PLO:ZKSwap团队解读零知识证明PLONK电路_ARKS

最近研究了下零知识证明算法-PLONK。肚子里的墨水又增加了，借此记录学习成果与心得体会---ZkSwap小白。

现状

近些年，各种新的零知识证明算法层出不出，各有各的特点，各有各的优势。借用V神系列文章里的一张图来简单呈现下当前的零知识证明算法现状。

从图中可以简单总结出以下几点：

理论上安全性最高的是STARKs算法，不依赖数学难题假设，具有抗量子性；Proof大小上最小的是SNARKs算法，如Groth16;PLONK算法在安全性上和Proof大小上，位于上述两者之间；其他的这里不做过多阐述，如想了解零知识证明更多信息，可参考链接；对于SNARKs算法，绕不开的一个点就是中心化的TrustSetup，也称之为CRS(theCommonReferenceString)。而无论是PGHR13,Groth16,还是GM17算法，它们的CRS都是一次性的，不可更新的。即：不同的问题将对应着不同的CRS，这在某些场景下，会变得比较麻烦。这些存在的问题，变了PLONK，SONIC这类算法的一个优势，它们算法虽然也需要中心化的可信设置，但是它的CRS具有一定的普适性。即：只要电路的大小不超过CRS的上限阈值，一些证明问题就可以共用一个CRS，这种CRS称之为SRS(universalStructuredReferenceString)，关于SRS的定义，详细的可参考SONIC协议里的第3小节。PLONK算法继用了SONIC算法的SRS的思想，但是在证明的效率上，做了很大的提升。接下来，让我们详细的介绍下PLONK算法的具体细节，主要从下面四个小节去分享：

zkSync开发团队MatterLabs发布ZKCredo宣言:金色财经报道，Matter Labs 在 GitHub 发布宣言ZK Credo，重申了其对去中心化网络的推动，表达了对治理权力集中在少数人手中的担忧。Matter Labs 认为，如有必要，社区应该具备迁移到新网络的能力。Matter Labs 表示计划去中心化排序器，不过尚需要一些时间。该份宣言还概述了 Matter Labs 认为至关重要的八项原则，包括基本的去中心化原则，如无需信任、安全、可靠性、抗审查、隐私、超可扩展性、可访问性和主权。[2023/6/23 21:56:12]

电路的设计--描述PLONK算法的电路的描述思想；置换论证或者置换校验--复制约束，证明电路中门之间的一致性；多项式承诺--高效的证明多项式等式的成立；PLONK协议--PLONK协议剖析；电路

ZKSwap开发负责人 Alex Lee：构建支持通用 EVM 的 rollup 扩容解决方案 ZKSwap在路上:据官方消息，2021年04月12日晚，由Gate.io主办的直播专访节目《酒局币赴》邀请到ZKSwap开发负责人 Alex Lee直播分享近期最新发展。直播期间Alex与Gate.io合伙人酒儿就面对市场竞争格局产生变化后，ZKS将如何把握机遇与挑战进行了探讨与交流。

Alex 表示，目前，Layer2赛道已经是一片繁荣了，技术上不断创新，各种产品也层出不穷。ZKSwap推出的 Zkspeed 扩容方案兼顾了 ZK-Rollup、Validium 和 Optimistic rollup 方案的特点。即实现所有与 Layer1 交互的交易数据全部上链（ZK-Rollup），把单纯 Layer2 的交易数据存放在链下（Validium），交易 hash 数据上链，同时 ZKSpeed 也会提供一个完全上链的版本，这样可以实现更高的安全性，并提供零知识证明保证状态转换的有效性。虽然目前 ZKSwap 的方案还不兼容 EVM，但ZKSwap 团队的愿景正是构建一个支持通用 EVM 的 rollup 扩容解决方案，使得其他应用无需重新编写智能合约就能实现快速迁移，目前 ZKSwap 团队已经投入研究，并取得了一些进展。[2021/4/12 20:12:00]

PLONK算法电路的描述和SONIC算法一直，具体的过程可以参考李星大牛的分享，已经写的比较详细且易懂。在这个小篇幅里，我想主要分享下我自己的两点想法：

ZKS 24小时涨幅达30%:CoinGecko数据显示，受到上线OKEx的影响，最近24小时ZKS价格涨幅达30%，目前综合价格为3.76美元。[2021/4/2 19:40:42]

无论是什么样的电路描述方式，电路的满足性问题都要归结于2点，门的约束关系和门之间的约束关系成立；在SNARKs系列的算法里，电路的描述单元都是以电路中有效的线为基本单元，具体的原理可以参考我之前分享的文章，而在PLONK，SONIC以及HALO算法里，电路的描述单元都是以门为基本单元。这两种电路的不同描述方式带来了一定的思考。那就是，之前在研究SNARKs算法时，我们都已经相信一个事实，“多项式等式成立，就代表着每个门的约束成立”，然后推断，整个电路逻辑都是成立；在这个过程中，并没有额外的去证明门之间的一致性成立；但是在PLONK算法里，除了要证明多项式等式成立外，还要额外的用置换论证的数学方法去证明门之间的约束关系，即复制约束。为何会有这样的区别？希望有心的读者能一起在评论区探讨这个问题？我个人理解是因为电路的描述方式的不同：

