Ethan - if(DAO)Tornado 龙卷风混币原理
项目背景Tornado(https://tornado.cash/)是以太坊隐私赛道著名的混币项目,其混币技术主要使用了 zk-SNARK 零知识证明。 1、关于 zk-SNARK 零知识证明的原理可以参见 if(DAO) 之前的文章: https://mirror.xyz/0xd05cFA28Eaf8B4eaFD8Cd86d33c6CeD1a1875417/X3qSOjObTknXQ_iGhDBFYETibD0TVW0twz5QDIthjGI 2、混币的意思是混币者通过 Tornado 合约将混币者的以太坊地址和资金去向地址失去关联,从而达到隐匿资金去向的目的。项目原理1、Bob 是第 3 个将自己的代币 Deposit 存入龙卷风合约进行混币的客户。 2、Alice 是第 4 个将自己的代币 Deposit 存入龙卷风合约进行混币的客户。 3、Alice 在 Deposit 时(1)Alice random k4 ,r4。k4 和 r4 in { 0 ,1 } ^ 256。( k4 ,r4 ) 也是 Alice 未来的取款凭证 note4。 (2)Alice 计算得到 C4 ...
Ethan - if(DAO)Erasure Coding 纠删码原理( Near Protocol )
Erasure Code 是什么1、Erasure Code是一种编码技术,它可以将 n 份原始数据,增加 m 份数据,并能通过n+m份中的任意 n 份数据,还原为原始数据。即如果有任意小于等于 m 份的数据失效,仍然能通过剩下的数据还原出来。 2、纠删码技术在分布式存储系统中的应用主要有三类 (1)RS( Reed-Solomon )里德-所罗门纠删码 (2)AC( Array Code: RAID5、RAID6等)阵列纠删码 (3)LDPC( LowDensity Parity Check Code )低密度奇偶校验纠删码( LDPC 目前主要用于通信、视频和音频编码等领域 )Erasure Code 的优势副本策略和纠删码是存储领域常见的两种数据冗余技术。相比于副本策略,纠删码具有更高的磁盘利用率:RS码原理Reed-Solomon(RS)码是存储系统较为常用的一种纠删码,它有两个参数n和m,记为RS(n ,m)。n 代表原始数据块个数。m代表校验块个数。以n=5,m=3为例 : 1、encoding 编码过程(D是原始数据块,得到的C为校验块,构建 Bi 有专门的数学方法...
Ethan - if(DAO)顶级加密 VC 成长简史
Multicoin一、基本情况 成立于 2017 年,Kyle Samani 和 Tushar Jain 决定成立一个加密货币对冲基金。他们之前都没有从事过投资工作,更不用说自己经营基金了。除了 2016 年开始的一些聪明的个人投资外(ETH 从 10刀涨到 200 刀),他们没有在该行业的新兴初创公司工作过,也没有建立过协议。简而言之,他们是加密领域的局外人。 但正是局外人使得他们可以在没有偏见的情况下从第一原则进行深入研究和推理。 他们的思路是,要想经营一支真正的基金,需要外部资本(LP),于是他们将一个公寓作为总部,并开始以非主流的方式等待 LP 的降临:“ 激怒某个 Token 的支持者以表达 Multicoin 的观点 ” 成为该基金的一个标志,比如引发了 LTC 和 ETHCash 多头的愤怒,瞬间入圈引来了流量。 怼人博眼球的前提是需要对产品、技术、趋势有着深刻的洞见和表达能力。 整个 2018 年,Multicoin 一直在寻找并赢得新的 LP。随着精明的资本管理以及新投资者的涌入,Multicoin 的管理资产(AUM)在这一年达到了 5000 万美元。但 20...
Ethan - if(DAO)Tornado 龙卷风混币原理
项目背景Tornado(https://tornado.cash/)是以太坊隐私赛道著名的混币项目,其混币技术主要使用了 zk-SNARK 零知识证明。 1、关于 zk-SNARK 零知识证明的原理可以参见 if(DAO) 之前的文章: https://mirror.xyz/0xd05cFA28Eaf8B4eaFD8Cd86d33c6CeD1a1875417/X3qSOjObTknXQ_iGhDBFYETibD0TVW0twz5QDIthjGI 2、混币的意思是混币者通过 Tornado 合约将混币者的以太坊地址和资金去向地址失去关联,从而达到隐匿资金去向的目的。项目原理1、Bob 是第 3 个将自己的代币 Deposit 存入龙卷风合约进行混币的客户。 2、Alice 是第 4 个将自己的代币 Deposit 存入龙卷风合约进行混币的客户。 3、Alice 在 Deposit 时(1)Alice random k4 ,r4。k4 和 r4 in { 0 ,1 } ^ 256。( k4 ,r4 ) 也是 Alice 未来的取款凭证 note4。 (2)Alice 计算得到 C4 ...
