比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

ROL:zkEVM設計 優化和應用

Author:

Time:1900/1/1 0:00:00

在最新的 ZKP Mooc 課程中,Scroll 的聯合創始人張燁發表了關于 zkEVM 設計,優化和應用的演講。Scroll 在構建以太坊等效的ZK-Rollup,在字節碼級別的兼容,直接支持所有現有的工具。

原文:Ye Zhang

編譯:F.F

以下是視頻的聽錄文字版本

演講分成四個部分,第一部分張燁介紹了開發背景以及我們為什么首先需要zkEVM以及為什么它在最近兩年間變得如此受歡迎,第二部分通過一個完整的流程,講解如何從頭開始構建zkEVM包括算術化和證明系統,第三部分通過一些有趣的研究問題來談論了Scroll 在構建 zkEVM時遇到的問題,最后介紹了一些其他使用zkEVM的應用。

背景和動機

傳統的Layer 1 區塊鏈會有一些節點通過P2P網絡共同維護。他們在收到用戶的交易時,會在EVM的虛擬機內執行,讀取調用合約和存儲,并依照交易更新全局的狀態樹。

這樣的架構的優勢在于去中心化和安全性,缺陷就是在L1上的交易手續費昂貴,并且交易確認緩慢。

ZK-Rollup的架構中,L2 網絡只需將數據和驗證數據正確性的證明上傳至 L1,其中證明通過零知識證明電路計算而來。

在早期的ZK-Rollup中,電路是針對特定應用而設計,用戶需要將交易發送給不同的證明者,然后不同應用的ZK-Rollup再將自己的數據和證明提交至L1。這樣帶來的問題是,喪失了原先 L1 合約的可組合性。

Scroll 所要做的是原生的zkEVM方案,是一種通用型的ZK-Rollup。這樣不僅對用戶而言更友好,對于開發者而言也可以獲得在L1上的開發體驗。當然這背后的開發難度非常之大,并且現在的證明生成的代價也非常高。

幸運的是,零知識證明的效率在過去兩年里已經大幅提高了,這也是為什么在最近兩年zkEVM變得如此受歡迎。至少有四個原因讓它變得可行,第一是多項式承諾的出現,在原先Groth16證明系統下,約束的規模非常之龐大,而多項式承諾可以支持更高階的約束,縮小證明規模;第二是查找表和自定義門的出現,可以支持更靈活的設計,使證明更加高效;第三是硬件加速方面的突破,通過GPU,FPGA和ASIC可以將證明時間縮短1-2個數量級,第四是在遞歸證明下,可以將多個證明壓縮成一個證明,使得證明變得更小更易于驗證。所以結合這四個因素,零知識證明的生成效率要比兩年前高出三個數量級,這也是 Scoll 的起源。

deBridge已在zkEVM rollup Linea上線:金色財經報道,deBridge宣布在基于Consensys的zkEVM rollup Linea上線,Linea 已集成到 deBridge和 DLN中,無需流動性池即可實現高性能互操作性。[2023/8/8 21:30:37]

根據Justin Drake的定義,zkEVM可以分為三類,第一類是語言級別的兼容,主要原因是EVM不是為ZK而設計,有很多對ZK不友好的操作碼,因此會造成大量的額外開銷。因此像Starkware和zkSync選擇在語言層面將Solidity或者Yul編譯到ZK友好的編譯器中。

第二類是 Scroll 在做的字節碼層面的兼容,是直接證明EVM的字節碼處理正確與否,直接繼承了以太坊的執行環境。在這里可做的一些取舍是,使用和EVM不一樣的狀態根,例如使用ZK友好的數據結構。Hermez 和 Consensys 也在做類似的事情。

第三類是共識層面的兼容,這里的取舍在于不僅需要保持 EVM 不變,還包括儲存結構等實現以太坊完全兼容,代價是需要更長的證明時間。而Scroll 正在和以太坊基金會的 PSE 團隊合作構建,來實現以太坊的ZK化

