water

ERC-4337 или же Account Abstraction

2023-09-08T05:42:18.914Z

Криптовалюта движется невероятно большими шагами в каждый дом и то что вчера было недоступно и сложно для рядового пользователя, через несколько лет будет обычным средством для оплаты.

Что такое Account Abstraction и зачем он нужен?

Текущие проблемы в Web3 являются существенным недостатком децентрализованного мира. К примеру, для новых пользователей процесс знакомства с блокчейном, сид фразой, кошельками может оказаться довольно сложным, а также полностью отбить желание “войти” в крипто индустрию. А это лишь один из первых шагов.

За примером не надо далеко ходить. Вы вспомните как вы выводили токены в каждую сеть для того же LayerZero. Вам нужно было раскидывать стейблы и запариваться сначала о нативках, а потом ещё и стейблах для прокрута. Представьте картину где вы выводите просто 20 USDT на аккаунт и используете их для оплаты комиссий в ЛЮБОЙ СЕТИ! Вам не надо выводить по 40 раз на аккаунт тот же matic или eth и тратиться на комисси для вывод.

пример кошелька Sequence

Так давайте разберёмся как это всё чудо работает?

Начнём с того что в Ethereum существует два типа счетов:

1) Счета, принадлежащие внешнему владельцу (Externally owned accounts, EOA)

Счета которые используют приватный ключ

2) Контрактные счета (Contract accounts, CA)

Кошелек построенный на смарт контракте

Вероятно, вы уже знакомы с EOA. Любой ваш Ethereum кошелек MetaMask, RabbyWallet или же ArgentX, являются EOA счетами и состоят из двух ключей: открытого и закрытого(приватного). С помощью приватного ключа владелец EOA кошелька может управлять своим аккаунтом.

Вывод: код определяет, что делают контрактные учетные записи, а пользователи контролируют то, что делают EOA. Это важно, потому что смарт-контракты могут делать все, что можно написать в коде, тогда как EOA могут только подписывать транзакции

На даны момент хороший пример CA wallet это CyberWallet или же Sequence.

Как Web3 работает сегодня?

Довольно утомительно. Каждый раз, для записи новой информации в блокчейн, нужно подписать транзакцию из своего EOA. Возможно, если вы уже имеете опыт это кажется лёгким, но для новых пользователей процесс запуска с нуля и взаимодействия с веб-приложением зачастую может отбить желание разбираться дальше.

Вот что должен сделать новый пользователь, чтобы выполнить свое первое действие в децентрализованном приложении (и это только начало пути):

Как это работает?

1)Принцип работы EOA

Вы просто отправляете транзакцию через ваш аккаунт в блокчейн на условно контракт ZkSync и подписываете транзакцию своим приватным ключом. То есть вы взаимодействуете с контрактом напрямую через интерфейс кошелька.

2)Принцип работы CA

Это как прокси между аккаунтом пользователя и EOA. У нас есть абстрактный аккаун, не обязательно EOA, который построенный по каким-то правилам и может отправить (не обязательно но обычно всегда через релееры) транзакцию в сеть, которая будет отправлена на Acount Abstraction Contract и в последствии на смарт контракт.

Давайте рассмотрим пример с начислением токенов или клеймом условных ZRO

1) Если мы используем EOА, то мы делаем транзакцию в сети на смарт контракт, подтверждаем владение аккаунтом подписав транзакцию приватным ключом и токены приходят на нас кошелек, то есть на наш аккаунт.

2)Во втором же случае для других контрактов отправителем транзакции в блокчейн будет являтся Acont Abstratcion Contract и именно на него придут все токены, а пользовательский (user's account) не будет учавствовать в этой системе никак. Он нужен только для того чтобы доказать что у пользователя есть доступ к AA.

Как отличить EOA от CA в блокчейне?

Любой EOA состоит только из 2 основных элементов:

1) Nonce: число, обозначающее количество отправленных транзакций или созданных контрактов.

