zkVerify：优化大规模 ZK 证明验证

delphidigital
发布于 2025-01-30 13:15
阅读 13

本文深入探讨了零知识证明（ZKP）在区块链中的应用，分析了 ZKP 在可扩展性、隐私和安全性方面的重要价值。重点介绍了 zkVerify，一个旨在成为零知识证明通用验证层的模块化L1，通过降低验证成本、简化开发流程和提高互操作性，zkVerify 有望推动 ZKP 在 Web2 和 Web3 领域的广泛应用。

## 介绍：

在过去的几年里，零知识证明（ZKP）已经成为解决区块链领域三个特定工程问题的实用方案：

- **可扩展性：** ZKP 启用了一种有效性验证系统，其中交易在链下处理，数据经过高度压缩，然后将有效性证明发送到区块链进行验证。这种方法无需在链上验证所有数据，显著降低了区块链的计算负担，从而能够实现更快、更便宜的交易。总的来说，ZKP 在不影响区块链安全保证的前提下，极大地提高了可扩展性。

- **隐私性：** ZKP 具有独特的能力，可以证明数据包的有效性，而无需泄露关于数据本身的任何具体信息。这在区块链系统中实现了新的隐私元素，例如机密交易和私有智能合约交互。与此同时，数据的有效性仍然可以公开验证，在确保正确性的同时，保证敏感信息的机密性。

- **安全性：** ZKP 提供了一种数学上可靠的方法来验证计算的正确性，而无需泄露输入或中间步骤。这通过允许检测关键流程中的欺诈活动或错误来提高安全性。

ZKP 的市场蓄势待发，有望实现大幅增长，其集成应用将遍及所有区块链垂直领域。Rollup 和桥利用 ZKP 来实现更高的可扩展性、更快的最终性和更强的安全性。ZkApp 利用 ZKP 来匿名化交易并保护用户数据的机密性。人工智能和语言模型的进步进一步扩展了 ZKP 的市场机会，可以通过 ZkCoprocessors 提供高效且可验证的复杂计算。ZKP 的采用有望在增长加速方面呈现出曲棍球棒式的可视化效果。

然而，目前在通用智能合约平台上的 Rollup 和应用中 ZKP 的实现面临着多重挑战，尽管取得了进展，但瓶颈仍然阻碍着 ZKP 在区块链环境中的采用。

首先，由于计算开销，实现 ZKP 的成本很高。 ZKP 不是通过重新执行来验证交易，而是运行复杂的加密操作来最终确定结果。在区块链环境中，此类操作具有极高的 Gas 成本和有限的吞吐量，这是由于区块空间大小的固定性，它有助于网络管理流量并确保一致的传播时间，同时避免过度数据泛滥的攻击。在高需求网络（如以太坊）上，证明必须通过先进先出（FIFO）或基于优先级的排序与其他应用程序竞争区块包含，从而进一步推高成本。

实现 ZKP 的第二个问题是，目前大多数智能合约平台都没有足够的工具来轻松地引导开发人员。例如，以太坊目前仅支持 BN254，这是一种用于密码学操作的 pairing-friendly 椭圆曲线。作为 2017 年拜占庭硬分叉的一部分实施的椭圆曲线可用于运行高效的 SNARK 操作，SNARK 是当时的标准且使用最广泛的实现。然而，BN254 作为标准的广泛采用带来了一个意想不到的挑战：较新的、更高级的证明系统（如 STARK）必须转换其证明，以保持与已建立的基础层操作的兼容性。这种转换要求限制了开发人员可用的选项，并阻碍了这些较新系统的大规模采用。

进入 zkVerify——一个模块化的 L1，旨在成为使用零知识证明的所有基础设施和应用程序的大规模统一验证层。作为所有验证需求的一站式解决方案，zkVerify 希望为使用 ZKP 的项目和开发人员提供更简单的解决方案。通过专注于通用证明验证作为核心产品，zkVerify 优先考虑 **互操作性和开发者可访问性。** 与市场上的其他解决方案相比，zkVerify 还 **提高了 ZKP 的运营效率**，以一小部分的成本实现证明验证，同时扩展了可扩展和可互操作应用程序的可能性。

zkVerify 可以有意义地引领下一波 ZKP 的采用浪潮。该产品有助于消除开发人员在处理 ZKP 时的复杂性和摩擦，因为它最大限度地减少了验证者部署和维护的工作量。与其在不同的基础层上管理验证者合约的配置，协议可以将工作委托给 zkVerify 的系统进行维护和更新。团队可以依靠 zkVerify 来拥有最新的验证者。其次，zkVerify 能够在 web2 和 web3 中实现新的和新颖的用例，尤其是在欺诈预防、数字营销和可验证 AI 领域。作为 ZKP 验证的高性能层，zkVerify 可以处理来自 web2 的大量工作负载和需求，同时确保卓越的运营。开发人员可以利用 zkVerify 作为基础，探索 ZKP 作为一种变革性技术，并为生产和增长开辟新的市场。

随着技术的成熟，zkVerify 完全有能力抓住 ZKP 部署和使用增长的一部分，为 ZKP 的广泛采用铺平道路。

## 什么是零知识证明？

要掌握 zkVerify 的全部潜力，首先了解零知识证明的基础知识非常重要。从高层次上讲，零知识证明是一种密码学方法，允许你证明声明的有效性，而无需向不受信任的交易对手泄露底层信息。 考虑以下示例：

一位国际学生想申请出国留学签证，必须向大使馆证明他有经济能力支持他的教育。 在此签证申请中，他必须展示以下内容：

- 银行对账单/账户余额
- 家庭资助证明（如果学生未满 18 岁）
- 收入和/或资产所有权证明

在正常情况下，个案官员可以访问学生的个人信息，并根据提供的信息做出决定。 他们还必须依法保护用户隐私。 从学生的角度来看，这意味着盲目信任该系统来保护和保障数据。

利用零知识证明，学生可以出示资产所有权证明，例如“我的流动资产总值高于要求的阈值”，而无需提供完整的文档以供验证。 然后，官员会运行必要的计算以确定证明的有效性。 一旦证明被接受为有效，就会签发签证。

### 零知识证明的属性：

零知识证明有三个基本属性：

- **零知识性：** 验证者没有其他信息，除了该语句为真这一事实。
- **完备性：** 如果该语句为真，则验证者可以被任何诚实的提供者说服，证明他有权访问秘密信息。
- **可靠性：** 只有拥有正确信息的人才能说服验证者。 在这种情况下，玩猜谜游戏几乎是不可能的。 任何不诚实的证明者都无法说服验证者正确了解输入。

这些属性允许零知识证明补充区块链架构和功能的设计。 利用零知识证明，开发人员有一种优雅的方式将隐私性、可扩展性和计算表达性引入系统。 我们现在将更详细地探讨这种协同作用，以及零知识证明和区块链的潜在市场增长。

## 区块链 x 零知识证明：

### 两种技术的互补性

区块链是无需中介的、用于无需许可的、点对点价值转移的协调系统。 区块链没有依赖于中心化机构来解决最终结果，而是实施了一个分布式节点网络来通信并就系统的当前状态达成共识。 这创造了一个环境，其中节点之间的执行、存储和通信以 **无需信任的方式达成一致并得到保证。**

![](https://img.learnblockchain.cn/2025/10/10/2b1937df-image7.png)

此类保证通过经济规则（博弈论和激励）或密码学（数学）来执行，今天大多数区块链系统都使用两者的组合。 零知识证明通过增加表达性同时提供硬度来扩展现有保证：

- **表达性：** 零知识证明有望扩展链上用例，同时提高区块链的底层性能。 它们实现了从重复执行进行验证到简化的“一次执行，随处验证”模型的工程转变，在该模型中，生成和聚合计算或大型数据集的紧凑证明。 **这允许复杂的、多步骤的计算在链下执行并在链上验证，通过减少数据占用空间和计算工作负载来显着提高可扩展性和表达性。** 由于数据永远不会透露给证明验证者，因此 ZKP 会向堆栈添加一层隐私——这是对当前激进透明的区块链范例的自然升级。
- **硬度：** 此处的硬度是指 ZKP 的安全保证——本质上是向系统中引入错误计算的难度。 不诚实的证明者无法说服验证者进行不正确的计算，因此 **有助于将系统的信任要求降低到 1-of-N（诚实少数），而不是依赖于诚实多数假设（M-of-N）。** 借助 ZKP，用户可以仅依靠数学和密码学的复杂性作为其安全假设的基础。

### 零知识证明的市场：

下面，我们利用表达性和硬度的属性来研究零知识证明和区块链的潜在市场趋势：

**Rollup：**

区块链中零知识证明背后的兴奋可以归因于其 **在不增加验证硬件要求的情况下提高可扩展性的能力。** 区块链不是重新执行，而是可以将执行功能外包给链下实体，同时保持链上可验证性和点对点通信保证。 将证明批处理或聚合到多重证明系统中的能力还在可扩展性和成本降低方面提供了更高的数量级。 这就是以太坊上 zk rollup 背后的论点，排名前 3 的项目（Starkware、ZKsync 和 Polygon）的总市值约为 22 亿美元。

![](https://img.learnblockchain.cn/2025/10/10/790eae9c-image16.png)

**比特币上的 ZK rollup：** 比特币上 L2 的兴起是过去一年中一个有趣的进展。 鉴于比特币的脚本语言局限性，各个团队提出了 **使用比特币作为安全的基础层，同时在顶部直接构建一个额外的层用于执行批处理。** 这将允许用户增加比特币之上的计算表达性，从而为资产引入更多实用性并帮助提高其安全预算。

在过去的一年中，鉴于比特币现货 ETF 的成功推出带来的推动，人们对增加比特币的计算表达性的兴趣大幅增加。 该类别中的 **20 项投资**已承诺超过 **7600 万美元**，处于融资周期的各个阶段，表明人们对比特币 L2 工作的重视程度很高。 ZKP 有可能为构建在比特币之上的 L2 提供可持续且优雅的设计，并且 Citrea、Alpen 和 BoB 等项目正在引领潮流。

除了rollup之外，零知识证明的属性在链上应用程序的可组合性、架构模块化和计算复杂性的背景下也是可取的。

**桥和可组合性**

跨链环境（即：将资产从链 A 转移到链 B）中的可组合性也是零知识证明可以发挥作用的领域。 虽然今天大多数互操作性设计都利用乐观验证的变体进行结算，但零知识证明可以通过引入可扩展性、更快的最终性和增强的安全性来补充原始架构：

- **可扩展性：** 从理论上讲，零知识证明使验证器桥能够通过证明生成和批处理来压缩计算，以便在目标链上进行验证。 在多链世界中，这意味着通过硬件改进和加速证明系统来分摊成本，从而降低运营开销。 多个系统之间的证明聚合以供目标链验证还可以为可组合性和资产桥接引入设计途径。
- **更快的最终性：** 在使用乐观验证的系统中，总有一个时间延迟窗口用于使用欺诈证明进行争议。 零知识证明允许桥梁将最终确定时间从几天大幅缩短到几分钟。
- **增强的安全性：** 博弈论、激励和多重签名系统在当前桥梁的设计中至关重要，以确保正确的跨链执行。 借助零知识证明，用户可以将他们的信任假设限制为仅数学和代码。 在运营方面，零知识证明还可以通过可验证的计算引入额外的检查点，从而加强桥梁的安全性并减少潜在的攻击向量。

如今，桥梁已证明在加密货币领域具有很高的产品市场契合度。 根据 DeFi LLama 的数据，在资产价格呈下降趋势且链上活动减少的市场期间，桥梁的 **每月总交易量仍然约为 67.66 亿。** 加密货币领域中的一些顶级黑客攻击也是与桥梁相关的事件，其中前 3 名的案例（Ronin Bridge、Wormhole、Binance BNB Bridge）**总计损失价值 15.19 亿美元** **。** 在这些情况下，ZKP 可以允许开发人员通过为资产转移验证提供检查点并增强系统的可扩展性和灵活性来最大限度地减少安全问题。

然而，零知识证明 (ZKP) 在这些系统中的采用有限，这主要是由于它们在用户体验、实施复杂性和运营成本方面的缺点。 我们将在后面的章节中详细探讨这些细微差别，并了解 ZKVerify 在其中的作用。

**zkCoprocessors**

未来几年 ZKP 的另一个令人兴奋的市场机会是 zkCoprocessor 的兴起。 随着区块链应用程序中对更复杂的计算和数据处理的需求持续增长，zkCoprocessor 是卸载这些任务同时保持安全性和隐私性的潜在解决方案。 这些专用组件可以大致分为以下几类：

- **数据访问 zk-Coprocessor：** 主要向某个地方（智能合约）提供某些数据（状态历史记录、区块历史记录、来自 Web2 应用程序的社交图）。 StorageProofs 和 Space & Time 是朝着这个方向发展的协议。 这些协议利用 ZKP 来创建对链上数据的简化访问，这些数据可以为智能合约操作进行查询和验证，而无需处理所有底层数据。
- **zkVM 计算-Coprocessor：** 计算在链下生成，而结果会发回链上。 虽然这类似于 ZK rollup 模型，但主要区别在于协处理器程序可以是异步的、不管理状态更新，并且更像按需服务提供商。 Axiom、Larange 和 Brevis 是旨在朝着这个方向发展的产品，通过 ZKP 提供外部计算来支持数据密集型应用程序。

**zkApp：**

从高层次上讲，zkApp 是利用零知识证明 **引入额外的功能和功能支持** 的应用程序，包括但不限于隐私、计算复杂性和可扩展性。 下面，我们将探讨 ZKP 如何增强应用程序功能：

