📜 [專欄新文章] Unirep介紹: 使用ZKP的評價系統

✍️ Ya-Wen Jeng

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Unirep是什麼? 怎麼用?

Photo by Raphael Lovaski on Unsplash

UniRep 是一個使用零知識證明(Zero-knowledge Proof)而達到具有隱私保障的評價 (reputation) 系統。使用者有權利享有多個暫時性的身份，但又同時能提出證明，讓其他人可以驗證評價是否符合自己宣稱的數量。此外，使用者也無法拒絕接收對自己不利的評價。

想像一個情境：如果Alice是Airbnb的使用者，Alice常常透過Airbnb租房，且Alice曾經獲得獲得許多Airbnb房東的好評；有一天Alice想透過Booking.com訂房，http://xn--alicebooking-kt4so6lvyab96x7trhi5b54x.com/，所以在Booking.com上沒有任何評價，萬一Booking.com的房東不想把房子租給來路不明的客人，那Alice要如何向Booking.com的房東證明她其實都是用Airbnb租房，且獲得許多好評？

Alice雖然可以透過截圖或公開自己的資訊向Booking.com的房東證明自己擁有這些好評，但這樣Alice的隱私或許會被洩漏，例如Alice不想讓Booking.com的房東知道自己去過哪些地方、住過哪些民宿；或者Alice有可能偽造截圖，或者偽造評價，那Booking.com的房東要如何相信Alice所提供的證明文件是真的來自Airbnb的房東？除此之外有沒有更彈性的方式，Alice可以選擇性地向Booking.com的房東證明，自己至少有10個好評，但不透露自己總共有多少好評？

Photo by Andrea Davis on Unsplash

使用Unirep協定就可以解決這個問題。UniRep 取名自 Universal Reputation，希望透過區塊鏈上智能合約的可互用性 (interoperable，指智能合約容易被多方呼叫且容易透過智能合約與對方互動)，讓不管是Airbnb的房東、Booking.com的房東或是Alice都能很容易地透過Unirep的智能合約與對方互動，且透過零知識證明的方式，讓Alice的評價具有隱私的保障，Alice不用明確地向Booking.com的房東說這些評價是怎麼獲得、是什麼時候獲得，也可以彈性的證明自己至少有多少好評，或者最多有多少差評。

密碼學

Unirep主要用到的密碼學方法有

雜湊函數 hash：若有一個雜湊函數 f(x) = y 則由x可以很輕易的用f算出y，但從y推回x是幾乎不可能的，且要找到兩個不同的x對應到相同的y也是幾乎不可能的(沒有碰撞問題)。

零知識證明 zero-knowledge proof：可以將複雜的運算邏輯轉成容易驗證且具有隱私保障的驗證問題，使用者只要將變數輸入，這個零知識證明的演算法就會產生對應的證明且計算出對應的結果，使用者只要將此證明和運算結果輸入驗證的程序中，其他人就能驗證使用者是不是提出正確的證明，若驗證成功，則驗證者就能相信提出證明者高機率擁有正確的知識，也就是在計算證明時的輸入變數。

ZKP Proof System

ZKP Verification System

Semaphore：semaphore 是設計為可以用零知識證明驗證的身份認證系統。Unirep 中用來產生私鑰 (identity) 和公鑰的 hash 值(identity commitment)，讓使用者不必公開 identity 仍能透過零知識證明驗證其公私鑰的對應性。

雜湊樹 Merkle trees：Unirep 中大量運用雜湊樹的方式確保評價紀錄，而其中用到的雜湊樹又分兩種：Incremental merkle tree 和 Sparse merkle tree

Incremental merkle tree: 從 index 0 開始依序插入雜湊樹中的樹葉。為了使 ZKP 的 circuit 大小固定， Unirep 中使用固定高度的 Incremental merkle tree。

Sparse merkle tree: 在特定的 index i 插入樹葉

Incremental merkle tree and sparse merkle tree

UniRep中用到的名詞定義

Epoch

指一段特定的時間，例如7天

UniRep 的 Epoch 從 1 開始計算，7天過後Epoch數加一，即 Epoch 變為 2

Epoch Key

每個使用者在每個 Epoch 都能產生 n 把 Epoch key，用來收取評價 epoch_key = hash (id, epoch, nonce)

id: 這裡指用 semaphore 產生的 identity

epoch: 表示這是在第幾個 epoch 產生的 epoch key

nonce: 若 Unirep 規定使用者能在一個 epoch 產生 5 把 epoch key，則使用者可以選從 0 到 4 為此 nonce

因為雜湊函數的性質，算出來的 epoch key 很難推回原本的 id, epoch, nonce， 所以看到 epoch key 並不能推回使用者是誰。

以Alice為例，當Alice住完Airbnb，房東會透過 epoch key 給予 Alice 評價，但房東無法知道 Alice 在同個 epoch 的其他 epoch key 是哪一把，也無法知道 Alice 在別的 epoch 獲得的評價，除非 Alice 在這個 epoch 重複使用同一把 epoch key 收取評價。

User 使用者

用 semaphore 產生 identity 並使用此 identity 註冊的使用者

使用者是接收評價、證明評價、或是花費評價的人，用 epoch key 跟其他人互動，因為 epoch key 會隨著 epoch 增加而改變，所以對使用者來說每個 epoch 能產生的 epoch key 都不同，具有保護隱私的效果。

在上面的例子中使用者指的是 Alice, Bob, Airbnb 的房東, Booking.com的房東

Attester 證人

用 Ethereum address 或 smart contract address 註冊的用戶

是會被使用者記錄下來的評價給予者

Unirep 會給這些 address 一個 attester ID，而這個 attester ID 不會隨著 epoch 增加而改變，使用者可以知道這個評價是來自哪一個 attester。

