值得信赖的区块链资讯!
比推 APP
L2 – 深入理解zkSync电路
zkSync的电路设计很有意思,值得好好学习。众所周知,一个区块中会打包不同的交易,如果只是针对一个个交易进行电路的证明,电路大小会变化。zkSync将交易切割成更小的“通用电路“。一个区块中包含固定的”通用电路“,间接支持多个交易。
zkSync的源代码目录下的docs/circuit.md简述了zksync的电路实现的原理以及各个操作的结构。zkSync的Layer2交易证明基于PLONK证明系统,功能模块如下:
1. 电路表示
zksync的电路由FranklinCircuit结构表示。整个电路的逻辑实现在core/circuit/src/circuit.rs。
pub struct FranklinCircuit<'a, E: RescueEngine + JubjubEngine> {
pub rescue_params: &'a <E as RescueEngine>::Params,
pub jubjub_params: &'a <E as JubjubEngine>::Params,
/// The old root of the tree
pub old_root: Option<E::Fr>,
pub initial_used_subtree_root: Option<E::Fr>,
pub block_number: Option<E::Fr>,
pub validator_address: Option<E::Fr>,
pub pub_data_commitment: Option<E::Fr>,
pub operations: Vec<Operation<E>>,
pub validator_balances: Vec<Option<E::Fr>>,
pub validator_audit_path: Vec<Option<E::Fr>>,
pub validator_account: AccountWitness<E>,
}
FranklinCircuit包括了Rescue以及Jubjub参数,老的状态根,Validator的地址/余额以及在Merkle树上的路径信息,pub data的commitment信息(区块中所有的Operation对应的pub data对应的commitment),以及各个Operation的信息。简单的说,FranklinCircuit包括了,当前状态(状态根),交易信息(pub data以及Operation)以及Validator需要收取的手续费。
Pub Data
每一笔Layer2的交易,会发布完备的信息到Layer1。这些信息就称为Pub Data。每种交易类型有不同长度。为了固定证明电路,Pub Data被切割成多个块(Chunk)。
Operation
从电路的角度,每一种交易,“分割”成多个Operation。一个区块中的交易分割成多个Operation。
在证明了这些Operation的正确性后,潜在证明了区块中包含的交易的正确性。电路中的Operation定义在core/circuit/src/operation.rs中 :
pub struct Operation<E: RescueEngine> {
pub new_root: Option<E::Fr>,
pub tx_type: Option<E::Fr>,
pub chunk: Option<E::Fr>,
pub pubdata_chunk: Option<E::Fr>,
pub signer_pub_key_packed: Vec<Option<bool>>,
pub first_sig_msg: Option<E::Fr>,
pub second_sig_msg: Option<E::Fr>,
pub third_sig_msg: Option<E::Fr>,
pub signature_data: SignatureData,
pub args: OperationArguments<E>,
pub lhs: OperationBranch<E>,
pub rhs: OperationBranch<E>,
}
new_root是新的状态根,tx_typ指交易类型,chunk是交易多个chunk的编号,pubdata_chunk是交易对应的pubdata的chunk编号。signer_pub_key_packed是交易签名的pub key。整个交易(msg)分成最大三段。每段的字节长度不超过Fr的bit个数。signature_data是签名信息。args是交易的参数信息。lhs/rhs分别指的是状态操作的分支信息。
交易的参数信息由OperationArguments数据结构表示。你可以把Operation中除了OperationArugments的部分想象成一种操作的固定信息。OperationArguments的部分是一种操作变化的部分。举个例子,Transfer的交易,Operation中的交易类型,pub data对应的chunk是固定的。而转账金额,费用,以太地址针对不同的Transfer交易而不同。
pub struct OperationArguments<E: RescueEngine> {
pub a: Option<E::Fr>,
pub b: Option<E::Fr>,
pub amount_packed: Option<E::Fr>,
pub full_amount: Option<E::Fr>,
pub fee: Option<E::Fr>,
pub new_pub_key_hash: Option<E::Fr>,
pub eth_address: Option<E::Fr>,
pub pub_nonce: Option<E::Fr>,
}
