1. 引言

Recursive SNARKs又名Incrementally Verifiable Computation（IVC）、Proof Carrying Data（PCD）或 inductive SNARKs。

下图摘自微软团队2021年论文《Nova: Recursive Zero-Knowledge Arguments from Folding Schemes》，其中：

[BCTV14]：为Ben-Sasson等人2014年论文《Scalable zero knowledge via cycles of elliptic curves》
[Gro16]：为Groth 2016年论文《On the size of pairing-based non-interactive arguments》。可参看博客：
- Groth16 学习笔记
- ZCash bellman版本 Groth16代码解析。
[Set20]：为微软团队Setty 2019年论文《Spartan: Efficient and general-purpose zkSNARKs without trusted setup》。可参看博客：
[COS20]：Chiesa等人2019年论文《Fractal: Postquantum and transparent recursive proofs from holography》
[BGH19]：Bowe等人2019年论文《Halo: Recursive proof composition without a trusted setup》。可参看博客：
- Halo: Recursive Proof Composition without a Trusted Setup 学习笔记
- Halo代码解析
[BCL+20]：B¨unz等人2020年论文《Proof-carrying data without succinct arguments》。可参看博客：
- proof-carrying data from accumulation schemes学习笔记

在这里插入图片描述

2. 何为Recursive SNARKs？

2.1 何为SNARK？

在这里插入图片描述

2.2 何为SNARK of a SNARK proof？

在这里插入图片描述

2.3 何为SNARK of multiple SNARK proofs？

在这里插入图片描述

3. Recursive SNARKs应用场景

Recursive SNARKs可用于如下场景：

1）Zk-zk-Rollup 和 zk $^3$ -Rollup
2）隐私计算ZEXE

3.1 用于Zk-zk-Rollup 和 zk $^3$ -Rollup

相比于zkRollup，Zk-zk-Rollup具有如下特征：
* 1.1）具有多个server，每个server负责不同的无重叠的用户组。
* 1.2）具有Rollup aggregator（可为server中的一个），负责汇总（balance table）并创建一个相应的proof。
在这里插入图片描述

相应的Zk-zk-Rollup circuit表示为：【其中的 $root_1,root_2,\cdots, \pi_1,\pi_2,\cdots$ 均为witness】

以Tornado Cash为例：

经zk $^3$ -Rollup，Tornado Cash可实现shielded transfer以及任意金额。【为每笔交易添加zk-SNARKs实现了隐私交易。】
在这里插入图片描述