加密世界的焦點(diǎn)經(jīng)歷了比特幣、以太坊、DeFi、NFT、元宇宙和Web3的多次變遷，唯獨(dú)缺少對(duì)加密技術(shù)本身的關(guān)注，除了比特幣的橢圓曲線加密算法（ECC）還算有一點(diǎn)大眾認(rèn)知度，其他加密算法基本停留在研究員和開發(fā)者的自嗨中。

R3PO認(rèn)為這不夠去中心化，會(huì)嚴(yán)重阻礙Web3的進(jìn)一步擴(kuò)展，密碼學(xué)是區(qū)塊鏈的基礎(chǔ)件，不應(yīng)該被少數(shù)人掌握，而應(yīng)走向更廣闊的領(lǐng)域。

R3PO希望能用新的書寫范式去闡述術(shù)語的含義，兼顧專業(yè)性和可讀性，致力于為機(jī)構(gòu)投資者、項(xiàng)目方發(fā)現(xiàn)潛藏在發(fā)展中的投資機(jī)會(huì)、創(chuàng)業(yè)方向和切入點(diǎn)，尋找到未被發(fā)掘的α收益。

近期大熱的零知識(shí)證明技術(shù)仍是一個(gè)不斷發(fā)展、不斷革新的細(xì)分領(lǐng)域，但其技術(shù)本身又具備足夠廣闊的應(yīng)用場(chǎng)景，因此對(duì)其進(jìn)行全景梳理顯得十分重要。

零知識(shí)證明技術(shù)（Zero-Knowledge Proof）并非新概念，細(xì)細(xì)梳理可知，迄今已經(jīng)經(jīng)過40年的發(fā)展，誕生出多種模型和應(yīng)用。

進(jìn)入Web3時(shí)代，早在2017年，V神便已經(jīng)注意到ZK技術(shù)在以太坊上的使用潛力，而最近Starkware獲得1億美元的融資使其總?cè)谫Y額度達(dá)2.25億，這代表機(jī)構(gòu)是以公鏈級(jí)別的估值和潛力來看待ZK技術(shù)。這將是一個(gè)長(zhǎng)期鏖戰(zhàn)的領(lǐng)域，會(huì)暴露出更多的投資機(jī)會(huì)。

向后推演20年，R3PO認(rèn)為ZK發(fā)展至少具備一個(gè)甲子的生命長(zhǎng)度，因此描繪整個(gè)ZK的發(fā)展歷程需要追本溯源，以更好地厘清其發(fā)展邏輯，尋找到下一步的潛在機(jī)會(huì)。

本系列首篇將會(huì)從零知識(shí)證明起步，超越ZK只能應(yīng)用于L2領(lǐng)域的固有觀念，帶給大家全新的系統(tǒng)性認(rèn)知。

零起步：ZK的組裝過程

1982：財(cái)不外露，便分高低 

對(duì)于財(cái)富的追求自古有之，項(xiàng)羽就說過：“富貴不還鄉(xiāng)，如衣錦夜行”，但太多的財(cái)富會(huì)引人覬覦，有沒有一種辦法，在既不暴露財(cái)富數(shù)量的同時(shí)又比較出財(cái)富的多寡呢？

1982年，后來的圖靈獎(jiǎng)得主姚期智便設(shè)想過這個(gè)問題，這就是著名的百萬富翁問題，省略其數(shù)學(xué)過程，其大致運(yùn)作模式如下：

Alice和Bob選擇代表自己財(cái)富數(shù)量的數(shù)字i和j，取值區(qū)間在1-10之間；

Alice對(duì)i進(jìn)行單向加密，并將加密后的結(jié)果k發(fā)送給Bob，Bob得到一個(gè)與i相關(guān)的新值；

Bob對(duì)k進(jìn)行運(yùn)算后會(huì)得到一個(gè)新值m，并將其傳遞回Alice此時(shí)，Alice可以判斷m和i的關(guān)系。

這個(gè)過程可以繼續(xù)推演，雙方可在不完成信息暴露的前提下最終完成比較。

當(dāng)然，以上過程并不全面，但足以說明一個(gè)問題，我們確實(shí)可以在兩方之間，并且在不暴露信息的前提下進(jìn)行計(jì)算，如果將兩方擴(kuò)展至多方，將區(qū)間擴(kuò)展至更大范圍，那么這就是典型的多方安全計(jì)算MPC (Secure Multi-party Computation) 問題。

