干货 | 再议有效性证明 vs. 错误性证明_比特币:比特币行情最新价格今日价格

作者:?AvihuLevy&UriKolodny

翻译&校对:?安仔C1int&阿剑

来源:以太坊爱好者

-图源来自?Unsplash?的?ArturTumasjan-

导语

近几个月以来,越来越多关注的目光放到了OptimisticRollup(OR)这个基于错误性证明的拓展框架上。我们StarkWare则采用有效性证明,因为它比错误性证明更安全。本文将在安全性讨论之外,列举一些VP较OR的额外优势,同时纠正大众对有效性证明的常见误解,最后介绍StarkEx——StarkWare开发、基于STARK和有效性证明的拓展引擎。

在此特别说明,和OR比较,VP具有以下优势:

从根本上更安全

撤款时的资本效率高1000倍

腾讯将组建的新游戏工作室加强对类似“元宇宙”的开发:10月21日消息,四位知情人士透露,腾讯计划通过组建一个国际化团队来建立一个新工作室,该团队将为互联网的下一阶段开发高级游戏,从而更加专注于元宇宙生态的开发。据悉,腾讯最近向其全球员工发出了一封内部信函,表示将在TiMi Studio Group下建立一个新的“F1”工作室,该工作室将涉及中国、美国、加拿大和新加坡的员工。新的 F1 工作室目前至少有 46 个不同职位的职位空缺。

TiMi Studios 拒绝对 F1 计划发表评论。天美工作室的一位代表周三表示,该公司致力于“AAA”游戏的开发,但无意讨论“时髦词”。(南华早报)[2021/10/21 20:44:58]

可拓展性更强

在计算方面,至少能达到相同的效率

安全性

在上一篇分析中,我们比较了VP和OR,前者只会在某状态转换被严格证明有效的情况下执行该状态转换,而后者则允许任意的状态转换,参与方可以针对无效的状态转换提交错误性证明。我们的上一篇文章聚焦安全性分析,明确指出了一种能在OR中实施、且会导致OR中所有资金被盗的攻击手段。区块链上的基础架构解决方案必须足够健壮,要能支撑来自金融世界、每天万亿级别的资金交互负载。VP和OR分别怎样胜任?由于在OR中窃取资金的成本和收益大小无关,所以一旦系统承载了足够多的资本,使得破坏系统变得有利可图,那理性的参与者肯定会想方设法通过攻击牟利。与OR相反,VP不会转换到任何无效的状态,使得无论承载多少资金都不会被盗。对于大规模的金融系统,VP更健壮,而OR更脆弱。

腾讯御见:警惕Linux挖矿木马SystemMiner:腾讯御见威胁情报中心今日发文称,近日腾讯安全团队在某企业成功处置一起挖矿木马事件,该企业一台Linux服务器出现系统卡慢,CPU占用高等现象。通过对故障服务器进行安全检查,发现该服务器遭遇SSH弱密码爆破入侵。入侵者植入定时任务实现持久化,定时任务下载执行病母体INT,INT内置了多个bash命令,会进一步下载执行Linux挖矿木马SystemMiner。此外入侵者还会利用运维工具ansible、knife等执行命令批量攻击感染内网其他机器,会尝试下载脚本卸载腾讯云云镜、阿里云安骑士等安防产品以实现自保护,入侵者还会修改hosts文件屏蔽其他挖矿网址以独占挖矿资源。[2020/3/4]

也可以站在数据集一旦遗失的角度分析系统的安全性。和VP相比,OR中的数据更为敏感。一旦数据遗失,OR中的资金就可能被盗——也正因如此,目前的设计方案都集中在链上数据可用性挑战上。而对于VP,由于采用了链上数据,资金就跟存在Layer-1中一样安全。至于VP的链下数据部分,资金最多被冻结,而不会失窃。

声音 | 腾讯御见:“老虎”挖矿木马通过社会工程术传播 已感染北京等地超过5000台电脑:腾讯安全御见威胁情报中心检测到通过社会工程术传播的“老虎”挖矿木马(LaofuMiner)。攻击者将远控木马程序伪装成“火爆新闻”、“内容”、“隐私资料”、“技巧”等文件名,通过社交网络发送到目标电脑,受害者双击查看文件立刻被安装“大灰狼”远控木马。攻击者通过远控木马控制中电脑下载挖矿木马,中电脑随即沦为矿工,该木马已感染近5000台电脑。因其挖矿使用的自建矿池包含字符“laofubtc”,御见威胁情报中心将其命名为老虎挖矿木马(LaofuMiner),通过腾讯安图系统溯源,发现这个老虎挖矿木马同2018年其他安全厂商报告的灰熊挖矿木马(BearMiner)同属一个黑产团伙。根据统计数据,老虎挖矿木马(LaofuMiner)已感染超过5000台电脑,影响最严重地区为北京、广东、上海、河南、山东等地。[2019/12/5]

资金效率

数字货币世界中流动性的一大痛点在于资金取款时的延迟。在OR中,标准取款窗口期大约为1周时间——这是给提交错误性证明的有效窗口时间。在VP中,标准取款窗口大约为10分钟——这是针对上一次计算结果来生成有效性证明的时间。因此OR的标准取款窗口时间要比VP长1000倍。使用OR就要承受这样1000倍的不便,这不仅是时间上的延迟,也是资金效率的降低。

腾讯研究院院长司晓:区块链等科技为法律、司法、执法带来新的发展机遇:5月8日,2018年第2期“法学家下基层”专题法治调研在深圳腾讯公司总部开展。腾讯研究院院长司晓在演讲中指出,人工智能、区块链等互联网新科技给法律、司法以及执法的发展带来了新机遇。在开辟新天地的同时,也带来了新风险,需要科技界和法律界共同应对。[2018/5/10]

