v神发文简单分析各种二层扩张方案，Optimististic，rollupvsZKrollup？

v神发文简单分析各种二层扩张方案，Optimististic，rollupvs。ZKrollup？

原文标题:Vitalik:Rollups不完全指南。

Rollups解决方案在以太网坊社区很受欢迎，将来有望成为以太网坊的重要扩张解决方案。但是，这个技术到底是怎样的呢？它能给我们带来什么？如何使用这种技术？本文将尽量回答一些关键问题。

块链的扩展方式有两种。第一，可以提高块链本身的交易容量。该技术的主要挑战是，块容量越来越大，块链越来越难验证，中心化程度越来越高。为了避免这种风险，开发人员可以提高客户端软件的效率。或者选择另一种可持续的方法:利用区块等技术，区块链上的区块和验证工作可以分散到许多节点(Eth2的升级将该技术引入以太网广场)。

第二，可以改变使用块链的方法。也就是说，用户不是直接在块链上进行所有交易，而是通过二层协议在链下进行大部分交易。就像链条上有智能合同一样，该合同只有两个任务:处理存款和取款交易，验证所有链条下交易的有效性。检验链下交易的方法有很多，但他们有同样的特性。链上的检验证明书比链下原始计算的成本低得多。

状态通道，vs，Plasma，vsRollups。

二层扩张方案的三种主要类型是状态通道、Plasma、prollups。他们是三种不同的模式，有不同的优缺点。我们可以将所有的二层扩展解决方案大致分为这三类。

请参考更多信息:

https://www.jeffcoleman.ca/state-channlsand.org。

假设Alice正在向Bob提供网络连接，作为交换，Bob每兆字节向她支付0.001美元。他们不需要每次付款都执行交易，而是使用以下两层解决方案。

首先，Bob存在于智能合同中，存在于美元1。Bob在写着0.001美元的票上签字(在一条链下发送信息)，完成了Alice对Ali。第二次付款时，Bob在另一张写着0.002美元的票上签字，送给Alice。以此类推，可根据需要多次付款。他们完成交易时，Alice可以将数值最高的票发布到链上并签字。链上的智能合同验证了Alice和Bob的签名，向Alice支付Bob的票据金额，把剩下的钱还给Bob。

如果Alice不愿意关闭他们之间的状态通道，由于恶意行为或技术故障，Bob领导可以开始提款期，Bob领导可以提款期，Bob领导可以拿回他所有的钱。

该技术功能强大:可调整双向支付，处理智能合同关系(例如，Alice和Bob在通道上签订金融合同，组合通道(例如，Alice和Bob、Bob、Charlie之间有开放通道时，Alice和Charlie也可以进行信赖交易)。

V神嘲笑Quantstamp对ETH.0准备发表的发言:刚才V神在回答网民关于ETH2.0具体发表时间的问题时表示不知道，但Quantstamp说准备发表。他引用外媒晚间报道的《智能合同审计公司Quantstamp说，完成了Consensus开发的Ethereum对2.0客户端Teku的审计，Ethereumt2.0已经准备好发表了》的报道，理论上客户端队伍因为我们没有说发表而生气，他们可以自己来。[2020/10/26]

但是，状态通道的作用是有限的:不能将资金发送给没有参加的用户的通道，逻辑上没有明确所有者的对象(例如Uniswap)，如果要进行更复杂的交易，则需要在通道内锁定很多资金。

请参考更多信息。

最早的Plasma论文:

http://plasma.io/plasma-deprecated.pdf。

Plasmash:

https://ethresear.ch/t/plasma-cash-with-much-less-per-data-checking/1298。

用户向某Plasma链的智能合同发送资产完成存款。Plasma链为该资产分配了唯一的ID。每条Plasma链都有运营商，operator(他可以是中心化的角色，多签名者，或者PoS/DPoS等更复杂的东西)。每隔一段时间(可以是15秒到1小时)，运营商就会产生等待批量处理的总结交易，(由他们在链下收集的所有Plasmat交易组成)。

这些运营商会生成默克尔树，树中的每个索引线X。如果有交易，会显示转移交易资产的ID线X。如果没有交易，叶片值为零。之后，他们把这棵默克尔树的默克尔根发送到链上，同时把各索引x的默克尔分支发送给资产的现在的所有者。

