡結合在一起。）[2020/7/28]

這種類型的動態設計帶來了挑戰，我們正在努力解決這些問題。然而，與此同時，我們需要解決固定尺寸電路的問題。

當前解決方案

1. 根據最壞情況下的操作碼設置區塊Gas 限制

這里的想法是根據最壞情況下（就電路行消耗而言最昂貴）的操作碼來設置區塊的 Gas 限制。換句話說，設置區塊 Gas 限制，即使它被最昂貴的操作碼填滿，該區塊仍然可以適配我們的電路。這保證了任何區塊都無法填滿電路。

優點：簡單

缺點

非常低效

分析表明，最昂貴的操作碼 (SHA) 的證明行與 EVM Gas之間的比率約為 11 倍。

每個額外的 Keccak 字節占用約 2.2 行，同時消耗約 6/32 EVM gas。對于 m = 2^20（大約 100 萬行），我們可以容納大約 2^20 / 2.2 個 Keccak 字節。這對應于 (2^20 / 2.2) * (6/32) ~= 89,000 gas 的最大區塊限制。太小！！

2. Gas 重新定價 

我們可以修改操作碼到Gas的映射表來反映證明成本，而不是執行成本。這將涉及從每個操作碼與它在所有子電路中占用的最大行數的靜態映射，然后修改我們的 Geth 分支（“L2Geth”）以使用這個新的 Gas 定價。

證明溢出問題在執行層被處理為“Out of Gas”錯誤

可能會破壞依賴于正常 EVM Gas 定價的合約。

很難以編程方式將操作碼映射到行消耗。

這個映射應該是可編程的，因為zkEVM的電路庫會隨著時間的推移而改變，也因為手工分析容易出錯，這里稍有錯誤就會導致溢出漏洞

需要保持 L2Geth Gas定價和 zkEVM 電路庫之間的同步 - 不同步將導致漏洞

3. 引入額外的“Proof Gas”計量

除了正常的 EVM Gas之外，我們還可以有一個單獨的概念 “Proof  Gas ”。Proof  Gas 將用于量化交易在我們的電路中消耗的空間。請注意，這種“Proof  Gas”應該是多維的——因為不同的操作碼在不同的電路中占據不同的行。

一旦引入“Proof  Gas”計量的概念，就會出現在哪個級別約束它的問題。

3a.在執行層約束 Proof Gas

此解決方案與解決方案2類似，不同之處在于它保留了 EVM Gas 和Proof Gas 的概念。這將再次涉及將每個操作碼靜態映射到它在每個電路中占用的行數，然后修改 L2Geth 以添加這種 Proof Gas的概念。如果特定交易超過了 Proof Gas 限制，則交易將撤銷并出現一些自定義的“ out of proof gas ”的錯誤。這將確保沒有區塊可以超過行約束，因為執行層將在此之前停止交易。

證明溢出問題在執行層被處理為“out of proof gas”錯誤

難以生成從操作碼到行消耗的靜態映射

需要保持 L2Geth 和 zkEVM 電路庫之間的同步

需要對 L2Geth 和 zkEVM 電路庫中的邏輯進行重大更改，以支持額外的 Proof Gas 概念

3b.在執行層之外約束 Proof Gas

我們可以從 zkEVM 電路庫中公開 API 來報告給定執行蹤跡所需的行數，而不是生成操作碼到電路行的靜態映射。L2Geth 可以生成區塊的執行蹤跡，然后查詢電路行消耗 —— 如果超過最大行數，則不會創建區塊。

無需以編程方式將操作碼映射到行消耗所需的復雜性。

缺點：

當必須構造一個區塊時，L2Geth 會增加一些計算開銷，因為它需要進行額外的計算來估計電路行消耗。

使強制包含（Forced Inclusion）變得復雜。

強制包含是一種機制，用戶可以直接通過 L1 提交 L2 交易。這些交易被“強制”包含在 L2 鏈中，作為一種抗審查機制。

我們無法將交易映射到它在 L1 上消耗的電路行數，因此無法判斷它是否可證明

結語：

似乎解決方案 3b 是最簡單且風險最小，也是可行的解決方案。

伴隨這種方案的主要挑戰是如何處理強制交易，因為可能存在太大而無法放入電路中的強制交易。這里的一個想法是使用解決方案 1 中的想法來限制強制交易的 Gas 限制，這樣即使在最壞的情況下，強制交易也不會溢出電路。

從長遠來看，我們的目標是開發一個更靈活的證明系統，支持動態大小的子電路，從而完全避免這個問題。

金色薦讀

金色財經 善歐巴

Chainlink預言機

區塊律動BlockBeats

白話區塊鏈

金色早8點

Odaily星球日報

MarsBit

Arcane Labs

深潮TechFlow

Tags：GASROLROLL以太坊GasifyTROLLER價格TROLL BNB比特幣以太坊再現斷崖式暴跌原因

比特幣最新價格