科普 | 千层蛋糕：Layer-2 指南

来源/以太坊爱好者

哈咯。

我是 Zac，Aztec 团队的 CEO。咱们发明晰通用型 ZK-SNARK 技能 Plonk 和 zk.money，这是国际上第一个主打隐私的 rollup 实例，也是新近部署到以太坊区块链上的新式 Layer-2 实例之一。

Layer-2 的国际正变得让人目眩神迷，由于许多团队都在稳步将抱负化为现实并发动自己的产品。

不过，假如你并不是扎根于这个生态的人员，想必你也需求一些导航才能穿过这片森林。

令人失望的是，许多在向咱们解释 Layer-2 技能的人都有利益相关，并且对某些技能怀有成见（没错便是他们自己在用的那种！）。

那我跟他们有什么不同吗？没有！我也相同有成见，但我会事前告诉你，而不会假装公平，你觉得怎么？

我会尽我所能给你一个相对平衡的视角。根据区块链的 密码学/扩展计划 的国际很小，每个开辟其鸿沟的团队都值得咱们尊敬。所以咱们来好好研究一下吧！

什么是 “Layer-2 计划”，有何意义？

以太坊 1.0 的业务吞吐量是很有限的，这也导致了发送业务的价值异常昂扬。

以太坊业务的主要价值来源于：

状况存储项变更的本钱

业务数据的本钱

核算本钱

Layer-2 计划则把上述的一项或多项外包给一个依靠于以太坊的次级网络。

一般来说咱们把 Layer-2 计划分为两类，各有各的安全要求和取舍：optimistic rollup和zk rollup。Aztec 正在界说第三种类别：private rollup。

Optimistic Rollup

Optimistic rollup 就像是以太坊区块链的缩影。它有自己的一个网络，也承载智能合约和业务。

Optimistic rollup 计划会定期播送其业务区块到 Layer-1 的某个智能合约中。这些 “区块” 包括且仅仅包括该 Optimistic rollup 体系中产生的业务的数据。这个位于 Layer-1 的智能合约也不履行任何核算或更新存储项。这就大幅降低了发布一个区块的开支。

之所以称作 “optimistic”，是由于这样的体系假设了发布出来的 L2 区块中的每一笔业务都是有用的 —— 智能合约不会直接检查它们的有用性。

相反，假如某个用户认为某笔业务是不正确的（例如导致了多重支付），他们可以发布一条 “诈骗证明（fraud-proof）”。Layer-1 上的智能合约可以运用该 rollup 现已发布的数据来验证被指控的业务的有用性。

诈骗证明自身的开支是很大的，但只需求在疑似产生歹意行为的时候才需求履行。

假如歹意行为被坐实，那么发布了这个 optimistic rollup 区块的主体（一般来说称为 “验证者”）就会丢失他们事前锁定的密码学钱银。

Optimistic rollup 依靠于这种经济学的共识来确保业务都是正确的。

从 Optimistic rollup 中取款的时刻一般比较长（例如 1 周）。这是由于业务被揭露以后，用户要等候看是否有人指控产生了歹意行为。（有点像婚礼上牧师会问 “是否有人对立这门婚事……” 然后咱们陷入为难的沉默）

- 等候诈骗证明会大幅拖慢取款的速度 -

在 Optimistic rollup 上履职业务的主要本钱来自于要把这些业务的数据发到底层链上的本钱。这一数据可得性问题是一切 rollup 都共有的，既包括 optimistic，也包括其他类型的。为了防止资金被冻住，用户有必要可以拜访到一个 rollup 自始至终的一切业务数据。要么这些数据要发到 layer1 上，要么用户就需求额定的信赖（例如，信赖侧链会揭露这些数据）。

在本文编撰之时，假如你所在的 rollup 不会揭露你的业务数据到链上，那你就得寄期望于中心化的服务商不要冻住你的资金了。（译者注：这种说法有点莫名其妙，假如一个 optimistic rollup 不发布业务数据到链上，那它就不叫 optimistic rollup，叫 Plasma。）

优点：

功用丰厚。可以仿制 Eth1.0 的架构并支撑智能合约

比较 zk-rollup 更容易开发和部署

缺点：

资金退出的时延较长。从业务被揭露到业务获得终局性需求等候约 1 周的时刻。

资金退出时刻长的不便可以用承销商来缓解（便是收取少数费用给你供给 L1 资金的流动性供给者……）

ZK Rollup

核算和状况存储都由二级网络来承当。

L2 将业务数据连带相关的有用性证明一同播送到 L1 主网上。所谓 “有用性证明”，便是这些业务有用性的数学证明。一批的 L2 业务都被汇总（roll up）成一笔发往 L1 某个智能合约的业务。

