免责声明?:本文仅仅是汇集、链接了许多已经公开的成果,对应的荣誉应归属于相应的作者/开发者。
P.S.?:特别感谢EthereumR&Ddiscord频道帮助我理解KZG10承诺的某些方面。此外,还要感谢?@vbuterin帮忙审校本文。
PPS?:本文是出于lodestar团队的利益而撰写的;lodestar是一个很棒的ETHPoS客户端,基于typescript,可以让以太坊的服务?无处不在,也开启了作者对以太坊生态和创新的理解。
我希望本文也能对全世界的其他开发者/技术人员有所帮助。本文遵循CC0自由创作公约,作者已放弃所有权利。
动机
作为一个有益的指南,帮助读者熟悉、总结以太坊背景下?KZG10承诺的提议用法,并提供深入理解的指南。
本文的目的更多是总结,而非严谨,不过,您可以点击文中所附的链接,它们会有更详细的解释。
基础原理
注-1:哈希值就是一个对被哈希的原像的承诺,用于检验被哈希的数据的完整性。
举个例子,假设?h1=H(t1,t2,t3..),然后把h1交给验证者,然后给出一个伪造的区块?(t1,t2',t3...),对方快速计算这个伪造区块的哈希值之后,发现两者对不上,就可以合理地拒绝你的伪造区块。
DRPC为以太坊Dapp推出去中心化RPC网络:金色财经报道,以太坊基础设施提供商 DRPC 为基于以太坊的应用程序推出了去中心化 RPC 网络,以提高加密空间中去中心化应用程序的安全性、成本效益和可靠性。[2023/3/23 13:22:26]
类似的,一棵默克尔树的根节点,就是对按特定索引组织起来的所有叶子节点的承诺。或者简单来说,是对?indexes=>values的映射的承诺。
而这里的“证明”就是一个叶子的?默克尔分支?以及?兄弟哈希值,凭借这些数据,可以逐级向上哈希,并通过最终的哈希值是否与根节点一致来判断该叶子是否与这棵默克尔树一致。
可看看这里的介绍?:)。
注-2:数据映射与一个多项式的对应关系
indexes=>values?这样的数据映射可以表示为一个多项式?f(x),并且?f(index)=value。“f(index)=value”通常被称为?求值形式,而“f(x)=a0+a1.x+a2.x^2...”则是其?系数形式。直观来说,我们其实是根据映射中所有的?(index,value)?点,拟合出了一个多项式。
监测:FTX攻击者地址将超340万枚USDT以及近400万枚USDC交易为以太坊:11月19日消息,PeckShield监测数据显示,0x2cfe开头的FTX攻击者地址将3435470.91 USDT及3999600枚USDC通过Cow Protocol交易为总计6148.68枚以太坊,并向0x59ab开头的FTX攻击者地址转入9263.43枚以太坊。目前0x59ab开头地址共持有约250735.1枚以太坊,为第27大以太坊持币地址。[2022/11/19 22:06:55]
为了简便计算,并确保多项式与数据映射的一一匹配,我们不使用索引值来作为f(x)的x,用的是?w^index,也就是?f(w^index)=value,其中w是d次单位根,而d是该多项式的次数。因此,我们可以使用快速傅立叶变换来实现高效的多项式计算,比如乘法和除法,在求值形式下其计算复杂度会是?O(d),而且可以在?O(d*log(d))?的复杂度内转化回系数形式。所以保持?d?数值较小还是很有好处的。
去中心化保险项目Nexus Mutual为以太坊质押提供保险服务:7月26日消息,去中心化保险项目Nexus Mutual宣布为以太坊质押提供保险服务。Nexus Mutual将为ETH质押验证节点潜在的处罚风险和奖励削减风险提供保障。流动质押协议StakeWise已为其质押产品投保。[2022/7/26 2:37:39]
注-2.1:以太坊的状态是一个从地址到账户状态的映射。
背景知识
以太坊当前使用默克尔树作为EVM数据的承诺。此种承诺方式可以:
逐个区块地插入/更新数据,以增量的方式产生新的根哈希
验证者可以逐个区块地校验和证明
前缀树结构在这里提供了这种逐块更新的特性。
给定一个?d?叉的、有?N?个叶子的前缀树,任意更改一个叶子节点,都需要更新?O(log-d(N))?个节点以计算反映新状态的新根值;而这需要额外的?(d-1)*O(log-d(N))?个兄弟节点哈希值/承诺来用作时间和空间的见证数据。一个区块可视为一个需要更改?m?个随机叶子的批量更新,且?m<<N。因为预计只有一小部分的节点可以共享witness和计算,所以,每次更新的?Order不会有太大改变。
