欺詐證明與ZK Fraud Proof的實現思路

欺詐證明是區塊鏈領域廣泛應用的技術方案，最早源於以太坊社區，被Arbitrum和Optimism等Layer2採用。2023年比特幣生態興起後，Robin Linus提出了BitVM方案，以欺詐證明爲核心，爲比特幣二層或橋提供了新的安全模型。

BitVM經歷了多個版本演化,從早期的邏輯門電路方案到後來的ZK Fraud Proof方案。多個項目如Bitlayer、Citrea、BOB等均以BitVM爲技術基礎進行了不同實現。

本文將以Optimism的欺詐證明方案爲例，解析其基於MIPS虛擬機和交互式欺詐證明的實現,以及ZK化欺詐證明的思路。

OutputRoot和StateRoot

Optimism的基礎架構包括定序器和以太坊鏈上智能合約。定序器處理交易後,會將DA數據發送到以太坊。任何人都可以運行Optimism節點,下載數據並在本地執行交易,計算出當前狀態集hash。

如果定序器上傳錯誤的狀態集hash,本地計算結果會不同,此時可以發起欺詐證明質疑。

Optimism採用與以太坊類似的StateRoot字段表示狀態集變化。定序器定期上傳OutputRoot到以太坊,OutputRoot由StateRoot和其他字段計算得出。

MIPS虛擬機與內存Merkle Tree

爲在鏈上驗證OutputRoot正確性,Optimism團隊用Solidity實現了MIPS虛擬機,並設計了交互式欺詐證明系統。

該系統將交易處理流程細化爲MIPS操作碼序列。通過觀察哪個操作碼執行後虛擬機狀態出錯,來判斷OutputRoot是否有效。

MIPS虛擬機的狀態信息被組織成Merkle樹。在鏈上只需執行單條MIPS操作碼,比較執行後的狀態hash是否一致。

虛擬機的內存數據也被組織成28層二叉Merkle樹,根hash稱爲memRoot。執行操作碼時需上傳部分內存數據及默克爾證明。

交互式欺詐證明

Optimism開發了Fault Dispute Game(FDG)協議,包含挑戰者和防御者兩個角色。雙方需在本地構建GameTree,包含兩級Merkle樹:

• 第一級樹葉子節點爲不同區塊的OutputRoot
• 第二級樹葉子節點爲MIPS虛擬機的狀態hash

雙方在鏈上多次交互,最終定位到有爭議的MIPS操作碼。

交互式欺詐證明的核心機制:

1. FDG定位需上鏈執行的操作碼及VM狀態
2. 在鏈上MIPS虛擬機中執行該操作碼,獲得結果

ZK化欺詐證明

傳統交互式欺詐證明存在交互復雜、gas成本高、暫停Rollup執行等問題。爲此,Optimism提出了ZK Fraud Proof概念:

• 挑戰者指定需重放的交易
• Rollup定序器生成該交易的ZK證明
• 以太坊合約驗證ZK證明

相比交互式方案,ZK Fraud Proof將多輪交互簡化爲一輪ZK證明生成和驗證,節省時間和gas成本。相比ZK Rollup,只在被挑戰時生成證明,降低了計算成本。

BitVM2也採用了類似思路,通過比特幣腳本實現ZK Proof驗證,並對上鏈程序進行了極大精簡。