ChainCatcher 链捕手

Posted on Mar 24, 2022Read on Mirror.xyz

详解Polygon全栈zk扩容方案:Hermez、Nightfall、Miden和 Zero

作者:Pedro,Polygon DAO作者

整理:海尔斯曼,链捕手

Polygon为zk扩容做出了10亿美元的重金承诺,四种扩容方案虽都建立在zk技术之上,但各有千秋,策略不同。那么,这四种方案具体技术特性与开发进度如何?

长期以来,以太坊L2之争的焦点都被ZK Rollup和Optimistic rollup两者占据。因为OP的EVM兼容性和技术较为成熟等特性,更容易被项目开发者采用,因此,OP在当下更为通用和主流。据L2BAET的数据,仅Arbitrum、Optimism、Metis三个采用OP方案的项目,就占据了L2市场份额的70.8%。而ZK rollup因开发难度较高、技术进展较慢,目前采用率和市场份额占比都比较低。

作为目前总锁仓量最高的以太坊扩容方案,Polygon则坚定地将扩容的未来押注到了zk技术上。去年,Polygon大手笔收购了Hermez、Mir,并为zk扩容做出了10亿美元的重金承诺。

现在,Polygon拥有了“一整套”zk扩容方案,分别是Hermez、Nightfall、Miden和 Zero。四种扩容方案虽都建立在zk技术之上,但各有千秋,策略不同。那么,这四种方案具体技术特性与开发进度如何?哪个更有希望先杀出来?

在这篇文章中,我们将详细讨论这四种zk解决方案,包括其开发历史、运作机制和开发进度等。以下内容整理自Polygon DAO专栏作者Pedro关于Polygon研究的Medium系列文章,链捕手在原文基础上进行了适当的精简和便于理解的增补。

一、Polygon Zero

Polygon Zero是一个 ZK L2 解决方案,由最快速、最高效的递归证明系统 Plonky2提供支持。前身为Mir协议,是由Brendan Farmer和Daniel Lubarov 创办的Predicate Labs于2019年构建。Mir协议的特色是,执行程序过程中会生成递归的 ZKP(zk-proof)验证。简而言之,递归证明就像生成证明的证明。用于验证一组交易证明是否有效。

递归证明是一项非常年轻的技术,于2014年首次在理论上被引入。2019年,Mir能够在 2 分钟内生成递归证明,显然,这时间不算短,也缺乏扩展性。

2020年,由于Aztec团队的探索,Mir 取得了巨大突破,实现了在60秒内生成递归证明。在此基础上,Mir 团队开发了 Plonky,允许 Mir 协议在15秒内生成递归证明。

2021年12月,Polygon以4亿美元收购了Mir,协议更名为 Polygon Zero。最初Mir正在构建的启用zk技术的独立L1链的设想,变为在Polygon之上构建一个分布式的 zk-rollup。

今年1月,Polygon Zero发布了Plonky2,这一技术能在Mac-Book Pro上以小于170毫秒的速度生成递归证明。这是有史以来最快的递归证明。而递归证明这项技术的突破,也将为Polygon Zero服务——Plonky2将支持最具可扩展性的 zkEVM。

1、Plonky2

Plonky2是Plonky1的迭代,前面也提到它建立在2020年Aztec构建的验证系统之上。

这三者之间的一个共同点是Plonk,所以我们需要先弄明白Plonk是什么。

ZKP是指在不透露相关信息的同时生成某个计算的有效性证明。所以没有信息并不会被泄露,只是生成证据。

两个主要的 ZKP分别是SNARK和STARK由于下文会反复提到这两种证明系统,所以链捕手在此处增加了对二者的详细对比)。二者主要区别包括:SNARK依赖椭圆曲线来保证安全性,而STARK依赖散列函数来保证安全,使用散列函数意味着量子抗性。

SNARK 和 STARK 对比,来源: Consensys 官网

SNARK的证明规模更小,这意味着链上数据存储更少,最终用户支付的gas更少。尽管SNARK对开发人员更加友好,但STARK提供了一些独特的优势,例如会更加透明,不需要受信任的设置,而且是“量子安全”的,在未来会有更大的潜力。这些优势也曾让Vitalik称STARK其实是“更新、更耀眼”的技术。