在上面的例子中指的是 Airbnb 跟 Booking.com，因為 attester ID 不變，所以使用者可以證明這些評價是來自於 Airbnb 或是 Booking.com

User State Tree (UST)

是一 Sparse merkle tree

每個使用者都有自己的 User State Tree，其中樹葉表示所收到的評價的hash值，而葉子的 index 表示 attester ID，UST 樹葉的定義為

USTLeaf = hash(posRep, negRep, graffiti)

例如 Airbnb 的 ID 是1，Booking.com 的 ID 是 3，那 Alice 的 User State Tree 中 index 為 1 的地方會有自己在 Airbnb 獲得的總評價的 hash 值，而 index 為三的地方則為空的評價。另一個使用者 Bob 的 User State Tree 亦同，在 index 為 1 的地方會有自己在 Airbnb 獲得的評價，在 index 為 3 的地方會有自己在 Booking.com的評價。

Global State Tree (GST)

是一固定樹高的 Incremental merkle tree

Global State Tree 的葉子到樹根都是公開的資訊，當有使用者註冊或者更新 User State Tree 時會在 Global State Tree 裡新增一個新的樹葉，GST 樹葉的定義為：

GSTLeaf = hash(id, USTRoot)

先送出的樹葉先插入到較前面的 index，之後的樹葉依序插入 GST 中。

以 Alice的例子來說，當 Alice跟 Bob註冊 Unirep時，都會產生一個 GST的樹葉，更新 GST的樹根，若 Alice先註冊，則 Alice的 index會較 Bob前面。注意，這邊的 Airbnb 和 Booking.com 等 attester 並不是用這棵 Global State Tree註冊。

Epoch Tree

是一個 Sparse merkle tree

Epoch Tree 跟 Global State Tree 一樣從葉子到樹根都是公開的資訊，Epoch Tree 中樹葉的 index 為 epoch key，而樹葉的值為該 epoch key 的 sealed hash chain

每個 epoch key 都有一個 hash chain，hash chain 的定義為

hashedReputation = hash(attestIdx, attesterID, posRep, negRep, graffiti)hashChain[epochKey] = hash(hashedReputation, hashChain[epochKey])

此 hash chain 是為了防止使用者漏收了哪一筆評價，如果使用者少收了其中一筆評價，則 hash chain 的結果會完全不同。最後驗證時如果其中一個 epoch key 的 hash chain 改變，會造成 epoch tree 樹根跟原本的 epoch tree 的樹根不同。

而 Sealed hash chain 是在每個 epoch 結束後，Unirep 智能合約會再將這條 hash chain 再 hash 一次

sealedHashChain[epochKey] = hash(1, hashChain[epochKey]) isEpochKeyHashChainSealed[epochKey] = true

需要再把這條 hash chain 封起來的用意是，避免這把 epoch key 過了這個 epoch 之後再繼續接收評價，所以 epoch tree 會用這個 epoch key 最後的 sealed hash chain 去計算樹根。

Nullifier

中文翻譯為註銷符，當我們要防止一件事情重複發生時，就可以使用這個 Nullifier

Unirep 中使用到 Epoch key nullifier：此 nullifier 是用來限制使用者不能在不同的 epoch 使用重複的 epoch key 去收取評價，也不能被其他使用者使用；此外也可以用來檢視使用者是否重複執行 UST 的更新

Nullifier 也用 hash 計算，但多使用一個 domain 變數，避免與 epoch key 產生相同的 nullifier 而洩露自己擁有的 epoch key，也可以用不同的 domain 產生不同用途的 nullifier

epochKeyNullifier = hash(EPOCH_KEY_DOMAIN, id, epoch, nonce)

Epoch Transition

一個 epoch 結束過後，要透過 epoch transition 的步驟，更新 Unirep 及使用者的狀態

其中要做的事包含將智能合約上的 epoch 數加一，還有將所有 epoch key 的 hash chain 封起來

接著使用者就可以執行 User State Transition 更新自己的 UST

User State Transition

到下一個 epoch 後，使用者可以透過自己的 identity，找出自己在前一個 epoch 所有的 epoch key，並根據每把 epoch key 收到的評價更新到自己的 UST，最後計算出最新的評價狀態，產生一個 GST的樹葉，插入 GST 中 (如同註冊時一樣)。

使用者之後如果要花費評價或者產生下一個 epoch 的 epoch key 時，因為必須確認自己的 UST 在當前的 epoch，所以需要經過 User State Transition 確保自己有一個 GST 的樹葉在 GST 中。

Unirep 協定

有了 Unirep 的名詞定義後，接著介紹 Unirep 是如何運作的。

註冊

Unirep 的 user 和 attester 的註冊方式不同：

User signup and attester signup in Unirep

User

User 透過 semaphore 產生 identity 和 identity commitment，identity 就如同私鑰，identity commitment 就如同公鑰

將 identity commitment 和預設的 UST 樹根經由 hash 計算得 GST 的一個樹葉

若使用者要證明自己在某個 epoch 有註冊或者有更新自己的 UST，則證明自己是 GST 的某一個樹葉，利用零知識證明的方法，輸入 identity、UST 樹根，還有 merkle tree 中要計算 hash 值的相鄰節點，則最後可得到一個 GST 的 root，其他人可以驗證這個 GST 的 root 是否符合這顆公開的 GST。

Attester

Attester 則是用自己的錢包，或者用智能合約的地址註冊，呼叫 attester sign up 的 function 後，Unirep 會指定一個 attester ID 給這個地址，往後 attester 用相同錢包或合約地址給予評價時，Unirep 會檢查此地址是否被註冊，若有註冊則可以給予 epoch key 評價。

