为什么说 zkRollup 的可行性起源于零知识证明的计算代理思想？

作者：FoxTechCTO林彦熹，FoxTech首席科学家孟铉济

前言

Prover和Verifier之间的计算代理思想是零知识证明的核心内容之一，是调节证明者和验证者工作量于复杂度之间取舍的工具。不同的零知识证明算法本质的不同在于不同程度的计算代理；高度的代理虽然会使验证的计算容易，但是却可能使得证明的复杂度高，从而导致证明耗时长，或是生成的证明大小较大；反之，低程度的代理会使得验证者的开销较大。

图1:零知识证明的计算代理程度影响

计算代理是什么

随着以太坊上应用和用户的扩展，以太主网上的拥堵程度不断提升，使用zkRollup进行Layer2的扩容成为一个很有吸引力的方案，FOX就是专注于使用FOAKS算法进行zkRollup的项目。而zkRollup的可行性，本质上在于使用的零知识证明算法的原理可行性。简单来说，零知识证明算法实现的功能是使得证明者向验证者证明某件事，但又不透露任何关于这件事的信息。zkRollup的构造就是利用了这个性质，使得Layer2的节点可以执行原本在Layer1进行的计算，同时向Layer1节点提供计算正确性的证明。

美SEC专员：SEC正试图“插上监管旗帜”，而国会仍在选择监管机构:金色财经报道，美国SEC专员Hester Peirce在The Scoop播客上表示，在过去几周的一系列执法行动之后，美国证券交易委员会（SEC）正试图“插上监管旗帜”，而国会仍在考虑哪个机构将监管加密货币。要弄清楚如何有效地监管加密货币将是一场斗争。Hester Peirce还称，我们将努力一段时间才能达到我们真正有效监管它的地步。接下来发生的很多事情取决于国会以及他们选择监管的机构。未来两年对于加密货币行业的长期发展将是“重要的”。[2023/2/20 12:17:43]

从更广义的角度来说，上述的过程我们可以理解为，由于验证者计算能力有限，所以将这部分的计算代理给了证明者来执行，证明者完成了这个任务，需要返回结果给验证者。从这个角度来说，我们可以说，零知识证明算法使得保障正确性的“计算代理”得以实现。从宏观上这种计算代理的例子可以表现为zkRollup这种形式的应用，具体到零知识算法当中，这种计算代理的思想也有各种应用。

2022年NFT总交易量为555亿美元，环比增长175%:金色财经报道，CryptoSlate公布2022年NFT相关统计数据，数据显示2022年NFT总交易量为555亿美元，环比增长175%，相较2020年则增长了390倍。NFT交易量在1月达到174亿美元的最高峰，之后除了4月出现环比增长外，月交易量一直在出现下跌。此外，46%的NFT总交易量可能是对敲产生的，并非真实交易。[2023/1/1 22:19:49]

本文主要介绍FOAKS使用的在Orion当中提到的Code-Switching所做的令证明者帮助验证者执行的验证计算过程，以及FOAKS如何应用这种技巧进行递归。从而减少了证明的大小以及验证者的开销。

为什么需要计算代理

从系统的实用性角度来说，很多情况下计算节点的算力是有限的，或者说计算资源是很宝贵的。例如在Layer1链上的所有计算都需要经过所有节点的共识，并且用户需要为此支付高昂的手续费。所以，在这种情况下，将本来由共识节点来处理的计算“代理出去”交给链下节点来完成，就是一种自然的想法，避免消耗链上资源。而这也正是FOX所专注的链下计算服务。

Ankr：将使用储备金赔偿 aBNBc 流动性提供者:12月3日消息，Ankr 在推特上表示，将使用储备金赔偿 aBNBc 流动性提供者，已开始收集受影响者的名单。所有 Ankr Staking 上质押资产是安全的，基础设施服务未受影响。此外，Ankr 表示，了解到黑客攻击事件后发生了投机交易，但只能对流动性提供者进行补偿。[2022/12/3 21:20:01]

从密码学理论角度来讲，在GMR模型当中限定了证明者拥有无限计算能力，验证者拥有多项式计算能力。如果验证者也有无限能力，则零知识证明的基本性质无法满足。所以自然地，将计算向证明者一方倾斜，让证明者承担更多的计算就是很多零知识证明算法设计都会考虑的问题。

