📜 [專欄新文章] Unirep介紹: 使用ZKP的評價系統

✍️ Ya-Wen Jeng

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Unirep是什麼? 怎麼用?

Photo by Raphael Lovaski on Unsplash

UniRep 是一個使用零知識證明(Zero-knowledge Proof)而達到具有隱私保障的評價 (reputation) 系統。使用者有權利享有多個暫時性的身份，但又同時能提出證明，讓其他人可以驗證評價是否符合自己宣稱的數量。此外，使用者也無法拒絕接收對自己不利的評價。

想像一個情境：如果Alice是Airbnb的使用者，Alice常常透過Airbnb租房，且Alice曾經獲得獲得許多Airbnb房東的好評；有一天Alice想透過Booking.com訂房，http://xn--alicebooking-kt4so6lvyab96x7trhi5b54x.com/，所以在Booking.com上沒有任何評價，萬一Booking.com的房東不想把房子租給來路不明的客人，那Alice要如何向Booking.com的房東證明她其實都是用Airbnb租房，且獲得許多好評？

Alice雖然可以透過截圖或公開自己的資訊向Booking.com的房東證明自己擁有這些好評，但這樣Alice的隱私或許會被洩漏，例如Alice不想讓Booking.com的房東知道自己去過哪些地方、住過哪些民宿；或者Alice有可能偽造截圖，或者偽造評價，那Booking.com的房東要如何相信Alice所提供的證明文件是真的來自Airbnb的房東？除此之外有沒有更彈性的方式，Alice可以選擇性地向Booking.com的房東證明，自己至少有10個好評，但不透露自己總共有多少好評？

Photo by Andrea Davis on Unsplash

使用Unirep協定就可以解決這個問題。UniRep 取名自 Universal Reputation，希望透過區塊鏈上智能合約的可互用性 (interoperable，指智能合約容易被多方呼叫且容易透過智能合約與對方互動)，讓不管是Airbnb的房東、Booking.com的房東或是Alice都能很容易地透過Unirep的智能合約與對方互動，且透過零知識證明的方式，讓Alice的評價具有隱私的保障，Alice不用明確地向Booking.com的房東說這些評價是怎麼獲得、是什麼時候獲得，也可以彈性的證明自己至少有多少好評，或者最多有多少差評。

密碼學

Unirep主要用到的密碼學方法有

雜湊函數 hash：若有一個雜湊函數 f(x) = y 則由x可以很輕易的用f算出y，但從y推回x是幾乎不可能的，且要找到兩個不同的x對應到相同的y也是幾乎不可能的(沒有碰撞問題)。

零知識證明 zero-knowledge proof：可以將複雜的運算邏輯轉成容易驗證且具有隱私保障的驗證問題，使用者只要將變數輸入，這個零知識證明的演算法就會產生對應的證明且計算出對應的結果，使用者只要將此證明和運算結果輸入驗證的程序中，其他人就能驗證使用者是不是提出正確的證明，若驗證成功，則驗證者就能相信提出證明者高機率擁有正確的知識，也就是在計算證明時的輸入變數。

ZKP Proof System

ZKP Verification System

Semaphore：semaphore 是設計為可以用零知識證明驗證的身份認證系統。Unirep 中用來產生私鑰 (identity) 和公鑰的 hash 值(identity commitment)，讓使用者不必公開 identity 仍能透過零知識證明驗證其公私鑰的對應性。

雜湊樹 Merkle trees：Unirep 中大量運用雜湊樹的方式確保評價紀錄，而其中用到的雜湊樹又分兩種：Incremental merkle tree 和 Sparse merkle tree

Incremental merkle tree: 從 index 0 開始依序插入雜湊樹中的樹葉。為了使 ZKP 的 circuit 大小固定， Unirep 中使用固定高度的 Incremental merkle tree。

Sparse merkle tree: 在特定的 index i 插入樹葉

Incremental merkle tree and sparse merkle tree

UniRep中用到的名詞定義

Epoch

指一段特定的時間，例如7天

UniRep 的 Epoch 從 1 開始計算，7天過後Epoch數加一，即 Epoch 變為 2

Epoch Key

每個使用者在每個 Epoch 都能產生 n 把 Epoch key，用來收取評價 epoch_key = hash (id, epoch, nonce)

id: 這裡指用 semaphore 產生的 identity

epoch: 表示這是在第幾個 epoch 產生的 epoch key

nonce: 若 Unirep 規定使用者能在一個 epoch 產生 5 把 epoch key，則使用者可以選從 0 到 4 為此 nonce

因為雜湊函數的性質，算出來的 epoch key 很難推回原本的 id, epoch, nonce， 所以看到 epoch key 並不能推回使用者是誰。

以Alice為例，當Alice住完Airbnb，房東會透過 epoch key 給予 Alice 評價，但房東無法知道 Alice 在同個 epoch 的其他 epoch key 是哪一把，也無法知道 Alice 在別的 epoch 獲得的評價，除非 Alice 在這個 epoch 重複使用同一把 epoch key 收取評價。