以 Alice 和 Bob 為例，Alice、Bob、Airbnb的房東、Booking.com的房東會產生 identity 並且透過 Unirep 合約用 user 的註冊方式獲得一個 GST 的樹葉代表自己；
而 Airbnb 和 Booking.com 會透過 attester 的註冊方式，使用特定的錢包地址或是撰寫智能合約呼叫 Unirep 的 attester sign up function。
當然 Alice 或 Bob 如果想用自己的錢包註冊為 attester 也是可以，這時合約就會紀錄 Alice 和 Bob 的錢包地址，並給予一個新的 attester ID。

給予評價

在 Unirep 中評價的接收者是 epoch key，接著介紹 user 和 attester 是如何互動。

How an attester gives reputation to an epoch key

Alice 在 Unirep 註冊過後，就可以產生 epoch key 接收評價

epochKey = hash(identity, epoch, nonce)

但 Airbnb 的房東看到這把 epoch key，要如何知道 Alice 確實是 Unirep 的合法使用者，且 epoch key 的 是合法的，例如 nonce 小於 5，或者 epoch 是當前的 epoch？

如果 Alice 直接提供 epoch 和 nonce，別人沒有 identity 也無法計算此 epoch key，更不用說如果 Alice 提供 identity 會造成 Alice 完全沒有隱私可言，所有人都可以計算出 Alice 收過哪些評價。

因此我們用一個零知識證明，證明此 epoch key 是合法的。細節請參考 epoch key proof，主要是證明使用者有一個合法的 GST 樹葉在 GST 中，並且 epoch 和 nonce 也都符合。

房東得到 Alice 提供的 epoch key 和 epoch key 的證明，並且透過 Unirep 的合約驗證通過之後，就可以給予評價。

獲得空投評價、使用者可以給予評價的限制可以由各個應用自行定義，例如 Airbnb 可以決定空投 30 個正評給使用者， Booking.com 可以決定空投 20 個正評給使用者。

另外，為了確認房東也是合法的使用者，也為了防止房東重複花費 (double spending) 自己的評價點數，Unirep 上的應用也可以用 reputation nullifier 及其 proof 去證明使用者合法使用自己的評價。

例如，此 reputation nullifier 可以用下列計算方式取得：

reputationNullifier = hash(REPUTATION_DOMAIN, id, epoch, nonce)

當 reputation nullifier 及 proof 產生後，就會與房東要給的評價一起發送到 Airbnb 的智能合約上，智能合約會驗證 proof 是否合法，nullifier 是否有被發送過，若檢查都通過的話則 Unirep 會紀錄此評價給 epoch key，並將 hash chain 更新。

接收評價

使用者即使可以證明自己擁有哪一把 epoch key 並且大家都知道這把 epoch key 有多少評價，但這有可能造成使用者故意忽略其他把 epoch key 中對自己不好的評價，因此 Unirep 限制使用者只能在每個 epoch 結束，每把 epoch key 都封起來之後，才能用 User State Transition 更新自己的評價。

User State Transition in Unirep

這裏也是用 User State Transition Proof 去保證使用者是根據正確的方式計算出最新的 UST，且用 epoch tree 限制使用者必須處理每一把 epoch key 的結果。

亦即，需要等到 epoch 結束後，Alice 才能透過 User State Transition 獲得 Airbnb 房東的評價，更新自己的使用者狀態。

證明評價

當使用者通過 User State Transition 之後會有最新的 UST 狀態，此時 Alice 就可以透過 reputation proof 向 Booking.com 她有來自 Airbnb 的評價，在reputation proof 中檢查使用者是否有其宣稱的 UST (例如總共有多少好評、多少差評來自哪一個 attester ID)，並且此 UST 的狀態儲存在當前 epoch 的 GST 中。

在生成 reputation proof 時，即使 Alice 總共有 100 個好評，但 Alice 仍可以產生「至少有10個好評」的證明，Booking.com 的房東若驗證成功，則只能知道 Alice 宣稱的「至少有 10 個好評」而不能知道 Alice 總共有 100 個好評。

常見問題

Alice 能不能給 Airbnb 的房東評價？ Alice 能不能給 Bob 評價？

可以。

Airbnb 的房東和 Bob 也都能產生 epoch key，因此如果 Alice 有兩者的 epoch key 及合法的 proof 則可以給予評價。此時 Alice 可以選擇透過 Airbnb、Booking.com、或甚至自己的 Ethereum account 當作證人給予評價 (也必須選擇一個證人)。

Alice 可以透過 Unirep 給 Airbnb 評價嗎？

如果 Airbnb 也透過 Unirep 註冊為使用者，並且產生 epoch key 的話就可以。但如果 Airbnb 只註冊為證人的話不行。

Alice 可以證明評價來自哪一個 Airbnb 房東嗎？

如果 Airbnb 的房東沒有註冊為證人，則 Alice 不能證明評價來自哪個房東。

若 Airbnb 的房東用自己的 Ethereum account 註冊為證人，則 Alice 只能證明評價來自這個 Ethereum account，但無法知道這個 account 是一個 Airbnb 的房東。

從 Airbnb 獲得的評價可以在 Booking.com 花費嗎？

需看 Booking.com 的智能合約如何定義，但一般來說不行，因為 attester ID不同，但未來可能會開發各個應用程式之間的兌換評價功能。

如果遲遲不執行 User State Transition 會發生什麼事？會不會收不到之前的評價？

若 Alice 在第一個 epoch 註冊，並在第一個 epoch 產生 epoch key 接收評價，但 Alice 到第五個 epoch 才執行 User State Transition，那 Alice 會根據第一個 epoch 的 GST、epoch tree 執行 User State Transition，因此仍然可以在第五個 epoch 收到來自第一個 epoch 的評價；而在第二到第四個 epoch 因為 Alice 無法產生出合法的 epoch key proof，因此無法接收評價。

