era boojum

zkSync Era ist ein Layer-2-Rollup, das wissensfreie Beweise verwendet, um Ethereum zu skalieren, ohne Kompromisse bei der Sicherheit oder Dezentralisierung einzugehen. Da es EVM-kompatibel (Solidity/Vyper) ist, können 99 % der Ethereum-Projekte ohne Umgestaltung oder erneute Prüfung einer einzigen Codezeile erneut bereitgestellt werden. zkSync Era verwendet außerdem einen LLVM-basierten Compiler, der es Entwicklern letztendlich ermöglichen wird, intelligente Verträge in C++, Rust und anderen gängigen Sprachen zu schreiben.

Der Zweck dieser Bibliothek besteht darin, mit einer sehr spezifischen Arithmetisierung mit zusätzlichen Annahmen über die Feldgröße zu arbeiten. Grob gesagt erwarten wir einen Körper F mit |F| ~ 64 Bit (die Größe eines Maschinenworts) (die Annahme über die Feldgröße ist für die Strategie der Arithmetisierung und Gatterplatzierung nicht wichtig, wird aber in Gadget-Implementierungen für bestimmte Funktionen geltend gemacht, die auf einer bestimmten Feldgröße basieren).

Das System verfügt über eine Hierarchie aus logischen Funktionen (Gadgets), Gattern (Entitäten, die sich selbst in die Spur einschreiben können) und Auswertern (Beziehungen zwischen Polynomen). Evaluatoren werden in Form eines Merkmals geschrieben, das es uns später ermöglicht, automatisch Funktionen zu erstellen, um die Erfüllbarkeit zu überprüfen und Beweise zu berechnen sowie einfache und rekursive Verifizierer zu synthetisieren. An Gates sind zusätzliche Werkzeuge angebracht, die es den Gates selbst ermöglichen, die Logik zu verfolgen, wo sie in der Spur platziert werden sollen. Beachten Sie, dass wir uns auf die Kopierbeschränkungen von Plonk verlassen und an den kopierbaren logischen Einheiten von „Variablen“ arbeiten, um eine endgültige beweisbare Aussage zu verfassen. Das System ist nicht für die AIR-Arithmetisierung vorgesehen und erlaubt nicht das Ausdrücken von Einschränkungen, die sich über mehrere Zeilen der Ablaufverfolgung erstrecken.

Im Allgemeinen beschränkt die Ablaufverfolgung nur wenige Spaltenvarianten. Die Haupttrennung besteht zwischen:

• Allzweckspalten – wobei man zulassen kann, dass einige Spalten mit Variablen (kopierbar), Zeugen (nicht kopierbar, manchmal auch „Hinweis“-Spalten genannt) und Konstanten von VERSCHIEDENEN Gattertypen verwendet werden, was dazu führt, dass Selektoren davor platziert werden müssen der entsprechenden Terme im Quotientenpolynom. Für diese Allzweckspalten ist die Platzierungslogik einfach: Wir versuchen, so viele Wiederholungen derselben Beziehung einzufügen, wie das Gate/der Auswerter zulässt, basierend auf der festgelegten Anzahl von Spalten des entsprechenden Typs im System. Später, wenn Selektoren materialisiert werden, können einige zusätzliche konstante Spalten hinzugefügt werden. Im Allgemeinen besteht das Standardverhalten der Gatter darin, zu versuchen, Konstanten zu „amortisieren“, in dem Sinne, dass wir versuchen, über derselben Zeile Gatter zu platzieren, die dieselben Konstanten verwenden. Dies ist ein sinnvoller Ansatz, da die meisten Schaltkreise in der Praxis „Zyklen“ sind, sodass wir die Reihe „füllen“ können.
• „Spezialisierte“ Spalten – wobei man dem jeweiligen Gate/Evaluator einen separaten Satz von Spalten zuweisen kann, sodass die vom Evaluator erzwungene Beziehung für jede Zeile in diesen Spalten gelten muss. Dies kann in einigen Schaltkreisen von Vorteil sein, in denen ein bestimmtes Gate sehr häufig verwendet wird. Für den Fall, dass mehrere Sätze für die gleichen Beziehungen verwendet werden, können einige verschiedene Nutzungsmodi dieser Spalten angegeben werden, nämlich um Konstanten zwischen Sätzen zu teilen oder nicht.

