MEZ:全面解读Polygon的zk扩容方案:Hermez、Nightfall、Miden和 Zero

作者:Pedro,PolygonDAO作者

整理:海尔斯曼,链捕手

长期以来,以太坊L2之争的焦点都被ZKRollup和Optimisticrollup两者占据。因为OP的EVM兼容性和技术较为成熟等特性,更容易被项目开发者采用,因此,OP在当下更为通用和主流。据L2BAET的数据,仅Arbitrum、Optimism、Metis三个采用OP方案的项目,就占据了L2市场份额的70.8%。而ZKrollup因开发难度较高、技术进展较慢,目前采用率和市场份额占比都比较低。

作为目前总锁仓量最高的以太坊扩容方案,Polygon则坚定地将扩容的未来押注到了zk技术上。去年,Polygon大手笔收购了Hermez、Mir,并为zk扩容做出了10亿美元的重金承诺。

现在,Polygon拥有了“一整套”zk扩容方案,分别是Hermez、Nightfall、Miden和Zero。四种扩容方案虽都建立在zk技术之上,但各有千秋,策略不同。那么,这四种方案具体技术特性与开发进度如何?哪个更有希望先杀出来?

在这篇文章中,我们将详细讨论这四种zk解决方案,包括其开发历史、运作机制和开发进度等。以下内容整理自PolygonDAO专栏作者Pedro关于Polygon研究的Medium系列文章,链捕手在原文基础上进行了适当的精简和便于理解的增补。

一、PolygonZero

PolygonZero是一个ZK?L2解决方案,由最快速、最高效的递归证明系统Plonky2提供支持。前身为Mir协议,是由BrendanFarmer和DanielLubarov创办的PredicateLabs于2019年构建。Mir协议的特色是,执行程序过程中会生成递归的ZKP验证。简而言之,递归证明就像生成证明的证明。用于验证一组交易证明是否有效。

递归证明是一项非常年轻的技术,于2014年首次在理论上被引入。2019年,Mir能够在2分钟内生成递归证明,显然,这时间不算短,也缺乏扩展性。

2020年,由于Aztec团队的探索,Mir取得了巨大突破,实现了在60秒内生成递归证明。在此基础上,Mir团队开发了Plonky,允许Mir协议在15秒内生成递归证明。

2021年12月,Polygon以4亿美元收购了Mir,协议更名为?PolygonZero。最初Mir正在构建的启用zk技术的独立L1链的设想,变为在Polygon之上构建一个分布式的zk-rollup。

LINE旗下加密交易所Bitfront宣布关闭,明年3月底全面结束运营:11月28日,据官方公告,日本社交媒体巨头LINE位于美国的加密交易所Bitfront宣布关闭,称此决定是为了LINE区块链生态系统的最大利益而做出的,与最近被指控行为不当的某些交易所相关的问题无关。

Bitfront现已暂停新注册和信用卡付款,利率产品业务的附加存款和利息支付将于12月12日停止。12月13日将支付12月5日至12月11日存款的利息,并强制提取LN/LN利息产品的所有存款和利息;12月30日将暂停加密货币、美元存款、交易、取消未开订单。2023年3月31日将暂停提款。3月31日后美国客户可以在他们的每个州申请他们的资产,全球客户可以在特拉华州申请他们的资产。[2022/11/28 21:07:12]

今年1月,PolygonZero发布了Plonky2,这一技术能在Mac-BookPro上以小于170毫秒的速度生成递归证明。这是有史以来最快的递归证明。而递归证明这项技术的突破,也将为PolygonZero服务——Plonky2将支持最具可扩展性的zkEVM。

这三者之间的一个共同点是Plonk,所以我们需要先弄明白Plonk是什么。

ZKP是指在不透露相关信息的同时生成某个计算的有效性证明。所以没有信息并不会被泄露,只是生成证据。

两个主要的ZKP分别是SNARK和STARK。二者主要区别包括:SNARK依赖椭圆曲线来保证安全性,而STARK依赖散列函数来保证安全,使用散列函数意味着量子抗性。

Vitalik称STARK其实是“更新、更耀眼”的技术。

但因为SNARK早在2012年就被提出并投入使用,而STARK则在2018年才被提出。所以,SNARK在采用方面具有很大的先发优势,目前Z-Cash、路印协议和摩根大通都采用了SNARK技术,而且因为被广泛采用,SNARK拥有更多已发布的代码、开发人员库、项目和开发人员。但STARK作为新星,因其独特的优势,也在被更多项目采用。

