Vitalik 关于以太坊可能的未来六：The Splurge

---

Vitalik 关于以太坊可能的未来六：The Splurge Vitalik Buterin 20241029 1730 在以太坊协议设计中，约一半的内容涉及不同类型的 EVM 改进，其余部分则由各种小众主题构成，这就是繁荣的意义所在。

原文标题：《Possible futures of the Ethereum protocol part 6 The Splurge》

撰文：Vitalik Buterin

编译：zhouzhou，BlockBeats

以下为原文内容为便于阅读理解，原文内容有所整编：

有些事物很难归入单一类别，在以太坊协议设计中，有许多细节对以太坊的成功非常重要。实际上，约一半的内容涉及不同类型的EVM 改进，其余部分则由各种小众主题构成，这就是繁荣的意义所在。

 2023 年路线图：繁荣

繁荣：关键目标

EVM 改进解决了什么问题？

目前的EVM 难以进行静态分析，这使得建立高效实作、正式验证程式码和进行进一步扩展变得困难。此外，EVM 的效率较低，难以实现许多形式的高阶密码学，除非透过预编译明确支援。

它是什么，如何运作？

目前EVM 改进路线图的第一步是EVM 物件格式EOF，计划在下一个硬分叉中纳入。 EOF 是一系列EIP，指定了一个新的EVM 程式码版本，具有许多独特的特征，最显着的是：

 EOF 程式码的结构

繁荣：EVM 改进续

旧式合约将继续存在并可创建，尽管最终可能会逐步弃用旧式合约甚至可能强制转换为EOF 代码。新式合约将受益于EOF 带来的效率提升首先是透过子程式特性稍微缩小的字节码，随后则是EOF 特定的新功能或减少的gas 成本。

在引入EOF 后，进一步的升级变得更加容易，目前发展最完善的是EVM 模组算术扩展EVMMAX。 EVMMAX 创建了一组专门针对模运算的新操作，并将其放置在一个无法透过其他操作码存取的新记忆体空间中，这使得使用诸如Montgomery 乘法等优化成为可能。

一个较新的想法是将EVMMAX 与单指令多资料SIMD特性结合，SIMD 作为以太坊的一个概念已经存在很长时间，最早由Greg Colvin 的EIP616提出。 SIMD 可用于加速许多形式的密码学，包括杂凑函数、32 位元STARK 和基于格的密码学，EVMMAX 和SIMD 的结合使得这两种效能导向的扩展成为自然的配对。

一个组合EIP 的大致设计将以EIP6690 为起点，然后：

for i in range(count)

mem[zstart zskip count] = op(

mem[xstart xskip count]

mem[ystart yskip count]

)

实际实作中，这将以并行方式处理。

现有研究连结剩下的工作及权衡

目前，EOF 计划在下一个硬分叉中纳入。尽管总是有可能在最后一刻移除它之前的硬分叉中曾有功能被暂时移除，但这样做将面临很大挑战。移除EOF 意味着未来对EVM 的任何升级都需在没有EOF 的情况下进行，虽然可以做到，但可能更困难。

EVM 的主要权衡在于L1 复杂度与基础架构复杂性，EOF 是需要加入EVM 实作中的大量程式码，静态程式码检查也相对复杂。然而，作为交换，我们可以简化高阶语言、简化EVM 实作以及其他好处。可以说，优先考虑以太坊L1 持续改善的路线图应包括并建立在EOF 之上。

需要做的一项重要工作是实现类似EVMMAX 加SIMD 的功能，并对各种加密操作的gas 消耗进行基准测试。

如何与路线图的其他部分互动？

L1 调整其EVM 使得L2 也能更容易进行相应调整，如果二者不进行同步调整，可能会造成不相容，带来不利影响。此外，EVMMAX 和SIMD 可以降低许多证明系统的gas 成本，从而使L2 更有效率。它也使得透过用可以执行相同任务的EVM 程式码取代更多的预编译变得更加容易，可能不会大幅影响效率。