User State Transition 可以自動執行嗎？

不行。

只有使用者主動給出私鑰，即 semaphore 的 identity，才可以產生合法的 User State Transition proof，若將私鑰交給第三方幫忙執行可能會侵害使用者的隱私。

結論

Unirep 是一個具有隱私保障的評價系統，透過 ZKP 的保護使用者可以在匿名的情況下收取評價、給予評價、並且向他人證明自己的評價。Unirep 可以用於跨應用程式間的評價證明，可以在 A 應用程式中獲得評價，並向 B 應用程式證明在 A 應用程式中獲得多少評價。若想了解更多有關 Unirep ，可以參考 Github、文件或加入 telegram 群組討論。

本文感謝 CC, Nic, Kevin, Doris 協助審稿。

Unirep介紹: 使用ZKP的評價系統 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] Crosslink 2019 Taiwan｜以太坊 2.0 的未來藍圖及挑戰
✍️ Frank Lee
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Danny Ryan（source: Crosslink 2019 Taiwan）

十月底於台北矽谷會議中心舉行的 Crosslink 2019 Taiwan，吸引了來自世界各地的區塊鏈愛好者們齊聚一堂。第一天的議程，邀請到了以太坊基金會 (Etherium Foundation, EF) 的核心研究員 Danny Ryan，會中分享了以太坊 2.0 (Ethereum 2.0)目前的研究方向以及遇到的挑戰，演講的內容主要包含了以太坊 2.0 的架構，新的分片提案，執行環境 (Execution Environments, EE)以及雙向橋接 (Two-Way Bridge)等議題。

一、以太坊 2.0 的架構

以太坊 2.0 架構（source: Crosslink 2019 Taiwan）

第零階段(Phase 0)

在 以太坊 1.0 (Ethereum 1.0) 中，使用 工作證明(Proof of Work, PoW) 作為 共識機制 (Consensus)，並藉此產生新的區塊。為了要減少工作證明產生新區塊時，所需要的大量算力，以及所花時間過長的問題，以太坊 2.0 將改為 權益證明 (Proof of Stake, PoS) 作為產生新區塊的共識機制，以太坊 2.0 PoS 創世區塊 (Genesis Block) 預計會在 2020 年 1 月 3 日產生。

第零階段會建立信標鏈(Beacon Chain)，信標鏈就是以太坊 2.0 系統層級的鏈，當從以太坊 1.0 移轉到以太坊 2.0 時，信標鏈扮演著非常重要的角色，它是整個系統的基礎。

一旦第零階段完成，將會有兩個使用中的以太坊鏈。以太坊 1.0 鏈（目前所使用的 PoW 主鏈)以及以太坊 2.0 鏈(新的信標鏈)。在這個階段，使用者在 1.0 鏈把以太幣鎖到合約裡以註冊公鑰， 2.0 鏈會承認合約內註冊的公鑰。但是，他們無法將該以太幣遷移回去以太坊 1.0 鏈上面，為了要執行信標鏈，你會需要一個信標鏈的客戶端。目前，許多團隊正在開發這些客戶端。

第一階段(Phase 1)

第一階段會加入分片鏈(Shard Chains)，在這個階段主要專注於分片鏈的資料結構，以及其有效性(Validity)和共識性(Consensus)，分片鏈在這階段只當作資料鏈，並不會指定分片鏈狀態執行(State Execution) 或帳戶餘額(Account Balances)。這比較像是對分片結構進行測試，而不是嘗試利用分片來對信標鏈進行擴展。在這階段，信標鏈會把分片鏈的區塊(Block)， 當作沒有結構或意義的位元集合(Collections Of Bits)。以太坊 1.0 和以太坊 2.0 仍將同時存在，並且在以太坊 2.0 鏈上進行測試和遷移。

這個階段分片鏈會與信標鏈交聯(Crosslinks) ，每個分片的當前狀態 — “結合資料根(Combined Data Root)”，會定期記錄在“信標鏈”區塊中，作為交聯。信標鏈區塊完成後，相應的分片區塊(Shard Block)將被視為已完成，其他分片知道它們可以依靠這些區塊進行跨分片交易。

交聯是委員會(Committee)的一組簽名(Signatures)，證明了分片鏈中的某個區塊，可以包含在信標鏈中。交聯是信標鏈”理解”分片鏈更新狀態的主要方式。交聯還用作異步跨分片通信的基礎結構。

信標鏈在每個時段(Slot)中的每個分片，隨機選擇分片驗證者(Shard Validators) ，分片驗證者只是用來在每個區塊的內容上達成一致，他們通過交聯證明分片的內容和狀態，分片中包含什麼內容都沒有關係，只要所有委員會都達成共識，並定期更新分片上的信標鏈即可。

第二階段(Phase 2)

第二階段會將所有功能開始結合在一起，在第二階段，會完成分片化，分片鏈從簡單的數據容器過渡到結構化鏈狀態，並將重新引入智能合約。每個分片將管理基於 eWASM(Ethereum flavored WebAssembly) 的虛擬機。它會支援帳戶(Accounts)、合約(Contracts)、狀態(State)，以及 Solidity 中我們熟悉的其他抽象化，預計在第二階段之前或第二階段開發時，大家熟悉的工具（例如 Truffle, Solc, Ganache）需要轉換成支持 eWASM 的版本，以太坊 1.0 及以太坊 2.0 可藉由雙向橋接來互通，會有可擴展的 Layer 1 執行，藉由無狀態執行，來提高執行速度。