User 使用者

用 semaphore 產生 identity 並使用此 identity 註冊的使用者

使用者是接收評價、證明評價、或是花費評價的人，用 epoch key 跟其他人互動，因為 epoch key 會隨著 epoch 增加而改變，所以對使用者來說每個 epoch 能產生的 epoch key 都不同，具有保護隱私的效果。

在上面的例子中使用者指的是 Alice, Bob, Airbnb 的房東, Booking.com的房東

Attester 證人

用 Ethereum address 或 smart contract address 註冊的用戶

是會被使用者記錄下來的評價給予者

Unirep 會給這些 address 一個 attester ID，而這個 attester ID 不會隨著 epoch 增加而改變，使用者可以知道這個評價是來自哪一個 attester。

在上面的例子中指的是 Airbnb 跟 Booking.com，因為 attester ID 不變，所以使用者可以證明這些評價是來自於 Airbnb 或是 Booking.com

User State Tree (UST)

是一 Sparse merkle tree

每個使用者都有自己的 User State Tree，其中樹葉表示所收到的評價的hash值，而葉子的 index 表示 attester ID，UST 樹葉的定義為

USTLeaf = hash(posRep, negRep, graffiti)

例如 Airbnb 的 ID 是1，Booking.com 的 ID 是 3，那 Alice 的 User State Tree 中 index 為 1 的地方會有自己在 Airbnb 獲得的總評價的 hash 值，而 index 為三的地方則為空的評價。另一個使用者 Bob 的 User State Tree 亦同，在 index 為 1 的地方會有自己在 Airbnb 獲得的評價，在 index 為 3 的地方會有自己在 Booking.com的評價。

Global State Tree (GST)

是一固定樹高的 Incremental merkle tree

Global State Tree 的葉子到樹根都是公開的資訊，當有使用者註冊或者更新 User State Tree 時會在 Global State Tree 裡新增一個新的樹葉，GST 樹葉的定義為：

GSTLeaf = hash(id, USTRoot)

先送出的樹葉先插入到較前面的 index，之後的樹葉依序插入 GST 中。

以 Alice的例子來說，當 Alice跟 Bob註冊 Unirep時，都會產生一個 GST的樹葉，更新 GST的樹根，若 Alice先註冊，則 Alice的 index會較 Bob前面。注意，這邊的 Airbnb 和 Booking.com 等 attester 並不是用這棵 Global State Tree註冊。

Epoch Tree

是一個 Sparse merkle tree

Epoch Tree 跟 Global State Tree 一樣從葉子到樹根都是公開的資訊，Epoch Tree 中樹葉的 index 為 epoch key，而樹葉的值為該 epoch key 的 sealed hash chain

每個 epoch key 都有一個 hash chain，hash chain 的定義為

hashedReputation = hash(attestIdx, attesterID, posRep, negRep, graffiti)hashChain[epochKey] = hash(hashedReputation, hashChain[epochKey])

此 hash chain 是為了防止使用者漏收了哪一筆評價，如果使用者少收了其中一筆評價，則 hash chain 的結果會完全不同。最後驗證時如果其中一個 epoch key 的 hash chain 改變，會造成 epoch tree 樹根跟原本的 epoch tree 的樹根不同。

而 Sealed hash chain 是在每個 epoch 結束後，Unirep 智能合約會再將這條 hash chain 再 hash 一次

sealedHashChain[epochKey] = hash(1, hashChain[epochKey]) isEpochKeyHashChainSealed[epochKey] = true

需要再把這條 hash chain 封起來的用意是，避免這把 epoch key 過了這個 epoch 之後再繼續接收評價，所以 epoch tree 會用這個 epoch key 最後的 sealed hash chain 去計算樹根。

Nullifier

中文翻譯為註銷符，當我們要防止一件事情重複發生時，就可以使用這個 Nullifier

Unirep 中使用到 Epoch key nullifier：此 nullifier 是用來限制使用者不能在不同的 epoch 使用重複的 epoch key 去收取評價，也不能被其他使用者使用；此外也可以用來檢視使用者是否重複執行 UST 的更新

Nullifier 也用 hash 計算，但多使用一個 domain 變數，避免與 epoch key 產生相同的 nullifier 而洩露自己擁有的 epoch key，也可以用不同的 domain 產生不同用途的 nullifier

epochKeyNullifier = hash(EPOCH_KEY_DOMAIN, id, epoch, nonce)

