撰文:宋嘉吉、任鹤义
摘要
零知识证明在以太坊扩容、乃至区块链行业发展中都被寄予厚望。而零知识证明技术面临一定难度,虽然各类创新算法不断涌现,但验证易、生成证明难的局面依旧。我们前期报告也分析过,区块链扩容的一大方向便是计算脱链,因此将证明生成计算放在链外则成为主流方案。为解决生成证明过程的去中心化问题,ZK 证明计算逐渐风生水起。随着以太坊合并之后,市场存量的以显卡算力只能另寻他途。而 ZK 证明正是为这些矿机硬件提供了新的应用空间。
零知识证明协议的验证非常快,而所有的难点就在于生成证明。只要生成证明的速度跟得上,那么链上验证就很简单,验证亚线性特点更利于区块链的拓展性。零知识证明目前有多种实现方式,如 ZK-SNARKS、ZK-STARKS、PLONK 以及 Bulletproofs。每种方式在证明大小、证明者时间以及验证时间上都有自己的优缺点。完全理想的零知识证明非常难达到,几种主流的算法通常在不同维度之间做平衡。ZK-SNARK 具有更简洁的证明,耗费更小的链上存储空间,但需要可信设置,存储一定的风险和漏洞。ZK-STARK 具有更快的验证速度和证明速度,不需要可信设置,但是电路规模很大。BulletPropfs 没有可信设置,且性能可拓展性很高,证明大小不是指数级增加,节省更多的存储空间。
ALEO 的目标是构建一个可编程的隐私 DeFi 平台,类似 Zcash 和以太坊的综合体。用户可以不泄露数据隐私的情况下,使用区块链网络服务,其利用的主要技术就是零知识证明。零知识证明可以在不透露输入参数的情况下,验证交易的有效性,这为隐私验证提供了新的解决方案。Aleo 结合零知识提供了全栈解决方案,保证应用程序堆栈的每一层都可编程、可使用、可去中心化隐私计算。这有些类似 Zcash 和以太坊的综合,既考虑隐私的需求,又能够运行各类合约,为 DeFi 等生态发展提供根基。
Aleo 算力对 CPU 和 GPU 的要求都较高,对内存和固态存储的要求较低。从市场现有机型来看,Filecoin P1P2 算力机改装最为简单,成为主流的测试机型。Fil C2 超算机部分机型的 CPU 需要加强,再更改 CPU 的同时也可能会有主板的更改,改造成本也较低。对于 Chia P 盘机和 ARweave,除了需要增加显卡,基本不需要其他改动,改造成本中等。而以太坊在转 POS 之后,如果 ETH 矿工想要加入 Aleo 算力,则除了部分高端显卡之外,其余部分基本都需要改装,成本较高。
硬件方面的选择包括 GPU、FPGA 或 ASIC,后两者潜力似乎更大。需要注意的是零知识证明仍处于早期发展阶段,目前仍然很少有标准化,且算法也在不断更新变化中。每种算法都有其特点,适合于不同的硬件,且随着项目发展需求每种算法都会有一定程度改进,因此很难去具体评估目前存量矿机的优劣。GPU 能通过算法进行加速并行计算,但是算法内包含 MSM、FTT,因此即使实现了并行运算,也无法大幅降低其证明时间。FPGA 能够通过针对于 ZK 算法定制化优化矿机。ASIC 是为特定用途专门定制的集成电路芯片,从出厂硬件上实现优化。但是 ASIC 由于过于定制化,需要的时间需要的时间和成本也会更多。也许硬件的迭代伴随着行业规模的增大,逐渐朝着 ASIC 方向发展,但是不会一步到位。
风险提示:区块链商业模式落地不及预期;监管政策的不确定性。
零知识证明在以太坊扩容、乃至区块链行业发展中都被寄予厚望。而零知识证明技术面临一定难度,虽然各类创新算法不断涌现,但验证易生成证明难的局面依旧。我们前期报告也分析过,区块链扩容的一大方向便是计算脱链,因此将证明生成计算放在链外则成为主流方案。为解决生成证明过程的去中心化问题,利用各类算力进行生成 ZK 证明计算(可以理解为类似 ZK mining)逐渐风生水起。随着以太坊合并之后,市场存量的以太坊矿机只能另寻他途。而 ZK 证明计算正是为这些矿机硬件提供了新的应用空间。Aleo 作为 ZK 证明计算的典型项目,提供了一种综合 Zcash 和以太坊的隐私平台方案。
本文分析了 ZK 证明计算的原理,对比了 ZK-SNARKS、ZK-STARKS 以及 Bulletproofs 几种典型方案的优劣。同时根据 ZK 的原理,分析了各类硬件应对零知识证明中的 MSM、FFT 的优劣。总而言之,对于 Aleo 而言,Fil 矿机的改造成本最低;从硬件类型来看,FPGA 和 ASIC 有较大的优势和潜力。但需要注意的是,ZK 算法的复杂性和快速迭代下,不同需求适应的硬件可能也会不同。
自以太坊诞生以来,扩容就成为区块链永恒的主题。L2 无疑是扩容的主流方案,为解决 L2 与主网验证效率的问题,零知识证明技术(Zero Knowledge Proof,ZKP)是最有潜力的技术——这来源于 ZKP 验证的准线性特点。但其代价就是生成 ZK 证明计算带来的复杂性和难度,因为 ZK 证明计算需要大量的算力消耗,且消耗越大,验证的效率可能越高。因此 ZKRollup 成为最具潜力的扩容方案,而在公链的赛道上,ZK 证明计算就成为绕不过去的点。因此,随着区块链扩容的发展,系统的复杂度也有着相应的提升,包括脱链(off-chain)计算(如 SCP、ZKP 证明计算)、硬件算力都成为扩容的选择。
以太坊扩容是大思路是数据运算、执行甚至存储脱离主链,这位硬件算力提供了新的应用场景。一些 L2 的 ZK 证明计算是放在私有算力硬件上完成的,但不要忘记零知识证明技术最基本的潜力是隐私性。为解决 ZK 证明计算的去信任化,利用去中心化的硬件节点来解决算力消耗成为一种自然而然的方向。例如 Scroll 创建一个去中心化的证明市场来解决以太坊 L2 扩容问题,创造了一个兼容 EVM 的 ZKRollup。当然也有 Aleo 这样,利用 ZKP 的隐私特点,打造了一个隐私公链平台,且利用了硬件算力来解决 ZK 证明计算问题的新平台。
无论是用作 L2,还是独立的新公链平台,ZKP 证明计算的对硬件算力的需求都会催生出新的算力市场模式。