安定与ZK总量的权衡

本文比较了alidium和ZK rollup这两种扩展方案，由于数据可用性的不同，它们适用于不同的应用场景。

推荐阅读：3分钟了解用于reddit集成系统演示的火币网扩展引擎starkex

原标题：作者：Alex gluchowski，ZK rollup与alidium starkex
的创始人，专注于以用户为中心的ZK rollup技术研究。

本文经作者授权，中国链文HT0区块链研究院获得中国地区首个翻译权。

ZK-rollup是目前最流行和被认为最具去中心化性的区块链两层扩展方案。它使用零知识证明ZK snarks加密技术来实现高安全性。Starkex将在交易所安全升级中使用简单的零知识证明，而用户的资金仍将面临冻结、查封或被盗的风险。

Deosifi最近推出了一个基于starkex交易引擎的新交易所。这一令人难以置信的技术成就提高了加密交换的安全级别，并带来了历史上的一个转折点：这是史上首次将Starks应用于生产系统，简单的零知识证明，不需要可信的设置。

背景：starkex是一个二级扩展解决方案，alidium。零知识证明了所有事务的有效性，同时数据可用性仍然处于链外状态。这可以防止alidium中的资金被盗，因为帐户中的每一笔价值转移都必须经过用户的授权。

alidium的机制与ZK-rollup非常相似。唯一的区别是ZK汇总中的数据可用性在链上，而alidium在链下。因此，alidium获得了更高的吞吐量，但代价是：

starkex alidium的运营商可以冻结用户的资金

“如果你想破坏什么东西，你首先要控制它。”

–弗兰克·赫伯特，沙丘

如果没有ZK rollup保证的数据可用性，alidium的运营商，或者更准确地说，数据可用性管理器，可以拒绝任何用户转账。

其原则是：运营商在不通知用户的情况下，对合并后的状态进行小幅调整。由于缺少此信息，用户无法为其帐户创建Merkle所有权证书。

注意：如果操作员更改帐户D3，则帐户D1的所有者在证明其帐户的所有权时将缺少所需节点M的信息。

是否有方法防止alidium中的数据预扣攻击？自2016年提出等离子体概念以来，这一问题得到了广泛的讨论，ZK汇总是解决这一问题的研究成果。非汇总试图以无信任的方式确保数据可用性，导致alidium失去了大部分竞争优势。

尽管这一问题尚未完全解决，但通过引入特权数据可用性委员会（DAC）缓解了这一问题。DAC必须使用仲裁对每个状态更新进行签名，以确认已收到数据。在starkex中，DAC由8个参与者组成（太多的成员可能损害系统的活动），所有参与者都是知名组织。他们不太可能滥用权力。

但矛盾的是，高知名度、良好的声誉和强大的管辖权正是他们脆弱的原因。可能发生的情况是，运营商必须执行KYC/AML法规，并有义务冻结交易记录超过10000美元的账户中的所有资金。

随着我们的深入，这个问题变得更加有趣。Starkex实施验证人合同升级机制，允许运营商毫不延迟地向验证人合同链中添加新项目。这不会使任何旧逻辑失效——例如，不能删除用户签名检查。相反，您可以添加额外的约束（在稳固性的情况下，可以将约束视为require（）语句）。

这是一个很好的安全功能：如果在starkex的stark简短逻辑中发现任何缺少的限制，您可以快速修复这些限制，而不引入任何新的漏洞。然而，这个功能在理论上也可以作为一个隐藏的审查后门。简言之，StartEx运营商总是可以在合同逻辑中部署扩展以引入黑名单，而无需事先警告用户。根据他们的文件，目前还不完全清楚，但似乎执行新规则不需要获得发援会的同意。

将starkex视为完全去中心化的交换协议没有多大意义。想象一下italik buterin有一个可以立即冻结任何火币网帐户的开关。另一方面，将starkex视为加密交易所的安全增强是有意义的，正如其创造者所希望的那样。

