利用ZK技術構建Web3產品：部署、實施和改進_ARK

零知識證明正逐漸成為未來十年的一項根本性的變革技術。在Web3中，該技術已經解決了可擴展性和隱私方面的主要瓶頸；這是令人興奮的區塊鏈的兩個主要痛點。在可擴展性方面，幾個zkrollup，又稱有效性rollup，正在推出，將以太坊的規模擴大10-100倍，同時通過降低交易成本改善用戶體驗。在隱私方面，ZKP正在超越私人交易和交易混合時代，擴展到更復雜和有用的領域，如私人鏈上交易、身份和驗證證書。

有很多關于ZKP的內容，包括我們自己的愿景，即ZKP空間在未來將如何發展，以及為實現這一未來需要哪些初創企業。但是，在如何從ZKP中獲益以及從哪里開始的問題上，對建設者的教育仍然存在空白。本文努力填補這一空白，匯總重要資源，引導開發者了解ZKP在實踐中如何運作，以及如何在其應用中使用ZKP.

在Alliance，我們對ZKP帶來的新用例特別興奮。我們鼓勵這一領域的建設者與我們聯系，討論他們的想法，并申請加入Alliance計劃。

ZKP如何在實踐中運作

ZKP的標準定義是：它是一個被稱為證明者的一方向另一方證明他們知道特定信息而不透露該特定信息的過程。在實踐中，至少在Web3中，ZKP的使用方式往往不同。大多數應用程序不使用ZKP來顯示專有數據的所有權。相反，ZKP被用來通過可驗證性來提高信任。我們期望ZKP在未來成為實體之間的標準信任模型。原因是，ZKP的兩個主要組成部分，即證明和驗證，以一種能夠在尋求信任的實體和其用戶之間實現獨特的互動方案的方式被分開。

運行ZKP的主要組成部分是證明生成和證明驗證。證明生成包括運行繁重的計算以生成執行過程的證明。這個證明的作用是消除對驗證者的信任。相反，任何人都可以在證明上運行一個簡單的過程，以驗證驗證人所運行的過程的完整性。這種心理模型允許企業運行一個過程，通常是一個復雜的過程，并允許客戶信任上述過程的執行，而不需要重復它。我們來思考一個例子。假設你訂閱了OpenAI的付費計劃，以使用他們的一個大型語言模型，如chatGPT.你必須相信OpenAI確實會運行你要求的特定模型，而不是用更簡單的低效模型來替代它。如果OpenAI可以向你發送少量的數據，證明它確實運行了你要求的特定模型，那會怎么樣呢？此外，想象一下，如果每個專有的SaaS產品都能為其消費者提供這樣的保證。

PeckShield：NFT借貸平臺JPEG'd或遭黑客攻擊:7月30日消息，據PeckShield發推稱，NFT借貸平臺JPEG'd或遭黑客攻擊，損失金額達6106枚ETH，JPEG代幣短時下跌40%。[2023/7/30 16:07:20]

這種信任的最小化是ZKP的承諾。例如，在Web2中，ZKP可以保證公平的信用評估或公平的保險索賠處理，只需保證對所有客戶使用相同的算法。ZK技術還沒有出現，因為運行一個ZKP程序仍然相對昂貴。然而，我們看到ModulusLabs?等公司正在構建一種使用ZKP來證明AI推理的技術。

高效ZKP的技術要求

在技術層面上，一個高效的ZKP系統需要同時實現以下目標：

1.?減少證明系統的計算復雜性和延遲，即使證明者能夠有效地生成證明，并以最小的延遲將其傳達給驗證者

2.?實現較小的證明規模

3.?實現高效的驗證，即最小的驗證成本

除了這些主要目標外，根據用例可能還需要一些次要目標，例如：

·?注重隱私的應用中的數據隱私，這意味著證明系統可以處理私人輸入，在生成的證明中不被泄露

·?盡可能避免信任設置，以簡化安全假設

·?實現證明遞歸以進一步降低驗證成本，即一個驗證可以驗證多個證明，并在不同的證明之間攤銷成本

要同時實現所有這些目標是很有挑戰性的。根據不同的用例，ZKP系統會優先考慮這些目標中的一些。例如，SNARK證明系統可以產生簡潔的證明，但證明的復雜性會增加。另一方面，STRAK有高效的證明器，但證明規模可能比SNARK大100倍。ZK的研究人員不斷努力推進技術前沿，通過發明新的證明機制同時改善這三個指標。

