未来几年内，每秒生成的证明数量将增加一倍以上，然后渐近地接近底层通用计算增益。

撰写：STANFORD BLOCKCHAIN CLUB、ROY LU

编译：深潮 TechFlow

注：此文来自于斯坦福区块链评论，深潮 TechFlow 为斯坦福区块链评论合作伙伴，独家获授权编译转载。

介绍

在本文中，将探讨零知识证明在 Web3 之外如何改变我们的生活。我将讨论提升性能的杠杆作用，提出“零知识中的摩尔定律”，并识别价值积累的模式。

零知识是当今 Web3 中最具变革性的技术之一，它在扩展性、身份验证、隐私等方面具有巨大潜力。但目前的性能水平限制了它在许多潜在应用场景中的发挥。然而，随着 ZK 技术的不断成熟，我认为 ZK 技术将呈指数级增长，广泛应用于 Web3 和传统行业。就像摩尔定律预测芯片晶体管密度每两年翻倍一样，我现在提出了一个类似的指数定律，用于零知识证明，具体来说：

未来几年内，每秒生成的证明数量将翻倍以上，然后渐近地接近底层通用计算的增益。

摩尔定律概述

摩尔定律是由英特尔的联合创始人 Gordon Moore 在 1965 年提出的预测，即“半导体电子集成电路的复杂度将每两年增加一倍”。在过去的 58 年里，摩尔定律推动了移动计算、机器学习以及我们数字生活的几乎每个方面，并因此改变了我们与技术的互动方式。

Gordon Moore 通过实证观察到，随着芯片上的晶体管数量翻倍，由于规模经济效应，制造成本基本保持不变。他进一步注意到，对计算能力的需求将推动投资增加晶体管密度。

随着计算能力在越来越小的芯片上呈指数级增强，晶体管数量的这种数量级的变化转变为我们使用和与计算机交互的质的变化。

我们的手机是比阿波罗 11 号更强大的计算机，方便地放在我们的口袋里，使我们能够从任何网站上流媒体内容，并与世界上任何地方的任何人进行通信。大型语言模型的训练为 ChatGPT 的发布铺平了道路，从数据检索到智能综合，改变了我们与信息互动的方式。

零知识证明和 Web3 的爆发

与晶体管数量翻倍和摩尔定律使我们与现代技术互动方式发生质的变化一样，零知识证明的指数增长将开启一波新的应用层体验。在本质上，零知识证明赋予了隐私、正确性和可扩展性，这些特性根植于零知识的私有计算、可证明的正确性和递归简洁性。这些特性代表了一种基本的转变，迈向一种新的计算范式。

私有计算

零知识允许计算在私有模块上进行，只需共享和在外部验证结果。以现实世界的例子来说，如果银行采用零知识计算，可以防止身份盗窃。例如，用户可以允许贷款批准程序在其身份信息和信用历史上运行，以获得贷款批准，而无需向银行透露其敏感数据——隐私得到保护。在 Web3 中，ZK 为完全私有的 L1 网络（如 Aleo 和 Mina）或私有支付网络（如 Zcash、zk.money、Elusiv 和 Nocturne）提供动力。ZKP 还允许 Renegade 等团队运行暗池，以列出交易订单而不会影响市场价格。价值在不透露用户的私人数据的情况下传输。

可证明的正确性

对于不透明计算，零知识为计算的输入、输出和处理提供了溯源。一个例子是去中心化机器学习，通过远程计算节点网络，可以实现对人工智能的民主化。ZKP 可以证明机器学习中的数据、权重和训练轮数，并证明整个训练过程按预期进行-正确性得到确立。在 Web3 中，像 Gensyn、Modulus Labs 这样的团队已经开始实施 zkML，而 Risc Zero 等通用 ZKVM 也在实施中。为了证明跨链状态的正确性，ZKP 在诸如 Polymer、Succinct Labs、Herodotus 和 Lagrange 等 ZK 桥接器中使用。ZK 还使应用程序（如 Proven）能够证明储备的正确性。

递归简洁性

ZK 还可以将一堆证明折叠成一个证明。另一个现实世界的例子是供应链中的真实性追踪。供应链的每个步骤的制造商可以使用 ZKP 证明其产品的真实性，而不泄露敏感的制造信息。然后，这些 ZKP 被递归地证明，生成一个最终的 ZKP，证明整个供应链的正确性-实现了可扩展性。在 Web3 中，数千个交易的 ZKP 可以合并成一个单一的证明，为 Starkware、Scroll 和 zkSync 等 L2 网络提供动力，大大提高了区块链的吞吐量。

