Vitalik：以太坊生態系統需要三個技術轉型

作者：Vitalik，以太坊創始人；翻譯：金色財經cryptonaitive

隨著以太坊從一項年輕的實驗性技術發展成為能夠為普通用戶帶來開放、全球和無需許可體驗的成熟技術堆棧，有三個主要的技術轉型需要同時進行：

• 第一是L2擴容轉型——所有人都轉向Rollup技術；
• 第二是錢包安全轉型——所有人都開始使用智能合約錢包；
• 第三是隱私轉型——確保提供保護隱私的資金轉賬功能，並確保正在開發的所有其他工具（社交恢復、身份認證、聲譽等）都具備隱私保護的特性。

*以太坊生態系統轉型三角。你只能選擇全部三個。 *

沒有第一項，以太坊將失敗，因為每筆交易的成本為3.75美元（如果我們再次經歷牛市，成本將達到82.48美元），而每個面向大眾市場的產品都不可避免地會放棄鏈上的交易並採用中心化的解決方案。

沒有第二項，以太坊將失敗，因為用戶不願意存儲他們的資金（和非金融資產），所有人都會轉向中心化交易所。

沒有第三項，以太坊將失敗，因為對於許多用戶來說，所有交易（以及POAP等）都公開可見，這對隱私的犧牲太大了，所有人都會轉向至少在某種程度上隱藏數據的中心化解決方案。

基於上述原因，這三個轉型至關重要。但是由於涉及到的協調工作非常複雜，因此它們也具有挑戰性。需要改進的不僅僅是協議的功能；在某些情況下，我們與以太坊的交互方式需要從根本上進行深刻的改變，這需要應用程序和錢包進行重大變革。

這三個轉型將從根本上重塑用戶和地址之間的關係

在L2擴容的世界中，用戶將存在於多個L2網絡上。你是ExampleDAO的成員嗎？ ExampleDAO位於Optimism上。那麼你在Optimism上有一個賬戶！你在ZkSync上持有一個穩定幣系統的CDP嗎？那麼你在ZkSync上有一個賬戶！你曾經嘗試過一些位於Kakarot上的應用程序嗎？那麼你在Kakarot上有一個賬戶！用戶只有一個地址的日子將不復存在。

*我的Brave錢包視圖，我在四個地方都持有以太坊。是的，Arbitrum和Arbitrum Nova是不同的。別擔心，隨著時間的推移，情況會變得更加複雜！ *

**智能合約錢包增加了更多的複雜性，因為它使得在L1和各種L2網絡上擁有相同的地址變得更加困難。 **如今，大多數用戶使用的是外部擁有賬戶（externally owned accounts），其地址實際上是用於驗證簽名的公鑰的哈希值——因此，在L1和L2之間沒有任何變化。然而，使用智能合約錢包時，保持一個地址變得更加困難。儘管已經做了很多工作，嘗試使地址成為可以在不同網絡之間等效的代碼哈希，其中最重要的是CREATE2和ERC-2470 singleton factory，但要完美地實現這一點很困難。一些L2網絡（例如，“第四類ZK-EVM”）並不完全等效於EVM，通常使用的是Solidity或中間彙編語言，而不是哈希等效。即使可以實現哈希等效，錢包通過密鑰更改而改變所有權的可能性會導致其他難以預測的後果。

**隱私要求每個用戶擁有更多的地址，甚至可能改變我們處理的地址類型。 **如果隱形地址（stealth address）提案被廣泛使用，用戶可能每個交易都有一個地址，而不是每個用戶只有幾個地址或每個L2網絡一個地址。其他隱私方案，甚至包括現有的方案如Tornado Cash，在不同的方式上改變了資產的存儲方式：許多用戶的資金存儲在同一個智能合約（因此在同一個地址上）。要向特定用戶發送資金，用戶將需要依賴隱私方案自己的內部尋址系統。