Plonk是证明系统的名称,它属于SNARK证明系统的一种。

接下来,我会分析几种与Plonk结合的不同类型的方案:

Aztec使用Plonk?KZG的递归证明时间为60秒;

Plonky1使用Plonk?Halo,递归证明时间为15秒。Halo于2019年由Zcash首次推出,是第一个不需要可信设置的递归证明方案。但Halo的缺点是不兼容以太坊,这就是为什么Mir会在最初想建立独立的L1链;

杭州:成立数字人民币试点工作领导小组,全面启动试点工作:金色财经报道,4月22日下午,杭州召开数字人民币试点工作专题会议,专题研究推进试点工作,这也标志着杭州数字人民币试点工作的全面启动。会议强调努力形成可复制可推广的“杭州模式”,要求努力丰富数字人民币试点“杭州场景”,杭州市政府已成立数字人民币试点工作领导小组。(杭州日报)[2022/4/23 14:43:46]

Plonky2使用Plonk?FRI,递归证明时间为170毫秒。2021年,PolygonZero负责人DanielLubarov提出将FRI与Plonk结合。

FRI是用于STARK的方案,这意味着通过使用FRI,Plonk就变成STARK,也意味着增加系统的透明度。当时,只有一个项目实现了递归FRI证明,该协议的证明时间约为10分钟且不可扩展。

为了保证快速,PolygonZero采用了Plonky的第一个版本,并用FRI替换了Halo。上文图表可看出,FRI的证明速度是“可变的”,提交的数据越少,获得的证明就越快。但数据越少,安全性就越低。

智能合约,不仅能利用Polygon的高性能,同时也利用以太坊的安全性。据其中一位创始人的说法,此L2将允许建设具有更多操作和功能的应用程序。3、PolygonZero和Starkware的区别

大多数rollup,包括Starkware,都会将交易打包,并生成该交易包中的每个事务都是有效的证明。

PolygonZero使用递归证明,因此,每笔交易都会同时制作一堆非常快速的证明。然后将这些单独的交易证明捆绑在一起来创建更大的证明,即验证其他证明有效性的证明。

这意味着PolygonZero可以进行水平缩放。因此,如果有一堆机器并行生成这些交易证明,那么添加更多机器就可以证明更多交易。通过使用递归证明,可以扩展到更多事务,而不用以时间延迟为代价。

二、PolygonHermez

五年前,三位共读MBA的同事JordiBaylina、DavidSchwartz和AntoniMartin创办了一家名为Iden3的公司,他们从事的第一个项目是自主身份解决方案,当时项目被称为“自我主权身份”,与我们当下比较流行的去中心化身份DID其实是相同的概念。

但这三个人在研发SSI项目的过程中逐渐意识到,要想进一步让SSI成为主流,就必须先使得现有的区块链具备充分的可扩展性。这之后,三人决定转向新项目Hermez。

Hermez是基于zk技术的去中心化L2rollup解决方案。Hermez1.0是目前正在运行的支付平台,该平台允许用户通过一个简单易用的网络或移动界面将任何已注册的ERC-20代币从一个Hermez帐户转移到另一个帐户。去年7月,该团队宣布开发zkEVM,Hermez2.0,开发完成后将为以太坊带来一个完全兼容的zkEVM。

Pickle Finance:正在对协议进行全面审计:10月4日,Pickle Finance官方发推称,正在对Pickle Finance协议进行全面审计工作。[2020/10/4]

去年8月,Polygon宣布以2.5亿美元收购Hermez。新项目将命名为PolygonHermez,两个项目的代币MATIC和HEZ进行合并,Hermez的26名员工也将加入Polygon的80人团队。

1、Hermez1.0

Hermez最初是作为zk-rollup开始的,专注于在以太坊上扩展支付和代币转移。

rollup指的是打包一打交易并在链下一次执行。当这数千笔交易在链外执行时,就Hermez而言,会生成一个zk-SNARK。SNARK证明了批次中每笔交易的有效性,随后再由以太坊验证证明,而不是单个交易。

与Optimisticrollup相比,zkrollup可以立即生效,实现即时提款,而Optimisticrollup必须等待7天。这种能够在恒定时间内高效验证证明的能力,是所有zkrollup的核心。