Ethan - if(DAO)Erasure Coding 纠删码原理( Near Protocol )
Erasure Code 是什么1、Erasure Code是一种编码技术,它可以将 n 份原始数据,增加 m 份数据,并能通过n+m份中的任意 n 份数据,还原为原始数据。即如果有任意小于等于 m 份的数据失效,仍然能通过剩下的数据还原出来。 2、纠删码技术在分布式存储系统中的应用主要有三类 (1)RS( Reed-Solomon )里德-所罗门纠删码 (2)AC( Array Code: RAID5、RAID6等)阵列纠删码 (3)LDPC( LowDensity Parity Check Code )低密度奇偶校验纠删码( LDPC 目前主要用于通信、视频和音频编码等领域 )Erasure Code 的优势副本策略和纠删码是存储领域常见的两种数据冗余技术。相比于副本策略,纠删码具有更高的磁盘利用率:RS码原理Reed-Solomon(RS)码是存储系统较为常用的一种纠删码,它有两个参数n和m,记为RS(n ,m)。n 代表原始数据块个数。m代表校验块个数。以n=5,m=3为例 : 1、encoding 编码过程(D是原始数据块,得到的C为校验块,构建 Bi 有专门的数学方法...
Ethan - if(DAO)顶级加密 VC 成长简史
Multicoin一、基本情况 成立于 2017 年,Kyle Samani 和 Tushar Jain 决定成立一个加密货币对冲基金。他们之前都没有从事过投资工作,更不用说自己经营基金了。除了 2016 年开始的一些聪明的个人投资外(ETH 从 10刀涨到 200 刀),他们没有在该行业的新兴初创公司工作过,也没有建立过协议。简而言之,他们是加密领域的局外人。 但正是局外人使得他们可以在没有偏见的情况下从第一原则进行深入研究和推理。 他们的思路是,要想经营一支真正的基金,需要外部资本(LP),于是他们将一个公寓作为总部,并开始以非主流的方式等待 LP 的降临:“ 激怒某个 Token 的支持者以表达 Multicoin 的观点 ” 成为该基金的一个标志,比如引发了 LTC 和 ETHCash 多头的愤怒,瞬间入圈引来了流量。 怼人博眼球的前提是需要对产品、技术、趋势有着深刻的洞见和表达能力。 整个 2018 年,Multicoin 一直在寻找并赢得新的 LP。随着精明的资本管理以及新投资者的涌入,Multicoin 的管理资产(AUM)在这一年达到了 5000 万美元。但 20...
Share Dialog
Share Dialog
Subscribe to Ethan - if(DAO)
Subscribe to Ethan - if(DAO)
<100 subscribers
<100 subscribers
我们可以简单的将区块链公链理解为一套分布式存储的账本,每个节点在各自本地存储一份账本。这些节点为了保障全网的账本一致性,就需要进行共识。共识的过程需要网络的不同节点之间交换信息,所以导致执行计算和记账的效率不高。
对于软件系统而言,描述其系统吞吐量一般用 TPS( 每秒事务处理量 TransactionPerSecond ) 性能指标。具体来说,比特币系统每秒仅支持 7 笔交易,以太坊也仅支持每秒 15 笔左右的交易。这样的 TPS 显然无法满足大型商业应用的需求。
在这种历史背景下,为区块链系统扩容被提上了日程。目前业内主要的扩容方案有两类 :
链上扩容 / Layer1 一层扩容
即对区块链本身进行改造,从而直接提升链上交易处理速度 :直接增加链上区块内可以包含的交易数量( 如隔离见证 、扩块)、直接改变区块链的链体结构( 如分片 Sharding 、有向无环图 DAG )、直接改变区块链的共识机制( 如 EOS 的 DPoS 、Solana 的 PoH )等方案。
链下扩容 / Layer2 二层扩容( 以太坊实现扩容时将源代码文件夹命名为 Layer2 )
即将链上的相当一部分工作量转移到链下来完成,从而间接提升链上交易处理速度 :State Channel( 状态通道 )、Plasma 、Rollup。具体如下图所示 :
if(DAO) 希望通过本篇内容解释上图中 “ Optimistic Rollup ” 和 “ zkRollup ” 的基本工作原理。
zk是零知识证明的缩写(ZKP :Zero-Knowledge Proof),Rollup 字面意思是 “ 一卷 ” ,通俗讲就是将链下一大堆转账交易记录压缩为一个批量,然后将这个批量交易打包、压缩后上链验证并存储。
