2024 香港 Web3 嘉年華期間,以太坊聯(lián)合創(chuàng)始人 Vitalik Buterin 發(fā)表主旨演講《Reaching the Limits of Protocol Design》。金色財(cái)經(jīng)將演講內(nèi)容整理如下,以饗讀者。
區(qū)塊鏈與ZK-SNARKS
我們用來(lái)構(gòu)建協(xié)議的技術(shù)類型在過(guò)去 10 年里發(fā)生了很大變化。 那么,當(dāng) 2009 年比特幣誕生時(shí),它實(shí)際上使用了非常簡(jiǎn)單的密碼學(xué)形式,對(duì)吧? 你在比特幣協(xié)議中看到的唯一一種加密技術(shù)是——你有哈希,你有橢圓曲線的 ECDSA 簽名,你有工作量證明。 工作量證明只是使用哈希的另一種方式,如果你看看 2000 年用于構(gòu)建協(xié)議的技術(shù),你就會(huì)進(jìn)而看到這套更加復(fù)雜的技術(shù),而這些技術(shù)實(shí)際上在10年前剛剛出現(xiàn)。
現(xiàn)在,很多這樣的東西肯定已經(jīng)存在很長(zhǎng)時(shí)間了。 從技術(shù)上講,自從 PCP 定理誕生以來(lái),我們就已經(jīng)有了 ZK- SNARKS,該定理已經(jīng)有幾十年的歷史了。所以在理論上,這些技術(shù)已經(jīng)存在了很長(zhǎng)時(shí)間,但在實(shí)踐中,在你能在學(xué)術(shù)論文中做什么和你能在實(shí)際應(yīng)用中做什么之間存在著巨大的效率障礙。
實(shí)際上,我認(rèn)為區(qū)塊鏈本身有很多值得贊揚(yáng)的地方,因?yàn)樗鼘?shí)際上助力了這些技術(shù)的采用,并將它們真正付諸于實(shí)踐。
今天的情況在過(guò)去十年中發(fā)生了變化,并且取得了巨大的進(jìn)步。 這包括很多不同的事情。 我們今天擁有的協(xié)議越來(lái)越依賴所有這些技術(shù)。 看看 2000 年構(gòu)建的協(xié)議,所有這些東西從第一天起就被視為關(guān)鍵組件。 ZK-SNARKS是這里的第一個(gè)大事吧? ZK-SNARKS 是一項(xiàng)技術(shù)。 您可以通過(guò)這樣一種方式來(lái)更快地驗(yàn)證證明,然后自己運(yùn)行計(jì)算。 您還可以在不隱藏原始輸入中的大量信息的情況下驗(yàn)證證明。 因此,尋找ZK-SNARKS在隱私方面非常有用,在可擴(kuò)展性方面也非常有用。
現(xiàn)在,區(qū)塊鏈有什么作用?區(qū)塊鏈給你帶來(lái)了很多好處,它們給你提供開(kāi)放性, 它們?yōu)槟峁┤蚩沈?yàn)證性。 但所有這一切都是以犧牲兩件非常大的事情為代價(jià)的。 一是隱私,二是安全。 ZK-SNARKS,還你隱私,還你安全。 2016年,我們看到了 Zcash 協(xié)議。 然后,我們開(kāi)始在生態(tài)系統(tǒng)理論中看到越來(lái)越多的東西。 今天,幾乎所有東西都開(kāi)始建立在 ZK 上,開(kāi)始多方計(jì)算和完全同態(tài)加密。但有些事情是你無(wú)法用ZK-SNARKS做的。 所以隱私保護(hù)、計(jì)算、在人們的私人數(shù)據(jù)上運(yùn)行。 投票實(shí)際上是一個(gè)重要的用例,您可以在其中獲得一定程度的收益。 所以用ZK-SNARKS投票,但如果你想獲得真正最好的屬性,那么 MPC 和 FHE 是你必須使用的東西。
許多加密、人工智能應(yīng)用程序最終也會(huì)使用 MPC 和 FHE,這兩種原語(yǔ)在過(guò)去十年中效率都在快速提高。
