當 ZKP 遇上 DePIN,Cysic 如何將 PoW 帶回以太坊?
你有沒有想過,PoW 會重返以太坊?透過 Cysic,我看到了可能。
去年 5 月,Vitalik 在黑山表示「未來 10 年,以 ZK 爲底層技術的 zk-SNARKs 將與區塊鏈一樣重要」,標志着以太坊選擇了 ZK。一年後,Vitalik 空降香港,再次表示 ZK 是以太坊的未來,並指出硬件加速是突破 zk-SNARKs 瓶頸的方向。
關於 ZKP 加速的討論由來已久,學術界與工業界一直在研究如何優化 ZK 算法進行加速。但作爲另一種解,硬件加速在 2022 年才爲人關注。這一年或許是 ZKP 硬件加速的元年,Aleo 牽頭的零知識密碼學領域質量最高、技術最爲深厚的硬件加速 ZKP 技術競賽平台 ZPrize 正式上線,Paradigm 的《ZKP 的硬件加速》、IOSG 的《爲什麼我們看好零知識證明硬件加速》相繼發表。筆者留意到有人說「算法不夠,硬件來湊」,言語間流露出對硬件加速的不屑,但正如 ZPrize 所言:
雖然在軟件和算法方面,零知識密碼學在過去幾年中取得了巨大進步,但硬件加速一直是只有少數人探索的方向。很多人忘了,現代密碼技術在 CPU 中原生實現後才有了實用價值。硬件加速並不一定意味着 ASIC,它還意味着(單獨或組合)優化 GPU、CPU、FPGA 和移動設備的新方法,以更快地生成零知識證明。
大多數人開始正視 ZKP 硬件加速離不開 2023 年 Aleo 的 PoSW,其爲 MSM 與 NTT 計算引入了經濟激勵。今天故事的主角不是 Aleo,而是要提供 GPU、FPGA、ASIC 全套解決方案的實時 ZK 證明生成層 Cysic。它們將要發布 ZK Air 和 ZK Pro 兩款 ZK DePIN 設備,並將於近期開啓礦機預售。可以這麼說,Cysic 不僅僅是一個面向 B 端的服務提供商,而是要承接所有存在 ZK 計算場景的算力需求。它對於不同 ZK 算法的適應使其能夠構建一個 DePIN 網路,將 B 端服務向擁有各種算力的 C 端用戶開放。換言之,任何人都可以進入 Cysic 網路,參與用戶越多,算力越高,ZK 證明也就越快。最終,ZK 無處不在並融入日常生活。
這個敘事過分迷人,筆者從未想過遙不可及的 ZKP 硬件加速真的可以離普通人這樣地近!今天,Foresight News 將深入探究 ZKP 硬件加速、Cysic 特性及其硬件產品、DePIN 網路基礎設施,看一看 Cysic 究竟想要做什麼,市場潛力又有多大?
押注 ZKP 硬件加速市場:Cysic 背景與願景
Cysic 是一個創辦於 2022 年 8 月的實時 ZK 證明生成和驗證層,基於自研 ASIC、FPGA、GPU 芯片提供 ZK 計算即服務(ZK-CaaS)。2023 年 2 月,Cysic 完成 600 萬美元種子輪融資,Polychain Capital 領投,HashKey、SNZ Holding、BCHDE、A&T Capital 和 Web3.com 基金會參投。同年 10 月,Cysic 憑藉 FPGA 獲得 ZPrize「Beat the Best(FPGA/GPU)」一等獎。
Cysic 創始團隊背景不凡,實力強勁。聯創 Leo Fan 負責 Cysic 系統架構和密碼學研究。他在中科院獲得計算機科學碩士學位後前往康奈爾大學攻讀計算機科學博士學位。在校期間,他還在 IC3、雅虎、貝爾實驗室和 IBM 等機構擔任研究員。畢業後,Leo 加入 Algorand 負責密碼學研究工作。目前,他同時在羅格斯大學計算機科學系擔任助理教授。聯創 Bowen Huang 從耶魯大學的博士 Quit 之後,獲得了耶魯大學的碩士學位。目前,他在 Cysic 主要負責芯片和供應鏈的管理。此前,他曾在中國科學院計算技術研究所擔任研究工程師。基於對密碼學與硬件加速的敏銳,他們在 2022 年之前就意識到 ZK 是整個區塊鏈行業的終極擴容方案,而硬件加速是實現這一終局方案的必然技術路線。
目前,ZK 領域主要以 zk-SNARKs 與 zk-STARKs 兩種證明系統爲主。其中,Zcash、Scroll、Taiko、Mina、Aztec、Manta、Anoma 等均採用 zk-SNARKs,而 Starknet、StarkEx、zkSync(已過渡至 Boojum)等則採用 zk-STARKs。此外,還有以太坊歷史數據協議 Axiom、ZK 技術開發商 Nil Foundation 等 ZK 項目。據 Cysic 估算,當前市場上有 50 多家市值共超千億的頭部 ZK 項目,而 ZKP 應用賽道的總估值已超 150 億美元。
過去兩年,ZK 賽道常爲人所詬病的就是證明生成時間長,對資源的需求高。以 Scroll 爲例,其採用 GPU 進行 ZK 證明生成至少需要 1 個小時與超過 280GB 的 RAM。這兩者不僅阻礙了 ZKP 大規模採用,也延滯了以太坊的商業化進展。盡管 STARK 要比 SNARK 證明生成時間更快,但它們都需要使用硬件加速將證明速度從小時級別提升至秒級別。ZKP 的願景是實現與以太坊同時出塊,若無法突破瓶頸,Vitalik 所期待的 ZK「實時證明」將無法實現。