百萬富翁問題是ZK討論的一個(gè)起點(diǎn)：

在不暴露財(cái)富信息的前提下，符合零知識(shí)的定義；

在不借助第三方進(jìn)行評(píng)估的條件下，考察的是兩者或者參與方之間的直接交互。

1985：零知識(shí)證明面世 

1985年，Goldwasser、Micali和Rackoff首次提出Zero-Knowledge Proof模型，準(zhǔn)確而言是“交互式零知識(shí)證明”模型，簡(jiǎn)單而言就是允許在多次交互的前提下，通過ZK技術(shù)來驗(yàn)證真假、大小。

此處的零知識(shí)并不完全準(zhǔn)確，以Alice和Bob的互動(dòng)為例，Alice和Bob可以互為驗(yàn)證者和證明者，但是兩者間傳遞的信息不能和財(cái)富數(shù)量本身有關(guān)，這里的零知識(shí)是指相關(guān)性為零，而并非不傳遞信息。

而交互式指的是可以多次進(jìn)行交互，這個(gè)過程可以反復(fù)進(jìn)行，直至得出正確結(jié)果。

至此，目前所熟知的ZK技術(shù)邁出了成型的第一步，接下來的一切發(fā)展，都是在其上的刪減增改。

1991：非交互式零知識(shí)證明 

當(dāng)時(shí)間來到1991年，Manuel Blum、Alfredo Santis、Silvio Micali和Giuseppe Persiano提出非交互式零知識(shí)證明，聞名即可知，此次升級(jí)重點(diǎn)是進(jìn)行非交互式的證明過程，也就是在雙方之間不進(jìn)行交互的同時(shí)，驗(yàn)證一個(gè)定理、假說的真?zhèn)涡裕@看似很反直覺，但是有一個(gè)絕妙的例子可以說明：

Alice和Bob財(cái)富自由后變身數(shù)學(xué)家。Alice離開web2去環(huán)游Web3，期間Alice繼續(xù)ZK研究。

我們假設(shè)Alice能夠在發(fā)現(xiàn)一個(gè)新定理的證明時(shí)，給Bob寫一張明信片，證明她在研究中取得了新進(jìn)展。

這是一個(gè)非交互式的過程，準(zhǔn)確的說，它是一個(gè)單方向的互動(dòng)：只從Alice到Bob。即使Bob想回答，他也不可能。因?yàn)锳lice沒有穩(wěn)定的（或可預(yù)測(cè)的）地址，在任何郵件能到達(dá)她之前就會(huì)搬走。

我們約定，只要Bob收到郵件，我們不需要查看郵件內(nèi)容，就可以確定“Alice取得了研究上的新進(jìn)展”這個(gè)命題為真。

非交互式零知識(shí)證明將交互次數(shù)減少到最多一次，可實(shí)現(xiàn)線下驗(yàn)證和公開驗(yàn)證，前者為Rollups奠定了有效性基礎(chǔ)，后者耦合區(qū)塊鏈的廣播機(jī)制，可避免多次計(jì)算帶來的資源浪費(fèi)。

至此，我們目前見到的ZK便已經(jīng)成為成熟理論模型，但此時(shí)的ZK更多是數(shù)學(xué)和密碼學(xué)領(lǐng)域的研究對(duì)象，和區(qū)塊鏈并無太多關(guān)聯(lián)，而在比特幣出現(xiàn)后，加密技術(shù) 區(qū)塊鏈才成為研究的方向，而ZK無疑是其中的佼佼者。

值得注意的是，中本聰本人并不排斥ZK技術(shù)在比特幣網(wǎng)絡(luò)的使用，更多的是當(dāng)時(shí)的ZK技術(shù)不成熟，因此最終選擇了較為安全的ECC算法，而ZK本身可以直接應(yīng)用到Layer1區(qū)塊鏈上，Zcash、Mina，以及以太坊的伊斯坦布爾升級(jí)都涉及到了零知識(shí)證明的相關(guān)領(lǐng)域。 

一相逢：SNARK介入?yún)^(qū)塊鏈

2010-2014 Zcash: SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge) 實(shí)用化場(chǎng)景 

在比特幣網(wǎng)絡(luò)出現(xiàn)后，安全和隱私成為人們對(duì)區(qū)塊鏈的最初認(rèn)知。市場(chǎng)上出現(xiàn)了一系列基于隱私的公鏈和應(yīng)用，如Zerocash/Zcash使用的SNARKs，以及在Monero中使用的子彈證明Bulletproofs（BP）等。

