ROL:深入理解区块链二层扩展方案Rollup

编者注：原标题为《深入理解区块链二层扩展方案Rollup》

本文作者朱光宇，区块链爱好者，前阿里巴巴JVM专家。现就职于Westar实验室，从事智能合约编程语言及其执行引擎的研发。

背景

最近，以太坊创始人VitalikButerin在一篇题为“混合式二层协议的曙光”的文章里对Rollup方案大加赞赏，认为它为智能合约的可扩展性打开了大门。那么什么是Rollup？它包括哪些主流方案？这些方案各自有什么优缺点？它们未来发展前景怎么样？为了找到这些问题的答案，笔者对相关项目做了一番调研，将收集到的信息整理成下面这篇文章。

Rollup的出现

最近两年，以太坊二层扩容技术得到突飞猛进的发展。所谓二层技术，就是将一部分资金存储在主链上的智能合约内作为，在保证足够的安全性和不可篡改的前提下，把一部分交易放到主链之外进行，就好像链下多出来第二层网络。二层方案里表现较突出的要数状态通道和Plasma侧链，但是这两种方案距离被广泛接受还有一段距离，其背后的原因归根结底是数据的可用性问题。什么是数据可用性呢？假设你去玩扑克，需要先到柜台把现金兑换成筹码，这可以理解成在链上创建状态通道并存入押金。然后你开始玩扑克，这就是所谓的链下交易。在赢得一手大牌之后，你想要兑现筹码走人，突然有人给你脑后来了一闷棍，醒来后桌上的筹码不翼而飞。你记不起来牌局的细节，所以无法追回已经赢得的筹码。这就是所谓的“数据不可用”。无论是状态通道还是Plasma侧链，完整的交易记录和见证数据都只保存在链下，出现争端时如果参与者没有及时提供正确的交易和见证数据，交易的安全性就无法保证。就好像是玩扑克的人被打了一闷棍忘记了牌局细节，很难追回属于自己的筹码。即便是数据没有丢失，面对不合作的对手，也要走非常复杂的仲裁流程。

Polygon Studios CEO：Polygon将于2023年深入参与PFP和艺术领域:12月27日消息，Polygon Studios 首席执行官 Ryan Wyatt 表示：2022 年 Polygon 与 OpenSea、Magic Eden、Coinbase、Robinhood 和 Phantom 建立或扩大了合作关系，并参与了游戏、DeFi 和音乐领域。Polygon 将在 2023 年深入参与 PFP 和艺术领域。[2022/12/28 22:11:26]

就在二层扩容技术举步维艰的时候，一位开发者提出了一种名叫Rollup的新方案。与Plasma不同的是，它可以“打包”交易，将“打包”后的交易数据连同一个SNARK零知识证明发布在链上。打包的正确性可以通过SNARK证明，从而确保运营商不可能发布恶意或无效的交易。这就是后来被VitalikButerin称之为ZKRollup的二层扩容方案。ZKRollup并非万能，它遇到的最大问题是通用性。除非要证明的交易非常简单，否则创建SNARK证明的成本会非常高。因此，一个名叫OptimisticRollup的折衷方案被提了出来。OptimisticRollup也是把交易数据都放到链上，但不是用SNARK做验证，而是采用加密经济学有效性博弈来实现有效性验证。我们将在下面的章节详细介绍这两种Rollup方案的原理。

南宁市深入推进“区块链+”人社应用和“打包快办”服务改革:8月20日，南宁市人社局召开专题党组会，传达学习市委十二届十次全体（扩大）会议精神，并就抓好贯彻落实作出部署。会议强调，局系统广大党员干部要将思想认识统一到市委决策部署上来，将学习贯彻市委十二届十次全体（扩大）会议精神和年度工作任务相结合，扎实推进各项中心工作；抓重点攻难点，切实保障和改善民生，千方百计保就业，兜住基本民生底线，深入推进“智慧人社”工作，深化“一门式”服务改革，深入推进“区块链+”人社应用和“打包快办”服务改革，确保完成全年目标任务。（南宁日报）[2020/8/23]

工作原理

Rollup的核心思想是将“打包”后的交易数据区块发布在链上，从而大大降低交易有效性验证的难度。交易数据的上链和验证是基于智能合约完成的。运营者收集到不同参与者提交的链下交易后，在链上执行Rollup智能合约提供的脚本，将打包后的交易数据区块作为参数提交给合约，合约验证数据有效后为每个参与者记账。这相当于一次性执行了一批链下交易，但是在链上只执行了一个交易。

下图是ZKRollup提交上链的打包数据。它包含一组压缩后的交易数据、执行这批交易之前的记录用户状态的merkle树树根，以及执行交易之后的新merkle树树根。除此之外还包含一个SNARK零知识证明，合约用它来验证在Prev状态上施加这批交易后结果就是New状态。如果对零知识证明的工作原理感兴趣，可以参考文章。

