Polygon反驳Offchain Labs：ZK Rollup是以太坊的扩展

Polygon反驳Offchain Labs：ZK Rollup是以太坊扩容的未来

捕链器• 2022-01-20

Arbitrum 最近发表了一篇很棒的文章，认为 Optimistic Rollups (OR) 代表了以太坊的未来，因为 Optimistic Rollups 与 ZK Rollups (ZKR) 相比具有固有的可扩展性和成本优势。 文章写得很好，值得一读。

本着友好辩论的精神，我们想提出不同的观点。 Polygon 已向 ZK 投资 10 亿美元，这很好地表明我们坚信这是以太坊最有希望的扩展途径。

虽然 Optimistic Rollups 具有“准备就绪”的优势，但 ZK 扩展解决方案也具有两个结构优势：

1. ZK Rollups 支持使用链上和链下数据模型进行扩展，后者提供比任何 Rollup 更高的吞吐量和更低的费用； 2. 用户可以无延迟地桥接和从以太坊桥接，并且不依赖流动性提供者。

到 2021 年，很明显，不同的用户更喜欢在安全性和交易成本之间进行不同的权衡，部分原因是 Polygon 的快速增长。 Optimistic Rollups 提供安全性，但交易费用远高于侧链或 alt-L1。

ZK 不要求用户在安全性和成本之间做出特定的权衡。 当用户选择 rollup 模式时，ZK 提供了与 Optimistic rollup 相同的安全性和更高的资金效率。 当数据在链下时，ZK 以相同的费用提供比侧链和 alt-L1 更高的可扩展性和安全性。

我们相信 ZK 的可扩展性、低成本和资本效率将是以太坊扩展到十亿用户的最佳选择。

汇总概览

Rollups 是一种通过将交易执行转移到链下来扩展以太坊的方式，但以太坊保证每笔交易的有效性。 事实上，我们可以将资金存入智能合约，并在聚合时以低廉的成本与这些资金进行交互，让我们的资金像在以太坊上交易一样安全。

这是可能的，因为汇总使用以太坊进行数据可用性和交易验证。 恢复汇总的最新状态和添加新交易所需的所有数据都发布到以太坊，交易通过欺诈或有效性证明进行验证。

OR 中使用的反欺诈机制要求资金在争议期间被锁定（目前 Arbitrum 和 Optimism 为一周）。 如果汇总中包含无效交易，任何人都可以在争议期间提交欺诈证明并将其还原。 相比之下，ZK rollups 包括一个有效性证明，它以加密方式保证所有交易都是有效的，从而消除了任何延迟的需要。

ZK的状态

首先，承认 ZK rollups 还没有大肆宣传。 我们还在等待 ZK rollup 支持通用智能合约上线，目前使用的证明系统效率相对较低。

然而，如果我们展望未来，ZK 密码学正以惊人的速度发展。 递归证明是可扩展和去中心化 ZK 汇总的重要原语。 十年前以太坊未来价值，它们只是理论上的。 两年前，递归证明需要两分钟才能生成。 但是今天，多亏了 Polygon Zero 团队创建的突破性证明系统 plonky2，我们能够以毫秒为单位测量证明时间。 在笔记本电脑上生成递归证明仅需 170 毫秒，我们预计证明时间和成本将继续减少。

Arbitrum 的文章认为，证明生成会产生大量成本，部分由用户承担，因为它涉及数千次昂贵的椭圆曲线运算，因此需要大规模并行识别或昂贵的硬件。 然而，plonky2 根本不使用椭圆曲线，我们的基准测试是在笔记本电脑上进行的。

实际上rollup的开销主要是由CALLDATA的开销决定的。 我们可以从 Arbitrum 目前的交易费用中看出这一点，其中代币互换费用约为 4 美元。 相比之下，即使假设需要 10 分钟（对多边形零的相对较高的估计）来证明在具有 32 个内核和 64gb RAM 的 c6g.8xlarge 实例上进行交换是合理的，增加的成本仅为 0.18 美元。

与 CALLDATA 相比，这并不是一个特别大的成本，正如我们将看到的，它被 ZK 的其他优势所抵消。 零知识技术仍在快速发展，低估零知识扩展解决方案是非常短视的。

瓦迪亚

不同的用户在区块链的成本和安全性之间做出不同的权衡。 数以百万计的人使用 Polygon PoS 链来获得低费用和高吞吐量，即使不能像 rollup 那样保证交易有效性。

我们相信，当面对扩展解决方案时，数百万用户将选择将使用数据保存在链下而不是汇总。 Validium（Starkware 发明的术语）类似于 ZK-rollup，将有效性证明发布到以太坊以确保交易的有效性，但将数据保存在链外以节省 CALLDATA 成本。 Validium 有很多好处：

ZK scaling 开放了 L2 设计空间，包括 Validia，它提供比 Optimism 和 ZK rollup 更高的吞吐量，并提供资金不会被盗的密码保证。

