关键点就是把特定任务交给特定的协处理器做,就像一个工厂里,老板知道每个环节的步骤,也可以自己做,也可以教员工整个生产过程,但是这样效率就很低,只能一个一个生产,一个生产完了才能生产下一个,于是他雇了很多特定的员工,他们各司其职,在自己的车间做着生产链条上自己擅长的工作,链条的环节之间可以互相进行通信协同但互不干涉对方的工作,只做自己最擅长的事,手速快体力好的就打螺丝,懂操作机器的就去操作机器,懂财会的就去计算生产量和成本,异步协同工作从而最大化工作效率。
在工业革命的时候,资本家们就已经发现这种模式能给自己的工厂带来最大的产能,但可能因为技术或者别的原因,生产环节中的一步遇到壁垒的时候,可能要外包别的专门的生产商去做,比如说一个生产手机的公司,芯片可能由别的专门的芯片公司生产,手机公司就是中央处理器,芯片公司就是协处理器。协处理器能够轻松异步处理中央处理器自身难以处理的壁垒较大和繁琐的特定任务。
ZK协处理器广义上比较宽泛,有的项目叫自己协处理器,有的叫ZKVM,但是都是同一个思路:允许智能合约开发者在现有的数据上无状态地证明链下计算。简单来说就是把一些链上计算的工作丢到链下,降本增效,同时用ZK保证计算的可靠性,并保护特定数据的隐私。在数据驱动的区块链世界里,这显得尤为重要。
二、为什么我们需要ZK协处理器智能合约开发者面临的最大瓶颈之一仍然是与链上计算相关的高昂成本。由于每次操作都要计量Gas,因此复杂应用逻辑的成本很快就会变得高到没法执行,因为区块链的DA层中的存档节点虽然确实能够存储历史数据,这也是为什么像Dune Analytics,Nansen,0xscope,Etherscan这些链外分析应用能有那么多来自区块链上的数据,并且可以追溯到很久以前,但对于智能合约来说要访问所有的这些数据并不简单,它只能够轻松访问虚拟机状态中储存的数据,最新的区块数据,以及其他公开的智能合约的数据。对于更多的数据,智能合约可能要耗费很大的功夫去访问:
智能合约在以太坊虚拟机(EVM)中能够访问最近的256个区块的区块头哈希值。这些区块头包含了区块链中直到当前区块为止的所有活动信息,并通过默克尔树和Keccak哈希算法被压缩成了32字节的哈希值。
虽然这些数据被哈希打包过了,但其实它们是可以解压的——只是这并不容易实现。例如,如果你想利用最近的区块头来无需信任地访问上一个区块中的特定数据,这涉及一系列复杂的步骤。首先,你需要从存档节点获取链外数据,然后构建一个默克尔树和区块的有效性证明,以验证该数据在区块链上的真实性。随后,EVM会处理这些有效性证明,进行验证和解释,这种操作不仅繁琐而且时间长,Gas还特别贵。
这个挑战的根本原因在于,区块链虚拟机(如EVM)本身并不适合处理大量数据和密集型计算任务,比如上述的解压缩工作。EVM的设计重点是在保证安全和去中心化的同时,执行智能合约代码,而非处理大规模数据或进行复杂的计算任务。因此,当涉及到需要大量计算资源的任务时,通常需要寻找其他解决方案,比如利用链下计算或其他扩展技术,这时候,ZK协处理器应运而生。
ZK rollups 其实就是最早的ZK协处理器,以更大的规模和数量支持在 L1 上使用的同类型计算。这个处理器是协议层面上的,现在我们说的ZK协处理器是dapp层面上的。ZK 协处理器通过允许智能合约使用 ZK 证明无信任地委托历史性链上数据访问和计算来增强智能合约的可拓展性。开发者可以将昂贵的操作转移到 ZK 协处理器上,并简单地使用链上的结果,而不是在 EVM 中执行所有操作。通过将数据访问和计算与区块链共识解耦,这为智能合约提供了一种新的扩展方式。
ZK 协处理器为链上应用引入了一种新的设计模式,消除了计算必须在区块链虚拟机中完成的限制。这使得应用程序在控制gas成本的情况下可以访问更多数据,并以比以前更大的规模运行,在不损害去中心化和安全性的情况下增加了智能合约的可扩展性和效率。
