作者: Pedro ,Polygon DAO 作者
整理:海爾斯曼,鏈捕手
標題:詳解Polygon 全棧zk 擴容方案:Hermez、Nightfall、Miden 和Zero
報導:Polygon推出基於零知識證明的用戶識別服務Polygon ID
長期以來,以太坊L2 之爭的焦點都被ZK Rollup 和Optimistic rollup 兩者佔據。因為OP 的EVM 兼容性和技術較為成熟等特性,更容易被項目開發者採用,因此,OP 在當下更為通用和主流。據L2BAET 的數據,僅Arbitrum、Optimism、Metis 三個採用OP 方案的項目,就佔據了L2 市場份額的70.8%。而ZK rollup 因開發難度較高、技術進展較慢,目前採用率和市場份額佔比都比較低。
作為目前總鎖倉量最高的以太坊擴容方案,Polygon 則堅定地將擴容的未來押注到了zk 技術上。去年,Polygon 大手筆收購了Hermez、Mir,並為zk 擴容做出了10 億美元的重金承諾。
現在,Polygon 擁有了“一整套”zk 擴容方案,分別是Hermez、Nightfall、Miden 和Zero。四種擴容方案雖都建立在zk 技術之上,但各有千秋,策略不同。那麼,這四種方案具體技術特性與開發進度如何?哪個更有希望先殺出來?
在這篇文章中,我們將詳細討論這四種zk 解決方案,包括其開發歷史、運作機制和開發進度等。以下內容整理自Polygon DAO 專欄作者Pedro關於Polygon 研究的Medium 系列文章,鏈捕手在原文基礎上進行了適當的精簡和便於理解的增補。
Polygon Zero
Polygon Zero 是一個ZKL2 解決方案,由最快速、最高效的遞歸證明系統Plonky2 提供支持。前身為Mir 協議,是由Brendan Farmer 和Daniel Lubarov 創辦的Predicate Labs 於2019 年構建。 Mir 協議的特色是,執行程序過程中會生成遞歸的ZKP(zk-proof)驗證。簡而言之,遞歸證明就像生成證明的證明。用於驗證一組交易證明是否有效。
遞歸證明是一項非常年輕的技術,於2014 年首次在理論上被引入。 2019 年,Mir 能夠在2 分鐘內生成遞歸證明,顯然,這時間不算短,也缺乏擴展性。
2020 年,由於Aztec 團隊的探索,Mir 取得了巨大突破,實現了在60 秒內生成遞歸證明。在此基礎上,Mir 團隊開發了Plonky,允許Mir 協議在15 秒內生成遞歸證明。
2021 年12 月,Polygon 以4 億美元收購了Mir,協議更名為Polygon Zero。最初Mir 正在構建的啟用zk 技術的獨立L1 鏈的設想,變為在Polygon 之上構建一個分佈式的zk-rollup。
今年1 月,Polygon Zero 發布了Plonky2,這一技術能在Mac-Book Pro 上以小於170 毫秒的速度生成遞歸證明。這是有史以來最快的遞歸證明。而遞歸證明這項技術的突破,也將為Polygon Zero 服務——Plonky2 將支持最具可擴展性的zkEVM。
1、Plonky2
Plonky2 是Plonky1 的迭代,前面也提到它建立在2020 年Aztec 構建的驗證系統之上。
這三者之間的一個共同點是Plonk,所以我們需要先弄明白Plonk 是什麼。
ZKP 是指在不透露相關信息的同時生成某個計算的有效性證明。所以沒有信息並不會被洩露,只是生成證據。
兩個主要的ZKP 分別是SNARK 和STARK (由於下文會反复提到這兩種證明系統,所以鏈捕手在此處增加了對二者的詳細對比)。二者主要區別包括:SNARK 依賴橢圓曲線來保證安全性,而STARK 依賴散列函數來保證安全,使用散列函數意味著量子抗性。
SNARK 的證明規模更小,這意味著鏈上數據存儲更少,最終用戶支付的gas 更少。儘管SNARK 對開發人員更加友好,但STARK 提供了一些獨特的優勢,例如會更加透明,不需要受信任的設置,而且是“量子安全” 的,在未來會有更大的潛力。這些優勢也曾讓Vitalik 稱STARK 其實是“更新、更耀眼” 的技術。
但因為SNARK 早在2012 年就被提出並投入使用,而STARK 則在2018 年才被提出。所以,SNARK 在採用方面具有很大的先發優勢,目前Z-Cash、路印協議和摩根大通都採用了SNARK 技術,而且因為被廣泛採用,SNARK 擁有更多已發布的代碼、開發人員庫、項目和開發人員。但STARK 作為新星,因其獨特的優勢,也在被更多項目採用。
