科普 | ZK rollup 與 Validium 對比

最近，DeversiFi 上線了由 StarkEx 交易引擎支持的新版本交易所。這是一項令人震驚的技術成果，可以大幅提高密碼學貨幣交易所的安全性。它還標誌著一個歷史性轉折點：這是 STARKs（不帶受信任初始化設置的簡潔化零知識證明） 首次在生產環境中得到應用。

我們先來了解一下背景信息。StarkEx 採用的是二層擴容方案 Validium ，所有交易的有效性都強制使用零知識證明技術來證明，數據可用性則被放到了鏈下。如此可以防止 Validium 的資金被盜，因為每次從某個用戶的賬戶進行價值轉移都必須得到該用戶的授權。

Validium 的機制與 zkRollup 非常相似，唯一的區別在於 zkRollup 具備鏈上數據可用性，而 Validium 僅具備鏈下數據可用性。因此，Validium 的吞吐量會高得多—— 但這是有代價的。

StarkEx Validium 的運營者可以凍結用戶資金

「可以摧毀某個事物的人必定控制著它。」——《沙丘》（弗蘭克·赫伯特著）

由於不具備 zkRollup 那樣的鏈上數據可用性保障，Validium 的運營者（或者更具體一點，數據可用性管理者）可以拒絕讓任何用戶轉移資金。

具體做法是：運營者在用戶不知情的情況下對其默克爾狀態進行小小的改動。由於缺少這一信息，用戶便無法創建默克爾證明來證明他們對賬戶的所有權。

如上圖所示，如果運營者篡改了賬戶 d3 ，賬戶 d1 的所有者在生成賬戶所有權證明時就會缺少節點 m 的信息。

有沒有什麼方法可以防止 Validium 中的數據扣留攻擊？這個問題在 2016 年 Plasma 的概念誕生時就已經經過了廣泛討論，並且最終得出了 zkRollup 這一研究成果。如果我們試圖通過非 Rollup 方案以免信任的方式來保障數據可用性，這會導致 Validium 喪失大部分競爭優勢。

雖然這一問題無法得到徹底解決，但是 StarkEx 通過引入許可型數據可用性委員會緩解了這一問題。每一次狀態更新必須由達到特定人數的 DAC 成員簽名，以此表示 DAC 確實收到了數據。在 StarkEx 中，DAC 有 8 位成員（成員人數太多會影響整個系統的活性）。他們都是受到法律監管的知名組織。按理來說，他們不太可能會濫用自己的權力。

矛盾的是，知名度高、信譽良好、處在強大法律權威監管之下正是這些組織的致命弱點。一種可能發生的失控情況是：運營者被要求執行 KYC/AML（了解客戶身份信息/反洗錢）措施，並且有義務凍結有 1 萬美元交易史的賬戶內的所有資金（可能會永遠凍結）。

我們挖得越深，就會越發覺得有趣。StarkEx 設有驗證者合約升級機制。該機制允許運營者立即（沒有延遲）將新一個新的驗證者添加到驗證者合約上。這一機制不能讓任何舊邏輯失效——例如，你不能刪除用戶簽名檢查，但是它能添加其他限制條件（就 Solidity 而言，你可以將這些限制條件理解成 require() 語句）。

這是一個很棒的安全性功能：如果在 StarkEx 的 STARK 電路邏輯中發現有任何限制條件缺失，StarkEx 可以在不引入任何新漏洞的情況下迅速修復。但是，這個功能可以被濫用，成為隱藏的審查後門。簡而言之，StarkEx 運營者隨時都可以在合約邏輯上部署擴展程序，在不預先警告用戶的情況下引入黑名單。這一點在 StarkEx 的文檔上沒有明確說明，但是執行新規則似乎不需要經過 DAC 的同意。

如果你將 StarkEx 看作是一個完全去中心化的交易協議，那其實是不太對的。你就想像成 Vitalik Buterin 擁有一個可以立即凍結任意以太坊賬戶的開關就好了。另一方面，如果你將 StarkEx 視為密碼學貨幣交易所的安全增強功能（創建者當然會這麼做），那就很對，沒啥問題。

StarkEx Validium 的運營者可以搶走用戶資金

我們來拓展一下思維實驗。假設出於某種原因（很有可能是運營者無法控制的情況），一些用戶的資產現在被凍結了。用戶在 StarkEx 中的資金能夠被沒收嗎？

事實上，這種情況是有可能發生的。

就像其他很多密碼學項目一樣，StarkEx 也實行最先進的升級機制。在新版本部署之前，用戶會提前 28 天收到通知，不喜歡這個版本的用戶可以退出。

那些資產已經被凍結的用戶除外。

寬限期結束後就可以部署新的合約邏輯，被凍結的資金會交由指定參與方託管。遺憾的是，被凍結資金的用戶根本沒法反抗。

還有合理的擔憂是，升級通知期本身可能不夠久，不足以讓每個不同意升級版本的用戶及時退出（也就是所謂的 「擠兌退出」 情況）。不過，這個問題是常見的合約可升級性問題，不是 Validium 特有的。