三、技术实现这个部分将以Axiom的架构诠释技术上zk coprocessor是怎么解决问题的。其实就是两个核心:数据抓取和计算。在这两个过程中,ZK同时保障了效率和隐私。
3.1 数据抓取在 ZK 协处理器上执行计算最重要的一个方面是确保从区块链历史中正确访问所有输入数据。 前文有提到过其实这挺难的,因为智能合约只能在其代码中访问当前的区块链状态,而即使是这种访问也是链上计算中最昂贵的部分。这意味着交易记录或以前的余额等历史性链上数据(计算中有趣的链上输入)无法被智能合约本地使用,以验证协处理器的结果。
ZK 协处理器通过三种不同的方式来解决这个问题,在成本、安全性和开发难度之间进行权衡:
- 在区块链状态中存储额外数据,并使用 EVM 存储读取验证协处理器在链上使用的所有数据。 这种方法相当昂贵,对于海量数据来说成本过高。
- 信任Oracle或签名者网络来验证协处理器的输入数据。 这要求协处理器用户信任Oracle或多重签名提供者,但这样降低了安全性。
- 使用 ZK 证明来检查协处理器中使用的任何链上数据是否在区块链历史中得到了承诺。区块链中的任何区块都会提交所有过去的区块,因此会提交任何历史数据,从而为数据有效性提供加密保证,并且不需要用户提供额外的信任假设。
- 自定义电路: 开发人员为每个应用编写自己的电路。 这种方法具有最大的性能潜力,但需要开发人员投入大量精力。
- 电路的 eDSL / DSL: 开发人员为每个应用编写电路,但要在一个有主见的框架中抽象出 ZK 特有的问题(类似于使用 PyTorch 处理神经网络)。但这样性能就稍微低一些。
- zkVM 开发人员在现有虚拟机中编写电路,并在 ZK 中验证其执行。在使用现有虚拟机时,这为开发人员提供了最简单的体验,但由于虚拟机和 ZK 之间的计算模型不同,这样性能和灵活性都比较低。
- 时间加权平均做市商(TWAMM);
- 基于波动性或其他投入的动态费用;
- 链上限价订单;
- 将超出范围的流动性存入借贷协议;
- 定制化的链上预言机,例如几何平均数预言机;
- 自动复利 LP 手续费到 LP 头寸;
- Uniswap的 MEV 利润分配给 LP;
- LP或者交易员的忠诚度折扣计划;
五、项目方这个赛道里已经有了一些佼佼者,思路其实都差不多,通过storage proof或者共识生成ZK证明然后丢到链上,但技术特点和实现的功能各有所长。
5.1 AxiomAxiom作为ZK(零知识)协处理器的领导者,专注于智能合约能够无需信任地访问整个以太坊历史和任何ZK验证计算。开发者可以向Axiom提交链上查询,Axiom随后通过ZK验证处理这些查询,并以无信任的方式将结果回传给开发者的智能合约。这使得开发者能够构建更丰富的链上应用程序,而无需依赖额外的信任假设。
为了实现这些查询,Axiom执行以下三个步骤:
- 读取:Axiom利用ZK证明,无需信任地从以太坊历史区块的区块头、状态、交易和收据中读取数据。由于所有以太坊链上数据都以这些格式编码,Axiom因此能够访问存档节点能够访问的所有内容。Axiom 通过Merkle-Patricia三元组和区块头哈希链的 ZK 证明来验证 ZK 协处理器的所有输入数据。 虽然这种方法开发起来比较困难,但它能为最终用户提供最佳的安全性和成本,因为它能确保 Axiom 返回的所有结果在密码学上等同于 EVM 中进行的链上计算。
- 计算:数据摄取后,Axiom在其上应用经过验证的计算。开发者可以在JavaScript前端指定他们的计算逻辑,每次计算的有效性都在ZK证明中得到验证。开发者可以访问AxiomREPL或查看文档,了解可用的计算原语。Axiom通过 eDSL 允许用户访问链上数据并指定自己的计算。还允许用户使用ZK电路库编写自己的电路。
