Vitalik：以太坊協(xié)議的未來——The Splurge

作者：以太坊創(chuàng)始人Vitalik；編譯：鄧通，金色財經(jīng)

按：本文為以太坊創(chuàng)始人Vitalik近期發(fā)表的“以太坊協(xié)議的未來發(fā)展”系列文章的第六部分“Possible futures of the Ethereum protocol, part 6: The Splurge”，第五部分見“Vitalik：以太坊協(xié)議可能的未來—The Purge”，第四部分見“Vitalik：以太坊的未來The Verge”。第三部分見“Vitalik：以太坊The Scourge階段的關(guān)鍵目標(biāo)”，第二部分見“Vitalik：The Surge階段以太坊協(xié)議應(yīng)該怎么發(fā)展”，第一部分見“以太坊PoS還有哪些可以改進(jìn)”。以下為第六部分全文：

特別感謝 Justin Drake 和 Tim Beiko 的反饋和評論。

有些事情很難歸入一個類別。以太坊協(xié)議設(shè)計中有很多“小事情”對以太坊的成功非常有價值，但并不適合歸入更大的子類別。實際上，其中大約一半最終與各種 EVM 改進(jìn)有關(guān)，其余則由各種小眾主題組成。這就是“the Splurge”的目的。

Splurge，2023 年路線圖

The Splurge：主要目標(biāo)

• 將 EVM 帶入高性能和穩(wěn)定的“最終狀態(tài)”

• 將賬戶抽象化引入?yún)f(xié)議，讓所有用戶都能從更安全、更便捷的賬戶中受益

• 優(yōu)化交易費用經(jīng)濟(jì)，提高可擴(kuò)展性，同時降低風(fēng)險

• 探索可以讓以太坊在長期內(nèi)變得更好的高級加密技術(shù)

EVM 改進(jìn)

它解決了什么問題？

當(dāng)今的 EVM 很難進(jìn)行靜態(tài)分析，因此很難創(chuàng)建高效的實現(xiàn)、正式驗證代碼以及隨著時間的推移進(jìn)行進(jìn)一步擴(kuò)展。此外，它的效率非常低，因此很難實現(xiàn)多種形式的高級加密技術(shù)，除非通過預(yù)編譯明確支持它們。

它是什么，它是如何工作的？

當(dāng)前 EVM 改進(jìn)路線圖的第一步是 EVM 對象格式 (EOF)，計劃包含在下一次硬分叉中。EOF 是一系列 EIP，用于指定具有許多獨特功能的 EVM 代碼的新版本，最值得注意的是：

• 代碼（可執(zhí)行，但不能從 EVM 讀?。┖蛿?shù)據(jù)（可讀，但不可執(zhí)行）之間的分離。

• 禁止動態(tài)跳轉(zhuǎn)，僅允許靜態(tài)跳轉(zhuǎn)。

• EVM 代碼不再能觀察到與 gas 相關(guān)的信息。

• 添加了新的顯式子程序機(jī)制。

EOF 代碼的結(jié)構(gòu)

舊式合約將繼續(xù)存在并可創(chuàng)建，盡管最終可能會棄用舊式合約（甚至可能強(qiáng)制將其轉(zhuǎn)換為 EOF 代碼）。新式合約將受益于 EOF 帶來的效率提升 —— 首先，利用子程序功能，字節(jié)碼會略小，然后是新的 EOF 特定功能，或者 EOF 特定的 gas 成本會降低。

引入 EOF 后，引入進(jìn)一步的升級變得更加容易。目前最完善的是 EVM 模塊化算術(shù)擴(kuò)展 (EVM-MAX)。EVM-MAX 創(chuàng)建了一組專為模塊化算術(shù)設(shè)計的新操作，并將它們放入無法通過其他操作碼訪問的新內(nèi)存空間中。這允許使用優(yōu)化，例如蒙哥馬利乘法。

一個較新的想法是將 EVM-MAX 與單指令多數(shù)據(jù) (SIMD) 功能相結(jié)合。從 Greg Colvin 的 EIP-616 開始，SIMD 一直是以太坊的一個想法。SIMD 可用于加速多種形式的加密，包括哈希函數(shù)、32 位 STARK 和基于點陣的加密。EVM-MAX 與 SIMD 共同構(gòu)成了 EVM 的一對以性能為導(dǎo)向的擴(kuò)展。

組合 EIP 的近似設(shè)計是以 EIP-6690 為起點，然后：

• 允許 (i) 任何奇數(shù)或 (ii) 2 的任何冪（最高 2^768）作為模數(shù)

• 對于每個 EVMMAX 操作碼（add、sub、mul），添加一個版本，該版本不是采用 3 個立即數(shù) x、y、z，而是采用 7 個立即數(shù)：x_start、x_skip、y_start、y_skip、z_start、z_skip、count。在 Python 代碼中，這些操作碼將執(zhí)行相當(dāng)于以下操作的操作：

除非在實際實施中，它將被并行處理。

• 可能的話，至少為 2 的冪模數(shù)添加 XOR、AND、OR、NOT 和 SHIFT（循環(huán)和非循環(huán)）。還添加 ISZERO（將輸出推送到 EVM 主堆棧）。