- **以隐私为中心的金融应用程序：** ZKP 可以实现机密交易、匿名资产转移和私人借贷平台。 金融细节可以保持隐藏，同时确保合规性。 在这些情况下，用户输入用作证明的见证，只有用户才能在需要时向当局透露信息。 Tornado Cash 和 Solana 的私有转移（Token扩展的一部分）是此类别中的示例。 这些工具允许 **用户混淆机密信息并维护个人隐私**。 向公众隐藏的信息可以包括但不限于资产类型、资产金额、发送者和接收者的地址等。
- **去中心化身份系统：** zkApp 可以创建和管理数字身份，允许用户在不泄露敏感个人信息的情况下证明特定属性（例如，年龄、公民身份）。 对于依赖社交图来引导用户的应用程序，ZKP 提供了一种优雅的设计来帮助细分并将新行为引入集合，创建粘性并减少运营开销。 去中心化身份层 Worldcoin 使用 ZKP 来提供个人信息的安全和私人验证，而不泄露数据。 当一个人使用他们的 World ID 时，ZKP 会阻止第三方知道该人的 World ID 公钥或跨应用程序跟踪他们。 ZKP 还保护 World ID 的使用免于与任何生物识别数据或该人的虹膜代码相关联。
- **游戏逻辑和 NFT 所有权：** 游戏玩法和资产验证可以在链下实时计算，从而 **提高性能并降低成本，同时保持可证明的公平性和真实性。** 零知识证明还使开发人员能够实施战争迷雾机制，丰富游戏玩法和玩家沉浸感。 虽然这个想法仍在探索中，但已经取得了重大进展。 今年最值得注意的进展是 Ingonyama 的 zkHunt，这是一款实时战略游戏，玩家在其中竞争资源和生存。 在这种情况下，ZKP 用于创建战争迷雾/链上发现过程。

**模块化范例的扩展**

区块链是协调的计算机，其基本目的是以约定的方式记录所有有效的交易和数据。 从本质上讲，通用区块链执行四个关键功能：

- **执行：** 处理交易以更新区块链的状态
- **结算：** 解决争议，确保交易有效性
- **共识：** 与网络中的其他节点就新区块中的交易排序达成协议，并最终确定状态更新。
- **数据可用性：** 确保所有数据都可供网络参与者查看，并且可以访问以进行交易验证

随着技术堆栈的不断成熟，我们在过去两年中看到的是模块化和专业化的趋势。 每个功能现在都有一个专用的层，而不是使用一个通用区块链来处理堆栈的所有部分，每个功能现在都有一个专用的层，该层根据细分和需求进行优化。 这允许在整个堆栈中进行优化和扩展，从而为探索和专业化提供设计空间。

随着零知识证明技术的实现，模块化趋势可能会继续扩大和加速。 模块化模型的原始版本现在可以进一步分解并重新捆绑到基本组件中，**为** 开发人员、社区和公司**提供** 更具表现力和精细化的工具包，以设计最符合其集体目标的区块链。

Equilibrium Labs 的 [分析](https://equilibrium.co/writing/will-zk-eat-the-modular-stack) _“ZK 会吞噬模块化堆栈吗？”_ 提供了对模块化堆栈潜力的精彩概述，重点介绍了现有的集成和突出了 ZK 技术未来可以解决的问题。

![](https://img.learnblockchain.cn/2025/10/10/1989c211-image19.png)来源：Equilibrium Labs，“ZK 会吞噬模块化堆栈吗？”

**传统系统中的无需信任的验证和数据互操作性：**

虽然 ZKP 在过去 10 年中在 web3 中引起了人们的关注，但 ZKP 的市场预计将超越加密货币，并推动传统行业的显着改进。 适合 ZKP 颠覆的领域将是信息隐私、数字身份解决方案以及所有行业的欺诈预防。 借助 ZKP，用户可以完全控制其数据，仅与预期方共享必要的详细信息，同时确保其准确性。 公司和组织可以利用 ZKP 来实现更安全的数据管理系统，验证信息以更好地预防欺诈，并遵守法规。

**信息隐私和管理**

与传统的隐私管理软件相比，ZKP 的产品在几个方面都更胜一筹：

- 数据所有权属于最终用户，不一定必须位于企业拥有的孤立服务器上。 ZKP 可以实现灵活的数据管理和通信，因为存储的数据是数据有效性的证明，而不是实际数据，从而为企业节省了成本和维护费用。
- ZKP 可以提供卓越的隐私保证，因为只有用户才能透露正在调用的私人信息。 考虑到存储的数据是数据有效性的证明而不是实际信息，这有效地消除了对中介机构的信任依赖，并且可以防止灾难性事件，例如数据泄露和黑市上被盗的身份。

2022 年的数据隐私市场估值为 27.6 亿美元。 正如 Fortune Business Insights 预测的那样，到 2030 年，该市场预计将增长到 424.8 亿美元。 这些预测取决于持续的市场增长，因为用户对更好的隐私和合规性管理工具的需求在未来会加速增长。 如果这种趋势继续发展，我们看到了新兴的机会，像 zkVerify 这样的协议可以进入该领域并占据市场份额，因为 ZKP 作为一种技术将继续成熟。

**数据认证：**

数据认证是验证数据的来源和完整性以确保数据真实且未被篡改的过程。 这种应用在当今的现实世界中具有广泛的影响：

**数字身份：**

在日益数字化的环境中，维护、验证和保护数字身份的解决方案成为一个关键领域。 在未来 10 年内，我们相信这是 ZKP 可以解决当前挑战并为更安全和直观的未来铺平道路的第二个领域。

ZKP 提供了一种简单有效的方式来跨多个应用程序安全地共享数字身份信息，而无需泄露敏感的个人详细信息。 在数字身份领域，ZKP 可用于帮助实现以下目标：

- 通过允许用户证明其身份和访问权限，而无需传输密码或敏感凭据，从而增强用户身份验证体验和安全性。 ZKP 的可靠性属性确保数字身份的唯一性，仅限于一个帐户，而完整性特征允许 ZKP 跨多个系统使用来验证相同的数据格式。 这在欺诈预防等领域非常有用。
- 通过改进验证以适合预定义的标准集，而不会泄露用户私人信息，可以在广告和社交媒体中完成用户定位。
- 组织可以通过检查最终用户生成的证明来验证用户是否符合特定要求，而无需访问或存储大量的个人文档。 这简化了监管流程，同时维护了个人主权。

对安全的远程访问、法规遵从以及跨金融、医疗保健和零售等行业的数字服务的普遍集成的不断增长的需求可能有助于推动数字身份解决方案市场的采用和发展。 鉴于其特性，ZKP 有望帮助企业和开发人员创建更精细、更强大且更易于使用的数字身份系统，从而让用户控制和利用自己的个人数据。 同样，Fortune Business Insights 预测，到 2030 年，数字身份的市场规模将从 2023 年的 308.1 亿美元增长到 1013.7 亿美元。

由 ZKP 构建的下一代数字身份框架的更广泛意义在于可能颠覆市场并在欺诈预防和数字营销等关键领域中获取变革性价值。 视市场增长情况而定，这个新兴市场具有重要的潜力。 我们相信，从这个新系统中获得的优势可能会重塑企业主动应对欺诈预防和提供有针对性广告的方式。

**欺诈预防：**

从更广泛的计划来看，ZKP 开创的身份解决方案将成为欺诈预防的有用工具，它提供了一种机制，数据发行者必须提供有效性证明，以便由交易对手验证。 正确验证后，最终用户即可继续。 ZKP 的压缩特性以及通过数学和密码学提供的复杂性确保了以下几点：

- 简化工作负载：ZKP 驱动的解决方案可以通过生成在密码学上复杂且难以伪造的身份证明来简化信息有效性检查。 这可以取代密集的数据匹配过程，从而减少开销和复杂性。
- 加强数据安全：该方法存储数据有效性的数学证明，而不是存储个人凭据。 这可以最大限度地降低暴露风险，确保敏感信息受到保护，同时仍允许进行强大的验证。

欺诈预防领域增长的主要驱动力可能来自移动应用程序和网上银行服务的增加，这些服务可能具有严重的、可利用的向量。 在这些市场中，ZKP 可能成为改进信息流控制、欺诈检测和数据泄漏预防的首选工具。

**有针对性的数字广告：**

过去 20 年来，互联网、社交媒体和电子商务的寒武纪大爆发使得数字营销和广告成为许多企业增长和发展的核心组成部分。 根据 Statista 的数据，在七年内，数字广告支出从 2017 年的 2431 亿美元增长到 2024 年的 7403 亿美元，预计到 2028 年将达到 9655 亿美元。

随着互联网普及率的提高以及电子商务和数字支付的采用率持续飙升，在后稀缺世界中获取关注可能会导致数字广告市场的显着扩张。 从横幅广告到当今[复杂的程序化广告](https://www.adex.network/dsp/)的历程，标志着该行业对数据永不满足的渴望，从而推动了精准定位和个性化。

这种发展具有后果，尤其是在个人主权的时代，随着[GDPR](https://en.wikipedia.org/wiki/General_Data_Protection_Regulation)和[CCPA](https://en.wikipedia.org/wiki/California_Consumer_Privacy_Act)等新法规的实施，以及更精通隐私的用户群。 ZKP 可以充当解决方案，帮助向目标受众提供高效广告，同时保持对用户数据隐私的尊重：

- 用户隐私：用户仅共享信息的验证。 如果用户个人资料/动作符合特定的广告类别，则可以将广告发送给他们。 用户仍然可以控制其个人数据以及他们有权接触此类内容。
- 个性化：ZKP 允许进行更精细的访问，因此，广告商可以微调其信息流/请求，以正确地将广告传递给正确的目标。

**可验证 AI**

可验证 AI 指的是设计为透明、负责且可审计的 AI 系统。 这些系统允许用户跟踪、理解和验证 AI 决策，确保它们没有偏见和错误。 黑盒 AI 的运行透明度有限，使得理解和信任其决策变得困难。

ZKP 和 AI 的结合非常有用，因为它可以增强机器学习模型中的偏差缓解，并确保用户与黑盒 API 交互的模型确实是提供商请求的精确模型。 这种方法的影响跨越各个领域，尤其是在医疗保健和金融等领域。 AI 模型产生的结果可能会深刻影响最终用户的福祉，尤其是那些属于弱势群体的人。

最近的发展催生了 **ZKML**（零知识机器学习）领域，研究人员和开发人员利用 ZKP 来验证 AI 模型中推理传递的完整性。 ZKML 的两个主要目的是：

**验证模型输出：** 在用户向托管 AI 模型的远程服务提交输入的情况下，ZKML 确保生成的输出是一致的，并且是由他们付费和请求的精确输出产生的。 对于像 ChatGPT 这样的生成应用程序来说，这至关重要，因为其中涉及产品使用的不同层级。

**增强数据隐私：** 在数据访问是私有的情况下，需求将是在本地部署 AI 模型。 ZKML 使模型部署人员可以确信用户发回的数据输出是模型的准确输出，而不是来自用户软件的干扰。 数据本地性和零知识属性的结合保留了用户数据隐私。

在一个 AI 不断加速我们生产力的世界中，虚假信息和欺骗的威胁也的确存在。 ZKP 可以提供一套补充工具来帮助应对这种情况并加强我们周围世界的完整性，尤其是在我们现在所处的信息过载时代。

## 零知识证明如何工作？：

从高层次上讲，零知识证明系统有三个主要组成部分：

- **生成证明的证明者**。
- **验证证明的验证者**。
- **见证** 是证明者声称拥有的 **隐藏信息**。

![](https://img.learnblockchain.cn/2025/10/10/3f3e3073-image11.png)

零知识证明的工作原理是让验证者要求证明者执行一系列操作，只有当证明者拥有底层信息时，这些操作才能准确完成。 由于验证者的挑战无法预先确定，**如果证明者只是猜测这些操作的结果，那么最终将以很高的概率证明是错误的**。 这是零知识证明的交互式模型，由 Goldwasser、Micali 和 Rackoff 于 1989 年首次引入。

![](https://img.learnblockchain.cn/2025/10/10/d8e81ea0-image2.png)

在今天的区块链应用程序中，我们通常看到的是非交互式零知识证明。 证明者无需通过多轮挑战和响应协议执行验证，只需要创建一个证明，任何人都可以使用相同的证明进行验证。 我们稍后将讨论它对区块链的重要性，但对于证明系统本身而言，非交互性在系统可扩展性、开销操作和安全性方面具有实用性。 下面显示了完整的比较细分：

![](https://img.learnblockchain.cn/2025/10/10/d3a34836-image3.png)

启用 ZKP 的原因是基于 2 个关键创新：**Fiat-Shamir 启发式** 和 **多项式。**

### Fiat-Shamir 启发式

Fiat-Shamir 启发式是一种将交互式零知识证明转换为非交互式零知识证明的技术。 **证明者不是等待验证者发回挑战，而是可以使用密码散列函数自己生成挑战。** 哈希输出用作挑战，证明者针对此自生成的挑战计算其响应。 由于密码散列的输出无法提前预测，并且对输入的任何更改都会导致输出更改，因此哈希满足我们之前讨论的挑战排序中的随机性要求。

然后，证明者将此响应作为证明连同哈希输出和初始承诺一起发送给验证者。 因此，验证过程变得非交互式，因为验证者无需与证明者进一步通信即可检查证明的有效性。

### 多项式：

从高层次上讲，**多项式** 是代数表达式，它是 cxk 形式的（有限）个项的和（例如 F(x) = axk \+ bx + 1）。 多项式在表示计算方面非常 **高效**，因为它们可以使用紧凑的系列项来表示复杂的操作和约束。 这使得多项式 **非常适合将程序的复杂计算步骤编码为易于使用和验证的基本计算格式**。 高度复杂的算法可以简化为基本多项式。 这种表示和评估效率对于创建实用且可扩展的零知识证明系统至关重要。

**多项式承诺方案** 允许 **证明者承诺一个多项式，而无需完全显示该多项式。** 简而言之，多项式承诺方案是一种特殊的 **“哈希”** 多项式的方式。 **检查多项式之间的等式与检查其哈希之间的等式具有相同的保证，** 并且验证者可以得出结论，证明者提供的证明是有效的。 “哈希”行为通常还可以减小证明者和验证者之间的数据大小，从而实现有效的通信。

通过承诺方案，证明者证明他知道可以解多项式的见证。 承诺方案确保不向验证者泄露有关多项式（以及见证）的信息，从而保持对私有信息的零知识。 验证者可以检查证明者的 **公共输入** 和 **哈希输出** 以确定证明是否有效。