“ZK” 这个前缀指的是 “零常识证明（zero knowledge）”，不过，zk rollup 往往不能维护隐私 —— 一切的业务都会默认揭露，就像 Optimistic rollup 相同。运用 “zk” 这个前缀是由于这些体系所依靠的有用性证明往往是用零常识证明体系来生成的（例如 ZK-SNARK 或许 ZK-STARK）。

这种计划的优点在于，存储项更新和核算的开支都从以太坊主链上移除了，并且，也不需求乐观地假设播送出来的业务是正确的，只要证明是有用的，你就知道这些业务是有用的。

这也意味着，取款时刻可以比 Optimistic rollup 类的体系快得多，所需的信赖假设也更少。

但房间里的大象是，零常识证明给一笔业务附加了惊人的核算开支。

为一段核算生成一个零常识证明的核算开支大约是直接运行这段核算的 100 万倍！这是一个大略的估量，实践情形或许因原核算自身的特色而有很大不同，但关于 Solidity 智能合约类型的核算程序来说，（这个估量）是大体精确的。

ZK rollup 体系的应对办法是将建构证明的使命委托给具有很多核算资源的第三方，称为 “rollup 供货商”。用户要依靠这些第三方服务来为他们创立买卖。Rollup 供货商可以审查或许抢跑这些业务，就像以太坊的矿工可以做的那样。所需的核算力越多，有能力充当供货商的主体就越少，所以咱们有必要从协议架构上充分考虑审查问题。

巨大的核算开支也给智能合约的移植带来了一些问题。彻底兼容 EVM 是咱们的方针，那就有必要处理这 100 万倍的减速效果。EVM 对 SNARK 极度不友好，由于其字长是 256 位的，并且原生支撑 SHA3 和其它对 SNARK 不友好的哈希算法。即便可以把生成证明的核算开支外包给具有很多核算资源的主题，或许也是不够的。一种或许的办法是把 zkSNARK 的证明器算法直接写到 FPGA 硬件或许 ASIC 中。那么供给商就需求这种硬件来建构证明。

- 零常识证明的建构比起运行一个普通程序要慢得多。咱们的 Plonk 和 Pollkup 研究现已把 SNARK 的速度提高了一个量级，但 zk rollup 比较 optimistic rollup 依然面对功能瓶颈。-

一般来说，SNARK 和 STARK 的编程言语都不得不适应底层证明体系的低效率。这些言语在完成变长的循环和动态内存拜访（比如动态的数组和向量）时都会遇到困难。咱们最新的 Plookup 研究缓解了某些问题，也还谈不上解决了一切问题。

这就意味着 zk rollup 需求开发者把他们的合约移植成定制化的编程言语（比如 Starkware 的 Cairo）。

关于不以彻底兼容 EVM 为方针的 zk rollup 来说，优点是转账变得更廉价。假如无需遵循 EVM 的语义，就可以降低根本转账的播送数据量。Hermes network 便是这样做的。

优点：

买卖的价值或许比 optimistic rollup 更廉价

不需求诈骗证明，取款更快

缺点：

比之 optimistic rollup，添加功用更慢

依靠于运用定制化硬件的第三方

或许需求功用更优先的定制化编程言语。

Private rollup

Aztec 现已在 2021 年 3 月推出了隐私 rollup。你可以把你的 ETH 封装到一个 privacy shield 中，并运用咱们的在线隐私钱包 zk.money 来发送隐私买卖。

隐私 rollup 运用与 zk rollup 十分相似的技能，但特色彻底不同。隐私 rollup 的架构是为了给 L2 的每一个用户供给强壮的隐私确保。用户都是匿名持有资金。在运行买卖的时候，发送者和接收者都是匿名的，并且转账金额也是加密的。

咱们运用的是最先进的零常识证明体系 Plonk。咱们在 2019 年发明晰 Plonk，它很快就在运用零常识证明并在区块链上做开发的团队间成了职业标准。

在规划上就确保隐私性需求与 zk rollup 截然不同的 rollup 架构。咱们采用了隐私优先的路径，由于咱们知道，有了一个揭露的 L2，再想植入可编程的隐私性，就往往需求牺牲用户体会或急进地重构整个协议。

