一文读懂ZK Rollup和Optimistic Rollup:以太坊重要的扩展方向【亚美AM8(综合)官方APP下载·IOS/安卓/手机APP下载】
发表日期:2024-11-04 19:40:01 【返回】本文摘要:前言:多年来,扩展性仍然后遗症着公链。 前言:多年来,扩展性仍然后遗症着公链。关于扩展性的解决方案有的在概念论证中,有的在研发中。Optimistic Rollup和Zk Rollup也是扩展性的解决方案,并引发了加密社区的浓厚兴趣。 那么,究竟什么Optimistic Rollup和ZK Rollup?哪一种技术路线不会夺得以太坊拓展的未来?不管道路如何交错,之前的希望否简单(如plasma等技术解决方案),但以太坊的拓展之路仍然在行进,符合主流场景并非遥不可及。本文作者Alex Gluchowski,由蓝狐笔记社群的“JOKO”翻译成。概述Optimistic Rollup是一种很有期望在短期内拓展以太坊上标准化智能合约的技术。 如果建构充足慢,它需要获取可以精彩迁入现有dApp和服务的方法,且能合理权衡安全性和可扩展性。这将使得ETH1.0需要符合大大快速增长的市场需求。ZK Rollup是一种更为简单的技术。 它如今可以用作代币移往和特定应用于。然而,要在标准化智能合约上构建还必须更长一些时间,并且要想要高效地将EVM包覆于ZKP中甚至还必须更好的研究工作。 (蓝狐笔记:ZKP是所指零科学知识证明)不过,一旦ZK Rollup几乎研发出来,所有现有的以太坊dApp和服务都需要光滑且精彩地迁入过去。ZK Rollup将不会解决问题Optimistic Rollup上的几个基本问题:· 避免让人喜欢的尾巴风险:通过简单但不切实际的反击向量窃取资金;· 将萃取资金时间从1-2周增加至几分钟;· 反对较慢交易证实并以无限制的数量解散;· 配置文件引进隐私。Optimistic Rollup对ZK Rollup来说是个好消息。向Layer 2拓展的过渡性拒绝对钱包、应验机、dApp、用户习惯的根本性转变。 Optimistic Rollup有助为这一行动作好生态系统的打算,将扩展性带进这些尚能无法基于ZK Rollup建构的dApp。这给与ZK Rollup充足的时间发展成熟期,并使其构建几乎无缝的使用,与此同时保持以太坊的增长势头。Rollup 101*什么是Rollup?Rollup是类似于Plasma的Layer-2扩展性解决方案:单个主链合约持有人所有资金,并对较小的“侧链”状态(一般来说是账户、余额及其状态的Merkle树)展开简练的加密允诺。 侧链状态由用户和运营商链下保持,且不依赖Layer 1的存储(这是仅次于的扩展性胜利的源头)。将Rollup和Plasma区分出去的是它解决问题了Plasms的极大问题:数据可用性,其方式是通过Layer 1网络为每笔交易公布一些数据(在以太坊,专门为此目的用于tx CALLDATA)。因此可以在单个Rollup区块中将数千个交易绑在一起。尽管此方法的成本严苛地呈圆形线性快速增长(交易数量的O(n) ),但它在吞吐量上实际可提高100倍,因为CALLDATA比Layer 1存储和计算出来要低廉。 Rollup早已被Vitalik Buterin重复接纳为其最喜欢的Layer 2可扩展性解决方案。根据如何保证状态切换的正确性,有两种Rollup方式:ZK Rollup和Optimistic Rollup。*什么是ZK Rollup?在ZK-Rollup中,运营商必需为每个状态切换分解一个SNARK(蓝狐笔记:简练非对话的知情证明,Succinct Non-interactive ARgument of Knowledge),并由主链上的Rollup合约展开检验。 此SNARK证明不存在一系列由所有者准确亲笔签名的交易,网卓新闻网,这些交易以准确的方式改版了账户余额,并使得Merkle root从旧到新的。因此,运营商不有可能递交违宪或操控的状态。*什么是Optimistic Rollup?在Optimistic Rollup中,新的状态根由运营商公布,且需要每次都由Rollup智能合约检查。 忽略,每个人都期望状态切换是准确的。