原文作者:Ray
相關閱讀
相關閱讀
相關閱讀
ArkStream Capital: 詳解zk在擴容和隱私保護賽道的投資機會(一)一級標題一級標題零知識證明和擴容目前來看,區塊鏈所有設計的出發點,本質都是圍繞區塊。交易構成區塊數據,共識機制決定區塊生成、驗證和順序。按照交易的角度思考,交易經過用戶私鑰簽名發起,經由網絡廣播,進入全網交易內存池,區塊構造者/MEV搜索者/定序器挑選交易,提交交易列表給區塊構造者,區塊構造者/區塊生產者向網絡提交區塊,區塊驗證者驗證區塊合法有效以後確認上鍊。按照區塊的角度思考,區塊要完成
構造、提交上鍊和上鍊確認三個步驟。去中心化的設計機制,會為交易或區塊的每個環節增加全網成本和安全性,以此實現機器信任。合法的最長區塊鏈,我們稱之為主鏈/一層網絡/基層鏈/Layer1。在軟件設計開發領域,設計模式有單一職責、設計架構有分層架構,設計原則有高內聚低耦合,這一切的理論和指導為的都是以模塊化的思想重構軟件。區塊鏈的模塊化,可以從數據可用(數據層)、邏輯執行(執行層)和共識機制(共識層)三個主要層面進行劃分。如果將擴容對應到這三個層面,那麼,分別會有數據層擴容、執行層擴容和共識層擴容。為了簡化,我們按照主鏈變動與否,分為鏈上擴容和鏈下擴容。鏈上擴容方案有增加區塊大小、分片、調整共識機制。鏈下擴容方案有隔離見證、狀態通道、側鏈、Plasma、Rollup。 DeFi的爆發和NFT的盛行讓以太坊網絡的擴容需求日益激增,2021年12月,Vitalik發布了《Endgame》,描繪了以太坊的未來將會是中心化出塊、去中心化驗證以及多Rollup並存的。在Vitalik的大力支持下,Rollup成為了以太坊鏈下擴容的主流方案。在眾多的Rollup細分方案中,按照技術類型
,可分為Optimisitc Rollup(ORU)和ZK Rollup(ZKR),他們之間主要的區別是交易有效性保證方案不一樣,Optimistic採用博弈的欺詐證明,ZK Rollup採用數學的零知識證明。不管是Optimistic Rollup、還是ZK Rollup,它們都要在繼承以太坊的安全性和數據可用性前提下,處理大量的交易和支持智能合約的通用計算。
Optimistic Rollup是將大量的交易數據進行壓縮,然後把壓縮以後的交易數據和狀態根提交到以太坊。另外,Optimistic Rollup網絡設有挑戰者的角色,它們可以對提交到以太坊的數據進行欺詐證明,然後再經由Optimistic Rollup網絡共識回滾無效的交易。至於ZK Rollup,批量處理交易數據的時候,使用了零知識證明技術,在保證了交易數據有效性的基礎上,直接將證明提交到以太坊,即時達成狀態的最終一致性。在智能合約通用計算方面,Optimistic Rollup是直接延用以太坊EVM,而ZK Rollup的團隊要么是研發zkVM、要么是採取zkEVM的道路,所以,dApp的項目可以在Optimistic Rollup無縫遷移,而在ZK Rollup網絡大部分都需要做可大可小的改動。不同種類的Rollup,設有特別的網絡參與者,ORU有提出欺詐證明的(Rollup)計算證明者和聚合者智能合約智能合約。 Layer2通過將二層網絡的交易批量處理以後,提交到一層網絡智能合約
智能合約,由此獲得一層網絡的安全性和數據可用性。此時,一層網絡的去中心化程度、區塊驗證機制
Starkware:都會成為二層網絡交易有效性的背書。
基於自研STARK協議,發明Cairo電路編程語言及其zkVM的技術服務商。產品線有專用型的StarkEx和通用型的StarkNet。 StarkEx定位是服務特定應用需求的二層網絡擴容引擎,已經服務不少客戶,例如Sorare、Immutable、dYdX(V3)、DeversiFi(rhino.fi)、Celer等,現在也有超過6億美金的TVL、2億多的交易量等業務數據。圖片描述
Figure1: StarkNet Intro
Figure2: StarkNet Messaging Mechanism L2->L1
圖片描述
圖片描述
Figure3: StarkNet Decentralization Roadmap
