IOSG Weekly Brief ｜ZKVM生存之道，一文詳解派系之爭_ISA:ISC

目錄

ZKP證明系統的電路實現-基于電路(circuit-based)VS基于虛擬機(vm-based)ZKVM的設計原則STARK-basedVM之間的比較為什么Risc0讓人興奮寫在前面：

過去的2022年關于rollup主要的討論焦點似乎都集中在ZkEVM，但是別忘記ZkVM也是另一種擴容手段。雖然ZkEVM并不是本文的重點，但是值得回味一下ZkVM與ZkEVM之間的的幾個維度的不同之處:

1.兼容性：雖然都是擴容，但是側重點并不同，ZkEVM的側重點在于直接實現與現有EVM的兼容，而ZkVM的定位在于實現完全的擴容，也就是將dapp的邏輯以及性能提升到最優，兼容性并不是首要的。底層搭好了，EVM兼容也可以實現。

2.性能：兩者都有比較可以預見的性能方面的瓶頸，ZkEVM主要瓶頸在于兼容EVM這樣一個并不適合封裝在ZK證明系統時產生的多余成本。ZkVM的瓶頸在于因為引入了指令集ISA,導致最終輸出的約束更復雜。

3.開發者體驗：TypeIIZkEVM(如Scroll,Taiko)主打的是對于EVMBytecode的兼容，換句話說就是Bytecode級別及其以上的EVM代碼都可以通過ZkEVM產生對應的零知識證明。對于ZkVM來說，有兩個方向，一個方向是做自己的DSL(如Cairo),另一個則是目標兼容現有的比較成熟的語言如C++/Rust（如Risc0)。未來我們預計原生的solidity以太坊開發者會可以無成本遷移至ZkEVM，而更新更強大的應用則會跑在ZkVM上。

很多人應該還記得這張圖,CairoVM事不關己游離于ZkEVM派系斗爭的本質原因是設計思想的不同。

EDX Markets與Solidus Labs合作提供綜合交易監控:金色財經報道，加密貨幣交易所EDX Markets(EDX)宣布，它已與Solidus Labs合作，提供跨領域的交易監控。Solidus Labs的HALO是一個專為數字資產量身定制的自動化、全面且可測試的貿易監控和市場誠信中心，目前用于監控150多個市場每天超過2.5億個事件和16萬億美元的鏈上和鏈下交易量，保護超過2500萬個人和機構投資者。

EDX將利用Solidus Labs的機器學習檢測模型和通用客戶風險概況功能來識別其平臺上的異常或可疑活動，并審查和協調適當的風險應對措施。[2023/8/10 16:18:11]

在討論ZkVM之前，我們首先思考的是如何在區塊鏈中實現ZK證明系統。大致上，有兩種方法實現電路-基于電路的系統(circuitbased)以及基于虛擬機的系統(vm-based)首先，基于電路的系統的功能是將程序(program)直接轉化為約束條件(constraints)并送入證明系統(provingsystem)；基于虛擬機的系統通過指令集(ISA)執行程序，在此過程中產生執行軌跡(executiontrace)。這個執行軌跡之后會被映射成約束條件，然后被送入證明系統。對于一個基于電路的系統，程序的計算由執行程序的每臺機器(machine)進行約束。而對于基于虛擬機的系統，ISA被嵌入到電路產生器(circuitgenerator)中，并產生程序的約束(constraints)，同時電路產生器有指令集、運行周期、內存等等限制。虛擬機提供了通用性，即任何機器都可以運行一個程序，只要該程序的運行條件在上述限制范圍內。

