以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

Vitalik:以太坊狀態爆炸問題,多項式承諾方案可解決_VIT

Author:

Time:1900/1/1 0:00:00

寫在前面:為了應對以太坊的狀態爆炸問題,以太坊聯合創始人Vitalik提出了新的解決方案,其提議使用多項式承諾方案來替代默克爾樹,以此大大減少無狀態以太坊客戶端的見證數據。

以下為譯文:

關于這一研究,這里要感謝很多人提供的幫助,尤其是AZTEC團隊向我介紹了復制約束參數、排序參數以及有效的批范圍證明方法;DateryKhovratovich和JustinDrake在Kate承諾部分提供的方案,ElibenSasson關于FRI提供的反饋,以及JustinDrake進行的審查工作。這篇文章只是第一次嘗試,如果有進一步的重要思考,我確實希望該方案能夠被類似但更好的計劃所取代。

太煩不看版總結:

我們建議用稱為“多項式承諾”的神奇數學來替代默克爾樹來累積區塊鏈狀態。好處包括:將無狀態客戶端的見證內容的大小減少到接近于零。這篇文章提出了利用多項式承諾進行狀態累積所存在的挑戰,并提出了具體的構建方法。

什么是多項式承諾?

多項式承諾是多項式P的一種‘哈希’,其具有可對哈希執行算術檢查的屬性。

例如,在三個多項式P,Q,R上,給定三個多項式承諾h_P=commit(P(x)),h_Q=commit(Q(x)),h_R=commit(R(x)),然后:

如果P(x)+Q(x)=R(x),你可以生成一個證明,證明它和h_P,h_Q,h_R的關系;

如果P(x)*Q(x)=R(x),你可以生成一個證明,證明它和h_P,h_Q,h_R的關系;

如果P(z)=a,你可以針對h_P生產一個證明

你可以將多項式承諾用作vector承諾,類似于默克爾樹。多項式承諾的一個主要優點是,由于其數學結構的原因,其生成復雜證明要容易得多。

有哪些流行的多項式承諾方案?

當前有兩個領跑者,它們分別是Kate承諾以及基于FRI的承諾。你可能還聽說過防彈證明和DARKs算法,這些是替代型多項式承諾方案。而要了解有關多項式承諾的更多信息,YouTube上有相關的內容。

ZK-EVM Kakarot完成pre-seed輪融資,Vitalik、StarkWare等參投:6月2日消息,zkEVM 開發平臺 Kakarot 完成Pre-Seed 輪融資,StarkWare、LambdaClass 和天使投資人 Vitalik、Nicolas Bacca、Rand Hindi 等參投。

Kakarot zkEVM 是 Cairo 實施的 EVM,利用 STARK 證明來證明交易和區塊,確保透明度和安全性。據介紹,Kakarot zkEVM 發展分為三個階段:1、作為 EVM 存在于 Starknet L2 上;2、和 Starknet 定序器 Madara 合力創建第 3 層 zkEVM;3、Kakarot 和 Madara 組合啟用類型 1 zkEVM。[2023/6/2 11:54:47]

多項式承諾在以太坊中有哪些容易應用的場景?

我們可以用多項式承諾來替換目前區塊數據的默克爾根,并用開放證明替換默克爾分支。這給我們帶來了兩個很大的優勢。首先,數據可用性檢查會變得容易,并且不會存在欺詐,因為你可以簡單地以隨機方式請求開放。非交互式的托管證明也可能變得更容易。

其次,說服多數據片段的輕客戶端也變得更加容易,因為你可以制造一個同時涵蓋多個索引的有效證明。對于任何集{(x_1,y_1),...,(x_k,y_k。,定義三個多項式:

通過所有這些點的插值多項式I(x);

在x_1,...,x_k等于0的零多項式Z=*...*;

商多項式Q=-I)/Z;

