SYN:ZKSwap团队解读零知识证明算法之Bulletproofs：Range Proof（1）_zks币创始人

前言

Bulletproofs，又一个有意思的零知识证明算法，相信读者已经很熟悉它了。和zk-snark相比，它不需要可信设置；和zk-stark算法相比，它具有较小的proofsize。根据论文，它有两个方面的应用：

用于rangeproof；用于一般算术电路的零知识证明。下面，让我们先看一下Bulletproofs是如何高效的实现第一点。Rangeproof

1.预备知识

aL：表示向量{a1、a2……an}

2n：表示向量{20、21…2n-1}

<a、b>:表示向量内积∑ai*bi，结果是一个值

aob：向量对应位相乘，{a1*b1……anbn}，结果是一个向量

数据：zkSync Era总交易数已超1亿笔:8月28日消息，据zkSync Era区块浏览器数据显示，zkSync Era网络总交易数已超1亿笔，现为101,490,589笔。[2023/8/28 13:00:33]

2.证明

Alice想要证明?v??=>则，需要证明一个relation得成立，如下所示：

{：V=?grhv?^v??}

public-xwitness-wrelation-R

即，对于公开信息x，Alice有隐私信息w，使得关系R成立。

令aL为金额v的在范围内的二进制形式，则aL={a1、a2……an}?{0,1}n，且满足<aL,2n?>=v。因此，证明者需要证明以下几个等式相等：

zkSync生态Token出现普涨行情，ZZ（ZigZag）24小时涨幅18.8%:3月24日消息，据CoinGecko行情显示，zkSync生态Token出现普涨行情，其中：ZZ（ZigZag）现报0.613美元，24小时涨幅18.8%；FRIN（Fringe Finance）现报0.005美元，24小时涨幅14.4%；MUTE（Mute）现报1.65美元，24小时涨幅16.5%；SPACE（SpaceFi）现报0.187美元，24小时涨幅102.6%。行情波动较大，请做好风险控制。

此前报道，今日凌晨起，包括MathWallet、SpaceFi、Argent、Across、zkRock在内的众多zkSync生态项目以及zkSync官方账号均发布带有“03.24.23”字样与zkSync“?”图案的短视频，据社群猜测，zkSync或将于今日公布空投及主网相关事宜。[2023/3/24 13:24:06]

等式(1)确保了承诺V和金额v的绑定关系，等式(2)确保了v的范围，等式(3)、(4)确保了aL?元素只属于{0,1}。等式(2)/(3)/(4)总共包含了2n+1个约束，其中公式(2)1个，公式(3)(4)各n个。接下来，为了效率，我们需要把2n+1个约束转换成1个约束。

zkSync将引入新的Gas费模型以实现动态费用机制:8月17日消息，以太坊Layer2扩容解决方案zkSync宣布将引入新的Gas费模型以实现动态费用机制。新的费用模型将根据交易消耗的资源进行费用定价，并将测量单位“gas”更名为“ergs”。此外，新费用模型将支持EIP-1559。

此前报道，7月20日，zkSync公布项目路线图，zkSync2.0作为第一个采用zkEVMrollup的解决方案将于100天内上线主网。[2022/8/17 12:30:18]

3.2n+1个约束转换成1个约束

=>预备：从Zp?中任意选择一个数y，则b=0n是等式<b,yn>=0成立的充分条件；因为当b!=0n，等式成立的概率仅有n/p，p是有限域，远大于n。因此，如果有<b,yn>=0，那么验证者愿意相信b!=0n?。

火币已正式上线BNT、FRONT、ZKS和LUNA品种USDT本位永续合约:据火币合约官方消息，火币BNT、FRONT、ZKS和LUNA品种USDT本位永续合约已于新加坡时间2月23日14点正式上线，用户现可在平台进行划转、交易等操作。

据悉，火币USDT本位永续合约在每个新品种上线前，平台均会提前配置一定额度风险准备金，以最大可能保护用户权益。此次4个品种上线前，火币合约已向其USDT本位永续合约风险准备金余额中注入了80万USDT，各品种对应20万USDT。

据了解，此次4个新币上线后，火币USDT本位永续合约已覆盖BTC、ETH等主流币，以及LINK、UNI、AAVE等热门DeFi在内的69大主流品种，支持用户在Web端、API端和APP端操作，最高125x倍数。[2021/2/23 17:43:28]

利用这个理论，我们把等式(2)/(3)/(4)做以下转换：

验证者随机选取一个数y发送给证明者证明者要证明：

同理，等式(5)确保了v的范围，等式(6)(7)确保了aL?元素只属于{0,1}。此时2n+1个约束转换成3个约束，接下来，还需要做进一步的处理：

验证者随机选取一个数z发送给证明者证明者利用z对公式(5)(6)(7)进行线性组合，得到如下公式：z2**<aL、2n?>+z*<aL?-1n-aR、yn>+<aL、aR?oyn?>=z2?*v(8)

至此，我们已经把2n+1个约束转换成1个约束。下面我们对公式(8)做进一步的优化，把三个点积优化成1个点积。

4.三个点积优化成1个点积

=>令

L=aL?-z*1n

R=(aR?+z*1n)oyn?+z2?*2n

δ=(z–z2)*<1n,yn?>-z3*<1n,2n?>

5.验证：

证明者把L/R/V发送给验证者；验证者事先算好δ验证者根据L算出来aL，根据<aL,2n?>=v算出v验证者根据L、R、v、δ验证等式<L,R>=z2?*v+δ因为y，z都是验证者提供，因此如果验证者如果能验证公式(9)成立，则相信等式(5)(6)(7)成立，则相信等式(2)(3)(4)成立，则相信v满足关系v?。

但是，可以看到上述过程，泄露了v的信息，因此需要一个零知识证明协议。

6.一个零知识证明协议

由于L、R包含了v的相关信息，因此，我们需要添加两个盲因子sL、sR来隐藏aL，aR。如公式(10)(11)所示：

此时，定义公式(12)

可以看出系数t0是l(x)和r(x)常数项的乘积，即满足：

t0?=<L,R>=z2*v+δ

因此，问题由证明：

<L,R>=z2*v+δ

转化成了，在任意一点x，验证者验证多项式值l(x),r(x),t(x)满足关系：

<l(x),r(x)>=t(x)

多项式值l(x),r(x),t(x)由证明者提供，为了保证l(x)，r(x)well-formed，即：

需要校验：

=>当且仅当l/rwell-formed，等式成立

为了保证t(x)well-fromed，即：

t=t0?+t1x+t2x2

需要校验：

=>?当且仅当t和τx?welle-formed，等式成立

具体的协议流程图如下图所示：

总结

从上述流程可以看出，一次rangeproof，证明者需要发送总共**{l/r/t/τx?/μ/T1?/T2/A/S}**个元素给验证者，总共2n+3个Zp元素，4个G元素。下一篇文章将细讲，Bulletproofs如何将交互复杂度降低到对数级O(log(n))。

附录

Bulletproofs论文：https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8418611

标签：ZKSzkSyncSYNKSYzks币创始人zksync币合法吗Synth iXTZ

AAVE热门资讯