在虛擬機中一個zkp程序大概經歷如下的流程：

香港證監會正積極研究代幣化的好處，希望與業界就此進行討論:6月8日消息，香港證券及期貨事務監察委員會 (SFC) 金融科技部門負責人兼許可總監Elizabeth Wong周一在香港投資基金協會的一次會議上表示：“如果實施得當，區塊鏈可以提高透明度并減少結算時間，這些可以應用于資金的代幣化。我們支持代幣化，很樂意與業界就將公共基金代幣化進行討論。”Wong還表示，該監管機構正在積極研究代幣化的好處，同時確保“如果使用代幣化，投資者的境況不會變得更糟”；證監會最關心的是網絡安全，以及能否確保代幣本身不受黑客攻擊，且沒有漏洞；證監會渴望了解這些挑戰，并愿意與行業參與者合作。

此外，香港證監會周一表示，將對尋求將其投資組合投資于虛擬資產的基金經理采用相同的行為準則，并針對虛擬資產特有的風險和擔憂進行調整。Wong表示，證監會將不斷修改和發展其政策，讓散戶投資者更好地獲得加密貨幣投資。[2023/6/8 21:23:12]

圖片來源:?Bryan,?IOSGVentures

優缺點:

-從開發者(developer)的角度來看，在基于電路的系統中開發通常需要對每個約束條件的成本有深入的了解。然而，對于編寫虛擬機程序來說，電路是靜態的，開發者需要更關心的是指令(instructions)。

-從驗證者(verifier)的角度來看，假設使用相同的純SNARK作為后端，基于電路的系統和虛擬機在電路的通用性方面有很大的不同。電路系統對每個程序產生不同的電路，而虛擬機對不同程序產生相同的電路。這意味著，在一個rollup中，電路系統需要在L1上部署多個驗證合約(verifiercontract)。

-從應用(application)的角度來看，虛擬機通過將內存模型(memory)嵌入到設計中，使應用程序的邏輯更加復雜，而使用電路系統的目的是為了提高程序的性能。

國際證監會組織確認在本季度就加密貨幣的監管展開磋商:金色財經報道，國際證監會組織（IOSCO）確認計劃在本季度（第二季度）就加密貨幣和數字資產的監管展開磋商，并在年底前提交最終報告。另一個工作組專注于 DeFi 監管，其咨詢計劃于今年第三季度進行，并在年底前提交最終報告。該時間是?IOSCO 2023/24 工作計劃的一部分。[2023/4/7 13:49:27]

-從系統復雜性(complexity)的角度來看，虛擬機將更多的復雜性納入系統，如內存模型、主機(host)和客戶(guest)之間的通信等，相比之下電路系統更簡潔。

以下是目前L1/L2中基于電路和基于虛擬機的不同的項目預覽:

圖片來源:?Bryan,?IOSGVentures

虛擬機的設計原則

在虛擬機中，有兩個關鍵的設計原則。首先，確保程序被正確執行。換句話說，輸出(output)與輸入(input)應當正確匹配。一般這是通過ISA指令集完成的。其次，確保編譯器(compiler)在從高級語言轉換為適當的約束格式時能正確工作。

1.ISA指令集

規定了電路產生器的工作方式。它的主要責任是將指令(instructions)正確地映射到約束條件(constraint)中，這些約束條件隨后被送入證明系統(provingsystem)。zk系統使用的都是RISC(精簡指令集)。有兩種ISA的選擇：

第一種是自建一個自定義的ISA(customISA)，這在Cairo的設計中可以看到。一般來說，有如下四種類型的約束邏輯。

99,000,000USDC在USDC Treasury鑄造:金色財經報道，99,000,000 #USDC (99,056,100 USD)在USDC Treasury鑄造。[2022/11/1 12:03:11]

自定義ISA的基本設計重點是確保約束條件盡可能少，從而使程序的執行和驗證都能快速運行。第二種是利用現有的ISA(existingISA)，這在Risc0的設計中被采用。除了以簡潔的執行時間為目標外，現有的ISA還提供了額外的好處，如對前端語言(front-endlanguage)和后端硬件(backendhardware)友好。一個問題是，現有的ISA會不會在驗證時間上有所落后的低級代碼表示。有兩種方法，