另一方面,盡管以太坊基金會將 ZK 作爲擴容的未來,但 ZK Rollup 在以太坊 L2 領域的市場份額並不具有說服力。當前 TVL 前 5 大 L2 均採用 Optimism Rollup,ZK Rollup 市場份額僅佔 8.5%,唯一一個市值超過 10 億美元的 ZK Rollup 項目是 Starknet,而這在很大程度上也是由於基金會的生態激勵與空投預期。既然 ZK 賽道估值甚高,若是硬件加速能夠大部分解決當前困境,那麼市場潛力可見一斑。
Cysic 野心很大,他們的終極目標是提供全套 GPU + ASIC 硬件加速解決方案,瞄準的是 ZK Rollup、zkML、ZK Bridge 等所有存在 ZK 計算場景的算力需求。作爲一種過渡,過去一年 Cysic 自研了 FPGA 加速硬件,能夠涵蓋 Halo2、RapidSnark、Plonky2x 等多種證明系統,其通用性與靈活性前所未有,業務市場更是一片星辰大海。
ZKP 硬件要加速什麼?從 ZK 證明系統說起
介紹完 Cysic 與 ZKP 硬件加速市場的潛力,我們回過頭來看看 ZKP 硬件到底要加速什麼。從根本上來說,硬件要加速的就是 ZK 證明計算,凡是涉及到計算,那就是在比拼算力的多寡,這也是爲什麼我會認爲 ZKP 是在將 PoW 帶回以太坊的原因。但從更微觀的角度來看,ZKP 硬件究竟要加速哪方面的計算?在這裏,筆者將以 zk-SNARKs 證明系統爲例,說明從「算術化」(arithmetisation)到證明生成與驗證的過程。
首先,用戶在鏈上的任何交易行爲都會被打包進鏈下的 Rollup,因此交易行爲與交易量將決定電路與 ZK 證明的復雜性。
其次,當交易數據被提交後,將進入「算術化」過程。所謂「算術化」,就是將這些數據構建成 ZK 電路並轉換成多項式形式的數學公式。與通常程序開發類似,ZK 證明系統也分爲「前端」與「後端」。「前端」是指各類交易數據需要通過 R1CS、PLONK 等約束語言構建成向量、矩陣等電路並轉換成多個多項式,通俗理解就是將電路圖轉化成數學公式來表達,並且可以通過數學公式來對電路進行指導,這個過程就是「算術化」的過程。如果交易越復雜、交易量越多,那麼電路的規模就會越大,多項式的階數也會越多。
在算術化的基礎上,就需要構建 ZK 證明系統這個「後端」,通過它們來生成零知識證明。下圖就展示了 zk-SNARKs 證明系統的構成(Justin Thaler 認爲 zk-STARK 是一種 Fri-Based 的 zk-SNARK),包括 PIOP 與 PCS 兩大部分。流行的 PIOP 有 PLONK、GKR,流行的 PCS(多項式承諾方案)有 FRI、KZG。通常 PLONK + IPA 可構建 Zcash 版本的 Halo2 證明系統,PLONK + KZG 可構成 PSE/Scroll 版本的 Halo2,PLONK + FRI 可構成 Plonky2。目前的 ZK 證明系統主要包括基於 KZG 的 Halo2、Groth 16 等等。
以 Groth16 爲例,我們可以將計算過程拍平並通過 R1CS 約束形式表達成 C-SAT(電路可滿足性)問題,然後將 C-SAT 問題歸約爲 QAP 可滿足性問題 ,最終會得到一系列公共的多項式 Ui(x)、Vi(x)、Wi(x)、T(x) 與 向量 a,其中向量 a 包含了公共輸入(Public Inputs)與祕密(witness),它們之間滿足下圖所示的關係。對於 QAP 可滿足問題,給出 a 進行 QAP 的驗證很簡單,但是反向通過公共多項式求解 a 則會非常困難,那麼我們就將證明計算過程的真實性與完整性轉化爲證明 Prover 擁有 a(i) 這一問題中來了,這一步對 ZKP 後端的構造尤爲重要。
至於 ZKP 的後端,可分爲 Setup、Prover 與 Verifier 三個階段,其中每個階段會用到一些參數。我們需要將算術化之後的多項式與一次性祕密隨機數 R(「可信設置」概念的來源)同時輸入到 Setup 中,在設置後分別通過 Sp、Sv 參數允許 Prover 和 Verifier 生成、驗證證明。其間,Prover 需要公共輸入與祕密執行計算、生成證明;Verifier 可通過證明、公共輸入進行驗證。而在這個過程中,Verifier 不會知道祕密是什麼。
在 Prover 生成證明的過程中,需要的是大量的計算。那麼如何讓證明生成的計算更快?這就是硬件的用武之地。在當前情況下,唯一的方案就是用硬件來提高計算能力,算力越高,耗時越短。
