Author: Loopy Lu, BeWater
近日,Vitalik Buterin 對香港區塊鏈大會的突然造訪令與會者無不振奮。而這也與一定程度反映了當下加密市場的情況。近期,以太坊走勢相較比特幣生態稍顯疲軟,以太坊流動性的割裂、性能的受限,再次使其受到質疑。
而在本次大會上,Vitalik 對以太坊未來的進展給出了明確的建議。在主題演講《Reaching the Limits of Protocol Design》中,Vitalik 積極展望了ASIC 晶片的作用,借助ASIC 晶片進行ZK 運算的硬件加速,可以將以太坊的效率的安全提升到全新的水平。
要解讀ZK 硬加速,自然要從ZK 開始談起。 ZKP 並不是全新的概念。從上世紀八十年代起,電腦科學家就在這個方向上不斷的進行探索。目前,熱門ZK Rollup 專案陸續上線、更多的ZK 應用程式正在湧現,對應的則是ZK 技術和市場不斷演進。我們發現,ZK 硬體加速正在成熟,ZK + DePIN 模式嶄露頭角,這個週期的ZKP 似乎與先前不一樣了。
零知識證明(Zero-Knowledge Proof,ZKP)被譽為加密技術領域的“聖杯”,不僅為長久以來的隱私保護難題引入了新的解決方案,還為存在多年的區塊鏈擴容問題提供了強大的解決方案。
眾所周知,ZK 的效率問題一直是困擾許多使用者的專案方。Vitalik 在香港大會上表示,ZK-SNARKs、MPC、FHE(完全同態加密)和BLS 聚合等基於高級密碼學的協議雖然發展迅速,但同時也存在效率和安全性問題。
(圖片來源:Foresight News)
其中,以太坊Slot 出塊時間為12 秒,「普通」區塊驗證時間約為400 毫秒,ZK-SNARK 證明時間約為20 分鐘,而以太坊的目標是實現即時證明。
為了解決這個問題,Vitalik 給出了三種解決方案,分別是「平行化與聚合樹」、使用SNARK algos 與哈希提升效率、使用ASIC 進行ZK 硬體加速。
我們並非對三種方案進行優劣判斷,在此只對ZK 的硬件加速進行深入探討。本文試圖從ZKP 出發,向投資人解讀,為何Vitalik 看好「硬加速」這目前被鮮少提及的賽道? 「ZK 加速」、「ZK」、「ZK Rollups」這些相似的名詞,又都有何區別,如何準確辨別?
從整個生態的角度來看,硬體加速賽道為何重要?為以太坊、ZK、整個加密世界提供了何種價值?我們將以Cysic 為例,詳細探討硬體加速的昨日、現在和未來。
Vitalik 看好的硬體加速有何作用?
對於加密世界來說,ZKP(SNARKs/STARKs)被視為擴容技術的聖杯。 zk-SNARKs 透過Verification Computation 來驗證原始計算的正確性,即首先由證明者(Prover)為原始計算產生簡潔證明(Succinct Proof),同時驗證者(Verifier)使用更小規模計算來驗證證明(Proof)的正確性。
在各路擴容方案中,ZKP 促成了鏈下運算的發展。即交易不再在一層網路執行,而是在鏈下的rollup 完成,並將多筆交易的狀態根等部份資料打包發佈到主網完成驗證和結算。主網節點可以對Rollup 上的交易歷史透過ZKP 進行驗證,其安全性仍然由一層保證。 ZKP 以零知識證明以數學的方式解決驗證過程中的信任問題,且所需鏈上空間小,ZK Rollup 相對一層能達到數十倍交易處理速度和處理效率。
L2 BEAT 數據顯示,前五大ZK Rollup 總TVL 已達約30 億美元。這一數字距離以太坊TVL 的500 億美元、整個DeFi 市場的910 億美元規模仍具有相當大的差距。我們相信隨著ZK 技術的成熟,ZK Rollup 的滲透率勢必會進一步提高。在以太坊完成坎昆升級之後,EIP-4844 的引入讓Layer 2 的費用大幅降低。在各主流Layer 2 適配「Blob 交易」之後,實測數據顯示各ZK Rollup gas 費用明顯下降。例如,Starknet 降幅約為85% 、zkSync Era 降幅約為65% 。
市場上的ZK 系項目正在快速成長,市值超過10 億美元的基於ZK 技術的項目中,Polyhedra, Immutable、StakNet、zkSync、Mina、dYdX 等被廣為人知。這一賽道大體可分為三層:基礎設施、ZK-Rollup、ZK 應用。
基礎設施主要包括程式框架和工具、ZKP 證明市場、證明產生的硬件加速、ZK 機器學習等。這些賽道的項目大多圍繞著ZKP 的生成和運算展開,他們為ZK 應用(無論是網路還是dApp)的部署提供了技術基礎。
而最受矚目的,則是ZK Rollup。 ZK Rollup 的爆發為可擴展性和「大規模採用」的敘事提供了充足的支撐。當然,在此之上還有採用了ZK 技術的各種dApp,它們大多利用ZK 的特性為加密用戶提供了隱私等其他應用程式。
然而ZK 證明產生所需的過高的運算資源卻是禁錮賽道進一步前進的瓶頸。
距離用例的落地還有多遠?
