欺诈证明与ZK Fraud Proof实现思路解析

欺诈证明是区块链领域广泛应用的技术方案,最早源于以太坊社区,被Arbitrum和Optimism等Layer2采用。2023年比特币生态兴起后,Robin Linus提出了BitVM方案,以欺诈证明为核心思想,为比特币二层或桥提供了新的安全模型。

BitVM经历了多个理论版本的演化,从早期的BitVM0到后来的BitVM2,相关技术路径不断成熟。多个项目如Bitlayer、Citrea等均以BitVM为技术基础进行实现。

本文将以Optimism的欺诈证明方案为例,解析其基于MIPS虚拟机和交互式欺诈证明的方案,以及ZK化欺诈证明的主要思路。

OutputRoot和StateRoot

Optimism的基础架构由定序器和以太坊链上智能合约组成。定序器处理交易后,会将数据上传至以太坊。任何人都可以运行Optimism节点,下载这些数据并在本地执行,计算出当前状态集哈希。

如果定序器上传错误的状态集哈希,本地计算结果会有差异,此时可通过欺诈证明系统发起质疑。

Optimism采用StateRoot字段反映状态集变化。定序器会定期将OutputRoot上传到以太坊,OutputRoot由StateRoot和其他字段计算得出。

MIPS虚拟机与内存Merkle Tree

为在链上验证OutputRoot正确性,Optimism开发团队用Solidity编写了MIPS虚拟机,实现了部分OP节点功能。但由于以太坊Gas限制,无法在链上完整执行OP区块中的所有交易。

为此,Optimism设计了交互式欺诈证明系统,将交易处理流程细化为MIPS操作码序列。系统通过观察哪个操作码执行时出错,来判断OutputRoot是否有效。

MIPS虚拟机的状态信息被组织成Merkle树。欺诈证明相关合约通过Step函数在链上执行单条MIPS指令,比对结果是否一致。

交互式欺诈证明

Optimism开发了Fault Dispute Game(FDG)协议,包含挑战者和防御者两个角色。双方需在本地构建GameTree,通过多轮交互定位有争议的MIPS操作码。

GameTree由两层Merkle树组成,第一层叶子节点是不同区块的OutputRoot,第二层叶子节点是MIPS虚拟机的状态哈希。双方在链上多次交互,最终确定需要在链上执行的单条MIPS操作码。

ZK化欺诈证明

传统欺诈证明存在交互复杂、gas成本高、开发难度大等问题。为此,Optimism提出了ZK Fraud Proof概念。

核心思路是:挑战者指定需要重放的交易,Rollup定序器提供该交易的ZK证明,由以太坊智能合约验证。如验证通过,则认为交易处理无误。

相比交互式欺诈证明,ZK Fraud Proof将多轮交互简化为一轮ZK证明生成和验证,节省时间和gas成本。相比ZK Rollup,它仅在被挑战时生成证明,降低了计算开销。

BitVM2也采用了类似思路,通过比特币脚本实现ZK Proof验证,并对上链程序尺寸进行了极大精简。