在EigenLayer上扩展可编程信任，利用拉格朗日状态委员会和大数据协处理器

lagrangelabs
发布于 2023-12-16 21:20
阅读 31

本文介绍了Lagrange的产品系列，包括Lagrange的State Committees、Lagrange Coprocessor和Recproofs/ZK MapReduce，强调了这些技术如何通过增强经济安全与互操作性来提高跨链协议的性能。

![](https://img.learnblockchain.cn/2025/03/11/1lZZtO-tZMZ6GHzXQmM7eeQ.png)

几个月前，我们[宣布了创建一个共享且无权限的安全区域](https://medium.com/@lagrangelabs/lagrange-labs-and-eigenlayer-announce-a-strategic-partnership-28bb7d669f98)，用于跨链桥接和消息协议，结合了 EigenLayer 的重质押以及 Lagrange 的状态委员会基础设施。Lagrange 的状态委员会作为优秀的 ZK 轻客户端协议，适用于乐观 Rollup。在那之后，我们已准备好将 Lagrange 状态委员会协议部署，并最终接近将我们的 AVS 引入 EigenLayer 的测试网和合作伙伴应用。

在即将推出的 AVS 部署之前，我们将发布一系列三篇的文章，以正式向更广泛的受众和开发者社区介绍 Lagrange 的产品套件——包括 Lagrange 状态委员会、Lagrange 协处理器和 Recproofs/ZK MapReduce。我们将在系列的过程中更深入探讨每个产品的细节，但你可以阅读我们之前的一些著作和研究，以刷新对 Lagrange 的 “ZK 大数据堆栈” 的认识：

- [**_模块化区块链的互操作性：Lagrange 论文_**](https://medium.com/@lagrangelabs/interoperability-for-modular-blockchains-the-lagrange-thesis-41352740914f)
- [**_大数据基础：介绍 ZK MapReduce_**](https://learnblockchain.cn/article/12555)
- [**_Lagrange 状态委员会介绍_**](https://hackmd.io/@lagrange/lagrange-committee)
- [**_Recproofs：可更新批量证明的向量承诺及其应用_**](https://uploads-ssl.webflow.com/6460ebf2b6ff254688bebf1c/64e4dd54d9198fde8d58ef44_main.pdf)
- [**_Nova：从 IVC 到 zkMapReduce 的通用 PCD_**](https://lagrangelabs.notion.site/Nova-from-IVC-to-general-PCD-for-zkMapReduce-d04afec2d70c47db9dfb67e84d0d796e)

系列的第一篇文章（这篇）将探讨 Recproofs、ZK MapReduce 和 Lagrange 协处理器，当与 Lagrange 状态委员会基础设施结合时，可以显著提高表现力和系统性能。具体而言，我们将解释 Lagrange 的 ZK 证明技术如何为我们的状态委员会提供动力，并能够为在 EigenLayer 上构建的 AVS 团队启用新的设计可能性。

让我们深入探讨吧！

## 状态委员会

当前的 EVM 链之间的消息和桥接方法依赖于分隔的经济安全模型。安全模型通常呈现为 “_k_ of _n_” 的验证者诚实假设，其中要证明某个状态存在或某笔交易在不同链上发生，需要普选（_k_），而总数（_n_）节点必须达成一致。这些方法的例子包括多重签名钱包、跨证明集的门限签名方案、Tendermint 权益证明共识及以太坊轻客户端同步委员会的证明。尽管这些方法各自有其独特的优势，但它们都面临一个设计限制：小的验证者法定人数的脆弱性。具体而言，每个跨链协议都有一个大小限制的验证者集合，这个集合可以被孤立地攻击，攻击方式是通过妥协其中的多数节点，而这在野外许多桥接协议中发生过灾难性的案例。

Lagrange 的状态委员会 (LSC) 是一种安全且灵活的轻客户端协议，适用于乐观 Rollups。与孤立的 “_k of n_” 桥接相比，支持跨链状态委员会的独特证明机制支持无界数量的节点。因此，基于各个证明的担保可随着越来越多跨链协议决定将安全性汇入状态委员会而动态扩展。这使得 LSC 网络表现出超级线性的安全性，因为大型资本池的攻击难度在规模上呈指数级增加，而不是相对分散细分部分的总和。

