原标题：《我们研究了 ZK 的技术史，发现下一个千亿应用蕴藏其上》

作者：R3PO，一家Web3研究机构

加密世界的焦点经历了比特币、以太坊、DeFi、NFT、元宇宙和 Web3 的多次变迁，唯独缺少对加密技术本身的关注，除了比特币的椭圆曲线加密算法(ECC)稍微有点大众意识，其他加密算法基本都停留在研究者和开发者的自我满足上。

R3PO认为这是不够分散的，会严重阻碍Web3的进一步扩展。密码学是区块链的基础部分，不应该被少数人掌握，而应该走向更广泛的领域。

R3PO希望用全新的写作范式来解释术语的含义，兼顾专业性和可读性，致力于为机构投资者和项目方寻找潜在的投资机会、创业方向和突破点，寻找未被发现的利益。

最近大热的零知识证明技术，仍然是一个不断发展创新的细分领域，但其技术本身有着足够广泛的应用场景，所以对其进行全面梳理非常重要。

零知识证明技术（Zero-Knowledge Proof）并非新概念，细细梳理可知，迄今已经经过 40 年的发展，诞生出多种模型和应用。

进入Web3时代，早在2017年，V神就已经注意到了以太坊ZK技术的潜力。最近，Starkware获得了1亿美元的融资，使其总融资额达到2.25亿美元，这意味着该机构以公链级别的估值和潜力来看待ZK科技。这将是一个长期的战场，会暴露出更多的投资机会。

经过20年的推演，R3PO认为ZK的发展至少有一个甲子的生命长度，因此有必要追溯整个ZK发展过程的起源，以便更好地理清其发展逻辑，找到下一步的潜在机会。

本系列的第一篇文章将从零知识证明开始，超越ZK只能应用于L2场的固有观念，带给大家一个全新的系统认知。

零起步：ZK 的组装过程

1982：财不外露，便分高低

对财富的追求自古就有。项羽曾说：“富贵不还乡，犹若衣宿。”但是，太多的财富会引起人们的注意。有没有办法比较财富的多少而不暴露？

1982年，后来的图灵奖获得者姚期智构思了这个问题，这就是著名的百万富翁问题。数学过程省略，其一般运算方式如下：

-爱丽丝和鲍勃选择代表他们财富的数字I和J，取值范围从1到10；

-Alice单向加密I，将加密结果K发送给Bob，Bob得到一个与I相关的新值；

-Bob对K进行运算后会得到一个新的值M，并传回给Alice。至此，爱丽丝可以判断M和我的关系了。

——这个过程可以继续推导，双方最终可以在不完成信息暴露的情况下完成对比。

当然，以上过程并不全面，但足以说明一个问题。我们真的可以在不暴露信息的情况下在两方之间进行计算。如果两方扩展到多方，区间扩展到更大的范围，那么这就是典型的多方安全计算MPC(安全多方计算)问题。

百万富翁问题是ZK讨论的一个出发点：

-满足零知识定义，不泄露财富信息；

-在没有第三方帮助评估的情况下，检查两者或参与者之间的直接交互。

1985：零知识证明面世

1985年，Goldwasser、Micali和Rackoff首次提出了零知识证明模型，确切地说是“交互式零知识证明”模型。简单来说，它允许ZK技术在多次交互的前提下验证真实性和大小。

这里的零知识并不完全准确。以爱丽丝和鲍勃的互动为例。爱丽丝和鲍勃可以是彼此的验证者和证明者，但他们之间传递的信息不可能与财富本身的多少有关。这里的零知识是指相关性为零，而不是不传递信息。

交互是指可以多次交互，这个过程可以重复，直到得到正确的结果。

至此，众所周知的ZK技术已经迈出了成型的第一步，后续所有的发展都是基于删减、添加和修改。

1991：非交互式零知识证明

到了1991年，布鲁姆、森蒂斯峰、希尔维奥米卡利和佩尔夏诺提出了著名的非交互式零知识证明。这次升级集中于非交互证明过程，即在双方没有交互的情况下验证一个定理和假设的真实性。这似乎违反直觉，但有一个很好的例子可以说明：