從 0 到 1 構建 zkEVM

第二部分,張燁向大家展示了如何從零開始建立ZKVM。

完整流程

首先,在ZKP的前端部分,你需要通過數學的算術化來表示你的計算,最常用的就是線性的R1CS,以及Plonkish 和 AIR。通過算術化得到約束后,在ZKP的后端你需要運行證明算法,來證明計算正確性,這里列舉了最常用的多項式交互式諭示證明 (Polynomial IOP) 和多項式承諾方案 (PCS)。

在這里我們需要證明 zkEVM,Scroll 使用的是Plonkish,Plonk IOP,以及KZG的組合。

為了理解我們為什么使用這三者的方案。我們首先從最簡單的 R1CS 開始,R1CS中的約束,是線性組合乘以線性組合等于線性結合。你可以加上任何變量的線性組合而沒有額外的開銷,但是在每個約束中階數最大是2。因此對于階數較高的運算,需要的約束就越多。

Polygon zkEVM主網Beta版將于6月8日更新:6月7日消息,Polygon 宣布其 zkEVM 主網 Beta 版將于北京時間 6 月 8 日 18:00 進行更新,更新需要重啟 Sequencer,這可能會導致用戶在提交交易時遇到問題。[2023/6/7 21:21:07]

而在 Plonkish 中,你需要將所有的變量填入表格,包括輸入,輸出以及中間變量的見證。在此之上,你可以定義不同的約束。在 Plonkish 中有三種類型的約束可以使用。

第一種約束是自定義門(Custom Gate),你可以定義不同單元格之間的多項式約束關系,例如 va3 * vb3 * vc3 - vb4 =0。相比R1CS來說,階數可以更高,因為你可以定義任何一個變量的約束,并且可以定義一些非常不一樣的約束。

第二種約束是 Permuation,即等價性校驗 (equality checks)。可以用來檢查不同單元格的等價性,常用于關聯電路中的不同門,比如證明上一個門的輸出等于下一個門的輸入。

最后一種約束是查找表 (Lookup Table)。我們可以將查找表理解成變量之間存在一個關系,該關系可以表示成一個表。例如我們想要證明 vc7 在 0-15 范圍內,在R1CS中你首先需要把這個數值分解為4位二進制,然后證明每位在0-1的范圍內,這將需要四個約束。而在 Plonkish中,你可以將所有可能的范圍列在同一列,只需要證明vc7屬于該列即可,這對范圍證明非常高效,在zkEVM中,查找表對于證明內存讀寫非常有用。

小結一下,Plonkish 同時支持自定義門,等價性校驗和查找表,可以非常靈活的滿足不同的電路需要。簡單對比下STARK,STARK中每一行是一個約束,約束需要表示行與行之間的狀態轉換,但 Plonkish 中的自定義約束靈活性顯然更高。

Polygon:未來幾周對Polygon zkEVM的優化預計會將費用降低約20%:5月23日消息,Polygon發推稱,接下來幾周內對Polygon zkEVM的優化預計會將費用降低約20%,這不涉及任何壓縮。Polygon zkEVM上的交易費用包括數據可用性和向以太坊發布證明的成本。PolygonzkEVM發布處理的每個事務的狀態數據,此外,費用還包括運行生成證明的服務器的費用。數據可用性占網絡上交易費用的約80%。[2023/5/23 15:20:48]

現在的問題是在zkEVM中,我們如何選擇前端。對于zkEVM主要有四個挑戰。第一個挑戰是EVM的字段是256位,這意味著需要高效得對變量進行范圍約束;第二個挑戰是EVM有很多ZK不友好的操作碼,因此需要非常大規模的約束來證明這些操作碼,例如Keccak-256;第三個挑戰是內存讀寫問題,你需要一些有效的映射來證明你所讀取的和之前所寫入的是一致的;第四個挑戰是EVM的執行蹤跡是動態變化的,因此我們需要自定義門來適配不同的執行蹤跡。出于上述的考慮,我們選擇了 Plonkish。

接下來,我們看zkEVM的完整流程,基于初始的全局狀態樹,一筆新的交易進來后,EVM會讀取存儲和調用的合約的字節碼,根據交易生成相應的執行蹤跡例如PUSH, PUSH, STORE, CALLVALUE,然后逐步執行更新全局狀態,得到交易后的全局狀態樹。而zkEVM是將初始的全局狀態樹,交易本身,以及交易后的全局狀態樹作為輸入,根據EVM的規范,來證明執行蹤跡的執行正確性。