但是,如果公布了不准确的状态切换,其他运营商或用户(必需仔细观察在Layer 1 Rollup 合约中的情况,继续执行每个单笔交易)将需要认为错误的交易,并还原成错误的区块,消退蓄意运营商的押金。Optimistic Rollup的概念最初由John Adler明确提出的。接下来,让我们较为一下ZK Rollup 和Optimsitc Rollup。 灵活性:标准化计算出来*Optimistic Rollup尽管Optimistic Rollup可用作特定的应用于,但是Plasma Group最重要的创意是OVM(Optimistic Vitual Machine)。OVM反对给定智能合约逻辑的构建。 完全任何在以太坊上能构建的某种程度可以在OVM上构建,这其中还包括智能合约的可人组性。它基于EVM,EWASM或任何其他虚拟机。 关于OVM的益处是,如果它与EVM一起用于,它将反对用Solidity撰写代码。因此,大部分现有的代码库都可以精彩重制到Optimistic Rollup上。如果OVM可以必要器重现有的EVM字节码,那不会是理想的自由选择,但这有可能不是那么非常简单。 准确的构建方式将拒绝变更交易数据(CALLDATA)格式,并拒绝简单的Truebit/Plasma Leap风格的挑战/号召协议的构建,以获取欺诈证明。这可能会造成与EVM产生分歧,从而造成无法正确处理边缘情况,这意味著依然必须做到一些工作才能适应环境当前的OVM合约。实行的另外一个挑战在于,大型区块的欺诈证明有可能必须比Layer 1区块gas limit所容许的更好的gas。 那么,这些欺诈证明必需被分解成为多个ETH交易。*ZK Rollup迄今为止,所有现有的ZK-Rollup构建探讨于特定的操作者,例如代币移往或原子互相交换。这其中有几个主要原因。首先,没一种有效地的技术可用作针对有所不同ZKP的简练迭代证明人组,这必须将有所不同智能合约的继续执行汇总到一个区块中。 我们最差的方法是在椭圆曲线的循环上用于Groth16(由Coda用于),这必须在较长的字段上展开计算出来,并且对于大型计算出来几乎没效率。其次,即使我们的字段较短,Groth16也不会为每个智能合约和每个新版本拒绝一个分开可靠的设置仪式。 似乎,这意味著是不现实的。须可靠设置的唯一有效地的ZKP技术是基于FRI的STARKs。但是,检验程序仅有对受限的一类问题(可以回应为简练的算术电路)是简练的。 STARK检验程序必需对被证明的计算出来语句的每个约束最少继续执行一次,这意味著我们无法递归异构智能合约的子集。随着SNORKs的经常出现,一切都再次发生转变。SNORK是基于略为有所不同的一组加密原语(知名的多项式允诺方案)的新一代ZKP。由Sean Bowe在Sonic中首度研发,在2019年夏季PLONK和Marlin紧随其后。 所有这些都有一个共同点:尽管仍然必须可靠设置,但现在它是标准化且可改版的。已完成一次之后,它可以随时将其轻用作任何数量的有所不同程序。 然而,在这些证明系统中用于的Kate多项式允诺方案仍然必须高效的椭圆曲线循环来展开迭代,而目前尚能不能用。这就是我们为什么对近期的几乎简练和半透明(无可靠设置)的证明系统深感激动,例如Halo、SuperSonic、Fractal,以及Matter Labs团队最近在着急的让人激动的事情。长话短说:在ZKP上建构标准化智能合约的障碍现在早已被去除。 ZK Rollup几乎需要反对与EVM完全相同的编程模型,还包括无缝可人组性和可互操作性。尽管Solidity开发者的学习曲线会多达一天,但最初的合约有可能必须专用的DSL。 最后,鉴于ZKP证明者技术的当前发展步伐,我们希望所有的现存ETH(甚至EWASM)合约都能以大于的希望有效地重制过来。可扩展性交易成本*Optimistic Rollup· 根据John Adler的众说纷纭,在EIP2028/伊斯坦布尔之后,目前的估计是每笔账户tx约4k的gas。· 这意味著,相等于约100tps。 · 用于BLS单体亲笔签名,此数字最多可以下降到约500tps(为了不毁坏EVM兼容性,tx参数将可能会保有很长时间)。