Epoch Transition

一個 epoch 結束過後，要透過 epoch transition 的步驟，更新 Unirep 及使用者的狀態

其中要做的事包含將智能合約上的 epoch 數加一，還有將所有 epoch key 的 hash chain 封起來

接著使用者就可以執行 User State Transition 更新自己的 UST

User State Transition

到下一個 epoch 後，使用者可以透過自己的 identity，找出自己在前一個 epoch 所有的 epoch key，並根據每把 epoch key 收到的評價更新到自己的 UST，最後計算出最新的評價狀態，產生一個 GST的樹葉，插入 GST 中 (如同註冊時一樣)。

使用者之後如果要花費評價或者產生下一個 epoch 的 epoch key 時，因為必須確認自己的 UST 在當前的 epoch，所以需要經過 User State Transition 確保自己有一個 GST 的樹葉在 GST 中。

Unirep 協定

有了 Unirep 的名詞定義後，接著介紹 Unirep 是如何運作的。

註冊

Unirep 的 user 和 attester 的註冊方式不同：

User signup and attester signup in Unirep

User

User 透過 semaphore 產生 identity 和 identity commitment，identity 就如同私鑰，identity commitment 就如同公鑰

將 identity commitment 和預設的 UST 樹根經由 hash 計算得 GST 的一個樹葉

若使用者要證明自己在某個 epoch 有註冊或者有更新自己的 UST，則證明自己是 GST 的某一個樹葉，利用零知識證明的方法，輸入 identity、UST 樹根，還有 merkle tree 中要計算 hash 值的相鄰節點，則最後可得到一個 GST 的 root，其他人可以驗證這個 GST 的 root 是否符合這顆公開的 GST。

Attester

Attester 則是用自己的錢包，或者用智能合約的地址註冊，呼叫 attester sign up 的 function 後，Unirep 會指定一個 attester ID 給這個地址，往後 attester 用相同錢包或合約地址給予評價時，Unirep 會檢查此地址是否被註冊，若有註冊則可以給予 epoch key 評價。

以 Alice 和 Bob 為例，Alice、Bob、Airbnb的房東、Booking.com的房東會產生 identity 並且透過 Unirep 合約用 user 的註冊方式獲得一個 GST 的樹葉代表自己；
而 Airbnb 和 Booking.com 會透過 attester 的註冊方式，使用特定的錢包地址或是撰寫智能合約呼叫 Unirep 的 attester sign up function。
當然 Alice 或 Bob 如果想用自己的錢包註冊為 attester 也是可以，這時合約就會紀錄 Alice 和 Bob 的錢包地址，並給予一個新的 attester ID。

給予評價

在 Unirep 中評價的接收者是 epoch key，接著介紹 user 和 attester 是如何互動。

How an attester gives reputation to an epoch key

Alice 在 Unirep 註冊過後，就可以產生 epoch key 接收評價

epochKey = hash(identity, epoch, nonce)

但 Airbnb 的房東看到這把 epoch key，要如何知道 Alice 確實是 Unirep 的合法使用者，且 epoch key 的 是合法的，例如 nonce 小於 5，或者 epoch 是當前的 epoch？

如果 Alice 直接提供 epoch 和 nonce，別人沒有 identity 也無法計算此 epoch key，更不用說如果 Alice 提供 identity 會造成 Alice 完全沒有隱私可言，所有人都可以計算出 Alice 收過哪些評價。

因此我們用一個零知識證明，證明此 epoch key 是合法的。細節請參考 epoch key proof，主要是證明使用者有一個合法的 GST 樹葉在 GST 中，並且 epoch 和 nonce 也都符合。

房東得到 Alice 提供的 epoch key 和 epoch key 的證明，並且透過 Unirep 的合約驗證通過之後，就可以給予評價。

獲得空投評價、使用者可以給予評價的限制可以由各個應用自行定義，例如 Airbnb 可以決定空投 30 個正評給使用者， Booking.com 可以決定空投 20 個正評給使用者。

另外，為了確認房東也是合法的使用者，也為了防止房東重複花費 (double spending) 自己的評價點數，Unirep 上的應用也可以用 reputation nullifier 及其 proof 去證明使用者合法使用自己的評價。

例如，此 reputation nullifier 可以用下列計算方式取得：

reputationNullifier = hash(REPUTATION_DOMAIN, id, epoch, nonce)

當 reputation nullifier 及 proof 產生後，就會與房東要給的評價一起發送到 Airbnb 的智能合約上，智能合約會驗證 proof 是否合法，nullifier 是否有被發送過，若檢查都通過的話則 Unirep 會紀錄此評價給 epoch key，並將 hash chain 更新。