既然ZK 技術如此強大,為何現在仍未被廣泛採用?主要原因是ZK 技術的核心演算法和實作機制極為複雜。目前,被廣泛採用的主要有兩種ZK 證明系統—zk-SNARKs和zk-STARKs。例如,zkSync、Aztec、Axiom、Scroll、Taiko 等都採用的是基於zk-SNARK 的證明系統,而StarkNet、dYdX、Polygon 等則採用了基於ZK-STARKs 的證明系統。
使用零知識證明系統通常包括:“拍平計算”,“生成證明”,“驗證證明”。這其中「生產證明」的步驟需要大量的算力支撐。
「拍平計算」是將一個原始計算,透過某種約束語言(例如R 1 CS),表達成ZK 電路的形式。以zk-SNARKs 為例,目前常用的證明系統包括Groth 16、Marlin 和Halo/Halo 2 等。其中,Groth 16 使用了R 1 CS 作為拍平計算用的限制語言。而對較新的證明系統,例如Halo/Halo 2 則使用了Plonk 體系的電路約束語言,這被廣泛的運用於一些較新的ZK 項目中,例如Scroll、Taiko、Aximo 等。
正如我們之前提到的,ZK 證明的產生需要大量計算。我們用KGZ-based Halo 2 舉例來簡單的分析一下這些計算的類型。首先,當我們透過前端約束語言構造好ZK 電路之後,我們會需要把這些電路透過某種方式轉換多項式的形式,而其中多項式的階數和電路的規模正相關。之後,會使用一些密碼學的手段,例如KZG 將這些多項式最終轉換為證明的形式。在這個過程中,主要的耗時的計算類型包括MSM 和NTT 兩種。
MSM(Multi-Scalar Multiplication)計算用於處理與橢圓曲線相關的計算。 MSM 是橢圓曲線密碼學中的核心組成部分,主要用於產生和驗證證明。 MSM 類型的計算任務約佔到計算任務的60-70% 。
NTT (Number Theoretic Transform)是一種在有限域上進行的快速傅立葉變換(FFT)NTT 用於處理與多項式相關的計算。在ZK 證明所產生的計算中,NTT 類型的計算任務約佔全部計算任務的25% 左右。
而ZK-STARKs 雖然採用了不同的演算法,但也擁有自己的效能瓶頸。在證明的生成過程中,證明者需要創建一個由多個限制條件組成的系統,這些約束必須同時滿足才能產生有效的證明。而這些這些限制通常都是隨機產生的,FRI 算法(Fast Recursive Integer Gaussian Sampling)使用者產生和驗證證明中的高斯採樣,以此來確保這些限制的隨機性。因此,FRI 算法的效率對於ZK-STARKs 的性能至關重要。
但無論採用何種路線,龐大的運算量都讓這項計算的時間變得殊為緩慢。因此,如何加速這些運算的速度、提高證明產生的生成效率,成為了限制ZKP 在當下普及的關鍵。
為了解決這個問題,使用硬體進行運算加速,成為了可行的解決方案。而目前市場已經產生了多個硬件加速解決方案,而究竟選用何種硬件,並無標準答案。
當下ZKP 市場主流的硬加速方案分為三種,其彈性由高到低分別為GPU、FPGA、ASIC。
由於ZKP 演算法中的某些步驟(如多項式乘法和FFT 變換)可以並行處理,使用GPU 自然可以更有效率的完成ZKP 演算法中的計算過程,這就如同多年前的顯示卡挖礦一樣。但問題在於,GPU 的靈活性和通用型讓效能難以超越FPGA。
