NAR:Layer2擴容關鍵技術：遞歸零知識證明剖析_immutable幣項目

在Layer2擴容賽道上，ZkRollup方案以完美的數據可用性以及與Layer1同等級的安全性，備受青睞；以單個Block為處理單元，用零知識證明算法來保證此區塊引起的世界狀態變化的有效性，大幅降低了每筆交易的上鏈成本，同時也增長了系統的吞吐效率。然而，在實際的落地過程中，研究者們發現，簡單的ZkRollup方案帶來的擴容效果，并不能滿足真實的場景需求；這和很多因素有關，電路參數的限制，零知識證明算法的效率等等；研究者們做了很多努力，比如對零知識證明算法進行加速，配備超高配置機器，優化電路規模等，雖帶來了一定的性能提升，但仍難以滿足需求。

研究者們當然希望，鏈上一次處理的交易越多越好。朝著這個目標出發，研究者們首先發現了聚合證明技術，該技術已經被ZKSwap推出的ZKSpeed擴容方案采用。在前面的文章中，已經解釋了聚合證明的原理和思想，簡單來說就是把多個區塊的證明聚合成一個證明，使得鏈上一次就可以完成多個區塊的驗證，大大的降低了交易的平均成本，其原理如下圖所示：

新加坡MAS注入1.5億新元重振新加坡金融科技創新:金色財經報道，新加坡金融管理局(MAS)宣布承諾在未來三年內通過金融部門技術和創新計劃(FSTI3.0)注入高達1.5億新元的資金，以推動金融業的發展。

新加坡金融管理局 (MAS) 在 Web3和金融創新方面投資約1500億韓元，每個項目最多提供20億韓元。[2023/8/8 21:31:13]

?該方案雖然有優勢，可實現多個區塊的證明的一次驗證，但也有其一定的局限性：

1.一次聚合的區塊是有上限的，受限于電路參數的限制；

2.聚合的區塊越多，電路就越大，直到其規模的上限；這種電路生成的證明時間要更長，證明密鑰和驗證密鑰也會占用更大的存儲空間；

Haru Invest CEO：將于本月就啟動恢復程序案件進行質詢:8月7日消息，Haru Invest 首席執行官 Hugo Lee 向 Haru Invest 成員致函稱，某些成員已向法院申請啟動恢復程序的命令，法院已對 Haru Invest Korea Co., Ltd.做出了保全處置和全面禁令命令。保全處置是命令債務人在作出啟動恢復程序的決定之前，不得先償還債務人的資產，而全面禁止令則是防止債權人等在作出啟動恢復程序的決定之前，強制執行債務人的資產。Haru Invest 將于本月就上述恢復程序案件進行質詢，并向法院提出有關恢復程序的意見。目前 Haru Invest 正通過民事和刑事法律手段向 B&S Holdings 追收資產，但預計取回資產需要一些時間，因此擬先將先行收繳與分配其他資產的計劃做出總結后提交給法庭。[2023/8/7 21:28:52]

3.目前可支持的最大聚合粒度是20個區塊，也就是湊齊20個區塊后，才會開始聚合處理。如果生成證明的效率比較低，這會導致這些區塊被確認的時間拉長，尤其是最早生成的那些區塊；

數據：5千萬枚FTM從未知錢包轉移:金色財經報道，據Whale Alert數據監測，5千萬枚FTM從未知錢包轉移到未知錢包，約合23,193,215美元。

行情顯示，FTM現報0.4705 USDT，24H漲幅為3.61%。[2023/2/12 12:02:23]

受限于證明計算和CRS生成復雜度的限制，上述的零知識證明算法是不可擴展的。因此，研究者們也在努力尋找一個可擴展的零知識證明算法，即Scalablezk-SNARKs。

Scalablezk-SNARKs可拓展的zk-SNARKs

在論文《ScalableZeroKnowledgeviaCyclesofEllipticCurves》中，EliBen-Sasson等給出了Scalablezk-SNARKs的定義：

以太坊軟件公司ConsenSys裁員100人以上:金色財經報道，據一位知情人士透露，加密錢包MetaMask的開發商ConsenSys計劃裁員100名或更多。總部位于紐約市的以太坊工作室目前擁有約900名員工。據了解，裁員計劃正在最后敲定過程中，具體數字目前尚不清楚，消息人士稱，后來該公司證實了這一消息。美國交易所Coinbase周二還宣布裁員20%，即裁員約950人，這讓加密就業本已糟糕的一周雪上加霜。估計，自去年4月以來，整個行業已經失去了近27,000個工作崗位。[2023/1/11 11:05:06]