## ZKP 的当前实现

### 流程和操作

从高层次上讲，ZKP 实现的流程如下：

![](https://img.learnblockchain.cn/2025/10/10/480add25-image5.png)

**证明生成：**

该程序通常用特定领域语言 (DSL) 编写，被编译为中间表示 (IR)，这是一种电路表示，以及其他元数据和结构化信息。 简而言之，电路是以基本数学运算（算术电路）或逻辑门（布尔电路）网络表示的程序。 这称为系统的前端。

系统的后端是实际生成证明的地方。 它采用（由前端生成的）电路表示，并应用加密技术来生成程序执行的简洁、可验证的证明。 该过程可以浓缩为 3 个不同的步骤：
- **将 IR 转换为多项式方程组**：这通常是后端流程的第一步，即将计算问题转换成数学表示。证明者创建满足表示计算的方程的多项式。
- **应用多项式承诺方案**：此步骤有助于创建多项式的紧凑表示，允许证明者承诺这些多项式，而无需揭示实际的多项式（因此不会揭示 witness）。
- **应用 Fiat-Shamir 启发式技术**：将我们的交互式证明转换为非交互式证明，证明者生成一个证明并将其发送给验证者进行验证。

生成证明后，将以一种易于传输和验证的标准方式重新格式化。根据所使用的证明系统（通常是 SNARK 或 STARK），后端还会生成一个验证密钥，验证者可以使用该密钥来检查数据。由于证明系统的复杂性和密集性，此证明生成步骤通常在链下进行，并利用专用硬件。

**证明聚合：**

虽然这不是必需的，但可以通过递归组合进行聚合，以创建多重证明的证明，从而分摊成本并降低系统开销。各种系统在兼容性、聚合速度和整体实施要求方面会有所不同。

**验证：**

验证是该过程的最后一步，通常比证明过程更快，并且需要的计算能力更少。验证过程在链上进行，**通过调用预编译合约来支持操作。**

在此步骤中，主要执行归结为：

- **验证底层计算的完整性**：确保多项式正确地逐步表示计算，重点关注证明中不同元素的结构和关系。
- **证明验证**：验证者使用 Fiat-Shamir 启发式重新构建挑战，并验证打开的承诺与挑战和证明的其余部分是否一致。请记住，在证明生成期间，证明者使用 Fiat-Shamir 生成了一个具有不可猜测输出的挑战，并将其与证明者的响应一起发送给验证者。
- **高级验证**：从高层次确认证明的所有部分彼此一致，并且遵循计算的所有规则，确保证明者没有为证明的各个部分对同一变量使用不同的值。
- **最终验证**：将多个约束检查压缩为单个、更优化的验证，同时最终验证方程全面概括了所有先前的检查。此最后一步是对整个证明有效性的一个强大而简洁的测试。如果此方程成立，则有力地证明了证明中的所有单个检查和约束都已满足，从而为验证过程提供了一个优雅的结论。

### 权衡考虑：

在实施 ZKP 时，开发人员必须考虑以下事项：

**电路与 zkVM：**

电路和 zkVM 之间的比较可以通过 ASIC 和 GPU 的类比来更好地理解：电路更适合特定任务，如 ASIC，而 zkVM 更适合更通用的计算，如 GPU。

传统上，由于其性能和效率，电路一直是编写零知识程序的主要方式。**电路**是特定于程序的且基于约束的，允许开发人员指定如何在零知识证明中表示计算，而无需其他数据或参数。电路方法的缺点是，开发人员需要有关 ZKP 的专业知识，甚至只需要像 Circom 或 Noir 这样的特定 DSL，才能正确定义计算约束。电路是为特定程序量身定制的，这意味着每个电路都需要其专用的验证器。如果程序需要更新，则必须重写相应的电路以匹配更改。这种紧密的关系导致开发人员额外的工作量，从而阻碍了技术的采用。

**zkVM** 是一种较新的方法，旨在提供更全面的开发人员体验。开发人员无需了解电路、约束和算术化，而可以专注于使用高级语言（如 Rust 或 C++）构建其应用程序，并让虚拟机负责零知识证明中的执行和证明。权衡是系统复杂性和证明者开销的增加，这是由于程序解码和对任意指令集的计算造成的。与专用 ZKP 系统相比，这可能会导致更长的证明时间和更大的证明大小。但是，随着优化、工程和硬件的不断改进，可访问性和轻松的工作流集成使 zkVM 成为开发人员有吸引力的选择。

**SNARK 和 STARK**

SNARK（简洁的非交互式知识论证）和 STARK（可扩展的透明知识论证）是当今生产中使用的证明系统的大类。它们提供了开发人员可以用来创建和使用零知识证明的框架、库和资源。根据多种因素（如证明大小、验证时间、安全属性等），开发人员可以选择最适合其开发需求的证明系统。

- **SNARK**：提供更小的证明大小、更快的验证时间，更适合定义的计算。SNARK 的缺点是可信的安全设置和对复杂实施专业知识的需求。
- **STARK**：为大型计算提供可扩展性和性能，受量子计算保护，并且不需要可信设置。但是，STARK 的证明大小更大，生成时间更长，并且可能在链上产生更高的验证成本。

### ZKP 供应链的兴起：

鉴于实施零知识证明的复杂性以及需要考虑的各种权衡，人们已经有意识地重新定义 ZKP 供应链。目的是提供更好的工具并改善开发人员和最终用户的体验。

![](https://img.learnblockchain.cn/2025/10/10/371cdf8f-image15.png)

虽然这并没有过多地改变原始框架，但关键的区别在于为整个价值链中的职能部门设立了专用网络。这些网络针对其特定的工作负载进行了优化和专业化，可以带来更好的选择性，降低 ZKP 部署的门槛，并最终使 ZK 更接近采用的最终目标。

### 当前系统的缺点和低效

虽然应用的 ZKP 在过去几年中取得了巨大的发展，但系统效率低下仍然是影响技术采用的主要障碍。正如我们在引言中提到的，两个突出的问题是高验证成本和各种证明系统缺乏灵活性，这阻碍了 ZKP 技术的创新和采用。

以以太坊为例。以太坊是一个通用的智能合约平台，允许无需许可的程序部署。它也是 ZKP 方面应用和研究密度最高的生态系统。

![](https://img.learnblockchain.cn/2025/10/10/63575d14-image13.png)

标准的代币转账具有 21,000 gas 的固定基础费用，这意味着以太坊上证明验证的成本通常**比（Fflonk 证明）贵 9 倍，比（STARK 证明）贵 100 倍**。由于这是一个按证明计算的成本，因此使用 ZKP 到以太坊的基础设施团队和应用程序的直接费用在规模上是巨大的。

![](https://img.learnblockchain.cn/2025/10/10/b7f888f9-image20.png)

![](https://img.learnblockchain.cn/2025/10/10/c16fcf03-image4.png)_来源：L2Beats，6 个月范围 02/2024 – 08/2024_

在不到 2 年的时间里，已向以太坊 L1 支付了超过 5300 万美元的结算费用，其中 ZKP 基础设施在利用率方面占据主导地位。同样重要的是要承认，该数字代表的是一个时期，在此期间，zk rollups 上的用户活动（以交易计数衡量）低于其乐观的对应物。这是由于 zk rollups 的技术复杂性，导致上市时间较慢。例如，zkSync Era 于 2023 年 6 月推出，比 Optimism（2021 年 12 月）晚一年半，比 Arbitrum（2021 年 5 月）晚两年。

由于我们预计未来几年 zk rollups 上的用户活动将达到同等水平，因此预计 ZKP 向以太坊 L1 的总结算支付将是上述 5300 万美元数字的倍数。对于希望将 ZKP 用作其基础设施一部分的团队来说，这是资产负债表上的一项巨大运营成本。

证明的高成本也会影响以太坊上的证明吞吐量和利用率。以太坊的标准 gas 上限为 15M gas/区块，最高容量可以扩展到 30M gas。鉴于一个 Groth16 证明的成本约为 200,000 gas，因此一个以 30M gas 运行的区块理论上可以包含 150 个 Groth16 证明。按照以太坊 12 秒的区块时间，这转化为理论上的每秒约 ~ 12 个证明。此容量大大超过了以太坊的实际性能。

实际上，以太坊的吞吐量远低于理论容量。虽然基于 21,000 gas 基础费用的计算表明吞吐量为 119tps，但实际数字仅为 12-15tps。将相同的比率应用于以太坊上的证明吞吐量，得出的结论是 Groth16 证明的**每秒 1.2 个证明**，对于诸如 STARK 证明之类的更昂贵的证明类型，数字则要低得多。

可以通过检查以太坊的区块构建机制来解释这种降低的吞吐量。在以太坊上，gas 消耗程度不同的多个应用程序也需要访问同一区块空间进行处理。这些交易按顺序执行，其包含在区块中的顺序是通过价格-gas 拍卖机制确定的。用户可以支付高优先级费用以保证区块包含。这与已经很高的每个证明成本相结合，导致 ETH 上证明的吞吐量较低。

**问题的核心**

从较高的层次来看，**这些问题是缺乏预编译的结果**。预编译是在协议级别实现的内置函数或操作，可优化复杂计算的执行。与直接在智能合约代码或字节码中执行的等效操作相比，它们在计算资源方面通常更有效。

在 ZKP 的上下文中，**需要预编译来降低操作成本**。提醒一下，由于 ZKP 的执行本质上是多个基本算术步骤，因此 ZKP 在计算上是密集的。在区块链系统中实现这一点会加剧操作难度，因为开发人员需要转换 ZKP 代码以与当抢跑时环境兼容。如果没有预编译，ZKP 的运营成本将变得过高。

ZKP 的计算密集型特性也对网络拥塞和资源分配产生影响。鉴于这些系统的固定区块大小性质，像 ZKP 这样的资源密集型应用程序会消耗不成比例的区块链资源，从而影响市场。结果，这导致了挤出效应，因为应用程序难以确保访问区块空间以进行操作。因此，网络吞吐量减少，用户体验恶化。在这种情况下，预编译成为一种解决方案。预编译由于其优化操作和提高计算效率的能力，可以释放额外的区块空间。这允许缓解 ZKP 可扩展性优势与网络性能之间的权衡。

重要的是要注意，在 2017 年通过拜占庭硬分叉引入了 BN254 支持。在过去的 7 年中，尽管 STARK 作为一种性能更高的 ZKP 系统被引入和成熟，但以太坊尚未添加新的预编译来支持 ZKP 验证。

这并不奇怪，因为向系统中添加新的预编译将导致硬分叉——一个重要的网络更新，需要仔细的规划和与生态系统中参与者的协调。硬分叉是对区块链协议规则的根本性更改，它会创建一个与旧软件版本不兼容的区块链新版本。包括新的预编译，核心协议在处理不同操作的方式上发生了根本性的变化，有效地改变了如何达成对新状态更新的共识。没有新预编译的旧软件无法验证来自新升级的状态更改。这导致了一个分支，创建了区块链状态的两个版本。验证者实际上必须选择遵循哪个版本的状态更新。在许多区块链系统中，只有在所有节点都同意升级并且预编译在所有节点上统一实施时，才会接受硬分叉。

引入硬分叉可能会产生意识形态和经济后果，因此需要在社区内进行仔细的规划、测试和讨论。以太坊合并就是一个硬分叉的例子，其中协议将其共识机制从 PoW 更改为 PoS。虽然提到以太坊系统的 PoS 可以追溯到 2013 年的白皮书，但从 2017 年开始的积极开发直到上海升级（2022 年）才最终完成。许多关注该事件的人都可以看到，鉴于更改的性质，仔细的规划占据了中心位置。引入主要代码更改（如预编译）也是如此，因为它可能对生态系统中的每个利益相关者产生直接影响。

鉴于硬分叉的重要性，**升级协议以获得更好的预编译是一项费力且耗时的努力。** 这与 ZKP 行业的加速发展背道而驰，因为该领域仅用了 7 年时间就从 2017 年被称为“月球数学”发展到现在的 2024 年已投入生产的大量通用 zkVM。架构限制对希望在生产中使用 ZKP 的开发人员施加了约束，并阻碍了他们利用该领域最新进展的能力。这些限制还促使开发人员提出解决方法，例如 STARK 到 SNARK 的转换，这需要额外的计算资源。

## zkVerify

本报告的其余部分将探讨 zkVerify 的内部运作，概述其价值主张，并详细说明价值累积是如何发生的。从较高的层次来看，zkVerify 建议将验证置于协议之外，并根据需要添加预编译，以解决上述挑战和效率低下的问题。

虽然该行业一直专注于提高证明者的效率，但 zkVerify 已将自己定位为验证阶段的优化器。从更细致的角度来看，zkVerify 试图直接挑战当前的 ZKP 供应链。它的超高效性使该项目能够**优先考虑互操作性**并**加速开发人员加入** ZKP，从而**实现连接 web2 和 web3 世界的新颖用例。**

下表显示了基准数据，表明与以太坊上的直接操作的相同成本相比，产品效率和可扩展性显着提高。借助 zkVerify，开发人员可以简化其工作流程并减少使用 ZKP 的运营开销，包括风险、成本、维护和平台依赖性。

![](https://img.learnblockchain.cn/2025/10/10/132988cc-image12.png)

### 架构概述：

zkVerify 是一个基于 Substrate 的 L1 区块链，专门用于零知识证明验证，旨在成为所有可验证计算的通用验证层。它旨在处理来自各种来源的零知识证明。虽然这些证明将具有不同的特征，包括格式、证明大小、递归组合和电路复杂性，但 zkVerify 将能够相对轻松地处理所有这些特征。该系统旨在帮助卸载处理 ZKP 的复杂性，同时还增强与不同技术堆栈的可组合性。

从较高的层次来看，zkVerify 有 **4 个核心组件**：

- **证明提交接口**： 这是接收来自各种来源（寻求证明验证）的异构证明的接口（用于交易和 RPC 调用）。
- **主链**：这是 L1 权益证明链，其主要职责是接收、验证和存储有效性证明。它包含用于不同证明系统类型（如 Fflonk 和 Groth16）的验证器模块，确保证明包含在区块中，然后创建 zkVerify Merkle 树。
- **证明机制**：这是指创建和发布证明的协议，该证明包含 Merkle 根（异构证明树），并在满足给定策略后将其发布到 zkVerify L1 合约上。
- **zkVerify L1 合约**：此智能合约在以太坊中的核心职责是存储新的证明、验证它们，并为用户提供验证其证明是证明一部分的功能。

