欢迎阅读 ChainFeeds PRO # 83。本次内容将包含如何利用 ZK Proofs 和可验证的隐私保护伪随机函数,将 Web2 数据移植到区块链上,以及每周更新内容:比特币协议进展、以太坊治理相关、最新研究和进展,和最新论文。
重点
Web2 Nullifiers using vOPRF
PSE 研究员 Rasul Ibragimov 探讨了如何利用零知识证明和可验证的隐私保护伪随机函数(verifiable Oblivious PseudoRandom Functions,vOPRF)技术,将 Web2 数据(如电子邮件地址、社交媒体账号等)移植到区块链上,同时实现数据的可验证性和隐私保护。
vOPRF 是一种密码学协议,通常涉及两个参与方:客户端和服务器。以下是它的工作流程:
客户端生成随机数:客户端提供一个输入(如电子邮件地址或用户ID),并对其进行加密或混淆,生成一个随机数,然后将这个随机数发送给服务器。
服务器处理并生成响应:服务器使用自己的私钥对客户端发送的随机数进行处理,生成一个新的随机数。同时还会生成一个零知识证明,然后将新随机数和零知识证明返回给客户端。
客户端计算并验证:客户端使用自己生成的随机数和服务器返回的新随机数,计算出一个最终的伪随机值,称为 nullifier。同时验证服务器的零知识证明,确保服务器没有作弊。
数据上传到区块链:客户端将生成的 nullifier 和零知识证明上传到区块链。区块链上的智能合约会验证零知识证明的有效性。如果验证通过,nullifier 会被记录在区块链上,表示用户的电子邮件地址(或其他数据)已被验证。
用户可以使用 nullifier作为自己的匿名身份,参与区块链上的各种应用(如匿名投票、匿名论坛等)。用户的真实数据(如电子邮件地址)从未被暴露,只有用户自己知道。即使区块链上的数据是公开的,也无法通过 nullifier 反推出用户的真实信息。
Local block building and gas limit increases
Flashbots 研究员 dataalways 探讨了以太坊提高 Gas Limit 的背景、影响和潜在后果。 EIP-4844 引入 Blob 扩容后,本地构建区块的重组率(Reorg Rate)仍保持稳定,验证了网络共识对区块体积增大的适应性,这成为提高 Gas Limit 的关键依据。
然而,由于 MEV-Boost 构建的区块平均 Gas 消耗量(约 15M)接近非 MEV 区块(约 8M)的两倍,而区块体积膨胀会延长传播验证时间、推高重组风险,因此社区对 Gas Limit 的提升一直持谨慎态度。但过去一年,隐私内存池的普及(如 Geth 施行最低优先费机制、MetaMask 默认采用私有交易)导致非 MEV 区块的 Gas 使用量大幅下降,客观上降低了重组概率,使得提高 Gas Limit 的风险可控。
历史经验表明,EIP-4844 释放的额外区块空间几乎被 DeFi 套利机器人占据——更低的 Gas 费用使微小价差套利成为可能。而本次 Gas Limit 提升预计将加剧这一趋势,进一步推高私有内存池交易的占比。尽管这可能强化 MEV 构建者的优势,并影响最低竞价(Min-Bid)等机制,但当前的抗审查能力仍能在一定程度上平衡中心化压力。未来,若通过 EIP-7623 限制区块的最大体积,Gas Limit 仍有进一步提升的空间。
比特币协议进展
Bitcoin Optech Newsletter #340
LDK 的支付通道强制关闭漏洞:开发者 Matt Morehouse 在 Delving Bitcoin 上披露了一个影响 LDK 的漏洞,目前已修复。该漏洞可能导致 LDK 无法结算开放通道中的 HTLC(Hashed Time Locked Contracts),从而促使对手方强制关闭支付通道,以便在链上结算 HTLC。尽管该漏洞不会直接导致资金被盗,但受害者可能需要承担关闭支付通道的链上费用,以及重新开启支付通道的费用,同时降低了通过 LN 转发交易赚取手续费的能力。
LN 通道公告的零知识传播(Zero-knowledge gossip):开发者 Johan Halseth 在 Delving Bitcoin 上提出了一种对 LN 通道公告协议(v1.75)的扩展方案,该方案允许 LN 节点验证某个通道确实由一笔资金交易(funding transaction)支持,从而防止低成本的 DoS 攻击,同时不会泄露具体的资金 UTXO,提升隐私性。
优化交易集排序(Cluster Linearization)的研究:开发者 Stefan Richter 在 Delving Bitcoin 上分享了一篇研究论文,该论文提供了一种算法,用于高效地找到一组交易中费率最高的子集,并确保这些交易子集在区块中具有有效的拓扑结构。该发现对比特币的 Cluster Mempool 研究至关重要,因为它可以:1.立即生成一个有效的交易排序;2.在空闲 CPU 资源下执行更优化但较慢的排序;3.如果 1989 年的最大比率闭包(maximum-ratio closure)算法足够快,则可始终使用它来优化排序。