数据：ZKSwap流动性挖矿开启18小时，TVL5.1亿美元，交易额3.9亿美元:据zkswap.info显示，以太坊Layer2交易协议ZKSwap（ZKS）已开启流动性挖矿18个小时，Layer2资产总额5.1亿美元，流动性3.7亿美元，18个小时完成1.7万笔Layer2的转账和兑换操作，Layer2转账和交易3.9亿美元，各项指标均为Uniswap的10%左右。[2021/3/7 18:22:29]

PLONK算法里，电路描述的单元是门，它为每个门定义了自己的L,R,O，因此需要证明门之间的一致性；SNARKs算法里，电路描述的单元是线，门与门之间的值用的是同一个witness，因此不用额外证明一致性；置换论证

前面我们说过，在PLONK算法里，需要去证明门之间的约束关系成立。在做具体的原理解释之前，我们先简单的过一下PLONK协议的过程，如下图所示：

LBank支持ZKSwap主网上线前4000万个ZKS免费空投:据官方消息，LBank将支持4000万 ZKS空投计划。用户只需将资产存放于LBank，无需任何操作，即可根据ZKS官方规则，获取对应数量的ZKS。挂单及参与活动均不影响此次空投。

具体规则如下：LBank将在2021 年 1 月 29 日 22:00 起，截止到主网上线前每日对用户持仓进行快照，待官方空投后，LBank将根据具体数量，以最接近时间的快照数据，对用户进行ZKS空投。[2021/1/29 14:22:09]

可描述为：

根据电路生成三个多项式，分别代表这电路的左输入，右输入，输出；利用置换校验协议，去证明复制约束关系成立；步骤3和4，校验门的约束关系成立。其中第1点已经在电路小节里阐述过了，接下来，将详细的讲解多项式置换校验的原理。先从简单的场景去讲解：

单个多项式的置换校验

其实就是证明对于某个多项式f，存在不同的两个点x,y，满足f(x)=f(y)。下面来看具体的原理：

上图中加入了一个正例P，一个反例A，方便大家理解置换校验的原理。有几点需要解释的是：

而经过仔细剖析Z的形式，不难发现，Z(n+1)其实就是两个函数所有值的乘积的比值(不知是否等同于V神文章里的坐标累加器？)。理论上是等于1。因此，我们需要设计这样的一个多项式Z，需满足：deg(Z)<nZ(n+1)=1

乘法循环群刚好可以满足这个条件，如果设计一个阶为n的一个乘法循环群H，根据群的性质可以知道Z(g)=Z(g^(n+1))。因此，在设计Z时，会保证Z(g)=1；上图中的自变量的取值也将从{1...n}变成{g...g^n}。所以在上图中验证的部分，a其实已经换成了群H里的所有元素。根据论文中的协议，多项式Z是会发给可信第三方I验证方V会从I处获取到多项式Z在所有a处的取值，然后依次校验。下面具体看一下论文中的定义：

从定义中可以看出：多项式f,g在范围内具有相同的值的集合；下面看一下论文中具体的协议部分，结合上述解释的3点：

说明：图4中的f,g对应图3中的f。即f,g是同一个多项式。其实只要是相同的值的集合，也可以不用于是同一个多项式。图3是一个特例而已。

跨多项式的校验

其实就是证明对于某个多项式f，g，存在两个点x,y，满足f(x)=g(y)。与存在两处不同：

多个多项式；不强制x,y的关系，即也可以等，也可以不等；有了(1)小节的基础，这次我们先看一下相关的定义：

从定义可以看到，这次是两个多项式集合见的置换校验算法。从标注的部分可以看出：

两个多项式集合仍然具有相同的值的结合；为了区分集合里的多项式，自变量的索引得区分开来；因此，可以想象的到，如果存在两个多项式f,g，想要证明f(x)=g(y)，那么根据以上描述可以判断{f1,f2}={f,g}={g1,g2}。也保证了上述第1点的成立。

下面我们看一下具体的原理：

和(1)小节相比，证明方P增加了些工作量，验证方V工作量不变。结合上述描述，也能很容易的理解其数学原理。

说明：至此，其实我们已经慢慢的接触到PLONK算法的核心了，前面我们讲到，电路的满足性问题除了门的约束关系还有门之间的约束关系。

比如一个输入x，它既是一个乘法门的左输入，又是另外一个乘法门的右输入，这就需要去证明L(m)=R(n)，这就是跨多项式的置换校验。

下面再给出论文里的协议内容：

至此，本篇文章已经描述了，在PLONK算法里，电路的设计以及复制约束的成立验证两大部分，接下来，将会另起一片文章，去分享门约束的成立和整个协议的具体步骤。

标签：PLOINSDEFIARKSEmployment CoinINST币My DeFi PetMARKS币

Fil热门资讯