TXC:一文探讨 zkRollup 改进提案的具体思路及优缺点_ALL

注：原文来自ethresear.ch，作者是leohio。

感谢AlexGluchowski以及BarryWhitehat提供的意见和看法。

1

长话短说

本文介绍了一种无需来自运营方tx历史数据的zkRollup，这具有在L1上使用txcalldata的gas效率，并且还具有智能合约执行及资产隐私的特性。每个batch只需要在txcalldata中记录一个状态改变的所有者的账户列表。

缺点是每个用户在将资金退出到L1时，需进行客户端zkp计算，而另一个缺点是在EVM兼容性方面带来困难。

2

背景和动机

对于Rollup的运营商和交易者而言，他们在使用txcalldata时仍然会产生消耗。这种限制仅仅是因为需要恢复作为交易结果的状态，以免用户无法生成其资金的Merkle证明。Rollup的大部分规范要求运营商将所有交易历史数据转储到L1上的txcalldata。

链上期权协议Pods已上线Ethereum主网:10月12日消息，链上期权协议 Pods 宣布其已上线 Ethereum 主网，目前已开设一个 11 月 26 日到期、行权价为 3200 美元的 ETH：USDC 看跌期权流动性池。Pods 是一种链上期权协议，投资方包括 Boost VC、Framework Ventures、P2P Capital、BitScale、Zeeprime、The LAO 等。Pods 包括 Options Instrument 和 Options AMM 两大核心组件，允许用户创建看跌期权和看涨期权，并通过一种新颖的期权 AMM 进行交易，该期权 AMM 以布莱克-斯科尔斯算法更新期权价格，并根据供需状况以程序自动更新隐含波动率。Pods 协议运行在由 Ethereum 区块链驱动的智能合约上，可以为 DeFi 中的用户提供不同的风险敞口。[2021/10/12 20:22:40]

交易历史数据的这种透明度，不仅增加了txcalldata的gas成本，而且还破坏了交易的隐私。

链上期权协议Opium将启动两个流动性挖矿计划并增加代币奖励:链上期权协议Opium宣布两个流动性挖矿计划将于UTC时间3月1日14:00（北京时间22:00）开始，并增加代币分发量。扩大1inch流动性挖矿计划，奖励提高至四倍，达到每周5万Opium。

为了增加Opium治理代币的稳定性，将支持SushiSwap流动性挖矿。SushiSwap上的流动性挖矿计划实验将直接进行（不用DROPIUM），用户需要做的是将LP代币放入耕作合约中。作为一个实验，Opium希望至少在未来4周内支持每周2.5万Opium代币分发。[2021/3/1 18:04:53]

据推测，交易历史数据的累加器，既解决了效率问题，也解决了隐私问题。

3

方法

简而言之，在第一步中，我们构造了一个zkRollup，其中运营商将最终状态差异直接写入txcalldata。交易历史数据将在一个zkp电路的隐私输入中。

链上期权衍生品协议 Primitive 在主网上部署 v1 版本:据官方消息，以太坊链上期权协议 Primitive 宣布已在主网上部署 v1 版本，即将将接口部署到 IPFS，对 Connector 合约库进行智能合约审计，以及在页面上抽象化 WETH 的使用，方便用户直接使用 ETH。之后，Primitive 将对核心期权智能合约进行几项升级，如使用许可进行元交易批准。注：Primitive 是一种建立在以太坊上的期权协议，可为以太坊上的任何资产提供代币化期权。[2020/12/29 15:58:45]

第二步，我们通过分离常用存储和用户状态存储从txcalldata中删除最终状态差异。这使用户可以使用非包含证明退出。用户保留其用户存储并仅公开其Merkle根。用户可以用zkp证明根转换，并且可以更新智能合约的常用存储。

详细步骤如下：

3.1)第一步，zkRollup中txcalldata使用选项

欧盟的DLT试点将允许市场运营商在新的加密法规出台之前交易稳定币:金色财经报道，欧盟专员Rok Zvelc表示，欧盟的一个试点项目将允许市场参与者在加密货币法律框架至少两年后实施之前使用稳定币进行交易和结算。该计划被称为DLT试点制度，允许传统金融和数字金融的参与者在受监管的环境中试验使用通证化证券。

所谓的电子货币代币，是单一法定货币计价的稳定币，在欧盟全面的加密资产市场监管中被定义为MiCA。这些规则最早要到2024年才能应用，但试点参与者已经能够在DLT试点内的交易和结算中开始使用电子货币代币。（the block）[2022/10/28 11:50:35]

使用txcalldata恢复完整状态有两种选择。

选项1：将所有交易历史数据记录到txcalldata。

选项2：记录由于区块中的交易而导致的最终状态的差异。

在选项2中，由于txcalldata中没有要记录的内容，数以百万计具有相同结果的交易使用0gas进行txcalldata使用。Merkle根转换的可靠性由zkp保证。