· 如果EVM兼容性遭毁坏,则理论上吞吐量可能会快速增长到ZKP的无限大。实际吞吐量下限(代币移往):500tps目前有可能还不俗。 *ZK Rollup· 在Matter Testnet中每笔移往tx的公共数据成本当前是16bytes,这将在EIP2028/伊斯坦布尔后花费272gas费用。· 此外,将不会有证明的摊销费用,预计约为30万gas。· 即使我们假设最坏的情况,必须100万gas证明成本,但估计的账户下限仍将多达2140tps。 · 在一些辩论中,可以听见人们争辩说道ZKP不会产生大量的计算出来支出,由此价格昂贵。实质上,与gas成本相比较,计算成本可以忽略不计,这是确实的瓶颈,因为外用审查的分散化。 我们也希望这个因素不会随时间的流逝而明显上升。实际吞吐量下限(代币移往):多达2000tps —— 类似于Visa的规模。 但是,在许多用例中,ZK Rollup将节省更加多,因为可以从公共数据中省略大块部分(通过将它们移到ZK电路证明),而无须重构状态切换增量。核心看法是:尽管Optimistic Rollup一直拒绝用户公布几乎的交易输出,而在ZK Rollup中,我们可以灵活性地在如下两者间自由选择:1)交易输出乘以不影响状态切换的见证人 2)仅有交易输入。可以十分高雅地构建这一自由选择,而无须过于多复杂性。 知名的例子:· 在多投钱包,具备Argent风格账户抽象化的钱包或去中心化交易所,用户必须递交亲笔签名以取得合约的检验。这些亲笔签名对于状态增量改版所谓必须的,可以从公开发表数据中省略。 · 像Gnosis的Dfusion Dutch DEX这样的合约拒绝大量的数据集输出,这些输出会直接影响存储,但仅用作检验计算结果。*ETH 2.0之后由于任何Rollup将坐落于单个分片中,因此,CALLDATA的成本(以及Rollup交易成本)不太可能再次发生相当大的变化,除非比特率一般来说显得更加低廉。 元交易两种类型的Rollup都非常适合反对元交易和账户抽象化。安全性*Optimistic Rollup与缴纳地下通道有所不同,Rollup中的所有资金都由单个智能合约持有人。 既然Rollup是最有期望的拓展方向,我们应当看见大量的用户迁入其中,且很多价值集中于这类合约。持有人数千万上亿(甚至数十亿)美元价值的资产,对于著名黑客来说,Rollup合约于是以变为十分有吸引力的蜜罐,如果反击有机会,那么,无论多么简单,都有可能会尝试展开。Optimistic Rollup的安全性模型基于两个假设:1.最少在n个节点中有1个真诚节点继续执行所有Optimistic Rollup交易,并且在违宪状态切换公布时递交欺诈证明;2.底层Layer 1网络有强劲的抗审查性*N个节点中最少有一个真诚节点参与者对于第一点,现实的希望是,只有Rollup的运营商才不会实际监控和继续执行交易。普通用户既没动力也没技术能力来处置低阻抗的交易(如果他们可以,拓展源于哪里?)幸运地的是,运营商大自然地有动力去检查彼此区块的正确性,因为基于违宪区块上搭起区块不会被消退资产。 有充足的可靠参与者,N个节点中有1个真诚节点运营商是合理的假设。但是,既然活跃参与者的数量受限(几百个?),一些简单的反击有可能还包括:针对所有运营商的基础设施(十分艰难但并非不不切实际),行贿/勒索研发工程师秘密加装恶意代码,针对Rollup软件的改版发给渠道等,当然,还有可能是这些反击的人组。这些反击很难构建,但应当大力防卫,但相比用某种程度的方式反击以太坊矿工,这些反击要更为现实,特别是在是因为对Optimistic Rollup的顺利反击直到已完成后才不会被注意到。*强劲的Layer 1抗审查性第二个假设是棘手的假设。 实质上,以太坊的设计获取了经济机制,它对付普通审查十分有效地。但是,在经常出现反机制时,这些机制不会暂停起起到。攻击者可以创立几乎自动的行贿机制来协商矿工的51%反击,这不会制止真诚矿工将欺诈证明包括在其区块中。有意思的是,对于参予的矿工来说,此次反击的必要成本为零,如果可以具体地归咎于审查,则不算入由气愤社区反应所产生的社会成本。 