作者：Pedro，Polygon DAO作者

整理:海尔斯曼，链捕手

长期以来，以太坊L2争议的焦点都是ZK Rollup和Optimistic rollup两者占据OP的EVM项目开发者更容易采用兼容性和技术成熟的特点，因此，OP目前比较普遍和主流L2BAET的数据，仅Arbitrum、Optimism、Metis三个采用OP项目的计划，占据了L2市场份额的70.8%。而ZK rollup由于开发难度大，技术进步慢，目前的利用率和市场份额比例相对较低。

以太坊扩容方案是目前总锁仓量最高的，Polygon则坚定地将扩容的未来押注到了zk技术。Polygon大手笔收购Hermez、Mir，并为zk扩张承诺重金10亿美元。

现在，Polygon拥有一整套zk扩容方案，分别是Hermez、Nightfall、Miden和 Zero。虽然四种扩容方案都是基于的zk技术上，但各有千秋，策略不同。那么，这四个方案的具体技术特点和发展进展如何？哪个更有希望先杀？

本文将详细讨论这四种zk解决方案包括其发展历史、运行机制和发展进度。以下内容由自己组织Polygon DAO专栏作者Pedro关于Polygon研究的Medium在原文的基础上，链捕手对系列文章进行了适当的简化和易于理解的补充。

一、Polygon Zero

Polygon Zero是一个 ZKL2 解决方案，由最快、最高效的递归证明系统 Plonky2提供支持Mir协议，是由Brendan Farmer和Daniel Lubarov 创办的Predicate Labs于2019年构建。Mir该协议的特点是在执行过程中产生递归 ZKP（zk-proof）验证。简而言之，递归证明就像生成证明的证明。验证一组交易证明是否有效。

递归证明是2014年首次在理论上引进的一项非常年轻的技术。2019年，Mir能够在 2 分钟内生成递归证明，显然，这时间不算短，也缺乏扩展性。

2020年，由于Aztec团队探索，Mir 取得巨大突破，在60秒内生成递归证明。Mir 团队开发 Plonky，允许 Mir 协议在15秒内生成递归证明。

2021年12月，Polygon以4亿美元收购Mir，协议更名为Polygon Zero。最初Mir正在建造的启用zk技术的独立L1链的设想，变成了在Polygon构建分布式 zk-rollup。

今年1月，Polygon Zero发布了Plonky2，这个技术可以在Mac-Book Pro递归证明以不到170毫秒的速度生成。这是有史以来最快的递归证明。递归证明该技术的突破也将是Polygon Zero服务——Plonky2 将支持最具可扩展性zkEVM。

1、Plonky2

Plonky2是Plonky1前面提到的迭代是建立在2020年的Aztec在构建的验证系统之上。

这三者的共同点之一是Plonk，所以我们需要先弄清楚Plonk是什么。

ZKP指在不披露相关信息的情况下生成计算的有效性证明。因此，没有信息不会被泄露，只会产生证据。

两大 ZKP分别是SNARK和STARK(链捕手在这里增加了对两者的详细比较，因为这两种证明系统将在下面反复提到)。两者的主要区别包括:SNARK依赖椭圆曲线来保证安全性，而STARK使用散列函数意味着量子抗性。

SNARK 和 STARK 比较，来源： Consensys官网

SNARK证明规模较小，这意味着链上的数据存储较少，最终由用户支付gas更少。尽管SNARK但是对开发人员更友好STARK它提供了一些独特的优势，比如更透明，不需要信任，而且是量子安全，在未来会有更大的潜力。这些优势也被允许了Vitalik称STARK实际上更新，更耀眼的技术。

但因为SNARK并于2012年投入使用STARK直到2018年才提出。SNARK目前在采用上有很大的先发优势Z-Cash、采用了路印协议和摩根大通SNARK 技术被广泛使用，SNARK 有更多已发布的代码、开发人员库、项目和开发人员STARK由于其独特的优势，新星也被更多的项目所采用。