我们先前描述过一个免信任的快速提款机制:想要立刻提款的用户需要给流动性提供商打一份链下资产的欠条,即签名了的条件支付交易,然后流动性提供商从自己的“存钱罐”智能合约中垫付这笔资金,在链上把欠条金额上的资金转给提款用户,整套操作需要的时间和区块链网络的转账时间差不多。流动性提供商会定期把累积的链下资产转移到链上的“存钱罐”中。

VP和OR都能应用快速取款机制。但在OR系统中,流动性提供商需要在“存钱罐”中准备1000倍的资金,因为他们收到链下资产等待的时间窗口要长1000倍。这个1000倍的比例和“存钱罐”流动性算法中的各种假设都无关:无论是基于取款金额期望值,或提款-存款差额,再或者是峰值流动性需求、平均撤款金额等等,OR需要的储备金数量都是VP的1000倍。

然而,有时根本无法使用快速撤款。对于非同质化资产就没法使用:

非同质Token:正如早先由Vitalik介绍那样,如果一只名叫Mitzi的名贵CryptoKitty存在了链下,他的所有者没法要求在链上再收到一只Mitzi,因为世界上有且只有这一只叫Mitzi的CryptoKitty。

隐蔽交易:Zerocash风格的承诺在某种程度上也是非同质化的。要想把隐蔽交易中的资金快速提到主链,用户必须要向流动性提供商揭露承诺中的数据,破坏隐蔽性。

在这种快速撤款机制无法应用的场景下,用户只能选择等待标准撤款窗口结束,VP则要比OR快1000倍。

可拓展性

在这一部分我们将对比不同的rollup系统,由于同类事物间的比较才有意义,因此我们只比较提供链上数据可用性的rollup系统,即:ORvs.STARKZK-Rollup。虽然我们不想,但是所有在链上存储数据的rollup系统都将随着rollup交易的增多而线性增大消耗的资源量。链上数据包含一些?状态以及?见证数据。OR和StR的区别在于随着交易量的增加,前者的见证数据线性增长,而后者把这些见证替换成了一个证明,这个证明的大小只会多项式对数级别增长。划重点,对于足够大、足够多的批量交易,StR的链上数据指纹要比OR小很多...

从细节出发:在StR中,见证数据能核实rollup运营者所进行的查验,因此一批计算只需要一则见证,而不需要在每一份交易后面都附一份证明。更优秀的是,在现代zkp系统中,这个证明的大小是固定的。因此随着批量交易的增大,分摊到每一条交易头上的资源消耗反而减少。在OR中,每一条交易都必须附上一则见证,使验证人能核实交易的正确性。因此对于大批量的交易,并没有均摊减少的优势。更重要的是。OR中的见证要比交易本身大很多:比方说OR见证需要包含所有用户的签名?1,而VP不需要。在单纯的支付中,见证要比支付的数据量大3到5倍;而对于复杂的应用场景,见证通常会比状态的数据大10倍以上,有时甚至更多。

总的来说,OR明显要消耗更多的链上资源,也因此比StR更快地顶到拓展性天花板。

通用计算开支

人们常常拿VP和OR的通用计算开支做对比:即对于一个给定的链下计算任务,两种不同的系统额外需要做哪些工作?下文我们将围绕StarkWare的STARK展开,因为这是我们目前应用的VP框架。

OR:由于100个验证者互相监督基本上能够保证整个计算的正确性,因此当提到OR,验证者的数量都数以百计。到了验证阶段,每一个验证人都需要进行一遍计算任务,因此在OR中做通用计算的开支是原任务的100倍。

有必要说明,验证人集合越小或者越多预先指派的情况,验证人就越容易互相勾结,或者受到外界的贿赂、攻击。

STARK:由于验证过程的计算开支微不足道,它只需要一个实体——证明者——进行大量的计算。验证的计算开支有多微不足道呢?现在我们甚至可以用一台简单的智能手机对一大批计算结果做验证,因此可以忽略验证的计算消耗。人们常说证明者的计算开支是原有任务的10000倍,因为证明需要消耗大量的计算来生成。但实际上StR需要的计算开支仅仅是100倍,因此额外的计算开支和OR大致相当。之所以说StR的计算开支仅有100倍,是基于以下理由:

对于算数/几何运算操作,我们已经达到了少于100倍的计算开支。目前应用的Pedersen哈希函数仅仅比原来的操作增加了20倍计算消耗:即用STARK来证明一个Pedersen哈希值的正确性仅仅比直接计算Pedersen慢20倍。

对于那些像SHA-256那样众所周知计算开支很大的操作,我们正试着把那些函数换成对STARK友好的操作。我们目前受以太坊基金会的资助来进行这些研究,而且在2020年第一季度,许多密码学大牛会提交给我们他们的替代方案建议。估计对STARK友好的哈希函数在证明时仅比某些高效的哈希算法的直接计算慢100倍。

最后,很多人之所以称道OR是因为它能用到通用计算中,并且将支持EVM代码,而VP不具备这一特性。对于将STARK用到通用计算中,我们持乐观的态度。

感谢DanRobinson,JohnAdler以及VitalikButerin对本文的反馈。

1?BLS通常被认为是一种高效的聚合签名机制。我们相信BLS不会只应用在这个用例中,因为它是整合多个签名到一则消息中的最佳方式。在OR的用例中,许多消息都需要由交易收/发方签名;而BLS签名的验证耗时10ms/签名,这不仅是验证人的负担,主链在判别欺诈时也需要处理这种消耗。

?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-6:124ms