探索以太坊扩容之路:哪个方案才是未来?_ROL:roll币出獠牙肩几率

深层研究以太坊扩容方案优劣性。

前沿

无论你是不是区块链技术方面的专家,只要你待在Crypto的世界里够久。以太坊扩容,layer2,Rollup这些词语对于你来说都不会陌生。很多人都对这些概念中的一个或多个有所了解,但是他们之间的关系到底是怎样的?我们为什么需要这些技术?他们想要解决什么样的问题?

如果你想要知道以上问题的答案,那希望这篇文章会对你有所帮助:

本文中的所有内容都是逻辑上的梳理,不会涉及密码学/计算机科学方面的知识,所以相信只要你对以太坊本身熟悉,基本都可以理解。

正文

自从CryotoKitty造成以太坊链上拥堵的那天开始,以太坊开发者们就在不停的探索提高以太坊吞吐量的方案。

从原理上可以分为两类:

是对以太坊区块本身进行改造,我们姑且称之为Layer1方案,这里的主要解决方案是分片。

是改变我们使用以太坊的方式,将交易的执行和处理放在链下,以太坊本身只用来校验其交易有效性,提供安全性。这就是我们经常听到的Layer2。

Layer2的核心思想是将大批实际发生的交易放在链下执行和计算,再将其通过以太坊上极少量的交易进行交易最终有效性的验证。无论是State Channel,Plasma还是Rollup,实际上都遵循了这一原则。

现在谈起Layer2,很多人第一反应都是将其与Optimistic/ZK Rollup挂钩,但在这里我们先简单介绍一下状态通道和Plasma,这有助于我们理解为何Rollup最终胜出,成为当前我们谈论最多的Layer2解决方案:

一.状态通道

以下是一个状态通道的最原始结构:

状态通道是一种已经存在很久的区块链扩展方案,他最出名的应用是比特币的闪电网络。

相比描述他的原理,一个例子更能够说清楚什么是状态通道:

你很喜欢楼下的一家理发店,每次去理发店的时候Tony老师都会在你的耳边一直让你办卡。

有一天你终于决定了,办卡就办卡吧,反正我以后还会来。于是你向理发店转账一千元办了一张卡。

以后每次去理发,你都不需要再向理发店转账,取而代之的是你的卡里的余额会被扣除,同时每次理发你都和理发店完成了一次实际上的交易。

过了一个月,你要搬家了,可是你卡里的钱还没用完。于是你向理发店申请退卡,理发店的Tony老师退给了你200元。

在这一个月的时间里,你在理发店消费了十几次,但你和理发店实际上只互相转账了两次。

将这个过程放在区块链上,你买卡的过程实际上是将钱存进了某个智能合约,同时开启了一个你与理发店间的状态通道。你退卡的过程关闭了你与理发店之间的“状态通道”。你和理发店之间的互相转账相当于在以太坊主链上的两笔交易。

设想一下你没有办卡,那每次理完头你都需要给理发店转一次帐。

通过这个例子我们发现,通过状态通道,只有第一步和最后一步需要我们在区块链上进行交易,在这些步骤之间,你 和 理发店 可以向对方发送无限数量的签名消息(完成一次消费),指示付款。在这种情况下,以太坊区块链仅用作结算层来处理一次性付款的最终交易,这大大减轻了底层区块链的负担。

应用场景

(1)状态通道在某些简单场景如流支付中能够发挥很大的作用,其通过在链下对消息签名的方式对交易数据进行记录,将大量在逻辑上发生了的交易简化成了主链上的两笔交易。

(2)状态通道因为其成本较低,很适合一些微支付的场景,比如用ETH或者BTC买早餐咖啡等。

局限性

但同时,状态通道需要资金的发送方和接受方都进入这个通道来,而为了维护状态通道,支持比流支付更复杂的操作,大笔的资金需要被锁定。因此开发者们很快意识到状态通道无法作为可选的扩容方案之一。

二:Plasma

1:原理

现在我们都知道了状态通道的局限性,而为了解决这个问题 ———— Plasma应运而生。其解决了将资产发送给任意目标人的问题,同时也能够确保TPS的提升。事实上在开发者们研究Layer2解决方案的开始很长一段时间里,Plasma一度被认为就是那 “一个”。

