摘要:免責(zé)聲明:本文旨在傳遞更多市場(chǎng)信息,不構(gòu)成任何投資建議。文章僅代表作者觀點(diǎn),不代表MarsBit官方立場(chǎng)。小編:記得關(guān)注哦來(lái)源:Ray原文標(biāo)題:ArkStream Capital: 詳解 zk 在擴(kuò)容和隱私保護(hù)賽道的投資機(jī)會(huì)零知識(shí)證明和擴(kuò)容...
免責(zé)聲明:本文旨在傳遞更多市場(chǎng)信息,不構(gòu)成任何投資建議。文章僅代表作者觀點(diǎn),不代表MarsBit官方立場(chǎng)。
小編:記得關(guān)注哦
來(lái)源:Ray
原文標(biāo)題:ArkStream Capital: 詳解 zk 在擴(kuò)容和隱私保護(hù)賽道的投資機(jī)會(huì)
零知識(shí)證明和擴(kuò)容
目前來(lái)看,區(qū)塊鏈所有設(shè)計(jì)的出發(fā)點(diǎn),本質(zhì)都是圍繞區(qū)塊。交易構(gòu)成區(qū)塊數(shù)據(jù),共識(shí)機(jī)制決定區(qū)塊生成、驗(yàn)證和順序。按照交易的角度思考,交易經(jīng)過(guò)用戶私鑰簽名發(fā)起,經(jīng)由網(wǎng)絡(luò)廣播,進(jìn)入全網(wǎng)交易內(nèi)存池,區(qū)塊構(gòu)造者/MEV搜索者/定序器挑選交易,提交交易列表給區(qū)塊構(gòu)造者,區(qū)塊構(gòu)造者/區(qū)塊生產(chǎn)者向網(wǎng)絡(luò)提交區(qū)塊,區(qū)塊驗(yàn)證者驗(yàn)證區(qū)塊合法有效以后確認(rèn)上鏈。按照區(qū)塊的角度思考,區(qū)塊要完成構(gòu)造、提交上鏈和上鏈確認(rèn)三個(gè)步驟。去中心化的設(shè)計(jì)機(jī)制,會(huì)為交易或區(qū)塊的每個(gè)環(huán)節(jié)增加全網(wǎng)成本和安全性,以此實(shí)現(xiàn)機(jī)器信任。合法的最長(zhǎng)區(qū)塊鏈,我們稱(chēng)之為主鏈/一層網(wǎng)絡(luò)/基層鏈/Layer1。
在軟件設(shè)計(jì)開(kāi)發(fā)領(lǐng)域,設(shè)計(jì)模式有單一職責(zé)、設(shè)計(jì)架構(gòu)有分層架構(gòu),設(shè)計(jì)原則有高內(nèi)聚低耦合,這一切的理論和指導(dǎo)為的都是以模塊化的思想重構(gòu)軟件。區(qū)塊鏈的模塊化,可以從數(shù)據(jù)可用(數(shù)據(jù)層)、邏輯執(zhí)行(執(zhí)行層)和共識(shí)機(jī)制(共識(shí)層)三個(gè)主要層面進(jìn)行劃分。如果將擴(kuò)容對(duì)應(yīng)到這三個(gè)層面,那么,分別會(huì)有數(shù)據(jù)層擴(kuò)容、執(zhí)行層擴(kuò)容和共識(shí)層擴(kuò)容。為了簡(jiǎn)化,我們按照主鏈變動(dòng)與否,分為鏈上擴(kuò)容和鏈下擴(kuò)容。鏈上擴(kuò)容方案有增加區(qū)塊大小、分片、調(diào)整共識(shí)機(jī)制。鏈下擴(kuò)容方案有隔離見(jiàn)證、狀態(tài)通道、側(cè)鏈、Plasma、Rollup。DeFi的爆發(fā)和NFT 的盛行讓以太坊網(wǎng)絡(luò)的擴(kuò)容需求日益激增,2021年12月,Vitalik 發(fā)布了《Endgame》,描繪了以太坊的未來(lái)將會(huì)是中心化出塊、去中心化驗(yàn)證以及多Rollup并存的。在 Vitalik的大力支持下,Rollup成為了以太坊鏈下擴(kuò)容的主流方案。在眾多的Rollup細(xì)分方案中,按照技術(shù)類(lèi)型,可分為Optimisitc Rollup(ORU)和ZK Rollup(ZKR),他們之間主要的區(qū)別是交易有效性保證方案不一樣,Optimistic采用博弈的欺詐證明,ZK Rollup采用數(shù)學(xué)的零知識(shí)證明。
不管是Optimistic Rollup、還是ZK Rollup,它們都要在繼承以太坊的安全性和數(shù)據(jù)可用性前提下,處理大量的交易和支持智能合約的通用計(jì)算。Optimistic Rollup是將大量的交易數(shù)據(jù)進(jìn)行壓縮,然后把壓縮以后的交易數(shù)據(jù)和狀態(tài)根提交到以太坊。另外,Optimistic Rollup網(wǎng)絡(luò)設(shè)有挑戰(zhàn)者的角色,它們可以對(duì)提交到以太坊的數(shù)據(jù)進(jìn)行欺詐證明,然后再經(jīng)由Optimistic Rollup網(wǎng)絡(luò)共識(shí)回滾無(wú)效的交易。至于ZK Rollup,批量處理交易數(shù)據(jù)的時(shí)候,使用了零知識(shí)證明技術(shù),在保證了交易數(shù)據(jù)有效性的基礎(chǔ)上,直接將證明提交到以太坊,即時(shí)達(dá)成狀態(tài)的最終一致性。在智能合約通用計(jì)算方面,Optimistic Rollup是直接延用以太坊EVM,而ZK Rollup的團(tuán)隊(duì)要么是研發(fā)zkVM、要么是采取zkEVM的道路,所以,dApp的項(xiàng)目可以在Optimistic Rollup無(wú)縫遷移,而在ZK Rollup網(wǎng)絡(luò)大部分都需要做可大可小的改動(dòng)。
