要解决「证明溢出」问题需要解决以下问题：如何防止创建超出电路容量的批次？

撰文： Andy Arditi

在 Scroll，我们正在开放构建 zkEVM，并希望将我们正在构建的协议的所有方面保持公开透明。

这篇文章中描述了我们称之为「证明溢出」的问题 — 一个由于 ZK rollups 中执行和证明生成分离而引起的问题。

背景

Scroll 的 rollup 流程大致可以理解为：

我们在 Alpha 测试网中遇到的一个问题是无法证明某些批次，原因是它们「太大」而无法放入我们的 zkEVM 电路中。

人们可以认为 zkEVM 电路由许多子电路组成，比如 n 个子电路，它们通过查找表互连。每个子电路用于约束特定的操作——例如，Keccak 电路计算 Keccak 哈希，求幂电路计算求幂。我们的 zkEVM 电路设计中当前限制是每个子电路必须具有相同的行数，比如 m 行。

根据每个子电路中消耗的行数，每个所传入的交易都具有唯一的配置文件。例如，可能有一个交易需要许多 Keccak 操作，因此在 Keccak 电路中占用许多行，而在求幂电路中不占用任何行。相反，可能有一个交易在 Keccak 电路中占用很少的行，而在求幂电路中占用很多行。

由于批次由区块组成，而区块由交易组成，因此批次的行消耗配置文件由组成它的交易决定。如果一个批次的行消耗超过最大行数 m，则该批次将无法证明（即证明「溢出」）。当一个批次无法证明时，它无法在 L1 上最终确认，任何后续的批次也无法证明（取决于无法证明批次的结果状态）。

值得注意的是，即使只包含单个交易的批次也可能会溢出电路。

要解决「证明溢出」问题需要解决以下问题：如何防止创建超出电路容量的批次？

长期解决方案

问题源于我们电路架构的局限性：所有子电路都必须有一些预先确定的、固定数量的行。我们正在研究重新设计我们的架构，以便可以独立地动态调整子电路的大小——每个子电路的大小都可以根据批次证明的要求放大或缩小。例如，如果一个批次在 Keccak 电路中需要 2^20 行，但在求幂电路中只需要 2^14 行，则子电路可以独立缩放。

这种类型的动态设计带来了挑战，我们正在努力解决这些问题。然而，与此同时，我们需要解决固定尺寸电路的问题。

当前解决方案

1. 根据最坏情况下的操作码设置区块 Gas 限制 ❌

这里的想法是根据最坏情况下（就电路行消耗而言最昂贵）的操作码来设置区块的 Gas 限制。换句话说，设置区块 Gas 限制，即使它被最昂贵的操作码填满，该区块仍然可以适配我们的电路。这保证了任何区块都无法填满电路。

2. Gas 重新定价 ⚠️

我们可以修改操作码到 Gas 的映射表来反映证明成本，而不是执行成本。这将涉及从每个操作码与它在所有子电路中占用的最大行数的静态映射，然后修改我们的 Geth 分支（「L2Geth」）以使用这个新的 Gas 定价。

3. 引入额外的「Proof Gas」计量

除了正常的 EVM Gas 之外，我们还可以有一个单独的概念 「Proof Gas」。Proof Gas 将用于量化交易在我们的电路中消耗的空间。请注意，这种「Proof Gas」应该是多维的——因为不同的操作码在不同的电路中占据不同的行。

一旦引入「Proof Gas」计量的概念，就会出现在哪个级别约束它的问题。

3a.在执行层约束 Proof Gas

此解决方案与解决方案 2 类似，不同之处在于它保留了 EVM Gas 和 Proof Gas 的概念。这将再次涉及将每个操作码静态映射到它在每个电路中占用的行数，然后修改 L2Geth 以添加这种 Proof Gas 的概念。如果特定交易超过了 Proof Gas 限制，则交易将撤销并出现一些自定义的「out of proof gas」的错误。这将确保没有区块可以超过行约束，因为执行层将在此之前停止交易。

3b.在执行层之外约束 Proof Gas

我们可以从 zkEVM 电路库中公开 API 来报告给定执行踪迹所需的行数，而不是生成操作码到电路行的静态映射。L2Geth 可以生成区块的执行踪迹，然后查询电路行消耗 —— 如果超过最大行数，则不会创建区块。

结语

似乎解决方案 3b 是最简单且风险最小，也是可行的解决方案。

伴随这种方案的主要挑战是如何处理强制交易，因为可能存在太大而无法放入电路中的强制交易。这里的一个想法是使用解决方案 1 中的想法来限制强制交易的 Gas 限制，这样即使在最坏的情况下，强制交易也不会溢出电路。

从长远来看，我们的目标是开发一个更灵活的证明系统，支持动态大小的子电路，从而完全避免这个问题。