主持人:Faust,極客web3
來賓:Vincent,DevRel of Scroll;
Leo,Co-founder of Cysic;
Siyuan,TechLead of ABCDE Capital;
Kiwi,Researcher of OKXVentures;
Marco,DevRel of Aleo;
Lynndell,Cryptography Expert of Bitlayer
本次Space涉及的詳細問題包括:
1.Cysic和Lumoz兩個專案都把ZK加速當作核心願景,Cysic也提出了即時產生ZK證明的口號,那麼這些技術會對以太坊的Danksharding路線有什麼影響?
2. 聽說Aleo有更改挖礦演算法的傳言,Aleo最早是一條隱私公鏈,挖礦演算法和ZK直接相關,有人傳言說Aleo好像又換回了類似於主流PoW公鏈的哈希演算法(嘉賓們對此事進行了澄清)
3. ZK挖礦未來的願景如何,ZK-DePIN賽道將以怎樣的方式走下去?
4. 如何看待ZK-DePIN的商業化與市場化,還沒解決的痛點有哪些?
5. ZK挖礦的礦工收益模型
6. 各位老師認為如何解決不同礦工證明產生效率的差異太大的問題?
內文:1. Faust:請問ZK硬體加速對於以太坊Danksharding路線圖有什麼影響?
背景補充:Danksharding路線圖提出了Verkle Tree和無狀態客戶端的概念,屆時普通的以太坊節點/客戶端不必在本地存儲完整的狀態樹,區塊中會直接提供每筆交易關聯的狀態數據,並用ZK證明這些資料出自以太坊的狀態樹(Verkle Tree)。而Verkle Tree對以太坊現行的Merkle Tree式儲存結構進行了大幅改進,以便於產生ZK證明某段資料出自Verkle Tree中。
Leo:簡單來說,就是即時產生的ZK證明可以大幅提高輕客戶端和Verkle Tree的效率。 Verkle Tree相對於Merkle Tree,它產生的分支/路徑更多一些,如果你透過Merkle Proof證明某個資料片段出自Verkle Tree上的某個分支,你要連帶打開很多其他分支。
如果你用ZK取代Merkle Proof,可以大幅提高效率,可以把很多資料壓縮得很小。但你如果只是單純用一般的CPU或GPU去生成ZKP的話,其實是非常複雜的。
我以前在Algorand做過一個項目,就叫Algorand state proof,它就要透過Merkle Proof來打開Merkle Tree上的很多分支,但這樣做的效率非常低。所以你要透過ZK的Real Time Generation,或是說用這種Specialize Prover去讓zk證明的生成效率大幅提升。
Vincent: 4月的Web3香港大會上面,Vitalik發言提及ZK證明對協議效能最大化的重要性,他以往的發言和技術探索也體現出了其對ZK的重視。過去Scroll生成一個full compatible zkevm的Proof需要兩三個小時左右,採用現有的硬體加速方案後提高到了10分鐘。但這還是達不到我們想要的生成速度。
在理想化的環境下,對ZK的採用度會非常高,會滲透到方方面面,而過去ZK生成速度還不夠支撐起龐大的採用率。如果ZK證明即時生成成為現實,我們就不必在安全性和免信任、可驗證性等方面做任何妥協,直接用ZK來解決過去無法解決的諸多問題。在此之後的專案創新,包括應用的創新肯定會輕量化。在ZK硬體加速相關的社區內,大家都充滿信心,希望能一起在這個方向上進行突破。
Siyuan:我認為Layer2,尤其是用到ZK的二層,最核心的是要做快速的Finality(交易最終確認)。只有更快地將Layer2的交易痕跡(Trace)變成ZK Proof,送到L1上做verification,L2的最終狀態才能敲定下來。有些公司為了成本考慮,不會把每個L2的區塊或很少個區塊打包生成proof。此外,按照Vitalik的願景,一層換成Verkle tree後希望每個區塊都產生一個即時的ZKP,離開了ZK硬體加速這樣的願景就很難實現,因此我們非常看好Cysic。
2. Faust:聽說Aleo有更改挖礦演算法的傳言,因為Aleo最早是一條隱私公鏈,挖礦演算法和ZK相關,現在好像又換回了像大多數PoW公鏈的哈希演算法。想問一下嘉賓們對這個傳言的看法。
Marco:是這樣一個情況,近期Aleo的Testnet Beta 的話,它那個POW演算法確實現是一個雜湊演算法,然後加進Merkle Tree去了,給了一個Root Data來算最後的大小。但這個版本只是一個暫時版,並不是最終的版本。最終版本Aleo官方將在7月發布,希望能大家能耐心等待。
然後,其實Aleo Foundation 的CEO Alex 曾經在一次會議上說過,他理想中的PoW演算法,主要有兩個要求,一是希望能夠推動ZK演算法的實際應用發展,解決更實際的問題,另外一個希望能確保挖礦的公平性,所以他們會依照這個想法進行調整,希望大家及時保持關注。
Leo:就這個主題我想補充一下,Aleo挖礦之前的Coinbase puzzle是用MSM來做的多項式承諾,然後只是說從MSM換成了用Merkel tree 來做多項式承諾。其實從ZK的角度來看沒有太大差別,只是說你裡面的一個部件從之前的MSM based 變成了一個Hash based,然後這個Hash based它有各種各樣的hash function,其實是一個a mix of hash function。
Vincent:我個人也蠻想問Marco老師,就是從Aleo的角度來看,對整個ZK硬體加速的生態有什麼見解?現在包括像是Cysic的ASIC晶片,或是Ingonyama的基於FPGA的ZK加速方案,他們的這些產品對於Aleo的發展或是未來的一些規劃,是否有產生一些影響?
