Torta de mil capas: Guía de la capa 2 Tres tipos de competencia de Rollup

Hola. Soy Zac, el CEO del equipo Azteca. Inventamos la tecnología ZK-SNARK de uso general Plonk y zk.money, que es la primera instancia de resumen centrada en la privacidad del mundo y una de las nuevas instancias de capa 2 implementadas recientemente en la cadena de bloques de Ethereum. El mundo de Layer-2 se está volviendo vertiginoso a medida que muchos equipos convierten constantemente sus ideales en realidad y lanzan sus propios productos. Sin embargo, si no está arraigado en esta ecología, necesitará un poco de navegación para atravesar esta jungla. Desafortunadamente, muchas de las personas que explican la tecnología Layer-2 a todos tienen interés en ella y están sesgadas en contra de ciertas tecnologías (sí, ¡las que ellos mismos usan!). Entonces, ¿soy diferente a ellos? ¡No! Soy igualmente parcial, pero te lo diré de frente sin pretender ser imparcial, ¿qué opinas? Haré todo lo posible para darle una perspectiva relativamente equilibrada. El mundo de las soluciones de escalado/criptografía basadas en blockchain es pequeño, y cada equipo que supera sus límites merece nuestro respeto. ¡Así que profundicemos en ello! El rendimiento de transacciones de Ethereum 1.0 es muy limitado, lo que también hace que el costo de enviar transacciones sea extremadamente alto. El costo principal de las transacciones de Ethereum proviene del costo de cambiar los elementos de almacenamiento de estado, el costo de los datos de transacción y el costo de cálculo. La solución de Capa 2 subcontrata uno o más de los anteriores a una red secundaria que se basa en Ethereum. En términos generales, dividimos las soluciones de capa 2 en dos categorías, cada una con sus propios requisitos de seguridad y ventajas y desventajas: resumen optimista y resumen zk. Aztec está definiendo una tercera categoría: resumen privado. El resumen optimista es como el epítome de la cadena de bloques Ethereum. Tiene una red propia que también aloja contratos y transacciones inteligentes. El esquema de resumen optimista transmite periódicamente sus bloques de transacciones a un contrato inteligente de Capa-1. Estos "bloques" contienen, y solo contienen, datos de transacciones que ocurrieron en el sistema de acumulación Optimistic. Este contrato inteligente de capa 1 tampoco realiza ningún cálculo ni actualiza los elementos almacenados. Esto reduce en gran medida la sobrecarga de publicar un bloque. Se llama "optimista" porque dicho sistema asume que cada transacción en el bloque L2 publicado es válida; el contrato inteligente no verifica directamente su validez. Por el contrario, si un usuario cree que una transacción es incorrecta (como que resulta en múltiples pagos), puede emitir una "prueba de fraude (fraud-proof)". Los contratos inteligentes en Layer-1 pueden usar los datos que ha publicado el resumen para verificar la validez de la supuesta transacción. Las pruebas de fraude son intrínsecamente costosas, pero solo deben realizarse cuando se sospecha un comportamiento malicioso. Si se confirma el comportamiento malicioso, el sujeto que emitió este bloque acumulativo optimista (comúnmente conocido como "validador") perderá su criptomoneda previamente bloqueada. La acumulación optimista se basa en este consenso económico para garantizar que las transacciones sean correctas. Los retiros de acumulaciones optimistas generalmente toman más tiempo (por ejemplo, 1 semana). Esto se debe a que después de que una transacción se hace pública, los usuarios esperan para ver si se han producido acusaciones de comportamiento malicioso. (Algo así como una boda en la que el sacerdote pregunta "¿Hay alguien que se oponga a este matrimonio..." y hay un silencio incómodo) - Esperar pruebas de fraude ralentizará considerablemente los retiros - El costo principal de ejecutar transacciones en la acumulación optimista proviene de poner El costo de enviar los datos de estas transacciones a la cadena subyacente. Este problema de disponibilidad de datos es común a todos los rollups, tanto optimistas como otros. Para evitar que los fondos se congelen, los usuarios deben poder acceder a todos los datos de transacciones desde el principio hasta el final de un resumen. Los datos deben enviarse a la capa 1 o el usuario necesita confianza adicional (por ejemplo, confiar en que la cadena lateral divulgará los datos). Al momento de escribir este artículo, si su resumen no divulga los datos de su transacción a la cadena, entonces debe esperar que el proveedor de servicios centralizado no congele sus fondos. (Nota del traductor: esta declaración es un poco inexplicable. Si un resumen optimista no publica datos de transacciones en la cadena, entonces no se llama resumen optimista, se llama Plasma). Ventajas: Rico en funciones. Puede copiar la arquitectura de Eth1.0 y admitir contratos inteligentes. Más fácil de desarrollar e implementar que zk-rollup. Desventajas: el retraso en el retiro de fondos es mayor. Espere aproximadamente 1 semana desde que se hace pública una transacción hasta que se convierte en definitiva. Los suscriptores (es decir, los proveedores de liquidez que le cobran una pequeña tarifa