DR
Construímos e medimos um protocolo híbrido de disputa de rollup otimista que mantém o modelo de confiança sem permissão 1 de N de Cannon, mas move a bissecção fora da cadeia e substitui a execução da folha MIPS na cadeia por um prova Groth16 de instrução única. Em um PoC de Sepolia, o caminho contestado é 4 transações principais de disputas (~ 0,72 milhões de gás), mais a resolução de disputas (~ 0,11 milhões) – 5 txs na rede, ~ 0,83 milhões no total. Isso é aproximadamente uma ordem de magnitude abaixo da de Cannon. estimativa baseada em especificações para um jogo on-chain totalmente jogado (≈10–15M de gás; não medimos novamente o Cannon).
O que isso encurta e NÃO encurta: nós mantenha a janela do desafio de 7 dias como um buffer de disponibilidade, então isso é não uma reivindicação de “retirada de 47 minutos”. O que passa de dias para dezenas de minutos é o disputa de caminho adversário resolução assim que um desafio for aberto – e mesmo esse número de aproximadamente 47 minutos é não medido; é uma projeção de modelo dominada pela confirmação L1 (detalhes abaixo). O gás é real; latência é um modelo.
Isto se baseia diretamente na ideia proposta aqui em À prova de fraude ZK com ZK State Channel (março de 2024) — usando um canal estadual ZK para resolver disputas de rollup otimista com uma prova ZK sob demanda — e nas discussões relacionadas de bissecção híbrida + ZK de etapa única (por exemplo Prova de fraude interativa quase instantânea… verificador ZK de várias etapas). Para ser sincero: o ideia de alto nível não é nossa – é essencialmente o #19004 proposta. Nossa contribuição é mais restrita – uma implementação ponta a ponta trabalhada, medição em cadeia e um argumento de segurança estrutural (não teórico do jogo). Valorizamos a opinião da comunidade sobre se esse delta é significativo, considerando Cartesi Dave / OP Kailua, ou se é principalmente engenharia.
O problema
A janela à prova de fraude de 7 dias é a parte da finalidade OR que é intrínseca ao modelo otimista (não uma propriedade-ponte). A maquinaria de disputa existente melhora-a através da negociação custo de verificação na cadeia (Canhão, BoLD) ou custo de prova fora da cadeia (RVP de lote completo do Morph) para relógios de parede mais curtos; nenhum reduz ambos ao mesmo tempo.
Abordagem (4 peças)
- Bissecção fora da cadeia. A pesquisa binária ⌈log₂ T⌉-round sobre o rastreamento MIPS disputado é executada como mensagens P2P assinadas entre o desafiante e o sequenciador. Somente o compromisso do terminal co-assinado toca L1.
- Compromisso de bissecção alinhado a Poseidon. Tanto o hashing off-chain quanto as entradas públicas do circuito ZK usam Poseidon, então o hashing on-chain
keccak256(abi.encodePacked(preHash, postHash, step))o compromisso vincula o resultado fora da cadeia ao verificador. (Encontramos um bug real aqui – veja “o que a verificação externa detectou” abaixo.) - Prova Groth16 de instrução única. Apenas a etapa contestada do MIPS é comprovada (relação R_mips sobre BN254). O gás verificador é constante no tamanho do lote.
- Conjunto de validadores sem permissão 1 de N. A disputa em nível de instância é bilateral, mas a segurança só precisa alguns validador honesto e ativo no pool. O retorno ao caminho otimista fechou a forma (1−h)^N.
O que medimos (e o que NÃO medimos)
- Medido (Sepolia, execução única – portanto, trate como uma estimativa pontual, não como uma distribuição): as 4 disputas principais txs = 720.483 gás (iniciar + vínculo + bisectionResult + submitProof); resolveDispute adiciona 105.267então o ciclo de vida completo é 5 txs na rede ≈ 825.750 gás. submitProof (verificação de emparelhamento Groth16 real) = 279.930. Circuito: 16.857 restrições R1CS, etapa MIPS única. A linha de base do Cannon com a qual comparamos é uma estimativa baseada em especificações (≈50K gás/movimento × um jogo de profundidade 73), não uma nova medição, portanto o enquadramento da “ordem de magnitude” é deliberado.
