零知识证明

Jolt zkVM 的高效递归

视频 AI 总结： 视频介绍了利用 SUMCHEZK 协议优化 Joltsik AVM 递归验证器的效率。核心思路是将验证器拆分为 PIOP 和 PCS 两部分独立证明，通过辅助证明 PI-PCS 将 PCS 的群运算转化为原生算术，并采用虚拟多项式、前缀打包等技术减少承诺数据。最终验证周期从 15 亿降至 2 亿，证明者开销仅 1.3–1.8 秒，且不需要折叠技术。方法可推广至其他 SNARK 场景。 关键信息： - 递归验证器分为 PIOP（sum-check轮、标量字段）和 PCS（群运算、基础字段），两者无中间状态共享。 - 提出 PI-PCS 辅助证明，使用第二个曲线（cramping）使群运算在递归层原生，避免配对友好性限制。 - 聚焦 Dory（Hyrax）PCS，操作分三阶段：接收群元素→sigma 轮更新累加器→最终配对检查，前两部分由 PI-PCS 证明。 - 目标群运算（GT）用乘法与指数，指数采用 base-4 展开链，通过“零检查 PIOP”和虚拟多项式实现。 - 前缀打包技术合并多个不同规模的子 PIOP 为一个承诺多项式，遵循前缀无冲突编码，降低打开成本。 - 结果：标准递归验证周期约 1.4–1.8 亿，优化后降至约 200 万（10 倍改进）；组合证明大小稳定；包装方法约束 <1 千万，可用 Groth16 或 Spartan 证明。

294 0 0 2026-06-11 09:21

a16z crypto : 我们为何筹集了22亿美元

视频 AI 总结： 1. 视频核心内容：a16z crypto宣布新基金Crypto Fund 5，并探讨了行业从早期“革命”文化转向务实合作的新阶段。他们强调稳定币获得立法支持、链上金融和借贷市场兴起，以及AI与crypto的融合（如AI代理使用稳定币交易）。同时，隐私技术（零知识证明）被视为未来护城河，而crypto可作为对抗AI巨头中心化的工具。最终目标是实现十亿人日常使用区块链。 2. 关键信息： - 成功创始人应更聚焦产品、市场与务实，而非意识形态。 - 加密货币需与现有金融体系合作，而非推翻。 - 稳定币（如Genius Act）提供监管清晰，推动主流采用（如Stripe接入100+国家）。 - 链上金融：稳定币催生借贷市场；传统机构探索代币化股票/债券；永续合约扩展到传统资产；新市场如GPU算力和电力交易。 - 文化转变：从“无政府主义”到“穿衬衫”与银行合作。 - AI与crypto融合：AI代理需crypto支付（稳定币最佳）；crypto可验证人性（反deepfake）；众包算力与数据构建去中心化AI。 - 隐私是下一关键：公共区块链无隐私，零知识证明可解决，并增加切换成本形成护城河。 - 零知识证明解决可扩展性，使区块链TPS达百万级。 - 加密货币可对抗AI行业的中心化，推动开放算力/数据市场。 - 基金目标：十亿用户每日用链、多数金融上链、AI代理成经济主体。

474 0 0 2026-05-28 22:08

ZisK：推动实时证明的极限

视频 AI 总结： 演讲者首先提出了现代区块链的新视角：将数据层与查询层分离，利用零知识证明实现高效、递归的查询，从而区分静态共识（固定数据解读）和动态共识（需区块链更新的部分）。在此基础上，介绍了 Zisk——一个为低延迟设计的快速 ZKVM（基于 RISC-V），采用分块并行、流水线执行、多机分布式等技术，能在数秒内生成证明。核心亮点包括：多电路通过总线连接、RISC-V 转译为 Intel 原生代码、内存锁存实现并行执行、极低带宽的分布式证明聚合，以及可选的 Plonk 链上验证（<2 秒）。Zisk 已在以太坊经济区（EZ）中实现每秒完成区块到证明输出降至 3 秒以下，目前代码接近 1.0 版本并开源，正在进行形式化验证。

