ZK 硬件加速大讨论：一个堪比 POW 矿业的全新市场

主持人：Faust，极客 web3

嘉宾：Vincent，DevRel of Scroll;

Leo，Co-founder of Cysic;

Siyuan,TechLead of ABCDE Capital;

Kiwi，Researcher of OKXVentures;

Marco，DevRel of Aleo;

Lynndell,Cryptography Expert of Bitlayer

摘要：5 月 23 日晚，极客 Web3 邀请了Scroll、Cysic、Bitlayer、Aleo、ABCDE Capital 和 OKX Ventures 的嘉宾就 ZK 硬件加速的话题进行了推特 Space，嘉宾们围绕 ZK 证明实时生成及硬件加速在商业化和市场化上的问题进行了极其精彩的讨论，还针对新名词“ZK Depin”进行了头脑风暴，以下是文字版记录。

本次 Space 涉及的详细问题包括：

1.Cysic 和 Lumoz 两个项目都把 ZK 加速作为核心愿景，Cysic 也提出了实时生成 ZK 证明的口号，那么这些技术会对以太坊的 Danksharding 路线有什么影响？

2. 听说 Aleo 有更改挖矿算法的传言，Aleo 最早是一条隐私公链，挖矿算法和 ZK 直接相关，有人传言说 Aleo 好像又换回了类似于主流 PoW 公链的哈希算法（嘉宾们对此事进行了澄清）

3. ZK 挖矿未来的愿景如何，ZK-DePIN 赛道将以怎样的方式走下去？

4. 如何看待 ZK-DePIN 的商业化和市场化，还没有解决的痛点有哪些？

5. ZK 挖矿的矿工收益模型

6. 各位老师认为如何解决不同矿工的证明生成效率差异太大的问题？

正文：1. Faust:请问 ZK 硬件加速对于以太坊 Danksharding 路线图有什么影响？

背景补充：Danksharding 路线图提出了 Verkle Tree 和无状态客户端的概念，届时普通的以太坊节点 / 客户端不必在本地存储完整的状态树，区块中会直接提供每笔交易关联的状态数据，并用 ZK 证明这些数据出自以太坊的状态树（Verkle Tree）。而 Verkle Tree 对以太坊现行的 Merkle Tree 式存储结构进行了大幅改进，以便于生成 ZK 证明某段数据出自 Verkle Tree 中。

Leo:简单来说，就是实时生成的 ZK 证明可以极大地提高轻客户端和 Verkle Tree 的效率。Verkle Tree 相对于 Merkle Tree，它产生的分支 / 路径更多一些，如果你通过 Merkle Proof 证明某个数据片段出自 Verkle Tree 上的某个分支，你要连带打开很多个其他分支。

如果你用 ZK 替代 Merkle Proof，可以极大程度地提高效率，可以把很多数据压缩得很小。但你如果只是单纯用一般的 CPU 或者 GPU 去生成 ZKP 的话，其实是非常复杂的。

我以前在 Algorand 做过一个项目，就叫 Algorand state proof，它就要通过 Merkle Proof 来打开 Merkle Tree 上的很多分支，但这样做的效率非常低。所以你要通过 ZK 的 Real Time Generation，或者说用这种 Specialize Prover 去让 zk 证明的生成效率大幅提升。

Vincent：4 月的 Web3 香港大会上面，Vitalik 发言提及 ZK 证明对协议效能最大化的重要性，他以往的发言和技术探索也体现出了其对 ZK 的重视。过去 Scroll 生成一个 full compatible zkevm 的 Proof 需要两三个小时左右，采用现有的硬件加速方案后提高到了 10 分钟。但这还是达不到我们想要的生成速度。

在理想化的环境下，对 ZK 的采用度会非常高，会渗透到方方面面，而小白导航过去 ZK 生成速度还不够支撑起巨大的采用率。如果 ZK 证明实时生成成为现实，我们就不必在安全性和免信任、可验证性等方面做任何妥协，直接用 ZK 来解决过去无法解决的诸多问题。在此之后的项目创新，包括应用的创新肯定会轻量化。在 ZK 硬件加速相关的社区内，大家都充满信心，希望能一起在这个方向上进行突破。