对 Validia 的（完全）假设性攻击

ZK 怀疑论者会注意到，理论上，即使 Validium 上的验证者不能直接窃取用户资金，他们也可以对用户发起攻击，从而阻止链的最新状态并拒绝处理新交易。 因此，验证者可以劫持用户资金。 然而，我们觉得这个问题被夸大了。

首先，“数据抢夺攻击”需要三分之二的验证者参与，这意味着大量质押资产将面临风险。 攻击将使代币价格暴跌，降低攻击者自己抵押的代币的价值，并抵消所有未来的费用收入。 由于验证者不能直接窃取用户资金，他们需要协调受影响用户的赎金支付，因此支付是不确定的。 此外，鲸鱼可能仍处于汇总模式，因此攻击者将需要成功地从大量用户那里提取赎金以弥补股权损失。 很难看出这种攻击在实践中如何获利。

进一步的可扩展性优势

除了 Validia 提供的巨大可扩展性优势外，ZK rollups 还比 OR 更具可扩展性，因为它们为开发人员提供了通过减少 CALLDATA 使用量而不牺牲安全性来降低费用的选项。 所有汇总都需要发布重建最新状态所需的最少数据，但 OR 必须发布验证每个单独交易所需的所有数据到以太坊。 相比之下，ZKR 可以向以太坊发布每批交易的最小状态增量，只发布恢复账户最终状态所需的信息。 这对于压缩 AMM 池等合约的状态更新非常重要。

OR 方的一个回应是，这种压缩实际上隐藏了重要的链数据，并且该汇总应该提供对每笔交易历史的无信任可见性。 我认为这个论点遗漏了一个重要的点，虽然 ZKR 上的开发者可以选择为少数需要它的应用程序发布未压缩的 CALLDATA，但大多数应用程序和用户会更喜欢较低的费用，这只是 ZKRs 才能提供的一种妥协。

因此，ZK 为链上和链下数据可用性提供了扩展优势。 如果我们要将以太坊带给 10 亿人，我们必须让用户能够在成本和安全性之间做出权衡。

资本效率

OR 有一个持续一周的争议期，这会导致想要选择退出汇总的用户提款延迟。 有很多关于提款延迟的负面评论，包括以太坊矿工或验证者假设的为期一周的审查攻击，这当然是非常难以置信的。

然而，提款延迟确实会导致资本效率低下。 提前退出是可以实现的，但做市商无法完全消除资本效率低下的问题，尤其是在规模上。 当面对加密货币的波动时，一周实际上是很长的，如果流动性进入和退出 OR 之间存在不平衡，那么流动性提供者将需要承担在退出期间持有锁定资金的风险。 虽然流动性提供者将竞争为快速提款提供低费用，但他们将面临必须转嫁给用户的锁定资金的巨大机会成本。

相比之下，ZK 扩容解决方案允许用户在向以太坊发行证明时提取资金，从而无需流动性提供者并提高资金效率。 Arbitrum 的文章声称 ZK rollups 只有在桥接以太坊 L1 时才有优势，但实际上 ZK rollups 还可以检查其他链上的有效性证明，确保交易有效性和快速提现。

ZK的缺点

ZK 汇总确实面临几个缺点。 Polygon Hermez 团队在完整的 zkEVM 汇总上取得了令人瞩目的进展，其中 EVM 字节码的执行可通过有效性证明直接验证。 其他专注于将 Solidity 编译为 ZK 友好字节码的团队，例如我们在 Polygon Zero 或 Polygon Miden、StarkWare 和 zkSync 的团队，可能会面临使用现有以太坊开发工具的挑战。

但实际上，绝大多数 Solidity 代码的行为应该是相同的，因为我们从 EVM 到 ZK 字节码所做的修改不会影响功能，并且主要涉及替换算术电路中计算量大的原语，例如 Keccak-256 , 具有算术电路友好的原语。

最终，零知识扩展提供的结构优势应该提供足够的动力来改进和调整开发人员工具，使它们更容易部署在 ZK L2 上。

综上所述

总之，我们认为零知识扩展是以太坊的未来。 Optimistic rollups 是一项了不起的技术，它们为困扰以太坊的高 gas 费用提供了一个直接的解决方案。 然而以太坊未来价值，Optimistic rollups 使用户面临特殊的权衡，因为安全性是以更高的费用和资本效率低下为代价的。

相比之下，ZK可以容纳更多不同类型的用户，无论是rollup模式的交易，对手续费不敏感的鲸鱼，还是验证模式的低价交易用户。 ZK 提供了将以太坊带给 10 亿用户的最佳方式。

此外，ZK 具有超越可扩展性和资本效率的优势。 OR 受 L1 上可能性的限制，因为欺诈证明必须在以太坊上可执行。 ZK 没有这个限制，可以使用不同的签名方案（有人想到 Apple Secure Enclave 中使用的 P-256 曲线吗？）和 L1 不支持的原语。 用户可以私下在L2上进行批量交易，以更低的成本获得L1流动性，这是Aztec首创的方式。