要理解Plasma,首先要明白它并不是一种实际的技术,它更像是一种设计思想或者技术架构。

Plasma通常是一条链,它可以拥有与主链不同的共识机制,也可以拥有自己的矿工。但最重要的是Plasma链上会有一个叫做“Operator”的角色定期的根据子链上的状态转换,生成一棵默克尔树,并将这棵默克尔树的树根哈希值提交给主链做验证和记录。关于为什么默克尔树和其树根哈希值能够用作状态转换的验证,我们会在同样使用了这一应用的Rollup中讲到。

中非共和国成立加密工作组,探索将Sango Coin融入经济:1月19日消息,据中非共和国(CAR)政府周二的一份声明,该国成立了一个工作组,以探索将其国家加密货币 Sango Coin(SANGO)融入经济的方式。该工作组将致力于起草一项关于加密货币在该国使用的法律,同时还将提交资产代币化的指导方针。工作组的15名成员是从几个政府部门中挑选出来的,包括矿业和地质、农村发展和城市规划。去年7月,中非共和国推出了Sango Coin,成为首个创建国家加密货币的非洲国家。该国也在2022年将比特币合法化,成为继萨尔瓦多之后第二个这样做的国家。(The Block)[2023/1/19 11:20:24]

通过这样的方式,无论在两次提交期间,子链上发生了多少笔交易,子链只需要将交易执行造成的状态信息提交到主链上即可。

以下是使用Plasma机制的简单示意图:

用户想要进入Plasma链需要在以太坊主链上做资产的映射,而当其需要将Plasma链上的资产转移或主链上时,需要经历一段时间的挑战期来供其他人使用「 欺诈证明 」机制来确认资产转移的有效性。

「 欺诈证明 」意味着任何人在这段挑战期(通常是7天或者更久)内,都可以通过默克尔树校验的方式来提交证明用户资产的退出是不合法的。

但这带来两个问题:

(1)想要验证这个提款的正确性需要有节点保存Layer2上的交易和状态信息,因为Plasma只会提交其状态转移的结果,而想要提交欺诈证明必须有Layer2上的信息,这将大大提升 验证者 这一角色的成本。

(2)是所谓的 「 数据不可用」,他的意思是Plasma不会将其链上发生的交易数据发给主链进行存储,主链的节点无法获取到这些交易数据,无法通过主链本身的安全性为其做验证。当然有些解决方案会把这些数据提交到中心化存储或者IPFS上,但这对主链来说没有任何意义,因为用户使用Layer2的基础是信任主链本身的安全性。

三:Rollup

我们可以看到Plasma一个很重要的问题是他的 “数据不可用”,主链只会收到Operator提交的状态转移结果,其只能期待有人存储了链下的的交易和状态信息,通过欺诈证明机制来确保子链的提交真实性,它在这个过程中只承担了确认者的角色,其安全级别是较差的。

1.具体理解“数据不可用”

以太坊将其链上发生的所有数据都公开,所有人都可以查询。但Plasma不会提交这些交易数据到主链上,而只提交执行结果,因此其效率上的提升是很高的,但是这样做的代价是Plasma无法建立和以太坊主链同一级别的信任。

Rollup实际上可以算是原始主链处理方式和Plasma方式的折中,其会将数据提交给主链,但他会最大限度通过聪明的编码方式压缩这些数据,同时基于Rollup本身的特性适当删除和缩减一部分数据,只要保证最终的提交能够供任何人验证即可。

交易数据上链后,任何人都可以根据这个数据来校验Rollup提交的结果是否正确。因此,Rollup的安全性要比Plasma高。

总结一下,Rollup的核心优势是所谓的“数据可用性”,它会将数据提交给主链,这大大加强了安全性。

那么究竟Rollup是如何实现的呢?