FPGA 則可以透過程式設計來實現特定的邏輯功能。這種結局方案提供了更高的效率,同時也保持了一定的靈活性,可以根據需要自訂電路。在針對特定的ZKP 算法進行優化之後,FPGA 的效能優於GPU。
ASIC 是為特定任務量身打造的專用晶片,就像ASIC 礦機為比特幣提供了強大的算力一樣,ZKP 的ASIC 硬件加速也可為運算過程提供最高等級的效能優化。但通常來說ASIC 只能適配單一解決方案,無法通用現存所有的ZKP 證明任務。更普適的ASIC 晶片從設計到流片都會遇到更大的調整。
ASIC 算力最強大,但掣肘在於彈性問題。因為ZK 算法的多樣化,加速解決方案仍然需要對多種算法進行加速。考慮到市場上ZKP 證明在不斷推陳出新的情況下,FPGA 的快速重配置能力使其在多個場景上具有重複使用的優勢,能夠靈活適應不同證明系統需求。因此在現階段的市場條件下,作為硬件加速服務商,只能提供僅加速單一證明系統的ASIC 晶片服務,並不是「此時此刻」最好的選擇。
但ASIC 在未來不存在爆發的潛力嗎?答案自然是否定的。
選擇合適的證明系統是一個十分謹慎的重大抉擇。由於ZK 電路極高的設計成本,一旦確定了證明係統,ZK 專案幾乎不會輕易的變更證明系統。專案方投入資源開發了特定證明系統的電路後,通常不會輕易更換系統。雖然FPGA 提供了一定的靈活性,但對於已經確定並投入開發的ZK 專案來說,ASIC 仍然可以提供較高的運算效能比,這對於大規模的、運算密集的ZK 應用尤其重要。因此,儘管ASIC 的初始開發成本較高,但在流片成功之後所帶來的高收益比,仍在會市場上佔有一席之地。因此,ASIC 解決方案在市場上具有一定的穩定性和需求。
在可預見的將來,ASIC 加速方案仍是硬加速的最終解決方案之一。
我們以硬件加速賽道的Cysic 計畫為例。 Cysic 提供了包括FPGA,ASIC,以及GPU 在內的全硬件加速服務,這些加速服務不僅能夠提高特定ZK 證明的生產效率,還能夠適應不同區塊鏈平台/ZK 專案方的需求。
例如Cysic 開發了基於FPGA 的MSM 計算加速器,名為SolarMSM。這個解決方案顯著提高了MSM 運算的效率,能夠在短時間內處理大規模的MSM 任務。從數據來看,Cysic 的SolarMSM 可以輕鬆的在300 ms 的內完成2 ³⁰規模的MSM 計算,這一性能在行業中處於頂尖水平。
透過這種硬件加速,Cysic 能夠有效地減少ZK 證明產生所需的時間,從而使得基於ZKP 的區塊鏈應用和協議更加高效和實用。這對於推動ZKP 技術的廣泛應用,特別是在需要快速和高效證明產生的場景中具有重要意義。
目前Cysic 已經實現了MSM 加速方案的POC 設計工作。基於FPGA 的POC 是目前所有公開的FPGA-MSM 硬件加速結果中效能最高,是目前公開基準測試結果的1 – 2 個數量級以上,ASIC 的設計和流片工作也正在進行之中。未來,Cysic 將在第二階段研發12 nm 的ASIC 晶片。目標將實現單顆ASIC 晶片的算力可支援MSM 和NTT ,和其他密碼學底層算子,同時實現單顆晶片功耗降低到兩個數量級。
此外,Cysic 也積極擁抱了基於GPU 的加速方案,提供更靈活的ZK,甚至AI 運算的加速服務。
只要ZKP 運算的更快,加密世界就距離奪取ZKP「聖杯」更近了一步。
DePIN 原語驅動市場規模成長
硬件加速的重要性毋庸置疑。而另一個投資者的主要疑惑是ZK 硬件加速將會有多大的市場規模?
