深入理解區塊鏈二層擴展方案Rollup_ROL

編者注：原標題為《深入理解區塊鏈二層擴展方案Rollup》

本文作者朱光宇，區塊鏈愛好者，前阿里巴巴JVM專家。現就職于Westar實驗室，從事智能合約編程語言及其執行引擎的研發。

背景

最近，以太坊創始人VitalikButerin在一篇題為“混合式二層協議的曙光”的文章里對Rollup方案大加贊賞，認為它為智能合約的可擴展性打開了大門。那么什么是Rollup？它包括哪些主流方案？這些方案各自有什么優缺點？它們未來發展前景怎么樣？為了找到這些問題的答案，筆者對相關項目做了一番調研，將收集到的信息整理成下面這篇文章。

Rollup的出現

最近兩年，以太坊二層擴容技術得到突飛猛進的發展。所謂二層技術，就是將一部分資金存儲在主鏈上的智能合約內作為，在保證足夠的安全性和不可篡改的前提下，把一部分交易放到主鏈之外進行，就好像鏈下多出來第二層網絡。二層方案里表現較突出的要數狀態通道和Plasma側鏈，但是這兩種方案距離被廣泛接受還有一段距離，其背后的原因歸根結底是數據的可用性問題。什么是數據可用性呢？假設你去賭場玩撲克，需要先到柜臺把現金兌換成籌碼，這可以理解成在鏈上創建狀態通道并存入押金。然后你開始玩撲克，這就是所謂的鏈下交易。在贏得一手大牌之后，你想要兌現籌碼走人，突然有人給你腦后來了一悶棍，醒來后桌上的籌碼不翼而飛。你記不起來牌局的細節，所以無法追回已經贏得的籌碼。這就是所謂的“數據不可用”。無論是狀態通道還是Plasma側鏈，完整的交易記錄和見證數據都只保存在鏈下，出現爭端時如果參與者沒有及時提供正確的交易和見證數據，交易的安全性就無法保證。就好像是玩撲克的人被打了一悶棍忘記了牌局細節，很難追回屬于自己的籌碼。即便是數據沒有丟失，面對不合作的對手，也要走非常復雜的仲裁流程。

中央財經大學郭田勇：應深入研究如何用數字人民幣組建更多功能:中央財經大學中國銀行業研究中心主任郭田勇表示，在數字化的浪潮下，貨幣作為一種支付媒介，其本身的數字化是必然趨勢。考慮到傳統貨幣印制發行成本高、不易攜帶等局限，數字貨幣以其獨特的優勢，極大降低了交易成本。郭田勇指出，數字貨幣如果由政府或者中央銀行來主導，必須協同好同原有銀行體系為主導的支付關系。目前，中國的數字貨幣屬于M0范疇，從金融學角度看，M0并不具有貨幣創造的能力，在整個貨幣儲存量中占比也很小，因此，數字人民幣的范圍還非常有限，未來如何用數字人民幣組建更多的功能，將其推向更大的領域，值得深入研究。這是一個循序漸進的過程，要把握好節奏。郭田勇稱，數字人民幣前期推進比較成功，有利于提升人民幣國際化程度。隨著中國經濟實力增強，人民幣國際業務更為廣泛。面對龐大的國際結算量，數字貨幣高支付效率的優點更易凸顯。（中國新聞網）[2021/7/7 0:32:14]

就在二層擴容技術舉步維艱的時候，一位開發者提出了一種名叫Rollup的新方案。與Plasma不同的是，它可以“打包”交易，將“打包”后的交易數據連同一個SNARK零知識證明發布在鏈上。打包的正確性可以通過SNARK證明，從而確保運營商不可能發布惡意或無效的交易。這就是后來被VitalikButerin稱之為ZKRollup的二層擴容方案。ZKRollup并非萬能，它遇到的最大問題是通用性。除非要證明的交易非常簡單，否則創建SNARK證明的成本會非常高。因此，一個名叫OptimisticRollup的折衷方案被提了出來。OptimisticRollup也是把交易數據都放到鏈上，但不是用SNARK做驗證，而是采用加密經濟學有效性博弈來實現有效性驗證。我們將在下面的章節詳細介紹這兩種Rollup方案的原理。

山西深入推進跨境金融區塊鏈服務平臺應用:國家外匯管理局山西省分局深入推進跨境金融區塊鏈服務平臺應用，為中小微外貿企業跨境結算與融資擴渠道、增便利。目前，山西省已有17家銀行加入該平臺，為16家企業辦理融資業務116筆，累計放款7.67億美元。（中國新聞網）[2020/5/3]