Lagrange 的状态委员会为互操作性启用了一个共享的经济安全中心，_而不会引入风险堆叠或增加中介风险_。这些特点直接源于 Lagrange 证明堆栈的使用，因为对区块的无界大小证明集的证明可以被任何智能合约轻松验证在链上。此外，在 Lagrange 的状态委员会的情况下，_经济安全不受验证者数量的限制_，由此实现了超线性安全，即对协议的经济攻击需要全面颠覆或合谋所有保护状态委员会的经济带宽，而不仅仅是一个严格较小的子集。由于状态委员会独立于传输层，因此它们可以与现有互操作性协议的安全性相加。每个证明是轻量级的，可以在没有复杂技术开销的情况下在任何地方进行验证。

## 扩展可验证计算和在 EigenLayer AVS 生态系统中的表现力

EigenLayer 的 [可编程信任](https://www.blog.eigenlayer.xyz/the-three-dimensions-of-programmable-trust/) 模型——基于 ETH 重质押——鼓励开发者重新思考启动任何需要分布式验证和共识的应用程序的方案（如 EigenLayer 白皮书中描述的 _积极验证服务_ (AVS)）。可编程信任使得链上应用能够根据其需求动态扩展经济安全性，这对建立新一类协议、赋能新的 [价值互联网](https://www.circle.com/blog/intro-to-crypto-and-the-internet-of-value) 是一种强大的原始构件。

值得注意的是，我们看到 EigenLayer 重质押及因此产生的以太坊中重质押验证者数量增加的（不可避免的）两种潜在影响：

**1\. 随着 EigenLayer 中间件基础设施的成熟，以及关键组件（例如罚没逻辑）的战斗测试，AVS 团队将设计出更定制化的方案，并拥有更复杂的操作员要求，因为可保障的经济交易的宇宙不断扩张**

**2\. 随着 AVS 部署增加其操作员集合，管理 EigenLayer 操作员相关的表达性计算（例如，验证签名和评估操作员活动）高效执行的需求将增长。**

在 Lagrange Labs，我们正在构建一组基础设施原语，以扩展链外计算并提高链上计算的表现力，称为 **ZK 大数据堆栈**。Lagrange Labs 的 ZK 大数据堆栈旨在提高链上和链间如何使用合约状态的安全性和表现力，包含：

- **Lagrange 协处理器**：一种 ZK 驱动的 [协处理器](https://crypto.mirror.xyz/BFqUfBNVZrqYau3Vz9WJ-BACw5FT3W30iUX3mPlKxtA)，旨在通过提供一个便宜的环境来执行对链上数据的计算，从而减少对开发者的限制（在传统区块链虚拟机中执行将是昂贵的）。所有状态数据均来自链上来源——通过验证状态访问的证明，确保离线计算不需要额外的信任假设。
- **ZK MapReduce**：Lagrange 协处理器的一项功能，能够对任意数据集进行高效的分布式计算并生成合约存储的安全证明。ZK MapReduce 通过克服顺序计算的局限性，并通过并行计算和证明生成，使得 Lagrange 协处理器得以提升。
- **Recproofs**：一种向量承诺方案，用于并行证明批量集合包含性和动态 MapReduce 风格计算。Recproofs通过在规模上回收证明，优化 ZK MapReduce 计算。
- **Lagrange 的状态委员会**：通过 EigenLayer 重质押担保的跨链协议的共享安全解决方案。Lagrange 状态委员会 AVS 是一种优雅的 ZK 轻客户端协议，适用于乐观 Rollup，并与 ZK 大数据堆栈的其他组件集成以获得更好的性能。例如，ZK MapReduce 和 Recproofs 促进了 Lagrange 状态委员会 AVS 中操作员 BLS 公钥的高效聚合，并在不增加验证跨链状态的证明的开销的情况下，提升了 AVS 的参与率。

