Lo mejor de ambos mundos zk rollup mecanismo previo al consenso

1) Demasiado tiempo para verlo:

Este documento describe un mecanismo de consenso previo que logra una finalidad instantánea y reduce los costos de gas de validación sin comprometer las salidas instantáneas de fondos de zkRollup.

2) Antecedentes y motivación:

zkRollup puede lograr una finalidad instantánea cuando el intervalo de compromiso es lo suficientemente corto (por ejemplo, 10 minutos). En este esquema, el riesgo de confianza del agregador aumentará a medida que aumente el intervalo, y el costo de lograr la finalidad (si es el algoritmo Groth16, el costo del gas de verificación de cada compromiso supera los 200 000 gas) disminuirá a medida que aumente el intervalo.

Comencemos afirmando que la verificación del par zkRollup cuesta más de 200 000 de gasolina (un valor de entre 100 y 500 dólares). Es decir, durante cada intervalo de compromiso de zkRollup, el agregador necesita gastar esta cantidad de combustible para verificar y finalizar el compromiso.

No podemos ignorar este costo porque los zkRollups tienen intervalos de compromiso cortos. Necesitamos compromiso para lograr la finalidad de la salida instantánea. Podemos lograr una finalidad instantánea (finalidad económica, transacciones sin confirmación) siempre que el intervalo de compromiso sea corto y los agregadores malintencionados no estén muy motivados para revertir las transacciones.

Ledn, una empresa de préstamos encriptados, adquirirá Arxnovum, una empresa de gestión de fondos: Jinse Finance informó que la empresa de préstamos encriptados Ledn, con sede en Toronto, acordó adquirir Arxnovum, una empresa canadiense de gestión de activos, por una tarifa de transacción no revelada, según un comunicado de prensa. . Se espera que el trato se cierre a finales de año, momento en el cual Arxnovum se convertirá en una subsidiaria de Ledn Asset Management.

Fundada en 2021, Arxnovum está regulada en Canadá como gestora de fondos de inversión, gestora de carteras, gestora de comercio de materias primas y agente de mercado exento. (Coindesk) [2022/10/6 18:41:09]

Aunque podemos usar pruebas recursivas de conocimiento cero y un sistema de cálculo de prueba eficiente para agregar múltiples transacciones, es difícil para nosotros cambiar el intervalo de compromiso. Si extendemos ciegamente el intervalo de compromiso, afectará la seguridad.

Luego, debemos pensar en cómo lograr una finalidad instantánea segura y largos intervalos de verificación en zkRollup.

El primer ministro ruso pide a los reguladores que finalicen las regulaciones sobre los pagos transfronterizos en criptomonedas: Jinse Finance informó que Watcher.Guru dijo en las redes sociales que el primer ministro ruso pidió a los reguladores que finalicen las regulaciones sobre los pagos transfronterizos en criptomonedas. [2022/9/13 13:27:10]

3) Método:

El costo de funcionamiento del agregador proviene del alto costo del gas de la verificación de prueba de conocimiento cero en el contrato y el breve intervalo de compromiso.

Por lo tanto, podemos extender el intervalo de verificación sin comprometer la seguridad y la usabilidad.

3.1) El primer paso: omitir la verificación del par de prueba de conocimiento cero

En primer lugar, la solución más sencilla que se nos ocurre es omitir el cálculo del par e introducir pruebas de fraude sencillas para los compromisos.

El agregador envía una prueba o lo que sea necesario para verificar el compromiso de zkRollup con el contrato, pero no realiza el cálculo de emparejamiento en este punto y, por lo tanto, no necesita pagar 200 000 de gasolina. Después de un tiempo, la promesa se valida; cada estado de esta promesa se convierte en una entrada pública para la próxima promesa. Los agregadores necesitan bloquear algo de éter para incentivar a los validadores. Los agregadores son castigados una vez que los validadores descubren un comportamiento fraudulento.

La integración de Qredo y MetaMask Institucional ha entrado en la etapa de producción completa: según el sitio web oficial, la plataforma de gestión de activos digitales Qredo anunció que su integración MetaMask Institucional pasó de la versión beta a la etapa de producción completa para brindar a las organizaciones soluciones probadas. Monederos Web3 y DeFi de grado institucional y probados.

En el corazón de la integración se encuentra la infraestructura de custodia descentralizada de Qredo, que está integrada con la billetera DeFi estándar de oro MetaMask Institutional. Juntos, los dos forman una forma simplificada para que las organizaciones intercambien, tomen prestado y obtengan rendimiento en un protocolo descentralizado, asegurado por el cómputo multipartito descentralizado (dMPC) de Qredo.

Se informa que desde el lanzamiento de la integración en octubre de 2021, Qredo ha desplegado millones de dólares en activos digitales (incluido NFT) en múltiples cadenas compatibles con EVM y ha optimizado las capacidades de integración. Para brindar a las organizaciones una custodia de DeFi más segura y sofisticada, Qredo pronto lanzará un motor de póliza condicional flexible y una cobertura de seguro físico líder en el mercado. [2022/3/9 13:46:54]

Un compromiso es el hash de la entrada pública, los datos de prueba de conocimiento cero, la raíz del estado anterior, la raíz del siguiente estado, el hash de la transacción y la dirección del agregador.