Darüber hinaus können Sie mit der Ablaufverfolgung ein Suchargument hinzufügen, das entweder spezielle Spalten zur Aufnahme der Einträge der Suchtabellen oder einfach allgemeine Spalten verwenden kann. Tabellen werden derzeit nur als ein Satz von Polynomen codiert, daher muss die Gesamtlänge der Spur größer sein als die Gesamtzahl der Einträge in den Tabellen.

Beachten Sie, dass jedes „Gate“ (als Rust-Typ) einzigartig ist und ein Gate daher nur in Spezial- oder Allzweckspalten platziert werden kann, nicht jedoch in beiden. Wenn man eine solche Funktionalität benötigt, ist es möglich, einen neuen Wrapper zu erstellen.

Logische Funktionen höherer Ebene (wie boolesche Zerlegungen, Bereichsprüfungen, Nullprüfungen usw.) werden verwendet, um eine Schaltung intern auf unterschiedliche Weise einzuschreiben, je nachdem, ob einige Gatter in der jeweiligen Instanz des CS zulässig sind oder nicht. Instanzen des CS mit unterschiedlichen Gattersätzen werden aus der Rust-Perspektive als ein anderer Typ betrachtet, und wir verlassen uns auf einige Inlining-/konstante Prop-/Compiler-Arbeiten, um die Verzweigung in statische Sprünge zu reduzieren.

• Es ist nur das Feld 2^64 - 2^32 + 1 implementiert. Die nicht-vektorisierte Mathematikimplementierung basiert auf der für Plonky2 entwickelten Implementierung, wurde jedoch für konstante Merkmale neu formuliert
• Die automatische Vektorisierung wird hauptsächlich für Ergänzungen durchgeführt, bei denen die Vorteile offensichtlich sind
• Poseidon MDS und Round-Konstanten entsprechen Plonky2, um eine gewisse Kompatibilität für Benutzer zu gewährleisten
• Poseidon2-Rundenkonstanten verwenden die Poseidon-Konstanten wieder
• Arithmetisierungsbeschränkungen wirken sich nur auf eine Zeile aus. Die Platzierungsstrategie besteht darin, Konstanten durch zeilen- oder spaltenweises Kacheln so weit wie möglich zu amortisieren
• Das Argument der Kopierpermutation stammt von Plonk (dem auf dem Gesamtprodukt basierenden Argument). Kann später in eine logarithmische Ableitung (die additive) geändert werden
• Das Suchargument ist eine logarithmische Ableitung (die additive)
• Nachschlagetabellen in einer Schaltung müssen vorerst alle die gleiche Breite haben
• Es können noch keine Spalten von den Orakeln getrennt und in einen anderen Beweis eingespeist werden
• Im Moment erfolgt die Verschiebung zum Erweiterungsfeld nur bei der FRI-Aggregation (in früheren Phasen handelt es sich also um Herausforderungen von |F| und daher müssen wir Argumente wiederholen), aber dies wird geändert, sodass wir zum Erweiterungsfeld als wechseln so schnell wie möglich, nachdem Sie sich an den Zeugen gebunden haben, um eine ziemlich „große“ Chance zu vermeiden, Nullen im Nenner zu erhalten. Die Auswirkung auf den Rechenaufwand beim Beweisen ist vernachlässigbar
• Zero-Knowledge ist noch nicht umgesetzt, aber geplant (Gates werden selbst bestimmen, wie sie einen zufriedenstellenden, aber zufälligen Zeugen in ihre noch ungenutzten Reihen aufnehmen)
• FFT ist nicht optimiert
• Hashes sind etwas optimiert
• Implementierte Tore sind eigensinnige, ebenso wie Arithmetisierungen

Wir verwenden ein Suchargument, das über die Beziehungen sum_i selector(x_i) / (witness(x_i) + beta) == sum_i multiplicity(x_i) / (table(x_i) + beta) erzwungen wird, wobei eine Suche über spezialisierte Spalten selector(x_i) erfolgt selector(x_i) ist nur eine Identität. Wir kodieren die Tabellen auch nicht als Polynom kleineren Grades, um Prüfungen zusätzlicher Gradgrenzen zu vermeiden, sondern füllen sie stattdessen mit Nullen auf. Beachten Sie, dass Tabelleneinträge niemals ein Element von (0,0,...,0) enthalten, da wir bei mehreren Tabellen (auch wenn nur eine Tabelle verwendet wird) separate ID-Spalten für Tabellentypen und eine ID verwenden So beginnt dies mit 1.

