一文讀懂ZK Rollup和Optimistic Rollup:以太坊重要的擴展方向

前言：多年來，擴展性一直困擾著公鏈。關于擴展性的解決方案有的在概念論證中，有的在研發中。OptimisticRollup和ZkRollup也是擴展性的解決方案，并引起了加密社區的濃厚興趣。那么，到底什么OptimisticRollup和ZKRollup？哪一種技術路線會贏得以太坊擴展的未來？不管道路如何曲折，之前的努力是否有用，但以太坊的擴展之路一直在前進，滿足主流場景并非遙不可及。本文作者AlexGluchowski，由藍狐筆記社群的“JOKO”翻譯。

簡介

OptimisticRollup是一種很有希望在短期內擴展以太坊上通用智能合約的技術。如果構建足夠快，它能夠提供可以輕松遷移現有dApp和服務的方法，且能合理權衡安全和可擴展性。這將使得ETH1.0能夠滿足不斷增長的需求。

ZKRollup是一種更加復雜的技術。它如今可以用于代幣轉移和特定應用。然而，要在通用智能合約上實現還需要更長一些時間，并且要想高效地將EVM包裹于ZKP中甚至還需要更多的研究工作。

不過，一旦ZKRollup完全開發出來，所有現有的以太坊dApp和服務都能夠平滑且輕松地遷移過去。

ZKRollup將會解決OptimisticRollup上的幾個基本問題：

消除讓人討厭的尾巴風險：通過復雜但可行的攻擊向量盜取資金；

將提取資金時間從1-2周減少至幾分鐘；

支持快速交易確認并以無限制的數量退出；

默認引入隱私。

OptimisticRollup對ZKRollup來說是個好消息。向Layer2擴展的過渡要求對錢包、預言機、dApp、用戶習慣的重大改變。OptimisticRollup有助于為這一行動做好生態系統的準備，將擴展性帶入這些尚不能基于ZKRollup構建的dApp。這給予ZKRollup足夠的時間發展成熟，并使其實現完全無縫的采用，與此同時維持以太坊的增長勢頭。

Rollup101

*什么是Rollup？

Rollup是類似于Plasma的Layer-2擴展性解決方案：單個主鏈合約持有所有資金，并對較大的“側鏈”狀態進行簡潔的加密承諾。側鏈狀態由用戶和運營商鏈下維持，且不依賴于Layer1的存儲。

將Rollup和Plasma區分開來的是它解決了Plasms的巨大問題：數據可用性，其方式是通過Layer1網絡為每筆交易發布一些數據。

Custodia CEO：美聯儲已成為“不可逾越的山峰”:7月23日消息，Custodia銀行CEO Caitlin Long表示，在進入FedNow支付系統的35家銀行中，來自荷蘭的Adyen“通過后門進入了系統”，稱這對于一家歐洲公司來說是“非常不美國式”的，因為美國公司無法獲得這樣的機會。

就在上周SEC重新考慮Custodia銀行成為會員機構的申請的最后期限之后，美聯儲否決了該申請，并在一份簡短的聲明中表示，Custodia的商業計劃與法律要求的因素“不一致”。盡管她的銀行爭取主賬戶的權利，但Caitlin認為新的FedNow服務還不夠好。

“它不具備互操作性，跨境能力，并且有嚴格的50萬美元交易支付限制”，Caitlin Long聲稱FedNow將占據10%的支付份額，“但不會超過這個數”，她表示美聯儲聲稱他們將幫助公司進行監管，并且Custodia“盡力遵守”，但當局已經變得“不可動搖”。（decrypt）[2023/7/23 15:52:58]

因此可以在單個Rollup區塊中將數千個交易捆綁在一起。盡管此方法的成本嚴格地呈線性增長，但它在吞吐量上實際可提升100倍，因為CALLDATA比Layer1存儲和計算要便宜。