如果用户想提取资金，就必须发表最近发送资产的交易的默克尔分支。然后智能合同将开始挑战期。在此期间，任何人都可以尝试使用其他默克尔分支来证明取款无效。至少需要证明其中之一。(i)发送人在发送资产时不是该资产的所有者(i)发送人后，将资产发送给他人。如果在某个时间段内（如七天）没有人证明该提款属于，用户可以提取他的资产。

Plasma比状态通道具有更强的性能:使用Plasma，用户可以将资产发送给从未参与过系统的参与者的资本要求也相当低。但是，Plasma也有正常操作期间，通道不需要任何数据就可以在链条上传输的缺点，Plasma要求每条链条定期发布哈希。另外，在Plasma转账不是立即的。用户需要等一会儿，等到块发表。

另外，Plasma和通道有确保这两个方案安全的重要弱点。这两个系统控制的对象有逻辑上的所有者。如果该资产的所有者不关心其资产，可能会导致证明该资产无效的结果。这对许多应用程序来说是可以接受的，但对许多其他应用程序来说是破坏交易原则。甚至在一些系统中，如果对象的状态没有经过业主同意就可以更改（比如账号基础的系统，没有经过任何人的同意就可以提升其余额度），这些系统也不适用于Plasma。

v神:比特币矿工为了获得以太网方面的开始命令，可能建立软分支。加密企业家Alex的Masmej在推特上，比特币因供应上限而停止采矿奖励的做法不可持续，但以太网方面解决了这个问题。作为ERC20代币，比特币由以太网坊提供安全保障。Enigma公司联合创始人Guy-Zyskind否认，以太网坊没有比特币，只是有人拿着比特币，给了ERC20代币。对此，以太网广场创始人VitalikButerin回答说，这是完全可能的。也就是说，最终比特币矿工建立软分支，拒绝从比特币方面的地址取款。因为这些地址在以太网广场方面没有有有效的起始命令。GuyZyskind表示，这将非常有趣，并将创造局面。wBTC的安全性等于比特币和以太网广场的安全性。但是，为了让社会达成共识，听起来不太可能吗？至少现在是这样。[2020/9/21]

这意味着，在部署任何实际的Plasma或通道时，都需要大量的某个特定应用的推理，不能创建模拟完整的以太网坊环境或EVM的Plasma或状态通道系统。为了解决这个问题，各种rollup方案出现了。

其他资源参考

Ethhub:onoptimisticrollups:

https://docs.ethub.io/ethereum-roadmap/layer-2-scaling/optimistic_rollups/

ZKrollups:

https://docs.ethub.io/ethereum-roadmap/layer-2-scaling/zk-rollups/

Plasma和通道类是纯的二层方案。因为数据和计算都转移到了链接下面。但围绕数据可用性的基本游戏论题，意味着这些方案不一定对所有应用都是安全的。Plasma和通道方案的解决方法是所有者完全知道状态，但这种方案不能完全通用。Rollups是混合型的两层方案。Rollups将计算(和状态存储)转移到链下，但将各交易的数据放在链上。

为了提高效率，这种方案利用了很多复杂的压缩技术，尽量使用计算替代数据。结果，系统的扩展性仍然受到基础块链的数据带宽限制，但相比之下，太坊基础层ERC20通行证的转移成本约为45000gas，但rollup中的ERC20通行证仅占用16个字节的链上空间，成本不足300gas。

数据在链条上很重要(请注意:将数据放在IPFS上是不可能的。因为IPFS不能提供任何给定的数据共识，所以数据必须记录在链条上)。将数据放在链条上，达成共识，使每个人都能够根据需要在当地处理rollup的所有操作，监视欺诈，开始，自己开始批量生成交易。缺乏数据可用性意味着恶意或离线运营商可能产生的影响甚至更小(例如，他们不能导致一周的延迟)，从而为有权发布批量交易的人打开更大的设计空间，使rollupt更加合理。

声音|V神评价MimbleWimble:只有零知识证明ZK-SNARKs，才能真正保证隐私安全。Draapital的分析师IvanBogaty发表了关于MimbleWimble协议的重大缺陷、Grin网络96%的易破坏性文章。

以太网坊创始人Vitalik在推特上回答说，如果隐私模型设置了中等匿名集，实际上设置了小范围的匿名集。如果隐私模型的匿名集较小，其匿名集为1。全球匿名集(例如，使用ZK-SNARKS技术进行的加密)真的很安全。[2019/11/19]

