ROL:两全其美的 zk rollup 预共识机制

1)太长不看:

本文概述了一种预共识机制,可以实现即时终局性并减少验证gas成本,同时不影响zkRollup的即时资金退出。

2)背景和动机:

在承诺间隔足够短的情况下,zkRollup可以实现即时终局性。在这个方案中,聚合者的信任风险会随间隔时间增长而增加,实现终局性的成本会随间隔时间延长而降低。

首先说明zkRollup的配对验证成本超过20万gas。也就是说,在zkRollup的每个承诺间隔期内,聚合者都需要花费这么多gas来验证并敲定承诺。

我们不能忽略这一成本,因为zkRollup的承诺间隔很短。我们需要承诺来实现即时退出的终局性。只要承诺间隔很短,且恶意聚合者回滚交易的积极性不高,我们就可以实现即时终局性。

广东高院发布虚拟货币典型案例:不法投融资活动不受法律保护:金色财经报道,2月22日,广东省高级人民法院发布2021年度全省法院涉互联网十大案例。其中,韦某等与章某等网络侵害虚拟财产纠纷案入选。

该案中,XIN币为一种加密虚拟“货币”。2019年7月,韦某等组成A团队、姜某等组成B团队、章某等组成C团队,共同投资XIN币获取收益,其中韦某等四人投入的XIN币是向散户募集所得,委托、募集行为均发生在中国境外。2020年3月章某将C团队保管的私钥删除,导致三团队投资的XIN币无法取出。韦某等诉请章某等赔偿XIN币丢失的经济损失1190万元。广州互联网法院审理认为,XIN币不具备法定货币的合法性,投资者通过境外募集获取XIN币并进行投资获取收益的投资交易行为,危害公众财产安全,扰乱社会经济秩序,损害社会公共利益,违背公序良俗,不受法律保护,由此引发的损失应自行承担,故驳回韦某等全部诉讼请求。(人民资讯)[2022/2/22 10:08:17]

尽管我们可以使用递归零知识证明和高效的证明计算系统来聚合多个交易,我们也很难改变承诺间隔。如果我们盲目延长承诺间隔,就会影响安全性。

硅谷银行倒闭前美国银行业存款一周内减少540亿美元:金色财经报道,在三家银行倒闭引发全球金融动荡前的一周,美国银行业存款已经持续下滑。美联储周五发布的数据显示,截至3月8日当周,银行存款减少544亿美元至17.6万亿美元。存款较去年4月创下的高点下降约5000亿美元,加剧了金融体系的压力。在硅谷银行和另外两家银行倒闭之后,美联储每周发布的关于美国银行业资金状况的报告突然成为市场和经济一个关键数据点。有人担心,储户存款搬家或寻求更高收益率产品可能会导致更多银行陷入困境。另一个令人担忧的问题是,银行将在提高自身财务状况的同时收紧贷款标准,这将遏制经济增长动能。过去几周已经出现信贷增长放缓的迹象。[2023/3/18 13:11:40]

然后,我们需要思考如何在zkRollup中实现安全的即时终局性和较长的验证间隔。

欧盟新法律草案规定欧盟银行必须对加密资产施加最大可能的风险权重:金色财经报道,根据欧洲议会周五公布的一项法律草案,欧盟银行必须对加密资产施加最大可能的风险权重。计划中的规则可能决定传统金融部门如何参与数字资产。根据该草案,银行将不得不披露其对加密货币的直接和间接风险敞口,而欧盟委员会则为该行业制定更精细的规则。

议会经济和货币事务委员会在一份解释性文本中表示:(金融)机构参与加密资产相关活动的可能性日益增加,应在欧盟审慎框架中得到充分反映,以充分减轻这些工具对机构金融稳定的风险。鉴于加密资产市场最近的不利发展,这一点更加紧迫。(CoinDesk)[2023/2/13 12:04:27]

3)方法:

聚合者的运行成本源自合约上零知识证明验证的gas成本高且承诺间隔短。

Immunefi创始人:CBDC可能会推动更多资金进入DeFi领域:金色财经报道,Web3漏洞赏金平台Immunefi创始人兼首席执行官Mitchell Amador在接受采访时表示,央行数字货币(CBDC)的引入可能会突出DeFi行业的安全效益,并吸引更多资金进入该领域。