这部分也很棘手,因为该机制为反击的参与者获取了合理的可坚称性:“鉴于攻击者多数的可靠允诺,如果我不参予,我的区块不会被舍弃,所以,我必需这么做到,不是为了利润,而是为了防止损失。”意外的是,在PoW下,这种反击十分现实。没什么有效地的方法来惩罚参予其中的电子邮件矿工。 在改向PoS后,社区将可以通过消退矿工的质押权益来惩罚他们,如果达成协议普遍的社会共识。却是,这样的审查反击可以被视作对整个网络的入侵,尽管也可以说道,矿工只是非常简单地真诚地遵循协议,且没义务以违反其最佳经济利益方式行事。但是,在DAO末端后,最少可以说道,这将是十分有争议的辩论,其结果无法预测。 在Vitalik最近展开的一次社区民意测验中,无论遇上什么程度的反击,63%的投票者赞成对不能逆的区块链展开任何人工干预来救助用户。不用说,要清理即使一个检验者的权益(蓝狐笔记:此处是指质押资金)也十分艰难,更加不用说清理大多数检验者的权益。最近公布了更好关于串通合谋的研究,以及针对PoS环境中欺诈证明的新反击,这指出在PoS中Optimistic Rollup的审查反击风险最少与PoW一样低。 抵抗这种反击的更加现实的方法是在UASF(用户转录的软末端)中社区的较慢动员,以被迫矿工将某些交易还包括进去。从工程和社会的看作,这种场景都是简单的,且将认同拒绝比较宽的挑战期窗口,以获取欺诈证明,最少一周,最差两周。同时,鉴于主要的DeFi运营商在要求这种末端的结果时正处于不利方位,且防止吵杂的阻碍事件合乎其仅次于利益。所以,他们的最佳自由选择有可能只是静静地遵循攻击者(这将使以太坊维持最久链,并产生比顺利硬末端较少的争议)。 总的来说,欺诈证明审查的风险比较较低,但不能忽视。由于不存在1-2周的欺诈证明挑战期,并且没过于多资金的利害关系,Optimistic Rollup有可能是没问题的:运营商/矿工合谋将不有一点困难和冒风险。但是,如果rollup中的价值增高,潜入的黑天鹅将不会显得更加让人忧虑。 *ZK Rollup在ZK Rollup中,在其变成有效地之前,每个状态切换都通过Rollup智能合约展开检验。严格来说,运营商无法窃取资金或毁坏Rollup状态。ZK Rollup依赖Layer 1的抗审查性,只是为了其活性,而不是为了安全性。须任何人来监控ZK Rollup,在区块检验后,用户资金总是确保最后能被交还,即使运营商拒绝接受合作。 因此,ZK Rollup更加充份地反映了加密世界的基本理念:通过密码学和博弈论理论激励机制来代替可靠方,以构建弹性。但是,为了原始起见,我必需提及ZK Rollup特有的一些潜在风险。 可靠设置如果在ZK Rollup中用于的ZKP必须标准化的可靠设置,则我们将得出结论“N分之一”真诚参与者的假设。根据参与者的数量和质量,这有可能是可拒绝接受的风险,也有可能是不能拒绝接受的风险。但安全性是安全性的,这就是为什么我对高效须信任的SNARKs最新进展深感十分激动的原因,特别是在是Matter Labs正在展开建构上。 密码学与Groth16比起,近期一代的SNARKs正在用于的是更加多经过实践中检验的加密原语。Matter Lab的工作基于FRI,因此甚至可以说道是具备后量子的安全性。 但是,要几乎冷静下来,应当应用于两种减轻策略:*与RSA挑战类似于,必需以比实际产品版本更加较低安全性参数来部署大量奖金。如果找到了实际反击,研究者不会在产品代码被毁坏数年前解决挑战。*所有状态切换必需仅有由ZKR的运营商发送到,而ZKR的运营商实质上当作双重检验的保护层。 延后(达成协议可验证最后性所须要的时间)*Optimistic Rollup由于上面安全性部分提及的问题,仅有在1-2周欺诈证明的挑战窗口期内Optimistic Rollup才能是安全性的。在这段时间过去之前,任何交易都无法指出是最后的,内部Rollup tx和解散都不是最后的。意外的是,对于最终用户来说,检查交易否具备最后性,没比通过整个上一次挑战期继续执行所有交易更慢的方法了。 必须特别注意的是,用户无法全然倚赖博弈论理论来确保区块的最后性,因为单个运营商节点中的漏洞或(黑客侵略)仍有可能造成还原成。最后性的时间(PoW下):2周最后性的时间(PoS下):1周*ZK Rollup当前ZKP计算出来上很密集。