amount_packed是交易的金额,fee是交易的费用。其他也比较清晰。讲讲a,b。在每个Operation的证明电路中,提供了一个大于等于的判断。也就是说,判定a是否大于b。针对不同的交易,a和b的含义不同。以Transfer为例,a代表发送方的余额,b代表发送的金额加上费用。Transfer的证明电路证明发送方有足够的余额支付交易。以Deposit为例,a代表金额,b设置为0。Deposit的证明电路证明Deposit的交易金额必须大于0。
某个状态分支由OperationBranch数据结构表示:
pub struct OperationBranch<E: RescueEngine> {
pub address: Option<E::Fr>,
pub token: Option<E::Fr>,
pub witness: OperationBranchWitness<E>,
}
address表示zksync内部的账户编号,token是代币对应的编号,witness是分支对应的证明信息。
2.0 电路核心逻辑
熟悉Bellman或者对R1CS电路搭建有经验的小伙伴都知道,一切从synthesize函数开始:
fn synthesize<CS: ConstraintSystem<E>>(self, cs: &mut CS) -> Result<(), SynthesisError> {
在查看具体逻辑之前,必须清晰的是,电路证明的是一个Block的合法性。一个Block包括了多个交易(Tx和PriorityOp),每个交易对应的多个Operation。
申请固定变量
申请固定为0的变量。两种形式:AllocatedNum以及CircuitElement。CircuitElement是抽象的数据结构,实现电路的最基本的元素:
let zero = AllocatedNum::alloc(cs.namespace(|| "allocate element equal to zero"), || {
Ok(E::Fr::zero())
})?;
zero.assert_zero(cs.namespace(|| "enforce zero on the zero element"))?;
// we only need this for consistency of first operation
let zero_circuit_element = CircuitElement::unsafe_empty_of_some_length(zero.clone(), 256);
可以看出,CircuitElement就是AllocatedNum的封装,提供了更多变量的信息(bits信息和长度)。
pub struct CircuitElement<E: Engine> {
number: AllocatedNum<E>,
bits_le: Vec<Boolean>,
length: usize,
}
创建PreviousData
PreviousData现在主要是前一个Operation对应的各种信息数据。
struct PreviousData<E: RescueEngine> {
op_data: AllocatedOperationData<E>,
}
let mut prev = PreviousData {
op_data: AllocatedOperationData::empty_from_zero(zero.clone())?,
}
从AllocatedOperationData的定义可以清晰的看出,AllocatedOperationData包含了前一个Operation的各种信息对应的变量。
pub struct AllocatedOperationData<E: Engine> {
pub amount_packed: CircuitElement<E>,
pub fee_packed: CircuitElement<E>,
pub amount_unpacked: CircuitElement<E>,
pub full_amount: CircuitElement<E>,
pub fee: CircuitElement<E>,
pub first_sig_msg: CircuitElement<E>,
pub second_sig_msg: CircuitElement<E>,
pub third_sig_msg: CircuitElement<E>,
pub new_pubkey_hash: CircuitElement<E>,
pub eth_address: CircuitElement<E>,
pub pub_nonce: CircuitElement<E>,
pub a: CircuitElement<E>,
pub b: CircuitElement<E>,
}
创建Pub Data Commitment
区块信息对应的Pub Data从Layer2会提交到Layer1。区块证明的信息,显然要验证是否和提交的Pub Data一致。
// vector of pub_data_bits that will be aggregated during block processing
let mut block_pub_data_bits = vec![];
let public_data_commitment =
AllocatedNum::alloc(cs.namespace(|| "public_data_commitment"), || {
self.pub_data_commitment.grab()
})?;
public_data_commitment.inputize(cs.namespace(|| "inputize pub_data"))?;
public_data_commitment也是整个电路唯一的公开输入。
确认状态根
整个状态是由账户和Token信息组成的两层Merkle树。账户是以追加方式一个个添加。账户信息比较少的情况下,存在大量的空节点。
let old_root = AllocatedNum::alloc(cs.namespace(|| "old_root"), || self.old_root.grab())?;
let mut rolling_root = {
