era boojum

zkSync Era adalah rollup lapisan 2 yang menggunakan bukti tanpa pengetahuan untuk menskalakan Ethereum tanpa mengorbankan keamanan atau desentralisasi. Karena kompatibel dengan EVM (Solidity/Vyper), 99% proyek Ethereum dapat diterapkan ulang tanpa melakukan pemfaktoran ulang atau mengaudit ulang satu baris kode pun. zkSync Era juga menggunakan kompiler berbasis LLVM yang pada akhirnya memungkinkan pengembang menulis kontrak pintar dalam C++, Rust, dan bahasa populer lainnya.

Tujuan perpustakaan ini adalah untuk bekerja dengan aritmetisasi yang sangat spesifik dengan asumsi tambahan tentang ukuran bidang. Secara kasar, kita berharap memiliki bidang F dengan |F| ~ 64 bit (ukuran kata mesin) (asumsi tentang ukuran bidang tidak penting untuk strategi aritmetisasi dan penempatan gerbang, namun ditegaskan dalam implementasi gadget untuk fungsi tertentu yang mengandalkan ukuran bidang tertentu).

Sistem ini memiliki hierarki fungsi logis (gadget) - gerbang (entitas yang dapat menuliskan dirinya ke dalam jejak) - dan evaluator (hubungan antar polinomial). Evaluator ditulis dalam bentuk suatu sifat yang memungkinkan kita nantinya secara otomatis menyusun fungsi untuk memeriksa kepuasan dan menghitung bukti, serta mensintesis verifikator biasa dan rekursif. Gerbang memiliki peralatan tambahan yang memungkinkan gerbang itu sendiri melacak logika di mana mereka harus ditempatkan dalam jejak. Perhatikan bahwa kami mengandalkan batasan penyalinan Plonk dan mengerjakan entitas logis "variabel" yang dapat disalin untuk menyusun pernyataan akhir yang dapat dibuktikan. Sistem ini tidak dimaksudkan untuk aritmetisasi AIR dan tidak memungkinkan untuk menyatakan batasan yang menjangkau beberapa baris jejak.

Secara umum, jejak tersebut membatasi beberapa jenis kolom. Pemisahan utamanya adalah antara:

• Kolom tujuan umum - di mana seseorang dapat mengizinkan beberapa kolom variabel (dapat disalin), saksi (tidak dapat disalin, terkadang juga disebut kolom "saran") dan konstanta untuk digunakan oleh BERBEDA JENIS gerbang, yang mengarah pada kebutuhan untuk menempatkan penyeleksi di depan dari suku-suku yang bersesuaian dalam hasil bagi polinomial. Untuk kolom tujuan umum ini, logika penempatannya sederhana: kami mencoba memasukkan sebanyak mungkin pengulangan relasi yang sama sesuai yang diizinkan oleh gerbang/evaluator, berdasarkan jumlah kolom yang ditentukan dari jenis yang sesuai dalam sistem. Nanti, ketika penyeleksi terwujud, beberapa kolom konstanta tambahan dapat ditambahkan. Secara umum, perilaku default gerbang adalah mencoba "mengamortisasi" konstanta, dalam arti bahwa pada baris yang sama, kami mencoba menempatkan gerbang yang menggunakan konstanta yang sama. Ini adalah pendekatan yang masuk akal karena sebagian besar sirkuit dalam praktiknya adalah "siklus", sehingga kita dapat "mengisi" baris tersebut.
• Kolom "Khusus" - di mana seseorang dapat menetapkan kumpulan kolom terpisah ke gerbang/evaluator tertentu, sehingga relasi yang diterapkan oleh evaluator harus berlaku pada setiap baris di kolom ini. Hal ini mungkin bermanfaat di beberapa sirkuit dimana gerbang tertentu sangat sering digunakan. Seseorang dapat menentukan beberapa mode pemanfaatan kolom-kolom ini dalam kasus beberapa set yang digunakan untuk relasi yang sama, yaitu untuk berbagi konstanta atau tidak antar set.

