整理:鄧通,金色財經
2024 香港Web3 嘉年華期間,以太坊聯合創始人Vitalik Buterin 發表主題演講《Reaching the Limits of Protocol Design》。金色財經將演講內容整理如下,以颯讀者。
區塊鏈與ZK-SNARKS
我們用來建構協議的技術類型在過去10 年裡發生了很大變化。那麼,當2009 年比特幣誕生時,它實際上使用了非常簡單的密碼學形式,對吧?你在比特幣協議中看到的唯一一種加密技術是——你有哈希,你有橢圓曲線的ECDSA 簽名,你有工作量證明。工作量證明只是使用哈希的另一種方式,如果你看看2000 年用於構建協議的技術,你就會進而看到這套更加複雜的技術,而這些技術實際上在10年前剛剛出現。
現在,很多這樣的東西肯定已經存在很久了。從技術上講,自從PCP 定理誕生以來,我們就已經有了ZK- SNARKS,該定理已經有幾十年的歷史了。所以在理論上,這些技術已經存在了很長時間,但在實踐中,在你能在學術論文中做什麼和你能在實際應用中做什麼之間存在著巨大的效率障礙。
實際上,我認為區塊鏈本身有很多值得讚揚的地方,因為它實際上幫助了這些技術的採用,並將它們真正付諸實踐。
今天的情況在過去十年中發生了變化,並且取得了巨大的進步。這包括很多不同的事情。我們今天擁有的協議越來越依賴所有這些技術。看看2000 年建造的協議,所有這些東西從第一天起就被視為關鍵組件。 ZK-SNARKS是這裡的第一個大事吧? ZK-SNARKS 是一項技術。您可以透過這樣一種方式來更快地驗證證明,然後自行執行計算。您也可以在不隱藏原始輸入中的大量資訊的情況下驗證證明。因此,尋找ZK-SNARKS在隱私方面非常有用,在可擴展性方面也非常有用。
現在,區塊鏈有什麼作用?區塊鏈為您帶來了很多好處,它們為您提供開放性, 它們為您提供全球可驗證性。但這一切都是以犧牲兩件非常大的事情為代價的。一是隱私,二是安全。 ZK-SNARKS,還你隱私,還你安全。 2016年,我們看到了 Zcash 協議。然後,我們開始在生態系統理論中看到越來越多的東西。今天,幾乎所有東西都開始建立在ZK 上,開始多方計算和完全同態加密。但有些事情是你無法用ZK-SNARKS做的。所以隱私保護、計算、在人們的私人資料上運行。投票實際上是一個重要的用例,您可以在其中獲得一定程度的收益。所以用ZK-SNARKS投票,但如果你想獲得真正最好的屬性,那麼MPC 和FHE 是你必須使用的東西。
許多加密、人工智慧應用程式最終也會使用MPC 和FHE,這兩種原語在過去十年中效率都在快速提高。
BLS金鑰聚合是一種有趣的技術,它基本上可以讓您從一大堆不同的參與者(可能有數以萬計的參與者)那裡獲取一大堆簽名,然後儘快驗證組合簽名,就像驗證一個簽名一樣。
這很強大。 BLS金鑰聚合其實是一項處於現代狀態共識證明理論核心的技術。
如果你看看BLS金鑰聚合之前建立的狀態共識證明,很多時候,演算法通常只能支援幾百個驗證,就像一個定理目前大約有30,000 個驗證,因為它們正在提交簽名, 每12 秒一次。這之所以成為可能,是因為這種新形式的密碼學實際上只在過去5 到10 年裡得到了足夠的最佳化才能使用。
效率、安全與擴充功能
所以很多事情都是這些新技術帶來的。他們很快就變得更強了。當今的協議大量使用所有這些技術。我們確實經歷了從專用密碼學到通用密碼學的重大轉變,在哪裡創建新協議,您必須自己了解密碼學是如何工作的。您必須為特殊用途的應用程式建立一種特殊用途的演算法,以達到更通用的目的。在這個世界上,要創建一個使用我在過去5 分鐘談到的內容的應用程序,您甚至不需要成為密碼學家。你可以寫一段程式碼,然後把它編譯成審批和驗證器,你就有了一個尋求歷史的應用程式。
那麼這裡有哪些挑戰呢?我認為現在的兩個大問題:一個是效率,一個是安全。現在,還有第三種,可以說是擴充功能。我認為,提高我們今天擁有的東西的效率和安全性更加重要。
