MegaETH：利用 ZK 欺詐證明重塑 Optimistic Rollup 安全性

本文內容摘錄自 MegaETH，由幣研團隊編譯且整理如下

前言

大家應該都知道，在過去以太坊這條鏈上非常擁擠，交易的手續費又高得離譜，交易的速度還非常慢，這也是為什麼 Layer 2（L2）解決方案變成了最後的救命稻草，而 Optimistic Rollup 正是其中最亮眼的成員之一。

不過 L2 長期以來依然存在「安全」和「最終性」這兩個大問題，這時候 MegaETH 登場了，透過結合零知識證明（ZK）重新定義 Optimistic Rollup 的安全模型，準備掀起一場 L2 革命。

本文將深入探討 MegaETH 是如何利用 ZK 欺詐證明機制，解決過去在互動式欺詐證明的局限性，並且透過與 RISC Zero zkVM 和 EigenDA 的整合，打造一個全新的 L2 生態。

---

欺詐證明機制

每個 Optimistic Rollup 的核心都在於一個關鍵的假設：除非有證據證明無效，否則提交的狀態提案都是有效的。然而，只有在 Rollup 有強大的「防詐騙機制」情況下，這個假設才會成立。所以代表如果沒有防欺詐機制，只要無效狀態沒有人質疑，或是在結算過程中因惡意挑戰而停滯，整個區塊鏈就會變得不安全。

為了能夠確保這個假設成立，Optimistic 的 L2 需要支援欺詐證明機制，允許驗證者（挑戰者）挑戰排序者（提議者）提交的可能不正確的狀態提案。

機制需要確保兩個關鍵：

• 錯誤的狀態提案會被發現

• 錯誤的挑戰永遠不會成功

其中包含兩個核心部分：

• 挑戰子協議：負責處理針對單一狀態提案的爭議

• 錦標賽機制：負責從可能針對同一區塊的眾多競爭狀態提案中，確定唯一的正確提案

狀態提案包含三種狀態：

• 初始狀態（initial state）：以太坊上最近完成的 L2 狀態

• 負載（payload）：該點以來的 L2 交易列表

• 最終狀態（final state）：提案者聲稱執行該負載後的結果

所以一項提案實際上代表：

「根據這個初始狀態和這個交易列表（負載），最終結果應該是 X。」

挑戰子協議的任務是測試這句話。如果它是假的，挑戰就必須成功，提案須被拒絕。

---

互動式欺詐證明（二分遊戲 Bisection Game）

目前大多數 Optimistic 採用的方法是讓挑戰者和提案者進行一次來回互動協議。

一旦提出爭議，雙方就會將計算記錄（提案者稱為計算步驟中間結果）分成兩半，逐步縮小錯誤所在的位置。這個過程會反覆進行，直到雙方隔離出單一的錯誤計算步驟（像是交易的錯誤執行）。

一旦確定，該步驟就會在以太坊上重播，以確定是否存在欺詐。

這個系統存在著幾個問題：

• 延遲：每次互動都需要在以太坊上進行交易。單一爭議可能會需要數小時甚至數天，尤其是在網路塞車的情況下更嚴重。

• 提案者參與的負擔：就算提案者是誠實的，且挑戰的原因毫無根據，提案者依然會需要去參與爭議的每個步驟，執行複雜的過程。

• 惡意騷擾風險：不誠實的挑戰者可以強迫誠實的提案者一再浪費時間和Gas費用來捍衛正確的狀態。

---

非互動式欺詐證明（ZK 挑戰模型）

MegaETH 採用不同的方法，要求挑戰者簡單計算一個簡潔的零知識證明，證明聲稱的最終狀態無效。該證明會展示從初始狀態執行負載不會導致提案者聲稱的最終狀態。這會透過 RISC Zero zkVM 來進行，遵循 OP Kailua 的混合架構來進行非互動式欺詐證明。

該證明會透過單一交易提交至以太坊上，鏈上驗證合約確認其有效性。提案者不需要進行任何操作，無法干涉整個過程，也不會在爭議中扮演任何角色。

生成證明不是一件簡單的事，它需要在 zkVM 中運行有爭議的計算，大約要花費 1,000 億個週期，在最壞情況下成本可能接近 100 美元。但這個成本只有在證明欺詐時才會產生，並且設計成由不誠實方承擔。這減少了誠實挑戰者的資金負擔，也消除了二分系統中常見的騷擾風險。

---

ZK 代表欺詐而非有效性

在加密貨幣領域，「零知識」常會被視為僅限於 ZK rollups 的縮寫 —— 這些系統使用 ZK 證明在鏈上發布狀態轉換前進行驗證，但這也僅代表了 ZK 所展現出的其中一面而已。

MegaETH 使用 ZK 不是為了證明正確性，而是為了證明欺詐。這讓我們能夠保留 Optimistic Rollup 模型（具有其效率和可擴展性），同時添加一種信任最小化、非互動的機制來檢測和挑戰無效的狀態轉換。

這種混合方法稱為 ZK 欺詐證明，它實現了一種全新的信任模型。

---

相同的檢測窗口，顯著縮短最終確定時間

出於謹慎，MegaETH 將保留 Optimistic 典型的 7 天挑戰窗口，這代表著任何的參與者都有整整一週的時間來對提出的狀態提出爭議，真正有區別的地方是在提出挑戰後的狀況。

在互動模型中，第七天提交的挑戰可能需要額外幾天才能夠解決，這會凍結鏈在以太坊上的最終性，直到爭議結束。在這個期間內，協議仍處於不確定狀態，鏈的活性就會受到損害。

透過 ZK 欺詐證明，整個爭議會在大約 1 小時內解決。挑戰者生成證明，將其提交給 L1，結果就是最終結果。

這可以保護鏈條免受危險的攻擊：惡意挑戰者不斷發動虛假爭議來阻止最終確定。

---

由 EigenDA 保障

為了確保欺詐證明過程的完整性，挑戰者需要能夠輕鬆獲取有爭議計算的原始區塊數據。這也是為什麼要將 ZK 欺詐模型和 EigenDA（一個去中心化、高吞吐量的數據可用性層）整合的原因。

這能夠讓過程變得更安全以及有效：

• 排序者將區塊數據發布到 EigenDA 上，並向以太坊提交一小部分的參考。EigenDA 的密碼學保證確保證明能夠生成，且排序者無法「隱藏」數據和逃避檢測。

• 任何監視者都可以檢索區塊數據，重建完整的區塊並透過 zkVM 運行。

• 如果檢測到欺詐，監視者生成簡潔的 ZK 欺詐證明，將其提交給以太坊上的驗證合約，排序者將被懲罰，無效提案就會被拒絕。

---

加密可靠、可擴展的信任模型

MegaETH 透過簡潔、非互動的 ZK 欺詐證明取代了複雜的互動式欺詐證明。這消除了騷擾風險，縮短了最終確定時間，並確保能夠以更高效、可擴展的方式解決爭議。

透過 RISC Zero 實現可證明的計算，以及 EigenDA 確保對原始數據的訪問，任何人都可以對每個提案進行重建、證明和質疑。

---

結語

MegaETH 的 ZK 欺詐證明模式為整個 Optimistic Rollup 生態帶來了全新的可能，讓每個提案都變得透明而且可驗證，雖然未來依然還需實大量的測試來驗證其長期的表現，但 MegaETH 的創新已經為 L2 開啟了一扇大門。

你覺得這項技術會如何改變未來的區塊鏈生態，甚至冒出什麼意想不到的應用呢？