整理：鄧通，金色財經

2024 香港 Web3 嘉年華期間，以太坊聯合創始人 Vitalik Buterin 發表主旨演講《Reaching the Limits of Protocol Design》。金色財經將演講內容整理如下，以饗讀者。

區塊鏈與ZK-SNARKS

我們用來構建協議的技術類型在過去 10 年裏發生了很大變化。 那么，當 2009 年比特幣誕生時，它實際上使用了非常簡單的密碼學形式，對吧？ 你在比特幣協議中看到的唯一一種加密技術是——你有哈希，你有橢圓曲线的 ECDSA 籤名，你有工作量證明。 工作量證明只是使用哈希的另一種方式，如果你看看 2000 年用於構建協議的技術，你就會進而看到這套更加復雜的技術，而這些技術實際上在10年前剛剛出現。

現在，很多這樣的東西肯定已經存在很長時間了。 從技術上講，自從 PCP 定理誕生以來，我們就已經有了 ZK- SNARKS，該定理已經有幾十年的歷史了。所以在理論上，這些技術已經存在了很長時間，但在實踐中，在你能在學術論文中做什么和你能在實際應用中做什么之間存在着巨大的效率障礙。

實際上，我認爲區塊鏈本身有很多值得贊揚的地方，因爲它實際上助力了這些技術的採用，並將它們真正付諸於實踐。

今天的情況在過去十年中發生了變化，並且取得了巨大的進步。 這包括很多不同的事情。 我們今天擁有的協議越來越依賴所有這些技術。 看看 2000 年構建的協議，所有這些東西從第一天起就被視爲關鍵組件。 ZK-SNARKS是這裏的第一個大事吧？ ZK-SNARKS 是一項技術。 您可以通過這樣一種方式來更快地驗證證明，然後自己運行計算。 您還可以在不隱藏原始輸入中的大量信息的情況下驗證證明。 因此，尋找ZK-SNARKS在隱私方面非常有用，在可擴展性方面也非常有用。

現在，區塊鏈有什么作用？區塊鏈給你帶來了很多好處，它們給你提供开放性， 它們爲您提供全球可驗證性。 但所有這一切都是以犧牲兩件非常大的事情爲代價的。 一是隱私，二是安全。 ZK-SNARKS，還你隱私，還你安全。 2016年，我們看到了 Zcash 協議。 然後，我們开始在生態系統理論中看到越來越多的東西。 今天，幾乎所有東西都开始建立在 ZK 上，开始多方計算和完全同態加密。但有些事情是你無法用ZK-SNARKS做的。 所以隱私保護、計算、在人們的私人數據上運行。 投票實際上是一個重要的用例，您可以在其中獲得一定程度的收益。 所以用ZK-SNARKS投票，但如果你想獲得真正最好的屬性，那么 MPC 和 FHE 是你必須使用的東西。

許多加密、人工智能應用程序最終也會使用 MPC 和 FHE，這兩種原語在過去十年中效率都在快速提高。

BLS密鑰聚合是一種有趣的技術，它基本上可以讓您從一大堆不同的參與者（可能有數以萬計的參與者）那裏獲取一大堆籤名，然後盡快驗證組合籤名，就像驗證一個籤名一樣。

這很強大。 BLS密鑰聚合實際上是一項處於現代狀態共識證明理論核心的技術。

如果你看看 BLS密鑰聚合之前建立的狀態共識證明，很多時候，算法通常只能支持幾百個驗證，就像一個定理目前大約有 30,000 個驗證，因爲它們正在提交籤名， 每 12 秒一次。 這之所以成爲可能，是因爲這種新形式的密碼學實際上只在過去 5 到 10 年裏得到了足夠的優化才能使用。

效率、安全與擴展功能

所以很多事情都是由這些新技術帶來的。 他們很快就變得更強了。 當今的協議大量使用所有這些技術。 我們確實經歷了從專用密碼學到通用密碼學的重大轉變，在哪裏創建新協議，您必須自己了解密碼學是如何工作的。 您必須爲特殊用途的應用程序創建一種特殊用途的算法，以達到更通用的目的。 在這個世界上，要創建一個使用我在過去 5 分鐘談到的內容的應用程序，您甚至不需要成爲密碼學家。 你可以寫一段代碼，然後把它編譯成審批和驗證器，你就有了一個尋求歷史的應用程序。

那么這裏有哪些挑战呢？ 我認爲現在的兩個大問題：一個是效率，另一個是安全。 現在，還有第三種，可以說是擴展功能。 我認爲，提高我們今天擁有的東西的效率和安全性更加重要。

