STA:干貨 | 再議有效性證明 vs. 錯誤性證明

作者:?AvihuLevy&UriKolodny

翻譯&校對:?安仔C1int&阿劍

來源：以太坊愛好者

-圖源來自?Unsplash?的?ArturTumasjan-

導語

近幾個月以來，越來越多關注的目光放到了OptimisticRollup(OR)這個基于錯誤性證明的拓展框架上。我們StarkWare則采用有效性證明，因為它比錯誤性證明更安全。本文將在安全性討論之外，列舉一些VP較OR的額外優勢，同時糾正大眾對有效性證明的常見誤解，最后介紹StarkEx——StarkWare開發、基于STARK和有效性證明的拓展引擎。

在此特別說明，和OR比較，VP具有以下優勢：

從根本上更安全

撤款時的資本效率高1000倍

XRP持有者律師：XRP預計價格將突破1美元的阻力位:金色財經報道，XRP持有者的律師John Deaton他的官方推特賬號上回應了一位推特用戶的推文，該用戶試圖痛斥一些投資者的大部分所謂抱怨，這些投資者對大多數數字貨幣年初至今價格上漲緩慢持批評態度。用戶Moon Lambo認為，XRP今年迄今已增長高達85%，這意味著總體上呈積極走勢。Deaton評論說，一些用戶的失望完全源于他們的期望。他指出，雖然他預計XRP在裁決后不會創下新的歷史高點，但他表示他預計價格將突破1美元的阻力位。[2023/8/6 16:21:09]

可拓展性更強

在計算方面，至少能達到相同的效率

安全性

在上一篇分析中，我們比較了VP和OR，前者只會在某狀態轉換被嚴格證明有效的情況下執行該狀態轉換，而后者則允許任意的狀態轉換，參與方可以針對無效的狀態轉換提交錯誤性證明。我們的上一篇文章聚焦安全性分析，明確指出了一種能在OR中實施、且會導致OR中所有資金被盜的攻擊手段。區塊鏈上的基礎架構解決方案必須足夠健壯，要能支撐來自金融世界、每天萬億級別的資金交互負載。VP和OR分別怎樣勝任？由于在OR中竊取資金的成本和收益大小無關，所以一旦系統承載了足夠多的資本，使得破壞系統變得有利可圖，那理性的參與者肯定會想方設法通過攻擊牟利。與OR相反，VP不會轉換到任何無效的狀態，使得無論承載多少資金都不會被盜。對于大規模的金融系統，VP更健壯，而OR更脆弱。

報告：四分之一的游戲開發者對區塊鏈技術感興趣:金色財經報道，盡管加密貨幣、NFT和Web3等區塊鏈技術越來越多地被投資者采用并擴展到主流，但游戲開發者似乎并不像以前那樣熱衷于它們。事實上，根據與這些工作室相關的 75% 的游戲開發商的意見，全球大多數游戲公司對使用區塊鏈技術不感興趣，他們參與了分析平臺Statista進行的2023年初調查。另一方面，16% 的受訪者表示他們的工作室“有點興趣”。只有 7% 的人表示工作室“非常感興趣”，而在 2,300 名受訪者中，只有區區 2% 的人表示他們的工作室已經在使用加密貨幣、NFT和 Web3 來支持他們的游戲。[2023/1/28 11:33:11]

也可以站在數據集一旦遺失的角度分析系統的安全性。和VP相比，OR中的數據更為敏感。一旦數據遺失，OR中的資金就可能被盜——也正因如此，目前的設計方案都集中在鏈上數據可用性挑戰上。而對于VP，由于采用了鏈上數據，資金就跟存在Layer-1中一樣安全。至于VP的鏈下數據部分，資金最多被凍結，而不會失竊。

資金效率

萬事達卡將在澳大利亞推出比特幣和加密貨幣獎勵卡:金色財經報道，Bitcoin Magazine發推稱，萬事達卡將在澳大利亞推出比特幣和加密貨幣獎勵卡。[2022/8/5 12:05:11]

數字貨幣世界中流動性的一大痛點在于資金取款時的延遲。在OR中，標準取款窗口期大約為1周時間——這是給提交錯誤性證明的有效窗口時間。在VP中，標準取款窗口大約為10分鐘——這是針對上一次計算結果來生成有效性證明的時間。因此OR的標準取款窗口時間要比VP長1000倍。使用OR就要承受這樣1000倍的不便，這不僅是時間上的延遲，也是資金效率的降低。

我們先前描述過一個免信任的快速提款機制：想要立刻提款的用戶需要給流動性提供商打一份鏈下資產的欠條，即簽名了的條件支付交易，然后流動性提供商從自己的“存錢罐”智能合約中墊付這筆資金，在鏈上把欠條金額上的資金轉給提款用戶，整套操作需要的時間和區塊鏈網絡的轉賬時間差不多。流動性提供商會定期把累積的鏈下資產轉移到鏈上的“存錢罐”中。

VP和OR都能應用快速取款機制。但在OR系統中，流動性提供商需要在“存錢罐”中準備1000倍的資金，因為他們收到鏈下資產等待的時間窗口要長1000倍。這個1000倍的比例和“存錢罐”流動性算法中的各種假設都無關：無論是基于取款金額期望值，或提款-存款差額，再或者是峰值流動性需求、平均撤款金額等等，OR需要的儲備金數量都是VP的1000倍。

BitMEX聯合創始人就其金融數據請求審查英國監察機構:金色財經報道，BitMEX聯合創始人本杰明·迪羅(Benjamin Delo)聲稱，信息專員辦公室未能在一宗涉及金融科技公司Wise的案件中維護他的權利。本杰明?迪洛獲得了請求對英國數據監管機構進行司法審查的許可，稱該機構未能授予他個人信息權。