不同的證明系統有不同的計算量較大的密碼學原語,在基於 PLONK + KZG 證明系統中,耗時最多的是 MSM(Multi-Scalar Multiplication)和 NTT(Number Theoretic Transform)兩種計算類型。在 zk-STARK 中,主要計算瓶頸則是 NTT 與 Merkle Hash。MSM 主要處理與橢圓曲線相關的計算,NTT 是作用在有限域上的 FFT(快速傅立葉變換),可以理解爲 FTT 的變體與優化,用於處理與多項式相關的計算。目前幾乎所有主流 ZK 協議都在大量使用這兩種計算,它們合起來要佔證明生成時間的 80-95%。通常來說,MSM 計算任務會佔全部計算任務的 60-70%,NTT 會佔 25%。當然,在不同的實現中二者的比例會隨之不同。既可以針對性地根據計算任務比例對 MSM 或 NTT 進行單一加速,也可以對二者同時進行加速。
過渡的 FPGA,終點的 ZK ASIC
辯證地看,計算任務的工作量大也意味着這是一些相對簡單的流水線操作,只要算力夠強就行。由於 ZK 證明計算的算法是確定性的,只需要對證明結果的生成進行重復計算,因此針對特定操作的專用硬件架構實現比軟件實現更具優勢。如果能夠實現並行化計算,那麼計算難度將大大降低。巧的是,MSM 與 NTT 都可通過高性能硬件加速,並且支持並行化計算。
Cysic 技術進展與路線圖
如前文所述,Cysic 的終極目標是做 ZK ASIC 加速,提供包括 MSM 和 NTT 計算在內的全套 ASIC 硬件加速解決方案。但正如 Leo Fan 所言,「在做 ASIC 之前,是需要在 FPGA 上面做很多測試和 prototyping 的事情」。
過去一年,Cysic 已經完成第一階段的 POC 設計工作,開發了基於 FPGA 的 MSM、NTT、Poseidon Merkle Tree 等計算加速器,以及覆蓋全工作流的端到端的 ZK 硬件加速方案。
Cysic FPGA 原型機(組裝中的狀態)
從最新公布的數據來看,Cysic 的 SolarMSM 可以在 0.195 秒內完成 2³⁰ 規模的 MSM 計算,是目前所有公開的 FPGA-MSM 硬件加速結果中性能最高的方案。SolarNTT 則可以在 0.218 秒內完成 2³⁰ 規模的 NTT 計算。同時,Cysic 當前的 FPGA 加速方案已經應用到 Scroll 的 ZK 計算中,對於 2²² 規模的 MSM、NTT 計算均可在 1 毫秒左右(0.001 秒)完成。
GPU、FPGA 與 ASIC 之比較
至於爲什麼終極目標與第二階段要研發 ASIC,我們要回到加速硬件的比較中來考察。硬件加速的優點在於降低功耗、減少延遲、提高並行性、增加吞吐量,可以更好地利用集成電路上的面積與功能組件。通常來說,由於 CPU 其計算時間長、能耗高,基本已不被納入採用範疇。市面上加速硬件主要爲 GPU、FPGA 和 ASIC 三種,它們在通用性、效率方面各有側重。
目前,幾乎所有 ZK 項目都在使用 GPU 進行硬件加速,因爲 GPU 已經足夠普及,使得它成爲了在專用硬件生產出來之前唯一的硬件加速載體。對 ZK 硬件加速廠商而言,GPU 是當前最經濟和可配置的硬件選擇。通過例如 CUDA SDK 這種軟件層面的支持,GPU 的多核結構也適合並行化例如 MSM 類的計算。然而,GPU 存在一些局限,譬如使用 3080、3090、4090 這樣的顯卡極易受限於硬件平台,例如主板帶寬等。
與 GPU 一樣,FPGA 也是可編程的,在運行時可重新配置,能夠根據系統規格和特定應用重復用於不同的算法,通用性與靈活性更高。同時,FPGA 也更適合 FFT、NTT 計算類型。說到底,在 FPGA 硬件研發出來之後,它也變成了一種軟件遊戲。此外,雖然單個 FPGA 打不過 GPU,但是很多個 FPGA 連在一起,性能就比 GPU 高出很多倍。同時,頂級 FPGA 要比頂級 GPU 的硬件成本便宜 3 倍。在能耗比上,由於 GPU 需連接主機設備,而主機設備耗電嚴重,因此 FPGA 的能效要高上 10 倍。但是,相比於 GPU,FPGA 芯片的獲取成本,和供應鏈的配套需求相對較高。
ASIC 是一種爲了滿足某種特定需求而定制的專用芯片,其性能之高、算力之強已經被包括 Cysic 在內的 ZK 硬件加速廠商視爲終極解決方案。但 ASIC 的業務邏輯是「一次寫入」,不可編程,只能針對特定的單一任務,無法並行處理多個 ZK 算法。ASIC 在性能與能耗上都優於 GPU 與 FPGA,但需要的生產週期較長。此外,作爲一個資本密集型遊戲,ASIC 的生產成本也要更高。
來源:Amber Group
綜合比較下來,我們也就能夠理解爲什麼 Cysic 首先選擇了自研 FPGA 加速硬件。因爲在 ASIC 尚不具備通用性、成本過高、上市時間長的情況下,FPGA 是過渡時期搶佔市場的最佳方案。具體來說,Cysic 的 FPGA 硬件能夠適應 Halo2、RapidSnark、Plonky2x 等多種 ZK 證明系統,可以執行當今所有主流的 ZK 算法(指的是 ZK 證明生成中的計算操作)。換言之,凡是存在 ZK 計算場景的算力需求,FPGA 都能夠適應,包括 ZK Rollup、ZKML、ZK Bridge 等等。同時,ZK 證明生成不僅對計算要求很高,而且對內存要求同樣很高。今天 Scroll zkEVM 電路的證明生成需要至少 280 GB 的 RAM,面對這種需求,FPGA 則可以不斷堆加,進行內存擴容。