不同種類(lèi)的Rollup,設(shè)有特別的網(wǎng)絡(luò)參與者,ORU有提出欺詐證明的挑戰(zhàn)者,ZKR有進(jìn)行計(jì)算和聚合零知識(shí)證明的計(jì)算證明者和聚合者。Layer2 通過(guò)將二層網(wǎng)絡(luò)的交易批量處理(Rollup)以后,提交到一層網(wǎng)絡(luò)特定的智能合約,由此獲得一層網(wǎng)絡(luò)的安全性和數(shù)據(jù)可用性。此時(shí),一層網(wǎng)絡(luò)的去中心化程度、區(qū)塊驗(yàn)證機(jī)制都會(huì)成為二層網(wǎng)絡(luò)交易有效性的背書(shū)。
在Layer2網(wǎng)絡(luò)技術(shù)方案和架構(gòu),相比于采用博弈模型的ORU,采用零知識(shí)證明,能進(jìn)行數(shù)學(xué)驗(yàn)證的ZKR將更有技術(shù)優(yōu)勢(shì),只是后者發(fā)展相對(duì)緩慢,需要更多的時(shí)間,因此也有大量的項(xiàng)目在這個(gè)領(lǐng)域進(jìn)行前瞻式的探索。接下來(lái),我們將探討多個(gè)ZKR相關(guān)項(xiàng)目。
Starkware:基于自研STARK協(xié)議,發(fā)明Cairo電路編程語(yǔ)言及其zkVM的技術(shù)服務(wù)商。產(chǎn)品線有專(zhuān)用型的StarkEx和通用型的StarkNet。StarkEx定位是服務(wù)特定應(yīng)用需求的二層網(wǎng)絡(luò)擴(kuò)容引擎,已經(jīng)服務(wù)不少客戶,例如Sorare、Immutable、dYdX (V3)、DeversiFi(rhino.fi)、Celer等,現(xiàn)在也有超過(guò)6億美金的TVL、2億多的交易量等業(yè)務(wù)數(shù)據(jù)。
StarkNet定位是通用的、可組合的、去中心化的ZKR。整個(gè)StarkNet的核心參與者:StarkNet OS、STARK Prover和Blockchain Dispatcher。StarkNet OS類(lèi)似于EVM在以太坊的角色,承擔(dān)交易排序和交易零知識(shí)證明計(jì)算任務(wù)分派。STARK Prover是交易零知識(shí)證明的證明方,負(fù)責(zé)計(jì)算證明。Blockchain Dispatcher是L1/L2網(wǎng)絡(luò)之間通信的橋梁。
Figure1: StarkNet Intro
Figure2: StarkNet Messaging Mechanism L2->L1
StarkNet官方網(wǎng)關(guān)StarkGate已經(jīng)發(fā)布上線,會(huì)不定期開(kāi)放限制額度的存取款體驗(yàn),現(xiàn)在橋接的資產(chǎn)總數(shù)大概為775個(gè)ETH 。Cairo語(yǔ)言風(fēng)格偏向Golang和Python之間,新增電路編程語(yǔ)言的原生類(lèi)型:Field Element(felt),開(kāi)發(fā)通用庫(kù)偏少,主要是官方提供。不支持zkEVM,也即不支持Solidity代碼的直接編譯部署,需要先通過(guò)Warp轉(zhuǎn)譯器轉(zhuǎn)成Cairo代碼再做部署,Solidity部分特性明確不支持,其中影響比較大的是SHA256。StarkNet的生態(tài)項(xiàng)目涵蓋錢(qián)包、DEX、DAO 等多個(gè)賽道,以原生項(xiàng)目為主,和以太坊dApp項(xiàng)目重合度較低,具體可以參考官方生態(tài)網(wǎng)站。從區(qū)塊瀏覽器可以看到,目前沒(méi)有頻繁的交易數(shù)量,每個(gè)Block的平均交易數(shù)是115筆左右。
StarkNet發(fā)布了多次Alpha版、當(dāng)前處于Constellations階段,正在研究和實(shí)現(xiàn)去中心化的StarkNet OS和StarkNet Prover。
Figure3: StarkNet Decentralization Roadmap
zkSync :基于PLONK協(xié)議(1.0版本)和自研無(wú)需可信設(shè)置的、透明的RedShift協(xié)議(2.0版本/未來(lái)),支持Solidity/Vyper編程的zkEVM的ZKR。zkSync 1.0之前推出Zinc電路編程語(yǔ)言和對(duì)應(yīng)的SyncVM(zkVM),現(xiàn)在基本停滯,改為支持Solidity/Vyper編程的zkEVM,也即zkSync 2.0。現(xiàn)在處于zkSync 2.0測(cè)試網(wǎng)迭代階段,未來(lái)100天將會(huì)發(fā)布主網(wǎng)和實(shí)現(xiàn)zkEVM開(kāi)源。除了數(shù)據(jù)上鏈的zkRollup方案,zkSync也推出數(shù)據(jù)不上鏈的zkPorter方案。zkSync 2.0用Operator操作者和System Contracts系統(tǒng)合約的設(shè)計(jì)完成L2到L1合約部署功能、L2/L1通信功能等。當(dāng)前的Operator操作者由zkSync團(tuán)隊(duì)運(yùn)行,未來(lái)將進(jìn)行去中心化改造。