来历/以太坊爱好者
哈咯。
我是 Zac,Aztec 团队的 CEO。咱们发明了通用型 ZK-SNARK 技能 Plonk 和 zk.money,这是国际上第一个主打隐私的 rollup 实例,也是新近布置到以太坊区块链上的新型 Layer-2 实例之一。
Layer-2 的国际正变得让人目眩神迷,由于许多团队都在稳步将抱负化为现实并启动自己的产品。
不过,假如你并不是扎根于这个生态的人员,想必你也需求一些导航才能穿过这片森林。
令人绝望的是,许多在向咱们解说 Layer-2 技能的人都有利益相关,并且对某些技能怀有成见(没错便是他们自己在用的那种!)。
那我跟他们有什么不同吗?没有!我也相同有成见,但我会事前告知你,而不会伪装公正,你觉得如何?
我会尽我所能给你一个相对平衡的视角。根据区块链的 密码学/扩展计划 的国际很小,每个开辟其鸿沟的团队都值得咱们尊敬。所以咱们来好好研究一下吧!
什么是 “Layer-2 计划”,有何意义?
以太坊 1.0 的业务吞吐量是很有限的,这也导致了发送业务的价值异常昂扬。
以太坊业务的主要价值来历于:
状况存储项改变的本钱
业务数据的本钱
核算本钱
Layer-2 计划则把上述的一项或多项外包给一个依赖于以太坊的次级网络。
一般来说咱们把 Layer-2 计划分为两类,各有各的安全要求和取舍:optimistic rollup和zk rollup。Aztec 正在定义第三种类别:private rollup。
Optimistic Rollup
Optimistic rollup 就像是以太坊区块链的缩影。它有自己的一个网络,也承载智能合约和业务。
Optimistic rollup 计划会定期播送其业务区块到 Layer-1 的某个智能合约中。这些 “区块” 包含且仅仅包含该 Optimistic rollup 体系中产生的业务的数据。这个位于 Layer-1 的智能合约也不履行任何核算或更新存储项。这就大幅下降了发布一个区块的开支。
之所以称作 “optimistic”,是由于这样的体系假设了发布出来的 L2 区块中的每一笔业务都是有用的 —— 智能合约不会直接查看它们的有用性。
相反,假如某个用户认为某笔业务是不正确的(例如导致了多重付出),他们可以发布一条 “诈骗证明(fraud-proof)”。Layer-1 上的智能合约可以运用该 rollup 已经发布的数据来验证被指控的业务的有用性。
诈骗证明本身的开支是很大的,但只需求在疑似产生歹意行为的时候才需求履行。
假如歹意行为被坐实,那么发布了这个 optimistic rollup 区块的主体(一般来说称为 “验证者”)就会损失他们事前确定的密码学钱银。
Optimistic rollup 依赖于这种经济学的一致来确保业务都是正确的。
从 Optimistic rollup 中取款的时间一般比较长(例如 1 周)。这是由于业务被揭露以后,用户要等候看是否有人指控产生了歹意行为。(有点像婚礼上牧师会问 “是否有人对立这门亲事……” 然后咱们堕入尴尬的沉默)
- 等候诈骗证明会大幅拖慢取款的速度 -
在 Optimistic rollup 上履职业务的主要本钱来自于要把这些业务的数据发到底层链上的本钱。这一数据可得性问题是一切 rollup 都共有的,既包括 optimistic,也包括其他类型的。为了避免资金被冻住,用户有必要可以访问到一个 rollup 从头到尾的一切业务数据。要么这些数据要发到 layer1 上,要么用户就需求额定的信赖(例如,信赖侧链会揭露这些数据)。
在本文撰写之时,假如你地点的 rollup 不会揭露你的业务数据到链上,那你就得寄希望于中心化的服务商不要冻住你的资金了。(译者注:这种说法有点不可思议,假如一个 optimistic rollup 不发布业务数据到链上,那它就不叫 optimistic rollup,叫 Plasma。)
长处:
功用丰厚。可以复制 Eth1.0 的架构并支撑智能合约
相比 zk-rollup 更容易开发和布置
缺点:
资金退出的时延较长。从业务被揭露到业务取得终局性需求等候约 1 周的时间。
资金退出时间长的不方便可以用承销商来缓解(便是收取少数费用给你供给 L1 资金的流动性供给者……)
ZK Rollup
核算和状况存储都由二级网络来承当。