自研 FPGA 也不代表 Cysic 放棄了 GPU 與 ASIC。Cysic 也在研發基於 GPU 的硬件加速方案,試圖提供更靈活的 ZK、AI 計算的加速服務。目前,Cysic GPU 算力網路已經連結了數十萬張高階 3090/4090 算力顯卡。
Cysic 顯卡與機房
而他們的內部數據已經顯示,Cysic CUDA SDK 比最新的開源框架提速了 50%-80% 以上,並且使用該 GPU SDK 爲多個頂級 ZK 項目方提供證明生成服務。同時,Cysic 關於 ASIC 的設計和流片工作也在進行之中。
ZKP + DePIN:Cysic Network 的星辰大海
如果僅僅只是 ZKP 加速硬件,那麼 Cysic 似乎無需過多筆墨點綴。但在 Helium Mobile 瘋狂在前、io.net 爆火在後的 2024,DePIN 的出現也給了 Cysic 更多的想象空間。
Cysic 真正要做的是一個基於 ZKP 硬件加速的 Prover Network。它不僅要將 FPGA、GPU、ASIC 等自研硬件接入 Prover Network,還將允許社區用戶提供各種類型的算力,通過構建一個去中心化算力網路給 ZK 證明生成計算增加經濟激勵與治理。
可以說,通過 Prover Network,Cysic 將一個面向 B 端的加速服務徹底向 C 端用戶開放,成爲 ZK 項目方、算力提供商與社區驗證者之間的橋梁,這在當前 ZKP 硬件加速市場上絕無僅有。在此之前,普通用戶不僅難以理解 ZKP,也很難說購買專用硬件給 ZKP 加速。但 Cysic 網路不再需要用戶掌握專業知識,由於其通用性,用戶只需提供算力即可進入 ZKP 算力網路。試想一下,整個網路中的用戶越多,算力越多,ZK 證明速度也會越快,秒級別的「實時證明」也將指日可待。
事實上,以太坊在 The Merge 合並後,原先的 PoW 礦工手上留有大量閒置的 GPU,對 Prover Network 來說這個存量市場可太寶貴了。不過,大多數人可能並沒有相應的硬件參與 DePIN 網路。怎麼辦?如何才能引入更多的社區用戶,做大增量市場?Cysic 做了一些 make sense 的事情,他們最近設計了兩款 ZK DePIN 芯片 / 設備,分別是 ZK Air 和 ZK Pro,預計將於 2025 年上市。
如上圖所示,ZK Air 的大小和充電寶 / 筆記本電腦電源接近。這是一種輕量級便攜式的 ZK DePIN 設備,其算力大於頂級消費級顯卡,用戶可通過 Type-C 將其連接到筆記本電腦、iPad 甚至手機上,通過 Prover Network 爲小規模 ZKP 提供加速服務,並獲得網路獎勵。同時,ZK Air 也可直接連接電腦在本地生成及時的 ZK 證明。ZK Pro 則類似於傳統礦機,主要服務於專有公司,適用於 zkRollup、zkML 等大型 ZK 項目。對絕大多數用戶來說,ZK Air 可能是一個更值得期待的產品。
ZKP 硬件加速與 DePIN 天然吻合。與 io.net 去中心化 GPU 網路面向 AI 與 ML 不同,Cysic 篤定 ZK 是區塊鏈行業的未來,憑藉自研硬件對不同 ZK 算法的適應能夠接納任何存在 ZK 計算場景的算力需求,加之背靠着超過 150 億美元估值的 ZK 市場,未來的增長潛力巨大。
肖風曾說,「區塊鏈與生俱來就是建立在 DePIN 之上,比特幣硬件挖礦是一個初級版的 DePIN」。ZKP 硬件加速讓我想起了比特幣 PoW 機制,但有了 Prover Network,Cysic 才算是真正構建起一個屬於 ZKP 的算力網路。正如 PoW 無需許可,DePIN 原語下的 ZKP 挖礦也將真正變得無需許可。不過,ZKP 挖礦與 PoW 挖礦還是有所不同,在傳統 PoW 機制中,算力越高越快的礦工才能獲得區塊獎勵,而其他人的工作量證明將作廢。Cysic 的 Prover Network 不存在無效工作量一說,用戶始終都可根據算力貢獻獲得激勵。
目前,用戶可參與 Cysic 在 Galxe 上的活動並獲取早期徽章,參與 NFT 鑄造,以及將於今年 5 至 6 月上線的測試網。據 Cysic 透露,部分早期參與者可獲得 NFT 激勵。
聲明:
- 本文轉載自[Foresight News],著作權歸屬原作者[Peng SUN],如對轉載有異議,請聯系Gate Learn團隊,團隊會根據相關流程盡速處理。
- 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
- 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得復制、傳播或抄襲經翻譯文章。
Статті на тему
加密敘事是什麼?2025年熱門敘事盤點(更新版)
免費收集和賺取! DePIN 被動收入項目的全面概述
關於Peaq Network - L1 DePIN 公有鏈
當 ZKP 遇上 DePIN,Cysic 如何將 PoW 帶回以太坊?
