谈量子抗性 Rollup | 量子比特币峰会

视频 AI 总结： 本次演讲深入探讨了量子抗性 Validity Rollup 在比特币生态中的应用。核心内容是介绍 Validity Rollup 的工作原理、其带来的可扩展性和安全性优势，特别是如何通过引入后量子密码学使其具备量子抗性，并讨论了在比特币 L1 上实现这些功能所需的协议改进。

视频中提出了哪些关键信息：

1. Rollup 定义与分类：
   • Rollup 是一种将数据存储在父链（如比特币）区块中以计算其规范状态的区块链，提供与父链同等的可用性和双花抵抗。
   • 分为主权 Rollup（仅使用父链进行数据可用性和双花抵抗）和智能合约 Rollup（通过父链上的智能合约进行检查点和资产转移）。
2. Validity Rollup 机制：
   • 通过父链上的智能合约建立信任桥梁，并由有效性证明验证智能合约保障安全。
   • 每个检查点都附带加密有效性证明，确保所有 Rollup 交易的有效性。
   • 用户体验类似普通区块链，可无需交互接收资产，并能单方面从 Rollup 提款至父链。
   • 有效性证明允许交易数据压缩，从而提高吞吐量。
3. Validity Rollup 的特性与优势：
   • 用户无需交互或监控。
   • 高吞吐量：最低可达 L1 交易速度的 35 倍，通过“剪切”等优化可更高。
   • 可定制执行环境：L1 仅验证有效性证明，Rollup 可实现各种区块链逻辑（如 ZKVM）。
   • L1 验证成本低：有效性证明验证速度接近 ECC 签名。
   • 无需信任：资金无法被冻结或窃取。
   • 缺点：目前运营成本较高，但正在迅速优化。
4. 量子抗性 Rollup：
   • 用户侧：Rollup 可原生支持任何后量子签名算法或证明（如 STARK）来花费资金。
   • L1 侧：用于验证 Rollup 状态转换的证明系统可以是后量子的（如后量子 STARKs 或 SNARKs）。
   • 与直接在 L1 上实现后量子签名相比，量子抗性 Rollup 能显著减小交易大小（如 76 字节），大幅提高 TPS（如 83.3 TPS）。
   • 未来可验证性：Rollup 允许在 L2 进行自由实验和升级，无需 L1 共识层修改，更具灵活性。
5. 相关概念：Shielded CSV：
   • 与 Rollup 类似，通过桥接将比特币引入系统。
   • 大部分交易数据链下传输，链上仅记录 64 字节的 nullifier。
   • 提供强大的默认隐私保护。
   • 同样支持后量子密码学，具有未来可验证性。
6. 实现量子抗性 Rollup 的比特币 L1 改进建议：
   • 必要条件：
     • 禁用密钥路径花费（如 BIP360 提议），将花费限制在脚本路径。
     • L1 需具备验证零知识证明或后量子有效性证明的能力。
       • 建议引入 OP_CAT 和 OP_MALL 等通用操作码。
       • 或 OP_PROOF_VERIFY（针对特定证明系统，可能引发争议）。
   • 理想条件：
     • 大整数算术支持。
     • OP_TX 或其他空间高效的递归契约操作码。
7. 对矿工的激励：
   • Rollup 提供了更丰富的比特币使用场景，可能增加交易量，从而为矿工带来更多费用。
   • Rollup 运营商需支付 L1 交易费来提交数据和证明，形成费用竞争。
   • “基础 Rollup”模式下，L1 矿工也可参与 Rollup 区块生产，直接获得 L2 费用。
   • 通过禁用密钥路径花费，L1 上的资金由有效性证明验证脚本控制，而非签名，确保量子抗性。