Polygon 為 zk 擴容做出了 10 億美元的重金承諾,四種擴容方案雖都建立在 zk 技術之上,但各有千秋,策略不同。那麼,這四種方案具體技術特性與開發進度如何?
作者:Pedro,Polygon DAO 作者
整理:海尔斯曼,链捕手
長期以來,以太坊 L2 之爭的焦點都被 ZK Rollup 和 Optimistic rollup 兩者佔據。因為 OP 的 EVM 兼容性和技術較為成熟等特性,更容易被項目開發者採用,因此,OP 在當下更為通用和主流。據 L2BAET 的數據,僅 Arbitrum、Optimism、Metis 三個採用 OP 方案的項目,就佔據了 L2 市場份額的 70.8%。而 ZK rollup 因開發難度較高、技術進展較慢,目前採用率和市場份額佔比都比較低。
作為目前總鎖倉量最高的以太坊擴容方案,Polygon 則堅定地將擴容的未來押注到了 zk 技術上。去年,Polygon 大手筆收購了 Hermez、Mir,並為 zk 擴容做出了 10 億美元的重金承諾。
現在,Polygon 擁有了 “一整套”zk 擴容方案,分別是 Hermez、Nightfall、Miden 和 Zero。四種擴容方案雖都建立在 zk 技術之上,但各有千秋,策略不同。那麼,這四種方案具體技術特性與開發進度如何?哪個更有希望先殺出來?
在這篇文章中,我們將詳細討論這四種 zk 解決方案,包括其開發歷史、運作機制和開發進度等。以下內容整理自 Polygon DAO 專欄作者 Pedro 關於 Polygon 研究的 Medium 系列文章,鏈捕手在原文基礎上進行了適當的精簡和便於理解的增補。
多邊形零
Polygon Zero 是一個 ZK L2 解決方案,由最快速、最高效的遞歸證明系統 Plonky2 提供支持。前身為 Mir 協議,是由 Brendan Farmer 和 Daniel Lubarov 創辦的 Predicate Labs 於 2019 年構建。Mir 協議的特色是,執行程序過程中會生成遞歸的 ZKP(zk-proof)驗證。簡而言之,遞歸證明就像生成證明的證明。用於驗證一組交易證明是否有效。
遞歸證明是一項非常年輕的技術,於 2014 年首次在理論上被引入。2019 年,Mir 能夠在 2 分鐘內生成遞歸證明,顯然,這時間不算短,也缺乏擴展性。
2020 年,由於 Aztec 團隊的探索,Mir 取得了巨大突破,實現了在 60 秒內生成遞歸證明。在此基礎上,Mir 團隊開發了 Plonky,允許 Mir 協議在 15 秒內生成遞歸證明。
2021 年 12 月,Polygon 以 4 億美元收購了 Mir,協議更名為 Polygon Zero。最初 Mir 正在構建的啟用 zk 技術的獨立 L1 鏈的設想,變為在 Polygon 之上構建一個分佈式的 zk-rollup。
今年 1 月,Polygon Zero 發布了 Plonky2,這一技術能在 Mac-Book Pro 上以小於 170 毫秒的速度生成遞歸證明。這是有史以來最快的遞歸證明。而遞歸證明這項技術的突破,也將為 Polygon Zero 服務——Plonky2 將支持最具可擴展性的 zkEVM。
1、笨蛋 2
Plonky2 是 Plonky1 的迭代,前面也提到它建立在 2020 年 Aztec 構建的驗證系統之上。
這三者之間的一個共同點是 Plonk,所以我們需要先弄明白 Plonk 是什麼。
ZKP 是指在不透露相關信息的同時生成某個計算的有效性證明。所以沒有信息並不會被洩露,只是生成證據。
兩個主要的 ZKP 分別是 SNARK 和 STARK(由於下文會反复提到這兩種證明系統,所以鏈捕手在此處增加了對二者的詳細對比)。二者主要區別包括:SNARK 依賴橢圓曲線來保證安全性,而 STARK 依賴散列函數來保證安全,使用散列函數意味著量子抗性。
