两全其美的 zk rollup 预共识机制

雍和比特币 1）太长不看：本文概述了一种预一致机制，能够完成即时结局性并削减验证 gas 本钱，一起不影响 zkRollup 的即时资金退出。2）布景和动机：在承诺区间满足短（如 10 分钟）的情况下，zkRollup 能够完成即时结局性。在这个计划中，聚合者的信赖危险会随区间时刻添加而添加，完成结局性的本钱（假如是 Groth16 算法，每个承诺的验证 gas 本钱超越 20 万 gas）会随区间时刻延伸而下降。首要阐明 zkRollup 的配对验证本钱超越 20 万 gas（价值 100 至 500 美元）。也便是说，在 zkRollup 的每个承诺区间期内，聚合者都需求花费这么多 gas 来验证并敲定承诺。咱们不能疏忽这一本钱，由于 zkRollup 的承诺区间很短。咱们需求承诺来完成即时退出的结局性。只需承诺区间很短，且歹意聚合者回滚买卖的积极性不高，咱们就能够完成即时结局性（经济结局性，零承认买卖）。虽然咱们能够运用递归零常识证明和高效的证明核算体系来聚合多个买卖，咱们也很难改动承诺区间。假如咱们盲目延伸承诺区间，就会影响安全性。然后，咱们需求考虑如安在 zkRollup 中完成安全的即时结局性和较长的验证区间。3）办法：聚合者的运转本钱源自合约上零常识证明验证的 gas 本钱高且承诺区间短。因而，咱们能够在不影响安全性和可用性的情况下延伸验证区间。3.1）第一步：越过零常识证明配对验证首要，咱们最简略想到的处理计划便是越过配对核算，并引进针对承诺的简略诈骗证明。聚合者向合约提交证明或验证 zkRollup 承诺所需的任何东西，但这时不履行配对核算，也就不需求付出 20 万 gas。一段时刻往后，这个承诺就会得到验证；这个承诺中的每个状况将成为下一个承诺的公共输入。聚合者需求确定一些以太坊来鼓励验证者。一旦验证者发现诈骗行为，聚合者就会遭到赏罚。承诺便是公共输入、零常识证明数据、上一个状况根、下一个状况根、买卖哈希和聚合者地址这几项的哈希值。原像由链上事情供给，承诺保存在合约存储内。这种办法具有很大的优势。每个人都能够成为瞭望塔，等同于 Optimistic Rollup 中的“验证者”，无需运转全节点或进行任何特别的起步设置。数据可得性问题不会产生，由于验证或履行诈骗证明所需的全部数据都在链上宣布的事情中。履行诈骗证明时，咱们不需求 Layer 2 买卖数据及买卖成果，由于这些数据全都包括在了零常识证明的公共输入和证明中。假如歹意聚合者提交了歹意默克尔根，并抛弃了一切买卖数据和默克尔树数据，咱们不需求运转全节点来进行诈骗证明。咱们只需查看零常识证明数据，并履行配对验证函数，即可发现这类歹意行为。可是，上述办法存在安全性问题。假如 Layer 1 上产生 51% 进犯，将歹意默克尔根合法化，咱们很难阻挠。由于 51% 进犯的履行本钱随底层区块链的出块时刻添加而添加，咱们需求满足长的验证期限，才干有用进步 51% 进犯的难度。抱负的验证期限是 7 天，由于 ORU 的退出期限也是 7 天，这能够依据挖矿本钱和实践的进犯奖赏核算得到。在这种情况下，咱们没有理由舍 ORU 而取上述计划。3.2）第二步：无需零常识证明验证的预一致承诺，经过递归零常识证明配对完成结局性咱们能够经过以下办法处理上述安全性问题。咱们将这个没有经过零常识证明验证的承诺视为预一致。预一致会经过零常识证明验证约束结局性。(consensus commit ) =gt; (pre-consensus commit ) =gt; (pre-consensus commit ) =gt; …. =gt; (pre-consensus commit ) =gt; (consensus commit )一切预一致承诺都会经过配对来约束一致。因而，Layer 2 用户能够享用安全的即时买卖结局性。咱们需求运用带有递归零常识证明的一切预一致承诺来验证一致承诺。这里有两个电路：预一致电路和递归电路。预一致电路包括选用 zkRollup 计划的 dApp 的逻辑。递归电路只需求从 Layer 1 中获取预一致数据作为公共输入。递归零常识证明能够用来对一段时刻内的预一致进行水平兼并：与此一起，它也能够用来将很多买卖笔直聚合到预一致承诺中。假如说任何虚伪的预一致承诺都会影响带有配对的一致验证，咱们总是能够经过零常识证明配对其进行诈骗证明。一旦证明成功，聚合者就会运用零常识证明验证者函数将该承诺删去，然后重新开始进行买卖聚兼并创立预一致承诺。假如急的话，财物持有者能够花 20 万 gas 经过预一致来达到一致，然后就能够当即退出。（当然，他们也能够等候聚合者来达到一致。）正如“第一步”中说到的那样，他们不需求任何特别设置，即可完成一致结局性，由于一切输入都已聚合，并且能够经过链上事情搜索到。不管验证多少预一致承诺证明，递归验证的 gas 本钱都不会添加，由于这些证明将被哈希到条目哈希中。51% 进犯者无法敲定歹意默克尔根，由于每个根终究都会经过由 zk电路完成的合约代码逻辑在链上进行验证。4）总结：这种带有诈骗证明的预一致协议及相关数据可拜访性能够让 zkRollup 具有较长的承诺区间（如 6 小时）。这种办法能够很多节 验证核算所需的 gas 本钱。