更重要的是，数据的可用性不足意味着不需要向所有者反映资产，所以我们可以得出以太网坊社区比以前的两层扩张方案对rollups更期待的重要原因之一:rollups屏幕是完全通用的，我们也可以在rollup门内部运行EVM

链上有智能合同。其中包括状态根、rollup状态的默克尔根(rollup内部的账户馀额、合同代码等)。

每个人都可以发表总结交易。这是一个高度压缩的交易集合，包括以前的状态根和新的状态根(处理交易后的新默克尔根)。该合同检查batch中的旧状态根是否符合当前状态根，如果符合，合同将更新状态根。

为了支持存款和提款，增加了在rollup状态外部中输入和输出的交易功能。如果一个batch包括来自外部的输入，提交给该batch的交易也需要将资产转移到rollup。如果一个batch包含外部输出，智能合同将在处理这个batch时开始提款。

这就是rollup的工作原理。但是，如何知道batches中的后状态根是正确的呢？如果有人能以提交任意后状态根的batch，不需要承担任何结果，就可以把rollup中的代币全部转移给自己。这个问题很重要，因为产生了两种不同的解决方案，这两种解决方案又产生了两种不同的rollups。

这两个rollups:

1.Optimistic。rollups的解决方案是欺诈证明书。这样的rollup追踪所有历史状态的根源和每个batch的哈希值。中所述情节，对概念设计中的量体体积进行分析如果发现某个batch后状态不正确，可以向块链发表证明书，证明该batch的计算错误。合同会验证了证明书，并回到了这个batch和之后的batches。

2.ZKrollups，其解决方案是有效的证明书。所有的batch都包名为ZK-SNARK的密码学证明书(例如使用PLONK协议)，证明后的状态是正确的。无论计算量如何，这个证明书都可以在链条上快速验证。

声音|v神:加密货币具有扩展性、中心化和安全性并非不可能。据bitcoinist报道，最后一位博士、纽约大学经济学教授NourielRoubini最近再次发表了关于加密货币的泡沫，只对想使用加密货币的犯罪和逃税者有用，加密货币没有价值等论述。与此相对，以太网坊联合创始人V神(Vitalik)反击了他的许多主张。v神说，加密货币作为支付手段提供的便利是所有人都喜欢的。v神指责末日博士的批评没有考虑采用加密货币的好处。关于该技术的低效率，v神强调加密货币和块链领域目前正在进行技术进步。关于加密货币的三难问题，v神说三难论没有数学证明。同时具有可扩展性、中心化和安全性并非不可能。[2019/4/6]

这两种rollup之间有复杂的权衡

总的来说，我个人的观点是，在短期内，optimisticrollup的显着优势在于通用的EVM计算，ZKrollup的支付、交易等特定用例更有可能使用。但是，从中长远来看，随着ZK-SNARK技术的成熟，ZKrollup将在所有用例中发挥优势。

解构欺诈证明书。

Optimisticrollup的安全性保障主要来自于，如果有人在rollup中发表无效的batch，其他跟进该链的用户可以监视欺诈行为发行欺诈证明书，向合同证明该链的无效性，回答。的双曲馀弦值。的双曲馀弦值。

上图显示，某batch。无效的欺诈证明书包含绿色数据。如果要证明特定账户被该batch读取或修改，则需要该batch本身(可以检查存储在链上的哈希值)和Merkle树的各部分。的双曲馀弦值。的双曲馀弦值。不需要提供图中的黄色节点。因为他们可以重建绿色节点。该数据已足以执行batch，计算后的状态基本相同(与无状态客户端进行单块检查的方式基本相同)。如果计算的后状态根和获得的batch中的后状态根不一致，则该batch无效。

如何压缩？

简单的以太网交易(发送ETH)，大约是110。在rollup上进行ETH转账，大小只有约12。

其中一部分只是简单的高级代码:以太网广场的RLP代码方式会浪费每个值。但其中包括机智的压缩技术

Nonce:该参数的主要目的是预防重放攻击。如果账户当前随机数为5，该账户的下一笔交易记录必须包含随机数为5，但交易一经处理，该账户的随机数将增加到6，因此无法再次处理该交易。在rollup中，我们可以完全省去随机数量，因为我们可以直接从以前的状态恢复随机数量。如果有人试图使用以前的随机数量重放交易，签名将无法验证，因为签名将根据包含高随机数量的数据进行检查。

v神:块链交叉技术的大规模应用从1年到2年内爆发:以太网坊创始人Vitalikbuterin最近接受采访，跨链加密货币交易的技术也应用于其他领域。现在最大的挑战还是很少的块链实际应用和使用者，现在除了个别领域以外，还没有开始实施跨链应用的时机。但我认为，在一两年内，我们一定能看到这方面应用的大规模增长。[2018/3/15]