SNARK 的證明規模更小,這意味著鏈上數據存儲更少,最終用戶支付的 gas 更少。儘管 SNARK 對開發人員更加友好,但 STARK 提供了一些獨特的優勢,例如會更加透明,不需要受信任的設置,而且是 “量子安全” 的,在未來會有更大的潛力。這些優勢也曾讓 Vitalik 稱 STARK 其實是 “更新、更耀眼” 的技術。
但因為 SNARK 早在 2012 年就被提出並投入使用,而 STARK 則在 2018 年才被提出。所以,SNARK 在採用方面具有很大的先發優勢,目前 Z-Cash、路印協議和摩根大通都採用了 SNARK 技術,而且因為被廣泛採用,SNARK 擁有更多已發布的代碼、開發人員庫、項目和開發人員。但 STARK 作為新星,因其獨特的優勢,也在被更多項目採用。
Plonk 是證明系統的名稱,它屬於 SNARK 證明系統的一種。
接下來,我會分析幾種與 Plonk 結合的不同類型的方案:
Aztec 使用 Plonk + KZG 的遞歸證明時間為 60 秒;
Plonky1 使用 Plonk + Halo,遞歸證明時間為 15 秒。Halo 於 2019 年由 Zcash 首次推出,是第一個不需要可信設置的遞歸證明方案。但 Halo 的缺點是不兼容以太坊,這就是為什麼 Mir 會在最初想建立獨立的 L1 鏈;
Plonky2 使用 Plonk + FRI,遞歸證明時間為 170 毫秒。2021 年,Polygon Zero 負責人 Daniel Lubarov 提出將 FRI 與 Plonk 結合。
FRI 是用於 STARK 的方案,這意味著通過使用 FRI,Plonk 就變成 STARK(Plonk 最初是 SNARK 的一種),也意味著增加系統的透明度。當時,只有一個項目(Fractal)實現了遞歸 FRI 證明,該協議的證明時間約為 10 分鐘且不可擴展。
為了保證快速,Polygon Zero 採用了 Plonky 的第一個版本,並用 FRI 替換了 Halo。上文圖表可看出,FRI 的證明速度是 “可變的”,提交的數據越少,獲得的證明就越快。但數據越少,安全性就越低。
2、Plonky2 正在構建什麼?
如前所述,Polygon Zero 最終要建設由 Plonky2 提供支持的最具可擴展性的 zkEVM。
即,每個 zk-rollup 都需要一個 zkEVM 才能真正處理計算。用於 Polygon Zero 的 zk-rollup 的 zkEVM 將由 Plonky2 提供支持,這是目前最高效、最快的 zk 證明系統。
開發人員將能夠在 Polygon Zero 之上部署智能合約,不僅能利用 Polygon 的高性能,同時也利用以太坊的安全性。據其中一位創始人的說法,此 L2 將允許建設具有更多操作和功能的應用程序。
3、Polygon Zero和Starkware的區別
大多數 rollup,包括 Starkware,都會將交易打包,並生成該交易包中的每個事務都是有效的證明。
Polygon Zero 使用遞歸證明,因此,每筆交易都會同時製作一堆非常快速的證明。然後將這些單獨的交易證明捆綁在一起來創建更大的證明,即驗證其他證明有效性的證明。
這意味著 Polygon Zero 可以進行水平縮放。因此,如果有一堆機器並行生成這些交易證明,那麼添加更多機器(例如 Macbook)就可以證明更多交易。通過使用遞歸證明,可以擴展到更多事務,而不用以時間延遲為代價。
多邊形赫爾梅茲
五年前,三位共讀 MBA 的同事 Jordi Baylina、David Schwartz 和 Antoni Martin 創辦了一家名為 Iden3 的公司,他們從事的第一個項目是自主身份解決方案,當時項目被稱為 “自我主權身份”(Self Sovereign ID,簡稱 SSI),與我們當下比較流行的去中心化身份 DID 其實是相同的概念。