深入EVM電路細節,每一步執行蹤跡都有對應的電路約束。具體來說,每一步的電路約束包含 Step Context,Case Switch,Opcode Specific Witness。Step Context 包含執行蹤跡對應的codehash,剩余gas和計數器;Case Switch 包含所有的操作碼,所有的錯誤情況,以及該步的相應操作;Opcode Specific Witness 包含了操作碼所需的額外見證,例如運算數等。

以簡單的加法為例,需要確保加法的操作碼的控制變量sADD設置為1,其他操作碼控制變量均為零。在 Step Context 中,通過設置 gas' - gas - 3 = 0 來約束消耗的 gas 等于 3, 同理約束計數器,棧指針在該步后累加1;在 Case Switch 中,通過操作碼控制變量和為1來約束該步為加法操作;在 Opcode Specific Witness 中,對運算數的實際加法進行約束。

Uniswap V3部署至Polygon zkEVM的提案投票將于今晚結束,目前支持率為100%:4月14日消息,Tally投票頁面顯示,Uniswap社區正對“將Uniswap V3部署至Polygon zkEVM”的治理提案進行鏈上投票,該投票已于4月9日開啟,并將于今日19:11結束,目前支持率達100%。

此前3月初消息,Uniswap社區發起該提案,建議授權Uniswap Labs代表社區將Uniswap的協議部署到稱為zkEVM的Polygon零知識以太坊虛擬機。[2023/4/14 14:03:34]

此外還需要額外的電路約束,來保證運算數從內存讀取的正確性。這里我們首先需要構建一個查找表來證明運算數屬于內存。并通過內存電路(RAM Circuit)來驗證內存表的正確性。

同樣的方法可以適用于zk不友好的哈希函數,構建哈希函數的查找表,將執行蹤跡中的哈希輸入和輸出映射到查找表,利用額外的哈希電路 (Hash Circuit) 來驗證哈希查找表的正確性。

現在我們來看zkEVM的電路架構,核心的EVM電路用于約束執行蹤跡每一步的正確性,在一些EVM電路約束難度較大的地方,我們通過查找表來映射,包括Fixed Table, Keccak Table, RAM Table, Bytecode, Transaction, Block Context,然后利用單獨的電路來約束這些查找表,例如 Keccak 電路用于約束 Keccak 表。

小結一下,zkEVM的完整工作流如下圖所示。

證明系統

因為在L1上直接驗證上述的EVM電路,內存電路,存儲電路等,開銷巨大,Scroll 的證明系統采用了兩層架構。

第一層負責直接證明EVM本身,需要大量的計算來生成證明。因此第一層證明系統要求支持自定義門和查找表,對硬件加速友好,在低峰值內存下并行生成計算,且驗證電路規模小,可以快速驗證。有前景的可選方案包括Plonky2,Starky,eSTARK,它們前端基本上都使用 Plonk,但后端可能使用了FRI,并且都滿足上述的四個特性。另一類可選的方案包括Zcash所開發的Halo2,以及KZG版本的Halo2。

還有一些新的證明系統也有很有前景,例如最近移除了 FFT 的 HyperPlonk,而NOVA證明系統可以做到更小的遞歸證明。但它們在研究中只支持R1CS,如果他們未來可以支持 Plonkish 并且應用于實踐,將非常實用高效。

Polygon推出第二個Polygon zkEVM公共測試網:金色財經報道,Polygon推出第二個Polygon zkEVM公共測試網。該測試網通過引入遞歸升級,以將證明時間從原先的10分鐘優化至4分鐘。Polygon未透露主網啟動的指定時間表,但表示這是“主網啟動前的最后一步”。

此外,今年10月Polygon推出的首個Polygon zkEVM公共測試網將于1月5日棄用。

據此前金色財經報道,12月15日,Polygon官方透露已啟動zkEVM全面安全審計。本次審計將重點關注zkEVM的正確性和穩健性兩方面,也是在上線主網之前最后一個測試網需要完成的關鍵步驟。據悉,兩家安全公司Spearbit和Hexens負責相關審計工作,涉及Polygon zkEVM內部37個審計組件,以確保在以太坊主網上推出時安全可靠。[2022/12/22 22:00:08]

