17年出现了一款非常火爆的Dapp应用叫加密猫,加密猫曾造成以太坊主网大规模的拥堵,造成拥堵的原因是以太坊当时的TPS只有15,这意味着以太坊每秒只能处理15笔交易,如此低的TPS严重限制了区块链应用的大规模落地,所以有人开始研究区块链扩容的问题,目的就是为了提高链上的TPS。zkRollup就是基于零知识证明的二层扩容方案(layer2)。
17年出现了一款非常火爆的 Dapp
应用叫加密猫,加密猫曾造成以太坊主网大规模的拥堵,造成拥堵的原因是以太坊当时的 TPS
只有 15
,这意味着以太坊每秒只能处理15
笔交易,如此低的 TPS
严重限制了区块链应用的大规模落地,所以有人开始研究区块链扩容的问题,目的就是为了提高链上的 TPS
。但区块链扩容受到 Vitalik
提出的不可能三角的限制,不可能三角是指区块链系统设计无法同时兼顾可扩展性,去中心化和安全性,三者只能取其二。这是一个很让人失望的结论,但我们必须知道,一切事物都有自己的边界,公链不应该做所有的事情,公链应该做它该做的事情:“公链是以最高效率达成共识的工具,能够以最低成本来构建信任”。作为共识的工具,信任的引擎,公链不应该为了可扩展性放弃去中心化与安全性。那么公链的TPS
这么低,该怎么使用呢?我们是否可以将大量的工作放到链下去解决,仅仅将最重要的数据提交到区块链主链上,让所有节点都能够验证这些链下的工作都是准确可靠的呢?社会的发展带来的是更精细化的分工,区块链的技术发展也是如此,在底层区块链( Layer1
)上构建一个扩展层( Layer2
), Layer1
来保证安全和去中心化,绝对可靠、可信;它能做到全球共识,并作为“加密法院”,通过智能合约设计的规则进行仲裁,以经济激励的形式将信任传递到 Layer2
上,而 Layer2
追求极致的性能,它只能做到局部共识,但是能够满足各类商业场景的需求。
zkRollup
就是基于零知识证明的二层扩容方案(layer2
), zkRollup
方案起源于18年下半年,由Barry Whitehat
和Vitalik
先后提出。Rollup
顾名思义有“卷起”和“汇总”的意思,将大量的交易“卷起/汇总”打包成一个交易,zkRollup
的原理一句话就可以讲清楚:链下进行复杂的计算和证明的生成,链上进行证明的校验并存储部分数据保证数据可用性。zkRollup
数据可用性可以让任何人都能根据链上存储的交易数据,还原出账户的全局状态,从而消除由于数据可用性带来的安全风险(这里的数据可用性对比Plasma
,Plasma
之所以不能称为主流的扩容方案,在于Plasma
的数据并没有提交到链上,所以在Plasma
上退出一笔资产的周期会长达一周左右(争议期),如果在争议期间没有人提交欺诈证明,那么资产才可以安全退出到主链)
zkRollup
在链下利用Merkle tree
存储账户状态,由Operator
收集用户的交易,交易收集完成后Operator
会执行每个交易(校验余额,校验nonce,校验签名,执行状态转换),当交易执行完成后会产生一个新的Merkle tree Root
,为了证明链下状态转移是正确的,Operator
会在交易执行完成后生成一个零知识证明的proof
。
下图表示Operator
工作过程,黄色的表示用户发送的交易,绿色的表示Operator
中维护的merkle tree
,Operator
执行交易后本地的merkle tree root
会由prev state root
转换成post state root
,图中蓝色的表示Operator
生成证明账户状态转移有效的零知识证明。
Operator
把prev state root
,post state root
,交易数据和proof
证明提交至链上合约,合约校验proof
通过后会将来新的状态写入到链上,合约不需要单独校验每笔交易的合法性,只需要校验proof
是否有效,降低了链上gas
消耗,其中交易数据是存储在较便宜的位置CALLDATA
上。链下每一次的状态转变都需要提供零知识证明,由主链上的合约进行验证,只有验证通过才能更改状态。即每一次状态转变都严格依赖密码学证明。
zkRollup