### zkVerify 的验证流程：

![](https://img.learnblockchain.cn/2025/10/10/691308f3-image1.png)

验证流程如下所示：

**证明提交**：证明提交者将其验证请求发送到证明提交接口。

**证明验证**：提交后，通过原生验证器（用 Rust 编写）验证证明。如果证明有效，则通过共识中继并最终包含在主链区块中；否则，交易将回滚并显示错误。为防止 DDoS，失败的交易也将包含在区块中，用户将支付费用。

**区块生产**： zkVerify 使用 BABE（用于区块扩展的盲分配）作为区块创建算法。BABE 提供基于插槽的区块创建，具有一组已知的验证器，这些验证器在每个插槽中至少生成一个区块。插槽分配基于可验证随机函数 (VRF) 的评估。为每个验证器分配一个 epoch 的权重。此 epoch 分解为插槽，验证器在每个插槽评估其 VRF。对于验证器的 VRF 输出低于其相对权重的每个插槽，允许该验证器作为主要作者创建区块。zkVerify 还利用辅助插槽，以便每个插槽将至少生成一个区块，从而实现恒定的区块时间。通过 BABE 生成的区块被视为暂定区块，直到由 GRANDPA 确定。

**区块最终确定：** GRANDPA（基于 GHOST 的递归祖先派生前缀协议）是与 BABE 并行运行的用于区块最终确定的单独机制。验证器参与多轮投票，以确定应最终确定的区块。每个验证器都对它认为可以最终确定的区块进行投票，其中隐含地包括对区块链上该区块的所有祖先的投票

- **投票规则**：GRANDPA 使用贪婪最重观察子树 (GHOST) 规则的变体来选择拥有验证器多数票的区块。GHOST 规则有助于选择最重的（加权最多的）链上的区块，这表明该链具有来自验证器的最大累积支持。在这种情况下，支持/权重是验证器的质押金额。
- **投票过程**：该过程分为 3 个步骤。**预投票**：验证器根据他们所看到的区块以及他们对链的当前看法，对他们认为应该最终确定的区块进行投票。**预提交**：如果验证器是在预投票阶段看到的最高区块的后代，则验证器会预先提交到一个区块。当超过 ⅔ 的验证器已经预先投票赞成一个区块，无论是直接投票还是赞成该区块的后代，该区块都是合理的。**最终确认**：一旦超过 2/3 的验证器已经预先提交到一个区块，则该区块被认为是最终确定的。这意味着该区块及其所有祖先都已达成协议，永远不会被还原。

当发布证明的区块被最终确定时，将发出一个_ProofVerified_ 事件，其中包含_proof_leaf_ 和 _attestation_id_ 值。

**证明**：基于证明大小和提交频率生成证明。一旦满足证明的条件，授权的中继器会将证明发布到 L1 上的验证智能合约。用户将必须支付在目标链上发布证明的费用，该费用将根据具体集成而波动。

### 集成

在这里，我们将看一个 zkVerify 与比特币上的 rollup 集成后的示例。虽然协议之间的实现方式可能有所不同，但对于希望利用 zkVerify 进行廉价、快速和原生验证的所有其他应用程序和基础设施而言，协议外的验证的基本模式应该是相似的。

![](https://img.learnblockchain.cn/2025/10/10/9508bdb8-image17.png)

zk(e)VM 充当执行层，在该层中执行交易，然后将其批处理。此批处理将用作创建证明的输入，该证明将由基础层验证。BitVM 将以交互方式处理此证明的验证，大多数质疑和响应程序在链下进行。如果计算不匹配存在争议，则将在比特币上进行解决，双方都将提交并公开特定计算。

在此系统中，zkVerify 可以充当源自比特币 L2 的证明的去中心化证明验证网络，从而提供超出乐观假设的额外保证。

### 架构深入探讨

鉴于我们对 zkVerify 的基本了解，现在是时候更深入地研究其中的细微差别，并了解 zkVerify 如何减少开发人员的摩擦、提高成本效率、增强互操作性，并为自己定位以抓住新兴的 web2 机会。

**证明验证设计：**

证明验证机制由主链处理，主链是一个使用 Substrate 框架构建的 L1，该框架在 Polkadot 生态系统中率先推出。

作为基于 Substrate 的 L1，zkVerify 继承了该框架附带的自定义设计逻辑的灵活性。这为克服上述问题提供了几个优势：

- **快速创新**：与 EVM 的约束和刚性不同，zkVerify 的执行功能可以轻松升级以支持新的证明系统。这是通过将新的 pallets（自定义编程逻辑）直接集成到 WASM 运行时（基于 WebAssembly 的执行环境）中来完成的，而无需进行硬分叉。zkVerify 可以快速适应 ZKP 领域的新进展，从而帮助团队加速 ZKP 和区块链的时间表和实验。借助 zkVerify，开发人员不再需要担心可能影响产品稳定性和开发时间表的系统复杂性和依赖性，因为 ZKP 系统的升级已原生集成到 zkVerify 中。
- **系统灵活性**：当今的开发人员对于 ZKP 系统的选择有限，并且鉴于虚拟机现有设计中的约束和实现，必须克服系统依赖性。例如，建议当今以太坊上的开发人员使用利用 KZG 承诺（例如各种基于 Plonk 的 SNARK）的证明系统，因为在实施 EIP-4844 之后，这是最具成本效益的解决方案。但是，并非所有证明系统都使用此承诺方案。例如，使用 STARK 的证明系统依赖于不同的承诺技术。要在当今的以太坊上实施基于 STARK 的系统，开发人员必须执行 STARK 到 SNARK 的转换，这会增加所需的计算步骤。对于 zkVerify，可以将 pallets 设计为验证器，该验证器采用具有嵌入式预编译的特定证明系统，从而避免了上述转换。此方法可以帮助简化开发人员的 ZKP 实施，因为 zkVerify 现在可以处理不同系统的原生验证，并将验证路由到所需的目标进行结算。对于开发人员而言，这意味着基于产品需求优化、原生 ZKP 实施和实验，而不是受到当前系统约束的限制。
- **优化设计**： zkVerify 作为专用Layer1 (L1) 区块链的架构实现了高效的零知识证明 (ZKP) 操作。通过仅关注证明验证并排除智能合约功能，zkVerify 消除了与其他应用程序争夺区块空间的问题。这种专门的设计允许快速执行复杂的证明系统，并显着降低运营成本。一旦证明被发送到证明提交窗口，运行时将对其进行验证，并排队等待区块生产。直到最终确定为止的整个过程将花费 6 秒，其中 2 秒用于验证，4 秒用于链操作。
- **提高证明验证的吞吐量：** 这种优化的设计提高了证明验证吞吐量。与以太坊不同，zkVerify 将其整个区块空间专用于证明验证，分配 2 秒用于验证和 4 秒用于区块生产。基准数据显示出很有希望的结果，证明验证每个证明只需几毫秒。zkVerify 的区块时间为 2 秒，因此与以太坊的功能相比，证明吞吐量大大提高。仅在理论上，每种类型的证明的最大吞吐量下，groth16 证明的证明容量为每秒 12.52 个证明，risc0 证明（基于 STARK）的证明容量为每秒 18.25 个证明。

![](https://img.learnblockchain.cn/2025/10/10/f4eb0aff-image9.png)

**证明机制：**

证明是见证或正式证明某事是真实或真实的行动。在 zkVerify 的情况下，证明是对底层 L1 的验证，证明已验证并包含在 zkVerify 区块中，从而授权 zkApp 继续使用已验证的数据执行。通过查询目标 L1 上的合约，可以快速检查证明已被验证，以查看证明是否已包含在 zkVerify 区块中。

借助 zkVerify 的证明机制，开发人员无需在他们希望其 dApp 运行的任何地方构建验证器。他们只需使用 zkVerify 验证一次，结果就会发送到任何地方。证明机制分为两个步骤：异构聚合和中继到目标链

**异构聚合**

密码聚合是一种压缩证明的方法，可以由基础层的验证器检查。对于 zkVerify，鉴于验证在协议外部进行，我们所需要的只是通过 Merkle 树进行聚合，从而可以快速有效地检查证明。与递归方法相比，异构聚合有助于实现工作负载压缩中的相同结果，同时需要少得多的计算能力和资源。因此，zkVerify 降低了实施 ZKP 的开发人员和最终用户的运营成本。

每个经过验证并包含在 zkVerify 区块中的新零知识证明都将被哈希化为一个叶子，附加到 Merkle 树，以及该证明将包含在其中的_attestation_id_ 。一旦满足发布条件，将为 attestation_id 创建 Merkle 树，并通过中继器发送到基础层验证合约。证明数据结构是一个数字签名的消息，其中包含：

- 将证明作为叶子的 zkVerify Merkle 树的 Merkle 根，以及
- 证明 ID 用于同步、识别和安全目的。

![](https://img.learnblockchain.cn/2025/10/10/7d46ab5a-image10.png)

_通过 merkle 树进行聚合。来源：zkVerify 白皮书_

**证明策略**

当满足以下规则之一时，即可满足导致将证明发布到基础层智能合约的策略：

- 上一次证明包含 N 个证明，其中 N 为证明大小
- 上次发布的证明早于 T 秒，并且新树中至少有一个证明。

我们可以设想在不同的目标链上进行证明发布的各种策略。用户将必须支付在目标链上发布证明的费用，该费用将根据具体集成而波动。理想情况下，此策略会根据用户需求和基础层的潜在变化而动态变化。

**中继器：**

中继器处理将证明发布到目标链上的验证智能合约。鉴于该项目仍处于初期阶段，中继器将从 Horizen Labs 开始作为授权中继器，在各种目标链上发布证明。

### 价值主张

我们可以将对深层架构分析的主要分析总结为两个关键点：

**提高互操作性、实现极高的效率以及扩展新的市场**

zkVerify 的主要价值主张在于其能够减少开发人员的摩擦、提高成本效率并提高不同系统之间的互操作性。在这种新颖的架构设计中，证明验证可以无缝进行，并且不受基础层的功能和设计选择的限制。

下游效应是 ZKP 部署所获得的效率，不仅体现在减少开销方面，而且还体现在消除审核和维护这些复杂技术堆栈中的开发人员摩擦和工作量方面**。** ZkVerify 已做好充分准备，成为旨在大规模实施 ZKP 的应用程序和系统的首选合作伙伴。单一验证层的优势不仅体现在性能效率方面，还体现在提高跨系统互操作性方面，从而有助于扩展应用程序设计的可能性。借助 zkVerify，在 ZKP 系统和基础层之间切换的障碍大大降低。开发人员可以使用 zkVerify 验证一次，并将结果发送到他们希望应用程序运行的任何位置。

鉴于 ZKP 的潜在市场增长，zkVerify 已占据有利地位，可以在未来几年内占据市场份额，并成为市场上的主导者。

**简化的开发人员体验：**

zkVerify 的架构可确保快速集成和更新，以支持多种证明系统，而不会产生大量的时间延迟。

团队无需处理底层虚拟机的复杂性和限制，这些虚拟机在计算上效率低下（STARK 到 SNARK 的转换）或需要周密的计划和测试（硬分叉），而是可以利用 zkVerify 部署最适合其产品需求的证明系统，并通过 Pallet 集成内置预编译支持。

在使用 zkVerify 之前，利用 ZKP 的开发人员必须管理自己的验证器系统，并找出最适合基础层技术细节的配置。当根据产品的开发来考虑多链未来时，问题变得复杂起来。借助 zkVerify，所有这些维护工作都被抽象出来，从而使团队可以专注于迭代。开发人员现在可以使用 ZKP 更强大地控制产品的开发和维护。这将带来更快的上市策略和更好的开发人员体验，从而有助于加速应用程序的成熟。此外，以原生方式升级和集成新的证明系统的能力将有助于 zkVerify 在 ZKP 领域占据市场份额，从而使其成为首批在生产环境中启用新证明系统的工具包之一。zkVerify 将始终拥有最新的验证器，并且对于希望在其系统中有效利用 ZKP 的开发人员而言，可以始终保持领先地位。

### 优化比较：

zkVerify 与其他专注于零知识证明的协议一样，是优化和简化 ZKP 运营的集体努力的一部分。该计划旨在使 ZKP 技术民主化，使其更容易被更广泛的开发人员和最终用户使用。在本节中，我们将比较 zkVerify 与当前市场上的其他解决方案之间的主要差异，并展示 zkVerify 如何直接挑战当前提议的 ZKP 供应链设计。

**证明市场、证明者网络 VS zkVerify 的证明提交接口**

zkVerify 与新提出的 ZKP 供应链之间的根本区别在于优化方法的不同以及每种设计中的权衡。

借助证明市场和证明者网络，重点是证明生成，这是 ZKP 成本中最大的一块。与 MEV 供应链类似，证明市场依赖于具有专门硬件的复杂参与者来分摊证明生成的成本。虽然此设计确实克服了生成的成本瓶颈，但由于请求者必须等待市场上提交的最具成本效益的解决方案，因此延迟和最终性可能会成为成本的折衷。相反，如果 ZKP 提交者通过拆分证明进行并行化来优先考虑速度，则在证明生成过程结束时，需要重新连接拆分证明，这会增加额外的成本。

假设奖励是根据证明者的性能分配的，那么大部分奖励自然会分配给具有最优化的堆栈的证明者，因此成为该市场中的一种集中力量。从去中心化的角度来看，在这种情况下，高效证明者的寡头垄断与中心化之间的差异很小。另一方面，考虑到系统外的证明生成，安全问题可能难以解决。这包括但不限于系统复杂性、额外的信任假设和库存管理。此外，使用 STARK 的系统在验证之前仍必须进行 STARK 到 SNARK 的转换，从而导致资源分配效率低下。

zkVerify 的证明提交接口提供了一条更加简单的路径，允许证明者将其证明直接提交到统一的验证层。到达提交接口的证明将包含在交易队列中以进行处理。这与 BABE 和 Grandpa 等机制一起，为许多系统提供了所需的低延迟和快速最终化。zkVerify 凭借其用于验证的专用 Pallets 架构和用于操作的内置预编译，也可以实现与证明者网络相同的成本竞争优势。