let initial_used_subtree_root =
AllocatedNum::alloc(cs.namespace(|| "initial_used_subtree_root"), || {
self.initial_used_subtree_root.grab()
})?;
let old_root_from_subroot = continue_leftmost_subroot_to_root(
cs.namespace(|| "continue initial_used_subtree root to old_root"),
&initial_used_subtree_root,
params::used_account_subtree_depth(),
params::account_tree_depth(),
self.rescue_params,
)?;
// ensure that old root contains initial_root
cs.enforce(
|| "old_root contains initial_used_subtree_root",
|lc| lc + old_root_from_subroot.get_variable(),
|lc| lc + CS::one(),
|lc| lc + old_root.get_variable(),
);
initial_used_subtree_root
};
rolling_root为包括了所有账户的最小树的树根。从rolling_root到最终的root,需要再和一些空节点计算hash。
确定Chunk的状态
next_chunk_num为下一个chunk的编号对应的变量。区块中的第一个交易的第一个Operation的第一个chunk编号为0。
let mut next_chunk_number = zero.clone();
let mut allocated_chunk_data: AllocatedChunkData<E> = AllocatedChunkData {
is_chunk_last: Boolean::constant(false),
is_chunk_first: Boolean::constant(false),
chunk_number: zero_circuit_element.get_number(),
tx_type: zero_circuit_element,
};
allocated_chunk_data表明当前的chunk的状态:是否是第一个或者最后一个状态,对应的chunk编号,以及交易类型。注意,这些都是电路的变量。
确定Pub Data是否一致
从证明电路的角度看,每个交易都划分为不同的Operation。针对一个交易的不同Operation,要证明处理的是同一个Pub Data。pubdata_holder就是实现这样的目的。因为一个区块可能包含不同的Operation,所以,pubdata_holder枚举包含所有的Operation的可能性。
let mut pubdata_holder = {
let mut data = vec![vec![]; DIFFERENT_TRANSACTIONS_TYPE_NUMBER];
data[NoopOp::OP_CODE as usize] = vec![]; // No-op allocated constant pubdata
data[DepositOp::OP_CODE as usize] = vec![zero.clone(); 2];
data[TransferOp::OP_CODE as usize] = vec![zero.clone(); 1];
data[TransferToNewOp::OP_CODE as usize] = vec![zero.clone(); 2];
data[WithdrawOp::OP_CODE as usize] = vec![zero.clone(); 2];
data[FullExitOp::OP_CODE as usize] = vec![zero.clone(); 2];
data[ChangePubKeyOp::OP_CODE as usize] = vec![zero.clone(); 2];
// this operation is disabled for now
// data[CloseOp::OP_CODE as usize] = vec![];
data
};
初始化Fee对应变量
在一个区块中的交易,可能转账或者提取任何Token。所以,一个区块对应的Fees是一个数组。Fee初始都为0。
let mut fees = vec![];
let fees_len = params::number_of_processable_tokens();
for _ in 0..fees_len {
fees.push(zero_circuit_element.get_number());
}
Operation处理
整个证明电路包括了一个区块中的所有Operation的证明。
// Main cycle that processes operations:
for (i, operation) in self.operations.iter().enumerate() {
}
每一个Operation的处理都可以分成几个小步骤:
1. 验证chunk编号
验证当前的chunk是不是和next_chunk_number一致。并且创建更多变量,表示当前的状态:交易类型,是不是第一个chunk,是不是最后一个chunk,当前的chunk编号。
let (next_chunk, chunk_data) = self.verify_correct_chunking(
&operation,
&next_chunk_number,
cs.namespace(|| "verify_correct_chunking"),
)?;
2. 收集pub data