Rollup已經被VitalikButerin反復認可為其最喜歡的Layer2可擴展性解決方案。根據如何確保狀態轉換的正確性，有兩種Rollup方式：ZKRollup和OptimisticRollup。

*什么是ZKRollup？

在ZK-Rollup中，運營商必須為每個狀態轉換生成一個SNARK，并由主鏈上的Rollup合約進行驗證。此SNARK證明存在一系列由所有者正確簽名的交易，這些交易以正確的方式更新了賬戶余額，并使得Merkleroot從舊到新。因此，運營商不可能提交無效或操縱的狀態。

*什么是OptimisticRollup？

在OptimisticRollup中，新狀態根由運營商發布，且無需每次都由Rollup智能合約檢查。相反，每個人都希望狀態轉換是正確的。但是，如果發布了不正確的狀態轉換，其他運營商或用戶將能夠指出錯誤的交易，并還原錯誤的區塊，消減惡意運營商的押金。OptimisticRollup的概念最初由JohnAdler提出的。

接下來，讓我們比較一下ZKRollup和OptimsitcRollup。

靈活性：通用計算

*OptimisticRollup

0xScope：受Multichain聲明影響，Fantom鏈上資產價格脫錨加劇:7月14日消息，據0xScope監測，自Multichain發表聲明后，Fantom鏈上資產價格脫錨加劇。目前，Fantom正轉向LayerZero等多元化跨鏈橋和流動性解決方案。當前，Fantom上的交易價格（基于Layerzero USDC）：BTC:4,167美元；ETH:402美元；USDC:0.24美元；USDT:0.16美元。[2023/7/14 10:55:46]

盡管OptimisticRollup可用于特定的應用，但是PlasmaGroup最重要的創新是OVM。OVM支持任意智能合約邏輯的實現。

幾乎任何在以太坊上能實現的同樣可以在OVM上實現，這其中包括智能合約的可組合性。它基于EVM，EWASM或任何其他虛擬機。關于OVM的好處是，如果它與EVM一起使用，它將支持用Solidity編寫代碼。因此，大部分現有的代碼庫都可以輕松移植到OptimisticRollup上。

如果OVM可以直接重用現有的EVM字節碼，那會是理想的選擇，但這可能不是那么簡單。正確的實現方式將要求更改交易數據格式，并要求復雜的Truebit/PlasmaLeap風格的挑戰/響應協議的實現，以提供欺詐證明。

這可能會導致與EVM產生分歧，從而導致無法正確處理邊緣情況，這意味著仍然需要做一些工作才能適應當前的OVM合約。實施的另外一個挑戰在于，大型區塊的欺詐證明可能需要比Layer1區塊gaslimit所允許的更多的gas。那么，這些欺詐證明必須被分解為多個ETH交易。

*ZKRollup

迄今為止，所有現有的ZK-Rollup實現聚焦于特定的操作，例如代幣轉移或原子交換。這其中有幾個主要原因。

首先，沒有一種有效的技術可用于針對不同ZKP的簡潔遞歸證明組合，這需要將不同智能合約的執行匯總到一個區塊中。我們最好的方法是在橢圓曲線的循環上使用Groth16，這需要在較長的字段上進行計算，并且對于大型計算完全沒有效率。

其次，即使我們的字段較短，Groth16也會為每個智能合約和每個新版本要求一個單獨可信的設置儀式。顯然，這絕對是不現實的。無須可信設置的唯一有效的ZKP技術是基于FRI的STARKs。但是，驗證程序僅對有限的一類問題是簡潔的。