在 EigenLayer 上构建应用程序的其他 AVS 团队也可以利用 Lagrange 的 MapReduce 协处理器所提供的可扩展、动态和表现力强的计算的优势，尤其是 Recproofs 构建的功能。具体而言，Lagrange 的 MapReduce 协处理器可以减少 AVS 团队的运营开销，并为协议开发者提供更大的灵活性，以便于设计定制的 AVS 工作流，使得：

1. **为 AVS 节点操作员动态和可更新的 BLS 公钥聚合**
2. **从其他 AVS 合约对 EigenLayer 注册合约的可证明查询**

在接下来的部分中，我们将详细讨论我们 Recproofs 和 ZK MapReduce 协处理器的这两个用例。

## 为 EigenLayer AVS 操作员动态聚合 BLS 公钥

许多在 EigenLayer 上部署的 AVS 的核心组成部分，如 Lagrange 的状态委员会，是对 “法定签名” 的验证，其中法定指的是 AVS 部署中操作员的一部分。参与法定的操作员为特定消息签名——然后聚合这些签名以方便通过 [BLS12–381 原语](https://hackmd.io/@benjaminion/bls12-381) 验证——而 AVS 协议根据消息的某些属性（例如签名者数量）决定是否对一个或多个操作员进行罚没。

例如，一个 AVS 可以检测操作员的停机并相应地罚没，方法是验证一个或多个注册法定的操作员没有对此法定签名进行贡献。EigenLayer 的 [注册架构](https://github.com/Layr-Labs/eigenlayer-middleware#the-registry-coordinator-and-registries)（我们稍后将更详细地解释注册）经过优化以降低验证法定签名的成本。但是，签名验证_仍然_相对昂贵——尤其是因为计算聚合的 BLS 公钥的时间和成本，无论是在链上还是电路中，均与被聚合或去聚合的密钥数量呈_线性_关系。

以下是现阶段在集成了 EigenLayer 中间件的 AVS 部署中对 BLS 签名聚合和验证的处理方法：

1. 当操作员注册到法定时，他们的 BLS 公钥与该法定的现有聚合公钥 (apk) 进行聚合，以生成新的 apk。
2. 在预承诺时，分发器将聚合签名、聚合公钥和非签名者位在链上传递给 [_checkSignatures_ 函数](https://github.com/Layr-Labs/eigenlayer-middleware/blob/m2-mainnet/docs/BLSSignatureChecker.md)。_checkSignatures_ 函数通过去聚合非签名者并检查聚合签名的有效性来验证 apk。

考虑到当前的流程，现在我们要问：_如果我们能够改善 BLS 签名聚合和验证的工作流程，使其变得更便宜而不降低正确性呢？_

在此，我们建议应用 Lagrange 的 Recproofs 和 ZK MapReduce 协处理器来提高验证 EigenLayer AVS 合约中密钥聚合批证明更新的效率。如前所述，[Recproofs](https://uploads-ssl.webflow.com/6460ebf2b6ff254688bebf1c/64e4dd54d9198fde8d58ef44_main.pdf) 是一种新的向量承诺方案，旨在同时证明批量集合包含性和动态 MapReduce 风格的计算。Recproofs（与 ZK MapReduce 协处理器结合）在 Lagrange 状态委员会 AVS 中被用来创建可更新的 BLS 公钥聚合，使 AVS 操作员集合能够通过高效地计算聚合公钥而扩展到几乎无界的规模。

该前提是，之前聚合的证明可以更新（而不是被丢弃），更新的效率与自上一个证明生成以来，法定中的修改签名者数量成正比。与天真的方法相比，证明时间或费用相对于签署者或非签署者子集大小的线性扩展不同的是，使用 Recproofs 意味着证明时间_仅与需要对签署者子集进行的更新数成比例_。

现在，利用 Recproofs，我们提出一种新的 BLS 公钥聚合方法。我们对法定的 BLS 公钥的计算方法可总结如下：

当一个叶子更改时（无论是签署者子集中的更改，还是在整体集合中），只需重新计算与更改元素相对应的路径，即可更新批证明。_未受更改影响的每个子树的证明无需重新计算_。