定义零知识的摩尔定律

通过上述内容，我们已经看到了晶体管使应用层爆发的抽象相似之处，以及 ZKP 在 Web3 创新中解锁了类似的创新浪潮。现在是时候通过比较通用计算和零知识计算来得出一个“零知识的摩尔定律”的具体定义。

通用计算和零知识计算

在通用计算中，门户由金属-氧化物-硅基的晶体管组成。每个门户可以属于 AND、OR、XOR 等多个操作数之一。这些操作数共同使程序运行。

其他条件相同，零知识计算比通用计算更昂贵。例如，“使用 Groth16 进行 SHA2 哈希 10kb 需要 140 秒，但不使用零知识只需几毫秒。”这是因为 ZK 计算对每个操作数使用复杂的算术运算。

在零知识计算中，操作数可以用有限域表示。在 SNARKs 的情况下，每个操作数都在椭圆曲线上进行。在其他变种的零知识中，操作数可能由矩阵、格子或模数组成，这些也是进行算术运算的复杂数学结构。使用这些操作数进行简单的加法、减法和乘法非常昂贵。数据输入被转换为有限域，而不是数字。这些结构的复杂性是加密技术获得安全性的基础。虽然算术细节超出了本文的范围，但关键要点是，就像逻辑门在物理电路上执行一样，零知识逻辑在软件电路中执行。

因此，在通用计算中，性能提升受物理规律的控制，而在零知识计算中，性能提升受数学规律的控制。因此，我们认识到，尽管硬件加速也带来了显著的增益，但将摩尔定律应用于零知识时存在于软件领域，而不一定是硬件领域。基于这些基本原理，我们还可以得出零知识中特定摩尔定律的样子。

零知识中的突破性改进是不连续的

也许最重要的观察是，我们发现，虽然通用计算的改进是连续进行的，但零知识计算的改进是分步进行的。

具体而言，从 2005 年到 2020 年，CPU 的核心数量大致每五年翻倍，而时钟频率从 1990 年代到 2010 年代也大致每五年翻倍。另一方面，ZK 电路中的约束数量并没有连续地“改进”，而是从 SNARKs 的 30-40M 约束跳跃到 PLONKs 的 4-8M 行，然后跳跃到 STARKs 的 2^14-2^16 个转换步骤。同样，有限域数中的位数在 2018 年到 2022 年期间大约为 256 位，然后在 2022 年到 2023 年之间跳跃到 32 位，以利用 32 位寄存器的优势。

此外，HyperSpartan 的最新发展支持可定制的约束系统（CCS），可以同时捕捉 R1CS、Plonkish 和 AIR，而无需额外开销。而 SuperNova 的引入则建立在 Nova 之上，Nova 是一个具有折叠方案的高速递归证明系统，与不同的指令集和约束系统兼容。这两项进展进一步拓宽了 ZK 架构设计空间。

基于这些发现，零知识中的基本摩尔定律不是基于任何单一的连续改进向量，而是基于在给定时间内生成的证明数量的整体性性能增益，由不连续的改进驱动。我认为，在继承底层通用计算增益之前，零知识中的摩尔定律将会进行离散的革命性跃迁：

未来几年内，每秒生成的证明数量将增加一倍以上，然后渐近地接近底层通用计算增益。

降低零知识证明的成本

正如先前提到的，当前阶段的零知识证明对于广泛的潜在应用来说过于脆弱且昂贵。特别是，验证的成本远远超过了证明生成的成本。根据粗略估计，零知识证明的生成成本为小于 1 美元，这是基于以下事实：1）在亚马逊 AWS 上，一个拥有 16 个 CPU 和 32GB 内存的 EC2 实例的成本为 0.4 美元/小时，而去中心化计算节点的成本预计会更低；2）Polygon Hermez 的成本为每小时 4-6 美元，每小时生成约 20 个证明。

然而，验证的链上成本仍然很高，每次验证需要消耗 23 万至 500 万 gas，大致相当于每次验证 100-2000 美元。虽然 ZK Rollups 通过将成本分摊到数千个交易中从规模经济中受益，但其他类型的 ZK 应用必须找到降低验证成本的方法，以实现前面提到的应用层创新，从而为最终用户带来生活质量的改善。