2010年，Groth實(shí)現(xiàn)了首個(gè)基于ECC算法的，O(1)常數(shù)級(jí)的ZK。也即ZK-SNARKs或者ZK-SNARGs。

SNARGs: Succinct Non-Interactive Arguments

SNARKs: Succinct Non-Interactive Arguments of Knowledge

從應(yīng)用角度來說，此次改進(jìn)在于“簡(jiǎn)潔”Succinct功能上，具體而言，SNARK致力于壓縮信息本身的大小，在ZCash中，程序電路是固定的，因此多項(xiàng)式驗(yàn)證也是固定的，這使得設(shè)置只需執(zhí)行一次，交易后續(xù)只需改變輸入便可復(fù)用。

在2013年，Pinocchio協(xié)議提升效率至分鐘級(jí)別證明，以及毫秒級(jí)別的驗(yàn)證時(shí)間，開銷控制在300字節(jié)以內(nèi)，這也是ZK-SNARKs技術(shù)真正首次落地到區(qū)塊鏈領(lǐng)域。

這證明了ZK技術(shù)可以在隱私場(chǎng)景上發(fā)揮作用，R3PO判斷后續(xù)的隱私路線會(huì)具備脫離L2單獨(dú)存在的潛力，Aztec證明了隱私DeFi路線的可行性，而在tornado被制裁后，鏈上金融隱私仍舊是強(qiáng)烈的剛需，這個(gè)方向的投資機(jī)會(huì)仍未被廣泛發(fā)掘，值得后續(xù)期待。

此外，隱私幣項(xiàng)目Zerocash進(jìn)一步改進(jìn)了相關(guān)算法，使用的是SCIPR Lab優(yōu)化后的zk-SNARKs算法，在理論條件下，可以做到既隱藏付款來源、接受者和金額，并且交易可以控制在1KB以內(nèi)，驗(yàn)證時(shí)間在6ms之內(nèi)。

Mina：遞歸ZK壓縮數(shù)據(jù) 

Mina不同于以太坊L2，其是一條L1級(jí)別的高性能公鏈，其運(yùn)行節(jié)點(diǎn)只有22KB，而之所以能做到如此之小，在于其大幅度利用遞歸來證明ZK確認(rèn)的有效性，即每一條信息都帶有之前的確認(rèn)結(jié)果。

Step1：zk-SNARKs證明節(jié)點(diǎn)有效性，只需要保存其證明結(jié)果；

Step2：通過遞歸調(diào)用，確保節(jié)點(diǎn)有效性的正確傳遞和檢索，不需要保留所有歷史數(shù)據(jù)，實(shí)現(xiàn)極致壓縮數(shù)據(jù)的效果；

傳遞結(jié)果的有效性，而非保存全節(jié)點(diǎn)數(shù)據(jù)，這是Mina證明行之有效的手段，而在以太坊L2，ZK-Rollup可以通過打包多次交易數(shù)據(jù)，結(jié)算一次的方式完成有效性證明，而進(jìn)一步推演，L2之上可以疊加L3，或者Dapp應(yīng)用，這些都是ZK可以發(fā)展的細(xì)分賽道，比如dYdX目前運(yùn)行在Starkex之上，以及架構(gòu)在Starkware之上的L2 ImmutableX，都證明ZK的使用潛力，這個(gè)賽道的價(jià)值目前仍未被全部挖掘，仍留有長(zhǎng)期的投資價(jià)值。

至此，ZK-Rollup涉及所有的技術(shù)要件就已經(jīng)基本齊備了，我們已經(jīng)裝備好足夠的ZK基礎(chǔ)知識(shí)，并且可以總結(jié)ZK的以下特點(diǎn)：

非交互式：不需要多次驗(yàn)證，只需一次驗(yàn)證就可以廣播至全網(wǎng)；

零知識(shí)：不需要透露信息本身的特征，可在全網(wǎng)進(jìn)行公開傳播；

知識(shí)：知識(shí)不是公開、易得的信息，必須具備獨(dú)特的價(jià)值，比如經(jīng)濟(jì)價(jià)值、隱私價(jià)值等；

證明：證明由數(shù)學(xué)手段確認(rèn)，安全性經(jīng)過多年研究和實(shí)踐檢驗(yàn)；

如果將這些技術(shù)特點(diǎn)組合起來，我們可以發(fā)現(xiàn)，ZK天然適合L2擴(kuò)容，并且又不局限于L2，ZK技術(shù)的其他應(yīng)用會(huì)在后文中持續(xù)發(fā)表，歡迎大家繼續(xù)關(guān)注。