不同證明系統的比較

對于構建ZKP相關產品的開發者來說，需要考慮的一個重要問題是如何選擇底層證明系統。目前有幾個ZKP驗證器的實現，還有更多處于研發階段。ZKP后端選擇不僅取決于技術方面，也取決于目標產品。以選擇rollup的證明系統為例。rollup的關鍵特征，如提款時間、交易成本，甚至是去中心化，將主要由ZKP證明架構決定，如下表所述。

韓國法院判處公務員因盜用公共資金購買加密貨幣而入獄:金色財經報道，韓國一家法院已將一名公務員判處緩刑，該公務員竊取了價值數千美元的公共資金以支付加密貨幣投資。這名公職人員被判處一年緩刑和兩年緩刑。由于法律原因，這位官員沒有透露姓名。[2023/5/30 9:50:01]

證明系統特性如何影響ZKProllup的性能。

在rollup中，證明發生在業務方面，即由rollup運營商進行。現有的zkrollup，如Starknet和zksync目前使用中心化的證明者。因此，他們可以將證明工作委托給專門的證明者，即證明即服務的公司，以提高證明者的性能。通過專業化和利用優化的SW/HW，以太坊兼容的zkEVM的證明時間可以減少到幾分鐘。例如，PolygonzkEVM的證明時間目前約為2分鐘。幾分鐘的證明時間，也就是提款延遲，對于一個rollup來說是可以接受的。

另一方面，一些用例要求證明發生在用戶端，例如，生成私人交易，如TornadoCash交易。為了確保合理的用戶體驗，證明的時間不能超過幾秒鐘。此外，隨著用戶在資源有限的設備上使用錢包在瀏覽器中進行這些計算，選擇一個具有快速驗證器的證明系統非常重要。這里的一個很好的例子是Zcash在2018年的Sapling升級中將其證明系統改為Groth16，這是提高屏蔽交易速度的一個主要因素。

證明系統的比較

一般來說，很難對不同證明系統的性能進行準確的比較，尤其是證明和驗證速度，因為它們取決于庫的實現、所選擇的加密曲線和使用的硬件。Mina團隊在本文中提供了一個很好的高維度的比較。還有人在努力為不同的zk系統創建基準測試工具。

主要證明技術的性能比較。來源：?O(1)Lbas

該表提供了SNARK實施的良好比較，以及它們在速度方面從Groth16到Plonk到Halo的進展。盡管有進步，STARK仍然在證明速度方面勝出，代價是證明規模更大。該表還討論了證明系統的兩個重要特征：設置不可信性和電路可編程性。

設置不可信的部分討論了電路創建的預處理階段。一些證明技術要求在預處理階段通過多個實體的參與來生成秘密隨機性，即多方計算。如果一個參與者是誠實的，那么生成的隨機性確實是秘密的，預處理部分是安全的。這個過程被稱為“可信設置”，因為它相信在預處理階段至少有一個參與者是誠實的。要求一個可信的設置被認為是一個弱點。在這個意義上，STARK和新的SNARK系統，如Halo2，具有優勢。然而，一些項目將可信設置作為吸引社區的工具，Aztec?和Manta?就是這種情況。

Crypto 1宣布成立C1二級基金，計劃向加密貨幣和Web3公司投資5億美元:3月28日消息，Crypto 1宣布成立C1二級基金，目標是向區塊鏈、加密貨幣、Web3和金融科技公司的二級市場投資5億美元。C1二級基金是受監管的私人投資基金，旨在收購二級市場資產，即購買現有私人成長型公司的股份。（businesswire）[2023/3/28 13:31:27]

可編程性部分討論了證明系統是否可以證明任意的計算。SNARK通常對任何計算都是可編程的。然而，證明效率取決于正在進行的計算的類型。某些類型的STARK系統則不是這樣，它們更難適應不同類型的計算。