這將足夠強(qiáng)大，可以實現(xiàn)橢圓曲線密碼術(shù)、小域密碼術(shù)（例如 Poseidon、圓形 STARK）、傳統(tǒng)哈希函數(shù)（例如 SHA256、KECCAK、BLAKE）和基于點陣的密碼術(shù)。

其他 EVM 升級也可能實現(xiàn)，但到目前為止，它們受到的關(guān)注較少。

現(xiàn)有哪些研究？

EOF：https://evmobjectformat.org/

EVM-MAX：https://eips.ethereum.org/EIPS/eip-6690

SIMD：https://eips.ethereum.org/EIPS/eip-616

還剩下什么要做，又有哪些權(quán)衡？

目前，EOF 計劃包含在下一次硬分叉中。雖然總是有可能將其刪除 —— 以前硬分叉中的功能在最后一刻就被刪除了 —— 但這樣做將是一場艱苦的戰(zhàn)斗。刪除 EOF 意味著將來對 EVM 進(jìn)行任何升級時都不能使用 EOF，這可以做到，但可能更困難。

EVM 的主要權(quán)衡是 L1 復(fù)雜性與基礎(chǔ)設(shè)施復(fù)雜性。EOF 是添加到 EVM 實現(xiàn)中的大量代碼，并且靜態(tài)代碼檢查非常復(fù)雜。然而，作為交換，我們獲得了對高級語言的簡化、對 EVM 實現(xiàn)的簡化以及其他好處?？梢哉f，優(yōu)先考慮持續(xù)改進(jìn)以太坊 L1 的路線圖將包括并建立在 EOF 之上。

一項重要的工作是實現(xiàn)類似 EVM-MAX 加 SIMD 的東西，并基準(zhǔn)化各種加密操作需要多少 gas。

它如何與路線圖的其他部分互動？

L1 調(diào)整其 EVM 使 L2 更容易進(jìn)行同樣的調(diào)整。一個調(diào)整而另一個調(diào)整會產(chǎn)生一些不兼容性，這有其自身的缺點。此外，EVM-MAX 加上 SIMD 可以降低許多證明系統(tǒng)的 gas 成本，從而實現(xiàn)更高效的 L2。它還可以更輕松地刪除更多預(yù)編譯，方法是將它們替換為可以執(zhí)行相同任務(wù)的 EVM 代碼，而不必對效率造成很大的影響。

賬戶抽象

它解決了什么問題？

目前，交易只能通過一種方式進(jìn)行驗證：ECDSA 簽名。最初，賬戶抽象旨在超越這一點，并允許賬戶的驗證邏輯為任意 EVM 代碼。這可以實現(xiàn)一系列應(yīng)用：

• 切換到抗量子加密技術(shù)；

• 輪換舊密鑰（被廣泛認(rèn)為是一種推薦的安全做法）；

• 多重簽名錢包和社交恢復(fù)錢包；

• 使用一個密鑰對低價值操作進(jìn)行簽名，使用另一個密鑰（或一組密鑰）對高價值操作進(jìn)行簽名；

• 允許隱私協(xié)議在沒有中繼器的情況下工作，大大降低其復(fù)雜性并消除關(guān)鍵的中心依賴點。

自 2015 年開始賬戶抽象以來，目標(biāo)已經(jīng)擴(kuò)大到包括大量“便利目標(biāo)”，例如沒有 ETH 但有一些 ERC20 的賬戶能夠用該 ERC20 支付 gas。這些目標(biāo)的摘要如下表所示：

這里的 MPC 是多方計算：一種已有 40 年歷史的技術(shù)，將密鑰拆分為多個部分，存儲在多個設(shè)備上，并使用加密技術(shù)生成簽名，而無需直接組合密鑰的各個部分。

EIP-7702 是計劃在下一次硬分叉中引入的 EIP。EIP-7702 是人們越來越認(rèn)識到需要向所有用戶（包括 EOA 用戶）提供賬戶抽象的便利性，以在短期內(nèi)改善每個人的用戶體驗，并避免分裂成兩個生態(tài)系統(tǒng)的結(jié)果。這項工作始于 EIP-3074，最終在 EIP-7702 中達(dá)到頂峰。EIP-7702 使賬戶抽象的“便利功能”可供所有用戶使用，包括 EOA（外部擁有的賬戶，即由 ECDSA 簽名控制的賬戶）。

從圖表中我們可以看出，雖然一些挑戰(zhàn)（尤其是“便利性”挑戰(zhàn)）可以通過多方計算或 EIP-7702 等漸進(jìn)式技術(shù)解決，但最初提出賬戶抽象提案的大部分安全目標(biāo)只能通過回過頭來解決最初的問題：允許智能合約代碼控制交易驗證。到目前為止還沒有做到這一點的原因是，安全地實施它是一項挑戰(zhàn)。

它是什么？它是如何工作的？

從本質(zhì)上講，賬戶抽象很簡單：允許通過智能合約（而不僅僅是 EOA）發(fā)起交易。整個復(fù)雜性來自于以一種有利于維護(hù)去中心化網(wǎng)絡(luò)和防止拒絕服務(wù)攻擊的方式做到這一點。