Selain itu, pelacakan memungkinkan Anda menambahkan argumen pencarian, yang juga dapat menggunakan kolom khusus untuk menampung entri tabel pencarian, atau hanya menggunakan kolom tujuan umum. Tabel dikodekan sebagai hanya satu set polinomial untuk saat ini, sehingga total panjang jejak harus lebih besar dari jumlah total entri dalam tabel.

Perhatikan bahwa setiap "gerbang" (sebagai tipe Rust) adalah unik, sehingga gerbang hanya dapat ditempatkan pada kolom khusus atau tujuan umum, tetapi tidak pada keduanya. Jika seseorang membutuhkan fungsionalitas seperti itu maka dimungkinkan untuk membuat pembungkus tipe baru.

Fungsi logis tingkat yang lebih tinggi (seperti dekomposisi boolean, pemeriksaan rentang, pemeriksaan nol, dll) digunakan untuk membuat rangkaian secara internal menuliskan dirinya sendiri dengan cara yang berbeda tergantung apakah beberapa gerbang diperbolehkan atau tidak diperbolehkan dalam contoh CS tertentu. Instance CS dengan rangkaian gerbang yang berbeda dianggap sebagai tipe yang berbeda dari perspektif Rust, dan kami mengandalkan beberapa pekerjaan inlining/prop konstan/kompiler untuk mengurangi percabangan menjadi lompatan statis.

• Hanya bidang 2^64 - 2^32 + 1 yang diterapkan. Implementasi matematika non-vektor didasarkan pada implementasi yang dikembangkan untuk Plonky2, tetapi diformulasi ulang untuk sifat-sifat const
• Vektorisasi otomatis dilakukan terutama untuk penambahan, jika manfaatnya jelas
• Poseidon MDS dan konstanta bulat sama dengan Plonky2 untuk memiliki beberapa kompatibilitas bagi pengguna
• Konstanta putaran Poseidon2 menggunakan kembali konstanta Poseidon
• Batasan aritmetisasi hanya mempengaruhi satu baris. Strategi penempatannya adalah mengamortisasi konstanta sebanyak mungkin dengan menyusun baris atau kolom
• Argumen permutasi salinan diambil dari Plonk (yang berbasis produk utama). Dapat diubah menjadi turunan log (yang aditif) nanti
• Argumen pencarian adalah turunan log (yang aditif)
• Tabel pencarian di sirkuit semuanya harus memiliki lebar yang sama untuk saat ini
• Belum ada kolom yang dapat dipisahkan dari ramalan dan dimasukkan ke dalam bukti lain
• Saat ini perpindahan ke bidang penyuluhan hanya dilakukan pada agregasi FRI (jadi pada tahapan sebelumnya tantangannya adalah |F| sehingga kita harus mengulang argumen), namun hal ini akan diubah sehingga kita berpindah ke bidang penyuluhan sebagai secepat mungkin setelah melakukan komitmen pada saksi untuk menghindari peluang yang cukup "besar" untuk mendapatkan angka nol pada penyebutnya. Pengaruh terhadap biaya komputasi dalam pembuktian dapat diabaikan
• Pengetahuan nol belum diterapkan, tetapi sudah direncanakan (gerbang sendiri akan menentukan bagaimana menempatkan saksi yang memuaskan, namun acak di baris yang belum terpakai)
• FFT tidak dioptimalkan
• Hash agak dioptimalkan
• Gerbang yang diterapkan bersifat opini, serta aritmetisasi

Kami menggunakan argumen pencarian yang diterapkan melalui relasi sum_i selector(x_i) / (witness(x_i) + beta) == sum_i multiplicity(x_i) / (table(x_i) + beta) di mana pencarian pada kolom khusus selector(x_i) hanyalah sebuah identitas. Kami juga tidak mengkodekan tabel sebagai polinomial dengan derajat yang lebih kecil untuk menghilangkan pemeriksaan terikat derajat tambahan, dan sebagai gantinya mengisinya dengan nol. Perhatikan bahwa entri tabel tidak pernah berisi elemen (0,0,...,0) karena kami menggunakan kolom ID terpisah untuk tipe tabel jika ada beberapa tabel (meskipun hanya satu tabel yang digunakan), dan ID seperti ini dimulai dengan 1.