- 验证:Axiom为每个查询结果提供ZK有效性证明,这些证明确保(1)输入数据是从链中正确提取的,(2)计算是正确应用的。这些ZK证明在Axiom智能合约中进行链上验证,确保最终结果在用户的智能合约中可靠使用。
RISC Zero zkVM: RISC Zero zkVM首次发布于2022年4月,可以证明任意代码的正确执行,使开发者能够用成熟的语言如Rust和C++构建ZK应用。这个发布是ZK软件开发的一个重大突破:zkVM使得无需构建电路和使用定制语言就能构建ZK应用成为可能。
通过允许开发者使用Rust并利用Rust生态系统的成熟度,zkVM使开发者能够快速构建有意义的ZK应用,无需有高级数学或密码学方面的背景。
这些应用包括:
- JSON:证明JSON文件中某个条目的内容,同时保持其他数据的私密性。
- Where's Waldo:证明Waldo出现在JPG文件中,同时保持图像的其他部分私密。
- ZK Checkmate:证明你看到一步将军,而不透露获胜的举动。
- ZK Proof of Exploit:证明你可以利用一个以太坊账户,而不透露漏洞。
- ECDSA签名验证:证明ECDSA签名的有效性。
应用界面:Brevis的当前系统支持高效且简洁的ZK证明,为连接至区块链的去中心化应用(dApp)合约提供以下经过ZK证明的源链信息:
- 源链上任何区块的区块哈希值及相关状态、交易、收据根。
- 源链上任何特定区块、合约、槽的槽值和相关元数据。
- 源链上任何交易的交易收据和相关元数据。
- 源链上任何交易的交易输入和相关元数据。
- 源链上任何实体发送至目标链上任何实体的任意信息。
- 中继器网络:它同步来自不同区块链的区块头和链上信息,并将其转发给验证器网络以生成有效性证明。之后,它会将验证过的信息及其相关证明提交至连接的区块链。
- 证明者网络:为每个区块链的轻客户端协议、区块更新实现电路,并生成所请求的槽值、交易、收据以及集成应用逻辑的证明。为了最小化证明时间、成本和链上验证成本,证明者网络可以汇总同时生成的分布式证明。此外,它还可以利用GPU、FPGA和ASIC等加速器来提高效率。
- 连接区块链上的验证器合约:接收由验证器网络生成的经过zk验证的数据和相关证明,然后将经过验证的信息反馈给dApp合约。
5.4 LangrangeLangrange和Brevis的愿景类似,旨在通过ZK Big Data Stack增强多链之间的互通,它能够在所有主流区块链上创建通用的状态证明。通过与Langrange协议集成,应用程序能够提交多链状态的聚合证明,这些证明随后可以被其他链上的合约以非交互的方式验证。
与传统的桥接和消息传递协议不同,Langrange协议不依赖于特定的节点组来传递信息。相反,它利用加密技术来实时协调跨链状态的证明,这包括那些由不受信任的用户提交的证明。在这种机制下,即使信息来源不可信,加密技术的应用也保证了证明的有效性和安全性。
Langrange协议一开始将与所有EVM兼容的L1、L2 rollups兼容。此外,Langrange还计划在不久的将来支持非EVM兼容链,包括但不限于Solana、Sui、Aptos以及基于Cosmos SDK的流行公链。
Langrange协议与传统桥接和消息协议的区别:
传统的桥接和消息传递协议主要用于在特定的一对链之间转移资产或消息。这些协议通常依赖于一组中间节点来确认源链在目标链上的最新区块头。这种模式主要针对单一对单的链关系进行优化,基于两个链的当前状态。相比之下,Langrange协议提供了一种更通用、更灵活的跨链交互方法,使应用程序能够在更广泛的区块链生态系统中进行交互,而不仅限于单一的链对链关系。
