以太坊协议的可能未来 ❹：Verge

作者：维塔利克·布特林 2024年10月23日原文链接

区块链最强大的地方之一在于，任何人都可以在自己的电脑上运行一个节点，并验证链的正确性。即使运行链共识(PoW、PoS等)的95%的节点立即同意更改规则并开始根据新规则生产区块，运行完整验证节点的人也可以拒绝接受这条链。没有参与这一共谋的质押者仍可以继续构建遵循旧规则的链条，而运行全验证（fully-verifying）的用户也可沿着这条链前行。

这是区块链与中心化系统的一个关键区别。然而，为了保持这一特性，必须能让很多人可以运行全验证节点。这同时适用于质押者(如果质押者没有验证链条，他们实际上并未为执行协议规则做出贡献)和普通用户。现在，在消费级笔记本电脑上运行节点是可能的(包括用于撰写这篇文章的电脑)，但这样做困难重重。The Verge 的目的是改变这种状况，使验证整条链的计算成本低廉到每个移动钱包、浏览器钱包，甚至智能手表都可以默认执行此操作。

特别感谢Justin Drake、Hsiao-wei Wang、Guillaume Ballet、Ignacio、Josh Rudolf、Lev Soukhanov、Ryan Sean Adams和Uma Roy的反馈与审阅。

The Verge ，2023年路线图

最初，The Verge 是指，将以太坊状态存储迁移到 Verkle树的想法——一种树状结构，可以生成更紧凑的证明，从而实现无状态验证以太坊块。节点可以验证以太坊块而无需在硬盘上存储任何以太坊状态(账户余额、合约代码、存储等)，代价是需要花费几百KB的证明数据和几百毫秒来验证证明。如今，The Verge 代表了一个更广阔的愿景，专注于实现对以太坊链进行最大程度资源高效的验证，其中不仅包括无状态验证技术，还包括使用SNARK验证所有以太坊执行。

SNARK / STARK

SNARK, succinct non-interactive argument of knowledge，简洁非交互式知识证明
STARK，scalable transparent argument of knowledge，可扩展透明知识证明

除了增加对使用SNARK验证整条链的长期关注外，另一个新问题在于Verkle树是否真的是最佳技术选择。Verkle树对量子计算机是脆弱的，因此如果我们用Verkle树取代当前的KECCAK Merkle Patricia树，我们将不得不再次替换这些树。Merkle树的自然替代方案是直接跳到使用STARK 的二叉树 Merkle分支。历史上，由于开销和技术复杂性，这被认为是不可行的。然而，最近我们看到Polygon在笔记本电脑上以每秒1.7百万个Poseidon哈希证明使用circle STARK，而对于更"传统"的哈希函数，由于技术如GKR，证明时间也在迅速缩短。

因此，在过去一年中，The Verge 变得更加开放，有几种可能的发展路径。

说明

为 Vitalik 文章的全文翻译，为便于阅读增加少量标签式图示展示重要术语。

The Verge：关键目标

无状态客户端：完全验证客户端和股权证明节点不应需要超过几GB的存储空间
(长期目标)在智能手表上完全验证链(共识和执行)。下载一些数据，验证一个SNARK(简洁非交互式知识证明)，就完成了。

本章内容

无状态验证：Verkle树或STARK
EVM执行的正确性证明
共识的正确性证明

无状态验证：Verkle树或STARK

我们试图解决什么问题?

如今，以太坊客户端需要存储数百GB的状态数据才能验证区块，而这一数量还在不断增加。原始状态数据每年增长约30GB，个人客户端还需要存储一些额外数据，以便能够高效地更新Merkle树。

这降低了可以运行完全验证以太坊节点的用户数量：尽管可以轻松购买到足以存储所有以太坊状态数据及多年历史数据的大容量硬盘，但普通用户购买的计算机通常只有几百GB的存储空间。状态数据的大小也给首次设置节点带来了很大阻力：节点需要下载整个状态数据，这可能需要数小时甚至数天的时间。这产生了各种连锁反应。例如，它使得为质押者升级质押设置变得非常困难。从技术上讲，这是可以实现无停机升级的——启动新客户端，等待其同步，再关闭旧客户端并转移密钥——但在实践中，这个过程在技术上相当复杂。

