# 风口上的ZK,预期拉满的资本游戏 By [0x1559](https://paragraph.com/@xch168) · 2022-06-03 --- _撰文:0x5willows_ 电影《让子弹飞》中有这样一个情节,**为了让人相信自己没有多吃一碗凉粉,六子剖开肚子,以性命为代价证明了自己的清白。** 在这里,六子是证明者,围观群众是验证者,六子证明的方式是看腹中究竟有没有多一碗凉粉。然而,这种证明方式的代价是六子的生命。 上述例子就是一个典型的证明难题。 第一,若要保证验证的有效性,证明者必须分享知识(上述例子中,与知识对应的就是六子肚子内的情形),**证明者若要通过验证,需要将知识告知验证者,而告知知识往往是有代价的。** 第二,若验证无效,验证者将面临欺诈风险。举个例子,在法庭上,如果被告能在开庭前获得控方律师所有的提问,那么他极有可能成功编造出一个完美的故事骗过对方。 最初的解决办法是,引入第三方,将验证过程公开化,以此调和知识所有权与使用权间的矛盾。然而,即便如此,对于具有排他性的知识(比如密码),一旦出让使用权,也即丧失了所有权。有没有不需要动用知识的验证方式呢? 零知识证明的诞生 -------- 时间来到1985年,S. Goldwasser 博士毕业后来到 MIT,与 S. Micali,Rackoff 合写了一篇载入史册的经典论文《交互式证明系统中的知识复杂性》,零知识证明(zero-knowledge proof)问世。 此后,证明过程无需“知识”获得了理论支撑,简单来说,**通过零知识证明,既能保守秘密,又能让别人相信你。** 只是由于效率和适用性上的短板,很长一段时间内,零知识证明仅仅停留在学术理论层面,或者只能用于特定项目,直到邂逅区块链。 零知识证明两大关键词:**保守秘密,即“不泄露信息”;让别人相信你,即“证明论断有效”。** 这两个特点恰好被区块链所需要: **隐私**:区块链网络的共识要求一切公开透明,隐私保护成为问题。 在隐私场景中,借助零知识证明“不泄露信息”的特性,可以在不泄漏交易的细节(接收方,发送方,交易余额)的情况下证明区块链上的资产转移是有效的。 **扩容**:区块链去中心化的特点,使验证成为不可承受之重,轻量化的证明成为刚需。 在扩容场景中,主要利用“证明论断有效”这个特性,链上资源是有限的,所以我们需要把大量的计算迁移到链下进行,零知识证明正好可以证明这些在链下发生的动作是可信的。 早在2016年,专注于链上隐私保护的ZCash就正式发布,通过零知识证明,ZCash完成交易验证,而无需公开全部交易信息(发送人、接收人、交易量)。不过,经过多年发展,ZCash仍是不温不火。 原因也很简单,尽管隐私很重要,但当前的区块链用户,还远没有建立广泛而强烈的隐私意识,不敢露富,还不敢露穷么? **目前,隐私并不是刚需,扩容才是,特别是对于以太坊而言。** ZK与Rollup的结合 ------------ 从底层协议来看,链上交易的成本必然高昂,因为要实现充分的去中心化和安全,必须有足够多的节点进行重复验证。 随着区块链应用的扩展,同步一个节点的时间越来越长,越来越庞大的链上数据量拉高了硬件的要求,大多数家用计算机甚至连节点的基本要求都达不到,像以太坊这样用途广泛的公链,其节点数量也只有一万余个,且大多数被托管在亚马逊 AWS 上,与去中心化的初衷背道而驰。 相较于隐私保护,区块链的可扩展性,显然更有意义。 只要实现了可扩展性,那么就既可以维护“去中心化”的政治正确,同时可以降低gas。 2017年8月,以太坊联合创始人Vitalik Buterin和Joseph Poon,共同提出了初代扩容解决方案Plasma。 然而,Plasma无法提供和主链同等的数据可用性和安全性,很快遭遇全面溃败,开发者又将眼光放在了 Rollup 技术上。 Rollup 的核心理念其实很简单,**就是将原本散布在区块中的大量交易数据,打包成“浓缩”的交易,发布到链上**。为确保其中每笔交易的有效性,各种Rollup方案设计了不同的机制以确保整个过程的安全性与Layer 1保持一致。 在这个方向上,主要分为ZK Rollup和Optimistic Rollup两种方案,前者以零知识证明(ZK-SNARKs)的密码学技术确保安全性,而后者则继承了Plasma的惩罚机制 ,节点一旦作恶,将付出极大代价。 2021年9月1日,基于Optimistic Rollup的以太坊扩容网络Arbitrum宣布,主网公测版本正式上线,标志着OPR先ZKR一步,正式登上舞台。 相较于依靠惩罚机制的OPR方案,凭借数学和密码学的ZKR显然更能够做到去信任化,不过,**Rollup首先要克服的仍是技术难题,即EVM 的兼容性问题。** 如果将 EVM 视为一台计算机,它在给定特定输入的情况下,计算智能合约的操作的输出结果。包括 Arbiturm,Optimism 在内的 Optimstic Rollup 解决方案都有 EVM 兼容的虚拟机,允许其能够处理在以太坊主链上发生的所有操作。 