zkRollup Introduction.pdf

Copyright © GMO Internet Group, Inc. All Rights Reserved.
2023年6⽉27⽇
GMO-IG グループ研究開発本部次世代システム研究室
L.C.A
イーサリアムの最先端技術
zkRollupで変わる世界

Copyright © GMO Internet Group, Inc. All Rights Reserved. 2
結論ファースト
• zkRollupは、ゼロ知識証明を利⽤してイーサリアムを拡張する⼿法
Ø ⾼いコストの問題を解決する（⼿数料はイーサリアムの1/10になる）
Ø トランザクションの実⾏速度を向上させる（イーサリアムの20倍以上になる）
Ø 安全性はイーサリアムと同等
• ゼロ知識証明は、ブロックチェーンの発展において重要な技術である
Ø ブロックチェーンのコストやプライバシーの問題を解決する

モチベーション
1. 2023年に注目すべきブロックチェーン技術トレンド
• zkRollupは、イーサリアムの低いスループット問題を解決
する重要で⾰新的な技術であり、今年（2023年）から
Web3業界で⼤注⽬されている1。
• zkRollupの技術は複雑のため、研究発表の機会に分かりや
すく詳しく紹介したいと考えている。

zkRollup
zkRollup ＝ zk + Rollup
• Zero-Knowledge Proof（ゼロ知識証明）
Ø 暗号学⼿法
• Rollup（トランザクションのまとめ上げ）
Ø イーサリアムのスループットを拡張するための⼿法

構成
• ゼロ知識証明
• zkRollupの紹介
Ø 前提知識
Ø Optimistic Rollup と zkRollup
Ø zkEVMの仕組み
Ø zkRollupでスマートコントラクトの開発
• zkRollupの展望
• 結論

ゼロ知識証明

必要な知識を提供せずに、⾃⾝がその知識を持っている
ことを証明するための暗号学的な証明⼿法
ゼロ知識証明とは︖

Aliceは合⾔葉をBobに教えずに、合
⾔葉を知っていることを証明したい
• Alice ⇨ 証明する⼈（Prover）
• Bob ⇨ 検証する⼈（Verifier）
• 必要な知識︓合⾔葉
ゼロ知識証明-アリババ洞窟
Bob:
Aliceが合⾔葉を知ってい
ることを知りたい
Alice:
合⾔葉を知っている
合⾔葉が必要な扉
https://ja.wikipedia.org/wiki/%E3%82%BC%E3%83%AD%E7%9F%A5%E8%AD%98%E8%A8%BC%E6%98%8E

1. Alice
Bobが知らずにどち
らの⼊⼝から⼊る
2. Bob:
Aから出てください︕

2. Alice:
合⾔葉を知っているので、
どちらからでも出られる
1. Bob︓
AliceはAから出るの検
証する

1. Alice
Bobが知らずにどち
らの⼊⼝から⼊る
2. Bob:
Bから出てください︕
B
合⾔葉を知っていること
を証明できない︕︕︕

Aliceが合⾔葉を知らない確率︓
⼀回⇨50％
20回⇨約0.0001％
無限回⇨約0%
Aliceが合⾔葉を知っていること
が証明できる

• 応⽤例
Ø ⾝分証明書の電⼦化
• 個⼈情報を提⽰せずに、本⼈であることを証明する
Ø 医療データのプライバシー保護
• 医療データを提⽰せずに、医療⾏為を証明する
• ブロックチェーンへの応⽤例（メイン）
Ø プライバシー保護︓Zcash
• 送⾦者などのトランザクション内容を公開せず、トランザクション
内容の正しさを証明する
Ø コスト減少︓zkRollup
• 全てのトランザクションデータを提出せず、オフチェーンの処理が
正しいことを証明する（今回のトピック）
ゼロ知識証明の応⽤

ゼロ知識証明︓対話型 v.s. ⾮対話型
対話型︓
洞窟の例のように、AliceとBobが何度もやり取りする必要がある
⾮対話型︓
AliceとBobのやり取りの必要がない（お互いが通信しない）
ブロックチェーンでよく使われる⽅法はzkSNARKsとzkSTARKs

振り返り
• ゼロ知識証明の紹介
Ø アリババ洞窟の例
• 合⾔葉（知識）を教えずに合⾔葉を知っていること
を証明する à ゼロ知識
Ø ゼロ知識証明の応⽤
• ZcashやzkRollupなど
Ø ゼロ知識証明の対話型と⾮対話型
• ⾮対話型: zkSNARKs と zkSTARKs

