NAR:鏈下擴容方案之鏈下計算，尚在征途的擴容良方——區塊鏈技術引卷之十三_區塊鏈卡鏈是什么意思

通證通研究院×FENBUSHIDIGITAL聯合出品

文：宋雙杰，CFA；田志遠；王澤龍；金佳豪

特別顧問：沈波；Rin

導讀

鏈下計算是區塊鏈鏈下擴容的解決方案之一，目前已經提出了多種鏈下計算方案并且正在逐步落地。

摘要

當前區塊鏈普遍面臨鏈上數據處理能力不足的短板，制約了區塊鏈進一步應用的可能性。以此為背景，鏈下計算作為擴容方案之一被提出，其基本思路是將原本置于鏈上處理的各類事務，移至鏈下處理，而鏈上僅保留驗證的部分，以此間接提升鏈上的數據處理能力。

鏈下計算主要包括可驗證的鏈下計算、“飛地型”鏈下計算、鏈下安全多方計算、激勵驅動型鏈下計算四種方式。它們各自存在優劣勢，有些方案較為新穎，較少甚至沒有項目部署，如zk-STARKs、Bulletproofs等，有些方案則已經過了大型項目的檢驗和認可，如zk-SNARKs。

可驗證的鏈下計算涉及到兩類角色：驗證者與證明者，前者位于鏈上，后者位于鏈下。

“飛地”型鏈下計算基于TEE。在該計算模式中，鏈下計算專門于可信的“飛地”中進行。

安全多方計算可以實現在各方均不知道完整數據內容的情況下，通過聯合它們對各自部分數據的計算結果，得到最終結果。

激勵驅動型鏈下計算假設參與計算的各方都是理性的經濟人。該模式主要涉及到兩類角色：處理計算任務的求解者、重新計算求解者所處理過的計算任務并檢驗其是否有誤的驗證者。但在一些方案中會引入更多的角色。

Gnosis推出治理工具套件SafeSnap，支持鏈下投票和鏈上執行:DeFi工具開發團隊Gnosis宣布推出可結合去中心化治理平臺Snapshot的治理工具套SafeSnap。SafeSnap不僅可以結合Snapshot，還是一種模塊化工具，允許開發者和用戶可以進行鏈下投票和鏈上執行。

首批計劃采用SafeSnap的產品包括Yearn、SushiSwap、Synthetix、Balancer、mStable、PoolTogether、dHedge、BrightID、Stakewise、EPNS和GnosisDAO。[2021/3/18 18:56:56]

目前，多種鏈下計算方案已經取得進展或正在落地，鏈下計算作為區塊鏈的擴容方案之一，未來將獲得進一步的發展和應用。

風險提示：技術進展不及預期、鏈上鏈下信道安全

目錄

1鏈下計算，鏈上驗證

2鏈下計算的四種主要模式

2.1可驗證的鏈下計算

2.2“飛地”型鏈下計算

2.3鏈下安全多方計算

2.4激勵驅動型鏈下計算

3尚在征途，逐步落地

正文

鏈下計算是區塊鏈鏈下擴容的解決方案之一。

1.鏈下計算，鏈上驗證

新交易的發生導致鏈上的“狀態”發生了改變，區塊鏈可以被看作是處理一個“狀態轉換”函數的機器。鏈下計算是一種將計算“狀態轉換”函數的過程由鏈上轉移至鏈下，而后相應的結果交由鏈上驗證的模型。

火幣研究院“區塊鏈百家講壇”：區塊鏈下的“普惠”供應鏈金融:7月22日，火幣研究院“區塊鏈百家講壇”第十季上線，火幣研究院的研究員陳圣樺以《區塊鏈下的“普惠”供應鏈金融》為主題，從區塊鏈結合供應鏈金融行業的優勢、模式探討、落地難點等方面進行解讀，并對兩大領域的結合進行了展望。

