原文:《 「CN」ABCDE:為什麼我們要投資Cysic?

撰文:SiyuanHan

Cysic 是行業領先的ZK 硬件加速項目,致力於設計先進的ASIC 芯片來幫助減少ZK 證明生成時間。 Cysic 組建了一流的硬件設計研發團隊,目前已經完成了基於FPGA 的POC 設計工作。根據POC 結果可以證明Cysic 的ZK 硬件加速能力已經處於行業領先的位置。

ABCDE 於Seed 輪投資了Cysic,同時本輪的投資機構還有Polychain、A&T、Hashkey,以及Web3.com Venture。

為什麼我們需要ZK 硬件加速

ZK 證明的生成(ZK Proof Generation)是在ZK 項目中最核心步驟之一。不幸的是,在現有的ZK 證明系統下,生成ZK 證明通常需要大量的計算。隨著項目的複雜度的升高,ZK 電路規模的增大,ZK 證明生成需要的計算量會指數級上升。例如,對於Scroll, zkSync 等大型zkEVM/zkVM 項目,如果其完全通過CPU 來生成ZK 證明,可能會需要數小時,甚至數天的計算。在實際業務中,大多數項目需要將ZK 證明的生成限制在數秒和數分鐘內。數小時或者更久的計算時間對於大部分ZK 項目,尤其是對於zkEVM/zkVM 等擴容類項目來說是完全不可接受的。

此外,ZK 證明的生成的計算複雜度在未來ZK 項目正式上線前的2 年左右的時間窗口內,難有從理論層面降低的可能性。因此,為了保證項目的可用性,在項目正式上線前,ZK 項目方必須採用「加速ZK 證明生成」的技術方案,將ZK 證明生成加速到秒級或者分鐘級。而通過高性能硬件加速ZK 證明生成的方式是目前的首選。

硬件加速了什麼?

在ZK 證明生成的過程中,主要耗時的計算可以分為兩種類型,1. 基於多項式的NTT (Number Theoretic Transform)計算和2. 在橢圓曲線上進行的MSM (Multi-Scalar Multiplication)計算,如下圖所示[1]。通常來說,在一次ZK 證明生成的計算中,NTT 類型的計算任務約占到全部計算任務的25%左右,MSM 類型的計算任務約占到60–70 %左右[2]。

幸運的是,這兩種類型的計算任務存在: 1. 邏輯相對簡單,2. 大量重複相同的計算邏輯3. 可並行的特點( 類似Bitcoin Mining 計算)。因此,使用高性能硬件加速這兩類計算是理論上可行的。

如下圖所示,我們可以發現NTT 計算( 左上部分) 和MSM 計算( 右邊) 在ZK 證明生成的工作流中輕耦合的。因此,ZK 項目方可以根據實際需求選: 1. 單獨加速NTT 計算或2. 單獨加速MSM 計算,或者3. 整體加速NTT 和MSM,三種方案。

ZK硬件加速賽道已開跑,一文讀懂零知識證明硬件初創公司Cysic

General ZK 證明生成過程的Workflow [1]

  • 注1: 上圖來自於Scroll co-founder Zhang Ye 的論文: PipeZK: Accelerating Zero-Knowledge Proof with a Pipelined Architecture。這是行業中最早研究zk 硬件加速的論文之一。
  • 注2: 在某些文獻/ 文章中聲稱ZK 證明生成最耗時的是FFT (Fast Fourier Transform) 和MSM 兩種。雖然FFT 和NTT 原理相似,但是由於ZK 的中涉及到的密碼學計算多是在有限域(Finite Field)上進行的,因此在實際中的計算應為NTT。因此我們以多數學術文章中採用的NTT 為準[1][2][3]。

使用什麼硬件加速?

與挖礦的解決方案相同,目前ZK 硬件加速的方案主要通過下面三種硬件實施:

  • GPU
  • FPGA
  • ASIC

目前,市面上可用的硬件加速方案主要有GPU 和FPGA 兩種。使用GPU/FPGA 的加速方案相對容易實現。因此,為了更快的搶占市場,大部分廠商都會首先實現GPU/FPGA 的方案。由於GPU 和FPGA 的硬件成本較高,功耗相對大,絕對性能也有限制。因此ASIC 方案是ZK 硬件加速生態中不可忽視的一環。

硬件加速如何服務ZK 項目方

ZK 硬件加速提供商可以通過兩種方式提供ZK 證明生成加速服務:

  1. 通過SaaSAPI。
  2. 通過銷售硬件( 整機/ 芯片) 來提供加速服務( 類似賣礦機)。

正如我們上面提到的,在ZK 證明的生成過程中,NTT 和MSM 計算是輕耦合的。因此,根據服務粒度的不同,硬件加速服務商可以提供下面三種粒度的服務。

  1. 專用NTT 加速( 專用NTT 加速API/ 硬件設備)
  2. 專用MSM 加速( 專用MSM 加速API/ 硬件設備)
  3. 一體化加速方案,同時加速NTT 和MSM

硬件加速提供商的差異

NTT 和MSM 計算問題已經被廣泛研究多年。各大廠商難以短時間內在計算理論層面實現突破。因此,各個廠商之間的技術上的差異,更多在於工程實現能力,對算法細節的把控能力,技術棧( 硬件) 的選擇,硬件生產的成本控制,和產品設計能力。客戶在選擇加速廠商的時候,會重點考慮下面三個因素:

  • 硬件/ 服務的性能,同樣的計算任務下,廠商的計算時間。
  • 硬件加速成本,同樣的計算任務下,廠商的計算成本。
  • API/ 設備的易用程度。

我們為什麼投資Cysic

Cysic 由Leo Fan 和Bowen Huang 於2022 年8 月末創辦。 Cysic 的主要目標是為ZK 項目的ZK 證明生成過程提供硬件加速服務。美國加州以及中國大陸。這些創始成員的背景主要來自於美國Top20 大學計算機系的博士以及中科院計算所的芯片設計團隊。現階段,項目已經實現了基於FPGA 的MSM 計算的POC 驗證,項目代號SolarMSM。在本階段,SolarMSM 會通過SaaS 的方式對外提供服務。目前Cysic 以及與多家頭部ZK 項目方達成了合作意向,並會在近期為他們提供測試服務。根據行業多位權威人士的佐證,SolarMSM在加速MSM計算性能處於行業的Top-Tier 的位置。

創始團隊概況

兩位創始人擁有極強的技術背景,分別是密碼學和硬件設計方面的專家。 Leo 博士畢業於康奈爾大學,師從國際著名的密碼學教授Elaine Shi。在加入羅格斯大學擔任助理教授之前,Leo 曾在Algorand 擔任密碼學研究員。

另一位創始人Bowen Huang,在創辦Cysic 之前,曾在中科院計算所工作6 年,並赴耶魯大學攻讀博士學位,此前參與過其他若干知名大型科技企業的芯片研發工作,並有多項專利和設計落地。

POC 結果

目前,Cysic 已經實現了基於賽靈思的公版FPGA 的MSM 加速方案的POC 設計工作,代號SolarMSM 。在POC 驗證中,對於輸入規模是2³⁰ MSM 計算任務,SolarMSM 可以將其加速到一秒鐘以內[2]。這是目前業界所有公開數據結果中的最強水平,對比ZPrize 競賽的冠軍性能還要高1–2 個數量級。

SolarMSM 的快速實現證明了:

  • Cysic 團隊高效的研發實力和技術能力。可以在短時間內設計並實現了比ZPrize 第一名高1–2個數量級的性能,展現了壓倒性的速度優勢。
  • Cysic 團隊穩健的供應鏈整合管理能力。可以在PCB,散熱,供電,PCIE 連接件,機箱結構全部平行定制設計的情況下,仍然能夠在2–3 個月時間裡面快速完成交付,這個基本上是行業標準的2–3倍速度。

同時,本階段的POC 也是對於Cysic 硬件設計/ 研發工作的內部驗證。由於ASIC 芯片糾錯成本相比於FPGA 方案要高。通過SolarMSM 在高帶寬,高功耗,高互聯水平下充分的實機驗證可以大大降低未來ASIC 芯片出錯的風險。

技術路線圖

Cysic 計劃提供包括NTT 和MSM 計算在內的全套ASIC 硬件加速解決方案。目前,項目方採取兩階段研發策略。

第一階段:基於FPGA 的POC

項目的第一階段,基於賽靈思的公版FPGA 實現MSM 和NTT 加速的POC 版本: SolarMSM。目前,MSM 計算加速的模塊已經完成,對於2³⁰規模的MSM 計算可以在小於一秒內完成,是目前所有公開的FPGA-MSM 硬件加速結果中性能最高,領先競對1–2 個數量級以上。如無意外,在ASIC 芯片問世前,SolarMSM 將一直保持MSM 硬件加速的最高性能記錄。 Cysic 已經和若干頭部的ZK 項目達成了合作意向,將會為這些項目首先提供MSM 加速服務。

未來幾個月內,Cysic 計劃在SolarMSM 基礎上,完成NTT 計算加速模塊SolarNTT。 SolarNTT 將和SolarMSM 部署在同一台服務器上,基於同一套大規模FPGA 互聯繫統進行加速計算。這兩套實現將通過Cysic 設計的高速互聯架構整合在一起,成為一體化全套的加速方案SolarZKP。 SolarZKP 將通過SaaS 的方式對外提供API 服務。