Gasprice:我们可以允许用户在固定的gas价格范围内支付。例如，2小时的16小时。或者我们可以在每个batch中获得固定的gas，甚至可以将gas的支付完全移出rollup协议，让交易者使用通道向batch创建者支付相应的费用。

Gas:同样，我们可以把总gas设定为2次以上的应该形式。或者我们也限制gas，在batch的水平上。

To:你可以用index代替20个字节的地址。(例如，如果某个地址被添加到默克尔树中的第4527个地址，我们只需要用index4527来表示。然后给状态添加子树，存储index和地址本身的映射关系。

Value:我们可以用科学记数法保存价值。大多数情况下，交易只需要1-3个有效的位置。

Signature:我们可以使用BLS聚合签名将大量签名汇集成约32-96字节(根据协议)。该集合签名可根据信息集和batch发送者集一次检查。表中的~0.5表示集合签名中可包含的签名数量有限。因为有必要在欺诈证明书上验证集合签名。

ZKrollups的重要压缩技术之一是，如果交易的一部分信息只用于验证，不用于计算状态的更新，则该部分可以移动到链接下。Optimistic、rollup无法实现。因为这个数据还需要链条，所以有时需要在欺诈证明书上检查。在ZKrollup中，SNARK证明了batch的正确性，即验证所需的数据已经完成。

具有隐私保护功能的rollups是重要的例子。在optimististirollup中，在各交易中用于隐私保护的ZK-SNARK证明书需要连锁，需要占据约500个字节。在ZKrollup中，包括batch在内的ZK-SNARK已经证明了内部ZK-SNARK。

这些压缩技术是rollups扩展性的关键，否则rollups扩展性比下层只能提高约10倍(对于某些特定的计算密集型应用程序来说，简单的rollups方案已经足够)，压缩数据后，几乎所有的应用程序

谁能批量打包交易并提交？

关于optimistic、rollups、ZK、rollups的包装权有很多说法。一般来说，想包装交易提交的用户必须锁定大量存款。如果用户提交了包含欺诈/无效交易的batch(例如包含无效状态根)，则该用户的部分存款将被销毁，另一部分将作为欺诈证明人的奖励。此外，还有其他可能性

完全无政府状态:任何人都可以随时批量包装交易提交。这是最简单的方法，当然也有缺陷。特别是很多参加者同时试图提交，但最终只能成功包装一个batch。这将导致大量生成证书的工作和/或发布，batches被浪费。

中心化处理:有一个行为者，即排名者。如果排名没有在下一个batch中处理这个提款，用户可以自己提交batch)。这是最高效的方法，但依赖于中心化的角色。

排名者拍卖:定期拍卖，决定谁有权成为下一个周期的排名者。其优点是可以筹集资金，通过rollup控制的机制(例如DAO)进行分配。(参见MEV拍卖)

PoS集随机选择:每个人都可以以将ETH(或者将ETH(或者将Rollup协议的代币)存入rollup购买合同，在存款人中随机选择各自的batch排名者，选择的可能性与锁定资产成为一定的比例。这种方式的主要缺点是大量资本被锁定，不必要。

DPoS投票:通过拍卖确定排名者，如果该行为者表现不佳，代币所有者可以通过投票驱逐，开始新的拍卖。

批量包装和状态根处理独立。

目前开发的部分rollup项目采用独立批量包装的方式，即提交二层交易的batch和提交状态的过程分离。这种做法的优点是:

1、让多个排名者同时发布batches，提高扛审性，避免了因为一些batches被先包装而导致其他batches无效的问题。

2.如果某个状态根部无效的话，我们不需要回转整个batch，只需要回转状态根部，等待别人提供应该batch的新状态根部。这保证了交易者的交易不会回来。

总而言之，在效率、简洁性和耐审查性等方面的权衡非常复杂，很多方案也在探索。现在判断哪个概念是最好的组合，时尚早，时间证明一切。

rollup能扩大多少？

在现有的以太网坊链上，gas上限为1250万，交易中，每个字节的数据费用为16。这意味着，如果一个区块只包含一个batch(我们说相当于包装了一个zkrollup，那么在证书验证上花费了50万gas，那个batch可以包含(12002000万美元/16)75万美元的字节数据。如上所示，对于以太网广场转账的rollup，每次用户操作只需要12个字节，也就是说，该批次交易可以包括6万25千笔交易。目前平均出块时间为：13、秒，即相当于每秒4807左右的笔交易。（相比之下，目前直接在以太网坊转账为每秒1250万/21000/13~=45笔交易）

