零知识证明 | Cairo 语言介绍

作者：NicLin，imToken资深区块链工程师

本文受众：区块链开发者或零知识证明爱好者

Cairo是STARK证明系统的其中一个编程语言，让开发者能透过Cairo来使用STARK，撰写效能更高的DApp。

PhotobySimonBergeronUnsplash

Warning：本篇会保持在highlevel的介绍，实际深入的部分请见文内附上的文档或是官方开发者文件。

背景介绍

建构于密码学的零知识证明能提供计算的隐私性，但同时在区块链生态系也被用来提升Scalability—我可以用10秒的运算资源来验证原本耗费1000秒运算资源的计算过程如同更多人熟悉的SNARK，STARK也是一个零知识证明的证明系统，但当前的STARK着重的是在Scalability，而非大家比较习以为常零知识证明提供的隐私性特质其实目前基于SNARK的Rollup项目，例如zkSync、Loopring、Aztec、zkopru，除了Aztec外，其他都是利用SNARK来增加Scalability—这些Rollup上资料都还是公开、没有隐私性的StarkWare是目前唯一基于STARK的开发团队STARK要加上隐私保护不会太难，只是StarkWare还没有把这项功能放在未来规划中Cairo简介

Polygon社区提议将Polygon POS链与零知识（ZK）技术兼容:金色财经报道，以太坊扩展解决方案Polygon周二发布了一份提案前（Pre-PIP）讨论帖，探讨将其Polygon POS链与零知识（ZK）技术兼容。升级将使主链成为zkEVM validium ，这意味着该链仍将与以太坊虚拟机兼容。validium与ZK rollup略有不同，因为它们使用链下数据可用性模型，Polygon目前还提供ZK rollup，该rollup于3月上线。

据Polygon联合创始人Mihailo Bjelic撰写的博客文章，如果该提案得到Polygon社区的批准，重大升级将带来更高的安全性，并使区块链的框架更加面向未来。此外，Bjelic认为，这种升级将允许更快的交易确认，并扩展区块链。[2023/6/21 21:50:35]

标榜为图灵完备的零知识证明系统语言，Cairo对原本熟悉Solidity的开发者来说还是会感到比较难上手和陌生的。再加上套件库还不够充足，目前支援的杂凑函式是Pedersen，数位签章演算法是ECDSA。

SKALE即将发布去中心化零知识证明解决方案Levitation Protocol:6月2日消息，以太坊侧链 SKALE 开发人员宣布了一项 SKALE 改进提案，即，去中心化零知识证明解决方案 Levitation Protocol，旨在通过使全套 ZK 解决方案无缝连接到 SKALE 架构，并将 Rollup 连接到以太坊主网。该提案包括进一步的生态系统升级，增加了一个新的「Layer 1 Megachain」，称为 SKALE G（G 代表木卫三，太阳系中最大的卫星）。

SKALE 开发人员计划在未来几个月内开始发布 Levitation Protocol 源代码，之后将启动公共测试网。Levitation Protocol 主网计划于 2023 年第四季度推出。[2023/6/2 11:53:31]

但Cairo还在早期开发的阶段，相信开发体验会越来越好的。

另外需要注意的是作为一个证明系统，会有Prover和Verifier的角色。而STARK的Verifier是开源的，但Prover软体预计会有License保护。Prover一般情况下不得用于商业用途，除非将proof上传至官方的Verifier。

基于零知识的隐私协议 Elusiv 已在 Solana 上线主网:3月9日消息，基于零知识且合规的隐私协议 Elusiv 已在 Solana 上线主网，允许用户发送隐私交易。此外，Elusiv 与 Solana Pay 兼容，并支持 SOL 和 SPL 代币。基本合规性功能包括所有权证明和创建查看密钥的能力，使用户可以根据需要控制他们共享的交易信息。

据悉，Elusiv 旨在为用户和商家提供隐私保护，同时通过低交易合规解决方案保持安全。此外，Elusiv 可使标准交易隐私化，同时允许用户选择要公开的交易。Elusiv 于 2022 年 11 月完成 350 万美元融资，Big Brain Holdings、Jump Crypto、Solana Ventures 等参投。[2023/3/9 12:52:17]

CAIRO字母分别代表的意思是

C:CPUAIR:AlgebraIntermediateRepresentationO:OneAIR(verifiersmartcontract)torulethemallC和AIR因为比较偏撰写零知识证明应用的细节和经验所以会跳过，但O:OneAIR(verifiersmartcontract)torulethemall代表的是：任何使用Cairo写的程式都能用同一个Verifier来验证，每个应用不再需要产生自己也只有自己能用的Verifier合约。

西班牙跨国银行BBVA探索零知识证明及加密技术:5月4日消息，总部位于西班牙的跨国银行Bilbao Vizcaya Argentaria银行（BBVA）宣布与马德里研究中心IMDEA Software Institution合作，以探索零知识证明（ZKP）以及其他“先进的加密技术”。（Cointelegraph）[2020/5/5]