1.Keygenerationischeap：即，Key生成的時間和計算復雜度沒有關系；

2.Proofgenerationiscarriedoutincrementally：即，證明生成過程既包含了當前執行步驟的正確性又包含了在此之前所有計算的正確性，這種zk-SNARKs是incrementallycomputable；

Binance借貸平臺新增支持APT作為可抵押資產:10月19日消息，據Binance官方公告，其質押借幣平臺Binance Loans新增支持APT和PUNDIX為可抵押資產。[2022/10/19 17:32:46]

為了方便大家理解，用一張圖來表示上述思想：

上圖表示意思是：證明著證明一個遞歸計算過程，即：初始狀態為S0，經過t次函數F迭代計算后的結果為St。

第一個計算方式，Monolithicoption：證明方P把t次計算過程全部寫成電路，然后一次性證明，正如我們前面所列舉的一樣，存在相同的局限性，很高的時間復雜度和空間復雜度；

第二個計算方式，Recursiveoption：遞歸計算，其過程如下：

1.首先對于初始狀態S0=>S1，證明方P對于S1?=F(S0)計算過程生成一個證明π1；

2.對于S1=>S2的轉換，由圖中可以得知，證明方P證明了兩部分：{S2?=F(S1),V(S1,π1)=1}，前半部分保證了當前計算的有效性，后半部分保證了上一步計算過程的有效性；由于在zk-SNARKs里，證明生成的時間比原始計算要快一些，因此，對于驗證過程進行證明是合理的；

由此可以看出，?Recursiveoption滿足Scalablezk-SNARKs了基本要求：

1.Key的生成和循環次數沒有關系，取決于單次F的復雜度，如果是generalzk-SNARKs，只取決于安全參數；

2.證明滿足incrementallycomputable，每個證明都包含了在此之前所有計算的有效性；

3.證明的大小固定，和迭遞歸次數t沒有關系；

由上可知，Scalablezk-SNARKs采用了Recursive思想，即當前的Prove過程包含上一步的驗證過程電路，具體如下圖所示：

可以看到，P2證明電路里，包含了上一步P1的驗證過程電路。需要注意的是，P1對應的V在域Fq上，P2的證明過程在Fr上，如何在Fr上表示V的算術電路，是一個值得探討的過程；由于Cv可以看作是P的一個子電路，因此，q需要滿足?q=#E(Fr)或者?q整除?#E(Fr)，即q整除rk?-1，因此：

嘗試1.理想的情況下，如果?r=q，那么在Fr上，能完美表示Fq上的V的算術電路，但是根據上述原理，r!=q恒成立；

嘗試2.對于q!=r，因為需要在Fr上去模擬Fq上的計算，會導致計算復雜度的提高log(r)倍；

嘗試3.采用橢圓曲線循環，可以完美實現Recursive過程；

具體的，選取兩個大素數，r和q。滿足r=#E(Fq)和q=#E(Fr)，即，當前群的域等于另外一個群的階，反之亦然。因此，域Fq上的證明方P可以完美的在Fq上實現Fr上的驗證電路，域Fr上的證明方P也可以在Fr上實現Fq上的驗證電路；因此不會出現嘗試2里面的缺陷。

下面表格列舉常用的cycleofellipticcurves

寫在最后

通過采用遞歸證明組合密碼技術(RecursiveProofComposition)，zk-SNARKS變成了Scalablezk-SNARKs，實現了更高效、簡潔的零知識證明算法，并能真實的落地應用。即將發布主網的Mina就采用了這種技術實現了簡潔的區塊鏈，即固定大小的鏈，保持在22KB左右；同時，其他的技術團隊包括MatterLabs、starkWare等也在計劃采用Scalablezk-SNARKs技術來實現Layer2更高的擴容。ZKSwap團隊在Layer2賽道上持續發力，在Scalablezk-SNARKs上亦有所突破，相信不久就會應用于新的版本上。

Tags：ARKARKSNARABLSPARKDarkShield Games StudioDenariusimmutable幣項目

pepe最新價格