Plonk它属于证明系统的名称SNARK一种证明系统。

接下来，我将分析几种和Plonk结合不同类型的方案：

Aztec 使用 Plonk KZG递归证明时间为60秒；

Plonky1使用 Plonk Halo，递归证明时间为15秒。Halo于2019年由 Zcash 首次推出是第一个不需要可信设置的递归证明方案Halo缺点是不兼容以太坊，这就是为什么Mir 一开始想建立独立L1链；

Plonky2使用Plonk FRI，递归证明时间为170毫秒。Polygon Zero负责人Daniel Lubarov提出将 FRI与Plonk结合。

FRI是用于STARK方案，这意味着通过使用FRI，Plonk就变成STARK（Plonk最初是SNARK一种)，也意味着增加系统的透明度。当时只有一个项目（Fractal）实现了递归FRI本协议的证明时间约为10分钟，不能扩展。

确保快速，Polygon Zero采用了Plonky并用第一个版本FRI替换了Halo。从上图可以看出，FRI 的证明速度是可变的

2、Plonky2正在建造什么？

如前所述，Polygon Zero建设的最终原因Plonky2最具可扩展性的支持zkEVM。

即，每个zk-rollup都需要一个zkEVM才能真正处理计算Polygon Zero的zk-rollup 的zkEVM将由Plonky2提供支持是目前最高效、最快的zk证明系统。

开发人员将能够在场Polygon Zero智能合约的部署不仅可以使用Polygon以太坊的高性能用了以太坊的安全性。据其中一位创始人介绍L2具有更多操作和功能的应用程序将被允许构建。

3、Polygon Zero和Starkware的区别

大多数rollup，包括Starkware，包装交易并生成交易包中的每一件事都是有效的证明。

Polygon Zero使用递归证明，因此每笔交易都会同时制作一堆非常快的证明。然后将这些单独的交易证明捆绑在一起，以创建更大的证明，即验证其他证明的有效性。

这意味着Polygon Zero可以进行水平缩放。因此，如果有一堆机器并行生成这些交易证明，那么添加更多机器（例如 Macbook）它可以证明更多的交易。通过使用递归证明，它可以在不延迟时间的情况下扩展到更多的事务。

Polygon Zero 相关数据

二、PolygonHermez

五年前，三位共读MBA的同事Jordi Baylina、David Schwartz和Antoni Martin一办了一个名字Iden3他们从事的第一个项目是自主身份解决方案，当时被称为自主身份（Self Sovereign ID，简称SSI），与我们目前流行的去中心化身份相比DID其实概念是一样的。

但是这三个人在研发SSI在项目的过程中，我们逐渐意识到，我们应该进一步让步SSI要成为主流，必须首先使现有的区块链具有足够的可扩展性。之后，三人决定转向新项目Hermez。

Hermez是基于zk技术去中心化 L2 rollup 解决方案。Hermez 1.0 是目前正在运行的支付平台，允许用户通过简单易用的网络或移动界面注册任何 ERC-20 代币从一个 Hermez 账户转移到另一个账户。该团队于去年7月宣布开发zkEVM，Hermez 2.0，开发完成后，以太坊将完全兼容zkEVM。

去年8月，Polygon宣布以2.5以1亿美元收购 Hermez。新项目将目Polygon Hermez，两个项目的代币 MATIC和HEZ进行合并，Hermez26名员工也将加入 Polygon的80人团队。

1、Hermez 1.0

Hermez 最初是作为 zk-rollup 开始的，专注于在以太坊上扩展支付和代币转移。

rollup指打包一打交易(几千个)，下次在链中执行。当链外执行数千笔交易时Hermez它会产生一个 zk-SNARK。SNARK以太坊验证证明了批次中每笔交易的有效性（SNARK），而不是单一交易。

与Optimistic rollup相比，zk rollup可立即生效，实现即时提款Optimistic rollup必须等待 7 天。这种能在恒定时间内有效验证的能力是全部zk rollup的核心。

