eSTARK：Polygon zkEVM的扩展STARK协议——支持lookup、permutation、copy等arguments（3）

前序博客有：

• eSTARK：Polygon zkEVM的扩展STARK协议——支持lookup、permutation、copy等arguments（1）
• eSTARK：Polygon zkEVM的扩展STARK协议——支持lookup、permutation、copy等arguments（2）

3.6 控制中间多项式的constraint degree

vanilla STARK协议中：

• 其初始约束集是用于证实对unbounded degree的proof计算的。
• 但当计算完quotient多项式$Q$之后，应将quotient多项式$Q$切分为多个degree小于$n$的多项式，以确保向FRI协议中的trace column多项式${\text{tr}}_i$添加了相同的冗余。

本节，将解释另一种方案——在proof计算之初做多项式切分，而不是在proof计算末尾做多项式切分。

因此，首先假设在初始约束集中，已包含了2.5节所定义的各种arguments，其中：

• 由multiset equality argument和inclusion argument，所引入的grand product多项式$Z_i$约束，是具有已知degree的——degree分别为2和3。

为此，本文所提出的切分方案，支持的多项式约束degree最大为3，若超过3，则会对其仅需切分。

假设初始多项式约束集 C = { C 1 , ⋯   , C l } \mathcal{C}=\{C_1,\cdots,C_l\} C={C1​,⋯,Cl​}，包含了total degree大于等于4的某约束。
如，有 C = { C 1 , C 2 } \mathcal{C}=\{C_1,C_2\} C={C1​,C2​}：
$$\begin{array}{c}{C}_1(X_1,X_2,X_3,X_1^{\prime },X_2^{\prime },X_3^{\prime })=X_1\cdot X_2\cdot X_2^{\prime }\cdot X_3^{\prime }-X_3^3,\\ C_2(X_1,X_2,X_3,X_1^{\prime },X_2^{\prime },X_3^{\prime })=X_2-7\cdot X_1^{\prime }+X_3^{\prime }.\end{array}\text{\hspace{1em}(26)}$$

不同于vanilla STARK协议中的“先计算（unbounded）quotient多项式$Q$再切分”的策略，本文采用如下流程：

• 1）将degree $t\ge 4$的约束，通过在每次切分时引入一个正式变量和一个约束，将其切分为degree小于等于3的约束。
• 2）计算有理函数$q_i$。注意前一步切分，限制了$q_i$的degree小于$2n$。
• 3）计算quotient多项式$Q\in {\mathbb{F}}_{<2n}[X]$，然后将其切分为（最多）2个degree小于$n$的多项式$Q_1,Q_2$：
  $$Q(X)=Q_1(X)+X^n\cdot Q_2(X),\text{\hspace{1em}(27)}$$
  其中：
  • $Q_1$提取了$Q$的前$n$个系数，$Q_2$提取了$Q$的后$n$个系数（若不足则补零）。
  • 注意有可能$Q_2$就是零多项式。该切分技术与等式（9）中的切分技术对应，将quotient多项式$Q$均匀切分给每个trace quotient多项式$Q_i$。

以上流程可控制quotient多项式$Q$的degree总是小于$2n$。

对应上面等式（26）中的例子，引入正式变量$Y_1$和约束：
$$C_2(X_1,X_2,X_3,X_1^{\prime },X_2^{\prime },X_3^{\prime },Y_1)=X_1\cdot X_2-Y_1,\text{\hspace{1em}(28)}$$
现在，为计算有理函数$q_i$：

• 不仅需将$C_2$与trace column多项式${\text{tr}}_i$进行组合
• 还需将其它多项式与所引入的变量$Y_i$进行组合。将这些多项式表示为${\text{im}}_i$，并撑起为intermediate polynomials（中间多项式）。

因此，等式（26）中的约束集，扩大为：
$C_1(X_1,X_2,X_3,X_1^{\prime },X_2^{\prime },X_3^{\prime },Y_1)=Y_1\cdot X_2^{\prime }\cdot X_3^{\prime }-X_3^3$
$C_2(X_1,X_2,X_3,X_1^{\prime },X_2^{\prime },X_3^{\prime },Y_1)=X_1\cdot X_2-Y_1$
$C_3(X_1,X_2,X_3,X_1^{\prime },X_2^{\prime },X_3^{\prime },Y_1)=X_2-7\cdot X_1^{\prime }+X_3^{\prime }$
其中，为简化标记，将变量$Y_1$也包含在$C_3$中。

注意，此时有2个degree小于3的约束，但额外增加了一个变量和一个约束。

对比vanilla STARK协议中的“先计算（unbounded）quotient多项式$Q$再切分”策略，和，本文的“先切分再计算quotient多项式$Q$”策略：

• vanilla STARK协议中的策略，有：
  deg ⁡ ( Q ) = max ⁡ i { deg ⁡ ( q i ) } = max ⁡ i { deg ⁡ ( C i ) ( n − 1 ) − ∣ G ∣ } \deg{(Q)}=\max_i\{\deg (q_i)\}=\max_i\{\deg(C_i)(n-1)-|G|\} deg(Q)=maxi​{deg(qi​)}=maxi​{deg(Ci​)(n−1)−∣G∣}。
  以$i_{max}$来表示具有最大degree $q_i$的索引号。则将$Q$切分的多项式个数$S$等于：
  $\lceil \frac{\mathrm{deg}(Q)}{n}\rceil =\lceil \frac{\mathrm{deg}(C_{i_{max}})(n-1)-|G|}{n}\rceil =\mathrm{deg}(C_{i_{max}})+\lceil -\frac{|G|}{n}\rceil$
  其要么等于$\mathrm{deg}(C_{i_{max}})-1$，要么等于$\mathrm{deg}(C_{i_{max}})$。
  必须将该$S$值，与本文策略中所额外引入的约束数（或多项式数）进行对比。
• 本文策略中，最终总约束数为$\tilde{l}={\sum }_{i=1}^l\lceil \frac{\mathrm{deg}(C_i)}{3}\rceil$，其中$\tilde{l}\ge l$。
  即，转为比较$\tilde{l}-l$与$S$中的最小值，谁最小，相应的方案就最优。当目标是：使proof生成过程中的多项式数量最少：
  • 若 min ⁡ { l ~ − l , S } = S \min\{\tilde{l}-l, S\}=S min{l~−l,S}=S，则选择vanilla STARK方案。
  • 若 min ⁡ { l ~ − l , S } = l ~ − l \min\{\tilde{l}-l, S\}=\tilde{l}-l min{l~−l,S}=l~−l，则选择本文方案。