Hermez的处理速度为2000TPS。据Hermez团队介绍,在未来处理速度还将大幅提升。

Hermez上可进行三种不同的交易:

存款:将任何已注册的ERC-20代币从L1以太坊发送到L2Hermez。存款需要支付以太坊gas费。

转账:将任何已注册的ERC-20代币从一个Hermez账户发送到另一个Hermez账户,此类转账交易非常便宜且即时。

取款:将ERC-20代币从L2Hermez发送回L1以太坊。提款需要支付以太坊gas费。

在提款时需要注意的一点是,Hermez提供了一种保护机制,即“强制提款”,允许用户随时将资金从L2Hermez转回L1以太坊,即便是协调员在试图作恶的情况下。

协调者和捐赠证明

协调者是Hermez版本的区块生产者。这些人通过生成zk-proof来证明链下交易的有效性。

协调者就是将交易捆绑打包的人,他们会将所有的事务请求汇总在一个单元中,每次rollup会执行数千条事务,然后再生成zk-proof,再通过以太坊上的智能合约验证此zk证明。

Hermez之所以是去中心化的,是因为任何人都可以成为协调者并通过服务来赚取奖励。网络上可以同时有任意数量的协调者,但是只有一个能够实际处理交易并在任何给定的时间段内获得奖励。

WBF创始人BellaFang:WBF交易所已全面切入IPFS赛道:7月6日,由滨合云智主办、WBF交易所联办的“拥抱IPFS浪潮 · 解读区块链价值”行业峰会在杭州洲际酒店召开。新加坡WBF交易所创始人BellaFang出席盛典并发表主题演讲。

BellaFang表示:“2020上半年WBF在不确定性的市场环境中依然取得瞩目成绩,截至6月27日,WBF全球真是注册用户已破500万,最高日活24万。2020年7月Filecoin即将主网上线,IPFS再度引发市场热议,据BellaFang透露,目前WBF交易所已全面切入IPFS赛道,并将于7月8日上线“瓦特IPFS云算力”(第一期)产品。”[2020/7/6]

Hermez网络通过拍卖过程选择下一个协调者。基本上任何人都可以使用MATIC代币出价,出价最高的人将赢得在10分钟内处理尽可能多的交易的权利,直到选择下一个协调员。这是一个非常有效的过程,因为它要求协调员在这10分钟内尽可能多地进行交易,以使获得的回报超过出价。

如果协调者竞标失败,MATIC代币将被退回原钱包,而那些竞标成功的资金,将有以下三个用途:

30%永久销毁

40%用于由以太坊基金会管理的捐赠账户

30%用于网络激励,以帮助推动Hermez网络的进一步采用。

值得一提的是,Hermez支持原子交易。原子交易是一连串不可再分的交易,要么交易全部发生,要么全部不发生。例如,Alice想向Bob发送1000DAI来换取1ETH,在原子交易的情况下,二者必须都发送代币给对方之后,交易才可以成功,缺少一个步骤,交易都会失败。所以,这种交易方式能有效预防。

2、Hermez2.0

去年7月,在EthCC4大会期间,Hermez团队宣布正在开发zkEVM即Hermez2.0。

我们都知道,目前L2多采用Optimism而ZK还没真正起飞的关键点就在于,zk还无法做到EVM兼容。所以,zkEVM就是要解决这个问题,在zk-rollup上运行智能合约。

目前很多项目也在开发zkEVM,仅在Polygon生态中,就有PolygonZero和PolygonHermez这两种解决方案。然而,每个项目都以不同的方式在解决这个问题,并且每个项目都有自己的权衡。

Hermez的特色在于不论是工具、生态系统还是安全性,均能与以太坊兼容。这就意味着在理想状态下,在以太坊上运行的智能合约能够在L2Hermez上运行。为开发人员提供无摩擦的体验。Optimism和Arbitrum一推出,就吸引了一批项目和用户迁移过来。不难想象,等zk-rollup成熟,会产生甚至更强的网络效应。

星盟基金会与PROBE探针达成全面战略合作意向:据官方消息,2020年6月25日,星盟基金会与PROBE探针达成全面战略合作意向。PROBE探针是国际金融科技集团,旗下探针交易所主营业务包括数字证券发行与交易、电子支付和汇兑,与立陶宛央行、IBM签订了三方合作协议,共建基于区块链技术的跨国跨境数字证券交易所PROBE,并于今年5月成为首个通过立陶宛央行金融科技监管沙箱LBChain测试的项目,且是唯一有成员来自中国的团队,此次双方达成全面战略合作意向,必将强劲助推星盟基金会在企业链改领域宏大愿景加速落地。[2020/6/25]

