原文作者:Brendan Farmer,Polygon工程师原文标题:《ZK and the Future of ETHereum Scaling》编译:海尔斯曼,链捕手上个月,Offchain Labs公布了一篇名为《为什么说 Optimistic Rollup 比 ZK Rollup 更能代表以太坊扩容的未来?》的文章,比拟了ZK Rollups 和 Optimistic Rollup 两个扩容技术。1月19日,Polygon的零知识证明工程师Brendan Farmer发文回应了 OR 社区的文章,表示要“友好狡赖”,经过这两篇文章,我们可以愈加客观、辩证地比拟两者的优缺陷。Arbitrum 最近公布了一篇很棒的文章,以为 Optimistic Rollups (OR) 代表了以太坊的未来,由于与 ZK Rollups (ZKR) 相比,Optimistic Rollups提供了自身固有的可扩展性和利息优势。文章写得很好,值得一读。本着友好狡赖的肉体,我们想提出不同的观念。Polygon 已向 ZK 投入了 10 亿美元,这足以说明,我们坚信它是以太坊扩容计划中最有希冀的路途。固然Optimistic Rollups具有“准备就绪”的优势,但ZK 扩展处置计划具也有两个结构优势:1、ZK Rollups支持运用链上和链下数据方式中止扩展,后者提供比任何Rollup更高的吞吐量和更低的费用;2、用户可在与以太坊桥接往复的进程中没有延迟,并且不依赖活动性提供者。2021年有一点很清楚,即不同的用户更喜欢在平安性和买卖利息之间中止不同的权衡,局部由于 Polygon 的快速增加。Optimistic Rollups提供了平安性,但买卖费用远高于侧链或 alt-L1。ZK不央求用户在安全性和本钱之间做出特定的权衡。当用户选择 rollup 方式时,相关于Optimistic rollup,ZK提供同等的安全性和更高的资本效率。当数据在链下时,ZK 提供比侧链和 alt-L1 更高的可扩展性和安全性,而且费用相同。?我们置信,ZK 的可扩展性、低本钱和资本效率,将会是以太坊扩容到十亿用户的最佳选择。
Rollups 是一种扩展以太坊的方法,行将买卖实施移出链外,但由以太坊来保证每笔买卖的有效性。实际上,我们可以将资金取出智能合约,并在Rollups时与这些资金中止廉价交互,从而保证我们的资金与在以太坊上买卖一样安全。?这是可行的,由于rollup运用以太坊停止数据可用性和交易考证。恢复rollup的最新外形和增加新交易所需的局部数据都公布到以太坊,并且交易会经过狡诈或有效性证明停止考证。OR 中运用的防狡诈机制央求资金在争议期内锁定(目前 Arbitrum 和 Optimism 锁定一周)。假定rollup中包括有效交易,任何人都能够在争议时期提交狡诈证明并将其恢复。相比之下,ZK rollup包括一个有效性证明,以加密方式保证一切交易都是有效的,从而消弭了任何延迟的需求。
首先,要招认 ZK rollup还没有完整抵达大肆传达的水平。我们仍在等候支持通用智能合约的 ZK rollup 投入消耗,目前使用的证明系统效率还较为低下。但是,假定我们放眼将来,ZK 密码学正在以难以置信的速度展开。递归证明是可扩展和去中心化 ZK rollup的主要原语,在十年前,它还只中止在实践层面。两年前,递归证明需求两分钟才干生成。但明天,多亏了plonky2,一个由Polygon Zero团队创立的突破性的证明系统,我们可以以毫秒为单位丈量证明时间。在笔记本电脑上生成递归证明仅需170ms,而且我们估量证明时间和成本将继续增加。Arbitrum 的文章以为,证明生成会发生庞大的成本,而这部分将由用户承当,由于它触及数千次高尚的椭圆曲线运算,因此需求大范围并行识别或高尚的硬件。但是,plonky2 基本不使用椭圆曲线,我们的基准测试是在笔记本电脑上实施的。实际上,rollup成本主要由 CALLDATA 的成本决议。我们能够从 Arbitrum 以后的交易费用中看出这一点,其中代币交流成本约为 4 美元。作为比拟,即使假定需求 10 分钟(对 Polygo
不同的用户在区块链的成本和安全性之间做出不同的权衡。数以百万计的人使用 Polygon PoS 链来取得低费用和高吞吐量,即使交易有效性不能像rollup一样取得保证。我们置信,数百万用户面临扩展处置计划时,多会挑选将使用数据放在链外而不是rollup。Validium(Starkware发明的术语)?与 ZK-rollup 相似,将有效性证明公布到以太坊以保证交易有效性,但数据坚持在链外以俭省 CALLDATA 成本。Validium有很多益处:?ZK 扩展为 L2 的想象空间翻开了包括 Validia 的空间,它提供了比Optimism和 ZK rollup更高的吞吐量,并提供资金不会被盗的加密保证。?