Rollupの前提知識︓
• イーサリアム
• EVM
• レイヤー２

イーサリアムとは︖
トランザクションやスマートコントラクトを扱う
ブロックチェーンプラットフォームです。

イーサリアム仮想マシン(EVM)
• トランザクションやスマートコントラクトを実⾏するインフラはEVMである
• EVM＝イーサリアム仮想マシン
• コンピューターアーキテクチャのようなもの
EVM コンピューターアーキテクチャ

EVMの
新しい有効な状態
EVMの
古い有効な状態
EVMの機能
• トランザクション（TX）とスマートコントラクトの計算
• 状態（ステート）の更新
Ø EVMは⼤規模な状態マシンとされている
Ø トランザクションを計算した後、EVMの新しい有効な状態を更新
ethereum.org
𝑌 𝑆, 𝑇 = 𝑆!
𝑌︓状態遷移関数
𝑆︓古い有効な状態
𝑇︓新しい有効なトランザクション
𝑆!
︓新しい有効な状態
𝑆 𝑆!
TX 1
TX 2
TX n
T
𝑌

イーサリアムの問題点
• ⼿数料⾼い
Ø アダムmint⼿数料
• 0.007ETH
• 約2000円
Etherscan
手数料 0.0071ETH

イーサリアムの問題点
• 遅い
Ø TPS︓15ぐらい（VisaのTPSは 24,000ぐらい1）
TPS：トランザクション毎秒
https://blockchair.com/ethereum/charts/transactions-per-second
１. VISA TPS

レイヤー1（L1） v.s. レイヤー2（L2）
L1 Ethereum
L2 chain
ステート
TXs
速い、コスト安い
遅い、コスト⾼い
TXデータ可⽤性のため、
L1へTXデータを提出する
L1 contract

Rollup
à 主要なL2プロトコル

• イーサリアム（L1）のトランザクション（TX）のブロードキャスト
L1のトランザクション処理
TX
L1 node
L1 node
L1 node
L1 node
L1 node
全てのL1 nodeは１回TXを
実⾏しないといけない
→ コスト⾼い
TXの検証
TX

スケーリングソリュション︓L2 Rollup
バッチTX
TX 1
TX 2
TX n
L2 sequencer
L1 node
L1 node
L1 node
L1 node
• 処理できるTX数は増加
• L2で処理されたTXsのL1での再実⾏は必要ない
TXの検証

Rollupのスケーラビリティ
• TPS → 500以上（L1のTPSは15ぐらい）
• ⼿数料コスト→ L1の1/10
https://tottemoyasashiibitcoin.net/entry/2022/2/9/0400
https://l2fees.info/

L2 sequencerを信頼できるか︖
TXデータを改ざんする可能性がある
à L2のステート更新の正当性検証の必要がある
Rollupの問題

主要なRollupの２つ種類
• Optimistic rollup (ORU)
• zkRollup (ZKR)
⼤きな違いは更新されたステート正当性の証明⽅法

Optimistic rollup
• 楽観的なRollup（sequencerを信頼する）
Ø Rollupの際、ステート更新の正当性検証は不要
Ø L1へバッチTXを提出してから七⽇間の不正検知期間を設ける
Ø 不正検知していない時、最終承認(finality)を⾏う
バッチTX
L2 sequencer
L1 contract

Optimistic rollup
• 不正を検知した場合
Ø fraud proof（不正証明）
Validate node
1. 不正を検知した
Fraud Proof
L2 sequencer
2. 不正検知プロセスを起動
• L1で全てのTXsを実⾏し、
ステートの正当性を確認
L1 contract
3. 罰⾦を課す
４. TXsをロールバック
デメリット︓
• 不正検知が遅い（システムへ
のリスクが⼤きい）
• L1からの出⾦は７⽇間かかる

zkRollup
• 悲観的なRollup（sequencerを信頼しない）
Ø Rollupの際、zk-proof（ゼロ知識証明）はL2のステート更新の正
当性として提出される
Ø 不正検知の期間がないため、証明検証後すぐL1から出⾦できる
バッチTX
L2 sequencer
＋ ZK-Proof
L1 contract
デメリット︓
• Proofの⽣成が必要

項⽬ zkRollup Optimistic rollup
ステート正当性の検証
⽅法
ゼロ知識証明 Fraud Proof
L1でETH引き出し時間数分〜数時間７⽇間
安全性 L1同等 L1より低い
理論な処理能⼒(TPS) 2000以上 500以上
zkRollupとOptimistic Rollupの⽐較
なぜZKRの理論TPSはORUより⾼い︖

