摘要

成功解决公共区块链规模问题的方法不仅是高交易吞吐量，还必须将其定义为系统在不牺牲去中心化的情况下满足数百万用户需求的能力。大规模应用加密货币的先决条件包括高速，低成本，流畅的用户体验和隐私。

在没有技术突破的情况下，现有的缩放解决方案必须对这些要求中的一项或多项做出重大折衷。幸运的是，零知识证明的最新进展为解决此问题开辟了新的可能性。

如今我们在Matter Labs兴奋地展示了对zkSync的愿景：基于ZK Rollup以太坊的不信任缩放和隐私解决方案，重点在于出色的用户和开发人员体验，也很自豪地宣布推出zkSync测试网。

ZK Sync旨在为以太坊带来每秒数千个交易（TPS）的VISA规模吞吐量，同时保持资金与基础L1帐户一样安全，并保持高度的防审查性。该协议的另一个重要方面是其超低延迟：ZK Sync中的事务将提供即时的经济确定性。

我们赞同精益的设计理念，并支持逐步的协议演进，这种演进循序渐进地将功能逐一引入，从而在每一步为用户带来最切实的价值。这就是为什么我们从基础（安全性）开始，首先关注基本的可伸缩性（代币传输），然后关注可编程性（智能合约），最后关注隐私。

  

ZK Sync新功能一览：

相当于L1的绝对安全性VISA规模吞吐量纳秒确认继承权和抵制DoS保护隐私的智能合约

区块链扩展中最难的问题

实际上，加密货币仍主要用于投机活动。如果没有真正的大规模采用，魔幻般的互联网货币，DeFi，Web 3.0和所有其他有前途的区块链创意的价值主张将在很大程度上无法实现。可扩展性不仅是交易吞吐量，而且是区块链系统满足数百万用户需求的整体准备状态。
让我们考虑一下将区块链革命推向大众的三个最困难的问题。

挑战1：保持权力下放

现实世界中的应用要求交易吞吐量比当今最去中心化的区块链可以处理的吞吐量高一个数量级。比特币具有7 TPS的能力，以太坊具有15 TPS的能力，而VISA的平均处理能力就高达2000 TPS。但是比特币和以太坊的缓慢是一个功能，而不是错误！通过减少验证器的数量来提高速度非常容易。两个领先的区块链网络都可以夸耀的大量完整节点是它们最关键的资产。这提供了弹性，实际上是使这些区块链与现有金融机构根本不同的原因。

一种流行的可扩展性替代方法是要求每个验证器仅检查部分相关区块链流量，而不是全部。但这不可避免地引入了额外的信任假设，并将这种系统置于非常不稳定的博弈论基础上。

挑战2：启用隐私

大多数人都不愿将大部分财富转移到一个暴露于公众的盒子中。如果接收者能够立即获悉他们有多少钱，那么例如委内瑞拉危险场所的居民就不太可能用加密货币向当地商人付款。如果创建或使用色情内容的人有可能将其与现实世界的身份相关联，则他们不太可能使用加密货币来代替Paypal。此外，在缺乏链上机密性的情况下，GDPR和CCPA等隐私法规将驱使普通企业从公共区块链转向更集中的支付和金融中心，这使我们日趋无现金的社会变成了梦境。

隐私是大规模应用的绝对前提。由于以下几个因素，在公共区块链中实现隐私特别困难：

1.默认情况下，必须将隐私作为集成协议功能。引用维塔利克·布特林（Vitalik Buterin）的话：“如果你的隐私模型设置了中等的匿名性，那么实际上它的设置就很小。如果隐私模型的匿名集很小，那么它的匿名集为1。只有全局匿名集才真正可靠。

2.要默认情况下启用隐私，尽管增加了大量计算开销，但私人交易成本必须非常低。

3.隐私模型必须支持可编程性，因为现实中的用例不仅需要转移，还需要帐户恢复，多次签名，支出限制等。

挑战3：达到UX期望

现实是残酷的：产品经理清楚地知道，与其他选择相比，用户通常更喜欢即时满足的更轻松，更轻量级的体验，而常常忽略了长尾风险。它需要非凡的力量来诱使用户从熟悉的事物切换到新事物。对于某些人来说，加密货币的价值主张（激进的自我拥有，抗审查性，稳健的货币）就足够了。但是那些人可能已经加入了。我们需要数百万甚至数十亿美元才能达到加密货币兑现承诺的必要规模。

为了吸引数百万主流用户，我们需要为他们提供不仅符合这些期望，而且超出期望的用户体验。我们必须这样做，以提供全新的可能性，同时保留人们已经习惯的传统Web产品的所有便利属性。一切都必须快速，简单，直观且容错。