486 0 0 2026-05-27 22:54

从ZK Rollup 到 ZK 以太坊

视频 AI 总结： 该演讲由 L2Beat 的 ZK 研究员 Sergei 主讲，探讨了 ZK 技术如何从 L2 扩展延伸至以太坊 L1。核心是 ZKVM 提案：用 ZK 证明替代验证者重执行，以提升 L1 吞吐量，同时指出当前 L2 证明系统仍存在中心化、漏洞频繁等问题，并分析了 L1 面临的独特挑战，例如客户多样性、实时证明、经济激励和升级协调。 关键信息： - 当前 L2 的 ZK 证明系统虽提升性能，但仅约 13% 价值得到保护，且多数项目不允许无许可证明，导致系统未充分经受考验。 - ZKVM 提案旨在让 L1 验证者不再重执行交易，而是验证 ZK 证明，从而消除当前瓶颈，但引入“证明者”新瓶颈。 - 实现 L1 ZK 扩展需协调三大要素：多个 ZK 客户端、多个证明系统及其配对，对工程和协调要求极高。 - 实时证明是核心难点：以太坊区块需在约 10 秒内完成证明，目前约 91% 的块可在此时间内完成，但仍需优化。 - 证明成本高昂（单证明者年运营成本 10–100 万欧元），长期需解决由谁支付、是否导致中心化等问题。 - L2 无需实时证明（可延迟），且升级较随意，而 L1 必须确保透明度和审计性，这对升级协调提出更高要求。

68 0 0 2026-05-24 21:56

Zentity：基于 Zama 构建的隐私保护的自主主权身份验证平台

视频 AI 总结： 该视频介绍了Zentity系统，一个隐私保护的身份验证平台。其核心是解决传统身份验证中数据泄露的“蜜罐问题”，通过四种密码学层（零知识证明、全同态加密FHE、密码学承诺、凭证包装密钥托管）实现用户数据的端到端加密与计算。系统支持匿名注册、链下验证与链上证明，并演示了年龄检查、合规验证、代理委托等实际场景，确保用户无需信任平台运营商即可安全验证身份。 关键信息： 1. 传统身份验证平台存在结构化数据泄露风险（蜜罐问题），甚至内部员工可窃取明文数据。 2. Zentity使用四种密码学层分别解决证明生成、合规规则计算、审计绑定、密钥用户端保管等问题。 3. 使用FHE实现数据密文计算，避免明文存储；零知识证明用于一次性验证（如年龄>18）。 4. 关键流程：用户匿名注册时自动启动FHE密钥生成（改善UX），客户端完成所有验证，平台仅作为桥接。 5. 支持多种凭证（passkey、密码、钱包），密钥存于用户端，服务器无法解密。 6. 链上/链下双模式：链下验证通过FHE加密存储，链上证明通过零知识证明实现。 7. 代理委托：允许用户授权AI代理使用身份证明（如付款），代理仅获取必要属性，不泄露完整身份。 8. 演示了应用场景：银行登录、年龄验证、合规检查、代理授权（如防止机器人封禁）。

76 0 0 2026-05-23 14:15

ZK8 动态zk SNARKs及其在稀疏zk SNARKs和IVC中的应用

视频 AI 总结： 本次演讲介绍了动态 ZK-SNARKs 的概念，旨在当证明的语句或见证发生微小变化时，无需完全重新计算证明，而是通过亚线性时间的更新算法高效生成新证明。主讲人 Wei-jie Wang 提出了两个通用构造：Dynaverse（更新时间为平方根级别）和 Dynalog（更新时间为多对数级别），并解释了现有 SNARKs（如 Plonk、Spartan）无法动态更新的原因。关键应用包括动态证明索引、无密码登录以及有限步 IVC。 关键信息： 1. 动态 SNARKs 定义：在经典 SNARK 基础上增加更新算法，输入旧证明和新语句/见证，输出新证明，要求更新时间为亚线性。 2. 现有 SNARKs 非动态原因：验证者随机性导致线性重算，以及多项式除法需完全重算。 3. 两个构造：Dynaverse（基于弱动态 SNARK，更新时间为 √n，可去平摊化）和 Dynalog（基于分层瀑布技术，更新时间为 polylog，依赖 JIPA 假设）。 4. 核心构建模块：Dynamo——针对松弛排列关系的稀疏论证，其证明时间与更新位置的汉明重量成正比。 5. 应用场景：动态证明索引（如可验证数据库）、无密码登录（更新临时公钥）、有限步 IVC（每次迭代仅更改部分电路）。