帐户抽象解决了什么问题？

目前，交易只能透过一种方式进行验证：ECDSA 签署。最初，帐户抽象化旨在超越这一点，允许帐户的验证逻辑为任意的EVM 代码。这可以启用一系列应用：

允许隐私协定在没有中继的情况下工作，显着降低其复杂性，并消除一个关键的中央依赖点

自2015 年帐户抽象提出以来，其目标也扩展到了包括大量便利目标，例如，某个没有ETH 但拥有一些ERC20 的帐户能够用ERC20 支付gas。以下是这些目标的总结图表：

MPC多方运算是一种已有40 年历史的技术，用于将金钥分成多个部分并储存在多个装置上，利用密码学技术产生签名，而无需直接组合这些金钥部分。

EIP7702是计划在下一个硬分叉中引入的一项提案，EIP7702 是对提供帐户抽象便利性以惠及所有用户包括EOA 用户的日益认识的结果，旨在在短期内改善所有用户的体验，并避免分裂成两个生态系。

该工作始于EIP3074，并最终形成EIP7702。 EIP7702 将帐户抽象的便利功能提供给所有用户，包括今天的EOA外部拥有帐户，即受ECDSA 签名控制的帐户。

从图表中可以看到，虽然一些挑战尤其是“便利性”挑战可以透过渐进技术如多方计算或EIP7702 解决，但最初提出帐户抽象提案的主要安全目标只能透过回溯并解决原始问题来实现：允许智能合约代码控制交易验证。迄今尚未实现的原因在于安全地实施，这一点是一项挑战。

它是什么，如何运作？

帐户抽象的核心是简单的：允许智能合约发起交易，而不仅仅是EOA。整个复杂性来自于以一种对维护去中心化网路友善的方式实现这一点，并防范拒绝服务攻击。

一个典型的关键挑战是多重失效问题：

如果有1000 个帐户的验证函数都依赖某个单一值S，而当前值S 使得记忆体池中的交易都是有效的，那么有一个单一交易翻转S 的值可能会使记忆体池中的所有其他交易失效。这使得攻击者能够以极低的成本向记忆体池发送垃圾交易，从而堵塞网路节点的资源。

经过多年的努力，旨在扩展功能的同时限制拒绝服务DoS风险，最终得出了实现理想帐户抽象化的解决方案：ERC4337。

ERC4337 的工作原理是将使用者操作的处理分为两个阶段：验证和执行。所有验证首先被处理，所有执行随后被处理。在记忆体池中，只有当使用者操作的验证阶段只涉及其自身帐户且不读取环境变数时，才会被接受。这可以防止多重失效攻击。此外，对验证步骤也强制实施严格的gas 限制。

ERC4337 被设计为一种额外协议标准ERC，因为在当时以太坊客户端开发者专注于合并Merge，没有额外的精力来处理其他功能。这就是为什么ERC4337 使用了名为用户操作的对象，而不是常规交易。然而，最近我们意识到需要将其中至少部分内容写入协议中。

两个关键原因如下：

EntryPoint 作为合约的固有低效性：每个捆绑约有100000 gas 的固定开销，以及每个使用者操作额外的数千gas。确保以太坊属性的必要性：如包含清单所建立的包含保证需要转移到帐户抽象使用者。

此外，ERC4337 还扩展了两个功能：

0kx欧意官网现有研究连结剩下的工作及权衡

目前主要需要解决的是如何将帐户抽象完全引入协议，最近受到欢迎的写入协议帐户抽象EIP 是EIP7701，该提案在EOF 之上实现帐户抽象。一个帐户可以拥有一个单独的代码部分用于验证，如果帐户设定了该代码部分，则该代码将在来自该帐户的交易的验证步骤中执行。