商多項式

Q的存在,意味著

P(x)-I(x)是

Z的倍數,因此

P-I為零,其中

Z(x)為零。這意味著對于所有

i,我們都有

P(x_i)-y_i=0,即

P(x_i)=y_i。驗證者可以生成插值多項式和零多項式。證明由對商的承諾,加上隨機點

z上的開放證明組成,因此,我們可以對任意多個點擁有一個常數大小的見證內容。

這種技術可以為區塊數據的多次訪問提供一些好處。然而,其對于一種不同的用例而言,存在的優勢就要大得多:證明區塊交易賬戶witness。平均而言,每個區塊會訪問數百個賬戶和存儲密鑰,這導致潛在的無狀態客戶端的見證內容大小會有0.5MB大小。而多項式承諾多見證,根據方案的不同,可以將區塊witness的大小從數萬字節減少到幾百字節。

Gravity Finance項目Discord服務器已被入侵:金色財經報道,據CertiK監測,Gravity Finance項目Discord服務器已被入侵,黑客發布了虛假空投鏈接。在團隊確認他們已經恢復服務器的控制權之前,請勿點擊任何鏈接。[2023/4/6 13:47:37]

那我們可以使用多項式承諾來存儲狀態嗎?

大體上,我們是可以的。相比將狀態存儲為默克爾樹,我們選擇將狀態存儲為兩個多項式S_k(x)和S_v(x),其中S_k,...,S_k表示鍵,而S_v,..。,S_v表示這些鍵上的值。

為了證明鍵值對,...,是狀態的一部分,我們將提供索引i_1,...,i_k并顯示與索引匹配的鍵和值,即k_1=S_k(i_1),...,k_k=S_k(i_k)和v_1=S_v(i_1),...,v_k=S_v(i_k)。

為了證明某些鍵的非成員性,可以嘗試構造一個奇特的證明,證明鍵不在S_k,…,S_k中。相反,我們只需對鍵進行排序,以便證明非成員身份就足以證明兩個相鄰key的成員身份,一個小于目標key,一個則大于目標key。

而這和JustinDrake提出的使用SNARKs/STARKs來壓縮witness以及相關的想法有著相似的好處,另外一個好處是,由于證明是累加器密碼學原生的,而不是構建在累加器密碼學上的證明,因此這消除了一個數量級的開銷,并移除了對零知識證明友好哈希函數的需求。

但這里存在著兩個大問題:

為k個密鑰生成witness需要的時間是O,其中N是狀態的大小。而預計N對應的狀態數據會有大約50GB,因此在單個區塊中生成這樣的證明是不實際的;

2、用k個新值更新S_k(x)和S_v(x)花費的時間也需要O。這在單個區塊中是不切實際的,特別是考慮到諸如witness更新和重新排序之類的復雜性。

下面我們將介紹應對這兩大問題的解決方案。

高效讀取

我們提供了兩種解決方案,一種針對Kate承諾而設計,另一種則是針對基于FRI的承諾。不幸的是,這些方案具有不同的優點和缺點,從而會導致不同的屬性。

1、Kate承諾

Vitalik Buterin:開發人員還不知道“Merge + surge + verge + purge + splurge”的執行順序:金色財經報道,以太坊聯合創始人“V神” Vitalik Buterin 今日在社交媒體上發文稱“Merge + surge + verge + purge + splurge”不是5個階段,而是會并行發生。在回應加密社區質疑“合并后不會立即發生所有事情”的問題時,Vitalik Buterin 進一步解釋說,這一切都是同時發生,實際的部署會在單獨的硬分叉進行,但是不同的團隊正在并行完成工作,在某些情況下,開發人員甚至還不知道事情的執行順序。[2022/7/26 2:38:57]

首先,請注意,對于N次多項式f,有一種方案可生成N個對應于

O(N*log(N))時間中每個

q_i(x)=(f(x)-f(i))/(X-i)的開放證明。

還請注意,我們可以按以下方式合并witness。考慮這樣一個事實,q_i(x)只是一個離開f/的子常數項,通常,已知f/((X-x_1)*...*(X-x_k))是f/,...,f/使用部分分式分解的某種線性組合。只需知道x坐標就可以確定具體的線性組合:只需提出一個線性組合c_1*(x-x_2)*...*(x-x_k)+c_2*(x-x_1)*(x-x_3)*...*(x-x_k)+...+c_k*(x-x_1)*...*(x-x_{k-1}),其中不存在非常數項,這是k個未知數中的k方程組。

