ZKSwap團隊解讀零知識證明算法之Bulletproofs：Arithmetic Circuits_PRO

Bulleproofs算法有兩個方面的應用。

一個是Rangeproof：

第一講：?理解零知識證明算法之Bulletproofs--RangeProof1

第二講：?理解零知識證明算法之Bulletproofs--RangeProof2

第三講：?理解零知識證明算法之Bulletproofs--RangeProof3

另一個是generalarithmeticcircuits，本編文章就來主要分享Bulletproofs在后者上的應用。

ArithmeticCircuits

PancakeSwap關于為Cake代幣提供帶有VIP池的額外功能提案已獲投票通過:5月25日消息，Snapshot投票頁面顯示，去中心化交易平臺PancakeSwap關于“為Cake代幣提供帶有VIP池的額外功能”提案以99.6%的支持率獲得通過。該提案旨在為Cake代幣提供另一種用途，通過創建獨家產品使其更具吸引力。

提案提議創建用于賦予用戶特殊質押權力的sCake代幣，功能類似于IF0，用戶為了參與IF0，需要在池中質押Cake，并以此數量和質押時間確定可提交給VIP池的sCake數量。該功能將提升Cake需求、推動Cake有更多的質押，并對項目有更多的排他性。[2023/5/25 10:39:36]

了解ZK-SNARK算法應該都知道算術環路的概念，下面一張圖展示了zk-snark算法中，算術環路的設計規則。

CFTC10月12日至10月18日CME比特幣期貨未平倉總量下降至 14,228 張:金色財經報道，據 KingData 數據監控，CFTC 10月 12 日至 10月 18 日 CME 比特幣期貨持倉周報顯示：未平倉總量自 15,756 張下降至 14,228 張。

機構多頭頭寸 8,341 張，空頭頭寸 10,945 張，多空持倉比例 1:1.3，機構略微偏向看空；

大戶多頭頭寸 2,489 張，空頭頭寸 528 張，多空持倉比例 4.7:1，大戶顯著偏向看漲；

散戶多頭頭寸 1,404 張，空頭頭寸 761 張，多空持倉比例 1.8:1，散戶偏向看漲。[2022/10/24 16:36:54]

Circuit設計規則：

互聯網怪盜團裴培：元宇宙的市場走向要等蘋果和騰訊表態:5月29日消息，前國金證券互聯網傳媒首席分析師，互聯網怪盜團創始人裴培認為目前元宇宙正處于第一階段的路線之爭，大致可以分為三個方向。第一種來自加密貨幣圈子，他們最關心的是炒幣；第二種來自Meta (Facebook)這樣的互聯網平臺公司，它們對元宇宙的定義就是“社交網絡/社交媒體的VR化”；第三種來自以游戲公司為代表的內容公司，他們不急于發表看法，但是站在Meta的對立面。（網易新聞）[2022/5/29 3:47:43]

1.由乘法門和加法門組成，每個門固定兩個輸入一個輸出；

2.不標記通過加法門連接乘法門的線，如圖中綠線，僅起到連接作用；

3.同一條線直接或間接連接多個乘法門，僅表示為一條有效的線，為了方便理解，用紫色虛線表示其連接關系；

4.MulGate處的取值為圖中紅色字體所示

5.黃色線條為有效連接線

6.橙色線條表示MulGate對應的一階約束

那Bulletproofs算法的算術環路的設計規則是什么樣的呢？我們看看下圖。

Circuit設計規則：

1.由乘法門和加法門組成，每個門固定兩個輸入一個輸出；

2.不標記加法門

3.不標記有常量的乘法門

4.紅色字體表示乘法門的索引

5.黃色字體表示乘法門的輸入和輸出

6.橙色線條表示乘法門對應的一階約束

7.藍色線條表示相鄰乘法門間的一致性約束

因此，一個完整有效的算數電路應該滿足：

1.每個乘法門對應的的約束成立

2.乘法門之間的一致性約束成立

Zk-snark的算術電路通過R1CS滿足了上述兩個條件。

1.每個R1CS表示一個乘法門的約束

2.相鄰乘法門的輸出是下一個乘法門的輸入，如圖中的y,sym_1,sym_2

Bulletproofs的算術環路以通過以下兩種方式滿足上述兩個條件：

1.每個乘法門對應的約束成立

2.上個乘法門的輸出等于下個乘法門的輸入。

看起來兩個算法的證明一個算術電路有效的思想是一樣，但是由于兩個電路的標注規則不同，就產生兩個不同的約束結果。

Zk-snark算法以validwires為基本要素，每個wire有左輸入，右輸入，和輸出三個屬性

Bulletproofs算法以validMulgate為基本要素，每個Mulgate有左輸入，右輸入和輸出三個屬性

最后，附上一張對比圖：

總結以上可以看出，對數算術環路的滿足性問題，不同的算法具有不同的電路描述方式。Zk-snark算法由Circuits轉化到QAP，最終生成的證據僅僅再幾十個字節大小；

Bulletproofs的算法由Circuits轉化到innerproductor，生成的證明的大小和算術電路的乘法門的個數n有關O(log(n*Q)，電路越大，證據越大。

附錄

1.Bulletproofs論文：https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8418611

2.BCG+講述了算術電路的另外一種描述形式?https://eprint.iacr.org/2017/1066.pdf

Tags：PROProofROOBULLSlash ProtocolProof Of PepeEvident Proof Transaction TokenBULLPEPE

FTT