订阅 wiki
Share wiki
Bookmark
zkEVM
zkEVM
zkEVM(零知识以太坊虚拟机)是一种虚拟机,它与以太坊虚拟机(EVM)兼容地执行智能合约,并使用零知识技术生成这些执行的加密证明。它被设计为以太坊的扩展解决方案,旨在提高交易吞吐量并降低成本,同时通过利用主要的以太坊网络来维持高度的安全性。通过捆绑大量交易,在链下执行它们,然后将紧凑的有效性证明发布到主区块链,zkEVM允许验证计算,而无需每个网络节点重新执行它们。 [1] [2]
概述
zkEVM 开发的主要动机是为了解决 Ethereum 网络的扩展性瓶颈。在 Ethereum 的标准模型中,每个验证器节点必须重新执行一个区块内的每个交易以验证其有效性,这个过程被称为“N-of-N 执行”。这种冗余计算限制了网络的容量,并且是高需求期间高 gas 费的一个促成因素。 [3]
zkEVM 提出了一种“1-of-N”模型,其中一个称为“证明者”的特殊实体执行一个交易区块,并生成一个简洁的密码学证明(一个 ZK 证明),确认执行的正确性。然后,网络验证器只需要验证这个计算成本低的证明,而不是重新运行整个区块。这种范式转变极大地减少了网络上的计算负载,从而实现了更高的吞吐量和更实惠的费用。 [4]
虽然早期的 ZK-Rollups 提供了可扩展性优势,但它们通常以牺牲 EVM 兼容性为代价,限制了它们在特定应用中的使用,并要求开发人员学习新的语言或工具。zkEVM 是一个重要的演变,因为它们旨在与 EVM 兼容或等效,允许开发人员以最小或无需代码修改的方式将现有的 Ethereum 智能合约和 去中心化应用程序 (dApps) 部署到更具可扩展性的层上。这种方法允许项目利用 Ethereum 广泛的开发人员、工具和基础设施生态系统。 [1] [5]
该技术主要应用于两种情况:作为在 Ethereum 之上运行的 Layer 2 rollups,以及更雄心勃勃地将 zkEVM 直接集成到 Ethereum 的 Layer 1 协议中以扩展主网本身。 [6]
zkEVM如何工作
zkEVM架构从根本上由三个核心组件构成,这些组件促进链下计算和链上验证。 [2]
核心组件
- 执行环境: 该组件复制了以太坊虚拟机,提供了一个空间,可以在其中执行用 Solidity 等语言编写的智能合约。它获取当前的区块链状态,处理用户提供的一批交易,并计算出一个新的、更新的状态。它与 EVM 的兼容性使其能够无缝移植现有的 dApp。 [2]
- 证明电路: 这是 zkEVM 的密码引擎。它观察交易执行并生成零知识证明,通常是
zk-SNARK或 zk-STARK。此证明以密码学方式证明状态转换(从初始状态到新状态)是有效的,并且所有计算均根据 EVM 的规则正确执行。生成证明时不会泄露底层交易数据本身。 [5] [2] - 验证器合约: 这是一个部署在底层 Layer 1 区块链(例如,以太坊)上的智能合约。 zkEVM rollup 将生成的有效性证明和更新的状态数据提交给此合约。验证器合约的唯一功能是检查密码学证明。如果证明有效,则新状态将被接受并在 Layer 1 链上最终确定。此验证过程非常高效,避免了每个 Layer 1 节点重新执行交易的需要。 [2]
证明过程
在 zkEVM 系统中,证明者“无状态”地执行区块,这意味着它不需要维护整个区块链状态的完整副本。相反,正在处理的交易所需的必要状态数据作为输入提供,通常称为“见证”。此输入附带有 Merkle 证明,用于根据父区块的已知状态根验证其完整性。 [4]
重要的是要注意,术语“zk”(零知识)在扩展的上下文中可能部分用词不当。虽然该技术可用于隐私,但 zkEVM 主要利用 SNARK 等 ZK 证明系统的“简洁性”(证明很小)和“完整性”(证明在计算上是合理的)属性。它们证明计算被正确执行,而无需一定隐藏交易细节,因为隐私需要额外的复杂性和证明者成本。 [6]
zkEVM 的类型
以太坊 联合创始人 Vitalik Buterin 提出了 zkEVM 的分类系统,根据其与 以太坊 的兼容程度将其分为不同类型。该系统强调了一个基本的权衡:更高的兼容性(较低的类型编号)使得使用现有基础设施更容易,但证明速度较慢且成本更高;而较低的兼容性(较高的类型编号)以牺牲 以太坊 标准为代价,实现了更快的证明速度。 [2]
1 型(完全以太坊等效)
1 型 zkEVM 旨在与 以太坊 完全且不妥协地等效。它们不对 以太坊 系统进行任何更改,包括哈希函数(如 Keccak)、状态树或其他共识逻辑。
- 优点:与所有 以太坊 dApp 和基础设施完美兼容。可以重用区块浏览器和执行客户端等工具,而无需修改。
- 缺点:证明生成速度非常慢,因为 以太坊 协议的某些部分对 ZK 不友好。
