Lo mejor de ambos mundos zk rollup mecanismo de consenso previo

1) Demasiado tiempo para verlo:

Este documento describe un mecanismo de consenso previo que logra una finalidad instantánea y reduce los costos de gas de validación sin comprometer las salidas instantáneas de fondos de zkRollup.

2) Antecedentes y motivación:

zkRollup puede lograr una finalidad instantánea cuando el intervalo de compromiso es lo suficientemente corto (por ejemplo, 10 minutos). En este esquema, el riesgo de confianza del agregador aumentará a medida que aumente el intervalo, y el costo de lograr la finalidad (si es el algoritmo Groth16, el costo del gas de verificación de cada compromiso supera los 200 000 gas) disminuirá a medida que aumente el intervalo.

Comencemos afirmando que la verificación del par zkRollup cuesta más de 200 000 de gasolina (un valor de entre 100 y 500 dólares). Es decir, durante cada intervalo de compromiso de zkRollup, el agregador necesita gastar esta cantidad de combustible para verificar y finalizar el compromiso.

No podemos ignorar este costo porque los zkRollups tienen intervalos de compromiso cortos. Necesitamos compromiso para lograr la finalidad de la salida instantánea. Podemos lograr una finalidad instantánea (finalidad económica, transacciones sin confirmación) siempre que el intervalo de compromiso sea corto y los agregadores malintencionados no estén muy motivados para revertir las transacciones.

Aunque podemos usar pruebas recursivas de conocimiento cero y un sistema de cálculo de prueba eficiente para agregar múltiples transacciones, es difícil para nosotros cambiar el intervalo de compromiso. Si extendemos ciegamente el intervalo de compromiso, afectará la seguridad.

Luego, debemos pensar en cómo lograr una finalidad instantánea segura y largos intervalos de verificación en zkRollup.

3) Método:

El costo de funcionamiento del agregador proviene del alto costo del gas de la verificación de prueba de conocimiento cero en el contrato y el breve intervalo de compromiso.

El número de direcciones de Bitcoin con pérdidas ha alcanzado un récord de 18 809 386: Golden Finance News, según los tweets de WatcherGuru, el número de direcciones de Bitcoin con pérdidas ha alcanzado un récord de 18 809 386. [2022/7/4 1:48:35]

Por lo tanto, podemos extender el intervalo de verificación sin comprometer la seguridad y la usabilidad.

3.1) El primer paso: omitir la verificación del par de prueba de conocimiento cero

En primer lugar, la solución más sencilla que se nos ocurre es omitir el cálculo del par e introducir pruebas de fraude sencillas para los compromisos.

El agregador envía una prueba o lo que sea necesario para verificar el compromiso de zkRollup con el contrato, pero no realiza el cálculo de emparejamiento en este punto y, por lo tanto, no necesita pagar 200 000 de gasolina. Después de un tiempo, la promesa se valida; cada estado de esta promesa se convierte en una entrada pública para la próxima promesa. Los agregadores necesitan bloquear algo de éter para incentivar a los validadores. Los agregadores son castigados una vez que los validadores descubren un comportamiento fraudulento.

Un compromiso es el hash de la entrada pública, los datos de prueba de conocimiento cero, la raíz del estado anterior, la raíz del siguiente estado, el hash de la transacción y la dirección del agregador.

Las preimágenes son proporcionadas por eventos en cadena y se promete que se mantendrán en almacenamiento por contrato.

Este enfoque tiene grandes ventajas.

Todos pueden convertirse en una torre de vigilancia, el equivalente a un "validador" en Optimistic Rollup, sin ejecutar un nodo completo ni realizar ninguna configuración especial para comenzar.

Los problemas de disponibilidad de datos no surgen porque todo lo necesario para verificar o realizar una prueba de fraude se emite en un evento en la cadena. Cuando realizamos pruebas de fraude, no necesitamos los datos de transacciones de la Capa 2 ni los resultados de las transacciones, porque todos estos datos están incluidos en la entrada pública y la prueba de la prueba de conocimiento cero.

