原文: Polygon
Polygon Zero 的任務很簡單:使用零知識證明將以太坊擴展到十億用戶,同時不影響去中心化或安全性。實現這一點就需要一種快速有效的證明系統。今天,我們很高興與大家分享Plonky2,這是零知識密碼學的一個重要里程碑。
(注:Polygon此前宣布以4億美元收購零知識技術開發商Mir,將其更名為Polygon Zero)
Plonky2 是一種遞歸SNARK,比現有替代方案快100 倍,並且與以太坊原生兼容。它結合了PLONK 和FRI 以獲得最好的STARK,具有快速證明和無可信設置,以及最好的SNARK,支持遞歸和以太坊上的低驗證成本。
Plonky2 代表了Polygon 持續致力於構建以太坊未來的最新一步,我們很自豪能與以太坊社區分享我們的工作。
遞歸
如果零知識證明有一種超能力,那就是遞歸。 SNARK 可以驗證任意計算,並且由於驗證SNARK 是一種計算,因此SNARK也可以用於驗證其他SNARK。
要了解它為何有用,假設我們要證明一批1,000 筆交易是有效的。一次生成一個證明來逐個驗證1,000 筆交易將是昂貴且耗時的。
相反,我們可以使用1,000 台機器並行生成1,000 個證明,每個交易一個。接下來,我們可以獲取這些交易證明,並通過生成一層遞歸證明來遞歸聚合它們,每個證明都驗證兩個交易證明。我們重複這個過程,直到我們得到一個可以驗證1000 筆交易的證明。
遞歸方法更快,資源密集度更低,並且可以更加去中心化。
效率
遞歸證明對於區塊鏈的可擴展性至關重要。當我們在2019 年啟動Mir(現在的Polygon Zero)時,在一台快速計算機上需要兩分鐘才能生成一個遞歸證明。 2020 年為以太坊帶來了證明時間為60 秒的遞歸證明,Halo 的發明提供了更快的遞歸證明,但它不兼容以太坊。 
2021 年,我們有了一個大膽的目標:在以太坊上實現不到1 秒的遞歸證明。我們意識到,STARKS 中使用的多項式承諾方案FRI 可以為遞歸SNARK 提供顯著的性能改進。在當時,這並不明顯。 Fractal 是遞歸FRI 的唯一現有實現,大約需要10 分鐘才能生成證明。
然而,FRI 有一些令人興奮的特性。它允許我們使用64 位字段,我們的團隊發現了Goldilocks 字段,它的模數可以在現代CPU 上實現極其高效的字段運算。當與PLONK 結合使用時,FRI 允許我們編寫具有更多線程的自定義門關,因此我們可以編寫針對高效遞歸進行優化的迴路。
這種數學洞察力、零知識密碼學方面的深厚專業知識和驚人的低級優化相結合,使我們能夠取得重大突破。 Plonky2 的遞歸證明在Macbook Pro 上僅需170 毫秒就能完成,比現有替代方案提高了100 倍。
證明大小
Plonky2 還允許我們加快不涉及遞歸的證明的證明時間。使用FRI,您可以擁有大型的快速證明(在以太坊上驗證它們的成本更高),或者您可以擁有小型的慢速證明。使用FRI 的構造,例如Starkware 在其ZK Rollup中使用的STARK,必須進行選擇; 他們不能擁有足夠快的證明時間和足夠小的證明大小以在以太坊上進行合理驗證。
Plonky2 消除了這種權衡。在證明時間很重要的情況下,我們可以優化最快的證明。當這些證明被遞歸聚合時,我們只剩下一個可以在小迴路中驗證的證明。此時,我們可以優化證明大小。我們可以將證明大小縮小到45kb,只需20 秒的證明時間(這沒什麼大不了的,因為我們只在提交到以太坊時生成),相對於Starkware,大大降低了成本。
兼容性
令人興奮的是,Plonky2 原生兼容以太坊。 Plonky2 只需要keccak-256 來驗證證明。我們估計,在以太坊上驗證plonky2 大小優化證明的gas 成本約為100 萬gas。
然而,這個成本主要是在以太坊上發布證明的CALLDATA 成本。如果CALLDATA 在EIP-4488 中重新定價,plonky2 證明的驗證成本將降至170-200k gas 之間,這可能使其不僅是最快的證明系統,而且是在以太坊上驗證的最便宜的系統。
結論
去年,Polygon 承諾支持零知識擴展。這代表了一個重要的轉變,因為Polygon 從提供當前的基本解決方案轉向構建以太坊擴展的未來。 Plonky2 是這一旅程的重要一步,也是整個空間的重大突破。
ZK L2 受益於大量炒作,但當前的解決方案依賴於低效且限制可擴展性的密碼原語。最終,L2 將在吞吐量和成本上展開競爭,而Plonky2 為Polygon 生態系統提供了構建性能最高和可擴展的L2 的機會。
APP 
