Mille-feuille: una guía de capa 2

Hola a todos, soy Zac, el CEO de Aztec. Inventamos Plonk, una tecnología ZK-SNARK de uso general, y zk.money, el primer proyecto acumulativo de privacidad del mundo y uno de los protocolos L2 implementados recientemente en la red principal de Ethereum. A medida que más y más equipos de Capa 2 implementan su tecnología en la red principal de Ethereum y continúan convirtiendo la visión de escalar Ethereum en realidad, el panorama en la Capa 2 se vuelve cada vez más fascinante. Pero si el usuario aún no se ha integrado a esta ecología y no ha entendido los términos relacionados con la Capa-2, entonces el usuario puede pisar el trueno. Desafortunadamente, la mayoría de las personas explican las soluciones de Capa 2 debido a sus intereses y estarán sesgadas hacia una tecnología específica (es decir, ¡sí, la tecnología utilizada por su protocolo!) ¿En qué se diferencia de ellos? ¡Absolutamente no! Pero al menos hablo claro y no pretendo ser imparcial, ¿verdad? Haré todo lo posible para dar una visión general justa. El mundo de las soluciones de escalado/criptografía basadas en blockchain es pequeño, por lo que todos los equipos que superan sus límites merecen nuestro respeto. ¡Así que pensé que deberíamos involucrarnos! ¿Qué es L2 y por qué es importante? Eth 1.0 tiene un rendimiento de transacción limitado, lo que resulta en tarifas de transacción extremadamente altas. Las tarifas de transacción de ETH provienen principalmente de: Tarifas por cambios de almacenamiento de estado Tarifas por datos de transacción Tarifas por computación Las soluciones de capa 2 delegan una o más de las tareas anteriores a una red secundaria construida sobre Ethereum. En términos generales, hay dos tipos de capa 2, cada uno con sus propios requisitos de seguridad y ventajas y desventajas: resúmenes optimistas y resúmenes zk. Aztec define una tercera categoría: resumen de privacidad. Paquetes acumulativos optimistas Un paquete acumulativo optimista es como una versión en miniatura de Ethereum, que como red también puede albergar contratos y transacciones inteligentes. El resumen optimista transmite periódicamente bloques de transacciones a un contrato inteligente de capa 1. Estos "bloques" incluyen los datos de transacción completos para cada transacción en el bloque, y nada más. Los contratos inteligentes en la capa 1 no realizan ningún cálculo ni realizan actualizaciones de almacenamiento. Esto reduce drásticamente el costo de publicar un bloque. La razón por la que se llama resumen optimista (optimista) es porque el esquema asume que cada transacción es válida de forma predeterminada: el contrato inteligente en la capa 1 no verificará directamente su validez. Por el contrario, si un usuario cree que una transacción es incorrecta (por ejemplo, una transacción de doble gasto), puede emitir una "prueba de fraude". En este momento, los contratos inteligentes en la capa 1 pueden usar los datos de bloque liberados por el resumen para verificar la validez de esas transacciones sospechosas de fraude. Esta operación es muy costosa, pero solo debe realizarse si se sospecha que se ha cometido un delito. Si se confirma el comportamiento malicioso, la entidad que emitió el bloque acumulativo optimista (a menudo llamado validador) perderá parte de la criptomoneda que prometió. Las acumulaciones optimistas se basan en este consenso económico para garantizar que las transacciones sean legítimas. El período de espera de retiro para las acumulaciones optimistas suele ser más largo (por ejemplo, una semana). Esto se debe a que, una vez que se publica una transacción en los resúmenes, el usuario debe esperar para ver si alguien acusa a su transacción de ser inválida y se publica una prueba de fraude en la red (es como cuando un sacerdote pregunta "Cualquiera que se oponga a... "¿En una boda? El embarazoso silencio que sigue). El tiempo de espera para la prueba de fraude reduce drásticamente los tiempos de retiro. El costo principal de ejecutar una transacción en un resumen optimista es el costo de publicar los datos de la transacción en la cadena. Todos los paquetes acumulativos se enfrentan a este problema de disponibilidad de datos, ya sean optimistas o no. Para evitar que se congelen sus propios fondos, los usuarios deben tener permiso para acceder a todos los datos de transacciones del resumen. Publique estos datos en la capa 1 o exija suposiciones de confianza adicionales de los usuarios (por ejemplo, crea que algunas cadenas laterales permitirán que los usuarios accedan a estos datos). Al momento de escribir este artículo, si los rollups que está utilizando no publican sus datos de transacción en la cadena, eso significa que solo puede esperar que el servicio centralizado en el que confía no congele sus fondos. Pros: rico en características. La arquitectura de Eth1.0 se puede copiar y se pueden admitir contratos inteligentes. Más fácil de construir e implementar que zk-rollups Contras: Tiempos de retiro más largos. Se tarda aproximadamente una semana desde el momento en que se ejecuta la transacción hasta que la transacción se considera "segura y válida" (es decir, no se presenta ninguna prueba de fraude). El problema de los tiempos de salida lentos se puede mitigar