一個關(guān)鍵挑戰(zhàn)的說明性例子是多重?zé)o效問題：

如果有 1000 個賬戶的驗證函數(shù)全部依賴于某個單一值 S ，并且內(nèi)存池中存在根據(jù) S 的當(dāng)前值有效的交易，那么一個翻轉(zhuǎn) S 值的交易可能會使內(nèi)存池中的所有其他交易無效。這允許攻擊者以非常低的成本向內(nèi)存池發(fā)送垃圾郵件，堵塞網(wǎng)絡(luò)節(jié)點的資源。

多年來，在限制 DoS 風(fēng)險的同時，試圖擴(kuò)展功能的努力已經(jīng)導(dǎo)致人們就如何實現(xiàn)“理想賬戶抽象”的解決方案達(dá)成一致：ERC-4337。

ERC-4337 的工作方式是將用戶操作的處理分為兩個階段：驗證和執(zhí)行。首先處理所有驗證，然后處理所有執(zhí)行。在內(nèi)存池中，只有當(dāng)用戶操作的驗證階段僅觸及自己的賬戶并且不讀取環(huán)境變量時，用戶操作才會被接受。這可以防止多重?zé)o效攻擊。驗證步驟還強(qiáng)制執(zhí)行嚴(yán)格的 gas 限制。

ERC-4337 被設(shè)計為協(xié)議外標(biāo)準(zhǔn) (ERC)，因為當(dāng)時以太坊客戶端開發(fā)人員專注于合并，沒有多余的能力來處理其他功能。這就是為什么 ERC-4337 使用自己的對象（稱為用戶操作）而不是常規(guī)交易的原因。然而，最近我們意識到有必要將其至少部分內(nèi)容納入?yún)f(xié)議中。兩個主要原因是：

• EntryPoint 作為合約的固有低效率：每個包的固定~100k gas 開銷和每個用戶操作的數(shù)千額外費用；

• 需要確保以太坊屬性（例如由包含列表創(chuàng)建的包含保證）延續(xù)到賬戶抽象用戶。

此外，ERC-4337 還擴(kuò)展了兩個功能：

• 付款人：允許一個賬戶代表另一個賬戶支付費用的功能。這違反了在驗證階段只能訪問發(fā)送方賬戶本身的規(guī)則，因此引入了特殊處理以允許付款人機(jī)制并確保其安全。

• 聚合器：支持簽名聚合的功能，例如 BLS 聚合或基于 SNARK 的聚合。這是在匯總上實現(xiàn)最高數(shù)據(jù)效率所必需的。

現(xiàn)有哪些研究？

賬戶抽象歷史介紹：https://www.youtube.com/watch?v=iLf8qpOmxQc

ERC-4337：https://eips.ethereum.org/EIPS/eip-4337

EIP-7702：https://eips.ethereum.org/EIPS/eip-7702

BLSWallet 代碼（使用聚合功能）：https://github.com/getwax/bls-wallet

EIP-7562（嵌入賬戶抽象）：https://eips.ethereum.org/EIPS/eip-7562

EIP-7701（基于 EOF 的嵌入 AA）：https://eips.ethereum.org/EIPS/eip-7701

還剩下什么要做，又有哪些權(quán)衡？

剩下的主要問題是如何將賬戶抽象完全納入?yún)f(xié)議。最近流行的賬戶抽象 EIP 是 EIP-7701，它在 EOF 之上實現(xiàn)賬戶抽象。賬戶可以有一個單獨的代碼部分用于驗證，如果賬戶設(shè)置了該代碼部分，那么該代碼就會在該賬戶交易的驗證步驟中執(zhí)行。

EIP-7701 賬戶的 EOF 代碼結(jié)構(gòu)

這種方法的迷人之處在于，它清楚地表明了兩種等效的方式來查看本機(jī)賬戶抽象：

• EIP-4337，但作為協(xié)議的一部分

• 一種新型的 EOA，其中簽名算法是 EVM 代碼執(zhí)行

如果我們首先嚴(yán)格限制驗證期間可執(zhí)行的代碼的復(fù)雜性 —— 不允許外部狀態(tài)訪問，甚至一開始將 gas 限制設(shè)置得太低，以至于無法用于抗量子或隱私保護(hù)應(yīng)用程序 —— 那么這種方法的安全性非常明顯：它只是將 ECDSA 驗證替換為需要類似時間的 EVM 代碼執(zhí)行。然而，隨著時間的推移，我們需要放寬這些限制，因為允許隱私保護(hù)應(yīng)用程序在沒有中繼器的情況下工作以及抗量子性都非常重要。為了做到這一點，我們確實需要找到以更靈活的方式來解決 DoS 風(fēng)險的方法，而不需要驗證步驟極其簡單。

主要的權(quán)衡似乎是“盡快將更少人滿意的東西奉為圭臬”，而不是“等待更長時間，也許會得到更理想的解決方案”。理想的方法可能是某種混合方法。一種混合方法是更快地將一些用例奉為圭臬，并留出更多時間來解決其他用例。另一種方法是首先在 L2 上部署更雄心勃勃的賬戶抽象版本。然而，這有一個挑戰(zhàn)，即對于一個愿意努力采納提案的 L2 團(tuán)隊來說，他們需要確信 L1 和/或其他 L2 稍后會采用兼容的東西。