ZK 怀疑论者会留意到,实践上,即便 Validium 上的考证者不能直接攫取用户资金,他们也可以对用户发起攻击,从而拘留链的最新外形并拒绝处置新交易。因此,考证者可以劫持用户资金。但是,我们觉得这个效果被夸张了。首先,“数据扣押攻击”需求三分之二的考证者参与,这意味着少量的质押资产将面临风险。攻击将使代币价钱崩盘,降低攻击者自己质押代币的价值,并抵消所将来的费用支出。由于考证者不能直接攫取用户资金,他们需求谐和受影响用户的赎金支付,因此支付是不肯定的。此外,鲸鱼能够会坚持rollup形式,因此攻击者需求胜利地从少量用户中提取赎金以补偿权益丧失。很美妙出,在实际中这种攻击如何做到有益可图。
除了 Validia 提供的庞大可扩展性优势之外,ZK rollup还比 OR 更具可扩展性,由于它们为开拓人员提供了降低费用的选项,即在不舍身安全性的状况下增加 CALLDATA 使用。一切rollup都需求公布重建最新形状所需的最少数据,但 OR 必需将验证每个独自交易所需的部分数据发布到以太坊。相比之下,ZKR可以将每批交易的最小形状增量发布到以太坊,只发布复原账户最终状态所需的音讯。这关于紧缩 AMM 池等合约的状态更新十分主要。OR党?的一个回应是,这种紧缩实践上隐藏了主要的链数据,并且rollup应当提供对每笔交易历史的去怀疑可见性。我以为这个论点疏忽了一个主要的观念,固然 ZKR 上的开拓人员可以选择为少数需要它的使用次第发布未紧缩的 CALLDATA,但大少数使用次第和用户会更喜欢较低的费用,这是只需 ZKR 才干提供的折衷方案。?因此,ZK为链上和链下数据可用性提供了扩展优势。假设我们要将以太坊带给 10 亿人,我们必需让用户能够做出成本和安全衡量。
OR有一个继续一周的争议期,这会对想参与rollup的用户形成提款延迟。关于提款提早有很多恶评,包括以太坊矿工或验证者假定的为期一周的检查攻击,当然这极不可信。但是,提款延迟确实会招致资本效率低下。提早提款是可完成的,但做市商无法完整消弭资本效率低下,特地是在范围上。面前临加密坚定时,一周的工夫其实十分长,假设活动性进入和参与 OR 之间具有不平衡,那么活动性提供者将需要承当在提款时期持有锁定资金的风险。固然活动性提供者将竞相为快速提款提供低费用,但他们将面临必需转嫁给用户的锁定资金的庞大机遇成本。相比之下,ZK 扩容处置方案答使用户在向以太坊发布证明时提取资金,从而消弭了对活动性提供者的需求并提高了资金效率。Arbitrum 的文章宣称 ZK rollups 仅在桥接到以太坊 L1 时具有优势,但梦想上,ZK rollups也可以在其他链上检查有效性证明,保证交易有效性和快速提款。
ZK rollups 确实面临几个缺陷。Polygon Hermez 团队在完好的 zkEVM rollup方面获得了令人注手腕停顿,其中,?EVM字节码的实施可间接经过有效性证明进行验证。其他专注于将 Solidity编译为 ZK 友好字节码的团队,例如我们在 Polygon Zero 或 Polygon Miden、StarkWare 和 zkSync 的团队,能够会在使用现有以太坊开拓人员工具时面临应战。但在实际中,绝大少数 Solidity 代码的行为应当相同,因为我们从 EVM 转移到 ZK 字节码所做的矫正并不会影响功用,主要触及到交流在算术电路中计算成本高昂的原语,如 Keccak -256,具有算术电路友好的原语。最终,零知识扩容提供的结构优势,应当提供足够的鼓舞来改良和调整开拓人员工具,使其更易于在ZK L2上布置。
总之,我们置信零知识扩容是以太坊的未来。Optimistic rollups 是一项了不起的技术,它们为搅扰以太坊的高 gas 费用提供了间接的处置方案。但是,Optimistic rollups让用户不得不面临特地的权衡,即安全性是以更高的费用和资本效率低下为代价的。相比之下,ZK 可容纳更多不同类的用户,不论是以rollup形式进行交易、对费用不愚钝的鲸鱼,还是以验证形式进行廉价交易的用户。ZK 提供了将以太坊带给 10 亿用户的最佳路途。此外,ZK还具有可扩展性和资本效率之外的优势。OR 受限于 L1 上的能够性,因为狡诈证明必需能够在以太坊上实施。ZK 没有这个限制,可使用不同的签名方案(有人想到?Apple Secure Enclave 中使用的 P-256 曲线吗?)和 L1 不支撑的原语。用户可以在 L2 上私自进行批量交易,以更低的成本获得 L1 的活动性,这是 Aztec 开创的一种方法。?
本文采摘于网络,不代表本站立场,转载联系作者并注明出处:http://www.longfuchaju.com//chuangye/gushi/6274.html
