Arch Day 201: ZK基础设施 — 证明系统、Prover市场与硬件加速
ZK基础设施正在经历"摩尔定律时刻"——SP1 Hypercube在16块GPU上10.8秒证明完整以太坊区块,相比1年前提升1000x+。证明系统(Plonky3/Halo2/RISC0)、Prover市场(Gevulot)和GPU硬件加速构成了ZK的"基础设施三角"。
日期: 2026-10-17 (Day 201) 阶段: 第七阶段 - Web3专题深度 标签: #ZK基础设施 #SP1 #Plonky3 #Halo2 #ProverMarket #硬件加速
核心概念
一句话定义
ZK基础设施正在经历"摩尔定律时刻"——SP1 Hypercube在16块GPU上10.8秒证明完整以太坊区块,相比1年前提升1000x+。证明系统(Plonky3/Halo2/RISC0)、Prover市场(Gevulot)和GPU硬件加速构成了ZK的"基础设施三角"。
知识点详解
1. 主流ZK证明系统对比
| 证明系统 | 开发方 | 类型 | 特点 | 使用者 |
|---|---|---|---|---|
| Plonky3 | Polygon | STARK-based | 最快的通用证明系统 | SP1(Succinct) |
| Halo2 | Zcash/Scroll | SNARK(无信任设置) | 递归证明+灵活电路 | Scroll, Axiom |
| Groth16 | 学术 | SNARK(需信任设置) | 最小证明(288B)+最快验证 | Zcash, Tornado Cash(旧) |
| RISC0 zkVM | RISC Zero | STARK | 证明RISC-V程序 | 通用zkVM应用 |
| Boojum | Matter Labs | SNARK | zkSync Era专用 | zkSync Era |
| Cairo/Stone | StarkWare | STARK | StarkNet专用 | StarkNet |
2. SP1 Hypercube — ZK性能的里程碑
Succinct Labs的SP1是目前最快的通用zkVM:
SP1 Hypercube (2025 Q3):
性能:
├── 10.8秒证明完整以太坊区块 (16 GPU)
├── vs 之前: 数小时→分钟→10秒 (1000x提升/年)
├── 成本: ~$0.01/证明 (GPU租用)
└── 基于Plonky3证明系统
架构:
├── zkVM: 证明任意Rust程序执行
├── 开发者写Rust代码→SP1自动生成ZK证明
├── 不需要手写电路(circuit)
└── 支持precompiles加速常用操作(SHA256/Keccak等)
为什么重要(PM视角):
├── 实时ZK证明成为可能(10秒vs之前10分钟)
├── Based Rollup可行(每个L1区块都能及时证明)
├── ZK应用不再受限于"太慢"
└── 成本低到可以为每笔交易生成证明
SP1 vs 其他zkVM:
| 维度 | SP1(Succinct) | RISC0 | Jolt(a16z) |
|---|---|---|---|
| 证明系统 | Plonky3(STARK) | STARK | Lasso(Sumcheck) |
| 输入语言 | Rust | Rust/C/C++ | Rust |
| ISA | RISC-V(定制) | RISC-V(标准) | RISC-V |
| GPU加速 | ★★★★★ | ★★★ | ★★★ |
| 生态 | 最大(50+集成) | 中等 | 研究阶段 |
| 代表客户 | Taiko, OP Stack, Celestia | 多个应用 | 学术 |
3. Prover市场 — ZK的"算力交易所"
Prover市场概念:
问题:
├── ZK证明需要大量GPU算力
├── 自建Prover基础设施昂贵(数百万美元)
├── 算力需求波动大(高峰vs低谷)
└── 中小项目无力负担
解决方案: Prover Market(证明算力市场)
├── 类似"AWS但专门用于ZK证明"
├── 证明请求方发布任务
├── Prover节点竞争完成任务
├── 按证明付费,无需自建基础设施
| Prover市场 | 模式 | 状态 | 特色 |
|---|---|---|---|
| Gevulot | ZkCloud去中心化证明网络 | 测试网 | 无需许可的Prover市场 |
| =nil; Foundation | 证明市场+zkSharding | 已上线 | 并行证明+数据可用性 |
| Succinct Network | SP1证明网络 | 已上线 | 最大用户量(SP1生态) |
| Marlin | TEE+ZK混合证明 | 已上线 | 支持多种证明系统 |
4. 硬件加速趋势
| 硬件 | 现状 | 代表公司 | 性价比 |
|---|---|---|---|
| CPU | 最慢,但最灵活 | 通用服务器 | ★ |
| GPU | 当前主流(NVIDIA A100/H100) | Succinct, Scroll | ★★★★ |
| FPGA | 可定制,功耗低 | Ingonyama, Cysic | ★★★★ |
| ASIC | 理论最快(专用芯片) | 多家研发中 | ★★★★★(未来) |
GPU加速ZK证明:
为什么GPU适合ZK?