生成的证明大小(很小),验证时间(很快基本上是常数),不会随着交易数量的增长而变大,所以zkRollup
可以极大地提高TPS。影响zkRollup
链上性能的只有链上CALLDATA
存储数据的成本,随着以太坊Istanbul
升级,CALLDATA
使用成本降为原来的1/4
,zkRollup
的性能则获得4
倍提升,TPS
可达到近2000
左右。
上链的数据中prve state root
,post state root
与proof
基本上是不会随着交易增长变化的,只有上图中黄色交易部分会随着交易增长变大,所以为了能在一个区块链中容纳更多的交易,需要对上链的交易进行压缩。zkRollup
使用merkle tree
来记录地址,这样地址就可以表示成merkle tree
的索引值,地址数据的大小就从原本的20 bytes
减少到3 bytes
,在以太坊上金额用32
个字节256
位的大整型来表示,这里压缩到6
个字节,货币最小单位从wei
变成Mwei=10^6 wei
,手续费压缩到1
个字节,nonce
压缩到2
个字节,nonce
的范围0~65535
,也就是说一个账户最多可以发送65535
笔交易,交易的签名直接删除了,不出现交易中,因为每笔交易的合法性在链下都通过零知识证明的电路约束校验过了。
下图是压缩后zkRollup
每笔交易数据的格式:
2019年12月7号发生的伊斯坦布尔硬分叉中有两个降低在链上执行零知识证明运算gas
费用的提案:EIP-1108与EIP-2028
下面是引用EIP-1108
提案中的部分原文:
The elliptic curve arithmetic precompiles are currently overpriced. Re-pricing the precompiles would greatly assist a number of privacy solutions and scaling solutions on Ethereum.
目前,椭圆曲线运算所需的gas
费用太高,为了帮助隐私方案以及扩容方案在以太坊上的大规模应用,EIP-1108
对椭圆曲线运算的gas
费用进行了降价。
以下是伊斯坦布尔分叉前后的椭圆曲线运算的gas
费用对比
Contract | Address | Current Gas Cost | Updated Gas Cost |
---|---|---|---|
ECADD |
0x06 |
500 | 150 |
ECMUL |
0x07 |
40,000 | 6,000 |
Pairing check |
0x08 |
80,000 * k + 100,000 | 34,000 * k + 45,000 |
ECADD
表示椭圆曲线加法运算,ECMUL
表示椭圆曲线乘法运算,Pairing check
表示椭圆曲线双线性映射运算。
下面是引用EIP-2028
提案中的部分原文:
We propose to reduce the gas cost of Calldata (GTXDATANONZERO) from its current value of 68 gas per byte to 16 gas per byte, to be backed by mathematical modeling and empirical estimates. The mathematical model is the one used in the works of Sompolinsky and Zohar [1] and Pass, Seeman and Shelat [2], which relates network security to network delay. We shall (1) evaluate the theoretical impact of lower Calldata gas cost on network delay using this model, (2) validate the model empirically, and (3) base the proposed gas cost on our findings.