这种方法的迷人之处在于，它清晰地表明了本地帐户抽象化的两种等效视角：

将EIP4337 作为协定的一部分一种新的EOA 类型，其中签章演算法为EVM 程式码执行

如果我们从对验证期间可执行程式码复杂度设定严格界线开始不允许存取外部状态，甚至在初期设定的gas 限制也低到对量子抗性或隐私保护应用无效那么这种方法的安全性就非常明确：只是将ECDSA 验证替换为需要相似时间的EVM 程式码执行。

然而，随着时间的推移，我们需要放宽这些界限，因为允许隐私保护应用在没有中继的情况下工作，以及量子抗性都是非常重要的。为此，我们需要找到更灵活地解决拒绝服务DoS风险的方法，而不要求验证步骤必须极度简约。

主要的权衡似乎是快速写入一种让较少人满意的方案与等待更长时间，可能获得更理想的解决方案，理想的方法可能是某种混合方法。一种混合方法是更快地写入一些用例，并留出更多时间来探索其他用例。另一种方法是在L2 上首先部署更雄心勃勃的帐户抽象版本。然而，这面临的挑战是，L2 团队需要对采用提案的工作充满信心，才能愿意实施，尤其是确保L1 和/ 或其他L2 未来能够采用相容的方案。

我们还需要明确考虑的另一个应用程式是金钥储存帐户，这些帐户在L1 或专用L2 上储存帐户相关状态，但可以在L1 和任何相容的L2 上使用。有效地做到这一点可能要求L2 支援诸如L1SLOAD或REMOTESTATICCALL的操作码，但这也需要L2 上的帐户抽象实现支援这些操作。

它如何与路线图的其他部分互动？

包含清单需要支援帐户抽象化交易，在实践中，包含清单的需求与去中心化记忆体池的需求实际上非常相似，尽管对于包含清单来说灵活性稍大。此外，帐户抽象实作应该尽可能在L1 和L2 之间实现协调。如果将来我们期望大多数使用者使用密钥储存Rollup，则帐户抽象设计应以此为基础。

EIP1559 改进它解决了什么问题？

EIP1559 于2021 年在以太坊上激活，显着改善了平均区块包含时间。

等待时间

然而，目前EIP1559的实施在多个方面并不完美：

公式略有缺陷：它并不是以50 的区块为目标，而是针对约5053 的满区块，这取决于方差这与数学家所称的“算术 几何均值不等式”有关。在极端情况下调整不够迅速。

后面用于blobs 的公式EIP4844是专门设计来解决第一个问题的，整体上也更简洁。然而，EIP1559 本身以及EIP4844 都未尝试解决第二个问题。因此，现状是一个混乱的中间状态，涉及两种不同的机制，有一种观点认为，随着时间的推移，两者都需要进行改进。

此外，还有其他与EIP1559 无关的以太坊资源定价的弱点，但可以透过对EIP1559 的调整来解决。其中一个主要问题是平均情况与最坏情况的差异：以太坊中的资源价格必须设定得能够处理最坏情况，即一个区块的全部gas 消耗占用一个资源，但实际的平均使用远低于此，导致了低效率。

什么是多维Gas，它是如何运作的？

解决这些低效率问题的方案是多维Gas：为不同资源设定不同的价格和限制。这个概念在技术上独立于EIP1559，但EIP1559 的存在使得实现此方案更为容易。如果没有EIP1559，最优地打包一个包含多种资源限制的区块就是一个复杂的多维背包问题。而有了EIP1559，大多数区块在任何资源上都不会达到满载，因此接受任何支付足够费用的交易这样简单的演算法就足够了。

目前我们已经有了用于执行和资料区块的多维Gas；原则上，我们可以将其扩展到更多维度：如calldata交易资料，状态读取/ 写入，和状态大小扩展。

EIP7706引进了一个新的gas 维度，专门针对calldata。同时，它也透过将三种类型的gas 统一到一个EIP4844 风格的框架中，简化了多维Gas 机制，从而也解决了EIP1559 的数学缺陷。 EIP7623是一种更为精准的解决方案，针对平均情况与最坏情况的资源问题，更严格地限制最大calldata，而不引入整个新维度。