BLS密鑰聚合是一種有趣的技術(shù),它基本上可以讓您從一大堆不同的參與者(可能有數(shù)以萬(wàn)計(jì)的參與者)那里獲取一大堆簽名,然后盡快驗(yàn)證組合簽名,就像驗(yàn)證一個(gè)簽名一樣。
這很強(qiáng)大。 BLS密鑰聚合實(shí)際上是一項(xiàng)處于現(xiàn)代狀態(tài)共識(shí)證明理論核心的技術(shù)。
如果你看看 BLS密鑰聚合之前建立的狀態(tài)共識(shí)證明,很多時(shí)候,算法通常只能支持幾百個(gè)驗(yàn)證,就像一個(gè)定理目前大約有 30,000 個(gè)驗(yàn)證,因?yàn)樗鼈冋谔峤缓灻?每 12 秒一次。 這之所以成為可能,是因?yàn)檫@種新形式的密碼學(xué)實(shí)際上只在過(guò)去 5 到 10 年里得到了足夠的優(yōu)化才能使用。
效率、安全與擴(kuò)展功能
所以很多事情都是由這些新技術(shù)帶來(lái)的。 他們很快就變得更強(qiáng)了。 當(dāng)今的協(xié)議大量使用所有這些技術(shù)。 我們確實(shí)經(jīng)歷了從專用密碼學(xué)到通用密碼學(xué)的重大轉(zhuǎn)變,在哪里創(chuàng)建新協(xié)議,您必須自己了解密碼學(xué)是如何工作的。 您必須為特殊用途的應(yīng)用程序創(chuàng)建一種特殊用途的算法,以達(dá)到更通用的目的。 在這個(gè)世界上,要?jiǎng)?chuàng)建一個(gè)使用我在過(guò)去 5 分鐘談到的內(nèi)容的應(yīng)用程序,您甚至不需要成為密碼學(xué)家。 你可以寫(xiě)一段代碼,然后把它編譯成審批和驗(yàn)證器,你就有了一個(gè)尋求歷史的應(yīng)用程序。
那么這里有哪些挑戰(zhàn)呢? 我認(rèn)為現(xiàn)在的兩個(gè)大問(wèn)題:一個(gè)是效率,另一個(gè)是安全。 現(xiàn)在,還有第三種,可以說(shuō)是擴(kuò)展功能。 我認(rèn)為,提高我們今天擁有的東西的效率和安全性更加重要。
我們來(lái)談?wù)勑省?我們來(lái)說(shuō)一個(gè)具體的例子,就是區(qū)塊鏈的理論。 理論上說(shuō),如果出塊時(shí)間為 12 秒,即一個(gè)區(qū)塊與下一個(gè)區(qū)塊之間的平均間隔時(shí)間為 12 秒。 在正常的區(qū)塊驗(yàn)證時(shí)間上。 這是下級(jí)節(jié)點(diǎn)驗(yàn)證塊所需的時(shí)間, 大約400毫秒。 現(xiàn)在尋找陷阱、證明平均理論和阻止所需的時(shí)間約為 20 分鐘。 但兩年前,這種情況正在迅速改善。此前,這一等就是5個(gè)小時(shí)。 現(xiàn)在,平均需要 20 分鐘。與兩年前相比,我們?nèi)匀蝗〉昧撕艽筮M(jìn)步。
現(xiàn)在,我們的目標(biāo)是什么? 目標(biāo)是進(jìn)行實(shí)時(shí)證明。 目標(biāo)是,當(dāng)創(chuàng)建一個(gè)區(qū)塊時(shí),您可以在創(chuàng)建下一個(gè)區(qū)塊之前獲得證明, 當(dāng)我們實(shí)現(xiàn)實(shí)時(shí)證明時(shí),世界上的每個(gè)用戶都可以很容易地成為協(xié)議的完全驗(yàn)證用戶。如果我們能夠進(jìn)入這樣一個(gè)世界:每個(gè)以太坊錢(qián)包,包括瀏覽器錢(qián)包,包括移動(dòng)錢(qián)包,包括其他鏈的智能合約錢(qián)包,實(shí)際上都在完全驗(yàn)證共識(shí)規(guī)則的理論。
