2024年在香港举办的Web3嘉年华期间,以太坊联合创始人Vitalik Buterin发表了主旨演讲《达到协议设计的极限》。以下是金色财经整理的演讲内容。
区块链与ZK-SNARKS
过去10年里,我们用于构建协议的技术类型发生了很大变化。当比特币在2009年诞生时,它实际上使用了非常简单的密码学形式。比特币协议中唯一使用的加密技术是哈希、椭圆曲线的ECDSA签名和工作量证明。工作量证明只是哈希的另一种使用方式。而如果看看2000年用于构建协议的技术,就会发现这些技术更加复杂,但它们实际上是在10年前才刚刚出现。
现在,很多这样的技术肯定已经存在很长时间了。从技术上讲,自从PCP定理诞生以来,我们就已经有了ZK-SNARKS,该定理已经有几十年的历史了。所以在理论上,这些技术已经存在了很长时间,但在实践中,学术论文中能做的和实际应用中能做的之间存在着巨大的效率障碍。
实际上,我认为区块链本身有很多值得赞扬的地方,因为它实际上助力了这些技术的采用,并将它们真正付诸实践。
现在的情况在过去十年中发生了变化,并取得了巨大的进展。这包括很多不同的事情。我们今天的协议越来越依赖于这些技术。看看2000年构建的协议,所有这些东西从一开始就被视为关键组件。ZK-SNARKS是这里的第一个重要技术吧?ZK-SNARKS是一种技术,您可以通过它更快地验证证明并运行计算,而无需隐藏原始输入中的大量信息。因此,在隐私和可扩展性方面,寻找ZK-SNARKS非常有用。
区块链的作用是什么?区块链给您带来了很多好处,提供了开放性和全球可验证性。但所有这些好处都是以牺牲隐私和安全为代价的。而ZK-SNARKS可以还您隐私和安全。2016年,我们看到了Zcash协议,之后我们开始在生态系统理论中看到越来越多的东西。今天,几乎所有东西都开始建立在ZK-SNARKS上,并开始使用多方计算和完全同态加密。但是有些事情是ZK-SNARKS无法做到的。例如隐私保护、计算和在人们的私人数据上运行。投票实际上是一个重要的用例,您可以在其中获得一定程度的收益。因此,使用ZK-SNARKS进行投票,但如果您想获得最好的属性,那么MPC和FHE是必须使用的。
许多加密和人工智能应用程序最终也会使用MPC和FHE,这两种原语在过去十年中的效率都得到了快速提高。
BLS密钥聚合是一种有趣的技术,它可以让您从许多不同的参与者那里获取一大堆签名,并快速验证组合签名,就像验证一个签名一样。
这是非常强大的。BLS密钥聚合实际上是现代状态共识证明理论的核心技术之一。
如果看看之前建立的状态共识证明,很多时候,算法通常只能支持几百个验证,而现在大约有30,000个验证,因为它们正在提交签名,每12秒一次。这之所以成为可能,是因为这种新形式的密码学在过去5到10年里得到了足够的优化才能使用。
效率、安全和扩展功能
所以很多事情都是由这些新技术带来的。它们变得越来越强大。当今的协议大量使用所有这些技术。我们确实经历了从专用密码学到通用密码学的重大转变,其中创建新协议时,您必须了解密码学如何工作,并为特定用途创建特定算法以实现更通用的目标。在这个世界上,要创建一个使用我在过去5分钟谈到的内容的应用程序,您甚至不需要成为密码学家。您只需要编写一段代码,然后将其编译成验证器和验证者,就可以拥有一个具有历史追溯功能的应用程序。
那么这里有哪些挑战呢?我认为现在有两个主要问题:效率和安全。现在还有第三个问题,即扩展功能。我认为提高我们今天拥有的东西的效率和安全性更加重要。
让我们先谈谈效率。我们以区块链理论为例。理论上说,如果出块时间为12秒,即平均每个区块之间的间隔时间为12秒,在正常的区块验证时间上,这是下级节点验证块所需的时间,大约为400毫秒。现在寻找陷阱、证明平均理论和阻止所需的时间约为20分钟。但两年前,这个时间是5个小时。现在,平均需要20分钟。与两年前相比,我们仍然取得了很大进步。
