最近，宣稱第一個采用ZK-Rollup方案的BitcoinLayer-2項目，Citrea，在即將上線測試網(wǎng)之際，受到了來自社區(qū)的疑問。其宣傳Citrea采用了一些欺騙性的話術(shù)，將它們的項目進(jìn)行了過度包裝。在這個風(fēng)口浪尖，毫無疑問就是研究Citrea和BitVM最好的時機(jī)。

一切的起因是：ZKP在基于Ethereum的Layer2上大顯身手，使得許多項目都在寄希望于ZKP是否能夠同樣的用于BitcoinLayer-2上。顯然，大量的開發(fā)者（特別是最挑剔的那些人）對BitcoinLayer2的發(fā)展非常不看好，而它們的擔(dān)憂也是很有道理的。常規(guī)的Layer2,如基于Ethereum的optimisic,zkrollup,都是通過鏈下計算，鏈上驗證的方式，對一層網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行壓縮，以及對計算資源進(jìn)行擴(kuò)展。單由于Bitcoin網(wǎng)絡(luò)并不支持復(fù)雜邏輯的validation，因此這個方案難以實現(xiàn)。因此，大部分聲稱自己采用了零知識證明技術(shù)的BitcoinLayer-2項目，都采用了一種叫做SovereignRollup的方案。

TheSovereignRollup

長話短說，SovereignRollup的關(guān)鍵在于：bitcoin網(wǎng)絡(luò)只負(fù)責(zé)將關(guān)鍵的承諾信息用銘文的方式存儲在BitcoinNetwork中，而驗證全部由鏈下進(jìn)行（客戶端驗證）?？偠灾珺itcoin網(wǎng)絡(luò)中的數(shù)據(jù)，解釋權(quán)屬于Layer2網(wǎng)絡(luò)。對于一個不清楚規(guī)則的參與者，這些Bitcoin網(wǎng)絡(luò)中的數(shù)據(jù)毫無意義。但是如果參與者清楚這些數(shù)據(jù)的使用方式，那么任何一個用戶都能夠自己建設(shè)Node。從這個角度看，SovereignRollup的確具有相當(dāng)?shù)姆e極意義，它能夠達(dá)到Layer2網(wǎng)絡(luò)的一些基本要求，即數(shù)據(jù)的finalized能夠被Bitcoin共識所保護(hù)，同時其Layer2的解析也可以是Decentralization的。

聽起來第二種方案似乎是第一種方案的妥協(xié)，但這點(diǎn)事實上存在極大的爭論。大量方案二的支持者認(rèn)為，Bitcoin本來就不必和Ethereum一樣：第一種方案的支持者，事實上依然在用Ethereum的觀點(diǎn)看待Bitcoin，即，它們認(rèn)為數(shù)據(jù)的存儲以及驗證，都應(yīng)該發(fā)生在Layer-1。但事實上這并不是必要的，因為數(shù)據(jù)的驗證非常浪費(fèi)Layer-1的效率。在理想的情況下，任何一個智能合約都應(yīng)該只由一個Node執(zhí)行，而其他Node只需要驗證執(zhí)行的結(jié)果以及其對應(yīng)的證據(jù)就足夠了。強(qiáng)制要求所有Layer-1的Node進(jìn)行驗證，本身就并不一定是最佳答案。

BitVM 實際上很像是積木：由基礎(chǔ)的OP_CODE拼接而成

在這里例子中，我們能夠發(fā)現(xiàn)兩種不同的元素:Opcode，以及已經(jīng)被封裝過的一系列新的Opcode。其中，帶有OP_前綴的是Bitcoin腳本原生的Opcode，而諸如u8_add_carry這樣的函數(shù)，則代表著已經(jīng)被封裝過的，由BitVM自定義的新Opcode。顯然，這個函數(shù)u32_add本身，也會被用于其他進(jìn)一步的Opcode構(gòu)造。

這聽起來有些小兒科，但不要小看這些功能，它實際上是進(jìn)一步構(gòu)造ZKP的基礎(chǔ)；通過u32的計算，就能夠逐步構(gòu)造bigint，乃至于bn256的計算，最終得到證明構(gòu)造系統(tǒng)。并且從倉庫看來，它們已經(jīng)得到了許多值得一提的成就：它們已經(jīng)能夠構(gòu)建基于Groth16的驗證函數(shù)！看起來，它們離最終構(gòu)建出可用的ZKP的距離已經(jīng)不遙遠(yuǎn)了。

Citrea與BitVM

在了解到了BitVM的現(xiàn)狀之后，我們當(dāng)然樂見其成，這對整個BitcoinLayer-2的生態(tài)都有著極為積極的意義。但是我們也同時注意到，BitcoinLayer-2的爆發(fā)，和BitVM的開發(fā)步調(diào)之間，存在著一定的不同步。畢竟時間不等人，宣稱自己采用了BitVM的項目，其實更多應(yīng)該被理解為“將會采用BitVM”，畢竟盡管成果喜人，但它還暫時不能夠投入商用。這樣看來，Citrea宣稱自己為第一個Bitcoin上的zk-rollup，就難免引起爭議了。

自主驗證的局限：無法確保鏈上證據(jù)的有效性

（2）RISC0

Citrea對于它們的ZKPs以及zkEVM部分，采用了RISC0提供的SDK作為它們構(gòu)建的基礎(chǔ)。RISC0是一個2022年誕生的，比較新的ZKPs解決方案。RISC0和Cairo有著非常類似的愿景-通過構(gòu)建一個zkVM，令ZKPs能夠進(jìn)行任何通用計算；但是相比于Cairo，RISC0本身并不是一種語言，它可以直接通過Rust當(dāng)中提供的SDK進(jìn)行構(gòu)建。之后，再通過其定制的zkVM進(jìn)行計算。除去RISC0，基于zk-STARK的CairoVM也被BitcoinLayer-2所青睞。我們注意到不少項目都在采用這種通用計算+zkVM的模式，來替代zk語言+zkProver+zkVerifier的模式。這是由于Bitcoin中暫時無法提供zkVerifier，因此對于SovereignRollup而言，直接采用zkVM無疑是更加經(jīng)濟(jì)和高效的辦法。

結(jié)語

首先關(guān)于Citrea最近的爭議，它們的團(tuán)隊很明確的指出了，其對BitVM的兼容還尚未完成；這個結(jié)論代表了能夠完全繼承Bitcoin安全性的Rollup還沒有出現(xiàn)。但是在觀察整個項目的過程中，我們也看到了基于BitcoinLayer-2，還有著連續(xù)不斷地創(chuàng)新；同時，還有大量的項目在前仆后繼的挑戰(zhàn)Bitcoin的zk-rollup，如Bitlayer，Alpenlabs，BVMnetwork等，這些都在驅(qū)動著我們持續(xù)跟蹤和分析Bitcoin當(dāng)中Rollup的進(jìn)展。