你有沒有想過,PoW 會重返以太坊?透過 Cysic,我看到了可能。
去年 5 月,Vitalik 在黑山表示「未來 10 年,以 ZK 爲底層技術的 zk-SNARKs 將與區塊鏈一樣重要」,標志着以太坊選擇了 ZK。一年後,Vitalik 空降香港,再次表示 ZK 是以太坊的未來,並指出硬件加速是突破 zk-SNARKs 瓶頸的方向。
關於 ZKP 加速的討論由來已久,學術界與工業界一直在研究如何優化 ZK 算法進行加速。但作爲另一種解,硬件加速在 2022 年才爲人關注。這一年或許是 ZKP 硬件加速的元年,Aleo 牽頭的零知識密碼學領域質量最高、技術最爲深厚的硬件加速 ZKP 技術競賽平台 ZPrize 正式上線,Paradigm 的《ZKP 的硬件加速》、IOSG 的《爲什麼我們看好零知識證明硬件加速》相繼發表。筆者留意到有人說「算法不夠,硬件來湊」,言語間流露出對硬件加速的不屑,但正如 ZPrize 所言:
雖然在軟件和算法方面,零知識密碼學在過去幾年中取得了巨大進步,但硬件加速一直是只有少數人探索的方向。很多人忘了,現代密碼技術在 CPU 中原生實現後才有了實用價值。硬件加速並不一定意味着 ASIC,它還意味着(單獨或組合)優化 GPU、CPU、FPGA 和移動設備的新方法,以更快地生成零知識證明。
大多數人開始正視 ZKP 硬件加速離不開 2023 年 Aleo 的 PoSW,其爲 MSM 與 NTT 計算引入了經濟激勵。今天故事的主角不是 Aleo,而是要提供 GPU、FPGA、ASIC 全套解決方案的實時 ZK 證明生成層 Cysic。它們將要發布 ZK Air 和 ZK Pro 兩款 ZK DePIN 設備,並將於近期開啓礦機預售。可以這麼說,Cysic 不僅僅是一個面向 B 端的服務提供商,而是要承接所有存在 ZK 計算場景的算力需求。它對於不同 ZK 算法的適應使其能夠構建一個 DePIN 網路,將 B 端服務向擁有各種算力的 C 端用戶開放。換言之,任何人都可以進入 Cysic 網路,參與用戶越多,算力越高,ZK 證明也就越快。最終,ZK 無處不在並融入日常生活。
這個敘事過分迷人,筆者從未想過遙不可及的 ZKP 硬件加速真的可以離普通人這樣地近!今天,Foresight News 將深入探究 ZKP 硬件加速、Cysic 特性及其硬件產品、DePIN 網路基礎設施,看一看 Cysic 究竟想要做什麼,市場潛力又有多大?
押注 ZKP 硬件加速市場:Cysic 背景與願景
Cysic 是一個創辦於 2022 年 8 月的實時 ZK 證明生成和驗證層,基於自研 ASIC、FPGA、GPU 芯片提供 ZK 計算即服務(ZK-CaaS)。2023 年 2 月,Cysic 完成 600 萬美元種子輪融資,Polychain Capital 領投,HashKey、SNZ Holding、BCHDE、A&T Capital 和 Web3.com 基金會參投。同年 10 月,Cysic 憑藉 FPGA 獲得 ZPrize「Beat the Best(FPGA/GPU)」一等獎。
Cysic 創始團隊背景不凡,實力強勁。聯創 Leo Fan 負責 Cysic 系統架構和密碼學研究。他在中科院獲得計算機科學碩士學位後前往康奈爾大學攻讀計算機科學博士學位。在校期間,他還在 IC3、雅虎、貝爾實驗室和 IBM 等機構擔任研究員。畢業後,Leo 加入 Algorand 負責密碼學研究工作。目前,他同時在羅格斯大學計算機科學系擔任助理教授。聯創 Bowen Huang 從耶魯大學的博士 Quit 之後,獲得了耶魯大學的碩士學位。目前,他在 Cysic 主要負責芯片和供應鏈的管理。此前,他曾在中國科學院計算技術研究所擔任研究工程師。基於對密碼學與硬件加速的敏銳,他們在 2022 年之前就意識到 ZK 是整個區塊鏈行業的終極擴容方案,而硬件加速是實現這一終局方案的必然技術路線。
目前,ZK 領域主要以 zk-SNARKs 與 zk-STARKs 兩種證明系統爲主。其中,Zcash、Scroll、Taiko、Mina、Aztec、Manta、Anoma 等均採用 zk-SNARKs,而 Starknet、StarkEx、zkSync(已過渡至 Boojum)等則採用 zk-STARKs。此外,還有以太坊歷史數據協議 Axiom、ZK 技術開發商 Nil Foundation 等 ZK 項目。據 Cysic 估算,當前市場上有 50 多家市值共超千億的頭部 ZK 項目,而 ZKP 應用賽道的總估值已超 150 億美元。
過去兩年,ZK 賽道常爲人所詬病的就是證明生成時間長,對資源的需求高。以 Scroll 爲例,其採用 GPU 進行 ZK 證明生成至少需要 1 個小時與超過 280GB 的 RAM。這兩者不僅阻礙了 ZKP 大規模採用,也延滯了以太坊的商業化進展。盡管 STARK 要比 SNARK 證明生成時間更快,但它們都需要使用硬件加速將證明速度從小時級別提升至秒級別。ZKP 的願景是實現與以太坊同時出塊,若無法突破瓶頸,Vitalik 所期待的 ZK「實時證明」將無法實現。