Marco:我個人感覺是有的,畢竟現在困擾整個ZK領域的核心問題就是ZK Proof生成太慢了,不久前Vitalik說到,透過SNARK證明系統為一個以太坊區塊生成證明,需要20分鐘,但以太坊12秒就會產生一個區塊,這裡面有很大很大的gap。我希望能有更多好的ZK加速方案來解決上述問題。
3. Faust :接下來想討論ZK挖礦或ZKDePIN相關的議題。首先想問Leo老師有關於ZK挖礦的願景,ZK-DePIN賽道將會以怎樣的方式跑下去?
Leo:我們其實是給一些ZK專案方提供了ZK proof generation的服務,而Cysic本身是個新創公司,我們不可能有那麼多錢去自己購買伺服器或租伺服器,我們就想著團結社群的力量來整合資源。其實我們現在有幾百台伺服器,這幾百台伺服器都是在滿載運作的狀態,這個跟傳統的AI-Depin專案有很大差別。
AI-Depin裡面很多機器只是在那裡空轉,人們只是追求一個比較高的uptime,然後去擼個空投,但如果是Cysic Network的話,你的機器會真正賦能實際應用場景,不會出現空轉,資源利用率更高,而且你能拿到的獎勵不只是Cysic Token,還有各大ZK專案方的激勵。
而且這對ZK Prover的去中心化也有好處,讓多個Prover去產生一個Proof也能減少對單一Prover的依賴。我們不但會rely on大礦工的設備,還會動員社區成員把自己閒置的硬體接進來,為整個ZK生態提供服務。
Siyuan: Cysic其實有兩種客戶,一種是專業的ToB大客戶,另外一種比較有趣, Cysic推出了一款小型的ZK加速卡,你可以在家裡的電腦上快速生成ZKP,方便開發人員甚至是普通用戶。
Leo:思遠剛才提到的是,應該是我們自己的設備, Cysic在明年是會大規模出貨自己的ZK硬體的,這個硬體有兩個樣子,第一個就是ZK air,就像剛才思遠提到的,差不多就是一個蘋果筆電充電器那麼大,可以透過Type-C接到你的電腦上面,在本地去幫你跑ZK的generation。它的速度應該也很快,比4090卡的性能高8~10倍,利於開發者做很多事。
Vincent:關於ZK-Depin,其實傳統Depin的想像空間往往侷限在手機挖礦、手錶挖礦這類東西上,但ZK硬體加速截然不同。我們Scroll很快就會有一個去中心化的Prover Market,這個在我們的路線圖中有公佈。我們未來的Prover部分會是Permissionless的市場模式,當然這裡面會牽涉到一些複雜的收益模型,目前這塊的細節還在完善。但我們的方向是確定的,要朝著ZK快速生成的這個方向演進,並且極力避免馬太效應。
Marco:關於剛才那個Cysic的ToC小設備,可以補充兩點,就是Aleo轉帳對這種客戶端本地的ZK生成有需求,如果你在自己的瀏覽器本地生成ZKP的話特別慢, 可能需要十幾分鐘甚至更久。但因為Aleo主打隱私交易,對ZKP生成有剛需,所以Cysic的那種ToC小設備還是很有意義的。
