科普 | 千层蛋糕：Layer-2 指南

以太坊爱好者 · 公众号 · 区块链 · 2021-05-08 16:28

正文

请到「今天看啥」查看全文

- 等待欺诈证明会大幅拖慢取款的速度 -

在 Optimistic rollup 上执行事务的主要成本来自于要把这些事务的数据发到底层链上的成本。这一 数据可得性 问题是所有 rollup 都共有的，既包括 optimistic，也包括其他类型的。为了防止资金被冻结，用户必须能够访问到一个 rollup 自始至终的所有事务数据。要么这些数据要发到 layer1 上，要么用户就需要额外的信任（例如，相信侧链会公开这些数据）。

在本文撰写之时，如果你所在的 rollup 不会公开你的事务数据到链上，那你就得寄希望于中心化的服务商不要冻结你的资金了。（译者注：这种说法有点莫名其妙，如果一个 optimistic rollup 不发布事务数据到链上，那它就不叫 optimistic rollup，叫 Plasma。）

优点：

功能丰富。可以复制 Eth1.0 的架构并支持智能合约
相比 zk-rollup 更容易开发和部署

缺点：

资金退出的时延较长。从事务被公开到事务获得终局性需要等待约 1 周的时间。
资金退出时间长的不便可以用承销商来缓解（就是收取少量费用给你提供 L1 资金的流动性提供者……）

ZK Rollup

计算和状态存储都由二级网络来承担。

L2 将事务数据连带相关的 有效性证明 一起广播到 L1 主网上。所谓 “有效性证明”，就是这些事务有效性的数学证明。一批的 L2 事务都被 汇总（roll up） 成一笔发往 L1 某个智能合约的事务。

“ZK” 这个前缀指的是 “零知识证明（zero knowledge）”，不过，zk rollup 往往不能保护隐私 —— 所有的事务都会默认公开，就像 Optimistic rollup 一样。使用 “zk” 这个前缀是因为这些系统所依赖的 有效性证明 往往是用零知识证明系统来生成的（例如 ZK-SNARK 或者 ZK-STARK）。

这种方案的好处在于，存储项更新和计算的开销都从以太坊主链上移除了，而且，也不需要乐观地假设广播出来的事务是正确的，只要证明是有效的，你就知道这些事务是有效的。

这也意味着，取款时间可以比 Optimistic rollup 类的系统快得多，所需的信任假设也更少。

但房间里的大象是，零知识证明给一笔事务附加了惊人的计算开销。

为一段计算生成一个零知识证明的计算开销大约是直接运行这段计算的 100 万倍！这是一个粗略的估计，实际情形可能因原计算本身的特点而有很大差别，但对于 Solidity 智能合约类型的计算程序来说，（这个估计）是大体准确的。

ZK rollup 系统的应对方法是将建构证明的任务委托给拥有大量计算资源的第三方，称为 “rollup 供应商”。用户要依赖这些第三方服务来为他们创建交易。Rollup 供应商可以审查或者抢跑这些事务，就像以太坊的矿工可以做的那样。所需的计算力越多，有能力充当供应商的主体就越少，所以我们必须从协议架构上充分考虑审查问题。

巨大的计算开销也给智能合约的移植带来了一些问题。完全兼容 EVM 是我们的目标，那就必须处理这 100 万倍的减速效果。EVM 对 SNARK 极度不友好，因为其字长是 256 位的，而且原生支持 SHA3 和其它对 SNARK 不友好的哈希算法。即使能够把生成证明的计算开销外包给拥有大量计算资源的主题，可能也是不够的。一种可能的办法是把 zkSNARK 的证明器算法直接写到 FPGA 硬件或者 ASIC 中。那么提供商就需要这种硬件来建构证明。