圖片描述StarkNet官方網關StarkGate已經發布上線,會不定期開放限制額度的存取款體驗,現在橋接的資產總數大概為775個ETH。 Cairo語言風格偏向Golang和Python之間,新增電路編程語言的原生類型:Field Element(felt),開發通用庫偏少,主要是官方提供。不支持zkEVM,也即不支持Solidity代碼的直接編譯部署,需要先通過Warp轉譯器轉成Cairo代碼再做部署,Solidity部分特性明確不支持,其中影響比較大的是SHA256。 StarkNet的生態項目涵蓋錢包、DEX、DAO等多個賽道,以原生項目為主,和以太坊dApp項目重合度較低,具體可以參考官方生態網站。從區塊瀏覽器可以看到,目前沒有頻繁的交易數量,每個Block的平均交易數是115筆左右。圖片描述zkSync 2.0用zkSync:基於PLONK協議(1.0版本)和自研無需可信設置的、透明的RedShift協議(2.0版本/未來),支持Solidity/Vyper編程的zkEVM的ZKR。zkSync 2.0用圖片描述
Figure4: zkSync 2.0 100 Days to Mainnet
Operator操作者和System Contracts系統合約的設計完成L2到L1合約部署功能、L2/L1通信功能等。當前的Operator操作者由zkSync團隊運行,未來將進行去中心化改造。由於zkSync宣稱EVM字節碼的兼容性,且作為社區驅動型項目,zkSync獲得不少以太坊知名dApp項目方支持,例如1inch、Yearn Finance、Aave、Chainlink和The Graph等。 zkSync的生態項目可以通過官方生態網站查詢,Live狀態的有錢包、衍生品交易所和橋等。從區塊瀏覽器可以看到,提交確認的區塊有接近10萬,總交易數超過1千萬,平均每個區塊交易數為100筆。圖片描述圖片描述圖片描述
Figure5: Scroll Architecture
Figure6: Scroll Workflow
Polygon(MATIC):圖片描述
Figure7: Polygon Scaling Solutions
Polygon zkEVM(Hermez):圖片描述圖片描述圖片描述
Figure8: Skeletal Overview of zkEVM
zkEVM以多項式形式表達狀態流轉(STARK Recursion Component), STARK Builder(CIRCOM Library)和SNARK Builder(zk-SNARK Prover)圖片描述
圖片描述
zkProver內部包含Main State Machine Executor(Executor), Secondary State Machines
和SNARK Builder,括號為另一種理解方式,參考圖。。
1. Main State Machine Executor:是將交易的EVM字節碼用zkASM(zero-knowledge Assembly language)進行解釋和設置多項式約束,與此同時, Polynomial Identity Language(PIL)用於編碼多項式約束。圖片描述圖片描述
Figure9: A Simplified zkProver Diagram
Figure10: Simplified Data Flow in the zkProver
圖片描述
Figure11: Polygon zkEVM Open Source
圖片描述
Polygon Zero:圖片描述圖片描述
Figure12: Polygon Zero Processing A Block
Polygon Miden:基於STARK協議,支持多語言開發(含Solidity)、兼容EVM,推出電路編程語言Miden Assembly彙編及其Miden VM的L2。 Miden VM是Distaff VM的進化版,集成了Facebook開源的證明系統庫Winterfell。從官網的架構圖,Miden有Operator的設計,但這部分內容、EVM兼容和L2路線和進展都沒找到任何官方資料文檔。圖片描述
Figure13: Polygon Miden Intro
Polygon Nightfall:圖片描述
Figure14: Polygon Nightfall Intro
圖片描述圖片描述Archive Node圖片描述圖片描述Mina:除了L2,還有一些項目基於ZKP對L1進行擴容上的探索,比如Mina,一個基於遞歸SNARK開發的輕量級區塊鏈(L1)。整個區塊鍊網絡維護最新區塊的SNARK證明即可保證整個區塊鏈的正確性,大小維持在22KB。網絡有維護完整數據的,執行共識機制生產區塊的出塊者
