去中心化金融（DeFi）運動誓言要讓金融世界平等化，要讓它更爲公平和透明。但是，DeFi 若要在全球範圍內實現這個目標，像以太坊這樣的去中心化區塊鏈就需要拓展吞吐量！這就意味着我們要運用新的密碼學證明方案（有些人會把這些方案統稱爲 “零知識證明”、“ZKP”）。

像 zk-STARK 這樣的密碼學證明系統（ 很快 就要 部署 到以太坊主網上）並不是唯一的解決方案。其它辦法包括 Plasma、以太坊 2.0、許多所謂的 “以太坊殺手” 提出的方案，還有最近的 Optimistic Rollup 方案。

在本文中，我們將解釋去中心化的密碼學貨幣當前面臨的挑戰、各密碼學證明系統解決這些問題的路徑，以及爲什麼說 zk-STARK 最適合於解決這個問題。

去中心化與處理量擴展

我們身處的時代，是計算機系統吞吐量不斷提高的時代。從帶寬，到存儲空間，再到一塊屏幕上的像素點數量，每一樣都在不斷提高。那麼，爲什麼要提高比特幣和以太坊的交易處理速度（用 TPS “每秒交易處理量” 來衡量）這麼困難呢？

答案是我們還想要保證去中心化。區塊鏈保持免許可性的先決條件是：每一個使用普通筆記本的用戶都能驗證交易歷史的完整性。這裏有一個核心原則，我們稱之爲 “包容的可追責性”，意思是：我們不能操之過急地提高系統的處理能力，否則它會退化成一箇中心化的支付系統，只有少數幾個財閥來控制的那種（也就是 “現在的金融系統”）。

- 我們必須打破區塊鏈三難困境，創造一個不同於傳統系統的去中心化金融系統 -

因此，所有的擴展方案，包括 Plasma、Optimistic Rollup 和我們的方法（基於密碼學證明系統，通常被稱爲 ZK Rollup 方案），都引入了兩類不同的實體：一小羣 “強大的” 參與方，需要投入大量的資源來執行密集的計算；還有一大羣節點，這些節點負責驗證交易、保證強大參與方產生的計算結果是可審計的。

如何能夠在保證去中心化的同時擴展吞吐量呢？那就讓強大的參與方來計算、而弱小的參與保證來保證可審計性唄。強大參與方是不是惡意的不重要，重要的是弱小的參與方能保證可追責性！

在深入細節之前，我們先來看看密碼學證明系統。

你得懂點密碼學證明系統

密碼學證明系統 始創於 1980 年；它對免准入型區塊鏈的巨大價值，導致區塊鏈領域在近年出現了新理論建構和新協議的 寒武紀大爆發 。在下文中，我們僅聚焦於 STARK，這也是我們 StarkWare 團隊準備帶給市場的一類證明方案。

密碼學證明系統中通常包含兩類角色：證明者和驗證者。

• 證明者 ：證明者希望像驗證者證明某個計算型陳述是正確的，例如 “ 我已經處理了這 10000 筆交易，而結果數據庫的哈希值爲 X ”。驗證者會爲這個計算型陳述提供一個證據，併發送給驗證者。
• 驗證者 ：驗證者會驗證該證據 —— 而不是天真地重複原本那個計算過程 —— 如果證據能通過驗證，則驗證者會相信證明者的陳述爲真。

注意！在類似 STARK 這樣的密碼學證明系統中， 證明者和驗證者的計算負擔是不對稱的 ！

比起單單執行原本的計算過程，證明者的計算開銷要大得多；而驗證者則相反，得益於驗證者已經付出的巨大開銷，驗證者要執行的計算量比原本的計算過程要小得多，比如，如果原本需要執行 10000 筆交易，那驗證者只需付出 10 筆交易的計算開銷就夠了。

此外，密碼學證明系統可以用來隱蔽輸入（在上述例子中，那 10000 筆交易的細節都可以隱蔽掉）；這樣的密碼學證明系統就被稱作是 “ 零知識的 ”，縮寫就是 ZK-STARK。

密碼學證明系統如何擴展 DeFi？

那麼，今天的密碼學證明系統究竟能在哪些方面幫到 DeFi 呢？

1. 可擴展性
2. 隱私性
3. 公平性

我們一個一個來。

1. 用 STARK 提高可擴展性

我們回到最根本的那個挑戰：保持包容可追責性的同時擴展以太坊吞吐量。我們需要一種技術，既能大幅提高吞吐量（方法是把計算負擔分配給少量的 “強大 參與者”），同時許多 “弱小參與者” 可以完全驗證這些強大參與者的計算完整性（computational integrity），而且，還不會增加弱小參與者的負擔。其它擴展方案，比如 Plasma 和 Optimistic Rollup 都依賴於錯誤性證明（Fraud Proof），而我們在 這篇文章 裏解釋過爲什麼密碼學證明系統是更好的解決方案（編者注：中譯本見文末超鏈接《有效性證明 vs. 錯誤性證明》）。

使用 STARK 的可擴展性（驗證的速度是構造證明的速度的指數級），我們可以放膽讓任何強大的實體成爲證明者，哪怕是黑武士父子（Darth Vader & Sons，《星球大戰》中的大反派）控制的傀儡也沒問題。這裏的關鍵在於，強大證明者要爲自己的所有操作附加一個簡潔的證據，而所有的弱小節點都可以輕而易舉地驗證這些證據。因此，通過 STARK（以及其它的密碼學證明系統），我們就可以保證包容的可追責性，同時提供幾乎無限的吞吐量擴展（嚴格地來說，我們 “只能” 做到指數級擴展）。