由于zkSync宣稱(chēng)EVM字節(jié)碼的兼容性,且作為社區(qū)驅(qū)動(dòng)型項(xiàng)目,zkSync獲得不少以太坊知名dApp項(xiàng)目方支持,例如1inch 、Yearn Finance、Aave 、Chainlink 和The Graph等。zkSync的生態(tài)項(xiàng)目可以通過(guò)官方生態(tài)網(wǎng)站查詢(xún),Live狀態(tài)的有錢(qián)包、衍生品交易所和橋等。從區(qū)塊瀏覽器可以看到,提交確認(rèn)的區(qū)塊有接近10萬(wàn),總交易數(shù)超過(guò)1千萬(wàn),平均每個(gè)區(qū)塊交易數(shù)為100筆。zkSync 2.0測(cè)試網(wǎng)運(yùn)行約有半年,一直在進(jìn)行zkEVM的實(shí)現(xiàn)和以太坊JSON-RPC的兼容。zkSync的2.0版本可能是最快上線的兼容zkEVM的ZK Rollup,待其上線后,將很大程度上降低用戶門(mén)檻,進(jìn)一步吸引用戶使用該L2網(wǎng)絡(luò)。
Figure4: zkSync 2.0 100 Days to Mainnet
Scroll:原生zkEVM方案、集成ZK各項(xiàng)前研技術(shù)(多項(xiàng)式承諾、Lookup Table、遞歸證明)和GPU/ASIC硬件加速的ZKR。Scroll的L2網(wǎng)絡(luò)由Node(Replayer、Sequencer、Coordinator)和Roller組成,以及對(duì)應(yīng)的L1上面的Bridge和Rollup智能合約。推薦大家直接閱讀官方發(fā)表的架構(gòu)講解文章,非常通俗易懂。這里我們簡(jiǎn)單說(shuō)說(shuō):Sequencer接收L2交易,處理L2交易列表,構(gòu)造區(qū)塊和狀態(tài)根,Coordinator監(jiān)控區(qū)塊和分發(fā)區(qū)塊的執(zhí)行棧給Roller,Roller計(jì)算zkEVM的電路和生成聚合電路證明,再返回給Coordinator,Coordinator通過(guò)Replayer提交到L1的Rollup合約,Replayer也承擔(dān)L1/L2通信橋的功能。由于Scroll和以太坊基金會(huì)PSE(Privacy & Scaling Explorations)共同在隱私和擴(kuò)容問(wèn)題研究一年多時(shí)間,Scroll的zkEVM方案非常原生。從Scroll公開(kāi)的代碼倉(cāng)可以看出,zkEVM方案是與PSE一致聯(lián)動(dòng)的,而L2的Node會(huì)基于以太坊Go-Ethereum(Geth)實(shí)現(xiàn)。近期Scroll有Pre-alpha測(cè)試網(wǎng)的注冊(cè)。
Figure5: Scroll Architecture
Figure6: Scroll Workflow
Polygon (MATIC):最開(kāi)始提出的時(shí)候是以太坊的側(cè)鏈,在轉(zhuǎn)變策略后,Polygon并購(gòu)了多個(gè)L2解決方案,開(kāi)始進(jìn)行大范圍的擴(kuò)容探索,這里我們將對(duì)其中幾個(gè)涉及zk的L2方案進(jìn)行簡(jiǎn)單的介紹。
Figure7: Polygon Scaling Solutions
Polygon zkEVM(Hermez ):Hermez 1.0采用去中心化競(jìng)價(jià)模型的PoD(Proof of Donation)共識(shí)機(jī)制以及ZKR做的主打支付功能L2,主網(wǎng)在21年3月上線,區(qū)塊瀏覽器,斷斷續(xù)續(xù)有批量產(chǎn)生的交易。Hermez 2.0調(diào)整為zkEVM方案的L2,共識(shí)機(jī)制升級(jí)為PoE(Proof of Efficiency)。Hermez 2.0的L2架構(gòu)圖如下,可以看出和Scroll的架構(gòu)很類(lèi)似,我們就不再?gòu)?fù)述L2各方角色交互的基本流程和作用。在zkEVM發(fā)揮核心作用的是zkProver(同比Scroll的Roller),我們一塊看看zkProver的內(nèi)部組成。zkEVM以多項(xiàng)式形式表達(dá)狀態(tài)流轉(zhuǎn)(參考上一篇文章的虛擬機(jī)部分,多項(xiàng)式形式/約束直接理解為零知識(shí)證明的電路)。
Figure8: Skeletal Overview of zkEVM
zkProver內(nèi)部包含Main State Machine Executor(Executor), Secondary State Machines(STARK Recursion Component), STARK Builder(CIRCOM Library)和SNARK Builder(zk-SNARK Prover),括號(hào)為另一種理解方式,參考圖。
1. Main State Machine Executor:是將交易的EVM字節(jié)碼用zkASM(zero-knowledge Assembly language)進(jìn)行解釋和設(shè)置多項(xiàng)式約束,與此同時(shí), Polynomial Identity Language(PIL)用于編碼多項(xiàng)式約束。
2. Secondary State Machines:將zkEVM的交易對(duì)應(yīng)的狀態(tài)流轉(zhuǎn)進(jìn)行拆分,用對(duì)應(yīng)多個(gè)狀態(tài)機(jī)去計(jì)算和驗(yàn)證交易的正確性。