我們需要明確考慮的另一個應(yīng)用程序是密鑰庫賬戶，它將與賬戶相關(guān)的狀態(tài)存儲在 L1 或?qū)Ｓ玫?L2 上，但可以在 L1 和任何兼容的 L2 上使用。有效地做到這一點可能需要 L2 支持諸如 L1SLOAD 或 REMOTESTATICCALL 之類的操作碼，盡管它也需要 L2 上的賬戶抽象實現(xiàn)來支持它。

它如何與路線圖的其他部分交互？

包含列表需要支持賬戶抽象交易。實際上，包含列表的需求和去中心化內(nèi)存池的需求最終非常相似，盡管包含列表的靈活性略高。此外，理想情況下，賬戶抽象實現(xiàn)應(yīng)盡可能在 L1 和 L2 上協(xié)調(diào)一致。如果將來我們預(yù)計大多數(shù)用戶都會使用密鑰庫匯總，那么賬戶抽象設(shè)計應(yīng)該考慮到這一點。

EIP-1559 改進(jìn)

它解決了什么問題？

EIP-1559 于 2021 年在以太坊上啟動，并顯著改善了平均區(qū)塊包含時間。

然而，EIP-1559 的當(dāng)前實施在幾個方面并不完善：

• 該公式略有缺陷：它不是以 50% 的區(qū)塊為目標(biāo)，而是根據(jù)方差以 ~50-53% 的完整區(qū)塊為目標(biāo)（這與數(shù)學(xué)家所說的“AM-GM 不等式”有關(guān)）；

• 它在極端條件下調(diào)整得不夠快。

后來用于 blob 的公式（EIP-4844）明確設(shè)計用于解決第一個問題，并且總體上更簡潔。EIP-1559 本身和 EIP-4844 都沒有嘗試解決第二個問題。因此，現(xiàn)狀是一種令人困惑的半途而廢狀態(tài)，涉及兩種不同的機(jī)制，甚至有一種情況是，隨著時間的推移，兩者都需要改進(jìn)。

除此之外，以太坊資源定價還有其他與 EIP-1559 無關(guān)的弱點，但可以通過調(diào)整 EIP-1559 來解決。一個主要問題是平均情況與最壞情況的差異：以太坊中的資源價格必須設(shè)置為能夠處理最壞情況，即一個區(qū)塊的整個 gas 消耗占用一種資源，但平均情況下的使用量遠(yuǎn)低于此，從而導(dǎo)致效率低下。

它是什么？它是如何工作的？

解決這些低效率問題的方法是多維 gas：對不同的資源設(shè)置不同的價格和限制。這個概念在技術(shù)上獨立于 EIP-1559，但 EIP-1559 使其變得更容易：如果沒有 EIP-1559，最佳地打包具有多個資源約束的塊是一個復(fù)雜的多維背包問題。有了 EIP-1559，大多數(shù)塊在任何資源上都沒有滿負(fù)荷，因此“接受支付足夠費用的任何東西”的簡單算法就足夠了。

我們今天有多維 gas 用于執(zhí)行和 blob；原則上，我們可以將其增加到更多維度：調(diào)用數(shù)據(jù)、狀態(tài)讀取/寫入和狀態(tài)大小擴(kuò)展。

EIP-7706 為調(diào)用數(shù)據(jù)引入了一個新的 gas 維度。同時，它通過使所有三種類型的 gas 都屬于一個（EIP-4844 風(fēng)格）框架來簡化多維 gas 機(jī)制，從而也解決了 EIP-1559 的數(shù)學(xué)缺陷。

EIP-7623 是針對平均情況與最壞情況資源問題的更精準(zhǔn)的解決方案，它更嚴(yán)格地限制了最大調(diào)用數(shù)據(jù)，而無需引入全新的維度。

進(jìn)一步的方向是解決更新率問題，并找到更快的基本費用計算算法，同時保留 EIP-4844 機(jī)制引入的關(guān)鍵不變量（即：從長遠(yuǎn)來看，平均使用量完全接近目標(biāo)）。

現(xiàn)有哪些研究？

EIP-1559 常見問題解答：https://notes.ethereum.org/@vbuterin/eip-1559-faq

EIP-1559 實證分析：https://dl.acm.org/doi/10.1145/3548606.3559341

建議的改進(jìn)措施以允許快速調(diào)整：https://kclpure.kcl.ac.uk/ws/portalfiles/portal/180741021/Transaction_Fees_on_a_Honeymoon_Ethereums_EIP_1559_One_Month_Later.pdf

EIP-4844 常見問題解答，關(guān)于基礎(chǔ)費用機(jī)制的部分： https://notes.ethereum.org/@vbuterin/proto_danksharding_faq#How-does-the-exponential-EIP-1559-blob-fee-adjustment-mechanism-work

