tp钱包官方网站|Vitalik为什么看好ZK硬件加速？

Author: Loopy Lu, BeWater

近日，VitalikButerin对香港区块链大会的突然造访令与会者无不振奋。而这也与一定程度反映了当下加密市场的情况。近期，以太坊走势一直相较比特币生态稍显疲软，以太坊流动性的割裂、性能的受限，再次使其受到质疑。

而在本次大会上，Vitalik对以太坊未来的进展给出了明确的建议。在主旨演讲《ReachingtheLimitsofProtocolDesign》中，Vitalik积极展望了ASIC芯片的作用，借助ASIC芯片进行ZK计算的硬件加速，可以将以太坊的效率的安全提升到全新的水平。

要解读ZK硬件加速，自然要从ZK开始谈起。ZKP并不是全新的概念。从上世纪八十年代起，计算机科学家们就在这个方向上不断的进行探索。当前，热门ZKRollup项目陆续上线、更多的ZK应用正在涌现，对应的则是ZK技术和市场在不断演进。我们发现，ZK硬件加速正在成熟，ZK+DePIN模式崭露头角，这个周期的ZKP似乎与此前不一样了。

零知识证明（Zero-KnowledgeProof，ZKP）被誉为加密技术领域的“圣杯”，不仅为长久以来的隐私保护难题引入了新的解决方案，还为存在多年的区块链扩容问题提供了强大的解决方案。

众所周知，ZK的效率问题一直是困扰着诸多的用户的项目方。Vitalik在香港大会上表示，ZK-SNARKs、MPC、FHE（完全同态加密）和BLS聚合等基于高级密码学的协议虽发展迅速，但同时也存在效率和安全问题。

（图片来源：ForesightNews）

其中，以太坊Slot出块时间为12秒，“普通”区块验证时间约为400毫秒，ZK-SNARK证明时间约为20分钟，而以太坊的目标是实现实时证明。

为了解决这一问题，Vitalik给出了三种解决方案，分别是“并行化与聚合树”、使用SNARKalgos与哈希提升效率、使用ASIC进行ZK硬件加速。

我们并不对三种方案进行优劣判断，在此只对ZK的硬件加速进行深入探讨。本文试图从ZKP出发，向投资者解读，为什么Vitalik看好“硬件加速”这一目前被鲜少提及的赛道？“ZK加速”、“ZK”、“ZKRollups”这些相似的名词，又都有何区别，如何准确辨析？

从整个生态的角度来看，硬件加速赛道为何重要？为以太坊、ZK、整个加密世界提供了何种价值？我们将以Cysic为例，详细探讨硬件加速的昨日、现在和未来。

Vitalik看好的硬件加速有何作用？

对于加密世界来说，ZKP(SNARKs/STARKs)被视为扩容技术的圣杯。zk-SNARKs通过VerificationComputation来验证原始计算的正确性，即首先由证明者(Prover)为原始计算生成简洁证明(SuccinctProof)，同时验证者(Verifier)使用更小规模计算来验证证明(Proof)的正确性。

在各路扩容方案中，ZKP促成了链下计算的发展。即交易不再在一层网络执行，而是在链下的rollup完成，并将多笔交易的状态根等部份数据打包发布到主网完成验证和结算。主网节点可以对Rollup上的交易历史通过ZKP进行验证，其安全仍然由一层保证。ZKP通过零知识证明通过数学的方式解决验证过程中的信任问题，且所需链上空间小，ZKRollup相对一层能达到数十倍交易处理速度和处理效率。

L2BEAT数据显示，前五大ZKRollup总TVL已达约30亿美元。这一数字距离以太坊TVL的500亿美元、整个DeFi市场的910亿美元规模仍具有相当大的差距。我们相信随着ZK技术的成熟，ZKRollup的渗透率势必将会进一步提高。在以太坊完成坎昆升级之后，EIP-4844的引入让Layer2的费用大幅降低。在各主流Layer2适配“Blob交易”之后，实测数据显示各ZKRollupgas费用明显下降。例如，Starknet降幅约为85%、zkSyncEra降幅约为65%。