├── ZK证明核心运算: NTT(数论变换) + MSM(多标量乘法)
├── NTT/MSM高度并行 → GPU有数千个核心
├── NVIDIA CUDA生态成熟
└── H100: ~80TFLOPS FP64 → 加速10-100x
当前成本:
├── A100(40GB): ~$1.5/小时(AWS)
├── 一个以太坊区块证明: ~16个GPU × 10.8秒 = ~$0.01
├── 日均成本(7200个区块): ~$72
└── vs L1交易Gas总收入(>>$72) → 经济可行
未来趋势:
├── ASIC ZK芯片(2-3年): 再降100x成本
├── Proof递归: 多个证明压缩成一个(摊薄验证成本)
└── 实时证明: <1秒/证明(2026目标)
5. ZK开发者体验演进
| 阶段 | 时间 | 开发方式 | 难度 | 代表 |
|---|---|---|---|---|
| 手写电路 | 2018-2020 | 直接写R1CS约束 | ★★★★★ | Zcash |
| DSL | 2020-2022 | 专用语言(Circom/Cairo) | ★★★★ | StarkNet |
| 高级DSL | 2022-2023 | 更友好的语言(Noir/Leo) | ★★★ | Aztec |
| zkVM | 2023-now | 写Rust/Solidity→自动ZK | ★★ | SP1/RISC0 |
zkVM对PM的意义:
- 之前:需要专门的ZK密码学工程师(全球<1000人)→团队组建困难
- 现在:任何Rust工程师可以写ZK应用→人才瓶颈大幅缓解
- PM不再需要问"我们能招到ZK工程师吗?"→而是"这个问题适合用ZK解决吗?"
6. ZK性能演进时间线
| 时间 | 里程碑 | 证明时间 |
|---|---|---|
| 2018 | Zcash Sapling | 数分钟/交易 |
| 2020 | Groth16优化 | ~60秒/交易 |
| 2022 | Plonky2 | ~10秒/中型电路 |
| 2023 | Scroll/zkSync上线 | ~分钟/区块 |
| 2024 | SP1 V1 | ~60秒/以太坊区块 |
| 2025 | SP1 Hypercube | 10.8秒/以太坊区块 |
| 2026(预期) | ASIC加速 | <1秒/以太坊区块 |
面试题
问题:ZK证明从"分钟级"到"秒级"意味着什么产品机会?
回答:
10秒级ZK证明解锁了三类之前不可能的产品:
1. 实时Based Rollup。之前ZK证明太慢→L2只能用中心化排序器批量提交→安全性依赖排序器。现在10秒内证明一个以太坊区块→L2可以用L1验证者排序(Based Rollup)→继承以太坊的去中心化和活性保证。Taiko就是基于这个突破。
2. 实时跨链结算。之前跨链需要等Optimistic Rollup的7天挑战期或信任桥接中继器。现在ZK证明秒级生成→跨链消息可以"证明即终结"→真正的实时跨链DEX、跨链借贷成为可能。
3. ZK作为中间件。之前ZK太慢/贵→只用于底层基础设施(Rollup)。现在便宜到$0.01/证明→可以嵌入到任何应用逻辑中:每笔DeFi交易附带ZK证明(合规)、每个AI推理附带ZK证明(可验证)、每个预言机数据附带ZK证明(无需信任)。
PM决策变化:以前问"ZK太慢/贵,值得吗?"→现在问"不用ZK,为什么要信任中心化替代品?"ZK从"奢侈品"变成了"默认选项"。
追问准备:
- Q: ASIC ZK芯片会改变什么?→ 成本再降100x→ZK证明变得和Hash一样便宜→每笔链上交易都自带有效性证明成为可能
- Q: Prover市场是否会中心化?→ 短期会(规模效应明显),但多个竞争者+开源证明系统+GPU通用性→不太会出现单一垄断。类似云计算(AWS/GCP/Azure三足鼎立)