3,068 讀數

2023 年的 ZK Rollups：从 SNARK 到 STARK 及以后

经过 Kyle Liu@Bing Ventures29m2023/01/12

太長; 讀書

然而，ZK rollups 会是 rollups 的未来吗？从投资的角度来看，这个板块的前景如何？本次报告，必应创投资深分析师将带您了解ZK rollups的背景、技术路径、应用场景，并为您一一剖析行业现状、未来趋势，和前景。

featured image - 2023 年的 ZK Rollups：从 SNARK 到 STARK 及以后

作为以太坊重要的Layer2扩容解决方案之一，零知识汇总（ZK rollups）在今年持续升温。该行业不仅越来越受到媒体和风险投资的关注，而且还拥有许多领先的项目，这些项目每天都在取得显着进展，尤其是在测试网和主网方面。

然而，ZK rollups 会是 rollups 的未来吗？从投资的角度来看，这个板块的前景如何？本次报告，必应创投资深分析师将带您了解ZK rollups的背景、技术路径、应用场景，并为您一一剖析重大项目，为您解读行业现状、未来趋势、和前景。

执行摘要

目前 rollups 的 TVL 渗透率仅为 5% ，后续提升空间很大。
ZK rollups 在底层逻辑、易用性、隐私交易等方面都优于 Optimistic rollups（OP rollups） 。技术限制限制了它们目前缓慢的扩张步伐。它们有望成为未来主流的 rollup 解决方案。
当前的 rollup 解决方案是高度同质的。鉴于采用者面临的高迁移成本，ZK rollup 运营商可以通过向应用开发者提供高质量的增值服务（“Rollup as a Service”）来实现差异化，以降低应用迁移的难度。在这些服务中，定制解决方案将有利于短期收入，而 SDK 将有利于长期收入。
目前，VC 对 ZK rollup 领域充满热情，顶级 ZK rollup 项目 Starkware 和 ZKSync 的估值分别达到 80 亿美元和 10 亿美元左右。
笔者认为，ZK Rollup 技术优秀，但现阶段从投资角度看未必是好的选择。
由于 ZK rollups 尚未出现爆发式增长，因此从技术上以及价值和收入的角度来看，它们仍有待验证。
风险投资基金通常有期限限制。但是，项目产生回报所需的时间可能会更长。所以VC不一定愿意押注这些未经验证的技术，而个人投资者在这方面则更为灵活。
眼下，rollups还处于烧钱获取用户的阶段。而大部分ZK rollups还没有走到这个阶段，因为他们的核心竞争力还在培养中。因此，基于他们的技术发展阶段，投资单个项目风险很大。
投资整个板块或许是一个不错的策略，但需要注意估值水平对后续盈利的影响。

ZKP 简介

什么是零知识证明？

零知识证明 (ZKP) 允许您在不泄露与该陈述相关的任何信息的情况下证明该陈述的真实性。

它具有三个基本特征：

完整性：如果底层陈述为真，证明者和验证者诚实行事，则证明可以被接受。
Soundness ：如果陈述无效，理论上不可能欺骗诚实的验证者相信它是有效的。
零知识：验证者除了其有效性或虚假性之外，对陈述一无所知。
ZKP 背后的数学原理非常复杂，所以我们在这里只介绍它最基本的特性，以帮助读者理解下面的讨论。

ZKP算法的核心在于：

**将复杂的问题简化为简单的验证：\ • 在数学上，当检查两个向量 X: (x1, x2,...) 和 Y: (y1, y2,...) 是否相等时，有必要比较每个向量逐个组件（x1 == y1？，x2 == y2？，...），这是非常耗时的。
• 使用ZKPs，没有必要检查两个向量是否相等。相反，你只需要检查两个多项式是否相等（Q (X, s) == Q (Y, s)?, s 是一个随机数），这只需要计算多项式在几个样本点的值和因此要容易得多。
使用椭圆曲线密码算法确保验证者无法获取与语句相关的任何信息，无论语句是对还是错。

zk-SNARK

SNARK：简洁的非交互式知识论证

简洁：证明更小，可以快速验证。
非交互：证明者和验证者之间很少或不需要交互，在证明生成、提交和验证过程中只交互一次。
Argument : 它可以抵抗有限计算能力的证明者的攻击。用于生成证明的加密算法非常复杂，在现有算力条件下，无法在可接受的时间和经济成本内被暴力破解。
知识论：不知道要证明什么，就不可能构造证明。

zk-斯塔克

STARK：可扩展的透明知识论证

可扩展性：开发人员可以在链下执行计算和存储数据，以指数方式提高可扩展性。零知识证明用于验证这些链下活动，并在链上提交给相关方进行验证。
透明：ZK-STARK 依靠可公开验证的随机性来生成用于证明和验证的公共参数，而不是可信设置。这就是 ZK-STARK 和 ZK-SNARK 最大的区别。