但因为SNARK早在2012年就被提出并投入使用,而STARK则在2018年才被提出。所以,SNARK在采用方面具有很大的先发优势,目前Z-Cash、路印协议和摩根大通都采用了SNARK 技术,而且因为被广泛采用,SNARK 拥有更多已发布的代码、开发人员库、项目和开发人员。但STARK作为新星,因其独特的优势,也在被更多项目采用。

Plonk是证明系统的名称,它属于SNARK证明系统的一种。

接下来,我会分析几种与Plonk结合的不同类型的方案:

Aztec 使用 Plonk + KZG的递归证明时间为60秒;

Plonky1使用 Plonk + Halo,递归证明时间为15秒。Halo于2019年由 Zcash 首次推出,是第一个不需要可信设置的递归证明方案。但Halo的缺点是不兼容以太坊,这就是为什么Mir 会在最初想建立独立的L1链;

Plonky2使用Plonk + FRI,递归证明时间为170毫秒。2021年,Polygon Zero负责人Daniel Lubarov提出将 FRI与Plonk结合。

FRI是用于STARK的方案,这意味着通过使用FRI,Plonk就变成STARK(Plonk最初是SNARK的一种),也意味着增加系统的透明度。当时,只有一个项目(Fractal)实现了递归FRI证明,该协议的证明时间约为10分钟且不可扩展。

为了保证快速,Polygon Zero采用了Plonky的第一个版本,并用FRI替换了Halo。上文图表可看出,FRI 的证明速度是“可变的”,提交的数据越少,获得的证明就越快。但数据越少,安全性就越低。

2、Plonky2正在构建什么?

如前所述,Polygon Zero最终要建设由Plonky2提供支持的最具可扩展性的zkEVM。

即,每个zk-rollup都需要一个zkEVM才能真正处理计算。用于Polygon Zero的zk-rollup 的zkEVM将由Plonky2提供支持,这是目前最高效、最快的zk证明系统。

开发人员将能够在Polygon Zero之上部署智能合约,不仅能利用Polygon的高性能,同时也利用以太坊的安全性。据其中一位创始人的说法,此L2将允许建设具有更多操作和功能的应用程序。

3、Polygon Zero和Starkware的区别

大多数rollup,包括Starkware,都会将交易打包,并生成该交易包中的每个事务都是有效的证明。

Polygon Zero使用递归证明,因此,每笔交易都会同时制作一堆非常快速的证明。然后将这些单独的交易证明捆绑在一起来创建更大的证明,即验证其他证明有效性的证明。

这意味着Polygon Zero可以进行水平缩放。因此,如果有一堆机器并行生成这些交易证明,那么添加更多机器(例如 Macbook)就可以证明更多交易。通过使用递归证明,可以扩展到更多事务,而不用以时间延迟为代价。

 Polygon Zero 相关数据

二、Polygon Hermez

五年前,三位共读MBA的同事Jordi Baylina、David Schwartz和Antoni Martin创办了一家名为Iden3的公司,他们从事的第一个项目是自主身份解决方案,当时项目被称为“自我主权身份”(Self Sovereign ID,简称SSI),与我们当下比较流行的去中心化身份DID其实是相同的概念。

但这三个人在研发SSI项目的过程中逐渐意识到,要想进一步让SSI成为主流,就必须先使得现有的区块链具备充分的可扩展性。这之后,三人决定转向新项目Hermez。

Hermez是基于zk技术的去中心化 L2 rollup 解决方案。Hermez 1.0 是目前正在运行的支付平台,该平台允许用户通过一个简单易用的网络或移动界面将任何已注册的 ERC-20 代币从一个 Hermez 帐户转移到另一个帐户。去年7月,该团队宣布开发zkEVM,Hermez 2.0,开发完成后将为以太坊带来一个完全兼容的zkEVM。

去年8月,Polygon宣布以2.5亿美元收购 Hermez。新项目将命名为Polygon Hermez,两个项目的代币 MATIC和HEZ进行合并,Hermez的26名员工也将加入 Polygon的80人团队。

1、Hermez 1.0

Hermez 最初是作为 zk-rollup 开始的,专注于在以太坊上扩展支付和代币转移。

rollup指的是打包一打交易(数千个)并在链下一次执行。当这数千笔交易在链外执行时,就Hermez而言,会生成一个 zk-SNARK。SNARK证明了批次中每笔交易的有效性,随后再由以太坊验证证明(SNARK),而不是单个交易。