所以他們甚至不相信自己是否更喜歡權(quán)益驗(yàn)證,因?yàn)樗麄儗?shí)際上是直接驗(yàn)證規(guī)則并直接確保區(qū)塊是正確的。 我們?nèi)绾卫脷v史來(lái)做到這一點(diǎn)? 要使其真正發(fā)揮作用,ZK-SNARKS 證明需要實(shí)時(shí)進(jìn)行,但需要有一種方法可以在 5 秒內(nèi)證明理論和區(qū)塊。 那么問(wèn)題是,我們能達(dá)實(shí)現(xiàn)? 現(xiàn)在,MPC 和 FHE 也有類似的問(wèn)題。 正如我之前提到的,MPC 和 FHE 的一個(gè)強(qiáng)大用例就是投票,對(duì)吧? 它實(shí)際上已經(jīng)開(kāi)始出現(xiàn)了。
MPC 當(dāng)前的問(wèn)題在于它的某些安全屬性依賴于一臺(tái)中央服務(wù)器。 我們可以去中心化嗎? 我們可以,但它需要協(xié)議更加高效。 這些協(xié)議的花費(fèi)巨大。
我們?nèi)绾螌?shí)現(xiàn)這樣的需求? 對(duì)于ZK-SNARKS, 我認(rèn)為效率提升分為三大類。 其中之一是并行化和聚合, 因此,如果你想象在一個(gè)關(guān)于區(qū)塊的理論中,在一次驗(yàn)證中,區(qū)塊最多需要大約1000萬(wàn)個(gè)計(jì)算步驟。 您執(zhí)行每個(gè)計(jì)算步驟,并分別對(duì)其進(jìn)行證明。 然后你進(jìn)行證明聚合。
經(jīng)過(guò)大約20次上述步驟之后,您就得到了一個(gè)代表整個(gè)區(qū)塊正確性的重要證明。 這是今天利用現(xiàn)有技術(shù)可以做到的事情。 并且可以在5秒內(nèi)證明劣質(zhì)區(qū)塊。 它需要大量的并行計(jì)算, 那么我們可以優(yōu)化它嗎? 我們可以優(yōu)化聚合證明嗎? 答案是肯定的,關(guān)于如何做到這一點(diǎn),有很多理論想法,但這確實(shí)需要轉(zhuǎn)化為實(shí)際的東西。
在相同的硬件成本和相同的電力成本下,ASIC能夠比 GPU 快大約 100 倍的哈希處理速度。 問(wèn)題是,我們可以通過(guò)嚴(yán)格證明獲得完全相同的好處嗎? 我認(rèn)為答案是我們應(yīng)該能夠。 有很多公司已經(jīng)開(kāi)始實(shí)際構(gòu)建專門(mén)用于證明ZK-SNARKS的產(chǎn)品,但實(shí)際上,它應(yīng)該是非常通用的。 我們可以把 20 分鐘縮短到 5 秒,進(jìn)而使效率提高嗎?
所以我們有GKR協(xié)議,我們有 64 位,我們有ZK-SNARKS等各種不同的想法。 我們能否進(jìn)一步提高算法的效率? 我們能否創(chuàng)建更多ZK-SNARKS、友好的哈希函數(shù)、更多 ZK-SNARKS、友好的簽名算法? 這里有很多想法,我強(qiáng)烈鼓勵(lì)人們?yōu)檫@些想法做更多的工作。我們擁有所有這些令人驚嘆的密碼學(xué)形式,但是人們會(huì)不會(huì)信任它們? 如果人們擔(dān)心其中存在某種缺陷, 無(wú)論是 ZK-SNARKS,還是 zkevm Circuits,它們都有 7000 行代碼。 如果他們做得非常有效的話。 理論上,平均每千行代碼有 15 到 50 個(gè)錯(cuò)誤。 我們努力嘗試。 每千行不到 15 個(gè),但也大于零。如果你擁有這些持有數(shù)十億美元人們資產(chǎn)的系統(tǒng),那么如果其中一個(gè)出現(xiàn)錯(cuò)誤,那么無(wú)論加密技術(shù)多么先進(jìn),這些錢(qián)都會(huì)丟失。
問(wèn)題是,我們能做些什么來(lái)真正采用現(xiàn)有的密碼學(xué)并減少其中的錯(cuò)誤數(shù)量?