EIP-7706：https://eips.ethereum.org/EIPS/eip-7706

EIP-7623：https://eips.ethereum.org/EIPS/eip-7623

多維Gas：https://vitalik.eth.limo/general/2024/05/09/multidim.html

還剩下什么要做，又有哪些權(quán)衡？

多維 gas 有兩個主要權(quán)衡：

• 它增加了協(xié)議的復(fù)雜性

• 它增加了填充塊到容量所需的最佳算法的復(fù)雜性

對于 calldata 來說，協(xié)議復(fù)雜性是一個相對較小的問題，但對于“EVM 內(nèi)部”的 gas 維度（例如存儲讀寫）來說，則是一個更大的問題。問題在于，不僅僅是用戶設(shè)置 gas 限制：合約在調(diào)用其他合約時也會設(shè)置限制。而如今，他們設(shè)置限制的唯一方式是一維的。

消除此問題的一種簡單方法是使多維 gas 僅在 EOF 內(nèi)部可用，因為 EOF 不允許合約在調(diào)用其他合約時設(shè)置 gas 限制。非 EOF 合約在進(jìn)行存儲操作時必須支付所有類型的 gas 費用（例如，如果 SLOAD 花費了區(qū)塊存儲訪問 gas 限制的 0.03%，則非 EOF 用戶也將被收取執(zhí)行 gas 限制的 0.03%）

對多維 gas 進(jìn)行更多研究將有助于理解權(quán)衡并找出理想的平衡。

它如何與路線圖的其他部分互動？

成功實施多維Gas可以大大減少某些“最壞情況”的資源使用，從而減輕優(yōu)化性能以支持例如基于 STARKed 哈希的二叉樹的壓力。為狀態(tài)大小增長設(shè)定一個硬性目標(biāo)將使客戶端開發(fā)人員更容易規(guī)劃和估計他們未來的需求。

如上所述，由于 EOF 具有Gas不可觀測性，因此更極端的多維Gas版本更容易實施。

可驗證延遲函數(shù) (VDF)

它解決了什么問題？

如今，以太坊使用基于 RANDAO 的隨機(jī)性來選擇提議者?；?RANDAO 的隨機(jī)性的工作原理是要求每個提議者透露他們提前承諾的秘密，并將每個透露的秘密混入隨機(jī)性中。因此，每個提議者都有“1 位操縱權(quán)”：他們可以通過不露面來改變隨機(jī)性（需要付出代價）。這對于尋找提議者來說是合理的，因為很少有人能通過放棄一個提議機(jī)會來給自己兩個新的提議機(jī)會。但對于需要隨機(jī)性的鏈上應(yīng)用程序來說，這是不行的。理想情況下，我們會找到更強(qiáng)大的隨機(jī)性來源。

它是什么？它是如何工作的？

可驗證延遲函數(shù)是一種只能按順序計算的函數(shù)，無法通過并行化加速。一個簡單的例子是重復(fù)哈希：計算范圍（10**9）中的 i：x = hash(x)。輸出經(jīng)過 SNARK 正確性證明，可用作隨機(jī)值。這個想法是，輸入是根據(jù)時間 T 時可用的信息選擇的，而輸出在時間 T 時尚不清楚：只有在有人完全運行計算后，它才會在 T 之后的某個時間可用。因為任何人都可以運行計算，所以不可能隱瞞結(jié)果，因此也沒有能力操縱結(jié)果。

可驗證延遲函數(shù)的主要風(fēng)險是意外優(yōu)化：有人想出了如何以比預(yù)期快得多的速度運行該函數(shù)，從而允許他們根據(jù)未來輸出操縱他們在時間 T 時透露的信息。意外優(yōu)化可能以兩種方式發(fā)生：

• 硬件加速：有人制造出一種 ASIC，其計算循環(huán)的運行速度比現(xiàn)有硬件快得多。

• 意外的并行化：有人通過并行化找到了一種更快地運行該函數(shù)的方法，即使這樣做需要 100 倍以上的資源。

創(chuàng)建成功的 VDF 的任務(wù)是避免這兩個問題，同時保持效率實用（例如，基于哈希的方法的一個問題是實時的 SNARK 證明對硬件的要求很高）。硬件加速通常通過讓公共利益參與者自己為 VDF 創(chuàng)建和分發(fā)合理接近最優(yōu)的 ASIC 來解決。

現(xiàn)有哪些研究？

vdfresearch.org：https://vdfresearch.org/

2018 年對以太坊中使用的 VDF 的攻擊思考：https://ethresear.ch/t/verifiable-delay-functions-and-attacks/2365

對 MinRoot（一種擬議的 VDF）的攻擊：https://inria.hal.science/hal-04320126/file/minrootanalysis2023.pdf

還剩下什么要做，又有哪些權(quán)衡？

目前，還沒有一種 VDF 結(jié)構(gòu)能夠完全滿足以太坊研究人員的所有需求。還需要做更多的工作來找到這樣的功能。如果我們有它，主要的權(quán)衡只是是否包含它：功能與協(xié)議復(fù)雜性和安全風(fēng)險之間的簡單權(quán)衡。如果我們認(rèn)為 VDF 是安全的，但最終卻不安全，那么根據(jù)它的實施方式，安全性會降級為 RANDAO 假設(shè)（每個攻擊者 1 位操縱）或更糟糕的情況。因此，即使 VDF 被破壞也不會破壞協(xié)議，但它會破壞應(yīng)用程序或任何嚴(yán)重依賴它的新協(xié)議功能。