2.原理

(1) State Root:首先Rollup在主链上拥有一个(或者一系列相互关联的)合约:

这个合约用来维护Rollup层中的状态记录,这个状态记录实际上是一棵默克尔树的根节点存储的哈希值,这个哈希值被称为state root。

而这颗默克尔树的叶子节点是Rollup中的账户状态信息。如果你不知道什么是默克尔树,以下是一个简单的例子:

可以看到这是一颗二叉树,在二叉树的叶子节点上记录着当前rollup层账户的状态信息。

对于每两个状态信息(例如State 1/State 2),我们可以根据某种哈希公式计算出一个唯一的哈希值(eg: Hash(1,2) )来作为这两个叶子节点的父亲节点,依次一层一层往上类推,最终得到一个哈希值存储在根节点中:

你不需要知道怎样计算哈希值,你只需要记住几件事情。

1 任意一个叶子结点的改变都会导致根节点的值变化(任何一个状态的变化都会导致Root hash发生变化)

2 如果两棵树的根哈希值相同,那说明他们的叶子结点存储的信息完全一致(因此只需要对比两个根节点哈希值就可以确认底层状态信息的一致性)

3 根据根节点的哈希值和指向某一个状态信息的路径,我们可以确认某一个状态信息存在于这颗哈希树中。

普华永道香港与元宇宙技术公司TerraZero达成合作,拟探索元宇宙产品和服务:10月1日消息,据报道,普华永道香港(PwC Hong Kong)宣布与元宇宙技术公司 TerraZero Technologies Inc. 签署合作协议拟提供元宇宙产品和服务。

普华永道将探索 B2B、B2G 和 B2C 应用程序的公共元宇宙体验,并且构建元宇宙私有托管服务,为品牌商提供企业级安全、隐私和安全功能,以便在元宇宙中基于信任方式与客户互动和交易。(美通社)[2022/10/2 18:37:13]

(2)Batch:通过 state root 我们可以得出一个账户状态的key-value map:

其中key是账户地址,value则包含余额/Nonce/合约代码/存储(对于合约账户)等状态信息

当rollup上发生交易的时候,很显然的,这些账户的状态会发生改变,由此产生新的state root。

虽然这样可以非常准确和及时的反馈Rollup上最新的状态变化,但是如果每发生一笔交易就在主链更新一次state root,产生的成本反而会比将这些交易在Layer1上执行更高。

所以为了解决这个问题,rollup中产生的交易将被按批次打包汇总,同时根据这批交易全部执行完成后的状态,会产生一个新的state root。无论是谁将交易打包提交给主链上的智能合约,他都需要计算这个新的state root,并将其和上一个state root以及交易数据一并提交。

这一部分的打包被称为一个”batch”,提交者将batch提交给Rollup contract之后,主链会去验证新的state root是否正确,如果通过验证,则将state root更新为最新提交的state root,并最终完成一次rollup内的状态转移确认。

(3)Rollup的实质 :以下是一个简化版本的Optimstic Rollup流程,可以看到和Plasma的最大的区别其实在于新增了交易数据的提交。

所以,Rollup的实质是将一大笔实际产生的交易汇总成一笔主链上的交易,这些交易由Rollup链来执行和计算,但会将数据提交给主链,同时由主链扮演一个“最高法院法官”的角色最终确认这些交易。由此我们利用了主链的共识和安全性,同时提升了实际上的交易效率,降低了交易成本。

3:疑惑

? 看完以上的描述你可能会有一些问题,别担心,我们会一步一步进行推演和解释。

(1)如果提交全量交易数据,还是很难扩容吧?前文说的数据压缩是解决这个问题的嘛?怎么做的?

这两种技术方案能够做到扩容,核心都是交易的压缩和打包。这是因为以太坊的区块 gas limit 是有上限的, 压缩后的交易越小,一次能提交给主链的交易就越多。那么如何做到这一点呢?