陳圣樺指出，通過區塊鏈技術與供應鏈金融的相結合，能打破以往數據孤島的現象，建立信任機制，并實現核心企業的信用跨級傳遞。在結合智能合約的基礎上，提升全鏈條的業務協作與融資效率，降低了以往因企業違約為金融機構帶來的履約風險，有效解決供應鏈金融場景下中小企業信用和融資問題。[2020/7/22]

首先，任意鏈下節點從區塊鏈中檢索相關的狀態作為輸入。與鏈上對數據完全公開的處理模式不同，鏈下計算過程中的相關信息可以是公開的，也可以是私密的。

基于輸入值，鏈下的節點計算出“狀態轉換”函數的結果，而后將其發送至鏈上。公開的輸入無需隱藏計算過程，而私密輸入的計算過程則需要保持私有。鏈上對該函數值進行校驗，如果函數值正確，則其被記入鏈上的狀態。

為什么需要引入鏈上驗證的環節呢？因為鏈下計算“狀態轉換”函數并提交結果時，可能存在造假或者欺詐的情況，引入鏈上的驗證者則可以有一個校正的B計劃。

2.鏈下計算的四種主要模式

2.1可驗證的鏈下計算

要實現可驗證的鏈下計算模型，有三種算法可以作為路徑：

港股開盤：歐科云鏈下跌1.62%，火幣科技上漲1.46%:金色財經報道，港股開盤，香港恒生指數開盤上漲126.09點，漲幅0.48%，報26348.16點；歐科集團旗下歐科云鏈（01499.HK）報0.243點，開盤下跌1.62%；火幣科技（01611.HK）報4.18點，上漲1.46%。[2020/3/5]

概念

這一模式涉及到兩類角色：驗證者與證明者，前者位于鏈上，后者位于鏈下。該模式的運作過程同鏈下計算的基本定義類似，在此不贅述。

主要特性

非交互性。證明者能夠在一條信息中，使驗證者信服。交互性強的方案將產生多筆區塊鏈事務，增加區塊鏈網絡的負擔并抬高驗證成本。

低廉的驗證成本。特殊情況下，如對機密性的信息進行檢驗時，相對較高的驗證成本是可接受的；否則正常情況下，鏈下計算+鏈上驗證的成本應該低于純粹的鏈上計算成本。

實現情況

要實現可驗證的鏈下計算模型，有三種算法可以作為路徑：

1）zk-SNARKs

zk-SNARKs是零知識證明這一算法的變體，其名稱是：Zeroknowledge、Succinct、Non-interactive以及ArgumentsofKnowledge、Proofs這些詞匯的復合縮寫。

相比零知識證明這一“本體”，zk-SNARKs使得證明者和驗證者間互動極少甚至沒有，并且其驗證成本較低，計算安全性相對較高。

目前，zk-SNARKs依賴于證明者和驗證者之間的初始化可信設置——這意味著需要一組公共參數來構建zk-SNARKs，從而創建私有事務。這些參數被編入協議中，是證明交易有效性的必要因素之一。其潛在的問題是，參數通常由小部分群體制定，可能存在信任問題。此外，在理論上，如果證明者擁有足夠的算力，就可以提交假證據，影響整個系統。這是為什么量子計算機被認為是這種算法的威脅的原因。

聲音 | V神：隨著時間推移，越來越對鏈下2層解決方案感到悲觀:V神發推表示：“隨著時間的推移，我對越來越鏈下2層解決方案感到悲觀。Vlad Zamfir（以太坊基金會首席研究員，以太坊核心開發者）是對的，第二層解決方案很難構建，需要對激勵進行很多的應用層處理，而且很難大范圍應用。”[2019/8/22]

目前部署zk-SNARKs算法的知名項目有Zcash、Loopring等。

以太坊也有望部署zk-SNARKs。2019年1月份時，以太坊基金會與初創企業Matter在以太坊測試網絡上，聯合發布了使用zk-SNARKs的側鏈擴容方案。

2）Bulletproofs

該算法是由倫敦大學學院的JonathanBootle與斯坦福大學的BenediktBunz于2017年末共同提出，它屬于非互動性的零知識證明可驗證計算方案，相較zk-SNARKs，它的驗證成本更高一些，但是不需要可信的初始設置。