动态 | ZB 创新智库深入欧洲爱沙尼亚进行调研访问:ZB 创新智库正在持续深入欧洲各国进行区块链调研，本周到访爱沙尼亚的首都蒂兰，深入了解行业最新发展动态。北欧小国爱沙尼亚在区块链开发方面引领欧洲大陆。爱沙尼亚是欧洲第一个对数字经济发展采取激进政策的国家，凭借其现已知名的电子居留计划，该国为数字经济和区块链公司颁发了最多的许可证。 据 Bitcoin.com 网站报道，截至 2018 年 11 月，爱沙尼亚发放的许可证已经超过 900 张。

据 ZB 创新智库当地调研显示，近期这个数字现在已翻了一番。目前在爱沙尼亚获得数字资产许可证已变得较为困难，2019 年 5 月 3 日爱沙尼亚政府财政部对数字资产许可程序进行修改，增加了一系列正式义务，将处理时间从 30 天延长至 90 天，并确定了在爱沙尼亚注册成立公司或分支机构的要求。[2019/12/12]

生成SNARK的成本非常高，所以OptimisticRollup采用了不同的方法——“欺诈证明”来验证交易有效性。这里的“欺诈证明”并非类似SNARK那样的见证数据，它实际上指的是加密经济学有效性博弈。也就是说，运营者发布新的状态树树根时无需每次都接受Rollup智能合约的验证，每个人都假设状态转换是正确的。如果有人发布了非法的状态转换，其它运营者或者参与者都可以挑战非法交易并回滚不正确的区块。为了实现“欺诈证明”，光有ZKRollup那样的交易数据是不够的，Tx数据需要包涵交易提交者的签名，合约通过校验签名判断交易是否合法。

声音 | 科蓝软件：与蚂蚁金服在区块链方面已有广泛深入的合作:科蓝软件（SZ300663）董秘在互动平台回复投资者就“恒生减持公司股票，对科蓝和蚂蚁金服的影响及数字金融行业公司有那些进展”提问表示，科蓝与蚂蚁在互联网银行的前台、中台、后台产品和项目以及区块链方面已经有广泛深入的合作，双方是战略层面的合作，并且还在继续深化以及向其他领域扩展。 根据恒生电子(75.300,?1.19,1.61%)9月26日发布的公告：“（恒生）公司所持的科蓝软件股票的前期浮动盈利已计入公司本年度净利润中，本次出售使得科蓝软件股票部分前期浮动盈利已经转化为现金收益”，恒生在科蓝属于财务性投资，正常减持。恒生和科蓝都属金融科技公司，因细分领域不同，所以没有产品和项目合作关系，其减持对科蓝发展没有任何影响！在正在召开的云栖大会上，公司刚刚获颁“阿里云专有云首批行业ISV合作伙伴认证”，与蚂蚁共创的“电子渠道逸平台解决方案”也在上月通过了V3版本兼容性测试认证。毋庸置疑，国内数字金融行业正在起飞，公司未来会与蚂蚁一起，将更多创新的产品提供给客户。[2019/9/27]

安全性

Rollup的安全性来自于数据可用性和交易有效性。有了数据可用性和交易有效性，就能保证Rollup操作者永远不能破坏状态或窃取资金，即使操作者不配合，参与者也能方便的追回Rollup网络上的资产。Rollup将交易数据发布到链上，就像“锚”一样将Rollup网络锚定到了以太坊主链上。就好比是里装上了摄像头，即便是玩扑克的人被打了一闷棍，还是能通过视频记录证明自己确实赢了钱。

声音 | 菲律宾参议员：菲律宾不急于出台加密法规，建议成立专项小组做深入研究:菲律宾参议员Grace Poe表示，该国议员们并不急于出台使金融技术和加密货币等数字资产合法化的法律措施：“这是一件非常复杂的事情。事实上，立法者真的不应该急着起草一项有关这方面的法律。我们仍然需要学习很多东西，特别是在金融技术和数字资产方面。对我们大多数国人来说，这是陌生的领域，虽然他们中的一些人已经通过在线贷款接触了这一领域。但在没有适当的信息和教育的前提下，许多人实际上是受害者。”

参议员Francis Tolentino表示，监管机构应“放慢脚步”，研究“未成熟的”领域。对于具体应对方案，参议员建议成立一个工作小组来研究这一领域。该小组将由以下机构组成：菲律宾央行（BSP）、菲律宾证交会（SEC）、菲律宾存款保险公司、财政部以及卡加延经济区管理局。Tolentino还建议，如果有涉及海外菲律宾工人的担忧，劳工和就业部也应包括在该小组中。据证交会专员Luis Amatong称，委员会将颁布新规则，要求拥有数字产品的公司必须注册并受到监管审查，特别是如果其具有投资计划。另外，BSP和SEC已经同意进行定期讨论，以便可以提出实际的立法建议。（Rappler)[2019/9/23]