 雙龍會(huì)：STARK終將取SNARK而代之

ZK-STARK：開發(fā)難度以10年計(jì)的種子選手 

對(duì)比二者的差異，主要在于STARK中的S是Scalability之意，面向的是更加大型數(shù)據(jù)的復(fù)雜使用場(chǎng)景，但其整體上仍舊是一個(gè)正在發(fā)展中的技術(shù)路線。

本文不過多涉及具體L2之間的區(qū)別，但有一點(diǎn)很明顯，除StarkWare之外，其他的L2項(xiàng)目，包括zkSync、Aztec、Loopring、Scroll等都采用的是SNARKs技術(shù)路線。

究其原因，在于STARK的開發(fā)難度過大，目前只有StarkWare有能力進(jìn)行自研，但其好處也十分明顯，相較于SNARK，其可承載的運(yùn)算量也會(huì)更大，在運(yùn)行大型數(shù)據(jù)時(shí)，其安全性會(huì)更高，比如游戲、社交、NFT等方向。

其次，STARK路線具備抗量子攻擊的特性，這在未來十年具備顛覆行業(yè)格局能力的可能，比特幣采用的ECC算法并不能完全具備抗量子破解的可能，如果加入zk-STARKs技術(shù)，其安全性會(huì)顯著提高。

可以總結(jié)以太坊L2的格局，短期Optimistic Rollup，5年后zk-SNARKs路線，10年后zk-STARK路線終將會(huì)勝出。

ZK-Rollup：數(shù)據(jù)的上探，信息的下鉆 

介紹完zk-STARKs之后，L2擴(kuò)容的全部技術(shù)特征便已完備，只缺少對(duì)Rollup的介紹，實(shí)際上，Rollup利用的是ZK的驗(yàn)證機(jī)制，而擺脫其對(duì)數(shù)據(jù)量的需求：在L1負(fù)責(zé)共識(shí)和結(jié)算的前提下，由L2負(fù)責(zé)應(yīng)用的具體日常運(yùn)營(yíng)，用戶不需要和L1直接交互，其體驗(yàn)會(huì)高度接近于目前的App。

更進(jìn)一步的說，Rollup在完成信息的打包后，會(huì)將驗(yàn)證后的信息加密成知識(shí)，隨后傳遞給L1，以攻破安全性、去中心化和擴(kuò)展性的不可能三角。

總結(jié)

我們從百萬富翁問題出發(fā)，由MPC問題過渡到零知識(shí)證明領(lǐng)域，出于經(jīng)濟(jì)原因，交互式的零知識(shí)證明不完全適用于鏈上活動(dòng)，而非交互零知識(shí)證明逐漸成為主流。

隨著Zcash的發(fā)展，SNARKs技術(shù)日漸應(yīng)用到其中，使ZK技術(shù)從單純的密碼學(xué)研究對(duì)象變身為區(qū)塊鏈領(lǐng)域中使用的工程手段，在隱私、安全、效率方面發(fā)揮自己的作用。

以太坊擴(kuò)容場(chǎng)景，則使ZK成就了L2，Rollup技術(shù)路線戰(zhàn)勝其他競(jìng)爭(zhēng)對(duì)手，zk-STARKs也逐漸發(fā)展起來，有望激活挖礦、GameFi、NFT等更為普遍的使用場(chǎng)景。

在以太坊之外，越來越多的新模式已經(jīng)逐步涌現(xiàn)，比如可定制模塊化Rollup路線，又如剛完成1500萬美元融資的Eclipse，其路線圖會(huì)支持Move語言和Solona網(wǎng)絡(luò)，以及完成3000萬美元融資的Scroll，其希望建立EVM等效的ZK-Rollup。

新故事背后的驅(qū)動(dòng)力是對(duì)ZK技術(shù)的認(rèn)可，廣泛來說，ZK是一個(gè)“大而全，長(zhǎng)而遠(yuǎn)”的領(lǐng)域，大額融資消息的不斷傳出也說明市場(chǎng)對(duì)其接受度在逐步走高。但總體而言，這還是一個(gè)新領(lǐng)域，即使僅論其技術(shù)路線，也有“內(nèi)卷”的流派，而其中的投資機(jī)會(huì)則長(zhǎng)期存在，無論是內(nèi)嵌入底層基礎(chǔ)設(shè)施，還是落地于具體應(yīng)用場(chǎng)景，需要我們不斷去發(fā)掘。

作者：R3PO

來源：鏈捕手

AD：

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。