2) Баланс: количество средств на счету

Storage Hash и Code Hash: являются пустыми в хэше транзакции

В тоже время как CA счет состоит из 4 элементов:

1) Nonce: число транзакций почти всегда будет являются пустым так как напрямую с CA аккаунта нельзя сделать транзакцию, но можно сделать внутренний кол на другие контракты.

2) Баланс

3) Storage Hash: хэш, кодирующий содержимое хранилища аккаунта.

4) Code Hash: хэш кода аккаунта в EVM.

Текущие минусы EOA

Скорее всего, вы уже знакомы со словом DRAIN и с ситуацией, когда кто-то из ваших знакомых терял доступ к EOA, случайно поделившись своим приватным ключом или потеряв к нему доступ через неакуртно использованный софт. Примеры:

QuadrigaCX и потеря миллионов долларов в связи со смертью человека, у которого был пароль. Кстати, там много “теорий заговора” и других интересных моментов, Netflix сняли крутой фильм про это;
Мужчина потерял доступ к своим BTC на $321 млн;
Парень заблокировал телефон с потенциально $6 млн.

Вывод: уровень ответственности с традиционными EOAs опасно высок, ведь ваш закрытый ключ это полный контроль над вашими средствами. А его не так уж и сложно потерять, и невозможно восстановить

Есть даже поговорка на этот счет: "не ваши ключи, не ваша криптовалюта",

тем более в современную эру софтов с закрытым кодом и ловушек с подменой смарт контрактов в открытом коде

Что даст нам EIP-4337?

Идея абстракции учетной записи Ethereum состоит в том, чтобы объединить сильные стороны двух типов учетных записей и сделать их одним целым. Проще говоря, абстракция учетной записи означает, что обычные пользователи переключаются с EOAs на CAs по мере необходимости. А кошелек Ethereum превращается в абстрактный смарт-контракт. Это полностью избавляет пользователей от необходимости использовать EOA для выполнения транзакций.

Вариантов использования ERC-4337 может быть очень много - всё что можно прописать в коде.

Плюсы перехода:

Нет закрытого ключа. Больше никаких 12 слов, и никакого страха их потерять. Вы можете написать в коде любую произвольную логику, позволяющую восстановить средства в кошельке. Возможно восстановление доступа при помощи сторонних сервисов, при помощи заранее назначенных пользователей и т.д. Почти полная аналогия с банковским мобильным приложением.
Защита кошельков без seed-фразы. Пользователи могут включить двухфакторную аутентификацию и биометрические данные (сканирование отпечатков пальцев или лица) для защиты своих кошельков.
Автоматические, запланированные платежи / лимиты расходов на указанный период.
Транзакции без уплаты gas. Децентрализованные приложения могут покрывать расходы своих клиентов, чтобы привлечь дополнительных пользователей.
Сессия. Использование ключей сессий для игр на блокчейне без необходимости постоянного подтверждения транзакций.
С абстракцией учетные записи могут быть запрограммированы на требование нескольких подписей перед выполнением транзакции, что фактически делает каждую учетную запись multi-sig кошельком по умолчанию. Это позволяет пользователям легко реализовывать функциональность мультиподписи без использования отдельного контракта.
Возможность пакетной обработки транзакций. Например, утверждение передачи токена и передача токена в одной и той же операции.

Какие риски обновления AA?

Несмотря на повышенную гибкость, которую даёт AA, также важно отметить увеличивающееся количество векторов, подлежащие должной защите.

Некоторые другие потенциальные проблемы с абстракцией учетной записи включают в себя более высокую плату за газ — кошельки со смарт-контрактами могут требовать большой вычислительной мощности для выполнения. Кошельки смарт-контрактов должны быть развернуты отдельно для каждого блокчейна, текущие попытки реализовать поддержку нескольких блокчейнов пока не сильно успешны.