- 示例:这是 以太坊基金会 的 zkEVM 项目针对 Layer 1 集成所声明的目标。 [2] [3]
Type 2 (完全 EVM 等效)
Type 2 zkEVM 从开发者的角度来看是完全等效的,但对底层的 Ethereum 架构进行了微小的修改,例如使用不同的状态树结构,以加速证明生成。
- 优点:与大多数现有应用程序兼容,提供比 Type 1 更快的证明时间。
- 缺点:证明时间对于某些用例仍然可能成为瓶颈。
- 示例:Polygon zkEVM 和 Scroll 是旨在实现此等效级别的项目。 [5] [2]
2.5型(EVM等效,但Gas成本不同)
这是2型的一个变体,它增加了在ZK电路中特别难以证明的特定操作的Gas成本。这种修改改善了最坏情况下的证明时间,但可能会破坏依赖精确Gas成本计算的开发者工具和智能合约。 [2]
Type 3 (几乎等同于 EVM)
Type 3 zkEVM 牺牲了完美的 EVM 兼容性,以进一步简化开发和提高证明者性能。它们可能会省略在 ZK 电路中难以实现的功能,例如某些预编译合约。
Type 4 (高级语言等效)
Type 4 系统不追求 EVM 字节码级别的直接兼容性。相反,它们将用 Solidity 或 Vyper 等高级语言编写的智能合约源代码直接编译为 ZK 友好的语言或指令集。
- 优点:可以显著加快证明生成时间。
- 缺点:字节码级别的不兼容性可能导致调试工具、合约地址以及使用手写 EVM 字节码的应用程序出现问题。
- 例子:zkSync Era 是 Type 4 zkEVM 的一个突出例子。 [5] [2]
优势与挑战
优势
- 安全的可扩展性:zkEVM 在链下执行交易以提高速度,但通过提交有效性证明在 Layer 1 上结算交易。这使得它们能够继承父链的安全性和去中心化,同时以更高的吞吐量运行,有可能将交易容量从 以太坊 上的大约每秒 30 笔交易 (TPS) 提高到每秒 2,000 多笔交易。 [2] [1]
- 低成本:通过批量处理数千笔交易并将单个链上证明的成本分摊到这些交易中,zkEVM 可以大幅降低 gas 费用。成本可以从接近一美元降低到每笔交易不到一美分。 [7] [1]
- 快速最终性:一旦 Layer 1 上的验证器合约接受有效性证明,zkEVM 上的交易就被认为是最终的。这避免了 Optimistic Rollups 所需的一到两周的挑战期,提高了资本效率和用户体验,尤其是在提款方面。 [2]
- 开发者体验:EVM 兼容性或等效性是一项主要优势,允许开发者迁移现有的 dApp,并利用已建立的 以太坊 开发者生态系统和工具,而无需进行太多更改。这利用了巨大的网络效应,并降低了构建者的学习曲线。 [7]
开发挑战
- 成本和复杂性的证明:生成零知识证明是一个计算密集型过程,通常需要专门的、强大的硬件,这可能成为瓶颈和成本中心。 [5]
- 架构不匹配:EVM的设计并未考虑ZK证明。其基于堆栈的架构、复杂的操作码(例如,
CALL)以及使用对ZK不友好的哈希函数(如Keccak)在为其执行创建证明时提出了重大的技术挑战和费用。 [2] - 兼容性与性能的权衡:正如zkEVM类型中详细描述的那样,在实现完全以太坊兼容性和设计能够有效生成证明的系统之间存在固有的紧张关系。 [5]
- 去中心化问题:对昂贵的专用硬件生成证明的依赖引起了对潜在中心化的担忧,因为只有少数资源充足的实体可能能够作为证明者或排序者参与。 [5]
安全考量
将zkEVM集成到以太坊生态系统中,无论是在Layer 2还是Layer 1,都会引入新的安全考量因素和潜在的攻击媒介。以太坊基金会的研究已经确定了许多令人担忧的领域。 [6]
系统多样性
一个主要关注点是单点故障的风险。如果生态系统变得依赖于仅一两个执行层(EL)客户端进行证明,或者依赖于单一的底层zkVM实现,那么该主导软件中的错误可能会停止或损害整个网络。一个提议的缓解措施是“多重证明策略”,即只有在收到来自多个不同的zkEVM系统的证明后,一个区块才被认为是有效的。 [6]
Guest Program and Compilation
将以太坊客户端“变为可证明的”过程中存在重大风险。以太坊客户端设计用于具有缓存和系统调用等功能的复杂CPU,而这些功能在zkVM的受限环境中是不存在的。这些环境之间的不匹配是一个高度关注的问题。此外,修改客户端时可能会引入错误,并且用于zkVM的RV32IM等小众指令集架构(ISA)的编译器不如主流编译器那样经过实战考验。用于加速ZK不友好操作(如Keccak哈希)的自定义“zkVM预编译”也增加了复杂性并引入了自身的攻击面。 [6]
证明者和电路的正确性
