零知识证明硬件初创公司 Cysic 于昨日宣布完成 600 万美元种子轮融资，Polychain Capital 领投。

原文标题：《「CN」ABCDE：为什么我们要投资 Cysic？》

撰文：Siyuan Han

Cysic 是行业领先的 ZK 硬件加速项目，致力于设计先进的 ASIC 芯片来帮助减少 ZK 证明生成时间。Cysic 组建了一流的硬件设计研发团队，目前已经完成了基于 FPGA 的 POC 设计工作。根据 POC 结果可以证明 Cysic 的 ZK 硬件加速能力已经处于行业领先的位置。

ABCDE 于 Seed 轮投资了 Cysic，同时本轮的投资机构还有 Polychain、A&T、Hashkey，以及 Web3.com Venture。

为什么我们需要 ZK 硬件加速

ZK 证明的生成 (ZK Proof Generation)是在 ZK 项目中最核心步骤之一。不幸的是，在现有的 ZK 证明系统下，生成 ZK 证明通常需要大量的计算。随着项目的复杂度的升高，ZK 电路规模的增大，ZK 证明生成需要的计算量会指数级上升。例如，对于 Scroll, zkSync 等大型 zkEVM/zkVM 项目，如果其完全通过 CPU 来生成 ZK 证明，可能会需要数小时，甚至数天的计算。在实际业务中，大多数项目需要将ZK 证明的生成限制在数秒和数分钟内。数小时或者更久的计算时间对于大部分 ZK 项目，尤其是对于 zkEVM/zkVM 等扩容类项目来说是完全不可接受的。

此外，ZK 证明的生成的计算复杂度在未来 ZK 项目正式上线前的 2 年左右的时间窗口内，难有从理论层面降低的可能性。因此，为了保证项目的可用性，在项目正式上线前，ZK 项目方必须采用「加速 ZK 证明生成」的技术方案，将ZK 证明生成加速到秒级或者分钟级。而通过高性能硬件加速 ZK 证明生成的方式是目前的首选。

硬件加速了什么?

在 ZK 证明生成的过程中，主要耗时的计算可以分为两种类型，1. 基于多项式的NTT (Number Theoretic Transform)计算和 2. 在椭圆曲线上进行的MSM (Multi-Scalar Multiplication)计算，如下图所示[1]。通常来说，在一次 ZK 证明生成的计算中，NTT 类型的计算任务约占到全部计算任务的 25% 左右，MSM 类型的计算任务约占到60–70 % 左右[2]。

幸运的是，这两种类型的计算任务存在：1. 逻辑相对简单，2. 大量重复相同的计算逻辑，3. 可并行的特点 ( 类似 Bitcoin Mining 计算 )。因此，使用高性能硬件加速这两类计算是理论上可行的。

如下图所示，我们可以发现 NTT 计算 ( 左上部分 ) 和 MSM 计算 ( 右边 ) 在 ZK 证明生成的工作流中轻耦合的。因此，ZK 项目方可以根据实际需求选: 1. 单独加速 NTT 计算 或 2. 单独加速 MSM 计算，或者 3. 整体加速 NTT 和 MSM，三种方案。

General ZK 证明生成过程的 Workflow [1]

注 1: 上图来自于 Scroll co-founder Zhang Ye 的论文: PipeZK: Accelerating Zero-Knowledge Proof with a Pipelined Architecture。这是行业中最早研究 zk 硬件加速的论文之一。

注 2: 在某些文献 / 文章中声称 ZK 证明生成最耗时的是 FFT (Fast Fourier Transform) 和 MSM 两种。虽然 FFT 和 NTT 原理相似，但是由于 ZK 的中涉及到的密码学计算多是在有限域 (Finite Field)上进行的，因此在实际中的计算应为NTT。因此我们以多数学术文章中采用的 NTT 为准[1][2][3]。

使用什么硬件加速?

与挖矿的解决方案相同，目前 ZK 硬件加速的方案主要通过下面三种硬件实施:

• GPU

• FPGA

• ASIC

目前，市面上可用的硬件加速方案主要有 GPU 和 FPGA 两种。使用 GPU/FPGA 的加速方案相对容易实现。因此，为了更快的抢占市场，大部分厂商都会首先实现 GPU/FPGA 的方案。由于 GPU 和 FPGA 的硬件成本较高，功耗相对大，绝对性能也有限制。因此 ASIC 方案是 ZK 硬件加速生态中不可忽视的一环。

硬件加速如何服务 ZK 项目方

ZK 硬件加速提供商可以通过两种方式提供 ZK 证明生成加速服务：

1. 通过 SaaS API。

2. 通过销售硬件 ( 整机 / 芯片 ) 来提供加速服务 ( 类似卖矿机 )。

正如我们上面提到的，在 ZK 证明的生成过程中，NTT 和 MSM 计算是轻耦合的。因此，根据服务粒度的不同，硬件加速服务商可以提供下面三种粒度的服务。

1. 专用 NTT 加速 ( 专用 NTT 加速 API/ 硬件设备 )