**密码聚合 VS 异构聚合**
从高层次上讲，证明聚合允许将多个证明聚合成一个单一的证明，可以通过递归或签名聚合实现。整个过程以密码学方式完成，并输出一个由验证合约验证的单一的证明的证明。系统不必评估每个证明，而是可以检查该证明的证明的有效性，并确定聚合输出中的计算正确性。

虽然从理论上讲，ZKP 的特性使得多重证明的设计非常优雅，但实际实施中出现了三个问题：

- **密码学兼容性**：不同的零知识证明系统通常使用不同的密码学基础，这使得直接组合成为一项挑战。这包括底层数学结构、安全假设和验证过程的差异。创建一个统一所有不同证明系统，同时保持所有组件证明的安全保证的系统是一个主要的障碍。
- **性能和可扩展性**：聚合多个证明会引入显著的计算开销。随着证明数量的增加，下一个瓶颈是保持证明大小的可管理性和缩短验证时间。在保持聚合中每个证明系统的优势的同时，平衡这些因素是一个复杂的优化问题。
- **系统维护**：不同证明系统之间缺乏标准化接口使得聚合工作变得复杂。为证明互操作性开发通用标准、管理各种验证密钥以及处理证明系统的不同版本或更新，为创建稳健和灵活的多重证明系统带来了持续的挑战。对于开发者来说，这意味着对聚合器提供商的高度依赖以及对这种复杂系统的持续维护，从而分散了对核心产品和用户体验开发的注意力。

另一方面，zkVerify 引入了“**异构聚合**”的概念，其中聚合的发生与证明系统无关。zkVerify 不通过密码学方式压缩验证工作负载，而是简单地将经过验证的证明散列到 Merkle 树中，并在满足发布策略的前提下，将 Merkle 根发布到基础层进行认证。证明提交者可以通过查询基础层上的认证合约来检查证明是否已最终确定。

通过将所有证明散列到 Merkle 树中，zkVerify 提供了一种类似形式的工作负载压缩，而不会产生额外的计算复杂性，并能够有效地检查证明包含性。对于最终用户和开发者来说，这意味着廉价且快速的证明验证操作。一旦检查到证明包含在 Merkle 树中，证明提交者就可以保证 zkVerify 已经验证了证明的有效性，并将其包含到 zkVerify 主链区块中。

**理解权衡**

如今，大多数生产环境中的实现都需要直接在 L1 上部署验证合约，尤其是在 Rollup 的情况下。通过将验证过程移到基础层之外，zkVerify 在速度和成本方面对底层信任假设进行了权衡。

在 Rollup 的情况下，基于以太坊的密码学架构和底层激励机制，用户可以相信 L2 上的交易是安全且不可逆转的。有了 zkVerify，以太坊用户信任的是外部方，而不是 ETH 验证者，以确保证明系统的完整性。这并不意味着 zkVerify 缺乏安全性（因为 ZKP、BABE 和 GRANDPA 的组合提供了一个强大的基础）。相反，关键在于额外的信任层为 ZKP 的应用引入了更多的复杂性。因此，zkVerify 专注于需要高频数据馈送和计算压缩的用例，以满足速度和效率至关重要的行业需求。然而，为了帮助缓解顾虑，让我们更详细地了解一下 ZKP 以及 BABE + GRANDPA 的安全组合：

- **ZKP**，正如我们在本报告中介绍的那样，提供了硬度保证。这意味着将错误的计算引入系统是非常困难的，因为只有具有正确输入的证明者才能使验证者相信有效证明（可靠性）。STARK，鉴于其基于哈希的承诺方案，可以进一步确保系统具有抗量子性（量子计算机无法猜对计算的正确答案）。
- 凭借 ZKP 已经引入了先发制人的验证（先挑战，后确认），**BABE** 和 **GRANDPA** 引入了随机化和多数确认，进一步扩展了我们的安全假设。BABE 在广播到网络之前，根据 VRF 的值选择区块生产者（在 zkVerify 的情况下，是 ZKP 验证的执行者），并且只有当三分之二的验证者集合同意区块内容时，GRANDPA 才能达成最终性（将区块添加到规范链中）。

此外，zkVerify 还实施了**提名权益证明**（NPoS）。在 NPoS 中，提名者（代币持有者）可以通过委托他们的代币来提名验证者参与区块生产/验证，并获得来自他们支持的验证者的收益分配作为回报。NPoS 还启用了惩罚机制，以惩罚验证者的恶意行为，从而在发生任何违规行为时影响验证者及其提名者的权益。这种机制允许参与者拥有更多的切身利益，从而加强了系统的安全性和信任假设。

### 初始目标市场：

下面我们将重点介绍 zkVerify 可以进入的潜在可服务市场。通过早期专注于这些行业，作为 GTM 工作的一部分，zkVerify 可以充分准备好抓住零知识证明技术采用的上升潜力。

**私有 DeFi**

去中心化金融是加密货币的核心领域之一，实现了开放和可互操作的金融。仅在五年内，整个行业的总锁定价值就达到了 1260.04 亿美元，顶级项目的总市值达到了 1179 亿美元。

随着机构采用 BTC 作为一种可行的资产，DeFi 的扩张可能会加速。然而，重要的是要认识到区块链的透明性质一直是机构犹豫不决的原因。考虑到机构的高风险，确保其资金和 AUM 的交易隐私和安全性是重中之重，这与区块链固有的公共性质相矛盾。

私有 DeFi/暗池的激增可能是未来 10 年的主要解决方案之一，机构和基金/公司可以在执行交易时无需担心泄露专有信息和重大的市场影响。在这种设计中，ZKP 可以用作来自单一来源的加密工具。在这个新兴市场中，zkVerify 可用于跨不同区块链环境的交易结算。

根据纳斯达克的说法，截至 2022 年 2 月，近一半的交易活动发生在暗池和场外交易场所。对于像 GameStop 这样的股票，在某些日子里，暗池的交易量超过了总交易量的 50%。随着机构参与者的增加，同样的趋势可能会在 DeFi 中上演。

**人**性证明

正如我们在之前的章节中确定的那样，身份完整性将在人工智能集成的新时代中发挥关键作用，尤其是在解决个人隐私、身份验证和欺诈预防等领域。由于公司可能会使用最适合其数据需求的各种系统，zkVerify 可以在简化跨系统兼容性方面发挥重要作用。机构、开发者和最终用户只需要创建一次身份证明，之后就可以通过 zkVerify 的优化设计将其发送到任何地方进行验证。

zkVerify 正在与合作伙伴 ZERO BASE 合作，为一个主要的 Web3 钱包平台实施 zkLogin 功能。通过利用 ZK 证明和 zkVerify 的证明验证者网络，ZERO BASE 能够提供亚秒级的 ZK 登录。这使得用户能够在不泄露任何个人信息的情况下证明他们是钱包/帐户的所有者，同时保持用户习惯的 Web2 用户体验。

**游戏 - 预测市场**

随机数生成是游戏和预测市场的核心机制。为了防止对用户进行操纵，该功能需要透明性和可验证性。ZKP 可以通过提供输出证明而无需人工干预，同时保持隐私，从而成为理想的解决方案。

游戏和预测市场是大量和频繁地利用可验证随机函数的垂直领域。使其成为 zkVerify 一个有趣的Emerging market。鉴于增长和需求持续上升，开发者可以利用 zkVerify 来利用高证明吞吐量能力，以提高产品性能和用户体验。Statista 预测，到 2029 年，全球在线赌博市场预计将达到 1330 亿美元，而 Straits Research 预测，到 2033 年，在线游戏可能会额外增加 4240 亿美元。

**SQL 证明：**

从根本上讲，每个计算系统都将执行三个功能：存储数据、对数据执行操作以及查询数据作为输入。随着应用程序对数据的需求变得更加精细和复杂，需要一种更充分的解决方案来调用和查询数据。

由 Space&Time 开发的 SQL 证明提供了一种亚秒级证明者的可能性，该证明者以密码学方式保证 SQL 查询是根据未篡改的数据准确计算的。结合 zkVerify 的证明验证网络，该解决方案提供了一个高性能的 ZKP 系统，其中从生成到验证的整个过程仅在几秒钟内发生。通过与 SQL 证明合作，zkVerify 可以积极关注新一代微调的、数据驱动的智能合约和协议开始出现的细分领域。zkVerify 和 Space&Time 之间的合作使 ZKP 成为开发者大规模试验高性能用例的有效数据扩展工具。

### 合作伙伴集成

随着 zkVerify 的协议发布计划于 2025 年进行，正在建立战略合作伙伴关系，以利用协同效应并加速 ZKP 的采用。虽然阵容强大，但我们将研究三个关键的合作，这些合作展示了 zkVerify 的价值主张，从而使该项目在不断扩展的 ZKP 市场中实现增长。

**Space and Time:**

Space-and-Time 是一个可验证的计算层，可在去中心化数据仓库上扩展零知识证明。该协议旨在为智能合约、LLM 和企业提供无需信任的数据处理。

通过 zkVerify 的证明验证，这种合作关系可以显著降低数据处理的成本并提高性能。由于这种合作关系增强了数据摄取能力，这将为区块链应用程序开辟新的可能性和新的设计空间。

**Apechain:**

Apechain 是使用 Arbitrum Stylus 堆栈构建的 Layer-3。Apechain 由 Bored Apes Yacht Club 这一文化现象背后的团队 Yuga Labs 开发，旨在成为游戏、IP 和链上文化的家园。zkVerify 的集成允许开发者利用 Apechain 的架构来创建和部署具有 ZKP 表现力的游戏，同时与 ApeCoin 生态系统无缝交互。

Apechain 目前正在推出其 Curtis 测试网，从一开始就支持 zkVerify 的本机证明验证。随着生态系统的发展，这种合作关系有助于为开发者创建一个更有意义的游乐场。他们现在可以利用 zkVerify 在计算压缩和信息隐藏方面的优势来进行产品开发，并利用 Ape 生态系统的文化传播和足迹来进行上市和用户获取。

**Pixel Vault**

领先的 web3 游戏工作室 Pixel Vault 已与 zkVerify 合作，以解决在线游戏的一个关键方面：确保公平和真正随机的结果。Pixel Vault 的 VRF（即可验证随机函数）是一种密码学原语，它以不可预测且可验证的方式生成随机数。简单来说，这是一种产生随机结果的方法，可以证明这些结果是真正随机的且未被操纵。VRF 用于各种 Pixel Vault 游戏机制，包括随机匹配。

通过使用 zkVerify 验证 VRF 随机结果的 zk 证明，Pixel Vault 可以为其玩家提供新的保证，即这些随机元素是真正不可预测的且不受操纵。

### 产品路线图

过去一年，ZkVerify 一直处于交付模式，在产品、外展和开发者入门方面全力以赴。激励性测试网的第一阶段和第二阶段已经上线，主要侧重于开发者，以逐步建立生态系统。

以下是团队在 2024 年完成的技术路线图的概述。

![](https://img.learnblockchain.cn/2025/10/10/af87cea2-image18.png)

来源：zkverify.io

## 团队

zkVerify 由 Horizen Labs 开发。Horizen Labs 成立于 2017 年，其使命是通过为现实世界构建企业级区块链和产品来确保世界向 web3 的过渡。Horizen Labs 拥有一支全球分布的团队，在零知识密码学和定制工程能力方面提供专业知识，以支持和增强区块链架构设计。该团队由经验丰富的商业资深人士和技术专家组成，他们在金融、数字和消费产品方面拥有深厚的专业知识：

**![](https://img.learnblockchain.cn/2025/10/10/f32d4a34-image14-286x300.png)Rob Viglione**：CEO

Rob Viglione 是 Horizen Labs 的联合创始人兼 CEO，也是 Zen Blockchain Foundation 的联合创始人兼团队负责人。他拥有金融学博士学位、金融和市场营销 MBA 学位以及物理和应用数学学士学位。此前，他曾担任 Aave、HeroEngine 的顾问，并曾担任美国空军的软件项目经理。

**![](https://img.learnblockchain.cn/2025/10/10/a901409d-image21-212x300.png)Zain Cheng**：CTO

Zain 是一位杰出的技术领导者，他对创建创新软件和扩展组织充满热情。凭借超过 18 年的经验，他在构建交付卓越业务成果的高效协作工程团队方面拥有良好的记录。

Zain 拥有康奈尔大学计算机科学以及电气与计算机工程学位。

**![](https://img.learnblockchain.cn/2025/10/10/cb2caedf-image6-246x300.png)John Camardo**：产品总监

John Carmado 担任 Horizen Labs 的产品开发总监。在这个职位上，他领导设计师、开发者和数据科学家之间的研究、开发和内部协作。

在加入 Horizen Labs 之前，John 在 Capital One 工作了七年，在那里他为管理 650 亿美元投资组合的客户开发商业信贷解决方案。

**![](https://img.learnblockchain.cn/2025/10/10/6e770e3b-image8-228x300.png)Spencer Soloway：**生态系统副总裁

Spencer Soloway 是 Horizen Labs 的生态系统副总裁，专注于合作伙伴关系和外展，以及 Horizen Labs 产品套件的增长和利用。

在加入 Horizen Labs 之前，他共同创立了一家数字营销和设计机构近十年，专注于消费产品。

## 结论

总而言之，ZKP 代表了未来几年内最有趣和最令人兴奋的技术机会之一。ZKP 的潜在市场正在区块链堆栈中迅速增长，包括应用程序和基础设施工具。ZKP 和区块链之间的互补性质可以显著增强可扩展性、互操作性和安全性，同时也为应用程序开辟了新的设计空间。

虽然当前系统存在缺点和效率低下，但 ZKP 化的趋势可能会在未来 5-10 年加速。在这样的未来，zkVerify 能够很好地解决当前的集成挑战并缩小效率差距。通过专注于提供一流的验证器，zkVerify 显著改善了开发者体验和协议经济性，从而与 ZKP 进行交互和部署。这还有助于通过提高互操作性、易用性和运营效率来扩大 ZKP 在 web2 和 web3 中的用例和市场。这些因素将成为使 ZKP 成为开发者工具不可或缺的一部分的基础，从而为广泛采用铺平道路。