87 0 0 2026-05-21 16:00

ZK8 - Solana 链上隐私转账

视频 AI 总结： 本演讲介绍了 Solana 区块链上基于零知识证明的机密转账协议。核心是通过 Twisted ElGamal 加密和 Bulletproofs 范围证明，在保持 Solana 高吞吐（1200-3600 TPS）和低交易成本的同时，实现链上余额与转账金额的隐藏。该协议作为 Solana 标准代币程序的扩展，允许发送方、接收方及可选审计方解密交易，满足 B2B 支付、跨境结算等企业级隐私需求，同时兼顾合规性。演讲还涉及审计密钥管理、交易尺寸优化等实际挑战，并展示了实时 demo。 关键信息： - Solana 交易大小（约 1KB）和账户限制（10MB）要求隐私方案必须轻量高效。 - 采用账户模型（非 UTXO），结合 ElGamal 加密、Pedersen 承诺和 Sigma 协议实现可证明的隐私。 - 支持四种隐私模式：禁用、选择加入、白名单、强制加密，发行方可灵活配置。 - 审计密钥为可选功能，适合监管场景，但存在前向保密性缺失和密钥轮换问题。 - 当前机密转账因数据量超限需拆分多笔交易，即将通过 4 倍交易尺寸升级解决。 - 实际用例包括 B2B 结算、密封投标拍卖、加密投票等，PayPal、Western Union 等已表达兴趣。 - 社区争议焦点：可选的审计密钥是否构成“后门”，演讲者认为这是务实的合规设计。

99 0 0 2026-05-11 18:03

OpenSpace 公开课 Aleo：ZK驱动的隐私区块链

视频 AI 总结： 该视频是Aleo基金会开发者关系负责人ZK的分享，主要介绍Aleo通过零知识证明（ZK）实现默认隐私的区块链解决方案。他强调，没有隐私的加密货币难以实现大规模应用，而Aleo通过自研Leo语言抽象底层ZK复杂性，让开发者轻松构建隐私应用。视频还介绍了Aleo的最新进展，如隐私稳定币USDCX/USDA、官方钱包Show Wallet、记录扫描与委托证明服务、动态分发器升级、代币总量上限设定等，并讨论了隐私与监管的平衡、UTXO与账户混合模型的应用，以及未来在支付、DeFi、游戏等领域的潜力。 关键信息： - Aleo利用ZK技术实现数据隐私，默认所有数据加密，但可选择性披露给监管。 - 自研Leo DSL极大降低ZK开发门槛，开发者无需懂底层电路。 - 采用UTXO+账户混合模型，兼顾隐私与可编程性（合约使用account-based，用户使用UTXO）。 - 近期推出隐私稳定币（与Circle合作）、官方钱包（含扫描和委托证明服务，并集成TEE保证隐私）、跨链桥、动态分发器（支持运行时调用其他合约）、代币上限50亿等。 - 交易生成证明时间：简单转账约3-5秒，复杂操作（如添加流动性）约5-7秒。 - 隐私应用方向：支付、DeFi（消除MEV）、游戏（隐藏状态）、身份认证等。 - 针对监管采用“选择性披露”，仅向指定方暴露必要信息，符合合规要求。 - 开发者支持：线上IDE Leo Playground、技术社区（Discord/Telegram）、生态资源曝光，资助偏向成熟有商业计划的项目。