LN 临时锚定脚本的取舍:开发者 Bastien Teinturier 讨论了 基于 TRUC(Taproot Update Commitments) 的 LN 承诺交易(commitment transactions)应使用哪种临时锚定(ephemeral anchor)脚本。该脚本决定了谁可以使用 CPFP(Child Pays for Parent)来提高交易费率(fee bumping)。他提出了四种方案:1.P2A(支付给锚定)脚本;2.单方密钥锚定;3.共享密钥锚定;4.双密钥锚定。
模拟 OP_RAND 实现 :开发者 Oleksandr Kurbatov 提出了一种不依赖高级脚本(如 OP_RAND)的方法,实现随机支付。该方法利用特殊构造的公钥进行交互式协议,使得交易的支出方和接收方都无法预测最终支付结果。该方法可能对概率支付(probabilistic payments) 产生重要影响,例如用于 LN 中的小额 HTLC 支付,提高链上资金利用效率。
以太坊
研究和进展
State tree preimages file generation
以太坊基金会成员 Ignacio Hagopian 探讨了以太坊协议如何从现有的 Merkle Patricia Trie(MPT) 状态树迁移到更高效的树结构(如 Verkle 树或二叉树)。在迁移过程中,执行层客户端需要将 MPT 中的数据转移到新树中,这意味着客户端需要知道每个 MPT 键的原始数据(即预映像,如账户地址或存储槽值),才能正确生成新树的键。然而,大多数以太坊客户端(如 Geth、Nethermind)并没有存储这些原始数据,因此迁移过程中可能会遇到预映像缺失的问题,导致无法完成状态转换。
为了解决这一问题,文章提出了通过 EIP-7612 和 EIP-7748 实现状态冻结和逐步迁移的方案。具体来说,EIP-7612 会在分叉区块冻结 MPT,使其变为只读状态,并创建一个新的空树(如 Verkle 树或二叉树)。之后,所有的状态更新都只写入新树,读取状态时则先查新树,如果未找到再查 MPT。接着,EIP-7748 会在指定的时间戳开始状态转换,按深度优先遍历的顺序从 MPT 中逐步迁移数据到新树。每次迁移的条目数由 CONVERSION_STRIDE 决定,这是一个权衡迁移速度和区块执行开销的参数。为了支持这一迁移过程,预映像文件需要包含所有 MPT 键的原始数据,并通过 CDN 等方式分发给所有节点。客户端可以通过验证文件的哈希值来确保其完整性。
Three-Tier staking (3TS) - Unbundling Attesters, Includers and Execution Proposers
以太坊研究员 soispoke 提出了一个名为「三层次质押」(3TS)的新框架,这个框架的核心思想是将当前以太坊验证者的复杂职责拆分为三个独立的角色:证明者、包含者和执行提议者。每个角色专注于不同的任务,从而让不同类型的参与者可以根据自己的资源和能力选择最适合的角色。
证明者负责验证区块的正确性,确保网络的安全性。他们通过质押 ETH 来参与,并获得相应的奖励。如果区块有问题,他们的质押可能会被罚没(即「罚没机制」)。
包含者的任务是确保交易的抗审查性,即防止某些交易被恶意排除在区块之外。他们通过构建「包含列表」来约束执行提议者,确保所有合法交易都能被处理。
执行提议者则负责提议区块并处理复杂的交易策略(如 MEV)。他们需要较高的硬件和资本投入,但可以通过吸引其他用户的委托来竞争区块提议权,并获得 MEV 和交易优先费的收益。
通过这种职责分离,不同类型的参与者可以根据自己的资源和偏好选择角色,既能提升网络性能,又能保持去中心化和抗审查性。例如,普通用户可以选择成为证明者或包含者,而大型机构则可以专注于执行提议者角色,处理复杂的交易策略。这种设计不仅提高了网络的弹性,还确保了在某一角色出现问题时,其他角色可以临时接管,保障网络的正常运行。
Blob Aggregation - Step Towards More Efficient Blobs