目前,对于1000tx的区块,我们可以在普通服务器硬件下有20分钟证明分解时间。 正在展开的GPU证明程序实现(Matter Labs和Coda实行)未来将会将tx速度提升最少10倍。在不远处的将来,专用硬件可能会享有更高的计算能力。最后,我们希望看见在一分钟内已完成区块的最后性。最后性时间(现在):20分钟最后性时间(未来):1分钟内Rollup交易内部的较慢证实在这两种类型的Rollup中,通过现金一定的安全性保证金(如果交易没包括入允诺的区块,保证金不会被消退),运营商都可以向用户发给即时交易证实。 这为最后性获取了经济确保。这种方法有局限。它对于可互换代币的移往运转较好,但不适合于NFT和标准化合约催促。该NFT有可能没市场价值,或者当这些资产的所有者想在任何情况下立刻“出售”它。 标准化合约催促不限于是因为如果链上的某些之前交易被还原成,不更容易精确分析货币价值。非常简单的例子:为拒绝接受平稳币应验机价格广播的最后价格,运营商应当质押多少资金适合?较慢萃取资金较慢解散类似于较慢内部Rollup证实。运营商可以与流动性提供商合作,以将可互换代币即时萃取给用户,而无须等候解散交易在Rollup中沦为具备最后性的交易。 这拒绝大量的抵押品,这跟最后性达成协议的时间成正比。假设对Optimistic Rollup来说,旋即将来的现实的最后性时间为1周,而ZK Rollup为5分钟,那么,Optimistic Rollup将必须2000倍于ZK Rollup的抵押品才能反对每周完全相同的付款量。隐私*Optimistic RollupOptimistic Rollup可以反对Layer 2以太坊 (混合器等)上的任何能用的隐私解决方案。既然Optimistic Rollup本身也是Layer 2,在其上构建的任何隐私解决方案将作为Layer 3。 这有可能造成隐私服务更为集中,并造成较小的电子邮件集,这使得隐私的实用性非常低(我们甚至可以在zcash上仔细观察到,配置文件情况下交易会隐蔽)*ZK Rollup为了取得确实的隐私,系统必需配置文件反对它。从技术的看作,ZK Rollup可以在某种情况下配置文件精彩反对在协议层面代币移往的隐私交易,也可以区分公共和私人智能合约。 同时,建构几乎电子邮件的zcash风格交易(即不仅隐蔽金额,也隐蔽交易的参与者),它将拒绝转变ZK Rollup的存储模型,从基于账户模型变成基于UTXO模型,这不会产生很多问题,且不太可能再次发生。结论Optimistic Rollup目前正处于PoC阶段。 (蓝狐笔记:PoC是指概念证明阶段。从将来和落地角度,蓝狐笔记更加寄予厚望ZK Rollup)我们期望迅速不会构建产品级实行。如果证明它重制现有代码比较更容易,那么,项目将渐渐开始使用它并建构新的基础架构:Layer 2反对将在钱包中经常出现,应验机将开始广播到Optimistic Rollup等。 ZK Rollup在特定应用于方面早已更为成熟期(例如ERC20代币的移往),但不会逐步向几乎标准化的智能合约方向发展。最后,重制任何基于EVM和WASM的智能合约到ZK Rollup也是有可能的,在当前的技术发展速度下,这有可能花费数年时间才可已完成。对于这两种类型的Rollup,类似于的基础设施转变不会再次发生在钱包、应验机以及其他智能合约组件中。 这拒绝大量的工作,随着更加多项目对Layer 2 拓展技术感兴趣,这些工作不会加快。既然Optimistic Rollup允诺比ZK Rollup早构建通用化的基于EVM的智能合约,它将很大地推展社区使用Layer 2的动机。 对于用户和dApp,从一个Rollup跳出另外一个Rollup,将不会比从ETH最初迁入到Layer 2更容易。桥接不会让这一过程更为流畅。由于这种转换的简陋,这种解决方案在UX方面不会获得明显优势,从长远看,很可能会沦为唯一的赢家。 不管结果如何,这都会是十分最重要且让人激动的发展。无论如何,最后的赢家都是以太坊社区。 本文来源:亚美AM8-www.gzwlcy.com
本文关键词:亚美AM8,亚美AM8(综合)官方APP下载·IOS/安卓/手机APP下载