EIP-2028
将calldata
的存储成本从每字节68 gas
降低到每字节16 gas
,zkRollup
的交易数据是存储在calldata
上,这意味着我们可以在calldata
上存储更多的交易数据,极大提高了吞吐率。
现在我们已经了解了EIP-1108
,EIP-2028
两个提案为zkRollup
扩容带来的好处,下面我们具体分下一下zkRollup
的TPS。
当前以太坊区块最大的gas limit
为10,000,000 gas
以太坊是一个最简单交易的gas费用为:21,000 gas
以太坊每个区块产生的时间为15s
根据上面的数据,我们可以计算出以太坊主链的最大吞吐量:
一个区块中可最多容纳的交易数量:10M / 21k = 476 tx
计算TPS:476 tx / 15s = 32 tx/s
每个交易的大小为:from(3 bytes) + to(3 bytes)+ value(6 bytes)+ fee(1 bytes)+ nonce(2 bytes)= 15 bytes
伊斯坦布尔分叉前calldata
的gas为每字节68 gas,所以给个交易的成本为:15 bytes * 68 gas/byte = 1020 gas
零知识证明校验的gas费用计算公式为:
ScalarMulGas
表示一个椭圆曲线乘法消耗的gas,如果涉及到多个椭圆曲线乘法运算那么消耗的gas为:n * ScalarMulGas
,PairingBaseGas
表示椭圆曲线双线性映射运算基础gas费用,PairingPerPointGas
表示每个椭圆曲线双线性映射运算gas费用。
在zkRollup
中零知识证明算法使用的是groth16
,下方是groth16
校验证明的公式:
e(x,x)
表示一个椭圆曲线双线性映射运算,所以在groth16
校验中一共涉及到4次椭圆曲线双线性映射运算。
下表是伊斯坦布尔分叉前椭圆曲线运算消耗的gas详情:
Contract | Address | 伊斯坦布尔分叉前 |
---|---|---|
ECADD |
0x06 |
500 |
ECMUL |
0x07 |
40,000 |
Pairing check |
0x08 |
80,000 * k + 100,000 |
80,000 * k + 100,000
中的k
表示有几个椭圆曲线双线性映射运算,100,000
表示椭圆曲线双线性映射运算基础gas费用。
计算零知识证明校验gas消耗:公式:VerificationGas = n * ScalarMulGas + PairingBaseGas + 4 ∗ PairingPerPointGas
,其中:PairingBaseGas = 100,000 gas
,PairingPerPointGas=80,000
,ScalarMulGas=40,000
,假设zkRollup
只涉及到一个public input
,所以n=1
。VerificationGas = 1 40,000 + 100,000 + 80,000 4 = 460,000 gas
计算区块中可用于容纳交易的空间:10,000,000 - 460,000 = 9,540,000 gas
计算zkRollup
单个交易gas成本:15 byte * 68 gas/byte = 1020 gas
计算单个区块可容纳交易个数:9,540,000 gas / 1020 gas = 9,000 tx
计算TPS:9,000 tx / 15s = 600 tx/s
每个交易的大小为:from(3 bytes) + to(3 bytes)+ value(6 bytes)+ fee(1 bytes)+ nonce(2 bytes)= 15 bytes
伊斯坦布尔分叉后calldata
的gas为每字节16 gas,所以给个交易的成本为:15 bytes * 16 gas/byte = 240 gas
Contract | Address | 伊斯坦布尔分叉后 |
---|---|---|
ECADD |
0x06 |
150 |
ECMUL |
0x07 |
6,000 |
Pairing check |
0x08 |
34,000 * k + 45,000 |
计算零知识证明校验gas消耗:公式:VerificationGas = n * ScalarMulGas + PairingBaseGas + 4 ∗ PairingPerPointGas
,其中:PairingBaseGas = 45,000 gas
,PairingPerPointGas=34,000
,ScalarMulGas=6,000
,假设zkRollup
只涉及到一个public input
,所以n=1
。VerificationGas = 1 6,000 + 45,000 + 34,000 4 = 187,000 gas
计算区块中可用于容纳交易的空间:10,000,000 - 187,000 = 9,813,000 gas
计算zkRollup
单个交易gas成本:15 byte * 16 gas/byte = 240 gas
计算单个区块可容纳交易个数:9,813,000 gas / 240 gas = 40,000 tx
计算TPS:40,000 tx / 15s = 2,666 tx/s
从下图可以zkRollup
吞吐量的提升与单个交易成本降低有直接的关系。
Blockchain | 单个交易gas成本 | 单个区块最大交易数量 | TPS |
---|---|---|---|
主链 | 21,000 | 476 | 32 |
zkRollup(分叉前) | 1,020 | 9,000 | 600 |
zkRollup(分叉后) | 240 | 40,000 | 2,666 |
上面我们计算出伊斯坦布尔升级后zkRollup
的TPS可以达到2,666
,但这只是理论值,我们并没有将生成零知识证明的时间计算在里面,实际上生成零知识证明是非常昂贵的事情,通常生成一个包含大量交易的零知识证明需要花费几分钟时间,显然生成零知识证明的时间将是限制TPS达到理论值的瓶颈。目前可以通过并行化生成证明,这可以将证明生成时间从几分钟减少到几秒钟。
本文首发于:http://www.whatsblockchain.com/2020/06/29/zkRollup-introduction/
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!