以太坊协议的可能未来 ❷ ：Surge

作者：维塔利克·布特林 2024 年 10 月 17 日原文链接

一开始，以太坊在其路线图中制定了两种扩容策略。一种是 (比如见 2015 年的这份早期论文) 是"分片"(sharding):与其让每个节点验证和存储链上的所有交易，不如让每个节点只需验证和存储交易的一小部分。这也是任何其他点对点网络 (如 BT 种子) 的工作方式，所以我们当然也可以让区块链以同样的方式运作。

另一种是二层协议（Layer 2 protocol, L2）:建立在以太坊之上的网络，一方面可以充分利用以太坊的安全性，另一方面将绝大部分数据和计算保留在主链之外。"二层协议"在 2015 年指的是状态通道、在 2017 年指的是Plasma、而在 2019 年则是指Rollup。Rollup 比状态通道或 Plasma 更强大，但需要大量的链上数据带宽。

幸运的是，到 2019 年，分片研究已经解决了大规模验证"数据可用性"的问题。因此，这两条路径最终汇合，形成了以 Rollup 为中心的路线图，这一直是以太坊至今的扩容策略。

特别鸣谢 Justin Drake、Francesco、Hsiao-wei Wang、@antonttc 和 Georgios Konstantopoulos

2023 年路线图版本的 The Surge

以 Rollup 为中心的路线图提出了一种简单的分工：以太坊 L1 专注于成为一个稳固和去中心化的基础层，而将帮助生态系统扩展的重任交给 L2。这种模式无处不在：司法体系 (L1) 存在的目的并非要追求极致的高速和高效，而是为了保护合同和产权；由创新者们 (L2) 在这个坚实的基础层之上建设创新，将人类带往火星，无论是比喻或字面意义上的。

今年，以 Rollup 为中心的路线图取得了重要进展：以太坊 L1 的数据带宽通过 EIP-4844（blobs）大幅提高，多个 EVM Rollup 现已进入第 1 阶段（Stage 1）。一种高度异构且多元化的分片实现形式已成为现实，其中每个 L2 都像一个"分片"，拥有自己的内部规则和逻辑。但正如我们所见，走这条路径有着自身独特的挑战。因此，我们现在的任务是完成以 Rollup 为中心的路线图，解决这些问题，同时保持使以太坊 L1 与众不同的去中心化和稳健性。

说明

为 Vitalik 文章的全文翻译，为便于阅读增加少量标签式图示展示重要术语。

The Surge：关键目标

L1+L2 上的 TPS 超过 100,000+
保持 L1 的去中心化和鲁棒性
至少部分 L2 完全继承以太坊的核心属性 (不可篡改、开放、抗审查)
最大化 L2 之间的互操作性。以太坊应该感觉就像一个生态系统，而非 34 条不同的区块链。

本章内容

补充说明：可扩展性三难困境
数据可用性采样的进一步进展
数据压缩
通用 Plasma
成熟的 L2 证明系统
跨 L2 互操作性和用户体验改进
在 L1 上扩展执行

可扩展性三难困境

可扩展性三难困境（scalability trilemma）是2017 年提出的一个概念，认为区块链存在三个相互矛盾的特性：去中心化(具体是运行节点的成本较低)、可扩展性(具体是处理的交易数量较高) 和安全性(具体是攻击者需要破坏整个网络中大部分节点才能令单个交易失效)。

这个三难困境并非定理，提出它的文章也未附带数学证明。它确实提供了一个启发式数学论证：如果一个有利于去中心化的节点 (如消费级笔记本电脑) 每秒可以验证 N 笔交易，而你有一条链每秒处理 k * N 笔交易，那么要么 (i) 每笔交易只被 1/k 的节点看到，这意味着攻击者只需要破坏少数几个节点便可推送错误交易；要么 (ii) 你的节点会变得非常强大，链条也就无法真正去中心化了。该文章的目的不是要证明打破三难困境是不可能的；相反，它是要表明打破三难困境并跳出框框思考是很有挑战的。

