什么是 ZK-rollup（零知识汇总）？

定义及核心机制

1. ZK-rollup 是一种第 2 层扩展解决方案，它将多个链下交易捆绑在一起，并向主以太坊区块链提交单个加密证明（称为零知识简洁非交互式知识论证 (zk-SNARK)）。

2. 该证明以密码方式验证所有捆绑交易都是有效的，而不会泄露其底层数据，从而保护隐私并减少链上计算负载。

3. 与默认情况下假设有效性并依赖于挑战窗口期间的欺诈证明的乐观汇总不同，ZK-rollups 通过数学验证预先断言正确性。

4. 主链仅存储最少的数据：交易calldata和zk-SNARK，在保持以太坊安全保证的同时实现高吞吐量。

5. ZK-rollup 中的每个状态转换都伴随着有效性证明，这意味着除了底层密码学的健全性之外，不需要任何信任假设。

链上数据发布策略

1. ZK-rollups 将压缩的交易数据（包括发送者、接收者、金额和随机数）发布到以太坊的 calldata 空间，确保数据可用于重建和审计。

2. 该数据发布允许任何观察者验证 Rollup 状态的正确性，即使操作者离线或恶意操作。

3. 压缩技术显着减小calldata的大小；例如，一个简单的 ERC-20 传输可能会从已发布格式的 100 多个字节缩减到 12 个字节以下。

4. 发布的数据不包括证明生成中使用的私有输入，根据应用程序逻辑的要求保护用户机密性。

5. 以太坊上的 Rollup 合约根据最新的状态根验证传入的证明，并仅在成功验证后更新它。

证明者基础设施和计算权衡

1. 生成 zk-SNARK 需要大量的计算资源，特别是当电路复杂性随着交易类型和智能合约功能的增加而增加时。

2. 证明者可以是中心化的，也可以是去中心化的；由于延迟和成本限制，许多实时部署目前依赖于可信硬件或许可的证明者。

3.越来越多地采用递归证明（一个证明证明另一个证明的有效性）来更有效地批量证明并降低验证气体成本。

4. RISC Zero 和 Cairo 等 STARK 友好虚拟机的进步扩展了可编程性，允许开发人员使用更高级的语言而不是原始约束系统来编写电路。

5. 使用 GPU 和 FPGA 的硬件加速在证明者操作员中变得越来越普遍，旨在将证明生成时间从几分钟缩短到几秒钟。

安全模型的含义

1. ZK-rollups 的最终结果在证明被接受后立即生效，消除了乐观 Rollups 典型的 7 天提款延迟。

2. 安全模型完全取决于底层加密假设的硬度（例如离散对数或抗冲突性）以及电路实现的正确性。

3. 电路逻辑或编译器工具链中的错误可能导致无效证明被接受，从而使电路的形式验证成为关键的工程实践。

4. 不需要经济激励或削减机制来保护系统，这与基于防欺诈的设计不同，在防欺诈设计中，债券规模和挑战时间会影响安全性。

5.如果恶意证明者构造了一个不正确但看似有效的 zk-SNARK，以太坊验证者合约将彻底拒绝它——任何资金都不会在不被发现的情况下被窃取或挪用。

常见问题解答

问：ZK-rollups 可以支持任意智能合约吗？答：可以，但有限制。像 zkSync Era 和 Starknet 这样的平台使用自定义 VM（例如 zkEVM、Cairo）将 Solidity 或其他语言编译成可验证的电路。完整的 EVM 等效性仍然是一个活跃的开发领域。

问：为什么一些 ZK-rollups 仍然需要集中式排序器？答：排序涉及在证明之前对交易进行排序。该层的去中心化带来了协调开销和延迟挑战。许多项目首先优先考虑活跃性和低费用，在主网稳定后规划排序器去中心化。

问：以太坊上的 calldata 成本是 ZK-rollups 的瓶颈吗？答：这是一个重要因素。即使进行压缩，频繁发布大批量也会影响气体使用量。 EIP-4844 引入了原始 danksharding 来降低此成本，并且进一步的调用数据优化嵌入到当前的客户端实现中。

问：ZK-rollups 如何处理账户抽象和钱包恢复？答：他们继承了以太坊的账户模型，但通过智能合约钱包进行了扩展。恢复机制取决于钱包的逻辑（而不是汇总协议本身），从而根据部署的账户合约的允许启用社交恢复、多重签名或时间锁定升级。