市场上的ZK系项目正在快速成长，市值超过10亿美元的基于ZK技术的项目中，Polyhedra,Immutable、StakNet、zkSync、Mina、dYdX等被广为人知。这一赛道大体可分为三层：基础设施、ZK-Rollup、ZK应用。

基础设施主要包括编程框架和工具、ZKP证明市场、证明生成的硬件加速、ZK机器学习等。这些赛道的项目大多围绕ZKP的生成和计算展开，他们为ZK应用（无论是网络或者dApp）的部署提供了技术基础。

而最受瞩目的，则是ZKRollup。ZKRollup的爆发为可扩展性和“大规模采用”的叙事提供了充足的支撑。当然，在此之上还有采用了ZK技术的各种dApp，它们大多利用ZK的特性为加密用户提供了隐私等其他应用。

然而ZK证明生成所需要的过高的计算资源却是一个禁锢赛道进一步前进的瓶颈。

距离用例的落地还有多远？

既然ZK技术如此强大，为何现在仍未被广泛采用？主要原因是ZK技术的核心算法和实现机制极为复杂。目前，被广泛采用的主要有两种ZK证明系统——zk-SNARKs和zk-STARKs。例如，zkSync、Aztec、Axiom、Scroll、Taiko等都采用的是基于zk-SNARK的证明系统，而StarkNet、dYdX、Polygon等则采用了基于ZK-STARKs的证明系统。

使用零知识证明系统通常包括：“拍平计算”，“生成证明”，“验证证明”。这其中“生产证明”的步骤需要大量的算力支撑。

“拍平计算”是将一个原始计算，通过某种约束语言(例如R1CS)，表达成ZK电路的形式。以zk-SNARKs为例，目前常用的证明系统包括Groth16、Marlin和Halo/Halo2等。其中，Groth16使用了R1CS作为拍平计算用的约束语言。而对较新的证明系统，例如Halo/Halo2则使用了Plonk体系的电路约束语言，这被广泛的运用于一些较新的ZK项目中，例如Scroll、Taiko、Aximo等。

正如我们之前提到的，ZK证明的生成需要大量计算。我们用KGZ-basedHalo2举例来简单的分析一下这些计算的类型。首先，当我们通过前端约束语言构造好ZK电路之后，我们会需要把这些电路通过某种方式转化多项式的形式，而其中多项式的阶数和电路的规模正相关。之后，会使用一些密码学的手段，例如KZG将这些多项式最终转换为证明的形式。在这个过程中，主要的耗时的计算类型包括MSM和NTT两种。

MSM(Multi-ScalarMultiplication)计算用于处理与椭圆曲线相关的计算。MSM是椭圆曲线密码学中的核心组成部分，主要用于生成和验证证明。MSM类型的计算任务约占到计算任务的60-70%。

NTT(NumberTheoreticTransform)是一种在有限域上进行的快速傅里叶变换（FFT）NTT用于处理与多项式相关的计算。在ZK证明生成的计算中，NTT类型的计算任务大约占到全部计算任务的25%左右。

而ZK-STARKs虽然采用了不同的算法，但也拥有自己的性能瓶颈。在证明的生成过程中，证明者需要创建一个由多个约束组成的系统，这些约束必须同时满足才能生成有效的证明。而这些这些约束通常都是随机生成的，FRI算法（FastRecursiveIntegerGaussianSampling）用户生成和验证证明中的高斯采样，以此来确保这些约束的随机性。因此，FRI算法的效率对于ZK-STARKs的性能至关重要。

