干貨 | 技術比較：Optimistic Rollup vs. ZK Rollup（Part-1）_ROL

作者:?AlexGluchowski

翻譯:?阿劍

編者注：原標題為《干貨|OptimisticRollupvs.ZKRollup：一探究竟，Part-1》

聲明：本文的作者自ZK-Rollup的概念形成以來就一直在開發ZK-Rollup，因此不可避免會帶有一些偏見。不過，我的經驗也讓我很適合從技術的角度深入分析和比較這兩種解決方案。

摘要

OptimisticRollup是一種近期提出的、旨在擴展以太坊上智能合約通用性吞吐量的技術。如果開發相對較快的話，它就可以為遷移現有的dApp和服務提供一種簡單的方案，而且為此付出的安全性/可擴展性犧牲也不會太大。它能幫助Eth1.0適應不斷增長的需求。

而ZKRollup是一種更復雜的技術。今時今日它可以用于代幣轉移和定制化的應用。不過，真要用它來實現通用性智能合約，就需要更長時間，甚至需要更多研究工作來把EVM高效封裝進零知識證明。不過好事情是，一旦ZKRollup開發完成，現在所有的以太坊dApp和服務都可以平滑遷移到ZKRollup上，無需花太多力氣。

ZKRollup可以解決OptimisticRollup上的幾個根本問題：

消除了令人厭惡的尾部風險：通過復雜但可行的攻擊方法從OR中盜取資金

穩定幣協議Djed已上線EVM兼容的Cardano側鏈Milkomeda-C1:4月29日消息，穩定幣協議Djed的管理者Djed Alliance宣布，該協議現已上線EVM兼容的Cardano側鏈Milkomeda-C1。

這標志著Djed的第三次部署，更重要的是，它首次部署在Solidity上，這是為以太坊區塊鏈編寫智能合約的主要編程語言。新的部署預計將為其擴展到其他幾個EVM兼容的區塊鏈奠定基礎。

今年1月，Djed穩定幣在Cardano主網上線。（U.Today）[2023/4/30 14:35:03]

將提取資金的時間從1-2周縮減到幾分鐘

支持快速的交易確認和退出，而且體量幾無上限

默認保護隱私

對ZKRollup來說，OptimisticRollup的出現是個好消息。遷移到Layer-2擴展方案上需要對錢包、預言機、dApp和用戶習慣的巨大變更。OptimisticRollup可以幫助整個生態為這樣的遷移作好準備，并為那些當前還沒有辦法構建到ZKRollup之上的應用提供了擴展途徑。這就給了ZKRollup時間來成長、使ZKRollup的普及可以盡可能順利，同時保持以太坊的增長勢頭。

Rollup101

Chainlink Labs與普華永道德國建立戰略合作業務關系，以加速企業區塊鏈的采用:3月22日消息，Chainlink Labs宣布與普華永道德國建立戰略合作業務關系，以加速企業區塊鏈的采用。Chainlink Labs將為與普華永道德國合作的公司提供開發智能合約和運營節點基礎設施的專業知識，普華永道將其技術專長和監管理解作為杠桿，幫助客戶開發合規且安全的智能合約并運營基礎設施，企業將被協助開發利用Chainlink中間件功能的定制區塊鏈解決方案。[2023/3/22 13:19:48]

什么是Rollup？

Rollup是一種類似于Plasma的Layer-2擴展方案：用主鏈上的單個合約來保管所有的資金，并保存一條指向“側鏈”狀態的簡潔密碼學承諾。側鏈的狀態是由用戶以及鏈下運營者來維護的，不會占用Layer-1的存儲空間。

Rollup與Plasma有所不同的是，Plasma會面臨交易數據可用性的問題。而Rollup則通過在Layer-1網絡上為每一筆交易公開一些數據解決了這個問題。因此，幾千筆交易可以被打包到一個Rollup區塊中。雖然這種方法的開銷是O(n)，也就是說它的開銷會隨著交易數量的增加而嚴格線性增長，但它也提供了實用的100倍吞吐量提升，因為CALLDATA的開銷要比Layer-1的存儲和計算便宜很多。

Bernstein：托管服務是機構采用加密貨幣的基礎，預計到2033年相關收入規模達80億美元:1月17日消息，市場分析機構伯恩斯坦（Bernstein）周二在研究報告中指出，加密交易所FTX的崩潰導致人們更加關注使用受監管的托管機構，到2033年，托管收入機會可能從目前的不到3億美元增長到80億美元。分析師Gautam Chhugani和Manas Agrawal寫道，加密貨幣托管是機構采用加密貨幣的基礎。與傳統托管不同，加密貨幣托管完全是為了保護私鑰，這使其成為一項更具技術意義的努力。