以下是Vitalik在其文章中描述的一种压缩模式,作为例子帮我们理解

以太坊主链上一笔简单的交易(比如发送 ETH)通常消耗约 110 字节。然而,在 Rollup 上发送 ETH 可以缩减到约 12 字节。

达到这样的压缩效果,一方面是采用了更简单高级编码,而目前 Ethereum 的 RLP 在每个值的长度上都浪费了 1 字节。另一方面,还有一些巧妙的压缩技巧:

Nonce:在 rollup 中可以完全省略 nonce

Gasprice:我们可以允许用户使用固定范围的 gasprices 进行支付,例如 2 的 16 次幂等

Gas:我们同样也可以将 gas 设置为 2 的多次幂。另外,我们也可以在 batch 层面设置 gas 限制。

To:可以通过默克尔树上的索引来标识地址

Value:我们可以用科学计数法存储 value。在大多数情况下,转账仅需 1 ~ 3 有效位。

Signature:我们可以使用 BLS 聚合签名,将多个签名整合为一个

这些压缩技巧是 rollup 扩容的关键,如果我们不对交易数据进行压缩,rollup 或许只能在主链的基础上的有大约 10 倍的提升效率,但有了这些压缩技巧,我们才能做到50倍 100倍甚至更高的压缩效率。

与此同时,为了节省gas,这些被压缩过的交易数据会被放入calldata参数中存储。著名的EIP-4488,提出calldata中每一字节数据gas消耗降低,就是为了进一步优化一笔主链交易能够承载的roll层交易数据量。对于具体的压缩效果,我们会在下面对于两种不同的ZK-Rollup进行对比时展示简单的数据。

推特正在成立加密团队以探索DApp:金色财经报道,推特正在成立一个专门的加密团队,这标志着其首席执行官Jack Dorsey为拥抱数字资产和去中心化应用程序及其周围不断膨胀的社区而采取的最新举措。该公司表示,已聘请Tess Rinearson领导新的Twitter Crypto团队,并“在推特上为加密货币的未来制定战略”。Twitter Crypto旨在成为“所有区块链和web3事物的卓越中心”,指的是越来越多的在公共区块链上运行的去中心化应用程序。推特表示:“我们正在探索将去中心化技术融入我们的产品和基础设施的方法”,并补充说,在短期内正在探索支付、人们创建内容以赚取加密货币的方式以及“社交媒体的去中心化”。在推特首席技术官Parag Agrawal的领导下,Rinearson的任务是监督和加强这些工作。她此前曾在专注于开发开源去中心化技术的Interchain以及去中心化加密钱包和交易所Interstellar工作。[2021/11/11 6:45:07]

(2)怎么来验证提交的可供验证的信息是正确的?

既然最终的状态转换确认(也代表着交易的确认)由state root的更新决定,但是目前看起来Rollup上的提交者可以随意提交他想要的交易数据和state root,那么怎么来验证他提交的这些信息是正确的呢?

对于这一问题,大体上有两种解决方案,而根据解决方案的不同,rollup也被分成了两类:

4:Optimistic Rollup

正和它的名字一样,这种解决方案选择乐观的相信提交者提交的batch是正确的,除非有人通过一个欺诈证明来证明提交者是其实是一个坏蛋,他提交了一个错误的batch。

(1)以下是一个欺诈证明构建的简单例子(再次感谢Vitalik):

提交一个欺诈证明来证明某个提交的batch是错误的,需要下图的绿色部分包括的信息:

1.提交者提交的batch

2.上一个state root代表的默克尔树(实际上代表了真实的账户状态信息)的一部分,根据这一部分能够构建完整的默克尔树

基于第二部分构建的默克尔树,我们模拟执行batch中提交的交易,从而得到了新的账户状态,得到新的默克尔树,得到新的state root。

将上一步得到的state root和batch中的state root进行比对从而验证batch中的是否正确

(2)验证过程

我们从逻辑上梳理了Optimstic确保state root真实性的过程,实际上,为了确保能够威慑提交者不作恶,提交者往往需要质押资金,当他的提交被验证为错误时,一部分质押资金将会被扣除作为惩罚。同时,提交了相应欺诈证明的验证者在某些解决方案中会得到被扣除的资金,以此来激励监测和提交欺诈证明的行为。

如果我们将OR和Plasma进行比对,我们会发现一些相似性,例如他们都使用了欺诈证明机制,需要有一个验证者的角色来监测OR给主链的提交。但由于OR同时向主链提交了交易数据,所以OR上的验证者不需要在自己去保存记录OR上的交易,作为对比,再将前文的简单架构图放在这里以供读者对比:

5:ZK-Rollup

(1)Zk-rollup的核心

另一类解决方案是ZK Rollup,与OR(Optimistic Rollup)不同,ZK Rollup做了这样的根本假设:

不相信提交者能主动提交正确的batch,或者说类似法律学中的“有罪推定”。提交者在提交batch时除了交易数据以及post/previous state root 之外,还要携带一个ZK-SNARK证明。

ZK-SNARK本质上是一个“有效性证明”,他可以直接用来被验证所提交的batch是正确的。这个证明被提交到Rollup合约之后,任何人都可以使用它来验证Rollup层中特定批次的交易,而,这意味着rollup不再需要在提交后再等待7-14天来做验证。

(2)有效性证明和欺诈证明的区别

那么如何通俗的理解ZK-Rollup这样的“有效性证明”和Plasma/Optimsitic Rollup使用的“欺诈性证明”之间的区别呢?

首先这三种方案都需要有人来做Layer2上交易的排序,执行和打包,我们姑且称这个角色为“执行者”。

Plasma的执行者只会提交执行结果,秉承着其他人爱信不信的原则,你如果不信任我就需要发起挑战,而发起挑战需要你自己保存底层的交易数据。

OR也是一样,但是执行者在提交的同时会把交易数据也放上来,同样是爱信不信,你如果不信就自己根据这个交易数据去验证就完了。

但ZK不一样,ZK说我不想等你好几天让你来挑战我,那多浪费时间啊,我赶着确认我的交易呢。于是ZK直接在提交的时候生成一个证明,把这个证明也放上去,在提交的同时完成验证。

动态 | 美国西奈山伊坎医学院探索区块链应用:据Coindesk消息,纽约西奈山伊坎医学院成立了一个新的研究中心,专注于医疗领域的区块链应用。[2018/7/30]

与此同时,Plasma/OR都需要通过质押的方式来确保执行者作恶是有损失的,而ZK不用,因为它不需要别人相信它,每次提交他都会自证清白。

除了这方面的区别外,另一个有意义的地方在于,ZK-SNARK可以让我们在不提交全部交易数据的情况下证明这批交易的有效性,这对于Rollup来说是很重要的,在下面我们会解释这一点。

(3)ZK-Rollup的实现逻辑

首先ZK-Rollup本质上还是一种Rollup解决方案,因此其仍然需要做以下两件事情:

打包压缩一个批次的交易数据

生成新的state root

唯一不同的是验证方式,ZK-Rollup不会等待验证者发起欺诈证明流程,而是直接生成一个ZK-SNARK 证明并添加到Batch里提交给主链rollup合约。

如图示,提交的内容相比OR来说 增加了一个ZK-Proof,同时验证人这一角色被隐去了。

提交到rollup合约之后任何人都可以进行验证,验证成功后主链rollup合约会将State root更新为提交的最新数据。

(4)如何生成一个ZK-SNARK 有效性证明?

A 什么是ZK-SNARK?

ZK-SNARK的全称是“Zero-Knowledge Succinct Non-Interactive Argument of Knowledge.”

简洁非交互零知识证明。我会尽量解释其中每一部分的意思:

Succint(简明):与实际证明的数据量相比,这种方法生成的证明要小很多。

例如我们要证明一系列交易确实存在并发生,所生成的证明数据量必须要小于这些交易本身的数据量。

Non-interactive (无交互): 在证明构建完成后,证明者只需要向验证者发一次简单的消息,而且通常情况下允许任何人无需许可的验证。

这对于ZK-Rollup或者区块链上的ZK应用是很重要的,因为有一些ZK证明需要证明人和验证人之间多次交互(猜颜色问题是一个典型的例子),放在链上则意味着要发起多笔交易,这在成本上是不可容忍的。

Arguments:可以抵抗计算能力有限的证明者的攻击

这一部分意味着生成证明使用的加密算法复杂度在现有的算力条件下,无法以可接受的时间和经济成本被暴力破解。

of Knowledge:在不知晓要证明的是什么的情况下 不可能构建一个证明

这对于ZK-Rollup来说也是很重要的,因为我们不能允许有人能够根据非交易数据创建一个ZK Proof 提交给主链合约。

最后,也是最重要的“Zero-Knowledge”:

零知识意味着在证明人向验证者证明某个论断(Statement)时,不透露任何有用的或和所证明的实体本身有关的任何信息。

B 一个最简单的零知识证明例子是这样的

Alice想向Bob证明知道某个保险箱的密码,密码是打开保险箱的唯一方式,但她不想告诉Bob保险箱的密码,怎么办呢?

