Foresight Ventures: 详解 zk, zkVM, zkEVM 及其未来

作者：SuningYao，ForesightVentures

TL;DR

零知识证明技术，可以保证计算的完整性、正确性和隐私，在区块链扩容和隐私中有应用。

zk-SNARK和zk-STARK各有优点，而它们的合理结合更加有潜力。

zkVM能赋予应用零知识证明能力，zkVM分为使用主流、EVM或全新指令集。

EVM的适配包括EVM兼容性、等同性和Specification上的适配。

zkEVM是兼容EVM而又零知识证明友好的环境，主要分为原生和编译流派。

基于原生的zkEVM是以太坊和区块链的未来。

支持Solidity生态的通用zkVM是Web3的未来。

零知识证明

不严谨但简单易懂地来介绍一下零知识证明：

你在上小学。老师是验证者，你作为学生是证明者。你如何证明你掌握了一元二次方程的求解公式呢？那就需要数学考试。

老师会随机出10道相关的题目，而你如果掌握了，则可以把他们都做出来。在这个过程中，你没有背诵或者默写求解公式的具体内容，但是老师却可以很简单地验证你的知识掌握程度。

其实这就是Tartaglia与Cardano(对的，就是这个名字)争夺谁是一元三次方程发现者时所采用的方法。他们都不想告诉对方自己公式的内容，但是通过做题，就可以很容易地验证且过程中不透露知识地，判断他们是否掌握了这一知识。

Web3射击游戏Lowlife Forms完成300万美元Pre-种子轮融资:金色财经报道，游戏制作公司 VitalXP 宣布其 Web3 射击游戏 Lowlife Forms 完成 300 万美元 Pre-种子轮 轮融资，Streamlined Ventures 和 Marbruck Investments 领投。

该游戏的资产将作为 NFT 被铸造并存储在 Solana 区块链上，Lowlife Forms 计划于 3 月 9 日在 Magic Eden 推出首批可玩角色，每个角色售价 4.4 SOL，随后将每季度推出更多收藏品，之后还计划上线以太坊和其他区块链。[2023/3/2 12:39:06]

零知识证明有什么用呢？用处就是，整个过程可以节省计算算力和压缩链上空间，同时也可以对隐私有保护，符合区块链去信任的特点以及密码学的基因。

SNARK和STARK

区块链领域中所用到或者提到的「zk」通常不是真正的零知识证明，而经常是ValidityProof。由于相关词汇的混乱，所以本文中的某些地方会延续这些「误用」。

在目前的区块链版图中，zk可以说是区块链扩容(不zk的ValidityProof)与隐私技术(真正的zk)的最前沿与最优解决方案，在Tornado.cash、ZCash、zkSync、zk.money、Filecoin和Mina等项目中都有使用。

NFT巨鲸n0b0dy.eth以185 ETH购入Otherdeed for Otherside #81764:金色财经报道，据 NFTGo数据显示，NFT 巨鲸 n0b0dy.eth 以 185 ETH 价格购入 Otherdeed for Otherside #81764，约合 29.394 万美元。

该巨鲸当前已持有 229 个 Yuga Labs 元宇宙项目 Otherside 虚拟地块，45 个无聊猿BAYC NFT、以及 43 个下水道通行证Sewer Pass NFT。[2023/1/21 11:24:55]

目前的技术方案主要分为SNARK以及STARK两类。STARK中的S代表可扩展的，意味着被证明的语句有重复的结构，而SNARK支持任意的电路，这些电路被预处理以实现简洁的证明。其中对SNARK的技术实践占据了主导地位，STARK主要有StarkWare在已上线的产品中大规模采用。以下是它们之间的对比。

从Meme的角度而言，STARK比SNARK优秀(?，StarWars，StarTrek)。

如果SNARK是以太坊2.0的未来，那么STARK就会是以太坊3.0的未来。正经的来说，STARK的优势在于：

更低的gas(更能scale)

更大的batchsize(更能scale*2)

更快的证明(更能scale*3)

CryptoSlam和Forkast.News合并成为专注于Web3的媒体公司Forkast Labs:1月17日消息，加密数据提供商Crypto Slam和加密新闻网站Forkast.News宣布合并成为Forkast Labs，新公司将成为专注于Web3的媒体公司。合并后，ForkastLabs将与CoinDesk等公司竞争，作为加密新闻和分析的来源。前彭博社主播兼Forkast.News创始人Angie Lau和Crypto Slam创始人Randy Wasinger将担任ForkastLabs的联合首席执行官。Forkast.News的联合创始人SarahChang将担任合并后实体的首席运营官。