Ein nettes Merkmal eines Sucharguments wie diesem besteht darin, dass wir aufgrund seiner additiven Natur, wenn wir mehrere witness in derselben Tabelle nachschlagen, das Argument für jedes (Tupel) Polynom(e) wiederholen müssen (was erforderlich wäre). eine separate Multiplizitätsspalte sowie später einige Zwischenpolynome), können wir Multiplizitäten „addieren“ und das Argument in etwas wie sum_i selector_0(x_i) / (witness_0(x_i) + beta) + sum_i selector_1(x_i) / (witness_1(x_i) + beta) == sum_i total_multiplicity(x_i) / (table(x_i) + beta) umwandeln sum_i selector_0(x_i) / (witness_0(x_i) + beta) + sum_i selector_1(x_i) / (witness_1(x_i) + beta) == sum_i total_multiplicity(x_i) / (table(x_i) + beta) , also die Gesamtkosten einer Suche ist nur 1 Multiplizitätsspalte und 2 (zeugenbezogene) + 1 (tabellenbezogene) zu kodierende Zwischenpolynome die Links- und Rechtsbeziehungen auf den Wurzeln der Einheit.

Die Richtigkeit dieses Arguments ist klar. Aus Gründen der Solidität verwenden wir das ursprüngliche Argument wie im Artikel „Cached quotients for fast lookups“, Lemma 2.4. Wir müssen zeigen, dass es ausreicht, sich auf die total_multiplicity und nicht auf die Multiplizitäten von witness_0 und witness_1 separat festzulegen.

Angenommen, die Gleichung sum_i selector_0(x_i) / (witness_0(x_i) + X) + sum_i selector_1(x_i) / (witness_1(x_i) + X) == sum_i total_multiplicity(x_i) / (table(x_i) + X) gilt. Wir müssen zeigen, dass witness_0 und witness_1 in der Tabelle t enthalten sind. Sei f = (witness_0 | witness_1) , eine Verkettung der Werte. Die obige Gleichung impliziert sum_i selector_i / (f_i + X i sum_i selector_i / (f_i + X) == sum_i total_multiplicity_i / (t_i + X) Nach Lemma 2.4 erhalten wir f subset t : „Teilmenge“ in dem Sinne, dass jede Koordinate des Vektors f eine Koordinate von t ist. Insbesondere witness_0, witness_1 subset f subset t .

Beachten Sie, dass das Argument auch für mehrere witness_i gilt. Der Rest des Aussagekraftarguments folgt für ein gewähltes beta direkt wie in der obigen Arbeit.

• Nachschlagetabellen mit unterschiedlicher „Breite“ zulassen (Unwahrscheinlich, wir müssen das Typsystem ein wenig aktualisieren)
• Teilen Sie den CS in einen „konfigurierbaren“ Teil (wo man Tore und statische Werkzeuge zulassen kann) und einen „beschriftbaren“ Teil (wo man Variablen, Tore usw. einfügen kann) auf. Man konfiguriert also erst, „friert“ dann ein und schreibt sich dann ein, und kann dabei keinen Fehler machen
• Ermöglichen Sie einen alternativen Auswahlmodus (individuelle Bauminstallation) für seltene Schaltkreise, die dies benötigen. Da wir ohnehin eine große Anzahl von Setup-Polynomen aus der Kopierpermutation haben, sind flache Selektoren nicht so teuer, wenn sie es ermöglichen, eine Verschiebung des Quotientengrades um das Zweifache zu vermeiden
• Sorgen Sie dafür, dass u16/u32 „statische“ Caches für Zerlegungen anstelle von „dynamischen“ Caches verwendet
• Machen Sie den Verifizierer „dyn“, sodass alle seine Nachkommen „Selbst“ sind. Hinweis: höchstwahrscheinlich unnötig
• Wechseln Sie zur Felderweiterung „früher“, da sie sich nur auf die Teile des Kopier-Permutationsprodukts und der Suchargumente auswirkt und dieser Kompromiss im Vergleich zur Chance von 2^-40 , 0 im Nenner zu erhalten, akzeptabel ist
• Wechseln Sie zur generischen Protokollierung
• Wechseln Sie standardmäßig zu Poseidon2
  • Hinweis zu Monolith: Obwohl es rasend schnell ist, hat es den Nachteil, dass es sehr schwierig ist, es einfach in eine einzelne „Zeile“ aufzurollen, da es Suchvorgänge und algebraische Beziehungen vermischt. Für Schaltungsinstanzen mit großer Breite ist es möglicherweise nicht optimal geeignet
• FFT tatsächlich optimieren
• Prüfen Sie, welche Strategie am besten zur Bewertung von Toren gegenüber Allzwecksäulen geeignet ist
• Neuen DAG-Resolver zusammenführen (10-100x schneller)
• Optimieren Sie die Konsistenzprüfung für Hilfssuchpolynome, um eine Einschränkung höheren Grades zu nutzen, wenn sie „frei“ ist (wenn wir sowieso bereits eine Erweiterung höheren Grades für Kopierpermutation oder Gatter durchführen würden).