上图中的 Groth 16 、PLONK 都属于 zk-SNARKs 协议族,他们的数学理论基础都是基于椭圆曲线的 ;STARK 是零知识证明的另外一种实现算法,数学理论基础是离散函数并且无需可信设置。
关于 ZKP 和 zk-SNARK 协议的演进过程和底层原理,可以详见 if(DAO) 之前的文章 :
在了解二层之前,我们有必要首先了解一下 Ethereum 一层的基本结构 :
1、Ethereum 的状态
状态 = 指的是 Ethereum 全量账本当前的样子 :由所有以太坊账户构成的一棵状态树( Merkle Patricia Tree 即上图中ABCD向上收敛形成的树 ),每个账户(树的叶子)的最主要结构是 :
(1)key = 账户的名字(状态树的叶子A、B、C、D)
(2)balance = 每个账户的余额(10、20、30、0)
2、Ethereum 的历史
历史 = 由当前区块包含所有交易构成的一颗交易树(上图中未画出交易树),每笔交易最主要结构是:
(1)to = 交易将要发送到的账户地址(在 Block XXX 时,to = D)
(2)value = 交易的转账金额(在 Block XXX+1 时,value = 10)
(3)data = 交易输入的变量(比如将A和B的余额分别扣除10%的佣金给E)
3、交易驱动状态的变化
(1)根据交易的转账金额(value)计算目标账户(to)的新余额(balance),比如C给某人转账10 ETH后更新C的新余额为20 ETH。
(2)如果交易是发送给一个智能合约,则将交易的 data 作为参数传递给目标账户(to)的智能合约,运行智能合约的业务逻辑,在运行中可能会修改任意账户的状态从而生成新的状态(比如E的账户余额更新为 = 原余额 + 10*10% + 20*10%)。
(3)构造新的叶子存放新状态(D:20 / C:20),更新状态树,最终计算形成新的stateRoot(即 Merkle Tree Root )并储存至新区块的 Header 中。
4、二层照猫画虎
既然是要对区块链扩容,那么二层的基本思路就是将一层需要处理的工作挪到二层处理,这样自然就减轻了一层的交易并发压力,从而提高了交易处理能力。二层需要的处理的工作包括:
(1)首先要确保 transaction 的合法性:转出账户是否有足够的余额支付转账金额和 gas 手续费;转出账户的 nonce 是否正确(防止重放攻击);转账 transaction 的签名是否正确。
(2)二层的 Relayer( 暂时理解成节点 )执行该 transaction,修改 Merkle Tree 中的转出账户和转入账户的叶子节点余额,然后重新计算新的状态树的根 Merkle Tree Root。
(3)重复(2),Relayer 按照先后顺序一次性处理多个 transaction,然后将最后计算得到的状态树的根 Merkle Tree Root 作为新的状态提交到链上合约中。
5、照猫画虎的问题
按照 4 的方案,如果仅提交状态树的根到链上合约,那么 L1 节点如何相信新的状态根是如实地根据上述逻辑计算出来的( L1 除了一个状态树根之外对于 L2 发生的交易一无所知 ),万一二层的 Relayer 作恶将 transaction 的 gas 调大呢。
解决这个问题的一个方法是要求 Relayer 提交状态树根到合约时,同时也将所有 transaction 一并提交到合约,这样 L1 节点可以根据这些 transaction 来验证 Relayer 在计算新的状态树时有没有作恶。但这等于是将所有链下的数据又搬回了链上,没有实现 Layer 2 扩容的目的。 此时 “ zkRollup ” 中的 zk(零知识)就派上了用途。
6、zk-SNARK 的用武之地
(1)从过程 3 不难看出,以太坊的状态变化过程就是:当前全量账户余额状态随着状态转换函数(转账交易或智能合约)不断转换为下一个区块时的全量账户余额新状态。
(2)回想我们之前文章介绍的 zk-SNARK 的做法:将函数的输入、计算过程和输出结果构建成多项式(零知识),通过多项式可以生成 Proof(零知识证明),验证者可以通过 Proof 验证函数的输入、计算过程和输出结果的正确性。
(3)以太坊的状态变化过程和零知识证明的过程非常类似,所以我们将以太坊的状态转换函数的输入、计算过程和输出结果构建成多项式并进行零知识证明,验证者(网络上的其他节点或链上智能合约)就可以在不知道状态转换具体过程和转换结果的情况下,通过 Proof 验证状态转换的是否正确。