和處理零知識證明計算的SNARK生產者。 Mina提出用TypeScript編寫的zkApp,如果要實現對應zkApp業務邏輯,需要開發者實現內部的Prover和Verifier函數。 Mina主網在2021年3月發布上線,網絡架構和L2的批量交易類似,Archive Node相當於數據可用層的維護者,出塊者相當於定序器,SNARK生產者類似於Scroll的Roller、Hermez 2.0的zkProver角色,但是zkApp的應用定位比較局限,既沒有zkVM的通用性,也不支持zkEVM。從ETHGasstation近30天前二十燃燒Gas合約大戶來看,主要是Opensea、DeversiFi、Uniswap、USDT、USDC、Metamask Swap、Axie Infinity、NFT Worlds等項目。 L2要想得到廣泛應用,必須獲得這些DEX、NFT的MarketPlace、GameFi,以及金融衍生品等具有一級標題
高頻交易場景
的項目支持。一級標題
一級標題零知識證明和隱私如果說Web3代表著個體主權的覺醒,那麼,隱私將是Web3不可或缺的一環。隨著行業的發展,DeFi的可組合性和NFT給社交帶來的變化,都讓我們越發感受到了資產所有權相對於中心化託管的安全和便利,而鏈上完全透明的信息則進一步激發了我們對隱私保護的需求。但面對各個國家不斷升級的監管政策,隱私保護怎麼做,做到什麼程度,則是一個值得討論的問題。
近期,美國財政部出台政策直接對以太坊生態的隱私支付平台Tornado Cash進行製裁,進而導致與Tornado Cash交互過的地址被USDC發行商Circle拉入黑名單,以及Tornado網站頁面、代碼倉Github、官方電報、官方Discord等一併關停。我們認為,人人都有保護自己隱私的訴求和權力,隱私產品的濫用並不意味著它們自身帶有原罪,隱私產品的設計初衷是在於保護用戶常規的轉賬支付隱私。不可否認,不法分子/黑客對其的使用的確帶來很多問題,但關鍵並不是取締隱私產品,而是努力尋找辦法兼顧隱私和合法合規,例如ZCash對於全球AML/CFT反洗錢標準的兼容嘗試以及
Tornado Cash提供的資產合規證明工具。
現在加密行業裡涉及的隱私實現方案,因為各自的使用場景不同
(隱私支付、隱私交易和隱私通用計算)
,選用的方案也有不少差異,主要涉及到的有以下6類:
1,混幣CoinJoin/混幣器Mixer:主要是用於隱匿支付,基於UTXO模型,本質是創作多筆相同的輸入和輸出的代幣轉賬來達到隱匿支付。可以在一定程度實現隱匿支付。不過,如果真要地址分析和控制,大不了是控制全部輸出的取款地址即可。為了克服混幣方案的問題,達世幣是提出隱私支付層的概念,讓隱私支付層參與存款地址的混合,以及減少存取地址之間的關聯。 Tornado則是結合ZKP切斷存取地址之間的關聯。
2,環簽名:多個地址組成環,環內某個地址的簽名可以不依賴其他地址即觸發環簽名,以及實現環內地址簽名的隱私性。門羅幣最早的方案。
3,同態加密:直接對密文進行計算和輸出結果。我們認為該項技術屬於前沿型技術,和零知識證明類似,但是對於密文操作的開銷非常大。現在在這個技術方向探索的有Polychain Capital和Coinbase Ventures投資的Sunscreen。
Tornado Cash:4,安全多方計算(MPC):在沒有可信第三方參與的前提下,讓多個參與方可以安全不洩露地進行計算。萬向區塊鏈董事長肖風博士發起的PlatON在這方面有比較長時間的研究使用。
6,ZKP:利用零知識證明技術實現隱私支付和隱私通用計算。隱私支付的新項目有Iron Fish,PoW網絡+UTXO模型+Groth16的zk-SNARK,和ZCash的設計很相似,沒有提到是否支持隱私編程。隱私通用計算項目最出名的是Aleo、Aztec和Espresso。存款和取款。講完基本的實現方案,我們挑選一些涉及到零知識證明的項目展開學習和分析。Note我們經常看到的介紹是,用戶向Tornado存款,取得存款憑證,然後在取款的時候,任意用戶(地址)使用存款憑證即可取出資金,如此實現的隱私支付交易。這樣的說明是從使用體驗角度出發的,但是,並沒有深入到Tornado的內核。 Tornado實現隱私的技術有兩點:混淆資金進出的整存整取資金池,切斷存取地址關聯的ZKP。Commitment混幣池相對容易理解,所以,我們將分析重心放在ZKP。由於現在Tornado的前端網站和代碼倉都關停,難以找到官方的資料,所以,我們直接從鏈上交易和合約代碼進行分析,用戶實際與Tornado要做的操作只有兩種:Proof、Root、NullifierHash。存款和取款。這都是通過Tornado Cash的路由合約進行,路由合約會調用具體存取金額(1ETH/10ETH等)的合約。存款操作Tornado返回用戶,向鏈上提交
。取款操作向鏈上提交
中心化代碼構造生成(Commitment)保,是理解ZKP使用的關鍵。我們將Tornado類比為一個負責存取款的銀行,以太坊類比為公開的金庫,即可較為容易地理解用戶在Tornado 的操作步驟:1,存款:用戶填寫存款單據,銀行使用單一專門的保險箱(Commitment)保管存款單據,並且根據(Note)