接收評價

使用者即使可以證明自己擁有哪一把 epoch key 並且大家都知道這把 epoch key 有多少評價，但這有可能造成使用者故意忽略其他把 epoch key 中對自己不好的評價，因此 Unirep 限制使用者只能在每個 epoch 結束，每把 epoch key 都封起來之後，才能用 User State Transition 更新自己的評價。

User State Transition in Unirep

這裏也是用 User State Transition Proof 去保證使用者是根據正確的方式計算出最新的 UST，且用 epoch tree 限制使用者必須處理每一把 epoch key 的結果。

亦即，需要等到 epoch 結束後，Alice 才能透過 User State Transition 獲得 Airbnb 房東的評價，更新自己的使用者狀態。

證明評價

當使用者通過 User State Transition 之後會有最新的 UST 狀態，此時 Alice 就可以透過 reputation proof 向 Booking.com 她有來自 Airbnb 的評價，在reputation proof 中檢查使用者是否有其宣稱的 UST (例如總共有多少好評、多少差評來自哪一個 attester ID)，並且此 UST 的狀態儲存在當前 epoch 的 GST 中。

在生成 reputation proof 時，即使 Alice 總共有 100 個好評，但 Alice 仍可以產生「至少有10個好評」的證明，Booking.com 的房東若驗證成功，則只能知道 Alice 宣稱的「至少有 10 個好評」而不能知道 Alice 總共有 100 個好評。

常見問題

Alice 能不能給 Airbnb 的房東評價？ Alice 能不能給 Bob 評價？

可以。

Airbnb 的房東和 Bob 也都能產生 epoch key，因此如果 Alice 有兩者的 epoch key 及合法的 proof 則可以給予評價。此時 Alice 可以選擇透過 Airbnb、Booking.com、或甚至自己的 Ethereum account 當作證人給予評價 (也必須選擇一個證人)。

Alice 可以透過 Unirep 給 Airbnb 評價嗎？

如果 Airbnb 也透過 Unirep 註冊為使用者，並且產生 epoch key 的話就可以。但如果 Airbnb 只註冊為證人的話不行。

Alice 可以證明評價來自哪一個 Airbnb 房東嗎？

如果 Airbnb 的房東沒有註冊為證人，則 Alice 不能證明評價來自哪個房東。

若 Airbnb 的房東用自己的 Ethereum account 註冊為證人，則 Alice 只能證明評價來自這個 Ethereum account，但無法知道這個 account 是一個 Airbnb 的房東。

從 Airbnb 獲得的評價可以在 Booking.com 花費嗎？

需看 Booking.com 的智能合約如何定義，但一般來說不行，因為 attester ID不同，但未來可能會開發各個應用程式之間的兌換評價功能。

如果遲遲不執行 User State Transition 會發生什麼事？會不會收不到之前的評價？

若 Alice 在第一個 epoch 註冊，並在第一個 epoch 產生 epoch key 接收評價，但 Alice 到第五個 epoch 才執行 User State Transition，那 Alice 會根據第一個 epoch 的 GST、epoch tree 執行 User State Transition，因此仍然可以在第五個 epoch 收到來自第一個 epoch 的評價；而在第二到第四個 epoch 因為 Alice 無法產生出合法的 epoch key proof，因此無法接收評價。

User State Transition 可以自動執行嗎？

不行。

只有使用者主動給出私鑰，即 semaphore 的 identity，才可以產生合法的 User State Transition proof，若將私鑰交給第三方幫忙執行可能會侵害使用者的隱私。

結論

Unirep 是一個具有隱私保障的評價系統，透過 ZKP 的保護使用者可以在匿名的情況下收取評價、給予評價、並且向他人證明自己的評價。Unirep 可以用於跨應用程式間的評價證明，可以在 A 應用程式中獲得評價，並向 B 應用程式證明在 A 應用程式中獲得多少評價。若想了解更多有關 Unirep ，可以參考 Github、文件或加入 telegram 群組討論。

本文感謝 CC, Nic, Kevin, Doris 協助審稿。

Unirep介紹: 使用ZKP的評價系統 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] 從 Rollups 來聊聊以太坊 Layer2 的演進

✍️ Kimi Wu

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Photo by Clark Van Der Beken on Unsplash

去年 Defi summer 的熱潮後，以太上 Defi 應用呈現爆炸性成長，造就高昂的交易手續費，為了有更快的交易速度及可負擔的交易費用，人們對側鏈、Layer2 的需求更加強烈。Rollups 是 Layer2 的一種技術，在今年相當熱門，幾個耕耘已久的專案 zkSync、Optimism、Arbitrum 等也開始廣為人知。今天想來聊聊以太坊上 Layer2 技術的演進。