STARK驗證程序必須對被證明的計算語句的每個約束至少執行一次，這意味著我們無法迭代異構智能合約的集合。

隨著SNORKs的出現，一切都發生改變。SNORK是基于稍微不同的一組加密原語的新一代ZKP。由SeanBowe在Sonic中率先開發，在2019年夏季PLONK和Marlin緊跟其后。所有這些都有一個共同點：盡管依然需要可信設置，但現在它是通用且可更新的。完成一次之后，它可以隨時將其重用于任何數量的不同程序。

eToro完成2.5億美元融資:金色財經報道，在取消了在 2022 年以104 億美元的估值通過 SPAC 上市的計劃后，交易平臺 eToro 以 35 億美元的估值獲得了 2.5 億美元的融資。投資者包括 ION Group、Social Leverage、SoftBank 和 Spark Capital。

eToro 創始人兼首席執行官 Yoni Assia 表示，這筆資金不是典型的股權融資：它是通過高級投資協議 (AIA) 獲得的。該公司已于 2021 年初獲得友邦保險，作為當前支持者的一種支持，以防其擬議的 SPAC 失敗。[2023/3/21 13:17:40]

然而，在這些證明系統中使用的Kate多項式承諾方案依然需要高效的橢圓曲線循環來進行遞歸，而目前尚不可用。這就是我們為什么對最新的完全簡潔和透明的證明系統感到興奮，例如Halo、SuperSonic、Fractal，以及MatterLabs團隊最近在折騰的讓人興奮的事情。

長話短說：在ZKP上構建通用智能合約的障礙現在已經被移除。ZKRollup完全能夠支持與EVM相同的編程模型，包括無縫可組合性和可互操作性。盡管Solidity開發者的學習曲線不會超過一天，但最初的合約可能需要專用的DSL。最終，鑒于ZKP證明者技術的當前發展步伐，我們期望所有的現存ETH合約都能以最小的努力有效地移植過來。

可擴展性&交易成本

*OptimisticRollup

根據JohnAdler的說法，在EIP2028/伊斯坦布爾之后，目前的估算是每筆轉賬tx大約4k的gas。

這意味著，相當于大約100tps。

使用BLS聚合簽名，此數字最多可以上升到大約500tps。

如果EVM兼容性遭到破壞，則理論上吞吐量可能會增長到ZKP的極限。

實際吞吐量上限：500tps

目前可能還不錯。

*ZKRollup

在MatterTestnet中每筆轉移tx的公共數據成本當前是16bytes，這將在EIP2028/伊斯坦布爾后花費272gas費用。

此外，將會有證明的攤銷費用，預計大約為30萬gas。

即使我們假定最壞的情況，需要100萬gas證明成本，但估算的轉賬上限仍將超過2140tps。

在一些討論中，可以聽到人們爭論說ZKP會產生大量的計算開銷，由此價格昂貴。實際上，與gas成本相比較，計算成本可以忽略不計，這是真正的瓶頸，因為抗審查的分散化。我們也期望這個因素會隨時間的推移而顯著下降。

Celsius未記錄附屬公司間約7000筆交易，無法完全重建公司間索賠:金色財經報道，據 CoinDesk 援引法庭文件報道，Celsius 沒有充分記錄在申請破產前三個月內其與關聯公司之間約 7000 筆交易，導致幾乎無法完全重現公司間的債權結構。

此前，Celsius 向法院提交出售計劃，以推動公司在去年 7 月申請破產保護后的重組公司。隨后，Celsius Network LLC（LLC）提交申明，對 Celsius Network Limited（CNL）持有的約 91 億美元的公司間索賠，但對該公司的賬簿審計顯示，LLC 與 CNL 公司間的轉賬在許多情況下根本沒有記錄。除非聘請法務會計工作，手動重建每筆公司間交易，但這對債務人來說成本巨大。[2023/2/17 12:13:24]

實際吞吐量上限：超過2000tps——類似于Visa的規模。

但是，在許多用例中，ZKRollup將節省更多，因為可以從公共數據中省略大塊部分，而無須重構狀態轉換增量。

核心見解是：盡管OptimisticRollup始終要求用戶發布完全的交易輸入，而在ZKRollup中，我們可以靈活地在如下兩者間選擇：1）交易輸入減去不影響狀態轉換的見證人2）僅交易輸出。可以非常優雅地實現這一選擇，而無須太多復雜性。