由于 Pixel Vault、Apechain 和 Space & Time 等多个项目已经承诺利用 zkVerify，zkVerify 已为其平台获得了合作伙伴关系，从而加强了该协议的先行者和竞争优势。虽然新兴的 web2 机会取决于持续增长，并且可能需要时间才能实现，但 zkVerify 似乎已做好充分准备，可以抓住有意义的长期潜力和发展势头。

>- 原文链接： [members.delphidigital.io...](https://members.delphidigital.io/reports/zkverify-optimizing-zk-proof-verification-at-scale)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

介绍：

在过去的几年里，零知识证明（ZKP）已经成为解决区块链领域三个特定工程问题的实用方案：

可扩展性： ZKP 启用了一种有效性验证系统，其中交易在链下处理，数据经过高度压缩，然后将有效性证明发送到区块链进行验证。这种方法无需在链上验证所有数据，显著降低了区块链的计算负担，从而能够实现更快、更便宜的交易。总的来说，ZKP 在不影响区块链安全保证的前提下，极大地提高了可扩展性。
隐私性： ZKP 具有独特的能力，可以证明数据包的有效性，而无需泄露关于数据本身的任何具体信息。这在区块链系统中实现了新的隐私元素，例如机密交易和私有智能合约交互。与此同时，数据的有效性仍然可以公开验证，在确保正确性的同时，保证敏感信息的机密性。
安全性： ZKP 提供了一种数学上可靠的方法来验证计算的正确性，而无需泄露输入或中间步骤。这通过允许检测关键流程中的欺诈活动或错误来提高安全性。

然而，目前在通用智能合约平台上的 Rollup 和应用中 ZKP 的实现面临着多重挑战，尽管取得了进展，但瓶颈仍然阻碍着 ZKP 在区块链环境中的采用。

进入 zkVerify——一个模块化的 L1，旨在成为使用零知识证明的所有基础设施和应用程序的大规模统一验证层。作为所有验证需求的一站式解决方案，zkVerify 希望为使用 ZKP 的项目和开发人员提供更简单的解决方案。通过专注于通用证明验证作为核心产品，zkVerify 优先考虑 互操作性和开发者可访问性。 与市场上的其他解决方案相比，zkVerify 还 提高了 ZKP 的运营效率，以一小部分的成本实现证明验证，同时扩展了可扩展和可互操作应用程序的可能性。

随着技术的成熟，zkVerify 完全有能力抓住 ZKP 部署和使用增长的一部分，为 ZKP 的广泛采用铺平道路。

什么是零知识证明？

一位国际学生想申请出国留学签证，必须向大使馆证明他有经济能力支持他的教育。在此签证申请中，他必须展示以下内容：

银行对账单/账户余额
家庭资助证明（如果学生未满 18 岁）
收入和/或资产所有权证明

在正常情况下，个案官员可以访问学生的个人信息，并根据提供的信息做出决定。他们还必须依法保护用户隐私。从学生的角度来看，这意味着盲目信任该系统来保护和保障数据。

利用零知识证明，学生可以出示资产所有权证明，例如“我的流动资产总值高于要求的阈值”，而无需提供完整的文档以供验证。然后，官员会运行必要的计算以确定证明的有效性。一旦证明被接受为有效，就会签发签证。

零知识证明的属性：

零知识证明有三个基本属性：

零知识性： 验证者没有其他信息，除了该语句为真这一事实。
完备性： 如果该语句为真，则验证者可以被任何诚实的提供者说服，证明他有权访问秘密信息。
可靠性： 只有拥有正确信息的人才能说服验证者。在这种情况下，玩猜谜游戏几乎是不可能的。任何不诚实的证明者都无法说服验证者正确了解输入。

这些属性允许零知识证明补充区块链架构和功能的设计。利用零知识证明，开发人员有一种优雅的方式将隐私性、可扩展性和计算表达性引入系统。我们现在将更详细地探讨这种协同作用，以及零知识证明和区块链的潜在市场增长。

区块链 x 零知识证明：

两种技术的互补性

区块链是无需中介的、用于无需许可的、点对点价值转移的协调系统。区块链没有依赖于中心化机构来解决最终结果，而是实施了一个分布式节点网络来通信并就系统的当前状态达成共识。这创造了一个环境，其中节点之间的执行、存储和通信以 无需信任的方式达成一致并得到保证。

此类保证通过经济规则（博弈论和激励）或密码学（数学）来执行，今天大多数区块链系统都使用两者的组合。零知识证明通过增加表达性同时提供硬度来扩展现有保证：

表达性： 零知识证明有望扩展链上用例，同时提高区块链的底层性能。它们实现了从重复执行进行验证到简化的“一次执行，随处验证”模型的工程转变，在该模型中，生成和聚合计算或大型数据集的紧凑证明。 这允许复杂的、多步骤的计算在链下执行并在链上验证，通过减少数据占用空间和计算工作负载来显着提高可扩展性和表达性。 由于数据永远不会透露给证明验证者，因此 ZKP 会向堆栈添加一层隐私——这是对当前激进透明的区块链范例的自然升级。
硬度： 此处的硬度是指 ZKP 的安全保证——本质上是向系统中引入错误计算的难度。不诚实的证明者无法说服验证者进行不正确的计算，因此 有助于将系统的信任要求降低到 1-of-N（诚实少数），而不是依赖于诚实多数假设（M-of-N）。 借助 ZKP，用户可以仅依靠数学和密码学的复杂性作为其安全假设的基础。

零知识证明的市场：

下面，我们利用表达性和硬度的属性来研究零知识证明和区块链的潜在市场趋势：

Rollup：

区块链中零知识证明背后的兴奋可以归因于其 在不增加验证硬件要求的情况下提高可扩展性的能力。 区块链不是重新执行，而是可以将执行功能外包给链下实体，同时保持链上可验证性和点对点通信保证。将证明批处理或聚合到多重证明系统中的能力还在可扩展性和成本降低方面提供了更高的数量级。这就是以太坊上 zk rollup 背后的论点，排名前 3 的项目（Starkware、ZKsync 和 Polygon）的总市值约为 22 亿美元。

比特币上的 ZK rollup： 比特币上 L2 的兴起是过去一年中一个有趣的进展。鉴于比特币的脚本语言局限性，各个团队提出了 使用比特币作为安全的基础层，同时在顶部直接构建一个额外的层用于执行批处理。 这将允许用户增加比特币之上的计算表达性，从而为资产引入更多实用性并帮助提高其安全预算。

在过去的一年中，鉴于比特币现货 ETF 的成功推出带来的推动，人们对增加比特币的计算表达性的兴趣大幅增加。该类别中的 20 项投资已承诺超过 7600 万美元，处于融资周期的各个阶段，表明人们对比特币 L2 工作的重视程度很高。 ZKP 有可能为构建在比特币之上的 L2 提供可持续且优雅的设计，并且 Citrea、Alpen 和 BoB 等项目正在引领潮流。

除了rollup之外，零知识证明的属性在链上应用程序的可组合性、架构模块化和计算复杂性的背景下也是可取的。

桥和可组合性

跨链环境（即：将资产从链 A 转移到链 B）中的可组合性也是零知识证明可以发挥作用的领域。虽然今天大多数互操作性设计都利用乐观验证的变体进行结算，但零知识证明可以通过引入可扩展性、更快的最终性和增强的安全性来补充原始架构：

可扩展性： 从理论上讲，零知识证明使验证器桥能够通过证明生成和批处理来压缩计算，以便在目标链上进行验证。在多链世界中，这意味着通过硬件改进和加速证明系统来分摊成本，从而降低运营开销。多个系统之间的证明聚合以供目标链验证还可以为可组合性和资产桥接引入设计途径。
更快的最终性： 在使用乐观验证的系统中，总有一个时间延迟窗口用于使用欺诈证明进行争议。零知识证明允许桥梁将最终确定时间从几天大幅缩短到几分钟。
增强的安全性： 博弈论、激励和多重签名系统在当前桥梁的设计中至关重要，以确保正确的跨链执行。借助零知识证明，用户可以将他们的信任假设限制为仅数学和代码。在运营方面，零知识证明还可以通过可验证的计算引入额外的检查点，从而加强桥梁的安全性并减少潜在的攻击向量。

如今，桥梁已证明在加密货币领域具有很高的产品市场契合度。根据 DeFi LLama 的数据，在资产价格呈下降趋势且链上活动减少的市场期间，桥梁的 每月总交易量仍然约为 67.66 亿。 加密货币领域中的一些顶级黑客攻击也是与桥梁相关的事件，其中前 3 名的案例（Ronin Bridge、Wormhole、Binance BNB Bridge）总计损失价值 15.19 亿美元 。在这些情况下，ZKP 可以允许开发人员通过为资产转移验证提供检查点并增强系统的可扩展性和灵活性来最大限度地减少安全问题。

然而，零知识证明 (ZKP) 在这些系统中的采用有限，这主要是由于它们在用户体验、实施复杂性和运营成本方面的缺点。我们将在后面的章节中详细探讨这些细微差别，并了解 ZKVerify 在其中的作用。

zkCoprocessors

未来几年 ZKP 的另一个令人兴奋的市场机会是 zkCoprocessor 的兴起。随着区块链应用程序中对更复杂的计算和数据处理的需求持续增长，zkCoprocessor 是卸载这些任务同时保持安全性和隐私性的潜在解决方案。这些专用组件可以大致分为以下几类：

数据访问 zk-Coprocessor： 主要向某个地方（智能合约）提供某些数据（状态历史记录、区块历史记录、来自 Web2 应用程序的社交图）。 StorageProofs 和 Space & Time 是朝着这个方向发展的协议。这些协议利用 ZKP 来创建对链上数据的简化访问，这些数据可以为智能合约操作进行查询和验证，而无需处理所有底层数据。
zkVM 计算-Coprocessor： 计算在链下生成，而结果会发回链上。虽然这类似于 ZK rollup 模型，但主要区别在于协处理器程序可以是异步的、不管理状态更新，并且更像按需服务提供商。 Axiom、Larange 和 Brevis 是旨在朝着这个方向发展的产品，通过 ZKP 提供外部计算来支持数据密集型应用程序。

zkApp：

从高层次上讲，zkApp 是利用零知识证明 引入额外的功能和功能支持 的应用程序，包括但不限于隐私、计算复杂性和可扩展性。下面，我们将探讨 ZKP 如何增强应用程序功能：

以隐私为中心的金融应用程序： ZKP 可以实现机密交易、匿名资产转移和私人借贷平台。金融细节可以保持隐藏，同时确保合规性。在这些情况下，用户输入用作证明的见证，只有用户才能在需要时向当局透露信息。 Tornado Cash 和 Solana 的私有转移（Token扩展的一部分）是此类别中的示例。这些工具允许 用户混淆机密信息并维护个人隐私。向公众隐藏的信息可以包括但不限于资产类型、资产金额、发送者和接收者的地址等。
去中心化身份系统： zkApp 可以创建和管理数字身份，允许用户在不泄露敏感个人信息的情况下证明特定属性（例如，年龄、公民身份）。对于依赖社交图来引导用户的应用程序，ZKP 提供了一种优雅的设计来帮助细分并将新行为引入集合，创建粘性并减少运营开销。去中心化身份层 Worldcoin 使用 ZKP 来提供个人信息的安全和私人验证，而不泄露数据。当一个人使用他们的 World ID 时，ZKP 会阻止第三方知道该人的 World ID 公钥或跨应用程序跟踪他们。 ZKP 还保护 World ID 的使用免于与任何生物识别数据或该人的虹膜代码相关联。
游戏逻辑和 NFT 所有权： 游戏玩法和资产验证可以在链下实时计算，从而 提高性能并降低成本，同时保持可证明的公平性和真实性。 零知识证明还使开发人员能够实施战争迷雾机制，丰富游戏玩法和玩家沉浸感。虽然这个想法仍在探索中，但已经取得了重大进展。今年最值得注意的进展是 Ingonyama 的 zkHunt，这是一款实时战略游戏，玩家在其中竞争资源和生存。在这种情况下，ZKP 用于创建战争迷雾/链上发现过程。

模块化范例的扩展

区块链是协调的计算机，其基本目的是以约定的方式记录所有有效的交易和数据。从本质上讲，通用区块链执行四个关键功能：

执行： 处理交易以更新区块链的状态
结算： 解决争议，确保交易有效性
共识： 与网络中的其他节点就新区块中的交易排序达成协议，并最终确定状态更新。
数据可用性： 确保所有数据都可供网络参与者查看，并且可以访问以进行交易验证

随着技术堆栈的不断成熟，我们在过去两年中看到的是模块化和专业化的趋势。每个功能现在都有一个专用的层，而不是使用一个通用区块链来处理堆栈的所有部分，每个功能现在都有一个专用的层，该层根据细分和需求进行优化。这允许在整个堆栈中进行优化和扩展，从而为探索和专业化提供设计空间。

随着零知识证明技术的实现，模块化趋势可能会继续扩大和加速。模块化模型的原始版本现在可以进一步分解并重新捆绑到基本组件中，为开发人员、社区和公司提供更具表现力和精细化的工具包，以设计最符合其集体目标的区块链。

Equilibrium Labs 的分析 “ZK 会吞噬模块化堆栈吗？” 提供了对模块化堆栈潜力的精彩概述，重点介绍了现有的集成和突出了 ZK 技术未来可以解决的问题。

来源：Equilibrium Labs，“ZK 会吞噬模块化堆栈吗？”

传统系统中的无需信任的验证和数据互操作性：

虽然 ZKP 在过去 10 年中在 web3 中引起了人们的关注，但 ZKP 的市场预计将超越加密货币，并推动传统行业的显着改进。适合 ZKP 颠覆的领域将是信息隐私、数字身份解决方案以及所有行业的欺诈预防。借助 ZKP，用户可以完全控制其数据，仅与预期方共享必要的详细信息，同时确保其准确性。公司和组织可以利用 ZKP 来实现更安全的数据管理系统，验证信息以更好地预防欺诈，并遵守法规。