Plonk 是證明系統的名稱,它屬於SNARK 證明系統的一種。
接下來,我會分析幾種與Plonk 結合的不同類型的方案:
Aztec 使用Plonk +KZG 的遞歸證明時間為60 秒;
Plonky1 使用Plonk +Halo,遞歸證明時間為15 秒。 Halo 於2019 年由Zcash 首次推出,是第一個不需要可信設置的遞歸證明方案。但Halo 的缺點是不兼容以太坊,這就是為什麼Mir 會在最初想建立獨立的L1 鏈;
Plonky2 使用Plonk +FRI,遞歸證明時間為170 毫秒。 2021 年,Polygon Zero 負責人Daniel Lubarov 提出將FRI 與Plonk 結合。
FRI 是用於STARK 的方案,這意味著通過使用FRI,Plonk 就變成STARK(Plonk 最初是SNARK 的一種),也意味著增加系統的透明度。當時,只有一個項目(Fractal)實現了遞歸FRI 證明,該協議的證明時間約為10 分鐘且不可擴展。
為了保證快速,Polygon Zero 採用了Plonky 的第一個版本,並用FRI 替換了Halo。上文圖表可看出,FRI 的證明速度是“可變的”,提交的數據越少,獲得的證明就越快。但數據越少,安全性就越低。
2、 Plonky2 正在構建什麼?
如前所述,Polygon Zero 最終要建設由Plonky2 提供支持的最具可擴展性的zkEVM。
即,每個zk-rollup 都需要一個zkEVM 才能真正處理計算。用於Polygon Zero 的zk-rollup 的zkEVM 將由Plonky2 提供支持,這是目前最高效、最快的zk 證明系統。
開發人員將能夠在Polygon Zero 之上部署智能合約,不僅能利用Polygon 的高性能,同時也利用以太坊的安全性。據其中一位創始人的說法,此L2 將允許建設具有更多操作和功能的應用程序。
3、 Polygon Zero和Starkware的區別
大多數rollup,包括Starkware,都會將交易打包,並生成該交易包中的每個事務都是有效的證明。
Polygon Zero 使用遞歸證明,因此,每筆交易都會同時製作一堆非常快速的證明。然後將這些單獨的交易證明捆綁在一起來創建更大的證明,即驗證其他證明有效性的證明。
這意味著Polygon Zero 可以進行水平縮放。因此,如果有一堆機器並行生成這些交易證明,那麼添加更多機器(例如Macbook)就可以證明更多交易。通過使用遞歸證明,可以擴展到更多事務,而不用以時間延遲為代價。
PolygonHermez
五年前,三位共讀MBA 的同事Jordi Baylina、David Schwartz 和Antoni Martin 創辦了一家名為Iden3 的公司,他們從事的第一個項目是自主身份解決方案,當時項目被稱為“自我主權身份”(Self Sovereign ID,簡稱SSI),與我們當下比較流行的去中心化身份DID 其實是相同的概念。
但這三個人在研發SSI 項目的過程中逐漸意識到,要想進一步讓SSI 成為主流,就必須先使得現有的區塊鏈具備充分的可擴展性。這之後,三人決定轉向新項目Hermez。
Hermez 是基於zk 技術的去中心化L2 rollup 解決方案。 Hermez 1.0 是目前正在運行的支付平台,該平台允許用戶通過一個簡單易用的網絡或移動界面將任何已註冊的ERC-20 代幣從一個Hermez 帳戶轉移到另一個帳戶。去年7 月,該團隊宣布開發zkEVM,Hermez 2.0,開發完成後將為以太坊帶來一個完全兼容的zkEVM。
去年8 月,Polygon 宣布以2.5 億美元收購Hermez。新項目將命名為Polygon Hermez,兩個項目的代幣MATIC 和HEZ 進行合併,Hermez 的26 名員工也將加入Polygon 的80 人團隊。
1、 Hermez 1.0
Hermez 最初是作為zk-rollup 開始的,專注於在以太坊上擴展支付和代幣轉移。
rollup 指的是打包一打交易(數千個)並在鏈下一次執行。當這數千筆交易在鏈外執行時,就Hermez 而言,會生成一個zk-SNARK。 SNARK 證明了批次中每筆交易的有效性,隨後再由以太坊驗證證明(SNARK),而不是單個交易。