与Optimistic rollup相比,zk rollup可以立即生效,实现即时提款,而Optimistic rollup必须等待 7 天。这种能够在恒定时间内高效验证证明的能力,是所有zk rollup的核心。

Hermez的处理速度为2000 TPS。据Hermez 团队介绍,在未来处理速度还将大幅提升。

Hermez上可进行三种不同的交易:

存款:将任何已注册的 ERC-20 代币从 L1 以太坊发送到 L2 Hermez。存款需要支付以太坊gas费。

转账:将任何已注册的 ERC-20 代币从一个 Hermez 账户发送到另一个 Hermez 账户,此类转账交易非常便宜且即时。

取款:将ERC-20 代币从 L2 Hermez 发送回 L1 以太坊。提款需要支付以太坊gas费。

在提款时需要注意的一点是,Hermez 提供了一种保护机制,即“强制提款”,允许用户随时将资金从 L2 Hermez 转回 L1 以太坊,即便是协调员在试图作恶的情况下。

协调者和捐赠证明

协调者是 Hermez 版本的区块生产者。这些人通过生成 zk-proof 来证明链下交易的有效性。

协调者就是将交易捆绑打包的人,他们会将所有的事务请求汇总在一个单元中,每次rollup会执行数千条事务,然后再生成zk-proof,再通过以太坊上的智能合约验证此zk证明。

Hermez之所以是去中心化的,是因为任何人都可以成为协调者并通过服务来赚取奖励。网络上可以同时有任意数量的协调者,但是只有一个能够实际处理交易并在任何给定的时间段(10 分钟长)内获得奖励。

Hermez网络通过拍卖过程选择下一个协调者。基本上任何人都可以使用 MATIC 代币出价,出价最高的人将赢得在 10 分钟内处理尽可能多的交易的权利,直到选择下一个协调员。这是一个非常有效的过程,因为它要求协调员在这 10 分钟内尽可能多地进行交易,以使获得的回报超过出价。

如果协调者竞标失败,MATIC代币将被退回原钱包,而那些竞标成功的资金,将有以下三个用途:

  • 30% 永久销毁
  • 40% 用于由以太坊基金会管理的捐赠账户
  • 30% 用于网络激励,以帮助推动 Hermez 网络的进一步采用。

值得一提的是,Hermez支持原子交易。原子交易是一连串不可再分的交易,要么交易全部发生,要么全部不发生。例如,Alice想向Bob发送1000 DAI来换取1 ETH,在原子交易的情况下,二者必须都发送代币给对方之后,交易才可以成功,缺少一个步骤,交易都会失败。所以,这种交易方式能有效预防诈骗。

2、Hermez 2.0

去年7月,在EthCC 4大会期间,Hermez团队宣布正在开发zkEVM即 Hermez 2.0。

我们都知道,目前L2多采用Optimism而ZK还没真正起飞的关键点就在于,zk还无法做到EVM兼容。所以,zkEVM就是要解决这个问题,在zk-rollup上运行智能合约。

目前很多项目也在开发zkEVM,仅在Polygon生态中,就有Polygon Zero和Polygon Hermez这两种解决方案。然而,每个项目都以不同的方式在解决这个问题,并且每个项目都有自己的权衡。

Hermez的特色在于不论是工具、生态系统还是安全性,均能与以太坊兼容。这就意味着在理想状态下,在以太坊上运行的智能合约能够在 L2 Hermez 上运行。为开发人员提供无摩擦的体验。Optimism和Arbitrum 一推出,就吸引了一批项目和用户迁移过来。不难想象,等zk-rollup成熟,会产生甚至更强的网络效应。

Hermez创始人Antoni Martin形容zkEVM说:“如果你充分利用每个解决方案的最佳部分,你就可以制造出最好的汽车……”。所以,Hermez在开发zkEVM时同时采用了SNARKS 和 STARKS 两种ZKP方案,力求两全其美。

具体而言,当Hermez处理交易并在链下产生新区块时,将生成一个STARK证明,证明这些交易都是有效的。STARK证明的问题是在链上(以太坊)验证成本很高,而SNARK则在此时就有了用武之地,它需要做的就是在以太坊上验证STARK证明的有效性。