据报道，Animoca Brands为两家公司的投资人，此次合并由Animoca Brands创始人Yat Siu推动策划，目前合并交易细节暂未披露。（彭博社）[2023/1/17 11:16:36]

没有trustedsetup(生成的参数仅对当前的应用有效，若出现了修改需要重新setup)

后量子安全

但是STARK生成的证明的体积更大，并且还大不少，由于比如WASM的一些限制，可能会在构建时需要额外的操作(这里是SNARK)。Mir前段时间在Starky给出了一个AIR-basedSTARK的实践，是Plonky2的一部分(Plonky2和Starky的关系比较复杂。。。)。我个人认为，体积大可以通过各种手法来优化，但是算法本身的时间复杂度是很难再进一步压缩的。

Andre Cronje在推特发布新产品Fixed Forex界面截图:Yearn.finance（YFI）创始人Andre Cronje在推特发布Fixed Forex界面截图。截图显示支持的资产包括Iron Bank EUR（ibEUR）和Iron Bank KRW（ibKRW）。

据此前报道，7月2日，Andre Cronje发文介绍其新产品Fixed Forex（固定外汇）。文中提到，Fixed Forex旨在成为一个不可变、0费用、0治理、去中心化的稳定币框架。LTV（贷款价值比）源自Compound、Aave v1、Aave v2和Iron Bank。随着这些系统添加或更新其接受的抵押品，Fixed Forex也会动态更新。铸币上限（用户可以根据给定的抵押品铸币多少流动性）来自可用的链上流动性，链上流动性越高，铸币上限就越高。该产品无代币，审计尚未完成，智能合约是实验性的。外汇种类包括美元、欧元、日元、人民币等。[2021/7/31 1:26:32]

这些零知识证明技术可以通过合理的结合来构建更强大的应用。比如PolygonHermez就通过SNARK来证实STARK的正确性，从而减少最终发布证明时的gasfee。

总结来说，SNARK和STARK都是优秀的零知识证明技术，各有千秋，而它们的合理结合更加有潜力。

zkVM

前面所说到的Tornado.cash和zk.money类似都是仅支持转账操作的零知识证明应用，不支持通用的计算。类比来说，这些应用都只有比特币的功能，远远不及以太坊的图灵完备，更不要说建生态了(比特币上的智能合约一直没做出生态来)。

动态 | 以太坊上Dapp热门排行榜：ForkDelta位列第一:据DappRadar数据，目前以太坊区块链上热度最高的Dapp为“交易所类”的ForkDelta，另一同类别的IDEX紧随其后，“竞猜类”的Fomo3D跃居第三；此前大热的加密猫CryptoKitties排名第五，新上线主网的Augur排名第六。[2018/7/11]

zkVM就是一个由零知识证明来保证安全可验证可信特性的虚拟机，简单来说就是，输入旧状态和程序，返回新状态。它能让所有的应用都被赋予零知识证明的超能力。

Miden在ETHAmsterdam的演讲用一张图很好概括了zkVM到底是什么。

zkVM的优点：

易用：开发者不用学密码学或者零知识开发就可以使用zkVM来运行程序保证计算安全(不代表完全无门槛)

通用：zkVM可以给任何程序和计算生成证明。

简洁：相对比较少量constraints就可以描述整个VM(不用重复生成整个VM的电路)。

递归：免费的递归特性。和通用性一样，对VM的验证可以通过VM来进行。这个就挺好玩，比如你可以在zkVM里放一个zkVM，就类似StarkWare说的L3的概念。

zkVM的缺点:

计算架构特殊：并非所有零知识证明系统可以被用来做zkVM。

性能问题：电路需要优化，可以为特定计算进行针对性优化。

现在主流的zkVM有三大类，括号中是它们的指令集：主流(WASM，RISC-V)、EVM(EVMbytecode)、ZK-Optimized(全新指令集，针对零知识证明所优化，比如Cairo和zkSync)。以下是根据Miden在ETHAmsterdam的演讲所整理的类型对比图:

很多零知识证明开发生态所做的事情大多是让开发者能用Circom库(以及snarkyjs这种)或者其他新创造的语言(Leo或者Cairo这种语言都有奇奇怪怪的限制)来做通用zkDApp的开发，但是没有像以太坊上用Solidity那么直接和易学。