它如何與路線圖的其他部分交互？

VDF 是以太坊協(xié)議中相對獨立的組成部分，但除了提高提議者選擇的安全性之外，它還可用于 (i) 依賴于隨機(jī)性的鏈上應(yīng)用程序，以及潛在的 (ii) 加密內(nèi)存池，盡管基于 VDF 制作加密內(nèi)存池仍然依賴于尚未發(fā)生的其他加密發(fā)現(xiàn)。

需要記住的一點是，鑒于硬件的不確定性，在生成 VDF 輸出和需要輸出之間會有一些“間隙”。這意味著信息將在幾個區(qū)塊之前可用。這可能是一個可接受的成本，但應(yīng)該在單槽最終性或委員會選擇設(shè)計等中加以考慮。

混淆和一次性簽名：密碼學(xué)的未來

它解決了什么問題？

尼克·薩博最著名的帖子之一是 1997 年的一篇關(guān)于“上帝協(xié)議”的文章。在這篇文章中，他指出，多方應(yīng)用程序通常依賴“受信任的第三方”來管理交互。在他看來，密碼學(xué)的作用是創(chuàng)建一個模擬的受信任第三方來做同樣的工作，而實際上不需要對任何特定參與者的信任。

“數(shù)學(xué)上值得信賴的協(xié)議”，圖表由 Nick Szabo 繪制

到目前為止，我們只能部分地接近這一理想。如果我們需要的只是一臺透明的虛擬計算機(jī)，其中的數(shù)據(jù)和計算不能被關(guān)閉、審查或篡改，但隱私不是目標(biāo)，那么區(qū)塊鏈可以做到這一點，盡管可擴(kuò)展性有限。如果隱私是一個目標(biāo)，那么直到最近，我們只能為特定應(yīng)用程序制定一些特定的協(xié)議：用于基本身份驗證的數(shù)字簽名、用于原始匿名形式的環(huán)簽名和可鏈接環(huán)簽名、基于身份的加密（在對可信發(fā)行人的特定假設(shè)下實現(xiàn)更方便的加密）、用于 Chaumian 電子現(xiàn)金的盲簽名，等等。這種方法需要為每個新應(yīng)用程序做大量工作。

在 2010 年代，我們首次看到了一種基于可編程加密的不同且更強(qiáng)大的方法。我們可以使用強(qiáng)大的新協(xié)議（特別是 ZK-SNARK）為任意程序添加加密保證，而不是為每個新應(yīng)用程序創(chuàng)建新協(xié)議。 ZK-SNARK 允許用戶證明他們所持有的數(shù)據(jù)的任意陳述，其方式是：證明 (i) 易于驗證，并且 (ii) 不會泄露除陳述本身之外的任何數(shù)據(jù)。這對隱私和可擴(kuò)展性而言是一個巨大的進(jìn)步，我將其比作人工智能中的變壓器效應(yīng)。數(shù)千人一年的特定應(yīng)用工作突然被一個通用解決方案所取代，您只需插入該解決方案即可解決范圍驚人的廣泛問題。

但是 ZK-SNARK 只是三個類似的極其強(qiáng)大的通用原語中的第一個。這些協(xié)議非常強(qiáng)大，以至于當(dāng)我想到它們時，它們讓我想起了 Yu-Gi-Oh 中的一組極其強(qiáng)大的卡片，Yu-Gi-Oh 是一款紙牌游戲和電視節(jié)目，我小時候經(jīng)常玩和看：埃及神卡。埃及神卡是三張極其強(qiáng)大的卡片，根據(jù)傳說，制造它們可能致命，而且非常強(qiáng)大，以至于它們不允許用于決斗。同樣，在密碼學(xué)中，我們有三種埃及神協(xié)議：

它是什么？它是如何工作的？

ZK-SNARK 是我們已經(jīng)擁有的三種協(xié)議之一，并且已經(jīng)達(dá)到很高的成熟度。在過去五年中，ZK-SNARK 在證明速度和開發(fā)人員友好度方面取得了巨大進(jìn)步，已成為以太坊可擴(kuò)展性和隱私策略的基石。但 ZK-SNARK 有一個重要的限制：您需要了解數(shù)據(jù)才能對其進(jìn)行證明。ZK-SNARK 應(yīng)用程序中的每個狀態(tài)都必須有一個“所有者”，該所有者必須在場批準(zhǔn)對其的任何讀取或?qū)懭搿?/p>

第二個協(xié)議沒有這個限制，即完全同態(tài)加密 (FHE)。FHE 允許您在不查看數(shù)據(jù)的情況下對加密數(shù)據(jù)進(jìn)行任何計算。這允許您在用戶數(shù)據(jù)上進(jìn)行計算，以造福用戶，同時保持?jǐn)?shù)據(jù)和算法的私密性。它還允許您擴(kuò)展 MACI 等投票系統(tǒng)，以獲得近乎完美的安全性和隱私保障。長期以來，F(xiàn)HE 被認(rèn)為效率太低，不適合實際使用，但現(xiàn)在它終于變得足夠高效，我們開始看到應(yīng)用。

