两全其美的ZK汇总预共识机制

1） 太长，看不见：

本文概述了一种预先协商一致的机制，该机制可以实现即时最终性，并在不影响zkrollup立即提取资本的情况下降低验证gas的成本。

2） 背景和动机：

当承诺区间足够短（例如10分钟）时，zkrollup可以立即实现最终性。在该方案中，聚合器的信任风险随着区间时间的增加而增加，而最终性的实现代价（如果是groth16算法，则每个承诺的gas验证代价大于200000 gas）随着区间时间的增加而降低。

首先，zkrollup配对验证的费用超过20万汽油（价值100至500美元）。换句话说，在zkrollup的每个承诺区间中，聚合器都需要花费大量的精力来验证和最终确定承诺。

我们不能忽略这个代价，因为zkrollup的承诺区间非常短。我们需要一个承诺，以实现立即退出的最终结果。只要承诺区间较短，恶意聚合者不热衷于回滚事务，就可以实现即时终局性（经济终局性，零确认事务）。

虽然我们可以使用递归零知识证明和高效的证明计算系统来聚合多个事务，但很难改变承诺区间。如果盲目地延长承诺区间，就会影响安全。

然后，我们需要考虑如何在zkrollup中实现安全的即时终结性和长的验证区间。

3） 方法：

聚合器的运行成本来自于对合同进行零知识证明验证的费用，该费用高，承诺周期短。

因此，我们可以在不影响安全性和可用性的前提下延长验证区间。

3.1）第1步：跳过零知识证明的配对验证

首先，我们能想到的最简单的解决方案是跳过配对计算，引入一个简单的针对承诺的欺诈证明。

聚合器向合同提交证明或验证zkrollup承诺所需的任何内容，但此时不执行配对计算，因此不需要支付200000 gas。一段时间后，这一承诺将得到验证；这个承诺中的每个州都成为下一个承诺的公共投入。聚合器需要锁定一些以太坊来激励验证者。一旦验证者发现欺诈行为，聚合者将受到惩罚。

Commitment是公共输入、零知识证明数据、前一状态根、下一状态根、事务哈希和聚合器地址的哈希值。

原始图像由链上的事件提供，并承诺保存在合同存储中。

这种方法有很大的优点。

每个人都可以成为一个了望台，相当于**汇总中的“验证器”，无需运行整个节点或任何特殊的启动设置。

数据可用性问题不会发生，因为验证或执行欺诈证明所需的所有数据都在链上发送的事件中。在进行欺诈证明时，我们不需要Layer2交易数据和交易结果，因为这些数据都包含在零知识证明的公共输入和证明中。

如果恶意聚合器提交恶意的Merkel根并放弃所有的事务数据和Merkel树数据，则不需要运行整个节点进行欺诈证明。我们只需检查零知识证明数据并执行配对验证功能即可发现此类恶意行为。

但是，上述方法存在安全问题。

如果51%的攻击发生在第1层，恶意的Merkel根被合法化，我们很难阻止它。

由于51%攻击的执行成本随着底层区块链阻塞时间的增加而增加，因此需要足够长的验证周期来有效提高51%攻击的难度。理想的验证周期是7天，因为oru的退出周期也是7天，可以根据挖矿成本和实际攻击奖励来计算。

在这种情况下，我们没有理由选择上述选项而不是oru。

3.2）第二步是通过递归零知识证明配对实现最终性，无需事先一致承诺零知识证明验证

我们可以通过以下方式解决上述安全问题。

我们把这一承诺视为事先协商一致，这一承诺没有得到任何知识证据的证实。预先协商一致将通过零知识证明验证来限制最终性。

（一致提交）=gt；（协商一致前提交）=gt；（协商一致前提交）=gt；…=gt；（协商一致前提交）=gt；（共识承诺）

所有协商一致前的承诺都通过配对来限制协商一致。因此，Layer2用户可以享受安全的实时事务最终性。我们需要使用所有具有递归零知识证明的共识前承诺来验证共识承诺。有两种电路：预协商电路和递归电路。预协商电路包含使用zkrollup方案的DAPP逻辑。递归电路只需要从第1层获取预先一致的数据作为公共输入。

递归零知识证明可用于在一段时间内横向合并预共识；同时，它还可以用于将大量交易纵向聚合为事先达成共识的承诺。

如果任何虚假的预共识承诺都会影响配对的共识验证，我们总是可以使用零知识证明来证明欺诈。一旦证明成功，聚合器将使用零知识证明验证器功能删除承诺，然后重新启动事务聚合并创建预一致承诺。

如果是紧急情况，资产持有者可以花20万汽油通过预共识达成共识，然后他们可以立即退出（当然，他们也可以等待聚合器达成共识）。如第一步所述，他们不需要任何特殊设置来实现共识的最终性，因为所有输入都是聚合的，可以由链上的事件进行搜索。无论验证了多少预一致承诺证明，递归验证的gas代价都不会增加，因为这些证明将被散列到入口散列中。

51%的攻击者无法确定恶意的Merkel根，因为每个根将通过ZK circuit实现的契约代码逻辑在链上进行验证。

4） 结论：

这种具有防欺诈和相关数据可访问性的预协商一致协议可以使zkrollup具有较长的承诺区间（如6小时）。该方法可以大大降低验证计算的燃气成本。