ZkRollup是区块链最流行和最分散的两层扩展方案，它使用零知识来证明zk-SNARKs密码学已经实现了高安全性。StarkEx将证明STARKs应用于交易所的安全升级，但用户的资金仍将面临被冻结、扣押或被盗的风险。

DeversiFi最近推出了一个基于StarkEx交易引擎的新交易所。这一令人难以置信的技术成就提高了加密交换的安全级别，同时也带来了历史上的一个转折点：这是STARKs首次应用于生产系统，它具有简单的零知识证明，并且不需要可信的设置。

背景资料

StarkEx是一个二级扩展解决方案“Validium”，其中所有事务的有效性都由零知识证明，而数据可用性仍然在链之外。这可以避免Validium中的资金被盗，因为帐户中的每次价值转移都必须得到用户的授权。

Validium的机制与zklolump非常相似，唯一的区别是zklolump中的数据可用性在链中，而Validium在链外。因此，Validium实现了更高的吞吐量，但代价是：

StarkEx Validium的运营商可以冻结用户的资金。

“如果你想摧毁什么东西，你首先要控制它。”弗兰克赫伯特，《沙丘》

如果没有zkRollup的数据可用性保证，Validium运营商，或者更准确地说，数据可用性经理可以拒绝任何用户转移资金。

原理如下：操作员对Merklized状态进行微小调整，因此无需通知用户。由于缺乏此类信息，用户无法为其帐户创建Merkle所有权证书。

在Validium有没有办法防止数据隐藏攻击？自2016年等离子体的概念被提出以来，这个问题已经被广泛讨论，zkluproll就是解决这个问题的研究成果。不汇总的尝试确保了数据在没有信任的情况下可用，导致Validium失去了大部分竞争优势。

虽然这个问题还没有完全解决，但通过引入权威的数据可用性委员会(DAC)，StarkEx缓解了这个问题。每次状态更新必须由发援会成员的法定人数签署，以确认数据已收到。在StarkEx中，发援会由8名参与者组成(太多的成员会危及系统的活动)，这些参与者也是声誉很高的组织。他们不太可能滥用权力。

但矛盾的是，高知名度、好名声和位于一个强大的司法管辖区恰恰是使他们易受攻击的原因。运营商可能必须执行KYC/反洗钱法规，并有义务冻结交易历史超过10，000美元的账户中的所有资金。

随着我们学习的深入，这个问题变得更加有趣。StarkEx实现了验证者契约升级机制，允许操作者毫不延迟地向验证者契约链添加新项目。这不能使任何旧的逻辑失效。例如，您不能删除用户签名检查。相反，可以添加额外的约束(就实度而言，约束可以被视为require()`语句)。

这是一个很好的安全特性：如果在STARKEx的Stark short逻辑中发现任何缺失的限制，它可以被快速修复，而不会引入任何新的漏洞。然而，这个功能在理论上也可以作为一个隐藏的后门。简而言之，StarkEx运营商总是可以将扩展部署到合同逻辑中，从而引入黑名单而无需提前警告用户。根据他们的文件，目前还不完全清楚，但执行新规则似乎不需要发援会的同意。

如果StarkEx被认为是一个完全分散的交换协议，那就没什么意义了。想象一下，维塔利克布特林有一个开关，可以立即冻结任何以太网帐户。另一方面，如果StarkEx被认为是加密交换的安全增强(它的创始人当然希望这样做)，那么它是完全有意义的。

StarkEx Validium的运营商可以没收用户资金

让我们拓宽思路。如果由于某种原因(可能是由于运营商无法控制的情况)，大量用户的资产现在被冻结。那么问题是，用户在星巴克的资金会被没收吗？

事实上，这是可能的。

像许多其他加密项目一样，StarkEx实现了最先进的升级机制。用户将在新版本发布前28天收到通知，任何不满意的人都可以选择退出。

然而，那些资金被冻结的人没有办法退出。

宽限期结束后，可以部署新的合同逻辑，将冻结的资金转移到指定的保管钱包。不幸的是，没有受影响的用户可以采取行动。

此外，有一些合理的担心，升级通知期本身可能不足以让每个不同意更改的用户退出(所谓的“大规模退出”场景)。但这个问题是总合同的可升级性，而不是Validium独有的。