Monero是主要加密通證中率先部署Bulletproofs這一算法的。據Monero官網所述，2018年夏季，其社區發布了針對Monero部署Bulletproofs的審計報告，且Bulletproofs率先在MoneroStagenet上部署，至2018年10月，Monero主網完成了Bulletproofs的部署。

據MoneroResearchLab研究人員SarangNoether的說法，自Bulletproofs部署以來，Monero上事務的平均體積下降了80%，交易費用也顯著下降。

3）zk-STARKs

該算法由以色列理工學院的Eli-Ben-Sasson教授創造。它是zk-SNARKs的替代品，并且被認為是一種更高效的算法，但囿于其難以部署的現狀，未來是否會有更高的性價比尚未可知。

聲音 | 白碩：靠譜的計算架構是“鏈下執行、鏈上驗證”:前上交所總工程師白碩昨日發文表示：“一、圖靈完備的‘世界計算機’的技術路線，在計算機發展史上絕不是新鮮的，各種類型的嘗試都有。二、即使考慮到‘可信’的訴求，用成千上萬臺計算機做同一件事情，無論如何是效率低下的，不改進沒有前途，局部的改進值得肯定但不是根本性的。三、從智能合約到可信的世界計算機，靠譜的計算架構是‘鏈下執行、鏈上驗證’，這是‘一切即挖礦’方法論在‘世界計算機’領域的體現。”[2018/10/1]

與Bulltetproofs類似，zk-STARKs不需要初始化可信設置——因為它使用抗碰撞哈希函數進行更精簡的對稱加密，并且該算法消除了zk-SNARKs中存在的數論假設——后者執行成本高且易受到量子計算機的攻擊。

但是相比于zk-SNARKs，它的缺點在于證明可能會更復雜，從而限制了其潛在性能的發揮。

2.2“飛地”型鏈下計算

概念

這一計算模式基于TEE。在該計算模式中，鏈下計算專門于可信的“飛地”中進行，“飛地”的每一條消息都可以被可信的外部實體認證并出具證明。啟動計算時，公開的輸入值從區塊鏈上獲得，而私密的輸入值則由鏈下節點選擇性地加入進去。輸出結果的完整性通過鏈上驗證“飛地”的證明進行驗證。一旦驗證成功，新的狀態會被記入區塊鏈。

實現情況

目前Enigma與Ekiden等項目嘗試了該方案。

在Enigma項目中，計算既可在鏈上執行，也可在單獨的鏈下“飛地”中執行。Enigma的特定腳本語言允許開發者將目標項標記為私密的，進而強制要求以鏈下模式進行計算。

與Enigma相反，Ekiden不支持鏈上計算，區塊鏈僅被用于持久的狀態存儲。代碼和私有輸入值由僅同“飛地”通訊的鏈下客戶端提供，一旦計算完成，“飛地”將結果直接反饋回客戶端，與此同時，狀態被記錄到區塊鏈中。

2.3鏈下安全多方計算

概念

安全多方計算可以實現在各方均不知道完整數據內容的情況下，通過聯合它們對各自部分數據的計算結果，得到最終結果。

鏈下安全多方計算的實現效果也是如此，區別之處在于引入了鏈上、鏈下的概念：

首先，隱私數據被分為多份，并以私密輸入值的形式分布在一眾鏈下節點間。區塊鏈當前的狀態值可被作為公共輸入值。然后鏈下節點計算各自部分的鏈下狀態轉換值。

鏈下節點發布各自結果并進行組合，然后將其置于鏈上。

鏈下安全多方計算協議需要滿足的一個特性是公共審計，具體的一個例證是，不參與上文過程的審計者可以校驗計算結果的正確性。由此，計算結果的正確性可被鏈上審計者在驗證階段校驗，或由鏈下審計者通過評估鏈上審計者的審計跟蹤來校驗。