具体而言，假设 _n_ 个验证者的 BLS 公钥存储在某个智能合约的内存中。借助我们的 MapReduce 协处理器，我们能够支持创建可更新的公钥聚合，步骤包括：

1. 生成一个证明 _π_，证明“ _apk_ 是存储在注册合约的某组 _n_ 公钥的子集 _S_ 的聚合 BLS 公钥”。
2. 现在假设有一个由在注册合约中包含的新子集 _S’_ 的验证者签署的消息 _m_。假定 S’ ∆ S > 0 且 S’ ∩ S > 0。我们需要聚合一个验证者子集 _S’_ 的公钥以生成 _apk’_。使用 Recproofs 和我们的 MapReduce 协处理器，我们可以高效地回收先前生成的证明 _π_，而不是从头生成一个新的证明 _π’_，更新步骤可以以对数时间进行，且仅与 S’ ∩ S > 0 的数量相关。

![](https://img.learnblockchain.cn/2025/03/11/72686750_image.jpg)

图 1. MapReduce 动态聚合 BLS 公钥。要详细了解 Recproofs，请访问 [https://lagrange.dev/recproofs](https://lagrange.dev/recproofs)。

## 对 EigenLayer 注册合约的可证明查询

EigenLayer 注册是用于跟踪个别节点操作员特定属性或元属性的智能合约。根据 [注册文档](https://github.com/Layr-Labs/eigenlayer-middleware#registries)，为与 EigenLayer 中间件集成的 AVS 构建了以下注册合约：

- **StakeRegistry**：用于跟踪不同操作员在不同法定中、不同时期的质押情况。
- **BLSPubkeyRegistry**：用于跟踪不同法定在不同时期的聚合公钥。请注意，AVS 合约使用 BLS 聚合签名，因为其在大规模操作验证者集合中的扩展性较强。
- **IndexRegistry**：用于跟踪每个法定中操作员的有序列表在不同时期的情况。

EigenLayer 注册中存储的数据旨在被 AVS 中的成员读取和索引——特别是节点操作员和 AVS 协调员。然而，由于 Solidity 中映射类型的搜索和迭代限制，查询注册合约以获取操作员信息可能略显昂贵。

就背景而言，映射不可搜索——意思是 EigenLayer 注册合约不能被其他链上的 (AVS) 合约高效遍历——这造成了对于如何对数据进行查询和在线使用的限制。为了说明这个问题，目前证明链上数据广泛查询的成本很高，比如在 EVM 内（使用 Solidity）或者任何其他存储证明机制，例如：

- “生成地址 XYZ 所参与的所有法定。”
- “生成所有参与协议 X，且质押金额大于 Y 的 EigenLayer 验证者。”
- “汇总所有完成特定任务的操作员的权重。”
- “生成过去两个时期未完成特定任务的所有操作员。”

这样的查询对于构建定制 AVS 任务流、罚没流和支付流非常有用。此外，这些查询可以解锁一波创新，为其他链上应用提供新方式，在 EigenLayer 之上编排新的功能。此类逻辑的示例包括基于预定义条件（例如操作员参与历史、性能和罚没事件）的自动质押委托和质押再平衡。

Lagrange 的 Recproofs 和 ZK MapReduce 协处理器共同工作，以通过直接在现有链上数据结构之上创建_可搜索索引_来轻松缓解此限制。首先，我们对希望搜索的映射或数组数据结构整体部分生成批证明。由于数组或映射的内存槽通常在 MPT 树中非常接近，我们的标准哈希方法可以避免重复计算。

为了便于廉价状态访问，Lagrange 的 Recproofs 可以用于提供高效的 Merkle 树摘要转换，使用不同的哈希函数。此处包含两步：

**1\. 优化内存索引**：为了在合约的映射上创建可搜索索引，我们首先生成一个 SNARK 友好的数据结构（例如，Poseidon 二叉树），该结构包含映射的所有元素。这需要证明存储在注册映射的 MPT 部分与新数据结构之间的等价性。

具体而言，该证明声称：“包含映射 _n_ 值的 MPT 树部分可以使用一种不同的 SNARK 友好的哈希函数生成 Merklized 新摘要 _D’_。即，证明 _C_ ₁( _H_ ₁({ _a_ ₁, _b_ ₁, …, _n_ ₁}) == _C_ ₂( _H_ ₂({ _a_ ₂, _b_ ₂, …, _n_ ₂}), 以保证 _a_ ₁ == _a_ ₂, _b_ ₁ == _b_ ₂，等等。”