但无论采用何种路线，庞大的计算量让这一计算的时间变得殊为缓慢。因此，如何加速这些计算的速度、提高证明生成的生成效率，成为了限制ZKP在当下普及的关键。

为了解决这一问题，使用硬件进行计算加速，成为了一种可行的解决方案。而目前市场已经产生了多个硬件加速解决方案，而究竟选用何种硬件，并无标准答案。

当下ZKP市场主流的硬件加速方案分为三种，其灵活性从高到低分别为GPU、FPGA、ASIC。

• 由于ZKP算法中的某些步骤（如多项式乘法和FFT变换）可以并行处理，使用GPU自然可以更高效的完成ZKP算法中的计算过程，这就如同多年前的显卡挖矿一样。但是问题在于，GPU的灵活性和通用型让性能很难超越FPGA。

• FPGA则可以通过编程来实现特定的逻辑功能。这种结局方案提供了更高的效率，同时也保持了一定的灵活性，可以根据需要定制电路。在针对特定的ZKP算法进行优化之后，FPGA的性能优于GPU。

• ASIC则是为特定任务量身打造的专用芯片，正如ASIC矿机为比特币提供了强大的算力一样，ZKP的ASIC硬件加速也可为计算过程提供最高级别的性能优化。但通常来说ASIC只能适配单一解决方案，无法通用现存所有的ZKP证明任务。更普适的ASIC芯片从设计到流片都会遇到更大的调整。

ASIC算力最为强大，但掣肘在于灵活性问题。因为ZK算法的多样化，加速解决方案仍然需要对多种算法进行加速。考虑到市场上ZKP证明在不断推陈出新的情况下，FPGA的快速重配置能力使其在多个场景上具有重复使用的优势，能够灵活适应不同证明系统需求。因此在现阶段的市场条件下，作为硬件加速服务商，只能提供仅加速单一证明系统的ASIC芯片服务，并不是“此时此刻”最好的选择。

但ASIC在未来不存在爆发的潜力吗？答案自然是否定的。

选择合适的证明系统是一个十分谨慎的重大抉择。由于ZK电路极高的设计成本，一旦确定了证明系统，ZK项目几乎不会轻易的变更证明系统。项目方投入资源开发了特定证明系统的电路后，通常不会轻易更换系统。虽然FPGA提供了一定的灵活性，但对于已经确定并投入开发的ZK项目来说，ASIC仍然可以提供较高的计算效能比，这对于大规模的、计算密集型的ZK应用尤为重要。因此，尽管ASIC的初始开发成本较高，但在流片成功之后所带来的高收益比，仍然在会市场上占有一席之地。因此，ASIC解决方案在市场上具有一定的稳定性和需求。

在可预见的将来，ASIC加速方案仍是硬件加速的最终解决方案之一。

我们以硬件加速赛道的Cysic项目为例。Cysic提供了包括FPGA，ASIC，以及GPU在内的全硬件加速服务，这些加速服务不仅能够提高特定ZK证明的生产效率，还能够适应不同区块链平台/ZK项目方的需求。

例如Cysic开发了基于FPGA的MSM计算加速器，名为SolarMSM。这个解决方案显著提高了MSM计算的效率，能够在短时间内处理大规模的MSM任务。从数据来看，Cysic的SolarMSM可以轻松的在300ms的内完成2³⁰规模的MSM计算，这一性能在行业中处于顶尖水平。

通过这种硬件加速，Cysic能够有效地减少ZK证明生成所需的时间，从而使得基于ZKP的区块链应用和协议更加高效和实用。这对于推动ZKP技术的广泛应用，特别是在需要快速和高效证明生成的场景中具有重要意义。

目前Cysic已经实现了MSM加速方案的POC设计工作。基于FPGA的POC是目前所有公开的FPGA-MSM硬件加速结果中性能最高，是目前公开基准测试结果的1–2个数量级以上，ASIC的设计和流片工作也正在进行之中。未来，Cysic将在第二阶段研发12nm的ASIC芯片。目标将实现单颗ASIC芯片的算力可支持MSM和NTT，和其他密码学底层算子，同时实现单颗芯片功耗降低到两个数量级。