3. STARK Proof Buidler:計(jì)算生成符合STARK多項(xiàng)式約束的證明(計(jì)算速度快)。
4. SNARK Proof Builder:計(jì)算STARK的SNARK證明(縮小證明的大小),PLONK/Groth 16暫定。
Figure9: A Simplified zkProver Diagram
Figure10: Simplified Data Flow in the zkProver
至于Hermez zkASM/PIL等介紹,都可以在官方資料文檔看到,很齊全,并且各個(gè)功能模塊的代碼倉(cāng)已經(jīng)開(kāi)源且有持續(xù)維護(hù)。
Figure11: Polygon zkEVM Open Source
概括而言,Hermez 2.0是結(jié)合Plonkup Lookup、Starkware的STARK協(xié)議,采用新匯編方案實(shí)現(xiàn)的zkEVM型、PoE共識(shí)去中心化的L2。計(jì)劃2022年Q3發(fā)布測(cè)試網(wǎng),2023年發(fā)布主網(wǎng)。
Polygon Zero:基于Plonk協(xié)議和FRI技術(shù)的自研Plonky2,zkEVM兼容的L2。Polygon花費(fèi)4億美元收購(gòu)的Mir項(xiàng)目更名而來(lái)。Zero的資料主要是在Mir的官網(wǎng)和Polygon的博客查看。Zero宣稱(chēng)的特點(diǎn)是支持遞歸、高效快速、證明大小很小。項(xiàng)目代碼倉(cāng)一直在更新,且其中包含evm的模塊。由于資料較少且時(shí)間久遠(yuǎn),暫時(shí)不清楚Zero未來(lái)的路線,目前來(lái)看,Plonky2的架構(gòu)可能更偏向于技術(shù)服務(wù)型的框架,近期宣布開(kāi)源Plonky2。
Figure12: Polygon Zero Processing A Block
Polygon Miden:基于STARK協(xié)議,支持多語(yǔ)言開(kāi)發(fā)(含Solidity)、兼容EVM,推出電路編程語(yǔ)言Miden Assembly匯編及其Miden VM的L2。Miden VM是Distaff VM的進(jìn)化版,集成了Facebook 開(kāi)源的證明系統(tǒng)庫(kù)Winterfell。從官網(wǎng)的架構(gòu)圖,Miden有Operator的設(shè)計(jì),但這部分內(nèi)容、EVM兼容和L2路線和進(jìn)展都沒(méi)找到任何官方資料文檔。Miden現(xiàn)在的代碼倉(cāng)以VM為主,兼容EVM部分也沒(méi)有看到說(shuō)明和實(shí)現(xiàn)方案。
Figure13: Polygon Miden Intro
Polygon Nightfall:主打隱私的、混合了Optimistic和ZK兩種Rollup方式的企業(yè)級(jí)L2。本質(zhì)依然是ORU的L2,但是結(jié)合了ZKP的技術(shù)加強(qiáng)隱私保護(hù)。Nightfall是由安永公司創(chuàng)建,與Polygon合作是為了在企業(yè)級(jí)區(qū)塊鏈方面進(jìn)行更多的探索。主網(wǎng)計(jì)劃在2022年發(fā)布。
Figure14: Polygon Nightfall Intro
Mina:除了L2,還有一些項(xiàng)目基于ZKP對(duì)L1進(jìn)行擴(kuò)容上的探索,比如Mina,一個(gè)基于遞歸SNARK開(kāi)發(fā)的輕量級(jí)區(qū)塊鏈(L1)。整個(gè)區(qū)塊鏈網(wǎng)絡(luò)維護(hù)最新區(qū)塊的SNARK證明即可保證整個(gè)區(qū)塊鏈的正確性,大小維持在22KB。網(wǎng)絡(luò)有維護(hù)完整數(shù)據(jù)的Archive Node,執(zhí)行共識(shí)機(jī)制生產(chǎn)區(qū)塊的出塊者和處理零知識(shí)證明計(jì)算的SNARK生產(chǎn)者。Mina提出用TypeScript編寫(xiě)的zkApp,如果要實(shí)現(xiàn)對(duì)應(yīng)zkApp業(yè)務(wù)邏輯,需要開(kāi)發(fā)者實(shí)現(xiàn)內(nèi)部的Prover和Verifier函數(shù)。Mina主網(wǎng)在2021年3月發(fā)布上線,網(wǎng)絡(luò)架構(gòu)和L2的批量交易類(lèi)似,Archive Node相當(dāng)于數(shù)據(jù)可用層的維護(hù)者,出塊者相當(dāng)于定序器,SNARK生產(chǎn)者類(lèi)似于Scroll的Roller、Hermez 2.0的zkProver角色,但是zkApp的應(yīng)用定位比較局限,既沒(méi)有zkVM的通用性,也不支持zkEVM。后續(xù)可以繼續(xù)跟進(jìn)Mina的zkApp迭代進(jìn)展。