如果你想进一步深入了解此 zkEVM 的架构,可点击此处查看 Hermez 2.0开发文档。

Hermez 2.0 (zkEVM)功能

上图展示了Hermez zkEVM 提供的不同功能。当然,2.0还在开发过程中,据主网上发布 2.0 路线图显示,Hermez 2.0计划于今年第一季度上线公测网络,主网预计于第二季度上线。还有一处划重点,那就是Hermez 2.0正在开发一个无需许可的跨链桥,允许用户将资产从Hermez L2转移到其他 L2。

三、Polygon Nightfall

去年9月,Polygon和全球专业服务和技术公司安永 (EY,Ernest & Young) 建立合作关系,随后发布了Polygon Nightfall。

安永在 2019 年公布了Nightfall的初始版本,和其他zk解决方案最不同的一点是,Nightfall是以隐私为重点的rollup,安永将其定位为“以太坊上最突出的隐私解决方案之一”。具体来说,就是Nightfall上每笔交易都包含隐私,意味着如果Alice向Bob发送一笔资产,其他人将无法看到该资产是什么、包含了多少价值或它去了哪里。

之所以更注重交易的隐私性,是因为安永瞄准的客户是企业。最开始,Nightfall试图直接在以太坊上构建第一个企业级区块链,但最后发现,在以太坊主网拥有隐私过于昂贵,于是转了L2并最终选择和Polygon合作。

二者合作发布的Polygon Nightfall是迭代多次后的Nightfall 3.0版本,其最突出的特点是有效地将Optimistic Rollup的主干概念与 ZK-Rollups 中常用的零知识 (ZK) 密码学相结合,从而实现了可扩展性和隐私性的融合

Polygon Nightfall目前正在测试网阶段,主网预计于今年上线。

1、Nightfall 如何运作?

Polygon Nightfall本质上是一个利用zk加密保护隐私的Optimistic Rollup。Polygon和安永的合作的重点在于使用Nightfall技术构建产业链,使企业能够以可预测的低费用且在监管指导下链接到L1上。

下图为Nightfall具体运作机制:

我们目前可以把可扩展性的瓶颈归结为“状态”,因为在在链上存储数据的成本很高。因此,扩展解决方案的目标是不断降低存储在链上的数据量。Nightfall在降低存储方面采用了成本更低的Optimistic rollup。

通常使用Optimistic rollup方案都会存在7天的挑战期,也就是说从L2提现到以太坊主网需要等待7天。但Nightfall改善了这一点,为用户提供了“即时退出”的选项。其运作方式是,由流动性提供者与用户该笔交易交换位置,先为用户垫付即时提款所需的资金,并在7天的等待期内占据该位置。

Nightfall希望交易同时兼具隐私性。所以,在Optimistic Rollup上,Nightfall添加了一个额外的zk隐私层,来保证交易的私密性

Nightfall VS Aztec

上图显示了两种不同的启用隐私的方法。左边的Polygon Nightfall使用了zk密码学的Optimistic rollup,右边的Aztec使用了zk rollup和zk密码学。我相信,最理想的方案是类似Aztec的zk/zk方法,但在当下,这种解决方法太昂贵了。所以,在一定程度上来说,Nightfall更像是一种能够立刻投入使用的折中方案。一旦zk费用得到解决,Nightall 团队会最终切换到zk/zk方案。

下图为Nightfall的架构:

2、具体用例

  • 金融企业和机构投资者:Nightfall独特的隐私性为希望将交易和掉期保密的投资组合管理公司创造了一个巨大的机会。
  • 为企业提供供应链可追溯性:企业可通过Nightfall处理供应、执行销售订单、私密支付等。目前,已有一家啤酒厂在使用安永的Nightfall供应链进行可追溯性交易,企业可轻松追踪有多少啤酒、它在哪里、运输数量等。此外,一家制药公司通过Nightfall来将生产线上的每一种产品都铸造成NFT,每天约产生60000个NFT。
  • ESG:ESG评级是针对企业在环境(Environmental)、社会(Social)和公司治理(Governance)三个方面进行评分考核,从长远角度判断企业是否具备可持续发展的价值。目前已有平台使用Nightfall技术,使用户可在不透露确切的慈善机构的情况下向某个慈善机构捐款。确保了资金使用上的私密性。而且通过在链上添加慈善机构的供应链,公众可以监督慈善机构的进度和资金去向。

