一文了解零知识证明当中的Sum-check Protocol

随着比特币、区块链、智能合约等概念的铺开，越来越多的人关注到Web3领域的蓬勃发展。而在技术方面，也有许多开发者关注到支撑区块链底层的密码学协议。在这之中，零知识证明协议以其独特的特性大放异彩，无论是在实现隐私保护，还是在实现Layer2性能扩容的zkrollup项目当中，都发挥着关键的作用。零知识证明是一类算法的统称，到目前为止，研究者发明了包括Plonk、Groth16、zkStark、Virgo、Orion、Foaks等等在内的许多种协议。不同的协议适用于不同的计算场景，复杂度和效率也各有不同，例如Foaks就以线性的证明时间和较小的证明长度为优势。上述的每一种协议，协议目标是相同的，就是证明者希望在不向验证者透露任何关于自己的秘密的信息的情况下让验证者相信自己拥有秘密。sum-checkprotocol是很多协议的组件，最早在当中被提出。很多计算问题可以被转化成sum-checkprotocol能处理的问题，从而生成证明。包括Foaks在内的不少协议的底层协议都基于sum-checkprotocol，在其上进行调整来实现。在FoxTech所采用的Foaks证明系统当中，该协议同样发挥着重要的作用。具体来讲，为了实现对于某一操作码opcode正确性的证明，需要先将其转化为算术电路，之后转换为矩阵，最终生成多项式，对多项式应用证明系统当中的算法，在最后压缩证明的部分当中，同样将证明者和验证者之间的交互过程转换为计算某个和式，也就是sum-checkprotocol的过程。

DeFi借贷平台Everlend Finance以流动性紧缩为由关闭其应用程序:金色财经报道，基于 Solana 的 DeFi 借贷协议 Everlend Finance 已关闭其应用程序平台，Everlend团队已将该平台转为仅提款模式，并敦促用户删除其资产。公告称，该应用程序将继续运行，直到处理完所有提款。该团队还概述了在未来两周内支付所有已筹集和未使用资金的计划。Everlend 将关闭的决定归因于 DeFi 借贷参与者面临的流动性紧缩。[2023/2/2 11:43:33]

图1:Sum-checkProtocol所在环节Sum-checkProtocol

1.协议目标

协议的目标非常简单且容易理解。假设我们有一个定义在有限域F上的v元多项式，记作g。协议的目标是计算和式：

CZ：今后要更多地表达我在行业中看到的问题:金色财经报道，Binance首席执行官CZ在社交媒体上表示，他将在未来对行业竞争对手进行更多评论。在FTX倒闭之后，将放开 \"不公开评论竞争对手（我们称之为行业同行）的政策\"。今后，我将打破这一政策，对我在行业中看到的问题更多的发言。其中他指出了他在7月发表的批评FTX未偿贷款的推文。[2022/11/13 12:57:14]

和在zkRollup当中考虑的“外包计算”的场景类似，在应用当中，上述式子的计算量会非常大，我们希望将这个式子的计算交给证明者，之后证明者向验证者证明自己的计算结果是正确的。2.协议假设

首先，需要明确在这个协议当中验证者的能力。我们假设验证者拥有可以计算函数g的预言。也就是说，对于验证者而言，确定某个输入r1,...,rv之后，计算g(r1,...,rv)是容易的。但是计算完整的结果H是困难的。事实上，在现实应用当中，预言不会存在，但是可以通过某种手段实现，例如我们可以让证明者帮助验证者计算这个值，并用更多的技巧附加正确性的证明。第二点，关于协议的目标，事实上sum-check协议可以对于任意的集合B计算bBmg(b)，但是不失一般性的，我们假设B={0,1}。3.协议过程

Aave与StarkWare的第一阶段跨链合作已完成开发，将进行治理部署:10月29日消息， Aave与StarkWare的第一阶段跨链合作已完成开发，将经过社区治理进行部署。该阶段是Aave v2在以太坊上的aToken跨链至StarkNet的智能合约基础设施，允许网络用户在StarkNet获取跨链aToken，即可成为Aave v2在以太坊上的存款者。同时支持通过向用户提供收费服务，以跨流动性到StarkNet，从而提升Aave v2在以太坊上的aToken持有者的收益率。

据此前报道，今年2月，Aave与Starkware的第一阶段合作提案以100%的支持率投票通过，Starkware将通过提供Aave设施来提升StarkNet的用户群，双方将为此共同出资约38.5万美元，并在2-3个月内开发完成。[2022/10/29 11:55:53]

协议一共包含v轮。在每一轮当中会处理g中的一个变量。第1轮：

Cornerstone Advisory和Wagner Wealth Management四季度对首个比特币期货ETF BITO建仓:10月10日消息，年内有多家私人投资公司在首个比特币期货ETF ProShares 比特币战略 ETF（BITO）中建仓，其中Wagner Wealth Management LLC和Cornerstone Advisory LLC在第四季度分别购买了25,000美元和49,000美元的ProShares比特币策略ETF新头寸，Wedbush Securities Inc.在第二季度购入BITO 13,550 股新头寸，价值约 157,000 美元，BDO Wealth Advisors LLC、San Luis Wealth Advisors LLC则是在第一季度分别购买了33,000美元和39,000美元的ProShares比特币策略ETF新头寸。（etfdailynews）[2022/10/10 12:52:17]