綜上,ZK在擴(kuò)容領(lǐng)域的技術(shù)發(fā)展依然在如火如荼進(jìn)行中,尤其是zkEVM的實(shí)現(xiàn),L2網(wǎng)絡(luò)架構(gòu)的實(shí)現(xiàn)和去中心化改造。從ETHGasstation近30天前二十燃燒Gas合約大戶來(lái)看,主要是Opensea、DeversiFi、Uniswap 、USDT 、USDC 、Metamask Swap、Axie Infinity 、NFT Worlds等項(xiàng)目。L2要想得到廣泛應(yīng)用,必須獲得這些DEX、NFT的MarketPlace、GameFi,以及金融衍生品等具有高頻交易場(chǎng)景的項(xiàng)目支持。盡管部分L2項(xiàng)目的生態(tài)處于領(lǐng)先,但是,zkEVM的落地,很有可能實(shí)現(xiàn)彎道超車(chē),導(dǎo)致L2賽道的重新洗牌。zkEVM的落地有利于吸引L1現(xiàn)有項(xiàng)目的遷移,很多Web3開(kāi)發(fā)者也正摩拳擦掌,期待在以太坊網(wǎng)絡(luò)上構(gòu)建更大規(guī)模、更高頻交互的顛覆性產(chǎn)品。
零知識(shí)證明和隱私
如果說(shuō)Web3代表著個(gè)體主權(quán)的覺(jué)醒,那么,隱私將是Web3不可或缺的一環(huán)。隨著行業(yè)的發(fā)展,DeFi的可組合性和NFT給社交帶來(lái)的變化,都讓我們?cè)桨l(fā)感受到了資產(chǎn)所有權(quán)相對(duì)于中心化托管的安全和便利,而鏈上完全透明的信息則進(jìn)一步激發(fā)了我們對(duì)隱私保護(hù)的需求。但面對(duì)各個(gè)國(guó)家不斷升級(jí)的監(jiān)管政策,隱私保護(hù)怎么做,做到什么程度,則是一個(gè)值得討論的問(wèn)題。
近期,美國(guó)財(cái)政部出臺(tái)政策直接對(duì)以太坊生態(tài)的隱私支付平臺(tái)Tornado Cash進(jìn)行制裁,進(jìn)而導(dǎo)致與Tornado Cash交互過(guò)的地址被USDC發(fā)行商Circle拉入黑名單,以及Tornado網(wǎng)站頁(yè)面、代碼倉(cāng)Github、官方電報(bào)、官方Discord等一并關(guān)停。我們認(rèn)為,人人都有保護(hù)自己隱私的訴求和權(quán)力,隱私產(chǎn)品的濫用并不意味著它們自身帶有原罪,隱私產(chǎn)品的設(shè)計(jì)初衷是在于保護(hù)用戶常規(guī)的轉(zhuǎn)賬支付隱私。不可否認(rèn),不法分子/黑客對(duì)其的使用的確帶來(lái)很多問(wèn)題,但關(guān)鍵并不是取締隱私產(chǎn)品,而是努力尋找辦法兼顧隱私和合法合規(guī),例如ZCash對(duì)于全球AML/CFT反洗錢(qián)標(biāo)準(zhǔn)的兼容嘗試以及Tornado Cash提供的資產(chǎn)合規(guī)證明工具。
現(xiàn)在加密行業(yè)里涉及的隱私實(shí)現(xiàn)方案,因?yàn)楦髯缘氖褂脠?chǎng)景不同(隱私支付、隱私交易和隱私通用計(jì)算),選用的方案也有不少差異,主要涉及到的有以下6類(lèi):
1,混幣CoinJoin/混幣器Mixer:主要是用于隱匿支付,基于UTXO模型,本質(zhì)是創(chuàng)作多筆相同的輸入和輸出的代幣轉(zhuǎn)賬來(lái)達(dá)到隱匿支付。可以在一定程度實(shí)現(xiàn)隱匿支付。不過(guò),如果真要地址分析和控制,大不了是控制全部輸出的取款地址即可。為了克服混幣方案的問(wèn)題,達(dá)世幣是提出隱私支付層的概念,讓隱私支付層參與存款地址的混合,以及減少存取地址之間的關(guān)聯(lián)。Tornado則是結(jié)合ZKP切斷存取地址之間的關(guān)聯(lián)。
2,環(huán)簽名:多個(gè)地址組成環(huán),環(huán)內(nèi)某個(gè)地址的簽名可以不依賴(lài)其他地址即觸發(fā)環(huán)簽名,以及實(shí)現(xiàn)環(huán)內(nèi)地址簽名的隱私性。門(mén)羅幣最早的方案。
3,同態(tài)加密:直接對(duì)密文進(jìn)行計(jì)算和輸出結(jié)果。我們認(rèn)為該項(xiàng)技術(shù)屬于前沿型技術(shù),和零知識(shí)證明類(lèi)似,但是對(duì)于密文操作的開(kāi)銷(xiāo)非常大。現(xiàn)在在這個(gè)技術(shù)方向探索的有Polychain Capital 和Coinbase Ventures投資的Sunscreen。
4,安全多方計(jì)算(MPC):在沒(méi)有可信第三方參與的前提下,讓多個(gè)參與方可以安全不泄露地進(jìn)行計(jì)算。萬(wàn)向區(qū)塊鏈董事長(zhǎng)肖風(fēng)博士發(fā)起的PlatON在這方面有比較長(zhǎng)時(shí)間的研究使用。
5,TEE(Trusted Execution Environment):可信執(zhí)行環(huán)境,類(lèi)似于黑盒子的概念,將輸入傳入TEE,然后TEE執(zhí)行出結(jié)果以后,加密輸出。現(xiàn)有使用該項(xiàng)技術(shù)的主要是Oasis和Secret Network。
6,ZKP:利用零知識(shí)證明技術(shù)實(shí)現(xiàn)隱私支付和隱私通用計(jì)算。隱私支付的新項(xiàng)目有Iron Fish,PoW網(wǎng)絡(luò)+UTXO模型+Groth16的zk-SNARK,和ZCash的設(shè)計(jì)很相似,沒(méi)有提到是否支持隱私編程。隱私通用計(jì)算項(xiàng)目最出名的是Aleo、Aztec和Espresso。