用于不同ZKP相關項目的證明系統

如何利用ZKP為你的產品服務

從哪里開始建立一個受益于這種創新技術的產品，這樣的心理模型實際上很難建立。本節試圖為開發者提供一個框架，以選擇將ZKP整合到其產品中的最佳方法。基于產品需求、生態系統的一致性和性能要求，開發人員將有幾種工具可供選擇。一些開發人員將能夠重新使用他們現有的代碼，而另一些人將不得不學習新的特定領域語言來創建他們的應用程序。

以性能為重點的zk應用

開發者可以使用ZKP來實現更高的吞吐量，或者通過在鏈外進行大部分應用計算，只在鏈上發布證明來降低費用。在這種情況下，有多種框架可供選擇。這些框架中的每一個都提供了一個流程，將一個用高級語言編寫的應用程序編譯成適合于證明生成的等效表示，即zk電路。它們提供了一套工具來編譯應用程序代碼，生成zk電路，實現zk驗證器，并為目標生態系統生成驗證器代碼。我們可以把這些框架分為兩個主要的籃子：以EVM為重點的和非EVM.

以EVM為重點的zk框架

這組zk框架通過在以太坊之上構建rollup，與以太坊保持一致。交易和應用程序在rollup的zk虛擬機上執行。證明由專門的驗證器生成，并發布到L1，由智能合約進行驗證。

該組的第一個子集實現了與EVM兼容的zkVM，因此稱為zkEVM.這些目標是通過允許Ethereum開發者使用solidity和熟悉的工具，如Hardhat?和Foundry?而不做改變，從而最大限度地減少摩擦。他們通過創建一個對EVM開箱即用的電路和驗證器來抽象出zk的復雜性。這個籃包括PolygonzkEVM?和Scroll.

Web3.0谷歌搜索指數呈現走高趨勢:金色財經報道，谷歌數據顯示，Web3.0谷歌搜索指數近來呈現上升趨勢，較7月31日至8月6日指數相比增長25，目前指數為65。[2022/10/3 18:37:49]

這組的第二個子集是不與EVM本身兼容的zkVM.盡管不兼容，該組通過創建中間層來減少摩擦，使開發者能夠使用Solidity.Vitalik稱這組為4型zkEVM.zkSyncEra?和Starknet?是這組的好例子。使用4型zkEVM的好處是，它可以提供比EVM兼容型更高的吞吐量和更低的費用。這使得它們適合建立高吞吐量的應用，如鏈上游戲，或高性能的金融產品，如訂單簿DEX.

為4型zkEVM構建應用程序需要更多的開發者努力，因為可以使用的Solidity代碼是有限的。另外，開發者可以決定學習一種不同的語言，例如Cairo，來為這些框架開發本地應用程序。

來源：?zkNode、Scroll、zksync-solc、zkSyncSDKs、Protostar、StarknetHardhat插件、Warp

非EVM的zk框架

另一種類型的框架是那些不針對EVM架構的框架，因為它們針對的是競爭性的L1或通用計算。盡管如此，它們仍然可以通過專門的SDK，如Sovereign，用于在以太坊上構建特定應用的zkRU.

這里有兩種方法

1.?開發人員用高級語言編寫代碼，以特定的虛擬機架構為目標，然后將其編譯為zk電路。

2.?開發人員使用特定領域語言編寫代碼，例如Circom，直接生成zk電路。

前一種方法對開發者更友好，但往往導致更大的電路，需要更長的證明時間。

來源：Risc0、zkWasm、Circom、Snarkjs、MinazkAppCLI、zkLLVM

以隱私為重點的zk應用

使用ZKP開發以隱私為重點的應用程序，對開發者來說往往是一項更苛刻的任務。與注重擴展性的解決方案相比，使用ZKP開發注重隱私的解決方案的工作較少，使得學習曲線更加陡峭。現有的隱私應用主要集中在支付隱私上，不允許有太多的可編程性。要把隱私和可編程性結合起來是一項具有挑戰性的任務。注重隱私的應用主要遵循兩種實施方案中的一種。