隨機編號生成兩個密碼,一個密碼用於給保險箱上鎖,一個密碼用於記錄資金的存取狀態(Root),然後,將(NullifierHash)上鎖的、具有資金存取狀態的(Proof)保險箱放入公開金庫的某個秘密隨機位置。銀行將保險箱、隨機編號和保險箱存放位置信息返回用戶;
2,取款:用戶把隨機編號和保險箱存放位置告訴銀行,銀行可以通過計算得知:保險箱的秘密隨機位置。一切檢查驗證無誤的情況下,完成取款以及更新資金存取狀態;圖片描述
Figure15: Tornado Cash TVL and MarketCap
Aztec:通過Mixer混幣器和零知識證明,Tornado在
以太坊主網
主打隱私保護和隱私資產互操作性的zk-Rollup Layer2網絡,採用自主研發的Plonk協議,推出了zk.money隱私支付產品,近期推出連接橋Aztec Connect,未來將會推出Plonk Rollup的擴容二層網絡。在Plonk Rollup二層網絡裡,將會推出電路編程語言Noir支持隱私智能合約。 Plonk協議需要進行可信設置,不過,Aztec採用了MPC(多方安全計算)解決可信設置。 MPC的可信設置是讓多個值得信賴的公眾知名人士共同去背書。 Aztec在2020年1月用點火儀式完成了MPC的可信設置。產品的迭代路線是逐層推進的,從早期的zk.money,到近期的Aztec Connect,以及未來的Plonk Rollup,Aztec團隊在一步一步地完善自己的產品定位,以及對應Plonk協議的調整和優化( TurboPlonk、UltraPlonk)。在Aztec 1.0時期對於Aztec協議做了大幅的介紹,現在是Aztec 2.0時期,官網找不到太多網絡整體的設計,所以,我們沿用Aztec 1.0的文檔進行學習。
圖片描述
Figure16: Aztec 1.0 Architecture
圖片描述
Aleo:圖片描述
Figure17: The Future of Zero Knowledge with Aleo
Espresso:圖片描述圖片描述
Figure18: Espresso Systems Configurable Asset Privacy for Ethereum
Zecrey:圖片描述
對於Aleo和Aztec各自的特點都有所研究和改進,基於ZK Rollup的L2和可配置資產隱私的L1雙層網絡。可配置隱私資產允許資產創建者設置資產的收發地址、收發數量、持有數量等的隱私查看規則和資產凍結規則。對於ZEXE的概念提出自己的VERI-ZEXE,對於Aztec的TurboPlonk和UltraPlonk提出自己優化版的PLONK,並將Rust實現版代碼命名為Jellyfish和開源。當前,
圖片描述
圖片描述
雙層網絡,支持多鏈ZKR的L2、以及具有跨鏈功能和隱私保護的L1,但是不支持zkEVM/zkVM。 L1的隱私是基於BulletProofs協議改良版(LNCS)/ Sigma協議的混淆資金池,直接在公鏈層面向用戶提供隱私轉賬和隱私交易的功能。 L2的ZKR使用的是PLONK協議。參考官方白皮書的架構圖,有一大部分是L1/L2進行ZKR的設計,我們拿出來分析學習。
Layer-2 Commiter:收集交易和構造L2區塊。
Block Monitor:L2區塊狀態更新者。
Committer收集交易,構造L2區塊,Prover Network監聽區塊,為Committed狀態的區塊計算證明,TSS-based Verifier Network收集證明,將證明提交到L1的智能合約,Block Monitor監聽L1區塊打包情況,確認後更新L2區塊狀態。
圖片描述
Figure19: Zecrey System Architecture
Manta Network:圖片描述
Figure20: Manta Architecture (Implemented as a Parachain)
圖片描述圖片描述(Fractal Instance)Anoma Network:以Intent(意圖)為中心、有可組合性的隱私保護,可以去中心化發現對手方、解決多鏈原子結算交易的一層網絡。(Settle)圖片描述
Figure21: The lifecycle of a transparent, shielded, and private intent in the Anoma architecture
Iron Fish:圖片描述
圖片描述
