era boojum

zkSync Era — это накопительный пакет уровня 2, который использует доказательства с нулевым разглашением для масштабирования Ethereum без ущерба для безопасности или децентрализации. Поскольку он совместим с EVM (Solidity/Vyper), 99% проектов Ethereum можно повторно развернуть без рефакторинга или повторного аудита ни одной строки кода. zkSync Era также использует компилятор на основе LLVM, который в конечном итоге позволит разработчикам писать смарт-контракты на C++, Rust и других популярных языках.

Целью этой библиотеки является работа с очень специфической арифметизацией с дополнительными предположениями о размере поля. Грубо говоря, мы ожидаем, что у нас будет поле F с |F| ~ 64 бита (размер машинного слова) (предположение о размере поля не важно для стратегии арифметизации и размещения элементов, но оно утверждается в реализациях гаджетов для конкретных функций, которые полагаются на определенный размер поля).

В системе существует иерархия логических функций (гаджетов) — вентилей (сущностей, которые могут вписываться в трассировку) — и оценщиков (отношений между полиномами). Оценщики написаны в виде типажа, который позволяет нам в дальнейшем автоматически составлять функции для проверки выполнимости и вычисления доказательств, а также синтезировать простые и рекурсивные верификаторы. К вентилям прикреплены дополнительные инструменты, которые позволяют самим вентилям отслеживать логику того, где их следует разместить в трассировке. Обратите внимание, что мы полагаемся на ограничения копирования Plonk и работаем над копируемыми логическими объектами «переменных», чтобы составить окончательное доказуемое утверждение. Система не предназначена для арифметизации AIR и не позволяет выражать ограничения, охватывающие несколько строк трассировки.

В общем, трассировка содержит несколько разновидностей столбцов. Основное разделение происходит между:

• Столбцы общего назначения - где можно разрешить использование некоторых столбцов переменных (копируемых), свидетелей (некопируемых, также иногда называемых столбцами «советов») и констант РАЗЛИЧНЫМИ ТИПАМИ вентилей, что приводит к необходимости размещать селекторы впереди. соответствующих членов фактор-полинома. Для этих столбцов общего назначения логика размещения проста: мы пытаемся вставить столько повторений одного и того же отношения, сколько позволяет шлюз/оценщик, исходя из назначенного количества столбцов соответствующего типа в системе. Позже, когда селекторы будут материализованы, можно будет добавить несколько дополнительных константных столбцов. В общем, поведение элементов по умолчанию заключается в попытке «амортизировать» константы в том смысле, что в одной строке мы пытаемся разместить элементы, использующие одни и те же константы. Это разумный подход, поскольку на практике большинство схем представляют собой «циклы», поэтому мы можем «заполнить» строку.
• «Специализированные» столбцы — где можно назначить отдельный набор столбцов для конкретного вентиля/оценщика, поэтому отношение, устанавливаемое оценщиком, должно сохраняться в каждой строке в этих столбцах. Это может быть полезно в некоторых схемах, где конкретный вентиль используется очень часто. Можно указать несколько различных режимов использования этих столбцов в случае, если несколько наборов расходуются на одни и те же отношения, а именно для совместного использования констант между наборами.

Кроме того, трассировка позволяет добавить аргумент поиска, который также может использовать специализированные столбцы для размещения записей таблиц поиска или просто использовать столбцы общего назначения. Таблицы на данный момент кодируются только одним набором полиномов, поэтому общая длина трассы должна быть больше общего количества записей в таблицах.

Обратите внимание, что каждый «ворота» (как тип Rust) уникален, поэтому ворота можно помещать только в столбцы специализированного или общего назначения, но не в оба столбца. Если кому-то нужна такая функциональность, то можно сделать обертку newtype.

Логические функции более высокого уровня (такие как логическое разложение, проверки диапазона, проверки нуля и т. д.) используются для того, чтобы заставить схему внутренне вписать себя разными способами в зависимости от того, разрешены или запрещены некоторые элементы в конкретном экземпляре CS. Экземпляры CS с разными наборами вентилей считаются другим типом с точки зрения Rust, и мы полагаемся на некоторую работу встраивания/констант/компилятора, чтобы уменьшить ветвление в статические переходы.

