ZPrize大赛落幕！谁以及如何赢得了 50 万美元？- ZKSECURITY

zksecurity
发布于 2024-05-07 17:56
阅读 24

zkSecurity 与 ZPrize 合作举办的第三届比赛，目标是找到最快的 ECDSA 签名零知识证明方案。

早在 2023 年 8 月，zkSecurity [宣布与 ZPrize 合作组织他们的第三个奖项🏆](https://learnblockchain.cn/article/17846/zprize/)，该奖项旨在产生**最快的有效 ECDSA 签名证明**。结果让我们所有人都感到惊讶，最终我们选择了不止一个，而是两个采用截然不同方法的获胜者！我们上周刚刚宣布了结果📣，所以请继续阅读，了解谁赢了，他们是如何赢得的，以及我们如何分配 50 万美元的奖金！

![0_1](https://img.learnblockchain.cn/2025/07/10/zprize_final_1.png)

如果你不知道，ZPrize 是一个现在有 2 年历史的倡议，它的启动是为了激励开发者为 ZK 生态系统生产有用且开源的库。激励措施是用现金奖励获胜者！每年，各个团队聚集在一起，竞争为不同的算法提出最快的实现方案。

对于最新版 ZPrize 的第 3 个奖项，所有团队在 7 个月前都从相同的[起点/基准代码](https://github.com/zksecurity/zprize-ecdsa-varuna)开始，并以相同为最终目标：**实现 ZK 电路，以在 [Varuna 证明系统](https://www.youtube.com/watch?v=ZdHmk2cBlQ0)之上证明 50 个不同长度的 ECDSA 签名**。我们选择了与以太坊相同的 ECDSA 配置（keccak256 哈希和 secp256k1 曲线），因为它可以立即解锁各种用例。

> 我说过，签名通常就足够了，并且在许多情况下 ZKP 是过度的，但是在 ZKP 中验证签名实际上会导致有趣且有用的应用程序。Coda 协议和 Plumo 都完全做到了这一点（为节点/轻客户端验证共识和交易签名）。最近，Sui 推出了 [zkLogin](https://sui.io/zklogin)，它允许你证明一个平台（例如 Google）签署了你的用户名/邮件，而不会泄露该信息，[Aayush](https://blog.aayushg.com/) 和 [Sampriti](https://github.com/sampritipanda/) 提出了 [zkEmail](https://blog.aayushg.com/posts/zkemail/)，它允许你验证你的电子邮件提供商签署了你收到某些电子邮件的事实，而不会泄露内容或你的电子邮件。（[cryptologie.net](https://cryptologie.net/article/600/a-journey-into-zero-knowledge-proofs/)）

这是有史以来第一个专注于端到端应用程序的 ZPrize 类别。本次 ZPrize 以及之前和第一个 ZPrize 的其他类别通常侧重于较低级别的原语，例如 [MSM 和 FFT](https://blog.janestreet.com/zero-knowledge-fpgas-hardcaml/) 的实现（它们通常被发现是证明系统的构建块）。

**好的，那么谁赢了，代码在哪里？** 事实证明，我们很难弄清楚谁真正应该获胜。我们收到了许多优秀的提交作品，并试图根据纯粹的速度（根据我们发布的基准）、代码质量、撰写质量、可审计性等对它们进行排名。两种解决方案在大多数指标中都领先，但解决方案截然不同。因此，我们决定选择两个获胜者来平均分享奖金：[Zproof](https://github.com/zproof) 和 [Mengling](https://github.com/MengLing-L/zprize-ecdsa-varuna)。

两种解决方案都在消费级设备（具有 32GB 内存的 Macbook Pro）上花费大约 10 分钟来证明 100B 消息的 50 个签名的目标。请注意，这些解决方案还必须包含对消息进行哈希处理的电路！两种解决方案最终都使用了大小为 222 的 SRS，利用了诸如表查找之类的高级功能。1kB 消息的基准测试花费了大约相同的时间来证明。

**我们能从中得出什么结论？** 我们现在有了一个新的基准来衡量：在消费级设备上为 100B 到 1kB 消息的 50 个 ECDSA 证明花费 10 分钟。虽然对于客户端证明来说，这似乎不是一个现实的时间，但这仍然表明，随着未来的改进和更好的硬件，这类应用程序将变得更加现实。此外，对于可能真正关心特定隐私用例的人来说，等待 10 分钟并不是一个疯狂的时间。

Mengling 解决方案采取了一种经典且预期的方式：他们实现了所有必要的约束，以在单个 Varuna 电路中验证 1 个证明。他们利用了表查找和证明批处理等高级功能，以及巧妙的约束优化，来交付一个干净的解决方案。Varuna 的批量证明也有助于降低证明多个此类证明的成本。

另一方面，Zproof 团队押注于不同的证明系统（或者我应该说证明系统！），他们使用了 [starky+plonky2 组合](https://polygon.technology/blog/plonky2-a-deep-dive)，并在 Varuna 证明中以递归方式验证这些证明。因此，他们的堆栈更加复杂，涉及更多的工具（和编程语言）。解决不同消息大小的不同电路总是归结为 plonky2 的单个验证器电路（也在 Varuna 中使用表查找实现），这迫使他们的解决方案在所有基准测试中都具有电路大小的下限。

