终局之战：我们如何用 ZK 技术保护 MegaETH 的安全

作者：MegaETH 来源：@megaeth_labs 翻译：善欧巴，金色财经

在所有Optimistic Rollup 的核心，都存在一个关键假设：提交的状态提议在未被证明错误之前，默认是有效的。然而，这一假设只有在 Rollup 拥有强大的欺诈证明机制时才成立。缺乏此机制的链，一旦无效状态未被质疑，或由于恶意挑战而导致结算流程被阻断，就会立刻变得不安全。

欺诈证明的重担

为了支撑上述假设，Optimistic的L2必须支持一种欺诈证明机制（也称为争议解决协议），它允许验证者（挑战者）对排序器（提议者）提交的可能错误的状态提议发起挑战。这个机制必须确保两个关键特性：

1. 所有错误的状态提议都能被识别出来，

2. 错误的挑战永远不会成功。

从技术角度来看，这一机制包含两个核心组成部分：

• 挑战子协议：处理对单个状态提议的争议。

• 锦标赛机制：当同一个区块出现多个竞争状态提议时，用于筛选出唯一正确的提议。

每一个状态提议，都是对一组交易执行结果的声明，通常包含三个部分：

• 初始状态：Ethereum 上最近一次被最终确认的 L2 状态；

• 交易载荷：从该状态以来发生的一系列 L2 交易；

• 最终状态：提议者声称执行这些交易后得到的结果。

因此，一个完整的提议本质上是在说：

“假设当前初始状态是 A，执行以下交易列表（payload），我认为最终状态应该是 X。”

我们可以用下图的形式来可视化这个结构：

此时，挑战子协议的作用就是验证该主张是否正确。如果它是错误的，挑战必须成功，该提议就必须被拒绝。

交互式故障证明（二分挑战游戏）

在多数当前主流的Optimistic Rollup 系统中，采用的都是一种交互式协议：挑战者与提议者之间进行来回交锋。

一旦提出争议，双方会对计算过程的中间结果（由提议者声称的每一步执行结果）进行二分拆解，逐步缩小错误可能发生的范围。这个过程会不断递归，直到双方定位到单个出错的计算步骤（比如某笔交易被错误执行）。

确定具体错误后，该步骤会被在以太坊主网上重新执行，以判断是否真的存在欺诈行为。

但这一机制存在多个问题：

• 延迟高：每一步交互都需要在以太坊链上发起交易。一个完整的争议处理过程可能耗时数小时甚至数天，特别是在网络拥堵或受到审查时；

• 对提议者要求高：即便提议者是诚实的、挑战是毫无根据的，他仍需参与整个争议流程，付出不小的计算与链上交互成本；

• 容易被恶意利用：恶意挑战者可以不断提出无理挑战，迫使诚实的提议者反复浪费时间和 gas 成本去捍卫正确状态。

现实中，交互式欺诈证明代价高昂、在负载高时脆弱、并且容易被滥用。

非交互式欺诈证明（ZK 挑战模型）

MegaETH 采用了完全不同的路径：它要求挑战者只需生成一个简洁的零知识证明（ZKP），证明提议者声明的最终状态是无效的。

具体而言，这个 ZK 证明表明，从初始状态执行交易序列不会得出提议者声称的最终状态。该机制将基于 RISC Zero 的 zkVM 构建，并借鉴 OP Kailua 的非交互欺诈证明混合架构来实现。

该证明通过单笔交易提交至以太坊，链上验证者合约将确认其有效性。证明提出者无需参与任何工作，无法干预整个过程，亦不参与争议。

当然，生成这样一份 ZK 证明并非易事——它要求在 zk 虚拟机中完整运行争议的计算过程，预计将消耗 约 1000 亿个计算周期，最坏情况下成本约为 100 美元 。但这种成本仅在欺诈被证实时才发生，且根据设计，由不诚实方承担。这一模式极大减轻了诚实挑战者的资本压力，并根本消除了基于二分机制中的恶意破坏风险。

ZK 用于欺诈证明，而非状态有效性

在加密领域，「零知识（ZK）」常常被简化理解为 ZK Rollup 的代名词 —— 即使用 ZK 证明在链下验证状态转换，然后将其发布到链上的系统。但这种理解其实只涵盖了 ZK 潜力的一半。

MegaETH 使用零知识证明的目的不是为了验证状态的正确性，而是用于证明欺诈行为。这让我们能够在保留Optimistic Rollup 的高效与可扩展性的同时，新增一个无需信任、非交互式的机制，用于检测和挑战无效的状态转换。

我们将这种混合方法称为 ZK 欺诈证明，它带来了一种本质上不同的信任模型。

检测窗口不变，终局时间大幅缩短

出于安全审慎的考虑，MegaETH 仍将保留典型Optimistic链的 7 天挑战窗口，这意味着任何参与者都有整整一周时间对某个状态根提出争议。但真正的差异发生在争议被提出之后，在交互式模型中，如果在第 7 天提出挑战，可能还需要额外几天时间才能完成争议解决。在此期间，链在以太坊主网的最终性会被冻结，协议进展被中断，链的活性也会受到影响。

而使用 ZK 欺诈证明的情况下，整个争议流程将在大约 1 小时内完成。挑战者生成 ZK 证明、提交到以太坊主网、验证后立即生效，链状态迅速获得最终性。这有效抵御了一个关键攻击向量：恶意挑战者反复发起虚假争议，以阻滞链的最终性。

由 EigenDA 提供数据可用性保障

为了确保欺诈证明过程的完整性，挑战者必须能够轻松可靠地访问原始区块数据，以重现被质疑的计算过程。

这正是我们将 ZK 欺诈模型与 EigenDA（一个去中心化、高吞吐的数据可用性层） 搭配使用的原因。

通过这种结构，整个流程被精简为最安全、最高效的形式：

• 排序器将区块数据发布到 EigenDA，同时仅将一小段数据摘要提交到以太坊，EigenDA 提供的加密保证确保任何时候都可以生成欺诈证明，且排序者无法“隐匿”数据以逃避审查；

• 任何观察者都可以从 EigenDA 检索区块数据，重建完整区块并在 zkVM 中执行；

• 一旦检测到欺诈，该观察者就能生成简洁的 ZK 欺诈证明，提交至以太坊上的验证合约；排序者将被惩罚，其无效提案也将被驳回。

一种具备加密保障、可扩展的信任模型

MegaETH 用简洁的非交互式 ZK 欺诈证明取代了繁琐的交互式欺诈博弈。这种方式消除了骚扰攻击风险，大幅缩短了最终确认时间，并确保争议能够以高效、可扩展的方式解决。

在 RiscZero 提供可验证计算能力、@eigen_da 确保原始数据访问的支持下，每一个状态提案都具备：

可重建性、可验证性、可被任何人挑战的可能性 —— 无论在任何规模下。