ZK技术破局“Play to Earn”

在"玩赚钱"的理念下，玩家希望在享受游戏的同时获得收益。但 GameFi 受限于较高的 GAS 成本和并不完善的区块链游戏开发生态，其安全性和透明度均难以得到玩家认可。这使 GameFi 走向另一个极端——不断优化经济模型和收益，收益周期不断缩短，最终造成踩踏。在新的周期，L2、全链游戏引擎和 ZK 技术的普及将为用户带来链上隐私和更复杂的链上游戏机制。这同时解决了性能、隐私和可信的问题，将焦点从庞氏游戏转移到更可信和复杂的链上游戏中。利用应用层 ZK 技术游戏开发者可以轻易建立对交互式隐私场景有明确需求的链上战略游戏，也为更复杂的可信（链上）游戏场景带来新的希望。Salus 将通过本文探讨新的应用层 ZK 技术如何帮助游戏完成场景创新。

技术背景：递归 zkSNARK 的出现

zk-SNARK 是一种加密证明系统，在这种结构中，证明者可以证明拥有某些信息，而不泄露该信息，并且证明者和验证者之间没有任何交互。

递归 zkSNARK 意味着开发者可以在 zkSNARK 证明内部验证另一个 zkSNARK 证明，并生成 zkSNARK 证明的陈述。递归允许 zkSNARK 证明者将更多知识压缩到他们的证明中的同时保持简洁，且递归验证过程不会明显减慢。

与一般 zkSNARK 相比，递归 zkSNARK 通过允许将多个证明压缩为单个证明来提供增强的可扩展性和效率。这种递归组合减少了复杂或多步骤过程的计算负载和证明大小，使它们特别有利于发生大量交互和交易的区块链游戏等应用程序。这将为用户和开发人员带来更高的性能并降低成本。

图片来源 - https://ethresear.ch/t/signature-merging-for-large-scale-consensus/17386

递归 SNARK 解锁新应用级属性

压缩

递归 zkSNARK 允许证明者将“更多知识”放入证明中，同时确保这些证明仍然可以由验证者在恒定或多对数时间内进行验证。使用递归 zkSNARK 作为信息的“rollup”，可以独立地“卷起”比最大的（非递归）电路更多的计算。

可组合性

使用递归 zkSNARK，可以创建一个证明链，在每一步中，证明都会传递给一个新的参与者，每个参与者在其中添加自己的知识声明，但无需了解链中其他部分的详细信息。

递归 SNARK 的实现

通常，有两种方法可以实现完全递归 zkSNARK：一种方法是使用配对友好椭圆曲线的循环，其中通过找到两条配对友好的曲线来实现有效的递归，使得一条曲线的阶数等于另一条曲线的场大小；第二种方法是强行通过，并在证明系统本身中简单地实现单对友好曲线的椭圆曲线运算。

第一种方法，配对友好椭圆曲线的循环，尽管众多研究者还在探索，但目前想要实现同时满足配对友好和循环这两个特性的曲线还很困难。以下内容定义了什么是配对友好椭圆曲线循环。

定义 1: 椭圆曲线的循环是在有限域上定义的椭圆曲线的列表，其中一条曲线上的点的数目循环地等于下一条曲线的定义域的大小。

椭圆曲线的 m-cycle 是由 m 条不同的椭圆曲线，其中是素数，使得这些曲线上的点个数满足公式：

高效的 zkSNARK 方案一般由配对友好型椭圆曲线去构建，而等式中的循环条件使得它们之间可以递归组合，并且避免产生在跨不同特征的有限域时所产生的昂贵的模运算。

定义 2: 椭圆曲线的配对友好型 m-循环是一个满足循环中每条椭圆曲线都是基础且具有较小嵌入度的 m-循环。

第二种方法是强行通过，并在证明系统本身中简单地实现单对友好曲线的椭圆曲线运算）。你可以将配对电路移植到BN 254 曲线上，然后在 Circom 中组装一个生长验证器。

以 groth 16 证明系统为例，groth 16 具有两个阶段的可信设置，第二阶段的设置是电路特定的。这意味着，当你在 SNARK 内部验证证明时，它将需要独立于外层 SNARK 的受信任设置。

因此最适合递归 groth 16 SNARK 的是那些递归到自身的应用，即在电路中验证的证明是同一电路本身的证明。这意味着我们只需要一个可信设置。如图展示了自递归 SNARK 的思路：