Amador认为,CBDC将与当今的传统金融体系存在同样的安全隐患:“传统金融机构已经遭遇了数十亿美元的黑客攻击。但随着CBDC的兴起,我们将看到这种情况的爆发,但那时我们都会发现,DeFi项目效率高得多,安全得多……这将反过来推动越来越多的资金进入DeFi。”[2023/1/12 11:07:19]

因此,我们可以在不影响安全性和可用性的情况下延长验证间隔。

3.1)第一步:跳过零知识证明配对验证

首先,我们最容易想到的解决方案就是跳过配对计算,并引入针对承诺的简单欺诈证明。

聚合者向合约提交证明或验证zkRollup承诺所需的任何东西,但这时不执行配对计算,也就不需要支付20万gas。一段时间过后,这个承诺就会得到验证;这个承诺中的每个状态将成为下一个承诺的公共输入。聚合者需要锁定一些以太币来激励验证者。一旦验证者发现欺诈行为,聚合者就会受到惩罚。

承诺就是公共输入、零知识证明数据、上一个状态根、下一个状态根、交易哈希和聚合者地址这几项的哈希值。

原像由链上事件提供,承诺保存在合约存储内。

这种方法具有很大的优势。

每个人都可以成为瞭望塔,等同于OptimisticRollup中的“验证者”,无需运行全节点或进行任何特殊的起步设置。

数据可得性问题不会发生,因为验证或执行欺诈证明所需的一切数据都在链上发出的事件中。执行欺诈证明时,我们不需要Layer2交易数据及交易结果,因为这些数据全都包含在了零知识证明的公共输入和证明中。

如果恶意聚合者提交了恶意默克尔根,并放弃了所有交易数据和默克尔树数据,我们不需要运行全节点来进行欺诈证明。我们只需检查零知识证明数据,并执行配对验证函数,即可发现这类恶意行为。

但是,上述方法存在安全性问题。

如果Layer1上发生51%攻击,将恶意默克尔根合法化,我们很难阻止。

由于51%攻击的执行成本随底层区块链的出块时间增加而增加,我们需要足够长的验证期限,才能有效提高51%攻击的难度。理想的验证期限是7天,因为ORU的退出期限也是7天,这可以根据挖矿成本和实际的攻击奖励计算得到。

在这种情况下,我们没有理由舍ORU而取上述方案。

3.2)第二步:无需零知识证明验证的预共识承诺,通过递归零知识证明配对实现终局性

我们可以通过以下方式解决上述安全性问题。

我们将这个没有经过零知识证明验证的承诺视为预共识。预共识会通过零知识证明验证限制终局性。

(consensuscommit)=>(pre-consensuscommit)=>(pre-consensuscommit)=>….=>(pre-consensuscommit)=>(consensuscommit)

所有预共识承诺都会通过配对来限制共识。因此,Layer2用户可以享受安全的即时交易终局性。我们需要使用带有递归零知识证明的所有预共识承诺来验证共识承诺。这里有两个电路:预共识电路和递归电路。预共识电路包含采用zkRollup方案的dApp的逻辑。递归电路只需要从Layer1中获取预共识数据作为公共输入。

递归零知识证明可以用来对一段时间内的预共识进行水平合并:与此同时,它也可以用来将大量交易垂直聚合到预共识承诺中。

如果说任何虚假的预共识承诺都会影响带有配对的共识验证,我们总是可以通过零知识证明配对其进行欺诈证明。一旦证明成功,聚合者就会使用零知识证明验证者函数将该承诺删除,然后重新开始进行交易聚合并创建预共识承诺。

如果急的话,资产持有者可以花20万gas通过预共识来达成共识,然后就可以立即退出。正如“第一步”中提到的那样,他们不需要任何特殊设置,即可实现共识终局性,因为所有输入都已聚合,而且可以通过链上事件搜索到。无论验证多少预共识承诺证明,递归验证的gas成本都不会增加,因为这些证明将被哈希到条目哈希中。

51%攻击者无法敲定恶意默克尔根,因为每个根最终都会通过由zk电路实现的合约代码逻辑在链上进行验证。

4)总结:

这种带有欺诈证明的预共识协议及相关数据可访问性可以让zkRollup拥有较长的承诺间隔。这种方法可以大量节省验证计算所需的gas成本。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:31ms0-2:522ms