講完基本的實(shí)現(xiàn)方案,我們挑選一些涉及到零知識(shí)證明的項(xiàng)目展開(kāi)學(xué)習(xí)和分析。
Tornado Cash:我們經(jīng)常看到的介紹是,用戶向Tornado存款,取得存款憑證,然后在取款的時(shí)候,任意用戶(地址)使用存款憑證即可取出資金,如此實(shí)現(xiàn)的隱私支付交易。這樣的說(shuō)明是從使用體驗(yàn)角度出發(fā)的,但是,并沒(méi)有深入到Tornado的內(nèi)核。Tornado實(shí)現(xiàn)隱私的技術(shù)有兩點(diǎn):混淆資金進(jìn)出的整存整取資金池,切斷存取地址關(guān)聯(lián)的ZKP。
混幣池相對(duì)容易理解,所以,我們將分析重心放在ZKP。由于現(xiàn)在Tornado的前端網(wǎng)站和代碼倉(cāng)都關(guān)停,難以找到官方的資料,所以,我們直接從鏈上交易和合約代碼進(jìn)行分析,用戶實(shí)際與Tornado要做的操作只有兩種:存款和取款。這都是通過(guò)Tornado Cash的路由合約進(jìn)行,路由合約會(huì)調(diào)用具體存取金額(1ETH/10ETH等)的合約。存款操作Tornado返回用戶Note,向鏈上提交Commitment。取款操作向鏈上提交Proof、Root、NullifierHash。這幾個(gè)參數(shù),它們由Tornado的中心化代碼構(gòu)造生成,是理解ZKP使用的關(guān)鍵。
我們將Tornado類(lèi)比為一個(gè)負(fù)責(zé)存取款的銀行,以太坊類(lèi)比為公開(kāi)的金庫(kù),即可較為容易地理解用戶在Tornado 的操作步驟:
1,存款:用戶填寫(xiě)存款單據(jù),銀行使用單一專(zhuān)門(mén)的保險(xiǎn)箱(Commitment)保管存款單據(jù),并且根據(jù)隨機(jī)編號(hào)生成兩個(gè)密碼,一個(gè)密碼用于給保險(xiǎn)箱上鎖,一個(gè)密碼用于記錄資金的存取狀態(tài),然后,將上鎖的、具有資金存取狀態(tài)的保險(xiǎn)箱放入公開(kāi)金庫(kù)的某個(gè)秘密隨機(jī)位置。銀行將保險(xiǎn)箱、隨機(jī)編號(hào)和保險(xiǎn)箱存放位置信息返回用戶;(Note)
2,取款:用戶把隨機(jī)編號(hào)和保險(xiǎn)箱存放位置告訴銀行,銀行可以通過(guò)計(jì)算得知:保險(xiǎn)箱的秘密隨機(jī)位置(Root),資金的存取狀態(tài)(NullifierHash),以及保險(xiǎn)箱的開(kāi)鎖密碼(Proof)。一切檢查驗(yàn)證無(wú)誤的情況下,完成取款以及更新資金存取狀態(tài);
通過(guò)Mixer混幣器和零知識(shí)證明,Tornado在以太坊主網(wǎng)上實(shí)現(xiàn)了隱私支付的功能,且在發(fā)行代幣后,TVL達(dá)到了10億美金的體量,可見(jiàn)其巨大的影響力和用戶需求。
Figure15: Tornado Cash TVL and MarketCap
Aztec:主打隱私保護(hù)和隱私資產(chǎn)互操作性的zk-Rollup Layer2網(wǎng)絡(luò),采用自主研發(fā)的Plonk協(xié)議,推出了zk.money隱私支付產(chǎn)品,近期推出連接橋Aztec Connect,未來(lái)將會(huì)推出Plonk Rollup的擴(kuò)容二層網(wǎng)絡(luò)。在Plonk Rollup二層網(wǎng)絡(luò)里,將會(huì)推出電路編程語(yǔ)言Noir支持隱私智能合約。Plonk協(xié)議需要進(jìn)行可信設(shè)置,不過(guò),Aztec采用了MPC(多方安全計(jì)算)解決可信設(shè)置。MPC的可信設(shè)置是讓多個(gè)值得信賴(lài)的公眾知名人士共同去背書(shū)。Aztec在2020年1月用點(diǎn)火儀式完成了MPC的可信設(shè)置。產(chǎn)品的迭代路線是逐層推進(jìn)的,從早期的zk.money,到近期的Aztec Connect,以及未來(lái)的Plonk Rollup,Aztec團(tuán)隊(duì)在一步一步地完善自己的產(chǎn)品定位,以及對(duì)應(yīng)Plonk協(xié)議的調(diào)整和優(yōu)化(TurboPlonk、UltraPlonk)。在Aztec 1.0時(shí)期對(duì)于Aztec協(xié)議做了大幅的介紹,現(xiàn)在是Aztec 2.0時(shí)期,官網(wǎng)找不到太多網(wǎng)絡(luò)整體的設(shè)計(jì),所以,我們沿用Aztec 1.0的文檔進(jìn)行學(xué)習(xí)。
zkAsset:隱私資產(chǎn),于EIP1724提出,用于將以太坊公開(kāi)透明的資產(chǎn)轉(zhuǎn)為隱私資產(chǎn),通過(guò)零知識(shí)證明確認(rèn)資產(chǎn)轉(zhuǎn)入Note注冊(cè)表以后會(huì)鑄造對(duì)應(yīng)的zkAsset,類(lèi)似于Secret的Shield資產(chǎn)(類(lèi)似于Tornado Cash的存款過(guò)程,不過(guò),Aztec在鏈上進(jìn)行增加了隱私資產(chǎn)的概念)。
Aztec Cryptography Engine(ACE):將證明分發(fā)給驗(yàn)證和根據(jù)證明驗(yàn)證結(jié)果更新Note注冊(cè)表的狀態(tài)。