我們來談談效率。我們來說一個具體的例子,就是區塊鏈的理論。理論上說,如果出塊時間為12 秒,即一個區塊與下一個區塊之間的平均間隔時間為12 秒。在正常的區塊驗證時間上。這是下級節點驗證區塊所需的時間, 大約400毫秒。現在尋找陷阱、證明平均理論和阻止所需的時間約為20 分鐘。但兩年前,這種情況正在迅速改善。此前,這一等就是5個小時。現在,平均需要20 分鐘。與兩年前相比,我們仍然取得了巨大進步。
現在,我們的目標是什麼?目標是進行即時證明。目標是,當創建區塊時,您可以在創建下一個區塊之前獲得證明, 當我們實現即時證明時,世界上的每個用戶都可以輕鬆成為協議的完全驗證用戶。如果我們能夠進入這樣一個世界:每個以太坊錢包,包括瀏覽器錢包,包括行動錢包,包括其他鏈的智慧合約錢包,實際上都在完全驗證共識規則的理論。
所以他們甚至不相信自己是否更喜歡權益驗證,因為他們實際上是直接驗證規則並直接確保區塊是正確的。我們如何利用歷史來做到這一點?要使其真正發揮作用,ZK-SNARKS 證明需要即時進行,但需要有一種方法可以在5 秒內證明理論和區塊。那麼問題是,我們能達到實現?現在,MPC 和FHE 也有類似的問題。正如我之前提到的,MPC 和FHE 的一個強大用例就是投票,對吧?它實際上已經開始出現了。
MPC 目前的問題在於它的某些安全性屬性依賴一台中央伺服器。我們可以去中心化嗎?我們可以,但它需要協議更加有效率。這些協議的花費龐大。
我們如何實現這樣的需求?對於ZK-SNARKS, 我認為效率提升分為三大類。其中之一是並行化和聚合, 因此,如果你想像在一個關於區塊的理論中,在一次驗證中,區塊最多需要大約1000萬個計算步驟。您執行每個計算步驟,並分別對其進行證明。然後你進行證明聚合。
經過大約20次上述步驟之後,您就得到了一個代表整個區塊正確性的重要證明。這是今天利用現有技術可以做到的。並且可以在5秒內證明劣質區塊。它需要大量的平行計算, 那麼我們可以優化它嗎?我們可以優化聚合證明嗎?答案是肯定的,關於如何做到這一點,有很多理論想法,但這確實需要轉化為實際的東西。
在相同的硬體成本和相同的電力成本下,ASIC能夠比GPU 快大約100 倍的哈希處理速度。問題是,我們可以透過嚴格證明來獲得完全相同的好處嗎?我認為答案是我們應該能夠。有許多公司已經開始實際建造專門用於證明ZK-SNARKS的產品,但實際上,它應該是非常通用的。我們可以把20 分鐘縮短到5 秒,進而讓效率提升嗎?
所以我們有GKR協議,我們有64 位,我們有ZK-SNARKS等各種不同的想法。我們能否進一步提高演算法的效率?我們能否創造更多ZK-SNARKS、友善的雜湊函數、更多ZK-SNARKS、友善的簽章演算法?這裡有很多想法,我強烈鼓勵人們為這些想法做更多的工作。我們擁有所有這些令人驚嘆的密碼學形式,但是人們會不會信任它們?如果人們擔心其中存在某種缺陷, 無論是ZK-SNARKS,還是zkevm Circuits,它們都有7000 行程式碼。如果他們做得非常有效的話。理論上,平均每千行程式碼有15 到50 個錯誤。我們努力嘗試。每千行不到15 個,但也大於零。如果你擁有這些持有數十億美元人們資產的系統,那麼如果其中一個出現錯誤,那麼無論加密技術多麼先進,這些錢都會丟失。
問題是,我們能做些什麼來真正採用現有的密碼學並減少其中的錯誤數量?
現在, 我認為如果一個團體的12 人中有9 人,即超過75% 的人同意存在錯誤,那麼他們就可以推翻證明系統所說的任何內容。所以它是相當中心化的。在不久的將來,我們就會有多重證明。理論上來說,您可以降低其中任何一個的某個部分出現錯誤的風險。你有三個證明系統。如果其中一個有錯誤,那麼希望另外兩個在完全相同的位置不會出現錯誤。
用人工智慧工具進行形式驗證
最後,我認為未來值得研究的一件有趣的事情是使用人工智慧工具進行形式驗證。實際上,從數學上證明像ZK-EVM 這樣的東西沒有錯誤。但你能否真正證明這一點,例如,ZK-EVM 實作正在驗證與Gas 中的定理實現完全相同的函數。例如,你能證明它們對於任何可能的輸入只有一個輸出嗎?