第二層證明系統用于證明第一層證明的正確性,需要可以在EVM中高效進行驗證,理想情況下,最好也是硬件加速友好并且支持transparent或者universal setup。有前景的可選方案包括Groth16和列數較少的Plonkish證明系統。Groth16仍然是目前研究中證明效率極高的代表,而Plonkish證明系統在列數較少的情況下,也可以達到較高的證明效率。

在Scroll,我們在兩層證明系統中我們都采用了Halo2-KZG證明系統。因為Halo2-KZG可以支持自定義門和查找表,在GPU硬件加速下性能良好,且驗證電路規模小,可以快速驗證。區別在于我們在第一層證明系統中我們使用了Poseidon哈希,進一步提高證明效率,而第二層證明系統因為直接在以太坊上驗證,仍然使用了 Keccak 哈希。Scroll 也在探索多層證明系統的可能性,來進一步聚合第二層證明系統生成的聚合證明。

當前實現下,Scroll 的第一層證明系統EVM電路有 116 列,2496 個自定義門,50 個查找表,最高階數為9,1M Gas下需要2^18行;而第二層證明系統的聚合電路僅有 23 列,1個自定義門,7 個查找表,最高階數為 5 ,為了聚合EVM電路,內存電路,存儲電路,需要2^25行。

Scroll 在 GPU 硬件加速方面也做了非常多的研究和優化工作,對于EVM電路,優化后的GPU證明者僅需30s,相較CPU證明者提升了9倍的效率;而對于聚合電路,優化后的GPU證明者僅需149s,相較CPU提升了15倍的效率。在當前的優化條件下, 1M Gas 第一層證明系統大約需要 2 分鐘,第二層證明系統大約需要 3 分鐘。

有趣的研究問題

第三部分,張燁談論了一些Scroll 在構建 zkEVM 過程中有趣的研究問題,從前端的算術化電路到證明者的實現。

電路

首先是電路中的隨機性,因為 EVM 字段是256位,我們需要將其拆分成 32 個 8 位的字段,從而更高效得進行范圍證明。隨后我們使用隨機線性組合(Random Linear Combination, RLC)的方法,利用隨機數將32個字段編碼成1個,只需要驗證該字段就可以驗證原始的256位字段。但是問題在于隨機數的生成需要在拆分字段之后,才能確保不被篡改。因此 Scroll 和 PSE 團隊提出了多階段證明者的方案,來確保在字段拆分之后,再利用隨機數生成RLC,該方案被封裝在了 Challenge API 中。RLC在zkEVM中有許多應用場景,不僅可以壓縮EVM字段成一個字段,也可以加密不定長的輸入,或是優化查找表的布局,但仍然有許多開放性的問題需要解決。

電路方面第二個有趣的研究問題是電路布局。Scroll 前端之所以采用 Plonkish,是因為EVM的執行蹤跡是動態變化的,需要能支持不同的約束,變化的等價性檢驗,而R1CS的標準化門需要更大的電路規模來實現。但Scroll 目前使用了 2000 多個自定義門來滿足動態變化的執行蹤跡,也在探索如何進一步優化電路布局,包括將 Opcode 拆分成 Micro Opcode,或是復用相同表格內的單元格。

電路方面第三個有趣的研究問題是動態規模。因為不同的操作碼的電路規模不同,但為了滿足動態變化的執行蹤跡,每一步的操作碼都需要滿足最大的電路規模,例如Keccak哈希,因此我們實際上付出了額外的開銷。假設我們可以使zkEVM動態適應動態變化的執行蹤跡,這將節省不必要的開銷。

證明者

在證明者方面,Scroll 在 GPU 加速上已經對MSM和NTT進行了大量的優化,但現在的瓶頸轉移到了見證生成和復制數據這塊。因為假設MSM和NTT占據了80%的證明時間,即使硬件加速可以將這部分效率提升若干個數量級,但原先見證生成和復制數據20%的證明時間將變成新的瓶頸所在。證明者的另一個問題是需要大量的內存,因此也需要探索更便宜更去中心化的硬件方案。