虽然这为消息长度较小和签名数量较少的用例增加了相当大的复杂性，但这种方法在更大的消息上得到了回报。使用 50kB 消息的基准测试在 [c6a.8xlarge](https://aws.amazon.com/ec2/instance-types/c6a/) AWS 实例（32 个 vCPU，64GB 内存）上花费的时间少于 1,000 秒。

![Screenshot 2024-04-30 at 11.25.57 PM](https://img.learnblockchain.cn/2025/07/10/zprize_final_2.png)

虽然我们必须等待一段时间才能在我们的笔记本电脑中拥有这种硬件，但这表明 ZK 确实将越来越好地用于客户端证明。

同时，1kB 对于许多用例来说已经足够了，我们很想看看人们会用他们手中的这段代码做什么。我们下届 ZPrize 再见！

**感谢所有参与的团队：zproof、mengling、trapdoortech、ponos technology、storswiftlabs。特别感谢 Victor Sint-Nicolaas 在评估解决方案方面提供的帮助。**

![cryptodavidw_zprize_a_prize_in_the_shape_of_the_Z_letter_in_gol_3cd30de7-a221-4728-80ea-5f0f923f26bc](https://img.learnblockchain.cn/2025/07/10/zprize_final_3.png)

>- 原文链接： [blog.zksecurity.xyz/post...](https://learnblockchain.cn/article/17846/zprize-final)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

早在 2023 年 8 月，zkSecurity 宣布与 ZPrize 合作组织他们的第三个奖项🏆，该奖项旨在产生最快的有效 ECDSA 签名证明。结果让我们所有人都感到惊讶，最终我们选择了不止一个，而是两个采用截然不同方法的获胜者！我们上周刚刚宣布了结果📣，所以请继续阅读，了解谁赢了，他们是如何赢得的，以及我们如何分配 50 万美元的奖金！

对于最新版 ZPrize 的第 3 个奖项，所有团队在 7 个月前都从相同的起点/基准代码开始，并以相同为最终目标：实现 ZK 电路，以在 Varuna 证明系统之上证明 50 个不同长度的 ECDSA 签名。我们选择了与以太坊相同的 ECDSA 配置（keccak256 哈希和 secp256k1 曲线），因为它可以立即解锁各种用例。

我说过，签名通常就足够了，并且在许多情况下 ZKP 是过度的，但是在 ZKP 中验证签名实际上会导致有趣且有用的应用程序。Coda 协议和 Plumo 都完全做到了这一点（为节点/轻客户端验证共识和交易签名）。最近，Sui 推出了 zkLogin，它允许你证明一个平台（例如 Google）签署了你的用户名/邮件，而不会泄露该信息，Aayush 和 Sampriti 提出了 zkEmail，它允许你验证你的电子邮件提供商签署了你收到某些电子邮件的事实，而不会泄露内容或你的电子邮件。（cryptologie.net）

这是有史以来第一个专注于端到端应用程序的 ZPrize 类别。本次 ZPrize 以及之前和第一个 ZPrize 的其他类别通常侧重于较低级别的原语，例如 MSM 和 FFT 的实现（它们通常被发现是证明系统的构建块）。

好的，那么谁赢了，代码在哪里？ 事实证明，我们很难弄清楚谁真正应该获胜。我们收到了许多优秀的提交作品，并试图根据纯粹的速度（根据我们发布的基准）、代码质量、撰写质量、可审计性等对它们进行排名。两种解决方案在大多数指标中都领先，但解决方案截然不同。因此，我们决定选择两个获胜者来平均分享奖金：Zproof 和 Mengling。

我们能从中得出什么结论？ 我们现在有了一个新的基准来衡量：在消费级设备上为 100B 到 1kB 消息的 50 个 ECDSA 证明花费 10 分钟。虽然对于客户端证明来说，这似乎不是一个现实的时间，但这仍然表明，随着未来的改进和更好的硬件，这类应用程序将变得更加现实。此外，对于可能真正关心特定隐私用例的人来说，等待 10 分钟并不是一个疯狂的时间。

另一方面，Zproof 团队押注于不同的证明系统（或者我应该说证明系统！），他们使用了 starky+plonky2 组合，并在 Varuna 证明中以递归方式验证这些证明。因此，他们的堆栈更加复杂，涉及更多的工具（和编程语言）。解决不同消息大小的不同电路总是归结为 plonky2 的单个验证器电路（也在 Varuna 中使用表查找实现），这迫使他们的解决方案在所有基准测试中都具有电路大小的下限。

虽然这为消息长度较小和签名数量较少的用例增加了相当大的复杂性，但这种方法在更大的消息上得到了回报。使用 50kB 消息的基准测试在 c6a.8xlarge AWS 实例（32 个 vCPU，64GB 内存）上花费的时间少于 1,000 秒。

虽然我们必须等待一段时间才能在我们的笔记本电脑中拥有这种硬件，但这表明 ZK 确实将越来越好地用于客户端证明。

同时，1kB 对于许多用例来说已经足够了，我们很想看看人们会用他们手中的这段代码做什么。我们下届 ZPrize 再见！

感谢所有参与的团队：zproof、mengling、trapdoortech、ponos technology、storswiftlabs。特别感谢 Victor Sint-Nicolaas 在评估解决方案方面提供的帮助。

原文链接： blog.zksecurity.xyz/post...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

翻译
学分: 0
分类: 密码学
标签: ZPrize ECDSA 零知识证明 Varuna starky Plonky2 zkLogin

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

ZPrize大赛落幕！谁以及如何赢得了 50 万美元？- ZKSECURITY

0 条评论

文章目录