游戲開發商Regression Games完成420萬美元種子輪融資，a16z參投:金色財經報道，人工智能游戲開發商和電子競技公司Regression Games宣布完成420萬美元種子輪融資，New Enterprise Associates (NEA) 領投，Andreesen Horowitz (a16z)、BBQ Capital、Roosh Ventures 和一批天使投資人參投。Regression Games 正在構建平臺和生態系統，幫助玩家能夠編寫代碼和人工智能來控制角色、實時調試策略、爭奪錦標賽獎品，該公司創始人兼首席執行官 Aaron Vontell表示，他們希望解決涉及元宇宙、線上對戰等游戲中遇到的NPC和AI復雜性問題。（gamespress）[2022/8/16 12:27:31]

1.建立在通用的L1之上

為了在L1上啟用私人支付應用程序，需要將ZKP邏輯構建為一個智能合約。應用程序通常使用ZKP來創建私人資金池。用戶使用這些私人資金池作為混合器，為新的錢包提供資金，而這些錢包與他們原來的錢包沒有聯系。這里著名的例子是TornadoCash.對于這些應用，證明是由用戶進行的，而驗證是在鏈上進行的。因此，使用具有快速證明、簡單驗證計算、并且在生成的證明中不泄露任何用戶信息的ZKP系統是至關重要的。

由于通用鏈沒有為昂貴的加密計算進行優化，對于主流用戶來說，驗證成本往往很高，限制了這些應用的采用。將私人交易應用轉移到rollup中以減少gas成本的直觀解決方案可能具有挑戰性。在這種情況下，私人交易證明需要包括在rollup證明中，即證明遞歸，這在以太坊的通用zkrollup中目前是不可能的。

2.建立一個新的以隱私為重點的L1/L2

為了使私人交易和應用的成本降低，開發者被迫要么建立一個新的隱私強制L1，如MantaNetwork?和Penumbra，要么建立一個專門的rollup，如Aztec.大多數以隱私為重點的鏈還不能支持通用計算，而是專注于專門的用例。例如，Penumbra和Renegade?專注于私人交易。Aleo?正在建立一個私人應用的框架，通過創建專用語言Leo，將用高級語言編寫的程序與相應的zk電路兼容。應用程序的互動是在鏈外進行的，只有證明作為私人交易發布在鏈上。Aztec正朝著類似的方向發展，但是是作為EthereumL2.他們最近宣布，他們專注于創建一個通用的私有化rollup，使用Noir?作為默認的智能合約語言。

zk加速

在開發者為其應用程序選擇合適的zk開發框架并選擇底層證明系統后，接下來的步驟是優化應用程序的性能，并找到改善用戶體驗的方法。這往往可以歸結為改善驗證人的性能和延遲。如前所述，對于rollup，減少證明者的時間意味著縮短向L1提交證明的延遲，從而縮短撤回延遲。對于用戶生成的證明，即隱私應用，更快的證明意味著更短的交易生成時間和更好的用戶體驗。

正如我們在之前的文章中所討論的，加速證明過程往往需要軟件優化和專用硬件。在過去的幾個月里，隨著多家公司的加入，專用硬件的競爭已經白熱化。在這一節中，我們將討論目前zk加速的情況以及開發者如何從這場競爭中獲益。

證明作為一種服務

到目前為止，執行zk證明工作的標準模式是使用具有多核CPU和/或GPU的強大服務器，并利用優化的開源庫，例如Filecoin的Bellperson，以提高證明性能。這種模式給需要維護證明基礎設施的開發者增加了操作的復雜性。解決這種復雜性并允許更好的專業化的更好的模式是證明即服務模式。在這種模式下，需要為某個zk電路或某個用例生成證明的實體連接到一個運行專有軟件的供應商，以進行證明計算。一些公司可以專門為特定用例生成證明。?例如，Axiom?已經建立了一個系統，為以太坊的歷史數據生成Halo2證明。其他玩家可以專注于特定的ZKP后端，例如Plonk或Halo2，并建立專有的優化，從而使證明的計算更快、更有效。=nilFoundation通過建立一個ZKP計算的市場，將這一概念向前推進了一步。在這個證明市場中，證明買家提交出價以生成ZKP，由證明生成者進行匹配和履行。Mina有一個類似的概念，叫做Snarketplace，但它只限于Mina網絡所需的SNARK證明。