Paradigm 曾做出預測,ZK 加速的市場規模與POW 挖礦市場規模相當。如前文所述,隨著坎昆升級的完成,ZK Rollup 的更大規模採用將為ZK 計算帶來大量的需求。
隱私保護是另一個主要的市場需求。如Semaphore、MACI、Penumbra 和Aztec Network 等正在探索利用ZK 技術來增強用戶隱私和推動大規模採用。同時,身分驗證領域也是ZK 技術的主要用例之一,包括時下大火的WorldID,還有Sismo、Clique、Axiom 等項目,都致力於將ZK 技術應用於身分管理,以提供更安全、更隱私保護的解決方案。
ZKML(Zero-Knowledge Machine Learning,零知識機器學習)則是另一個發展快速的領域。在AI 爆發的當下,驗證AI 正確地、透明地工作成為剛需。而ZKML 可使得推理等環節可以上鍊,理論上將在不透露具體內容的情況下進行驗證。
因此,無論是ZK Rollup 的廣泛採納、隱私等 dApp 的湧現、或 ZKML 的發展均推升了ZKP 加速的需求。
然而,ZK 加速門檻仍然較高,對於許多中小型專案方仍然極不友善。許多ZKP 的需求方仍需要以中心化的方式採購加速硬件,自行部署加速服務。而且還需要根據自身的ZKP 產生繼續路線,選擇合適的加速方案。
一個富有彈性的驗證者網絡(ZK prover network)成為了產業共識的解決方案。而在此基礎上形成的ZK Compute-as-a-Service(ZK CaaS,ZK 計算即服務)新型產品形態將解決上述困境。
以Cysic 為例。 Cysic 將加速硬件組成一個驗證者網絡,FPGA、ASIC 或其他硬件,都可在網絡中為用戶提供ZK 加速算力,個人設備也可以接入其中。對於ZK 專案方來說,當需要算力支援來進行ZKP 驗證時,則可直接連接Cysic 的ZK 算力網絡,而無需進行硬件採購。對於具體的加速方案細節也無需過多的關注。目前Cysic 已經上線了數萬張高階顯示卡,為驗證者網路儲備了充足的ZK 算力。
目前, Cysic 已與Scroll、zk P2P、Inference、Kinetex 等多個項目達成合作,涵蓋ZK Rollup、ZKML、應用層等多種類型項目,其採用的證明系統包括Halo 2、RapidSnark、Plonky2x 等多種體系,因此,Cysic 的加速運算解決方案具有較高的靈活性和通用性。
Cysic 透過加密原生的去中心化方式來配置算力的供給和需求。 ZK 算力的供給端從中心化、不可拓展的硬件,升級為支持用戶均可接入的算力網絡,也給個人投資者提供了更深入參與市場的機會。需求端,ZK CaaS 可為ZK 運算提供更強的彈性和穩定性,去中心化市場透過智慧合約更有效率地調度、匹配算力供需。
因此,ZK CaaS 將硬件加速變成了「開箱即用」的服務,並創建了一個人人皆可進行ZK 計算加速的場景,以DePIN 的去中心化硬件設施的網絡來改造ZK 領域,為專有或閒置的算力提供收益,使得我們有望再次迎來ZK + DePIN 的挖礦藍海。
Reference:
《ABCDE:為什麼我們要投資Cysic? 》, Siyuan Han
《New Paradigm in Designing ZK-ASICs, the zkVM way》, Cysic
《ZK Hardware Acceleration: The Past, the Present and the Future》,Luke Pearson Cysic 團隊