一个进一步的研究方向是解决更新速率问题，寻找更快速的基础费用计算演算法，同时保留EIP4844 机制所引入的关键不变量即：在长期内，平均使用量正好接近目标值。

现有研究连结剩下的工作和权衡是什么？

多维Gas 的主要权衡有两个：

增加协议复杂性：引入多维Gas 会使协议变得更复杂。增加填充区块所需的最优演算法复杂性：为了使区块达到容量的最佳演算法也会变得复杂。

协定复杂度对于calldata 来说相对较小，但对于那些在EVM 内部的Gas 维度如储存读取和写入来说，复杂性就会增加。问题在于，不仅使用者设定gas 限制，合约在呼叫其他合约时也会设定限制。而目前，它们设定限制的唯一方式是单维的。

一个简单的解决方案是将多维Gas 仅在EOF 内部可用，因为EOF 不允许合约在调用其他合约时设定gas 限制。非EOF 合约在进行储存作业时需要支付所有类型Gas 的费用例如，如果SLOAD 占用区块储存存取gas 限制的003，那么非EOF 用户也会被收取003 的执行gas 限制费用。

对多维Gas 进行更多研究将有助于理解这些权衡，并找到理想的平衡。

它如何与路线图的其他部分互动？

成功实施多维Gas 可以大幅降低某些最坏情况的资源使用，从而减少优化效能的压力，以支援例如STARKed 杂凑基础的二元树等需求。对于状态大小成长设定一个明确的目标，将使客户端开发者在未来进行规划和需求估算变得更加容易。

如前所述，EOF 的存在使得实现更极端版本的多维Gas 变得更加简单，因为其Gas 不可观察的特性。

可验证延迟函数VDFs它解决了什么问题？

目前，以太坊使用基于RANDAO 的随机性来选择提议者，RANDAO 的随机性是透过要求每个提议者揭示他们提前承诺的秘密，并将每个揭示的秘密混合到随机性中来工作的。

每个提议者因此有1 位元操控权：他们可以透过不出现来改变随机性有成本。这种方式对于寻找提议者来说是合理的，因为你放弃一个机会而获得两个新提议机会的情况非常少见。但对于需要随机性的链上应用程式来说，这并不理想。理想情况下，我们应该找到一个更稳健的随机性来源。

什么是VDF，它是如何运作的？

可验证延迟函数是一种只能顺序计算的函数，无法透过并行化加速。一个简单的例子是重复杂凑：for i in range(109) x = hash(x)。输出结果，使用SNARK 证明其正确性，可用作随机值。

这个想法是输入基于时间T 可用的资讯进行选择，而在时间T 时输出尚不可知：输出只有在某人完全运行计算后才会在T 之后的某个时刻可用。因为任何人都可以运行计算，所以不存在隐藏结果的可能性，因此也没有操控结果的能力。

可验证延迟函数的主要风险是意外优化：有人发现以比预期更快的速度运行该函数，从而操控他们在时间T 揭示的资讯。

意外优化可以透过两种方式发生：

硬体加速：有人制造出比现有硬体更快运行运算循环的ASIC。意外并行化：有人找到一种方法，透过并行化运行函数以更快的速度，即使这样做需要100 倍的资源。

创建成功的VDF 的任务是避免这两种问题，同时保持效率实用例如，基于杂凑的方法一个问题是即时对杂凑进行SNARK 证明需要重型硬体。硬体加速通常透过一个公共利益参与者自行创建和分发接近最佳的VDF ASIC 来解决。

现有研究连结剩下的工作和权衡是什么？

目前，没有一种VDF 构造能够完全满足以太坊研究人员在所有方面的要求。仍需更多工作来寻找这样的函数。如果找到了，主要的权衡就是是否将其纳入：功能性与协议复杂性及安全风险之间的简单权衡。