我們來談談效率。 我們來說一個具體的例子，就是區塊鏈的理論。 理論上說，如果出塊時間爲 12 秒，即一個區塊與下一個區塊之間的平均間隔時間爲 12 秒。 在正常的區塊驗證時間上。 這是下級節點驗證塊所需的時間， 大約400毫秒。 現在尋找陷阱、證明平均理論和阻止所需的時間約爲 20 分鐘。 但兩年前，這種情況正在迅速改善。此前，這一等就是5個小時。 現在，平均需要 20 分鐘。與兩年前相比，我們仍然取得了很大進步。

現在，我們的目標是什么？ 目標是進行實時證明。 目標是，當創建一個區塊時，您可以在創建下一個區塊之前獲得證明， 當我們實現實時證明時，世界上的每個用戶都可以很容易地成爲協議的完全驗證用戶。如果我們能夠進入這樣一個世界：每個以太坊錢包，包括瀏覽器錢包，包括移動錢包，包括其他鏈的智能合約錢包，實際上都在完全驗證共識規則的理論。

所以他們甚至不相信自己是否更喜歡權益驗證，因爲他們實際上是直接驗證規則並直接確保區塊是正確的。 我們如何利用歷史來做到這一點？ 要使其真正發揮作用，ZK-SNARKS 證明需要實時進行，但需要有一種方法可以在 5 秒內證明理論和區塊。 那么問題是，我們能達實現？ 現在，MPC 和 FHE 也有類似的問題。 正如我之前提到的，MPC 和 FHE 的一個強大用例就是投票，對吧？ 它實際上已經开始出現了。 

MPC 當前的問題在於它的某些安全屬性依賴於一台中央服務器。 我們可以去中心化嗎？ 我們可以，但它需要協議更加高效。 這些協議的花費巨大。 

我們如何實現這樣的需求？ 對於ZK-SNARKS， 我認爲效率提升分爲三大類。 其中之一是並行化和聚合， 因此，如果你想象在一個關於區塊的理論中，在一次驗證中，區塊最多需要大約1000萬個計算步驟。 您執行每個計算步驟，並分別對其進行證明。 然後你進行證明聚合。 

經過大約20次上述步驟之後，您就得到了一個代表整個區塊正確性的重要證明。 這是今天利用現有技術可以做到的事情。 並且可以在5秒內證明劣質區塊。 它需要大量的並行計算， 那么我們可以優化它嗎？ 我們可以優化聚合證明嗎？ 答案是肯定的，關於如何做到這一點，有很多理論想法，但這確實需要轉化爲實際的東西。

在相同的硬件成本和相同的電力成本下，ASIC能夠比 GPU 快大約 100 倍的哈希處理速度。 問題是，我們可以通過嚴格證明獲得完全相同的好處嗎？ 我認爲答案是我們應該能夠。 有很多公司已經开始實際構建專門用於證明ZK-SNARKS的產品，但實際上，它應該是非常通用的。 我們可以把 20 分鐘縮短到 5 秒，進而使效率提高嗎？

所以我們有GKR協議，我們有 64 位，我們有ZK-SNARKS等各種不同的想法。 我們能否進一步提高算法的效率？ 我們能否創建更多ZK-SNARKS、友好的哈希函數、更多 ZK-SNARKS、友好的籤名算法？ 這裏有很多想法，我強烈鼓勵人們爲這些想法做更多的工作。我們擁有所有這些令人驚嘆的密碼學形式，但是人們會不會信任它們？ 如果人們擔心其中存在某種缺陷， 無論是 ZK-SNARKS，還是 zkevm Circuits，它們都有 7000 行代碼。 如果他們做得非常有效的話。 理論上，平均每千行代碼有 15 到 50 個錯誤。 我們努力嘗試。 每千行不到 15 個，但也大於零。如果你擁有這些持有數十億美元人們資產的系統，那么如果其中一個出現錯誤，那么無論加密技術多么先進，這些錢都會丟失。

問題是，我們能做些什么來真正採用現有的密碼學並減少其中的錯誤數量？ 

現在， 我認爲如果一個團體的12 人中有 9 人，即超過 75% 的人同意存在錯誤，那么他們就可以推翻證明系統所說的任何內容。 所以它是相當中心化的。在不久的將來，我們就會有多重證明。 理論上來說，您可以降低其中任何一個的某部分出現錯誤的風險。 你有三個證明系統。 如果其中一個存在錯誤，那么希望另外兩個在完全相同的位置不會出現錯誤。