另一方面,盡管以太坊基金會將 ZK 作爲擴容的未來,但 ZK Rollup 在以太坊 L2 領域的市場份額並不具有說服力。當前 TVL 前 5 大 L2 均採用 Optimism Rollup,ZK Rollup 市場份額僅佔 8.5%,唯一一個市值超過 10 億美元的 ZK Rollup 項目是 Starknet,而這在很大程度上也是由於基金會的生態激勵與空投預期。既然 ZK 賽道估值甚高,若是硬件加速能夠大部分解決當前困境,那麼市場潛力可見一斑。
Cysic 野心很大,他們的終極目標是提供全套 GPU + ASIC 硬件加速解決方案,瞄準的是 ZK Rollup、zkML、ZK Bridge 等所有存在 ZK 計算場景的算力需求。作爲一種過渡,過去一年 Cysic 自研了 FPGA 加速硬件,能夠涵蓋 Halo2、RapidSnark、Plonky2x 等多種證明系統,其通用性與靈活性前所未有,業務市場更是一片星辰大海。
ZKP 硬件要加速什麼?從 ZK 證明系統說起
介紹完 Cysic 與 ZKP 硬件加速市場的潛力,我們回過頭來看看 ZKP 硬件到底要加速什麼。從根本上來說,硬件要加速的就是 ZK 證明計算,凡是涉及到計算,那就是在比拼算力的多寡,這也是爲什麼我會認爲 ZKP 是在將 PoW 帶回以太坊的原因。但從更微觀的角度來看,ZKP 硬件究竟要加速哪方面的計算?在這裏,筆者將以 zk-SNARKs 證明系統爲例,說明從「算術化」(arithmetisation)到證明生成與驗證的過程。
首先,用戶在鏈上的任何交易行爲都會被打包進鏈下的 Rollup,因此交易行爲與交易量將決定電路與 ZK 證明的復雜性。
其次,當交易數據被提交後,將進入「算術化」過程。所謂「算術化」,就是將這些數據構建成 ZK 電路並轉換成多項式形式的數學公式。與通常程序開發類似,ZK 證明系統也分爲「前端」與「後端」。「前端」是指各類交易數據需要通過 R1CS、PLONK 等約束語言構建成向量、矩陣等電路並轉換成多個多項式,通俗理解就是將電路圖轉化成數學公式來表達,並且可以通過數學公式來對電路進行指導,這個過程就是「算術化」的過程。如果交易越復雜、交易量越多,那麼電路的規模就會越大,多項式的階數也會越多。
在算術化的基礎上,就需要構建 ZK 證明系統這個「後端」,通過它們來生成零知識證明。下圖就展示了 zk-SNARKs 證明系統的構成(Justin Thaler 認爲 zk-STARK 是一種 Fri-Based 的 zk-SNARK),包括 PIOP 與 PCS 兩大部分。流行的 PIOP 有 PLONK、GKR,流行的 PCS(多項式承諾方案)有 FRI、KZG。通常 PLONK + IPA 可構建 Zcash 版本的 Halo2 證明系統,PLONK + KZG 可構成 PSE/Scroll 版本的 Halo2,PLONK + FRI 可構成 Plonky2。目前的 ZK 證明系統主要包括基於 KZG 的 Halo2、Groth 16 等等。
以 Groth16 爲例,我們可以將計算過程拍平並通過 R1CS 約束形式表達成 C-SAT(電路可滿足性)問題,然後將 C-SAT 問題歸約爲 QAP 可滿足性問題 ,最終會得到一系列公共的多項式 Ui(x)、Vi(x)、Wi(x)、T(x) 與 向量 a,其中向量 a 包含了公共輸入(Public Inputs)與祕密(witness),它們之間滿足下圖所示的關係。對於 QAP 可滿足問題,給出 a 進行 QAP 的驗證很簡單,但是反向通過公共多項式求解 a 則會非常困難,那麼我們就將證明計算過程的真實性與完整性轉化爲證明 Prover 擁有 a(i) 這一問題中來了,這一步對 ZKP 後端的構造尤爲重要。
至於 ZKP 的後端,可分爲 Setup、Prover 與 Verifier 三個階段,其中每個階段會用到一些參數。我們需要將算術化之後的多項式與一次性祕密隨機數 R(「可信設置」概念的來源)同時輸入到 Setup 中,在設置後分別通過 Sp、Sv 參數允許 Prover 和 Verifier 生成、驗證證明。其間,Prover 需要公共輸入與祕密執行計算、生成證明;Verifier 可通過證明、公共輸入進行驗證。而在這個過程中,Verifier 不會知道祕密是什麼。
在 Prover 生成證明的過程中,需要的是大量的計算。那麼如何讓證明生成的計算更快?這就是硬件的用武之地。在當前情況下,唯一的方案就是用硬件來提高計算能力,算力越高,耗時越短。