信息隐私和管理

与传统的隐私管理软件相比，ZKP 的产品在几个方面都更胜一筹：

数据所有权属于最终用户，不一定必须位于企业拥有的孤立服务器上。 ZKP 可以实现灵活的数据管理和通信，因为存储的数据是数据有效性的证明，而不是实际数据，从而为企业节省了成本和维护费用。
ZKP 可以提供卓越的隐私保证，因为只有用户才能透露正在调用的私人信息。考虑到存储的数据是数据有效性的证明而不是实际信息，这有效地消除了对中介机构的信任依赖，并且可以防止灾难性事件，例如数据泄露和黑市上被盗的身份。

2022 年的数据隐私市场估值为 27.6 亿美元。正如 Fortune Business Insights 预测的那样，到 2030 年，该市场预计将增长到 424.8 亿美元。这些预测取决于持续的市场增长，因为用户对更好的隐私和合规性管理工具的需求在未来会加速增长。如果这种趋势继续发展，我们看到了新兴的机会，像 zkVerify 这样的协议可以进入该领域并占据市场份额，因为 ZKP 作为一种技术将继续成熟。

数据认证：

数据认证是验证数据的来源和完整性以确保数据真实且未被篡改的过程。这种应用在当今的现实世界中具有广泛的影响：

数字身份：

在日益数字化的环境中，维护、验证和保护数字身份的解决方案成为一个关键领域。在未来 10 年内，我们相信这是 ZKP 可以解决当前挑战并为更安全和直观的未来铺平道路的第二个领域。

ZKP 提供了一种简单有效的方式来跨多个应用程序安全地共享数字身份信息，而无需泄露敏感的个人详细信息。在数字身份领域，ZKP 可用于帮助实现以下目标：

通过允许用户证明其身份和访问权限，而无需传输密码或敏感凭据，从而增强用户身份验证体验和安全性。 ZKP 的可靠性属性确保数字身份的唯一性，仅限于一个帐户，而完整性特征允许 ZKP 跨多个系统使用来验证相同的数据格式。这在欺诈预防等领域非常有用。
通过改进验证以适合预定义的标准集，而不会泄露用户私人信息，可以在广告和社交媒体中完成用户定位。
组织可以通过检查最终用户生成的证明来验证用户是否符合特定要求，而无需访问或存储大量的个人文档。这简化了监管流程，同时维护了个人主权。

对安全的远程访问、法规遵从以及跨金融、医疗保健和零售等行业的数字服务的普遍集成的不断增长的需求可能有助于推动数字身份解决方案市场的采用和发展。鉴于其特性，ZKP 有望帮助企业和开发人员创建更精细、更强大且更易于使用的数字身份系统，从而让用户控制和利用自己的个人数据。同样，Fortune Business Insights 预测，到 2030 年，数字身份的市场规模将从 2023 年的 308.1 亿美元增长到 1013.7 亿美元。

由 ZKP 构建的下一代数字身份框架的更广泛意义在于可能颠覆市场并在欺诈预防和数字营销等关键领域中获取变革性价值。视市场增长情况而定，这个新兴市场具有重要的潜力。我们相信，从这个新系统中获得的优势可能会重塑企业主动应对欺诈预防和提供有针对性广告的方式。

欺诈预防：

从更广泛的计划来看，ZKP 开创的身份解决方案将成为欺诈预防的有用工具，它提供了一种机制，数据发行者必须提供有效性证明，以便由交易对手验证。正确验证后，最终用户即可继续。 ZKP 的压缩特性以及通过数学和密码学提供的复杂性确保了以下几点：

简化工作负载：ZKP 驱动的解决方案可以通过生成在密码学上复杂且难以伪造的身份证明来简化信息有效性检查。这可以取代密集的数据匹配过程，从而减少开销和复杂性。
加强数据安全：该方法存储数据有效性的数学证明，而不是存储个人凭据。这可以最大限度地降低暴露风险，确保敏感信息受到保护，同时仍允许进行强大的验证。

欺诈预防领域增长的主要驱动力可能来自移动应用程序和网上银行服务的增加，这些服务可能具有严重的、可利用的向量。在这些市场中，ZKP 可能成为改进信息流控制、欺诈检测和数据泄漏预防的首选工具。

有针对性的数字广告：

过去 20 年来，互联网、社交媒体和电子商务的寒武纪大爆发使得数字营销和广告成为许多企业增长和发展的核心组成部分。根据 Statista 的数据，在七年内，数字广告支出从 2017 年的 2431 亿美元增长到 2024 年的 7403 亿美元，预计到 2028 年将达到 9655 亿美元。

随着互联网普及率的提高以及电子商务和数字支付的采用率持续飙升，在后稀缺世界中获取关注可能会导致数字广告市场的显着扩张。从横幅广告到当今复杂的程序化广告的历程，标志着该行业对数据永不满足的渴望，从而推动了精准定位和个性化。

这种发展具有后果，尤其是在个人主权的时代，随着GDPR和CCPA等新法规的实施，以及更精通隐私的用户群。 ZKP 可以充当解决方案，帮助向目标受众提供高效广告，同时保持对用户数据隐私的尊重：

用户隐私：用户仅共享信息的验证。如果用户个人资料/动作符合特定的广告类别，则可以将广告发送给他们。用户仍然可以控制其个人数据以及他们有权接触此类内容。
个性化：ZKP 允许进行更精细的访问，因此，广告商可以微调其信息流/请求，以正确地将广告传递给正确的目标。

可验证 AI

可验证 AI 指的是设计为透明、负责且可审计的 AI 系统。这些系统允许用户跟踪、理解和验证 AI 决策，确保它们没有偏见和错误。黑盒 AI 的运行透明度有限，使得理解和信任其决策变得困难。

ZKP 和 AI 的结合非常有用，因为它可以增强机器学习模型中的偏差缓解，并确保用户与黑盒 API 交互的模型确实是提供商请求的精确模型。这种方法的影响跨越各个领域，尤其是在医疗保健和金融等领域。 AI 模型产生的结果可能会深刻影响最终用户的福祉，尤其是那些属于弱势群体的人。

最近的发展催生了 ZKML（零知识机器学习）领域，研究人员和开发人员利用 ZKP 来验证 AI 模型中推理传递的完整性。 ZKML 的两个主要目的是：

验证模型输出： 在用户向托管 AI 模型的远程服务提交输入的情况下，ZKML 确保生成的输出是一致的，并且是由他们付费和请求的精确输出产生的。对于像 ChatGPT 这样的生成应用程序来说，这至关重要，因为其中涉及产品使用的不同层级。

增强数据隐私： 在数据访问是私有的情况下，需求将是在本地部署 AI 模型。 ZKML 使模型部署人员可以确信用户发回的数据输出是模型的准确输出，而不是来自用户软件的干扰。数据本地性和零知识属性的结合保留了用户数据隐私。

零知识证明如何工作？：

从高层次上讲，零知识证明系统有三个主要组成部分：

生成证明的证明者。
验证证明的验证者。
见证是证明者声称拥有的 隐藏信息。

零知识证明的工作原理是让验证者要求证明者执行一系列操作，只有当证明者拥有底层信息时，这些操作才能准确完成。由于验证者的挑战无法预先确定，如果证明者只是猜测这些操作的结果，那么最终将以很高的概率证明是错误的。这是零知识证明的交互式模型，由 Goldwasser、Micali 和 Rackoff 于 1989 年首次引入。

在今天的区块链应用程序中，我们通常看到的是非交互式零知识证明。证明者无需通过多轮挑战和响应协议执行验证，只需要创建一个证明，任何人都可以使用相同的证明进行验证。我们稍后将讨论它对区块链的重要性，但对于证明系统本身而言，非交互性在系统可扩展性、开销操作和安全性方面具有实用性。下面显示了完整的比较细分：

启用 ZKP 的原因是基于 2 个关键创新：Fiat-Shamir 启发式 和 多项式。

Fiat-Shamir 启发式

Fiat-Shamir 启发式是一种将交互式零知识证明转换为非交互式零知识证明的技术。 证明者不是等待验证者发回挑战，而是可以使用密码散列函数自己生成挑战。 哈希输出用作挑战，证明者针对此自生成的挑战计算其响应。由于密码散列的输出无法提前预测，并且对输入的任何更改都会导致输出更改，因此哈希满足我们之前讨论的挑战排序中的随机性要求。

然后，证明者将此响应作为证明连同哈希输出和初始承诺一起发送给验证者。因此，验证过程变得非交互式，因为验证者无需与证明者进一步通信即可检查证明的有效性。

多项式：

从高层次上讲，多项式 是代数表达式，它是 cxk 形式的（有限）个项的和（例如 F(x) = axk + bx + 1）。多项式在表示计算方面非常高效，因为它们可以使用紧凑的系列项来表示复杂的操作和约束。这使得多项式 非常适合将程序的复杂计算步骤编码为易于使用和验证的基本计算格式。高度复杂的算法可以简化为基本多项式。这种表示和评估效率对于创建实用且可扩展的零知识证明系统至关重要。

多项式承诺方案 允许 证明者承诺一个多项式，而无需完全显示该多项式。 简而言之，多项式承诺方案是一种特殊的 “哈希” 多项式的方式。 检查多项式之间的等式与检查其哈希之间的等式具有相同的保证， 并且验证者可以得出结论，证明者提供的证明是有效的。 “哈希”行为通常还可以减小证明者和验证者之间的数据大小，从而实现有效的通信。

通过承诺方案，证明者证明他知道可以解多项式的见证。承诺方案确保不向验证者泄露有关多项式（以及见证）的信息，从而保持对私有信息的零知识。验证者可以检查证明者的 公共输入 和 哈希输出 以确定证明是否有效。

ZKP 的当前实现

流程和操作

从高层次上讲，ZKP 实现的流程如下：

证明生成：

该程序通常用特定领域语言 (DSL) 编写，被编译为中间表示 (IR)，这是一种电路表示，以及其他元数据和结构化信息。简而言之，电路是以基本数学运算（算术电路）或逻辑门（布尔电路）网络表示的程序。这称为系统的前端。

系统的后端是实际生成证明的地方。它采用（由前端生成的）电路表示，并应用加密技术来生成程序执行的简洁、可验证的证明。该过程可以浓缩为 3 个不同的步骤：

将 IR 转换为多项式方程组：这通常是后端流程的第一步，即将计算问题转换成数学表示。证明者创建满足表示计算的方程的多项式。
应用多项式承诺方案：此步骤有助于创建多项式的紧凑表示，允许证明者承诺这些多项式，而无需揭示实际的多项式（因此不会揭示 witness）。
应用 Fiat-Shamir 启发式技术：将我们的交互式证明转换为非交互式证明，证明者生成一个证明并将其发送给验证者进行验证。

证明聚合：

验证：

验证是该过程的最后一步，通常比证明过程更快，并且需要的计算能力更少。验证过程在链上进行，通过调用预编译合约来支持操作。

在此步骤中，主要执行归结为：

验证底层计算的完整性：确保多项式正确地逐步表示计算，重点关注证明中不同元素的结构和关系。
证明验证：验证者使用 Fiat-Shamir 启发式重新构建挑战，并验证打开的承诺与挑战和证明的其余部分是否一致。请记住，在证明生成期间，证明者使用 Fiat-Shamir 生成了一个具有不可猜测输出的挑战，并将其与证明者的响应一起发送给验证者。
高级验证：从高层次确认证明的所有部分彼此一致，并且遵循计算的所有规则，确保证明者没有为证明的各个部分对同一变量使用不同的值。
最终验证：将多个约束检查压缩为单个、更优化的验证，同时最终验证方程全面概括了所有先前的检查。此最后一步是对整个证明有效性的一个强大而简洁的测试。如果此方程成立，则有力地证明了证明中的所有单个检查和约束都已满足，从而为验证过程提供了一个优雅的结论。

权衡考虑：

在实施 ZKP 时，开发人员必须考虑以下事项：

电路与 zkVM：

电路和 zkVM 之间的比较可以通过 ASIC 和 GPU 的类比来更好地理解：电路更适合特定任务，如 ASIC，而 zkVM 更适合更通用的计算，如 GPU。

传统上，由于其性能和效率，电路一直是编写零知识程序的主要方式。电路是特定于程序的且基于约束的，允许开发人员指定如何在零知识证明中表示计算，而无需其他数据或参数。电路方法的缺点是，开发人员需要有关 ZKP 的专业知识，甚至只需要像 Circom 或 Noir 这样的特定 DSL，才能正确定义计算约束。电路是为特定程序量身定制的，这意味着每个电路都需要其专用的验证器。如果程序需要更新，则必须重写相应的电路以匹配更改。这种紧密的关系导致开发人员额外的工作量，从而阻碍了技术的采用。

zkVM 是一种较新的方法，旨在提供更全面的开发人员体验。开发人员无需了解电路、约束和算术化，而可以专注于使用高级语言（如 Rust 或 C++）构建其应用程序，并让虚拟机负责零知识证明中的执行和证明。权衡是系统复杂性和证明者开销的增加，这是由于程序解码和对任意指令集的计算造成的。与专用 ZKP 系统相比，这可能会导致更长的证明时间和更大的证明大小。但是，随着优化、工程和硬件的不断改进，可访问性和轻松的工作流集成使 zkVM 成为开发人员有吸引力的选择。

SNARK 和 STARK

SNARK：提供更小的证明大小、更快的验证时间，更适合定义的计算。SNARK 的缺点是可信的安全设置和对复杂实施专业知识的需求。
STARK：为大型计算提供可扩展性和性能，受量子计算保护，并且不需要可信设置。但是，STARK 的证明大小更大，生成时间更长，并且可能在链上产生更高的验证成本。

ZKP 供应链的兴起：

当前系统的缺点和低效

以以太坊为例。以太坊是一个通用的智能合约平台，允许无需许可的程序部署。它也是 ZKP 方面应用和研究密度最高的生态系统。

标准的代币转账具有 21,000 gas 的固定基础费用，这意味着以太坊上证明验证的成本通常比（Fflonk 证明）贵 9 倍，比（STARK 证明）贵 100 倍。由于这是一个按证明计算的成本，因此使用 ZKP 到以太坊的基础设施团队和应用程序的直接费用在规模上是巨大的。