2020年10月，商品期貨交易委員會指控Delo 以及聯合創始人 Arthur Hayes 和另外兩名 BitMEX 高級員工非法經營加密衍生品平臺，違反了美國銀行保密法。（blockworks）[2022/8/4 12:02:57]

然而，有時根本無法使用快速撤款。對于非同質化資產就沒法使用：

非同質Token：正如早先由Vitalik介紹那樣，如果一只名叫Mitzi的名貴CryptoKitty存在了鏈下，他的所有者沒法要求在鏈上再收到一只Mitzi，因為世界上有且只有這一只叫Mitzi的CryptoKitty。

隱蔽交易：Zerocash風格的承諾在某種程度上也是非同質化的。要想把隱蔽交易中的資金快速提到主鏈，用戶必須要向流動性提供商揭露承諾中的數據，破壞隱蔽性。

數據：近1小時內三箭資本地址轉出超32,000枚以太坊至FTX:5月30日信息，據歐科云鏈鏈上天眼監測，被OKLink ETH瀏覽器標記為“Three Arrows Capital”地址（開頭為“0x82Ac”），在17:12:57再次轉出 16,000 枚 ETH至FTX，1小時轉入FTX超32,000枚以太坊，價值超6000萬美元。[2022/5/30 3:50:40]

在這種快速撤款機制無法應用的場景下，用戶只能選擇等待標準撤款窗口結束，VP則要比OR快1000倍。

可拓展性

在這一部分我們將對比不同的rollup系統，由于同類事物間的比較才有意義，因此我們只比較提供鏈上數據可用性的rollup系統，即：ORvs.STARKZK-Rollup。雖然我們不想，但是所有在鏈上存儲數據的rollup系統都將隨著rollup交易的增多而線性增大消耗的資源量。鏈上數據包含一些?狀態以及?見證數據。OR和StR的區別在于隨著交易量的增加，前者的見證數據線性增長，而后者把這些見證替換成了一個證明，這個證明的大小只會多項式對數級別增長。劃重點，對于足夠大、足夠多的批量交易，StR的鏈上數據指紋要比OR小很多...

從細節出發：在StR中，見證數據能核實rollup運營者所進行的查驗，因此一批計算只需要一則見證，而不需要在每一份交易后面都附一份證明。更優秀的是，在現代zkp系統中，這個證明的大小是固定的。因此隨著批量交易的增大，分攤到每一條交易頭上的資源消耗反而減少。在OR中，每一條交易都必須附上一則見證，使驗證人能核實交易的正確性。因此對于大批量的交易，并沒有均攤減少的優勢。更重要的是。OR中的見證要比交易本身大很多：比方說OR見證需要包含所有用戶的簽名?1，而VP不需要。在單純的支付中，見證要比支付的數據量大3到5倍；而對于復雜的應用場景，見證通常會比狀態的數據大10倍以上，有時甚至更多。

總的來說，OR明顯要消耗更多的鏈上資源，也因此比StR更快地頂到拓展性天花板。

通用計算開支

人們常常拿VP和OR的通用計算開支做對比：即對于一個給定的鏈下計算任務，兩種不同的系統額外需要做哪些工作？下文我們將圍繞StarkWare的STARK展開，因為這是我們目前應用的VP框架。

OR：由于100個驗證者互相監督基本上能夠保證整個計算的正確性，因此當提到OR，驗證者的數量都數以百計。到了驗證階段，每一個驗證人都需要進行一遍計算任務，因此在OR中做通用計算的開支是原任務的100倍。

有必要說明，驗證人集合越小或者越多預先指派的情況，驗證人就越容易互相勾結，或者受到外界的賄賂、攻擊。

STARK：由于驗證過程的計算開支微不足道，它只需要一個實體——證明者——進行大量的計算。驗證的計算開支有多微不足道呢？現在我們甚至可以用一臺簡單的智能手機對一大批計算結果做驗證，因此可以忽略驗證的計算消耗。人們常說證明者的計算開支是原有任務的10000倍，因為證明需要消耗大量的計算來生成。但實際上StR需要的計算開支僅僅是100倍，因此額外的計算開支和OR大致相當。之所以說StR的計算開支僅有100倍，是基于以下理由：

對于算數/幾何運算操作，我們已經達到了少于100倍的計算開支。目前應用的Pedersen哈希函數僅僅比原來的操作增加了20倍計算消耗：即用STARK來證明一個Pedersen哈希值的正確性僅僅比直接計算Pedersen慢20倍。

對于那些像SHA-256那樣眾所周知計算開支很大的操作，我們正試著把那些函數換成對STARK友好的操作。我們目前受以太坊基金會的資助來進行這些研究，而且在2020年第一季度，許多密碼學大牛會提交給我們他們的替代方案建議。估計對STARK友好的哈希函數在證明時僅比某些高效的哈希算法的直接計算慢100倍。

最后，很多人之所以稱道OR是因為它能用到通用計算中，并且將支持EVM代碼，而VP不具備這一特性。對于將STARK用到通用計算中，我們持樂觀的態度。

感謝DanRobinson,JohnAdler以及VitalikButerin對本文的反饋。

1?BLS通常被認為是一種高效的聚合簽名機制。我們相信BLS不會只應用在這個用例中，因為它是整合多個簽名到一則消息中的最佳方式。在OR的用例中，許多消息都需要由交易收/發方簽名；而BLS簽名的驗證耗時10ms/簽名，這不僅是驗證人的負擔，主鏈在判別欺詐時也需要處理這種消耗。

?

Tags：STAARKSTARSTARKWSTA價格starknet幣價分析start幣超話STARK幣

以太坊交易所