現(xiàn)在, 我認(rèn)為如果一個(gè)團(tuán)體的12 人中有 9 人,即超過(guò) 75% 的人同意存在錯(cuò)誤,那么他們就可以推翻證明系統(tǒng)所說(shuō)的任何內(nèi)容。 所以它是相當(dāng)中心化的。在不久的將來(lái),我們就會(huì)有多重證明。 理論上來(lái)說(shuō),您可以降低其中任何一個(gè)的某部分出現(xiàn)錯(cuò)誤的風(fēng)險(xiǎn)。 你有三個(gè)證明系統(tǒng)。 如果其中一個(gè)存在錯(cuò)誤,那么希望另外兩個(gè)在完全相同的位置不會(huì)出現(xiàn)錯(cuò)誤。
用人工智能工具進(jìn)行形式驗(yàn)證
最后,我認(rèn)為未來(lái)值得研究的一件有趣的事情是使用人工智能工具進(jìn)行形式驗(yàn)證。 實(shí)際上,從數(shù)學(xué)上證明像ZK-EVM 這樣的東西沒(méi)有錯(cuò)誤。但你能否真正證明這一點(diǎn),例如,ZK-EVM 實(shí)現(xiàn)正在驗(yàn)證與 Gas 中的定理實(shí)現(xiàn)完全相同的函數(shù)。 例如,你能證明它們對(duì)于任何可能的輸入都只有一個(gè)輸出嗎?
在 2019 年,沒(méi)有人認(rèn)為人工智能可以在今天制作出非常漂亮的照片。 我們已經(jīng)取得了很多進(jìn)展,我們已經(jīng)看到人工智能做到了。
問(wèn)題是,我們是否可以嘗試將類似的工具轉(zhuǎn)向類似的任務(wù)。例如為跨越數(shù)千行代碼的程序中的復(fù)雜語(yǔ)句自動(dòng)生成數(shù)學(xué)證明。 我認(rèn)為這是一個(gè)有趣的開(kāi)放挑戰(zhàn),讓人們了解簽名聚合的效率。 那么今天以太坊有30000個(gè)驗(yàn)證器,運(yùn)行一個(gè)節(jié)點(diǎn)的要求相當(dāng)高吧? 我的筆記本電腦上有一個(gè)節(jié)點(diǎn)理論,它可以運(yùn)行,但它不是一臺(tái)便宜的筆記本電腦。 而且我確實(shí)必須自己去升級(jí)硬盤(pán)。 期望的目標(biāo)是理論上的,我們希望支持盡可能多的驗(yàn)證。 我們希望權(quán)益證明盡可能民主化,以便人們能夠直接參與任何規(guī)模的驗(yàn)證。 我們希望在節(jié)點(diǎn)理論中運(yùn)行的要求非常低,并且非常易于使用。 我們希望理論和協(xié)議盡可能簡(jiǎn)單。
那么這里的限制是什么? 限制是每個(gè)參與者每個(gè)槽的所有數(shù)據(jù)需要 1 Bit,因?yàn)槟惚仨殢V播誰(shuí)參與簽名和誰(shuí)沒(méi)有參與的信息。 這是在此之上最基本的限制。 如果是這樣的話,就沒(méi)有其他限制了。 計(jì)算,無(wú)下限。 您可以進(jìn)行證明聚合。 您可以對(duì)每棵樹(shù)進(jìn)行遞歸,也可以進(jìn)行簽名。 您可以進(jìn)行各種簽名聚合。 你可以使用SNARKS,你可以使用密碼學(xué),就像你可以使用32位SNARKS一樣,各種不同的技術(shù)。
關(guān)于點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)的思考
問(wèn)題是,我們能在多大程度上優(yōu)化簽名聚合——點(diǎn)對(duì)點(diǎn)安全? 人們對(duì)點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)的思考還不夠。 這才是我真正想強(qiáng)調(diào)的。 我認(rèn)為在加密領(lǐng)域,通常有太多的傾向在點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)之上創(chuàng)建奇特的結(jié)構(gòu),然后假設(shè)點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)可以工作。 這里隱藏著很多惡魔吧? 我認(rèn)為這些惡魔將變得更加復(fù)雜,就像點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)在比特幣中的工作方式一樣。