2020 年 7 月 6 日版本更新：Justin Drake 談 Validium 上的密碼學經濟攻擊

在後續討論中，Justin Drake 指出 Validium 的數據可用性方法可能會導致意料之外的攻擊界面：如果數據可用性委員會（DAC）中有一定數量的成員的簽名私鑰泄漏（這些私鑰需要在線、保證能響應，因此保護起來非常困難），攻擊者可以將 Validium 轉化成只有他們自己知道的狀態，從而凍結所有資產，然後對用戶進行勒索。

從理論上來說，合約升級機制應該可以減輕這種攻擊。Validium 的運營者可以啟動新版本的部署，等到 28 天的升級通知期過後，狀態就會還原到上一個已知狀態。資金會被鎖定一個月（這當然會產生很高的成本），但是如果 DAC 拒絕協商，攻擊者一分錢都拿不到。

然而，事實證明，攻擊者有辦法強迫運營者在損失所有資金還是讓攻擊者雙花之間做出決定。我們可以通過以下這個例子來闡述：

想像一下，你可以黑入 ATM 系統，並在取款完成後刪除整個銀行資料庫。你可以只從自己的賬戶中取款，但是整個資料庫被刪除後操作細節也會丟失。

銀行員工可以在一個月之內通過複雜的流程來恢復資料庫。但是，由於他們不知道取款者是誰，在還原到上一個檢查點之時你的賬戶餘額也會被恢復，即，你的取款額也會被恢復！

當然了，雙花的金額不能超過攻擊者的賬戶餘額。但是，也可以構建一個免信任型合約，向暗網上某個邪惡的巨鯨借到必要的資金，做到這點非常容易。這就留給我們的讀者當思維練習了。

從這個攻擊中，我們可以看出 Validium 的安全性模型與權威證明網路（PoA）的比較相似。事實上，PoA 網路有 20 個節點，需要超過 51% 的簽名者簽名，而 Validium 有 8 個節點，需要所有簽名者簽名。相比之下，PoA 網路比 Validium 更安全。

zkRollup 的數據可用性可以保護用戶資金不被沒收、審查和黑客攻擊 —— 但是會降低吞吐量

只要有至少一個以太坊全節點在線，zkRollup 的用戶就可以了解 rollup 的狀態。

zkRollup 的具體運作方式是：對於每個 zkRollup 區塊來說，改變狀態所需的信息必須作為以太坊交易的調用數據提交 —— 否則，zkRollup 智能合約將拒絕進行狀態轉換。zkRollup 上的狀態轉換需要消耗少量 gas ，gas 成本會隨交易數量呈線性增長。

藉助手上的默克爾樹數據，被審查的用戶可以直接將自己的資金從主網上的 zkRollup 合約中取出。他們只需要提供默克爾證明來證明他們對賬戶的所有權即可。因此，鏈上數據可用性可確保沒人（包括 zkRollup 運營者在內）可以凍結或沒收用戶的資金。

鏈上數據可用性可能會限制吞吐量 —— zkRollup 目前在以太坊上每秒可以處理的交易量上限是 2000 ，而 StarkEx Validium 聲稱其每秒交易處理量可達 9000 + 。這一差異在決定兩種技術的應用場景上起到了重要作用。例如，zkRollup 尤其適用於增加去中心化密碼學支付的可擴展性（VISA 的全球平均每秒交易處理量為 2000 ）以及對免信任性有嚴格要求的不可篡改型智能合約；另一方面，Validium 可能更適用於傳統的高頻交易或對免信任性需求較低的遊戲。

結論

我們已經闡述了 zkRollup 和 Validium（StarkEx）在運作上的相似之處，以及二者的主要區別（鏈上和鏈下數據可用性）對於我們如何理解它們以及在哪些應用場景下使用它們的重要性。通過比較二者的不同，我們可以看出 zkRollup 是完全免信任的去中心化擴容協議，而 Validium 在吞吐量和風險預測方面更像是託管式 PoA 系統，不過它在安全性上有了很大的提高。

每一項降低信任需求並增強用戶對資產控制權的技術發展都是在推進個體賦能。為了繼續前進，我們總是需要做出權衡取捨。

然而，在密碼學社區中，越來越多的人認為，區塊鏈技術已經過了 「不要作惡」 的階段，現在正是往 「無法作惡」 階段邁進之時。我們可以通過自主託管、抗審查性、隱私性和消除單點故障來實現這一目標。這些想法構成了我們正在努力構建的系統的基礎價值觀。

完全免信任型可擴展性的時代已經到來。讓我們等待 Matter Labs 的官宣吧！