**2\. 按需查询**：一旦为 SNARK 友好的数据结构创建了等价性证明，我们可以通过使用优化后的根生成来自 Lagrange 协处理器的查询结果证明。这使得可以快速且低成本地对 注册合约中包含的数据进行按需查询，且能够易于在链上被其他合约验证。

而且，这种方法不需要任何链上缓存（因为维护成本高且大多适合缓存区块头）。相反，我们有效地只是将预计算的等价性证明递归到为查询所生成的证明中。递归证明的验证需约 100 毫秒——使用 [折叠方案](https://lagrangelabs.notion.site/Nova-from-IVC-to-general-PCD-for-zkMapReduce-d04afec2d70c47db9dfb67e84d0d796e#e1e4a6a2a83c479a8a0ad871c7f6dce4) 实施时甚至更少——这意味着证明查询的延迟非常低（因为它始终使用优化后的根），但_证明的安全性始终基于从区块头获得的根_。

## 总结

在这篇文章中，我们概述了 Lagrange 的状态委员会、Recproofs 和 MapReduce 协处理器如何共同作用，为 EigenLayer 上新 AVS 逻辑和设计可能性提供动力。具体而言，我们概述了如何基于 EigenLayer 的重质押原语构建，根本性地扩展了可保障的金融交易的范围。

在接下来的系列文章中，我们将分享有关 Lagrange 状态委员会架构的更多细节和见解，并进一步强调我们的 MapReduce 协处理器和 Recproofs 产品如何使我们能够为乐观 Rollup 生成高效状态证明。

重要的是，构建互操作解决方案和跨链应用程序（如桥接、消息协议、跨链预言机等）的开发者，应该密切关注我们接下来的文章，这将提供跨链协议共享安全的全面概述。在那里，我们将解释为什么共享安全在安全互操作性这个难题中是关键碎片。

欲了解有关 Lagrange 产品套件、研究和技术架构的更多信息，请访问 [Lagrange Labs 官网](https://www.lagrange.dev/)。你也可以在 [Twitter/X 上关注 Lagrange，以获取更新、公告和新动态。](https://twitter.com/lagrangedev)

## Lagrange 状态委员会和 MapReduce 协处理器的下一步是什么？

Lagrange Labs 的产品和 AVS 部署计划将紧密跟随 EigenLayer 的进度。有关更多技术细节，请参见本系列的第二篇和第三篇文章。

## 致谢

[Ismael Hishon-Rezaizadeh](https://twitter.com/Ismael_H_R)（ [Lagrange Labs](https://twitter.com/lagrangedev)）、[Omar Yehia](https://twitter.com/omarryehia1)（ [Lagrange Labs](https://twitter.com/lagrangedev)）和 [Emmanuel Awosika](https://twitter.com/eawosikaa) 为本文作出了贡献。Emmanuel 受 Lagrange Labs 合同支持，协助撰写本文。感谢 EigenLabs 团队的反馈和见解。

>- 原文链接： [medium.com/@lagrangelabs...](https://medium.com/@lagrangelabs/scaling-programmable-trust-on-eigenlayer-with-lagranges-state-committees-and-big-data-coprocessor-ec56a7562652)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

几个月前，我们宣布了创建一个共享且无权限的安全区域，用于跨链桥接和消息协议，结合了 EigenLayer 的重质押以及 Lagrange 的状态委员会基础设施。Lagrange 的状态委员会作为优秀的 ZK 轻客户端协议，适用于乐观 Rollup。在那之后，我们已准备好将 Lagrange 状态委员会协议部署，并最终接近将我们的 AVS 引入 EigenLayer 的测试网和合作伙伴应用。