将每个Operation对应的chunk data收集到block pub data中。
let operation_pub_data_chunk = CircuitElement::from_fe_with_known_length(
cs.namespace(|| "operation_pub_data_chunk"),
|| operation.clone().pubdata_chunk.grab(),
params::CHUNK_BIT_WIDTH,
)?;
block_pub_data_bits.extend(operation_pub_data_chunk.get_bits_le());
3. 分支选择
逻辑上,每个交易会改变一些branch,所谓的branch,就是状态树上的分支(账户和Token)。
let lhs =
AllocatedOperationBranch::from_witness(cs.namespace(|| "lhs"), &operation.lhs)?;
let rhs =
AllocatedOperationBranch::from_witness(cs.namespace(|| "rhs"), &operation.rhs)?;
let mut current_branch = self.select_branch(
cs.namespace(|| "select appropriate branch"),
&lhs,
&rhs,
operation,
&allocated_chunk_data,
)?;
目前的交易类型,最多改动两个分支。也就是Operation里面定义的lhs和rhs(左分支和右分支)。针对每个Operation,选定一个branch(需要在Operation后进行一定的更新,Nonce,Balance等等)。当然,对于一个交易的所有Operation,要能覆盖所有的branch。相关的逻辑由select_branch确定。
如果是Deposit交易,永远选择lhs。如果是其他交易,第一个选择lhs,其他选择rhs。
4. 状态根检查
在选定branch后,需要确定当前状态和之前计算的rolling是否一致。
// calculate root for given account data
let (state_root, is_account_empty, _subtree_root) = check_account_data(
cs.namespace(|| "calculate account root"),
¤t_branch,
params::used_account_subtree_depth(),
self.rescue_params,
)?;
// ensure root hash of state before applying operation is correct
cs.enforce(
|| "root state before applying operation is valid",
|lc| lc + state_root.get_variable(),
|lc| lc + CS::one(),
|lc| lc + rolling_root.get_variable(),
);
5. 执行Operation
execute_op执行某个具体的Operation。逻辑上,execute_op电路中包括了所有的可能的Operation的操作。只是在执行某个具体的Operation,只有其中一个有效。
self.execute_op(
cs.namespace(|| "execute_op"),
&mut current_branch,
&lhs,
&rhs,
&operation,
&allocated_chunk_data,
&is_account_empty,
&operation_pub_data_chunk.get_number(),
// &subtree_root, // Close disable
&mut last_token_id,
&mut fees,
&mut prev,
&mut pubdata_holder,
&zero,
)?;
execute_op检查如下的条件是否满足:
1/ 左右的branch的token,是否一致?
2/ Op Data和Prev是否一致?
3/ 交易签名是否正确?
4/ a是否满足大于等于b?(a/b,请查看Operation)
5/ 是否是支持的交易中的一种?
6/ 更新Fee
因为一个Opeartion的电路需要逻辑上支持不同交易。不同交易不一样的逻辑由单独的电路处理。目前支持支持7种操作,以transer为例,理解一下具体的业务电路的实现:
fn transfer<CS: ConstraintSystem<E>>(
&self,
mut cs: CS,
cur: &mut AllocatedOperationBranch<E>,
lhs: &AllocatedOperationBranch<E>,
rhs: &AllocatedOperationBranch<E>,
chunk_data: &AllocatedChunkData<E>,
is_a_geq_b: &Boolean,
is_account_empty: &Boolean,
op_data: &AllocatedOperationData<E>,
signer_key: &AllocatedSignerPubkey<E>,
ext_pubdata_chunk: &AllocatedNum<E>,
is_sig_verified: &Boolean,
pubdata_holder: &mut Vec<AllocatedNum<E>>,
) -> Result<Boolean, SynthesisError> {
1/ 确保pub data一致
2/ 确保是Transer类型
3/ 确保a/b的意义一致(a代表余额,b代表转账金额加上手续费)
4/ 两个branch的信息是否有效?
