Vitalik：哪种类型的 Layer3 具有意义？

本文介绍了 zk-SNARK 技术的工作原理和难点、多项式以及多项式承诺如何让 zk-SNARK 的实现更加高效

原文：What kind of layer 3s make sense?（vitalik.ca）

作者：Vitalik Bucterin

编译：EthereumCN

封面：Photo by Clever Visuals on Unsplash

特别感谢 Georgios Konstantopoulos、Karl Floersch 以及 Starkware 团队的反馈和校对。

在 L2 扩容探讨中经常会出现的话题是 “layer3（L3）” 这个概念。如果我们可以构建一个锚定 L1 安全性并在其之上增加可扩展性的 L2 协议，那么我们也一定可以构建一个锚定于 L2 安全性并在其之上增加更多可扩展性的 L3 协议，以此实现更多扩容？

简要地说，这种观点是这样的：如果你拥有一个能够让你进行二次方扩容的方案，那你可以将这个方案构建在它自己之上，然后达到指数级的扩容吗？

我在自己 2015 年的可扩展性论文、Plasma 论文中的多层扩容想法等地方都讲到了类似的观点。不幸的是，这种关于 L3 的简单构思并不能像上述观点那样轻易实现。

这种方案的设计中总是会有一些无法直接堆叠的东西，只能在可扩展性上带来一次提升 —— 因为数据可用性的限制，紧急提款依赖于 L1 宽带等多种问题。

如 Starkware 提议的框架等较新的关于 L3 观点变得更复杂：这些 L3 方案不只是在自己的网络之上堆栈叠相同的方案，而是为 L2 和 L3 分配不同的用途。这种方法的一些形式可能会是好主意 —— 如果它能够以正确的方式实现。本文将会详细介绍在三层架构下哪些可能有意义，而哪些可能无意义。

（译者注：上述 StarkWare 文章中文版《分形式扩容：从 L2 到 L3》）

为什么无法通过将 rollup 堆叠在 rollup 之上一直扩容

rollup（在这里阅读关于 rollup 更长的文章。译者注：链接文章中文版《Vitalik：Rollups 不完全指南》) 是结合各种技术解决区块链运行中两大主要扩展瓶颈的扩容技术：计算和数据。计算可以通过欺诈证明或是 SNARK（译者注：链接文章的中文版在这里）解决，两种方式依赖于很少的行动者就能对每个区块进行处理和验证，只需要其他参与者运行一小部分的计算来检查证明过程是否正确完成了。

这些方案尤其是 SNARK 几乎可以无限地扩展，你真的就可以通过保持构建 “在一个 SNARK 证明之上构建多个 SNARK 证明”，为单个证明扩展更多算力。

数据则不同。rollup 使用许多压缩技巧来减少一笔交易在链上存储所需的数据量：一笔简单的货币转账从大约 100 字节减至大约 16 字节，兼容 EVM 的链上的一笔 ERC-20 代币转账从大约 180 字节减至 23 字节左右，而一笔保护隐私的 ZK-SNARK 交易可以从 600 字节左右压缩至 80 字节左右。

基本所有情况下的数据都能压缩至原来的 1/8。但是，rollup 还是需要在某一中介上让数据具有链上可用性，保证用户能够进行访问和验证，因此，用户可以自主地计算 rollup 的状态，并在现有证明生成者下线的情况下作为证明生成者加入证明过程。

数据只能压缩一次，无法再次压缩 —— 如果数据可以再次压缩，那么通常有一种方式将第二个压缩器的逻辑放入第一个的逻辑中，只要压缩一次就能让第二个压缩器或跟第一个压缩器相同的效果。所以说，事实上 “在 rollup 之上构建 rollup” 并不能在可扩展性方面提供巨大的收益 —— 不过，这种模式可以用于其他的用途，正如下面我们将看到的一样。

所以 “合理的” L3 版本是什么样的？

好吧，让我们一起看看 StarkWare 在关于 L3 的文章中倡导的是什么（译者注：该文章的中文版在上面）。StarkWare 团队由非常聪明且实际上理智的加密学家所组成，所以如果他们倡导 L3，那么他们的观点会比 “如果 rollup 的数据压缩至 1/8，那么很明显，构建于 rollup 之上的 rollup 会将数据压缩为原来的 1/64” 的观点更为复杂。

这是 StarkWare 文章中的图表：