如果我们认为VDF 是安全的，但最终它却不安全，则根据其实现方式，安全性将退化到RANDAO 假设每个攻击者1 位操控权或稍微糟糕的情况。因此，即使VDF 失效，也不会破坏协议，但会破坏强烈依赖它的应用程式或任何新协议特性。

它如何与路线图的其他部分互动？

VDF 是以太坊协议中相对自包含的一个组成部分，除了增加提议者选择的安全性外，它在i依赖随机性的链上应用程序以及ii加密内存池中也有应用，尽管基于VDF 制作加密记忆体池仍依赖尚未发生的额外密码学发现。

一个需要记住的要点是，考虑到硬体的不确定性，VDF 输出产生与需求之间会有一些余裕。这意味着资讯将在几个区块之前可用。这可以是一个可接受的成本，但在单槽最终确定或委员会选择设计中应该加以考虑。

模糊化与一次性签名：密码学的遥远未来它解决了什么问题？

Nick Szabo 最着名的文章之一是他在1997 年撰写的关于上帝协议的论文。在这篇论文中，他指出，许多多方应用依赖受信任的第三方来管理互动。在他看来，密码学的作用是创造一个模拟的受信任第三方，完成同样的工作，但实际上并不需要对任何特定参与者的信任。

到目前为止，我们只能部分实现这一理想。如果我们所需的只是一个透明的虚拟计算机，其数据和计算无法被关闭、审查或篡改，而隐私并不是目标，那么区块链可以实现这个目标，尽管其可扩展性有限。

如果隐私是目标，那么直到最近，我们只能针对特定应用开发一些具体的协议：用于基本身份验证的数位签名、用于原始匿名性的环签名和可链接环签名、基于身份的加密以在对可信任发行者的特定假设下实现更方便的加密、以及用于查姆式电子现金的盲签名等等。这种方法要求为每个新应用进行大量工作。

在2010 年代，我们首次瞥见了一种不同且更强大的方法，这种方法基于可程式密码学。与其为每个新应用程式创建一个新协议，我们可以使用强大的新协议具体来说是ZKSNARKs为任意程式添加密码保证。

ZKSNARKs 允许用户证明他们持有的资料的任意声明，且证明i易于验证，且ii不会泄露除声明本身之外的任何资料。这在隐私和可扩展性上都是一个巨大的进步，我将其比作人工智慧中的变换器transformers所带来的影响。成千上万的人年应用特定的工作，突然被这个通用解决方案所取代，这个解决方案能够处理意想不到的广泛问题。

然而，ZKSNARKs 只是类似的三种极其强大的通用原语中的第一种。这些协议强大到当我想到它们时，它们让我想起了一组在《游戏王》中非常强大的卡片我小时候玩过的卡片游戏和电视节目：埃及神卡。

埃及神卡是三张极其强大的卡片，传说中制造这些卡片的过程可能致命，并且它们的强大使得在决斗中禁止使用。类似地，在密码学中，我们也有这组三种埃及神协议：

什么是ZKSNARKs，它是如何运作的？

ZKSNARKs 是我们已经拥有的三种协定之一，具有较高的成熟度。在过去五年中，证明者速度和开发者友善性的大幅提升使得ZKSNARKs 成为以太坊可扩展性和隐私策略的基石。但ZKSNARKs 有一个重要的限制：你需要知道数据才能对其进行证明。每个ZKSNARK 应用中的状态必须有一个唯一的所有者，他必须在场才能批准对该状态的读取或写入。

第二种没有这项限制的协定是完全同态加密FHE，FHE 允许你在不查看资料的情况下，对加密资料进行任何计算。这使得你能够在用户的数据上进行计算，以用户的利益为出发点，同时保持数据和演算法的隐私。