但這三個人在研發 SSI 項目的過程中逐漸意識到,要想進一步讓 SSI 成為主流,就必須先使得現有的區塊鏈具備充分的可擴展性。這之後,三人決定轉向新項目 Hermez。
Hermez 是基於 zk 技術的去中心化 L2 rollup 解決方案。Hermez 1.0 是目前正在運行的支付平台,該平台允許用戶通過一個簡單易用的網絡或移動界面將任何已註冊的 ERC-20 代幣從一個 Hermez 帳戶轉移到另一個帳戶。去年 7 月,該團隊宣布開發 zkEVM,Hermez 2.0,開發完成後將為以太坊帶來一個完全兼容的 zkEVM。
去年 8 月,Polygon 宣布以 2.5 億美元收購 Hermez。新項目將命名為 Polygon Hermez,兩個項目的代幣 MATIC 和 HEZ 進行合併,Hermez 的 26 名員工也將加入 Polygon 的 80 人團隊。
一、赫爾墨斯 1.0
Hermez 最初是作為 zk-rollup 開始的,專注於在以太坊上擴展支付和代幣轉移。
rollup 指的是打包一打交易(數千個)並在鏈下一次執行。當這數千筆交易在鏈外執行時,就 Hermez 而言,會生成一個 zk-SNARK。SNARK 證明了批次中每筆交易的有效性,隨後再由以太坊驗證證明(SNARK),而不是單個交易。
與 Optimistic rollup 相比,zk rollup 可以立即生效,實現即時提款,而 Optimistic rollup 必須等待 7 天。這種能夠在恆定時間內高效驗證證明的能力,是所有 zk rollup 的核心。
Hermez 的處理速度為 2000 TPS。據 Hermez 團隊介紹,在未來處理速度還將大幅提升。
Hermez 上可進行三種不同的交易:
存款:將任何已註冊的 ERC-20 代幣從 L1 以太坊發送到 L2 Hermez。存款需要支付以太坊 gas 費。
轉賬:將任何已註冊的 ERC-20 代幣從一個 Hermez 賬戶發送到另一個 Hermez 賬戶,此類轉賬交易非常便宜且即時。
取款:將 ERC-20 代幣從 L2 Hermez 發送回 L1 以太坊。提款需要支付以太坊 gas 費。
在提款時需要注意的一點是,Hermez 提供了一種保護機制,即 “強制提款”,允許用戶隨時將資金從 L2 Hermez 轉回 L1 以太坊,即便是協調員在試圖作惡的情況下。
協調者和捐贈證明
協調者是 Hermez 版本的區塊生產者。這些人通過生成 zk-proof 來證明鏈下交易的有效性。
協調者就是將交易捆綁打包的人,他們會將所有的事務請求匯總在一個單元中,每次 rollup 會執行數千條事務,然後再生成 zk-proof,再通過以太坊上的智能合約驗證此 zk 證明。
Hermez 之所以是去中心化的,是因為任何人都可以成為協調者並通過服務來賺取獎勵。網絡上可以同時有任意數量的協調者,但是只有一個能夠實際處理交易並在任何給定的時間段(10 分鐘長)內獲得獎勵。
Hermez 網絡通過拍賣過程選擇下一個協調者。基本上任何人都可以使用 MATIC 代幣出價,出價最高的人將贏得在 10 分鐘內處理盡可能多的交易的權利,直到選擇下一個協調員。這是一個非常有效的過程,因為它要求協調員在這 10 分鐘內盡可能多地進行交易,以使獲得的回報超過出價。
如果協調者競標失敗,MATIC 代幣將被退回原錢包,而那些競標成功的資金,將有以下三個用途:
- 30% 永久銷毀
- 40% 用於由以太坊基金會管理的捐贈賬戶
- 30% 用於網絡激勵,以幫助推動 Hermez 網絡的進一步採用。