二、新的分片提案

新的分片提案（source: Crosslink 2019 Taiwan）

以太坊 2.0 原提案所運作的機制，是以每個時期 (Epoch) 為單位，來進行交聯的動作，每個鏈上有1024 個片 (Shards)，當需要跨分鏈交易(Tx)時，由於是每個時期進行交聯，會有較大的延遲時間；新提案更新為每個時段都進行交聯的動作，並減少片(Shards)的數量為 64個，來降低跨分片(Cross-Shard)交易時的延遲時間，每個時段都進行跨分片交易。

新提案的優點

對於以太坊 2.0 新提案的優點，首先新提案的片 (Shards)數量由 1024 個降至 64 個，降低了運算的複雜度，因為跨鏈時間從一個 epoch 降到一個 slot ，時間縮短第一個好處是給 DApp 開發者及使用者更好的體驗。第二個好處是以往需要手續費市場(Complex Fee Market) 及樂觀狀態(Optimistic State)這兩種複雜的跨鏈交易解決方案，現在不需要了。

新提案的交易

新提案只需要比之前的提案更少的片 (Shards)，就可以啟動交易，可能會有更長的分片時段(12s)，更大的分片區塊(Shard Block)，目前更新到第零階段 ，第零階段測試網(Testnets)的測試，可能會有所延遲 ，新提案減少了第零階段發布所需的時間。

目前的想法

希望能給開發者及使用者更好的體驗，使用較大的分片區塊(Shard Block)，來改進資料可用性，以及要降低開發延遲和第零階段發布所需花費的時間。

三、執行環境

以太坊 1.0 簡易架構圖（source: Crosslink 2019 Taiwan）

在之前設計的以太坊 2.0 和以太坊 1.0 中，狀態在共識機制裡，扮演著非常重要的角色，共識機制會隨時去讀寫所有的狀態，不管是執行的概念、交易的概念、帳戶的概念、樹狀結構的概念、以及所有在資料結構中的概念，都深深地融入共識中。

上圖是以太坊 1.0 的簡易架構圖，在圖中我們可以看到共識機制及一條鏈，共識機制裡包含了狀態及一個執行引擎，狀態裡包含了狀態樹，在這裡的執行引擎使用硬編碼規則，裡面包含了執行交易、帳戶模型和帳戶結構，我們可以看到圖的右邊有一條鏈，鏈上面有交易資料，在以太坊 1.0 中，我們會在交易資料上執行共識機制，去修改和更新狀態。

執行環境是一個單獨的虛擬機器，在以太坊 1.0 中，會有一個特定的帳戶模型(Account Model)，以及事先定義好的操作碼 (Opcodes)，礦工機制 (Gas Mechanisms)和狀態根(State Root)，以太坊虛擬機 (Ethereum Virtual Machine, EVM) 就是一種特定的執行環境。

如果遵循 EIP(Ethereum Improvement Proposals) 的建議，開發者總是在要求新的操作碼，或著是更改礦工成本(Gas Cost)來支援他們的應用，像是 Plasma 和 Zkrollup 這樣的例子有很多，這樣就會需要修改 EVM 1.0 的執行環境 ，才能支援到他們的應用程式(DApp)。

但是在以太坊 2.0 的第二階段中，我們可以支持多個執行環境。 也可以有多個狀態根，不同的帳戶模型等。舉個例子，你可以定義一個臉書幣執行環境 (Libra EE)，以便在以太坊 2.0 上運行 Libra。 或者，您可以定義一個比特幣執行環境 (BitCoin EE)，這樣就可以在以太坊 2.0 上運行比特幣。

以太坊 2.0 簡易架構圖（source: Crosslink 2019 Taiwan）

在以太坊 2.0 簡易架構圖中我們可以看到狀態根， 它可能是 32 Bytes 的 Blob，上面有 WASM 的執行碼 (Execution Code)，可以在使用者層級中去做細部設定。圖片右邊有一個鏈，鏈上有一般的交易資料以及見證(Witnesses)，見證實際上顯示在資料庫的區塊中，你需要針對該狀態而不是資料庫執行該筆交易，而且還需要證明資料對於當前狀態根是有效的。舉個例子，如果我們要在帳戶 A 和帳戶 B 之間傳遞數值，假設從帳戶 A 移動 5 以太幣 到帳戶 B ，我們不能直接說帳戶和餘額 (Balance) 是確實可用的，在過程中，我們需要加入見證資料(Witness Data)，來證明兩個帳戶當前的狀態，當執行碼正在執行交易資料時， 狀態根可以修改和更新狀態樹。

執行環境並不是共識機制預先定義好的，他可以在使用者層級上去做新增，我們也可以把以太坊 1.0 複製一份到以太坊 2.0 的執行環境中，將現有的狀態根放入EVM 直譯器，用梅克爾見證驗證器(Merkle Witness Verifier)來當作他的執行碼。

在原先的提案中，狀態和共識息息相關，且執行帳戶和共識中包含了狀態樹結構；而在新的提案中，執行環境為無狀態模型(Stateless Model)，高度抽象化的，並且它的可擴展性，相較原先的提案高出非常多。

執行環境的優點

執行環境有許多優點，相較於舊系統，它也許可以更快地將產品推向市場，因為我們不必等到核心共識推出之後，才研究並發展這個概念，在 Layer 1 會有更少的阻礙，它可以在各種應用上，使用具高擴展性及資料可用性的執行引擎，所以未來會長期使用這個核心基礎層。

執行環境的設計完成，讓以太坊 1.0 到以太坊 2.0 的遷移，有了更清楚的方向，使用執行環境比較不會有技術隨時間遷移而過時的問題產生。

執行環境交易

對於執行環境交易，開發者及使用者可能會覺得太抽象，對什麼是執行環境感到困惑，像是這一層加了什麼？應該在這一層做什麼？誰應該寫執行環境？而且相關的開發規範會趨向更嚴格的形式。