它还使你能够扩展如MACI 等投票系统，以获得几乎完美的安全性和隐私保证。长期以来，FHE 被认为效率太低，无法实际使用，但现在它终于变得足够高效，开始出现实际应用。

Cursive 是一款应用程序，利用双方计算和完全同态加密FHE进行隐私保护的共同兴趣发现。

然而，FHE 也有其限制：任何基于FHE 的技术仍然需要某人持有解密金钥。这可以是MofN 的分散式设置，你甚至可以使用可信任执行环境TEEs增加第二层防护，但这仍然是一个限制。

接下来是第三种协议，它比前两者的组合更为强大：不可区分混淆indistinguishability obfuscation。虽然这项技术距离成熟仍然很远，但截至2020 年，我们已基于标准安全假设获得理论上有效的协议，最近也开始着手实现。

不可区分混淆允许你创建一个“加密程式”，执行任意计算，同时隐藏程式的所有内部细节。举个简单的例子，你可以将私钥放入混淆程式中，这个程式只允许你用它来签署素数，并将此程式分发给他人。他们可以使用这个程式签署任何素数，但无法提取密钥。然而，它的能力远不止于此：结合哈希，它可以用来实现任何其他密码学原语，以及更多功能。

不可区分混淆程序唯一不能做到的，就是防止自身被复制。不过，对于这一点，前景中还有更强大的技术在等待着，尽管它依赖于每个人都拥有量子计算机：量子一次性签名quantum oneshot signatures。

透过结合混淆和一次性签名，我们可以建立几乎完美的无信任第三方。唯一无法仅靠密码学实现的目标，仍需要区块链来保证的是审查抗性。这些技术不仅可以使以太坊本身更安全，还可以在其上建立更强大的应用。

为了更好地理解这些原语如何增加额外的能力，我们以投票为关键例子。投票是一个有趣的问题，因为它需要满足许多复杂的安全属性，包括非常强大的可验证性和隐私性。虽然拥有强安全属性的投票协议已经存在数十年，但我们可以自我加大难度，要求设计能够处理任意投票协议：如二次投票、成对限制的二次资助、集群匹配的二次资助等等。换句话说，我们希望计票步骤成为一个任意程式。

首先，假设我们将投票结果公开放在区块链上。这使我们获得了公开可验证性任何人都可以验证最终结果是否正确，包括计票规则和资格规则和审查抗性无法阻止人们投票。但我们没有隐私。

接着，我们增加了ZKSNARKs，现在，我们有了隐私：每一票都是匿名的，同时确保只有授权选民可以投票，每位选民只能投票一次。

接下来，我们引入了MACI 机制，投票被加密为中央伺服器的解密金钥。中央伺服器负责进行计票过程，包括剔除重复投票，并发布ZKSNARK 证明结果。这保留了先前的保证即使伺服器作弊！，但如果伺服器诚实，它还增加了一种抗强迫的保证：用户无法证明他们的投票方式，即使他们想这样做。这是因为虽然用户可以证明他们的投票，但他们无法证明自己没有投票以抵消该票。这防止了贿赂和其他攻击。

我们在FHE 中运行计票，然后进行N/2ofN 阈值解密计算。这使得抗强迫保证提升至N/2ofN，而不是1of1。

我们将计票程序混淆，并设计混淆程序，使其只有在获得授权时才能输出结果，授权方式可以是区块链共识的证明、某种工作量证明，或两者结合。这使得抗强迫保证几乎完美：在区块链共识情况下，需有51 的验证者串通才能破解；在工作量证明情况下，即使所有人串通，重新以不同选民子集进行计票以试图提取单一选民的行为也将极为昂贵。我们甚至可以让程式对最终计票结果进行小幅随机调整，以进一步增加提取单一选民行为的难度。