使用 zkRollup 的二层项目一般会包含 2 个基本角色:
Transactor(终端用户即以太坊外部账户):用户构建转账交易并用私钥签名,然后将交易发送给 relayer。
Relayer(中继者):负责收集并验证用户的交易,之后将交易批量打包压缩,并生成 zk-SNARK 的 Proof。最后relayer将用户交易中的核心数据 + Proof + 全量用户新状态的 Merkle Root 提交到链上的 Layer2 智能合约。 Layer2 智能合约验证 Proof 通过后将新状态的 Merkle Root 更新至新区块的 stateRoot。
在 Layer2 上用户的各种交易会被发送给二层的 Relayer 运营者 / 中继者。Relayer 会将一批交易压缩成为一笔 Batch 批量交易,调用链上的合约进行处理。这笔调用交易就会像其他的 Layer1 的交易一样进入交易内存池。在 Layer1 上矿工会接收一层网络中所有的交易( 包含由二层打包上来的交易 )并打包成区块发布。
zkRollup 的本质是将原本在链上的用户状态变更,转移到链下进行,同时通过 zk-SNARK 的Proof 来保证链下用户状态变更过程和结果的正确性。
这样做的原因显而易见:在链上直接处理账户状态的变更成本是比较高的(全网每个节点本地计算后进行共识,然后更新新的用户状态),但是仅仅利用链上的智能合约来验证一个账户状态改变的 Proof 是否正确,成本是相对低很多的。
1、zkRollup 项目方在 L1 发布一个智能合约,合约内存储着当前以太坊全量账户的 Merkle Tree Root(状态根)。
2、Relayer 在 L2 收集 Transactor 用私钥 signature 签名过的若干 transaction( T[1] … T[n] ),然后用预先定义好的 ZK circuits(零知识电路)生成一个基于 zk-SNARK 的 Proof 证明。
3、该 Proof 可以证明:
(1)状态变化过程没有问题 :即状态变化函数 STF ( PRE_STATE ,T[1] … T[n] ) = POST_STATE,即老状态 PRE_STATE 经过 T[1] … T[n] 转换为新状态 POST_STATE。
(2)每个交易 T[1] … T[n] 中的 value( nonce ,fee )等值都没有问题且 signature 正确。
(3)root ( PRE_STATE ) = r1。
(4)root ( POST_STATE ) = r2。
4、Relayer 将 t[1] … t[n] 、r1 、r2 、Proof 一起提交到 L1 链上智能合约。其中 t[1] … t[n] 是 transaction 的核心信息,不包含 nonce 和 signature。因此 t[i] 比 T[i] 更小,起到了压缩交易数据的作用,使得单个区块可以容纳更多的 transaction ,从而提升了区块链系统的 TPS。
5、L1 的智能合约验证
(1)Proof 是否正确 :如果 Proof 正确则进行(2)。如果 Proof 不正确则 L1 不接受 Relayer 提交的这批交易。
(2)智能合约中保存的全量账户状态根 Merkle Root 是否与 r1 相等。如果相等则意味着链下发生 T[1] … T[n] 之前的状态和链上发生 T[1] … T[n] 之前的状态是一致的,之后的状态转换过程也是正确的( Proof正确 ),所以将智能合约中保存的全量账户状态根 Merkle Root 更新为新状态 r2。
6、Relayer 作恶
(1)如果 Relayer 修改用户的 transaction 的任何信息,则 Proof 将无法被合约验证通过,即作恶失败。
(2)如果 Relayer 恶意拒绝某个用户的转账(不收集该笔转账),这时 Proof 是可以被合约验证通过的,因为 Proof 只能证明老状态经过 T[1] … T[n-1] 转换至新状态的过程和结果是正确的,却不知道是否少了一笔 T[n] 的转账。因此为了防止这种行为,链上智能合约必须支持 On-Chain Withdraw,即任何用户都可以从 L2 将自己的 token 提到 L1。
zkRollup 和 OP Rollup 的共同点是 :为了对 L1 扩容,交易的实际执行都不是在以太坊上完成的,而是转移 L2,但安全性仍然依赖于 L1。这意味着我们需要以太坊以某种方式保证交易执行的正确性,即使交易发生在 L2 上。 那么以太坊如何才能对 Rollup 的状态给予批准呢,答案是:证明。 Rollup 使用专门的证明向以太坊证明其交易执行的正确性( 即使 L1 不执行交易,以太坊也可以验证正确性 )。