示例4：以如下约束集，以具体的数字，来对比这2种策略：
$C_1(X_1,X_2,X_3,X_4,X_1^{\prime })=X_1\cdot X_2^2\cdot X_3^4\cdot X_4-X_1^{\prime }$
$C_2(X_1,X_2,X_3)=X_1\cdot X_3^2+X_3^3$
$C_3(X_2,X_3,X_4,X_2^{\prime })=X_2^3\cdot X_3^4\cdot X_4+X_2^{\prime }$

• vanilla STARK策略，有$S=8$。
• 本文策略：采用了提前切分策略，将$X_1\cdot X_2^2$替换为$Y_1$，将$X_2\cdot X_3\cdot X_4$替换为$Y_2$，从而可将如上约束集，转换为degree小于等于3的约束集，其仅额外引入了2个约束：
  $C_1(X_1^{\prime },Y_1,Y_2)=Y_1^2\cdot Y_2-X_1^{\prime },$
  $C_2(X_2,X_3,Y_1)=Y_1\cdot X_2+X_3^3,$
  $C_3(X_2,X_2^{\prime },Y_2)=Y_2\cdot X_2^2+X_2^{\prime },$
  $C_4(X_1,X_2,Y_1)=Y_1-X_1\cdot X_2^2,$
  $C_5(X_2,X_3,X_4,Y_2)=Y_2-X_2\cdot X_3\cdot X_4,$
• 本例中，本文策略要优于vanilla STARK策略。

不过，先切分的方式并不唯一。可采用不同的降约束degree方式，仍以示例4为例，将$X_1\cdot X_2^2$替换为$Y_1$，将$X_3^3$替换为$Y_2$，将$X_3\cdot X_4$替换为$Y_3$，将$X_2^3$替换为$Y_4$，这样会额外引入4个多项式约束：

此外，具有如下格式的约束系统，就不太容易reduce：
$C_i(X_i,X_{i+1},X_{i+2})=X_i^3\cdot X_{i+1}+X_{i+1}^3\cdot X_i+X_{i+2}$
若采用本文的先切分策略，这样格式的每个$C_i$会增加2个多项式约束。通俗来说，这样的约束没有重复单项，无法像之前那样生成优化替代项。因此，若哪怕只有一种这样格式的约束，也是使用Vanilla STARK的后切分策略 更优。

也就是说，应有仔细、成熟的分析来在二者中选择最优方案。不过，根据经验，只要是只有少数约束degree超过3或（/并且）在degree超过3的约束的单项之间存在多次重复，本文策略就更优。

3.7 FRI Polynomial Computation

如2.4节所示，vanilla STARK协议中的$F$多项式计算方式为：【可并行计算】
$$\begin{gathered} F(X):=\sum _{i\in I_1}{\epsilon }_i^{(1)}\cdot \frac{{\text{tr}}_i(X)-{\text{tr}}_i(z)}{X-z}+\sum _{i\in I_2}{\epsilon }_i^{(2)}\cdot \frac{{\text{tr}}_i(X)-{\text{tr}}_i(gz)}{X-gz} \\ +\sum _{i=1}^S{\epsilon }_i^{(3)}\cdot \frac{Q_i(X)-Q_i(z^S)}{X-z^S}, \end{gathered}$$
其中： I 1 = { i ∈ [ N ] : tr i ( z ) ∈ Evals ( z ) } , I 2 = { i ∈ [ N ] : tr i ( g z ) ∈ Evals ( g z ) } I_1=\{i\in [N]: \text{tr}_i(z)\in\text{Evals}(z)\},I_2=\{i\in [N]: \text{tr}_i(gz)\in\text{Evals}(gz)\} I1​={i∈[N]:tri​(z)∈Evals(z)},I2​={i∈[N]:tri​(gz)∈Evals(gz)} 且 ${\epsilon }_i^{(1)},{\epsilon }_j^{(2)},{\epsilon }_k^{(3)}\in \mathbb{K}$ for all $i\in I_1,j\in I_2,k\in [S]$，

所获得的$F$多项式的degree 小于$n-1$，当且仅当：

• 1）trace column多项式 ${\text{tr}}_i$ 和 trace quotient 多项式 $Q_i$的degree均小于$n$。
• 2）之前步骤中，Prover所发送的所有值，均为相应多项式的evaluation值。

与3.5节的情况类似，这种计算$F$多项式的方式存在的主要问题是：

• 由Verifier发送的随机值的数量与$F$中包含的的多项式个数成比例。

本文采用的，改进方案为：【可并行计算】【本文采用方案。】

• 只引入2个随机值${\epsilon }_1,{\epsilon }_2\in \mathbb{K}$，其中：
  • ${\epsilon }_2$用于分别计算在$z$和$gz$点的evaluations值
  • 最终通过${\epsilon }_1$来合并混合。
• 即定义多项式$F_1,F_2\in {\mathbb{K}}_n[X]$：
  $F_1(X):={\sum }_{i\in I_1}{\epsilon }_2^{i-1}\cdot \frac{{\text{tr}}_i(X)-{\text{tr}}_i(z)}{X-z}+{\sum }_{i=1}^S{\epsilon }_2^{|I_1|+i-1}\cdot \frac{Q_i(X)-Q_i(z)}{X-z}$
  $F_2(X):={\sum }_{i\in I_2}{\epsilon }_2^{i-1}\cdot \frac{{\text{tr}}_i(X)-{\text{tr}}_i(gz)}{X-gz}$
  然后设置$F(X):=F_1(X)+{\epsilon }_1\cdot F_2(X)$。
  注意，由于${\epsilon }_1,{\epsilon }_2$是均匀采样元素，因此对于所有的$i\ge 0$，${\epsilon }_1\cdot {\epsilon }_2^i$也是均匀采样元素。