让我们深入探讨吧！

状态委员会

当前的 EVM 链之间的消息和桥接方法依赖于分隔的经济安全模型。安全模型通常呈现为 “k of n” 的验证者诚实假设，其中要证明某个状态存在或某笔交易在不同链上发生，需要普选（k），而总数（n）节点必须达成一致。这些方法的例子包括多重签名钱包、跨证明集的门限签名方案、Tendermint 权益证明共识及以太坊轻客户端同步委员会的证明。尽管这些方法各自有其独特的优势，但它们都面临一个设计限制：小的验证者法定人数的脆弱性。具体而言，每个跨链协议都有一个大小限制的验证者集合，这个集合可以被孤立地攻击，攻击方式是通过妥协其中的多数节点，而这在野外许多桥接协议中发生过灾难性的案例。

Lagrange 的状态委员会 (LSC) 是一种安全且灵活的轻客户端协议，适用于乐观 Rollups。与孤立的 “k of n” 桥接相比，支持跨链状态委员会的独特证明机制支持无界数量的节点。因此，基于各个证明的担保可随着越来越多跨链协议决定将安全性汇入状态委员会而动态扩展。这使得 LSC 网络表现出超级线性的安全性，因为大型资本池的攻击难度在规模上呈指数级增加，而不是相对分散细分部分的总和。

Lagrange 的状态委员会为互操作性启用了一个共享的经济安全中心，而不会引入风险堆叠或增加中介风险。这些特点直接源于 Lagrange 证明堆栈的使用，因为对区块的无界大小证明集的证明可以被任何智能合约轻松验证在链上。此外，在 Lagrange 的状态委员会的情况下，经济安全不受验证者数量的限制，由此实现了超线性安全，即对协议的经济攻击需要全面颠覆或合谋所有保护状态委员会的经济带宽，而不仅仅是一个严格较小的子集。由于状态委员会独立于传输层，因此它们可以与现有互操作性协议的安全性相加。每个证明是轻量级的，可以在没有复杂技术开销的情况下在任何地方进行验证。

扩展可验证计算和在 EigenLayer AVS 生态系统中的表现力

EigenLayer 的可编程信任模型——基于 ETH 重质押——鼓励开发者重新思考启动任何需要分布式验证和共识的应用程序的方案（如 EigenLayer 白皮书中描述的 积极验证服务 (AVS)）。可编程信任使得链上应用能够根据其需求动态扩展经济安全性，这对建立新一类协议、赋能新的价值互联网是一种强大的原始构件。

值得注意的是，我们看到 EigenLayer 重质押及因此产生的以太坊中重质押验证者数量增加的（不可避免的）两种潜在影响：

1. 随着 EigenLayer 中间件基础设施的成熟，以及关键组件（例如罚没逻辑）的战斗测试，AVS 团队将设计出更定制化的方案，并拥有更复杂的操作员要求，因为可保障的经济交易的宇宙不断扩张

2. 随着 AVS 部署增加其操作员集合，管理 EigenLayer 操作员相关的表达性计算（例如，验证签名和评估操作员活动）高效执行的需求将增长。

在 Lagrange Labs，我们正在构建一组基础设施原语，以扩展链外计算并提高链上计算的表现力，称为 ZK 大数据堆栈。Lagrange Labs 的 ZK 大数据堆栈旨在提高链上和链间如何使用合约状态的安全性和表现力，包含：