值得一提的是,Hermez 支持原子交易。原子交易是一連串不可再分的交易,要么交易全部發生,要么全部不發生。例如,Alice 想向 Bob 發送 1000 DAI 來換取 1 ETH,在原子交易的情況下,二者必須都發送代幣給對方之後,交易才可以成功,缺少一個步驟,交易都會失敗。所以,這種交易方式能有效預防詐騙。
2 、愛馬仕 2.0
去年 7 月,在 EthCC 4 大會期間,Hermez 團隊宣布正在開發 zkEVM 即 Hermez 2.0。
我們都知道,目前 L2 多采用 Optimism 而 ZK 還沒真正起飛的關鍵點就在於,zk 還無法做到 EVM 兼容。所以,zkEVM 就是要解決這個問題,在 zk-rollup 上運行智能合約。
目前很多項目也在開發 zkEVM,僅在 Polygon 生態中,就有 Polygon Zero 和 Polygon Hermez 這兩種解決方案。然而,每個項目都以不同的方式在解決這個問題,並且每個項目都有自己的權衡。
Hermez 的特色在於不論是工具、生態系統還是安全性,均能與以太坊兼容。這就意味著在理想狀態下,在以太坊上運行的智能合約能夠在 L2 Hermez 上運行。為開發人員提供無摩擦的體驗。Optimism 和 Arbitrum 一推出,就吸引了一批項目和用戶遷移過來。不難想像,等 zk-rollup 成熟,會產生甚至更強的網絡效應。
Hermez 創始人 Antoni Martin 形容 zkEVM 說:“如果你充分利用每個解決方案的最佳部分,你就可以製造出最好的汽車……”。所以,Hermez在開發zkEVM時同時採用了SNARKS 和 STARKS 兩種 ZKP 方案,力求兩全其美。
具體而言,當 Hermez 處理交易並在鏈下產生新區塊時,將生成一個 STARK 證明,證明這些交易都是有效的。STARK 證明的問題是在鏈上(以太坊)驗證成本很高,而 SNARK 則在此時就有了用武之地,它需要做的就是在以太坊上驗證 STARK 證明的有效性。
如果你想進一步深入了解此 zkEVM 的架構,可點擊此處查看 Hermez 2.0 開發文檔。
上圖展示了 Hermez zkEVM 提供的不同功能。當然,2.0 還在開發過程中,據主網上發布 2.0 路線圖顯示,Hermez 2.0 計劃於今年第一季度上線公測網絡,主網預計於第二季度上線。還有一處劃重點,那就是 Hermez 2.0 正在開發一個無需許可的跨鏈橋,允許用戶將資產從 Hermez L2 轉移到其他 L2。
多邊形 夜幕降臨
去年 9 月,Polygon 和全球專業服務和技術公司安永 (EY,Ernest & Young) 建立合作關係,隨後發布了 Polygon Nightfall。
安永在 2019 年公佈了 Nightfall 的初始版本,和其他 zk 解決方案最不同的一點是,Nightfall是以隱私為重點的 r ollup,安永將其定位為 “以太坊上最突出的隱私解決方案之一”。具體來說,就是 Nightfall 上每筆交易都包含隱私,意味著如果 Alice 向 Bob 發送一筆資產,其他人將無法看到該資產是什麼、包含了多少價值或它去了哪裡。
之所以更注重交易的隱私性,是因為安永瞄準的客戶是企業。最開始,Nightfall 試圖直接在以太坊上構建第一個企業級區塊鏈,但最後發現,在以太坊主網擁有隱私過於昂貴,於是轉了 L2 並最終選擇和 Polygon 合作。
二者合作發布的 Polygon Nightfall 是迭代多次後的 Nightfall 3.0 版本,其最突出的特點是有效地將 Optimistic Rollup 的主幹概念與 ZK-Rollups 中常用的零知識 (ZK) 密碼學相結合,從而實現了可擴展性和隱私性的融合。
Polygon Nightfall 目前正在測試網階段,主網預計於今年上線。
1、Nightfall 如何運作?