虛擬機可能會有潛在的碎片化問題，進而影響到交易速度。

目前的想法

目前所有的研究都是正向發展的，還有充裕的時間，嘗試並更好地了解設計空間，未來會多花一些時間，在建立更好的執行環境通訊機制上面。整體來說，現階段的進度，對於未來是重要的里程碑。

四、雙向橋接

最後一個主題，主要討論開發雙向橋接是否是值得的？團隊可能可以在什麼時間點，來去做雙向橋接？

單向橋接示意圖（source: Crosslink 2019 Taiwan）

講者先前提過的提案中，以太坊 2.0 最初有一個單向橋接，所以你可以從以太坊 1.0 轉換到 以太坊 2.0，但是最初的架構不允許回傳，這主要是出於幾個原因，這需要我們將以太坊 1.0 的發展 與 以太坊 1.0 和以太坊 2.0 的硬分叉緊密結合，並把兩個系統置於互相影響的風險之中，因此團隊認為以太坊 2.0 在發布且穩定之前，將兩邊緊密耦合是不明智的。

單向橋接的問題

月初在日本大阪舉行的 Devcon 5 上，橋接的問題受到了廣泛的討論，原提案的單向橋接(One-Way Bridge)模式，會有驗證者流動性的問題，而且更重要的是，它可能會引發以太坊 1.0 和以太坊 2.0 之間的可替代性問題，如果我們允許以太坊 2.0上的流動性，那麼某種形式的轉移機制，就會在將以太坊 1.0 分叉到以太坊 2.0 之前，或著是在雙向橋接之前產生，交易所中很可能會同時有兩個幣，團隊和整個驗證者社區都很擔心這個問題，目前正在找尋減輕這個問題的方法。

另外也希望鼓勵大家，在這些早期階段進行驗證，但是在早期階段進行驗證，肯定會有很高的風險，因為存在未知的鎖定期，因此也希望找到方法減輕這種風險。

雙向橋接

雙向橋接示意圖（source: Crosslink 2019 Taiwan）

雙向橋接目前可能的路線有兩條，一種是在以太坊 1.0 上面，建立以太坊 2.0 的輕節點；另一種是在以太坊 1.0 上運作以太坊 2.0 的全節點。

路線Ａ： 在以太坊 1.0 上，建立以太坊 2.0 輕節點

路徑Ａ示意圖（source: Crosslink 2019 Taiwan）

這個路線需要在實際的 EVM 中支援 BLS-12–381，會花費很多開發時間，而且它只提供輕量客戶端 (Light-Client) 層級的安全性。當驗證者在 2.0 鏈上產生提款交易的收據時，我們會拿到以太坊 2.0 的輕量客戶端證明，一但收收據的區塊在以太坊 2.0 上敲定了，你就可以在以太坊 1.0 的合約上提款。不過，這可能不是團隊最終選擇的路線。

路線Ｂ：在以太坊 1.0 上，運行以太坊 2.0 的全節點

路徑Ｂ示意圖（source: Crosslink 2019 Taiwan）

第二種路線，會在以太坊 1.0 的節點上，運行以太坊 2.0 的全節點，這個路線允許我們使用敲定性機制，因此，我們不僅可以使用這種機制，來促進以太坊 1.0 和以太坊 2.0 之間的轉移，我們也可以利用驗證者的安全性，來保護以太坊 1.0 鏈，我認為大家對此感到非常興奮，這通常被稱為“敲定性小工具提案(Finality Gadget Proposal)”。

但是還是需要一種機制，去輸出以太坊 2.0 狀態根在以太坊 1.0 上，所以有一些以太坊 2.0 社群的討論，在研究如何實作它，可能會包含礦工機制。

輸出以太坊 2.0 狀態根的另一個優勢，是以太坊 1.0 有穩固的機制可以實現它，以及同時擁有以太坊 2.0 的高擴展性及資料可用性，可以做一些有趣的應用，像是 ZK Rollup 和 Optimistic Rollup。

雙向橋接的優點

如果你在交易所中，列出以太坊 1.0 以太幣和以太坊 2.0 以太幣，它們的價格應該一樣。 如果不一樣，你可以用較低的價格買一個以太幣，把他發送到橋上，然後以較高的價格獲得另一種以太幣，並把它出售。 這種套利會使它們的價格保持不變，這樣會讓用戶，驗證者和開發人員感到困惑，雙向橋接可以防止兩邊的貨幣藉由套利的形式，來互相轉換。

雙向橋接的交易

但是還是有一些權衡在這裏，儘管對以太坊 2.0 的設計非常有信心，團隊還是希望在影響到以太坊 1.0 的安全性和風險狀況之前，先在生產環境中得到驗證。

雙向橋接是一種緊密耦合的共識機制，對於兩邊鏈的攻擊及產生的問題，都會影響到另一邊的鏈，協定的開發勢必會非常煩瑣，我們需要考慮到每個協定的安全性，如果我們越早開發協議，那麼我們實際上的進度就越少，當每個障礙隨著時間發展，它們就會相互阻礙，這讓以太坊 1.0 在這一點上的開發速度比以太坊 2.0 慢得多，因為實際用戶群存在很多擔憂，並且需要大量的協調，才能在我們的生產網絡上獲得硬分叉。

所以，如果我們越早將這些東西連在一起，就可能會減慢以太坊 2.0 的開發和分叉週期，並且這增加了一些額外的開銷，換句話說，驗證我們可以鏈接客戶端的開銷是相對的。

目前的想法

我們應該會在加入驗證人流動性之前啟用橋樑，但是會等到第一階段的產品穩定之後再開放；同樣的，有很多相關的研究都在同時進行，這可能會影響到，何時完成這個操作。

名詞解釋：

EIP(Ethereum Improvement Proposals)：EIP 是以太坊平台的標準，其內容包含了核心協議的規範，客戶端 API 以及合約標準。

epoch ：在以太坊 2.0 中，epoch 指的是時長 6.4 分鐘的時間單位，每個epoch 包含64個 slots。

Slot(時段)：每個時段為 6 秒，不一定每個時段都能產生區塊，而epoch 中最後一個 slot 稱為邊界時段 (Boundary Slot) ，或稱為檢查點 (Checkpoint)。