各種Validator(Join Split、Bilateral Swap Validator......):驗(yàn)證者工具(類(lèi)似于SDK),可以讓開(kāi)發(fā)者集成做隱私資產(chǎn)的互操作。例如:Join Split可以拆分合并Note。
Figure16: Aztec 1.0 Architecture
在2021年6月上線后,Aztec的TVL峰值一度到達(dá)1400萬(wàn)美金,而現(xiàn)在穩(wěn)定在400萬(wàn)美金左右。相比于Tornado的體量,Layer2的隱私網(wǎng)絡(luò)受眾似乎要小很多,一定程度上可能受制于其更高的門(mén)檻。且受Tornado事件的影響,與以太坊主網(wǎng)產(chǎn)生交互的其他隱私產(chǎn)品也受到了一些牽連, 這可能是日后需要開(kāi)發(fā)者們探討的問(wèn)題。
Aleo:Aleo是為用戶和交易增加隱私功能,同時(shí)兼顧可編程性的新型Layer1區(qū)塊鏈網(wǎng)絡(luò),內(nèi)置的SnarkOS(去中心化的操作系統(tǒng)),類(lèi)似于EVM的角色。提出ZEXE(Zero Knowledge EXEcution)的概念,和TEE的定義很相似,只是用零知識(shí)證明去實(shí)現(xiàn)。具有可選的隱私模型,對(duì)開(kāi)發(fā)者提供一整套的開(kāi)發(fā)工具鏈。Leo語(yǔ)言,Aleo Studio(IDE)、Aleo Package Manager。最新激勵(lì)測(cè)試網(wǎng)從單純的PoW共識(shí)調(diào)整為PoSW(Proof of Succinct Work),將零知識(shí)證明的計(jì)算轉(zhuǎn)移成為出塊的條件。現(xiàn)在在Aleo的區(qū)塊鏈瀏覽器可以查看驗(yàn)證狀態(tài)的轉(zhuǎn)變、以及對(duì)交易記錄進(jìn)行零知識(shí)證明計(jì)算的Proof。
Figure17: The Future of Zero Knowledge with Aleo
Espresso:對(duì)于Aleo和Aztec各自的特點(diǎn)都有所研究和改進(jìn),基于ZK Rollup的L2和可配置資產(chǎn)隱私的L1雙層網(wǎng)絡(luò)。可配置隱私資產(chǎn)允許資產(chǎn)創(chuàng)建者設(shè)置資產(chǎn)的收發(fā)地址、收發(fā)數(shù)量、持有數(shù)量等的隱私查看規(guī)則和資產(chǎn)凍結(jié)規(guī)則。對(duì)于ZEXE的概念提出自己的VERI-ZEXE,對(duì)于Aztec的TurboPlonk和UltraPlonk提出自己優(yōu)化版的PLONK,并將Rust實(shí)現(xiàn)版代碼命名為Jellyfish和開(kāi)源。當(dāng)前,Espresso的L1網(wǎng)絡(luò)正在研發(fā)。可配置資產(chǎn)隱私在以太坊測(cè)試網(wǎng)內(nèi)測(cè),或者可以通過(guò)官網(wǎng)安裝包進(jìn)行本地體驗(yàn)。
Figure18: Espresso Systems Configurable Asset Privacy for Ethereum
Zecrey:雙層網(wǎng)絡(luò),支持多鏈ZKR的L2、以及具有跨鏈 功能和隱私保護(hù)的L1,但是不支持zkEVM/zkVM。L1的隱私是基于BulletProofs協(xié)議改良版(LNCS)/ Sigma協(xié)議的混淆資金池,直接在公鏈層面向用戶提供隱私轉(zhuǎn)賬和隱私交易的功能。L2的ZKR使用的是PLONK協(xié)議。參考官方白皮書(shū)的架構(gòu)圖,有一大部分是L1/L2進(jìn)行ZKR的設(shè)計(jì),我們拿出來(lái)分析學(xué)習(xí)。
Layer-2 Commiter:收集交易和構(gòu)造L2區(qū)塊。
Block Monitor:L2區(qū)塊狀態(tài)更新者。
Prover Network:L2交易R(shí)ollup之后,進(jìn)行ZKP證明的計(jì)算網(wǎng)絡(luò)。
TSS-based Verifier Network:驗(yàn)證者網(wǎng)絡(luò),將收集Prover Network的證明,然后提交到L1的智能合約。
Tx Monitor / Layer-2 State Monitor / Executor:L1/L2的橋。
L2到L1進(jìn)行ZKR的時(shí)序設(shè)計(jì)基本一致,部分角色命名和分工略有不同:
Committer收集交易,構(gòu)造L2區(qū)塊,Prover Network監(jiān)聽(tīng)區(qū)塊,為Committed狀態(tài)的區(qū)塊計(jì)算證明,TSS-based Verifier Network收集證明,將證明提交到L1的智能合約,Block Monitor監(jiān)聽(tīng)L1區(qū)塊打包情況,確認(rèn)后更新L2區(qū)塊狀態(tài)。
Zecrey現(xiàn)在處于測(cè)試網(wǎng)研發(fā)階段,已經(jīng)集成Ethereum、Polygon、NEAR 、Avalanche 和BSC五個(gè)公鏈測(cè)試。從官網(wǎng)路線圖看,2022年Q3將會(huì)發(fā)布主網(wǎng)。
Figure19: Zecrey System Architecture