实际常用的$F$多项式计算替换版本为：【常用版本。不可并行计算】

• 引入单个随机值$\epsilon \in \mathbb{K}$，然后直接计算：
  $$\begin{gathered} \tilde{F}(X):=\sum _{i\in I_1}{\epsilon }^{i-1}\cdot \frac{{\text{tr}}_i(X)-{\text{tr}}_i(z)}{X-z}+\sum _{i\in I_2}{\epsilon }^{|I_1|+i-1}\cdot \frac{{\text{tr}}_i(X)-{\text{tr}}_i(gz)}{X-gz} \\ +\sum _{i=1}^S{\epsilon }^{|I_1|+|I_2|+i-1}\cdot \frac{Q_i(X)-Q_i(z^S)}{X-z^S}, \end{gathered}$$
• 这个版本的主要缺点在于，不像之前版本那样可并行计算，因此本文选择上面的改进版本，即使这意味着将让proof size增加1个域元素。
  • 本文采用的改进版本：当在计算${\epsilon }_2$的powers时，也可同时依序并行计算多项式$F_1,F_2$。
  • 常用版本：必须在计算万所有的$\epsilon$的powers之后，才能依序计算$\tilde{F}$。

4. Polygon zkEVM的eSTARK协议

4.1 Extended Algebraic Intermediate Representation (eAIR)

作为 充分研究的AIR 的扩展，本节将介绍eAIR和eAIR satisfiability的概念。
关于AIR的知识，参看：

• Eli Ben-Sasson等人2019年论文Scalable Zero Knowledge with no Trusted Setup。

eAIR在AIR的基础上，扩展支持了更多约束类型，从而更具表达性。

回顾下$G=<g>$为order 为$n$的$\mathbb{F}$的multiplicative subgroup。

已知多项式$p_1,\cdots ,p_M\in \mathbb{F}[X]$，AIR和AIR satisfiability定义为：

• algebraic intermediate representation (AIR) $A$ 定义为：一组代数约束 { C 1 , ⋯   , C K } \{C_1,\cdots,C_K\} {C1​,⋯,CK​}，使得每个$C_i$为基于$\mathbb{F}[X_1,\cdots ,X_M,X_1^{\prime },\cdots ,X_M^{\prime }]$的某多项式。
  • 对于每个$C_i$，其前半部分变量$X_1,\cdots ,X_M$将被替换为多项式$p_1(X),\cdots ,p_M(X)$，其后半部分变量 $X_1^{\prime },\cdots ,X_M^{\prime }$将被替换为多项式$p_1(gX),\cdots ,p_M(gX)$。
• AIR satisfiability 定义为：当且仅当对所有的$i\in [K]$，有：
  $C_i(p_1(x),\cdots ,p_M(x),p_1(gx),\cdots ,p_M(gx))=0,\forall x\in G$
  均成立，则称多项式$p_1,\cdots ,p_M$ 满足 指定AIR A = { C 1 , ⋯   , C K } A=\{C_1,\cdots,C_K\} A={C1​,⋯,CK​}。

需注意，本文定义的AIR，与ethSTARK中定义的AIR，主要做了2方面的简化：

• 1）约束仅基于“non-shifted”多项式和“shifted-by-one”多项式，即分别对应$p_i(X)和p_i(gX)$。
• 2）enforce了约束需vanish over整个$G$，而不是vanish over $G$的某个子集。

而接下来的eAIR（extended AIR）定义，将支持更通用的版本——将支持3.5节中所定义的新的约束类型。

已知多项式$p_1,\cdots ,p_M\in \mathbb{F}[X]$，Extended AIR定义为：

• extended algebraic intermediate representation (eAIR) $eA$ 定义为：一组代数约束 { C 1 , ⋯   , C K } \{C_1,\cdots,C_K\} {C1​,⋯,CK​}，使得每个$C_i$为以下格式之一：
  • a）与AIR中定义一样，为基于$\mathbb{F}[X_1,\cdots ,X_M,X_1^{\prime },\cdots ,X_M^{\prime }]$的某多项式。【即对应的为$eA$中的identity constraints。】
  • b）为某正整数$R_i$，某基于$\mathbb{F}[X_1,\cdots ,X_M]$的$2R_i$个多项式集合$C_{i,j}$，以及2个基于$\mathbb{F}[X]$的selectors $f_i^{sel},t_i^{sel}$。注意对于所有的$x\in G$，有 f i s e l ( x ) , t i s e l ( x ) ∈ { 0 , 1 } f_i^{sel}(x),t_i^{sel}(x)\in\{0,1\} fisel​(x),tisel​(x)∈{0,1}。【对应$eA$中的non-identity constraints。】
  • c）为某正数$S_i\in [M]$， { p 1 , ⋯   , p M } \{p_1,\cdots,p_M\} {p1​,⋯,pM​}集合的子集——$S_i$个多项式$p_{(1)},\cdots ,p_{(S_i)}\in \mathbb{F}[X]$，以及$S_i$个代表permutation ${\sigma }_i$多项式$S_{{\sigma }_i,1},\cdots ,S_{{\sigma }_i,S_i}$。【对应$eA$中的non-identity constraints。】

以上Extended AIR定义的目的，是为了可 以更通用的方式来处理3.4节中所定义的non-identity约束（即lookup argument、permutation argument、connection argument）。对应这些arguments的多项式，是$p_1,\cdots ,p_M$的多项式组合。

接下来：

• 以$\overline{P}$来作为$p_1,\cdots ,p_M$的简略表示
• $C\circ \overline{P}$：表示基于$\mathbb{F}[X]$的单变量多项式，其通过将约束$C\in \mathbb{F}[X_1,\cdots ,X_M,X_1^{\prime },\cdots ,X_M^{\prime }]$中的$X_i,X_i^{\prime }$分别替换为$p_i(X),p_i(gX)$而来。即$C\circ \overline{P}$，对应多项式$C(p_1(X),\cdots ,p_M(X),p_1(gX),\cdots ,p_M(gX))$。

相应的Extended AIR Satisfiability定义为：

• 当且仅当对于每个$i\in [K]$，以下有且仅有一个等式 对于所有的$x\in G$ 成立：
  $(C\circ \overline{P})(x)=0,$
  $f_i^{sel}(x)\cdot ((C_{i,1}\circ \overline{P})(x),\cdots ,(C_{i,R_i}\circ \overline{P})(x))\in t_i^{sel}(x)\cdot ((C_{i,R_{i+1}}\circ \overline{P})(x),\cdots ,(C_{i,2R_i}\circ \overline{P})(x)),$
  $f_i^{sel}(x)\cdot ((C_{i,1}\circ \overline{P})(x),\cdots ,(C_{i,R_i}\circ \overline{P})(x))\doteq t_i^{sel}(x)\cdot ((C_{i,R_{i+1}}\circ \overline{P})(x),\cdots ,(C_{i,2R_i}\circ \overline{P})(x)),$
  ($p_{(1)},\cdots ,p_{(S_i)})\propto (S_{{\sigma }_i,1},\cdots ,S_{{\sigma }_i,S_i}).$
  则，称多项式$p_1,\cdots ,p_M\in \mathbb{F}[X]$ 满足 指定eAIR e A = { C 1 , ⋯   , C K } eA=\{C_1,\cdots,C_K\} eA={C1​,⋯,CK​}。