正如我們所見，這三個轉型以不同的方式削弱了“一個用戶≈一個地址”的心理模型，其中一些效果反過來又增加了執行這些轉型的複雜性。其中兩個特別複雜的問題是：

**1、如果你想支付某人，你將如何獲取支付信息？ **

**2、如果用戶將資產存儲在不同鏈上的不同位置，他們如何進行密鑰更改和社交恢復？ **

這三個轉型與鏈上支付（和身份）

我在Scroll上持有代幣，我想用它們購買咖啡（如果這個字面的“我”指的是本文作者Vitalik，那麼“咖啡”當然是指“綠茶”）。你在Taiko上銷售咖啡，但你只接受Taiko上的代幣。怎麼辦？

基本上有兩種解決方案：

1、收款錢包（可以是商家，也可以是普通個人）努力支持每個L2，並具備一些異步資金合併功能。

2、收款人在地址旁提供他們的L2信息，發送方的錢包通過某種跨L2橋接系統自動將資金路由到目標L2。

當然，這些解決方案可以結合使用：收款人提供他們願意接受的L2列表，發送方的錢包確定支付方式，可以直接發送（如果運氣好的話），或者通過跨L2橋接路徑進行支付。

但這只是三個轉型引入的一個關鍵挑戰的例子：簡單的支付行為開始需要比僅僅一個20字節的地址更多的信息。

幸運的是，轉向智能合約錢包對於地址系統來說並不是一個很大的負擔，但應用程序堆棧的其他部分仍然存在一些需要解決的技術問題。錢包需要更新，以確保它們在發送交易時不僅發送21000 gas，同時還需要更加重視確保錢包接收端不僅跟踪來自EOA的ETH轉賬，還要跟踪來自智能合約代碼的ETH轉賬。依賴於地址所有權不可變的應用程序（例如，禁止智能合約以執行版稅的NFT）將不得不找到其他實現目標的方式。智能合約錢包也會使某些事情變得更容易，尤其是如果某人只接收非ETH ERC20代幣，他們將能夠使用ERC-4337 paymaster來使用該代幣支付gas費用。

另一方面，隱私問題再次成為我們尚未真正解決的重大挑戰。最初的Tornado Cash沒有引入這些問題，因為它不支持內部轉賬：用戶只能向系統存款和提取款項。然而，一旦可以進行內部轉賬，用戶將需要使用隱私系統的內部尋址方案。實際上，用戶的“支付信息”將需要包含（i）某種“花費公鑰”，即接收方可以用來支出的秘密承諾，以及（ii）發送方可以發送加密信息，只有接收方才能解密的幫助接收方發現支付的方式。

隱身地址（Stealth address）協議依賴於**元地址（meta-address）**的概念，其工作原理如下：元地址的一部分是發送方的經過蒙蔽的花費密鑰，另一部分是發送方的加密密鑰（儘管最簡實現可以將這兩個密鑰設置為相同）。

基於加密和ZK-SNARKs的抽象隱形地址方案的圖覽

這裡的一個關鍵教訓是，**在一個隱私友好的生態系統中，用戶將擁有花費公鑰和加密公鑰，用戶的“支付信息”將需要包含這兩個密鑰。 **除了支付之外，還有其他良好的理由擴展這個方向。例如，如果我們希望基於以太坊的加密電子郵件，用戶將需要公開提供某種加密密鑰。在“EOA世界”中，我們可以復用帳戶密鑰，但在安全的智能合約錢包世界中，我們可能應該為此提供更明確的功能。這也有助於使基於以太坊的身份與非以太坊的去中心化隱私生態系統更兼容，尤其是PGP密鑰。

這三個轉型和秘鑰恢復

在一個每個用戶有多個地址的世界中，實現密鑰更改和社交恢復的默認方式是讓用戶單獨對每個地址運行恢復過程。這可以通過一個點擊完成：錢包可以提供在用戶的所有地址上同時執行恢復過程的軟件功能。然而，即使有這樣的用戶體驗簡化，多地址恢復存在三個問題：

**1、Gas成本不切實際：**這一點不言而喻。

**2、虛擬地址（Counterfactual addresses）：**尚未發布智能合約的地址（實際上，這將意味著你尚未從其發送資金的賬戶）。作為用戶，你可能有無限多個虛擬地址：每個L2上都有一個或多個，包括尚不存在的L2，以及從隱身地址方案中產生的一整套無限虛擬地址。