192 0 0 2026-05-06 18:22

Vitalik香港演讲：探讨以太坊未来五年发展，聚焦扩容、抗量子计算与零知识证明验证

视频转自吴说区块链，视频 AI 总结： 本视频核心阐述了以太坊协议的未来发展方向与核心愿景。演讲者认为，以太坊的核心功能是作为一个“公共公告板”和“共享数字对象”的计算平台，旨在为去中心化应用提供自主安全、可验证性和公平参与的基础。未来路线图将围绕提升可扩展性（数据与计算）、增强隐私支持、实现量子安全以及通过ZK-EVM等技术最大化去中心化与安全性展开，目标是构建一个长期可靠、无需持续核心开发团队维护也能安全运行的底层基础设施。 视频中提出的关键信息包括： 1. **以太坊的双重核心功能**：作为公开的“公告板”用于发布和排序数据，以及作为执行代码控制共享数字对象的“计算”平台。 2. **应用架构趋势**：最有价值的应用将是链上（如以太坊L1）与链下组件的结合（如预言机、隐私计算）。 3. **Layer 2 的合理方向**：L2不应是简单扩容且更中心化的以太坊克隆，而应专注于构建应用所需的特定链下组件。 4. **短期技术目标**：包括持续提高Gas上限、启动ZK-EVM部署、提升量子安全准备、改进区块构建流程和隐私支持。 5. **长期愿景与原则**：以太坊不追求成为最快链，而是追求成为最安全、去中心化、可长期依赖的基础层。最终目标是实现最大化的共识安全性、形式化验证一切、完全量子抵抗、极简设计以及通过“走开测试”（即不依赖特定开发团队持续维护）。 6. **关键技术路径**：采用“精益共识”结合比特币和BFT的优点，并计划在2028年前使ZK-EVM成为主要的链验证方式，以实现去中心化的大规模扩展。 7. **最终定位**：以太坊是“世界计算机”，既是全球共享的承诺与数据发布层，也是高价值规则执行的保障层，旨在让构建具备自主安全、可验证和公平参与特性的去中心化应用变得简单且成为默认选择。

155 0 0 2026-04-23 18:25

比特币上的零知识证明

视频 AI 总结： 本视频核心讨论了在比特币区块链上实现零知识证明（ZK）验证所面临的挑战和现有解决方案。由于比特币采用UTXO模型和功能有限的脚本语言，直接验证复杂的ZK证明（如Groth16）非常困难。视频回顾了从最初的ZKBitcoin项目到BitVM系列方案的演进，重点介绍了如何通过将验证电路分割成多个交易、利用时间锁、Lamport签名保持状态，以及通过“二分查找”游戏来高效定位执行分歧点等技术来克服限制。最新的方案（如BitVM 3和Babe）引入了更高级的密码学原语，如混淆电路和见证加密，以将大部分计算移出链外，从而在比特币的严格约束下实现更高效的ZK验证。 视频中提出的关键信息： 1. **比特币的固有限制**：比特币的UTXO模型和无状态的脚本语言，使得构建需要共享状态或多用户参与的复杂应用（如ZK验证）非常困难。脚本有大小限制（约4MB），且缺乏“Gas”机制。 2. **技术演进路径**：从依赖多方计算（MPC）委员会的ZKBitcoin，发展到基于乐观挑战和链上执行验证电路的BitVM 1/2，再到利用混淆电路将验证工作大幅转移至链下的BitVM 3。 3. **核心克服技术**： * **电路分块与状态保持**：将庞大的验证电路分割到多个比特币交易中执行，并使用Lamport一次性签名来在不同交易间安全地传递和验证状态变量。 * **乐观挑战与二分查找**：采用乐观协议，假设证明有效，仅在受到挑战时才在链上执行验证。通过二分查找法快速定位双方对电路执行结果的分歧点，避免全量执行。 * **模拟契约**：通过参与方预先签署所有可能的交易路径（即“电路”），来模拟比特币本身不支持的“契约”功能，从而固定协议的执行流程。 * **混淆电路与见证加密**：BitVM 3和Babe等方案利用混淆电路，将验证逻辑加密后交给验证者，验证者可在不泄露秘密信息的情况下本地评估。Babe方案进一步结合见证加密，优化了混淆电路的大小和效率。 4. **现状与挑战**：该领域发展迅速，但现有方案大多仍针对特定两方场景，要扩展到无许可的多方环境仍面临挑战。同时，这些方案引入了新的信任假设（如数据可用性）和复杂度。