Cursive 是一款使用雙方計算和 FHE 進(jìn)行共同興趣的隱私保護(hù)發(fā)現(xiàn)的應(yīng)用程序。

但 FHE 也有其局限性：任何基于 FHE 的技術(shù)仍然需要有人持有解密密鑰。這可能是一個 M-of-N 分布式設(shè)置，你甚至可以使用 TEE 添加第二層防御，但這仍然是一個限制。

這讓我們得到了第三個協(xié)議，它比其他兩個協(xié)議加起來更強(qiáng)大：不可區(qū)分混淆。雖然它還遠(yuǎn)遠(yuǎn)沒有成熟，但截至 2020 年，我們根據(jù)標(biāo)準(zhǔn)安全假設(shè)制定了理論上有效的協(xié)議，并且最近開始實施工作。不可區(qū)分混淆讓你可以創(chuàng)建一個執(zhí)行任意計算的“加密程序”，這樣程序的所有內(nèi)部細(xì)節(jié)都被隱藏了。舉一個簡單的例子，你可以把私鑰放入一個混淆的程序中，這個程序只允許你用它來簽署素數(shù)，并將這個程序分發(fā)給其他人。他們可以使用該程序?qū)θ魏嗡財?shù)進(jìn)行簽名，但不能取出密鑰。但它的功能遠(yuǎn)不止于此：與哈希一起使用，它可以用于實現(xiàn)任何其他加密原語，甚至更多。

混淆程序唯一不能做的就是防止自己被復(fù)制。但為此，還有更強(qiáng)大的東西即將出現(xiàn)，盡管這取決于每個人都擁有量子計算機(jī)：量子一次性簽名。

結(jié)合使用混淆和一次性簽名，我們可以構(gòu)建幾乎完美的無需信任的第三方。我們無法僅使用加密技術(shù)做到的唯一一件事，也是我們?nèi)匀恍枰獏^(qū)塊鏈做到的事情，就是保證抗審查性。這些技術(shù)不僅能讓我們使以太坊本身更加安全，還能在以太坊之上構(gòu)建更強(qiáng)大的應(yīng)用程序。

要了解這些原語中的每一個如何增加額外的功能，讓我們來看一個關(guān)鍵的例子：投票。投票是一個令人著迷的問題，因為它有許多需要滿足的棘手安全屬性，包括非常強(qiáng)的可驗證性和隱私性。雖然具有強(qiáng)大安全性的投票協(xié)議已經(jīng)存在了幾十年，但讓我們通過說我們想要一個可以處理任意投票協(xié)議的設(shè)計來讓問題變得更難：二次投票、成對有界二次融資、集群匹配二次融資等等。也就是說，我們希望“計票”步驟是一個任意程序。

• 首先，假設(shè)我們將投票公開放在區(qū)塊鏈上。這為我們提供了公開可驗證性（任何人都可以驗證最終結(jié)果是否正確，包括計票規(guī)則和資格規(guī)則）和審查阻力（不能阻止人們投票）。但我們沒有隱私。

• 然后，我們添加 ZK-SNARK?，F(xiàn)在，我們有了隱私：每次投票都是匿名的，同時確保只有授權(quán)選民才能投票，并且每個選民只能投票一次。

• 現(xiàn)在，我們添加 MACI 機(jī)制。投票被加密到中央服務(wù)器的解密密鑰。中央服務(wù)器需要運行計票過程，包括丟棄重復(fù)投票，并發(fā)布證明答案的 ZK-SNARK。這保留了先前的保證（即使服務(wù)器作弊?。?，但如果服務(wù)器是誠實的，它會增加一個強(qiáng)制抵抗保證：用戶無法證明他們是如何投票的，即使他們想這樣做。這是因為，雖然用戶可以證明他們所投的票，但他們無法證明他們沒有進(jìn)行另一次取消該票的投票。這可以防止賄賂和其他攻擊。

• 我們在 FHE 內(nèi)部運行計票，然后進(jìn)行 N/2-of-N 閾值解密計算對其進(jìn)行解密。這使得強(qiáng)制抵抗保證為 N/2-of-N，而不是 1-of-1。

• 我們對計票程序進(jìn)行了混淆，并設(shè)計了混淆程序，使其只有在獲得許可的情況下才能給出輸出，無論是通過區(qū)塊鏈共識證明，還是通過一定數(shù)量的工作量證明，或者兩者兼而有之。這使得強(qiáng)制抵抗保證幾乎完美：在區(qū)塊鏈共識的情況下，你需要 51% 的驗證者串通才能打破它，而在工作量證明的情況下，即使每個人都串通，重新運行與不同子集的選民的計票以試圖提取單個選民的行為也會非常昂貴。我們甚至可以讓程序?qū)ψ罱K結(jié)果進(jìn)行小幅隨機(jī)調(diào)整，使提取單個選民的行為變得更加困難。