3、隱私：如果用戶有意使用多個地址以避免將它們互相關聯，那麼他們肯定不希望通過同時或接近同時恢復它們來公開關聯所有這些地址！

解決這些問題很困難。幸運的是，有一個相當優雅的解決方案，效果還不錯：這種架構將驗證邏輯和資產持有分開。

每個用戶都有一個keystore合約，它存在於一個位置（可以是主網或特定的L2）。然後，用戶在不同的L2上擁有地址，每個地址的驗證邏輯是指向keystore合約的指針。從這些地址支出資金將需要提供一個證明，證明資金的當前（或更現實地說，非常近期的）花費公鑰。

該證明可以通過以下幾種方式實現：

• **直接在L2內部對L1進行只讀訪問。 **可以修改L2以使其能夠直接讀取L1狀態。如果keystore合約在L1上，這意味著L2內的合約可以“免費”訪問keystore。
• **Merkle branches。 **Merkle branches可以證明L1狀態給L2，或L2狀態給L1，或者可以將兩者結合起來證明一個L2的部分狀態給另一個L2。 Merkle證明的主要弱點是由於證明長度導致的高Gas成本，可能需要5kB的證明長度，但由於Verkle樹的使用，這將在未來減少到<1kB。
• **ZK-SNARKs。 **你可以通過使用Merkle branches的ZK-SNARK來減少數據成本，而不是使用branches本身。可以構建鏈下聚合技術（例如在EIP-4337之上）來使一個單獨的ZK-SNARK驗證區塊中的所有跨鏈狀態證明。
• **KZG承諾。 **無論是L2還是建立在其之上的方案，都可以引入順序編址系統，允許在該系統內部的狀態證明僅為48字節。與ZK-SNARKs一樣，多證明方案可以將所有這些證明合併為每個區塊的單個證明。

如果我們想避免每個交易都需要一個證明，可以實施一種更輕量級的方案，僅需要跨L2證明進行恢復。從一個賬戶支出將依賴於一個花費密鑰，其對應的公鑰存儲在該賬戶內部，但恢復將需要一個交易，將當前的花費公鑰複製到keystore中。即使你的舊密鑰不安全，虛擬地址中的資金也是安全的：將虛擬地址“激活”以將其轉化為可用合約將需要進行跨L2證明，以復制當前的花費公鑰。 Safe論壇上的有主題描述了類似架構的工作方式。

要為這樣的方案增加隱私性，我們只需對指針進行加密，並在ZK-SNARKs內部進行所有的證明：

通過進一步的工作（例如以此工作為起點），我們還可以剝離ZK-SNARKs的大部分複雜性，構建一個更簡化的基於KZG的方案。

這些方案可能會變得複雜。好處是它們之間存在許多潛在的協同效應。例如，“keystore合約”的概念也可以是前一節提到的“地址”的解決方案：如果我們希望用戶擁有持久的地址，不會在用戶更新密鑰時每次都更改，我們可以將隱身元地址、加密密鑰和其他信息放入keystore合約，並將keystore合約的地址用作用戶的“地址”。

許多次級基礎設施需要更新

使用ENS很昂貴。 2023年6月的現在雖然沒之前貴，但註冊域名的交易費用仍然相對較高，與ENS域名費用相當。例如，註冊zuzalu.eth大約花費了27美元，其中11美元是交易費用。但如果市場再次出現牛市，費用將飆升。即使ETH價格沒有上漲，如果Gas費回到200 gwei，域名註冊的交易費用將達到104美元。因此，如果我們希望人們真正使用ENS，特別是對於像去中心化社交媒體這樣的用例，用戶要求幾乎免費註冊（ENS域名費用並不是問題，因為這些平台可以為用戶提供子域名），我們需要在Layer 2上使用ENS。

幸運的是，ENS團隊已經邁出了步伐，ENS在Layer 2上正在實現！ ERC-3668（也稱為“CCIP標準”）和ENSIP-10提供了一種在任何Layer 2上自動驗證ENS子域的方式。 CCIP標準要求設置一個智能合約，描述在Layer 2上驗證數據證明的方法，而一個域名（例如，Optinames使用ecc.eth）可以被放置在這樣一個合約的控制下。一旦CCIP合約在L1上控制ecc.eth，訪問某個subdomain.ecc.eth將自動查找和驗證一個存儲該特定子域的Layer 2狀態的證明（例如，Merkle branch）。