Hermez创始人AntoniMartin形容zkEVM说:“如果你充分利用每个解决方案的最佳部分,你就可以制造出最好的汽车……”。所以,Hermez在开发zkEVM时同时采用了SNARKS和STARKS两种ZKP方案,力求两全其美。

具体而言,当Hermez处理交易并在链下产生新区块时,将生成一个STARK证明,证明这些交易都是有效的。STARK证明的问题是在链上验证成本很高,而SNARK则在此时就有了用武之地,它需要做的就是在以太坊上验证STARK证明的有效性。

如果你想进一步深入了解此?zkEVM的架构,可点击此处查看Hermez?2.0开发文档。

跨链桥,允许用户将资产从HermezL2转移到其他L2。

三、PolygonNightfall?

去年9月,Polygon和全球专业服务和技术公司安永(EY,Ernest&Young)建立合作关系,随后发布了PolygonNightfall。

安永在2019年公布了Nightfall的初始版本,和其他zk解决方案最不同的一点是,Nightfall是以隐私为重点的rollup,安永将其定位为“以太坊上最突出的隐私解决方案之一”。具体来说,就是Nightfall上每笔交易都包含隐私,意味着如果Alice向Bob发送一笔资产,其他人将无法看到该资产是什么、包含了多少价值或它去了哪里。

之所以更注重交易的隐私性,是因为安永瞄准的客户是企业。最开始,Nightfall试图直接在以太坊上构建第一个企业级区块链,但最后发现,在以太坊主网拥有隐私过于昂贵,于是转了L2并最终选择和Polygon合作。

二者合作发布的PolygonNightfall是迭代多次后的Nightfall?3.0版本,其最突出的特点是有效地将OptimisticRollup的主干概念与ZK-Rollups中常用的零知识(ZK)密码学相结合,从而实现了可扩展性和隐私性的融合。

PolygonNightfall目前正在测试网阶段,主网预计于今年上线。

产业链,使企业能够以可预测的低费用且在监管指导下链接到L1上。

下图为Nightfall具体运作机制:

我们目前可以把可扩展性的瓶颈归结为“状态”,因为在在链上存储数据的成本很高。因此,扩展解决方案的目标是不断降低存储在链上的数据量。Nightfall在降低存储方面采用了成本更低的Optimisticrollup。

通常使用Optimisticrollup方案都会存在7天的挑战期,也就是说从L2提现到以太坊主网需要等待7天。但Nightfall改善了这一点,为用户提供了“即时退出”的选项。其运作方式是,由流动性提供者与用户该笔交易交换位置,先为用户垫付即时提款所需的资金,并在7天的等待期内占据该位置。

Nightfall希望交易同时兼具隐私性。所以,在OptimisticRollup上,Nightfall添加了一个额外的zk隐私层,来保证交易的私密性。

Nightfall?VSAztec

上图显示了两种不同的启用隐私的方法。左边的PolygonNightfall使用了zk密码学的Optimisticrollup,右边的Aztec使用了zk?rollup和zk密码学。我相信,最理想的方案是类似Aztec的zk/zk方法,但在当下,这种解决方法太昂贵了。所以,在一定程度上来说,Nightfall更像是一种能够立刻投入使用的折中方案。一旦zk费用得到解决,Nightall团队会最终切换到zk/zk方案。

下图为Nightfall的架构:

金融企业和机构投资者:Nightfall独特的隐私性为希望将交易和掉期保密的投资组合管理公司创造了一个巨大的机会。

为企业提供供应链可追溯性:企业可通过Nightfall处理供应、执行销售订单、私密支付等。目前,已有一家啤酒厂在使用安永的Nightfall供应链进行可追溯性交易,企业可轻松追踪有多少啤酒、它在哪里、运输数量等。此外,一家制药公司通过Nightfall来将生产线上的每一种产品都铸造成NFT,每天约产生60000个NFT。

ESG:ESG评级是针对企业在环境、社会和公司治理三个方面进行评分考核,从长远角度判断企业是否具备可持续发展的价值。目前已有平台使用Nightfall技术,使用户可在不透露确切的慈善机构的情况下向某个慈善机构捐款。确保了资金使用上的私密性。而且通过在链上添加慈善机构的供应链,公众可以监督慈善机构的进度和资金去向。

