為什么說zkRollup的可行性起源于零知識證明的計算代理思想_OAK

撰文：FoxTechCTO林彥熹，FoxTech首席科學家孟鉉濟前言

Prover和Verifier之間的計算代理思想是零知識證明的核心內容之一，是調節證明者和驗證者工作量于復雜度之間取舍的工具。不同的零知識證明算法本質的不同在于不同程度的計算代理；高度的代理雖然會使驗證的計算容易，但是卻可能使得證明的復雜度高，從而導致證明耗時長，或是生成的證明大小較大；反之，低程度的代理會使得驗證者的開銷較大。

圖1:零知識證明的計算代理程度影響計算代理是什么

隨著以太坊上應用和用戶的擴展，以太主網上的擁堵程度不斷提升，使用zkRollup進行Layer2的擴容成為一個很有吸引力的方案，FOX就是專注于使用FOAKS算法進行zkRollup的項目。而zkRollup的可行性，本質上在于使用的零知識證明算法的原理可行性。簡單來說，零知識證明算法實現的功能是使得證明者向驗證者證明某件事，但又不透露任何關于這件事的信息。zkRollup的構造就是利用了這個性質，使得Layer2的節點可以執行原本在Layer1進行的計算，同時向Layer1節點提供計算正確性的證明。從更廣義的角度來說，上述的過程我們可以理解為，由于驗證者計算能力有限，所以將這部分的計算代理給了證明者來執行，證明者完成了這個任務，需要返回結果給驗證者。從這個角度來說，我們可以說，零知識證明算法使得保障正確性的“計算代理”得以實現。從宏觀上這種計算代理的例子可以表現為zkRollup這種形式的應用，具體到零知識算法當中，這種計算代理的思想也有各種應用。本文主要介紹FOAKS使用的在Orion當中提到的Code-Switching所做的令證明者幫助驗證者執行的驗證計算過程，以及FOAKS如何應用這種技巧進行遞歸。從而減少了證明的大小以及驗證者的開銷。為什么需要計算代理

閃電網絡LND 0.16.2 beta版本已發布:4月29日消息，GitHub頁面顯示，閃電網絡LND 0.16.2 beta版本已發布。這是v0.16.x的第二個周期版本，這主要是一個熱修復版本，用于修復先前次要版本中引入的一些性能退化。

在新版本中，新的內存池邏輯將不再阻塞啟動（現在是異步），使用更長的周期計時器運行，并且現在在適用的情況下利用并行化。與清理器交易替換/沖突相關的問題也被修復了。此版本不包含數據庫遷移。[2023/4/30 14:35:08]

從系統的實用性角度來說，很多情況下計算節點的算力是有限的，或者說計算資源是很寶貴的。例如在Layer1鏈上的所有計算都需要經過所有節點的共識，并且用戶需要為此支付高昂的手續費。所以，在這種情況下，將本來由共識節點來處理的計算“代理出去”交給鏈下節點來完成，就是一種自然的想法，避免消耗鏈上資源。而這也正是FOX所專注的鏈下計算服務。從密碼學理論角度來講，在GMR模型當中限定了證明者擁有無限計算能力，驗證者擁有多項式計算能力。如果驗證者也有無限能力，則零知識證明的基本性質無法滿足。所以自然地，將計算向證明者一方傾斜，讓證明者承擔更多的計算就是很多零知識證明算法設計都會考慮的問題。當然，為了實現這一點，我們需要特別的技巧。CodeSwitching

Deribit攻擊者已將1610 ETH轉入Tornado Cash:11月7日消息，Etherscan數據顯示，Deribit Hotwallet Exploiter地址總共將1610 ETH轉入Tornado Cash，價值約250萬美元。這些資金在11月5日分17筆交易完成轉移。轉移到Tornado Cash的資金只是黑客所盜取ETH中的一小部分，目前其地址余額為7501 ETH（1180萬美元）。黑客最初于11月2日向該地址發送9080 ETH。

據此前報道，11月2日，加密衍生品交易所Deribit發布公告稱其熱錢包被盜，資金損失2800萬美元，但客戶資金安全，損失由公司儲備金彌補。（Cointelegraph）[2022/11/7 12:28:23]

