ROO:ZKSwap团队解读零知识证明算法之Bulletproofs：Range Proof（1）_Wormhole Finance

前言

Bulletproofs，又一个有意思的零知识证明算法，相信读者已经很熟悉它了。和zk-snark相比，它不需要可信设置；和zk-stark算法相比，它具有较小的proofsize。根据论文，它有两个方面的应用：

用于rangeproof；用于一般算术电路的零知识证明。下面，让我们先看一下Bulletproofs是如何高效的实现第一点。Rangeproof

1.预备知识

aL：表示向量{a1、a2……an}

2n：表示向量{20、21…2n-1}

<a、b>:表示向量内积∑ai*bi，结果是一个值

aob：向量对应位相乘，{a1*b1……anbn}，结果是一个向量

zkSync Era主网已恢复出块:4月1日消息，据 zkSync Era 区块链浏览器显示，zkSync Era 主网目前已恢复出块。此前报道，zkSync Era 主网今早疑似出现宕机情况，暂停出块时长约为 4 小时。[2023/4/1 13:39:14]

2.证明

Alice想要证明?v??=>则，需要证明一个relation得成立，如下所示：

{：V=?grhv?^v??}

public-xwitness-wrelation-R

即，对于公开信息x，Alice有隐私信息w，使得关系R成立。

令aL为金额v的在范围内的二进制形式，则aL={a1、a2……an}?{0,1}n，且满足<aL,2n?>=v。因此，证明者需要证明以下几个等式相等：

zkSync：将在核心虚拟机和证明者巩固和稳定后去中心化:金色财经报道，zkSync 发推特称，zkSync 的去中心化愿景很明确，定序器、ZK 证明者、zkPorter、社区治理以及 zkSync Era 网络的所有其他关键部分，将在核心虚拟机和证明者巩固和稳定后去中心化。

此前报道称，Matter Labs CEO Alex Gluchowski 表示，一旦想去中心化定序器，就需要代币，定序器将在一年左右的时间内去中心化。[2023/3/31 13:36:50]

等式(1)确保了承诺V和金额v的绑定关系，等式(2)确保了v的范围，等式(3)、(4)确保了aL?元素只属于{0,1}。等式(2)/(3)/(4)总共包含了2n+1个约束，其中公式(2)1个，公式(3)(4)各n个。接下来，为了效率，我们需要把2n+1个约束转换成1个约束。

ZigZag：将于zkSync 2.0发布后同步上线新版ZigZag DEX:8月1日消息，ZigZag表示，作为zkSync 1.0网络上唯一DEX，将于zkSync 2.0发布后同步上线新版ZigZag DEX，陆续部署功能更全面的智能合约，包括同时下达多个限价单，保证金交易，永续合约，流动池质押等功能。[2022/8/1 2:51:38]

3.2n+1个约束转换成1个约束

=>预备：从Zp?中任意选择一个数y，则b=0n是等式<b,yn>=0成立的充分条件；因为当b!=0n，等式成立的概率仅有n/p，p是有限域，远大于n。因此，如果有<b,yn>=0，那么验证者愿意相信b!=0n?。

利用这个理论，我们把等式(2)/(3)/(4)做以下转换：

ZKSwap平台TVL占据Layer2全网73.6%的市场份额:据L2beat数据显示，ZKSwap平台TVL超8亿，占据Layer2全网73.6%市场份额。

自ZKSwap主网上线以来，ZKSwap平台已开启流动性挖矿、交易挖矿、持币生息、单币挖矿等活动。更多详情请查看原文[2021/4/19 20:36:17]

验证者随机选取一个数y发送给证明者证明者要证明：

同理，等式(5)确保了v的范围，等式(6)(7)确保了aL?元素只属于{0,1}。此时2n+1个约束转换成3个约束，接下来，还需要做进一步的处理：

验证者随机选取一个数z发送给证明者证明者利用z对公式(5)(6)(7)进行线性组合，得到如下公式：z2**<aL、2n?>+z*<aL?-1n-aR、yn>+<aL、aR?oyn?>=z2?*v(8)

至此，我们已经把2n+1个约束转换成1个约束。下面我们对公式(8)做进一步的优化，把三个点积优化成1个点积。

4.三个点积优化成1个点积

=>令

L=aL?-z*1n

R=(aR?+z*1n)oyn?+z2?*2n

δ=(z–z2)*<1n,yn?>-z3*<1n,2n?>

5.验证：

证明者把L/R/V发送给验证者；验证者事先算好δ验证者根据L算出来aL，根据<aL,2n?>=v算出v验证者根据L、R、v、δ验证等式<L,R>=z2?*v+δ因为y，z都是验证者提供，因此如果验证者如果能验证公式(9)成立，则相信等式(5)(6)(7)成立，则相信等式(2)(3)(4)成立，则相信v满足关系v?。

但是，可以看到上述过程，泄露了v的信息，因此需要一个零知识证明协议。

6.一个零知识证明协议

由于L、R包含了v的相关信息，因此，我们需要添加两个盲因子sL、sR来隐藏aL，aR。如公式(10)(11)所示：

此时，定义公式(12)

可以看出系数t0是l(x)和r(x)常数项的乘积，即满足：

t0?=<L,R>=z2*v+δ

因此，问题由证明：

<L,R>=z2*v+δ

转化成了，在任意一点x，验证者验证多项式值l(x),r(x),t(x)满足关系：

<l(x),r(x)>=t(x)

多项式值l(x),r(x),t(x)由证明者提供，为了保证l(x)，r(x)well-formed，即：

需要校验：

=>当且仅当l/rwell-formed，等式成立

为了保证t(x)well-fromed，即：

t=t0?+t1x+t2x2

需要校验：

=>?当且仅当t和τx?welle-formed，等式成立

具体的协议流程图如下图所示：

总结

从上述流程可以看出，一次rangeproof，证明者需要发送总共**{l/r/t/τx?/μ/T1?/T2/A/S}**个元素给验证者，总共2n+3个Zp元素，4个G元素。下一篇文章将细讲，Bulletproofs如何将交互复杂度降低到对数级O(log(n))。

附录

Bulletproofs论文：https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8418611

标签：ROO以太坊LLEORMgrowth Root Token以太坊币最新价格美元Kephi GalleryWormhole Finance

比特币行情热门资讯