当然，为了实现这一点，我们需要特别的技巧。

Ankr：将快照重新发行ankrBNB，并购买500万美元BNB补偿LP:金色财经报道，Ankr表示，团队已经评估了损失，流动资金池中的BNB价值最高为500万美元。Ankr将拍摄快照并在漏洞利用前向所有有效的aBNBc持有者重新发行ankrBNB。ankrBNB代币将继续可赎回，而aBNBc和aBNBb将不再可赎回。

此外，Ankr将购买价值500万的BNB，并用它来整体补偿因流动性池耗尽而受到利用影响的流动性提供者。[2022/12/2 21:18:35]

CodeSwitching

这一节介绍Orion当中使用的CodeSwitching技巧。Orion和FOAKS都使用了Brakedown作为多项式承诺方案，而CodeSwitching是在Orion当中命名的有证明者代替验证者执行验证计算的过程。

Archax利用Metaco扩展IBM Cloud上的机构数字资产托管服务:金色财经报道，数字资产交易所Archax选择METACO来支持和扩展其数字资产的机构托管解决方案，Archax 正在 IBM Cloud 上部署其技术，以利用IBM数字资产基础架构的机密计算功能。Archax将全面整合METACO的银行级数字资产托管、发行和编排平台Harmonize，使客户能够安全地存储、交易、发行和结算加密货币和数字证券。Harmonize为Archax在数字资产领域的运营提供最高标准的安全性和合规性。Archax将部署利用IBM Cloud Hyper Protect Services的Harmonize。这种设置将允许Archax扩展到数十亿个钱包，同时保持对其私钥的控制以进行风险管理。[2022/7/7 1:58:44]

在《一文了解FOAKS当中的多项式承诺协议Brakedown》一文当中我们曾经介绍过，验证者的验证计算为以下的过程:

idxI,C0==<0,C1>andEC(y0)==C0

?idxI,C1==<r0,C1>andEC(y1)==C1

现在如果令证明者承担这部分计算，则证明者除了执行这些计算，还要附上证明值来证明自己的计算是正确的。

做法是将上述等式同样写成R1CS电路：

Statement:

EC(y0)=C0,EC(y1)=C1

idxI,C0=<0,C1>andEC(y0)=C0

idxI,C1=<r0,C1>andEC(y1)=C1

y=<r1,y1>

idxI,EC(C1)isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.

之后使用Virgo算法进行验证。

FOAKS当中的计算代理

在FOAKS当中同样使用类似的技巧完成计算代理，值得一提的是，FOAKS由于使用了Fiat-Shamirheuristic技巧实现了非交互式证明。想要了解更多，读者可以参考《如何将交互式证明改造为非交互式？Fiat-ShamirHeuristic！》。所以FOAKS的挑战生成和Orion所使用的CodeSwitching方法不同，电路当中也需要加入新的等式：

0=H(C1,R,r0,r1)

I=H(C1,R,r0,r1,c1,y1,c0,y0)

这样之后FOAKS当中的证明者同样生成了代理验证者进行验证的计算证明。而对于验证证明的过程，FOAKS利用算法自身进行迭代，这也是FOAKS实现递归的关键内容。具体内容见《如何设计出一种精妙绝伦的证明递归方案》。

通过一定次数的迭代可以使得证明的大小被压缩，从而极大降低验证者的计算负担以及通信复杂度。这就是FOAKS这个零知识证明方案对FOX这条zkRollup的重大意义。

结语

zkRollup中使用的零知识证明算法的计算代理程度需要被精心设计，必须恰到好处才能使其整体达到最佳效率。而FOAKS算法通过自身迭代的递归实现了可以调节的计算代理，是为专门为zkRollup所设计的零知识证明算法。

参考文献

1.Orion：Xie,Tiancheng,YupengZhang,andDawnSong."Orion:Zeroknowledgeproofwithlinearprovertime."AdvancesinCryptology–CRYPTO2022:42ndAnnualInternationalCryptologyConference,CRYPTO2022,SantaBarbara,CA,USA,August15–18,2022,Proceedings,PartIV.Cham:SpringerNatureSwitzerland,2022.

标签：FOAOAKANKBNBFOA币CLOAK价格lbank公司在哪togetherbnb手游下载

Ethereum热门资讯