STA:簡析主要 Layer 2 DEX 優劣勢：StarkNet、Loopring、ZKSwap 與 Unipig_zks幣升值空間大嗎

近期以太坊上的高手續費和低TPS使以太坊上的Layer2擴容之爭變成了焦點。本篇文章將以市場上既有的產品為基礎，從技術方案角度出發，比較當下ZKSwap方案和其他擴容方案的異同之處。在具體的展開描述之前，也將簡短的介紹下目前市場上的Layer2擴容技術的基本狀況。

Layer2擴容技術概述

迄今為止，Layer2市場上已經是一片繁榮，技術上不斷創新，各種產品也層出不窮。對于市場上的所有的產品，從技術角度上劃分，可以大體分為三類：

狀態通道：通過促進鏈下交易來減輕以太坊的負擔，具有即時存取、高吞吐的特點，其弊端是設置通道浪費耗時，并且需要在通道中支付鎖定資金，同時定時監測通道狀態；

側鏈技術：具有獨立共識規則的獨立區塊鏈，與Layer1的共識不同步，這是它的弊端；

Rollup技術：可以看作是一個高級的非托管側鏈技術，它將計算放在鏈下，交易數據以及最新世界狀態放在鏈上，保證了鏈上數據可用性。

與其他的兩種方案相比，Rollup無需提前鎖定代幣，也不用設置自己的共識規則；而且它還可以保持和Layer1同樣等級的安全性，同時方案本身具有通用性。隨著Layer2技術的持續發展，Rollup技術方案也變得多樣化，根據交易數據存儲的位置和使用的證明方法的不同，又可以將Rollup技術細分為以下四類：

LendHub被黑簡析：系LendHub中存在新舊兩市場:金色財經報道，據慢霧安全區情報，2023 年 1 月 13 日，HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下：

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken，其一已在 2021 年 4 月被廢棄但并未從市場中移除，這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格，這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回，在新的市場進行借貸操作，惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03，黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時，黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡，已經得到黑客的部分痕跡，慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

ZKRollup：Layer1+Validityproofs，數據存儲在鏈上，用零知識證明來保證狀態轉換的有效性；

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

OptimisticRollup：Layer1+Fraudproofs，數據存儲在鏈上，在挑戰期間，用欺詐證明來驗證狀態轉換的有效性；

慢霧：DEUS Finance 二次被黑簡析:據慢霧區情報，DEUS Finance DAO在4月28日遭受閃電貸攻擊，慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。

3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作，兌換出了9547716.9個的DEI，由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。

4.在進行Swap操作后，攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸，由于borrow函數中用isSolvent進行借貸檢查，而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。

5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC，獲利離場。

針對該事件，慢霧安全團隊給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]

Validium：Layer2+Validityproofs，數據存在鏈下，用零知識證明來保證狀態轉換的有效性，并設立「數據可用性委員會」來保證鏈下數據的可用性；

安全公司：Starstream Finance被黑簡析:4月8日消息，據Agora DeFi消息，受 Starstream 的 distributor treasury 合約漏洞影響，Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數，此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時，StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數，而任意用戶都可以通過此函數進行外部調用，因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中，并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

Plasma：Layer2+Fraudproofs，數據存儲在鏈下，用戶提供欺詐證明來驗證狀態轉換的有效性；

慢霧：Spartan Protocol被黑簡析:據慢霧區情報，幣安智能鏈項目 Spartan Protocol 被黑，損失金額約 3000 萬美元，慢霧安全團隊第一時間介入分析，并以簡訊的形式分享給大家參考：

1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1，導致兌換池中產生巨大滑點；

3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證，但是在添加流動性的時候存在一個滑點修正機制，在添加流動性時將對池的滑點進行修正，但沒有限制最高可修正的滑點大小，此時添加流動性，由于滑點修正機制，獲得的 LP 數量并不是一個正常的值；

4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1，此時池子中的 WBNB 增多 SPT1 減少；

5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子，然后進行移除流動性操作；

6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣，由于步驟 5，此時會獲得比添加流動性時更多的代幣；

7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount，由于移除流動性時沒有和添加流動性一樣存在滑點修正機制，移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值；

8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP，此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣；

9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB，最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]

在實際的產品設計過程中，基于不同的業務場景，設計者往往需要在效率和安全性上做出權衡，要效率還是要絕對安全，每個產品設計時都有自己的側重面。因此，也就有了上述的四種Rollup方案。現在市面上的大部分產品，按技術分類的話，應該大都屬于上述四類，更準確的說，是屬于前三類，第四類方案提出的最早，安全性考慮的較少。

所以，ZKSwap團隊推出的Layer2擴容方案Zkspeed同樣也屬于上述范疇。然而，作為Layer2賽道上的一個新星，Zkspeed方案與其他主流產品推出的Layer2方案相比會有什么樣的技術優勢呢？產品體驗又有何異同呢？接下來，我們將選取市場上具有代表性的幾個產品，從技術方案和實際體驗效果上做一些簡單的對比分析，來看看Zkspeed擴容方案是否優勝同時產品體驗是否更好。

Layer2技術對比分析

根據我們的市場調研，我們選取了三個市場上具有代表性和前沿性的的產品，分別是StarkWare的StarkNet、Uniswap的unipig、Loopring的loopring。首先，我們先從技術方案的角度，來看一下Zkspeed和starkNet、Unipig、Loopring的區別，具體的如下表所示：

表1.Layer2擴容方案分析表。圖片說明：crs對應需要多次可信設置的zkp算法；srs對應只需要一次可信設置的zkp算法

根據上述表格可以看出：

Loopring

使用的Layer2擴容方案是基于ZKRollup方案設計的，同時也支持Validium方案，即鏈上數據可用性是可以選擇的。該方案使用的零知識證明算法是zksnark算法，需要第三方生成可信設置。

