以太坊可能的未來：The Surge

以太坊的擴容策略起初有兩種:分片和Layer2協議。分片讓每個節點只需驗證和存儲部分交易,而Layer2則在以太坊之上構建網路。這兩種策略最終融合,形成了以Rollup爲中心的路線圖,至今仍是以太坊的擴展策略。

以Rollup爲中心的路線圖提出了簡單分工:以太坊L1專注成爲強大且去中心化的基礎層,L2承擔幫助生態系統擴展的任務。這種模式在社會中普遍存在,如法院系統(L1)保護合同和財產權,創業者(L2)則在此基礎上建設。

今年,以Rollup爲中心的路線圖取得重要成果:EIP-4844 blobs大幅增加了以太坊L1的數據帶寬,多個以太坊虛擬機Rollup已進入第一階段。每個L2作爲具有自身規則和邏輯的"分片"存在,分片實現方式的多樣性和多元化已成爲現實。但這條路也面臨一些獨特挑戰。我們現在的任務是完成以Rollup爲中心的路線圖,解決這些問題,同時保持以太坊L1的穩健性和去中心化。

The Surge:關鍵目標

1. 未來以太坊通過L2可達10萬以上TPS;
2. 保持L1的去中心化和魯棒性;
3. 至少一些L2完全繼承以太坊核心屬性(去信任、開放、抗審查);
4. 以太坊應感覺像統一生態系統,而非34個不同區塊鏈。

內容概述

1. 可擴展性三角悖論
2. 數據可用性採樣的進一步進展
3. 數據壓縮
4. Generalized Plasma
5. 成熟的L2證明系統
6. 跨L2互操作性改進
7. 在L1上擴展執行

可擴展性三角悖論

可擴展性三角悖論認爲區塊鏈三個特性間存在矛盾:去中心化(運行節點成本低)、可擴展性(處理交易數多)和安全性(攻擊者需破壞很大比例節點才能使單筆交易失敗)。

三角悖論不是定理,介紹它的帖子也沒附數學證明。它給出啓發式論點:如果去中心化友好節點每秒可驗證N筆交易,你有一個每秒處理k*N筆交易的鏈,那麼:(i)每筆交易只能被1/k個節點看到,攻擊者只需破壞少數節點就能通過惡意交易,或(ii)你的節點將變強大,鏈不會去中心化。該文從不想證明打破三角悖論是不可能的,而是表明這很困難,需跳出該論證隱含的思維框架。

多年來,一些高性能鏈聲稱不從根本改變架構就解決了三元悖論,通常通過軟件工程技巧優化節點。這總是誤導性的,在這些鏈上運行節點比在以太坊上更難。本文將探討爲何如此,以及爲何僅憑L1客戶端軟件工程本身無法擴展以太坊。

然而,數據可用性採樣與SNARKs結合確實解決了三角悖論:它允許客戶端只下載少量數據並執行極少計算,就能驗證一定數量數據可用,且一定計算步驟正確執行。SNARKs無需信任。數據可用性採樣有微妙的few-of-N信任模型,但保留了不可擴容鏈的基本特性,即使51%攻擊也無法強制壞塊被網路接受。

解決三難困境的另一方法是Plasma架構,它巧妙地將監視數據可用性的責任推給用戶。2017-2019年,當我們只有欺詐證明來擴展計算能力時,Plasma在安全執行方面很受限,但隨着SNARKs普及,Plasma架構對更廣泛使用場景變得更可行。

數據可用性採樣的進一步進展

我們正在解決什麼問題?

2024年3月13日,當Dencun升級上線時,以太坊區塊鏈每12秒slot有3個約125 kB blob,即每slot數據可用帶寬約375 kB。假設交易數據直接在鏈上發布,ERC20轉帳約180字節,則以太坊上Rollup最大TPS爲:375000 / 12 / 180 = 173.6 TPS

加上以太坊calldata(理論最大值:每slot 3000萬Gas / 每字節16 gas = 每slot 1,875,000字節),則變爲607 TPS。使用PeerDAS,blob數量可能增至8-16,這將爲calldata提供463-926 TPS。

這是對以太坊L1的重大提升,但還不夠。我們想要更多可擴展性。中期目標是每slot 16 MB,結合Rollup數據壓縮改進,將帶來~58000 TPS。

它是什麼?如何運行?