正好Bob知道保险箱里有一副Bob前女友写给他的情书,上面有Bob和前女友共同的指纹。

于是Alice背着Bob打开了保险箱,拿出了这封情书给了Bob。

由此证明了Alice知道保险箱的密码,同时Alice并没有告诉Bob密码是什么,成功!

C 如何为ZK-Rollup生成一个ZK-SNARK证明?

简要的说,生成一个ZK-SNARK证明分为以下几步:

确定问题在逻辑上的验证规则(例如检查balance,nonce是否符合要求等)

将逻辑上的验证规则转化为门电路Circle问题

将门电路Circle问题转化为R1CS(rank-1 constraint system,一阶约束系统)形式

将R1CS转化为QAP (Quadratic Arithmetic Program)?

经过以上转换,我们就可以根据逻辑上的验证规则得到一组可通过固定验证方法验证的ZK-SNARK证明。具体的转换过程可以看这篇文章:

https://mp.weixin.qq.com/s/M1ZAXPSPqO8KpE3VyExwTw

如果你觉得这一部分的复杂程度超过了之前的每一部分,你是对的。同样觉得复杂的还有目前的ZK-Rollup解决方案提供商,这也是为什么目前ZK-Rollup研发进度和实际应用要比Optimstic Rollup慢的原因之一。如果你不是数学/密码学专家,或者不是Matter Labs的开发者,你只需要知道以下几件事情:

可信物联网联盟成立 探索区块链供应链协议:近日,一个名为可信物联网的联盟组织宣布成立。据官方介绍,联盟成员将共同开发一个开源区块链协议,将支持物联网技术在所有工业部门的应用。目前,博世、纽约梅隆银行、思科、金雅拓等公司已加入该联盟。联盟成员已同意支持区块链试点计划,并公开源代码,共同制定标准和参考框架。[2018/2/19]

生成一个ZK-SNARK证明比验证一棵默克尔树需要花费的算力和时间成本都要高很多

并不是随便一种语言,编译环境,虚拟机,指令集都能够无缝支持完成以上提到的过程,需要做额外的适配。

对于第一点,这是各大ZK解决方案提供商目前在努力的方向。首先是时间成本,如果生成一个可用的ZK-Proof需要一个小时,那么间接的用户提款的时间也会变长。而计算成本包括两部分,一部分是生成的ZK-Proof的数据量,另一部分是验证这个Proof所需要花费的算力。这两部分越大,在以太坊上需要消耗的Gas就越多,进而影响到ZK-Rollup的优化表现。

对于第二点,这是当前限制ZK-Rollup发展的一大原因。在EVM设计之初,开发者们完全没有想到之后会用到ZK技术。因此为EVM操作生成可用的零知识证明是几乎不可能的,由此催生了ZK-EVM的需求。

D 为什么兼容EVM对于ZK来说如此困难?

打开DeFillama,你会发现TVL排名前几的Layer2解决方案清一色的都是OR,这是因为这些OR解决方案都已经有了自己的网络,这些网络都做到了EVM兼容,开发者可以无缝的将以太坊上的智能合约移植到他们的网络上,用户也可以在其网络上做到swap,抵押,提供流动性等操作。

而ZK-Rollup目前还很难做到这一点,现有的很多解决方案只能够支持简单的支付和swap场景。

为什么如此呢,首先我们要明确一点,在 Layer 1 上,已部署智能合约的字节码都存储在以太坊 storage(存储项)内。然后交易将在点对点网络中传播,对于每一笔交易,每个全节点需要加载对应的字节码并在 EVM 上执行以获得相同的状态(交易将作为输入数据)。

