# L2专题研究

**Published by:** [yuming](https://paragraph.com/@yuming/)
**Published on:** 2022-05-25
**URL:** https://paragraph.com/@yuming/l2

## Content

L2专题研究 👝参考资料 Panoramic insight in ZKRollup from Zonff Partners Mirror文章 来自投资机构，一文介绍ZK现状，比较通俗不够全面 Foresight Ventures:解读 zk、zkVM、zkEVM 的现状及未来 - Foresight News 前链闻，非常技术 Zero Knowledge Not boring文章 非常通俗、生动的ZK解释；有大量ZK实际生活用例；将ZK作为一种改变人类历史的东西来讨论 ZK吞噬世界 Notion合集 YF3Finance，整理的ZK资料 以太坊扩容解决方案--以太坊团队整理的24篇L2文章 微信合集 以太团队0X整理，比较系统、实时，不够结构化，知识点分散在24篇文章中不够高效 🎯为什么研究L2s L2s是uyitaifang链下扩容方案的统称，是扩容技术 它可以将以太坊tps提高到10k级，降低gas至0.1u，一方面极大促进以太坊生态发展，正如00年代互联网扩容带来了应用爆发与用户增长一般，一方面会增加对所有其他公链的竞争--的竞争--以太坊的缺点是贵和慢，一旦通过L2s解决，L2s将会成为所有“以太坊杀手的杀手”，永久改变crypto行业格局。 对以太坊的代币经济提出挑战，L2s执行层可能对共识层的eth代币提出挑战，分散价值--如果L2s推出代币。 🚊L2s-Rollup--以太坊扩容方案 扩容方案思维导图 无法复制加载中的内容 L2s简介 ZK和OP属于L2s Rollup（扩容方案）的子集，而以太坊的扩容方案分为链上扩容和链下扩容，L2属于链下扩容。 链上扩展技术是对区块链基础层的升级，以提高可扩展性。以太坊的长期链上扩展解决方案称为分片，它实际上将基础层分成 64 条链，由信标链确保共享安全。 链下扩展是指使用外部执行层而不是基础层的扩展解决方案。这些第 2 层或 “L2” 是位于基础层之上的辅助层，为整个区块链提供更多的交易能力。 以太坊拥抱的 L2s 方案就是 Rollup，它能够带来以下特性：通过 Rollup，以太坊可以在不牺牲安全性的情况下从约 25 TPS 增加到 3,000 TPS；通过 Rollup，用户的资金不会被窃取或审查（就像某些侧链上的情况一样）；用户始终可以访问 L1 上的数据，没有人可以阻止用户的资金随时安全的退出 Rollup。L2s Rollup将会极大提高以太坊的性能，降低gas，是以太坊杀手的杀手，区块链发展的必然趋势。 目前的L2s方案中有两种（主要）类型的 Rollup：ZK Rollup（ZKRU）和 Optimistic Rollup（OR）。 L2s Gas 费用和 TPS 来源：Xiang｜W3.Hitchhiker，以上计算前提是以当前 ETH 价格为 2500u，区块 gaslimit 为 30000000，gas 费用为 30Gwei，平均 13 秒的出块时间计算， 极限 TPS 指对应运行环境占领了所有以太坊区块空间 (在证明验证上花费 500000 gas)，普通 TPS 指对应运行环境占领了所有以太坊 1/3 的区块空间。 ZK VS OP 效率 ZK 方案要比 OR 方案的效率更高，具有更高的 TPS 和更低的费用。 时间 由于欺诈证明机制，在 Optimtisc Rollup 上提款需要 7-14 天的提交期以供其他人来证伪潜在的作恶行为。虽然目前已经有类似 Boba Network 等 Optimstic Rollup 解决方案提出的流动性池机制来减少提款期。 兼容性 Optimsitic 和 ZK 都面临着需要兼容适配复杂 EVM 合约调用操作的问题，但 Optimstic 实现起来更容易，包括 Arbiturm，Optimsim 在内的 OR 解决方案都拥有 EVM 兼容的虚拟机，允许其能够处理在以太坊主链上发生的所有事务。 