工作原理

Rollup的核心思想是將“打包”后的交易數據區塊發布在鏈上，從而大大降低交易有效性驗證的難度。交易數據的上鏈和驗證是基于智能合約完成的。運營者收集到不同參與者提交的鏈下交易后，在鏈上執行Rollup智能合約提供的腳本，將打包后的交易數據區塊作為參數提交給合約，合約驗證數據有效后為每個參與者記賬。這相當于一次性執行了一批鏈下交易，但是在鏈上只執行了一個交易。

下圖是ZKRollup提交上鏈的打包數據。它包含一組壓縮后的交易數據、執行這批交易之前的記錄用戶狀態的merkle樹樹根，以及執行交易之后的新merkle樹樹根。除此之外還包含一個SNARK零知識證明，合約用它來驗證在Prev狀態上施加這批交易后結果就是New狀態。如果對零知識證明的工作原理感興趣，可以參考文章。

生成SNARK的成本非常高，所以OptimisticRollup采用了不同的方法——“欺詐證明”來驗證交易有效性。這里的“欺詐證明”并非類似SNARK那樣的見證數據，它實際上指的是加密經濟學有效性博弈。也就是說，運營者發布新的狀態樹樹根時無需每次都接受Rollup智能合約的驗證，每個人都假設狀態轉換是正確的。如果有人發布了非法的狀態轉換，其它運營者或者參與者都可以挑戰非法交易并回滾不正確的區塊。為了實現“欺詐證明”，光有ZKRollup那樣的交易數據是不夠的，Tx數據需要包涵交易提交者的簽名，合約通過校驗簽名判斷交易是否合法。

外匯局山西省分局深入推進跨境金融區塊鏈服務平臺試點工作:疫情期間，外匯局山西省分局深入推進國家外匯管理局推出的跨境金融區塊鏈服務平臺的試點工作，專題調研全省中小微外貿企業融資現狀；深入宣傳，促進更多中小微外貿企業了解區塊鏈平臺融資的便利性；加強推動，鼓勵銀行對中小微外貿企業建立專營服務機制；及時引導，推進銀行主動對接中小微外貿企業，開展出口應收賬款融資；“點對點”輔導，加快推進地方法人銀行上線區塊鏈平臺，挖掘中小微外貿企業融資需求。通過外匯局的有效措施，銀行對中小企業融資的積極性有了明顯提高，企業對區塊鏈融資的便利性也越來越了解，銀行擴大了對中小微企業的融資規模，企業獲得了便捷的融資，實現了“一項政策、多方共贏”。截至今年3月底，16家銀行加入了區塊鏈平臺，全省通過區塊鏈平臺累計放款7.65億美元。山西省涉外中小微外貿企業復工復產1458戶，復工率達91%。（金融時報）[2020/4/9]

安全性

Rollup的安全性來自于數據可用性和交易有效性。有了數據可用性和交易有效性，就能保證Rollup操作者永遠不能破壞狀態或竊取資金，即使操作者不配合，參與者也能方便的追回Rollup網絡上的資產。Rollup將交易數據發布到鏈上，就像“錨”一樣將Rollup網絡錨定到了以太坊主鏈上。就好比是賭場里裝上了攝像頭，即便是玩撲克的人被打了一悶棍，還是能通過視頻記錄證明自己確實贏了錢。

聲音 | 張平文:區塊鏈等已經深入到市民生活的方方面面:月10日至11日，2019世界計算機大會在湖南長沙舉行，中國科學院院士張平文說，計算機包括5G、云計算、大數據、人工智能、區塊鏈等，已經深入到市民生活的方方面面。[2019/9/15]

對于交易有效性驗證，ZKRollup和OptimisticRollup采取了不同的方法。ZKRollup采用零知識證明來保證交易有效。它的安全性建立在密碼學基礎之上，智能合約僅在交易數據被證明為正確之后才會接受狀態轉換。每次狀態轉換都有一個零知識證明，這保證了鏈上總是對應著一個正確的二層狀態。OptimisticRollup采用基于加密經濟學有效性博弈的錯誤證明，它無需為每一次狀態轉換都提供證明，只在有人認為狀態轉換有誤的時候提供。所以它要求交易方必須在線，因為沉默將被視為同意。所以相比較ZKRollup，OptimisticRollup的安全性有所降低，它需要采取額外的措施來防止DDoS攻擊造成的默許。

可擴展性

Rollup通過一次鏈上交易可以執行一大批打包后的鏈下交易，主鏈不需要通過執行每筆交易來驗證其有效性，而且交易數據是作為函數參數發布的，驗證完有效性后就會被丟棄，這樣就不會占據以太坊的存儲空間。因此Rollup可以大幅度提升以太坊的可擴展性。