著名的例子：

在多簽錢包，具有Argent風格賬戶抽象的錢包或去中心化交易所，用戶需要提交簽名以獲得合約的驗證。這些簽名對于狀態增量更新是非必需的，可以從公開數據中省略。

像Gnosis的DfusionDutchDEX這樣的合約要求大量的數據集輸入，這些輸入不會直接影響存儲，但僅用于驗證計算結果。

*ETH2.0之后

由于任何Rollup將位于單個分片中，因此，CALLDATA的成本不太可能發生很大的變化，除非帶寬通常變得更便宜。

元交易

兩種類型的Rollup都非常適合支持元交易和賬戶抽象。

安全

*OptimisticRollup

與支付通道不同，Rollup中的所有資金都由單個智能合約持有。既然Rollup是最有希望的擴展方向，我們應該看到大量的用戶遷移其中，且很多價值集中于這類合約。持有數千萬上億美元價值的資產，對于知名黑客來說，Rollup合約正變成非常有吸引力的蜜罐，如果攻擊有機會，那么，無論多么復雜，都有可能會嘗試進行。

可擴展區塊鏈MultiversX：與騰訊云達成戰略生態合作伙伴關系:據官方消息，可擴展區塊鏈MultiversX宣布與騰訊云達成戰略生態合作伙伴關系，雙方將利用MultiversX區塊鏈和產品套件在Web3和Metaverse內探索創造價值的新途徑。目前，MultiversX網絡的1萬多臺服務器將運行在騰訊云基礎設施服務上，騰訊云也在探索運行MultiversX網絡驗證節點。[2023/2/17 12:12:07]

OptimisticRollup的安全模型基于兩個假設：

1.至少在n個節點中有1個誠實節點執行所有OptimisticRollup交易，并且在無效狀態轉換發布時提交欺詐證明；

2.底層Layer1網絡有強大的抗審查性

*N個節點中至少有一個誠實節點參與者

對于第一點，現實的期望是，只有Rollup的運營商才會實際監控和執行交易。普通用戶既沒有動力也沒有技術能力來處理高負載的交易幸運的是，運營商自然地有動力去檢查彼此區塊的正確性，因為基于無效區塊上搭建區塊會被消減資產。

有足夠的可信參與者，N個節點中有1個誠實節點運營商是合理的假設。但是，既然活躍參與者的數量有限，一些復雜的攻擊可能包括：針對所有運營商的基礎設施，賄賂/勒索開發工程師秘密安裝惡意代碼，針對Rollup軟件的更新分發渠道等，當然，還可能是這些攻擊的組合。

這些攻擊很難實現，但應該積極防御，但比起用同樣的方式攻擊以太坊礦工，這些攻擊要更加現實，尤其是因為對OptimisticRollup的成功攻擊直到完成后才會被注意到。

*強大的Layer1抗審查性

第二個假設是棘手的假設。實際上，以太坊的設計提供了經濟機制，它對抗普通審查非常有效。但是，在出現反機制時，這些機制會停止起作用。攻擊者可以創建完全自動的賄賂機制來協調礦工的51%攻擊，這會阻止誠實礦工將欺詐證明包含在其區塊中。

有趣的是，對于參與的礦工來說，此次攻擊的直接成本為零，如果可以明確地歸因于審查，則不計入由憤怒社區反應所產生的社會成本。這部分也很棘手，因為該機制為攻擊的參與者提供了合理的可否認性：“鑒于攻擊者多數的可信承諾，如果我不參與，我的區塊會被拋棄，所以，我必須這么做，不是為了利潤，而是為了避免損失。”

不幸的是，在PoW下，這種攻擊非常現實。沒有什么有效的方法來懲罰參與其中的匿名礦工。在轉向PoS后，社區將可以通過消減礦工的質押權益來懲罰他們，如果達成廣泛的社會共識。

