Foresight Ventures: 詳解 zk, zkVM, zkEVM 及其未來

作者：SuningYao，ForesightVentures

TL;DR

零知識證明技術，可以保證計算的完整性、正確性和隱私，在區塊鏈擴容和隱私中有應用。

zk-SNARK和zk-STARK各有優點，而它們的合理結合更加有潛力。

zkVM能賦予應用零知識證明能力，zkVM分為使用主流、EVM或全新指令集。

EVM的適配包括EVM兼容性、等同性和Specification上的適配。

zkEVM是兼容EVM而又零知識證明友好的環境，主要分為原生和編譯流派。

基于原生的zkEVM是以太坊和區塊鏈的未來。

支持Solidity生態的通用zkVM是Web3的未來。

零知識證明

不嚴謹但簡單易懂地來介紹一下零知識證明：

你在上小學。老師是驗證者，你作為學生是證明者。你如何證明你掌握了一元二次方程的求解公式呢？那就需要數學考試。

老師會隨機出10道相關的題目，而你如果掌握了，則可以把他們都做出來。在這個過程中，你沒有背誦或者默寫求解公式的具體內容，但是老師卻可以很簡單地驗證你的知識掌握程度。

其實這就是Tartaglia與Cardano(對的，就是這個名字)爭奪誰是一元三次方程發現者時所采用的方法。他們都不想告訴對方自己公式的內容，但是通過做題，就可以很容易地驗證且過程中不透露知識地，判斷他們是否掌握了這一知識。

灰度投資向美SEC提交其針對ZEN、XLM和ZEC信托產品的Form10注冊文件:5月5日消息，灰度投資（Grayscale Investments）向美國證券交易委員會（SEC）就 Grayscale Horizen Trust、Grayscale Stellar Lumens Trust, 和 Grayscale Zcash Trust 提交 Form 10 注冊文件，使得這些產品成為 SEC 報告公司。

Grayscale Investments 目前擁有六種 SEC 報告產品，分別為 Grayscale Bitcoin Trust、Grayscale Bitcoin Cash Trust、Grayscale Digital Large Cap Fund、Grayscale Ethereum Trust、Grayscale Ethereum Classic Trust 和 Grayscale Litecoin Trust。[2022/5/5 2:52:58]

零知識證明有什么用呢？用處就是，整個過程可以節省計算算力和壓縮鏈上空間，同時也可以對隱私有保護，符合區塊鏈去信任的特點以及密碼學的基因。

SNARK和STARK

區塊鏈領域中所用到或者提到的「zk」通常不是真正的零知識證明，而經常是ValidityProof。由于相關詞匯的混亂，所以本文中的某些地方會延續這些「誤用」。

WAGMI United向英國足球俱樂部Bradford Cit提出收購要約:12月18日消息，由美國加密貨幣投資者組成的WAGMI United向英國二級聯賽俱樂部布拉德福德城（Bradford City）提出了收購要約。足球俱樂部主席Stefan Rupp證實了該消息。WAGMI United還打算依賴NFT作為所有權。WAGMI目前還沒有完全與Bradford City達成交易。WAGMI成員包括NBA球隊費城76人隊的總裁Daryl Morey、商人Gary Vaynerchuk和TikTok名人Bryce Hall等。（Crypto News Flash）[2021/12/18 7:48:03]

在目前的區塊鏈版圖中，zk可以說是區塊鏈擴容(不zk的ValidityProof)與隱私技術(真正的zk)的最前沿與最優解決方案，在Tornado.cash、ZCash、zkSync、zk.money、Filecoin和Mina等項目中都有使用。

目前的技術方案主要分為SNARK以及STARK兩類。STARK中的S代表可擴展的，意味著被證明的語句有重復的結構，而SNARK支持任意的電路，這些電路被預處理以實現簡潔的證明。其中對SNARK的技術實踐占據了主導地位，STARK主要有StarkWare在已上線的產品中大規模采用。以下是它們之間的對比。

從Meme的角度而言，STARK比SNARK優秀(?，StarWars，StarTrek)。

dForce社區發起DIP015投票，提議調整USX和EUX鑄造費用:11月7日消息，dForce社區發起DIP015投票，提議調整USX和EUX鑄造費用。提案建議將以太坊、Arbitrium和BSC上dForce Lending的USX和EUR鑄造費調整為每年1.5%。投票期限北京時間為11月7日18:00至11月10日18:00.