5/ 更新当前的branch信息
6. 确认并更新状态根
在执行完当前Operation后,当前的branch的相关信息(nonce,balance等等)都会更新。需要更新一下对应的状态根,因为下一个Operation需要在新的状态根上更新。注意,下一个Operation提供的branch witness信息是在上一个Operation更新的基础上产生的。电路只需要证明新的Root正确即可。这个也是原因,整个证明电路并没有维护整个状态树的原因。
let (new_state_root, _, _) = check_account_data(
cs.namespace(|| "calculate new account root"),
¤t_branch,
params::used_account_subtree_depth(),
self.rescue_params,
)?;
rolling_root = new_state_root;
查看Chunk是否完整
在Block中的所有Operation执行完成后,is_chunk_last应为true。也就是说,Block中的最后一个交易的Operation是完整的。
cs.enforce(
|| "ensure last chunk of the block is a last chunk of corresponding transaction",
|_| {
allocated_chunk_data
.is_chunk_last
.lc(CS::one(), E::Fr::one())
},
|lc| lc + CS::one(),
|lc| lc + CS::one(),
);
计算交易费后的状态
在支付交易费给Validator后,重新计算Validator的Balance树的树根,以及新的状态根。
//apply fees to operator balances
for i in 0..fees_len {
validator_balances_processable_tokens[i] = allocate_sum(
cs.namespace(|| format!("validator balance number i {}", i)),
&validator_balances_processable_tokens[i],
&fees[i],
)?;
}
// calculate operator's balance_tree root hash from whole tree representation
let new_operator_balance_root = calculate_balances_root_from_left_tree_values(
cs.namespace(|| "calculate_root_from_full_representation_fees after"),
&validator_balances_processable_tokens,
params::balance_tree_depth(),
self.rescue_params,
)?;
let mut operator_account_data = vec![];
let new_operator_state_root = {
let balance_root = CircuitElement::from_number(
cs.namespace(|| "new_operator_balance_root_ce"),
new_operator_balance_root,
)?;
calc_account_state_tree_root(
cs.namespace(|| "new_operator_state_root"),
&balance_root,
&self.rescue_params,
)?
};
operator_account_data.extend(validator_account.nonce.get_bits_le());
operator_account_data.extend(validator_account.pub_key_hash.get_bits_le());
operator_account_data.extend(validator_account.address.get_bits_le());
operator_account_data
.extend(new_operator_state_root.into_padded_le_bits(FR_BIT_WIDTH_PADDED));
let root_from_operator_after_fees = allocate_merkle_root(
cs.namespace(|| "root from operator_account after fees"),
&operator_account_data,
&validator_address_bits,
&validator_audit_path,
params::used_account_subtree_depth(),
self.rescue_params,
)?;
let final_root = continue_leftmost_subroot_to_root(
cs.namespace(|| "continue subroot to root"),
&root_from_operator_after_fees,
params::used_account_subtree_depth(),
params::account_tree_depth(),
self.rescue_params,
)?;
验证Pub Data Commitment
最后检查pub data commitment是否正确,计算方式如下:
至此,所有电路处理的逻辑就结束了。
总结:
zkSync采用PlonK零知识证明系统。在电路设计上,非常巧妙的将交易分割成一个个小的通用处理单元(Operation)。一个Operation对应的证明电路逻辑支持所有可能交易的Operation逻辑。多个有关联的Operation电路组成交易电路。多个交易的电路再组合成区块电路。从而,在固定大小的区块中也能包含不同组合的交易。
来源:Star Li
比推快讯
更多 >>- 比特币挖矿难度下调 3.28% 至 141.67 T
- 现货白银站上 97 美元,再创历史新高
- 代币化黄金板块总市值升至 51.2 亿美元,XAUT、PAXG 跻身加密货币排行榜前六十
- 美股收盘加密板块跌多涨少,VIX 收跌 7.46%,ETHZ 收涨 4.15%
- 数据:“麻吉大哥”再次加仓以太坊多单,目前仓位价值约 1211 万美元
- TikTok官宣美国方案,两公司共同运营,字节保留算法知识产权
- 某 Pendle 投资人地址将 180 万枚代币转入 CEX,持仓 3 年价值约 383 万美元
- Capital One 斥资 51.5 亿美元收购金融科技初创公司 Brex
- BitGo 纽交所上市首日上涨约 20%,盘中估值最高达 26 亿美元
- SEC 与 CFTC 将于下周举办关于加密货币监管协调的联合活动
- World Liberty Financial 与加密卫星公司 Spacecoin 达成合作并互换代币
- Cap 第二季积分活动 Homestead 将于 1 月 29 日开始,7 月 23 日结束
- 若比特币跌破 8.8 万美元,主流 CEX 累计多单清算强度将达 6.38 亿
- Farcaster 创始人澄清:协议当前运行正常,购房资金来自 Coinbase IPO 收益
- 加密恐慌指数回升至 24,市场仍处于极度恐慌区间
- 特朗普称获格陵兰全面准入,北约推动加强北极安全但协议细节存疑
- 美众议院未通过旨在限制特朗普对委再动武的决议
- 某巨鲸再次增持超 2 万枚 ETH,总持仓量升至 80,115 枚
- 特朗普:将对所有与伊朗进行贸易往来国家加征 25%关税
- SENT 24 小时涨超 170%,市值升至 2.25 亿美元
- 特朗普:到处都是创纪录的数字,我应该争取第四个任期吗?