現場 | 姜海：密碼學將隨著黎曼猜想等理論研究的深入迎來大發展:金色財經現場報道，今日，2018可信區塊鏈峰會在北京召開。在主題為“區塊鏈安全焦點關注”的區塊鏈安全論壇上，丁牛科技有限公司CEO姜海結合最近黎曼猜想被證明引起了密碼學界的高度關注，分析了黎曼猜想與區塊鏈密碼安全。他提出，盡管黎曼猜想的證明對于傳統密碼安全有極大的沖擊，但是區塊鏈技術的安全建立在SHA-256、橢圓曲線、算法校驗等基礎之上，在使用過程中能夠極大地抵抗密碼攻擊。盡管最近有很多的安全事件發生，而其根本原因在于程序的違規操作。未來隨著隨機發生器、量子計算機以及黎曼幾個等基礎理論的研究，密碼學將會有更大的發展空間。[2018/10/10]

但是這種提升并非沒有限制，雖然只有一次鏈上交易，但是它會受到交易數據本身gas成本的制約。以太坊數據的gas成本在伊斯坦布爾升級前是每字節68單位，而以太坊上每個地址就會占用20字節，所以用以太坊交易數據結構來表示鏈下交易gas費用會非常高，因此Rollup對交易數據進行了壓縮。

ZKRollup在智能合約里用merkle樹來記錄地址，這樣地址就可以表示成樹的索引值，地址數據的大小就從原本的20bytes減少到只有3bytes到4bytes。每筆交易就被壓縮成10幾個字節，再加上一個約100-300字節的SNARK，理論上可以將以太坊吞吐量從32TPS提升到約680TPS，伊斯坦布爾升級后可達到2000TPS。下圖是壓縮后ZKRollup每筆交易數據的格式：

OptimisticRollup的吞吐量理論上只有100TPS，主要原因是上文提到過的，為了支持欺詐證明OptimisticRollup的每筆交易數據需要包涵交易提交者的簽名。每條簽名的大小是64bytes，這大大增加了提交上鏈的交易數據的字節數，從而很快達到gas上限。為了減少交易數據的字節數，一種BLS聚合簽名機制被提了出來。如下圖所示，BLS聚合簽名機制是在操作員收集到所有交易后，將打包后的交易發送給每個交易提交者簽名，因為每個簽名都是針對相同的數據，所以可以被操作員聚合成一個BSL簽名。發送給鏈上合約的將是壓縮后的交易數據加上聚合后的BLS簽名，從而大幅減少了交易數據所消耗的gas。BLS簽名可以將OptimisticRollup的吞吐量從100TPS提升到450TPS，伊斯坦布爾升級后也可以達到2000TPS。

延遲

OptimisticRollup基于加密經濟學有效性博弈，只有過了1～2周的挑戰期才能確認交易生效。ZKRollup的延遲相對較小，如果一個打包區塊中有1000筆交易，在普通的服務器上大概需要20分鐘可以構造出一個證明。開發者們已經提出很多減少延遲的方法，比如采用GPU加速可以將零知識證明構造時間壓縮到1分鐘。還有一種叫做“即時交易收據”的方法兩種Rollup方案都適用。它主要借助經濟學博弈來完成，就是負責打包的操作員需抵押一部分安全保證金，如果某個交易沒有被打包到區塊中，這筆錢就會被沒收。理論上“即時交易收據”可以將交易確認時間壓縮到1秒以內，但是實現相對復雜，安全性有所降低。

通用性

通用性方面，OptimisticRollup明顯好于ZKRollup，當然它的設計目標就是支持任意智能合約。而ZKRollup目前僅適用于支付之類的特定交易，對于通用智能合約，由于創建零知識證明的成本非常高，部署起來困難較大。為了提高效率，開發者正在開發專門的零知識證明虛擬機，比如ZEXE。它在一定程度上可以縮短創建證明的時間，但是缺點是合約開發者需要大量的專業知識。MatterLabs團隊基于ZKRollup開發的新一代區塊鏈擴展方案ZKSync，設計開發了一款以委托的方式生成零知識證明的沙盒式虛擬機，開發者不需要深入了解零知識證明領域的技術細節就可以編寫出高效且安全的智能合約。

總結與展望

本文簡要介紹了區塊鏈擴容方案Rollup的工作原理，對比分析了兩種Rollup方案ZKRollup和OptimisticRollup在可擴展性、延遲、通用性、安全性上的優劣。

根據以上的對比分析，短期看來OptimisticRollup由于較好的通用性會受到開發者的青睞；但從長期來看，隨著零知識證明虛擬機的演進，ZKRollup會在通用性上不斷提高。它能否主宰智能合約可擴展性的未來呢？這個問題只能留給時間來回答了。

參考文章

1、《混合式二層協議的曙光》2、《零知識證明–zkSNARK入門》3、《有效性證明和錯誤證明》4、《ZKSync介紹》

Tags：ROLROLL區塊鏈KROROL幣RollerSwap區塊鏈的未來發展前景怎么樣KROM

比特幣最新價格