143 0 0 2026-04-23 17:10

ZKP S3M7: zkID (匿名凭证)

视频 AI 总结： 本视频探讨了数字身份的隐私保护构建。指出当前广泛部署的数字身份系统（如基于Salted Hashes的方案）存在严重隐私缺陷，特别是缺乏不可关联性，导致用户活动易被追踪。为解决此问题，视频提出采用零知识证明（ZK-SNARKs）作为隐私增强层，在不改变现有发行方基础设施的前提下，实现选择性披露和不可关联性。视频还深入讨论了凭证撤销、可否认呈现等高级隐私特性，并比较了不同ZK证明技术及其在标准化方面的挑战。 关键信息： 1. **现有数字身份系统的隐私缺陷**：目前广泛部署的数字身份方案（如基于Salted Hashes的LA Wallet，以及EUDI和MDL的早期设计）存在严重隐私问题。其核心缺陷在于使用静态的哈希摘要和签名，导致发行方和验证方能够追踪用户的凭证使用活动，缺乏“不可关联性”（Unlinkability）。 2. **ZK-SNARKs作为隐私增强层**：视频提出使用零知识证明（ZK-SNARKs）作为解决方案。这种“签名零知识证明”（Snark of a Signature）架构，可以在不改变现有凭证发行方（如政府）行为和其签发凭证格式（如SD-JWT）的前提下，为数字身份系统增加隐私保护层。 3. **核心隐私特性**： * **不可关联性 (Unlinkability)**：确保发行方和验证方无法将不同时间或地点的凭证出示行为关联到同一用户。 * **选择性披露 (Selective Disclosure)**：用户可以仅披露凭证的必要部分，而非全部信息。 * **可否认呈现 (Deniable Presentation)**：用户在出示凭证后，能够合理否认曾进行过该呈现行为，防止验证方伪造或滥用证明。 4. **技术实现与挑战**： * **架构**：将现有凭证作为ZK证明的私有输入，在电路中验证其签名（如ECDSA-verify）和解析数据格式（如JSON）。 * **“准备”与“出示”阶段**：可将凭证解析和签名验证等计算密集型操作预处理，出示时仅处理与验证方请求和活跃性（Nonce签名）相关的部分。 * **设备绑定**：通过发行方签署持有者的公钥，并在出示时要求持有者用该私钥签名Nonce，确保凭证与特定设备和当前用户绑定。 * **撤销机制**：讨论了多种撤销方案，从隐私保护最佳的客户端证明非黑名单包含，到隐私最差的验证方直接询问发行方，强调平衡隐私与功能。 5. **不同ZK证明系统比较**： * **Microsoft Crescent Credentials (Groth16)**：高效可重随机化，但需要可信设置 (Trusted Setup)。 * **Google (GKR/Ligero)**：无需可信设置，但每次出示需重新计算整个证明，通过优化底层字段实现快速计算。 6. **标准化与额外隐私考量**： * 强调与IETF、W3C、ISO等标准机构合作的重要性，以确保方案的互操作性、安全性和大规模部署。 * 警惕零知识证明可能带来的“虚假安全感”，导致用户过度披露信息，并关注协议外隐私泄露（如网络地址、时间戳）和属性间的关联性可能导致去匿名化。