质押协议Lido宣布为以太坊开放新的节点运营商申请:4月12日消息,流动性质押协议Lido今日在推特上宣布,为继续实现协议去中心化,其正在为以太坊开放新的节点运营商申请,申请时间为4月11日至4月30日。Lido节点运营商子治理小组将审查提交的申请,并向DAO提出入围名单以供批准。如果 DAO批准了申请人,他们有望在5月份加入。[2022/4/12 14:19:29]
在下列情况下,问题还会变得更加严重:
部分采用快速同步的协议,比如?beamsync,会下载并快速验证区块头来追上最新的主链顶端并参与网络的共识,注意,它不会先行构建好完整的状态再参与共识,而是通过获取错过的/未加载的状态的见证数据,来逐步构建出完整的状态
为?轻节点?服务的时候,他们只关心自己,只想获得区块链状态的特定部分
网络走向完全无状态时,所有的事务和合约操作,都要附带相关的见证数据,来证明数据输入和输出的正确性
在验证者会被混洗到不同分片的区块链分片模型中,要让验证者每到一个分片就构建完整状态是不现实的
代码默克尔化,访问代码时需要附带这些代码块的见证数据
在状态保质期协议中,访问过期的账户需要重新附带状态见证数据,以便重建该账户的状态
动态 | 斯坦福大学和Visa为以太坊智能合约开发隐私机制:据cointelegraph报道,根据2月20日在斯坦福大学应用密码学组网站上发表的文章,斯坦福大学和Visa Research的研究人员为以太坊(ETH)智能合约开发了一种隐私机制。根据该报告,研究人员创建了一种称为“Zether”的“完全去中心化的、保密的支付机制,可与以太坊和其他智能合约平台匹配。可以单独执行或通过其他智能合约执行,可保持帐户余额的加密,并通过经过加密的证明实现资金的存入、转移和提取。[2019/2/23]
在无状态以太坊项目的一个实验中,出现了?1MB?的区块证据,在发生攻击的时候还会膨胀好几倍。
其中一种解决办法是转为使用“二进制默克尔树”,也就是把?d?降下来,这样虽然树的深度会增加,但仍然是?O(log(N))?的规模。
为什么要使用KZG10承诺?
对于要放在区块头内承诺数据的承诺方案来说,以下特点是理想属性:
证据的数据量较小,可以塞进区块头里,且仍具有很强的安全保证
易于证明某个承诺是使用分组化数据的一个子集生成出来的
足够小,最好证据的数据量是恒定的
为了跟踪数据,承诺应当易于以增量的形式变更
基于KZG10承诺的方案就是大家一番搜寻的结果。
译者注:可以看到,作者有三个?
什么是KZG10承诺?
KZG10承诺可以视为另一种哈希方案,只不过它哈希的不是“字节”,而是多项式。
实际上,它就是?计算?多项式?f(x)?在秘密的定点?s?上的值,只不过它们都是表示在一条椭圆曲线上的,也即?=f()。这需要一个受信任的启动设置,来生成、、…?,而?d?就是多项式的最大阶数。
这里的??表示点t处的椭圆曲线值,也就是?t,是椭圆曲线加法群的生成点相加t次。椭圆曲线上的所有计算都是对Fp求模,Fp给曲线施加了一定的范围。
注3.0:在?indexes=>values?的映射中,所有的值都要表示为一条椭圆曲线上的元素,即,以便计算承诺。这就使得value的大小有了限制。在BLS曲线上,大概在31~32字节之间。为了简便,value的大小就限制在31字节,任意更大的值都要分块化,并用其索引值来恰当地表示。
注3.1:可以被视为t的哈希值,因为从找回t是个离散对数问题,对于安全的曲线来说,是很难做到的。
注3.2:s是一个秘密的数值,永远不应泄漏给任何人/所有人,但椭圆曲线点?,?…?及其在另一条椭圆曲线上的值?'?则应生成并公开出来,让所有人知道。这就是启动设置要做的事。
这些?系统参数?定义了整个系统的安全性,因为?s?暴露会使得攻击者可以构建任意内容的?证据。因此,一个有N个参与者共同参与的启动设置仪式中,他们要通过协议把本地的s结合起来,这样只要有1个参与者是诚实的、在参与之后就销毁掉了自己提供的s,这个系统就会是安全的。即,信任模型是1/N模型,N越高,风险就越低。
注3-3:?是一个线性的操作,即+=,而且?a=。
如果上所述,我们将数据映射表示为?f(w^index)=value,即一个多项式的求值形式,也可说,我们用这些?(w^index,value)?点拟合出了一条曲线。
所以,一个多项式f(x)的KZG10承诺c(f)?是一个椭圆曲线点?f(),这个点可以靠在f(x)的展开式中插入?,?…计算得出。
注3-4:f(s)是无法计算的,因为s是个秘密值。但是?C(f)==f()?是可以计算的。
注3-5:f(x)的承诺?C(f)=?也是一个线性的运算符,即,C(f+g)=C(f)+C(g)。
Rollup/聚合器?可以使用这一属性来更新承诺。在求值形式下,更新一个求值点将导致f(x)完全改变,但因为有这个属性,其承诺c(f)仍然是易于更新的。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。