Salah satu fitur bagus dari argumen pencarian seperti ini adalah, karena sifat aditifnya, jika kita melakukan pencarian terhadap beberapa polinomial witness ke dalam tabel yang sama, alih-alih mengulangi argumen untuk setiap (tupel) polinomial (yang memerlukan kolom multiplisitas terpisah, serta beberapa polinomial perantara di kemudian hari), kita dapat "menjumlahkan" multiplisitas dan mengubah argumen menjadi seperti sum_i selector_0(x_i) / (witness_0(x_i) + beta) + sum_i selector_1(x_i) / (witness_1(x_i) + beta) == sum_i total_multiplicity(x_i) / (table(x_i) + beta) , sehingga total biaya pencarian hanya 1 kolom multiplisitas, dan 2 (terkait saksi) + 1 (terkait tabel) polinomial perantara untuk dikodekan hubungan lhs dan rhs pada akar persatuan.

Kebenaran argumen ini jelas. Agar masuk akal, kami menggunakan argumen asli seperti pada makalah "Hasil bagi dalam cache untuk pencarian cepat", Lemma 2.4. Kita perlu menunjukkan bahwa berkomitmen pada total_multiplicity saja sudah cukup, bukan multiplisitas witness_0 dan witness_1 secara terpisah.

Misalkan persamaan sum_i selector_0(x_i) / (witness_0(x_i) + X) + sum_i selector_1(x_i) / (witness_1(x_i) + X) == sum_i total_multiplicity(x_i) / (table(x_i) + X) memegang. Kita perlu menunjukkan bahwa witness_0 dan witness_1 terdapat dalam tabel t . Misalkan f = (witness_0 | witness_1) , merupakan rangkaian nilai. Persamaan di atas menyiratkan sum_i selector_i / (f_i + X) == sum_i total_multiplicity_i / (t_i + X) (perhatikan bahwa panjang interval i di sisi kiri adalah dua kali lipat dari di atas). Berdasarkan Lemma 2.4 kita mendapatkan f subset t : "subset" dalam arti bahwa setiap koordinat vektor f adalah koordinat dari t . Khususnya, witness_0, witness_1 subset f subset t .

Perhatikan bahwa argumen tersebut juga berlaku untuk beberapa witness_i . Argumen kesehatan lainnya, untuk beta yang dipilih, mengikuti secara langsung seperti pada pekerjaan di atas.

• Izinkan tabel pencarian dengan "lebar" yang berbeda (Tidak mungkin sekarang, kita perlu sedikit memperbarui sistem tipe)
• Pisahkan CS menjadi bagian yang "dapat dikonfigurasi" (di mana seseorang dapat mengizinkan gerbang dan alat statis), dan bagian "yang tidak dapat dituliskan" (di mana seseorang dapat meletakkan variabel, gerbang, dll). Jadi yang pertama dikonfigurasikan, lalu "dibekukan" dan kemudian dituliskan, dan tidak dapat membuat kesalahan di sepanjang jalan
• Izinkan mode pemilih alternatif (pencurian pohon secara individu) untuk sirkuit langka yang memerlukannya. Karena kita memiliki sejumlah besar polinomial pengaturan dari permutasi penyalinan, penyeleksi datar tidak terlalu mahal jika memungkinkan untuk menghindari peningkatan derajat hasil bagi 2x
• Jadikan u16/u32 menggunakan cache "statis" untuk dekomposisi, bukan cache "dinamis".
• Buatlah verifikator "dyn", sehingga semua turunannya adalah "Self". Catatan: kemungkinan besar tidak diperlukan
• Pindah ke ekstensi bidang "sebelumnya", karena ini hanya memengaruhi produk permutasi salinan dan bagian argumen pencarian, dan pengorbanan ini dapat diterima dibandingkan dengan peluang 2^-40 untuk mendapatkan penyebut 0
• Beralih ke pencatatan umum
• Beralih ke Poseidon2 secara default
  • Catatan tentang Monolith: meskipun sangat cepat, ia memiliki kelemahan di mana sangat sulit untuk membuka gulungannya menjadi satu "baris" karena menggabungkan pencarian dan hubungan aljabar. Ini mungkin bukan yang paling cocok untuk contoh sirkuit dengan lebar besar
• Sebenarnya mengoptimalkan FFT
• Periksa strategi apa yang paling optimal untuk mengevaluasi gerbang dibandingkan kolom tujuan umum
• Gabungkan penyelesai DAG baru (10-100x lebih cepat)
• Sesuaikan pemeriksaan konsistensi untuk polinomial pencarian tambahan untuk memanfaatkan batasan tingkat yang lebih tinggi jika "bebas" (jika kita sudah melakukan ekstensi tingkat yang lebih tinggi untuk permutasi penyalinan, atau gerbang)