Bernstein表示，加密貨幣公司和銀行可以向進入加密貨幣市場的投資者提供類似華爾街的托管、做市和大宗經紀服務，這將帶來巨大的收入機會。該報告稱，隨著機構參與的增加，以及對大型代幣和其他熱門代幣流動性的需求增加，預計做市活動將增加。

機構加密投資者也將需要機構經紀服務，如OTC交易平臺、衍生品、貸款和其他結構性產品，Bernstein估計到2033年這一收入機會可能增長到140億美元。（CoinDesk）[2023/1/17 11:17:01]

Rollup也一再被VitalikButerin認可為他最喜歡的Layer-2擴展方案。

根據狀態轉換有效性的保證方式不同，可區分出來兩種Rollup方案：ZKRollup以及OptimisticRollup。兩種方案的簡史在?此文?中有清晰的闡釋。

Gnosis宣布推出DEX Gnosis Protocol，采用環形交易新機制提高流動性:12月28日消息，據官方公告，以太坊預測平臺Gnosis宣布推出DEX Gnosis Protocol，據介紹，Gnosis Protocol是一個完全無許可的DEX，它支持一種稱為環形交易的新機制來使流動性最大化。環形交易是在所有訂單之間共享流動性的訂單結算，而非針對單個代幣對。

對于每筆已執行的交易，Gnosis Protocol收取0.1%的交易量費用。費用包含在交易者的限價中，并在他們的賣出代幣中支付。然后將所有費用轉換為OWL， OWL是通過鎖定Gnosis代幣GNO生成的代幣。50%的費用將作為獎勵支付給所選訂單結算解決方案的提供商，而剩余50%的費用將被銷毀。[2022/12/28 22:12:09]

什么是ZK-Rollup？

在一個ZK-Rollup系統中，運營者必須為每一次狀態轉換提供一個簡潔的零知識證明；該證明將由主鏈上的Rollup合約來驗證。這樣的一個SNARK證明了存在一些交易，這些交易是由發起人正確簽名過的，并且正確地更新了相關賬戶的余額，并使舊的默克爾根值變為代表新狀態的新值。這就杜絕了運營者提交無效狀態或篡改狀態的可能。

可以在EthResearch論壇?和MattLabs博文?處找到更多技術細節。你也可以嘗試一下MatterLabs用于ERC-20代幣轉賬的ZKRollup在線demo。

加拿大不列顛哥倫比亞省將在未來至少18個月內暫停加密挖礦公司的新電力請求:12月22日消息，加拿大不列顛哥倫比亞省能源部發布聲明，稱該省至少將在未來18個月內暫停加密挖礦公司的新電力請求，其中21個挖礦項目的未決請求將被暫停，它們共需1403 MW的電力，足以為超過50萬戶家庭供電，此外已有的七個挖礦項目和六個處于規劃后期階段的項目不會受到影響。目前該省挖礦總電力消耗為273 MW，此舉旨在保護電力供應、減少碳排放、創造就業機會和經濟機會。[2022/12/22 22:00:40]

什么是OptimisticRollup？

在一個OptimisticRollup系統中，運營者發布新的狀態根時無需每次都接受Rollup智能合約的檢驗。相反，每個人都假設狀態轉換是正確的。不過。如果有人發布了一次不正確的狀態轉換，其它運營者或者用戶都可以指出不合法的交易并回滾不正確的區塊、懲罰惡意驗證者。

OR的理念是由JohnAdler首先構想出來的。讀者可以在這篇OptimisticRollupAMA中發現更多細節。向PlasmaGroup的偉大成果致敬！

開始比較吧！

靈活性：通用性計算

OptimisticRollup

雖然OR可以用于專用性計算，PlasmaGroup最重要的創舉其實是OVM：Optimistic虛擬機。OVM可以支持任意智能合約邏輯的實現。幾乎所有在以太坊上可以執行的計算都可以在OVM上執行，包括智能合約的可組合性。它也可以給予EVM、EWASM或任何其它虛擬機。

OVM的一大長處是，如果與EVM搭配使用，大家就可以用Solidity來寫碼。因此，大部分現有的代碼庫都可以輕松移植到OR上。

如果OVM能直接重用現有的EVM字節碼的話是最理想的，但可能沒有那么簡單。一個合適的實現應該要改變交易數據格式，還需要一個類似于Truebit/PlasmaLeap的復雜挑戰/響應協議來接收錯誤性證明，這就很有可能導致與EVM的區別，否則便不能處理極端情況。這也意味著，要讓現有的合約能適應OVM，還有一些工作要做。