補⾜︓ZKRの理論TPSはORUより⾼い理由
• zkRollup（ZKR）
Ø 提出TXデータ︓Merkle tree（イーサリアムのTXデータを保
存するためのデータ構造）を復元できる情報のみ
Ø 圧縮TXデータサイズ︓~12bytes
Ø zk-proofデータ︓⼀つバッチで数百bytes程度
• Optimistic Rollup（ORU）
Ø 提出TXデータ︓ Froud proofプロセスですべてのTXがL1で
実⾏されるため、Signatureなどの情報の提出も必要
Ø 圧縮TXデータサイズ︓ ~12 + ~68 bytes（~80 bytes）
• 結果
Ø zkRollupのバッチに含まれるTXが多くなっている
à ZKRの理論TPSはORUより⾼い
https://vitalik.ca/general/2021/01/05/rollup.html イーサリアムでシングルバッチの上限は750,000bytes
• ZKR︓ ~62,500 TX（全てのTXはETH送⾦の場合）
• ORU︓ ~9375 TX（全てのTXはETH送⾦の場合）
トランザクション (ETH送⾦)
圧縮されたTXデータ構成の違い

ZK-RollupとOptimistic Rollupの⽐較
特徴で⾒るとzkRollupの⽅が優位
項⽬ zkRollup Optimistic rollup
ステート正当性の検証
⽅法
ゼロ知識証明 Fraud Proof
L1でETH引き出し時間数分〜数時間７⽇間
安全性 L1同等 L1より⽐較的に低い
理論な処理能⼒(TPS) 2000以上 500以上

なぜ現在ORUは主流になっている︖
https://l2beat.com/scaling/tvl

ゼロ知識証明を⽣成するための
zkEVMの実装が難しい

zkEVMの仕組み

zkEVMとは︖
zkEVMは、zkRollupがトランザクションを処理し、ゼロ知識証明を
⽣成するために使⽤される環境です。
zkEVM
TX 1
TX 2
TX n
L1 contract
zk-proofの⽣成
トランザクションの処理
バッチTX
zk-proof
zk-proof検証

zkEVMとは︖
zkEVMは、zkRollupがトランザクションを処理し、ゼロ知識証明を
⽣成するために使⽤される環境です。
zkEVM
TX 1
TX 2
TX n
L1 contract
zk-proofの⽣成
トランザクションの処理
バッチTX
zk-proof
zk-proof検証
既存のEVMプログラム
zk回路︓
EVMのルールに基づいてzk
回路に変換
難しい︕︕

EVMからzk回路の変換のイメージ
https://www.youtube.com/watch?v=SEp5SFaYQHY
（zk回路）

EVMからzk回路の変換のイメージ
Keccak 回路
RAM回路
Bytecode
回路
Transaction
回路
…
回路
zkEVM
Circuit
EVMプログラム
zk回路

各zkプロジェクトの
zkEVM実装の⽐較

EVMでスマートコントラクト実⾏の流れ
Solidity
（スマートコントラクト⾔語）
中間⾔語（IR）
EVM Bytecode
EVM Storage
⾔語
Bytecode
Runtime

zkEVMの3つの実装⽅法
• ⾔語レベル互換性（Language）
Ø スマートコントラクトの実装⾔語のみイーサリアムと同じ
Ø TX処理の環境は、zk回路と友好な⾔語で実装
Ø zkEVMの実装難易度 à 低、EVMとの互換性 à 低
• Bytecodeレベル互換性（Bytecode）
Ø TX処理の環境はEVMのプログラムから改修（EVMのBytecodeを直接解釈できる）
Ø EVMとは異なるステートルートが⽣成される可能性がある
Ø zkEVMの実装難易度 à 中、EVMとの互換性 à 中
• Consensusレベル互換性（Runtime）
Ø TX処理の環境はEVMとの完全な同等性を⽬指す（L1への影響の可能性がある）
Ø L1のブロックのTXの検証は、TXの実⾏ではなく、zk-proofの検証に代わる
Ø zkEVMの実装難易度 à ⾼、EVMとの互換性 à ⾼
https://zk-learning.org/assets/lecture12.pdf

各zkRollupプロジェクト
https://www.youtube.com/watch?v=SEp5SFaYQHY
EVMの互換性⾼
低
⾔語レベル
互換性
Bytecodeレベル
互換性
Bytecodeレベル
互換性
⾔語レベル
互換性

デモ︓
zkRollupでスマートコントラクト開発
（ScrollとStarknetテストネット）
1. L2アドレスへ⼊⾦
2. NFTコントラクト(zkNFT)のデプロイ