設計一個基于現有zk電路表示(existingcircuitrepresentations)的編譯器--比如說在ZK中，電路表現形式從Bellman這樣的可以直接調用的庫(library)和Circom這樣的低級語言開始。為了聚合不同的表現形式，Zokrates這樣的編譯器旨在提供一個抽象層，可以編譯成任意的更低級表現形式。基于編譯器基礎設施(compilerinfrastructure)來構建。基本邏輯是利用一個針對多個前端和后端的中間表現形式(intermediaterepresentation)。Risc0的編譯器是基于multi-levelintermediaterepresentation，可以生成多個IR。不同的IR給開發者帶來了靈活性，因為不同的IR有各自的設計重點，例如其中有一些的優化是專門針對硬件，所以開發者可以根據自己的意愿進行選擇。類似的想法在使用GCC的vnTinyRAM和TinyRAM中也可以看到。ZkSync也是另一個利用編譯器基礎設施的例子。

EthHub聯創：Aave已更新前端，受Tornado Cash“空投”影響地址或已解除封禁:8月13日消息，EthHub聯合創始人Anthony Sassano（sassal.eth）發推稱，Aave似乎已經更新了他們的前端，我的個人地址sassal.eth已不再被阻止訪問。

Sassano進一步澄清道：“我沒有聯系Aave團隊，并要求他們解除對我的屏蔽。我相信每個從Tornado Cash收到0.1 ETH的地址現在都被解除封禁了。”[2022/8/13 12:23:32]

此外，你還可以看到一些針對zk的編譯器基礎設施，如CirC，它也借用了LLVM的一些設計理念。

除了上述兩個最關鍵的設計步驟外，還有一些其他的考慮因素：

1.系統的安全性(security)和驗證的成本(verifiercost)之間的權衡

系統使用的比特數越高，意味著驗證的成本越高。安全性反映在密鑰生成器。

2.與前端和后端的兼容性(compatibility)

兼容性取決于為電路的中間表示(intermediaterepresentation)的有效性。IR需要在正確性和靈活性之間取得了平衡。如果IR最初是為解決像R1CS這樣的低度(low-degree)約束系統而設計的，那么與其他更高級別(high-degree)的約束系統如AIR的兼容就很難。

3.為提高效率需要手工制作(hand-crafted)電路

使用通用模型(generalpurpose)的缺點是，對于一些不需要復雜指令的簡單操作，其效率較低。

簡述一下先前的一些理論，

Pinocchio協議之前:實現了可驗證的計算，但驗證時間非常慢Pinocchio協議:?在可驗證性和驗證成功率方面提供了理論上的可行性，是基于電路的系統TinyRAM協議:?相對于Pinocchio協議，TinyRAM更像一個虛擬機，引入了ISA，因此擺脫了一些限制，如內存訪問(RAM)、控制流(conttrolflow)等vnTinyRAM協議:?使得密鑰生成(keygeneration)并不取決每個程序，提供了額外的通用性。擴展電路產生器，即能夠處理更大的程序。上述模型都以SNARK作為其后端證明系統，但是特別是在處理虛擬機時，STARK和Plonk似乎是一個更合適的后端，從根本上說是由于其約束系統更適合于實現cpu一樣的邏輯。

接下來，本文會介紹三個基于STARK的虛擬機-Risc0,MidenVM,CairoVM。簡而言之，除了都以STARK作為證明系統外，它們各自有一些不同:

-Risc0利用Risc-V來實現指令集的簡潔性。R0在MLIR進行編譯，這是LLVM-IR的一個變種，旨在支持多種現有的通用編程語言，如Rust、C++。Risc-V還有一些額外的好處，比如對于硬件較為友好。-Miden的目標是與以太坊虛擬機兼容，本質上是EVM的rollup。Miden現在有自己的編程語言，但也致力于在未來支持Move。-CairoVM是由Starkware開發的。這三個系統所使用的STARK證明系統是由EliBen-Sasson發明的，目前Starkware的總裁。讓我們更深入地了解它們的區別：

*如何讀懂上面的表格？一些注解...