而在 Layer 2 上,智能合约的字节码虽然同样存储在存储项内,用户的操作方式也相同。但是其交易将在链下发送至一个中心化的 zkEVM 节点,同时,zkEVM 不单需要执行字节码,还必须生成一个Proof来表明交易达成后状态已正确更新。最后,Layer 1 合约才能验证该证明并更新状态,而这时layer2上不需要重新执行交易。

也就是说在zk-Rollup上执行交易是完全不同的逻辑和路径,与此同时zkEVM还有在执行交易的同时适配生成zk电路证明,而现有的EVM生成ZK-SNARK证明有以下几个问题:

对ZK-SNARK所需要的部分椭圆曲线运算不支持

和传统虚拟机相比,EVM有许多独特的操作码,这些操作码对电路设计来说很困难

EVM 基于 256 位整数运行(就像大多数基于 32~64 位整数运行的普通虚拟机那样),零知识证明则 “天然” 基于素域运行。

这些也只是在EVM中生成ZK Proof的部分问题,而OR虽然同样需要构建虚拟机来执行EVM操作,但由于其只需要在执行交易的基础上在完成交易打包等功能即可,所以构建起来要简单的多。对于ZK-Rollup,除了在兼容EVM的同时生成ZK-Proof存在难度之外,在Layer1上验证这个证明也并不容易。

如果你想了解更多关于ZK-EVM难度的更多信息,可以看这篇文章:https://hackmd.io//img/2022812185902/11.jpg">

感谢/img/2022812185902/12.jpg">

总体而言,OR在现阶段是更成熟的解决方案,事实上也是如此,目前Optimstic和Arbiturm的产品已经可供以太坊开发人员使用。但是由于使用欺诈证明机制,其提款时间和安全性目前来看值得商榷,同时其成本优化相比ZK也略逊一筹。

而ZK Rollup的弱点基本都属于技术问题,随着大量优秀的开发人员投入到相关研究,包括Vitalik在内的大多数人都认同ZK Rollup在未来会是更优秀的扩容方案。

7:Rollup是完美的吗?

经过以上对于三类Layer2方案的阐述,相信你已经对他们有了一定的认知。事实上文章撰写的顺序也是开发者们对于Layer2扩容方案研究的顺序,往往是发现某一种解决方案存在的问题之后,另一种更好的解决方案被提出用来解决相关问题。不仅在加密研究领域如此,这一流程可以被推及到所有工程类的问题上:

提出想法,测试,迭代,优化,直到找到最可行的解决方案。

现在看上去Rollup就是我们想找的那个答案,他解决了普适性的问题,解决了数据可用性的问题,同时在安全性和效率上看起来也不错。那么,它是完美无缺的那一个吗?

答案是否定的,任何方案都不能做到完美无缺,Rollup同样存在着许多问题,即使是看上去更好的ZK-rollup,也无法避免它们。

(1)效率优化存在天花板:

当我们说到rollup和plasma的主要区别时,我们谈到为了保证数据可用性。rollup需要将交易数据提交给主链,这是rollup方案战胜plasma的主要原因。

但我们要看到另一方面,交易上链意味着rollup仍会收到以太坊主链容量的限制:

简单算一笔账:

当前以太坊区块 max gas limit:12.5M gas

每字节存储在链上的数据成本:16 gas

每个块的最大字节数:~781,000 bytes (12500000/16)

Rollup进行 一次ETH 转账所需的数据量:12 bytes(可见上节gas成本)

每个区块能承载的交易:~65,000(781,000 bytes/ 12 bytes)

以太坊的平均出块时间:13 秒

TPS:~5000(65,000 tx/13 s)

在这里我们做了很多的假设,例如我们假设所有交易都是简单的ETH转账。而实际的交易会包含很多的复杂合约调用,消耗的gas要更高。而且对于ZK-Rollup 我们还需要算上验证ZK-Proof的成本(一半在500K gas左右) 。

