Loopring，路印，一直专注在高性能的去中心化交易协议。路印协议的目标是想实现以太坊上基于订单撮合的去中心化的交易协议。从2017年，路印从“环路撮合”的最初设计，经过了1.0，2.0以及3.0的三个大的版本的协议升级。1.0/2.0，相对来说，受限以太坊本身性能的限制，交易流程复杂，体验和中心化交易所相比，有较大的差距。路印协议3.0，是一种大胆的设计和尝试，通过零知识证明技术（ZKP），兼顾去中心化和交易性能。

本文对比路印协议2.0/3.0，分析zkSNARK零知识证明技术如何在路印3.0协议中运用。

01

路印协议1.0/2.0

路印协议在2.0版本之前，虽然有一些细致的功能和改进，但是，从框架上来说，没有本质的改变：

链下主要由Relay维护订单（Order Management）和完成订单的撮合（Settlement Engine）。完成撮合的订单，需要在链上记录（由链上的智能合约实现）。简单的说，2.0协议之前，采用的是“链下撮合，链上记录“的方式。在这种方式下，所有的交易状态记录在链上，链上的智能合约需要实现很多逻辑：

• 检查订单的签名信息

• 检查订单的填充率以及是否取消

• 检查订单的时间

• 计算费率

• 在上述检查和计算完成后，完成token之间的转账

往往一个撮合中包括多个订单，完成这样的一笔撮合大概需要20w～30w的GAS费用。也就是说，在以太坊区块最大GAS 800w，出块速度是15秒的前提下，路印2.0协议的撮合性能大概是：每秒大约2笔撮合。

02

路印协议3.0

采用零知识证明（ZKP）技术，路印协议3.0所有的撮合逻辑都在链下完成。每一笔撮合（Settlement）都会生成证明并提交到链上，证明链下的撮合正确无误。路印协议3.0的设计文档发布在Github上：

https://github.com/Loopring/protocols/blob/master/packages/loopring_v3/DESIGN.md

路印协议3.0的框架如下：

2.1 链上/链下同步

路印协议采用和以太一致的“账户”模型，所有的账户的“状态”（余额）都记录在链下。

所有和状态相关的操作，都是在链下更改，提交Proof到链上记录。因为存在链上链下的状态同步，账户的任何操作有三个状态：

1/ Committed （操作已经提交）2/ Verified （该操作已经提供了相应的Proof）3/ Finalized（之前的所有的操作都已经提交正确的Proof）

以用户Deposit“充值”的操作为例：

用户转账到路印协议的智能合约，转账在链上确认（链上完成充值）。该操作的状态就是“Committed”。链下的Relay，监测到“Committed”的状态后，更改链下的状态，生成Proof，并将证明提交到链上，此时该“充值”操作的状态为“Verified” – 链下也已经完成充值。如果之前的所有操作都是Verified，那该操作的状态就是Finalized（也就是这个状态是确定的，不会被篡改的）。

2.2 链下状态和操作

为了支持DEX的业务场景，并结合ZKP的技术要求，路印3.0将链下的状态用三层的四叉Merkle树来表示：

第一层是N层的四叉树，维护DEX的所有账户信息（也就是能支持400w左右的用户）。

第二层是M层的四叉树，支持一个账户下的所有Token信息。一个Token一个叶子节点。

第三层是K层的四叉树，一个账户下某个Token的Order信息。

所有的操作，都会更改这三层Merkle，完成状态的变化。路印3.0协议支持如下的一些操作：

1/ On-chain Deposits (在线充值)

2/ On-chain Withdrawals（在线提币）

3/ Off-chain Settlements （链下撮合）

4/ Off-chain Withdrawals （链下提币）

5/ Off-chain Order Cancellation（链下取消订单）

6/ Off-chain Transfers （链下转账）

大部分操作都比较容易理解，需要说明的是2和4。因为每个操作都需要经历三个状态，需要链上链下的同步，所以， 用户既可以从链上，也可以从链下发起提币操作。

2.3 ZKP证明

路印3.0，采用的是zkSNARK的Groth16算法提供零知识证明。针对每种操作，Relay都会提供对应的ZKP证明电路。以链下撮合为例，相应的电路证明的逻辑如下：

假设Account X链下转账给Account Y。ZKP证明电路，包括：

1/ TradeHistory中Order Ox的变化导致TraderHistory的树根的变化

2/ TradeHistory中Order Oy的变化导致TraderHistory的树根的变化

3/ Balance Bx变化导致Balance的树根的变化

4/ Balance By变化导致Balance的树根的变化

5/ 两个账户的Balance的变化一致

6/ Account X和Account Y账户的变化导致的Account树根的变化

注意，不同的操作会有不同的电路对应。简单的说，链下的状态的变化，都会对应不同的电路，并且，电路生成的证明会提交到链上。链下的状态变化，“固化”成规则，并通过ZKP的电路表示。这种思路，和以太坊的zk Rollup的思路一致。

在链上，虽然智能合约不再需要验证和记录撮合信息，但是，需要提供Order信息以及各种操作的证明。Order信息可以通过Calldata存储在链上。在链上验证Groth16的Proof，还是比较昂贵的。一个Proof的验证，目前需要50w左右的GAS费用。在君士坦丁堡升级后，可以降到原来1/4左右。

为了进一步节省链上的GAS费用，路印3.0设计了“Batching”的操作处理（批量处理），也就是多个同类操作，一起生成一个Proof。多个同类操作，被打包在一起，称为“Block”（和区块链中的Block不是一个含义）。

03

性能对比

在足够多的交易的情况下，路印3.0的TPS在目前的以太坊上达到了350。在君士坦丁堡升级后，TPS能达到1400。每笔交易平均下来的费用大约在1美分。

总结：

Loopring，路印，一直专注在高性能的去中心化交易协议。从2017年，路印从“环路撮合”的最初设计，经过了1.0，2.0以及3.0的三个大的版本的协议升级。路印协议3.0，通过零知识证明技术（ZKP），兼顾去中心化和交易性能。在链下维护Account模型的账户状态，每个操作都通过ZKP，生成证明并存储到链上，保证链下的状态可靠安全。在足够多交易的情况下，目前路印3.0协议的TPS可以达到350。每笔交易平均下来的费用大约在1美分。

作者：Star Li