ZK Rollup 发展受到限制的最主要问题之一即是以太坊 EVM 的兼容性问题。在 EVM 设计之初，开发者们完全没有想到之后会用到 ZK 技术，EVM 操作生成可用的零知识证明是几乎不可能的，由此催生了 ZK-EVM 的需求。在之前不少人认为实现 ZKSync 2.0 至少需要几年时间，不过 ZKSync 2.0 公共测试网在二月底已正式上线，这也是以太坊测试网上首个兼容 EVM 的 ZK Rollup，或许 ZK Rollup 的正式大规模实际使用要比我们想象的要快一些。 为什么兼容 EVM 对于 ZK 来说如此困难？ 现有的 ZK Rollup 解决方案中，大多只能够支持简单的支付和 Swap 场景。其原因是，ZKEVM 除了需要正常执行智能合约的字节码以外，还需要生成一个 Proof 来表明交易达成后状态已正确更新，由于 EVM 的设计和 ZK 证明的算法原理等问题，使得两者兼容非常困难。 安全性 OR 的安全性来自于经济学，必须设计合理的激励机制驱使一批主链上的验证人随时监测提交者，并准备提交欺诈证明，对于提交者，也需要通过质押等方式确保节点作恶会付出相应的代价。ZK 的安全性来自于数学或者密码学，能够做到去信任化，数学和密码学提供的保障要远比乐观的相信人性不会作恶更可靠。 总结 两者相较，ZK Rollups 的优缺点如下。 优点每个事务中包含的数据更少，增加了第 2 层的吞吐量和可扩展性，与 Optimistic Rollups 相比，更大的可扩展性和降低交易成本的好处；无需任何人监控 ZKR；不需要像 Optimistic Rollups 中那样的欺诈争议窗口，将提款时间从大约 2 周减少到几分钟； 默认启用隐私； 缺点计算零知识证明的难度将需要数据优化以获得最大吞吐量；最初构建和集成到以太坊网络比 Optimistic rollups 更难； 相对来说，ZK Rollup 的弱点基本都属于技术问题，随着大量优秀的开发人员投入到相关研究，相信这些问题都会得到解决，并且包括 Vitalik 在内的大多数人都认同 ZK Rollup 在未来会是更优秀的扩容方案。🤖Zero Knowledge 零知识证明--去中心可信声明--构建Web3身份系统 🏷摘要 ZK是一种密码学技术，向别人证明我知道什么，但不透露它，如密码，我的身份等各种信息 它可以保护隐私，并且应用在eth上可以提高性能/tps达到某个万级，是以太坊扩容的未来，以太坊杀手的杀手。它的投资机会就像 🎞背景：无处不在的信息输入 作为现代互联世界的参与者，数据的扩散及其相关的脆弱性已成为公认的经商成本。我们必须互相信任。我们必须在网站上输入我们的信用卡号码。我们必须向房东发送我们的信用记录。我们必须向我们的银行提供我们的社会安全号码。不仅仅是我们个人：公司和机构必须一直相互披露敏感信息才能开展业务。共享信息并接受其不安全感是我们所知道的信息社会运转的必要牺牲。 因为无处不在的信息输入而出现一种需求：在不共享所有这些数据的情况下以相同级别的信任和确定性进行这些交互和交易。而ZK--零知识证明技术正是为了实现这一需求而诞生：向您证明我知道一些事情，而无需向您透露我知道的信息。 🛠原理：你知道我知道，但不知道我知道什么。 零知识证明是一种非交互式、零知识的知识论证技术，该方案假设有两方：证明者和验证者。证明者希望向验证者证明他们知道一些信息，但不透露它是什么。同时，验证者将查看证明并接受或拒绝它。 是一方（证明者：prover）向另一方（检验者：verifier）证明某命题的方法，特点是过程中除“该命题为真”这一陈述之外，不泄露任何其他资讯。因此，可理解成“零泄密证明” 除了所讨论的命题的正确性之外没有传达任何额外的知识。 不严谨但简单易懂地来介绍一下零知识证明: 你在上小学。老师是验证者，你作为学生是证明者。你如何证明你掌握了一元二次方程的求解公式呢？那就需要数学考试。 老师会随机出 10 道相关的题目，而你如果掌握了，则可以把他们都做出来。在这个过程中，你没有背诵或者默写求解公式的具体内容，但是老师却可以很简单地验证你的知识掌握程度。 其实这就是 Tartaglia 与 Cardano (对的，就是这个名字) 争夺谁是一元三次方程发现者时所采用的方法。