Facebook前核心零知识证明技术研究员领导。

PolygonMiden是一个基于STARK的zkrollup。PolygonMiden的特色是它旨在解决rollup很难支持任意逻辑和交易的挑战。rollup通过打包交易来减少链上数据存储,可以减少拥塞并降低交易费用,但很难支持交易包中的某个任意交易的验证,影响了它验证所有链下交易的能力。PolygonMiden通过使用MidenVM来解决这个当今zkrollup的最大难题之一。

PolygonMiden框架的核心组件有两个:DistaffVM和Winterfell。

DistaffVM是一个zk-EVM。每当在zk-VM中执行程序时,都会生成zk执行证明以验证程序是否正确运行,而无需实际运行该程序。Distaff是一个基于STARK的虚拟机。

对于在DistaffVM上执行的任何程序,都会自动生成基于STARK的执行证明。然后,任何人都可以使用这个证明来验证程序是否正确执行,而无需重新执行程序,甚至不需要知道程序是什么。

MidenVM就采用了DistaffVM,并为其添加一个更有效的证明系统——Winterfell。?Winterfell是一个功能齐全的多线程STARK证明器和验证器,用于任意计算。本质上是性能更高的最新版本的STARK证明。

一旦开发完成,任何项目都可以在这个zk-rollup之上部署智能合约。

其他项目不同之处在于,Miden生成STARK证明。尽管使用STARK证明更贵,但它相对要更安全。Miden创始人还计划进一步研究递归STARK证明,来降低其价格。

交易首先会分发送给Miden的执行节点;

这些执行节点一次将5000笔交易捆绑到区块中,并生成一个STARK证明;

每200笔交易捆绑的区块生成一个STARK证明,证明交易的有效性;

最后将最终STARK证明结果是上传到L1以太坊来达成共识和确定性。

对开发人员友好:Miden的目标是让开发人员甚至无需学习任何有关密码学或zk证明的知识,即可在此zkVM之上运行智能合约。

支持多种编程语言:团队正在努力增加对多种编程语言的支持,但同时保证Solidity优先。

以安全为中心:通过zk技术使MidenVM比EVM本身更安全。

以隐私为重点:虽然这不是现在的重点,但Miden团队在路线图部署了相关开发计划。

据官网公布的信息,Miden预计于2023年第一季度推出。

总结:

最后,我们再简单快速对比一下Polygon的四种zk扩容方案:

PolygonZero开发了一种基于SNARK的递归证明系统Plonky2,这一技术能在Mac-BookPro上以小于170毫秒的速度生成递归证明。在如此高效、快速的Plonky2证明系统上,PolygonZero将最终开发最具可扩展性的zkEVM。

Hermez开发的zkrollup的特点是在交易过程中通过拍卖选择协调者,竞标成功的协调者为了盈利,会在单位时间内尽可能地进行交易,所以这一竞争机制会带来交易上的高效。此外,Hermez也在开发zkEVM,且同时采用了SNARK和STARK两种ZKP方案,力求两全其美。

而Nightfall要更特殊一些,和其他zk解决方案最不同的一点是,Nightfall是以隐私为重点的rollup,他瞄准的客户是企业。此外,Nightfall有效地将OptimisticRollup的主干概念与ZK-Rollups中常用的零知识(ZK)密码学相结合,从而实现了可扩展性和隐私性的融合。

Miden最核心的产品是MidenVM,和其他rollup不同,它采用较为冷门的STARK证明系统来建设虚拟机,旨在解决rollup很难支持任意逻辑和交易的挑战,提高验证所有链下交易的能力。

目前,四个方案多处于开发和测试阶段,都将于今年或明年正式上线。随着前述新zk解决方案的投入使用,Layer2将很大程度解决此前技术方案落后的质疑,并在主流Layer2解决方案中占有一席之地,为加密用户带来更多选择空间。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

FTTAOS:BitWell研究院——NAOS Finance项目解析

1、研究院短评 DeFi市场在近两年内迎来了繁荣发展,其中去中心化借贷是一个重要的赛道,最早受到市场广泛关注的DeFi协议就是提供抵押借贷业务的MakerDAO.

[0:15ms0-0:718ms