與Optimistic rollup 相比,zk rollup 可以立即生效,實現即時提款,而Optimistic rollup 必須等待7 天。這種能夠在恆定時間內高效驗證證明的能力,是所有zk rollup 的核心。
Hermez 的處理速度為2000 TPS。據Hermez 團隊介紹,在未來處理速度還將大幅提升。
Hermez 上可進行三種不同的交易:
存款:將任何已註冊的ERC-20 代幣從L1 以太坊發送到L2 Hermez。存款需要支付以太坊gas 費。
轉賬:將任何已註冊的ERC-20 代幣從一個Hermez 賬戶發送到另一個Hermez 賬戶,此類轉賬交易非常便宜且即時。
取款:將ERC-20 代幣從L2 Hermez 發送回L1 以太坊。提款需要支付以太坊gas 費。
在提款時需要注意的一點是,Hermez 提供了一種保護機制,即“強制提款”,允許用戶隨時將資金從L2 Hermez 轉回L1 以太坊,即便是協調員在試圖作惡的情況下。
協調者和捐贈證明
協調者是Hermez 版本的區塊生產者。這些人通過生成zk-proof 來證明鏈下交易的有效性。
協調者就是將交易捆綁打包的人,他們會將所有的事務請求匯總在一個單元中,每次rollup 會執行數千條事務,然後再生成zk-proof,再通過以太坊上的智能合約驗證此zk 證明。
Hermez 之所以是去中心化的,是因為任何人都可以成為協調者並通過服務來賺取獎勵。網絡上可以同時有任意數量的協調者,但是只有一個能夠實際處理交易並在任何給定的時間段(10 分鐘長)內獲得獎勵。
Hermez 網絡通過拍賣過程選擇下一個協調者。基本上任何人都可以使用MATIC 代幣出價,出價最高的人將贏得在10 分鐘內處理盡可能多的交易的權利,直到選擇下一個協調員。這是一個非常有效的過程,因為它要求協調員在這10 分鐘內盡可能多地進行交易,以使獲得的回報超過出價。
如果協調者競標失敗,MATIC 代幣將被退回原錢包,而那些競標成功的資金,將有以下三個用途:
- 30% 永久銷毀
- 40% 用於由以太坊基金會管理的捐贈賬戶
- 30% 用於網絡激勵,以幫助推動Hermez 網絡的進一步採用。
值得一提的是,Hermez 支持原子交易。原子交易是一連串不可再分的交易,要么交易全部發生,要么全部不發生。例如,Alice 想向Bob 發送1000 DAI 來換取1 ETH,在原子交易的情況下,二者必須都發送代幣給對方之後,交易才可以成功,缺少一個步驟,交易都會失敗。所以,這種交易方式能有效預防詐騙。
2、 Hermez 2 .0
去年7 月,在EthCC 4 大會期間,Hermez 團隊宣布正在開發zkEVM 即Hermez 2.0。
我們都知道,目前L2 多采用Optimism 而ZK 還沒真正起飛的關鍵點就在於,zk 還無法做到EVM 兼容。所以,zkEVM 就是要解決這個問題,在zk-rollup 上運行智能合約。
目前很多項目也在開發zkEVM,僅在Polygon 生態中,就有Polygon Zero 和Polygon Hermez 這兩種解決方案。然而,每個項目都以不同的方式在解決這個問題,並且每個項目都有自己的權衡。
Hermez 的特色在於不論是工具、生態系統還是安全性,均能與以太坊兼容。這就意味著在理想狀態下,在以太坊上運行的智能合約能夠在L2 Hermez 上運行。為開發人員提供無摩擦的體驗。 Optimism 和Arbitrum 一推出,就吸引了一批項目和用戶遷移過來。不難想像,等zk-rollup 成熟,會產生甚至更強的網絡效應。
Hermez 創始人Antoni Martin 形容zkEVM 說:“如果你充分利用每個解決方案的最佳部分,你就可以製造出最好的汽車……”。所以, Hermez在開發zkEVM時同時採用了SNARKS 和STARKS兩種ZKP 方案,力求兩全其美。
具體而言,當Hermez 處理交易並在鏈下產生新區塊時,將生成一個STARK 證明,證明這些交易都是有效的。 STARK 證明的問題是在鏈上(以太坊)驗證成本很高,而SNARK 則在此時就有了用武之地,它需要做的就是在以太坊上驗證STARK 證明的有效性。
如果你想進一步深入了解此zkEVM 的架構,可點擊此處查看Hermez2.0 開發文檔。