Hermez处理速度为2000 TPS。据Hermez 团队介绍，未来处理速度将大大提高。

Hermez可以进行三种不同的交易：

存款:注册 ERC-20 代币从 L1 以太坊发送到 L2 Hermez。以太坊需要存款gas费。

转账:注册 ERC-20 代币从一个 Hermez 账户发送到另一个 Hermez 账户，此类转账交易非常便宜且即时。

取款：将ERC-20 代币从 L2 Hermez 发送回 L1 以太坊。提款需要支付以太坊gas费。

提款时需要注意的是，Hermez 提供了一种保护机制，即强制提款，允许用户随时从 处提取资金L2 Hermez 转回 L1 以太坊，即使协调员试图作恶。

协调员和捐赠证明

协调者是 Hermez 版本的块生产者。这些人生成 zk-proof 证明链下交易的有效性。

协调员是将交易捆绑打包的人，他们每次都会在一个单元中总结所有的事务请求rollup在生成之前，将执行数千项事务zk-proof，然后通过以太坊上的智能合约进行验证zk证明。

Hermez它是分散的，因为任何人都可以成为协调者，并通过服务获得奖励。互联网上可以同时有任何数量的协调员，但只有一个协调员可以实际处理交易，并在任何给定的时间（10 分钟）内获得奖励。

Hermez网络通过拍卖选择下一个协调者。基本上任何人都可以用 MATIC 在选择下一个协调员之前，出价最高的人将有权在 10 分钟内尽可能多地处理交易。这是一个非常有效的过程，因为它要求协调员在 10 分钟内尽可能多地进行交易，以获得超过出价的回报。

如果协调员投标失败，MATIC代币将退回原钱包，成功投标的资金将有以下三个用途：

30以太坊基金会管理的捐赠账户30% 用于网络激励，以帮助促进 Hermez进一步采用 网络。

值得一提的是，Hermez支持原子交易。原子交易是一系列不可分割的交易，要么全部交易，要么全部不发生。Alice想向Bob发送1000 DAI来换取1 ETH，在原子交易的情况下，必须向对方发送代币，才能成功。如果没有一步，交易就会失败。因此，这种交易方式可以有效地防止欺诈。

2、Hermez2.0

去年7月，在EthCC 4大会期间，Hermez团队宣布正在发展zkEVM即 Hermez 2.0。

我们都知道，现在L2多采用Optimism而ZK没有真正起飞的关键是，zk还无法做到EVM兼容。zkEVM要解决这个问题，在zk-rollup智能合约的上运行。

许多项目也在开发中zkEVM，仅在Polygon在生态学中，有Polygon Zero和Polygon Hermez这两种解决方案。然而，每个项目都以不同的方式解决这个问题，每个项目都有自己的权衡。

Hermez其特点是工具、生态系统和安全性都与以太坊兼容。这意味着在理想状态下，在以太坊上运行的智能合同可以是 L2 Hermez 上操作。为开发人员提供无摩擦体验。Optimism和Arbitrum 一推出，就吸引了一批项目和用户迁移。不难想象，等等zk-rollup成熟会产生甚至更强的网络效应。

Hermez创始人Antoni Martin形容zkEVM说:如果你充分利用每个解决方案的最佳部分，你就可以制造出最好的汽车……”。所以，Hermez在开发zkEVM同时使用SNARKS 和 STARKS两种ZKP方案，力求两全其美。

具体来说，当Hermez在链下处理交易并产生新区块时，将产生一个STARK证明这些交易是有效的。STARK链上(以太坊)的验证成本很高SNARK此时有用武之地，需要做的就是在以太坊验证STARK证明的有效性。