它是什么？工作原理是什么？

无状态验证是一种技术，允许节点在不存储整个状态数据的情况下进行区块验证。相反，每个区块都附带一个见证(witness)，其中包括(i)区块将访问的特定状态位置的值(如代码、余额、存储)，以及(ii)这些值正确性的加密证明。

实际实现无状态验证需要改变以太坊状态树的结构。这是因为当前的Merkle Patricia树(MPT)对于实现任何加密证明方案都非常不友好，尤其是在最坏情况下。无论是"原始"Merkle分支，还是将Merkle分支封装在STARK中的可能性，MPT存在的两个主要弱点都会带来困难：

它是一棵16叉树(即每个节点有16个子节点)。这意味着在大小为N的树中，平均一个证明需要 32 * (16 - 1) * log16(N) = 120 * log2(N) 字节，或在2^32项的树中约3840字节。而对于二叉树，你只需 32 * (2 - 1) * log2(N) = 32 * log2(N) 字节，或在一棵2^32项的树中约1024字节。
代码没有Merkle化。这意味着证明任何对账户代码的访问都需要提供整个代码，最多可达24000字节。

我们可以计算出最坏情况下的数据量：

30,000,000 gas / 2,400 (冷账户读取成本) * (5 * 480 + 24,000) = 330,000,000 字节

由于当有大量分支时，分支顶部的部分是重复的，因此分支成本略有降低(5 * 480 而非 8 * 480)。但即便如此，在一个时隙内需要下载330MB的数据，这在现实中是完全不可行的。如果我们尝试用STARK封装它，则会遇到两个问题：(i)KECCAK相对而言不太适合STARK，(ii)330MB的数据意味着我们需要证明对KECCAK轮函数进行500万次调用，这远远超出了普通消费级硬件的能力，即使我们能够大幅提高STARK证明KECCAK的效率。

如果我们将16叉树替换为二叉树，并且对代码进行Merkle化，那么最坏情况下的数据量大约为30,000,000 / 2,400 * 32 * (32 - 14 + 8) = 10,400,000字节(其中14是约2^14个分支的冗余比特数，8是进入一个chunk叶子的证明长度)。注意，这需要调整gas成本，以收取访问每个单独代码chunk的费用；EIP-4762就是这样做的。10.4MB虽然好多了，但对于许多节点在一个时隙内下载仍然太多。因此，我们需要引入更强大的技术。为此，有两种主要解决方案：Verkle树和基于STARK的二进制哈希树。

Verkle Tree

Verkle 树

Verkle 树使用基于椭圆曲线的向量承诺来生成更短的证明。关键是与每个父子关系相对应的证明部分仅为32字节，而与树的宽度无关。树的宽度唯一的限制是，如果树过于宽阔，证明会在计算上效率低下。为以太坊提出的实现具有256的宽度。

因此，单个分支中的证明大小为32 * log256(N) = 4 * log2(N)字节。理论上最大的证明大小因此大约为30,000,000 / 2,400 * 32 * (32 - 14 + 8) / 8 = 1,300,000字节(实际计算方式由于状态块分布不均略有不同，但作为初步估计是可以的)。

需要注意的是，在所有上述示例中，这个"最坏情况"并不完全是最糟糕的情况：更糟糕的情况是攻击者蓄意构造两个地址，使其在树中具有较长的公共前缀，并从其中一个地址读取数据，这可能会使最坏分支长度再延长约2倍。但即使考虑这一点，Verkle 树也将最糟糕的证明大小控制在约2.6 MB左右，大致与当前最糟糕的calldata相当。

我们还利用这一点做了另一件事：我们使访问"相邻"存储变得非常便宜，无论是同一合约的多个代码块，还是相邻的存储槽。EIP-4762对相邻性进行了定义，并且只需支付200 gas即可访问相邻存储。对于相邻访问，最坏情况下的证明大小变为30,000,000 / 200 * 32 = 4,800,800字节，仍在可接受范围内。如果我们希望进一步降低这个值以增加安全性，我们可以适当提高相邻访问的gas成本。

STARK

使用 STARK 压缩 Merkle 树数据

这项技术的思路很直白：对于需要证明区块中某些值的 Merkle 树状数据结构，生成最多 10.4MB 的证明数据，然后使用 STARK 对这个证明本身进行证明。通过这种方式，证明本身只包含被证明的数据，外加大约 100-300kB 的 STARK 固定开销。