上圖展示了HermezzkEVM 提供的不同功能。當然,2.0 還在開發過程中,據主網上發布2.0 路線圖顯示,Hermez2.0 計劃於今年第一季度上線公測網絡,主網預計於第二季度上線。還有一處劃重點,那就是Hermez2.0 正在開發一個無需許可的跨鏈橋,允許用戶將資產從Hermez L2 轉移到其他L2。
Polygon Nightfall
去年9 月,Polygon 和全球專業服務和技術公司安永(EY,Ernest & Young) 建立合作關係,隨後發布了Polygon Nightfall。
安永在2019 年公佈了Nightfall 的初始版本,和其他zk 解決方案最不同的一點是, Nightfall是以隱私為重點的r ollup ,安永將其定位為“以太坊上最突出的隱私解決方案之一” 。具體來說,就是Nightfall 上每筆交易都包含隱私,意味著如果Alice 向Bob 發送一筆資產,其他人將無法看到該資產是什麼、包含了多少價值或它去了哪裡。
之所以更注重交易的隱私性,是因為安永瞄準的客戶是企業。最開始,Nightfall 試圖直接在以太坊上構建第一個企業級區塊鏈,但最後發現,在以太坊主網擁有隱私過於昂貴,於是轉了L2 並最終選擇和Polygon 合作。
二者合作發布的Polygon Nightfall 是迭代多次後的Nightfall3.0 版本,其最突出的特點是有效地將Optimistic Rollup 的主幹概念與ZK-Rollups 中常用的零知識(ZK) 密碼學相結合,從而實現了可擴展性和隱私性的融合。
Polygon Nightfall 目前正在測試網階段,主網預計於今年上線。
1、 Nightfall如何運作?
Polygon Nightfall 本質上是一個利用zk 加密保護隱私的Optimistic Rollup。 Polygon 和安永的合作的重點在於使用Nightfall 技術構建產業鏈,使企業能夠以可預測的低費用且在監管指導下鏈接到L1 上。
下圖為Nightfall 具體運作機制:
我們目前可以把可擴展性的瓶頸歸結為“狀態”,因為在在鏈上存儲數據的成本很高。因此,擴展解決方案的目標是不斷降低存儲在鏈上的數據量。 Nightfall 在降低存儲方面採用了成本更低的Optimistic rollup。
通常使用Optimistic rollup 方案都會存在7 天的挑戰期,也就是說從L2 提現到以太坊主網需要等待7 天。但Nightfall 改善了這一點,為用戶提供了“即時退出”的選項。其運作方式是,由流動性提供者與用戶該筆交易交換位置,先為用戶墊付即時提款所需的資金,並在7 天的等待期內佔據該位置。
Nightfall 希望交易同時兼具隱私性。所以,在Optimistic Rollup 上, Nightfall添加了一個額外的zk 隱私層,來保證交易的私密性。
NightfallVS Aztec
上圖顯示了兩種不同的啟用隱私的方法。左邊的Polygon Nightfall 使用了zk 密碼學的Optimistic rollup,右邊的Aztec 使用了zkrollup 和zk 密碼學。我相信,最理想的方案是類似Aztec 的zk/zk 方法,但在當下,這種解決方法太昂貴了。所以,在一定程度上來說, Nightfall更像是一種能夠立刻投入使用的折中方案。一旦zk 費用得到解決,Nightall 團隊會最終切換到zk/zk 方案。
下圖為Nightfall 的架構:
2、具體用例
- 金融企業和機構投資者:Nightfall 獨特的隱私性為希望將交易和掉期保密的投資組合管理公司創造了一個巨大的機會。
- 為企業提供供應鏈可追溯性:企業可通過Nightfall 處理供應、執行銷售訂單、私密支付等。目前,已有一家啤酒廠在使用安永的Nightfall 供應鏈進行可追溯性交易,企業可輕鬆追踪有多少啤酒、它在哪裡、運輸數量等。此外,一家製藥公司通過Nightfall 來將生產線上的每一種產品都鑄造成NFT,每天約產生60000 個NFT。
- ESG:ESG 評級是針對企業在環境(Environmental)、社會(Social)和公司治理(Governance)三個方面進行評分考核,從長遠角度判斷企業是否具備可持續發展的價值。目前已有平台使用Nightfall 技術,使用戶可在不透露確切的慈善機構的情況下向某個慈善機構捐款。確保了資金使用上的私密性。而且通過在鏈上添加慈善機構的供應鏈,公眾可以監督慈善機構的進度和資金去向。
Polygon Miden