第二階段:12nm ASIC

在POC 階段之後,Cysic 會開啟12nm ASIC研製階段。目標實現單顆ASIC 芯片的算力達到整台SolarZKP 的性能( 同時支持MSM 和NTT 計算和項目方指定的其他核心函數),同時單顆芯片功耗降低到兩個數量級。

市場分析

客戶會如何選擇硬件加速方案

在實際生產中,不同的ZK 客戶對於硬件加速的需求是不同的,這取決於ZK 項目對證明生成時間的敏感程度。例如:

  • 對於基於zkEVM/zkVM 的Layer-2 項目來說,他們的核心需求是:快速,穩定的生成ZK 證明。因此他們會更傾向於選擇更快,更穩定的一體化加速方案。
  • 對於一些對ZK 證明生成時間不敏感的ZK 項目來說,他們不需要以最快的速度生成Proof,例如交易所的財產證明。在這種場景下,客戶可以靈活的選擇例如單獨MSM 計算加速,或者可以組合不同服務商提供的MSM 計算和NTT 計算在可接受的時間內,選擇最優的價格。

我們認為市場未來會出現組合不同硬件加速廠商方案來選擇幫助客戶生成最優方案的工具。

項目風險

目前,已經有多家企業參與了ZK 硬件加速的賽道的競爭。對於基於ASIC 的ZK 硬件加速項目存在項目開發延期風險和市場風險。

項目開發延期風險

ZK 項目方和ZK 硬件加速廠商之間是一種相互合作,相互成就的關係。作為ZK 項目方,會首先選擇最先可用的硬件加速方案,來搶占ZK 項目自身的市佔率。對於zkEVM/zkVM 項目來說,能穩定的提供L2 的區塊證明是最重要的考量因素之一。因此,某些ZK 項目方會在早期就和硬件加速廠商達成長期合作意向。如果項目開發過慢,可能會在前期丟失掉一部分市場佔有率。同時,ASIC 流片存在失敗風險。受芯片製造商產能限制的影響,流片失敗會使得項目被迫重新進行一輪的流片排期,造成項目延遲。

市場風險

ZK 項目方可以分為隱私類,和擴容類兩種。對於隱私類項目,使用硬件加速雖然可能在某種程度上可以減少旁路攻擊的風險,但是考慮到隱私的問題,隱私類的項目會更加謹慎的選擇ZK 硬件加速方案,例如選擇直接購買硬件而不是通過SaaS 服務。

競品項目項目頭部競對

目前行業中還有三家有實力的競爭對手, 分別Supranational、Ulvantanna 以及Auradine。

Supranational

Supranational 從2019 年就進入了GPU 加速ZK 賽道,最近開始涉及FPGA/ASIC 領域。 Supranational 已經有非常成熟的開源基於GPU 加速方案,性能處於行業前列。同時,我們預計Supranational 還有一套性能更好的商業化的閉源方案。 Supranational 進入的市場較早,有一定的行業資源和很好的現金流。

Ulvantanna

創始團隊來自Jump crypto,拿到了paradigm 和bain crypto 的投資,其實力不容小覷。

Auradine

創始團隊比較Senior,有著豐富的創業經驗,有頂級廠商與資本的站台。

其他硬件加速團隊

其餘的團隊例如:Ingonyama,Jump Crypto,雖然先於他們進入賽道,但是目前在公開數據上看性能不如現階段的SolarMSM。

ZK 項目內部硬件加速團隊

目前,除了專門的硬件加速團隊,不少ZK 項目方也在內部探索硬件加速的解決方案,例如zkSync 和Scroll。

zkSync

zkSync 選擇了GPU/FPGA 的加速方案。根據ZPrice 上公開的結果,zkSync 的GPU 方案在計算輸入規模是2²⁶ MSM 時耗費2.528 seconds。這個性能不到Cysic SolarMSM 方案的十分之一(2³⁰ MSM 計算時耗費小於1 second)。

Scroll

Scroll 在內部進行了基於GPU 的加速研究。同時,Scroll 和一些學術機構正在合作探索更優的解決方案,他們最新的學術研究成果在發表計算機體系結構領域的頂級會議ASPLOS 2023 會議上[3]。作為頭部的zkEVM 項目,值得期待和追踪他們的後續的進展。

References

[1] PipeZK: Accelerating Zero-Knowledge Proof with a Pipelined Architecture, ZhangYe

[2] FPGA Acceleration of Multi-Scalar Multiplication: CycloneMSM, JumpCrypto

[3] GZKP: A GPU Accelerated Zero-Knowledge ProofSystem