State Channel

state channel 最一開始是建立在 Bitcoin 上，最廣為人知的就是 lightning network。簡單來說，就是兩方在私下建立一條可以互相轉帳的通道，轉帳完畢後把通道關閉，接著將交易後的狀態更新到鏈上。若交易一筆後即關閉通道，那交易成本就跟在鏈上一樣，所以在實務上，通道一直開著（或是一段時間），交易數筆、數百筆後再上鏈更新狀態，藉此平均每筆的交易手續費就大幅降低。也因為只需通道雙方驗證交易內容，交易速度能大幅提升，讓小額支付能夠實現，就不需等10分鐘（Bitcoin）後交易才會被打包，甚至要等6個區塊的時間。而最早在以太上的 state channel 是 Raiden。

對於 Raiden 技術有興趣的可以參考這篇文章。

Plasma

Plasma 於2017年8月由 V 跟 Joseph Poon （Lightning Network的創始人之一）所提出，概念上是可以有鏈中鏈中鏈（就是Layer2 → Layer3 → … LayerN)，藉此可達到百萬級甚至更高的交易量，不過概念太美好，沒人知道怎麼實作。

隔年1月 V 提出了 Plasma 的第一個版本 Plasma MVP，是以 UTXOs 模型的設計，接著3月提出了第二個版本 Plasma Cash，同年（2018）Plasma 的提案數呈現著爆炸性的成長（絕大部分都是基於 Plasma MVP 跟 Plasma Cash 做改進）（如下圖），強大的社群力量，讓大部分關鍵的問題在同年年底都找到了解答。也為之後的 Optimistic Rollup 打下了基礎。

而較著名的開發團隊，除了 EF 出來的 Plasma Group 外，還有 OmiseGo 跟 Matic（現在的 Polygon）。

對 Plasma 技術有興趣的，可以參考這篇、這篇跟這篇

https://ethresear.ch/t/plasma-world-map-the-hitchhiker-s-guide-to-the-plasma/4333

Plasma 看似一切美好，但因為資料的可取得性（data availability）的問題，使得在使用者體驗上有點糟糕。

Plasma 的所有交易資料都在 Plasma 鏈上，而 Plasma 鏈的礦工（即operator）只需繳交 Merkle root 到 L1 的合約作公證就好。因此若 operator 作惡，在 Plasma 鏈上交易者，就需有能力證明 operator 作惡。

在 Plasma 設計中有”所有者”的概念（UTXOs 的設計中，收款者需要到拿送款者的轉出證明，才能動用這筆款項，轉出證明只有收款人會擁有），如果該所有者不關心自己的資產，就可能造成資產無效的結果（account-based 的設計，若你不理你的帳號，別人一樣可以轉帳到你的戶頭中）。因此每個交易者須有能力自行提出證明，無法委託第三方。

而要證明這件事，用戶需要把 Plasma 鏈上的交易都下載下來，才能證明 operator 做了一件不合法的行為，也才能產生詐欺證明（fraud proof）到 L1 上的合約來證明 operator 作惡。而這個送出的詐欺證明，必需要被確保可以安全地送到 L1 上的合約被執行，因此需要有一段挑戰期，讓使用者可以下載及驗證資料（或是網路塞車造成詐欺證明無法被合約執行）。

題外話，Eth 2.0 light client利用了 ECC （Error Correction Code）的原理，所以只需要部分資料就可以驗證正確性。

Rollups

同年（2018) 9月，在支線專注隱私性的開發的 Barry Whitehat 提出了 zk Rollup，隨後 V 也在以太坊研究員論壇發了一篇文章，解釋 zk Rollup 是如何運作的，並以On-chain scaling to potentially ~500 tx/sec through mass tx validation 為標題，也因此開啟了 Layer2 新的一頁。隔年（2019）三月，Matter Labs 獲得了 EF 的 grant 將 zk Rollup 產品化，也就是大家所知的 zkSync。

所謂的 rollups，一樣是在 Layer2 上做交易，不同的是 L1 上會記錄每一筆的交易紀錄。什麼！如果每一筆交易紀錄都上鏈，跟一般 L1 交易有什麼不同？想了解細節可以看這篇。簡單來說，在合約裡用了一顆樹來記錄每個帳號的狀態，樹的第幾片葉子（index）代表一個帳號地址，因此帳號就從20 bytes 的地址變成了幾個 bytes 的 index。以 ZK Rollups 來說，交易都是在 Layer2 被驗證過的，所以簽章資訊（65 bytes）也不用上鏈，Optimistic Rollups 會利用簽章聚合的技術，數百個簽章最終會被聚合成一個。因此，交易資料從原本100多 bytes 變成了10幾個 bytes。因為交易紀錄都 ”放上鏈“，資料可取得性也就不是問題了。

