Доказательство мошенничества и принципы реализации ZK Fraud Proof

доказательство мошенничества является широко используемым техническим решением в области блокчейна, которое впервые возникло в сообществе Ethereum и было принято такими Layer2, как Arbitrum и Optimism. После появления экосистемы Bitcoin в 2023 году Робин Линус предложил решение BitVM, в основе которого лежит идея доказательства мошенничества, предоставляя новую модель безопасности для второго уровня Bitcoin или мостов.

BitVM прошел несколько этапов эволюции, начиная с первоначального решения на основе логических вентилей, затем переходя к ZK доказательству мошенничества и схемам верификации Groth16, и соответствующие технологические пути постоянно совершенствуются. В настоящее время на рынке существует множество проектов, которые основываются на технологии BitVM и реализуют ее по-разному.

В данной статье будет рассмотрен пример схемы доказательства мошенничества Optimism, анализирующий ее реализацию на основе виртуальной машины MIPS и интерактивного доказательства мошенничества, а также основные идеи ZK-доказательства мошенничества.

OutputRoot и StateRoot

Инфраструктура Optimism состоит из секвенсора и смарт-контрактов на блокчейне Ethereum. Секвенсор обрабатывает транзакции и отправляет данные на Ethereum. Любой может запустить узел Optimism, загрузить данные, загруженные секвенсором, и локально выполнять транзакции, вычисляя текущий набор состояний hash.

Если последователь загружает неправильный хеш набора состояний, локальные вычисления будут отличаться, в этом случае можно инициировать доказательство мошенничества. Система примет соответствующие меры к последовательному устройству в зависимости от результатов решения.

Optimism использует поле StateRoot, аналогичное Ethereum, для представления изменений в наборе состояний. Секвенсор регулярно загружает OutputRoot в Ethereum, который вычисляется на основе StateRoot и других полей.

MIPS виртуальная машина и память Merkle Tree

Чтобы на цепочке проверить правильность OutputRoot, команда Optimism реализовала виртуальную машину MIPS на Solidity, которая может выполнять часть функций узлов OP. Однако из-за ограничений газа Ethereum невозможно полностью выполнить все транзакции на цепочке.

Чтобы решить эту проблему, Optimism разработал интерактивную систему доказательства мошенничества, которая уточняет процесс обработки транзакций в ряд операций выполнения MIPS. Наблюдая за тем, какой код операции вызывает ошибку, можно определить, является ли OutputRoot недействительным.

В конкретной реализации состояние виртуальной машины MIPS организовано в виде дерева Меркла. Контракты, связанные с доказательством мошенничества, выполняют одну инструкцию MIPS через функцию Step и сравнивают с результатом, представленным упорядочивателем.

Данные памяти виртуальной машины MIPS также организованы в 28-уровневое дерево Меркла, memRoot — это корневой хэш этого дерева. При выполнении инструкции необходимо предоставить часть данных памяти и доказательство Меркла.

Интерактивное доказательство мошенничества

Команда Optimism разработала протокол Fault Dispute Game(FDG) для определения спорных операционных кодов MIPS. Участникам необходимо локально построить GameTree, который включает два уровня:

1. Первый уровень листовых узлов - это OutputRoot различных блоков
2. Второй уровень листовых узлов — это хеш состояния виртуальной машины MIPS.

Стороны несколько раз взаимодействовали в цепочке, в конечном итоге определив спорный код оператора MIPS и состояние виртуальной машины во время его выполнения.

ZK-формат доказательство мошенничества

Традиционные доказательства мошенничества имеют сложные взаимодействия, высокие расходы на газ, паузы Rollup и другие проблемы. В связи с этим Optimism предложила концепцию ZK Fraud Proof:

1. Участник указывает транзакцию, которую необходимо воспроизвести
2. Rollup-секретарь генерирует ZK-доказательство для этой транзакции
3. Проверка ZK-доказательства с помощью смарт-контрактов Ethereum

По сравнению с интерактивными схемами, ZK доказательство мошенничества упрощает многораундное взаимодействие до одного раунда генерации и проверки ZK доказательства, значительно экономя время и средства. В отличие от ZK Rollup, доказательство генерируется только в случае вызова, что снижает вычислительную нагрузку.

Этот подход к ZK также был принят BitVM2. Проекты, использующие BitVM2, реализуют проверку ZK Proof с помощью скриптов Bitcoin и значительно упрощают программы на блокчейне.