實現情況

安全多方計算的實現手段一般來說可分為三類：

1）基于Yao混淆電路的構造方法；

2）基于秘密分享的構造方法；

3）基于同態加密的構造方法。

目前已有較多項目嘗試使用安全多方計算協議，如Defi、Enigma等。

2.4激勵驅動型鏈下計算

概念

該模式假設參與計算的各方都是理性的經濟人。該模式主要涉及到兩類角色：處理計算任務的求解者、重新計算求解者所處理過的計算任務并檢驗其是否有誤的驗證者。但在一些方案中會引入更多的角色。

實現情況

激勵驅動型鏈下計算中最知名的解決方案莫過于TrueBit，其基本原理為：

用戶提出計算需求并支付傭金，如果某個鏈下的求解者認為傭金價格符合預期，則進行計算并公布結果。此外，求解者也需要提供一筆保證金。

相對于用戶與求解者而言的第三方——驗證者，可重新運行上述計算并檢驗其是否有誤；如若發現求解者給出錯誤結果，則可以發起挑戰，提交到鏈上仲裁。同樣地，驗證者需要提供一筆保證金。

通過鏈上的智能合約，求解者與驗證者共同進行一個驗證游戲，而用戶置于鏈上的代碼則被用于驗證求解者、驗證者雙方答案的真偽，正確一方獲取傭金，另一方則需支付整個驗證過程所產生的gas費用。

TrueBit還設計了累積獎金機制，用以維護驗證者生態環境。系統會隨機選擇一些交易，要求求解者同時提交正確答案和強制錯誤，二者之一會上鏈請求驗證，當強制錯誤被驗證者驗證并挑戰時，求解者無需遭受懲罰。所有事務的傭金將被抽取一小部分，匯聚成獎金池，用以在累積獎金機制中支付給挑戰成功的驗證者。

3.尚在征途，逐步落地

在可驗證的鏈下計算的三種實現中，由于初始化可信設置的存在，zk-SNARKs的計算成本相對較高，但是在初始化可信設置完成后，其證明難度與驗證的復雜性都很低；zk-STARKs與Bulletproofs兩種算法不需要初始化可信設置，計算成本相應較低，但證明難度與驗證復雜性卻較高，這是其應用的掣肘所在。

從安全性方面來看，激勵驅動型鏈下計算依賴于系統中至少有一位誠實的參與者的假設，惡意的驗證者能夠用提交錯誤答案的方式挑戰每一個計算步驟，讓所有任務經過鏈上的“挑戰”環節，影響系統整體的速度與安全性能。

“飛地”型鏈下計算的缺點是其依賴于TEE。如英特爾的SGX，一種允許Inter處理器創建一個“小黑匣”作為TEE的技術，曾在黑客攻擊前失去效用。

目前，多種鏈下計算方案已經取得成效或正在落地，如Monero成功部署Bulletproofs后事務體積顯著降低；以太坊在測試網使用zk-SNARKs，TPS有望達到500；首個致力于部署zk-STARKs的項目StarkWare也已在測試當中。

注：通證流通市值、Twitter關注人數數據截至2019年7月20日。

鏈下計算正在進入各大項目的視野，未來將獲得進一步的發展和應用。憑借各種優異的特性，鏈下計算成功吸引了各方注意，例如Zcash和Menero分別部署了zk-SNARKs和Bulletproofs，以太坊核心開發者對zk-SNARKS在擴容方面的表現表示認同，未來使用該技術的鏈下計算擴容方案或將推及整個以太坊。

附注：

因一些原因，本文中的一些名詞標注并不是十分精準，主要如：通證、數字通證、數字currency、貨幣、token、Crowdsale等，讀者如有疑問，可來電來函共同探討。

Tags：ARKARKS區塊鏈NARStarSharks SEA區塊鏈卡鏈是什么意思lunar幣歸零

fil幣價格今日行情