• Реализовано только поле 2^64 - 2^32 + 1. Реализация невекторизованной математики основана на реализации, разработанной для Plonky2, но переформулирована для константных признаков.
• Автовекторизация выполняется в основном для дополнений, где преимущества очевидны.
• Poseidon MDS и круглые константы равны Plonky2, чтобы обеспечить некоторую совместимость для пользователей.
• Круглые константы Poseidon2 повторно используют константы Poseidon.
• Ограничения арифметизации влияют только на одну строку. Стратегия размещения состоит в том, чтобы максимально амортизировать константы, располагая их по строкам или по столбцам.
• Аргумент копирования-перестановки взят из Plonk (большого продукта, основанного на продукте). Позже может быть изменено на логарифмическую производную (аддитивную).
• Аргумент поиска является логарифмической производной (аддитивной)
• Таблицы поиска в схеме на данный момент должны быть одинаковой ширины.
• Никакие столбцы пока нельзя отделить от оракулов и использовать в другом доказательстве.
• На данный момент переход к полю расширения осуществляется только при агрегации FRI (поэтому на предыдущих этапах задачи имеют |F| и поэтому нам приходится повторять аргументы), но это будет изменено, и мы перейдем к полю расширения как как можно быстрее после фиксации свидетеля, чтобы избежать довольно «большого» шанса получить нули в знаменателе. Влияние на вычислительные затраты при доказывании весьма незначительно.
• Нулевое разглашение еще не реализовано, но запланировано (ворота сами будут определять, как поместить удовлетворительного, но случайного свидетеля в свои еще неиспользуемые строки)
• БПФ не оптимизировано
• Хэши несколько оптимизированы
• Реализованные вентили самоуверенны, как и арифметизация.

Мы используем аргумент поиска, реализуемый через отношения sum_i selector(x_i) / (witness(x_i) + beta) == sum_i multiplicity(x_i) / (table(x_i) + beta) , где поиск по специализированному selector(x_i) — это просто личность. Мы также не кодируем таблицы как полиномы меньшей степени, чтобы исключить дополнительные проверки, связанные со степенью, а вместо этого дополняем их нулями. Обратите внимание, что записи таблицы никогда не содержат элемент (0,0,...,0) поскольку мы используем отдельные столбцы идентификаторов для типов таблиц в случае нескольких таблиц (даже в случае использования только одной таблицы) и идентификатора. вот так начинается с 1.

Одна приятная особенность такого аргумента поиска заключается в том, что из-за его аддитивной природы, если мы выполняем поиск по нескольким полиномам- witness в одной и той же таблице, вместо повторения аргумента для каждого (кортежа) полиномов (что потребовало бы отдельный столбец кратности, а также несколько промежуточных полиномов позже), мы можем «сложить» кратности и преобразовать аргумент во что-то вроде sum_i selector_0(x_i) / (witness_0(x_i) + beta) + sum_i selector_1(x_i) / (witness_1(x_i) + beta) == sum_i total_multiplicity(x_i) / (table(x_i) + beta) , так что общая стоимость поиска это всего лишь 1 столбец множественности и 2 (связанный со свидетелем) + 1 (связанный с таблицей) промежуточный полиномы для кодирования левых и правых отношений на корнях из единицы.

Справедливость этого аргумента очевидна. Для корректности мы используем исходный аргумент, как в статье «Кэшированные коэффициенты для быстрого поиска», лемма 2.4. Нам нужно показать, что достаточно принять total_multiplicity а не кратности witness_0 и witness_1 по отдельности.

Предположим sum_i selector_0(x_i) / (witness_0(x_i) + X) + sum_i selector_1(x_i) / (witness_1(x_i) + X) == sum_i total_multiplicity(x_i) / (table(x_i) + X) что уравнение sum_i selector_0(x_i) / (witness_0(x_i) + X) + sum_i selector_1(x_i) / (witness_1(x_i) + X) == sum_i total_multiplicity(x_i) / (table(x_i) + X) держится. Нам нужно показать, что witness_0 и witness_1 содержатся в таблице t . Пусть f = (witness_0 | witness_1) — объединение значений. Из приведенного выше уравнения следует sum_i selector_i / (f_i + X) == sum_i total_multiplicity_i / (t_i + X) (обратите внимание, что длина интервала i в LHS вдвое больше, чем указанная выше). По лемме 2.4 получаем f subset t : «подмножество» в том смысле, что каждая координата вектора f является координатой t . В частности, witness_0, witness_1 subset f subset t .

Обратите внимание, что этот аргумент справедлив и для нескольких witness_i . Остальная часть аргумента обоснованности для выбранного beta следует непосредственно, как в работе выше.