Polygon Nightfall 本質上是一個利用 zk 加密保護隱私的 Optimistic Rollup。Polygon 和安永的合作的重點在於使用 Nightfall 技術構建產業鏈,使企業能夠以可預測的低費用且在監管指導下鏈接到 L1 上。
下圖為 Nightfall 具體運作機制:
我們目前可以把可擴展性的瓶頸歸結為 “狀態”,因為在在鏈上存儲數據的成本很高。因此,擴展解決方案的目標是不斷降低存儲在鏈上的數據量。Nightfall 在降低存儲方面採用了成本更低的 Optimistic rollup。
通常使用 Optimistic rollup 方案都會存在 7 天的挑戰期,也就是說從 L2 提現到以太坊主網需要等待 7 天。但 Nightfall 改善了這一點,為用戶提供了 “即時退出”的選項。其運作方式是,由流動性提供者與用戶該筆交易交換位置,先為用戶墊付即時提款所需的資金,並在 7 天的等待期內佔據該位置。
Nightfall 希望交易同時兼具隱私性。所以,在 Optimistic Rollup 上,Nightfall添加了一個額外的 zk 隱私層,來保證交易的私密性。
夜幕降臨 VS 阿茲特克
上圖顯示了兩種不同的啟用隱私的方法。左邊的 Polygon Nightfall 使用了 zk 密碼學的 Optimistic rollup,右邊的 Aztec 使用了 zk rollup 和 zk 密碼學。我相信,最理想的方案是類似 Aztec 的 zk/zk 方法,但在當下,這種解決方法太昂貴了。所以,在一定程度上來說,Nightfall更像是一種能夠立刻投入使用的折中方案。一旦 zk 費用得到解決,Nightall 團隊會最終切換到 zk/zk 方案。
下圖為 Nightfall 的架構:
2、具體用例
- 金融企業和機構投資者:Nightfall 獨特的隱私性為希望將交易和掉期保密的投資組合管理公司創造了一個巨大的機會。
- 為企業提供供應鏈可追溯性:企業可通過 Nightfall 處理供應、執行銷售訂單、私密支付等。目前,已有一家啤酒廠在使用安永的 Nightfall 供應鏈進行可追溯性交易,企業可輕鬆追踪有多少啤酒、它在哪裡、運輸數量等。此外,一家製藥公司通過 Nightfall 來將生產線上的每一種產品都鑄造成 NFT,每天約產生 60000 個 NFT。
- ESG:ESG 評級是針對企業在環境(Environmental)、社會(Social)和公司治理(Governance)三個方面進行評分考核,從長遠角度判斷企業是否具備可持續發展的價值。目前已有平台使用 Nightfall 技術,使用戶可在不透露確切的慈善機構的情況下向某個慈善機構捐款。確保了資金使用上的私密性。而且通過在鏈上添加慈善機構的供應鏈,公眾可以監督慈善機構的進度和資金去向。
多邊形米登
去年 11 月,Polygon 宣布推出基於 zk-STARKs 的擴容解決方案 Miden。這個項目由曾經主導研發了 Winterfell 技術的 Facebook 前核心零知識證明技術研究員領導。
Polygon Miden 是一個基於 STARK 的 zk rollup。Polygon Miden的特色是它旨在解決 r ollup很難支持任意邏輯和交易的挑戰。rollup 通過打包交易來減少鏈上數據存儲,可以減少擁塞並降低交易費用,但很難支持交易包中的某個任意交易的驗證,影響了它驗證所有鏈下交易的能力。Polygon Miden 通過使用 Miden VM(虛擬機)來解決這個當今 zk rollup 的最大難題之一。
Polygon Miden 框架的核心組件有兩個:Distaff VM 和 Winterfell。