StartEx alidium运营商可以没收用户资金

让我们扩展思路。如果由于某种原因（可能是由于运营商无法控制的情况），大量用户的资产现在被冻结。所以问题是，是否有可能没收用户在starkex上的资金？

事实上，这是可能的。

与许多其他加密项目一样，starkex实现了最高级的升级机制。用户将在新版本部署前28天内收到通知，任何不满意的人都可以选择退出。

但是，那些资金被冻结的人没有办法提取。

宽限期过后，可以使用新的合同逻辑将冻结的资金转移到指定的保管钱包。不幸的是，没有受影响的用户可以对此采取行动。

此外，有人合理地担心，升级通知期本身可能不足以允许每个不同意更改的用户退出（所谓的“大规模退出”场景）。但这个问题是关于通用合同的可升级性，而不是alidium独有的。

更新：Justin Drake描述了针对alidium的加密经济攻击

在下面的讨论中，Justin Drake指出alidium的数据可用性方法可能会意外生成攻击路径：如果数据可用性委员会仲裁的签名密钥受到破坏（并且这些密钥始终在线，因此很难保护它们），攻击者可以使用alidium ；变成只有他们知道的状态，冻结所有资产，然后敲诈。

理论上，契约升级机制可以应对这种攻击。alidium的运营商部署新版本，在28天的升级通知期之后，状态将恢复为最新的已知版本。这笔钱将被锁上一个月（肯定要花很多钱），但如果发援会拒绝谈判，攻击者将得不到一分钱。

然而，事实证明，攻击者可以迫使操作员失去一切，或者允许他们进行双倍花费的攻击。可以解释以下示例：

假设你闯入了自动取款机，在取款完成后，你可以删除整个银行数据库。但是，您只能从您的帐户中取款，但当数据库消失时，所有操作信息也将消失。

银行员工恢复复杂的数据库需要一个月的时间。但是，因为他们不知道谁在取款，当你恢复到以前的检查点时，你的帐户将被恢复-所以你拿回的钱！

当然，此双倍付款不会超过攻击者帐户中的金额。但是，建立一个不需要信任的合同，从黑网的恶棍那里借钱是很容易的。让我们把这个练习留给你。

此攻击表明，alidium的安全模与POA网络的安全模相对类似。事实上，具有20个节点和51%阈值签名的POA网络可能比具有8个节点和100%阈值签名的alidium网络更安全。

ZK-rollup数据可用性保护用户的资金不被没收、审查和盗窃，但代价是固有的低吞吐量

只要火币网完整节点处于联机状态，ZK汇总用户就可以访问汇总状态。

工作原理：对于每个ZK汇总块，重建状态更改所需的信息必须作为火币网事务的调用数据提交，否则ZK汇总智能合约将拒绝状态转换。ZK汇总状态的变化会导致每笔交易产生少量的天然气成本，该成本随交易次数线性增加。

通过Merkle树数据，被审计用户可以直接通过主网络上的ZK汇总合同接收资金。他们只需提供Merkle账户所有权证明。因此，链上数据的可用性可以保证任何（包括ZK汇总运营商）都不能冻结或获取用户资金。

但是，数据可用性存储限制了链上的吞吐量-ZK汇总在当前火币网主网络上有一个严格的实际上限，即每秒2000个事务（TPS），而starkex alidium有9000个事务。这种差异可能决定了这两种技术的应用领域和使用场景。例如，ZK-rollup非常适合扩展的去中心化加密支付（isa在全球总共只有2000个TPS），以及需要严格反信任的不可变智能合约。另一方面，alidium可能更适合于传统的高频交易或具有较低信任要求的游戏。

结论

我们已经证明，ZK-rollup和alidium-starkex的工作原理相似。主要区别在于数据是在链上可用还是在链外可用，这是理解它们及其应用范围的关键。这种差异意味着ZK汇总是一个没有信任的去中心化扩展协议，而alidium显示了托管POA系统的更多属性，包括吞吐量、风险特征和安全性。

每一项旨在减少信任并为用户提供对其资产更多控制的技术发展，都是朝着增强个人能力迈出的一步。为了前进，我们总是需要权衡取舍。

尽管如此，加密界越来越一致认为，技术已经超越了“不作恶”阶段，现在是“不作恶”时代。我们可以通过自我托管、审查抵制、隐私和消除单点失败来做到这一点。这些理念构成了我们构建系统时的基本价值观。

充分信任和扩大产能的时代即将到来。物质实验室事件倒计时也已开启。请期待。

特别感谢Lasse Clausen、Christopher Heymann、James Prestwich、John Adler、haseeb Qureshi、Alex Eans和Howard Wu对本文的评论和宝贵意见。

源链接：medium.com网站