如果你想进一步深入了解此zkEVM 架构，点击此处查看Hermez2.0开发文档。

Hermez 2.0 （zkEVM）功能

上图展示了HermezzkEVM 提供不同的功能。2.0在开发过程中， 仍在主网上发布2.0 路线图显示，Hermez2.0计划在今年第一季度推出公测网络，主网预计在第二季度推出。另一个重点是Hermez2.0无需许可的跨链桥正在开发中，允许用户从资产中走出来Hermez L2转移到其他 L2。

三、PolygonNightfall

去年9月，Polygon安永 ，全球专业服务和技术公司(EY，Ernest & Young) 建立合作关系，然后发布Polygon Nightfall。

2019年，安永宣布Nightfall的初始版本，和其他zk最不同的解决方案是，Nightfall以隐私为重点rollup，安永将其定位为以太坊最突出的隐私解决方案之一。具体来说Nightfall每笔交易都包含隐私，这意味着如果Alice向Bob其他人将看不到资产是什么，包含了多少价值，或者它去了哪里。

之所以更注重交易隐私，是因为安永瞄准的客户是企业。一开始，Nightfall试图直接在以太坊建立第一个企业级区块链，但最终发现以太坊主网的隐私太贵，于是转了L2最最终选择和Polygon合作。

两者合作发布Polygon Nightfall迭代多次后Nightfall3.0版本最突出的特点是有效Optimistic Rollup的主干概念与 ZK-Rollups 常用的零知识 (ZK) 密码学的结合实现了可扩展性和隐私性的结合。

Polygon Nightfall目前正处于测试网阶段，主网预计今年上线。

1、Nightfall如何运作？

Polygon Nightfall本质上是一种利用zk加密隐私保护Optimistic Rollup。Polygon与安永合作的重点是使用Nightfall技术构建产业链，使企业建产业链，使企业能够预测低成本并链接到L1上。

下图为Nightfall具体运作机制：

目前，我们可以将可扩展性瓶颈归因于状态，因为在链上存储数据的成本非常高。因此，扩展解决方案的目标是减少链上存储的数据量。Nightfall降低存储成本Optimistic rollup。

通常使用Optimistic rollup该计划将有7天的挑战期，即从L2提现到以太坊主网需要等7天Nightfall改进了这一点，为用户提供了一个即时退出的选项。其操作模式是流动性提供商与用户之间的交易交换位置，首先为用户预付即时提款所需的资金，并在7天的等待期内占据该位置。

Nightfall希望交易既有隐私。所以，在Optimistic Rollup上，Nightfall加一个额外的zk为了保证交易的隐私，隐私层。

NightfallVS Aztec

上图显示了两种不同的使用隐私的方法。左边的Polygon Nightfall使用了zk密码学的Optimistic rollup，右边的Aztec使用了zkrollup和zk密码学。我相信最理想的方案是相似的Aztec的zk/zk但目前这种解决方案太贵了。因此，在一定程度上，Nightfall更像是可以立即投入使用的折中方案zk费用解决了，Nightall 团队最终会切换zk/zk方案。

下图为Nightfall的架构：

2、具体用例

金融企业和机构投资者：Nightfall独特的隐私为投资组合管理公司创造了巨大的机会，希望对交易和掉期保密。为企业提供供应链可追溯性：企业可通过Nightfall处理供应、执行销售订单、私人支付等。目前，已有一家啤酒厂在使用安永Nightfall供应链进行可追溯性交易，企业可以轻松跟踪啤酒数量、啤酒数量、啤酒数量、啤酒数量、啤酒数量、啤酒数量Nightfall在生产线上铸造每一种产品NFT，每天大约产生6万个NFT。ESG：ESG对环境中的企业进行评级（Environmental）、社会（Social）和公司治理（Governance）从长远来看，企业是否具有可持续发展的价值，从三个方面进行评分评估。现有平台已使用Nightfall技术允许用户在不透露确切信息的情况下向慈善机构捐款。确保资金使用的隐私。此外，通过在链上添加慈善机构的供应链，公众可以监督慈善机构的进展和资金下落。

