终局：使用 ZK 来保护 MegaETH

ENDGAME: 我们如何使用 ZK 来保护 MegaETH

证明欺诈的负担

为了确保这个假设，一个乐观的 L2 必须支持欺诈证明机制（也称为争议解决协议），该机制允许验证者（挑战者）挑战由排序器（提议者）提交的可能不正确的状态提议。这些机制必须确保两个关键属性：

1. 必须总是能发现不正确的状态提议，并且

2. 不正确的挑战永远不会成功。

在底层，这种机制有两个核心组成部分：

• 挑战子协议，处理对单个状态提议的争议。

• 锦标赛机制，负责筛选可能针对同一区块的许多竞争性状态提议，以确定唯一正确的提议。

每个状态提议都是关于执行一组交易的结果的声明。它有三个部分：

• 初始状态是以太坊上最近最终确定的 L2 状态。

• 有效载荷是自那时起 L2 交易的序列。

• 最终状态是提议者声称执行该有效载荷后得到的结果。

因此，单个提议实际上是说：

“给定这个初始状态和这个交易列表（有效载荷），我声明最终状态应该是 X。”

可视化：

构成状态提议和挑战的组件概述

挑战子协议的工作就是测试这个断言。如果它是错误的，挑战必须成功，并且提议必须被拒绝。

交互式故障证明（二分游戏）

今天大多数乐观系统使用的经典方法是，挑战者和提议者参与一个来回的交互式协议。

一旦提出争议，双方都会对交易记录进行二分（提议者声称的计算的逐步中间结果），将其分成两半，缩小错误所在的位置。这种递归持续进行，直到各方隔离出一个错误的计算步骤（例如，不正确地执行了一笔交易）。一旦确定，这个步骤将在以太坊上重放，以确定是否发生了欺诈。

在乐观结算挑战期间发生的经典二分游戏

这个系统有几个问题：

• 延迟：每次交互都需要在以太坊上进行一笔交易。单个争议可能需要数小时甚至数天，尤其是在网络拥塞或审查的情况下。

• 提议者的大量参与：即使提议者是诚实的，并且挑战是毫无根据的，提议者仍然必须参与争议的每个步骤，做大量的工作。

• 恶意破坏风险：不诚实的挑战者可以迫使诚实的提议者浪费时间和 gas 来反复捍卫正确的状态。

实际上，交互式证明既昂贵，在负载下又脆弱，并且容易被滥用。

非交互式欺诈证明（ZK 挑战模型）

MegaETH 将采用不同的方法，要求挑战者简单地计算一个简洁的零知识证明，表明所声称的最终状态是无效的。具体而言，该证明表明从初始状态执行有效载荷不会导致提议者声称的最终状态。这将使用 RISC Zero zkVM 完成，遵循 OP Kailua 混合架构来实现非交互式欺诈证明。

此证明以单笔交易的形式提交给以太坊，链上验证者合约确认其有效性。提议者不做任何工作，不能干预该过程，也不在争议中发挥任何作用。

MegaETH 开创的 ZK 欺诈证明流程

生成证明并非易事——它需要在 zkVM 中运行有争议的计算，据估计，在最坏的情况下，需要 1000 亿个周期，成本约为 100 美元 [1]。但是，只有在证明存在欺诈时才会产生此成本，并且按照设计，由不诚实的一方承担。这消除了诚实挑战者的资金负担，并消除了基于二分法的系统中常见的恶意破坏风险。

ZK 用于欺诈，而不是有效性

在加密领域，“零知识”通常被专门用作 ZK rollups 的简称——该系统使用 ZK 证明来验证状态转换，然后再将其发布到链上。但是，这种框架只捕捉了 ZK 可以实现的一方面。

MegaETH 使用 ZK 不是为了证明正确性，而是为了证明欺诈。这使我们能够保留乐观的 rollup 模型——凭借其效率和可扩展性——同时添加一个最小信任、非交互的机制来检测和挑战无效的状态转换。

我们将这种混合方法称为 ZK 欺诈证明，它实现了一种根本不同的信任模型。

相同的检测窗口，大大缩短的最终确定时间

出于极大的谨慎，MegaETH 将保留乐观链典型的 7 天挑战窗口，这意味着任何参与者都将有一整周的时间对提议的状态根提出异议。不同之处在于，在提出挑战之后会发生什么。

在交互模型中，在第 7 天提交的挑战可能需要几天才能解决，这将冻结链在以太坊上的最终确认，直到争议解决。在此期间，协议仍处于悬而未决的状态，并且链的活跃度受到影响。

使用 ZK 欺诈证明，整个争议会在大约 1 小时内解决。挑战者生成证明，将其提交给 L1，结果是最终的。

这可以保护链免受危险的攻击媒介的侵害：恶意挑战者反复发起虚假争议以拖延最终确定。

由 EigenDA 保护

为了确保欺诈证明过程的完整性，挑战者必须能够轻松、可靠地访问重建有争议的计算所需的原始区块数据。这就是我们将 ZK 欺诈模型与 EigenDA（一种去中心化、高吞吐量的数据可用性层）相结合的原因。

这使得该过程可以提炼成其最安全和最有效的形式：

1. 排序器将区块数据发布到 EigenDA，并且仅向以太坊提交一个小的引用。EigenDA 的密码学保证确保始终可以生成证明，并且排序器无法“扣留”数据以逃避检测。

2. 任何观察者都可以检索区块数据，重建完整的区块并通过 zkVM 运行它。

3. 如果检测到欺诈，观察者将生成一个简洁的 ZK 欺诈证明，将其提交给以太坊上的验证者合约，排序器将被罚没，其无效提议将被拒绝。

一种密码学上健全、可扩展的信任模型

MegaETH 用简洁、非交互式的 ZK 欺诈证明取代了繁琐的交互式欺诈游戏。这消除了恶意破坏风险，缩短了最终确定时间，并确保争议以高效且可扩展的方式解决。

借助 @RiscZero 实现的可证明计算和 @eigen_da 确保对原始数据的访问，每个提议都变得可重建、可证明且可被任何人在任何规模上挑战。

[1] “Withdrawal Delay.” The Kailua Book, risc0.github.io/kailua/ . Accessed 22 July 2025. (“取款延迟”，The Kailua Book，risc0.github.io/kailua/，于 2025 年 7 月 22 日访问。)

• 原文链接： x.com/megaeth_labs/statu...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～