優點是：這種算法的proof大小是常量大小的；

缺點是：可信設置是不通用的，針對不同的交易類型，都需要單獨進行可信設置。因此，為了提高證明傲率，每個區塊里的交易類型要求為同一交易類型，導致了如果某種類型的交易較少，那它上鏈的速度就會很慢，因為要等待足夠的交易才打包區塊。不過，在Loopring發布的協議3.6版本里可以看到，已經取消了了區塊里是相同類型的交易的限制，相信會有更好的交易體驗。

StarkWare

StarkWare團隊研發的Layer2擴容引擎starkEx，支持Validium方案和ZKRollup方案兩種模式可選。狀態更新的有效性由零知識證明來保證，其用到的零知識證明算法是zkstark算法。

優點是：與常用的zksnark算法不同，zkstark算法不需要第三方的可信設置，而且其算法本身不依賴數學難題假設，具有一定的抗量子性；

缺點是：proof的大小比其他的zkp算法要大的多，生成證明需要消耗大量的計算資源和存儲空間。同時，StarkWare團隊研發的Layer2擴容解決方案值得期待，一種以太坊上的基于STARK的去中心化無許可L2ZK-Rollup產品，并且支持基于Cairo語言的通用計算；具體內容可參考鏈接starkNet。

Uniswap

使用的Unipig擴容方案是基于OptimisticRollup設計的，如前圖所示，改方案存在挑戰期，即在挑戰期間，用戶可以提供欺詐證明來驗證執行者的行為是否作惡。

優點是：該方案兼容EVM，并且交易數據存在鏈上，保證了安全性；

缺點是：由于存在潛在的欺詐性證明，鏈上事務處理的時機會延緩；挑戰成本昂貴，導致挑戰模式基本上算是形同虛設。

ZKSwap

推出的Zkspeed擴容方案兼顧了ZKRollup、Validium和OptimisticRollup方案的特點。即實現所有與Layer1交互的交易數據全部上鏈，把單純Layer2的交易數據存放在鏈下(Validium)，交易hash數據上鏈，同時ZKSpeed也會提供一個完全上鏈的版本，這樣可以實現更高的安全性，并提供零知識證明保證狀態轉換的有效性。

ZKSwap采用自己研發的Zkspeed與其他三個擴容方案的差異：

Zkspeed方案采用PLONK零知識證明算法，所有交易類型共用一套可信設置，如此就無需按照交易類型進行區塊打包；

Zkspeed方案采用了GPU實現版的PLONK算法，相比于普通的CPU實現版本運行速度上提升了3倍以上，再加上頂尖的硬件設備，使得證明的生成時間大大縮短，大幅提高了系統的吞吐量；

ZKSwap團隊經過反復研究論證，在Zkspeed方案上探索性的采用了聚合證明方案，并首先應用到AMM的DEX領域，把多個區塊的證明聚合成一個證明，使得鏈上一次就可以完成多個區塊的驗證，大大的降低了交易的平均成本。

聚合證明的技術原理如下圖所示：

圖2.Aggregation方案

在Rollup方案里，一個很明顯的技術特點就是交易的批量處理，即對區塊里的所有交易的有效性產生一個證明，然后鏈上主合約完成證明的有效性驗證。如圖2左側所示，這和原始的單個交易處理力度相比，已經有了巨大的吞吐率的提升和交易成本的降低。然而，ZKSwap團隊發現，受限于零知識證明算法橢圓曲線參數的選取，一個區塊內能批量處理的交易數量是有限的，再加上鏈上一次驗證計算的成本高達50WGas，導致每筆交易的成本并沒有低到預期。因此，ZKSwap技術團隊持續進行技術應用創新的突破，并最終關注到了聚合證明方案。

如上圖右側所示，聚合證明的思想很簡單，可簡單表述為：把每個區塊的proof當作輸入，把鏈上驗證的過程當作證明電路，證明鏈上的驗證過程是正確的，由于驗證的形式就是一個雙線性配對，因此，多個proof可以進行線性組合，然后利用一次雙線性配對完成所有proof的有效性驗證。這樣一來，多個證明的驗證過程由多次變成1次，驗證成本大幅降低，成本降低的幅度取決于區塊聚合度，目前Zkspeed方案支持聚合上鏈的交易筆數可根據實際情況進行調配，20、10、5筆均支持。同時，為了探索進一步降低交易成本的可能性，ZKSwap團隊追求精益求精，繼續對上鏈數據進行聚合提交，即，多個區塊一次提交，節省了一些固定成本，進一步壓縮交易成本，最終實現一筆交易的成本消耗最低至1400Gas，遠低于行業其他產品。

展望

遺憾的是，目前ZKSwap的方案還不兼容EVM，ZKSwap團隊的愿景是構建一個支持通用EVM的Rollup擴容解決方案，使得其他應用無需重新編寫智能合約就能實現快速遷移，目前ZKSwap團隊已經投入研究，并取得了一些進展。除此之外，starkWare和MatterLabs分別開發了starkNet和zinc的Layer2擴容解決方案，需要用對應新設計的DSL語言來編寫證明邏輯，雖然此方案不算完美，但也算是一個階段性的研發成果。未來ZKSwap團隊愿和其他團隊一起，共同致力于以太坊的Layer2擴容建設。

撰文：江小白

Tags：ZKSLAYERSTASTARzks幣升值空間大嗎LAYER幣Liquid Staked ETHstart幣多少錢

DOGE