232 0 0 2026-03-27 20:01

ZKP 白板：可信执行环境

视频 AI 总结： 视频深入探讨了可信执行环境（TEE），解释了其隔离、远程证明等核心机制，以及基于进程和VM的两种主要类型。它详细阐述了TEE在Web3（如私有智能合约、MEV抵抗）和传统应用中的潜力，并将其与ZK、MPC、FHE等技术进行比较。视频还强调了TEE面临的侧信道、重放攻击和升级挑战，以及如何通过信任链和TCB信息确保其安全性，最终指出TEE正从DRM工具转变为保护云端数据隐私的关键技术。 **关键信息点：** 1. **TEE核心概念与工作原理：** * **隔离（Isolation）**：TEE提供一个安全区域，保护程序或虚拟机免受操作系统、Hypervisor及其他进程的窥探。 * **远程证明（Remote Attestation）**：允许远程用户验证TEE中运行的代码哈希、配置及数据完整性，由硬件制造商的公钥签名，形成信任链。 * **内存加密**：TEE内部的数据在主内存中是加密的，只有TEE能解密和访问。 2. **TEE的信任模型：** * 涉及硬件制造商（如Intel/AMD）、托管提供商/云服务商、应用开发者和最终用户。 * 信任链从制造商的根公钥延伸至平台证书和应用代码哈希，用户需信任制造商不会伪造证明。 * 物理攻击（如内存拦截）是威胁模型的一部分，需要信任托管提供商不会进行此类攻击。 3. **TEE的类型：** * **基于进程的TEE**：如Intel SGX，单个进程在隔离区运行，操作系统内核被视为不可信。 * **基于VM的TEE（机密虚拟机CVM）**：如AMD SEV和Intel TDX，整个虚拟机在隔离区运行，Hypervisor被视为不可信。CVM简化了编程模型，但可能增加可信计算基（TCB）的攻击面。 4. **TEE的应用场景：** * **Web3领域**： * **Rollup证明**：为L2 Rollup提供区块有效性的主动证明，支持以太坊L2的快速干预机制。 * **私有智能合约**：在TEE中运行EVM，实现加密数据的智能合约操作，如Secret Network和Oasis。 * **MEV抵抗**：通过在TEE中执行交易，防止抢跑（front-running）。 * **传统应用**：在TEE中运行传统服务器（如PHP/MySQL），保护数据库隐私和代码完整性，实现“去中心化前端”。 * **通用优势**：为现有代码提供隐私和完整性保护，支持构建去中心化网络。 5. **TEE与其他隐私计算技术的比较（以密封竞价拍卖为例）：** * **零知识证明（ZK）**：可证明竞价有效性，但拍卖师仍能看到所有竞价，存在信息泄露风险。 * **多方计算（MPC）**：通过K-of-N委员会实现隐私，依赖委员会的诚实多数假设，通信开销大。 * **全同态加密（FHE）**：可将计算外包给不可信方以提高性能，但隐私信任模型仍依赖于解密密钥的持有者（通常是MPC委员会）。 * **TEE在拍卖中的优势**：TEE可以解密并处理所有竞价，只公布结果，保护未中标者的隐私，且不依赖于委员会的诚实多数。TEE也可与MPC结合，增强MPC节点的安全性。 6. **TEE面临的挑战与陷阱：** * **侧信道攻击（Side Channels）**：通过观察TEE与外部环境的交互（如内存访问模式、页面错误）来推断敏感信息。 * **重放攻击（Replay/Rollback Attacks）**：不可信主机可以回滚TEE的外部存储（如磁盘）到旧状态，TEE难以察觉。解决方案包括使用Merkle树或将状态存储在区块链上。 * **升级机制（Upgrades）**：TEE的默认不可变性与软件升级需求之间的矛盾，需要设计类似智能合约代理模式的升级机制，并考虑“rage quit”等用户保护措施。 * **可信计算基（TCB）**：TEE的安全性依赖于硬件、固件和TEE内部运行的软件，TCB越大，攻击面越大。 * **可重现构建（Reproducible Builds）**：验证TEE中运行的二进制代码是否与公开的源代码一致，是确保信任的关键挑战。 7. **Intel Attestation Service (IAS) 和 TCB Info：** * 远程证明证书链包含CPU配置信息（处理器家族、BIOS版本）。 * Intel发布TCB Info，列出不同BIOS版本的安全状态，客户端需对照验证TEE的安全性。 * 将TCB Info放在区块链上（如Automata On-chain PCCS）可提高透明度和抗审查性，类似于证书透明度项目。 8. **TEE的演变与未来：** * 早期主要用于DRM，导致负面声誉。 * 现在更多用于约束云服务提供商，提供“机密计算”（Confidential Compute），保护用户数据在云端的隐私和完整性，成为一个日益增长的技术方向。