4.2 Setup Phase

在4.3节的协议中，Prover和Verifier均需访问一组预处理多项式${\text{pre}}_i\in \mathbb{F}[X]$。尤其是：

• Prover需以系数或evaluation形式，来完整访问这些预处理多项式，以 正确的生成proof。
• Verifier仅需访问这些预处理多项式基于domain $H$的evaluations的子集。

为此，eSTARK协议中会假设存在名为setup phase的阶段，即在协议消息交互之前，又在确定了特定待证明statement之后——即在确定了描述待证明statement约束集之后。

在setup phase，会计算预处理多项式，且Prover和Verifier会收到这些预处理多项式的不同信息。特别地，setup phase的输入为一组多项式约束，其包含如下步骤：

• 1）计算每个预处理多项式的trace LDE。
• 2）计算预处理多项式集合的Merkle tree。
• 3）最后：
  • 将完整的Merkle tree发送给Prover。
  • 将相应的Merkle tree root发送给Verifier。当Verifier需要计算任意预处理多项式基于$h\in H$的evaluation值时，其可向Prover请求：
    • Prover会响应相应的evaluation值的同时，也回复其对应的Merkle tree path。
    • 然后，Verifier使用该Merkle tree root来验证所收到信息的正确性。

注意：

• 由于setup phase的算力要求大于$\mathcal{O}(\log (n))$，因此若想让本协议满足verifier scalability，则无法将setup phase包含在verifier description中。
• 本setup phase，没有包含Verifier，对预处理多项式Merkle tree计算正确性，的衡量。但是，由于本setup phase的输入为代表problem’s statement的多项式约束集——其对Verifier也是已知的，因此Verifier可在setup phase的任意时间来运行检查该计算的有效性。
• Prover和Verifier都需要访问vanishing多项式$Z_G(X):=X^n-1$基于$H$的evaluations值，以及首个Lagrange多项式$L_1(X):=\frac{g(X^n-1)}{n(X-g)}$基于$H$的evaluations值。
  尽管$Z_G和L_1$将在eSTARK协议后续阶段出现，且原则上不认为它们是预处理多项式，但它们是公开已知的多项式，因此，也将$Z_G和L_1$包含在setup phase的Merkle tree计算中。

4.3 针对eAIR的IOP

在协议之初，假设上面的setup phase已成功执行，且Prover和Verifier固定了：

• 某特定eAIR实例 e A = { C ~ 1 , ⋯   , C ~ T ′ } eA=\{\widetilde{C}_1,\cdots,\widetilde{C}_{T'}\} eA={C 1​,⋯,C T′​}
• $eA$中的约束排序为：
  • a）首先为identity约束；
  • b）然后是inclusion argument；
  • c）接下来是permutation argument；
  • d）最后是connection argument。

在整个eSTARK协议描述过程中，使用如下标记：

• 令$N,R$为2个非负整数。令$N$为trace column多项式数量，$R$为预处理多项式数量。
• 在$eA$的多项式约束集中，以$M,M^{\prime }{M}^{\prime \prime }\in {\mathbb{Z}}_{\ge 0}$来分别表示inclusion arguments的数量、permutation arguments的数量，以及connection arguments的数量。
• Prover的$pp$参数中，包含：
  • 有限域$\mathbb{F}$
  • domain $G,H$
  • 扩域$\mathbb{K}$
  • eAIR实例$eA$
  • 所有公开值（public values）
  • 承诺多项式集合
  • 预处理多项式的Merkle tree。
• Verifier的$vp$参数中包含：
  • 有限域$\mathbb{F}$
  • domain $G,H$
  • 扩域$\mathbb{K}$
  • eAIR实例$eA$
  • 所有公开值（public values）
  • 预处理多项式的Merkle tree root。

eSTARK协议中对eAIR的IOP，可看成是Eli Ben-Sasson等人2019年论文DEEP-FRI: Sampling outside the box improves soundnes DEPP-ALI协议的扩展。

已知trace column多项式集合${\text{tr}}_1,\cdots ,{\text{tr}}_N\in {\mathbb{F}}_{<n}[X]$，和预处理多项式集合${\text{pre}}_1,\cdots ,{\text{pre}}_R\in {\mathbb{F}}_{<n}[X]$，Prover使用Protocol 3（IOP for eAIR）来向Verifier证明 多项式${\text{tr}}_1,\cdots ,{\text{tr}}_N,{\text{pre}}_1,\cdots ,{\text{pre}}_R$ satisfy $eA$：

• 1）Round 1：Trace Column Oracles：

  • 1.1）Prover发送对${\text{tr}}_1,\cdots ,{\text{tr}}_N\in {\mathbb{F}}_{<n}[X]$的oracle functions集合$[{\text{tr}}_1],\cdots ,[{\text{tr}}_N]$给Verifier。
  • 1.2）Verifier回复均匀采样值$\alpha ,\beta \in \mathbb{K}$给Prover。
  • 1.3）Prover计算由部分identity约束组成的的中间多项式${\text{im}}_i\in {\mathbb{F}}_{<n}[X]$。令$K\in {\mathbb{Z}}_{\ge 0}$为中间多项式的个数，则有${\text{im}}_i\in {\mathbb{F}}_{<n}[X]$，对应$i\in [K]$。需注意，在引入中间多项式时，也必须考虑新的identity约束，具体例子见等式（28）。
    由于在后续Round 3中也可能会引入新的中间多项式，此Round中，Prover将为${\text{im}}_1,\cdots ,{\text{im}}_K$设置oracles。

• 2）Round 2：Inclusion Oracles：详情见3.4节，如有需要，Prover可：

  • 使用$\alpha$，来将vector inclusions reduce为 simple inclusions或simple selected inclusion，以及将vector permutations reduce为 simple permutations或simple selected permutations。
  • 使用$\beta$，来将selected inclusions reduce为 simple (non-selected) inclusions，以及将selected permutations reduce为 simple (non-selected) permutations。

  在完成以上2个reduction之后，Prover会为每个inclusion argument计算inclusion多项式$h_{i,1},h_{i,2}\in {\mathbb{K}}_{<n}[X]$，对应$i\in [M]$。