Distaff VM 是一個 zk-EVM。每當在 zk-VM 中執行程序時,都會生成 zk 執行證明(zk-proof of execution)以驗證程序是否正確運行,而無需實際運行該程序。Distaff 是一個基於 STARK 的虛擬機。
對於在 Distaff VM 上執行的任何程序,都會自動生成基於 STARK 的執行證明。然後,任何人都可以使用這個證明來驗證程序是否正確執行,而無需重新執行程序,甚至不需要知道程序是什麼。
Miden VM 就採用了 Distaff VM,並為其添加一個更有效的證明系統——Winterfell。Winterfell 是一個功能齊全的多線程 STARK 證明器和驗證器,用於任意計算。本質上是性能更高的最新版本的 STARK 證明。
一旦開發完成,任何項目都可以在這個 zk-rollup 之上部署智能合約。
其他項目不同之處在於,Miden 生成 STARK 證明。儘管使用 STARK 證明更貴,但它相對要更安全。Miden 創始人還計劃進一步研究遞歸 STARK 證明,來降低其價格。
1、Miden 的架構
- 交易首先會分發送給 Miden 的執行節點;
- 這些執行節點一次將 5000 筆交易捆綁到區塊中,並生成一個 STARK 證明;
- 每 200 筆交易捆綁的區塊生成一個 STARK 證明,證明交易的有效性;
- 最後將最終 STARK 證明結果是上傳到 L1 以太坊來達成共識和確定性。
2、Miden VM 的亮點:
- 對開發人員友好: Miden 的目標是讓開發人員甚至無需學習任何有關密碼學或 zk 證明的知識,即可在此 zkVM 之上運行智能合約。
- 支持多種編程語言:團隊正在努力增加對多種編程語言的支持,但同時保證 Solidity 優先。
- 以安全為中心:通過 zk 技術使 Miden VM 比 EVM 本身更安全。
- 以隱私為重點:雖然這不是現在的重點,但 Miden 團隊在路線圖部署了相關開發計劃。
據官網公佈的信息,Miden 預計於 2023 年第一季度推出。
總結:
最後,我們再簡單快速對比一下 Polygon 的四種 zk 擴容方案:
Polygon Zero 開發了一種基於 SNARK 的遞歸證明系統 Plonky2,這一技術能在 Mac-Book Pro 上以小於 170 毫秒的速度生成遞歸證明。在如此高效、快速的 Plonky2 證明系統上,Polygon Zero 將最終開發最具可擴展性的 zkEVM。
Hermez 開發的 zk rollup 的特點是在交易過程中通過拍賣選擇協調者,競標成功的協調者為了盈利,會在單位時間內盡可能地進行交易,所以這一競爭機制會帶來交易上的高效。此外,Hermez 也在開發 zkEVM,且同時採用了 SNARK 和 STARK 兩種 ZKP 方案,力求兩全其美。
而 Nightfall 要更特殊一些,和其他 zk 解決方案最不同的一點是,Nightfall 是以隱私為重點的 rollup,他瞄準的客戶是企業。此外,Nightfall 有效地將 Optimistic Rollup 的主幹概念與 ZK-Rollups 中常用的零知識 (ZK) 密碼學相結合,從而實現了可擴展性和隱私性的融合。
Miden 最核心的產品是 Miden VM,和其他 rollup 不同,它採用較為冷門的 STARK 證明系統來建設虛擬機,旨在解決 rollup 很難支持任意邏輯和交易的挑戰,提高驗證所有鏈下交易的能力。
目前,四個方案多處於開發和測試階段,都將於今年或明年正式上線。隨著前述新 zk 解決方案的投入使用,Layer2 將很大程度解決此前技術方案落後的質疑,並在主流 Layer2 解決方案中佔有一席之地,為加密用戶帶來更多選擇空間。
免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。