畢竟，這樣的審查攻擊可以被視為對整個網絡的侵略，盡管也可以說，礦工只是簡單地誠實地遵循協議，且沒有義務以違背其最佳經濟利益方式行事。

但是，在DAO分叉后，至少可以說，這將是非常有爭議的討論，其結果無法預測。在Vitalik最近進行的一次社區民意測驗中，無論遇到什么程度的攻擊，63%的投票者反對對不可變的區塊鏈進行任何人工干預來救助用戶。不用說，要清除即使一個驗證者的權益也非常困難，更不用說清除大多數驗證者的權益。

最近發布了更多關于串通合謀的研究，以及針對PoS環境中欺詐證明的新攻擊，這表明在PoS中OptimisticRollup的審查攻擊風險至少與PoW一樣高。

抵抗這種攻擊的更現實的方法是在UASF中社區的快速動員，以迫使礦工將某些交易包括進來。從工程和社會的角度看，這種場景都是復雜的，且將肯定要求相對長的挑戰期窗口，以提供欺詐證明，至少一周，最好兩周。

同時，鑒于主要的DeFi運營商在決定這種分叉的結果時處于有利位置，且避免吵鬧的干擾事件符合其最大利益。所以，他們的最佳選擇可能只是靜靜地遵循攻擊者。

總的來說，欺詐證明審查的風險相對較低，但不可忽略。

由于存在1-2周的欺詐證明挑戰期，并且沒有太多資金的利害關系，OptimisticRollup可能是沒有問題的：運營商/礦工合謀將不值得麻煩和冒風險。但是，如果rollup中的價值升高，潛伏的黑天鵝將會變得越來越讓人擔憂。

*ZKRollup

在ZKRollup中，在其變為有效之前，每個狀態轉換都通過Rollup智能合約進行驗證。嚴格來說，運營商無法盜取資金或破壞Rollup狀態。ZKRollup依賴于Layer1的抗審查性，只是為了其活性，而不是為了安全性。無須任何人來監控ZKRollup，在區塊驗證后，用戶資金總是保證最終能被收回，即使運營商拒絕合作。

因此，ZKRollup更充分地體現了加密世界的基本理念：通過密碼學和博弈理論激勵機制來取代可信方，以實現彈性。但是，為了完整起見，我必須提到ZKRollup特有的一些潛在風險。

可信設置

如果在ZKRollup中使用的ZKP需要通用的可信設置，則我們將得出“N分之一”誠實參與者的假設。根據參與者的數量和質量，這可能是可接受的風險，也可能是不可接受的風險。但安全是安全的，這就是為什么我對高效無須信任的SNARKs最新進展感到非常興奮的原因，尤其是MatterLabs正在進行構建上。

密碼學

與Groth16相比，最新一代的SNARKs正在使用的是更多經過實踐檢驗的加密原語。MatterLab的工作基于FRI，因此甚至可以說是具有后量子的安全性。但是，要完全冷靜下來，應該應用兩種緩解策略：

*與RSA挑戰類似，必須以比實際產品版本更低安全參數來部署大量獎金。如果發現了實際攻擊，研究者會在產品代碼被破壞數年前克服挑戰。

*所有狀態轉換必須僅由ZKR的運營商發送，而ZKR的運營商實質上充當雙重驗證的保護層。

延遲

*OptimisticRollup

由于上面安全性部分提到的問題，僅在1-2周欺詐證明的挑戰窗口期內OptimisticRollup才能是安全的。在這段時間過去之前，任何交易都不能認為是最終的，內部Rolluptx和退出都不是最終的。

不幸的是，對于最終用戶來說，檢查交易是否具有最終性，沒有比通過整個上一次挑戰期執行所有交易更快的方法了。需要特別注意的是，用戶無法單純依賴博弈理論來保證區塊的最終性，因為單個運營商節點中的漏洞或仍可能導致還原。