實際獲取這些證明涉及到訪問存儲在合約中的URL列表，儘管這在某種程度上可能看起來像是中心化，但我會說這實際上並不是：這是一種1對N的信任模型（無效的證明會被CCIP合約回調函數中的驗證邏輯捕獲，只要其中一個URL返回有效的證明，就可以了）。 URL列表可能包含幾十個URL。

**ENS的CCIP努力是一個成功的案例，應該被視為我們需要的激進改革實際可行的標誌。 **但還有很多應用層面的改革需要進行。以下是一些例子：

• **許多DApp依賴用戶提供鏈下簽名。 **對於外部賬戶（EOA），這很容易。 ERC-1271提供了一種標準化的方法來為智能合約錢包執行此操作。然而，許多DApp仍然不支持ERC-1271，它們需要進行適配。
• **使用“is this an EOA? ”來區分用戶和合約的DApp（例如，防止轉賬或強制執行版稅）將會出現問題。 **一般來說，我建議不要試圖在這裡找到純技術解決方案；確定特定的加密控制轉移是否是有利益所有權轉移是一個困難的問題，可能無法在沒有借助一些鏈下社區驅動機制的情況下解決。最有可能的是，應用程序將更少地依賴於阻止轉移的技術手段，而更多地依賴於類似Harberger稅這樣的技術。
• **錢包與支出和加密密鑰的交互將需要改進。 **目前，錢包通常使用確定性簽名生成應用程序特定的密鑰：使用EOA的私鑰對一個標準的nonce（例如應用程序名稱的哈希）進行簽名會生成一個確定的值，除非擁有私鑰，否則無法生成該值，因此從純技術角度來說是安全的。然而，這些技術對錢包來說是“不透明”的，阻止了錢包實現用戶界面級別的安全檢查。在一個更成熟的生態系統中，簽名、加密和相關功能將需要由錢包更加明確地處理。
• 輕客戶端（例如Helios）將需要驗證Layer 2而不僅僅是Layer 1**。 **目前，輕客戶端專注於檢查L1區塊頭信息的有效性（使用輕客戶端同步協議），並驗證基於L1區塊頭信息的L1狀態和交易的Merkle branch。未來，它們還將需要驗證以L1中存儲的狀態根為根的L2狀態的證明（更高級的版本將實際查看L2預確認）。

錢包將需要保護資產和數據

目前，錢包的任務是保護資產。一切都存儲在鏈上，錢包需要保護的只是當前保護這些資產的私鑰。如果更換密鑰，你可以安全地在第二天將之前的私鑰公開發佈在互聯網上。然而，在零知識世界中，情況就不再如此：錢包不僅僅保護身份驗證憑證，還保存著你的數據。

我們在Zuzalu使用基於ZK-SNARK的身份系統Zupass，看到了這樣一個世界的最初跡象。用戶有一個私鑰，用於認證到系統中，可以用於生成基本證明，例如“證明我是Zuzalu居民，而不暴露是哪個居民”。 Zupass系統還開始在其上構建其他應用程序，最重要的是stamps（Zupass版本的POAP）。

*我許多Zupass郵票中的一個，確認我是Team Cat的成員。 *

stamps相對於POAP的關鍵特點是它們是隱私的：你在本地保存數據，只有當你希望將該信息提供給某人時，才會向其ZK證明一個stamps（或對stamps進行某些計算）。但這也帶來了額外的風險：如果丟失了該信息，你將失去你的stamps。

當然，持有數據的問題可以簡化為持有單個加密密鑰的問題：第三方（甚至是鏈上）可以持有數據的加密副本。這具有方便的優勢，即你採取的操作不會更改加密密鑰，因此不需要與保存加密密鑰的系統進行任何交互。但即使如此，**如果你丟失了加密密鑰，就會失去所有數據。 **而且，反過來，**如果有人看到了你的加密密鑰，他們就能夠看到使用該密鑰加密的所有內容。 **