zkRollup 和 OP Rollup 的核心不同点是 : 在zkRollup 看来所有 L2 交易的执行都是不可信的,除非 L2 可以提供交易执行正确性的证明( 即zk-SNARK Proof );而在 OP Rollup 看来所有 L2 交易的执行都首先认为是可信的( Optimistic 面对 L2 是乐观的 ),除非有人质疑 L2 的交易并提供交易执行有问题的证明 ( 即欺诈证明 Fraud Proof )。
实际上对于 OP Rollup 发布到 L1 的更新后的新状态发布到以太坊时,OP Rollup 根本没有发布任何证明。任何人都可以发布一个包含关于执行某些交易的正确结果的声明的汇总块。其他节点执行相同的交易,如果他们不同意第一个节点的主张,可以提出 Challenge 挑战。有效的 Dispute Protocol 争议协议可以解决任何分歧,保证正确的一方将赢得挑战。
1、Optimistic Rollup 项目方在 L1 发布一个 2 个智能合约( 其他合约未列出 ) :
(1)CTC( 权威交易链 ):用于存储 L2 roll up上来的交易。
(2)SCC( 状态承诺链 ):用于存储 L2 每笔交易执行后的 “ 中间状态根 ”。
2、Sequencer 收集 L2 发生的交易。
3、Sequencer 执行本地操作
(1)Sequencer 压缩交易 T [ 1 ] 、T [ 2 ] … T [ n ] 并提交 t [ 1 ] 、t [ 2 ] … t [ n ] 至 L1 的 CTC。假如 Sequencer 作恶偷偷修改了 t [ 2 ](图中用红色标出)。
(2)Sequencer 根据 T [ 1 ] 、T [ 2 ] … T [ n ] 在本地执行状态转换,并将每经历一笔转账的中间状态分别记录为 s [ 1 ] 、s [ 2 ] … s [ n ]。由于 Sequencer 作恶偷偷修改了 t [ 2 ] 的转账金额,所以从 s [ 2 ] … s [ n ] 都是不正确的 Hash 值。
4、Sequencer 的舞弊行为被 Proposer( L2 进行交易的本人或其他第三方 )或 Verifier 发现,Verifier 从 SCC 下载 Sequencer 上传的红色 s [ 2 ],并根据 T [ 2 ] 执行正确的过程转换生成正确的 s [ 2 ] ,二者进行比较。
(1)如果二者相等,则说明欺诈证明为假。保持 L1 合约中的若干中间状态根不变。
(2)如果二者不相等,则说明欺诈证明为真,即 Sequencer 确实有舞弊行为。
5、对于欺诈证明为真的情况,Verifier 从错误的交易状态根( s [ 2 ] )开始更新 SCC 的这个批次的所有后续状态根( s [ 2 ] … s [ n ] )。
6、激励和惩罚
由于 Optimistic Rollup 是无许可的,SCC 旨在允许任何人成为 Sequencer 并发布状态根。为避免 SCC 被垃圾数据淹没, 我们引入了1个限制:想成为 Proposer 或 Sequencer 必须先存入固定金额的抵押品至 Optimistic Rollup 的债券合约中,且在7天后才可以提取该金额。
================================
================================
欢迎大佬们的探讨指正~
您可以在这里找到作者 twitter:@ethan_ifdao
我们可以简单的将区块链公链理解为一套分布式存储的账本,每个节点在各自本地存储一份账本。这些节点为了保障全网的账本一致性,就需要进行共识。共识的过程需要网络的不同节点之间交换信息,所以导致执行计算和记账的效率不高。
对于软件系统而言,描述其系统吞吐量一般用 TPS( 每秒事务处理量 TransactionPerSecond ) 性能指标。具体来说,比特币系统每秒仅支持 7 笔交易,以太坊也仅支持每秒 15 笔左右的交易。这样的 TPS 显然无法满足大型商业应用的需求。
在这种历史背景下,为区块链系统扩容被提上了日程。目前业内主要的扩容方案有两类 :
链上扩容 / Layer1 一层扩容
即对区块链本身进行改造,从而直接提升链上交易处理速度 :直接增加链上区块内可以包含的交易数量( 如隔离见证 、扩块)、直接改变区块链的链体结构( 如分片 Sharding 、有向无环图 DAG )、直接改变区块链的共识机制( 如 EOS 的 DPoS 、Solana 的 PoH )等方案。