硬件加速

隨著幾個依賴于高效生成zk證明的L1和rollup的推出，生成這些證明并獲得相關獎勵的競爭將升溫。如果這些鏈和L2成功地吸引了大量的用戶群，那么證明生成就會發展成類似于比特幣挖礦競爭的軍備競賽。有不同的ZKP加速方法，即GPU和FPGA和ASIC.AmberGroup的這篇文章很好地討論了這些不同的選擇以及每種實施方案所面臨的挑戰。然而，從長遠來看，生產證明生成的最有效的AISC的公司將在以ZK為重點的產業鏈上具有顯著的經濟優勢。

值得注意的是，zk證明競爭和比特幣挖礦之間有一個重大區別，值得強調。在比特幣中，采礦過程是基于一個簡單的計算，即SHA256散列。這種計算是固定的，不可能改變，這使競爭的焦點圍繞著芯片設計創新和獲得最先進的半導體節點。在ZKP領域，不同的證明協議之間存在著明顯的分割。即使是相同的證明后端，例如Plonk，目標電路大小也會導致ASIC性能的差異。比特幣挖礦和ZKP生成之間的這種區別可能會導致出現多個贏家各自專攻不同的ZK后端的情況。

有多個玩家進入zk專用芯片領域。每個玩家都專注于改進證明生成的兩個主要操作之一：多標度乘法和數論轉換。最后一個走出隱身狀態的公司是Cysic，它在ETH丹佛會議期間宣布了其600萬美元的種子輪。Cysic專注于通過使用FPGA來加速MSM.FPGA的靈活性可以使其支持不同的ZK系統。這種方法與Ulventanna相似，后者在1月份宣布了1500萬美元的種子輪融資。zk芯片開發領域的其他參與者包括Ingonyama，它發布了一個名為Icicle?的庫，可以加速MSM和NTT在GPU上的計算，還有Accseal、Snarkify?和Supranational.除了這個名單之外，還有其他隱形公司和Web3領域的知名人士的研究工作。后者的例子包括JumpCrypto的CycloneMSM?實施，使用FPGA加速MSM計算，以及JaneStreet的FPGA實施，加速MSM和NTT.

由于ZKP加速的重要性不斷增加，并且需要對不同的實現方式進行公平的評估，ZPrize?等競賽正在成為推動該領域發展的重要場所。2022年的比賽有超過400萬美元的獎金。

可用的教育資源

在本節中，我們結合了一份教育資源的清單，幫助建設者們了解ZKP領域。這絕不是一個詳盡的清單，因為有很多關于主題的優秀內容。zk資源的綜合清單可以在這里和這里找到。這是為建立一個友好的方式讓開發者了解這個空間所做的努力。

對于那些有興趣了解ZKP的基礎知識和它們如何工作的人來說，首先要檢查的資源之一是來自zkHack的zk白板會議。特別是DanBoneh的三個介紹性課程，對于有一些基本數學知識的人來說是足夠高層次的。該系列的其余部分涉及空間的特定主題。

對于那些想直接使用zk工具的開發者來說，這本優秀的初學者指南很有用。之后，Poseidon實驗室創建了一個Appliedzkworkshop，指導開發者使用Circom和Hardhat構建一個zk應用程序。其他針對其他zk語言和框架的研討會包括這個使用Noir的研討會和這個使用RiscZero的研討會。

結論

作為ZKP潛力的信徒，Alliance努力幫助更多的建設者進入這一領域，并為他們提供資金和指導。在Web3中，ZKP已經在解決阻礙主流采用的可擴展性和隱私性的痛點。在Web2中，ZKP可以將信任最小化的精神帶到廣泛的業務范圍，包括SaaS、保險和信用評分。本文旨在幫助建設者將ZKP整合到其產品中。文章通過規劃ZKP集成的不同階段，帶領建設者們走過了不同的階段，涵蓋了實施方案，以及部署后的性能改進。

我們鼓勵建設者進一步與我們聯系，并一起討論ZKP空間中的創業想法。

作者要感謝ShumoChu、AnishMohammed、O(1)Labs?的成員對本文進行了富有成效的討論和反饋。

Tags：ZKPROLLROLARKZKP幣TrollCoinroll幣能出坐騎嗎ark幣創始人

以太坊交易