●Wordsize?-由于這些虛擬機所基于的約束系統是AIR，其功能與CPU架構類似。所以選擇CPU字長比較合適。

●Memoryaccess-Risc0使用寄存器(register)的原因主要是Risc-V指令集是基于寄存器的。Miden主要使用堆棧(stack)來存儲數據，因為AIR的功能與堆棧類似。CairoVM沒有使用通用寄存器(general-purposeregister)，因為Cairo模型中的內存訪問(mainmemory)成本較低。

●Programfeed-不同方法是有取舍的。例如，對于mastroot方法來說，它需要在處理指令時進行解碼，因此在執行步驟較多的程序中下證明者的成本較高。Bootloading方法試圖在保持隱私的同時在證明者成本和驗證者的成本之間取得平衡。

●Non-determinism-非確定性是NP-complete問題的一個重要屬性。利用非確定性有助于快速驗證過去的執行。反過來說，它增加了更多的約束條件，因此在驗證方面會有一些妥協。

●Accelerationoncomplexoperations-?有些計算在CPU上運行很慢。例如，位操作，如XOR和AND，哈希程序(hashprogram)，如ECDSA，還有范圍檢查(range-check)......大多是區塊鏈/加密技術的原生但不是CPU原生的運算。直接通過DSL來實現這些運算會很容易導致證明的周期(cycle)耗盡。

●Permutation/multiset(排列/多列組合)?-在大多數zkVM中大量使用，有兩個目的--1.通過減少存儲完整的執行軌跡(executiontrace)來降低驗證者的成本2.證明驗證者知道完整的執行軌跡

文章最后筆者想談談Risc0目前的發展以及其讓我興奮的原因。

R0目前的發展:

a.自研的"Zirgen"的編譯器基礎設施正在開發中。將Zirgen與一些現有的zk專用編譯器的性能進行比較會很有趣。

b.一些很有意思的的創新，如fieldextension，可以實現更堅實的安全參數以及在更大的整數上進行操作。

c.見證了在ZK硬件和ZK軟件公司之間的整合中看到的挑戰，Risc0使用了一個硬件抽象層，以便在硬件方面進行更好的開發。

d.Stillawork-in-progress!還在開發中！

?????-支持手工制作的電路(hand-craftedcircuits)，支持多種哈希算法。目前，專用的SHA256電路已實現，然而還不能滿足所有的需求。筆者相信具體選擇優化哪類電路取決于Risc0所提供的用例(usecase)。SHA256是一個非常好的起點。另一方面，ZKVM的定位給人以靈活性，例如，只要他們不想，就不必去管Keccak:)

????-遞歸(recursion)：這是一個很大的話題，筆者傾向于不在該報告進行深入研究。需要知道的是，隨著Risc0傾向于支持更復雜的用例/程序，更迫切地需要遞歸。為了進一步支持遞歸，他們目前正在研究一個硬件端的GPU加速方案。

????-處理非確定性(non-determinism)：這是ZKVM必須處理的一個屬性，而傳統的虛擬機是沒有這個問題的。非確定性可以幫助虛擬機執行得更快。MLIR相對更擅長處理傳統虛擬機方面的問題，而Risc0如何將非確定性嵌入到ZKVM系統設計中值得期待。

WHATEXCITESME:

a.簡單且可驗證！

在分布式系統中，PoW需要高水平的冗余，因為人們不信任他人，因此需要重復執行相同的計算來達成共識。而通過利用零知識證明，狀態的實現應該和同意1+1=2一樣容易。

b.更多更實際的用例：

除了最直接的擴容外，更多有意思的用例將變得可行，比如零知識機器學習、數據分析等。相比于Cairo這樣的特定的ZK語言，Rust/C++的功能更普適且更強大，更多web2的用例跑在Risc0VM上。

c.更具包容性/成熟的開發者社區:

對STARK和區塊鏈感興趣的開發者不必再重新學習DSL，使用Rust/C++即可。

Tags：ISCIONISAARKgenesischainBullionixISACPARK價格

TRX