如果证明者是诚实的，应当成立H=g1(0)+g1(1)。验证者验证，若通过则选择随机数r1发送给证明者。注意到，根据协议的假设，证明者可以完成上述验证。我们用degi(p)来表示多元多项式p当中，第i个变量的次数。g1(X1)的次数为deg1(g)，所以我们知道g1可以用deg1(g)+1个域元素表出。第j(j>1)轮：

Inverse Finance再次遭受闪电贷漏洞攻击:金色财经报道，Inverse Finance 再次遭受闪电贷漏洞攻击，攻击者利用 Tether (USDT) 和 Wrapped Bitcoin (WBTC) 窃取了 126 万美元。

最新的利用通过使用闪电贷款来操纵协议货币市场应用程序使用的流动性提供者 (LP) 代币的价格预言。这使得攻击者可以借用比他们发布的抵押品数量更多的协议稳定币DOLA，让他们将差额收入囊中。

金色财经此前报道，Inverse Finance遭遇攻击损失4,300枚ETH，约合1496万美元。[2022/6/17 4:34:08]

如果证明者是诚实的，应当成立gj-1(rj-1)=gj(0)+gj(1)。验证者验证，若通过则选择随机数rj发送给证明者。第v轮：

图2:TheFoaksSum-checkprotocolCompleteness:若证明者拥有有效的Witness，则验证者会以不低于的概率接受证明；Soundness：若证明者没有有效的Witness，则验证者会以低于negl的概率拒绝证明Succinctness:Proof的Size必须远小于Witness的Size；Zero-knowledge：验证者无法通过证明的交互过程获取任何关于witness的信息#其中negl为任意可忽略的函数4.协议复杂度

通过第3部分的论证，我们可以看到，协议一共由v轮组成，每一轮当中证明者需要给验证者发送一个degi(g)次的多项式，也就是deg1(g)+1个域元素，所以总体的通信复杂度是O(i=1vdegi(g))。关于计算复杂度方面，在每一轮验证都通过的情况下，证明者最多需要进行2v次对g取值的运算；验证者做的运算是对每一轮的gj进行取值以及在最后一轮对g取值。下表具体展示了复杂度的结果，其中T代表访问一次预言也就是对g进行一次求值所需要的开销。

图3:Sum-check协议的复杂度Sum-checkProtocol的应用

在许多的零知识证明算法当中，sum-checkprotocol都在发挥着重要的作用。许多问题的证明，都依赖于将原始的问题转化为sum-check的形式，再完成后续的步骤。例如，可以利用sum-checkprotocol来计算一个无向图中的三角形数量。首先，我们使用邻接矩阵A表示无向图G，设E为其边集合，则Ai,j=1(i,j)E，也就是说若点i,j之间存在一条边则Ai,j=1否则为0。对于点i,j,k，三点构成三角形的条件是Ai,j=1,Ai,k=1,Aj,k=1。接下来记矩阵A为一映射表，表示的映射为f:{0,1}logn{0,1}logn{0,1}，其中logn为i，j的二进制长度。所以对于点i,j,k，三点构成三角形的条件进一步可以表示为f(i,j)f(i,k)f(j,k)=1。

此外，在许多证明系统当中，都采用了sum-checkprotocol作为底层逻辑进行构造。下图展示了根据在sum-check基础上进行不同改造得到的不同证明系统。

图4:Sum-checkprotocol在四类证明系统当中的应用

图5:Sum-checkprotocol在简洁证明方面的具体应用结语

本文梳理了sum-check协议的具体流程，以及讨论了协议的复杂度，同时展示了其在许多证明系统当中的应用。在web3领域不断拓展的当下，密码学作为区块链技术的底层构件，其作用显得越来越重要。随着zkrollup、隐私保护等等依赖零知识证明的应用和项目逐渐诞生，sum-check协议，作为诸多证明系统的重要组件，也正在被学界和产业界同时给予越来越多的关注。参考文献

CarstenLund,LanceFortnow,HowardKarloff,andNoamNisan.Algebraicmethodsforinteractiveproofsystems.J.ACM,39:859–868,October1992.https://people.cs.georgetown.edu/jthaler/sumcheck.pdfhttps://zkproof.org/2020/03/16/sum-checkprotocol/https://eprint.iacr.org/2021/333.pdf介绍sum-check的中文博客https://blog.csdn.net/mutourend/article/details/111610754

标签：CHEHECSUMPROBABYCHEDDA价格coincheck交易平台网址SumSwapApeX Protocol

火必APP热门资讯