零知识证明 – 一种新型的Merkle树(Shrubs)
这几天在日本大阪正在举办Devcon 5。议题中有个topic吸引我的眼球:
Shrubs – A New Gas Efficient Privacy Protocol
在以太坊上,传统的Merkle树(深度为33)添加一个叶子节点,除了计算33次Hash函数外,还需要更新33个节点(也就是需要读并且更新33个存储空间)。而更新一个节点的存储费用是昂贵的。更新33个256bit的存储,大约需要180w的GAS费用。
Shrubs就提出了一种Merkle树的变种,每次添加一个叶子节点,只需要O(1)次存储更新。这种变种的Merkle树,不只是用一个树根节点来“代表”整棵树。而是用一系列节点(个数等于深度)来”代表“整棵树,保证所有的叶子节点都能”索引“到这些节点。在变种的Merkle上,每一层选择一个节点。在添加叶子节点的时候,在不破坏其他“子树”的根的前提下,只要更新到离该叶子节点最近的子树根即可。
可以想象成,Shrubs的变种Merkle树,其实是由一棵棵的子树的树根组成。这些子树能覆盖所有的已经添加的叶子节点。这些子树的树根可以代表一棵完整的Merkle树(唯一性)。而且通过子树的路径证明,就能证明某个叶子节点在这颗完整的Merkle树上。因为每次只需要更新子树的树根,所以,每次添加叶子节点只需要一次节点数据的更新。
这些子树的树根,又能推导出整个merkle树最右边的path。这也是,Shrubs的说明中,用merkle树的最右边path代表merkle树的原因。
Shrubs的变种Merkle树的算法原型昨天更新到Github上,地址如下:
https://github.com/celo-org/shrubs
核心算法逻辑在contracts/MerkleTreeLib.sol中的insert和verify函数。
1. 插入节点
insert函数实现了叶子节点的插入逻辑。filled_subtrees就是每个选择的子树的根。insert函数的主要逻辑,就是选择子树,更新子树的根。
function insert(uint256 leaf) internal { uint32 leaf_index = next_index; uint32 current_index = next_index; next_index += 1; uint256 current_level_hash = leaf; uint256 left; uint256 right; bool all_were_right = true; for (uint8 i = 0; i < levels; i++) { if (current_index % 2 == 0) { left = current_level_hash; right = zeros[i]; filled_subtrees[i] = current_level_hash; break; } else { left = filled_subtrees[i]; right = current_level_hash; } current_level_hash = HashLeftRight(left, right); current_index /= 2; } tree_leaves.push(leaf); }
filled_subtrees采用空节点初始化。在新插入一个节点时,找到它最低的左节点作为选择的子树,并更新树根。current_index是每一层上节点的序号。选择左边节点是通过current_index%2==0实现。
以深度为4的Merkle树为例,添加第一个叶子节点后,各个子树的树根如下(青色节点是初始化的filled_subtrees节点,蓝色是更新的节点):
添加第二和三个叶子节点分别如下:
整个添加过程如下面动图效果(橙色连线代表hash计算):
1.2 验证节点
verify函数是验证某个叶子节点在Merkle树上的示例。只要能给定一条路径,能计算出一个子树根即可。
function verify(uint256 leaf, uint256[] memory path, uint32 leaf_index) internal { uint32 current_index = leaf_index; uint256 current_level_hash = leaf; uint256 left; uint256 right; for (uint8 i = 0; i < levels; i++) { if (mode == 0 && filled_subtrees[i] == current_level_hash) { emit LeafVerified(leaf, leaf_index, i, true); return; } if (current_index % 2 == 0) { left = current_level_hash; right = path[i]; } else { left = path[i]; right = current_level_hash; } current_level_hash = HashLeftRight(left, right); current_index /= 2; } } }