給定這樣的線性組合,我們得到的東西僅是離開f/((x-x_1)*...*(x-x_k))的一個子常數項,因此它必然是商f(x)//((x-x_1)*...*(x-x_k)),其等于期望值(f(x)-I(x_1...x_k,y_1...y_k))/((x-x_1)*...*(x-x_k))。

一個可能的挑戰是,對于大的狀態,一個實際可計算的單一可信設置是不夠大的:例如,PLONK設置只能容納約3.2GB。相反,我們可以有一個由多個Kate承諾組成的狀態。

我們對很多承諾作如下單一witness。為證明,首先讓。witness是;如果Q是一個多項式,則F實際上在那些位置為零,因此fi在其位置具有期望值。

動態 | EOS 的Activity指數為43,721,037 排名第一:據IMEOS報道,截止12月16號11點,blocktivity.info上顯示,排名第一的 EOS 的Activity指數為43,721,037 ,排名第二、第三分別為 TLOS 和 IOST 。Acitivity指數為最近24小時內在區塊鏈上執行的操作數量。[2019/12/16]

2、基于FRI的承諾

我們將狀態存儲在一個二維多項式

F的求值中(每個變量的階數為

sqrt),并致力于對

4*sqrt(N)by4*sqrt(N)square求值

F。

我們將所有我們關心的值存儲在位置(x,x**sqrt(N)),因此它們都具有唯一的x坐標。

為了證明在一組點x_1,...,x_k上的求值,我們構造了一個k次多項式路徑,其在x_i處的求值為x_i**sqrt。

然后,我們創建一個多項式

h(t)=F(t,path(t)),其中包含對

(x_i,y_i)的所有期望求值,并且具有

k*)次。

我們在求值域中選擇隨機的30列c_1...c_k,對于每列查詢30個隨機行。我們承諾于h,為z_i=h(c_i)提供一個多開口,并對列商(R_i-z_i)/(X-path(c_i))進行FRI隨機線性組合,以驗證h的聲明值是正確的,因此h(t)實際上等于F(t,path(t))。

使用二維多項式的原因是,這確保了我們不必對所有F進行任何計算;相反,我們只需要對我們選擇的隨機30行F進行計算),加上階為p*(sqrt(N)+1)的h,創建FRI進行的計算大約為p*sqrt(N)。可以將此技術擴展到二維以上的多項式,以將sqrt因子降低到更低的指數。

高效寫入

我們通過一系列的承諾,來解決與更新包含整個狀態的單個承諾相關的挑戰,較大的承諾,其更新頻率也就較低:

區塊本身,具有“讀取見證”(R_k(x),R_v(x))和“寫入見證”,W_v),表示要寫入狀態的值。注意,我們可以設置W_k=R_k,并在運行時計算W_v。

花花公子宣布推出加密貨幣VIT:花花公子公司宣布將推出自己的加密貨幣VIT,作為其正在開發的在線支付錢包的一部分。該錢包將為該公司的數字媒體和休閑游戲業務提供服務,并將接受除自己以外的其他加密貨幣。昨日,花花公子宣布允許用戶使用加密貨幣支付成人內容。[2018/3/16]

第一個緩存C1=,C1_v)存儲最近一天的更新內容;

第二個緩存C2等于前一天的最后一個C1;

滿狀態S=,S_v)包含時間超過1-2天的值;

我們將使用的方法如下。為了從狀態中讀取一些鍵k,我們將依次讀取

C1,

C2,

S。如果鍵位于某

C1_k處,則對應的值

C1_v存儲該值,如果鍵位于

C2_k,則

C2_v存儲該值,依此類推,如果鍵位于

S_k,則

S_v存儲該值。如果這些檢查都沒有返回鍵,則該值為0。

復制約束參數的簡介

復制約束參數,是我們將使用的witness更新證明的關鍵組成部分;有關復制約束參數如何工作的詳細信息,請參見此處。簡而言之,該想法是選擇一個隨機r,并生成一個“累加”多項式ACC,其中ACC=1且ACC=ACC*)。你可以通過開放讀取ACC(y)/ACC(x),來讀取x....y-1范圍內的點累加器。你可以使用這些累加器值,將這些求值與其他求值集進行比較,而無需考慮排列。

