第二层系统的安全性和效率

前言：

感谢matter labs提出了一些L1数据链接的可用性问题。我们一向重视社区的声音，会根据社区的需要修改方案。因此，我们想借此机会与您分享zkswap开发团队辛勤工作所交付产品背后的一些想法。

经过仔细考虑，考虑到TPS的效率和GAS FEE用，我们决定将zkswap的L2转移置于链下。在zkswap的设计中，L1相关的数据在链上，而L2相关的数据（如传输和事务）在链下。尽管存在链，这部分数据也将由验证者实时公布。

例如，块L2 7831：https://api.zkswap.info/block/7831/pub-data

三种类的转移

在ZK rollup协议中，一个块可以包括三种类的传输：

类1：来自L1的存款和用于创建AMM事务对的转账；

类2：传输由L2发起，并且只能由L1验证。例如，由于电路不能检查和确认L1签名，公钥传输将需要L1签名以确保L1帐户的密钥所有者可以将其帐户与L2帐户相关联；

类3：传输由L2签名验证，但不由L1验证。

Zkswap安全模

一个块中记录的L2传输只部分记录在L1中。在L1链上只记录块信息的摘要，如块哈希、新的Merkel根、块高度等。

当向L1提交块的传输时，创建块并验证块散列。由于sha256算法是在以太坊中构建的，所以块哈希通常由sha256计算。

为了保持数据可用性，所有传输数据都应提交给L1，这称为“公共数据”。传输的公共数据与L2上传输的公共数据不完全相同。当系统进入“退出模式”时，系统将使用公共数据，以便任何人都可以恢复最近验证的Merkel树。

电路

L2电路和L1智能合约可以协同工作，保证ZK汇总协议的功能。L2电路确保了以下几点：L2传输签名正确，L1/L2传输执行正确，块信息计算正确，账户信息及时有效地更新，包括Merkel根、账户Merkel树和费用信息等。

双重验证模式

验证模块对于安全性非常重要，是ZK上卷协议的基础。

公共数据验证-验证类I和类II传输的内容和顺序。例如，验证存款需要确保存款的金额和信息与L1上记录的金额和信息相同，并且顺序正确。

区块验证-通过零知识证明，验证区块中的转账是否正确执行，以及L2账户的Merkel树根是否及时正确更新。验证块时，更新的根是最终的。

总之，总体安全假设如下：

·一个区块的所有传输公共数据都在链上；

·验证块中的类I和类II传输是否正确执行；

·证明块内所有转账执行正确，账户树更新正确，块内所有转账的公共数据可以匹配；

·证明该区块所有公共数据计算正确；

·提交给L1的区块公共数据与零知识证明系统认证的数据相同。

当公共数据没有链接时会发生什么？

如果公共数据不在链上，则无法验证“提交给L1的区块公共数据与零知识证明系统认证的数据相同”的安全假设。此时，当L2的零知识证明系统中的所有传输都正确执行并且Merkel树得到正确更新时，它只能证明一个块中的传输是有效的，而不能证明特定块中的其他传输。

第三种转账方式大多是安全的，但对于取款操作，取款的收款人没有经过验证，无法通过零知识证明系统进行证明。

对于第一类转移，可以证明所有可能的第一类转移，但无法验证。例如，零知识证明系统可以证明一些非L1发起的存款转移。

由于只有验证者可以提交公开数据或阻止证据，社区必须相信验证者是诚实的。如果验证者是诚实的，上述风险都不存在。对于zkswap，所有公共数据都在浏览器中同步发布，任何人都可以验证公共数据和链上的任何块。

将公共数据保密并不是一个草率的决定。这种选择背后的主要原因是为了降低天然气成本和提高可扩展性。

煤气费

保持ZK rollup协议运行的难点之一是gas。为了向L1提交块，我们需要消耗以下气体限制（参考典用例：只显示块中的L2传输（事务））：

一个块可以包括多达120个事务传输。

如果您要提交和验证L1中的一个区块，则需要消耗约23万个气体限制，并且调用数据成本约占31%。

可扩展性（TPS）

可伸缩性（TPS）是另一个考虑因素。假设L2传输消耗1850.7天然气，zkswap将消耗以太坊天然气的10%，总TPS将为51.5。

这是在只交易不提现的情况下，因此在正常使用时会消耗更多的天然气，TPS会更低。

结论

保护用户资金安全对于所有区块链项目都非常重要，也是zkswap的核心价值所在。当传输的公共数据不提交给链时，安全性依赖于零知识证明电路。当验证者是诚实的，用户的资产是安全的。从技术角度看，如果验证者不诚实，安全性将是一个问题。这是在减少天然气和改善TPS之间的权衡。

考虑到天然气消耗和可扩展性，zkswap做出了一个困难的决定，即不链接公共数据以换取更高的TPS和更低的二级用户天然气消耗。

我们愿意听取开发者和用户的反馈，使zkswap系统更好。我们还可以随时链接所有数据。事实上，在zkswap发布之前，我们已经实现了一个*数据可用性的版本（所有的L1和L2传输都在链上），所以我们可以随时升级到*ZK rollup的版本，以提供更高的耗油量、更低的TPS，但更安全。