开发者不需要对自己的应用跑trustedsetup，也不需要烦恼Verifier的部分，如果你有开发过基于SNARK的应用的话你会更有感觉。

最后要提及的是，第一版的Cairo是设计来方便开发者将DApp的运算迁移至链下。不同于Rollup，这个链下只会有它自己一个DApp。这个DApp的项目方自己维护自己DApp的state。

这可能有点难懂。如果你有在写Solidity，想像一下今天你在合约要用到合约里宣告的storage变数时，你要自己提供merkleproof上来，证明这个storage变数真的是这个值。这个就是开发者要自己维护state的意思。

V神：以太坊即将过时的采矿硬件可以直接用于零知识证明:在采访中，Ethereum联合创始人V神（Vitalik Buterin）被问及一旦网络从其当前的共识算法切换到不再需要这种专用硬件的模型时，人们应该如何使用以太坊矿工。Ethereum联合创始人表示，以太坊即将过时的采矿硬件可以直接用于零知识证明。（cointelegraph）[2020/4/26]

而第二版的Cairo则是StarkNet里使用的Cairo，这版的Cairo就是作为DApp在Rollup开发所使用—开发者可以在合约里宣告变数，变数的值不需开发者维护，可以直接假设存在。

注1：StarkWare不喜欢Rollup这个词，他们觉得DataAvailability的需求是一段光谱：不一定得要把data全都送上L1，中间有其他方式可以做不同层级的DataAvailability。

注2：第一版和第二版实际上在官方版本里是0.0.1及0.0.2，在撰文当前最新版即是0.0.2。

官方网站：https://www.cairo-lang.org?

开发者文件：https://www.cairo-lang.org/docs/?

开发环境

Cairo有提供像是Remix的浏览器IDE：playground。里面提供各种范例练习和挑战，除了可以编译，还可以直接生成并上传proof。

注：但有些功能还是没办法在playground里使用，例如要给你的程式custominput时。这时候只能在本地端开发才能使用这个功能。

开发Cairo要先安装python，我将开发者文件整理出来的资料统整在这个hackmd文档里：https://hackmd.io/w690dpAQTsKeKZv3oikzTQ

里面包含简介、设置本地开发环境以及Cairo基础

注：我把开发者文件里的代码整理到这里：https://github.com/NIC619/cairo_practice/tree/master/practices

如果不想在研究开发者文件过程中，还要自己手动拼凑里面例子的话，可以直接用整理好的代码来执行。同时repo里还有包含一些额外自己测试Cairo功能的范例。

深入Cairo

在那份hackmd文档里的开头，可以连结到第二部分—深入Cairo的部分。里面也是从开发者文件里撷取出来我觉得比较重要的部分。如果你要读开发者文件的话，我建议从HelloCairo开始，它会从例子切入，会比较好知道Cairo怎么使用。接着如果要更深入了解，再去读HowCairoWorks。

StarkNetCairo

第二版的Cairo其实功能和第一版的Cairo是差不多的，所以不必担心在开发者文件里学到的Cairo在StarkNet版本会不能用或差很多。在读完HelloCairo/HowCairoworks后，就可以接着看HelloStarkNet。会很顺利的切换到StarkNet版本的Cairo。

注1：我整理的文档里是按照第一版Cairo所写的

注2：如果你从开发者文件一路看下来，体验过非StarkNet版的Cairo，那你在体验StarkNet版的Cairo时一定会发现这更像一般智能合约的使用方式—你可以用view函式查询storage变数，可以用external函式去执行合约。

非常建议尝试两种版本的Cairo，你会知道1.操作一个单独在L2的DApp和2.操作与其他DApp共存在Rollup上的DApp的不同。这对了解L2怎么运行、需要哪些资料、为什么需要这些资料非常有帮助。

0.0.2版的StarkNetCairo目前还缺少一些功能：

函式还没办法宣告阵列或struct型态的参数合约和合约之间还没办法互动L1没有办法读取到L2的资料，L2也没办法读取到L1的资料。如果要建立跨L2Bridge，这个功能非常重要。补充及个人心得

STARK的proofsize相比于SNARK系列的proofsize大很多，又其证明所包含的交易数量对proofsize和验证时间的影响不大，所以把很多笔交易一并做一个proof会是对STARK非常有利、节省成本的方式。但这同时也是一个缺点，如果你的DApp或Rollup的TPS不高，那就只能等更久时间搜集多一点的交易，要不然就只能提高成本来维持验证proof的频率。

StarkWare和zkSync一样都有Rollup宇宙的概念，个人觉得能够有选择是会比只有一个选择还好的方式，但实际上的可行性就要等其团队释出更多的资讯。

在Rollup越趋成熟的情况下，能够提供快速跨Rollup服务的流动性提供者的角色会越来越重要。zkRollup比OptimisticRollup有着短上许多的finalize时间，这对降低流动性提供者的风险有很大的帮助，但目前zkRollup支援合约功能甚至L1<->L2互动的完成度都比OptimisticRollup还低上许多。短期内快速跨Rollup的服务应该还是局限在OptimiticRollup之间。

标签：AIRCAICAIROARKAIRDROPCAI价格CAIRO币starknet币价分析

比特币热门资讯