链下扩容 / Layer2 二层扩容( 以太坊实现扩容时将源代码文件夹命名为 Layer2 )
即将链上的相当一部分工作量转移到链下来完成,从而间接提升链上交易处理速度 :State Channel( 状态通道 )、Plasma 、Rollup。具体如下图所示 :
if(DAO) 希望通过本篇内容解释上图中 “ Optimistic Rollup ” 和 “ zkRollup ” 的基本工作原理。
zk是零知识证明的缩写(ZKP :Zero-Knowledge Proof),Rollup 字面意思是 “ 一卷 ” ,通俗讲就是将链下一大堆转账交易记录压缩为一个批量,然后将这个批量交易打包、压缩后上链验证并存储。
上图中的 Groth 16 、PLONK 都属于 zk-SNARKs 协议族,他们的数学理论基础都是基于椭圆曲线的 ;STARK 是零知识证明的另外一种实现算法,数学理论基础是离散函数并且无需可信设置。
关于 ZKP 和 zk-SNARK 协议的演进过程和底层原理,可以详见 if(DAO) 之前的文章 :
在了解二层之前,我们有必要首先了解一下 Ethereum 一层的基本结构 :
1、Ethereum 的状态
状态 = 指的是 Ethereum 全量账本当前的样子 :由所有以太坊账户构成的一棵状态树( Merkle Patricia Tree 即上图中ABCD向上收敛形成的树 ),每个账户(树的叶子)的最主要结构是 :
(1)key = 账户的名字(状态树的叶子A、B、C、D)
(2)balance = 每个账户的余额(10、20、30、0)
2、Ethereum 的历史
历史 = 由当前区块包含所有交易构成的一颗交易树(上图中未画出交易树),每笔交易最主要结构是:
(1)to = 交易将要发送到的账户地址(在 Block XXX 时,to = D)
(2)value = 交易的转账金额(在 Block XXX+1 时,value = 10)
(3)data = 交易输入的变量(比如将A和B的余额分别扣除10%的佣金给E)
3、交易驱动状态的变化
(1)根据交易的转账金额(value)计算目标账户(to)的新余额(balance),比如C给某人转账10 ETH后更新C的新余额为20 ETH。
(2)如果交易是发送给一个智能合约,则将交易的 data 作为参数传递给目标账户(to)的智能合约,运行智能合约的业务逻辑,在运行中可能会修改任意账户的状态从而生成新的状态(比如E的账户余额更新为 = 原余额 + 10*10% + 20*10%)。
(3)构造新的叶子存放新状态(D:20 / C:20),更新状态树,最终计算形成新的stateRoot(即 Merkle Tree Root )并储存至新区块的 Header 中。
4、二层照猫画虎
既然是要对区块链扩容,那么二层的基本思路就是将一层需要处理的工作挪到二层处理,这样自然就减轻了一层的交易并发压力,从而提高了交易处理能力。二层需要的处理的工作包括:
(1)首先要确保 transaction 的合法性:转出账户是否有足够的余额支付转账金额和 gas 手续费;转出账户的 nonce 是否正确(防止重放攻击);转账 transaction 的签名是否正确。
(2)二层的 Relayer( 暂时理解成节点 )执行该 transaction,修改 Merkle Tree 中的转出账户和转入账户的叶子节点余额,然后重新计算新的状态树的根 Merkle Tree Root。
(3)重复(2),Relayer 按照先后顺序一次性处理多个 transaction,然后将最后计算得到的状态树的根 Merkle Tree Root 作为新的状态提交到链上合约中。
5、照猫画虎的问题
按照 4 的方案,如果仅提交状态树的根到链上合约,那么 L1 节点如何相信新的状态根是如实地根据上述逻辑计算出来的( L1 除了一个状态树根之外对于 L2 发生的交易一无所知 ),万一二层的 Relayer 作恶将 transaction 的 gas 调大呢。
解决这个问题的一个方法是要求 Relayer 提交状态树根到合约时,同时也将所有 transaction 一并提交到合约,这样 L1 节点可以根据这些 transaction 来验证 Relayer 在计算新的状态树时有没有作恶。但这等于是将所有链下的数据又搬回了链上,没有实现 Layer 2 扩容的目的。 此时 “ zkRollup ” 中的 zk(零知识)就派上了用途。
