以太坊的可能未来：The Surge

以太坊的路线图最初包含两种扩容策略:分片和Layer2协议。分片让每个节点只需验证和存储一小部分交易,而Layer2则在以太坊之上构建网络,利用其安全性同时将大部分数据和计算保持在主链之外。这两条路径最终融合,形成了以Rollup为中心的路线图,至今仍是以太坊的主要扩展策略。

以Rollup为中心的路线图提出了明确的分工:以太坊L1专注于成为强大且去中心化的基础层,而L2承担帮助生态系统扩展的任务。这种模式在社会中很常见,类似法院系统(L1)存在是为了保护合同和财产权,而创业者(L2)则在此基础上进行创新。

今年,这一路线图取得重要进展:EIP-4844 blobs的推出大幅增加了以太坊L1的数据带宽,多个EVM Rollup已进入第一阶段。每个L2作为具有自身规则和逻辑的"分片"存在,分片实现方式的多样性如今已成为现实。但这条路也面临一些独特挑战。我们现在的任务是完成以Rollup为中心的路线图,解决这些问题,同时保持以太坊L1的稳健性和去中心化。

The Surge:关键目标

1. 未来以太坊通过L2可以达到10万以上的TPS;
2. 保持L1的去中心化和鲁棒性;
3. 至少一些L2完全继承以太坊的核心属性(去信任、开放、抗审查);
4. 以太坊应该感觉像一个统一的生态系统,而不是34个不同的区块链。

本章内容

1. 可扩展性三角悖论
2. 数据可用性采样的进一步进展
3. 数据压缩
4. Generalized Plasma
5. 成熟的L2证明系统
6. 跨L2互操作性改进
7. 在L1上扩展执行

可扩展性三角悖论

可扩展性三角悖论认为区块链的去中心化、可扩展性和安全性之间存在矛盾。它不是一个定理,而是表明打破三角悖论是困难的,需要跳出既定思维框架。一些高性能链声称解决了三角悖论,但这通常具有误导性,因为在这些链上运行节点比在以太坊上更困难。

然而,数据可用性采样与SNARKs的结合确实解决了三角悖论:它允许客户端只下载少量数据并执行极少量计算,就能验证大量数据的可用性和计算步骤的正确性。SNARKs是无需信任的,而数据可用性采样具有一种微妙的few-of-N信任模型,但保留了不可扩容链的基本特性。

Plasma架构是另一种解决方案,它将监视数据可用性的责任以激励兼容的方式推给用户。随着SNARKs的普及,Plasma对更广泛的使用场景变得可行。

数据可用性采样的进一步进展

我们正在解决什么问题?

目前以太坊每12秒的slot有3个约125 kB blob,数据可用带宽约375 kB。假设交易数据直接在链上发布,ERC20转账约180字节,因此以太坊上Rollup的最大TPS为173.6。加上calldata可达607 TPS。使用PeerDAS,blob数量可能增加到8-16,为calldata提供463-926 TPS。

这是重大提升,但还不够。我们的中期目标是每个slot 16 MB,结合Rollup数据压缩的改进,将带来~58000 TPS。

它是什么?如何运行?

PeerDAS是"1D sampling"的简单实现。在以太坊中,每个blob是253位素数域上的4096次多项式。我们广播多项式的shares,每个shares包含8192个坐标中相邻16个坐标上的16个评估值。任何4096个评估值都可以恢复blob。

PeerDAS让每个客户端侦听少量子网,第i个子网广播任何blob的第i个样本,客户端通过询问全球p2p网络中的对等方来请求其他子网上的blob。SubnetDAS仅使用子网机制,没有额外的询问对等层。当前提议让参与权益证明的节点使用SubnetDAS,其他节点使用PeerDAS。

理论上,我们可以将"1D sampling"规模扩展得很大:如果将blob最大数量增加到256,就能达到16MB的目标,而每个节点每个slot需处理1 MB数据。这勉强可行,但意味着带宽受限的客户端无法采样。我们可以通过减少blob数量和增加blob大小来优化,但这会使重建成本更高。

因此,我们最终想要进行2D采样,不仅在blob内,还在blob之间随机采样。利用KZG承诺的线性属性,通过一组新的虚拟blob来扩展一个区块中的blob集,这些虚拟blob冗余地编码了相同的信息。

2D采样对分布式区块构建友好,实际构建区块的节点只需要拥有blob KZG承诺,并可以依赖数据可用性采样来验证数据块的可用性。1D DAS本质上也对分布式块构建友好。

还需做什么?有哪些权衡?