Lagrange 协处理器：一种 ZK 驱动的协处理器，旨在通过提供一个便宜的环境来执行对链上数据的计算，从而减少对开发者的限制（在传统区块链虚拟机中执行将是昂贵的）。所有状态数据均来自链上来源——通过验证状态访问的证明，确保离线计算不需要额外的信任假设。
ZK MapReduce：Lagrange 协处理器的一项功能，能够对任意数据集进行高效的分布式计算并生成合约存储的安全证明。ZK MapReduce 通过克服顺序计算的局限性，并通过并行计算和证明生成，使得 Lagrange 协处理器得以提升。
Recproofs：一种向量承诺方案，用于并行证明批量集合包含性和动态 MapReduce 风格计算。Recproofs通过在规模上回收证明，优化 ZK MapReduce 计算。
Lagrange 的状态委员会：通过 EigenLayer 重质押担保的跨链协议的共享安全解决方案。Lagrange 状态委员会 AVS 是一种优雅的 ZK 轻客户端协议，适用于乐观 Rollup，并与 ZK 大数据堆栈的其他组件集成以获得更好的性能。例如，ZK MapReduce 和 Recproofs 促进了 Lagrange 状态委员会 AVS 中操作员 BLS 公钥的高效聚合，并在不增加验证跨链状态的证明的开销的情况下，提升了 AVS 的参与率。

为 AVS 节点操作员动态和可更新的 BLS 公钥聚合
从其他 AVS 合约对 EigenLayer 注册合约的可证明查询

在接下来的部分中，我们将详细讨论我们 Recproofs 和 ZK MapReduce 协处理器的这两个用例。

为 EigenLayer AVS 操作员动态聚合 BLS 公钥

许多在 EigenLayer 上部署的 AVS 的核心组成部分，如 Lagrange 的状态委员会，是对 “法定签名” 的验证，其中法定指的是 AVS 部署中操作员的一部分。参与法定的操作员为特定消息签名——然后聚合这些签名以方便通过 BLS12–381 原语验证——而 AVS 协议根据消息的某些属性（例如签名者数量）决定是否对一个或多个操作员进行罚没。

例如，一个 AVS 可以检测操作员的停机并相应地罚没，方法是验证一个或多个注册法定的操作员没有对此法定签名进行贡献。EigenLayer 的注册架构（我们稍后将更详细地解释注册）经过优化以降低验证法定签名的成本。但是，签名验证_仍然_相对昂贵——尤其是因为计算聚合的 BLS 公钥的时间和成本，无论是在链上还是电路中，均与被聚合或去聚合的密钥数量呈_线性_关系。

以下是现阶段在集成了 EigenLayer 中间件的 AVS 部署中对 BLS 签名聚合和验证的处理方法：

当操作员注册到法定时，他们的 BLS 公钥与该法定的现有聚合公钥 (apk) 进行聚合，以生成新的 apk。
在预承诺时，分发器将聚合签名、聚合公钥和非签名者位在链上传递给 checkSignatures 函数。checkSignatures 函数通过去聚合非签名者并检查聚合签名的有效性来验证 apk。

考虑到当前的流程，现在我们要问：如果我们能够改善 BLS 签名聚合和验证的工作流程，使其变得更便宜而不降低正确性呢？

在此，我们建议应用 Lagrange 的 Recproofs 和 ZK MapReduce 协处理器来提高验证 EigenLayer AVS 合约中密钥聚合批证明更新的效率。如前所述，Recproofs 是一种新的向量承诺方案，旨在同时证明批量集合包含性和动态 MapReduce 风格的计算。Recproofs（与 ZK MapReduce 协处理器结合）在 Lagrange 状态委员会 AVS 中被用来创建可更新的 BLS 公钥聚合，使 AVS 操作员集合能够通过高效地计算聚合公钥而扩展到几乎无界的规模。

该前提是，之前聚合的证明可以更新（而不是被丢弃），更新的效率与自上一个证明生成以来，法定中的修改签名者数量成正比。与天真的方法相比，证明时间或费用相对于签署者或非签署者子集大小的线性扩展不同的是，使用 Recproofs 意味着证明时间仅与需要对签署者子集进行的更新数成比例。