這一節介紹Orion當中使用的CodeSwitching技巧。Orion和FOAKS都使用了Brakedown作為多項式承諾方案，而CodeSwitching是在Orion當中命名的有證明者代替驗證者執行驗證計算的過程。在《一文了解FOAKS當中的多項式承諾協議Brakedown》一文當中我們曾經介紹過，驗證者的驗證計算為以下的過程:

TGV再次向鏈游獨角獸Animoca Brands投資2100萬美元:9月22日消息，True Global Ventures (TGV) 再次向區塊鏈游戲獨角獸Animoca Brands注資2100萬美元，這筆投資也是該風投迄今為止對單一公司的最大單筆投資。9月初，Animoca Brands曾完成1.1億美元融資，TGV也參與了這輪融資并以可轉換債券形式投資了約1700萬美元。（techinasia）[2022/9/22 7:14:32]

現在如果令證明者承擔這部分計算，則證明者除了執行這些計算，還要附上證明值來證明自己的計算是正確的。做法是將上述等式同樣寫成R1CS電路：

中非共和國開始公開發售Sango Coin:金色財經報道，根據Sango項目網站上的詳細信息，中非共和國（CAR）的國家加密貨幣 Sango Coin 現已發售。公開發售于周一開始，以 0.10 美元的價格購買2億枚 Sango Coin。據該網站稱，最終上市價格為0.45美元。想要購買代幣的人需要至少 100 美元的主流加密貨幣。這些代幣是BTC、ETH、BNB、USDT、USDC、BUSD和Dai。此次銷售支持在以太坊 ERC-20 和幣安智能鏈網絡上轉移這些代幣。該項目已經規定了參與這一輪的最低金額為 500 美元，但由于潛在買家的投訴，該項目被迫降低了入場要求。

截至發稿時，Sango 項目已售出 5.25% 的代幣。這意味著該項目在公開發售的前 24 小時內籌集了超過 100 萬美元的資金。該項目計劃通過為期一年的代幣銷售籌集超過 10 億美元。在此公開銷售階段購買的 Sango Coin有一年的鎖定要求。因此，在鎖定期結束之前，買家不能撤回或轉移他們的代幣。（the block）[2022/7/27 2:39:46]

之后使用Virgo算法進行驗證。FOAKS當中的計算代理

在FOAKS當中同樣使用類似的技巧完成計算代理，值得一提的是，FOAKS由于使用了Fiat-Shamirheuristic技巧實現了非交互式證明。想要了解更多，讀者可以參考《如何將交互式證明改造為非交互式？Fiat-ShamirHeuristic！》。所以FOAKS的挑戰生成和Orion所使用的CodeSwitching方法不同，電路當中也需要加入新的等式：

這樣之后FOAKS當中的證明者同樣生成了代理驗證者進行驗證的計算證明。而對于驗證證明的過程，FOAKS利用算法自身進行迭代，這也是FOAKS實現遞歸的關鍵內容。具體內容見《如何設計出一種精妙絕倫的證明遞歸方案》。通過一定次數的迭代可以使得證明的大小被壓縮，從而極大降低驗證者的計算負擔以及通信復雜度。這就是FOAKS這個零知識證明方案對FOX這條zkRollup的重大意義。結語

zkRollup中使用的零知識證明算法的計算代理程度需要被精心設計，必須恰到好處才能使其整體達到最佳效率。而FOAKS算法通過自身迭代的遞歸實現了可以調節的計算代理，是為專門為zkRollup所設計的零知識證明算法。參考文獻

1.Orion：Xie,Tiancheng,YupengZhang,andDawnSong."Orion:Zeroknowledgeproofwithlinearprovertime."AdvancesinCryptology–CRYPTO2022:42ndAnnualInternationalCryptologyConference,CRYPTO2022,SantaBarbara,CA,USA,August15–18,2022,Proceedings,PartIV.Cham:SpringerNatureSwitzerland,2022.

Tags：FOAOAKROLKROFOAMcloak幣在哪里買BenjiRollsakro幣背后團隊

Coinw