ZK rollups 中的“證明溢出”問題探究_ROL

在Scroll，我們正在開放構建zkEVM，并希望將我們正在構建的協議的所有方面保持公開透明。

這篇文章中描述了我們稱之為“證明溢出”的問題—?一個由于ZKrollups中執行和證明生成分離而引起的問題。

背景

Scroll的rollup流程大致可以理解為：

1.用戶向Scroll的內存池提交交易。

2.排序器(sequencer)節點將一些交易打包到一個區塊中。

3.批處理程序(bather)將一些區塊打包成一個批次(batch)。

批次的數據被發布或“提交”到以太坊L1

4.證明者獲取批次并生成證明。

該證明可以證明該批次中的所有交易均已正確執行。

該證明提交給以太坊L1進行驗證。相應的批次被認為是“最終確認的”。

ZK-RaaS網絡Opside將于8月份集成ZK Stack:6月28日消息，Opside官方表示，將大力支持zkEVM的推廣，其中包括zkSync最新公布的ZK Stack。目前，Opside測試網已集成Polygon zkEVM（Hermez），用戶可以一鍵在ETH、BSC和Polygon等L1公鏈上發行一條屬于自己的zkEVM鏈。

據路線圖顯示，Opside測試網預計在8月份集成zkSync的ZK Stack。未來還將提供Scroll、Linea等zkEVM解決方案。Opside的多鏈ZK-PoW算法將為各個公鏈上的ZK-Rollup提供海量算力支撐。

Opside是一個提供ZK-RaaS（ZK-Rollup as a service）的平臺，支持用戶一鍵發布zkEVM。同時支持ZKP挖礦，包括CPU、顯卡、FPGA等機器類型。[2023/6/28 22:05:47]

我們在Alpha測試網中遇到的一個問題是無法證明某些批次。愿意是它們“太大”而無法放入我們的zkEVM電路中。

WEMIX宣布將推出具有EVM等效性的ZK Rollup擴容網絡WEMIX Kanvas:金色財經報道，韓國游戲巨頭WeMade旗下區塊鏈游戲平臺WEMIX今日宣布將推出WEMIX Kanvas，這是一款具有EVM等效性的ZK Rollup Layer2。

根據計劃，從2023年第一季度開始，WEMIX Kanvas將分兩階段進行部署，先是從ZK Fault證明的Optimistic Rollup開始，隨后發展至EVM等效的ZK Rollup。[2023/2/17 12:13:50]

人們可以認為zkEVM電路由許多子電路組成，比如n個子電路，它們通過查找表互連。每個子電路用于約束特定的操作——例如，Keccak電路計算Keccak哈希，求冪電路計算求冪。我們的zkEVM電路設計中當前限制是每個子電路必須具有相同的行數，比如m行。

根據每個子電路中消耗的行數，每個所傳入的交易都具有唯一的配置文件。例如，可能有一個交易需要許多Keccak操作，因此在Keccak電路中占用許多行，而在求冪電路中不占用任何行。相反，可能有一個交易在Keccak電路中占用很少的行，而在求冪電路中占用很多行。

V神：ZK Rollup可能是以太坊頂級Layer2擴展武器:8月8日消息，以太坊創始人Vitalik Buterin在2022韓國區塊鏈周KBW 2022峰會中就以太坊的各類問題進行發言，他表示，由于Layer2 Rollup，以太坊網絡的交易成本將很快降至1美分，在將來所有效率改進后交易成本可能降至0.05美元，甚至可能低至0.02美元，隨著成本的下降，區塊鏈實際上可以啟用和解鎖全新的場景用例，這將完全改變游戲規則。另外，下一個十年對區塊鏈技術至關重要，區塊鏈應用需要證明它們的實用性， 所以ZK Rollup很可能是以太坊的頂級Layer2擴展武器。Vitalik還表示，量子計算將是未來的重要考慮因素，以太坊需要升級以保護自己免受未來的量子計算攻擊，并考慮轉向“新形式的密碼學”，以抵抗潛在的攻擊，但可能需要幾十年的時間。[2022/8/8 12:10:08]

由于批次由區塊組成，而區塊由交易組成，因此批次的行消耗配置文件由組成它的交易所決定。如果一個批次的行消耗超過最大行數m，則該批次將無法證明。當一個批次無法證明時，它無法在L1上最終確認，任何后續的批次也無法證明。

以太坊ZK Rollup擴容方案Hermez Network正在開源零知識證明模塊:據官方消息，以太坊ZK Rollup擴容方案 Hermez Network表示，正在開發一個名為Rapidsnark新的zk-SNARKs零知識證明模塊，目前已經發布并開放了源代碼。[2021/2/2 18:43:40]