那么我们的目标是什么?目标是实时证明。目标是在创建一个区块时,您可以在创建下一个区块之前获得证明。当我们实现实时证明时,世界上的每个用户都可以成为协议的完全验证用户。如果我们能够进入这样一个世界,那么每个以太坊钱包,包括浏览器钱包、移动钱包和其他链的智能合约钱包,实际上都在直接验证规则并直接确保区块的正确性。他们甚至不需要相信自己是否更喜欢权益验证,因为他们实际上是直接验证规则并直接确保区块是正确的。那么我们如何利用历史来实现这一点呢?要使其真正发挥作用,ZK-SNARKS证明需要实时进行,但同时需要一种方法可以在5秒内证明理论和区块。那么问题是,我们能实现吗?现在,MPC和FHE也面临类似的问题。正如我之前提到的,MPC和FHE的一个强大用例就是投票。目前,MPC存在的问题是它的某些安全属性依赖于一台中央服务器。我们能去中心化吗?我们可以,但需要更高效的协议。这些协议的成本巨大。
我们如何实现这样的需求?对于ZK-SNARKS,我认为提高效率可以分为三类。其中之一是并行化和聚合。因此,如果想象一下关于区块的理论中,在一次验证中,区块最多需要大约1000万个计算步骤。您可以对每个计算步骤进行证明,然后进行证明聚合。经过大约20次这样的步骤,您就得到了一个代表整个区块正确性的重要证明。这是今天利用现有技术可以实现的。并且可以在5秒内证明劣质区块。它需要大量的并行计算,那么我们可以优化它吗?我们可以优化证明聚合吗?答案是肯定的,关于如何做到这一点,有很多理论想法,但是确实需要将其转化为实际的东西。
在相同的硬件成本和电力成本下,ASIC能够比GPU快大约100倍。倍的哈希处理速度。問題是,我們可以通過嚴格證明獲得完全相同的好處嗎?我認為答案是我們應該能夠。有很多公司已經開始實際構建專門用於證明ZK-SNARKS的產品,但實際上,它應該是非常通用的。我們可以把20分鐘縮短到5秒,進而使效率提高嗎?
所以我們有GKR協議,我們有64位,我們有ZK-SNARKS等各種不同的想法。我們能否進一步提高算法的效率?我們能否創建更多ZK-SNARKS、友好的哈希函數、更多ZK-SNARKS、友好的簽名算法?這裡有很多想法,我強烈鼓勵人們為這些想法做更多的工作。我們擁有所有這些令人驚嘆的密碼學形式,但是人們會不會信任它們?如果人們擔心其中存在某種缺陷,無論是ZK-SNARKS還是zkevm Circuits,它們都有7000行代碼。如果他們做得非常有效的話。理論上,平均每千行代碼有15到50個錯誤。我們努力嘗試。每千行不到15個,但也大於零。如果你擁有這些持有數十億美元人們資產的系統,那麼如果其中一個出現錯誤,那麼無論加密技術多麼先進,這些錢都會丟失。
問題是,我們能做些什麼來真正采用現有的密碼學並減少其中的錯誤數量?
現在,我認為如果一個團體的12人中有9人,即超過75%的人同意存在錯誤,那麼他們就可以推翻證明系統所說的任何內容。所以它是相當中心化的。在不久的將來,我們就會有多重證明。理論上來說,您可以降低其中任何一個的某部分出現錯誤的風險。你有三個證明系統。如果其中一個存在錯誤,那麼希望另外兩個在完全相同的位置不會出現錯誤。
用人工智能工具進行形式驗證
最後,我認為未來值得研究的一件有趣的事情是使用人工智能工具進行形式驗證。實際上,從數學上證明像ZK-EVM這樣的東西沒有錯誤。但你能否真正證明這一點,例如,ZK-EVM實現正在驗證與Gas中的定理實現完全相同的函數。例如,你能證明它們對於任何可能的輸入都只有一個輸出嗎?