PeerDAS是"1D sampling"的相對簡單實現。在以太坊中,每個blob是253位素數域上4096次多項式。我們廣播多項式的shares,每個shares包含從總8192個坐標中相鄰16個坐標上的16個評估值。在這8192個評估值中,任何4096個(根據當前提議參數:128個可能樣本中任何64個)都可恢復blob。

PeerDAS工作原理是讓每個客戶端偵聽少量子網,第i個子網廣播任何blob的第i個樣本,並通過詢問全球p2p網路中對等方(誰將偵聽不同子網)來請求它需要的其他子網上blob。更保守版本SubnetDAS僅使用子網機制,沒有額外詢問對等層。當前提案讓參與權益證明節點使用SubnetDAS,其他節點(即客戶)使用PeerDAS。

理論上我們可將"1D sampling"規模擴展很大:如果將blob最大數量增至256(目標128),就能達到16MB目標,而數據可用性採樣中每個節點16個樣本 * 128個blob * 每個blob每個樣本512字節 = 每slot 1 MB數據帶寬。這只是勉強在容忍範圍內:可行,但意味着帶寬受限客戶端無法採樣。我們可通過減少blob數量和增加blob大小來優化,但這會使重建成本更高。

因此,我們最終想更進一步,進行2D採樣,它不僅在blob內,還在blob之間隨機採樣。利用KZG承諾線性屬性,通過新虛擬blob集擴展一個區塊中blob集,這些虛擬blob冗餘編碼相同信息。

重要的是,計算承諾擴展不需要有blob,因此該方案從根本上對分布式區塊構建友好。實際構建區塊的節點只需擁有blob KZG承諾,它們可依賴數據可用性採樣驗證數據塊可用性。一維數據可用性採樣本質上也對分布式塊構建友好。

還需做什麼?有哪些權衡?

接下來是完成PeerDAS實施和推出。之後,不斷增加PeerDAS上blob數量,同時仔細觀察網路並改進軟件以確保安全,這是漸進過程。同時,我們希望有更多學術工作來規範PeerDAS和其他版本DAS及其與分叉選擇規則安全等問題的交互。

未來更遠階段,我們需要更多工作來確定2D DAS理想版本,並證明其安全屬性。我們還希望最終能從KZG轉向量子安全且無需可信設置的替代方案。目前不清楚有哪些候選方案對分布式區塊構建友好。即使使用昂貴的"蠻力"技術,即使用遞歸STARK生成用於重建行和列的有效性證明,也不足以滿足需求,因爲雖然從技術上講,STARK大小爲O(log(n) * log(log(n))哈希值(使用STIR),但實際上STARK幾乎與整個blob一樣大。

我認爲長期現實路徑是:

1. 實施理想的2D DAS;
2. 堅持使用1D DAS,犧牲採樣帶寬效率,爲簡單性和魯棒性接受較低數據上限
3. 放棄DA,完全接受Plasma作爲我們關注的主要Layer2架構。

請注意,即使我們決定直接在L1層擴展執行,這種選擇也存在。這是因爲如果L1層要處理大量TPS,L1區塊將變得非常大,客戶端將希望有高效方法來驗證它們的正確性,因此我們將不得不在L1層使用與Rollup(如ZK-EVM和DAS)相同的技術。

如何與路線圖的其他部分交互?

如果實現數據壓縮,對2D DAS的需求會有所減少,或至少會延遲,如果Plasma被廣泛使用,則需求會進一步減少。DAS也對分布式區塊構建協議和機制提出挑戰:雖然DAS理論上對分布式重建友好,但這在實踐中需要與包inclusion list提案及其周圍分叉選擇機制相結合。

數據壓縮

我們在解決什麼問題?

Rollup中每筆交易都佔用大量鏈上數據空間:ERC20傳輸大約需要180字節。即使有理想數據可用性採樣,這也限制了Layer協議可擴展性。每slot 16 MB,我們得到:

16000000 / 12 / 180 = 7407 TPS

如果我們不僅能解決分子問題,還能解決分母問題,讓每個Rollup中交易在鏈上佔用更少字節,那會怎樣?

它是什麼,如何工作?

在我看來,最好解釋是兩年前這張圖:

零字節壓縮中,用兩個字節替換每個長零字節序列,表示有多少個零字節。更進一步,我們利用了交易特定屬性:

籤名聚合:我們從ECDSA籤名切換到BLS籤名,BLS籤名特性是多個籤名可組合成單一籤名,該籤名可證明所有原始籤名有效性。在L1層中,由於即使聚合,驗證計算成本也較高,因此不考慮使用BLS籤名。但在L2這樣數據稀缺環境中,使用BLS籤名有意義。ERC-4337聚合特性爲實現這一功能提供了途徑。

用pointers替換地址:如果以前使用過某地址,我們可將20字節地址替換爲指向歷史記錄中某位置的4字節pointer。

交易值自定義序列化:大多數交易值位數很少,例如,0.25 ETH表示爲250,000,000,000,000,000 wei。最大基礎手續費和優先手續費也類似。因此,我們可使用自定義十進制浮點格式,來表示大多數貨幣值。

還需做什麼,有哪些權衡?

接下來主要要做的是實際實現上述方案。主要權衡包括:

1. 切換到BLS籤名需付出很大努力,並會降低與能增強安全性的可信硬件芯片兼容性。可使用其他籤名方案的ZK-SNARK封裝來替代它。

2. 動態壓縮(例如,用pointers替換地址)會使客戶端代碼變復雜。

3. 將狀態差異發布到鏈上而非交易,會降低可審計性,使很多軟件(如區塊瀏覽器)無法工作。

如何與路線圖的其他部分交互?

採用ERC-4337,並最終將其部分內容納