”放上鏈”指的是利用 calldata 的方式放在鏈上，並非一般認知的寫進合約裡。非０值的 calldata 每 byte 需要耗費 16 gas，而合約寫進一個 32bytes 的資料需要花 20,000（新增） or 5,000（修改） gas，相當於每個 byte 的成本為625 or 156 gas，約為 calldata 的 40 or 10倍。

同年（2019）六月 John Adler 在以太坊研究者論壇提出了Minimal Viable Merged Consensus，也就是大家熟知的 Optimistic Rollups 的原型，接著 Plasma Group 基於John Adler 的提案，提出了 OVM，從此 Layer2 上除了單純的轉帳外，還可以執行合約，也奠定了 Rollups 在 Layer2 的地位，開啟 rollups 的新世代。

StarkWare 團隊建立了可評估的數學模型，驗證了 calldata 的成本從64 gas 降到 16 gas並不會對鏈的安全造成危害，提出了 EIP-2028（在 Istanbul 上線），也是推動 rollups 可行性的重要一環。

Validity Proof v.s. Fraud Proof

Optimistic Rollups 跟 ZK Rollups 最近有很多文章在介紹跟比較，這邊就不贅述。這邊想聊的是資料的有效性，這篇文章解釋地很好，這裏擷取部分敘述。ZK Rollups 保證了上鏈的資料都是正確的，資料必須被驗證過是合法的（例如沒有被雙花）才會改變使用者的狀態（例如 balance），跟現在各個主鏈的設計是一樣的，稱作有效性證明（Validity Proof），這種設計假設大家都是壞人，要通過驗證才會相信你，確認資料是百分之百的正確聽起來很理所當然，但是背後要維護資料的正確性，需要相當高的成本。

Optimistic Rollups 則是相反，假設大家都是好人，送上鏈的交易都接受，當發現有人作弊，再靠檢舉機制來更正狀態，這稱作詐欺證明（Fraud Proof）。這樣的機制系統維護成本較低（L1 上不需要驗證每一筆資料的正確性），但需要多一個爪耙子的角色來維護系統的安全，也就多一個系統潛在的風險。而要確保爪耙子有足過的時間反應，就不能讓使用者即時地離開系統，這是 Optimistic Rollups 最被詬病的一點，提款要等七天（現在有第三方流動性提供者，使用者可以請第三方流動性提供者預付使用者的提款。使用者支付手續費來換取快速提款的服務，而流動性提供者則承擔資產鎖住七天的風險來賺取手續費。不過在 protocol 層以安全性為主要考量，還是需要較長的挑戰期）。

ZK Rollups 的實作上，也有數個小時的提款期，不過那是基於成本考量，而非安全性。

此外對照於 Plasma， rollups 的設計是 account-based，交易也都公開在鏈上，每個人都可以參與監督及提出詐欺證明。

ZK Rollups v.s. Optimistic Rollups

ZK Rollups 從資料的有效性來看勝過 Optimistic Rollups，離開系統時不需要額外的挑戰期，能即時提款離開系統，不過付出的代價就是交易延遲上鏈。因為產生 zkp 證明需要龐大的運算量，產生一次證明，大約需要10 ~ 20分鐘，所以說在 Layer2 上做一筆交易，10分鐘後你的交易才是有 L1 的安全性。

為了能盡早得知發出的交易是否完成，實作上會把完成的交易先丟上鏈，等zkp 證明產生後再上鏈驗證其正確性，若驗證成功，則交易視同有 L1 的安全性。

但是在通用性上，Optimistic Rollups 沒有複雜的 zkp 電路的限制，對於合約的支援度上更好，而且 zkp（SNAKRKs）在使用前需要一個盛大的啟用典禮（trusted setup ceremony）。

zkSync

zkSync 1.0 在去年（2020） 六月上線，因為不能執行合約，使用的專案並不多。同年的年初，Matter Labs 已經默默在開發一種新語言 Zinc，是可以在 zkSync 上開發合約的語言。年底，與 Defi 專案 Curve 合作，發表了在 zkSync上可以跑基本版的 Curve（兩幣交換）。今年（2021）三月，Matter Labs 發表了令人振奮的消息，zkSync 支援 EVM！只需要部分修改現有的合約就可以部署到 zkSync 上，測試網今年五月已經上線，主網預計8月上線。不過目前測試網上的交易量非常地少，相信在初期還是有相當多問題或是困難，以短期來看，Optimistic Rollups 陣營的速度跟支援度略勝一籌，不過個人相信長期會是 ZK Rollups 的世代（私心認為 lol），但最終還是由生態系的大小來決定贏家。

在 ZK 這個陣線上有延伸出不同的設計，為了加快速度及減少上鏈成本，StarkWare 提出了 Validium 的概念，資料不上鏈但使用 zkp 確保資料的正確性，像是 StarkWare 的 Volition 跟 Matter Labs 的 zkPorter 都是同樣概念的實作，不過不是本篇的重點，就不多解釋。