在2019年,沒有人認為人工智能可以在今天製作出非常漂亮的照片。我們已經取得了很多進展,我們已經看到人工智能做到了。
問題是,我們是否可以嘗試將類似的工具轉向類似的任務。例如為跨越數千行代碼的程序中的複雜語句自動生成數學證明。我認為這是一個有趣的開放挑戰,讓人們了解簽名聚合的效率。那麼今天以太坊有30000個驗證器,運行一個節點的要求相當高吧?我的筆記本電腦上有一個節點理論,它可以運行,但它不是一台便宜的筆記本電腦。而且我確實必須自己去升級硬盤。期望的目標是理論上的,我們希望支持尽可能多的驗證。我們希望權益證明尽可能民主化,以便人們能夠直接參與任何規模的驗證。我們希望在節點理論中運行的要求非常低,並且非常易於使用。我們希望理論和協議尽可能簡單。
那麼這裡的限制是什麼?限制是每個參與者每個槽的所有數據需要1 Bit,因為你必須廣播誰參與簽名和誰沒有參與的信息。這是在此之上最基本的限制。如果是這樣的話,就沒有其他限制了。計算,無下限。您可以進行證明聚合。您可以對每棵樹進行遞歸,也可以進行簽名。您可以進行各種簽名聚合。你可以使用SNARKS,你可以使用密碼學,就像你可以使用32位SNARKS一樣,各種不同的技術。
關於點對點網絡的思考
問題是,我們能在多大程度上優化簽名聚合——點對點安全?人們對點對點網絡的思考還不夠。這才是我真正想強調的。我認為在加密領域,通常有太多的傾向在點對點網絡之上創建奇特的結構,然後假設點對點網絡可以工作。這裡隱藏著很多惡魔吧?我認為這些惡魔將變得更加複雜,就像點對點網絡在比特幣中的工作方式一樣。
這其中有各種攻擊,如女巫攻擊、拒絕服務攻擊等。但是當你有一個非常簡單的網絡,並且網絡的唯一任務是確保每個人都能得到一切時,問題仍然相當簡單。問題在於,作為一種尺度理論,點對點網絡變得越來越複雜。今天的以太坊點對點網絡有64個分片——為了做一次簽名聚合,為了處理30000個簽名。
首先,就像我們今天所做的那樣,我們有一個點對點網絡,它分為64個不同的分片,每個節點只是其中一個或幾個網絡的一部分。因此,將兩個項目分層並允許Rollup的費用非常低,這是一種有天賦的可擴展性解決方案。這也依賴於更複雜的點對點架構。每個節點只下載全部數據的1/8嗎?你真的能讓這樣的網絡安全嗎?我們該如何保存數據呢?我們如何提高點對點網絡的安全性?
結論
所以,我們需要考慮的是能夠實現密碼學限制的協議。我們的密碼學已經比幾十年前強大得多,但它還可以更強,我認為現在我們真的需要開始考慮什麼是天花板,我們如何真正達到天花板?
這裡有兩個同樣重要的方向:
其中之一就是繼續提高效率,我們想要實時證明一切。我們希望看到這樣一個世界:在去中心化協議的區塊中傳遞的每條消息默認都附加有ZK-SNARKS,證明該消息以及該消息所依賴的所有內容都遵循協議的規則。我們如何才能提高效率以實現這一目標?第二個是提高安全性。從根本上減少出現問題的可能性,讓我們進入一個世界,在這個世界中,這些協議背後的實際技術可以是非常強大和非常值得信賴的。
但正如我們在許多次看到的那樣,多重簽名會被黑客攻擊。在很多情況下,這些Layer 2項目中的代幣實際上是由多重簽名控制的。如果有九分之五的人同時遭到黑客攻擊,就會損失很多錢。如果想避免這些問題,那麼我們需要信任——能夠使用該技術,並以加密方式強制遵守規則,而不是相信一小群人來確保系統安全。
但要真正實現這一點,代碼必須是值得信賴的。問題是,我們能讓代碼可信嗎?我們能讓網絡值得信賴嗎?我們能讓這些協議的這些產品的經濟性值得信賴嗎?我認為這些是核心挑戰,我希望大家能夠繼續共同努力來改進。謝謝。