他们都不想告诉对方自己公式的内容，但是通过做题，就可以很容易地验证且过程中不透露知识地，判断他们是否掌握了这一知识。 🧶性质完备性（Completeness）：只要证明者拥有相应的知识，那么就能通过验证者的验证，即证明者有足够大的概率使验证者确信。可靠性（Soundness）：如果证明者没有相应的知识，则无法通过验证者的验证，即证明者欺骗验证者的概率可以忽略。零知识性（Zero-Knowledge）：证明者在交互过程中仅向验证者透露是否拥有相应知识的陈述，不会泄露任何关于知识的额外信息。 ⛏技术路线-Snarks VS Starks VS Bulletproofs 区块链领域中所用到或者提到的 「zk」 通常不是真正的零知识证明，而经常是 Validity Proof。由于相关词汇的混乱，所以本文中的某些地方会延续这些 「误用」。 在目前的区块链版图中，zk 可以说是区块链扩容 (不 zk 的 Validity Proof) 与隐私技术 (真正的 zk) 的最前沿与最优解决方案，在 Tornado.cash、ZCash、zkSync、zk.money、Filecoin 和 Mina 等项目中都有使用。 目前主要的ZK证明分为三类：【zk-SNARKs】【Bulletproofs】【zk-STARKs】，其中zk-SNARKs是应用最为广泛的，目前几乎所有的隐私项目都是基于zk-SNARKs的. zk-STARKs因为出现时间较短，因此目前还处于理论阶段，也需要技术界验证其正确性。 三种证明方式在表现上各有不同，下表列出了一些常见的对比参数情况：Snark VS Stark STARK 中的 S 代表可扩展的，意味着被证明的语句有重复的结构，而 SNARK 支持任意的电路，这些电路被预处理以实现简洁的证明。其中对 SNARK 的技术实践占据了主导地位，STARK 主要有 StarkWare 在已上线的产品中大规模采用。以下是它们之间的对比。 SNARK 采用速度 比 STARK 快得多，原因有很多。SNARK 比 STARK 早几年被发现，这使该技术在采用方面取得了显着的领先优势Zcash 在区块链开发社区中推广了 SNARK 的使用SNARKs 拥有最多的开发人员库、已发布的代码、项目和积极致力于该技术的开发人员。这使得如果开发人员想开始使用零知识技术，他们在使用 SNARK 方面将获得比 STARK 更多的支持。SNARK只需要 STARK 所需费用的 24%，这意味着与 SNARK 进行交易对最终用户来说要便宜得多。SNARKs 的证明大小比 STARKs 小得多，这意味着它需要更少的链上存储。以太坊基金会特别表示支持使用 Starks 的 STARKware。事实上，以太坊基金会向 STARKware 提供了 1200 万美元的赠款，体现了他们对新兴技术的兴趣和投入。虽然 STARKs 的文档与 SNARKs 相比相形见绌，但技术社区最近为那些希望实施尖端技术的人开发了更多的资源。STARK证明更快，使得其在移动设备，嵌入式设备的部署成为可能，而隔离见证等技术有望缓解其证明体积较大的问题。STARK 优势更低的 gas (更能 scale)更大的 batch size (更能 scale * 2)更快的证明 (更能 scale * 3)没有 trusted setup (生成的参数仅对当前的应用有效，若出现了修改需要重新 setup)后量子安全ZKVM 前面所说到的 Tornado.cash 和 zk.money 类似都是仅支持转账操作的零知识证明应用，不支持通用的计算。类比来说，这些应用都只有比特币的功能，远远不及以太坊的图灵完备，更不要说建生态了 (比特币上的智能合约一直没做出生态来)。 zkVM 就是一个由零知识证明来保证安全可验证可信特性的虚拟机，简单来说就是，输入旧状态和程序，返回新状态。它能让所有的应用都被赋予零知识证明的超能力。 Miden 在 ETH Amsterdam 的演讲用一张图很好概括了 zkVM 到底是什么。 zkVM 的优点：易用：开发者不用学密码学或者零知识开发就可以使用 zkVM 来运行程序保证计算安全 (不代表完全无门槛)通用：zkVM 可以给任何程序和计算生成证明。简洁：相对比较少量 constraints 就可以描述整个 VM (不用重复生成整个 VM 的电路)。