现在，利用 Recproofs，我们提出一种新的 BLS 公钥聚合方法。我们对法定的 BLS 公钥的计算方法可总结如下：

当一个叶子更改时（无论是签署者子集中的更改，还是在整体集合中），只需重新计算与更改元素相对应的路径，即可更新批证明。未受更改影响的每个子树的证明无需重新计算。

具体而言，假设 n 个验证者的 BLS 公钥存储在某个智能合约的内存中。借助我们的 MapReduce 协处理器，我们能够支持创建可更新的公钥聚合，步骤包括：

生成一个证明 π，证明“ apk 是存储在注册合约的某组 n 公钥的子集 S 的聚合 BLS 公钥”。
现在假设有一个由在注册合约中包含的新子集 S’ 的验证者签署的消息 m。假定 S’ ∆ S > 0 且 S’ ∩ S > 0。我们需要聚合一个验证者子集 S’ 的公钥以生成 apk’。使用 Recproofs 和我们的 MapReduce 协处理器，我们可以高效地回收先前生成的证明 π，而不是从头生成一个新的证明 π’，更新步骤可以以对数时间进行，且仅与 S’ ∩ S > 0 的数量相关。

图 1. MapReduce 动态聚合 BLS 公钥。要详细了解 Recproofs，请访问 https://lagrange.dev/recproofs。

对 EigenLayer 注册合约的可证明查询

EigenLayer 注册是用于跟踪个别节点操作员特定属性或元属性的智能合约。根据注册文档，为与 EigenLayer 中间件集成的 AVS 构建了以下注册合约：

StakeRegistry：用于跟踪不同操作员在不同法定中、不同时期的质押情况。
BLSPubkeyRegistry：用于跟踪不同法定在不同时期的聚合公钥。请注意，AVS 合约使用 BLS 聚合签名，因为其在大规模操作验证者集合中的扩展性较强。
IndexRegistry：用于跟踪每个法定中操作员的有序列表在不同时期的情况。

“生成地址 XYZ 所参与的所有法定。”
“生成所有参与协议 X，且质押金额大于 Y 的 EigenLayer 验证者。”
“汇总所有完成特定任务的操作员的权重。”
“生成过去两个时期未完成特定任务的所有操作员。”

为了便于廉价状态访问，Lagrange 的 Recproofs 可以用于提供高效的 Merkle 树摘要转换，使用不同的哈希函数。此处包含两步：

1. 优化内存索引：为了在合约的映射上创建可搜索索引，我们首先生成一个 SNARK 友好的数据结构（例如，Poseidon 二叉树），该结构包含映射的所有元素。这需要证明存储在注册映射的 MPT 部分与新数据结构之间的等价性。

具体而言，该证明声称：“包含映射 n 值的 MPT 树部分可以使用一种不同的 SNARK 友好的哈希函数生成 Merklized 新摘要 D’。即，证明 C ₁( H ₁({ a ₁, b ₁, …, n ₁}) == C ₂( H ₂({ a ₂, b ₂, …, n ₂}), 以保证 a ₁ == a ₂, b ₁ == b ₂，等等。”

2. 按需查询：一旦为 SNARK 友好的数据结构创建了等价性证明，我们可以通过使用优化后的根生成来自 Lagrange 协处理器的查询结果证明。这使得可以快速且低成本地对注册合约中包含的数据进行按需查询，且能够易于在链上被其他合约验证。

而且，这种方法不需要任何链上缓存（因为维护成本高且大多适合缓存区块头）。相反，我们有效地只是将预计算的等价性证明递归到为查询所生成的证明中。递归证明的验证需约 100 毫秒——使用折叠方案实施时甚至更少——这意味着证明查询的延迟非常低（因为它始终使用优化后的根），但证明的安全性始终基于从区块头获得的根。

总结

欲了解有关 Lagrange 产品套件、研究和技术架构的更多信息，请访问 Lagrange Labs 官网。你也可以在 Twitter/X 上关注 Lagrange，以获取更新、公告和新动态。

Lagrange 状态委员会和 MapReduce 协处理器的下一步是什么？

Lagrange Labs 的产品和 AVS 部署计划将紧密跟随 EigenLayer 的进度。有关更多技术细节，请参见本系列的第二篇和第三篇文章。

致谢

Ismael Hishon-Rezaizadeh（ Lagrange Labs）、Omar Yehia（ Lagrange Labs）和 Emmanuel Awosika 为本文作出了贡献。Emmanuel 受 Lagrange Labs 合同支持，协助撰写本文。感谢 EigenLabs 团队的反馈和见解。