当然这里面它需要用到一个很 tricky 的技术，就是它要找到两条非常稀有的曲线，能够让这两条曲线相互嵌入，之前找到的两条曲线计算非常慢，难以实用。

一个小突破大概发生在 2018 年，Zcash 团队的 Sean Bowe 和现在以太坊基金会的科学家 Mary Miller，他们合作了一篇文章叫 Sonic。他们在这篇文章中发现了一件非常神奇的事情，就是在传统的 Bulletproof 的后端里面有一部分运算可以被分摊，也就是说如果你有很多 proof 放在一起的话，可以用更有效的方式聚合在一起进行 verify。这个发现后来被 Sean Bowe 用来实现一种非常新颖的递归零知识证明算法 Halo，这个递归零知识证明不再需要找两条非常稀有而且性能差的曲线。这种递归证明技术可以用在很多的地方，只要能找到两条不需要支持 pairing 的普通曲线就可以做。这件事情直接打开了递归零知识证明的一个大门，研究成果非常激动人心，它可以让整个区块链上的应用充满各种新的想象力，Mina protocol 也努力在往这个方向拓展。

以太坊由于传统的设计上的一些缺陷，所以说它只能通过支持预编译合约的方式来有限地支持零知识证明。但我们现在已经很欣喜地看见以太坊 2.0 其实已经在努力地做工作，特别是 EVM384 的改进也许在今年就能支持。那上面会支持更多的曲线，能够非常灵活地支持递归零知识证明。只不过在目前的以太坊 1.0 基础上做相对就会麻烦一些。现在 Mina 基金会和以太坊基金会共同联合，征集在 EVM 高效验证 pickles 算法的方案，但是经过我们仔细分析，发现这件事情没有那么容易，还是挺困难的，因为这里的核心问题是椭圆曲线里面有一些非常耗时的操作，目前在以太坊上如果没有预编译合约的支持的话，基本上还是举步维艰，可能会有一些效果，但优化程度非常有限。

我们还是期待能够让以太坊早日支持 EVM384，然后能够释放递归零知识证明的威力。我最后谈一下，这对于 ZK Rollup 意味着什么？

ZK Rollup 里面现在会面临一个问题，不管是 zkPorter 还是 zkSync，如果用同一个状态根来实现在二层上的可组合性，你需要把状态空间做得非常大，这样你才能支持很多的 DeFi 应用，支持更多的用户。包括 Loopring 团队做的非常棒的这种转换的方案，可以直接让一层合约代理二层的资产到一层上去做操作，这都需要一个非常巨大的状态。这个状态会引入一个巨大的默克尔树，巨大的默克尔树会带来问题，就是在上面产生 proof 会非常地耗性能耗算力。像 Loopring 用的是 O(1) 复杂度的算法，然后 PLONK 用的 O(log n) 的验证算法，当 n 很大时，gas 消耗会很大。如果我们期待以太坊捕获更大的价值，那 PLONK 算法就会遇到很大的瓶颈，而 StarkWare 的算法会更严重一些。递归零知识证明就完全开启了另外一道门，ZK Rollup 有希望在这条路上优化得更彻底，能够让整个的以太坊上做零知识证明验证的 gas 消耗降到一个非常低的等级。 (责任编辑：admin)