1. 引言
公有链的扩容方案,需考虑以下维度:
- 高的交易吞吐量 (Bitcoin为7tps,以太坊为15tps,而VISA为2k+ tps)
- 满足数百万用户需求的同时,不牺牲去中心性
- 同时具有高速、低成本、流畅的用户体验和隐私性
之前由于缺少技术性突破,当前的扩容方案需在以上一个或多个维度进行妥协。而 零知识证明 技术的出现,使得同时满足以上要求成为可能。
Matter Labs提供的zkSync方案,为:
trustless scaling and privacy solution for Ethereum based on ZK Rollup
zkSync的设计目标是:
- 为以太坊实现VISA 2k+ tps级别的交易吞吐量
- 保证资金的安全性,安全级别与底层的L1安全性相当
- 实现 high degree of censorship-resistance
- 超低的延时,zkSync中的交易可实现即时economic finality
zkSync采用渐进式设计理念,逐步实现以下内容:
- 基础设施层(安全性)
- 基本扩展功能层(可交易性)
- 智能合约层 (可编程性,如账号恢复、多重签名、花费限制等)
- 隐私层(隐私性)
其中可编程性和隐私性是zkSync中最难的部分,需要一个合适的zero-knowledge proof system和smart contract可编程框架,并做相应的可靠设计和实现。
zkSync的主要特性为:
- trustless
- confidential
- fast
zkSync的相关代码实现见:
- https://github.com/matter-labs/zksync
2. zkSync的安全性——ZKRollup
zkSync的安全性依赖于ZKRollup。
zkRollup为L2扩容方案:
- 所有的资金都由主网上的智能合约控制。
- 计算和存储由链下进行。
- 为每个Rollup 区块,生成一个state transition的零知识证明,该证明中包含单独每笔交易的validity proof,主网上的智能合约可验证该证明。
- 每个区块中的public data update以便宜的cheap calldata的方式发送到主网上。
以上机制,可提供以下保护:
- Rollup validator(s)既不能corrupt the state,也无法steal funds。(优于SideChains)
- 即使validators(s)停止服务了,用户仍然可从Rollup中取回资金,因为数据是available的。(优于Plasma)
- 借助validity proofs,不需要用户 或 任何可信第三方 保持在线来监督Rollup 区块以防止欺诈。(优于fraud-proof systems,如payment channels 或 optimistic rollups)。Validity proof 相比于 Fraud proof的优势,详细可参见博客 Validity Proofs vs. Fraud Proofs Strike Back。
换句话说,ZK Rollup严格继承底层L1的安全保证。基于此,再加上以太坊社区和现有基础设施的丰富性,是我们决定专注于L2解决方案而不是尝试构建自己的L1的决定性因素。
更多资料可参看:
- 2019年4月 播客 zkSNARKs for Scale with Matter Labs
- 2019年1月 博客 Introducing Matter Testnet —— SNARK-driven Plasma with up to 500 tx/sec goes live on testnet
- 2019年11月 博客 Optimistic vs. ZK Rollup: Deep Dive
- 2019年6月 视频 ZK Rollup: Ethereum Scalability with ZKPs - Alex Gluchowski
- 2019年9月 视频 DAPPCON 2019: How Zero-Knowledge Proofs can Help your Dapp - Alex Glochowski (Matter Labs)
zkRollup的主要特性为:
- Completely trustless
- Same security gurantees as in undelying L1 (Ethereum)
- Hard Ethereum-backed finality after the first confirmation
3. zkSync的可用性——实时交易
希望:
- 对zkRoll区块生成证明的时间控制在1分钟之内。
- 一旦区块证明被提交到主网上,并由Rollup智能合约验证通过后,该区块内的所有证明就被finalized 且 受L1 reorg-resistance保护。
而在零售和在线支付领域,即使以太坊15秒的数据块延迟也可能太长。我们怎样才能做得更好?