不同的證明系統有不同的計算量較大的密碼學原語,在基於 PLONK + KZG 證明系統中,耗時最多的是 MSM(Multi-Scalar Multiplication)和 NTT(Number Theoretic Transform)兩種計算類型。在 zk-STARK 中,主要計算瓶頸則是 NTT 與 Merkle Hash。MSM 主要處理與橢圓曲線相關的計算,NTT 是作用在有限域上的 FFT(快速傅立葉變換),可以理解爲 FTT 的變體與優化,用於處理與多項式相關的計算。目前幾乎所有主流 ZK 協議都在大量使用這兩種計算,它們合起來要佔證明生成時間的 80-95%。通常來說,MSM 計算任務會佔全部計算任務的 60-70%,NTT 會佔 25%。當然,在不同的實現中二者的比例會隨之不同。既可以針對性地根據計算任務比例對 MSM 或 NTT 進行單一加速,也可以對二者同時進行加速。
過渡的 FPGA,終點的 ZK ASIC
辯證地看,計算任務的工作量大也意味着這是一些相對簡單的流水線操作,只要算力夠強就行。由於 ZK 證明計算的算法是確定性的,只需要對證明結果的生成進行重復計算,因此針對特定操作的專用硬件架構實現比軟件實現更具優勢。如果能夠實現並行化計算,那麼計算難度將大大降低。巧的是,MSM 與 NTT 都可通過高性能硬件加速,並且支持並行化計算。
Cysic 技術進展與路線圖
如前文所述,Cysic 的終極目標是做 ZK ASIC 加速,提供包括 MSM 和 NTT 計算在內的全套 ASIC 硬件加速解決方案。但正如 Leo Fan 所言,「在做 ASIC 之前,是需要在 FPGA 上面做很多測試和 prototyping 的事情」。
過去一年,Cysic 已經完成第一階段的 POC 設計工作,開發了基於 FPGA 的 MSM、NTT、Poseidon Merkle Tree 等計算加速器,以及覆蓋全工作流的端到端的 ZK 硬件加速方案。
Cysic FPGA 原型機(組裝中的狀態)
從最新公布的數據來看,Cysic 的 SolarMSM 可以在 0.195 秒內完成 2³⁰ 規模的 MSM 計算,是目前所有公開的 FPGA-MSM 硬件加速結果中性能最高的方案。SolarNTT 則可以在 0.218 秒內完成 2³⁰ 規模的 NTT 計算。同時,Cysic 當前的 FPGA 加速方案已經應用到 Scroll 的 ZK 計算中,對於 2²² 規模的 MSM、NTT 計算均可在 1 毫秒左右(0.001 秒)完成。
GPU、FPGA 與 ASIC 之比較
至於爲什麼終極目標與第二階段要研發 ASIC,我們要回到加速硬件的比較中來考察。硬件加速的優點在於降低功耗、減少延遲、提高並行性、增加吞吐量,可以更好地利用集成電路上的面積與功能組件。通常來說,由於 CPU 其計算時間長、能耗高,基本已不被納入採用範疇。市面上加速硬件主要爲 GPU、FPGA 和 ASIC 三種,它們在通用性、效率方面各有側重。
目前,幾乎所有 ZK 項目都在使用 GPU 進行硬件加速,因爲 GPU 已經足夠普及,使得它成爲了在專用硬件生產出來之前唯一的硬件加速載體。對 ZK 硬件加速廠商而言,GPU 是當前最經濟和可配置的硬件選擇。通過例如 CUDA SDK 這種軟件層面的支持,GPU 的多核結構也適合並行化例如 MSM 類的計算。然而,GPU 存在一些局限,譬如使用 3080、3090、4090 這樣的顯卡極易受限於硬件平台,例如主板帶寬等。
與 GPU 一樣,FPGA 也是可編程的,在運行時可重新配置,能夠根據系統規格和特定應用重復用於不同的算法,通用性與靈活性更高。同時,FPGA 也更適合 FFT、NTT 計算類型。說到底,在 FPGA 硬件研發出來之後,它也變成了一種軟件遊戲。此外,雖然單個 FPGA 打不過 GPU,但是很多個 FPGA 連在一起,性能就比 GPU 高出很多倍。同時,頂級 FPGA 要比頂級 GPU 的硬件成本便宜 3 倍。在能耗比上,由於 GPU 需連接主機設備,而主機設備耗電嚴重,因此 FPGA 的能效要高上 10 倍。但是,相比於 GPU,FPGA 芯片的獲取成本,和供應鏈的配套需求相對較高。
ASIC 是一種爲了滿足某種特定需求而定制的專用芯片,其性能之高、算力之強已經被包括 Cysic 在內的 ZK 硬件加速廠商視爲終極解決方案。但 ASIC 的業務邏輯是「一次寫入」,不可編程,只能針對特定的單一任務,無法並行處理多個 ZK 算法。ASIC 在性能與能耗上都優於 GPU 與 FPGA,但需要的生產週期較長。此外,作爲一個資本密集型遊戲,ASIC 的生產成本也要更高。
來源:Amber Group
綜合比較下來,我們也就能夠理解爲什麼 Cysic 首先選擇了自研 FPGA 加速硬件。因爲在 ASIC 尚不具備通用性、成本過高、上市時間長的情況下,FPGA 是過渡時期搶佔市場的最佳方案。具體來說,Cysic 的 FPGA 硬件能夠適應 Halo2、RapidSnark、Plonky2x 等多種 ZK 證明系統,可以執行當今所有主流的 ZK 算法(指的是 ZK 證明生成中的計算操作)。換言之,凡是存在 ZK 計算場景的算力需求,FPGA 都能夠適應,包括 ZK Rollup、ZKML、ZK Bridge 等等。同時,ZK 證明生成不僅對計算要求很高,而且對內存要求同樣很高。今天 Scroll zkEVM 電路的證明生成需要至少 280 GB 的 RAM,面對這種需求,FPGA 則可以不斷堆加,進行內存擴容。