Вывод

Преимущества абстрактных учётных записей всё же превышают опасения по поводу безопасности. Но в любом случае всё зависит от индивидуального восприятия риска. Как всегда, нужно будет сделать свой ресерч (DYOR).

Несмотря на то, что АА обсуждается с первых дней существования Ethereum, сейчас мы видим реалистичные предложения по его реализации. AA это несомненно именно то, как должны выглядеть кошельки следующего поколения, также это огромный шаг к большему уровню принятия крипты.

Нас ждут интересные нововведения, и варианты использования. Это станет одним из сильнейших нарративов в индустрии, также нужно будет обратить на компании, которые предложат лучший продукт.

Сейчас над внедрением AA работают уже многие кошельки, включая сам MetaMask, а также Argent, Safe, Ambire Wallet, Braavos, lens wallet, Sequence, Patch, Wallet Soul Wallet и многие другие.

Как работают ZK-proofs и zkEVM?

2023-08-17T17:00:57.265Z

Данная статья является сборником с википедии, ютуба, статей от Jarr o d Watts.,форквлога, прочтением научных робот от HAL open sience и др.

Пост сделан в образовательных целях для СНГ сибил атакеров, чтобы они хоть немного понимали принцип работы сетей в которых они пытаются получить токен.

Оглавение

1. Вступление

1.2 Что такое Zero-knowledge?

2. Как работает ZK Proof?

3. Что составляет доказательство ZK?

4. Интерактивные доказательства ZK

5.Неинтерактивные ZK-доказательства

5.1 Что такое ZKP?

6. Что такое ZK-SNARK?

6.1 Что такое CRS и как он работает?

7.Что такое ZK-STARK?

8.Различия между Stark и Snark

9. Как работает zkEVM?

10.Подведение итогов

Вступление

Как бы ни была прекрасна идея публичного блокчейна без права доступа, без обеспечения конфиденциальности данных будущее, насыщенное Web 3.0, может выглядеть как антиутопия, в которой каждая транзакция оставляет чёткий след, позволяющий общественности узнать о вас всё.

Общедоступные записи транзакций хороши в качестве верифицируемых доказательств деятельности, но любой человек может покопаться в них, связать платёж с платежом, привязать вашу реальную личность к ончейн-следам и использовать их против вас.

Аналогичным образом, отсутствие масштабируемости может серьёзно затормозить перспективы принятия блокчейна.

Проблема масштабируемости лежит в основе большинства инноваций блокчейна, которые наблюдали в последние пару лет. Без ущерба для децентрализации текущее состояние технологии блокчейн просто не может поддерживать приложения, которые достигнут массового принятия.

Что такое Zero-knowledge?

Zero-knowledge (ZK) - доказательства с нулевым знанием, лежат в основе самых последних инноваций в web3. Они уже используются в таких продуктах, как zkEVM, ZkSync, Scroll и др, для обеспечения верифицируемой масштабируемости Ethereum и Polygon ID для подтверждения вашей личности без раскрытия персональных данных.

Кратко: ZK-доказательства позволяют доказать что-то, не без раскрытия самой вещи. Это имеет несколько реальных применений, например, проверка возраста без предоставления полной информации о правах/паспорте.

Как работает ZK Proof?

Чтобы доказать истинность утверждения, не раскрывая самого утверждения, необходимо участие двух сторон:

Доказатель(Prover): человек, пытающийся что-то доказать
Верификатор(Verifier): лицо, пытающееся подтвердить, что утверждение является "реальным".

Иногда в процессе участвует третья сторона - эмитент, который выдает проверяющему сертификат (например, лицензию), которому проверяющий доверяет как источнику информации.

Рассмотрим пример... Я хочу купить пиво и доказать продавцу, что мне больше 18 лет, не показывая при этом информацию в паспорте. В данной ситуации существуют:

Доказатель(the Holder): Я, человек, пытающийся доказать, что я совершеннолетний.
Верификатор(the Verifier): Продавец, пытающийся проверить, достиг ли я совершеннолетия.
Эмитент(the Issuer): государство, которое выдает мне паспорт; документ, которому продавщица доверяет и что может подтвердить мой возраст.