6、zk-SNARK 的用武之地
(1)从过程 3 不难看出,以太坊的状态变化过程就是:当前全量账户余额状态随着状态转换函数(转账交易或智能合约)不断转换为下一个区块时的全量账户余额新状态。
(2)回想我们之前文章介绍的 zk-SNARK 的做法:将函数的输入、计算过程和输出结果构建成多项式(零知识),通过多项式可以生成 Proof(零知识证明),验证者可以通过 Proof 验证函数的输入、计算过程和输出结果的正确性。
(3)以太坊的状态变化过程和零知识证明的过程非常类似,所以我们将以太坊的状态转换函数的输入、计算过程和输出结果构建成多项式并进行零知识证明,验证者(网络上的其他节点或链上智能合约)就可以在不知道状态转换具体过程和转换结果的情况下,通过 Proof 验证状态转换的是否正确。
使用 zkRollup 的二层项目一般会包含 2 个基本角色:
Transactor(终端用户即以太坊外部账户):用户构建转账交易并用私钥签名,然后将交易发送给 relayer。
Relayer(中继者):负责收集并验证用户的交易,之后将交易批量打包压缩,并生成 zk-SNARK 的 Proof。最后relayer将用户交易中的核心数据 + Proof + 全量用户新状态的 Merkle Root 提交到链上的 Layer2 智能合约。 Layer2 智能合约验证 Proof 通过后将新状态的 Merkle Root 更新至新区块的 stateRoot。
在 Layer2 上用户的各种交易会被发送给二层的 Relayer 运营者 / 中继者。Relayer 会将一批交易压缩成为一笔 Batch 批量交易,调用链上的合约进行处理。这笔调用交易就会像其他的 Layer1 的交易一样进入交易内存池。在 Layer1 上矿工会接收一层网络中所有的交易( 包含由二层打包上来的交易 )并打包成区块发布。
zkRollup 的本质是将原本在链上的用户状态变更,转移到链下进行,同时通过 zk-SNARK 的Proof 来保证链下用户状态变更过程和结果的正确性。
这样做的原因显而易见:在链上直接处理账户状态的变更成本是比较高的(全网每个节点本地计算后进行共识,然后更新新的用户状态),但是仅仅利用链上的智能合约来验证一个账户状态改变的 Proof 是否正确,成本是相对低很多的。
1、zkRollup 项目方在 L1 发布一个智能合约,合约内存储着当前以太坊全量账户的 Merkle Tree Root(状态根)。
2、Relayer 在 L2 收集 Transactor 用私钥 signature 签名过的若干 transaction( T[1] … T[n] ),然后用预先定义好的 ZK circuits(零知识电路)生成一个基于 zk-SNARK 的 Proof 证明。
3、该 Proof 可以证明:
(1)状态变化过程没有问题 :即状态变化函数 STF ( PRE_STATE ,T[1] … T[n] ) = POST_STATE,即老状态 PRE_STATE 经过 T[1] … T[n] 转换为新状态 POST_STATE。
(2)每个交易 T[1] … T[n] 中的 value( nonce ,fee )等值都没有问题且 signature 正确。
(3)root ( PRE_STATE ) = r1。
(4)root ( POST_STATE ) = r2。
4、Relayer 将 t[1] … t[n] 、r1 、r2 、Proof 一起提交到 L1 链上智能合约。其中 t[1] … t[n] 是 transaction 的核心信息,不包含 nonce 和 signature。因此 t[i] 比 T[i] 更小,起到了压缩交易数据的作用,使得单个区块可以容纳更多的 transaction ,从而提升了区块链系统的 TPS。
5、L1 的智能合约验证
(1)Proof 是否正确 :如果 Proof 正确则进行(2)。如果 Proof 不正确则 L1 不接受 Relayer 提交的这批交易。
(2)智能合约中保存的全量账户状态根 Merkle Root 是否与 r1 相等。如果相等则意味着链下发生 T[1] … T[n] 之前的状态和链上发生 T[1] … T[n] 之前的状态是一致的,之后的状态转换过程也是正确的( Proof正确 ),所以将智能合约中保存的全量账户状态根 Merkle Root 更新为新状态 r2。
6、Relayer 作恶