这里的主要挑战在于 prover 的计算时间。我们可以做与上面大致相同的计算，只不过这次我们计算的是哈希值而不是字节数。以太坊当前区块大小限制为 10.4MB，意味着区块包含约 330,000 个哈希值。如果我们加上攻击者可能构造地址使其在 Merkle 树中具有较长公共前缀的可能性，真正的最坏情况会变为需要计算约 660,000 个哈希值。因此，如果 prover 在生成 STARK 证明时能够每秒处理约 200,000 个哈希值，就没问题了。

这些数字已经在消费级笔记本电脑上使用专为 STARK 友好性设计的 Poseidon 哈希函数达到了。然而，Poseidon 相对不太成熟，因此许多人还不太相信它的安全性。因此，目前有两条现实的发展路径：

尽快对 Poseidon 做大量安全性分析，并足够放心将其部署在以太坊主网(L1)上
使用更"保守"的哈希函数，如 SHA256 或 BLAKE

Starkware 的 circle STARK 证明器(一种特定的 STARK 证明系统实现)目前在消费级笔记本电脑上如果证明保守的哈希函数，每秒只能证明约 10-30k 次哈希运算。然而，STARK 技术发展迅速。即使在今天，基于 GKR 的技术也有望将此提高到 100-200k 的范围。

见证者除验证区块外的其他用例

除了验证区块，更有效的零知识证明还有三个关键用例：

内存池: 当交易被广播时，p2p网络中的节点需要先验证交易是否有效，才会重新广播。目前，验证包括核实签名、检查余额是否足够以及nonce是否正确。将来(例如，在采用原生账户抽象的情况下，如EIP-7701)，这可能需要运行一些EVM代码，对状态进行访问。如果节点是无状态的，交易将需要附带证明来证明相关状态对象。
包含交易列表: 这是一个提议中的功能，允许(可能较小且不太先进的)权益证明验证者强制下一个区块包含某笔交易，而无需(可能大型且先进的)区块构建者同意。这将减少强大行为体操纵区块链延迟交易的能力。然而，这需要验证者有一种方法来验证包含交易列表中交易的有效性。
轻客户端: 如果我们希望通过钱包(如Metamask、Rainbow、Rabby...)访问链的用户无需信任中心化参与者，他们需要运行轻客户端(如Helios)。核心Helios模块为用户提供经过验证的状态根哈希值。但为了完全可信，用户需要为每个单独的RPC调用获得证明(例如，对于eth_call请求，用户需要获得对所有在调用期间被访问的状态的证明)。

这些用例都共同的一点是需要相当多的证明，但每个证明本身都很小。因此，STARK证明实际上并不适用于它们；相反，直接使用Merkle证明分支更为实际。Merkle证明分支的另一个优点是可以进行更新：如果获得了状态对象X的证明，并且该证明是以区块B为根，那么如果之后收到了子区块B2及其见证数据，就可以将该证明更新为以区块B2为根。Verkle证明也天生具有可更新性。

查看更多：现有研究资料链接

现有研究资料链接

Verkle树： https://vitalik.eth.limo/general/2021/06/18/verkle.html
John Kuszmaul撰写的原始Verkle树论文： https://math.mit.edu/research/highschool/primes/materials/2018/Kuszmaul.pdf
StarkWare rollup证明数据： https://x.com/StarkWareLtd/status/1807776563188162562
Polygon rollup证明数据： https://x.com/dlubarov/status/1845862467315920940
Poseidon2论文： https://eprint.iacr.org/2023/323
Ajtai提出的基于格硬问题的快速哈希算法： https://www.wisdom.weizmann.ac.il/~oded/COL/cfh.pdf
Verkle.info: https://verkle.info/

待解决的问题及权衡考虑

主要剩余的工作是：

更多关于EIP-4762 (静态性气体成本变更)影响的分析
完成并测试过渡程序，这是任何静态性EIP的一个复杂部分
更多对 Poseidon、Ajtai 和其他"STARK 友好"哈希函数的安全性分析
针对广泛使用且经过大量测试的"传统"哈希函数(如基于 Binius 或 GKR 的想法)的超高效 STARK 协议进行更多开发。