Как правило, для подтверждения того, что мне уже исполнилось 18 лет, необходимо показать всего первую страничку паспорта (чего я делать не хочу).

Применим это к Спанч Бобу. Спанч Боб хочет доказать, что его на самом деле зовут Спанч Боб, но для этого ему нужно предоставить свою полную лицензию проверяющему.

Его лицензия содержит конфиденциальную информацию, такую как его дата рождения, адрес, пол и многое другое; все это не обязательно для подтверждения его имени; но, увы, другого выхода у него нет.

Было бы намного лучше, если бы Спанч Боб смог доказать свое имя, или если бы я мог каким-то образом доказать, что мне больше 18 лет, без необходимости передавать так много конфиденциальной информации.

Это яркий пример того, как доказательства ZK представляют реальную ценность для мира. С доказательствами ZK я теперь могу доказать часть своей личности верификатору, не предоставляя никаких аспектов моей личности или каких-либо подтверждающих документов, подтверждающих этот факт.

Таким образом, я никогда не передаю конфиденциальную личную информацию третьей стороне для хранения в базе данных; уязвимых для атак и утечек; то, чем мы в настоящее время рискуем почти каждый раз, когда регистрируемся на веб-сайте.

Все это звучит великолепно. Но как доказать что-то, не раскрывая ничего об этом? Для этого мы можем углубиться в то, что такое доказательства ZK.

Что составляет доказательство ZK?

Итак, мы хотим что-то доказать, не раскрывая, откуда мы это знаем или что это за вещь вообще. Как это возможно?

Прежде чем мы сможем ответить на этот вопрос, доказательства ZK можно разделить на две большие категории:

Интерактивный
Не интерактивый

Те, которые нас интересуют в web3, являются неинтерактивными, но давайте кратко остановимся на том, что такое "интерактивность" в контексте ZK.

Свидетель(the witness) - в фунцкии Zk-rollup относится к криптографическому доказательству, которое позволяет убедиться в правильности выполнения операций во вторичной цепи (rollup chain) без раскрытия конкретных данных.
Проверяющий(the prover) - это сторона, которая имеет определенную информацию и хочет убедить другую сторону в верности какого-либо утверждения, связанного с этой информацией. Процесс доказательства требует от доказателя создания специального доказательства, которое может быть проверено другой стороной без раскрытия самой информации.
Проверяющий (the verifier ) - это сторона, которая принимает доказательство от доказателя и проверяет его на корректность. Проверяющий не должен знать исходных данных или информации, но он может быть уверен в том, что утверждение верно на основе проверенного доказательства.

Интерактивные доказательства ZK

Для наглядности стоит использовать пример с Шерлоком (справа) и Ватсоном (слева).

У Шерлока есть две сферы, которые являются одинаковыми по форме и цвету. С правой стороны у Шерлока синяя и красная сферы, с левой стороны находится Ватсон, который не различает цвета поскольку является дальтоником.

При этом Шерлок может доказать Ватсону что Ватсон может их различать с помощью ZK-доказательств при этом не раскрывая ему информацию о цвете сфер.

Для примера возьмем следующее действие.

Ватсон берёт сферы у Шерлока и перекладывает их себе за спину в таком же порядке, после чего выбирает одно из следующих действий:

1) Оставить их на том же месте (у себя за спиной, при этом для него сферы по прежнему остаются бесцветными)

2) Или же поменять их местами друг с другом любое количество раз

На что Шерлок после любой из двух манипуляций со сферами (действие или бездействие) должен дать ответ Ватсону, поменял ли Ватсон сферы местами или нет.

Шерлок отвечает что Ватсон "поменял" или "не поменял" цвета сфер и это будет являться правильным ответом в зависимости от действий Ватсона, но при этом Шерлок по прежнему не раскрыл Ватсону цвета данных сфер.