(1)如果 Relayer 修改用户的 transaction 的任何信息,则 Proof 将无法被合约验证通过,即作恶失败。
(2)如果 Relayer 恶意拒绝某个用户的转账(不收集该笔转账),这时 Proof 是可以被合约验证通过的,因为 Proof 只能证明老状态经过 T[1] … T[n-1] 转换至新状态的过程和结果是正确的,却不知道是否少了一笔 T[n] 的转账。因此为了防止这种行为,链上智能合约必须支持 On-Chain Withdraw,即任何用户都可以从 L2 将自己的 token 提到 L1。
zkRollup 和 OP Rollup 的共同点是 :为了对 L1 扩容,交易的实际执行都不是在以太坊上完成的,而是转移 L2,但安全性仍然依赖于 L1。这意味着我们需要以太坊以某种方式保证交易执行的正确性,即使交易发生在 L2 上。 那么以太坊如何才能对 Rollup 的状态给予批准呢,答案是:证明。 Rollup 使用专门的证明向以太坊证明其交易执行的正确性( 即使 L1 不执行交易,以太坊也可以验证正确性 )。
zkRollup 和 OP Rollup 的核心不同点是 : 在zkRollup 看来所有 L2 交易的执行都是不可信的,除非 L2 可以提供交易执行正确性的证明( 即zk-SNARK Proof );而在 OP Rollup 看来所有 L2 交易的执行都首先认为是可信的( Optimistic 面对 L2 是乐观的 ),除非有人质疑 L2 的交易并提供交易执行有问题的证明 ( 即欺诈证明 Fraud Proof )。
实际上对于 OP Rollup 发布到 L1 的更新后的新状态发布到以太坊时,OP Rollup 根本没有发布任何证明。任何人都可以发布一个包含关于执行某些交易的正确结果的声明的汇总块。其他节点执行相同的交易,如果他们不同意第一个节点的主张,可以提出 Challenge 挑战。有效的 Dispute Protocol 争议协议可以解决任何分歧,保证正确的一方将赢得挑战。
1、Optimistic Rollup 项目方在 L1 发布一个 2 个智能合约( 其他合约未列出 ) :
(1)CTC( 权威交易链 ):用于存储 L2 roll up上来的交易。
(2)SCC( 状态承诺链 ):用于存储 L2 每笔交易执行后的 “ 中间状态根 ”。
2、Sequencer 收集 L2 发生的交易。
3、Sequencer 执行本地操作
(1)Sequencer 压缩交易 T [ 1 ] 、T [ 2 ] … T [ n ] 并提交 t [ 1 ] 、t [ 2 ] … t [ n ] 至 L1 的 CTC。假如 Sequencer 作恶偷偷修改了 t [ 2 ](图中用红色标出)。
(2)Sequencer 根据 T [ 1 ] 、T [ 2 ] … T [ n ] 在本地执行状态转换,并将每经历一笔转账的中间状态分别记录为 s [ 1 ] 、s [ 2 ] … s [ n ]。由于 Sequencer 作恶偷偷修改了 t [ 2 ] 的转账金额,所以从 s [ 2 ] … s [ n ] 都是不正确的 Hash 值。
4、Sequencer 的舞弊行为被 Proposer( L2 进行交易的本人或其他第三方 )或 Verifier 发现,Verifier 从 SCC 下载 Sequencer 上传的红色 s [ 2 ],并根据 T [ 2 ] 执行正确的过程转换生成正确的 s [ 2 ] ,二者进行比较。
(1)如果二者相等,则说明欺诈证明为假。保持 L1 合约中的若干中间状态根不变。
(2)如果二者不相等,则说明欺诈证明为真,即 Sequencer 确实有舞弊行为。
5、对于欺诈证明为真的情况,Verifier 从错误的交易状态根( s [ 2 ] )开始更新 SCC 的这个批次的所有后续状态根( s [ 2 ] … s [ n ] )。
6、激励和惩罚
由于 Optimistic Rollup 是无许可的,SCC 旨在允许任何人成为 Sequencer 并发布状态根。为避免 SCC 被垃圾数据淹没, 我们引入了1个限制:想成为 Proposer 或 Sequencer 必须先存入固定金额的抵押品至 Optimistic Rollup 的债券合约中,且在7天后才可以提取该金额。
================================
================================
欢迎大佬们的探讨指正~
您可以在这里找到作者 twitter:@ethan_ifdao
No activity yet