Langrange协议专门优化了用于证明链间合约状态的机制,而非仅限于信息或资产的传输。这一特点允许Langrange协议有效地处理涉及当前和历史合约状态的复杂分析,这些状态可能跨越多条链。这种能力使得Langrange能够支持一系列复杂的跨链应用场景,例如计算多链去中心化交易所(DEX)上资产价格的移动平均值,或者分析多条不同链上货币市场利率的波动性。
因此,Langrange状态证明可被视为对多对一(n对1)链关系的优化。在这种跨链关系中,一条链上的去中心化应用(DApp)依赖于来自多条其他链(n条)的实时和历史状态数据的聚合。这一特性极大地拓展了DApp的功能和效率,使其能够汇总和分析来自多个不同区块链的数据,进而提供更深入、全面的洞察。这种方式显著区别于传统的单一链或一对一链关系,为区块链应用提供了更加广阔的潜力和应用范围。
Langrange此前获得了1kx,Maven11, Lattice,CMT Digital和gumi crypto等机构的投资。
5.5 HerodotusHerodotus 旨在为智能合约提供来自其他以太坊层的同步链上数据访问。他们认为存储证明可以统一多个 Rollups 的状态,甚至允许以太坊层之间的同步读取。简单来说就是跨EVM主链和rollup之间的数据抓取。目前支持ETH主网,Starknet,Zksync,OP,Arbitrum和Polygon。
Herodotus定义的Storage Proof是一种复合证明,可用于验证大型数据集中的一个或多个元素的有效性,比如整个以太坊区块链中的数据。
Storage Proof的生成流程大致分为三个步骤:
第一步:获取可验证承诺的区块头储存累加器
- 这一步是为了获取一个我们可以验证证明的“承诺”。如果累加器还没有包含我们需要证明的最新区块头,我们首先需要证明链的连续性,以确保覆盖到包含我们目标数据的区块范围。例如,如果我们要证明的数据在区块1,000,001中,而区块头储存的智能合约只覆盖到区块1,000,000,那么我们就需要对头存储进行更新。
- 如果目标区块已在累加器中,则可以直接进行下一步。
- 这一步需要从以太坊网络中所有账户构成的状态树(State Trie)中生成包含证明。状态根是推导区块承诺哈希的重要部分,也是头存储的一部分。需要注意的是,累加器中的区块头哈希值可能与区块的实际哈希值不同,因为为了提高效率,可能采用了不同的哈希处理方法。
- 在这一步,可以为诸如nonce、余额、存储根或codeHash等数据生成包含证明。每个以太坊账户都有一个存储三元组(Merkle Patricia Tree),用于保存账户的存储数据。如果我们要证明的数据在账户存储中,那么就需要为该存储中的特定数据点生成额外的包含证明。
Herodotus已经得到了Geometry,Fabric Ventures,Lambda Class以及Starkware的支持。
5.6 HyperOracleHyper Oracle专门为可编程零知识预言机设计,旨在保持区块链的安全性和去中心化。Hyper Oracle通过其zkGraph标准,让链上数据和链上等价计算变得既实用又可验证,并且具有快速终结性。它为开发人员提供了一种全新的方式来与区块链互动。
Hyper Oracle的zkOracle节点主要由两个组件构成:zkPoS和zkWASM。
- zkPoS:这个组件负责通过零知识(zk)证明获取以太坊区块链的区块头和数据根,以确保以太坊共识的正确性。zkPoS还充当zkWASM的外部电路。