ZkSync的承诺：不信任，机密且快速。

在本文中，我们将探讨所提议协议的高级体系结构，设计原则和属性。

1.安全性：扎根于ZK Rollup

ZK Sync建立在ZK Rollup概念之上。简而言之，ZK Rollup是一种L2伸缩解决方案，其中所有资金都由主链上的智能合约持有，而计算和存储则在链下进行。对于每个汇总块，将通过主链合同生成并验证状态转换零知识证明（SNARK）。该SNARK包含汇总块中每个单个交易的有效性的证明。此外，每个区块的公共数据更新都用廉价的呼叫数据通过主链网络发布。

该体系结构提供以下保证：
a) 汇总验证器永远不会破坏状态或窃取资金（与侧链不同）。
b) 即使验证者因数据可用而停止合作，用户也始终可以从汇总中检索资金（与Plasma不同）。
c) 得益于有效性证明，用户和单个受信任的第三方都不必在线监视汇总块，以防止欺诈。

换句话说，ZK汇总严格继承了基础L1的安全性保证，以及以太坊社区和现有基础设施的丰富性，是我们决定专注于L2解决方案而不是尝试构建自己的L1的决定性因素。

在以太坊基金会的资助下，Matter Labs在过去的一年中一直致力于ZK汇总技术。自第一个原型发布以来，我们已经完全重写了架构和ZK电路。最新版本结合了我们从社区收到的反馈，并实现了各种可用性和性能改进。

2.可用性：实时交易

我们预计ZK证明者技术的最新发展将达到证明时间，这将使ZK Rollup块在不到一分钟的时间内生产出来。一旦将区块证明提交给主链并通过Rollup智能合约进行了验证，该区块中的所有交易都将最终确定，并受到L1重组抵抗的保证。

但是在零售和在线支付中，哪怕以太坊的15秒区块延迟也可能太长。我们如何做得更好？

方法如下：

在ZK Sync中，我们引入了即时发送收据。选择参加ZK Sync区块生产的验证程序将必须在主网上向ZK Sync智能合约发布重要的安全保证金。验证程序运行的共识会向用户提供亚秒级的确认，确认其交易将包含在下一个ZK Sync区块中，并由绝大多数参与者（按权益加权）签署。

如果产生了新的ZK Sync块并将其提交到主链，则无法还原它。但是，如果其中不包含承诺的交易，则原始收据的签名者和新区块的签名者交集的安全保证金将被削减。保证此交集拥有超过1/3的股份。这保证了至少有三分之二的安全绑定，并且只有恶意用户会受到惩罚。

大幅度削减的资金中的一部分将用于补偿接收方，其余的将被烧掉。削减可以由用户自己触发，也可以由已签署原始tx收据共识中的任何诚实参与者触发。后者将自然而然地称其为欺诈：如果他们参与了随后的区块生产，那么他们也可以被削减。因此，共识中至少有一个诚实的参与者足以进行欺诈检测。

让我们检查一下该协议的属性。我们将零确认交易称为具有即时收据的交易，该收据是尚未发布到以太坊的ZK Sync块的即时收据。在ZK Sync上花费两次零确认交易只有在非常短的几分钟内才有可能被利用，直到在主链上发布块证明为止。此外，恶意验证者将不得不诱使用户接受价值超过安全保证金三分之二的零确认交易。

从买卖双方的角度来看，零确认交易是：
1.瞬间。
2.可能可逆，但仅在几分钟内。
3.仅在同时攻击成千上万的商人时可逆，而不是一一对应。

与信用卡付款相比，这是一个巨大的用户体验和安全性改进！让我们从不同参与者的角度来看它：

1.带有实物商品的在线商店可能会立即向用户确认购买，但不受攻击，因为他们将在发货前等待完整的确认。
2.当处理较小的数量时，物理存储几乎不容易受到攻击。即使以即时收据的形式出售Macbook，也要花费数千名协调一致的物理攻击者在不同的位置，以及大多数验证程序的合谋，才能使你不亏本。

让我们深入研究。为了量化风险，可以将债券提供的经济担保与工作量证明区块链提供的结算担保进行比较。例如，Coinbase需要35 tx的确认，然后才能考虑在以太坊上进行最终入金。通过对从AWS租用的GPU进行51％攻击10分钟来恢复此交易的成本约为60,000美元。假设有数百万美元的安全保证金，还原即时的ZK Sync收费会贵得多。因此，即时收费通常可能具有类似ETH经济终结的特性。