Zupass的實際解決方案是鼓勵人們在多個設備上存儲其密鑰（例如筆記本電腦和手機），因為他們同時失去對所有設備的訪問的可能性微乎其微。我們可以進一步採用使用密鑰共享將密鑰分割存儲在多個保護者之間。

通過MPC社交恢復並不是錢包的足夠解決方案，因為這意味著不僅當前的保護者，而且之前的保護者也可能串通起來竊取你的資產，這是一個無法接受的高風險。但隱私洩露通常比完全喪失資產的風險更低，對於具有高隱私需求的用例，可以通過不備份與這些隱私需求相關的密鑰來接受更高的喪失風險。

為了避免讓用戶陷入一個複雜的多重恢復路徑系統中，支持社交恢復的錢包可能需要管理資產恢復和加密密鑰恢復兩個方面。

回到身份

這些變化中的一個共同主題是，作為區塊鏈上的身份表示的"地址"的概念將需要發生根本性的變化。 **”如何與我互動的指令"將不再僅僅是一個ETH地址；它們將以某種形式，可能是多個L2上的多個地址、隱形元地址、加密密鑰和其他數據的組合來表示。 **

其中一種方法是將ENS作為你的身份：你的ENS記錄可以包含關於如何支付和與你互動的所有信息，如果你向某人發送bob.eth（或bob.ecc.eth等），他們可以查詢並了解與你互動的一切，包括在更複雜的跨域名和隱私保護方式下。

但是，這種以ENS為中心的方法存在兩個弱點：

• **它將太多的內容與你的姓名關聯在一起。 **你的姓名並不代表你的全部，它只是你的眾多屬性之一。應該能夠更改你的姓名，而無需遷移整個身份配置文件並更新許多應用程序中的記錄。
• **你無法擁有無需信任的虛擬名字（counterfactual names）。 **任何區塊鏈的一個關鍵用戶體驗功能是能夠向尚未與鏈交互的人發送代幣。如果沒有這樣的功能，就會陷入進退兩難的境地：與鏈進行交互需要支付交易費用，而支付交易費用則需要......已經擁有代幣。 ETH地址，包括具有CREATE2的智能合約地址，具備這個功能。 ENS名稱則沒有，因為如果兩個Bob都在鏈下決定他們是bob.ecc.eth，就沒有辦法選擇哪一個Bob能夠獲得這個名稱。

一種可能的解決方案是將更多的內容放入之前在本文架構中提到的keystore合約中。 keystore合約可以包含關於你和與你互動的各種信息（並且使用CCIP，其中一些信息可以是鏈下的），用戶將使用其keystore合約作為其主要標識符。但是，他們實際收到的資產將存儲在各種不同的地方。 keystore合約與名稱無關，並且對於虛擬名字友好：你可以生成一個地址，只能由具有特定固定初始參數的keystore合約進行初始化。

另一類解決方案涉及完全放棄用戶面向的地址概念，類似於比特幣的支付協議。一種想法是更多地依賴發送方和接收方之間的直接通信渠道；例如，發送方可以發送一個索取鏈接（作為顯式URL或二維碼），接收方可以使用該鏈接以任何他們希望的方式接受支付。

無論是發送方還是接收方先採取行動，更多地依賴錢包實時生成最新的支付信息可以減少摩擦。然而，持久性標識符很方便（尤其是使用ENS），而在實踐中，依賴發送方和接收方之間的直接通信是一個非常棘手的問題，因此可能會看到不同技術的組合。

在所有這些設計中，保持去中心化並對用戶易於理解至關重要。我們需要確保用戶可以輕鬆訪問關於他們當前資產和針對他們的消息的最新視圖。這些視圖應該依賴於開放工具，而不是專有解決方案。要避免支付基礎設施的更大復雜性變成一個難以理解和適應新環境的不透明的"抽象之塔"，需要付出艱苦努力。儘管面臨挑戰，但實現以太坊的可擴展性、錢包安全性和普通用戶的隱私至關重要。這不僅關乎技術可行性，還關乎對普通用戶的實際可訪問性。我們需要迎接這一挑戰。