四、Polygon Miden

去年11月，Polygon基于宣布推出zk-STARKs扩容解决方案 Miden。这个项目是由曾经领导的Winterfell技术的Facebook前核心零知识证明技术研究员领导。

Polygon Miden是一个基于STARK的zk rollup。Polygon Miden其特点是旨在解决rollup任何逻辑和交易挑战都很难支持。rollup通过包装交易减少链上的数据存储，可以减少拥堵和交易成本，但很难支持交易包中任何交易的验证，影响其验证所有链下交易的能力。Polygon Miden通过使用Miden VM(虚拟机)解决今天的问题zk rollup最大的问题之一。

Polygon Miden 框架有两个核心组件：Distaff VM和Winterfell。

Distaff VM是一个zk-EVM。每当在zk-VM生成中执行程序zk执行证明（zk-proof of execution）在没有实际操作的情况下，验证程序是否正确运行。Distaff是一个基于STARK的虚拟机。

对于在Distaff VM基于 自动生成上执行的任何程序STARK 执行证书。然后，任何人都可以使用此证书来验证程序是否正确执行，而无需重新执行程序，甚至不知道程序是什么。

Miden VM就采用了Distaff VM，并为其添加一个更有效的证明系统——Winterfell。Winterfell 多线程功能齐全STARK用于任意计算的证明器和验证器。本质上是性能更高的最新版本STARK证明。

一旦开发完成，任何项目都可以在这里zk-rollup智能合署智能合约。

其它项目的区别在于，Miden生成STARK证明。尽管使用STARK证明更贵，但它相对要更安全。Miden创始人还计划进一步研究递归STARK为了降低价格，证明。

1、Miden的架构

交易将首先分发给 Miden 执行节点；这些执行节点一次将5000笔交易绑定到块中，生成 STARK 证明；每200生成一个被笔交易捆绑的块STARK证明，证明交易的有效性；最终STARK结果是上传到 L1 以太坊达成共识和确定性。

2、Miden VM的亮点：

对开发人员友好：Miden开发人员甚至不需要学习任何密码学或 zk 在这里可以证明知识zkVM 以上运行智能合同。支持多种编程语言：团队正在努力增加对多种编程语言的支持，但同时保证Solidity优先。以安全为中心：通过zk技术使Miden VM比EVM更安全。关注隐私:虽然这不是目前的重点，但是Miden该团队在路线图上部署了相关的开发计划。

根据官网公布的信息，Miden预计将于2023年第一季度推出。

总结：

最后，让我们简单快速地比较一下Polygon的四种zk扩容方案：

Polygon Zero开发一个基础SNARK 递归证明系统Plonky2，这个技术可以在Mac-Book Pro递归证明以170毫秒以下的速度生成。在如此高效快捷的情况下Plonky2在证明系统上，Polygon Zero最终开发最具可扩展性的 zkEVM。

Hermez开发的zk rollup其特点是在交易过程中通过拍卖选择协调员。为了盈利，成功的投标协调员将在单位时间内尽可能多地进行交易，因此这种竞争机制将带来高效的交易。Hermez也在开发zkEVM，且同时采用了SNARK 和 STARK 两种ZKP方案，力求两全其美。

而Nightfall更特别，还有其他zk最不同的解决方案是，Nightfall以隐私为重点rollup，他瞄准的客户是企业。Nightfall有效地将Optimistic Rollup主干概念与 ZK-Rollups 常用的零知识 (ZK) 密码学的结合实现了可扩展性和隐私性的结合。

Miden核心产品是Miden VM，和其他rollup不同的是，它使用更不受欢迎的STARK建造虚拟机的目的是证明系统rollup很难支持任何逻辑和交易挑战，提高验证所有链下交易的能力。

目前，这四种方案大多处于开发和测试阶段，都将于今年或明年正式上线。随着上述新的发展zk投入使用解决方案，Layer2它将在很大程度上解决以往技术方案落后的问题，并成为主流Layer2在解决方案中占有一席之地，为加密用户带来更多的选择。