即使如此Rollup所能达到的TPS也只有5000左右,我们也在上面看到使用Plasma机制带来的直接效率优化要比Rollup高很多。

以太坊基金会也很清楚这个问题,目前它们主推的方案是分片+rollup,这将使得rollup带来的TPS提升再上一个数量级。

(2)流动性的割裂:

在当前多链格局的影响下,本身的流动性割裂情况已经日趋严重。

而由于目前多种技术方案,多家解决方案提供上的存在,未来的rollup网络的数量只会不断增长,由此带来了更严重的流动性割裂情况。

当前以太坊及其layer2网络TVL一览

好消息是跨链通信可以解决这一问题,代表性的事件是Synthetix已经在着手将其在以太坊主链和Optimism上的债务池进行合并。如果这一过程顺利且丝滑的完成,相信会对主链和子链上的流动性合并趋势有一定的推进。

毕竟合成资产项目的债务池模型远比目前更常见的流动性池模型复杂,可以预见Uniswap等主流DeFi项目延续这一进程。

(3)通信难题和技术障碍带来的可组合性降低:

上一个问题中我们谈到了通信问题使得流动性发生了割裂,这一现象同样适用于主链dapp和子链dapp之间的交互,在以太坊上构建的每个新协议都像乐高积木一样,其他协议可以轻松地在其上构建,这也是DeFi 发展迅速的原因之一。

如果无法解决通信问题,那么子链上的dapp需要重新建立自己的生态,这就造成了更大的资源浪费。不仅是子链和主链之间,子链和子链之间也需要构建通信机制。

Again,一些优秀的开发者也正在解决这方面的问题,让我们希望他们能够简化这些操作和流程。毕竟Layer1本身的操作已经够繁琐了,如果再加上layer2的复杂度,这将使Web3世界的门槛更高。

(4)中心化风险

我们在上文提到当前各类Rollup解决方案中,负责执行,排序,压缩和打包交易的sequencer目前都是一个较为中心化的角色。Rollup若想进一步的提升安全性,必须要着手解决当然的中心化问题。

结语

全文写完已经超过一万字,远远超出了我的预期。以太坊的扩容本身是一个很宏大,很复杂的主题。而本文中只涉及到了Layer2解决方案的一部分。Layer1的扩容解决方案(分片),以及其他Layer2方案如Side Chain,Validium 等都没有提及。事实上以太坊的扩容并不是某一个单一方案能够一劳永逸解决的。很多解决方案提供商也都在多条路径上进行着探索,像Polygon这样的公司更是投资了一大批不同类型的Layer2方案。

同时文中很多东西限于篇幅原因还有待挖掘,比如Layer2和Layer1之间的提交需要的通信支持是怎么样的。欺诈证明/有效性证明在Layer1上都是如何具体实现的,各家ZK/OR实现方案之间的具体区别等。理解这些事情对于想要深入了解Layer2尤其是Rollup扩容的研究者来说都是相当重要的。文章中的某些概念为了便于理解和梳理,我们做了比较笼统的概括,例如OR/ZK在交易数据压缩方面解决方案有很大的不同等,文中使用的vitalik的例子更偏向ZK的解决方案。在写作的过程当中我们也参考了一些优秀的Layer2内容,在文中和文末我们都做了标记,我们也希望有更多更优秀的内容能够出现,帮助大家进一步建立相关的认知。

最后,单就我们介绍的Rollup两种方案来看,Optimstic Rollup目前已经占据市场先机,上线可用产品的同时逐步吸引主流Dapp融入生态,不可否认相关开发者的伟大贡献。但是从长远来看ZK Rollup + 分片是我们更应该期待的未来。

参考文献:

1.An Incomplete Guide to Rollups (Vitalik)

https://vitalik.ca/general/2021/01/05/rollup.html

2.W3hitchhiker 团队对四种Layer2解决方案的成本对比

https://w3hitchhiker.mirror.xyz/7dwD76ZZIlR7ep731K6y9vTTuXGHOojxWSnkXKzqPzI

3. Scorll Tech 对于zkEVM实现的解读

https://hackmd.io/@yezhang/S1_KMMbGt

研究机构:Seer Labs

作者:Luka

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-1:805ms