  • 2.1）Prover发送oracle functions集合$[h_{1,1}],[h_{1,2},\cdots ,[h_{M,1}],[h_{M,2}]]$给Verifier。
  • 2.2）Verifier回复均匀采样值$\gamma ,\delta \in \mathbb{K}$。

• 3）Round 3：Grand Product和Intermediate Oracles：
  Prover使用$\gamma ,\delta$来计算每个argument的grand product多项式$Z_i\in {\mathbb{K}}_{<n}[X]$，对应$i\in [M+M^{\prime }+M^{\prime \prime }]$。
  注意，某些用于断言connection argument的grand product多项式有效 的identity约束，其degree可能大于等于4。因此按照3.6节，Prover会通过引入中间多项式，来将这些约束切分为degree最多为3的多个约束。令$K^{\prime }\in {\mathbb{Z}}_{\ge 0}$为所引入的中间多项式个数，表示为${\text{im}}_{K+i}\in \mathbb{K}[X]$，对应$i\in [K^{\prime }]$。

  • 3.1）Prover发送oracle functions集合$[Z_1],\cdots ,[Z_{M+M^{\prime }+M^{\prime \prime }}]$和$[{\text{im}}_1],\cdots ,[{\text{im}}_{K+K^{\prime }}]$给Verifier。
  • 3.2）Verifier回复均匀采样值$\mathfrak{a}\in \mathbb{K}$。

  至此，原始的eAIR e A = { C ~ 1 , ⋯   , C ~ T ′ } eA=\{\widetilde{C}_1,\cdots,\widetilde{C}_{T'}\} eA={C 1​,⋯,C T′​}，就reduce为了，某AIR A = { C 1 , ⋯   , C T } A=\{C_1,\cdots,C_T\} A={C1​,⋯,CT​}，有$T\ge T^{\prime }$。接下来，借助3.5节和3.6节提到的一些修改，可继续基于$A$执行DEEP-ALI协议。【若eAIR实例$eA$就是AIR，则可跳过以上Round 2和Round 3，转为在Round 1之后继续执行后续Round 4步骤。】

• 4）Round 4：Trace Quotient Oracles：

  • 4.1）Prover使用$\mathfrak{a}$来计算quotient多项式$Q(X)\in \mathbb{K}[X]$：
    $$Q(X):=\sum _{i=1}^T{\mathfrak{a}}^{i-1}\frac{(C_i\circ \overline{P})(X)}{Z_G(X)},\text{\hspace{1em}(29)}$$
    其中：
    • 使用$\overline{P}$来表示包含了${\text{tr}}_1,\cdots ,{\text{tr}}_N,{\text{pre}}_1,\cdots ,{\text{pre}}_R,h_{1,1},h_{1,2},\cdots ,h_{M,1},h_{M,2},Z_1,\cdots ,Z_{M+M^{\prime }+M^{\prime \prime }},{\text{im}}_1,\cdots ,{\text{im}}_{K+K^{\prime }}$的多项式序列。
    • 因此，$(C_i\circ \overline{P})(X)$为单变量多项式，其是多变量多项式$C_i$，与 $\overline{P}$中各单变量多项式的non-shifted和shifted版本，的组合。
  • 4.2）然后Prover将quotient多项式$Q$切分为2个degree小于$n$的trace quotient多项式$Q_1,Q_2$。二者满足如下关系：
    $$Q=Q_1(X)+X^n\cdot Q_2(X)=\sum _{i=1}^T{\mathfrak{a}}^{i-1}\frac{(C_i\circ \overline{P})(X)}{Z_G(X)},\text{\hspace{1em}(30)}$$
  • 4.3）Prover发送oracle functions集合$[Q_1],[Q_2]$给Verifier。

• 5）Round 5：DEEP Query Answers：

  • 5.1）Verifier给Prover发送某均匀采样DEEP query值$z\in \mathbb{K}\setminus (G\cup H)$。注意：
    • 要求$z\notin G$，是为确保上面等式（30）右侧的分子有效。
    • 要求$z\notin H$，是为确保后续Round 6 FRI协议中多项式$F(X)$中的分子项有效。
  • 5.2）Prover会返回之前rounds中oracles集合 或 预处理多项式oracles集合，相应的evaluations结合$\text{Evals}(z)和\text{Evals}(gz)$。
    在此需注意2点：
    • 某个多项式可能同时有在$\text{Evals}(z)和\text{Evals}(gz)$中的evaluations。
    • 预处理多项式的evaluations值也包含在$\text{Evals}(z)和\text{Evals}(gz)$中。
  • 5.3）Verifier给Prover发送均匀采样值${\epsilon }_1,{\epsilon }_2\in \mathbb{K}$。

• 6）Round 6：FRI Protocol：
  6.1）将$\overline{P}$中evaluation分别属于$\text{Evals}(z)和\text{Evals}(gz)$的多项式，分别表示为$f_i,h_i$。Prover计算多项式$F_1,F_2\in \mathbb{K}[X]$：
  $F_1(X):={\sum }_{i=1}^{|\text{Evals}(z)|}{\epsilon }_2^{i-1}\frac{f_i(X)-f_i(z)}{X-z},$
  $F_2(X):={\sum }_{i=1}^{|\text{Evals}(gz)|}{\epsilon }_2^{i-1}\frac{h_i(X)-h_i(gz)}{X-gz},$
  然后Prover计算多项式$F(X):=F_1(X+{\epsilon }_1\cdot F_2(X))$。
  6.2）最后Prover和Verifier运行FRI协议来证明$F$是low degree的。在运行FRI协议之初，Prover首先会发送Verifier oracle $[F]$。

• 7）Round 7：Verification：与vanilla STARK Verifier类似，eSTARK协议Verifier的验证流程为：【若以下a）和b）有任意失败，则Verifier将中断并拒绝，否则接受。】

  • a）ALI Consistency：
    Verifier 通过$\text{Evals}(z)和\text{Evals}(gz)$中的evaluations值和等式（30），来检查trace quotient多项式$Q_1,Q_2$，与trace column多项式${\text{tr}}_1,\cdots ,{\text{tr}}_N$、预处理多项式${\text{pre}}_1,\cdots ,{\text{pre}}_R$、inclusion相关多项式$h_{1,1},h_{1,2},\cdots ,h_{M,1},h_{M,2}$、grand product多项式$Z_1,\cdots ,Z_{M+M^{\prime }+M^{\prime \prime }}$、中间多项式${\text{im}}_1,\cdots ,{\text{im}}_{K+K^{\prime }}$，的一致性。
  • b）Batched FRI Verification：Verifier基于多项式$F$运行batched FRI验证流程。