Siyuan：我认为 Layer2，尤其是用到 ZK 的二层，最核心的是要做快速的 Finality（交易最终确认）。只有更快地将 Layer2 的交易痕迹（Trace）变成 ZK Proof，发送到 L1 上做 verification，L2 的最终状态才能敲定下来。有些公司为了成本考虑，不会把每个 L2 的区块或者很少个区块打包生成 proof。此外，按照 Vitalik 的愿景，一层换成 Verkle tree 后希望每个块都生成一个即时的 ZKP，离开了 ZK 硬件加速这样的愿景就很难实现，因此我们非常看好 Cysic。

2. Faust:听说 Aleo 有更改挖矿算法的传言，因为 Aleo 最早是一条隐私公链，挖矿算法和 ZK 相关，现在好像又换回了像大多数 PoW 公链的哈希算法。想问一下嘉宾们对这个传言的看法。

Marco：是这样一个情况，近期 Aleo 的 Testnet Beta 的话，它那个 POW 算法确实现是一个哈希算法，然后加进 Merkle Tree 去了，给了一个 Root Data 来算最后的大小。但是这个版本只是一个暂时版，并不是最终的版本。最终版本 Aleo 官方将在 7 月发布，希望能大家能耐心等待。

然后，其实 Aleo Foundation 的 CEO Alex 曾经在一次会议上说过，他理想中的 PoW 算法，主要有两个要求，一是希望能够推动 ZK 算法的实际应用发展，解决更实际的问题，另外一个希望能保证挖矿的公平性，所以他们会按这个思路进行调整，希望大家及时保持关注。

Leo：就这个话题我想补充一下，Aleo 挖矿之前的 Coinbase puzzle 是用 MSM 来做的多项式承诺，然后只是说从 MSM 换成了用 Merkel tree 来做多项式承诺。其实从 ZK 的角度来看没有太大差别，只是说你里边的一个部件从之前的 MSM based 变成了一个 Hash based，然后这个 Hash based 它有各种各样的 hash function，其实是一个 a mix of hash function。

Vincent：我个人也挺想问 Marco 老师，就是从 Aleo 的角度来看，对整个 ZK 硬件加速的生态有什么见解？现在包括像 Cysic 的 ASIC 芯片，或是 Ingonyama 的基于 FPGA 的 ZK 加速方案，他们的这些产品对于 Aleo 的发展或是未来的一些规划，是否有产生一些影响？

Marco：我个人感觉是有的，毕竟现在困扰整个 ZK 领域的核心问题就是 ZK Proof 生成太慢了，不久前 Vitalik 说到，通过 SNARK 证明系统为一个以太坊区块生成证明，需要 20 分钟，但以太坊 12 秒就会生成一个区块，这里面有很大很大的 gap。我希望能有更多好的 ZK 加速方案来解决上述问题。

3. Faust : 接下来想讨论一下 ZK 挖矿或者 ZKDePIN 相关的话题。首先想问 Leo 老师有关于 ZK 挖矿的愿景，ZK-DePIN 赛道将会以怎样的方式跑下去？

Leo：我们其实是给一些 ZK 项目方提供了 ZK proof generation 的服务，而 Cysic 本身是个初创公司，我们不可能有那么多钱去自己购买服务器或租服务器，我们就想着团结社区的力量来整合资源。其实我们现在有几百台服务器，这几百台服务器都是在满负荷运行的状态，这个跟传统的 AI-Depin 项目有很大区别。

AI-Depin 里面很多机器只是在那里空转，人们只是追求一个比较高的 uptime，然后去撸个空投，但如果是 Cysic Network 的话，你的机器会真正赋能实际应用场景，不会出现空转，资源利用率更高，而且你能拿到的奖励不只是 Cysic Token，还有各大 ZK 项目方的激励。

而且这对于 ZK Prover 的去中心化也有好处，让多个 Prover 去生成一个 Proof 也能减少对单个 Prover 的依赖。我们不但会 rely on 大矿工的设备，还会动员社区成员把自己闲置的硬件接进来，给整个 ZK 生态提供服务。

Siyuan:Cysic 其实有两种客户，一种是专业的 ToB 大客户，另外一种比较有趣，Cysic 推出了一款小型的 ZK 加速卡，你可以在家里的电脑上快速生成 ZKP，方便开发人员甚至是普通用户。