Solidity：Solidity 是一種合約導向的語言，主要用來開發智慧合約。

Consensus (共識機制)：共識機制是區塊鏈為了在各節點間達成共識，所開發的演算法。

Validator 驗證者：驗證區塊的節點，由信標鏈在每個時段(Slot)為每個 片 (Shards)隨機產生。

Gas：交易所需的費用，當 Gas 消耗完時，智慧合約會終止並進行 Rollback。

EVM(Ethereum Virtual Machine)：EVM 中文為以太坊虛擬機，是一種輕量級的虛擬機環境，Eth 1.0 中智能合約的運行環境為 EVM。

Dapp(Decentralized App)：在以太坊中，基於智能合約的應用都稱為去中心化的應用程序，即 Dapp(Decentralized App)。

ether(以太幣)：以太坊的貨幣名稱。

Finality(敲定性)：「敲定性」是 Casper 中的概念，是一種透過驗證者投票，在鏈上產生不可回朔（Rollback）的檢查點的機制。

Libra：臉書提出的加密貨幣，預計於 2020 年發行。

Merkle Tree：Merkle Tree 由計算機科學家 Ralph Merkle 所提出，中譯為雜湊樹，因為是由雜湊函式形成的樹。

Reference: [Ethereum Improvement Proposals](https://eips.ethereum.org/)

Reference: [Two-way bridges between eth1 and eth2](https://ethresear.ch/t/two-way-bridges-between-eth1-and-eth2/6286)

Reference: [Ethereum 2.0 (Serenity) Phases](https://docs.ethhub.io/ethereum-roadmap/ethereum-2.0/eth-2.0-phases/#phase-2-state-execution)

Reference: [ethfans](http://ethfa​​ns.org/)

Reference: [eth2 quick update](https://blog.ethereum.org/2019/10/23/eth2-quick-update/)

Thanks to Danny Ryan, Chih Cheng Liang, Juin Chiu, Yahsin Huang, and Jerry Ho

Crosslink 2019 Taiwan｜以太坊 2.0 的未來藍圖及挑戰 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] ZK Rollup一開始提出來的時候，是被定義為layer 2的解決方案，年初的時候一度以Plasma…
✍️ Kimi Wu
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

ZK Rollup & Optimistic Rollup

ZK Rollup不是一個新的提案，大約在一年前被Barry Whitehat所提出，同時間Vitalik在以太坊研究員的論壇有一篇比較完整的文章解釋，現在由Matter Lab在開發。研究完zk-SNARKs之後，一直沒空來看，直到最近才有機會來深入瞭解。除了ZK Rollup，也會簡單帶一下前陣子在Plasma Group所提出的 Optimistic Rollup。

ZK Rollup一開始提出來的時候，是被定義為layer 2的解決方案，年初的時候一度以Plasma Ignis這個名稱作為發表。應該是因為去年Plasma很紅，一直不斷有新的提案跟進展，加上這當時也被定義為layer 2的解決方案，這些種種原因，開發者就冠上了Plasma的名稱，不過因為這項技術跟Plasma的精神完全不一樣，被社群抗議，後來就恢復到Rollup這個名稱（開發者的聲明），所以搜尋 ‘Plasma Ignis’會找不到什麼東西。到最近，Rollup被更名為semi-layer 2的解決方案，就是有一點layer 2但又沒這麼layer 2… XD

簡單一句話解釋ZK Rollup就是，資料放在鏈上的layer 2解決方案。在瞭解ZK Rollup之前，先來解釋原本layer 2有什麼問題。以Plasma為例，Plasma鏈只把Plasma區塊的hash放上Ethereum主鏈上做公正（欲瞭解Plasma可以參考這裡），也就是在鏈下交易了數百或數千筆的交易，最後上鏈只有幾十個bytes，這是鏈下交易的精神，但也是設計上最麻煩的地方 — 資料的可取得性。

就是當有人要離開這個鏈時，需要一個額外的遊戲規則，在Plasma叫做挑戰期（因為鏈上沒有資料，需要側鏈參與者的提供證據），這衍生了有資料才能挑戰，所以大家都要存一定數量的資料，相較於跟主鏈的互動，只需要裝一個錢包，並不需要下載區塊資料，使用者體驗上差異很大。挑戰期的另一個問題是，使用者需要保持上線狀態，不然錯過挑戰期，就代表默認了交易（因為是採用詐欺證明並非是有效性證明）。簡單來說，因為資料的可取得性問題，衍生了

1.使用者需要常在線上2. 需下載部分資料

而造成使用者體驗很糟（當然現在的Plasma設計已經改進了不少）

如何資料放在鏈上，又不會造成資料過大呢？

首先，先介紹整體架構。跟Plasma一樣，有一個智能合約做擔保，有中繼者(relayer)幫忙送交易到智能合約（在Plasma叫operator），中繼者除了送交易外，還需要產生SNARK證明，一起送上鏈做驗證。

智能合約的部分，可以想像跟ERC20一樣，在合約裡記每個參與者的帳，差別在於，標準的ERC20交易是由Ethereum這系統做驗證，也因此不能合併（因為這就是Ethereum的標準交易），而Rollup中，是把好幾筆交易包成一個標準交易，對Ethereum這個系統，就是一個交易，而驗證交易的有效性則由智能合約做驗證。