據介紹，USX和EUR是dForce上超額抵押穩定幣，目前鑄造費調整為每年13%，高于DAI和MIM。為了使鑄造與市場保持一致，目前的收費水平過高，為采用設置了不必要的障礙。[2021/11/7 6:37:15]

如果SNARK是以太坊2.0的未來，那么STARK就會是以太坊3.0的未來。正經的來說，STARK的優勢在于：

更低的gas(更能scale)

更大的batchsize(更能scale*2)

更快的證明(更能scale*3)

沒有trustedsetup(生成的參數僅對當前的應用有效，若出現了修改需要重新setup)

后量子安全

但是STARK生成的證明的體積更大，并且還大不少，由于比如WASM的一些限制，可能會在構建時需要額外的操作(這里是SNARK)。Mir前段時間在Starky給出了一個AIR-basedSTARK的實踐，是Plonky2的一部分(Plonky2和Starky的關系比較復雜。。。)。我個人認為，體積大可以通過各種手法來優化，但是算法本身的時間復雜度是很難再進一步壓縮的。

“Fight for the Future”呼吁人們聯系參議員支持Wyden-Toomey-Lummis修正案:“Fight for the Future（為未來而戰）”社區創建一個Dashboard“Red Alert”，加密支持者只需點擊幾下就可以聯系到每一位參議員。隨著關于美國國稅局將加密市場參與者作為“經紀人”征稅提案的辯論愈演愈烈，“Fight for the Future”邀請所有美國人打電話呼呼參議院代表支持基礎設施法案（H.R.3684）中關于加密貨幣規定的Wyden-Toomey-Lummis修正案。到目前為止，這是最“寬容”的修正案，旨在將PoW區塊鏈的礦工和PoS共識的質押者排除在新的稅收和會計要求之外。

此外，推特用戶還可以@參議員，以吸引他們對新提案的討論。支持者可以在“#DontKillCrypto”的標簽下傳播有關此行動的消息。（U.Today）[2021/8/8 1:42:17]

這些零知識證明技術可以通過合理的結合來構建更強大的應用。比如PolygonHermez就通過SNARK來證實STARK的正確性，從而減少最終發布證明時的gasfee。

總結來說，SNARK和STARK都是優秀的零知識證明技術，各有千秋，而它們的合理結合更加有潛力。

zkVM

前面所說到的Tornado.cash和zk.money類似都是僅支持轉賬操作的零知識證明應用，不支持通用的計算。類比來說，這些應用都只有比特幣的功能，遠遠不及以太坊的圖靈完備，更不要說建生態了(比特幣上的智能合約一直沒做出生態來)。

dForce創始人楊民道：DeFi項目創始人不應匿名:dForce創始人楊民道發推談及了自己對DeFi創始人是否應該匿名的看法。楊民道表示，看不到匿名構建DeFi有什么好處，DeFi項目內質押的都是真正的資產，用戶要求創始人擁有一定的聲譽并不過分，真實的身份能夠讓用戶更好地衡量某個項目。確實存在一些例外情況，比如一些開發者希望在一個高壓政權下做一些有趣的事情，但這種情況非常有限。中本聰是個圣人，不要一概而論。[2020/10/11]

zkVM就是一個由零知識證明來保證安全可驗證可信特性的虛擬機，簡單來說就是，輸入舊狀態和程序，返回新狀態。它能讓所有的應用都被賦予零知識證明的超能力。

Miden在ETHAmsterdam的演講用一張圖很好概括了zkVM到底是什么。

zkVM的優點：

易用：開發者不用學密碼學或者零知識開發就可以使用zkVM來運行程序保證計算安全(不代表完全無門檻)

通用：zkVM可以給任何程序和計算生成證明。

簡潔：相對比較少量constraints就可以描述整個VM(不用重復生成整個VM的電路)。

遞歸：免費的遞歸特性。和通用性一樣，對VM的驗證可以通過VM來進行。這個就挺好玩，比如你可以在zkVM里放一個zkVM，就類似StarkWare說的L3的概念。

zkVM的缺點:

計算架構特殊：并非所有零知識證明系統可以被用來做zkVM。

性能問題：電路需要優化，可以為特定計算進行針對性優化。

現在主流的zkVM有三大類，括號中是它們的指令集：主流(WASM，RISC-V)、EVM(EVMbytecode)、ZK-Optimized(全新指令集，針對零知識證明所優化，比如Cairo和zkSync)。以下是根據Miden在ETHAmsterdam的演講所整理的類型對比圖:

很多零知識證明開發生態所做的事情大多是讓開發者能用Circom庫(以及snarkyjs這種)或者其他新創造的語言(Leo或者Cairo這種語言都有奇奇怪怪的限制)來做通用zkDApp的開發，但是沒有像以太坊上用Solidity那么直接和易學。