ZKP的应用场景

所有链上数据都是公开可见的。 ZKPs 能够在不泄露声明内容的情况下证明声明的真实性，其强大之处在于它们可以用于隐私保护、敏感系统或合约的设计等现实世界的问题。

ZKP 的两个主要特征，零知识和完整性，分别可以解决区块链发展中的两个痛点。

零知识：区块链的共识机制要求链上的一切都对公众公开透明，这就使得隐私保护成为一个问题。
完整性：验证对于区块链的去中心化性质是必要的。但是，它们也已成为性能的重大障碍。因此，对轻量级证明的需求量很大。

基于这些特性，现阶段 ZKP 的两个主要用例是隐私保护和 ZK Rollup。

隐私保护

区块链以牺牲用户隐私为代价换取交易的透明性。虽然使用链上账户的真实实体是匿名的，但他们账户的交易数据几乎是完全透明的。这意味着，如果有意的话，人们可以很容易地跟踪这些交易。但大多数用户不愿意被跟踪。

一个典型的案例是3AC，他们自信地公开了一些地址，以证明他们高超的交易技巧，并提高他们的声誉，以促进筹款。
但是，在LUNA事件中，一些卖空者跟踪了这些地址，并进行了相反的交易。就这样，他们加速形成更大的卖盘，最终加速了3AC的清盘。

目前，大多数解决方案都使用该技术对用户的交易信息进行加密，以保护用户隐私。未来，我们期待更多创新的解决方案，比如将ZKP与区块链游戏相结合，将完全信息游戏转化为不完全信息游戏，提高可玩性。

具有隐私功能的数字货币：ZCash

ZCash 于 2013 年与麻省理工学院的核心技术团队一起宣布。 ZCash 区块链 ZChain 于 2016 年 10 月随着 ZCash 硬币 (ZEC) 的发行而推出。 ZEC 的设计本质上是抄袭 BTC。采用PoW机制，总量2100万枚。 ZEC 目前的市值约为 590 亿美元。

它使用ZKP技术隐藏交易地址，从而隐藏资金的发送方和接收方，保护用户隐私。

2020 年，决定将 ZEC 网络挖矿奖励的 20% 分配给 ZCash 基金会，用于运营该项目。但一些参与者对此不满，他们创建了一个分叉链 ZCL。

保护隐私的混币协议：Tornado Cash

Tornado Cash 于 2019 年 12 月开始测试网测试，并于 2021 年 12 月正式推出。它是一个混币器，允许用户存入支持的资产（ETH、DAI、USDC 和其他 ERC-20 代币）并从不同的加密地址提取它们。它使用ZK技术对存款人的钱包地址进行加密，并将其与其他存入同一代币的用户的钱包地址混在一起，使外界难以追踪资金的去向。

它部署在 Ethereum、BSC、Polygon 和 Optimism Network 上。在受到制裁之前，Tornado Cash 已经有约 80 亿美元。

2022 年 8 月 8 日，美国财政部外国资产控制办公室 (OFAC) 将 Tornado Cash 列入黑名单，宣布美国公民、居民和公司通过该服务接收或发送资金是非法的。与此同时，美国财政部指控其洗钱超过70亿美元的虚拟货币，其中4.55亿美元据信被朝鲜支持的黑客组织Lazarus Group盗走。
2022 年 8 月 10 日，Tornado Cash 开发者 Alexey Pertsev 在阿姆斯特丹被捕，罪名是“参与使用以太坊 Tornado Cash 上的去中心化混合器隐瞒犯罪资金流动，并通过混合加密货币促进洗钱”。

敏感信息披露

FTX 事件加剧了人们对 CEX 的不信任。为了重建市场信心，CEX 必须比以前更透明地披露其资产。然而，这带来了隐私问题，因为许多用户和机构不希望他们的账户余额被公开。

Vitalik Buterin 指出，CEXes 可以将所有用户余额存储在 Merkle 树或 KZG 承诺中，并使用 ZK-SNARK 证明所有余额都是非负的并且加起来就是交易所声称的总存款价值，这不仅保护了用户隐私同时也有效地披露了资产的状况。

ZK Rollup

简而言之，ZK rollups 可以通过使用 ZKP 确保主网和 rollup 链之间的共识来扩展以太坊主网。生成 ZKP 以验证汇总链上的交易。它们被发送到以太坊主网，并由 Layer1 上预先部署的智能合约进行验证。