多年来，一些声称具有高性能的链一直宣称，在不采取任何根本性架构层面的聪明做法的情况下，它们解决了三难困境，它们通常只是使用软件工程技巧来优化节点。这是有误导性的，在此类链上运行节点最终会远比在以太坊上困难得多。这篇文章探讨了为什么会出现这种情况的许多细微差别 (以及为什么单靠 L1 客户端软件工程无法扩展以太坊本身)。

然而，数据可用性采样与 SNARK 的结合确实解决了三难困境:它允许客户端验证某量数据是可用的，并且某数量的计算步骤被正确执行，同时只下载该数据的一小部分并运行较少的计算。SNARK 具有不可篡改性。数据可用性采样有一个几个 N 的信任模型，但它保留了非可扩展链所具有的基本属性，即即使 51% 的攻击也无法迫使网络接受错误的块。

解决区块链所面临的三难困境的另一种方式是 Plasma 架构。这种架构采用巧妙的方法，以符合经济激励的方式将监视数据可用性的责任转移给用户。回到 2017-2019 年，当时我们仅能通过"欺诈证明"(fraud proofs) 来扩展计算能力，因此 Plasma 在可安全执行的应用场景上存在很大限制。但现在随着"零知识证明"(ZK-SNARKs) 技术的日益普及，Plasma 架构的适用范围比以前更广，可满足更多种类的使用场景需求。

数据可用性采样

数据可用性采样的进一步进展

我们要解决什么问题？

2024 年 3 月 13 日的坎昆升级（Dencun）上线后，以太坊区块链在每 12 秒的时隙内会生成三个约 125kB 大小的 blob，也就是每个时隙约有375kB的数据可用性带宽。假设交易数据直接在链上发布，ERC20 转账约占 180 字节，那么基于以太坊的 Rollup 的最大 TPS 为：

375000 / 12 / 180 = 173.6 TPS

如果我们增加以太坊的 calldata（理论最大值：每个 Slot 30,000,000 gas / 16 gas 每字节 = 1,875,000 字节每 Slot），这个数字将变成 607 TPS。使用 PeerDAS 后，我们计划将 blob 数量的目标提升至 8-16 个，这样我们在 calldata 上就能获得463-926 TPS。

这对于以太坊 L1 来说是一个重大提升，但还远远不够。我们的中期目标是每个时隙 16 MB，如果结合 Rollup 数据压缩的改进，将能为我们提供约 58,000 TPS。

PeerDAS

它是什么？工作原理是什么？

PeerDAS 是"1D 采样"的一种相对简单的实现方式。以太坊中的每个 blob 本质上是一个在 253 位素数域上的 4096 次多项式。我们会广播这个多项式的"份额"，其中每个份额包含从总共 8192 个坐标点中相邻的 16 个坐标点处的 16 次评估值。只要有任何 4096 个 (根据当前建议的参数是任意 64 个中的 128 个可能的样本) 评估值，就能恢复整个 blob。

PeerDAS 的工作原理是，每个客户端只需监听少量子网，其中第 i 个子网会广播任何 blob 的第 i 个样本。如果客户端需要获取其他子网中的 blob 样本，它可以向全局 p2p 网络中的其他节点 (监听不同子网) 请求。另一种更保守的方式叫做SubnetDAS，它只使用子网机制，不引入额外的节点请求层。目前有一个建议是，参与权益证明的节点使用 SubnetDAS，而普通客户端使用 PeerDAS。

理论上，我们可以将 1D 采样扩展得相当大程度：如果我们将 blob 数量上限增加到 256 个 (目标设为 128 个)，那就能达到我们的 16MB 带宽目标，而数据可用性采样只会让每个节点增加 16 个样本* 128 个 blob * 512 字节/样本/blob = 1 MB 的数据带宽/时隙。这只是勉强在我们的容忍范围内，意味着带宽受限的客户端可能无法进行采样。我们可以通过减少 blob 数量、增加 blob 大小来稍作优化，但这会加大重构的计算开销。