反观ZK Rollup,由于在 EVM 设计之初,开发者完全设想过之后可能用到 ZK 技术,于是 ZK-EVM 就成为ZK Rollup第一个需要攻克的难关。 开发人员面临两种选择,设计一种支持现有 EVM 的 ZK 指令集,或者重新设计一种对零知识证明友好的虚拟机,前一种路线的代表是 Hermez 和以太坊基金会的Applied ZKP,后者主要是 zkSync和Sin7Y。 在L2的大战场之外,**ZK-EVM成为了各大技术团队竞相角逐的小战场。** 2021年8月,Polygon(Matic)以 2.5 亿美元的价格收购了致力于开发ZK-EVM的 Hermez Network。 今年 4 月,专注于zkEVM解决方案的 zkRollup Scroll 宣布完成3000万美元的A 轮融资,Scroll团队将与以太坊基金会的Applied ZKP 团队合作,推出字节码层面的 zkEVM,并探索加速ZK证明生成的硬件,构建去中心化证明系统。 预期拉满 ---- 在头部资本中存在一种共识,**ZK是一种具有终局性的技术,未来可能会成为区块链世界中普适性的存在。** 随着Paradigm、a16z和红杉等大机构加紧布局ZK,市场上对ZK的FOMO情绪被引爆,一级市场上ZK项目的估值也逐渐向市梦率前进。 2018年1月,ZK-Rollup开发团队StarkWare在种子轮获得600万美金融资,投资人包括以太坊创始人V神、Paradigm、Pantera 、PolyChain等一众明星机构。 2021年11月,StarkWare在C轮融资中筹集了5000万美元,估值达20亿美元,红杉资本领投,Paradigm、三箭资本、Alameda Research等参投。 2022年3月,StarkWare筹集新一轮融资时,**一级市场报出的估值已达60亿美元。** 另一大 ZK明星, zkSync背后的母公司Matter Lab于去年11月完成B轮5000万美元融资,a16z领投,Placeholder、Dragonfly、1kx等跟投。 由于ZK领域尚有大量理论未得到实践,缺少成功的案例和优质代码库作为参考,学习曲线非常陡峭,项目的开发难度极高,高门槛无疑增加了ZK项目的含金量,然而,当前ZK赛道的仍然有过热的风险。 长期关注ZK市场的投资人Evans告诉深潮 TechFlow ,**这是一种把预期打满的一个情况,当前许多公链都尚未突破StarkWare的FDV(完全稀释估值),在ZK还没有具体生态的时候,达到这样的估值,实际上是短期内预期打进去的结果,后续想要继续维持这样的估值,或许有一定的难度。** 另一位投资人发现某ZK项目在一年不到的时间内从最初4000万美元估值涨到了4亿美元,直呼“市梦率,投不起”,哪怕只是ZK生态系统中的DEX,一级市场估值有的也在2亿美元以上。 不过,一级市场上对ZK的追逐,也不一定是坏事,在资本加持下,大量优秀的开发人员投入到相关研究中,加速EVM兼容落地。 以 ZKSync1.0 为例,包括以太坊基金会研究员 Justine Drake在内的大多数人,都认为实现 ZKSync 2.0 至少需要等到22年底。然而,今年2月份 ZKSync 2.0 测试已正式上线,成为以太坊测试网上首个兼容 EVM 的 ZK Rollup。 但是,ZK Rollup的头顶,仍然飘荡着流动性割裂、可组合性降低,以及中心化风险等乌云,ZK有巨大的潜力,但是还远远谈不上广泛应用,当前市场上所说的ZK,更多指代ZK Rollup。 从本质上看,ZK Rollup中的零知识证明,只是将可验证的计算外包,也就是通过第三方输出一个计算完整性的证明。**虽然ZK Rollup缓解了L1可扩展性的不足,但是它同样面临着计算成本的压力。** 当前,市场上还没有专门用作零知识证明的硬件,在以太坊路线图中,未来将集成 ZKEVM,矿工需要生成证明,就必须需要一枚可以快速生成零知识证明的芯片。 **据Paradigm预测,未来“ZK 矿工”的市场规模有望媲美 PoW 挖矿市场,其中对 ZK 硬件加速最重要的技术是 FPGA**, GPU成本过高,并且能耗太大,ASIC 从设计、制造到部署,通常需要 12 到 18 个月或更长的时间,相比之下,FPGA 供应链更轻便灵活。 嗅到“投资或投机预期”的弄潮儿已经开始下场布局,比如某“加密老人”永远站在风口,开始下场去做ZK硬件的项目;也有VC开始试图撺掇有硬件创业经验的人来做ZK硬件项目,亲自孵化…… 就这个角度而言,即便只是作为Rollup存在的ZK,它的想象力也远谈不上被穷尽。其次,ZK要突破Rollup的叙事框架,扩展在隐私和信任方面的用例,或许还需要等待Web3世界个人主权意识的崛起。 **总体而言,ZK是具有终局性的技术,其意义甚至超越了区块链,对ZK寄予厚望的加密行业已经砸下上百亿美金,期待ZK帮助区块链完成蜕变。** 假如,ZK发展受阻或者被证伪,那么区块链的发展又将经历“叙事破灭”的寒冬,这是一场“只许成功,不许失败”的资本豪赌。 **ZK,雄起!** --- *Originally published on [0x1559](https://paragraph.com/@xch168/zk)*