2. 专用 MSM 加速 ( 专用 MSM 加速 API/ 硬件设备 )

3. 一体化加速方案，同时加速 NTT 和 MSM

硬件加速提供商的差异

NTT 和 MSM 计算问题已经被广泛研究多年。各大厂商难以短时间内在计算理论层面实现突破。因此，各个厂商之间的技术上的差异，更多在于工程实现能力，对算法细节的把控能力，技术栈 ( 硬件 ) 的选择，硬件生产的成本控制，和产品设计能力。客户在选择加速厂商的时候，会重点考虑下面三个因素：

• 硬件 / 服务的性能，同样的计算任务下，厂商的计算时间。

• 硬件加速成本，同样的计算任务下，厂商的计算成本。

• API/ 设备的易用程度。

我们为什么投资 Cysic

Cysic 由 Leo Fan 和 Bowen Huang 于 2022 年 8 月末创办。Cysic 的主要目标是为 ZK 项目的ZK 证明生成过程提供硬件加速服务。美国加州以及中国大陆。这些创始成员的背景主要来自于美国 Top20 大学计算机系的博士以及中科院计算所的芯片设计团队。现阶段，项目已经实现了基于 FPGA 的 MSM 计算的 POC 验证，项目代号 SolarMSM。在本阶段，SolarMSM 会通过 SaaS 的方式对外提供服务。目前 Cysic 以及与多家头部 ZK 项目方达成了合作意向，并会在近期为他们提供测试服务。根据行业多位权威人士的佐证，SolarMSM在加速 MSM 计算性能处于行业的 Top-Tier 的位置。

创始团队概况

两位创始人拥有极强的技术背景，分别是密码学和硬件设计方面的专家。Leo 博士毕业于康奈尔大学，师从国际著名的密码学教授Elaine Shi。在加入罗格斯大学担任助理教授之前，Leo 曾在 Algorand 担任密码学研究员。

另一位创始人 Bowen Huang，在创办 Cysic 之前，曾在中科院计算所工作 6 年，并赴耶鲁大学攻读博士学位，此前参与过其他若干知名大型科技企业的芯片研发工作，并有多项专利和设计落地。

POC 结果

目前，Cysic 已经实现了基于赛灵思的公版 FPGA 的 MSM 加速方案的 POC 设计工作，代号SolarMSM。在 POC 验证中，对于输入规模是 2³⁰ MSM 计算任务，SolarMSM 可以将其加速到一秒钟以内[2]。这是目前业界所有公开数据结果中的最强水平，对比 ZPrize 竞赛的冠军性能还要高 1–2 个数量级。

SolarMSM 的快速实现证明了：

• Cysic 团队高效的研发实力和技术能力。可以在短时间内设计并实现了比 ZPrize 第一名高1–2个数量级的性能，展现了压倒性的速度优势。

• Cysic 团队稳健的供应链整合管理能力。可以在 PCB，散热，供电，PCIE 连接件，机箱结构全部平行定制设计的情况下，仍然能够在 2–3 个月时间里面快速完成交付，这个基本上是行业标准的2–3倍速度。

同时，本阶段的 POC 也是对于 Cysic 硬件设计 / 研发工作的内部验证。由于 ASIC 芯片纠错成本相比于 FPGA 方案要高。通过 SolarMSM 在高带宽，高功耗，高互联水平下充分的实机验证可以大大降低未来 ASIC 芯片出错的风险。

技术路线图

Cysic 计划提供包括 NTT 和 MSM 计算在内的全套 ASIC 硬件加速解决方案。目前，项目方采取两阶段研发策略。

第一阶段：基于 FPGA 的 POC

项目的第一阶段，基于赛灵思的公版 FPGA 实现 MSM 和 NTT 加速的 POC 版本: SolarMSM。目前，MSM 计算加速的模块已经完成，对于 2³⁰规模的 MSM 计算可以在小于一秒内完成，是目前所有公开的 FPGA-MSM 硬件加速结果中性能最高，领先竞对 1–2 个数量级以上。如无意外，在 ASIC 芯片问世前，SolarMSM 将一直保持 MSM 硬件加速的最高性能记录。Cysic 已经和若干头部的 ZK 项目达成了合作意向，将会为这些项目首先提供 MSM 加速服务。

未来几个月内，Cysic 计划在 SolarMSM 基础上，完成 NTT 计算加速模块 SolarNTT。SolarNTT 将和 SolarMSM 部署在同一台服务器上，基于同一套大规模 FPGA 互联系统进行加速计算。这两套实现将通过 Cysic 设计的高速互联架构整合在一起，成为一体化全套的加速方案 SolarZKP。SolarZKP 将通过 SaaS 的方式对外提供 API 服务。