Leo：思远刚才提到的是，应该是我们自己的设备，Cysic 在明年是会大规模出货自己的 ZK 硬件的，这个硬件有两个样子，第一个就是 ZK air，就像刚才思远提到的，差不多就是一个苹果笔记本充电器那么大，可以通过 Type-C 接到你的电脑上面，在本地去帮你跑 ZK 的 generation。它的速度应该也很快，比 4090 卡的性能高 8~10 倍，利于开发者去做很多事情。

Vincent：关于 ZK-Depin，其实传统 Depin 的想象空间往往局限在手机挖矿、手表挖矿这类东西上，但 ZK 硬件加速截然不同。我们 Scroll 很快就会有一个去中心化的 Prover Market，这个在我们的路线图中有公布。我们未来的 Prover 部分会是 Permissionless 的市场模式，当然这里面会涉及到一些复杂的收益模型，目前这块的细节还在完善。但我们的方向是确定的，要向着 ZK 快速生成的这个方向演进，并极力避免马太效应。

Marco：关于刚才那个 Cysic 的 ToC 小设备，可以补充两点，就是 Aleo 转账对这种客户端本地的 ZK 生成有需求，如果你在自己的浏览器本地生成 ZKP 的话特别慢， 可能需要十几分钟甚至更久。但因为 Aleo 主打隐私交易，对 ZKP 生成有刚需，所以 Cysic 的那种 ToC 小设备还是很有意义的。

4. Faust:目前的 ZK 硬件加速赛道上，商业化或者市场化上还没有解决的痛点有哪些？

Leo : 其实我们可以把 ZK 加速想象成是在做一种 Proof of Work，你希望以最快的速度生成 ZKP 来换取奖励，这个其实跟传统 PoW 公链哈希算法的 ASIC 没有本质区别。但 ZK 的相关算法很多变，它不像哈希函数那样比较固定，在 ZK 生态里，不同项目方用的 ZK 证明系统基本都不一样，有的是基于 KZG 承诺，有的基于 FRI，反正基本都不一样。

作为一个硬件厂商，Cysic 其实很希望大家能够趋于统一，向一个确定的 ZK 证明系统靠拢，然后我们可以对这个证明系统持续优化并做到极致的加速比，而不是像现在这么多元化，因为这对 ZK 加速非常不利。

Marco: 我个人觉得其实在算法改进和性能优化这两方面有些挑战与机会并存。去年在 ZPrize 竞赛中的 MSM 最佳 GPU 实现方案，按照那个 ZPrize 2023 年 MSN 这个 GPU 的最佳实践，StorSwift 和那个 yrrid 在 2^20 的数据量的计算上来看，现在还是在 360 毫秒以上。如果能再缩小一个数量级的话，ZK 更容易被推广。上一个嘉宾提到的证明系统不统一，确实在硬件加速这块是一个顾虑。考虑到投入产出比，各个项目都不敢做太大投入。

Leo: 我们其实就是 ZPrice 今年 MSM 加速赛道的 architect，今年的确比去年有了差不多 20%-30% 左右的提升。但 MSM 还需要跟 ZK 证明生成的其他模块来进行交互，PCIE 的效率会成为数据搬运方面的瓶颈。去年我们做了一个很强大的 FPGA 机器，可以在 10 毫秒左右完成 2 的 26 次方左右的 MSM 计算。这已经是可以实现的最大速度了，但依然做不到真正的实时 zk 证明生成，很多计算步骤还是在几分钟的耗时。在我们看来的“实时生成”，是要把任意 ZK 电路的证明生成时间控制在 1-5 秒左右，这需要更优秀的方法来实现。

5. Faust:对于 ZK Prover Market 或者说 ZK 挖矿的矿工收益模型，各位怎么看？

Leo: 矿工的主要收益来自于项目方的代币，比如 Scroll、Zksync 和 Starknet，矿工的收益很大程度取决于项目方的币价。长期来看会是一个很大的市场，特别是在比特币减半之后，我觉得 ZK 应该整个硬件或者对于 ZK 挖矿来说应该是一个逐渐扩大的市场。