递归：免费的递归特性。和通用性一样，对 VM 的验证可以通过 VM 来进行。这个就挺好玩，比如你可以在 zkVM 里放一个 zkVM，就类似 StarkWare 说的 L3 的概念。zkVM 的缺点:计算架构特殊：并非所有零知识证明系统可以被用来做 zkVM。性能问题：电路需要优化，可以为特定计算进行针对性优化。现在主流的 zkVM 有三大类，括号中是它们的指令集：主流 (WASM，RISC-V)、EVM (EVM bytecode)、ZK-Optimized (全新指令集，针对零知识证明所优化，比如 Cairo 和 zkSync)。以下是根据 Miden 在 ETH Amsterdam 的演讲所整理的类型对比图: EVM EVM 就是以太坊的虚拟机，也可以理解为运行智能合约的一套执行环境。 数年来，各个公链都在不停尝试着去兼容 EVM，从而接入到以太坊的开发生态当中。对于这个概念，衍生出了 EVM 兼容，等同和其他一些定义。EVM 兼容性：Solidity 等语言层面的适配。EVM 等同性/等效性（equility）：EVM 字节码层面的适配。EVM Specification 适配：也就是通常所说的真正的 zkEVM，大多情况下甚至是向后兼容的优化后的超集，能提供账户抽象 (就是每个账户都是一个智能合约) 等 EVM 没有提供的特性。ZKEVM 定义上来说，zkEVM 是一种兼容 EVM 同时又对零知识证明友好的虚拟机，能保证程序，操作，和输入输出等的完全正确性。 对于实现通用计算来说，要做 zkEVM 主要需要解决两个难点: a) 电路复杂 不同的合约需要生成不同的电路，而且这些电路很 「复杂」。 这方面主要就要靠各种优化了，比如 Aleo (不过它不是 direct ZK 这一类。。。只是为了举例说明优化) 通过分布式 Cluster 来并发计算 Proof，或者通过各种硬件上的优化来加速。 b) 设计困难 zkEVM 不止要对 EVM 进行重构，对以太坊的整体状态转换都要用零知识证明技术进行重构。 EVM 设计的时候就没想到后面要做 zkEVM，造成了非常大的困难。导致了有两个门派的路线，都在图里了。 者说按 VM 的架构来分，就长这样 (超级感谢 Scroll Tech 的原图总结！)。Opcode 指的是 EVM Opcode。其中 StarkWare 部分是用 Warp 来将 Solidity 转成 Cairo 合约，或者直接用 Cairo 写合约，一样能获得不错的开发体验和全套工具。 在开发者和用户层面，这几个方案其实我认为是基本无差别的，但是在基础设施上，越靠右的方案 EVM 兼容性越好，可以无缝接入 Geth 等基础设施，但开发进度基本上也越慢。 💎价值：隐私+性能+跨链 ZK技术节省计算算力和压缩链上空间，同时也可以对隐私有保护， 共识 合约 计算层分离 🗺格局：StarkWare和ZKSync(前Matter Lab) 团队 StarkWare 更加学术，团队由世界级的密码学家和科学家组成，多年来在零知识领域开拓创新，发表了许多学术论文，并正在将其转化为现实产品 StarkWare；zkSync 团队没能够找到更多的信息，但从其产品发布来看，具有跨行业者的气质，办事效率高。 技术 StarkWare 总的来说是一个更加优秀的技术，它提供了区块链终结性（finality），这意味着它的资本效率是最优的。此外 STARK 的主要优势是：发明并构建了自己的 ZK-STARK 系统，而 zkSync 的技术栈是由其他人建造的 (由 Aztec 构建的 PLONK)。这也意味着 StarkWare 对技术的掌握和提高技术的能力都更强；已经有多个系统在生产环境中运行，这些系统使用一种称为 Cairo 的图灵完备编程语言，该语言是现成可用的。Matter Labs 处于生产环境中的只有一个简单的支付系统，没有图灵完备的语言可用；更快、更安全 (从密码学的意义上来说)、透明 (无需可信设置) 和后量子安全，而 Matter Labs 使用的核心技术 (由另一个团队构建) 较慢，需要可信设置，并且可以被量子计算机攻破； 数据可用性 StarkWare 首创了 Volition 系统用来解决 DA 问题。