286 0 0 2026-03-27 19:56

ZKP - S3M2：与 Jim Posen 探讨 SNARK 的高性能工程

视频 AI 总结： 视频探讨了SNARKs高性能工程，通过利用并行计算、优化硬件资源和定制化设计，显著提升零知识证明的生成效率。 视频中提出了哪些关键信息： 1. **SNARKs协议瓶颈：** 识别了SNARKs（以STARKs为例）证明生成中的计算和内存瓶颈，如域乘法、哈希和NTT（数论变换）。 2. **CPU优化：** * **SIMD并行：** 利用单指令多数据（SIMD）技术，在CPU层面同时处理多个数据元素，提高域乘法吞吐量，应用于约束评估、PCS开启和哈希。 * **多核并行：** 将任务分配给多个CPU核心，利用共享内存和缓存机制加速计算，但NTT中的转置操作可能导致内存瓶颈。 3. **GPU优化：** * **大规模并行：** 利用GPU海量计算核心进行并行算术运算，显著提升吞吐量。 * **“喂饱野兽”原则与流水线：** 通过操作流水线（如重叠内存传输与计算）确保GPU核心持续工作，避免空闲。 * **交互性影响：** 协议中的交互轮次（如Fiat-Shamir挑战）可能限制流水线效率。 4. **集群级并行与递归：** * **分布式证明：** 将大型计算（如数十亿RISC-V周期）分解为小段，在多台服务器上并行生成独立证明。 * **递归聚合：** 通过递归方式（如二叉树结构）将小段证明聚合成最终证明，克服网络带宽限制。 * **见证生成优化：** 采用“预执行”（preflight execution）策略，先顺序记录关键数据，再并行生成见证。 5. **定制硬件：** * **ASIC/ASIP：** 为SNARKs计算设计专用芯片（如ASIC或ASIP），进一步减少指令周期、降低成本和功耗。 * **二元域优势：** 在硬件层面，二元域乘法比素数域乘法效率高出约5倍，但通用CPU/GPU难以利用。 * **FPGA：** 可编程门阵列（FPGA）可用于原型验证和特定场景生产，其二元域乘法吞吐量可与消费级GPU的素数域乘法媲美。

236 0 0 2026-03-23 08:14

后量子迁移 | 量子比特币峰会

视频 AI 总结： **1. 概括视频的核心内容** 该视频介绍了 Shai Bosky 博士关于比特币在量子计算威胁下的迁移方案。核心内容是提出了一种名为“Lifted Fox Coin”的解决方案，旨在帮助比特币用户在量子攻击者出现后，将其预量子（pre-quantum）UTXO 安全地迁移到后量子（post-quantum）UTXO。该方案通过零知识证明和“提交-延迟-揭示”（CDR）范式，解决了传统数字签名在量子时代面临的脆弱性及现有方案的局限性，提供了一种在不冻结用户资产的前提下，应对量子威胁的“中间道路”，但伴随着显著的权衡。 **2. 视频中提出了哪些关键信息** * **问题背景：** * 比特币依赖的 ECDSA 签名算法易受量子计算机攻击，可能在十年内被破解。 * 现有后量子签名方案存在交易体积大、需要全网升级、以及产生“量子战利品”（即易受攻击的资金）等问题。 * 面临两难：冻结预量子 UTXO（干预用户资产）或任由量子攻击者窃取。 * 量子抢跑攻击：在花费 UTXO 时暴露公钥，量子攻击者可能迅速破解私钥并窃取资金。 * **解决方案：Lifted Fox Coin** * 基于 Bono 和 Miller 在 2014 年提出的 Fox Coin 概念，该概念使用哈希而非数字签名。 * **CDR（Commit, Delay, Reveal）范式：** 交易首先被提交（哈希），延迟一定数量的区块后才能揭示，以防止抢跑攻击。 * **“提升签名”（Lifted Signatures）：** 利用 Picnic 签名方案，将现有密钥生成过程与后量子安全签名结合，实现后量子安全性，且签名仅在欺诈发生时才上链。 * **解决 Fox Coin 缺陷：** * **承诺费用问题：** 通过零知识证明（Picnic 签名）确保矿工因处理承诺而获得报酬，避免拒绝服务攻击。 * **垃圾信息攻击：** 引入 UTXO 锁定机制和矿工保证金/欺诈证明，防止用户滥发承诺或矿工审查交易。 * **Fox Coin 的扩展模式：** * **限制性 Fox Coin：** 适用于“派生 UTXO”（由 HD 钱包生成），覆盖大量比特币资产，但可能暴露种子。 * **非限制性 Fox Coin：** 允许花费“裸 UTXO”（公钥已泄露），需要大额保证金和数月延迟，激励所有者“撒谎”以诱骗攻击者。要求销毁 2014 年前的裸 UTXO。 * **许可性 Fox Coin：** 允许恢复“丢失的 UTXO”（所有者不知道私钥），需要硬分叉和保证金。 * **主要权衡与挑战：** * 需要硬分叉（部分模式）。 * 交易确认时间显著延长（数小时、数天甚至数月）。 * 用户需要定期在线。 * 部分模式下，交易的最低花费门槛更高。 * 用户体验复杂。 * 需要销毁部分旧的 UTXO 以消除“量子战利品”。 * **结论：** * 事后迁移是可能的，但需要提前准备（如销毁部分资产）。 * 可以实现完全不依赖链上数字签名的操作。 * 提供后量子安全性，交易体积小，但代价是确认速度慢和用户体验复杂。 * 可集成到比特币中，至少需要软分叉，部分模式需要硬分叉。 * 许多关键细节（如量子金丝雀、DDoS 防御）未在演讲中详述，需参考论文。