El contrato de futuros de CME Bitcoin de octubre cerró en $55 180: Jinse Finance informó que el contrato de futuros de CME Bitcoin de octubre de 2021 con el mayor volumen de operaciones cerró hoy $710 a $55 180. Los contratos de noviembre, diciembre y enero de 2022 cerraron en $55,590, $55,775 y $55,985, respectivamente. [2021/10/9 5:48:48]

Las preimágenes son proporcionadas por eventos en cadena y se promete que se mantendrán en almacenamiento por contrato.

Este enfoque tiene grandes ventajas.

Todos pueden convertirse en una torre de vigilancia, el equivalente a un "validador" en Optimistic Rollup, sin ejecutar un nodo completo ni realizar ninguna configuración especial para comenzar.

Los problemas de disponibilidad de datos no surgen porque todo lo necesario para verificar o realizar una prueba de fraude se emite en un evento en la cadena. Cuando realizamos pruebas de fraude, no necesitamos los datos de transacciones de la Capa 2 ni los resultados de las transacciones, porque todos estos datos están incluidos en la entrada pública y la prueba de la prueba de conocimiento cero.

Si un agregador malicioso envía una raíz de Merkle maliciosa y descarta todos los datos de transacciones y los datos del árbol de Merkle, no necesitamos ejecutar nodos completos para pruebas de fraude. Podemos detectar este tipo de comportamiento malicioso simplemente examinando los datos de prueba de conocimiento cero y ejecutando la función de verificación de pares.

Sin embargo, existen problemas de seguridad con el método anterior.

Si se produce un ataque del 51% en la Capa 1, y se legaliza el root malicioso de Merkle, nos será difícil detenerlo.

Dado que el costo de ejecución de un ataque del 51 % aumenta con el tiempo de generación de bloques de la cadena de bloques subyacente, necesitamos un período de verificación suficientemente largo para aumentar efectivamente la dificultad de un ataque del 51 %. El período de verificación ideal es de 7 días, porque el período de salida de ORU también es de 7 días, que se puede calcular en función del costo de extracción y la recompensa real del ataque.

En este caso, no tenemos motivos para elegir el esquema anterior en lugar de ORU.

3.2) El segundo paso: el compromiso previo al consenso sin verificación de prueba de conocimiento cero, y la finalidad se logra a través del emparejamiento recursivo de prueba de conocimiento cero

Podemos resolver el problema de seguridad anterior de la siguiente manera.

Nos referimos a este compromiso, que no ha sido verificado por pruebas de conocimiento cero, como pre-consenso. El pre-consenso limita la finalidad a través de la verificación de prueba de conocimiento cero.

(compromiso por consenso) => (compromiso previo al consenso) => (compromiso previo al consenso) => …. => (compromiso previo al consenso) => (compromiso previo al consenso)

Todos los compromisos previos al consenso limitan el consenso a través de emparejamientos. Por lo tanto, los usuarios de la capa 2 pueden disfrutar de una transacción segura e instantánea. Necesitamos verificar los compromisos de consenso utilizando todos los compromisos previos al consenso con pruebas recursivas de conocimiento cero. Hay dos circuitos aquí: el circuito de pre-consenso y el circuito recursivo. El circuito de preconsenso contiene la lógica de las dApps que emplean el esquema zkRollup. El circuito recursivo solo necesita obtener datos previos al consenso de la Capa 1 como entrada pública.

Las pruebas recursivas de conocimiento cero se pueden usar para fusionar horizontalmente el consenso previo a lo largo del tiempo: al mismo tiempo, también se pueden usar para agregar verticalmente un gran número de transacciones en compromisos previos al consenso.

Si algún falso compromiso previo al consenso afecta la verificación del consenso con el emparejamiento, siempre podemos emparejarlo con prueba de conocimiento cero para prueba de fraude. Una vez que la prueba es exitosa, el agregador elimina el compromiso utilizando la función de verificador de prueba de conocimiento cero y luego reinicia la agregación de transacciones y crea un compromiso previo al consenso.

Si tienen prisa, los titulares de activos pueden gastar 200 000 de gas para llegar a un consenso a través del pre-consenso, y luego pueden salir de inmediato. (Por supuesto, también pueden esperar a que el agregador alcance el consenso). Como se mencionó en el "primer paso", no necesitan ninguna configuración especial para lograr la finalidad del consenso, porque todas las entradas ya están agregadas y pueden obtenerse mediante los eventos. en la cadena son buscados. No importa cuántas pruebas de compromiso previas al consenso se verifiquen, el costo de gas de la verificación recursiva no aumentará, porque estas pruebas se codificarán en el hash de entrada.

Un atacante del 51% no puede forjar una raíz de Merkle maliciosa, ya que cada raíz se verificará eventualmente en la cadena a través de la lógica del código de contrato implementada por los circuitos zk.

4) Resumen:

Este protocolo de consenso previo con pruebas de fraude y accesibilidad a los datos asociados permite que zkRollups tenga intervalos de compromiso prolongados (por ejemplo, 6 horas). Este enfoque puede ahorrar muchos costos de gas necesarios para los cálculos de verificación.

Tags：

Binance APP