- 现货黄金上破4950美元
- 美国堪萨斯州提出比特币战略储备法案
- 普华永道:机构级加密采用已越过不可逆转点
- 美国参议院农业委员会公布加密市场结构法案版本,立法进程仍存分歧
- BitGo 登陆纽交所首日大幅震荡,股价上涨 36%后回落
- 美联储 1 月维持利率不变概率达 95%,降息概率仅 5%
- 英特尔盘后股价下跌超 4%
- 美元指数 DXY 日内跌超 0.5%,现报 98.3
- 花旗警告:以太坊活跃度激增或是“地址投毒”诈骗引发的虚假繁荣
- 数据:500 万枚 TON 从 Telegram 转出,价值约 770 万美元
- 数据:若 BTC 突破 93,951 美元,主流 CEX 累计空单清算强度将达 19.57 亿美元
- 现货黄金上涨突破 4910 美元/盎司创历史新高
- 数据:2015 枚 ETH 从 Binance 转出,价值约 595 万美元
- 加密托管商 BitGo 登陆纽交所首日大涨 25%
- 特朗普因“去银行化”起诉摩根大通,索赔50亿美元
- 特朗普家族项目 WLFI 与 Spacecoin 合作,将进行战略性代币互换
- 预测市场押注贝莱德高管Rick Rieder为美联储主席热门人选
- 现货黄金历史性站上4900美元
- 数据:共计 6 万个地址已认领 SKR 代币,平均空投金额 1400 美元
- DFDV 宣布发行 Meme 币 DONT,上线 3 小时触及 2800 万美元
- 何一:断章取义过度解读防不胜防,阴谋论更能席卷大众情绪
- 罗素 2000 指数涨 1.2%,创历史新高
- 数据:过去 24 小时全网爆仓 5.54 亿美元,多单爆仓 2.85 亿美元,空单爆仓 2.69 亿美元
- Ondo,将在 Solana 等链上推出 BitGo 代币化股票
- CNN:格陵兰岛问题尚未达成书面协议
- 美元指数 DXY 跌约 0.5%,非美货币集体走高
- 数据:2 万枚 SOL 从 vladilena.sol 转出,经中转后转至另一匿名地址
- SpaceX 已与四家银行达成协议 为“超级 IPO”做准备
- 马斯克:AI 到 2030 年将变得比整个人类群体更为智能
比推专栏
更多 >>
观点
比推热门文章
- 现货白银站上 97 美元,再创历史新高
- 代币化黄金板块总市值升至 51.2 亿美元,XAUT、PAXG 跻身加密货币排行榜前六十
- 美股收盘加密板块跌多涨少,VIX 收跌 7.46%,ETHZ 收涨 4.15%
- 数据:“麻吉大哥”再次加仓以太坊多单,目前仓位价值约 1211 万美元
- TikTok官宣美国方案,两公司共同运营,字节保留算法知识产权
- 某 Pendle 投资人地址将 180 万枚代币转入 CEX,持仓 3 年价值约 383 万美元
- Capital One 斥资 51.5 亿美元收购金融科技初创公司 Brex
- BitGo 纽交所上市首日上涨约 20%,盘中估值最高达 26 亿美元
- SEC 与 CFTC 将于下周举办关于加密货币监管协调的联合活动
- World Liberty Financial 与加密卫星公司 Spacecoin 达成合作并互换代币