以下表格是其他例子:

扩张的最高水平是这样计算的:(一楼的gas消费)/(rollup所占的字节*16)*1200万/1250千万。

现在值得注意的是，这些数据过于乐观，有几个原因。最重要的是，一个块几乎不能只包含一个batch。因为至少有很多rollup。第二，存款和提款行为一直存在。第三，短期内用率低，固定成本占主导地位。但是，即使考虑到这些因素，超过100倍的扩张水平也有望成为常态。

如果我们想每秒成交量达到1000-4000呢（取决于特定用例）？这是eth2数据片发挥作用的时候了。片段协议为每12秒提供16MB的空间容纳任何数据，系统确保数据可用性的共识。数据空间可用于rollup。这是每秒1398kb的空间，比现在以太网坊链上每秒约60kb的空间提高了23倍，更长期来看，数据容量有望继续增加。因此，使用eth2分片数据的rollup可以每秒批量处理约10万笔交易的吞吐量，将来可能会更多。

Rollup有什么未解决的困难？

尽管rollup的基本概念现在已经被人们所了解，但我们确信它们是完全可行和安全的，现在很多rollup已经部署在主网上，但是rollup设计还有很多领域没有被充分探索，桥梁以太网生态的大部分活动都移动一些重要的困难包括:

用户和生态入驻-使用rollup的应用很少，用户也不熟悉rollup，只有少数钱包开始集成rollup。业者和慈善机构也不支持这种支付方式。

跨rollup交易-有效地从rollup移动资产和数据(例如，预言机输出)另一个，不需要基础层的费用。

审计激励-如何最大限度地提高诚少一个诚实的节点，完全验证一个诚实的节点，发表欺诈证明书？对于小型rollup来说，这个问题并不大，因为对于矿工来说只是举手工作，但对于大型rollup来说，有必要说服矿工进行验证。

探索plasma、rollup之间的设计空间-有技术吗？不是所有的数据，而是在链上更新有关的数据，这些数据有用吗？

最大限度地提高提前确认的安全性-很多rollup为了更快的用户体验(UX)提供提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认提前确认但是，该方案的经济安全性有限。因为排名者可以同时向很多人保证很多。这个机制能改善吗？

提高缺席排名者的反应速度-如果一个rollup的排名者突然离线，在最短的时间内以最低的成本从这种情况恢复是很重要的，方法不是快速而低成本地大规模地退出另一个rollup，而是改变排名者。

高效ZK-VM-生成。ZK-SNARK证明，通用的EVM代码(或者现有的智能合同可以编译的不同VM)的折扣正确执行，得出了结果。

Rollup是一种强大、新颖的二层扩张模式，有望成为以太网研讨会中短期未来(也许是长期)扩张的基石。以太网坊社区已经表现出对rollup的强烈兴趣。与以前在二楼扩张的尝试不同，可以支持通用的EVM代码，使现有的应用程序容易转移。Rollup有一个重要的妥协:交易处理不是完全在链条下进行，而是在链条上留下一些数据。

Rollup有很多种类，设计空间有很多选择。可以是使用欺诈证明书的optimisticrollup，也可以是使用有效证明书(ZK-SNARKs)的zkrollup。排名者(可以发布包装的batch到链条的用户)可以是中心化的行动者、自由放任者或者两者之间的可能性。Rollup还是早期的技术，其开发正在迅速进行中，但其可行性高，其中也有路印、ZKSync、DeversiFi等。期待今年rollup能有更多振奋的成果。

来源，vitalik.ca。

作者|Vitalik，Buterin。

原文链接:

https://vitalik.ca/general/2021/01/05/rollup.html。

原文标题:Vitalik:Rollups不完全指南。

来源，vitalik.ca。

作者|Vitalik，Buterin。

原文链接:

https://vitalik.ca/general/2021/01/05/rollup.html。

标签：

火币热门资讯