con la ayuda de suscriptores (es decir, aquellos que cobran una pequeña tarifa y brindan liquidez L1, con el objetivo de permitir que los usuarios se retiren rápidamente). Los ZK Rollups son manejados por la red secundaria Computación y almacenamiento. L2 transmite los datos de la transacción a la red principal y proporciona una prueba de validez, una prueba matemática de que la transacción es válida. Es decir, las transacciones por lotes en L2 se agregan en una transacción grande y se envían a un contrato inteligente en L1. El prefijo "zk" en zkRollups significa "conocimiento cero". Sin embargo, los zkRollups no brindan protección de la privacidad: todas las transacciones son públicas de forma predeterminada, como los resúmenes optimistas. Se llama "zk" porque estas pruebas de validez suelen generarse mediante sistemas de prueba de conocimiento cero (por ejemplo, ZK-SNARK o ZK-STARK). La ventaja de esto es que hay menos gastos generales para las actualizaciones y los cálculos de los elementos de almacenamiento en la red principal de Ethereum. No hay necesidad de asumir de manera optimista que la transacción es válida y, si se demuestra que es válida, se puede determinar que la transacción es válida. Esto significa que los zkRollups tienen tiempos de retiro mucho más rápidos que los acumulativos optimistas y requieren menos suposiciones de confianza. El elefante blanco en la habitación es que las pruebas de conocimiento cero agregan una cantidad asombrosa de sobrecarga computacional a una transacción. ¡Crear una prueba de conocimiento cero para un cálculo es aproximadamente un millón de veces más lento que ejecutar el cálculo directamente! Esta es una estimación aproximada que variará según los cálculos involucrados, pero es precisa para los tipos de cálculos en los contratos inteligentes de Solidity. zkRollups maneja esto al delegar la generación de pruebas a "proveedores de resumen" de terceros con recursos computacionales masivos. Los usuarios confiarán en estos proveedores de servicios externos para crear transacciones para ellos. Los proveedores de acumulación pueden censurar o adelantar transacciones, al igual que los mineros de Ethereum. Cuanto más poder de cómputo se requiera, menos sujetos pueden ser proveedores de rollup, por lo que debemos resolver completamente el problema de revisión desde la arquitectura del protocolo. Cuando se trata de portar contratos inteligentes a L2, la alta sobrecarga computacional plantea algunos desafíos para nosotros. Nuestro objetivo es ser totalmente compatibles con EVM. Para lograr este objetivo, debemos resolver este problema de ralentización de 1 millón de veces. El EVM es extremadamente hostil para los SNARK, ya que el tamaño de la palabra es de 256 bits y es compatible de forma nativa con SHA3 y otros algoritmos hash que no son compatibles con SNARK. Incluso delegar la prueba del cálculo a un tercero con grandes recursos informáticos puede no ser suficiente. Una posible solución es escribir el algoritmo probador zkSNARK directamente en silicio a través de FPGA o ASIC. Los proveedores de resumen necesitarán este hardware para crear pruebas. Crear pruebas zk es mucho más lento que ejecutar un programa normal. Nuestra investigación sobre Plonk y Plookup acelera los SNARK en un orden de magnitud, pero los zkRollups aún tienen problemas de rendimiento en comparación con los resúmenes optimistas. Por lo general, los lenguajes de programación SNARK y STARK han tenido que adaptarse a las ineficiencias de sus sistemas de prueba subyacentes. Estos dos lenguajes generalmente tienen dificultades para implementar bucles de longitud variable y acceso dinámico a la memoria (como vectores y matrices dinámicas). Algunos de estos problemas se resolvieron en nuestro último estudio de Plookup, pero no todos. Esto significa que zkRollup puede requerir que los desarrolladores transfieran sus contratos a un idioma personalizado (como el idioma Cairo de Starkware). Para aquellos zkRollups que no tienen como objetivo la compatibilidad total con EVM, existe la ventaja de que las transacciones son más baratas. Si no hay necesidad de seguir la semántica de EVM, es posible reducir la cantidad de datos de transmisión por transacción elemental. La red de Hermes hace precisamente eso. Los costos de transacción pueden ser más económicos que los resúmenes optimistas No requiere pruebas de fraude, los tiempos de retiro son más cortos En comparación con los resúmenes optimistas, las características se agregan más lentamente Depende de terceros que usan hardware personalizado para generar pruebas Puede requerir un lenguaje personalizado con funcionalidad limitada Recopilaciones de privacidad Aztec ha lanzado paquetes acumulativos de privacidad en la red principal en marzo de 2021. Los usuarios pueden encapsular ETH en un escudo de privacidad y enviar transacciones privadas a través de zk.money, nuestra billetera de privacidad en línea. La técnica de los rollups de privacidad es muy similar a la de zkRollups, pero su propósito es completamente diferente. Los paquetes acumulativos de privacidad están diseñados para proporcionar sólidas garantías de privacidad a los usuarios de L2. Los usuarios mantienen fondos de forma anónima. Al ejecutar una