开发者 kustrun 提出了一种优化以太坊上 Rollup 数据存储和传输效率的技术方案:Blob Aggregation,它的核心是每个 Rollup 将自己的数据打包成一个 Blob Shard,包含数据内容、签名(用于验证数据来源)和元数据(如数据长度)。Blob Aggregator 负责收集多个 Rollup 的 Blob Shard,并将它们合并成一个更大的 Aggregated Blob。Shared Blob Registry(以太坊上的智能合约)负责验证 Blob Shard 的正确性,计算每个 Rollup 应该支付的费用,并奖励 Blob Aggregator。通过聚合,每个 Rollup 只需要支付自己实际使用的 blob 空间费用,而不是整个 blob 的费用。降低了小规模 Rollup 的成本,同时也提高了 blob 空间的利用率。
Blob Aggregation 基于现有的技术(如 MEV-boost 和 Flashbots bundles),任何人都可以参与提供 blob 聚合服务,并通过密码学确保数据安全。
Impact of Consensus Issuance Yield Curve Changes on Competitive Dynamics in the Ethereum Validator Ecosystem
DeFi 研究员 Antero Eloranta 重点分析了以太坊验证者生态系统中的竞争动态、弹性以及验证者对重大事件的反应,得出了以下几个主要结论:
大型验证者池(100+ 验证者)的平均回报比单个验证者池高出 12%。如果不实施 MEV-Burn,提议的奖励曲线调整可能会进一步扩大这一差距,使大型验证者池的回报比单个验证者池高出 13-15%。
独立质押者对相对收益下降非常敏感,但对总质押收益或 DeFi 收益变化反应较小,表明其更关注竞争地位而非市场整体状况。此外,独立质押者在以太坊价格上涨时更不愿退出,显示出负弹性,而其他验证者(如质押池和某些实体)在价格上涨时更可能退出。
允许质押提款后,大型质押池的存款增加,而中心化交易所和流动性质押提供者的提款增加。
Native Rollup for 3SF
Titania 研究员 adust09 提出了一种结合 Native Rollup 和 3-Slot Finality (3SF) 的新架构。Native Rollup 通过直接在 L1 验证 Rollup 的 EVM 交易,确保高安全性和实时结算。3SF 通过将区块最终确定性缩短为三个时隙(slot),减少了用户等待区块确认的时间。相比传统的单时隙最终确定性(SSF),3SF 通过合并投票轮次,降低了签名聚合和网络传播的开销,从而加快了区块的确认速度。在 Native Rollup 中,zkRollup 的证明生成(由 zkEL 完成)通常需要较长时间,可能无法在一个时隙内完成。3SF 通过延长最终确定性的时间窗口,为证明生成提供了更大的灵活性,允许证明在多个时隙内完成,而不会影响区块的最终确定性。
zkFOCIL: Inclusion List Privacy using Linkable Ring Signatures
EF 研究员 George Kadianakis 指出当前 FOCIL(EIP-7805)机制中存在隐私问题,因为包含者(includers)的身份是公开的。为了解决这一问题,他提出了一种基于 Linkable Ring Signatures (LRS,可链接环签名) 的方案,以实现验证者在发布包含列表(inclusion lists)时的匿名性。具体来说,每个验证者生成一个 LRS 密钥对,并将其公钥注册到区块链上。验证者通过计算其临时环签名密钥(即 key image)来判断自己是否被选为包含者。由于只有验证者自己能够计算其 key image,因此只有他们自己知道是否被选中,直到他们决定公开自己的身份。被选中的包含者构建并广播包含列表,并使用其 LRS 签名密钥对列表进行签名。提案者在收到包含列表后,验证签名的有效性,并检查是否有重复签名。此外,他还提出了一种基于通用 SNARK 的 LRS 方案,利用验证者的 BLS 身份密钥对来生成签名和证明。该方案避免了额外的密钥注册步骤,但增加了实现的复杂性。
Delayed Execution And Skipped Transactions
以太坊研究员 Toni Wahrstätter 指出在当前以太坊协议中,验证者在接收到新区块后必须立即执行所有交易,以确保区块的有效性。这种即时执行机制要求验证者进行大量的实时计算,导致网络面临较大的压力。为缓解这一问题,Toni 提出了一种延迟执行(Delayed Execution)的方案。其核心思想是将区块验证与交易执行解耦。具体来说,验证者在初步验证区块时,仅需基于前一个区块的状态进行最小化的静态检查,而无需立即执行所有交易。区块头中的执行输出(如状态根)暂时引用父区块的值,而不是立即生成新的执行结果。实际的交易执行则被推迟到区块被网络初步验证和确认之后。
此外,延迟执行机制引入了一个新的概念:跳过交易。即使某些交易在执行时可能失败,它们仍然会被包含在区块中,但不会立即执行。为了防止无效交易消耗网络资源,区块提议者需要预先支付包含成本(inclusion cost)。即使交易被跳过,网络也能通过预先支付的费用获得补偿,从而避免资源浪费。