对于交易有效性验证，ZKRollup和OptimisticRollup采取了不同的方法。ZKRollup采用零知识证明来保证交易有效。它的安全性建立在密码学基础之上，智能合约仅在交易数据被证明为正确之后才会接受状态转换。每次状态转换都有一个零知识证明，这保证了链上总是对应着一个正确的二层状态。OptimisticRollup采用基于加密经济学有效性博弈的错误证明，它无需为每一次状态转换都提供证明，只在有人认为状态转换有误的时候提供。所以它要求交易方必须在线，因为沉默将被视为同意。所以相比较ZKRollup，OptimisticRollup的安全性有所降低，它需要采取额外的措施来防止DDoS攻击造成的默许。

可扩展性

Rollup通过一次链上交易可以执行一大批打包后的链下交易，主链不需要通过执行每笔交易来验证其有效性，而且交易数据是作为函数参数发布的，验证完有效性后就会被丢弃，这样就不会占据以太坊的存储空间。因此Rollup可以大幅度提升以太坊的可扩展性。

但是这种提升并非没有限制，虽然只有一次链上交易，但是它会受到交易数据本身gas成本的制约。以太坊数据的gas成本在伊斯坦布尔升级前是每字节68单位，而以太坊上每个地址就会占用20字节，所以用以太坊交易数据结构来表示链下交易gas费用会非常高，因此Rollup对交易数据进行了压缩。

ZKRollup在智能合约里用merkle树来记录地址，这样地址就可以表示成树的索引值，地址数据的大小就从原本的20bytes减少到只有3bytes到4bytes。每笔交易就被压缩成10几个字节，再加上一个约100-300字节的SNARK，理论上可以将以太坊吞吐量从32TPS提升到约680TPS，伊斯坦布尔升级后可达到2000TPS。下图是压缩后ZKRollup每笔交易数据的格式：

OptimisticRollup的吞吐量理论上只有100TPS，主要原因是上文提到过的，为了支持欺诈证明OptimisticRollup的每笔交易数据需要包涵交易提交者的签名。每条签名的大小是64bytes，这大大增加了提交上链的交易数据的字节数，从而很快达到gas上限。为了减少交易数据的字节数，一种BLS聚合签名机制被提了出来。如下图所示，BLS聚合签名机制是在操作员收集到所有交易后，将打包后的交易发送给每个交易提交者签名，因为每个签名都是针对相同的数据，所以可以被操作员聚合成一个BSL签名。发送给链上合约的将是压缩后的交易数据加上聚合后的BLS签名，从而大幅减少了交易数据所消耗的gas。BLS签名可以将OptimisticRollup的吞吐量从100TPS提升到450TPS，伊斯坦布尔升级后也可以达到2000TPS。

延迟

OptimisticRollup基于加密经济学有效性博弈，只有过了1～2周的挑战期才能确认交易生效。ZKRollup的延迟相对较小，如果一个打包区块中有1000笔交易，在普通的服务器上大概需要20分钟可以构造出一个证明。开发者们已经提出很多减少延迟的方法，比如采用GPU加速可以将零知识证明构造时间压缩到1分钟。还有一种叫做“即时交易收据”的方法两种Rollup方案都适用。它主要借助经济学博弈来完成，就是负责打包的操作员需抵押一部分安全保证金，如果某个交易没有被打包到区块中，这笔钱就会被没收。理论上“即时交易收据”可以将交易确认时间压缩到1秒以内，但是实现相对复杂，安全性有所降低。

通用性

通用性方面，OptimisticRollup明显好于ZKRollup，当然它的设计目标就是支持任意智能合约。而ZKRollup目前仅适用于支付之类的特定交易，对于通用智能合约，由于创建零知识证明的成本非常高，部署起来困难较大。为了提高效率，开发者正在开发专门的零知识证明虚拟机，比如ZEXE。它在一定程度上可以缩短创建证明的时间，但是缺点是合约开发者需要大量的专业知识。MatterLabs团队基于ZKRollup开发的新一代区块链扩展方案ZKSync，设计开发了一款以委托的方式生成零知识证明的沙盒式虚拟机，开发者不需要深入了解零知识证明领域的技术细节就可以编写出高效且安全的智能合约。

总结与展望

本文简要介绍了区块链扩容方案Rollup的工作原理，对比分析了两种Rollup方案ZKRollup和OptimisticRollup在可扩展性、延迟、通用性、安全性上的优劣。

根据以上的对比分析，短期看来OptimisticRollup由于较好的通用性会受到开发者的青睐；但从长期来看，随着零知识证明虚拟机的演进，ZKRollup会在通用性上不断提高。它能否主宰智能合约可扩展性的未来呢？这个问题只能留给时间来回答了。

参考文章

1、《混合式二层协议的曙光》2、《零知识证明–zkSNARK入门》3、《有效性证明和错误证明》4、《ZKSync介绍》

标签：ROLROLLKROCROTROLL币roll币能出泰沙拉克吗KRONE币CROWN币

Ethereum热门资讯