zkEVM 最关键的组成部分是定义 VM 规则的算术电路和底层密码协议。这两者中的任何一个出现错误都可能是灾难性的,可能允许恶意证明者为无效的状态转换创建看起来有效的证明,从而导致资金被盗。这些缺陷可能源于源研究论文、规范中的歧义或实现过程中的错误。其他实现风险包括不正确的“见证”生成、程序格式之间的转译错误,或偏离协议已证明的安全保证的不安全“优化”。 [6]
缓解策略
为了应对这些风险,生态系统依赖于多种策略,包括形式化验证(使用数学方法证明代码的正确性)、针对标准化测试套件(如以太坊执行规范测试)的广泛测试、独立的安全性审计、激励白帽黑客的漏洞赏金以及多重证明策略等架构设计。 [6]
正式验证倡议
为了加强安全性,以太坊基金会启动了 zkEVM 正式验证项目,这是一项生态系统范围内的努力,旨在将形式化验证方法应用于整个 zkEVM 堆栈,目标是创建“无错误 zkEVM”。该项目预计将持续到 2026 年底,旨在开发工具、标准和流程,以确保 zkEVM 的正确性和安全性。 [8]
该倡议分为三个主要关注领域,或“轨道”:[8]
- RISC-V zkVM 轨道:侧重于验证基于 RISC-V 的 zkVM 的多项式约束是否正确地实现了官方 RISC-V 指令语义。
- EVM 轨道:旨在证明在 RISC-V 架构上运行的 EVM 实现是官方 EVM 规范的正确实现。
- 密码学轨道:验证底层密码学证明系统和原语的规范、安全证明和实现。
该项目通过赠款计划运作,该计划资助各个团队来应对这些挑战。支持的工作包括开发 ArkLib,这是一个用 Lean 证明助手形式化的密码学证明库;cLean,一种用于在 Lean 中编写电路的领域特定语言 (DSL);以及 LLZK,一种用于零知识语言的统一中间表示。这些努力突出了一种社区驱动、开放和方法多样的途径来保护下一代 以太坊 扩展解决方案。 [8]
历史和著名项目
虽然早期的zk-Rollups,如dYdX和Loopring展示了ZK技术在扩展方面的强大功能,但它们缺乏通用的EVM兼容性。zkEVM的开发代表了将ZK证明与EVM的可编程性相结合的重要推动。 [1]
早期开发和主网上线
首个公开 zkEVM 主网于 2023 年 3 月上线,标志着 Ethereum 扩容的重要里程碑。
- zkSync Era: 由 Matter Labs 开发,zkSync Era 于 2023 年 3 月 24 日启动了其公共主网。作为 4 型 zkEVM,它将 Solidity 和 Vyper 代码编译成 ZK 友好的格式,以加快证明时间。 [1] [5]
- Polygon zkEVM: Polygon 于 2023 年 3 月 27 日启动了其 zkEVM Mainnet Beta 版。因其开源而闻名,其第一笔交易由 Ethereum 联合创始人 Vitalik Buterin 发送。它通常被归类为 2 型或 3 型 zkEVM。zkSync 和 Polygon 团队都承认该技术在发布时处于早期阶段。 [1]
Polygon zkEVM 的演变
在整个 2024 年,Polygon zkEVM 主网 Beta 进行了多次升级,包括引入 cdk-erigon 排序器的“Etrog”、“Elderberry”和“Eggfruit”更新。然而,在一次战略转变中,Polygon Labs 在 2026 年 1 月宣布计划弃用 Polygon zkEVM 主网 Beta。该项目的技术和经验正被整合到其他生态系统产品中,例如 Polygon 链开发工具包 (CDK),该工具包允许开发人员启动自己的 ZK 驱动链。 [7]
其他项目
- Scroll: 一个zkEVM项目,被归类为Type 2,与以太坊基金会的隐私和扩展探索(PSE)小组合作开发。 [5]
- Linea: 由Consensys开发的zkEVM,Consensys是以以太坊生态系统中领先的软件公司之一。 [1]
- Taiko: 另一个开发zkEVM解决方案以扩展以太坊的项目。 [1]
以太坊基金会的 L1 倡议
以太坊基金会 正在研究将 1 型 zkEVM 直接集成到以太坊的基础层中。目标是实现“实时证明”(RTP),这意味着在 12 秒的时间内为完整的以太坊区块生成 ZK 证明。这将使整个网络受益于 ZK 扩展,而无需用户迁移到单独的 Layer 2。该项目的指导原则是“完全、不妥协的 EVM 等效性”。 [3]
“我们的目标是完全、不妥协的 EVM 等效性。” [3]
截至 2026 年初,该计划包括对 OpenVM 和 RISC0 等 zkVM 实现进行持续基准测试,以及准备 Reth 和 Geth 等以太坊客户端,以便与基于证明的验证进行潜在集成。 [3]
发现错误了吗?