请务必注意，即时发送收据还可以防止ETH区块重组，因为它们的有效性与以太坊无关。此外，以太坊的结算保证与ZK Sync的结算保证结合在一起。

3.活力：审查制度和拒绝服务攻击
任何扩展解决方案的必然特性是，大多数用户无法参与验证所有交易量。这导致所有L2可伸缩性解决方案（等离子或汇总中的验证器，闪电集线器等）中都需要专门的角色。这些角色对安全性和性能提出的更高要求带来了集中化和审查制度的风险。

从长远来看，ZK Sync设计通过引入两个不同的角色（验证者和守护者）来解决此问题。

验证者
验证者负责将交易打包到块中并为其生成零知识证明。他们参加了共识，因此必须为即时的tx收款贡献一部分安全保证金。它们的节点必须在具有良好网络带宽的安全环境中运行。或者，他们可以选择在不安全的云中生成ZK证明。

验证者将获得交易费，交易费可以用任何交易代币支付（为最终用户提供最大便利）。为了快速保持ZK Sync共识，任何时候都仅允许有限数量的验证器。但是，请记住，ZK Rollup 验证器是完全不可信的。在ZK Sync中，恶意验证者既不能危害系统的安全性，也不能欺骗诚实的验证者进入严苛的条件。因此，与乐观汇总不同，监护人可以频繁轮换一小组验证者。同时，只要超过三分之二的提名验证人是诚实的和可操作的，就可以确保共识的活力。

守护者
监护人构成ZK Sync代币持有者的大多数，他们将其代币份额抵押给提名验证者。 守护者的目的是监视对等事务流量，检测审查行为，并确保不指定受审查的验证者。 守护者的动机是通过确保ZK Sync保持对DoS和审查的抵制来保护其股份的价值。

尽管将投票密钥保持在线状态，但ZK Sync中的守护者从未遭受过大幅削减或盗窃的风险（所有权密钥可以保存在冷藏库中）。他们还可以选择仅监视一部分流量。因此，它们的节点可以在普通笔记本电脑或云服务器上运行，即不需要专门的验证器服务。

监护人将获得ZK Sync本机代币中来自验证者的费用。他们的收益和股份被锁定了很长一段时间，以激励长期ZK Sync代币价值优先于短期收益。

4.可编程性和隐私性：构建基块
实现高效的可编程性和隐私性是ZK Sync愿景中最困难的部分。对于适当的零知识证明系统和智能合约编程框架，都需要扎实的设计和实现。

4.1.  RedShift：透明的通用SNARK
实施基于ZK的智能合约，无论是透明的还是保留隐私的，最大障碍是缺乏有效的具有递归组合的通用ZK证明系统。 Groth16是当时最高效的ZK SNARK，它需要特定于应用程序的受信任设置，并且在应用递归时会失去很多效率。另一方面，基于FRI的STARK需要高度专业的技能来构造并且缺乏任意通用电路的有效递归组合。

这是我们开展RedShift的主要动机之一：从基于FRI的多项式承诺方案派生新的透明，有效和完全简洁的SNARK。我们目前正在整合同行评审和社区反馈，然后将RedShift部署为ZK Sync的核心部分。

Redshift是一种通用的SNARK，它使我们能够使用它方便地将任意程序转换为可证明的ZK电路。异构电路（例如不同的智能合约）可以在一个SNARK中递归组成。由于RedShift仅依赖于抗冲突哈希函数，因此可以认为是后量子安全的。

4.2. Zinc：零知识智能合约框架

在设计ZK Sync的可编程性模型时，我们致力于将多个正交目标进行雄心勃勃的组合：高扩展性，支持公共和私人智能合约。

最重要的是学习曲线平坦且易于发展。许多杰出的项目都拥有其中一些目标，但没有一个项目能够一次实现所有这些目标。例如，ZkVM提供了用于通用机密智能合约的虚拟机，但基于防弹功能，不支持简洁的证据聚合。 ZEXE具有出色的隐私保护设计，但需要深入了解零知识电路的细节和权衡取舍，这对更广泛的程序员圈子提出了更高的入门门槛。其他更简单的ZK编程框架缺乏安全智能合约开发所需的表达性或功能。

这导致我们决定创建Zinc：一个安全，简单，高效的编程框架和基于VM的运行时环境，专门为基于ZKP的智能合约而设计。

SyncVM的关键设计优先事项是安全性和开发人员友好性。用于定义合同的程序设计语言严格遵循简化的Rust语法，并从Solidity和Libra的Move中借鉴了智能合约程序设计元素。不需要开发人员深入了解ZKP域的细节即可编写高效且安全的程序。实际上，具有Rust，Solidity，C ++或类似编程语言背景的开发人员可以在一天内学习Zinc。

原文链接：https://medium.com/matter-labs/introducing-zk-sync-the-missing-link-to-mass-adoption-of-ethereum-14c9cea83f58