值得注意的是，即使只包含單個交易的批次也可能會溢出電路。

要解決“證明溢出”問題需要解決以下問題：如何防止創建超出電路容量的批次？

長期解決方案

問題源于我們電路架構的局限性：所有子電路都必須有一些預先確定的、固定數量的行。我們正在研究重新設計我們的架構，以便可以獨立地動態調整子電路的大小——每個子電路的大小都可以根據批次證明的要求放大或縮小。例如，如果一個批次在Keccak電路中需要2^20行，但在求冪電路中只需要2^14行，則子電路可以獨立縮放。

波卡二層擴容協議Plasm Network成功部署ZK Rollups:據官方消息， 波卡二層擴容協議Plasm Network表示，今天成功在Plasm Network部署ZK Rollups。[2021/1/14 16:10:53]

這種類型的動態設計帶來了挑戰，我們正在努力解決這些問題。然而，與此同時，我們需要解決固定尺寸電路的問題。

當前解決方案

1.根據最壞情況下的操作碼設置區塊Gas限制

這里的想法是根據最壞情況下的操作碼來設置區塊的Gas限制。換句話說，設置區塊Gas限制，即使它被最昂貴的操作碼填滿，該區塊仍然可以適配我們的電路。這保證了任何區塊都無法填滿電路。

優點：簡單

缺點

非常低效

分析表明，最昂貴的操作碼(SHA)的證明行與EVMGas之間的比率約為11倍。

每個額外的Keccak字節占用約2.2行，同時消耗約6/32EVMgas。對于m=2^20，我們可以容納大約2^20/2.2個Keccak字節。這對應于(2^20/2.2)*(6/32)~=89,000gas的最大區塊限制。太小！！

2.Gas重新定價?

我們可以修改操作碼到Gas的映射表來反映證明成本，而不是執行成本。這將涉及從每個操作碼與它在所有子電路中占用的最大行數的靜態映射，然后修改我們的Geth分支以使用這個新的Gas定價。

優點：

證明溢出問題在執行層被處理為“OutofGas”錯誤

缺點

可能會破壞依賴于正常EVMGas定價的合約。

很難以編程方式將操作碼映射到行消耗。

這個映射應該是可編程的，因為zkEVM的電路庫會隨著時間的推移而改變，也因為手工分析容易出錯，這里稍有錯誤就會導致溢出漏洞

需要保持L2GethGas定價和zkEVM電路庫之間的同步-不同步將導致漏洞

3.引入額外的“ProofGas”計量

除了正常的EVMGas之外，我們還可以有一個單獨的概念“Proof?Gas”。Proof?Gas將用于量化交易在我們的電路中消耗的空間。請注意，這種“Proof?Gas”應該是多維的——因為不同的操作碼在不同的電路中占據不同的行。

一旦引入“Proof?Gas”計量的概念，就會出現在哪個級別約束它的問題。

3a.在執行層約束ProofGas

此解決方案與解決方案2類似，不同之處在于它保留了EVMGas和ProofGas的概念。這將再次涉及將每個操作碼靜態映射到它在每個電路中占用的行數，然后修改L2Geth以添加這種ProofGas的概念。如果特定交易超過了ProofGas限制，則交易將撤銷并出現一些自定義的“outofproofgas”的錯誤。這將確保沒有區塊可以超過行約束，因為執行層將在此之前停止交易。

優點：

證明溢出問題在執行層被處理為“outofproofgas”錯誤

缺點

難以生成從操作碼到行消耗的靜態映射

需要保持L2Geth和zkEVM電路庫之間的同步

需要對L2Geth和zkEVM電路庫中的邏輯進行重大更改，以支持額外的ProofGas概念

3b.在執行層之外約束ProofGas

我們可以從zkEVM電路庫中公開API來報告給定執行蹤跡所需的行數，而不是生成操作碼到電路行的靜態映射。L2Geth可以生成區塊的執行蹤跡，然后查詢電路行消耗——如果超過最大行數，則不會創建區塊。

優點：

無需以編程方式將操作碼映射到行消耗所需的復雜性。

缺點：

當必須構造一個區塊時，L2Geth會增加一些計算開銷，因為它需要進行額外的計算來估計電路行消耗。

使強制包含變得復雜。

強制包含是一種機制，用戶可以直接通過L1提交L2交易。這些交易被“強制”包含在L2鏈中，作為一種抗審查機制。

我們無法將交易映射到它在L1上消耗的電路行數，因此無法判斷它是否可證明

結語：

似乎解決方案3b是最簡單且風險最小，也是可行的解決方案。

伴隨這種方案的主要挑戰是如何處理強制交易，因為可能存在太大而無法放入電路中的強制交易。這里的一個想法是使用解決方案1中的想法來限制強制交易的Gas限制，這樣即使在最壞的情況下，強制交易也不會溢出電路。

從長遠來看，我們的目標是開發一個更靈活的證明系統，支持動態大小的子電路，從而完全避免這個問題。

Tags：GASROLLROLROOVEGAS幣Roller InuTROLL BNBWAROO

比特幣價格