ZK Rollup

什么是汇总？

简而言之，rollups 是 Layer2 扩容解决方案，通过提高吞吐量、降低 gas 成本和优化应用程序效率来解决以太坊的拥堵问题。

扩容以太坊的必要性

以太坊主网目前的容量无法满足不断增长的需求。体现在以下几个方面。

区块大小有限：每个以太坊区块的 gas 费是大致一定的。花费此数量的气体后，将完全写入一个块。每个区块的目标大小为 1.5m gas，最大为 3m gas。每笔交易的最低 gas 支付为 21k gas，每个以太坊区块可以包含大约 70~140 笔交易。
交易时间长：平均出块间隔~12s，平均每秒10-15笔交易。从用户的角度来看，处理一笔交易需要 15 秒到 5 分钟。
高交易费用：每笔交易成本（Gas）= Gas单位（21k）*（基本费用+优先费用），后者是每单位Gas的价格。根据 YCharts，最近平均每日 gas 价格为 22Gwei（~0.7 美元）。 2022 年 5 月 1 日，gas 价格高达 475Gwei（~14.5 美元）。

缩放解决方案

区块链的三个理想属性是去中心化、安全性和可扩展性，但一个基本的区块链架构只能实现其中两个（不可能三角）。以太坊选择去中心化和安全性，导致可扩展性低，因为：

去中心化要求网络上的每个节点都必须对交易进行验证，参与验证的节点越多，安全性越高。
如果要提高以太坊主网的可扩展性，无论从区块大小、区块间隔、交易手续费这三个方面中的哪一个方面入手，都会损害其去中心化和安全性。也就是说，无论你增加区块大小，减少交易时间，还是降低 gas 费用，你都会伤害矿工的士气，导致节点数量减少，从而降低以太坊的去中心化和安全性。

来源：Fingo.pl

因此，在以太坊坚持去中心化和安全性的前提下，提升其性能需要从更高的层面入手。目前，主要的解决方案可以分为两类：链上和链下扩容。

链上扩容（Layer1 scaling）：改变以太坊主网协议的可扩展性，包括改变共识机制（PoW -> PoS）、分片、扩大区块大小等。Layer 1扩容需要所有节点的同意，这会造成很多麻烦。在许多情况下，并不是所有的网络用户都会同意这样的改变。这可能会导致社区分裂甚至硬分叉。
链下扩展：将交易转移到与以太坊主网分开实施的链上，而不更改现有的以太坊协议。现在有两种链下扩展解决方案：侧链和 Layer2。

侧链

侧链是独立运行的区块链，与以太坊主网并行，并通过跨链桥连接到以太坊主网。

一般来说，侧链会在一定程度上牺牲去中心化和安全性来提高交易速度。大多数侧链与 EVM 兼容。因此，开发人员可以使用侧链来探索和测试主网上不可用的功能和用例。

然而，由于侧链有自己的共识机制，它们不能继承以太坊的安全属性。

主要项目包括 Polygon、Gnosis Chain、Skale、Palm 和 Ronin。

层二

Layer2解决方案通过链下计算/执行&将结果返回主链、离线批量处理数据等方式减少Layer1的资源占用，但仍直接从以太坊Layer1共识中获得安全性。

不同的 Layer2 解决方案在安全性、可扩展性、去中心化和通用性之间找到不同的平衡点。

Layer2解决方案介绍

目前主要的Layer2解决方案包括：

状态通道

它是如何工作的：

用户在 L1 上质押代币以锁定初始状态，将后续交易移至链下进行处理，并在完成后将最终状态上传到 L1。
提交的结果将在 L1 上有一个为期一周的欺诈证明期。之前所有的链下操作都需要双方签名+时间戳。如果挑战者提供的证据包含有效签名且时间戳较新，L1 将认为用户欺诈并扣除用户质押的代币。

优点：交易成本低，隐私性强，适合高频小额支付。

缺点：取款速度慢（至少一周）；所有者需要 100% 在线；它不支持智能合约。

主要项目：BTC闪电网络

与其他解决方案相比，状态通道更侧重于安全性而非性能提升。

等离子体

它是如何工作的：

与侧链类似，Plasma 使用单独的区块链。
用户在链下执行交易，但将状态根（默克尔根）发送到完成结算的以太坊主网。
默克尔根使得验证一小块数据是更大数据集的一部分变得容易，因此可以通过在主网上验证默克尔根来确认交易的真实性，让 Plasma 链继承部分安全性主网。
但是，由于 Plasma 并没有将完整的交易信息上传到主网，因此交易并没有被所有主网节点通过计算默克尔根来验证。
当用户请求从 Plasma 链提款时，他们将需要进行为期一周的欺诈测试。

优点：高吞吐量，低交易成本

缺点：提款速度慢，对智能合约的支持很少

主要项目：OMG Foundation（转为BOBA、OP Rollup）、Polygon（转为侧链）。

理论上，Plasma 链可以有子链组成 L3 或 L4，但目前看来效果不会太好。

效期

它是如何工作的：

Validium 链是独立的区块链。他们使用密码学算法（例如 ZKP）将数据打包成数据包并发送到部署了智能合约的主 Layer1 链，以验证接收到的数据的真实性。
用户在链下执行交易，将状态根（默克尔根）连同有效性证明一起发送到以太坊主网，部署在主网上的智能合约自动验证有效性证明的真实性。如果证明有效，主网更新验证状态，最终批量确定交易结果。
属于 Validium 用户的资金由主网上的智能合约控制。一旦在主网上验证了提款请求的有效性证明，用户就可以提款，而不需要像 Plasma 那样延迟提款和等待欺诈证明。