Конечно Ватсону может повезти, поэтому действие с перемешиванием сфер или бездействием повторяется много раз и ни один ответ Шерлока из N количества повторений цикла не раскрывает информацию о сферах. То есть это означает что Шерлок может различать цвета с высокой точностью и ни один из ответов Шерлока не раскрывает цвет сфер для Ватсона.

Правильно ли видит цвета Шерлок?

ZK-доказательства это весомый атрибут в проведении транзакции и необходимо быть аккуратным и точным чтобы убедить третью сторону в том что Шерлок может видеть цвета.

Соответствует ли протокол использующий технологию ZK требованию точности и достоверности ответов Шерлока?

Допустим что Ватсон записывает все свои действия, а так же ответы Шерлока на камеру

Видеозапись не способна убедить нас в том что Шерлок может различать цвета или делает это правильно.

Почему?

Шерлок и Ватсон могли заранее договориться до записи видео в каком порядке менять сферы после того как они решили доказать нам достоверность слов Шерлока о цвете сфер.

Мы никогда не сможем сказать была ли это подлинная запись о том что Шерлок может различать цвета или же они заранее договорились о подделке.

Хотя этот процесс работает, он требует много раундов связи между проверяющим и проверяемым, что неэффективно и не очень хорошо работает в контексте блокчейн.

Интерактивные доказательства имеют и еще одно существенное ограничение: даже после того как верификатор удовлетворен, доказательство будет недоступно для независимой проверки, то есть доверять ему может только тот, кто его проверил, а не кто-либо другой.

По этим причинам были созданы неинтерактивные ZK-доказательства.

Более детально можно ознакомиться посмотрев видео от кофаундера зксинка.

Неинтерактивные ZK-доказательства

Неинтерактивные ZK-доказательства требуют только одного раунда передачи данных от проверяющего(verifier) к проверяемому(prover). Доказатель использует алгоритм для вычисления ZK-доказательства и отправляет его верификатору, который также использует другой алгоритм для его проверки.

Ещё одним преимуществом неинтерактивных ZK-доказательств является то, что они доступны для проверки всем желающим, то есть они не просто доказаны с точки зрения проверяющего, а доступны для проверки всеми желающими, что подходит для блокчейна.

Что это за "алгоритмы", которые способны доказывать информацию и проверять доказательства?

Ответ: зависит от ситуации. Их достаточно много, но в контексте блокчейна обычно используются две системы ZKP:

ZK-SNARKs
ZK-STARKs

Что такое ZKP?

ZKP (расшифровывается как zero-knowledge proof) позволяет одной стороне проверить утверждение о том, что транзакция действительна или верна, без необходимости нести дополнительную информацию о транзакции.

Благодаря им криптография нашла способ доказать подлинность транзакции без раскрытия конфиденциальной информации. Технологии ZKP могли не только обеспечить действительно приватные транзакции, но и помочь таким сетям, как Ethereum, масштабироваться.

Что такое ZK-SNARK?

ZK-SNARK значит Zero-Knowledge Succinct Non-Interactive Argument of Knowledge и обозначает краткий неинтерактивный аргумент знания с нулевым разглашением. Доказательство Zk-SNARK уже используются в Zcash, платежной системе JP Morgan Chase, основанной на блокчейн, и в качестве способа безопасной аутентификации клиентов на серверах.

ZK: Эта пара (букв) расшифровывается как «нулевое знание», означая, что zk-SNARK не предоставляет никакой дополнительной информации, кроме достоверности утверждений отправителя. Любая информация, описывающая характер транзакции (транзакций), её участников и обмениваемую ценность, скрыта от верификатора.
Лаконичность: они небольшие по размеру и быстро проверяются верификатором. Все, от генерации доказательства до представления и проверки, происходит в рамках одной транзакции.
Неинтерактивность: об этом мы говорили ранее. Требуется только один раунд обмена данными между проверяющим и верификатором.
Аргумент(Аргумент знания): Теоретически, крайне маловероятно "обмануть" систему.
Знания: Его нельзя построить без доступа к секретной информации (свидетелю).