Scrollデモ

Scroll Bridge（L2アドレスへ⼊⾦）
https://scroll.io/bridge

Scroll （zkNFTコントラクトデプロイ）
L1 Goerli: zkNFT
L2 Scroll: zkNFT
• ⾔語︓Solidity
Øイーサリアムと同じ
• コンパイラ︓solc
• 開発ツール︓hardhat

Scroll （zkNFTコントラクトデプロイ）
L1 Goerli: zkNFT
L2 Scroll: zkNFT

Scroll（Bytecodeレベル互換性）
L1 Goerli: zkNFT
L2 Scroll: zkNFT
スマートコントラクト開発者に優しい︕

Starknetデモ

Starknet （L2アドレスへ⼊⾦）
https://faucet.goerli.starknet.io/

Starknet （zkNFTコントラクトデプロイ）
• ⾔語︓Cario
Øイーサリアムと異なる
• コンパイラ︓Cario-compiler
Øイーサリアムと異なる、Solidityコンパイラは開発中
• 開発ツール︓Cario-lang
Øイーサリアムと異なる

Starknet （zkNFTコントラクトデプロイ）• L2 Starknet: zkNFT

Starknet （⾔語レベル互換性）
スマートコントラクト開発者に⾯倒︕

総合評価
Ethereum
L1
Scroll zkSync Starknet
L1互換性レベル N/A Bytecodeレベル⾔語レベル⾔語レベル
ETH送⾦⼿数料1
$0.73 N/A $0.09 $0.12
現状TPS2
22︖ N/A 12 3
L1への出⾦時間 N/A 数分3
10分- 7時間4
12時間
5
スマートコントラク
トの⾔語
Solidity Solidity Solidity Cario
開発ツール Hardhat Hardhat Hardhat(zk
Sync-SDK)
cairo-lang
1. メインネット手数料：https://l2fees.info/
2. メインネットTPS： https://l2beat.com/scaling/tvl
3. https://guide.scroll.io/user-guide/bridge/withdraw-from-scroll-to-goerli
4. https://docs.zksync.io/userdocs/faq/
5. https://docs.rabbitx.io/deposit-withdrawal
• Scrollはまだメインネットがリリースされていない
互換性レベル低いzkEVM
は開発者に優しい
現状TPS︓
zkRollupのproofの⽣
成時間が⻑く、
sequencerが少なく、
Gas feeが⾼いため

振り返り
• L2 Rollup
Ø L1のTXはL2でバッチ処理される à L1のスループットの拡張
• zkRollupとOptimistic Rollupの違い
Ø ステート更新の正当性の証明⽅法
• Optimistic Rollup︓Fraud Proof（不正証明）
• zkRollup︓ゼロ知識証明
Ø 圧縮されたTXデータのサイズはZKRの⽅が⼩さい
• zkRollupの理論TPSはOptimistic Rollupより⾼い

振り返り
• zkEVMの仕組み
Ø zkEVMはTXの処理と証明⽣成の役割
Ø zkEVMのzk回路の実装が難しい
• 各zkプロジェクトの⽐較
Ø EVMとの互換性⾼いzkEVMの実装は難しい
Ø EVMとの互換性⾼いzkEVMは、スマートコントラクトの開発者に優しい

zkRollupの展望
1. https://ethereum.org/en/developers/docs/scaling/zk-rollups/
2. https://vitalik.ca/general/2021/01/05/rollup.html
1.Proofの⽣成コストの改善1
• ハードウェアの進化（GPUなど）
• 暗号理論の進歩によってProofの⽣成コストが改善される
2.イーサリアムのThe Surgeアップグレード
• L1ブロックで取り込めるデータが増えるため、TPSがさらに向上す
る可能性がある2
3.EVMとの互換性の向上
• zkRollupのエコシステムがより活発になることが期待される

結論
• zkRollupは、ゼロ知識証明を利⽤してイーサリアムを拡張する⼿法
Ø ⾼いコストの問題を解決する（⼿数料はイーサリアムの1/10になる）
Ø トランザクションの実⾏速度を向上させる（イーサリアムの20倍以上になる）
• イーサリアムのThe surgeアップグレードにより、さらに速度が向上する可能
Ø 安全性はイーサリアムと同等
• ゼロ知識証明は、ブロックチェーンの発展において重要な技術である
Ø ブロックチェーンのコストやプライバシーの問題を解決する

zkRollup Introduction.pdf

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to zkRollup Introduction.pdf

Similar to zkRollup Introduction.pdf (20)

zkRollup Introduction.pdf