-爱丽丝和鲍勃在他们的财富变得自由后成为了数学家。爱丽丝离开了网站2去网站3旅行，在此期间，爱丽丝继续她的ZK研究。

-我们假设爱丽丝找到一个新定理的证明时，可以给鲍勃写一张明信片，证明她的研究有了新的进展。

-这是一个非交互式的过程。准确的说是单向互动：只从爱丽丝到鲍勃。即使鲍勃想回答，他也回答不了。因为爱丽丝没有一个稳定的(或可预测的)地址，她会在任何邮件到达她之前搬走。

——我们一致认为，只要鲍勃收到邮件，我们就不需要检查邮件内容，就可以确定“爱丽丝研究取得新进展”这个命题是真的。

非交互式零知识证明将交互次数减少到最多一次，可以实现离线验证和公开验证。前者为Rollups的有效性奠定基础，后者与区块链的广播机制相结合，可以避免多次计算造成的资源浪费。

至此，我们目前看到的ZK已经成为一个成熟的理论模型，但此时的ZK更多的是数学和密码学领域的研究对象，与区块链关系不大。然而，比特币出现后，加密技术的区块链成为了研究方向，而ZK无疑是其中的佼佼者。

值得注意的是，中本聪本人并不排斥在比特币网络中使用ZK技术，更重要的是当时ZK技术还不成熟，所以他最终选择了更安全的ECC算法，ZK本身就可以直接应用到Layer1区块链中。Zcash，Mina，以太坊的伊斯坦布尔升级都涉及到零知识证明的相关领域。

一相逢：SNARK 介入区块链

2010-2014 Zcash: SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge) 实用化场景

比特币网络出现后，安全和隐私成为人们对区块链最初的认知。市场上出现了一系列基于隐私的公链和应用，比如Zerocash/Zcash使用的SNARKs和Monero使用的bullet proof(BP)。

2010年，Groth基于ECC算法实现了第一个具有O(1)常数级的ZK。即ZK-斯纳克或ZK-斯纳克。

-SNARGs:简洁的非交互式论证

-SNARKs:简洁的非交互式知识论证

从应用的角度来看，这种改进在于“简洁”的简洁功能。具体来说，SNARK致力于压缩信息本身的大小。在ZCash中，程序电路是固定的，所以多项式验证也是固定的，这使得设置只需要执行一次，然后只需要改变输入就可以重用事务。

2013年，匹诺曹协议将效率提升到分钟级证明和毫秒级验证时间，开销控制在300字节以内，这也是ZK-斯纳克斯技术第一次真正在区块链领域落地。

这证明了ZK技术可以在隐私领域发挥作用。R3PO判断，后续的隐私路线将有可能独立于L2而存在。阿兹特克证明了隐私DeFi路线的可行性。但龙卷风被制裁后，网络金融隐私仍被强烈需求，该方向投资机会未被广泛挖掘，值得后续期待。

此外，隐私币项目Zerocash进一步改进了相关算法，使用了SCIPR实验室优化的zk-SNARKs算法。理论条件下可以隐藏支付来源、收款人、金额，交易可以控制在1KB以内，验证时间在6ms以内。

Mina：递归 ZK 压缩数据

米娜不同于以太坊L2。它是一个L1级别的高性能公有链，运行节点只有22KB。之所以能这么小，是因为它使用了递归来证明ZK确认的有效性，即每条消息都携带了之前的确认结果。

-第一步：ZK-斯纳克斯证明节点的有效性，只需要保存其证明结果；

-Step2:通过递归调用保证节点有效性的正确传输和检索，不保留所有历史数据，达到压缩数据的终极效果；

结果的有效性，而不是保存所有节点的数据，才是米娜证明的有效手段。在以太坊L2，ZK-罗博可以通过打包多个交易数据，一次结算完成有效性证明，并进一步推导出L3或Dapp应用可以叠加在L2上，这是ZK可以发展的细分赛道。比如目前在Starkex上运行的dYdX，以及在Starkware上搭建的L2 immutulex，都证明了ZK的潜力。目前这条赛道的价值还没有被充分挖掘，还是有长期投资价值的。