邬贺铨：目前元宇宙只能从VR/AR做起:金色财经报道，中国工程院院士邬贺铨30日在2022中国算力大会期间接受采访表示，元宇宙对算力、存储、网络传输等都提出很高要求，目前元宇宙只能从VR/AR(虚拟现实/增强现实)做起。当日大会披露的数据显示，中国算力总规模超过150 EFLOPS(每秒15000京次浮点运算次数)，位于全球第二。邬贺铨表示，2021年全球的算力分布中，美国占31%，中国占27%，其次是日本、德国、英国等其他国家，在三种算力中，美国基础算力占全球35%，智能算力占15%，超算占30%，而中国这三类算力分别是27%、26%和20%，可以看出，美国以基础算力为主，中国智能算力的能力远远超过美国。[2022/7/31 2:49:00]

而采用“选项2”是第一步。

3.2）第二步，优化“选项2”

当批次/区块中的交易更改合约中的相同存储值时，上述选项2会花费更少的gas。这种共享和更改的值就像ERC20的总供应量、swap协议的总资产池量等。

而且这种存储值也会影响到所有资产持有者，这种数据的丢失会导致zkRollup的活性损失。另一方面，其他不常共享和更改的数据大多是个人资产数据。这类数据的丢失，直接意味着资产持有者损失了资金。这种风险是分开的，不会影响到对方的资金。

然后分离用户的状态，并提供其状态的用户数据及其证明作为运营商对其交易的收据，从而降低了大量gas成本。

交易者向运营方发送交易；

运营商将其用户状态的merle证明作为交易的收据；

交易者签署这个收据；

电路中只接收带有签名收据的交易数据；

如果一个用户进行了交易，并且多个用户的余额发生了变化，并且他们知道自己的状态，包括这些余额和Merkle证明，那么他们中的任何一个都可以随时通过zkp退出其资金。

这证明这是其余额的最后一个状态，可以通过每个批次的更改状态所有者的每个帐户列表的不包含证明来确定。更改状态所有者的帐户列表的稀疏Merkle树可用于有效证明。

有两种方法可以让更改状态的所有者知道他们最近的更改。

如果他们在线，运营商发送最后一个差异，接收签名的差异，并将其放入zkp电路的输入，这样的gas成本是最低的。

如果他们不在线，运营商会将其发布到txcalldata或链下去中心化存储。

通过这种状态分离，运营商不再需要将最终状态的任何差异都放在txcalldata中，因为用户的帐户状态对于退出来说足够安全，而丢失共同共享的数据，只是意味着运营商无法更新zkRollup的Merkle根，他们将简单地停止服务。然后，公共共享存储和用户存储都可以在链外分发。每批只需要在txcalldata中记录一个状态改变的所有者的账户列表。

3.3）第三步，隐私智能合约执行

用户的交易不在链上，但运营商仍然可以看到并需要看到用户状态，以进行zkp证明。

如果用户在其一边进行zkp以证明其用户状态的Merkle根和公共共享存储的转换，则运营商只需更改该Merkle根和存储，余额的秘密仍然存在。

用户向运营商发送交易；

运营商返回余额和更新后的公共共享存储的差异；

用户对更新后的用户状态和公共共享存储的Merkle根进行zkp证明；

制作每个批次的运营商可通过更改批次中共享存储的变化知道余额差异，但其无法知道其他批次的余额差异，因为运营商之间只共享最终差异。这具有混合级别的隐私。

这种机制需要用到递归zk。

4

更详细的讨论

4、1在链下与离线状态改变者通信

这只是一种选择。该协议可以在没有这部分的情况下构建。

即使在最坏的情况下，状态更改器处于离线状态，这种情况下的数据可用性风险也非常有限。

离线用户可以在其在线时获取数据以安全退出，其可以设置代理而不是自己接收数据。

并且我们可以构造退出方法，以便上次状态更新不会因为数据可用性问题而使之前的状态变得危险。

典型的去中心化存储结构如下所示：

提交哈希

证明preimage(hash(storage))=preimage(hash(storage,last-Ethereum-block-header))-last-Ethereum-block-header

继续观察有多少节点可以完成

4.2账户链上gas费用

每个帐户都可以获得一个比地址本身短得多的ID。

每个batch只需要一个账户列表，这样就可以省略重复项，这比txcalldata中使用的交易历史要高效得多。

4.3公共共享存储的进一步优化

在以太坊L1上，你无法擦除txcalldata。我们可以修改它，因为公共共享存储不需要在链上。

与交易历史数据不同，我们只需要最后的状态数据，不需要任何之前的状态。然后运营商可以放弃之前在网络中共享的“最终状态数据”。

运营商可以通过zkp逻辑知道可以丢弃的数据。

5

结论

分离用户状态使得zkRollup智能合约执行既高效又隐私，几乎所有的txcalldata成本都从zkRollup中移除了。

本文来自元宇宙之道，星球日报经授权转载。

标签：TXCCALALLZKPCTXC价格CALI价格blockchain.infowalletIDzkProof

比特币行情热门资讯