我们非常高兴地推出 SP1 Hypercube,这是我们的下一代 zkVM,它能够为以太坊提供实时证明。SP1 Hypercube 采用全新的多线性多项式架构的证明系统,从零开始构建。它在延迟和成本方面达到了最佳水平,比 SP1 Turbo 的性能提高了 5 倍,并且 能够在 12 秒内证明超过 93% 的以太坊区块。
实时验证已到来
实时以太坊证明,即在 12 秒内完成主网以太坊区块验证的能力,堪称零知识证明领域的“太空竞赛”:这项技术和象征性的突破即使在一年前也令人感到遥不可及。生成这些低延迟证明的能力对以太坊的路线图意义重大——包括在不牺牲可验证性的情况下大规模扩展 Layer-1,实现更安全的原生 Rollup,并在整个生态系统中提供更好的互操作性。以太坊基金会通过推出EthProofs仪表盘来跟踪进度,引发了 zkVM 团队之间的激烈竞争,争夺这一里程碑的桂冠。
通过 SP1 Hypercube,我们结合了新颖的加密技术和不懈的性能工程,率先实现了这一目标。
基准测试:我们将以太坊实时证明定义为能够在 12 秒内证明 90% 以上的以太坊主网区块(考虑到无状态执行所需的区块和 Merkle 证明见证)。SP1 Hypercube 已经超越了这一基准:在我们的测试中,93% 的区块在 12 秒内得到证明,平均证明时间仅为 10.3 秒。
为了透明起见,我们的测量结果不包括通过以太坊 RPC 获取 Merkle 证明所需的时间(即无状态执行所需的见证获取时间)。对于剩余 7% 的区块,我们认为可以通过调整以太坊的 Gas 调度机制来进一步提升性能,使其更准确地反映证明者的实际工作量,从而更好地平衡计算成本和证明生成复杂度。
SP1 Hypercube 在整个证明器堆栈中引入了端到端的改进,从高效执行单个 RISC-V 指令到低延迟递归。这些优化使以太坊能够实时证明,同时所需的 GPU 数量显著少于 SP1 Turbo(大约减少 2 倍)。根据我们的基准测试,一个能够使用 SP1 Hypercube 实时证明 90% 以上主网区块的集群需要约 160 块 4090 GPU,构建成本约为 30 万至 40 万美元。使用更经济高效的硬件,我们估计搭建集群的成本可能达到约 10 万美元。借助我们的开源证明器和集群实现(将在 SP1 Hypercube 审计完成后发布),我们预计这将使任何人都能够运行自己的实时以太坊证明器。
专为 zkVM 构建的全新证明系统
SP1 Hypercube 标志着我们为 zkVM 设计和实现证明系统方式的根本性转变。虽然 SP1 的先前版本(包括 SP1 Turbo)都是使用 Plonky3 基于 STARK 架构构建的,但我们在过去一年中与密码学主管 Ron Rothblum 一起深入研究了基于多线性证明的系统。最初的探索如今已成定论:多线性证明代表了零知识证明的未来。在过去的六个月里,我们从零开始设计并实现了一个全新的证明系统,以加速该领域迈向这一目标。
与依赖单变量多项式的传统 STARK 不同,SP1 超立方体完全基于多线性多项式构建。这一简单的转变释放了强大的新功能。为了理解其优势,我们可以将多项式想象成各种形状:单变量多项式就像球体,优雅但打包效率低下。而多线性多项式则像矩形,易于平铺,不会浪费空间。这种“打包效率”直接转化为更快的证明器性能和更低的资源成本。
该系统的核心是一种新的多项式承诺方案——锯齿状PCS (Jagged PCS),它实现了“按使用量付费”的架构。它与高度优化的LogUp GKR实现(一种多线性友好的和校验协议)相结合,共同构成了SP1 Hypercube性能提升的基础。描述锯齿状PCS的研究论文可在此处获取。
我们使用这种架构在消费级 GPU 上达到最先进的证明速度,与 SP1 Turbo(我们之前最先进的 zkVM)相比,计算密集型工作负载(如循环和斐波那契)的速度提高了 5 倍,预编译密集型工作负载(如以太坊证明)的速度提高了 2 倍。
虽然我们长期以来一直专注于算术化和硬件性能,但 SP1 Hypercube 反映了我们对 zkVM 性能全栈的日益关注,包括理论和证明系统设计。
敬请关注
SP1 Hypercube 的验证器和我们用于证明以太坊区块的代码库分别在这里和这里开源。在接下来的几个月里,SP1 Hypercube 将接受审计。审计完成后,我们将发布一个可用于生产的版本,其中包含一个开源证明器和集群实现,允许任何人运行自己的实时以太坊证明器。
如果您有兴趣成为 SP1 Hypercube 的早期用户或拥有可以利用实时证明的用例,请联系我们。