第二阶段：12nm ASIC

在 POC 阶段之后，Cysic 会开启12nm ASIC研制阶段。目标实现单颗 ASIC 芯片的算力达到整台 SolarZKP 的性能 ( 同时支持 MSM 和 NTT 计算和项目方指定的其他核心函数 )，同时单颗芯片功耗降低到两个数量级。

市场分析客户会如何选择硬件加速方案

在实际生产中，不同的 ZK 客户对于硬件加速的需求是不同的，这取决于 ZK 项目对证明生成时间的敏感程度。例如：

• 对于基于 zkEVM/zkVM 的 Layer-2 项目来说，他们的核心需求是：快速，稳定的生成 ZK 证明。因此他们会更倾向于选择更快，更稳定的一体化加速方案。

• 对于一些对 ZK 证明生成时间不敏感的 ZK 项目来说，他们不需要以最快的速度生成 Proof，例如交易所的财产证明。在这种场景下，客户可以灵活的选择例如单独 MSM 计算加速，或者可以组合不同服务商提供的MSM 计算和NTT 计算在可接受的时间内，选择最优的价格。

我们认为市场未来会出现组合不同硬件加速厂商方案来选择帮助客户生成最优方案的工具。

项目风险

目前，已经有多家企业参与了 ZK 硬件加速的赛道的竞争。对于基于 ASIC 的 ZK 硬件加速项目存在项目开发延期风险和市场风险。

项目开发延期风险

ZK 项目方和 ZK 硬件加速厂商之间是一种相互合作，相互成就的关系。作为 ZK 项目方，会首先选择最先可用的硬件加速方案，来抢占 ZK 项目自身的市占率。对于 zkEVM/zkVM 项目来说，能稳定的提供 L2 的区块证明是最重要的考量因素之一。因此，某些 ZK 项目方会在早期就和硬件加速厂商达成长期合作意向。如果项目开发过慢，可能会在前期丢失掉一部分市场占有率。同时，ASIC 流片存在失败风险。受芯片制造商产能限制的影响，流片失败会使得项目被迫重新进行一轮的流片排期，造成项目延迟。

市场风险

ZK 项目方可以分为隐私类，和扩容类两种。对于隐私类项目，使用硬件加速虽然可能在某种程度上可以减少旁路攻击的风险，但是考虑到隐私的问题，隐私类的项目会更加谨慎的选择 ZK 硬件加速方案，例如选择直接购买硬件而不是通过 SaaS 服务。

竞品项目项目头部竞对

目前行业中还有三家有实力的竞争对手, 分别 Supranational、Ulvantanna 以及 Auradine。

Supranational

Supranational 从 2019 年就进入了 GPU 加速 ZK 赛道，最近开始涉及 FPGA/ASIC 领域。Supranational 已经有非常成熟的开源基于 GPU 加速方案，性能处于行业前列。同时，我们预计 Supranational 还有一套性能更好的商业化的闭源方案。Supranational 进入的市场较早，有一定的行业资源和很好的现金流。

Ulvantanna

创始团队来自 Jump crypto，拿到了 paradigm 和 bain crypto 的投资，其实力不容小觑。

Auradine

创始团队比较 Senior，有着丰富的创业经验，有顶级厂商与资本的站台。

其他硬件加速团队

其余的团队例如：Ingonyama，Jump Crypto，虽然先于他们进入赛道，但是目前在公开数据上看性能不如现阶段的 SolarMSM。

ZK 项目内部硬件加速团队

目前，除了专门的硬件加速团队，不少 ZK 项目方也在内部探索硬件加速的解决方案，例如 zkSync 和 Scroll。

zkSync

zkSync 选择了 GPU/FPGA 的加速方案。根据 ZPrice 上公开的结果，zkSync 的 GPU 方案在计算输入规模是 2²⁶ MSM 时耗费 2.528 seconds。这个性能不到 Cysic SolarMSM 方案的十分之一 (2³⁰ MSM 计算时耗费小于 1 second)。

Scroll

Scroll 在内部进行了基于 GPU 的加速研究。同时，Scroll 和一些学术机构正在合作探索更优的解决方案，他们最新的学术研究成果在发表计算机体系结构领域的顶级会议 ASPLOS 2023 会议上[3]。作为头部的 zkEVM 项目，值得期待和追踪他们的后续的进展。

References

[1] PipeZK: Accelerating Zero-Knowledge Proof with a Pipelined Architecture, Zhang Ye

[2] FPGA Acceleration of Multi-Scalar Multiplication: CycloneMSM, Jump Crypto

[3] GZKP: A GPU Accelerated Zero-Knowledge Proof System