В них используется криптографический примитив, называемый эллиптической кривой (elliptic curve pairing) как метод создания и проверки этих доказательств.

Важно отметить, что на этапе начальной настройки ZK-SNARK, проверяющий и верификатор должны договориться об использовании "общего ключа", известного как Common Reference String (CRS). Любой человек, имеющий доступ к этому общему ключу, может проверить доказательства.

Именно этот общий ключ и делает возможным использование ZK-SNARK, хотя это, пожалуй, самый большой их недостаток, поскольку он создает так называемое "надёжное окружение" (trusted environment) .

Значения, используемые для создания CRS, которые иногда называют "токсичными отходами", должны быть уничтожены после создания общего ключа.

В противном случае вся система подвергается риску, поскольку недобросовестные проверяющие смогут вычислить ложные доказательства. Следовательно, пользователи должны верить, что исходные значения уничтожены.

Следует также отметить, что ZK SNARK не являются "квантоустойчивыми"

Это означает, что в будущем они будут уязвимы для атак квантовых компьютеров, хотя в перспективе их можно будет модернизировать, сделав квантово-устойчивыми.

Что такое CRS и как он работает?

Создание CRS: Сначала система создает Common Reference String, который содержит математические параметры. Эти параметры будут использованы для создания нулевых доказательств(ZKP) в будущем.
Создание роллапов: Участники начинают совершать маленькие транзакции между собой. Вместо того чтобы каждая транзакция записывалась на основной блокчейн, они собирают много транзакций вместе в пакеты, называемые роллапами. То есть сами ролапы в экосистеме ZK выступают как контейнеры для переноски транзакий.
Создание нулевых доказательств: Перед тем как отправить роллап на основной блокчейн, участники создают нулевые доказательства, используя параметры из CRS. Эти доказательства подтверждают, что все транзакции в роллапе верны и соблюдают правила, но не раскрывают детали самих транзакций.
Проверка на основном блокчейне: Роллапы, вместе с нулевыми доказательствами, отправляются на основной блокчейн для проверки. Другие участники блокчейна могут использовать параметры из общего CRS, чтобы быстро и легко проверить доказательства и убедиться, что роллапы корректны.
Масштабируемость и конфиденциальность: Таким образом, благодаря использованию CRS и нулевых доказательств, система может обрабатывать много транзакций эффективно и безопасно. При этом конфиденциальность транзакций сохраняется, так как роллапы не раскрывают детали сделанных операций.

Что такое ZK-STARK?

Первые работы с подробным описанием STARK были опубликованы в 2018 году Эли Бен-Сассоном, Иддо Бентовым, Йиноном Хореши и Михаилом Рябцевым. Будучи еще одним типом неинтерактивного доказательства с нулевым знанием, zk-STARK менее популярны, чем их аналоги zkSNARK, в основном потому, что это более новая модель.

ZK-STARK означает Zero-Knowledge Scalable Transparent Argument of Knowledge, представляет собой "краткий прозрачный аргумент знания, с нулевым разглашением".

ZK-SNARK добились значительных успехов, в становлении и адаптации, ZK-STARK теперь рекламируются как новая и улучшенная версия протокола, устраняющая многие из предыдущих недостатков ZK-SNARK.

ZK: Как и в случае с «ZK-SNARKs», это также означает «zero-knowledge», подразумевая, что они доказывают транзакции или взаимодействия без раскрытия какой-либо базовой информации, за исключением того, что они являются правильными и подлинными.
Scalable(масштабируемость): эти ZKP направлены на повышение масштабируемости блокчейна. ZK-STARKs позволяют разработчикам выполнять вычисления и хранить данные вне цепи, увеличивая масштабируемость экспоненциально(1). Доказательства с нулевым знанием подтверждают эти действия оффчейн, которые затем представляются в режиме онлайн для проверки заинтересованными сторонами.
Transparent(прозрачность): и это качество является одним из наиболее существенных отличий между zk-STARK и zk-SNARK. Они используют общедоступную случайность для генерации параметров, устраняя необходимость в доверенной установке.
Аргумент «Аргумент знания»: подразумевает то же самое, что и в zk-SNARKs, но использует другой подход к вычислениям. Они используют хэш-функции, устойчивые к коллизиям(2), что фактически устраняет необходимость в доверенных установках.