自研 FPGA 也不代表 Cysic 放棄了 GPU 與 ASIC。Cysic 也在研發基於 GPU 的硬件加速方案,試圖提供更靈活的 ZK、AI 計算的加速服務。目前,Cysic GPU 算力網路已經連結了數十萬張高階 3090/4090 算力顯卡。
Cysic 顯卡與機房
而他們的內部數據已經顯示,Cysic CUDA SDK 比最新的開源框架提速了 50%-80% 以上,並且使用該 GPU SDK 爲多個頂級 ZK 項目方提供證明生成服務。同時,Cysic 關於 ASIC 的設計和流片工作也在進行之中。
ZKP + DePIN:Cysic Network 的星辰大海
如果僅僅只是 ZKP 加速硬件,那麼 Cysic 似乎無需過多筆墨點綴。但在 Helium Mobile 瘋狂在前、io.net 爆火在後的 2024,DePIN 的出現也給了 Cysic 更多的想象空間。
Cysic 真正要做的是一個基於 ZKP 硬件加速的 Prover Network。它不僅要將 FPGA、GPU、ASIC 等自研硬件接入 Prover Network,還將允許社區用戶提供各種類型的算力,通過構建一個去中心化算力網路給 ZK 證明生成計算增加經濟激勵與治理。
可以說,通過 Prover Network,Cysic 將一個面向 B 端的加速服務徹底向 C 端用戶開放,成爲 ZK 項目方、算力提供商與社區驗證者之間的橋梁,這在當前 ZKP 硬件加速市場上絕無僅有。在此之前,普通用戶不僅難以理解 ZKP,也很難說購買專用硬件給 ZKP 加速。但 Cysic 網路不再需要用戶掌握專業知識,由於其通用性,用戶只需提供算力即可進入 ZKP 算力網路。試想一下,整個網路中的用戶越多,算力越多,ZK 證明速度也會越快,秒級別的「實時證明」也將指日可待。
事實上,以太坊在 The Merge 合並後,原先的 PoW 礦工手上留有大量閒置的 GPU,對 Prover Network 來說這個存量市場可太寶貴了。不過,大多數人可能並沒有相應的硬件參與 DePIN 網路。怎麼辦?如何才能引入更多的社區用戶,做大增量市場?Cysic 做了一些 make sense 的事情,他們最近設計了兩款 ZK DePIN 芯片 / 設備,分別是 ZK Air 和 ZK Pro,預計將於 2025 年上市。
如上圖所示,ZK Air 的大小和充電寶 / 筆記本電腦電源接近。這是一種輕量級便攜式的 ZK DePIN 設備,其算力大於頂級消費級顯卡,用戶可通過 Type-C 將其連接到筆記本電腦、iPad 甚至手機上,通過 Prover Network 爲小規模 ZKP 提供加速服務,並獲得網路獎勵。同時,ZK Air 也可直接連接電腦在本地生成及時的 ZK 證明。ZK Pro 則類似於傳統礦機,主要服務於專有公司,適用於 zkRollup、zkML 等大型 ZK 項目。對絕大多數用戶來說,ZK Air 可能是一個更值得期待的產品。
ZKP 硬件加速與 DePIN 天然吻合。與 io.net 去中心化 GPU 網路面向 AI 與 ML 不同,Cysic 篤定 ZK 是區塊鏈行業的未來,憑藉自研硬件對不同 ZK 算法的適應能夠接納任何存在 ZK 計算場景的算力需求,加之背靠着超過 150 億美元估值的 ZK 市場,未來的增長潛力巨大。
肖風曾說,「區塊鏈與生俱來就是建立在 DePIN 之上,比特幣硬件挖礦是一個初級版的 DePIN」。ZKP 硬件加速讓我想起了比特幣 PoW 機制,但有了 Prover Network,Cysic 才算是真正構建起一個屬於 ZKP 的算力網路。正如 PoW 無需許可,DePIN 原語下的 ZKP 挖礦也將真正變得無需許可。不過,ZKP 挖礦與 PoW 挖礦還是有所不同,在傳統 PoW 機制中,算力越高越快的礦工才能獲得區塊獎勵,而其他人的工作量證明將作廢。Cysic 的 Prover Network 不存在無效工作量一說,用戶始終都可根據算力貢獻獲得激勵。
目前,用戶可參與 Cysic 在 Galxe 上的活動並獲取早期徽章,參與 NFT 鑄造,以及將於今年 5 至 6 月上線的測試網。據 Cysic 透露,部分早期參與者可獲得 NFT 激勵。
聲明:
- 本文轉載自[Foresight News],著作權歸屬原作者[Peng SUN],如對轉載有異議,請聯系Gate Learn團隊,團隊會根據相關流程盡速處理。
- 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
- 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得復制、傳播或抄襲經翻譯文章。
Статті на тему
加密敘事是什麼?2025年熱門敘事盤點(更新版)
免費收集和賺取! DePIN 被動收入項目的全面概述