我们也将很快面临三种选择的决策点：(i) Verkle 树、(ii) STARK 友好哈希函数，以及(iii) 传统哈希函数。它们的特性可以大致总结在下表中：

算法	证明数据大小	安全假设	当前最坏情况证明者时间
Verkle	数据加~100-2,000 kB	基于椭圆曲线(不抗量子攻击)	< 1秒
基于传统哈希函数的STARK (如SHA256、BLAKE)	数据加~100-300 kB	传统广泛使用的哈希函数	> 10秒
基于STARK友好哈希函数的STARK (Poseidon、Ajtai)	数据加~100-300 kB	相对较新且经过较少测试的哈希函数	1-2秒

除了这些数字外，还有一些其他重要考虑因素：

目前，Verkle树代码相当成熟。使用除Verkle以外的任何其他方案，在现实中都可能会延迟部署，可能需要推迟一次硬分叉。如果我们需要额外的时间来研究哈希函数分析或证明者实现，并且如果我们有其他重要功能希望更早纳入以太坊，那么这是可以接受的。
与Verkle树相比，使用哈希更新状态根更快。这意味着基于哈希的方法可以降低完整节点的同步时间。
Verkle树具有有趣的证明更新属性 - Verkle树证明是可更新的。这一特性对于内存池、包含列表和其他用例很有用，它还可以潜在地帮助实现更高效：如果更新了状态对象，你可以在倒数第二层更新证明，而无需读取最后一层。
Verkle树证明更难用于SNARK证明。如果我们想将证明大小减小到几千字节，用Verkle证明会带来一些困难。这是因为验证Verkle证明需要大量256位操作，这就需要证明系统或者拥有大量开销，或者本身具有256位部分专门用于Verkle证明的内部构造。这对于无状态性本身并不是问题，但确实在以后引入了一些困难。

如果我们希望以量子安全且相当高效的方式获得Verkle证明可更新的特性，一种其他可能的途径是基于格网的Merkle树。

如果证明系统在最坏情况下效率不够，我们可以使用的另一个"应急方案"是多维 gas（multidimensional gas）:为(i) calldata、(ii) 计算、(iii) 状态访问等不同资源设置单独的gas限制。虽然多维 gas会增加复杂性，但作为交换，它可以更加严格限制平均情况和最坏情况之间的比率。使用多维 gas，理论上最大需要证明的分支数可能从30,000,000 / 2400 = 12,500下降到例如3000。这将使BLAKE3(勉强)在今天就足够了，即使没有进一步的证明者改进。

多维 gas可以使区块的资源限制更好地反映底层硬件资源的限制。

另一个出人意料的设计是这个提案，将状态根计算推迟到区块所在时隙之后。这将为我们提供整整12秒的时间来计算状态根，这意味着即使在最极端的情况下，仅需约60,000次哈希/秒的证明时间就足够了，再次使BLAKE3勉强满足需求。

这种方法的缺点是它将增加轻客户端的延迟时间为一个时隙，尽管有一些更加巧妙的技术变种可以将这种延迟减少到仅为证明生成延迟的时间。例如，证明可以在任何节点生成后立即在网络上广播，而不是等待下一个区块。

它与路线图其他部分的关系

解决无状态验证问题可以极大地增加独立质押的便利性。如果出现了旨在降低独立质押最低余额要求的技术，如 Orbit SSF 或应用层策略(如squad staking)的话，此优势就更加可贵了。

如果引入以太坊改进提案EOF(EOF)，多维 gas就会变得更容易实现。这是因为多维 gas在执行过程中的一个关键复杂性是处理不传递父调用全部gas的子调用，而EOF通过简单地使此类子调用非法(并且本地账户抽象将为目前这种部分gas子调用的主要使用案例提供协议级替代方案)使得这个问题变得很简单。

另一个重要的协同效应是无状态验证和历史数据过期。现在，客户端必须存储近乎1TB的历史数据；这些数据比全状态数据大好几倍。即使客户端实现了无状态验证，也无法实现几乎无存储需求的梦想，除非我们能够解除客户端存储历史数据的责任。在这方面的第一步是EIP-4444，它也意味着将历史数据存储在种子或门户网络中。

EVM执行证明