para proporcionarle fondos L1...) pueden aliviar el inconveniente de la retirada prolongada de fondos. La red secundaria se encarga del cálculo y el almacenamiento estatal. L2 transmite los datos de la transacción a la red principal L1 junto con la prueba de validez asociada. La llamada "prueba de validez" es la prueba matemática de la validez de estas transacciones. Un lote de transacciones L2 se acumula en una transacción enviada a un contrato inteligente en L1. El prefijo "ZK" se refiere a "prueba de conocimiento cero (conocimiento cero)", sin embargo, el resumen zk a menudo no puede proteger la privacidad: todas las transacciones serán públicas de forma predeterminada, al igual que el resumen optimista. El prefijo "zk" se usa porque las pruebas de validez en las que se basan estos sistemas a menudo se generan utilizando sistemas de prueba de conocimiento cero (como ZK-SNARK o ZK-STARK). La ventaja de este esquema es que la actualización del elemento de almacenamiento y la sobrecarga de cálculo se eliminan de la cadena principal de Ethereum, y no hay necesidad de asumir de manera optimista que la transacción transmitida es correcta, siempre que demuestre ser válida, sabrá esto La transacción es válida. Esto también significa que los tiempos de retiro pueden ser mucho más rápidos que en un sistema tipo rollup optimista, con menos suposiciones de confianza requeridas. Pero el elefante en la habitación es que las pruebas de conocimiento cero agregan una cantidad asombrosa de sobrecarga computacional a una transacción. ¡Generar una prueba de conocimiento cero para un cómputo es aproximadamente 1 millón de veces más costoso computacionalmente que ejecutar el cómputo directamente! Esta es una estimación aproximada, y la situación real puede variar mucho debido a las características del cálculo original en sí, pero para el programa de cálculo del tipo de contrato inteligente Solidity, (esta estimación) generalmente es precisa. El sistema de rollup ZK responde encomendando la tarea de construcción de pruebas a terceros con grandes recursos informáticos, denominados "proveedores de rollup". Los usuarios confían en estos servicios de terceros para crear transacciones para ellos. Los proveedores de acumulación pueden censurar o adelantarse a estas transacciones, al igual que los mineros de Ethereum. Cuanta más potencia de cómputo se requiere, menos sujetos son capaces de actuar como proveedores, por lo que debemos considerar completamente el tema de la revisión desde la arquitectura del protocolo. La enorme sobrecarga computacional también trae algunos problemas al trasplante de contratos inteligentes. Nuestro objetivo es cumplir totalmente con EVM, por lo que tenemos que lidiar con esta desaceleración de 1 millón de veces. EVM es extremadamente hostil para SNARK porque su longitud de palabra es de 256 bits y es compatible de forma nativa con SHA3 y otros algoritmos hash que no son compatibles con SNARK. Incluso ser capaz de subcontratar la sobrecarga computacional de generar pruebas a sujetos con grandes recursos computacionales puede no ser suficiente. Un enfoque posible es escribir el algoritmo probador de zkSNARK directamente en hardware FPGA o ASIC. Luego, el proveedor necesita este hardware para crear pruebas. La construcción de pruebas de conocimiento cero es mucho más lenta que ejecutar un programa normal. Nuestra investigación de Plonk y Pollkup ha mejorado la velocidad de SNARK en un orden de magnitud, pero el resumen de zk aún enfrenta un cuello de botella de rendimiento en comparación con el resumen optimista. En general, los lenguajes de programación de SNARK y STARK tienen que adaptarse a las ineficiencias de los sistemas de prueba subyacentes. Estos lenguajes tienen dificultades para implementar bucles de longitud variable y accesos dinámicos a la memoria, como vectores y matrices dinámicas. Nuestra última investigación de Plookup alivia algunos, si no todos, los problemas. Esto significa que zk rollup requiere que los desarrolladores transfieran sus contratos a un lenguaje de programación personalizado (como el Cairo de Starkware). Para las acumulaciones de zk que no pretenden ser totalmente compatibles con EVM, el beneficio es que las transferencias se vuelven más baratas. Si no es necesario seguir la semántica de EVM, se puede reducir la cantidad de datos de transmisión para transferencias básicas. La red de Hermes hace precisamente eso. El costo de las transacciones puede ser más barato que el resumen optimista, no se requiere prueba de fraude, los retiros son más rápidos que el resumen optimista y la adición de funciones es más lenta. Los terceros que dependen de hardware personalizado pueden necesitar lenguajes de programación personalizados con mayor prioridad. Aztec lanzó un paquete acumulativo de privacidad en marzo de 2021. Puede envolver su ETH en un escudo de privacidad y usar nuestra billetera de privacidad en línea zk.money para enviar transacciones privadas. Los paquetes acumulativos de privacidad utilizan técnicas muy similares a los paquetes acumulativos zk, pero tienen características completamente diferentes. La arquitectura de resumen de privacidad está diseñada para proporcionar