- zkWASM:它使用从zkPoS获取的数据作为运行zkGraphs的关键输入。zkWASM负责运行由zkGraphs定义的定制数据映射,并为这些操作生成零知识证明。zkOracle节点的操作员可以选择他们想要运行的zkGraph数量,这可以是从一个到所有已部署的zkGraph。生成zk证明的过程可以委托给分布式的证明者网络。
为了维护网络安全,Hyper Oracle网络只需要一个zkOracle节点。然而,网络中可以存在多个zkOracle节点,针对zkPoS和每个zkGraph进行操作。这样可以并行生成zk证明,从而显著提高性能。总的来说,Hyper Oracle通过结合先进的zk技术和灵活的节点架构,为开发者提供了一个高效且安全的区块链互动平台。
2023年1月,Hyper Oracle宣布获得由Dao5,红杉中国,Foresight Ventures,FutureMoney Group共同参与的300万美元种子轮前融资。
5.7 PadoPado在ZK协处理器中是一个比较特殊的存在,其他协处理器专注于抓取链上数据,而Pado提供了抓取链下数据的路径,旨在把所有互联网数据带入智能合约当中,在保证隐私和无需信任外部数据源的情况下一定程度上替代了预言机的功能。
5.8 ZK coprocessor和预言机的对比
- 延迟: 预言机是异步的,因此与ZK coprocessor相比,访问平面数据时的延迟更长。
- 成本: 虽然许多预言机不需要计算证明,因此成本较低,但安全性较低。存储证明成本更高,但安全性更高。
- 安全性: 数据传输的最大安全性以预言机自身的安全级别为上限。相比之下,ZK coprocessor与链的安全性相匹配。此外,由于使用链外证明,预言机容易受到操纵攻击。
Pado采用加密节点作为后端证明者。为了降低信任假设,Pado团队将采取演进策略,逐步完善证明者服务的去中心化。证明者积极参与用户数据检索和共享过程,同时证明从网络数据源获取的用户数据的真实性。其独特之处在于,Pado利用了 MPC-TLS(传输层安全多方计算)和 IZK(交互式零知识证明),使证明者能够 "盲目 "地证明数据。这意味着验证者看不到任何原始数据,包括公共和私人用户信息。不过,验证者仍可通过加密方法确保任何传输的 TLS 数据的数据来源。
- MPC-TLS:TLS是一种安全协议,用于保护互联网通信的隐私和数据完整性。当你访问一个网站,并在URL上看到“锁”图标和“https”时,就意味着你的访问是通过TLS进行保护的。MPC-TLS模仿了TLS客户端的功能,使Pado的验证器能够与TLS客户端协作,执行以下任务:
- 需要注意的是,这些与TLS相关的操作都是在客户端和验证者之间通过双方计算(2PC)协议执行的。MPC-TLS的设计依赖于一些加密技术,如混淆电路(GC)、遗忘传输(OT)、IZK等。
- 建立TLS连接,包括计算主要密钥、会话密钥和验证信息等。
- 在TLS通道中执行查询,包括生成加密请求和解密服务器响应。
- IZK:交互式零知识证明是一种证明者和验证者可以进行交互的零知识证明。在IZK协议中,验证者的结果是接受或拒绝证明者的声明。与简单的NIZKs(如zk-STARKs或zk-SNARKs)相比,IZK协议具有几个优点,如对大型声明的高扩展性、低计算成本、无需可信设置以及最小化内存使用。
试想在将来的一个场景:利用ZK做数据验证的高可信度和隐私性,网约车司机们可以在自己的平台之外另外建立一个聚合网络,这个数据网络可以涵盖Uber,Lyft,滴滴,bolt等等,网约车司机可以提供自己平台的数据,你拿一块,我拿一块,在区块链上把他拼起来,慢慢地独立于自己平台的网络就建立起来了,聚合了所有的司机数据,成为了网约车数据的大聚合器,同时可以让司机匿名,不泄漏自己的隐私。