524 0 0 2026-02-27 10:34

后量子签名和使用 STARKs 扩展比特币

视频 AI 总结： 视频介绍了 BitZip 方案，旨在解决在比特币 L1 上实现后量子签名时，签名尺寸过大导致交易吞吐量显著下降的问题。BitZip 的核心思想是，不将每个巨大的后量子签名包含在区块中，而是通过一个单一的 STARK 零知识证明来验证区块中所有后量子交易的有效性。矿工接收带签名的交易，验证后移除签名，用一个聚合的加密证明替代。这能大幅提升交易吞吐量，同时保持区块大小不变，并增强对未来签名算法变更的适应性。 视频中提出了哪些关键信息： 1. **核心问题：** 后量子签名（Post-Quantum Signatures, PQS）尺寸巨大（比现有 ECDSA 签名大 30-40 倍），若直接引入比特币 L1 将严重限制交易吞吐量。 2. **BitZip 解决方案：** * 引入新的后量子交易类型和区块验证规则。 * 区块中不包含具体的后量子签名，而是包含一个单一的 STARK 证明，该证明聚合验证了区块内所有后量子交易的有效性。 * 矿工接收带签名的交易，验证其有效性后，将原始签名从区块中移除，仅用一个聚合的加密证明替代。 3. **主要优势：** * **显著提升吞吐量：** 通过移除大型签名并用单一证明替代，后量子交易的吞吐量可从 1.69 TPS 提升至 87 TPS，甚至更高（与 Rollups 等方案类似，可达 83-104 TPS），且无需增加比特币区块大小限制。 * **未来可验证性（Future Proof）：** 允许在不进行共识层修改的情况下，更新或修复后量子密码学方案。 4. **开放性问题与挑战：** * **P2P 网络带宽：** 如何在交易被“Starkification”之前，减少大型后量子签名在 P2P 网络中的传输带宽消耗。 * **费用调整（Fee Bumping/RBF）：** 在矿工生成证明过程中，如何处理交易的费用调整（RBF），避免证明失效或被忽略。 * **中心化风险：** 预聚合交易或矿工进行证明过程是否会导致中心化，从而影响抗审查性。 * **STARK 验证器漏洞：** 如何防范 STARK 验证器中的潜在漏洞，例如通过部署多个独立的验证器实现来提高安全性。 * **硬件需求：** 矿工可能需要专门的硬件（如 ZK-ASICs）来高效生成证明。 * **重组（Reorg）处理：** 在区块链重组发生时，矿工需要保留原始签名更长时间，以便重新生成证明。

518 0 0 2026-02-27 10:22