当前根据以太坊的隐私解决计划是混币器（mixer）。混币器可以匿名化用户的资金数额，但除此之外用户有限。咱们的彻底版别的隐私型 layer-2 能做得更多：

彻底可编程的隐私型智能合约。隐私钱银因此有更高档的买卖逻辑

NFT 的荫蔽一切权

NFT 的属功可以彻底荫蔽，仅对一切者可见

反洗钱和 KYC 检查可以直接编程到隐私 token /dApp 中（例如 KYC token —— 你可以跟可信的对手方买卖，而无需知道他们的真实身份）

隐私性 DeFi！这是个很大主题，需求专门写一篇文章来说（在写了在写了……）

只要一开始就把隐私放在首位，才有或许获得这些优点。协议的业务和状况形式也有必要规划成与隐私特性相兼容。

优点：

买卖是荫蔽的。用户的金融活动不会露出给第三方

Rollup 供货商也不能审查或许抢跑买卖。对他们来说，每一笔买卖就像一个随机数字的列表

不需求诈骗证明，取款很快

用户可以单方面取款，无需第三方协助履行核算

缺点：

比揭露通明的 L2 更贵（但比主网廉价），直至 数据可得性计划/ Eth 2.0 推出

用户有必要在本地构建荫蔽买卖的零常识依据。无法委托给第三方。所用的零常识证明体系有必要快如闪电

比较 zk rollup 和 optimistic rollup，添加功用更慢，由于客户端的依据构建功能限制。可编程功可以完成，但彻底的 EVM 兼容仍需尽力

状况形式有所不同。价值有必要表示为像比特币 UTXO 那样的 “支票（note）”，而无法运用以太坊的账户形式。当然在应用层可以抽象掉。

在喧嚣中分辩真知

L2 的国际充溢竞赛，赶在同行前推出产品并获得用户要承受巨大的压力。

压力之下，人们或许会偷工减料或添加额定的信赖假设，毕竟用户很难感知到这些。

现在，最大的应战是数据可得性（data availability）。

假如 L2 不把业务数据发布到区块链上，L2 的控制者就可以冻住用户的资金。

每个开发 L2 计划的团队都期望开辟这类技能的鸿沟。尽管值得敬佩，但他们也或许用技能黑话来掩盖协议的缺点。

假如你在考虑运用某个 L2 产品，其开发者们应该能充分地答复这些问题：

这种 L2 怎么完成数据可得性？假如其买卖本钱比普通的 ETH 转账低 20 倍以上，他们很或许没有把买卖的数据揭露到区块链上

用户可不可以仅凭自己在以太坊区块链上获得的信息，就发起单方面的取款呢？

这个产品有无揭露的技能描绘，可供第三方来验证呢？

此外，对 zk rollup 计划和隐私 rollup 计划，你还应该问下来问题：

链上的数据是否可证明是有用的？一切数据都会作为揭露输入，放到 rollup 的电路中吗？

该 L2 是否依靠于中心化的核算集群来生产 rollup？假如是的话，开发团队有无防备审查和抢跑的计划？假如是彻底去中心化的，或许会有多少供货商？

证明构建的算法是否揭露、可审计？

未来的形状

接下来的 12 个月或许是 L2 国际里最激动人心的时刻。无数的协议将正式发动，奏响整个职业比年的深入研究和工程的强音。

作为 Aztec，咱们的方针是开发出可编程的隐私智能合约计划。咱们的旗舰 Plonk 编程言语 Noir，可以将高档程序编译成高度优化的 ZKSNARK 电路，这些电路快到可以在浏览器里构造证明。这一技能回事咱们的 Aztec 3.0 rollup 架构的里程碑，用户将能运用 Noir 来自界说电路。

结合可编程的隐私性和可扩展性，咱们正为 web3 技能范式的遍及补上最后一块评图。至少，web3 将能跟传统的 web2 技能在同一个平台上竞赛。咱们期望隐私密码学钱银的 NFT 可以以维护隐私的形式与 DeFi 协议和更传统的金融服务交互，然后培育起丰厚的生态。

咱们现已用 zk.money 证明晰，这并不是什么梦想。咱们现已开发出了远大前景所需的关键技能，现在咱们要脚踏实地完成咱们的愿景。

（完）