同時Scroll 也在探索硬件加速和證明算法方面,來提升證明者的效率。目前主要有兩個大方向,或是切換至更小的域,例如使用64位的Goldilocks域,32位的梅森數(Mersenne Prime)等,或是堅持基于橢圓曲線(EC)的新證明系統,例如SuperNova。當然也有其他的一些別的可能路徑,歡迎有想法的朋友直接聯系Scroll。

安全性

在構建zkEVM時,安全性是至關重要的。PSE 和 Scroll 共同構建的zkEVM有大約3萬4千行代碼,從軟件工程角度,這些復雜的代碼庫在很長一段時間內是不可能沒有漏洞的。Scroll 目前在通過大量的審計,包括業內最頂尖的審計公司,來審核 zkEVM 的代碼庫。

其他使用zkEVM的應用

第四部分探討了其他一些使用了zkEVM的應用。

在zkRollup的架構中,我們通過在L1的智能合約,來驗證在 L2 上的n筆交易是有效的。

如果我們直接驗證L1的區塊,那么L1的節點就不需要重復執行交易,只需要驗證每一個區塊證明的有效性。這樣的架構方案稱為 Enshrine Blockchain。目前在以太坊上直接實現難度非常之大,因為需要驗證整個以太坊區塊,其中會包括驗證大量簽名,隨之帶來更長的證明時間和更低的安全性。當然也已經有一些其他公鏈在通過遞歸證明,使用單個證明,來驗證整個區塊鏈,例如Mina。

因為zkEVM可以證明狀態轉換,它也可以被白帽所利用,來證明自己知道某些智能合約的漏洞,尋求項目方的賞金。

最后一個用例是,是通過零知識證明來證明對歷史數據的聲明,作為預言機來使用,目前Axiom正在做這方面的產品。最近的ETHBeijing 黑客松上,GasLockR團隊正是利用了這一特性,證明了歷史的Gas開銷。

最后,Scroll 正在構建zkRollup的以太坊通用擴容解決方案,使用了非常先進的算術化電路和證明系統,并且通過硬件加速構建快速的驗證器,證明遞歸。目前Alpha測試網已經上線,并穩定運行了很長時間。

金色財經 善歐巴

Chainlink預言機

白話區塊鏈

金色早8點

Odaily星球日報

歐科云鏈

深潮TechFlow

BTCStudy

MarsBit

Arcane Labs

Tags:ROLROLLCROSCRroll幣是什么意思ZK Cross Chain Bridgescrt幣發行量

幣安app官方下載最新版
LID:Lido 將如何漸進地去中心化

Lido 實際上是在以太坊上的中間件或一組軟件。從作為 Lido DAO 的一名貢獻者的角度,我認為 Lido DAO 成員和投票者對寫進 Lido 協議的行動所反映的精神和原則是不斷演變的.

1900/1/1 0:00:00
比特幣:金色早報 | BRC-20代幣總市值接近4億美元

頭條 ▌BRC-20代幣總市值接近4億美元數據顯示,比特幣銘文代幣Ordi現報12.48美元,24小時漲幅30.54%,當前總市值已達2.62億美元.

1900/1/1 0:00:00
DAV:“少數人”的勝利 Midjourney走上AIGC神壇

Midjourney的風格是簡單、直接、高效,所有精力集中在模型上,不做app,也不做網站。如今,不知道Midjourney這家公司,似乎就不配談AIGC.

1900/1/1 0:00:00
ETH:加密新紀元:EigenLayer何以改變質押游戲?

作者:David Hoffman,Bankless編譯:比推BitpushNews Mary Liu地平線上似乎出現了一個新的“紀元”.

1900/1/1 0:00:00
加密貨幣:加密貨幣能否取代忠誠度積分?

越來越多的獎勵計劃正在提供加密貨幣,而不是典型的獎勵積分。能讓你賺取加密貨幣的信用卡是否適合你?我們來看看這些新選擇的利弊.

1900/1/1 0:00:00
區塊鏈:盤點ETHTokyo黑客松中5個值得關注的項目

原文作者:Surf 原文編譯:深潮 TechFlowETHTokyo 黑客馬拉松是以太坊生態系統中的一次盛會,吸引了來自世界各地的開發者和創新者。黑客馬拉松是發現新興趨勢的絕佳途徑.

1900/1/1 0:00:00
ads