1)Экспоненциальность - это если каждый день вы добавляете в два раза больше книг, чем в предыдущий день (вы покупаете 1 книгу, завтра две, послезавтра 4 и так далее) то количество книг будет увеличиваться экспоненциально.

2)Коллизия - это ситуация, когда две разные вещи случайно оказываются одинаковыми или имеют одинаковые характеристики.

Допустим, у вас и у вашего друга есть разные ключи от замков, но по какой-то случайности эти ключи такие же или таким образом работают, что они могут открыть оба замка. Это была бы коллизия ключей.

Технология zkSTARK является более новой, чем zk-SNARKs, и пионером в её разработке была компания Starkware с решениями rollup. Используя zk-STARKs, можно вычислить несколько тысяч транзакций в партиях вне цепи и представить единственное доказательство zkSTARK для подтверждения достоверности транзакций в цепи.

Различия между Stark и Snark

ZK-STARKS являются более новыми, чем ZK-SNARK, и Виталик называет их "более новым, более блестящим кузеном"! Итак, вкратце:

Прозрачность

ZK-SNARK нуждаются в начальной доверенной фазе настройки для генерирования случайности, необходимой для создания доказательств с нулевым знанием. Эти параметры обычно хранятся в руках небольшой группы для их защиты. Если параметры попадут в чужие руки, недобросовестные участники могут использовать их для создания ложных доказательств.

ZK-STARK используют другой подход, применяя устойчивую к столкновениям криптографию, чтобы устранить необходимость в частных церемониях генерации параметров. Без доверенных установок параметры генерации случайности являются общедоступными, что ограничивает централизацию и повышает прозрачность.

Безопасность

ZK-SNARK используют начальную настройку для генерации параметров и, в соответствии со своей настройкой, являются вычислительно надёжными. Однако их вычислительная надёжность предполагает, что проверяющие имеют ограниченную вычислительную мощность.

Однако, когда проверяющий использует неограниченное количество вычислительной мощности, он с-может, например, воспользоваться определённым алгоритмом, который может выполнять чрезвычайно быстрые параллельные вычисления целочисленной факторизации, которые могут быть использованы для извлечения закрытого ключа из открытого ключа. Другими словами, они смогут взламывать системы доказательств. Таким образом, ZK-SNARK теоретически уязвимы для атак квантовых вычислений, поэтому не являются квантово-устойчивыми.

ZK-STARK не нуждаются в начальной доверенной установке, выбирая вместо этого устойчивый к столкновениям подход. Таким образом, они не требуют больших вычислительных затрат, как zk-SNARK, устраняя угрозу быть скомпрометированными неограниченной вычислительной мощностью квантовых вычислений. Поэтому они находятся выше по шкале квантовой устойчивости.

Масштабируемость

ZK-SNARK имеют меньший размер по сравнению с ZK-STARK, но их вычислительные потребности заставляют их медленнее генерировать доказательства по сравнению с другим вариантом. ZK-SNARK потребляют меньше газа, чем ZK-STARK, и проверяют доказательства быстрее из-за разницы в размере.

Хотя может показаться, что ZK-SNARK более масштабируемы из-за более быстрой проверки доказательств, ZK-STARK быстрее генерируют доказательства и быстрее масштабируются, потребляя меньше газа благодаря использованию вычислений и хранения — оффчейн. Однако в периоды низкой пропускной способности (создаётся мало доказательств) проверка доказательств занимает гораздо больше времени.