2020年6月7日更新：贾斯汀德雷克描述了针对Validium的加密经济攻击。

在随后的讨论中，Justin Drake指出，Validium的数据可用性方法可能会意外地衍生出一条攻击路径：如果数据可用性委员会法定人数的签名密钥被销毁(而这些密钥总是在线的，因此很难保护它们)，攻击者可以将Validium转换为只有他们知道的状态，从而冻结所有资产，然后进行勒索。

理论上，合同升级机制可以应对这种攻击。Validium的运营商部署新版本，在28天的升级通知期后，状态将恢复到最新的已知版本。资金将被锁定一个月(这当然会产生相当大的成本)，但如果发展援助委员会拒绝谈判，攻击者将得不到钱。

然而，已经证明，攻击者可以迫使操作者要么失去一切，要么让攻击者以一种方式进行双花费攻击。下面的例子可以说明：

假设你侵入了自动取款机，取款后，你可以删除整个银行数据库。但是，你只能从自己的账户里取钱，但是当数据库消失的时候，所有的操作信息都会消失。

银行员工需要一个月的时间来恢复复杂的数据库。但是，因为他们不知道是谁提取的，当你返回到前一个检查站时，你的账户将恢复到——，这样你就把钱拿了回来！

当然，这种双重支付不会超过攻击者账户中的金额。然而，很容易在没有信任的情况下建立一个合同，并从黑暗网中的恶棍那里借用所需的资本。我把这个练习留给你。

该攻击表明Validium的安全模型与PoA网络的安全模型相对相似。实际上，一个有20个节点和51%门限签名的PoA网络可能比有8个节点和100%门限签名的Validium网络更安全。

zkRollup的数据可用性可以保护用户的资金免遭没收、审查和盗窃，但代价是已经很低的吞吐量。

只要一个以太网节点处于在线状态，zkRollup用户就可以访问汇总状态。

工作原理：对于每个zklolup块，重构状态变化所需的信息必须作为以太网事务的调用数据提交，否则zklolup智能契约将拒绝进行状态转换。zkRollup上状态的改变将导致每次交易的少量天然气成本，这将随着交易的数量线性增加。

有了Merkle树数据，被审计的用户可以通过主网络上的zkRollup合同直接取回他们的资金。他们只需要提供一个Merkle帐户所有权证书。因此，链上数据的可用性可以确保没有人(包括zkRollup操作员)可以冻结或获得用户的资金。

然而，数据存储的可用性限制了链中的吞吐量。目前，ZK累计的严格上限为每秒—— 2000次交易，而斯达凯克斯Validium有9000次交易。这种差异可能决定这两种技术的应用领域和使用场景。例如，zkRollup非常适合扩展分散加密支付(VISA在全球只有2000个TPS)和严格要求不可信的不可变智能合同。另一方面，Validium可能更适合传统的高频交易或信任要求较低的游戏。

结论

我们已经证明zkRollup和Validium(StarkEx)在工作原理上是相似的，主要区别在于数据是链上的还是链外的，这是理解它们和它们的应用范围的关键。这种差异意味着ZkRowling是一种无信任的分散扩展协议，而Validium则显示了托管PoA系统的更多属性，如吞吐量和风险特性，安全性得到了极大的提高。

每一项旨在减少信任并为用户提供更多资产控制权的技术开发都是朝着增强个人能力迈出的一步。为了前进，我们总是需要做出权衡。

然而，加密界越来越一致地认为，技术已经过了“不作恶”的阶段，现在是一个“不作恶”的时代。我们可以通过自我托管、抵制审查、隐私和消除单点故障来实现这一目标。这些想法构成了我们构建系统时的基本价值观。

完全信任扩展的时代即将到来，物质实验室这一重大事件的宣布倒计时已经开始，敬请期待。

我要感谢Lasse Clausen、Christopher Heymann、James Prestwich、John Adler、Haseeb Qureshi、亚历克斯埃文斯和Howard Wu的评论和宝贵意见。

物质实验室正在努力加快公共区块链的大规模采用。目前，我们正在构建zkSync，这是一个适用于以太网的可扩展引擎，具有高安全性和高速度的特点。

你可以通过[电子邮件保护]、推特和电报联系物质实验室。