很容易直观地给出Protocol 3的soundness上限。

Theorem 3（STIK for eAIR）：

• Protocol 3中包含了a STIK for extended AIR satisfiability，即该协议用于证明拥有满足某特定extended AIR实例 e A = { C ~ 1 , ⋯   , C ~ T ′ } eA=\{\widetilde{C}_1,\cdots,\widetilde{C}_{T'}\} eA={C 1​,⋯,C T′​} 的多项式集合$p_1,\cdots ,p_{N+R}\in {\mathbb{F}}_{<|G|}[X]$。
  以${\epsilon }_{eSTARK}$来表示Protocol 3协议的soundness，则：
  ${\epsilon }_{eSTARK}={\epsilon }_{Args}+l(\frac{T-1}{|\mathbb{K}|}+\frac{(D+|G|+2)\cdot l}{|\mathbb{K}|-|H|-|G|})+{\epsilon }_{FRI}$
  其中：
  • $l=m/\rho$，$m$为大于等于3的整数。
  • $D$：为等式（29）中用于求和计算quotient多项式$Q$的各多项式中的最大degree。
  • ${\epsilon }_{Args}$：为对应Protocol 2的soundness error。
  • ${\epsilon }_{FRI}$：基于FRI多项式$F$的batched FRI协议的soundness error。

“eSTARK协议的soundness error ${\epsilon }_{eSTARK}$” 与 “2.4节vanilla STARK协议的soundness error ${\epsilon }_{STARK}$” 的主要区别为：

• 1）在计算quotient多项式$Q$时，使用单个随机值的powers ${\mathfrak{a}}^{i-1}$ 来代替 每个约束$C_i$一组$({\mathfrak{a}}_i,{\mathfrak{b}}_i)$。如等式（30）所示，对应的quotient多项式对变量$\mathfrak{a}$的degree为$T-1$。因此根据Schwartz-Zippel lemma，会将上限值由$1/|\mathbb{K}|$增加为$(T-1)/|\mathbb{K}|$。
• 2）将quotient多项式切分为trace quotient多项式$Q_1,Q_2$，二者与$Q$呈线性关系，即$Q_1(X)+X^n{Q}_2(X)=Q(X)$；而vanilla中是呈exponential关系，即$Q_1(X^2)+X{Q}_2(X^2)=Q(X)$。从而仅需要约束采样空间为$z\in \mathbb{K}\setminus (G\cup H)$，而不是$z\in \mathbb{K}\setminus (G\cup \bar{H})$

以上Theorem 3结论的证明思路为，分为2种场景：

• 1）假设eAIR $eA$正好就是AIR，其中没有其它arguments约束。即意味着Protocol 3协议中的Round 2和Round 3均可跳过，最终的协议是（改进版的）vanilla STARK——即由：

  • DEEP-ALI协议
  • 和 batched FRI协议

  组合。相应的soundness也对应分为2部分：

  • DEEP-ALI协议的soundness：见Eli Ben-Sasson等人2019年论文DEEP-FRI: Sampling outside the box improves soundnes 中的Theorem 6.2。
  • batched FRI协议的soundness：见Eli Ben-Sasson等人2020年论文Proximity gaps for reed-solomon codes中的Theorem 8.3。

  这2种协议组合后的soundness分析见2021年论文ethSTARK documentatio中的Corollary 2。
  即若eAIR $eA$正好就是AIR，由于其中没有其它arguments，有${\epsilon }_{Args}=0$，最终有${\epsilon }_{STARK}={\epsilon }_{eSTARK}$。

• 2）对于eAIR $eA$中有arguments的情况。其第一项${\epsilon }_{Args}$为所包含的arguments的soundness error，其余为DEEP-ALI soundness error和batched FRI协议的soundness error。

4.4 由STIK到Non-interactive STARK

如2.3节的STARK定义可知，将4.3节的STIK转换为STARK是非常简单的：

• 1）首先将Prover在每轮发送给Verifier的oracles，替换为单个Merkle tree root。详情见3.1节。
  如，第一轮Prover发送的oracle 集合$[{\text{tr}}_1],\cdots ,[{\text{tr}}_N]$，替换为，包含${\text{tr}}_1,\cdots ,{\text{tr}}_N$基于domain $H$的evaluations值组成的Merkle tree的root。
• 2）Verifier不再向Prover query一组多项式oracles $[f_1],\cdots ,[f_N]$在同一点$v$的evaluation值，而是Prover在返回答案$f_1(v),\cdots ,f_N(v)$的同时，还返回相应的Merkle path。
• 3）本文并未指定用于计算每个Merkle tree的哈希函数，仅强调：构建Merkle tree所用的哈希函数，与将协议变为non-interactive的哈希函数，二者没有任何关系，只要其输出空间在合适的域内即可。

以：

• $\text{seed}$：来表示对初始eAIR实例 e A = { C ~ 1 , ⋯   , C ~ T ′ } eA=\{\widetilde{C}_1,\cdots,\widetilde{C}_{T'}\} eA={C 1​,⋯,C T′​}中所有公开值和预处理多项式Merkle tree root的拼接。
  这些值会用作模拟首个Verifier消息的哈希函数$\mathcal{H}$的seed。

4.5 eSTARK完整协议描述

将eSTARK协议描述分为Prover算法和Verifier算法，并在每轮的Prover算法中 包含 （通过Fiat-Shamir）Verifier挑战值的计算，以及Prover实际计算的消息。