四、Polygon Miden

去年11月,Polygon宣布推出基于zk-STARKs的扩容解决方案 Miden。这个项目由曾经主导研发了Winterfell技术的Facebook前核心零知识证明技术研究员领导。

Polygon Miden是一个基于STARK的zk rollup。Polygon Miden的特色是它旨在解决rollup很难支持任意逻辑和交易的挑战。rollup通过打包交易来减少链上数据存储,可以减少拥塞并降低交易费用,但很难支持交易包中的某个任意交易的验证,影响了它验证所有链下交易的能力。Polygon Miden通过使用Miden VM(虚拟机)来解决这个当今zk rollup的最大难题之一。

Polygon Miden 框架的核心组件有两个:Distaff VM和Winterfell。

Distaff VM是一个zk-EVM。每当在zk-VM中执行程序时,都会生成zk执行证明(zk-proof of execution)以验证程序是否正确运行,而无需实际运行该程序。Distaff是一个基于STARK的虚拟机。

对于在Distaff VM上执行的任何程序,都会自动生成基于 STARK 的执行证明。然后,任何人都可以使用这个证明来验证程序是否正确执行,而无需重新执行程序,甚至不需要知道程序是什么。

Miden VM就采用了Distaff VM,并为其添加一个更有效的证明系统——Winterfell。 Winterfell 是一个功能齐全的多线程STARK证明器和验证器,用于任意计算。本质上是性能更高的最新版本的STARK证明。

一旦开发完成,任何项目都可以在这个zk-rollup之上部署智能合约。

其他项目不同之处在于,Miden生成STARK证明。尽管使用STARK证明更贵,但它相对要更安全。Miden创始人还计划进一步研究递归STARK证明,来降低其价格。

1、Miden的架构

  • 交易首先会分发送给 Miden 的执行节点;
  • 这些执行节点一次将5000笔交易捆绑到区块中,并生成一个 STARK 证明;
  • 每200笔交易捆绑的区块生成一个STARK证明,证明交易的有效性;
  • 最后将最终STARK证明结果是上传到 L1 以太坊来达成共识和确定性。

2、Miden VM 的亮点:

  • 对开发人员友好:Miden的目标是让开发人员甚至无需学习任何有关密码学或 zk 证明的知识,即可在此 zkVM 之上运行智能合约。
  • 支持多种编程语言:团队正在努力增加对多种编程语言的支持,但同时保证Solidity优先。
  • 以安全为中心:通过zk技术使Miden VM比EVM本身更安全。
  • 以隐私为重点:虽然这不是现在的重点,但Miden团队在路线图部署了相关开发计划。

据官网公布的信息,Miden预计于2023年第一季度推出。

总结:

最后,我们再简单快速对比一下Polygon的四种zk扩容方案:

Polygon Zero开发了一种基于SNARK的递归证明系统 Plonky2,这一技术能在Mac-Book Pro上以小于170毫秒的速度生成递归证明。在如此高效、快速的Plonky2证明系统上,Polygon Zero将最终开发最具可扩展性的 zkEVM。

Hermez开发的zk rollup的特点是在交易过程中通过拍卖选择协调者,竞标成功的协调者为了盈利,会在单位时间内尽可能地进行交易,所以这一竞争机制会带来交易上的高效。此外,Hermez也在开发zkEVM,且同时采用了SNARK 和 STARK 两种ZKP方案,力求两全其美。

而Nightfall要更特殊一些,和其他zk解决方案最不同的一点是,Nightfall是以隐私为重点的rollup,他瞄准的客户是企业。此外,Nightfall有效地将Optimistic Rollup的主干概念与 ZK-Rollups 中常用的零知识 (ZK) 密码学相结合,从而实现了可扩展性和隐私性的融合。

Miden最核心的产品是Miden VM,和其他rollup不同,它采用较为冷门的STARK证明系统来建设虚拟机,旨在解决rollup很难支持任意逻辑和交易的挑战,提高验证所有链下交易的能力。

目前,四个方案多处于开发和测试阶段,都将于今年或明年正式上线。随着前述新zk解决方案的投入使用,Layer2将很大程度解决此前技术方案落后的质疑,并在主流Layer2解决方案中占有一席之地,为加密用户带来更多选择空间。

Polygon