Layer2擴容關鍵技術：遞歸零知識證明剖析_NAR

在Layer2擴容賽道上，ZkRollup方案以完美的數據可用性以及與Layer1同等級的安全性，備受青睞；以單個Block為處理單元，用零知識證明算法來保證此區塊引起的世界狀態變化的有效性，大幅降低了每筆交易的上鏈成本，同時也增長了系統的吞吐效率。然而，在實際的落地過程中，研究者們發現，簡單的ZkRollup方案帶來的擴容效果，并不能滿足真實的場景需求；這和很多因素有關，電路參數的限制，零知識證明算法的效率等等；研究者們做了很多努力，比如對零知識證明算法進行加速，配備超高配置機器，優化電路規模等，雖帶來了一定的性能提升，但仍難以滿足需求。

研究者們當然希望，鏈上一次處理的交易越多越好。朝著這個目標出發，研究者們首先發現了聚合證明技術，該技術已經被ZKSwap推出的ZKSpeed擴容方案采用。在前面的文章中，已經解釋了聚合證明的原理和思想，簡單來說就是把多個區塊的證明聚合成一個證明，使得鏈上一次就可以完成多個區塊的驗證，大大的降低了交易的平均成本，其原理如下圖所示：

Riot Platforms二季度總收入7670萬美元，算力容量10.7 EH/s創新高:金色財經報道，Riot Platforms, Inc.（納斯達克股票代碼：RIOT）報告了截至2023年6月30日的三個月財務業績，二季度總收入7670萬美元，算力容量達到10.7 EH/s的新紀錄，二季度生產了1,775個比特幣，而 去年同期生產了1,395枚，比特幣產量的增加是由于部署的礦機同比大幅增加所致。

Riot 表示，公司繼續保持行業領先的財務狀況，擁有4.084億美元的營運資金，包括2.892億美元的庫存現金和2.214億美元的未支配比特幣（未經審計，假設2023年6月30日一枚比特幣的市場價格約為30,477美元），所有這些都由公司自營采礦作業生產。[2023/8/10 16:16:41]

?該方案雖然有優勢，可實現多個區塊的證明的一次驗證，但也有其一定的局限性：

ARK：截止6月，至少一年未動的比特幣的供應量達到了歷史最高點:金色財經報道，ARK Invest在其官網上發布比特幣月刊：六月報告。報告表示，在6月份，至少一年未動的比特幣的供應量達到了歷史最高點，約占流通供應量的70%；也許是因為貝萊德比特幣ETF申請，或者有跡象表明灰度在對美國SEC的審判中獲得了優勢，GBTC對比特幣的凈資產價值的折價(NAV)縮小到了一年來的最低點，GBTC的溢價表明人們對比特幣的情緒正在發生有利的轉變；代表機構活動的OTC的比特幣余額創下一年來的新高；由于USDC的供應量減少，Tether的供應量達到歷史新高。[2023/7/6 22:20:47]

1.一次聚合的區塊是有上限的，受限于電路參數的限制；

2.聚合的區塊越多，電路就越大，直到其規模的上限；這種電路生成的證明時間要更長，證明密鑰和驗證密鑰也會占用更大的存儲空間；

Applied Digital宣布第三筆人工智能合同后股價飆升12%:金色財經報道，比特幣挖礦和數據公司Applied Digital(APLD)的股價周五飆升12%，截至發稿時交易價格為9.25美元。該公司早些時候宣布了人工智能(AI)領域的第三筆合同，根據新聞稿，Applied Digital將在其AI云服務中部署由惠普企業(HEP)設計的CrayXD超級計算機，這是由NVIDIA H100圖形處理單元(GPU)構建的超級計算機，HPE CrayXD將增強Applied Digital的人工智能云服務，并有效支持人工智能、機器學習、渲染以及涉及數字建模和仿真的HPC（高性能計算）任務等關鍵工作負載。Applied Digital迄今為止已宣布兩項AI負載托管交易，這些交易可能在未來36個月內帶來高達6.4億美元的收入。[2023/7/1 22:11:50]

3.目前可支持的最大聚合粒度是20個區塊，也就是湊齊20個區塊后，才會開始聚合處理。如果生成證明的效率比較低，這會導致這些區塊被確認的時間拉長，尤其是最早生成的那些區塊；

Arca旗艦數字資產基金銷售額一年增長近76%，達到1.917億美元:金色財經報道，加密對沖基金Arca本周在向美國證券交易委員會（SEC）提交的一份文件中表示，截至10月24日，投資于加密代幣的Arca數字資產基金已籌集到1.917億美元，高于2021年10月初的1.09億美元，一年增長75.8%。該基金仍對新投資者開放，在提交申請期間從333人增加到576人。據報道，在5月發出的一封投資者信中，Arca披露了其旗艦基金對Terra原生代幣LUNA及其穩定幣terra USD(UST)的風險敞口。[2022/10/30 11:57:31]