本节沿用4.3节的标记和假设。

4.5.1 eSTARK协议中 Prover算法

eSTARK协议中各轮的Prover算法有：

• 1）Round 1：Trace Column多项式：
  • Prover对给定的trace column多项式${\text{tr}}_1,\cdots ,{\text{tr}}_N\in {\mathbb{F}}_{<n}[X]$进行承诺，详情见3.1节，以计算其关联的Merkle root。
  • 在本步骤中，Prover还会计算源自identity约束子集的中间多项式${\text{im}}_1,\cdots ,{\text{im}}_K$，
  • Round 1中Prover的输出为$\text{MTR}({\text{tr}}_1,\cdots ,{\text{tr}}_N)$。
• 2）Round 2：Inclusion多项式：
  • 首先初始化transcript实例$transcript$。
  • Prover向$transcript$中添加：$\text{seed}$、用作trace column多项式 { tr } i \{\text{tr}\}_i {tr}i​承诺值的Merkle root：
    add t r a n s c r i p t ( seed , MTR ( { tr } i ) ) \text{add}_{transcript}(\text{seed},\text{MTR}(\{\text{tr}\}_i)) addtranscript​(seed,MTR({tr}i​))
    然后从中提取Verifier会发来的挑战值$\alpha ,\beta \in \mathbb{K}$：
    $\alpha ={\text{extract}}_1(transcript),\beta ={\text{extract}}_2(transcript).$
  • Prover使用$\alpha ,\beta$计算每个inclusion argument $i\in [M]$ 相应的inclusion多项式$h_{i,1},h_{i,2}\in {\mathbb{K}}_{<n}[X]$，并对这些inclusion多项式进行承诺。
  • Round 2中Prover的输出为$\text{MTR}(h_{1,1},h_{1,2},\cdots ,h_{M,1},h_{M,2})$。
• 3）Round 3：Grand Product多项式和中间多项式：
  • Prover向$transcript$中添加：承诺 { h } i , j \{h\}_{i,j} {h}i,j​的Merkle tree的root值：
    add t r a n s c r i p t ( MTR ( { h } i , j ) ) \text{add}_{transcript}(\text{MTR}(\{h\}_{i,j})) addtranscript​(MTR({h}i,j​))
    然后从中提取Verifier会发来的挑战值$\gamma ,\delta \in \mathbb{K}$：
    $\gamma ={\text{extract}}_1(transcript),\delta ={\text{extract}}_2(transcript).$
  • Prover使用$\gamma ,\delta$来计算每个argument $i\in [M+M^{\prime }+M^{\prime \prime }]$ 的grand product多项式$Z_i\in {\mathbb{K}}_{<n}[X]$。
  • Prover还会计算剩余的中间多项式${\text{im}}_{K+1},{\text{im}}_{K+K^{\prime }}$。
  • Round 3中，Prover会对grand product多项式进行承诺，还会对所有的中间多项式${\text{im}}_1,\cdots ,{\text{im}}_{K+K^{\prime }}$进行承诺。为节约proof中1个元素，Prover会让grand product多项式和中间多项式共用一棵Merkle tree。
  • Round 3中Prover的输出为$\text{MTR}(Z_1,\cdots ,Z_{M+M^{\prime }+M^{\prime \prime }},{\text{im}}_1,\cdots ,{\text{im}}_{K+K^{\prime }})$。
• 4）Round 4：trace quotient多项式：
  • Prover向$transcript$中添加：承诺 { Z } i 和 { im } i \{Z\}_{i}和\{\text{im}\}_i {Z}i​和{im}i​的Merkle tree的root值：
    add t r a n s c r i p t ( MTR ( { Z } i ) , MTR ( { im } i ) ) \text{add}_{transcript}(\text{MTR}(\{Z\}_{i}),\text{MTR}(\{\text{im}\}_{i})) addtranscript​(MTR({Z}i​),MTR({im}i​))
    然后从中提取Verifier会发来的挑战值$\mathfrak{a}\in \mathbb{K}$：
    $\mathfrak{a}={\text{extract}}_1(transcript).$
  • Prover使用$\mathfrak{a}$来计算quotient多项式$Q(X)\in \mathbb{K}[X]$：
    $$Q(X):=\sum _{i=1}^T{\mathfrak{a}}^{i-1}\frac{(C_i\circ \overline{P})(X)}{Z_G(X)},$$
    然后像等式（27）那样，将quotient多项式$Q(X)$切分为2个degree小于$n$的多项式$Q_1,Q_2$。二者满足如下关系：
    $$Q=Q_1(X)+X^n\cdot Q_2(X)=\sum _{i=1}^T{\mathfrak{a}}^{i-1}\frac{(C_i\circ \overline{P})(X)}{Z_G(X)},\text{\hspace{1em}(31)}$$
    然后Prover对$Q_1,Q_2$进行承诺。
  • Round 4中Prover的输出为$\text{MTR}(Q_1,Q_2)$。
• 5）Round 5：DEEP Query Answers：
  • Prover向$transcript$中添加：承诺$Q_1和Q_2$的Merkle tree的root值：
    ${\text{add}}_{transcript}(\text{MTR}(Q_1,Q_2))$
    然后从中提取Verifier会发来的挑战值$z\in \mathbb{K}$：
    $z={\text{extract}}_1(transcript).$
    • 若$z\in G$或$z\in H$，则额外引入一个计数器作为哈希函数的输入，并持续增加该计数器值，使$z\in \mathbb{K}\setminus (G\cup H)$。$z$不符合要求的概率为$(|G|+|H|)/|\mathbb{K}|$，实际情况下这个概率很低。
  • Prover计算evaluations集合$\text{Evals}(z)和\text{Evals}(gz)$。
  • Round 5 Prover的输出为$(\text{Evals}(z),\text{Evals}(gz))$。
• 6）Round 6：FRI协议：
  • Prover向$transcript$中添加evaluations集合$\text{Evals}(z)和\text{Evals}(gz)$：
    ${\text{add}}_{transcript}(\text{Evals}(z),\text{Evals}(gz)),$
    然后从中提取Verifier会发来的挑战值${\epsilon }_1,{\epsilon }_2\in \mathbb{K}$：
    ${\epsilon }_1={\text{extract}}_1(transcript),{\epsilon }_2={\text{extract}}_2(transcript).$
  • Prover将$\overline{P}$中evaluation分别属于$\text{Evals}(z)和\text{Evals}(gz)$的多项式，分别表示为$f_i,h_i$。Prover计算多项式$F_1,F_2\in \mathbb{K}[X]$：
    $F_1(X):={\sum }_{i=1}^{|\text{Evals}(z)|}{\epsilon }_2^{i-1}\frac{f_i(X)-f_i(z)}{X-z},$
    $F_2(X):={\sum }_{i=1}^{|\text{Evals}(gz)|}{\epsilon }_2^{i-1}\frac{h_i(X)-h_i(gz)}{X-gz},$
    然后Prover计算多项式$F(X):=F_1(X+{\epsilon }_1\cdot F_2(X))$。
  • 最后Prover对，证明$F$多项式为low degree的，运行（非交互式）FRI协议，获得FRI proof ${\pi }_{FRI}$。
  • Round 6 Prover的输出为${\pi }_{FRI}$。
• 7）最终Prover返回的${\pi }_{eSTARK}$为：
  