2.1 数据更新
Shrubs变种Merkle树,每次添加节点,只需要更新一个子树的树根。从数据更新角度,算法复杂度O(1)。
2.2 hash计算
从hash计算的角度,在添加左节点时,无需hash计算。在添加右节点时,hash计算和选择的子树深度相等。越靠右的节点,子树选择也高,hash计算也越多。即使这样,也比传统的Merkle树计算量小。
假设Merkle树的树高是n,则传统Merkle树添加所有的叶子节点,需要2^n*n次计算。Shrubs变种Merkle树添加所有的叶子节点,只需要(1+2+…+n) = (n*(n-1))/2次计算
在Devcon5上,Shrubs公开了变种Merkle树的测试结果。叶子插入的gas消耗,平均情况下,9.6w。
图中,Shrubs最坏情况下的GAS消耗应该不是168w,应该在40w左右。
如果使用Groth16零知识证明的话,大约需要不到50w的GAS(EIP1008情况下)。
值得一提的是,使用Groth16零知识证明,需要将所有的子树的树根作为public input。
总结:
为了解决以太坊智能合约中Merkle树更新存储开销较大的问题,Shrubs提出了一种新型的Merkle树变种。这种变种的Merkle树用多个子树的树根来代表一个Merkle树。每次添加一个叶子节点,只需要O(1)次存储更新,平均情况下,只需要9.6w的GAS。使用Groth16算法,证明叶子节点在树上,也只需要不到50w的GAS。
附上,好朋友从现场发回的其他照片,也分享给小伙伴们(图片中有一些地方有错误,发现错误的小伙伴留言,有奖励~):
比推快讯
更多 >>- 3月28日现货比特币ETF净流入达1.79亿美元
- WIF最大的个人/机构持币地址已浮盈1.34亿美元
- Prisma Finance攻击者:并非盗取资金,而是一次白帽行动
- Uniswap DAO正在就其资金多元化发起提案投票
- 比特币矿商Cleanspark计划出售最多8亿美元的股票,股价下跌10%
- AAVE:将通过OpenBlock进行风险管理
- 谷歌现在允许搜索比特币、Fantom、Arbitrum等钱包地址
- 去中心化借贷平台LendFi推出综合应用程序
- AI分析公司Helika推出5000万美元规模链游加速器
- Cathie Wood:出售 Coinbase 股票是主动投资组合管理的一部分
- Bitwise向美SEC申请推出现货以太坊ETF
- Wormhole:4月3日开启空投申领
- 3月28日9只现货比特币ETF净增持534枚BTC,净流入约3812万美元
- Greeks.Live:价值150亿美元的期权将于明日交割,BTC看涨期权依旧是移仓主力
- Web3基础设施平台Syndicate推出低成本L3链Degen Chain,原生 Gas 代币为DEGEN
- 1inch宣布启动社区建设者计划2.0阶段
- Econia Labs:Reference Frontend已上线并准备分叉
- OKX 全球首席合规官在任职仅六个月后离职
- 彭博社:美国和英国正在审查通过某俄罗斯虚拟交易所进行的超 200 亿美元的加密货币交易
- 资产代币化协议Midas完成875万美元种子轮融资,BlockTower等领投
- SBF被判入狱25年,被勒令没收超110亿美元资产
- Prisma:因漏洞影响暂停协议,剩余资金是安全的
- Ondo Finance聘请麦肯锡前数字资产主管Ian De Bode担任首席战略官
- 检察官:SBF至少要被判处40年监禁
- FTX锁仓价值75亿美元的SOL已吸引多个买家,包括Galaxy Trading
- SBF:Alameda和FTX本可以免于破产
- SBF:流动性危机是我本人造成的
- SBF:我犯了很多错,对每个阶段发生的事情感到抱歉
- SBF辩护律师:SBF从未想过要成为加密货币之王,他只是想对世界产生最大的积极影响
- 投资公司Kerrisdale:MicroStrategy股价被高估,已持有其空头头寸
- FTX受害者指责Sullivan&Cromwell将FTX持有的100 亿美元SOL七折出售给Galaxy
- FTX案受害者称至少有三人因该诈骗事件自杀
- 美法官表示SBF案的最高刑期为1320个月
- Vitalik Buterin撰文提出目前L2协议改进的四个关键
- 法官驳回SBF关于投资者已获得全额赔付的说法,称损失的资金超过 5.5 亿美元
- 美法官发现 SBF 试图篡改证人并在审判中提供伪证
- 8,116枚BTC从CoinBase转移到未知钱包
- 灰度向Coinbase Prime转移734枚BTC
- FLock.io完成600万美元种子轮融资
- SBF律师认为合适刑期不应超过六年半