Manta Network :波卡生態(tài)的包含多資產(chǎn)隱私支付協(xié)議和AMM隱私交易協(xié)議的DeFi隱私協(xié)議棧(隱私平行鏈)。參考官方的架構(gòu)圖,可以作為波卡生態(tài)各個(gè)平行鏈的隱私中轉(zhuǎn)站。具體隱私方案分別是:基于Zcash的UTXO隱私支付模型,增加了多資產(chǎn)的支持以及隱私支付通道的技術(shù)。使用類(lèi)似ZEXE的方案實(shí)現(xiàn)AMM隱私交易,內(nèi)置了零知識(shí)證明的電路。
Figure20: Manta Architecture (Implemented as a Parachain)
Anoma Network:以Intent(意圖)為中心、有可組合性的隱私保護(hù),可以去中心化發(fā)現(xiàn)對(duì)手方、解決多鏈原子結(jié)算交易的一層網(wǎng)絡(luò)。Anoma架構(gòu)是參考Cosmos 的,使用Tendermint BFT共識(shí)機(jī)制,首個(gè)主權(quán)獨(dú)立鏈(Fractal Instance)是Namada。我們用訂單薄的交易所類(lèi)比理解Anoma。Anoma的Intent相當(dāng)于用戶的掛單,掛單可以公開(kāi)(Transparent)、隱藏(Shielded)或者加密(Private),掛單需要由Anoma的Solver進(jìn)行撮合結(jié)算(Settle),撮合成功的掛單形成Anoma的交易。Anoma提出自己的AnomaVM,對(duì)應(yīng)高級(jí)函數(shù)式編程語(yǔ)言Juvix和VampIR電路編程語(yǔ)言,AnomaVM內(nèi)置支持ZKP電路生成和FHE(全同態(tài)加密)。
Figure21: The lifecycle of a transparent, shielded, and private intent in the Anoma architecture
Iron Fish:基于Zcash的Sapling協(xié)議,以PoW作為共識(shí)的隱私支付公鏈。進(jìn)行了多輪激勵(lì)測(cè)試網(wǎng),預(yù)計(jì)2022年Q4上線主網(wǎng)。
基于以上項(xiàng)目的信息,我們可以看到,在隱私保護(hù)的領(lǐng)域,零知識(shí)證明主要應(yīng)用在隱私支付和隱私網(wǎng)絡(luò)的場(chǎng)景中,且大多并非單獨(dú)使用,而是結(jié)合了Mixer,TEE,MPC等其他隱私保護(hù)的技術(shù)。
Figure22: Web3 Privacy Ecosystem
隱私保護(hù)賽道依然有不少的項(xiàng)目在探索研發(fā),尤其是最終面向用戶的隱私應(yīng)用方向,結(jié)合DeFi、NFT等應(yīng)用場(chǎng)景,還有很多延伸的空間,我們也就不一一列舉。回到最初的話題,隱私產(chǎn)品的出現(xiàn)是基于用戶的需求,當(dāng)我們朝著Web3前進(jìn)時(shí),無(wú)論是基于區(qū)塊鏈的去中心化金融體系,還是未來(lái)Web3的社交場(chǎng)景,我們都希望能夠把更多的鏈下行為置于鏈上,那對(duì)于用戶隱私保護(hù)的需求就會(huì)越發(fā)強(qiáng)烈。在眾多隱私保護(hù)解決方案中,ZKP扮演著重要的作用,這也是我們?nèi)ド疃妊芯康脑颉?/p>
零知識(shí)證明的投資方向
在前面的章節(jié),我們花了較多的篇幅整理和學(xué)習(xí)了零知識(shí)證明在擴(kuò)容和隱私方向的項(xiàng)目,零知識(shí)證明相關(guān)的擴(kuò)容和隱私項(xiàng)目在一級(jí)市場(chǎng)也獲得了資本的青睞,我們對(duì)這兩個(gè)賽道項(xiàng)目的公開(kāi)融資數(shù)據(jù)進(jìn)行整理,分別如下兩圖:
Figure23: Zero Knowledge Investments In Scaling
Figure24: Zero Knowledge Investments in Privacy Protection
可以看出, ZK擴(kuò)容項(xiàng)目估值最高的是Starkware,高達(dá)80億,ZK隱私項(xiàng)目最高的是Aleo,估值14.5億。考慮到項(xiàng)目在隱私和擴(kuò)容敘事可以并行出發(fā),甚至一些隱私項(xiàng)目是雙層網(wǎng)絡(luò),所以,難以比較兩個(gè)賽道的平均融資金額。單從最高估值而言,擴(kuò)容賽道在一級(jí)市場(chǎng)的認(rèn)可度是高于隱私賽道。擴(kuò)容賽道之中,在協(xié)議、電路語(yǔ)言、zkVM和服務(wù)項(xiàng)目等多方面有優(yōu)勢(shì)的Starkware無(wú)疑是資本市場(chǎng)的寵兒。另外,其他主打zkEVM兼容的擴(kuò)容項(xiàng)目,也同樣獲得資本市場(chǎng)的熱愛(ài)。隱私賽道之中,在電路語(yǔ)言、開(kāi)發(fā)者工具鏈等方面有優(yōu)勢(shì)的Aleo比起研發(fā)PLONK和PLookup技術(shù)的Aztec更為吃香,也側(cè)面說(shuō)明資本市場(chǎng)對(duì)于商業(yè)落地型項(xiàng)目的偏重。
二級(jí)市場(chǎng)方面,由于幣價(jià)波動(dòng)較大,ATH的流動(dòng)性基本不足,我們簡(jiǎn)單