Volition 允许终端用户每笔交易都可以在 rollup 方案 (链上数据可用性) 和 validium 方案 (链下数据可用性) 之间选择。zkSync 使用的是基于 Volition 的 zkPorter 技术，其主要区别是：Volition 方案中用户可以基于每一笔交易选择数据存储方式，而 zkPorter 方案中用户基于每一个账户选择交易结算方式 (zkPorter 账户只能通过链下 DA 方式产生交易)。另外，zkPorter 的链下 DA 系统更加去中心化，因为其 DA 由 zkSync 原生代币激励的守卫者网络 (Guardian) 提供安全保障，而不是一个中心化的“DAC”。 融资和支持者 StarkWare 估值 20 亿美元，并且正在以 60 亿美元的估值在进行 D 轮融资。这是一个世界级的融资水平，有许多著名投资者。其支持者包括一些大亨和以太坊基金会的成员，Vitalik 自己还审查了 StarkWare 发布的大部分文章。zkSync 和 StarkWare 相比，相对没有那么多著名的投资者，看起来像一个大型的 Defi/CEX 加密家庭融资。其中每一个项目都为人熟知，他们联合起来能形成很好的生态。不过这一点很重要，ZK Rollup 的成功将在很大程度上依赖于 DeFi 协议的加入和与 CEX 的直接集成。 当前产品和路线图 2020 年 6 月，StarkWare 首先推出 StarEx，这相当于他们路线图中的 “行星”(Planets) 阶段，并允许创建由 Cairo 和 STARKs 提供支持的需许可的、应用专用型的 ZK Rollup，即 dydx、Immutable、Deversifi、Sorare 等，它们是由 StarkEx 的在产版本支持的 4 个主要应用。截至 2022 年 3月，StarkEx 已经处理了 1.34 亿笔交易，其累计交易量达 4900 亿美元，锁仓量达 11 亿美元。未来 ZK与DID 我们主动或被迫地把自己的信息授权给公司、政府管理 让这些第三方代我们管理信息，并证明，因为我们授权的场景也建立在公司和政府的业务之上 我们享受中心化的产品、服务，从而使用中心化的信息存储、索引和授权也是理所当然的 如 社交公司存储我们的账户信息，管理社交关系 主权国家存储我们的身份信息，管理政治、财产 中心化身份系统的问题 政治干涉 技术攻击 腐败倾向 本质是对信息的垄断专制，知道才能做到 区块链的DAPP，不需要中心化的身份认证，而需要链上的、去中心的身份认证 这乃是ZK的需求之源--去中心化的产品、服务 隐私 安全 政治 技术 道德 ZK可以 不需要依赖受信方--授权，就能自己证明--实现可信声明 通过ZK可以重新构建数字身份系统，将数据控制权和托管权交换到用户手中。 🎣Optimism Optimistic Rollup 相对于 ZKRU 是一个更加成熟的解决方案。目前 Optimstic 和 Arbiturm 的产品已经可供以太坊开发人员使用。但是由于使用欺诈证明机制，其提款时间和安全性目前来看值得商榷，同时其成本优化相比 ZK 也略逊一筹。而 ZK Rollup 的弱点基本都属于技术问题，随着大量优秀的开发人员投入到相关研究，包括 Vitalik 在内的大多数人都认同 ZK Rollup 在未来会是更优秀的扩容方案。 📺行业推理与投资策略 隐私 横向流动性 跨链 纵向流动性 转移/defi 钱包 游戏 社交 内容 开发工具 带宽提高 会有新的应用出现 📖更新日记 始于culthulhu capital的讨论 5.22 问题先于答案，立场先于理想。 ZK是网络升级必由之路，技术会促进爱和连接。 收集信息 整理框架 局部分析 整体综合，综合先于分析 523-24

## Publication Information

- [yuming](https://paragraph.com/@yuming/): Publication homepage
- [All Posts](https://paragraph.com/@yuming/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@yuming): Subscribe to updates