来源：L2Beats，6 个月范围 02/2024 – 08/2024

实际上，以太坊的吞吐量远低于理论容量。虽然基于 21,000 gas 基础费用的计算表明吞吐量为 119tps，但实际数字仅为 12-15tps。将相同的比率应用于以太坊上的证明吞吐量，得出的结论是 Groth16 证明的每秒 1.2 个证明，对于诸如 STARK 证明之类的更昂贵的证明类型，数字则要低得多。

问题的核心

从较高的层次来看，这些问题是缺乏预编译的结果。预编译是在协议级别实现的内置函数或操作，可优化复杂计算的执行。与直接在智能合约代码或字节码中执行的等效操作相比，它们在计算资源方面通常更有效。

在 ZKP 的上下文中，需要预编译来降低操作成本。提醒一下，由于 ZKP 的执行本质上是多个基本算术步骤，因此 ZKP 在计算上是密集的。在区块链系统中实现这一点会加剧操作难度，因为开发人员需要转换 ZKP 代码以与当抢跑时环境兼容。如果没有预编译，ZKP 的运营成本将变得过高。

鉴于硬分叉的重要性，升级协议以获得更好的预编译是一项费力且耗时的努力。 这与 ZKP 行业的加速发展背道而驰，因为该领域仅用了 7 年时间就从 2017 年被称为“月球数学”发展到现在的 2024 年已投入生产的大量通用 zkVM。架构限制对希望在生产中使用 ZKP 的开发人员施加了约束，并阻碍了他们利用该领域最新进展的能力。这些限制还促使开发人员提出解决方法，例如 STARK 到 SNARK 的转换，这需要额外的计算资源。

zkVerify

虽然该行业一直专注于提高证明者的效率，但 zkVerify 已将自己定位为验证阶段的优化器。从更细致的角度来看，zkVerify 试图直接挑战当前的 ZKP 供应链。它的超高效性使该项目能够优先考虑互操作性并加速开发人员加入 ZKP，从而实现连接 web2 和 web3 世界的新颖用例。

架构概述：

从较高的层次来看，zkVerify 有 4 个核心组件：

证明提交接口：这是接收来自各种来源（寻求证明验证）的异构证明的接口（用于交易和 RPC 调用）。
主链：这是 L1 权益证明链，其主要职责是接收、验证和存储有效性证明。它包含用于不同证明系统类型（如 Fflonk 和 Groth16）的验证器模块，确保证明包含在区块中，然后创建 zkVerify Merkle 树。
证明机制：这是指创建和发布证明的协议，该证明包含 Merkle 根（异构证明树），并在满足给定策略后将其发布到 zkVerify L1 合约上。
zkVerify L1 合约：此智能合约在以太坊中的核心职责是存储新的证明、验证它们，并为用户提供验证其证明是证明一部分的功能。

zkVerify 的验证流程：

验证流程如下所示：

证明提交：证明提交者将其验证请求发送到证明提交接口。

证明验证：提交后，通过原生验证器（用 Rust 编写）验证证明。如果证明有效，则通过共识中继并最终包含在主链区块中；否则，交易将回滚并显示错误。为防止 DDoS，失败的交易也将包含在区块中，用户将支付费用。

区块生产： zkVerify 使用 BABE（用于区块扩展的盲分配）作为区块创建算法。BABE 提供基于插槽的区块创建，具有一组已知的验证器，这些验证器在每个插槽中至少生成一个区块。插槽分配基于可验证随机函数 (VRF) 的评估。为每个验证器分配一个 epoch 的权重。此 epoch 分解为插槽，验证器在每个插槽评估其 VRF。对于验证器的 VRF 输出低于其相对权重的每个插槽，允许该验证器作为主要作者创建区块。zkVerify 还利用辅助插槽，以便每个插槽将至少生成一个区块，从而实现恒定的区块时间。通过 BABE 生成的区块被视为暂定区块，直到由 GRANDPA 确定。

区块最终确定： GRANDPA（基于 GHOST 的递归祖先派生前缀协议）是与 BABE 并行运行的用于区块最终确定的单独机制。验证器参与多轮投票，以确定应最终确定的区块。每个验证器都对它认为可以最终确定的区块进行投票，其中隐含地包括对区块链上该区块的所有祖先的投票

投票规则：GRANDPA 使用贪婪最重观察子树 (GHOST) 规则的变体来选择拥有验证器多数票的区块。GHOST 规则有助于选择最重的（加权最多的）链上的区块，这表明该链具有来自验证器的最大累积支持。在这种情况下，支持/权重是验证器的质押金额。
投票过程：该过程分为 3 个步骤。预投票：验证器根据他们所看到的区块以及他们对链的当前看法，对他们认为应该最终确定的区块进行投票。预提交：如果验证器是在预投票阶段看到的最高区块的后代，则验证器会预先提交到一个区块。当超过 ⅔ 的验证器已经预先投票赞成一个区块，无论是直接投票还是赞成该区块的后代，该区块都是合理的。最终确认：一旦超过 2/3 的验证器已经预先提交到一个区块，则该区块被认为是最终确定的。这意味着该区块及其所有祖先都已达成协议，永远不会被还原。

当发布证明的区块被最终确定时，将发出一个ProofVerified 事件，其中包含_proofleaf 和 _attestationid 值。

证明：基于证明大小和提交频率生成证明。一旦满足证明的条件，授权的中继器会将证明发布到 L1 上的验证智能合约。用户将必须支付在目标链上发布证明的费用，该费用将根据具体集成而波动。

集成

在此系统中，zkVerify 可以充当源自比特币 L2 的证明的去中心化证明验证网络，从而提供超出乐观假设的额外保证。

架构深入探讨

证明验证设计：

证明验证机制由主链处理，主链是一个使用 Substrate 框架构建的 L1，该框架在 Polkadot 生态系统中率先推出。

作为基于 Substrate 的 L1，zkVerify 继承了该框架附带的自定义设计逻辑的灵活性。这为克服上述问题提供了几个优势：

快速创新：与 EVM 的约束和刚性不同，zkVerify 的执行功能可以轻松升级以支持新的证明系统。这是通过将新的 pallets（自定义编程逻辑）直接集成到 WASM 运行时（基于 WebAssembly 的执行环境）中来完成的，而无需进行硬分叉。zkVerify 可以快速适应 ZKP 领域的新进展，从而帮助团队加速 ZKP 和区块链的时间表和实验。借助 zkVerify，开发人员不再需要担心可能影响产品稳定性和开发时间表的系统复杂性和依赖性，因为 ZKP 系统的升级已原生集成到 zkVerify 中。
系统灵活性：当今的开发人员对于 ZKP 系统的选择有限，并且鉴于虚拟机现有设计中的约束和实现，必须克服系统依赖性。例如，建议当今以太坊上的开发人员使用利用 KZG 承诺（例如各种基于 Plonk 的 SNARK）的证明系统，因为在实施 EIP-4844 之后，这是最具成本效益的解决方案。但是，并非所有证明系统都使用此承诺方案。例如，使用 STARK 的证明系统依赖于不同的承诺技术。要在当今的以太坊上实施基于 STARK 的系统，开发人员必须执行 STARK 到 SNARK 的转换，这会增加所需的计算步骤。对于 zkVerify，可以将 pallets 设计为验证器，该验证器采用具有嵌入式预编译的特定证明系统，从而避免了上述转换。此方法可以帮助简化开发人员的 ZKP 实施，因为 zkVerify 现在可以处理不同系统的原生验证，并将验证路由到所需的目标进行结算。对于开发人员而言，这意味着基于产品需求优化、原生 ZKP 实施和实验，而不是受到当前系统约束的限制。
优化设计： zkVerify 作为专用Layer1 (L1) 区块链的架构实现了高效的零知识证明 (ZKP) 操作。通过仅关注证明验证并排除智能合约功能，zkVerify 消除了与其他应用程序争夺区块空间的问题。这种专门的设计允许快速执行复杂的证明系统，并显着降低运营成本。一旦证明被发送到证明提交窗口，运行时将对其进行验证，并排队等待区块生产。直到最终确定为止的整个过程将花费 6 秒，其中 2 秒用于验证，4 秒用于链操作。
提高证明验证的吞吐量： 这种优化的设计提高了证明验证吞吐量。与以太坊不同，zkVerify 将其整个区块空间专用于证明验证，分配 2 秒用于验证和 4 秒用于区块生产。基准数据显示出很有希望的结果，证明验证每个证明只需几毫秒。zkVerify 的区块时间为 2 秒，因此与以太坊的功能相比，证明吞吐量大大提高。仅在理论上，每种类型的证明的最大吞吐量下，groth16 证明的证明容量为每秒 12.52 个证明，risc0 证明（基于 STARK）的证明容量为每秒 18.25 个证明。

证明机制：

异构聚合

每个经过验证并包含在 zkVerify 区块中的新零知识证明都将被哈希化为一个叶子，附加到 Merkle 树，以及该证明将包含在其中的_attestationid 。一旦满足发布条件，将为 attestation_id 创建 Merkle 树，并通过中继器发送到基础层验证合约。证明数据结构是一个数字签名的消息，其中包含：

将证明作为叶子的 zkVerify Merkle 树的 Merkle 根，以及
证明 ID 用于同步、识别和安全目的。

通过 merkle 树进行聚合。来源：zkVerify 白皮书

证明策略

当满足以下规则之一时，即可满足导致将证明发布到基础层智能合约的策略：

上一次证明包含 N 个证明，其中 N 为证明大小
上次发布的证明早于 T 秒，并且新树中至少有一个证明。

中继器：

价值主张

我们可以将对深层架构分析的主要分析总结为两个关键点：

提高互操作性、实现极高的效率以及扩展新的市场

下游效应是 ZKP 部署所获得的效率，不仅体现在减少开销方面，而且还体现在消除审核和维护这些复杂技术堆栈中的开发人员摩擦和工作量方面。 ZkVerify 已做好充分准备，成为旨在大规模实施 ZKP 的应用程序和系统的首选合作伙伴。单一验证层的优势不仅体现在性能效率方面，还体现在提高跨系统互操作性方面，从而有助于扩展应用程序设计的可能性。借助 zkVerify，在 ZKP 系统和基础层之间切换的障碍大大降低。开发人员可以使用 zkVerify 验证一次，并将结果发送到他们希望应用程序运行的任何位置。

鉴于 ZKP 的潜在市场增长，zkVerify 已占据有利地位，可以在未来几年内占据市场份额，并成为市场上的主导者。

简化的开发人员体验：

zkVerify 的架构可确保快速集成和更新，以支持多种证明系统，而不会产生大量的时间延迟。

优化比较：

证明市场、证明者网络 VS zkVerify 的证明提交接口

zkVerify 与新提出的 ZKP 供应链之间的根本区别在于优化方法的不同以及每种设计中的权衡。

密码聚合 VS 异构聚合 从高层次上讲，证明聚合允许将多个证明聚合成一个单一的证明，可以通过递归或签名聚合实现。整个过程以密码学方式完成，并输出一个由验证合约验证的单一的证明的证明。系统不必评估每个证明，而是可以检查该证明的证明的有效性，并确定聚合输出中的计算正确性。

虽然从理论上讲，ZKP 的特性使得多重证明的设计非常优雅，但实际实施中出现了三个问题：

密码学兼容性：不同的零知识证明系统通常使用不同的密码学基础，这使得直接组合成为一项挑战。这包括底层数学结构、安全假设和验证过程的差异。创建一个统一所有不同证明系统，同时保持所有组件证明的安全保证的系统是一个主要的障碍。
性能和可扩展性：聚合多个证明会引入显著的计算开销。随着证明数量的增加，下一个瓶颈是保持证明大小的可管理性和缩短验证时间。在保持聚合中每个证明系统的优势的同时，平衡这些因素是一个复杂的优化问题。
系统维护：不同证明系统之间缺乏标准化接口使得聚合工作变得复杂。为证明互操作性开发通用标准、管理各种验证密钥以及处理证明系统的不同版本或更新，为创建稳健和灵活的多重证明系统带来了持续的挑战。对于开发者来说，这意味着对聚合器提供商的高度依赖以及对这种复杂系统的持续维护，从而分散了对核心产品和用户体验开发的注意力。

另一方面，zkVerify 引入了“异构聚合”的概念，其中聚合的发生与证明系统无关。zkVerify 不通过密码学方式压缩验证工作负载，而是简单地将经过验证的证明散列到 Merkle 树中，并在满足发布策略的前提下，将 Merkle 根发布到基础层进行认证。证明提交者可以通过查询基础层上的认证合约来检查证明是否已最终确定。

理解权衡

ZKP，正如我们在本报告中介绍的那样，提供了硬度保证。这意味着将错误的计算引入系统是非常困难的，因为只有具有正确输入的证明者才能使验证者相信有效证明（可靠性）。STARK，鉴于其基于哈希的承诺方案，可以进一步确保系统具有抗量子性（量子计算机无法猜对计算的正确答案）。
凭借 ZKP 已经引入了先发制人的验证（先挑战，后确认），BABE 和 GRANDPA 引入了随机化和多数确认，进一步扩展了我们的安全假设。BABE 在广播到网络之前，根据 VRF 的值选择区块生产者（在 zkVerify 的情况下，是 ZKP 验证的执行者），并且只有当三分之二的验证者集合同意区块内容时，GRANDPA 才能达成最终性（将区块添加到规范链中）。

此外，zkVerify 还实施了提名权益证明（NPoS）。在 NPoS 中，提名者（代币持有者）可以通过委托他们的代币来提名验证者参与区块生产/验证，并获得来自他们支持的验证者的收益分配作为回报。NPoS 还启用了惩罚机制，以惩罚验证者的恶意行为，从而在发生任何违规行为时影响验证者及其提名者的权益。这种机制允许参与者拥有更多的切身利益，从而加强了系统的安全性和信任假设。

初始目标市场：

私有 DeFi

人性证明

游戏 - 预测市场

SQL 证明：

合作伙伴集成

Space and Time: