像热一样交易：流行的 ZK 项目和零知识证明技术回顾

一直被视为加密货币社区中最有价值的功能之一，因为大多数加密资产持有者不希望他们的资产和交易记录被完全披露。 隐私 在提供隐私的各种加密技术中，零知识证明是最重要的技术之一。 与其谈密码学的专业知识，不如讲解零知识证明的理论，帮助读者大致回顾零知识证明体系及其发展现状。 1 零知识证明技术的发展 1.1 零知识证明的概念 零知识证明（ZKP）是现代密码学的重要组成部分。 它是指证明者在不向验证者提供任何有用信息的情况下说服验证者假设是正确的能力。 零知识证明本质上是一个涉及两方或多方的协议，是两方或多方完成一项任务需要采取的一系列步骤。 证明者向验证者证明，使验证者相信他/她知道或拥有某条消息，但在证明过程中，关于被证明消息的任何信息都不能透露给验证者。 通俗地说， 他不仅证明了自己想证明的东西，而且同时向验证者披露了“零”信息。 零知识证明本身涉及一个相对复杂的密码算法。因此，为了让零知识证明理论对大家清晰友好，我们举一个【寻找熊猫】的例子： 一群人正在寻找这张图片中的熊猫，A 人是第一个发现熊猫在哪里的人，但无法立即向公众提供答案，因为这会给其他人带来不好的游戏体验。 有什么方法可以证明 A 知道熊猫在哪里而不让其他人知道答案？ 然后，A 找了一大张白纸，随机把纸放在熊猫图上。 然后，A 在白纸上剪了一个小洞，只露出熊猫。 这样，熊猫的位置被保护为关键信息，但A仍然可以证明他找到了熊猫，而不会让其他人知道关键信息。这就是零知识证明。 零知识证明的验证方法强调完整性和可靠性。 完备性原则是指证明者可以说服证明者接受一个正确的陈述；可靠性原则意味着证明者不能说服验证者接受错误的陈述。 但实际上，可靠性仍然是概率性的。只能说证明者作弊的概率极低。 因为零知识证明的可信度取决于两个因素：一是证明难度，二是交互程度。 证明难度是直接在数学上使证明更加困难；交互度是指验证者需要不断地向证明者提出问题，然后证明者证明随着交互次数的增加，证明者欺骗验证者的难度更大，因为证明者提供正确证明的概率没有知道正确的信息会在统计上减少。 1.2 零知识证明理论的演进 零知识证明的概念最初是由 S. Goldwasser、S. Micali 和 C. Rackoff 在 1985 年提出的。他在论文中引入了“交互”和“随机性”，从而构建了一个早期的交互证明系统。 交互式证明要求验证者不断地就他/她所拥有的“知识”提出一系列问题。 通过回答一系列问题，证明者让验证者相信他/她确实知道“知识”。 创建的问题越多，互动就越多。但是，这样的方法并不能让人相信证明者和验证者都是有诚意的，因为两者可以提前发生冲突，使得证明者在不知道答案的情况下仍然可以被验证。 在接下来的十年中，许多传奇密码学家为零知识证明系统的发展做出了重要贡献。 例如，M. Blum、P. Feldman 和 S. Micali 指出“交互”和“隐藏随机性”不是必须的，然后他们提出了基于共同参考的【非交互零知识证明系统】 CRS（通用参考字符串）模型。 非交互证明是指证明者不需要与验证者交互，需要在系统中预先设置一组公共引用，利用零知识证明的公共引用构建和验证交易。 也就是说证明者可以独立生成证明，避免了证明者和验证者串通的可能性。 2010 年，Jens Groth 提出了指数假设知识，当时颇受争议。它通过在 CRS 中隐藏一些秘密随机值，将证明长度缩短到恒定水平。 这个过程可以理解为它创造了一个只有系统“知道”的秘密，任何知道如何生成这个共同参考的人都可以伪造证明。这个过程是[初始化可信设置]。 这种解决方案在大大减少证明长度的同时，也引入了一些安全风险，因为任何知道如何生成这个通用引用的人都可以伪造证明。 然而，这个解决方案已经建立了零知识证明技术在未来十年中最重要的分支。随着零知识证明理论的不断发展，密码学家开始在工程方向进行深入研究。 2013 年，Rosario Gennaro、Craig Gentry 等人在 Jens Groth 2010 年工作的基础上做出了更优化的改进方案，大大缩短了证明时间，并将证明长度降低到更小的常数。 随后，Parno 等人在此基础上实现了一个名为 Pinocchio 的可验证计算协议，并不断对其进行优化和改进。 2014 年，加密隐私币 ZeroCash 面世。 Eli Ben-Sasson、Alessandro Chiesa 等人对 Pinocchio 协议进行了小幅改进，这是区块链领域首次成功实现零知识证明技术。 ZeroCash 是 Zcash 的前身，Zcash 团队也为零知识证明工程做出了巨大贡献。 1.3 零知识证明的发展现状 零知识证明技术与Zcash的结合引起了人们对其在区块链领域的重要作用的关注，也是零知识证明技术从理论走向应用的重要实践。 目前零知识证明主要有以下几种解决方案。每个解决方案代表不同的零知识证明实践，也会产生不同的效果， 主要体现在安全性、证明大小、计算速度和验证速度方面。 横轴是证明大小，纵轴是安全假设。其中， 不依赖数学难度假设，具有后量子特性。 最安全的是STARK算法， **最小的证明大小是 SNARK 解决方案中的 Groth16 算法。 PLONK 也是 SNARK 解决方案之一，具有中等的安全性和证明大小。 如今，zk-STARK 和 zk-SNARK 是应用最广泛的。 1.3.1 zk-SNARK SNARK 是简明非交互式知识论证的缩写。 **此解决方案的特点很简单。即验证过程不涉及大量数据传输，验证算法简单，即验证时间不随运算吞吐量呈指数增长。 其次，非交互式知识演示是从证明者到验证者的一条单一的线性信息，这使得整个验证过程更加高效。 **目前，Groth16 是验证速度最快、数据量最小的 zk-SNARK，Zcash 是其第一个广泛传播的实现。 Groth16 是对 Pinocchio 协议的进一步改进，在安全性假设稍强的情况下将证明大小压缩了近一半。 不过，Groth16 解决方案中最具争议的方面之一是[Initialize Trusted Settings]，因为 CRS 中隐藏的随机值通常由一小群人确定，因此可能存在信任问题。 而且，理论上，如果证明者有足够的计算能力，它可以提交虚假证明，从而影响整个系统的安全性。这就是为什么量子计算机被认为是对此类算法的威胁。 因此，【初始化可信设置】也是其他零知识证明技术试图攻克的核心问题。 PLONK 算法也是针对可信设置的改进，稍后我们将更详细地讨论 Groth16 和 PLONK 之间的区别。 为了解决这个问题，斯坦福密码学家 Benedikt Bünz 等人提出了防弹技术。与之前的 zk-SNARK 相比，Bulletproof 无需初始化可信设置，但计算和验证时间比 STARK 需要更长的时间，证明规模要小得多。该解决方案一经提出，便被门罗币项目采用。 1.3.2 zk-STARK STARK 是 Scalable Transparent Argument of Knowledge 的缩写。它是作为 SNARK 的替代版本而建立的。与 SNARK 的“Succinct”不同，STARK 在这里是“Scalable”的，主要是说明 STARK 的 Proof 生成时间复杂度接近计算复杂度，而 Verify Proof 时间复杂度要小得多。也就是说，随着 STARK 可扩展性的增强，STARK 的证明复杂性保持不变。 更重要的是 ，因为它依赖于更流线型的对称加密，通过哈希函数碰撞，可以看作是 STARK 的 [透明] 部分。 STARK 不需要初始化可信设置 STARK 相对于 SANRK 的第三个改进是后量子计算，这意味着它不能被量子计算破解。当然，精致总是伴随着牺牲。 STARK 比 SNARK 更复杂，证明大小从 288 字节增加到数百 KB，并且在以太坊上消耗更高的验证费用。 1.3.3 可信设置的零知识证明方案 基于可信设置的零知识证明系统虽然需要生成通用引用，但已经证明了其在计算成本和证明规模上的优势，这可以说明它仍然是许多面向隐私的区块链应用的首选。 可信设置零知识证明系统的安全性在很大程度上可以归因于公共参考生成的安全性。有可能以可信的方式实现中心化生成，同时与去中心化的目标不兼容。 到目前为止， 受信任设置中使用的优先级是安全多方计算 (MPC)。 MPC 解决方案试图确保任何一方都无法生成或获取这些参数的基础数学结构的知识。 它通过要求尽可能多的独立参与者共享生成过程来实现这一点，只需要少数（甚至一个）诚实行事以确保设置安全。 。 使用 MPC 时，参与者越多，越安全 Zk-SNARK 是一种针对可信设置的零知识证明解决方案，但其中发展了不同的算法。 Groth16 和 PLONK 是使用最广泛的可信设置零知识证明解决方案。它们之间的区别在于： ，但由于 Groth16 的秘密计算与特定的问题相关，每次都需要根据不同的问题重新设置 MPC 可信设置。 Groth16 的验证速度最快，数据量最小 需要多方参与者的计算协议通常很繁琐，这会影响 Groth16 的性能。 这里的“可更新”意味着只要怀疑某个机密已被泄露，就可以随时更新受信任的设置。 PLONK 是 Sonic 的改进版本，其验证时间快了五倍。 Sonic 是一个可更新的全球 CRS 解决方案。 而这里的“全局”是指计算过程不再与CRS绑定，一个应用程序只需要完成可信预设，就可以实现不同的零知识证明电路计算。 即信任设置只需要设置一次，而不必每次都为不同的问题持有一个新的MPC，更新除外。下面是 Groth16 和 PLONK 的性能对比： PLONK 算法是来自 Protocol Labs 的研究员 Gabizon 和来自 Aztec Protocol（以太坊的私有交易协议）的两名研究人员之间的合作。 PLONK 晚于 Groth16 提出，在证明大小和验证速度方面落后。 然而，PLONK 算法基于可更新可信设置的特点在零知识证明领域占有一席之地。 2 零知识证明技术应用 零知识证明技术的两个重要特点是其在区块链领域应用的主要因素： 零知识证明可以保护数据的隐私，并在不泄露数据信息的情况下进行证明。 零知识证明只需要生成少量的证明就可以证明大量的数据，对压缩数据量和提高性能可以起到很大的作用。 因此，零知识证明的两个方向是： 2.1 隐私保护 隐私保护一直是区块链中一个极其重要的概念，代表了在分布式网络中保护交易和参与者的能力。 尽管区块链一直提倡匿名，但参与者在大多数交易中不需要使用真实姓名，但仍然可以重复使用公钥哈希值作为交易标识符来识别交易者。 因此，此类交易只有假名，无法实现真正的匿名。默认情况下，用户的每一笔交易都是公开的，一旦用户地址被锁定，就可以用来查询资金来源、计算持仓量，甚至可以分析用户的链上活动。 零知识证明技术可以在不泄露任何信息的情况下，通过提交证明来确认交易的有效性，实现交易信息的完全匿名。 在强调隐私问题加密的发展时期，很多开发者致力于隐私公链的探索。零知识证明的隐私保护和数据压缩能力是成为公链组件技术的主要原因。 在此期间，Zcash 和 Monero 等项目取得了异常辉煌的成果。 以 Zcash 为例，Zcash 最早采用了匹诺曹协议，并在 2019 年切换到 Groth16 证明系统。 Zcash 钱包地址分为隐藏地址和透明地址。透明地址之间的交易与比特币（BTC）交易没有什么不同：发送者、接收者和交易金额是公开可见的；隐藏地址之间的交易也会出现在公链上，但交易的地址、金额、备注字段都是加密的，zk-SNARK会在网络共识规则下证明交易的有效性；此外，还可以在隐藏地址和透明地址之间进行交易。 Zcash 在保护交易隐私的同时，对审计和监管友好。隐藏地址交易的发送者和接收者可以向第三方披露交易细节，以满足见证、合规或审计的需要。 2.2 可扩展性 “不可能三角”是以太坊等 L1 区块链面临的永恒难题。不同的链总是在去中心化、安全性和可扩展性之间找到平衡。 以太坊更注重去中心化和安全性，因此不得不面对可扩展性的限制。以太坊的高gas费用和较长的交易确认时间极大地影响了用户的体验。 因此，其核心开发团队和社区一直在探索各种可扩展性解决方案。 扩展区块链有两种方法： 为了扩展 L1 区块链本身，方法包括增加块大小或分片。即区块链网络中的节点被分成几个相对独立的分片。 单个分片的处理规模很小，甚至只存储部分网络状态。但是，理论上，在多个分片并行处理事务的情况下，整个网络的吞吐量会有所提高。然而，这样的做法会导致去中心化的牺牲； 将 L1 网络上的交易转移到 L2，L2 收集交易，然后将它们发送到 L1 网络进行结算。这样，每笔交易都支付一笔gas费，而不是为每笔交易支付一笔gas费。 因此，所有交易均分gas费成本，有效降低了每笔交易的成本。这样，L1 就成为 L2 上所有已执行交易的结算层。 L2 扩容方案可以在不牺牲去中心化和安全性的前提下解决 L1 的扩容问题。 当然，L2 扩容方案也经历了从状态通道到 Plasma 再到 Rollup 的演进。目前，**Rollup 是最主流和最具潜力的 L2。 Rollup 是指先进行复杂的链下计算和状态维护，然后将状态变化相关的数据通过合约调用的方式，使用更便宜的 CALLDATA 进行链上保存，汇总打包大量数据将交易合并为一笔交易，最终在保证【数据可用性】的前提下提高TPS。 Rollup 解决方案的共同点是强调链上数据的可用性。即任何人都可以根据链上保存的数据恢复全局状态，从而消除数据可用性问题带来的安全风险。 除了压缩链上的计算量外，零知识证明发挥作用的方面之一在于确保数据的正确性。 ZK Rollup 方案起源于 2018 年下半年，这个方案的关键是 ZK。 ZK Rollup 解决方案的每一次状态变化都需要主链上的合约提供并验证零知识证明。 只有通过验证后才能改变状态。也就是说，ZK Rollup 的状态变化严格依赖于密码证明。 （注：关于ZK Rollup原理的详细解释，请参考李华 ） 的A Clear View on Layer and Cross-chain Methods 当然，还有其他的 Rollup 方案，比如 2019 年下半年形成的 Optimistic Rollup，不需要对每次状态变化进行严格的验证。 它首先乐观地假设每次变化都是正确的，然后在一定的时限内挑战变化。如果变更挑战成功，则证明之前的提交有问题，提交者将受到惩罚，状态将被回滚。 即 Optimistic Rollup 的状态变化依赖于经济激励和博弈。 ZK Rollup 的突出问题是难以实现可编程性，但 ZkSync 的虚拟机及其相关设计可以实现可编程性； Optimistic Rollup 最令人担忧的问题似乎是当资金从 Layer 2 返回时，挑战期造成的延迟，但中介机构可以提供预付款服务。 因此，Optimistic Rollup 方案的实现速度更快。 两者的性能对比如下图所示： 与 Optimistic Rollup 相比，ZK Rollup 方案的技术复杂度非常高，需要大量的计算。此外，它的交易延迟会变长，计算成本会更高。 但是，每笔交易的成本较低，验证成本远低于计算成本。这种简单性为缩放提供了条件。 根据 I2beat.com 的最新数据，Layer 2 解决方案锁定的资产规模约为 67 亿美元。其中 Optimistic Rollup 的 Layer 2 扩容方案由 Arbitrum 和 Optimism 提出并率先推向市场。 目前，它占二层解决方案的一半。零知识证明方案锁定的资产规模仅为17亿美元左右，因为其技术实现难度较高，其生态应用建设尚未落地。 零知识证明解决方案三星级项目 在早期的零知识证明项目中，虽然 Zcash 和门罗币在隐私保护方面做得很好，但它们只能作为价值存储的手段，很难与其他应用程序合作。 在众多开发者的努力下，他们正在尝试将零知识证明与智能合约相结合，以探索零知识证明技术的更大潜力。 目前的应用大致可以分为以下三类。在本节中，我们将介绍一些非常有前景的零知识证明项目，其中大部分尚未发行代币。 3.1 米娜 Mina 曾经有一个名字叫 Coda Protocol，成立于 2017 年。它的开发团队是 O(1) Labs，现在由世界级的密码学家、工程师、博士和企业家组成。 Mina 专注于构建轻量级区块链。与以太坊和比特币（BTC）往往包含数百GB的区块空间相比，Mina的区块大小将保持在22KB，可以让大多数人参与，并且可以让自己成为节点。 低门槛节点部署，更容易触达各类用户。用户很容易到达节点和部署节点，这也将使网络更加分散并相应提高安全性。 Mina 实现区块大小恒定的能力的核心是使用【递归零知识证明】，即在每一个区块生成中，利用 zk-SNARK 技术将区块压缩成一个单一的证明，每个新的 SNARK 证明包含过去的 SNARK 证明。 节点只需要验证证明，因此不需要检测整个交易历史。 但这只是第一步。区块链的一个特点是每个块都需要参考前一个块，因为如果每个块只生成一个 SNARK 证明，它的整体容量会线性增加。 因此，Mina 会为 SNARK 创建 SNARK（即递归），然后不断地迭代和嵌套它们。这些 SNARK 证明以递归结构链接在一起，以保持大约 22 KB 的恒定大小。 此外，Mina 建立了一个基于零知识证明的数据隐私保护生态系统。其生态应用Snapps（目前更名为zkApps），可以针对某些场景实现特定的业务逻辑。 还可以通过转接桥与其他公链合作，增强互操作性，使整个区块链生态互利共赢。此外，它还具有轻量级节点，目前仅由 Mina 在该领域开发。 融资背景： 2022年3月，米娜宣布完成由FTX Venture（LD Venture Capital）和三箭资本领投的9200万美元战略融资。 通过吸引世界级的开发人员，这笔资金将用于加速 Mina 应用程序作为 Web3 内领先的零知识证明平台。 此前，Mina 进行了四轮融资，金额约为 4815 万美元，在这些融资中，投资方包括 Coinbase Ventures、Polychain Capital、三箭资本、Paradigm 和 Multicoin 等顶级机构。一流的投资机构更看重的是长期价值，大部分都拥有自己的用户和粉丝，也就是自己的IP流量，这对米娜积极拓展未来市场非常有利。 3.2 ZkSync 由成立于 2019 年 12 月的 Matter Labs 团队建立的 zkSync 项目旨在扩展以太坊。 zkSync 1.0 是以太坊上的 ZK Rollup（零知识证明）L2 扩容解决方案，以支付为主，于 2020 年 6 月上线以太坊主网上线。 zkSync 最开始使用的 SNARK 算法是 Groth 16，在这个算法中，不仅需要一个可信的设置（比如在 zkSync 的创建之初），而且 zkSync 上每次新的应用升级都需要一个可信的设置。 这也为 zkSync 1.0 创建 EVM 兼容环境制造了障碍，因此 zkSync 1.0 仅限于特定的应用程序，例如支付应用程序。 zkSync 2.0 是建立在以太坊上的兼容 EVM 的 L2 解决方案，也称为 zkEVM。它重新编译 EVM 代码并使用零知识证明来验证 Rollup 交易，允许开发人员在 L2 环境中建立和部署去中心化应用程序，具有低 gas 和高可扩展性。 2021年5月，zkSync发布了zkEVM Alpha版，预计2021年8月可以完成主网上线，但由于技术困难，上线时间推迟。 2022年2月，zkSync 2.0公测网上线。 zkEVM 是以太坊测试网上第一个兼容 EVM 的 ZK Rollup，已经发布。 融资背景： 2021年3月，Matter Labs完成600万美元A轮融资，由Union Square Ventures领投，其他知名人士还有Placeholder和Dragonfly跟投。 本轮融资更引人注目的是引入了大量生态合作伙伴，其中包括一些加密货币领域最知名的公司和创始人。 2021年11月，Matter Labs又完成了由A16Z领投、多家中心化交易所（Blockchain.com、Crypto.com、ByBit、OKEx）战略参与的5000万美元B轮融资。 融资公告后不久，这些交易所宣布与zkSync合作，支持各交易所与L2之间的充提。 3.3 斯塔克软件 StarkWare 团队成立于 2018 年 5 月，成员均为世界一流的密码学家和科学家。核心团队成员为前Zcash首席科学家，多年来在零知识领域开拓创新。 正是这个团队在 2018 年的一篇学术论文中提出了 zk-STARK 技术。然后，该论文的作者创建了 StarkWare。 存在一个问题，STARK的技术没有SNARK成熟，如果完成图灵，将很难兼容EVM。 StarkWare 和 zkSync 一样，也使用了零知识证明扩展解决方案，而 StarkWare 是基于 STARK 的。 StarkWare 创建了一种特定的编程语言 Cairo 来运行 STARK 支持的自主程序，StarkWare 团队现在正在与 Nethermind 团队一起创建一个转码器 Warp，它将将 Solidity 智能合约无缝转换为 Cairo 以使其与 EVM 兼容. StarkEx 支持三个主要应用程序 dydx、Immutable 和 Deversifi。到目前为止，通过这些应用程序，StarkEx 已经处理了超过 500 万笔交易，价值超过 2500 亿美元。 StarkWare 推出了 StarEx，允许创建 Cairo 和 STARK 支持的特定应用 ZK Rollup。 2021年11月29日，他们发布了StarkNet主网Alpha版。 StarkNet 是一个正在开发其生态系统的 ZK Rollup L2 应用网络。 融资背景： StarkWare共进行了四轮融资，金额超过1.6亿美元，参与方包括Paradigm、Polychain、红杉资本、IOSG等多家顶级机构。天使参与人之一是以太坊创始人Vitalik Buterin，受到加密货币领域的青睐。 3.4 阿兹特克 Aztec团队成立于2018年，成员均为世界一流大学的博士，部分是前Zcash研究人员，技术能力强。自主研发的PLONK算法已被该领域多个项目采用。 关于以太坊的可扩展性问题，Aztec 也使用了 ZK Rollup 技术。从立项到Aztec 2.0的上线，团队一直在对PLONK算法进行深入研究。 在研究期间，他们发布了 PLONKUP 等零知识证明算法。 Vitalik Buterin 对其卓越的研发能力给予高度评价。 Aztec 网络有两个主要功能。一是保护用户的交互隐私，二是用户可以通过Aztec提供的可编程隐私合约建立完全私有的应用程序。 Aztec 2.0 已经上线，随后 zk.money 私有转账应用也上线，发送和接收代币都是匿名的，加密交易通过递归零知识证明进行加密。 因此，不会公开交易数据以保护用户隐私。但是，目前它只能用于用户的存款和转账。 Aztec Connect 作为首个私有跨链桥，目前也在测试网上上线。 迄今为止，阿兹特克项目已分三个阶段开发： 第一阶段是Aztec 1.0，以太坊上的私人交易工具； 第二阶段是Aztec 2.0，通过zk-Rollup成为以太坊上的私有L2，为以太坊带来可扩展的隐私； 根据目前的披露，即将到来的第三阶段将是Aztec 3.0，通过Noir隐私编程语言在以太坊上实现L2的私有智能合约。 然而，大多数 zk-Rollup L2 项目面临的挑战是 EVM 兼容性问题。 Aztec 网络现在仍然不兼容 EVM，这将增加许多项目构建私有智能合约的难度和成本。项目方还透露，将通过技术研究改善该问题。 融资背景： 2018 年 11 月，Aztec 进行了 210 万美元的种子轮融资，由 ConsenSys Labs 领投。 2021年12月，Aztec完成1700万美元A轮融资，由Paradigm领投，IOSG等人跟投，天使投资人Stani KulecFhov是领先的借贷项目Aave的创始人。 本轮融资将用于继续 ZK 系统开发和 Aztec Connect 的完善。据 Aztec Connect 称，在进行私人交易时，该桥可以节省高达 100 倍的 gas 费用。 3.5 阿莱奥 Aleo 项目于 2019 年正式成立，其成员是来自谷歌、亚马逊、Facebook 等公司以及加州大学伯克利分校、约翰霍普金斯大学、纽约大学等研究型大学的世界级密码学家、工程师、设计师和运营商，和康奈尔。 Aleo 构建了 zkCloud 系统来屏蔽身份和交易，被屏蔽的身份可以直接交互（如资产转移）或程序化（通过智能合约）交互。 在典型的公共区块链中，程序在由每个网络节点运行的全局“虚拟机”（VM）中链上执行。因此，网络上的每个节点都必须重新计算（并集体批准）给定程序的每个步骤，这样效率低下、速度降低，并增加了用户的成本。 zkCloud 通过将运行的应用程序与区块链的状态维护（链上+链下）解耦，结合递归零知识证明，解决了这些限制，使 Aleo 能够实现完整的可编程性和隐私性，以及更高的交易吞吐量。 Aleo 构建了 Leo 编程语言，对零知识证明应用开发者更加友好，给他们一个更好的环境。 Leo 是一种受 Rust 启发的静态类型编程语言，专为编写私有应用程序而构建。 除了对开发者友好的环境外，Aleo 还推出了开发者激励计划和测试网激励措施，旨在帮助 Aleo 的初始生态系统。 融资背景： 2021年4月，Aleo完成2800万美元A轮融资，由a16z领投，Placeholder、Galaxy Digital、Variant Capital、Coinbase Ventures跟投。 2022年2月，Aleo宣布完成2亿美元B轮融资，是目前零知识证明赛道上单笔金额最大的融资，由Kora Management LP和SoftBank Vision Fund 2领投，Tiger Global和Sea Capital跟投. 概括 零知识证明技术目前处于区块链领域的前沿，但到目前为止还没有发展到完全成熟的状态。每种解决方案在后量子计算和性能优化方面都有一些不足。 同样，与 EVM 的兼容性现在也是一个很大的挑战。然而，目前的零知识证明方案正处于快速发展期，zkSync、Starknet等项目也为区块链发展带来了更多可能。 参考 《零知识证明技术发展报告》，陀螺研究所，安比实验室 “什么是零知识证明？ ｜ZK科普系列Ⅰ》，ZK爱好者 《【公众尽职调查】深度报道：米娜》，一级仓库 《Layer2 的发展与 zk-Rollup 的兴起 | ZK科普系列二》，ZK爱好者 “清晰的层和跨链方法，”李华 《【密码专栏】超进阶：PLONK VS Groth16（第一卷）》，超链科技 注：LD Research 撰写，本文由 Sin7Y Labs 翻译并共同出版。