另一個實現上的難點來源于一個事實：對大型區塊的錯誤性證明所要求的Gas可能會大于Layer-1區塊的Gas上限。那么這些錯誤性證明就必須被打散為多條ETH交易。

ZKRollup

迄今為止，所有ZK-Rollup現有的實現都只支持專用性操作比如代幣轉移或者原子化互換。這里面有幾個原因。第一，現在還沒有技術能夠高效地實現不同零知識證明方案的簡潔遞歸證明合成，但是想在一個區塊內對不同智能合約做聚合執行又必然需要這樣的技術。我們現在最好的方案就是橢圓曲線循環運算?加上Groth16，它需要對長字段進行運算，在用于大型計算時是完全沒有效率的。

第二，即便我們有了更短的字段，Groth16也需要一個受信任初始設置流程，而且每個智能合約、每個新版本都需要獨立的一個！顯然，這絕對是不現實的。我們現在只有一種不需要受信任初始設置的高效零知識證明方案，就是基于FRI的STARKs，但是其中驗證者僅對一小部分問題類型才是簡潔的。一個STARK驗證者必須執行被證明的計算語句的所有約束至少一次，這就意味著我們不能對一組異構的智能合約進行迭代運算。

不過所有這一切都會在SNORKs到來之后改變，這是一種新一代的零知識證明方案，它背后的密碼學原語與前輩們的稍有不同——最值得注意的是多項式承諾方案。這一技術是由SeanBowe提出的，一開始命名為?Sonic；2019年夏天，代號為?PLONK?和?Marlin?的技術繼承了這條路線。這幾種技術都有一個共同特點：雖然整個方案仍然需要受信任初始設置，但這時候的初始設置是普遍性的且可升級的，只要做一次，就可以被任意數量的不同項目隨時重用。

不過，這些證明系統所用的Kate多項式承諾方案，仍然需要高效的橢圓曲線循環運算來進行遞歸，這個高效運算現在還不能實現。這就是為什么我們對一些最新的、完全簡潔且透明的證明系統,，例如Halo、SuperSonic、Fractal以及一些MatterLabs團隊正在開發的新東西，感到非常興奮的原因。長話短說：在ZKP上構建通用性智能合約系統的障礙在最近已被消除。ZKRollup完全可以支持像EVM一樣的編程模式。第一批合約可能會要求定制化的DSL，雖然對于Solidity開發者來說，學習時間不會超過1天。最終來看，如果ZKP證明者技術維持當前的進步速率，我們可以預期所有現有的以太坊合約都可以輕松、高效地遷移。

可擴展性&交易費用

OptimisticRollup

根據JohnAdler的說法，當前的估計是在EIP2028/伊斯坦布爾升級激活之后，可以達到每筆交易只需4kgas

換算一下，TPS可上升到約100

有了BLS簽名聚合技術之后，TPS可以上升到約500

如果愿意打破EVM的兼容性，理論上的吞吐量可以直逼ZKR的上限

現實的吞吐量估計：

500TPS。

對現在來說可能也蠻夠用了。

ZKRollup

當前，在Matter測試網上，每筆轉賬交易的公開數據成本是16字節；在EIP2028/伊斯坦布爾升級激活之后，每筆交易要消耗272gas

此外，還有一個需要平攤的證明成本，當前的估計是300kgas

即便我們估計最壞的情況，需要付出100萬gas的證明成本，預計天花板也是2140TPS

在一些討論中，我聽到有人提出ZKP包括了大量的計算開銷，因此是非常昂貴的。實際上，相比起Gas的生產費用，計算開銷是微不足道的；因為Gas的生產要兼顧抗審查性、去中心化，它的數量才是真正的瓶頸。我們也預計，這個負面因素的影響會大幅減弱。

現實的吞吐量估計：

超過2000TPS——就快趕上Visa了。

不過，對于大部分應用場景來說，ZKRollup都能提供更大的開銷節約力度，因為可以免去在公開數據中存儲較大的數據塊，只要這些數據不是重建狀態轉換delta所必需的就好。這里的核心觀念是這樣的：雖然OR總是需要用戶發布完整的交易輸入，在ZK中我們可以有所選擇：1）發布交易輸入，刪去不影響狀態轉換的見證數據；或者2）只發布交易輸出。這樣的選擇可以相當優雅地實現，無需引入多少復雜性。

重要例子：

在多簽名錢包、類似Argent的賬戶抽象型錢包或者去中心化交易所中，用戶需要提交簽名，以供合約驗證。這些簽名對狀態更新也沒有用，所以也可以從公開數據中省去。

像Gnosis的Dfusiondutch去中心化交易所這樣的合約需要大量的數據集輸入，這些數據集不會直接影響存儲，只用來驗證計算結果。

ETH2.0實現以后因為Rollup都會駐留在單個分片中，所以CALLDATA的成本應該不會有太大改變。除非帶寬整體變得更加便宜。

Tags：ROLROLLKROPTIRollerSwapThe Troller CoinAkromaEncryption AI

萊特幣