Ada tolok ukur untuk 8kB SHA256 menggunakan konfigurasi gerbang + tabel yang menurut kami agak optimal untuk rangkaian SHA256. Perhatikan bahwa meskipun pembuktiannya cukup cepat, kami tidak mengoptimalkan FFT dengan benar dan masih menggunakan Poseidon (bukan Poseidon2) untuk konfigurasi yang kami harapkan buktinya digunakan untuk rekursi. Dua skrip sha256_bench_recursive.sh dan sha256_bench_non_recursive.sh memungkinkan Anda menjalankan pengujian yang sesuai (apakah bukti diharapkan untuk digunakan dalam rekursi atau tidak), dan Anda harus mencari baris Proving is done, taken ... untuk melihat waktu pembuktian , karena pemverifikasi yang dijalankan setelahnya cukup bertele-tele. Tolok ukur ini menggunakan faktor LDE sebesar 8, meskipun semua batasan kami berada pada derajat 4 atau kurang - namun, ini adalah parameter yang digunakan di beberapa tolok ukur publik lainnya. Kami juga tidak menggunakan PoW dalam pembuktian tersebut karena PoW untuk 20 bit dapat diabaikan (30 md), dan kami belum mendukung PoW melalui hash aljabar (namun hal tersebut hanya ~2x lebih lambat, sehingga juga dapat diabaikan). Tingkat keamanan kira-kira 100 bit, namun tingkat kesehatan FRI dapat ditingkatkan dengan meningkatkan jumlah kueri, dan peningkatan jumlah kueri tidak menambah waktu pembuktian (jangan bingung dengan mengubah tingkat FRI). Panjang jejak adalah 2^16 dan menggunakan 60 kolom tujuan umum dan 8 argumen pencarian dengan lebar 4.

Catatan: benchmark hanya mencoba mengkompilasi ke arch asli dan hanya arch AArch64 (baca Apple M1) yang biasanya diuji secara end-to-end untuk saat ini. implementasi aritmatika x86-64 diuji validitasnya, tetapi tidak dibuktikan secara menyeluruh. Perhatikan bahwa kinerja maksimal x86-64 memerlukan tanda fitur kompiler tambahan selain cpu = native (set AVX512 tidak digunakan oleh kompiler Rust bahkan pada CPU asli)

Pepatah Boojum didistribusikan berdasarkan ketentuan keduanya

• Lisensi Apache, Versi 2.0, (LICENSE-APACHE atau http://www.apache.org/licenses/LICENSE-2.0)
• Lisensi MIT (LICENSE-MIT atau http://opensource.org/licenses/MIT)

sesuai pilihan Anda.

• Situs web
• GitHub
• Twitter
• Twitter untuk Pengembang
• Perselisihan

zkSync Era telah melalui banyak pengujian dan audit. Meskipun aktif, ini masih dalam kondisi alfa dan akan melalui lebih banyak audit dan program bug bounty. Kami akan sangat senang mendengar pemikiran dan saran komunitas kami tentang hal ini! Penting untuk disebutkan bahwa melakukan forking sekarang berpotensi menyebabkan hilangnya pembaruan keamanan penting, fitur penting, dan peningkatan kinerja.

Perangkat lunak ini mencakup komponen dari pihak ketiga. Untuk daftar lengkap komponen-komponen ini dan lisensinya, lihat file PEMBERITAHUAN PIHAK KETIGA.