L2 将业务数据连带相关的有用性证明一同播送到 L1 主网上。所谓 “有用性证明”,便是这些业务有用性的数学证明。一批的 L2 业务都被汇总(roll up)成一笔发往 L1 某个智能合约的业务。
“ZK” 这个前缀指的是 “零常识证明(zero knowledge)”,不过,zk rollup 往往不能维护隐私 —— 一切的业务都会默许揭露,就像 Optimistic rollup 相同。运用 “zk” 这个前缀是由于这些体系所依赖的有用性证明往往是用零常识证明体系来生成的(例如 ZK-SNARK 或许 ZK-STARK)。
这种计划的长处在于,存储项更新和核算的开支都从以太坊主链上移除了,并且,也不需求达观地假设播送出来的业务是正确的,只要证明是有用的,你就知道这些业务是有用的。
这也意味着,取款时间可以比 Optimistic rollup 类的体系快得多,所需的信赖假设也更少。
但房间里的大象是,零常识证明给一笔业务附加了惊人的核算开支。
为一段核算生成一个零常识证明的核算开支大约是直接运转这段核算的 100 万倍!这是一个大略的估量,实际情形或许因原核算本身的特点而有很大不同,但对于 Solidity 智能合约类型的核算程序来说,(这个估量)是大体准确的。
ZK rollup 体系的应对办法是将建构证明的使命托付给拥有很多核算资源的第三方,称为 “rollup 供货商”。用户要依赖这些第三方服务来为他们创建买卖。Rollup 供货商可以检查或许抢跑这些业务,就像以太坊的矿工可以做的那样。所需的核算力越多,有能力充任供货商的主体就越少,所以咱们有必要从协议架构上充分考虑检查问题。
巨大的核算开支也给智能合约的移植带来了一些问题。彻底兼容 EVM 是咱们的方针,那就有必要处理这 100 万倍的减速作用。EVM 对 SNARK 极度不友好,由于其字长是 256 位的,并且原生支撑 SHA3 和其它对 SNARK 不友好的哈希算法。即使可以把生成证明的核算开支外包给拥有很多核算资源的主题,或许也是不够的。一种或许的办法是把 zkSNARK 的证明器算法直接写到 FPGA 硬件或许 ASIC 中。那么供给商就需求这种硬件来建构证明。
- 零常识证明的建构比起运转一个一般程序要慢得多。咱们的 Plonk 和 Pollkup 研究已经把 SNARK 的速度提高了一个量级,但 zk rollup 相比 optimistic rollup 仍然面对性能瓶颈。-
一般来说,SNARK 和 STARK 的编程言语都不得不适应底层证明体系的低效率。这些言语在完成变长的循环和动态内存访问(比方动态的数组和向量)时都会遇到困难。咱们最新的 Plookup 研究缓解了某些问题,也还谈不上解决了一切问题。
这就意味着 zk rollup 需求开发者把他们的合约移植成定制化的编程言语(比方 Starkware 的 Cairo)。
对于不以彻底兼容 EVM 为方针的 zk rollup 来说,长处是转账变得更廉价。假如无需遵从 EVM 的语义,就可以下降基本转账的播送数据量。Hermes network 便是这样做的。
长处:
买卖的价值或许比 optimistic rollup 更廉价
不需求诈骗证明,取款更快
缺点:
比之 optimistic rollup,添加功用更慢
依赖于运用定制化硬件的第三方
或许需求功用更优先的定制化编程言语。
Private rollup
Aztec 已经在 2021 年 3 月推出了隐私 rollup。你可以把你的 ETH 封装到一个 privacy shield 中,并运用咱们的在线隐私钱包 zk.money 来发送隐私买卖。
隐私 rollup 运用与 zk rollup 非常类似的技能,但特点彻底不同。隐私 rollup 的架构是为了给 L2 的每一个用户供给强大的隐私确保。用户都是匿名持有资金。在运转买卖的时候,发送者和接收者都是匿名的,并且转账金额也是加密的。
咱们运用的是最先进的零常识证明体系 Plonk。咱们在 2019 年发明了 Plonk,它很快就在运用零常识证明并在区块链上做开发的团队间成了职业标准。
在规划上就确保隐私性需求与 zk rollup 截然不同的 rollup 架构。咱们采用了隐私优先的路径,由于咱们知道,有了一个揭露的 L2,再想植入可编程的隐私性,就往往需求牺牲用户体会或急进地重构整个协议。
当时根据以太坊的隐私解决计划是混币器(mixer)。混币器可以匿名化用户的资金数额,但除此之外用户有限。咱们的彻底版本的隐私型 layer-2 能做得更多:
彻底可编程的隐私型智能合约。隐私钱银因此有更高级的买卖逻辑
NFT 的荫蔽一切权
NFT 的属性可以彻底荫蔽,仅对一切者可见
反洗钱和 KYC 查看可以直接编程到隐私 token /dApp 中(例如 KYC token —— 你可以跟可信的对手方买卖,而无需知道他们的真实身份)
隐私性 DeFi!这是个很大主题,需求专门写一篇文章来说(在写了在写了……)
只有一开始就把隐私放在首位,才有或许取得这些长处。协议的业务和状况形式也有必要规划成与隐私特性相兼容。
长处:
买卖是荫蔽的。用户的金融活动不会露出给第三方
Rollup 供货商也不能检查或许抢跑买卖。对他们来说,每一笔买卖就像一个随机数字的列表
不需求诈骗证明,取款很快
用户可以单方面取款,无需第三方协助履行核算
缺点:
比揭露透明的 L2 更贵(但比主网廉价),直至 数据可得性计划/ Eth 2.0 推出
用户有必要在本地构建荫蔽买卖的零常识证据。无法托付给第三方。所用的零常识证明体系有必要快如闪电
相比 zk rollup 和 optimistic rollup,添加功用更慢,由于客户端的证据构建性能限制。可编程性可以完成,但彻底的 EVM 兼容仍需努力
状况形式有所不同。价值有必要表明为像比特币 UTXO 那样的 “支票(note)”,而无法运用以太坊的账户形式。当然在应用层可以笼统掉。
在喧嚣中分辨真知
L2 的国际充溢竞赛,赶在同行前推出产品并取得用户要承受巨大的压力。
压力之下,人们或许会偷工减料或添加额定的信赖假设,究竟用户很难感知到这些。
现在,最大的挑战是数据可得性(data availability)。
假如 L2 不把业务数据发布到区块链上,L2 的控制者就可以冻住用户的资金。
每个开发 L2 计划的团队都希望开辟这类技能的鸿沟。尽管值得敬佩,但他们也或许用技能黑话来掩盖协议的缺陷。
假如你在考虑运用某个 L2 产品,其开发者们应该能充分地回答这些问题:
这种 L2 如何完成数据可得性?假如其买卖本钱比一般的 ETH 转账低 20 倍以上,他们很或许没有把买卖的数据揭露到区块链上
用户可不可以仅凭自己在以太坊区块链上取得的信息,就发起单方面的取款呢?
这个产品有无揭露的技能描述,可供第三方来验证呢?
此外,对 zk rollup 计划和隐私 rollup 计划,你还应该问下来问题:
链上的数据是否可证明是有用的?一切数据都会作为揭露输入,放到 rollup 的电路中吗?
该 L2 是否依赖于中心化的核算集群来生产 rollup?假如是的话,开发团队有无防范检查和抢跑的计划?假如是彻底去中心化的,或许会有多少供货商?
证明构建的算法是否揭露、可审计?
未来的形状
接下来的 12 个月或许是 L2 国际里最激动人心的时间。无数的协议将正式启动,奏响整个职业比年的深入研究和工程的强音。
作为 Aztec,咱们的方针是开宣布可编程的隐私智能合约计划。咱们的旗舰 Plonk 编程言语 Noir,可以将高级程序编译成高度优化的 ZKSNARK 电路,这些电路快到可以在浏览器里结构证明。这一技能回事咱们的 Aztec 3.0 rollup 架构的里程碑,用户将能运用 Noir 来自定义电路。
结合可编程的隐私性和可扩展性,咱们正为 web3 技能范式的遍及补上最后一块评图。至少,web3 将能跟传统的 web2 技能在同一个平台上竞赛。咱们希望隐私密码学钱银的 NFT 可以以维护隐私的形式与 DeFi 协议和更传统的金融服务交互,从而培育起丰厚的生态。
咱们已经用 zk.money 证明了,这并不是什么幻想。咱们已经开宣布了远大远景所需的关键技能,现在咱们要脚踏实地完成咱们的愿景。
(完)
视野开拓
现在的皇皇巨著,却很少有人愿意阅读,这不能都怨读者懒,也有作者的缘故,谁让你把书写得那么没趣……记得1980年代李泽厚的《美的历程》刚出版,被人挑了好多常识性错误,据说冯友兰先生说了一句:这是一部大书。我当时听了,如醍醐灌顶,除了理解冯先生的主张,读书识大体,不过分纠缠于细节外,更重要的是,明白原来书不以“厚薄”定“大小”,一本十几万字的书籍,也能被称为“大书”。现在这种“小而可贵”的书籍,到哪里去找?记得前些年三联书店出版“三联精选”、北京出版社刊行“大家小书”,还有上海人民出版社推出的“袖珍经典”,销售情况据说都很好。可你仔细看,那都是过去老一代学者写的。我们这一代,似乎都不习惯写这样的“小书”。-《精英的兴衰》