你還可以通過設置

ACC(x+1)=ACC(x)*(r+P_1(x)+r2*P_2(x))來證明某些隨機

r和

r2的求值元組(即多集

{(P_1(0),P_2(0)),(P_1(1),P_2(1)),...})的等價性。多項式承諾可有效用于證明有關ACC的主張。

為了證明子集,我們可以做相同的事情,除了我們還要提供一個指標多項式ind,證明該ind(x)在整個范圍內等于0或1,并設置ACC=ACC**)+)),否則不使用累加器值)。

小結:

我們可以證明a和b之間的P求值,是a和b之間Q求值的置換;

我們可以證明a和b之間的P求值,是a和b之間Q求值置換的子集;

我們可以證明P和Q的求值,是R和S置換,其中P->Q和R->S是相同的置換;

在下面的內容中,除非明確說明,否則我們將偷懶地表述為“P是Q的置換”,意思是“P在0和k之間的求值,是Q在0和k之間對適當k求值的置換”。請注意,下面的內容中,我們還會涉及到每個witness的“大小”,以確定我們接受的任何

C_k中的坐標,而超出范圍的

C_k值當然不計算在內。

映射合并參數

為了更新緩存,我們使用了“映射合并參數”。給定兩個映射A=,A_v)和B=,B_v),生成合并映射C=,C_v)以便:

C_k中的鍵被分類;

對于0<=i<size(B),(B_k(i),B_v(i))在C中;

對于0<=i<size(A),僅當A_k(i)不在B的求值集之內時,(A_k(i),A_v(i))在C中;

我們用一系列復制約束參數來實現這一點。首先,我們生成兩個輔助多項式

U,

I,它們分別表示

A_k和

B_k的“并集”和“交集”。將

A_k,B_k,C_k,U,I視為集合,我們首先需要展示:

1、A_k?U;

2、B_k?U;

3、I?A_k;

4、I?B_k;

5、A_k+B_k=U+I;

我們預先假設在A_k和B_k中沒有重復,這意味著A_k!=A_j對于范圍內的i!=j與B_k相同。由于I是A_k和B_k的子集,所以我們已經知道I也沒有重復的值。通過使用另一個復制約束參數來證明U和C_k之間的等價關系,證明了U中沒有重復項,并證明C_k是已排序且無重復的。我們用一個簡單的復制約束參數證明A_k+B_k=U+I聲明。

為了證明C_k已排序且沒有重復,我們證明C_k>C_k的范圍為0...size。我們通過生成多項式D_1,...,D_16,并證明C-C=1+D_1+2**16*D_2+2**32*D_3+...來做到這一點。本質上,D_1,...,D_16將差異存儲在基2**16中。然后,我們生成一個多項式E,其滿足所有D_1,...,D_16的復制約束以及f=x,并且滿足E(x+1)-E(x)={0,1}限制。我們還檢查了E=0以及E*16+65536)=65535。

關于E的約束表明,E中的所有值都夾在0和65535之間。對

D_i的復制約束,證明

D_i中的所有值都在0到65535之間,這證明了它是一個正確的16進制表示,從而證明了

C_k-C_k實際上是一個正數。

現在,我們需要證明value。我們添加另一個多項式U_v,并驗證:

在0...size(B)的(U,U_v)等于在0...size(B)的(B_k,B_v);

在size(B)...size(A)+size(B)的(U,U_v),是在0...size(A)的一個子集;

目標是在

U中,我們先放置來自

B的所有值,然后再放置來自

A的值,并使用相同的置換參數來確保鍵和值被正確復制。然后我們驗證

的一個置換。

使用映射合并參數

我們按照下面的方式使用映射合并參數,假設每天有BLOCKS_PER_DAY個區塊。

如果block.number%BLOCKS_PER_DAY!=0,我們驗證(C1_k,C1_v)=merge((W_k,W_v),(C1_old_k,C1_old_v));