此外，Cysic也积极拥抱了基于GPU的加速方案，提供更灵活的ZK，乃至AI计算的加速服务。

只要ZKP计算的更快，加密世界就距离夺取ZKP“圣杯”更近了一步。

DePIN原语驱动市场规模增长

硬件加速的重要性毋庸置疑。而另一个投资者的主要疑惑是ZK硬件加速将会有多大的市场规模？

Paradigm曾做出预测，ZK加速的市场规模与POW挖矿市场规模相当。正如前文所述，随着坎昆升级的完成，ZKRollup的更大规模采用将为ZK计算带来大量的需求。

隐私保护是另一个主要的市场需求。如Semaphore、MACI、Penumbra和AztecNetwork等正在探索利用ZK技术来增强用户隐私和推动大规模采用。同时，身份验证领域也是ZK技术的主要用例之一，包括时下大火的WorldID，还有Sismo、Clique、Axiom等项目，都致力于将ZK技术应用于身份管理，以提供更安全、更隐私保护的解决方案。

ZKML（Zero-KnowledgeMachineLearning，零知识机器学习）则是另一个发展迅速的领域。在AI爆发的当下，验证AI正确地、透明地工作成为刚需。而ZKML可使得推理等环节可以上链，理论上将在不透露具体内容的情况下进行验证。

因此，无论是ZKRollup的广泛采纳、隐私等dApp的涌现、或ZKML的发展均推升了ZKP加速的需求。

然而，ZK加速门槛仍然较高，对于很多中小型项目方仍然极不友好。很多ZKP的需求方仍然需要通过中心化的方式采购加速硬件，自行部署加速服务。而且还需要根据自身的ZKP生成继续路线，选择合适的加速方案。

一个富有弹性的验证者网络（ZKprovernetwork）成为了行业共识的解决方案。而在此基础上形成的ZKCompute-as-a-Service（ZKCaaS，ZK计算即服务）新型产品形态将解决上述困境。

以Cysic为例。Cysic将加速硬件组建一个验证者网络，FPGA、ASIC或其他硬件，都可在网络中为用户提供ZK加速算力，个人设备也可以接入其中。对于ZK项目方来说，当需要算力支持来进行ZKP验证时，则可直接接入Cysic的ZK算力网络，而无需进行硬件采购。对于具体的加速方案细节也无需过多的关注。目前Cysic已经上线了数万张高阶显卡，为验证者网络储备了充足的ZK算力。

当前,Cysic已与Scroll、zkP2P、Inference、Kinetex等多家项目达成合作，覆盖ZKRollup、ZKML、应用层等多种类型项目，其采用的证明系统包括Halo2、RapidSnark、Plonky2x等多种体系，因此，Cysic的加速计算解决方案具有较高的灵活性和通用性。

Cysic通过加密原生的去中心化方式来配置算力的供给和需求。ZK算力的供给端从中心化、不可拓展的硬件，升级为支持用户均可接入的算力网络，也给个人投资者提供了更深入参与市场的机会。需求端，ZKCaaS可为ZK计算提供更强的弹性和稳定性，去中心化市场通过智能合约更高效地调度、匹配算力供需。

因此，ZKCaaS将硬件加速变成了“开箱即用”的服务，且创建了一个人人皆可进行ZK计算加速的场景，以DePIN的去中心化硬件设施的网络来改造ZK领域，为专有或闲置的算力提供收益，使得我们有望再次迎来ZK+DePIN的挖矿蓝海。

Reference:

《ABCDE：为什么我们要投资Cysic？》, SiyuanHan

《NewParadigminDesigningZK-ASICs,thezkVMway》， Cysic

《ZKHardwareAcceleration:ThePast,thePresentandtheFuture》 ，LukePearson & Cysic团队