Si un agregador malicioso envía una raíz de Merkle maliciosa y descarta todos los datos de transacciones y los datos del árbol de Merkle, no necesitamos ejecutar nodos completos para pruebas de fraude. Podemos detectar este tipo de comportamiento malicioso simplemente examinando los datos de prueba de conocimiento cero y ejecutando la función de verificación de pares.

Sin embargo, existen problemas de seguridad con el método anterior.

Si se produce un ataque del 51% en la Capa 1, y se legaliza el root malicioso de Merkle, nos será difícil detenerlo.

Dado que el costo de ejecución de un ataque del 51 % aumenta con el tiempo de generación de bloques de la cadena de bloques subyacente, necesitamos un período de verificación suficientemente largo para aumentar efectivamente la dificultad de un ataque del 51 %. El período de verificación ideal es de 7 días, porque el período de salida de ORU también es de 7 días, que se puede calcular en función del costo de extracción y la recompensa real del ataque.

En este caso, no tenemos motivos para elegir el esquema anterior en lugar de ORU.

3.2) El segundo paso: el compromiso previo al consenso sin verificación de prueba de conocimiento cero, y la finalidad se logra a través del emparejamiento recursivo de prueba de conocimiento cero

Podemos resolver el problema de seguridad anterior de la siguiente manera.

Nos referimos a este compromiso, que no ha sido verificado por pruebas de conocimiento cero, como pre-consenso. El pre-consenso limita la finalidad a través de la verificación de prueba de conocimiento cero.

(compromiso por consenso) => (compromiso previo al consenso) => (compromiso previo al consenso) => …. => (compromiso previo al consenso) => (compromiso previo al consenso)

Todos los compromisos previos al consenso limitan el consenso a través de emparejamientos. Por lo tanto, los usuarios de la capa 2 pueden disfrutar de una transacción segura e instantánea. Necesitamos verificar los compromisos de consenso utilizando todos los compromisos previos al consenso con pruebas recursivas de conocimiento cero. Hay dos circuitos aquí: el circuito de pre-consenso y el circuito recursivo. El circuito de preconsenso contiene la lógica de las dApps que emplean el esquema zkRollup. El circuito recursivo solo necesita obtener datos previos al consenso de la Capa 1 como entrada pública.

Las pruebas recursivas de conocimiento cero se pueden usar para fusionar horizontalmente el consenso previo a lo largo del tiempo: al mismo tiempo, también se pueden usar para agregar verticalmente un gran número de transacciones en compromisos previos al consenso.

Si algún falso compromiso previo al consenso afecta la verificación del consenso con el emparejamiento, siempre podemos emparejarlo con prueba de conocimiento cero para prueba de fraude. Una vez que la prueba es exitosa, el agregador elimina el compromiso utilizando la función de verificador de prueba de conocimiento cero y luego reinicia la agregación de transacciones y crea un compromiso previo al consenso.

Si tienen prisa, los titulares de activos pueden gastar 200 000 de gasolina para llegar a un consenso a través del preconsenso, y luego pueden salir de inmediato. (Por supuesto, también pueden esperar a que el agregador llegue a un consenso). Como se mencionó en el "primer paso", no necesitan ninguna configuración especial para lograr la finalidad del consenso, porque todas las entradas ya están agregadas y pueden obtenerse mediante los eventos. en la cadena son buscados. No importa cuántas pruebas de compromiso previas al consenso se verifiquen, el costo de gas de la verificación recursiva no aumentará, porque estas pruebas se codificarán en el hash de entrada.

Un atacante del 51% no puede forjar una raíz de Merkle maliciosa, ya que cada raíz se verificará eventualmente en la cadena a través de la lógica del código de contrato implementada por los circuitos zk.

4) Resumen:

Este protocolo de consenso previo con pruebas de fraude y accesibilidad a los datos asociados permite que zkRollups tenga intervalos de compromiso prolongados (por ejemplo, 6 horas). Este enfoque puede ahorrar muchos costos de gas necesarios para los cálculos de verificación.

Tags：

Binance App Download