除此之外，还有很多项目，比如zkSync，Scroll，或者Polygon旗下的好多家都在尝试做zkEVM或者其他的zkVM。

EVM

EVM就是以太坊的虚拟机，也可以理解为运行智能合约的一套执行环境。

数年来，各个公链都在不停尝试着去兼容EVM，从而接入到以太坊的开发生态当中。对于这个概念，衍生出了EVM兼容，等同和其他一些定义。

EVM兼容性：Solidity等语言层面的适配。

EVM等同性：EVM字节码层面的适配。

EVMSpecification适配：也就是通常所说的真正的zkEVM，大多情况下甚至是向后兼容的优化后的超集，能提供账户抽象(就是每个账户都是一个智能合约)等EVM没有提供的特性。

zkEVM

我们再来解读一下zkEVM。定义上来说，zkEVM是一种兼容EVM同时又对零知识证明友好的虚拟机，能保证程序，操作，和输入输出等的完全正确性。

对于实现通用计算来说，要做zkEVM主要需要解决两个难点:

a)电路复杂

不同的合约需要生成不同的电路，而且这些电路很「复杂」。

这方面主要就要靠各种优化了，比如Aleo(不过它不是directZK这一类。。。只是为了举例说明优化)通过分布式Cluster来并发计算Proof，或者通过各种硬件上的优化来加速。

b)设计困难

zkEVM不止要对EVM进行重构，对以太坊的整体状态转换都要用零知识证明技术进行重构。

EVM设计的时候就没想到后面要做zkEVM，造成了非常大的困难。导致了有两个门派的路线，都在图里了。

或者说按VM的架构来分，就长这样(超级感谢ScrollTech的原图总结！)。Opcode指的是EVMOpcode。其中StarkWare部分是用Warp来将Solidity转成Cairo合约，或者直接用Cairo写合约，一样能获得不错的开发体验和全套工具。

在开发者和用户层面，这几个方案其实我认为是基本无差别的，但是在基础设施上，越靠右的方案EVM兼容性越好，可以无缝接入Geth等基础设施，但开发进度基本上也越慢。

zkEVM和zkVM

zkEVM的存在我认为是在以太坊生态上去翻新和打补丁，能为以太坊及其生态的繁荣添砖加瓦，而zkVM的存在却不一定是给以太坊做加强，同时也具有更大的想象力。

StarkNet的CairoVM尽管可能不是我想象中最完美的zkVM，但它能比EVM或者zkEVM干更多的事，同时这些不止是停留在EIP级别的功能拓展。CairoVM上可以跑机器学习模型，甚至现在还有机器学习模型平台正在StarkNet上建设。

相比zkEVM，一个zkVM会更加容易被构建(无需担心EVM的技术债)，更加灵活(无需担心EVM的更新)，更加容易优化(电路和证明器的软硬件优化比构建zkEVM简单和便宜非常多)。

当然zkVM的一个最微小但很致命的缺点就是，如果zkVM无法支持EVM兼容(Solidity语言层面)，那么zkVM就很难像EVM一样有最完备和成熟的Web3开发生态。

zkVM或许是更大的趋势，能让对EVM的纵向优化，变成EVM生态的横向拓展，跳出了EVM的限制。

zkVM的未来

如果能有一种通用的zkVM能够让所有编程语言的智能合约，不止是Solidity，不止是Cairo，而是Rust、C++、Go，在零知识证明的加持下安全运行呢？(Stellar尝试过，但失败了。)

正如@kelvinfichter所说的：WhyzkEVMifzkMIPS？正如@KyleSamani所说的：EVMisabugnotafeature。WhyzkEVMifzkVM?

Winterfall或者Distaff或者MidenVM等zkVM都没有做到非常好的开发友好度。Nervos有RISC-V的VM，但是Nervos没有用零知识证明技术。

现状下最优解的方案就是构建一个WASM或者RISC-V的zkVM，最好能支持Rust、Go、C++，甚至Solidity(zkSync好像可以立大功)等语言。如果有这么一个通用zkVM，那么对于zkEVM会是降维打击。

Web3开发者的数量大概占所有开发者的0.07%，也就可以推断出，Solidity开发者的数量实际上会比0.07%更少，会用Cairo写合约或者用Leo写电路就更少了。这样完美的zkVM所针对的是几乎100%的开发者，任何开发者用几乎任何语言都可以得到一个完美的零知识运行环境。

如果Web3和Crypto有统治世界的一天，我认为绝对不会是EVM生态占据100%的所有开发者，而是所有的开发者会慢慢转化为Web3和Crypto开发者。这就是通用的zkVM的绝妙之处。

原生zkEVM是区块链的未来。

通用zkVM是Web3的未来。

标签：ARKSTAFORSTARBenchmarkSTAT币EverForkSTART

火必下载热门资讯