- NÃO medido – projetado: o ~47 minutos latência ponta a ponta. Ele vem do limite de atividade avaliado com primitivas de prova/P2P medidas além de uma confirmação L1 de finalidade de mainnet presumida (~10–12 min/tx). A execução do PoC, na verdade, pousou seus txs em blocos Sepolia consecutivos (cerca de 12 s de intervalo), que é um limite inferior, não a entrada da projeção. Então: o gás é real, a latência é um modelo.
O que a verificação externa detectou (vale a pena sinalizar)
Ao executar novamente o PoC para confirmar a reprodutibilidade, descobrimos que a verificação de compromisso na cadeia indexou os sinais públicos Groth16 como (0),(1)mas snarkjs emite saídas do circuito antes das entradas públicasentão a ordem do sinal é (valid, preHash, postHash) – os hashes divididos estão em (1),(2). Sob a antiga indexação nenhuma prova válida poderia limpar a verificação de compromisso. Corrigido, reimplantado e uma prova real agora passa na cadeia. Mencionamos isso porque é o tipo de falha silenciosa (o protocolo entra em colapso no caminho otimista sem nenhum sinal na cadeia) que os testes de gás de ponta a ponta por si só não detectam.
Relação com trabalhos anteriores (onde esperamos resistência)
- Cartesi Dave é o projeto de faixa de produção mais próximo: bissecção e depois uma única prova de validade na folha. Diferenças: a bissecção de Dave é uma torneio em cadeia (usamos um canal de estado ZK fora da cadeia), e Dave prova um etapa de velocidade nativa “gorda” de uma máquina RISC-V (provamos uma instrução MIPS única).
- OP Kailua / modo híbrido ilimitado substitui o jogo interativo por um jogo à prova de fraude ZK; ponto diferente no espaço de design (sem folha de instrução única).
- Audacioso mantém a bissecção na cadeia (comunicações todos contra todos, O(N²)).
- Morfar RVP prova todo o lote desafiado (o custo do provador é escalonado com o lote).
Pergunta honesta para a comunidade: é o “bissecção fora da cadeia + folha ZK de instrução única + canal de estado ZK” romance triplo significativo dada a trajetória de Dave, ou o delta é principalmente engenharia?
Limitações que não estamos escondendo
- A configuração confiável é o bloqueador de implantação. O PoC usa uma configuração Groth16 de parte única para benchmarking; a produção precisa de uma cerimônia MPC (Poderes do Tau + circuito Fase 2). Esta é a razão dominante pela qual o chamamos de protótipo de pesquisa.
- Subconjunto MIPS-27 → uma lacuna de completude, não apenas um número de cobertura. O executor implementa 27 dos ~50 opcodes Cannon (Branch/Jump/Syscall adiados). A consequência sobre a qual queremos ser explícitos: se a instrução terminal de uma disputa for um opcode não implementado, a prova de instrução única não poderá ser produzida atualmente — o protocolo permanece válido (nunca finaliza uma raiz errada), mas é incompleto nesse caminho até que o subconjunto seja estendido. O custo R1CS por etapa é invariante à contagem de opcode e Branch/Jump/Syscall compartilham famílias de restrições existentes, portanto, fechar isso é engenharia, não um novo circuito primitivo – mas ainda não foi feito.
- Independência no modelo substituto. (1−h)^N assume validadores independentes de pares; a infraestrutura correlacionada o enfraquece.
Feedback que valorizamos
- A folha de instrução única (vs passo gordo) é uma vantagem real ou a etapa de velocidade nativa de Dave domina na prática uma vez incluído o custo de prova?
- É um estrutural redução de segurança (para solidez Groth16 + resistência à colisão de hash, sem teoria do jogo bond-vs-EV) o enquadramento correto ou estamos perdendo um ataque de incentivo?
- Para o canal de estado ZK fora da cadeia: modos de falha da co-assinatura dois-de-dois sob luto além do tempo limite de fallback?
Contratos/circuitos/artefatos de medição estão disponíveis mediante solicitação (uma liberação pública está pendente de liberação de IP). Estamos postando aqui para obter a leitura da comunidade L2/ZK antes de nos comprometermos com as reivindicações da faixa de produção – o retrocesso no delta do trabalho anterior e a lacuna de integridade acima é exatamente o que buscamos.
Fontesethresear