由此在zkSync中引入了 instant tx receipts。
- 参与生成zkSync区块选举的validators 需向 主网上的zkSync智能合约 提交足够的安全保证金。
- validators之间的共识可向用户提供subsecond confirmation,其交易将被包含在下一个zkSync区块中,且由(按股权加权的)绝大多数(2/3)的共识参与方签名。
- 当有新的zkSync区块生成并提交到主网上,则无法reverted撤回。若该区块中不包含promised transaction,则将大幅削减 ”the intersection of the signers of the original receipt 和 the signers of the new blocks“ 的安全保证金。该intersection的保证金要求不低于1/3 of the stake,这就保证了至少1/3的安全保证金是可削减的,且只有恶意用户才会受到惩罚。
削减的一部分资金可用于补偿the tx recipient,剩余的将销毁(burn)。
削减动作可由用户自己触发,或者由共识中的参与签名该原始tx receipt的任何honest参与者触发。对于后者来说,其有动机来举报欺诈,因为若其参与后续的的区块生成,他们也会被削减保证金。因此,共识中至少有一个诚实的参与者就足以进行欺诈检测。
将zkSync区块中具有instant receipt的交易称为:
- zero-confirmation tx
对zero-confirmation tx进行双花的时间窗口很短,只有几分钟,当区块证明发送到主网之后,就不再有双花问题。
同时除非zero-confiramtion tx 价值超过其安全保证金的1/6,恶意validators才有动机诱骗用户。
从买卖双方的角度来看,zero-confirmation tx的特性有:
- Instant
- Potentially reversible,but only within a few minutes【双花窗口期有几分钟】
- 只有同时攻击成千merchants时可reversible,而一对一攻击不可实现reversible。
相比于信用卡支付,zkSync在用户体验和安全性上做了大幅改进,主要体现在:
- 具有实体商品的网店:可能会立即向用户确认购买,但不会受到攻击,因为他们会在发货前等待完全确认。
- 实体店:在处理小额交易时几乎不会受到攻击。即使是向instant tx receipt售卖Macbook,除非 在同步的地点同时有数千个协同的物理攻击者 与 大多数validators 合谋,才能让你赔钱。
为了量化风险,可将由 保证金提供的economic guarantee 与 由POW提供的settlement assurance 进行对比,具体见博客 It’s the settlement assurances, stupid 。
如,Coinbase要求35个tx confirmations来final a deposit on Ethereum。撤销该交易的代价为,从AWS租用GPU持续进行10分钟的51%攻击,相应的费用约为6万美金。假设在安全保证金中有数百万美金,则revert an instant zkSync receipt的代价更高。因此,instant receipts通常会更喜欢类似ETH这样的方案,其具有更好的economic finality 属性。
需要注意的是,instant tx receipts也可防止ETH区块reorgs,因为他们的有效性与以太坊无关。此外,以太坊的结算保证是与zkSync的结算保证相结合的。
zkSync的可用性——实时交易 的主要特征有:
- 相比于以太坊,具有subsecond tx confirmations with economic finality。
- Hard Ethereum-backed finality after a few minutes。
4. zkSync的liveness——抗cencorship和抗DoS
任何扩容方案的一个不可避免的特性是:
- 大多数用户无法参与验证所有交易
这就导致在L2扩容方案中需引入特定的角色(如Plasma或Rollup中的validators、Lightning中的hubs 等等)。这些新角色带来安全和性能提升的同时,也带来了集中化和审查的风险。
为此,zkSync中设计了2种不同的角色:
- Validators
- Guardians
zkSync的liveness主要特点有:
- 具有Validators和Guardians两种角色,均受tx fees激励
- Validators运行共识并生成proofs
- Guardians监控cencorship with ordinary hardware
4.1 zkSync中的Validators
Validators主要负责:
- 打包交易到区块
- 为区块中的交易生成零知识证明
- 参与共识,且必须为instant tx receipts提供一部分安全保证金
- 其节点必须运行在安全环境且具有良好的网络带宽
- 根据需要可选择在不安全的云上生成ZK proofs
- 获得交易费用激励,这些费用在交易中以任意token支付(为最终用户提供最大便利)
为了保证zkSync共识的速度,任何时候仅允许有限数量的validators(在30~100之间,具体取决于profiling)。
注意,zkRollup validators是completely trustless的,恶意的validators既不会危害系统的安全性,也不能欺骗诚实的validator使其陷入被削减惩罚状态。