transacción, tanto el remitente como el receptor son anónimos, e incluso el monto de la transferencia está encriptado. Para ello utilizamos Plonk, un sistema de prueba de conocimiento cero de última generación. Inventamos Plonk en 2019 y rápidamente se convirtió en el estándar de la industria entre los equipos que desarrollan pruebas de conocimiento cero en blockchains. Lograr la privacidad por diseño requiere una arquitectura de resumen muy diferente a la de zkRollup. Nuestro enfoque es "primero la privacidad" porque sabemos que actualizar una L2 pública con privacidad programable a menudo requiere sacrificar la experiencia del usuario o refactorizar radicalmente todo el protocolo. La solución de privacidad actual basada en Ethereum es un mezclador. Los mezcladores se pueden usar para anonimizar la cantidad de fondos de un usuario, pero tienen poco más que hacer. La versión completa de nuestra privacidad L2 incluirá más funciones: contratos inteligentes de privacidad totalmente programables. Las monedas de privacidad tendrán una lógica de transacción más avanzada. La propiedad de privacidad de NFT puede ocultar por completo los atributos de NFT, solo visibles para el propietario de NFT. Los cheques antilavado de dinero y KYC se pueden programar directamente en tokens de privacidad/dApps (por ejemplo, KYC). tokens —— Los usuarios pueden realizar transacciones con contrapartes de confianza sin conocer su identidad real) Privacidad DeFi! Este es un tema amplio que merece un artículo completo (¡próximamente!) Obtener estos beneficios solo es posible si la privacidad es una prioridad principal desde el principio. Los modelos de transacción y estado del protocolo también deben diseñarse para que sean compatibles con las propiedades de privacidad. Ventajas: Realizar transacciones privadas. Las actividades financieras de los usuarios no serán analizadas por terceros y los proveedores de resumen no podrán censurar ni adelantarse a las transacciones de los usuarios. Para esos proveedores, cada transacción es como una cadena de números aleatorios No se necesitan pruebas de fraude, el tiempo de retiro es muy corto No se requiere un tercero para realizar cálculos, los usuarios pueden retirar fondos unilateralmente Desventajas: Más caro que el L2 público (pero más barato que la red principal), hasta el lanzamiento del esquema de disponibilidad de datos/Eth 2.0, los usuarios deben crear pruebas zk de transacciones privadas localmente y no pueden confiarlas a un tercero. Por lo tanto, el sistema de prueba zk tiene que ser ultrarrápido. Los paquetes acumulativos de privacidad son más lentos para agregar características que zkRollup y el paquete optimista debido a las limitaciones de rendimiento de las pruebas creadas por el cliente. La programabilidad es posible, pero llevará un tiempo lograr la compatibilidad total con EVM. El esquema de estado es diferente. El valor debe expresarse en 'notas' UTXO como Bitcoin, en lugar de a través del modelo de cuenta de Ethereum. Por supuesto, se puede abstraer en la aplicación. Buscando señales en medio del ajetreo y el bullicio La competencia en el campo de L2 es feroz Si desea lanzar una solución antes que sus pares y ganar una gran cantidad de usuarios, debe soportar una gran presión. Esto puede conducir a algunos recortes y la necesidad de agregar suposiciones de confianza adicionales que son ambiguas para el usuario. El mayor problema en este momento es la disponibilidad de datos. Si L2 no publica sus datos de transacciones en la cadena, los administradores de L2 pueden congelar los fondos de los usuarios. Cada equipo de L2 está trabajando arduamente para ampliar los límites de la tecnología de solución de escala actual. Si bien esto es admirable, existe una buena posibilidad de que estén usando alguna jerga técnica para ocultar las fallas del protocolo. Si los usuarios están considerando usar L2, deben juzgar si una solución puede resolver adecuadamente las siguientes preguntas: ¿Cómo logra esta L2 la disponibilidad de datos? Si sus tarifas de transacción son más de 20 veces más bajas que las tarifas de transferencia normales en Ethereum, entonces tal vez no transmitieron todos los datos a la cadena ¿Pueden los usuarios retirar fondos unilateralmente de L2 según la información publicada en la red principal de Ethereum? ¿Existe una descripción técnica pública del protocolo para la verificación de terceros? Además, para los zkRollups y los paquetes acumulativos de privacidad, los usuarios también deben considerar las siguientes preguntas: ¿Se puede demostrar que los datos en la cadena son válidos? ¿Se enviarán todos estos datos como una entrada común al circuito del resumen? ¿El L2 se basa en un clúster de cómputo centralizado para crear acumulaciones? Si es así, ¿qué planes tienen para evitar la censura y la competencia? ¿Cuántos proveedores acumulativos podría haber cuando estuviera completamente descentralizado? ¿El algoritmo de creación de pruebas es públicamente visible y auditable? Visión de futuro El próximo año será muy emocionante en el espacio L2. Numerosos protocolos se implementarán oficialmente en la red principal, y años de I+D y trabajo de ingeniería en la industria marcarán el comienzo del momento más próspero.

Tags：

Etéreo