Структура

ZK-SNARKs построены на эллиптических кривых, которые повышают безопасность и конфиденциальность, исходя из предположения, что найти логарифм случайного элемента эллиптической кривой относительно публичной базовой точки невозможно.

zk-STARKs, с другой стороны, использует иную криптографию — устойчивые к коллизиям хэш-функции — для обеспечения масштабируемости и безопасности.

zk-SNARKs

zk-SNARKs являются более популярными из двух основных неинтерактивных доказательств нулевого знания. Несколько проектов в крипто-пространстве сегодня используют их для повышения масштабируемости и конфиденциальности.

zk-SNARKs быстро генерируют и проверяют ZKp, и протоколы, повышающие конфиденциальность, широко их используют. С помощью zk-SNARK блокчейн с поддержкой конфиденциальности может скрывать транзакции от посторонних глаз, позволяя пользователям предоставлять доказательства нулевого знания вместо обычных записей о транзакциях.

Некоторые протоколы конфиденциальности, такие как протокол Panther, имеют встроенные механизмы выборочного раскрытия информации, которые позволяют пользователям делиться информацией, защищенной блокчейном, с доверенными третьими лицами.

zk-SNARKs также могут быть адаптированы для проверки личности, позволяя пользователям проходить требования KYC и AML, не подвергая риску свою конфиденциальную информацию.

Используя zk-SNARKs, эти протоколы могут позволить пользователям предоставлять вместо документов подтверждение своей личности с нулевым уровнем знаний, подтверждая, что у них есть необходимые данные для проверки, не раскрывая никакой дополнительной информации.

zk-SNARKs также были приняты для обеспечения конфиденциальности в децентрализованных финансах, играх, ZK-роллапах и владении активами.

zk-STARKs

Известно, что zk-STARKs лучше масштабируются, чем zk-SNARKs. Поэтому они были приняты решениями для масштабирования блокчейна, такими как ZK-rollups и Layer-2 blockchain. С их помощью эти протоколы вычисляют транзакции и хранят данные вне сети, а затем представляют доказательства нулевого знания на сети для обновления состояния сети.

Как работает zkEVM?

Теперь, когда рассмотрели о том, как работают доказательства с нулевым знанием и о двух распространенных формах ZKP, встречающихся в мире web3, давайте рассмотрим одну из недавних инноваций, основанных на ZKP, - виртуальную машину zkEVM (zero-knowledge Ethereum Virtual Machine).

zkEVM бывают разных видов, о чем Виталик рассказал в своем блоге в статье "The different types of ZK-EVMs". В данной статье я буду рассматривать именно ZK-EVM Polygon.

Цель создания zkEVM - улучшить масштабируемость блокчейна Ethereum, оставаясь при этом безопасным, децентрализованным и совместимым с EVM.

Детали сложны, но основные принципы совпадают с тем, что мы обсуждали до сих пор. Как и во всех системах ZKP, здесь есть:

1.Доказатель(Prover): Генерирует доказательства достоверности, представляющие истинность пакета транзакций, представленных пользователями.

Во-первых, он создает множество доказательств ZK-STARK.
Он связывает ZK-STARK воедино с помощью рекурсии STARK, для создания одного ZK-STARK.
Этот ZK-STARK большой, поэтому он проходит через компонент CIRCOM, который выходит на построитель SNARK.
Как следует из названия, построитель SNARK генерирует доказательство достоверности ZK-SNARK, что позволяет снизить затраты на газ с 5М до 350К.

2.Верификатор: Смарт-контракт PolygonZkEVM, развернутый на Ethereum, является верификатором ZK-proof.

Подведение итогов

В целом, ZK-Rollups представляют собой многообещающую технологию, которая может значительно изменить пейзаж блокчейнов и принести масштабируемость и конфиденциальность в различные области. Однако как и с любыми технологическими разработками, важно продолжать исследования, разработки и обеспечивать безопасность для успешной реализации и расширения их использования.