sólidas garantías de privacidad para todos los usuarios de L2. Los usuarios mantienen fondos de forma anónima. Al ejecutar una transacción, tanto el remitente como el receptor son anónimos y el monto de la transferencia está encriptado. Usamos Plonk, un sistema de prueba de conocimiento cero de última generación. Inventamos Plonk en 2019 y rápidamente se convirtió en el estándar de la industria entre los equipos que desarrollan en cadenas de bloques utilizando pruebas de conocimiento cero. Garantizar la privacidad por diseño requiere una arquitectura de resumen muy diferente a la de zk rollup. Tomamos el camino de la privacidad primero porque sabíamos que con una L2 pública, implantar la privacidad programable a menudo requeriría sacrificar la experiencia del usuario o refactorizar radicalmente todo el protocolo. La solución de privacidad actual basada en Ethereum es el mezclador. Los mezcladores tienen la capacidad de anonimizar los fondos de los usuarios, pero por lo demás tienen usuarios limitados. Nuestra versión completa de capa privada 2 puede hacer aún más: contratos inteligentes privados totalmente programables. Por lo tanto, la moneda de privacidad tiene una lógica de transacción más avanzada. Propiedad oculta de NFT. Los atributos de NFT se pueden ocultar por completo, solo visibles para el propietario. transacciones de contrapartes confiables sin conocer sus verdaderas identidades) ¡Privacidad DeFi! Este es un gran tema, y ​​necesita ser dedicado a un artículo (como se escribe, se escribe...) Estos beneficios solo son posibles si la privacidad es la primera prioridad desde el principio. Los modelos de transacción y estado del protocolo también deben diseñarse para que sean compatibles con las propiedades de privacidad. Las transacciones son encubiertas. Las actividades financieras de los usuarios no están expuestas a proveedores de resumen de terceros y no pueden censurar ni realizar transacciones anticipadas. Para ellos, cada transacción es como una lista de números aleatorios. No se necesitan pruebas de fraude, los retiros son rápidos. Los usuarios pueden retirarse unilateralmente, sin la ayuda de terceros para realizar los cálculos. Más costoso que el L2 abierto y transparente (pero más económico que la red principal). hasta que se implemente el esquema de disponibilidad de datos / Eth 2.0, los usuarios deben construir localmente pruebas de conocimiento cero de transacciones encubiertas. No se puede delegar en un tercero. El sistema de prueba de conocimiento cero utilizado debe ser ultrarrápido. En comparación con el resumen zk y el resumen optimista, agregar funciones es más lento debido a las limitaciones de rendimiento de la construcción de prueba del lado del cliente. La programabilidad se puede lograr, pero la compatibilidad total con EVM sigue siendo un esfuerzo.El modelo de estado es diferente. El valor debe expresarse como una "nota" como un Bitcoin UTXO, y no se puede usar el modelo de cuenta de Ethereum. Por supuesto, se puede abstraer en la capa de aplicación. El mundo de L2 es competitivo y hay mucha presión para lanzar un producto y ganar usuarios antes que tus pares. Bajo presión, las personas pueden tomar atajos o agregar suposiciones de confianza adicionales, que después de todo son difíciles de percibir para los usuarios. Ahora, el mayor desafío es la disponibilidad de datos. Si L2 no publica datos de transacciones en la cadena de bloques, el controlador de L2 puede congelar los fondos de los usuarios. Cada equipo que desarrolla una solución L2 quiere ampliar los límites de este tipo de tecnología. Si bien es admirable, también pueden usar jerga técnica para encubrir fallas en el protocolo. Si está considerando un producto L2, sus desarrolladores deberían poder responder adecuadamente a estas preguntas: ¿Cómo logra este L2 la disponibilidad de datos? Si el costo de la transacción es más de 20 veces menor que el de las transferencias ordinarias de ETH, probablemente no divulgaron los datos de la transacción a la cadena de bloques. ¿Pueden los usuarios iniciar transacciones unilaterales basadas en la información que han obtenido en la cadena de bloques de Ethereum? ¿Qué pasa con los retiros? ¿Existe una descripción técnica pública de este producto que pueda ser verificada por un tercero? Además, para el esquema de resumen de zk y el esquema de resumen de privacidad, también debe hacer la siguiente pregunta: ¿Son válidos los datos de la cadena? ¿Se colocarán todos los datos en el circuito de resumen como entrada pública? ¿El L2 se basa en un clúster de computación centralizado para producir el resumen? En caso afirmativo, ¿el equipo de desarrollo tiene un plan para evitar la censura y la anticipación? Si está completamente descentralizado, ¿cuántos proveedores podría haber? ¿Probar que el algoritmo construido es público y auditable? Los próximos 12 meses podrían ser los más emocionantes en el mundo de L2. Se lanzarán oficialmente numerosos acuerdos, representando la voz fuerte de toda la industria durante años de investigación e ingeniería en profundidad. Como Aztec, nuestro objetivo es desarrollar una solución de contrato inteligente de privacidad programable.

Tags：

TUSD