接下来是完成PeerDAS的实施和推出。之后,不断增加PeerDAS上的blob数量,同时仔细观察网络并改进软件以确保安全。我们还需要更多学术工作来规范PeerDAS及其与分叉选择规则安全等问题的交互。

在未来,我们需要确定2D DAS的理想版本,并证明其安全属性。我们还希望从KZG转向量子安全且无需可信设置的替代方案,但目前还不清楚有哪些候选方案对分布式区块构建友好。

我认为的长期现实路径是:

1. 实施理想的2D DAS;
2. 坚持使用1D DAS,牺牲采样带宽效率,为简单性和鲁棒性接受较低的数据上限;
3. 放弃DA,完全接受Plasma作为主要Layer2架构。

即使我们决定直接在L1层扩展执行,这种选择也存在。如果L1要处理大量TPS,L1区块将变得非常大,客户端将需要高效验证其正确性,因此我们将不得不在L1层使用与Rollup相同的技术。

如何与路线图的其他部分交互?

如果实现数据压缩,对2D DAS的需求会减少或延迟,如果Plasma被广泛使用,需求会进一步减少。DAS也对分布式区块构建协议和机制提出了挑战:虽然DAS理论上对分布式重建友好,但这在实践中需要与包inclusion list提案及其周围的分叉选择机制相结合。

数据压缩

我们在解决什么问题?

Rollup中的每笔交易都占用大量链上数据空间:ERC20传输需要约180字节。即使有理想的数据可用性采样,这也限制了Layer协议的可扩展性。每个slot 16 MB,我们得到:

16000000 / 12 / 180 = 7407 TPS

如果我们不仅能解决分子的问题,还能解决分母的问题,让每个Rollup中的交易在链上占用更少字节,那会怎样?

它是什么,如何工作?

零字节压缩中,用两个字节替换每个长的零字节序列,表示有多少个零字节。更进一步,我们利用了交易的特定属性:

签名聚合:从ECDSA签名切换到BLS签名,BLS签名可以组合成单一签名,证明所有原始签名的有效性。在L1中,由于验证计算成本较高,不考虑使用BLS签名。但在L2这样数据稀缺的环境中,使用BLS签名有意义。ERC-4337的聚合特性为实现这一功能提供了途径。

用pointers替换地址:如果以前使用过某个地址,我们可以将20字节的地址替换为指向历史记录中某个位置的4字节pointer。

交易值的自定义序列化:大多数交易值的位数很少,例如0.25 ETH表示为250,000,000,000,000,000 wei。最大基础手续费和优先手续费也类似。因此,我们可以使用自定义的十进制浮点格式来表示大多数货币值。

还需做什么,有哪些权衡?

接下来主要要做的是实际实现上述方案。主要的权衡包括:

1. 切换到BLS签名需要付出很大努力,并会降低与可信硬件芯片的兼容性。可以使用其他签名方案的ZK-SNARK封装来替代。

2. 动态压缩(如用pointers替换地址)会使客户端代码变得复杂。

3. 将状态差异发布到链上而不是交易,会降低可审计性,并使很多软件(如区块浏览器)无法工作。

如何与路线图的其他部分交互?

采用ERC-4337,并最终将其部分内容纳入L2 EVM中,可以大大加快聚合技术的部署。将ERC-4337的部分内容放在L1上可以加快其在L2上的部署。

Generalized Plasma

我们正在解决什么问题?

即使使用16 MB的blob和数据压缩,58,000 TPS也未必足以完全满足消费者支付、去中心化社交或其他高带宽领域的需求,尤其是当我们考虑隐私因素时,这可能会使可扩展性降低3-8倍。对于高交易量、低价值的应用场景,目前的一种选择是使用Validium,它将数据保存在链下,并采用了一种有趣的安全模型:运营商无法窃取用户的资金,但他们可能会暂时或永久冻结所有用户的资金。但我们可以做得更好。

它是什么,如何工作?

Plasma是一种扩容解决方案,涉及运营商将区块发布到链下,并将这些区块的Merkle根放到链上。对每个区块,运营商向每个用户发送Merkle分支证明该用户资产的变化或未变化。用户可以通过提供Merkle分支来提取资产。重要的是,这个分支不必以最新状态为根。因此,即使数据可用性出现问题,用户仍可通过提取可用的最新状态来恢复资产。如果用户提交无效分支,可通过链上挑战机制判断资产归属。

早期Plasma版本仅能处理支付用例,无法有效推广。然而,如果要求每个根都用SNARK验证,Plasma就会变得强大得多。每个挑战游戏都可以大大简化,因为我们排除了运营商作弊的大部分可能路径。同时,也开辟了新路径,使Plasma技术能扩展到更广泛的资产类别。最后,在运营商不作弊的情况下,用户可以立即提取资金,无需等待一周的挑战期。

制作EVM Plasma链的一种方法(不是唯一方法):使用ZK-SNARK构建并行UTXO树,反映EVM所做的余额变化,并定义在历史不同时间点"同一代币"的唯一映射。然后可以在其上构建Plasma结构。

一个关键见解是,Plasma系统并不需要完美。即使你只能保护资产的子集(如仅过去