用人工智能工具進行形式驗證

最後，我認爲未來值得研究的一件有趣的事情是使用人工智能工具進行形式驗證。 實際上，從數學上證明像ZK-EVM 這樣的東西沒有錯誤。但你能否真正證明這一點，例如，ZK-EVM 實現正在驗證與 Gas 中的定理實現完全相同的函數。 例如，你能證明它們對於任何可能的輸入都只有一個輸出嗎？ 

在 2019 年，沒有人認爲人工智能可以在今天制作出非常漂亮的照片。 我們已經取得了很多進展，我們已經看到人工智能做到了。

問題是，我們是否可以嘗試將類似的工具轉向類似的任務。例如爲跨越數千行代碼的程序中的復雜語句自動生成數學證明。 我認爲這是一個有趣的开放挑战，讓人們了解籤名聚合的效率。 那么今天以太坊有30000個驗證器，運行一個節點的要求相當高吧？ 我的筆記本電腦上有一個節點理論，它可以運行，但它不是一台便宜的筆記本電腦。 而且我確實必須自己去升級硬盤。 期望的目標是理論上的，我們希望支持盡可能多的驗證。 我們希望權益證明盡可能民主化，以便人們能夠直接參與任何規模的驗證。 我們希望在節點理論中運行的要求非常低，並且非常易於使用。 我們希望理論和協議盡可能簡單。

那么這裏的限制是什么？ 限制是每個參與者每個槽的所有數據需要 1 Bit，因爲你必須廣播誰參與籤名和誰沒有參與的信息。 這是在此之上最基本的限制。 如果是這樣的話，就沒有其他限制了。 計算，無下限。 您可以進行證明聚合。 您可以對每棵樹進行遞歸，也可以進行籤名。 您可以進行各種籤名聚合。 你可以使用SNARKS，你可以使用密碼學，就像你可以使用32位SNARKS一樣，各種不同的技術。

關於點對點網絡的思考

問題是，我們能在多大程度上優化籤名聚合——點對點安全？ 人們對點對點網絡的思考還不夠。 這才是我真正想強調的。 我認爲在加密領域，通常有太多的傾向在點對點網絡之上創建奇特的結構，然後假設點對點網絡可以工作。 這裏隱藏着很多惡魔吧？ 我認爲這些惡魔將變得更加復雜，就像點對點網絡在比特幣中的工作方式一樣。

這其中有各種攻擊，如女巫攻擊、拒絕服務攻擊等。但是當你有一個非常簡單的網絡，並且網絡的唯一任務是確保每個人都能得到一切時，問題仍然相當簡單。 問題在於，作爲一種尺度理論，點對點網絡變得越來越復雜。 今天的以太坊點對點網絡有64個分片——爲了做一次籤名聚合，爲了處理30000個籤名。

首先，就像我們今天所做的那樣，我們有一個點對點網絡，它分爲 64 個不同的分片，每個節點只是其中一個或幾個網絡的一部分。 因此，將兩個項目分層並允許Rollup的費用非常低，這是一種有天賦的可擴展性解決方案。 這也依賴於更復雜的點對點架構。每個節點只下載全部數據的1/8嗎？你真的能讓這樣的網絡安全嗎？我們該如何保存數據呢？ 我們如何提高點對點網絡的安全性？

結論

所以，我們需要考慮的是能夠實現密碼學限制的協議。我們的密碼學已經比幾十年前強大得多，但它還可以更強，我認爲現在我們真的需要开始考慮什么是天花板，我們如何真正達到天花板？ 

這裏有兩個同樣重要的方向：

其中之一就是繼續提高效率， 我們想要實時證明一切。 我們希望看到這樣一個世界：在去中心化協議的區塊中傳遞的每條消息默認都附加有ZK-SNARKS，證明該消息以及該消息所依賴的所有內容都遵循協議的規則。 我們如何才能提高效率以實現這一目標？ 第二個是提高安全性。 從根本上減少出現問題的可能性，讓我們進入一個世界，在這個世界中，這些協議背後的實際技術可以是非常強大和非常值得信賴的。

但正如我們在許多次看到的那樣，多重籤名會被黑客攻擊。 在很多情況下，這些Layer 2項目中的代幣實際上是由多重籤名控制的。 如果有九分之五的人同時遭到黑客攻擊，就會損失很多錢。 如果想避免這些問題，那么我們需要信任——能夠使用該技術，並以加密方式強制遵守規則，而不是相信一小群人來確保系統安全。

但要真正實現這一點，代碼必須是值得信賴的。 問題是，我們能讓代碼可信嗎？ 我們能讓網絡值得信賴嗎？ 我們能讓這些協議的這些產品的經濟性值得信賴嗎？ 我認爲這些是核心挑战，我希望大家能夠繼續共同努力來改進。 謝謝。