鉴于零知识证明容量的突破可能会以不连续和离散的步骤发生，让我们来看看这些突破可能发生的潜在领域。以下是 zkprize 中列出的一些潜在优化方法：

• 算法优化，包括多标量乘法（MSM）和数论变换（NTT），这些算法通常用于加速椭圆曲线密码学，并且本身可以进行硬件加速。傅里叶变换是 NTT 的一个例子，在各种实现中已经进行了优化。

• 并行处理可以通过将数据结构预处理、电路评估或证明生成的部分委派给多个处理单元或多个线程，从而增加零知识的吞吐量。

• 编译器优化可以改善寄存器分配、循环优化、内存优化和指令调度。

在算法优化方面，一个例子是从 SNARKS 中的 R1CS 到 Halo2、Plonky2 和 HyperPlonk 中的 Plonkish 的算术化，这些都与 Starky 证明中使用的 AIR 不同。此外，折叠方案的最新发展令人兴奋，因为 HyperNova 可以支持具有可定制约束系统的递增可验证计算。在并行处理方面，Polygon 团队发布的 Plonky2 递归扩大了并行证明生成的可能性。在编译器优化方面，使用适用于零知识的 LLVM 非常有趣，因为 IR（中间表示）可以编译成与指令集无关的操作码。例如，Nil Foundation 的 ZK-LLVM 和 Risc0 的 zkVM 也使用 LLVM 生成追踪执行每个步骤的零知识证明。通用的 ZKVM 或 LLVM 将零知识扩展到区块链以外的用例，并增加了更广泛的开发者入门的代码可移植性。

对零知识构建者的影响

在通用计算中，价值积累通常有利于现有的参与者；例如，芯片制造商受益于围绕资本投资形成的护城河，这些投资支持逐步改进制造技术以生产规模越来越小的芯片。但由于零知识中的创新是以离散的革命性跃迁发生的，因此新团队仍然有充足的机会通过研究驱动的技术能力突破，例如发明新的证明系统，超越现有参与者。

基于这个理论，对于 Web3 零知识构建者来说，有几个要点：

1. 零知识构建者应考虑模块化设计。涉及到 zk 电路的协议构建者应考虑模块化设计，允许他们替换最先进的 ZK 技术的组件。

2. 参与者可以从研究驱动的颠覆中受益。对于具备研究能力的团队来说，有可能提出或率先实施具有革命性的新型证明系统，并超越现有团队。

3. 垂直整合者可以从最新技术的组合中受益。由于零知识堆栈中的每一层，从硬件到编译器再到电路，都可以进行自身的改进，垂直整合者可以模块化地采用最新技术，并以最低成本为应用团队提供最先进的 ZK 技术。

基于这些观点，我预计整个行业将出现三个重大发展：

1. 新团队通过技术突破超越当前的 ZK 协议。

2. 现有协议寻求基于生态系统而非技术的护城河。

3. 垂直整合的 ZK 提供商出现，以较低的成本提供最新技术。创新和颠覆将在这个快速发展的领域中出现。

结论

技术中的悖论在于，当技术做得好时，它就会隐形。我们在喝水时不会考虑杯子，就像我们在发送电子邮件时不会注意到计算机芯片一样。目标实现得越容易，我们就越容易忽视过程。

零知识证明已经有望提供具有改进用户体验的可扩展应用。当技术做得好时，我们不会注意到证明的存在，但会发现我们的交易更加私密，信息更加准确，而且 Rollups 更快更便宜。因此，零知识证明可能最终融入我们生活的基础，就像晶体管、微芯片和现在的人工智能已经融入我们的日常生活一样。

我们不需要考虑零知识如何在选举中防止欺诈，如何通过从金融系统中去中介化来节省交易成本，或者如何通过使用 ZK 的去中心化计算使 AI 训练民主化。也许有一天，就像我们将摩尔的观察“电路板上的晶体管数量将每 18-24 个月翻一番”奉为所谓的“定律”一样，我们也会认为“每秒的零知识证明数量将每年呈指数增长”是理所当然的，同时享受这些创新带来的成果。目标实现得更简单，不会有人再一直夸赞零知识，我们将继续过着日常生活。

深潮 TechFlow 是由社区驱动的深度内容平台，致力于提供有价值的信息，有态度的思考。

社区：

订阅频道：https://t.me/TechFlowDaily

电报：https://t.me/TechFlowPost

推特：@TechFlowPost

进微信群添加助手微信：blocktheworld