可编程密码学
Part 1: Hardware Basics | Hardware Acceleration of FHE
Furkan Akal 指出 FHE的计算开销极大,其核心操作包括多项式乘法、大系数模运算和噪声管理的自举操作(bootstrapping),这些操作的计算复杂度极高,尤其是多项式乘法和自举操作,占据了大部分计算开销。因此硬件加速成为实现 FHE 实际应用的关键。Furkan Akal 提出通过 CPU、GPU、FPGA 等不同硬件架构来加速 FHE 的计算:
通过 CPU 加速 FHE。将 FHE 操作分解为多个子任务,分配到多个 CPU 核心上并行执行;利用 CPU 的乱序执行能力,挖掘 FHE 操作中的指令级并行性(ILP),减少指令依赖带来的性能损失。
通过 GPU 加速 FHE。利用 GPU 的数千个 CUDA 核心,将 FHE 操作(如多项式乘法和模运算)并行化;使用 GPU 的 Tensor Core 加速矩阵运算,适用于 FHE 中的某些计算模式。
通过 FPGA 加速 FHE。在 FPGA 上实现针对 FHE 操作的定制化硬件模块,如高效的模运算单元、NTT 加速器和密钥管理单元;利用 FPGA 的可重构性,动态调整硬件逻辑以适应不同的FHE参数或操作模式。
MEV 相关
The MEV Letter #73
Flashbots 团队推出垂直于 MEV 研究领域的 Newsletter,以下是一些重点摘录:
文章《Pandora’s Box: Cross-Chain Arbitrages in the Realm of Blockchain Interoperability》对跨链 MEV 进行了系统研究,分析其盈利能力、排序器激励机制以及安全影响。
文章《FHE/TTEE Notes (NYC 2025 Jam)》讨论了TTEE 的未来,与 FHE 等软件加密方法的权衡,以及可能的实现路径。
文章《Uniswap v4 is Here – A New Era of DeFi》宣布推出 Uniswap v4,带来更低的 gas 费用、部署至 10 条链,并引入「hooks」机制,允许开发者自定义 AMM 逻辑。
文章《Blob Aggregation - Step Towards More Efficient Blobs》提出一种无权限设计,允许 Rollup 聚合 blob 交易,以降低成本并减少网络拥堵。
文章《Canonical cross-chain swap: fast and decentralized settlement for cross-chain swap using canonical/native L1->L2 messaging》详细介绍了利用原生 L1→L2 消息传递的跨链交换协议,减少对中心化中介的依赖,提高结算速度,并降低流动性碎片化风险。
文章《Trustless TEEs Today: ZTEE Ledger, Masking and Quorum Rotation》提出去中心化、无信任、可升级的 TEE 验证系统,以确保芯片完整性并抵抗物理攻击。
文章《ETH Issuance Discovery Research: Issuance Debate & Case Studies By Staking Cohort》研究了以太坊发行量调整的潜在影响,包括对质押者的影响以及对网络安全的可能后果。
视频《Indexed Podcast: A deep-dive on $TRUMP》研究了 TRUMP 代币的代币经济学及其链上活动。
视频《The Gwart Show: Tornado Cash, the DOJ and Coin Center》邀请了 Peter van Valkenburgh 讨论 Coin Center 的工作,以及 Tornado Cash 案件的最新进展。
📑论文
How to Prove False Statements: Practical Attacks on Fiat-Shamir
作者来自:Ethereum Foundation、Succinct
作者提出 FS 变换在实际应用中存在安全隐患。Fiat-Shamir(FS)是一种将交互式协议转换为非交互式协议的密码学技术,广泛应用于零知识证明和其他密码学协议中。作者展示了一种针对基于 GKR 协议的交互式简洁论证的攻击,表明对于任何 FS 哈希函数的选择,该协议在 FS 变换后都不具备适应性安全性(adaptive soundness),即攻击者可以为错误声明生成被接受的证明。此外,研究还扩展了攻击方法,表明对于任何电路和期望输出,都可以构造功能等效的电路并生成虚假证明,这意味着安全性必须依赖于电路的具体实现而非功能本身。