• 我們添加了一次性簽名，這是一種依賴于量子計算的原語，允許簽名只能用于簽署某種類型的消息一次。這使得抗脅迫保證真正完美。

不可區(qū)分性混淆還可以實現(xiàn)其他強(qiáng)大的應(yīng)用。例如：

• DAO、鏈上拍賣和其他具有任意內(nèi)部秘密狀態(tài)的應(yīng)用程序。

• 真正通用的可信設(shè)置：有人可以創(chuàng)建一個包含密鑰的模糊程序，并且可以運行任何程序并提供輸出，將 hash(key, program) 作為輸入放入程序中。給定這樣的程序，任何人都可以將程序放入其自身，將程序的現(xiàn)有密鑰與他們自己的密鑰相結(jié)合，并在此過程中擴(kuò)展設(shè)置。這可用于為任何協(xié)議生成 1-of-N 可信設(shè)置。

• ZK-SNARKs，其驗證只是簽名。實現(xiàn)這一點很簡單：有一個可信的設(shè)置，有人創(chuàng)建一個模糊的程序，只有當(dāng)它是有效的 ZK-SNARK 時，它才會使用密鑰對消息進(jìn)行簽名。

• 加密的內(nèi)存池。加密交易變得非常容易，以至于只有在未來發(fā)生某些鏈上事件時才會解密。這甚至可能包括成功執(zhí)行 VDF。

有了一次性簽名，我們可以讓區(qū)塊鏈免受 51% 的最終性逆轉(zhuǎn)攻擊，盡管審查攻擊仍然可能存在。類似于一次性簽名的原語可以實現(xiàn)量子貨幣，無需區(qū)塊鏈即可解決雙重支付問題，盡管許多更復(fù)雜的應(yīng)用程序仍然需要區(qū)塊鏈。

如果這些原語能夠足夠高效，那么世界上大多數(shù)應(yīng)用程序都可以實現(xiàn)去中心化。主要瓶頸在于驗證實現(xiàn)的正確性。

現(xiàn)有哪些研究？

2021 年的不可區(qū)分性混淆協(xié)議：https://eprint.iacr.org/2021/1334.pdf

混淆如何幫助以太坊：https://ethresear.ch/t/how-obfuscation-can-help-ethereum/7380

首次已知的一次性簽名構(gòu)造：https://eprint.iacr.org/2020/107.pdf

混淆的嘗試實施（1）：https://mediatum.ub.tum.de/doc/1246288/1246288.pdf

混淆的嘗試實施（2）：https://github.com/SoraSuegami/iOMaker/tree/main

還剩下什么要做，又有哪些權(quán)衡？

還有很多事情要做。不可區(qū)分性混淆非常不成熟，候選構(gòu)造的速度比應(yīng)用程序慢數(shù)百萬倍（甚至更多）。不可區(qū)分性混淆以“理論上”多項式時間的運行時間而聞名，但在實踐中運行所需的時間比宇宙的壽命還要長。較新的協(xié)議使運行時間不那么極端，但對于常規(guī)使用來說，開銷仍然太高：一位實施者預(yù)計運行時間為一年。

量子計算機(jī)甚至不存在：您今天在互聯(lián)網(wǎng)上可能讀到的所有構(gòu)造要么是無法進(jìn)行任何大于 4 位的計算的原型，要么不是真正的量子計算機(jī)，雖然它們可能包含量子部分，但它們無法運行真正有意義的計算，如 Shor 算法或 Grover 算法。最近，有跡象表明“真正的”量子計算機(jī)不再那么遙遠(yuǎn)。然而，即使“真正的”量子計算機(jī)很快問世，普通人在他們的筆記本電腦或手機(jī)上擁有量子計算機(jī)的日子可能要比強(qiáng)大的機(jī)構(gòu)獲得能夠破解橢圓曲線密碼的量子計算機(jī)晚幾十年。

對于不可區(qū)分性混淆，一個關(guān)鍵的權(quán)衡是安全假設(shè)。有更激進(jìn)的設(shè)計使用奇特的假設(shè)。這些通常具有更現(xiàn)實的運行時間，但奇特的假設(shè)有時會被打破。隨著時間的推移，我們最終可能會對格有足夠的了解，從而做出不會被打破的假設(shè)。然而，這條路更危險。更保守的方法是堅持使用安全性可證明為“標(biāo)準(zhǔn)”假設(shè)的協(xié)議，但這可能意味著我們需要更長的時間才能獲得運行速度足夠快的協(xié)議。

它如何與路線圖的其他部分互動？

極其強(qiáng)大的加密技術(shù)可能會徹底改變游戲規(guī)則。例如：

• 如果我們獲得像簽名一樣易于驗證的 ZK-SNARK，我們可能不需要任何聚合協(xié)議；我們可以直接在鏈上驗證。

• 一次性簽名可能意味著更安全的權(quán)益證明協(xié)議。

• 許多復(fù)雜的隱私協(xié)議可以被“僅”擁有隱私保護(hù) EVM 所取代。

• 加密的內(nèi)存池變得更容易實現(xiàn)。

首先，好處將出現(xiàn)在應(yīng)用層上，因為以太坊 L1 本質(zhì)上需要在安全假設(shè)上保守。然而，即使僅使用應(yīng)用層也可能改變游戲規(guī)則，就像 ZK-SNARK 的出現(xiàn)一樣。