Es gibt Benchmarks für 8 KB SHA256, die unserer Meinung nach eine einigermaßen optimale Konfiguration von Gattern + Tabellen für die SHA256-Schaltung verwenden. Beachten Sie, dass wir, obwohl der Beweiser ziemlich schnell ist, die FFT nicht richtig optimiert haben und immer noch Poseidon (nicht Poseidon2) für Konfigurationen verwenden, bei denen wir erwarten, dass der Beweis für die Rekursion verwendet wird. Mit den beiden Skripten sha256_bench_recursive.sh und sha256_bench_non_recursive.sh können Sie die entsprechenden Tests ausführen (unabhängig davon, ob der Beweis in der Rekursion verwendet werden soll oder nicht). Sie sollten nach der Zeile Proving is done, taken ... suchen, um die Prüfzeit anzuzeigen , weil der Prüfer, der danach ausgeführt wird, ziemlich ausführlich ist. Diese Benchmarks verwenden einen LDE-Faktor von 8, obwohl alle unsere Einschränkungen den Grad 4 oder weniger haben – es handelt sich jedoch um einen Parameter, der in einigen anderen öffentlichen Benchmarks verwendet wird. Wir verwenden PoW in diesen Beweisen auch nicht, da PoW für 20 Bit vernachlässigbar ist (30 ms) und wir PoW über algebraische Hashes noch nicht unterstützen (diese sind jedoch nur ~2x langsamer, also ebenfalls vernachlässigbar). Die Sicherheitsstufe beträgt ungefähr 100 Bit, aber die FRI-Stabilität kann durch eine Erhöhung der Anzahl der Abfragen gesteigert werden, und eine Erhöhung der Anzahl der Abfragen erhöht nicht die Prüfzeit (nicht zu verwechseln mit einer Änderung der FRI-Rate). Die Trace-Länge beträgt 2^16 und es werden 60 allgemeine Spalten und 8 Suchargumente mit der Breite 4 verwendet.

Hinweis: Benchmarks versuchen lediglich, zum nativen Arch zu kompilieren, und derzeit wird normalerweise nur der AArch64-Arch (sprich Apple M1) durchgehend getestet. x86-64-Arithmetikimplementierungen wurden auf Gültigkeit getestet, jedoch nicht durchgängig in vollständigen Beweisen. Beachten Sie, dass die maximale Leistung von x86-64 zusätzlich zu cpu = native zusätzliche Compiler-Feature-Flags erfordert (AVX512-Satz wird vom Rust-Compiler nicht verwendet, selbst auf nativen CPUs).

Der Boojum-Prüfer wird unter den Bedingungen von beiden vertrieben

• Apache-Lizenz, Version 2.0, (LICENSE-APACHE oder http://www.apache.org/licenses/LICENSE-2.0)
• MIT-Lizenz (LICENSE-MIT oder http://opensource.org/licenses/MIT)

nach Ihrer Wahl.

• Webseite
• GitHub
• Twitter
• Twitter für Entwickler
• Zwietracht

zkSync Era hat viele Tests und Audits durchlaufen. Obwohl es live ist, befindet es sich noch im Alpha-Stadium und wird weitere Audits und Bug-Bounty-Programme durchlaufen. Wir würden gerne die Gedanken und Vorschläge unserer Community dazu hören! Es ist wichtig anzumerken, dass eine heutige Abzweigung möglicherweise dazu führen kann, dass wichtige Sicherheitsupdates, wichtige Funktionen und Leistungsverbesserungen verpasst werden.

Diese Software enthält Komponenten von Drittanbietern. Eine vollständige Liste dieser Komponenten und ihrer Lizenzen finden Sie in der Datei MITTEILUNGEN VON DRITTANBIETERN.