4. Faust:目前的ZK硬體加速賽道上,商業化或是市場化上還沒有解決的痛點有哪些?
Leo :其實我們可以把ZK加速想像成是在做一種Proof of Work,你希望以最快的速度生成ZKP來換取獎勵,這個其實跟傳統PoW公鏈哈希演算法的ASIC沒有本質區別。但ZK的相關演算法很多變,它不像雜湊函數那樣比較固定,在ZK生態裡,不同項目方用的ZK證明系統基本上都不一樣,有的是基於KZG承諾,有的基於FRI,反正基本都不一樣。
身為一個硬體廠商, Cysic其實很希望大家能夠趨於統一,向一個確定的ZK證明系統靠攏,然後我們可以對這個證明系統持續優化並做到極致的加速比,而不是像現在這麼多元化,因為這對ZK加速非常不利。
Marco:我個人覺得其實在演算法改進和效能優化這兩方面有些挑戰與機會並存。去年在ZPrize競賽中的MSM最佳GPU實現方案,按照那個ZPrize 2023年MSN這個GPU的最佳實踐,StorSwift和那個yrrid在2^20的數據量的計算上來看,現在還是在360毫秒以上。如果能再縮小一個數量級的話,ZK比較容易被推廣。上一位來賓提到的證明系統不統一,確實在硬體加速這塊是個顧慮。考慮到投入產出比,各個專案都不敢做太大投入。
Leo:我們其實就是ZPrice今年MSM加速賽道的architect,今年的確比去年有了差不多20%-30%左右的提升。但MSM還需要跟ZK證明產生的其他模組來進行交互,PCIE的效率會成為資料搬運的瓶頸。去年我們做了一個很強大的FPGA機器,可以在10毫秒左右完成2的26次方左右的MSM計算。這已經是可以實現的最大速度了,但依然做不到真正的實時zk證明生成,很多計算步驟還是在幾分鐘的耗時。在我們看來的“即時生成”,是要把任意ZK電路的證明生成時間控制在1-5秒左右,這需要更優秀的方法來實現。
5. Faust:對於ZK Prover Market或ZK挖礦的礦工收益模型,各位怎麼看?
Leo:礦工的主要收益來自於專案方的代幣,例如Scroll、Zksync和Starknet,礦工的收益很大程度取決於專案方的幣價。長期來看會是一個很大的市場,特別是在比特幣減半之後,我覺得ZK應該整個硬體或對於ZK挖礦來說應該是一個逐漸擴大的市場。
Vincent:我們Scroll在ProverMarket有一些研究。 ProverMarket市場的大小將取決於ZK專案的數量和需求。隨著越來越多的專案採用零知識證明技術,對Prover的需求也會隨之增加。這種需求是相輔相成的,這意味著零知識證明技術的普及和應用將推動ProverMarket的成長。
在通用性問題上,多種不同的應用和演算法都有zk硬體加速的需求,例如我們熟知的Snark演算法。但能否實現ZK系統的大統一在於能否開發出涵蓋所有ZK專案的通用應用場景,這需要評估和優化算力的分配,避免算力的分散導緻小型專案資源不足,同時防止已經具有強大算力的項目過度集中資源。
Marco:其實從Aleo這個角度來看的話,我們也在構思Prover Market的方案。如果我要隱私轉賬,那我確實需要人幫我把ZKP算出來,因為我本地算的話太慢了,需要很長時間。那誰幫我算ZKP我願意付錢,其實有一些產品在陸續的提出來,但關鍵的問題在於安全的保障,因為你叫別人幫你算ZKP,你就要把數據提供給他,這裡面有隱私洩漏的麻煩。現在有一些提案在思考如何解決這類問題。
6. Faust:最後是CKB/Nervos公鏈共同創辦人Jan問過的一個問題,像Lumoz還有Polygon都提過Prover Market的概念,但這裡有馬太效應,硬體設備比其他人強的礦工,永遠比其他人先生成ZK證明,絕大多數的挖礦收益最後都會被那麼一兩個大礦工來控制。各位老師認為如何解決不同礦工證明產生效率的差異太大的問題?
Leo:我覺得這是一個亙古不變的話題,就是怎麼平衡效率與公平。這個其實在不同階段可以用不同的做法,可能在一個在初期的階段我們更重視效率一點。是說我們希望為客戶提供更優質、更快速的一個服務,吸引更多的客戶,這樣整個的雪球才會越滾越大。在雪球越滾越大的時候,就可以開始注重公平了。 Cysic自己的硬體就已經開始出貨了,在開始出貨的時候其實是可以購買一些這種性價比挺高的一個硬件,來達到跟大家差不多的一些效率。
從協議設計的角度,你也是可以做出一些相應的調整的。因為在那個時候大家的硬體的速度都有了一個不錯的一個提升。在有不錯的提升的時候,比如說我們假設a是速度最快的,b是速度第二快的,然後c是速度第三塊,就注意這裡a可能是一個群體,b可以是一個群體, c可以是一個群體。你可以透過一些調度來調整,速度稍微慢一些的群體依舊是可以參與的,依舊是可以從中分得一些利益的。
當然公平不能強求,比如說他的投入沒有大礦工的prover那麼高,其實從公平的角度來看也不應該獲得那麼大的一個利潤。這是我們後面會使用的設計哲學。
Marco:這是一個挺難回答的問題。如果從PoW的角度來說,我們會希望把門檻降低,就像Aleo的testnet3的時候,一個proof既可以被4090計算,也能被一個mobile計算,收益是按照能力比來算出來的。如果是為實際業務需求服務,還是希望做的又快又好,誰先算出來誰就贏得激勵,大礦工卷硬體對於ZK需求方是有好處的,但真要解決公平問題,其實很難。
Lynndell:我覺得這個問題順其自然就好,現在比特幣也是這樣,誰的算力大或是礦池的算力,挖到的礦就很多。其他一般使用者根本就沒戲,就只能提供算力加入礦池。所以ZK這邊也是一樣,它跟Pow幾乎是相同的,就是靠算力,這麼一來的話順其自然就行。
APP 