Vincent: 我们 Scroll 在 ProverMarket 有一些研究。ProverMarket 市场的大小将取决于 ZK 项目的数量和需求。随着越来越多的项目采用零知识证明技术，对 Prover 的需求也会相应增加。这种需求是相辅相成的，意味着零知识证明技术的普及和应用将推动 ProverMarket 的增长。

在通用性问题上，多种不同的应用和算法都有 zk 硬件加速的需求，比如我们熟知的 Snark 算法。但能否实现 ZK 系统的大统一在于能否开发出覆盖所有 ZK 项目的通用应用场景，这需要评估和优化算力的分配，避免算力的分散导致小型项目资源不足，同时防止已经具有强大算力的项目过度集中资源。

Marco：其实从 Aleo 这个角度来看的话，我们也在构思 Prover Market 的方案。如果我要隐私转账，那我确实需要人帮我把 ZKP 算出来，因为我本地算的话太慢了，需要很长时间。那谁帮我算 ZKP 我愿意付钱，其实有一些产品在陆续的提出来，但关键的问题在于安全的保障，因为你叫别人帮你算 ZKP，你就要把数据提供给他，这里面有隐私泄露的麻烦。现在有一些提案在思考如何解决这类问题。

6. Faust：最后是 CKB/Nervos 公链联合创始人 Jan 问过的一个问题，像 Lumoz 还有 Polygon 都提过 Prover Market 的概念，但这里有马太效应，硬件设备比其他人强的矿工，永远比其他人先生成 ZK 证明，绝大多数的挖矿收益最后都会被那么一两个大矿工来控制。各位老师认为如何解决不同矿工的证明生成效率差异太大的问题？

Leo: 我觉得这是一个亘古不变的话题，就是怎么平衡效率与公平。这个其实在不同阶段可以用不同的做法，可能在一个在初期的阶段我们更注重效率一点。就是说我们希望给客户提供更优质、更快速的一个服务，吸引更多的客户，这样整个的雪球才会越滚越大。在雪球越滚越大的时候，就可以开始注重公平了。Cysic 自己的硬件就已经开始出货了，在开始出货的时候其实是可以购买一些这种性价比挺高的一个硬件，来达到跟大家差不多的一些效率。

从协议设计的角度，你也是可以做出一些相应的调整的。因为在那个时候大家的硬件的速度都有了一个不错的一个提升。在有不错的提升的时候，比如说我们假设 a 是速度最快的，b 是速度第二快的，然后 c 是速度第三块，就注意这里 a 可能是一个群体，b 可以是一个群体，c 可以是一个群体。你可以通过一些调度来调整，速度稍微慢一些的群体依旧是可以参与的，依旧是可以从中分得一些利益的。

当然公平不能强求，比如说他的投入没有大矿工的 prover 那么高，其实从公平的角度来看也不应该获得那么大的一个利润。这是我们后面会使用的一个设计哲学。

Marco: 这是一个挺难回答的问题。如果从 PoW 的角度来说，我们会希望把门槛降低，就像 Aleo 的 testnet3 的时候，一个 proof 既可以被 4090 计算，也能被一个 mobile 计算，收益是按照能力比来算出来的。如果是为实际业务需求服务，还是希望做的又快又好，谁先算出来谁就赢得激励，大矿工卷硬件对于 ZK 需求方是有好处的，但真要解决公平问题，其实很难。

Lynndell：我觉得这个问题顺其自然就好，现在比特币也是这样，谁的算力大或者矿池的算力，挖到的矿就很多。其他普通用户根本就没戏，就只能提供算力去加入矿池。所以 ZK 这边也是一样，它跟 Pow 几乎是相同的，就是靠算力，这么一来的话顺其自然就行。

文章来源于互联网:ZK 硬件加速大讨论：一个堪比 POW 矿业的全新市场

相关推荐: 下一个炒作 ETF 的会是什么代币？

为什么那么多人选择 SOL ？是因为它有“共识支撑”。 上周五发起了一个投票“在 $BTC $ETH 之后，你觉得下一个炒作 ETF 的会是什么代币？”结果 63.6% 的人选择了 SOL 。 ETH ETF 通过之后，市场确实对 SOL 的呼声很高⤵️ 渣打…