我们添加了一次性签名，这是一种依赖量子计算的原语，允许签名仅用于一次特定类型的信息。这使得抗强迫保证变得真正完美。

不可区分混淆还支援其他强大的应用。例如：

去中心化自治组织DAOs、链上拍卖等具有任意内部秘密状态的应用。真正的通用可信任设定：某人可以创建一个包含密钥的混淆程序，并运行任何程序并提供输出，将hash(key program) 作为输入放入程序中。给定这样的程序，任何人都可以将程序3 放入自身中，结合程序的预先密钥和他们自己的密钥，从而扩展设定。这可用于为任何协定产生1ofN 的可信任设定。 ZKSNARKs 的验证只需一个签名：实现这一点非常简单：设定一个可信任环境，让某人创建一个混淆程序，只有在有效的ZKSNARK 情况下才会使用密钥签署讯息。加密的记忆体池：加密交易变得非常简单，这样交易只有在未来发生某个链上事件时才能被解密。这甚至可以包括成功执行的可验证延迟函数VDF。

借助一次性签名，我们可以使区块链免受最终性反转的51 攻击，尽管审查攻击仍然可能。类似一次性签名的原语使得量子货币成为可能，从而解决了无区块链的双重支付问题，尽管许多更复杂的应用仍需要链。

如果这些原语能变得够高效，那么世界上大多数应用都可以实现去中心化。主要的瓶颈将是验证实现的正确性。

以下是一些现有研究的连结：

还有哪些工作要做，权衡是什么？

还有很多工作要做，不可区分混淆仍然非常不成熟，候选构造的运行速度慢得惊人如果不是更多的话，以至于无法在应用中使用。不可区分混淆以理论上多项式时间而闻名，但在实际应用中，其运行时间可能比宇宙的生命周期还要长。最近的协议在运行时间上有所缓解，但开销仍然太高，无法进行常规使用：一位实施者预计运行时间为一年。

量子电脑甚至还不存在：你在网路上看到的所有构造，要嘛是无法进行超过4 位元运算的原型，要嘛根本不是实质性的量子计算机，虽然它们可能有量子部分，但无法运行诸如Shor 演算法或Grover 演算法这样的有意义计算。最近有迹象表明，真正的量子电脑离我们并不遥远。然而，即使真正的量子计算机不久后出现，普通人要在自己的笔记型电脑或手机上使用量子计算机，可能还要等几十年，才能在强大的机构能够破解椭圆曲线密码学的那一天。

对于不可区分混淆，一个关键的权衡在于安全假设，存在使用特殊假设的更激进设计。这些设计通常具有更现实的运行时间，但特殊假设有时最终会被破坏。随着时间的推移，我们可能会更好地理解格，从而提出不易被破坏的假设。然而，这条路更具风险。更保守的做法是坚持使用那些安全性可证明减少到标准假设的协议，但这可能意味着我们需要更长时间才能获得足够快速运行的协议。

它如何与路线图的其他部分互动？

极其强大的密码学可能会彻底改变游戏，例如：

如果我们获得的ZKSNARKs 的验证与签章一样简单，那么我们可能不再需要任何聚合协定；我们可以直接在链上进行验证。一次性签名可能意味着更安全的权益证明协议。许多复杂的隐私协议可能仅需一个隐私保护的以太坊虚拟机EVM来替代。加密的记忆体池变得更容易实现。

起初，益处将在应用层出现，因为以太坊的L1 本质上需要在安全假设上保持保守。然而，仅应用层的使用就可能是颠覆性的，就像ZKSNARKs 的出现一样。

分享至微信

Subscribe to us 作者 ：Vitalik Buterin 本文为PANews入驻专栏作者的观点，不代表PANews立场，不承担法律责任。文章及观点也不构成投资意见。 图片来源 ： Vitalik Buterin 如有侵权，请联络作者删除。 深度FHE区块链智能合约Vitalik基础设施blob去中心化DAO 评论 发布 推荐阅读

• • 2025-03-10 11:24:50
  • 12