如果block.number%BLOCKS_PER_DAY==0,我們驗證(C1_k,C1_v)=(W_k,W_v)以及(C2_k,C2_v)=(C1_old_k,C1_old_v);

請注意,C2具有一整天的時間,在此期間它保持不變。我們為任何人產生

=merge,)的證明提供獎勵;提供此證明后,我們將承諾

更新為新值,并將

重置為空。如果

S在當天沒有更新,則我們將

C1->C2傳輸延遲到更新為止;請注意,該協議確實取決于

S的更新速度是否足夠快。如果這不可能發生,那么我們可以通過添加更多層緩存的層次結構來解決這個問題。

從糟糕的FRI中恢復

對于FRI的情況,注意,有可能會出現有人生成的FRI在某些位置無效,但這不足以阻止驗證。這不會立即造成安全風險,但可能會阻止下一個更新者生成witness。

我們通過以下幾種方法來解決這個問題。首先,注意到某些FRI生成錯誤的人,可提供自己的FRI。如果通過相同的檢查,它將被添加到可構建下一次更新的有效FRI列表中。然后,我們可以使用交互式計算游戲來檢測和懲罰不良FRI的創建者。其次,他們可提供自己的FRI以及STARK來證明其有效,從而立即罰沒了無效FRI的創建者。通過FRI生成STARK是非常昂貴的,尤其是在較大規模時,但這樣做是值得的,因為這可以賺取很大一部分無效提議者的保證金獎勵。

因此,我們有了一種機制來使用多項式承諾,以此作為一個有效讀取和寫入witness來存儲狀態。這使我們能夠大幅度減少見證內容大小,同時也可以帶來一些好處,比如讓我們有能力對數據可用性進行檢查,以及實現關于狀態的托管證明。

今后的工作

提出FRI證明,要求少于900次查詢;

從理論上講,如果你預先計算并存儲拉格朗日基,理論上可以快速更新Kate承諾。這是否可以擴展到快速更新所有witness,以及為鍵值映射而不是一個vector工作?

Tags:VITESSWITACCvite幣最新消息MESSIEWIT價格CACC幣

幣安app官方下載最新版
美聯儲扔出“王炸”,降息至0,比特幣的機會來了?_比特幣

北京時間3月16日凌晨5:00,美聯儲宣布再度緊急降息,送出“王炸”,降息為0,而且這是美聯儲半個月內第二次緊急降息,史無前例.

1900/1/1 0:00:00
日本金融監管機構啟動全球區塊鏈治理倡議網絡_區塊鏈

日本金融監管機構周二宣布啟動其全球區塊鏈治理倡議網絡。 聲音 | 日本金融廳:將區塊鏈用于證券 貿易金融等領域:在昨日舉行的日本金融廳的第40次金融審議會總會中,金融廳回顧了上半年日本金融領域發.

1900/1/1 0:00:00
5.38億微博用戶信息不值0.2個比特幣!我該如何保護自己的數據?_BTC

作者:萬佳 來源: 區塊鏈前哨 這次數據泄露或是由于微博在2019年被人通過接口“薅走了一些數據”,而不是所謂的“數據拖庫”.

1900/1/1 0:00:00
Eth2.0從Eth1.0中學到了什么:Eth2.0有哪些人們可能不知道的重大變化?_ETH

撰文:IvanMartinez,PrysmaticLabs軟件工程師編者注:原標題為《Eth2.0從Eth1.0中學到了什么》Eth2.0帶來的最廣為人知的變化當屬PoS(權益證明)和分片(sh.

1900/1/1 0:00:00
區塊鏈入門 | 關于智能合約,你需要了解的幾點知識_區塊鏈

來源:萬向區塊鏈 業內人士習慣將比特幣稱為“區塊鏈一代目”,以太坊則是“區塊鏈二代目”。以太坊區別于比特幣區塊鏈很重要的一點是它找了個CP“智能合約”.

1900/1/1 0:00:00
觀點 | 資本市場的崩潰標志著DeFi時代的到來_穩定幣

來源:共享財經 作者:jonathanjoseph? 編譯:共享財經Neo 從表面上看,上周四對DeFi來說是個糟糕的日子.

1900/1/1 0:00:00
ads