說得更細一些，ZK Rollup 可擴展性解決方案的基礎是讓大的計算任務（或者一大批小的計算任務）在鏈下執行，鏈下的計算資源富足得多；然後生成出計算執行過程的有效性證明併發送到區塊鏈上（伴隨着一個對新狀態的承諾）；然後由一個驗證者智能合約來驗證這些證明。通過驗證之後，網絡參與者就能相信整個計算是有效的（同時不需要信任任何一個實體）。正是因爲我們沒有任何信任假設，我們才能公正地接受一個有效性證據，哪怕是黑武士發出的也沒關係。

這可不是嘴上說說 —— 下週你就能在主網上使用了！

這些都不是停留在紙面上的東西了：使用 StarkEx，我們的擴展性引擎，我們已經實現了 每秒超過 9 千筆自主託管型交易的吞吐量 了（比起以太坊主網是 2000 倍的提升）！而且，這還不是極限：我們不受區塊鏈資源的限制，僅受雲資源的限制。

端到端的交易產品即將上線主網。

第一個由 StarkEx 引擎支持的 DeversiFi 去中心化交易所將在下週上線 。而且 StarkEx 支撐的一個 NFT 交易所 也在緊鑼密鼓地開發中，將能支持遊戲內資產的交易。

2. ZKP 增強隱私性

提高交易處理速度並不是公鏈走向大衆化的充分條件。我們還需要隱私性。

公鏈的先驅在發現 ZKP 對可擴展性的好處之前，就已經發現了 ZKP 對隱私的好處。 Zcash 區塊鏈 ，啓動於 2016 年，是第一個用 ZKP 方案來提供隱蔽交易的系統。

隱私對於實現一個高效市場來說也是很關鍵的。交易員們在市場中交易時，既希望自由自在，又希望不會暴露自己的獨門信息。免准入的區塊（以及 DeFi），在設計上是完全透明的：爲了讓所有的小節點都能驗證區塊鏈的狀態而無需引入任何信任假設，所有的交易都會在鏈上公開。

因此，挑戰在於：如何能夠獲得隱私性，又不至於犧牲 DeFi 的免信任性呢？可以藉助 ZKP 的零知識屬性！

如上所述，零知識證使我們可以在不公開私密輸入的前提下證明一個計算型陳述。這種屬性應用在區塊鏈上，就能讓獨門信息被包含在私密輸入中，證據完全不會暴露這個輸入。結果就是皆大歡喜：隱私又能得到保護，同時任何人都能驗證區塊鏈的狀態，還不用引入信任假設，完美。

這個更不是吹牛，你已經能用了！

有多個團隊已經在以太坊上用 ZKP 做了隱私增強方案，包括 Tornado.cash 和 AZTEC 。Tornado 使用了混幣器方法，而 AZTEC 使用了交易池方法（哪個 更高效 呢？）。我們預計還會出現其它方案。

注意：有隱私不代表反監管。市場參與者對隱私的需求可以和監管者觀察和監控市場健康度的需求並存。舉個例子：一個企業可以創建一個交了稅的零知識證明，而不是把自己所有的賬本共享給收稅者。企業的隱私得到了保護，監管者也能相信稅收已經徵收完畢（這樣的例子還可見 此處 ）。

3. ZKP 增強公平性

市場的公平性不僅在哲學玄思中有意義。交易員會遠離他們認爲不公平的交易場所，因此，公平性對流動性是有幫助的。損害市場公平性的辦法有很多種，但大部分的辦法都包含系統運營者（例如交易所自身）濫用提前知情權作爲其中一環。ZKP 可以幫助參與者保證運營者不能濫用自身特權、不能偏袒。

一個很顯著的例子是搶跑交易（front-running）。搶跑交易就是做市商利用提前信息、搶在其他人知道該信息以前交易，這是不合法的。關於搶跑交易對市場的影響，大家的估計有所出入，但公認的結論是影響巨大而且不利於市場的效率。

ZKP 可以解決搶跑交易的問題，因爲交易員的隱私保護不僅能防範其他交易員，連運營者也不能窺破 —— 這就保證了運營者不能拿知情的特權來牟利，讓運營者回歸其本來的位置。我們很希望能看到這樣的解決方案。

前路

還有很多工作要做！我們要讓開發者能更容易地獲取這些技術，還要提高這些技術的效率。而且，我們要開發 Layer-2 方案，還要想怎麼能不打破 DeFi 的強大可組合性，這裏面也有很多工作要做（想對解決方案有一個直觀的瞭解，可以看看 條件性支付的原理以及 StarkEx 如何用以實現快速取款 ）。

密碼學證明系統的可擴展性和隱私性可以讓 DeFi 從金融創新的沙盒變成一個能改變現有金融系統的全球力量。密碼學證明系統，比如 ZK-STARK，不僅在可擴展性上比其它方案有優勢，還能用隱私性和公平性支持更好的市場設計、創造更好的市場。

（完）

原文鏈接: https://bankless.substack.com/p/can-fancy-new-cryptography-scale

作者:Shiri Perciger

翻譯:阿劍