但是,与optimistic rollup不同,Guardians可频繁地轮换一小部分validators,同时,只要有超过2/3的提名validators是honest和operational的,即可保证共识的活跃性。
4.2 zkSync中的Guardians
Guardians包含 持有zkSync token的 大多数,他们可以其持有的token质押来提名validators。
Guardians的主要目的是:
- 监控p2p交易流量
- 发现censorship行为
- 确保审查中发现的validators不被提名。
Guardians的主要动机是通过确保zkSync是抗Dos和抗审查的,以保护其质押token的价值。
仅保持voting key 在线,Guardians永远不会面临被削减或被盗风险,其ownership keys可保存在冷介质中。
Guardians也可选择仅监控一小部分流量,因此,其节点可在普通笔记本电脑或云服务器上运行,即,不需要专门的validator services。
Guardians从提名的Validators中获取费用激励,费用以zkSync native token形式来支付。其收益和质押将被长期锁定,以激励长期zkSync token 价值 而不是短期回报。
5. zkSync的可编程性——RedShift (transparent universal SNARK)
实现ZK-based smart contracts(无论是transparent还是privacy-preserving),最大的障碍是:
- 缺少efficient generic ZK proof systems with recursive composition
Groth16,作为当前效率最高的ZKNARK:
- 需要application-specific trusted setup
- 若实现recursion,将大幅降低其效率
而FRI-based STARKs:
- 需要highly specialized skills来构建
- 缺少efficient recursive composition of arbitrary generic circuits。
为此,提出了 RedShift :
- 为 transparent的,无需trusted setup
- 基于FRI-based polynomial commitment scheme构建的efficient and fully succinct SNARK
- 为universal SNARK,可将任意program转为provable ZK circuits。(优于STARKs)
- Heterogenous异构circuits(如,不同的智能合约)可recursively composed in one SNARK。
- 基于battle-tested cryptography,完全依赖于collision-restant hash函数,具有站得住脚的post-quantum secure。
RedShift将作为zkSync的核心组成。
6. zkSync的可编程序——Zinc (framework for zero-knowledge smart contracts)
zkSync可编程性模型设计时,主要考虑以下几个目标:
- 高扩展性
- 同时支持公开智能合约和隐私智能合约
- 最重要的是:平滑的学习曲线和易于部署
目前的零知识智能合约相关框架有:
- ZkVM:为generic confidential smart contracts提供了虚拟机,但其基于bulletproofs,不支持succinct proof aggregation。
- ZEXE:具有优秀的隐私保护设计,但其要求深入理解零知识ciruit specifics和trade-offs,学习门槛较高。
于是,设计了Zinc:
- safe、simple and efficient programming framework
- VM-based runtime-environment (即 Sandboxed VM for the delegated generation of zero-knowledge proofs)
- 为ZKP-based smart contracts特别设计的
Zinc的关键设计在于:
- 安全性
- 开发者友好
为此Zinc中采用类似Rust的语法来定义智能合约,同时借鉴了Solidity和Libra的Move中的smart contract programming elements。
Zinc不要求开发者了解ZKP领域知识,即可写出efficient and secure programs。
对于具有Rust、Solidity、C++或类似开发背景的开发者,可在1天内掌握Zinc。
以下为采用Rust编写的Bellman framework 与 Zinc的实现对比:
参考资料
[1] 以太坊扩容方案之zkRollup
[2] zkSync Mainnet Block Explorer
[3] Introducing zkSync: the missing link to mass adoption of Ethereum
[4] zkSync project architecture
[5] Introduction to zkSync for Developers
5077
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