最終性的時間：2周

最終性的時間：1周

*ZKRollup

當前ZKP計算上很密集。目前，對于1000tx的區塊，我們可以在普通服務器硬件上有20分鐘證明生成時間。正在進行的GPU證明程序實現有望將tx速度提高至少10倍。在不遠的將來，專用硬件可能會擁有更高的計算能力。最終，我們期望看到在一分鐘內完成區塊的最終性。

最終性時間：20分鐘

最終性時間：1分鐘內

Rollup交易內部的快速確認

在這兩種類型的Rollup中，通過存入一定的安全保證金，運營商都可以向用戶簽發即時交易確認。這為最終性提供了經濟保證。

這種方法有局限。它對于可互換代幣的轉移運轉良好，但不適合于NFT和通用合約請求。該NFT可能沒有市場價值，或者當這些資產的所有者不想在任何情況下立即“出售”它。通用合約請求不適用是因為如果鏈上的某些之前交易被還原，不容易準確量化貨幣價值。簡單的例子：為接受穩定幣預言機價格廣播的最終價格，運營商應該質押多少資金合適？

快速提取資金

快速退出類似于快速內部Rollup確認。運營商可以與流動性提供商合作，以將可互換代幣即時提取給用戶，而無須等待退出交易在Rollup中成為具有最終性的交易。這要求大量的抵押品，這跟最終性達成的時間成正比。假設對OptimisticRollup來說，不久將來的現實的最終性時間為1周，而ZKRollup為5分鐘，那么，OptimisticRollup將需要2000倍于ZKRollup的抵押品才能支持每周相同的提款量。

隱私

*OptimisticRollup

OptimisticRollup可以支持Layer2以太坊上的任何可用的隱私解決方案。既然OptimisticRollup本身也是Layer2，在其上實現的任何隱私解決方案將作為Layer3。這可能導致隱私服務更加分散，并導致較小的匿名集，這使得隱私的實用性非常低

*ZKRollup

為了獲得真正的隱私，系統必須默認支持它。從技術的角度看，ZKRollup可以在某種情況下默認輕松支持在協議層面代幣轉移的隱私交易，也可以區分公共和私人智能合約。

同時，構建完全匿名的zcash風格交易，它將要求改變ZKRollup的存儲模型，從基于賬戶模型變為基于UTXO模型，這會產生很多問題，且不太可能發生。

結論

OptimisticRollup目前處于PoC階段。我們希望很快會實現產品級實施。如果證明它移植現有代碼相對容易，那么，項目將逐漸開始采用它并構建新的基礎架構：Layer2支持將在錢包中出現，預言機將開始廣播到OptimisticRollup等。

ZKRollup在特定應用方面已經更加成熟，但會逐步向完全通用的智能合約方向發展。最終，移植任何基于EVM和WASM的智能合約到ZKRollup也是可能的，在當前的技術發展速度下，這可能耗費數年時間即可完成。

對于這兩種類型的Rollup，類似的基礎設施改變會發生在錢包、預言機以及其他智能合約組件中。這要求大量的工作，隨著更多項目對Layer2擴展技術感興趣，這些工作會加速。既然OptimisticRollup承諾比ZKRollup更早實現通用化的基于EVM的智能合約，它將極大地推動社區采用Layer2的動機。

對于用戶和dApp，從一個Rollup跳到另外一個Rollup，將會比從ETH最初遷移到Layer2更容易。橋接會讓這一過程更加順暢。由于這種切換的簡易，這種解決方案在UX方面會取得顯著優勢，從長遠看，很可能會成為唯一的贏家。

不管結果如何，這都會是非常重要且讓人興奮的發展。無論如何，最終的贏家都是以太坊社區。

------

風險警示：藍狐筆記所有文章都

不能作為投資建議或推薦，投資有風險，投資應該考慮個人風險承受能力，建議對項目進行深入考察，慎重做好自己的投資決策。

Tags：ROLROLLIMITICROL幣TROLL BNBSASHIMI幣STIC價格

幣贏