這其中有各種攻擊,如女巫攻擊、拒絕服務(wù)攻擊等。但是當(dāng)你有一個(gè)非常簡(jiǎn)單的網(wǎng)絡(luò),并且網(wǎng)絡(luò)的唯一任務(wù)是確保每個(gè)人都能得到一切時(shí),問(wèn)題仍然相當(dāng)簡(jiǎn)單。 問(wèn)題在于,作為一種尺度理論,點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)變得越來(lái)越復(fù)雜。 今天的以太坊點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)有64個(gè)分片——為了做一次簽名聚合,為了處理30000個(gè)簽名。
首先,就像我們今天所做的那樣,我們有一個(gè)點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò),它分為 64 個(gè)不同的分片,每個(gè)節(jié)點(diǎn)只是其中一個(gè)或幾個(gè)網(wǎng)絡(luò)的一部分。 因此,將兩個(gè)項(xiàng)目分層并允許Rollup的費(fèi)用非常低,這是一種有天賦的可擴(kuò)展性解決方案。 這也依賴于更復(fù)雜的點(diǎn)對(duì)點(diǎn)架構(gòu)。每個(gè)節(jié)點(diǎn)只下載全部數(shù)據(jù)的1/8嗎?你真的能讓這樣的網(wǎng)絡(luò)安全嗎?我們?cè)撊绾伪4鏀?shù)據(jù)呢? 我們?nèi)绾翁岣唿c(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)的安全性?
結(jié)論
所以,我們需要考慮的是能夠?qū)崿F(xiàn)密碼學(xué)限制的協(xié)議。我們的密碼學(xué)已經(jīng)比幾十年前強(qiáng)大得多,但它還可以更強(qiáng),我認(rèn)為現(xiàn)在我們真的需要開(kāi)始考慮什么是天花板,我們?nèi)绾握嬲_(dá)到天花板?
這里有兩個(gè)同樣重要的方向:
其中之一就是繼續(xù)提高效率, 我們想要實(shí)時(shí)證明一切。 我們希望看到這樣一個(gè)世界:在去中心化協(xié)議的區(qū)塊中傳遞的每條消息默認(rèn)都附加有ZK-SNARKS,證明該消息以及該消息所依賴的所有內(nèi)容都遵循協(xié)議的規(guī)則。 我們?nèi)绾尾拍芴岣咝室詫?shí)現(xiàn)這一目標(biāo)? 第二個(gè)是提高安全性。 從根本上減少出現(xiàn)問(wèn)題的可能性,讓我們進(jìn)入一個(gè)世界,在這個(gè)世界中,這些協(xié)議背后的實(shí)際技術(shù)可以是非常強(qiáng)大和非常值得信賴的。
但正如我們?cè)谠S多次看到的那樣,多重簽名會(huì)被黑客攻擊。 在很多情況下,這些Layer 2項(xiàng)目中的代幣實(shí)際上是由多重簽名控制的。 如果有九分之五的人同時(shí)遭到黑客攻擊,就會(huì)損失很多錢(qián)。 如果想避免這些問(wèn)題,那么我們需要信任——能夠使用該技術(shù),并以加密方式強(qiáng)制遵守規(guī)則,而不是相信一小群人來(lái)確保系統(tǒng)安全。
但要真正實(shí)現(xiàn)這一點(diǎn),代碼必須是值得信賴的。 問(wèn)題是,我們能讓代碼可信嗎? 我們能讓網(wǎng)絡(luò)值得信賴嗎? 我們能讓這些協(xié)議的這些產(chǎn)品的經(jīng)濟(jì)性值得信賴嗎? 我認(rèn)為這些是核心挑戰(zhàn),我希望大家能夠繼續(xù)共同努力來(lái)改進(jìn)。 謝謝。
本文轉(zhuǎn)載自:金色財(cái)經(jīng),不代表科技訊之立場(chǎng)。原文鏈接:jinse.cn/blockchain/3680848.html