去年11 月,Polygon 宣布推出基於zk-STARKs 的擴容解決方案Miden。這個項目由曾經主導研發了Winterfell 技術的Facebook 前核心零知識證明技術研究員領導。
Polygon Miden 是一個基於STARK 的zk rollup。 Polygon Miden的特色是它旨在解決r ollup很難支持任意邏輯和交易的挑戰。 rollup 通過打包交易來減少鏈上數據存儲,可以減少擁塞並降低交易費用,但很難支持交易包中的某個任意交易的驗證,影響了它驗證所有鏈下交易的能力。 Polygon Miden 通過使用Miden VM(虛擬機)來解決這個當今zk rollup 的最大難題之一。
Polygon Miden 框架的核心組件有兩個:Distaff VM 和Winterfell。
Distaff VM 是一個zk-EVM。每當在zk-VM 中執行程序時,都會生成zk 執行證明(zk-proof of execution)以驗證程序是否正確運行,而無需實際運行該程序。 Distaff 是一個基於STARK 的虛擬機。
對於在Distaff VM 上執行的任何程序,都會自動生成基於STARK 的執行證明。然後,任何人都可以使用這個證明來驗證程序是否正確執行,而無需重新執行程序,甚至不需要知道程序是什麼。
Miden VM 就採用了Distaff VM,並為其添加一個更有效的證明系統——Winterfell。 Winterfell 是一個功能齊全的多線程STARK 證明器和驗證器,用於任意計算。本質上是性能更高的最新版本的STARK 證明。
一旦開發完成,任何項目都可以在這個zk-rollup 之上部署智能合約。
其他項目不同之處在於,Miden 生成STARK 證明。儘管使用STARK 證明更貴,但它相對要更安全。 Miden 創始人還計劃進一步研究遞歸STARK 證明,來降低其價格。
1、Miden 的架構
- 交易首先會分發送給Miden 的執行節點;
- 這些執行節點一次將5000 筆交易捆綁到區塊中,並生成一個STARK 證明;
- 每200 筆交易捆綁的區塊生成一個STARK 證明,證明交易的有效性;
- 最後將最終STARK 證明結果是上傳到L1 以太坊來達成共識和確定性。
2、 Miden VM的亮點:
- 對開發人員友好: Miden 的目標是讓開發人員甚至無需學習任何有關密碼學或zk 證明的知識,即可在此zkVM 之上運行智能合約。
- 支持多種編程語言:團隊正在努力增加對多種編程語言的支持,但同時保證Solidity 優先。
- 以安全為中心:通過zk 技術使Miden VM 比EVM 本身更安全。
- 以隱私為重點:雖然這不是現在的重點,但Miden 團隊在路線圖部署了相關開發計劃。
據官網公佈的信息,Miden 預計於2023 年第一季度推出。
總結:
最後,我們再簡單快速對比一下Polygon 的四種zk 擴容方案:
Polygon Zero 開發了一種基於SNARK 的遞歸證明系統Plonky2,這一技術能在Mac-Book Pro 上以小於170 毫秒的速度生成遞歸證明。在如此高效、快速的Plonky2 證明系統上,Polygon Zero 將最終開發最具可擴展性的zkEVM。
Hermez 開發的zk rollup 的特點是在交易過程中通過拍賣選擇協調者,競標成功的協調者為了盈利,會在單位時間內盡可能地進行交易,所以這一競爭機制會帶來交易上的高效。此外,Hermez 也在開發zkEVM,且同時採用了SNARK 和STARK 兩種ZKP 方案,力求兩全其美。
而Nightfall 要更特殊一些,和其他zk 解決方案最不同的一點是,Nightfall 是以隱私為重點的rollup,他瞄準的客戶是企業。此外,Nightfall 有效地將Optimistic Rollup 的主幹概念與ZK-Rollups 中常用的零知識(ZK) 密碼學相結合,從而實現了可擴展性和隱私性的融合。
Miden 最核心的產品是Miden VM,和其他rollup 不同,它採用較為冷門的STARK 證明系統來建設虛擬機,旨在解決rollup 很難支持任意邏輯和交易的挑戰,提高驗證所有鏈下交易的能力。
目前,四個方案多處於開發和測試階段,都將於今年或明年正式上線。隨著前述新zk 解決方案的投入使用,Layer2 將很大程度解決此前技術方案落後的質疑,並在主流Layer2 解決方案中佔有一席之地,為加密用戶帶來更多選擇空間。