ETH 2

V在2020年10月提出了 A Rollup Centric Ethereum，rollup 也因此進到 Eth2 的規劃中。Eth2 的設計中 shard chain 是資料層，而在 phase 2 後才有執行層（也就是才能執行合約），V 的提案 除了讓 shard chain 當資料層外，也會內建 rollups 的邏輯。至於會採用哪種 rollups 目前沒看到結論，不過 V 本人是傾向 ZK Rollups。如果成真，那未來數百個 rollups 之間的溝通，將會是另一個挑戰 。

專案比較

ZK Rollups 有目前這幾個較知名的專案： zkSync（Matter Labs）、 Hermez（Iden3）、 Loopring（Loopring）、 StarkNet（StarkWare）跟 Aztec（Aztec）。

Optimistic Rollups 目前幾個專案 Optimism（Optimisim，前Plasma Group 成員）、 Arbitrum（Offchain Labs）、 Fuel（Fuel）。

這是目前幾大 rollups 的生態系（今年3月時的統計），比較值得一提的是，Uniswap 團隊因為社群的投票，也將會在 Arbitrum 上面部署，對於整個 Arbitrum 的生態，相信有很大的影響。

https://www.chainnews.com/articles/872971457746.htm

感謝 NIC Lin 及 Chih-Cheng Liang 的審查跟建議。若有錯誤或不同觀點，歡迎指教。

從 Rollups 來聊聊以太坊 Layer2 的演進 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] [zkp 讀書會] Cairo 語言介紹

✍️ NIC Lin

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Cairo 是 STARK 證明系統的其中一個編程語言，讓開發者能透過 Cairo 來使用 STARK，撰寫效能更高的 Dapp

Photo by Simon Berger on Unsplash

Warning：本篇會保持在 high level 的介紹，實際深入的部分請見文內附上的文檔或是官方開發者文件

背景介紹

建構於密碼學的零知識證明能提供計算的隱私性，但同時在區塊鏈生態系也被用來提升 Scalability — 我可以用 10 秒的運算資源來驗證原本耗費 1000 秒運算資源的計算過程

如同更多人熟悉的 SNARK，STARK 也是一個零知識證明的證明系統，但當前的 STARK 著重的是在 Scalability ，而非大家比較習以為常零知識證明提供的隱私性特質

其實目前基於 SNARK 的 Rollup 項目，例如 zkSync、Loopring、Aztec、zkopru，除了 Aztec 外，其他都是利用 SNARK 來增加 Scalability — 這些 Rollup 上資料都還是公開、沒有隱私性的

StarkWare 是目前唯一基於 STARK 的開發團隊

STARK 要加上隱私保護不會太難，只是 StarkWare 還沒有把這項功能放在未來規劃中

Cairo 簡介

標榜為圖靈完備的零知識證明系統語言，Cairo 對原本熟悉 Solidity 的開發者來說還是會感到比較難上手和陌生的。再加上套件庫還不夠充足，目前支援的雜湊函式是 Pedersen，數位簽章演算法是 ECDSA（相對於 SNARK，EdDSA 的效能反而比較差所以沒有支援）。
但 Cairo 還在早期開發的階段，相信開發體驗會越來越好的。

另外需要注意的是作為一個證明系統，會有 Prover 和 Verifier 的角色。而 STARK 的 Verifier 是公開的，但 Prover 軟體預計會有 License 保護。Prover 一般情況下不得用於商業用途，除非將 proof 上傳至官方的 Verifier。

最後要提及的是，第一版的 Cairo 是設計來方便開發者將 Dapp 的運算遷移至鏈下。不同於 Rollup，這個鏈下只會有它自己一個 Dapp。這個 Dapp 的項目方自己維護自己 Dapp 的 state。（ Rollup 則是 operator 維護所有 Dapp 的 state，Dapp 開發者不需自己操煩）
這可能有點難懂。如果你有在寫 Solidity，想像一下今天你在合約要用到合約裡宣告的 storage 變數時，你要自己提供 merkle proof 上來，證明這個storage 變數真的是這個值。這個就是開發者要自己維護 state 的意思。

而第二版的 Cairo 則是 StarkNet 裡使用的 Cairo（第一和第二版是不同編譯器），這版的 Cairo 就是作為 Dapp 在 Rollup 開發所使用 — 開發者可以在合約裡宣告變數，變數的值不需開發者維護，可以直接假設存在。
註1：StarkWare 不喜歡 Rollup 這個詞，他們覺得 Data Availability 的需求是一段光譜：不一定得要把 data 全都送上 L1，中間有其他方式可以做不同層級的 Data Availability。
註2：第一版和第二版實際上在官方版本裡是 0.0.1 及 0.0.2，在撰文當前最新版即是 0.0.2