在2019 年,沒有人認為人工智慧可以在今天製作出非常漂亮的照片。我們已經取得了很多進展,我們已經看到人工智慧做到了。
問題是,我們是否可以嘗試將類似的工具轉向類似的任務。例如為跨越數千行程式碼的程式中的複雜語句自動產生數學證明。我認為這是一個有趣的開放挑戰,讓人們了解簽名聚合的效率。那麼今天以太坊有30000個驗證器,運行一個節點的要求相當高吧?我的筆記型電腦上有一個節點理論,它可以運行,但它不是一台便宜的筆記型電腦。而且我確實必須自己去升級硬碟。期望的目標是理論上的,我們希望支持盡可能多的驗證。我們希望權益證明盡可能民主化,以便人們可以直接參與任何規模的驗證。我們希望在節點理論中運行的要求非常低,並且非常易於使用。我們希望理論和協議盡可能簡單。
那這裡的限制是什麼?限制是每個參與者每個槽的所有資料需要1 Bit,因為你必須廣播誰參與簽名和誰沒有參與的資訊。這是在此之上最基本的限制。如果是這樣的話,就沒有其他限制了。計算,無下限。您可以進行證明聚合。您可以對每棵樹進行遞歸,也可以進行簽名。您可以進行各種簽章聚合。你可以使用SNARKS,你可以使用密碼學,就像你可以使用32位元SNARKS一樣,各種不同的技術。
關於點對點網路的思考
問題是,我們能在多大程度上優化簽章聚合──點對點安全?人們對點對點網路的思考還不夠。這才是我真正想強調的。我認為在加密領域,通常有太多的傾向在點對點網路之上創建奇特的結構,然後假設點對點網路可以工作。這裡隱藏著很多惡魔吧?我認為這些惡魔將變得更加複雜,就像點對點網路在比特幣中的工作方式一樣。
這其中有各種攻擊,如女巫攻擊、拒絕服務攻擊等。但是當你有一個非常簡單的網絡,而網絡的唯一任務是確保每個人都能得到一切時,問題仍然相當簡單。問題在於,作為一種尺度理論,點對點網路變得越來越複雜。今天的以太坊點對點網路有64個分片-為了做一次簽章聚合,為了處理30000個簽章。
首先,就像我們今天所做的那樣,我們有一個點對點網絡,它分為64 個不同的分片,每個節點只是其中一個或幾個網絡的一部分。因此,將兩個項目分層並允許Rollup的費用非常低,這是一個有天賦的可擴展性解決方案。這也依賴更複雜的點對點架構。每個節點只下載全部資料的1/8嗎?你真的能讓這樣的網路安全嗎?我們該如何保存資料呢?我們如何提高點對點網路的安全性?
結論
所以,我們要考慮的是能夠實現密碼學限制的協定。我們的密碼學已經比幾十年前強大得多,但它還可以更強,我認為現在我們真的需要開始考慮什麼是天花板,我們如何真正達到天花板?
這裡有兩個同樣重要的方向:
其中之一就是持續提高效率, 我們想要即時證明一切。我們希望看到這樣一個世界:在去中心化協議的區塊中傳遞的每條訊息預設都附加有ZK-SNARKS,證明該訊息以及該訊息所依賴的所有內容都遵循協議的規則。我們如何提高效率以實現這一目標?第二個是提高安全性。從根本上減少問題的可能性,讓我們進入一個世界,在這個世界中,這些協議背後的實際技術可以是非常強大和非常值得信賴的。
但正如我們在許多次看到的那樣,多重簽名會被駭客攻擊。在許多情況下,這些Layer 2專案中的代幣實際上是由多重簽章控制的。如果有九分之五的人同時遭到駭客攻擊,就會損失很多錢。如果想避免這些問題,那麼我們需要信任——能夠使用該技術,並以加密方式強制遵守規則,而不是相信一小群人來確保系統安全。
但要真正實現這一點,程式碼必須是值得信賴的。問題是,我們能讓程式碼可信嗎?我們能讓網路值得信賴嗎?我們能讓這些協議的這些產品的經濟性值得信賴嗎?我認為這些都是核心挑戰,我希望大家能夠繼續共同努力改進。謝謝。