除此之外，還有很多項目，比如zkSync，Scroll，或者Polygon旗下的好多家都在嘗試做zkEVM或者其他的zkVM。

EVM

EVM就是以太坊的虛擬機，也可以理解為運行智能合約的一套執行環境。

數年來，各個公鏈都在不停嘗試著去兼容EVM，從而接入到以太坊的開發生態當中。對于這個概念，衍生出了EVM兼容，等同和其他一些定義。

EVM兼容性：Solidity等語言層面的適配。

EVM等同性：EVM字節碼層面的適配。

EVMSpecification適配：也就是通常所說的真正的zkEVM，大多情況下甚至是向后兼容的優化后的超集，能提供賬戶抽象(就是每個賬戶都是一個智能合約)等EVM沒有提供的特性。

zkEVM

我們再來解讀一下zkEVM。定義上來說，zkEVM是一種兼容EVM同時又對零知識證明友好的虛擬機，能保證程序，操作，和輸入輸出等的完全正確性。

對于實現通用計算來說，要做zkEVM主要需要解決兩個難點:

a)電路復雜

不同的合約需要生成不同的電路，而且這些電路很「復雜」。

這方面主要就要靠各種優化了，比如Aleo(不過它不是directZK這一類。。。只是為了舉例說明優化)通過分布式Cluster來并發計算Proof，或者通過各種硬件上的優化來加速。

b)設計困難

zkEVM不止要對EVM進行重構，對以太坊的整體狀態轉換都要用零知識證明技術進行重構。

EVM設計的時候就沒想到后面要做zkEVM，造成了非常大的困難。導致了有兩個門派的路線，都在圖里了。

或者說按VM的架構來分，就長這樣(超級感謝ScrollTech的原圖總結！)。Opcode指的是EVMOpcode。其中StarkWare部分是用Warp來將Solidity轉成Cairo合約，或者直接用Cairo寫合約，一樣能獲得不錯的開發體驗和全套工具。

在開發者和用戶層面，這幾個方案其實我認為是基本無差別的，但是在基礎設施上，越靠右的方案EVM兼容性越好，可以無縫接入Geth等基礎設施，但開發進度基本上也越慢。

zkEVM和zkVM

zkEVM的存在我認為是在以太坊生態上去翻新和打補丁，能為以太坊及其生態的繁榮添磚加瓦，而zkVM的存在卻不一定是給以太坊做加強，同時也具有更大的想象力。

StarkNet的CairoVM盡管可能不是我想象中最完美的zkVM，但它能比EVM或者zkEVM干更多的事，同時這些不止是停留在EIP級別的功能拓展。CairoVM上可以跑機器學習模型，甚至現在還有機器學習模型平臺正在StarkNet上建設。

相比zkEVM，一個zkVM會更加容易被構建(無需擔心EVM的技術債)，更加靈活(無需擔心EVM的更新)，更加容易優化(電路和證明器的軟硬件優化比構建zkEVM簡單和便宜非常多)。

當然zkVM的一個最微小但很致命的缺點就是，如果zkVM無法支持EVM兼容(Solidity語言層面)，那么zkVM就很難像EVM一樣有最完備和成熟的Web3開發生態。

zkVM或許是更大的趨勢，能讓對EVM的縱向優化，變成EVM生態的橫向拓展，跳出了EVM的限制。

zkVM的未來

如果能有一種通用的zkVM能夠讓所有編程語言的智能合約，不止是Solidity，不止是Cairo，而是Rust、C++、Go，在零知識證明的加持下安全運行呢？(Stellar嘗試過，但失敗了。)

正如@kelvinfichter所說的：WhyzkEVMifzkMIPS？正如@KyleSamani所說的：EVMisabugnotafeature。WhyzkEVMifzkVM?

Winterfall或者Distaff或者MidenVM等zkVM都沒有做到非常好的開發友好度。Nervos有RISC-V的VM，但是Nervos沒有用零知識證明技術。

現狀下最優解的方案就是構建一個WASM或者RISC-V的zkVM，最好能支持Rust、Go、C++，甚至Solidity(zkSync好像可以立大功)等語言。如果有這么一個通用zkVM，那么對于zkEVM會是降維打擊。

Web3開發者的數量大概占所有開發者的0.07%，也就可以推斷出，Solidity開發者的數量實際上會比0.07%更少，會用Cairo寫合約或者用Leo寫電路就更少了。這樣完美的zkVM所針對的是幾乎100%的開發者，任何開發者用幾乎任何語言都可以得到一個完美的零知識運行環境。

如果Web3和Crypto有統治世界的一天，我認為絕對不會是EVM生態占據100%的所有開發者，而是所有的開發者會慢慢轉化為Web3和Crypto開發者。這就是通用的zkVM的絕妙之處。

原生zkEVM是區塊鏈的未來。

通用zkVM是Web3的未來。

Tags：ARKSTASTARSTARKMARK價格InstaraiseSTARLINKDOGE幣STARK幣

Pol幣