优点：

通过有效性证明强制验证链下交易的完整性。
提高用户资金使用效率（不延迟资金回笼以太坊）。
隐私性高，适用于优先考虑隐私的区块链应用（如保密交易、链游等）。

缺点：

有效性证明需要专门的硬件来生成，这增加了运行节点的成本，不利于去中心化。
与 EVM 的兼容性低。它需要专门的语言来开发 Validium 链上的应用程序。因此，迁移现有应用程序将意味着大量工作。
生成有效性证明需要大量计算，导致链下 gas 成本高于侧链、Plasma 和 OP Rollup 等其他乐观解决方案。

汇总

它是如何工作的：

在 rollups 中，不仅状态根会被发送到以太坊主链，交易数据也会以原始格式的 1/10 大小的压缩格式发送。
目前主要有 2 种 rollup 方案：OP Rollup 和 ZK Rollup。

OP 汇总

OP 汇总类似于 Plasma。他们都假设链下交易是有效的，而不是上传交易有效性的证明，而是使用防欺诈来检测交易的错误计算。

不同之处在于：Plasma 将所有交易数据和计算保存在链下，只上传默克尔根，而 OP Rollup 将部分数据保存在以太坊区块链上。因此，所有以太坊节点都可以验证汇总链上的交易，而不仅仅是参与汇总链的节点。明显的好处是增强了安全性和避免集中化。

OP rollups 通常与 EVM 兼容良好，因此将现有的以太坊应用程序迁移到 OP rollups 几乎不需要新的编码。

零知识汇总

ZK 汇总类似于 Validium。他们都上传每笔交易的有效性证明。部署在以太坊主链上的智能合约通过验证 ZK 证明来确认交易。

不同之处在于：Validium 只将状态根发送到主链，而不是状态数据本身，这使得它的安全性完全依赖于有效性证明。因此，如果 Validium 的运营商出现问题，用户可能无法从以太坊主链上的合约中提取资金。为了解决这个问题，Validium 协议提出了数据可用性委员会（Data Availability Committee，DAC）机制，允许一些大型实体存储状态的副本，并在用户需要时提供数据（例如，为取款请求生成 Merkle 证明）。但本质上，它类似于联盟链，去中心化程度较低。然而，在 ZK rollups 中，状态数据本身将与有效性证明一起发送到以太坊主链。因此，ZK链的状态可以通过验证状态数据的有效性在主链上进行追踪。

伸缩方案的横向比较

下表显示了上述缩放解决方案的横向比较。

ZK Rollup 行业分析

工作机制

用户通过在主网合约中锁定资产，将资金存入ZK rollup链。
用户创建交易并将交易内容发送给中继器。
在接受交易之前，中继者验证交易的合法性（用户是否有足够的钱等）。
收集到足够多的交易后，中继器会对交易进行排序（先进先出），执行交易，更新Layer2状态，打包压缩数据，生成ZK证明。然后将压缩后的数据和ZK证明批量上传到以太坊主链上的rollup合约中。
收到批次后，主链上的合约：
• 确认批次中内容的格式，拒绝不符合格式的内容。
• 检查批处理中先前的状态根是否与其合约的当前状态根匹配（确保块顺序）。
• 验证上传的零知识证明，确保证明的正确性。
• 如果验证通过，则将当前状态根替换为批处理中的后状态根。

商业模式

煤气费：
• 收入：向ZK rollup 上的应用程序和用户收取链下交易gas 费
• COGS（Direct cost for revenue）：向Ethereum Layer1 支付gas fee，向提供hashrate 生成ZK 证明的ZK 矿工支付挖矿奖励。
ZK rollup 方案定制：
• 收入：为寻求部署在ZK rollups 上的应用程序提供定制的解决方案，并收取服务费。
• COGS（收入的直接成本）：研发成本、无形资产摊销、...

市场规模评估

关键假设：

参照 StarkEx 2021 年营收，定制化营收定为 5500 万美元。考虑到 dYdX 结束与 Starkware 的合作，2022 年的收入打了折扣。
年Gas费收入=每笔交易Gas费*交易笔数，交易笔数=所有ZK Rollup链的TPS总和*年交易时间

计算结果如下：

ZK rollup 技术仍处于早期阶段。预计 ZK Rollup 运营商年收入规模将达到 1~100 亿美元水平。

ZK rollups 的发展面临着很大的不确定性。作为一项尚未出现爆发式增长的技术，无论是从技术上还是从价值和收入的角度来看，它们都还有待验证。并且很难预测每年的增长率。所以，以上的评价，仅在数量级上具有参考意义。

竞争格局

根据L2Beat的统计，目前按TVL划分的rollup板块市场份额细分如下（假设Arbitrum和Optimism之外的TVL属于ZK rollups）。

OP 汇总目前占据了 TVL 的大部分份额，约 80%。

目前，ZK rollups 领域非常集中，几个大型项目占据了约 99% 的市场份额。主要是因为 Starkware 对其 StarkEx 产品的几个大客户的依赖，造成一见钟情：

StarkEx 使用 zk-STARK 技术，与其他使用 zk-SNARK 的项目相比，允许交互式证明和更容易的应用程序迁移。
StarkEx 提供更高级别的自定义。通过为 dYdX 和 Immutable X 等知名项目提供定制化的 rollup 解决方案，StarkEx 提升了自身的影响力。
StarkEx客户集中度高，dYdX占TVL的75%以上。
但是，这些大型应用程序的粘性很差。比如对于dYdX来说，使用StarkEx只是权宜之计，准备在2022年底迁移到Cosmos，这将对Starkware的短期业绩和市场份额产生很大影响。
StarkNet 是 Starkware 打造的开源 ZK Rollup，目前 TVL 很少，只有 300 万美元。

预计 dYdX 离开 Starkware 后，ZK rollup 的竞争格局将发生巨大变化。

不同的技术路径

SNARKs/STARKs 的数据可用性

下图根据是否使用 SNARK 或 STARK 技术，以及数据是否在以太坊主链上可用，对现有较大的 ZK rollup 项目进行了分类。

资料来源：Alvin Leong

与 EVM 的兼容性

Vitalik 将市面上现有的 ZK EVM/rollup 方案按照 EVM 兼容性等级从高到低分为五类。

不同类型的 ZK EVM 具有不同的性能。一般来说，与以太坊/EVM 的兼容性越好，将应用迁移到 ZK rollup 链时的设计和重构过程就越容易，但后期生成 ZK 证明的难度也越大。

资料来源：Vitalik Buterin 的网站

ZK Rollup 发展趋势

目前 rollups 的 TVL 渗透率仅为 5%，后续提升空间很大。

Rollup TVL 在 2020 年爆发式增长，达到 75 亿美元的峰值。

资料来源：L2Beat

目前rollup TVL为43亿美元，约占加密货币总市值的5%，渗透率低，提升空间大。

资料来源：DefiLlama

在所有 Layer2 解决方案中，Rollups 在安全性方面与以太坊的相关性最高。而且安全级别也高于侧链和新公链。凭借同等或更好的性能，rollups 有望成为以太坊的主要扩展解决方案。

Rollups 的技术路径：OP 是短期炒作，ZK 是长期赢家

下图比较了 OP/ZK 汇总在影响扩展解决方案可用性的关键问题上：

目前，现有的 rollup 解决方案大多是 OP rollups。从TVL角度看，比例为OP:ZK=8:2。

包括 Vitalik Buterin 在内的主流声音认为，OP rollups 是短期内更好的选择，因为它们在成本和技术方面的门槛较低，并且开发人员更容易上手。因此，它们更适合现阶段。相反，ZK rollups 的开发门槛更高，更适合对安全和隐私要求更高的领域。从长远来看，随着ZK相关技术的不断发展，ZK rollups的局限性可能会得到解决，从而释放出更强大的潜力。

笔者基本赞同上述观点，认为ZK rollup的优越性背后的原因包括以下几点。

ZK rollups 在安全性方面优于 OP rollups

OP rollups 依赖于诚实玩家、验证者、伪造者和其他参与者之间的平衡来保证安全，而 ZK rollups 则依赖于 ZK 算法提供的数学机制来保证安全性。 ZK rollups 的方法更加严谨和安全。

相对于 OP rollups 流动的安全逻辑，ZK rollups 的弱点基本上是技术上的。有大量优秀的研发人员参与研究，相信这些问题都会迎刃而解。

ZK rollups提现时间短，更符合用户习惯

使用 OP 汇总，用户需要将提款延迟一周才能提出请求。这本质上是不直观的，就像复杂的助记词和长串的私钥一样。机构投资者的流动性更强，因此对此有更高的容忍度。但个人用户对此会敏感得多。

相反，ZK rollup 允许用户在需要时立即取款。这更符合Web2用户的使用习惯，有利于未来可能的大规模采用。

ZK rollups 在隐私交易中具有更大的潜力

如前所述，交易者需要进行私人交易。在目前的 ZK rollup 解决方案中，ZKP 算法主要用于为链下翻译生成有效性证明。目前已经出现了旨在加密交易的解决方案。事实上，为了与其他扩展解决方案竞争，ZK rollups 专注于减少证明的大小，因为生成证明需要大量计算并且限制了它们的性能。因此，目前私下交易不是重点。

然而，随着代币价格下跌和以太坊向 PoS 转换，预计大量算力将因收益低于成本而闲置。这时候，如果 ZK rollups 能够驾驭这部分算力，那么目前对性能的限制就会大大缓解。届时，ZK rollup 项目将能够凭借对 ZK 加密算法的高度熟悉，将隐私交易纳入现有生态，创造新的增长点。

因此，相信随着技术进步带来易用性的提升，ZK rollups将取代OP rollups成为rollup方案的主流。

差异化竞争：Rollup as A Service能力是关键

目前主流的 rollup 方案，无论是 OP 还是 ZK，在技术上都是高度同质化的。

在 OP rollups 方面，排名前 2 的 OP rollup 项目 Arbitrum 和 Optimism 所采用的技术在本质上并没有太大区别。

在防欺诈验证过程中存在差异（Arbitrum 依赖多轮链下欺诈证明，而 Optimism 在 L1 上使用单轮欺诈证明）。
Optimism使用以太坊的虚拟机（EVM），而Arbitrum使用自己的虚拟机（AVM），所以Optimism只有solidity编译，而Arbitrum支持所有EVM编译语言（Vyper、Yul等）。

在 ZK rollup 项目中，除了选择采用 zk-STARK 还是 zk-SNARK 之外，它们在实现 rollups 的方式上几乎没有区别。它们都为交易数据生成ZKP，并发送到主链进行验证。主要区别仅在于它们与 EVM 的兼容性。

所以，在这样的背景下，L2空间的竞争非常激烈。谁能率先抓住广大用户，就有机会对应用产生最佳吸引力，成为某些代币最大的流动性池，从而吸引更多的用户，进而通过网络效应获利，打败其他对手。

目前大部分项目还在尝试通过大规模空投获取用户。这种竞争与Web2中烧钱阶段的竞争无异。从本质上讲，很难永远持续下去，也无法建立高壁垒。今天被你的空投吸引过来的用户，明天也可能被其他项目更大的空投抢走。

然而，技术同质化并不能转化为服务同质化。除了 rollup 平台之外，项目还可以为入职应用程序提供一系列各种附加服务（“Rollup 即服务”） ，例如：

定制解决方案（例如 StarkWare）
技术支持（例如 ZKSync、Polygon Hermez）
财务支持（例如 Polygon Hermez）

笔者认为在各种RaaS服务中：

在短期内，提供**定制解决方案**对收入增长最有效。例如，定制 ZK rollup 链以优化应用程序的特定特性（例如 Starkware 为 dYdX 和其他项目构建了单独的 StarkEx 链）。
从中长期来看，为软件开发提供支持提供了更可持续的价值，例如为开发人员提供有用的 SDK（软件开发工具包）。

由于 ZK rollups 上的软件开发难度较高，ZK rollups 比 OP rollups 更容易在这方面建立壁垒。由于以太坊对 ZK 不友好，将 EVM 应用程序迁移到 ZK EVM 需要特别大量的代码重组，给开发人员带来不便并降低他们使用 ZK rollups 的意愿。

短期内，ZK rollup 项目可以基于对 ZK 开发的高度熟悉，为应用提供定制化的解决方案，免除其部分工作量，从而吸引应用上线并收取服务费，例如 Starkware 的 StarkEx 产品。
从长远来看，ZK Rollup 项目可以将解决方案标准化，免费为开发者提供在 ZK rollups 上开发应用的 SDK，最好让开发者能够用自己熟悉的语言在 ZK rollups 上编写程序，减少开发者的二次学习成本，有利于吸引更多开发者入驻，加快生态建设。下图展示了 ZK Rollup 项目编码与以太坊的主要区别。大多数项目使用 Solidity 给开发者一个熟悉的开发环境，但在字节码和虚拟机兼容性方面存在差异。

因此，投资者在评估ZK rollup项目时，除了关注与EVM及其现有生态系统的兼容性外，还可以进一步关注rollups附加服务对用户的吸引力，这可能是决定项目能否胜出的关键。未来。

然而，提供额外的服务以方便应用程序迁移是基于 zkEVM 和以太坊 EVM 的兼容性差。随着 ZK 技术的进步，从长远来看，如果两者之间的差距逐渐缩小，附加服务的价值将不断降低。因此，在分析独立的第三方 ZK rollup SDK 提供商（如 Stackr Network，一个初创项目）时，投资者应该更多地关注他们的收入可持续性。

代表项目介绍

星件

Starkware 成立于 2018 年，其技术团队的负责人之一是 Zcash 的联合创始人 Alessandro Chiesa。团队提出了一种新的可扩展的零知识证明算法zk-STARK，主要致力于为区块链扩容和隐私保护提供解决方案。

主打产品StarkEx，是一种混合L2方案，同时兼容ZK rollups和Validium，用户可以自由切换。目前已经部署的应用包括dYdX（稍后会迁移到Cosmos）、Immutable、rhino.fi等。

同时，该团队正在开发一款新产品 StarkNet，这是一条开源的 ZK Rollup 链，任何用户和开发人员都可以在其中部署智能合约，而无需 Starkware 的许可。

TVL：5.73 亿美元（StarkEx 5.34 亿美元 + StarkNet 300 万美元）。

最新估值为80亿美元，历史投资者包括红杉资本、Paradigm、Alameda Research和3AC。

ZKSync（Matter Labs）

下面作为重点项目进行分析。

路印协议

Loopring 成立于 2017 年，是世界上第一个实现 ZK rollups 的团队。采用ZK-SNARK技术，为开发者提供了一个开源的ZK rollup协议，开发者可以利用它建立一个基于订单簿的去中心化交易所。

同时，该项目在路印协议ZK rollup上建立了自营的去中心化交易所和钱包，希望在未来构建更加完善的自营Defi生态。

TVL：8300万美元

项目代币（$LRC）市值：3.07亿美元，历史投资者包括Kosmos Ventures、China Growth Capital等。

阿兹台克人

Aztec 成立于 2017 年，最初专注于隐私。它使用 ZK-SNARK 为用户提供隐私跨链桥接 Aztec Connect，让用户可以私密地访问以太坊上的 dApp。

除了服务于Web3领域，还与摩根大通等传统金融机构合作，提供ZK加密解决方案，解决私人结算中的隐私保护问题。

2021 年 3 月，它推出了自己的零知识汇总 zk.money。

TVL：800 万美元（Aztec Connect 600 万美元 + 其他 Aztec 产品 200 万美元）

最新估值未披露，但预计为 68~1.02 亿美元。融资总额为1700万美元。历史投资者包括Paradigm、Coinbase Ventures、IOSG等。

多边形赫尔墨斯

Hermez Network 最初是一家独立的 Defi 公司。它现在有两代产品：

1.0 版本于 2021 年 3 月发布，是一个今天运行的支付平台。
2.0版本正在开发中。该团队正在使用 zk-SNARK 开发 ZK 虚拟机和 ZK 验证智能合约，部署在以太坊主网上。

该项目建立了“捐赠证明”机制。每个时期，大家通过竞价获得下一个区块的创建权，竞价收益的40%将用于再投资链上dapp，加速生态发展。

TVL：32.4 万美元

Hermez 于 2021 年 8 月被 Polygon 以 2.5 亿美元收购，后者将 Hermez Network 完全整合到 Polygon 生态系统中。

滚动

Scroll成立于2021年初，核心创始人分别来自北大、清华姚班、剑桥。

该团队的目标是与以太坊基金会密切合作，开发 2 类 ZKVM（完全等同于 EVM）。 ZK Rollup 和 zk-EVM 的早期测试于 2022 年 7 月启动。

最新一轮估值未公开，融资总额达到3300万美元（意甲3000万+天使300万），历史投资方包括Polychain Capital、Bain Capital Crypto、Robot Ventures、Geometry DAO以及部分以太坊基金会成员。

重点项目分析：ZKSync（Matter Labs）

项目历史

ZKSync 1.0 由 Matter Labs 开发，于 2020 年 6 月在以太坊主网上发布，带有嵌入式交易平台（Zigzag），可为用户提供转账和铸造 NFT 等功能。

其zkEVM于2022年2月开始公测，是第一个在编程语言方面等价于EVM的zkVM。它正在优化中，目标是支持 99% 的用 Solidity 编写的智能合约。

ZKSync 2.0 Baby Alpha版本于2022年10月28日发布，内置zkEVM Alpha版本。它将开放给其生态系统中的应用程序进行部署，包括浏览器、新的跨链桥、钱包等。

根据 Matter Labs 2022 年 12 月 23 日的最新公告，ZKSync 2.0 将于 2023Q1 进入 Fair Launch Alpha 阶段，向 dApp 开发者开放部署，以便他们测试和升级他们的合约。这一时期预计将持续数月。 ZKSync 2.0完整alpha版将于2023Q2推出，届时面向普通用户开放。

主要产品

TVL：8500万美元（ZKSync 5000万美元 + ZKSpace 3500万美元）

ZKSync 1.0：基于zk-SNARK的ZK rollup，主要用于token交换和转移，不支持智能合约。由于缺乏智能合约支持，与其他通用的 Layer2 解决方案相比，ZKSync 1.0 的采用率较差。

ZKSync 2.0：内置 zkEVM 的 ZK rollup，支持智能合约，允许用户开发 dApp。

ZKSpace：ZKSync 上基于 ZKSwap 协议的 AMM DEX。

ZK Porter：ZKSync 开发的一种新的 L2 解决方案，用户可以选择链下存储数据，并享有介于 ZK rollups 和 Validium 之间的安全级别，每笔交易的 gas 费用仅为几美分。

Hyperlink：正在开发的L3解决方案，旨在提高不同L2链之间的互操作性，预计2023Q1发布。

潜在增长点

在定制化方面，ZKSync与Uniswap、Maker、1inch等知名Defi dApp深度合作。未来，它可以通过提供专门针对这些应用程序优化的解决方案来收取服务费并提高短期收入。

在gas费方面，随着这些应用上线ZKSync，将会带来大量的交易量和gas费收入，增加ZKSync的可持续收入。

来源：ZK_Daily

代币经济学

zkSync 还没有发行代币。 Matter Labs 曾承诺在 11 月初公布他们的代币经济学提案，但一直拖到现在。

历史融资

Layer3 简介

Layer2 的弱点

回到前面讨论的区块链三难困境——去中心化、安全性和可扩展性。尽管以太坊放弃了 Layer1 的可扩展性，但它通过将大部分交易移出主链，通过各种 Layer2 扩展解决方案（侧链、Layer2 等）实现了事实上的可扩展性。

现在看来，L2 解决方案会越来越多，这些不同技术路径的项目会长期共存。

但是这些 L2 解决方案是相当孤立的。很难在不同链之间迁移应用程序。这会给以太坊和这些不同的解决方案带来问题。

流动性碎片化

从中短期来看，加密市场的规模有限。不同的链正在分割市场，它们的互操作性很差。如此一来，各链上的流动性就会出现碎片化，从而产生交易困难、滑点等问题。

例如，AMM Uniswap 和 SushiSwap 都在以太坊上，但它们都致力于在不同的 Layer2 链（Optimism 和 Polygon）上实现。因此，要将 ERC-20 代币从 Uniswap 的 L2 转移到 SushiSwap L2，用户必须将他的代币从 Optimism 转移到以太坊主链，然后再转移到 Polygon。这种低效的流程会导致更高的成本和更长的处理时间，由于某些 Layer2 协议需要欺诈证明才能完成交易，因此有时可能需要几天时间。

沟通困难

不同的侧链和 Layer2 链具有不同的共识和有效性验证机制。相对而言，OP rollups、Plasma 和一些注重性能的侧链几乎复制了 EVM，因此处理其他链发送的数据包相对容易，而 ZK rollups、Validium 等注重隐私的侧链则降低了 EVM 兼容性。另外，不同链开发的虚拟机之间也存在较大差异。它们发送的数据包可能其他链难以处理，导致跨链通信困难。

低合同标准化

每一个建立在以太坊上的新协议都具有很高的标准化（如ERC-20、ERC-721、ERC1155……），其他协议可以很容易地建立在它们之上，这也是DeFi快速发展的原因之一.但随着各种扩容方案，尤其是基于 ZK 的扩容方案，逐渐与以太坊的架构分道扬镳，不同链之间的合约标准也会出现分歧，导致应用在链间迁移变得困难。

低可组合性

低可组合性是由于沟通困难和合同标准化程度低而导致的问题。主要体现在以太坊主链上的dApps与其他扩容链的交互上。如果沟通困难和合约标准化程度低的问题得不到很好的解决，dApps需要在不同的扩容链上重新建立自己的生态系统，这将造成更大的资源浪费。

在这些因素的影响下，不同区块链和 Layer 2 解决方案之间缺乏互操作性，导致用户体验高度碎片化，这可能严重阻碍区块链技术的大规模采用。

Layer3 概念

“Layer3”概念的提出是为了解决Layer1和Layer2之间以及不同Layer2链之间的互操作性问题**。**

根据定义，互操作性（或跨链功能）意味着两个具有独立生态系统的区块链（如比特币和以太坊）可以在没有任何中心化中介的情况下进行通信和交互。
Layer3 和Layer2 之间的关系与Layer2 和Layer1 之间的关系有很大不同。（研究表明，堆叠相同的扩展解决方案以形成三层结构通常效果不佳。）Layer3 不是压缩和移动数据，而是提供更多创新功能。
Layer2 用于扩展，Layer3 用于自定义特性（例如隐私）：采用不同的层来满足不同用例的自定义需求。
L2 用于通用扩展，L3 用于可定制扩展：定制扩展可以有不同的形式：使用 EVM 以外的虚拟机计算的专用应用程序、针对特定应用程序的数据格式优化的汇总等。
L2 用于无信任扩展（rollups），Layer3 用于弱信任扩展（Validium）：如前所述，Validium 是一个使用 SNARK 来验证计算的系统，但将数据可用性留给受信任的第三方或委员会。 Vitalik 认为 Validium 被高度低估了。他认为，许多“企业区块链”应用程序最好由运行 Validium 证明器并定期向主链提交哈希值的中央服务器提供服务，这种方式安全性较低但成本低得多。