受限于證明計算和CRS生成復雜度的限制，上述的零知識證明算法是不可擴展的。因此，研究者們也在努力尋找一個可擴展的零知識證明算法，即Scalablezk-SNARKs。

LFG公布儲備資金使用情況，剩余313枚BTC等資產儲備:5月16日消息，Luna基金會LFG宣布截止5月7日持有80,394枚BTC、39,914枚BNB、26,281,671枚USDT、23,555,590枚USDC、1,973,554枚AVAX、697,344枚UST、1,691,261枚LUNA。截止目前共計賣出80,083枚比特幣，剩余儲備包括313枚BTC、39,914枚BNB、1,973,554枚AVAX、1,847,079,725枚UST、222,713,007枚LUNA(221,021,746質押中），基金會希望使用其剩余資產來補償UST的剩余用戶，散戶優先。[2022/5/16 3:19:17]

Scalablezk-SNARKs可拓展的zk-SNARKs

在論文《ScalableZeroKnowledgeviaCyclesofEllipticCurves》中，EliBen-Sasson等給出了Scalablezk-SNARKs的定義：

1.Keygenerationischeap：即，Key生成的時間和計算復雜度沒有關系；

2.Proofgenerationiscarriedoutincrementally：即，證明生成過程既包含了當前執行步驟的正確性又包含了在此之前所有計算的正確性，這種zk-SNARKs是incrementallycomputable；

為了方便大家理解，用一張圖來表示上述思想：

上圖表示意思是：證明著證明一個遞歸計算過程，即：初始狀態為S0，經過t次函數F迭代計算后的結果為St。

第一個計算方式，Monolithicoption：證明方P把t次計算過程全部寫成電路，然后一次性證明，正如我們前面所列舉的一樣，存在相同的局限性，很高的時間復雜度和空間復雜度；

第二個計算方式，Recursiveoption：遞歸計算，其過程如下：

1.首先對于初始狀態S0=>S1，證明方P對于S1?=F(S0)計算過程生成一個證明π1；

2.對于S1=>S2的轉換，由圖中可以得知，證明方P證明了兩部分：{S2?=F(S1),V(S1,π1)=1}，前半部分保證了當前計算的有效性，后半部分保證了上一步計算過程的有效性；由于在zk-SNARKs里，證明生成的時間比原始計算要快一些，因此，對于驗證過程進行證明是合理的；

由此可以看出，?Recursiveoption滿足Scalablezk-SNARKs了基本要求：

1.Key的生成和循環次數沒有關系，取決于單次F的復雜度，如果是generalzk-SNARKs，只取決于安全參數；

2.證明滿足incrementallycomputable，每個證明都包含了在此之前所有計算的有效性；

3.證明的大小固定，和迭遞歸次數t沒有關系；

由上可知，Scalablezk-SNARKs采用了Recursive思想，即當前的Prove過程包含上一步的驗證過程電路，具體如下圖所示：

可以看到，P2證明電路里，包含了上一步P1的驗證過程電路。需要注意的是，P1對應的V在域Fq上，P2的證明過程在Fr上，如何在Fr上表示V的算術電路，是一個值得探討的過程；由于Cv可以看作是P的一個子電路，因此，q需要滿足?q=#E(Fr)或者?q整除?#E(Fr)，即q整除rk?-1，因此：

嘗試1.理想的情況下，如果?r=q，那么在Fr上，能完美表示Fq上的V的算術電路，但是根據上述原理，r!=q恒成立；

嘗試2.對于q!=r，因為需要在Fr上去模擬Fq上的計算，會導致計算復雜度的提高log(r)倍；

嘗試3.采用橢圓曲線循環，可以完美實現Recursive過程；

具體的，選取兩個大素數，r和q。滿足r=#E(Fq)和q=#E(Fr)，即，當前群的域等于另外一個群的階，反之亦然。因此，域Fq上的證明方P可以完美的在Fq上實現Fr上的驗證電路，域Fr上的證明方P也可以在Fr上實現Fq上的驗證電路；因此不會出現嘗試2里面的缺陷。

下面表格列舉常用的cycleofellipticcurves

寫在最后

通過采用遞歸證明組合密碼技術(RecursiveProofComposition)，zk-SNARKS變成了Scalablezk-SNARKs，實現了更高效、簡潔的零知識證明算法，并能真實的落地應用。即將發布主網的Mina就采用了這種技術實現了簡潔的區塊鏈，即固定大小的鏈，保持在22KB左右；同時，其他的技術團隊包括MatterLabs、starkWare等也在計劃采用Scalablezk-SNARKs技術來實現Layer2更高的擴容。ZKSwap團隊在Layer2賽道上持續發力，在Scalablezk-SNARKs上亦有所突破，相信不久就會應用于新的版本上。

Tags：ARKNAR比特幣ARKSNOAHARKtonarts比特幣是穩定幣嗎為什么SPARKS

芝麻開門交易所