Figure22: Web3 Privacy Ecosystem
圖片描述圖片描述一級標題
一級標題
圖片描述
Figure23: Zero Knowledge Investments In Scaling
Figure24: Zero Knowledge Investments in Privacy Protection
零知識證明的投資方向圖片描述
圖片描述圖片描述
可以看出, ZK擴容項目估值最高的是Starkware,高達80億,ZK隱私項目最高的是Aleo,估值14.5億。考慮到項目在隱私和擴容敘事可以並行出發,甚至一些隱私項目是雙層網絡,所以,難以比較兩個賽道的平均融資金額。單從最高估值而言,擴容賽道在一級市場的認可度是高於隱私賽道。擴容賽道之中,在協議、電路語言、zkVM和服務項目等多方面有優勢的Starkware無疑是資本市場的寵兒。另外,其他主打zkEVM兼容的擴容項目,也同樣獲得資本市場的熱愛。隱私賽道之中,在電路語言、開發者工具鍊等方面有優勢的Aleo比起研發PLONK和PLookup技術的Aztec更為吃香,也側面說明資本市場對於商業落地型項目的偏重。
二級市場方面,由於幣價波動較大,ATH的流動性基本不足,我們簡單參考FDV的區間。 ZKR型擴容項目暫未發幣,我們藉用(ORU)項目Optimism進行對標,OP的FDV是20億到95億;而在隱私保護賽道,ZCash在15億到45億之間,Oasis在7億到59億之間,Tornado的FDV則從剛上線時的30億,一路下跌到現在僅9000萬。
由此可以看出二級市場對於擴容賽道項目的認可,基本和公鏈處於同一個層級,而對於隱私賽道則相對比較保守。
由於ZK這項技術在學術研究層面不斷創新突破,在工程實踐層面也不斷推進落地,因此,投資機構一直都非常鍾愛和熱衷。不僅如此,除了本文提到的兩個主要賽道,ZK也可以用於其他場景,例如輕量區塊鏈(Mina)、去中心化身份(Polygon ID)和隱私預言機網絡(Chainlink的Deco) 。從眾多知名ZK項目之中,我們觀察到這些不同的項目發展路線和生態發展路線,或多或少都是在構建二層的公鏈。與公鏈的研發技術棧類似,ZK項目涉及的技術棧依然涵蓋方方面面:
零知識證明協議、電路編程語言、語言應用庫/包、語言開發調試工具鏈(IDE)、zkVM/zkEVM設計實現、去中心化共識機制等。
在面對使用零知識證明的擴容和隱私項目時,我們提煉了一些簡單的思考列表,匯總如下,用於和項目溝通交流學習。
1,不同的零知識證明協議有各自的優缺點,出於什麼考慮進行選擇?
2,假設是zkVM型項目,要怎麼高效、安全地設計開發者友好的電路編程語言?
5,ZK計算Proof的時候,怎樣可以採用FPGA/GPU等硬件進行加速?
參考鏈接
參考鏈接
https://mirror.xyz/0x8C4d5E90196325FB22Fff37C97D7984a37e51D11/dhOEzNXqotPftpjf2gh7Hz7qZwu3lQRWYmlE_sSe7is
https://docs.starknet.io/docs/intro
https://v2-docs.zksync.io/dev/
https://scroll.mirror.xyz/nDAbJbSIJdQIWqp9kn8J0MVS4s6pYBwHmK7keidQs-k
https://docs.hermez.io/zkEVM/Overview/Overview/
https://mirprotocol.org/blog/Scalability-on-Mir
https://aztec-protocol.gitbook.io/zkproofs-proposal/
https://docsend.com/view/ntcsmt7meu84gcqkZecrey: A Turn-key Solution for Cross-chain and Privacy
https://eprint.iacr.org/2021/743.pdfMANTA: a Plug and Play Private DeFi Stack
https://betterprogramming.pub/understanding-zero-knowledge-proofs-through-the-source-code-of-tornado-cash-41d335c5475f
https://github.com/anoma/whitepaper/blob/main/whitepaper.pdfAnoma: a unified architecture for full-stack decentralized application