實際在智能合約裡，用兩個merkle tree做紀錄，一棵樹是紀錄地址，所以只需要樹的索引值就可以代表一個位址（未註冊的索引值內容為0），因此位址的資料量就從原本的20 bytes減少到只有3 bytes，另一棵樹則記錄balance跟nonce。

Merkle Tree of Addresses

這是資料格式（這是最初的提案，後來的實作交易量更小），

因為用索引值當地址的代表，所以只需要3 bytes（2²⁴個位址），Value的部分是以10^-6當作基底，這樣只需要15 bytes就可以代表一筆交易，而儲存這樣一筆交易大約只需要 892 gas（雖然Value是6 bytes，但是文章中的假設大部分的交易只會使用到4 bytes，所以算法是13 bytes * 68 + 2 bytes * 4 = 892），而一般ether的轉移需要21K gas，因此交易速度能提升（所以Vitalik的文章標題是”On-chain scaling to potentially ~500 tx/sec through mass tx validation”）。

https://vitalik.ca/general/2019/08/28/hybrid_layer_2.html

為什麼交易速度能提升？也順便來瞭解一下交易速度

現今以太坊每個區塊的gas上限約8M，所以若單純ether交易，速度約略是

8M / 21K / 15 ~= 25 tps

所以現在的交易瓶頸其實是gas 的問題，下降交易手續費或是提升區塊gas上限，都能適時紓困（但也會造成衍伸的問題），而ZK Rollup就是藉由交易數據量(size)的減少，進而能增加交易速度。那來看一下使用ZK Rollup後交易速度能到多快

(8M — 600K (zk-SNARK驗證) — 50K（預計合約運行的gas花費）) / 892 / 15 ~= 550 tps

這個數字就是Vitalik文章的標頭”On-chain scaling to potentially ~500 tx/sec”。但實際上並沒有這麼理想，在作者Barry的實作中，大約只有268 tps，因為每次資產的更新都會留下event，所以有多餘的gas花費，然而，這樣的設計在應用上也是比較親切的。

資料都在鏈上，而且透過zk-SNARK做驗證，代表著上鏈的資料都是被驗證過的，因此就沒有一開始layer 2遇到的問題，需要挑戰、需要下載資料等等。這也隱含著不需要信任中繼者，因為他們無法作壞，最多就是不幫你送交易。

事情沒有這麼美好…

大家都覺得zk-SNARK像個萬靈丹一樣，用了好像什麼事都解決了，不過實際上並沒有這麼完美。zk-SNARK除了需要初始設定之外，最大的問題就是需要大量的運算力，在 Barry提供的數據中，中繼者的電腦若是一台8G記憶體加上20G的硬碟swap，大概只能產生 20 tx/sec，遠遠不及預期的500tps或是實作的200多tps。所以這個方案最大的問題在於要怎麼解決算力問題。

平行運算！

Matter Lab使用了多中繼者模型跟平行運算。多中繼者的模型，很像小型的區塊鏈，使用了DPOS (Delegated Proof of Stake)，還有隨機挑選區塊產生者，所以被挑選到的區塊產生者，就可以收集交易、產生證明並且上鏈。這樣的方法避免了中心化，若中繼者被惡意攻擊，整個網路還是能運作得下去，另一方面，也為平行運算做了鋪路。零知識證明的產生非常花時間，因此基於多中繼者模型，Matter Lab提出了”上鏈-驗證”兩階段的方式，也就是中繼者先把資料上鏈，下一個階段再上傳證明做驗證，進而達到平行運算（如下圖）。再加上一些資料的最佳化，測試結果可達到1600 tps。

https://medium.com/matter-labs/introducing-matter-testnet-502fab5a6f17

延遲…

聽似很美好，但是因為你的交易被分兩階段上鏈，也就是從送出到到被驗證，會是好幾個區塊，時間比原本單純上鏈時間會更久。當然，延遲多久是使用者可接受的，這目前也無從得知。這是一個取捨，省了手續費，增加了交易速度，卻也增加了時間的延遲，這一切也要等上線後才會知道。

今年初，Vitalik在台北的線下聚會中分享了ZK Rollup的進階版 — ZK ZK Rollup，有興趣的人可以參考這篇文章，記錄的很詳細。

Plasma & Optimistic Rollup

Optimistic Rollup在設計上跟Plasma相關，所以只會簡單帶一下差異。

Karl（註）基於ZK Rollup的設計，在上個月提出Optimistic Rollup，概念上也是把資料都放鏈上，但不是用zk-SNARK做驗證，因為希望能達成更普遍性的應用。而不一樣的地方有，把from的部分，改為使用者的簽章(65 bytes)，因為資料量變大的，可想而知，花的gas會更多，交易速度就會不及ZK Rollup。另一部份是，因為不是用zk-SNARK做驗證，就需要資料驗證的輔助方法（validity game），這邊就不詳細介紹，有機會在寫一篇Plasma/Optimistic Rollup的詳細介紹。在估算上，交易速度約是100 tps，若簽章方式改為BLS，約可提升到450 tps。而在10月的硬分岔後，gas會下降，預估的交易速度也會分別到達400/2000 tps。（許願：希望有人可以介紹一下10月的硬分岔細節 XD）

註：在中文的媒體文章中，都稱他是Casper的核心研究員之一，但是從我一開始知道這個人，都是在大力宣揚Plasma，他的部落格、twitter都是跟Plasma相關的文章，不確定他在Plasma Group的角色，但我是把他定位成Plasma Group的 leader

文章內容若有錯誤或是不同觀點，歡迎指教

references:On-chain scaling to potentially ~500 tx/sec through mass tx validationIntroducing Matter TestnetOptimistic Rollup

ZK Rollup一開始提出來的時候，是被定義為layer 2的解決方案，年初的時候一度以Plasma… was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