因此，我们最终希望采用2D 采样，它不仅在 blob 内部进行随机采样，而且还在 blob 之间进行采样。2D 采样利用了 KZG 承诺的线性特性，通过生成一系列新的"虚拟 blob"来冗余编码相同信息，从而扩展了原有的 blob 集合。

2D 采样来源：a16z crypto

关键在于，计算承诺扩展时并不需要实际的 blob 数据，因此该方案从本质上就有利于分布式块构建。实际构建区块的节点只需要拥有 blob 的 KZG 承诺，并可依赖 DAS 来验证 blob 的可用性。1D DAS 自身也天生有利于分布式块构建。

查看更多：现有研究资料链接

现有研究资料链接

介绍数据可用性的原帖 (2018 年): https://github.com/ethereum/research/wiki/A-note-on-data-availability-and-erasure-coding
后续论文：https://arxiv.org/abs/1809.09044
关于 DAS 的解释文章，paradigm: https://www.paradigm.xyz/2022/08/das
使用 KZG 承诺的 2D 可用性：https://ethresear.ch/t/2d-data-availability-with-kate-commitments/8081
PeerDAS 在 ethresear.ch: https://ethresear.ch/t/peerdas-a-simpler-das-approach-using-battle-tested-p2p-components/16541，及论文：https://eprint.iacr.org/2024/1362
Francesco 关于 PeerDAS 的演讲：https://www.youtube.com/watch?v=WOdpO1tH_Us
EIP-7594: https://eips.ethereum.org/EIPS/eip-7594
SubnetDAS 在 ethresear.ch: https://ethresear.ch/t/subnetdas-an-intermediate-das-approach/17169
2D 采样中数据可恢复性的细节：https://ethresear.ch/t/nuances-of-data-recoverability-in-data-availability-sampling/16256

待解决的问题及权衡考虑

直接的下一步是完成 PeerDAS 的实施和推广。从那时起，要持续努力增加 PeerDAS 上的数据块数量，同时仔细监视网络并改进软件以确保安全性。与此同时，我们希望在形式化 PeerDAS 和其他 DAS 版本及其与问题 (如分叉选择规则的安全性) 之间的交互方面有更多的学术研究工作。

展望更远的将来，我们需要做更多研究来确定理想的 2D DAS 版本，并证明其安全性特性。我们最终还希望摆脱 KZG，改用量子密码学抗性且无需可信设置的替代方案。目前，我们还没有发现对分布式块构建友好的候选技术。即使使用递归 STARK 来生成重建行和列有效性证明的昂贵的"暴力"技术，也是不够的，因为虽然理论上 STARK 的大小为 O(log(n) * log(log(n)))哈希值 (STIR)，但在实践中，STARK 几乎和整个数据块一样大。

我看到的长期现实路径有：

实施理想的2D DAS
坚持使用1D DAS，牺牲采样带宽效率，为简单性和稳健性接受较低的数据上限
(大幅转变) 放弃 DA，完全接受 Plasma 作为我们关注的主要第 2 层架构

我们可以将这些选择看作一个权衡光谱：

值得注意的是，即使我们决定直接在第一层链上扩展执行能力，这种选择也是存在的。原因在于，如果第一层要支持大量的交易，区块会变得非常大，因此客户端需要一种有效的方式来验证它们是否正确，所以我们将不得不在第一层使用与 Rollup(ZK-EVM 和 DAS) 相同的技术。

与路线图其他部分的关系

如果能实现数据压缩 (见下文)，理想的 2D DAS 的需求在某种程度上会降低，或至少推迟；如果 Plasma 被广泛使用，这种需求就会进一步降低。同时，DAS 也给分布式块构建协议和机制带来了挑战：虽然理论上 DAS 有利于分布式重建，但在实践中，还需要与被称为"包含列表 (inclusion list)"的提案及其周围的分叉选择机制相结合。