整个eSTARK协议框架描述为：

4.5.2 eSTARK协议中的Verifier算法

为验证eSTARK，Verifier会执行如下操作：

• 1）检查$\text{MTR}({\text{tr}}_1,\cdots ,{\text{tr}}_N)$、$\text{MTR}(h_{1,1},h_{1,2},\cdots ,h_{M,1},h_{M,2})$、$\text{MTR}(Z_1,\cdots ,Z_{M+M^{\prime }+M^{\prime \prime }},{\text{im}}_1,\cdots ,{\text{im}}_{K+K^{\prime }})$、$\text{MTR}(Q_1,Q_2)$值均在$\mathbb{K}$扩域内。
• 2）检查$\text{Evals}(z)和\text{Evals}(gz)$中的每个元素均源自$\mathbb{K}$扩域。
• 3）根据$\text{seed}$和${\pi }_{eSTARK}$中除${\pi }_{FRI}$之外 的所有元素，来计算挑战值$\alpha ,\beta ,\gamma ,\delta ,\mathfrak{a},z,{\epsilon }_1,{\epsilon }_2\in \mathbb{K}$。【因${\pi }_{FRI}$用于计算FRI中的挑战值。】
• 4）ALI Consistency：
  Verifier 通过$\text{Evals}(z)和\text{Evals}(gz)$中的evaluations值和等式（30），来检查trace quotient多项式$Q_1,Q_2$，与trace column多项式${\text{tr}}_1,\cdots ,{\text{tr}}_N$、预处理多项式${\text{pre}}_1,\cdots ,{\text{pre}}_R$、inclusion相关多项式$h_{1,1},h_{1,2},\cdots ,h_{M,1},h_{M,2}$、grand product多项式$Z_1,\cdots ,Z_{M+M^{\prime }+M^{\prime \prime }}$、中间多项式${\text{im}}_1,\cdots ,{\text{im}}_{K+K^{\prime }}$，的一致性。
• 5）Batched FRI Verification：使用${\pi }_{FRI}$，Verifier基于多项式$F$运行batched FRI验证流程。

以上步骤中若有任何失败，Verifier将中断并拒绝。否则Verifier接受。

5. 结论

本文通过引入更通用化的名为eAIR的intermediate representation，实现了让STARK家族更通用的probabilistic proof。
本文：

• 1）首先解释了改进vanilla STARK proof size和verification time复杂性，的多种技术。

  • 特别是，对vanilla STARK中的某些多项式做了许多优化。
  • 此外，展示了在AIR端做约束degree控制，还是在eSTARK自身端做约束degree控制，的取舍。并提供了选择哪种degree控制策略 的规则。
  • 这些计算也可用于其他类型的SNARKs中。

• 2）本文所实现的eSTARK协议，在polynomial IOP模式下，是：

  • 优化版vanilla STARK
  • 与 额外插入了3种arguments（lookup argument、permutation argument、connection argument）

  的组合。并证明了本eSTARK协议在polynomial IOP模式下的可靠性。

• 3）最后，描述了完整的eSTARK协议：

  • 将对多项式的oracle access，替换为，Merkle trees。
  • 通过Fiat-Shamir heuristic，将其转换为非交互式协议。

未来，希望能在eSTARK协议中，扩充更多的arguments类型，以满足更广范围的应用需求。

参考资料

[1] Polygon zkEVM技术文档 eSTARK: Extending the STARK Protocol with Arguments v.1.2

附录：Polygon Hermez 2.0 zkEVM系列博客

• ZK-Rollups工作原理
• Polygon zkEVM——Hermez 2.0简介
• Polygon zkEVM网络节点
• Polygon zkEVM 基本概念
• Polygon zkEVM Prover
• Polygon zkEVM工具——PIL和CIRCOM
• Polygon zkEVM节点代码解析
• Polygon zkEVM的pil-stark Fibonacci状态机初体验
• Polygon zkEVM的pil-stark Fibonacci状态机代码解析
• Polygon zkEVM PIL编译器——pilcom 代码解析
• Polygon zkEVM Arithmetic状态机
• Polygon zkEVM中的常量多项式
• Polygon zkEVM Binary状态机
• Polygon zkEVM Memory状态机
• Polygon zkEVM Memory Align状态机
• Polygon zkEVM zkASM编译器——zkasmcom
• Polygon zkEVM哈希状态机——Keccak-256和Poseidon
• Polygon zkEVM zkASM语法
• Polygon zkEVM可验证计算简单状态机示例
• Polygon zkEVM zkASM 与 以太坊虚拟机opcode 对应集合
• Polygon zkEVM zkROM代码解析（1）
• Polygon zkEVM zkASM中的函数集合
• Polygon zkEVM zkROM代码解析（2）
• Polygon zkEVM zkROM代码解析（3）
• Polygon zkEVM公式梳理
• Polygon zkEVM中的Merkle tree
• Polygon zkEVM中Goldilocks域元素circom约束
• Polygon zkEVM Merkle tree的circom约束
• Polygon zkEVM FFT和多项式evaluate计算的circom约束
• Polygon zkEVM R1CS与Plonk电路转换
• Polygon zkEVM中的子约束系统
• Polygon zkEVM交易解析
• Polygon zkEVM 审计及递归证明
• Polygon zkEVM发布公开测试网2.0
• Polygon zkEVM测试集——创建合约交易
• Polygon zkEVM中的Recursive STARKs
• Polygon zkEVM的gas定价
• Polygon zkEVM zkProver基本设计原则 以及 Storage状态机
• Polygon zkEVM bridge技术文档
• Polygon zkEVM Trustless L2 State Management 技术文档
• Polygon zkEVM中的自定义errors
• Polygon zkEVM RPC服务
• Polygon zkEVM Prover的 RPC功能
• Polygon zkEVM PIL技术文档
• Polygon zkEVM递归证明技术文档（1）【主要描述了相关工具 和 证明的组合、递归以及聚合】
• Polygon zkEVM递归证明技术文档（2）—— Polygon zkEVM架构设计
• Polygon zkEVM递归证明技术文档（3）——代码编译及运行
• Polygon zkEVM递归证明技术文档（4）—— C12 PIL Description
• Polygon zkEVM递归证明技术文档（5）——附录：借助SNARKjs和PIL-STARK实现proof composition
• eSTARK：Polygon zkEVM的扩展STARK协议——支持lookup、permutation、copy等arguments（1）
• eSTARK：Polygon zkEVM的扩展STARK协议——支持lookup、permutation、copy等arguments（2）