至此，ZK-Rollup涉及的所有技术需求基本完成。我们已经具备了足够的ZK基本知识，可以总结出ZK的以下特点：

-非交互：不需要多次验证，只需要一次验证就可以向全网广播；

-零知识：不需要公开信息本身的特性，可以全网公开传播；

-知识：知识不是公开的、容易获得的信息，必须具有独特的价值，如经济价值、隐私价值等。

-证明：证明通过数学手段确认，安全性经过多年的研究和实践检验；

如果将这些技术特征结合起来，我们可以发现，ZK天然适合L2扩张，而且不仅限于L2。ZK技术的其他应用将在以下段落中公布。欢迎继续关注。

双龙会：STARK 终将取 SNARK 而代之

ZK-STARK：开发难度以 10 年计的种子选手

两者的区别主要是s在STARK上意味着可扩展性，面对的是更大数据的复杂使用场景，但整体上还是一条发展中的技术路线。

然而，这篇文章主要涉及具体L2之间的差异，但有一点是显而易见的。除了StarkWare，其他L2项目，包括zkSync，Aztec，Loopring，Scroll等。均采用SNARKs技术路线。

原因是STARK的开发难度太大。目前只有StarkWare有能力自研，但好处也很明显。与SNARK相比，它可以承载更多的计算量，在运行大数据时安全性会更高，比如游戏、社交、NFT等方向。

其次，斯塔克路线具有反量子攻击的特性，具有颠覆未来十年行业格局的可能性。比特币采用的ECC算法并不能完全抵抗量子破解，如果加入zk-STARKs技术，其安全性将显著提高。

我们可以总结出以太坊L2的格局，短期最优上卷，5年后zk-SNARKs路线，10年后zk-STARK路线必胜。

ZK-Rollup：数据的上探，信息的下钻

引入zk-STARKs后，除了引入Rollup之外，L2扩展的所有技术特性都是完整的。实际上，Rollup利用ZK的验证机制来摆脱其对数据量的需求：在L1负责共识和结算的前提下，L2负责应用的具体日常操作。用户不需要直接与L1互动，他们的体验将与当前的应用高度接近。

再者，信息打包后，Rollup会将验证过的信息加密成知识，然后传输到L1，打破安全性、去中心化、可扩展性这三位一体的不可能。

总结

从百万富翁问题开始，我们已经从MPC问题过渡到零知识证明领域。出于经济原因，交互式零知识证明并不完全适合连锁活动，但非交互式零知识证明逐渐成为主流。

随着Zcash的发展，SNARKs技术越来越多地应用于其中，使ZK技术从单纯的密码学研究对象转变为区块链领域使用的工程手段，在隐私、安全和效率方面发挥了自己的作用。

以太坊的扩展场景让ZK实现了L2，Rollup技术路线击败了其他竞争对手，zk-STARKs也逐渐发展起来，有望激活采矿、GameFi、NFT等更多常见使用场景。

在以太坊之外，也逐渐出现了越来越多的新模式，如可定制的模块化Rollup路线，以及刚刚完成1500万美元融资的Eclipse，其路线图将支持Move language和Solona network，以及已经完成3000万美元融资的Scroll，该公司希望建立一个EVM对等的ZK-Rollup。

新故事背后的驱动力是对ZK技术的认可。广义地说，ZK是一个“大而全，长而深远”的领域。大规模融资的消息不断，也说明市场对它的接受度在逐渐上升。但总体来说，这还是一个新的领域。即使只讨论其技术路线，也有“内卷化”流派，其中的投资机会是长期存在的，无论是嵌入底层基础设施。