• Разрешить поисковые таблицы разной «ширины» (Вряд ли сейчас нужно немного обновить систему типов)
• Разделите CS на «конфигурируемую» часть (где можно разрешить вентили и статические инструменты) и «вписываемую» часть (куда можно помещать переменные, вентили и т. д.). Так что сначала настраиваешь, потом "зависаешь" а потом прописываешь, и по ходу ошибиться нельзя
• Разрешить альтернативный режим селектора (индивидуальная установка дерева) для редких схем, которые в этом нуждаются. Поскольку в любом случае у нас есть огромное количество установочных полиномов от перестановки копирования, плоские селекторы не так уж и дороги, если они позволяют избежать увеличения степени частного 2x.
• Заставьте u16/u32 использовать «статические» кеши для декомпозиции вместо «динамических».
• Создайте верификатор «dyn», чтобы все его потомки были «Self». Примечание: скорее всего, ненужно
• Перейдите к расширению поля «раньше», поскольку оно влияет только на части продукта копирования-перестановки и аргумента поиска, и этот компромисс приемлем по сравнению с шансом 2^-40 получить 0 в знаменателях.
• Переключиться на общее ведение журнала
• Переключиться на Посейдон2 по умолчанию
  • Примечание по Monolith: несмотря на то, что он невероятно быстр, у него есть недостаток: его очень сложно просто развернуть в одну «строку», поскольку он смешивает поиск и алгебраические отношения. Возможно, это не лучший вариант для экземпляров схем большой ширины.
• На самом деле оптимизировать БПФ
• Проверьте, какая стратегия наиболее оптимальна для оценки ворот по сравнению со столбцами общего назначения.
• Объединить новый преобразователь DAG (в 10–100 раз быстрее)
• Настройте проверку согласованности для вспомогательных полиномов поиска, чтобы использовать ограничение более высокой степени, если оно «свободно» (если мы все равно уже сделали бы расширение более высокой степени для перестановки копирования или вентилей)

Существуют тесты для 8 КБ SHA256 с использованием, по нашему мнению, несколько оптимальной конфигурации вентилей + таблиц для схемы SHA256. Обратите внимание: несмотря на то, что доказательство довольно быстрое, мы не оптимизировали БПФ должным образом и по-прежнему используем Poseidon (а не Poseidon2) для конфигураций, где мы ожидаем, что доказательство будет использоваться для рекурсии. Два скрипта sha256_bench_recursive.sh и sha256_bench_non_recursive.sh позволяют запускать соответствующие тесты (независимо от того, будет ли доказательство использоваться в рекурсии или нет), и вам следует поискать строку Proving is done, taken ... чтобы увидеть время проверки , потому что верификатор, который запускается после него, довольно многословен. В этих тестах используется коэффициент LDE, равный 8, хотя все наши ограничения имеют степень 4 или меньше, однако этот параметр используется в некоторых других общедоступных тестах. Мы также не используем PoW в этих доказательствах, потому что PoW для 20 бит пренебрежимо мал (30 мс), и мы пока не поддерживаем PoW для алгебраических хэшей (однако они лишь примерно в 2 раза медленнее, поэтому тоже незначительны). Уровень безопасности составляет примерно 100 бит, но надежность FRI можно повысить за счет увеличения количества запросов, а увеличение количества запросов не увеличивает время проверки (не путать с изменением скорости FRI). Длина трассировки составляет 2^16 , она использует 60 столбцов общего назначения и 8 аргументов поиска шириной 4.

Примечание: тесты просто пытаются скомпилировать собственную арку, и на данный момент обычно сквозным тестированием обычно занимается только арка AArch64 (читай Apple M1). Реализации арифметики x86-64 были проверены на достоверность, но не были сквозными в полных доказательствах. Обратите внимание, что для максимальной производительности x86-64 требуются дополнительные флаги функций компилятора в дополнение к cpu = native (набор AVX512 не используется компилятором Rust даже на собственных процессорах).

Прувер Boojum распространяется на условиях либо

• Лицензия Apache, версия 2.0 (LICENSE-APACHE или http://www.apache.org/licenses/LICENSE-2.0)
• Лицензия MIT (LICENSE-MIT или http://opensource.org/licenses/MIT)

по вашему выбору.

• Веб-сайт
• GitHub
• Твиттер
• Твиттер для разработчиков
• Раздор

zkSync Era прошла множество испытаний и проверок. Несмотря на то, что он работает, он все еще находится в состоянии альфа-версии и будет проходить дополнительные проверки и программы вознаграждения за обнаружение ошибок. Мы хотели бы услышать мысли и предложения нашего сообщества по этому поводу! Важно отметить, что его форк сейчас потенциально может привести к отсутствию важных обновлений безопасности, критических функций и улучшений производительности.

Это программное обеспечение включает компоненты третьих сторон. Полный список этих компонентов и их лицензий см. в файле УВЕДОМЛЕНИЯ ТРЕТЬИХ ЛИЦ.