官方網站：https://www.cairo-lang.org
開發者文件：https://www.cairo-lang.org/docs/

開發環境

Cairo 有提供像是 Remix 的瀏覽器 IDE：playground。裡面提供各種範例練習和挑戰，除了可以編譯，還可以直接生成並上傳 proof。
註：但有些功能還是沒辦法在 playground 裡使用，例如要給你的程式 custom input 時。這時候只能在本地端開發才能使用這個功能。

開發 Cairo 要先安裝python，我將開發者文件整理出來的資料統整在這個 hackmd 文檔裡：https://hackmd.io/w690dpAQTsKeKZv3oikzTQ
裡面包含簡介、設置本地開發環境以及 Cairo 基礎（因為篇幅原因，所以不將內容複製到這裡）
註：我把開發者文件裡的代碼整理到這裡：https://github.com/NIC619/cairo_practice/tree/master/practices
如果不想在研究開發者文件過程中，還要自己手動拼湊裡面例子的話，可以直接用整理好的代碼來執行。同時 repo 裡還有包含一些額外自己測試 Cairo 功能的範例。

深入 Cairo

在那份 hackmd 文檔裡的開頭，可以連結到第二部分 — 深入 Cairo 的部分。裡面也是從開發者文件裡擷取出來我覺得比較重要的部分。如果你要讀開發者文件的話，我建議從 Hello Cairo 開始，它會從例子切入，會比較好知道 Cairo 怎麼使用。接著如果要更深入了解，再去讀 How Cairo Works。

StarkNet Cairo

第二版的 Cairo 其實功能和第一版的 Cairo 是差不多的，所以不必擔心在開發者文件裡學到的 Cairo 在 StarkNet 版本會不能用或差很多。在讀完 Hello Cairo/How Cairo works 後，就可以接著看 Hello StarkNet。會很順利的切換到 StarkNet 版本的 Cairo。
註1：我整理的文檔裡是按照第一版 Cairo 所寫的
註2：如果你從開發者文件一路看下來，體驗過非 StarkNet 版的 Cairo，那你在體驗 StarkNet 版的 Cairo 時一定會發現這更像一般智能合約的使用方式 — 你可以用 view 函式查詢 storage 變數，可以用 external 函式去執行合約（非 StarkNet 版本不是這樣操作 Dapp 的，這邊因為篇幅原因沒有詳細介紹）。

非常建議嘗試兩種版本的 Cairo，你會知道 1. 操作一個單獨在 L2 的 Dapp 和2. 操作與其他 Dapp 共存在 Rollup 上的 Dapp 的不同。這對了解 L2 怎麼運行、需要哪些資料、為什麼需要這些資料非常有幫助。

0.0.2 版的 StarkNet Cairo 目前還缺少一些功能：

函式還沒辦法宣告陣列或 struct 型態的參數

合約和合約之間還沒辦法互動

L1 沒有辦法讀取到 L2 的資料，L2 也沒辦法讀取到 L1 的資料。如果要建立跨 L2 Bridge，這個功能非常重要。

補充及個人心得

STARK 的 proof size 相比於 SNARK 系列的 proof size 大很多，又其證明所包含的交易數量對 proof size 和驗證時間的影響不大，所以把很多筆交易一併做一個 proof 會是對 STARK 非常有利、節省成本的方式（SNARK、STARK 比較表）。但這同時也是一個缺點，如果你的 Dapp 或 Rollup 的 TPS 不高，那就只能等更久時間搜集多一點的交易，要不然就只能提高成本來維持驗證 proof 的頻率。

StarkWare和 zkSync 一樣都有 Rollup 宇宙的概念（ Rollup 宇宙的用詞並不精確，因為在他們的宇宙中不會所有子鏈都是 Rollup，而是會有依照 Data Availability 程度不同所區分的子鏈，像是 Validium、zk Porter 的設計），個人覺得能夠有（針對 Data Availability 程度的）選擇是會比只有一個選擇（完全 Data Available） 還好的方式，但實際上的可行性就要等其團隊釋出更多的資訊。

在 Rollup 越趨成熟的情況下，能夠提供快速跨 Rollup 服務的流動性提供者的角色會越來越重要。zk Rollup（StarkNet、zkSync、etc…）比 Optimistic Rollup （Optimism、Arbitrum、etc…）有著短上許多的 finalize 時間，這對降低流動性提供者的風險有很大的幫助，但目前 zk Rollup 支援合約功能甚至 L1 <-> L2 互動的完成度都比 Optimistic Rollup 還低上許多。短期內快速跨 Rollup 的服務應該還是侷限在 Optimitic Rollup 之間。

abbrev

[zkp 讀書會] Cairo 語言介紹 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